Diceware en Español es una adaptación del método Diceware 
(Copyright (c) 1995-2003, Arnold G. Reinhold, Cambridge, Mass. USA)

Copyright (c) 2003 by Manuel Palao, CISM, CISA (manuel@palao.com). Reservados todos los derechos. 
Copyright  de la traducción /adaptación autorizada de las partes correspondientes (c) 2003 
Manuel Palao, CISM, CISA (manuel@palao.com). Reservados todos los derechos. 

Arnold G. Reinhold, Diceware y Manuel Palao no se responsabilizan en modo alguno de este método 
que se ofrece gratuitamente 'como está', sin presentar garantía alguna implícita 
o explícita en cuanto a que esté libre de errores ni de que sirva a los propósitos de sus 
posibles usuarios, que lo usan bajo su plena y exclusiva responsabilidad, eximiendo a 
Arnold G. Reinhold, Diceware y Manuel Palao de responsabilidad alguna por su uso o sus 
consecuencias. 

Procuraremos atender cualquier crítica o comentario a este método dirigida a manuel@palao.com. 

 


 

Diceware en Español

(Dice, en Diceware, es ëdadosí, en inglés).

Esta página es una traducción / adaptación parcial autorizada de la página

The Diceware Passphrase Home Page

Esta página sólo tiene un propósito: comunicarle a Ud. una forma mejor de crear una ëfrase de pasoí para su uso con PGP, GPG, Hushmail y otros programas de cifra (criptografía) y seguridad.

La información presentada aquí la puede usar cualquiera. No se necesita tener una preparación en cifra o en matemáticas. Si a Ud. le importa la privacidad lo suficiente para usar la cifra, invierta unos minutos y aprenda cómo hacerlo bien.

FAQ ñ Esta página está también disponible en Chino, Finés, Francés, Inglés (la original) Polaco, y Japonés. Hay también una ëlista Dicewareí en Alemán. 

¿Qué es una ëFrase de Pasoí?

Una ëfrase de pasoí en un grupo de palabras y caracteres que Ud. teclea en su ordenador para comunicarle con certeza que la persona que está tecleando es Ud. Usa Ud. una ëfrase de pasoí cuando desea que el ordenador haga algo especial, como cifrar o descifrar un mensaje secreto.

El popular programa de cifra PGP de Phil Zimmermann, por ejemplo, requiere que Ud. construya una ëfrase de pasoí, que Ud. introduce cada vez que firma o descifra un mensaje. Lo mismo sucede con la nueva versión de código abierto de GPG. Un servicio de Internet llamado HushMail ofrece un servicio de e-mail cifrado, gratuito, pero su seguridad depende casi completamente de la calidad de la ëfrase de pasoí que Ud. escoja. Consulte las FAQ de Diceware, si se propone usar HushMail).

Antes de crear sus claves en PGP, GPG o de abrir una nueva cuenta en Hushmail, Ud. debería seguir las instrucciones de Diceware y tener preparada su ëfrase de pasoí.

Las ëfrases de pasoí se diferencian de las ëpalabras de pasoí sólo por su longitud. Las ëpalabras de pasoí son normalmente cortas: 6 a 10 caracteres. Las ëpalabras de pasoí cortas son adecuadas para acceder a ordenadores que están programados para detectar un gran número de intentos incorrectos, pero no son seguras en sistemas de cifra. Las ëfrases de pasoí son normalmente mucho más largas: hasta 100 caracteres o más. Su mayor longitud hace a las ëfrases de pasoí más seguras. Las ëfrases de pasoí modernas fueron inventadas por Sigmund N. Porter en 1982.

Si todo lo que Ud. necesita en este momento es una breve ëpalabra de pasoí para acceso, pinche aquí. Si no, siga leyendo.

Escoger una buena ëfrase de pasoí es una de las cosas más importantes que Ud. puede hacer para preservar la privacidad de sus datos de ordenador y mensajes de e-mail. Una ëfrase de pasoí debiera ser:

o Conocida sólo por Ud.

o Lo bastante larga para ser segura

o Difícil de adivinar, incluso por alguien que le conozca a Ud. bien

o Fácil de recordar y de teclear correctamente por Ud.

¿Qué es Diceware?

Diceware es un método de elección de ëfrases de pasoí que emplea dados (dice, en inglés) para seleccionar aleatoriamente palabras de una lista especial llamada la Lista Diceware. Cada palabra en la lista está precedida por un número de 5 dígitos. Todos los dígitos están entre 1 y 6, lo que permite usar el resultado de lanzar 5 dados, para seleccionar de la lista una palabra única.

