RSA: Autentificación y firma digitales

Transcripción

1 RSA: Autentificación y firma digitales Escenario usual para RSA: E B A M = E B (M) E A B E A, D A E B, D B C E A, E B Dos preguntas a responder: Autentificación: Cómo puede saber A si E B es efectivamente la clave pública de B? Firma digital: Cómo puede saber B si el mensaje M fue efectivamente enviado por A? IIC1253 Una introducción a la teoría de números (y a la criptografía) 21 / 45

2 RSA: Autentificación y firma digitales Una propiedad fundamental de RSA: E(D(M)) = M Usamos esta propiedad para resolver los problemas de autentificación y firma digital IIC1253 Una introducción a la teoría de números (y a la criptografía) 22 / 45

3 RSA: Autentificación y firma digitales Una propiedad fundamental de RSA: E(D(M)) = M Usamos esta propiedad para resolver los problemas de autentificación y firma digital Autentificación: Suponemos que existe una organización certificadora I Todos tienen acceso seguro a E I IIC1253 Una introducción a la teoría de números (y a la criptografía) 22 / 45

4 RSA: Autentificación y firma digitales Una propiedad fundamental de RSA: E(D(M)) = M Usamos esta propiedad para resolver los problemas de autentificación y firma digital Autentificación: Suponemos que existe una organización certificadora I Todos tienen acceso seguro a E I Cómo puede ser implementada la organización certificadora? Por qué podemos suponer que tenemos acceso seguro a E I? IIC1253 Una introducción a la teoría de números (y a la criptografía) 22 / 45

5 RSA: Autentificación Organización certificadora funciona de la siguiente forma: I E I Certificado B = D I (E B +datos de B) A Certificado B B E A, D A E B, D B Tenemos entonces el siguiente protocolo: I entrega a B un certificado Certificado B Para saber la clave pública de B (y los datos relevantes de B), A utiliza E I (Certificado B ) IIC1253 Una introducción a la teoría de números (y a la criptografía) 23 / 45

6 RSA: Firma digital Envío de mensajes firmados: A envía tanto el mensaje M como una firma F : A M = E B (M), F = D A (M ) B E A, D A E B, D B B recibe M y F : Verificación: Es cierto que M = E A (F )? Mensaje a leer: D B (M ) IIC1253 Una introducción a la teoría de números (y a la criptografía) 24 / 45

7 RSA: Implementación Para poder implementar RSA necesitamos algoritmos eficientes para los siguientes problemas: (1) Generar primos P y Q (2) Generar números e y d tales que (e d)modφ(n) =1 (3) Calcular funciones E y D Primero vamos a resolver (2). IIC1253 Una introducción a la teoría de números (y a la criptografía) 25 / 45

8 Máximo común divisor Sea MCD(a, b) el máximo común divisor de los números a y b Cómo podemos calcular MCD(a, b)? Proposición Si b > 0, entoncesmcd(a, b) =MCD(b, amodb) IIC1253 Una introducción a la teoría de números (y a la criptografía) 26 / 45

9 Máximo común divisor Sea MCD(a, b) el máximo común divisor de los números a y b Cómo podemos calcular MCD(a, b)? Proposición Si b > 0, entoncesmcd(a, b) =MCD(b, amodb) Demostración: Vamos a demostrar que un número c divide a a y b si y sólo si c divide a b y a mod b. De esto se concluye que MCD(a, b) =MCD(b, a mod b) IIC1253 Una introducción a la teoría de números (y a la criptografía) 26 / 45

10 Máximo común divisor Sabemos que a = α b +(a mod b) ( ) Supongaquec a y c b. Dado que (a mod b) =a α b, concluimosquec (a mod b). ( ) Supongaquec b y c (a mod b). Dado que a = α b +(a mod b), tenemos que c a. IIC1253 Una introducción a la teoría de números (y a la criptografía) 27 / 45

11 Cálculo de máximo común divisor De lo anterior, concluimos la siguiente identidad: { a b =0 MCD(a, b) = MCD(b, a mod b) b > 0 Podemos usar esta identidad para generar un algoritmos recursivo para calcular el máximo común divisor. Este algoritmo puede ser extendido para calcular s y t tales que MCD(a, b) =s a + t b Vamos a usar este algoritmo para calcular los coeficiente d y e usados en RSA. IIC1253 Una introducción a la teoría de números (y a la criptografía) 28 / 45

