Documente Academic
Documente Profesional
Documente Cultură
Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Firma Digital
U.D. Computaci on
DSIC - UPV
Funciones resumen
Firma Digital
1 / 36
1 Deniciones 2 Firma digital mediante criptograf a de clave secreta 3 Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
4 Funciones resumen
Funciones resumen
Firma Digital
2 / 36
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
1 Deniciones 2 Firma digital mediante criptograf a de clave secreta 3 Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
4 Funciones resumen
Funciones resumen
Firma Digital
3 / 36
Deniciones
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Funciones resumen
Firma Digital
4 / 36
Deniciones
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
La rma digital debe poseer las mismas propiedades que la rma convencional:
Debe ser f acil de generar por su propietario No puede ser rechazada por su propietario (irrevocable) Solo debe poder ser generada por su propietario (infalsicable) Debe ser f acil de vericar o reconocer, tanto por parte del propietario, como de cualquier receptor. Debe depender del mensaje (no reutilizable)
Funciones resumen
Firma Digital
4 / 36
Deniciones
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Un esquema de rma digital es una tupla (M , F , K , S , V ) donde: M es el conjunto de posibles mensajes F es el conjunto de posibles rmas K es el conjunto de claves Para cada clave k K existe un algoritmo sigk S de rma y un algoritmo verk V de vericaci on. Cada sigk : M F y cada verk : M F {cierto , falso } cumplen que: ver (x , y ) = cierto falso si y = sigk (x ) si y = sigk (x )
Funciones resumen
Para cualquier k , tanto verk como sigk deben ser f acilmente computables verk ser a p ublica mientras sigk ser a privada
Firma Digital 5 / 36
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
1 Deniciones 2 Firma digital mediante criptograf a de clave secreta 3 Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
4 Funciones resumen
Funciones resumen
Firma Digital
6 / 36
3 4
A cifra el mensaje x utilizando KA (ekA (x )) y lo env a al arbitro El arbitro descifra el mensaje (con kA ) y le a nade al mensaje una identicaci on de A (idA ) y la rma ekA (x ). El resultado se almacena El arbitro cifra el mensaje resultante con kB y lo env a al destinatario B B descifra el mensaje. Puede leer tanto el mensaje como el identicador del remitente
Funciones resumen
Aunque la rma ekA (x ) es indescifrable para B, se puede demostrar el origen del mensaje debida a que el arbitro guarda una copia
Firma Digital 7 / 36
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
1 Deniciones 2 Firma digital mediante criptograf a de clave secreta 3 Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
4 Funciones resumen
Funciones resumen
Firma Digital
8 / 36
Sea n = pq donde p y q son primos. Sean a, b tales que ab 1 (mod (n)) k = (n, b , a); Clave p ublica: (n, b ); Clave secreta: a
1 2
Funciones resumen
Firma Digital
9 / 36
Sea n = pq donde p y q son primos. Sean a, b tales que ab 1 (mod (n)) k = (n, b , a); Clave p ublica: (n, b ); Clave secreta: a
1 2
Funciones resumen
Debido a propiedades de la expoeneciaci on modular, partiendo de varios mensajes y sus rmas correspondientes, podr an construirse un mensaje nuevos y su rma Es posible utilizar funciones de redundancia para dicultar la creaci on de este tipo de mensajes. Tambi en se aconseja el uso de funciones resumen
Firma Digital
9 / 36
El cifrado de clave p ublica puede combinarse f acilmente con la rma digital Supongamos que Alice desea enviar el mensaje x a Bob (rmado y cifrado)
1 2 3 4 5
Funciones resumen
Ambos poseen un par de claves RSA (p ublica y privada) Alice obtiene la rma de x cifrando x con su clave privada: y = eprAlice (x ) Alice cifra el par (x , y ) con la clave p ublica de Bob: m = epbBob (x , y ) Bob recibe m. Utilizando su clave privada obtiene (x , y ) = dprBob (m) Bob verica la rma utilizando la clave p ublica de Alice. dpbAlice (y ) = x Si x = x la rma es v alida
Firma Digital 10 / 36
