La Suite B de la NSA fue un conjunto de algoritmos criptográficos públicos aprobados por el NIST[1] y disponibles comercialmente, certificados por la NSA, que podían ser usados como base criptográfica por aplicaciones comerciales y también para ciertos tipos de información clasificada de los Sistemas de Seguridad Nacional de los Estados Unidos hasta nivel Top Secret (CNSSP-15).[2][3] La Suite B también sirvió como una base criptográfica interoperable para información clasificada y no clasificada.[2][3] La Suite B establecía dos categorías: suficiente para proteger la información hasta nivel SECRET, llamada Suite 1, y suficiente para proteger la información TOP SECRET, llamada Suite 2.[4][5] Para niveles de secreto más alto la NSA tiene la Suite A.[6]
Para productos que usaban la Suite B como base criptográfica, la NSA creó certificaciones de productos hardware y software, usables para datos clasificados en Sistemas de Seguridad Nacional (NSS).[7] Creó una para productos de tipo GOTS (GOTS-for-secret) y otra para productos de tipo COTS[5] (CSfC).[7] Muchos factores se tienen que cumplir para determinar si un dispositivo particular debe ser usado para satisfacer un requisito particular, como por ejemplo: la calidad e la implementación del algoritmo criptográfico, requisitos operacionales de actividades asociadas con la aprovación de claves y gestión de claves o requisitos de interoperabilidad.[1] Hay varias formas de probar, evaluar y certificar equipos criptográficos como por ejemplo: Cryptographic Module Verification Program (CMVP), Common Criteria Evaluation and Validation Scheme (CCEVS) o la evaluación por parte de la NSA.[1]
Para potenciar el uso de la Suite B la NSA:[7]
- Trabajó con el NIST y con IETF para asegurar de que los estándares de la industria y protocolos incluían los algoritmos de la Suite B.
- Realizó muchas iniciativas de infraestructura para que se incorporaran los algoritmos de la Suite B (Ej. DoD Public Key Infrastructure (PKI), Key Management Infrastructure (KMI) y la Suite B-compliant commercial PKI ).
Motivación
Los algoritmos de la Suite A, certificados por la NSA para su uso con información clasificada del Gobierno Federal de los Estados Unidos eran usados en productos de Tipo 1.[5] Antes de que un producto reciba esta certificación, tiene que superar un riguroso proceso de análisis y prueba que asegure la integridad y habilidad del dispositivo para cumplir los estándares de seguridad exigidos por la NSA.[5] Este proceso puede ser caro y requerir mucho tiempo tanto para el gobierno como para la industria.[5] Además, lo entornos con productos de Tipo 1 generalmente son considerados complejos y difíciles de manejar porque los requisitos y procesos para la protección del dispositivo y sus algoritmos son significativos.[5] En definitiva, desarrollar la criptografía construida a propósito para la NSA (GOTS) no era eficiente ni eficaz y producía un sobrecoste en tiempo y dinero.[5][8] Para solucionar ese problema era necesario aprovechar que la industria ofrecía soluciones comerciales que ofrecían grado de seguridad aceptables excepto para ciertos casos especiales.[8] Por otro lado el tiempo apremiaba ya que la revolución de los PC hacía imposible a la NSA mantener el cifrado fuera del alcance de los usuarios comunes y de la industria.[9]
Por todas estas razones la NSA desarrolló proyectos que establecieran formas de securizar comunicaciones de información clasificada sin requerir certificación de tipo 1 y la Suite B, certificada por la NSA para proteger información no clasificada y la mayoría de la información clasificada (CNSSP-15),[3] surgió como respuesta a esta situación problemática.[8][9]
Historia
El 16 de febrero de 2005, en la conferencia de RSA, la NSA presentó su estrategia y recomendaciones para la securización de información gubernamental sensible y no clasificada[10] Indicaban que la NSA y el NIST habían estado trabajando para ofrecer un conjunto público de algoritmos avanzados y estandarizados, llamado Suite B, que pudieran ser usados para proteger información clasificada y no clasificada.[10][8]
En octubre de 2012 el CNSSP 15 (Committee on National Security Systems Policy 15) específica el uso de estándares públicos para protocolos y algoritmos criptográficos de interoperabilidad que protejan los sistemas de seguridad nacional (NSS, del inglés National Security Systems)[8][11] Este documento se refiere a RSA, DH y DSA como algoritmos heredados y requiere que su uso se suspenda antes del 1 de octubre de 2015 para a partir de entonces confiar exclusivamente en algoritmos ECC para criptosistema de clave pública.[12]
En julio de 2015 se emitió el CNSS Advisory Memorandum 02-15 anunciando la actualización de la lista de algoritmos criptográficos que se pueden usar en organizaciones que ejecutan Sistemas de Seguridad Nacional (NSS) clasificados o no clasificados, y para proveedores que construyan productos usados en NSS.[12][13][8] Un posterior documento llamó al conjunto de nuevos algoritmos como Suite de Algoritmos de Seguridad Nacional Comercial o Suite CNSA (del inglés Commercial National Security Algorithm Suite).[12] Esta actualización fue justificada por la NSA debido al progreso en la computación cuántica y se indicaba que ese progreso a largo plazo provocaría que la criptografía de curvas elípticas fuera inutilizable y se tendría que en el futuro se tuviera que evolucionar a algoritmos resistentes a la computación cuántica.[12] En la Suite CNSA no se permite DSA y se anula la obligatoriedad de usar algoritmos ECC para criptosistema de clave pública, soportando RSA y DH, alegando razones económicas.[12]
Además, el documento pasa el estatus de algoritmos de heredado a soportado por razones económicas y no quere obligar a los operadores de NSS a pagar por dos actualizaciones criptográficas: primero de RSA / Diffie-Hellman a ECC y luego desde ECC hasta criptografía resistente a algoritmos cuánticos.[14][12] Además, también insinúan otras razones, diciendo que la NSA ha llegado a apreciar que algunos de estos sistemas heredados estarán disponibles por mucho más tiempo de lo que habína planeado y que la comunidad externa parece estar cambiando un poco hacia el uso de otras curvas elípticas.[12]
En julio de 2018, el RFC 8423 la NSA reemplazó la Suite B por la Suite CNSA.[15]
Ventajas
Respecto a la Suite A mejora el rendimiento, elimina los flujos de trabajo engorrosos y estrictos requisitos de manejo, permiten interoperabilidad y soporta dispositivos móviles disponibles comercialmente, todo ello a un menor coste.[3] Suite‐B representó, en su momento, la criptografía comercial disponible más fuerte, más segura y más eficiente[8]
Algoritmos
La Suite B está formada por el subconjunto de los algoritmos criptográficos aprobados por el NIST siguientes:[3][10][1]
- Algoritmo de cifrado simétrico: Advanced Encryption Standard (AES) - FIPS 197, con tanaño de clave 128 bits (para hasta SECRET) o 256 bits (para hasta TOP SECRET) usados con Modo Galois/Counter (GCM).
