crytologia

I SEMINARIO

“INFORMATICA, CIENCIA Y TECNOLOGIA”

CRIPTOLOGIAFundamentos matematicos de la seguridad informatica

Jose Ignacio Farran Martın

[email protected]

Departamento de Matematica Aplicada

Universidad de Valladolid – Campus de Segovia

Escuela Universitaria de Informatica

Criptologıa– p.1/99

http://wmatem.eis.uva.es/~ignfar/

Contenido

• Introducción a la Criptología• Clave privada y clave pública• Aplicaciones prácticas


Contenido



Introducción a la Criptología


Criptología

Objetivo: la protección de la informaciónconfidencial o secreta contra su accesopor parte de personas no autorizadas.

Consta a su vez de dos disciplinasaparentemente opuestas,pero en realidad complementarias:

Criptografía: diseña métodos para cifrar(enmascarar la información)Criptoanálisis: trata de “romper” losmétodos anteriores para conseguir lainformación original o la clave


Esquema fundamental (I)

ESPIA!

↓EMISOR −→ TEXTO CLARO −→ RECEPTOR


Esquema fundamental (II)

ESPIA?

↓cifrado descifrado

EMISOR −→ TEXTO CIFRADO −→ RECEPTOR


Esquema fundamental (II)

ESPIA?

↓cifrado descifrado

EMISOR −→ TEXTO CIFRADO −→ RECEPTOR

clave ↔ clave


Puntos clave

Criptograma: resultado de aplicar al textoclaro un procedimiento de encriptacióncontrolado por una clave de cifrado

Si el receptor es una persona autorizadaconoce la clave de descifrado y puederecuperar el mensaje

Objetivo: que el “espía” no pueda obtener esainformación (desencriptación) sin elconocimiento de dicha clave, la cual debepermanecer en secreto


Puntos clave

Un buen sistema criptográfico es aquél en elque

los algoritmos de cifrado/descifrado sonsencillos conocida la clave, peroque resulte imposible (o en su defectomuy costoso computacionalmente) eldesencriptado sin conocer dicha clave


Aplicaciones

En su origen tiene aplicacionesgubernamentales y militares

Actualmente tiene muchas otras aplicaciones:

Protección de bancos de datos(personales, bancarios, etc)Control de acceso informático(passwords, tarjetas inteligentes, etc)Comercio electrónico y transaccionessegurasFirma digital de comunicacioneselectrónicas


Aplicaciones





Aplicaciones



Protección de bancos de datos(personales, bancarios, etc)

Control de acceso informático(passwords, tarjetas inteligentes, etc)Comercio electrónico y transaccionessegurasFirma digital de comunicacioneselectrónicas


Aplicaciones



Protección de bancos de datos(personales, bancarios, etc)Control de acceso informático(passwords, tarjetas inteligentes, etc)

Comercio electrónico y transaccionessegurasFirma digital de comunicacioneselectrónicas


Aplicaciones



Protección de bancos de datos(personales, bancarios, etc)Control de acceso informático(passwords, tarjetas inteligentes, etc)Comercio electrónico y transaccionesseguras

Firma digital de comunicacioneselectrónicas


Aplicaciones





Perspectiva histórica

∗ Cifrado de César (siglo I a.C.):

Se toma una letra como clave (p.e. la C)

Cifrado: se suma la clave a todas las letrasdel mensaje(módulo 21, número de letras del LATÍN)

Descifrado: se resta la clave (módulo 21)a todas las letras del mensaje recibido




Ejemplo:

V E N I V I D I V I C I

+ C C C C C C C C C C C C

A G P L A L F L A L E L

A B C D E F G H I K L M N O P Q R S T V X




• Una vez que se conoce el método decifrado, el descifrado es muy rápidoincluso a mano, pues probamos con latotalidad de las claves (26) hasta dar conun mensaje que tenga sentido



∗ Cifrado de Vigenère (1586):(atribuido, sin base histórica, al emperador Augusto)

Se toma una palabra de k letras como clave(p.e. LOUP)

Cifrado: se suma la clave (repetida, si esnecesario) al mensaje (módulo 26, o engeneral el número de letras del idiomautilizado)

Descifrado: se resta la clave (módulo 26)al mensaje recibido



∗ Cifrado de Vigenère (1586):

Ejemplo:

