Академический Документы
Профессиональный Документы
Культура Документы
v 4.1
Material Docente de
Libre Distribucin
Este archivo forma parte de un curso completo sobre Seguridad Informtica y Criptografa. Se autoriza el
uso, reproduccin en computador y su impresin en papel, slo con fines docentes y/o personales,
respetando los crditos del autor. Queda prohibida su comercializacin, excepto la edicin en venta en el
Departamento de Publicaciones de la Escuela Universitaria de Informtica de la Universidad Politcnica de
Madrid, Espaa.
Curso de Seguridad Informtica y Criptografa JRA
Pgina 2
Pgina 3
Pgina 4
Ms problemas de integridad
d) No repudio del emisor
Cmo comprueba Benito (B) que el mensaje enviado por el emisor
Adela (A) -y que niega haberlo enviado- efectivamente ha llegado?
Pgina 5
Si A enva un mensaje M a B:
A cifra M con la clave KA
EKA(M) y lo enva al juez. Este
comprueba la integridad de A,
lo descifra y enva a B, cifrado
con KB, el mensaje M, la
identidad de A y la firma
EKA(M): EKB{M, A, EKA(M)}.
Ambos confan en el juez y
ante cualquier duda ste puede
comprobar la identidad de A
ante B descifrando EKA(M).
Pgina 6
En este caso la
figura del juez se
conoce como una
Autoridad de
Certificacin
Habr una aceptacin del
sistema de autenticacin, tanto
por convencimiento propio de
los usuarios como por su
confianza en los algoritmos.
Pgina 7
Pgina 8
Pgina 9
Pgina 10
Pgina 11
Pgina 12
M2
Mn
...
E (K,M)
emisor
K
receptor
M1
E (K,M) = Am MR
M2
...
Mn Am
Pgina 13
Pgina 14
Esquema de HMAC
K+
ipad
b bits
b bits
Y0
S1
n bits
IV
K+
Y1
opad
b bits
S0
YL-1
hash
n bits
H(Si||M)
HMACK(M)
n bits
http://csrc.nist.gov/publications/fips/fips198/fips-198a.pdf
Jorge Rami Aguirre
Pgina 15
Pgina 16
Pgina 17
http://www.lsv.ens-cachan.fr/spore/nssk.html
http://www.isi.edu/gost/publications/kerberos-neuman-tso.html
Pgina 18
A KDC:
IDA||IDB||N1
2.
KDC A:
EKA[KS||IDB||N1||EKB[KS||IDA]]
3.
A B:
EKB[KS||IDA]
4.
B A:
EKS[N2]
5.
A B:
EKS[f (N2)]
Qu sucede si no se
realizan los pasos 4 y 5?
Un intruso C podra capturar
el mensaje en el paso 3 y
repetirlo, interfiriendo as las
operaciones de B.
Pgina 19
Pgina 20
A KDC:
IDA||IDB
2.
KDC A:
EKA[KS||IDB||T||EKB[KS||IDA||T]]
3.
A B:
EKB[KS||IDA||T]
4.
B A:
EKS[N1]
5.
A B:
EKS[f (N1)]
1.
A B:
IDA||NA
2.
B KDC:
IDB||NB||EKB[IDA||NA||TB]
3.
KDC A:
EKA[IDB||NA||KS||TB]||EKB[IDA||KS||TB]||NB
4.
A B:
EKB[IDA||KS||TB]||EKS[NB]
Denning
T = Timestamp
| Clock t | < t1 + t2
Tickets
Tickets
Pgina 21
Autenticacin en un sentido
El correo electrnico es un ejemplo de aplicacin que
requiere este tipo de autenticacin:
No es necesario que el emisor y el receptor estn conectados
al mismo tiempo.
El receptor necesita confirmar de alguna forma que el emisor
del mensaje es quien dice ser.
1.
A KDC:
IDA||IDB||N1
2.
KDC A:
EKA[KS||IDB||N1||EKB[KS||IDA]]
3.
A B:
EKB[KS||IDA]||EKS[M]
Pgina 22
Pgina 23
Pgina 24
Pgina 25
Pgina 26
Pgina 27
KDC
kA
A
kB
B
Pgina 28
Pgina 29
Pgina 30
Pgina 31
Pgina 32
Esta ltima
propiedad es
muy importante
pues protege ante
la falsificacin
de los mensajes
Pgina 33
http://research.microsoft.com/users/lamport/
http://www.deas.harvard.edu/ourfaculty/profile/Michael_Rabin
Pgina 34
(con j = 1, ..., q)
Pgina 35
Pgina 36
Problema:
Los sistemas de cifra asimtricos son muy lentos y el mensaje
podra tener miles o millones de bytes ...
Solucin:
Se genera un resumen del mensaje, representativo del mismo, con
una funcin hash imposible de invertir. La funcin hash comprime
un mensaje de longitud variable a uno de longitud fija y pequea.
