3.criptografia_p.pdf

7/25/2019 3.Criptografia_p.pdf

1/57

Seguridad en Tecnologas de la Informacion

Tema 3Criptografa Basica

Manuel J. Lucena [email protected]

Departamento de InformaticaUniversidad de Jaen

19 de enero de 2014

Manuel Lucena (Dpto. Informatica) 3. Criptografa Basica 19 de enero de 2014 1 / 57


2/57

Introduccion

Indice

Introduccion

Criptografa Clasica

Cifrados por Bloques

Cifrados de Flujo

Funciones Resumen

Criptografa Asimetrica



3/57

Introduccion

Que es la Criptografa?

Definicion (Diccionario de la Real Academia):

Arte de escribir con clave secreta o de un modo enigmatico

La necesidad de transmitirinformacion corre paralela con la de

protegerla. Hace anos que dejo de ser un considerada un arte.

Conjunto de tecnicas que tratan sobre la proteccion ocultamiento frentea observadores no autorizados de la informacion.

Disciplinas: Teora de la Informacion, Aritmetica Modular,

Complejidad Algortmica, etc.Manuel Lucena (Dpto. Informatica) 3. Criptografa Basica 19 de enero de 2014 3 / 57


4/57

Introduccion

Objetivo de la Criptografa

Proteccion de la Informacion

Alterar la informacion para que aquellos que pretendan recuperarla sinla debida autorizacion, se enfrenten a un problema intratable.

La autorizacion suele ser una pieza de informacion llamada clave.

Preservacion de la Integridad de la Informacion

Deteccion de posibles alteraciones.

Certificacion del origen de la misma = Firma Digital.



5/57

Introduccion

Quenoes Criptografa?

Seguridad a traves de la oscuridad

Si mantenemos en secreto nuestras tecnicas de cifrado, seran masseguras.Falso.

Cualquier persona o equipo es capaz de disenar un sistema que elmismo no sea capaz de romper.

Es necesario que las tecnicas de cifrado sean conocidas.

Al atacantehay que suponerle un conocimiento completo del sistema. Desconfiar de solucionessecretas o milagrosas...



6/57

Introduccion

Numeros Grandes

Probabilidad de ser fulminado por un rayo (por da): 1 entre 9.000.000.000 (233).

Probabilidad de ganar la Lotera Primitiva: 1 entre 13.983.816 (223).

Probabilidad de ganar la Primitiva y caer fulminado por un rayo el mismo da: 1 entre 256.

Edad del Planeta Tierra: 109 (230) anos. Edad del Universo: 1010 (234) anos.

Un ano: 244 millonesimas de segundo.

Numero de atomos en el Planeta Tierra: 1051 (2170).

Numero de atomos en la Va Lactea: 1067 (2223).

Numero de atomos en el Universo (excl. materia oscura): 1077 (2255).


I d i C i i


7/57

Introduccion Criptosistemas

Definicion de Criptosistema

Criptosistema:

Quntupla (M,C,K, E,D), donde: M: Conjunto de todos los posibles mensajes m sin cifrar (texto claro).

C: Conjunto de todos los posibles mensajes cifrados c, ocriptogramas.

K: Conjunto de claves que se pueden emplear en el criptosistema. E: Conjunto de transformaciones de cifrado. Existe una

transformacion diferente Ekpara cada valor posible de la clave k.

D: Conjunto de transformaciones de descifrado.

Todo criptosistema ha de cumplir:

Dk(Ek(m)) =m


I t d i C i t i t


8/57


Tipos de Sistemas Criptograficos

Simetricos (o de llave privada)

Emplean la misma clave ktanto para cifrar como para descifrar.

Problema: distribucion de claves.

Asimetricos (o de llave publica)

Emplean una doble clave (kp, kP).

kpse conoce como clave privada y kPse conoce como clave publica.

Una de ellas sirve para cifrar, y la otra para descifrar. No solo permiten cifrar la informacion, sino firmarla digitalmente.




9/57


Criptoanalisis

Consiste en descifrar uno o mas mensajes sin conocer la clavecorrespondiente (romperel criptosistema).

Posibilidades: Descifrar mensajes sin hacer uso de la clave. Recuperar la clave a partir de un numero de mensajes cifrados.

Nose considera criptoanalisis: Probar todas las posibles claves (fuerza bruta). Descubrir el algoritmo de cifrado, cuando este era secreto.

Ataque

Un ataquees cualquier tecnica que nos permite romper un criptosistemamas rapido que mediante la fuerza bruta.




10/57


Compromiso entre Criptosistema y Criptoanalisis

Practicamentetodos los criptosistemas pueden ser rotos con el suficienteesfuerzo computacional.