cifrado: y = epbBob (x ) rma: m = eprAlice (y ) pudiendo obtener el mensaje cifrado y ya que para ello unicamente necesita la clave PUBLICA de Alice Una vez que disponga del mensaje (cifrado) puede suscribirlo, rmandolo con su clave privada Bob no dispone de mecanismos para averiguar el origen del mensaje
Funciones resumen
Firma Digital
11 / 36
Dise nado espec camente para rma. No determinista (dado un mensaje, existen m ultiples rmas v alidas para el) La seguridad del sistema depende de la dicultad del problema del logaritmo discreto. Necesita valores modulares grandes para mantener la seguridad de la rma Necesita una funci on hash que obtenga un resumen en Zp (valor primo muy grande Una modicaci on de este esquema ha sido adoptada por la NIST
Funciones resumen
Firma Digital
12 / 36
Sea p primo y sea un generador de Z p Denotamos el resumen del mensaje con x Sea a un n umero aleatorio y = a k = (p , , , a); kpb = (p , , ); kpr = (a)
1
Generar aleatoriamente h tal que 1 h p 2 y mcd (h, p 1) = 1 sigk (x , h) = (, ) donde = h mod p = (x a )h1 mod (p 1) x (mod p )
verk (, ) = cierto
Funciones resumen
(x a )h1 (mod p 1), entonces, h x a (mod p 1) por lo que x a + h (mod p 1) lo que conduce a a h x (mod p )
Firma Digital 13 / 36
En la mayor a de las situaciones, un documento cifrado necesita descifrarse una u nica vez Un documento rmado puede tener una vigencia m as prolongada. El proceso de rma necesita un mayor nivel de seguridad El esquema de rma de ElGamal es seguro para valores de p de 512 bits (1024 para mantener la seguridad en un futuro pr oximo) Una clave de 512 bits produce una rma de 1024 bits. Actualmente se est an introduciendo tarjetas con capacidad de 2048 bits.
Funciones resumen
Firma Digital
14 / 36
Dise nado para utilizar el algoritmo de rma SHA DSS modica el esquema de ElGamal para que mensajes de 160 bits puedan rmarse con 320 bits, pero realizando la computaci on m odulo 512
160 DSS trabaja con un subgrupo de Z p de talla 2
La seguridad se fundamenta en la creencia de que el problema del logaritmo discreto conserva sus propiedades en dicho subgrupo
Funciones resumen
Firma Digital
15 / 36
Seleccionar q primo tal que 2159 < q < 2160 Sea 0 t 8, escoger p primo (2511+64t < p < 2512+64t ) tal que q divide (p 1) Denotamos el resumen del mensaje con x Sea a un n umero aleatorio y = a mod p k = (p , q , , , a); kpb = (p , q , , ); kpr = (a)
1
Generar aleatoriamente h tal que 0 < h < q sigk (x , h) = (, ) donde = (h mod p ) mod q = (x a )h1 mod q
Funciones resumen
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
1 Deniciones 2 Firma digital mediante criptograf a de clave secreta 3 Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
4 Funciones resumen
Funciones resumen
Firma Digital
17 / 36
Funciones resumen
Integraci on de resumen y rma
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Los esquemas de rma como ElGamal o DSS s olo permiten rmar mensajes peque nos (512 o 160 bits respectivamente) Un documento legal puede ser mucho mayor. Soluci on trivial: dividir el documento en m ultiples bloques y rmar todos ellos:
El tama no de la rma duplica el del mensaje El proceso de rma es costoso debido al uso de funciones costosas temporalmente No se garantiza la integridad del resultado (pueden eliminarse/reordenarse bloques del mensaje sin afectar el resultado)
Funciones resumen
El uso de Funciones Resumen unidireccionales y r apidas permite digerir un mensaje y obtener un resultado de talla ja (resumen)
Firma Digital 18 / 36
Funciones resumen
Integraci on de resumen y rma
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
El proceso de rma puede limitarse a la rma del resumen A desea enviar x a B. Sea h una funci on resumen
1 2 3 4
A computa el resumen de x (h(x )) A rma el resumen z = sigk (h(x )) y env a (x , z ) a B B recibe el par (x , z ), pudiendo computar el resumen del mensaje x Dado el resumen, se puede vericar la rma verk (h(x ), z )
Funciones resumen
Firma Digital
19 / 36
Funciones resumen
Descripci on