PARIS VAUT BIEN UNE MESSE+ LOUPL OUPL OUPL OUP LOUPL-----------------------------

AOLXD JUJE PCTY IHT XSMHP



∗ Cifrado de Vigenère (1586):

• Ahora el número de claves para ensayares mucho más elevado, pero el método deKasiski, basado en un “análisis defrecuencias”, permite determinar lalongitud k de la clave, y entonces elproblema se reduce a resolver k sencilloscriptogramas de “tipo César” (factible en laactualidad al menos con la ayuda de unordenador)



∗ Cifrado de Beaufort (1710):

Variante del anterior: a la clave se le resta elmensaje en claro (módulo 26)

Análisis: propiedades criptográficas similaresal cifrado de Vigenère

Ventaja práctica:es un cifrado recíproco o involutivo(usando la misma clave, el algoritmo paracifrar y descifrar es el mismo, i.e. cifrando dosveces consecutivas se obtiene el texto claro)


Métodos de sustitución

∗ Los tres métodos anteriores son de este tipo

Consiste en establecer una aplicaciónbiyectiva entre dos alfabetos del mismocardinal, y sustituir cada letra del primero porsu imagen en el segundo

Caso particular: permutación genérica de unalfabeto (número de claves 26!)

• En los casos de Vigenère y Feaufort: se divideel mensaje en k partes y se aplica unapermutación distinta a cada una de ellas


Análisis de frecuencias

Aparentemente el sistema de sustitución es seguro debido

al elevado número de claves

26! = 403291461126605635584000000

Sin embargo, estos métodos conservan las estadísticas

propias del idioma en que se ha escito el texto claro:

Frecuencias de aparición de cada letra (por idiomas,

tipos de texto, etc)

Combinaciones de letras y sus frecuancias asociadas

Combinaciones de letras imposibles, etc


Análisis de frecuencias

Por tanto, los métodos de sustitución sonvulnerables a un análisis de frecuencias

Este análisis reduce de forma drástica elnúmero de posibles claves, la cual se obtiene“en tiempo razonable” con un ordenador


El escarabajo de oro(Edgar Alan Poe, 1843)


El escarabajo de oro

5377+305))6∗;4826)47.)47);806∗;48+ 8 ]60) )85;17(;:7∗ 8 + 83(88)5∗+;46(;88∗96∗?;8)∗7 (;485);5∗ + 2:∗7(;4956∗2(5∗ − 4)8 ] 8∗;4069285); )6 + 8)477;1(79;48081;8:871;48 + 85;4)485 +528806∗81(79;48;(88;4(7?34;48)47;161;:188;7?;


Tabla de frecuencias del Inglés

LETRA n/10000 LETRA n/10000

A 781 N 728

B 128 O 821

C 293 P 215

D 411 Q 14

E 1305 R 664

F 288 S 646

G 139 T 902

H 585 U 277

I 677 V 100

J 23 W 149

K 42 X 30

L 360 Y 151

M 262 Z 9

VOCALES 3861 N+R+S+T+H 3525


Digramas más comunes en Inglés

LETRA n/10000 LETRA n/10000

TH 315 EN 120

HE 251 ND 118

AN 172 OR 113

IN 169 TO 111

ER 154 NT 110

RE 148 ED 107

ES 145 IS 106

ON 145 AR 101

EA 131 OU 96

TI 128 TE 94

AT 124 OF 94

ST 121 IT 88


Otras estadísticas del Inglés

Trigramas más frecuentes:THE, AND, THA, ENT, ION, TIO, FOR, NDE,HAS, NCE, EDT, TIS, OFT, STH, MEN . . .

Parejas simétricas más frecuentes:ER/RE, ES/SE, AN/NA, TI/IT, ON/NO, IN/NIEN/NE, AT/TA . . .

Letras iniciales más frecuentes:T A O S H I W C B P F D M R . . .

Letras finales más frecuentes:E S T D N R O Y . . .


El escarabajo de oro (cont.)

• Contamos el número de veces que aparececada símbolo:

----------------------------------------------------------------------

SIMBOLO: 8 ; 4 7 ) * 5 6 ( + 1 0 9 2 : 3 ? # - .

----------------------------------------------------------------------

VECES : 33 26 19 16 16 13 12 11 10 8 8 6 5 5 4 4 3 2 1 1

----------------------------------------------------------------------



∗ Conclusiones:

El símbolo 8 debería ser la E(la combinación 88 corresponde con ‘EE’)

El trigrama ;48 podría ser THE(concuerda con que el digrama ‘TH’ es elmás frecuente en Inglés, y en el criptogramaaparecen también las combinaciones ‘;46’,‘;49’ y ‘;40’)

Además, ello nos permite deducir muchoscomienzos y finales de palabras . . .



