UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO PROGRAMA DE MAESTRÍA Y DOCTORADO EN INGENIERÍA T E S I S

Transcripción

1 UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO PROGRAMA DE MAESTRÍA Y DOCTORADO EN INGENIERÍA ESTUDIO Y REALIZACIÓN DE MECANISMOS DE SEGURIDAD PARA LAS TARJETAS INTELIGENTES (Smart Card), BASADOS EN EL ALGORITMO AES (Advanced Encryption Standard) T E S I S QUE PARA OBTENER EL GRADO DE: MAESTRO EN INGENIERÍA (ELÉCTRICA) PRESENTA: MANUEL ALEXANDRO MORENO LIY Director de Tei: Dr. Francio J. García Ugalde CIUDAD UNIVERSITARIA Agoto de 26

2 AGRADECIMIENTOS A mi epoa Olga, por el apoyo y u continuo llamado a no claudicar en la realización de ete trabajo. A mi Familia, por todo el apoyo recibido para mi formación humana y académica. A la Facultad de Ingeniería UNAM, por inculcarme lo má alto valore ético del er humano. Al Pogrado de Ingeniería de la UNAM, por er una caa abierta para el aprendizaje e invetigación. Al Dr. Francico García Ugalde, por u enorme comprenión, tiempo compartido, y u acertado conejo en la dirección de ete trabajo. A mi inodale, por el tiempo y u valioa ugerencia para enriquecer ete trabajo.

3 RESUMEN E ampliamente reconocido que la eguridad en lo dato etá jugando un papel importante en el dieño de itema de tecnología de información, lo que implica la adopción de mecanimo de protección que proporcionen lo ervicio de control de acceo, confidencialidad, integridad, diponibilidad y no repudio, y que al mimo tiempo on ya un factor de competitividad en el mercado. La Criptografía e una repueta ante eto reto de eguridad, in embargo u aplicación en Tarjeta Inteligente repreenta vario problema que hay que olventar como el rendimiento y la retriccione de cómputo de la mima arquitectura (memoria y proceamiento). La Tarjeta Inteligente on de lo má reciente avance en lo que e refiere a la tecnología de información. Su tamaño e aemeja al de una tarjeta de crédito y tiene empotrado un chip que le permite almacenar dato y comunicare a travé de un lector con una computadora. En ete trabajo de tei e realiza un etudio y realización de lo mecanimo de eguridad para Tarjeta Inteligente con bae en el algoritmo de cifrado imétrico por bloque AES (Advanced Encryption Standard). El AES utituye a la norma oficial de cifrado de Etado Unido que e conoce como el DES (Data Encryption Standard) debido a que ofrece un mayor nivel de eguridad en cuanto al tamaño de la llave y u flexibilidad para implementare en cualquier plataforma diponible actualmente. El algoritmo Rijndael reultó el ganador del proceo de elección del AES, y cuenta con una etructura iterativa que maneja una longitud variable del bloque de dato y de la llave. En ete trabajo e dearrollaron la rutina de cifrado directo y cifrado invero del algoritmo para un tamaño de 28 bit tanto para el bloque de dato como para la llave. Se utilizó la tarjeta ATMega63 que fue adquirida previamente por la Univeridad Nacional Autónoma de México. Eta tarjeta pertenece a la familia de tarjeta Funcard y cuenta con un microproceador AVR AT9S855 de 8 bit tipo RISC (Reduced Intruction Set Computer) de la emprea ATMEL. La optimización del código bucó en todo momento u implantación real en la tarjeta ATMega63 con reultado aceptable en el uo de lo recuro diponible. La primera deciión importante para lograr lo objetivo de eficiencia y rendimiento de ete trabajo fue la de realizar la implementación del algoritmo Rijndael en lenguaje enamblador para contar con mayor control obre la lectura y ecritura de dato en memoria y obre la correpondiente manipulación de lo dato dentro de cada una de la operacione del algoritmo. El ambiente de dearrollo AVR Studio 4, el cual e proporcionado de manera gratuita por la mima emprea ATMEL, fue una pieza muy importante que permitió realizar la imulación del código producido. El etudio del conjunto de intruccione del microproceador AVR AT9S855 permitió implementar, cai en u totalidad, la operacione del algoritmo con intruccione directa obre lo dato de lo regitro, diminuyendo lo ciclo de reloj empleado por la operacione de lectura y ecritura de reultado temporale a la memoria SRAM. Por otra parte, e analizaron la etrategia de optimización del algoritmo Rijndael a fin de eleccionar aquella que permitieran lo mejore beneficio en cuanto a rapidez de

4 ejecución y uo de recuro de la tarjeta ATMega63. Como reultado, e crearon do verione del cifrado directo: la primera utiliza una tabla de búqueda, y la egunda utiliza el deplazamiento lógico hacia la izquierda y hace el manejo del poible bit de acarreo. Cada una de eta verione tiene ventaja y deventaja en cuanto a la eguridad y a la eficiencia en el uo de recuro. Para el cifrado directo e obtuvieron tiempo de ejecución má bajo que lo reportado en otro trabajo imilare. Un logro importante en ete trabajo de tei fue la creación de la rutina de cifrado invero (decifrado). Amba rutina fueron incorporada a nivel de comando en el itema operativo SOSSE de dominio público, logrando aí u integración en la tarjeta ATMega63.

5 ÍNDICE GENERAL ÍNDICE GENERAL...3 ÍNDICE DE FIGURAS...5 ÍNDICE DE TABLAS...6 INTRODUCCIÓN...7 HIPÓTESIS... 7 OBJETIVOS... 8 Objetivo Principal...8 Objetivo Epecífico...8 JUSTIFICACIÓN... 8 MÉTODO... 9 CONTENIDO... 9 CAPÍTULO : TARJETAS INTELIGENTES... INTRODUCCIÓN... HISTORIA... COMPONENTES... CLASIFICACIÓN... 2 PROTOCOLOS DE COMUNICACIÓN... 4 El protocolo de comunicación T=...5 El protocolo de comunicación T=...6 SISTEMA DE ARCHIVOS... 8 APLICACIONES... 9 Pago electrónico...2 Seguridad y autenticación...2 Tranporte...2 Telefonía y Telecomunicacione...22 Sector alud...22 Componente de un itema baado en la Tarjeta Inteligente...22 CAPÍTULO 2: ANTECEDENTES DE CRIPTOGRAFÍA...24 HISTORIA CONCEPTOS Ataque...25 Cifrado imétrico o de llave privada...27 Cifrado aimétrico o de llave pública...28 Método híbrido de cifrado...3 APLICACIONES... 3 Firma Digital...3 CAPÍTULO 3: EL ALGORITMO RIJNDAEL...33 HISTORIA ESPECIFICACIONES DESCRIPCIÓN DEL ALGORITMO Cifrado directo...35 Cifrado invero...4 CAPÍTULO 4: IMPLANTACIÓN DEL ALGORITMO RIJNDAEL EN TARJETAS INTELIGENTES...42 CONSIDERACIONES GENERALES PARA LA IMPLANTACIÓN LA PLATAFORMA ATMEGA HERRAMIENTAS DE SIMULACIÓN, DESARROLLO E IMPLANTACIÓN... 43

6 CRITERIOS DE OPTIMIZACIÓN Y DESARROLLO DEL ALGORITMO RIJNDAEL Generale Cifrado directo...46 Cifrado invero INTEGRACIÓN DEL ALGORITMO EN EL SISTEMA OPERATIVO SOSSE Decripción y etructura...49 Inerción del algoritmo Rijndael en SOSSE....5 CAPÍTULO 5: RESULTADOS...54 RESUMEN DE LA IMPLANTACIÓN MÉTRICAS OBTENIDAS COMPARACIÓN CON OTROS TRABAJOS REALIZADOS CAPÍTULO 6: CONCLUSIONES...6 BIBLIOGRAFÍA...63

7 ÍNDICE DE FIGURAS FIGURA.. COMPONENTES DE UNA TARJETA INTELIGENTE.... FIGURA.2. CLASIFICACIÓN RESUMIDA DE LAS TARJETAS INTELIGENTES... 3 FIGURA.3. DISPOSICIÓN DE LOS CONTACTOS DE ACUERDO CON LA NORMA ISO FIGURA.4. OPERACIÓN DEL PROTOCOLO T= DEL LECTOR HACIA LA TARJETA INTELIGENTE Y VICEVERSA FIGURA.5. CAMPOS DE LA TRAMA DEL PROTOCOLO T= FIGURA.6. ESQUEMA DEL SISTEMA DE ARCHIVOS BAJO LA NORMA ISO FIGURA.7. ESTRUCTURA DE UN ARCHIVO EN LA NORMA ISO FIGURA.8. AUTENTICACIÓN DE LA TARJETA... 2 FIGURA.9. COMPONENTES TÍPICOS DE UN SISTEMA BASADO EN TARJETAS INTELIGENTES FIGURA 3.. EJEMPLO DE MATRIZ DE ESTADO Y MATRIZ DE LLAVE DE RONDA CON N B= N K =4 (28 BITS) FIGURA 3.2. ESTRUCTURA DEL ALGORITMO RIJNDAEL FIGURA 3.3. MATRIZ EMPLEADA POR LA TRANSFORMACIÓN SUBSTITUTE BYTES FIGURA 3.4. EFECTO DE LA TRANSFORMACIÓN SUBSTITUTE BYTES FIGURA 3.5. EFECTO DE LA TRANSFORMACIÓN SHIFT ROWS PARA N B = FIGURA 3.6. REPRESENTACIÓN MATRICIAL DE LA TRANSFORMACIÓN MIX COLUMNS FIGURA 3.7. REPRESENTACIÓN MATRICIAL DE LA TRANSFORMACIÓN INV MIX COLUMNS... 4 FIGURA 4.. ARQUITECTURA ATMEGA FIGURA 4.2. LA HERRAMIENTA AVR STUDIO FIGURA 4.3. EL PROGRAMADOR MASTERCRD FIGURA 4.4. SOFTWARE MASTER BURNER PARA LA PROGRAMACIÓN DE TARJETAS FIGURA 4.5. DIAGRAMA DE FLUJO DE LA RUTINA DE CIFRADO DIRECTO FIGURA 4.6. RELACIÓN EXISTENTE ENTRE LOS POLINOMIOS C(X) Y D(X) FIGURA 4.7. DIAGRAMA DE FLUJO DE LA RUTINA DE CIFRADO INVERSO FIGURA 4.8. INTERACCIÓN ENTRE SISTEMA ANFITRIÓN, LECTOR Y TARJETA INTELIGENTE... 5 FIGURA 4.9. EL MANEJADOR PC/SC FIGURA 4.. ESTRUCTURA DE LA APDU PARA EL CIFRADO FIGURA 4.. ESTRUCTURA DE LA APDU PARA EL DESCIFRADO FIGURA 4.2. ESTRUCTURA DEL COMANDO GET RESPONSE FIGURA 5.. CICLOS DE RELOJ DE CADA VERSIÓN CREADA DEL ALGORITMO RIJNDAEL FIGURA 5.2. TIEMPO DE EJECUCIÓN DE CADA VERSIÓN CREADA DEL ALGORITMO RIJNDAEL FIGURA 5.3. TAMAÑO DEL CÓDIGO DE CADA VERSIÓN CREADA DEL ALGORITMO RIJNDAEL... 6

8 ÍNDICE DE TABLAS TABLA 3.. NÚMERO DE RONDAS DEL ALGORITMO RIJNDAEL EN FUNCIÓN DE LOS PARÁMETROS N B Y N K TABLA 3.2. TABLA DE SUSTITUCIÓN S-BOX PARA LA TRANSFORMACIÓN SUBSTITUTE BYTES TABLA 3.3. NÚMERO DE POSICIONES A DESPLAZAR SEGÚN EL TAMAÑO DE BLOQUE N B TABLA 3.4. CONSTANTES DE RONDA PARA N B = N K = TABLA 3.5. TABLA DE SUSTITUCIÓN S-BOX PARA LA TRANSFORMACIÓN INV SUBSTITUTE BYTES... 4 TABLA 4.. EQUIVALENCIAS DE DIRECTIVAS EN ENSAMBLADOR ENTRE AVR STUDIO 4 Y AVR-GCC TABLA 5.. MÉTRICAS OBTENIDAS PARA LA VERSIÓN RIJNDAEL_DIR_V TABLA 5.2. MÉTRICAS OBTENIDAS PARA LA VERSIÓN RIJNDAEL_DIR_V TABLA 5.3. MÉTRICAS OBTENIDAS PARA LA VERSIÓN RIJNDAEL_INV_V TABLA 5.4. MÉTRICAS OBTENIDAS PARA LA VERSIÓN RIJNDAEL_INV_V TABLA 5.5. MÉTRICAS OBTENIDAS PARA LAS VERSIONES DE CIFRADO DIRECTO DEL ALGORITMO RIJNDAEL REPORTADAS EN []... 58

9 Introducción En la década de lo ochenta la computadora peronal ignificó un cambio muy importante en la economía al proporcionar el proceamiento de grande cantidade de dato para la automatización de tarea. En la actualidad la rede juegan un papel muy importante en la mayoría de la actividade del er humano ya que hacen poible que la información e encuentre diponible en todo lugar y en todo momento. E ampliamente reconocido que la eguridad en lo dato etá jugando un papel importante en el dieño de itema de tecnología de información, eto implica la adopción de mecanimo de protección que proporcionen lo ervicio de control de acceo, confidencialidad, integridad, diponibilidad y no repudio, y que al mimo tiempo on ya un factor de competitividad en el mercado. Actualmente e tiene la opción de trabajar con itema empotrado en lo cuale e ejecutan una gran cantidad de aplicacione. Ademá, el crecimiento exploivo de la comunicacione digitale ha traído conigo nuevo reto para la eguridad. Mucha de eta aplicacione e utentan invariablemente en mecanimo de eguridad. Entre la má importante podemo mencionar eguridad para teléfono inalámbrico, equema de protección de copia para producto de audio y video, entre otro. En mucha aplicacione la Tarjeta Inteligente, como un tipo de itema empotrado, on utilizada como dipoitivo eguro portátile. Para u eguridad, la aplicacione hacen uo de generadore y verificadore MAC (Meage Authentication Code) y del cifrado y decifrado de dato mediante el uo de un algoritmo de cifrado por bloque. La Criptografía e una repueta ante eto reto de eguridad, in embargo u aplicación en Tarjeta Inteligente repreenta vario problema que hay que olventar. En primer término tenemo el factor de rendimiento. En ete cao, un rendimiento aceptable o adecuado para la aplicacione etá en función de lo algoritmo de cifrado eficiente. En egundo término tenemo el factor de coto. En la Tarjeta Inteligente exiten retriccione en el tamaño y capacidad de lo recuro de cómputo (proceamiento, memoria, entre otro). Entre má recuro de cómputo tenga un itema empotrado má caro e, aunque obviamente má verátil. Por lo tanto la implantación de algoritmo de cifrado en Tarjeta Inteligente debe er capaz de explotar al máximo lo recuro de cómputo diponible.

