|
Copyright (c) 2003 by Manuel Palao, CISM, CISA
(manuel@palao.com). Reservados todos los derechos. Arnold G. Reinhold, Diceware y Manuel Palao no se
responsabilizan en modo alguno de este
método Procuraremos atender cualquier crítica o comentario a este método dirigida a manuel@palao.com. |
|
|
Diceware en Español (Dice, en Diceware, es ëdadosí, en inglés). Esta página es una traducción / adaptación parcial autorizada de la página The Diceware Passphrase Home Page Esta página sólo tiene un propósito: comunicarle a Ud. una forma mejor de crear una ëfrase de pasoí para su uso con PGP, GPG, Hushmail y otros programas de cifra (criptografía) y seguridad. La información presentada aquí la puede usar cualquiera. No se necesita tener una preparación en cifra o en matemáticas. Si a Ud. le importa la privacidad lo suficiente para usar la cifra, invierta unos minutos y aprenda cómo hacerlo bien. FAQ ñ Esta página está también disponible en Chino, Finés, Francés, Inglés (la original) Polaco, y Japonés. Hay también una ëlista Dicewareí en Alemán. ¿Qué es una ëFrase de Pasoí? Una ëfrase de pasoí en un grupo de palabras y caracteres que Ud. teclea en su ordenador para comunicarle con certeza que la persona que está tecleando es Ud. Usa Ud. una ëfrase de pasoí cuando desea que el ordenador haga algo especial, como cifrar o descifrar un mensaje secreto. El popular programa de cifra PGP de Phil Zimmermann, por ejemplo, requiere que Ud. construya una ëfrase de pasoí, que Ud. introduce cada vez que firma o descifra un mensaje. Lo mismo sucede con la nueva versión de código abierto de GPG. Un servicio de Internet llamado HushMail ofrece un servicio de e-mail cifrado, gratuito, pero su seguridad depende casi completamente de la calidad de la ëfrase de pasoí que Ud. escoja. Consulte las FAQ de Diceware, si se propone usar HushMail). Antes de crear sus claves en PGP, GPG o de abrir una nueva cuenta en Hushmail, Ud. debería seguir las instrucciones de Diceware y tener preparada su ëfrase de pasoí. Las ëfrases de pasoí se diferencian de las ëpalabras de pasoí sólo por su longitud. Las ëpalabras de pasoí son normalmente cortas: 6 a 10 caracteres. Las ëpalabras de pasoí cortas son adecuadas para acceder a ordenadores que están programados para detectar un gran número de intentos incorrectos, pero no son seguras en sistemas de cifra. Las ëfrases de pasoí son normalmente mucho más largas: hasta 100 caracteres o más. Su mayor longitud hace a las ëfrases de pasoí más seguras. Las ëfrases de pasoí modernas fueron inventadas por Sigmund N. Porter en 1982. Si todo lo que Ud. necesita en este momento es una breve ëpalabra de pasoí para acceso, pinche aquí. Si no, siga leyendo. Escoger una buena ëfrase de pasoí es una de las cosas más importantes que Ud. puede hacer para preservar la privacidad de sus datos de ordenador y mensajes de e-mail. Una ëfrase de pasoí debiera ser: o Conocida sólo por Ud. ¿Qué es Diceware? Diceware es un método de elección de ëfrases de pasoí que emplea dados (dice, en inglés) para seleccionar aleatoriamente palabras de una lista especial llamada la Lista Diceware. Cada palabra en la lista está precedida por un número de 5 dígitos. Todos los dígitos están entre 1 y 6, lo que permite usar el resultado de lanzar 5 dados, para seleccionar de la lista una palabra única. Sigue un breve extracto de la lista Diceware en Español: 22156 alfa La lista completa contiene exactamente 7776 ëpalabrasí no repetidas. 7776 son las posibles combinaciones de 5 dados. En la(s) Lista(s) [1 y 2] Diceware en Español, las ëpalabrasí son palabras cortas en español [ver ¿Cómo se generó?], en inglés (sencillo), abreviaturas, marcas y cadenas de números y de caracteres fáciles de recordar. La longitud media de las palabras es de 3,26 y 4,4 caracteres respectivamente. Las palabras más largas tienen 6 letras. La descripción de las
