PDF de programación - Uso de la criptografía simétrica para la comunicación de mensajes cortos en dispositivos móviles

Uso de la criptografía simétrica para la comunicación de mensajes cortos en

dispositivos móviles

Adolfo Di Mare Hering

José Pablo Noguera Espinoza



Universidad de Costa Rica

Escuela de las Ciencias de la Computación e Informática



{adolfo.dimare,jose.nogueraespinoza}@ucr.ac.cr

Resumo: Presentamos un nuevo enfoque para usar cifrado simétrico de mensajes cortos (SMS). Los archivos de fotos o
de música se usan como llave de encripción pues tienen alta entropía y están disponibles en los dispositivos móviles a
las que muchas personas tienen acceso. Se analizan las fortalezas y debilidades del protocolo propuesto, que resulta en
la comunicación segura entre un grupo pequeño de personas.

Abstract: We present a new approach to use symmetric encryption for short message service (SMS). Photo or music
files are used as the encryption key because they have high entropy and are available on mobile devices to which many
people have access. The strengths and weaknesses of the proposed protocol are analyzed, resulting in secure
communication among a small group of people.

Palabras claves: Móvil, Seguridad, Criptografía.

1

Introducción

En la actualidad, el uso extendido de la telefonía móvil a
nivel mundial a roto barreras de comunicación y ha
creado nuevos formas de interactuar de las personas,
creando una dependencia en su uso [Muñoz-2009]. Uno
de los servicios importantes que brinda esta tecnología es
el servicio de mensajes cortos de texto SMS (Service
Message Short), el que ya es percibido como parte
fundamental de la telefonía móvil. Desafortunadamente,
la confidencialidad de la información, que es uno de los
tres pilares de la seguridad [Bishop-2002], ha sido
severamente comprometido debido al control que ejercen
a nivel mundial organizaciones como es la Agencia de
Seguridad Nacional
(NSA)
[Bishop-2002]. En particular,
sido
desenmascarada por sus actividades de espionaje de todas
la comunicaciones, a nivel global, hecho que fue revelado
por uno de los ex-agentes de esa organización: Edward
Snowden [Lara-2014]. Estos hechos de espionaje han
resultado en críticas de todos los países, en particular de
Alemania [Müller-2014].

los E.E.U.U.

la NSA ha

de

Figura 1: Beware of NSA watchdog [Ohman-2013]



Estas intromisiones inesperadas han causado revuelo entre
los ciudadanos estadounidense quienes han sentido que
sus derechos han sido violentados, como lo muestra la
caricatura de la Figura 1.

A nivel local, en Costa Rica , el 20 de enero del 2014 el
diario La Extra acusó al Organismo de Investigación
Judicial (OIJ) por espionaje, como lo describe el reportaje
del noticiero de Televisora de Costa Rica, canal 7:

El Diario Extra publicó una noticia en la que
denuncian que “algunas de
las más altas
autoridades del Poder Judicial (OIJ) han espiado a
periodistas de este medio, para conocer cuáles son
sus fuentes informativas” [Quesada-2014].

Esto hecho creó un antecedente que violenta la libre
expresión y comunicación en el país. La Sala
Constitucional, mediante la resolución No.2014-4035,
sentenció el recurso de amparo presentado por diario La
Extra y
las coadyudancias de varios medios de
comunicación, que pretendían declarar ilegal el rastreo
telefónico del cual fue víctima el periodista Manuel
Estrada y poner, ante todo, derechos como la libertad de
expresión, reserva de la fuente y derecho a informar a la
población [Aguilar-2014].

En el mercado de aplicaciones móviles existen algunas
empresas que han creado aplicaciones para el envío de
mensajes simples de forma segura, como por ejemplo
"SMS Encrypt" [FMontano-2012]. Estas organizaciones
utilizan algoritmos conocidos que se han convertido en un
estándar en seguridad y en requisito para el trasiego de
cualquier tipo de datos. Las funcionalidades básicas ya
han sido identificadas y están descritas en muchas
"SafeSlinger"
investigaciones:
[FLKMP-2013] describe que la utilización de esquemas
de llave pública pueden ser comprometidos pues en
Internet es posible capturar esas llaves. "SafeSlinger" es
un sistema diseñado para evitar que
las claves
criptográficas sean comprometidas, que es uno de los
problemas recurrentes en la comunicación de datos.

ejemplo,

por

2 Criptografía

3 Contexto actual de la mensajería SMS

Un buen sistema criptográfico debe tener la cualidad de
que si ya se conoce el texto en claro y el texto cifrado
debe resultar más caro en tiempo o recursos descifrar la
clave que el valor posible de la información obtenida por
terceros intercambiar de forma segura y privada sus
claves públicas en Internet.



