miércoles, 22 de febrero de 2012

John Nash, un criptógrafo maravilloso

El nombre de John Forbes Nash no le es conocido a mucha gente.  Pero mencionen la película Una Mente Maravillosa, que narra su vida, y verá como la cosa cambia.  Nash fue un genio de las matemáticas.  Especialmente conocidos son sus trabajos sobre la teoría de juegos, que a pesar de su nombre es un campo de estudios muy serio, ya que describe las relaciones humanas, económicas y sociales.  Si algún día alguien desarrolla las matemáticas de la psicohistoria de Asimov, hará bien en comenzar por la obra de Nash.  Precisamente por su trabajo en teoría de juegos, Nash fue galardonado con el premio Nobel de Economía en 1994.

En Una Mente Maravillosa, Nash (interpretado por Russell Crowe) trabaja para la inteligencia norteamericana.  O al menos, eso es lo que él se creía, ya que todo era un producto de su mente: Nash sufría de esquizofrenia. Lo que no sabíamos hasta ahora es que, en su momento, Nash intentó entrar en el campo de la criptografía.  Unas cartas que escribió a la Agencia de Seguridad Nacional norteamericana (NSA) han sido recientemente desclasificadas.  La propia NSA, quizá buscando publicidad, ha abierto una exhibición sobre Nash en su Museo Criptológico.

Nash escribió algunas cartas de motu propio, es decir, nadie le consultó sobre el tema.  La correspondencia data de 1955, algunos años antes de que sus problemas mentales comenzaran a manifestarse.  Aun así, la carta es, digámoslo así, algo rara.  Está escrita a mano, en papel con el membrete del Departamento de Matemáticas del MIT, y pedía que no le tomasen por un "profesor chiflado" sólo porque no estaba mecanografiada.

En principio, Nash se refiere al cifrado mediante una función matemática que dependa de r dígitos binarios y de un conjunto de bits relativos al texto llano.  En principio (afirma, subrayado) un enemigo que conozca r bits cifrados podría calcular la clave.  Eso me parece una afirmación algo atrevida, pero no seré yo quien se atreva a contradecir al genio.  Lo que afirma Nash es que, si el proceso de calcular la clave es demasiado largo, tendríamos un sistema de cifrado seguro a efectos prácticos.

Es decir, Nash está sugiriendo algo que ahora se usa en criptografía de clave pública: usar un problema matemático cuya resolución, aunque posible en la práctica, lleve demasiado tiempo.  Afirma a continuación que se podría clasificar los sistemas de cifrado en virtud de su complejidad matemática, es decir, por cómo aumenta la dificultad de recuperar la clave cuando aumentamos el tamaño de ésta.  Lo ideal sería un sistema cuya resistencia aumentara exponencialmente con la clave.  Un ejemplo podría ser el PIN de una tarjeta de crédito: poner un dígito más aumentaría en diez su resistencia frente a ataques de fuerza bruta.

Nash se atreve a afirmar que, cuando los sistemas de cifrado alcance un nive de complejidad exponencial, el criptoanálisis se convertiría en una cosa del pasado; cosa que él mismo reconoce que no puede demostrar.  Y en este punto es donde la cosa se pone interesante, ya que pasa a decir que:

Creo que la máquina de cifrado y descifrado que he inventado e hice transmitir a la N.S.A. por medio de [la corporación] RAND tiene esta propiedad de "irrompible."

Si eso es cierto, eso significa que hubo contacto previo entre la NSA y Nash, hasta el punto de que éste trabajó en una máquina de cifrado, al menos sobre el papel.  En efecto, la carta de respuesta de la NSA incluye una referencia a una interesante discusión [de algunos técnicos de la NSA] con usted hará cuatro años.  Eso era 1951, el año en que Nash escribía "Non-cooperative games" en la revista Annals of Mathematics, en la cúspide de su carrera.  Como anécdota, hay que decir que Nash incluyó una copia de ese artículo en su carta a la NSA, con objeto de que sirviera de "carta de presentación." La documentación interna de la NSA lo refleja así: El autor también incluyó un interesante panfleto sobre Juegos No-Cooperativos, escrito por el Sr. Nash, para nuestra información.