10 Reumen E ampliamente reconocido que la eguridad en lo dato etá jugando un papel importante en el dieño de itema de tecnología de información, lo que implica la adopción de mecanimo de protección que proporcionen lo ervicio de control de acceo, confidencialidad, integridad, diponibilidad y no repudio, y que al mimo tiempo on ya un factor de competitividad en el mercado. La Criptografía e una repueta ante eto reto de eguridad, in embargo u aplicación en Tarjeta Inteligente repreenta vario problema que hay que olventar como el rendimiento y la retriccione de cómputo de la mima arquitectura (memoria y proceamiento). La Tarjeta Inteligente on de lo má reciente avance en lo que e refiere a la tecnología de información. Su tamaño e aemeja al de una tarjeta de crédito y tiene empotrado un chip que le permite almacenar dato y comunicare a travé de un lector con una computadora. En ete trabajo de tei e realiza un etudio y realización de lo mecanimo de eguridad para Tarjeta Inteligente con bae en el algoritmo de cifrado imétrico por bloque AES (Advanced Encryption Standard). El AES utituye a la norma oficial de cifrado de Etado Unido que e conoce como el DES (Data Encryption Standard) debido a que ofrece un mayor nivel de eguridad en cuanto al tamaño de la llave y u flexibilidad para implementare en cualquier plataforma diponible actualmente. El algoritmo Rijndael reultó el ganador del proceo de elección del AES, y cuenta con una etructura iterativa que maneja una longitud variable del bloque de dato y de la llave. En ete trabajo e dearrollaron la rutina de cifrado directo y cifrado invero del algoritmo para un tamaño de 28 bit tanto para el bloque de dato como para la llave. Se utilizó la tarjeta ATMega63 que fue adquirida previamente por la Univeridad Nacional Autónoma de México. Eta tarjeta pertenece a la familia de tarjeta Funcard y cuenta con un microproceador AVR AT9S855 de 8 bit tipo RISC (Reduced Intruction Set Computer) de la emprea ATMEL. La optimización del código bucó en todo momento u implantación real en la tarjeta ATMega63 con reultado aceptable en el uo de lo recuro diponible. La primera deciión importante para lograr lo objetivo de eficiencia y rendimiento de ete trabajo fue la de realizar la implementación del algoritmo Rijndael en lenguaje enamblador para contar con mayor control obre la lectura y ecritura de dato en memoria y obre la correpondiente manipulación de lo dato dentro de cada una de la operacione del algoritmo. El ambiente de dearrollo AVR Studio 4, el cual e proporcionado de manera gratuita por la mima emprea ATMEL, fue una pieza muy importante que permitió realizar la imulación del código producido. El etudio del conjunto de intruccione del microproceador AVR AT9S855 permitió implementar, cai en u totalidad, la operacione del algoritmo con intruccione directa obre lo dato de lo regitro, diminuyendo lo ciclo de reloj empleado por la operacione de lectura y ecritura de reultado temporale a la memoria SRAM. Por otra parte, e analizaron la etrategia de optimización del algoritmo Rijndael a fin

11 de eleccionar aquella que permitieran lo mejore beneficio en cuanto a rapidez de ejecución y uo de recuro de la tarjeta ATMega63. Como reultado, e crearon do verione del cifrado directo: la primera utiliza una tabla de búqueda, y la egunda utiliza el deplazamiento lógico hacia la izquierda y hace el manejo del poible bit de acarreo. Cada una de eta verione tiene ventaja y deventaja en cuanto a la eguridad y a la eficiencia en el uo de recuro. Para el cifrado directo e obtuvieron tiempo de ejecución má bajo que lo reportado en otro trabajo imilare. Un logro importante en ete trabajo de tei fue la creación de la rutina de cifrado invero (decifrado). Amba rutina fueron incorporada a nivel de comando en el itema operativo SOSSE de dominio público, logrando aí u integración en la tarjeta ATMega63.

12 Hipótei Lo iguiente punto forman la hipótei de ete trabajo de tei: E poible implantar la rutina de cifrado directo y de cifrado invero del algoritmo Rijndael en una tarjeta inteligente. E poible mejorar el tiempo de ejecución reportado en [] para el cifrado directo. La implantación completa el algoritmo Rijndael deberá uar eficientemente lo recuro diponible en la Tarjeta Inteligente de tal forma que e acople directamente a u itema operativo. El cifrado directo y el cifrado invero del algoritmo Rijndael podrán er uado como primitiva criptográfica para uo de aplicacione divera. Objetivo Objetivo Principal Implantar la rutina de cifrado directo y de cifrado invero de manera eficiente en una arquitectura epecífica de Tarjeta Inteligente. Objetivo Epecífico Etudiar la tecnología de la Tarjeta Inteligente. Etudiar la teoría de lo algoritmo de cifrado imétrico por bloque. Etudiar el algoritmo de cifrado Rijndael, u aplicación y criterio de optimización en Tarjeta Inteligente. Etudiar la arquitectura de la Tarjeta Inteligente ATMega63 que erá uada en la implantación real del algoritmo Rijndael. Etudiar el itema operativo de domino público SOSSE para Tarjeta Inteligente. Dearrollar la rutina de cifrado directo y de cifrado invero del algoritmo Rijndael de una forma eficiente para la Tarjeta Inteligente ATMega63. Mejorar el tiempo de ejecución de la rutina de cifrado directo del algoritmo Rijndael, comparándola con trabajo imilare. Jutificación Lo beneficio del uo de Tarjeta Inteligente dependen de la aplicación, por ejemplo telefonía pública y telefonía móvil, banca y tranaccione electrónica, acceo a ervicio público entre otra. En general, la aplicacione oportada benefician a lo uuario cuando u etilo de vida tienen un punto en común con tecnología de acceo a la información y de

13 proceamiento de pago. Eto beneficio incluyen la capacidad de adminitrar o controlar gato de manera efectiva, reducir el fraude, la papelería y lo trámite. En la actualidad, lo recuro de una Tarjeta Inteligente brindan la capacidad de ofrecer múltiple ervicio haciendo uo de la mima infraetructura por lo que lo coto iniciale de depligue y adminitración de la mima tarjeta e ven reducido. Por eta razone e intereante implantar el algoritmo de cifrado Rijndael obre una arquitectura epecífica de Tarjeta Inteligente, en ete cao la ATMega63. Se ha ecogido ete algoritmo ya que preciamente ha ido el ganador del AES (Advanced Encryption Standard) que e el nombre bajo el cual el NIST (National Intitute of Standard and Technology) de Etado Unido realizó un proceo de elección abierto para ecoger un algoritmo de cifrado por bloque uperior en eguridad, rapidez y flexibilidad a lo algoritmo DES (Data Encryption Standard) y Triple DES o 3DES. El reto aquí e el dearrollo completo del algoritmo bucando iempre la optimización de lo recuro de la Tarjeta Inteligente. Incluo lo mimo autore del algoritmo han deetimado la implantación del cifrado invero en arquitectura de 8 bit, típica de una Tarjeta Inteligente, debido a que el cifrado directo tiene mayor diveridad de aplicacione. Sin embargo, el cifrado invero e importante ya que permite realizar lo proceo de autenticación tanto de la mima tarjeta como del itema anfitrión de la aplicación. Método Para el dearrollo de ete trabajo de tei e tendrá una componente muy importante de invetigación en lo tema de Tarjeta Inteligente, antecedente de Criptografía con enfoque hacia el cifrado imétrico por bloque, el algoritmo Rijndael, la arquitectura de la tarjeta ATMega63, el itema operativo SOSSE, herramienta de dearrollo, y herramienta para la inerción del código producido en la tarjeta. El reultado de eta invetigación erá la implantación real del algoritmo Rijndael en la Tarjeta Inteligente bucando cumplir con el objetivo principal y objetivo epecífico planteado con anterioridad. Contenido El trabajo de tei e compone de 6 capítulo. En el capítulo e trata el tema de Tarjeta Inteligente en el que e preenta u hitoria, claificación, decripción de componente, protocolo, eguridad y aplicacione. En el capítulo 2 e aborda el tema de Criptografía con epecial enfái en el cifrado imétrico o de llave privada. El capítulo 3 etá dedicado por completo al algoritmo Rijndael en el cual e decribe u etructura y operación. Eto tre primero capítulo tienen la intención de brindar lo antecedente uficiente al lector para facilitar la comprenión del reto de lo capítulo. En el capítulo 4 e decribe en detalle la implantación del algoritmo Rijndael en la Vincent Rijmen y Joan Daemen.

14 tarjeta ATMega63. Aquí e dicuten lo factore que e tomaron en cuenta para u implantación y optimización, decripción de la arquitectura, la herramienta de dearrollo empleada, y la integración a nivel itema operativo de la tarjeta. Lo reultado y concluione de ete trabajo etán contenido en lo capítulo 5 y 6 repectivamente.

15 Capítulo : Tarjeta Inteligente Introducción La Tarjeta Inteligente o Smart Card, on de lo má reciente avance en lo que e refiere a la tecnología de información. Una Tarjeta Inteligente e un dipoitivo del tamaño de una tarjeta de crédito que contiene uno o má circuito integrado y que también puede emplear una o má de la iguiente tecnología: banda magnética, código de barra (en una, o en do dimenione), tranmiore de radiofrecuencia in contacto, biometría, criptografía, autenticación, o identificación por fotografía. Lo circuito integrado e encuentran en un chip, el cual etá empotrado en la tarjeta. Ete chip actúa como un microcontrolador y tiene la capacidad tanto de almacenar dato, como el mimo itema operativo de la tarjeta, conocido como COS (Card Operating Sytem). Una Tarjeta Inteligente por í ola no tiene entido; éta neceita de elemento externo para que pueda operar y er de utilidad. E neceario un lector para que e etablezca la comunicación entre la tarjeta y el itema anfitrión (que normalmente e una computadora peronal) en el cual reide la aplicación. La tarjeta y la aplicación, en conjunto, pueden proporcionar mejore nivele de eguridad, la capacidad de regitrar, almacenar y actualizar dato, y proporcionar interoperabilidad entre divero organimo. La Tarjeta Inteligente puede ofrecer una olución al problema de adminitración de identidade y también proporciona lo medio para realizar la reingeniería de proceo ineficiente con un alto retorno de inverión. Lo beneficio por el uo de eta tecnología dependen de la aplicación. En general, la aplicacione oportada benefician a la gente en la medida en que u etilo de vida tiene un punto en común con tecnología de acceo a la información y el proceamiento de pago. Eto beneficio incluyen la capacidad de adminitrar o controlar gato de manera efectiva, reducir el fraude, la papelería, y lo trámite. La Tarjeta Inteligente también proporciona la conveniencia de tener una ola tarjeta para acceder a múltiple ervicio. En la actualidad, la área de aplicación má importante de la Tarjeta Inteligente on la telefonía y la telecomunicacione, la finanza, el acceo a divero ervicio, y el control de acceo. Eta aplicacione erán dicutida con mayor detalle má adelante. Hitoria La Tarjeta Inteligente fueron creada y patentada en la década de lo etenta. La primera tarjeta olamente almacenaban dato, dejando gran parte de la reponabilidad de la eguridad en el lector. Lo primero uo en forma maiva ocurrieron en la década de lo ochenta en Francia, y e dieron en el itema público telefónico por medio de tarjeta prepagada (Télécarte) y en el uo de tarjeta de débito con microchip (Carte Bleue). En la década de lo noventa urgió en Europa la aplicación de monedero electrónico en

16 la que la Tarjeta Inteligente guardaba y manipulaba valore. Alguno cao fueron lo del Reino Unido con Mondex, Alemania con Geldkarte y Francia con Moneo. Ninguno de eto programa atrajo de manera notable el interé público por lo que u uo no fue importante. Con la aparición de la norma ISO 786 en el año de 986, e etableció el primer pao para regular la operación de la Tarjeta Inteligente. En 996 e formó el grupo de trabajo PC/SC (Peronal Computer / Smart Card) por la emprea Sun Microytem, Tohiba, Verifone, Hewlett-Packard, IBM, Microoft, Schlumberger, Bull, Siemen y Gemplu con la finalidad de facilitar la interacción entre Tarjeta Inteligente, lectore, y computadora peronale. Ya con la aparición del microchip, e inició en Europa a finale de la década de lo noventa el uo amplio de la Tarjeta Inteligente como parte de la telefonía móvil baada en la norma GSM, iendo hata la actualidad la aplicación má popular de la Tarjeta Inteligente. Componente A la Tarjeta Inteligente e le puede ver como una pequeña computadora con puerto de entrada y alida, itema operativo, y un lugar para el almacenamiento de dato, tal y como e ilutra en la Figura.. Figura.. Componente de una Tarjeta Inteligente. El microproceador ejecuta al itema operativo (Java Virtual Machine, Window for Smart Card OS, MULTOS), normalmente on de 8 bit (bu de dato) (85, 685, HC5, AVR entre otro). Aunque para aplicacione má demandante e etán uando de 6 y 32 bit. Una eñal de reloj e uada para manejar la lógica de la tarjeta y como referencia para el enlace de comunicación erial. Comúnmente e uan do frecuencia de reloj: 3.57 MHz y 4.92 MHz. La razón de eta frecuencia e debe a la diponibilidad de critale de bajo coto para formar lo circuito de ocilación de reloj; amba frecuencia on uada en lo itema de televiión (NTSC y PAL) para la eñal portadora de color. Como en toda computadora, la memoria RAM (Random Acce Memory) e el lugar donde el itema operativo y la aplicacione almacenan dato temporale tale como el

17 etado de la tarjeta, regitro de tranacción y reultado de lo cálculo. La capacidad de la memoria RAM va dede lo 256 byte a lo 2 Kbyte, aunque aplicacione con alta demanda de cómputo requieren hata 4 Kbyte. La memoria ROM (Read Only Memory) contiene el itema operativo, puede almacenar una máquina virtual y alguna aplicacione en código nativo que no pueden er modificada una vez que e ha liberado la tarjeta en producción. Su capacidad va de 8 Kbyte a 64 Kbyte, o incluo un poco má de acuerdo a la demanda de alguna aplicacione má ofiticada. Recientemente e ha introducido la tecnología Flah (Flah EEPROM) que puede er añadida, o incluo reemplazar a la memoria ROM, para almacenar código de programa. Eta tecnología ofrece una mayor flexibilidad a lo dearrolladore de itema operativo, ya que el itema operativo puede er cargado varia vece en la tarjeta. La memoria EEPROM (Electrically Eraable Programmable Read-Only Memory), e una memoria no volátil que puede er borrada con condicione epeciale de acceo a lectura y ecritura. Eta memoria e uada para almacenar dato y parte del itema operativo que poiblemente neceiten modificare durante la vida del chip, y almacenar dato de programa de uuario como un applet de java. La capacidad de una EEPROM va de 8 Kbyte a 32 Kbyte. La tecnología Flah etá reemplazando rápidamente a la EEPROM debido a u mayor velocidad para la operacione de ecritura y u durabilidad para la retención de dato. La memoria actuale garantizan un tiempo de retención de dato de al meno año, o de al meno, ciclo de lectura/ecritura. Para la Interfaz de Entrada/Salida, lo dato on enviado o recibido de manera alterna a travé de una ola línea. La tranferencia de dato ua un protocolo epecífico (el cual e preentará poteriormente), y la taa de tranmiión depende de la frecuencia del reloj, actualmente e de 96 bp. El voltaje para la operación de la tarjeta e encuentra entre 3 y 5 volt. Opcionalmente alguna Tarjeta Inteligente contienen un criptoproceador dedicado a tarea criptográfica epecífica epecialmente aquella relacionada con cálculo exponenciale y modulare. Do on la caracterítica que hacen a la tarjeta la mejor opción para aplicacione en la cuale e requiere la protección de dato. Primero, en una tarjeta la información puede er proceada in divulgar lo dato de la mima. Segundo, lo uuario pueden llevar dato en la tarjeta in tener que utilizar otro medio de almacenamiento. Una tarjeta puede retringir el uo de información hacia una perona autorizada con una contraeña. Sin embargo, i eta información debe er tranmitida por radio frecuencia, o línea telefónica, e recomienda cifrar lo dato. Alguna Tarjeta Inteligente on capace de realizar operacione de cifrado y decifrado. Claificación En la literatura e pueden encontrar divero criterio para claificar a la Tarjeta Inteligente como por ejemplo: con bae en el tipo de interfaz con que e comunican con el lector, de acuerdo al tamaño de la tarjeta, por el tipo de itema operativo, o por

18 u tecnología. En la iguiente figura e muetra una claificación que reúne la principale caracterítica de una Tarjeta Inteligente. Figura.2. Claificación reumida de la Tarjeta Inteligente. La tarjeta de memoria tienen como funcionalidad principal el almacenamiento de dato en la memoria EEPROM. La primera tarjeta de ete tipo no uaban mecanimo de protección para el acceo a lo dato por lo que olamente era neceario enviar lo comando correpondiente al protocolo de comunicación uado. Poteriormente, e añadieron mecanimo de protección como la autenticación del uuario mediante un PIN (Peronal Identification Number), y la implantación de un equema de lógica egura en la que la tarjeta controla la forma en que e acceden lo dato; un ejemplo de eto e el uo de tarjeta prepagada de telefonía pública en donde olamente e pueden decrementar lo valore almacenado. El uo de un microcontrolador hace que la tarjeta ganen el calificativo de inteligente, ya que cuentan con la capacidad de proceamiento de dato. El acceo a lo dato e controla por el itema operativo de la tarjeta y por la aplicacione. A fin de que la Tarjeta Inteligente pueda comunicare con el lector e intercambiar dato, éta poee una interfaz que puede er de contacto, in contacto, o híbrida. La norma ISO define la caracterítica eléctrica de la interfaz de contacto. Por eta interfaz e realiza la tranferencia de dato y e le proporciona energía a la tarjeta. La Figura.3 muetra la dipoición de lo contacto de acuerdo con eta norma.

