Autenticación y firma digital con criptosistemas asimétricos

Transcripción

1 I Congreso Nacional de Seguridad en Sistemas Teleinformáticos y Criptografía de septiembre de Buenos Aires - Argentina CONSECRI Autenticación y firma digital con criptosistemas asimétricos videoconferencia Dr. Jorge Ramió Aguirre Universidad Politécnica de Madrid Curso de Seguridad Informática Jorge Ramió Aguirre

2 Nota del autor Curso de Seguridad Informática: Este capítulo forma parte de un curso completo de Libre Distribución sobre Seguridad Informática y Criptografía, (sobre 450 diapositivas) que se está actualizando y adaptando para permitir ahora su impresión en papel y que puede encontrar en las siguientes direcciones de Internet: Red Temática Iberoamericana: Página de la Asignatura: Autenticación y Firma Digital 2

3 Confidencialidad v/s integridad Confidencialidad: Para lograrla se cifra el mensaje M criptograma Integridad: Para lograrla se firma el mensaje añadiendo una marca. Si bien en ciertos escenarios es muy importante mantener el secreto de la información, si ésta lo requiere, en muchos casos tiene quizás más trascendencia el poder certificar la autenticidad entre cliente y servidor (Internet). Autenticación y Firma Digital 3

4 Los problemas de la integridad (I) a) Autenticidad del emisor Cómo comprueba Benito (B) que el mensaje recibido del emisor que dice ser Adelaida (A) es efectivamente de esa persona? b) Integridad del mensaje Cómo comprueba Benito (B) que el mensaje recibido del emisor Adelaida (A) es el auténtico y no un mensaje falso? c) Actualidad del mensaje Cómo comprueba Benito (B) que el mensaje recibido del emisor Adelaida (A) es actual, no un mensaje de fecha anterior reenviado? Autenticación y Firma Digital 4

5 Los problemas de la integridad (II) d) No repudio del emisor Cómo comprueba Benito (B) que el mensaje enviado por el emisor Adelaida (A) -y que niega haberlo enviado- efectivamente ha llegado? e) No repudio del receptor Cómo comprueba Benito (B) que el mensaje enviado al receptor Adelaida (A) -y que niega haberlo recibido- efectivamente se envió? d) Usurpación de identidad del emisor/receptor Cómo comprueba Benito (B) que Adelaida (A), Clarisa (C) u otros usuarios están enviando mensajes firmados como Benito (B)? Autenticación y Firma Digital 5

6 Escenarios de integridad (I) 1 er escenario de desconfianza 1ª Solución. Uso de un Juez. El Juez tendrá una clave K A con la que se comunica con A y una clave K B con la que se comunica con B. Usa criptografía simétrica A envía un mensaje M a B: A cifra M con la clave K A E KA (M) y lo envía al Juez. Este comprueba la integridad de A, lo descifra y envía a B, cifrado con K B, el mensaje M, la identidad de A y la firma E KA (M): E KB {M, A, E KA (M)}. Ambos confían en el Juez y ante cualquier duda éste puede desvelar la identidad de A descifrando E KA (M). Autenticación y Firma Digital 6

7 Escenarios de integridad (II) 2º escenario de desconfianza No está claro que pueda convertirse en un estándar. Permanece la figura de la Autoridad de Certificación... es decir 2ª Solución. Prescindir de la figura del Juez y aceptar la autenticidad e integridad por convencimiento propio y la confianza en los algoritmos. Ambos confiarán en en un un protocolo seguro y se se autenticarán a través de de una Autoridad de de Certificación AC. Autenticación y Firma Digital 7

8 Autenticación con sistemas simétricos Si la clave de un sistema simétrico es segura, es decir no está en entredicho, podemos afirmar que, además de la confidencialidad que nos entrega dicha cifra, se obtienen también simultáneamente la integridad del emisor y autenticidad del mensaje, en tanto que sólo el usuario emisor (en quien se confía por el modelo de cifra) puede generar ese mensaje. Con los sistemas de cifra simétricos no podremos realizar una autenticación completa (emisor y mensaje). Ahora bien, sí podrá hacerse algo similar con procedimientos más o menos complejos que usen sistemas simétricos como es el caso de Kerberos. Autenticación y Firma Digital 8

