Métodos modernos de criptografía e identificación remota "

Transcripción

1 CONSECRI 2001 Métodos modernos de criptografía e identificación remota " Dr. Hugo D. Scolnik Prof. Titular Dpto. Computación FCEN -UBA FIRMAS DIGITALES SRL scolnik@fd.com.ar

2 1. Introducción. Definiciones básicas. 2. Inalterabilidad de los mensajes. El concepto de hashing. 3. Métodos simétricos. Confiabilidad, longitud de claves, el problema de la distribución de las claves. 4. Métodos asimétricos, transmisión de claves. Sobres digitales. El concepto de firma digital, claves privadas y públicas. Seguridad de los protocolos. Firma digital y firma electrónica. 5. Conceptos de tecnología PKI. Autoridades certificantes y certificados digitales. Normas a cumplir. 6. Modelos de e-commerce seguro. Sesiones SSL. Secure Mail. Form Signing. 7. Autenticación fuerte de clientes remotos. Biometría. Comparación entre técnicas tradicionales y nuevas tendencias hacia el uso masivo. 8. Aspectos legales de la criptografía aplicada en nuestro País. 9. Consultas y discusión abierta con los participantes.

3 Introducción. Definiciones básicas: texto plano, texto cifrado, encripción, desencripción, llaves, ataques por fuerza bruta.

4 ELEMENTOS BÁSICOS DE CRIPTOLOGÍA Criptografía: es el arte de transformar mensajes de modo tal que sean ilegibles para todos aquellos a los que no se les confiere el modo de acceder a los mismos. Criptoanálisis: es el estudio de las técnicas para quebrar mensajes criptografiados. Criptología: es el estudio de la Criptografía y el Criptoanálisis. Texto plano: es un mensaje original. Texto cifrado: es el resultado de criptografiar un texto plano.

5 OBJETIVOS DE LA CRIPTOGRAFÍA CONFIDENCIALIDAD INTEGRIDAD CERTIFICACIÓN DE ORIGEN NO REPUDIO

6 CONFIDENCIALIDAD

7 Encripción: es cualquier procedimiento para transformar un texto plano en un texto cifrado. Desencripción: es el procedimiento de transformar un texto cifrado en el correspondiente texto plano. Llave : es la clave - normalmente alfanumérica - para el proceso de encripción.

8 Entidad: alguien que envía, recibe, o manipula información. Emisor: una entidad que es un legítimo transmisor de información Receptor: idem Espía: una entidad que no es ni el emisor ni el receptor y que trata de alterar el proceso de comunicación. Canales: un canal es un medio de transmitir información de una entidad a otra, Un canal es físicamente inseguro si un adversario puede borrar, insertar, leer o modificar datos. Un esquema de encripción es quebrable si un adversario sin un conocimiento a priori del par (e,d) puede sistemáticamente recuperar el texto plano a partir del cifrado en un tiempo razonable. El objetivo de un diseñador es lograr que el ÚNICO ataque posible sea el de fuerza bruta

9 ATAQUE DE FUERZA BRUTA Consiste en probar en forma sistemáticamente todas las combinaciones posibles de las claves, hasta descubrir la que fue usada en una encripción

10 Seguridad de un sistema criptográfico debe depender únicamente del desconocimiento de las claves y no del algoritmo (este es generalmente conocido)

11 Punto 2. Inalterabilidad de los mensajes. El concepto de hashing. Los algoritmos MD5, SHA, SHA-1 y otros.

12 INTEGRIDAD

13 HASHING Cómo sabemos que un mensaje que recibimos y desciframos no ha sido alterado? Un espía o saboteador pudo haber interceptado el mensaje y haberlo alterado para estudiar el mecanismo o para causar daño.

14 Hash Function ν Es una función H que toma un string M, y produce otro, h, de tamaño fijo (generalmente más corto) ν Al resultado (h) de aplicar una hash function a un string se lo suele llamar simplemente hash del string M

15 Hash: dado un mensaje de bits una función de hashing aplicada al mismo da como resultado otro mensaje de longitud que constituye un resumen del mismo. La idea es que aunque obviamente hay otros mensajes que producen el mismo hash, es extremadamente difícil encontrarlos y aún más difícil que tengan un significado. Por lo tanto si se transmite un mensaje (encriptado o no) por una vía y su correspondiente hashing por otro (o firmado digitalmente), se puede verificar si el mismo ha sido alterado.

