Criptografía y Certificación Digitalwpereira/docencia/seguridad/... · Ganó algoritmo de Rijmen y Daemen que subtituye a DES ... Ejemplo de RSA ... Dependiente del Departamento

Universidad Simón Bolívar Prof. Wílmer Pereira Universidad Católica Andrés Bello

Criptografía y Certificación Criptografía y Certificación DigitalDigital

Prof. Wílmer Pereira

USB / UCAB / UCV


TemarioTemario

•Criptografía

– Confidencialidad, Integridad, Autentificación y no Repudio

– Algoritmos de clave simétrica y clave pública

– Firma digital

– Principios de Certificación

– Autoridades certificadoras


Técnica para ocultar y así proteger informaciónmientras permanece en disco o mientras está en tránsito

Técnica para ocultar y así proteger informaciónmientras permanece en disco o mientras está en tránsito

Hay tres momentos claves en la historia de la criptografía

CriptografíaCriptografía

Dependiente del algoritmo

Código CesarEsteganografía

Dependiente de una clave simétricaCifrado Vigénere y Cuaderno de uso únicoEnigma

Bletchley Park (Colossus)Purpura y JN-25DES y AES

Dependiente de dos claves (publica y privada)Diffie-HellmanRSA (Rivest-Shamir-Adleman)


Enigma y purpuraEnigma y purpura


Codigo VigenèreCodigo Vigenère

Mensaje original: Paris vaut bien une messeMensaje modificado: ParisvautbienunemesseClave: louplouplouplouplouplCriptograma: bpmyelvlfqduykiuxto


Técnicas básica de criptografíaTécnicas básica de criptografía

Substitución:

Cambia un carácter por uno o varios caracteres

M U R C I E L A G O 0 1 2 3 4 5 6 7 8 9

Hola como estas H967 3909 5ST7SEstas técnicas por si solasno son suficientes pues si el algoritmo es conocido se pierde el secreto del mecanismo de cifrado

Transposición:

Sobre una matriz se intercambian filas porcolumnas

hola como hcesooslmtaoa esta s


Clave compartida donde reside todo el secreto pues el algoritmo es bien conocido. Mezcla substitución + transposición

Clave compartida donde reside todo el secreto pues el algoritmo es bien conocido. Mezcla substitución + transposición

Premisas:

Texto en claro XTexto cifrado YK Clave compartidaEK(Z) Cifrar Z con KE-1

K(Z) Descifrar Z con K

X XY

A B

Y=EK(X)

K

X=E-1K(Y)

K

Criptografía de Clave SimétricaCriptografía de Clave Simétrica


DES: Nace de un standard IBMy adoptado por el la DoD Gratuito y debería substituirse por AES.Sólo claves de 56 bits y por ello se usa tripleDES

IDEA: Patentado en Suiza y propiedad de ASComtechClaves de 128 bits por lo que es más seguro

RC2: Secreto comercial, divulgado por Internet en 1996Claves hasta 2048 bits aunque sólo 40 fuera de USA

AES: Licitación pública de 15 candidatos en el 2000Ganó algoritmo de Rijmen y Daemen que subtituye a DES

Algoritmos de Clave SimétricaAlgoritmos de Clave Simétrica

Mientras más grande es la clave más difícil de romper con fuerza brutaClave 40 bits ≈ 1012 claves posibles, procesa 1 clave/μseg

Clave 128 bits ≈ 1038 claves posibles, procesa 1 clave/μseg

→ 11 días

→ 1,01x1010 siglos

Si 109 computadores → 1013 años


Se basa en dos claves una pública expuesta y una privada bien resguardadaCada clave se puede usar tanto para encriptar como para desencriptar

Se basa en dos claves una pública expuesta y una privada bien resguardadaCada clave se puede usar tanto para encriptar como para desencriptar

