d-l)/ Mma1.eii.us.es/Material/Cripto_ii_Ex.pdf · Indicar si son verdaderas o falsas las siguientes afirmaciones, justificando las repuestas ... respuesta. o A B C D E 5. Con el

Escuela Técnica Superior de Ingeniería InformáticaIngeniería en Informática

CRIPTOGRAFÍA

6 de septiembre de 2002

Ejercicio 1[3 ptos] Consideramos el criptosistema siguiente:

• Cada usuario elige dos enteros a , b Ycalcula M = a.b - 1, a continuación eligeotros dos a', b' Ycalcula:

c=a'.M+ad=b'.M+b

n =(c. d-l)/ M

• La clave pública es el par (c,n), la clave privada es d.• Cifrado: dado un mensaje x, el cifrado se realiza de la forma siguiente

y = c. x modn

• Descifrado: dado un mensaje cifrado y, el texto en claro correspondiente es

z= d. Y mod n

Se pide:l. Demostrar que las operaciones son correctas y que el cifrado recupera siempre el .

mensaje origina1.'· .2. ·Evaluar la seguridad del criptosistema : ¿qué operaciones permitirían obtenerla

clave privada d a partir de la clave pública?3. ¿Se podría utilizar para hacer firmas digitales?

Ejercicio 2 [2,5 ptos] Contestar razonadamente las siguientes cuestion,es:

l. Un cnptosistema en el que cada carácter se reemplacepof otro según una regla fijano puede considerarse seguro, aunque la regla sea complicada. ¿Por qué?

2. Indica las similitudes y diferencias entre el criptosistema de Vigenere y el XORsimple. ¿Se puede considerar uno superior al otro?

3. Cita los principales tipos de ataque a un criptosistema.

4. ¿Cuál es la principal debilidad de los criptosistemas de clave secreta?"""<i .....•.5. Comenta las principales diferencias entre los criptosistemas de clave pública y de

clave secreta. ¿Por qué se siguen utilizando los de clave secreta? Indica algunassituaciones en los que éstos sean más adecuados.

Ejercicio 3 [2,5 ptos] Define los siguientes conceptos y explica en cada caso sus diferencias yalguno de sus usos:

1. Función resumen (hash)2. Firma electrónica

3. Criptosistema simétrico4. Criptosistema asimétrico

Ejercicio 4 [2 ptos] El mensaje 68756566260, ha sido cifrado mediante un criptosistema RSA declave pública 2469243087089 y exponente de cifrado 11. Obtener la clave privada y el texto enclaro

Escuela Técnica Superior de Ingeniería Informática

Ingeniería Informática

Criptografía

Septiembre 2003

Ejercicio 1

Se considera un criptosistema de Vigenere dónde el alfabeto es:

espacio = O, A = 1, B = 2,· .. , Z = 27, Y utilizando la clave ABC

a) Cifrar el mensaje NO ME LEERAS.

b) Explicar cuales son las debilidades del criptosistema.

c) Razonar como sería de resistente el sistema si conociéramos que el texto en clarocontiene la cadena LEER.

Ejercicio 2

1) Encontrar una clave para un criptosistema XOR de modo que los mensajes:

SACA DE PASEO A LOS PERROS

LANZAMIENTO DE MISILES HOY

produzcan el mismo texto cifrado.

2) Razonar por qué es inviolable un criptosistema XOR en el que la clave sea aleatoria,de un solo uso y de mayor longitud que el mensaje.

3) ¿ Por qué aleatoria? ¿Por qué de un solo uso?

Ejercicio 3

La clave pública RSA de un usuario es (2073341,13)

a) ¿Cuál es su clave privada?

b) Si se le envía el mensaje cifrado: 79907743717 16890532051777, hallar el mensaje enclaro (numérico o texto)

Ejercicio 4

a) Explica como se puede implementar un sistema de firma electrónica mediante un criptosistema de clave pública.

b) ¿Por que se utilizan funciones resumes (Hash) en la firma electrónica?

c) Razona el motivo por ~l que no se puede realizar la firma electrónica mediante uncriptosistema de clave secreta.

Escuela Técnica Superior de Ingeniería InformáticaIngeniería Informática

CRIPTOGRAFÍA

14 de abril de 2004

1. Usando el alfabeto de 64 caracteres se ha cifrado con Hill 2 x 2 el texto HolaDaDtodosresultando el texto cifrado DhñlcDOolo. Hallar la clave utilizada.

2. Indicar si son verdaderas o falsas las siguientes afirmaciones, justificando las repuestas

2.1 La criptografía simétrica o de clave secreta solo se utiliza en sistemas antiguos ya

que ha sido reemplazada por la criptografía de clave pública.

2.2 La criptografía de clave simétrica tiene menor coste computacional que la cripto

grafía asimética.

2.3 Usando una clave mayor que el texto, el criptosistema XOR proporciona secreto

perfecto.

2.4 Si aplicamos dos criptosistemas de sustitución aumentamos la seguridad.

2.5 El ICM de un texto T y de su desplazado mediante una clave de César es mucho

menor que el IC(T).

3. En el idioma ABACAB todo se escribe con las letras A,B y C que ocurren con unas fre

cuencias del 70%, 20% y 1% respectivamente. El siguiente texto cifrado se ha obtenido

con Vigenere con una clave k de longitud 3 como máximo.

CAAABBCACBCABACAABCCCACA

3.1 Hallar la longitud probable de la clave

3.2 Hallar la clave

4. Supongamos que alguien sugiere la forma siguiente de confirmar que dos de vosotrosestá en posesión de la misma clave secreta. Crea una cadena de bit s del tamaño de laclave, aplícale el XOR con la clave y envía el resultado por el canal. Tu receptor hace

XOR del bloque entrante con la clave, que debería ser la misma que la tuya y envía elresultado de vuelta. Observas lo que te devuelve y si coincide con tu cadena aleatoria,entonces has verificado que tu receptor tiene la misma clave secreta que tú, aunque

ninguno haya transmitido la clave. ¿Hay algún defecto en este esquema? Justifica turespuesta.

o A B C D E5. Con el alfabeto O 1 2 3 4 5

y con un cifrado RSA con n = 12, e = 5, r = 2, y el texto en claro BECA. Cifrar ydescifrar dicho texto. Interpretar los resultados.

E.T.S. deIngenIería Informática

I I CriptografíaSegunda prueba26 de mayo de 2004

Ejercicio 1:Comenta las siguientes afirmaciones, decidiendo razonadamente si son correctas oincorrectas, verdaderas o falsas:

1. El cifrado con el criptosistema SRA1 es tan seguro como con RSA.2. La mayor ventaja de SET sobre SSL es que es mucho más seguro y necesita

menos tráfico de red.

3. Un certificado digita1 debe ser público y contener las claves pública yprivada del usuario.

Contesta razonadamente a las siguientes cuestiones:4. ¿Qué es 10 que certifica un certificado digita1?5. ¿Por qué decimos que el actual acuse de recibo de los clientes de correo

electrónico no corresponde a uno verdadero?

Ejercicio 2:Para el criptosistema de la mochila de Merk1e-Rellman se ha usado la sucesiónsupercreciente S = {1, 2, 4,8,16,32,64, 128}, el módulo M = 257 Y elmultip1icador ú) = 21. Se pide:

1. Construir la clave pública.2. Cifrar el mensaje que en binario viene dado por 10101010101010.3. Descifrar comprobando el resultado.

Ejercicio 3:1. Explica las principales ventaj as e inconvenientes del criptosistema de

E1Gama1 comparado con RSA.2. Explica cómo sería un sistema de firma usando RSA pero sin funciones

resumen. Comenta sus ventajas e inconvenientes.3. Explica cómo sería un sistema de firma mediante E1Gama1 con MD5.

Ejercicio 4:1. ¿Cómo podríamos usar una función resumen para comprobar que un archivo

no se ha modificado o que está libre de virus?2. Nos afirman que podemos autenticar un mensaje usando para ello sólo una

función resumen. ¿Es esto verdadero? ¿Por qué?3. ¿Por qué se dice que una firma digita1 tiene condiciones más fuertes que una

firma manuscrita?