Cuanto mas complejo es un algoritmo de cifrado, mas costosa es suimplantacion.

No es lo mismo proteger una informacion efmera, que otra a maslargo plazo.

Se busca uncompromisoentre el coste (economico, computacional,de almacenamiento...) del criptosistema y el coste necesario pararomperlo.

Hoy da disponemos de algoritmos cuyo coste de rotura excede al dela capacidad de computo existente en el planeta.


Introduccion Confusion y Difusion


11/57

Introduccion Confusion y Difusion

Confusion y Difusion

Confusion

Oculta la relacion entre el texto claro y el criptograma.

Operacion basica:sustitucion.

Difusion

Diluye la redundancia del texto claro repartiendola a lo largo del textocifrado.

Operacion basica: transposicion.


Criptografa Clasica


12/57

Criptografa Clasica

Indice

Introduccion

Criptografa Clasica


Cifrados de Flujo

Funciones Resumen



Criptografa Clasica


13/57

p g

La Criptografa Clasica

Abarca desde los inicios de la escritura hasta la II Guerra Mundial.

Caractersticas

Comprende tecnicas de cifrado que pueden ser ejecutadas a mano.

Considerada en ocasiones como un pasatiempo o un reto intelectual.

Sus algoritmos pueden rompersecon recursos computacionalesrelativamente modestos, segun los estandares actuales.

Empleada por Julio Cesar, Leonardo Da Vinci, Edgar Allan Poe,Arthur Conan Doyle, Francis Bacon, etc.


Criptografa Clasica Cifrados de Sustitucion


14/57

g

Cifrados de Sustitucion

Se basan en cambiar unos smbolos del alfabeto por otros:confusion.

Tipos

Monoalfabeticos: la sustitucion es siempre la misma, a lo largo detodo el texto.

Polialfabeticos: la sustitucion de cada smbolo depende de su posicionen el texto claro.

Dispositivo de cifrado monoalfabetico empleado por elEjercito Confederado de los EE.UU.

Cifrado monoalfabetico dibujado por Conan Doyle paraThe adventure of the dancing men.


Criptografa Clasica Cifrados de Sustitucion


15/57

Tipos de cifrados de sustitucion

Monoalfabeticos

Cesar. Desplazarse una cantidad fija de posiciones en el alfabeto.

Sustitucion afn. ci=a mi+b.

General. La correspondencia entre alfabetos es arbitraria.

Polialfabeticos

Vigenere. Se aplican n cifrados monoalfabeticos de forma cclica.

Criptoanalisis: a partir de la redundancia del idioma correspondiente.


Criptografa Clasica Cifrados de Transposicion


16/57

Cifrados de Transposicion

Se basan en cambiar de lugar los smbolos del mensaje:difusion.

Ejemplo: el Escitalo.

Normalmente, se toma el mensaje en bloques de n smbolos y sereordena de alguna forma.

Texto claro: El perro de San Roque no tienerabo.

Clave: {3, 2, 5, 1, 4}. Texto cifrado: Osonealr r irednu eoere et p

aqonb.

1 2 3 4 5E L P ER R O DE S A N

R O Q UE N OT I E N E

R A B O


Criptografa Clasica Maquinas de Rotores


17/57

La Maquina Enigma

Inventada en 1923 por Arthur Scherbius. Adoptada por el ejercito del III Reich durante la II Guerra Mundial.

La claveviene dada por la posicion inicial de una serie de rotores.

Maquina Enigma Rotor de una Enigma




18/57

Funcionamiento de Enigma

Tres rotores moviles.

Un reflector.

Rotores y reflector llevan contactos

internamente. Al pulsar una tecla, se forma un circuito

que ilumina una letra.

Los rotores giran tras cada pulsacion.

La posicion no se repite hasta habertecleado 263 = 17,576 caracteres.




19/57

Mejoras a Enigma

Se hicieron diversas mejoras: aumento del numero de rotores, rotores

intercambiables, etc. El clavijero o stecker:

Detalle del clavijero (stecker).

Intercambia hasta diez caracteres antes y despues de los rotores.

Aumenta hasta 1017 el numero de posibles claves.




20/57

La Bomba de Turing

Ideada por Alan Turing, basandose en el ciclometrode Rejewsky, Rozycki y Zygalski

Formada por muchas maquinas Enigmaencadenadas, lo que anulaba el stecker.

Necesitaba del empleo de pivotes.

Enigma no puede codificar una letra en s misma.


Criptografa Clasica El cifrado de Lorenz


21/57

El Cifrado de Lorenz

Se haca con la maquina SZ40, mas compleja que Enigma.

