Una reñida competencia se lleva a cabo en este momento para encontrar el algoritmo más seguro del mundo. Después de años, la batalla se ha cerrado en cinco finalistas, que combatirán para que se defina al ganador en 2012.
Todo comenzó en 2004 y 2005, cuando la criptoanalista china Xiaoyun Wang sorprendió a la comunidad de criptógrafos del mundo al descubrir debilidades en el algoritmo “Secure Hash Algorithm-1” (SHA-1), el “estándar de oro” usado para encriptar casi todas las transacciones bancarias, firmas digitales y el almacenamiento de passwords, entre otras cosas.
Este tipo de algoritmos convierten archivos de casi cualquier longitud en una línea fija de unos y ceros. Luego, esta línea es “barajada” en múltiples ciclos, manipulada y condensada o expandida para producir el resultado final, llamado “hash“.
Bajo la norma SHA-1, se creía que la única manera de encontrar dos archivos que produjeran como resultado el mismo hash requeriría millones de años de trabajo computacional, pero Wang descubrió un atajo, logrando el primer ataque al SHA-1.
Como consecuencia nació el SHA-2, que son básicamente modificaciones del SHA-1 que se considera que siguen siendo vulnerables.
Después de esta revelación, en 2007 se organizó una competencia para elegir al sucesor – el SHA-3 – en una carrera organizada por el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST).
El envío de propuestas cerró en 2008, cuando el NIST había recibido unas 64 ideas de algoritmos de distinta calidad, que fueron examinadas hasta que en agosto de 2010 se redujo el número a 14. Ahora, el NIST anunció [PDF] que ha bajado más la cifra, a sólo 5 finalistas, dejando fuera a propuestas de grandes de la industria como IBM, France Telecom y Sandia National Laboratories, entre otros.
La decisión se tomó no sólo en base a la fortaleza de la seguridad de los algoritmos, sino también considerando la diversidad de diseño de los mismos, aseguró el NIST.
Finalistas
Entre los finalistas están BLAKE, un algoritmo creado por la compañía Nagravision en Suiza; Skein, creado por el experto en seguridad estadounidense Bruce Schneier; Keccak, diseñado por un equipo belga; Grøstl, diseñado en colaboración de las universidades de Graz en Austria y la Universidad Técnica de Dinamarca; y JH, creado por el criptógrafo singapurense Hongjun Wu.
Los equipos tienen hasta el 16 de enero para hacerle los últimos ajustes a sus algoritmos. Luego, se dará un año de plazo para que cualquier criptógrafo intente encontrar problemas en los algoritmos propuestos. En base a estos análisis, NIST elegirá al ganador a fines de 2012.
La idea de crear una competencia para elegir el estándar se inspiró en lo que hizo el gobierno de Estados Unidos con el Advanced Encryption Standard (AES), sistema de cifrado usado por ese país que fue elegido de forma similar.
“Hay un acuerdo general en que la competencia de AES realmente mejoró lo que la comunidad investigadora sabía sobre el cifrado en bloques. Creo que en el mismo sentido aquí estamos aprendiendo mucho sobre las funciones de hash”, afirmó William Burr, del NIST.
Queda esperar hasta 2012 para conocer quién será el nuevo “súper hash”, rey de la seguridad informática.
Links:
– Cryptographers chosen to duke it out in final fight (New Scientist)
– NIST