Ingeniería en Informática

Transcripción

1 Ingeniería en Informática Criptografía 24 de Noviembre de 2006 APELLIDOS: En el siguiente test cada respuesta correcta aporta 2 resta 1 6 puntos. NOMBRE: puntos, mientras que cada respuesta fallida 1. Trabajando en Z 26 y con clave K = (7, ) para el cifrado afín. El descifrado de 1 es: Se cifra un texto binario x = x 1 x l del siguiente modo: x se divide en n bloques de 6 bits, efectuando un relleno del último bloque fuera necesario, x = X 1... X n Y i = X i K con K = Retorna y = Y 1... Y n (y es el cifrado de x). Se trata de un cifrado por sustitución monoalfabética. Se trata de un cifrado por sustitución polialfabética. Se trata de un cifrado por transposición. Se trata de un cifrado por una composición de sustitución y transposición.. Sea C un criptograma correspondiente al cifrado de un texto en español mediante Vigenère. En la siguiente tabla expresamos los anagramas que aparecen repetidos a lo largo de C y la distancia a la que se encuentran las repeticiones. La longitud más probable de la clave será: Anagrama distancia. PQMI 11 QAWA 22 ASJU 110 BLVE QOSO 0 4. Un criptoanalista ha calculado el índice de coincidencia mutuo de dos criptogramas C 1 y C 2 resultando mucho menor que el índice de coincidencia de cada uno de ellos. Indica cuál de las siguientes conclusiones es más correcta: C 1 y C 2 están cifrados con criptosistemas de sustitución pero con distinta clave. C 1 y C 2 no están cifrados con criptosistemas de sustitución con la misma clave. No se pueden sacar conclusiones justificadas.

2 5. La principal causa por la que DES no es muy recomendable es porque el espacio de claves es reducido, Para aumentar la seguridad se propone el siguiente sistema de cifra iterado. Dado un mensaje M, se eligen k 1 y k 2 claves de 56 bits, y se sigue el siguiente esquema para cifrar: M C 1 = DES(M, k 1 ) C 2 = DES(C 1, k 2 ) donde C 2 denota el cifrado de M y DES(J, k) el cifrado del mensaje J mediante DES con la clave k. Supongamos conocido M y C 2. Para hallar k 1 y k 2 por un ataque a fuerza bruta, hablando computacionalmente el mejor método será: Para cada pareja de claves n 1 y n 2. Cifrar M según el esquema descrito, DES(DES(M, n 1 ), n 2 ), y comparar con C 2. Hallar DES(M, n 1 ) para cada clave n 1 y hallar DES 1 (C 2, n 2 ) para cada clave n 2. Para cada pareja (n 1, n 2 ), comparar DES(M, n 1 ) con DES 1 (C 2, n 2 ). (DES 1 indica descifrado). Para cada pareja de claves n 1 y n 2. Hallar el par ( DES(DES(M, n 1 ), n 2 ), DES 1 (DES 1 (C 2, n 2 ), n 1 ) ) y comparar con (C 2, M). Por un ataque a fuerza bruta sólo se puede obtener k Adela (A) y Benito (B) desean intercambiar una clave K s usando el método de Diffie y Hellman donde p = 4 y g =. Adela elige x a = y Benito elige x b = 5. El valor de K s es: En la generación de una clave RSA se ha elegido como módulo m = 158 = De los siguientes candidatos, indica cuál de los siguientes valores es válido como exponente público: e = 1 e = e = 7 8. De las siguientes posibilidades para n, señalar cuál es la más apropiada de entre todas para formar una buena clave pública RSA (n, 5): Se sabe que e = 1669 es un número primo. Se considera ahora el sistema RSA de clave pública (n, e = 1669). No existe un n que haga que todos los mensajes vayan en claro. Para n = todos los mensajes van en claro. Para n = sólo hay mensajes que vayan en claro. Existe un n que hace que todos los mensajes se cifren sin ir en claro. 10. En un criptosistema de ElGamal de clave pública (p, α, α a ) un intruso intercepta el mensaje cifrado (n, k), e identifica n como α. En estas circunstancias: El intruso puede descifrar el mensaje, aun cuando no puede saber el valor de a, con sólo calcular el inverso i de (α a ) en Z p y realizar k i (mod p). El intruso puede descifrar cualquier mensaje enviado con este criptosistema, toda vez que puede calcular el valor a de la clave privada. El intruso no puede descifrar ningún mensaje (ni siquiera el que ha interceptado), toda vez que no puede resolver el problema del logaritmo discreto.

