Criptografie Si Securitatea Informatiei. Aplicatii. 30.03.2012

Criptograe si Securitatea Informat iei.
Aplicat ii.
Colectivul de coordonare
David Naccache Emil Simion
Colectivul de autori
Adela Georgescu [cap.]
David Naccache [cap.]
Ruxandra-Florentina Olimid[cap.]
Andrei-George Oprina [cap.]
Stelut a Pricopie [cap.]
Emil Simion [cap.]
i
Prefat a
Intrand progresivn era informat iei, societat ile industrializate se gasesc n fat a unui paradox: pe
de o parte, puterea si inuent a Europei si a Americii de Nord au crescut semnicativ, n principal
datorita maiestriei modalitat ilor prin care se controleaza uxurile de informat ii, precum si valorii
crescute a datelor procesate. Pe de alta parte, dupa cum au demonstrat-o deja criza Wikileaks sau
viermele Stuxnet, apar noi amenint ari si vulnerabilitat i care fac ca dependent a noastra de sistemele
informat ionale sa e cruciala.
De aceea, dezvoltarea atacurilor cibernetice, precum si disponibilitatea online a instrumentelor
utilizate n activitatea de piraterie conduce la obiective strategice importante si cultiva necesitatea
de a pregati expert i pentru acest domeniu.
Criptograa este peste tot n jurul tau.

In timp ce tu citesti aceste randuri, n vecinatatea ta
se transmit informat ii cifrate prin telefoane mobile, relee de pay-TV, precum si routere wireless.
Mediul n care traim se schimba ntr-un ritm alert. Aceasta evolut ie este rezultatul progresului n
domeniul tehnologiilor hardware si al matematicii.
Criptograa aplicata s-a dezvoltat considerabil n ultimii ani, pentru a putea satisface cerint ele
crescute de securitate ale diverselor domenii legate de tehnologia informat iei, cum ar telecomuni-
cat iile, ret elistica, bazele de date, precum si aplicat iile de telefonie mobila. Sistemele criptograce
sunt din ce n ce mai complexe si mai tehnice si necesita din ce n ce mai multa putere de calcul
(de exemplu schema de cifrare perfect homomorfa a lui Gentry).

In plus, algoritmii criptograci
trebuie utilizat i mpreuna cu protocoale adecvate, a caror proiectare si nt elegere necesita o analiza
delicata.
Aceasta carte va ofera instrumentele necesare pentru a ncepe sa va dezvoltat i aptitudinile
n domeniul criptograei.

In timp ce citit i aceste randuri n limba romana, strainul care sunt va
ndeamna sa realizat i ca unele dintre cele mai luminate mint i care au adus contribut ii acestui dome-
niusi aveau originile n spat iul lingvistic si cultural romanesc. De exemplu, cel care a spart masina
de cifrat Purple a japonezilor, fapta care a dus la divulgarea secretelor diplomatice japoneze
nainte de intrarea Americii n cel de-al doilea razboi mondial, provenea din orasul Chisinau, Re-
publica Moldova, oras n care familia lui se mutase dupa plecarea din Bucuresti la sfarsitul anilor
1890. Stiint a secretelor are o lunga tradit ie n Romania, t ara care a fost nevoita constant sa se
bazeze pe propriile talente pentru a-si pastra independent a. Expert ii au prezis ca urmatoarele
razboaie vor ncepe n spat iul cibernetic. Autorii acestei cart i, care sunt pedagogi si cercetatori, au
importanta datorie morala de a lasa mostenire Romaniei astfel de talente vitale.
In trecut, am avut onoarea de a cunoaste sau a mentorul unor cercetatori si student i romani
foarte talentat i.

Intotdeauna am fost uimit de creativitatea acestora, de dorint a lor de a-si atinge
scopurile, precum si de daruirea pentru munca. Sper ca aceasta carte va contribui la dezvoltarea
continua de asemenea talente, astfel ncat domeniul stiint ic caruia i-am dedicat o buna parte a
viet ii mele sa benecieze de acest formidabil rezervor de talente.
Daca suntet i un student talentat si interesat de studii doctorale n domeniu, nu ezitat i sa ma
contactat i pentru sfaturi.
Prof. David Naccache
Universite Paris II, Pantheon-Assas, PRES Sorbonne Universites
Membru al laboratorului informatic al Ecole normale superieure. Paris, Frant a
ii
iii
Cuvant nainte
Lucrarea de fat a cont ine aplicat ii practice abordate de autori n cadrul seminariilor ce se
desfasoara la disciplina Criptograe si Securitate, la Facultatea de Matematica Informatica din
cadrul Universitat ii din Bucuresti, la masterul de Securitatea Tehnologiei Informat iei, organizat
de Academia Tehnica Militara, precum si la masterul de Teoria Codarii si Stocarii Informat iei,
organizat de Facultatea de Stiint e Aplicate din cadrul Universitat ii Politehnica Bucuresti.
Aceasta culegere de probleme este un prim pas n dezvoltarea colaborarii dintre scoala roman-
easca de criptologie si scoala franceza reprezentata n cazul de fat a de David Naccache, profesor la
universitatea Pantheon-Assas Paris II. Din acest motiv se regasesc, n culegerea de fat a, capitolele
dedicate principiilor criptologice si atacurilor n mediul de implementare, ce acopera un gol din
curricula sistemului de nvat amant din Romania, capitole elaborate n colaborare cu profesorul
David Naccache.
Materialul este structurat n capitole independente, ecare capitol ind constituit din trei part i:
prezentarea metodei (breviar teoretic), exemple de aplicare si probleme propuse spre rezolvare,
pentru ecare dintre acestea indicandu-se rezultatul ce trebuie obt inut.
Intrucat criptograa este o disciplina computat ionala, autorii au considerat utila introducerea
unui capitol special dedicat aplicat iilor software care pot constitui logistica necesara desfasurarii n
bune condit ii a laboratoarelor la aceasta disciplina.
In continuare consideram util sa denim unele dintre principalele not iuni utilizate n cadrul
acestei culegeri de probleme.
Criptologia este stiint a scrierilor secrete, avand drept obiect apararea secretului datelor si
informat iilor condent iale, cu ajutorul sistemelor criptograce.
Criptograa este latura defensiva a criptologiei, avand drept obiect de activitate elaborarea
(conceperea) sistemelor criptograce si a regulilor folosite.
Criptanaliza este latura ofensiva a criptologiei, avand drept obiect de activitate studierea sis-
temelor criptograce proprii pentru a le oferi caracteristicile necesare, astfel ncat acestea sa-si
ndeplineasca funct ia pentru care au fost concepute. Totodata criptanaliza poate analiza sistemele
criptograce ale tert elor part i (prin intermediul criptogramelor realizate cu ele) astfel ncat prin
spargerea acestora sa obt ina informat ii utile institut iei pe care o deserveste.
Prin algoritm criptogracnt elegem o mult ime de transformari uniinversabile prin care mult imea
mesajelor (textelor) clare dintr-o limba se transforma n mult imea M a criptogramelor.
Cheia de cifrare constituie o convent ie particulara, materializata, printr-un cuvant, fraza,
numar, sir numeric etc. si care dirijeaza (reglementeaza) operat ia de cifrare.
Un protocol criptograc este un set de reguli, ntre doi sau mai mult i parteneri, prin intermediul
caruia are loc o operat ie de autenticare si/sau transfer de cheie sau mesaje.
Un sistem criptograc este compus din trei elemente: algoritm de cifrare, sistem de generare al
cheilor si protocol de distribut ie al cheilor de cifrare.
Descifrarea este operat ia inversa cifrarii si ea consta n aplicarea sistemului de cifrare cunoscut
(n prezent a cheii corecte) asupra criptogramelor pentru aarea mesajului clar.
Decriptarea este operat ia prin care, numai pe baza analizei criptogramelor realizate cu un sistem
de cifru necunoscut, se pune n evident a mesajul clar care a fost criptograat si se determina
caracteristicile sistemului criptograc folosit pentru cifrare.
Dr. mat. Emil Simion
iv
Cuprins
1 Sistemul de cifrare Cezar 1
1.1 Breviar teoretic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2 Exercit ii rezolvate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.3 Exercit ii propuse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
2 Metoda substitut iei 5
3 Sistemul de cifrare Playfair 11
4 Sistemul de cifrare Hill 17
5 Sisteme de cifrare polialfabetice 23
6 Metoda transpozit iei 27
7 Sisteme mixte 31
v
vi CUPRINS
8 Generatoare pseudoaleatoare 35
9 Calcule n corpuri Galois 39
10 Algoritmul RIJNDAEL - Standardul AES 43
11 Criptanaliza cifrurilor bloc 51
12 Lema chinezeasca a resturilor 55
13 Sistemul de cifrare Merkle-Hellman 59
14 Sistemul de cifrare RSA 63
15 Sistemul de cifrare ElGamal 67
CUPRINS vii
16 Aritmetica pe curbe eliptice 69
17 Sistemul de cifrare ElGamal bazat pe curbe eliptice 73
18 Sistemul de cifrare Menezes-Vanstone 77
19 Funct ii de dispersie 81
20 Semnatura ElGamal 85
21 Semnatura DSA/ECDSA 87
22 Protocolul Die-Hellman de stabilire a cheilor 91
23 Protocolul Blom 93
24 Sistemul Shamir de partajare a secretelor 95
viii CUPRINS
25 Scheme de partajare a secretelor bazate pe CRT 97
26 Canale subliminale 99
27 Principii criptograce 101
28 Atacuri n mediul de implementare 105
29 Resurse software 107
29.1 CrypTool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
29.2 OpenSSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
29.3 Studiu de caz: Implementarea funct iilor criptograce n MAPLE . . . . . . . 111
29.4 PARI/GP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
30 Concursuri publice 119
31 Teste grila 127
31.1 Exercit ii . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
31.2 Raspunsuri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Bibiograe 135
Capitolul 1
Sistemul de cifrare Cezar
1.1 Breviar teoretic
Algoritmul de cifrare al lui Cezar este un sistem de cifrare monoalfabetic pentru care
textul clar este construit din literele alfabetului latin AZ si cheia de cifrare este reprezentata
de un num ar ntreg k {0, . . . , 25}.
In faza de preprocesare, delimitatorul de spat iu este ignorat sau nlocuit cu caracterul

cel mai put in frecvent din limba n care este textul clar (n limba roman a Q).
Fiecarei litere din textul sursa i se asociaza ordinea lexicograca x. Pentru cifrare, aceasta
se nlocuieste prin caracterul cod (x + k) mod 26. Pentru descifrare se utilizeaza regula
inversa: (x k) mod 26.
1.2 Exercit ii rezolvate
Exercit iul 1.2.1 Sa se cifreze mesajul:
CRIPTOGRAFIE
algoritmul utilizat ind cifrul lui Cezar cu cheia de cifrare k = 7.
Rezolvare: Se cifreaza litera cu litera, t inand cont de pozit ia ocupata de litere n alfabet:
- Literei C i corespunde x = 2, deci se va cifra n (2 + 7) mod 26 = 9 adica J;
- Literei R i corespunde x = 16, deci se va cifra n (17 + 7) mod 26 = 24, adica Y;
Se continua n mod analog pentru ecare litera si n nal se obt ine JYPWA VNYHM PL.
Exercit iul 1.2.2 Sa se decripteze mesajul:
JAJSN SHWDU YTQTL DXNQJ SHJNX LTQIJ SXXXX
algoritmul utilizat ind cifrul lui Cezar. Indicat i cheia de cifrare.
Rezolvare: Se veric a, pe rand, toate cheile posibile, pan a cand se obt ine un text cu sens.
In funct ie de lungimea cheii, corespondent a dintre literele textului clar si cele ale textului
cifrat devine:
1
2 CAPITOLUL 1. SISTEMUL DE CIFRARE CEZAR
x 0 1 2 3 4 5 6 ... 25
textul clar A B C D E F G ... Z
k = 1 B C D E F G H ... A
k = 2 C D E F G H I ... B
k = 3 D E F G H I J ... C
k = 4 E F G H I J K ... D
k = 5 F G H I J K L ... E
... .. .. .. .. .. .. .. .. ..
Se observa ca sistemul presupune nlocuirea ecarei litere cu litera corespunzatoare n
alfabetul rotit cu k pozit ii.
Decriptand ecare caracter n corespondentul sau clar se obt ine, pe rand:
- pentru k = 1 : IZIRM RGVCT XSPSK CWMPI RGIMW KSPHI RWWWW
- pentru k = 2 : HYHQL QFUBS WRORJ BVLOH QFHLV JROGH QVVVV
- pentru k = 3 : GXGPK PETAR VQNQI AUKNG PEGKU IQNFG PUUUU
- pentru k = 4 : FWFOJ ODSZQ UPMPH ZTJMF ODFJT HPMEF OTTTT
- pentru k = 5 : EVENI NCRYP TOLOG YSILE NCEIS GOLDE NSSSS
Dupa o regrupare a literelor, pentru k = 5 se obt ine: EVEN IN CRYPTOLOGY SI-
LENCE IS GOLDEN.
1.3 Exercit ii propuse
Exercit iul 1.3.1 Scriet i o aplicat ie care sa implementeze urmatoarele funct ii:
- cifrarea unui text cu ajutorul algoritmului de cifrare Cezar;
- descifrarea unui text cifrat cu algoritmul lui Cezar;
- decriptarea unui text, despre care se stie ca a fost cifrat prin metoda Cezar, prin gener-
area tuturor solut iilor posibile.
Vericat i rezultatul pe datele de intrare din exercit iile urmatoare.
MIRACLE
algoritmul utilizat ind cifrul lui Cezar, cheia de cifrare k = 3.
Raspuns: PLUDFOH.
CALCULATOR
Raspuns: NLWNF WLEZC.
1.3. EXERCIT II PROPUSE 3
ELECTRONIC MAIL
Raspuns: JQJHY WTSNH RFNQ.
DIGITAL SIGNATURE
Raspuns: FKIKV CNUKI PCVWT G.
IGQTI GYCUJ KPIVQ PXXXX
Raspuns: GEORGE WASHINGTON, k = 2.
UIPNB TKFGG FSTPO
Raspuns: THOMAS JEFFERSON, k = 1.
AREYY KYYOS VYUTM XGTZ
Raspuns: ULYSSES SIMPSON GRANT, k = 6.
CDTC JCON KPEQ NP
Raspuns: ABRAHAM LINCOLN, k = 2.
ECFDEPO ALCEJ
Raspuns: TRUSTED PARTY, k = 11.
EXAMEN CRIPTOGRAFIE
4 CAPITOLUL 1. SISTEMUL DE CIFRARE CEZAR
Raspuns: HADPH QFULS WRJUD ILH.
HADPH QFULS WRJUD ILH
Raspuns: EXAMEN CRIPTOGRAFIE, k = 3.
KANSAS CITY
Raspuns: OERWE WGMXC.
OERWE WGMXC
Raspuns: KANSAS CITY, k = 4.
Capitolul 2
Metoda substitut iei
Operat ia de cifrare se bazeaza pe o corespondent a biunivocantre alfabetul clar si alfabetul
cifrat. Se presupune ca alfabetul clar este format din cele 26 de litere (n limba romana far a
diacritice) plus delimitatorul de cuvant spat iul. Alfabetul cifrat poate format din aceeleasi
caractere sau doar din cele 26 de litere (ale limbii romane) caz n care spat iul se va nlocui cu
cea mai put in frecvent a litera (Q) sau se va ignora pur si simplu.

In continuare, delimitatorul
de cuvant este nlocuit cu litera Q.
Corespondent a dintre cele doua alfabete poate :
- aleatoare;
- pseudoaleatoare: plecand de la o parola se construieste alfabetul cifrat.
Intruc at n cazul corespondent ei aleatoare lucrurile sunt cat se poate de clare, vom
prezenta pe scurt o metoda de construct ie a corespondent ei n cel de-al doilea caz. Pornind
de la o parola, alfabetul cifrat este construit dupa urmatorul algoritm:
- se scriu, o singura data, n ordinea aparit iei, literele din parola;
- se scriu literele alfabetului care nu apar n parola.
Corespondent a ntre cele doua alfabete se realizeaza dupa regula alfabet n alfabet dupa
o permutare xa (aceasta poate chiar permutarea identic a iar la descifrare se aplica
aceelasi procedeu dar cu inversa permut arii ).
In funct ie de forma permutarii substitut ia se numeste:

- directa (alfabetul cifrat are acelasi sens lexicograc cu alfabetul clar, sunt n total 26
astfel de substitut ii). Exemplu de substitut ie directa:
A B C D E F G H I J K L M
G H I J K L M N O P Q R S
N O P Q R S T U V W X Y Z
T U V W X Y Z A B C D E F
5
6 CAPITOLUL 2. METODA SUBSTITUT IEI
- inversa (alfabetul cifrat are sens invers lexicograc cu alfabetul clar, sunt n total 26 de
astfel de substitut ii). Exemplu de substitut ie invers a:
U T S R Q P O N M L K J I
H G F E D C B A Z Y X W V
Reamintim aici trei exemple celebre (vechile coduri ebraice) de substitut ii reciproce (daca
litera X se substituie cu litera Y atunci Y se va substitui cu X) si anume:
- atbash (prima jumatate a literelor alfabetului se mapeaza n cea de-a doua jumatate n
ordine invers lexicograca):
Z Y X W V U T S R Q P O N
- albam (prima jumatate a literelor alfabetului se mapeaza n cea de-a doua jumatate n
ordine lexicograca):
- atbah:
A B C D J K L M E S T U V
I H G F R Q P O N Z Y X W
In cele ce urmeaza vom presupune faptul ca substitut ia este directa daca nu este specicat
altfel.
Denit ia 2.1 Un cifru de substitut ie liniar de la Z
m
la Z
m
(m ind numarul de caractere
al alfabetului sursa) poate descris prin funct ia f : Z
m
Z
m
denita prin f(x) = x+ cu
gcd(, m) = 1, funct ia de descifrare ind f
1
(x) =
1
(x ). Cheia de cifrare o formeaza
numerele si .
Observat ia 2.1 Cifrul de substitut ie are proprietatea de confuzie (ascunderea legaturii din-
tre textul clar si textul cifrat).
Exercit iul 2.2.1 Sa se construiasca alfabetul de cifrare cu ajutorul parolei
TESTARESISTEM
2.2. EXERCIT II REZOLVATE 7
iar apoi sa se cifreze mesajul IN CRIPTOGRAFIE NICI O REGULA NU ESTE AB-
SOLUTA. Permutarea care realizeaza corespondent a este:
0 1 2 3 4 5 6 7 8 9 10 11 12
25 24 23 22 21 20 19 18 17 16 15 14 13
13 14 15 16 17 18 19 20 21 22 23 24 25
12 11 10 9 8 7 6 5 4 3 2 1 0
Rezolvare:
Corepondent a dintre alfabetul clar si alfabetul de cifrare (nainte de realizarea permut arii)
este:
T E S A R I M B C D F G H
J K L N O P Q U V W X Y Z
Corepondent a dintre alfabetul clar si alfabetul de cifrare dupa realizarea permutarii este:
Z Y X W V U Q P O N L K J
H G F D C B M I R A S E T
Mesajul clar se proceseaza astfel nc at spat iul este nlocuit cu cea mai put in frecvent a
litera:
INQCRIPTOGRAFIEQNICIQOQREGULAQNUQESTEQABSOLUTA.
Mesajul cifrat va :
OHDXC OFMGQ CZUOV DHOXO DGDCV QIKZD HIDVB MVDZY BGKIM Z.
Exercit iul 2.2.2 Sa se descifreze mesajul:
DOJMD OVPGF OMATN BXXXX
algoritmul utilizat ind o substitut ie simpla determinata de cuvantul cheie PASSWORD.
Rezolvare:
Corespondent a dintre alfabetul clar si alfabetul de cifrare este:
P A S W O R D B C E F G H
I J K L M N Q T U V X Y Z
Mesajul clar devine (dupa o regrupare a literelor) GEORGE WALKER BUSH. Se observa
ca de aceasta data nu s-a mai folosit Q pe post de delimitator de cuvant.
Exercit iul 2.3.1 Dezvoltat i o aplicat ie care sa simuleze execut ia funct iilor de cifrare/descifrare
corespunzatoare metodei substitut iei.
Exercit iul 2.3.2 Dezvoltat i o aplicat ie care sa decripteze, prin metoda frecvent ei, mesajele
cifrate prin metoda substitut iei.
Exercit iul 2.3.3 Dezvoltat i o aplicat ie care sa decripteze, prin metoda atacului cu text clar
cunoscut, mesajele cifrate prin metoda substitut iei.
WEB DESIGN
algoritmul utilizat ind o substitut ie simpla determinata de cuvantul cheie BROWSER.
Raspuns: VSRWS PDAJ.
PUBLIC KEY
algoritmul utilizat ind o substitut ie simpla determinata de cuvantul cheie
ASYMMETRIC.
Raspuns: KQSFC YDEX.
ONCJB DFJPT DCJKN KKQTV TDSXXX
algoritmul utilizat ind o substitut ie simpla determinata de cuvantul cheie CRIPTOGRAFIE.
Raspuns: FRANKLIN DELANO ROOSEVELT.
EKBJO DSZAT NCGPF TJJTP YXXXX
algoritmul utilizat ind o substitut ie simpla determinata de cuvantul cheie CRIPTO.
Raspuns: JOHN FITZGERALD KENNEDY.
Exercit iul 2.3.8 Demonstrat i ca metoda de cifrare prin substitut ie este un sistem nchis.
PRIVATE KEY
BUCURESTI.
Raspuns: LNAVB PEFEY.
LNAVB PEFEY
algoritmul utilizat ind o substitut ie simpla determinata de cuvantul cheie BUCURESTI.
Raspuns: PRIVATE KEY.
ASSYMETRIC ENCRYPTION
BRASOV.
BPPYI OQNEA OJANY LQEKJ
algoritmul utilizat ind o substitut ie simpla determinata de cuvantul cheie BRASOV.
Raspuns: ASSYMETRIC ENCRYPTION.
Capitolul 3
Sistemul de cifrare Playfair
Sistemul Playfair, propus n anul 1854 de Charles Wheatstone dar promovat pentru
utilizare de Lordul Playfair, este unul dintre cele mai cunoscute sisteme de cifrare digrace
(transforma un grup de 2 litere ntr-un grup de alte doua litere). Acest sistem de cifrare este
foarte simplu de folosit si mult mai sigur decat sistemele de substitut ie monoalfabetice.
Descriemn continuare modul de utilizare n cazul alfabetului latin compus din 26 litere.
Literele alfabetului AZ sunt trecute ntr-un careu de 5 5 (litera I ind asimilata literei
J). Textul clar este preprocesat astfel nc at acesta sa e compatibil cu matricea de cifrare:
delimitatorul de cuvant este ignorat sau este nlocuit cu cea mai put in frecventa litera, litera
I este asimilata cu litera J, si daca este cazul, se adauga o litera la text pentru a avea un
numar par de digrame.
Regula de cifrare este urmatoarea:
i) Daca digrama care se doreste cifrata nu are literele pe aceeasi linie sau coloana, atunci
regula de cifrare este regula dreptunghiului, traseul ind pe vertical a de la cea de-a doua
litera a digramei catre prima litera. Sau, altfel spus, prima litera a perechii cifrate este aceea
care se gaseste pe aceeasi linie cu prima litera a perechii n clar.
ii) Daca digrama ce se doreste cifrata are literele pe aceeasi linie, atunci se aplica regula:
cifreaza la dreapta, descifreaza la stanga.
iii) Daca digrama ce se doreste cifrata are literele pe aceeiasi coloana, atunci se aplica
regula: cifreaza n jos, descifreaza n sus.
Observat ia 3.1 Daca o digrama apare n textul clar n ordine inversa atunci acelasi lucru
se va nt ampla si n textul cifrat.
Observat ia 3.2 Algoritmul Playfair nu are regula pentru cifrarea literelor duble: digramele
ce cont in doua litere identice sunt sparte prin introducerea articiala a unei alte litere.
Observat ia 3.3 Algoritmul Playfair apare ca o extindere, n sensul reducerii numarului de
tabele rectangulare folosite (de la doua la unul), al cifrului cu 2 tabele.
11
12 CAPITOLUL 3. SISTEMUL DE CIFRARE PLAYFAIR
Metoda cea mai freventa de atac a acestui tip de cifru consta n analiza frecvent ei di-
gramelor de text clar combinat a cu metoda comparat iei patternurilor din textul cifrat cu
patternuri din dict ionar.
Exercit iul 3.2.1 Sa se construiasca matricea de cifrare Playfair cu ajutorul parolei
CRIPTOGRAFIE
iar apoi sa se cifreze mesajul SI IN CRIPTOGRAFIE TACEREA ESTE AUR.
Rezolvare: Matricea Playfair se obt ine trecand literele din parola o singura data n careul
de 5 5 iar apoi celelalte litere ale alfabetului n ordine lexicograca:
C R I/J P T
O G A F E
B D H K L
M N Q S U
V W X Y Z
Mesajul este preprocesat, prin introducerea literei Q ca delimitator de cuvant si la nalul
mesajului (pentru ca acesta sa aiba lungime para):
SIQINQCRIPTOGRAFIEQTACEREAQESTEQAURQ.
Exemplicam pentru ecare caz cate o digrama:
SI - conform regulii de cifrare se formeaza dreptunghiul cu colt urile I si S parcurs n
sensul IQSP. Textul cifrat l constituie digrama formata din colt urile care nu apar n
textul clar, luate conform ordinii de parcurgere: QP.
QI - ntruc at literele sunt pe aceeasi coloana se aplica regula cifreaza n jos, descifreaza
n sus, obt in andu-se digrama XA ( X este litera situata sub Q si A este litera situata
sub I).
NQ - ntruc at literele sunt situate pe aceeasi linie se aplica regula cifreaza la dreapta,
descifreaza la stanga, obt in andu-se digrama QS(Q este in dreapta lui N si S este n
dreapta lui Q).
In continuare, respectand regulile de cifrare Playfair mesajul cifrat devine:

QPXAQ SRIPT CEDGF ETAUI OIGTO FUAUP AUEQI NXXXX.
UFRIL ERGPC RQAW
Algoritmul utilizat este cifrul lui Playfair, parola utilizata ind CRIPTOGRAFIE.
Rezolvare: Matricea Playfair este aceeasi din exercit iul anterior, ind formata pornind
de la aceeasi parola.
Exemplicam pentru ecare caz operat ia de descifrare pe cate o digrama:
UF - conform regulii de descifrare, se formeaza dreptunghiul cu colt urile U si F. Textul
clar l constituie celelalte 2 colt uri, primul caracter al textului clar ind cel care se
gaseste pe aceeasi linie cu primul caracter n clar din digrama. Se obt ine SE.
RI - ntruc at literele sunt situate pe aceeasi linie se aplica regula cifreaza la dreapta,
descifreaza la stanga, obt inandu-se digrama CR(R este in stanga lui R si R este n
stanga lui I).
LE - ntruc at literele sunt pe aceeasi coloana se aplica regula cifreaza n jos, descifreaza
n sus, obt in andu-se digrama ET (E este litera situata deasupra lui L si T este litera
situata deasupra lui E).
In continuare, respectand regulile de descifrare Playfair mesajul cifrat devine:

SECRET WRITING.
Exercit iul 3.3.1 Scriet i o aplicat ie care sa implementeze urmatoarele funct ii:
- cifrarea unui text cu ajutorul algoritmului Playfair;
- descifrarea unui text cifrat cu algoritmul Playfair;
SECURITY IS CHANGING FIELD
Algoritmul utilizat este cifrul lui Playfair, parola utilizata ind CHANNEL.
Raspuns: UAEQQ KYNMQ HANEL PEFLO CGMA.
AUTONOMOUS ATTACK AGENTS
Algoritmul utilizat este cifrul lui Playfair, parola utilizata ind MALICIOUS.
Raspuns: UFNDV EOESB CPZQL MFCHF PNGL.
VALUABLE SOURCE OF REFERENCE
Algoritmul utilizat este cifrul lui Playfair, parola utilizata ind INSTITUTE.
Raspuns: WERDB CFDNP DZDAM GMDMF MDTABV.
THE CIRCLE
Algoritmul utilizat este cifrul lui Playfair, parola utilizata ind ALBUM.
Raspuns: POFDKQDAKB.
KDDPM RUBVR PTSFU HPEBV
Algoritmul utilizat este cifrul lui Playfair, parola utilizata ind PASSWORD.
Raspuns: GERALD RUDOLPH FORD.
KDPEK DOSTF RDRXB NBBBB
Raspuns: GEORGE WALKER BUSH.
KDPEK DKBDC RDQOP MTKDC XPNS
Raspuns: GEORGE HERBERT WALKER BUSH.
GBQY YAAO RNBM
Algoritmul utilizat este cifrul lui Playfair, parola utilizata ind TEST.
Raspuns: HARRY TRUMAN.
PIGOY CLETY AEYLQ VSFWN
Algoritmul utilizat este cifrul lui Playfair, parola utilizata ind CRYPTOOL.
Raspuns: THE ART OF PROGRAMMING.
SINAIA
Algoritmul utilizat este cifrul lui Playfair, parola utilizata ind SECRET KEY.
Raspuns: RFOYHB.
RFOYHB
Algoritmul utilizat este cifrul lui Playfair, parola utilizata ind SECRET KEY.
Raspuns: SINAIA.
PREDEAL
Raspuns: RFRBD ONU.
RFRBD ONU
Raspuns: PREDEAL.
Capitolul 4
Sistemul de cifrare Hill
Sistemul de cifrare Hill este o metoda de substitut ie poligraca bazata pe calcule efectuate
n algebra mod p.
In faza de preprocesare delimitatorul de spat iu este ignorat sau nlocuit cu caracterul cel
mai put in frecvent din limba n care este textul clar (n limba romana Q).
Algoritmul proceseaza un bloc de date M de n caractere (litere), cheia de cifrare ind
reprezentata de o matrice K de dimensiune n n, inversabila mod p.
Exista doua subclase ale algoritmului Hill pentru care regulile de cifrare difera prin or-
dinea n care se efectueaza nmult irile: o prima subclasa are ca regula de cifrare operat ia de
nmult ire C = MK cu descifrarea M = CK
1
iar a doua subclasa foloseste ca regula de
cifrare nmult irea C = KM av and descifrarea corespunzatoare M = K
1
C.
Observat ia 4.1 Daca matricea K este simetrica (matricea K si transpusa ei sunt egale)
atunci regulile de cifrare pentru cele doua subclase sunt echivalente.
Observat ia 4.2

In cazul alfabetului latin p = 26, cheia de cifrare K trebuie sa e o matrice
inversabila mod 26.
BLAZE OF GLORY.
Algoritmul utilizat este cifrul lui Hill (2 2), cheia de cifrare ind matricea:
_
J B
V I
_
.
17
18 CAPITOLUL 4. SISTEMUL DE CIFRARE HILL
Rezolvare: Prin nlocuirea literelor din cheie cu pozit iile corespunzatoare din alfabet (A
- 0, B - 1, etc.) se obt ine:
K =
_
9 1
21 8
_
.
Textul clar se sparge n blocuri de 2 caractere, care se cifreaza pe rand. De exemplu, BL
corespunde matricii
M =
_
1 11
_
.
Digrama se cifreaza n:
C =
_
1 11
_
_
9 1
21 8
_
mod 26 =
_
6 11
_
=
_
G L
_
.
Deci, BL se cifreaza n GL. Se continu a n mod analog.

In nal se obt ine:
GLFSS MPBDT HB.
JESHB JJAZM TANCF VBJXX.
_
H U
D F
_
.
Rezolvare: Prin nlocuirea literelor din cheie cu pozit iile corespunzatoare din alfabet (A
- 0, B - 1, etc.) se obt ine:
K =
_
7 20
3 5
_
.
Se determina inversa matricei K mod 26 :
K
1
= det(K)
1
K
mod 26, unde

det(K)
1
mod 26 = (7 5 3 20)
1
mod 26 = (25)
1
mod 26 = 1
si
K
=
_
5 20
3 7
_
mod 26 =
_
5 6
23 7
_
.
S-a obt inut:
K
1
=
_
5 6
23 7
_
.
Pentru descifrarea perechii JE, se determina matricea linie care cont ine valorile core-
spunzatoare din alfabet:
C =
_
J E
_
=
_
9 4
_
.
Prin nmult ire cu cheia de descifrare se obt ine:
M =
_
9 4
_
_
5 6
23 7
_
mod 26 =
_
7 4
_
=
_
H E
_
.
Deci, JE se descifreaza n HE.
Se procedeaza n mod analog pentru toate perechile de cate 2 caractere cifrate: SH se
descifreaza n RB, BJ n ER, etc.
In nal, dupa efectuarea tuturor calculelor si regruparea literelor, se obt ine: HERBERT
CLARK HOOVER.
Exercit iul 4.3.1 Scriet i o aplicat ie care sa implementeze funct iile de cifrare si descifrare,
specice algoritmului Hill cu p = 26.
COMPLETE AND PROPER PACKAGE.
Algoritmul utilizat este cifrul lui Hill, cheia de cifrare ind matricea:
_
N T
C R
_
.
Raspuns: GIZTL MLCNN MBTML UMDMI AUYC.
ESOTERIC TOPIC OF RESEARCH.
_
B Y
G P
_
.
Raspuns: ICYXC NUOZQ LMIYD LICES DWHM.
BENJAMIN HARRISON.
_
_
A B C
B C A
C A B
_
_
.
Rapuns: EJPYJ EBIXZ IRUSE ANA.
ZKNAW NIOZO BRXSW QNNXX.
_
B E
V H
_
.
Rapuns: RONALD WILSON REAGAN.
ZPXUB IRHNU VXWSP DJTNN.
_
J D
X C
_
.
Rapuns: RICHARD MILHOUS NIXON.
EJPYJ EBIXZ IRUSE ANA.
Algoritmul utilizat la cifrare este cifrul lui Hill (3 3), cheia de cifrare ind matricea:
_
_
A B C
B C A
C A B
_
_
.
Rapuns: BENJAMIN HARRISON.
NYNAF JUWBL ZXANM NGLEI JQWF
_
J S
W V
_
.
Raspuns: FINAL ROUND TRANSFORMATION.
NKTNM QZQEY WVDIA CIGMG.
_
D I
K B
_
.
Raspuns: RETRIEVE YOUR BAGGAGE.
Exercit iul 4.3.10 Demonstrat i ca algoritmul lui Hill este un algoritm de cifrare nchis.
OPERATIONAL RESEARCH.
_
F H
H I
_
.
Raspuns: TKJID WIMNN SFQQU CVFLD.
TKJID WIMNN SFQQU CVFLD.
_
F H
H I
_
.
Raspuns: OPERATIONAL RESEARCH.
CRYPTOLOGY.
_
T E
S T
_
.
Raspuns: CVWPB KFWCS.
NAVAJO CODE.
_
L Q
L J
_
.
Raspuns: NNXXL RMSTR.
CVWPB KFWCS.
_
T E
S T
_
.
Raspuns: CRYPTOLOGY.
NNXXL RMSTR.
_
L Q
L J
_
.
Raspuns: NAVAJO CODE.
Capitolul 5
Sisteme de cifrare polialfabetice
Un sistem de cifrare de tip substitut ie polialfabetica este generalizarea sistemului de
cifrare de substitut ie monoalfabetica, ind compus dintr-un numar N de alfabete. Fiecare
alfabet reprezinta o permutare (stabilita n funct ie de parola) a alfabetului de intrare. Al-
goritmul de cifrare consta n substituirea celei de a ia litere m din textul clar cu litera
corespunzatoare din cel de al i mod N alfabet.
Sistemele polialfabetice sunt usor de identicat prin aplicarea analizei frecvent elor de
apatit ie a literelor n secvent e decimate din textul cifrat.
Un exemplu de sistem polialfabetic este algoritmul lui Vigenère n care parola k
1
, . . . , k
n
este folosita periodic pentru a transforma caracterul m
j
{A, . . . , Z} din textul clar dupa
formula: c
j
= (m
j
+ k
j mod n
) mod 26. Pentru descifrare se foloseste formula: m
j
= (c
j

k
j mod n
) mod 26.
Atacul sistemelor polialfabetice este similar cu atacul a N sisteme de substitut ie monoal-
fabetica. Deci, o procedura de tip divide et impera are o complexitate de O(N). Procedura
este descrisa n continuare:
Intrare: Textul cifrat de lungime M sucient de mare.
Iesire: Textul clar corespunzator sistemului de cifrare polialfabetic.
PASUL 1. Determina num arul de alfabete N.
PASUL 2. Pentru j = 0 to 4 executa:
pentru i = 1 to N j executa:
aplica procedura de reconstruct ie part ial a (pe baza frecvent elor
(j + 1)gramelor) a alfabetelor i, . . . , i +j.
PASUL 3. Conform celor N alfabete reconstruieste textul clar.
Observat ia 5.1 Procedura descrisa mai sus are ca parametru implicit de analiza numarul
maxim de legaturi 4 : astfel, 1gramele sunt caracterele, 2gramele sunt dublet ii, etc.
23
24 CAPITOLUL 5. SISTEME DE CIFRARE POLIALFABETICE
Exercit iul 5.2.1 Sa se cifreze mesajul WINDS OF CHANGE cu ajutorul algoritmului Vi-
genère, parola ind FUTURE.
Rezolvare: Aplicand cifrarea pentru ecare caracter al textului clar, t in and cont de pozit ia
acestora n alfabet, se obt ine:
j m
j
k
j(mod6)
c
j
= (m
j
+k
j(mod6)
)(mod26)
1 W 22 F 5 (22 + 5)(mod 26) = 1 B
2 I 8 U 20 (8 + 20)(mod 26) = 2 C
3 N 13 T 19 (13 + 19)(mod 26) = 6 G
4 D 3 U 20 (3 + 20)(mod 26) = 23 X
5 S 18 R 17 (18 + 17)(mod 26) = 9 J
6 O 14 E 4 (14 + 4)(mod 26) = 18 S
7 F 5 F 5 (5 + 5)(mod 26) = 10 K
8 C 2 U 20 (2 + 20)(mod 26) = 22 W
9 H 7 T 19 (7 + 19)(mod 26) = 0 A
10 A 0 U 20 (0 + 20)(mod 26) = 20 U
11 N 13 R 17 (13 + 17)(mod 26) = 4 E
12 G6 E 4 (6 + 4)(mod 26) = 10 K
13 E 4 F 5 (4 + 5)(mod 26) = 9 J
Rezulta textul cifrat: BCGXJ SKWAU EKJ.
Exercit iul 5.2.2 Sa se descifreze mesajul IHWGZ CIHGO GKAJV OI stiind ca a fost
cifrat cu ajutorul algoritmului Vigenère, parola ind PASSWORD.
Rezolvare: Aplicand descifrarea pentru ecare caracter al textului cifrat, t inand cont de
pozit ia acestora n alfabet, se obt ine:
j c
j
k
j(mod8)
m
j
= (c
j
k
j(mod8)
)(mod26)
1 I 8 P 15 (8 15)(mod 26) = 19 T
2 H 7 A 0 (7 0)(mod 26) = 7 H
3 W 22 S 18 (22 18)(mod 26) = 4 E
4 G6 S 18 (6 18)(mod 26) = 14 O
5 Z 25 W 22 (25 22)(mod 26) = 3 D
6 C 2 0 14 (2 14)(mod 26) = 14 O
7 I 8 R 17 (8 17)(mod 26) = 17 R
8 H 7 D 3 (7 3)(mod 26) = 4 E
9 G6 P 15 (6 15)(mod 26) = 17 R
10 O 14 A 0 (14 0)(mod 26) = 14 O
11 G6 S 18 (6 18)(mod 26) = 14 O
12 K 10 S 18 (10 18)(mod 26) = 18 S
13 A 0 W 22 (0 22)(mod 26) = 4 E
14 J 9 0 14 (9 14)(mod 26) = 21 V
15 V 21 R 17 (21 17)(mod 26) = 4 E
16 O 14 D 3 (14 3)(mod 26) = 11 L
17 I 8 P 15 (8 15)(mod 26) = 19 T
Dupa gruparea literelor rezulta: THEODORE ROOSEVELT.
Exercit iul 5.3.1 Sa se cifreze mesajul OPTIMISTIC cu ajutorul algoritmului Vigenère,
folosind parola GOODDAYS.
Raspuns: UDHLPIQLOQ.
Exercit iul 5.3.2 Sa se cifreze mesajul THANK YOU cu ajutorul algoritmului Vigenère,
folosind parola POLITE.
Raspuns: IVLVD CDI.
Exercit iul 5.3.3 Sa se cifreze mesajul GOING BACK IN TIME cu ajutorul algoritmului
Vigenère, folosind parola MEMORY.
Raspuns: SSUBX ZMGW WE RUQQ.
Exercit iul 5.3.4 Sa se cifreze mesajul FAST CARS cu ajutorul algoritmului Vigenère,
folosind parola RADAR.
Raspuns: WAVT TRRV.
26 CAPITOLUL 5. SISTEME DE CIFRARE POLIALFABETICE
Exercit iul 5.3.5 Sa se cifreze mesajul SUITCASE cu ajutorul algoritmului Vigenère, folosind
parola TRIP.
Raspuns: LLQIVRAT.
Exercit iul 5.3.6 Sa se descifreze mesajul WIUXGHG WXGALFYK stiind ca a fost cifrat
cu ajutorul algoritmului Vigenère, parola ind TEST.
Raspuns: DECENDO DECISMUS.
Exercit iul 5.3.7 Sa se descifreze mesajul UAEGQD OOGAT stiind ca a fost cifrat cu
ajutorul algoritmului Vigenère, parola ind TANGO.
Raspuns: BARACK OBAMA.
Exercit iul 5.3.8 Sa se descifreze mesajul XVLGM OXLDC stiind ca a fost cifrat cu aju-
torul algoritmului Vigenère, parola ind BRIDE.
Raspuns: WEDDING DAY.
Exercit iul 5.3.9 Sa se descifreze mesajul IHZSV SKIEE CHWPU ACSH stiind ca a fost
cifrat cu ajutorul algoritmului Vigenère, parola ind PARADOX.
Raspuns: THIS SENTENCE IS FALSE.
Exercit iul 5.3.10 Sa se descifreze mesajul MYEYS VOJFQ ZAVLL N stiind ca a fost
cifrat cu ajutorul algoritmului Vigenère, parola ind TRANSILVANIA.
Raspuns: THE LAND OF DRACULA.
Exercit iul 5.3.11 Sa se cifreze mesajul OPERATIONAL RESEARCH cu ajutorul algorit-
mului Vigenère, folosind parola PASSWORD.
Raspuns: DPWJW HZRCA DJAGV DGCZ.
Exercit iul 5.3.12 Sa se descifreze mesajul DPWJW HZRCA DJAGV DGCZ stiind ca a
fost cifrat cu ajutorul algoritmului Vigenère, parola ind PASSWORD.
Exercit iul 5.3.13 Sa se cifreze mesajul CRIPTOGRAFIE cu ajutorul algoritmului Vi-
genère, folosind parola TEST.
Raspuns: VVAIM SYKTJ AX.
Exercit iul 5.3.14 Sa se descifreze mesajul VVAI MSYK TJAX stiind ca a fost cifrat cu
ajutorul algoritmului Vigenère, parola ind TEST.
Raspuns: CRIPTOGRAFIE.
Capitolul 6
Metoda transpozit iei
Metoda transpozit iei asigura, n cadrul sistemelor criptograce, realizarea difuziei: m-
prastierea proprietat ilor statistice ale textului clar n textul cifrat. Metoda transpozit iei
mbraca mai multe forme: textul este citit ntr-o forma matriceala linie cu linie sau coloana
cu coloana, se permuta liniile si/sau coloanele, rezultatul ind apoi scris linie cu linie sau
coloana cu coloana. Spre exemplu, n cazul transpozit iei coloanelor, textul clar se citeste,
linie cu linie, ntr-o forma tabelara cu n coloane, acesta ind scris pe coloane n funct ie de
cheia de cifrare reprezentata de o permutare din
n
.
Daca dimensiunea textului clar nu este un multiplu de n atunci acesta se poate completa
sau nu cu un caracter bine precizat.

In faza de preprocesare delimitatorul de spat iu este
ignorat sau nlocuit cu caracterul cel mai put in frecvent din limba n care este textul clar (n
limba romana Q).
Exercit iul 6.2.1 Sa se cifreze prin metoda transpozit iei (N = 12), pornind de la parola
CRIPTOGRAFIE
mesajul SI IN CRIPTOGRAFIE TACEREA ESTE AUR.
Rezolvare: Vom construi secvent a numeric a de cifrare asociind ecarei litere din parola
indicele din ordinea lexicograca: astfel literele din parola, scrise n ordine lexicograca sunt:
1 2 3 4 5 6 7 8 9 10 11 12
A C E F G I I O P R R T
deci parola CRIPTOGRAFIE produce permutarea: 2 10 6 9 12 8 5 11 1 4 7 3.
27
28 CAPITOLUL 6. METODA TRANSPOZIT IEI
Textul clar este scris ntr-o tabela cu 12 coloane:
2 10 6 9 12 8 5 11 1 4 7 3
S I Q I N Q C R I P T O
G R A F I E Q T A C E R
E A Q E S T E Q A U R Q
Deoarece lungimea textului nu este divizibila cu 12 vom completa ultimul rand cu o secvent a
cunoscuta (n acest caz caracterul Q). Textul cifrat se obt ine citind coloanele tabelei de
cifrare n ordinea indicata de parola numerica: IAASG EORRQ PCUCQ EQAQT ERQET
IFEIR ARTQN IS.
Descifrarea se va realiza n mod similar folosind permutarea inversa
1
.
Daca dimensiunea transpozit iei N este mai mica decat lungimea parolei atunci se vor
ret ine N caractere din parola.
Exercit iul 6.3.1 Scriet i un program care sa implementeze funct iile de cifrare/descifrare
specice metodei transpozit iei coloanelor.
ELECTRIC HOTPLATE
printr-o transformare de tip transpozit ie cu ajutorul permutarii = (2, 1, 3).
Raspuns: LTCOL EECIH PTERQ TAQ.
CERCETARI OPERATIONALE
Raspuns: EEROR IAQRT IPAOL QCCAQ ETNE.
Exercit iul 6.3.4 Sa se cifreze mesajul CRIPTOGRAFIE prin metoda transpozit iei uti-
lizand permutarea = (4, 2, 1, 3). Vericat i rezultatul obt inut.
EORSE TOROE LHDEO VT
cifrat printr-o transformare de tip transpozit ie cu ajutorul permutarii = (2, 3, 1).
Raspuns: THEODORE ROOSEVELT.
SFCME TAEAE NLR
Raspuns: STEFAN CEL MARE.
HTZMA VEUII IAL
Raspuns: MIHAI VITEAZUL.
NMTMA STEDI NEINO NT
Raspuns: SENTIMENT DOMINANT.
TDDDR TEAAU EIASN RLCPR
Raspuns: STANDARDUL DE CRIPTARE.
Exercit iul 6.3.10 Demonstrat i ca algoritmul de cifrare ce utilizeaza transpozit ia este un
sistem nchis.
CERCETARI OPERATIONALE
Raspuns: EERPAOLCC AORIARTIETNE.
EERPAOLCC AORIARTIETNE
Raspuns: CERCETARI OPERATIONALE.
OPERATIONAL RESEARCH
printr-o transformare de tip transpozit ie cu ajutorul permutarii = (2, 1, 4, 3).
Raspuns: PTASC OANER RORAE ILEH.
PTASC OANER RORAE ILEH
cifrat printr-o transformare de tip transpozit ie cu ajutorul permutarii = (2, 1, 4, 3).
30 CAPITOLUL 6. METODA TRANSPOZIT IEI
Capitolul 7
Sisteme mixte
Sistemele mixte au la baza o cifrare succesiva a mesajului prin metoda substitut iei si
apoi prin metoda transpozit iei sau invers.
Atacarea sistemul de cifrare se realizeaza de la ultima sa component a catre prima. Re-
marcam faptul ca substitut ia simpla este comutativ a cu operat ia de transpozit ie deci se
poate oricand aborda mai nt ai substitut ia si apoi transpozit ia.

In cazul utilizarii unui sis-
tem polialfabetic, cu numar necunoscut de alfabete, recomandarea este ca dupa stabilirea,
prin metode statistice, a num arului de alfabete, sa se abordeze concomitent identicarea
efectiva a alfabetelor si al transpozit iei utilizate.