listas en otros idiomas (Alemán,
Chino, Finés, Francés, Inglés, Polaco y
Japonés) se
encuentra en las páginas correspondientes. Para
más información sobre la Lista en
Español, consulte cómo
se generó;
para otra información más general o
especializada, consulte las FAQ
de Diceware. Para usar la(s) Lista(s) Diceware en Español, Ud. Necesitará uno o más dados (numéricos). Los dados vienen con muchos juegos de mesa y también se venden en tiendas de juguetes, de manualidades y de magia. Toys "R"Us, El Corte Inglés y otros almacenes los venden. Puede Ud. comprar ëdados certificados para casinoí en casinocom.com, pero eso es más calidad de la necesaria para este propósito. NO use, en ningún caso, un programa de ordenador o un generador electrónico de dados: NO son aleatorios! 1. Primero, copie y guarde en su ordenador la Lista Diceware en Español (DW-Español-1.txt) Alternativamente puede hacerlo con la Lista Alternativa Diceware en Español (DW-Español-2.txt). La elección entre una y otra sólo depende de la portabilidad entre plataformas que Ud. desee. En la duda, escoja la primera. Imprímala, si lo desea. Luego, vuelva a esta página con el botón ëVolverí de su navegador. Ejemplo [en la Lista 1 Diceware en Español (DW-Español-1.txt)] Suponga que escoge una frase de 5 palabras, como recomendamos para la mayoría de los usuarios. Necesitará tirar 5 veces 5 ó 25 dados. Supongamos que sale: 5, 2, 6, 3, 4, 1, 5, 6, 6, 2, 4, 3, 2, 2, 3 , 2, 2, 5, 1, 2, 2, 2, 2, 1,2 Escriba los resultados en una hoja de papel, en grupos de 5, empezando por la izquierda: 52634 Busque entonces en la Lista la palabra contigua a cada número de 5 dígitos: 52634 otro Su frase de paso (con espacios entre palabras) será entonces: otro ??? Lama s96 algo Total 22 caracteres (contando los espacios). Es una frase de paso breve y
memorizable (tras cierto esfuerzo) y muy fuerte.
[Más fácil es "Agosto", Practique unos ejercicios
mnemotécnicos para memorizarla. No ofenderemos su
inteligencia con ejemplos. Algunas pistas Para una máxima seguridad, cerciórese de estar solo, y cierre las cortinas o persianas. Escriba sobre una superficie dura, no sobre un bloque de papel. Una vez que haya memorizado su ëfrase de pasoí (y esté seguro de que la seguirá recordando) queme sus notas, pulverice las cenizas y disponga de ellas en el cuarto de baño. Si desea usar una copia impresa de la Lista, imprima "DW-Español-1.pdf" (o alternativamente "DW-Español-2.pdf"), sin cambiar la configuración del documento. Esas listas están formateadas para que en 36 páginas de 4 columnas, los 2 primeros dados sean iguales para cada página, lo que facilita la búsqueda. Tenga cuidado de no marcar la copia impresa de modo alguno, cuando selecciona las palabras. Si Ud. necesita escoger ëfrases de pasoí con frecuencia, hágase con 5 dados y una caja de cartón o plástico (una caja de 10 CDs, de zapatos, de alimentos para la nevera). Coloque los 5 dados en ella y agite vigorosamente (Al menos 10 sacudidas fuertes) y luego incline la caja, para que los 5 dados se ordenen en una arista. Léalos de izquierda a derecha y de abajo arriba si se han agolpado. Recomendamos que use la ëfrase de pasoí exactamente como ha sido generada. Si desea una ëfrase de pasoí más robusta, añada otra palabra con el Método Diceware. Si su frase, incluidos los espacios entre palabras, resultara de menos de 14 caracteres, le recomendamos volver a empezar desde el principio y crear otra. Lo mismo debe hacer si ha resultado una frase reconocible en español (castellano). Ambas situaciones son muy improbables. Consulte las FAQ de Diceware para sugerencias sobre cómo memorizar su ëfrase de pasoí. Temas opcionales que Ud. no necesita realmente conocer Para una seguridad adicional, sin añadir otra palabra, inserte en su ëfrase de pasoí un carácter especial o un dígito escogido al azar. Esta es