3 11. Señala la respuesta FALSA: En cualquier criptosistema RSA hay al menos 9 mensajes que no se cifran, así como al menos dos claves que permiten descifrar. Cualquier criptosistema RSA bien diseñado que cifre bloques de longitud 1 consiste en una sustitución. En un criptosistema ElGamal es conveniente modificar la máscara cada vez que se cifra un bloque. Todo criptosistema ElGamal viene a ser una sustitución. 12. Señala la respuesta INCORRECTA: La seguridad de un criptosistema debe recaer en que los algoritmos de cifrado y descifrado sean desconocidos. La seguridad de un criptosistema implica la dificultad de descifrar cualquier mensaje que se cifre. Para acordar una clave en un criptosistema simétrico es conveniente utilizar un criptosistema asimétrico. 1. Se pretende utilizar el siguiente proceso como una función resumen, no sabemos si segura o no. Dado un texto k en binario de longitud l > 9, se completa con tantos bits 0 como sean necesarios hasta conseguir una longitud total potencia de, sea de l = n bits. Mientras k conste de más de 9 bits (i.e. l > 9), se actualiza k como n 1 XORn 2 XORn, donde n 1 representa al primer tercio de bits de k, n 2 representa el segundo tercio de los bits de k y n el último tercio (es decir, n 1 = (k 1,..., k l ),,..., k l )). El bucle termina cuando l = 9 y devuelve un resumen n 2 = (k 1+ l,..., k 2l ) y n = (k 1+ 2l de 9 bits. En estas condiciones se puede asegurar que: No define una función resumen. Es una función resumen resistente a colisiones débiles. Es una función resumen resistente a colisiones fuertes. 14. Adela envía a Benito un texto cifrado con PGP. Supongamos que este texto ha sido interceptado por Diego. Diego podrá leer el mensaje si tiene instalado el PGP. Diego podrá leer el mensaje si tiene instalado el PGP y además la clave pública de Adela se encuentra en su anillo de claves públicas. Diego podrá leer el mensaje si tiene instalado el PGP y además la clave pública de Benito se encuentra en su anillo de claves públicas. Diego podrá leer el mensaje si tiene instalado el PGP y además la clave privada de Benito se encuentra en su anillo de claves privadas.

4 15. Un usuario diseña el siguiente sistema de firma electrónico: Entrada: Un mensaje en claro M y una clave K de 128 bits para AES M se divide en bloques de 128 bits, efectuando un relleno del último bloque si fuera necesario, M = M 1... M n. IV y 0 IV for i 1 to n do y i AES(y i 1 M i, K) retorna y n x K es el resultado de cifrar K mediante la clave privada del firmante KU usando un cifrado asimétrico seguro (por ejemplo RSA). Firma: (y n, x K ). Salida (mensaje firmado): Al mensaje M se le adjunta su firma (i.e. (y n, x K )). Indicamos que y n puede ser considerado como el resumen de M mediante una función resumen segura. Es un sistema válido de firma pues garantiza la integridad del mensaje y la identidad del remitente. No es un buen sistema de firma pues es muy fácil suplantar la identidad del remitente. Para evitar este problema se tendría que haber cifrado también y n con la clave privada del remitente. No es un buen sistema de firma porque no se autentifica el mensaje, pero al menos garantiza la identidad del remitente. Observaciones Alfabeto de 64 caracteres: a b c d e f g h i j k l m n ñ o p q r s t u v w x y z Ç ( ) { } < > = * / % &, ;. :?!

5 Ingeniería en Informática Criptografía 24 de noviembre de 2006 APELLIDOS: En el siguiente test cada respuesta correcta aporta 2 resta 1 6 puntos. NOMBRE: puntos, mientras que cada respuesta fallida 1. Trabajando en Z 26 y con clave K = (7, ) para el cifrado afín. El descifrado de 1 es: 12 1 X Se cifra un texto binario x = x 1 x l del siguiente modo: x se divide en n bloques de 6 bits, efectuando un relleno del último bloque fuera necesario, x = X 1... X n Y i = X i K con K = Retorna y = Y 1... Y n (y es el cifrado de x). Se trata de un cifrado por sustitución monoalfabética. Se trata de un cifrado por sustitución polialfabética. X Se trata de un cifrado por transposición. Se trata de un cifrado por una composición de sustitución y transposición. Solución. Es claro que el producto X i K lo que hace es permutar los bits de X i.. Sea C un criptograma correspondiente al cifrado de un texto en español mediante Vigenère. En la siguiente tabla expresamos los anagramas que aparecen repetidos a lo largo de C y la distancia a la que se encuentran las repeticiones. La longitud más probable de la clave será: 7 X Anagrama distancia. PQMI 11 QAWA 22 ASJU 110 BLVE QOSO 0 Solución. Usamos el test de Kasiski y calculamos m.c.d(11,22,,110,0)= Un criptoanalista ha calculado el índice de coincidencia mutuo de dos criptogramas C 1 y C 2 resultando mucho menor que el índice de coincidencia de cada uno de ellos. Indica cuál de las siguientes conclusiones es más correcta: C 1 y C 2 están cifrados con criptosistemas de sustitución pero con distinta clave. X C 1 y C 2 no están cifrados con criptosistemas de sustitución con la misma clave. No se pueden sacar conclusiones justificadas.

