II55 - SPI 2 Apuntes de teoría Alejandro Llaves Arellano

Transcripción

1 II55 - SPI 2 Apuntes de teoría Alejandro Llaves Arellano Este es el temario del curso, extraido de la web de la asignatura Los apuntes recopilados en este documento siguen aproximadamente esta estructura. 1. Infraestructuras de clave pública. 1. Repaso del modelo x Autoridades de certificación x Declaración de prácticas de certificación (CPS). 2. Tipos de certificados habituales. 3. Modelos de expedición de certificados. 3. Dispositivos criptográficos. El clauer. 2. Librerías y arquitecturas criptográficas. 1. OpenSSL 1. Openssl desde línea de comandos. El fichero de configuración. 2. Programación. 2. CryptoAPI. 1. Arquitectura. 2. CSP y Cert. Store Provider. 3. Programación. 4. Capicom. 3. Pkcs# Protocolos criptográficos. 1. Firma ciega de Chaum. 2. Lanzar una moneda. 3. Compartición de secretos. 4. Dinero electrónico. 5. Voto telemático.

2 Refrescando la memoria... CRIPTOSISTEMA Llave pública: asimétrico (2 llaves, pública y privada) Llave privada: simétrico (1 sola llave, privada) M E C K P, K D Con RSA se pueden realizar 2 procesos básicos: Firma: C = E ka (m)... Autenticidad Cifrado: C = E pb (m)... Confidencialidad Función hash De un conjunto de mensajes infinitos, se obtiene un conjunto de resultados finitos. PROBLEMA: Colisiones. En la práctica, con las funciones hash que utilizamos no aparecen colisiones. Dado el hash, es imposible obtener el mensaje. Operación firma firma ka verificación pa Hash(m) = H(m) firma M E ka (H(m)) x D pa (x) = h h == h'? H(m) = h' Operación cifrado simétrico cifrado pb descifrado kb E s (m) E pb (s) id... E pc (s) id grande pequeña para identificar los datos añadiendo estos campos, podemos enviar el mensaje a otra persona s: llave única de sesión de 3DES, RSA, AES. Secreta, única, desechable, un solo uso.

3 Hash Punto débil: si llegados al punto p, el hash es el mismo, al añadirles detrás un mensaje igual, el hash sigue siendo el mismo. m1 m p m2 m Ejemplo: En un archivo postcript... cabecera if ( A == A )... else... - Fallos en md5 y sha1 cabecera MISMO HASH! if ( A == B )... else... - Sin fallos en sha2 Podrían firmarnos un archivo que pusiera Alejandro Llaves ha completado el primer ciclo de Ingeniería Informática y nosotros cambiar los bits de otro archivo que sea el testamento de la persona que va a firmar. El emule utiliza md4. Calcula el md4 de cada bytes (o fracción). Una vez obtiene la lista de todos los md4, el emule los concatena y calcula el md4 del nuevo mensaje. ed2k://[file]/[nombre]/[tamaño]/[md4] 128 bits 16 bytes...32 caracteres El torrent utiliza md5. Red Tor: cliente + privoxy Privoxy es un programa que funciona como proxy web, usado frecuentemente en combinación con Tor y Squid. Tiene capacidades avanzadas de filtrado para proteger la privacidad, modificar el contenido de las páginas web, administrar cookies, controlar accesos y eliminar anuncios, banners, ventanas emergentes y otros elementos indeseados de Internet. Privoxy tiene una configuración muy flexible y puede ser personalizado para adaptarse a las necesidades y gustos individuales. Privoxy es útil tanto como para sistemas aislados como para redes multiusuario. Yo red de proxies URL Se está estudiando en la UJI para hacer encuestas.

