Honey Encryption: la encriptación para disuadir atacantes

2 de febrero de 2014 por Daniel Mompeán Salinas

Un nuevo enfoque sobre la encriptación para disuadir a los atacantes presentándoles datos falsos.

Ari Juels, investigador independiente que fue previamente jefe científico en la compañía de seguridad computacional RSA, piensa que algo importante se está olvidando en la criptografía para proteger nuestros datos sensibles: el engaño.

“Señuelos y engaños son herramientas de poca explotación en seguridad computacional fundamental”, dice Juels, el cuál, en compañía de Thomas Ristenpart, de la Universidad de Winsconsin, ha desarrollado un nuevo sistema de encriptación con  rasgos muy astutos.

Este sistema agrega a la encriptación de datos una capa adicional de protección sirviendo datos falsos en respuesta a cada suposición incorrecta de la contraseña o clave de cifrado. Si el atacante encontrara la contraseña correcta finalmente,  se perderá entre la multitud de datos, ya que los datos reales se mezclan con los datos falsos.

Previamente, Juels ya había trabajado con Ron Rivest (La “R” de RSA) para desarrollar un sistema llamado “Honey Words” para proteger las passwords de las bases de datos, para también rellenarlos con contraseñas falsas.

Pero este nuevo enfoque del que hablamos hoy debería ser tenido en cuenta debido a la frecuencia con la que grandes alijos de datos confidenciales cifrados suelen caer en manos indebidas. Por ejemplo, unos 150 millones de nombres de usuario y contraseña fueron tomados de los servidores de Adobe en octubre de 2013.

Encriptación

Después de capturar datos encriptados, los atacantes habitualmente usan software para, repetidamente, intentar adivinar la password o llave criptográfica usada para proteger dichos datos. El diseño convencional de los sistemas criptográficos hace fácil saber cuando un intento es bueno o no: un mal intento, produce un galimatías, es decir, un montón de datos en bruto no reconocibles a simple vista.

La aproximación de Juels y Ristenpart, conocida como “Honey Encryption”, encriptación melosa o encriptación trampa (adecuándolo al castellano), hace difícil para un atacante saber si ha adivinado la password o la llave de encriptación correctamente o no. Cuando se usa la llave errónea para desencriptar algún dato protegido por su sistema, el software de encriptación trampa o “Honey Encription” genera una parte de datos falsos que se asemeja a datos reales.

Si un atacante usa software para producir 10.000 intentos para desencriptar un número de tarjeta de crédito, por ejemplo, obtendrá 10.000 diferentes números de tarjetas de crédito falsos. “Cada encriptación se vería como plausible”. “El atacante no podrá distinguir a priori cuál es la correcta” dice Juels.

Juels y Ristenpart presentarán un documento sobre la “Honey Encryption” en la conferencia de criptografía Eurocrypt a finales de este año. Juels está también trabajando en construir un sistema basado en ello para proteger los datos almacenados por los servicios de gestión de passwords como LastPass y Dashlane. Estos servicios almacenan todas las passwords de diferentes personas en frma encriptada, protegido por una sola contraseña maestra por lo que este software puede automáticamente entrar en los sitios web.

Los gestores de contraseñas, son un objetivo apetitoso para los atacantes, dice Juels. Él cree que muchas personas utilizan una contraseña maestra insegura para proteger su colección de passwords. “La forma en la que están construidos, desalienta el uso de una contraseña segura porque tiene que estar constantemente tecleándola, así como también en un dispositivo móvil en muchos casos”.

encriptación

Juels predice que si los atacantes se apoderasen de una gran colección de bóvedas de contraseñas, probablemente podrían desbloquear muchas de ellas sin demasiados problemas adivinando la contraseña maestra, pero si esas bóvedas se protegiesen con “Honey Encryption” cada intento incorrecto de descifrar una bóveda produciría una falsa en su lugar.

Hristo Bojinov, CEO y fundador de la compañía de software para móviles Anfacto, quien ha estado previamente trabajando en el problema de proteger bóvedas de passwords como investigador de seguridad, dice que “Honey Encryption” podría ayudar a reducir su vulnerabilidad. Sin embargo, señala que no todos los tipos de datos van a poder ser protegidos de esta manera, ya que no siempre es posible conocer los datos cifrados en detalle suficientemente como para producir datos falsos creíbles sobre ellos. “No todos los sistemas de cifrado o autenticación se rendirán a ser “Honeizados”.

Juels está de acuerdo con esta afirmación, pero está convencido de que, por ahora, suficientes vertidos de contraseñas han sido filtrados online para hacer posible la creación de falsificaciones que imiten con gran precisión colecciones de contraseñas reales. Él está trabajando en crear el generador de contraseñas de bóveda falsas necesario para que la “Honey Encryption” sea usada para proteger los gestores de contraseñas. Este generador se basará en los datos de una pequeña colección de bóvedas de gestores de contraseñas filtradas, varias colecciones grandes de contraseñas filtradas y un modelo del uso real de contraseñas construido en un poderoso “crackeador” de contraseñas

Fuente: MIT Technology Review

Leave A Response