Texto en claro X Texto cifrado Y Ku

A Clave pública de A

KiA Clave privada de A

EKuA(Z) Cifrar Z con la clave pública de A E-1

KuA(Z) Descifrar Z con la clave pública de A

Problemas del cifrado simétrico:Proliferación de clavesIntercambio inicial de la clave vía red complica el procedimiento

Criptografía de Clave PublicaCriptografía de Clave Publica


X XY BA

Y=EKuB(X) X=E-1KiB

(Y)

KiA

KiB

KuA

KuB

Confidencialidad con Clave PúblicaConfidencialidad con Clave Pública

Intruso tiene:Texto cifradoClaves públicas de A y B

No puede obtener el texto en claro


X XY BA

Y=EKiA(X) X=E-1

KuA(Y)

KiA

KuA

KiBKu

B

Autentificación con Clave PúblicaAutentificación con Clave Pública

Intruso tiene: Texto cifrado

Claves públicas de A y B

Puede obtener el texto en claro y asegurar la identidad del emisorAsí lo más idoneo es que no transmita información confidencial o

si lo hace cifre y de autentificación simultaneamente …


Confidencialidad + AutentificaciónConfidencialidad + Autentificación

X XY BA

EKuB(EKi

A(X)) = Y E-1Ku

A(E-1Ki

B(Y)) = X

KiA

KuA

KiBKu

B

Intruso tiene: Texto cifrado

Claves públicas de A y B

No puede obtener ninguna información util ……


Algoritmo RSAAlgoritmo RSA

Condiciones:

El algoritmo debe ser publico y todo el secreto reside en la claveInfactible de obtener Ki

A dado KuA aún con texto cifrado y en claro conocidos

Premisas:

Las operaciones de cifrado y descifrado son:

Y = Xe mod n donde: X es el texto en claro y Y el texto cifrado X = Yd mod n Ku = {e,n} y Ki = {d,n} y n = p*q (ambos primos)

El algoritmo de generación de claves Seleccionar primos grandes (p y q) Calcular �(n) = (p-1)*(q-1) (función cociente de Euler) Seleccionar e tal que MCD( �(n),e)=1 ; 1 < e < �(n) Calcular d tal que d*e mod �(n) = 1 (d es el inverso multiplicativo de e) Ku = {e,n} y Ki ={d,n} (claves pública y privada)


Ejemplo de RSAEjemplo de RSA

Seleccionar “primos grandes” p=17 y q=11 Calcular n = p*q = 17*11 = 187 Calcular �(n) = (p-1)*(q-1) = 16* 10 = 160 Seleccionar e tal que sea primo relativo de �(n), e = 7 Determinar d tal que 7*d mod 160 = 1. El valor es d = 23 Ku = {7,187} y Ki ={23,187}

Sea el texto en claro X = 88 entonces para cifrar Y = 887 mod 187 = 11 … el cálculo se puede hacer … [(884 mod 187)*(882 mod 187)*(887 mod 187)] mod 187

Para descifrar X = 1123 mod 187 = 88 … que es equivalente … [(111 mod 187)*(112 mod 187)*(114 mod 187)*(118 mod 187)*(118 mod 187)] mod 187 = 88

Mientras más larga sea la clave (por ende los números primos) más dificil será de romper


Negociado de clave simétricaNegociado de clave simétrica

Ks Ks

Y BA

EKuB(Ks) = Y E-1

KiB(Y) = Ks

KiA

KuA

KiB

KuB

Dado que los algoritmos de clave pública son más lentosque los de clave simétrica (en promedio 1000 veces),

no se utilizan para dar confidencialidad

Dado que los algoritmos de clave pública son más lentosque los de clave simétrica (en promedio 1000 veces),

no se utilizan para dar confidencialidad

EKs

(Datos)

Este procedimiento vale la pena si hay muchos datos que cifrar.En ese caso primero se autentifica, se negocia la clave simétrica y finalmente se envían los datos cifrados


