Firma RSA

Firma Digital U.D.
Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Firma Digital
U.D. Computaci on
DSIC - UPV
Funciones resumen
U.D. Computaci on (DSIC - UPV)
Firma Digital
1 / 36
Contenidos del tema

Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
1 Deniciones 2 Firma digital mediante criptograf a de clave secreta 3 Firma digital mediante criptograf a de clave p ublica
4 Funciones resumen
Funciones resumen
Firma Digital
2 / 36
4 Funciones resumen
Funciones resumen
Firma Digital
3 / 36
Deniciones
Proceso de cifrado mediante el cual:

Un usuario puede conrmar su identidad a cualquier otro usuario El receptor de una rma debe ser capaz de probar a un tercero que la rma es autentica
Funciones resumen
Firma Digital
4 / 36
Deniciones
Proceso de cifrado mediante el cual:

Un usuario puede conrmar su identidad a cualquier otro usuario El receptor de una rma debe ser capaz de probar a un tercero que la rma es autentica
La rma digital debe poseer las mismas propiedades que la rma convencional:
Debe ser f acil de generar por su propietario No puede ser rechazada por su propietario (irrevocable) Solo debe poder ser generada por su propietario (infalsicable) Debe ser f acil de vericar o reconocer, tanto por parte del propietario, como de cualquier receptor. Debe depender del mensaje (no reutilizable)
Funciones resumen
Firma Digital
4 / 36
Deniciones
Un esquema de rma digital es una tupla (M , F , K , S , V ) donde: M es el conjunto de posibles mensajes F es el conjunto de posibles rmas K es el conjunto de claves Para cada clave k K existe un algoritmo sigk S de rma y un algoritmo verk V de vericaci on. Cada sigk : M F y cada verk : M F {cierto , falso } cumplen que: ver (x , y ) = cierto falso si y = sigk (x ) si y = sigk (x )
Funciones resumen
Para cualquier k , tanto verk como sigk deben ser f acilmente computables verk ser a p ublica mientras sigk ser a privada
Firma Digital 5 / 36
4 Funciones resumen
Funciones resumen
Firma Digital
6 / 36
Firma digital mediante criptograf a de clave secreta

Es necesario un arbitro que comparte con A y B sendas claves secretas kA y kB

1 2
3 4
A cifra el mensaje x utilizando KA (ekA (x )) y lo env a al arbitro El arbitro descifra el mensaje (con kA ) y le a nade al mensaje una identicaci on de A (idA ) y la rma ekA (x ). El resultado se almacena El arbitro cifra el mensaje resultante con kB y lo env a al destinatario B B descifra el mensaje. Puede leer tanto el mensaje como el identicador del remitente
Funciones resumen
Aunque la rma ekA (x ) es indescifrable para B, se puede demostrar el origen del mensaje debida a que el arbitro guarda una copia
4 Funciones resumen
Funciones resumen
Firma Digital
8 / 36
Firma digital mediante criptograf a de clave p ublica

Esquema de rma de RSA. Descripci on
Sea n = pq donde p y q son primos. Sean a, b tales que ab 1 (mod (n)) k = (n, b , a); Clave p ublica: (n, b ); Clave secreta: a
1 2
Dado un mensaje x , y = sigk (x ) = x a mod n verk (x , y ) = cierto si y solo si y b x (mod n)
Funciones resumen
Firma Digital
9 / 36

Esquema de rma de RSA. Descripci on
Sea n = pq donde p y q son primos. Sean a, b tales que ab 1 (mod (n)) k = (n, b , a); Clave p ublica: (n, b ); Clave secreta: a
1 2
Funciones resumen
Debido a propiedades de la expoeneciaci on modular, partiendo de varios mensajes y sus rmas correspondientes, podr an construirse un mensaje nuevos y su rma Es posible utilizar funciones de redundancia para dicultar la creaci on de este tipo de mensajes. Tambi en se aconseja el uso de funciones resumen
Dado un mensaje x , y = sigk (x ) = x a mod n verk (x , y ) = cierto si y solo si y b x (mod n)
Firma Digital
9 / 36

Esquema de rma de RSA. Combinaci on de rma y cifrado
El cifrado de clave p ublica puede combinarse f acilmente con la rma digital Supongamos que Alice desea enviar el mensaje x a Bob (rmado y cifrado)
1 2 3 4 5
Funciones resumen
Ambos poseen un par de claves RSA (p ublica y privada) Alice obtiene la rma de x cifrando x con su clave privada: y = eprAlice (x ) Alice cifra el par (x , y ) con la clave p ublica de Bob: m = epbBob (x , y ) Bob recibe m. Utilizando su clave privada obtiene (x , y ) = dprBob (m) Bob verica la rma utilizando la clave p ublica de Alice. dpbAlice (y ) = x Si x = x la rma es v alida

