Boletn del Criptonomicn
Ao I, n 26
4 de noviembre de 1998

******************************************
Susurros desde la Cripta
  1. La criptografa y la prensa

Las noticias de la semana:
  2. Hacienda crea el primer centro operativo contra la delincuencia en
Internet
  3. Directiva sobre la proteccin jurdica de las bases de datos

Candados, cortafros y otras herramientas
  4. Kremlin

Parada y fonda
  5. Parches y componendas para NT

Consejos y trucos
  6. Passwords fuertes en NT

Hablan los expertos
  7. Esquemas umbrales

Formacin
  8. Curso de Seguridad en el CSIC

Comentarios de los lectores
  9. Qu es marketing abusivo?

Sobre el boletn del Criptonomicn
  10. Informacin sobre suscripcin y cmo borrarse
  11. Nmeros atrasados

******************************************
Susurros desde la cripta

******************************************
1. La criptografa y la prensa

El 25 de octubre se public en El Pas y El Pas Digital un artculo
titulado "Espaa limita mucho el empleo de lenguajes secretos en
Internet", y creemos que diversas afirmaciones hechas en dicho
artculo merecen un comentario. No queremos criticar la exposicin que
se hace sobre la situacin legal de la criptografa, ya que explica
con claridad las consecuencias que se pueden derivar del artculo 52
de la Ley General de Telecomunicaciones. Sin embargo, el texto
contina en un tono que
consideramos dudoso en un artculo de prensa si pretende pasar por
objetivo y no ser tachado de sensacionalista o poco documentado.

As, nos encontramos ante frases como "El programa PGP... y que
emplean grupos terroristas", haciendo afirmaciones que pueden resultar
muy espectaculares, pero que una vez ms son sesgadas y tergiversan la
realidad de Internet. Como los suscriptores de free-noticias, y todo
aquel que visite nuestro web sabrn, el mencionado programa PGP es un
software criptogrfico que permite la encriptacin del correo
electrnico, consiguiendo as un objetivo tan interesante como que
nuestro correo slo pueda ser ledo por el destinatario, y no por
terceras personas, protegiendo as nuestra intimidad. Su equivalente
en el mundo fsico vendra a ser el sobre que usamos para proteger
nuestras cartas. Por tanto, es un programa que puede que sea usado por
organizaciones terroristas... pero tambin por profesores,
estudiantes, periodistas, ingenieros, artistas, jvenes, mayores... En
definitiva, por cualquier usuario de Internet que quiera proteger su
privacidad, derecho
reconocido en nuestra Constitucin. Es de suponer que si El Pas
escribiera en un artculo que dedicara a Correos "Los paquetes
postales, que van cerrados sin poder ver qu contienen, y son
utilizados por terroristas...", se dira que El Pas ha escrito un
artculo sensacionalista y sesgado. Es curioso como no se aplica el
mismo rasero a Internet.

El siguiente prrafo tambin merece un comentario muy crtico por el
tratamiento dado a la "estedanografa". En realidad, el trmino
correcto es esteganografa, tomado directamente del ingls
steganography. Queremos comentar que el ejemplo puesto sobre un
mafioso ucraniano, es posible que quede muy bien en el argumento de
una pelcula de espas... pero por lo dems no se ajusta muy bien a la
realidad. Es curioso cmo se ha recurrido tendenciosamente a ese nico
ejemplo, y sin embargo no se ha
comentado la utilidad que puede tener la esteganografa para un
disidente poltico, al permitirle burlar la censura impuesta por un
rgimen totalitario. O cmo puede facilitar las denuncias annimas en
casos en los que el testigo puede estar en peligro, como los
relacionados con el narcotrfico.

En definitiva, la impresin que acaba dejando el artculo es la de que
Internet es un nido de terroristas y delincuentes que amenaza al
ciudadano medio. En ningn momento se habla en el artculo de la
necesidad de proteger la privacidad en Internet, de cmo la
criptografa fuerte y no regulada es el nico medio para conseguirlo,
de cmo tambin es fundamental para el desarrollo del comercio
electrnico... nicamente se da esa impresin que una y otra vez
quieren dar los medios tradicionales sobre Internet, no sabemos si
para ganar audiencia o por ignorancia.