12 Algoritmo extendido para calcular el máximo común divisor Suponga que a b, ydefinalasiguientesucesión: r 0 = a r 1 = b r i+1 = r i 1 mod r i (i 2) IIC1253 Una introducción a la teoría de números (y a la criptografía) 29 / 45

13 Algoritmo extendido para calcular el máximo común divisor Suponga que a b, ydefinalasiguientesucesión: r 0 = a r 1 = b r i+1 = r i 1 mod r i (i 2) Calculamos esta sucesión hasta un número k tal que r k =0 Tenemos que MCD(a, b) =r k 1 IIC1253 Una introducción a la teoría de números (y a la criptografía) 29 / 45

14 Algoritmo extendido para calcular el máximo común divisor Al mismo tiempo calculamos sucesiones s i, t i tales que: r i = s i a + t i b Tenemos que: MCD(a, b) =r k 1 = s k 1 a + t k 1 b IIC1253 Una introducción a la teoría de números (y a la criptografía) 30 / 45

15 Algoritmo extendido para calcular el máximo común divisor Al mismo tiempo calculamos sucesiones s i, t i tales que: r i = s i a + t i b Tenemos que: MCD(a, b) =r k 1 = s k 1 a + t k 1 b Sean: s 0 =1 t 0 =0 s 1 =0 t 1 =1 IIC1253 Una introducción a la teoría de números (y a la criptografía) 30 / 45

16 Algoritmo extendido para calcular el máximo común divisor Al mismo tiempo calculamos sucesiones s i, t i tales que: r i = s i a + t i b Tenemos que: MCD(a, b) =r k 1 = s k 1 a + t k 1 b Sean: s 0 =1 t 0 =0 s 1 =0 t 1 =1 Se tiene que: r 0 = s 0 a + t 0 b r 1 = s 1 a + t 1 b IIC1253 Una introducción a la teoría de números (y a la criptografía) 30 / 45

17 Algoritmo extendido para calcular el máximo común divisor Dado que r i 1 = r i 1 r i Por lo tanto: r i + r i 1 mod r i,tenemosque: r i 1 = r i 1 r i r i + r i+1 s i 1 a + t i 1 b = r i 1 r i (s i a + t i b)+r i+1 Concluimos que: r i+1 = (s i 1 r i 1 r i s i ) a +(t i 1 r i 1 r i t i ) b IIC1253 Una introducción a la teoría de números (y a la criptografía) 31 / 45

18 Algoritmo extendido para calcular el máximo común divisor Dado que r i 1 = r i 1 r i Por lo tanto: r i + r i 1 mod r i,tenemosque: r i 1 = r i 1 r i r i + r i+1 s i 1 a + t i 1 b = r i 1 r i (s i a + t i b)+r i+1 Concluimos que: r i+1 = (s i 1 r i 1 r i Definimos entonces: s i ) a +(t i 1 r i 1 r i s i+1 = s i 1 r i 1 r i t i+1 = t i 1 r i 1 r i s i t i t i ) b IIC1253 Una introducción a la teoría de números (y a la criptografía) 31 / 45

19 Algoritmo extendido para calcular el máximo común divisor Ejemplo Vamos a usar el algoritmo para a =60yb =13. Inicialmente: r 0 =60 s 0 =1 t 0 =0 r 1 =13 s 1 =0 t 1 =1 Entonces tenemos que: r 2 = r 0 mod r 1 s 2 = s 0 r 0 r 1 s 1 t 2 = t 0 r 0 r 1 t 1 IIC1253 Una introducción a la teoría de números (y a la criptografía) 32 / 45

20 Algoritmo extendido para calcular el máximo común divisor Example (Continuación) Por lo tanto: r 2 =8 s 2 =1 t 2 = 4 Y el proceso continua: r 3 =5 s 3 = 1 t 3 =5 r 4 =3 s 4 =2 t 4 = 9 r 5 =2 s 5 = 3 t 5 =14 r 6 =1 s 6 =5 t 6 = 23 r 7 =0 s 7 = 13 t 7 =60 Tenemos que: 1= ( 23) 13 IIC1253 Una introducción a la teoría de números (y a la criptografía) 33 / 45

21 Inverso modular Definición b es inverso de a en módulo n si a b 1 mod n IIC1253 Una introducción a la teoría de números (y a la criptografía) 34 / 45

22 Inverso modular Definición b es inverso de a en módulo n si a b 1 mod n Para el caso de RSA: d es inverso de e en módulo φ(n) En el ejemplo: 37 es inverso de 13 en módulo 60 IIC1253 Una introducción a la teoría de números (y a la criptografía) 34 / 45