Esquema de rma de RSA. Combinaci on de rma y cifrado
En el caso que se cifre antes de rmar:

1 2
cifrado: y = epbBob (x ) rma: m = eprAlice (y ) pudiendo obtener el mensaje cifrado y ya que para ello unicamente necesita la clave PUBLICA de Alice Una vez que disponga del mensaje (cifrado) puede suscribirlo, rmandolo con su clave privada Bob no dispone de mecanismos para averiguar el origen del mensaje
Un posible tercero podr a interceptar el mensaje:

1 2 3
Funciones resumen
Firma Digital
11 / 36

Esquema de rma de ElGamal. Descripci on
Dise nado espec camente para rma. No determinista (dado un mensaje, existen m ultiples rmas v alidas para el) La seguridad del sistema depende de la dicultad del problema del logaritmo discreto. Necesita valores modulares grandes para mantener la seguridad de la rma Necesita una funci on hash que obtenga un resumen en Zp (valor primo muy grande Una modicaci on de este esquema ha sido adoptada por la NIST
Funciones resumen
Firma Digital
12 / 36

Esquema de rma de ElGamal. Descripci on
Sea p primo y sea un generador de Z p Denotamos el resumen del mensaje con x Sea a un n umero aleatorio y = a k = (p , , , a); kpb = (p , , ); kpr = (a)
1
Generar aleatoriamente h tal que 1 h p 2 y mcd (h, p 1) = 1 sigk (x , h) = (, ) donde = h mod p = (x a )h1 mod (p 1) x (mod p )
verk (, ) = cierto
Funciones resumen
(x a )h1 (mod p 1), entonces, h x a (mod p 1) por lo que x a + h (mod p 1) lo que conduce a a h x (mod p )

Digital Signature Standar (DSS)
En la mayor a de las situaciones, un documento cifrado necesita descifrarse una u nica vez Un documento rmado puede tener una vigencia m as prolongada. El proceso de rma necesita un mayor nivel de seguridad El esquema de rma de ElGamal es seguro para valores de p de 512 bits (1024 para mantener la seguridad en un futuro pr oximo) Una clave de 512 bits produce una rma de 1024 bits. Actualmente se est an introduciendo tarjetas con capacidad de 2048 bits.
Funciones resumen
Firma Digital
14 / 36

Digital Signature Standar (DSS). Descripci on
Dise nado para utilizar el algoritmo de rma SHA DSS modica el esquema de ElGamal para que mensajes de 160 bits puedan rmarse con 320 bits, pero realizando la computaci on m odulo 512
160 DSS trabaja con un subgrupo de Z p de talla 2
La seguridad se fundamenta en la creencia de que el problema del logaritmo discreto conserva sus propiedades en dicho subgrupo
Funciones resumen
Firma Digital
15 / 36

Digital Signature Standar (DSS). Descripci on
Seleccionar q primo tal que 2159 < q < 2160 Sea 0 t 8, escoger p primo (2511+64t < p < 2512+64t ) tal que q divide (p 1) Denotamos el resumen del mensaje con x Sea a un n umero aleatorio y = a mod p k = (p , q , , , a); kpb = (p , q , , ); kpr = (a)
1
Seleccionar , generador del u nico grupo de orden q en Z p
Generar aleatoriamente h tal que 0 < h < q sigk (x , h) = (, ) donde = (h mod p ) mod q = (x a )h1 mod q
Funciones resumen
verk (, ) = cierto si y s olo si h 1 x 1 mod p mod p (mod q )