Sigue un breve extracto de la lista Diceware en Español:

22156 alfa

22161 alfar

22162 alfil

22163 alfiz

22164 alfoz

22165 alga

22166 algar

22212 algo

22214 alguno

22215 alhaja

22216 alhoz

22222 aliar

22223 alias

22224 Alicia

22225 alifa

22226 alijo

22233 alioj

22234 aliso

22235 aljez

22236 aljibe

22243 almo

22244 almud

22245 alno

22246 aloa

22251 aloja

22253 Alonso

22254 alosa

22255 aloya

22256 Alpes

22261 altar

La lista completa contiene exactamente 7776 ëpalabrasí no repetidas. 7776 son las posibles combinaciones de 5 dados.

En la(s) Lista(s) [1 y 2] Diceware en Español, las ëpalabrasí son palabras cortas en español [ver ¿Cómo se generó?], en inglés (sencillo), abreviaturas, marcas y cadenas de números y de caracteres fáciles de recordar. La longitud media de las palabras es de 3,26 y 4,4 caracteres respectivamente. Las palabras más largas tienen 6 letras.

La descripción de las listas en otros idiomas (Alemán, Chino, Finés, Francés, Inglés, Polaco y Japonés) se encuentra en las páginas correspondientes. Para más información sobre la Lista en Español, consulte cómo se generó; para otra información más general o especializada, consulte las FAQ de Diceware.
 
 

Uso de Diceware

Para usar la(s) Lista(s) Diceware en Español, Ud. Necesitará uno o más dados (numéricos). Los dados vienen con muchos juegos de mesa y también se venden en tiendas de juguetes, de manualidades y de magia.

Toys "R"Us, El Corte Inglés y otros almacenes los venden. Puede Ud. comprar ëdados certificados para casinoí en casinocom.com, pero eso es más calidad de la necesaria para este propósito.

NO use, en ningún caso, un programa de ordenador o un generador electrónico de dados: NO son aleatorios!

1. Primero, copie y guarde en su ordenador la Lista Diceware en Español (DW-Español-1.txt) Alternativamente puede hacerlo con la Lista Alternativa Diceware en Español (DW-Español-2.txt). La elección entre una y otra sólo depende de la portabilidad entre plataformas que Ud. desee. En la duda, escoja la primera. Imprímala, si lo desea. Luego, vuelva a esta página con el botón ëVolverí de su navegador.

2. Decida después cuántas palabras quiere que tenga su ëfrase de pasoí. Para uso con PGP, S/MIME y programas de cifra similares, recomendamos 5. Si Ud. se siente vago, 4 palabras pueden proporcionar una protección razonable. Para los paranoicos, una ëfrase de pasoí de 6 palabras hará inviable cualquier ataque en un futuro previsible. Para entender por qué, consulte las FAQ de Diceware.

3. Ahora lance un dado cinco veces (o cinco dados ordenados ñde izquierda a derecha--, una vez) por cada palabra que desee, y escriba los resultados, en grupos de 5 dígitos, en un papel. (Use un lápiz y un papel que no dejen huellas en los papeles inferiores, p. ej. NO en un bloque de papel).

4. Busque en la Lista Diceware cada grupo de cinco números y anote la palabra correspondiente (a su derecha). Por ejemplo, "22236" [en  la Lista Diceware en Español (DW-Español-1.txt)] significa que su próxima palabra en la ëfrase de pasoí será "aljibe".

5. Cuando haya terminado, las palabras que haya encontrado serán su nueva ëfrase de pasoí. Memorícelas y luego, destruya el papel o guárdelo en un sitio realmente seguro (Nuestra recomendación es que lo destruya). ¡Y eso es todo!

Ejemplo [en  la Lista 1 Diceware en Español (DW-Español-1.txt)]

Suponga que escoge una frase de 5 palabras, como recomendamos para la mayoría de los usuarios.

Necesitará tirar 5 veces 5 ó 25 dados. Supongamos que sale:

5, 2, 6, 3, 4, 1, 5, 6, 6, 2, 4, 3, 2, 2, 3 , 2, 2, 5, 1, 2, 2, 2, 2, 1,2

Escriba los resultados en una hoja de papel, en grupos de 5, empezando por la izquierda:

52634
15662
43223
22512
22212

Busque entonces en la Lista la palabra contigua a cada número de 5 dígitos:

52634 otro
15662 ???
43223 Lama
22512 s96
22212 algo

Su frase de paso (con espacios entre palabras) será entonces:

otro ??? Lama s96 algo

Total 22 caracteres (contando los espacios).