As pues, rogamos encarecidamente el empleo de un tono ms objetivo en
el tratamiento de las noticias relacionadas con la criptografa e
Internet.

(Reproducido con permiso de FrEE (http://www.arnal.es/free), a partir de un
correo enviado a sus suscriptores el da 2 de noviembre de 1998)

******************************************
Las noticias de la semana

******************************************
2. Hacienda crea el primer centro operativo contra la delincuencia en
Internet

Centro de Competencia de Lucha contra la Ciberdelincuencia. Con esta
denominacin, la Agencia Tributaria ha dispuesto un operativo de
investigacin especializado en detectar el blanqueo internacional de
capitales a travs de las operaciones instantneas en Internet. El
Departamento de Aduanas e Impuestos Especiales anunci ayer que en enero se
estrenar en Baleares este nuevo servicio, creado para afrontar,
especialmente, las actividades de grupos criminales que se infiltran en la
red informtica global para ocultar mejor sus comunicaciones y puntos de
venta.

Al margen del pirateo de programas y el asalto a servicios en la red cuya
propiedad intelectual est protegida, Hacienda sospecha que Internet est
siendo utilizada por las grandes bandas de trfico de estupefacientes en sus
comunicaciones internas secretas, bien para la compra de droga o la fijacin
de rutas.

El trasiego informtico y a gran escala de fondos opacos -el dinero negro
electrnico- est orientado hacia la ocultacin de capitales en parasos
fiscales y pequeos pases de conveniencia, segn constatan los responsables
de Aduanas. Baleares, segn la Agencia Tributaria, es un punto neurlgico
donde recalan y actan sumergidos grupos dedicados a las inversiones y
operaciones financieras centradas en blanquear o camuflar dinero ilcito o
desconocido para el fisco. El complejo negocio inmobiliario y las aceleradas
inversiones tursticas abren cauces al posible fraude y a los rebotes sin
fin de capitales financieros en sociedades mercantiles radicada en parasos
fiscales.

El Gobierno destinar 1.000 millones de pesetas, sobre un presupuesto global
de inversin en el Servicio de Aduanas de 2.300 millones, para la
persecucin de los delitos fiscales y de narcotrfico en Internet. Los
soportes y programas informticos para rastrear la red desde el nuevo centro
de Palma requieren una dotacin de 150 millones de pesetas.

La Organizacin Mundial de Aduanas -cuya rama latinoamericana celebra una
cumbre en Palma de Mallorca en la que hoy intervendr el vicepresidente del
Gobierno Rodrigo Rato- sita como principal prioridad para 1999 la lucha
contra la ciberdelincuencia. Francisco Javier Goizueta, director de Aduanas,
asegur que las islas Baleares ya no son una plataforma para el contrabando
de tabaco.

(Noticia publicada en El Pas, el 3 de noviembre de 1998)

******************************************
3. Directiva sobre la proteccin jurdica de las bases de datos

Como ya se coment en el boletn 24, la privacidad constituye una de las
mayores preocupaciones a la hora de navegar por Internet y hacer compras
electrnicas. Aunque con retraso respecto del desarrollo de la tecnologa
Web y de las nuevas amenazas y formas de picaresca y delito que deja
abiertas, los gobiernos europeos estn realizando un esfuerzo importante por
legislar en temas tan polmicos y delicados como el uso que las casas
comerciales puedan hacer con los datos personales que recopilen acerca de
los usuarios de Internet.

Esta directiva, relativa a la proteccin de las personas fsicas en lo que
respecta al tratamiento de datos personales y a la libre circulacin de
estos datos (Directiva 95/46/CE del Parlamento Europeo y del Consejo de
24-10-1995), tiene por objeto proporcionar al consumidor mayor control sobre
sus datos personales. El problema de fondo es que choca con las regulaciones
vigentes en USA y sus propias formas de hacer negocio y tratar los datos
personales. Crees que debera regularse esta actividad desde el gobierno o
algn organismo estatal o bien que deberan ser las propias empresas las que
se autorregulasen, al estilo de lo que se viene haciendo en USA (con poco
xito, bien es verdad)? Enva tus respuestas por correo a
gonzalo@iec.csic.es.