4 REFLEXIÓN El problema grave de la seguridad es la confianza. En la práctica se da por hecho, pero no debería ser así. A la hora de evaluar un determinado sistema, de quién nos tenemos que fiar? Lo primero es establecer la confianza y después ya se aplicarán las técnicas adecuadas: Confianza en el software Por ejemplo, Microsoft. Podemos depositar nuestra confianza en grandes compañías, aunque nadie nos garantiza nada. Confianza en la autenticidad (llave pública) Confianza directa: llave pública obtenida directamente del propietario. Confianza autoadquirida: aunque al hacer el ssh y contestar yes no sepas con certeza si la máquina a la que te conectas es la deseada, a medida que vas trabajando en el entorno, vas adquiriendo la confianza (programas, directorios, etc.). Confianza indirecta Horizontal: todos los usuarios del sistema tenemos el mismo nivel ( Los amigos de mis amigos son mis amigos ). Establecer niveles de confianza. Usuario experto. Vertical: para uso genérico, este modelo es más operativo. Los usuarios no han de ser expertos. Se deposita la confianza en la TTP (Tercera Parte de Confianza). En el caso de las llaves públicas, TTP -> CA (emisión de certificados). Un certificado es una asociación entre unos datos y una llave pública. La CA genera estos certificados y todas las personas que la usan, confían en la CA. CA Hay una serie de CA's que la mayoría de navegadores consideran como fiables. Esto significa confiar en el buen hacer de la CA (asociación datos-llave_pública correcta) y en que el método de obtención del certificado es fiable. Una CA tiene un CPS (Cert. Pract. Stat.), documento donde la CA nos cuenta lo que hace. El CPS es auditado por WebTrustCA, que comprueba que la CA auditada hace lo que el CPS dice. También podemos confiar en la CA por la naturaleza de la entidad, por ejemplo, la Fábrica Nacional de la Moneda y Timbre. Otros motivos: porqué se fían mis amigos. Qué es la brecha digital? Es el precipicio que se va creando entre la gente que domina las nuevas tecnologías de la información y los analfabetos digitales. La obligación de las instituciones es poner la información necesaria al alcance de la gente a la que le interese conocer los detalles técnicos.

5 Modelo x509 Issuer Subject Nº de serie Fi-FF Version CN O OU DN L ST C ( ) Extensiones: campo donde se puede poner cualquier cosa (dni,etc.) Mención algoritmos: ponerse el OID Llave pública Firma Propósito: lista de bits que indica para qué sirve el certificado. La Generalitat Valenciana emite 2 certificados, uno de firma y uno de cifrado, cuya única diferencia es el propósito. ISO Descripción de datos en ASN1 DER (Distinguished Encoding Rules) BER (codificación binaria) extensiones GVA lugar correcto para el DNI Nom Ap1 Ap2 Dentro del ISO existe un número que identifica un objeto: OID Object ID. Los OID's utilizan una numeración similar a las IP's: La ISO tiene un número OID para las empresas, a partir del cual las empresas numeran sus objetos como quieren. PROBLEMAS DE LA CRIPTOGRAFÍA DE LLAVE PÚBLICA Qué pasa si a alguien le roban la llave privada? Cómo sabemos que ya no es válida? Las CA's emiten periódicamente unos documentos llamados CRL, donde se añaden todos los certificados revocados. Para comprobar una firma habría que descargarse cada vez la CRL. Para solucionar esto, ahora se puede validar una firma contra una web (OCSP). Aunque este método desvirtúa el proceso clásico off-line de la firma digital. FORMATOS PKCS pkcs1: Cómo se debe utilizar el RSA. pkcs7: Utilizado en el SMIME para enviar correo firmado. pkcs10: Petición de certificado autofirmada, es decir, firmada con la lave privada. pkcs11: Describe como construir interfaces con dispositivos. Documento muy grande. A Microsoft no le satisface este formato y utiliza cryptoapi. pkcs12: Transporte privado de objetos (llaves, certificado, CA, CRL). No tiene representación en PEM porqué es un objecto completamente cifrado.