23 Inverso modular Definición b es inverso de a en módulo n si a b 1 mod n Para el caso de RSA: d es inverso de e en módulo φ(n) En el ejemplo: 37 es inverso de 13 en módulo 60 Todo número tiene inverso modular? No: 2 no tiene inverso en módulo 4 IIC1253 Una introducción a la teoría de números (y a la criptografía) 34 / 45

24 Inverso modular Definición b es inverso de a en módulo n si a b 1 mod n Para el caso de RSA: d es inverso de e en módulo φ(n) En el ejemplo: 37 es inverso de 13 en módulo 60 Todo número tiene inverso modular? No: 2 no tiene inverso en módulo 4 Bajo qué condiciones a tiene inverso en módulo n? Cómo podemos calcular este inverso? IIC1253 Una introducción a la teoría de números (y a la criptografía) 34 / 45

25 Inverso modular: Existencia Teorema a tiene inverso en módulo n si y sólo si MCD(a, n) =1 IIC1253 Una introducción a la teoría de números (y a la criptografía) 35 / 45

26 Inverso modular: Existencia Teorema a tiene inverso en módulo n si y sólo si MCD(a, n) =1 Demostración: ( ) Supongaqueb es inverso de a en módulo n Entonces: a b 1modn Se deduce que a b = α n +1,porloque1=a b α n Concluimos que si c a y c n, entoncesc 1 Por lo tanto c debe ser igual a 1, de lo que concluimos que MCD(a, n) =1 IIC1253 Una introducción a la teoría de números (y a la criptografía) 35 / 45

27 Inverso modular: Existencia ( ) SupongaqueMCD(a, n) =1 Ejecutando el algoritmo extendido para el cálculo del máximo común divisor obtenemos s y t tales que: 1 = s n + t a Por lo tanto: a t 1modn Concluimos que a tiene inverso en módulo n IIC1253 Una introducción a la teoría de números (y a la criptografía) 36 / 45

28 Cálculo de exponentes e y d en RSA Recuerde que en RSA: N = P Q y φ(n) =(P 1) (Q 1) Tenemos que generar e y d tales que e d 1modφ(N) Tenemos los ingredientes necesarios para generar e y d: genere al azar un número e while MCD(e,φ(N)) > 1 do genere al azar un número e calcule s y t tales que 1 = s φ(n)+t e sea d {0,...,φ(N) 1} tal que d t mod φ(n) return (e, d) IIC1253 Una introducción a la teoría de números (y a la criptografía) 37 / 45

29 RSA: Implementación (continuación) Como mencionamos anteriormente, para poder implementar RSA necesitamos algoritmos eficientes para los siguientes problemas: (1) Generar primos P y Q (2) Generar números e y d tales que (e d)modφ(n) =1 (3) Calcular funciones E y D IIC1253 Una introducción a la teoría de números (y a la criptografía) 38 / 45

30 RSA: Implementación (continuación) Como mencionamos anteriormente, para poder implementar RSA necesitamos algoritmos eficientes para los siguientes problemas: (1) Generar primos P y Q (2) Generar números e y d tales que (e d)modφ(n) =1 (3) Calcular funciones E y D Ya resolvimos (2), nos falta resolver (1) y (3). IIC1253 Una introducción a la teoría de números (y a la criptografía) 38 / 45

31 RSA: Implementación (continuación) Como mencionamos anteriormente, para poder implementar RSA necesitamos algoritmos eficientes para los siguientes problemas: (1) Generar primos P y Q (2) Generar números e y d tales que (e d)modφ(n) =1 (3) Calcular funciones E y D Ya resolvimos (2), nos falta resolver (1) y (3). Cómo se resuelve (3)? No es difícil hacer esto IIC1253 Una introducción a la teoría de números (y a la criptografía) 38 / 45

32 RSA: Implementación (continuación) Como mencionamos anteriormente, para poder implementar RSA necesitamos algoritmos eficientes para los siguientes problemas: (1) Generar primos P y Q (2) Generar números e y d tales que (e d)modφ(n) =1 (3) Calcular funciones E y D Ya resolvimos (2), nos falta resolver (1) y (3). Cómo se resuelve (3)? No es difícil hacer esto Lamentablemente (1) está fuera del alcance de este curso... IIC1253 Una introducción a la teoría de números (y a la criptografía) 38 / 45