Los interesados podis obtener la directiva de las pginas del proyecto
Info2000 en:

http://www.info2000.csic.es/midas-net/docs/prtdatos/prtdatos.htm

Para ms informacin sobre las implicaciones que esta directiva conlleva en
relacin con USA, podis consultar los siguientes artculos:

http://www.wired.com/news/news/business/story/15779.html
http://www.wired.com/news/news/business/story/15671.html

******************************************
Candados, cortafros y otras herramientas

******************************************
4. Kremlin

Todos sabemos que Windows no se dise con la seguridad en mente.
Desgraciadamente, cuando la mayor parte de la poblacin lo usa, surge a
menudo la necesidad de restringir el acceso a ciertas reas del disco o
ficheros determinados, el requisito a veces crtico de impedir la
recuperacin de datos borrados o simplemente el deseo de no dejar rastros de
lo que hemos estado haciendo a lo largo de una sesin de trabajo.

Kremlin constituye una valiosa herramienta para cifrar los contenidos de tu
disco duro y borrar a conciencia datos sensibles, eliminar rastros de
actividades y mucho ms. Puedes descargar una versin de evaluacin en:

http://www.mach5.com/kremlin.html

******************************************
Parada y fonda

******************************************
5. Parches y componendas para NT

Pgina mantenida por Russ Cooper sobre los parches, Service Packs y fixes
para NT. De incalculable valor para administradores de redes NT.

http://ntbugtraq.ntadvice.com/ntfixes.asp

******************************************
Consejos y trucos

******************************************
6. Passwords fuertes en NT

Pregunta: Cul es el eslabn ms dbil de la cadena de seguridad en
sistemas informticos?

Respuesta: El usuario final.

Dale a un usuario la oportunidad de elegir libremente su password e
inventar palabras de paso como juan98 (se llama Juan, claro) o leire93 (su
mujer y el ao de su boda). Con esa clase de passwords, las medidas de
seguridad ms extremas a menudo no sirven de nada.

Windows NT 4.0 Service Pack 2 incluye una nueva DLL (Passfilt.dll) que
permite obligar que los usuarios introduzcan passwords fuertes, al
incorporar la siguiente poltica:

1. Los passwords deben tener una longitud mnima de 6 caracteres.

2. Los passwords deben contener caracteres de al menos tres de las
siguientes cuatro clases:
    a) Letras maysculas
    b) Letras minsculas
    c) Nmeros
    d) Caracteres especiales no alfanumricos, como signos de puntuacin

3. Los passwords no podrn contener el nombre de usuario ni otra parte del
nombre completo del usuario.

Para ms informacin e instrucciones de instalacin se puede consultar la
pgina de Microsoft:

http://support.microsoft.com/support/kb/articles/q161/9/90.asp

(Nota: para consultar esa pgina antes hay que registrarse en el servicio de
soporte de Microsoft, gratuitamente)

******************************************
Hablan los expertos

******************************************
7. Esquemas umbrales

Esta semana contamos con la colaboracin de Luis Hernndez Encinas
(http://www.usal.es/usuarios/encinas), Doctor en Ciencias Matemticas de la
Universidad de Salamanca y co-autor del libro Tcnicas Criptogrficas de
proteccin de datos, de la editorial Ra-Ma
(http://www.iec.csic.es/Libros.html#tcpd). Ha escrito en exclusiva para el
Criptonomicn un artculo sobre los esquemas umbrales, de utilidad cuando se
desea compartir un secreto entre varias personas, sin que ninguna de ellas
lo conozca por completo.

ESQUEMAS UMBRALES

En determinadas ocasiones una instancia superior o director no desea que
determinado secreto sea conocido en su integridad por una nica persona.
Entonces, el director divide el secreto en varias partes o sombras, de tal
forma que para recuperar el secreto en su totalidad sea necesario el
concurso de terminado nmero de partes, siendo imposible recuperarlo con
menos partes de las establecidas.