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Sea un alfabeto binario A. Una funci on hash es una funci on h donde el dominio est a formado por mensajes de longitud arbitraria y el rango es R An para un valor n prejado
Funciones resumen
Firma Digital
20 / 36
Funciones resumen
Descripci on
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Sea un alfabeto binario A. Una funci on hash es una funci on h donde el dominio est a formado por mensajes de longitud arbitraria y el rango es R An para un valor n prejado |D | >> |R |, por lo tanto h no es inyectiva, produciendose colisiones
Funciones resumen
Firma Digital
20 / 36
Funciones resumen
Descripci on
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Sea un alfabeto binario A. Una funci on hash es una funci on h donde el dominio est a formado por mensajes de longitud arbitraria y el rango es R An para un valor n prejado |D | >> |R |, por lo tanto h no es inyectiva, produciendose colisiones Para una h aleatoria, si D = At (t > n), entonces a cada resumen le corresponden 2t n mensajes. La probabilidad de que dos mensajes den como resultado la misma salida es 2n
Funciones resumen
Firma Digital
20 / 36
Funciones resumen
Descripci on
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Sea un alfabeto binario A. Una funci on hash es una funci on h donde el dominio est a formado por mensajes de longitud arbitraria y el rango es R An para un valor n prejado |D | >> |R |, por lo tanto h no es inyectiva, produciendose colisiones Para una h aleatoria, si D = At (t > n), entonces a cada resumen le corresponden 2t n mensajes. La probabilidad de que dos mensajes den como resultado la misma salida es 2n Propiedades: F acil de computar Compresi on: Cualquier entrada x de longitud arbitraria, se convierte en h(x ) de longitud ja
Firma Digital 20 / 36
Funciones resumen
Funciones resumen
Propiedades de las funciones hash
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Funciones resumen
Firma Digital
21 / 36
Funciones resumen
Propiedades de las funciones hash
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Funciones resumen
Firma Digital
21 / 36
Funciones resumen
Propiedades de las funciones hash
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Funciones resumen
Firma Digital
21 / 36
Funciones resumen
El ataque del cumplea nos
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Sea h : X Z donde |X | 2|Z | donde |X | = m y |Z | = n. Por lo tanto existir an almenos n colisiones Asumimos que para cualquier z Z se cumple que |h1 (z )| = m/n. En otro caso se incrementa la probabilidad de encontrar una colisi on
Funciones resumen
Firma Digital
22 / 36
Funciones resumen
El ataque del cumplea nos
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Sea h : X Z donde |X | 2|Z | donde |X | = m y |Z | = n. Por lo tanto existir an almenos n colisiones Asumimos que para cualquier z Z se cumple que |h1 (z )| = m/n. En otro caso se incrementa la probabilidad de encontrar una colisi on Dados k mensajes al azar (x1 , x2 , . . . , xk ), queremos calcular la probabilidad de que no se produzca colisi on:
Funciones resumen
Firma Digital
22 / 36
Funciones resumen
El ataque del cumplea nos
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Sea h : X Z donde |X | 2|Z | donde |X | = m y |Z | = n. Por lo tanto existir an almenos n colisiones Asumimos que para cualquier z Z se cumple que |h1 (z )| = m/n. En otro caso se incrementa la probabilidad de encontrar una colisi on Dados k mensajes al azar (x1 , x2 , . . . , xk ), queremos calcular la probabilidad de que no se produzca colisi on:
1 1 n 2 1 n k 1 ... 1 n
k 1
=
i =1
i n
Funciones resumen
Firma Digital
22 / 36
Funciones resumen
El ataque del cumplea nos
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Sea h : X Z donde |X | 2|Z | donde |X | = m y |Z | = n. Por lo tanto existir an almenos n colisiones Asumimos que para cualquier z Z se cumple que |h1 (z )| = m/n. En otro caso se incrementa la probabilidad de encontrar una colisi on Dados k mensajes al azar (x1 , x2 , . . . , xk ), queremos calcular la probabilidad de que no se produzca colisi on:
1 1 n 2 1 n
x2 2!
k 1 ... 1 n
k 1
=
i =1
i n
e x
= 1x +
x3 3!
...
