Blog Blog

Blowfish

July 8, 2025
Nestor Martin Guerra Garcia (Dr. Plaga)
Notas
Blowfish

1. Introducción

Blowfish es un algoritmo de cifrado simétrico por bloques desarrollado por el criptógrafo Bruce Schneier en 1993. Desde su lanzamiento, se convirtió en una de las opciones más populares para sistemas que requerían cifrado rápido, gratuito y sin restricciones de patente. Su diseño abierto, su flexibilidad en el tamaño de la clave y su velocidad lo hicieron ideal para una amplia gama de aplicaciones en seguridad de la información.

Este artículo explora el diseño técnico de Blowfish, su origen, su impacto en la industria, y su papel en el desarrollo de algoritmos criptográficos posteriores como Twofish. También se presenta un ejemplo práctico de implementación para quienes deseen experimentar con el cifrado en sus propios proyectos.

2. Contexto histórico o técnico

En los años 90, la comunidad criptográfica enfrentaba un problema importante: la falta de algoritmos de cifrado seguros, rápidos y libres de restricciones legales. El Data Encryption Standard (DES) ya mostraba debilidades frente a la creciente capacidad computacional, y los algoritmos alternativos disponibles eran, en su mayoría, propietarios o estaban bajo restricciones de exportación en los Estados Unidos.

Bruce Schneier, reconocido por su trabajo en seguridad informática, desarrolló Blowfish como una alternativa gratuita a DES. Su objetivo era ofrecer un algoritmo seguro, eficiente en software y sin restricciones comerciales. El resultado fue un cifrador por bloques que rápidamente ganó popularidad en aplicaciones comerciales, sistemas embebidos y software libre.

Blowfish fue diseñado específicamente para ser rápido en arquitecturas de 32 bits, lo que le permitió destacarse en una época donde el rendimiento era un recurso crítico.

3. Explicación técnica detallada

3.1 Características generales

  • Tipo: Cifrado simétrico por bloques
  • Tamaño del bloque: 64 bits
  • Tamaño de clave: de 32 a 448 bits
  • Estructura: Red de Feistel con 16 rondas
  • Licencia: Dominio público

3.2 Arquitectura

Blowfish es una red de Feistel, lo que significa que divide cada bloque de datos en dos mitades y aplica operaciones simétricas en múltiples rondas para transformar los datos. Cada ronda aplica una función F no lineal que involucra sustituciones y combinaciones aritméticas.

Componentes clave:

  • P-array: Un arreglo de 18 subclaves de 32 bits, utilizadas en cada ronda y en operaciones previas y posteriores al proceso de cifrado.
  • S-boxes: Cuatro cajas de sustitución (S1 a S4) de 256 entradas de 32 bits cada una. Inicialmente se derivan de los dígitos hexadecimales de pi y luego se modifican durante la expansión de clave.

3.3 Expansión de clave

El proceso de inicialización es fundamental en Blowfish y requiere tiempo significativo comparado con el cifrado en sí. Involucra:

Cargar los valores iniciales de la P-array y las S-boxes.

XOR de la clave de usuario con la P-array (repetido si la clave es menor que 576 bits).

Cifrado de un bloque de texto cero con la clave para actualizar la P-array.

Repetir el cifrado para actualizar todas las S-boxes.

Este proceso garantiza que la clave influya fuertemente en toda la estructura interna, una propiedad crítica para la seguridad del algoritmo.

3.4 Proceso de cifrado

El texto plano de 64 bits se divide en dos mitades (L y R). Luego se realiza la siguiente operación durante 16 rondas:

for i in range(16):
L = L XOR P[i]
R = R XOR F(L)
swap L and R

Después de la última ronda, se invierte el último swap y se aplican las claves finales P[16] y P[17]:

R = R XOR P[16]
L = L XOR P[17]

La función F es la parte más compleja del algoritmo y se define como:

F(x) = ((S1[a] + S2[b]) XOR S3[c]) + S4[d]

Donde a, b, c, d son los bytes del valor de entrada x, y S1 a S4 son las S-boxes.

4. Casos de uso o aplicaciones reales

Durante más de una década, Blowfish fue ampliamente utilizado en sistemas donde AES aún no estaba disponible o donde se requería una alternativa gratuita:

  • Cifrado de archivos: Herramientas como bcrypt usan Blowfish para proteger contraseñas.
  • Bases de datos: Algunas bases de datos ofrecían Blowfish como opción de cifrado de campo o columna.
  • VPN y túneles SSH: Se implementó en versiones tempranas de OpenSSH y algunas VPN.
  • Sistemas embebidos: Su rendimiento y bajo uso de memoria lo hicieron atractivo en hardware con recursos limitados.

También fue muy utilizado en aplicaciones de código abierto como OpenSSL, PGP y librerías de cifrado como mcrypt.

5. Riesgos, limitaciones o desafíos

Si bien Blowfish fue una innovación significativa en su momento, hoy presenta limitaciones notables:

  • Bloques de 64 bits: Este tamaño de bloque es insuficiente frente a volúmenes grandes de datos, ya que expone el algoritmo a ataques de colisión por birthday paradox, como los sweet32 attacks.
  • Tiempo de inicialización alto: La expansión de clave es costosa computacionalmente, lo que lo vuelve ineficiente para aplicaciones donde las claves cambian frecuentemente.
  • Sin soporte para AEAD: No incluye mecanismos de autenticación o verificación de integridad, lo que obliga a combinarlo con funciones adicionales para uso seguro.
  • Desuso progresivo: AES y ChaCha20 han desplazado a Blowfish en casi todos los entornos modernos.

6. Código ilustrativo

Ejemplo en Python utilizando la biblioteca pycryptodome para cifrado y descifrado con Blowfish:

https://github.com/CodeBugBox/CodeBugBox/blob/main/Blowfish

7. Conclusión

Blowfish fue una respuesta eficaz y oportuna a las limitaciones de DES en los años 90. Su diseño abierto, su velocidad en software y su flexibilidad en el tamaño de clave le permitieron convertirse en una pieza fundamental de la criptografía práctica durante más de una década.

Sin embargo, la evolución de los ataques criptográficos y la aparición de algoritmos más modernos como AES han relegado su uso a entornos muy específicos o sistemas heredados.

8. Reflexión final

Blowfish es un ejemplo paradigmático de cómo un diseño bien pensado puede tener un impacto duradero en la industria. Su arquitectura influyó directamente en el desarrollo de algoritmos como Twofish y motivó el diseño de soluciones criptográficas más robustas y eficientes.

Hoy, aunque su uso debe limitarse a sistemas heredados, comprender Blowfish sigue siendo esencial para cualquier profesional que trabaje con seguridad informática, criptografía o ingeniería de software. Representa una pieza clave del camino que llevó a los estándares criptográficos actuales y una herramienta valiosa para el análisis de sistemas legados.

Nestor Martin Guerra Garcia (Dr. Plaga)

Nestor Martin Guerra Garcia (Dr. Plaga)

Consultor de Ciberseguridad | Protección de Datos y Gestión de Riesgos | Pentester old school
Volver al blog