6 5. La principal causa por la que DES no es muy recomendable es porque el espacio de claves es reducido, Para aumentar la seguridad se propone el siguiente sistema de cifra iterado. Dado un mensaje M, se eligen k 1 y k 2 claves de 56 bits, y se sigue el siguiente esquema para cifrar: M C 1 = DES(M, k 1 ) C 2 = DES(C 1, k 2 ) donde C 2 denota el cifrado de M y DES(J, k) el cifrado del mensaje J mediante DES con la clave k. Supongamos conocido M y C 2. Para hallar k 1 y k 2 por un ataque a fuerza bruta, hablando computacionalmente el mejor método será: Para cada pareja de claves n 1 y n 2. Cifrar M según el esquema descrito, DES(DES(M, n 1 ), n 2 ), y comparar con C 2. X Hallar DES(M, n 1 ) para cada clave n 1 y hallar DES 1 (C 2, n 2 ) para cada clave n 2. Para cada pareja (n 1, n 2 ), comparar DES(M, n 1 ) con DES 1 (C 2, n 2 ). (DES 1 indica descifrado). Para cada pareja de claves n 1 y n 2. Hallar el par ( DES(DES(M, n 1 ), n 2 ), DES 1 (DES 1 (C 2, n 2 ), n 1 ) ) y comparar con (C 2, M). Sólo se puede obtener k 2 por un ataque a fuerza bruta. Solución. En los métodos descritos en las tres primeras opciones permiten hallar k 1 y k 2. En la primera opción, el número de cifrados que se realizan es del orden de ; mientras en la segunda opción, sólo se realizan 2 56 cifrados y 2 56 descifrados. En la tercera, se realizan el doble que en la primera; dando información redundante. 6. Adela (A) y Benito (B) desean intercambiar una clave K s usando el método de Diffie y Hellman donde p = 4 y g =. Adela elige x a = y Benito elige x b = 5. El valor de K s es: 12 X 22 7 Solución. esquema: Hemos seguido la misma notación que en los apuntes, el protocolo sigue el siguiente Adela envía a Benito: g xa mod p = mod 4 = 27. Benito envía a Adela: g x b mod p = 5 mod 4 = 28. Benito calcula: 27 x b mod p = 27 5 mod 4 = 22. Adela calcula: 28 xa mod p = 28 mod 4 = En la generación de una clave RSA se ha elegido como módulo m = 158 = De los siguientes candidatos, indica cuál de los siguientes valores es válido como exponente público: X e = 1 e = e = 7 8. De las siguientes posibilidades para n, señalar cuál es la más apropiada de entre todas para formar una buena clave pública RSA (n, 5): X Solución. La opción segunda no es válida, pues se puede factorizar por el método de Fermat. La tercera opción no es buena, porque el mínimo común múltiplo de p 1 y q 1 es muy pequeño, lo que provoca que haya muchos exponentes que descifran. La cuarta no es compatible con e = 5, toda vez que 5 no es primo con φ(n). 9. Se sabe que e = 1669 es un número primo. Se considera ahora el sistema RSA de clave pública (n, e = 1669). No existe un n que haga que todos los mensajes vayan en claro. X Para n = todos los mensajes van en claro. Para n = sólo hay mensajes que vayan en claro.