La descripción del sistema criptográfico de Nash aparece en la documentación que la NSA acaba de hacer público es, a mis ojos, un galimatías.  Eso no significa que sea un mal sistema, sino que yo no lo entiendo.  Para ser más correcto, no sé si el sistema que describe es criptográficamente resistente.  El criptoanalista Ronald Rivest (la R de RSA) recientemente publicó el algoritmo de Nash como ejercicio para sus alumnos.  Si le interesa, aquí tiene una copia en Python.  Según Rivest, es un sistema de flujo (stream cypher).  Si funciona bien, sería muy interesante, ya que es muy difícil hacer un algoritmo de cifrado en flujo que carezca de debilidades.  El propio Rivest, no obstante, advierte a sus alumnos -y a nosotros, de paso- que esta tarea es problema abierto ... ni nosotros mismos sabemos la respuesta a la pregunta.

Por supuesto, la pregunta a que se refiere es: ¿funciona el sistema de Nash?   Porque hay un problema: la NSA lo rechazó.  En una carta al autor, se le informa de que los principios criptográficos de su sistema, aunque ingeniosos, no cumplen los requisitos de seguridad necesarios para aplicaciones oficiales.  En un memorandum interno de la NSA (no enviado a Nash, por supuesto), se detalla algo más sobre el sistema de cifrado de Nash: solamente proporciona una seguridad limitada, y requiere una cantidad de equipo comparativamente grande. El principio no se usaría por sí mismo en su forma actual y se considera improbable que haya modificaciones o extensiones adecuadas, a menos que pudiera ser usado en conjunción con otros principios de auto-clave.  La referencia a auto-clave (auto-key) es un sistema mediante el cual el propio mensaje también hace de clave.

Visto lo visto, y considerando la capacidad intelectual que tenía John Nash, estoy deseando que los criptoanalistas profesionales se pongan a destripar este sistema de cifrado. Si hace casi setenta años Nash ya bosquejaba los inicios de la criptografía basada en la complejidad computacional, quién otras sorpresas nos esperan.  ¿Una mente maravillosa?  Puedes apostar a que sí.

miércoles, 15 de febrero de 2012

Ojo con la Google Wallet

Si es usted usuario de Google Wallet, cuidado, su dinero puede estar en peligro.  Ah, te has dado cuenta tú también ...

Recientemente, Google ha inventado una aplicación llamada Google Wallet para poder controlar los pagos por medio del móvil.  Google Wallet está diseñado para ser utilizado con los móviles que tengan capacidad NFC.  Eso significa Near Field Communications, y es una actualización del sistema RFID que tan criticado fue en el pasado.  La idea es convertir el móvil en una especie de tarjeta de crédito.  De conseguirlo, darían un paso de gigante, ya que ahora la gente usa el móvil para todo, y podría incluso permitirles entrar en el campo de los micropagos.

Pero claro, hay que hacer las cosas bien y con cuidado.  La tecnología NFC permite a un atacante espiar los datos del usuario, así que hay que meter cripto en el asunto.  La información sensible como el número de tarjeta de crédito es almacenada de manera cifrada en un elemento llamado SE (Secure Element), protegido contra todo tipo de espionaje electrónico, y el acceso al SE está fuertemente controlado.  Para poder acceder al SE, el sistema Google Wallet pide al usuario un número PIN de cuatro dígitos, y aunque un ladrón se llevase nuestro móvil del bolsillo, necesitaría ese PIN para poder darse un atracón de chuletones a nuestra costa.