∗ Conclusiones:






∗ Conclusiones:






Por ejemplo, la penúltima combinación ‘;48’del criptograma sigue asi:

;48;(88;4( . . . = THE T(EETH( . . .

Consultando el diccionario deducimos:

( = R

Esto concuerda con que la ‘R’ es frecuenteen el Inglés




;48;(88;4( . . . = THE T(EETH( . . .


( = R





;48;(88;4( . . . = THE T(EETH( . . .


( = R




∗ Tenemos pues:

8=E

;=T

4=H

(=R

y sustituimos en el criptograma . . .



5377+305))6∗;4826)47.)47);806∗;48+ 8 ]60) )85;17(;:7∗ 8 + 83(88)5∗+;46(;88∗96∗?;8)∗7 (;485);5∗ + 2:∗7(;4956∗2(5∗ − 4)8 ] 8∗;4069285); )6 + 8)477 ;1(79;48081;8:871;48 + 85;4)485 +528806∗81(79;48;(88;4(7?34;48)47;161;:188;7?;



5377+305))6∗THE26)H7.)H7)TE06∗THE+E ] 60) )E5T17RT:7∗ E+E3REE)5∗+TH6RTEE∗96∗?TE)∗7RTHE5)T5∗ + 2:∗7RTH956∗ 2R5∗ − H)E ]E∗TH0692E5)T )6+E)H77 T1R79THE0E1TE:E71THE+E5TH)HE5 +52EE06∗E1R79THETREETHR7?3H THE)H7T161T:1EET7?T







THROUGH



5GOO+G05))6∗THE26)HO.)HO)TE06∗THE+E ] 60) )E5T1ORT:O∗E+EGREE)5 ∗ +TH6 RTEE∗96∗UTE)∗ORTHE5)T5∗ + 2:∗ORTH956∗2R5∗ − H)E ] E∗TH0692E5)T )6+E)HOOT1RO9 THE0E1TE:EO1THE+E5TH)HE5+ 52EE06∗E1RO9 THE TREETHROUGH THE) HOT161T:1EETOUT



5GOO+G05))6∗THE26)HO.)HO)TE06∗THE+E ] 60) )E5T1ORT:O∗E+EGREE)5 ∗ +TH6 RTEE∗96∗UTE)∗ORTHE5)T5∗ + 2:∗ORTH956∗2R5∗ − H)E ] E∗TH0692E5)T )6+E)HOOT1RO9 THE0E1TE:EO1THE+E5TH)HE5+ 52EE06∗E1RO9 THE TREETHROUGH THE) HOT161T:1EETOUT

DEGREE



5GOODG05))6∗THE26)HO.)HO)TE06∗THEDE ] 60) )E5T1ORT:O∗ E DEGREE)5∗DTH6 RTEE∗96∗UTE)∗ORTHE5)T5∗D2:∗ORTH956∗ 2R5∗ − H)E] E∗TH0692E5)T )6DE)HOO T1RO9THE0E1TE:EO1THE DE5TH)HE5 D52EE06∗E1RO9 THE TREE THROUGHTHE) HOT161T:1EETOUT



5GOODG05))6∗THE26)HO.)HO)TE06∗THE DE ]60) )E5T1ORT:O∗ E DEGREE)5∗D TH6RTEE∗96∗UTE)∗ORTHE5)T5∗D2:∗ORTH956∗ 2R5∗ − H)E] E∗TH0692E5)T )6DE)HOO T1RO9THE0E1TE:EO1THE DE5TH)HE5 D52EE06∗E1RO9 THE TREE THROUGHTHE) HOT161T:1EETOUT

5 = ‘A’Criptologıa– p.38/99


A GOODG0A))6∗THE26)HO.)HO)TE06∗THE DE ]60) )EAT1ORT:O∗ E DEGREE)A∗D TH6RTEE∗96∗UTE)∗ORTHEA)TA∗D2:∗ORTH9A6∗ 2RA∗−H)E] E∗TH0692EA)T )6DE)HOO T1RO9THE0E1TE:EO1THE DEATH)HEADA2EE06∗E1RO9 THE TREE THROUGHTHE) HOT161T:1EETOUT