la forma de hacerlo con seguridad: lance un dado para escoger una palabra en su ëfrase de pasoí; láncelo otra vez para escoger una letra en la palabra. Láncelo otras 2 veces para escoger el carácter a añadir de la tabla siguiente: TERCER lanzamiento 1 2 3 4 5 6 C 1 ~ ! # $ % ^ U 2 & * ( ) - = A 3 + [ ] \ { } R 4 : ; " ' < > T 5 ? / 0 1 2 3 O 6 4 5 6 7 8 9 Para los aficionados a la técnica. Cada palabra de su ëfrase de pasoí Diceware aporta 12.92 bits de entropía, la forma en que se mide la seguridad de una ëfrase de pasoí. Una ëfrase de pasoí Diceware de 5 palabras tendría una entropía mínima de 64.6 bits; con 6 palabras tendría 77.5 bits, con 7 palabras 90.4 bits. Insertar una letra al azar añade aproximadamente 10 bits de entropía. Esto supone, naturalmente, que Ud. realmente mantiene secreta su ëfrase de pasoí. ¿Por qué Diceware? En Internet hay muchas recomendaciones disponibles sobre cómo escoger una ëfrase de pasoí. Muchas son buenas, unas pocas son malas, pero la mayoría requiere que el usuario juzgue qué le resultará difícil de adivinar a un tercero. Algunas no dan ninguna guía de cómo hacerlo, otras le fuerzan a hacer cálculos matemáticos complicados. El método Diceware de generación de frases, por el contrario, es: o Fácil de aprender y usar La naturaleza prescriptiva de Diceware es muy importante para nuevos usuarios de la cifra. A continuación transcribimos el testimonio de una persona, según lo publicó en Internet newsgroup alt.security.pgp, en enero de 1996: "Simplemente deseo contar una historia personal sobre cuán difícil es convencer a un novicio de la importancia que tiene escoger una ëpalabra de pasoí segura. Si ella hubiera usado Diceware, las primeras ëfrases de pasoí de la hermana del autor hubieran sido totalmente seguras y conocidas sólo por ella. Recuerde: en criptografía de clave pública (PKI), la seguridad de su mensaje depende de la ëfrase de pasoí del receptor. Haga Ud. correr la voz acerca
de Diceware.
Enlaces y Referencias Para más información (en su mayoría en inglés) sobre 'frases de paso' y Diceware consulte: Diceware FAQ Questions and answers for people who want to know more about Diceware and passphrase generation. Diceware Word List, the list in PostScript format, Beale word list, Diceware8k list for computer generation A Survey of PGP Passphrase Usage A small poll I ran to find out what PGP users actually do to make passphrases, and some suggestions for improvement. Diceware for Passphrase Generation and Other Cryptographic Applications Includes info on other uses of Protecting Passwords by Gary McGraw and John Viega, An article in the IBM Developerworks Security Library that discuss passwords, pasphrases and Diceware. Passgen: A Password Generator Java Applet Uses keyboard latency to generate random passwords based on a selectable format. Not as secure as the diceware method, but adequate for login passwords and similar applications. Includes source code. Random Noise Sources A collection of information on sources of randomness for use with computers. CipherSaber Home Page Learn how to build your own strong encryption program. It's easier than you think! Other Papers on Cryptography by Arnold Reinhold P=?NP -- who Cares?, Cryptanalysis of Histocompatibility, etc. S. N. Porter, A Password Extension for Improved Human Factors, Advances in Cryptology: A Report on CRYPTO 81, Allen Gersho, editor, volume 0, U.C. Santa Barbara Dept. of Elec. and Computer Eng., Santa Barbara, 1982. Pages 81--81. Also in Computers & Security, Vol. 1. No. 1, 1982, North Holland Press. Oren Tirosh has a site on using wordlists to represent large numbers for cryptographic and other purposes. He has references to a number of interesting wordlists. For more information on PGP see: Internet Gurus Central -- Introduction to PGP MIT's Distribution Site for PGP |
|
agr 2004-3-9a |