4. ¿Por qué es importante que la firma digita1 dependa del mensaje?5. Firma digita1mente con RSA (sin función resumen) el mensaje M = 121 si la

clave privada del firmante es n = 19·31, d = 149. Comprueba la firma.

Sigue al dorso

Ejercicio 5:En su testamento, un pirata 1 revela que ha ocultado un tesoro en un lugar que vienedeterminado por 6 números: la longitud al0, a2', a3" Yla latitud: blo, b2', b3". Lolega a sus 7 lugartenientes de modo que sean necesarios al menos 6 de ellos pararecuperar la información; y lo hace del siguiente modo:Elige una matriz M con 6 filas y 7 columnas y con todos sus menores de orden 6distintos de O;multiplica por ella el vector X = (al, a2, a3, b¡, b2, b3), obteniendoun nuevo vector V = X·M. A cada pirata le explica el sistema utilizado y le da unacolumna de la matriz, y el vector V.Se pide:

1. Demuestra que cualquier grupo de 6 lugartenientes pueden recuperar losdatos de localización del tesoro.

2. Justifica que con menos de 6 no se puede recuperar el vector X.

1 Era un pirata muy culto.

1.1E.T.S. de


CriptografíaFinal de junioPrimera parte29 de junio de 2004

Ejercicio 1

1. Se realiza una comunicación con un criptosistema Vigenere y se envía el

mensaje, Hoy termina el curso, siendo su cifrado,

m9>e3 fw69rlaj 5rh4sx9. El alfabeto utilizado posee 64 caracteres.Hallar la

clave utilizada.

2. Se ha recibido el mensaje 9 * Sabemos que ha sido cifrado con un cripta sistema

Hill y la clave utilizada es una matriz de filas: (1 1), (2 5).

El alfabeto utilizado posee 64 caracteres. Hallar el mensaj e original.

Ejercicio 2

Alicia es un poco paranoica y decide aumentar la seguridad de su RSA. Para ello usaun módulo n y dos exponentes públicos el y e2. Así tiene dos claves públicas: KI =(n, el) y K2 = (n, e2), con respectivas claves privadas dI y d2. Alicia recibe susmensajes cifrados dos veces: primero con KI y luego con K2.

1. Explica razonadamente si Alicia ha aumentado o no la seguridad de susistema.

2. Comenta qué problemas habría si Alicia decidiera usar sólo una clave cadavez, pero eligiendo unas veces KI y otras veces K2.

Ejercicio 3

Consideremos un cripta sistema RSA en el que si n = p q con

q-p = 2d > O

1. Demostrar que 4(n + d2 ) = (p + q)2 y deducir que n + d2 es un cuadradoperfecto.

2. Establecer un ataque a RSA válido si P y q son primos muy cercanos.3. Aplicar a n = 35, sin utilizar que 35 = 7. 5

IE.T.S. de


Ejercicio 4

CriptografíaFinal de junioSegunda parte29 de junio de 2004

1. Utilizando un protocolo de intercambio de claves de Diffie- Hellman.Alicia y Benito utilizan un primo común p =11 Y generador a = 2.Si Alicia elige como número aleatorio a = 4, YBenito b = 5, determinar queclave común utilizarán para sus comunicaciones.

2. Alicia y Benito quieren usar el protocolo de intercambio de claves de DiffieHellman. Alicia quiere que la clave resultante tenga 256 bits y que termineen los bits 10001. Si crees que puede hacerlo, explica cómo. Si crees que nopuede hacerlo, explica por qué no puede.

Ejercicio 5

Nos estamos comunicando con un criptosistema tipo mochila con una clavepública {46,19,38,26,48}. La clave privada es 54, siendo el módulo utilizadop = 73. Descifrar el mensaje 59,65

Ejercicio 6

En la comunicación por Internet entre una librería y sus clientes se utiliza SSL.1. Explica qué papel tendrían los certificados digitales en la comunicación.2. Muestra cómo SSL puede usarse para establecer una clave de sesión para la

comunicación entre el comprador y la librería.3. Explica qué protección se ofrece al comprador por la combinación de la

autenticación del servidor en (1) y el cifrado en (2).

1.1E.T.S. de


Ejercicio 1

CriptografíaFinal de junioPrimera parte5 de julio de 2004

1. Describe los distintos tipos de ataque al cripta sistema de Hill que conozcas

2. Descifra el mensaje G~),cifrado con el criptosistema de HiIl con clave

G :), que está escrito en el alfabeto de 28 caracteres D~O, A~l, ... , Z~27

(incluyendo las letras Ñ y W).

Ejercicio 21. Benito es un poco paranoico y tiene una clave RSA enorme. Para facilitar los

costosos cálculos sugiere que le envíen el correo cifrando los caracteres deuno en uno. Comenta en qué medida es seguro el sistema de Benito.

2. Óscar recibe regularmente correos sin cifrar de Alicia y comprueba que ellaacostumbra a terminar sus mensajes añadiendo su nombre al final del texto.Además intercepta el siguiente correo cifrado de Alicia para Benito:

1123338889448682929649572 3888911233 12641 20955 1264149572 38889 49572 1264110069572483795644868292964486810069572482929649572100693838238382379564957254054388894486813199292963888911233 12641 49572 12641 38889

Se pide:a. Demuestra que Óscar podría descifrado. ¿Cuál es el texto en claro?b. ¿Significa esto que Óscar puede obtener la clave privada de Benito?

IE.T.S. de


CriptografíaFinal de junioSegunda parte5 de julio de 2004

Ejercicio 1Supongamos que representamos cada texto en claro sustituyendo cada carácter

por su valor numérico usando 0=00, A=Ol, ... , Z=27 (incluyendo las letras Ñ y W).Se utiliza como función resumen el número que representa el mensaje módulo 35.Los mensajes se envían en claro y se firman mediante esa función resumen y RSAcon módulo 35 y exponente público 5.1. Determinar si 7 es una firma válida para el mensaje "EH".2. Comenta la seguridad de esta firma.

Ejercicio 21. Prueba que g = 2 es un elemento primitivo (generador) para el primo p=ll.2. Alicia y Benito usan el protocolo de intercambio de claves de Diffie

Hellman con el primo p = 11 y generador g = 2. Eligen el número secreto 3 y4 respectivamente. ¿Qué información intercambian? ¿Qué clave comúnestablecen?

Ejercicio 3

Consideremos un criptosistema El Gamal con un primo común q = 71 y un

generador a = 7.

1. Si B tiene por clave pública 3 y A elige el entero aleatorio k = 1, ¿Cuál es el

cifrado del mensaje M = 30?

2. Si ahora A elige un valor distinto de k de forma que el cifrado de M = 30 es

C = (59, C2) ¿Cuál es el entero C2?

��

��

��

��

�� !�"� # �� $ �� %�� &��'��(

)( *�� '� ��%�� +� , )-#$././� � , 01( ��

� ��2� �� " � ��3�� +�(�( �� )4�1(

� ��2� �� " � �� +�(�( �� )4�1(

� �� (

� �� %�%�� (

.( �� '� �� '� � �� +� , )-#$././� � , 01 ��

$#5#/)0 +�� 1 $#5#/)0 +�� +�11

)$/)$/6) +�� +�1 �� 7��8

$( �� '�� '� ��%�� +� ,)-#$././� � , 01

-.64.#( $#5#/)0( 5-)../( �� (

#( �� '�� '� ��%�� +� , )-#$././� � , 01 ��

�� )4( �� .$( )( �� (

0( �� , #./- " � , #40- �� ( �� +�� 1 � �� 9�� '� �� %�� +� , �� 1

�� 9�� +�� )� �� )1� �� (

�� 9�� , ) +�� 1(

�� 9�� : �� "��

��+�� )� � � )1� �� &

�� 9�� (

�9�� 9�� , ) +�� 1 �� ( 7�� 3�� 8

6( ;� �9�� / �� 9�� '� �� %��+� , #./-�#40-� �1 ��

))( 0( )$( �� 7��8

-( ��2�� '� ��

))( 0( )$( �� 7��8

5( ;� �� <�� '� �� '� �� 9�� %�� 5 %�� "�� %�� 5 %�� " �%�� 9�� %�� )6 %��( �� =�� %��

�� " �� "� �� '� �� 3� " �� (

>�� ?�� +�� 1(

�� " ��%�� %�� 2� � �� 9�� 9�� (

�� '� �� %��:� � ��%�� =�� " ��(

/( �� =��

�� '� �� %�� !�� '��%��(

�� '� �� '� ��%��(

�� '� ��%�� '� ��(

*�� '� ��%�� " � ��'� �� (

)4( �� @�� )� ��

�� "� "� �� %��(

�� 9�� %��(

� �� 3�� 2�� (

�� %�� '� ��'� � � �� %��(

))( �� " �� Æ�� %�� '��

� �� +�1 �� +��+�11

��

�� (

��%�� ?��(

;�� " �� (

�� %�� %�� (

).( �� '�� A� �� '�� 5 " )4 ��&'��( �� '��

;� �� A� � ��'� � �� )4(

;� �� A� � ��'� � �� #4(

;� �� '�� A� (

�� '��(

)$( B�" �� %�� 2�� %�� ) �� '�� ( �� %��

��( ��@�� '�( ��@�� :��( �� (

)#( �� <�� +�� 3��1 " �� <�� ( *�� %�� <�� !�� )6 �� +�� 1 " �� '�� =3� � $. �� !�'� � ��<��( �� %�� !�'� � ��<��

�� "� �� 9�� +�� 1 " �� (

�� %�� %�� <�� %�� 2� %��(

�� " �� "� �� <�� %�� (

�� " �� 2� %��(

)0( ;� �=�� %� ��

��

��

� , �

��

��

��

��

��

��

��

� �� (

�� %��(

�� (

�� (

)6( ;� �� <�� =�� 3�� 3� ��

�1 ;�� )6 ��(

%1 �� '� ��'� �(

�� =��

� �� =�� "� �� %� �� 3� �� 2� �� (

�� %�� =�� "� �� '� ��'� �(

� �� %�� %� �� 3�� 2� �� (

�� '� ��'� �(

)-( �� @�� '� ��( ��

�� ( �� 2�� " �� (

�� '� �� ( �� 2�(

)5( �� 9��

� , ��

7�� %�� 9�� !�"� �� %�� +�� %�� "� �� 18

�� 9�� <�� (

�� ;;;;;(

�� ; �� '��(

)/( �� 3� �� "� ��%�� =�� 4� )� � �� )( �� %� ��

��

��

��

�

��

��

��

�� %�%�� =�� 9��

�� 3� � " � ,

��

��

��(

�� %� �� 4 ! " � �� ) �� '��

��

��

��

�!

��

��

��

�

�� 2�� '� �� 4 � � � ��)� �� 3� � ( ��=��

�� ,

��

��

��

�� 4 � " � �� ) ��

�� !�� '� � ��2�� (

�� !�� (�( +#� �1 , )(

�� '� � ��2�� , ��9��

� ��

��

�� (

�� '� � ��2�� , ��9��

� ��

��

�� (

.4( 7�� ?��8

�(

��:� �� !�� '�(

��:� �� '�2 �� '�� 3�(

��

��

��

��

�� !�"� # �� $ �� %�� &��'��(

)( *�� '� ��%�� +� , )-#$././� � , 01( ��

� ��2� �� " � ��3�� +�(�( �� )4�1(

A � ��2� �� " � �� +�(�( �� )4�1(

� �� (

� �� %�%�� (

�� !�� 2�� 2�� C��( *��

� , #)-0.5��2�� , #)-6( �� , 64#- "

�64#- , ---6( �� , #)-- ��

�� , )##44 "�)##44 , ).4� � �� , +#)-- D ).41 � +#)--� ).41 , #./- � #40-(

.( �� '� �� '� � �� +� , )-#$././� � , 01 ��

$#5#/)0 +�� 1 $#5#/)0 +�� +�11

)$/)$/6) +�� +�1 A �� 7��8 )$/$/66) +�� )-#.#0-61

�� !�� +�� +�11 �� 2�� +0� )-#.#0-61�� %�� '�� 0� �, ) +�� )-#.#0-61(

�� 2� �� 9�� )-#.#0-6 , 0 �$#5/)0D)� � �� 0�� , �$#5/)0 �, )$/$/66) +�� )-#.#0-61(

$( �� '�� '� ��%�� +� ,)-#$././� � , 01

-.64.#( $#5#/)0( A 5-)../( �� (

�� %� �� '� � �� D$% +�� +�1 �� 4 � $ � ��

� �� , 0�� +�� %1

" % , ��+� � )� � � )1 �� 3�� +�� 01( *�� % , -.64.# " �,)#0.40 +�� -.64.#1 +%�� !�� '�� : �� 9�� %�� 0 � )#0.40 � -.64.# , )1� �� '�� )#0.40D $-.64.#( �� $ , ) �� %�� 5-)../ �� (

#( �� '�� '� ��%�� +� , )-#$././� � , 01 ��

�� )4( A �� .$( )( �� (

�� D $% +�� +�1 �� 4 � $ � ��

� , .$5� ��

�� .# +�� .$1(

0( �� , #./- " � , #40- �� ( �� +�� 1 � �� 9�� '� �� %�� +� , �� 1

�� 9�� +�� )� �� )1� �� (

�� 9�� , ) +�� 1(

�� 9�� : �� "��

��+�� )� � � )1� �� &

�� 9�� (

A �9�� 9�� , ) +�� 1 �� ( 7�� 3�� 8 ��+�� )� �� )1D ) ,-.64.0(

�� " � �� % , ��+� � )� � � )1 ! +� � )1+� � )1 , �+�1�� % D ) �� '�2 ��

�� , � � �� , � +�� 1

�� , � � �� , � +�� 1

� �� , � +�� 1 �� >�� *!�� (

6( ;� �9�� / �� 9�� '� �� %��+� , #./-�#40-� �1 ��A ))( 0( )$( �� 7��8

>� � '�2 �� , � +�� &1 �� )D��+�� )� &� )1 �� & �� , � +�� 1 �� / +�� !�� %�� +)4� #4061 , . " ��+)4� #./61 , .1(

-( ��2�� '� ��

))( A 0( )$( �� 7��8

0 �� '� �� #406 , .� � $ � )$� " 0�� , ) +�� #40-1� 0�� , ) +�� #40-1 "0�� , ) +�� #40-1(

5( ;� �� <�� '� �� '� �� 9�� %�� 5 %�� "�� %�� 5 %�� " �%�� 9�� %�� )6 %��( �� =�� %��

�� " �� "� �� '� �� 3� " �� (

>�� ?�� +�� 1(

A �� " ��%�� %�� 2� � �� 9�� 9�� (

�� '� �� %��:� � ��%�� =�� " ��(

/( �� =��

�� '� �� %�� !�� '��%��(

�� '� �� '� ��%��(

�� '� ��%�� '� ��(

A *�� '� ��%�� " � ��'� �� (

)4( �� @�� )� ��

�� "� "� �� %��(

A �� 9�� %��(

� �� 3�� 2�� (

�� %�� '� ��'� � � �� %��(

))( �� " �� Æ�� %�� '��

� �� +�1 �� +��+�11

��

�� (

��%�� ?��(

A ;�� " �� (

�� %�� %�� (

).( �� '�� A� �� '�� 5 " )4 ��&'��( �� '��

;� �� A� � ��'� � �� )4(

;� �� A� � ��'� � �� #4(

;� �� '�� A� (

A �� '��(

)$( B�" �� %�� 2�� %�� ) �� '�� ( �� %��

A ��( ��@�� '�( ��@�� :��( �� (

)#( �� <�� +�� 3��1 " �� <�� ( *�� %�� <�� !�� )6 �� +�� 1 " �� '�� =3� � $. �� !�'� � ��<��( �� %�� !�'� � ��<��

�� "� �� 9�� +�� 1 " �� (

A �� %�� %�� <�� %�� 2� %��(

�� " �� "� �� <�� %�� (

�� " �� 2� %��(

)0( ;� �=�� %� ��

��

��

� , �

��

��

��

��

��

��

��

� �� (

�� %��(

�� (

A �� (

)6( ;� �� <�� =�� 3�� 3� ��

�1 ;�� )6 ��(

%1 �� '� ��'� �(

�� =��

A � �� =�� "� �� %� �� 3� �� 2� �� (

�� %�� =�� "� �� '� ��'� �(

� �� %�� %� �� 3�� 2� �� (

�� '� ��'� �(

)-( �� @�� '� ��( ��

�� ( �� 2�� " �� (

�� '� �� ( A �� 2�(

�� %� � �� 2� �� @�� %�� =�� '�� '� �� ' � �� +' , ��1( �� )� �� ! �� ) , �� %�� '�� ' �� %�� =�� (

)5( �� 9��

� , ��

7�� %�� 9�� !�"� �� %�� +�� %�� "� �� 18

�� 9�� <�� (

A �� ;;;;;(

�� ; �� '��(

;�� :�� %�� '�2 �� 2�� 9��( E �� 9�� 9�� +�� 1(

)/( �� 3� �� "� ��%�� =�� 4� )� � �� )( �� %� ��

��

��

��

�

��

��

��

�� %�%�� =�� 9��

�� 3� � " � ,

��

��

��(

�� %� �� 4 ! " � �� ) �� '��

��

��

��

�!

��

��

��

�

�� 2�� '� �� 4 � � � ��)� �� 3� � ( ��=��

�� ,

��

��

��

�� 4 � " � �� ) ��

�� !�� '� � ��2�� (

�� !�� (�( +#� �1 , )(

A �� '� � ��2�� , ��9��

� ��

��

�� (

�� '� � ��2�� , ��9��

� ��

��

�� (

��%�� !��!� � �� , �� , �� ( >��

��

� ��

,�

��

�

� ��

�� , ��9��

� ��

��

��

.4( 7�� ?��8

�(

��:� �� !�� '�(

A ��:� �� '�2 �� '�� 3�(

;�� '�2 �� '�� 9�� %�� %�� 2�� ( ��

�� (

Ingenierıa en Informatica

Criptografıa

28 de Junio de 2005

APELLIDOS: NOMBRE:El test se valora sobre 10 puntos. Cada respuesta correcta puntua lo mismo, cada respuesta fallida restaen proporcion al numero de opciones.

Alice pretende mandar a Bob el mensaje “Be careful” por medio de un sistema RSA que utilizan = 5 · 7 = 35.

1. Si Alice cifra cada letra de manera individual utilizando la clave publica s = 8, el mensaje cifradoqueda:

No se puede cifrar, porque s = 8 no es primo con φ(n) = φ(35).

X kxtoakxaak kxtoalxpqr Ninguna de las anteriores

2. La eleccion de clave publica que ha hecho Alice es:

Excelente, porque 8 = s ⊥ n = 35.

Buena, pues aun cuando s no es primo con φ(n) el cifrado esta unıvocamente determinado.

X Manifiestamente mala, puesto que s no es primo con φ(n), lo que se traduce en que textosdistintos se cifran del mismo modo.

Ninguna de las anteriores.

3. La clave privada asociada a la clave publica elegida por Alice es:

8. X No existe. 6. Ninguna de las anteriores.

El motivo es que s no es primo con φ(35) y por tanto no existe el inverso de s modulo φ(35).

4. En el lenguaje ABACAB todo se escribe con las letras ABC. Se sabe que en un texto en claro portermino medio la letra A aparece un 60% de las veces, B aparece un 30% y la C un 10%. Si seha recibido el texto cifrado AABABAACBAABCABACBAA, indique cual de las afirmacionessiguientes tiene mas probabilidades de ser acertada:

Esta cifrado con un sistema polialfabetico.

Esta cifrado con un criptosistema de clave publica.

X Esta cifrado con un criptosistema de sustitucion.

5. Un aficionado a la Criptografıa propone una una funcion para realizar resumenes: representa elmensaje a resumir como una secuencia de dıgitos decimales y sustituye cada 3 dıgitos por la suma desus cifras modulo 10 y ası hasta que se queda con un solo dıgito. Por ejemplo:

12345793125 ' 123 457 931 25 −→ 6637 ' 663 7 −→ 57 ' 57 −→ 2

Indique la respuesta mas correcta:

X Esta funcion no sirve como funcion resumen ya que es facil encontrar colisiones.

Es una funcion resumen segura para textos cortos ya que el tamano del resumen resulta adecuadopara esos textos.

Es una funcion resistente a las colisiones fuertes, pero no a las debiles.

6. Se ha interceptado el siguiente texto cifrado por sustitucion:

:+l*-.!*:.*:+*el\~{n};.+1.*7.*3m*(lg*3.>l+m*33.bm*l*(;+;g1\~{n}mc*+mg*l\~{n}\~{n}.b3l(mg*el\~{n}l*:.*+m()\~{n}lg.*l*):.+l*el\~{n}1.*7.*3l*pl(;3;l*.+*3l*g:s:\~{n}gl3*7.*sm\~{n}\~{n}.mg*7.*3l*sl33.*g.\~{n}\~{n}l+m*7:\~{n}m*emsmc*.gm*g;*7.*3mg*1\~{n}.g*7;lg*:.*.g1:-;(mgc*7mg*3mg*elgl(mg*l1.+7;.+7m*l3*e:)3;sm*sm+*:+l*s.3.\~{n};7l7*.<1\~{n}lm\~{n}7;+l\~{n};l*:.*+mg*-l3;m*3l*gm\~{n}e\~{n}.+7;7l*-;g;1l*7.*:+*;+ge.s1m\~{n}*7.3*sm\~{n}\~{n}.m*xyz

en el que cada una de las letras x,y,z aparece solo al final y una sola vez cada uno. Indique cual delas siguientes afirmaciones es FALSA

El texto en claro correspondiente a xyz no puede obtenerse solo con el texto cifrado.

Si el texto fuera suficientemente largo se podrıa obtener la sustitucion, a excepcion de los valorescorrespondientes a xyz, que quizas podrıan deducirse del contexto.

X Es imposible descifrarlo ya que tiene secreto perfecto.

7. Se ha encontrado un texto cifrado con Vigenere en el que se sabe que el texto en claro esta en inglesy que trata de temas de criptografıa. Se descubre que la cadena TICRMQUIRTJR aparece dos vecesen el texto cifrado en las posiciones 10 y 241 y se sospecha que puede corresponderse con la palabracryptography. Si todo lo anterior fuese acertado, ¿cual serıa la clave?

Con esos datos es imposible encontrar la clave.

X La clave es probablementr correct.

La clave es exact.

Recordemos que el cifrado de Vigenere no resiste un ataque de texto en claro conocido. Por tanto,la primera opcion queda descartada. Sabemos por el test de Kasiski que la longitud de la clave masprobable, debe ser un divisor de la distancia a las que se encuentren secuencias repetidas en el textocifrado (i.e. 241− 10 = 231 = 3 · 7 · 11). De aquı se descarta la ultima opcion.

8. Sea C un criptograma correspondiente al cifrado de un texto en castellano mediante Vigenere. En lasiguiente tabla expresamos los anagramas que aparecen repetidos a lo largo de C y la distancia a laque se encuentran las repeticiones.

Anagrama distancia.PQMI 28, 329QAWA 42ASJU 98BLVE 112QOSO 154

La longitud mas probable de la clave sera: X 7 14 28 42

Usamos el test de Kasiski y calculamos m.c.d(28,329,42,98,112,154)=7.

9. La principal causa por la que DES no es muy recomendable es porque:

Tiene claves debiles. Genera bloques repetidos.

Es un algoritmo debil. X El espacio de claves es reducido.

10. Localizar en la siguiente lista el elemento primitivo mas pequeno de Z43.

2 X 3 7 11

Tenemos p = 43; p − 1 = 42 = 2 · 3 · 7; denotamos q1 = 2, q2 = 3, q3 = 7. Por los apuntes de teorıasabemos que 1 < g < 42 es un elemento generador si g(p−1)/qimod0 6= 1, i = 1, 2, 3.

Sea g = 2 : 221mod43 ≡ 42; 214mod43 ≡ 1 ⇒ g = 2 No es generador.

Sea g = 3 : 321mod43 ≡ 42, 314mod43 ≡ 36, 37mod43 ≡ 37 ⇒ g = 3 Si es generador.

11. Adela (A) y Benito (B) desean intercambiar una clave Ks usando el metodo de Diffie y Hellman dondep = 43 y g = 3. Adela elige xa = 7 y Benito elige xb = 8. El valor de Ks es:

3 10 X 36 40

Hemos seguido la misma notacion que en los apuntes, el protocolo sigue el siguiente esquema:

Adela envıa a Benito: gxamod p = 37mod43 = 37.

Benito envıa a Adela: gxbmod p = 38mod43 = 25.

Benito calcula: 37xbmod p = 378mod43 = 36. Luego Ks = 36.

Adela calcula: 25xamod p = 257mod43 = 36. Luego Ks = 36.

12. Un usuario disena el siguiente sistema de firma electronico:

Entrada: Un mensaje en claro M

• Calcula H(M) = h

• Calcula Z satisfaciendo Z · h ≡ X mod (q − 1) donde X es la clave privada del firmante.

Firma: αZ.

Salida (mensaje firmado): Al mensaje M se le adjunta su firma (i.e. αZ).

Basado en el siguiente protocolo de clave publica:

Elementos publicos:q numero primo.α elemento primitivo de Zq.

Clave privada: X < q.

Clave publica: Y = αX mod q.

y en una funcion resumen, que denotamos por H (que se considera publica), que satisface paracualquier texto en claro M que mcd(h, q − 1) = 1 donde h = H(M).

Observese que cuando el emisor firmar el mensaje M , se verifica que Y = (αZ)h = αX mod q donde(Y es la clave publica del emisor), lo cual proporciona un metodo para comprobar al receptor, si elmensaje ha sido firmado por el emisor.

Cual de las siguientes afirmaciones es correcta:

Es un sistema valido de firma pues garantiza la integridad del mensaje y la identidad del remitente.

Suplantar la identidad del remitente es computacionalmente equivalente al problema del logaritmodiscreto (i.e. logα Y mod q).

X No es un buen sistema de firma pues es muy facil suplantar la identidad del remitente.

No es un buen sistema de firma porque no se comprueba el mensaje, pero al menos garantiza laidentidad del remitente.

Debido a que mcd(h, q− 1) = 1 se tiene que existe el inverso de h modulo q− 1, que denotamos i (i.e.i ·h mod q− 1 = 1). Teniendo en cuenta este detalle es muy facil suplantar la identidad del emisor, yaque dado un texto M cualquiera; podemos simular que lo firma el emisor E con clave publica Y , delsiguiente modo:

La firma del texto sera Y i (Y es la clave publica e i se puede calcular a partir de H(M) = h y q,ambos publicos). El receptor cuando reciba el mensaje firmado (i.e. M mas Y i) para verificar que loenvio E, procedera del siguiente modo:

(Y i)h mod q = Y

Al obtenerse la clave publica de E, el receptor aceptara que el mensaje M ha sido enviado por E.

13. Indique cual de las siguientes afirmaciones sobre un certificado digital es correcta:

Contiene las claves publica y privada del usuario, para permitir ası usarlo para firmas digitales.

X Solo contiene datos del usuario y su clave publica, no la privada.

Es como un DNI electronico: contiene datos del usuario pero ninguna clave; las claves las propor-ciona la autoridad de certificacion cuando son necesarias.

14. La principal funcion de una autoridad de certificacion es:

La generacion de claves seguras para garantizar la calidad de los certificados.

Mantener un deposito de claves para poder recuperar los certificados en caso de perdida.

X Ninguna de las anteriores.

15. Un aficionado a la Criptografıa inventa un nuevo criptosistema revolucionario, lo patenta y para mayorseguridad mantiene secretos los algoritmos en que se basa. Indique cual de las siguientes afirmacioneses correcta:

Al ser nuevo, es probable que los ataques a los criptosistemas anteriores no sean eficaces con unoque trabaja de modo diferente.

Los adversarios lo tienen mas difıcil al no saber que algoritmos se utilizan.

X La ocultacion de los algoritmos no anade seguridad sino que dificulta su validacion por parte deotros usuarios.


Criptografıa

26 de Septiembre de 2005

APELLIDOS: NOMBRE:El test se valora sobre 10 puntos. Cada respuesta correcta puntua lo mismo, cada respuesta fallida restaen proporcion al numero de opciones.

1. Sea T un texto en castellano con ındice de coincidencia 0′072. Sabemos que T se cifra con un cifradoclasico y que el ındice de coincidencia del texto cifrado es 0′035. El cifrado usado es:

Cifrado de desplazamiento. Cifrado afın.

Sustitucion monoalfabetica. X Polialfabetico.

Sabemos que en un texto cifrado por sustitucion monoalfabetica (desplazamiento, afın) su ındice decoincidencia es igual al del texto en claro.

2. Un texto cifrado usando Vigenere contiene tres apariciones de la secuencia de letras CGDRTHGH empe-zando en las posiciones 37, 1283 y 2291. ¿Cual es la longitud probable de la clave?

Es de longitud 1, por lo que se trata de un simple desplazamiento.

Es imposible. No puede tratarse de un texto cifrado con Vigenere.

X La clave es de longitud 7 o 14.

Usamos el test de Kasiski. Para ello calculamos las distancias a la que se encuentran las distintasapariciones de la misma secuencia, en este caso 1283 − 37 = 1246 = 2 · 7 · 89, 2291 − 1283 = 1008 =24 · 32 · 7. Finalmente hallamos el m.c.d(1246, 1008) = 14.

3. Un usuario ha disenado un criptosistema del modo siguiente: representa cada caracter por un valornumerico entero y elige una funcion f : IN → IN muy complicada (la clave). Cada caracter x se cifracomo f(x). Indique cual de las siguientes afirmaciones es correcta:

El sistema es muy seguro ya que el espacio de claves (las posibles funciones) es enorme.

X Es un sistema inseguro ya que es vulnerable al analisis de frecuencias.

Es mas o menos seguro dependiendo de la complejidad de la funcion elegida.

4. En un sistema se almacenan las contrasenas transformandolas del modo siguiente. Cuando un usuarioestablece su contrasena el sistema la completa con espacios o la trunca hasta 16 caracteres (si espreciso) y la usa como clave para cifrar con XOR una cadena fija de 32 espacios: el resultado es loque se almacena en un archivo de contrasenas. Indica en que medida este sistema esta protegido antela posibilidad de que el archivo de contrasenas caiga en poder de un atacante:

X Es inseguro ya que el atacante conoce el texto en claro (los espacios) y el resultado de cifrar, conlo que puede obtener las contrasenas.

Serıa seguro si se obligase a todos los usuarios a establecer contrasenas que no se puedan obtenerfacilmente con un ataque de diccionario o de fuerza bruta.

Es inseguro porque 16 caracteres es muy poco. Serıa mucho mas seguro si se obligara a usarcontrasenas muy largas.

5. Indique cual de las siguientes afirmaciones es verdadera:

Una funcion resumen puede usarse para cifrar ya que es computacionalmente imposible que unatacante pueda encontrar el texto en claro a partir del resumen.

X Una funcion resumen no puede usarse para cifrar ya que es computacionalmente imposible que eldestinatario pueda encontrar el texto en claro a partir del resumen.

Ninguna de las dos anteriores.

6. Indique la principal diferencia entre los criptosistemas simetricos y los de clave publica:

Los simetricos son mucho mas rapidos.

Los de clave publica son mucho mas seguros que los simetricos.

X Los de clave publica usan claves distintas para cifrar y descifrar, mientras que los simetricos usanla misma clave.

7. Indique cual de las siguientes afirmaciones sobre los criptosistemas de clave publica es correcta:

La seguridad de la mayorıa de ellos consiste en la dificultad de factorizar primos grandes.

Su arquitectura es tan revolucionaria que han dejado obsoletos los criptosistemas simetricos.