16 Secure Hash Functions ν ν ν h = H ( M ) con los siguientes requisitos: Dado M es fácil computar h Dado h es difícil encontrar el M original Dado M, es difícil encontrar otro M tal que H ( M ) = H ( M ) 2 tipos de s.h.f.: Sin clave, son las normales Con clave, llamadas MACs Aplicaciones: integridad de mensajes o archivos, firma de digestos en vez de mensajes.

17 PÁGUESE A HUGO SCOLNIK U$S Bill Gates HASHING A2F508DE091AB30135F2

18 PÁGUESE A HUGO SCOLNIK U$S Bill Gates FÁCIL IMPOSIBLE... sin colisiones! A2F508DE091AB30135F2 FUNCIÓN TRAMPA

19 Secure Hash Functions ν Sinónimos y variantes en distintos escenarios: compression function, contraction function, message digest, fingerprint, cryptographic checksum, data integrity check (DIC), manipulation detection code (MDC), message authentication code (MAC), data authentication code (DAC)

20 Secure hashes ν ν ν ν ν SNEFRU (128/256 bits); El SNEFRU de 2 pasos se puede quebrar, usando una PC, en 3 minutos [birthday: dado M, hallar M cuyo H(M )=H(M)], o en 1 hora (hallar un mensaje M dado un hash h) N-HASH MD2 (Message Digest-2, Ron Rivest, 128 bits, mas lento, menos seguro que MD4, usado en PEM) MD4 (Message Digest-4, Ron Rivest, 128 bits, muy usado) MD5 (Message Digest-5, Ron Rivest, 128 bits, MD4 con mejoras, muy usado, usado en PEM, SSL) ν SHA/SHA-1/SHA 256/SHA 512 (secure hash algorithm, 160 a 512 bits, usado en DSS, SSL) ν RIPEMD 128 / RIPEMD 160 ν OTROS

21 Métodos simétricos, DES, 3DES, IDEA, AES, Cryptoflash, confiabilidad, longitud de claves, el problema de la distribución de las claves.

22 CLAVE (ÚNICA) MÉTODOS DE ENCRIPCIÓN SIMÉTRICOS

23 ESTAMOS HABLANDO DE CRIPTOGRAFÍA G&%;{I8=U ENCRIPCIÓN SIMÉTRICA

24 Algoritmos simétricos ν ν ν ν ν ν ν ν DES (block, clave de 56 bits) 3DES (block, clave de 112/168 bits) RC2 (block, Ron Rivest, reemplazo para DES, clave de tamaño variable) RC6 (block, Ron Rivest, clave arbitraria) IDEA (block, international data encryption algorithm. clave de 128 bits) NCT (block, non-linear curves traveller, clave arbitraria) AES - RIJNDAEL (block, clave 128/256-bits) CRYPTOFLASH (Stream, clave de 1024-bits)

25 Elementos básicos de los métodos simétricos. Todos los algoritmos criptográficos transforman a los mensajes en secuencias numéricas. Por ejemplo, si numeramos las letras del alfabeto utilizado en el idioma castellano obtenemos: A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z El mensaje: V A M O S A L C I N E Se escribe:

26 Donde escribimos A 01, etc, para dejar en claro la codificación. Aquí no hemos hecho distinción de mayúsculas y minúsculas ni hemos agregado los signos de puntuación con propósitos ilustrativos (en la vida real se utiliza todo el código ASCII o EBCDIC) El método más simple es el de corrimiento (shift cipher en inglés) que se remonta a la época de Julio César y consiste simplemente en asignarle a cada letra la que le corresponde k posiciones mas adelante. En el ejemplo anterior, si usamos k=3 como lo hacía Julio César, resulta: =26 Y ; 01+3=4 D, etc, obteniendo finalmente: YDORVD ÑFLPH