Julieta Romeo

n , g , gx mod n

gy mod n

Julieta elige x Romeo elige y

Julieta calcula (gy mod n)x mod n = gxy mod n

Romeo calcula (gx mod n)y mod n = gxy mod n

Julieta Satan

n , g , gx mod n

gz mod n Romeon , g , gz mod n

gy mod n

Julieta elige x Satán elige z Romeo elige y

Algoritmo Diffie-HellmanAlgoritmo Diffie-Hellman

n y g son dos números primos grandes seleccionados al azar

Sin embargo sufre de “ataque de hombre en el medio”


Usos:AutentificaciónFirma digital Por ser muy lentos no se usanIntercambio de claves para confidencialidad…

Algoritmos:RSA: Rivest/Shamir/Adleman del MITEl Gamal: GratuitoDSA: NSA (National Security Agency)

Sólo para firma digitalAnécdota ...

Merkle ofrece (1978) $100 a quien rompa snapsack Shamir lo rompe en 1982 Merkle corrige y ofrece $1000Brickell lo rompe 1984

Algoritmos de Clave PublicaAlgoritmos de Clave Publica


Dependiente del Departamento de Defensa para garantizar la seguridad de las comunicaciones usando criptoanálisisDirige el proyecto ECHELON con capacidad de analizar cualquier sistema de comunicación a nivel mundial. La escala de las operaciones de la NSA es difícil de determinarpero el uso de electricidad excede los 21 millones de US$ por año haciéndolo el segundo mayor consumidor de electricidad del Estado de Maryland.

National Agency SecurityNational Agency Security

18.000 puestos de estacionamiento...


Compendio de Mensajes Compendio de Mensajes (hashing o digest)(hashing o digest)

Cada bit C(X) se modifica aún con pequeños cambios en X

Destila información de un archivo en un sólo número hexadecimal128-256 bits (cifrado en un sólo sentido)

Destila información de un archivo en un sólo número hexadecimal128-256 bits (cifrado en un sólo sentido)

Sea X el texto en claro y C(X) el compendio del archivo:

Dado C(X) debe ser poco factible encontrar X

C(X) no debe ser aleatorio pues se comporta como un hash

Se usa en el almacenamiento de las claves en las bases de datos

Sirve para conformar la firma digital

Permite generar claves simétricas a partir de frases cortas


Compendio de MensajesCompendio de Mensajes

MD5: Diseñado por Ronald Rivest con compendios de 128 bitsInvestigadores chinos encontraron colisiones previsibles en

Ago/2004

SHA: Propuesto por la NSA a 160 bits. El mismo equipo de China, demostró que son capaces de romper SHA-1 en al menos 269 operaciones, unas 2000 veces más rápido que por fuerza bruta

SHA vs MD5(gobierno) (privado)

Hay argumentos para no confiar en ninguno de los entes


Firma DigitalFirma Digital

Integridad del mensaje + Autentificación del usuarioPara evitar alteraciones del documento y copias ilegales

Integridad del mensaje + Autentificación del usuarioPara evitar alteraciones del documento y copias ilegales

Firma con compendio:

X XBA Y = X + EKiA

(C(X))

Extraer X de Y. Sea X’Calcular C(X’) y llamemoslo C1Calcular E-1

KuA(EKiA(C(X))) y sea C2

Si C1 = C2 entonces el mensaje es del emisor correctoSino rechazar el mensaje

KuAKi

A KiB

KuB

F=EKiA(C(X))

Es de notar que no hay confidencialidad !!! Sin embargo es posible ...


Firma con centro de claves Firma con centro de claves confiableconfiable

Firma con clave pública (sin compendio):

EKuB(EKiA(X)) = Y

E-1KuA(E-1

KiB(Y)) = X

JulietaKDC

J , EKJ(R,DJ,t,P)

RomeoEKR

(J,DJ,t,P,

EKKDC(J,t,P)

Donde el cifrado con la clave del KDC es la firma


Alcances y Límites de la Alcances y Límites de la CriptografíaCriptografía

Asegura:ConfidencialidadIntegridadAutentificación y No repudio

No Asegura:Protección contra robo de claves ni errores humanosMonitoreo de tráfico ni entrega de algoritmos criptográficos ilegales

Otros problemas: Compromisos éticos (académicos pueden ser tentados …)Patente militar en USA que ya vencieron pero impulsaron al gobierno federal a imponer restricciones de exportación


Problemas de las Leyes de Problemas de las Leyes de Exportacion de la CriptografiaExportacion de la Criptografia

Potencial abuso de los funcionariosInmensa infraestructura con costos elevadosDificultad para autentificar a todos los solicitantes

Después de la 2da Guerra Mundial, se definieron los algoritmos criptográficoscomo patentes de armamento y tenían restricción para usarse fuera de USA

con claves mayores de 40 bits y de 128 bits en USA

Después de la 2da Guerra Mundial, se definieron los algoritmos criptográficoscomo patentes de armamento y tenían restricción para usarse fuera de USA

con claves mayores de 40 bits y de 128 bits en USA

Asi que como primera solución …

Ley Clinton (1996) para poder exportar claves > 40 bits (56 bits)(1) Depósito de claves (dejar clave en un ente del gobierno) (2) Recuperación de claves (colocar clave en el mensaje cifrado con un clave privada del gobierno)

Segunda solución y definitiva ...

A partir del 2000 se permitió exportar algoritmos criptográficos con claves de cualquier longitud salvo a países sospechosos de terrorismo …

pero ... ?quien puede solicitar recuperar esas claves?


Estado actual de las Leyes de Estado actual de las Leyes de Exportacion de la CriptografiaExportacion de la Criptografia

En un primer momento parece que USA perdió la batalla por el control de los algoritmos criptográficos

sin embargo ...

Logró frenar el avance de la criptografía Perdió el control sobre la exportación más no su poder económico y político en el mundo de la criptografía (por ejemplo la compañía de certificación más importante del mundo es norteamericana …)


Problemas de las patentesProblemas de las patentesDisputas legales en USA por patentes:

CYLINK (Standford con Diffie-Hellman)Patente 4.218.582 venció en 10/08/1997

vs

RSA (MIT con Rivest, Shamir y Adleman)Patente 4.405.829 venció el 20/09/2000

Para evitar disputas formaron una compañía conjunta en 1989 PKPpero .. se disolvió en otro juicio en 1994 … además tiene disputas con PGP

RC2 y RC4 (secretos comerciales) de RSA se divulgaron en Internet en 1996 y 1994. Nada prohibe colocar“compatible RC2 y RC4” pero RSA asegura que es ilegal …

En Europa no se puede patentar lo que se publica …

Finalmente ya vencieron las patentes más importantes ...


Certificación DigitalCertificación DigitalEmular la capacidad de identificación en

soporte digital Emular la capacidad de identificación en

soporte digital

Involucra Autoridades de Certificacióndonde se usa la infraestructura PKI

Involucra Autoridades de Certificacióndonde se usa la infraestructura PKI

Tipos:lo que se sabe (clave de acceso)lo que se tiene (carnet)Lo que se es (biometría)

Sin embargo Sin embargo todos tiene todos tiene inconvenientes ...inconvenientes ...


Autoridades de CertificaciónAutoridades de CertificaciónTerceros que avalan la clave pública de

entes comerciales, desarrolladores de softwarey particulares

Terceros que avalan la clave pública de entes comerciales, desarrolladores de software

y particulares

Compañía aseguradora que avala la seguridadde transacciones comerciales

Compañía aseguradora que avala la seguridadde transacciones comerciales

FuncionamientoFuncionamiento:Una CA firma con su clave privada las claves públicas de sus clientesPara descifrar se requiere tener la clave pública de la CA (browser)Las CA se certifican con otras o se avalan a si mismasSe utiliza los certificados standard X.509-v3


Normas de CertificaciónNormas de CertificaciónRevocaciónRevocación:

Clave privada perdidaCA descubre que emitió a ente equivocadoSi se están emitiendo certificados falsos