9 Requisitos de la firma digital Al existir una clave pública y otra privada que son inversas, se autentica el mensaje y al emisor. Permite la firma digital, única para cada mensaje Requisitos de la Firma Digital: a) Debe ser fácil de generar. b) Será irrevocable, no rechazable por su propietario. c) Será única, sólo posible de generar por su propietario. d) Será fácil de autenticar o reconocer por su propietario y los usuarios receptores. e) Debe depender del mensaje y del autor. Condiciones más más fuertes que que una una firma manuscrita Autenticación y Firma Digital 9

10 Autenticación con sistemas asimétricos No obstante, existe un problema... Problema: Los sistemas de cifra asimétricos son muy lentos y el mensaje podría tener miles o millones de bytes... Solución: hash Se genera un resumen del mensaje, representativo del mismo, con una función hash imposible de invertir. La función hash comprime un mensaje de longitud variable a uno de longitud fija y pequeña. Autenticación y Firma Digital 10

11 Funciones hash Mensaje = M Función Resumen = H(M) Firma (rúbrica): r = E de {H(M)} de es la clave privada del emisor que firmará H(M) Cómo se comprueba la identidad en destino? Se descifra la rúbrica r con la clave pública del emisor ee. Al mensaje en claro recibido M (se descifra si viene cifrado) se le aplica la misma función hash que en emisión. Si los valores son iguales, la firma es auténtica y el mensaje íntegro: Calcula: E ee (M ) = H(M ) Compara: H(M ) = H(M)? Qué seguridad nos da un resumen de k bits? Autenticación y Firma Digital 11

12 Propiedades de las funciones hash H(M) será segura si tiene las siguientes características: 1. Unidireccionalidad. Conocido un resumen H(M), debe ser computacionalmente imposible encontrar M a partir de dicho resumen. 2. Compresión. A partir de un mensaje de cualquier longitud, el resumen H(M) debe tener una longitud fija. Lo normal es que la longitud de H(M) sea menor. 3. Facilidad de cálculo. Debe ser fácil calcular H(M) a partir de un mensaje M. 4. Difusión. El resumen H(M) debe ser una función compleja de todos los bits del mensaje M. Autenticación y Firma Digital 12

13 Colisiones: resistencia débil y fuerte 5. Colisión simple. Conocido M, será computacionalmente imposible encontrar otro M tal que H(M) = H(M ). Se conoce como resistencia débil a las colisiones. 6. Colisión fuerte. Será computacionalmente difícil encontrar un par (M, M ) de forma que H(M) = H(M ). Se conoce como resistencia fuerte a las colisiones. Ataque por la paradoja del cumpleaños Para tener confianza en encontrar dos mensajes con el mismo resumen H(M) -probabilidad 50%- no habrá que buscar en 2 n (p.e ), bastará una búsqueda en el espacio 2 n/2 (2 64 ). La complejidad algorítmica se reduce de forma drástica! Autenticación y Firma Digital 13

14 La paradoja del cumpleaños Paradoja del cumpleaños Problema: Cuál será la confianza (probabilidad mayor que el 50%) de que en un aula con 365 personas -no se tiene en cuenta el día 29/02 de los años bisiestos- dos de ellas al azar cumplan años en la misma fecha. Solución: Se escribe en la pizarra los 365 días del año y entran al aula de uno en uno, borrando el día de su cumpleaños de la pizarra. Para alcanzar esa confianza, basta que entren 23 personas al aula, un valor muy bajo, en principio inimaginable y de allí el nombre de paradoja. Explicación: El primero en entrar tendrá una probabilidad de que su número no esté borrado igual a n/n = 1, el segundo de (n-1)/n, etc. La probabilidad p de no coincidencia será igual a p = n!/(n-k)n k. Para k = 23 se tiene p = 0,493 y entonces la probabilidad de coincidencia es 0,507. Interesante verdad?! Autenticación y Firma Digital 14