X Con ellos se resuelven problemas que no es posible resolver con criptosistemas simetricos.

8. Usando RSA con clave publica de modulo 200701 y exponente publico 5, un usuario ha obtenido 12como resumen de un mensaje y lo ha firmado obteniendo la firma F . Indique cual de los siguientesvalores para F es el valido:

F = 97861 F = 3345 X F = 19322

Si F es la firma del mensaje M con resumen 12 usando RSA con clave publica 4 y n = 200701.Entonces debe cumplirse que:

F 5 mod200701 = 12.

Tomando F = 19322 se cumple.

9. Un usuario del criptosistema RSA elige el modulo n como producto de dos primos muy grandesimpares consecutivos (dos primos de la forma p y p + 2). Indique cual de las siguientes afirmacioneses correcta:

El sistema es seguro e invulnerable a un ataque mediante la factorizacion de Fermat.

Es muy seguro ya que al estar muy proximos, los factores de n son muy grandes.

X Es inseguro ya que el atacante puede factorizar n resolviendo una ecuacion de segundo grado.

p(p + 2) = n.

Se trata de una ecuacion de segundo grado en p.

10. Un criptosistema RSA:

Es tanto mas seguro cuanto mas pequenos son los bloques en que se cifran los mensajes.

Es tanto mas seguro cuanto mas grandes son los bloques en que se cifran los mensajes.

Tiene siempre secreto perfecto.


La fortaleza del RSA se basa en la dificultad de la factorizacion del entero n.

11. La seguridad del criptosistema de ElGamal multiplicativo en el grupo ZZ∗p siendo p un numero primo

grande esta basada en:

La dificultad de encontrar la raız cuadrada de un elemento.

X La dificultad de resolver el problema del logaritmo discreto en ZZ∗p.


12. Un usuario firma sus mensajes con RSA haciendo un doble cifrado: primero cifra con su clave privaday luego con la clave publica del destinatario. Indique cual es la afirmacion mas acertada:

No es una firma ya que no se aplica primero una funcion resumen.

X Es una verdadera firma electronica, pero poco eficiente ya que se cifra dos veces todo el mensaje.

No es una firma ya que todo el mundo podrıa falsificarla.

13. Se propone una funcion resumen H cuyo funcionamiento pasamos a describir:

Entrada: texto en claro M.Salida: un resumen de 128 bits H(M).

• El mensaje se divide en bloques de 128 bits: B1, B2, . . . , Bn.• Se a~nade al final del mensaje tantos ceros como sea necesario para

que el ultimo bloque tenga exactamente 128 bits.• Construimos K, una cadena de 128 bits, del siguiente modo.

Inicialmente K es igual al primer bit de B1.Mientras K tenga menos de 128 bits

Si el ultimo bit de K se corresponde con el i-esimo bit del bloque Bj,entonces se a~nade a K:

el bit i-esimo del bloque Bj+1, si j < n.En otro caso, el bit i + 1-esimo del bloque B1.

Fin mientras• El resumen de M es el cifrado de B1 usando AES con K como clave.

X Es una funcion unidireccional. Es una funcion resistente a colisiones debiles.

Es un funcion resistente a colisiones fuertes. Ninguna de las anteriores.

No es resistente a colisiones pues dado un texto en claro M es facil encontrar otro que tenga la mismafuncion resumen. Por ejemplo, dado M construimos M ′ de la siguiente forma:

• B′1 = B1.

• El numero de bloques de M ′ va a ser mayor o igual a la longitud de K (i.e. 128).

• El primer bit de B′i va coincidir con el bit que ocupa la posicion i-esima en K con 1 < i ≤ 128.

• Los restantes bits de B′i pueden ser cualesquiera (por ejemplo 0). Al igual que los restantes

bloques.

Por otro lado, conocido H(M) = AES(B1,K) es muy costoso computacionalmente encontrar un men-saje M , pues nos estamos enfrentando al critoanalisis del AES. Luego es una funcion unidireccional.

14. Se propone una funcion resumen H ′ semejante a la del apartado anterior, siguiendo la misma notacionque en el apartado anterior, se considera el resumen de M directamente el valor de K, H ′(M) = K.

Es una funcion unidireccional. Es una funcion resistente a colisiones debiles.

Es un funcion resistente a colisiones fuertes. X Ninguna de las anteriores.

No es resistentes a colisiones, por el mismo argumento del apartado anterior. Tampoco es una funcionunidireccional, pues conocido K se puede construir un mensaje M tal que H(M) = K. Por ejemplo:

• El numero de bloques de M va a ser mayor o igual a la longitud de K (i.e. 128).

• El primer bit de Bi va coincidir con el bit que ocupa la posicion i-esima en K con 1 ≤ i ≤ 128.

• Los restantes bits de Bi pueden ser cualesquiera (por ejemplo 0). Al igual que los restantesbloques.

15. Alicia y Benito han ideado un sistema para intercambiar mensajes secretos sin necesidad de inter-cambiar claves ni usar sistemas de clave publica del modo siguiente. Para enviar Alicia un mensajeM a Benito, ambos generan aleatoriamente cadenas de bits NA y NB respectivamente y usando eloperador o exclusivo ⊕ envıan:

1. A → B : M1 = M ⊕NA

2. B → A : M2 = M1 ⊕NB

3. A → B : M3 = M2 ⊕NA

ası Benito obtiene el mensaje original M . Indique cual de las siguientes afirmaciones es correcta:

No funciona. Benito no puede recuperar el mensaje original.

X Funciona pero es inseguro ya que un atacante que intercepte las comunicaciones podrıa obtenerfacilmente NB .

Es seguro ya que tanto NA como NB se generan aleatoriamente y se usan una sola vez.

Es facil ver que funciona,i.e. Benito es capaz de leer el mensaje que Alicia le ha enviado. Para elloveamos que

M3 ⊕NB = M.

Tenemos:M3 = M2 ⊕NA = M1 ⊕Nb ⊕NA = M ⊕NB ⊕NA ⊕NA = M ⊕NB ,

se tieneM3 ⊕NB = M ⊕NB ⊕NB = M.

Como Benito conoce NB , concluimos que el sistema funciona.

Queda por ver que un atacante puede obtener NB . Para ello caigamos en el siguiente detalle:

M1 ⊕M2 = M1 ⊕M1 ⊕NB = NB .

Criptograf��a

10 de Mayo de 2006

APELLIDOS: NOMBRE:

En el siguiente test cada respuesta correcta aporta 1

3puntos, mientras que cada respuesta fallida

resta 1

12puntos.

1. Consid�erese un criptosistema RSA de clave p�ublica (n = 313591; e = 3). Se tiene que:

Es inseguro, porque se puede factorizar n f�acilmente seg�un el m�etodo de Fermat.

No es adecuado, porque existen demasiados mensajes que van en claro y no se cifran.

No es adecuado, porque existen muchos exponentes que descifran.


2. Sean las descomposiciones factoriales 556 = 22 � 139 y 562 = 2 � 281, as�� como la clave p�ublica RSA(n = 557 � 563; e = 1669).

El sistema es seguro, en tanto en cuanto los primos 139 y 281 son su�cientemente lejanos.

Es adecuado, en tanto en cuanto el n�umero de mensajes que van en claro se minimiza.

Es adecuado, en tanto en cuanto minimiza el n�umero de exponentes que permiten descifrar.

Es adecuado en todos los sentidos.

3. Se considera ahora el sistema RSA de clave p�ublica (n = 557 � 563; e = 156237).

Existen exactamente 9 mensajes que se cifran en claro.

Todos los mensajes se cifran en claro.

Existen exactamente 9 mensajes que no se cifran en claro.

Hay mensajes que se cifran en claro, y mensajes que no se cifran en claro.

4. Un elemento primitivo en ZZ37 es:

2. 3. 4. Ninguno de los anteriores.

5. En un criptosistema de ElGamal de clave p�ublica (p; �; �a) un intruso intercepta el mensaje cifrado(n; k), e identi�ca n como �2. En estas circunstancias:

El intruso puede descifrar el mensaje, aun cuando no puede saber el valor de a, con s�olo calcularel inverso i de (�a)2 en ZZp y realizar k � i (mod p).

