Criptografı́a y Seguridad Manuel J. Lucena López mlucena@ujaen.es Departamento de Informática Universidad de Jaén 25 de febrero de 2010 Manuel Lucena (Dpto. Informática) Criptografı́a y Seguridad 25 de febrero de 2010 1 / 11 Datos de la Asignatura I Nombre: Criptografı́a y Seguridad. I Código: 5265. I Titulación: Ingenierı́a Técnica en Informática de Gestión (1997). I Carácter: Optativo. I Curso: 3o . I Cuatrimestre: 2o . I Créditos LRU: 3 teóricos y 3 prácticos. I Créditos ECTS: 2.4 teóricos y 2.4 prácticos. Manuel Lucena (Dpto. Informática) Criptografı́a y Seguridad 25 de febrero de 2010 2 / 11 Datos del Profesorado I Profesor: Manuel J. Lucena López. I e-mail: mlucena@ujaen.es I Despacho: A3-112. I Teléfono: 953 21 28 86 I Web: http://wwwdi.ujaen.es/∼mlucena Tutorı́as: I Lunes, de 10:30 a 12:30. I Jueves, de 10:30 a 12:30. I Viernes, de 11:30 a 13:30. Manuel Lucena (Dpto. Informática) Criptografı́a y Seguridad 25 de febrero de 2010 3 / 11 Objetivos I Conocer las principales bases teóricas de la Criptografı́a. I Diferenciar entre Criptografı́a Simétrica y Asimétrica. I Conocer la estructura, propiedades y ámbito de aplicación de los principales algoritmos criptográficos. I Identificar los principales riesgos de seguridad de un sistema informático. Manuel Lucena (Dpto. Informática) Criptografı́a y Seguridad 25 de febrero de 2010 4 / 11 Programa de la Asignatura Programa Teórico: 1. Introducción. 2. Conceptos Básicos sobre Criptografı́a. 3. Bases Teóricas de la Criptografı́a. 4. Algoritmos Criptográficos. 5. Aplicaciones Criptográficas. Programa Práctico: I Trabajo de carácter práctico, grupos de 3 a 5 personas. Manuel Lucena (Dpto. Informática) Criptografı́a y Seguridad 25 de febrero de 2010 5 / 11 Criterios de Evaluación I Teorı́a (60 %) y Prácticas (40 %). I I I Teorı́a: Examen escrito. I I I Se considera como presentado si se hace el examen o se entregan las prácticas. Si se aprueba una parte y otra no, se guarda la nota hasta septiembre. 30 preguntas objetivas (50 %). 6 preguntas de respuesta breve, a elegir 5 (50 %). Prácticas: I I I I Reuniones periódicas de seguimiento, al menos 4. Tema libre, acordado por escrito con el profesor. Entrega de memoria, código fuente, ejecutables, etc. Exposición al final del cuatrimestre. Manuel Lucena (Dpto. Informática) Criptografı́a y Seguridad 25 de febrero de 2010 6 / 11 Memoria de Prácticas I Se entregará en formato CD: I I I I Rotular en el disco el curso académico, número de grupo, nombres de los integrantes, tı́tulo de la aplicación y nombre de la asignatura. Organizar en carpetas. No usar espacios, tildes, etc. en los nombres de carpetas/archivos. Documentos en formatos estándar: pdf, OpenDocument, html, etc. Elementos: I I I I I I Índice de contenidos. Descripción de los detalles de implementación y de las decisiones de diseño tomadas. Documentación relativa a los algoritmos que se implementen. Guı́a breve del código fuente. Descripción de la estructura de directorios, propósito de cada archivo. Manual de usuario de la aplicación. Manuel Lucena (Dpto. Informática) Criptografı́a y Seguridad 25 de febrero de 2010 7 / 11 Calificación de las prácticas Se valorarán los siguentes elementos, con los siguientes pesos relativos: I Relativos a la aplicación: I I I I Calidad del código fuente (legibilidad, diseño, etc.): 2. Correcto funcionamiento: 2. Aspecto visual y usabilidad de la aplicación: 1. Relativos a la documentación: I I I I Aspecto general (limpieza, orden, claridad): 1. Índice (presencia, claridad y utilidad de éste): 1. Manual (claridad, organización, completitud): 2. Discusión crı́tica de todos los aspectos relevantes: 2. Manuel Lucena (Dpto. Informática) Criptografı́a y Seguridad 25 de febrero de 2010 8 / 11 Bibliografı́a Básica: I M. Lucena, Criptografı́a y Seguridad en Computadores, 4o Edición. I Alfred J. Menezes, Paul C. Van Oorschot y Scott A. Vanstone. Handbook of Applied Cryptography. CRC Press 1996. Complementaria: I P. Caballero, Introducción a la Criptografı́a, 2o edición. RA-MA. I B. Schneier, Applied Cryptography. Second Edition. J. Wiley & Sons. I William Stallings, Fundamentos de Seguridad en Redes. Aplicaciones y Estándares, 2o ed. Pearson Educación, 2003. Manuel Lucena (Dpto. Informática) Criptografı́a y Seguridad 25 de febrero de 2010 9 / 11 Otros datos Horarios: I Teorı́a: Jueves, de 12:30 a 13:30, y viernes, de 13:30 a 14:30. I Prácticas: Martes de 10:30 a 12:30 y de 12:30 a 14:30. Aulas: I Teorı́a: Aula 2, edificio A-4. I Prácticas: Laboratorio 2 (dependencia 174, edificio A-3). Manuel Lucena (Dpto. Informática) Criptografı́a y Seguridad 25 de febrero de 2010 10 / 11 Más información en: http://wwwdi.ujaen.es/∼mlucena Manuel Lucena (Dpto. Informática) Criptografı́a y Seguridad 25 de febrero de 2010 11 / 11 Criptografı́a y Seguridad en Computadores Tema 1. Introducción Manuel J. Lucena López mlucena@ujaen.es Departamento de Informática Universidad de Jaén 17 de septiembre de 2008 Manuel Lucena (Dpto. Informática) 1. Introducción 17 de septiembre de 2008 1/6 ¿Qué es la Criptografı́a? Definición (Diccionario de la Real Academia): “Arte de escribir con clave secreta o de un modo enigmático” I I La necesidad de transmitir información corre paralela con la de protegerla. Hace años que dejó de ser un considerada un arte. Conjunto de técnicas que tratan sobre la protección —ocultamiento frente a observadores no autorizados— de la información. I Disciplinas: Teorı́a de la Información, Teorı́a de Números, Complejidad Algorı́tmica, etc. Manuel Lucena (Dpto. Informática) 1. Introducción 17 de septiembre de 2008 2/6 Objetivo de la Criptografı́a Protección de la Información I Alterar la información para que aquellos que pretendan recuperarla sin la debida autorización, se enfrenten a un problema intratable. I La autorización suele ser una pieza de información llamada clave. Preservación de la Integridad de la Información I Detección de posibles alteraciones. I Certificación del origen de la misma =⇒ Firma Digital. Manuel Lucena (Dpto. Informática) 1. Introducción 17 de septiembre de 2008 3/6 Historia de la Criptografı́a I La Criptografı́a nace con la escritura. I I I I La Criptografı́a moderna, como la Informática, nace en la II Guerra Mundial. I I I Referencias desde varios siglos antes de Jesucristo. Tradicionalmente, los cifrados se hacı́an a mano. Los intentos de descifrado también se hacı́an a mano. Cifrados Enigma y de Lorenz. Proyecto Colossus. La Criptografı́a militar ha estado por delante de la Criptografı́a civil durante décadas. Manuel Lucena (Dpto. Informática) 1. Introducción 17 de septiembre de 2008 4/6 ¿Qué no es Criptografı́a? Seguridad a través de la oscuridad I Si mantenemos en secreto nuestras técnicas de cifrado, serán más seguras. Falso. I Cualquier persona o equipo es capaz de diseñar un sistema que él mismo no sea capaz de romper. I Es necesario que las técnicas de cifrado sean conocidas. I Al atacante hay que suponerle un conocimiento completo del sistema. I Desconfiar de soluciones secretas o milagrosas... Manuel Lucena (Dpto. Informática) 1. Introducción 17 de septiembre de 2008 5/6 Números Grandes I Probabilidad de ser fulminado por un rayo (por dı́a): 1 entre 9.000.000.000 (233 ). I Probabilidad de ganar la Loterı́a Primitiva: 1 entre 13.983.816 (223 ). I Probabilidad de ganar la Primitiva y caer fulminado por un rayo el mismo dı́a: 1 entre 256 . I Edad del Planeta Tierra: 109 (230 ) años. I Edad del Universo: 1010 (234 ) años. I Un año: 244 millonésimas de segundo. I Número de átomos en el Planeta Tierra: 1051 (2170 ). I Número de átomos en la Vı́a Láctea: 1067 (2223 ). I Número de átomos en el Universo (excl. materia oscura): 1077 (2255 ). Manuel Lucena (Dpto. Informática) 1. Introducción 17 de septiembre de 2008 6/6 Criptografı́a y Seguridad en Computadores Tema 2. Conceptos Básicos Manuel J. Lucena López mlucena@ujaen.es Departamento de Informática Universidad de Jaén 19 de marzo de 2010 Manuel Lucena (Dpto. Informática) 2. Conceptos Básicos 19 de marzo de 2010 1 / 13 19 de marzo de 2010 2 / 13 Criptosistema Índice Criptosistema Esteganografı́a Criptoanálisis Seguridad en Sistemas Informáticos Manuel Lucena (Dpto. Informática) 2. Conceptos Básicos Criptosistema Definición de Criptosistema Criptosistema: Quı́ntupla (M, C , K , E , D), donde: I M: Conjunto de todos los posibles mensajes sin cifrar. I C : Conjunto de todos los posibles mensajes cifrados, o criptogramas. I K : Conjunto de claves que se pueden emplear en el criptosistema. I E : Conjunto de transformaciones de cifrado. Existe una transformación diferente Ek para cada valor posible de la clave k. I D: Conjunto de transformaciones de descifrado. I Todo criptosistema ha de cumplir: Dk (Ek (m)) = m Manuel Lucena (Dpto. Informática) 2. Conceptos Básicos Criptosistema 19 de marzo de 2010 3 / 13 Tipos de Criptosistemas Tipos de Criptosistemas Simétricos (o de llave privada) I Emplean la misma clave k tanto para cifrar como para descifrar. I Problema: distribución de claves. Asimétricos (o de llave pública) I Emplean una doble clave (kp , kP ). I kp se conoce como clave privada y kP se conoce como clave pública. I Una de ellas sirve para cifrar, y la otra para descifrar. I No solo permiten cifrar la información, sino firmarla digitalmente. Manuel Lucena (Dpto. Informática) 2. Conceptos Básicos 19 de marzo de 2010 4 / 13 Criptosistema Claves Débiles Claves Débiles En un criptosistema, puede haber elementos de K que produzcan transformaciones de cifrado fáciles de romper. I No es algo necesariamente malo. Muchos criptosistemas poseen claves débiles. I Es difı́cil demostrar que un criptosistema no tiene claves débiles. I Suelen ser muy pocas en relación con el número total de posibles claves. I Lo ideal es conocerlas y evitarlas. Manuel Lucena (Dpto. Informática) 2. Conceptos Básicos 19 de marzo de 2010 5 / 13 19 de marzo de 2010 6 / 13 Esteganografı́a Índice Criptosistema Esteganografı́a Criptoanálisis Seguridad en Sistemas Informáticos Manuel Lucena (Dpto. Informática) 2. Conceptos Básicos Esteganografı́a Esteganografı́a Consiste en ocultar en el interior de una información, aparentemente inocua, otro tipo de información (cifrada o no). I Tanto o más antigua que la propia Criptografı́a. I Permite burlar sistemas de censura, en los que el atacante se limita a destruir el mensaje si lo considera sospechoso. I Con la enorme cantidad de datos que nos rodean, la esteganografı́a adquiere un potencial prácticamente ilimitado. Manuel Lucena (Dpto. Informática) 2. Conceptos Básicos 19 de marzo de 2010 7 / 13 19 de marzo de 2010 8 / 13 Criptoanálisis Índice Criptosistema Esteganografı́a Criptoanálisis Seguridad en Sistemas Informáticos Manuel Lucena (Dpto. Informática) 2. Conceptos Básicos Criptoanálisis Criptoanálisis Consiste en descifrar uno o más mensajes sin conocer la clave correspondiente (romper el criptosistema). I Posibilidades: I I I Descifrar mensajes sin hacer uso de la clave. Recuperar la clave a partir de un número de mensajes cifrados. No se considera criptoanálisis: I I Probar todas las posibles claves (fuerza bruta). Descubrir el algoritmo de cifrado, cuando este era secreto. Ataque Un ataque es cualquier técnica que nos permite romper un criptosistema más rápido que mediante la fuerza bruta. Manuel Lucena (Dpto. Informática) 2. Conceptos Básicos 19 de marzo de 2010 9 / 13 Criptoanálisis Compromiso entre Criptosistema y Criptoanálisis Prácticamente todos los criptosistemas pueden ser rotos con el suficiente esfuerzo computacional. I Cuanto más complejo es un algoritmo de cifrado, más costosa es su implantación. I No es lo mismo proteger una información efı́mera, que otra a más largo plazo. I Se busca un compromiso entre el coste (económico, computacional, de almacenamiento...) del criptosistema y el coste necesario para romperlo. I Hoy dı́a disponemos de algoritmos cuyo coste de rotura excede al de la capacidad de cómputo existente en el planeta. Manuel Lucena (Dpto. Informática) 2. Conceptos Básicos 19 de marzo de 2010 10 / 13 Seguridad en Sistemas Informáticos Índice Criptosistema Esteganografı́a Criptoanálisis Seguridad en Sistemas Informáticos Manuel Lucena (Dpto. Informática) 2. Conceptos Básicos 19 de marzo de 2010 11 / 13 Seguridad en Sistemas Informáticos Seguridad I La seguridad de la información es mucho más compleja que el simple uso de técnicas de cifrado. I Los escenarios y requerimientos variarán en función de que la computadora se encuentre aislada o interconectada, sea fija o portátil, etc. Algunas cuestiones de Seguridad: I Seguridad fı́sica. I Seguridad de los canales de comunicaciones. I Control de acceso a los datos. I Autentificación. I No repudio. I Anonimato. Manuel Lucena (Dpto. Informática) 2. Conceptos Básicos 19 de marzo de 2010 12 / 13 Seguridad en Sistemas Informáticos Tipos de Autentificación Autentificar: comprobar la autenticidad de algo. I Una pieza de información (un mensaje). I Un usuario (contraseña). I Un dispositivo. Manuel Lucena (Dpto. Informática) 2. Conceptos Básicos 19 de marzo de 2010 13 / 13 Criptografı́a y Seguridad en Computadores Tema 3. Bases Teóricas de la Criptografı́a Manuel J. Lucena López mlucena@ujaen.es Departamento de Informática Universidad de Jaén 19 de marzo de 2010 Manuel Lucena (Dpto. Informática) 3. Bases Teóricas 19 de marzo de 2010 1 / 41 19 de marzo de 2010 2 / 41 Teorı́a de la Información Índice Teorı́a de la Información Complejidad Algorı́tmica Aritmética Modular Curvas Elı́pticas Números Aleatorios Manuel Lucena (Dpto. Informática) 3. Bases Teóricas Teorı́a de la Información Cantidad de Información Cantidad de Información de un Suceso La observación de un suceso aumenta nuestro conocimiento sobre el universo, es decir proporciona información. Ejemplo I Una bolsa con nueve bolas negras y una blanca. I Sacamos una bola blanca, ¿Cuánta información aporta ese suceso? I ¿Y si ahora sacamos una bola negra? I El primer suceso aporta mucha información, porque era muy poco probable. El segundo suceso no aporta ninguna información, porque ya sabı́amos lo que iba a ocurrir. I Manuel Lucena (Dpto. Informática) 3. Bases Teóricas Teorı́a de la Información 19 de marzo de 2010 3 / 41 Cantidad de Información Cantidad de Información de un Suceso Caracterı́sticas de cantidad de Información I Es mayor cuanto menos probable es el suceso en cuestión. I Es siempre mayor o igual que cero. I Siendo V una variable aleatoria, xi un suceso y P(xi ) su probabilidad asociada, la Cantidad de Información de xi se define como: Ii = − log2 (P(xi )) I Si P(xi ) = 1 −→ Ii = 0. I Si P(xi ) = 0 −→ Ii = ∞. Manuel Lucena (Dpto. Informática) 3. Bases Teóricas 19 de marzo de 2010 4 / 41 Teorı́a de la Información Entropı́a Entropı́a Definición Suma ponderada de las cantidades de información de todos los posibles estados de una variable aleatoria V : P H(V ) = − ni=1 P(xi ) log2 [P(xi )] Propiedades 1. 0 ≤ H(V ) ≤ log2 N 2. H(V ) = 0 ⇐⇒ ∃i tal que P(xi ) = 1 y P(xj ) = 0 ∀j 6= i 3. H(x1 , x2 . . . xn ) = H(x1 , x2 . . . xn , xn+1 ) si P(xn+1 ) = 0 I I I Se mide en bits. La entropı́a de una variable aleatoria es el no medio de dı́gitos binarios necesario para codificar cada uno de sus estados. Proporciona el lı́mite teórico de compresión de la información. Manuel Lucena (Dpto. Informática) 3. Bases Teóricas Teorı́a de la Información 19 de marzo de 2010 5 / 41 Entropı́a Entropı́a Ejemplos: I Moneda al aire: 1 1 1 1 H(M) − [ log2 ( ) + log2 ( )] = 1 bit 2 2 2 2 I Moneda trucada (60 % cara, 40 % cruz): H(Mt ) = −(0,6 log2 (0,6) + 0,4 log2 (0,4)) = 0,970 bits I Bolsa con nueve bolas negras y una blanca: H(B) = −(0,9 log2 (0,9) + 0,1 log2 (0,1)) = 0,468 bits Manuel Lucena (Dpto. Informática) 3. Bases Teóricas 19 de marzo de 2010 6 / 41 Teorı́a de la Información Entropı́a Condicionada Entropı́a Condicionada I Entropı́a de una distribución conjunta de dos variables (X , Y ): H(X , Y ) = − n X m X P(xi , yj ) log2 (P(xi , yj )) i=1 j=1 I Entropı́a de la distribución de X condicionada a un valor de Y : H(X /Y = yj ) = − n X P(xi /yj ) log2 (P(xi /yj )) i=1 I Entropı́a Condicionada de X sobre Y : H(X /Y ) = − n X m X P(xi , yj ) log2 (P(xi /yj )) i=1 j=1 Manuel Lucena (Dpto. Informática) 3. Bases Teóricas Teorı́a de la Información 19 de marzo de 2010 7 / 41 Entropı́a Condicionada Propiedades de la Entropı́a Condicionada Ley de Entropı́as Totales H(X , Y ) = H(X ) + H(Y /X ) I Si X e Y son variables independientes: H(X , Y ) = H(X ) + H(Y ) Teorema de Disminución de la Entropı́a La entropı́a de una variable X condicionada por otra Y es menor o igual a la entropı́a de X , alcanzándose la igualdad si y sólo si las variables X e Y son independientes. Manuel Lucena (Dpto. Informática) 3. Bases Teóricas 19 de marzo de 2010 8 / 41 Teorı́a de la Información Cantidad de Información entre dos Variables Cantidad de Información entre dos Variables La cantidad de información que la variable X contiene sobre Y se define como: I (X , Y ) = H(Y ) − H(Y /X ) I Al medir la incertidumbre sobre Y , puede que obtengamos valores distintos según conozcamos el valor de X o no. I Si conocemos X , puede que la incertidumbre de Y no varı́e, o que disminuya. I Esa posible disminución de incertidumbre (entropı́a), es la cantidad de información entre X e Y . Propiedades: I 1. I (X , Y ) = I (Y , X ) 2. I (X , Y ) ≥ 0 Manuel Lucena (Dpto. Informática) 3. Bases Teóricas Teorı́a de la Información 19 de marzo de 2010 9 / 41 Criptosistema Seguro de Shannon Criptosistema Seguro de Shannon I Criptosistema que cumple: I (C , M) = 0 I I C : Variable aleatoria que representa el criptograma enviado. M: Variable aleatoria que representa el mensaje en claro. I Conocer el valor concreto de C (el criptograma) no modifica la incertidumbre sobre el texto en claro al que corresponde. I Imposible de romper, incluso disponiendo de capacidades de cómputo (memoria y procesamiento) infinitas. I No suelen resultar prácticos: la clave debe ser al menos tan larga como el mensaje. I Ejemplo: One-time pads (cuadernos de un solo uso), empleados en la I Guerra Mundial. Manuel Lucena (Dpto. Informática) 3. Bases Teóricas 19 de marzo de 2010 10 / 41 Teorı́a de la Información Redundancia Redundancia LPT D M CS S P RT C L R I El mensaje puede reconstruirse con facilidad. I La información que falta puede recuperarse de los sı́mbolos que quedan. I Esto implica que los sı́mbolos transportan información repetida: redundancia. I Los lenguajes humanos son redundantes. Manuel Lucena (Dpto. Informática) 3. Bases Teóricas Teorı́a de la Información 19 de marzo de 2010 11 / 41 Redundancia Medidas de Redundancia I Índice de un lenguaje para mensajes de longitud k: rk = I Hk (M) k Índice absoluto de un lenguaje de m sı́mbolos: log2 (mk ) k log2 (m) R= = = log2 m k k I Redundancia de un lenguaje: D =R −r I Índice de redundancia: I = Manuel Lucena (Dpto. Informática) D R 3. Bases Teóricas 19 de marzo de 2010 12 / 41 Teorı́a de la Información Desinformación y Distancia de Unicidad Desinformación y Distancia de Unicidad Desinformación Entropı́a condicionada del conjunto M de posibles mensajes sobre el conjunto C de posibles criptogramas. I I I Es máxima, H(M/C ) = H(M), para criptosistemas seguros de Shannon. Si H(M/C ) = 0, conocer un criptograma reduce nuestra incertidumbre sobre el mensaje a cero (lo podemos recuperar). También sobre K como H(K /C ): conocimiento que ganamos sobre la clave k conocido el criptograma c. Distancia de unicidad Cantidad de texto cifrado que reduce la incertidumbre sobre K a cero. Manuel Lucena (Dpto. Informática) 3. Bases Teóricas Teorı́a de la Información 19 de marzo de 2010 13 / 41 Confusión y Difusión Confusión y Difusión Confusión I Oculta la relación entre c y m. I Operación básica: sustitución. Difusión I Diluye la redundancia del texto claro repartiéndola a lo largo del texto cifrado. I Operación básica: transposición. Manuel Lucena (Dpto. Informática) 3. Bases Teóricas 19 de marzo de 2010 14 / 41 Complejidad Algorı́tmica Índice Teorı́a de la Información Complejidad Algorı́tmica Aritmética