CRIPTOGRAFÍA IMPRESENTABLE - Los códigos del Armagedón
Si hay un campo donde el uso de la criptografía resulte literalmente asunto de vida o muerte, es el de las armas nucleares. Durante cincuenta años las potencias nucleares han jugado al ratón y al gato, e incluso hoy día hay millares de tales armas pululando por el mundo. Que los grupos terroristas puedan hacerse con una ya es una posibilidad aterradora, pero no tenemos más que retrotraernos a la Guerra Fría para convencernos sobre la imperiosa necesidad de mantener un fuerte control sobre las armas nucleares.
Nos gusta pensar que las naciones que poseen la Bomba son serias y responsables, pero como dijo Isaac Asimov una vez, contra la estupidez los propios dioses luchan en vano. O, como dijo Murphy: si algo puede salir mal, saldrá mal. Países como Ucrania, Rusia, la Francia de De Gaulle o la China de tiempos de Tiananmen son ejemplos en los que las estructuras políticas nacionales se sacuden hasta sus mismos cimientos. Pakistán y la India, dos recién llegados en el panorama de la destrucción mutua asegurada, apenas están comenzando a comprender la magnitud de lo que tienen entre manos; por cierto, que en ambos países los grupos terroristas campan por sus anchas, y los servicios armados y de seguridad tienen en ocasiones sus propias agendas.
Inclusos países supuestamente serios y responsables como los Estados Unidos tienen necesidad de mantener sus armas nucleares seguras, en ocasiones respecto a los mismos que puedan desear usarlas. La película "Trece días" nos abre una ventana a la administración Kennedy, en la que los militares pugnaban contra el poder civil para poder librar sus propias guerras. Las amenazas internas potenciales son legión, desde el general con gran poder en sus manos y que pretende saber cómo acabar con el problema rojo hasta el piloto de F-111 que piensa lo mismo pero con el disparador nuclear en sus manos, pasando por cualquier servidor de ICBM con mucho tiempo libre. Incluso en un mundo perfecto, un ejército aliado podría encontrarse en la necesidad de deshabilitar sus propias armas nucleares antes de que sean capturadas por el enemigo.
Bruce G. Blair escribió un interesante artículo ("Guerra nuclear fortuita") en el ejemplar de Febrero de 1991 de Investigación y Ciencia. Voy a pedir prestadas sus palabras:
"Los comandantes nucleares, tanto americanos como soviéticos, se enfrentan a un inevitable dilema: deben ejercer un control negativo sobre las armas para evitar que se usen mal, pero también deben ejercer un control positivo para asegurar que se empleen cuando se autorice."
Esto es algo que le sonará a cualquiera que haya hecho un servicio de armas, sea como recluta en el ejército o como miembro de una fuerza policial. Si no hay amenaza a la vista, el control negativo impera sobre el positivo, y se toman medidas para evitar disparos accidentales: cargadores vacíos, balas de fogueo, seguros echados, etc. No obstante, en caso de amenaza inminente el control negativo cede ante el positivo y los centinelas patrullan con el cargador lleno, bala en la recámara y el dedo cerca del gatillo, en la creencia de que un disparo accidental es preferible a dejar que el enemigo te deje seco porque tienes la recámara vacía.
Es preciso mantener un buen equilibrio, y esto no resultaba fácil durante la Guerra Fría. La amenaza era constante, y en cualquier momento uno de los dos bandos podía lanzar un ataque devastador contra el otro. De ahí la táctica de la Disuasión Mutua Asegurada (MAD), gracias a la cual nadie se atrevía a disparar primero. El razonamiento era del tipo "si yo disparo, él se dará cuenta, disparará y acabaremos todos muertos; por lo tanto, me estaré quietecito."
Todo ello derivó en un complejo conjunto de salvaguardias físicas y lógicas. Tenemos ejemplos en el cine. Películas como "Marea roja" nos indican lo liosa que puede resultar a veces una situación real en la que unos oficiales piensan que hay que disparar y otros que no ... y, lo que es peor, todos con buenos argumentos.
Como contrapartida, era preciso un segundo conjunto de salvaguardias destinadas a evitar un lanzamiento de misiles accidental. Los servidores de misiles no pueden coger las llaves y decidir un lanzamiento por su cuenta. En la película "Juegos de Guerra" tenemos otro ejemplo. Al comienzo, dos oficiales de un silo de misiles ICBM reciben la orden de lanzamiento. Reciben los códigos, verifican que son los correctos y se preparan para lanzar. Aún así, la necesidad de una confirmación "humana" hace que uno de ellos se niegue a disparar: "olvida el procedimiento correcto, quiero a alguien en ese teléfono antes de que mate a veinte millones de personas". Su compañero, con menos escrúpulos, le insta a cumplir la orden de lanzamiento, amenazándolo incluso con un arma. Para no dejarles en la duda, al final resultaba que todo era un simulacro.