Una situacin en la que se puede presentar el problema anterior es la
siguiente: una sucursal bancaria tiene 3 empleados, pero ninguno de ellos
quiere tener toda la responsabilidad de conocer la combinacin de la caja
fuerte de la sucursal. El problema que se presenta es cmo lograr que cada
maana se abra la caja fuerte del banco para hacer los pagos necesarios, sin
que la responsabilidad recaiga en un nico empleado.

Una forma de solventar este problema, de modo que la caja fuerte pueda ser
abierta cada maana, consiste en dividir la combinacin de la caja en tres
partes, una para cada empleado, de modo que sta slo pueda ser abierta
cuando se unan las combinaciones parciales de, al menos, 2 de los empleados.

Los problemas similares al planteado anteriormente se conocen como esquemas
umbrales m de n (el problema anterior del banco se conoce como esquema
umbral 2 de 3, dado que la combinacin de la caja se divide en 3 partes y es
necesario reunir, al menos, 2 de ellas para poder abrirla). Los esquemas
umbrales tienen dos valores que los definen: el nmero de personas
necesarias para obtener el secreto (m) y el nmero de participantes (n).

En general, un esquema umbral para dividir el secreto S, en m partes
(llamadas sombras) y en el que hay n participantes, debe cumplir las
siguientes condiciones:

1. Cada participante recibe de forma secreta una sombra de las n en que se
ha dividido el secreto.

2. Cualesquiera m participantes pueden determinar el valor del secreto sin
ms que compartir las sombras que cada uno de ellos posee.

3. Ningn grupo de m-1 participantes, o menos, puede conocer ninguna
informacin sobre el valor secreto.

En estos esquemas el director lleva a cabo el proceso de dividir el secreto
en las n sombras y entrega, secretamente, cada una de las sombras a cada uno
de los participantes.

Para conocer cmo trabajan los esquemas umbrales, vamos a presentar un
ejemplo de cmo construir un esquema umbral 2 de 2, donde el secreto es una
cadena de bits. En este caso, el secreto debe romperse en 2 sombras, de modo
que cada una de ellas estar formada por una coleccin de bits, y ser
necesaria la colaboracin de las dos partes para recuperar el secreto
original.

Supongamos que el secreto elegido por el Director es la siguiente cadena de
bits: S=(01001010). El director elabora la primera de las sombras de forma
aleatoria: s1=(11001101). Para construir la segunda sombra, el director
utiliza la siguiente tabla de sumar:

0 + 0 = 0, 0 + 1 = 1, 1 + 0 = 1 y 1 + 1 = 0 (la tabla de sumar mdulo 2).

Como se cumple que:

0 + 1 = 1, 1 + 1 = 0, 0 + 0 = 0, 0 + 0 = 0, 1 + 1 = 0, 0 + 1 = 1, 1 + 0 = 1
y 0 + 1 = 1,

la segunda sombra es: s2=(10000111).

Para recuperar el secreto, basta con que los dos participantes pongan en
comn sus dos sombras y las sumen, bit a bit:

1 + 1 = 0, 1 + 0 = 1, 0 + 0 = 0, 0 + 0 = 0, 1 + 0 = 1, 1 + 1 = 0, 0 + 1 = 1
y 1 + 1 = 0,

lo que proporciona el valor secreto original: S=(01001010).

Si uno de los participantes quisiera recuperar el secreto original
utilizando slo su sombra, debera suponer cul es la sombra del otro
participante. Para ello necesitara probar, en el ejemplo anterior, un total
de 2^7 = 128 posibilidades (dos valores, 0 y 1, a colocar en 7 posiciones),
lo cual debera empujarle a desistir de tal intento.

El ejemplo del esquema umbral anterior puede extenderse a esquemas ms
generales, del tipo 2 de n y del tipo m de n, pero en este caso las bases
matemticas necesarias son un poco ms complejas y no sern comentadas aqu.

******************************************
Formacin

******************************************
8. Curso de Seguridad en Internet e Intranet

El Departamento de Tratamiento de la Informacin y Codificacin del
Instituto de Fsica Aplicada del CSIC anuncia que impartir un curso abierto
al pblico sobre Seguridad en Internet e Intranet durante los prximos das
13 a 15 de enero de 1999.

