Sistemas criptográficos mixtos

Imgs/ciencias

La criptografa nuestra de cada da

Jose Galaviz Casas

Departamento de Matematicas,Facultad de Ciencias,

Universidad Nacional Autonoma de Mexico.

Enero de 2013

Jose Galaviz Casas (Facultad de Ciencias, UNAM) La criptografa nuestra de cada da Ene/2013 1 / 47

Imgs/ciencias

Contenido

1 Conceptos fundamentales

2 Criptografa simetrica

3 Criptografa de llave publica

4 Sistemas Mixtos

5 Conclusiones

6 Referencias


Imgs/ciencias

Sistema criptografico (elementos 1):

Un emisor del mensaje secreto.

Un receptor a quien va dirigido el mensaje y queesta autorizado a conocer los secretos contenidos en el.

Una entidad que pretende, sin autorizacion, conocer lossecretos: el enemigo.

Un canal de comunicacion inseguro por el que viaja elmensaje entre el emisor y el receptor y que suponemosintervenido por el enemigo.


Imgs/ciencias

Sistema criptografico (elementos 2):

El mensaje claro cuyo significado se desea hacer saber alreceptor.

El mensaje cifrado que viajara por el canal y cuyo contenidosecreto es el mismo que el del mensaje claro.

Un par de elementos, llamados claves o llaves, que permitenobtener el mensaje cifrado a partir del mensaje claro yviceversa.

Un algoritmo de cifrado que recibe como entrada el textoclaro y la clave de cifrado y obtiene el texto cifrado comosalida.

Un algoritmo de descifrado que recibe como entrada eltexto cifrado y la clave de descifrado y obtiene el texto clarooriginal.


Imgs/ciencias

Esquema general de un sistema criptografico


Imgs/ciencias

Anotaciones importantes:

La llave de cifrado y de descifrado puede ser la misma.

El algoritmo de cifrado y de descifrado puede ser el mismo.

La criptografa puede ser hecha por algo: algortmica.

El criptoanalisis debe ser hecho por alguien: heurstico.


Imgs/ciencias

Cifrado simetrico Vs. asimetrico

Si la llave de cifrado y de descifrado son la misma el sistemaes simetrico.

En caso contrario se denomina asimetrico.


Imgs/ciencias

Cifrados simetricos historicos

Cifrado de Cesar.

Vigene`re.

Enigma.

Cifrado de Vernam (One-time pad).


Imgs/ciencias

Cifrados simetricos modernos

AES (Advanced Encryption Standard, Rijndael).

DES (Data Encryption Standard, obsoleto).

3DES.

IDEA (International Data Encryption Algorithm).

Blowfish.

Twofish.


Imgs/ciencias

Criptoanalisis

Criptoanalisis diferencial (Biham y Shamir 1990). Es unataque de texto claro elegido. Se pretende deducir la claveobservando como las diferencias en textos claros de entrada semapean en diferencias en los textos cifrados de salida. Esdifcil cuanto mayor sea el numero de rondas de cifrado.

Criptoanalisis lineal (Matsui 1994). Es un ataque de textoclaro conocido. Consiste en construir un sistema de ecuacioneslineales que determinen la salida a partir de la entrada y laclave. Difcil en tanto la salida dependa no-linealmente de laentrada.


Imgs/ciencias

Resultados del criptoanalisis

En general, en los sistemas reales el criptoanalisis es muydifcil. Reduce un poco el exponente, en la cardinalidad de unespacio de busqueda exponencialmente grande respecto altamano de la clave.

El criptoanalisis se reduce, esencialmente, a un ataque defuerza bruta en un espacio de busqueda no mucho maspequeno que el original.


Imgs/ciencias

No todos los metodos son simetricos

Un ejemplo:

Cifrado de Hill: cifrado den-gramas (vectores de nletras).

Se aplica una transformacionlineal invertible.

No necesariamente la matrizde cifrado y de descifradoson iguales.

Pero teniendo una sepuede obtener facilmentela otra.

Hill

a = 0, b = 1, . . . , z = 25co sa (2, 14), (18, 0)Cifrando con:(

9 47 3

)Se obtiene:(22, 4), (6, 22) WE GWDescifrando con:( 3 4

7 9)

Se obtiene:

(2, 14), (18, 0) co sa


Imgs/ciencias

Imaginemos:

Un sistema con muchosusuarios.

Un directorio publico conuna clave de cifrado paracada usuario.

