Introducción a la Criptografía. Reinaldo Mayol Arnao 1

Transcripción

1 Introducción a la Criptografía Reinaldo N. Mayol Arnao 15/10/2012 Reinaldo Mayol Arnao 1

2 Qué es la criptografía? Arte de escribir con clave secreta o de un modo enigmático 1. Una definición mas exacta ( e ingenieril): Es un conjunto de técnicas Basadas en argumentos matemáticos Que tienen como objetivo modificar de manera sistemática un texto 2 De manera que sólo pueda ser autenticado, validado en su integridad y comprendido 3 sólo por aquellos que posean las condiciones y los conocimientos adecuados 4. 15/10/2012 Reinaldo Mayol Arnao 2

3 Esquema Básico de Criptografía ( P ) C= E K ( C ) P= D K 15/10/2012 Reinaldo Mayol Arnao 3

4 A veces el tamaño si importa Tamaño de la Llave(bits) Número de Llaves posibles Tiempo de descifrado ( a 10 6 Operaciones /µs) = 4.3 x milliseconds = 7.2 x hours = 3.4 x x years = 3.7 x x years 15/10/2012 Reinaldo Mayol Arnao 4

5 CRIPTOGRAFÍA DE CLAVE PRIVADA (SIMÉTRICA) 15/10/2012 Reinaldo Mayol Arnao 5

6 Qué significa cifrado de clave privada o Simétrico? Si se utiliza una misma clave para cifrar y descifrar se habla de Cifrado Simétrico o de Clave Privada Si se utilizan 2 llaves diferentes; una para cifrar y otra para descifrar se habla de Cifrado Asimétrico o de Clave Pública 15/10/2012 Reinaldo Mayol Arnao 6

7 Cifrado Simétrico 15/10/2012 Reinaldo Mayol Arnao 7

8 8 Número de llaves necesarias Número de llaves Reinaldo Mayol Arnao Número de puntos finales (Aplicaciones)

9 ALGORITMOS DE LLAVE SIMÉTRICA DES 15/10/2012 Reinaldo Mayol Arnao 9

10 Introducción El DES nació como consecuencia del criptosistema LUCIFER, creado por Horst Feistel quien trabajaba en IBM, este criptosistema trabajaba sobre bloques de 128 bits, teniendo la clave igual longitud. 15/10/2012 Reinaldo Mayol Arnao 10

11 Introducción Tras las modificaciones introducidas por el NSA (National Security Agency), consistentes básicamente en la reducción de la longitud de clave y de los bloques, DES cifra bloques de 64 bits, mediante permutación y sustitución y usando una clave de 56 bits. 15/10/2012 Reinaldo Mayol Arnao 11

12 Esquema General de DES 64 bits de texto plano 64 bits de la clave Permutación Inicial Permutación Selectiva EP 1x Ronda 1 48 bits K 1 Permutación Selectiva EP 2 56 bits Rotación Izq. Ronda bits K 16 Permutación Selectiva EP 2 Rotación Izq. Intercambio (L R) Permutación Final. 15/10/ bits de texto cifrado Reinaldo Mayol Arnao 12

13 DEBILIDADES DE DES El tamaño de la clave (56 bits) es insuficiente para detener un ataque de fuerza bruta (con un poco de suerte y bajo algunas condiciones) con las técnicas actuales. La estructura interna de las cajas S no ha sido publicada hasta la actualidad, por lo que se sospecha podrían contener algún tipo de sorpresa incluida por sus diseñadores Lentitud de aplicaciones por software REINALDO N. MAYOL ARNAO 15/10/2012 Reinaldo Mayol Arnao 13

14 DES Recargado A pesar de su vulnerabilidad por el tamaño de las claves, el algoritmo no ha sido roto en mas de 30 años por ninguna otra razón. 15/10/2012 Reinaldo Mayol Arnao 14

15 15 AUMENTANDO EL TAMAÑO DE LA CLAVE? P K 1 K 2 X C K 2 K 1 C X C=E k2 [E k1 [P]] P=D k1 [D k2 [C]] P REINALDO N. MAYOL ARNAO 15/10/2012 Reinaldo Mayol Arnao 15 PARECE QUE FUNCIONA PERO..

16 16 Punto Medio REINALDO N. MAYOL ARNAO 15/10/2012 Reinaldo Mayol Arnao Si C=E k2 [E k1 [P]] entonces: X=E k1 [P]=D k2 [C] [1] Dado un par conocido C, P el ataque funciona de la siguiente forma: Se cifra P con cada una de las posibles 2 56 claves k 1 Se descifra C con cada una de las posibles 2 56 claves k 2 Por [1] tiene que existir un valor de X que haga válida la ecuación. Como se conocen las claves K 1 y K 2 que hicieron posible [1] se viola el algoritmo sin mayor esfuerzo que el destinado a violar DES. 16

17 17 Punto Medio K1 1 P C K2,1 C K1 n P X Las claves utilizadas fueron K1 n y K2 m K2 m REINALDO N. MAYOL ARNAO K C P 15/10/2012 Reinaldo Mayol Arnao 17 K2 2 56

18 TRIPLE DES Ó 3DES Obviamente una forma de vencer al ataque de punto medio es colocar en cadena 3 etapas DES con claves diferentes, pero esto hace que el trabajo para manejar las claves, ahora de 56X3=168 bits se vuelva complicado Una solución es colocar tres etapas DES pero sólo utilizar 2 claves diferentes de forma que: C=E k1 [D k2 [E k1 [P]]] 15/10/2012 Reinaldo Mayol Arnao 18

19 3DES 3DES con dos claves es una alternativa relativamente popular al DES y ha sido adoptada para el uso de las normas de manejo de claves ANS X9.17 y ISO /10/2012 Reinaldo Mayol Arnao 19

20 AES: RIJNDAEL 15/10/2012 Reinaldo Mayol Arnao 20

21 Rijndael Mecanismo de cifrado por bloques de 128, 192 y 256 bits Utiliza claves simétricas de igual tamaño Utiliza una serie de r etapas Las primeras r-1 etapas son similares y utilizan una serie de operaciones especiales La última etapa realiza sólo un subconjunto de las operaciones de las etapas anteriores 15/10/2012 Reinaldo Mayol Arnao 21

22 Funcionamiento de Rijndael ( 128bits) Texto Plano Etapa Inicial AddRoundKey w[0,3] Etapas 1-9 ByteSub ShiftRow MixCol AddRoundKey Byte Sub W[4,7] (4 palabras por etapa) Etapa Final AddRoundKey ByteSub ShiftRow w[40,43] 15/10/2012 Texto Cifrado Reinaldo Mayol Arnao 22

23 23 Cómo funciona Rijndael? r-1 Etapas Etapa r Byte Sub: Sustitución de bytes Byte Sub ShiftRow: Desplazamiento de filas MixCol: Multiplicación de columnas ShiftRow AddRoundKey AddRoundKey: Xor con la llave 15/10/2012 Reinaldo Mayol Arnao

24 Cifrado de Rijndael Sustituciones Desplazamiento de filas Multiplicación de Columnas XOR con la Clave 15/10/2012 Reinaldo Mayol Arnao 24

25 Rijndael En cada ronda sólo la etapa AddRoundKey depende de la clave. Por lo tanto cada etapa puede ser vista como un proceso de desorden de bits seguido por un XOR con la clave. El algoritmo comienza y termina con etapas Add RoundKey 15/10/2012 Reinaldo Mayol Arnao 25

26 Otros Algoritmos de Cifrado Simétrico Algoritmo K Bloque Etapas Utilización IDEA PGP Blowfish Hasta Cifrado x Software RC5 Hasta Hasta 255 Cifrado x Software 15/10/2012 Reinaldo Mayol Arnao 26

27 Cifrado de Bloques Hasta el momento hemos hecho el análisis suponiendo la existencia de un sólo bloque. Qué pasa si el mensaje a cifrar tiene mas del tamaño de un sólo bloque? Una solución obvia sería dividir el mensaje en bloques y cifrar cada uno individualmente. Este tipo de esquema se denomina ECB ( Electronic CodeBook) 15/10/2012 Reinaldo Mayol Arnao 27

28 CBC (Cipher Block Chaining) Bloque 1 Bloque 2 Bloque n IV + + Cn-1 + K CIFRADOR K CIFRADOR K.. CIFRADOR C1 C2 Cn 15/10/2012 Reinaldo Mayol Arnao 28

29 Hasta este momento Quien no tenga la clave (K) no podrá leer el mensaje ( a no ser que se enfrente al problema del criptoanálisis). Tenemos CONFIDENCIALIDAD. Si confiamos que sólo los extremos de una conversación conocen K y un mensaje puede ser CORRECTAMENTE descifrado podemos confiar que los extremos son los correctos. Casi tenemos AUTENTICIDAD DE LOS EXTREMOS 15/10/2012 Reinaldo Mayol Arnao 29

30 Pero Sabemos si el texto es integro al recibirlo? NO. Qué hacemos con las claves? 15/10/2012 Reinaldo Mayol Arnao 30

31 Parte 1 CRIPTOGRAFÍA ASIMÉTRICA 15/10/2012 Reinaldo Mayol Arnao 31

32 Esquema de Funcionamiento 15/10/2012 Reinaldo Mayol Arnao 32

33 33 Reglas de Juego El sistema funciona con un par de llaves, una para cifrar y otra para descifrar 1 Una clave es secreta y nunca es transmitida (Kp) La otra clave es pública y puede ser difundida en la red sin peligro (Ku) Si un documento es cifrado con una clave sólo puede ser descifrado con su pareja Si un documento puede ser descifrado satisfactoriamente 2 con una clave sólo puede haber sido cifrado con su pareja 15/10/2012 Reinaldo Mayol Arnao

34 Ejemplo José José envía el mensaje cifrado con la Kp de Tx (José) Marcos Pero un extraño también puede leerlo, porque tiene la Ku (por algo es pública) Marcos descifra el mensaje utilizando la Ku de José 15/10/2012 Reinaldo Mayol Arnao 34

35 Ejemplo José José envía el mensaje cifrado con la Ku del Rx (Marcos) Marcos El extraño no puede descifrar el mensaje porque no tiene Kp de Marcos Marcos descifra el mensaje utilizando su Kp 15/10/2012 Reinaldo Mayol Arnao 35

36 36 Conclusiones Si se cifra el mensaje con la Kp del Tx podría estimarse la autenticidad, pero no la confidencialidad. Si se cifra el mensaje con la Ku del Rx podría garantizarse la confidencialidad pero no la autenticidad. Ninguno de los esquemas garantiza la integridad de los datos Tx. 15/10/2012 Reinaldo Mayol Arnao

37 Esquema para garantizar (por el momento) confidencialidad Texto ( P Plano ( Texto ( C ) Cifrado Ku destino C=E Ku Rx (P) Kp destino P=D Kp Rx (C) 15/10/2012 Reinaldo Mayol Arnao 37

38 38 Hasta Ahora Tenemos un mecanismo para mantener las claves en ambientes distribuidos divulgando sólo una parte de la misma ( Ku). Si el destino no ha divulgado su Kp el remitente puede estar seguro que nadie más puede leer y entender el mensaje 15/10/2012 Reinaldo Mayol Arnao

39 39 Pero Seguimos sin integridad. Pareciera que si logramos autenticidad no podemos lograr confidencialidad. Ya sabemos que RSA es ineficiente para valores grandes de M. 1 15/10/2012 Reinaldo Mayol Arnao

40 Parte 2 FUNCIONES RESUMEN 15/10/2012 Reinaldo Mayol Arnao 40

41 Funciones Resumen (Hash) Una función hash toma una entrada de longitud variable a una salida de longitud fija (96, 128 o 160 bits) Requisitos: No puede deducir la entrada de la salida. No puede generar una salida dada sin tener la misma entrada. No puede encontrar dos entradas que produzcan la misma salida. Cualquier cambio en la entrada cambia la salida. 15/10/2012 Reinaldo Mayol Arnao 41

42 Esquema del uso de las funciones hash Son iguales? Usando Criptografía Simétrica K Privada Tx Ku Tx Son iguales? 15/10/2012 Reinaldo Mayol Arnao 42 Usando Criptografía Asimétrica

43 Cómo lograr resúmenes Únicos? 43 Imagine que un atacante logre conseguir 2 mensajes diferentes que den el mismo hash. Podría interceptar el mensaje, cambiarlo, volver a ensamblar la estructura mensaje+hash y transmitirlo. El Rx no tendrá forma de darse cuenta de que el mensaje que ha recibido es falso! Si recuerda la paradoja del cumpleaños pareciera que ese es un camino adecuado. 15/10/2012 Reinaldo Mayol Arnao

44 44 La Paradoja del Cumpleaños Según la teoría matemática, si reuniéramos a 23 personas 1 en una habitación existe aproximadamente un 50% de posibilidades de que 2 de ellas cumplan años el mismo día. Si en vez de 23 juntamos 75 la probabilidad sube al 99.9%. P 1 (1 1 ) 365 n( n 1) 2 15/10/2012 Reinaldo Mayol Arnao

45 Por qué la paradoja del cumpleaños es 45 importante? Simplemente porque podríamos tener 2 criptogramas iguales cuyo origen sean 2 M diferentes. En un momento entenderemos esto con mas detalle. 15/10/2012 Reinaldo Mayol Arnao

46 De nuevo la paradoja del cumpleaños 46 Es mucho mas sencillo generar varios mensajes ( por ejemplo variaciones del mensaje fraudulento) y buscar que uno haga que: Hash ( mensaje verdadero)=hash ( mensaje falso) Por ejemplo si el hash es de 64 bits habría 2 64 posibles valores, pero bastaría generar 2 32 para que apareciera uno que cumpliese con la condición anterior. Entonces el secreto está en usar funciones hash que generen resúmenes suficientemente grandes. 15/10/2012 Reinaldo Mayol Arnao

47 De nuevo: el tamaño si importa 47 Entonces el tamaño de la función hash es importante para la fortaleza ante ataques de cumpleaños. Un hash de 128 bits ( MD5) implica hacer 2 64 mensajes, pero hash de 160 bits implica 2 80 por ahora fuera de el rango posible por simple aplicación del LPC, sin embargo 15/10/2012 Reinaldo Mayol Arnao

48 De nuevo: el tamaño si importa 48 Un grupo de investigadores ha demostrado que puede romper el algoritmo en 2 63 operaciones, incluso por debajo del umbral razonable de fuerza bruta.( 2 80 ) cryptanalyt.html 15/10/2012 Reinaldo Mayol Arnao

49 SHA-1 15/10/2012 Reinaldo Mayol Arnao 49

50 Un bloque de la función Hsha Cada función está compuesta por 4 etapas, cada una de 20 pasos. Los valores iniciales de A, B, C, D, E son los siguientes: A,B,C,D A= B=EFCDAB89 C=98BADCFE D= E=C3D2E1F0 Palabras del Buffer t Paso ( 0-19 F S W Función F Rotación de k bits a la izq. Palabra de 32 bits derivada de la entrada del bloque 15/10/2012 Reinaldo Mayol Arnao 50

51 Función Hsha A,B,C,D,E (E+ f (t,b,c,d)+s 5 (A)+W t +K t ),A,S 30 (B),C,D Paso t Kt FUNCIÓN f A (B&C)+(B&D) ED9EBA1 B xor C xor D F1BBCDC (B&C)+(B&D)+(C&D) CA62C1D6 B xor C xor D 1 ( Wt 16 Wt 8 Wt 3 15/10/2012 Reinaldo Mayol Arnao 51 W t S Yq w 0 w 15 w 16 W 0 W 2 W 8 W 13 XOR S1 ) Ec.1

52 Qué condiciones debe tener un buen 52 algoritmo de hash? No deben existir 2 mensajes diferentes que posean igual hash. 1 Teniendo el valor del hash debe ser prohibitivo conseguir el mensaje original. Teniendo M debe ser fácil calcular el hash. 15/10/2012 Reinaldo Mayol Arnao

53 SHA-1 vs MD5 Criterio MD5 SHA-1 Longitud de Salida 128 b 160 b Unidad de procesamiento 512 b 512 b Tamaño máximo del mensaje infinito b Número de pasos Endianness Big-Endian Little-Endian 15/10/2012 Reinaldo Mayol Arnao 53

54 54 No son las únicas MD5 y SHA no son las únicas funciones hash existentes, aunque si las mas utilizadas. Tiger y Whirlpool son ejemplos de funciones que incluso han sido señaladas como posibles sustitutas de SHA. Ambas funciones producen hashes mas grandes ( 512 y 192 bits respectivamente), por lo que en teoría son mas resistentes. Sin embargo, hay razones para sospechar que no veremos en el futuro implementaciones masivas de ambos protocolos. 15/10/2012 Reinaldo Mayol Arnao

55 Parte 3 FIRMAS DIGITALES 15/10/2012 Reinaldo Mayol Arnao 55

56 Firmas Digitales Documento Digitalmente Firmado cifrado Resumen del mensaje cifrado con la Kp del Remitente FIRMA DIGITAL 15/10/2012 Reinaldo Mayol Arnao 56

57 57 Hasta aquí Si firmamos digitalmente un documento y luego el Rx verifica la firma podrá saber: Si el Tx es quien dice ser pues de lo contrario no hubiese podido cifrar el hash con su Kp. Si el mensaje no ha sido cambiado, pues de lo contrario el hash que se trasmitió ( y que fue calculado antes de salir) no podría ser igual que el que se calcula en el receptor. 1 Podríamos fácilmente extender la seguridad al resto del mensaje cifrándolo también( ahora con la Ku de destino) 15/10/2012 Reinaldo Mayol Arnao

58 Haciendo seguro todo el sistema Hash Hash Calculado Mensaje en el Tx Mensaje Plano Rx Son iguales? K E Hash E Kptx K D Mensaje Cifrado H Mensaje Cifrado Has hrx D Ku tx 15/10/2012 Reinaldo Mayol Arnao 58

59 59 Mezclando ambos mundos Podríamos utilizar la criptografía simétrica para cifrar los mensajes con una clave K. Esto resolvería: 1- Confidencialidad 2- Eficiencia del mecanismo de cifrado. Utilizar criptografía asimétrica para firmar digitalmente los mensajes, al fin y al cabo el hash es un número que cumple que 0<hash<n. Con esto tenemos: 3-Integridad y 4-Autenticidad. PERO Y LA CLAVE K? Cómo la pasamos entre un extremo y otro de la conexión? 15/10/2012 Reinaldo Mayol Arnao

60 Haciendo seguro todo el sistema, de Reinaldo Mayol Arnao nuevo José José y Marcos intercambia de forma segura una(s) llave(s) de sesión K y con ella cifran los mensajes Marcos Hash Hash Calculado Mensaje en el Tx Mensaje Plano Rx Son iguales? K E Hash E Kptx K D 15/10/2012 Mensaje Cifrado H Mensaje Cifrado Has hrx D 60 Ku tx

61 Algoritmo para el intercambio de llaves: 61 Deffie-Hellman J y M seleccionan un grupo multiplicativo (con inverso) p y un generador de dicho primo, ambos valores públicos. J genera un número aleatorio a y envía a M a mod p M genera un número aleatorio b y envía a J b mod p En el extremo de Marcos: M calcula ( a ) b mod p = ab mod p y luego destruye b En el extremo de José: J calcula ( b ) a mod p = ba mod p y luego destruye a El secreto compartido por J y M es el valor ab mod p=k Con K se cifrarán los mensajes entre José y Marcos. 15/10/2012 Reinaldo Mayol Arnao

62 62 Cuan fuerte es DH? Un intruso que conozca las claves públicas p y e intercepte el valor a mod p que ha enviado A y el valor b mod p que ha enviado B no podrá descubrir los valores de a, de b y menos ab mod p... Salvo que se enfrente al Problema del Logaritmo Discreto (PLD) que se vuelve computacionalmente intratable para valores de p grandes. 15/10/2012 Reinaldo Mayol Arnao

63 Todavía nos quedan cosas pendientes 63 Cómo hacemos para que todos tengan nuestras llaves públicas? Cómo informamos si hemos perdido nuestra llave privada? Cuando alguien nos envía su llave pública, que elementos tenemos para confiar el ella? Tenemos forma de limitar el uso que se le den a las llaves? Si alguien se va de la empresa, como revocamos su llave? 15/10/2012 Reinaldo Mayol Arnao

64 Parte 4 INFRAESTRUCTURA DE CLAVE PÚBLICA (PKI) 15/10/2012 Reinaldo Mayol Arnao 64

65 65 Por qué? Existe un mecanismo criptográfico para obtener los objetivos fundamentales de la seguridad... Pero es necesario establecer un mecanismo para distribuir de manera segura las claves. No podemos tener las claves de todos Las claves cambian Hace falta que alguien certifique quien es quien Hace falta que alguien establezca para que se puede usar una clave 15/10/2012 Reinaldo Mayol Arnao