Para evitar que personas no autorizadas lancen armas nucleares (y estas personas pueden ser terroristas, ladrones de armas, soldados rebeldes, lo que usted quiera imaginarse), éstas están dotadas de unos dispositivos llamados acopladores facultativos de acción (Permissive Action Links, PAL). Estos PAL han de ser lo bastante robustos para que no puedan ser "puenteados" a la manera de un ladrón de coches con el encendido. Les dejo un interesante artículo sobre los PAL:
http://www.research.att.com/~smb/nsam-160/pal.html. El autor, aunque no puede darnos mucha información concreta sobre de los PAL, barrunta que puede basarse en algún tipo de sistema de cifrado que controle funciones vitales del armado de la bomba, como la carga de los condensadores que activan la detonación. ¿Qué sistema de cifrado? Ya me gustaría a mí saberlo. Por lo visto, la mayoría de los PAL son dispositivos electromecánicos, algunos de ellos similares a los cerrojos de combinación, otros un conjunto de rotores que recuerdan a nuestra querida Enigma.
En cualquier caso, los historiadores del futuro escribirán la historia de la Guerra Fría con la piel de gallina. Según lo que ahora sabe, los militares estadounidenses (y posiblemente, también de otros países) se resistieron durante mucho tiempo al uso de los PAL. Deseaban libertad para lanzar sus armas nucleares si se les ordenaba, y por lo visto no veían con buenos ojos que les pusiesen cortapisas. Las armas nucleares estratégicas fueron con el tiempo dotadas de PAL, pero no así las armas tácticas diseñadas para su uso en el campo de batalla. Durante la crisis greco-turca de 1974, el Secretario de Defensa de EEUU descubrió que muchas armas nucleares tácticas no tenían ningún tipo de PAL que restringiese su uso. Imaginen lo que un piloto anticomunista borracho pudo haber hecho con "su" bomba de hidrógeno particular.
En cuanto a las armas estratégicas, en efecto, estaban dotadas con PAL y códigos de desbloqueo. Los códigos de desbloqueo se usan para ordenar el lanzamiento de los misiles por parte de los guardianes de las armas. Se supone, por supuesto, que para que dichos guardianes (sean los servidores de los ICBM, los oficiales de los submarinos o los de los aviones) usen esos códigos de desbloqueo primero han de haber recibido la orden de lanzamiento debidamente confirmada. Eso también lo hemos visto en muchas películas: se recibe un mensaje por radio, se abre una caja fuerte, se comprueba que el código de lanzamiento de la caja coincide con el recibido por la radio, comienzan los preparativos para el lanzamiento (códigos de desbloqueo, tarjetas codificadas, llaves), se da la orden a los misiles ... y a la Humanidad le quedan treinta minutos de vida.
Todo esto presupone que un servidor de misiles no podrá adivinar la clave. Demasiadas veces los sistemas de seguridad han fallado porque alguien ha usado una clave fácil de adivinar, o bien se ha dejado la llave puesta. Es lo que podríamos llamar principio de Spiderman (ver Boletín ENIGMA 25): ¿de qué sirve la mejor puerta, si no se cierra? Recuerdo una película del genial Mel Brooks, llamada "Spaceballs, la loca historia de las galaxias. El presidente del planeta de los malos envía sus naves hacia el planeta Druidia con el fin de robarles su aire. Bajo presión, el jefe de Druidia revela a los malos el código para abrir la pantalla defensiva del planeta: 12345. Por supuesto, los malos se miran con incredulidad: "!es la combinación que cualquier idiota pondría en sus maletas". ¿Saben que dice el presidente del planeta de los malos cuando le comunican la combinación? "Caramba, qué casualidad, pero si es la misma combinación de mis maletas". Cuando sale de su asombro, ordena que roben todo el aire de Druidia ... "!y que cambien la combinación de mis maletas!" Todo un peliculón, se lo recomiendo para un rato de diversión.
Pero las armas nucleares no son nada divertidas, así que esperamos que el código de desbloqueo de misiles -el que habría de ser introducido al ordenador para que los misiles fuesen lanzados- sea más complicado que la combinación de una maleta. Imagínense entonces la sorpresa que se llevó el anteriormente mencionado Bruce G. Blair cuando fue llamado a filas a mediados de los años 70. Fue destinado a un silo de misiles Minuteman, como oficial de lanzamiento. Y descubrió que el código de desbloqueo no solamente era conocido, sino que era el más fácil que imaginarse pueda. Todo el mundo lo conocía. Y era el mismo desde al menos los años sesenta.
El código de desbloqueo era 00000000.
Cuanta el propio Blair que, cuando se lo comentó a Robert McNamara hace tan sólo algunos meses, el que fuera Secretario de Defensa durante lo peor de la Guerra Fría montó en cólera: "Estoy pasmado, absolutamente pasmado y furioso. ¿Quién diablos autorizó esto?" El mismísimo diseñador de la noción de Destrucción Mutua Asegurada, el hombre que debía velar por la seguridad de las armas nucleares de los Estados Unidos durante los años sesenta, no tenía ni idea de que el código de desbloqueo eran tan sencillo como conocido. Mientras tanto, los servidores de su fuerza de misiles ICBM eran instruidos para que comprobasen que ningún dígito distinto de cero estuviese en el panel indicador correspondiente.
Nadie sabe quién ni cuándo ordenó establecer el código de desbloqueo como 00000000 (lo que, por supuesto, es lo mismo que decir que no hay código en absoluto). Y sólo Dios sabe cuántas veces una tripulación de ICBM, aburrida después de horas de servicio rutinario, se dedicó a pensar lo impensable. Realmente, ante hechos como éste hasta los más agnósticos deben replantearse si, a fin de cuentas, no habrá Alguien allá arriba que nos protege de nuestra propia estupidez.