NSA y el IETF: ¿pueden los atacantes comprar la estandarización de un cifrado debilitado?

 (blog.cr.yp.to)
2 puntos por GN⁺ 2025-10-06 | 1 comentarios | Compartir por WhatsApp
  • Organismos de vigilancia como la NSA y GCHQ están impulsando un debilitamiento de la estandarización, pasando del cifrado dual existente ECC+PQ al cifrado único PQ
  • Estos cambios están vinculados con los procedimientos internos de organismos de estandarización como el grupo de trabajo TLS del IETF, los presupuestos militares y los requisitos de compra de grandes empresas
  • Muchos expertos en seguridad y personas en campo enfatizan que mantener el cifrado dual es la opción de sentido común al considerar amenazas reales y la posibilidad de fallas
  • En torno a la adopción de un estándar de PQ único también surgieron graves problemas de procedimiento, como requisitos legales y procesales, la definición de consenso y una atención deficiente a las objeciones
  • El poder de compra y la influencia de algunas organizaciones como la NSA terminan normalizando estándares débiles y aumentando el riesgo en todo el ecosistema de seguridad

Introducción: la necesidad del enfoque de cifrado dual (híbrido) y su contexto realista

  • El cifrado poscuántico (PQ) se está introduciendo como una capa adicional de seguridad sobre el cifrado existente basado en ECC
  • Ejemplos: Google CECPQ1 (ECC tradicional X25519 + PQ NewHope1024), CECPQ2 (ECC+NTRUHRSS701), CECPQ2b (ECC+SIKEp434)
  • En navegadores recientes, más de la mitad según Cloudflare usa PQ, y la mayoría lo aplica de forma simultánea con ECC (doble capa)
  • Aunque PQ sea fuerte en teoría, pueden aparecer nuevas vulnerabilidades o colapsos de algoritmos, y de hecho ya hubo problemas como el colapso público de SIKE
  • El cifrado dual funciona como un cinturón de seguridad en un automóvil: un amortiguador práctico para prepararse ante riesgos o fallas desconocidas

La influencia y los objetivos de la NSA y GCHQ en la estandarización

  • La NSA y GCHQ están intentando debilitar los estándares hacia cifrado único PQ (sin aplicar híbrido), en lugar de ECC+PQ
  • Repiten, como en Dual EC, razonamientos con errores lógicos bajo el argumento de “reforzar la seguridad”, cuando en la práctica el objetivo es introducir vulnerabilidades y ampliar su influencia
  • La NSA aprovecha criterios de adquisiciones militares e infraestructura nacional crítica para guiar, mediante la ejecución presupuestaria, que productos y servicios sigan PQ único
  • Grandes empresas como Cisco, Google, IBM y Microsoft están formalizando o respaldando implementaciones de cifrado único PQ en línea con los requerimientos de organismos como la NSA

La afirmación de “usar sus propios productos” (dogfooding) y la realidad

  • La NSA usó marketing de refuerzo de confianza incluso al debilitar y estandarizar DES (56 bits), con mensajes del tipo “nosotros también usamos DES para información nacional de inteligencia”
  • En la práctica, protegía la información importante con esquemas multicapa como Triple-DES
  • Aún hoy, la NSA opera dos capas de cifrado independientes para proteger datos clave y evitar un escenario de falla única

El proceso de adopción de estándares y el caso del IETF

  • En el IETF, el borrador para introducir híbrido (ECC+PQ) en TLS fue adoptado en marzo de 2025 sin oposición relevante
  • En cambio, el borrador de PQ único recibió objeciones de varios expertos en seguridad sobre seguridad, el charter del WG, aumento de complejidad y otros puntos
    • Riesgo de que, como en el caso de SIKE, si uno solo se rompe, toda la seguridad colapse
    • Que el impulso de compras liderado por la NSA viola el BCP 188 y el propósito del WG de “mejorar la seguridad”
  • El enfoque híbrido es una opción óptima y realista que aumenta la seguridad sin desventajas sustanciales