El intruso puede descifrar cualquier mensaje enviado con este criptosistema, toda vez que puedecalcular el valor a de la clave privada.

El intruso no puede descifrar ning�un mensaje (ni siquiera el que ha interceptado), toda vez queno puede resolver el problema del logaritmo discreto.


6. Se considera un criptosistema ElGamal para p = 37, con elemento primitivo � = 5 en ZZ�

37 y clavep�ublica �

a = 13. Se sabe que un mensaje se ha cifrado en la forma (25; 30). El mensaje en claroconsiste en:

2. 13. 30. 12.

7. Se pretende utilizar el siguiente proceso como una funci�on resumen, no sabemos si segura o no. Dadoun texto k en binario de longitud l, se completa con tantos bits 0 como sean necesarios hasta conseguiruna longitud total sea de l = 2n bits. Mientras k conste de m�as de 8 bits (i.e. l > 8), se actualizak como n1XORn2, donde n1 representa la primera mitad de bits de k, y n2 representa la segundamitad de los bits de k (es decir, n1 = (k1; : : : ; k l

2

) y n2 = (k1+

l

2

; : : : ; kl)). El bucle termina cuando

l = 8 y devuelve un resumen de 8 bits. En estas condiciones se puede asegurar que:

No de�ne una funci�on resumen.

Es una funci�on resumen resistente a colisiones d�ebiles.

Es una funci�on resumen resistente a colisiones fuertes.


8. Se~nala la respuesta correcta:

La seguridad de un criptosistema debe recaer en que los algoritmos de cifrado y descifrado seandesconocidos.

La seguridad de un criptosistema reside en que la clave de descifrado sea �unica, independientementedel algoritmo elegido para cifrar y descifrar.

La seguridad de un criptosistema depende en que se utilice una funci�on de un solo sentido.


9. Se~nala la respuesta FALSA:

En cualquier criptosistema RSA hay al menos 9 mensajes que no se cifran, as�� como al menos dosclaves que permiten descifrar.

Cualquier criptosistema RSA bien dise~nado que cifre bloques de longitud 1 consiste en una susti-tuci�on.

En un criptosistema ElGamal es conveniente modi�car la m�ascara cada vez que se cifra un bloque.

En la pr�actica, es conveniente mezclar los criptosistemas sim�etricos y asim�etricos, de manera quepara transmitir la clave de sesi�on se utiliza una sola vez un criptosistema sim�etrico, para posteriormenteproceder al intercambio de mensajes utilizando el criptosistema asim�etrico con la clave de sesi�oninicialmente transmitida.

10. La principal causa por la que DES no es muy recomendable es porque el espacio de claves es reducido,256. Para aumentar la seguridad se propone el siguiente sistema de cifra iterado. Dado un mensajeM , se eligen k1 y k2 claves de 56 bits, y se sigue el siguiente esquema para cifrar:

M ! C1 = DES(M;k1)! C2 = DES(C1; k2)

donde C2 denota el cifrado de M y DES(J; k) el cifrado del mensaje J mediante DES con la clave k.

Supongamos conocido M y C2. Para hallar k1 y k2 por un ataque a fuerza bruta, hablando compu-tacionalmente el mejor m�etodo ser�a:

Para cada pareja de claves n1 y n2. Cifrar M seg�un el esquema descrito, DES(DES(M;n1); n2),y comparar con C2.

Hallar DES(M;n1) para cada clave n1 y hallar DES�1(C2; n2) para cada clave n2. Para cadapareja (n1; n2), comparar DES(M;n1) con DES

�1(C2; n2). (DES�1 indica descifrado).

Para cada pareja de claves n1 y n2. Hallar el par�DES(DES(M;n1); n2); DES

�1(DES�1(C2; n2); n1)�

y comparar con (C2; M).

S�olo se puede obtener k2 por un ataque a fuerza bruta.

11. Para comprobar la validez de una �rma digital, comparamos en destino dos funciones hash, la enviadapor el emisor y la obtenida en destino a partir del documento recibido. Si ambos valores son iguales

Los mensajes son distintos.

Los mensajes son iguales.

Los mensajes son iguales con una probabilidad dada por el tama~no del hash.

La funci�on hash no es la correcta.

12. El tama~no (en caracteres o bits) del criptograma y del texto claro.

Son siempre iguales.

Pueden ser distintos dependiendo s�olo del mensaje.

Pueden ser distintos dependiendo del criptosistema y del mensaje.

Son siempre distintos.

13. En un sistema de comunicaci�on segura como puede ser SSL, se usa

La criptograf��a sim�etrica para el intercambio de claves.

Un sistema de clave secreta para la gesti�on y obtenci�on de los certi�cados digitales.

La criptograf��a asim�etrica para la cifra de datos.

Un cifrado asim�etrico para intercambio de claves y �rma digital y uno sim�etrico para el cifrado dedatos.

14. Si se desea atacar un criptograma para romper un cifrado partiendo solamente de dicho texto cifrado,lo primero que realizar��a un criptoanalista ser��a

Contar el n�umero de caracteres que componen el texto cifrado y ver si se trata de un n�umeroprimo. Pues en este caso, sabemos que se trata de un cifrado RSA.

Realizar un an�alisis de frecuencia de los caracteres del texto cifrado, pues �este bien podr��a ser elresultado de alg�un tipo de cifrado por sustituci�on, cuyo criptoan�alisis es conocido y sencillo.

Leer el criptograma de derecha a izquierda buscando simetr��as, para identi�car si se ha utilizadoun criptosistema sim�etrico.


15. Sea M un texto en claro cuyo ��ndice de coincidencia vale 0:078, en un alfabeto de 4 caracteres. Paracifrar M se usa Vigen�ere con una clave de longitud 2, K = (k1; k2). Se tiene

ICM(Y1; Y2) = 0:01; ICM(Y1; Y2+1) = 0:033; ICM(Y1; Y2+2) = 0:034; ICM(Y1; Y2+3) = 0:07

donde Yi se corresponde con los caracteres del texto cifrado que ocupan posiciones de la misma paridadque i y ICM denota el ��ndice de coincidencia m�utuo.

k1 � k2 = 2 k2 � k1 = 0 k1 � k2 = 3 k2 � k1 = 3:


Criptografıa

28 de Junio de 2006

APELLIDOS: NOMBRE:En el siguiente test cada respuesta correcta aporta 2

3 puntos, mientras que cada respuesta fallidaresta 1

6 puntos.

1. Benito propone utilizar un cifrado del tipo de Vernam donde la clave consiste en los bits de un DVDde vıdeo y en el que para cada mensaje se utiliza un disco diferente. Indica la respuesta mas correcta:

Tiene secreto perfecto ya que la clave es siempre mas larga que el mensaje y se usa solo una vez.

No tiene secreto perfecto porque tiene el problema de acordar la lista de discos a utilizar.

X No tiene secreto perfecto ya que la clave no es verdaderamente aleatoria.


Solucion. La informacion del DVD que se va a usar como clave no es una secuencia aleatoria yaque contiene patrones predecibles y muchas repeticiones por lo que el sistema no puede poseer secretoperfecto.

2. Un texto cifrado con el criptosistema de Vigenere contiene tres apariciones de la secuencia CGDRTHGHempezando en las posiciones 37, 1283 y 2291. Indica la respuesta mas correcta:

X La clave es probablemente de longitud 14.

La clave es probablemente de longitud 8.

Los datos estan mal ya que serıa una clave de longitud 1.


Solucion. Aplicando el test de Kasiski buscamos divisores comunes a la separacion entre las apari-ciones del texto:

gcd(2291− 1283, 1283− 37, 2291− 37) = 14

con lo que 14 es la longitud mas probable para la clave.

3. Se ha interceptado el mensaje qc¿oqkq3qxq cifrado con un criptosistema afın y = a ·x + b usando elalfabeto de 64 caracteres indicado en las observaciones. Se sabe que el mensaje en claro correspondientecomienza y termina por el caracter a . Indica cual de las siguientes afirmaciones es mas correcta:

La clave es a = 3, b = 7.