6 MODELOS CA GVA Certificado software: no va acompañado de un hardware específico. Se almacena en USB, disco duro, etc. Se obtiene presentándose en un punto de registro o delegación (RA) de la GVA, tras una identificación previa del solicitante a través de su DNI o pasaporte. Puede entregarse: en un diskette: Firma en pkcs12: firma creada por GVA. No se queda con copia. Cifrado en pkcs12: se queda con copia por ley. en Clauer: Firma y cifrado en formato interno del Clauer. Certificado en tarjeta: mismo procedimiento. En presencia del solicitante, el operador genera un certificado interno (firma), y uno externo (cifrado) del que se queda una copia. A continuación, ambos son introducidos en la tarjeta SIEMENS. Las llaves no pueden ser sacadas de la tarjeta. Estas tarjetas cumplen el FIPS 1440: chips resistentes a rayos X, apertura, etc. Para evitar la exposición de la llave de la CA, la GVA crea una CA intermedia que puede ser anulada por la CA raíz. Fábrica Nacional de la Moneda y Timbre (FNMT) Cuentan con todos los DNI's registrados en España. Compra de la tarjeta por tu cuenta en Barcelona, por 36. 1ª fase: el solicitante genera la petición desde casa y recibe un número de identificación (se queda con la llave privada en su máquina y envía la pública). 2ª fase: el solicitante acude al punto de registro con el DNI, una fotocopia del DNI y el número de identificación. 3ª fase: 24 horas después, el solicitante descarga el certificado en casa en la misma máquina desde la que realizó la petición. CATcert 2 posibilidades: 1º- El solicitante rellena un formulario web muy completo. 2º- Generación de la petición del certificado. 3º- Identificación presencial. 4º- Recogida del certificado. o... 1º- Preidentificación en un punto de registro y obtienes un código. 2º- Generas la petición. 3º- Recogida del certificado. La entrega de los certificados es similar a la de la GVA, con la diferencia que sólo se reparte en formato Clauer. Verisign Certificado para verifica que la persona que posee el certificado puede acceder al que dice. Certificado Personal: necesaria fotocopia del DNI. Certificado Personal Pro: el solicitante debe presentarse en las delegaciones de Verisign.

7 NETSCAPE vs INTERNET EXPLORER Netscape Para generar un par de llaves en el explorador Netscape mediante HTML: <form> <keygen name=... > </form> Esto muestra un desplegable donde el usuario puede elegir la longitud de las llaves a generar. Al enviar el formulario, crea las llaves pública y privada, y envia la Signed Public Key And Challenge (SPKAC), llave pública firmada con la llave privada. Almacena la llave privada en el almacén de llaves local (key3.db). Podemos crear un certificado con openssl así: 'openssl ca - spkac' Internet Explorer En cambio, es este caso, la sintaxis es la siguiente: <object... id= pep > <script> pep.createpkcs10( DN ); </script> ARQUITECTURA EN SEGURIDAD Qué pasa si tengo una tarjeta criptográfica? Que no puedo usarla con Firefox porqué los dispositivos no están en ficheros. Entonces el RSA creó el pkcs11, de manera que: Aplicaciones API Librería criptográfica PKCS11 PKCS11 HW HW Es posible que la tarjeta quiera ser la encargada de firmar, es decir, que no deje al pkcs11 extraer los certificados. Entonces, el pkcs11 ha de ocuparse de todo: firmar, cifrar, generación de llaves,... todo esto trabajando a bajo nivel. Cuando introduzco la etiqueta <keygen> en HTML, si no tenemos ningún dispositivo conectado a la máquina, será el navegador el que genere las llaves. En caso contrario, nos mostrará una lista para elegir el dispositivo. El pkcs11 es el estándar que propone RSA Laboratories. A Microsoft no le gusta el pkcs11... y tiene motivos para ello. Inconveniente: Qué pasa si otra aplicación tiene que utilizar otro pkcs11? Cada vez que que tenemos que añadir un pkcs11, hay que añadirlo a todas las aplicaciones ya que está implementado a nivel de aplicación. En cambio,