A GOODG0A))6∗THE26)HO.)HO)TE06∗THE DE ]60) )EAT1ORT:O∗ E DEGREE)A∗D TH6RTEE∗96∗UTE)∗ORTHEA)TA∗D2:∗ORTH9A6∗ 2RA∗−H)E] E∗TH0692EA)T )6DE)HOO T1RO9THE0E1TE:EO1THE DEATH)HEADA2EE06∗E1RO9 THE TREE THROUGHTHE) HOT161T:1EETOUT

) = ‘S’Criptologıa– p.40/99


A GOODG0ASS6∗THE26SHO.SHOSTE06∗THEDE ] 60 SSEAT1ORT:O∗ EDEGREESA∗D TH6 RTEE∗96∗UTES∗ORTHEASTA∗D2:∗ORTH9A6∗2RA∗ − HSE ] E∗TH0692EASTS6DESHOO T1RO9 THE0E1TE:EO1THEDEATH’S HEAD A2EE06∗E1RO9 THETREE THROUGH THESHOT161T:1EETOUT



A GOOD G0ASS6∗THE26SHO.SHOSTE0 6∗THE DE ] 60SSEAT1ORT:O∗ E DEGREESA∗D TH6RTEE∗96∗UTES∗ORTHEASTA∗D2:∗ORTH9A6∗2RA∗ − HSE ] E∗TH0692EASTS6DESHOO T1RO9 THE0E1TE:EO1THEDEATH’S HEAD A2EE06∗E1RO9 THETREE THROUGH THESHOT161T:1EETOUT

0 = ‘L’ 6 = ‘I’ 6∗ = ‘IF’ ó ‘IN’Criptologıa– p.42/99


A GOOD GLASS INTHE2ISHO.SHOSTEL IN THE DE ] IL’SSEAT1ORT:ONE DEGREESANDTHIRTEEN9INUTESNORTHEASTAND2:NORTH9AIN2RAN−HSE ] ENTHLI92EASTSIDESHOO T1RO9 THELE1TE:EO1THEDEATH’S HEAD A2EELINE1RO9 THETREE THROUGH THESHOT1I1T:1EETOUT

. . .



A GOOD GLASSIN THEBISHOP’S HOSTELIN THE DEVIL’S SEATFORTY ONE DEGREES ANDTHIRTEEN MINUTES NORTH EASTAND BY NORTHMAIN BRANCH SEVENTH LIMBEAST SIDESHOOT FROM THE LEFT EYE OF THEDEATH’S HEADA BEE LINE FROM THE TREETHROUGH THE SHOT FIFTY FEET OUT


El escarabajo de oroTHE END


Entropía

Cada idioma es una fuente de información, con sus

símbolos y sus respectivas probabilidades (frecuencias),

con lo que se le puede asociar su Entropía

Varios niveles de Entropía: según se consideren símbolos,

digramas, trigramas . . .

Espía: calcula las Entropías del criptograma y comprueba si

se aproximan a las del idioma previsto, y en ese caso

supone que es un cifrado de sustitución y procede a un

análisis de frecuencias . . .


Entropía











Entropía











Métodos de Transposición

Consisten en “barajar” los símbolos del texto claro

Conservan las frecuencias,

pero destruyen las estructuras gramaticales . . .

Origen: la Escítala Lacedemonia (siglo V a.C.)

Dos bastones idénticos (clave)

Se enrolla un cinta y se escribe

Al desenrollar no se entiende nada . . .

. . . hasta que se enrolla en la vara gemela


Métodos de Transposición

∗ Matemáticamente . . .

Se divide el mensaje en bloques de longitudfija k (clave)→ se corresponde con el grosor de la ‘vara’

Se permutan los símbolos de cada bloquecon una permutación prefijada (clave)→ se corresponde con ‘desenrollar’ la cinta


Cifrado Lineal

∗ Destruye las frecuencias, por lo que es aúnmás seguro que los de transposición, pero esvulnerable a ataques mas “finos”

Se divide el mensaje en bloques de longitudfija n

Se multiplica cada bloque por una matrizinversible A prefijada

Se mantienen en secreto n y A

Para descifrar se necesita A−1 . . .