27 En los sistemas que hemos visto suscintamente hasta el momento los caracteres sucesivos son encriptados usando la misma clave. Estos métodos se llaman de bloques (block ciphers). Un método alternativo muy utilizado es el de flujo (stream ciphers). La idea esencial es un flujo de claves cambiantes que dependen de la clave inicial fijada, y de los caracteres anteriores. Por ello, un cifrado de bloques es un caso especial de un cifrado de flujo donde la clave es siempre la misma. Los stream ciphers son muy utilizados actualmente (p.ej. CryptoFlash)

28 MODO ECB (sin feedback) aaaaaaaa aaaaaaaa aaaaaaaa xd$#!0). xd$#!0). xd$#!0). MODO CBC (con feedback) aaaaaaaa aaaaaaaa aaaaaaaa I.V. 4 kg8xb: et5$m>ls Rq0@Ñ+#* MODOS OPERATIVOS

29 CLAVE 4 Bytes 6 Bytes 8 Bytes Minúsculas (26).5 sec 5 min 2.4 dias minúsc + dígitos (36) 1.7 sec 36 min 33 dias Caracteres alfanuméricos (62) 15 sec 16 horas 6.9 años Caracteres ASCII (128) 4.5 min 51 dias 2300 años Bytes (256) 1.2 horas 8.9 años años Exploración a razón de pruebas/segundo (y el poder computacional se duplica cada 18 meses)

30 SEGURIDAD ALGORITMO Y CLAVE RC4 cipher, 128-bit key RC2 cipher, 128-bit key Triple-DES cipher, 168-bit key IDEA cipher, 128-bit key DES cipher, 56-bit key RC4-Export cipher, 40-bit key RC2-Export cipher, 40-bit key No Encryption cipher

31 En 1980 Stephen Wolfram desarrolla un nuevo algoritmo simétrico basado en un AC, su uso quedó relegado por su baja performance. Fue criptoanalizado en 1981, bajo ciertas restricciones. En Mayo de 1998 se quiebra el DES 56-bits con una Workstation dotada con una plaqueta especial en menos de 24 Horas y un presupuesto de $ (ataque de fuerza bruta = 2 56 = ) En 1998 se abre el concurso al reemplazante del DES (AES). La selección ha concluído en octubre 2000, habiéndose seleccionado un algoritmo de bloques (Rijndael) con clave de 128/256-bits. En Agosto 1999 se desarrolló en Argentina un algoritmo de flujo basado en un AC no lineal con clave de 1024-bits (CryptoFlash)

32 RELATIVE BENCHMARK OF Cryptoflash AND THE SYMMETRIC ALGORITHM SELECTED BY THE NIST (10/02/2000) AS THE AES (Advanced Encryption Standard) ON A STANDARD PENTIUM USING TEXTS WITH LENGTHS > 2 15 bytes AES Rijndael Cryptoflash 20 CPU Cycles/byte 7 CPU cycles/byte 285% faster Max key length: 256-bits Max key length: 1024-bits --difficult scalability with performance slowdown -the inverse takes more code & time - CPU Fully scalable (8/16/32/64-bits) with same performance - inverse and direct take the same code & time Bibliography: [1] Wolfram,S., Cryptography with Cellular Automata, CRYPTO 85 [2] Meier,W. et al., Analysis of Pseudo Random Sequences Generated by Cellular Automata, EUROCRYPT 91 [3] Hecht, J.P.,, Generación de caos determinístico y atractores extraños usando AC, FOUBA, Mar 2000 [4]. Schneier et al, Performance Comparison of the AES Submissions Vers1.4b Jan 15, (1999) [5]

33 Métodos inquebrables. One time pad o anotador de única vez.

34 Si consideramos que el texto a encriptar es una sucesión de números binarios, un método de criptografía puede considerarse como un algoritmo que genera números binarios que se SUMAN a los anteriores módulo 2 (es la operación XOR que corresponde a la tabla de verdad de la disyunción excluyente). Esta tabla es: x y x y

35 Stream ciphers El encriptamiento de un bloque depende de la historia M = { a 1, a 2, a 3,...} K = { k 1, k 2, k 3,...} E = { e 1, e 2, e 3,...} Se cumple que e i a i = a = e i i k k i i Pero CUIDADO! k i = a i e i

