On the security of 2-key triple DES

Este artículo demuestra que la seguridad del Triple DES de dos claves es más débil de lo que se creía, desafiando la estimación de 80 bits y la suposición de que cambiar la clave regularmente es suficiente, por lo que insta a una transición urgente hacia su variante de tres claves.

Lo esencial

Aquí tienes una explicación sencilla de este paper técnico, usando analogías de la vida cotidiana para que cualquiera pueda entender qué está pasando con el "Triple DES de 2 claves".

🏰 El Castillo de Tres Puertas (y por qué es más débil de lo que pensábamos)

Imagina que Triple DES es un castillo muy famoso que protege el dinero de los bancos y las tarjetas de crédito. Para entrar, necesitas pasar por tres puertas:

1. Puerta 1: Se abre con la llave A.
2. Puerta 2: Se cierra (o se abre al revés) con la llave B.
3. Puerta 3: Se vuelve a abrir con la llave A.

Este sistema se llama "Triple DES de 2 claves" porque solo usas dos llaves diferentes (A y B) en lugar de tres. Durante décadas, los expertos dijeron: "Este castillo es seguro, tiene una fortaleza equivalente a 80 bits". Es decir, para romperlo, un ladrón tendría que probar tantas combinaciones de llaves que le tomaría miles de años, incluso con supercomputadoras.

Pero el autor de este paper, Chris Mitchell, llega y dice: "Esa estimación de seguridad ya no es realista. El castillo tiene grietas que nadie había visto bien".

🔍 La vieja estrategia de los ladrones (El ataque de van Oorschot-Wiener)

Antes de 1990, los ladrones sabían que para robar la llave del castillo necesitaban una cantidad inmensa de mensajes cifrados (llamados "texto plano" y "texto cifrado") que hubieran sido creados todos con la misma llave.

Imagina que un ladrón necesita ver 4 mil millones de sobres cerrados con la misma llave para poder adivinar cómo funciona el mecanismo. Si el banco cambiaba la llave cada semana, el ladrón nunca conseguía suficientes sobres y el ataque fallaba. Por eso, la recomendación era: "Cambia la llave a menudo y estarás seguro".

🚀 Las tres nuevas mejoras del ladrón

El paper describe tres trucos nuevos que hacen que este ataque sea mucho más fácil y peligroso:

1. El "Super-Ladrón" que no necesita la misma llave

La analogía: Imagina que el ladrón ya no necesita 4 mil millones de sobres con la misma llave. Ahora puede robar 2 mil millones de sobres con la llave A, y otros 2 mil millones con la llave B, y otros con la C... ¡y mezclarlos todos en una sola pila!
Lo que dice el paper: El ataque funciona igual de bien si los datos vienen de muchas llaves diferentes.
El impacto: La recomendación de "cambiar la llave a menudo" ya no sirve de escudo. El ladrón puede robar datos de muchos días diferentes y aun así romper el sistema. Solo deja de funcionar si cambias la llave demasiado rápido, pero eso es difícil en la práctica.

2. El truco del "Espejo" (Propiedad de complementación)

La analogía: El DES tiene un truco curioso: si cambias todas las luces de una habitación de encendidas a apagadas (y viceversa), la llave también se invierte y la puerta se abre igual.
Lo que dice el paper: Los ladrones pueden usar este truco para probar dos llaves a la vez con el mismo esfuerzo. Es como si el ladrón pudiera probar la llave "A" y su "copia espejo" simultáneamente.
El impacto: Esto hace que el ataque sea dos veces más rápido.

3. El "Rompecabezas a medias" (Texto parcialmente conocido)

La analogía: A veces, un ladrón no ve todo el mensaje. Por ejemplo, sabe que el mensaje es "Hola [PIN de 4 dígitos]". Sabe que empieza con "Hola", pero no sabe los números.
Lo que dice el paper: Antes, el ataque fallaba si no conocías el mensaje completo. Ahora, el ladrón puede adivinar los números faltantes (solo hay 10.000 combinaciones para un PIN) y crear miles de "mensajes falsos" para probar.
El impacto: Esto permite atacar sistemas donde los datos no son totalmente secretos, como los códigos PIN de las tarjetas de crédito. El ladrón puede usar información que ya tiene a medias para romper la llave.