Un análisis realizado en diciembre por viaforensics.com muestra un nivel de seguridad elevado.  Intentaron un ataque de intermediario (MITM, Man In The Middle), sin éxito. Tampoco consiguieron obtener información importante del propio móvil.  Pero Android es un sistema operativo basado en Linux, y como tal es posible obtener acceso de administrador ("root access"); no es algo que las operadoras hagan de forma habitual, pero un usuario con conocimientos podría obtenerlo, por ejemplo, para hurgar en las tripas de su móvil, configurarlo de forma especial o instalar ciertos programas.

Cuando los investigadores "rootearon" el móvil, inmediatamente comenzaron a recuperar información sobre las transacciones efectuadas: fecha, nombre del usuario, límite de crédito, tipo de tarjeta de crédito vinculada, etc.  No consiguieron información sensible, como el número de cuenta corriente, el de la tarjeta o el PIN (que se guarda en la SE, es decir, fuera del acceso normal), así que de momento todo va bien.  

Pero otros grupos se envalentonaron y comenzaron sus propios análisis.  Uno de ello, de la web zvelo.com, puso los pelos de punta.  Consiguieron recuperar el PIN.

Para ser justos con Google, hay que reconocer que lo intentaron hacer bien.  En lugar de guardar el PIN en el móvil, lo que hicieron fue lo siguiente: el usuario teclea el PIN, Google Wallet lo pasa por una función hash, y el resultado se compara con otro valor hash guardado en Wallet.  La función hash usada era la robusta SHA256, y usaron el truco de "sal" (una pequeña cadena de datos que se une al PIN antes de someterlo a la acción del hash); es decir, hicieron bien sus deberes.

El problema es que el PIN tiene cuatro dígitos solamente, es decir, solamente hay 10.000 posibles valores del PIN ... y 10.000 posibles valores de hash.  Los investigadores encontraron el valor de la "sal" y se limitaron a probar los 10.000 posibles valores de hash(PIN+sal), uno para cada valor del PIN.  De ese modo, cuando encuentran un PIN "hasheado" en Google Wallet, ya saben a qué PIN pertenece.

Google Wallet permite solamente cinco intentos de introducción de PIN; al quinto fallo, el sistema se bloquea.  Pero el ataque zvelo.com no necesita ir probando, ya que basta con leer el hash y determinar a qué PIN corresponde.  Nuevamente, este ataque requiere acceso root.  Incluso los usuarios que no juegan con sus móviles (no al juego de destriparlos, quiero decir) podrían estar en peligro, si alguien le "pide prestado" su móvil y le abre acceso root.

Sorprendentemente, parece que Google se lo ha tomado de forma muy responsable.  Y digo sorprendentemente, porque lo habitual en estos casos es que la empresa perjudicada se haga el sueco, niegue la mayor y/o amenace con demandas judiciales.  No parece haber sido el caso.  Google ha tomado muy buena nota de ello, y mientras prepara sus actualizaciones ha emitido un comunicado en el que reconoce y describe el problema. La respuesta podría pasar por almacenar la información vital (PIN y sal) en la propia SE, así como impedir o hacer más difícil el acceso root.

Cualquier solución tendrá sus problemas.  En primer lugar, evitar acceso root no será nada fácil, sobre todo si tenemos en cuenta que los móviles que ahora llevan Wallet son el Galaxy Nexus y Nexus S, que se venden como "móviles de desarrolladores," esto es, gente con conocimientos técnicos altos, mucha curiosidad y ganas de comprobar hasta dónde puede llegar su móvil.  Un segundo problema es el legal: si Google impone una solución técnica al sistema, los bancos pueden declinar la responsabilidad en el caso de que algo salga mal.