4 Funciones resumen
Funciones resumen
Firma Digital
17 / 36
Funciones resumen
Integraci on de resumen y rma
Los esquemas de rma como ElGamal o DSS s olo permiten rmar mensajes peque nos (512 o 160 bits respectivamente) Un documento legal puede ser mucho mayor. Soluci on trivial: dividir el documento en m ultiples bloques y rmar todos ellos:
El tama no de la rma duplica el del mensaje El proceso de rma es costoso debido al uso de funciones costosas temporalmente No se garantiza la integridad del resultado (pueden eliminarse/reordenarse bloques del mensaje sin afectar el resultado)
Funciones resumen
El uso de Funciones Resumen unidireccionales y r apidas permite digerir un mensaje y obtener un resultado de talla ja (resumen)
Funciones resumen
Integraci on de resumen y rma
El proceso de rma puede limitarse a la rma del resumen A desea enviar x a B. Sea h una funci on resumen
1 2 3 4
A computa el resumen de x (h(x )) A rma el resumen z = sigk (h(x )) y env a (x , z ) a B B recibe el par (x , z ), pudiendo computar el resumen del mensaje x Dado el resumen, se puede vericar la rma verk (h(x ), z )
La vericaci on puede ser realizada por cualquiera
Funciones resumen
Firma Digital
19 / 36
Funciones resumen
Descripci on
Sea un alfabeto binario A. Una funci on hash es una funci on h donde el dominio est a formado por mensajes de longitud arbitraria y el rango es R An para un valor n prejado
Funciones resumen
Firma Digital
20 / 36
Funciones resumen
Descripci on
Sea un alfabeto binario A. Una funci on hash es una funci on h donde el dominio est a formado por mensajes de longitud arbitraria y el rango es R An para un valor n prejado |D | >> |R |, por lo tanto h no es inyectiva, produciendose colisiones
Funciones resumen
Firma Digital
20 / 36
Funciones resumen
Descripci on
Sea un alfabeto binario A. Una funci on hash es una funci on h donde el dominio est a formado por mensajes de longitud arbitraria y el rango es R An para un valor n prejado |D | >> |R |, por lo tanto h no es inyectiva, produciendose colisiones Para una h aleatoria, si D = At (t > n), entonces a cada resumen le corresponden 2t n mensajes. La probabilidad de que dos mensajes den como resultado la misma salida es 2n
Funciones resumen
Firma Digital
20 / 36
Funciones resumen
Descripci on
Sea un alfabeto binario A. Una funci on hash es una funci on h donde el dominio est a formado por mensajes de longitud arbitraria y el rango es R An para un valor n prejado |D | >> |R |, por lo tanto h no es inyectiva, produciendose colisiones Para una h aleatoria, si D = At (t > n), entonces a cada resumen le corresponden 2t n mensajes. La probabilidad de que dos mensajes den como resultado la misma salida es 2n Propiedades: F acil de computar Compresi on: Cualquier entrada x de longitud arbitraria, se convierte en h(x ) de longitud ja
Funciones resumen
Funciones resumen
Propiedades de las funciones hash
Funciones hash unidireccionales (OWHF)
Funciones hash resistentes a colisiones (CRHF)
Funciones resumen
Firma Digital
21 / 36
Funciones resumen

Resistencia a la primera preimagen (one way hashing): Dado un valor hash y , es computacionalmente intratable encontrar un x D tal que h(x ) = y Resistencia a la segunda preimagen (Weak colision free): Dado un mesaje x es computacionalmente intratable encontrar un segundo mensaje x , (x = x ), tal que h(x ) = h(x )
Funciones resumen
Firma Digital
21 / 36
Funciones resumen

Resistencia a la primera preimagen (one way hashing): Dado un valor hash y , es computacionalmente intratable encontrar un x D tal que h(x ) = y Resistencia a la segunda preimagen (Weak colision free): Dado un mesaje x es computacionalmente intratable encontrar un segundo mensaje x , (x = x ), tal que h(x ) = h(x )

Resistencia a las colisiones (one way hashing): Encontrar dos mensajes x , x D , (x = x ), tales que h(x ) = h(x ) es computacionalmente intratable (Implica resistencia a primera y segunda preimagen)
Funciones resumen
Firma Digital
21 / 36
Funciones resumen
El ataque del cumplea nos
Sea h : X Z donde |X | 2|Z | donde |X | = m y |Z | = n. Por lo tanto existir an almenos n colisiones Asumimos que para cualquier z Z se cumple que |h1 (z )| = m/n. En otro caso se incrementa la probabilidad de encontrar una colisi on
Funciones resumen
Firma Digital
22 / 36
Funciones resumen
Sea h : X Z donde |X | 2|Z | donde |X | = m y |Z | = n. Por lo tanto existir an almenos n colisiones Asumimos que para cualquier z Z se cumple que |h1 (z )| = m/n. En otro caso se incrementa la probabilidad de encontrar una colisi on Dados k mensajes al azar (x1 , x2 , . . . , xk ), queremos calcular la probabilidad de que no se produzca colisi on:
Funciones resumen
Firma Digital
22 / 36
Funciones resumen
1 1 n 2 1 n k 1 ... 1 n
k 1
=
i =1
i n
Funciones resumen
Firma Digital
22 / 36
Funciones resumen
1 1 n 2 1 n
x2 2!
k 1 ... 1 n
k 1
=
i =1
i n
e x
= 1x +
x3 3!
...
Funciones resumen
Firma Digital
22 / 36
Funciones resumen
1 1 n 2 1 n k 1 ... 1 n
k 1
=
i =1
i n
Funciones resumen
= 1x + entonces 1 x
e x
x3 x2 2! 3! e x
. . . , por lo que, si x 0
Firma Digital
22 / 36
Funciones resumen
1 1 n 2 1 n k 1 ... 1 n
k 1
=
i =1
i n
Funciones resumen
= 1x + entonces 1 x colisi on queda:

k 1 i =1
e x
x3 x2 2! 3! . . . , por lo que, si x e x , con lo que la probabilidad

k 1
0 de no
i n
e
i =1
i n
= e
k (k 1) 2n
Firma Digital
22 / 36
Funciones resumen
La probabilidad de colisi on se aproxima a 1 e Cuantos mensajes hay que escoger para que la probabilidad de colisi on sea ?
k (k 1) 2n
Funciones resumen
Firma Digital
23 / 36
Funciones resumen
La probabilidad de colisi on se aproxima a 1 e Cuantos mensajes hay que escoger para que la probabilidad de colisi on sea ? e
k (k 1) 2n
k (k 1) 2n
Funciones resumen
Firma Digital
23 / 36
Funciones resumen
k (k 1) 2n
k (k 1) 2n
k (k 1) ln (1 ) 2n
Funciones resumen
Firma Digital
23 / 36
Funciones resumen
k (k 1) 2n
k (k 1) 2n
k (k 1) ln (1 ) 2n 1 1
k 2 k 2n ln
Funciones resumen
Firma Digital
23 / 36
Funciones resumen
k (k 1) 2n
k (k 1) 2n
k (k 1) ln (1 ) 2n 1 k 1 2n ln 1 1
k 2 k 2n ln
Funciones resumen
Firma Digital
23 / 36
Funciones resumen
k (k 1) 2n
k (k 1) 2n
k (k 1) ln (1 ) 2n 1 k 1 2n ln 1 1
k 2 k 2n ln Si = 0.5 entonces k
Funciones resumen
n(2 ln 2) 1.17 n
Firma Digital
23 / 36
Funciones resumen
k (k 1) 2n
k (k 1) 2n
k (k 1) ln (1 ) 2n 1 k 1 2n ln 1 1
Funciones resumen
Tomando n = 365 obtenemos k = 23
n(2 ln 2) 1.17 n
Firma Digital
23 / 36
Funciones resumen
k (k 1) 2n
k (k 1) 2n
k (k 1) ln (1 ) 2n 1 k 1 2n ln 1 1
Funciones resumen
Tomando n = 365 obtenemos k = 23
n(2 ln 2) 1.17 n
Con el mismo n = 365, tomando = 0.95 entonces k = 47