Modular Curvas Elı́pticas Números Aleatorios Manuel Lucena (Dpto. Informática) 3. Bases Teóricas 19 de marzo de 2010 15 / 41 Complejidad Algorı́tmica Complejidad Algorı́tmica Algoritmo Secuencia finita y ordenada de instrucciones elementales que, dados los valores de entrada de un problema, en algún momento finaliza y devuelve la solución. Complejidad Algorı́tmica Permite medir el esfuerzo computacional para resolver un problema, independientemente de la máquina que empleemos para ello. I Tres alternativas: mejor caso, caso promedio y peor caso. Manuel Lucena (Dpto. Informática) 3. Bases Teóricas 19 de marzo de 2010 16 / 41 Complejidad Algorı́tmica Clases de Complejidad I Clase P: Problemas de decisión que pueden ser resueltos en tiempo polinomial. I Clase NP: Problemas para los que una respuesta afirmativa puede ser verificada en tiempo polinomial, a partir de un certificado. I Clase co-NP: Problemas para los que una respuesta negativa puede ser verificada en tiempo polinomial, a partir de un certificado. I La clase NPC es un subconjunto de NP, en el que todos sus elementos pueden reducirse unos a otros. I Los problemas NP-duros son la versión computacional de los problemas de la clase NPC. Ejemplo: problema de la mochila. Manuel Lucena (Dpto. Informática) 3. Bases Teóricas 19 de marzo de 2010 17 / 41 19 de marzo de 2010 18 / 41 Complejidad Algorı́tmica Clases de Complejidad Manuel Lucena (Dpto. Informática) 3. Bases Teóricas Complejidad Algorı́tmica Algoritmos Probabilı́sticos Algoritmos Probabilı́sticos I Son algoritmos que dan una respuesta, pero con una probabilidad de error. I Para algunos problemas, son mucho más rápidos que los algoritmos deterministas. I Tienen sus propias clases de complejidad. Manuel Lucena (Dpto. Informática) 3. Bases Teóricas 19 de marzo de 2010 19 / 41 19 de marzo de 2010 20 / 41 Aritmética Modular Índice Teorı́a de la Información Complejidad Algorı́tmica Aritmética Modular Curvas Elı́pticas Números Aleatorios Manuel Lucena (Dpto. Informática) 3. Bases Teóricas Aritmética Modular Definición Definición de Aritmética Modular Dados tres números a, b, n ∈ N, decimos que a es congruente con b módulo n, y se escribe: a ≡ b (mód n) si cumplen: a = b + kn, para algún k ∈ Z I Zn contiene los números que van de 0 a n − 1. I Propiedades para la suma: asociativa, conmutativa, elemento neutro y elemento simétrico. I Propiedades para el producto: asociativa, conmutativa y elemento neutro. I Zn con la operación suma es un grupo conmutativo. Manuel Lucena (Dpto. Informática) 3. Bases Teóricas Aritmética Modular 19 de marzo de 2010 21 / 41 Inversas en aritmética modular Inversas en Zn Existencia I a tiene inversa módulo n solo si a y n son primos entre sı́. I Si n es primo, Zn tiene estructura de cuerpo, ya que todos sus elementos tienen inversa excepto el cero. Función de Euler φ(n) I Indica cuántos números menores que n son primos relativos con n. Teoremas: I Si mcd(a, n) = 1, entonces aφ(n) ≡ 1 (mód n). I (de Fermat): Si p es primo, ap−1 ≡ 1 (mód p). Manuel Lucena (Dpto. Informática) 3. Bases Teóricas 19 de marzo de 2010 22 / 41 Aritmética Modular Inversas en aritmética modular Cálculo de Inversas y Teorema Chino del Resto Cálculo de Inversas 1. Usar la función de Euler φ(n). 2. Usar el algoritmo extendido de Euclides, ya que: I I En el último paso, 1 = nui + avi . En consecuencia, avi ≡ 1 (mód n). Teorema Chino del Resto I Dada una serie de ecuaciones en congruencias módulo p1 , p2 , ..., pr , siendo los pi primos relativos, de la forma: x ≡ xi I (mód pi ) Si n = p1 · p2 · ... · pr , todas las ecuaciones tienen una única solución común en [0, n − 1]. Manuel Lucena (Dpto. Informática) 3. Bases Teóricas Aritmética Modular 19 de marzo de 2010 23 / 41 Exponenciación y Logaritmos Discretos Exponenciación y Logaritmos Discretos Algoritmo rápido de exponenciación I Permite calcular potencias de forma eficiente. Logaritmos Discretos I Problema inverso a la exponenciación. Dados a,b y n, encontrar c tal que: a ≡ b c (mód n). I Es un problema computacionalmente difı́cil de resolver. Problema de Diffie-Hellman I Dados α, αa y αb , encontrar αab . Manuel Lucena (Dpto. Informática) 3. Bases Teóricas 19 de marzo de 2010 24 / 41 Aritmética Modular Factorización Factorización I Problema inverso al de la multiplicación. I También es un problema difı́cil. I Algoritmos de factorización: I I I Método de Fermat. Método p − 1. Métodos cuadráticos. Se basan en la ecuación: x2 ≡ y2 (mód n). Por tanto, n|(x + y )(x − y ), por lo que n ha de tener factores comunes con (x + y ) y (x − y ). Manuel Lucena (Dpto. Informática) 3. Bases Teóricas Aritmética Modular 19 de marzo de 2010 25 / 41 Tests de primalidad Tests de primalidad I Para saber si un número es primo, basta con intentar factorizarlo, lo cual es muy ineficiente. I ¿Cómo saber si un número es primo? I Algoritmos probabilı́sticos: I I I Devuelven verdadero o falso con una probabilidad de fallo. Lehmann (50 %), Rabin-Miller (25 %). Ejecutándolos varias veces, la probabilidad de fallo se reduce exponencialmente. Manuel Lucena (Dpto. Informática) 3. Bases Teóricas 19 de marzo de 2010 26 / 41 Aritmética Modular Anillos de Polinomios Anillos de Polinomios Definición: I Sea R un anillo conmutativo. Un polinomio con variable x sobre R se define como: f (x) = an x n + an−1 x n−1 + ... + a1 x + a0 con ai ∈ R. I El conjunto de polinomios R[x] tiene estructura de anillo conmutativo. I Los polinomios pueden ser descompuestos como productos de otros polinomios. I Los polinomios irreducibles son análogos a los números primos. I Podemos definir clases de equivalencia módulo f (x), análogas a los conjuntos Zn . Manuel Lucena (Dpto. Informática) 3. Bases Teóricas Aritmética Modular 19 de marzo de 2010 27 / 41 Anillos de Polinomios Polinomios en Zn I Podemos definir polinomios con coeficientes en Zn , particularmente en Z2 : I I I I Los polinomios pueden representarse mediante secuencias de bits. Las sumas son operaciones or-exclusivo. Los productos son desplazamientos y sumas. Resultan muy eficientes para implementaciones hardware. Manuel Lucena (Dpto. Informática) 3. Bases Teóricas 19 de marzo de 2010 28 / 41 Curvas Elı́pticas Índice Teorı́a de la Información Complejidad Algorı́tmica Aritmética Modular Curvas Elı́pticas Números Aleatorios Manuel Lucena (Dpto. Informática) 3. Bases Teóricas Curvas Elı́pticas 19 de marzo de 2010 29 / 41 Curvas Elı́pticas en R Curvas Elı́pticas en R Definición: Una curva elı́ptica sobre R es el conjunto de los puntos del plano (x, y ) que cumplen la ecuación: y 2 = x 3 + ax + b a) b) y 2 = x 3 − 5x + 1 Manuel Lucena (Dpto. Informática) y 2 = x 3 − 3x + 4 3. Bases Teóricas 19 de marzo de 2010 30 / 41 Curvas Elı́pticas Curvas Elı́pticas en R Grupo de Curva Elı́ptica E (R) Compuesto por todos los puntos de la curva, más un punto O, situado en el infinito. I Definiremos una operación suma con las siguientes propiedades: I I I r + O = O + r = r (elemento neutro). ∀r, ∃s tal que r + s = O (elemento simétrico). Sumar un punto p consigo mismo k veces ⇒ multiplicar p por el entero k. Manuel Lucena (Dpto. Informática) 3. Bases Teóricas Curvas Elı́pticas 19 de marzo de 2010 31 / 41 Curvas Elı́pticas en R Interpretación Gráfica de la Suma en E (R) Sumar r y s: Sumar p consigo mismo: -t -t p s r t t a) Manuel Lucena (Dpto. Informática) b) 3. Bases Teóricas 19 de marzo de 2010 32 / 41 Curvas Elı́pticas Curvas elı́pticas en otros conjuntos Curvas elı́pticas en otros conjuntos En GF (n) y 2 ≡ x 3 + ax + b (mód n) I No tienen representación gráfica. I La suma se efectúa mediante las expresiones analı́ticas. En GF (2n ) y 2 + xy ≡ x 3 + ax + b I (mód p(x)) En este caso, el conjunto base está compuesto por polinomios con coeficientes en Z2 . Manuel Lucena (Dpto. Informática) 3. Bases Teóricas Curvas Elı́pticas 19 de marzo de 2010 33 / 41 Logaritmos Discretos en Curvas Elı́pticas Problema de los Logaritmos Discretos en Curvas Elı́pticas I Sea p un punto de una curva elı́ptica. I Sea hpi el conjunto {O, p, 2p, 3p,. . . }. I Para todo q ∈ hpi, debe existir un entero k tal que kp = q Problema de los Logaritmos Discretos en Curvas Elı́pticas I Hallar k ∈ N tal que q = kp. I Es un problema difı́cil, apto para su uso en Criptografı́a. Manuel Lucena (Dpto. Informática) 3. Bases Teóricas 19 de marzo de 2010 34 / 41 Números Aleatorios Índice Teorı́a de la Información Complejidad Algorı́tmica Aritmética Modular Curvas Elı́pticas Números Aleatorios Manuel Lucena (Dpto. Informática) 3. Bases Teóricas 19 de marzo de 2010 35 / 41 Números Aleatorios Importancia de los Números Aleatorios en Criptografı́a Es fundamental poder generar valores impredecibles y sin relación estadı́stica entre ellos. I Claves de sesión. I Números primos para las claves privadas. I ... Generadores tradicionales I Generan secuencias que superan los test estadı́sticos de aleatoriedad. I Son predecibles. ⇐ Inadmisible I Son reproducibles. ⇐ Inadmisible Manuel Lucena (Dpto. Informática) 3. Bases Teóricas 19 de marzo de 2010 36 / 41 Números Aleatorios Generadores aleatorios Secuencias Pseudoaleatorias Secuencias Estadı́sticamente Aleatorias I Pasan los tests estadı́sticos de aleatoriedad. I Predecibles y reproducibles a partir de porciones pequeñas de la secuencia. Secuencias Criptográficamente Aleatorias I Calcular el siguiente valor de la secuencia a partir de una porción arbitraria de la misma resulta intratable. I Usan información secreta de inicialización y estado. Manuel Lucena (Dpto. Informática) 3. Bases Teóricas Números Aleatorios 19 de marzo de 2010 37 / 41 Generadores aleatorios Secuencias Aleatorias Una secuencia es totalmente aleatoria si no puede reproducirse de manera fiable. I I Una computadora es determinista (predecible). Fuentes externas de aleatoriedad: I I I I I I Conversores A/D (tarjetas de sonido). Actividad de dispositivos externos (disco duro). Actividad del usuario. Dispositivos hardware especı́ficamente diseñados. ... Podemos mezclar varias fuentes externas de aleatoriedad. Manuel