19 Figura.3. Dipoición de lo contacto de acuerdo con la norma ISO La tarjeta con interfaz in contacto operan por eñale electromagnética (radiofrecuencia) por medio de la cuale reciben la frecuencia a la que deben operar, y la energía para funcionar en alguno cao. La norma ISO 4443 define la epecificacione para ete tipo de tarjeta; in embargo, exiten por lo meno má de diez tipo de tecnología en el mercado que no on compatible entre í y que por lo tanto impide el uo amplio de eta tarjeta en la actualidad. La aplicacione en la que e requiere la lectura de dato del uuario en un período corto de tiempo, como e el cao de pago de caeta para el tranporte, repreentan la área de oportunidad para el uo de la tarjeta con interfaz in contacto. En la actualidad, la tarjeta con interfaz de contacto y la tarjeta con interfaz in contacto uan ditinto protocolo de comunicación. La tarjeta con interfaz de contacto tienen un mayor nivel de eguridad en el momento de intercambiar dato ya que e requiere que la tarjeta ea inertada en lector, mientra que la tarjeta con interfaz in contacto proporcionan mayor comodidad de uo. Con la finalidad de conjugar eta ventaja, e implementó la alternativa de empotrar do chip independiente en la mima tarjeta, cada uno manejando u propia interfaz y in comunicación interna entre ella, a eta verión e le conoce como tarjeta con interfaz híbrida. Recientemente, ya e cuenta con la do interface en un olo chip a fin de reducir coto de producción, lo que e conoce como tarjeta tipo combi. El itema operativo cumple un papel fundamental en una Tarjeta Inteligente ya que proporciona una capa de abtracción entre el hardware y la aplicacione. En un inicio, el COS era monolítico, e decir, e implantaba al momento de crear la tarjeta por lo que reultaba impoible modificarlo poteriormente, y olamente era útil para ejecutar una aplicación epecífica. Poteriormente, el itema operativo fue dearrollado con una etructura modular lo que permitió que e pudieran ejecutar divera aplicacione para un olo COS, o tener un COS con comando epecializado para una aplicación en particular como lo e el manejo de imágene en el ector alud. Protocolo de Comunicación En la actualidad exiten do protocolo de comunicación para la Tarjeta Inteligente: Protocolo T = (tranmiión aíncrona half duplex orientada a caracter)

20 Protocolo T = (tranmiión aíncrona half duplex orientada a bloque de caractere) El protocolo T= fue el único epecificado en la norma ISO Pero en 992 la ISO incluyó también al protocolo T = como un anexo del primero. E neceario que la tarjeta y el lector operen con un protocolo común para llevar a cabo una configuración óptima. En principio, eto debe realizare mediante el uo de un comando epecial denominado PTS (Protocol Type Selection), el cual e enviado dede el lector hacia la tarjeta depué de la Repueta a un Reet (ATR). A fin de mantener la compatibilidad con lo itema que olamente pueden manejar el protocolo T=, e introdujo un nuevo concepto que identifica do modo de operación: el modo de negociación y el modo epecífico. Una tarjeta que opera en el modo de negociación puede er indicada para que trabaje con el protocolo T=, o con el protocolo T=, mediante el uo del comando PTS, mientra que aquella que opera en el modo epecífico no reconoce al comando PTS. Aunque puede cambiare al modo de negociación mediante el comando Reet. El protocolo de comunicación T= El lector iempre inicia el comando para el protocolo T=. La interacción entre el lector y la tarjeta da como reultado una erie de comando y repueta uceiva. Para ete protocolo, lo dato fluyen olamente en una dirección a la vez en un formato comando repueta. La dirección del flujo de dato etá implícita en la definición del comando y por lo tanto el lector y la tarjeta neceitan tener el conocimiento neceario a priori. Cuando e requiere tranferir dato en amba direccione para un comando en particular entonce e utiliza un comando llamado Get Repone el cual e ejecutado por el lector. El protocolo T= irve para tranmitir dato tanto a nivel aplicación como a nivel enlace del modelo OSI. Para ete protocolo, e realiza la tranmiión de cada byte de manera independiente y en un formato llamado APDU (Application Data Unit); el menaje de comando conite de una cabecera de cinco caractere que e enviado por el lector hacia la tarjeta. La tarjeta conteta con un byte de procedimiento depué del cual lo dato on enviado dede, o hacia la tarjeta. El flujo de menaje para el protocolo T= e muetra en la Figura.4. La cabecera de comando conite de lo iguiente cinco byte: CLA INS P P2 P3 - Clae de intrucción - El código de intrucción (por ejemplo leer memoria) - Calificador de intrucción (por ejemplo dirección de memoria) - Calificador de intrucción adicional - Longitud del bloque de dato

21 Figura.4. Operación del protocolo T= del lector hacia la Tarjeta Inteligente y vicevera. Exiten do byte de tatu SW y SW2. Eto byte on enviado dede la tarjeta hacia el lector como complemento del comando para indicar el etado actual de la tarjeta. La repueta normal e la iguiente: SW, SW2 = 9 hex, hex Cuando SW tiene el valor 6X hex, o el valor 9X hex, e reportan varia condicione de error por la tarjeta. La norma ISO define 5 condicione de error: SW=6E hex - La tarjeta no oporta la clae de intrucción SW=6D hex - Código inválido de intrucción SW=6B hex - Referencia incorrecta SW=67 hex - Longitud incorrecta SW=6F hex - Sin diagnótico en particular El protocolo T= incluye un mecanimo de control de paridad muy encillo para detección y corrección de errore. Ete mecanimo conite en realizar la operación lógica XOR de lo bit recibido y cuyo reultado e verificado con la paridad eperada. Si hubo un error, entonce e aume que exitió un número impar de errore y la línea de Entrada/Salida e pone a un nivel lógico bajo dentro del primer tiempo de guardia. El lector oberva eta condición y retranmite el caracter. El protocolo de comunicación T= En eencia lo que hace el protocolo T= e empaquetar un bloque de caractere, lo cual permite la funcione de control de flujo, encadenamiento de bloque, y corrección de errore. La elección del protocolo de comunicación para la tarjeta no e algo encillo ya que e tienen que coniderar la ventaja que el protocolo T= puede ofrecer y depué examinar el precio que e tiene que pagar. La ventaja má obvia del protocolo T= e la habilidad para manejar el flujo de dato en amba direccione (aunque no al mimo tiempo). En el protocolo T= e motró que

22 para un comando en particular, ee e el dato que e enviado, o recibido, por la tarjeta. Eta limitante e debe al uo de un olo byte para definir la longitud del dato relacionado con el comando. El protocolo T= no preenta la retricción del protocolo T= en el que e tiene una relación maetro-eclavo, la cual obliga a que el lector iempre inicie un comando al cual la tarjeta debe reponder. Para el protocolo T= un comando puede er iniciado por cualquier parte repetando la retriccione del mimo protocolo. Otra ventaja del protocolo T= e la capacidad de encadenar lo bloque de dato de tal manera que un bloque de dato de una longitud arbitraria pueda er tranferido como reultado de un olo comando por la tranmiión del número apropiado de trama encadenada en ecuencia. También el protocolo T= cuenta con un itema de manejo de errore má ofiticado. Ete permite el uo de un código de detección de errore por bloque (EDC) y la capacidad para retranmitir bloque que on ujeto a alguna condición de error. La detección de errore e lleva a cabo por medio del algoritmo LRC (Longitudinal Redundancy Check), o por el algoritmo CRC (Cyclic Redundancy Check). A manera de comparación, el protocolo T= tiene un equema de detección y corrección de errore má primitivo. Claramente exite un precio a er pagado por ete protocolo. Aparte de la mayor complejidad en el oftware requerido por la tarjeta y el lector, el protocolo T= demanda una mayor cantidad de memoria RAM de la tarjeta, ya que éta neceita mantener el último bloque enviado en cao de una retranmiión debida a una condición de error. En general el protocolo T= ofrece ventaja en donde la aplicación maneja un número coniderable de bloque de dato, particularmente cuando e requiere tranferir dato en amba direccione como parte de un comando en epecífico. La eficiencia del protocolo olamente e viible cuando e tranmiten grande cantidade de dato, ya que a nivel de la capa fíica todavía e opera en modo carácter tal y como lo realiza el protocolo T=. La trama del protocolo T= conite de tre campo tal y como e ilutra en la Figura.5. Figura.5. Campo de la trama del protocolo T=. El campo de prólogo e forma por tre byte: el primero correponde a la dirección del

23 nodo (Node Addre) y que irve para identificar flujo múltiple de comunicación, el egundo e el byte de control de protocolo (Protocol Control Byte) y irve para epecificar el tipo de bloque que e enviado, aí como alguno otro parámetro de comunicación, y finalmente el tercero correponde a la cantidad de dato que on enviado ( a 254 byte). El campo de información e donde e envían lo dato de la aplicación, y el campo de epílogo correponde al código de detección de errore. A nivel aplicación el Protocolo T= hace uo de una APDU (Application Data Unit) imilar a la decrita en el Protocolo T=. Sitema de archivo El itema de archivo e uno de lo componente má importante en la Tarjeta Inteligente para el almacenamiento de dato. La norma ISO epecifica un itema de archivo de tipo jerárquico cuya etructura e muetra a continuación. Figura.6. Equema del itema de archivo bajo la norma ISO Como en cualquier itema de archivo jerárquico e tiene un directorio raíz llamado Archivo Maetro (Mater File), el cuál e el único de u clae dentro de la tarjeta, a fin de que la aplicacione tengan un olo punto de referencia para acceder a lo demá archivo. Del Archivo Maetro e deprenden lo directorio conocido como Archivo Dedicado (Dedicated File), y lo archivo normale, o Archivo Elementale (Elementary File). Lo Archivo Dedicado agrupan a lo Archivo Elementale perteneciente a una aplicación en particular. Lo Archivo Elementale e dividen en: Archivo Tranparente, lo cuale on tratado como una ecuencia de byte; éto on parecido a lo archivo regulare del itema operativo UNIX o Window y u tamaño mínimo e de un byte. Archivo Lineale Fijo, lo cuale on tratado como una ecuencia de regitro de longitud fija. Eto archivo on útile cuando e accede a tamaño de bloque

24 epecífico de información de manera frecuente. El tamaño de cada regitro etá en el rango de a 254 byte, pero todo lo regitro tienen el mimo tamaño. Archivo Lineale Variable, lo cuale on tratado como una ecuencia de regitro de longitud variable. Eto archivo on útile cuando no e conoce de antemano el tamaño de lo regitro que e utilizarán. Archivo Cíclico, on una epecie de anillo, lo cuale on tratado como una ecuencia in fin de regitro de longitud variable. Eto archivo on útile cuando e mantiene el regitro de cierta accione como tranaccione y acceo. Lo Archivo Elementale también pueden contener dato del itema operativo, llave para el cifrado, y código de programa. Todo lo archivo e componen de do parte: la cabecera y el cuerpo. La cabecera contiene información de itema tal como el identificador de do byte de longitud para hacer referencia al archivo mimo, el tipo de archivo, la etructura del archivo (por ejemplo i etá compueto de tre regitro de longitud de byte), la condicione de acceo al archivo, y la ubicación del archivo en la etructura jerárquica. El cuerpo etá formado por lo byte, o regitro, que contienen lo dato. Figura.7. Etructura de un archivo en la norma ISO Aplicacione La Tarjeta Inteligente han tenido una rápida expanión debido al Internet y al comercio electrónico. Hoy en día, la tarjeta tienen una mayor aceptación en aplicacione que neceitan el almacenamiento eguro de información enible como contraeña, certificado digitale y dinero electrónico. A continuación e decribirán la principale área de aplicación de la Tarjeta Inteligente en la actualidad, la cuale e dividen en: pago electrónico, eguridad y autenticación, tranporte, telefonía y telecomunicacione, programa de lealtad, y ervicio al ector alud.

25 Pago electrónico Dentro de la aplicacione de pago electrónico detaca la del monedero electrónico. Lo fondo on cargado en la tarjeta para er uado como dinero en efectivo. De eta forma la tarjeta puede er empleada para hacer compra in que neceariamente e utilice un PIN, lo cual hace que la tranacción ea mucho má rápida a cota del riego por robo de la mima tarjeta. Por eto último e que en el monedero electrónico olamente e uan cantidade pequeña de dinero a fin de reducir el impacto por pérdida. La tarjeta Proton de Banky, ViaCah de Via, y Mondex de Matercard on efuerzo para extender el uo del monedero electrónico a fin de reducir el coto de operación de lo banco y etablecimiento. Frecuentemente lo programa de lealtad on incorporado en tarjeta expedida por línea aérea y tienda departamentale, y acompañan a la aplicacione de monedero electrónico. Con lo programa de lealtad, lo comerciante otorgan lo llamado punto por la compra realizada, lo cuale pueden er utilizado para adquirir otro biene y ervicio del mimo comerciante. Otro ejemplo de uo de la tarjeta en el rubro de pago electrónico e el boleto, o token, electrónico. En eta aplicación, e almacena el boleto electrónico en la memoria de la tarjeta, el cual puede er recargado dependiendo del tipo de memoria. También e poible almacenar ditinto boleto para diferente ervicio a fin de acar el máximo provecho de la tarjeta. De eta manera la tarjeta puede er utilizada para realizar pago en gaolinera, en lo parquímetro, o viaje en el itema urbano de tranporte. Eto reduce en gran medida la operación por el manejo de moneda aí como también e reduce el riego por robo. Seguridad y autenticación Lo fraude realizado mediante el uo de tarjeta, o lectore falo, han obligado a bucar mecanimo para autenticar a eto dipoitivo. Lo algoritmo de cifrado han brindado una olución a ete problema, y de igual manera han obligado a que la Tarjeta Inteligente tengan lo uficiente recuro de cómputo para implementarlo. Cuando olamente e requiere determinar i la tarjeta e válida, e tiene un equema de autenticación unilateral que e baa en el concepto de reto repueta. El lector genera un número aleatorio (reto) el cual e enviado hacia la tarjeta. La tarjeta cifra ete número y lo envía de regreo hacia el lector (repueta); el lector decifra lo que ha recibido y lo compara con el número aleatorio generado a fin de determinar i la tarjeta e válida o no. La iguiente figura ayudará a comprender mejor ete concepto.

26 Figura.8. Autenticación de la tarjeta. Cuando e requiere realizar la autenticación de amba parte, entonce cada una genera u propio número aleatorio y realiza un proceo imilar al que e ilutra en la Figura.8. En la actualidad la identificación de un individuo e uno de lo proceo má complejo y cotidiano en el terreno de la Tecnología de Información. La combinación de la capacidad de la Tarjeta Inteligente para almacenar información de la identidad de una perona y el equipo adecuado de verificación, ha permitido mejorar el proceo de control de acceo a lugare fíico, o el acceo a rede de computadora, y aplicacione. Relacionado a eto, la tarjeta también ayuda al proceo de autorización ya que e poible almacenar en ella lo perfile y privilegio del uuario, por ejemplo el acceo a área retringida de un edificio, o el acceo a menú de una aplicación. Tranporte La Tarjeta Inteligente puede er utilizada en el ector de tranporte como dinero electrónico para lo conductore que neceitan pagar una cuota para utilizar una autopita. El balance en la tarjeta puede er incrementado en etacione fija de pago o mediante un proceo de prepago. Ete uo de la tarjeta e ha extendido a divero ervicio de tranporte en alguna ciudade de Europa; en ella e cuenta con una infraetructura ólida para reconocer a la tarjeta ya ea en una etación de autobú, o de metro. Una ituación má compleja e preenta i el cargo que debe hacere a la tarjeta e variable dependiendo del viaje, pero eto e reuelve inertando la tarjeta tanto en la entrada como en la alida de la etación para calcular el monto correcto.

