Aunque este no sea el único proyecto de este tipo, resulta especialmente curioso por el fin que persiguen. Distributed.net es un proyecto destinado a romper la seguridad de los algoritmos de cifrado más conocidos.

Como he comentado en otros artículos, la criptografía actual se basa en dos claves, una pública y otra privada. Mediante un algoritmo, el mensaje se mezcla con la clave y la información queda cifrada. Esta organización multitudinaria pone a trabajar una cantidad inmensa de ordenadores que prueban una y otra vez contraseñas hasta que dan con la adecuada capaz de descifrar un mensaje concreto. Pretenden demostrar así, que, con el tiempo y las máquinas suficientes, nadie puede estar seguro.

Su propio nombre lo indica, sistemas “distribuidos” que instalan un cliente, que aprovecha los ciclos de inactividad de tu ordenador para gestionar las claves, y son enviadas a una central donde se coordinan todos los resultados. Así, a cada cliente que instala su software, se le asigna cada intervalo de tiempo un bloque de posibilidades a probar (un bloque típico comprende 2 elevado a 28 llaves) usa su sistema para procesarlas, y automáticamente son enviados los resultados a una central. Aunque muchos sistemas personales tardarán alrededor de treinta minutos en procesar un bloque de ese tamaño, el tiempo exacto dependerá de la velocidad del procesador. Cuantas más computadoras se unan al esfuerzo, más rápida será la búsqueda combinada. Cualquier sistema que cuente con una conexión estable al Internet puede participar sin complicaciones, el programa está disponible para casi todas las plataformas y arquitecturas disponibles.

En este proyecto puede participar cualquiera que descargue el programa cliente, y no ralentiza el ordenador que usemos, puesto que usa los ciclos de reloj “libres” del ordenador, esto es, los tiempos en los que no trabaja. Si monitorizamos la actividad del microprocesador observamos que la mayoría del tiempo no utiliza el 100% de su capacidad. Con este programa cliente se usaría siempre al 100%, dando prioridad a las aplicaciones locales que usamos nosotros mismos y ejecutando en un segundo plano el programa cliente que trabaja con las claves.

Desde que fue fundado en 1997, el proyecto ha crecido hasta abarcar miles de usuarios alrededor del mundo. El poder de cómputo de distributed.net ha aumentado hasta llegar a ser el equivalente a más de 160000 ordenadores con un procesador Pentium II a 266MHz trabajando 24 horas al día, 7 días a la semana, 365 días al año. Con esta capacidad de cómputo, pocas cosas se les pueden resistir, pero ellos decidieron romper algoritmos de cifrado. Actualmente, entre otros proyectos, trabajan con el algoritmo RC5-72 desde el 3 de Diciembre de 2002. Esto significa que intentan romper el algoritmo de cifrado RC5 con claves de 72 bits, lo que da una cifra inimaginable de posibilidades (2 elevado a 72). Esta es la combinación buscada, los “ceros” y los “unos” exactos que componen esta clave.

En Julio de 2002 finalizaron una larga andadura, un desafío propuesto por RSA Laboratories, empresa dedicada al cifrado de datos. Fueron necesarias 331252 máquinas y cuatro años de intentos (1757 días) para que un equipo de voluntarios unidos a Distributed.net encontrara la clave secreta de un mensaje cifrado con el algoritmo de cifrado RC5-64 (algoritmo RC5 con claves de 64 bits), ganando por ello, la máquina que probó exitosamente la clave exacta, un premio de 10000 dólares donados por la empresa. Probaron (exactamente) 15769938165961326592 claves en casi cuatro años. Los responsables de RSA mostraron un guiño de humor en su desafío, pues el mensaje en texto claro que descubrieron los voluntarios decía algo como: “Algunas cosas es mejor que no se lean”. Un Pentium III a 450 MHz descubrió la clave el 14 de Julio, pero un problema técnico no les permitió saber que ya habían solucionado el enigma hasta el 12 de Agosto.

Con este proyecto, el equipo pretende demostrar, no sólo la efectividad de la computación distribuida para la resolución de grandes problemas, sino también concienciar a los usuarios de la debilidad del algoritmo RC5 de 64 bits para cifrar documentos importantes. Si realmente se propone, y con la velocidad que adquieren con el tiempo los procesadores actuales, cifrar un mensaje con una clave tan “corta” como 64 bits puede suponer un problema de seguridad.

Todo el mundo puede colaborar de alguna manera en esta empresa, ya sea instalando y corriendo el cliente en su ordenador, o dando publicidad al proyecto, traduciendo manuales, etc. Al ser un proyecto sin ánimo de lucro, todo el mundo está invitado a colaborar altruistamente. El único premio es para el que tiene la suerte de que su cliente descargue y procese el bloque de claves donde se encuentra la que se busca. Cuanto más tiempo conectado y usándolo, más posibilidades de que sea el nuestro. En la página se pueden consultar estadística sobre las máquinas más activas, y otras muchas curiosidades.

A este tipo de técnicas para averiguar una clave se les denomina “fuerza bruta” pues van probando contraseñas en algún orden específico, sabiendo que, de una manera u otra, en algún momento darán con la combinación exacta. Se usa en muchos ámbitos de Internet, contra servidores de correo, de Telnet, SSH… mientras estos sistemas no se bloqueen tras un número determinado de intentos y el administrador no controle la actividad de red, un atacante podría probar contraseñas indefinidamente hasta dar con la adecuada. Pero la fuerza bruta, si no se conoce la longitud de la contraseña buscada, puede resultar en extremo tediosa. Por ejemplo, si sabemos que una clave tiene 4 caracteres de longitud, y suponiendo que su dueño sólo ha usado letras y números para crearla, se reduce a (37 elevado a 4) menos de dos millones de intentos. Sin embargo, si probamos con contraseñas cuya longitud vaya de uno a cuatro caracteres, las posibilidades sobrepasan con creces los dos millones. Esto, en cifras mayores, desborda la imaginación de cualquiera. Distributed.net parte con la ventaja de que conoce la longitud de la clave que quieren descubrir.

Más información (en castellano) y la posibilidad de descargar el programa en www.distributed.net.

...por Sergio de los Santos