U.D. Computaci on (DSIC - UPV) Firma Digital 23 / 36
Funciones resumen
El ataque del cumplea nos acota inferiormente la talla del resumen Si el resumen es de 40 bits, entonces con probabilidad 0.5, se puede obtener una colisi on con 220 mensajes al azar 6 (aproximadamente 10 mensajes) Una talla de 128 bits ha sido utilizada hasta ahora DSS considera 160 bits La familia SHA permite 256 y 512 bits
Funciones resumen
Firma Digital
24 / 36
Funciones resumen
El ataque del cumplea nos. Algoritmo de Yuval
Firma de un mensaje ileg timo con la de un mensaje inocuo ENTRADA: Mensaje leg timo xl . Mensaje ileg timo xi . Funci on hash h de m bits SALIDA: Mensajes xl y xi , con cambios menores respecto la entrada, tales que h(xl ) = h(xi )
Funciones resumen
Firma Digital
25 / 36
Funciones resumen
El ataque del cumplea nos. Algoritmo de Yuval
Firma de un mensaje ileg timo con la de un mensaje inocuo ENTRADA: Mensaje leg timo xl . Mensaje ileg timo xi . Funci on hash h de m bits SALIDA: Mensajes xl y xi , con cambios menores respecto la entrada, tales que h(xl ) = h(xi ) METODO:
1 2 3
Generar t = 2m/2 modicaciones menores de xl Computar el resumen y almacenar los pares (xl , h(xl )) repetir
Generar xi modicaci on menor de xi y computar h(xi ) Buscar una colisi on con alguna variante de xl
Funciones resumen
mientras no colisi on /* probable despues de t intentos */
Firma Digital
25 / 36
Funciones resumen
La familia MDx
Propuesta por Rivest: MD2 en 1989; MD4 en 1990; MD5 en 1991 MD2 optimizada para m aquinas de 8 bits. MD4/5 pensada para m aquinas de 32 bits MD4/5 obtiene un resumen de 128 bits El esquema algoritmico se ha seguido utilizado en las u ltimas propuestas de algoritmos de resumen El estandar SHS est a basado en esta familia. Considera mensajes de longitud menor de 264 produciendo un resumen de 160 bits. Recientemente se han dise nado algoritmos que proporcionan res umenes de 256/512 bits
Funciones resumen
Firma Digital
26 / 36
Funciones resumen
La funci on MD4. Descripci on
Se extiende el mensaje (a nadiendo un 1 seguido de sucientes 0s) para que su longitud sea congruente con 448 m odulo 512 (faltan 64 bits para que la longitud del mensaje sea m ultiplo de 512)
Funciones resumen
Firma Digital
27 / 36
Funciones resumen
Se extiende el mensaje (a nadiendo un 1 seguido de sucientes 0s) para que su longitud sea congruente con 448 m odulo 512 (faltan 64 bits para que la longitud del mensaje sea m ultiplo de 512) Al mensaje extendido se le a nade la representaci on binaria 64 del mensaje m odulo 2 (los 64 bits menos signicativos)
Funciones resumen
Firma Digital
27 / 36
Funciones resumen
Se extiende el mensaje (a nadiendo un 1 seguido de sucientes 0s) para que su longitud sea congruente con 448 m odulo 512 (faltan 64 bits para que la longitud del mensaje sea m ultiplo de 512) Al mensaje extendido se le a nade la representaci on binaria 64 del mensaje m odulo 2 (los 64 bits menos signicativos) Dado el mensaje (longitud m ultiplo de 512), se construye un vector de subcadenas (que llamaremos palabras) de longitud 32. N otese que la talla del vector es m ultiplo de 16 M = M [0]M [1] . . . M [N 1] donde N 0 (mod 16)
Funciones resumen
Firma Digital
27 / 36
Funciones resumen
Funciones resumen
Se extiende el mensaje (a nadiendo un 1 seguido de sucientes 0s) para que su longitud sea congruente con 448 m odulo 512 (faltan 64 bits para que la longitud del mensaje sea m ultiplo de 512) Al mensaje extendido se le a nade la representaci on binaria 64 del mensaje m odulo 2 (los 64 bits menos signicativos) Dado el mensaje (longitud m ultiplo de 512), se construye un vector de subcadenas (que llamaremos palabras) de longitud 32. N otese que la talla del vector es m ultiplo de 16 M = M [0]M [1] . . . M [N 1] donde N 0 (mod 16) El proceso recorre el mensaje considerando en cada iteraci on 16 palabras (esquema de Damgard y Merkle)
