Claves RSA en problemas

Un matemático argentino, de 67 años, podría enloquecer al mundo. Hugo Scolnik asegura que está a punto de lograr un algoritmo que permitirá quebrar las claves RSA, independientemente de su longitud. La seguridad de los usuarios, bancos y gobiernos se iría, de un día para el otro, al infierno.

Hugo Scolnik es un matemático reconocido en su país, Argentina, y en el mundo. Dicta clases en diferentes universidades y ha presentado trabajos en varios países. Incluso ha recibido premios por sus trabajos publicados. Además de trabajar con ella, la matemática es su pasión. Licenciado en Ciencias Matemáticas de la Universidad de Buenos Aires y Doctor en Matemática por la Universidad de Zurich, hoy Scolnik se dedica a la investigación. Sus campos específicos son Criptografía, Robótica, Optimización No Lineal, los modelos matemáticos y los métodos numéricos.

Lo primero que uno puede preguntarse es qué relación hay entre el trabajo de un matemático, y el sistema de contraseñas (RSA o cualquier otro) que constituye el pilar fundamental de la seguridad informática. Y la respuesta es simple: las contraseñas son, en el fondo, números enormes. Lo que hace Hugo es investigar la factorización de números gigantes, de aquellos que superan las 300 cifras. Justamente, esos son los que se utilizan en los sistemas de seguridad.

Sin ser estrictos en su definición, “factorizar” significa descomponer un numero en otros más pequeños, que multiplicados entre si dan como resultado el número original. Más o menos lo mismo que hace un niño en la escuela, pero con números muy grandes.

Veamos un ejemplo. Supongamos que tenemos el numero 150. Sus factores son 2, 3,5 y 5, por que 2 x 3 x 5 x 5 = 150. Los sistemas de seguridad (machismo de ellos) utilizan como contraseña este tipo de cálculo. Se toman dos números primos verdaderamente grandes (de 100 o 200 dígitos de largo), y se multiplican entre ellos. Ese resultado (un número no primo) puede utilizarse como contraseña pública para encriptar mensajes, y los primos utilizados para obtenerlo como claves para descifrar.

De hecho, durante la década de 1970, Whitfield Diffie y Martin Hellman propusieron este método, ya que es fácil de llevar a término en una dirección, pero extremadamente difícil de realizar en la dirección opuesta. En 1977, Ronald Rivest, Adi Shamir y Leonard Adleman, matemáticos y científicos informáticos del MIT, lo implementaron como un algoritmo informático que recibió el nombre de RSA (las iniciales de sus apellidos).

El tamaño de los números empleados por RSA es tan grande, que a un superordenador le llevaría mas de 300 millones de años encontrar los números que se multiplicaron para obtener la clave. Eso es lo que brinda la seguridad al sistema, y ha hecho que bancos, entidades financieras, gobiernos y particulares hayan adoptado el sistema. Cada vez que haces una compra en una tienda online, los datos de tu tarjeta de crédito viajan encriptados con algún algoritmo de este tipo.

Y aquí es donde el trabajo de Scolnik sacude los cimientos de la seguridad informática. Si en lugar de 300 millones de años, las claves pudiesen quebrarse en pocos minutos, el mundo necesitaría de forma urgente un nuevo sistema de seguridad electrónica. Y cambiar no seria demasiado fácil: RSA se encuentra implementado no solo en casi todo el software relacionado con la seguridad, si no también en el hardware especifico de muchas entidades financieras o de seguridad nacional.

Las claves RSA son más complejas, y brindan mayor seguridad, cuando mayor es su tamaño. Originalmente se empleaban claves de 160(RSA 160) o 200 (RSA200) bits de largo. Pero la velocidad con la que avanzaba la informática provocó que rápidamente se pasase a  RSA 576, RSA 1024, RSA 2048, etc. Hoy día existe software capaz de generar RSA8192.

En general, basta con que una contraseña RSA resguarde un documento durante 20 o 30 años. Los expertos ya recomiendan, si queremos tener nuestra información a salvo hasta el 2040 o 2050, usemos RSA 2048. Pero si Scolnik logra su objetivo, todo esto será inútil.

Fernando Acero,  un teniente coronel de la fuerz aeronáutica española, miembro del Comité Científico del Observatorio de Voto Electrónico (OVE) de la Universidad de León, advierte: “las empresas deberían cambiar sus sistemas de cifrado, lo que puede suponer un cambio de software y hardware. El RSA es usado […] en los documentos de identidad electrónicos y en comunicaciones seguras a través de internet. Actualmente, todo el mundo usa sistemas de cifrado en su vida cotidiana, por lo que el problema es global. Es evidente que tanto los bancos como organismos gubernamentales tendrían que adaptar sus sistemas.”

El propio Scolnik da un ejemplo de las situaciones que se pueden producir. “Creo que el problema más grande se da en el ámbito de los contratos. Existe una ley de firma digital que dice que si yo mando un documento firmado digitalmente y digo que voy a pagar 10.000 euros, es como si lo hubiera firmado ante un escribano público: tengo que pagar 10.000 euros. Si uno quiebra RSA, entonces uno hace un contrato falso donde dice que en vez de 10.000 son 50.000. Y está firmado digitalmente por mí. Por tanto, yo tengo que pagar por que la ley lo dice”.

Hugo, cuentan los que lo conocen bien, tiene un gran sentido del humor. El parrafo que hemos elegido para cerrar este articulo lo pinta de cuerpo entero:

“–Me preguntó Martín Hellman, uno de los padres de la criptografía de clave pública: “Si tenés éxito, ¿qué haces?”. Una posibilidad: me convierto en ladrón internacional. Empiezo a interceptar claves públicas de bancos y empiezo a hacer transferencias. Hago que un banco me firme contratos en los que me pagan 10.000 dólares por minuto. Qué sé yo. Se puede hacer cualquier zafarrancho. La otra opción es publicarlo científicamente. Los dos son caminos muy complicados.”

Al menos nos queda el consuelo de que la persona que puede destruir el andamiaje que sostiene la seguridad mundial es también un humorista. O un futuro ladrón internacional.