Hasta aquí, hemos visto el sentido y uso de los sistemas de
envío anónimo y cifrado de correos electrónicos
basados en remailers de tipo II y en claves asimétricas. Los
remailers de tipo III vienen a ser lo mismo, sólo que, como
veremos, incluyen sistemas que hacen posible responder a los mensajes
recibidos.
Ahora hay que reflexionar sobre la seguridad real que ofrecen
estos sistemas, dando por hecho que algo que esté por debajo
de este nivel, es decir, algo que no incluya cifrado con clave
asimétrica no menor de 4.096 bits (no hay ninguna razón,
salvo que se tenga un ordenador desesperadamente obsoleto, para
elegir un tamaño menor) Y el protocolo Mixmaster, no debe ni
siquiera plantearse.
Las medidas de seguridad vistas: reenvío a través de
cadenas cifradas de remailers, fragmentación de mensajes en
partes iguales, tiempos de latencia, medidas antispan, etc. pueden
impedir o dificultar los ataques basados en análisis de
tráfico, pero tienen una evidente brecha en sus murallas. Nada
impide que organismos oficiales u oficiosos o decididamente
delictivos organicen y pongan en funcionamiento sus propios
remailers, controlando así, todo el tráfico que pase a
través de ellos.
La fragmentación del mensaje y el envío de estas
partes por separado, a través de distintas cadenas de
remailers, es una buena defensa contra este ataque pero siempre y
cuando tengamos la certeza de que los servidores comprometidos son
pocos. Así, con cadenas de diez o doce remailers, la
posibilidad de que la totalidad del mensaje se vea interceptada,
puede reducirse razonablemente, aunque, también, aumenta y
mucho, la posibilidad de que el mensaje quede bloqueado en algún
punto y jamás llegue a su destino.
Sin embargo, la situación se vuelve mucho más
siniestra si empezamos a pensar que son la mayoría de los
servidores activos los que podrían estar controlados por
organismos u organizaciones de interceptación. Si además,
se considera la posibilidad de que, mediante ataques de denegación
de servicio u otras técnicas en modo alguno sofisticadas, el
tráfico pueda ser “dirigido” hacia las cadenas
comprometidas, haciendo que los remailers no controlados queden fuera
de servicio; la cosa se pone realmente negra.
¿Es esto, precisamente, lo que está ocurriendo? Como
ya se señala en el artículo publicado en SET
nº 34, el estado de la tecnología en materia de
cifrado y correo anónimo no ha evolucionado en los últimos
diez años, al menos de manera sensible y eso, ya, es una
debilidad a tener muy en cuenta.
Por otro lado, es notable el descuido de los Legisladores sobre la
materia. Mientras empieza a ser universal la obligación legal
que se impone a los proveedores de servicios de conocer y archivar un
número indeterminado, pero creciente, de datos de tráfico
y de identificación personal, y de mantener esos datos a
disposición de la “autoridad competente”, no tanto
judicial, como administrativa o gubernamental; cosa tan fácil
como ilegalizar los servicios de los remailers, parece ser algo que
no se les ha ocurrido ni a gobernantes, ni a jueces, ni a espías…
¿No es sospechoso?.
Y ya metidos en esta harina de “inteligencia” y
“contrainteligencia” ¿por qué no pensar que la
difusión de noticias sobre la infiltración de los
servidores de correo anónimo, es pura intoxicación, un
modo más de ataque que empuje a desistir de su uso?
“Die Rotte Kapelle” no tiene respuesta para esto y menos
después de leer la noticia que publica Jacob Appelbaum en
“Debian
Administration” y cuyo texto original junto con una traducción, más o menos lamentable,
de su contenido principal, incluimos a continuación:
“Asistí la última semana al simposio
“Información. Políticas e Infraestructura
Internacional” en la Escuela de Derecho de Harvard, organizado por
la Comisión Global de Infraestructura de la Información,
la Escuela Kenedy y el Instituto de Tecnología de la
Información de Leyes y Políticas de la Escuela de
Derecho de Harvard.