36 XOR Si a cada número binario del texto original se le suma módulo 2 (XOR) un bit aleatorio en una secuencia que se usa UNA SOLA VEZ, se obtiene el llamado one time pad, método que se puede demostrar mediante la teoría de la información desarrollada por Shannon que es inviolable. El problema es que hay que distribuír tantas claves (bits) como longitud tengan los mensajes a transmitir

37 Métodos asimétricos, transmisión de claves. El método de Diffie-Hellman. Sobres digitales, RSA. El concepto de firma digital, claves privadas y públicas. Seguridad de los protocolos.

38 Como distribuir las claves secretas La idea es disponer de un conjunto numerado de claves y transmitir códigos ininteligibles para un espía que permiten arribar mediante operaciones matemáticas al mismo número. Este valor en común entre los usuarios habilitados será utilizado luego como llave de un algoritmo simétrico.

39 Método de Diffie-Hellman Este fue el primer algoritmo de clave pública y es universalmente utilizado para el intercambio seguro de claves. sea p un entero primo grande y a un entero menor a p Los usuarios 1 y 2 eligen arbitrariamente exponentes enteros x, y que mantienen SECRETOS y proceden a calcular y envíarse recíprocamente lo siguiente: El usuario 1 calcula y envía a 2 El usuario 2 calcula y envía a 1 f(x) = (a)^x mod p f(y) = (a)^y mod p

40 Ahora 1 calcula K = ( f(y) ) ^x mod p = ( (a)^y ) ^x mod p...y 2 calcula K = ( f(x) ) ^y mod p = ( (a)^x ) ^y mod p donde K = K y ambos usan esa nueva clave!

41 Ejemplo: Sea p = 23, a = 5, x = 6, y = 10. Ahora el usuario 1 calcula: x 6 f ( x) = a mod( p) = 5 mod( 23) = 15625mod( 23) = 8 y se lo envía al usuario 2. El usuario 2 calcula y 10 f ( y) = a mod( p) = 5 mod( 23) = mod( 23) = 9 y se lo envía al usuario 1.

42 El usuario 2 recibió el número 8 y procede a calcular: y 10 K = f ( x) mod( p) = 8 mod( 23) = 3 El usuario 1 recibió el número 9 y calcula: x 6 K = f ( y) mod( p) = 9 mod( 23) = 3 Por lo tanto ambos llegaron a la MISMA clave.

43 Qué consigue un espía? Intercepta los números y aunque conozca el primo elegido y la base (o sea ), no sabe cuales fueron los números.para encontrar la clave común tendría que resolver el llamado problema del logaritmo discreto, por ejemplo: 5 x mod( 23) = 8 Cuando los números involucrados son muy grandes, y están bien elegidos, este problema es computacionalmente irresoluble en un tiempo razonable.

44 Ejemplo: p x y = , a = , = , = Los resultados son: f ( x ) = , f ( y ) = y la clave común a la que ambos arriban es: K = Obviamente puede usarse esta clave en un algoritmo simétrico o puede ser una referencia a un conjunto de claves numeradas,

45 El espía (si llegó a conocer los números p, a) tendría que resolver la ecuación: x mod( ) = En la práctica se usan números mucho mayores, lo que solo es factible con un software o hardware muy bien implementado.

46 Tests de primalidad basados en la simetría de los subgrupos de bases no-testigos testigos. Alumna: : Marcela Noemí Nievas. Director: : Dr. Hugo Daniel Scolnik.

47 Objetivo Objetivo Determinar la primalidad de un número n impar dado, en forma más eficiente a la usual, disminuyendo la cota de error,, al declarar al número n,, como primo.