27 Telefonía y Telecomunicacione La tecnología GSM (Global Sytem for Mobile Communication) e una de la má uada para la telefonía móvil. Dentro de cada teléfono celular que ua GSM, e encuentra una pequeña tarjeta inteligente que e conoce como SIM (Subcriber Identity Module). El SIM tiene una llave ecreta la cual e utiliza en equema de reto repueta para autenticar el mimo SIM a la red telefónica. Ete tipo de autenticación baado en una llave ecreta, guardada en un medio a prueba de alteracione fíica, e muy efectivo contra la clonación de teléfono, la cual e una ituación que e preentaba de manera frecuente con lo teléfono analógico. Dede 996, el ETSI (European Telecommunication Standard Intitute) creó la norma SIM Toolkit (GSM.4) para brindar ervicio de valor agregado y comercio electrónico mediante el uo de teléfono GSM. La aplicacione baada en el SIM Toolkit coniten en una erie de procedimiento y comando que extienden la funcione entre el teléfono GSM y la tarjeta SIM. Eto permite programar nuevo ervicio con independencia de lo fabricante de tarjeta y teléfono. De eta manera el operador puede peronalizar lo ervicio de cada abonado a travé del teléfono móvil. E poible programar aplicacione en la tarjeta SIM para viualizar una erie de menú, o automatizar procedimiento en el teléfono. Siguiendo la intruccione deplegada en la pantalla del teléfono e podrá, por ejemplo, ordenar operacione bancaria in neceidad de realizar una llamada, o olicitar mediante un menaje la última noticia in tener que recordar el código que correponde de ete ervicio. Sector alud Debido a la eguridad de almacenamiento que proporciona la Tarjeta Inteligente e ha aplicado u uo para ditinto ervicio del ector alud. La información como lo dato peronale, el eguro de gato médico, y el perfil médico del paciente pueden er manejado por aplicacione que adminitran el nivel de acceo a éto de una manera imilar a un itema de control de flujo. Divero hopitale en Francia, Alemania, y alguno má en Aia etán implementado la tarjeta para el ector alud. En el cao de Etado Unido e piena utilizar la tarjeta como un paaporte médico, con lo cual divero programa de alud puedan compartir información del paciente, con autorización previa de éte mimo, con la finalidad de otorgar mayore beneficio de lo tratamiento y al mimo tiempo minimizar lo coto adminitrativo. Componente de un itema baado en la Tarjeta Inteligente La configuración de un itema baado en la Tarjeta Inteligente depende de lo procedimiento de adminitración, peronalización, y entrega de la tarjeta, de la aplicacione y de la capacidade o recuro de la tarjeta, y de lo factore técnico externo eleccionado para el itema. Sin embargo, e poible identificar factore comune que iempre etarán preente en cualquier itema de eta naturaleza lo cuale e enlitan a continuación: Tarjeta Inteligente. Lector de tarjeta. Sitema central de adminitración de la tarjeta. Ete componente mantiene la bae de dato de uuario a fin de realizar la captura, almacenamiento, y

28 recuperación de dato neceario para la adminitración del ciclo de vida de la tarjeta. Aplicacione. Infraetructura de cómputo y de comunicacione. Figura.9. Componente típico de un itema baado en Tarjeta Inteligente.

29 Capítulo 2: Antecedente de Criptografía Hitoria De acuerdo a u etimología, la Criptografía e el arte de aber ecribir en caractere ecreto; u origen proviene del griego kripto que ignifica oculto y del griego grafo que ignifica ecritura. En la actualidad, la Criptografía e coniderada como una ciencia. La neceidad de la Criptografía urge por el hecho de que el hombre neceita que aquello que ecribe no pueda er leído por otro, o al meno in u conentimiento. Eto ha ido, e, y erá el principal objetivo de la Criptografía a lo largo de la hitoria. Dede la época de lo hebreo, e encuentra el uo de la Criptografía: en la Biblia hay muetra del itema conocido como Taba, el cual conite en invertir el alfabeto, e decir, cambiar la A por la Z, la B por la Y, y aí uceivamente. Lo griego uaron la Criptografía en la guerra entre Atena y Eparta. En ete cao, el itema e baaba en la adición de caractere al menaje, dificultando aí u lectura. El receptor poeía un rodillo con el que e eliminaban dicho caractere al enrollar el menaje en él. El hitoriador romano Polibio (2 a.c. 8 a.c.), utilizó un método de utitución de caractere, por medio de una tabla, con el propóito de tranmitir información de manera má eficaz. El reultado de eta utitución implicaba la ecritura de un menaje uando olamente 5 poible caractere o letra. Ete método fue la bae de mucho itema criptográfico poteriore. El emperador romano Julio Céar ( a.c. 43 a.c.), uó un equema que conitía en mover el carácter a repreentar x número de poicione dentro del alfabeto. Por ejemplo, e utituía la A por la D, la B por la E, y aí uceivamente. A partir del Renacimiento la Criptografía adquirió cierta importancia y complejidad. Durante eta época, el humanita Leon Battita Alberti ecribió, en 446, el libro obre Criptografía má antiguo que e conoce en el mundo occidental. Su trabajo abarcó lo tema de cifrado monoalfabético y polialfabético. Durante el iglo XIX e difunde ampliamente el método de reordenación de lo ímbolo del menaje. Ete método y el de utitución conforman la llamada Criptografía Cláica. Fue durante la do guerra mundiale cuando má e dearrolló la Criptografía, dada la neceidad de mantener comunicacione militare confidenciale. Tra la publicación en 949 de la Teoría de la Comunicacione Secreta y la Teoría Matemática de la Comunicación (Claude Elwood Shannon, 96) la Criptografía deja de er coniderada un arte y a partir de aquí e le conidera una ciencia, dada u compleja relacione con otra ciencia como la Etadítica, la Teoría de Número, la Teoría de la Información, entre otra. En el cifrado monoalfabético e utituye cada letra por otra que ocupa la mima poición en un alfabeto deordenado y eta correpondencia e mantiene a lo largo de todo el menaje. En el cifrado polialfabético la utitución aplicada a cada carácter varía en función de la poición que ocupe éte dentro del texto original. En realidad correponde a la aplicación cíclica de n cifrado monoalfabético, e decir, de vario alfabeto deordenado.

30 La aparición de nueva tecnología para el proceamiento de dato y lo avance en la telecomunicacione permiten una mayor difuión de la información, tanto pública como privada. E por ello que e neceario tomar precaucione para evitar que tercero puedan leer, o incluo manipular, un menaje que e deea que ólo ea leído por cierta() perona(). Debido a eta ituación, en la década de lo etenta, el Departamento de Norma y Etándare de Etado Unido publica el primer dieño lógico de un algoritmo criptográfico, el DES (Data Encryption Standard), el cual etaría llamado a er el principal método para mantener la confidencialidad de lo dato a finale del iglo XX. Ademá, en ea mima fecha e comenzaba a originar lo que ería, hata ahora, uno de lo adelanto má ignificativo de la Criptografía: lo itema de cifrado aimétrico. Hoy en día la Criptografía e conidera una ciencia englobada dentro de la Criptología, que a u vez también incluye el Criptoanálii 2. Concepto Ante de continuar, e neceario mencionar que todo texto que pueda er leído in neceidad de er modificado e le conoce como texto claro. Al proceo de converión del texto claro para ocultar u menaje e llama Cifrado, y el reultado e conoce como texto cifrado o criptograma. Finalmente, al proceo invero, e decir, el que convierte el criptograma en texto claro e le conoce como Decifrado o Cifrado Invero. Un menaje ha de er protegido contra do tipo de amenaza: paiva, que e el acceo no deeado a la información y, activa, que e la alteración de la información. En el iglo XIX Augute Kerchoff ecribió u obra La Criptografía Militar, en la que etableció una regla que todo algoritmo Criptográfico debería cumplir. Eta regla iguen iendo importante en la actualidad y on la iguiente: El algoritmo criptográfico debe er inquebrantable dede el punto de vita práctico. Todo itema criptográfico debe etar compueto por do tipo de información: o Pública: como lo e u dieño. o Privada: como lo e la llave 3. La llave ecogida debe er fácil de recordar y modificar. El criptograma debe er tranmitido uando lo medio de comunicación habituale (por ejemplo el telégrafo en aquel entonce). La complejidad del proceo de recuperación del menaje debe correponder con el beneficio obtenido. Ataque La Criptografía y el Criptoanálii periguen objetivo totalmente opueto, pero la evolución de amba etá etrechamente relacionada debido a que lo criptoanalita tratan de romper lo algoritmo de cifrado actuale, y a u vez lo criptógrafo bucan la manera de dieñar mejore algoritmo que una vez que on difundido erán objeto de 2 Ciencia que etudia lo método para conocer el dieño y operación de un equema de cifrado 3 La llave puede coniderare como una contraeña; u función e alterar de manera única el reultado del cifrado.

31 etudio de lo criptoanalita y aí uceivamente. El objetivo real de lo criptógrafo e proteger el menaje por un período de tiempo uficientemente razonable como para que cuando e coniga romper el algoritmo, la información contenida ya no ea útil. El objetivo de lo criptoanalita e, por el contrario, reducir ee tiempo y obtener parte del texto original que permitan recontruirlo por completo. Lo ditinto ataque a algoritmo de cifrado con la finalidad de romperlo, e claifican en función de la información conocida por el criptoanalita, lo cuale e mencionan a continuación. Ataque con texto cifrado olamente. El ataque e baa en obtener una cantidad coniderable de criptograma y realizar un análii etadítico a fin de encontrar una etructura predefinida e idéntica que pueda ayudar a inferir el algoritmo de cifrado empleado. Ataque con texto en claro conocido. El criptoanalita conoce, o puede predecir, el texto correpondiente a cierta parte del criptograma. A partir de eto el criptoanalita ha de coneguir decifrar el reto del criptograma, bien ea deduciendo la llave empleada al momento de aplicar el cifrado aprovechando la palabra de la que e tiene una correpondencia. Ete ataque e epecialmente efectivo contra itema de cifrado imétrico por bloque, que e mencionarán má adelante, ya que en éto cada palabra conerva u longitud inicial en el criptograma. Ataque con texto en claro ecogido. El criptoanalita puede obtener el texto cifrado correpondiente a un texto claro ecogido por él, pero in conocer la llave empleada en el proceo de cifrado. Ete ataque permite comparar la tranformación de divero texto en claro a fin de obtener la llave utilizada. Ataque con texto cifrado ecogido. En ete cao el criptoanalita puede obtener el texto claro correpondiente a un criptograma de u elección. Al igual que en el cao anterior, tampoco e conoce la llave empleada. Ataque con intermediario. Ete ataque e baa implemente en la intruión del criptoanalita en el momento en el que la do parte que quieren intercambiar la información etán intercambiándoe la llave. El criptoanalita ha de aprovechar ete momento para hacer llegar a amba parte u propia llave. Aí el éte recibe lo menaje primero, y luego lo envía al detinatario legítimo, haciendo creer a amba parte que el proceo de comunicación e eguro. Ete método pone de manifieto uno de lo grande inconveniente del itema imétrico, el intercambio de llave, que ha de er realizado a travé de un medio eguro, de lo contrario el enemigo puede hacere fácilmente con éta, pudiendo aí cifrar y decifrar in problema con aboluta tranparencia tanto para emior como para receptor. Ataque de prueba y enayo. Ete ataque conite en probar cada una de la poible llave, hata dar con la que permite decifrar el criptograma. Ete ataque también e le conoce como Ataque de Fuerza Bruta.

32 Cifrado imétrico o de llave privada En el cifrado imétrico e utiliza una mima llave tanto para el proceo de cifrado como para el proceo de decifrado. Ete e el método má encillo, a nivel matemático el meno complejo, y ha ido empleado durante mucho tiempo. La eguridad proporcionada por lo algoritmo imétrico depende, en gran medida, de la longitud de la llave y de u no divulgación a tercera parte. El cifrado imétrico puede realizare de do forma: por bloque y por flujo. En el cifrado por bloque, el menaje e divide en bloque de byte de igual tamaño. Depué, a cada bloque e le aplica el algoritmo de cifrado y eto da como reultado un bloque de la mima longitud que el original. En 949 Claude Elwood Shannon ugirió la combinación de lo método de confuión y difuión 4 en el dearrollo de nuevo algoritmo de cifrado por bloque a fin de evitar la redundancia de la fuente y que la etadítica del criptograma etuvieran influida por el texto original. A fin de proteger la confidencialidad y la integridad de la información, exiten modo de operación para el uo de un algoritmo de cifrado por bloque; eto quiere decir que un modo de operación define la forma en que e utilizará el algoritmo junto con el uo de regitro lógico y operacione lógica elementale. El modo de operación má encillo e el ECB (Electronic Codebook), y que conite en ubdividir el texto original que e quiere codificar en bloque de tamaño fijo lo cuale e cifran uando la mima llave. La ventaja de ete modo de operación on que permite codificar lo bloque de manera independiente de u orden, lo cual e adecuado para codificar bae de dato o archivo en lo que e requiere un acceo aleatorio. Ademá, el modo ECB e reitente a errore, ya que i uno de lo bloque ufre una alteración, el reto quedaría intacto. Una deventaja del modo ECB e preenta cuando el texto en claro contiene patrone repetitivo ya que el criptograma también lo preentará lo cual lo hace uceptible a ataque con texto cifrado olamente. Otro riego importante que preenta el modo ECB e el de la utitución de bloque, el cual conite en que el atacante puede cambiar un bloque in mayor dificultad, y alterar lo menaje incluo deconociendo la llave y el algoritmo empleado. El modo CBC (Cipher Book Chaining Mode) incorpora un mecanimo de retroalimentación en el cifrado por bloque. Eto ignifica que la codificación de bloque anteriore condiciona la codificación del bloque actual, por lo que erá má difícil utituir un bloque individual en el menaje cifrado. Eto e conigue mediante la operación lógica XOR entre el bloque de byte que e deea cifrar y el último criptograma obtenido. La primera vez que e cifra un bloque, no exite un criptograma previo, aí que e utiliza un vector de inicialización. A pear de que el criptograma del bloque actual depende de todo lo criptograma anteriore, eto no implica que un error en un bloque e propague; por lo tanto, para decifrar un bloque olamente e neceita el criptograma actual y el anterior. 4 Lo algoritmo de cifrado imétrico e apoyan en lo concepto de confuión (tratar de ocultar la relación que exite entre el texto en claro, el texto cifrado y la clave, e decir, realizar utitucione imple) y difuión (trata de repartir la influencia de cada bit del menaje original lo má poible entre el menaje cifrado, e decir, realizar permutacione) que e combinan para dar lugar a lo denominado cifrado de producto.