8 cryptoapi (Windows) está implementado a nivel de sistema operativo, lo que le permite ser usado por todas las aplicaciones tan sólo con añadir el módulo al sistema. Aplicaciones Cert. Store Provider Store API Librería criptográfica CSP HW CSP HW Cryptologic Service Provider El cryptoapi no es tan difícil de implementar como parece, ya que puede llamar a funciones del CSP de Microsoft, ya implementado. Además, los certificado no los maneja el CSP. pkcs11 = CSP + Store Un Store se puede crear y destruir cuando se quiera. Entonces, dónde busca el Internet Explorer los certificados? Microsoft trata los Stores como particiones, de manera que un Store lógico se puede dividir en varios Stores físicos. Pero para gestionar los certificados de manera más eficiente, Microsoft los almacena de la siguiente manera: MY: certificados de usuario y otros. CA: CA's intermedios. ROOT: CA raíz. Cuando vamos a entrar a una página web segura, Internet Explorer nos muestra todos los certificado disponibles en Stores. Al elegir uno de ellos, el navegador ya sabe qué CSP utilizar al comprobar la asociación de Store lógico con Store físico. La ventaja de este tipo de arquitectura es que la integración del hardware se produce para todas las aplicaciones, en lugar de sólo para una. SEGURIDAD WEB La falta de seguridad puede ser debida a un descuido del programador. Ejemplo: En Apache está por defecto: php: interpretado php2: texto Por lo tanto, se puede ver el código fuente a menos que programador lo evite. En la verificación de datos: Solo se comprueban una vez los datos, por lo tanto, una vez autenticado puedes cambiar el código fuente y que te aprezcan opciones que no tenías disponibles. Hacer la comprobación en JavaScript, ya que esta se puede manipular desde el cliente, en local. Para evitar spam en masa, se hace lo siguiente: Para asegurarse de que es una persona la que rellena un determinado formulario se usa el CAPTCHA, que consiste en meter un código en una imagen, por ejemplo:

9 Se deben evitar textos muy claros para no ser reconocidos por aplicaciones que reconocen formas (gocr), deben utilizarse fondos y no usar palabras del diccionario. Otro error típico es pensar que el cliente no mira el código fuente, y incluir demasiada información en el código php. Ya que si accediera al código fuente podría, por ejemplo, poner el código del captcha en el php, o poner las respuestas correctas en el formulario. Tratar de averiguar el path completo de un fichero y comprobar que es real en la máquina remota. En plataformas multiusuario, en el php activamos el SAFE MODE. Esto comprueba el usuario al que pertenece el php y si no coincide con el usuario que quiere ejecutar el php, no lo deja ejecutar. PKCS7 El pkcs7 es un buen formato para guardar documentos firmados. Clase 'signed data': Detached: el pkcs7 contiene solo la firma. Aparte se adjunta el documento. Inconveniente: Hay que llevar a rastras las 2 partes separadas. No detached: el pkcs7 contiene datos y firma. Inconveniente: no se puede leer si no tienes las herramientas criptográficas adecuadas. El correo electrónico sería una buena forma de encapsular documentos firmados. Por ejemplo:.elm, de Windows. Cuando los datos son de naturaleza no controlada (zip, tar, mp3, etc.), el pkcs7 es un buen sistema porqué es genérico. Pero el usuario puede tener necesidades específicas: PDF, por ejemplo, admite firma electrónica. ADOBE ha desarrollado un lector criptográfico para el Acrobat Reader. A la hora de firmar s, se puede utilizar el SMIME. También se puede utilizar el gpg (antes pgp), no compatible con x509. El gpg se basa en la confianza horizontal. Originalmente, el PEM fue un sistema de firma de , pero sólo ha quedado en lo que conocemos ahora: formato PEM. Para firmar un documento creado por nosotros por un procesador de texto, una de las opciones es usar el OpenOffice. Esta aplicación utiliza XMLsignature para firmar: calcula el hash de los elementos XML y añade un nuevo elemento XML con el hash calculado. El problema es que los documentos firmados sólo son compatibles en OpenOffice. Para guardar documentos en el formato que queramos, XML parece lo más apropiado. Con XML podemos organizar la información como queramos. Además, tenemos el XMLxades, un formato especificado hace poco pero más correcto que XMLsignature, aunque similar. El Xades exige que la firma contenga una marca de tiempo de una autoridad de tiempo, para certificar el momento de firma. El problema del Xades es el nivel de implementación, ya que hay pocas librerías actualizadas. Existe OpenXades (estado del proyecto desconocido) y Jxades (Java), proyecto internacional liderado por la UJI. HERRAMIENTAS PARA FIRMAR SignaCAT: trabaja con pkcs11, pero no funciona bien. Genera.p7 (detached) y.pdf. Acrobat: PDF. eauthoring: genera PDF's firmados a partir de cualquier cosa (texto, web,...). itext: librería enorme para manejar PDF's (Java y C#). Applets: Qué firman los applets? Cada empresa adapta su applet a lo que le interesa firmar (formato, etc.).