Para mayor desesperación de Google, pronto se desveló un segundo ataque.  Es tan estúpido que apenas se le puede llamar hacking.  El problema es que Google Wallet está ligado al móvil, no a la cuenta de Google, así que cuando el ladrón.  Digamos que un ladrón le ha robado su móvil, lector.  Lo único que tiene que hacer es entrar en Ajustes y borrar los datos de la aplicación Google Wallet. A continuación, abre Google Wallet.  Como el PIN estaba guardado en los datos borrados, la aplicación actuará como si estuviese recién instalada, así que ¡le pedirá un nuevo PIN!  Sí, así es: borre los datos de Wallet y ábrala, el sistema le pedirá un nuevo PIN, usted mete el que más le guste, y voilá.  Como los datos de la cuenta corriente y la tarjeta de crédito estaban en el SE, no han sido borrados.  A comprarse el Bugatti Veyron se ha dicho, que paga la víctima.  Y lo peor de todo es que no necesita acceso root.

En estos momentos, más de un ingeniero de Google está sudando la gota gorda intentando resolver el problema.  Lo conseguirán o no, eso ya lo veremos.  Pero, como mínimo, hemos de aplaudir el comportamiento de Google.  No es tan común ver a una gran empresa agachar la cabeza y reconocer "sí, es cierto, la cagamos, lo siento, estamos arreglándolo, aquí tienen mi número si tienen algún problema."  Mientras tanto, si usted es usuario de Google Wallet ... no lo rootee, por la cuenta que le trae.

jueves, 9 de febrero de 2012

No hay perdón para Alan Turing

Después de sesenta años, el criptoanalista Alan Turing sigue condenado por indecencia mayor.  Una petición popular de indulto ha sido recientemente rechazada por el gobierno británico.

Seguro que cualquiera que haya estudiado informática habrá oído hablar de Alan Turing.  Quizán no sepan de la vida y milagros de este talento matemático, pero seguro que conocen el test de Turing y la máquina de Turing.  Puede que algunos pocos sepan de su papel como criptoanalista durante la Segunda Guerra Mundial.  Y muy pocos sabrán en qué circunstancias halló la muerte.

Alan Matheson Turing nació en 1912.  Su talento para las matemáticas le permitió graduarse con honores en el King´s College de Londres.  Pronto se centró en el conocido como "problema de decisión" (Entscheidungsproblem).  Propuesto por el matemático David Hilbert en 1928, este problema consistía en determinar si existe un algoritmo, o cadena de pasos lógicos, que permita determinar si una afirmación es verdadera o falsa; dicho de otro modo.  Turing atacó el problema imaginando una máquina calculadora capaz de resolver cualquier problema matemático.  Por medio del concepto de máquina (universal) de Turing consiguió demostrar que la respuesta es negativa.  No hay máquinas capaces de resolver cualquier problema, y no hay forma de demostrar todas las afirmaciones.   Algunas preguntas no tienen respuesta posible.

Turing intentó imaginar cómo podría ser su máquina conceptual, pero la Segunda Guerra Mundial le obligó a posponer su trabajo en ordenadores.  Su capacidad matemática le llevó a la Government Code & Cipher School (GC&CS), una instalación secreta del gobierno ubicada en Bletchley Park y pensada para romper los códigos secretos alemanes.  Junto a Dilly Knox, comenzó a trabajar en el problema de la máquina Enigma usada por las fuerzas armadas alemanas.  En aquellos tiempos, el grupo de criptoanalistas polacos de Marian Rejewski ya había dominado ese tema, pero los ingleses todavía no lo sabían, y el "Tratado de Turing sobre la Enigma" (conocido como "el libro del Profe") fue el "manual" no oficial sobre cómo destripar los códigos Enigma.