15 Algoritmos de resumen (compresión) MD5: Ron Rivest Mejoras al MD4 y MD2 (1990), es más lento pero con mayor nivel de seguridad. Resumen de 128 bits. SHA-1: Del NIST, National Institute of Standards and Technology, Similar a MD5 pero con resumen de 160 bits. RIPEMD: Comunidad Europea, RACE, Resumen de 160 bits. N-Hash: Nippon Telephone and Telegraph, Resumen de 128 bits. Snefru: Ralph Merkle, Resúmenes entre 128 y 256 bits. Ha sido criptoanalizado y es lento. Tiger: Ross Anderson, Eli Biham, Resúmenes de hasta 192 bits. Optimizado para máquinas de 64 bits (Alpha). Panama: John Daemen, Craig Clapp, Resúmenes de 256 bits de longitud. Trabaja en modo función hash o como cifrador de flujo. Haval: Yuliang Zheng, Josef Pieprzyk y Jennifer Seberry, Admite 15 configuraciones diferentes. Hasta 256 bits. Autenticación y Firma Digital 15

16 Algoritmo básico de MD5 Algoritmo Message-Digest 5, MD5: a) Un mensaje M se convierte en un bloque múltiplo de 512 bits, añadiendo bits si es necesario al final del mismo. b) Con los 128 bits de cuatro vectores iniciales de 32 bits cada uno y el primer bloque del mensaje de 512 bits, se realizan diversas operaciones lógicas entre ambos. c) La salida de esta operación (128 bits) se convierte en el nuevo conjunto de vectores; se realiza la misma función con el segundo bloque de 512 bits del mensaje... etc. d) Al terminar, el algoritmo entrega un resumen que corresponde a los últimos 128 bits de estas operaciones. Autenticación y Firma Digital 16

17 Etapas de MD5 Etapas de MD5: Esquema a) Añadir bits para congruencia módulo 512, reservando los últimos 64 bits para un indicador. b) Añadir indicación de la longitud del mensaje con los 64 bits reservados. c) Inicializar el buffer de claves MD (vector). d) Procesar bloques de 512 bits. e) Obtener el resumen de los últimos 128 bits. Autenticación y Firma Digital 17

18 Esquema de la función MD5 Relleno de 1 a 448 bits Mensaje de K bits K mod 2 64 (64 bits) Mensaje K 512 bits L 512 bits = N 32 bits N palabras de 32 bits A = B = 89ABCDEF C = FEDCBA98 D = Y 1 Y 2 Y q Y L-1 ABCD H MD5 H MD5 Primer resumen H MD5 H MD5 RESUMEN de 128 bits Autenticación y Firma Digital 18

19 Bloque principal de MD5 Bloque principal Vector inicial A B C D Vuelta 1 Funciones F y FF 1 er bloque de 512 bits del mensaje M Vuelta 2 Funciones G y GG Qué hacen las funciones F y FF...? Vuelta 3 Funciones H y HH Vuelta 4 Funciones I e II Nuevo Vector ABCD de 128 bits para el próximo bloque A B C D + SUMA MÓDULO 2 32 Autenticación y Firma Digital 19

20 Esquema funciones F, G, H, I en MD5 Vector inicial ABCD a b c d A = B = 89ABCDEF C = FEDCBA98 D = x, y, z b, c, d Función no Lineal 128 bits F (x, (x, y, y, z) z) (x (x AND y) y) OR OR (NOT x AND z) z) G (x, (x, y, y, z) z) (x (x AND z) z) OR OR (y (y AND NOT NOT z) z) H (x, (x, y, y, z) z) x XOR y XOR z I I (x, (x, y, y, z) z) y XOR (x (x OR OR NOT NOT z) z) F (b, (b, c, c, d) d) (b (b AND c) c) OR OR (NOT b AND d) d) G (b, (b, c, c, d) d) (b (b AND d) d) OR OR (c (c AND NOT NOT d) d) H (b, (b, c, c, d) d) b XOR c XOR d I I (b, (b, c, c, d) d) c XOR (b (b OR OR NOT NOT d) d) Autenticación y Firma Digital 20

21 Algoritmo de las funciones en MD5 Desplazamiento del registro Situación luego del desplazamiento Se repite el proceso para M j+1 hasta 16 bloques del texto. En las vueltas 2, 3 y 4 se repite el proceso ahora con funciones G, H e I. El algoritmo realiza 4 16 = 64 vueltas para cada uno de los bloques de 512 bits da ba bc dc s j bits a la izquierda Función no lineal <<< s j + 32 bits 32 bits M j t j + Suma mod 2 32 Autenticación y Firma Digital 21