Funciones resumen
Firma Digital
22 / 36
Funciones resumen
El ataque del cumplea nos
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Sea h : X Z donde |X | 2|Z | donde |X | = m y |Z | = n. Por lo tanto existir an almenos n colisiones Asumimos que para cualquier z Z se cumple que |h1 (z )| = m/n. En otro caso se incrementa la probabilidad de encontrar una colisi on Dados k mensajes al azar (x1 , x2 , . . . , xk ), queremos calcular la probabilidad de que no se produzca colisi on:
1 1 n 2 1 n k 1 ... 1 n
k 1
=
i =1
i n
Funciones resumen
= 1x + entonces 1 x
e x
x3 x2 2! 3! e x
. . . , por lo que, si x 0
Firma Digital
22 / 36
Funciones resumen
El ataque del cumplea nos
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Sea h : X Z donde |X | 2|Z | donde |X | = m y |Z | = n. Por lo tanto existir an almenos n colisiones Asumimos que para cualquier z Z se cumple que |h1 (z )| = m/n. En otro caso se incrementa la probabilidad de encontrar una colisi on Dados k mensajes al azar (x1 , x2 , . . . , xk ), queremos calcular la probabilidad de que no se produzca colisi on:
1 1 n 2 1 n k 1 ... 1 n
k 1
=
i =1
i n
Funciones resumen
e x
0 de no
i n
e
i =1
i n
= e
k (k 1) 2n
Firma Digital
22 / 36
Funciones resumen
El ataque del cumplea nos
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
La probabilidad de colisi on se aproxima a 1 e Cuantos mensajes hay que escoger para que la probabilidad de colisi on sea ?
k (k 1) 2n
Funciones resumen
Firma Digital
23 / 36
Funciones resumen
El ataque del cumplea nos
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
La probabilidad de colisi on se aproxima a 1 e Cuantos mensajes hay que escoger para que la probabilidad de colisi on sea ? e
k (k 1) 2n
k (k 1) 2n
Funciones resumen
Firma Digital
23 / 36
Funciones resumen
El ataque del cumplea nos
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
La probabilidad de colisi on se aproxima a 1 e Cuantos mensajes hay que escoger para que la probabilidad de colisi on sea ? e
k (k 1) 2n
k (k 1) 2n
k (k 1) ln (1 ) 2n
Funciones resumen
Firma Digital
23 / 36
Funciones resumen
El ataque del cumplea nos
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
La probabilidad de colisi on se aproxima a 1 e Cuantos mensajes hay que escoger para que la probabilidad de colisi on sea ? e
k (k 1) 2n
k (k 1) 2n
k (k 1) ln (1 ) 2n 1 1
k 2 k 2n ln
Funciones resumen
Firma Digital
23 / 36
Funciones resumen
El ataque del cumplea nos
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
La probabilidad de colisi on se aproxima a 1 e Cuantos mensajes hay que escoger para que la probabilidad de colisi on sea ? e
k (k 1) 2n
k (k 1) 2n
k (k 1) ln (1 ) 2n 1 k 1 2n ln 1 1
k 2 k 2n ln
Funciones resumen
Firma Digital
23 / 36
Funciones resumen
El ataque del cumplea nos
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
La probabilidad de colisi on se aproxima a 1 e Cuantos mensajes hay que escoger para que la probabilidad de colisi on sea ? e
k (k 1) 2n
k (k 1) 2n
k (k 1) ln (1 ) 2n 1 k 1 2n ln 1 1
k 2 k 2n ln Si = 0.5 entonces k
Funciones resumen
n(2 ln 2) 1.17 n
Firma Digital
23 / 36
Funciones resumen
El ataque del cumplea nos
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
La probabilidad de colisi on se aproxima a 1 e Cuantos mensajes hay que escoger para que la probabilidad de colisi on sea ? e
k (k 1) 2n
k (k 1) 2n
k (k 1) ln (1 ) 2n 1 k 1 2n ln 1 1
k 2 k 2n ln Si = 0.5 entonces k
Funciones resumen
n(2 ln 2) 1.17 n
Firma Digital
23 / 36
Funciones resumen
El ataque del cumplea nos
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
La probabilidad de colisi on se aproxima a 1 e Cuantos mensajes hay que escoger para que la probabilidad de colisi on sea ? e
k (k 1) 2n
k (k 1) 2n
k (k 1) ln (1 ) 2n 1 k 1 2n ln 1 1
k 2 k 2n ln Si = 0.5 entonces k
Funciones resumen
n(2 ln 2) 1.17 n
Funciones resumen
El ataque del cumplea nos
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