Los logros de Alan Turing en el campo del criptoanálisis son enormes, y nos llevaría mucho tiempo detallarlos.  Baste decir que su trabajo fue de enorme importancia.  Desarrolló un invento llamado "bomba," un dispositivo mecánico que permitía obtener las claves Enigma, y dedujo el complicado sistema de indicadores para ajustar la Enigma naval, mucho más difícil que la militar.  Incluso en un lugar tan lleno de talento como Bletchley Park, Turing destacada sobre los demás.  Era un gigante entre los grandes.  La importancia que tenía en aquellos momentos el centro de descifrado queda ejemplarizada con una conocida anécdota.  En octubre de 1941, hartos de trabas burocráticas, Turing y otros tres criptoanalistas (Welchman, Alexander y Milner-Barry) puentearon los canales oficiales y enviaron una carta al primer ministro contándole los problemas que estaban teniendo.  Churchill, que tenía en alta estima a sus "gansos que ponían huevos de oro y nunca cacareaban," tomó cartas en el asunto, y en un memorándum a su asesor militar dictó una famosa Orden del Día:

Asegúrese de que tengan todo lo que quieran, con prioridad extrema, e infórmeme de que se haya hecho así

... y me permito recordar al lector que, con una guerra en múltiples frentes y la propia supervivencia del país en juego, "prioridad extrema" son palabras mayores.

Terminada la guerra, Turing se dedicó al diseño del que sería su "maquina Universal" hecha realidad, el ACE (Automatic Computing Engine). Entre sus muchos logros, encuentro en la Wikipedia que fue él quien desarrolló un método de resolución de matrices denominado "descomposición LU," y que yo utilizo en mi trabajo de simulación científica (Moe, código fuente).

Pero todos los logros de Turing fueron inútiles para ayudarle en lo que se le venía encima.  Resulta que era homosexual, y eso no solamente lo convertía en un peligro de seguridad (por los riesgos de chantaje) sino que además era ilegal.  Los superiores de Turing durante la guerra, o no sabían de su condición, o miraron para otro lado.  Pero en 1952, la cosa cambió.  En enero, la casa de Turing fue asaltada, y el ladrón resultó ser un amigo Alan Murray, que vivía con Turing.  Éste fue a dar parte del robo a la policía, y casi sin darle importancia reconoció que tenía una aventura con el tal Murra.  Tal como relata Stephen Budiansky en Battle of Wits, "buscar ladrones era un trabajo duro, pero procesar a gente que entra en la comisaría de policía y ofrece una confesión era fácil.

¿Y qué delito había cometido Alan Turing?  Indecencia mayor, un delito reflejado en la ley penal de entonces.  No importaba que fuese una ley de la era victoriana (1885, nada menos).  En lugar de molestarse en buscar al ladrón, Turing se convirtió en la víctima.  El gobierno británico tardó poco en retirarle la acreditación de seguridad, en un movimiento que recuerda vagamente al de Oppenheimer, el padre de la bomba atómica, apartado de su cargo tras la guerra por pretendidas simpatías comunistas.  Turing fue retirado de su trabajo con ordenadores, se le prohibió continuar sus labores de consultoría con el GCHQ (Government Communications HeadQuarters, sucesor del GC&CS), y solamente se libró de una condena de dos años de cárcel a cambio de someterse a una terapia hormonal (un modo de castración química, en realidad).  Tras dos años de profunda depresión, el 7 de junio de 1954 mordió una manzana impregnada en cianuro y se suicidó.  Tenía cuarenta y dos años.

El hombre que en 1999 fue escogido por la revista Time como una de las cien personas más importantes del siglo XX hizo una contribución invalorable al esfuerzo de guerra aliado.  Su nombre es mítico en el mundo de la informática, y 2012 ha sido declarado Año de Alan Turing en Inglaterra.  Incluso le acaban de dedicar un sello de correos.  Pero, a pesar de ello, sigue pesando sobre él la losa de esa condena por "indecencia mayor."  El 10 de septiembre de 2009, tras una campaña pública, el primer ministro Gordon Brown realizó una declaración de disculpa:

"Su tratamiento fue, por supuesto, de lo más injusto, y me alegro de tener esta oportunidad para decir lo profundamente que lamento lo que le ocurrió ... Es gracias a ... gente como Alan Turing que los horrores del Holocausto y de la guerra total son parte de la historia de Europa, y no de su presente. En nombre del gobierno británico, y de todos aquellos que viven libres gracias al trabajo de Alan, me siento orgulloso de decir: lo sentimos, se merecía usted algo mejor"

Pero a pesar de ello, mucha gente consideraba que Alan Turing debía ser reivindicado de forma más formal, mediante un indulto póstumo.  Parece lo mismo, pero hay matices importantes.  Una disculpa (apology) era una forma de decir "perdón, le tratamos mal," y un indulto (pardon) es algo así como "usted no hizo nada malo."  Cuando la disculpa de Gordon Brown, hubo quien pensó que había que pedir disculpas a Turing por lo mal que lo trataron, pero que realmente se le condenó por una ley vigente en su epoca.

Y así acaba de suceder.  Una reciente petición de indulto admitida a trámite en la Cámara de los Lores acaba de ser rechazada por el gobierno británico.  Los motivos aducidos por el ministro de Estado son estos:

"No se consideró un indulto póstumo, ya que Alan Turing fue condenado por lo que en aquel tiempo era una ofensa penal.  Debía haber sabido que su delito era contra la ley y que sería procesado.  Es trágico que Alan Turing fuera condenado por un delito que ahora parece tanto cruel como absurdo, particularmente si tenemos en cuenta su sobresaliente contribución al esfuerzo de guerra.  Sin embargo, la ley de aquellos tiempos exigía un procesamiento, y la política al respecto ha sido siempre aceptar que tales condenas tuvieron lugar, en lugar de intentar alterar el contexto histórico"

Lo triste del asunto es que, técnicamente, el señor Lord tiene razón.  Turing fue juzgado y condenado por leyes vigentes en aquel momento.  Pero según ese razonamiento, también deberíamos aceptar la validez el Holocausto judío porque era legal según las leyes alemanas de la época.  Todavía tenemos los españoles el sambenito de bárbaros incivilizados por la herencia de la Inquisición ... que también actuó legalmente en su momento.  Que una ley sea legítima no la hace necesariamente justa.

¿Revisionismo histórico?  No, señores.  Justicia.  Pura y simple justicia.

sábado, 4 de febrero de 2012

El teléfono satélite ya no mola

Imagino que lo habréis visto en el cine.  Uno de los protagonistas habla por teléfono con un móvil grande y pesado, de esos que recuerdan a un ladrillo.  Es grueso, negro y tiene una antena enorme.  No se parece en nada a esos smartphones finos y estilizados que nos regalan al cambiarnos de operadora.

Se trata de un teléfono satélite, que se basa en una red de satélites de comunicación para poder llamar desde todo el mundo.  Cuando comenzaron a desarrollarse, parecían tener un nicho comercial asegurado.  Pero la telefonía GSM ha tapizado el planeta de punta a rabo, y los ejecutivos agresivos no tienen más que bajarse del avión, buscar la red adecuada y usar su móvil.

Sin embargo, el negocio de teléfonos satélite, aunque muy disminuido, sigue existiendo.  Resulta particularmente útil en zonas donde la cobertura de móvil tradicional es escasa o inexistente.  Thuraya, por ejemplo, proporciona servicio telefónico en zonas de Oriente Medio y África; y la más conocida red Inmarsat permite comunicar en prácticamente cualquier lugar de la tierra y del mar.

De estos dos operadores vamos a hablar hoy, porque un grupo de investigadores alemanes les acaban de sacar los colores.  Benedikt Driessen y Ralf Hund, de la Universidad del Ruhr - Bochum decidieron averiguar qué tipo de sistemas de cifrado utilizan los teléfonos de Thuraya e Inmarsat.  Descubrieron que los principales algoritmos criptográficos tenían los nombres código de GMR-1 (Thuraya) y GMR-2 (Inmarsat), pero oficialmente no había más información disponible.  Esos algoritmos son propietarios y se mantienen en secreto.  La creencia es que, si el enemigo no sabe cómo es tu sistema de cifra, no podrá atacarlo.

