Criptología y Seguridad de la Información

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Criptología y Seguridad de la Información"

Ramona Suárez Sáez
hace 8 años
Vistas:

1 CORE SECURITY TECHNOLOGIES 2002 Criptología y Seguridad de la Información Seminarios de la UTN 13 de Junio, 2002 Carlos Sarraute Ariel Waissbein

2 Este documento forma parte de la presentación que hicieron sus autores en el Aula Magna de la Universidad Tecnológica Nacional (Argentina), dentro del marco propuesto por el centro de estudiantes de dicha casa, el día 13 de Junio de Los contenidos de este documento son copyright 2002 Core Security Technologies.

propuesto por el centro de estudiantes de dicha casa, el día 13 de Junio de

3 Agenda 1. Introducción 2. Primitivas 3. Protocolos 4. Caso de Estudio

4 Introducción

5 Qué es la Criptografía? La Criptología? Históricamente: Encripción Esteganografía La transición: Kherchoff s principle 1883 Horst Feistel y DES 1973 Wittfield Diffie y Martin E. Hellman 1976 Hoy: Criptografía moderna Proliferación de las computadoras y redes de datos. Más necesidades.

principle 1883 Horst Feistel y DES 1973 Wittfield Diffie y Martin E.

6 Qué es la Criptografía? La Criptología? Usos y Necesidades: Seguridad de la Información Confidencialidad Firmas Integridad Autenticación No repudio... Diseño e Implementación. La vida real.

7 Primitivas

8 Primitivas Cryptosystem, primitiva, Función de Hash Sistema asimétrico de enciripción (calve pública) Sistema simétrico de enciripción Pruebas de Seguridad para protocolos Larga vida Resistente a ataques Usando como lenguaje a la Teoría de la Complejidad, Aritmética, Teoría de Números,... En pruebas de seguridad de protocolos Definiciones semánticas (además: Informática formal, Teoría de la Comunicación, Complejidad Algebraica, Simuladores, Pruebas Interactivas...)

la Teoría de la Complejidad, Aritmética, Teoría de Números,.

9 Primitivas Funciones de Hash

10 Primitivas: funciones de Hash Definición 1: Una función h:{0,1} * {0,1} s para la que es fácil de calcular h(x) dado x [collision resistant] Es dificil encontrar pares x, y (distintos) con h(x)=h(y) [2 nd preimage resistant] es dificil de calcular y tal que h(h(y))=h(h(x)) dado h(h(x)) Definición 2: Una función h:{0,1} * {0,1} s para la que Existe una PPT TM (probabilistic polynomial time Turing machine) que calcula h(x) dado x Para todo algortimo PPT A existe una función negligible v:=v(a) tal que para k suficientemente grande P[h(z)=y : x\in{0,1} k ; y=h(x); z:=a(1 k,y)]< v(k)

$Para todo algortimo PPT A existe una función negligible v:=v(a) tal que para k suficientemente grande P[h(z)=y : x\in{0,1} k ; y=h(x); z:=a(1$

11 Primitivas: funciones de Hash Merkle-Damgård metaconstruction method Usos: One-way functions Birthday paradox (attack) Message Authentication Codes (MACs) Teo.: P=NP entonces no existen hash functions. (La recíproca no es necesariamente cierta) Ejemplos: MD4, MD5, SHA-1, 256, 512 RIPE-MD 128, 160 Whirpool

Codes (MACs) Teo.: P=NP entonces no existen hash functions.

12 Funciones de Hash: USOS Message Digest (fingerprint) De claves largas (e.g., RSA1024), files, Message Authentication Codes (MACs) CBC-MAC: dado una tira de bits x de la forma x=x 1 x 2 x 3 x s donde cada x i tiene el tamaño correcto, h(x)=h(x s h(x s-1 h(x s-2 h( h(x 2 h(x 1 )) ))) XOR-MACs y otras construcciones (Preneel, Rogaway, Boneh, ) Problemas: si vulneran una hash function

(MACs) CBC-MAC: dado una tira de bits x de la forma x=x 1 x 2 x 3 x s donde cada x i tiene el

13 Primitivas Block Ciphers

14 Block Ciphers - definición

15 Block Ciphers definición

16 Suposiciones estandard

17 Ataques estandard

18 Complejidad de los ataques

19 Text dictionary attack

20 Modos de operación Modo ECB (electronic codebook) Modo CBC (cipher-block chaining) Modo OFB (output feedback)

21 Modo ECB (electronic codebook)

22 Modo CBC (cipher-block chaining)

23 Modo CBC (cipher-block chaining)

24 Modo CBC (cipher-block chaining)

25 El camino hasta DES (Data Encryption Standard)

26 Substitution box (S-box)

27 Permutation box

28 Un cipher que tenga sólo S-boxes?

29 Un cipher que tenga sólo P-boxes?

30 Substitution-permutation network

31 Substitution-permutation network con clave

32 Primitivas Clace pública

33 Criptografía de clave pública Dos ejemplos: Diffie & Hellman, New directions in cryptography, Rivest, Shamir & Adleman (RSA), A method for obtaining digital signatures and public-key cryptosystems, 1978 Más ejemplos Probabilistic encryption (e.g., Goldwasser-Micali)

34 Diffie-Hellman key agreement

35 RSA (parámetros)

36 RSA (encripción y desencripción)

37 RSA (asunciones)

38 Protocolos

39 Protocolos Un protocolo está dado por un intercambio de información entre dos o mas personas. Por ejemplo: Key agreement: Alice y Bob eligen una clave simétrica sin que un adversario tenga acceso a esa información. Authentication: Alice le demuestra a Bob, posiblemente un server, que ella es Alice de manera que nadie más pueda personificarla. Coin flipping: Este protocolo emula tirar una moneda por teléfono. Alice tira una moneda y se compromete al resultado (cara o ceca) de manera que Bob pueda elegir una de las posibilidades sin que Alice haga trampas. Simultaneous contract signing: Alice y Bob firman cada uno un contrato asegurandose que el otro firmo el propio. Mental poker: Alice, Bob, Carol y Dave (al menos deberían ser cuatro, no?), juegan al poker sin cartas (fisicas) pero asegurandose que las cartas virtuales han sido bien mezcladas y repartidas.

40 Protocolos Durante la ejecución de un protocolo los participantes se turnan por rondas, duarante las que hacen cuentas, ejecutan primitivas en gral. Al final de la ronda, el participante envia cierta información a algún/algunos participantes según lo establezca el protocolo. La seguridad de un protocolo se reduce a la combinación de resultados de seguridad sobre primitivas.

41 Protocolos Las costumbres dicen que los participantes se llaman Participantes correctos: Alice, Bob, Carol. Atacentes: Mallory (atacante activo), Eve (atacante pasivo). Cliente&Server son siempre Carol y Steve En general se simulan las interacciones entre participantes abstractos por juegos criptográficos. Primitivas: muchas veces protocolos como oblivious transfer o bit commitmentson usados como primitivas en protocolos (más grandes). En la actualidad (desde fines de los 90s) se mejoran las definiciones de seguridad de primitivas para poder demostrar mejores resultados sobre la seguridad de protocolos.

42 Caso de estudio: Ssh : Ssh

43 SSH El viejo SSH ( de Tatu Ylonen [90s] Un software que permite a sus usuarios contactar, y seguidamente ejecutar código arbitrariamente, de manera segura hosts remotos por canales inseguros. Autenticación, Confidencialidad, e Integridad Evolución: IETF ( y versiones gratuitas [post 1997] Varias versiones para cada OS

44 Protocolo SSH (sólo default) Handshake intercambio de versiones (e.g., SSH-1.99-OpenSSH_2.3.0) determinación de protocolo de intercambio de claves (por default usa RSA) Autenticación (default) server envia claves públicas RSA cliente, chequea y responde c/ key simétrico y esquema de encripción simétrtico y MAC elegidos, encriptando este paquete con las calves públicas del server server acuerda (o no) Uso de canal seguro Todos los paquetes que se intercambian sucesivamente entre server y cliente son encriptados y autenticados (E&A) El cliente se identifica (user ID + password) y accede a su cuenta.

45 Caso de estudio: Ssh Timming attack : Ssh

46 Timing attack: usando retardos entre teclas En el protocolo de SSH, cada vez que una tecla es pulsada, se encripta y se manda encriptada por el canal seguro. Los paquetes, aunque encriptados, pueden ser sniffeados. En particular, el tiempo de emisión de estos paquetes es un dato que los atacantes pueden obtener. Usando solo los retardos entre la llegada de esos paquetes es posible recuperar lo tipeado (en casos favorables). Elegimos el Hidden Markov Model (HMM) para modelar esta situacion inspirandonos en las técnicas de reconocimiento de voz.

47 Timing attack

48 Timing attack (cont.)

49 Timing attack (cont.)

50 Timing attack (cont.)

51 Timing attack (cont.)

52 Timing attack (cont.)

53 Timing attack (cont.)

54 Caso de estudio: Ssh : Ssh Bleichenbacher s attack

55 RSA security results Brute Force attacks Factoring N Elementary attacks Common Modulus Blinding Low private exponent attacks M. Wiener [4], Boneh and Durfee[5] Low public exponent attacks Coppersmith [6], Hastad [7] Related messages, Franklin-Reiter [8] Small Prime difference B. Wegger [9] (2002) Implementation attacks Timing attacks, Power analysis, Kocher [10] Random Faults, Boneh, DeMillo, Lipton [11] Bleichenbacher s attack on PKCS#1 [2] (1997)

56 PKCS #1, RSA encryption standard, version 1.5 El formato PKCS1 1.5 M = N=pq de tamaño k padding string 00 message at least 8 bytes kbytes Dado un mensaje message, M es el plaintext que se encripta via C=M e mod N

57 PKCS #1, RSA encryption standard, version 1.5 El protocolo PKCS1 1.5 C R R=1 si M comienza con El atacante tiene acceso a un oráculo que le responde si un ciphertext dado C tiene la estructura de PKCS#1 1.5 al ser desencriptado.

58 El ataque de Bleichenbacher C i = C * S i e (mod N) R i Si R i = 1 entonces 2*256 k-2-1 < M S i < 3*256 k-2 El atacante tiene acceso a los 16 bits más significativos de Ms i cada vez que R i = 1 Eligiendo un número significativo de valores S i al azar, y enviandolo al server conforme la figura arriba, un atacante puede recuperar a M eficientemente

59 CORE SECURITY TECHNOLOGIES Headquarters 44 Wall Street 12th Floor New York, NY USA Ph: (212) Fax: (212) Florida 141 2º cuerpo 7º piso (C1005AAC) Buenos Aires Tel/Fax: (54 11) 4878-CORE (2673) Rua do Rócio 288 7º andar Vila Olímpia São Paulo SP CEP Brazil Tel: (55 11) Fax: (55 11) G R A C I A S! Contacto: corelabs@corest.com

Documentos relacionados

Un zoom práctico en la criptografía moderna

Un zoom práctico en la criptografía moderna UADE 25 de septiembre, 2002 Ariel Futoransky Carlos Sarraute Ariel Waissbein Agenda Introducción Primitivas Protocolos Casos de estudio Introducción Qué es la