7 Existe un n que hace que todos los mensajes se cifren sin ir en claro. Solución. La última respuesta es falsa a todas luces, toda vez que en todo criptosistema RSA hay al menos 9 mensajes que van en claro siempre. Por otra parte, en un criptosistema RSA de clave pública (n = p q, e), hay exactamente (1 + mcd(e 1, p 1)) (1 + mcd(q 1, e 1)) mensajes que van en claro; de suerte que si p 1 y q 1 son ambos divisores de e 1, entonces todos los mensajes van en claro. Éste es el caso de n = , puesto que 1668 = y 1668 = En un criptosistema de ElGamal de clave pública (p, α, α a ) un intruso intercepta el mensaje cifrado (n, k), e identifica n como α. En estas circunstancias: X El intruso puede descifrar el mensaje, aun cuando no puede saber el valor de a, con sólo calcular el inverso i de (α a ) en Z p y realizar k i (mod p). El intruso puede descifrar cualquier mensaje enviado con este criptosistema, toda vez que puede calcular el valor a de la clave privada. El intruso no puede descifrar ningún mensaje (ni siquiera el que ha interceptado), toda vez que no puede resolver el problema del logaritmo discreto. Solución. Efectivamente, si la máscara utilizada ha sido n = α, para descifrar el mensaje enviado basta proceder haciendo k ((α a ) ) 1, operaciones todas que puede hacer el intruso sin necesidad de conocer a (recuérdese que α a es público). 11. Señala la respuesta FALSA: En cualquier criptosistema RSA hay al menos 9 mensajes que no se cifran, así como al menos dos claves que permiten descifrar. Cualquier criptosistema RSA bien diseñado que cifre bloques de longitud 1 consiste en una sustitución. En un criptosistema ElGamal es conveniente modificar la máscara cada vez que se cifra un bloque. X Todo criptosistema ElGamal viene a ser una sustitución. Solución. Las tres primeras respuestas son verdaderas. La última es rotundamente falsa: basta hacer notar que en la transmisión de un mensaje, un mismo bloque se cifra cada vez de manera distinta, dependiendo de la máscara elegida en cada instante. 12. Señala la respuesta INCORRECTA: X La seguridad de un criptosistema debe recaer en que los algoritmos de cifrado y descifrado sean desconocidos. La seguridad de un criptosistema implica la dificultad de descifrar cualquier mensaje que se cifre. Para acordar una clave en un criptosistema simétrico es conveniente utilizar un criptosistema asimétrico. Solución. La segunda y la tercera opción son claramente verdaderas. La primera es falsa: es constatable que no hacer público los algoritmos de cifrado y descifrado no implica en absoluto que el criptosistema en cuestión sea seguro. Un notorio ejemplo son las casas discográficas, cuyo sistema de anticopia ha sucumbido al mundo de la piratería. 1. Se pretende utilizar el siguiente proceso como una función resumen, no sabemos si segura o no. Dado un texto k en binario de longitud l > 9, se completa con tantos bits 0 como sean necesarios hasta conseguir una longitud total potencia de, sea de l = n bits. Mientras k conste de más de 9 bits (i.e. l > 9), se actualiza k como n 1 XORn 2 XORn, donde n 1 representa al primer tercio de bits de k, n 2 representa el segundo tercio de los bits de k y n el último tercio (es decir, n 1 = (k 1,..., k l ),

8 n 2 = (k 1+ l,..., k 2l ) y n = (k 1+ 2l,..., k l )). El bucle termina cuando l = 9 y devuelve un resumen de 9 bits. En estas condiciones se puede asegurar que: No define una función resumen. Es una función resumen resistente a colisiones débiles. Es una función resumen resistente a colisiones fuertes. X Solución. El proceso anterior define, de hecho, una función resumen, que no es resistente ni a colisiones débiles ni a colisiones fuertes. En realidad, dado un resumen cualquiera, esto es, un byte de 9 bits, es fácil completar la cadena con n 9 ceros hasta obtener un mensaje de longitud n, cuyo resumen sería el byte dado. 14. Adela envía a Benito un texto cifrado con PGP. Supongamos que este texto ha sido interceptado por Diego. Diego podrá leer el mensaje si tiene instalado el PGP. Diego podrá leer el mensaje si tiene instalado el PGP y además la clave pública de Adela se encuentra en su anillo de claves públicas. Diego podrá leer el mensaje si tiene instalado el PGP y además la clave pública de Benito se encuentra en su anillo de claves públicas. X Diego podrá leer el mensaje si tiene instalado el PGP y además la clave privada de Benito se encuentra en su anillo de claves privadas. Solución. Ver apuntes de clase. 15. Un usuario diseña el siguiente sistema de firma electrónico: Entrada: Un mensaje en claro M y una clave K de 128 bits para AES M se divide en bloques de 128 bits, efectuando un relleno del último bloque si fuera necesario, M = M 1... M n. IV y 0 IV for i 1 to n do y i AES(y i 1 M i, K) retorna y n x K es el resultado de cifrar K mediante la clave privada del firmante KU usando un cifrado asimétrico seguro (por ejemplo RSA). Firma: (y n, x K ). Salida (mensaje firmado): Al mensaje M se le adjunta su firma (i.e. (y n, x K )). Indicamos que y n puede ser considerado como el resumen de M mediante una función resumen segura. X Es un sistema válido de firma pues garantiza la integridad del mensaje y la identidad del remitente. No es un buen sistema de firma pues es muy fácil suplantar la identidad del remitente. Para evitar este problema se tendría que haber cifrado también y n con la clave privada del remitente. No es un buen sistema de firma porque no se autentifica el mensaje, pero al menos garantiza la identidad del remitente.

9 Solución. Con cifrar K con la clave privada del emisor es suficiente. Pues para generar y n (el resumen de M) es imprescindible conocer K. Observaciones Alfabeto de 64 caracteres: a b c d e f g h i j k l m n ñ o p q r s t u v w x y z Ç ( ) { } < > = * / % &, ;. :?!