22 Funciones no lineales en MD5 Funciones no lineales en cada vuelta: 1ª Vuelta: FF(a,b,c,d,M j,t j,s) a = b + ((a + F(b,c,d) + M j + t j ) <<< s) 2ª Vuelta: GG(a,b,c,d,M j,t j,s) a = b + ((a + G(b,c,d) + M j + t j ) <<< s) 3ª Vuelta: HH(a,b,c,d,M j,t j,s) a = b + ((a + H(b,c,d) + M j + t j ) <<< s) 4ª Vuelta: II(a,b,c,d,M j,t j,s) a = b + ((a + I(b,c,d) + M j + t j ) <<< s) Vector de 128 bits a b c d Autenticación y Firma Digital 22

23 Algoritmo y desplazamiento en MD5 Vector de 128 bits a b c d Sea f la función F, G, H o I según la vuelta. El algoritmo será: Para j = 0 hasta 15 hacer: TEMP = [(a + f(b,c,d) + M j + t j ) <<<s j ] a = d d = c c = b b = a a = TEMP Autenticación y Firma Digital 23

24 Operaciones en 1ª y 2ª vueltas en MD5 FF (a, b, c, d, M j, t j, s) GG (a, b, c, d, M j, t j, s) Primera vuelta FF(a, b, c, d, M 0, D76AA478, 7) FF(d, a, b, c, M 1, E8C7B756, 12) FF(c, d, a, b, M 2, DB, 17) FF(b, c, d, a, M 3, C1BDCEEE, 22) FF(a, b, c, d, M 4, F57C0FAF, 7) FF(d, a, b, c, M 5, 4787C62A, 12) FF(c, d, a, b, M 6, A , 17) FF(b, c, d, a, M 7, FD469501, 22) FF(a, b, c, d, M 8, D8, 7) FF(d, a, b, c, M 9, 8B44F7AF, 12) FF(c, d, a, b, M 10, FFFF5BB1, 17) FF(b, c, d, a, M 11, 895CD7BE, 22) FF(a, b, c, d, M 12, 6B901122, 7) FF(d, a, b, c, M 13, FD987193, 12) FF(c, d, a, b, M 14, A679438E, 17) FF(b, c, d, a, M 15, 49B40821, 22) Segunda vuelta GG(a, b, c, d, M 1, F61E2562, 5) GG(d, a, b, c, M 6, C040B340, 9) GG(c, d, a, b, M 11, 265E5A51, 14) GG(b, c, d, a, M 0, E9B6C7AA, 20) GG(a, b, c, d, M 5, D62F105D, 5) GG(d, a, b, c, M 10, , 9) GG(c, d, a, b, M 15, D8A1E681, 14) GG(b, c, d, a, M 4, E7D3FBC8, 20) GG(a, b, c, d, M 9, 21E1CDE6, 5) GG(d, a, b, c, M 14, C33707D6, 9) GG(c, d, a, b, M 3, F4D50D87, 14) GG(b, c, d, a, M 8, 455A14ED, 20) GG(a, b, c, d, M 13, A9E3E905, 5) GG(d, a, b, c, M 2, FCEFA3F8, 9) GG(c, d, a, b, M 7, 676F02D9, 14) GG(b, c, d, a, M 12, 8D2A4C8A, 20) Autenticación y Firma Digital 24

