Criptografía Asimétrica. Previos

Transcripción

1 Criptografía Asimétrica Previos Se define el operador aritmética mód así: a b(mód n) si a = b + kn para algún entero k. (Nota: la función de librería mod(), o el operador % en el lenguaje C, no siempre siguen la definición precisa.) Aritmética modular es conmutativa, asociativa y distributiva. Además: (a + b) mód n = ((a mód n) + (b mód n)) mód n (a b) mód n = ((a mód n) (b mód n)) mód n ab mód n = ((a mód n)(b mód n)) mód n (a(b + c)) mód n = ((ab mód n) + (ac mód n)) mód n Una operación criptográfica común es la exponenciación modular, a x mód n, ej.: a 9 mód n = (((a 2 ) mód n) 2 mód n) 2 mód n)a mód n 28 de junio de 2002 Criptografía Asimétrica-1

2 Un número primo es un entero mayor que 1 cuyos únicos factores son 1 y él mismo. Hay una cantidad infinita de primos. Los de interés para la criptografía son números grandes (512 bits o más). a y n son relativamente primos si no tienen factores en común sino 1, o sea que gcd(a, n) = 1. Calcular gcd(a, n) es fácil usando el conocido Algoritmo de Euclídes. a y b son inversos multiplicativos si ab mód n = 1 (o ab 1(mód n)). El inverso de a se escribe a 1. No siempre existe. En general: si a y n no son relativamente primos, entonces a 1 x(mód n) no tiene solución. Si lo son, puede haber más de una solución. Para garantizar una solución única, basta que n sea primo. En general, encontrar un inverso es más costoso que gcd, pero todavía es tratable. Teorema: si m es primo, y no es un factor de a, entonces a m 1 1(mód m) Esto se conoce como El Pequeño Teorema de Fermat. La función indicatriz de Euler (totient function), φ(n), es el número de enteros menores que n que sean relativamente primos a n. Si n es primo, φ(n) = n 1. Si n = pq, donde p y q son primos, entonces φ(n) = (p 1)(q 1). Si gcd(a, n) = 1, a φ(n) mód n = de junio de 2002 Criptografía Asimétrica-2

3 Factorización El problema de la factorización es el de hallar los factores primos de un entero n. Un resultado básico es que tal factorización es única para cada n. Esto se conoce como El Teorema Fundamental de la Aritmética. La complejidad de la factorización es mucho mayor que la de la multiplicación. El método ingénuo es probar todos los primos menores que n, pero el número de posibles candidatos es aproximadamente n ln n. Sin embargo, el área es extremadamente activo, y varios algoritmos novedosos se han inventado en los últimos años: Criba Cuadrática (Quadratic Sieve o QS): el mejor método para números de menos que 110 dígitos (decimales). Las mejores versiones tienen complejidad temporal asimptótica de e (1+O(1))(ln n)1 2 (ln ln n) 1 2 Criba de Cuerpo Numérico (Number Field Sieve o NFS): el mejor conocido para más de 110 dígitos. La complejidad asimptótica se estima en e (1,923+O(1))(ln n)1 3 (ln ln n) de junio de 2002 Criptografía Asimétrica-3

4 Algunos Números... En 1970, se logró factorizar un número dificil de 41 dígitos (dificil quiere decir que no tiene factores pequeños). En 1993 se factorizó un número dificil de 120 dígitos usando QS. El cálculo tardó tres meses y usó 825 Mips-años de poder de cómputo. En 1994, una variante del QS se usó para factorizar RSA-129 (un reto de RSA Data Security, Inc., de 129 dígitos). Lo hizo un equipo de 600 personas y 1600 máquinas en el Internet (incluyendo recursos del LDC/USB), estimado en 4000 a 6000 Mips-años. Se piensa que el método NFS sería 10 veces más rápido. 28 de junio de 2002 Criptografía Asimétrica-4

5 Más Números... Los algoritmos asimétricos importantes usan número primos grandes. Algunas preguntas: Si todo el mundo necesita un número primo aleatorio, hay suficientes para que no colidan? Hay aproximadamente primos de 512 bits. Si cada átomo en el universo necesitara 10 9 primos nuevos cada µsegundo desde el comienzo del universo hasta ahora, sólo se necesitarían primos casi sobran... Si alguien crea una base de datos de todos los primos, no podría usarla para atacar al criptosistema? Sí, pero si pudieramos guardar 1 Gb en un disco de 1 gramo de peso, la lista de primos de sólo 512 bits sería tan pesado que la base de datos se convertiría en un abismo negro de junio de 2002 Criptografía Asimétrica-5

6 Generación de Primos Si la factorización es dificil, cómo encontramos primos aleatorios grandes? Resulta que la determinación de primalidad es mucho más fácil que la factorización. Varios métodos probabilísticos se han inventado. Uno de los mejores es el de Rabin y Miller: 1. Escoger un candidato p. Calcular b, el número de veces que 2 divide a p 1. Calcular m, tal que p = b m 2. Escoger un número aleatorio, a < p 3. Inicializar j 0 y z a m mód p 4. Si z = 1 o z = p 1, entonces p podría ser primo 5. Si j > 0 y z = 1, p no es primo 6. j j + 1. Si j < b y z p 1, entonces z z 2 mód p y repetir el paso anterior. En cambio, si z = p 1, p podría ser primo 7. Si j = b y z p 1, entonces p no es primo Si la prueba no falla para un valor determinado de a, éste se llama un testigo. Se puede mostrar que la probabilidad de que p sea compuesto (no primo) es no mayor que 1 4. Si repetimos con t testigos, esa probabilidad se reduce a 1 4 t. 28 de junio de 2002 Criptografía Asimétrica-6

7 En la práctica, se hace esto: El Mundo Real 1. Generar un p de n bits, al azar. 2. Forzar el primero y último bit de p a que sean Prueba divisiones con primos pequeños (ej. hasta 2000). Simplemente probando con 3, 5 y 7 elimina 54 % de los números impares. Siguiendo hasta 256 elimina 80 %. 4. Realizar la prueba Rabin-Miller para 5 valores pequeños de a 5. Si p falla, escoja otro y empezar de nuevo. A veces necesitamos n = pq, donde p y q son primos fuertes, es decir que n no es fácil factorizar. Algunas propiedades que se han recomendado en la literatura: Que gcd(p 1, q 1) sea pequeño Que p 1 y q 1 tengan factores primos grandes, p y q Que p 1 y q 1, p + 1 y q + 1 tengan factores primos grandes Que (p 1)/2 y (q 1)/2 sean primos (implica las primeras dos condiciones) Tambien hay argumentos en contra de estas tácticas (ej. los primos no son tan aleatorios). 28 de junio de 2002 Criptografía Asimétrica-7

8 El Sistema RSA En 1978 Rivest, Shamir y Adleman publicaron su algoritmo, conocido como RSA. Sigue siendo el algoritmo de encriptamiento con claves públicas de mayor aceptación. RSA es un esquema de bloque, en que los mensajes de representan como enteros en el rango 0... n. Encriptar y decriptar son: C = M e mód n M = C d mód n = (M e ) d mód n = M ed mód n La clave pública consiste del par (e, n). La clave privada es (d, n). Para que funcione el sistema, se quiere: Que sea fácil hallar e, d, n tal que M ed = M (mód n) M < n Que sea dificil hallar d a partir de e y n 28 de junio de 2002 Criptografía Asimétrica-8

9 Recordamos el Teorema de Euler: a φ(n) 1 mód n para a y n relativamente primos, y además para n = pq, p y q primos, φ(n) = (p 1)(q 1). Esto implica que m k(p 1)(q 1)+1 m mód n para cualquier k. Entonces una posibilidad es escoger e y d tal que ed = kφ(n) + 1, es decir que ed 1 mód φ(n), o e d 1 mód φ(n) O sea, e y d son inversos multiplicativos mód φ(n). Ahora el sistema RSA consiste de: Bob escoge p, q primos, y calcula n = pq, ej. p = 7, q = 17, n = 119 Bob calcula φ(n) = (p 1)(q 1) = 96 Bob escoge e < φ(n) tal que gcd(e, φ(n)) = 1, ej. e = 5 (en la práctica e puede ser pequeño sin ningún problema). Bob calcula d = e 1 mód φ(n) = 77 (porque 77 5 = 385 = ). La clave pública de Bob es (5, 119) y su clave privada es (77, 119) Alicia quiere mandar el mensaje M = 19. Encripta: C = 19 5 mód 119 = 66. Bob decripta: M=66 77 mód 119 = de junio de 2002 Criptografía Asimétrica-9

10 Seguridad de RSA Para atacar a un sistema RSA, Manuel tiene varias opciones: Probar todas las claves posibles. Pero: Se supone que esto no es práctico (p y q tienen en el orden de cientos de dígitos c/u). Tratar de factorizar n. Esto le permite hallar p y q, y por lo tanto φ(n). Como ya conoce e, puede repetir el cálculo de Bob para determinar d. Pero: Factorización parece ser dificil. Determinar φ(n) directamente, sin p y q, o determinar d directamente, sin φ(n). Pero: No se conoce ningún método. Es más, se ha demostrado que cualquier método que logre hacer esto puede ser usado para factorizar, es decir es por lo menos tan difícil como la factorización. Los esfuerzos para atacar a RSA se concentran en la factorización. 28 de junio de 2002 Criptografía Asimétrica-10

11 Precauciones Respecto a RSA Si Manuel obtiene un par (e, d) para un n determinado, le es más factible factorizar n, o atacar a otros pares sin tener que factorizar n. Por lo tanto, no se debe usar un n común entre un grupo de usuarios. Es razonable usar valores pequeños para e, ej. 3, 17, (todos tienen sólo dos bits en 1, lo cual facilita la exponenciación). Sin embargo, RSA es vulnerable si m e mód n = m. En estos casos los mensajes deben tener relleno (padding) con valores aleatorios. Escoger un valor grande para d. Algunos pares (p, q) pueden dar claves para las cuales ((... (M e mód n) e mód n) e...) e mód n = M) despues de pocas iteraciones. De hecho, para cualquier par (p, q) existen al menos 9 mensajes tales que M = M e mód n! 28 de junio de 2002 Criptografía Asimétrica-11

12 Logaritmos Discretos A diferencia de los sistemas basados en factorización, se aprovecha la dificultad de computar logaritmos discretos. Algunos métodos se basan en aritmética normal, mientras otros usan curvas elípticas. Nos limitamos al caso normal: Sea p un primo, y a un entero tal que a mód p, a 2 mód p,... a p 1 mód p sean todos distintos y consisten de los enteros de 1 a p 1 en alguna permutación. En este caso, a se llama una raíz primitiva de p. Por ejemplo, para p = 7 y a = 5: 5 2 mód 7 = mód 7 = mód 7 = 4 5 mód 7 = mód 7 = mód 7 = 4 4 mód 7 = 2 etc. Entonces, dado el entero b, el valor de i (0 i p 1), tal que b = a i mód p se llama el logaritmo discreto de b para la base a módulo p. El logaritmo discreto de b es único y calcularlo es por lo menos tan dificil como la factorización (el converso no se ha demostrado). Un algoritmo eficiente tiene complejidad temporal e ((ln p)1 3 ln(ln p)) de junio de 2002 Criptografía Asimétrica-12

13 El artículo original que introduce el concepto de algoritmo asimétrico tambien presentó un algoritmo que permite a Alicia y Bob intercambiar una clave de sesión sin que exista un secreto compartido (como una clave) antes de comenzar. Se conoce como Diffie-Hellman key exchange. Una analogía sería la siguiente: Alicia quiere enviar un mensaje (escrito) a Bob, a través de un mensajero en que no confia. Lo encierre en una caja con un candado al cual sólo ella tiene la llave. El mensajero lo entrega a Bob, quien agrega su propio candado, al cual sólo él tiene la llave. El mensajero lo devuelve a Alicia, quien quita su candado. Cuando regresa a Bob, él quita el suyo y abre la caja. Matemáticamente, podemos lograr lo mismo con cualquier función de encriptamiento que comuta. Es decir: {{M} KA } KB = {{M} KB } KA 28 de junio de 2002 Criptografía Asimétrica-13

14 Concretamente, el método de Diffie y Hellman es el siguiente: Sea q un primo, y α una raíz primitiva de q. Ambos son públicos y conocidos previamente. Alicia escoge un entero aleatorio X A < q y calcula Y A = α X A mód q. Bob escoge X B < q y calcula Y B = α X B mód q. Alicia manda Y A a Bob, y Bob manda Y B a Alicia. Alicia calcula K A = (Y B ) X A mód q, y Bob calcula K B = (Y A ) X B mód q. Las dos K son iguales: K A = (Y B ) X A mód q = (α X B mód q) X A mód q = (α X B ) X A mód q = α X AX B mód q =... = (Y A ) X B mód q = K B Manuel sólo dispone de q, α, Y A, yy B. Para encontrar X B, por ejemplo, tendría que calcular el logaritmo discreto de Y B para la base α módulo q. Este método es usado en varias aplicaciones prácticas, incluyendo Secure RPC y Secure Session Layer (SSL), pero con otros elementos para evitar ataques tipo Man in the Middle. 28 de junio de 2002 Criptografía Asimétrica-14