Es una frase de paso breve y memorizable (tras cierto esfuerzo) y muy fuerte. [Más fácil es "Agosto", 
pero infinitamente menos robusta].

Practique unos ejercicios mnemotécnicos para memorizarla. No ofenderemos su inteligencia con ejemplos.
 

Algunas pistas

Para una máxima seguridad, cerciórese de estar solo, y cierre las cortinas o persianas. Escriba sobre una superficie dura, no sobre un bloque de papel. Una vez que haya memorizado su ëfrase de pasoí (y esté seguro de que la seguirá recordando) queme sus notas, pulverice las cenizas y disponga de ellas en el cuarto de baño.

Si desea usar una copia impresa de la Lista, imprima "DW-Español-1.pdf" (o alternativamente "DW-Español-2.pdf"), sin cambiar la configuración del documento. Esas listas están formateadas para que en 36 páginas de 4 columnas, los 2 primeros dados sean iguales para cada página, lo que facilita la búsqueda.

Tenga cuidado de no marcar la copia impresa de modo alguno, cuando selecciona las palabras.

Si Ud. necesita escoger ëfrases de pasoí con frecuencia, hágase con 5 dados y una caja de cartón o plástico (una caja de 10 CDs, de zapatos, de alimentos para la nevera). Coloque los 5 dados en ella y agite vigorosamente (Al menos 10 sacudidas fuertes) y luego incline la caja, para que los 5 dados se ordenen en una arista. Léalos de izquierda a derecha y de abajo arriba si se han agolpado.

Recomendamos que use la ëfrase de pasoí exactamente como ha sido generada.

Si desea una ëfrase de pasoí más robusta, añada otra palabra con el Método Diceware.

Si su frase, incluidos los espacios entre palabras, resultara de menos de 14 caracteres, le recomendamos volver a empezar desde el principio y crear otra. Lo mismo debe hacer si ha resultado una frase reconocible en español (castellano). Ambas situaciones son muy improbables.

Consulte las FAQ de Diceware para sugerencias sobre cómo memorizar su ëfrase de pasoí.

Temas opcionales que Ud. no necesita realmente conocer

Para una seguridad adicional, sin añadir otra palabra, inserte en su ëfrase de pasoí un carácter especial o un dígito escogido al azar. Esta es la forma de hacerlo con seguridad: lance un dado para escoger una palabra en su ëfrase de pasoí; láncelo otra vez para escoger una letra en la palabra. Láncelo otras 2 veces para escoger el carácter a añadir de la tabla siguiente:

TERCER lanzamiento

     1 2 3 4 5 6

 C 1 ~ ! # $ % ^

 U 2 & * ( ) - =

 A 3 + [ ] \ { }

 R 4 : ; " ' < >

 T 5 ? / 0 1 2 3

 O 6 4 5 6 7 8 9

Para los aficionados a la técnica. Cada palabra de su ëfrase de pasoí Diceware aporta 12.92 bits de entropía, la forma en que se mide la seguridad de una ëfrase de pasoí. Una ëfrase de pasoí Diceware de 5 palabras tendría una entropía mínima de 64.6 bits; con 6 palabras tendría 77.5 bits, con 7 palabras 90.4 bits. Insertar una letra al azar añade aproximadamente 10 bits de entropía. Esto supone, naturalmente, que Ud. realmente mantiene secreta su ëfrase de pasoí.

¿Por qué Diceware?

En Internet hay muchas recomendaciones disponibles sobre cómo escoger una ëfrase de pasoí. Muchas son buenas, unas pocas son malas, pero la mayoría requiere que el usuario juzgue qué le resultará difícil de adivinar a un tercero.

Algunas no dan ninguna guía de cómo hacerlo, otras le fuerzan a hacer cálculos matemáticos complicados.

El método Diceware de generación de frases, por el contrario, es:

o Fácil de aprender y usar

o Muy seguro

o Totalmente prescriptivo: le decimos a Ud. qué hacer en cada paso del proceso

o Transparente: no hay ningún "fíese de mí"

o Gratis: no necesita software ni hardware, sólo la Lista Diceware y algunos dados ordinarios

La naturaleza prescriptiva de Diceware es muy importante para nuevos usuarios de la cifra.