48 Introducción Quiénes necesitan números primos? ν Criptosistemas RSA ν Esquemas de Firmas Digitales ν Esquema de Intercambio de Claves

49 Introducción RSA Obtener P y Q primos grandes, distintos. Calcular n = P Q Elegir e primo relativo con (n) = (P-1).(Q-1) Calcular d, tal que e.d 1 mod ( (n)) Destruir P, Q y (n) Clave pública (e, n) y clave privada (d, n), ó viceversa. Se encripta m, haciendo c = m e mod (n) Se desencripta c, haciendo m = c d mod (n)

50 Introducción Por qué se necesitan números primos? Porque su seguridad radica en no poder factorizar el número n = P Q,, en un tiempo razonable.

51 Tests de Primalidad νtest de Fermat νtest de Miller νtest de Miller-Rabin

52 Test de primalidad En qué se basan los tests de primalidad? Se basan en las propiedades algebraicas que cumplen los números primos

53 Test de primalidad Pequeño Teorema de Fermat: Si n es primo. b entero, tal que MCD(b,n) ) = 1 entonces b n-1 1 mod (n) Test de Fermat: Buscar algún b tal que, b n-1 1 mod (n) Si lo encuentra n es compuesto Si no, declara a n como posible primo

54 Test de primalidad Problemas con el Test de Fermat Los seudo primos de base b Números de Carmichael Son números compuestos

55 Test de primalidad Seudo Primos de Base b Cumplen con b n- 1 1 mod (n) para n compuesto Números de Carmichael (1910) b entero / MCD(b,n) ) = 1, cumplen b n- 1 1 mod (n)

56 Los tests basados en el teorema de Fermat calculaban a n-1 mod (n), con a = 2 y comprobaban si el resultado era igual a 1 ó no. Pero este método no fué suficiente, dado que existen números compuestos n que satisfacen el teorema. Por ejemplo, tomando n = 341 se puede comprobar que mod (341) siendo 341 =

57 Seudo primos de base b Sea n un número impar compuesto. Si existe b, tal que b n-1 1 mod (n) para algún 1 b < n, entonces n es llamado seudo primo de base b porque cumple con la propiedad de Fermat, aunque n sea compuesto. En el ejemplo anterior, 341 es llamado seudo primo de base 2. La existencia de estos seudo primos, invalidó el uso del teorema de Fermat como Test de primalidad. Una solución parcial, fue cambiar de base igual a 2 a base igual a 3. De esta forma algunos seudo primos de base 2 fueron detectados. En nuestro ejemplo, mod (341), por lo que es detectado como compuesto.

58 Aquí se dice que 3 es Testigo y 2 es No-Testigo de que 341 es compuesto, utilizando el pequeño Teorema de Fermat como test de primalidad. Pero también existen números que son seudo primos de bases iguales a 2 y 3 y de bases iguales a 2, 3 y 5 simultáneamente. Ejemplo, mod (65341), mod (65341) y mod (65341) pero = , compuesto Entonces, Existe algún n que sea seudo primo para toda base en el intervalo [1,,n-1]?

59 Test de primalidad de Miller Secuencia de Miller (1976) n 3 entero impar, n 1 = 2 con Para q entero impar, k algún b, 1 b ( n 1 1), se obtiene la secuencia de Miller k q { b q, b 2 q,...,b 2 k 1 q,b 2 k q }

60 Test de primalidad de Miller Propiedad de Miller Si n es primo impar dada la sec. { b q, b 2 q,...,b 2 k 1 q,b 2 k q } sucede que, q b 1 mod ( n) ó b 2 j q ( n 1) mod ( n) con 0 j k 1

61 Test de primalidad de Miller Test de Miller ν Se basa en elegir bases b al azar en el intervalo [1,...,n-1] 1] y comprobar si cumplen o no, con la propiedad de Miller.

62 Test de primalidad de Miller Testigos y No-Testigos ν Para n entero compuesto impar b es TESTIGO si con él se detecta que n es compuesto. b es NO-TESTIGO si con él no se puede comprobar que n es compuesto.

63 Test de primalidad de Miller Seudo Primos Fuertes Sean q 1,..., q r los primeros r primos. Ψ r es el menor entero positivo que es seudo primo para las bases las bases q 1,..., q r Algunos de ellos son: r Ψ 1 Ψ 2 Ψ 3 Ψ 4 Seudo Primo Fuerte

64 Test de primalidad de Miller-Rabin Cuántos No-Testigos hay? ν En 1977, Michael Rabin demostró que la cantidad de bases No- Testigos para todo n entero compuesto impar es menor a n/4.