💥 ¿Qué significa todo esto para ti?

1. La seguridad de 80 bits es una ilusión: Antes se pensaba que 80 bits era un margen de seguridad "conservador" (es decir, seguro por si acaso). Ahora se ve que es un margen muy delgado, casi inexistente.
2. Cambiar la llave no es suficiente: La vieja regla de "cambia la llave cada semana para estar seguro" ya no garantiza protección contra estos nuevos ataques.
3. El peligro es real: Aunque el sistema no está "roto" al 100% (nadie puede entrar sin esfuerzo), el margen de seguridad es tan pequeño que cualquier avance en computación podría romperlo pronto.

🏁 La conclusión: ¡Huyamos de este castillo!

El autor concluye que, aunque el Triple DES de 2 claves no ha colapsado por completo, ya no es seguro. Es como vivir en una casa con una cerradura que parece fuerte, pero que tiene una cerradura maestra que cualquiera puede fabricar si tiene suficientes datos.

La recomendación final es clara:
No sigas usando esta tecnología. Debes cambiarla urgentemente por:

• Triple DES de 3 claves: (Usar tres llaves diferentes en lugar de dos).
• AES: (El estándar moderno, como cambiar de una cerradura de madera a una caja fuerte de acero digital).

En resumen: El sistema que protege tus pagos y tarjetas de crédito tiene una grieta nueva y peligrosa. Es hora de cambiar la cerradura antes de que el ladrón la encuentre.

Resumen técnico

Resumen Técnico: Seguridad del Triple DES de 2 Claves

1. Problema

A pesar de haber sido desestandarizado por el NIST a finales de 2015, el Triple DES de 2 claves (2-key 3DES) sigue siendo ampliamente utilizado, especialmente en la industria de pagos (tarjetas de crédito/débito EMV).

• Contexto de seguridad: Se ha asumido tradicionalmente que el 2-key 3DES ofrece un margen de seguridad de 80 bits, basándose en la premisa de que un ataque exitoso requeriría una cantidad masiva de pares de texto plano/cifrado generados con una única clave.
• La amenaza: La seguridad depende de cambiar las claves con frecuencia para limitar la cantidad de datos ($n$) disponibles para un atacante. Sin embargo, esta suposición de seguridad se ha cuestionado. El artículo argumenta que el margen de seguridad es mucho más delgado de lo que se creía y que las recomendaciones actuales (como cambiar claves regularmente) son insuficientes para prevenir ataques criptoanalíticos.

2. Metodología

El autor presenta una generalización y mejora del ataque van Oorschot-Wiener (1990), que ha sido el ataque más efectivo conocido contra el 2-key 3DES durante 25 años. La metodología se basa en tres mejoras principales:

1. Generalización del ataque (Uso de múltiples claves):

   • El ataque original requería que todos los pares $(P, C)$ fueran generados con la misma clave $(K_1, K_2)$.
   • El autor demuestra que el ataque funciona igual de bien si los pares provienen de múltiples claves diferentes.
   • Mecanismo: Se organizan los pares en subconjuntos etiquetados por su clave de origen. Al encontrar una coincidencia en la tabla de búsqueda, se identifica no solo la clave candidata, sino también la etiqueta de la clave específica a la que pertenece. Esto elimina la necesidad de que un atacante recopile millones de pares bajo una sola clave, lo cual es difícil en la práctica.

2. Explotación de la propiedad de complementariedad del DES:

   • El DES tiene una propiedad conocida: $e_K(P) = \overline{e_{\overline{K}}(\overline{P})}$. Si se complementan tanto la clave como el texto plano, el texto cifrado resultante también se complementa.
   • Mejora: Esto permite probar dos valores de $A$ (el valor intermedio hipotético) simultáneamente ($A$ y $\overline{A}$) con el mismo esfuerzo computacional.
   • Resultado: Duplica la eficiencia del ataque, reduciendo la complejidad computacional en un factor de 2.