Este supuesto, que suele conocerse con el nombre de seguridad mediante oscuridad, ha sido desacreditado hasta la extenuación.  Nos llevaría mucho tiempo listar siquiera todos los sistemas de seguridad criptográfica que han sido mantenidos en secreto, pero que al final se han hecho públicos.  Sencillamente, no sirve.  El adversario puede capturar una copia de tu sistema, o bien reconstruirlo analizando cómo funciona (ingeniería inversa).  Si los alemanes fueron incapaces de mantener el secreto de la máquina Enigma, ¿pueden hacerlo mejor los operadores de telefonía actuales?

Para destripar GMR-1, Driessen y Hund tuvieron un par de elementos a su favor.  El primero consiste en cómo utiliza el sistema de cifrado en el móvil.  Como la telefonía satélite no tiene tantos usuarios y había que ahorrar, la operadora decidió implementar el cifrado en software, no en hardware.  Eso significa que resulta mucho más fácil hacer ingeniería inversa.  Solamente tienes que extraer el programa donde esté guardado (normalmente, un chip estándar), o mejor aún, esperar a que hagan una actualización de firmware.

El segundo paso es tan sencillo que resulta increíble.  Resulta que el algoritmo de cifrado de GMR-1 es muy similar al A5/2, usado en telefonía móvil GSM.  Imagino que esto sería por motivos de interoperabilidad: según la Wikipedia, el último teléfono de Thuraya puede usar una tarjeta SIM convencional (como la de su móvil, lector) y operar con redes GSM además de con los satélites.  El problema es que A5/2 es tan seguro al criptoanálisis actual como una hoja de papel frente a una motosierra.

Si desea ampliar información, puede usted leer los detalles en este artículo (lo escribí en 2004, pero sigue siendo útil).  Le haré un resumen.  A5 es el algoritmo usado por los teléfonos GSM para el cifrado de voz.  Una serie de ataques criptoanalíticos llevados a cabo durante los últimos 10-15 años  ha hecho que no se pueda considerar inútil para proporcionar seguridad.  Cualquier persona con conocimientos técnicos y algunos medios sencillos podría descifrar las comunicaciones GSM sin mayor inconveniente.

Para empeorar las cosas, el algoritmo A5 tiene dos "sabores."  El fuerte, llamado A5/1, es el que proporciona mejor seguridad.  Una versión más débil, llamada A5/2, fue autorizada para su venta en países que pudieran ser un riesgo para Occidente.  Vamos, que ni Estados Unidos ni Europa querían que un dictador del Tercer Mundo utilizase criptografía fuerte en sus móviles.

Como ya he dicho, incluso la variante A5/1 es, en la práctica, poco mejor que nada; pero usar A5/2 a estas alturas en un sistema reciente es de un catetos.  Peor aún, los investigadores alemanes dedujeron que el algoritmo GMR-1 es aún más débil que el A5/2, hasta tal punto que solamente requiere texto cifrado (es decir, captar las comunicaciones ya cifradas).  Todo el ataque puede llevarse a cabo en apenas treinta minutos de tiempo de un PC normal y corriente.

El sistema de Inmarsat no es mucho mejor.  Aunque no parece basarse en A5, tiene también sus rarezas: parece que tiene elementos del sistema de cifrado DES, un algoritmo de cifrado simétrico que no tiene nada que ver con telefonía.  Con una cantidad mínima de texto cifrado y de computación, se puede extraer la clave del sistema.

Desafortunadamente, los autores todavía no han publicado su descubrimiento, así que carecemos de más detalles.  Lo que sabemos, no obstante, deja claro que los teléfonos móviles de Thuraya e Inmarsat son más inseguros que el zapatófono del Superagante 86.