Jorge Rami Aguirre
Pgina 37
Adela
Benito
http://www.enstimac.fr/Perl/perl5.6.1/site_perl/5.6.1/Crypt/RSA.html
Jorge Rami Aguirre
Pgina 38
Pgina 39
Benito
Claves Benito
nB = 65.669
eB = 35, dB = 53.771
Adela
Claves Adela
nA = 66.331
eA = 25, dA = 18.377
Pgina 40
Benito
Claves Benito
Claves Adela
nB = 65.669
eB = 35, dB = 53.771
nA = 66.331
eA = 25, dA = 18.377
Adela
Pgina 41
Si ahora M3 = M1M2:
Pgina 42
Firma de M2:
Pgina 43
Adela
Firma:(r,
(r,s)s)
Firma:
Algoritmo de firma:
1 El usuario A genera un nmero aleatorio h, que ser primo
relativo con (p): h / mcd {h, (p)} = 1
2 Calcula h-1 = inv {h, (p)} M
M==ar
ar++hs
hsmod
mod(p)
(p)
(M--ar)inv[h,(p)
ar)inv[h,(p)mod
mod(p)
(p)
ss==(M
3 Calcula r = h mod p
4 Resuelve la siguiente congruencia:
http://www.math.clemson.edu/faculty/Gao/crypto_mod/node5.html
Jorge Rami Aguirre
Pgina 44
Pgina 45
Firma
Claves Benito
pB = 79.903 = 10
b mod p = 3.631
b = 20, h = 31
Adela
Pgina 46
pB = 79.903 = 10
b mod p = 3.631
b = 20, h = 31
Benito
Comprobacin de la firma:
1) rs mod p = 11.75568.539 mod 79.903 = 66.404
Pgina 47
Benito
pB = 79.903 = 10
b mod p = 3.631
b = 20,
h = 31
= 10 es un generador
del cuerpo p = 79.903
puesto que:
1039.951 mod 79.903 = 79.902
1026.634 mod 79.903 = 71.324
103.474 mod 79.903 = 2.631
10414 mod 79.903 = 41.829
Pgina 48
Pgina 49
Pgina 50
Pgina 51
Pgina 52
Pgina 53
Claves Benito
mod p = 30
g = 19 genera = 17.
Firma
1)
2)
3)
4)
5)
x = 25;
k = 12
Adela
Como se firmar
sobre valores de qB,
los mensajes a firmar
sern 0 h(M) 36.
Pgina 54
I gu
Comprobacin de la firma
alda
Benito
pB = 223; qB = 37; = 17
y = x mod p = 30
x = 25; k = 12
Adela
En caso afirmativo,
se acepta la firma
Y el tamao ser
menor que qB = 37 es
decir << pB = 223 que
era precisamente el
punto dbil del
sistema de ElGamal.
Pgina 55
Pgina 56
Pgina 57
Claves Benito
Adela
pB = 223; qB = 37; = 17
y = x mod p = 30
Firma
x = 25; k = 12
1) inv (k, q) = inv (12, 37) = 34
2) r = (x mod p) mod q = (1712 mod 223) mod 37 = 171 mod 37 = 23
3) s = [h(M)+br][inv (k,q)] mod q = [17+2523]34 mod 37 = 0
4) La firma digital de h(M) = 17 sera: (r, s) = (23, 0) ...
Como es obvio si h(M) = 17 + KqB, es decir 17, 54, 91, 128, 165, 202 ...
caemos en un cuerpo de equivalencia en mod qB y se repite esta situacin.
Fin del captulo
Jorge Rami Aguirre
Pgina 58
SIMTRICAS
Claves: una clave secreta para
ambos comunicantes.
Cifrado: en bloque y en flujo.
Tasas de cifra: MB/seg.
Fiabilidad: baja; necesario un
intercambio previo de clave.
Vida de la clave: efmera, onetime pad, segundos, minutos.
Algoritmos: Rabin, Desmedt,
Matyas-Meyer, Lamport-Diffie.
ASIMTRICAS
Claves: comunicantes con
claves secreta y pblica.
Cifrado: slo bloque.
Tasas de cifra: KB/seg.
Fiabilidad: alta; no necesita
intercambio previo de clave.
Vida de la clave: duradera, se
repite, meses, un ao.
Algoritmos: RSA, ElGamal,
DSS, Rabin, curvas elpticas.
Pgina 59
Cuestiones y ejercicios (1 de 2)
1. Por qu cree que un escenario de integridad en la que hay siempre
una tercera parte de confianza activa no sera adecuado en Internet?
2. Si una Autoridad de Certificacin es la tercera parte de confianza,
acta de forma activa o pasiva en la comunicacin? Explquelo.
3. Qu importancia tiene la redundancia del lenguaje en un sistema
de autenticacin? Qu sucedera si no hubiese esa redundancia?
4. Hacemos una autenticacin de mensaje mediante un MAC en el que
el algoritmo es DES. Sera acertado usar modo ECB? Por qu?
5. En un sistema de autenticacin mediante Kerberos, cmo sabe el
que comienza el protocolo (A) que no hay un impostor que intenta
suplantarle? Cmo sabe el que comienza el protocolo (A) que el
segundo usuario (B) o elemento del sistema ha recibido bien la
clave de sesin entregada por el centro de distribucin de claves
KDC?
Jorge Rami Aguirre
Pgina 60
Cuestiones y ejercicios (2 de 2)
6.
Pgina 61
Pgina 62
12.
13.
14.
15.
Para la clave p = 37, q = 53; e = 25, firme el mensaje M = Por este trabajo
le pagaremos 1.000,00 Euros. Compruebe la firma.
Modifique el texto en claro y cambie 1.000,00 por 9.000,00. Vuelva ahora
a comprobar la firma y comente qu ha sucedido y porqu.
FIRMA ELGAMAL. Con la clave p = 19, = 10, x = 7, k = 5, compruebe
que las firmas de todos los valores de cuerpo {0, 1, ..., 18} son valores
distintos y no puede haber firmas iguales para mensajes distintos.
Qu sucede si supone un generador = 4? Qu hace el programa?
Se observa el mismo problema de mensajes no firmables que en RSA?
Existe algo que le llame la atencin? Si no, vea la siguiente pregunta.
Genere claves de firma para p = 11, p = 13, p = 17, p = 23, p = 29, p = 37;
y compruebe que la firma del mensaje 0 y p-1 siempre es el mismo valor y
que precisamente no aparece entre los restos de firma el valor p-1.
Con una de esas claves firme M = Esta es otra firma. Compruebe la firma.
Pgina 63