Lucena (Dpto. Informática) 3. Bases Teóricas 19 de marzo de 2010 38 / 41 Números Aleatorios Generadores aleatorios Clasificación de las secuencias aleatorias Secuencias Aleatorias (no reproducibles) Secuencias Pseudoaleatorias (reproducibles) Secuencias Criptográficamente Aleatorias Secuencias Estadísticamente Aleatorias Manuel Lucena (Dpto. Informática) 3. Bases Teóricas Números Aleatorios 19 de marzo de 2010 39 / 41 Generadores aleatorios Eliminación del Sesgo I Normalmente, p(1) = 0,5 + d y p(0) = 0,5 − d. Mediante bits de paridad I I Agrupar la secuencia de n en n bits y tomar la paridad. log2 (2) , el sesgo resultante es inferior a . Si n > log2 (2d) Método de Von Neumann I Agrupar los bits de dos en dos. Descartar los pares 00 y 11. I Asignar un 1 al par 10 y un 0 al par 01. I Los bits de la salida son equiprobables. Funciones resumen I Conociendo la entropı́a de la secuencia original. Manuel Lucena (Dpto. Informática) 3. Bases Teóricas 19 de marzo de 2010 40 / 41 Números Aleatorios Generadores aleatorios Generadores Aleatorios X9.17 I A partir de una semilla s0 , los valores gi de la secuencia se calculan: gn = DES(k, DES(k, t) ⊕ sn ) sn+1 = DES(k, DES(k, t) ⊕ gn ) Blum Blum Shub I Sean p y q números primos tales que p ≡ 3(mód 4) y q ≡ 3(mód 4), y n = p · q: s0 = (x 2 )(mód n) si+1 = (si2 )(mód n) Manuel Lucena (Dpto. Informática) 3. Bases Teóricas 19 de marzo de 2010 41 / 41 Criptografı́a y Seguridad en Computadores Tema 4. Algoritmos Criptográficos 1a Parte: Criptografı́a Clásica Manuel J. Lucena López mlucena@ujaen.es Departamento de Informática Universidad de Jaén 19 de marzo de 2010 Manuel Lucena (Dpto. Informática) 4a. Criptografı́a Clásica 19 de marzo de 2010 1 / 19 19 de marzo de 2010 2 / 19 Introducción Índice Introducción Cifrados de Sustitución Cifrados de Transposición Máquinas de Rotores Manuel Lucena (Dpto. Informática) 4a. Criptografı́a Clásica Introducción La Criptografı́a Clásica I Abarca desde los inicios de la escritura hasta la II Guerra Mundial. Caracterı́sticas I Comprende técnicas de cifrado que pueden ser ejecutadas a mano. I Considerada en ocasiones como un pasatiempo o un reto intelectual. I Sus algoritmos pueden romperse con recursos computacionales relativamente modestos, según los estándares actuales. I Empleada por Julio César, Leonardo Da Vinci, Edgar Allan Poe, Arthur Conan Doyle, Francis Bacon, etc. Manuel Lucena (Dpto. Informática) 4a. Criptografı́a Clásica 19 de marzo de 2010 3 / 19 19 de marzo de 2010 4 / 19 Cifrados de Sustitución Índice Introducción Cifrados de Sustitución Cifrados de Transposición Máquinas de Rotores Manuel Lucena (Dpto. Informática) 4a. Criptografı́a Clásica Cifrados de Sustitución Cifrados de Sustitución I Se basan en cambiar unos sı́mbolos del alfabeto por otros: confusión. Tipos I Monoalfabéticos: la sustitución es siempre la misma, a lo largo de todo el texto. I Polialfabéticos: la sustitución de cada sı́mbolo depende de su posición en el texto claro. Dispositivo de cifrado monoalfabético empleado por el Ejército Confederado de los EE.UU. Manuel Lucena (Dpto. Informática) Cifrado monoalfabético dibujado por Conan Doyle para The adventure of the dancing men. 4a. Criptografı́a Clásica Cifrados de Sustitución 19 de marzo de 2010 5 / 19 Cifrados Monoalfabéticos Cifrados Monoalfabéticos Algoritmo de César I Cada sı́mbolo c del criptograma se calcula a partir de cada sı́mbolo m del mensaje original según la función: c = (m + 3) mód 26. I El conjunto K de claves tiene un único elemento. Sustitución afı́n I Función de cifrado para un alfabeto de N sı́mbolos: E(a,b) (m) = (a · m + b) mód N. I Dos parámetros: a y b. I Si a = 1 y b = 3, tenemos el algoritmo de César. Cifrado Monoalfabético General I La transformación es arbitraria. I Tenemos N! posibles claves. Manuel Lucena (Dpto. Informática) 4a. Criptografı́a Clásica 19 de marzo de 2010 6 / 19 Cifrados de Sustitución Cifrados Monoalfabéticos Criptoanálisis de Cifrados Monoalfabéticos I Las propiedades estadı́sticas del texto claro se conservan en el criptograma. I Las letras más frecuentes en el criptograma corresponderán con los sı́mbolos más frecuentes del idioma original. I Basta con emparejar el histograma de frecuencias del criptograma con el del idioma original. Distancia de Unicidad S= H(K ) log2 (N!) = D D I D: redundancia del lenguaje empleado en el mensaje original. I N: es el número de sı́mbolos del lenguaje. Manuel Lucena (Dpto. Informática) 4a. Criptografı́a Clásica Cifrados de Sustitución 19 de marzo de 2010 7 / 19 Cifrados Polialfabéticos Cifrados Polialfabéticos I Se basan en una aplicación cı́clica de d cifrados monoalfabéticos diferentes. Cifrado de Vigenère I Clave: K = {k0 , k1 , . . . kd−1 }. I Función de cifrado: Ek (mi ) = mi + k(i mód d) (mód n) Criptoanálisis I I Conociendo el valor de d, aplicamos análisis de frecuencias a cada subconjunto de los sı́mbolos del mensaje por separado. Para conocer d, aplicamos el método de Kasiski. 1. Buscar subcadenas repetidas de tres o más sı́mbolos. 2. Medir las distancias si que las separan. 3. d: máximo común divisor de los si . Manuel Lucena (Dpto. Informática) 4a. Criptografı́a Clásica 19 de marzo de 2010 8 / 19 Cifrados de Sustitución Cifrados de Sustitución Homofónica Cifrados de Sustitución Homofónica Caracterı́sticas I Hacen corresponder a un sı́mbolo del texto claro varios sı́mbolos posibles del texto cifrado, de forma aleatoria. I Tratan de aplanar el histograma de frecuencias, dificultando el criptoanálisis. I En la práctica, reducen o eliminan la redundancia del mensaje cifrado, al hacer todos sus sı́mbolos equiprobables. Inconvenientes I Necesitamos un alfabeto de salida mayor que el de entrada. I Es difı́cil conseguir un histograma totalmente plano. Manuel Lucena (Dpto. Informática) 4a. Criptografı́a Clásica 19 de marzo de 2010 9 / 19 Cifrados de Transposición Índice Introducción Cifrados de Sustitución Cifrados de Transposición Máquinas de Rotores Manuel Lucena (Dpto. Informática) 4a. Criptografı́a Clásica 19 de marzo de 2010 10 / 19 Cifrados de Transposición Cifrados de Transposición I Se basan en cambiar de lugar los sı́mbolos del mensaje: difusión. I Ejemplo: el Escitalo. I Normalmente, se toma el mensaje en bloques de n sı́mbolos y se reordena de alguna forma. I Texto claro: El perro de San Roque no tiene rabo. I Clave: {3, 2, 5, 1, 4}. I Texto cifrado: “ Osonealr r irednu eoere et p aqonb”. Manuel Lucena (Dpto. Informática) 1 E R E E T 4a. Criptografı́a Clásica Cifrados de Transposición 2 L R R I R 3 O S O N E A 4 P A Q O N B 5 E D N U E O 19 de marzo de 2010 11 / 19 Criptoanálisis de los cifrados de Transposición Criptoanálisis de los cifrados de Transposición I Las frecuencias relativas de los sı́mbolos se conservan. El enfoque empleado en los cifrados de sustitución no sirve. I Podemos analizar las frecuencias de pares y tripletas de sı́mbolos. I Muchos pares y ternas de sı́mbolos nunca aparecen en los lenguajes humanos. I Conociendo el valor de n, tenemos n! posibles claves. I Aplicaremos un enfoque basado en la fuerza bruta. Manuel Lucena (Dpto. Informática) 4a. Criptografı́a Clásica 19 de marzo de 2010 12 / 19 Máquinas de Rotores Índice Introducción Cifrados de Sustitución Cifrados de Transposición Máquinas de Rotores Manuel Lucena (Dpto. Informática) 4a. Criptografı́a Clásica Máquinas de Rotores 19 de marzo de 2010 13 / 19 La Máquina Enigma La Máquina Enigma I Inventada en 1923 por Arthur Scherbius. I Adoptada por el ejército del III Reich durante la II Guerra Mundial. I La clave viene dada por la posición inicial de una serie de rotores. Máquina Enigma Manuel Lucena (Dpto. Informática) Rotor de una Enigma 4a. Criptografı́a Clásica 19 de marzo de 2010 14 / 19 Máquinas de Rotores La Máquina Enigma Funcionamiento de Enigma I Tres rotores móviles. I Un reflector. I Rotores y reflector llevan contactos internamente. I Al pulsar una tecla, se forma un circuito que ilumina una letra. I Los rotores giran tras cada pulsación. I La posición no se repite hasta haber tecleado 263 = 17,576 caracteres. Manuel Lucena (Dpto. Informática) 4a. Criptografı́a Clásica Máquinas de Rotores 19 de marzo de 2010 15 / 19 La Máquina Enigma Mejoras a Enigma I Se hicieron diversas mejoras: aumento del número de rotores, rotores intercambiables, etc. I El clavijero o stecker: Detalle del clavijero (stecker). I Intercambia hasta diez caracteres antes y después de los rotores. I Aumenta hasta 1017 el número de posibles claves. Manuel Lucena (Dpto. Informática) 4a. Criptografı́a Clásica 19 de marzo de 2010 16 / 19 Máquinas de Rotores La Máquina Enigma La Bomba de Turing I Ideada por Alan Turing, basándose en el ciclómetro de Rejewsky, Rózycki y Zygalski I Formada por muchas máquinas Enigma encadenadas, lo que anulaba el stecker. I Necesitaba del empleo de pivotes. Enigma no puede codificar una letra en sı́ misma. Manuel Lucena (Dpto. Informática) 4a. Criptografı́a Clásica Máquinas de Rotores 19 de marzo de 2010 17 / 19 La Máquina Enigma Consideraciones Teóricas sobre Enigma I Un rotor es una permutación π del alfabeto de entrada. I Todas las letras tienen imagen, y no puede haber dos letras con la misma imagen. I La permutación π3 asociada al reflector cumple que π3 = π3−1 . I Permutación que produce la máquina: πtotal = hπ0 , π1 , π2 , π3 , π2−1 , π1−1 , π0−1 i Otras máquinas de Rotores I Purple, Sigaba, etc. Manuel Lucena (Dpto. Informática) 4a. Criptografı́a Clásica 19 de marzo de 2010 18 / 19 Máquinas de Rotores El cifrado de Lorenz El Cifrado de Lorenz I I I I Se hacı́a con la máquina SZ40, más compleja que Enigma. Permitı́a codificar teletipos. Simulaba un cifrado seguro de Shannon. Roto por Colossus, el primer ordenador programable, diseñado por el Dr. Tommy Flowers. Máquina de Lorenz Manuel Lucena (Dpto. Informática) Colossus 4a. Criptografı́a Clásica 19 de marzo de 2010 19 / 19 Criptografı́a y Seguridad en Computadores Tema 4. Algoritmos Criptográficos 2a Parte: Cifrados por Bloques Manuel J. Lucena López mlucena@ujaen.es Departamento de Informática Universidad de Jaén 20 de abril de 2009 Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques 20 de abril de 2009 1 / 28 20 de abril de 2009 2 / 28 Introducción Índice Introducción El algoritmo DES El algoritmo IDEA Algoritmo AES Modos de Operación Criptoanálisis Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques Introducción Introducción Algoritmos de Cifrado por Bloques Dividen el mensaje en bloques de igual tamaño, y los cifran por separado. I Para hacer un buen sistema de cifrado, la sustitución serı́a suficiente. I Sin embargo, codificar tablas de sustitución grandes es complicado. I En la práctica, se mezclan operaciones de sustitución con otras de transposición. Cifrado de Producto I Combinación más o menos compleja de operaciones simples de sustitución y transposición. I Estructura denominada red de sustitución-permutación. Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques Introducción 20 de abril de 2009 3 / 28 20 de abril de 2009 4 / 28 Redes de Feistel Redes de Feistel I Dividen el bloque en dos mitades, L y R. I Combinan los bloques con una serie de valores Ki , empleando una función arbitraria f . I Para descifrar, basta emplear la misma red, invirtiendo el orden de los Ki . I Muchos algoritmos usan esta estructura: DES, Lucifer, FEAL, CAST, Blowfish, etc. Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques Introducción Cifrados con estructura de Grupo Cifrados con estructura de Grupo Definición: I Decimos que un cifrado tiene estructura de grupo si: ∀ k1 , k2 , M ∃ k3 tal que Ek2 (Ek1 (M)) = Ek3 (M) I No es una propiedad deseable. I Generalmente, resulta muy difı́cil demostrar que un algoritmo posee (o carece de) esta estructura. Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques Introducción 20 de abril de 2009 5 / 28 S-Cajas S-Cajas I Son la unidad básica de sustitución. I Una S-Caja de m × n bits tiene m bits de entrada y n bits de salida. I m puede ser menor, mayor o igual que n. Ejemplos de S-Caja individual y de agrupación de S-Cajas. Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques 20 de abril de 2009 6 / 28 El algoritmo DES Índice Introducción El algoritmo DES El algoritmo IDEA Algoritmo AES Modos de Operación Criptoanálisis Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques 20 de abril de 2009 7 / 28 El algoritmo DES El algoritmo DES I DES: Data Encryption Standard. I Estándar para documentos no clasificados en EE.UU. desde 1976 hasta finales de los 90. I Longitud de bloque: 64 bits. Longitud efectiva de clave: 56 bits. I Estructura: Red de Feistel con 16 rondas. I Una permutación inicial y otra final, inversa de la primera. Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques 20 de abril de 2009 8 / 28 El algoritmo DES Función f de DES Esquema de la función f en DES. Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques 20 de abril de 2009 9 / 28 El algoritmo DES Generación de los valores Ki Generación de los Ki en DES. Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques 20 de abril de 2009 10 / 28 El algoritmo DES Claves débiles en DES Claves débiles en DES I Claves débiles: Todos los Ki son iguales ⇒ Ek (Ek (M)) = M. I Claves semidébiles: Generan secuencias con solo dos valores distintos de Ki . Claves Débiles Clave Clave tras EP1 0101010101010101 0000000 0000000 1F1F1F1F0E0E0E0E 0000000 FFFFFFF E0E0E0E0F1F1F1F1 FFFFFFF 0000000 FEFEFEFEFEFEFEFE FFFFFFF FFFFFFF Manuel Lucena (Dpto. Informática) Claves Semidébiles Clave Clave tras EP1 01FE01FE01FE01FE AAAAAAA AAAAAAA FE01FE01FE01FE01 5555555 5555555 1FE01FE00EF10EF1 AAAAAAA 5555555 E01FE01FF10EF10E 5555555 AAAAAAA 01E001E001F101F1 AAAAAAA 0000000 E001E001F101F101 5555555 0000000 1FFE1FFE0EFE0EFE AAAAAAA FFFFFFF FE1FFE1FFE0EFE0E 5555555 FFFFFFF 011F011F010E010E 0000000 AAAAAAA 1F011F010E010E01 0000000 5555555 E0FEE0FEF1FEF1FE FFFFFFF AAAAAAA FEE0FEE0FEF1FEF1 FFFFFFF 5555555 4b. Cifrados por Bloques El algoritmo DES 20 de abril de 2009 11 / 28 Variantes de DES Variantes de DES DES múltiple: I Se aplica el algoritmo DES varias veces sobre el mismo bloque. I Funciona porque DES no tiene estructura de grupo. I Ejemplo: C = Ek1 (Ek−1 (Ek1 (M))) 2 I Longitud efectiva de clave: hasta 168 bits. I Esta estrategia se puede aplicar a cualquier algoritmo. DES con subclaves independientes: I Permite claves de hasta 16 × 48 = 768 bits. I En la práctica, no es mucho más difı́cil de criptoanalizar que DES estándar. Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques 20 de abril de 2009 12 / 28 El algoritmo DES Variantes de DES Variantes de DES DES generalizado: I Se emplea una red de Feistel generalizada, que divide el bloque en n trozos de 32 bits. I No mejora sustancialmente la seguridad. DES con S-Cajas alternativas: I Modificando las S-Cajas. I Cuando se desarrolló el criptoanálisis diferencial, a inicios de los 90, se descubrió que las S-Cajas de DES son resistentes frente a este ataque. Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques 20 de abril de 2009 13 / 28 20 de abril de 2009 14 / 28 El algoritmo IDEA Índice Introducción El algoritmo DES El algoritmo IDEA Algoritmo AES Modos de Operación Criptoanálisis Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques El algoritmo IDEA El algoritmo IDEA I International Data Encryption Algorithm. I Desarrollado en 1992. I Bloque: 64 bits. Clave: 128 bits. I Optimizado para su implementación en microprocesadores modernos. Se basa en las siguientes operaciones: I I I I XOR. Suma módulo 216 . Producto módulo 216 + 1. I En este caso, 216 se representa con el cero. Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques El algoritmo IDEA 20 de abril de 2009 15 / 28 Estructura de IDEA Estructura de IDEA I I Se divide el bloque en cuatro partes de 16 bits: X1 , X2 , X3 y X4 . Se calculan 52 subclaves: I I Las 8 primeras dividiendo la clave en 8 trozos de 16 bits. El resto, desplazando 25 bits sucesivamente y volviendo a dividir. I Cifrado: se aplican las 52 subclaves en 8 rondas. I Descifrado: se aplican los opuestos o inversas en distinto orden, con el mismo algoritmo. Ronda 1 2 3 4 5 6 7 8 Final Z1 Z7 Z13 Z19 Z25 Z31 Z37 Z43 Z49 Z2 Z8 Z14 Z20 Z26 Z32 Z38 Z44 Z50 Subclaves de Cifrado Z3 Z4 Z5 Z9 Z10 Z11 Z15 Z16 Z17 Z21 Z22 Z23 Z27 Z28 Z29 Z33 Z34 Z35 Z39 Z40 Z41 Z45 Z46 Z47 Z51 Z52 Manuel Lucena (Dpto. Informática) Z6 Z12 Z18 Z24 Z30 Z36 Z42 Z48 −1 Z49 −1 Z43 −1 Z37 −1 Z31 −1 Z25 −1 Z19 −1 Z13 Z7−1 Z1−1 4b. Cifrados por Bloques Subclaves de Descifrado −1 −Z50 −Z51 Z52 Z47 −1 −Z45 −Z44 Z46 Z41 −1 −Z39 −Z38 Z40 Z35 −1 −Z33 −Z32 Z34 Z29 −1 −Z27 −Z26 Z28 Z23 −1 −Z21 −Z20 Z22 Z17 −1 −Z15 −Z14 Z16 Z11 −1 −Z9 −Z8 Z10 Z5 −Z2 −Z3 Z4−1 Z48 Z42 Z36 Z30 Z24 Z18 Z12 Z6 20 de abril de 2009 16 / 28 Algoritmo AES Índice Introducción El algoritmo DES El algoritmo IDEA Algoritmo AES Modos de Operación Criptoanálisis Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques Algoritmo AES 20 de abril de 2009 17 / 28 Introducción Algoritmo AES I También conocido como Rijndael. I Adoptado por el NIST como sucesor de AES. I Tamaño de bloque y clave variables, entre 128 y 256 bits. I Usa una S-Caja 8 × 8, calculada empleando GF (28 ). Estructura I I Diseñado expresamente para resistir a los criptoanálisis lineal y diferencial. Cada ronda: cuatro funciones invertibles, organizadas en tres capas: 1. Mezcla Lineal: DesplazarFila y MezclarColumnas. 2. Capa no Lineal: S-Caja 8 × 8 (función ByteSub). 3. Adición de clave: Or-exclusivo. Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques 20 de abril de 2009 18 / 28 Algoritmo AES Elementos de AES Elementos de AES I Estado (S): Matriz de bytes de cuatro filas, y Nb columnas. I Clave (Ki ): Matriz de bytes de cuatro filas, y Nk columnas. Rondas: I 1. 2. 3. 4. S S S S ←−ByteSub(S) ←−DesplazarFila(S) ←−MezclarColumnas(S) ←− Ki ⊕ S Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques Algoritmo AES 20 de abril de 2009 19 / 28 Elementos de AES Funciones DesplazarFila y MezclarColumnas S Cada columna se considera un polinomio con coeficientes en GF (28 ). Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques 20 de abril de 2009 20 / 28 Algoritmo AES Elementos de AES Cifrado y Descifrado en AES Cifrado: I Se aplican las rondas con una serie de Ki generados a partir de K . Descifrado: I Se aplican las inversas de todas las funciones, en orden inverso, con los Ki también en orden inverso. Cálculo de las subclaves Ki I Función de expansión + Función de selección. I Se emplea la aritmética en GF (28 ). Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques 20 de abril de 2009 21 / 28 20 de abril de 2009 22 / 28 Modos de Operación Índice Introducción El algoritmo DES El algoritmo IDEA Algoritmo AES Modos de Operación Criptoanálisis Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques Modos de Operación Modos de Operación I Un mensaje tı́pico es más largo que un bloque. I Si el mensaje no ocupa un número exacto de bloques, hay que rellenar el último (padding): I Cifrar cada bloque de forma independiente no es siempre lo mejor. I Hay diversas estrategias, llamadas Modos de Operación. Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques Modos de Operación 20 de abril de 2009 23 / 28 Modo ECB Modo ECB Modo ECB (Electronic Code Book) I Cada bloque se cifra de forma independiente. I Interesante para cifrar ficheros de acceso aleatorio. I Un atacante puede realizar inserciones, sustituciones, permutaciones y eliminaciones. I Pueden detectarse patrones repetitivos en el mensaje. Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques 20 de abril de 2009 24 / 28 Modos de Operación Modo CBC Modo CBC Modo CBC (Cipher Block Chaining Mode) I Los bloques están encadenados. Se usa un vector de inicialización. I Dos mensajes que difieran en un bit se cifran igual hasta el bloque en el que esté ese bit. I Si falla el descifrado de un bloque, se pierde el siguiente. I Impide eliminaciones, inserciones, permutaciones y sustituciones. Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques Modos de Operación 20 de abril de 2009 25 / 28 Modo CFB Modo CFB Modo CFB (Cihper-Feedback) I Cada bloque se cifra y se combina con el siguiente bloque del mensaje original. I En el cifrado, cada bloque afecta a todos los siguientes. I Si se produce un error en el descifrado, tiene alcance limitado. I Puesto que el paso final es un XOR entre Mi y Ci , éste puede hacerse a trozos. Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques 20 de abril de 2009 26 / 28 Criptoanálisis Índice Introducción El algoritmo DES El algoritmo IDEA Algoritmo AES Modos de Operación Criptoanálisis Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques 20 de abril de 2009 27 / 28 Criptoanálisis Criptoanálisis de cifrados por bloques Criptoanálisis Diferencial I Se calculan pares de mensajes que difieren en un bit. I Se estudian cómo se propagan esas diferencias a lo largo de las rondas del algoritmo en cuestión, para una clave dada. I Cifrando pares de mensajes y observando sus diferencias, se asignan probabilidades a las distintas claves, hasta dar con la correcta. Criptoanálisis Lineal I Se toman algunos bits del texto claro, algunos del texto cifrado asociado, y se hace un or-exclusivo entre todos ellos. I El resultado será 0 o 1 con probabilidad próxima a 1/2, variando el resto de bits del texto claro. I Si hay un sesgo, puede explotarse para ganar conocimiento sobre la clave de cifrado. Manuel Lucena (Dpto. Informática) 4b. Cifrados por Bloques 20 de abril de 2009 28 / 28 Criptografı́a y Seguridad en Computadores Tema 4. Algoritmos de Cifrado. 3a Parte: Cifrados de Flujo Manuel J. Lucena López mlucena@ujaen.es Departamento de Informática Universidad de Jaén 4 de mayo de 2010 Manuel Lucena (Dpto. Informática) 4c. Cifrados de Flujo 4 de mayo de 2010 1 / 11 4 de mayo de 2010 2 / 11 Introducción Índice Introducción Tipos de Generadores de Secuencia Registros de Desplazamiento Retroalimentados Otros Generadores de Secuencia Manuel Lucena (Dpto. Informática) 4c. Cifrados de Flujo Introducción Los Cifrados de Flujo I Tratan de imitar el cifrado de Vernam, que es Seguro de Shannon. I Generan una secuencia de longitud igual al mensaje, y la combinan con éste. ci = mi ⊕ oi I El destinatario regenera la secuencia a partir de la misma semilla y recupera el mensaje original. I El generador de secuencia debe ser criptográficamente aleatorio. El estudio de los cifrados de flujo se reduce al estudio de los generadores de secuencia. Manuel Lucena (Dpto. Informática) 4c. Cifrados de Flujo 4 de mayo de 2010 3 / 11 4 de mayo de 2010 4 / 11 Tipos de Generadores de Secuencia Índice Introducción Tipos de Generadores de Secuencia Registros de Desplazamiento Retroalimentados Otros Generadores de Secuencia Manuel Lucena (Dpto. Informática) 4c. Cifrados de Flujo Tipos de Generadores de Secuencia Generadores Sı́ncronos I La secuencia es generada de forma independiente del texto claro y del texto cifrado. I El texto cifrado se obtiene combinando la secuencia con el texto claro, mediante una función reversible w . si+1 = g (si , k), Manuel Lucena (Dpto. Informática) oi = h(si , k), 4c. Cifrados de Flujo ci = w (mi , oi ) 4 de mayo de 2010 5 / 11 Tipos de Generadores de Secuencia Generadores Ası́ncronos I La salida del generador es el mensaje cifrado. I Se usan los valores anteriores del texto cifrado para generar los siguientes valores de la secuencia. oi = h(k, ci−t , ci−t+1 , . . . , ci−1 ), Manuel Lucena (Dpto. Informática) 4c. Cifrados de Flujo ci = w (oi , mi ) 4 de mayo de 2010 6 / 11 Registros de Desplazamiento Retroalimentados Índice Introducción Tipos de Generadores de Secuencia Registros de Desplazamiento Retroalimentados Otros Generadores de Secuencia Manuel Lucena (Dpto. Informática) 4c. Cifrados de Flujo 4 de mayo de 2010 7 / 11 Registros de Desplazamiento Retroalimentados Registros de Desplazamiento Retroalimentados I I Compuestos por un conjunto de L estados {S0 , S1 , ...SL−1 }. Cada Si almacena un bit. I En cada paso, los registros se desplazan, siendo S0 el bit que sale. El nuevo SL−1 es una función de los Si en el paso anterior. I Pueden ser lineales o no lineales, según sea la función que se aplique a los Si . Manuel Lucena (Dpto. Informática) 4c. Cifrados de Flujo 4 de mayo de 2010 8 / 11 Otros Generadores de Secuencia Índice Introducción Tipos de Generadores de Secuencia Registros de Desplazamiento Retroalimentados Otros Generadores de Secuencia Manuel Lucena (Dpto. Informática) 4c. Cifrados de Flujo Otros Generadores de Secuencia 4 de mayo de 2010 9 / 11 Cifrados por Bloques en modo OFB Cifrados por Bloques en modo OFB I El modo de operación OFB (Ouput-Feedback) genera secuencias criptográficamente aleatorias. I Válido para construir cifrados de flujo sı́ncronos. Manuel Lucena (Dpto. Informática) 4c. Cifrados de Flujo 4 de mayo de 2010 10 / 11 Otros Generadores de Secuencia Algoritmos especı́ficos Algoritmos de generación de secuencia RC4 I Desarrollado por Rivest en 1987. I Emplea una S-caja 8 × 8 dinámica. I Genera una secuencia de bytes con claves de hasta 2048 bits. SEAL I Rogaway y Coppersmith (1993). I Extremadamente rápido. I Define una familia de funciones pseudoaleatorias, que combina para generar la secuencia. I Tiene una fase de cálculo previa compleja, basada en SHA. Manuel Lucena (Dpto. Informática) 4c. Cifrados de Flujo 4 de mayo de 2010 11 / 11 Criptografı́a y Seguridad en Computadores Tema 4. Algoritmos de Cifrado. 4a Parte: Cifrados Asimétricos Manuel J. Lucena López mlucena@ujaen.es Departamento de Informática Universidad de Jaén 6 de mayo de 2010 Manuel Lucena (Dpto. Informática) 4d. Cifrados Asimétricos 6 de mayo de 2010 1 / 21 6 de mayo de 2010 2 / 21 Introducción Índice Introducción Ataque de intermediario Algoritmo RSA Otros Algoritmos Asimétricos Criptografı́a Asimétrica de Curva Elı́ptica Manuel Lucena (Dpto. Informática) 4d. Cifrados Asimétricos Introducción La Criptografı́a Asimétrica I I Introducida por Diffie y Hellman a mediados de los 70. Las claves no son únicas, sino que forman pares. I I I El más extendido es RSA. I I I Si una cifra, a otra descifra, y viceversa. Una se hace pública, y la otra se mantiene en secreto. Rivest, Shamir y Adleman (1977). Las longitudes tı́picas de clave que se consideran seguras son mucho mayores que las de los algoritmos simétricos. Sus algoritmos son más lentos que los simétricos. I Métodos de cifrado hı́bridos. Manuel Lucena (Dpto. Informática) 4d. Cifrados Asimétricos Introducción 6 de mayo de 2010 3 / 21 Problemas de la Criptografı́a Simétrica Problemas de la Criptografı́a Simétrica Número de claves necesarias I Con n interlocutores, son necesarias n2 −n 2 claves diferentes. Distribución de claves I Para generar un canal seguro de comunicaciones, se emplea una clave simétrica. I Para distribuir la clave, es necesario tener un canal seguro de comunicaciones. Problema del huevo y la gallina. I La Criptografı́a asimétrica permite resolver estos problemas. Manuel Lucena (Dpto. Informática) 4d. Cifrados Asimétricos 6 de mayo de 2010 4 / 21 Introducción Aplicaciones Aplicaciones de la Criptografı́a Asimétrica Cifrado tradicional: I La clave pública del destinatario se usa para cifrar. I Problema de la distribución de claves: Resuelto. Manuel Lucena (Dpto. Informática) 4d. Cifrados Asimétricos Introducción 6 de mayo de 2010 5 / 21 6 de mayo de 2010 6 / 21 Aplicaciones Aplicaciones de la Criptografı́a Asimétrica Autentificación: I La clave privada del remitente se usa para cifrar. Manuel Lucena (Dpto. Informática) 4d. Cifrados Asimétricos Ataque de intermediario Índice Introducción Ataque de intermediario Algoritmo RSA Otros Algoritmos Asimétricos Criptografı́a Asimétrica de Curva Elı́ptica Manuel Lucena (Dpto. Informática) 4d. Cifrados Asimétricos 6 de mayo de 2010 7 / 21 Ataque de intermediario Ataques de intermediario I Un atacante C se sitúa entre A y B. I C roba la clave pública de B y la sustituye por la suya. I Cuando A quiere enviar un mensaje, emplea la clave de C, en lugar de la de B. Manuel Lucena (Dpto. Informática) 4d. Cifrados Asimétricos 6 de mayo de 2010 8 / 21 Ataque de intermediario ¿Cómo evitar los ataques de intermediario? I Resulta imposible. I Se pueden reducir riesgos, si una entidad de confianza firma las claves públicas ⇒ Certificado Digital. Manuel Lucena (Dpto. Informática) 4d. Cifrados Asimétricos 6 de mayo de 2010 9 / 21 Algoritmo RSA Índice Introducción Ataque de intermediario Algoritmo RSA Otros Algoritmos Asimétricos Criptografı́a Asimétrica de Curva Elı́ptica Manuel Lucena (Dpto. Informática) 4d. Cifrados Asimétricos 6 de mayo de 2010 10 / 21 Algoritmo RSA El algoritmo RSA I Desarrollado por R. Rivest, A. Shamir y L. Adleman (1977). I Uno de los más sencillos, seguros y fáciles de entender. I Se apoya en el Logaritmo Discreto y en la dificultad para factorizar números enteros. Generación de claves I I I I I n = p · q, con p, q primos. e, primo relativo con (p − 1)(q − 1). d ≡ e −1 (mód (p − 1)(q − 1)). Clave pública: KP = (e, n). Clave privada: Kp = (d, n). Manuel Lucena (Dpto. Informática) 4d. Cifrados Asimétricos Algoritmo RSA 6 de mayo de 2010 11 / 21 Cifrado y descifrado en RSA Cifrado y descifrado en RSA I Cifrado: c = me (mód n). I Descifrado: m = c d (mód n). I Justificación: c d = (me )d = med = mk(p−1)(q−1)+1 = (mk )(p−1)(q−1) · m cd ≡ m I I (mód n) Factorización: Para conocer d a partir de (e, n), deberá factorizar n. Logaritmo Discreto: Podemos cifrar un m arbitrario y obtener c = me . Luego, d = logc (m) Manuel Lucena (Dpto. Informática) 4d. Cifrados Asimétricos 6 de mayo de 2010 12 / 21 Algoritmo RSA Seguridad de RSA Seguridad de RSA I Resolviendo la factorización o el logaritmo discreto, RSA quedarı́a roto. I No está demostrado que no exista otro método para romper RSA, sin necesidad de factorizar o resolver logaritmos. I Puede plantearse un ataque a la función φ(n). I Si p o q no son primos, el algoritmo no funciona. Manuel Lucena (Dpto. Informática) 4d. Cifrados Asimétricos Algoritmo RSA 6 de mayo de 2010 13 / 21 Vulnerabilidades de RSA