25 Operaciones en 3ª y 4ª vueltas en MD5 HH (a, b, c, d, M j, t j, s) II (a, b, c, d, M j, t j, s) Tercera vuelta HH(a, b, c, d, M 5, FFFA3942, 4) HH(d, a, b, c, M 8, 8771F681, 11) HH(c, d, a, b, M 11, 6D9D6122, 16) HH(b, c, d, a, M 14, FDE5380C, 23) HH(a, b, c, d, M 1, A4BEEA44, 4) HH(d, a, b, c, M 4, 4BDECFA9, 11) HH(c, d, a, b, M 7, F6BB4B60, 16) HH(b, c, d, a, M 10, BEBFBC70, 23) HH(a, b, c, d, M 13, 289B7EC6, 4) HH(d, a, b, c, M 0, EAA127FA, 11) HH(c, d, a, b, M 3, D4EF3085, 16) HH(b, c, d, a, M 6, 04881D05, 23) HH(a, b, c, d, M 9, D9D4D039, 4) HH(d, a, b, c, M 12, E6DB99E5, 11) HH(c, d, a, b, M 15, 1FA27CF8, 16) HH(b, c, d, a, M 2, C4AC5665, 23) Cuarta vuelta II(a, b, c, d, M 0, F , 6) II(d, a, b, c, M 7, 411AFF97, 10) II(c, d, a, b, M 14, AB9423A7, 15) II(b, c, d, a, M 5, FC93A039, 21) II(a, b, c, d, M 12, 655B59C3, 6) II(d, a, b, c, M 3, 8F0CCC92, 10) II(c, d, a, b, M 10, FFEFF47D, 15) II(b, c, d, a, M 1, 85845DD1, 21) II(a, b, c, d, M 8, 6FA87E4F, 6) II(d, a, b, c, M 15, FE2CE6E0, 10) II(c, d, a, b, M 6, A , 15) II(b, c, d, a, M 13, 4E0811A1, 21) II(a, b, c, d, M 4, F7537E82, 6) II(d, a, b, c, M 11, BD3AF235, 10) II(c, d, a, b, M 2, 2AD7D2BB, 15) II(b, c, d, a, M 9, EB86D391, 21) Autenticación y Firma Digital 25

26 Función de resumen SHA-1 Un resumen de 128 bits tiene una complejidad algorítmica de sólo 2 64, un valor en la actualidad muy comprometido... " La función SHA-1, Secure Hash Algorithm, entregará un resumen de 160 bits una complejidad algorítmica de # SHA-1 Vector Inicial : A = B = EFCDAB89 C = 98BADCFE D = E = C3D2E1F0 Algoritmo: Esta forma de tomar los bits se verá más adelante Es muy similar a MD5. El vector inicial tiene una palabra más de 32 bits (E) por lo que el resumen será de 160 bits. A cada bloque de 512 bits del mensaje se le aplicarán 80 vueltas. Autenticación y Firma Digital 26

27 Esquema del resumen SHA-1 Vector inicial ABCDE Registro de 160 bits A = B = EFCDAB89 C = 98BADCFE D = E = C3D2E1F0 Después de esta última operación, se produce el desplazamiento del registro hacia la derecha a b c d e <<< 5 <<< 30 Bloques del texto a partir del bloque de 16 palabras Una constante en cada una de las cuatro vueltas Función no lineal W t K t 32 bits 32 bits Ver la próxima diapositiva... + Suma mod 2 32 Autenticación y Firma Digital 27

28 Vueltas en funciones F,G, H e I de SHA-1 F (b, (b, c, c, d) d) vueltas t t = 0 a (b (b AND c) c) OR OR ((NOT b) b) AND d) d) G (b, (b, c, c, d) d) vueltas t t = a b XOR c XOR d H (b, (b, c, c, d) d) vueltas t t = a (b (b AND c) c) OR OR (b (b AND d) d) OR OR (c (c AND d) d) I I (b, (b, c, c, d) d) vueltas t t = a b XOR c XOR d Desplazamiento del registro ae ba bc dc de Se repite el proceso con la función F para las restantes 15 palabras de 32 bits del bloque actual hasta llegar a 20. En vueltas 2, 3 y 4 se repite el proceso con funciones G, H e I. Tenemos 4 20 = 80 pasos por cada bloque de 512 bits. Pero... cómo es posible repetir 80 veces un bloque que sólo cuenta con 16 bloques de texto de 32 bits cada uno? Autenticación y Firma Digital 28

29 Las 80 vueltas de SHA-1 Vector de 160 bits a b c d e Cada bloque de 16 palabras del mensaje (M 0... M 15 ) se expandirá en 80 palabras (W 0... W 79 ) según el algoritmo: W t = M t (para t = 0,..., 15) W t = (W t-3 W t-8 W t-14 W t-16 ) <<<1 (para t = 16,..., 79) y además: K t = 5A para t = 0,..., 19 K t = 6ED9EBA1 para t = 20,..., 39 K t = 8F1BBCDC para t = 40,..., 59 K t = CA62C1D6 para t = 60,..., 79 Autenticación y Firma Digital 29