Permita codificar teletipos. Rotopor Colossus, el primer ordenador programable, disenado por el

Dr. Tommy Flowers.

Maquina de Lorenz Colossus




22/57

Indice

Introduccion

Criptografa Clasica


Cifrados de Flujo

Funciones Resumen





23/57


Algoritmos de Cifrado por Bloques

Dividen el mensaje en bloques de igual tamano, y los cifran por separado.

Para hacer un buen sistema de cifrado, la sustitucion sera suficiente.

Sin embargo, codificar tablas de sustitucion grandes es complicado.

En la practica, se mezclan operaciones de sustitucion con otras detransposicion.

Cifrado de Producto Combinacion mas o menos compleja de operaciones simples de

sustitucion y transposicion.

Estructura denominada red de sustitucion-permutacion.



24/57



25/57

S-Cajas

Son la unidad basica desustitucion. Una S-Caja de m n bits tiene m bits de entrada y n bits de salida.

m puede ser menor, mayor o igual que n.

Ejemplos de S-Caja individual y de agrupacion de S-Cajas.




26/57

El algoritmo DES

DES: Data Encryption Standard.

Estandar para documentos no clasificados en EE.UU. desde 1976

hasta finales de los 90. Longitud de bloque: 64 bits. Longitud efectiva de clave: 56 bits.

Estructura: Red de Feistel con 16 rondas.

Una permutacion inicial y otra final, inversa de la primera.




27/57

Algoritmo AES

Tambien conocido como Rijndael.

Adoptado por el NIST como sucesor de DES.

Tamano de bloque y clave variables, entre 128 y 256 bits.

Usa una S-Caja 8 8.

Estructura

Disenado expresamente para resistir a los criptoanalisis lineal ydiferencial.

Cada ronda: cuatro funciones invertibles, organizadas en tres capas:

1. Mezcla Lineal: DesplazarFila y MezclarColumnas.2. Capa no Lineal: S-Caja 8 8 (funcion ByteSub).3. Adicion de clave: Or-exclusivo.


Cifrados por Bloques Modos de Operacion


28/57

Modos de Operacion

Un mensaje tpico es mas largo que un bloque. Si el mensaje no ocupa un numero exacto de bloques, hay que rellenar

el ultimo (padding):

Cifrar cada bloque de forma independiente no es siempre lo mejor.

Hay diversas estrategias, llamadasModos de Operacion.




29/57

Modo ECB

Modo ECB (Electronic Code Book)

Cada bloque se cifra de forma independiente.

Interesante para cifrar ficheros de acceso aleatorio. Un atacante puede realizar inserciones, sustituciones, permutaciones y

eliminaciones.

Pueden detectarse patrones repetitivos en el mensaje.




30/57

Modo CBC

Modo CBC(Cipher Block Chaining Mode)

Los bloques estan encadenados. Se usa un vector de inicializacion. Dos mensajes que difieran en un bit se cifran igual hasta el bloque en

el que este ese bit.

Si falla el descifrado de un bloque, se pierde el siguiente.

Impide eliminaciones, inserciones, permutaciones y sustituciones.




31/57

Modo CFB

Modo CFB (Cihper-Feedback)

Cada bloque se cifra y se combina con el siguiente bloque del mensajeoriginal.

En el cifrado, cada bloque afecta a todos los siguientes.

Si se produce un error en el descifrado, tiene alcance limitado.

Puesto que el paso final es un XOR entre Mi y Ci, este puede hacersea trozos.


Cifrados de Flujo


32/57

Indice

Introduccion

Criptografa Clasica


Cifrados de Flujo

Funciones Resumen



Cifrados de Flujo


33/57

Cifrados Inexpugnables

Criptosistema Seguro de Shannon

Resulta imposible de romper incluso frente a un atacante concapacidades de computo (memoria y procesamiento) infinitas

No suelen resultar practicos: la clave debe ser al menos tan largacomo el mensaje.

Ejemplo: One-time pads(cuadernos de un solo uso), empleados en la

I Guerra Mundial.


Cifrados de Flujo

C f


34/57

Los Cifrados de Flujo

Tratan de imitar el cifrado de Vernam, que es Seguro de Shannon. Generan una secuencia de longitud igual al mensaje, y la combinan

con este.ci=mi oi

El destinatario regenera la secuencia a partir de la misma semilla yrecupera el mensaje original.

El generador de secuencia debe ser criptograficamente aleatorio.

El estudio de los cifrados de flujo se reduce al estudio de los generadoresde secuencia.


Cifrados de Flujo

Al i d i d i


35/57

Algoritmos de generacion de secuencia

RC4

Desarrollado por Rivest en 1987.

Emplea una S-caja 8 8 dinamica.

Genera una secuencia de bytescon claves de hasta 2048 bits.

SEAL

Rogaway y Coppersmith (1993).

Extremadamente rapido.

Define una familia de funciones pseudoaleatorias, que combina paragenerar la secuencia.

Tiene una fase de calculo previa compleja, basada en SHA.


Cifrados de Flujo

G i d i d if d bl


36/57

Generacion de secuencias a traves de cifrados por bloques

Modo de operacion OFB (Output-Feedback)

Genera secuencias empleando algoritmos de cifrado por bloques.

Se usa una clave Ky un vector de inicializacion (V.I.).


Funciones Resumen

I di


37/57

Indice

Introduccion

Criptografa Clasica


Cifrados de Flujo

Funciones Resumen



Funciones Resumen

F i R


38/57

Funciones Resumen

Utiles para verificar la integridad de los datos.

A partir de un mensaje de longitud arbitraria, generan resumenes

(hashes) de longitud fija. Se produce unaperdida de informacionen el proceso, por lo que son

funciones irreversibles.

Tipos: MAC: Emplean una clave para calcular la signatura. MDC: No hacen uso de ninguna clave.


Funciones Resumen Propiedades

P i d d s d l s F i s R s


39/57

Propiedades de las Funciones Resumen

1. r(m) es de longitud fija, independientemente de la longitud de m.

2. Dado m, es facil calcular r(m).

3. Dado m, resulta imposible obtener un m tal que r(m) =r(m).

La idea es que cada mensaje tenga asociado un valor de r(m).

Aunque en teora deben existir infinitos valores de m para un r(m),debe ser muy difcil encontrarlos.

Propiedad adicional: Debe ser difcil encontrar un par (m, m) tal que r(m) =r(m).


Funciones Resumen Funciones MDC

Estructura de una Funcion MDC


40/57

Estructura de una Funcion MDC

Se basan en funciones de compresion. El mensaje se trocea en bloques de igual tamano.

De forma iterativa, los bloques se van combinando con los resultadosanteriores.

Estructura de una funcion MDC


Funciones Resumen Algoritmos MD5 y SHA-1

Algoritmos MD5 y SHA 1


41/57

Algoritmos MD5 y SHA-1

MD5

Creado por Ron Rivest (1991). Genera hashesde 128 bits.

Procesa los mensajes en bloques de 512 bits.

Si el mensaje no es multiplo de 512 bits, se alarga.

Cuatro rondas, con 16 operaciones cada una.

SHA-1

Desarrollado por la NSA en 1995 como parte del DSS.

Procede del algoritmo SHA-0 (1993). Resumenes de 160 bits, troceando el mensaje en bloques de 512 bits.

Cuatro rondas, con 20 operaciones cada una.

Se conocen colisiones para MD5 y SHA-0. SHA-1 se considera roto.Manuel Lucena (Dpto. Informatica) 3. Criptografa Basica 19 de enero de 2014 41 / 57

Funciones Resumen SHA-2

Familia SHA 2


42/57

Familia SHA-2

Cuatro algoritmos, publicados por el NIST en 2001.

Sustituyen a SHA-1.

Resumenes de 224, 256, 384 y 512 bits.

Estructura parecida a SHA-1.

No se les conocen vulnerabilidades, pero se recomienda buscaralternativas.


Funciones Resumen SHA-3

Algoritmo Keccak (SHA 3)


43/57

Algoritmo Keccak (SHA-3)

Ganador del proceso iniciado en 2007 por el NIST para reemplazarSHA-2.

Mantiene un vector de estado de 5 5 palabras de 64 bits.

La funcion de mezcla consiste en 24 iteraciones.

Cada iteracion emplea bits de paridad, rotaciones, permutaciones yor-exclusivo.

Estructurade esponja, que permite aumentar su resistencia a ataques.

Se toman (absorben) rbits de la entrada y se combinan con los

primerosrbits del vector de estado mediante or-exclusivo. Se aplica la funcion de mezcla. Se extraen (exprimen) n bits. n es la mitad del numero de bits del vector de estado que quedan sin

combinar.


Funciones Resumen Seguridad de las funciones MDC

Seguridad de las funciones MDC


44/57

Seguridad de las funciones MDC

Colision: par de mensajes (m,m), tal que r(m) =r(m).

Todoslos MDC presentancolisiones. Tipos de estrategias para hallar colisiones:

Depreimagen: A partir de m, se busca un m. Decolision: Se buscan pares (m, m) arbitrarios.