Procedimientos legales y de política, y requisitos de consenso

  • Según la legislación estadounidense, los organismos de estandarización deben cumplir con apertura, equilibrio de intereses, debido proceso, respuesta a objeciones y consenso (consensus)
  • Según precedentes de la Corte Suprema y normas de la OMB, “consenso” no significa una simple votación, sino una revisión justa de cada objeción, provisión de información y un acuerdo genuinamente amplio
  • En el caso real del IETF, una proporción de 22 a favor y 7 en contra difícilmente puede considerarse consenso general
  • Las opiniones de apoyo mayoritario dentro del IETF fueron muy breves, y faltaron respuestas o discusiones sustanciales y concretas frente a los argumentos en contra

Resumen de factores de riesgo

  • Organismos con alta influencia como la NSA aprovechan la ejecución presupuestaria y la participación en organismos de estandarización para impulsar la incorporación de vulnerabilidades y fenómenos de dependencia industrial
  • Fracasos previos de estandarización como Dual EC y SIKE pueden volver a exponer debilidades críticas de seguridad y producir resultados catastróficos
  • Aunque en la práctica el cifrado dual se está volviendo la base, si se introducen estándares debilitados con el pretexto de “ahorro” o “simplificación”, todo el ecosistema podría quedar en riesgo

Conclusión e implicaciones

  • Es necesario reforzar la imparcialidad y transparencia de quienes lideran la estandarización, y promover la adopción de cifrado dual que refleje las necesidades reales del mercado
  • Hace falta mayor conciencia sobre la posibilidad de un debilitamiento de la seguridad en todo el ecosistema por la influencia agresiva de organismos como la NSA
  • Para expandir prácticas avanzadas que puedan reducir el riesgo (como la generalización del cifrado dual), es muy importante que desarrolladores y empresas mantengan atención activa y establezcan mecanismos de vigilancia

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-10-06
Comentarios de Hacker News

  • DJB ha criticado de forma constante la postura de la NSA desde 2022 (referencia: entrada del blog de DJB). Le sorprende muchísimo que realmente exista la propuesta de introducir intercambio de claves PQ no híbrido en aplicaciones reales. Si esto no es un mecanismo armado para que la NSA pueda romperlo fácilmente por su cuenta, entonces de todos modos implica mostrar una confianza enorme en mecanismos que aparecieron hace muy poco. La situación se parece a decir: "como ahora podemos detectar virus en las aguas residuales, ya no hace falta que los hospitales reporten posibles brotes infecciosos"; pero es más peligrosa porque las metas de algunas personas podrían estar completamente opuestas a las de todos los demás. DJB señaló en su texto de 2022 que, públicamente, la NSA solo mencionó "unos poquísimos casos en los que introducir apresuradamente capas adicionales de seguridad causó problemas" y expresó confianza en el proceso PQC de NIST.

    • Me gustaría que dijeras con más precisión a qué te refieres con "mecanismos desarrollados hace muy poco".

  • Hay muchos puntos para debatir sobre este tema. A) Nunca se debe confiar por completo en las agencias gubernamentales cibernéticas. B) La NSA no es ese tipo de lugar que imaginamos; de verdad es un lejano oeste extrañísimo, lo digo con total certeza por experiencia. C) La criptografía involucra muchísimo más que solo seguridad o intercambio de mensajes; a veces ni siquiera sabes que algo (podría ser un organismo vivo) puede ser descifrado. D) La NSA es realmente, realmente rastrera; casi podría llamarse una CIA digital, y actúa como espía cibernético en empresas de tecnología, telecomunicaciones, fabricantes, etc. E) Nunca se debe seguir el consejo de la NSA / su cultura está centrada en la explotación.

    • Me pregunto qué significa eso de que "algo (podría ser un organismo vivo) puede ser descifrado".

    • Más allá de decir que no hay que confiar en la NSA, me gustaría que explicaras por qué deberíamos confiar en ti.

  • Me parece raro que, mientras se plantea públicamente la objeción, no se mencione que la queja fue rechazada oficialmente hace 3 días (referencia: documento oficial del IESG).

    • Los respeto tanto a ti como al autor, pero el documento de rechazo termina básicamente en "no hubo problemas de procedimiento" y "si quieres apelar, vuelve a presentarlo bien y con el formato correcto", sin responder de fondo a los temas principales. Una reacción así solo reduce más la confianza.