30 Algoritmo y desplazamiento en SHA-1 Vector de 160 bits a b c d e El algoritmo para cada bloque de 512 bits será: Para t = 0 hasta 79 hacer: TEMP = (a <<<5) + f t (b,c,d) + e + W t + K t a = e e = d d = c c = b <<<30 b = a a = TEMP Autenticación y Firma Digital 30

31 Comparativa entre MD5 y SHA-1 SHA-1 genera una salida de 160 bits de longitud mientras que MD5 genera sólo 128 bits. La dificultad de generar un mensaje que tenga un resumen dado es del orden de operaciones para MD5 y para SHA-1. La dificultad de generar dos mensajes aleatorios distintos y que tengan el mismo resumen (ataques basados en paradoja del cumpleaños) es del orden de 2 64 operaciones para MD5 y 2 80 para SHA-1. Esta diferencia de 16 bits a favor de SHA-1 lo convierte en más seguro y resistente a ataques por fuerza bruta que el algoritmo MD5. Autenticación y Firma Digital 31

32 Operaciones en MD5 y en SHA-1 Ambos algoritmos procesan bloques de 512 bits y emplean 4 funciones primitivas para generar el resumen del mensaje... pero SHA-1 realiza un mayor número de pasos que MD5 (80 frente a los 64 que realiza MD5). SHA-1 debe procesar 160 bits de buffer en comparación con los 128 bits de MD5. Por estos motivos la ejecución del algoritmo SHA-1 es más lenta que la de MD5 bajo el mismo hardware. Ejemplos de tiempos de ejecución Autenticación y Firma Digital 32

33 Tiempos de ejecución MD5 v/s SHA-1 Tiempos obtenidos con un Pentium a 90 MHz: MD5 SHA-1 Rendimiento (Mbits / Seg) Lenguaje C++ 32,4 14,4 Tiempos obtenidos con un Pentium a 266 MHz: MD5 SHA-1 Rendimiento (Mbits / Seg) Lenguaje Ensamblador Lenguaje C 113,5 59,7 46,5 21,2 Autenticación y Firma Digital 33

34 Más diferencias entre MD5 y SHA-1 La longitud máxima del mensaje para SHA-1 debe ser menor de 2 64 bits, mientras que MD5 no tiene limitaciones de longitud. MD5 emplea 64 constantes (una por cada paso), mientras que SHA-1 sólo emplea 4 (una para cada 20 pasos). MD5 se basa en la arquitectura little-endian, mientras que SHA-1 se basa en la arquitectura big-endian. Por ello el vector ABCD inicial en MD5 y SHA-1 son iguales: A = (MD5) (SHA-1) B = 89ABCDEF (MD5) EFCDAB89 (SHA-1) D = FEDCBA98 (MD5) 98BADCFE (SHA-1) E = (MD5) (SHA-1) Autenticación y Firma Digital 34

35 Arquitecturas little-endian v/s big-endian Arquitectura little-endian: Esta es la arquitectura empleada en procesadores Intel de la familia 80xxx y Pentium. Para almacenar una palabra en memoria, el byte menos significativo de los que forman dicha palabra se guarda en la posición más baja de la memoria. Arquitectura big-endian: Ejemplo Empleada por otras arquitecturas como SUN. Para almacenar una palabra en memoria, el byte más significativo de los que forman dicha palabra se guarda en la posición más baja de memoria. Autenticación y Firma Digital 35

36 Ejemplo little-endian v/s big-endian Supongamos que queremos almacenar en memoria la siguiente palabra de 32 bits (4 bytes) representada en hexadecimal: Si consideramos que las posiciones de memoria más bajas se encuentran a la izquierda y las más altas a la derecha: En formato little-endian se representa: En formato big-endian se representa: Autenticación y Firma Digital 36