Firma Digital
27 / 36
Funciones resumen
Funciones resumen
Se extiende el mensaje (a nadiendo un 1 seguido de sucientes 0s) para que su longitud sea congruente con 448 m odulo 512 (faltan 64 bits para que la longitud del mensaje sea m ultiplo de 512) Al mensaje extendido se le a nade la representaci on binaria 64 del mensaje m odulo 2 (los 64 bits menos signicativos) Dado el mensaje (longitud m ultiplo de 512), se construye un vector de subcadenas (que llamaremos palabras) de longitud 32. N otese que la talla del vector es m ultiplo de 16 M = M [0]M [1] . . . M [N 1] donde N 0 (mod 16) El proceso recorre el mensaje considerando en cada iteraci on 16 palabras (esquema de Damgard y Merkle) El resumen se obtiene por concatenaci on de 4 palabras de 32 bits
Funciones resumen
La funci on MD4. Algoritmo
Firma Digital
1
U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
5 6 7 8
Funciones resumen
A = 67452301(hex ); B = efcdab 89(hex ) C = 98badcfe (hex ); D = 10325476(hex ) for i = 0 to N /16 1 do /* para cada bloque de 16 palabras */ for j = 0 to 15 do X [j ] = M [16i + j ] AA = A; BB = B CC = C ; DD = D Round 1 Round 2 Round 3 A = A + AA; B = B + BB C = C + CC ; D = D + DD Return ABCD
Funciones resumen
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
A = (A + f (B , C , D ) + X [0]) <<< 3 D = (D + f (A, B , C ) + X [1]) <<< 7 C = (C + f (D , A, B ) + X [2]) <<< 11 B = (B + f (C , D , A) + X [3]) <<< 19 A = (A + f (B , C , D ) + X [4]) <<< 3 D = (D + f (A, B , C ) + X [5]) <<< 7 C = (C + f (D , A, B ) + X [6]) <<< 11 B = (B + f (C , D , A) + X [7]) <<< 19 A = (A + f (B , C , D ) + X [8]) <<< 3 D = (D + f (A, B , C ) + X [9]) <<< 7 C = (C + f (D , A, B ) + X [10]) <<< 11 B = (B + f (C , D , A) + X [11]) <<< 19 A = (A + f (B , C , D ) + X [12]) <<< 3 D = (D + f (A, B , C ) + X [13]) <<< 7 C = (C + f (D , A, B ) + X [14]) <<< 11 B = (B + f (C , D , A) + X [15]) <<< 19
MD4. Algoritmo. Round 1
Funciones resumen
Firma Digital
29 / 36
Funciones resumen
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
A = (A + g (B , C , D ) + X [0] + 5A827999) <<< 3 D = (D + g (A, B , C ) + X [4] + 5A827999) <<< 7 C = (C + g (D , A, B ) + X [8] + 5A827999) <<< 11 B = (B + g (C , D , A) + X [12] + 5A827999) <<< 19 A = (A + g (B , C , D ) + X [1] + 5A827999) <<< 3 D = (D + g (A, B , C ) + X [5] + 5A827999) <<< 7 C = (C + g (D , A, B ) + X [9] + 5A827999) <<< 11 B = (B + g (C , D , A) + X [13] + 5A827999) <<< 19 A = (A + g (B , C , D ) + X [2] + 5A827999) <<< 3 D = (D + g (A, B , C ) + X [6] + 5A827999) <<< 7 C = (C + g (D , A, B ) + X [10] + 5A827999) <<< 11 B = (B + g (C , D , A) + X [14] + 5A827999) <<< 19 A = (A + g (B , C , D ) + X [3] + 5A827999) <<< 3 D = (D + g (A, B , C ) + X [7] + 5A827999) <<< 7 C = (C + g (D , A, B ) + X [11] + 5A827999) <<< 11 B = (B + g (C , D , A) + X [15] + 5A827999) <<< 19
Funciones resumen
Firma Digital
30 / 36
Funciones resumen
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
A = (A + h(B , C , D ) + X [0] + 6ED 9EBA1) <<< 3 D = (D + h(A, B , C ) + X [8] + 6ED 9EBA1) <<< 9 C = (C + h(D , A, B ) + X [4] + 6ED 9EBA1) <<< 11 B = (B + h(C , D , A) + X [12] + 6ED 9EBA1) <<< 15 A = (A + h(B , C , D ) + X [2] + 6ED 9EBA1) <<< 3 D = (D + h(A, B , C ) + X [10] + 6ED 9EBA1) <<< 9 C = (C + h(D , A, B ) + X [6] + 6ED 9EBA1) <<< 11 B = (B + h(C , D , A) + X [14] + 6ED 9EBA1) <<< 15 A = (A + h(B , C , D ) + X [1] + 6ED 9EBA1) <<< 3 D = (D + h(A, B , C ) + X [9] + 6ED 9EBA1) <<< 9 C = (C + h(D , A, B ) + X [5] + 6ED 9EBA1) <<< 11 B = (B + h(C , D , A) + X [13] + 6ED 9EBA1) <<< 15 A = (A + h(B , C , D ) + X [3] + 6ED 9EBA1) <<< 3 D = (D + h(A, B , C ) + X [11] + 6ED 9EBA1) <<< 9 C = (C + h(D , A, B ) + X [7] + 6ED 9EBA1) <<< 11 B = (B + h(C , D , A) + X [15] + 6ED 9EBA1) <<< 15
Funciones resumen
Firma Digital
31 / 36
Funciones resumen
Descripci on de las funciones f , g y h:

f (X , Y , Z ) = (X AND Y ) OR (X AND Z )
/* Si X entonces Y , si no Z */
g (X , Y , Z ) = (X AND Y ) OR (X AND Z ) OR (Y AND Z )
/* funci on mayor a */
h (X , Y , Z ) = (X Y Z )
Consideraciones:
X , Y y Z son palabras de 32 bits Las operaciones AND , OR y X denotan las operaciones l ogicas bit a bit X + Y denota la aici on m odulo 232 de X e Y X <<< s denota la permutaci on circular de X un n umero s de bits a la izquierda (0 s 31)
Funciones resumen
Firma Digital
32 / 36
Funciones resumen
La funci on MD4
Muy pronto se desarrollan ataques a MD4 que no ejecutaban la primera o tercera vuelta
Funciones resumen
Firma Digital
33 / 36
Funciones resumen
La funci on MD4
Muy pronto se desarrollan ataques a MD4 que no ejecutaban la primera o tercera vuelta Se ha mostrado como encontrar soluciones MD4 en menos de un minuto en un PC sin requisitos de conguraci on
Funciones resumen
Firma Digital
33 / 36
Funciones resumen
La funci on MD4
Muy pronto se desarrollan ataques a MD4 que no ejecutaban la primera o tercera vuelta Se ha mostrado como encontrar soluciones MD4 en menos de un minuto en un PC sin requisitos de conguraci on Se ha demostrado que MD4 sin la tercera vuelta no es una funci on hash unidireccional
Funciones resumen
Firma Digital
33 / 36
Funciones resumen
La funci on MD4
Muy pronto se desarrollan ataques a MD4 que no ejecutaban la primera o tercera vuelta Se ha mostrado como encontrar soluciones MD4 en menos de un minuto en un PC sin requisitos de conguraci on Se ha demostrado que MD4 sin la tercera vuelta no es una funci on hash unidireccional Se considera que MD4 est a roto
Funciones resumen
Firma Digital
33 / 36
Funciones resumen
La funci on MD5
MD5 considera el mismo tratamiento previo del mensaje que hace MD4
Funciones resumen
Firma Digital
34 / 36
Funciones resumen
La funci on MD5
MD5 considera el mismo tratamiento previo del mensaje que hace MD4 El algoritmo sigue b asicamente el esquema MD4 ejecutando una cuarta vuelta adicional
Funciones resumen
Firma Digital
34 / 36
Funciones resumen
La funci on MD5
Vulnerability of software integrity and code signing applications to chosen-prex collisions for MD5 November 30, 2007.
Describe un procedimiento para encontrar mensajes distintos x y x tales que hMD 5 (x ) = hMD 5 (x )
Funciones resumen
Firma Digital
34 / 36
Funciones resumen
La funci on MD5
Funciones resumen
Describe un procedimiento para encontrar mensajes distintos x y x tales que hMD 5 (x ) = hMD 5 (x ) MD5 sigue siendo able como medio para validar la no-modicaci on de cheros propios cuyo contenido conocemos. Deja de ser able como base para cualquier tipo de rmas o certicados
Firma Digital
34 / 36
Funciones resumen
La funci on MD5
Funciones resumen
Describe un procedimiento para encontrar mensajes distintos x y x tales que hMD 5 (x ) = hMD 5 (x ) MD5 sigue siendo able como medio para validar la no-modicaci on de cheros propios cuyo contenido conocemos. Deja de ser able como base para cualquier tipo de rmas o certicados DNI electr onico utiliza SHA-1/RSA. Se recomienda no usarlo para rmar hashes MD5.
Funciones resumen
La familia SHA
Desarrollado por la NSA en 1993. Considera mensajes de longitud menor de 264 bits, produciendo inicialmente un resumen de 160 bits
Funciones resumen
Firma Digital
35 / 36
Funciones resumen
La familia SHA
Desarrollado por la NSA en 1993. Considera mensajes de longitud menor de 264 bits, produciendo inicialmente un resumen de 160 bits En 1995, NSA sustituye SHA-0 por SHA-1, b asicamente igual a SHA-0 con cambios menores
Funciones resumen
Firma Digital
35 / 36
Funciones resumen
La familia SHA
Desarrollado por la NSA en 1993. Considera mensajes de longitud menor de 264 bits, produciendo inicialmente un resumen de 160 bits En 1995, NSA sustituye SHA-0 por SHA-1, b asicamente igual a SHA-0 con cambios menores Se ha propuesto un algoritmo de cumplea nos que encuentra colisiones en SHA-1 con un esfuerzo menor a la fuerza bruta (orden de 269 operaciones en lugar de 280 )
Funciones resumen
Firma Digital
35 / 36
Funciones resumen
La familia SHA
Desarrollado por la NSA en 1993. Considera mensajes de longitud menor de 264 bits, produciendo inicialmente un resumen de 160 bits En 1995, NSA sustituye SHA-0 por SHA-1, b asicamente igual a SHA-0 con cambios menores Se ha propuesto un algoritmo de cumplea nos que encuentra colisiones en SHA-1 con un esfuerzo menor a la fuerza bruta (orden de 269 operaciones en lugar de 280 ) Este algoritmo encuentra colisiones en SHA-0 con 239 operaciones (!!)
Funciones resumen
Firma Digital
35 / 36
Funciones resumen
La familia SHA
Funciones resumen
Desarrollado por la NSA en 1993. Considera mensajes de longitud menor de 264 bits, produciendo inicialmente un resumen de 160 bits En 1995, NSA sustituye SHA-0 por SHA-1, b asicamente igual a SHA-0 con cambios menores Se ha propuesto un algoritmo de cumplea nos que encuentra colisiones en SHA-1 con un esfuerzo menor a la fuerza bruta (orden de 269 operaciones en lugar de 280 ) Este algoritmo encuentra colisiones en SHA-0 con 239 operaciones (!!) Pese a esto, atacar SHA-1 es 4 ordenes de magnitud m as dicil que atacar DES (...)
Firma Digital
35 / 36
Funciones resumen
La familia SHA
Funciones resumen
Desarrollado por la NSA en 1993. Considera mensajes de longitud menor de 264 bits, produciendo inicialmente un resumen de 160 bits En 1995, NSA sustituye SHA-0 por SHA-1, b asicamente igual a SHA-0 con cambios menores Se ha propuesto un algoritmo de cumplea nos que encuentra colisiones en SHA-1 con un esfuerzo menor a la fuerza bruta (orden de 269 operaciones en lugar de 280 ) Este algoritmo encuentra colisiones en SHA-0 con 239 operaciones (!!) Pese a esto, atacar SHA-1 es 4 ordenes de magnitud m as dicil que atacar DES (...) Existen versiones de 256 bits (SHA-256) y de 512 bits (SHA-512) que se consideran inmunes (...) a ataques
Funciones resumen
Firma Digital
36 / 36