Figura 2: Encriptación Simétrica [Moreno-2004]

Los algoritmos de criptografía se dividen en dos grandes
familias. Si se usa la misma clave para encriptar y para
desencriptar el algoritmo se llama simétrico, mientras que
si se usan 2 claves al método criptográfico se le llama
asimétrico. Los primeros algoritmos fueron simétricos,
pues son más fáciles de formular. La Figura 2 muestra su
funcionamiento.

El algoritmo de encriptación usado siempre es conocido:
su fortaleza es producto de la longitud de la clave
empleada. Una de las formas de criptoanálisis primario de
cualquier tipo de sistema es la de “prueba y ensayo”, que
consiste en probar diferentes claves hasta encontrar la
correcta. Los algoritmos simétricos encriptan bloques de
texto del documento original, y son más sencillos que los
sistemas de clave pública.

El sistema criptográfico propuesto en este trabajo usa
criptografía simétrica, por lo que tanto el emisor como el
receptor deben conocer y mantener una misma clave: si la
llave cayera en manos de
terceros ya no habría
comunicación segura. Un algoritmo simétrico es fiable si
cumple estos requisitos [Moreno-2004]:

1. Conocido el criptograma (texto cifrado) no se pueden

obtener de él ni el texto en claro ni la clave.

2. Conocidos el texto en claro y el texto cifrado debe
resultar más caro en tiempo o recursos descifrar la
clave que el valor posible de la información obtenida
por terceros.

Las principales desventajas de los métodos simétricos son
la distribución y almacenamiento de las claves. Si muchas
personas deben conocer la misma clave es difícil proteger
esa clave que todos deben compartir [Moreno-2004].

La criptografía asimétrica usa 2 claves, que usualmente se
llaman clave pública y clave privada. Estas claves tienen
cualidades matemáticas especiales, de tal forma que se
generan siempre a la vez, por parejas, de manera que
ambas están intrínsecamente ligadas. En particular, si dos
llaves públicas son diferentes, sus claves privadas
asociadas también lo son (y viceversa). Los algoritmos
asimétricos están basados en funciones matemáticas
fáciles de resolver en un sentido, pero muy complicadas
de realizar en sentido inverso. Por eso, deber ser muy
difícil obtener la llave privada a partir de la pública.

Debido a las calidades matemáticas que deben tener las
llaves cuando se usa criptografía asimétrica, lo usual es
que ambas claves sean generadas por computadora sin
que las elija el usuario.

Existen diferentes técnicas de infiltración en dispositivos
móviles y teléfonos inteligentes. Una técnica de amplio
uso es incluir código malicioso en los archivos en que se
distribuyen aplicaciones Android, que usan el formato
APK. De esta forma, quien instala una aplicación desde el
archivo APK también instala el virus que permite infiltrar
el dispositivo, como lo reportan en [KKC-2012]. Por eso,
se ha usado criptografía para evitar este tipo de ataques
que comprometen la privacidad de comunicación con
dispositivos móviles.

Talvez no se ha explorado mucho cómo incorporar
criptografía para trasegar mensajes de texto SMS porque
ese servicio es muy simple y se usa de manera informal.
Sin embargo, es claro que este tipo de comunicación es
esencial, como lo demuestra el crecimiento exponencial
de la cantidad de usuarios de servicios como "WhatsApp"
o "Telegram" [Kerr-2014].

El cifrado fuerte demanda uso de claves de alta seguridad,
donde la distribución de la clave se convierte en un gran
problema a resolver [FLKMP-2013]. Aquí proponemos
un forma de abordar este inconveniente, para lo cual se
plantea una solución sencilla de distribución de llaves por
proximidad en el contexto de la comunicación SMS entre
dos personas.

Muchas personas disfrutan hoy en día de la telefonía
móvil, y poseen aparatos que son computadores
avanzados y de gran potencia, de manera que pueden
utilizar aplicaciones de mensajería instantánea (como
"WhatsApp" o "Telegram"), las que usan como transporte
Internet en lugar del servicio SMS de la compañía
telefónica. Todavía existen pocas aplicaciones que
utilizan criptografía asimétrica para este
tipo de
comunicación (como por ejemplo "TextSecure Private
Messenger"), pero no se ha explorado el uso de
criptografía simétrica en el contexto de la mensajería
inmediata entre pocas personas.

Nuestra propuesta es muy simple, pues presume que
cuando 2 personas quieren tener comunicación segura vía
SMS solo se ponen de acuerdo en usar un archivo de
llave, que ambos ya hayan almacenado en su dispositivo
móvil, y que cumpla un requisito muy simple: tener alta
ent