65 Test de primalidad de Miller-Rabin Pero... Sea n entero impar de 155 dígitos decimales ( ) Hay que probar con (n/4)( bases pero (n/4)( 10

66 Investigación de las Bases No-Testigos

67 Investigación Análisis de las bases No-Testigos Sea n = 561, el primer Carmichael. Las bases No-Testigos para n son {1, 50, 101, 103, 256, 305, 458, 460, 511, 560}

68 Investigación (I) Secuencias de Miller para 561 Base No- Testigo Secuencia de Miller {1, 1, 1} {560, 1, 1} {560, 1, 1} {1,, 1, 1} {1, 1, 1} {560, 1, 1} {560, 1, 1} {1, 1, 1} {1, 1, 1} {560, 1, 1}

69 Investigación Teorema 1 Sea b [1,..., n-1], con n y q enteros impares, entonces b q 1 mod (n) (n-b) q (n-1) mod (n).

70 Investigación Corolario 1.11 Sea b [1,..., n-1], con n y q enteros impares, entonces b q (n-1) mod (n) (n-b) q 1 mod (n).

71 Investigación Teorema 2 Dado n número entero impar, b es No-Testigo para n (n-b) es No-Testigo para n (usando el método de Miller).

72 Investigación Resumen b es No-Testigo (n-b) es No-Testigo

73 Investigación Corolario 2.12 n 3 entero impar, sucede que las bases 1 y (n-1) siempre son No-Testigos para n (usando el método de Miller).

74 Investigación Resumen b es No-Testigo (n-b) es No-Testigo 1 y (n-1) siempre son No-Testigos

75 Investigación Si partimos el intervalo [1,...,n-1] por la mitad Por el Teorema 2, tenemos que: 1 (n-1) b n-b Entonces, tenemos igual cantidad de bases No-Testigos en cada subintervalo

76 Investigación Corolario 2.2 n 3 entero impar, la cantidad de bases No-Testigos en el intervalo [1,..., (n-1)] es par (usando el método de Miller).

77 Investigación Resumen b es No-Testigo (n-b) es No-Testigo 1 y (n-1) siempre son No-Testigos La cantidad de No-Testigos es par

78 Investigación Resumen b es No-Testigo (n-b) es No-Testigo 1 y (n-1) siempre son No-Testigos La cantidad de No-Testigos es par Las bases No-Testigos conforman un * subgrupo propio de Z n

79 Investigación (II) Secuencias de Miller para 561 Base No- Testigo Secuencia de Miller {1, 1, 1} {560, 1, 1} {560, 1, 1} {1,, 1, 1} {1, 1, 1} {560, 1, 1} {560, 1, 1} {1, 1, 1} {1, 1, 1} {560, 1, 1}

80 Investigación Teorema 4 Las bases impar utilizando en el con las bases intervalo [ No -Testigos el intervalo [1,..., n 1 2 No - Testigos + 1,..., n método n 1 2 ] están espejadas 1]. para n de Miller, en el entero

81 Investigación Resumen b es No-Testigo (n-b) es No-Testigo 1 y (n-1) siempre son No-Testigos La cantidad de No-Testigos es par Las bases No-Testigos conforman un * subgrupo propio de Z n Las bases No-Testigos están espejadas

82 Investigación Por Rabin sabemos que b / b es Testigo de n 3( n 1) 4 b / b es No - Testigo de n < ( n 1) 4 1 (n-1) b n-b b / b es No - Testigo de n ( 1) < n 8

83 Investigación Teorema 5 n en [2,..., 9 entero impar, Test de Miller con n-1 2 respuesta es "Test no concluyente", entonces el ], número si n-1 8 se utiliza bases distintas y en todos los casos la n es primo. el

84 Investigación Resumen b es No-Testigo (n-b) es No-Testigo 1 y (n-1) siempre son No-Testigos La cantidad de No-Testigos es par Las bases No-Testigos conforman un * subgrupo propio de Z n Las bases No-Testigos están espejadas [ n-1] En el intervalo 2,..., n-1 bases No - Testigos. 8 2 hay menos de