Cifrado de Vernam (1917)

Consiste en sumar al mensaje bit a bit (XOR)una clave aleatoria de la misma longitud

Shannon demostró en 1949 que este sistemaes “completamente seguro” siempre que seden tres condiciones:

1. Que la clave sea realmente una sucesiónaleatoria de bits

2. Que la clave tenga la misma longitud queel mensaje

3. Que la clave sólo se use una vez(one–time pad)


Cifrado de Vernam

La clave destruye toda la estructura internadel mensaje, de forma que el criptograma nonos da ninguna información sobre el mensajeoriginal

Si M es el mensaje original y C es elcriptograma, Shannon demostró

I(M |C) = 0

Es decir, a partir de C todos los mensajes Mson equiprobables . . .


Cifrado de Vernam

Debido a sus consecuencias, Shannon llamóa las condiciones de este teoremacondiciones de secreto perfecto

Hipótesis adicional (implícita):“El criptoanalista sólo conoce el textocifrado”

Es “filosóficamente” imposible desencriptar,ni siquiera con potencia de cálculo infinita(ordenadores cuánticos incluidos)

¿Se acabó el tema?


Cifrado de Vernam

Debido a sus consecuencias, Shannon llamóa las condiciones de este teoremacondiciones de secreto perfecto

Hipótesis adicional (implícita):“El criptoanalista sólo conoce el textocifrado”

Es “filosóficamente” imposible desencriptar,ni siquiera con potencia de cálculo infinita(ordenadores cuánticos incluidos)

¿Se acabó el tema?


Cifrado de Vernam

? Inconvenientes:

¿Existen realmente las sucesiones de bits aleatorias?

Computación Cuántica

En la práctica: sucesiones pseudoaleatorias

Tamaño de K (generar, almacenar e intercambiar)

Criptografía Cuántica

Sólo sirve para sistemas de Clave Privada, y no paraClave Pública (redes de usuarios)


One–time Pad

• Si se usa la misma clave más de una vez sereduce drásticamente la seguridad

Demostrazione (Ma Non Troppo):

(C = M ⊕ K) ∧ (C ′ = M ′ ⊕ K)

⇒ C ⊕ M = C ′ ⊕ M ′

⇒ C ⊕ C ′ = M ⊕ M ′

∗ Es decir: la suma de los criptogramas esvulnerable a un análisis de frecuencias . . .


One–time Pad

• Si se usa la misma clave más de una vez sereduce drásticamente la seguridad

Demostrazione (Ma Non Troppo):

(C = M ⊕ K) ∧ (C ′ = M ′ ⊕ K)

⇒ C ⊕ M = C ′ ⊕ M ′

⇒ C ⊕ C ′ = M ⊕ M ′

∗ Es decir: la suma de los criptogramas esvulnerable a un análisis de frecuencias . . .


Tipos de seguridad

Seguridad incondicional: el sistema es seguro frente a unatacante con tiempo y recursos computacionales ilimitados(cifrado de Vernam)

Seguridad computacional: el sistema es seguro frente a unatacante con tiempo y recursos computacionales limitados(RSA, basado en números primos)

Seguridad probable: el sistema no puede demostrarse seguro,pero en la práctica aún no ha sido violado(DES, basado en “cajas negras”)

Seguridad condicional: el sistema es seguro en tanto el enemigocarece de medios para atacarlo (métodos clásicos desubstitución, vulnerables a un análisis de frecuencias)


Tipos de seguridad






Tipos de seguridad






Tipos de seguridad






Tipos de Ataques

Activos

Pasivos


Tipos de Ataques

Activos (The man in the middle)

Impersonación (hacerse pasar por otro)Sustituir el mensaje interceptado por otrofalsoProducir errores en el criptograma(para forzar una nueva transmisión)

Pasivos


Tipos de Ataques

Activos

Pasivos

“Fuerza Bruta”:ensayar todas las posibles claves . . .Texto cifrado conocido(Variante: obtener varios criptogramas delmismo M con claves distintas)Texto claro conocido(Cifrado lineal: vulnerable a este ataque)Texto claro elegidoVariantes . . .