33 El modo de operación CFB (Cipher Feedback Mode) permite codificar la información en unidade inferiore al tamaño del bloque, lo cual e útil en aplicacione multimedia en la que la información debe er tranmitida tan pronto e encuentre diponible. El funcionamiento del modo CFB conite en generar una ecuencia de bit baada en el criptograma anterior y en el algoritmo de cifrado. A eta ecuencia e le aplica la operación lógica XOR con el texto en claro. Al igual que en el modo CBC, e neceita un vector de inicialización al inicio del cifrado. El modo de operación OFB (Output FeedBack Mode) e imilar al modo CFB, con la diferencia que e utiliza un generador de número peudoaleatorio que depende de un vector de inicialización. El modo de operación CTR (Counter Mode) e imilar al modo OFB, pero la ecuencia de número peudoaleatorio no depende de valore previo de la mima i no de un contador. El cifrado por flujo funciona mediante la combinación de caractere del texto en claro y del flujo aleatorio de caractere, o llave en ete cao. Ete cifrado fue propueto por Gilbert S. Vernam en 97 cuando realizaba invetigación en el área de telegrafía. Vernam propuo utilizar el código Baudot 5 para la repreentación de cada carácter al cual e le realizaba la operación lógica XOR con un carácter correpondiente a una llave ecreta. Para recuperar el menaje e volvía a aplicar la mima operación dado que XOR - = XOR. En la actualidad, el cifrado por flujo e divide en do grupo: íncrono y aíncrono. El cifrado íncrono e aquel en el que la pérdida de un carácter durante la tranmiión entre emior y receptor upone la pérdida de incronización entre emior y receptor, y por lo tanto e ha de incronizar la tranmiión para que el receptor pueda decifrar correctamente el criptograma. Su ventaja e encuentra en que la alteración de un carácter durante la tranmiión ólo upone un carácter mal traducido, mientra que el reto, anteriore o poteriore, quedará intacto. El cifrado aíncrono e caracteriza porque cada ímbolo del texto cifrado depende de un número fijo de ímbolo del texto original. Con eto e elimina la neceidad de incronización entre emior y receptor, pero un error en la tranmiión del menaje upone un error en el reto de proceo de decifrado. La principal ventaja del cifrado por flujo e u velocidad, ya que éta e uperior a la del cifrado por bloque. Debido a que lo cifradore por flujo cifran un bit a la vez, éto on má adecuado para implementacione por hardware. La ditinción entre cifrado por flujo o cifrado por bloque correponde implemente al principio de funcionamiento, ya que hoy en día la mayoría de lo nuevo algoritmo de cifrado imétrico permiten cifrar inditintamente en flujo o en bloque y con llave de tamaño variable, en función de la neceidade, a travé de variante del mimo algoritmo. Cifrado aimétrico o de llave pública En 976 Whitfield Diffie y Martin Hellman, Ingeniero en Electrónica de la Univeridad de Stanford, publicaron el articulo New Direction in Cryptography que upuo una auténtica revolución dentro del mundo de la Criptografía. En ete trabajo, lo autore proponían emplear ditinta llave para lo proceo de cifrado y decifrado. 5 En el código Baudot cada caracter etá repreentado por cinco unidade o pulo.

34 El objetivo planteado fue que cualquier perona pudiera cifrar empleando una llave pública, pero olo el verdadero detinatario pudiera decifrar el menaje, al aplicar una llave privada. Eto evitaba el problema de la ditribución de llave del cifrado imétrico, y a la vez permitía otra funcione como la autenticación, la firma digital, y la no repudiación. Diffie y Hellman proponían el uo de problema in olución dede el punto de vita computacional aunque realmente í exite una olución. Su idea e baaba en que el tiempo neceario para obtener el reultado uando computadora fuee tan elevado, que una vez revelada la información u utilidad fuee totalmente nula. En el artículo citado, e planteaba aprovechar la particularidad de cierta operacione matemática, muy encilla de realizar en un entido, pero con una invera extremadamente cotoa, principalmente a nivel de tiempo. Ejemplo claro de eta ituación on la potenciación y lo logaritmo. La iguiente propiedade de complejidad computacional que debía cumplir todo algoritmo aimétrico, egún Diffie y Hellman, e enlitan a continuación: El uuario debe er capaz de calcular u llave, pública y privada, en tiempo polinomial 6. El proceo de cifrado, aplicando la llave pública, debe er en tiempo polinomial. El proceo de decifrado, aplicando la llave privada, debe er en tiempo polinomial. El proceo de hallar la llave privada, mediante la llave pública, a pear de tener olución a nivel teórico, debe er inviable. El proceo de decifrado del criptograma aplicando la llave pública debe er inviable. Lo algoritmo de cifrado aimétrico e claifican en función de la complejidad del problema en que baan u eguridad: Problema de la Factorización Entera. Su principio e imple: no exite ningún método eficiente para factorizar el reultado del producto de do número grande primo. Un ejemplo e el algoritmo RSA, creado en 977 por Ronald Rivet, Adi Shamir y Leonard Adleman. Problema del Logaritmo Dicreto. El problema del logaritmo dicreto conite en calcular un número x, conocido lo número h y g, para que e cumpla la iguiente expreión: h x = g (generalmente g e un número en aritmética modular, por ejemplo: g = p MOD ( q) ). A pear de que el problema del logaritmo dicreto etá preente cualquier conjunto de número, en Criptografía e uele emplear el conjunto de lo número entero ( Z ). Entre lo itema má repreentativo de eta claificación e encuentran Diffie-Hellman de intercambio de llave, el DSS (Digital Signature Standard) y el algoritmo de ElGammal. Problema del Logaritmo Dicreto Elíptico. Se conoce también como Criptografía de Curva Elíptica. Eto itema baan u eguridad en el 6 En término práctico, tiempo polinomial puede entendere como un tiempo razonablemente corto.

35 problema del Logaritmo Dicreto, pero la diferencia conite en utilizar punto (par de coordenada carteiana) como lo ímbolo del menaje a cifrar. Para poder trabajar con ello, e definen la propiedade caracterítica de todo grupo conmutativo: conmutación, aociación, elemento neutro y elemento imétrico, y la operacione necearia para trabajar como la uma, la multiplicación, y el producto. En la actualidad no e ha encontrado ningún itema que permita romper lo algoritmo de cifrado de curva elíptica en tiempo polinomial, ni tan iquiera para llave corta. Por ello, eto itema, pee a uar llave mucho má reducida, coniguen nivele de eguridad uperiore a lo de otro algoritmo. En eta claificación e encuentran el Diffie-Hellman elíptico, y la verión elíptica del ElGamal. Método híbrido de cifrado El uo de un algoritmo de cifrado imétrico y uno aimétrico dentro de una aplicación tiene el objetivo de proporcionar mayore nivele de eguridad en un tiempo razonable. En ete cao, el algoritmo imétrico e utiliza para el cifrado de grande cantidade de dato, mientra que el algoritmo aimétrico e uado para crear la llave para automatizar la ditribución de la llave para el cifrado imétrico. La llave pública del receptor e uada para cifrar la llave para el algoritmo imétrico y el menaje cifrado con eta llave. El receptor ua u llave privada para obtener la llave del algoritmo imétrico a fin uar éta para decifrar el criptograma. Una llave de eión e una llave para el cifrado imétrico que olamente e ua durante una comunicación, o eión, entre do perona. La llave olamente e válida para dicha eión.

36 Aplicacione Firma Digital La firma autógrafa e, en lo documento en papel, la marca que certifica que un texto ha ido autorizado por una perona concreta. Con el dearrollo de la telecomunicacione, e planteó el problema de firmar documento digitale o electrónico. Contra lo que pueda parecer, la firma digital no e la digitalización de la firma autógrafa mediante el empleo de medio óptico, como por ejemplo un ecáner. El problema de contar con un reemplazo para la firma manucrita e difícil. Báicamente, lo que e requiere e un itema mediante el cual el emior pueda enviar un menaje al receptor de manera que:. El receptor pueda verificar la identidad del emior. 2. El emior no pueda repudiar (negar) el contenido del menaje. 3. El receptor no haya podido alterar el menaje. Tomando como ejemplo un cao en el que un cliente olicita a un banco la compra de un paquete de accione, e tiene que el primer requiito e neceario cuando el banco neceita aegurare de que el cliente que da la orden de compra e realmente quién dice er; el egundo requiito e neceario para proteger al banco contra fraude, por ejemplo, cuando el cliente niega haber olicitado la compra de la accione; y el tercer requiito e neceario para proteger al cliente en el cao de que el banco argumente que e le olicitó un número ditinto de accione para u compra. En la ituacione en que e requiere la certeza de la validez de un menaje, eto e, conocer que no ha ido modificado durante u tranmiión, e utiliza una función de diperión unidireccional 7 que toma una parte arbitrariamente grande de texto y a partir de ella calcula una cadena de bit de longitud menor y fija, e decir, e genera un reumen del documento o compendio del menaje (Meage Diget). El concepto de integridad e el mimo que e preenta con un CRC 8, el cual e añade al final de una trama, de tal forma que el receptor e capaz de comprobar la integridad de la trama recibida. La función de una ola vía debe tener la iguiente propiedade:. Dado un texto P, e fácil calcular u compendio de menaje MD(P). 2. Dado un compendio de menaje MD(P), e impoible encontrar el menaje original. Eta propiedad e conoce como Reitencia a Preimágene. 3. E impoible generar do menaje que tengan el mimo compendio de menaje. Eta propiedad e conoce como Reitencia a Coliione. 7 Conocida también como funcione de una ola vía o funcione Hah. 8 Cyclic Redundanc Check

37 Lo compendio de menaje funcionan tanto en llave privada como en llave pública, iendo lo de mayor uo lo algoritmo MD5 y SHA (Secure Hah Algorithm). La firma digital conite en cifrar el compendio de un menaje o hah con la llave privada. Con la llave pública e puede realizar la comparación entre el hah decifrado del menaje y el hah calculado por el receptor. Si exite una coincidencia entonce e conidera que el menaje e encuentra firmado. Diffie y Hellman etablecieron en u artículo New Direction in Cryptography la principale condicione que debía cumplir la firma digital: Unicidad. E impoible obtener una firma digital in u correpondiente llave privada. Infalificable. El intento de falificar una firma digital debe dar con un problema computacionalmente irreoluble. Irrevocabilidad. El autor de una firma digital, tra haber ido reconocida como uya por un tercero (autoridad, notario, etc.) no puede negar u autoría. La firma digital irve también para la autenticación, ya que i el menaje e manipulado, la firma digital, al er dependiente de éte, ya no e correponde con él. En principio cualquier algoritmo de llave pública puede uare para firma digitale. El etándar de facto de la indutria e el algoritmo RSA y mucho producto de eguridad lo uan.

38 Capítulo 3: El algoritmo Rijndael Hitoria En Marzo de 975 el gobierno de lo Etado Unido deignó al DES (Data Encryption Standard) como u norma oficial para el cifrado de dato enible pero no claificado. El DES poteriormente fue adoptado a nivel mundial. Dede u creación, el DES fue criticado debido a u tamaño de llave (56 bit), que con el poder de cómputo actual lo hace vulnerable a ataque de fuerza bruta 9. Aí lo muetra el primer ataque público de fuerza bruta exitoo del DES en 997 el cual tomó aproximadamente cuatro mee en llevare a cabo. Aún aí, el DES permaneció en uo oficial hata que en 998 la Electronic Frontier Foundation demotró que un ataque de eta naturaleza e puede realizar en 56 hora. A fin de encontrar un algoritmo de cifrado má robuto, fue propueto un proceo que en término generale conite en la aplicación del algoritmo que utiliza el DES tre vece, lo que e conoce como Triple DES. El Triple DES e coniderado eguro, in embargo e demaiado lento para u implantación en hardware y oftware, y olamente trabaja con bloque de dato de 64 bit. De manera paralela y a partir de 997, el NIST (National Intitute for Standard and Technology) de Etado Unido inició el llamado a un proceo de elección para utitución del DES: el AES (Advanced Encryption Standard). En la ronda final etuvieron compitiendo 5 algoritmo: MARS, RC6, Rijndael, SERPENT y TWOFISH. Finalmente el NIST anunció al algoritmo Rijndael como el ganador del AES en Octubre del 2. Ete proceo e efectuó con la participación de la comunidad criptográfica mundial lo cual convierte al Rijndael en un algoritmo robuto y digno de la confianza de todo. El nombre Rijndael e la combinación de lo apellido de u autore Joan Daemen y Vincent Rijmen originario de Bélgica. Epecificacione El AES epecifica un algoritmo de cifrado imétrico por bloque con la caracterítica principale iguiente: Longitud de la llave con lo uficiente bit para tener un epacio de poible llave mucho mayor al del DES y reitente a ataque de fuerza bruta. Rapidez y flexibilidad para ejecutare en divera plataforma. Manejo de ditinto tamaño de bloque de dato. El algoritmo Rijndael tiene una longitud variable de llave y de bloque de dato que puede er de 28, 92 ó 256 bit. Eto da como reultado que e tengan 3.4 x 38 poible llave de 28 bit, 6.2 x 57 poible llave de 92 bit y. x 77 poible 9 Un ataque de fuerza bruta e aquel en que e prueban toda la poible combinacione de una llave de acuerdo a u longitud en bit. En el DES e tienen 7.2 x 6 poible llave de 56 bit.

39 llave de 256 bit. De manera oficial, el AES olamente reconoce un tamaño de llave de 28 bit y un tamaño variable de bloque de dato que puede er de 28, 92 y 256 bit. Durante la fae de elección, el algoritmo Rijndael demotró una gran flexibilidad para adaptare a divera plataforma como la arquitectura de 8 bit de la Tarjeta Inteligente y la arquitectura de 32 bit de la computadora peronale. Ademá, u autore han demotrado que e poible combinar cierta operacione del propio algoritmo a fin de hacer mejor uo de recuro como la memoria y el proceador. Eta veratilidad hace que el algoritmo Rijndael ea uperior en cuanto a rapidez de ejecución con repecto al Triple DES, por lo que el uo de ete último diminuirá rápidamente. Decripción del algoritmo El algoritmo Rijndael e iterativo y e baa en aplicar un número determinado de ronda a un valor intermedio que e denomina etado. La entrada y alida del algoritmo e un bloque de dato de 28 bit lo que e repreenta por el parámetro N b =4 que refleja el número de palabra de 32 bit. La longitud de la llave e repreenta por el parámetro N k que también refleja el número de palabra de 32 bit. Pueto que el algoritmo permite emplear diferente longitude de bloque y de llave, el número de ronda o iteracione requerido en cada cao e variable. En la tabla iguiente e indica cuanta ronda (N r ) on necearia en función de lo parámetro N b y N k. El primer renglón repreenta la epecificación oficial del AES. N b =4 (28 bit) N b =6 (92 bit) N b =8 (256 bit) N k =4 (28 bit) N r = N r =2 N r =4 N k =6 (92 bit) N r =2 N r =2 N r =4 N k =8 (256 bit) N r =4 N r =4 N r =4 Tabla 3.. Número de ronda del algoritmo Rijndael en función de lo parámetro N b y N k. El etado e repreenta mediante una matriz rectangular de byte que poee cuatro fila, y N b columna. Para el preente trabajo e tiene que N b = N k = 4. La repreentación de la llave tiene una etructura imilar a la del etado, y conite de una matriz de llave de ronda con cuatro fila y N k columna.

40 ,,,2,3,,,2,3 2, 2, 2,2 2,3 3, 3, 3,2 3,3 k, k, k,2 k,3 k, k, k,2 k,3 k 2, k 2, k 2,2 k 2,3 k 3, k 3, k 3,2 k 3,3 Figura 3.. Ejemplo de matriz de etado y matriz de llave de ronda con N b= N k =4 (28 bit). El bloque que e pretende cifrar o decifrar e tralada directamente byte a byte obre la matriz de etado por columna. La llave original también e copiada de forma imilar en u matriz correpondiente; por cada iteración del algoritmo e va calculando una nueva llave, o llave de ronda, en un proceo llamado Planeación de Llave. Cifrado directo El cifrado directo del algoritmo Rijndael e realiza mediante la ejecución de ronda de tranformación la cuale etán formada por cuatro ditinta tranformacione que operan a nivel de byte, la cuale on: Subtitute Byte. Eta e una operación no lineal que conite en la utitución de un byte de la matriz de etado mediante el uo de una tabla de búqueda (S- Box). Shift Row. Eta e una operación de permutación que conite en realizar un deplazamiento lógico hacia la izquierda obre un byte. La cantidad de lugare a deplazar e hace de una manera predefinida de acuerdo al número de renglón de la matriz de etado. Mix Column. Cada byte de la matriz de etado e reemplazado por una combinación lineal de lo byte en la mima columna. Add Round Key. Conite en realizar la operación lógica XOR entre la matriz de etado y la matriz de llave de ronda. Cada ronda de tranformación etá parametrizada por una llave de ronda que e obtenida mediante el proceo de Planeación de Llave. Ete proceo toma como entrada la llave original y mediante un algoritmo que e explicará má adelante, e obtiene una llave para cada ronda con la mima longitud que la llave original. La iguiente figura muetra de manera equemática la etructura del algoritmo Rijndael para el cifrado directo y la etructura de cada ronda de tranformación.