Todos pueden enviarmensajes cifrados a quiendeseen.

Pero solo el destinatariopuede descifrar sus mensajesusando su clave secreta (dedescifrado).


Imgs/ciencias

Se podra?

Si usamos criptografa simetricaesta canon.

Una llave por cada pareja deusuarios. Si hay n usuarios senecesitan n2 llaves.Cada llave de cifrado/descifradoes conocida por dos usuarios ycada uno debe almacenar nclaves diferentes, lo que debilitala seguridad.Cada pareja debe ponerse deacuerdo en una clave sin usar elcanal.


Imgs/ciencias

Que se necesita?

Necesitamos un sistema asimetrico.

En el que conocer la clave decifrado no sea muy util paracalcular la de descifrado.


Imgs/ciencias

Dos puntos de vista

Se podra, si podemos encontrarfunciones en las que ir en unsentido es facil e ir en sentidocontrario no: facil aplicar f , difcilaplicar f 1.Matematicamente: Una funcion esinvertible o no lo es, que significaeso de difcil de invertir?.

Es un concepto computacional, serefiere a la dificultad (complejidad)general de calcular el valor de lainversa.


Imgs/ciencias

Funciones de un solo sentido:

Ejemplo: rompecabezas.

Es difcil armarlo (preguntenle a miesposa).

Es muy facil desarmarlo(preguntenle a mi hija).


Imgs/ciencias

Pero no basta:

Idea: escribo un mensaje atras deun Ravensburger, armado, deN 103 piezas que me regalo uncuate; a quien envo luego deregreso su rompecabezasdesarmado, con la intencion de quelea el mensaje.

Un espa atrapa el rompecabezasen transito. Es difcil (inutil) que loarme.

Pero tambien para el destinatario.

Necesitamos algo mas...


Imgs/ciencias

Funciones de puerta de trampa:

... necesitamos un elemento extraque, si es conocido por alguien,haga que la inversa tambien seafacil de calcular.

Si mi cuate me regalo elrompecabezas con las piezasnumeradas en un patron peculiar ysolo el tiene ese patron listo!.

La puerta de trampa solo es facilde abrir si se conoce el truco.

La clave para descifrar es el patron.


Imgs/ciencias

Ejemplos de funciones de un solo sentido

Y eso... existen ejemplos utiles?

S, hasta ahora.

Logaritmo discreto en un campo finito (podra ser un grupo):

Es facil calcular n = rk, dados r y k.Pero en general no es facil calcular k tal que n = rk dados n yr. No en un campo finito. La solucion puede no existir.

Factorizacion en un campo.

Es facil obtener el producto de numeros primosn = p1 p2 . . . pk.Pero dado n, en general no es facil obtener sus factores primos.Aunque el teorema fundamental de la aritmetica garantiza queexisten. Es difcil hasta cuando solo hay dos factores primos.


Imgs/ciencias

Los pioneros...

...oficiales, de este lado del Atlantico:Whitfield Diffie, Martin Hellman, Ralph Merkle, Stanford, 1976.


Imgs/ciencias

Pinturas

Han visto un catalogo de pinturas?


Imgs/ciencias

Diffie-Hellman con botes de pintura


Imgs/ciencias

Protocolo de intercambio de llave de Diffie-Hellman

Alicia y Bernardo quieren ponerse de acuerdo en una clave secreta,sin que nadie se entere, usando el inseguro canal para comunicarse.

1 Alicia y Bernardo se ponen de acuerdo en un par de numeros:un primo grande p y una raz primitiva g Zp = Zp \ {0}. Sepueden poner de acuerdo a gritos en medio de sus enemigos(que no son sordos).

2 Alicia elige un entero aleatorio grande , con 0 < < p 1,y le enva a Bernardo: X = g (mod p).

3 Bernardo elige un entero aleatorio grande , con0 < < p 1, y le enva a Alicia: Y = g (mod p).

4 Alicia calcula K = Y (mod p).

5 Bernardo calcula K = X (mod p).K = K = g (mod p)


Imgs/ciencias

El criptoanalisis

Un espa conoce p, g, X, y Y. Para calcular K tendra que haceruna de dos cosas:

1 Obtener el logaritmo discreto de X o Y en base g modulo ppara obtener o , respectivamente, y poder calcularg (mod p).

2 Calcular g (mod p) de alguna manera diferente a la opcionanterior.

La conjetura de Diffie-Hellman es que la segunda opcion no esposible.As que la seguridad del protocolo estriba en que:

Creemos que calcular el logaritmo discreto es difcil.

