Chaffing and winnowing es una técnica criptográfica para lograr la confidencialidad sin utilizar encriptación cuando se envían datos a través de un canal inseguro . El nombre se deriva de la agricultura: después de cosechar y trillar el grano , permanece mezclado con paja fibrosa no comestible . Luego, la paja y el grano se separan mediante un aventado y la paja se desecha. La técnica criptográfica fue concebida por Ron Rivest y publicada en un artículo en línea el 18 de marzo de 1998. [1] Aunque tiene similitudes tanto con el cifrado tradicional como con la esteganografía, no se puede clasificar en ninguna de las dos categorías.
Esta técnica permite al remitente negar la responsabilidad de cifrar su mensaje. Cuando se utiliza el chaffing y aventar, el remitente transmite el mensaje sin cifrar, en texto claro. Aunque el remitente y el receptor comparten una clave secreta, la usan solo para la autenticación . Sin embargo, un tercero puede hacer que su comunicación sea confidencial enviando simultáneamente mensajes especialmente diseñados a través del mismo canal.
El remitente ( Alice ) quiere enviar un mensaje al receptor ( Bob ). En la configuración más simple, Alice enumera los símbolos (generalmente bits ) en su mensaje y envía cada uno en un paquete separado . En general, el método requiere que cada símbolo llegue en orden y sea autenticado por el receptor. Cuando se implementa en redes que pueden cambiar el orden de los paquetes, el remitente coloca el número de serie del símbolo en el paquete, el símbolo en sí (ambos sin cifrar) y un código de autenticación de mensaje (MAC). Muchos MAC usan una clave secreta que Alice comparte con Bob, pero es suficiente que el receptor tenga un método para autenticar los paquetes. Charles, que transmite los paquetes de Alice a Bob, entrelaza los paquetes con los correspondientes paquetes falsos (llamados "chaff") con los correspondientes números de serie, símbolos arbitrarios y un número aleatorio en lugar del MAC. Charles no necesita conocer la clave para hacer eso (los MAC reales son lo suficientemente grandes como para que sea extremadamente improbable que genere uno válido por casualidad, a diferencia del ejemplo). Bob usa el MAC para encontrar los mensajes auténticos y deja caer los mensajes "chaff". Este proceso se llama "aventar".
Un fisgón ubicado entre Alice y Charles puede leer fácilmente el mensaje de Alice. Pero un fisgón entre Charles y Bob tendría que decir qué paquetes son falsos y cuáles son reales (es decir, para aventar o "separar el trigo de la paja"). Eso no es factible si el MAC utilizado es seguro y Charles no filtra ninguna información sobre la autenticidad del paquete (por ejemplo, a través del tiempo).
Si una cuarta parte se une al ejemplo (llamado Darth ) que quiere enviar mensajes falsos para hacerse pasar por Alice, sería necesario que Alice revele su clave secreta. Si Darth no puede obligar a Alice a revelar una clave de autenticación (el conocimiento de la cual le permitiría falsificar mensajes de Alice), entonces sus mensajes permanecerán confidenciales. Charles, por otro lado, no es un objetivo de Darth en absoluto, ya que Charles ni siquiera posee ninguna clave secreta que pueda ser revelada.
La variante simple de la técnica de rozar y aventar descrita anteriormente agrega muchos bits de sobrecarga por bit de mensaje original. Para que la transmisión sea más eficiente, Alice puede procesar su mensaje con una transformación de todo o nada y luego enviarlo en porciones mucho más grandes. Los paquetes de chaff deberán modificarse en consecuencia. Debido a que el mensaje original se puede reconstruir solo conociendo todos sus fragmentos, Charles necesita enviar solo los paquetes de chaff suficientes para que la búsqueda de la combinación correcta de paquetes sea computacionalmente inviable.