Todos aquellos interesados en asistir fsicamente al mismo (no es un curso a
travs de Internet ni por vdeo conferencia ni ningn otro medio remoto y
tampoco estar disponible en Internet ni por correo electrnico), pueden
consultar la informacin ms detallada sobre el programa, lugar y precio de
la matrcula en la pgina:

http://www.iec.csic.es/curso/curso.html

No se conceden becas para el mismo, aunque se contemplan cursos especiales
para empresas y grupos con intereses especficos.

Para informarse sobre condiciones de pago y fechas de matriculacin, no
olviden pasarse por la pgina:

http://www.iec.csic.es/curso/inscrip.html

******************************************
Comentarios de los lectores

******************************************
9. Qu es marketing abusivo?

En este email, te quera hablar un poco (y compartir tu opinin) sobre
un tema que has incluido en el boletn 24:

En el tema 5, (Impacto social en Internet) me ha llamado mucho la
atencin una frase:

"No se rechaza la publicidad en el Web o en el e-mail siempre que se
realice de forma abierta y que no se practique el marketing abusivo."

Me parece bien la idea global, pero... cuando se refiere a marketing
abusivo, de qu estamos hablando.
Me explico, yo como usuario de Internet e Intranets tengo muy clara la
idea de lo que es marketing abusivo, pero esta idea contrasta con la de
una empresa que se dedica a realizar publicidad en la red.
Acaso hay unas reglas que prohiban un marketing abusivo? y si es as,
quien o que organizacin lo mide?
Me refiero a los distintos puntos de vista existentes. Para mi el nivel
abusivo es hasta una altura y para otra persona (o empresa) es ms alto
o ms bajo.
En este caso debera haber una organizacin que midiera Internet; pero
si hablamos de esto donde est la idea de todos los internautas que
quieren el anarquismo en Internet?
Como se ha podido comprobar, los humanos no somos capaces de regular las
acciones morales por Internet, como vamos a instaurar un anarquismo en
Internet?
Por otro lado, estuve pensando en las pginas pornogrficas.
Es increble el sistema de seguridad que se ha creado a partir de las
entradas de menores a paginas Web "indecentes". Es sorprendente la
cantidad de veces que hemos odo en los noticieros "temas" sobre la
pornografa en Internet y los mtodos para vetar la entrada a menores. Y
cuantas veces hemos odo noticias sobre problemas de seguridad en
Internet? Y sobre las empresas que con su afn de ser la primera en
sacar un estndar pasan de realizar controles de seguridad en sus
programas? Es ms importante el que unos nios con ansia de aprender lo
que es el sexo o ver unas chicas desnudas, que la seguridad en la red
(que implica empresas y miles de millones de pesetas)?

Vamos hombre... dnde estamos viviendo?

(Diego Marcos Camarasa de I+D Dev., Nuevas Tcnicas de Comunicacin S.R.L.)

Podis responder escribiendo a la direccin gonzalo@iec.csic.es.

******************************************
Sobre el boletn del Criptonomicn

******************************************
10. Informacin sobre suscripcin y cmo borrarse

Para borrarse de este servicio basta con enviar un correo a la direccin
cripto-request@iec.csic.es con el siguiente mensaje (sin asunto o
"subject"):

leave

desde la misma cuenta de correo en la que recibs el boletn.

Tenis ms informacin y nmeros atrasados en la pgina

http://www.iec.csic.es/criptonomicon/suscripcion.html

******************************************
11. Nmeros atrasados

Podis encontrar los nmeros atrasados del boletn en:

http://www.iec.csic.es/criptonomicon/suscripcion.html

Se pueden recuperar todos en formato ZIP o de uno en uno.

******************************************
(C) Copyright 1998 Criptonomicn
http://www.iec.csic.es/criptonomicon

Un servicio ofrecido libremente desde el Instituto de Fsica Aplicada del
CSIC por Gonzalo lvarez Maran
email: gonzalo@iec.csic.es