El ataque del cumplea nos acota inferiormente la talla del resumen Si el resumen es de 40 bits, entonces con probabilidad 0.5, se puede obtener una colisi on con 220 mensajes al azar 6 (aproximadamente 10 mensajes) Una talla de 128 bits ha sido utilizada hasta ahora DSS considera 160 bits La familia SHA permite 256 y 512 bits
Funciones resumen
Firma Digital
24 / 36
Funciones resumen
El ataque del cumplea nos. Algoritmo de Yuval
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Firma de un mensaje ileg timo con la de un mensaje inocuo ENTRADA: Mensaje leg timo xl . Mensaje ileg timo xi . Funci on hash h de m bits SALIDA: Mensajes xl y xi , con cambios menores respecto la entrada, tales que h(xl ) = h(xi )
Funciones resumen
Firma Digital
25 / 36
Funciones resumen
El ataque del cumplea nos. Algoritmo de Yuval
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Firma de un mensaje ileg timo con la de un mensaje inocuo ENTRADA: Mensaje leg timo xl . Mensaje ileg timo xi . Funci on hash h de m bits SALIDA: Mensajes xl y xi , con cambios menores respecto la entrada, tales que h(xl ) = h(xi ) METODO:
1 2 3
Generar t = 2m/2 modicaciones menores de xl Computar el resumen y almacenar los pares (xl , h(xl )) repetir
Generar xi modicaci on menor de xi y computar h(xi ) Buscar una colisi on con alguna variante de xl
Funciones resumen
Firma Digital
25 / 36
Funciones resumen
La familia MDx
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Propuesta por Rivest: MD2 en 1989; MD4 en 1990; MD5 en 1991 MD2 optimizada para m aquinas de 8 bits. MD4/5 pensada para m aquinas de 32 bits MD4/5 obtiene un resumen de 128 bits El esquema algoritmico se ha seguido utilizado en las u ltimas propuestas de algoritmos de resumen El estandar SHS est a basado en esta familia. Considera mensajes de longitud menor de 264 produciendo un resumen de 160 bits. Recientemente se han dise nado algoritmos que proporcionan res umenes de 256/512 bits
Funciones resumen
Firma Digital
26 / 36
Funciones resumen
La funci on MD4. Descripci on
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Se extiende el mensaje (a nadiendo un 1 seguido de sucientes 0s) para que su longitud sea congruente con 448 m odulo 512 (faltan 64 bits para que la longitud del mensaje sea m ultiplo de 512)
Funciones resumen
Firma Digital
27 / 36
Funciones resumen
La funci on MD4. Descripci on
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Se extiende el mensaje (a nadiendo un 1 seguido de sucientes 0s) para que su longitud sea congruente con 448 m odulo 512 (faltan 64 bits para que la longitud del mensaje sea m ultiplo de 512) Al mensaje extendido se le a nade la representaci on binaria 64 del mensaje m odulo 2 (los 64 bits menos signicativos)
Funciones resumen
Firma Digital
27 / 36
Funciones resumen
La funci on MD4. Descripci on
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Se extiende el mensaje (a nadiendo un 1 seguido de sucientes 0s) para que su longitud sea congruente con 448 m odulo 512 (faltan 64 bits para que la longitud del mensaje sea m ultiplo de 512) Al mensaje extendido se le a nade la representaci on binaria 64 del mensaje m odulo 2 (los 64 bits menos signicativos) Dado el mensaje (longitud m ultiplo de 512), se construye un vector de subcadenas (que llamaremos palabras) de longitud 32. N otese que la talla del vector es m ultiplo de 16 M = M [0]M [1] . . . M [N 1] donde N 0 (mod 16)
Funciones resumen
Firma Digital
27 / 36
Funciones resumen
La funci on MD4. Descripci on
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Funciones resumen
Se extiende el mensaje (a nadiendo un 1 seguido de sucientes 0s) para que su longitud sea congruente con 448 m odulo 512 (faltan 64 bits para que la longitud del mensaje sea m ultiplo de 512) Al mensaje extendido se le a nade la representaci on binaria 64 del mensaje m odulo 2 (los 64 bits menos signicativos) Dado el mensaje (longitud m ultiplo de 512), se construye un vector de subcadenas (que llamaremos palabras) de longitud 32. N otese que la talla del vector es m ultiplo de 16 M = M [0]M [1] . . . M [N 1] donde N 0 (mod 16) El proceso recorre el mensaje considerando en cada iteraci on 16 palabras (esquema de Damgard y Merkle)
Firma Digital
27 / 36
Funciones resumen
La funci on MD4. Descripci on
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Funciones resumen
Se extiende el mensaje (a nadiendo un 1 seguido de sucientes 0s) para que su longitud sea congruente con 448 m odulo 512 (faltan 64 bits para que la longitud del mensaje sea m ultiplo de 512) Al mensaje extendido se le a nade la representaci on binaria 64 del mensaje m odulo 2 (los 64 bits menos signicativos) Dado el mensaje (longitud m ultiplo de 512), se construye un vector de subcadenas (que llamaremos palabras) de longitud 32. N otese que la talla del vector es m ultiplo de 16 M = M [0]M [1] . . . M [N 1] donde N 0 (mod 16) El proceso recorre el mensaje considerando en cada iteraci on 16 palabras (esquema de Damgard y Merkle) El resumen se obtiene por concatenaci on de 4 palabras de 32 bits
Firma Digital 27 / 36
Funciones resumen
La funci on MD4. Algoritmo
Firma Digital
1
U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
5 6 7 8
Funciones resumen
A = 67452301(hex ); B = efcdab 89(hex ) C = 98badcfe (hex ); D = 10325476(hex ) for i = 0 to N /16 1 do /* para cada bloque de 16 palabras */ for j = 0 to 15 do X [j ] = M [16i + j ] AA = A; BB = B CC = C ; DD = D Round 1 Round 2 Round 3 A = A + AA; B = B + BB C = C + CC ; D = D + DD Return ABCD
Firma Digital 28 / 36
Funciones resumen
La funci on MD4. Algoritmo
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
A = (A + f (B , C , D ) + X [0]) <<< 3 D = (D + f (A, B , C ) + X [1]) <<< 7 C = (C + f (D , A, B ) + X [2]) <<< 11 B = (B + f (C , D , A) + X [3]) <<< 19 A = (A + f (B , C , D ) + X [4]) <<< 3 D = (D + f (A, B , C ) + X [5]) <<< 7 C = (C + f (D , A, B ) + X [6]) <<< 11 B = (B + f (C , D , A) + X [7]) <<< 19 A = (A + f (B , C , D ) + X [8]) <<< 3 D = (D + f (A, B , C ) + X [9]) <<< 7 C = (C + f (D , A, B ) + X [10]) <<< 11 B = (B + f (C , D , A) + X [11]) <<< 19 A = (A + f (B , C , D ) + X [12]) <<< 3 D = (D + f (A, B , C ) + X [13]) <<< 7 C = (C + f (D , A, B ) + X [14]) <<< 11 B = (B + f (C , D , A) + X [15]) <<< 19
Funciones resumen
Firma Digital
29 / 36
Funciones resumen
La funci on MD4. Algoritmo
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
A = (A + g (B , C , D ) + X [0] + 5A827999) <<< 3 D = (D + g (A, B , C ) + X [4] + 5A827999) <<< 7 C = (C + g (D , A, B ) + X [8] + 5A827999) <<< 11 B = (B + g (C , D , A) + X [12] + 5A827999) <<< 19 A = (A + g (B , C , D ) + X [1] + 5A827999) <<< 3 D = (D + g (A, B , C ) + X [5] + 5A827999) <<< 7 C = (C + g (D , A, B ) + X [9] + 5A827999) <<< 11 B = (B + g (C , D , A) + X [13] + 5A827999) <<< 19 A = (A + g (B , C , D ) + X [2] + 5A827999) <<< 3 D = (D + g (A, B , C ) + X [6] + 5A827999) <<< 7 C = (C + g (D , A, B ) + X [10] + 5A827999) <<< 11 B = (B + g (C , D , A) + X [14] + 5A827999) <<< 19 A = (A + g (B , C , D ) + X [3] + 5A827999) <<< 3 D = (D + g (A, B , C ) + X [7] + 5A827999) <<< 7 C = (C + g (D , A, B ) + X [11] + 5A827999) <<< 11 B = (B + g (C , D , A) + X [15] + 5A827999) <<< 19
Funciones resumen
Firma Digital
30 / 36
Funciones resumen
La funci on MD4. Algoritmo
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
A = (A + h(B , C , D ) + X [0] + 6ED 9EBA1) <<< 3 D = (D + h(A, B , C ) + X [8] + 6ED 9EBA1) <<< 9 C = (C + h(D , A, B ) + X [4] + 6ED 9EBA1) <<< 11 B = (B + h(C , D , A) + X [12] + 6ED 9EBA1) <<< 15 A = (A + h(B , C , D ) + X [2] + 6ED 9EBA1) <<< 3 D = (D + h(A, B , C ) + X [10] + 6ED 9EBA1) <<< 9 C = (C + h(D , A, B ) + X [6] + 6ED 9EBA1) <<< 11 B = (B + h(C , D , A) + X [14] + 6ED 9EBA1) <<< 15 A = (A + h(B , C , D ) + X [1] + 6ED 9EBA1) <<< 3 D = (D + h(A, B , C ) + X [9] + 6ED 9EBA1) <<< 9 C = (C + h(D , A, B ) + X [5] + 6ED 9EBA1) <<< 11 B = (B + h(C , D , A) + X [13] + 6ED 9EBA1) <<< 15 A = (A + h(B , C , D ) + X [3] + 6ED 9EBA1) <<< 3 D = (D + h(A, B , C ) + X [11] + 6ED 9EBA1) <<< 9 C = (C + h(D , A, B ) + X [7] + 6ED 9EBA1) <<< 11 B = (B + h(C , D , A) + X [15] + 6ED 9EBA1) <<< 15
Funciones resumen
Firma Digital
31 / 36
Funciones resumen
La funci on MD4. Algoritmo
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
/* Si X entonces Y , si no Z */
g (X , Y , Z ) = (X AND Y ) OR (X AND Z ) OR (Y AND Z )
/* funci on mayor a */
h (X , Y , Z ) = (X Y Z )
Consideraciones:
X , Y y Z son palabras de 32 bits Las operaciones AND , OR y X denotan las operaciones l ogicas bit a bit X + Y denota la aici on m odulo 232 de X e Y X <<< s denota la permutaci on circular de X un n umero s de bits a la izquierda (0 s 31)
Funciones resumen
Firma Digital
32 / 36
Funciones resumen
La funci on MD4
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Muy pronto se desarrollan ataques a MD4 que no ejecutaban la primera o tercera vuelta
Funciones resumen
Firma Digital
33 / 36
Funciones resumen
La funci on MD4
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Muy pronto se desarrollan ataques a MD4 que no ejecutaban la primera o tercera vuelta Se ha mostrado como encontrar soluciones MD4 en menos de un minuto en un PC sin requisitos de conguraci on
Funciones resumen
Firma Digital
33 / 36
Funciones resumen
La funci on MD4
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Muy pronto se desarrollan ataques a MD4 que no ejecutaban la primera o tercera vuelta Se ha mostrado como encontrar soluciones MD4 en menos de un minuto en un PC sin requisitos de conguraci on Se ha demostrado que MD4 sin la tercera vuelta no es una funci on hash unidireccional
Funciones resumen
Firma Digital
33 / 36
Funciones resumen
La funci on MD4
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Muy pronto se desarrollan ataques a MD4 que no ejecutaban la primera o tercera vuelta Se ha mostrado como encontrar soluciones MD4 en menos de un minuto en un PC sin requisitos de conguraci on Se ha demostrado que MD4 sin la tercera vuelta no es una funci on hash unidireccional Se considera que MD4 est a roto
Funciones resumen
Firma Digital
33 / 36
Funciones resumen
La funci on MD5
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
MD5 considera el mismo tratamiento previo del mensaje que hace MD4
Funciones resumen
Firma Digital
34 / 36
Funciones resumen
La funci on MD5
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
MD5 considera el mismo tratamiento previo del mensaje que hace MD4 El algoritmo sigue b asicamente el esquema MD4 ejecutando una cuarta vuelta adicional
Funciones resumen
Firma Digital
34 / 36
Funciones resumen
La funci on MD5
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
MD5 considera el mismo tratamiento previo del mensaje que hace MD4 El algoritmo sigue b asicamente el esquema MD4 ejecutando una cuarta vuelta adicional
Vulnerability of software integrity and code signing applications to chosen-prex collisions for MD5 November 30, 2007.
Describe un procedimiento para encontrar mensajes distintos x y x tales que hMD 5 (x ) = hMD 5 (x )
Funciones resumen
Firma Digital
34 / 36
Funciones resumen
La funci on MD5
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
MD5 considera el mismo tratamiento previo del mensaje que hace MD4 El algoritmo sigue b asicamente el esquema MD4 ejecutando una cuarta vuelta adicional
Vulnerability of software integrity and code signing applications to chosen-prex collisions for MD5 November 30, 2007.
Funciones resumen
Describe un procedimiento para encontrar mensajes distintos x y x tales que hMD 5 (x ) = hMD 5 (x ) MD5 sigue siendo able como medio para validar la no-modicaci on de cheros propios cuyo contenido conocemos. Deja de ser able como base para cualquier tipo de rmas o certicados
Firma Digital
34 / 36
Funciones resumen
La funci on MD5
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
MD5 considera el mismo tratamiento previo del mensaje que hace MD4 El algoritmo sigue b asicamente el esquema MD4 ejecutando una cuarta vuelta adicional
Vulnerability of software integrity and code signing applications to chosen-prex collisions for MD5 November 30, 2007.
Funciones resumen
Describe un procedimiento para encontrar mensajes distintos x y x tales que hMD 5 (x ) = hMD 5 (x ) MD5 sigue siendo able como medio para validar la no-modicaci on de cheros propios cuyo contenido conocemos. Deja de ser able como base para cualquier tipo de rmas o certicados DNI electr onico utiliza SHA-1/RSA. Se recomienda no usarlo para rmar hashes MD5.
Firma Digital 34 / 36
Funciones resumen
La familia SHA
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Desarrollado por la NSA en 1993. Considera mensajes de longitud menor de 264 bits, produciendo inicialmente un resumen de 160 bits
Funciones resumen
Firma Digital
35 / 36
Funciones resumen
La familia SHA
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Desarrollado por la NSA en 1993. Considera mensajes de longitud menor de 264 bits, produciendo inicialmente un resumen de 160 bits En 1995, NSA sustituye SHA-0 por SHA-1, b asicamente igual a SHA-0 con cambios menores
Funciones resumen
Firma Digital
35 / 36
Funciones resumen
La familia SHA
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Desarrollado por la NSA en 1993. Considera mensajes de longitud menor de 264 bits, produciendo inicialmente un resumen de 160 bits En 1995, NSA sustituye SHA-0 por SHA-1, b asicamente igual a SHA-0 con cambios menores Se ha propuesto un algoritmo de cumplea nos que encuentra colisiones en SHA-1 con un esfuerzo menor a la fuerza bruta (orden de 269 operaciones en lugar de 280 )
Funciones resumen
Firma Digital
35 / 36
Funciones resumen
La familia SHA
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Desarrollado por la NSA en 1993. Considera mensajes de longitud menor de 264 bits, produciendo inicialmente un resumen de 160 bits En 1995, NSA sustituye SHA-0 por SHA-1, b asicamente igual a SHA-0 con cambios menores Se ha propuesto un algoritmo de cumplea nos que encuentra colisiones en SHA-1 con un esfuerzo menor a la fuerza bruta (orden de 269 operaciones en lugar de 280 ) Este algoritmo encuentra colisiones en SHA-0 con 239 operaciones (!!)
Funciones resumen
Firma Digital
35 / 36
Funciones resumen
La familia SHA
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Funciones resumen
Desarrollado por la NSA en 1993. Considera mensajes de longitud menor de 264 bits, produciendo inicialmente un resumen de 160 bits En 1995, NSA sustituye SHA-0 por SHA-1, b asicamente igual a SHA-0 con cambios menores Se ha propuesto un algoritmo de cumplea nos que encuentra colisiones en SHA-1 con un esfuerzo menor a la fuerza bruta (orden de 269 operaciones en lugar de 280 ) Este algoritmo encuentra colisiones en SHA-0 con 239 operaciones (!!) Pese a esto, atacar SHA-1 es 4 ordenes de magnitud m as dicil que atacar DES (...)
Firma Digital
35 / 36
Funciones resumen
La familia SHA
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Funciones resumen
Desarrollado por la NSA en 1993. Considera mensajes de longitud menor de 264 bits, produciendo inicialmente un resumen de 160 bits En 1995, NSA sustituye SHA-0 por SHA-1, b asicamente igual a SHA-0 con cambios menores Se ha propuesto un algoritmo de cumplea nos que encuentra colisiones en SHA-1 con un esfuerzo menor a la fuerza bruta (orden de 269 operaciones en lugar de 280 ) Este algoritmo encuentra colisiones en SHA-0 con 239 operaciones (!!) Pese a esto, atacar SHA-1 es 4 ordenes de magnitud m as dicil que atacar DES (...) Existen versiones de 256 bits (SHA-256) y de 512 bits (SHA-512) que se consideran inmunes (...) a ataques
Firma Digital 35 / 36
Firma Digital U.D. Computaci on Deniciones Firma digital mediante criptograf a de clave secreta Firma digital mediante criptograf a de clave p ublica
El esquema de rma RSA El esquema de rma de ElGamal Digital Signature Standar DSS
Funciones resumen
Firma Digital
36 / 36