Firma RSA

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Firma RSA

Încărcat de

Drepturi de autor:

Formate disponibile

Firma Digital U.D.

U.D. Computaci on (DSIC - UPV)

Contenidos del tema

U.D. Computaci on (DSIC - UPV)

U.D. Computaci on (DSIC - UPV)

Proceso de cifrado mediante el cual:

U.D. Computaci on (DSIC - UPV)

Proceso de cifrado mediante el cual:

U.D. Computaci on (DSIC - UPV)

U.D. Computaci on (DSIC - UPV)

U.D. Computaci on (DSIC - UPV)

Firma digital mediante criptograf a de clave secreta

Es necesario un arbitro que comparte con A y B sendas claves secretas kA y kB

U.D. Computaci on (DSIC - UPV)

U.D. Computaci on (DSIC - UPV)

Firma digital mediante criptograf a de clave p ublica

Dado un mensaje x , y = sigk (x ) = x a mod n verk (x , y ) = cierto si y solo si y b x (mod n)

U.D. Computaci on (DSIC - UPV)

Firma digital mediante criptograf a de clave p ublica

Dado un mensaje x , y = sigk (x ) = x a mod n verk (x , y ) = cierto si y solo si y b x (mod n)

U.D. Computaci on (DSIC - UPV)

Firma digital mediante criptograf a de clave p ublica

U.D. Computaci on (DSIC - UPV)

Firma digital mediante criptograf a de clave p ublica

En el caso que se cifre antes de rmar:

Un posible tercero podr a interceptar el mensaje:

U.D. Computaci on (DSIC - UPV)

Firma digital mediante criptograf a de clave p ublica

U.D. Computaci on (DSIC - UPV)

Firma digital mediante criptograf a de clave p ublica

U.D. Computaci on (DSIC - UPV)

Firma digital mediante criptograf a de clave p ublica

U.D. Computaci on (DSIC - UPV)

Firma digital mediante criptograf a de clave p ublica

U.D. Computaci on (DSIC - UPV)

Firma digital mediante criptograf a de clave p ublica

Seleccionar , generador del u nico grupo de orden q en Z p

verk (, ) = cierto si y s olo si h 1 x 1 mod p mod p (mod q )

U.D. Computaci on (DSIC - UPV)

U.D. Computaci on (DSIC - UPV)

U.D. Computaci on (DSIC - UPV)

La vericaci on puede ser realizada por cualquiera

U.D. Computaci on (DSIC - UPV)

U.D. Computaci on (DSIC - UPV)

U.D. Computaci on (DSIC - UPV)

U.D. Computaci on (DSIC - UPV)

U.D. Computaci on (DSIC - UPV)

Funciones hash unidireccionales (OWHF)

Funciones hash resistentes a colisiones (CRHF)

U.D. Computaci on (DSIC - UPV)

Funciones hash unidireccionales (OWHF)

Funciones hash resistentes a colisiones (CRHF)

U.D. Computaci on (DSIC - UPV)

Funciones hash unidireccionales (OWHF)

Funciones hash resistentes a colisiones (CRHF)

U.D. Computaci on (DSIC - UPV)

U.D. Computaci on (DSIC - UPV)

U.D. Computaci on (DSIC - UPV)

U.D. Computaci on (DSIC - UPV)

U.D. Computaci on (DSIC - UPV)

U.D. Computaci on (DSIC - UPV)

= 1x + entonces 1 x colisi on queda:

x3 x2 2! 3! . . . , por lo que, si x e x , con lo que la probabilidad

U.D. Computaci on (DSIC - UPV)