Los ataques de preimagen son mucho mas peligrosos que los de colision.


Funciones Resumen Funciones MAC

Funciones MAC


45/57

Funciones MAC

Emplean una clave secreta para calcular el resumen. Permiten verificar tanto la integridad como el origen del mensaje.

Tipos:

1. Basados en cifrados por bloques en modo CBC.2. HMAC: Aplicar un MDC a un mensaje modificado al que se ha

anadido la clave. Ejemplo:

MD5(k opad,MD5(k ipad, m))

3. Basados en generadores de secuencia.



Indice


46/57

Indice

Introduccion

Criptografa Clasica


Cifrados de Flujo

Funciones Resumen




La Criptografa Asimetrica


47/57

La Criptografa Asimetrica

Introducida por Diffie y Hellman a mediados de los 70. Las claves no son unicas, sino que formanpares.

Si una cifra,la otra descifra, y viceversa. Una se hace publica, y la otra se mantiene en secreto.

El mas extendido es RSA. Rivest, Shamir y Adleman (1977).

Las longitudes tpicas de clave que se consideran seguras son muchomayores que las de los algoritmos simetricos.

Sus algoritmos son mas lentos que los simetricos. Metodos de cifradohbridos.


Criptografa Asimetrica Aplicaciones

Aplicaciones de la Criptografa Asimetrica


48/57


Cifrado tradicional:

La clave publica del destinatario se usa para cifrar. Problema de ladistribucion de claves: Resuelto.


Criptografa Asimetrica Aplicaciones



49/57

p p g

Autentificacion:

La clave privada del remitente se usa para cifrar.


Criptografa Asimetrica Ataque de intermediario

Ataques de intermediario


50/57

q

Un atacanteC

se situa entreA

yB

. C roba la clave publica de By la sustituye por la suya.

Cuando Aquiere enviar un mensaje, emplea la clave de C, en lugar dela de B.


Criptografa Asimetrica Ataque de intermediario

Como evitar los ataques de intermediario?


51/57

q

Resultaimposible.

Se pueden reducir riesgos, si una entidad de confianzafirma las clavespublicas Certificado Digital.


Criptografa Asimetrica Problemas Difciles

Problemas Difciles


52/57

Logaritmo Discreto

Problema inverso a la exponenciacion. Dados a,b, n Z, encontrar ctal que:

a bc (mod n).

Factorizacion

Problema inverso al de la multiplicacion. Dado n Zcompuesto,encontrar 1


53/57

Propuesto en 1976 por W. Diffie y M. Hellman.

Descubierto algunos anos antes por los servicios de inteligenciabritanicos (Malcolm J. Williamson), pero mantenido en secreto.

Permite acordar una informacion secreta por dos interlocutores noautentificados.

Descripcion

Interlocutores: A y B.

Informacion publica: pprimo y generador de Zp. Algoritmo:

1. A genera un valor x aleatorio, y enva a B: x (mod p).2. Bgenera un valor y aleatorio, y enva a A: y (mod p).3. B calcula K= (x)y (mod p).4. A calcula K= (y)x (mod p).


Criptografa Asimetrica Algoritmo RSA

El algoritmo RSA


54/57

Desarrollado por R. Rivest, A. Shamir y L. Adleman (1977). Uno de los mas sencillos, seguros y faciles de entender.

Se apoya en el Logaritmo Discreto y en la dificultad para factorizarnumeros enteros.

Generacion de claves

n=p q, con p, qprimos.

e, primo relativo con (p 1)(q 1).

d e1 (mod (p 1)(q 1)). Clave publica: KP= (e, n).

Clave privada: Kp= (d, n).



Cifrado y descifrado en RSA


55/57

Cifrado: c=me

(mod n). Descifrado: m=cd (mod n).

Justificacion:

cd = (me)d =med =mk(p1)(q1)+1 = (mk)(p1)(q1) m

cd m (mod n)

Factorizacion:Para conocer da partir de (e, n), debera factorizar n. Logaritmo Discreto: Podemos cifrar un m arbitrario y obtener

c=me. Luego,d= logc(m)



Seguridad de RSA


56/57

Resolviendo la factorizacion o el logaritmo discreto, RSA quedararoto.

No esta demostrado que no exista otro metodo para romper RSA, sin

necesidad de factorizar o resolver logaritmos.

Puede plantearse un ataque a la funcion (n).

Si po qno son primos, el algoritmo no funciona.

Conviene utilizarlo segun las recomendaciones, pues variaciones

aparentemente inocuas pueden volverlo completamente inseguro.



57/57

3.criptografia_p.pdf

Documents