Vulnerabilidades de RSA I RSA puede resultar vulnerable si se emplea mal. Posibles problemas: I I Posee claves débiles: me ≡ m La longitud de clave puede ser un problema. I I (mód n) Cada vez se necesitan claves más largas. Ataque de texto claro escogido: I I Generamos m1 y m2 y pedimos a alguien que los firme. El mensaje m = m1 · m2 quedará también firmado. Manuel Lucena (Dpto. Informática) 4d. Cifrados Asimétricos 6 de mayo de 2010 14 / 21 Algoritmo RSA Vulnerabilidades de RSA Vulnerabilidades de RSA Posibles Problemas: I Ataques de módulo común: I I I Ataques de exponente bajo: I I I No se debe generar más de un par de claves para un valor concreto de p, q. Un mismo mensaje m cifrado con dos claves e1 y e2 , puede ser recuperado. Un mismo m cifrado con tres claves distintas, en las que e = 3, puede recuperarse. Se evitan rellenando m con información aleatoria. Firmar y codificar: I Nunca firmar un mensaje después de cifrarlo. Manuel Lucena (Dpto. Informática) 4d. Cifrados Asimétricos 6 de mayo de 2010 15 / 21 6 de mayo de 2010 16 / 21 Otros Algoritmos Asimétricos Índice Introducción Ataque de intermediario Algoritmo RSA Otros Algoritmos Asimétricos Criptografı́a Asimétrica de Curva Elı́ptica Manuel Lucena (Dpto. Informática) 4d. Cifrados Asimétricos Otros Algoritmos Asimétricos Algoritmo de Diffie-Hellman El Algoritmo de Diffie-Hellman I Propuesto en 1976 por W. Diffie y M. Hellman. I Descubierto algunos años antes por los servicios de inteligencia británicos (Malcolm J. Williamson), pero mantenido en secreto. I Permite acordar una información secreta por dos interlocutores no autentificados. Descripción I Interlocutores: A y B. I Información pública: p primo y α generador de Z∗p . Algoritmo: I 1. 2. 3. 4. A B B A genera un valor x aleatorio, y envı́a a B: αx (mód p). genera un valor y aleatorio, y envı́a a A: αy (mód p). calcula K = (αx )y (mód p). calcula K = (αy )x (mód p). Manuel Lucena (Dpto. Informática) 4d. Cifrados Asimétricos Otros Algoritmos Asimétricos 6 de mayo de 2010 17 / 21 Algoritmos de ElGamal y Rabin Algoritmos de ElGamal y Rabin Algoritmo de ElGamal I Diseñado inicialmente para firma digital, y extendido posteriormente para cifrado. I El tamaño del mensaje firmado o cifrado es aproximadamente el doble que el del mensaje original. Algoritmo de Rabin I Basado en el problema del residuo cuadrático. I El cifrado es muy simple: c = m2 (mód n). I El descifrado es más complejo. Se generan cuatro mensajes y hay que decidir cuál es el bueno. Manuel Lucena (Dpto. Informática) 4d. Cifrados Asimétricos 6 de mayo de 2010 18 / 21 Otros Algoritmos Asimétricos Algoritmo DSA Algoritmo DSA Digital Signature Algorithm I Propuesto por el NIST en 1991. I Variante del algoritmo de ElGamal. I Solo para generar y verificar firmas digitales. I Forma parte del protocolo DSS (Digital Signature Standard). I Diseñado para funcionar en conjunción con SHA-1. Manuel Lucena (Dpto. Informática) 4d. Cifrados Asimétricos 6 de mayo de 2010 19 / 21 6 de mayo de 2010 20 / 21 Criptografı́a Asimétrica de Curva Elı́ptica Índice Introducción Ataque de intermediario Algoritmo RSA Otros Algoritmos Asimétricos Criptografı́a Asimétrica de Curva Elı́ptica Manuel Lucena (Dpto. Informática) 4d. Cifrados Asimétricos Criptografı́a Asimétrica de Curva Elı́ptica Criptografı́a Asimétrica de Curva Elı́ptica I Adapta los algoritmos asimétricos al dominio de las curvas elı́pticas. I Reformula los algoritmos para convertir los problemas en Zn en problemas análogos en curvas elı́pticas finitas. I Casi todos los algoritmos asimétricos poseen una versión de curva elı́ptica. Cifrado de ElGamal sobre Curvas Elı́pticas I Sea p un punto de una curva elı́ptica. I Sea n el cardinal de hpi. Tomamos un entero x entre 1 y n − 1. I y = p x es sustituido por y = xp. I a = p k es sustituido por a = kp. I ... Manuel Lucena (Dpto. Informática) 4d. Cifrados Asimétricos 6 de mayo de 2010 21 / 21 Criptografı́a y Seguridad en Computadores Tema 4. Algoritmos de Cifrado. 5a Parte: Funciones Resumen Manuel J. Lucena López mlucena@ujaen.es Departamento de Informática Universidad de Jaén 25 de septiembre de 2008 Manuel Lucena (Dpto. Informática) 4e. Funciones Resumen 25 de septiembre de 2008 1 / 10 25 de septiembre de 2008 2 / 10 Funciones Resumen Índice Funciones Resumen Funciones MDC Funciones MAC Manuel Lucena (Dpto. Informática) 4e. Funciones Resumen Funciones Resumen Funciones Resumen I Útiles para verificar la integridad de los datos. I A partir de un mensaje de longitud arbitraria, generan resúmenes (hashes) de longitud fija. I Se produce una pérdida de información en el proceso, por lo que son funciones irreversibles. Tipos: I I I MAC: Emplean una clave para calcular la signatura. MDC: No hacen uso de ninguna clave. Manuel Lucena (Dpto. Informática) 4e. Funciones Resumen Funciones Resumen 25 de septiembre de 2008 3 / 10 Propiedades Propiedades de las Funciones Resumen 1. r (m) es de longitud fija, independientemente de la longitud de m. 2. Dado m, es fácil calcular r (m). 3. Dado m, resulta imposible obtener un m0 tal que r (m0 ) = r (m). I La idea es que cada mensaje tenga asociado un valor de r (m). I Aunque en teorı́a deben existir infinitos valores de m para un r (m), debe ser muy difı́cil encontrarlos. Propiedad adicional: I I Debe ser difı́cil encontrar un par (m, m0 ) tal que r (m) = r (m0 ). Manuel Lucena (Dpto. Informática) 4e. Funciones Resumen 25 de septiembre de 2008 4 / 10 Funciones MDC Índice Funciones Resumen Funciones MDC Funciones MAC Manuel Lucena (Dpto. Informática) 4e. Funciones Resumen Funciones MDC 25 de septiembre de 2008 5 / 10 Estructura Estructura de una Función MDC I Se basan en funciones de compresión. I El mensaje se trocea en bloques de igual tamaño. I De forma iterativa, los bloques se van combinando con los resultados anteriores. Estructura de una función MDC Manuel Lucena (Dpto. Informática) 4e. Funciones Resumen 25 de septiembre de 2008 6 / 10 Funciones MDC Algoritmos MD5 y SHA-1 Algoritmos MD5 y SHA-1 MD5 I Creado por Ron Rivest. I Genera hashes de 128 bits. I Procesa los mensajes en bloques de 512 bits. I Si el mensaje no es múltiplo de 512 bits, se alarga. I Cuatro rondas, con 16 operaciones cada una. SHA-1 I Desarrollado por la NSA como parte del DSS. I Procede del algoritmo SHA-0 I Genera resúmenes de 160 bits, troceando el mensaje en bloques de 512 bits. I Posee cuatro rondas, con 20 operaciones cada una. Manuel Lucena (Dpto. Informática) 4e. Funciones Resumen Funciones MDC 25 de septiembre de 2008 7 / 10 Seguridad de las funciones MDC Seguridad de las funciones MDC I Tanto MD5 como SHA-1 están en entredicho. I I Alternativas: Familia SHA-2, Whirlpool, ... El NIST ha convocado un proceso de selección de un nuevo algoritmo. I Colisión: par de mensajes (m, m0 ), tal que r (m) = r (m0 ). I Todos los MDC presentan colisiones. Tipos de estrategias para hallar colisiones: I I I De preimagen: A partir de m, se busca un m0 . De colisión: Se buscan pares (m, m0 ) arbitrarios. Los ataques de preimagen son mucho más peligrosos que los de colisión. Manuel Lucena (Dpto. Informática) 4e. Funciones Resumen 25 de septiembre de 2008 8 / 10 Funciones MAC Índice Funciones Resumen Funciones MDC Funciones MAC Manuel Lucena (Dpto. Informática) 4e. Funciones Resumen 25 de septiembre de 2008 9 / 10 Funciones MAC Funciones MAC I Emplean una clave secreta para calcular el resumen. I Permiten verificar tanto la integridad como el origen del mensaje. Tipos: 1. Basados en cifrados por bloques en modo CBC. 2. HMAC: Aplicar un MDC a un mensaje modificado al que se ha añadido la clave. Ejemplo: MD5(k ⊕ opad, MD5(k ⊕ ipad, m)) 3. Basados en generadores de secuencia. Manuel Lucena (Dpto. Informática) 4e. Funciones Resumen 25 de septiembre de 2008 10 / 10 Criptografı́a y Seguridad en Computadores Tema 5. Aplicaciones Criptográficas. 1a Parte: Protocolos Criptográficos Manuel J. Lucena López mlucena@ujaen.es Departamento de Informática Universidad de Jaén 17 de mayo de 2009 Manuel Lucena (Dpto. Informática) 5a. Protocolos 17 de mayo de 2009 1 / 20 17 de mayo de 2009 2 / 20 Protocolos de comunicación Segura Índice Protocolos de comunicación Segura El protocolo IPSec Protocolo SSL Protocolo TLS Protocolo SSH Manuel Lucena (Dpto. Informática) 5a. Protocolos Protocolos de comunicación Segura Protocolos versus Algoritmos Criptográficos I Cada algoritmo criptográfico permite garantizar uno o varios aspectos de seguridad. I Las aplicaciones modernas suelen requerir servicios de seguridad complejos. Un protocolo de seguridad: I I I I Proporciona un mecanismo concreto para usar un algoritmo criptográfico de forma correcta (inicialización, parámetros, modos de operación...). Frecuentemente involucra a más de un algoritmo. No depende de algoritmos en concreto, sino que éstos son intercambiables. Manuel Lucena (Dpto. Informática) 5a. Protocolos 17 de mayo de 2009 3 / 20 17 de mayo de 2009 4 / 20 Protocolos de comunicación Segura Protocolos de comunicación segura Proporcionan servicios de seguridad a diferentes niveles: Manuel Lucena (Dpto. Informática) 5a. Protocolos El protocolo IPSec Índice Protocolos de comunicación Segura El protocolo IPSec Protocolo SSL Protocolo TLS Protocolo SSH Manuel Lucena (Dpto. Informática) 5a. Protocolos 17 de mayo de 2009 5 / 20 El protocolo IPSec IPSec Protocolo IPSec I I Proporciona seguridad a nivel IP. Servicios: I I I Autentificación. Confidencialidad. Permite también gestionar las Claves Públicas. Aplicaciones: I Creación de redes privadas virtuales (VPN). I Acceso remoto seguro a la red de una compañı́a desde cualquier punto de Internet. Manuel Lucena (Dpto. Informática) 5a. Protocolos 17 de mayo de 2009 6 / 20 El protocolo IPSec ¿Cómo trabaja IPSec? Manuel Lucena (Dpto. Informática) 5a. Protocolos 17 de mayo de 2009 7 / 20 El protocolo IPSec Modos de funcionamiento de IPSec Modo Transporte I Proporciona seguridad a protocolos de capas superiores. I Se aplica únicamente a la carga útil (payload) de un paquete IP. Modo Túnel I Proporciona