- Algoritmo de firma digital: Elliptic-Curve Digital Signature Algorithm (ECDSA) - FIPS 186-2, con ECC 128 bits de seguridad usando P-256 (hasta nivel SECRET) o con 192 bits de seguridad usando P-384 (hasta nivel TOP SECRET).[9]
- Establecimiento de claves: Elliptic-Curve Diffie-Hellman (ECDH) o Elliptic Curve MQV (ECMVQ) - NIST Special Publication 800-56, con 256-bit prime mod. (hasta nivel SECRET) o con 384-bit prime modulus (hasta nivel TOP SECRET). En 2008 ECMVQ fue eliminado debido a sus debilidades[16] y por ciertas restricciones de patentes.[6]
- Función hash criptográfica: SHA-2 - FIPS 180-2, SHA-256 (hasta nivel SECRET) y SHA-384 (hasta nivel TOP SECRET)
Inicialmente ECDH y ECDSA eran los únicos algoritmos de clave pública de la lista.[12] Posteriormente se habilitó el uso de RSA, DH y DSA con un módulo de 2048 bits para hasta el nivel SECRET, manteniendo ECDH y ECDSA como los únicos para nivel TOP SECRET.[12] El CNSSP 15 se refirió a RSA, DH y DSA como algoritmos heredados y requirió que su uso se suspendiera antes del 1 de octubre de 2015 para a partir de entonces confiar exclusivamente en algoritmos ECC para criptosistema de clave pública.[12]
Protocolos
Distintos protocolos de Internet se han adaptado para usar Suite B. Por ejemplo:[17][3][10][18]
- IPsec: IETF RFC 4869 Suite B Cryptography for IPsec, que fue sustituido por IETF RFC 6379 Suite B Cryptographic Suites for IPsec
- TLS: IETF RFC 5246 The Transport Layer Security (TLS) Protocol Version 1.2 y IETF RFC 5430 Suite B Cipher Suites for TLS, el cual fue sustituido por IETF RFC 6460 Suite B Profile for Transport Layer Security (TLS).
- SSH: IETF RFC 5647 “AES Galois Counter Mode for the Secure Shell Transport Layer Protocol”
- S/MIME: IETF RFC 5008 "Suite B in Secure/Multipurpose Internet Mail Extensions (S/MIME)", que fue sustituido por IETF RFC 6318.
Referencias
- ↑ a b c d Fact Sheet NSA Suite B Cryptography. nsa.gov. 11 de diciembre de 2005
- ↑ a b SECROM UC.What is the NSA's Suite A & B?. secrom.com
- ↑ a b c d e f ARUBAOS ADVANCED CRYPTOGRAPHY MODULE. aruba (Hewlett Packard Enterprise Company).2020
- ↑ 5 estrategias recomendadas por la NSA para mejorar la seguridad de su VPN. tecnotraffic.net
- ↑ a b c d e f g Envisioning the Future of Secure Communications. Juniper Networks. 2015
- ↑ a b A RIDDLE WRAPPED IN AN ENIGMA. NEAL KOBLITZ y ALFRED J. MENEZES
- ↑ a b c Embedded Systems Security: Practical Methods for Safe and Secure Software and System Developmnet. David Kleidermacher y Mike Kleidermacher. Elsevier Inc. 2012
- ↑ a b c d e f g What is Suite B?. Acumen Security
- ↑ a b c A Few Thoughts on Cryptographic Engineering. Matthew Green. 22 de octubre de 2015
- ↑ a b c d La Suite B de la National Security Agency. Anna Rio. Universitat Politècnica de Catalunya. Noviembre de 2006
- ↑ Policies.cnss.gov
- ↑ a b c d e f g h i j NSA’s FAQs Demystify the Demise of Suite B, but Fail to Explain One Important Detail.Francisco Corella. pomcor.com. 9 de febrero de 2016
- ↑ Commercial National Security Algorithm Suite and Quantum Computing FAQ. Agencia de Seguridad Nacional y Servicio Central de Seguridad. Enero de 2016
- ↑ Frequently Asked Questions. Quantum Computing and Post-Quantum Cryptography. National Security Agency. Agosto de 2021
- ↑ RFC 8423 - Reclassification of Suite B Documents to Historic Status
- ↑ Contemporary Cryptography. Second Edition. Rolf Oppliger. Artech House. 2011
- ↑ National Security Agency Perspective on Key Management. Petrina Gillman. IEEE Key Management Summit. 5 May 2010
- ↑ IETF Datatracker