85 Tests Propuestos

86 Tests Propuestos Resumen b es No-Testigo (n-b) es No-Testigo 1 y (n-1) siempre son No-Testigos La cantidad de No-Testigos es par Las bases No-Testigos conforman un * subgrupo propio de Z n Las bases No-Testigos están espejadas [ n -1] En el intervalo 2,..., n -1 8 bases No - Testigos. 2 hay menos de La brecha más grande de No-Testigos Log 10 (n) + 6 T E S T S

87 Tests Propuestos 10) cantiteraciones = 0 Test Miller-MásUno MásUno 15) l = ParteEnteraInferior (Log(10, n)) ) b = EnteroAlAzarDentroDelIntervalo (2, ((n-1)/2) - l - 1) 30) Si Testigo(b, n) entonces 40) Declarar a n como compuesto. 50) sino 60) cantiteraciones = cantiteraciones ) Si (cantiteraciones = (l+1)) entonces 80) Declarar a n como primo 90) b = b ) ir a 30 Cant. de dígitos de n en base 10, más 5. Basadose en la Conjetura. Toma una base b que pertenezca al intervalo. con prob. de error 4 (l+1 ).

88 Tests Propuestos Test Miller-EvitarNoTestigos 10) Lista = CrearListaVacia() Toma la primera base al azar 20) b = EnteroAlAzarDentroDelIntervalo (2, (n-1)/2) 25) cantiteraciones = 0 30) Si Testigo(b, n) entonces 40) Declarar a n como compuesto 50) sino 55) cantiteraciones = cantiteraciones ) Lista.Agregar (b) 70) Si (cantiteraciones = t) entonces 80) Declarar a n como primo, con prob. error 90) b = NuevaBase (Lista) 100) ir a 30 Agrega la base No-Testigo a la lista. F ENT Calcula una nueva base que tenga chance de ser Testigo. ( n, t)

89 Tests Propuestos Test Miller-EvitarNoTestigos Función: NuevaBase Entrada: L: Lista de Enteros Salida: c: Entero L Si c pertenece a la lista, entonces continúa recorriendo la lista. Si ya no quedan elementos en la lista, entonces calcula una nueva base con la función EnteroAlAzarDentroDelIntervalo mod(703) = mod(703) = 636. Espejo(636) = 67 n = 703 c = n 1 =

90 Resultados Obtenidos

91 Resultados Obtenidos Números Primos Muestra de 500 números primos de 155 dígitos decimales. t Miller-Rabin Miller-MásUno MásUno Miller-EvitarNoTestigos ,248 12,455 24,695 37,489 40,505 50,152 Tiempos en segundos ,495-0,235 12,871 26,824 42,130 45,713 59,076

92 Resultados Obtenidos Seudo Primo ψ 4 Tiempo promedio empleado por los Tests para declarar a ψ 4 como compuesto. Se realizaron pruebas para cada Tests. t Miller-Rabin Miller-MásUno MásUno Miller-EvitarNoTestigos 16 13,087 12,803 12,303 Tiempos en segundos

93 Resultados Obtenidos Seudo Primo ψ 4 Tras varias ejecuciones, el Test de Miller- Rabin respondió con 16 pruebas, que el seudo primo fuerte Ψ era primo. 4 Lo cual, bajo la hipótesis de la conjetura, nunca hubiera ocurrido si se hubiese utilizado el Método Miller-MásUno

94 Conclusiones I - Conclusión Se redujo a la mitad, la cantidad de bases que deben ser testeadas, para declarar a un número n como primo, sin cometer error.

95 Conclusiones II - Conclusión La propiedad de espejo, permitió la reducción del intervalo a [2,..., n- 1 ] 2 en el Test Miller-Rabin, logrando así evitar que el generador seudo aleatorio devuelva los espejos de bases No- Testigos ya testeadas.