41 Figura 3.2. Etructura del algoritmo Rijndael. E importante mencionar que la ronda inicial conite únicamente en realizar la función Add Round Key entre la matriz de etado y la llave original. Para la última ronda (N r ) e omite únicamente la tranformación Mix Column. La tranformación Subtitute Byte conite en la utitución de un byte por otro de acuerdo a la iguiente relación: primero e ua una tranformación en la que cada byte del etado e repreenta de manera polinomial obre el campo GF(2) y poteriormente e calcula u invero multiplicativo en el campo finito GF(2 8 ) (el elemento nulo o cero e mapea a í mimo); depué e aplica una función affine definida por la iguiente relación: + = ' 7 ' 6 ' 5 ' 4 ' 3 ' 2 ' '. Figura 3.3. Matriz empleada por la tranformación Subtitute Byte. La matriz de 8x8 de la función affine anterior e invertible y cada uno de u coeficiente pertenece a un elemento del campo GF(2). La tranformación Subtitute Byte puede er expreada en u totalidad mediante la iguiente tabla de utitución (S- Box). Una función affine tiene la iguiente etructura: y=ax+b en la que a y b on contante.

42 x Y a b c d e f 63 7c 77 7b f2 6b 6f c b fe d7 ab 76 Ca 82 c9 7d fa f ad d4 a2 af 9c a4 72 c 2 b7 fd f f7 cc 34 a5 e5 f 7 d c7 23 C a e2 eb 27 b c ª b 6e 5a a 52 3b d6 b3 29 e3 2f d Ed 2 fc b 5b 6a cb be 39 4a 4c 58 cf 6 d ef aa Fb 43 4d f9 2 7f 5 3c 9f a8 7 5 a3 4 8f 92 9d 38 f5 bc b6 da 2 ff f3 d2 8 Cd c 3 Ec 5f c4 a7 7e 3d 64 5d f Dc 22 2a ee b8 4 de 5e b db a e 32 3a a c c2 d3 ac e4 79 b e7 c8 37 6d 8d d5 4e a9 6c 56 f4 ea 65 7a ae 8 c Ba e c a6 b4 c6 e8 dd 74 f 4b bd 8b 8a d 7 3e b f6 e b9 86 c d 9e e e f d9 8e 94 9b e 87 e9 ce df f 8c a 89 d bf e d f b 54 bb 6 Tabla 3.2. Tabla de utitución S-Box para la tranformación Subtitute Byte. Si un byte tiene el valor {}, entonce e puede eparar por do grupo de cuatro bit y a cada uno de ello e le repreenta de forma hexadecimal entonce e tiene un valor de {53}. El reultado de la utitución de ete valor en la tabla de búqueda e determina por la interección del renglón marcado con 5 y la columna marcada con 3 y que correponde a {ed} o {}. La iguiente figura muetra el efecto de la tranformación Subtitute Byte en la matriz de etado.,,,2 ',3 S-Box, ' ' ',,2,3, 2,, 2, ' ' ' ',2,3,,,2 ',3 r, c r,c ' ' ' ' 2,2 2,3 2, 2, 2,2 2,3 3, 3, 3,2 ' ' ' ' 3,3 3, 3, 3,2 3,3 Figura 3.4. Efecto de la tranformación Subtitute Byte. La tranformación Shift Row conite en deplazar a la izquierda la fila de la matriz de etado de manera cíclica. El deplazamiento de cada fila etá en función de la longitud del bloque de dato N b y del número de fila en la matriz de etado. En la primer fila (ó fila cero de acuerdo a la notación matricial) no exite deplazamiento.

43 N b Número de poicione a deplazar en la fila Número de poicione a deplazar en la fila 2 Número de poicione a deplazar en la fila Tabla 3.3: Número de poicione a deplazar egún el tamaño de bloque N b. La iguiente figura e un ejemplo del reultado de la tranformación Mix Column para N b =4. S S,,,2,3,,,2,3,,,2,3,,2,3, 2, 2, 2,2 2,3 2,2 2,3 2, 2, 3, 3, 3,2 3,3 3,3 3, 3, 3,2 Figura 3.5. Efecto de la tranformación Shift Row para N b = 4. La tranformación Mix Column opera obre cada columna de la matriz de etado. Cada columna e repreenta como un polinomio en el campo finito GF(2 8 ), éte último e multiplicado por un polinomio fijo c(x) módulo el polinomio x 4 +. El polinomio c(x) e el iguiente: c(x) = {3}x 3 + {}x 2 + {}x + {2}. La tranformación Mix Column puede ecribire en forma matricial de la iguiente manera: ' ' ' ', c, c 2, c 3, c 2 = , c, c 2, c 3, c Para c < N b Figura 3.6. Repreentación matricial de la tranformación Mix Column. Como reultado de eta tranformación lo cuatro byte de cada columna on reemplazado por lo iguiente valore:

44 , c = ({2}, c ) ({3}, c ) 2, c 3, c, c =, c ({2}, c ) ({3} 2, c ) 3, c 2, c =, c, c ({2} 2, c ) ({3} 3, c ) 3, c = ({3}, c ), c 2, c ({2} 3, c ). En la tranformación Add Round Key e realiza la operación lógica XOR entre la matriz de etado y la llave de ronda. En el proceo de Planeación de Llave, la llave de ronda e derivan de la llave original mediante el uo de una función de expanión y otra función de elección. La función de expanión produce N r + llave de ronda, cada una de igual tamaño que la llave original lo que produce un flujo de byte de tamaño 4*(N r +)*N b. La función de elección toma de manera conecutiva bloque del mimo tamaño que la matriz de etado de la ecuencia obtenida, y lo va aignando a cada llave de ronda. La función de expanión tiene do verione egún el valor de N k. Sea K(i) un vector de byte de tamaño 4*N k, que contiene la llave original, y ea W(i) un vector de N b *( N r +) regitro de cuatro byte, entonce: Para N k 6: ) Para i dede hata N k - hacer: W(i) (K(4 * i), K(4 * i + ), K(4 * i + 2), K(4 * i + 3)) 2) Para i dede N k hata N b * (N r + ) hacer: temp W(i - ) Si (i mod N k ) = temp Sub(Rot(temp)) RC(i / N k ) W(i) W(i - N k ) temp Para N k > 6: ) Para i dede hata N k - hacer: W(i) (K(4 * i), K(4 * i + ), K(4 * i + 2), K(4 * i + 3)) 2) Para i dede N k hata N b * (N r + ) hacer: temp W(i - ) Si (i mod N k ) = temp Sub(Rot(temp)) RC( i / N k ) Si (i mod N k ) = 4 temp Sub(temp) W(i) W(i - N k ) temp La función Sub realiza la utitución por medio de la tabla S-Box de cada uno de lo byte del regitro de cuatro que e le proporciona como parámetro. La función Rot realiza el deplazamiento lógico hacia la izquierda en una poición de lo byte del regitro, por lo que i eta función tiene como parámetro (W, W, W 2, W 3 ) el reultado erá (W, W 2, W 3 W ). Finalmente, RC(i) e una contante que pertenece al campo finito GF(2 8 ) la cual e obtiene de la iguiente forma: RC(i)=x i- para i= N r

45 La iguiente tabla muetra la contante de ronda para el cao de una longitud de 28 bit tanto del bloque de dato como de la llave. RC() RC(2) RC(3) RC(4) RC(5) RC(6) RC(7) RC(8) RC(9) RC() x x2 x4 x8 x x2 x4 x8 xb x36 Tabla 3.4. Contante de ronda para N b = N k = 4. Cifrado invero La tranformacione uada para el cifrado directo del algoritmo Rijndael on invertible por lo que e le hará referencia como Inv Subtitute Byte, Inv Shift Row, Inv Mix Column e Inv Add Round Key. El cifrado invero conite báicamente en la aplicación de eta tranformacione invera y la llave de ronda en el orden contrario. El tipo de operacione involucrada en el algoritmo Rijndael permite que el orden de ejecución de la tranformacione e altere a fin de que e tenga una etructura imilar a la del cifrado directo, a lo que e conoce como cifrador invero equivalente. Eto e útil para arquitectura de 32 bit pero en arquitectura de 8 bit no e tienen ventaja ignificativa. Para la tranformación Inv Shift Row e realizan lo deplazamiento lógico pero hacia la derecha; e igue la mima etructura utilizada para el cifrado directo en cuanto al número de deplazamiento de acuerdo a la fila y al parámetro N b. La tranformación Inv Subtitute Byte e obtiene mediante la aplicación de la invera de la función affine definida para el cifrado directo y por el cálculo del invero multiplicativo en el campo finito de GF(2 8 ); el elemento nulo o cero también e mapea a í mimo. Eta tranformación también puede realizare mediante el uo de una tabla de búqueda o de utitución. x Y a b c d e f a d a5 38 bf 4 a3 9e 8 f3 d7 fb 7c e b 2f ff e c4 de e9 cb b a6 c2 23 3d ee 4c 95 b 42 fa c3 4e 3 8 2e A d9 24 B2 76 5b a2 49 6d 8b d f8 F d4 a4 5c cc 5d 65 b c fd ed b9 da 5e a7 8d 9d d8 ab 8c bc d3 a f7 e b8 b d 2c e 8f ca 3f f 2 c af bd 3 3 8a 6b 8 3a 9 4 4f 67 dc ea 97 f2 cf ce f b4 e ac e7 ad e2 f9 37 e8 c 75 df 6e a 47 f a 7 d 29 c5 89 6f b7 62 e aa 8 be b b fc 56 3e 4b c6 d a db c fe 78 cd 5a f4 c f dd A c7 3 b ec 5f d 6 5 7f a9 9 b5 4a d 2d e5 7a 9f 93 c9 9c ef e a e 3b 4d ae 2a f5 B c8 eb bb 3c f 7 2b 4 7e ba 77 d6 26 e c 7d Tabla 3.5. Tabla de utitución S-Box para la tranformación Inv Subtitute Byte. La tranformación Inv Mix Column opera obre cada columna de la matriz de etado;

46 cada columna e tratada como un polinomio obre el campo finito GF(2 8 ), el cual e multiplicado por un polinomio fijo c - (x) módulo el polinomio x 4 +. El polinomio c - (x) e el iguiente: c - (x) = {b}x 3 + {d}x 2 + {9}x + {e} La tranformación Inv Mix Column puede ecribire en forma matricial de la iguiente manera: ' ' ' ', c, c 2, c 3, c e = 9 d b b e 9 d d b e 9 9 d b e, c, c 2, c 3, c Para c < N b Figura 3.7. Repreentación matricial de la tranformación Inv Mix Column. Como reultado de eta tranformación lo cuatro byte de cada columna on reemplazado por lo iguiente valore:, c = ({e}, c ) ({b}, c ) ({d} 2, c ) ({9}, c, c = ({9}, c ) ({e}, c ) ({b} 2, c ) ({d}, c 2, c = ({d}, c ) ({9}, c ) ({e} 2, c ) ({b}, c 3, c = ({b}, c ) ({d}, c ) ({9} 2, c ) ({e}, c Lo coeficiente de la matriz hacen que la tranformación Inv Mix Column ea má cotoa computacionalmente. Sin embargo en el Capítulo 4 e motrará que e poible factorizar el polinomio c - (x) a fin de reducir la complejidad de la implantación. Con repecto a la tranformación Add Round Key, éta e u propia invera ya que involucra olamente la aplicación de la operación lógica XOR. Para el proceo del cálculo de llave de ronda e tiene la opción de que durante el cifrado directo e guarde la última llave de ronda en memoria, la cual erviría para calcular toda la demá llave de ronda en el entido invero. Sin embargo, e tendría el problema de que i e preenta alguna condición que interrumpa el uminitro de energía a la tarjeta, entonce la última clave de ronda en la memoria e perdería. En el Capítulo 4 e analizará la opción má adecuada para el proceo de Planificación de Llave de acuerdo a lo objetivo a alcanzar en ete trabajo. 3 ) 3 ) 3 ) 3 )

47 Capítulo 3: El algoritmo Rijndael Hitoria En Marzo de 975 el gobierno de lo Etado Unido deignó al DES (Data Encryption Standard) como u norma oficial para el cifrado de dato enible pero no claificado. El DES poteriormente fue adoptado a nivel mundial. Dede u creación, el DES fue criticado debido a u tamaño de llave (56 bit), que con el poder de cómputo actual lo hace vulnerable a ataque de fuerza bruta. Aí lo muetra el primer ataque público de fuerza bruta exitoo del DES en 997 el cual tomó aproximadamente cuatro mee en llevare a cabo. Aún aí, el DES permaneció en uo oficial hata que en 998 la Electronic Frontier Foundation demotró que un ataque de eta naturaleza e puede realizar en 56 hora. A fin de encontrar un algoritmo de cifrado má robuto, fue propueto un proceo que en término generale conite en la aplicación del algoritmo que utiliza el DES tre vece, lo que e conoce como Triple DES. El Triple DES e coniderado eguro, in embargo e demaiado lento para u implantación en hardware y oftware, y olamente trabaja con bloque de dato de 64 bit. De manera paralela y a partir de 997, el NIST (National Intitute for Standard and Technology) de Etado Unido inició el llamado a un proceo de elección para utitución del DES: el AES (Advanced Encryption Standard). En la ronda final etuvieron compitiendo 5 algoritmo: MARS, RC6, Rijndael, SERPENT y TWOFISH. Finalmente el NIST anunció al algoritmo Rijndael como el ganador del AES en Octubre del 2. Ete proceo e efectuó con la participación de la comunidad criptográfica mundial lo cual convierte al Rijndael en un algoritmo robuto y digno de la confianza de todo. El nombre Rijndael e la combinación de lo apellido de u autore Joan Daemen y Vincent Rijmen originario de Bélgica. Epecificacione El AES epecifica un algoritmo de cifrado imétrico por bloque con la caracterítica principale iguiente: Longitud de la llave con lo uficiente bit para tener un epacio de poible llave mucho mayor al del DES 2 y reitente a ataque de fuerza bruta. Rapidez y flexibilidad para ejecutare en divera plataforma. Manejo de ditinto tamaño de bloque de dato. El algoritmo Rijndael tiene una longitud variable de llave y de bloque de dato que puede er de 28, 92 ó 256 bit. Eto da como reultado que e tengan 3.4 x 38 poible llave de 28 bit, 6.2 x 57 poible llave de 92 bit y. x 77 poible Un ataque de fuerza bruta e aquel en que e prueban toda la poible combinacione de una llave de acuerdo a u longitud en bit. 2 En el DES e tienen 7.2 x 6 poible llave de 56 bit.

48 llave de 256 bit. De manera oficial, el AES olamente reconoce un tamaño de llave de 28 bit y un tamaño variable de bloque de dato que puede er de 28, 92 y 256 bit. Durante la fae de elección, el algoritmo Rijndael demotró una gran flexibilidad para adaptare a divera plataforma como la arquitectura de 8 bit de la Tarjeta Inteligente y la arquitectura de 32 bit de la computadora peronale. Ademá, u autore han demotrado que e poible combinar cierta operacione del propio algoritmo a fin de hacer mejor uo de recuro como la memoria y el proceador. Eta veratilidad hace que el algoritmo Rijndael ea uperior en cuanto a rapidez de ejecución con repecto al Triple DES, por lo que el uo de ete último diminuirá rápidamente. Decripción del algoritmo El algoritmo Rijndael e iterativo y e baa en aplicar un número determinado de ronda a un valor intermedio que e denomina etado. La entrada y alida del algoritmo e un bloque de dato de 28 bit lo que e repreenta por el parámetro N b =4 que refleja el número de palabra de 32 bit. La longitud de la llave e repreenta por el parámetro N k que también refleja el número de palabra de 32 bit. Pueto que el algoritmo permite emplear diferente longitude de bloque y de llave, el número de ronda o iteracione requerido en cada cao e variable. En la tabla iguiente e indica cuanta ronda (N r ) on necearia en función de lo parámetro N b y N k. El primer renglón repreenta la epecificación oficial del AES. N b =4 (28 bit) N b =6 (92 bit) N b =8 (256 bit) N k =4 (28 bit) N r = N r =2 N r =4 N k =6 (92 bit) N r =2 N r =2 N r =4 N k =8 (256 bit) N r =4 N r =4 N r =4 Tabla 3.. Número de ronda del algoritmo Rijndael en función de lo parámetro N b y N k. El etado e repreenta mediante una matriz rectangular de byte que poee cuatro fila, y N b columna. Para el preente trabajo e tiene que N b = N k = 4. La repreentación de la llave tiene una etructura imilar a la del etado, y conite de una matriz de llave de ronda con cuatro fila y N k columna.

49 ,,,2,3,,,2,3 2, 2, 2,2 2,3 3, 3, 3,2 3,3 k, k, k,2 k,3 k, k, k,2 k,3 k 2, k 2, k 2,2 k 2,3 k 3, k 3, k 3,2 k 3,3 Figura 3.. Ejemplo de matriz de etado y matriz de llave de ronda con N b= N k =4 (28 bit). El bloque que e pretende cifrar o decifrar e tralada directamente byte a byte obre la matriz de etado por columna. La llave original también e copiada de forma imilar en u matriz correpondiente; por cada iteración del algoritmo e va calculando una nueva llave, o llave de ronda, en un proceo llamado Planeación de Llave. Cifrado directo El cifrado directo del algoritmo Rijndael e realiza mediante la ejecución de ronda de tranformación la cuale etán formada por cuatro ditinta tranformacione que operan a nivel de byte, la cuale on: Subtitute Byte. Eta e una operación no lineal que conite en la utitución de un byte de la matriz de etado mediante el uo de una tabla de búqueda (S- Box). Shift Row. Eta e una operación de permutación que conite en realizar un deplazamiento lógico hacia la izquierda obre un byte. La cantidad de lugare a deplazar e hace de una manera predefinida de acuerdo al número de renglón de la matriz de etado. Mix Column. Cada byte de la matriz de etado e reemplazado por una combinación lineal de lo byte en la mima columna. Add Round Key. Conite en realizar la operación lógica XOR entre la matriz de etado y la matriz de llave de ronda. Cada ronda de tranformación etá parametrizada por una llave de ronda que e obtenida mediante el proceo de Planeación de Llave. Ete proceo toma como entrada la llave original y mediante un algoritmo que e explicará má adelante, e obtiene una llave para cada ronda con la mima longitud que la llave original. La iguiente figura muetra de manera equemática la etructura del algoritmo Rijndael para el cifrado directo y la etructura de cada ronda de tranformación.

50 Figura 3.2. Etructura del algoritmo Rijndael. E importante mencionar que la ronda inicial conite únicamente en realizar la función Add Round Key entre la matriz de etado y la llave original. Para la última ronda (N r ) e omite únicamente la tranformación Mix Column. La tranformación Subtitute Byte conite en la utitución de un byte por otro de acuerdo a la iguiente relación: primero e ua una tranformación en la que cada byte del etado e repreenta de manera polinomial obre el campo GF(2) y poteriormente e calcula u invero multiplicativo en el campo finito GF(2 8 ) (el elemento nulo o cero e mapea a í mimo); depué e aplica una función affine 3 definida por la iguiente relación: + = ' 7 ' 6 ' 5 ' 4 ' 3 ' 2 ' '. Figura 3.3. Matriz empleada por la tranformación Subtitute Byte. La matriz de 8x8 de la función affine anterior e invertible y cada uno de u coeficiente pertenece a un elemento del campo GF(2). La tranformación Subtitute Byte puede er expreada en u totalidad mediante la iguiente tabla de utitución (S- Box). 3 Una función affine tiene la iguiente etructura: y=ax+b en la que a y b on contante.

51 x Y a b c d e f 63 7c 77 7b f2 6b 6f c b fe d7 ab 76 Ca 82 c9 7d fa f ad d4 a2 af 9c a4 72 c 2 b7 fd f f7 cc 34 a5 e5 f 7 d c7 23 C a e2 eb 27 b c ª b 6e 5a a 52 3b d6 b3 29 e3 2f d Ed 2 fc b 5b 6a cb be 39 4a 4c 58 cf 6 d ef aa Fb 43 4d f9 2 7f 5 3c 9f a8 7 5 a3 4 8f 92 9d 38 f5 bc b6 da 2 ff f3 d2 8 Cd c 3 Ec 5f c4 a7 7e 3d 64 5d f Dc 22 2a ee b8 4 de 5e b db a e 32 3a a c c2 d3 ac e4 79 b e7 c8 37 6d 8d d5 4e a9 6c 56 f4 ea 65 7a ae 8 c Ba e c a6 b4 c6 e8 dd 74 f 4b bd 8b 8a d 7 3e b f6 e b9 86 c d 9e e e f d9 8e 94 9b e 87 e9 ce df f 8c a 89 d bf e d f b 54 bb 6 Tabla 3.2. Tabla de utitución S-Box para la tranformación Subtitute Byte. Si un byte tiene el valor {}, entonce e puede eparar por do grupo de cuatro bit y a cada uno de ello e le repreenta de forma hexadecimal entonce e tiene un valor de {53}. El reultado de la utitución de ete valor en la tabla de búqueda e determina por la interección del renglón marcado con 5 y la columna marcada con 3 y que correponde a {ed} o {}. La iguiente figura muetra el efecto de la tranformación Subtitute Byte en la matriz de etado.,,,2 ',3 S-Box, ' ' ',,2,3, 2,, 2, ' ' ' ',2,3,,,2 ',3 r, c r,c ' ' ' ' 2,2 2,3 2, 2, 2,2 2,3 3, 3, 3,2 ' ' ' ' 3,3 3, 3, 3,2 3,3 Figura 3.4. Efecto de la tranformación Subtitute Byte. La tranformación Shift Row conite en deplazar a la izquierda la fila de la matriz de etado de manera cíclica. El deplazamiento de cada fila etá en función de la longitud del bloque de dato N b y del número de fila en la matriz de etado. En la primer fila (ó fila cero de acuerdo a la notación matricial) no exite deplazamiento.

52 N b Número de poicione a deplazar en la fila Número de poicione a deplazar en la fila 2 Número de poicione a deplazar en la fila Tabla 3.3: Número de poicione a deplazar egún el tamaño de bloque N b. La iguiente figura e un ejemplo del reultado de la tranformación Mix Column para N b =4. S S,,,2,3,,,2,3,,,2,3,,2,3, 2, 2, 2,2 2,3 2,2 2,3 2, 2, 3, 3, 3,2 3,3 3,3 3, 3, 3,2 Figura 3.5. Efecto de la tranformación Shift Row para N b = 4. La tranformación Mix Column opera obre cada columna de la matriz de etado. Cada columna e repreenta como un polinomio en el campo finito GF(2 8 ), éte último e multiplicado por un polinomio fijo c(x) módulo el polinomio x 4 +. El polinomio c(x) e el iguiente: c(x) = {3}x 3 + {}x 2 + {}x + {2}. La tranformación Mix Column puede ecribire en forma matricial de la iguiente manera: ' ' ' ', c, c 2, c 3, c 2 = , c, c 2, c 3, c Para c < N b Figura 3.6. Repreentación matricial de la tranformación Mix Column. Como reultado de eta tranformación lo cuatro byte de cada columna on reemplazado por lo iguiente valore:

53 , c = ({2}, c ) ({3}, c ) 2, c 3, c, c =, c ({2}, c ) ({3} 2, c ) 3, c 2, c =, c, c ({2} 2, c ) ({3} 3, c ) 3, c = ({3}, c ), c 2, c ({2} 3, c ). En la tranformación Add Round Key e realiza la operación lógica XOR entre la matriz de etado y la llave de ronda. En el proceo de Planeación de Llave, la llave de ronda e derivan de la llave original mediante el uo de una función de expanión y otra función de elección. La función de expanión produce N r + llave de ronda, cada una de igual tamaño que la llave original lo que produce un flujo de byte de tamaño 4*(N r +)*N b. La función de elección toma de manera conecutiva bloque del mimo tamaño que la matriz de etado de la ecuencia obtenida, y lo va aignando a cada llave de ronda. La función de expanión tiene do verione egún el valor de N k. Sea K(i) un vector de byte de tamaño 4*N k, que contiene la llave original, y ea W(i) un vector de N b *( N r +) regitro de cuatro byte, entonce: Para N k 6: ) Para i dede hata N k - hacer: W(i) (K(4 * i), K(4 * i + ), K(4 * i + 2), K(4 * i + 3)) 2) Para i dede N k hata N b * (N r + ) hacer: temp W(i - ) Si (i mod N k ) = temp Sub(Rot(temp)) RC(i / N k ) W(i) W(i - N k ) temp Para N k > 6: ) Para i dede hata N k - hacer: W(i) (K(4 * i), K(4 * i + ), K(4 * i + 2), K(4 * i + 3)) 2) Para i dede N k hata N b * (N r + ) hacer: temp W(i - ) Si (i mod N k ) = temp Sub(Rot(temp)) RC( i / N k ) Si (i mod N k ) = 4 temp Sub(temp) W(i) W(i - N k ) temp La función Sub realiza la utitución por medio de la tabla S-Box de cada uno de lo byte del regitro de cuatro que e le proporciona como parámetro. La función Rot realiza el deplazamiento lógico hacia la izquierda en una poición de lo byte del regitro, por lo que i eta función tiene como parámetro (W, W, W 2, W 3 ) el reultado erá (W, W 2, W 3 W ). Finalmente, RC(i) e una contante que pertenece al campo finito GF(2 8 ) la cual e obtiene de la iguiente forma: RC(i)=x i- para i= N r

54 La iguiente tabla muetra la contante de ronda para el cao de una longitud de 28 bit tanto del bloque de dato como de la llave. RC() RC(2) RC(3) RC(4) RC(5) RC(6) RC(7) RC(8) RC(9) RC() x x2 x4 x8 x x2 x4 x8 xb x36 Tabla 3.4. Contante de ronda para N b = N k = 4. Cifrado invero La tranformacione uada para el cifrado directo del algoritmo Rijndael on invertible por lo que e le hará referencia como Inv Subtitute Byte, Inv Shift Row, Inv Mix Column e Inv Add Round Key. El cifrado invero conite báicamente en la aplicación de eta tranformacione invera y la llave de ronda en el orden contrario. El tipo de operacione involucrada en el algoritmo Rijndael permite que el orden de ejecución de la tranformacione e altere a fin de que e tenga una etructura imilar a la del cifrado directo, a lo que e conoce como cifrador invero equivalente. Eto e útil para arquitectura de 32 bit pero en arquitectura de 8 bit no e tienen ventaja ignificativa. Para la tranformación Inv Shift Row e realizan lo deplazamiento lógico pero hacia la derecha; e igue la mima etructura utilizada para el cifrado directo en cuanto al número de deplazamiento de acuerdo a la fila y al parámetro N b. La tranformación Inv Subtitute Byte e obtiene mediante la aplicación de la invera de la función affine definida para el cifrado directo y por el cálculo del invero multiplicativo en el campo finito de GF(2 8 ); el elemento nulo o cero también e mapea a í mimo. Eta tranformación también puede realizare mediante el uo de una tabla de búqueda o de utitución. x Y a b c d e f a d a5 38 bf 4 a3 9e 8 f3 d7 fb 7c e b 2f ff e c4 de e9 cb b a6 c2 23 3d ee 4c 95 b 42 fa c3 4e 3 8 2e A d9 24 B2 76 5b a2 49 6d 8b d f8 F d4 a4 5c cc 5d 65 b c fd ed b9 da 5e a7 8d 9d d8 ab 8c bc d3 a f7 e b8 b d 2c e 8f ca 3f f 2 c af bd 3 3 8a 6b 8 3a 9 4 4f 67 dc ea 97 f2 cf ce f b4 e ac e7 ad e2 f9 37 e8 c 75 df 6e a 47 f a 7 d 29 c5 89 6f b7 62 e aa 8 be b b fc 56 3e 4b c6 d a db c fe 78 cd 5a f4 c f dd A c7 3 b ec 5f d 6 5 7f a9 9 b5 4a d 2d e5 7a 9f 93 c9 9c ef e a e 3b 4d ae 2a f5 B c8 eb bb 3c f 7 2b 4 7e ba 77 d6 26 e c 7d Tabla 3.5. Tabla de utitución S-Box para la tranformación Inv Subtitute Byte. La tranformación Inv Mix Column opera obre cada columna de la matriz de etado;

55 cada columna e tratada como un polinomio obre el campo finito GF(2 8 ), el cual e multiplicado por un polinomio fijo c - (x) módulo el polinomio x 4 +. El polinomio c - (x) e el iguiente: c - (x) = {b}x 3 + {d}x 2 + {9}x + {e} La tranformación Inv Mix Column puede ecribire en forma matricial de la iguiente manera: ' ' ' ', c, c 2, c 3, c e = 9 d b b e 9 d d b e 9 9 d b e, c, c 2, c 3, c Para c < N b Figura 3.7. Repreentación matricial de la tranformación Inv Mix Column. Como reultado de eta tranformación lo cuatro byte de cada columna on reemplazado por lo iguiente valore:, c = ({e}, c ) ({b}, c ) ({d} 2, c ) ({9}, c, c = ({9}, c ) ({e}, c ) ({b} 2, c ) ({d}, c 2, c = ({d}, c ) ({9}, c ) ({e} 2, c ) ({b}, c 3, c = ({b}, c ) ({d}, c ) ({9} 2, c ) ({e}, c Lo coeficiente de la matriz hacen que la tranformación Inv Mix Column ea má cotoa computacionalmente. Sin embargo en el Capítulo 4 e motrará que e poible factorizar el polinomio c - (x) a fin de reducir la complejidad de la implantación. Con repecto a la tranformación Add Round Key, éta e u propia invera ya que involucra olamente la aplicación de la operación lógica XOR. Para el proceo del cálculo de llave de ronda e tiene la opción de que durante el cifrado directo e guarde la última llave de ronda en memoria, la cual erviría para calcular toda la demá llave de ronda en el entido invero. Sin embargo, e tendría el problema de que i e preenta alguna condición que interrumpa el uminitro de energía a la tarjeta, entonce la última clave de ronda en la memoria e perdería. En el Capítulo 4 e analizará la opción má adecuada para el proceo de Planificación de Llave de acuerdo a lo objetivo a alcanzar en ete trabajo. 3 ) 3 ) 3 ) 3 )

56 Capítulo 4: Implantación del algoritmo Rijndael en Tarjeta Inteligente Conideracione Generale para la Implantación En el dieño y la implantación de algoritmo de cifrado imétrico en tarjeta inteligente e debe tener iempre preente el uo eficiente de lo recuro diponible debido a la retriccione exitente en la memoria RAM, la ROM, y en el proceamiento. En el capítulo 3 e preentó la etructura general del algoritmo Rijndael, el cual e un algoritmo iterativo que trabaja con bloque de dato. Por lo tanto u operacione interna pueden er reducida a operacione de 8 bit, lo que repreenta una ventaja muy importante en arquitectura como con la que cuenta la tarjeta ATMega63. En [], lo autore del algoritmo Rijndael demuetran que e factible la combinación de operacione a fin de lograr una diminución del tiempo de ejecución. Por ejemplo, la operacione Shift Row y Subtitute Byte pueden realizare en un olo pao, y junto con la operación Add Round Key pueden er dearrollada con intruccione directa que operen obre byte en microproceadore de 8 bit. Por otra parte, en el proceo de planificación de llave e recomienda hacer un dearrollo que haga uo de un buffer cíclico con un tamaño no mayor al tamaño de la llave original. Eto permite que no e mantenga en uo una gran cantidad de memoria RAM para almacenar toda la llave de ronda. Finalmente, la caracterítica de confuión en el algoritmo Rijndael recae en la operación Subtitute Byte que conite en la utitución de dato mediante tabla de búqueda, o tabla de lookup. Eta operación requiere que e invierta una porción coniderable de ciclo de ejecución debido a lo proceo de búqueda de dato en memoria. Sin embargo, e puede bucar una reducción del tiempo de ejecución mediante el conocimiento detallado del conjunto de intruccione diponible del microproceador. La plataforma ATmega63 La tarjeta ATMega63 fue adquirida por la Univeridad Nacional Autónoma de México ante de iniciar ete trabajo de tei y por lo tanto la premia fue hacer uo de ella. La ATMega63 e relativamente barata y ademá tiene la ventaja de que no e neceario firmar un contrato de confidencialidad para u adquiición. Eta tarjeta pertenece a la familia de tarjeta Funcard y cuenta con un microproceador AVR AT9S855 de 8 bit tipo RISC (Reduced Intruction Set Computer) de la emprea ATMEL, con la iguiente caracterítica: Treinta y do regitro de propóito general. Arquitectura tipo Harvard: el epacio de memoria de dato y el epacio de memoria de programa etán eparado. Memoria de programa con tecnología Flah ROM de 892 palabra (cada palabra de 2 byte). Memoria de dato SRAM de 24 byte. Memoria interna EEPROM de 52 byte.

57 Memoria externa EEPROM de 256K byte. Bu de dato de 8 bit y bu de direccione de 6 bit. Con lo treinta y do regitro de propóito general e puede hacer el modo de direccionamiento directo a la memoria de dato, lo cual implica que e utilicen olamente do ciclo de reloj. Ademá, eto regitro tienen conexión directa con la Unidad Aritmética Lógica del microproceador lo que ignifica que la mayoría de la intruccione e realicen en un olo ciclo de reloj. Lo regitro de propóito general e nombran del R al R3. Lo regitro X (formado por lo regitro R26 y R27), Y (formado por lo regitro R28 y R29) y Z (formado por lo regitro R3 y R3) on de 6 bit, y on utilizado como apuntadore para el direccionamiento de dato. Para acceder a la memoria de programa e ua el modo de direccionamiento indirecto en el que e uan tre ciclo de reloj. La Unidad Aritmética Lógica, de la arquitectura ATMega63, no tiene acceo directo a la memoria de programa tal y como e ilutra en la figura 4.. Figura 4.. Arquitectura ATMega63. Como en la gran mayoría de la tarjeta inteligente, la ATMega63 recibe la frecuencia de operación de 3.57 MHz del lector de tarjeta lo cual permite contar con un rendimiento de la tarjeta cercano a lo 3.57 millone de intruccione por egundo. Herramienta de imulación, dearrollo e implantación. Para el dearrollo de la rutina de cifrado directo y cifrado invero del algoritmo Rijndael e ua el conjunto de intruccione diponible para la plataforma ATMega63, e decir, e programa a bajo nivel, o enamblador. Para tal propóito e tiene el ambiente de dearrollo AVR Studio 4, el cual e proporcionado de manera gratuita por la emprea ATMEL. AVR Studio 4 ofrece una plataforma para la imulación del código producido, obre itema operativo Window, para todo lo microproceadore de la familia AVR.

58 Figura 4.2. La herramienta AVR Studio 4. Con AVR Studio 4 e pueden obtener la medicione que on de interé como on: el tiempo de ejecución, el número de ciclo de reloj uado, el tamaño del código y la cantidad de memoria utilizada. Ete ambiente poee batante flexibilidad ya que tiene la opción de etablecer la frecuencia a la que debe trabajar el microproceador de la tarjeta inteligente, lo cual permite tener una imulación apegada a la implantación real. Para comprobar ete punto, e realizaron prueba con el código producido en [] y cuyo método de medición fue ditinto al que e propone en ete trabajo de tei. Lo reultado obtenido con AVR Studio 4 fueron lo mimo que etán reportado en dicha fuente. Sin embargo AVR Studio 4 no cuenta con un compilador propio y requiere apoyare en uno externo. Ademá, el código producido debe etar incorporado en el itema operativo de la tarjeta inteligente, el cual para ete trabajo e el itema operativo SOSSE. Por tal motivo, el compilador avr-gcc reulta er la opción ideal. Ete compilador e de dominio público y u ditribución incluye el paquete AVR Libc que e un ubconjunto de la librería de C etándar para lo microproceadore de la familia AVR de ATMEL. La herramienta AVR Studio 4 y el compilador avr-gcc utilizan diferente directiva a nivel enamblador, por lo que e deben tener en cuenta la conideracione indicada en la tabla 4. para realizar el cambio de verione de código fuente. Directiva en Directiva en avr-gcc AVR Studio 4.am.S.def.et.db.byte.org.balign hi hi.hi8 Lo.lo8 Tabla 4.. Equivalencia de directiva en enamblador entre AVR Studio 4 y avr-gcc.

59 Junto con la tarjeta ATMega63 fue adquirido también por la Univeridad Nacional Autónoma de México el programador por hardware de tarjeta. Ete programador e el MaterCRD2 el cual oporta vario modo de operación. Figura 4.3. El programador MaterCRD2. Lo modo que on de interé para ete trabajo on el Modo 4, que permite la programación de la tarjeta con microproceador AVR de ATMEL a fin de inertar el itema operativo SOSSE y la rutina de cifrado y decifrado del algoritmo Rijndael, y el Modo que permite enviar comando (APDU ) hacia la tarjeta mediante el protocolo T= a una frecuencia de 3.57 MHz. El oftware para cargar el código en la tarjeta e el Mater Burner; ete programa permite eleccionar el tipo de programador, el tipo de tarjeta, el código de programa (SOSSE má el algoritmo Rijndael), y lo dato que reidirán en la memoria EEPROM. Figura 4.4. Software Mater Burner para la programación de tarjeta. Criterio de optimización y dearrollo del algoritmo Rijndael. Generale. La primera deciión importante para lograr lo objetivo de eficiencia y rendimiento de ete trabajo fue la de realizar la implementación del algoritmo Rijndael en lenguaje enamblador. Eto permitirá que e tenga un mayor control obre la lectura y ecritura de dato en memoria y obre la correpondiente manipulación de lo dato dentro de

60 cada una de la operacione del algoritmo. Depué de analizar el conjunto de intruccione de la ATMega63 e optó por mantener el etado del algoritmo de manera permanente en lo regitro de propóito general. Eta etrategia reducirá el tamaño del código y el tiempo de ejecución del programa ya que la operacione Add Round Key, Shift Row, Subtitute Byte, Mix Column y u correpondiente operacione invera pueden er implementada en u mayor parte con intruccione directa obre lo dato de lo regitro. Por lo tanto e diminuirá el número de operacione de lectura y ecritura de reultado temporale a la memoria SRAM. Cifrado directo. La ejecución de la operacione Shift Row y Subtitute Byte e realizará en un olo pao. Eto e factible ya que el orden en que on realizada eta operacione no afecta el reultado final y por lo tanto e logra la reducción del número de ciclo de ejecución. La tabla de búqueda uada por la operación Subtitute Byte e guardará en la memoria Flah ROM. Eta deciión tiene do objetivo: el primero e preervar la memoria SRAM y el egundo e diminuir el tiempo de ejecución ya que el proceo de lectura de un dato en la memoria EEPROM ocupa 3 ciclo de reloj adicionale repecto al proceo de lectura de un dato en la memoria Flah ROM. En la operación Mix Column e requiere implementar una multiplicación de matrice obre el campo de Galoi GF(2 8 ); la multiplicación del coeficiente {2} (polinomio x) y el byte de etado e puede realizar de do forma. En la primera opción, la multiplicación e reuelve a nivel código mediante un imple deplazamiento lógico a la izquierda y con el tratamiento adecuado del poible acarreo, in embargo eta potura tiene la deventaja de no ofrecer un tiempo contante de ejecución ya que éte depende del valor del byte actual que e eté analizando y por lo mimo la implementación podría etar ujeta con mayor facilidad a ataque del tipo que exploten fuga de información. 2 La egunda opción conite en implantar la multiplicación por medio de una tabla de búqueda, lo cual tiene la ventaja de ofrecer un tiempo contante de ejecución a cota de ocupar má epacio en memoria. Amba opcione erán explorada en ete trabajo de tei. Con el propóito de mantener ocupada la menor cantidad de memoria SRAM e uará la variante que conite en el cálculo de cada llave de ronda obre demanda, y que implica el uo permanente de ólo 6 byte durante toda la ejecución de eta rutina. La llave original reidirá también en la memoria Flah ROM y e traladará a la memoria SRAM para el proceo de planificación de llave de ronda. La iguiente figura muetra el diagrama de flujo de la rutina de cifrado directo a implementar con lo bloque principale de la operacione del algoritmo Rijndael. 2 Ataque como SPA (Simple Power Analyi) y DPA (Differential Power Analyi).

61 Texto en claro (28 bit) Llave (28 bit) rijndael_dir (28 bit) add_round_key i= ubtitute_byte hift_row calcula_llave i= SI NO mix_column add_round_key Texto cifrado (28 bit) add_round_key Figura 4.5. Diagrama de flujo de la rutina de cifrado directo. Cifrado invero. La operacione Inv_Shift Row e Inv_Subtitute Byte tienen una lógica de implementación batante imilar a u correpondiente en el cifrado directo por lo que e mantiene u ejecución en un olo pao. Sin embargo Inv_Subtitute Byte requiere de una tabla de búqueda ditinta a la uada por Subtitute Byte; eta tabla también e encontrará en la memoria Flah ROM. El cifrado invero demanda el uo de la llave de ronda en el entido invero, e decir, e ua al principio la última llave de ronda y aí uceivamente. Para reolver la implementación e tienen do opcione:

62 Calcular toda la llave con la mima rutina empleada en el cifrado directo, pero con la variante de almacenarla en memoria SRAM para u poterior uo. Calcular toda la llave con la mima rutina empleada en el cifrado directo y almacenar únicamente la última llave. A partir de ete punto, calcular la llave en el entido invero obre demanda. La primera opción implica que e ocupen 76 byte de la memoria SRAM durante toda la rutina. Eto e aleja del objetivo de contar con una implementación que haga uo eficiente de lo recuro de la tarjeta, por lo que eta olución olamente e va a implementar para reportar el número de ciclo y el tiempo de ejecución utilizado. Con la egunda opción e mantiene el uo de 6 byte olamente de la memoria SRAM pero con la deventaja de realizar un doble proceamiento en la planificación de llave. Obviamente el número de ciclo de reloj y el tiempo de proceamiento aumentarán, in embargo eta penalización no erá demaiada debido a la optimización del código en otro apecto, lo que compenará el reultado final. Por lo tanto eta alternativa e la que tiene má apego a lo objetivo planteado en ete trabajo. Para la operación Inv_Mix Column e tiene que la matriz correpondiente etá compueta por lo coeficiente {9}, {E}, {B} y {D}. En eta condición, la implementación de la multiplicación correpondiente obre el campo de Galoi GF(2 8 ) reulta lenta para arquitectura de 8 bit. Sin embargo en [] e preenta la relación exitente entre el polinomio c(x) uado en Mix Column y el polinomio d(x) uado en Inv_Mix Column y que en forma matricial e exprea de la iguiente manera: E B D 9 9 E B D D 9 E B B D 9 E = Figura 4.6. Relación exitente entre lo polinomio c(x) y d(x). Eta relación permite que la operación Inv_Mix Column e implemente por medio de una etapa de preproceamiento, eguida de la operación Mix Column, lo cual permitirá que e aproveche una parte del código creado para el cifrado directo. Cabe mencionar que olamente e implantará la operación Inv_Mix Column por medio de una tabla de búqueda, ya que i e toma la opción de uar olamente la intruccione del microproceador, e tendría un código demaiado grande debido a la gran cantidad de condicione y alto empleado para el manejo de lo acarreo. La tabla e la mima uada en la operación Mix Column. La iguiente figura muetra el diagrama de flujo de la rutina de cifrado invero a implementar con lo bloque principale de la operacione del algoritmo Rijndael.

63 Texto cifrado (28 bit) Llave (28 bit) rijndael_inv (28 bit) calcula_ultima_llave i= add_round_key ubtitute_byte hift_row calcula_llave add_round_key i= SI NO pre_mix_column mix_column Texto en claro (28 bit) Figura 4.7. Diagrama de flujo de la rutina de cifrado invero. Integración del algoritmo en el itema operativo SOSSE. Decripción y etructura. El itema operativo SOSSE (Simple Operating Sytem for Smartcard Education) 3 e de dominio público 4 y fue dearrollado primordialmente para propóito de educación e invetigación. El oporte de SOSSE olamente tiene cobertura para todo lo 3 Dearrollado por Matthia Brüetle 4 Diponible en

64 microproceadore de la familia AVR. Con SOSSE e tiene acceo a u código fuente lo que permite hacer la modificacione necearia para integrar la rutina dearrollada. Ete itema operativo e encarga de toda la funcionalidad de la tarjeta y etá ecrito en u mayoría, en lenguaje C; la excepción on alguna rutina que e encargan de lo apecto de bajo nivel y que forman una capa de abtracción (Hardware Abtraction Layer) que facilita la incorporación de nuevo comando. La etructura general de SOSSE e la iguiente: Sitema de archivo. El itema operativo SOSSE cuenta con un itema de archivo jerárquico. Capa de abtracción de hardware. Etá formada por el conjunto de funcione para tranmiión y recepción de dato mediante el protocolo T=. Módulo de comando. Contiene todo lo comando reponable de ejecutar la intruccione recibida del lector. Eta funcione realizan tarea epecífica y u reultado etablecen el etado de la tarjeta y envían la APDU de repueta hacia el lector. Módulo de autenticación. Conta de funcione para el control de acceo hacia lo archivo y para el uo de un PIN (Peronal Identification Number) y de un proceo de reto y repueta (Challenge-Repone). Módulo de control. Funciona como un ciclo continuo en el que e etá en epera de lo comando a ejecutar. Inerción del algoritmo Rijndael en SOSSE. Una vez que ya e tiene el código del algoritmo Rijndael con la directiva en enamblador de avr-gcc, e tiene la poibilidad de integrarlo en el itema operativo SOSSE. El iguiente diagrama irve de referencia para entender la forma en que e tendrá la interacción entre el itema anfitrión, el lector y la Tarjeta Inteligente. Sitema Anfitrión Interfaz de comunicación Lector comando (APDU) T= Tarjeta repueta (APDU) Figura 4.8. Interacción entre itema anfitrión, lector y tarjeta inteligente. La interfaz de comunicación entre el itema anfitrión y el lector conite de un manejador tipo PC/SC (Peronal Computer/Smart Card) lo que permite la interacción tranparente entre computadora peronale y tarjeta. Para ete trabajo e utilizó el

65 manejador PC/SC genérico Dumbmoue driver 5. Figura 4.9. El manejador PC/SC. El programa Kobil Smart Card Terminal 6 e uó como aplicación en la cual el uuario ingrea lo comando (APDU ) para indicar el cifrado o decifrado de dato. El dipoitivo MaterCRD2 funciona como el lector de tarjeta mediante el modo de programación. El intercambio de comando y repueta entre el lector y la tarjeta ATMega63 e realiza por medio del protocolo T=. En ete proceo de inerción hubo que tomar en cuenta que el código dearrollado etá en enamblador, el cual debe er llamado por rutina en lenguaje C en el que etá ecrito SOSSE. Por lo tanto e realizaron la iguiente adecuacione en el código: Apego a la convención de llamada a funcione, utilizada en Avr-libc, que conite en que lo argumento on manejado por lo regitro R25 al R8. Por lo tanto e modificó el código para que recibiera el texto en claro, o el texto cifrado, en la dirección contenida en lo regitro R24 y R25, y para que el reultado también e guarde a partir de la mima dirección indicada por eto regitro. Manejo de un olo archivo para el código en enamblador, al cual e le nombró Componente de la olucione del fabricante Kobil Sytem (