10 OPENSSL Aplicación que ofrece funcionalidades de librería en línea de comandos. La librería contiene multitud de funciones para programadores. Soporta el uso de tarjetas criptográficas, pero no da una solución para incluir módulos de manera estandarizada (no utiliza pkcs11). No tiene una buena integración con la arquitectura y es bastante complicado de utilizar. Se divide en dos grandes módulos: Librería criptográfica Cifradores simétricos Cifradores asimétricos RSA Funciones hash Librería de grandes números (precisión) Librería SSL Implementa completamente SSL. Permite montar clientes, servidores, etc. SSL Secure Socket Layer: protocolo para conexión segura con clientes, servidores,... Con 'SSL Client' se puede crear un cliente con capacidad de autenticarse. OpenSSL se utiliza mucho sin que el servidor lo sepa: todos los servidores Apache utilizan OpenSSL para trabajar con SSL. Todos los algoritmos de cifrado están preparados para trabajar como máquinas de cifrado: los datos entran en bloques de x bytes y salen cifrados. Cifrado con librería EVP. Hash (con password) y MAC. Soporta pkcs7 y pkcs12, pero no pkcs11. NUMEROS ALEATORIOS Es importante la utilización de números aleatorios y, si vamos a cifrar con RSA, necesitaremos que sean números primos. Veremos qué capacidad tiene para esto OpenSSL. El problema es que una máquina sólo puede generar números pseudo-aleatorios (dados por una fórmula), pero como hay tantas combinaciones es difícil captar la secuencia. En C tenemos random() y randomize(x), donde la primera genera números aleatorios y la segunda cambia la semilla. Lo más utilizado es randomize(time), siendo 'time' la hora del sistema (que cambia cada segundo). Para programación, esto es una mala práctica: La hora también es un hecho predecible. La función rand() es una función congruente. Habrá que ver si la secuencia de números aleatorios es sufiecientemente larga para satisfacer la condición de aleatoriedad. La secuencia NUNCA será aleatoria. Lo importante es alimentarla bien, es decir, comenzar la serie en un punto de la secuencia. Necesitamos una fuente de entropía. Las máquinas UNIX tienen un dispositivo virtual llamado /dev/random. UNIX carga el dispositivo con fuentes aleatorias reales, por ejemplo: los paquetes de red que le llegan, el movimiento del ratón, etc. Otros dispositivo de UNIX es el /dev/urandom, sólo que éste genera números aleatorios congruentes mediante una fórmula.

11 OpenSSL cuenta con un generador propio de números aleatorios RAND_add(...,...), pero necesita que alimentemos la fuente de entropía con RAND_load_file( /dev/random, 1024), por ejemplo. Además, OpenSSL tiene su propio fichero de entropía llamado 'seed', a través del que se alimenta. Después de usarlo, escribe en él para cambiarlo. Necesitamos limitar el acceso a este fichero, tanto de lectura como de escritura. El sistema operativo Windows utiliza la librería EGADS como fuente de entropía. OpenSSL utiliza un struct llamado 'BIGNUM' que puede ser una variable estática o un puntero. No es trivial gestionar BIGNUM's, porqué para trabajar con ellos necesitamos copiar los buffers que lleva asociados. Un simple signo '=' no hace esto (C) a no ser que esté sobrecargado (C++). BIGNUM bn_static; bn_static = BN_new(); // realiza un malloc (constructor) ARITMÉTICA DE NÚMEROS GRANDES En criptografía se trabaja con aritmética modular. Pero no se puede trabajar con aritmética normal y calcular luego el módulo, ya que puede desbordarnos la pila. En la aritmética modular: Si p es primo, x 1...p x -1 / x x -1 = 1 La propiedad de la inversa es muy útil porqué nos permite efectuar alguna multiplicación sobre un número y luego eliminarla. Uno de los algoritmos más utilizados es el 'Algoritmo extendido de Euclides', que sirve para calcular la inversa y es similar al algoritmo para calcular el MCD. GENERACIÓN DE PRIMOS No hay ninguna fórmula para generar números primos, tan sólo por fuerza bruta. Para generar un número primo grande, generamos un número aleatorio y comprobamos si es primo. Existen ciertos tests para saber si un número es primo. Si el número pasa el test, hay un tanto por cien de probabilidades de que sea primo. Si aplicamos el test repetidas veces, la probabilidad va aumentando. OpenSSL no funciona bien cuando le pedimos que genere un número primo y seguro. De hecho, cuando genera las llaves RSA, el número primo no es seguro, simplemente es un número primo que cumple ciertas condiciones de seguridad. API EVP Muy transparente. Permite generar cifradores del tipo que queramos. AES Cifrador oficial (nuevo DES). Soporta llaves de gran tamaño. Blowfish: candidato al AES (concurso). Twofish: otro de los candidatos al AES. Algoritmo sólido. IDEA DESX 3DES RC2

12 RC4: muy ligero. Útil en situaciones donde no puedes meter librerías tipo DES. RC5 Los cifradores necesitan un contexto porqué hay algoritmos que trabajan en bloques y que necesitan guardar una serie de información (malloc). En algunos casos, como en el CBC, tendremos que utilizar un vector de inicialización IV para cifrar el primer bloque. Las funciones utilizadas serán: EVP_EncryptInit EVP_EncryptUpdate EVP_EncryptFinal RSA El RSA es un algoritmo asimétrico pero se comporta como si fuera simétrico. Digamos que puede comportarse de las dos formas. El RSA trabaja por bloques del mismo tamaño de la llave. El cifrado puede llevarse a cabo con llave pública o privada. Esto se traduce a cuatro funciones. El 'padding' es el relleno del bloque donde no hay datos. El relleno son una serie de unos y ceros que son fácilmente identificables. Hay varios tipos de 'paddings' predefinidos. El cifrado público no puede cifrar más datos que n. Ésto no da problemas en la práctica porqué normalmente se cifran llaves de sesión, mucho más pequeñas. El descifrado público es análogo. El PKCS1 es el documento donde Rivest explica cómo funciona el RSA y qué 'padding' es el más adecuado. La función RSA_sign firma un hash. La función RSA_verify hace lo contrario, esto es, verifica si un hash firmado coincide con una firma concreta. Cuando se hace un cifrado con llave pública (EVP), recibimos: Un buffer con los datos cifrados y el tamaño. Un array con los destinatarios y el tamaño. PROTOCOLOS CRIPTOGRÁFICOS Lanzar una moneda Dos personas situadas en lugares distintos quieren lanzar una moneda remotamente. La solución obvia es colocar una cámara que grabara el proceso, pero no resultaría muy difícil hacer trampa y trucar la cámara. Otra solución es utilizar un tercero de confianza (TTP). El TTP lanza la moneda y los dos apostantes reciben el resultado. Nosotros buscamos un método por el que lanzar una moneda sin utilizar un TTP. Métodos matemáticos A B Generación de un número aleatorio grande n md5(n) Apuesta si es par o impar apuesta Lee la apuesta n Comprueba el md5(n)