ProblemasProblemas:La lista de revocaciones crece rápidamentePeríodo de indeterminación mientras de actualiza

SoluciónSolución:Certificados que expiran rápidamente (2 min)Por cada transacción contactar la CA

Se usa el protocolo OCSP (Online Certificate Status Protocol)Codifica ANS.1 y transfiere vía http


Protocolo de revocación Protocolo de revocación (OCSP)(OCSP)

OCSP elimina la necesidad de que los clientes tengan que obtener y procesar toda la CRL pues usa manejadores de BD. Esto permiteahorrar tráfico de red y procesado secuencial de la CRL por parte del cliente.

El contenido de las CRL puede considerarse información sensible, análogamente a la lista de morosos de un banco.

Un "OCSP responder" puede implementar mecanismos de tarificación para pasarle el coste de la validación de las transacciones al vendedor, más bien que al cliente.


Certificados X.509-v3Certificados X.509-v3Versión

Número de serie

Algoritmo de cifrado

CA EmisoraPeríodo de validez

no antes ...no después ...

Clave pública

Algoritmo de compendio

Firma


Tipos de certificadosTipos de certificados

CA: Symatec (vendido por Verisign), Thawte, Globalsign, ... CAcert es una CA que emite certificados gratuitos …

No está en los navegadores y usa anillos de confianza

CA CA ClienteCliente

ServidorServidorEditor de SoftwareEditor de Software

Generar Ku y Ki localmenteEnviar Ku a CA (CSR en formato PKCS#10)

Cliente o Llenar formas vía WebServidor: CA o autoridad de registro (RA) verifica información

Al aprobar envía clave para bajar certificado (CRT)Instalar la clave

Editor de Anexar al sofware una firma junto con el certificadoSofware: Authenticode propuesto por Microsoft


Tipos de AutoridadesTipos de AutoridadesCertificacion (Raiz e Intermedias)Certificacion (Raiz e Intermedias)

RegistroRegistroEstampado de TiempoEstampado de Tiempo


Cerificación en VenezuelaCerificación en VenezuelaSUSCERTE (Regulador)SUSCERTE (Regulador)

ProCert (privada)ProCert (privada)FII (pública)FII (pública)

Idyseg (privada)Idyseg (privada)

SUSCERTE – Legisla y autoriza quienes están a avalados para ser

Autoridades de Certificación– Es la CA raiz de Venezuela aunque no emite certificados– Además coordina las actividades de VenCERT

(Sistema Nacional de Gestión de Incidente Telemáticos),CENIF (Centro Nacional de Informática Forense) y el proveedor de estampado de tiempo

http://www.suscerte.gob.ve/https://ar.fii.gob.ve/cgi-bin/openca/pub/pki?cmd=getStaticPage&name=index

https://www.procert.net.ve/index.asphttp://www.idyseg.com.ve

https://www.procert.net.ve/index.asp


¿ Cuantas CA debe haber ? ¿ Públicas o privadas ?¿ Cuál es la responsabilidad de las CA ?Las claves no están asociadas a la persona sino a la máquina¿ Cómo diferenciar distintos certificados ? (varios Juan Pérez)No hay suficiente información (edad, sexo, ...)No hay divulgación selectiva (IETF estudia la propuesta)¿ No será preferible la biometría ?¿ Cómo legislar ? ¿ Nacional, estatal o internacionalmente ?

Venezuela usa la ley de Utah una firma digital es equivalente a un firma manuscrita

Venezuela usa la ley de Utah una firma digital es equivalente a un firma manuscrita

Articulo 16: La firma electronica que permite vincular al signatario con el mensaje de datos,tendra la misma validez y eficacia probatoria que la ley otorga a la firma autografa …

Problemas de las PKIProblemas de las PKI

Documents

Criptografía y Certificación Digitalwpereira/docencia/seguridad/... · Ganó algoritmo de Rijmen y Daemen que subtituye a DES ... Ejemplo de RSA ... Dependiente del Departamento