37 Firma digital RSA de A hacia B Algoritmo: Clave Pública (n A, e A ) Clave Privada (d A ) Rúbrica: r A H(M) = H(M) da mod n A Adelaida A envía el mensaje M en claro (o cifrado) al destinatario B junto a la rúbrica: {M, r A H(M)} Benito El destinatario B tiene la clave pública e A,n A de A y descifra r A H(M) {(H(M) da ) ea mod n A } obteniendo así H(M). Como recibe el mensaje M, calcula la función hash H(M ) y compara: Si H(M ) = H(M) se acepta la firma. $ Autenticación y Firma Digital 37

38 Ejemplo de firma digital RSA (B A) Hola. Te envío el documento. Saludos, Beni. Benito Claves Benito n B = e B = 35, d B = Sea H(M) = F3A9 (16 bits) 2 16 < < 2 17 luego, firmará con bloques de 16 bits Adelaida Claves Adelaida n A = e A = 25, d A = Firma H (M) = F3A9 16 = r H(M) = H(M) db mod n B r H(M) = mod = Benito envía el par (M, r) = (M, ) Autenticación y Firma Digital 38

39 Comprobación de firma RSA por A Claves Benito n B = e B = 35, d B = Claves Adelaida n A = e A = 25, d A = Benito Teníamos que: H (M) = F3A9 16 = Adelaida 10 r H(M) = H(M) db mod n B r H(M) = mod = Benito había enviado el par (M, r) = (M, ) Adelaida recibe un mensaje M junto con una rúbrica r = : Calcula r eb mod n B = mod = Calcula el resumen de M es decir H(M ) y lo compara con H(M). Si los mensajes M y M son iguales, entonces H(M) = H(M ) y se acepta la firma como válida. NOTA: No obstante, H(M) = H(M ) no implica que M = M. Autenticación y Firma Digital 39

40 Firma digital ElGamal de A hacia B Adelaida ElGamal: El usuario A generaba un número aleatorio a (clave privada) del cuerpo p. La clave pública es α a mod p, con α generador. Algoritmo de firma: Firma: (r, (r, s) s) 1º El usuario A genera un número aleatorio h, que será primo relativo con φ(p): h / mcd {h, φ(p)} = 1 2º Calcula h -1 = inv {h, φ(p)} M = a r a r + h s h s mod φ(p) 3º Calcula r = α h mod p 4º Resuelve la siguiente congruencia: s = (M (M-- a r) inv[h,φ(p)] mod φ(p) Autenticación y Firma Digital 40

41 Comprobación de firma ElGamal por B Algoritmo comprobación de firma: 1º El usuario B recibe el par (r, s) y calcula: r s mod p y (α a ) r mod p 2º Calcula k = [(α a ) r r s ] mod p Como r era igual a α h mod p entonces: k = [(α ar α α hs ] mod p = α (ar +hs) mod p = α β mod p 3º Como M = (a r + h s) mod φ(p) y α es una raíz primitiva de p se cumple que: α β = α γ ssi β = γ mod (p-1) 4º Comprueba que k = α M mod p Benito Conoce: p y (α a ) mod p Se acepta la firma Se acepta la firma Si Si k = [(α a a )) r r rr s s ]] mod p es es igual a α M mod p Autenticación y Firma Digital 41

42 Ejemplo firma digital ElGamal (B A) Hola otra vez! Soy Benito de nuevo... Salu2. Benito Firma Claves Benito p B = α = 10 α b mod p = b = 20, h = 31 Sea H(M) = A69B (16 bits) 2 16 < < 2 17 luego, firmará con bloques de 16 bits Adelaida 1) h -1 = inv[h, φ(p)] = inv (31, ) = ) r = α h mod p = mod = ) s = [H(M) - b r] [inv(h,φ(p)] mod φ(p) H(M) = A69B 16 = ) s = [ ] mod ) s = Luego, la firma será (r, (r, s) s) = (11.755, (11.755, ) ) Autenticación y Firma Digital 42

43 Comprobación de firma ElGamal por A Benito Claves Benito p B = α = 10 α b mod p = b = 20, h = 31 H(M) = A69B = Adelaida Adelaida recibe el par (r, s) = (11.755, ) Comprobación de la firma: 1) r s mod p = mod = ) (α a ) r mod p = mod = Como hay igualdad se acepta la firma 3) (α a ) r r s mod p = ( ) mod = = k 4) α H(M) mod p = mod = Autenticación y Firma Digital 43