13 El md5 sirve para para que A no pueda hacer trampas. El md5 de un número par no tiene porqué ser par, y lo mismo con los número impares. Repartir un secreto Tenemos un secreto pero no queremos guardarlo sólo nosotros. Se quiere poder repartir el secreto entre varias personas de manera que ninguna de ellas tenga información suficiente, pero que al unir las partes se recupere el secreto. Hay dos alternativas: Splitting: todas las partes son necesarias para recuperar el secreto. Sharing: para recuperar el secreto son necesarias m partes cualquiera de las n partes existentes, siendo m<n. La solución es generar un sistema de n ecuaciones y m incógnitas. Métodos matemáticos Partir un secreto Teorema de Shannon: si cogemos cualquier información y le aplicamos un xor con una llave del mismo tamaño totalmente aleatoria, conseguimos el cifrado perfecto. Secreto: M Genero una llave X aleatoria de O(M) Para cifrar: Y = M xor X Para recuperar el mensaje: M = X xor Y Entonces, para conseguir dividir el secreto en varias partes: Genero las llaves X, Y, W Z = M xor X xor Y xor W Y para recuperar la información: M = X xor Y xor W xor Z Compartir el secreto M Esquema de Lagrange: Generar un número primo público del mismo tamaño, aproximadamente, que M. Generar un polinomio de grado M-1 cuyos coeficientes sean secretos. Los coeficientes deberían ser destruidos al final de la generación pero, realmente, convendría guardarlos para almacenar más ecuaciones. Ejemplo para (m, n) = (3, 5): f(x) = (ax 2 + bx + M) mod p Para generar los trozos, vamos dando valores a la x. M valores o los que se deseen, dependiendo del número de trozos). Cada poseedor de un trozo recibirá un número: f(2), f(3), f(5), por ejemplo. Para reconstruir el secreto, necesitaremos 3 ecuaciones cualquiera. a y b son las incognitas. Debemos crear un sistema de 3 ecuaciones: f(2) = a b 2 + M = 3 (mod 13) f(3) = a b 3 + M = 7 (mod 13) f(5) = a b 5 + M = 5 (mod 13) Para resolver el sistema de ecuaciones hay que tener en cuenta que estamos trabajando en aritmética modular. No hemos de hacer divisiones a menos que salga el resultado entero. No es recomendable usar el método de Gauss. Es mejor utilizar el método de los determinantes.

14 FIRMA CIEGA Concepto bancario. Queremos que alguien que tiene una determinada autoridad firma algo sin poder leerlo. Qué aplicación puede tener ésto? Una serie personas necesita una firma de una autoridad para conseguir una acreditación sin que se las pueda asociar a esa acreditación. La autoridad sabe quiénes son, pero no sabe lo que está firmando. Para ello, se utiliza una firma sólo usada para este propósito. En la firma ciega controlada, el firmante no sabe lo que firma en concreto, pero conoce la estructura de lo que firma, el propósito. Es una cuestión de estadística. El solicitante ofrece varios sobres sin firmar. El firmante escoge uno y comprueba el contenido de los otros. Mientras más sobres sean entregados al firmante, menos probabilidades de ser engañado corre. Ejemplo de uso: dinero anónimo. En la firma total, opacas (multiplicas por un número especial) aquello que quieres firmar. Para recuperar el documento, es decir, para eliminar la opacidad, se debe conocer el número secreto. Ejemplo de uso: sistema de encuestas anónimas. Métodos matemáticos Firma normal A B m m d B A B firma p = (exp, n) k = (d, n) Firma ciega A genera un número grande K, primo con n (existe la inversa de K), que será el factor de opacidad. A mk e B (mk e ) d B A... (mk e ) d = m d K ed = m d K = m d - Según el RSA: e: cifra d: descifra Para hacer desaparecer la K, multiplicamos por K -1

15 SISTEMA DE VOTO ELECTRÓNICO (TELEMÁTICO) Características deseables 1- Autenticidad: sólo votan personas autorizadas. Sistema de autenticación (dni digital,...), incompatibilidad con voto secreto, anonimato. 2- Acotabilidad: un solo voto por votante (difícil). 3- Anonimato: imposibilidad de relacionar voto y votante. 4- Imposibilidad de coacción: esto es imposible, ciencia ficción. Que el votante no pueda demostrar lo que ha votado a posteriori. 5- Verificabilidad individual: cada votante puede demostrar que su voto ha sido tenido en cuenta. Incompatible con el punto anterior. 6- Verificabilidad global. 7- Fiabilidad: funcionamiento correcto del sistema. 8- Sistema auditable: posibilidad de repasar todo el proceso de votación. 9- Neutralidad: no se pueden publicar resultados parciales durante la votación. 10- Movilidad de los votantes. 11- Facilidad de uso. 12- Voto rápido. 13- Posibilidad de voto nulo. 14- Código abierto. 15- Coste mínimo razonable. 16- Compatibilidad con mecanismos tradicionales (imposible) etc. Objecciones de Rebeca Mercury al voto electrónico Facilidad de compra de voto. No hay forma sencilla de darle al votante seguridad de que su voto ha sido tenido en cuenta y que el recuento ha sido correcto. No hay posibilidad de control del sistema por parte de oposición, interesado, etc. Puede sufrir ataques remotos. El sistema puede tener fallos que pueden no ser descubiertos hasta tiempo después de la votación. Los sistemas criptográficos serán petados algún día.

16 Modalidades del sistema de voto electrónico Aut. votante Urna El administrador puede saber a quién has votado. votante ticket ticket + voto Aut. Urna Si el administrador del servidor de Autenticación se guarda los tickets y el administrador del servidor Urna, los tickets + los votos, pueden obtener los resultados haciendo un JOIN. votante Auth ticket opaco ticket firmado + voto (cifrado) Aut. ticket opaco firmado Urna? Para depositar el voto en la urno, debemos cerrar la sesión autenticada previamente. La diferencia con el sistema anterior es que aquí el ticket lo crea el votante y la autoridad certificadora se limita a hacer la firma ciega. Por tanto, el servidor de Autenticación no puede mantener una lista de tickets personas. Llave de la urna Para mantener el principio de imparcialidad y anonimato Generar al inicio Secret sharing de la llave Recomponer al final El motivo por el que no se ha utilizado este sistema a gran escala es que la firma ciega está patentada. El riesgo de cualquier sistema de voto electrónico es que el administrador haga un JOIN de logs y sepa que a una hora determinada se ha autenticado X persona y que dos minutos después ha habido un voto anónimo. La solución para esto es mantener la interacción entre el votante y el servidor de Autenticación igual que el caso anterior, pero a la hora de introducir el voto en el servidor Urna: votante 10'05 10'15 10'35 11'00 11'17 11'23 Urna

17 Los votos se almacenan en un buffer y se introducen en la Urna desordenados. En cualquier sistema telemático, el usuario pierde el control sobre el sistema. Las propiedades de coacción y validez de voto son contradictorias. Pero podemos aprovechar que los votos van cifrados con la llave privada de la urna. Si esa llave está a buen recaudo o se destruye después de la votación. Si hacemos públicas la lista de votos cifrados y la persona se guarda la lista en su ordenador, se puede comparar su churro de datos con alguno de los que hayan publicados. Un sistema de este tipo es muy difícil de auditar: habría que auditar todo el softwarey además, mientras se realiza la votación, un grupo de auditores externos tendrían que comprobar que el software auditado previamente, se está utilizando correctamente. El inconveniente es que el sistema no lo puede auditar ni el votante ni los candidatos a elegir. Existe un sistema llamado Merckel para pequeños grupos.