16 junio 2012

Historias chuscas de Arica

Ayer estuve muy ocupado, como nunca. Para colmo en mis clases de criptografía -que iban como avión- me quedé completamente atascado en el capítulo sobre seguridad de los generadores seudo aleatorios: no entiendo nada, que terrible, muchos años que no me pasaba. Pensé que era por el idioma así es que traduje toda la sesión al español y sigo sin entender nada.

Se trata de un asunto muy interesante. Para generar claves de buena calidad se necesita un generador que produzca una larga cadena de ceros y unos pero la condición es que sea totalmente impredecible, o sea que tomando cualquier bit de la cadena no exista manera de calcular el siguiente. Esto que parece sencillo es un lío mayúsculo porque ¿como puede estar seguro que una cadena de números es impredecible?.

En la práctica se parte con una "semilla" una cadena corta de números al azar que se pueden obtener de una señal de ruido, del movimiento del mouse, etc. De esa manera se consigue una secuencia de -digamos- unos 128 bits generados al azar, luego con esa "semilla" se alimenta un generador que la expande creando una cadena enorme -por ejemplo de 1 Gb de largo- El problema es si la cadena que entrega el generador es al azar o no. Este proceso de expandir una semilla al azar para convertirla en una cadena mucho más grande también al azar, se llama "generador seudo aleatorio".

¿Que significa al azar? que la probabilidad que aparezca un 1 o un 0 en cualquier posición de la cadena es muy cercana a 0.5, o sea que existan -más o menos- tantos unos como ceros y además que no existan "patrones" o secuencias que se repiten o que de alguna manera se puedan predecir.

Esto que parece tan sencillo muestra una de las mayores complicaciones que le veo a la criptografía: se trata de probar matemáticamente, en general, que si tenemos un algoritmo (procedimiento) C, que genera una salida que no conocemos (la cadena al azar de 1 Gb), no existe ninguna manera de predecir su salida usando estadísticas.

Demostrar que algo es imposible con ningún procedimiento, incluso con procedimientos que no conocemos no es sencillo, hay que demostrar si es imposible o no, por principio "romper el generador". Esta es una prueba clave para evaluar la seguridad de un sistema porque obviamente si podemos predecirlo no es seguro. Entonces el capítulo donde estoy atascado describe dos conceptos que no puedo entender: las pruebas estadísticas de predictabilidad y el concepto de "ventaja".

La conclusión es que no existen pruebas seguras ni generadores seguros, pero si algunos métodos son "heuristicos" y permiten obtener pruebas de seguridad. Lo único que entiendo es que si hay un épsilon "significativo" que permita predecir con ventaja superior a 1/2 la prueba puede romper al generador. Ahi es donde estoy pegado, no hay caso, le he dado 500 vueltas y no avanzo nada. En fin, la seguiré dando vuelta.

Ah, ahora vi el video y lo entiendo un poco mejor. Tengo problemas con la notación estadística, creo que por eso me enredo tanto y me costó seguir esta sesión, hace años que dejé de usar funciones y tengo el cerebro atrofiado para abstracciones de cualquier clase.

Pasando a otros temas, el año sin invierno sigue su curso, mientras en el centro y sur de Chile se mueren de frio, en Arica no hemos tenido un solo día helado y si la cosa sigue igual solo tendremos julio y agosto para usar manga larga. ¡Que gran cosa es el calentamiento global! que se derritan los polos, me da lo mismo. Total, mi casa está a unos 50 metros de altura.

Los ministros de la Corte de Apelaciones que resolvieron sobre la libertad de los concejales municipales no se dieron cuenta que estaban tomando la medida más estúpida posible al prohibirles acercarse a la municipalidad "para que no ocultaran pruebas" según la fiscalía. Resulta que gracias a esta medida, el alcalde subrogante, de la mayor confianza del ex-alcalde preso, ha tenido la municipalidad a su disposición todo este tiempo.

Me imagino como habrán funcionado las fogatas y los picapapeles el mes pasado. Lo que está más o menos claro, a mi modo de ver, es que el ex alcalde Sankan y el concejal Araya eran parte de una asociación para delinquir, orquestada por el Sr. Frias con el apoyo de los funcionarios municipales que quedaron presos. Ellos están en la cárcel porque de las escucha la corte estimó que hay suficientes indicios para presumir que tenían una asociación ilícita.

Muy distinto es el caso de los concejales, a los que se acusa que fueron sobornados para votar a favor de esta asociación ilícita sin ser parte de ella. De las conversaciones telefónicas aparece clara la impresión que los concejales aceptaron soborno, ofrecido por el concejal Araya y el diputado Vargas, pero no eran parte de la asociación ilícita. Esa es la impresión que me hice yo y probablemente cualquiera que escuche las conversaciones.

Al prohibir que los concejales se acerquen a la municipalidad esto les impediría sesionar, aunque yo no veo por que razón porque deberían poder sesionar donde se les antoje convocarse, pero algún impedimento debe haber. Como consecuencia con esta medida los jueces facilitaron que el alcalde subrogante se aperne en el puesto y consiguieron exactamente lo contrario de lo que pretendía la fiscalía: en lugar de evitar que se destruyan evidencias lo facilitaron.

Para seguir con la charada el contralor nacional instruyó al contralor regional -el mismo que ejerció durante todos los escándalos así es que no debe estar muy desinformado sobre el asunto- a que "interviniera" el concejo "vigilando" las actuaciones del alcalde subrogante.

Todo esto tiene un poco de comedia y otro poco de farsa: la actuación de los fiscales, de la primera jueza de garantía, de los ministros de apelaciones y ahora de la contraloría. Creo que cuando se destape todo, cosa que seguramente va a ocurrir en varios años más, este quedará como uno de los episodios más chuscos de la historia de la ciudad y si yo no he estirado la pata para entonces, podré agregar otro capítulo a mi diccionario de curiosidades de Arica.