44 El generador α en la firma de ElGamal Benito Claves Benito p B = α = 10 α b mod p = b = 20, h = 31 p-1 = = q 1 = 2; q 2 = 3; q 3 = 23; q 4 = 193 y se cumple 10 (p-1)qi mod p 1 α = 10 es un generador del cuerpo p = puesto que: mod = mod = mod = mod = Por ejemplo, si se elige α = 11, para el exponente se obtiene el valor 1 y entonces no sirve para la firma. Será imposible comprobarla mediante la ecuación k = α M mod p. Autenticación y Firma Digital 44

45 Estándares de firma digital 1991: National Institute of Standards and Technology (NIST) propone el DSA, Digital Signature Algorithm, una variante de los algoritmos de ElGamal y Schnoor. 1994: Se establece como estándar el DSA y se conoce como DSS, Digital Signature Standard. 1996: La administración de los Estados Unidos permite la exportación de Clipper 3.11 en donde viene inmerso el DSS, que usa una función hash de tipo SHS, Secure Hash Standard. El peor inconveniente de la firma propuesta por ElGamal es que duplica el tamaño del mensaje M al enviar un par (r, s) en Z p y φ(p). No obstante, se solucionará con el algoritmo denominado DSS. Autenticación y Firma Digital 45

46 Digital Signature Standard DSS Parámetros públicos de la firma: Un número primo grande p (512 bits) Un número primo q (160 bits) divisor de p-1 Un generador α de orden q del grupo p Generador de orden q es aquella raíz α en el cuerpo Z p de forma que q es el entero más pequeño que verifica: α q mod p = 1 En este caso se cumple para todo t que: α t = α t (mod q) mod p Autenticación y Firma Digital 46

47 Generación de firma DSS de A B GENERACIÓN DE LA FIRMA POR PARTE DE A Claves públicas de A: primos p, q y el generador α Clave secreta de la firma: a (1 < a < q) aleatorio Clave pública de la firma: y = α a mod p Para firmar un mensaje 1 < M < p, el firmante elige un valor aleatorio 1 < h < q y calcula: r = (α h mod p) mod q s = [(M + a r) inv (h,q)] mod q La firma digital de M será el par (r, s) Autenticación y Firma Digital 47

48 Comprobación de firma DSS por B COMPROBACIÓN DE LA FIRMA DE A POR B B recibe el par (r, s) La firma tendrá en este caso Luego calcula: un tamaño menor que q, es w = inv (s, q) decir, menos bits que los del módulo de firma p ya que se u = M w mod q elige por diseño p >> q v = r w mod q Comprueba que se cumple la relación: r = (α u y v mod p) mod q Si se cumple, se acepta la firma como válida. Autenticación y Firma Digital 48

49 Ejemplo de firma DSS de B A Hola Adelaida, soy Benito y firmo con DSS. Benito Firma Sea H(M) = = 104 (un elemento de p B ) Claves Benito p B = 223 q B = 37 α = 17 y = α b mod p = 30 b = 25, h = < p B = 223 < 2 7 Luego firmará bloques de 7 bits Adelaida 1) inv (h,q) = inv (12, 37) = 34 2) r = (α h mod p) mod q = (17 12 mod 223) mod 37 = 171 mod 37 = 23 3) s = [H(M)+b r] [inv (h,q)] mod q = [ ] 34 mod 37 = 35 4) La firma digital de H(M) = 104 será: (r, s) = (23, 35) 5) Benito transmite a Adelaida el bloque (M, r, s) = (M, 23, 35) Autenticación y Firma Digital 49

50 Comprobación de firma DSS por A Benito Claves Benito p B = 223 q B = 37 α = 17 y = α b mod p = 30 b = 25, h = 12 Adelaida recibe: (M, r, s) = (M, 23, 35) Adelaida igualdad? Comprobación de firma 1) w = inv (s, q) = inv (35, 37) = 18 2) u = M w mod q = mod 37 = 22 3) v = r w mod q = mod 37 = 7 4) (α u y v mod p) mod q = r? 5) [( ) mod 223] mod 37 = 23 Se acepta la firma Y el tamaño será menor que q B = 37 es decir << P B = 223 que era el punto débil de ElGamal Fin del Tema Autenticación y Firma Digital 50