96 Algoritmos de clave pública ν ν ν ν ν Diffie-Hellman (distribución de claves) RSA (encriptado, firmas digitales) ES EL ESTÁNDAR INTERNACIONAL DE FACTO ElGamal (distribución de claves, encriptado) DSA (firmas digitales) La mayor parte basados en uno de estos tres problemas difíciles: logaritmo discreto: p, primo: g y M enteros, encontrar x tal que g x = M (mod p) factoreo (RSA?) knapsack (dado un conjunto de números particulares, encontrar un subconjunto cuya suma sea N)

97 Conclusiones IV - Conclusión Si se demuestra la Conjetura presentada, entonces el Test Miller-MásUno, respondería si un número n dado es primo o no, sin cometer errores, en tiempo computacional aceptable.

98 Conclusiones Conclusión Final Inicialmente las bases No-Testigos, eran bases que engañaban al Test de Miller-Rabin y solo podían ser acotadas. Ahora, dadas las propiedades demostradas, estas bases brindan información muy relevante para la construcción de nuevos Test de Primalidad. Tal como se hizo en los Test presentados.

99 CLAVE (PÚBLICA) MÉTODOS DE ENCRIPCIÓN ASIMÉTRICOS (pueden ser de clave pública) CLAVE (PRIVADA)

100 Criptografía de Clave Pública (caso particular de la Asimétrica) ν ν Mediante un programa, el usuario genera un PAR de claves. Una es la pública, la otra es la privada (secreta). Si se encripta con una, se desencripta con la otra. Kprivada Kpública C P E D P Kpública Kprivada P E C D P

101 ESTAMOS HABLANDO DE CRIPTOGRAFÍA PRIVADA PÚBLICA ]fq1^+jw3! G&%;{I8= ENCRIPCIÓN ASIMÉTRICA

102 gen. de # al azar Clave pública Resguardo de clave privada gen. de claves RSA Clave priv. almacenam. + salt passphrase 3DES salt clave privada cifrada

103 Criptografía PROTECCIÓN DE LA CLAVE PRIVADA EL USUARIO ES EL ÚNICO RESPONSABLE DEL USO (o abuso) DE SU CLAVE PRIVADA. CÓMO PROTEGERSE? IDENTIFICACIÓN BIOMÉTRICA (huella digital) ALMACENAMIENTO PORTATIL (smartcards, etoken)

104 RSA (Rivest-Shamir-Adleman) Cada usuario tiene una clave pública y una secreta donde todos los números involucrados son enteros. El algoritmo es el siguiente: 1) 2) Calcular 3) Elegir dos primos distintos Elegir 4) Calcular d, solución dela ecuación modular c. d n = mod( φ( n)) = 1 5) La clave privada es ( c, n) y la pública ( d, n) o viceversa p. q, φ( n) c talque MCD( c, φ( n)) = 1 (existe p y q = ( p-1).( q-1) y es única!)

105 Para encriptar un mensaje se fracciona el mismo en bloques de bits de longitud M tal que 1 M N y se calcula C M1 = M mod( N) Para descifrar el mensaje el destinatario (que es el único que conoce D) calcula D M mod( N) = M 1

106 Ejemplo: P = 127, Q = 103, N = 127*103 = 13081, φ(n) = (P - 1)*(Q - 1) = Elegimos C = 59. Entonces, C*D mod(φ(n)) = 59*D mod (12852 ) La solución es D = Si el problema es transmitir la letra B usamos M = 2. M = C M mod( N ) 59 1 = 2 mod( 13081) = que es lo que se transmite

107 El que recibe calcula M D mod( N ) = mod(13081) = 2 Normalmente se dividen los mensajes en bloques cuya longitud es la mayor potencia de 2 menor que el número primo utilizado, aunque existen consideraciones de precisión numérica - dependiendo de la cantidad de bits utilizados en la implementación - que pueden llevar a disminuír dicho valor.

108 * * * CLAVE PRIVADA 2048-bits* * * D: N: 306 dígitos dígitos

109 * * * CLAVE PUBLICA 2048-bits* * * C: dígitos

110 Encriptemos el siguiente mensaje: Prueba de RSA con longitud 2048 El resultado de aplicarle RSA con la clave privada a un mensaje ES UN NÚMERO. En nuestro caso resulta: