Академический Документы
Профессиональный Документы
Культура Документы
Introduccin al Criptoanlisis
Introduccin al Criptoanlisis
Roberto Gmez Crdenas rogomez@itesm.mx
Lmina 1
Un punto de vista
Breaking a cipher doesn't necessarily mean finding a practical way for an eavesdropper to recover the plaintext from just the ciphertext In academic cryptography the ciphertext. cryptography, rules are relaxed considerably. Breaking a cipher simply means finding a weakness in the cipher that can be exploited with a complexity less than brute-force. Never mind that brute-force might require 2128 encryptions; an atack requiring 2110 encryptions would be considered a break. Breaks might also require unrealistic amounts of known or chosen plaintext -- 256 blocks or unrealistic amounts of p storage: 280.Simply put, a break can just be a "certificational weakness": evidence that the cipher does not perform as advertised. --Bruce Schneier; from his "Self-Study Course in Block Cipher Cryptanalysis"
Lmina 2 Dr. Roberto Gmez Crdenas
Criptologia
Introduccin al Criptoanlisis
Lmina 3
Se busca por
texto claro o llave
Ejemplo
Anlisis de frecuencia en el criptograma
Lmina 4
Criptologia
Introduccin al Criptoanlisis
Known-Plaintext Attack
Dado:
criptograma un fragmento del texto claro
Se busca por
resto texto claro o llave
Ejemplo
Bsqueda exhaustiva de llave (ataque de fuerza bruta)
llaves sucesivas
criptograma
Lmina 5
Ataques contraseas
Ataques por diccionario Ataques por fuerza bruta
Lmina 6
Criptologia
Introduccin al Criptoanlisis
Una alternativa
Calcular todos los valores hash generados al cifrar todas las posibles contraseas y almacenarlos en una tabla. Una vez construida, un atacante solo tendra que consultar la tabla para encontrar la contrasea asociada a un hash.
Lmina 7
Dos problemitas
El tiempo que toma llevar a cabo todo el clculo
Computo paralelo o distribuido
El espacio de almacenamiento
Almacenar solo una parte de toda la informacin, de tal forma que a partir de una q p almacenada se deduzca una no almacenada
Lmina 8
Criptologia
Introduccin al Criptoanlisis
Generando cadenas
Textos planos Texto Plano Inicial H R1 H R2 H R3 H Hash
Hash final
Lmina 9 Dr. Roberto Gmez Crdenas
Al final
Hashes H h finales
Lmina 10
iaisudhiu -> 4259cc34599c530b1e4a8f225d665802 oxcvioix -> c744b1716cbf8d4dd0ff4ce31a177151 9da8dasf -> 3cd696a8571a843cda453a229d741843 [...] sodifo8sf -> 7ad7d6fa6bb4fd28ab98b3dd33261e8f Crdenas Dr. Roberto Gmez
Criptologia
Introduccin al Criptoanlisis
Un ejemplo
hotel H 8rt1 R1 x78a H toto t t H Texto plano
Lmina 11
casino H
nikko H
tele H
h12
algo
carro R1
paris
2ki
w234 234 R1
secreto t
vodka dk
l1i
La bsqueda
ty223 hotel h t l algo h12 g31j 2ki l1i H vodka R2 ty223 cachafas R3 ty223
toto
l1i
toto H
w234 R1
secreto H
ty223
Lmina 12
Texto plano
Hash
Dr. Roberto Gmez Crdenas
Criptologia
Introduccin al Criptoanlisis
Lmina 13
Implementaciones
El proyecto RainbowCrack
http://www.antsight.com/zsl/rainbowcrack
La herramienta Ophcrack
SourceForge http://ophcrack.sourceforge.net/es.index.php
Lmina 14
Criptologia
Introduccin al Criptoanlisis
Por qu arcoiris?
Cada una de las columnas usa una funcin de reduccin diferente. Si cada funcin reduccin fuera de un color diferente y el texto plano se pone en la parte superior y el hash abajo abajo.
Se vera como un arcoiris
Lmina 15
Observaciones
Aun se requiere de espacio
P Pero no t t como el de fuerza bruta tanto ld f b t
Criptologia
Introduccin al Criptoanlisis
Se busca por
llave Mi M*i
Ejemplo
Criptoanlisis diferencial
i=1,...N
mdulo encripcin
Ci
Lmina 17
Ci
Dr. Roberto Gmez Crdenas
E(X) K
E(X*) K
P(S(E(X*) K))
Dr. Roberto Gmez Crdenas
Criptologia
Introduccin al Criptoanlisis
Timing attack
Descubierto por Paul Kocher Atacante cuenta con medidas de tiempo ( p (obtenidas a travs de fisgoneo) y elige varios criptogramas c1, c2, ... cn Objetivo
deducir llave secreta K por ejemplo: RSA, atacante hace que objetivo calcule ce mod n, para descubrir e
Toma ventaja de la lentitud de calculo de la llave pblica Velocidad de los clculos depende de la llave de encripcin clc los lla e y de los datos de entrada Para algunos algoritmos, algunos bits de la llave pueden ser adivinados observando el tiempo del procesador cuando esta haciendo los clculos de la llave secreta
Lmina 19 Dr. Roberto Gmez Crdenas
Otros ataques
Chosen-key attack
similar a criptoanlisis diferencial, pero examina diferencias entre las llaves atacante elige una relacin entre llaves, pero no conoce la llave independiente del nmero de iteraciones de encripcin no es un ataque prctico, pero es interesante
Rubber-hose cryptoanalysis
threats, blackmails, torturas hasta que se obtiene la llave soborno, tambin conocido como purchase-key attack mejor forma de romper un algoritmo y la ms efectiva
Lmina 20 Dr. Roberto Gmez Crdenas
10
Criptologia
Introduccin al Criptoanlisis
Lmina 21
Birthday attack
Es un problema de tipo estadstico. k Cul es el valor mnimo de k, para que la probabilidad de que al menos una persona, en un grupo de k gentes, cumpla aos el mismo da que usted, sea mayor a 0.5?
Respuesta: 253
Cul es el valor mnimo de k, para que la probabilidad de que al menos dos personas, en un b bilid d d l d grupo de k gentes, cumplan aos el mismo da, sea mayor a 0.5?
Respuesta: 23
Lmina 22 Dr. Roberto Gmez Crdenas
11
Criptologia
Introduccin al Criptoanlisis
Lmina 23
Es complejo el ataque?
Asumir funcin hash produce una salida de m bits y se almacena en x. x Encontrar un mensaje cuyo valor hash sea igual a x, requiere aplicar la funcin a 2m mensajes. Encontrar dos mensajes cuyo valor hash sea igual a x, requiere aplicar la funcin a 2m/2 mensajes. Una mquina que procese un milln de mensajes por segundo tomara 600,000 aos para encontrar un mensaje que colisione con un valor hash de 64 bits.
Lmina 24 Dr. Roberto Gmez Crdenas
12
Criptologia
Introduccin al Criptoanlisis
Sin embargo
Algunas vulnerabilidades se han encontrado
Conferencia Crypto 2004
Multicollisions in iterated hash functions. Application to cascaded constructions , Antoine Joux Collisions for Hash Functions MD4, MD5, HAVAL-128 and RIPEMD Xiaoyun Wang 1 , RIPEMD, Dengguo Feng 2 , Xuejia Lai 3 , Hongbo Yu 1 Near-Collisions of SHA-0 Eli Biham and Rafi Chen
Lmina 25 Dr. Roberto Gmez Crdenas
MD5 = 79 05 40 25 25 5f b1 a2 6e 4b c4 22 ae f5 4e b4
Lmina 26 Dr. Roberto Gmez Crdenas
13
Criptologia
Introduccin al Criptoanlisis
14
Criptologia
Introduccin al Criptoanlisis
Certificados C1 y C2 X.509
Lmina 29
15
Criptologia
Introduccin al Criptoanlisis
Lmina 31
MD5 = a25f7f0b29ee0b3968c860738533a4b9
Finalmente el NIST publica una nota de prensa el 23 de enero 2007 con un borrador para nuevo estndar en hash. El 30 de abril se cerr el plazo para envo de comentarios. Se espera que est operativo para 2009, aunque otros lo ponen ms lejos... y los ms escpticos dicen que habr que cambiar de estndar cada 5 aos...
Lmina 32 Dr. Roberto Gmez Crdenas
16
Criptologia
Introduccin al Criptoanlisis
Pginas relacionadas
Artculo colisiones de Arturo Quirantes en Kriptpolis
http://www kriptopolis org/sha-1-y-las-colisiones-dehttp://www.kriptopolis.org/sha-1-y-las-colisiones-decumpleanos
Lmina 33
17