MIT: "el cifrado tiene más debilidades de las que se piensa"


Un grupo de investigadores del MIT y la Universidad de Irlanda ha presentado un documento "Brute force searching, the typical set and Guessword" [PDF] que muestra que una de las hipótesis más importantes en la criptografía es incorrecta. Como resultado, algunos métodos de cifrado se podrían romper más fácil de lo que se pensaba.

Médard explica "El problema es que la teoría de la información generalmente usa una noción equivocada de la entropía de Shannon" -en honor al fundador de la teoría de la información de Claude Shannon, quien enseñó en el MIT desde 1956-1978-. La entropía de Shannon se basa en la probabilidad de que una secuencia dada de bits aparecerá en un tipo particular de archivo. En un sistema de comunicaciones de propósito general, esta asunción es correcta, debido a que las características del tráfico de datos convergen rápidamente en promedios estadísticos.

Pero, en criptografía, la preocupación real no es el caso de la media, sino el peor de los casos. Un atacante sólo necesita una correlación fiable entre las versiones del archivo cifrado y del no cifrado para empezar a deducir nuevas correlaciones.

En los años que han pasado desde el paper de Shannon, los teóricos de la información han desarrollado otras nociones de entropía, algunas de las cuales dan mayor peso a los resultados improbables y que ofrecen una imagen más precisa del problema de los codebreackers. Cuando Médard, Duffy y sus estudiantes usaron estas medidas alternativas encontraron pequeñas desviaciones de la uniformidad perfecta. El resultado es que se pueden adivinar algunas correlaciones entre el texto cifrado y el no cifrado, lo que haría avanzar mucho más rápido en este tipo de análisis en criptografía.

Fuente: Segu-Info

Comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Explotan el día cero de la VPN de Fortinet para robar credenciales

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS