Criptograf´ıa Grado en Ingenier´ıa Informática

Criptografı́a Grado en Ingenierı́a Informática Departamento Matemática Aplicada I. Estas notas corresponden a la transcripción de las transparencias utilizadas durante las clases de Criptografı́a, y contienen todos los datos relevantes de las mismas. Su uso está permitido, únicamente, en las pruebas correspondientes a la evaluación alternativa. 1 Chapter 1 Introducción ¿Por qué es importante la seguridad? Siempre hay adversarios. Siempre hay ataques • Ataques pasivos • Ataques activos Objetivos de la seguridad • Privacidad • Integridad • Disponiblidad • Autenticación de usuario • No repudio • Firma ¿Cómo conseguir los objetivos? Mecanismos de seguridad. Criptografı́a: Conjunto de técnicas matemáticas que permiten proteger la información en presencia de adversarios 1.1 Conceptos básicos Primer objetivo: privacidad Distintos ataques • Ataque de solo texto cifrado. Objetivo: texto en claro y clave • Ataque de texto claro conocido. Objetivo: la clave • Ataque de texto claro elegido. Objetivo: la clave • Ataque de texto cifrado elegido. Objetivo: la clave • Ataque de texto elegido. Objetivo: la clave. Buscamos sistemas resistentes a este nivel. El atacante. Conocimiento, recursos y capacidad Seguridad computacional: Coste > beneficio. Tiempo excesivo. 2 Chapter 2 Fundamentos 2.1 Un paseo por la antigüedad Ocultación de la información. Herodoto informa del uso de la esteganografı́a en informes de Grecia a Persia (tatuajes en cabezas rapadas, tablillas de cera, etc.) . Gente sin prisa. No es criptografı́a 2.2 Los primeros sistemas • 600-500 AC: Los hebreos usan simples criptosistemas de sustitución. El sistema Atbash: cada letra se sustituye por su simétrica en el alfabeto: A 7→ Z, B 7→ Y . . . Y 7→ B, Z 7→ A • 400 AC: La Escı́tala: Usada en la guerra entre Atenas y Esparta. El cifrado se basaba en la alteración del mensaje original mediante la inclusión de sı́mbolos innecesarios que desaparecı́an al enrollar el mensaje en un rodillo de longitud y grosor. Aún sabiendo la técnica utilizada, si no se tenı́an las dimensiones exactas, un interceptor tenı́a difı́cil su criptoanálisis Figure 2.1: La escı́tala espartana. • 100-1 AC: Los romanos desarrollan nuevos sistemas de cifrado, como el llamado de César. Uno de los sistemas de César era desplazar cada carácter del alfabeto 3 posiciones: A 7→ D, B 7→ E, C 7→ F . . . 3 2.2.1 Cifrado por desplazamiento Es generalización de la clave de César. Se establece una correspondencia entre letras y números: A B C D E F G H I J K L M 00 01 02 03 04 05 06 07 08 09 10 11 12 13 N Ñ O P Q R S T U V W X Y Z 14 15 16 17 18 19 20 21 22 23 24 25 26 27 La clave es un número entero. Se cifra sumando a cada letra del texto en claro el valor de la clave: G + V = B 07 + 23 = 02 Figure 2.2: Disco de cifras Ejemplo de cifrado: AT AQU E AL +3 AM AN ECER −→ dwdtxhcdñcdodphf hu Un ataque de fuerza bruta: Clave 1 2 3 Resultado dwdtxhcdñcdodphf hu −→ dwdtxhcdñcdodphf hu −→ dwdtxhcdñcdodphf hu −→ cvcswgbcnbcñcogegt bubrvf abmabnbñf df s ataquealamanecer ¿Se podrı́a automatizar el ataque de fuerza bruta, o es indispensable la intervención de un agente inteligente que reconozca que ya se ha descifrado el mensaje? Más debilidades: • Basta conocer un carácter y su cifrado para obtener la clave, si sabemos que A se transforma en D, entonces la clave es D - A, es decir 4 -1 = 3. • La longitud del texto, la frecuencia de los caracteres y sus repeticiones en el texto claro se conservan en el texto cifrado. • Se pueden ahorrar muchas de las pruebas del ataque de fuerza bruta si hacemos una tabla con los caracteres más frecuentes de un texto en claro similar al esperado y los comparamos con los más frecuentes en el texto cifrado. 4 2.2.2 Cifrado afı́n Es una generalización del cifrado por desplazamiento en el que la transformación de cifrado es una aplicación afı́n x −→ y = a · x + b donde a es primo con n (el tamaño del alfabeto). El descifrado se hace con la función inversa y −→ x = a−1 · (y − b) • Si usamos un alfabeto de 64 caracteres: abcdefghijklmnñopqrstuvwxyzç0123456789@(){ } <>=+-*/ % & o +,;.:+?¡!’ • Con clave 15, 3 ciframos: AT AQU E AL AM AN ECER −→ q!qpmncq, cqf qtn − n3 • Para un ataque de fuerza bruta necesitamos sólo 2048 intentos, y en uno de ellos está la solución! • Con dos caracteres y sus transformados es probable que obtengamos la clave. 2.2.3 Cifrado por sustitución • Lo más avanzado hasta el siglo XI. • La revolución en el tamaño del espacio de claves! Con un alfabeto de 64 caracteres el número de claves posibles es 126886932185884164103433389335161480802865516 174545192198801894375214704230400000000000000 • Y si examináramos 1000 claves por segundo necesitarı́amos 402355822507243036857665491296174152723 44468599234269469432361230090913315068 siglos! • Cada clave es una permutación del alfabeto. • Si el alfabeto es de n caracteres hay n! claves. Demasiadas! • Es imposible un ataque de fuerza bruta. • Aparentemente inviolable. • Durante siglos se utilizó confiando en su seguridad. • Como la clave es grande se suele recurrir a facilitarla, lo que debilita el sistema 5 Además • Aunque hasta el siglo XV en Europa se tenı́a por totalmente seguro! • Primer criptoanálisis descubierto por el gran matemático Al-Kindi. • Desconocido en occidente durante siglos! 2.2.4 Método del análisis de frecuencias. Una manera de resolver un mensaje cifrado, si sabemos en qué lengua está escrito, es encontrar un texto llano diferente escrito en la misma lengua y que sea lo suficientemente largo para llenar una hoja, y luego contar cuántas veces aparece cada letra. A la letra que aparece con más frecuencia la llamamos ”primera”, a la siguiente en frecuencia la llamamos ”segunda”, a la siguiente la llamamos ”tercera”, y ası́ sucesivamente, hasta que hayamos cubierto todas las letras que aparecen en la muestra de texto llano. Luego observamos el texto cifrado que queremos resolver y clasificamos sus sı́mbolos de la misma manera. Encontramos el sı́mbolo que aparece con más frecuencia y lo sustituimos con la forma de la letra ”primera” de la muestra de texto llano, el siguiente sı́mbolo más corriente lo sustituimos por la forma de la letra ”segunda”, y el siguiente en frecuencia lo cambiamos por la forma de la letra ”tercera”, y ası́ sucesivamente, hasta que hayamos cubierto todos los sı́mbolos del criptograma que queremos resolver. Ideas básicas del análisis de frecuencias: • La longitud del mensaje es la misma. • Si hacemos una lista contando cuántas veces aparece cada carácter en el texto cifrado, la lista de números será la misma que en el texto en claro, aunque en otro orden. • Igual que antes se puede hacer para grupos de caracteres. • Pueden identificarse grupos caracterı́sticos, letras repetidas, etc. • Encontrando algunas correspondencias (vocales, letras más frecuentes, etc.) se puede encontrar rápidamente el texto en claro. Figure 2.3: Frecuencias de las letras en un texto tı́pico en español e inglés. Fragmento de un mensaje bailado A G G N P B H H K A C I I Ñ Q D C C C E E J F O A 6 F K K K C D L B B N E M I K K Figure 2.4: Arthur Conan Doyle. Asignamos arbitrariamente letras a los sı́mbolos del mensaje completo El mensaje cifrado con sustitución: ABCDEFDEFEDKCNAJ..... Otro ejemplo, Sobre el tesoro del capitán Kidd (Edgar Allan Poe “El escarabajo de oro”) 53-+-++305))6*;4826)4-+.)4-+);8o 6*;48+8++6o))85;1-+(;:-+*8+83(8 8)5*+;46(;88*96*? ;8)*-+(;485) ;5*+2:*-+(;4956*2(5*– 4)8++8*;4069285);)6+8)4-+-+;1(-+ 9;48081;8 :8-+1;48+85;4)485+52 8806*81(-+9;48;(88;4(-+?34;48) 4-+161;:188;-+?; 2.3 Cifrados por transposición • En los cifrados por transposición se reordena el texto en claro (nótese que en las sustituciones se reordena el alfabeto). • Los caracteres del texto cifrado son los mismos que en el texto en claro. 1. Ejemplo 1. Se escribe en filas y se lee por columnas: uunnn unsss nmcap uncifrado iunin usandotra omeaf nsposicio queda dspvs nsimpleco roile nnuevecol xatce umnasxxxx cxdri coxoa oolx 7 NTESA USOIN NCEIC LCALA LAOSNAOVDRCNN OSNAO AVNTUMCEOLOIT 2. Ejemplo 2. Camino: queda VDRCN CESENIONPOMCE ICMOP LCIECNNIOSUAS NOINE SEVNT UMCEO LO (Cuatro carriles y camino espiral en sentido de las agujas del reloj, empezando por la esquina superior derecha) 3. Ejemplo 3. Transposición de columnas: Igual que el primero, pero el orden de las letras de una palabra clave determina el orden de las columnas. Criptoanálisis se basa en : • Detección de anagramas. • Análisis de frecuencias. Combinado con sustitución se crean criptosistemas mucho más fuertes puesto que: • La sustitución rompe los anagramas. • La transposición rompe la aparición de palabras reconocibles del texto en claro. Transposición + sustitución fueron fundamentales en las máquinas de rotor de los años veinte. Sistemas polialfabéticos, se utilizan distintas sustituciones dependiendo de la posición del carácter 2.4 Cifrado de Vigenere Publicado por Blaise de Vigenere en su libro ”Traicté des Chiffres” de 1585. Notable ejemplo efectivo de un sistema polialfabético. Llamado le chiffre indéchiffrable. Aproximadamente en 1850, Lewis Carroll opinó que era irrompible. Criptoanálisis publicado en 1854 (Babbage). En 1863 se utilizó como sistema de cifrado en la guerra civil americana. En un ejemplar del Scientific American de 1917 apareció un artı́culo asegurando que era inviolable. • Dos versiones, la repetitiva y la que usaba un sistema llamado autoclave. Estudiaremos antes la primera. • La clave es una palabra o una frase. • Se divide el texto en claro en bloques de la misma longitud que la clave (excepto el último que puede ser menor). 8 • Cada bloque se cifra aplicando a cada carácter un desplazamiento de valor el correspondiente carácter de la clave. Supongamos que con el alfabeto de 64 caracteres de antes y usando como clave la palabra CLAVE, queremos cifrar el texto AT AQU EALAM AN ECER Separamos el texto en bloques de 5 caracteres y aplicamos la clave: A T A Q U E A L A M A N E C E R C L A V E C L A V E C L A V E C D 4 B ) Z H M M W Q D Y F Y J U Es claro que para descifrar basta invertir la operación: D - C = A, 4 - L = T, etc. Para facilitar el cifrado y descifrado se usaba la llamada tabla de Vigenere. Figure 2.5: Tabla de Vigenere. El método de autoclave fue un auténtico precursor de algunos sistemas actuales: • Para cifrar el primer bloque se usa la clave. • Para cada bloque siguiente se usa el resultado de cifrar el bloque anterior: A C D T L 4 A A B Q V ) U E Z E D I A 4 5 L B N A ) { M Z ( 9 A I J N 5 - E N R C { ¿ E ( ¿ R J U Introduce más complejidad, pero se rompe de forma similar al repetitivo, aunque la idea es genial! Seguridad: • Espacio de claves muy grande. No es viable un ataque de fuerza bruta. • Resistente al análisis de frecuencias. • Muy débil ante un ataque de texto cifrado conocido. Basta conocer un fragmento del texto claro correspondiente: Si sabemos que el texto en claro contiene la palabra ATAQUE y con cada bloque de 6 caracteres del texto cifrado hacemos la diferencia encontraremos en alguno de ellos un fragmento de la clave (que podemos probar en el resto del mensaje) - 2.5 D A C 4 T L B A A ) Q V Z U E H E C Criptoanálisis 1. Determinación de la longitud de la clave. 2. Reducción a un cifrado por desplazamiento. 3. Determinación de la clave. 4. Obtención del texto en claro. Herramientas • Test de Kasiski. • ı̀ndice de coincidencia. • ı̀ndice de coincidencia de dos textos. Requisitos. Es necesario que la razón entre la longitud del texto cifrado y la longitud de la clave sea suficientemente grande. Test de Kasiski: la incidencia de las coincidencias • Segmentos repetidos de texto claro cifrados con la misma parte de la clave dan lugar a segmentos iguales de texto cifrado. • Gran número de estas coincidencias ocurrirán entre segmentos iguales separados una distancia múltiplo de la longitud de la clave. • Kasiski propone buscar coincidencias de grupos de 3 o 4 caracteres para minimizar las colisiones debidas al azar. Procedimiento para el test de Kasiski: • Obtenemos la lista de las distancias entre bloques coincidentes. • La mayorı́a de esos números son múltiplos de cierto número n. 10 • Si el texto es suficientemente largo debe haber pocas distancias no múltiplos de n: las descartamos, atribuyéndolas al azar. • El máximo común divisor de los números resultantes es probablemente la longitud de la clave. El ı́ndice de coincidencia: • Invariante por sustitución (y en particular por desplazamiento) • Si el texto es aleatorio y suficientemente grande: pi ≈ 1/N ⇒ IC ≈ N X 1/N 2 = 1/N i=1 • Cada idioma tiene un IC caracterı́stico, aunque dependiente de la naturaleza del texto (cientı́fico, literario, etc.) Indice de coincidencia de dos textos: Probabilidad de que al elegir al azar un carácter en cada texto, ambos sean iguales. X IC(T1 , T2 ) = p(x, T1 ) · p(x, T2 ) x Si a dos textos se les aplica la misma sustitución, el IC no varı́a p(x, T ) = p(σ(x), σ(T )) Ejemplo: X = (a, b, c, d), σ1 (x) = x + 1 mod 4, si T1 = ”baca”, entonces σ1 (T1 ) = ”cdbd”. La propiedad fundamental dice que p(a, ”baca”) = p(b, ”cdbd”) = 2 4 En general, si X es unPalfabeto, T1 , T2 son textos y σ1 es una permutación, IC(σ P 1 (T1 ), σ1 (T2 )) = x∈X p(x, σ1 (T1 )) · p(x, σ1 (T2 )) P= = σ1 (x)∈σ1 (X) p(σ1 (x), σ1 (T1 )) · p(σ1 (x), σ1 (T2 )) = x∈X p(x, T1 ) · p(x, T2 ) = IC(T1 , T2 ). En nuestro ejemplo, si T1 = ”baca” y T2 = ”adcc”, tenemos que σ1 (T1 ) = ”cdbd” y σ1 (T2 ) = ”badd”, con lo que IC(T1 , T2 ) = 42 · 14 + 14 · 04 + 41 · 24 + 40 · 14 = 0, 25 IC(σ1 (T1 ), σ1 (T2 )) = 04 · 14 + 24 · 41 + 14 · 40 + 14 · 24 = 0, 25 Sin embargo, el IC es muy sensible a sustituciones distintas, si a dos textos se les aplican distintas sustituciones, el IC varı́a mucho. En nuestro ejemplo anterior, si definimos σ2 = x + 2 mod 4, tenemos σ1 (T1 ) = ”cdbd” y σ1 (T2 ) = ”cbaa”, con lo que IC(T1 , T2 ) = 42 · 14 + 14 · 04 + 41 · 24 + 40 · 14 = 0, 25 (como antes) IC(σ1 (T1 ), σ2 (T2 )) = 04 · 24 + 24 · 41 + 14 · 41 + 14 · 04 = 0, 1875 Indice de coincidencia de un (único) texto, es la probabilidad de que al tomar al azar dos caracteres en el texto, resulten iguales. X IC(T ) = p(x, T )2 x El IC de un texto aleatorio en un alfabeto de N caracteres es 11 IC(T ) = X p(x, T )2 = N · ( x 1 2 1 ) = N N Si N = 27, este valor es 0,037. El IC de un texto nada aleatorio, como T = (x0 , x0 , . . . , x0 ) es IC(T ) = p(x0 , T )2 + N −1 X p(xi , T )2 = 12 + (N − 1) · 02 = 1 i=1 Español 0,0775 Inglés 0,0667 Francés 0,0778 Italiano 0,0738 Alemán 0,0762 Ruso 0,0529 Uso del IC en el criptoanálisis del criptosistema de Vigenere: 1. Etapa 1 del criptoanálisis: determinación de la longitud de la clave. • Mediante el test de Kasiski buscamos un valor probable para m, la longitud de la clave. • Estimamos el IC del texto en claro, calculándolo sobre un texto que suponemos similar. • Dividimos el texto cifrado en m columnas F1 , . . . , Fm y si la longitud de la clave es m y nuestra estimación del IC es buena, el IC de cada fila Fi debe ser aproximadamente igual al estimado. • Si todo va bien sabemos ahora que el texto se ha cifrado con una clave desconocida k1 , . . . , km . 2. Etapa 2 del criptoanálisis: desplazamientos entre los caracteres de la clave. Para cada columna Ci : • Fi está cifrada con el valor ki mod m • Definimos unos desplazamientos (que no conocemos) ∆ i = k1 − ki mod m 0 • Podrı́amos desplazar todas las filas para obtener F1 , F20 , . . . , Fm , todas cifradas con k1 : F1 está cifrado con k1 . Para i > 1, Fi está cifrado con ki (desconocido). Fi − ki serı́a el texto en claro (si conociéramos ki ). Fi0 = Fi + ∆i = Fi − ki + k1 estarı́a cifrado con k1 (si conociéramos el valor de ∆i • Y ahora . . . ataque de fuerza bruta sobre los ∆i . Cuántos ∆i hay que probar? Si el alfabeto es de N caracteres y la clave es de longitud m, hay que probar m − 1 desplazamientos con 0 ≤ ∆i < N ⇒ N · (m − 1) pruebas. Si N = 27 y m = 16 son solo 405 pruebas. Cómo sabemos que hemos encontrado ∆i ? Probamos todos los valores posibles hasta encontrar el que haga que IC(Fi0 ) ' IC(F1 ) 12 3. Etapa 3 del criptoanálisis: reducción a un cifrado por desplazamiento Sustituimos las filas Fi por las correspondientes Fi0 , volvemos a fusionar las filas en un solo texto y . . . ya tenemos todo el texto cifrado por un desplazamiento de k1 . 4. Fin del criptoanálisis Y ahora, fuerza bruta para buscar k1 . Encontrado k1 ya tenemos el texto en claro y, conocidos los desplazamientos, podemos calcular la clave completa: k1 , k2 = k1 − ∆1 , . . . , km = k1 − ∆m 2.6 Cifrado XOR • Reinventado constantemente por los aficionados, atraı́dos por su sencillez. • Como Vigenere, pero cambiando las sumas y restas por la operación lógica ”o exclusivo” (XOR) de bits. • Supongamos que como antes, queremos cifrar el texto ATAQUEALAMANECER usando como clave la palabra CLAVE . Separamos el texto en bloques de 5 caracteres y aplicamos la clave: ⊕ A C B T L X A A Q V E U E R E C F A L M L A M A V U M E H A C B N L B E A D C V S E E R C O • Como XOR es involutiva, el descifrado es igual que el cifrado. Criptoanálisis: • Igual que en Vigenere, el test de Kasiski puede encontrar la longitud probable de la clave. • Aplicar XOR con el mismo carácter a todo un texto es en realidad aplicarle una permutación del alfabeto, por lo que el ı́ndice de coincidencia puede ser utilizado para el criptoanálisis. • El proceso es entonces igual que el de Vigenere. • Es probable que la razón entre la longitud del texto cifrado y la longitud de la clave tenga que ser algo mayor en XOR. 2.7 Criptosistema de Hill. 1929 y =M ·x Por ejemplo cifrando con una matriz 3 × 3 Texto en claro: e, n, u 7→ (2, 13, 21)         2 3 4 2 23 w  5 5 6  ·  13  =  22  7→  v  7 8 9 21 24 x Para el descifrado 13  2  5 7 3 5 8 −1       4 23 2 e 6  ·  22  =  13  7→  n  9 24 21 u Muy débil ante ataques de texto en claro conocido Ataque mediante Gauss-Jordan diagonalizacion (Texto claro — texto cifrado ) −→ (Matriz unidad — Clave)   e n u w v x  n l u i d q     g a r d d o     d e l i t q     a m a j g o     n c h g j i     a d e y m g     c u y f v c     o n o u ñ t  m b r r l l   4 13 21 23 22 24  13 11 21 8 3 17     6 0 18 3 3 15     3 4 11 8 20 17     0 12 0 9 6 15     13 2 7 6 9 8     0 3 4 25 12 6     2 21 25 5 22 2     15 13 15 21 14 20  12 1 18 18 11 11 Tras diagonalizar:                 1 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 2 3 4 0 0 0 0 0 0 0 5 5 6 0 0 0 0 0 0 0 7 8 9 0 0 0 0 0 0 0                 La clave es la traspuesta de la matriz de la esquina superior. Es muy probable que conozcamos algo de texto en claro y su cifrado. Otros ataques al criptosistema de Hill no requieren conocer un texto en claro. Y ahora, una duda: ¿Es que todos los criptosistemas son vulnerables? 14 Chapter 3 La búsqueda de la perfección Existen sistemas irrompibles +Cómo podemos demostrarlo? 3.1 Teorı́a de la información • Introducida por Claude Shannon a finales de los años cuarenta, permite efectuar un estudio formal de la seguridad de los algoritmos criptográficos. • Cuantifica conceptos como cantidad de información, entropı́a o secreto. • Introduce la noción de secreto perfecto. Cantidad de información de un mensaje: • Ante varios mensajes, el que tenga una menor probabilidad será el que contenga una mayor cantidad de información. • Si la probabilidad de un mensaje m es p(m), entonces la cantidad de información de m se define como I(m) = −log2 (p(m)) • Si la probabilidad de un mensaje es 1, entonces la cantidad de información de ese mensaje es 0. • Si la probabilidad de un mensaje se acerca a 0, entonces la cantidad de información se acerca a ∞. Entropı́a: • Mide la cantidad de información que lleva una señal. Si simplificamos suponiendo que la señal es una cadena de caracteres en español, la entropı́a mide la aleatoriedad de la cadena. • Depende de la distribución de probabilidad de los caracteres e indica lo plana que es: plana equivale a alta entropı́a y ocurre cuando todos los valores tienen probabilidades similares, mientras que es poco plana cuando algunos valores son mucho más probables que otros. 15 • Con alta entropı́a es difı́cil poder predecir cuál es el próximo valor que va a presentarse, ya que todos los valores son igualmente probables. • La medida de información debe ser proporcional (continua). Es decir, un cambio pequeño en una de las probabilidades de aparición de uno de los elementos de la señal debe cambiar poco la entropı́a. • Si todos los elementos de la señal son igualmente probables, entonces la entropı́a será máxima. • La entropı́a también está relacionada con el lı́mite teórico para la compresión de datos. • Una buena contraseña debe tener entropı́a alta. • La entropı́a de un mensaje M = m1 , . . . mn se define como la suma ponderada de las cantidades de información de sus posibles estados: H(M ) = − n X p(mi ) · log2 (p(mi )) i=1 • Tiene las siguientes propiedades: 1. 0 ≤ H(M ) ≤ log2 (n) (valor que se da para n caracteres equiprobables). 2. H(M ) = 0 ⇔ existe un j con p(mj ) = 1 y el resto con probabilidad 0. Ejemplo: M puede tomar tres estados: m1 , m2 , m3 con probabilidades respectivas p(m1 ) = 50% p(m2 ) = 25% p(m3 ) = 25% E(M ) = − 21 · log2 12 − 14 · log2 14 − 14 · log2 14 = 12 · 1 + 41 · 2 + 14 · 2 = 1, 5 Entropı́a y codificación M = mensaje de longitud n. L = lı́mite máximo de compresión para M eligiendo un codificador sı́mbolo a sı́mbolo, de forma óptima. L = n · H(M ) Entropı́a condicional M = mensaje que puede tomar los valores m1 , . . . , mn . Si conocemos un valor mk : H(M |mk ) = n X p(M = mj |mk ) · log2 p(M = mj |mk ) j=1 Incertidumbre Y = mensaje que puede tomar los valores y1 , . . . , ym . La incertidumbre de un mensaje X conocido un valor de Y es: H(X|Y ) = m X H(X|Y = yj ) · p(Y = yj ) j=1 La incertidumbre satisface las siguientes propiedades: • H(X|X) = 0. 16 • Si X e Y son independientes, H(X|Y ) = H(X). • H(X|Y ) ≤ H(X). Entropı́a máxima ⇒ mayor incertidumbre en el mensaje. Se da cuando todos sus n estados tienen la misma probabilidad. H(M )max = log2 (n) Ratio absoluta de un lenguaje: Es la entropı́a del Plenguaje suponiendo los N caracteres igualmente probables: R = H(X) = − x p(x) · log2 (x) = −sumx N1 · log2 N1 = N · N1 · log2 N = log2 N N = 27 =⇒ R = 4, 75 Ratio verdadera Como las letras no tienen igual probabilidad, la ratio verdadera baja mucho. Pruebas empı́ricas dan para el español: 1, 2 ≤ r ≤ 1, 5 Redundancia: La redundancia de un lenguaje es la diferencia entre su ratio absoluta y su ratio verdadera: D =R−r En español se estima que 3, 25 ≤ D ≤ 3, 55. Empı́ricamente se halla que en un lenguaje con redundancia 3,2 bastarı́a con un texto cifrado de 25 caracteres para romper un cifrado por sustitución. Distancia de unicidad Mı́nima cantidad de texto cifrado para que un atacante con capacidad ilimitada pueda encontrar la clave. Si la clave K es aleatoria la distancia de unicidad viene dada por la fórmula H(K)/D Ejemplo (desplazamiento): Con 26 claves, H(K) = log2 26 ' 4, 70, luego H(K)/D ' 1, 38 Ejemplo (sustitución): Con un alfabeto de 27 caracteres, H(K) = log2 27! ' 93, 13, luego H(K)/D ' 27, 39. Ejemplo (Vigenere o XOR): Clave de longitud d y alfabeto de n caracteres: H(K) d = log2 nd = · log2 n D D Con n = 27 y d = 10, H(K)/D ' 14. Secreto Es la incertidumbre del mensaje en claro conocido el mensaje cifrado. Secreto perfecto: Un criptosistema tiene secreto perfecto si el conocimiento del texto cifrado no proporciona ninguna información sobre el texto en claro. Secreto perfecto es mucho más que computacionalmente seguro 17 3.2 Cifrado de Vernam Existe algún cifrado con secreto perfecto? Vernam propuso uno consistente en XOR simple (o Vigenere) en el que la clave: 1. Se genera aleatoriamente. 2. Es tan larga como el texto en claro. 3. Se usa una sola vez (para cada texto en claro se genera una clave nueva). Las tres condiciones son completamente necesarias. Tiene secreto perfecto. a1ofkgdygfñuvñjox1p88+Ý3o1qnykp-ı́7qmn(ihqn con dos claves diferentes puede corresponderse con: • LANZAMIENTO DE MISILES A LAS 16:00 HORAS • NO REGAR LAS PLANTAS MIENTRAS SEA DE DIA Hay claves para descifrar en cualquier texto claro: C texto cifrado, T texto en claro. Si k = C ⊕ T entonces C ⊕ k = C ⊕ C ⊕ T = T . En OTP no hay cota para la entropı́a de la clave por lo que su distancia de unicidad es infinita. ¿Por qué no usar siempre OTP? Problemas: • Generación de claves verdaderamente aleatorias. • Distribución de claves. 18 Chapter 4 Números seudoaleatorios Problema de la generación de claves grandes suficientemente aleatorias (por ejemplo para el cifrado de Vernam) Secuencias criptográficamente válidas: Impredecibles e irreproducibles. Uso de fuentes hardware: • Reloj del sistema. • Fluctuaciones en el giro de un disco duro. • Fuentes defectuosas que emiten ruido. • Dispositivos especı́ficos. Fuentes no válidas: • Bits de un CD o DVD. • Otras fuentes públicas de información. Soluciones más seguras: mezcla de métodos hardware y software. Se puede usar algún sistema de cifrado simétrico: • El Generador X9.17 usa DES. • Uso de otros cifrados simétricos. Los generadores seudoaleatorios parten de una pequeña cantidad de información: semilla, clave, . . . de tal modo que el conocimiento de esa información permite generar la secuencia completa. Algunos usos en Criptografı́a de estas secuencias seudoaleatorias son: • Generación de claves y contraseñas. • Claves para criptosistemas en flujo • Vectores de inicialización • Protección de contraseñas (salt). • Desafı́os en pruebas de conocimiento cero. • Valores aleatorios en firmas digitales 19 • Relleno de paquetes Los generadores seudoaleatorios se pueden dividir en tres clases: buenos, malos, y muy malos (y usuarios muy descuidados) La generación de números aleatorios es demasiado importante como para ser dejada al azar. Descuido en la lı́nea de comandos echo off for /l % a in (1 1 100) do(echo % random %) Con más cuidado @echo off & setLocal EnableDelayedExpansion for /L % %a in (1 1 100) do (echo !random!) SQL Las condiciones para que una secuencia binaria se considere criptográficamente segura son 1. Periodo suficientemente grande. 2. Distribución uniforme: los unos y ceros en cualquier muestra deben distribuirse aproximadamente al 50% . 3. Imprevisible: con una muestra de la secuencia debe ser imposible poder predecir el bit siguiente. 4. Fácil, rápido y barato: eficiencia, coste computacional, consumo de recursos, apto para hardware, etc. 4.1 Generadores por desplazamiento de registros retroalimentados (FSR) Los registros de desplazamiento retroalimentados (feedback shift registers, o FSR en inglés) son la base de muchos generadores de secuencia para cifrados de flujo. Se utilizan n celdas. En cada iteración se calcula una función f sobre el contenido de las n celdas y el resultado se asigna a la última, desplazando a las anteriores Dependiendo de la función utilizada se dividen en • NLFSR (Non-Lineal Feedback Shift Register), que usan una función no lineal. • LFSR (Lineal Feedback Shift Register), que usan una función lineal. Son sencillos y rápidos y proporcionan un buen grado de aleatoriedad, por lo que son muy utilizados. En un LFSR la función es del tipo f (bn , . . . , b1 ) = n X j=1 20 aj · bj Pero como las operaciones de bits son en Z2 , cada ai = 0, 1 y f consiste en hacer ⊕ con alguno de los bits (no hay multiplicaciones). Un ejemplo de LFSR paso a paso: f (x, y, z, t) = 0 · x + 1 · y + 1 · z + 0 · t mod 2 (⊕ con los bits centrales), si el bloque inicial es b0 = 1010, la sucesión de bloques obtenidos es b1 = 0101, b2 = 1011, b3 = 0111, b4 = 1110, b5 = 1100, b6 = 1001, b7 = 0010, b8 = 0101, b9 = 1011, como b2 = b9 el periodo de esta sucesión es 7. 4.2 Generadores de congruencias lineales (LCG) xi+1 = (a · xi + b) mod m Es frecuente elegir m de la forma 2k , ası́ la operación módulo consiste en poner los k bits más significativos a 0, y no requiere divisiones (equivale a hacer desplazamientos) x= 0 X i=n−1 bi · 2i = k X bi · 2i + i=n−1 0 X i=k−1 0 X bi · 2i = bi · 2i mod 2k i=k−1 El periodo de esta sucesión es m (máximo) si yo sólo si se verifican1 1. b es primo con m. 2. Si p es primo y divide a m, p divide a a − 1. 3. Si m es múltiplo de 4, a − 1 es múltiplo de 4. LCG y LFSR son los más usados: • Biblioteca estándar de C y C++. • Lı́nea de comandos (Microsoft) • Unix Unas observaciones: Las funciones random se inicializan a veces con valores tomados del reloj, ratón, pulsaciones, etc. Pueden resultar elecciones muy malas: la generación de números aleatorios es demasiado importante como para ser dejada al azar. Existen implementaciones más seguras 4.3 4.3.1 Algunos errores famosos RANDU. IBM (1960) x0 impar. xi+1 = (216 + 3) · xi mod 231 (se normalizan en [0,1] dividiendo por 231 ). ¿Alcanza RANDU el perı́odo máximo? xi+1 = (65539 · xi + 0) mod 231 1 Knuth, 1969 21 1. No. 0 no es primo con 231 . 2. Si. 2 es el único primo que divide a 231 , y también divide a 65539 − 1. 3. No. 231 es múltiplo de 4, pero 65539 − 1 no lo es. Test espectral: Se buscan correlaciones interpretando cada s valores consecutivos como vectores en un espacio de dimensión s, intentando encontrar estructuras geométricas. Tomamos el conjunto de vectores (que se solapan): − Ls = {→ x n = (xn , . . . , xn+s−1 ) : n ≥ 0} y buscamos hiperplanos paralelos que contengan los vectores de Ls . Si se encuentran es que hay correlaciones. Parece que todo está bien, pero si giramos la representación tridimensional .... Figure 4.1: Todos los puntos en el mismo hiperplano. Por qué? xn+2 = (216 + 3) · xn+1 = (216 + 3)2 · xn = (232 + 6 · 216 + 9) · xn = (6 · 216 + 18 − 9) · xn = = (6 · (216 + 3) − 9) · xn = 6 · (216 + 3) · xn − 9 · xn = 6 · xn+1 − 9 · xn Cada terna de valores (xn , xn+1 , xn+2 ) está en un plano, el z = 6y − 9x (con más precisión, en 15 trozos de un plano, por trabajar en Z231 ¿Cómo de importante es esto? Experimentos que se diseñen usando muestras aleatorias con un mal generador,áconcluirán que hay correlaciónáentre las variables, pero no es que realmente exista, sino porque los números de entrada no son suficientemente aleatorios. ¿Y en la Criptografı́a? La falsa seguridad es peor que el conocimiento de que no hay seguridad. 4.3.2 Windows 2000 y XP. 2007 “. . . investigadores israelı́es publicaron un análisis criptográfico sobre el algoritmo usado por Microsoft para generar números aleatorios y descubrieron que contenı́a serios problemas en su implementación. 22 El estudio revelaba (entre otros fallos) que es relativamente sencillo predecir los resultados del generador conociendo uno de sus estados internos y ası́ como las claves de sesión usadas para cifrar información . . . ” 4.3.3 Debian. 2008 Un error debido más bien al descuido que a un mal diseño. 14 de mayo de 2008: “Debian ha sufrido un grave revés [. . . ] su generador de números aleatorios es predecible. Las claves generadas ya no son seguras [. . . ] esto tendrá por muchos años una importante repercusión y numerosos efectos colaterales en otros paquetes y distribuciones . . . ” 4.4 Generadores tipo Fibonacci xn = (xn−r xn−s ) mod m Estos generadores presentan varios inconvenientes • La fórmula generadora correlaciona xn , xn−r y xn−s , luego ¡no son independientes! • No son criptográficamente seguros. Uno de los más famosos de este tipo es el generador sustractivo de Knuth: 1. Se inicializa m = 109 , s1 = 1, s0 (semilla) con 0 ≤ s0 < m 2. s2 , . . . , s54 calculados como si+1 = si − si−1 mod m. 3. Reordenamos: para k = 0, . . . , 54 xk = s(34(k+1) mod 55) Y ahora empezamos a generar números, para k ≥ 55, xk = xk−55 − xk−24 mod m El generador sustractivo de Knuth genera uniformemente valores entre 0 y m − 1 y es fácil de calcular: nunca se multiplica ni se divide, ni siquiera para hallar el valor módulo m; sin embargo, la fórmula generadora correlaciona las términos xk , xk−55 , xk−24 , que no son independientes. Dos usos notables del generador sustractivo de Knuth son la clase Random en .net y la clase Random en Java. 4.5 El generador Blum Blum Shub Lenore Blum, Manuel Blum y Michael Shub 1986. Un generador sencillo y de gran seguridad (basada en factorización) 1. Se eligen dos primos grandes p, q ambos congruentes con 3 módulo 4, con mcd(φ(p − 1), φ(q − 1)) pequeño (para que el periodo sea largo) y hacemos m = p · q 23 2. Se toma como semilla un entero grande s primo con m y se calcula una sucesión: x0 = s2 mod n; xi+1 = x2i mod n ∀i ≥ 0 En la práctica se toman los bits menos significativos de cada xn Se puede calcular directamente cualquier valor mediante 2i mod (p−1)(q−1) xi = x0 mod m. Si se eligen pocos bits de cada término de la sucesión, entonces predecir el valor de un término es tan difı́cil como factorizar n. Este generador • Es bueno (criptográficamente seguro), • es bonito y sencillo, pero . . . sufre dos inconvenientes: • es caro y lento! (requiere aritmética de enteros grandes). 4.6 Generador X9.17 Semilla y claves: • s1 = semilla. • k = clave. • D = 64 bits elegidos del reloj del sistema. E(k, X) = cifrado de X con la clave k mediante el criptosistema E. xi = E(k, E(k, D) ⊕ si ) si+1 = E(k, xi ⊕ E(k, D)) Más sobre generadores seudoaleatorios puede encontrarse en The art of Computer Programming de Donald Knuth, o Handbook of Applied Cryptography de Menezes, van Oorschot y Vanstone. Y para terminar, una idea: ¿Podrı́amos usar un buen generador seudoaleatorio para acercarnos a OTP? 24 Chapter 5 Cifrado en flujo El objetivo consiste en, usando un buen generador seudoaleatorio, obtener una clave de periodo suficientemente largo para aproximarnos a la seguridad de OTP. Para ello podemos actuar de dos modos: 5.1 Modo sı́ncrono. La secuencia seudoaleatoria (flujo) se calcula independientemente del texto en claro y del texto cifrado; sólo depende de la clave. Figure 5.1: Modo sı́ncrono. Aquı́ • F () es la función generadora de estado • si es el estado en el paso i , s0 es el estado inicial (que en muchos casos es la clave k). • G() es la función generadora de la sucesión aleatoria, que depende del estado si . 25 • mi y ci son la i-ésima porción del texto claro y cifrado respectivamente, por medio de or exclusivo. En este modo 1. El emisor y el receptor deben estar sincronizados para que el texto pueda descifrarse. Si durante la transmisión se pierde o inserta algún bit, el receptor ya no estará aplicando xor con la misma secuencia, por lo que el resto del mensaje no se descifrará. 2. Si se altera un bit del criptograma, la sincronización no se pierde, pero el texto claro se verá modificado en la misma posición. Esta caracterı́stica podrı́a permitir a un atacante cambiar el mensaje, si conoce qué bits debe alterar. 3. Si un atacante conociese parte del texto claro, podrı́a sustituirlo por otro sin que lo advirtiese el destinatario. 5.2 Modo ası́ncrono Ası́ncrono (auto-sincronizado): la secuencia seudoaleatoria generada es función de la semilla y de una cantidad fija de los bits anteriores del cifrado. Donde k es la clave, mi y ci son la i-ésima porción del texto claro y cifrado respectivamente y w es una funciÝon reversible. Los valores ct , ct+1 , . . . , c1 constituyen el estado inicial del generador. Figure 5.2: Modo ası́ncrono. Este modo: 1. Es resistente a la pérdida o inserción de información, ya que se sincroniza automáticamente, cuando llegan t bloques correctos de forma consecutiva. 2. Dispersa las propiedades estadı́sticas del texto claro a lo largo de todo el mensaje cifrado: cada elemento del mensaje influye en todo el cifrado. 3. En general son más resistentes frente a ataques basados en la redundancia del texto en claro. 26 5.3 Seguridad Las debilidades esenciales de estos generadores son ⊗ Uso repetido de la misma inicialización ⊗ Repetición de la misma secuencia cifrante. aunque existen otros ataques más avanzados, como • Ataques de correlación • Ataques algebraicos • Criptoanálisis diferencial Algunos usos actuales de criptosistema de flujo • RC4 (Ronald Code 4) Ronald Rivest - 1987. Secreto Roto en 2001 ( S. Fluhrer, I. Mantin y A. Shamir). Se puede encontrar la clave si la inicialización cumple unas condiciones muy comunes y se interceptan el suficiente número de mensajes. Esto incluye a la mayorı́a de los productos que lo usan. La versión no oficial de RC4 es legal, pero no puede ser utilizada con el nombre de RC4 (ARCFOUR, ARC4, Alleged-RC4). RSA Security nunca ha liberado el algoritmo de RC4. RC4 es parte de los protocolos de cifrado más comunes como WEP, WPA para tarjetas wireless y TLS. Increı́ble velocidad y simplicidad. Necesita pocos recursos. La implementación software y hardware es muy sencilla. • GSM. A5/1 es usado en Europa y los Estados Unidos; un algoritmo de cifrado más débil, A5/2 es usado en paı́ses que no son considerados de confianza para tener un cifrado fuerte. A5/1 fue desarrollado en 1987, cuando GSM no era considerado aún para su uso en Europa, por su parte A5/2 fue desarrollado en 1989. Intentos de mantenerlo en secreto. Roto rápidamente. Algoritmos que lo rompen en tiempo real en 2006 (Eli Biham y Nathan Keller). • CSS. Content Scrambling System - 1996 1. Seguridad por oscuridad. Algoritmo propietario. 2. Roto en 1999 por un equipo noruego (MoRE: Masters of Reverse Engineering). Programa DeCSS, que se salta la protección CSS. 3. Cada disco DVD está cifrado mediante una clave única de solo 40 bits: la fuerza bruta es factible. 4. Cada DVD se cifra con una clave de 40 bits que se oculta cifrándola con una clave propia de cada fabricante autorizado (de equipo o programa reproductor). Consecuencia: la clave del disco está grabada en el DVD unas 400 veces, una vez por cada fabricante autorizado: con poco esfuerzo los autores de DeCSS encontraron unas 170 claves en pocas horas. Y ahora, de nuevo la duda: +Es que todos los criptosistemas son vulnerables? 27 Chapter 6 Criptografı́a simétrica moderna Criptosistemas simétrı́cos Figure 6.1: Criptosistema simétrico. Simétrico ⇔ clave secreta compartida. El emisor y el receptor deben conocer la clave Todos los sistemas clásicos de cifrado son simétricos. Una pregunta para responder más adelante: +puede ser de otra manera? Ventajas • La seguridad depende sólo del secreto de la clave. • Son muy rápidos. • Los sistemas con un gran espacio de claves son muy seguros. Inconvenientes • Es complicado establecer un sistema de distribución y gestión de claves eficiente entre emisor y receptor. • Carecen de firma digital y de otros servicios. 28 6.1 Cifrado por bloques Una gran parte de los algoritmos de cifrado simétrico operan dividiendo el mensaje que se pretende codificar en bloques de tamaño fijo, y aplican sobre cada uno de ellos una combinación de operaciones de confusión (sustituciones) y de difusión (transposiciones). Estos algoritmos se denominan, en general, cifrados por bloques. Recordemos que la confusión consiste en tratar de ocultar la relación que existe entre el texto claro, el texto cifrado y la clave. Un buen mecanismo de confusión harı́a demasiado complicado extraer relaciones entre las tres cosas. Por su parte la difusión trata de repartir la influencia de cada bit del mensaje original lo más posible entre el mensaje cifrado. 6.1.1 Modos de operación En primer lugar, independientemente del método empleado para codificar, hemos de tener en cuenta lo que ocurre cuando la longitud de la cadena que queremos cifrar no es un múltiplo exacto del tamaño de bloque. Entonces tenemos que añadir información al final para que lo sea. El mecanismo más sencillo consiste en rellenar con ceros el último bloque que se codifica. Una vez hecho esto, existen dos modos principales de operación para algoritmos de cifrado por bloques • Modo ECB (Electronic Codebook) es el método más sencillo y obvio de aplicar un algoritmo de cifrado por bloques. Simplemente se subdivide la cadena que se quiere codificar en bloques del tamaño adecuado y se cifran todos ellos empleando la misma clave. A favor de este método podemos decir que permite codificar los bloques independientemente de su orden, lo cual es adecuado para codificar bases de datos o ficheros en los que se requiera un acceso aleatorio. También es resistente a errores, pues si uno de los bloques sufriera una alteración, el resto quedarı́a intacto. Además, el cifrado es fácilmente paralelizable. • Modo CBC (Cipher Book Chaining Mode) que incorpora un mecanismo de retroalimentación en el cifrado por bloques. Esto significa que la codificación de bloques anteriores condiciona la codificación del actual, por lo que será imposible sustituir un bloque individual en el mensaje cifrado. Esto se consigue efectuando una operación XOR entre el bloque del mensaje que queremos codificar y el último criptograma obtenido. Para cifrar el primer bloque, se emplea el denominado vector de inicialización (V.I.), conocido por ambos interlocutores. 6.1.2 Redes de Feistel En criptografı́a, el Cifrado de Feistel es un método de cifrado en bloque con una estructura particular. Debe su nombre al criptógrafo de IBM Horst Feistel. También es conocida comúnmente como Red de Feistel. Un gran número de algoritmos de cifrado por bloques lo utilizan, siendo el más conocido el algoritmo Data Encryption Standard (DES). Las redes de Feistel presentan la ventaja de ser reversibles por lo que las operaciones de cifrado y descifrado son idénticas, requiriendo únicamente invertir el orden de las subclaves utilizadas. El primer algoritmo basado en las redes de Feistel fue el algoritmo Lucifer, diseñado al amparo de IBM por Horst Feistel y Don Coppersmith a principios de la década del 1970, aunque la popularidad para este esquema llegó cuando el Gobierno Federal de los Estados Unidos adoptó el algoritmo DES como estándar para el cifrado de las comunicaciones gubernamentales. Este algoritmo derivaba del algoritmo Lucifer y también está constituido por una red de Feistel. La 29 naturaleza iterativa de estas redes hacı́a que la implementación del algoritmo en hardware fuera sencillo. Se divide el mensaje en bloques de tamaño N , notados A|B y se procesa cada bloque en n rondas usando: • Una clave K que se divide en n subclaves: k1 , . . . , kn . • Una función f (no necesariamente invertible) que en la ronda i toma la subclave ki y N/2 bits y retorna N/2 bits. siguiendo el siguiente esquema: Figure 6.2: Ronda i de un cifrado de Feistel Ai+1 = Bi ⊕ f (Ai , ki ) Bi+1 = Ai El descifrado funciona de manera análoga, a partir de Ai+1 |Bi+1 podemos recuperar Ai |Bi si conocemos la clave ki , sin más que hacer Bi = Ai+1 Bi+1 = Ai 6.2 DES Historia: • 1973: En EEUU la NBS (National Bureaux of Standards) convocó un concurso público para buscar un algoritmo criptográfico estándar. • 1974: La NSA (National Security Agency) declaró desierto el primer concurso y refinando las especificaciones eligió una variante de Lucifer que llamó DES (Data Encryption Standard). • 1976: DES se adoptó como estándar y se autorizó su uso en las comunicaciones no clasificadas del gobierno. • Durante más de 25 años DES ha sido el estándar para bancos y comercio electrónico. 30 Especificaciones del concurso DES: • El nivel de seguridad computacional debe ser alto. • El algoritmo debe ser fácil de entender y deberá estar especificado en todos sus detalles. • La seguridad del sistema no debe verse afectada por la publicación y divulgación del algoritmo. • Debe estar disponible para cualquier usuario. • Deberá poder usarse en diferentes aplicaciones. • Fácil implementación en hardware. • Debe incorporar capacidades de validación. • Debe ser exportable. Pero . . . Secreto: En realidad la NSA querı́a que los detalles fuesen secretos. Limitaciones legales: • La NSA impuso una limitación en la longitud de la clave: los 128 bits de Lucifer se quedaron en 64 (que son 56 efectivos ya que al ser datos de 8 bits, se conoce el bit de paridad). • Ası́ el espacio de claves es pequeño: 256 ≈ 7, 2 · 1016 . Claves débiles: Existen familias de claves llamadas débiles y semidébiles que deben ser evitadas. DES no es un grupo. Triple DES se beneficia de ello: Se usan 2 claves DES: k1 y k2 y se hace un producto de tres Bastante seguro por el tamaño efectivo de su clave: 112 bits. Sigue siendo válido actualmente. Es el propuesto en SET y se encuentra como una opción en PGP. La historia de DES como estándar: • Se adoptó como estándar en 1976. • El NIST lo certificó en 1987 y 1993. En esos años se estandarizó como algoritmo de cifrado. • Usado sobre todo en el cifrado de la información de transacciones entre un cajero y el banco. • En 1997 NIST no certificó DES y convocó un concurso internacional para buscar un nuevo estándar mundial denominado AES (Advanced Encryption Standard). • Entre 1997 y 1999 DES se enfrentó a tres desafı́os conocidos como DES Challenge impulsados por la compañı́a RSA. 31 A mediados de julio de 1998, una empresa sin ánimo de lucro, llamada EFF (Electronic Frontier Foundation), logró fabricar una máquina capaz de descifrar un mensaje DES en menos de tres dı́as. Curiosamente, pocas semanas antes, un alto cargo de la NSA habı́a declarado que dicho algoritmo seguı́a siendo seguro, y que descifrar un mensaje resultaba aún excesivamente costoso, incluso para organizaciones gubernamentales. DES-Cracker costó menos de 250.000 euros. DES Challenge I (29 de enero de 1997): Se rompe en 96 dı́as con 80.000 de ordenadores en Internet que evalúan 7.000 millones de clave por segundo. Hubo que recorrer el 25% del espacio de claves. DES Challenge II-1 (13 de enero de 1998): Se rompe en 39 dı́as con un ataque distribuido (distributed.net) que llega a evaluar 34.000 millones de claves por segundo y recorre el 88% del espacio de claves. DES Challenge II-2 (13 de julio de 1998): Electronic Frontier Foundation (EFF) crea el DES Cracker con una inversión de 200.000 dólares y en 56 horas rompió la clave evaluando 90.000 millones de claves por segundo. DES Challenge III: El último desafı́o propuesto por RSA mostró la capacidad de un ataque distribuido: usando los tiempos muertos de procesador de máquinas conectadas a Internet que con un programa cliente trabajaban en una parte del espacio de claves. 18 de enero de 1999: unión de la máquina DESCracker y distributed.net con 100.000 ordenadores conectados en Internet y rompen la clave en 22 horas, evaluando 245.000 millones de claves por segundo tras recorrer el 22% del espacio de claves. Pero . . . DES, actualmente: • En 1998 la NSA seguı́a declarando que DES era seguro, que romperlo era demasiado costoso incluso para grandes organizaciones. • En realidad el problema de DES no es de diseño, sino que su clave se hizo muy corta. • DES sigue siendo hoy dı́a muy utilizado en aplicaciones (por ejemplo cajeros automáticos). • Hay mucha resistencia a abandonarlo porque ha sobrevivido mucho tiempo. Se prefieren variantes antes que confiar en algoritmos nuevos y para permitir aprovechar las implementaciones por hardware existentes de DES. 6.3 AES Historia: • En 1997 el NIST (National Institute of Standards and Technology, antes NBS) no certificó DES y convocó un concurso público para un nuevo estándar: AES (Advanced Encryption Standard). • Ganó el algoritmo RIJNDAEL (Vincent Rijmen y Joan Daemen, Bélgica) que desde el año 2000 es el nuevo estándar de cifrado del siglo XXI. Es de libre distribución, disponible desde finales del año 2001. • El proceso completo de selección, revisión y estudio de todos los candidatos del concurso fue público y abierto. Prácticamente por primera vez, participó toda la comunidad criptográfica mundial. Esto hace que Rijndael sea muy digno de confianza. 32 En octubre de 2000 el NIST (National Institute for Standards and Technology) anunciaba oficialmente la adopción del algoritmo Rijndael (pronunciado más o menos como reindal) como nuevo Estándar Avanzado de Cifrado (AES) para su empleo en aplicaciones criptográficas no militares, culminando ası́ un proceso de más de tres años, encaminado a proporcionar a la comunidad internacional un nuevo algoritmo de cifrado potente, eficiente, y fácil de implementar. AES es un sistema de cifrado por bloques, diseñado para manejar longitudes de clave y de bloque variables, ambas comprendidas entre los 128 y los 256 bits. Realiza varias de sus operaciones internas a nivel de byte, interpretando éstos como elementos de un cuerpo de Galois GF (28 ). El resto de operaciones se efectúan en términos de registros de 32 bits. Sin embargo, en algunos casos, una secuencia de 32 bits se toma como un polinomio de grado inferior a 4, cuyos coeficientes son a su vez polinomios en GF (28 ). AES, a diferencia de algoritmos como DES, no posee estructura de red de Feistel. En su lugar se ha definido cada ronda como una composición de cuatro funciones invertibles diferentes, formando tres capas, diseñadas para proporcionar resistencia frente a criptoanálisis lineal y diferencial. Cada una de las funciones tiene un propósito preciso: • La capa de mezcla lineal (funciones DesplazarFila y MezclarColumnas) permite obtener un alto nivel de difusión a lo largo de varias rondas. • La capa no lineal (función ByteSub) consiste en la aplicación paralela de S-cajas con propiedades óptimas de no linealidad. • La capa de adición de clave es un simple or-exclusivo entre el estado intermedio y la subclave correspondiente a cada ronda. Caracterı́sticas: • No es de tipo Feistel. • Muy adaptado para los procesadores de 8 bits usados en tarjetas inteligentes y arquitecturas de 32 bits. • Tamaño de clave y de bloque variables: 128, 192 y 256 bits (independientemente). • Usa aritmética de polinomios sobre cuerpos de Galois, que se traducen en operaciones modulares a nivel de byte y de palabras de 4 bytes. • Número de etapas flexible según necesidades. • Utiliza un conjunto de S-Boxes con valores precalculados para facilitar los cálculos aritméticos. • Rijndael es más versátil que la versión estandarizada. AES opera modificando bloques de 128 bits representados en una matriz de 4 × 4 bytes, que llama estado. Cada ronda (excepto la última) consiste en cuatro pasos: La ronda final reemplaza la fase MixColumns por otra instancia de AddRoundKey. 1. SubBytes - Sustitución de bits: Sustitución no lineal donde cada byte del estado es reemplazado con otro según una tabla: Esta transformación es una sustitución no lineal que se aplica a cada byte de la matriz de estado, mediante una S-caja 8 ∗ 8 invertible, que se obtiene componiendo dos transformaciones: 1. Cada byte es considerado como un elemento del GF (28 ) que genera el polinomio irreducible m(x) = x8 + x4 + x3 + x + 1, y sustituido por su inversa multiplicativa. El valor cero queda inalterado. 33 Figure 6.3: Subbytes. 2. El siguiente paso consiste en aplicar la siguiente transformación afı́n en GF (2), si x0 , x1 , . . . , x7 los bits del byte correspondiente, su imagen será y0 , y1 , . . . , y7             y0 y1 y2 y3 y4 y5 y6 y7              ==            1 1 1 1 1 0 0 0 0 1 1 1 1 1 0 0 0 0 1 1 1 1 1 0 0 0 0 1 1 1 1 1 1 0 0 0 1 1 1 1 1 1 0 0 0 1 1 1 1 1 1 0 0 0 1 1 1 1 1 1 0 0 0 1             ·           x0 x1 x2 x3 x4 x5 x6 x7             +           1 1 0 0 0 1 1 0             La función inversa serı́a la aplicación de la inversa de la S-caja correspondiente a cada byte de la matriz de estado. 2. ShiftRows Desplazamiento de filas: Los bytes de cada fila del estado se rotan de manera cı́clica hacia la izquierda un número de lugares diferente para cada fila. La función inversa será, obviamente, un desplazamiento de las filas de la matriz de estado el mismo número de posiciones, pero a la derecha. 3. MixColumns - Mezcla de columnas: Cada columna del estado se multiplica por un polinomio constante c(x). Ası́ se mezclan los 4 bytes de la columna con una transformación lineal. 4. AddRoundKey - Cálculo de las subclaves: Cada byte del estado se combina mediante XOR con una subclave. Las subclaves se derivan de la clave de cifrado usando un proceso iterativo. 34 Figure 6.4: ShiftRows. Figure 6.5: MixColumns. Figure 6.6: AddRoundKey. 35 Chapter 7 Intercambio de claves Intercambio de claves • A través de un canal abierto, dos interlocutores que no poseen ningún conocimiento secreto común, necesitan compartir una clave secreta. • Las mismas ideas que dieron origen a la Criptografı́a de clave pública aportaron soluciones a este antiguo problema. • Primera solución: Diffie y Hellman propusieron en 1976 un método que basa su seguridad en el problema del logaritmo discreto. • Hay actualmente muchos otros protocolos de intercambio de claves, algunos perfeccionando el de D-H y otros basados en nuevas ideas. A y B se envı́an mensajes usando un canal abierto y consiguen compartir un secreto K que sólo es conocido por ellos: 1. Eligen y publican un primo adecuado p y un generador g, 2 ≤ g ≤ p − 2 del grupo multiplicativo de Zp . 2. A elige un secreto x, 1 ≤ x ≤ p − 2 y envı́a a B el mensaje g x mod p. 3. . B elige un secreto y, 1 ≤ y ≤ p − 2 y envı́a a A el mensaje g y mod p. 4. B recibe g x y calcula la clave compartida como K = (g x )y mod p 5. A recibe g y y calcula la clave compartida como K = (g y )x mod p Un ejemplo artificialmente pequeño: 1. A y B eligen y publican un primo adecuado p = 71 y un generador g = 21 del grupo multiplicativo deZ71 . 2. A elige un secreto x = 46 y envı́a a B el mensaje g x mod p = 2146 mod 71 = 9. 36 3. B elige un secreto y = 57 y envı́a a A el mensaje g y mod p = 2157 mod 71 = 61. 4. B recibe g x = 9 y calcula la clave compartida como K = (g x )y mod p = 957 mod 71 = 16. 5. A recibe g y y calcula la clave compartida como K = (g y )x mod p = 6146 mod 71 = 16. Seguridad: • Si un atacante interceptara toda la comunicación, llegarı́a a conocer los valores de p, g, g x y gy . • Para encontrar K necesita conocer uno de los valores x, y. Su dificultad es que para hallar x tiene que calcular el logaritmo discreto en Zp de g x de base g, y éste es un problema intratable (análogamente para y). • Se podrı́a aumentar la seguridad mediante el uso de un grupo sobre el que el PLD fuese más duro: por ejemplo, el grupo multiplicativo de un cuerpo finito o el grupo de una curva elı́ptica. • Es seguro ante ataques pasivos, pero se necesitarán mejoras para protegerse de ataques activos: Ataque de intercepción y suplantación: • A elige un secreto x, 1 ≤ x ≤ p − 2 y envı́a a B el mensaje g x mod p. C intercepta g x mod p, elige un z con 1 ≤ z ≤ p − 2 y envı́a a B el valor g z mod p. • B elige un secreto y, 1 ≤ y ≤ p − 2 y envı́a a A el mensaje g y mod p. C intercepta g y mod p, y envı́a a B el valor g z mod p. • B recibe g z y calcula la clave compartida como K = (g z )y mod p • A recibe g z y calcula la clave compartida como K = (g z )x mod p C calcula también la clave compartida haciendo K = (g x )z mod p 7.1 Ataques El protocolo es sensible a ataques activos del tipo Meet-in-the-middle. Si la comunicación es interceptada por un tercero, éste se puede hacer pasar por el emisor cara al destinatario y viceversa, ya que no se dispone de ningún mecanismo para validar la identidad de los participantes en la comunicación. Ası́, el ”hombre en el medio” podrı́a acordar una clave con cada participante y retransmitir los datos entre ellos, escuchando la conversación en ambos sentidos. Una vez establecida la comunicación simétrica el atacante tiene que seguir en medio interceptado y modificando el tráfico para que no se den cuenta. Para evitar este tipo de ataque se suele usar una o más de las siguientes técnicas: 37 • Control de tiempos. • Autenticación previa de las partes. • Autenticación del contenido. 7.2 Autenticación e integridad Necesidad de autenticación: • Al ataque anterior (y a otros) son susceptibles también todos los todos los criptosistemas de clave pública que hemos visto. • La debilidad clave es la dificultad de autenticación y de integridad, en varios sentidos: – Autenticación de la identidad del emisor del mensaje. – Autenticación de la identidad del que recibe el mensaje. – Verificación de la integridad del mensaje, etc. • Las soluciones vendrán de una combinación de las técnicas estudiadas. Este estudio nos llevará a los conceptos de funciones resumen, certificados, firma, etc. 38 Chapter 8 Clave pública Si la clave es pública cualquiera puede descifrar, . . . o no? Idea fundamental: Asimetrı́a ⇔ separación de claves: una pública que cifra y otra privada que descifra. Dos ejemplos: 1. El cartero fiel: • Clave pública: mi dirección. • Clave privada: la llave de mi buzón. 2. El fabricante de cajas de seguridad: • Clave pública: una caja abierta, que se bloquea al cerrarla. • Clave privada: mi llave de la caja. Cifrado y descifrado asimétrico: la clave pública la tienen todos, la clave privada sólo la tiene el destinatario: Figure 8.1: Clave pública. Ni el mismo emisor puede descifrar! Los algoritmos asimétricos poseen dos claves diferentes en lugar de una, Kp y KP , denominadas clave privada y clave pública. Una de ellas se emplea para codificar, mientras que la otra se usa 39 para decodificar. Dependiendo de la aplicación que le demos al algoritmo, la clave pública será la de cifrado o viceversa. Para que estos criptosistemas sean seguros también ha de cumplirse que a partir de una de las claves resulte extremadamente difı́cil calcular la otra. Se basan en general en plantear al atacante problemas matemáticos difı́ciles de resolver Un poco de (pre)historia: • El concepto de criptosistema de clave pública fue descubierto por James Ellis (Government Communications Headquarters) al final de los a+?os 60 (7 años antes que DH). • Clifford Cocks desarrolló esas ideas y descubrió un criptosistema equivalente a RSA en 1973 (3-4 a+?os antes que Rivest, Shamir y Adleman). • Malcolm Williamson, buscando fallos en el trabajo de Cocks, descubre el Intercambio de claves DH en 1975 (un año antes que Diffie y Hellman). Los servicios secretos no supieron valorar estos descubrimientos, pero los mantuvieron en secreto y el mérito fue para otros. Whitfield Diffie y Martin Hellman publicaron el artı́culo ”New Directions in Cryptography” en 1976. Los autores afirman que serı́a posible implementar criptosistemas de clave pública usando esotéricas funciones relacionadas con difı́ciles problemas matemáticos. No hacen propuestas concretas. Cuáles son esas mágicas funciones matemáticas? Funciones de un solo sentido: • En realidad son funciones biyectivas . . . de otra forma no se podrı́a descifrar! • Lo importante es que para ser capaz de invertirlas hay que conocer cierta información: la clave privada!. • Si no se conoce la clave privada es computacionalmente imposible invertir la función. Quién conoce una función ası́? Esta pregunta queda en pie tras el artı́culo de Diffie y Hellman. 40 Chapter 9 Mochila de Merkle-Hellman Merkle y Hellman propusieron en 1977 el que fue (probablemente) el primer sistema de cifrado de clave pública. Basado en el problema subset-sum: Dada una lista de enteros positivos (a1 , a2 , . . . , an ) y un entero positivo Pn s, encontrar, si existe, una lista de enteros (x1 , x2 , . . . , xn ) con xi ∈ {0, 1}, 1 ≤ i ≤ n tales que i=1 xi · ai = s El problema es NP-completo y es llamado a menudo el problema de la mochila. El caso de la mochila supercreciente: Pi−1 • Una mochila (b1 , b2 , . . . , bn ) se dice que es supercreciente si bi ≥ j=1 bj , ∀i = 2, . . . , n • Si la mochila es supercreciente es fácil decidir si el problema tiene solución y, en su caso, hallarla Para i = n hasta 1 xi = 0 Si s ≥ bi entonces xi = 1, s = s − bi 9.1 MH: generación de claves En Merkle-Hellman, las claves están compuestas por secuencias. La clave pública es una secuencia ”difı́cil”, y la clave privada es una ”fácil”, o secuencia de valores supercrecientes, junto con dos números adicionales, un multiplicador y un módulo, los cuales son usados para convertir la secuencia supercreciente en una secuencia difı́cil. Estos mismos números son usados para transformar la suma de la subsecuencia de la secuencia ”difı́cil” en la suma de la subsecuencia de la secuencia ”fácil”, la cual se puede solucionar en tiempo polinomial. Cada usuario crea su clave pública y la correspondiente clave privada: • Crea una mochila supercreciente (b1 , b2 , . . . , bn ) • Elige un módulo M con M > b1 + b2 + . . . + bn • Elige un entero W , 1 ≤ W ≤ M − 1 con mcd(W, M ) = 1 • Elige una permutación π de (1, 2, . . . , n) • Calcula ai = W · bπ(i) mod M , para i = 1, . . . , n 41 • La clave pública es (a1 , a2 , . . . , an ) • La clave privada es (π, M, W, (b1 , b2 , . . . , bn )). 9.2 Cifrado y descifrado B cifra un mensaje para A 1. Obtiene la clave pública de A: (a1 , a2 , . . . , an ) 2. Representa el mensaje m como una cadena binaria m1 m2 . . . mn . 3. Calcula el entero c = m1 a1 + m2 a2 + . . . + mn an . 4. Envı́a el mensaje cifrado c a A. A descifra el mensaje de B 1. Calcula d = W −1 · c mod M . 2. Resuelve el problema de la mochila supercreciente y encuentra enteros r1 , r2 , . . . , rn ∈ {0, 1} tales que d = r1 b1 + r2 b2 + . . . rn bn . 3. Los bits del mensaje son mi = rπ(i) , i = 1, 2, . . . , n. POR QUÉ FUNCIONA EL DESCIFRADO? La operación que se en elP descifrado es: Prealiza n n d = W −1 c = W −1 i=1 mi ai = i=1 mi bπ(i) (mod M ) Como Pn 0 ≤ d < M, d = i=1 mi bπ(i) mod M La solución del problema con la mochila supercreciente dará los bits del mensaje (tras la aplicación de la permutación). 9.3 Seguridad • El problema general subset-sum es NP-completo, pero el particular de la mochila derivada de una supercreciente no lo es. • Se conoce un ataque capaz de romper el criptosistema en tiempo polinomial. • El único sistema criptográfico basado en el problema de la mochila para el que aún no se conoce un ataque con éxito es el de Chor-Rivest. 42 Chapter 10 RSA En 1977 Ron Rivest, Adi Shamir y Len Adleman propusieron un criptosistema de clave pública sustentado en el que pasó a llamarse el problema RSA, basado en la factorización de enteros. RSA se basa en la dificultad para factorizar grandes números. Las claves pública y privada se calculan a partir de un número que se obtiene como producto de dos primos grandes. El atacante se enfrentará, si quiere recuperar un texto claro a partir del criptograma y la clave pública, a un problema de factorización o tendrá que resolver un logaritmo discreto 10.1 RSA: herramientas matemáticas Antes de seguir con el criptosistema RSA, necesitaremos unas herramientas matemáticas 10.1.1 Inversos módulo n Cuando trabajamos módulo un entero, en numerosas ocasiones necesitaremos calcular el inverso de algún elemento, y la existencia de dicho inverso está determinada por el siguiente criterio Dado x ∈ Zn el inverso de x módulo n existe si y sólo si el máximo común divisor de x y n es 1 (o dicho de otra forma, si los números en cuestión son coprimos). Para el cálculo de dicho inverso (en caso de que exista) se utiliza el algoritmo extendido de Euclides. Cálculemos manualmente 17−1 mod 65: (1) (2) (3) (4) 65 = 17 = 14 = 3= 1 3· 1· 4· ·2 17 + 14 14 + 3 3+2 +1 1= 3 - 1 · 2 = = 3 - 1 · (14 - 4 · 3) = - 14 + 5 · 3 = =-14 + 5 · (17 - 1 · 14) = 5 · 17 - 6 · 14 = = 5 · 17 - 6 (65 - 3 · 17) = 23 · 17 - 6 · 65 Ası́, la identidad de Bezout 1 = 23 · 17 + (−6) · 65 leida módulo 65 nos da que 1 = 23 · 17 mod 65 10.1.2 Teorema de Euler Un resultado básico para que funcione el descifrado es el llamado Teorema de Euler que fue primeramente enunciado y demostrado por Fermat para el caso particular en el que el módulo es primo 43 Pequeño Teorema de Fermat: si p primo y x no nulo y menor que p, se verifica xp−1 = 1 mod p El teorema de Euler generaliza el pequeño teorema de Fermat para cualquier valor del módulo, aunque siempre manteniendo la condición de coprimalidad de x y p Teorema de Euler: si x y p coprimos, se verifica xφ(p) = 1 mod p Donde φ es la función de Euler, que mide el número de unidades de Zn , y cuya es fórmula es 1 1 φ(n) = n · (1 − ) · · · (1 − ) p1 pr donde los pi son los factores primos de n, es decir n = pa1 1 · · · par r . 10.1.3 Teorema Chino del Resto (TCR) Este teorema nos determina la existencia de soluciones de un sistema de congruencias. Si n1 , . . . , nk son enteros primos entre sı́ dos a dos, n = n1 · · · nk y a1 , . . . , ak ∈ Z, se trata de resolver el siguiente sistema de ecuaciones:    x = a1 mod n1 .. .   x = ak mod nk En tal caso el sistema tiene solución única mod n, y dicha solución se halla de la siguiente manera, en primer lugar se calculan ci = nni y di = c−1 mod ni , ∀i = 1, . . . , k; ahora las soluciones i son: x = a1 c1 d1 + . . . ak dk ck + λ · n, ∀λ ∈ Z 10.1.4 Cálculo de potencias enteras Otra herramienta básica para el funcionamiento de RSA es la exponenciación modular repetida de números (eventualmente grandes), ası́ que es interesante disponer de un método que nos permita calcular el valor de me modn con un mı́nimo número de operaciones La idea consiste en llegar al valor de me por medio de cuadrados y multiplicaciones por m, siguiendo la hoja de ruta marcada por la expresión binaria del exponente e (reduciendo cada resultado intermedio cuando se sobrepase el módulo n.  e=1  m e me = (mb 2 c )2 epar  m · me−1 eimpar El seudocódigo de una versión no recursiva serı́a ası́: s = 1, t = m, q = e; mientras (q > 0) si (q & 1) // si q es impar s = s * t; q = q / 2; // división entera(desplazamiento) 44 t = t * t; retorna s; Este algoritmo se ejecuta en tiempo logarı́tmico en función del valor del exponente e. El cálculo sin ordenador es un poco diferente. Ejemplo de cálculo de 2100 : 100 = 11001002 → 1C1C0C0C1C0C0 → M CM C0C0CM C0C0 → M CM CCCM CC M C M C C C M C 1 −→ 2 −→ 4 −→ 8 −→ 64 −→ 4096 −→ 16777216 −→ 33554432 −→ . . . C C . . . −→ 1125899906842624 −→ 1267650600228229401496703205376 No son 100 multiplicaciones, sino sólo 9 (el númnero de operaciones a realizar está acotado por el doble del número de bits del exponente −1. 10.1.5 Construcción de primos grandes También será necesario un procedimiento para generar primos grandes con facilidad. Para generar un primo, se construye un entero impar de k bits (donde k marca el tamaño deseado): 1 * * ... * * 1 El primero y el último bit se ponen a 1 y los bits intermedios se eligen al azar. La probabilidad de que el número ası́ construido sea primo es de 2/(k · ln2) Si el número obtenido no es primo volvemos a sortear los bits intermedios y repetimos hasta obtener un primo. Ahora necesitamos determinar si hemos encontrado un primo, y para ello podemos aplicar el test de primalidad de Miller-Rabin Entrada: n impar, con n = 2s · r + 1 con r impar. Salida: ”compuesto” si el número no es primo; ”probable primo” si el número es probablemente primo, con probabilidad de error de 1/4 El funcionamiento de dicho test es el siguiente Se elige al azar un entero a con 1 < a < n. y = ar mod n Si y = 1 mod n, retorna "probable primo" j=1 Mientras j ≤ s − 1, y y 6= −1{ y = y 2 mod n Si y = n − 1 retorna "probable primo" j =j+1 } Retorna "compuesto" Si se obtiene k veces la respuesta ”probable primo”, entonces la probabilidad de error es inferior a 1/22k , lo que lo hace muy fiable. Para hacernos una idea de la fiabilidad, valga este cuadro: Concepto El gordo de Navidad Un meteorito y un asteroide el mismo dı́a Te toca la primitiva y te mata un rayo el mismo dı́a Error en M R(n, 50) 45 Probabilidad 2−17 2−27 2−56 2−100 Adicionalmente, es interesante que los primos utilizados sean fuertes, se dice que un primo p es fuerte si verifica: • p + 1 tiene un factor primo grande. • p − 1 tiene un factor primo r grande. • r − 1 tiene un factor primo grande. Para la búsqueda de primos fuertes podemos utilizar el llamado test de Gordon • Elige dos primos r, s de tama+?o adecuado • Calcula t como el menor primo de la forma a · r + 1 con a ∈ Z. • Calcula p0 = (st−1 − ts−1 ) mod (s · t) • Calcula p como el menor primo de la forma p = p0 + a · t · s con a ∈ Z. 10.2 RSA: el problema El problema matemático de difı́cil resolución en que radica la fortaleza del criptosistema RSA es el siguiente, dados: • Un entero n, que se sabe que es producto de dos primos p y q (desconocidos) • Un entero e, que sabemos que es primo con p − 1 y con q − 1. • Un entero c, que sabemos que es el resultado de elevar un número desconocido m a e módulo n. Hay que encontrar un entero m tal que me = c (mod n), es decir, descifrar el mensaje cifrado c, que corresponde al texto en claro m. La factorización de enteros resuelve el problema RSA, puesto que si sabemos factorizar n = p·q, • Calculamos φ = (p − 1)(q − 1) • Hallamos d = e−1 en Zφ • La solución es m = cd mod n. De hecho conociendo φ serı́a fácil encontrar p y q con sólo resolver una ecuación de segundo grado, ya que φ(n) = (p − 1) · (q − 1) y, por ejemplo q = n/p, con lo que quedarı́a φ(n) = (p − 1)(n/p − 1), y resolverı́amos la ecuación p2 + (φ(n) − n − 1) · p + n = 0 No está demostrado que el problema RSA sea equivalente al de la factorización, pero el problema de determinar d sı́ lo es, ya que conocido éste existe un sencillo ataque que nos darı́a la factorización de n. 46 10.3 Generación de claves Cada usuario cera una clave pública y la correspondiente clave privada: 1. Genera dos primos grandes p y q, de tamaño similar. 2. Calcula n = p · q y φ = (p − 1)(q − 1). 3. Elige un entero e, 1 < e < φ con mcd(e, φ) = 1. 4. Calcula el único entero d, 1 < d < φ tal que e · d = 1 modφ. 5. La clave pública es (n, e), la privada es d. El entero e se llama el exponente de cifrado, d el exponente de descifrado y n el módulo. 10.4 Cifrado y descifrado El modo de empleo del protocolo es el siguiente: Cifrado B cifra un mensaje para A (a) Obtiene la clave pública de A (n, e) (b) Representa el mensaje como un entero m en el intervalo [0, n − 1] (c) Calcula c = me mod n. (d) Envı́a el texto cifrado c a A. Descifrado A descifra el mensaje de B Usa su clave privada para recuperar m = cd mod n. Este procedimiento nos permite cifrar y descifrar, puesto que • Como ed = 1 (mod φ(n)), existe un entero k con ed = 1 + kφ(n) • Si mcd(m, p) = 1, entonces, por el Teorema de Euler, mp−1 = 1 (mod p). Elevando ambos miembros a k(q − 1) y multiplicando por m queda med = m1+k(p−1)(q−1) = m (mod p). • Si mcd(m, p) = p entonces ambos miembros son 0 módulo p, con lo que la congruencia anterior también se verifica • Por un argumento similar med = m (mod q) y como p y q son primos, de aquı́ se sigue que med = m (mod n) Para simplificar el descifrado, podemos utilizar el Teorema Chino del Resto; la idea consiste en trasladar las operaciones de Zn a Zp × Zq , y resolver el sistema x = cd mod p x = cd mod q que tiene solución única módulo n, ası́: 47 1. ap = q p−1 mod n, aq = pq−1 mod n 2. dp = d mod (p − 1), dq = d mod (q − 1) 3. cp = c mod p, cq = c mod q d d 4. m = ap (cpp mod p) + aq (cq q mod q) mod n Se hacen más operaciones pero más rápidas; además los valores de los dos primeros pasos pueden estar precalculados, ya que no dependen del mensaje recibido. 10.5 RSA: seguridad Ron Rivest estimó en 1977 que factorizar un número de 125 dı́gitos requerirı́a 40.000 billones de años, esto le llevó a pensar que RSA-129 no podrı́a ser roto jamás en la práctica. Un reto de factorización (propuesto por los inventores de RSA en 1977) apareció en la columna de Martin Gardner Mathematical Games de la revista Scientific American. Fue resuelto en 1994 por un gran proyecto computacional conjunto coordinado por Derek Atkins, Michael Graff, Arjen Lenstra y Paul Leyland. Más de 600 voluntarios aportaron tiempo de cálculo de unas 1600 máquinas (dos de ellas de fax) durante más de seis meses. La coordinación se realizó a través de Internet y supuso uno de las primeros proyectos de estas caracterı́sticas. Para superar el desafı́o RSA-129 habı́a que factorizar un mensaje cifrado con una clave 129 dı́gitos, 425 bits, concretamente el número: 11438162575788886766923577997614661201021829672124236256256184293 . . . . . . 5706935245733897830597123563958705058989075147599290026879543541 que se factoriza como 3490529510847650949147849619903898133417764638493387843990820577∗ ∗32769132993266709549961988190834461413177642967992942539798288533 La solución era el texto The Magic Words are Squeamish Ossifrage (del inglés ”Las Palabras Mágicas son Quebrantahuesos Aprensivo”) y el hito de 1994 inauguró la tradición de usar las palabras squeamish ossifrage en los retos criptoanalı́ticos. El premio ofrecido por el reto era de 100 $, que los ganadores donaron a la Free Software Foundation. Con la siguiente estimación de capacidad de cálculo (en mips1 por año): Particular (P) Gran empresa (E) Gobierno (G) 10.000 10.000.000 1.000.000.000 Teniendo en cuenta que la potencia de cálculo se multiplica por 10 cada 5 años y las Matemáticas avanzan cada año, los tamaños recomendados de claves: Año Contra P Contra E Contra G 1995 768 1280 1536 2000 1024 1280 1536 2005 1280 1536 2048 2010 1280 1536 2048 2015 1536 2048 4096 2045 8192 16384 32768 1 ”M”illones de ”I”nstrucciones ”P”or ”S”egundo”. Es una forma de medir la potencia de los procesadores 48 10.6 Debilidades 10.6.1 Necesidad de relleno 1. Algunos valores del mensaje pueden dar cifrados inseguros: • Los valores m=0 y m=1 siempre se cifran en sı́ mismos. • Con exponentes pequeños y valores pequeños de m, el cifrado podrı́a ser estrictamente menor que el módulo y el texto en claro podrı́a obtenerse haciendo la raı́z e-ésima, sin tener en cuenta el módulo. 2. Siempre hay mensajes que se cifran en sı́ mismos (al menos 9). De hecho su número exacto es : (1 + mcd(e − 1, p − 1)) · (1 + mcd(e − 1, q − 1)) 3. RSA es determinista, por lo que es viable un ataque de texto elegido: el atacante construye un diccionario de textos probables y sus cifrados. Interceptando un texto cifrado, el atacante puede usar este diccionario para descifrar el mensaje. Protección: combinar RSA con algún esquema de relleno (como por ejemplo estándares como PKCS). 10.6.2 Ataque de primos cercanos • Fuerza bruta p Si p y q son primos cercanos, p está cerca p de (n); ası́ serı́a viable un ataque de fuerza bruta dividiendo n entre impares menores que (n). • Factorización de Fermat p−q 2 2 2 Si llamamos x = p+q 2 , y = 2 , entonces x − n = y . Como x > n, la idea es probar todos p 2 los x > (n) hasta dar con uno que x − n sea cuadrado perfecto. Cuanto más cercanos sean p y q, más pequeño será y, y harán falta menos iteraciones. Con x e y, calculamos p = x + y, q = x − y. Mersenne propuso a Fermat el problema de decidir si era primo el número 2027651281 Fermat contestó rápidamente: 2027651281 = 44021 · 46061 El método: √ n = 45029, 45 . . . √ x x2 − n 45030 222, 75 . . . 45031 373, 74 . . . 45032 479, 32 . . . ... ... 45041 1020, 00 2027651281 = 450412 − 10202 = (45041 + 1020)· (45041 − 1020) = 46061 · 44021 49 10.6.3 Múltiples claves que descifran Además de la clave privada d pueden encontrarse otras claves que también sirvan para descifrar, aunque no sean d = e−1 mod n: Llamando γ = mcm(p − 1, q − 1) dγ = e−1 mod γ λ=b n − dγ c γ Habrá λ claves dk que descifran (además de d): dk = dγ + k · γ, k = 0, 1, . . . , λ Ejemplo: Clave pública (n, e) = (3053 = 714̇3, 157). Clave privada d = 157−1 mod (70 · 42) = 1573. γ = mcm(70, 42) = 210. dγ = 157−1 mod 210 = 103. Claves que descifran: 3053 − 103 = 14 210 Esto es: 103, 313, 523, 733, 943, 1153, 1363, 1573, 1783, 1993, 2203, 2413, 2623, 2833, 3042. 103 + k · 210, 10.7 k = 0, . . . Sobre la elección de claves Algunos criterios para una buena clave: • p y q deben ser suficientemente grandes, del mismo tamaño, pero no muy cercanos. • Debe maximizarse mcm(p − 1, q − 1) • Deben minimizarse mcd(e − 1, p − 1) y mcd(e − 1, q − 1). • p y q deben ser primos fuertes. Existen algoritmos para generar buenas claves y pruebas para validar su calidad. Error: elegir un mismo módulo n y distribuir distintos pares (e, d) a los usuarios de la organización. • Por lo delicado de la buena elección del módulo, es un error bastante frecuente. • El problema es que el conocimiento de un simple par (e, d) puede revelar la factorización de n y romper todo el sistema. Debe evitarse el uso repetido de un pequeño exponente de cifrado. Por ejemplo, un mensaje enviado a 3 destinatarios que han elegido e = 3, es muy probable que pueda ser descifrado usando el TCR. 50 Chapter 11 Firma y resumen digital Aparte de la confidencialidad durante la transmisión de información, tenemos una serie de objetivos que conseguir por medio del uso de la Criptografı́a, como por ejemplo: • Integridad del mensaje. • Autenticación del emisor y/o del receptor • No suplantación. • No repudio. Para implementar mecanismos que permitan estos servicios empezaremos por una herramienta fundamental: la firma digital. Firmar un documento consiste en añadirle cierta información que valide su autorı́a. No debe confundirse la firma electrónica con la firma digital; la firma electrónica es un concepto jurı́dico, equivalente electrónico al de la firma manuscrita, donde una persona acepta el contenido de un mensaje electrónico a través de cualquier medio electrónico válido. Ejemplos de firma electrónica son • firmar con un lápiz electrónico al usar una tarjeta de crédito o débito en una tienda. • marcar una casilla en una computadora, a máquina o aplicada con el ratón o con el dedo en una pantalla táctil. • usar una firma digital. • usuario y contraseña. • usar una tarjeta de coordenadas. Una firma electrónica crea un historial de auditorı́a que incluye la verificación de quién envı́a el documento firmado y un sello con la fecha y hora. Según la Ley 59/2003, de firma electrónica, en España, la firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante. No vamos a estudiar la firma electrónica, sino la firma digital, que es un mecanismo criptográfico que, dado un mensaje (cifrado o no), permite (al menos): • Determinar la entidad originadora del mensaje (autenticación de origen y no repudio). 51 • Confirmar que el mensaje no ha sido alterado desde que fue firmado (integridad). Para que esto se pueda llevar a cabo necesitamos que la firma digital cumpla una serie de requisitos: 1. Única: solo puede ser generada por el firmante. 2. No falsificable: para falsificarla hay que resolver problemas computacionalmente intratables. 3. Dependiente del documento. 4. Verificable por terceros. 5. Innegable: el firmante no debe poder negar su firma. 6. Viable: deben existir algoritmos eficientes de generación y verificación. Con un buen criptosistema de clave pública podemos diseñar de forma sencilla mecanismos de firma digital. 11.1 Firma RSA Holmes tiene (n, e, d) como clave RSA (siendo d secreto) y firma un documento D de la siguiente forma, calcula f = RSA(n, d, D) y publica D y f : Watson accede al documento firmado (D, f ) y lo comprueba calculando RSA(n, e, f ) y comparándolo con D, si el resultado es igual, la firma es correcta y en caso contrario es falsa. La comprobación de la firma puede hacerla todo el mundo ya que solo se necesita la clave pública de Holmes. Este método cumple los 5 primeros requisitos exigidos, pero no el sexto, si el mensaje D es muy grande, f puede ser también enorme y los cálculos muy lentos. Tendrı́amos resuelto el problema si supiéramos asociar a un documento una pequeña cantidad de información (un resumen), de forma inequı́voca . 11.2 Funciones resumen Idea básica: el resumen de un documento D debe servir como una representación compacta de D y debe poder usarse como si el documento estuviera identificado de forma única por su resumen. Esto se traduce en varias condiciones básicas que debe cumplir una función resumen: 1) Facilidad y velocidad de cálculo. h(D), el resumen de D, debe ser muy fácil y rápido de calcular. 2) Resumen de longitud fija. El tamaño del resumen h(D) debe ser fijo (definido por la función), sin depender del tamaño de D. 3) Difusión. h(D) debe ser una función en la que intervengan todos los bits de D. Si en D cambiase un bit, en h(D) deberı́an cambiar aproximadamente la mitad de los bits. 4) Unidireccionalidad. Conocido un resumen h(D), debe ser computacionalmente imposible encontrar D. 5) Resistencia a colisiones. Es evidente que h nunca puede ser una función inyectiva, con lo que siempre existen colisiones: pares (D, D0 ) tales que h(D) = h(D0 ). Distinguiremos entre resistencia débil y fuerte a las colisiones. 52 5a) Resistencia débil. Conocido D, debe ser computacionalmente imposible encontrar D0 tal que h(D) = h(D0 ). 5b) Resistencia fuerte. Debe ser computacionalmente imposible encontrar D y D0 tales que h(D) = h(D0 ). ¿Cuántos intentos son necesarios para encontrar una colisión del segundo tipo? Menos de los que uno esperarı́a, debido a la llamada paradoja del cumpleaños: Sea p(n) probabilidad de que en un grupo de n personas elegidas al azar haya al menos dos con el mismo cumpleaños. ¿Cuánto debe valer n para que p(n) > 0, 5 (es decir, para que la probabilidad de coincidencia sea mayor del 50% ? La (sorprendente) respuesta es n = 23. La probabilidad de que todos los cumpleaños sean diferentes en un grupo de n personas (suponiendo que no hay ninguna que haya nacido el 29 de febrero) es 365 − n + 1 365 364 363 · · ··· 365 365 365 365 Teniendo esto en cuenta, si n es el tamaño del resumen y evaluamos la función h sobre 2n/2 documentos, la probabilidad de encontrar dos de ellos con igual resumen es superior al 50%, con lo que el mı́nimo tamaño del resumen será de 160 bits y el tamaño recomendado irı́a por encima de 256 bits. 11.2.1 Algunas funciones resumen Como ejemplos de funciones resumen podemos citar las siguientes: • CRC32 (W. W. Peterson, 1961) Diseñada para detección de errores, con resumen de 32 bits. No adecuada para usos criptográficos. http://www.crc-online.com.ar/ • MD5 (R. Rivest, 1992) Sucesora de MD4, con resumen de 128 bits. Su seguridad está en duda y se desaconseja su uso. http://www.sha1-online.com/ El proceso sobre cada bloque consiste en cuatro rondas, compuestas cada una de 16 operaciones similares, basadas en una función no lineal F (diferente para cada ronda), adición modular y rotación a la izquierda. • SHA-1 (NSA, 1994) Basada en MD5, con resumen de 160 bits, más segura. La familia SHA (Secure Hash Algorithm, Algoritmo de Hash Seguro) es un sistema de funciones hash criptográficas relacionadas de la Agencia de Seguridad Nacional de los Estados Unidos y publicadas por el National Institute of Standards and Technology (NIST). El proceso sobre cada bloque consiste en cuatro rondas, compuestas cada una de 20 operaciones similares, basadas en una función no lineal F (diferente para cada ronda) • SHA-2 (NSA, 2001) Sucesora de SHA-1, con resúmenes de 224,256,384 o 512 bits. Con muchos cambios sobre su predecesora. Recomendada actualmente. Algunos usos de las funciones resumen son: • Generación de claves para criptosistemas simétricos. • Checksum y verificaciones de integridad (sin adversarios). • Generadores seudoaleatorios. 53 • Tablas hash de búsqueda (colecciones, bases de datos, etc.) • Validación y almacenamiento de contraseñas. • Firma electrónica. 11.3 Firma eficiente usando resúmenes Holmes tiene (n, e, d) como clave RSA y quiere firmar un documento m (cifrado o no), para ello 1. Elige una función resumen h y calcula el resumen r = h(m). 2. Calcula y publica cifrado del resumen con la clave privada: f = RSA(n,d) (r) = rd mod n 3. Se adjunta la firma al documento. 4. Sólo puede firmar el propietario de la clave privada. Watson verifica de la firma: 1. Se calcula el resumen r = h(m). 2. La firma es válida si RSA(n,e) (f ) = f e mod n = r 3. Si los resultados no coinciden: el documento ha sido alterado o el firmante no es el legal. 4. Cualquiera puede verificar la firma ya que para ello se usa la clave pública. Veamos un ejemplo artificialmente pequeño: Firmamos el mensaje m = ”esto es muy importante” • Como función resumen usamos h = CRC32: h(m) = F 0EBDC78 = 4041989240 • Parámetros RSA: (n = 10009202107, e = 123456789) d = 4295292925 • Firma: 40419892404295292925 mod 10009202107 = 14275210 • Verificación de la firma: 14275210123456789 mod 10009202107 = 4041989240 = h(m) 54 11.4 Un ataque a la firma digital Un ataque factible cuando la función resumen no es muy robusta es el llamado “ataque de cumpleaños”: Moriarty quiere engañar a Watson para que firme un contrato fraudulento, y para ello: 1. Prepara un contrato bueno C y otro malo C 0 . 2. Modifica C y C 0 sin cambiar los significados (usando sinónimos, comas, espacios, lı́neas en blanco, etc.) hasta que encuentra una pareja (C, C 0 ) con h(C) = h(C 0 ). 3. Envı́a C a Watson para que lo firme. Watson está de acuerdo con C, lo firma (usando h) y devuelve (C, fW (C)). 4. Moriarty sustituye (C, fW (C)) por (C 0 , fW (C)). La protección contra este tipo de ataques proviene de una buena elección de h. La probabilidad de que en el paso Moriarty encuentre una tal pareja (C, C 0 ) con h(C) = h(C 0 ) es muy pequeña si la función resumen h genera resúmenes suficientemente grandes. 55 Chapter 12 ElGamal El procedimiento de cifrado/descifrado ElGamal se refiere a un esquema de cifrado basado en problemas matemáticos de logaritmos discretos. Es un algoritmo de criptografı́a asimétrica basado en la idea de Diffie-Hellman. El algoritmo de ElGamal puede ser utilizado tanto para generar firmas digitales como para cifrar o descifrar. Fue descrito por Taher ElGamal en 1984 en un artı́culo titulado ”A Public key Cryptosystem and A Signature Scheme based on discrete Logarithms” y se usa en software GNU Privacy Guard, versiones recientes de PGP, y otros sistemas criptográficos. Este algoritmo no está bajo ninguna patente lo que lo hace de uso libre. El procedimiento de cifrado (y descifrado) esta basado en cálculos sobre un grupo cı́clico cualquiera lo que lleva a que la seguridad del mismo dependa de la dificultad de calcular logaritmos discretos en un grupo cı́clico. El criptosistema de Elgamal ha demostrado ser muy flexible y algunos de los sistemas más modernos se inspiran en él. 12.1 El problema del logaritmo discreto Consiste en lo siguiente: un grupo (G, ·) de n elementos es cı́clico si existe un g ∈ G (llamado generador del grupo) tal que G = {1, g, g 2 , . . . , g n−1 }. Entonces para todo a ∈ G existe un entero k con 0 ≤ k ≤ n − 1 tal que g k = a. Se dice que k es el logaritmo discreto de a de base g. El problema del logaritmo discreto consiste en hallar el valor de k conocidos G, g y a. En grupos finitos grandes (como por ejemplo en el grupo multiplicativo de Zp con p un primo fuerte), este problema es computacionalmente intratable. Una vez elegido el grupo con el que vamos a trabajar, necesitaremos encontrar un generador de dicho grupo, y esto lo podemos llevar a cabo por medio del siguiente algoritmo: Entrada: G cı́clico, con |G| = n = pe11 · pe22 · · · pekk . Salida: un generador g de G. 1. Elige al azar g ∈ G 2. Para i = 1 hasta k, si g n/pi = 1 vuelve al paso 1. 3. Retorna g. La probabilidad de que g sea generador es φ(n)/n, y un valor del número estimado de intentos necesarios para encontrarlo es 6 · ln(ln(n))). 56 12.2 Generación de claves Cada usuario crea su clave pública y la correspondiente clave privada: 1. Construye un primo grande p y un generador del grupo multiplicativo de Zp . 2. Elige aleatoriamente un entero a, 1 < a ≤ p − 2 y calcula β = g a mod p. 3. La clave pública es (p, g, β). La clave privada es a. 12.3 Cifrado y descifrado B cifra un mensaje para A 1. Obtiene la clave pública de A (p, g, β). 2. Representa el mensaje como un conjunto de enteros m1 m2 · · · en el intervalo [0, p − 1]. 3. Para cada mi elige al azar un entero ki , 1 < ki ≤ p − 2. 4. Calcula γi = g ki mod p y δi = mi · β ki mod p. 5. Envı́a el texto cifrado ci = (γi , δi ) a A. Este proceso de descifrado nos devuelve el mensaje original, puesto que, por el Teorema de Fermat, se tiene que en Zp , γ p−1 = 1 Con lo que γ p−1−a = γ p−1 · γ −a = g −ak . Y por tanto: γ −a · δ = g −ak · m · g ak = m 12.4 Eficiencia y seguridad Entre las desventajas podemos citar • El proceso de descifrado hace sólo una potencia, pero el de cifrado requiere dos, de exponente k, que pueden hacerse más rápidas eligiendo adecuadamente el exponente. • Una desventaja es que el mensaje cifrado es el doble de largo que el original. Por otra parte, habrı́a que destacar como ventajas • Una gran ventaja es que al elegirse k de forma aleatoria, el cifrado de un mismo texto dará resultados diferentes, aunque esto es transparente para el descifrado. • Es muy flexible y puede adaptarse al uso de otro grupo diferente de Z∗p . • La seguridad de ElGamal se basa en la dificultad de resolver un problema de logaritmo discreto. • Resulta crı́tico que se usen diferentes enteros aleatorios k para cada mensaje. Si se usara el mismo k para m1 y m2 , dando lugar a los cifrados (γ1 , δ1 ) y (γ2 , δ2 ), entonces δ1 /δ2 = m1 /m2 y el conocimiento de uno de los mensajes reveları́a el otro. 57 12.5 Firma digital ElGamal El esquema de firma ElGamal permite que un verificador pueda confirmar la autenticidad de un mensaje m enviado por un emisor sobre un canal de comunicación inseguro. Los parámetros utilizados por el esquema ElGamal son na función de resumen h resistente a colisiones, un número primo p muy grande tal que el cómputo de logaritmos discretos módulo p sea difı́cil y un generador pseudoaleatorio g para el grupo multiplicativo Z∗p . A firma un mensaje m: • Sus claves Elgamal son: pública = (p, g, β),privada = a. • Elige un entero secreto k, 1 < k ≤ p − 2, primo con p − 1. • Calcula r = g k mod p. • Calcula s = k −1 (h(m) − ar) mod (p − 1). • La firma del mensaje m es el par (r, s). B verifica la firma: • Calcula ν1 = β r rs mod p. • Calcula ν2 = g h(m) mod p. • La firma es válida si ν1 = ν2 . Por qué funciona la firma: Si la firma (r, s) que B recibe es válida, entonces s = k −1 (h(m) − ar) mod (p − 1) ⇒ ks = h(m) − ar mod (p − 1) ⇒ h(m) = ks + ar mod (p − 1) ⇒ h(m) = ks + ar + λ(p − 1) de aquı́ g h(m) g ks+ar+λ(p−1) y por el teorema de Fermat g h(m) g ks+ar = rs (g a )r = rs β r Ası́ ν1 debe ser igual a ν2 Un ejemplo pequeño: Firma: • A tiene como clave pública (p = 2357, g = 2, β = 1185), clave privada a = 1751 y firma un mensaje m de resumen h(m) = 1463. • A selecciona k = 1529 y calcula r = 21529 mod 2357 = 1490 s = 1529−1 (1463 − 1751 · 1490) mod 2356 = 1777. • La firma es (1490, 1777). Verificación: B verifica la firma calculando ν1 = 11851490 · 14901777 mod 2357 = 1072 ν2 = 21463 mod 2347 = 1072. 58 Chapter 13 Criptografı́a de curvas elı́pticas Con un grupo cı́clico adecuado los cálculos son más eficientes y las claves más pequeñas, mientras que el cálculo del logaritmo discreto sigue siendo computacionalmente intratable. No se trata de un nuevo criptosistema, sino de un nuevo enfoque. Se trata de usar funciones de un solo sentido en un contexto nuevo, usando una aritmética que hace los problemas más difı́ciles. 13.1 Curvas elı́pticas Las curvas elı́pticas han sido muy estudiadas desde hace más de 150 años. Su uso en Criptografı́a fue propuesto en 1985 independientemente por Neal Koblitz (Univ. de Washington) y Victor Miller (IBM, Yorktown Heights). Una curva elı́ptica es una curva en el plano tal que cada lı́nea que la corta en 2 puntos, la corta además exactamente en un tercer punto. Una curva elı́ptica sobre R está formada por el conjunto de los puntos (x, y) tales que satisfacen una ecuación de la forma y 2 = x3 + ax + b con a, b números reales cumpliendo 4a3 + 27b2 6= 0. Figure 13.1: Curva elı́ptica. 59 13.2 El grupo Una curva elı́ptica sobre un cuerpo finito está formada por un conjunto finito de puntos. La curva es Ea,b = {(x, y) ∈ R2 / y 2 = x3 + ax + b} El grupo es G = Ga,b = Ea,b ∪ {∞}, donde ∞ es el llamado punto del infinito y es el elemento neutro del grupo: para todo punto P ∈ G P +∞=P La operación del grupo (dos reglas básicas) B1 Todas las rectas verticales pasan por el punto del infinito ∞. B2 Si P, Q, R ∈ G están alineados, entonces P + Q + R = ∞. Figure 13.2: Curva elı́ptica. Aritmética geométrica: • El opuesto (negativo) de un punto P = (x, y) es su simétrico respecto al eje x : −P = (x, −y). • Para sumar dos puntos P, Q (con P 6= −Q) se traza una lı́nea que los une, que corta a la curva en otro punto R; entonces P + Q = −R. • Para sumar P consigo mismo se traza la tangente en P , que corta a la curva en otro punto −R; entonces 2P = P + P = R • Caso especial: Si P = (x, 0) entonces la tangente es vertical y no corta de nuevo a la curva. Entonces se establece que 2P = ∞. Aritmética algebraica: 1.- Suma de puntos distintos y no opuestos. Si P = (xp , yp ) y Q = (xq , yq ) e yp 6= −yq , calculamos λ = (yq − yp )/(xq − xp ) y entonces P + Q = R = (xr , yr ) con xr = λ 2 − xp − xq , 60 yr = (xp − xr )λ − yp 2.- Duplicación de un punto distinto del (x, 0). Si yp 6= 0, entonces calculamos s = (3x2p + a)/2yp y entonces 2P = R = (xr , yr ) siendo xr = s2 − 2xp , yr = −yp + s(xp − x−r ) Mutiplicación rápida de puntos Se puede realizar la multiplicación rápida de puntos haciendo sumas y doblados de puntos con un número mı́nimo de operaciones, de la misma forma que se hacı́an las potencias rápidas, donde las operaciones son S (suma de puntos) y D (doblado de puntos) en lugar de M y C. Ası́ para calcular 23 · P , escribimos (23)2 = 10111, que se traduce en 1D0D1D1D1 y luego en SDDSDSDS, lo que nos llevarı́a a ∞ → P → 2P → 4P → 5P → 10P → 11P → 22P → 23P Resultados teóricos que aseguran la existencia de curvas elı́pticas adecuadas son: √ √ • Teorema de Hasse |G| ∈ [p + 1 − 2 p, p + 1 + 2 p] • Teorema de Waterhouse: si n está en el intervalo de Hasse, existen curvas elı́pticas con |G| = n. • Existen enteros n1 , n2 con n2 |n1 y n2 |p − 1 tales que G ' Zn1 × Zn2 (si n1 = 1 =⇒ G es cı́clico). Orden de un punto Si P es un elemento de un grupo (G, +) entonces el orden de P es el primer entero k tal que k·P =∞ Si k = |G|, entonces G es cı́clico y P es un generador. El problema del logaritmo discreto (aditivo) en curvas elı́pticas consiste en: Dados dos puntos P y Q en el grupo (aditivo) de la curva, encontrar un entero k tal que kP = Q Ejemplo: en la curva elı́ptica definida sobre F23 por la ecuación y 2 = x3 + 9x + 17, hallar el logaritmo discreto k de Q = (4, 5) de base P = (16, 5) Mediante fuerza bruta: P = (16, 5) 2P = (20, 20) 6P = (7, 3) 7P = (8, 7) 3P = (14, 14) 8P = (12, 17) 4P = (19, 20) 9P = (4, 5) = Q 5P = (13, 10) ⇒k=9 Ası́ el logaritmo discreto de Q en base P es k = 9. En un caso real, k será muy grande y este ataque será computacionalmente imposible. 13.3 Elgamal elı́ptico Utilizando un subgrupo cı́clico del grupo de una curva elı́ptica se puede implementar un criptosistema similar al de Elgamal. Cada usuario construye su clave pública y la correspondiente privada: 1. Elige un primo p y una curva elı́ptica sobre Zp , y 2 = x3 + ax + b con 4a3 + 27b2 6= 0 (mod p). 2. Elige un punto Pg de la curva que sea de orden primo n y de tamaño similar a p. 3. Se elige un entero d ∈ [1, n − 1] y se hace B = dPg . 4. La clave pública es (p, a, b, Pg , n, B). 61 5. La clave privada es d. Cifrado B cifra un mensaje para A. Representa el mensaje como un conjunto de enteros m1 , m2 , . . . cada uno en el intervalo [0, n − 1] y cifra cada m = mi . 1. Elige al azar un entero k, 1 ≤ k ≤ n − 2. 2. Calcula M = k · Pg y k · B = (β1 , β2 ). 3. Calcula γ = m · β1 . 4. Envı́a a A el texto cifrado (M, γ). Descifrado B descifra el mensaje de A 1. Calcula d · M = d · k · Pg = k · B = (β1 , β2 ). 2. Obtiene el mensaje en claro m = γ · β1−1 en Zp 13.4 Algunos estándares El Gamal elı́ptico no es un estándar, aunque hay intentos, como: • Estándar P1363 de la IEEE de criptografı́a de clave pública: Standard Specifications For Public-Key Cryptography. http : //grouper.ieee.org/groups/1363/ • 14.2 - Grupo de evaluación criptográfica Europeo NESSIE: New European Schemes for Signature, Integrity and Encryption. http : //www.cryptonessie.org/ • 14.3 - Grupo de evaluación criptográfica Japonés CRYPTREC: Cryptography Research and Evaluation Committee http : //www.ipa.go.jp/security/enc/CRY P T REC/index − e.html • 14.4 - Estándar SECG: The Standards for Efficient Cryptography Group (SECG) http : //www.secg.org/ • 14.5 - Estándar NIST: The NIST Computer Security Division http : //csrc.nist.gov/ El criptosistema basado en curvas elı́pticas más ampliamente respaldado es el llamado Integrated Encryption Scheme (IES), que ha sido aprobado como estándar por distintas entidades: ANS X9F1, CRYPTREC, IEEE P1363, NESSIE, NSA Suite B. Puede verse con más detalle en http : //en.wikipedia.org/wiki/Integrated Encryption Scheme 62 13.5 Seguridad Certicom es la principal empresa comercial de CCE, esta organización posee 130 patentes, y ha vendido licencias a NSA por 25 millones de dólares. También ha patrocinado varios desafı́os a algoritmos CCE. El más complejo resuelto hasta ahora, con clave de 109 bits, fue roto por un equipo de investigadores a principios de 2003. usando un ataque masivo en paralelo basado en el ataque de cumpleaños, con más de 10.000 PC’s de tipo Pentium funcionando continuamente durante 540 dı́as. Se estima que la longitud de clave mı́nima recomendada para CCE (163 bits) requerirı́a 108 veces los recursos utilizados para resolver el problema con 109 bits. Tamaños estimados de claves en los distintos problemas estudiados para obtener una seguridad equivalente: PLD (bits) 1024 3072 7680 15360 RSA (bits) 1024 3072 7680 15360 PLDE (bits) 163 256 384 512 Ratio 1:6 1:12 1:20 1:30 Un meñor tamaño implica una mejor gestión de las claves, más velocidad, menor tamaño del cifrado y menos necesidad de memoria. 13.6 Conclusiones • Las buenas implementaciones de CCE son muy seguras: no se les conoce ningún ataque subexponencial que haya tenido éxito. • Más atractivos que los anteriores porque requieren claves mucho más cortas para el mismo nivel de seguridad. • Más rápidos que los anteriores. • Menores requerimientos de memoria que los anteriores. • Ideales para dispositivos portátiles como PDAs, smartcards, móviles, etc. Algunos ejemplos de protocolos que usan CCE son EC Digital Signature Algorithm (ECDSA), o el intercambio de llaves EC Diffie-Hellman (ECDH). Sólo un problema: es aún nuevo! 63 Chapter 14 Servicios de seguridad Al empezar tenı́amos varios objetivos. Luego hemos visto muchas herramientas... 1. Confidencialidad • Criptografı́a simétrica • Criptografı́a de clave pública 2. Autenticación • Funciones resumen • Criptografı́a de clave pública 3. Integridad • Firma 4. No repudio • Firma Ahora vamos a poner orden para tener servicios de seguridad, para ello disponemos de dos paradigmas, criptografı́a de clave pública y criptografı́a simétrica: A.- Criptografı́a de clave pública √ Muy segura. √ Versátil: ofrece servicios imposibles con solo criptografı́a simétrica. ⊗ Lenta y pesada. ⊗ Poco apta para hardware. ⊗ Ineficiente para grandes volúmenes de información. B.- Criptografı́a simétrica √ Muy segura. √ Muy rápida y ligera. √ Apta para hardware. 64 √ Adecuada para grandes volúmenes de información. ⊗ Ofrece fundamentalmente servicios de confidencialidad. Ahora vamos a ponerlas a trabajar juntos, tenemos un criptosistema simétrico, en el que notaremos SE(k, M ) = cifrado de M con la clave k SD(k, C) = descifrado de C con la clave k y un criptosistema de clave pública donde P E(p, M ) = cifrado de M con la clave p P D(v, C) = descifrado de C con la clave v Y nuestro escenario: dos interlocutores, Holmes y Watson, siendo (p, v) las claves pública y privada PKC de Watson. 14.1 A. Claves de sesión Holmes envı́a un mensaje M a Watson Figure 14.1: Clave de sesión. k es la llamada clave de sesión. Los beneficios obtenidos con este esquema son: √ Confidencialidad: sólo podrá leer el mensaje el destinatario del mismo. √ Integridad: el mensaje no podrá ser modificado. √ Seguridad: aunque un adversario obtenga la clave de sesión solo puede obtener el correspondiente mensaje. Sin embargo, Watson puede ser un servidor, el diálogo anterior podrı́a tener lugar entre el usuario Holmes y un servidor, un sitio de Internet, . . . y esto es un problema: asimetrı́a de la seguridad en la clave de sesión. Se necesita autenticación de los dos interlocutores. Hay una serie de objetivos que no han sido alcanzados: ⊗ Autenticación del usuario: Watson no está seguro de la clave pública de Holmes realmente es la suya y que no lo están suplantando. ⊗ Autenticación del servidor: Holmes no está seguro de que no están suplantando al servidor. ⊗ No repudio: los emisores de los mensajes podrı́an negar ser los autores. 65 14.2 B. Certificados digitales Un certificado digital es un documento que vincula claves y otros datos con un usuario y confirma su identidad mediante la firma digital de una entidad de confianza. Los certificados digitales sirven para: • Autenticar la identidad del propietario ante terceros. • Firmar digitalmente de forma que se garantice la integridad de los datos trasmitidos y su procedencia. • Cifrar datos para que sólo el destinatario de la información pueda acceder a ella. El estándar para certificados digitales es el X.509, que responde a la siguiente estructura: 1. Certificado 1.1 Datos de generación. 1.1.1. 1.1.2. 1.1.3. 1.1.4. 1.1.5. Versión. Número de serie. Id. del algoritmo. Emisor. Validez. 1.2 Datos del sujeto. 1.2.1. Sujeto. 1.2.2. Algoritmo de clave pública. 1.2.3. Clave pública. 1.3 Datos opcionales. 1.3.1. Id. único del emisor. 1.3.2. Id. único del sujeto. 1.3.3. Extensiones (propósito, etc.) 2. Algoritmo usado para firmar el certificado 3. Firma digital del certificado. Una forma de poder confiar en el certificado digital de un interlocutor al que no conocemos es que el certificado esté avalado por una tercera parte en la que sı́ confiamos (autoridad de certificación). Esa tercera parte (TTP, Trusted Third Party) avalará con su firma digital que el certificado es de fiar. Cualquiera puede emitir un certificado: existen utilidades como makecert.exe que los generan. Pero un certificado sirve para poco si no lo avala una entidad de confianza: la autoridad de certificación (AC). Entre las AC internacionales podemos citar: VeriSign, Thawte, y entre las españolas, el Ministerio del Interior y la Fábrica Nacional de Moneda y Timbre. Las AC se organizan en jerarquı́as o en anillos de confianza. La gestión de las claves de los certificados es como sigue: • En el proceso de solicitud se generan localmente las claves, pública y privada. 66 • La clave pública se envı́a en el certificado y la AC la almacena. • La clave privada se almacena localmente y nunca se transmite a la AC. • La integridad del certificado depende de que la clave privada sea gestionada de forma adecuada por el usuario. Cuando se genera (o se instala un certificado a partir de un archivo que contenga la clave privada), la clave privada se guarda localmente en un almacén protegido. En Windows, en C:/ Users%username%/AppData/Roaming/Microsoft/Crypto/RSA El certificado y opcionalmente la clave privada se pueden exportar, por ejemplo, para trasladarlos a otro sistema, mediante archivos especiales. Estos archivos pueden ser de varios tipos • .CER: codificado en CER (a veces varios). • .DER: codificado en DER. • .PEM: codificado en Base64 • .P7B/P7C: PKCS] 7. • .PFX/P12: PKCS] 12, puede contener certificados públicos y claves privadas (protegidas con contraseña). En algunos sistemas se usan varios certificados. Por ejemplo, en el DNI electrónico hay dos: uno para cifrar y otro para la firma. El objetivo es disminuir el riesgo de ciertos ataques. 14.3 C. Autenticación La autenticación puede llevarse a cabo mediante certificados digitales, o sin necesidad de ellos en dos pasos, 1. Autenticación del usuario. El servidor proporciona una clave k aleatoria al usuario H, quien le devuelve un par (CH , fH (k)) compuesto por su certificado y la firma de la clave k. Seguidamente el servidor valida el certificado CH con la autoridad certificadora AC y verifica la firma fH (k) con el certificado CH . 2. Autenticación del servidor. El usuario proporciona una clave k aleatoria al servidor S, quien le devuelve un par (CS , fS (k)) compuesto por su certificado y la firma de la clave k. Seguidamente el usuario valida el certificado CS con la autoridad certificadora AC y verifica la firma fS (k) con el certificado CS . En ningún momento se transmiten las claves privadas, sólo documentos firmados y las dos autenticaciones permiten que cada interlocutor esté seguro de la identidad del otro. 14.4 Public Key Infrastructures Una PKI es un conjunto de protocolos, servicios y estándares que soportan aplicaciones basadas en criptografı́a de clave pública. La base de las PKI es el modelo de confianza basado en Terceras Partes de Confianza (TTP) . Las PKI están compuestas por terceras partes en los que todos los usuarios de la infraestructura confı́an: 67 • Autoridad de Certificación • Autoridad de Registro • Autoridades de Fechado Digital, etc. Hemos llegado muy lejos, aún faltan mecanismos de seguridad, como • Detección de intrusos • Compartición de secretos • Pruebas de conocimiento cero • ... 68

Criptograf´ıa Grado en Ingenier´ıa Informática

Documentos relacionados

Productos

Apoyo

Criptograf´ıa Grado en Ingenier´ıa Informática

Documentos relacionados

Añadir este documento a la recogida (s)

Añadir a este documento guardado

Sugiéranos cómo mejorar StudyLib