In cazul utilizarii unui sistem poligrac
(tabele de cifrare) si o transpozit ie este recomandabila o tehnica de tip backtracking.
Exercit iul 7.2.1 Sa se cifreze mesajul GEOMETRIC FIGURE cu ajutorul algoritmului lui
Cezar (k = 5) si al transpozit iei = (2, 1, 3).
Rezolvare: Mai nt ai textul este cifrat cu sistemul Cezar folosind cheia k = 5, deci
corespondent a dintre cele 2 alfabete devine:
text clar A B C D E F G H I ...
text cifrat F G H I J K L M N ...
Astfel se obt ine: LJT RJY WNH KNL ZWJ. Apoi, textul obt inut se aseaz a ntr-o tabela
cu 3 coloane:
31
32 CAPITOLUL 7. SISTEME MIXTE
2 1 3
L J T
R J Y
W N H
K N L
Z W J
Textul cifrat se determina citind pe coloane n ordinea indicata de permutare (coloana
din mijloc, apoi cea din stanga si n nal cea din dreapta): JJNNWLRW KZTYHLJ .
Exercit iul 7.2.2 Sa se decripteze mesajul urmator:
DKVUR UTUBK WFCVG ETGOC XWVWC
OCVPQ VUVWG FGHTQ VKUUV KKNKC
RKCPQ OQFKC EWVG
stiind ca a fost cifrat cu ajutorul algoritmului lui Cezar (k = 2) si supracifrat prin metoda
transpozit iei utilizand permutarea (3, 2, 1).
Rezolvare: Cum substitut ia si transpozit ia sunt comutative, putem mai ntai decripta
mesajul folosind Cezar cu cheia k = 2 si apoi decripta prin metoda transpozit iei.
Pentru decriptarea mesajului folosind metoda Cezar cu k = 2, ecare caracter senlocuieste
cu caracterul situat cu 2 pozit ii mai nainte n alfabet:
text cifrat A B C D E F G H I ...
text clar Y Z A B C D E F G ...
Dupa decriptare, textul devine: BITSP SRSZI UDATE CREMA VUTUA MATNO
TSTUE DEFRO TISST IILIA PIANO MODIA CUTE .
Acesta reprezint a un text cifrat prin metoda transpozit iei. Cum textul are 64 de car-
actere si permutarea este de lungime 3, atunci numarul de litere pe coloane este: 21, 21 si
22. Coloanele cu numai 21 de caractere sunt cele care corespund valoriilor luate n ordine
descrescatoare din permutarea invers a
1
= (3, 2, 1):
3 2 1
B U S
I T S
T U T
S A I
P M I
S A L
R T I
S N A
Z O P
I T I
U S A
D T N
A U O
T E M
E D O
C E D
R F I
E R A
M O C
A T U
V I T
E
1 2 3
S U B
S T I
T U T
I A S
I M P
L A S
I T R
A N S
P O Z
I T I
A S U
N T D
O U A
M E T
O D E
D E C
I F R
A R E
C O M
U T A
T I V
E
Dupa rearanjarea coloanelor conform permut arii inverse
1
se obt ine tabela din dreapta.
Citind pe linii se descopera textul clar: SUBSTITUTIA SIMPLA SI TRANSPOZITIA SUNT
DOUA METODE DE CIFRARE COMUTATIVE .
Exercit iul 7.3.1 Dezvoltat i o aplicat ie care sa implementeze rutine specice decriptarii sis-
temelor mixte compuse din transpozit ii si substitut ii simple.
Exercit iul 7.3.2 Se dau criptogramele:
Criptograma 1:
VXEVW LWXWL DVLPS ODVLW UDQVS
RCLWL DVXQW GRXDP HWRGH GHFLI
UDUHF RPXWD WLYHX
Criptograma 2:
YAHYZ OZAZO GYOSV RGYOZ XGTYV
UFOZO GYATZ JUAGS KZUJK JKIOL
XGXKI USAZG ZOBKX
34 CAPITOLUL 7. SISTEME MIXTE
Care din armat iile de mai jos sunt adevarate:
a) metoda de cifrare utilizata este o substitut ia simpla;
b) metoda de cifrare utilizata este o transpozit ie;
c) metoda de cifrare este reprezentata de algoritmul lui Cezar;
d) nu se poate preciza sistemul criptograc utilizat.
Justicat i raspunsul. Decriptat i mesajul.
Raspuns: a) si c). Textul clar: SUBSTITUTIA SIMPLA SI TRANSPOZITIA SUNT
DOUA METODE DE CIFRARE COMUTATIVE.
Exercit iul 7.3.3 Se dau criptogramele:
Criptograma 1:
BITSP SRSZI UDATE CREMA VUTUA
MATNO TSTUE DEFRO TISST IILIA
PIANO MODIA CUTE
Criptograma 2:
UTUAM ATNOT STUED EFROT IBITS
PSRSZ IUDAT ECREM AVSST IILIA
PIANO MODIA CUTE
Care din armat iile de mai jos sunt adevarate:
a) metoda de cifrare utilizata este o substitut ia simpla;
b) metoda de cifrare utilizata este o transpozit ie;
c) metoda de cifrare este reprezentata de algoritmul lui Cezar;
d) nu se poate preciza sistemul criptograc utilizat.
Justicat i raspunsul. Decriptat i mesajul.
Raspuns: b). Textul clar: SUBSTITUTIA SIMPLA SI TRANSPOZITIA SUNT DOUA
METODE DE CIFRARE COMUTATIVE.
Exercit iul 7.3.4 Cifrat i mesajul SPECIAL PROPERTY folosind algoritmului lui Cezar
(k = 13) si transpozit ia data de = (2, 4, 3, 1).
Raspuns: PCRFVEE RYCLCNBG.
Exercit iul 7.3.5 Decriptat i mesajul CPKQCG ZGTVTKGOERIH stiind ca a fost cifrat cu
ajutorul algoritmului lui Cezar si al unei transpozit ii.
Raspuns: EXAMEN CRIPTOGRAFIE.
Exercit iul 7.3.6 Decriptat i mesajul ZGTVTK GOERIHCPKQCG stiind ca a fost cifrat cu
ajutorul algoritmului lui Cezar si al unei transpozit ii.
Raspuns: EXAMEN CRIPTOGRAFIE.
Capitolul 8
Generatoare pseudoaleatoare
Un registru de deplasare cu feedback consta n n locat ii de memorie de cate un bit care
se deplaseaza spre dreapta si o funct ie de feedback care exprima orice element nou a(t), cu
t n, al secvent ei n funct ie de elementele generate anterior a(tn), a(tn+1), . . . , a(t1).
Funct ia de feedback trebuie sa e nesingulara, adica de forma:
a(t) = g(a(t 1), . . . , a(t n + 1)) a(t n), unde desemneaza operat ia SAU ex-
clusiv (XOR). Daca funct ia de feedback este liniara (se poate implementa doar folosind
operat ia SAU exclusiv) spunem ca generatorul este un registru de deplasare cu feedback
liniar (LFSR). Altfel, spunem ca generatorul este un registru de deplasare cu feedback
neliniar (NLFSR).
O locat ie de memorie a registrului se numeste nivel, iar semnalele binare a(0), a(1), . . . ,
a(n1) sunt ncarcate ca date init iale. Perioada secvent ei produse depinde atat de num arul
de niveluri, cat si de detaliile conexiunilor de feedback. Mai exact, perioada maxima a
secvent ei care poate generata de un registru de deplasare cu feedback, av and n niveluri
si o funct ie de feedback nesingulara este 2
n
1, adica num arul maxim de stari n care se
poate aa un registru cu n niveluri (se exclude starea nul a). LFSR-urile sunt folosite de
mult timp pentru teste VSLI, comunicat ii cu spectru distribuit etc. Funct ia de feedback a
unui LFSR are forma:
a(t) = c
1
a(t 1) c
2
a(t 2) . . . c
n1
a(t n + 1) a(t n), (8.1)
unde c
i
{0, 1}. Conexiunea de feedback a unui LFSR poate exprimata printr-un polinom
de feedback:
f(X) = 1 +c
1
X +c
2
X
2
+. . . +c
n1
X
n1
+X
n
,
cu nedeterminata X. Acest polinom decide perioada si comportarea statistica a secvent ei de
iesire. Pentru a preveni o secvent a de iesire triviala, trebuie ca starea ,,zero peste tot sa nu
35
36 CAPITOLUL 8. GENERATOARE PSEUDOALEATOARE
e stare init iala. De exemplu, daca un LFSR cu patru niveluri are polinomul de feedback:
f(X) = 1 +X +X
2
+X
3
+X
4
,
dependent de starea init iala, atunci el va genera una din secvent ele de perioada 5.
a) 1111011110 . . . ,
b) 1000110001 . . . ,
c) 0100101001 . . . ,
Sau, alt exemplu, daca LFSR are polinomul de feedback dat de f(X) = 1 + X + X
4
,
atunci el genereaza o singura secvent a netriviala de perioada 15, cu cea mai buna statistica
pe care o astfel de secvent a o poate avea:
101100100011110 . . .
Pentru a garanta cea mai mare perioada posibila 2
n
1, polinomul de feedback f(X) al
LFSR-ului trebuie sa e primitiv. Aceasta nsemn a ca f(X) trebuie ales astfel ncat cel mai
mic num ar ntreg pozitiv T pentru care X
T
1 este divizibil cu f(X) sa e T = 2
n
1.
Exista algoritmi care testeaza primitivismul unui polinom. Numarul de polinoame primitive
de grad n este:
N
p
(n) =
(2
n
1)
n
,
unde (x), cunoscuta ca funct ia lui Euler, desemneaza cardinalul de numere naturale mai
mici ca x si relativ prime cu x. Observam ca daca un polinom f(X) este primitiv atunci
si polinomul reciproc lui adica X
n
f(
1
X
) este primitiv. Se stie ca orice polinom primitiv este
ireductibil. Reciproca nu este adevarat a. Numarul de polinoame ireductibile de grad n n
algebra mod p ( p = 2 ) este dat de formula urmatoare:
N
I
(n) =
1
n
d|n
p
d
(
n
d
),
unde este funct ia lui Moebius denita n felul urmator pentru n =
k
1
p
i
i
: (n) = 0 daca
k
i
> 1, (n) = (1)
k
daca n este produsul a k numere prime distincte si (1) = 1.
Legatura ntre funct ia lui Moebius si funct ia lui Euler este data de:
(n)
n
=
d|n
(d)
d
.
Daca k este un numar prim Mersenne, adica k este num ar prim de forma 2
n
1 unde n
este num ar prim, atunci orice polinom ireductibil de grad k (n algebra mod 2) este primitiv:
N
I
(k) =
1
2
n
1
d|2
n
1
2
d
(
2
n
1
d
) =
1
2
n
1
[2 + 2
2
n
1
]
=
(2
2
n
1
1)
2
n
1
= N
P
(k).
Exercit iul 8.2.1 O secvent a determinata de polinomul de feedback 1+X
3
+X
4
are perioada
maxima?
Rezolvare: Notam cu = X mod f(X) o radacin a a polinomului de feedback: 1 +
3
+
4
= 0. Succesiv obt inem puterile lui :
1
=;
2
=
2
;
3
=
3
;
4
=1 +
3
;
5
=
4
= (1 +
3
) = 1 + +
3
;
6
=
5
= (1 + +
3
) = 1 + +
2
+
3
;
7
=
6
= (1 + +
2
+
3
) = 1 + +
2
;
8
=
7
= (1 + +
2
) = +
2
+
3
;
9
=
8
= ( +
2
+
3
) = 1 +
2
;
10
=
9
= (1 +
2
) = +
3
;
11
=
10
= ( +
3
) = 1 +
2
+
3
;
12
=
11
= (1 +
2
+
3
) = 1 +;
13
=
12
= (1 +) = +
2
;
14
=
13
= ( +
2
) =
2
+
3
;
15
=
14
= (
2
+
3
) = 1.
Ordinul lui este 2
4
1, n concluzie, polinomul de feedback este primitiv.
Exercit iul 8.3.1 Implementat i o rutina de testat primitivismul unui polinom din Z
2
[X].
2
+X
4
are perioada
maxima?
Raspuns: Nu. Polinomul nu este ireductibil, deci nu este primitiv.
Exercit iul 8.3.3 O secvent a determinata de polinomul de feedback 1+X+X
4
are perioada
maxima?
Raspuns: Da. Polinomul de feedback este primitiv.
Exercit iul 8.3.4 O secvent a determinata de polinomul de feedback 1+X+X
3
are perioada
maxima?
38 CAPITOLUL 8. GENERATOARE PSEUDOALEATOARE
Exercit iul 8.3.5 O secvent a determinata de polinomul de feedback 1 + X + X
2
+ X
3
are
perioada maxima?
Raspuns: Nu. Polinomul nu este primitiv.
2
+X
5
are perioada
maxima?
Exercit iul 8.3.7 O secvent a determinata de polinomul de feedback 1 +X +X
3
+X
4
+X
5
are perioad a maxima?
Exercit iul 8.3.8 O secvent a determinata de polinomul de feedback 1 + X + X
3
+ X
5
are
perioada maxima?
Raspuns: Nu. Polinomul nu este primitiv.
Exercit iul 8.3.9 O secvent a determinata de polinomul de feedback 1 +X +X
2
+X
3
+X
5
2
+X
3
+X
4
+X
5
Capitolul 9
Calcule n corpuri Galois
Corpul Galois GF(2
n
) este denit de un polinom f(X) Z
2
[X] de grad n. Elementele
acestui corp sunt polinoame.
Operat iile ntre doua polinoame a(X) = a
0
+a
1
X+. . . a
n
X
n
si b(X) = b
0
+b
1
X+. . . b
n
X
n
din GF(2
n
) se denesc n modul urmator:
a) a(X) b(X) = c(X), c
i
= (a
i
+b
i
) mod 2;
b) a(X) b(X) = a(X)b(X) mod f(X).
Un element din GF(2
n
) se poate reprezenta sub forma binara (si apoi hexazecimala) prin
coecient ii sai : a
0
+a
1
X +. . . +a
n
X
n
se identic a cu a
n
. . . a
1
a
0
, a
i
{0, 1}
Inversul unui element din GF(2
n
) se determina cu algoritmul lui Euclid, exemplicat n
continuare.
Exercit iul 9.2.1 Care este inversul elementului {45} (reprezentat n format hexa) din GF(2
8
)
denit de polinomul f(X) = 1 +X +X
3
+X
4
+X
8
.
Rezolvare: Elementului {45} i corespunde polinomul X
6
+X
2
+1. Pentru a aa inversul
lui {45} modf(X) utilizam algoritmul lui Euclid:
X
8
+X
4
+X
3
+X + 1 = X
2
(X
6
+X
2
+ 1) +X
3
+X
2
+X + 1,
X
6
+X
2
+ 1 = (X
3
+X
2
)(X
3
+X
2
+X + 1) + 1,
plecand de la ultima ecuat ie catre prima, succesiv obt inem:
1 = (X
3
+X
2
)(X
3
+X
2
+X + 1) +X
6
+X
2
+ 1
1 = (X
3
+X
2
)(X
2
(X
6
+X
2
+ 1) +X
8
+X
4
+X
3
+X + 1) +X
6
+X
2
+ 1
1 = (X
5
+X
4
+ 1)(X
6
+X
2
+ 1) + (X
3
+X
2
+ 1)(X
8
+X
4
+X
3
+X + 1)
deci inversul polinomului X
6
+ X
2
+ 1 este X
5
+ X
4
+ 1. Utilizand codicarea hexa
ajungem la concluzia ca inversul elementului {45} este {31}.
39
40 CAPITOLUL 9. CALCULE

IN CORPURI GALOIS
Exercit iul 9.2.2 Sa se adune elementele {57} si {83} n corpul Galois GF(2
8
) denit de
polinomul 1 +X +X
3
+X
4
+X
8
.
Rezolvare: Scrierea binara a celor doua elemente este {57} = {01010111} respectiv
{83} = {10000011}. Efectuand calculele obt inem {57} {83} = {11010100} = {D4}.
Exercit iul 9.2.3 Sa se nmult easca elementele {57} si {83} n corpul Galois GF(2
8
) denit
de polinomul 1 +X +X
3
+X
4
+X
8
.
Rezolvare: {57}{83} = (X
6
+X
4
+X
2
+X+1)(X
7
+X+1) = X
13
+X
11
+X
9
+X
8
+
X
6
+X
5
+X
4
+X
3
+1 mod (X
8
+X
4
+X
3
+X +1) = X
7
+X
6
+1 = {11000001} = {C1}.
Exercit iul 9.3.1 Implementat i proceduri de calcul n corp Galois.
8
)
denit de polinomul 1 +X +X
3
+X
4
+X
8
.
Raspuns: {6C}.
8
)
3
+X
4
+X
8
.
Raspuns: {AA}.
8
)
3
+X
4
+X
8
.
Raspuns: {45}.
Exercit iul 9.3.5 Aratat i ca elementele {12} si {AA} (reprezentate n format hexa) sunt
inverse n corpul Galois GF(2
8
) denit de polinomul 1 +X +X
3
+X
4
+X
8
.
Exercit iul 9.3.6 Sa se adune elementele {5} si {7} n corpul Galois GF(2
4
) denit de
polinomul 1 +X +X
4
.
Raspuns: {2}.
Exercit iul 9.3.7 Sa se nmult easca elementele {5} si {7} n corpul Galois GF(2
4
) denit
de polinomul 1 +X +X
4
.
Raspuns: {8}.
Exercit iul 9.3.8 Se considera transformarea data de
g(y) =
_
_
_
_
_
_
_
_
_
_
_
_
1 1 1 1 1 0 0 0
0 1 1 1 1 1 0 0
0 0 1 1 1 1 1 0
0 0 0 1 1 1 1 1
1 0 0 0 1 1 1 1
1 1 0 0 0 1 1 1
1 1 1 0 0 0 1 1
1 1 1 1 0 0 0 1
_
_
_
_
_
_
_
_
_
_
_
_
y
1
_
_
_
_
_
_
_
_
_
_
_
_
0
1
1
0
0
0
1
1
_
_
_
_
_
_
_
_
_
_
_
_
(9.1)
unde y
1
este inversul lui y n corpul Galois GF(2
8
) denit de polinomul 1 +X +X
3
+
X
4
+X
8
. Calculat i g(1), g(2), g(3), g(4), g(5).
Raspuns: Transformarea indicata n problema deneste tabela de substitut ie a algorit-
mului RIJNDAEL. Valorile solicitate (n zecimal) sunt: g(1) = 124, g(2) = 119, g(3) =
123, g(4) = 242, g(5) = 107.
42 CAPITOLUL 9. CALCULE

IN CORPURI GALOIS
Capitolul 10
Algoritmul RIJNDAEL - Standardul
AES
Pentru rezolvarea urmatoarelor exercit ii plecam de la ipoteza cunoasterii standardului
FIPS 197 - Advanced Encryption Standard compus din patru operat ii (sumare modulo 2
cu cheia de runda, subtitut ia la nivel de octet, shiftarea liniilor, mixarea coloanelor etc.) n
cadrul procesului de transformare a starilor si din generatorul de chei de runda.
Exercit iul 10.2.1 Intrarea n runda i = 6 a algoritmului AES 128/128 pentru cifrarea
textului ,,zero peste tot, cu ajutorul cheii ,,zero peste tot, este:
_
_
D4 55 7E 79
6F B8 05 79
4F 96 BB DE
6C 33 3D 23
_
_
cheia de runda ind:
_
_
EC 14 99 6A
61 25 FF B4
4B 75 09 9B
85 8C 37 A7
_
_
Care este iesirea dupa procesarea rutinelor SubBytes, ShiftRows, MixColumns si AddRound-
Key?
43
44 CAPITOLUL 10. ALGORITMUL RIJNDAEL - STANDARDUL AES
Rezolvare:
Rutina SubBytes presupune folosirea urmatorului Sbox:
_
_
0 1 2 3 4 5 6 7 8 9 a b c d e f
0 63 7c 77 7b f2 6b 6f c5 30 01 67 2b fe d7 ab 76
1 ca 82 c9 7d fa 59 47 f0 ad d4 a2 af 9c a4 72 c0
2 b7 fd 93 26 36 3f f7 cc 34 a5 e5 f1 71 d8 31 15
3 04 c7 23 c3 18 96 05 9a 07 12 80 e2 eb 27 b2 75
4 09 83 2c 1a 1b 6e 5a a0 52 3b d6 b3 29 e3 2f 84
5 53 d1 00 ed 20 fc b1 5b 6a cb be 39 4a 4c 58 cf
6 d0 ef aa fb 43 4d 33 85 45 f9 02 7f 50 3c 9f a8
7 51 a3 40 8f 92 9d 38 f5 bc b6 da 21 10 f3 d2
8 cd 0c 13 ec 5f 97 44 17 c4 a7 7e 3d 64 5d 19 73
9 60 81 4f dc 22 2a 90 88 46 ee b8 14 de 5e 0b db
a e0 32 3a 0a 49 06 24 5c c2 d3 ac 62 91 95 e4 79
b e7 c8 37 6d 8d d5 4e a9 6c 56 f4 ea 65 7a ae 08
c ba 78 25 2e 1c a6 b4 c6 e8 dd 74 1f 4b bd 8b 8a
d 70 3e b5 66 48 03 f6 0e 61 35 57 b9 86 c1 1d 9e
e e1 f8 98 11 69 d9 8e 94 9b 1e 87 e9 ce 55 28 df
f 8c a1 89 0d bf e6 42 68 41 99 2d 0f b0 54 bb 16
_
_
Gasirea octetului din S-box corespunzator octetului din stare se face astfel: pentru octetul
D4 se cauta n SBox elementul aat la intersect ia liniei D cu coloana 4 si se substituie n
stare elementul gasit in Sbox. D4 se va substitui cu 48. Procedeul se aplica similar pentru
ceilalt i octet i din stare.
Rezultatul aplicarii rutinei SubBytes se constituie n urmatoarea stare:
_
_
48 FC F3 B6
A8 6C 6B B6
84 90 EA 1D
50 C3 27 26
_
_
Rutina ShiftRows act ioneaza n felul urmator asupra starii: prima linie ramane neschim-
bata, a doua linie se roteste la stanga cu un octet, a treia linie se roteste la stanga cu doi
octet i iar a patra linie se roteste la stanga cu trei octet i.
Dupa aplicarea rutinei ShiftRows, starea va urmatoarea:
_
_
48 FC F3 B6
6C 6B B6 A8
EA 1D 84 90
26 50 C3 27
_
_
Rutina MixColumns presupune nmult irea ecarei coloane din stare cu urmatoarea ma-
trice xata:
_
_
02 03 01 01
01 02 03 01
01 01 02 03
03 01 01 02
_
_
Operat iile care rezulta din nmult irea matricilor se fac n corpul Galois GF(2
8
) si sunt
nmult iri de polinoame modulo polinomul generator al corpului GF(2
8
) care este h(X) =
X
8
+ X
4
+ X
3
+ X + 1. Observam ca singurele nmult iri care apar sunt cele cu 02 si 03.
Inmult irea cu polinomul 02 in GF(2
8
) nseamna nmult irea cu polinomul X.
Fie f(X) = b
7
X
7
+b
6
X
6
+b
5
X
5
+b
4
X
4
+b
3
X
3
+b
2
X
2
+b
1
X+b
0
un polinom din GF(2
8
).
Sa vedem ce presupune nmult irea 02 f(X) adica X f(X):
X f(X) = b
7
X
8
+b
6
X
7
+b
5
X
6
+b
4
X
5
+b
3
X
4
+b
2
X
3
+b
1
X
2
+b
0
X(modm(X)),
unde m(X) este polinomul generator m(X) = X
4
+X
3
+X+1 al corpului Galois GF(2
8
).
Daca b
7
= 0, atunci polinomul este n forma redusa n GF(2
8
) (are gradul 7).
Daca b
7
= 1, atunci:
X f(X) = X
8
mod m(X) +b
6
X
7
+b
5
X
6
+b
4
X
5
+b
3
X
4
+b
2
X
3
+b
1
X
2
+b
0
X.
Deci:
X f(X) = (X
4
+X
3
+X + 1) +b
6
X
7
+b
5
X
6
+b
4
X
5
+b
3
X
4
+b
2
X
3
+b
1
X
2
+b
0
X.
Prin urmare, nmult irea cu polinomul X poate implementat a, n cazul n care bitul cel
mai semnicativ al polinomului f(X) este 1, ca o operat ie de shift la stanga cu 1 bit urmata
de un XOR cu (00011011), care reprezinta polinomul (X
4
+X
3
+X + 1).
Daca bitul cel mai semnicativ al polinomului f(X) este 0, atunci nmult irea presupune
doar operat ie de shift la stanga cu un bit.
Pentru a trece starea curent a prin rutina MixColumns, se nmult este pe rand ecare
coloana din stare cu matricea xata de mai sus.
Vom prezenta doar modul de efectuare al nmult irii:
_
_
02 03 01 01
01 02 03 01
01 01 02 03
03 01 01 02
_
_

_
_
48
6C
EA
26
_
_
Coloana rezultat va cont ine urmatoarele linii:
_
_
02 48 03 6C EA 26
01 48 02 6C 03 EA 26
48 6C 02 EA 03 26
03 48 6C EA 02 26
_
_
Raman de efectuat nmult irile care apar pe ecare linie:
02 48 = 02 01001000 = 10010000.
03 48 = 02 48 48 = 11011000.
036C = 0301101100 = 020110110001101100 = 1101100001101100 = 10110100.
02 EA = 02 11101010 = 11010100 00011011 = 11110001.
03 EA = 02 EA EA = 11110001 11101010 = 00011011.
02 26 = 02 00100110 = 01001100.
03 26 = 02 26 26 = 01001100 00100110 = 01101010.
Dupa calculele ramase, coloana rezultat va :
_
_
E8
93
81
12
_
_
Pentru celelalte coloane din stare se procedeaza similar.
Starea rezultata dupa aplicarea rutinei MixColumns este urmatoarea:
_
_
E8 13 7B 23
93 5D D0 71
81 5D 08 4C
12 C9 A1 B7
_
_
Aplicarea rutinei AddRoundKey presupune o simpla operat ie de XOR pe ecare octet
din stare cu octet-ul corespunzator din cheia de runda.
_
_
E8 13 7B 23
93 5D D0 71
81 5D 08 4C
12 C9 A1 B7
_
_

_
_
EC 14 99 6A
61 25 FF B4
4B 75 09 9B
85 8C 37 A7
_
_
=
_
_
04 07 E2 49
F2 78 2F C5
CA 28 01 D7
97 45 96 10
_
_
_
_
04 07 E2 49
F2 78 2F C5
CA 28 01 D7
97 45 96 10
_
_
cheia de runda ind:
_
_
21 35 AC C6
75 50 AF 1B
17 62 6B F0
87 0B 3C 9B
_
_
Key?
Raspuns: Iesirea din runda 7 este:
_
_
B7 1D 6C 94
AA 25 92 E5
E4 2D 0F 81
C5 4F 81 50
_
_
_
_
B7 1D 6C 94
AA 25 92 E5
E4 2D 0F 81
C5 4F 81 50
_
_
cheia de runda ind:
_
_
0E 3B 97 51
F9 A9 06 1D
03 61 0A FA
33 38 04 9F
_
_
Key?
_
_
23 13 AA 2E
37 21 C0 03
8C 63 C6 CB
3C DB 57 95
_
_
_
_
23 13 AA 2E
E7 21 C0 03
8C 63 C6 CB
3C DB 57 95
_
_
cheia de runda ind:
_
_
B1 8A 1D 4C
D4 7D 7B 66
D8 B9 B3 49
E2 DA DE 41
_
_
Key?
_
_
7F 51 0E 29
FE A5 34 29
0E 66 7C EC
95 35 47 CB
_
_
Exercit iul 10.3.4 Executat i o runda completa, pentru algoritmul RIJNDAEL (AES), cu
urmatoarele intrari:
pentru starea curenta:
_
_
00 00 00 00
00 00 00 00
00 00 00 00
00 00 00 01
_
_
pentru cheia de runda:
_
_
62 62 62 62
63 63 63 63
7C 7C 7C 7C
63 63 63 62
_
_
Raspuns: Iesirea din runda este:
_
_
1E 01 01 01
1F 00 00 00
3E 1F 1F 1F
3E 00 00 01
_
_
_
_
1E 01 01 01
1F 00 00 00
3E 1F 1F 1F
3E 00 00 01
_
_
_
_
9B F9 9B F9
73 10 73 10
D6 AA D6 AA
C9 AA C9 AB
_
_
_
_
66 D6 17 F9
E0 43 67 CF
D8 E3 13 28
04 F2 5A E9
_
_
_
_
66 D6 17 F9
E0 43 67 CF
D8 E3 13 28
04 F2 5A E9
_
_
_
_
55 AC 37 CE
DF CF BC AC
B4 1E C8 62
50 FA 33 98
_
_
_
_
7E 09 A1 70
41 86 69 61
45 08 F0 E1
5E B5 DA BF
_
_
_
_
7E 09 A1 70
41 86 69 61
45 08 F0 E1
5E B5 DA BF
_
_
_
_
CC 60 57 99
75 BA 06 AA
F2 EC 24 46
DB 21 12 8A
_
_
_
_
79 D2 A2 C2
89 19 96 E1
5E 17 41 0D
0D 93 74 64
_
_
_
_
79 D2 A2 C2
89 19 96 E1
5E 17 41 0D
0D 93 74 64
_
_
_
_
70 10 47 DE
2F 95 93 39
8C 60 44 02
35 14 06 8C
_
_
_
_
A0 CA A4 04
F7 AE 76 D0
36 92 49 D6
25 22 4B 8B
_
_
Capitolul 11
Criptanaliza cifrurilor bloc
Deoarece nu exista o formul a matematica universal a care sa poata aplicata n operat ia
de criptanaliza, am propus ca exercit ii la acest capitol modicari ale unor algoritmi de cifruri
bloc consacrate. Sunt date o serie de indicat ii precedate de o scurta descriere a algoritmilor
propriu-zisi.
Exercit iul 11.2.1 Studiat i urmatorele simplicari ale algoritmului RC5:
-RC5 cu 8 iterat ii dar fara rotat ii;
-RC5 cu 8 iterat ii iar numarul de rotat ii egal cu numarul de iterat ii.
Raspuns.