    • Me parece bien que se haya publicado por la integridad del registro. En temas así nunca hay que olvidar la larga historia de gente que intenta debilitar el cifrado y no se rinde fácilmente.

  • Esto es algo que preocupa mucho, y respeto a DJB por enfrentarlo. Una cosa que me pregunto es quién sería un objetivo que represente una señal de riesgo lo bastante real como para que la NSA se preocupe por esto.

    • Los objetivos con conocimientos técnicos de todos modos usarán intercambio de claves híbrido,

    • y para los usuarios comunes o los que no saben de tecnología, el cifrado ya casi no significa nada por vigilancia como PRISM.

    • Entonces queda la duda de cuál sería la verdadera intención de la NSA.

    • La mayoría de las organizaciones simplemente usan tal cual la configuración de seguridad predeterminada de routers Cisco o navegadores web. La NSA primero exige que también se "soporten" protocolos que no son totalmente seguros, y una vez que se generalizan, incluso hace que las auditorías de cumplimiento los tomen como "predeterminados".

    • Aunque no puedan cubrir a todos los objetivos con tecnología de puerta trasera, si el 30% del mercado la usa ya sería un gran éxito. La recolección de inteligencia es un juego de números, y si tiras la red lo suficientemente amplio, tarde o temprano atrapas a muchos objetivos.

    • Si se combina con QUANTUMINSERT, incluso quienes originalmente usaban un cifrado más fuerte podrían quedar expuestos a ataques de degradación.

    • Me gustaría que dijeras con más precisión qué quieres decir exactamente con que esto te preocupa.

    • Me pregunto si esto no significa que el 99% del tráfico TLS global está en riesgo.

  • El entusiasmo por reemplazar RSA con ECC también me parece sospechoso por la misma razón. Me parece que de repente salieron al mismo tiempo, en un patrón demasiado obvio, afirmaciones de que algoritmos en los que se confiaba desde hace mucho ya no eran confiables, eran difíciles de implementar, lentos y estaban pasados de moda. Eso se siente muy poco natural.

  • Solo pensar que se hagan intentos así me da ganas de agregar una tercera capa encima del cifrado doble que ya existe.

    • De hecho, en la mayoría de los cifrados/aplicaciones, apilar varias capas de cifrado no cuesta demasiado. Incluso superponer unas 10 capas no parece algo con lo que salgas perdiendo.

  • La afirmación de que "los algoritmos post-cuánticos podrían romperse incluso con computadoras actuales" en la práctica termina ofreciendo "seguridad por ignorancia (Security Through Ignorance)". ¿Este cifrado es seguro? ¡Nadie lo sabe! La idea sería esperar a ver qué resulta.

  • Parece que hay un drama con varios hechos entrelazados, pero aparte de eso, al leer este texto pensé que los estándares importantes deberían decidirse fuera del gobierno. ¿Qué lugar sería bueno para encargarse del proceso de estandarización? ¿La Linux Foundation? Ahora parece que, dentro del ecosistema de Ethereum, el talento matemático de criptografía se está concentrando en las pruebas de conocimiento cero (ZK proof). Si Vitalik organizara un concurso como NIST, probablemente todos le pondrían atención. Lo más necesario es crear una estructura que "recompense a atacantes que intenten romper el cifrado con datos falsos antes de su aplicación en el mundo real". Lo ideal sería que el cifrado ya estuviera siendo atacado antes de ser estandarizado. Del lado de Ethereum manejan bien este tipo de programas de recompensas. Si, mediante divulgación ética, los expertos en criptografía reciben una recompensa real, disminuye el incentivo de venderse al lado no ético.

  • Lo aterrador es que una persona llamada Wouters amenazó a Bernstein con expulsarlo mediante un mensaje de CoC (código de conducta) muy hostil y agresivo (referencia: correo original). Una experiencia irónica de "confía en el proceso".

  • FIPS es como la última línea de defensa de los estándares de seguridad.

    • Al principio leí mal FIPS como "bassoon" de los estándares de seguridad, y me confundí; mi cerebro empezó a imaginar algo completamente distinto.