Durante la presentación de Paul Strassmann, de la
Universidad Nacional de la Defensa, y de William Marlow, de la
Comisión Internacional de Aplicaciones Científicas;
titulada “ Anonymous Remailers as Risk-Free International
Infoterrorists”; se plantearon preguntas por parte de la audiencia
en un extenso debate. El profesor Charles Nesson, de la Escuela de
Derecho de Harvard, preguntó si la CIA y Agencias
gubernamentales similares, estaban implicadas en la gestión de
remailers anónimos, ya que esto sería un medio perfecto
para escanear posibles mensajes ilegales.
Ambos ponentes reconocieron explícitamente que una serie
de remailers anónimos de EE.UU son administrados por
organismos oficiales de escaneo de tráfico.
Marlow afirmó que el Gobierno controla, al menos, una
docena de remailers que los más populares de Francia y
Alemania están a cargo de respectivas agencias gubernamentales
de estos paises.
Además, mencionaron que la N.S.A (Agencia Nacional de
Seguridad) Ha desarrollado con éxito sistemas para romper
mensajes cifrados con claves de 1000 bits, por lo que aconsejaron
intensamente la utilización de claves de, al menos, 1024 bits.
Dijeron que ellos mismos usan claves de este tamaño…”
Es muy curioso que la NSA haga pública su capacidad de
romper claves de 1000 bits cuando la utilidad de romper una clave
sólo existe mientras esa habilidad se mantenga en secreto. En
fin, aquí
está (al final de la página de Debian Administration)
El texto original:
Cypherpunks archive-96.02.29-96.03.06: List of reliable remailers
List of reliable remailers
Anonymous Remail Service (nobody@vegas.gateway.com) Sun, 3 Mar 199609:18:03-0500
( Messages sorted by: [date][ threa4][ subject][ author]
( Next message: Adam Shostack: "Re: NYT on Crypto Bills"
( Previous message: Raph Levien: "List of reliable remailers"
( Next in thread: Black Unicorn: "Re: your mail"
Thought that this was worth reposting:
>1 attended last weeks "Information, National Policies; and International
>Infrastructure" Symposium at Harvard Law School, organized by the Global
>Information Infrastructure Commission, the Kennedy School and the
>Institute for Information Technology Law & Policy of Harvard Law School.
>During the presentation by Paul Strassmann, National Defense University
>and William Marlow, Science Applications International Corporation,
>entitled 'Anonymous Remailers as Risk-Free International Infoterrorists"
>the questions was raised from audience (Professor Chaarles Nesson,
>Harvard LAw School) - in a rather extended debate - whether the CIA and
>similar government agencies are involved in running anonymous remailers
>as this would be a perfect target to scan possibly illegal messages.
>Both presenters explicitly acknowledged that a number of anonymous
>remailers in the US are run by government agencies scanning traffic.
>Marlow said that the government runs at least a dozen remailers and that
>the most popular remailers in France and Germany are run by the
>respective government agencies in these countries In addition they
>mentioned that the NSA has successfully developed Systems to break
>encrypted messages below 1000 bit of key length and strongly suggested
>to use at least 1024 bit keys. They said that they themselves use 1024
>bit keys.
>J ask Marlos afterwards if these comments were off or on record, he
>paused then said that he can be quoted.
>So I thought I pass that on. ft seems interesting enough, don 't you
> think?
>Best
> Viktor Mayer-Schoenberger
>Information Law Project
>Austrian Institute for Legal Policy
Groundfog@alpha.c2.org
( Next message: Adam Shostack: "Re: NYT on Crypto Bills"
( Previous message: Raph Levien: "List of reliable remailers"
( Next in thread: Black Unicorn: "Re: your mail"
I of 1 05.09.96 01:58