Hasta aquí, hemos visto el sentido y uso de los sistemas de envío anónimo y cifrado de correos electrónicos basados en remailers de tipo II y en claves asimétricas. Los remailers de tipo III vienen a ser lo mismo, sólo que, como veremos, incluyen sistemas que hacen posible responder a los mensajes recibidos.

Ahora hay que reflexionar sobre la seguridad real que ofrecen estos sistemas, dando por hecho que algo que esté por debajo de este nivel, es decir, algo que no incluya cifrado con clave asimétrica no menor de 4.096 bits (no hay ninguna razón, salvo que se tenga un ordenador desesperadamente obsoleto, para elegir un tamaño menor) Y el protocolo Mixmaster, no debe ni siquiera plantearse.

Las medidas de seguridad vistas: reenvío a través de cadenas cifradas de remailers, fragmentación de mensajes en partes iguales, tiempos de latencia, medidas antispan, etc. pueden impedir o dificultar los ataques basados en análisis de tráfico, pero tienen una evidente brecha en sus murallas. Nada impide que organismos oficiales u oficiosos o decididamente delictivos organicen y pongan en funcionamiento sus propios remailers, controlando así, todo el tráfico que pase a través de ellos.

La fragmentación del mensaje y el envío de estas partes por separado, a través de distintas cadenas de remailers, es una buena defensa contra este ataque pero siempre y cuando tengamos la certeza de que los servidores comprometidos son pocos. Así, con cadenas de diez o doce remailers, la posibilidad de que la totalidad del mensaje se vea interceptada, puede reducirse razonablemente, aunque, también, aumenta y mucho, la posibilidad de que el mensaje quede bloqueado en algún punto y jamás llegue a su destino.

Sin embargo, la situación se vuelve mucho más siniestra si empezamos a pensar que son la mayoría de los servidores activos los que podrían estar controlados por organismos u organizaciones de interceptación. Si además, se considera la posibilidad de que, mediante ataques de denegación de servicio u otras técnicas en modo alguno sofisticadas, el tráfico pueda ser “dirigido” hacia las cadenas comprometidas, haciendo que los remailers no controlados queden fuera de servicio; la cosa se pone realmente negra.

¿Es esto, precisamente, lo que está ocurriendo? Como ya se señala en el artículo publicado en SET nº 34, el estado de la tecnología en materia de cifrado y correo anónimo no ha evolucionado en los últimos diez años, al menos de manera sensible y eso, ya, es una debilidad a tener muy en cuenta.

Por otro lado, es notable el descuido de los Legisladores sobre la materia. Mientras empieza a ser universal la obligación legal que se impone a los proveedores de servicios de conocer y archivar un número indeterminado, pero creciente, de datos de tráfico y de identificación personal, y de mantener esos datos a disposición de la “autoridad competente”, no tanto judicial, como administrativa o gubernamental; cosa tan fácil como ilegalizar los servicios de los remailers, parece ser algo que no se les ha ocurrido ni a gobernantes, ni a jueces, ni a espías... ¿No es sospechoso?.

Y ya metidos en esta harina de “inteligencia” y “contrainteligencia” ¿por qué no pensar que la difusión de noticias sobre la infiltración de los servidores de correo anónimo, es pura intoxicación, un modo más de ataque que empuje a desistir de su uso?

“Die Rotte Kapelle” no tiene respuesta para esto y menos después de leer la noticia que publica Jacob Appelbaum en “Debian Administration” y cuyo texto original junto con una traducción, más o menos lamentable, de su contenido principal, incluimos a continuación:

“Asistí la última semana al simposio “Información. Políticas e Infraestructura Internacional” en la Escuela de Derecho de Harvard, organizado por la Comisión Global de Infraestructura de la Información, la Escuela Kenedy y el Instituto de Tecnología de la Información de Leyes y Políticas de la Escuela de Derecho de Harvard.

Durante la presentación de Paul Strassmann, de la Universidad Nacional de la Defensa, y de William Marlow, de la Comisión Internacional de Aplicaciones Científicas; titulada “ Anonymous Remailers as Risk-Free International Infoterrorists”; se plantearon preguntas por parte de la audiencia en un extenso debate. El profesor Charles Nesson, de la Escuela de Derecho de Harvard, preguntó si la CIA y Agencias gubernamentales similares, estaban implicadas en la gestión de remailers anónimos, ya que esto sería un medio perfecto para escanear posibles mensajes ilegales.

Ambos ponentes reconocieron explícitamente que una serie de remailers anónimos de EE.UU son administrados por organismos oficiales de escaneo de tráfico.

Marlow afirmó que el Gobierno controla, al menos, una docena de remailers que los más populares de Francia y Alemania están a cargo de respectivas agencias gubernamentales de estos paises.

Además, mencionaron que la N.S.A (Agencia Nacional de Seguridad) Ha desarrollado con éxito sistemas para romper mensajes cifrados con claves de 1000 bits, por lo que aconsejaron intensamente la utilización de claves de, al menos, 1024 bits. Dijeron que ellos mismos usan claves de este tamaño...”

Es muy curioso que la NSA haga pública su capacidad de romper claves de 1000 bits cuando la utilidad de romper una clave sólo existe mientras esa habilidad se mantenga en secreto. En fin, aquí está (al final de la página de Debian Administration) El texto original:

Cypherpunks archive-96.02.29-96.03.06: List of reliable remailers

List of reliable remailers

Anonymous Remail Service (nobody@vegas.gateway.com) Sun, 3 Mar 199609:18:03-0500

(       Messages sorted by: [date][ threa4][ subject][ author]

(       Next message: Adam Shostack: "Re: NYT on Crypto Bills"

(       Previous message: Raph Levien: "List of reliable remailers"

(       Next in thread: Black Unicorn: "Re: your mail"

Thought that this was worth reposting:

>1 attended last weeks "Information, National Policies; and International

>Infrastructure" Symposium at Harvard Law School, organized by the Global

>Information Infrastructure Commission, the Kennedy School and the

>Institute for Information Technology Law & Policy of Harvard Law School.

>During the presentation by Paul Strassmann, National Defense University

>and William Marlow, Science Applications International Corporation,

>entitled 'Anonymous Remailers as Risk-Free International Infoterrorists"

>the questions was raised from audience (Professor Chaarles Nesson,

>Harvard LAw School) - in a rather extended debate - whether the CIA and

>similar government agencies are involved in running anonymous remailers

>as this would be a perfect target to scan possibly illegal messages.

>Both presenters explicitly acknowledged that a number of anonymous

>remailers in the US are run by government agencies scanning traffic.

>Marlow said that the government runs at least a dozen remailers and that

>the most popular remailers in France and Germany are run by the

>respective government agencies in these countries In addition they

>mentioned that the NSA has successfully developed Systems to break

>encrypted messages below 1000 bit of key length and strongly suggested

>to use at least 1024 bit keys. They said that they themselves use 1024

>bit keys.

>J ask Marlos afterwards if these comments were off or on record, he

>paused then said that he can be quoted.

>So I thought I pass that on. ft seems interesting enough, don 't you

> think?

>Best

> Viktor Mayer-Schoenberger

>Information Law Project

>Austrian Institute for Legal Policy

Groundfog@alpha.c2.org

(       Next message: Adam Shostack: "Re: NYT on Crypto Bills"

(       Previous message: Raph Levien: "List of reliable remailers"

(       Next in thread: Black Unicorn: "Re: your mail"

I of 1                                                          05.09.96 01:58