seguridad a nivel IP, encapsulando los paquetes. I Se aplica a todo el paquete, incluida la cabecera. Manuel Lucena (Dpto. Informática) 5a. Protocolos 17 de mayo de 2009 8 / 20 El protocolo IPSec Componentes de IPSec Protocolo ESP I Crea un encapsulado de carga útil de seguridad (ESP). I Soporta cifrado y cifrado+autentificación. Protocolo AH I Define una cabecera de autentificación (AH). I Sólo soporta autentificación. I IPSec también incorpora mecanismos especı́ficos para evitar ataques de repetición. Manuel Lucena (Dpto. Informática) 5a. Protocolos 17 de mayo de 2009 9 / 20 El protocolo IPSec Esquema general de documento IPSec IPSec viene definido por diversos documentos, relacionados entre sı́: Manuel Lucena (Dpto. Informática) 5a. Protocolos 17 de mayo de 2009 10 / 20 El protocolo IPSec Gestión de Claves en IPSec Tipos I Manual: El administrador configura las claves del sistema y añade las de los sistemas con los que se va a comunicar. I Automática: Permite la creación y distribución de claves bajo demanda. Protocolos I Oakley: Protocolo genérico basado en el algoritmo de Diffie-Hellmann. I ISAKMP: No basado en ningún algoritmo. Define los formatos de mensaje para intercambio de claves. Manuel Lucena (Dpto. Informática) 5a. Protocolos 17 de mayo de 2009 11 / 20 El protocolo IPSec Asociaciones de Seguridad (SA) en IPSec Definición de SA Relación unidireccional entre un emisor y un receptor que ofrece servicios de seguridad al tráfico que transporta. I Para un intercambio de datos bidireccional, se usan dos SA. I Una SA puede usar AH o ESP, pero no los dos a la vez. Parámetros que identifican una SA: I I I I Índice de Parámetros de Seguridad (SPI). Secuencia de bits asignada a la SA. Se coloca en las cabeceras AH o ESP. Dirección IP de destino. Identificador del protocolo de seguridad (AH o ESP). Manuel Lucena (Dpto. Informática) 5a. Protocolos 17 de mayo de 2009 12 / 20 El protocolo IPSec Parámetros de una Asociación de Seguridad I Contador de número de secuencia (32 bits). I Desbordamiento del contador de secuencia. I Ventana contra repeticiones. I Información AH (algoritmo empleado, claves, tiempos de vida, etc.) I Información ESP. I Tiempo de vida de la SA. I Modo de protocolo IPSec (túnel, transporte o comodı́n). I MTU del camino (tamaño de datos máximo que puede enviarse sin fragmentación). Manuel Lucena (Dpto. Informática) 5a. Protocolos 17 de mayo de 2009 13 / 20 17 de mayo de 2009 14 / 20 Protocolo SSL Índice Protocolos de comunicación Segura El protocolo IPSec Protocolo SSL Protocolo TLS Protocolo SSH Manuel Lucena (Dpto. Informática) 5a. Protocolos Protocolo SSL Protocolo SSL (Secure Sockets Layer) I Desarrollado por la empresa Netscape. I Se coloca por encima de la capa de transporte. Servicios: I I I Confidencialidad e integridad de la conexión. Autentificación de las entidades de origen/destino. I La capa del emisor fragmenta los mensajes, los comprime, cifra y envı́a. I Los paquetes son recogidos en destino, descifrados, descomprimidos, reensamblados y restituidos al destinatario de forma transparente. Manuel Lucena (Dpto. Informática) 5a. Protocolos 17 de mayo de 2009 15 / 20 Protocolo SSL Comunicación SSL Fase de establecimiento (handshaking) I Los interlocutores se autentifican mutuamente mediante certificados digitales. I Se acuerda qué algoritmos simétricos se emplearán y la longitud de las claves (normalmente, 40 o 128 bits). Fase de transferencia I Se acuerda una clave simétrica común. I Se transfieren los datos propiamente dichos. Manuel Lucena (Dpto. Informática) 5a. Protocolos 17 de mayo de 2009 16 / 20 Protocolo TLS Índice Protocolos de comunicación Segura El protocolo IPSec Protocolo SSL Protocolo TLS Protocolo SSH Manuel Lucena (Dpto. Informática) 5a. Protocolos 17 de mayo de 2009 17 / 20 Protocolo TLS Protocolo TLS (Transport Layer Security) I Basado en la versión 3.0 de SSL, aunque incompatible con el mismo. I Permite establecer comunicaciones seguras, e incluso anónimas. I A diferencia de SSL, puede reutilizar una conexión ya establecida, por lo que no necesita puertos dedicados. I Inmune a ataques de intermediario. Manuel Lucena (Dpto. Informática) 5a. Protocolos 17 de mayo de 2009 18 / 20 Protocolo SSH Índice Protocolos de comunicación Segura El protocolo IPSec Protocolo SSL Protocolo TLS Protocolo SSH Manuel Lucena (Dpto. Informática) 5a. Protocolos 17 de mayo de 2009 19 / 20 Protocolo SSH Protocolo SSH I Originalmente, se trataba de un producto comercial. I Actualmente, mantenido dentro del proyecto OpenBSD. Se ubica como una aplicación más, o sobre la capa de transporte. Desarrollado para proporcionar alternativas seguras a los servicios rlogin, telnet y rsh. En su versión 2, se ha convertido en un estándar de facto. Se emplea prácticamente todos los sistemas operativos *NIX y *BSD. I I I Servicios proporcionados I Acceso a consola (shell). I Copia segura de archivos (scp). I FTP seguro (sftp). I Tunelado de puertos TCP. I ... Manuel Lucena (Dpto. Informática) 5a. Protocolos 17 de mayo de 2009 20 / 20 Criptografı́a y Seguridad en Computadores Tema 5. Aplicaciones Criptográficas. 2a Parte: Autentificación Manuel J. Lucena López mlucena@ujaen.es Departamento de Informática Universidad de Jaén 17 de mayo de 2009 Manuel Lucena (Dpto. Informática) 5b. Autentificación 17 de mayo de 2009 1 / 13 17 de mayo de 2009 2 / 13 Introducción Índice Introducción Firmas Digitales Certificados Digitales Autentificación Mediante Funciones Resumen Manuel Lucena (Dpto. Informática) 5b. Autentificación Introducción Introducción Autentificar: Asegurar la autenticidad de algo. I En Informática, ese algo puede ser: 1. Un mensaje. 2. Un usuario. 3. Un dispositivo. I En función de qué queramos autentificar, las estrategias pueden ser muy diferentes. Manuel Lucena (Dpto. Informática) 5b. Autentificación 17 de mayo de 2009 3 / 13 17 de mayo de 2009 4 / 13 Firmas Digitales Índice Introducción Firmas Digitales Certificados Digitales Autentificación Mediante Funciones Resumen Manuel Lucena (Dpto. Informática) 5b. Autentificación Firmas Digitales Firmas Digitales I Secuencia de bits que se añade a una pieza de información cualquiera, y que puede verificarse de forma independiente del proceso de transmisión. Caracterı́sticas I Indisolublemente ligada al mensaje. I Sólo puede ser generada por el titular legı́timo. I Públicamente verificable. I La forma más común es la combinación de criptografı́a asimétrica con funciones MDC. Manuel Lucena (Dpto. Informática) 5b. Autentificación 17 de mayo de 2009 5 / 13 17 de mayo de 2009 6 / 13 Certificados Digitales Índice Introducción Firmas Digitales Certificados Digitales Autentificación Mediante Funciones Resumen Manuel Lucena (Dpto. Informática) 5b. Autentificación Certificados Digitales Certificados Digitales I Un certificado digital es una clave pública firmada digitalmente por una autoridad de certificación. I Certificados X.509: I I I I Uno de los estándares más extendidos. Sólo define la sintaxis, por lo que no depende de ningún algoritmo. Nombre del certificador, algoritmo de firma, perı́odo de validez, sujeto, clave pública del sujeto, etc. Revocación de certificados: I I Útil para anular claves públicas no válidas (pérdida, robo, etc.) Hacen falta listas de revocación de certificados (CRL). Manuel Lucena (Dpto. Informática) 5b. Autentificación Certificados Digitales 17 de mayo de 2009 7 / 13 Verificación Verificación I I Dos autoridades de certificación pueden estar certificadas por una tercera. Pueden surgir diferentes tipos de infraestructuras (PKI): I I I Jerárquicas. Distribuidas. Hı́bridas. Ejemplo de infraestructura jerárquica. Manuel Lucena (Dpto. Informática) 5b. Autentificación 17 de mayo de 2009 8 / 13 Certificados Digitales Verificación Infraestructuras Jerárquicas vs. Distribuidas Modelo Jerárquico I Estructura en árbol. I Pocos certificadores. Responsabilidad: alta. I Pocos caminos de certificación. I Una clave puede ser confiable o no confiable. I Fácil de justificar la confianza en una clave. Modelo Distribuido I Estructura en grafo. I Muchos certificadores. Responsabilidad: baja. I Múltiples caminos de certificación. I Diferentes grados de confianza para una clave. I Difı́cil calcular y justificar la confianza en una clave. Manuel Lucena (Dpto. Informática) 5b. Autentificación 17 de mayo de 2009 9 / 13 Autentificación Mediante Funciones Resumen Índice Introducción Firmas Digitales Certificados Digitales Autentificación Mediante Funciones Resumen Manuel Lucena (Dpto. Informática) 5b. Autentificación 17 de mayo de 2009 10 / 13 Autentificación Mediante Funciones Resumen Contraseñas Autentificación mediante Contraseñas I Permiten autentificar a un usuario humano, mediante una información (contraseña) que sólo éste conoce. Enfoques: I Almacenar las contraseñas en claro en el sistema. I I Válido para sistemas que tengan baja interacción. Almacenar resúmenes de las contraseñas. I Método usado en la mayorı́a de SS.OO. Manuel Lucena (Dpto. Informática) 5b. Autentificación Autentificación Mediante Funciones Resumen 17 de mayo de 2009 11 / 13 Contraseñas Ataques de diccionario I Un atacante genera un diccionario con posibles contraseñas, y calcula los resúmenes de todas ellas. I Obtiene los resúmenes del sistema objetivo y compara. I Estrategias para dificultar este ataque: I I I I I Añadir sal a las contraseñas. Obliga a recalcular la base de datos. Escoger contraseñas difı́ciles de predecir. Cambiar las contraseñas con frecuencia. No usar la misma contraseña en diferentes lugares. Custodiarlas adecuadamente. Manuel Lucena (Dpto. Informática) 5b. Autentificación 17 de mayo de 2009 12 / 13 Autentificación Mediante Funciones Resumen Autentificación por Desafı́o Autentificación por Desafı́o I Útil para validar dispositivos capaces de almacenar y mantener en secreto una clave secreta. I Puesto que el valor de X no se reutiliza, un ataque de repetición no resulta efectivo. Manuel Lucena (Dpto. Informática) 5b. Autentificación 17 de mayo de 2009 13 / 13