Criptografía

---

¿Por qué Incluimos Criptografía?

En dos palabras: porque podemos.

El proyecto OpenBSD está ubicado en Canadá.

La Lista sobre Controles a la Exportación de Canadá no impone ninguna restricción significativa a la exportación de software criptográfico, y es incluso más explícita sobre la exportación de software de libre disponibilidad. Marc Plumb ha hecho un estudio para comprobar las leyes sobre criptografía.

Por tanto el proyecto OpenBSD ha integrado criptografía en muchas partes del sistema operativo. Una condición «sine qua non» que exigimos del software criptográfico que usamos es que sea de dominio público y licencias decentes. No hacemos uso directo de criptografía con patentes restrictivas. También exigimos que provenga de países con leyes sobre la exportación útiles, ya que no deseamos quebrantar las leyes de ningún país. Los componentes criptográficos que usamos hoy en día fueron escritos en Argentina, Australia, Canadá, Alemania, Grecia, Noruega, y Suecia.

Cuando creamos revisiones de las versiones de OpenBSD o "snapshots" construimos los binarios para éstas en países libres, para asegurarnos de que los fuentes y binarios que ponemos a disposición de los usuarios están libres de toda sospecha. En el pasado hemos compilado nuestras versiones de binarios en Canadá, Suecia y Alemania.

OpenBSD sale con Kerberos IV incluido. El código base que usamos es el de la versión exportable de Suecia, basada en KTH. Nuestros fuentes del entorno gráfico X11 han sido ampliados para el uso de Kerberos IV. Soporte para Kerberos V aparecerá en 2.000; pero de momento no existe una versión exportable y libre de Kerberos V.

OpenBSD fue el primer sistema operativo que incluía IPSEC. Hemos incluido IPSEC desde el lanzamiento de OpenBSD 2.1 en 1.997. Nuestra implementación de IPSEC integrada en el núcleo, con aceleración de hardware basada en una variedad de tarjetas, y nuestro dæmon libre ISAKMP, se usa como una de las máquinas para las pruebas de conformidad de IPSEC realizadas por VPNC.

La criptografía es hoy un importante medio para mejorar la seguridad en un sistema operativo. La criptografía que se usa en OpenBSD se puede clasificar según varios aspectos, descritos a continuación.

OpenSSH

¿Qué es lo que la mayor parte de los usuarios hacen después de instalar OpenBSD? Instalar Secure Shell (ssh(1)) del árbol de portes o de los paquetes conseguidos por FTP. Hasta ahora así ha sido.

Desde el lanzamiento de la versión 2.6, OpenBSD contiene OpenSSH, una versión de ssh totalmente libre y sin los gravámenes de patentes. OpenSSH interaccionaba con la versión 1 de ssh y además añadía muchas características:

• todos los componentes de naturaleza restrictiva (o sea, patentes (ver ssl(3)) habían sido eliminados de forma directa del código fuente; cualquier componente bajo licencia o patentado usaba bibliotecas externas;
• había sido actualizado para dar soporte al protocolo 1.5 de ssh;
• contenía además soporte para autenticación y pases de tickets con kerberos(1);
• incluía soporte para autenticación con «contraseña de uso de una sola vez» ("one-time password") con skey(1).

De forma escueta, en OpenBSD tomamos una versión con licencia libre de ssh y la hicimos al estilo OpenBSD. La patente para los EE.UU. de RSA la evitamos ofreciendo un método fácil para descargar e instalar un paquete con RSA activado, que contenga versiones de las bibliotecas compartidas de libcrypto y libssl. Estos paquetes están basados en OpenSSL(1). Las personas que vivan fuera de los EE.UU. pueden usar con total libertad el código patentado de RSA, mientras que aquellas personas que vivan dentro de los EE.UU. lo pueden usar con libertad siempre y cuando no sea con fines lucrativos. Parece ser que las compañías (no individuos) dentro de los EE.UU. también pueden usar las bibliotecas de RSA, siempre y cuando no sea con fines lucrativos.

De este modo casi todos obtendrán ssh integrado en sus sistemas operativos.

ˇNUEVO! OpenSSH incluye soporte para el protocolo 2.0!

Recientemente, hemos extendido OpenSSH para que también tenga use el protocolo SSH 2. Disponer de un dæmon ssh que pueda usar los tres protocolos principales de SSH (1.3, 1.5, 2.0) nos permite una mayor flexibilidad. El protocolo 2.0 no usa RSA para su criptografía de clave pública, y en su lugar usa los algoritmos DH y DSA. En OpenBSD 2.7 (que incluirá el nuevo OpenSSH) dispone de soporte para el protocolo 2.0 «¡tal y como sale de fábrica!» Si desea también soporte para los protocolos 1.3 y 1.5, no tiene más que añadir el paquete RSA (como se describe en nuestra página de manual de ssl) y reiniciar el dæmon.

Generadores de Números Pseudoaleatorios

Un generador de números pseudoaleatorios (PRNG - Pseudo Random Number Generator) provee a las aplicaciones con una fuente de números que tienen ciertas propiedades importantes para la seguridad del sistema:

• Debería ser imposible que un extraño pudiera predecir la salida del generador de números aleatorios, incluso si conoce la salida anterior.
• Los números generados no deberían tener patrones que se repitieran, lo que quiere decir que el PRNG debería tener una longitud de ciclo muy larga.

Un PRNG es por lo general un algoritmo en el que los mismos valores iniciales producirán las misma secuencia de salidas. En un sistema operativo multiusuario existen muchos recursos que permiten alimentar el PRNG con datos aleatorios. El núcleo de OpenBSD usa el interruptor de tiempo del ratón, las señales de interrupción de datos de la red, las señales producidas entre diferentes pulsaciones de teclado y la información de E/S del disco, para alimentar la entropía. Los números aleatorios están disponibles para las rutinas del núcleo y se exportan mediante dispositivos a programas en los directorios de usuarios.

Hasta ahora, los números aleatorios se usan en las siguientes partes:

• Asignación dinámica de sin_port en bind(2).
• PIDs de procesos.
• IDs de datagramas de IP.
• IDs de transacción de RPC (XID).
• IDs de transacción de NFS RPC (XID).
• IDs de requerimiento de DNS.
• Números de generación de I-nodos (ver getfh(2) y fsirand(8)).
• Perturbaciones de tiempo en traceroute(8).
• Nombres temporales más robustos para mktemp(3) y mkstemp(3).
• Aleatoriedad añadida al valor TCP ISS para la protección contra ataques de «falseación de direcciones » ("spoofing").
• Relleno aleatorio en los paquetes esp_old de IPSEC.
• Generación de «sales» para los varios algoritmos de las contraseñas.
• Generación de retos S/Key falsos.
• En photurisd y isakmpd(8), proveer pruebas vivas de intercambios de claves.

Funciones de Hash Criptográficas

Una Función de "Hash" comprime sus datos de entrada en una cadena de tamaño constante. Para una Función "Hash" Criptográfica no es factible encontrar:

• dos entradas que tengan la misma salida (resistencia a la colisión);
• una entrada diferente para una entrada dada con la misma salida (resistencia a 2a preimagen).

MD5, SHA1 y RIPEMD-160, se usan en OpenBSD como Funciones de "Hash" Criptográficas, v.g.:

• En S/Key para proveer contraseñas de uso de una sola vez.
• En IPsec(4), photurisd e isakmpd(8) para autenticar el origen de los datos de los paquetes y asegurar la integridad de los paquetes.
• Para las contraseñas MD5 de estilo FreeBSD (no activadas por definición), ver options(4)
• Para soporte de "cookies" TCP SYN (no activado por definición), ver options(4)
• En libssl para la firma digital en los mensajes.

Transformaciones Criptográficas

Las Transformaciones Criptográficas se usan para cifrar y descifrar datos. Éstas son comúnmente utilizadas con una clave de cifrado para cifrar datos y con una clave de descifrar para descifrarlos. La seguridad de una Transformación Criptográfica debería descansar sólo en el material de la clave.

OpenBSD provee transformaciones como DES, 3DES, Blowfish y Cast para el núcleo del sistema y los programas en directorios de usuario, y se usan en muchas partes, como por ejemplo:

• En libc para crear contraseñas con Blowfish(3). Ver también las ponencias de USENIX sobre este tema.
• En IPsec(4) para proveer confidencialidad en la red.
• En Kerberos y unas cuantas aplicaciones «kerberizadas», como telnet(1), cvs(1), rsh(1), rcp(1) y rlogin(1).
• En photurisd e isakmpd(8) para proteger los intercambios en los que se negocie material de clave IPsec.
• En AFS para proteger los mensajes que pasan por la red, dando confidencialidad para el acceso remoto a los sistemas de archivos.
• En libssl para dejar que las aplicaciones se comuniquen mediante el protocolo «de facto» criptográficamente seguro, SSL.

Soporte para Hardware Criptográfico

A partir de la versión 2.7 de OpenBSD se ha empezado a añadir soporte para hardware criptográfico, como aceleradores de cifrado y generadores de números aleatorios.

• IPSEC crypto dequeue
  Hemos modificado IPSEC para poder implementar algunas funciones criptográficas. La mayor parte del software de IPSEC necesita usar criptografía para procesar cada paquete, lo que requiere cierta sincronización. Para usar el hardware de un modo correcto y rápido, es necesario separar estos dos componentes, como hemos hecho nosotros. De este modo se mejoran incluso los resultados obtenidos del software.

• HiFn 7751
  Las tarjetas que usen HiFn 7751 se pueden utilizar como aceleradoras de criptografía simétrica (o sea, PowerCrypt). Con el uso de una Hifn 7751 en cada extremo de un tunel se obtienen unos resultados de 63Mbits por segundo para 3DES/SHA1 ESP, una mejoría de casi un 600% en una CPU P3/550. Estamos trabajando para mejorar unos cuantos puntos, pero desde el 13 de abril de 2.000, el código se considera ya estable. Hemos desarrollado nuestro propio dispositivo para el soporte de este chip, en lugar de usar el dispositivo de powercrypt (desarrollado en los EE.UU.), así como nuestros enlaces del dispositivo con IPSEC.

  El 7751 está actualmente considerado como lento de acuerdo con las normativas de la industria, y muchos distribuidores disponen de chips más veloces (en la actualidad, incluso el HiFn tiene un chip más veloz aunque más caro). El rendimiento máximo con 3DES SHA1 ESP es de unos 63Mbit/seg.

  (Como nota aparte, HiFn es una compañía con la que ha sido difícil tratar; incluso llegaron a amenazarnos con llevarnos a juicio por haber aplicado ingeniería inversa en su algoritmo de desbloqueo criptológico).

• Hifn 6500
  Este dispositivo es una unidad de criptogr´fica asimétrica. Contiene soporte para los algoritmos RSA, DSA, y DH, así como para otras funciones principales de c´lculo. También contiene un generador de números aleatorios de alto rendimiento. Disponemos de uno de estos dispositivos, toda la documentación necesaria, y código de muestra. El desarrollo todavía no ha comenzado.

• Broadcom BCM5805 (o el chip beta Bluesteelnet 5501)
  Inmediatamente después del lanzamiento de OpenBSD 2.7, conseguimos añadir el soporte para las primeras piezas que nos dio el fabricante, en concreto empezamos con el 5501. Estos dispositivos ofrecen el rendimiento criptográfico más alto que hemos visto.

  Bluesteelnet fue adquirida por Broadcom y comenzó a fabricar piezas reales. Su nuevo BCM5805 es parecido, con la excepción de que también le han añadido un artefacto asimétrico para el funcionamiento de DSA, RSA, y otros algoritmos parecidos. Con un rendimiento inicial aproximado de una velocidad más de cuatro veces superior a la del HiFn, esperamos que este procesador se popularice muy pronto.

  El trato con la gente de Broadcom/Bluesteelnet ha sido exquisito. Nos entregaron la documentación completa y código de muestra de sus procesadores, y una cantidad de tarjetas suficiente para hacer pruebas.

• Pijnenburg PCC-ISES
  El PCC-ISES es un nuevo chipset de los Países Bajos. Hemos recibido muestras del hardware y documentación, por lo que empezaremos pronto a trabajar para desarrollar el soporte de éstos.

• SafeNet 2141
  Hemos recibido documentación y muestras de las tarjetas criptográficas de SafeNet. Ya hemos empezado a trabajar para desarrollar, como mínimo, el soporte de la criptografía simétrica de estos dispositivos.

• 3com 3c990
  3com todavía no entiende el beneficio que podrían obtener si nos dieran la documentación para sus tarjetas criptográficas, así que le invitamos a contactar con ellos por su propia cuenta para animarles a hacerlo. Tuvimos unas cuantas conversaciones con ellos, pero las personas con las que hablamos cambiaron de parecer. Lo hemos dejado por imposible, ya que es una pérdida de tiempo.

• Tarjeta Intel IPSEC
  Al igual que 3COM, Intel se ha negado a darnos documentación. Hemos tenido conversaciones con unas cinco técnicos que participan en el desarrollo de esos productos. Todos ellos querían que pudiéramos disponer de la documentación necesaria. Pero están atados de manos por unos gestores que no alcanzan a entender qué beneficio podrían obtener dándonos documentación.

• Intel 82802AB/82802AC Firmware Hub RNG
  El chip 82802 (que se encuentra en las placas base i810, i820 e i840) contiene un generador de números aleatorios (RNG). Para IPSEC de alto rendimiento se requiere más entropía de números aleatorios. Desde el 10 de abril de 2.000, disponemos de soporte para el RNG. Añadiremos más soporte para otros RNGs que se encuentran en chips criptográficos.

• OpenSSL
  Tenemos esquemas para el soporte de tarjetas criptográficas que pueden funcionar con RSA o DSA, y exportar las funciones de todas las tarjetas criptográficas a OpenSSL para que los programas de modo usuario (o sea, ssh, apache https, etc...) puedan beneficiarse de ello.

Si alguna persona quiere ayudarnos programando controladores, puede unirse a nosotros.

Se Buscan Criptógrafos Internacionales

Nuestro proyecto necesita personas que trabajen en estos sistemas. Si algún criptógrafo, que no sea estadounidense y que cumpla los requisitos que se han enumerado en esta página, está interesado en ayudar con criptografía integrada en OpenBSD, por favor contacte con nosotros.

Otros Textos

Los miembros del equipo de OpenBSD han escrito unas cuantas ponencias sobre los cambios en criptografía que ellos han aplicado a OpenBSD. Las versiones en postscript de estos documentos estan disponibles como sigue.

• A Future-Adaptable Password Scheme.
  Usenix 1999, por Niels Provos, David Mazieres.
  ponencia y diapositivas.

• Cryptography in OpenBSD: An Overview.
  Usenix 1999, por Theo de Raadt, Niklas Hallqvist, Artur Grabowski, Angelos D. Keromytis, Niels Provos.
  ponencia y diapositivas.

• Implementing Internet Key Exchange (IKE).
  Usenix 2000, por Niklas Hallqvist y Angelos D. Keromytis.
  ponencia y diapositivas.

• Encrypting Virtual Memory
  Usenix Security 2000, Niels Provos.
  ponencia y diapositivas.