66 66 Qué es una PKI? Una PKI es una combinación de hardware y software, políticas, normas y procedimientos. El objetivo fundamental es brindar el soporte para la ejecución de los procedimientos criptográficos estudiados. Una PKI ofrece las condiciones para verificar la autenticidad de las Ku de los usuarios 1 y regular su uso. Se basa en la existencia de Autoridades Certificadoras (CA) establecidas en una configuración jerárquica 2. 15/10/2012 Reinaldo Mayol Arnao

67 67 Qué es una CA? Entidad encargada de emitir y revocar certificados digitales. La Autoridad de Certificación es un tipo particular de Prestador de Servicios de Certificación que legitima ante los terceros que confían en sus certificados la relación entre la identidad de un usuario y su clave pública. 15/10/2012 Reinaldo Mayol Arnao

68 Qué es un Certificado Digital? 15/10/2012 Reinaldo Mayol Arnao 68

69 La Jerarquía de CA Certificados Autoridades 15/10/2012 Reinaldo Mayol Arnao 69

70 Qué contiene un certificado? Identificación del suscriptor nombrado en el certificado. El nombre, la dirección y el lugar donde realiza actividades la entidad de certificación. La clave pública del usuario. La metodología para verificar la firma digital del suscriptor impuesta en el mensaje de datos. El número de serie del certificado. Fecha de emisión y expiración del certificado. 15/10/2012 Reinaldo Mayol Arnao 70

71 Cómo se obtiene un certificado? 15/10/2012 Reinaldo Mayol Arnao 71

72 72 Autoridad de Registro La función de las Autoridades de Registro es controlar la generación de certificados para los miembros de una entidad. Son las RA las que se encargan de la verificación de los datos del solicitante. La RA tiene un operador, que una vez verificados los datos del solicitante firma la solicitud. La solicitud se envía firmada a la CA, donde el operador CA emite el certificado que devuelve a la RA para que el usuario pueda descargarla. 15/10/2012 Reinaldo Mayol Arnao

73 Cómo se verifica un Certificado? El primer paso es tener la Ku ( por supuesto el Certificado) de la CA que ha emitido el certificado, de esta forma verificar la firma del certificado. Verificar parámetros del certificado como propiedad, caducidad, validez, etc. Verificar que las políticas de emisión del certificado sean válidas para el uso que se les pretende dar. 15/10/2012 Reinaldo Mayol Arnao 73

74 74 Por qué se puede revocar un certificado? La Kp está ( o se sospecha) comprometida El usuario ya no está certificado por esa CA Se sospecha que el certificado de la CA está comprometido 15/10/2012 Reinaldo Mayol Arnao

75 75 X.509v3 15/10/2012 Reinaldo Mayol Arnao

76 76 X. 509 v3 Incluye una serie de extensiones adicionales para resolver deficiencias de la versión 2: El campo Sujeto no era adecuado para acomodar algunos nombres de usuarios y aplicaciones Existía la necesidad de indicar información de las Políticas de Seguridad Es necesario definir los usos de los certificados Es necesario poder definir diferentes claves usadas por un usuario. 15/10/2012 Reinaldo Mayol Arnao

77 Extensiones X509 v3 Cada extensión tiene un campo de riesgo que define si la extensión puede ser ignorada o no. Las extensiones se dividen en: Información sobre claves y políticas Atributos de Sujeto y Emisor Limitaciones de la Ruta de Certificación 15/10/2012 Reinaldo Mayol Arnao 77

78 78 Pero A pesar de que le mecanismo funciona, lo cierto es que, de cara al usuario, es un proceso complicado y al que no suelen verle utilidad. El propio desconocimiento por parte de los administradores del sistema hace que el sistema no sea totalmente implementado o se haga se manera incorrecta. Los costos asociados son altos. En nuestros países no hay normas claras para el uso de la certificación digital. 15/10/2012 Reinaldo Mayol Arnao

79 Introducción a la Criptografía FIN DEL TEMA 15/10/2012 Reinaldo Mayol Arnao 79