La clave es a = 7, b = 11.

X Hay muchas claves que serıan validas.


Solucion. En ambos casos se transforma a en q , es decir, 1 en 18 lo que nos proporciona unaunica ecuacion con 2 incognitas: a · 1 + b = 18, que tiene multiples soluciones.

4. Alicia y Benito utilizan un intercambio de claves de Diffie-Hellman usando el primo p = 71 y generadorg = 21. Alicia elige el entero xa = 46 y envıa a Benito ya = 2146 = 9. Benito elige el entero xb = 57y envıa a Alicia yb = 2157 = 61. En estas condiciones la clave secreta intercambiada es:

61. X 16. 83. No se calcula bien porque ni 46 ni 57 son primos.

Solucion. Alicia obtiene la clave haciendo 6146mod 71. Si trabajamos en modulo 71 tenemos que

6110 = 30 ⇒ 6140 = 304 = 32 ⇒ 6146 = 6140 · 616 = 32 · 36 = 16

Del mismo modo, Benito harıa 957mod 71 = 16.

5. Antonio y Beatriz comparten una clave secreta k y han decidido usarla en el siguiente protocolo quepermite a Antonio autenticar a Beatriz como su interlocutora:

1 Antonio envıa a Beatriz una cadena aleatoria de bits r.

2 Beatriz responde a Antonio enviandole la cadena s = r ⊕ k.

3 Antonio valida la identidad de Beatriz calculando s⊕ k y comprobando que el resultado es r.

Indica cual de las siguientes afirmaciones es mas correcta:

X No se autentica fiablemente porque un atacante que interceptara r y s podrıa hallar k y hacersepasar por Beatriz.

No se autentica fiablemente porque hay muchas cadenas s que verifican que s⊕ k = r.

Es un buen metodo de autenticacion porque solo se transmite r que es una cadena aleatoria.


Solucion. Cualquier atacante que obtenga r y s podrıa hacer r⊕s = r⊕ r⊕k = k con lo que tendrıala clave.

6. Usando el criptosistema de Elgamal en ZZ∗11 con generador 6, un usuario con clave secreta 3 recibe el

mensaje (8, 5). El mensaje en claro correspondiente es entonces:

X 10

4

Los datos son erroneos ya que (8, 5) no es un mensaje valido cifrado con Elgamal.


Solucion. Para descifrar el mensaje hay que calcular 8 · 53mod 11 = 10.

7. Una de las caracterısticas del cifrado tipo Feistel (un ejemplo de este cifrado es DES) es:

X El algoritmo de descrifrado es exactamente igual que el de cifrado usando las mismas subclavesen cada ronda pero en orden opuesto (i.e., En la primera ronda del descifrado se usa como subclavela que se uso en la ultima ronda del cifrado y ası sucesivamente).

El algoritmo de descrifrado es exactamente igual que el de cifrado usando las mismas subclaves encada ronda en el mismo orden (i.e., En la primera ronda del descifrado se usa como subclave la quese uso en la primera ronda del cifrado y ası sucesivamente).

Las claves de sesion del cifrado y del descifrado son iguales y se usan en el mismo orden.

Hace uso solo de transposiciones.

Solucion. Ver apuntes de clase.

8. Se pretende utilizar el siguiente proceso como una funcion resumen, no sabemos si segura o no. Dadoun texto x en binario, x = x1 . . . xl, se anade un bit 0 en la ultima posicion si l es impar; en otrocaso, se deja tal cual. A la nueva longitud del texto x la denotamos por n (donde n = l o n = l + 1dependiendo de la paridad de l). El proceso termina devolviendo H(x) = SHA1(x′ ⊕ x′′) dondex′ = (x1 . . . xn

2) y x′′ = (xn

2 +1 . . . xn).

No define una funcion resumen.

Es una funcion resumen resistente a colisiones simples pero no a fuertes.

Es una funcion resumen resistente a colisiones simples y fuertes.


Solucion. Es obvio que el proceso define una funcion resumen. Lamentablemente presenta colisionessimples (y por consiguiente fuertes). Dado x es facil encontrar y tal que y′⊕ y′′ = x′⊕ x′′. Por tanto,va a tener colisiones debiles.

9. Dada la clave K = (k1, . . . km) con ki ∈ Z27, 1 ≤ i ≤ m. Construimos la siguiente secuencia cifrante:

S = s1 s2 . . . = k1, · · · , km, k1 + 1, . . . , km + 1, k1 + 2, . . . , km + 2, . . . (las sumas son modulo 27)

El cifrado en flujo asociado a S viene dado por:

Dada un texto en claro x = x1, x2, . . .

• e(xi) = xi ⊕ si

Este cifrado tiene secreto perfecto si para cada mensaje x usamos una clave K distinta y aleatoria.

El periodo de esta clave es al menos m27.

X A partir del texto cifrado se podrıa calcular la longitud de la clave K usando el ındice de coinci-dencia de un modo similar a como se hacia con el cifrado de Vigenere.


Solucion. Dividimos el texto cifrado Y = y1, y2, . . . filas del siguiente modo

Y1 = y1, ym+1 − 1, y2m+1 − 2, . . .Y2 = y2, ym+2 − 1, y2m+2 − 2, . . ....Ym = ym, y2m − 1, y2m+2 − 2, . . .

observese que el ındice de coincidencia de cada una de estas filas debe ser similar al del lenguaje, puestodas se tratan cifrados por desplazamiento simple.

10. Adela envıa a Benito un texto en claro incluyendo su firma digital con PGP. Supongamos que estemensaje ha sido interceptado por Diego.

Diego podra leer el mensaje solo si tiene instalado el PGP.

Diego podra leer el mensaje solo si tiene instalado el PGP y ademas la clave publica de Adela seencuentra en su anillo de claves publicas.

Diego podra leer el mensaje solo si tiene instalado la misma version del PGP y ademas la clavepublica de Benito se encuentra en su anillo de claves publicas.


Solucion. Como el mensaje va en claro cualquiera que lo intercepte lo podra leer, sin necesidad detener instalado PGP.

11. Un certificado digital:

Contiene las claves publicas y privada del usuario, firmadas con la clave privada de una autoridadcertificadora.

Contiene la clave publica del usuario, no la privada, firmada con la clave publica de una autoridadcertificadora.

X Contiene la clave publica del usuario, no la privada, firmada con la clave privada de una autoridadcertificadora.

Contiene la clave privada del usuario, no la publica, firmada con la clave publica de una autoridadcertificadora.

Solucion. Ver apuntes de clase.

12. De las siguientes posibilidades para e, senalar la mas apropiada de entre todas para formar una buenaclave publica RSA (109 · 1223, e):

15 X 35 3 13

13. Considerese un criptosistema RSA de clave publica (n = 396371, e = 35). Se tiene que:

X Es inseguro, porque se puede factorizar n facilmente segun el metodo de Fermat.

No es adecuado, porque existen demasiados mensajes que van en claro y no se cifran.

No es adecuado, porque existen muchos exponentes que descifran.


14. Sea la clave publica RSA (n = 1489 · 683, e = 3).

El sistema es seguro en todos los sentidos, en tanto en cuanto los primos 1489 y 683 son suficien-temente lejanos.

No es adecuado, en tanto en cuanto el numero de mensajes que van en claro es considerablementemayor que 9.

No es adecuado, en tanto en cuanto hay mas de dos exponentes que permiten descifrar.

X Ninguno de los anteriores.

15. Senalar el valor de n para el cual 2 no es elemento primitivo en ZZn:

11 13 X 17 Ninguno de los anteriores

Observaciones

Alfabeto de 64 caracteres:

· a b c d e f g h i j k l m n n

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15o p q r s t u v w x y z C 0 1 2

16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 313 4 5 6 7 8 9 @ ( ) { } < > = +

32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47- * / % & , ; . : ¿ ? ¡ ! ’

48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63

Documents

d-l)/ Mma1.eii.us.es/Material/Cripto_ii_Ex.pdf · Indicar si son verdaderas o falsas las siguientes afirmaciones, justificando las repuestas ... respuesta. o A B C D E 5. Con el