33 Teorema de Wilson: Una aplicación de la materia Teorema (Wilson) Un número n 2 es primo si y sólo si (n 1)! (n 1) mod n. Ejemplos: 3! mod 4 = 6 mod 4 = 2 6! mod 7 = 720 mod 7 = 6 8! mod 9 = mod 9 = 0 IIC1253 Una introducción a la teoría de números (y a la criptografía) 39 / 45

34 Teorema de Wilson: Una aplicación de la materia Teorema (Wilson) Un número n 2 es primo si y sólo si (n 1)! (n 1) mod n. Ejemplos: 3! mod 4 = 6 mod 4 = 2 6! mod 7 = 720 mod 7 = 6 8! mod 9 = mod 9 = 0 Cómo se demuestra este teorema? La noción de inverso modular es la pieza clave IIC1253 Una introducción a la teoría de números (y a la criptografía) 39 / 45

35 Teorema de Wilson: Demostración ( ) Porcontradicción,supongaquen 2, (n 1)! (n 1) mod n y n no es primo. Como n no es primo, existe a {2,...,n 1} tal que a n. Tenemos que (n 1)! = a (a 1)! Sea α =(a 1)! ( n 1 i=a+1 ) i ( n 1 i=a+1 ) i IIC1253 Una introducción a la teoría de números (y a la criptografía) 40 / 45

36 Teorema de Wilson: Demostración Por hipótesis, concluimos que: a α (n 1) mod n Por lo tanto: a 2 α 2 1modn Concluimos que a 2 tiene inverso en módulo n. Obtenemos una contradicción ya que MCD(a 2, n) 1 IIC1253 Una introducción a la teoría de números (y a la criptografía) 41 / 45

37 Teorema de Wilson: Demostración ( ) Sean 2unnúmeroprimo. Para demostrar que (n 1)! (n 1) mod n necesitamos demostrar algunos resultados intermedios. Lema Si p es un número primo y a b 0 mod p, entonces a 0 mod p ó b 0 mod p. IIC1253 Una introducción a la teoría de números (y a la criptografía) 42 / 45

38 Teorema de Wilson: Demostración ( ) Sean 2unnúmeroprimo. Para demostrar que (n 1)! (n 1) mod n necesitamos demostrar algunos resultados intermedios. Lema Si p es un número primo y a b 0 mod p, entonces a 0 mod p ó b 0 mod p. Ejercicio Demuestre el lema. IIC1253 Una introducción a la teoría de números (y a la criptografía) 42 / 45

39 Teorema de Wilson: Demostración Corolario Si p es un número primo y a 2 1 mod p, entonces a 1 mod p ó a (p 1) mod p. IIC1253 Una introducción a la teoría de números (y a la criptografía) 43 / 45

40 Teorema de Wilson: Demostración Corolario Si p es un número primo y a 2 1 mod p, entonces a 1 mod p ó a (p 1) mod p. Ejercicio Demuestre el corolario. IIC1253 Una introducción a la teoría de números (y a la criptografía) 43 / 45

41 Teorema de Wilson: Demostración Corolario Si p es un número primo, a b 1 mod p y a c 1 mod p, entonces b cmodp En particular, si b, c {1,...,p 1}, entoncesb= c IIC1253 Una introducción a la teoría de números (y a la criptografía) 44 / 45

42 Teorema de Wilson: Demostración Corolario Si p es un número primo, a b 1 mod p y a c 1 mod p, entonces b cmodp En particular, si b, c {1,...,p 1}, entoncesb= c Ejercicio Demuestre el corolario. IIC1253 Una introducción a la teoría de números (y a la criptografía) 44 / 45

43 Teorema de Wilson: Demostración Tenemos los ingredientes necesarios para demostrar el teorema. Para n =2yn = 3 es cierto, supongamos que n > 3 IIC1253 Una introducción a la teoría de números (y a la criptografía) 45 / 45

44 Teorema de Wilson: Demostración Tenemos los ingredientes necesarios para demostrar el teorema. Para n =2yn = 3 es cierto, supongamos que n > 3 Usando los resultados anteriores concluimos lo siguiente ( por qué?): ( n 2 i=2 ) i 1modn IIC1253 Una introducción a la teoría de números (y a la criptografía) 45 / 45

45 Teorema de Wilson: Demostración Tenemos los ingredientes necesarios para demostrar el teorema. Para n =2yn = 3 es cierto, supongamos que n > 3 Usando los resultados anteriores concluimos lo siguiente ( por qué?): ( n 2 i=2 ) i 1modn Concluimos que (n 1)! (n 1) mod n. IIC1253 Una introducción a la teoría de números (y a la criptografía) 45 / 45