Ataques y Seguridad

∗ Precauciones:

No cambiar de clave al repetir unatransmisión

No cifrar información que es pública

Claves aleatorias (sin sentido)

Cambiar con frecuencia de clave


Tipos de Cifrado

Cifrado en flujo: el mensaje se emite y secifra a la vez(aplicación en telecomunicaciones; p.e.Vernam)

Cifrado en bloque: el mensaje se divide enbloques y se cifran los bloques por separado(protección de ficheros de ordenador; p.e.DES, RSA, etc)


Contenido



Clave privada y clave pública


Clave Privada y Clave Pública

Sistemas de clave privada: sólo hay involucrados un emisor

y un receptor, que comparten una misma clave para cifrar y

para descifrar, la cual debe permanecer en secreto (por

ejemplo, sucede en las comunicaciones militares o en la

protección de ficheros de ordenador)

Sistemas de clave pública: hay involucrados muchos

usuarios que pueden comunicarse entre sí, cada uno de los

cuales tiene una clave privada (mantenida en secreto) para

poder leer los mensajes que van dirigidos a él, y una clave

pública (conocida por todos los usuarios) para que

cualquiera pueda enviarle un mensaje cifrado (redes de

usuarios informáticos, bancarios, etc)


Sistemas de Clave Privada

Cifrado de Vernam (sucesiones aleatorias)

DES (Data Encryption Standard, patentado por IBM)Combinación compleja de sustituciones, transposiciones y unas“cajas negras” no lineales

Seguridad probable (actualmente se desaconseja, dado elavance en la potencia de los ordenadores)

Es involutivo (el mismo algoritmo encripta y desencripta)

IDEA (International Data Encryption Algorithm)Se basa en mezclar operaciones aritméticas de gruposalgebraicos diferentes, incompatibles entre sí

Admite varias “vueltas” (cifrado doble, triple, etc)

Seguridad: inmune al Criptoanálisis Diferencial(a partir de 4 vueltas; en la práctica se usan 8 vueltas)

No es involutivoCriptologıa– p.64/99

ssh / crypt

ssh: es un programa para establecerconexiones remotas seguras

crypt: es un comando que se incluía enantiguos sistemas Unix para encriptarficheros

Sintaxis: crypt clave<fichero>fichero encriptado

Es involutivo si se usa la misma clave(basado en el DES)Compatible con la opción ‘–x’ del editor vivi -x fichero


Sistemas de Clave Pública

Son sistemas asimétricos:Encriptar debe hacerlo cualquiera y deforma rápidaDesencriptar sólo debe poder eldestinatario legítimo, y para cualquier otroel proceso debe ser computacionalmentecostoso (seguridad computacional)

Se basan en funciones one–way (sin retorno)y funciones trapdoor (trampa)


Funciones “one–way”

Son funciones inversibles tales que:La imagen directa se calcula de formaeficiente, pero . . .. . . la imagen inversa escomputacionalmente costosa de calcular

Se basan encomplejos problemas matemáticos(problemas NP, de complejidad exponencial)


Funciones “trapdoor”

Son funciones one–way para las que laimagen inversa se calcula de forma eficientesi se conoce un certificado (clave privada)

La idea básica es usar la función directa paraencriptar y la inversa para encriptar, siendo laclave privada el certificado que permite alusuario legítimo saltarse el problema NP


Condiciones de Diffie–Hellman

1. Calcular y distribuir claves (públicas y privadas) deber ser

eficiente

2. El proceso de cifrado debe ser computacionalmente sencillo

si se conoce la clave pública

3. El proceso de descifrado debe ser también rápido si se

conoce la clave privada

4. El cálculo de la clave privada a partir de la pública y/o el

criptograma debe ser computacionalmente costoso (no

debe poderse hacer en tiempo razonable a partir de la

potencia de cálculo “actual”)

5. Asimismo, hallar el texto claro a partir del criptograma y/o la

clave pública debe ser computacionalmente imposible


Ejemplos NP en Criptografía (I)

Factorización de números enteros:Dado n = p · q factorizar n para hallar losfactores primos p y q

Función one–way: mutiplicar p y q parahallar n

Su inversa: factorizar n para hallar p y q

Función trapdoor: dar p como certificado(entonces q = n/p)

El criptosistema RSA (Rivest, Shamir yAdleman, 1978) se basa el este problema


Ejemplos NP en Criptografía (II)

Logaritmo discreto (modular):Dados a, n y m, hallar x tal queax ≡ m (mod n)

Función one–way: exponenciaciónmodular m:=a**x mod n

Su inversa: el logaritmo discreto de m enbase a, módulo n

Función trapdoor: no borrar x una vezcalculado m . . .

Hay varios criptosistemas basados en ellogaritmo discreto . . .