Por mientras circulan por la ciudad miles de panfletos con una foto del alcalde subrogante, en mangas de camisa y con la chaqueta al hombro, que dicen "Osvando Abdala: Municipales 2012", mientras asegura en el diario que no es candidato. Bueno, en política no existe la verguenza dicen. Yo no soy nadie para dar consejos, pero si estuviera en el lugar del alcalde subrogante renunciaría y me iría para la casa. O por lo menos cambiaría la foto de la propaganda porque se parece mucho a la otra, en fin otro episodio chusco para mi colección de curiosidades.

9 comentarios:

  1. Tom:
    En cuanto a la municipa podrida de Arica ("menor es tu
    Lealtad) ,se podría comparar como cuando una infección
    Bacteriológica ,"entra y se aloja en un hospital,
    Cualquiera que pase por ahí ,y toque la manilla de una puerta o un pasamano o mesón,queda infectado incluso,sin tocar nada ,también se infectara.
    Esto lo podría corroborar el Doc Sr.Aguirre.
    Así ,que va aser bien difícil encontrar a alguien, "libre de
    "infección en este podrido municipio.Por eso que en China ,
    Los fusilan y se evitan la perdidas de tiempo y plata con estos criminales.pero acá seria ir en contra de los DD.HH.
    Además el Abdalla tiene una cara de sinvergüenza ,para asustar un cabro chico.pero como los giles,no se acabaran,va. Recibir apoyo y votos si se presenta.
    El peligro esta en que si esta "infección no se para,
    V. Contaminar toda l ciudad y todo el país.
    Atte.
    Max

    ResponderBorrar
  2. Eso se usaba dentro de las series sintéticas de Markov, por ejemplo, simular series de lluvias o caudales para ver si alguno tira abajo un puente en veinte años.
    Y decían que el generador seudo-aleatorio estaba en la computadora, la función random. ¿Es o no es? ¿O no es tan confiable?

    ResponderBorrar
  3. Max es una enfermedad que está extendida por Chile desde hace varios años pero igual que el cancer no tiene síntomas, pueden pasar años sin que nadie la note porque cuando aparece un brote es rápidamente silenciado.

    Hace muchos años que suceden estos escándalos en municipios de derecha y de izquierda, en gobiernos regionales, etc. en todos lados donde se maneja plata vas a ver tipos con sueldo bajo que se compran tremendoa autos, amplían su casa y pasan viajando. Nadie dice nada hasta que el asunto explota. Los escándalos que se están viendo ahora son porque se rompieron las redes de protección que tenían en tribunales y contraloría debido al cambio de gobierno, nada más que eso.

    Ulshmidt, no tenía idea que se usaba para otras cosas. La funcion rnd() del computador es un chiste, completamente predictible pero sirve perfectamente para aplicaciones que no estén sujetas a ataque.

    ResponderBorrar
  4. Tomás, existe un buscador de claves md5. Según lo que entedí funciona guardando todas las búsquedas que hacen las personas. Por ejemplo pongo hueso y le pongo que lo convierta a MD5 y deja el resultado guardado, luego va a alguien y pone un chorizo md5 que significa hueso y lo desencripta :)

    http://md5crack.com/

    ResponderBorrar
  5. Actualizo el post, parece que ahora sólo busca lo que esta en la web, a través de Google.

    ResponderBorrar
  6. Hola Javier, el MD5 está roto desde hace varios años y no debería usarse para certificados. En pocas palabras es un algoritmo "hash" que toma un texto largo cualquiera y a partir de ese texto crea una "firma" que es única, esa firma es un string en hexadecimal y -si funcionara bien- con esa podrías garantizar que el texto no ha sido modificado. Lastima que no funciona, hay otros mucho mejores

    http://www.alcancelibre.org/article.php/2009010700094772

    ResponderBorrar
  7. Ah, Tomás, ese es el miro incomprensible que te hablaba.

    La criptografía aplicada es una cosa difícil, pero criptografía como ciencia en sí misma es básicamente incomprensible, matemáticas muy por encima de mi pobre intelecto. Por eso leo a Schneier todo el tiempo: el tipo es seco en criptografía a secas, pero se preocupa de enseñar a los meros mortales lo que es importante para diseñar sistemas seguros, y eso sí me compete.

    ResponderBorrar
  8. Claro, la seguridad informática es mucho más aterrizada y práctica, lo malo es que ciempre que uno lee de eso llega a ciertas cajas que son como "magia negra" conceptos que hay que tragarse por fe nomás. La criptografía es lo que está debajo y es muy difícil de entender por lo mismo que tu dices: trata de demostrar de manera rigurosa si se puede o no se puede hacer cosas sobre las que tenemos información incompleta, por eso es muy abstracta. Pero hay un montón de cosas interesantes con eso, si tengo tiempo voy a poner algo de lo que he visto en la entrada de hoy

    ResponderBorrar
  9. Solo por el gusto de discutir, y sin saber nada de leyes, creo que los concejales al aceptar un soborno por parte de alguien que pertenece a una asociación ilícita, automáticamente pasan a formar parte de ella ¿o es muy tonto lo que estoy diciendo?


    Como sea, algún día escribiré un libro que se llamará: “Frescos de Raja; historia de la política Ariqueña”

    ResponderBorrar

"Send me a postcard, drop me a line
Stating point of view
Indicate precisely what you mean to say
Yours sincerely, wasting away
Give me your answer, fill in a form
Mine for evermore
Will you still need me, will you still feed me
When I'm sixty-four"