A continuación transcribimos el testimonio de una persona, según lo publicó en Internet newsgroup alt.security.pgp, en enero de 1996:

"Simplemente deseo contar una historia personal sobre cuán difícil es convencer a un novicio de la importancia que tiene escoger una ëpalabra de pasoí segura.

Yo tengo muchos años de experiencia tanto en Internet como en temas de seguridad. Mi hermana, sin embargo, es una total novata y acaba de abrir una cuenta en Internet.

Vive en el medio oeste y yo en la costa del oeste. Por ello, nos intercambiamos bastantes emails personales.

Recientemente, ella quería dar su ëpalabra de pasoí a su marido, para que éste pudiera acceder. Sin embargo ella quería seguir siendo capaz de cruzar mensajes privados conmigo, que él no pudiera leer. Naturalmente, yo la introduje al PGP.

Le di la clase usual sobre lo importante que es escoger una ëpalabra de pasoí que nadie más pueda adivinar con facilidad y le expliqué que la ëpalabra de pasoí ideal debiera ser una oscura y sin sentido que tuviera significado sólo para ella. Le expliqué que no eligiera cumpleaños, aniversarios, nombres y similares.

No sugerí una combinación aleatoria de letras y números porque no perseguíamos una seguridad de primera clase; simplemente queríamos mantener a su marido ajeno a nuestra correspondencia privada.

Una vez que ella escogió su ëpalabra de pasoí para PGP, yo decidí hacer un intento para romper el código. ¡ La PRIMERA ëPALABRA DE PASOí que probé, funcionó ¡

Ella quedó totalmente sorprendida por lo fácilmente que yo la había descubierto, pero era una palabra que cualquiera que conociera a mi hermana podría encontrar fácilmente.

Así, después de darle unas cuantas pistas más sobre selección de una buena ëpalabra de pasoí, la deje probar otra vez. Me costó 3 intentos antes de descubrir la palabra correcta. Finalmente, mi hermana se rindió y me dejó a mí escoger la palabra de paso para ella". [Lo que, evidentemente, no se debe hacer].

Si ella hubiera usado Diceware, las primeras ëfrases de pasoí de la hermana del autor hubieran sido totalmente seguras y conocidas sólo por ella.

Recuerde: en criptografía de clave pública (PKI), la seguridad de su mensaje depende de la ëfrase de pasoí del receptor.

Haga Ud. correr la voz acerca de Diceware.
 
 

Otros Idomas

 

Enlaces y Referencias

Para más información (en su mayoría en inglés) sobre 'frases de paso' y Diceware consulte:

Diceware FAQ Questions and answers for people who want to know more about Diceware and passphrase generation.

Diceware Word List, the list in PostScript format, Beale word list, Diceware8k list for computer generation

A Survey of PGP Passphrase Usage A small poll I ran to find out what PGP users actually do to make passphrases, and some suggestions for improvement.

Diceware for Passphrase Generation and Other Cryptographic Applications Includes info on other uses of

Protecting Passwords by Gary McGraw and John Viega, An article in the IBM Developerworks Security Library that discuss passwords, pasphrases and Diceware.

Passgen: A Password Generator Java Applet Uses keyboard latency to generate random passwords based on a selectable format. Not as secure as the diceware method, but adequate for login passwords and similar applications. Includes source code.

Random Noise Sources A collection of information on sources of randomness for use with computers.

CipherSaber Home Page Learn how to build your own strong encryption program. It's easier than you think!

Other Papers on Cryptography by Arnold Reinhold P=?NP -- who Cares?, Cryptanalysis of Histocompatibility, etc.

S. N. Porter, A Password Extension for Improved Human Factors,

Advances in Cryptology: A Report on CRYPTO 81, Allen Gersho, editor, volume 0, U.C. Santa Barbara Dept. of Elec. and Computer Eng., Santa Barbara, 1982. Pages 81--81. Also in Computers & Security, Vol. 1. No. 1, 1982, North Holland Press.

Oren Tirosh has a site on using wordlists to represent large numbers for cryptographic and other purposes. He has references to a number of interesting wordlists.

For more information on PGP see:

Internet Gurus Central -- Introduction to PGP

MIT's Distribution Site for PGP

PGP International Home Page

Fran Litterio's Cryptography, PGP and Your Privacy Page

PGP Home Page


 

 agr 2004-3-9a