Criptosistema de ElGamal

Se basa en el problema del Logaritmo Discreto:

Sea G un grupo cíclico finito de cardinal ngenerado por un elemento g, es decir

G = {1, g, g2, . . . , gn−1}

Problema del logaritmo discreto:

Dado h ∈, hallar k tal que gk = h

Los mejores tiempos de computaciónconocidos para calcular el logaritmo discretoson de tipo “subexponencial”



Elección del Grupo:

Sea p >> 0 un número primo, y se considerael grupo multiplicativo (módulo p)

G = Z∗p := {1, 2, . . . , p − 1}

de cardinal n = p − 1

Los posibles mensajes serán elementos de G

Se fija un generador g del grupo G



Elección de claves:

Cada usuario A (resp. B) elige un elemento a(resp. b) en G como clave privada, quemantiene en secreto . . .

. . . y calcula la clave pública ka = ga (mod p)

(resp. kb = gb (mod p) )



Cifrado – Si A quiere mandar el mensaje m a Bel proceso es el siguiente:

1. A elige r ∈ G de forma aleatoria y calculagr (mod p)

2. Utilizando la clave pública kb de B, A calcula

m · kb · r = mgbr (mod p)

3. A envía a B el par (gr, mgbr)



Descifrado – Para leer B su mensaje el proceso es elsiguiente:

Utilizando su clave privada b, B calcula

(gr)b = gbr (mod p)

B obtiene el mensaje calculando

m =mgbr

gbr(mod p)

∗ Si cualquier usuario C quisiera obtener m, deberíacalcular b a partir de kb = gb (logaritmo discreto)



Otras aplicaciones:

Firma Digital

Autenticación de mensajes

Distribución de claves simétricas


RSA

Cada usuario i debe elegir una pareja deprimos pi, qi >> 0

Se calcula ni = piqi

Se calcula la función Phi de Euler

Φ(ni) := (pi − 1) · (qi − 1)

Se elige arbitrariamente 0 < ei < Φ(ni) talque mcd(ei, Φ(ni)) = 1

Se calcula el inverso modulardi ≡ e−1

i (mod Φ(ni)) i.e. ei · di mod = 1


RSA

Claves:

Clave pública: (ni, ei)

Clave privada: di

? Trampa: para calcular di hace falta Φ(ni), ypara ello hay que factorizar ni . . .


RSA

Cifrado:

M 7→ C ≡ M ei (mod ni)

Descifrado:

C 7→ Cdi ≡ M eidi (mod ni)

Teorema:

M eidi ≡ M (mod ni)


RSA

Aspectos computacionales:

Comprobar si es primo (tests probabilísticos)es eficiente . . .

. . . pero NO factorizar !

Las típicas operaciones aritméticas ymodulares (mcd, exponenciación e inversosmodulares, etc) son eficientes


RSA

Precauciones:

Los primos pi y qi no deben ser próximos a√ni pues si no se factoriza fácilmente

(método de Fermat)

Los números pi − 1 y qi − 1 no deben tenertodos sus factores primos “pequeños”(método p − 1 de Pollard)

Los números pi + 1 y qi + 1 no deben tenertodos sus factores primos “pequeños”(método p + 1)


RSA

Riesgos:

Hay un riesgo de que al cifrar C = MEsto ocurre el siguiente número de veces:

(1+mcd(ei−1, pi−1)) · (1+mcd(ei−1, qi−1))

Por tanto, hay que procurar que ambos mcd’ssean “pequeños”(minimizar el riesgo de que el mensaje quedesin cifrar)

Salvo casos extremos (que hay que evitar)la probabilidad es despreciable


Contenido



Aplicaciones prácticas


Protocolos Criptográficos

∗ Clave Privada:

Autenticación

Firma Digital

Identificación



∗ Clave Privada:

AutenticaciónObjetivo: que el receptor pueda comprobar que el mensaje

recibido no ha sido alterado por una tercera persona

p.e.: enviar texto claro junto al criptograma

(se pierde confidencialidad, y hay riesgo de ataque)

Se detecta si un espía manipula el texto claro

Métodos mejores: sistemas de clave pública . . .

Firma Digital

Identificación



∗ Clave Privada:

Autenticación

Firma DigitalCompromete al emisor a mantener su palabra sin que el

receptor pueda alterar el contenido del mensaje recibido

1. Implícita: contenida en el propio mensaje

2. Explícita: añadida como una marca inseparable del mensaje

3. Privada: sólo el receptor puede identificar al remitente

4. Pública: cualquier persona puede identificar al remitente

5. Revocable: el remitente puede negar a posteriori que la firma le pertenece

6. Irrevocable: el receptor puede demostrar que el remitente escribió el mensaje

IdentificaciónCriptologıa– p.88/99


∗ Clave Privada:

Autenticación

Firma Digital

IdentificaciónObjetivo: que el receptor pueda comprobar si la identidad

del emisor es verdadera o falsa

Las usuales tarjetas magnéticas están sujetas a fraude por sufacilidad de duplicación, alteración o falsificación

Por eso, tienden a ser substituidas por las llamadastarjetas inteligentes, que contienen un chip con memoria(resulta imposible su manipulación)



∗ Clave Pública:Autenticación / Identificación / Firma Digital

La clave pública aumenta la confidencialidad,a costa de la velocidad de los protocolos

Compartición / Intercambio / Venta de Secretos

Pruebas de conocimiento cero

Demostrar que se posee un secreto sin desvelar su contenido

Firma de un Contrato

Esquema Electoral

Contabilizar votos de personas autorizadas exactamente una vez, deforma que el contenido del voto sea secreto

Correo con Acuse de ReciboCriptologıa– p.90/99

Firma Digital (ElGamal)

Un usuario A quiere firmar su mensaje m

1. Generar h aleatorio tal que mcd(h, Φ(n)) = 1

2. Calcular r ≡ gh (mod n)

3. Resolver la congruencia

m ≡ a · r + h · s (mod Φ(n))

4. La firma digital de m es el par (r, s)


Firma Digital (ElGamal)

Un usuario B quiere comprobar la firma de A

1. Calcular rs ≡ ghs (mod n)

2. Calcular gar (mod n)

3. Calcular x ≡ ghs · gar (mod n)

4. Comprobar si x ≡ gm (mod n)


Aplicaciones Prácticas

CLAVE PRIVADAHardware:

Tarjetas para PC con firmware (protección de software)

Cifradores para línea de transmisión (telecomunicaciones)

Tarjetas de seguridad inteligentes

Teclados para PIN (cajeros automáticos)

Software:Watermark (protección del copyright)

Programas para encriptación de ficheros

Programas de acceso para terminales (login)

Paquetes integrales de seguridad


Aplicaciones Prácticas

CLAVE PÚBLICARedes de Comunicacioens:

Sistemas de seguridad en redes telefónicas

Broadcasting (TV digital con pago por visión)

Seguridad militar y espionaje

Votaciones electrónicas

Sistemas Informáticos:Sistemas de seguridad en redes de ordenadores

Correo Electrónico PGP

Seguridad en bases de datos

Transacciones electrónicas seguras (Internet)


Seguridad Informática

∗ La Criptografía es sólo una parte . . .

Conexiones inseguras(POP, cookies, etc)

Gestión de redes, claves, etc

Seguridad física contra “hackers”(firewalls, puertos y servicios abiertos)

Política de permisos y acceso como root(Virus: vulnerabilidad de Windows)

. . .


Plan Integral de Seguridad Informática

Duplicidad de información (BackUp)

Separación de responsabilidades

Restricciones de acceso

Inspección de programas

CriptografíaFicheros encriptados

Comunicaciones cifradas con clave de sesión(one–time pad)

Acceso de usuarios mediante I–Card + PIN

Los PIN’s se almacenan cifrados

Gestión de claves aleatorias

Seguridad independiente del tipo de terminal

Velocidad del cifrado/descifrado superior a la de transmisión


Bibliografía

C. MUNUERA, J. TENA: “Codificación de laInformación”, Ed. Universidad de Valladolid(1997).

D. WELSH: “Codes and Cryptography”, Ed.Clarendon Press (1988).

A. FUSTER ET AL.: “Técnicas Criptográficas deprotección de datos”, Ed. RA–MA (2004).

L. KLANDER: “A prueba de Hackers”, Ed. AnayaMultimedia (1998).


Trabajos (opcionales)

Resumen de este seminario a ordenador(mínimo 10 páginas, máximo 20)

Averiguar las Entropías del Español, Inglés,Francés y Alemán, y comprobar siconcuerdan con las de un texto de cada unode esos idiomas

Resolver una lista de 5 problemas

Explicar la instalación, uso y funcionalidad dePGP, tanto en Windows como en Linux

Otras propuestas: se estudiarían . . .



Documents

crytologia