Creemos que es el unico medio para conocer K.


Imgs/ciencias

Otro criptosistema importante: RSA

Ron Rivest, Adi Shamir, Leonard Adleman, MIT, 1977.


Imgs/ciencias

Preliminares:

1 Se eligen dos primos grandes (los hijos mayores de la taLucha) p y q aleatoriamente, con p distinto de q.

2 Se calcula n = pq.

3 Despues, elegimos una llave de cifrado e, que es un enteropositivo, primo relativo con (p 1)(q 1).

4 Una vez elegido e, calculamos la llave de descifrado privada,que es un entero positivo d tal que:

ed 1 (mod (p 1)(q 1))

lo que se hace usando el algoritmo extendido de Euclides. Esdecir, d es el inverso multiplicativo de e modulo(p 1)(q 1).


Imgs/ciencias

Llave publica, llave privada

La llave publica es la pareja (n, e).

La llave privada, que se mantiene secreta, es d.

Los valores de los primos p y q no deben revelarse, pero no esnecesario recordarlos.


Imgs/ciencias

RSA trabajando (cifrado):

Para cifrar un mensaje M, cuyo destinatario tiene llave publica(n, e), calculamos el valor del mensaje cifrado C mediante laformula:

C Me (mod n)Para descifrar, el destinatario del mensaje calcula

M Cd (mod n)

donde d es su llave privada. Resulta que M = M.


Imgs/ciencias

RSA trabajando (intercambio de llave):

1 Alicia le avisa a Bernardo que requiere ponerse de acuerdo conel en un secreto comun.

2 Bernardo le enva a Alicia su llave publica e. Conserva secretasu llave privada d.

3 Alicia genera un numero secreto aleatorio k y lo cifra usandola llave publica de Bernardo: s = ke. Enva esto a Bernardo.

4 Bernardo obtiene k = sd = ked = k.5 Ahora ambos conocen k y nadie mas.


Imgs/ciencias

Sistemas criptograficos simetricos: ventajas

Versatilidad. Se pueden implementar eficientemente confacilidad, tanto en hardware como en software: solo serequiere de operaciones sencillas de manejo de bits,permutaciones, corrimientos, xor, etc.

Alto rendimiento. Muy rapidos. 21.54 a 29.77 Gbits/seg[Su03, Yoo05]). En software dos ordenes de magnitud maslentos pero aun muy rapidos.

Claves relativamente cortas respecto a la longitud del textoclaro: cientos de bits.

Se pueden componer (iterar) para lograr cifrados mas fuertes.

Se conocen muy bien (en terminos generales) sus fortalezas ydebilidades.


Imgs/ciencias

Sistemas criptograficos simetricos: desventajas

La clave debe permanecer secreta y la poseen tanto el emisorcomo el receptor, as que debe haber doble garanta.

Difcil pensar en una red de multiples usuarios. A menos quehaya una entidad que reparta llaves, pero entonces estaentidad debe ser incondicionalmente confiable(Unconditionally Trusted Third Party). Porque sabe todo detodos.

Hay que cambiar claves con periodicidad para dificultar elcriptoanalisis por volumen de datos (lineal, p.ej.).


Imgs/ciencias

Sistemas criptograficos de llave publica: ventajas

Solo la llave privada debe permanecer secreta y solo la poseeuna persona.

Se puede pensar facilmente en una red de usuarios condirectorio publico de claves.

La entidad que reparte claves (publicas) puede tener un nivelde confiabilidad menor (Functionally Trusted Third Party), noconoce las llaves privadas.

La pareja (llave publica, llave privada) puede usarse porperiodos de tiempo mayores que en la criptografa simetrica(los ataques no son por volumen).

Es facil implementar un sistema de firmas digitales.

En un sistema con muchos usuarios se requiere derelativamente pocas llaves.


Imgs/ciencias

Sistemas criptograficos de llave publica: desventajas

La implementacion requiere de mucha infraestructuraadicional. Bibliotecas de manejo de enterotes con aritmeticamodular, pruebas de primalidad.

Mucho mas lentos que los simetricos: 40 Kbits/seg[Hadedy08].

El tamano de las llaves es mucho mayor (un orden demagnitud) al requerido por los sistemas simetricos paraobtener una seguridad comparable. Hay mas recursos teoricospara obtener atajos en el criptoanalisis (Vs. ataque de fuerzabruta en simetricos).

Sabemos menos de ellos, la seguridad se basa en el supuestode que hay problemas difciles y de que no hay modo de hacerlas cosas mas que por la ruta difcil.


Imgs/ciencias

Ventajas complementarias

Por que no pensar en juntarlos? resolver la distribucion de llavescon sistemas de llave publica y luego usar un sistema simetricopara la comunicacion efectiva.

As le hacemos todos los das.


Imgs/ciencias

TLS (antes SSL)

TLS: Transport Layer Security.

SSL: Secure Sockets Layer.

Version original de Taher El-Gamal (Netscape).

Version mas reciente: 1.2 agosto 2008 (RFC 5246, [TLS12]).Con refinamiento en marzo de 2011 (RFC 6176) para eliminarvulnerabilidades por compatibilidad con versiones previas.

Se monta sobre los servicios de transporte provistos por TCP.


Imgs/ciencias

Estructura general de TLS

Esta constituido por cuatro sub-protocolos:

Protocolo de saludo (Handshake).

Protocolo de registro.

Protocolo de alerta.

Protocolo de cambio de cifrado.

El primero se ejecutan cuando se establece la sesion. Los dosultimos cuando hay cambios durante ella.


Imgs/ciencias

Operacion de TLS

Durante el saludo, el cliente y el servidor se ponen de acuerdoen una llave secreta comun.

Se puede usar Diffie-Hellman o RSA.

La llave sera usada en el protocolo de registro paraintercambiar mensajes cifrados con un sistema simetrico(AES, 3DES, RC4, IDEA).

El el protocolo de registro ademas se garantiza la integridadde los mensajes con una funcion hash (SHA, por ejemplo).


Imgs/ciencias

Secure Shell

Permite la realizacion de sesiones de trabajo en computadorasremotas en las que el usuario esta registrado.

Tambien usa el protocolo de Diffie-Hellman para elintercambio de la llave (es el unico mecanismo especificadocomo obligatorio por el estandar).


Imgs/ciencias

Estructura general de SSH

En SSH tambien hay varios sub-protocolos:

El protocolo de transporte, encargado de autentificacion delservidor, confidencialidad y, opcionalmente, compresion dedatos.

El protocolo de autentificacion de usuario, se encarga devalidar al usuario que pretende entrar en sesion en un sistemaremoto.

El protocolo de conexion, que es el encargado de latransmision de datos cifrados en algun mecanismocriptografico simetrico.


Imgs/ciencias

Operacion de SSH (1)

Cuando un usuario trata de hacer una conexion mediante SSHdesde su maquina local a alguna otra maquina en la que tienecuenta, el protocolo de transporte se encarga de validar al servidor.

La primera vez que entran en contacto la maquina A y lamaquina B ejecutan Diffie-Hellman y se ponen de acuerdo enuna llave para usar un metodo simetrico.

Esta es almacenada para futuras conexiones. La proxima vezque A quiera hablar con B tratara de hacerlo usando la llaveen la que ya se haban puesto de acuerdo.

Si esta llave fue borrada, A y B deben volver a ejecutarDiffie-Hellman para establecer una nueva.


Imgs/ciencias

Operacion de SSH (2)

Una vez establecida la llave de sesion, el protocolo deautentificacion de usuario entra en accion para verificar que elusuario de A es tambien un usuario legal de B.

El protocolo de conexion se encarga del resto de lacomunicacion cifrada entre A y B: (AES, 3DES, IDEA,Serpent, Twofish).


Imgs/ciencias

El ataque del intermediario (man in the middle)

A quiere hablar con B.

Otro anfitrion C se interpone haciendose pasar por B

C finge que ha perdido la llave de sesion en la que se habanpuesto de acuerdo en el pasado A y B

A y C ejecutan Diffie-Hellman para determinar una nuevallave.

Opcionalmente C puede hacerse pasar por A ante B y hacerlos mismo.

TLS es susceptible, a menos que haya una entidad decertificacion.

En la version 2 de SSH se informa al usuario si la maquinainterlocutora dice desconocer la llave previamente acordada.El usuario decide si se continua con Diffie-Hellman o no.


Imgs/ciencias

Conclusiones

Lo publico debe hacerse publico ylo privado debe permanecerprivado, lo uno alejado de lo otro,mezclar las cosas siempre da lugara conflictos innecesarios

SilvioBerlusconi. Fail!

De la mezcla resulta unacombinacion de exquisitascualidades, se resaltan las masnobles caractersticas de cada unoy se logra el equilibrio perfecto.Publicidad de cafe TastersChoice de Nestle. Cool!


Imgs/ciencias

Conclusiones

Lo publico debe hacerse publico ylo privado debe permanecerprivado, lo uno alejado de lo otro,mezclar las cosas siempre da lugara conflictos innecesarios SilvioBerlusconi.

Fail!



Imgs/ciencias

Conclusiones

Lo publico debe hacerse publico ylo privado debe permanecerprivado, lo uno alejado de lo otro,mezclar las cosas siempre da lugara conflictos innecesarios SilvioBerlusconi. Fail!



Imgs/ciencias

Conclusiones


De la mezcla resulta unacombinacion de exquisitascualidades, se resaltan las masnobles caractersticas de cada unoy se logra el equilibrio perfecto.

Publicidad de cafe TastersChoice de Nestle. Cool!


Imgs/ciencias

Conclusiones


De la mezcla resulta unacombinacion de exquisitascualidades, se resaltan las masnobles caractersticas de cada unoy se logra el equilibrio perfecto.Publicidad de cafe TastersChoice de Nestle.

Cool!


Imgs/ciencias

Conclusiones




Imgs/ciencias

Conclusiones

Libros en Amazon: $120.00 USD,Boletos para los Red Hot ChiliPeppers: $1200.00, camiseta yaccesorios ThinkGeek $94.00 USD.Que nadie se entere del numero detu MasterCard, no tiene precio

.


Imgs/ciencias

Conclusiones

Libros en Amazon: $120.00 USD,

Boletos para los Red Hot ChiliPeppers: $1200.00, camiseta yaccesorios ThinkGeek $94.00 USD.Que nadie se entere del numero detu MasterCard, no tiene precio

.


Imgs/ciencias

Conclusiones

Libros en Amazon: $120.00 USD,Boletos para los Red Hot ChiliPeppers: $1200.00,

camiseta yaccesorios ThinkGeek $94.00 USD.Que nadie se entere del numero detu MasterCard, no tiene precio

.


Imgs/ciencias

Conclusiones

Libros en Amazon: $120.00 USD,Boletos para los Red Hot ChiliPeppers: $1200.00, camiseta yaccesorios ThinkGeek $94.00 USD.

Que nadie se entere del numero detu MasterCard, no tiene precio

.


Imgs/ciencias

Conclusiones

Libros en Amazon: $120.00 USD,Boletos para los Red Hot ChiliPeppers: $1200.00, camiseta yaccesorios ThinkGeek $94.00 USD.Que nadie se entere del numero detu MasterCard, no tiene precio.


Imgs/ciencias

Referencias

[TLS12] Dierks, T. y E. Rescorla, The TLS Protocol Version 1.2,RFC5246, Network Working Group, Internet Engineering Task Force(IETF), agosto 2008. http://tools.ietf.org/html/rfc5246.

[SSH06] Ylonen, T. y C. Lonvick, SSH Transport Layer Protocol,RFC4251, Network Working Group, Internet Engineering Task Force(IETF), enero 2006, http://tools.ietf.org/html/rfc4251.


Imgs/ciencias

Referencias

[Hadedy08] El-Hadedy, M., D. Gligoroski y S.J. Knapskog, HighPerformance Implementation of a Public Key Block Cipher - MQQ,for FPGA Platforms, RECONFIG 08, Proceedings of the 2008International Conference on Reconfigurable Computing and FPGAs,IEEE Computer Society, 2008, pp. 427-432.

[Yoo05] Yoo, S.M., D. Kotturi, D.W. Pan y J. Blizzard, An AEScrypto chip using a high-speed parallel pipelined architecture,Microprocessors and Microsystems, Elsevier, 29, 2005, pp. 317-326.(doi:10.1016/j.micpro.2004.12.001).

[Su03] Su, C.P., T.F. Lin, C.T. Huang y C.W. Wu, Ahigh-throughput low-cost AES processor, IEEE Commun. Mag, 42(12), 2003, pp. 86?91.


Conceptos fundamentalesCriptografa simtricaCriptografa de llave pblicaSistemas MixtosConclusionesReferencias

Sistemas criptográficos mixtos

Documents

Transcript of Sistemas criptográficos mixtos