3. Uso de texto plano parcialmente conocido:

   • En escenarios reales (ej. bloques PIN en la industria de pagos), a menudo se conoce parte del texto plano (ej. número de cuenta) pero no todo (ej. el PIN de 4 dígitos).
   • Mecanismo: En lugar de descartar estos datos, el ataque genera todos los posibles textos planos que coinciden con la información conocida (ej. $2^{13}$ posibilidades para un PIN) y los trata como pares candidatos falsos.
   • Impacto: Aunque introduce "falsos positivos" en las tablas de búsqueda, estos se descartan rápidamente durante la verificación final. La complejidad computacional no aumenta significativamente, siempre que el número de bits desconocidos ($w$) sea pequeño en relación con el tamaño del bloque.

3. Contribuciones Clave

• Primera mejora criptoanalítica desde 1990: Este trabajo representa el primer avance significativo en el análisis del 2-key 3DES desde el ataque original de van Oorschot-Wiener.
• Refutación de la seguridad basada en el cambio de claves: Demuestra que cambiar las claves regularmente no reduce la probabilidad de éxito del ataque, solo limita el daño una vez que una clave ha sido comprometida. El ataque puede acumular datos de muchas claves diferentes para encontrar cualquiera de ellas.
• Revisión de la estimación de 80 bits: Muestra que la estimación de 80 bits de seguridad no es conservadora, sino que subestima la vulnerabilidad real cuando se consideran datos parciales y múltiples claves.
• Aplicación al MAC de Retail ANSI: Extiende el ataque al esquema de autenticación de mensajes (MAC) utilizado en la industria de pagos, demostrando que las limitaciones de longitud de mensaje no protegen contra esta variante generalizada.

4. Resultados y Complejidad

El artículo cuantifica la complejidad del ataque mejorado:

• Complejidad Computacional:
  • Ataque original (van Oorschot-Wiener): $2^{121-t}$operaciones DES (donde$n=2^t$ es el número de pares).
  • Ataque mejorado (con complementariedad): $2^{120-t}$ operaciones DES.
• Complejidad de Almacenamiento: $O(2^t)$ (o $O(2^{t+w})$ si se usa texto parcialmente conocido, donde $w$ son los bits desconocidos).
• Ejemplo Práctico:
  • Si un atacante tiene $n = 2^{32}$ (4 mil millones) de pares de texto plano/cifrado (o parcialmente conocidos), generados incluso con múltiples claves diferentes, la clave puede ser descubierta en aproximadamente $2^{88}$ operaciones DES.
  • Esto es computacionalmente factible con hardware moderno o clusters distribuidos, mucho más accesible que la barrera de $2^{80}$ que se creía segura.

5. Significado y Conclusión

• Margen de seguridad inexistente: El margen de seguridad del 2-key 3DES es "delgado". La afirmación de que es seguro siempre que se cambien las claves regularmente es falsa en el contexto de la criptoanálisis moderno.
• Urgencia de migración: El artículo concluye que el 2-key 3DES debe ser reemplazado con urgencia. Las opciones recomendadas son:
  1. Migrar a la variante de 3 claves (3-key 3DES), que ofrece mayor seguridad.
  2. Migrar a algoritmos modernos como AES, que permiten claves de 256 bits y ofrecen resistencia contra ataques futuros (incluyendo computación cuántica).
• Impacto en Estándares: Cuestiona la viabilidad futura del MAC de Retail ANSI cuando se usa con DES, sugiriendo que incluso las medidas de mitigación actuales (limitar el número de mensajes por clave) son insuficientes contra esta generalización del ataque.

En resumen, el paper demuestra que el 2-key 3DES está mucho más cerca de ser "roto" en la práctica de lo que la comunidad criptográfica asumía, invalidando las estrategias de defensa basadas únicamente en la rotación de claves y exigiendo una transición inmediata hacia algoritmos más robustos.