In cele ce urmeaza facem o scurta descriere a cifrului RC5 cu r iterat ii. Acesta
are lungimea blocului de date variabil a dar vom considera n cele ce urmeaza ca aceasta a
fost setata la 64 bit i. Operat ia de cifrare foloseste 2r + 2 chei dependente de cuvintele pe
32 bit i S
0
, S
1
, S
2
, . . . , S
2r+2
unde r este num arul de iterat ii. Pentru cifrare blocul de date
se mparte n doua part i de 32 bit i notate cu L respectiv R (RC5 face apel la codicarea
little-endian pentrumpachetarea octet ilor n cuvinte: primul octet se transforma n cele mai
put in semnicative pozit ii ale lui L, etc.). Apoi avem:
_
L = L +S
0
,
R = R +S
1
.
Pentru i = 1, . . . , r se executa:
_
L = ((L R) << R) +S
2i
,
R = ((R L) << L) +S
2i+1
.
Iesirea constan registrele L si R. Simbolul are semnicat ia sumei mod 2, simbolul <<
semnica rotire circulara si n ne simbolul + are semnicat ia sumei mod2
32
. Operat ia de
51
52 CAPITOLUL 11. CRIPTANALIZA CIFRURILOR BLOC
decriptare este similara (intervin operatorii , >> si ). Modul de construct ie al secvent ei
S (care deriva din cheie) nu este esent ial n cadrul acestui exercit iu.
Daca setam num arul de iterat ii r = 8 si nu facem nici un fel de rotat ii atunci pentru
i = 1, . . . , 8 se executa:
_
L = (L R) +S
2i
,
R = (R L) +S
2i+1
.
Algoritmul astfel setat nundeplineste criteriul de avalans a stricta (schimbarea unui bit n
blocul de text clar produce, n medie, schimbari de 50% la iesire). Schema de mai sus permite
atacul cu ajutorul tehnicii criptanalizei liniare pentru aarea lui S, deci a cheii efective.
Daca setam numarul de iterat ii r = 8 si numarul de rotat ii egal cu r atunci pentru
i = 1, . . . , 8 se executa:
_
L = ((L R) << 8) +S
2i
,
R = ((R L) << 8) +S
2i+1
.
Algoritmul astfel setat nu ndeplineste criteriul de avalansa stricta. Schema de mai sus
permite atacul cu ajutorul tehnicii criptanalizei diferent ial/liniare pentru aarea lui S.
Exercit iul 11.2.2 Studiat i urmatorele simplicari ale algoritmului DES:
-DES cu 12 iterat ii dar fara aplicat iile S;
-DES cu 4 iterat ii;
-DES cu 6 iterat ii.
Raspuns. Cifrul bloc DES (proiectat n 1977) este sub controlul unei chei efective de 56
bit i (cheia de baza este de 64 bit i, 8 bit i ind pentru detect ia erorilor) iar marimea blocului de
date este de 64 bit i. Textul clar este permutat iar apoi este mp art it n doua blocuri L si R de
lungime 32 bit i. Se executa apoi iterativ operat iile (pentru i = 1, . . . , num arul de iteratii):
_
L
i
= R
i
,
R
i
= L
i
f(R
i1
, K
i
).
In nal textul este supus permutarii inverse. Ne concentram asupra descrierii funct iei
f : Z
32
2
Z
48
2
Z
32
2
. Init ial blocul R (32 bit i) este extins cu ajutorul funct iei E la un bloc
pe 48 bit i care este sumat mod2 cu cheia K (extinsa la 48 bit i cu ajutorul algoritmului de
producere a subcheilor). Opt aplicat ii S : Z
6
2
Z
4
2
produc o iesire pe 32 bit i care este
permutat a pentru a produce iesirea nala dintr-o iterat ie. Daca aplicat iile S sunt xe (se
selecteaza 4 bit i din 6 n mod x) atunci se poate aplica tehnica criptanalizei diferent iale
(bit ii de la iesire sunt bit ii de la intrare (sumat i mod2 cu cheia K) dar ntr-o alta ordine).
Algoritmul DES cu 4 cat si cu 6 iterat ii poate spart cu ajutorul tehnicii atacului cu
text clar cunoscut.
Exercit iul 11.3.1 Studiat i regula B a algoritmului Skipjack cu 8 iterat ii.
Exercit iul 11.3.2 Ce defect are un algoritm de cifrare care este nchis (un algoritm de
cifrare se numeste nchis daca pentru orice chei k
1
si k
2
exista o cheie k
3
astfel ncat pentru
orice text clar M avem E
k
1
E
k
2
(M) = E
k
3
(M))?
Raspuns. Ca metoda de atac generica se poate opta pentru cifrarea repetitiva.
Exercit iul 11.3.3 Aplicat i tehnica criptanalizei diferent iale si criptanalizei liniare asupra
algorimului FEAL.
Exercit iul 11.3.4 Studiat i tehnica criptanalizei diferent iale n cazul algoritmului DES cu
16 iterat ii.
Exercit iul 11.3.5 Aplicat i tehnica criptanalizei liniare n cazul algoritmului DES cu 16
iterat ii.
Exercit iul 11.3.6 Avand la dispozit ie un cifru bloc E
k
(.) proiectat i un cifru ux si vicev-
ersa.
Exercit iul 11.3.7 Scriet i funct ia analitica a celor opt funct ii de substitut ie S ale cifrului
DES.
Exercit iul 11.3.8 Fie E
M
(.) si D
K
(.) funct iile de cifrare respectiv descifrare ale unui cifru.
Care este valoarea lui D
K
(E
K
(M))?
Nota. Descrierea algoritmilor RC5, DES, Skipjack si FEAL poate gasita n Schneier
[8] sau Menenzes [4].
Exercit iul 11.3.9 Implementat i modalitat i de testare a cifrurilor bloc.
Exercit iul 11.3.10 Implementat i modalitat i de generare a tabelelor de substitut ie.
Exercit iul 11.3.11 Fie E(, ) o funct ie de cifrare pe m bit i de cheie si n bit i de date. Care
este valoarea maxima a lui m astfel ncat cheia efectiva a cifrului sa e m?
54 CAPITOLUL 11. CRIPTANALIZA CIFRURILOR BLOC
Capitolul 12
Lema chinezeasca a resturilor
Teorema 12.1 (Lema chinezeasca a resturilor- CRT) Fie m
1
, . . . , m
k
numere ntregi cu
(m
i
, m
j
) = 1 pentru orice i = j. Atunci sistemul
x a
i
mod m
i
are o solut ie unica modulo
k
i=1
m
i
.
Demonstrat ie. Existent a solut iei. Vom nota
M =
k
i=1
m
i
si
M
i
=
M
m
i
pentru orice i = 1, . . . , k.
Deoarece (m
i
, m
j
) = 1 pentru orice i = j avem (M
j
, m
j
) = 1 pentru orice j adica exista
N
j
astfel ca M
j
N
j
= 1 mod m
j
. Atunci daca notam
x =
k
i=0
a
i
M
i
N
i
si reducem modulo m
i
avem:
x =
k
j=0
a
j
M
j
N
j
mod m
i
pentru orice i.
55
56 CAPITOLUL 12. LEMA CHINEZEASC
A A RESTURILOR
Folosind faptul ca (M
i
, m
j
) = 1 pentru i = j obt inem:
x = a
i
M
i
N
i
mod m
i
= a
i
mod m
i
pentru orice i.
Unicitatea solut iei. Fie x
si x
doua solut ii atunci

x = x
= 0 mod m
i
pentru orice i
deci
x = 0 mod M.
Exercit iul 12.2.1 Sa se rezolve sistemul de ecuat ii:
_
_
_
x 3 mod 13
x 34 mod 47
x 2 mod 51
Rezolvare:
Solut ia sistemului de congruent e este data de formula:
x =
3
j=1
a
j
M
j
N
j
mod M.
unde a
1
= 3, a
2
= 34, a
3
= 2 iar m
1
= 13, m
2
= 47, m
3
= 51. Se observa ca m
1
, m
2
si m
3
sunt prime ntre ele.
Calculam M = 13 47 51 = 31161 si M
1
= 47 51 = 2397, M
2
= 13 51 = 663 si
M
3
= 13 47 = 611.
Mai departe trebuie calculat inversul lui M
j
pentru j = 1 , j = 2 si j = 3.
Cu algoritmul lui Euclid extins, se calculeaza N
1
= M
1
1
mod m
1
= 2397
1
mod 13 =
5
1
mod 13 = 8.
Similar se calculeaza N
2
= M
1
2
mod m
2
= 663
1
mod 47 = 5
1
mod 47 = 19, iar
N
3
= M
1
3
mod m
3
= 611
1
mod 51 = 50
1
mod 51 = 50.
In acest moment, avem toate datele necesare pentru a calcula solut ia x a sistemului de
congruent e:
x = a
1
M
1
N
1
+a
2
M
2
N
2
+a
3
M
3
N
3
mod M.
Deci x = 323978+3466319+261150 mod 31161 = 57528+428928+61100 mod 31161
de unde x = 17819 mod 31161; se poate verica faptul ca ntr-adevar aceasta este solut ia
sistemului.
_
_
_
x 1 mod 13
x 2 mod 17
x 3 mod 11
Raspuns: x = 1158 mod 2431.
_
_
_
x 3 mod 13
x 2 mod 11
x 2 mod 19
_
_
_
x 3 mod 5
x 5 mod 7
x 7 mod 11
_
_
_
x 5 mod 17
x 3 mod 19
x 2 mod 23
_
_
_
x 5 mod 11
x 3 mod 19
x 2 mod 23
_
_
_
x 5 mod 17
x 3 mod 21
x 2 mod 23
58 CAPITOLUL 12. LEMA CHINEZEASC
A A RESTURILOR
_
_
_
x 4 mod 21
x 9 mod 31
x 14 mod 23
Raspuns: x = 6178 mod 14973.
_
_
_
x 4 mod 47
x 9 mod 11
x 3 mod 23
Raspuns: x = 10767 mod 11891.
_
_
_
x 11 mod 17
x 12 mod 19
x 13 mod 23
_
_
_
x 8 mod 23
x 14 mod 29
x 17 mod 31
Raspuns: x = 1319 mod 20677.
_
_
_
x 15 mod 23
x 3 mod 19
x 13 mod 36
Raspuns: x = 15241 mod 15732.
Capitolul 13
Sistemul de cifrare Merkle-Hellman
Algoritmul de cifrare Merkle-Hellman consta n codicarea mesajului ca o solut ie a unei
probleme de tip rucsac pentru care ponderile {M
1
, ..., M
n
} constituie cheia de cifrare, si
textului clar {b
1
, ..., b
n
} i corespunde textul cifrat
n
i=1
b
i
M
i
.
Denit ia 13.1 Un sir de ponderi {M
1
, ..., M
n
} se numeste supercrescator daca:
M
k
>
k1
i=1
M
i
pentru orice k. (13.1)
Problema rucsacului supercrescator este usor de rezolvat folosind urmatoarea schema:
pentru k = n, ..., 1:
daca M
k
< S atunci b
k
= 1 si S = S M
k
;
altfel b
k
= 0.
Algoritmii de tip rucsac care nu sunt supercrescatori nu sunt usor de rezolvat si nu exista
niciun algoritm rapid care sa rezolve problema. Singura modalitate cunoscuta de a determina
daca b
i
= 1 consta n testarea tuturor solut iilor. Cei mai rapizi algoritmi de testare au o
complexitate exponent ial a.
Algoritmul Merkle-Hellman se bazeaza pe aceasta proprietate: cheia privata este sirul
ponderilor pentru un rucsac supercrescator iar cheia publica este sirul ponderilor pentru
un rucsac care are aceeasi solut ie, dar nu este supercrescator. Merkle si Hellman au gasit o
metoda prin care se poate transforma o problema a rucsacului supercrescator ntr-o problema
normala a rucsacului. Tehnica de conversie face apel la aritmetica modulara.
59
60 CAPITOLUL 13. SISTEMUL DE CIFRARE MERKLE-HELLMAN
Avand la dispozit ie o problema de tip rucsac supercrescator (cheia privat a) cu ponderile
{M
1
, ..., M
n
} atunci aceasta se transforma ntr-o problema de tip rucsac normala (cheia
publica) cu sirul ponderilor
{mM
1
mod p, ..., mM
n
mod p},
unde m si p sunt numere naturale prime ntre ele (acestea fac parte din cheia privat a) si
p >
n
i=1
M
i
.
Pentru a cifra un mesaj binar acesta se vamp art i n blocuri de lungimi egale cu cardinalul
mult imii ponderilor. Cifrarea unui bloc b
1
...b
n
va num arul natural:
n
i=1
b
i
(mM
i
mod p).
Pentru descifrare destinatarul mesajului cunoaste cheia privata: ponderile originale si
valorile lui m si p. Acesta va calcula mai nt ai pe m
1
mod p. Se va multiplica apoi textul
cifrat cu m
1
mod p iar dupa aceea se va rezolva problema rucsacului supercrescator pentru
a recupera textul original.
Exercit iul 13.2.1 Sa se construiasca cheia publica pentru algoritmul Merkle-Hellman reprezen-
tat de cheia privata {2, 3, 6, 13, 27, 52}, modulul p = 105 si multiplicatorul m = 31. Cifrat i
mesajul 101110.
Rezolvare:
Avand la dispozit ie cheia privata {M
1
, ..., M
n
}, cheia publica se obt ine astfel
{mM
1
mod p, ..., mM
n
mod p}.
Prin urmare, cheia privat a pentru datele de mai sus este {312 mod 105, 313 mod 105, 31
6 mod 105, 31 13 mod 105, 31 27 mod 105, 31 52 mod 105} adica {62, 93, 81, 88, 102, 37}.
Cifrarea mesajului 101110 ((m
1
, ..., m
6
)) se face dupa formula
n
i=1
m
i
(mM
i
mod p), adica
pe baza cheii publice. Rezultatul va 62 + 81 + 88 + 102, deci mesajul cifrat este c = 333.
Exercit iul 13.2.2 Sa se descifreze mesajul C = 4608 cifrat cu ajutorul algoritmului Merkle-
Hellman cu urmatorii parametrii: n = 9, cheia privata {1, 2, 5, 10, 19, 40, 98, 179, 355}, mod-
ulul p = 1717 si multiplicatorul m = 507.
Rezolvare: Se determina C m
1
mod 1717 = 4608 507
1
mod 1717 = 4608 657 mod
1717 = 385.
Apoi se rezolva problema supercrescatoare a rucsacului de dimensiune 385 : 385 =
355 + 19 + 10 + 1. Mesajul clar va cont ine 1 pe pozit iile corespunzatoare acestor ponderi,
deci se obt ine 100110001.
Exercit iul 13.3.1 Dezvoltat i o aplicat ie care sa implementeze funct iile de cifrare/descifrare
ale sistemului Merkle-Hellman.
mesajul 011111.
Raspuns: Cheia publica {62, 93, 81, 88, 102, 37}, mesajul cifrat c = 401.
mesajul 111110.
mesajul 001110.
Exercit iul 13.3.5 Sa se descifreze mesajul 333 cifrat cu ajutorul algoritmului Merkle-Hellman
cu urmatorii parametrii: n = 6, cheia privata {2, 3, 6, 13, 27, 52}, modulul p = 105 si multi-
plicatorul m = 31.
Raspuns: Cheia publica {62, 93, 81, 88, 102, 37}, mesajul clar 101110.
cu urmatorii parametrii: n = 6, cheia privata {2, 5, 14, 23, 56, 125}, modulul p = 228 si mul-
tiplicatorul m = 191.
Raspuns: Cheia publica {154, 43, 166, 61, 208, 163}, m
1
mod p = 191, mesajul clar 101000.
Exercit iul 13.3.7 Sa se construiasca cheia publica pentru algoritmul Merkle-Hellman cu
urmatorii parametrii: n = 6, cheia privata {3, 4, 11, 25, 50, 113}, modulul p = 209 si multi-
plicatorul m = 20. Cifrat i mesajul 27.
Raspuns: Cheia publica este {60, 80, 11, 82, 164, 170}, mesajul cifrat 425.
cu urmatorii parametrii: n = 6, cheia privata {3, 4, 11, 25, 50, 113}, modulul p = 209 si mul-
tiplicatorul m = 20.
62 CAPITOLUL 13. SISTEMUL DE CIFRARE MERKLE-HELLMAN
1
Exercit iul 13.3.9 Sa se construiasca cheia publica pentru algoritmul Merkle-Hellman cu
urmatorii parametrii: n = 6, cheia privata {3, 4, 11, 26, 58, 106}, modulul p = 238 si multi-
plicatorul m = 167. Cifrat i mesajul 29.
Raspuns: Cheia publica este {25, 192, 171, 58, 166, 90}, mesajul cifrat 511.
Exercit iul 13.3.10 Sa se descifreze mesajul 511 cifrat cu ajutorul algoritmului Merkle-
Hellman cu urmatorii parametrii: n = 6, cheia privata {3, 4, 11, 26, 58, 106}, modulul p = 238
si multiplicatorul m = 167.
1
Capitolul 14
Sistemul de cifrare RSA
Algoritmul RSA a fost inventat de catre Ron Rivest, Adi Shamir si Leonard Adleman si
a fost studiat n cadrul unor studii criptanalitice extinse. Securitatea RSA-ului se bazeaza
pe dicultatea factorizarii numerelor mari. Cheia publica si cheia privata sunt funct ie de o
pereche de numere prime mari (de 200 de cifre sau chiar mai mari). Factorizarea produsului
a doua numere prime implica recuperarea textului clar din textul cifrat, cunoscand cheia
publica.
Pentru generarea a doua chei (publica si privata) se aleg aleatoriu doua numere prime
mari p si q. Din rat ionamente de securitate p si q au acelasi ordin de marime. Se va calcula
produsul n = p q. Se va alege apoi, aleatoriu, exponentul public (de cifrare) e astfel ca e
si (p 1)(q 1) sa e relativ prime. Utilizand algoritmul extins al lui Euclid vom calcula
exponentul privat (de descifrare) d astfel ca
ed 1 mod (p 1)(q 1).
Cu alte cuvinte
d e
1
mod (p 1)(q 1).
Remarcam faptul ca d si n sunt relativ prime. Perechea (e, n) constituie cheia publica iar
(d, p, q) este cheia privat a. Cele doua numere p si q nu mai sunt necesare la cifrare/descifrare,
dar nu vor niciodata facute publice (cunoasterea lor si a exponentului de cifrare e conduce
imediat la determinarea coecientului de descifrare d, deci sistemul de criptare devine inutil).
Pentru a cifra un mesaj M l vom diviza n blocuri de lungime mai mica n (cu date binare
vom alege cea mai mare putere a lui 2 mai mica decat n). Daca p si q sunt numere prime
de 100 cifre atunci n va avea sub 200 de cifre iar ecare mesaj bloc M
i
va avea sub 200 de
cifre. Daca trebuie cifrate blocuri de lungime xa atunci vom apela la operat ia de padding
cu zero. Mesajul cifrat C se va obt ine prin concatenarea mesajelor C
i
care au aproximativ
aceeiasi lungime. Formula de cifrare va :
C
i
M
e
i
mod n.
63
64 CAPITOLUL 14. SISTEMUL DE CIFRARE RSA
Pentru a descifra un mesaj se calculeaza:
M
i
C
d
i
mod n,
deoarece
C
d
i
(M
e
i
)
d
M
ed
i
M
k(p1)(q1)+1
i
M
i
M
k(p1)(q1)
i
M
i
mod n.
Observat ia 14.1 Pentru a evita metodele de factorizare cunoscute numerele p si q trebuie
sa e numere prime tari. Un numar prim p se numeste numar prim tare daca:
i) p 1 are un factor mare r;
ii) p + 1 are un factor mare s;
iii) r 1 are un factor mare t.
Operat ia de semnare a unui mesaj M se realizeaza prin exponent ierea amprentei H(M)
cu ajutorul cheii private: s = H(M)
d
mod n. Vericarea semnaturii se realizeaza prin
comparat ia lui H(M) cu s
e
mod n.
In cazurile practice valoarea lui e este un num ar relativ mic, deci d are o valoare mare.
Acest lucru conduce la timpi de rulare diferit i ntre operat iile private (descifrare/semnare)
si cele publice(cifrare/vericare semnatur a).
Pentru optimizarea calculelor de vericare a semnaturii se poate utiliza lema chinezeasca
a resturilor (CRT), nsa acest lucru induce vulnerabilitat i n mediul de implementare.
Astfel, daca p > q, sunt precalculate valorile:
dP = (e
1
mod n) mod (p 1),
dQ = (e
1
mod n) mod (q 1),
qInv = q
1
mod p.
In faza de calcul se executa:

m
1
= c
dP
mod p,
m
2
= c
dQ
mod q,
h = qInv(m
1
m
2
) mod p,
m = m
2
+hq.
Cheia privata ce se stocheaza ind (p, q, dP, dQ, qInv).
Exercit iul 14.2.1 Se da numarul n = 36187829 despre care se cunoaste faptul ca este un
produs de doua numere cu valoarea (n) = 36175776. Factorizat i numarul n.
Rezolvare: Folosim relat ile p + q = n (p 1)(q 1) + 1 si p q =
_
(p +q)
2
4n.
Obt inem p = 5657 si q = 6397.
Exercit iul 14.2.2 Sa se cifreze mesajul M = 3, utilizand sistemul RSA cu urmatorii para-
metrii: N = 187 (modulul de cifrare), e = 7 (exponentul de cifrare).
Rezolvare: Criptograma este: C = M
e
= 3
7
= 2187 = 130 mod 187.
Exercit iul 14.2.3 Sa se descifreze mesajul C = 130, utilizand sistemul RSA cu urmatorii
parametrii: N = 187 = 11 17 (modulul de cifrare), e = 7 (exponentul de cifrare).
Rezolvare: Deoarece se cunoaste factorizarea N = 11 17, se poate calcula (N) =
16 10 = 160, ((N)) = 64.
Exponentul de descifrare va :
d = e
((N))1
= 7
63
= (7
9
)
7
= (40353607)
7
= 7
7
= 823543 = 23 mod 160.
Descifrarea mesajului cifrat C va : C
d
= 130
23
= 3 = M mod 187.
Exercit iul 14.2.4 Sa se descifreze, utilizand CRT, mesajul cifrat c = 8363, pentru cazul n
care p = 137, q = 131, n = p q = 17947, e = 3, d = 11787.
Rezolvare:

In faza de precalcul avem:
dP = (e
1
mod n) mod (p 1) = 91,
dQ = (e
1
mod n) mod (q 1) = 87,
qInv = q
1
mod p = 114.
Calculam apoi:
m
1
= c
dP
mod p = 102,
m
2
= c
dQ
mod q = 120,
h = qInv(m
1
m
2
) mod p = 3,
m = m
2
+hq = 513.
Exercit iul 14.3.1 Fie numerele prime p = 211 si q = 167. Sa se cifreze mesajul TEST cu
ajutorul algoritmului RSA, utilizand exponentul public e = 2
8
+ 1. Elementele din mesajul
clar se codica conform codului ASCII.
Raspuns: N = 35237, (N) = 34860, d = 23873, mesajul cifrat este: 01154 05746 04357
01154.
66 CAPITOLUL 14. SISTEMUL DE CIFRARE RSA
Exercit iul 14.3.2 Sa se descifreze mesajul 01154 05746 04357 01154 cu ajutorul algorit-
mului RSA (p = 211 si q = 167), utilizand exponentul public e = 2
8
+ 1. Elementele din
mesajul clar se decodica conform codului ASCII.
Raspuns: N = 35237, (N) = 34860, d = 23873, mesajul clar este TEST.
Exercit iul 14.3.3 Sa se cifreze mesajul M = 146, utilizand sistemul RSA cu urmatorii
parametrii: n = 187 (modulul de cifrare), e = 7 (exponentul de cifrare).
Raspuns: C = 141.
parametrii: n = 187 (modulul de cifrare), d = 23(exponentul de descifrare).
Raspuns: M = 146.
metrii: n = 187 (modulul de cifrare), e = 7 (exponentul de cifrare).
Raspuns: C = 70.
parametrii: n = 187 (modulul de cifrare), d = 23 (exponentul de descifrare).
Raspuns: M = 9.
Raspuns: C = 962.
parametrii: n = 35237 (modulul de cifrare), d = 31691 (exponentul de descifrare).
Raspuns: M = 3.
Raspuns: C = 164.
parametrii: n = 221 = 13 17 (modulul de cifrare), e = 11 (exponentul de cifrare).
Raspuns: M = 5, d = 35.
Exercit iul 14.3.11 Sa se cifreze mesajul M = 4, utilizand sistemul RSA cu urmatorii
parametrii: N = 209 (modulul de cifrare), e = 11 (exponentul de cifrare).
Rezolvare: Criptograma este: C = M
e
= 4
11
= 92 mod 209.
parametrii: N = 209 = 11 19 (modulul de cifrare), e = 11 (exponentul de cifrare).
Rezolvare: Deoarece se cunoaste factorizarea N = 11 19, se poate calcula (N) =
18 10 = 180, d = 131, M = 4.
Capitolul 15
Sistemul de cifrare ElGamal
Algoritmul de cifrare ElGamal este denit de un numar prim p si un element g Z
p
primitiv, numit generator. Pentru cheia privat a x Z
p
se calculeaza y = g
x
mod p, cheia
publica ind tripletul (y, g, p).
Pentru a cifra un mesaj M Z
p
se alege aleatoriu k Z
p1
, textul cifrat ind (y
1
, y
2
) =
(g
k
mod p, My
k
mod p).
Pentru a descifra mesajul (y
1
, y
2
) se calculeaza y
2
(y
x
1
)
1
mod p.
Exercit iul 15.2.1 Sa se cifreze mesajul M = 4 cu ajutorul algoritmului ElGamal cu para-
metrii p = 17, g = 14, x = 2.
Rezolvare: Cheia publica este (y, g, p) = (14
2
mod 17, 14, 17) = (9, 14, 17), cheia privat a
x = 2. Alegem, spre exemplu, k = 7 relativ prim cu 16 = p 1. Obt inem mesajul cifrat
C = (14
7
mod 17, 4 9
7
mod 17) = {6, 8}.
Exercit iul 15.2.2 Sa se descifreze mesajul {6, 8}, stiind ca a fost cifrat cu ajutorul algo-
ritmului ElGamal cu parametrii p = 17, g = 14, x = 2.
Rezolvare: Cheia publica este {y, g, p} = {9, 14, 17}, cheia privat a x = 2. Mesajul clar se
obt ine aplicand formula y
2
y
x
1
mod p = 4.
Exercit iul 15.3.1 Sa se cifreze mesajul 5 cu ajutorul algoritmului ElGamal cu parametrii
p = 23, g = 14, x = 2. Valoarea k utilizata pentru cifrare este 7.
67
68 CAPITOLUL 15. SISTEMUL DE CIFRARE ELGAMAL
Raspuns: Mesajul cifrat este (19, 11).
Exercit iul 15.3.6 Sa se descifreze mesajul (17, 9) cu ajutorul algoritmului ElGamal cu
parametrii p = 47, g = 4, x = 2.
Raspuns: Mesajul clar este 8.
parametrii p = 47, g = 14, x = 3.
parametrii p = 23, g = 7, x = 3.
Capitolul 16
Aritmetica pe curbe eliptice
Denit ia 16.1 O curba eliptica E este constituita din elemente (numite puncte) de tipul
(x, y) ce satisfac ecuat ia:
y
2
x
3
+ax +b mod p
unde a si b sunt constante astfel ncat 4a
3
+ 27b
2
= 0 mod p si p este un numar prim,
mpreuna cu un element singular, notat O si numit punctul de la innit. Acest punct poate
privit ca ind punctul din varful si de la baza oricarei linii verticale.
O curba eliptica E are o structura de grup abelian mpreun a cu operat ia adunare.
Adunarea a doua puncte de pe o curba eliptica este denita n concordant a cu o mult ime
simpla de reguli (vezi gura 16.1).
Fiind date doua puncte pe E, P
1
(x
1
, y
1
) si P
2
(x
2
, y
2
), avem urmatoarele cazuri:
- daca x
2
= x
1
si y
2
= y
1
atunci P
1
+P
2
= O.
- altfel P
1
+P
2
= (x
3
, y
3
), unde:
_
x
3
=
2
x
1
x
2
y
3
= (x
1
x
3
) y
1
cu
=
_
_
y
2
y
1
x
2
x
1
, daca P
1
= P
2
3x
2
1
+a
2y
1
, daca P
1
= P
2
.
Observat ia 16.1 A nu se confunda punctul la innit O cu perechea (0, 0). Punctul la innit
apart ine tuturor curbelor eliptice, n timp ce punctul (0, 0) este un element doar pentru curbele
eliptice cu parametrul b = 0.
69
70 CAPITOLUL 16. ARITMETICA PE CURBE ELIPTICE
Figura 16.1: Operat ia de adunare pe o curba eliptica.
Exercit iul 16.2.1 Fie curba eliptica y
2
= x
3
+7x+4 denita peste F
71
. Sa se adune punctele
P(15, 17) si Q(43, 24).
Rezolvare:
Coordoantele punctului P +Q = (x
3
, y
3
), sunt date de formulele:
_
x
3
=
2
x
1
x
2
y
3
= (x
1
x
3
) y
1
unde =
y
2
y
1
x
2
x
1
.
Pentru calculul = 7 (28
1
mod 71), se foloseste algoritmul lui Euclid care gaseste
33 = 28
1
mod 71, deci = 231.
Atunci x
3
= 231
2
15 43 mod 71 = 53 iar y
3
= 231(15 53) 17 mod 71 = 9.

In
concluzie, coordoantele punctului care reprezinta suma celor doua puncte de pe curba eliptica
data sunt (53, 9).
2
= x
3
+x + 3 denita peste F
17
. Aratat i ca punctul
(2, 8) este un generator al punctelor de pe curba eliptica.
Rezolvare: Succesiv putem scrie 1P = (2, 8), 2P = (12, 3), 3P = (16, 16), 4P = (8, 8),
5P = (7, 9), 6P = (6, 15), 7P = (11, 6), 8P = (3, 13), 9P = (3, 4), 10P = (11, 11), 11P =
(6, 2), 12P = (7, 8), 13P = (8, 9), 14P = (16, 1), 15P = (12, 14), 16P = (2, 9), 17P = O.
2
= x
3
+2x+3 denita peste F
23
. Sa se adune punctele
P(6, 1) si Q(13, 8).
Raspuns: R(5, 0).
2
= x
3
+ 7x + 4 denita peste F
71
. Se da punctul
P(15, 17). Aat i 2P.
Raspuns: (66, 25).
2
= x
3
+ x + 6 denita peste F
11
. Sa se arate ca
punctul (2, 7) este un generator al punctelor de pe curba eliptica.
Raspuns: 1P = (2, 7), 2P = (5, 2), 3P = (8, 3), 4P = (10, 2), 5P = (3, 6), 6P = (7, 9),
7P = (7, 2), 8P = (3, 5), 9P = (10, 9), 10P = (8, 8), 11P = (5, 9), 12P = (2, 4), 13P = O.
2
= x
3
17
. Se da punctul
P(6, 5). Aat i 2P.
Raspuns: (1, 1).
2
= x
3
+ x + 3 denita peste F
7
. Aratat i ca punctul
(4, 6) este un generator al punctelor de pe curba eliptica.
Raspuns: Succesiv obt inem 1P = (4, 6), 2P = (6, 1), 3P = (5, 0), 4P = (6, 6), 5P =
(4, 1), 6P = O.
2
= x
3
+9 denita peste F
37
. Se da punctul P(6, 22).
Aat i 2P.
Raspuns: (35, 1).
2
= x
3
+9 denita peste F
37
. Se dau punctele P(6, 22)
si Q(8, 15). Aat i P +Q.
Raspuns: (26, 11).
2
= x
3
+11x +20 denita peste F
23
. Se dau punctele
P(7, 7) si Q(15, 15). Aat i P +Q.
Raspuns: (2, 21).
72 CAPITOLUL 16. ARITMETICA PE CURBE ELIPTICE
2
= x
3
23
. Se dau punctele
P(21, 14) si Q(7, 9). Aat i P +Q.
Raspuns: (22, 7).
2
= x
3
17
. Se da punctul
P(3, 8). Aat i 3P.
Raspuns: (12, 5).
2
= x
3
+ 3x denita peste F
11
. Aratat i ca punctele
P(0, 0) si Q(1, 2) apart in curbei. Aat i P +Q.
Raspuns: Cele 2 puncte satisfac ecare ecuat ia curbei eliptice. Suma lor este (3, 5).
2
= x
3
+6x +11 denita peste F
17
. Se dau punctele
P(12, 3) si Q(6, 12). Aat i P +Q.
Raspuns: (14, 0).
Capitolul 17
Sistemul de cifrare ElGamal bazat pe
curbe eliptice
Algoritmul ElGamal poate extins pe orice grup nit (G, ), n care problema logarit-
mului discret este dicila, n particular si pe grupul punctelor de pe o curba eliptica.
Astfel, e G pentru care problema logaritmului n subgrupul H = {
i
|i 0} este
dicila. Pe baza cheii private x Z, se construieste =
x
, cheia publica ind {G, , }.
Pentru a cifra un mesaj M se alege aleatoriu k Z
|H|
si se aplica regula de cifrare:
E(M, k) = (
k
, M
k
).
Mesajul clar m se recupereaza din mesajul cifrat (y
1
, y
2
) dupa regula: y
2
(y
x
1
)
1
.

Intr-
adevar y
2
(y
x
1
)
1
= M
k
((
k
)
x
)
1
= M
kx
(
kx
)
1
= M.
Exercit iul 17.2.1 Sa se cifreze mesajul (10, 9) utilizand curba eliptica (publica) E : y
2
=
x
3
+x + 6 pe Z
11
cu ajutorul algoritmului ElGamal.
Rezolvare: Pentru a calcula punctele curbei eliptice se calculeaza valorile z = x
3
+ x +
6 mod 11, se vede care din aceste valori sunt reziduri patratice cu ajutorul teoremei lui Euler
(z este reziduu patratic daca si numai daca z
p1
2
1 mod p) si apoi se calculeaza rad acinile
patrate ale acestor reziduri prin formula y = z
p+1
2
mod p). Punctele curbei eliptice vor :
{(2, 7), (2, 4), (3, 5), (3, 6), (5, 2), (5, 9), (7, 2), (7, 9), (8, 3), (8, 8), (10, 2), (10, 9), O}.
Grupul E este grup ciclic (num arul de elemente este al grupului este num ar prim) si se ia
ca generator pentru acesta elementul (public) = (2, 7). Cheia privat a de descifrare, notata
prin d, este o valoare ntre 1 si num arul de puncte de pe o curba eliptica 1. Cheia publica,
notata prin , se obt ine din si exponentul secret d prin formula = d.
Operat ia de cifrare a mesajul M cu ajutorul cheii (secrete) k este:
E(M, k) = (k, M +k).
73
74CAPITOLUL 17. SISTEMUL DE CIFRARE ELGAMAL BAZAT PE CURBE ELIPTICE
Operat ia de descifrare pentru a obt ine M este:
D
k
(y
1
, y
2
) = y
2
dy
1
.
Fie d = 3. Se determina = 3(2, 7) = (8, 3).
Considerand valoarea aleatoare k = 4, se obt ine: E(M, k) = (4(2, 7), (10, 9) + 4(8, 3)) =
((10, 2), (10, 9) + (2, 4)) = ((10, 2), (3, 5))
Exercit iul 17.2.2 Sa se descifreze mesajul ((10, 2), (3, 5)) stiind ca a fost cifrat cu algorit-
mul ElGamal utilizand curba eliptica(publica) E : y
2
= x
3
+ x + 6 pe Z
11
si cheia privata
d = 3.
Rezolvare: Se determina mesajul clar ca ind: M = y
2
dy
1
= (3, 5) 3(10, 2) =
(3, 5) (2, 4) = (3, 5) + (2, 7) = (10, 9).
Exercit iul 17.3.1 Se considera algoritmul ElGamal precizat de parametrii E : y
2
= x
3
+
x + 6 peste Z
11
. Aratat i ca = (2, 7) este un generator al grupului E. Se considera cheia
privat a d = 5. Sa se cifreze mesajul (10, 9) cu valoarea aleatoare k = 3.
Raspuns: Valoarea cheii publice este = d = (3, 6). Mesajul cifrat este (k, M+k) =
((8, 3), (10, 9) + (5, 2)) = ((8, 3), (5, 9)).
2
= x
3
+
x + 6 peste Z
11
. Aratat i ca = (2, 7) este un generator al grupului E. Sa se descifreze
mesajul ((8, 3), (5, 9)) cu ajutorul cheii private d = 5.
Raspuns: D
k
(y
1
, y
2
) = (y
2
dy
1
) = ((5, 9) 5(8, 3)) = ((5, 9) (5, 2)) = ((5, 9) +(5, 9)) =
(10, 9).
2
= x
3
+
x + 6 peste Z
13
. Aratat i ca = (4, 3) este un generator al grupului E. Se considera cheia
privata d = 3. Sa se cifreze mesajul (3, 7) cu valoarea aleatoare k = 4.
((9, 4), (3, 7) + (4, 10)) = ((9, 4), (2, 9)).
2
= x
3
+
x + 6 peste Z
13
. Aratat i ca = (4, 3) este un generator al grupului E. Sa se descifreze
mesajul ((9, 4), (2, 9)) cu ajutorul cheii private d = 3.
Raspuns: D
k
(y
1
, y
2
) = (y
2
dy
1
) = ((2, 9)3(9, 4)) = ((2, 9)(4, 10)) = ((2, 9)+(4, 3)) =
(3, 7).
2
= x
3
+
x + 6 peste Z
17
. Se alege generatorul subgrupului ciclic = (1, 5) al lui E. Se considera
cheia privata d = 7. Sa se cifreze mesajul (8, 4) utilizand valoarea aleatoare k = 3.
((7, 4), (8, 4) + (1, 5)) = ((7, 4), (16, 2)).
2
= x
3
+
x + 6 peste Z
17
. Sa se descifreze mesajul ((7, 4), (16, 2)) cu ajutorul cheii private d = 3.
Raspuns: D
k
(y
1
, y
2
) = (y
2
dy
1
) = ((16, 2) 7(7, 4)) = ((16, 2) (1, 5)) = ((2, 9) +
(1, 12)) = (8, 4).
2
= x
3
+
2x + 6 peste Z
29
. Se alege generatorul subgrupului ciclic = (20, 10) al lui E. Se considera
cheia privata d = 5. Sa se cifreze mesajul (10, 9) utilizand valoarea aleatoare k = 6.
((14, 9), (10, 9) + (14, 9)) = ((14, 9), (5, 20)).
2
= x
3
+
2x + 6 peste Z
29
Raspuns: D
k
(y
1
, y
2
) = (y
2
dy
1
) = ((5, 20) 5(14, 9)) = ((5, 20) (14, 9)) = ((5, 20) +
(14, 20)) = (10, 9).
2
= x
3
+
2x + 7 peste Z
17
Raspuns: D
k
(y
1
, y
2
) = (y
2
dy
1
) = ((2, 6) 5(16, 2)) = ((2, 6) (16, 2)) = ((2, 6) +
(16, 15)) = (8, 12).
76CAPITOLUL 17. SISTEMUL DE CIFRARE ELGAMAL BAZAT PE CURBE ELIPTICE
Capitolul 18
Sistemul de cifrare Menezes-Vanstone
In acest sistem de cifrare - de fapt o variant a a lui ElGamal - curba eliptica este utilizata
pentru mascare, textele clare si cele cifrate putand formate din orice elemente nenule (nu
neaparat puncte din E).
Fie E o curba eliptica peste Z
p
, p > 3 num ar prim care cont ine un subgrup ciclic G n
care problema logaritmului discret este dicila. Pe baza cheii private d Z, se construieste
= d, cheia publica ind {E, , }.
Pentru a cifra mesajul m = (m
1
, m
2
) Z
p
Z
p
se alege aleatoriu k si se construieste
textul cifrat (y
0
, y
1
, y
2
) dupa regulile:
y
0
= k, (c
1
, c
2
) = k, y
i
= c
i
m
i
, i = 1, 2.
La descifrare, cunoscand (y
0
, y
1
, y
2
) si cheia privat a d se determina textul clar astfel:
(m
1
, m
2
) = (y
1
c
1
1
mod p, y
2
c
1
2
mod p), unde dy
0
= (c
1
, c
2
)
Exercit iul 18.2.1 Se considera algoritmul Menezes-Vanstone precizat de parametrii E :
y
2
= x
3
+ x + 6 peste Z
13
. Aratat i ca = (4, 3) este un generator al grupului E. Se
considera cheia privata d = 3. Sa se cifreze mesajul (3, 7) cu valoarea aleatoare k = 4.
Rezolvare: Curba eliptica are 13 puncte deci grupul E este ciclic si orice element este
generator.
Se calculeaza = 3 = 3 (4, 3) = (3, 7)
Cifrarea mesajului (3, 7) cu valoarea aleatoare k = 4 se face dupa urmatoarea formula
e
k
(x, k) = (y
0
, y
1
, y
2
) unde y
0
= k , (c
1
, c
2
) = k , y
i
= c
i
x
i
(modp) pentru i = 1, 2.
Calculam y
0
= 4 (4, 3) = (9, 4) iar (c
1
, c
2
) = 4 = 12 = (4, 10) deci c
1
= 4 iar c
2
= 10
Se calculeaza si y
1
= 4 3 mod 13 = 12 si y
2
= 10 7 mod 13 = 5. Rezultatul cifrarii
mesajului (3, 7) cu valoarea aleatoare k = 4 este ((9,4), 12,5).
77
78 CAPITOLUL 18. SISTEMUL DE CIFRARE MENEZES-VANSTONE
y
2
= x
3
+ x + 6 peste Z
13
. Aratat i ca = (4, 3) este un generator al grupului E. Se
considera cheia privata d = 3. Sa se cifreze mesajul (1, 1) cu valoarea aleatoare k = 2.
Raspuns: = (3, 7), (y
0
, y
1
, y
2
) = ((2, 9), 11, 3).
Exercit iul 18.3.2 Se considera curba eliptica E : y
2
= x
3
+ x + 6 peste Z
13
. Cate puncte
are aceasta curba? Gasit i un generator al punctelor de pe curba eliptica. Cate elemente se
pot cifra prin algoritmul ElGamal? Dar cu ajutorul algoritmului Menezes-Vanstone?
Raspuns: Curba are 13 puncte. Cum numarul de puncte este prim, grupul E este ciclic si
deci orice punct din E este generator. Folosind sistemul ElGamal se pot cifra numai punctele
de pe curba, deci 13. Cu Menezes-Vanstone se poate cifra orice punct din Z
13
Z
13
.
y
2
= x
3
+ 2x + 5 peste Z
11
. Cunoscand cheia publica (, ) = ((3, 7), (4, 0)), sa se cifreze
mesajul (5, 2) cu valoarea aleatoare k = 7.
Raspuns: (y
0
, y
1
, y
2
) = ((0, 7), 9, 0).
y
2
= x
3
+ 7x + 3 peste Z
17
Raspuns: (y
0
, y
1
, y
2
) = ((12, 9), 13, 3).
y
2
= x
3
+3x+2 peste Z
23
Raspuns: (y
0
, y
1
, y
2
) = ((18, 0), 4, 0).
y
2
= x
3
+2x+7 peste Z
23
Raspuns: (y
0
, y
1
, y
2
) = ((21, 8), 13, 12).
y
2
= x
3
+2x+7 peste Z
23
Raspuns: (y
0
, y
1
, y
2
) = ((15, 13), 5, 16).
y
2
= x
3
+ 2x + 5 peste Z
17
. Cunoscand cheia privata d = 3, sa se descifreze mesajul
(y
0
, y
1
, y
2
) = ((1, 12), 2, 10).
Raspuns: (m
1
, m
2
) = (12, 5).
y
2
= x
3
+ 5x + 4 peste Z
19
(y
0
, y
1
, y
2
) = ((17, 9), 12, 14).
Raspuns: (m
1
, m
2
) = (11, 11).
y
2
= x
3
+ 2x + 7 peste Z
23
(y
0
, y
1
, y
2
) = ((21, 8), 8, 4).
Raspuns: (m
1
, m
2
) = (12, 11).
80 CAPITOLUL 18. SISTEMUL DE CIFRARE MENEZES-VANSTONE
Capitolul 19
Funct ii de dispersie
Problematica funct iilor hash ind deosebit de vasta, n cele ce urmeaza ne vom opri numai
asupra aspectelor strict necesare nt elegerii utilizarii acestor funct ii n cadrul algoritmilor de
semnatur a digitala.
Denit ia 19.1 O funct ie f se numeste funct ie unidirect ionala daca:
a) ind dat x, este usor de calculat f(x);
b) ind dat f(x), este greu de calculat x.
Denit ia 19.2 O funct ie f se numeste funct ie unidirect ionala cu trapa (trap-door) daca:
a) ind dat x, este usor de calculat f(x);
b) ind dat f(x), este greu de calculat x;
c) pe baza unei informat ii secrete y, este usor de calculat x din f(x).
Denit ia 19.3 Funct ia hash este o funct ie care se aplica unui sir de lungime oarecare
obt inandu-se un sir de lungime xata (de obicei, mai mica decat lungimea sirului de in-
trare).
Denit ia 19.4 O funct ie H se numeste funct ie hash unidirect ionala daca:
a) H este funct ie hash;
b) H este funct ie unidirect ionala.
Pentru a putea folosite pentru semnaturi digitale, funct iile hash unidirect ionale trebuie
sa mai ndeplineasca, printre altele una din urmatoarele doua condit ii:
1) oricare ar M dat, este greu de gasit M
astfel nc at H(M
) = H(M);
2) este greu de gasit o pereche oarecare M, M
astfel nc at H(M) = H(M
).
Funct iile hash unidirect ionale care ndeplinesc condit ia (1) se numesc funct ii hash uni-
direct ionale slabe (sau universale), iar cele care ndeplinesc condit ia (2) se numesc funct ii
hash unidirect ionale tari (sau fara coliziuni).
81
82 CAPITOLUL 19. FUNCT II DE DISPERSIE
Prima condit ie este usor de justicat: daca A a semnat mesajul M cu H(M), iar B obt ine
M
astfel nc at H(M
) = H(M), atunci B ar putea pretinde ca A ar semnat mesajul M
.
A doua condit ie este justicata de existent a atacului birthday, metoda generala de atac
aplicabila oricarei funct ii hash, atac inspirat de paradoxul matematic al zilei de nastere.
Datorita atacului birthday, pentru o funct ie hash care are la iesire un sir cu o lungime
de m bit i (2
m
posibilitat i) se pot gasi coliziuni generand doar 2
m/2
perechi de mesaje-valori
hash.
In aceste condit ii, algoritmii hash care produc valori hash de 64 bit i se considera nesiguri
deoarece, cu tehnologia actuala, se pot genera 2
64/2
= 2
32
mesaje si deci este posibila gasirea
de mesaje care sa intre n coliziune. De aceea se recomanda ca valoarea hash sa e de lungime
de cel put in 128 bit i.
In cele ce urmeaza vom descrie funct ia de dispersie Chaum -van Heijt-Ptzmann. Fie p
un numar prim mare astfel ca q =
p 1
2
sa e de asemenea prim. Consideram , Z
p
elemente primitive. Calculul valorii logaritmului discret log
este dicil din punct de vedere

computat ional. Vom deni funct ia de dispersie Chaum -van Heijt-Ptzmann h : Z
q
Z
q

Z
p
prin
h(x
1
, x
2
) =
x
1
x
2
mod p.
Daca exista o coliziune pentru funct ia Chaum -van Heijt-Ptzmann atunci calculul log-
aritmului discret log
este usor.
Sa vedem cum anume se poate determina valoarea logaritmului discret log
. Sa pre-
supunem ca avem coliziunea h(x
1
, x
2
) = h(x
3
, x
4
) cu (x
1
, x
2
) = (x
3
, x
4
). Deci
x
1
x
2
=
x
3
x
4
mod p sau echivalent
x
1
x
3
=
x
4
x
2
mod p. Fie d = (x
4
x
2
, p 1). Deoarece
p 1 = 2q iar q este numar prim avem d {1, 2, q, p 1}.
Cazul d = 1. Deoarece (x
4
x
2
, p 1) = 1 exista y = (x
4
x
2
)
1
mod p. Deci:
=
(x
4
x
2
)y
mod p =
(x
1
x
3
)y
mod p.
Deci log
= (x
1
x
3
)(x
4
x
2
)
1
mod (p 1).
Cazul d = 2. Deoarece p 1 = 2q, q num ar prim, rezulta (x
4
x
2
, q) = 1. Fie
y = (x
4
x
2
)
1
mod q. Deci, exista k numar ntreg astfel nc at (x
4
x
2
)y = kq + 1.
Deoarece
q
= 1 mod p, rezulta:
(x
4
x
2
)y
=
(kq+1)
= (1)
k
mod p = mod p.
Acest lucru conduce la:
(x
1
x
3
)y
=
(x
4
x
2
)y
mod p = mod p.
Suntem n una din urmatoarele doua situat ii:
log
= (x
1
x
3
)(x
4
x
2
)
1
mod (p 1),
log
= (x
1
x
3
)(x
4
x
2
)
1
+q mod (p 1),
Se veric a direct care dintre rezultate este cel corect.
Cazul d = q. Deoarece 0 x
2
q 1 si 0 x
4
q 1 rezulta faptul ca (q 1)
x
4
x
2
q 1. Acest lucru arata faptul ca este imposibil sa avem (x
4
x
2
, p 1) = q.
Cazul d = p 1. Aceast caz este posibil numai daca x
4
= x
2
, rezulta x
1
= x
3
. S-a ajuns
la (x
1
, x
2
) = (x
3
, x
4
), ceea ce contrazice ipoteza.
Exercit iul 19.2.1 Fie f : Z
2
n
Z
2
n
o funct ie hash pentru care problema CSP
1
este
satisfacuta. Denim funct ia g : Z
2
2n
Z
2
n
prin g(x
1
||x
2
) = f(x
1
x
2
). Aratat i ca g nu
satisface problema CSP.
Exercit iul 19.2.2 Fie p = 12347, = 2, = 8461 parametrii pentru funct ia de dispersie
Chaum - van Heijst - Ptzmann. Fiind data coliziunea
5692
144
=
212
4214
mod p, sa se
calculeze log
.
Raspuns: log
= 5689.
Exercit iul 19.2.3 Fie p = 15083, = 154, = 2307 parametrii pentru funct ia de dispersie
Chaum - van Heijst - Ptzmann. Fiind data coliziunea
7431
5564
=
1459
954
mod p, sa se
calculeze log
.
1
Fiind data o pereche valida (x, y) este dicil de aat x
1
= x astfel ncat f(x
1
) = f(x).
84 CAPITOLUL 19. FUNCT II DE DISPERSIE
Capitolul 20
Semnatura ElGamal
Fie p un num ar prim pentru care problema logaritmului discret n Z
p
este dicila si
Z
p
un element primitiv. Cheia publica se construieste din cheia privata a: =

a
mod p.
Semnatura mesajului x, calculata cu ajutorul valorii secrete k Z
p1
, este denita ca
ind (, ) unde:
=
k
mod p si = (H(x) a)k
1
mod (p 1),
unde H() este o funct ie hash (sau x).
Semnatura (, ) a mesajului x este vericat a daca are loc:
=
x
mod p.
Exercit iul 20.2.1 Sa se semneze mesajul x = 101 cu ajutorul algoritmului ElGamal spec-
icat de parametrii urmatori: p = 467, = 2, cheia privata a = 127, alegand valoarea
k = 213.
Rezolvare: Se calculeaza =
a
mod p = 2
127
mod 467 = 132
Semnatura mesajului x = 101 cu k = 213 (de remarcat faptul ca (213, 466) = 1 si
213
1
mod 466 = 431) este:
=
k
mod p = 2
213
mod 467 = 29 si = (101 127 29) 431 mod 466 = 16.
Exercit iul 20.3.1 Sa se semneze mesajul x = 100 cu ajutorul algoritmului ElGamal specicat
de parametrii urmatori: p = 163, = 2, cheia privata a = 127, alegand valoarea k = 215.
Raspuns: Semnatura mesajului este (, ) = (52, 24).
85
86 CAPITOLUL 20. SEMN
ATURA ELGAMAL
Exercit iul 20.3.6 Mesajul x = 57 a fost semnat cu ajutorul algoritmului ElGamal specicat
de parametrii urmatori: p = 97, = 3, = 70, obt inandu-se semnatura (, ) = (66, 39).
Este aceasta o semnatura valida?
Raspuns: Semnatura este valid a deoarece se satisface relat ia de vericare
mod p =
x
mod p = 89.
Raspuns: Semnatura nu este valid a deoarece nu se satisface relat ia de vericare
mod
p = 4;
x
mod p = 9.
Raspuns: Semnatura este valid a deoarece se satisface relat ia de vericare
mod p =
x
mod p = 61.
Capitolul 21
Semnatura DSA/ECDSA
Fie p un num ar prim de 512 bit i si q un factor prim de 160 bit i ai lui p 1 si Z
p
o
radacin a primitiva de ordin q a unitat ii.
Cheia publica se construieste din cheia privat a a: =
a
mod p. Semnatura mesajului
x, calculata cu ajutorul valorii secrete k Z
q
, este denita ca ind (, ) unde:
(, ) = ((
k
mod p) mod q, (x +a)k
1
mod q).
Semnatura (, ) a mesajului x este vericat a daca are loc urmatoarea egalitate, unde
e
1
= x
1
mod q si e
2
=
1
mod q:
(
e
1
e
2
mod p) mod q = .
O variant a a DSA-ului este reprezentat a de extensia acesteia pe curbele eliptice (ECDSA).
In aceasta situat ie se lucreaza pe curba eliptica E peste Z

q
. Elementele necesare algoritmului
sunt:
G(x
G
, y
G
) generatorul punctelor de pe curba eliptica;
n numarul elementelor de pe curba eliptica (sau ordinul lui G daca G nu este generator);
L
n
numarul de bit i ai lui n;
d
A
cheia privat a,d
A
[1, n];
Q
A
= d
A
G cheia publica.
In contexul celor de mai sus, algoritmul ECDSA este urmatorul:

PASUL 1. Se calculeaza e = H(M). Fie z cei cei mai semnicativi L
n
bit i ai lui e.
PASUL 2. Se alege valoarea aleatoare
1
k in intervalul [1, n 1].
PASUL 3. r = x
1
mod n, unde (x
1
, y
1
) = kG. Daca r = 0 atunci revenim la PASUL 2.
PASUL 4. s = k
1
(z +rd
A
) mod n. Daca r = 0 atunci revenim la PASUL 2.
PASUL 5. Semnatura este (r, s).
Vericarea semnaturii ECDSA (r, s se realizeaza dupa urmatorul algoritm.
PASUL 1. Daca r, s / [1, n] semnatura este invalida.
PASUL 2. Fie e = H(M), z cei mai semnicativi L
n
bit i ai lui e.
1
valoarea k se numeste cheie efemera.
87
ATURA DSA/ECDSA
PASUL 3. Se calculeaza: w = s
1
mod n.
PASUL 4. Se calculeaza: u
1
= zw mod n si u
2
= rw mod n.
PASUL 5. Fie (x
1
, y
1
) = u
1
G+u
2
Q
A
.
PASUL 6. Semnatura este valid a daca si numai daca r = x
1
mod n.
Exercit iul 21.2.1 Sa se semneze mesajul x = 100 cu ajutorul algoritmului DSA specicat
de parametrii urmatori: p = 7879, q = 101, = 170, valoarea aleatoare utilizata k = 50,
cheia secret a ind a = 75. Vericat i rezultatul obt inut.
Rezolvare: Se calculeaza:
= (
k
mod p) mod q = (170
50
mod 7879) mod 101 = 2518 mod 101 = 94.
= (x + a)k
1
mod q = (100 + 75 94)50
1
mod 101 = 7150 50
1
mod 101 = 7150
99 mod 101 = 42.
S-a folosit 50
1
(mod101) = 2 mod 101 = 99 (indca 101 = 50 2 + 1).
Vericare:
=
a
mod p = 170
75
mod 7879 = 4567.
e
1
= x
1
mod q = 100 42
1
mod 101 = 100 89 mod 101 = 12.
e
2
=
1
mod q = 94 42
1
mod 101 = 94 89 mod 101 = 84.
Se obt ine:
(
e
1
e
2
mod p) mod q = (170
12
4567
84
mod 7879) mod 101 = 2518 mod 101 = 94 = .
Raspuns: Semnatura mesajului este (, ) = (94, 40). Cheia publica este = 4567.
Raspuns: Semnatura mesajului este (, ) = (94, 38). Cheia publica este = 4567.
de parametrii urmatori: p = 131, q = 13, = 7, a = 3, valoarea aleatoare utilizata k = 11.
Vericat i rezultatul obt inut.
Raspuns: Semnatura mesajului este (, ) = (10, 6). Totusi, semnatura nu se veric a
pentru ca ord() = 65 si nu q = 13.

In concluzie, algoritmul DSA este setat impropriu.
Exercit iul 21.3.4 Mesajul x = 502 a fost semnat cu ajutorul algoritmului DSA specicat
de parametrii urmatori: p = 617, q = 11, = 113, = 489, valoarea aleatoare utilizata
k = 21 si s-a obt inut semnatura (, ) = (3, 10). Este aceasta semnatura valida?
Raspuns: Semnatura este valida deoarece se satisface relat ia de vericare (
e
1
e
2
mod
p) mod q = = 3.
Exercit iul 21.3.5 Mesajul x = 99 a fost semnat cu ajutorul algoritmului DSA specicat de
parametrii urmatori: p = 7879, q = 101, = 170, = 4567, valoarea aleatoare utilizata
Raspuns: Semnatura nu este valid a deoarece nu se satisface relat ia de vericare (
e
1
e
2
mod
p) mod q = .
Exercit iul 21.3.6 Mesajul x = 99 a fost semnat cu ajutorul algoritmului DSA specicat de
parametrii urmatori: p = 7879, q = 101, = 170, = 4567, valoarea aleatoare utilizata
Raspuns: Semnatura este valida deoarece se satisface relat ia de vericare (
e
1
e
2
mod
p) mod q = = 94.
ATURA DSA/ECDSA
Capitolul 22
Protocolul Die-Hellman de stabilire
a cheilor
Fie p un num ar prim, q un divizor prim al lui p 1 si Z
p
, element de ordin q.
Protocolul Die-Hellman (DH), ce returneaza o cheie comun a de sesiune K este urmatorul:
PASUL 1. A genereraza aleator a Z
q
si trimite lui B valoarea R
A
=
a
(modp).
PASUL 2. B genereraza aleator b Z
q
si trimite lui A valoarea R
B
=
b
(modp).
PASUL 3. A calculeaza K = K
A,B
= R
B
a
=
ab
.
PASUL 4. B calculeaza K = K
B,A
= R
A
b
=
ab
.
Exercit iul 22.2.1 Sa se specice cheia rezultatan urma aplicarii protocolului Die-Hellman
specicat de parametrii: p = 25307, = 2, a = 2009, b = 2010.
Raspuns: k = 21554.
Rezolvare:
PASUL 1. A trimite lui B valoarea R
A
=
a
(modp) = 2
2009
mod 25307 = 5755.
PASUL 2. B trimite lui A valoarea R
B
=
b
(modp) = 2
2010
mod 25307 = 11510.
PASUL 3. A calculeaza K = K
A,B
= R
B
a
= 11510
2009
mod 25307 = 21554.
PASUL 4. B calculeaza K = K
B,A
= R
A
b
= 5755
2010
mod 25307 = 21554.
91
92 CAPITOLUL 22. PROTOCOLUL DIFFIE-HELLMAN DE STABILIRE A CHEILOR
Raspuns: k = 3694.
Raspuns: k = 12034.
Raspuns: k = 14.
Raspuns: k = 7944.
Raspuns: k = 57286.
Raspuns: k = 352.
Raspuns: k = 612.
Raspuns: k = 1555.
Raspuns: k = 731.
Exercit iul 22.3.10

In urma aplicarii protocolului Die-Hellman, una dintre entitat ile care
doresc sa genereze o cheie comuna alege parametrul secret a = 1 (sau b = 1). Cum poate un
atacator determina cheia n acest caz?
Capitolul 23
Protocolul Blom
Protocolul lui Blom asigura implementarea principiului compartiment arii, ntre oricare
doi participant i, dintr-o mult ime de n utilizatori. Protocolul se bazeaza pe existent a unei
autoritat i de ncredere T. Fie n 3 numarul de utilizatori si p n un numar prim. Cheia,
ce urmeaza a calculata de oricare doi participant i este un element din Z
p
. Vom nota prin

k numarul maxim de intrusi
1
mpotriva carora poate asigurata protect ia. Vom exemplica
protocolul pentru k = 1.
PASUL 0. T face public: num arul prim p si pentru ecare utilizator A un numar aleator
r
A
Z
p
, r
A
= r
B
pentru orice A = B.
PASUL 1. T genereaza aleatoriu trei numere a, b, c Z
p
si formeaza polinomul
2
:
f(X, Y ) = a +b(X +Y ) +cXY mod p.
PASUL 2. Pentru ecare utilizator A, T va construi polinomul:
g
A
(X) = f(X, r
A
) mod p,
pe care l va transmite, cu asigurarea condent ialit at ii, catre A.
PASUL 3. Cheia stabilita de catre A si B va :
K
A,B
= K
B,A
= f(r
A
, r
B
).
Observat ia 23.1 Protocolul Blom, pentru k = 1, este necondit ionat sigur mpotriva oricarui
atac individual. Cu alte cuvinte, orice alt participant C nu poate determina, din valorile
publice r
A
si r
B
, cheia K
A,B
. Acesta este utilizat n schema de protect ie, utilizata de HDCP
(High-bandwidth Digital Content Protection), n generarea cheilor dintre sursa si destinat ie
(playere HD DVD sau televiziunea HD).
1
numit si nivel de compartimentare.
2
pentru k arbitrar polimonul utilizat n cadrul protocolului este f(X, Y ) =
k
i,j=0
a
i,j
X
i
Y
j
mod p, a
i,j

Z
p
, a
i,j
= a
j,i
pentru orice i, j.
93
94 CAPITOLUL 23. PROTOCOLUL BLOM
Exercit iul 23.2.1 Specicat i elementele de securitate pentru protocolul Blom, ce asigura
compartimentarea ntre trei utilizatori A, B, C, caracterizat de p = 17, k = 1, cheile publice
ale acestora ind r
A
= 12, r
B
= 7 si r
C
= 1. Valorile alese de catre T ind a = 8, b = 7,
c = 2.
Rezolvare: T construieste polinomul:
f(X, Y ) = 8 + 7(X +Y ) + 2XY.
Polinoamele specice ecarui utilizator sunt:
g
A
(X) = 7 + 14X, g
B
(X) = 6 + 4X, g
C
(X) = 15 + 9X.
Cheile de compartimentare (secrete) sunt:
K
A,B
= 3, K
A,C
= 4, K
B,C
= 10.
A poate calcula K
AB
prin:
g
A
(r
B
) = 7 + 14 7 mod 17 = 3.
B poate calcula K
BA
prin:
g
B
(r
A
) = 6 + 4 12 mod 17 = 3.
Exercit iul 23.3.1 Specicat i cheile rezultate n urma protocolului Blom, ce asigura com-
partimentarea ntre trei utilizatori A, B, C, caracterizat de p = 29, k = 1, cheile publice ale
acestora ind r
A
= 1, r
B
= 2 si r
C
c = 17.
Raspuns. Polinoamele secrete sunt g
A
(X) = 324 + 28X, g
B
(X) = 6 + 16X, g
C
(X) =
17 + 4X. Cheile rezultate sunt K
AB
= 22, K
AC
= 21, K
BC
= 25.
Exercit iul 23.3.2 Specicat i cheile rezultate n urma protocolului Blom, ce asigura com-
partimentarea ntre trei utilizatori A, B, C, caracterizat de p = 29, k = 1, cheile publice ale
acestora ind r
A
= 13, r
B
= 11 si r
C
c = 3.
Raspuns. Polinoamele secrete sunt g
A
(X) = 27 + 12X, g
B
(X) = 23 + 6X, g
C
(X) =
6 + 24X. Cheile rezultate sunt K
AB
= 14, K
AC
= 28, K
BC
= 9.
Capitolul 24
Sistemul Shamir de partajare a
secretelor
Schema lui Shamir si propune sa partajeze cheia de cifrare S K = Z
q
la o mult ime de
n participant i (q n + 1) astfel ncat pentru reconstruct ia cheii sa e nevoie de cooperarea
a cel put in k dintre participant i.
Init ializare. n num arul participant ilor, k pragul minim de reconstruct ie al secretului S.
Se aleg n valori (publice) distincte x
1
, . . . x
n
si se distribuie ecarui participant i valoarea x
i
.
PASUL 1. Se alege de catre autoritatea de distribut ie a secretului TP (Trusted Party)
un numar prim q sucient de mare (q n + 1). Se genereaza aleatoriu, de catre autoritatea
de distribut ie a secretului TP, un polinom de grad k 1:
P(X) =
k1
i=1
a
i
X
i
+S mod q.
PASUL 2 (distribut ia secretului). Autoritatea TP distribuie participantului i valoarea
y
i
= P(x
i
), i = 1, . . . , n.
PASUL 3 (recuperarea secretului). Cu informat ia oferita de k participant i se poate recu-
pera, prin rezolvarea unui sistem liniar de k ecuat ii, valoarea S. Daca numarul participant ilor
care pun la dispozit ie informat ia y
i
este mai mic decat k, atunci nu se poate determina S.
Exercit iul 24.2.1 Sa se partajaze secretul S = 13, pentru o schema majoritara k = 3 din
n = 5 participant i, utilizand algoritmul lui Shamir specicat de q = 17, valorile publice
x
i
= i, i = 1, . . . , 5 si valorile aleatoare a[1] = 10, a[2] = 2.
Rezolvare: Se obt ine polinomul P(X) = a
2
X
2
+a
1
X +S = 2X
2
+ 10X + 13.
95
96 CAPITOLUL 24. SISTEMUL SHAMIR DE PARTAJARE A SECRETELOR
Secretul se partajeaza n:
y
1
= P(1) = (2 + 10 + 13) mod 17 = 8;
y
2
= P(2) = (8 + 20 + 13) mod 17 = 7;
y
3
= P(3) = (18 + 30 + 13) mod 17 = 10;
y
4
= P(4) = (32 + 40 + 13) mod 17 = 0;
y
5
= P(5) = (50 + 50 + 13) mod 17 = 11.
x
i
Raspuns: {16, 15, 1, 8, 2}.
x
i
Raspuns: {12, 11, 14, 4, 15}.
Exercit iul 24.3.3 Sa se reconstituie secretul S, din valorile {12, 4, 15}, stiind ca acestea
au fost obt inute cu ajutorul schemei majoritare (5, 3) a lui Shamir specicata de q = 17 si
valorile publice {1, 4, 5}.
Raspuns: S = 0.
Exercit iul 24.3.4 Sa se reconstituie secretul S, din valorile {1, 8, 2}, stiind ca acestea au
fost obt inute cu ajutorul schemei majoritare (5, 3) a lui Shamir specicata de q = 17 si
Raspuns: S = 4.
Exercit iul 24.3.5 Sa se reconstituie secretul S, din valorile {10, 0, 11}, stiind ca acestea
au fost obt inute cu ajutorul schemei majoritare (5, 3) a lui Shamir specicata de q = 17 si
Raspuns: S = 13.
Exercit iul 24.3.6 Ce se ntampla daca n protocolul lui Shamir se renunt a la condit ia de
primalitate asupra lui q?
Capitolul 25
Scheme de partajare a secretelor
bazate pe CRT
Una dintre primele scheme de partajare a secretelor, bazate pe CRT, este schema Mignotte.
Aceasta presupune faptul ca sirul p
1
< p
2
< . . . < p
n
este un sir Mignotte:
k2
i=0
p
ni
<
k
i=0
p
i
.
Secretul S, ce trebuie partajat, trebuie sa apart in a intervalului
1
(, ), unde =
k
i=0
p
i
si =
k2
i=0
p
ni
. Valorile ce se distribuie ecaruia dintra cei n participant i sunt S mod p
i
,
i = 1, . . . , n. Recuperarea secretului se realizeaza, de catre k participant i, prin rezolvarea,
cu ajutorul CRT, a sistemului S = S
i
j
mod p
i
, j = 1, . . . , k.
Exercit iul 25.2.1 Fie sirul {5, 7, 9, 11, 13} o secvent a (5, 3) Mignotte , = 1113, = 57
9, secretul S = 235 (, ). Care sunt secretele ce sunt distribuite celor cinci participant i?
Rezolvare: S
1
= S mod 5 = 0, S
2
= S mod 7 = 5, S
3
= S mod 9 = 6, S
4
= S mod 11 =
10, S
5
= S mod 13 = 12. Spre exemplu, grupul {P
1
, P
3
, P
4
} trebuie sa rezolve problema:
_
_
_
x 0 mod 5
x 6 mod 9
x 10 mod 11
ce are solut ie unica 285.
1
Daca lungimea intervalului este mica, atunci schema nu este practica, existand posibilitatea ca printre
valorile distribuite sa este coliziuni.
97
98 CAPITOLUL 25. SCHEME DE PARTAJARE A SECRETELOR BAZATE PE CRT
Capitolul 26
Canale subliminale
In sistemul de autenticare ElGamal, A alege un numar prim mare q si un element

primitiv Z
q
. Valorile q si sunt publice. Printr-un canal sigur, A si B stabilesc un
numar p Z
q
. Protocolul prin care A transmite lui B mesajul subliminal y Z
q
prin
utilizarea textului x este urmatorul:
PASUL 0. A calculeaza =
y
mod q.
PASUL 1. Se determina ca solut ie a ecuat iei x = p +y mod (q 1).
PASUL 2. A trimite lui B tripletul (x, , ).
PASUL 3. B calculeaza a = (
p
)
mod q.
PASUL 4. Daca a =
x
mod q atunci B decide ca mesajul este autentic.
PASUL 5. B recupereaza mesajul subliminal: y = (x p )
1
mod (q 1).
Exercit iul 26.2.1 Se considera canalul subliminal ElGamal dat de q = 11 si = 2. Sa
presupunem ca se doreste transmiterea mesajului y = 9 folosind cheia secreta k = 0 si textul
cifrat x = 5. Care este mesajul ce se va transmite pe canalul de comunicat ie?
Rezolvare:
PASUL 0. A calculeaza =
y
mod q = 2
9
mod 11 = 6.
PASUL 1. Se determina ca solut ie a ecuat iei x = p +y mod (q 1), echivalent
cu 5 = 0 + 9 mod 10 de unde rezulta = 5 9
1
mod 10 = 5 9 mod 10 = 5.
PASUL 2. A trimite lui B tripletul (x, , ) = (5, 6, 5).
99
100 CAPITOLUL 26. CANALE SUBLIMINALE
Raspuns: {5, 6, 3}.
Raspuns: {5, 2, 9}.
Exercit iul 26.3.3 Se considera canalul subliminal ElGamal dat de q = 11, = 2 si cheia
secreta k = 8. Se recept ioneaza mesajul {5, 6, 3}. Acesta cont ine mesaje ascunse?
Raspuns: Mesajul recept ionat este autentic, mesajul subliminal ind y = 9.
Raspuns: Mesajul recept ionat nu este autentic.
Raspuns: Mesajul recept ionat este autentic, mesajul subliminal ind y = 1.
Raspuns: Mesajul recept ionat este autentic, se ajunge la rezolvarea urmatoarei ecuat ii
5 = 5 y mod 10 ce nu are solut ie unica, vericarea autenticitat ii se face prin repetarea
procedeului de construct ie a mesajului ce se transmite. Se obt ine mesajul ascuns y = 9.
Exercit iul 26.3.7

In cadrul protocolui ElGamal, de transmitere a mesajelor subliminale,
autenticatorul obt inut nu este relativ prim cu q 1. Cum se rezolva aceasta spet a?
Capitolul 27
Principii criptograce
Exercit iul 27.1 Metoda one-time pad (OTP) cifreaza un mesaj m prin aplicarea operat iei
XOR cu o cheie secreta k. Avand n vedere ca o cheie buna are, statistic, jumatate din bit i
zero si ca operat ia XOR cu zero nu modica nimic, rezulta ca metoda OTP lasa jumatate din
mesaj n clar. Cu alte cuvinte, prin simpla observare a unui text cifrat cu aceasta metoda, un
atacator cunoaste jumatate din bit ii textului clar. Acest lucru nseamna, de fapt, ca metoda
OTP este una foarte slaba? Cum poate considerat perfect un cifru bloc care cifreaza
numai jumatate din textul clar?
Exercit iul 27.2 Vericarea semnaturii El Gamal presupune efectuarea operat iei a
x
b
y
mod p
unde a, b sunt xate iar x, y sunt variabile. Arat i ca numarul de nmult iri necesare pentru
efectuarea acestui calcul este mai mic decat numarul de operat ii necesare pentru a calcula
a
x
b
y
mod p prin doua exponent ieri succesive.
Exercit iul 27.3 Consideram doua numere prime p si q. Fie i
p
= p
1
mod q si i
q
= q
1
mod
p iar n = p q. Care este valoarea rezultata n urma operat iei q i
q
+ p i
p
? Putet i explica
cum poate folosita aceasta valoare pentru a reduce stocarea cheii secrete la implementarea
RSA CRT?
Exercit iul 27.4 Se doreste semnarea a doua mesaje cu algoritmul de semnatura El Gamal.
Cum putem calcula valorile g
k
1
si g
k
2
pentru a produce semnaturile ntr-un timp mai scurt
decat cel necesar pentru a calcula doua semnaturi secvent iale?
Exercit iul 27.5 Consideram protocolul Fiat-Shamir unde secretul s este ales astfel ncat
ncat vs
2
= 1 mod n, v ind cheia publica. Protocolul este dupa cum urmeza:
Alice alege un r aleator si i trimite lui Bob x = r
2
mod n;
Bob raspunde cu un bit aleator e;
Alice raspunde cu y = s
e
r mod n;
101
102 CAPITOLUL 27. PRINCIPII CRIPTOGRAFICE
Bob verica daca y
2
= v
e
x mod n.
Aratat i ca valorile rezultate n urma protocolului, adica {x, r, y}, denesc o distribut ie
ce poate simulata fara a-l folosi pe s. Explicat i de ce acest lucru asigura protocolului o
securitate foarte buna.
Exercit iul 27.6 Se da o cutie neagra care ruleaza algoritmul AES (12 runde pentru o cheie
de 192 bit i); cutia cont ine o cheie necunoscuta k si accepta ca parametru un ntreg r a carui
valoare poate setata la 12, 11 sau 10 de catre utilizator. Vi se permite sa introducet i n
cutie texte clare dupa cum dorit i. Cum at i proceda pentru a ataca aceasta implementare?
Exercit iul 27.7 Un administrator de sistem are o cheie de 100 de bit i pe care doreste sa
o mparta celor doi utilizatori n care are ncredere n mod egal. El doreste ca accesul la
informat ie sa e posibila numai cand cei doi coopereaza. Cati bit i din cheie ar trebui sa dea
ecaruia din cei doi utilizatori?
Exercit iul 27.8 Pentru a grabi vericarea semnaturilor s
i
de tip RSA a mesajelor m
i
,
se foloseste urmatoarea idee: se verica daca (
s
i
)
e
=
hash(m
i
) mod n unde hash
reprezinta full domain hash - o schema de semnatura bazata pe RSA care mai ntai aplica
o funct ie hash si apoi semnatura RSA. Aratat i ca aceasta idee nu este sigura pentru un
exponent e mic si propunet i o contramasura.
Exercit iul 27.9 De ce urmatorul context este nesigur? O autoritate de ncredere genereaza
un modul RSA n a carui factorizare ramane secreta. Autoritatea furnizeaza ecarui utilizator
din sistem o pereche (e
i
, d
i
) asa ncat e
i
d
i
= 1 mod (n) unde i = j d
i
= d
j
.
Exercit iul 27.10 Sa presupunem ca cineva trimite mesaje cifrate utilizand DES n modul
de operare OFB cu o valoare init iala secreta (xata) IV .
1) Aratat i cum poate efectuat un atac cu text clar pentru a decripta mesajele transmise?
2) Este mai bun modul de operare CFB?
3) Dar modul de operare CBC?
Exercit iul 27.11 Dupa ce a studiat protocolul Die-Hellman, un tanar criptograf decide
sa l implementeze. Pentru a simplica implementarea, el hotaraste sa foloseasca grupul
aditiv (Z
p
, +) n locul grupului multiplicativ (Z
p
, ).

In calitate de criptograf cu experient a,
ce credet i despre acest protocol?
Exercit iul 27.12 Sa presupunem ca Alice si Bob folosesc chei publice RSA cu acelasi modul
n dar cu exponent i publici diferiti e
1
si e
2
.
1) Aratat i ca Alice poate decripta mesajele trimise lui Bob;
2) Aratat i ca Alice poate decripta mesaje trimise catre Alice si Bob daca gcd(e
l
, e
2
) = 1.
103
Exercit iul 27.13 Presupunem ca n = p q, unde p si q sunt numere prime distincte.
1) Calculat i S = n + 1 (n).
2) Care sunt radacinile ecuat iei x
2
Sx+n? Dat i expresiile acestor radacini si explicat i
cum pot gasite p si q cu ajutorul unui simplu algoritm pentru calculul radacinilor patrate
ntregi?
3) Factorizat i n n urmatoarele doua cazuri:
a) n = 667, (n) = 616;
b) n = 15049, (n) = 14800.
Exercit iul 27.14 Sa construim un MAC folosind modul CFB de implementare, n loc de
modul CBC: ind date blocurile de text clar
1
, . . . ,
n
, denim vectorul de int ializare
0
=
1
. Apoi cifram secvent a de blocuri
2
, . . . ,
n
dupa formulele:
i
=
i+1
E(
i1
; K).
In nal, MAC(
1
|| . . .
n
) = E(
i1
; K). Aratat i ca acesta este identic cu CBC MAC.
Exercit iul 27.15 Pentru S-boxul S
5
din DES calculat i tendint a variabilei aleatoare:
X
2
Y
1
Y
2
Y
3
Y
4
.
Exercit iul 27.16

Intr-un sistem de cifrare simetric, o cheie k este slaba daca e
k
= d
k
.
Determinat i toate cheile slabe ale sistemelor ane peste Z
15
.
104 CAPITOLUL 27. PRINCIPII CRIPTOGRAFICE
Capitolul 28
Atacuri n mediul de implementare
Atacurile n mediul de implementare presupun o serie de masur atori hardware asupra
modului criptograc:
Atacuri prin masurarea timpului de execut ie. Prin masurarea timpului necesar efectuarii
unor operat ii asupra cheii private, atacatorul poate determina exponent ii utilizat i n proto-
colul Die-Hellman, factorul RSA (n special asupra algoritmului RSA ce foloseste pentru
semnatur a lema chinezesc a a resturilor CRT), precum si o serie de alte sisteme criptograce
cum ar algoritmul de semnatur a digitala DSS.
Atacuri prin masurarea puterii consumate. Atacul cu ajutorul analizei simple a puterii
(SPA) consta n masurarea puterii consumate de dispozitiv n timpul operat iei criptograce.
Acest tip de atac se aplica, de regula, dispozitivelor cu sursa de tensiune exterioara (ca de
exemplu smart-cardurile). Consumul de putere depinde de instruct iunea executata. Astfel,
monitorizand consumul de putere, se poate deduce secvent a de instruct iuni (codul sursa).
Daca secvent a de instruct iuni depinde de lungimea cheii, atunci consumul de putere poate
da informat ii despre cheie.

In majoritatea procesoarelor, patternul puterii consumate de o
instruct iune depinde si de valoarea operanzilor (de exemplu setarea unui bit ntr-un registru
consuma mai mult a energie decat stergerea acestuia). Masur atori efectuate asupra mai
multor intrari pot deduce valoarea operandului. Tehnica se numeste analiza diferent iala a
puterii (DPA).
Atacuri cu ajutorul defect iunilor (erorilor) hardware. Echipamentele hardware pot gen-
era erori (tranziente, latente sau induse) n timpul efectuarii unor operat ii aritmetice. Prin
exploatarea rat ionala a acestor erori se pot recupera cheia privat a pentru algoritmii de
semnatur a RSA si Rabin. O serie de protocoale criptograce cum ar Fiat-Schamir si
Schnorr se pot sparge prin folosirea judicioasa a rezultatelor acestor erori.
Analiza diferent iala a defect iunilor. Analiza diferent iala a defect iunilor (DFA) este o
schema ce se utilizeaza pentru recuperarea cheilor secrete ale unui sistem criptograc dintr-
un dispozitiv HSM (Hardware Security Module) securizat zic. Modelul de defect este acela
al defectelor tranziente (aleatoare) si al defectelor induse. Metoda foloseste la identicarea
105
106 CAPITOLUL 28. ATACURI

IN MEDIUL DE IMPLEMENTARE
cheilor n cazul utilizarii unor cifruri cunoscute (de exemplu DES) si/sau a unor cifruri cu
algoritm necunoscut sau la reconstruct ia algoritmului (cu o structura cunoscuta).
Exercit iul 28.2.1 Aratat i ca tehnica DPA poate accelerata folosind un compromis spat iu-
timp.
Rezolvare: Facet i referire la articolul Computational Improvements to Dierential Side
Channel Analysis, NATO Advanced Research Workshop on Security and Embedded Systems,
August 2005.
Exercit iul 28.2.2 Descriet i un atac prin masurarea timpului de execut ie asupra unei pro-
ceduri de comparat ie a parolelor.
Exercit iul 28.2.3 Pentru a proteja implementarea RSA de un atac prin masurarea timpului
de execut ie, dezvoltatorii decid sa adauge la nalul procedurii un timp de asteptare de durata
aleatoare, cuprins ntre 0 si n tacturi de ceas.

In acest fel, se va elimina total riscul atacului
sau acesta va doar ncetinit?
Exercit iul 28.2.4 Numit i 3 factori care determina forma gracului puterii consumate de
un microprocesor.
Rezolvare: Instruct iunea, datele manipulate de instruct iune si adresa instruct iunii.
Capitolul 29
Resurse software
29.1 CrypTool
CrypTool este un pachet software dedicat simul arii si analizei de mecanisme criptologice
ntr-un mod ilustrativ. De la rolul init ial de instruire n domeniul securitat ii personalului
diverselor companii private, CrypTool a evoluat ntr-un proiect educat ional de tip open
source cu aplicat ii n domeniul criptograei si majoritatea domeniilor conexe. Produsul
vizeaza n primul rand student ii facultat ilor de matematica si informatica, a rmelor ce
activeaza n domeniul securitat ii informat iilor precum si a dezvoltatorilor de aplicat ii sau
utlizatorilor de calculatoare n general care doresc sa-si dobandeasc a bagajul minimal de
cunostint e criptograce.
In prezent produsul este gratuit si disponibil n mai multe versiuni, prima dintre acestea
ind CrypTool 1.4.x dezvoltata integral n mediul C++. Aceasta s-a extins ulterior n
alte doua versiuni, nc a aate la nivel beta, ce folosesc standarde de dezvoltare de ultima
generat ie aandu-se ntr-o continua actualizare. Astfel, n iulie 2008, s-a lansat CryptTool
2.0 dezvoltat n mediul C#, versiune ce furnizeaza o paleta mai larga de funct ionalit at i
combinata cu o interfat a graca cu facilitat i de tip drag-and-drop. La nceputul lui 2010
s-a lansat versiunea JCrypTool dezvoltat a n mediul Java, avantajele acestei versiuni ind
ca este independent a de platforma pe care ruleaza (Windows, Linux, Mac) si ca foloseste
din plin puternicul instrument FlexiProvider prin care se pot ncarca cu usurint a module
criptograce n orice aplicat ie construita peste JCA (Java Cryptography Architecture).
CrypTool a fost dezvoltat n colaborare cu institut ii de nv at am ant devenind astfel un soft
educat ional si un bun instrument de init iere n domeniul criptologiei, folosindu-se n prezent
cu succes in multe universitat i de prestigiu. Datorita manipularii facile a mecanismelor
criptologice precum si a vizualizarii si prezent arii ntr-o maniera facila si inedita a rezul-
tatelor, CrypTool poate reprezenta componenta practica a cursurilor teoretice din domeniul
criptologiei precum si o metoda rapida de familiarizare cu componente esent iale ale acestui
domeniu.
Produsul acopera ambele ramuri ale criptologiei si anume criptograa si criptanaliza.
Sunt tratate majoritatea aspectelor fundamentale ale criptograei. Astfel, produsul are
107
108 CAPITOLUL 29. RESURSE SOFTWARE
implementate facilitat i n cadrul ecarui subdomeniu dupa cum urmeaza:
criptograa clasica: cifrurile Caesar, substitut ie monoalfabetica, substitut ie omofonica,
Vigenère, Hill, Playfair, ADFGVX, Addition, XOR, Vernam, Solitaire etc;
criptograa simetrica moderna: cifrurile IDEA, RC2, RC4, DES, 3DES, DESX precum
si tot ii nalistii cifrului AES si anume MARS, RC6, Rijndael, Serpent and Twosh;
criptograa asimetrica: RSA;
criptograa hibrida: cifrarea datelor realizadu-se cu algoritmi simetrici (AES), protect ia
cheii de cifrare ind asigurata prin metode asimetrice (RSA);
semnaturi digitale: RSA, DSA, ECDSA (Elliptic Curve Digital Signature Algorithm),
Nyberg-Rueppel;
funct ii hash: MD2, MD4, MD5, SHA, SHA-1, SHA-2, RIPEMD-160;
generatoare aleatoare: secude, x
2
mod n, LCG (linear congruence generator), ICG
(inverse congruence generator).
In cadrul criptanalizei se regasesc implementate majoritatea atacurilor standard dupa

cum urmeaza:
atac cu text cifrat: Caesar, Vigenère, Addition, XOR, Substitution, Playfair;
atac cu text clar: Hill, Single-column transposition;
atac manual: substitut ie mono alfabetica, Playfair, ADFGVX, Solitaire;
atac prin fort a bruta: pentru tot i algoritmii; se presupune e ca entropia textului clar
este mica sau cheia este part ial cunoscuta sau alfabetului textului clar este cunoscut;
atacuri asupra RSA: bazate pe factorizare sau tehnici care apeleaza la structurile alge-
brice (latice);
atacuri asupra sistemelor hibride: atacuri asupra RSA sau AES(side channels attacks);
atacuri asupra semnaturilor digitale: RSA prin factorizare; viabil pana la lungime de
250 bit i (adica 75 cifre);
atacuri asupra funct iilor hash: generare coliziuni texte ASCII cu paradoxul zilelor de
nastere (pana la 40 bit i);
analiza aleatorism: bateria de teste FIPS-PUB-140-1, periodicitate, Vitany, entropie,
histograme, autocorelat ii, testul de compresie ZIP etc.
In sprijinul utilizatorilor, CrypTool are implementate o serie de demo-uri si animat ii

prin care sunt exemplicate diverse facilitat i pe care produsul le ofera folosindu-se prim-
itive criptograce suportate si implementate n aplicat ie ca de exemplu Caesar, Vigenère,
Nihilist, DES (toate patru cu ANIMAL), Enigma (Flash), Rijdael/AES (Flash and Java),
criptare hibrida si decriptare (AES-RSA si AES-ECC), generare si vericare de semnaturi
digitale, protocolul de schimb de chei Die-Hellman, secret sharing (CRT sau Shamir),
metoda challenge-response (autentiicare), atacuri tip side-channel, securizarea e-mail-ului
prin protocolul S/MIME (Java si Flash), prezent ari grace 3D pentru date (pseudo)aleatoare,
sensibilitatea funct iilor hash privind modicari ale textului clar, teoria numerelor si cripto
sisteme RSA (Authorware).
CrypTool cont ine si un modul educat ional interactiv dedicat aplicat iilor criptograce
ce necesita aspecte elementare de teoria numerelor denumit NT. Acest modul introduce
utilizatorul n probleme elementare de teoria numerelor precum algoritmul lui Euclid pentru
29.2. OPENSSL 109
gasirea celui mai mare divizor comun, testul Fermat pentru primalitate, factorizarea Fermat,
factorizarea Pollard Rho si altele.
Un alt avantaj al produslui CrypTool l reprezinta existent a unui meniu de documentare
consistent si o extindere online a acestuia cont inand n plus explicat ii privind not iuni gen-
erale de criptograe, o cronologie privind dezvoltarea domeniului, exemple de utilizare a
facilitat ilor aplicat iei, index sortat pe topicuri criptograce si lista de referint e.
Faptul ca pachetul software este open source, ca acopera aspecte legate atat de crip-
tograa clasica cat si cea moderna, a modalitat ilor multiple de simulare si vizualizare origi-
nale, precum si a modului facil de aplicare si analiza a mecanismelor criptograce ne conduc
la concluzia ca pachetul CrypTool reprezinta atat o modalitate rapida de init iere n dome-
niul criptograei cat si un instrument de lucru puternic pentru specialisti n vederea studierii
si aplicarii n acelasi mediu a a diverse probleme concrete ce pot aparea in criptograe si
criptanaliza.
29.2 OpenSSL
OpenSSL este o suita de aplicat ii ce implementeaza protocoalele Secure Sockets Layer
(SSL v2/v3) si Transport Layer Security (TLS v1) precum si o librarie dedicata ce acopera o
gama larga de primitive criptograce. Proiectul este manageriat de o comunitate de volun-
tari din ntreaga lume ce comunica, folosind Internetul, n vederea planicarii si dezvolt arii
continue a toolkit-ului OpenSSL precum si a documentat iei aferente.
OpenSSL este bazat pe libraria SSLeavy dezvoltata de Eric A. Young si Tim J. Hudson,
proiect ncheiat la sfarsitul anului 1998. Asupra produsului act ioneaz a o dubla licent iere, atat
cea de OpenSSL cat si cea originala a librariei SSLeavy. Ambele tipuri de licent e sunt de tipul
BSD open-source, toolkit-ul putand astfel folosit atat pentru scopuri comerciale cat si non-
comerciale. Pachetul sofware foloseste instrumente criptograce puternice, ind dezvoltat
continuu si distribuit legal de cateva tari europene, supunandu-se ns a unor restrict ii de
import/export si uz n unele t ari din lume.
OpenSSL este disponibil n numeroase versiuni ind ntr-o continua dezvoltare, bug-uri
ind des semnalate si corectate. Versiunea stabila curent a este OpenSSL 0.9.8m aceasta
ind disponibila din luna februarie 2010; in plus utilizatorii beneciaza de acces online per-
mananent pentru studierea dezvoltarilor ulterioare ultimei versiuni stabile. Versiunile sunt
disponibile pentru majoritatea sistemelor de operare tip UNIX (incluzand Solaris, Linux,
Mac OS X si cele patru sisteme de operare BSD open source), Open VMS si Microsoft
Windows.
OpenSSL implementeaza protocoalele SSL si TSL. Transport Layer Security (TLS) si
predecesorul sau Secure Sockets Layer (SSL), sunt protocoale criptograce ce furnizeaza
securitatea comunicat iilor peste ret ele similare Internetului. Cele doua protocoale permit
aplicat iilor de tip client/server sa comunice securizat. TLS furnizeaza autenticare endpoint
precum si condent ialitatea comunicat iilor peste Internet folosindu-se securizare RSA su-
portand lungimi de chei de pana la 2048 de bit i. Protocoale sunt utilizate pentru navigare
pe Internet, posta electronica, voice-over-IP (VoIP) etc.
Libraria criptograca OpenSSL implemeneaza o gama larga de algoritmi utilizat i n di-
verse standarde utilizate n Internet. Facilitat ile furnizate de aceasta librarie sunt folosite
pentru a implementa SSL, TLS si S/MIME, precum si pentru SSH, OpenPGP si alte stan-
darde criptograce. Libraria are implementate o varietate de primitive criptograce si alte
facilitat i dupa cum urmeaza:
Algoritmi de cifrare simetrice: Blowsh, CAST, DES, IDEA, RC2, RC4, RC5;
Algoritmi de cifrare asimetrici: RSA (bazat pe factorizarea numerelor mari), DSA
(bazat pe problema logaritmului discret), EC (curbe eliptice) Die-Hellman key exchange;
Certicate digitale: X509, X509v3;
Funct ii hash si coduri de autenticare: HMAC, MD2, MD4, MD5, MDC2, RIPEMD,
SHA;
Funct ii de control a intrarilor si iesirilor, funct ii de codicare a datelor: PKCS7,
PKCS12, ASN1, BIO, EVP, PEM.
Utilitarul OpenSSL este un tool linie comanda utilizat n gestionarea diverselor funct ii
criptograce din libraria OpenSSL. Acesta poate folosit pentru:
Creare si management de chei private, chei publice si parametrii;
Operat ii ce implica criptograa cu chei publice;
Creare de certicate X.509 , CSRs si CRLs;
Calculare de rezumate de mesaj;
Cifrare si descifrare folosind diverse cifruri;
testare client i/servere (SSL/TLS);
Semnaturi si cifrare de mail (S/MIME);
Cereri, generari si veric ari de marci temporare.
OpenSSL este unul dintre put inele proiecte open source supuse valid arii de conformitate
cu standardului FIPS 140-2, utilizat n securitatea calculatoarelor, dezvoltat de National
Institute of Standards and Technology (NIST). Pachetul software n sine nu este validat,
ind dezvoltat a o component a software a acestuia denumita OpenSSL FIPS Object Module,
aceasta ind compatibila cu OpenSSL ind creata pentru a oferi posibilitatea produselor ce
folosesc API de tip OpenSSL de a supuse valid arii de confomitate FIPS 140-2.

In ianuarie
2006 aceasta componenta fost certicata, aceasta ind ns a revocata n iulie 2006 datorita
unor nelamuriri privind validitatea interact ion arii modulului cu software extern.

In februarie
2007 produsul a fost recerticat.
Validarea OpenSSL FIPS Object Module este unica printre toate valid arile FIPS 140-2
prin faptul ca producatorul pune la dispozit ie ntreg codul sursa. Prin urmare, folosit far a
nicio modicare si construit pe orice platforma conform documentat iei pusa la dispozit ie
se obt ine direct un modul criptograc validat. Orice modicare minora asupra codului
implica necesitatea revalid arii, proces costisitor (aproximativ 50000$) si ndelungat (ntre
6 si 12 luni). Cea mai recent a validare open source este OpenSSL FIPS Object Module
(Software Version: 1.2), FIPS 140-2 certicate #1051.

In prezent nu exista niciun alt produs
open source supus valid arii FIPS 140-2 datorita lispei de nant are. Validarea versiunilor
precedente au fost nant ate de sectorul comercial si sponsori guvernamentali, o parte dintre
acestia preferand sa ram ana anonimi.
29.3. STUDIUDE CAZ: IMPLEMENTAREAFUNCT IILOR CRIPTOGRAFICE
INMAPLE111
29.3 Studiu de caz: Implementarea funct iilor cripto-
grace n MAPLE
In cadrul acestei sect iuni vom exemplica, printr-o serie de exemple, modalitat ile de
rezolvare a problemelor propuse, n cadrul acestei culegeri, cu ajutorul aplicat iei software
MAPLE.
Exemplu 29.1 Algoritmul de cifrare ElGamal.
p (ordinul grupului), (generatorul) numere prime publice;
a cheia privata;
:=
a
mod p cheia publica;
m mesajul clar;
k num ar aleator secret;
regula de cifrare: y
1
:=
k
mod p; y
2
:= (m
k
) mod p;
regula de descifrare: des := y
2
(y
a
1
)
1
mod p.
>
p:=17;
>
alpha:=14;
>
a:=2;
>
beta:=alphaâ mod p;
>
m:=4;
>
k:=4;
>
y1:=alpha^k mod p;
>
y2:=(m*(beta^k)) mod p;
>
text_cifrat:=(y1,y2);
>
text_descifrat:=y2*(y1â)^(-1) mod p;
Exemplu 29.2 Algoritmul de semnatura ElGamal.
p si numere prime publice;
a cheia secreta;
:=
a
mod p cheia publica;
x mesajul ce trebuie semnat;
k num ar secret;
:=
k
mod p;
:= (x a )k
1
mod (p 1);
sign := (, );
vericarea semnaturii:
mod p =
x
mod p.
>
p:=467;
>
alpha:=2;
>
a:=127;
>
beta:=alphaâ mod p;
>
x:=102;
>
k:=15;
>
gamma:=alpha^k mod p;
>
delta:=(x-a*gamma)*k^(-1) mod (p-1);
>
(beta^gamma*gamma^delta - alpha^x) mod p;
Exemplu 29.3 Algoritmul de semnatura DSA.
p numar prim (public);
q num ar prim (public);
(public) rad acina de ordin q a unitat ii;
a cheia secreta;
= (
a
) mod p;
x mesajul;
k num ar aleatoriu (secret);
sign = (, ) unde = (
k
mod p) mod q si = (x +a ) k
1
mod q.
>
p:=7879;
>
q:=101;
>
alpha:=170;
>
a:=75;
>
beta:=(alphaâ) mod p;
>
x:=1234;
>
k:=50;
>
gamma:=(alpha^k mod p) mod q;
>
delta:=(x+a*gamma)*k^(-1) mod q;
Exemplu 29.4 Protocolul Die-Hellman.
Caracteristicile protocolului:
p numar prim (minim 1024 bit i);
q divizor prim al lui q 1 (minim 160 bit i);
element de ordin q;
a numar generat de A si trimis lui B;
b numar generat de B si trimis lui A;
cheia comun a este k :=
ab
mod p.
>
p:=25307;
>
alpha:=2;
INMAPLE113
>
a:=3578;
>
b:=19956;
>
k:=((alphaâ) mod p)^b mod p;
Exemplu 29.5 Protocolul Blom.
p numar prim, n num arul de utilizatori;
k = 1 nivel de compartimentare (protocolul este neconditionat sigur mpotriva atacului
unui utilizator);
a, b, c coecient ii polinomului;
A denumire generica participant protocol, r
A
cheia publica a lui A;
f(X, Y )a + b(X + Y ) + cXY polinom (simetric), g
A
(X) = f(X, r
A
) polinomul secret al
lui A.
K matricea cheilor de compartimentare(simetrica).
>
p:=29;
>
a:=1;
>
b:=2;
>
c:=3;
>
n:=3;
>
r:=array(1..n,[13,11,17]);
>
f(X,Y):=a+b*(X+Y)+c*X*Y;
>
g:=array(1..n);
>
for i from 1 to n do:
>
g[i]:=eval(f(X,Y),Y=r[i]) mod p;
>
end do;
>
K:=array(1..n, 1..n);
>
for i from 1 to n do:
>
for j from 1 to n do:
>
K[i,j]:=eval(g[i],X=r[j]) mod p;
>
end do;
>
end do;
>
print(K);
Exemplu 29.6 Schema de partajare a lui Shamir.
n numarul de participant i;
k num arul minim de participant i care pot reconstitui secretul;
q num ar prim (identic a corpul Z[q] n care se lucreaza);
S secretul care se doreste partajat;
x
i
(publice) se distribuie utilizatorilor, i = 1, . . . , n;
a
i
(aleatoare), i = 1, . . . , k 1.
>
n:=5;
>
k:=3;
>
q:=17;
>
S:=13;
>
x[1]:=1;
>
x[2]:=2;
>
x[3]:=3;
>
x[4]:=4;
>
x[5]:=5;
>
a[1]:=10;
>
a[2]:=2;
>
p:=S+a[1]*x+a[2]*x^2 mod q;
>
for i from 1 to n do subs(x=x[i],p) mod q
>
od;
Exemplu 29.7 Recuperarea secretului din schema lui Shamir.
n numarul de participant i;
k numarul minim de participant i care pot reconstitui secretul; q num ar prim (identica
corpul Z[q] n care se lucreaza);
S secretul care se doreste partajat;
x
i
(publice) se distribuie utilizatorilor, i = 1, . . . , n;
s
i
secretul distribuit, i = 1, . . . , k 1;
>
n:=5;
>
k:=3;
>
q:=17;
>
x[1]:=1;
>
x[2]:=2;
>
x[3]:=3;
>
x[4]:=4;
>
x[5]:=5;
>
s[1]:=8;
>
s[2]:=7;
>
s[3]:=10;
>
p:=S+a[1]*x+a[2]*x^2 mod q;
INMAPLE115
>
solve({subs(x=x[1],p)=s[1],subs(x=x[2],p)=s[2],subs(x=x[3],p)=s[3]
},{S,a[1],a[2]});
Exemplu 29.8 Canalul subliminal ElGamal.
q num ar prim;
element primitiv;
x mesaj cifrat;
y mesaj subliminal;
k cheia secreta;
autenticator;
autenticator;
mesajul subliminal (x, , ).
>
q:=11;
>
alpha:=2;
>
y:=9;
>
x:=5;
>
k:=0;
>
beta:=alpha^y mod q;
>
gama:=y^(-1)*(x-k*beta) mod (q-1);
>
M:=(x,beta,gama);
Exemplu 29.9 Extragerea datelor din canalul subliminal ElGamal.
q num ar prim;
element primitiv;
x mesaj cifrat;
y mesaj subliminal;
k cheia secreta;
autenticator;
autenticator;
mesajul subliminal (x, , ).
>
q:=11;
>
alpha:=2;
>
k:=0;
>
x:=5;
>
beta:=6;
>
gamma:=5;
>
a:=alpha^x mod q;
>
b:=((alpha^k)^beta)*beta^gamma mod q;
>
if( a= b) then print("Mesaj_Auth_OK");
>
Mesaj_subliminal:=(x-k*beta)*gamma^(-1) mod (q-1);
>
else print("Mesaj_Auth_FAIL")
>
fi;
29.4 PARI/GP
PARI/GP a fost init ial dezvoltat n 1985 de o echip a condusa de catre Henri Cohen, iar n
prezent este mentt inut de Karim Belabas, ajutat de o mult ime de voluntari. Numele PARI
provine de la faptul ca la nceput init iatorii proiectului au dorit sa implementeze o librarie
pentru aritmetica n limbajul de programare Pascal, Pascal ARIthmetic , iar partea GP
vine de la Great Programmable Computer. Produsul este gratuit, versiunea stabila curent a
ind 2.5.0, disponibila din iunie 2011.
Scopul acestui program este facilitarea calculelor din teoria numerelor (factorizari, teoria
algebrica a numerelor, curbe eliptice etc.), nsa sunt incluse si alte funct ii utile pentru calcule
cu polinoame, matrice, numere algebrice etc.
PARI/GP recunoaste mai multe tipuri de elemente, dintre care ment ion am:
numere ntregi;
numere rat ionale: scriem a/b, cu a si b ntregi;
numere reale;
numere complexe: scrise sub forma a+b*I, cu a si b reale;
ntregi modulo n: pentru n mod m scriem Mod(n,m);
polinoame: de exemplu, pentru x
9
+ 7x +
6
5
vom scrie x^ 9+7*x+6/5;
funct ii polinomiale: P/Q, cu P si Q polinoame;
polinoame modulo un polinom P: Mod(P,Q), unde Q este un polinom;
vectori: scriem v=[1,2,3] pentru un vector linie, si w=[1,2,3] pentru un vector
coloana; prin v[i] se nt elege a i-a component a a vectorului v;
matrice: liniile sunt separate prin punct si virgula, iar elementele unei linii sunt separate
prin virgula; pentru o matrice A, prin A[i,j] nt elegem elementul aat la intersect ia dintre
linia i si coloana j.
Funct iile disponibile n PARI sunt numeroase:
Funct ii aritmetice. Acestea sunt funct ii al caror domeniu de denit ie este Z sau Z
n
. Dam
cateva exemple de astfel de funct ii:
binary(x): transforma num arul ntreg x din baza 10 n baza 2;
contfrac(x): scrierea ntregului x ca fract ie continu a;
bezout(x,y): returneaza un vector v=[a,b,d], unde d=c.m.m.d.c(x, y), iar a si b sunt
astfel ncat ax +by = d;
divisors(x): vector care are drept componente divizorii lui x, n ordine crescatoare;
divrem(x,y): returneaza catul si restul mp art irii lui x la y;
eulerphi(n): calculeaza valoarea funt iei lui Euler (n);
29.4. PARI/GP 117
factorint(n): returneaza tot ii factorii primi ai lui n, mpreun a cu multiplicit at ile lor;
gcd(x,y), lcm(x,y): c.m.m.d.c(x, y), respectiv c.m.m.mc(x, y);
isprime(x): returneaza 1 daca x este prim si 0 n caz contrar;
kronecker(x,y): returneaza valoarea simbolului Legendre (sau a generalizarii sale,
simbolul lui Jacobi) (
x
y
);
omega(x): num arul de divizori primi distinct i ai lui x;
znorder(x): calculeaza orninul elementului x Z
n
n grupul Z
n
.
Funt ii referitoare la polinoame.
algdep(z,k): gaseste un polinom din Z[x] cu gradul cel mult egal cu K si care are pe
z ca radacin a;
factormod(f,p): factorizeaza un polinom dn Z[x] modulo numarul prim p;
polidisc(f,x): returneaza discriminatul polinomului f, privit ca polinomn nedeter-
minata x;
polisirreductible(f): verica ireductibiitatea polinomului f;
polrecip(f): returneaza polinomul obt inut din f scriindu-se coecient ii n ordine
inversa;
polresultant(f,g,x): calculeaza rezultanta polinoamelor f si g, privite ca polinoame
n nedeterminata x;
polroots: returneaza un vector coloana ale carui componente sunt rad acinile lui f,
repetate conform multiplicitat ii ecareia;
prod(x=a,b,f(x)): calculeaza
b
x=a
f(x);
prodeuler(x=a,b,f(x)): calculeaza produsul
apy
f(p), unde p este prim;
solve(x=a,b,f(x)): gaseste o radacin a pentru f(x) cuprinsa ntre a si b, presupunand
ca f(a)f(b) 0;
sum(x=a,b,f(x)): calculeaza
b
x=a
f(x);
sumdiv(n,x,f(x)): sumeaza f(x) dupa tot i divizorii pozitivi ai lui n.
Funt ii referitoare la curbe eliptice. PARI/GP are implementate cateva funct ii care sunt
foarte folositoare atunci cand lucram peste curbe eliptice. Aceste funct ii presupun o curba
eliptica n forma Weierstrass generalizata:
y
2
+a
1
xy +a
3
y = x
3
+a
2
x
2
+a
4
x +a
6
Astfel, o curba eliptica poate creata dandu-se un vector cu 5 componente. Punctele
curbei sunt reprezentate ca vetori cu 2 componente, mai put in punctul de la innit, acesta
ind reprezentat prin [0].
Exemple de funt ii referitoare la curbe eliptice sunt:
E=ellinit[a1,a2,a3,a4,a6]: creeaza o curba eliptica E cu coecient ii a
1
, a
2
, a
3
, a
4
, a
6
;
E.disc: returneaza discriminantul curbei E;
E.j: returneaza j-invariantul curbei E;
elladd(E,P,Q): aduna punctele P si Q, puncte ce apart in curbei E;
ellap(E,p): returneaza urma Frobenius (p este un numar prim);
ellisoncurve(E,P): adevarat daca si numai daca punctul P este pe curba E;
ellorder(E,P): returneaza ordinul punctului P, daca acesta este un puct de torsiune,
altfel returneaza 0;
ellordinate(E,x): gaseste y astfel nc at punctul (x, y) apartt ine curbei E; daca nu
exista un astfel de y, returneaza [];
ellpow(E,P,n): calculeaza punctul nP E;
ellsub(E,P,Q): calculeaza P Q E.
Capitolul 30
Concursuri publice
In acest capitol ne propunem sa facem o scurta descriere a celor 4 probleme date la

MITRE Cyber Challenge
1
, n perioada 9-12 ianuarie 2012. Pentru ecare problema prezentam
si cate o sugestie de rezolvare.
Primele trei probleme sunt legate ntre ele, n sensul ca pentru rezolvarea celei de-a doua
probleme este nevoie de parola obt inuta n urma rezolvarii primei probleme, iar rezolvarea
celei de-a doua probleme ne conduce la un indiciu folositorn rezolvarea problemei cu num arul
trei. Ultima problema este independenta de primele trei, aceasta avand de fapt rolul de a
scoate n evident a o vulnerabilitate a ECDSA (acelasi tip de vulnerabilitate care a fost
folosita si pentru aarea cheii de semnare de la PlayStation3).
Problema 1. Obiectivul primei probleme este acela de a recunoaste cand s-a folosit crip-
tograa clasica (cifrurile Caesar, Vigenère, Hill etc) n mediul digital.
Scenariul ipotetic este urmatorul: gasim un sier ciudat, pe care nu l-am creat noi, n
calculatorul personal. Acest sier, neededinformation.txt, este pus la dispozit ie n cadrul
problemei.
Se cere decriptarea informat iei cont inute n acest sier si gasirea parolei ascunse n inte-
riorul sau. Stim ca aceasta parola ncepe cu S, se termina cu D si este formata numai
din majuscule.
Problema se poate rezolva foarte usor folosind pachetul software CrypTool pentru a
face o criptanaliza a nedeedinformation.txt: Analysis Symmetric encryption(classic)
Ciphertext-Only Vigenère.
In urma acestei criptanalize rezulta pentrunceput ca lungimea cheii folosite este 6, iar la
urmatorul pas obt inem cheia SQUARE cu ajutorul careia putem decripta textul cont inut
n neededinformation.txt. La sfarsitul textului decriptat se aa si parola pe care o cautam:
[...]THEPASSWORDFORTOMMOROWISSTRONGPASSWORDSAREGOOD.
Problema 2. Aceasta problema si propune sa arate posibilele locuri n care un adversar
poate ascunde informat ii, precum si modurile n care acest lucru se poate face. Mai precis
1
http://www.iccs.fordham.edu/mitre/
119
120 CAPITOLUL 30. CONCURSURI PUBLICE
problema presupune gasirea unor informat ii ascunse n interiorul unei imagini.
Presupunem ca avem o imagine hiding.gif. Cerint a problemei este aceea de a gasi
informat ia ascunsa n aceasta imagine, stiind ca aceasta ncepe cu h, se termina cu l, iar
marimea ecarei litere conteaz a. De asemenea, asa cum am ment ionat anterior, vom avea
nevoie de parola obt inuta la prima problema.
Uitandu-ne la proprietat ile imaginii hiding.gif, observam ca aceasta are 13.3 MB, ceea
ce ni se pare suspect de mult. Pentru a vedea mai multe detalii, deschidem hiding.gif
cu UltraEdit si observam ca apare PKn format hexa 50 4B), ceea ce nseamna ca este
vorba despre o arhiva (PK reprezinta init ialele lui Phil Katz).
Prin urmare schimbam extensia si obt inem hinding.zip. Deschiz and aceasta arhiva
gasim alte imagini, una dintre ele (care atrage atent ia n mod deosebit) ind look at -
121
me.gif. Pentru a putea vedea aceasta imagine ns a, avem nevoie de parola obt inuta la
problema 1.
Gasim n nal si informat ia pe care o cautam, si anume hollenger.dll.
Problema 3. Cea de-a treia problema este legata de analiza tracului de date.
Presupunem ca avem la dispozit ie o captura de trac de date, day3.pcap.
Se cere sa se gaseasca, cu ajutorul raspunsului de la problema anteriora, sierul transferat
din calculatorul personal catre o sursa necunoscuta. Raspunsul pentru aceasta problema l
va constitui informat ia ascunsa n sierul respectiv. Stim ca ncepe cu P, se termina cu
k si marimea ecarei litere este importanta.
Pentru a putea deschide day3.pcap vom folosi Wireshark.

In continuare caut am
hollenger.dll astfel: Edit Find Packet Filter : hollenger.dll (selectam Packet bytes
si String) Find, iar apoi Follow TCP stream.
Observam din nou PK si folosim opt iunea Save as pentru a obt ine day3.zip. Arhiva
cont ine mai multe siere, printre care si hollenger.dll. Deschidem hollenger.dll cu
UltraEdit si observam numarul magic GIF87a (n format hexa 47 49 46 38 37 61), ceea ce
nseamn a ca este vorba de o imagine.
Schimband deci extensia obt inem hollenger.gif, aceasta ind o imagine care cont ine
urmatoarea fraza : The Root Password is Pengu1nsR0ck.
Problema 4. Obiectivul acestei probleme este recuperarea unei chei private ECDSA care
a fost folosita pentru semnarea a doua mesaje diferite.
Inainte ns a de a continua prezentarea acestei ultime probleme, reamintim algoritmul de

semnatur a ECDSA:
Parametrii publici n acest caz sunt: un num ar prim p, o curba eliptica E(F
p
) si un punct
G E(F
p
) cu ordG = q, q prim.
Cheia publica (de vericare) V E(F
p
) se construieste cu ajutorul cheii private (de
semnare) 1 s q 1 astfel: V = sG.
Semnatura mesajului m (mod q), calculata cu ajutorul unei chei efemere e (mod q),
este denita ca ind perechea (s
1
, s
2
) =
_
x
eG
mod q , (m + ss
1
)e
1
mod q
_
, unde prin x
eG
nt elegem coordonata x a punctului eG E(F
p
).
Semnatura (s
1
, s
2
) a mesajului m este vericat a daca are loc urmatoarea egalitate (n
care v
1
= ds
1
2
mod q si v
2
= s
1
s
1
2
mod q ) : x
v
1
G+v
2
V
mod q = s
1
.
Revenim acum la problema noastra. Datele care ne sunt puse la dispozit ie se aa n trei
siere: signatures.txt,parameters.der si public.oct.
Primul sier cont ine valorile hash-urilor si semnaturile pentru cele doua mesaje (n format
hexa):
m
1
=DE37B3145DB7359A0ACC13F0A4AFBD67EB496903
s
11
=ACB2C1F5898E7578A8A861BDF1CA39E7EF41EAC0B6AAA49468DD70E2
s
12
=BE4FA99C9D261C5F387A3ACE025702F6FB7884DD07CE18CAD48654B8
m
2
=28469B02BF0D2CFC86FF43CB612EE8FC05A5DBAA
s
21
=ACB2C1F5898E7578A8A861BDF1CA39E7EF41EAC0B6AAA49468DD70E2
s
22
=D3540E2B13E51605F5FEB8C87EE8E176E59213F31EA8B8FFDAD077E2
123
Pentru a putea vedea informat iie din cel de-al doilea sier,parameters.der, vom folosi
OpenSSL astfel:
openssl ecparam -inform DER -in /cygdrive/e/parameters.der
-outform PEM -out /cygdrive/e/parameters.pem
openssl ecparam -text -in /cygdrive/e/parameters.pem -noout
Field Type: prime-field
Prime:
00:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:ff:
ff:ff:ff:ff:ff:ff:ff:ff:ff:fe:ff:ff:e5:6d
A: 0
B: 5 (0x5)
Generator (uncompressed):
04:a1:45:5b:33:4d:f0:99:df:30:fc:28:a1:69:a4:
67:e9:e4:70:75:a9:0f:7e:65:0e:b6:b7:a4:5c:7e:
08:9f:ed:7f:ba:34:42:82:ca:fb:d6:f7:e3:19:f7:
c0:b0:bd:59:e2:ca:4b:db:55:6d:61:a5
Order:
01:00:00:00:00:00:00:00:00:00:00:00:00:00:01:
dc:e8:d2:ec:61:84:ca:f0:a9:71:76:9f:b1:f7
Cofactor: 1 (0x1)
Prin urmare, parameters.der cont ine de fapt parametrii publici:
numarul prim p:
p=FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEFFFFE56D.
curba eliptica E : y
2
= x
3
+ 5 considerata peste F
p
.
coordonatele punctului G ( 04 semnica faptul ca asupra coordonatelor punctului G
nu s-a aplicat o compresie, prin urmare jumatate din octet ii care urmeaza vor constitui
coordonata x a punctului G, iar cealalta jumatate coordonata y a punctului G):
x
G
=85CEE9C98EFDFDFCF64CB522A773F1435D568173677D1D28FC00643
y
G
=58A105CC1AB1A53D77B278850776E144197F3FA4E27AA676408DFE22
numarul prim q, acesta ind ordinul punctului G:
q=010000000000000000000000000001DCE8D2EC6184CAF0A971769FB1F7.
cofactorul, care n acest caz este 1, ceea ce nseamna ca punctul G este generator pentru
grupul punctelor curbei eliptice considerate.
Pentru ultimul sier, public.oct, folosim UltraEdit si gasim reprezentarea hexa a
informat iei cont inute n interiorul sau:
04:85:CE:EE:9C:98:EF:DF:DF:CF:64:CB:52:2A:77:3F:14:35:D5:
68:17:36:77:D1:D2:8F:C0:06:43:58:A1:05:CC:1A:B1:A5:3D:77:
B2:78:85:07:76:E1:44:19:7F:3F:A4:E2:7A:A6:76:40:8D:FE:22
Aceasta este cheia publica, mai precis punctul V de coordonate:
x
V
=85CEEE9C98EFDFDFCF64CB522A773F1435D568173677D1D28FC00643
y
V
=58A105CC1AB1A53D77B278850776E144197F3FA4E27AA676408DFE22
Avem acum toate datele necesare pentru a aa cheia privat a s.
Observat ia important a pe care se bazeaza nsa ntreaga rezolvare este aceea ca valorile
s
11
si s
21
sunt egale.

In acest caz, daca notam cu e
1
, respectiv e
2
cheile efemere folosite
pentru semnarea mesajelor m
1
, respectiv m
2
, rezulta e ca e
1
= e
2
= e, e ca e
1
+e
2
= q.
Vom arata cum putem aa cheia privat a s daca presupunem ca este vorba de primul
caz, anume ca pentru semnarea celor doua mesaje diferite m
1
si m
2
s-a folosit aceeasi cheie
efemera e. Notand cu r valoare comun a s
11
= s
21
, avem urmatoarele doua relat ii:
s
21
= (m
1
+sr)e
1
mod q = r
1
si s
22
= (m
2
+sr)e
1
mod q = r
2
de unde putem aa cheia privata s astfel:
r
1
r
2
1
= (m
1
+sr)(m
2
+sr)
1
mod q s = (m
2
r
1
m
1
r
2
)[r(r
2
r
1
)]
1
mod q
In continuare vom lucra n PARI/GP, prin urmare transformam mai nt ai toate valorile
de care avem nevoie din baza 16 n baza 10. O metoda de a face acest lucru poate
urmatoarea:
gp> n=length(w);
gp> for(i=1,n,if(w[i]==A,w[i]=10,if(w[i]==B,w[i]=11,if(w[i]==C,w[i]=12,
if(w[i]==D,w[i]=13,if(w[i]==E,w[i]=14,if(w[i]==F,w[i]=15)))))));
gp> W=sum(i=1,n,16^ (i-1)*w[n+1-i]);
Aam acum, n ipoteza ca s-a folosit aceeasi cheie efemera e, cheia privat a s:
gp> q=26959946667150639794667015087019640346510327083120074548994958668279;
gp> m1=1268638092138210163260758055822429538066610350339;
gp> m2=229934186335685840756719395324394646288453721002;
gp> r=18187250800097972010521080073937585100154901858571130778437166133474;
gp> r1=20042106687643588872389242180506526832832251371631259823173622191288;
gp> r2=22255471905305126694378074733040389009439136736542793238977855911906;
gp> s=(((m2*r1-m1*r2)%q))*(bezout((r*(r2-r1))%q,q)[1])%q
15010575815029851772642085218329323233091815558722670713086641180071
Vericam ca aceasta este corecta, adica vrem sa vedem dacantr-adev ar are loc egalitatea
V = sG. Pentru aceasta init iallizam curba eliptica E peste care vrem sa lucram, iar apoi
calculam punctul sG:
gp> p=2695994666715063979466701508701963067363714442254057248109931527511;
gp> E=ellinit([0,0,0,0,5]*Mod(1,p));
gp> xG=16983810465656793445178183341822322175883642221536626637512293983324;
gp> yG=13272896753306862154536785447615077600479862871316829862783613755813;
gp> G=[xG,yG];
gp> ellpow(E,G,s);
Obt inem ca:
x
sG
= 14091661710852556870833728605751404033863675975464814254659297347139
y
eG
= 9333722541138719487032926806284603775374491724501611657294489976354
Aceste valori sunt egale cu x
V
, respectiv y
V
, prin urmare, cheia privat a s pe care am
gasit-o este buna.
Deoarece problema cerea cheia privat a s n format hexa, facem n nal si transformarea
numarului s din baza 10 n baza 16:
125
gp> v=vector(60);
gp> v[1]=divrem(s,16)[1];
gp> for(i=2,60,v[i]=divrem(v[i-1],16)[1]);
gp> w=vector(60);
gp> w[1]=divrem(s,16)[2];
gp> for(i=2,60,w[i]=divrem(v[i-1],16)[2]);
gp> S=vector(60,i,w[61-i]);
gp> for(i=1,60,if(S[i]==10,S[i]=A,if(S[i]==11,S[i]=B,if(S[i]==12,S[i]=C,
if(S[i]==13,S[i]=D,if(S[i]==14,S[i]=E,if(S[i]==15,S[i]=F)))))));
Obt inem ca S=8E88B0433C87D1269173487795C81553AD819A1123AE54854B3C0DA7.
Capitolul 31
Teste grila
31.1 Exercit ii
1. Completat i: Scopul cifrarii este de a asigura . . . . . . unei comunicat ii.
(a) autenticitatea
(b) condentialitatea
(c) integritatea
(d) nerepudierea
2. Urmatorul text a fost obt inut utilizand sistemul de cifrare Cezar (au fost eliminate ac-
centele, spat iile si semnele de punctuat ie): MHPEUDVVHPRQULYDOPDLVFHVWS-
RXUOHWRXIIHU. Care este decriptarea sa?
(a) Chacun semble des yeux approuver mon courroux.
(b) Ma bouche mille fois lui jura le contraire.
(c) Jembrasse mon rival mais cest pour letouer.
(d) De grace, apprenez-moi, Seigneur, mes attentats.
3. Cifrat i textul Attaque à laube cu ajutorul algoritmului de substitut ie precizat mai
jos.
J G F K P R M T S V Z D Q
I Y B C W A O X E H N U L
Care este textul cifrat obt inut?
127
128 CAPITOLUL 31. TESTE GRIL
A
(a) JOOJCXPJDJXGP
(b) SHHSMYVSWSYPV
(c) JOOJCXPJBJXGP
(d) SHHSMYVSZSYPV
4. Cifrul Vigenère reprezint a o modalitate de cifrare mbun atat ita a sistemelor de cifrare
cu substitut ie simpla.

In ce consta acesta?
(a) n aplicarea succesiva a mai multor substitut ii alfabetice pe acelasi text.
(b) n aplicarea de substitut ii alfabetice care nu cifreaza niciodata o litera n ea ns asi.
(c) n cifrarea literelor care apar cel mai frecvent (cum ar e) n mai multe simboluri
diferite.
(d) n alegerea mai multor alfabete de sustitut ie independente si schimbarea alfabetu-
lui folosit, la ecare litera, n mod ciclic.
5. Reprezentarea n baza 2 a numarului 1729 este:
(a) 10010110100
(b) 11011000001
(c) 11001100011
(d) 6C1
6. Propunem urmatorul algoritm de cifrare: Alice si Bob doresc sa schimbe un mesaj
m care reprezint a un numar ntreg ntre 0 si N 1. Pentru aceasta, ei partajeaza o
cheie secreta comuna k extrasa aleator ntre 0 si N 1. Mesajul cifrat se obt ine ca
c = m+k mod N. Ce parere avet i despre securitatea sistemului?
(a) Proasta: sistemul reprezint a o varianta a sistemului lui Cezar.
(b) Buna, daca adversarul nu cunoaste algoritmul de cifrare.
(c) Foarte buna, cu condit ia sa nu utilizeze cheia k decat o singura data.
(d) Excelent a: sistemul reprezinta o variant a a algoritmului RSA.
7. Alice i trimite lui Bob un mesaj cifrat c obt inut cu ajutorul algoritmului precedent.
Cum determina Bob mesajul original m?
(a) m = c +k mod N
(b) m = c k mod N
(c) m = c k mod N
(d) m = c
k
mod N
31.1. EXERCIT II 129
8. Care dintre acronimele urmatoare desemneaza un algoritm de cifrare de tip bloc?
(a) AES
(b) HMAC
(c) SHA-1
(d) NIST
9. Inversul lui 17 modulo 100:
(a) este 83.
(b) este 53.
(c) este 1/17.
(d) nu exista.
10. Am n posesia mea un mesaj m pe care nu vreau nca sa l divulg, dar doresc sa pot
dovedi peste cat iva ani ca l cunosteam deja n 2010 (conform amprentei de timp).
Pentru aceasta, este sucient sa public astazi:
(a) un text cifrat corespunzator lui m cu o cheie cunoscuta numai de mine.
(b) un text cifrat corespunzator lui m cu o cheie cunoscuta de toata lumea.
(c) imaginea lui m printr-o funct ie de dispersie (funct ie hash).
(d) imaginea lui m printr-un MAC folosind o cheie aleatoare.
11. Funct ia de dispersie (hash) SHA-512 ntoarce valori ntre 0 si 2
512
1. Se calculeaza
imagini prin aceasta funct ie n mod aleator. Care este ordinul de marime al numerelor
pentru care trebuie calculate valorile prin aceasta funct ie pentru a gasi 2 valori care sa
aiba primii 20 de bit i egali?
(a) 20
(b) 1000
(c) 1000000
(d) 2
512
12. Construim un generator de numere pseudo-aleatoare care init ializeaza cu x
0
cu o val-
oare ntre 0 si 999 si determina x
n+1
= 500x
n
+789 mod 1000.

In ce condit ii at i utiliza
acest generator?
(a) Pentru a produce numere aleatoare ntre 0 si 999, daca nu prezint a interes nivelul
de securitate.
(b) Pentru generarea unei chei de tip one-time pad.
(c) Pentru construct ia unei funct ii de dispersie.
A
(d) Niciodata.
13. Cum este obt inut a cheia secreta necesara pentru criptarea comunicat iei, la conectarea
la un site web securizat?
(a) Se obt ine din parola introdusa pentru conectare, printr-un algoritm de derivare a
cheii precum PBKDF (Password Based Key Derivation Function).
(b) Provine din cheia publica a serverului, cont inut a ntr-un certicat.
(c) Provine din cheia privat a a serverului, divulgata clientului dupa stabilirea conex-
iunii.
(d) Se obt ine n urma unui schimb de chei ntre client si server, precum schimbul de
chei Die-Hellman.
14. Care este dicultatea de a factoriza un num ar prim pe 1024 de bit i astazi?
(a) Este simplu!
(b) Numarul poate factorizat cu ajutorul a cateva mii de calculatoare actuale care
sa ruleze ntre 1 si 2 ani.
(c) Nimeni nu poate face asta momentan, dar poate se va reusi de catre agent ii precum
NSA.
(d) Acest lucru nu va posibil timp de mai multe milenii.
15. Algoritmul RSA (fara padding) este un algoritm de cifrare:
(a) simetric, tip bloc.
(b) simetric, tip uid (debit).
(c) part ial homomorc.
(d) bazat pe identitate.
16. Fie generatorul Gee descris de trei registre de deplasare LFSR
i
(ale caror polinoame
de feedback sunt primitive de grad 19, 21 si respectiv 24) iar iesirea de formula: y(t) =
a
1
(t)a
3
(t) a
1
(t)a
2
(t). Care este complexitatea LCsi perioada Pa acestui generator?
31.1. EXERCIT II 131
Figura 31.1: Generatorul Gee.
(a) LC= 640, P= 2
64
.
(b) LC=64 , P=(2
19
1)(2
21
1)(2
24
1).
(c) LC=876 , P=(2
19
1)(2
21
1)(2
24
1).
(d) Niciunul dintre raspunsuri nu este corect.
17. Fie secvent a data de reprezentarea binara (scrisa pe 8 bit i) a num arului i, i = 0, ..., 255 :
00000000
. .
00000001
. .
00000010
. .
00000011
. .
00000100
. .
... 11111111
. .
Care este statistica testului frecvent ei aplicata acestei secvent e binare? Este secvent a
aleatoare, relativ la testul frecvent ei, la riscul de ordinul 1 de 5%?
(a) f
tf
= 256, sirul nu este aleatoriu.
(b) f
tf
= 1, sirul este aleatoriu.
(c) f
tf
= 0, sirul este aleatoriu.
(d) niciunul dintre raspunsuri nu este corect.
18. Care dintre urmatoarele armat ii sunt adevarate:
(a) Atac reusit asupra a doua preimagini ale unei funct ii hash implica reusita atacului
de generare de coliziuni.
(b) Atac reusit de generare de coliziuni asupra unei funct ii hash implica reusita atac-
ului asupra a doua preimagini a aceleiasi funct ii hash.
19. Care dintre urmatoarele armat ii sunt adevarate:
(a) Un registru de deplasare de lungime n are perioada de 2
n
1.
(b) Un registru de deplasare de lungime n are perioada maxima de 2
n
1.
A
(c) Un registru de deplasare de lungime n, cu polinomul caracteristic primitiv, are
perioada de 2
n
1.
20. Probabilitatea de coliziune a doua mesaje de lungime n bit i procesate de aceeasi funct ie
hash ideala, ce are iesirea pe m bit i, este:
(a) 2
m
.
(b) 2
n
.
(c) 2
mn
.
(d) 2
mn
.
(e) 2
nm
.
(f) Niciuna din valorile de mai sus.
21. Fie extensia Galois GF(3
2
) generata de rad acina polinomului X
2
X 1.

In aceasta
extensie valoarea log
2+1
(1 +) este:
(a) 8.
(b) 4.
(c) 2.
(d) 5.
(e) 6.
(f) Niciuna din valorile de mai sus.
22. Simbolul lui Jacobi
_
6278
9975
_
este:
(a) 1.
(b) 0.
(c) 1.
(d) Niciuna din valorile de mai sus.
31.2. R
ASPUNSURI 133
31.2 Raspunsuri
1. Raspuns: (b). Pentru autenticitate, se folosesc MAC sau semnaturile electronice. Pen-
tru integritate, n funct ie de nivelul de exigent a, se pot utiliza sume de control, funct ii
hash, MAC, etc.
2. Raspuns: (c). Va putet i ajuta de pozit ia literelor dublate.

Intrebare suplimentara: de
unde provin aceste versuri?
3. Raspuns: (a). Literele de pe a doua linie sunt imaginile celor din prima linie, si nu
invers.
4. Raspuns: (d). Metoda (a) este doar o substitut ie normala (compunerea a 2 permut ari
este tot o permutare). Metoda (b) este mai slaba decat prima ntruc at expune mai
multe informat ii despre textul clar. Metoda (c) se numeste substitut ie polialfabetica.
5. Raspuns: (b). Este de ajuns sa se calculeze restul mp art irii lui 1729 la 4 pentru a
elimina (a) si (c). (d) este 1729 n hexazecimal (i.e. n baza 16).
6. Raspuns: (c). Algoritmul este o varianta a one-time pad. Ofera securitate perfecta daca
nu se utilizeaza cheia de criptare decat o singura data. Poate de asemenea considerat
o varianta a cifrului lui Cezar, dar aplicat unei singure litere si cu un decalaj ales aleator.
Utilizat n acest fel, cifrul lui Cezar ar sigur. Sistemul nu are nicio legatura cu RSA.
Raspunsul (b) nu ar satisface principiul lui Kerckho: un sistem de criptare trebuie sa
ram ana sigur cand adversarul cunoaste tot despre acesta, mai put in cheia utilizata.
7. Raspuns: (b). Operat ia invers a adunarii cu k mod N este scaderea cu k mod N.
8. Raspuns: (a). HMAC este MAC, SHA-1 este o funct ie de dispersie si NIST este o
agent ie americana de standardizare.
9. Raspuns: (b). 53 17 = 1 mod 100
10. Raspuns: (c). La momentul divulgarii mesajului, toata lumea va putea verica faptul
ca hash-ul este corect si ca se cunostea mesajul m la momentul calculularii acestui
hash. Metoda nu permite dezvaluirea mesajului m.
O cifrare a lui m cu o cheie cunoscuta doar de cel care face criptarea nu garanteaza
nimic: se poate de asemenea publica un cuvant aleator pentru ca ulterior sa se aleaga
cheia care sa corespunda unei criptari corecte. Aceeasi problema apare n cazul MAC.
O cheie cunoscuta de toata lumea ar conduce la determinare textului clar m, ceea ce
ar echivalent cu divulgarea mesajului m.
11. Raspuns: (b). Conform paradoxului nasterilor, pentru obt inerea unei coliziuni pe
primii 20 de bit i ai funct iei de dispersie, este necesar sa se calculeze valoare funct iei
hash pentru
2
20
, adica aproximativ 1000 numere.
A
12. Raspuns: (d). Valoarea lui x
n
este constant a, egala cu 289, ncepand cu al treilea
termen. Deci nu este vorba despre aparit ii aleatoare.
13. Raspuns: (d). Cheia de sesiune este determinata printr-un schimb de chei.
14. Raspuns: (a). Factorizarea unui num ar prim este imediata.
15. Raspuns: (c). Proprietatea de homomorsm este aceea ca cifrarea RSA a produsului
a 2 mesaje (modulo N) este produsul cifrarilor corespunzatoare celor 2 numere.
Restul variantelor sunt eronate, indca RSA este un cifru cu cheie publica, deci asi-
metric.
16. Raspuns: (c). Se aplica proprietat ile generatorului Gee.
17. Raspuns: (c).

In aceasta situat ie secvent a supusa testarii este ideala, num arul de bit i
de 0 este egal cu num arul de bit i de 1 si anume 1024.
18. Raspuns: (a).
19. Raspuns: (b), (c). Un registru de deplasare de lungime n are 2
n
1 stari posibile
(starea nula este exclusa).

In situat ia n care polinomul caracteristic este primitiv
atunci el genereaza toate starile posibile.
20. Raspuns: (a). Numarul de iesiri posibile, ale unei funct ii hash ideale cu iesirea pe m
bit i, este 2
m
.
21. Raspuns: (e).
22. Raspuns: (a).
Bibliograe
[1] A. Atanasiu, Securitatea Informat iei, vol. 1, Criptograe, ed. InfoData, Cluj, 2008.
[2] A. Atanasiu, Securitatea Informat iei, vol. 2, Protocoale de securitate, ed. InfoData,
Cluj, 2009.
[3] T. Baignères, P. Junod, Y. Lu, J. Monnerat, S. Vaudenay, A Classical Introduc-
tion to Cryptography Exercise Book, Springer, ISBN 978-0-387-27934-3, 2006.
[4] A.J. Menenzes, Handbook of Applied Cryptography, CRC Press, 1997.
[5] E. Simion si Gh. Oprisan, Elemente de Cercetari Operat ionale si Criptologie, Po-
litehnica Press, ISBN 973-8449-006, 2002.
[6] E. Simion, V. Preda si A. Popescu, Criptanaliza. Rezultate si Tehnici Matematice,
Ed. Univ. Buc., ISBN 973575975-6, 2004.
[7] E. Simion, Enciclopedie Matematica, Edit ie coordonata de M. Iosifescu, O. Stan asil a si
D. Stefanoiu, Editura AGIR, ISBN 978-973-720-288-8, pp. 905-944, 2010.
[8] B. Schneier, Applied Cryptography, Adison-Wesley, 1998.
135

Criptografie Si Securitatea Informatiei. Aplicatii. 30.03.2012

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Criptografie Si Securitatea Informatiei. Aplicatii. 30.03.2012

Încărcat de

Drepturi de autor:

Formate disponibile

Criptograe si Securitatea Informat iei.

In faza de preprocesare, delimitatorul de spat iu este ignorat sau nlocuit cu caracterul

In funct ie de forma permutarii substitut ia se numeste:

In continuare, respectand regulile de cifrare Playfair mesajul cifrat devine:

In continuare, respectand regulile de descifrare Playfair mesajul cifrat devine:

mod 26, unde

doua solut ii atunci

In faza de calcul se executa:

astfel nc at H(M) = H(M

) = H(M), atunci B ar putea pretinde ca A ar semnat mesajul M

este dicil din punct de vedere

un element primitiv. Cheia publica se construieste din cheia privata a: =

In aceasta situat ie se lucreaza pe curba eliptica E peste Z

In contexul celor de mai sus, algoritmul ECDSA este urmatorul:

. Vom nota prin

In sistemul de autenticare ElGamal, A alege un numar prim mare q si un element

In cadrul criptanalizei se regasesc implementate majoritatea atacurilor standard dupa

In sprijinul utilizatorilor, CrypTool are implementate o serie de demo-uri si animat ii

In acest capitol ne propunem sa facem o scurta descriere a celor 4 probleme date la

Inainte ns a de a continua prezentarea acestei ultime probleme, reamintim algoritmul de

S-ar putea să vă placă și