La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Patrick Longa University of Waterloo. Agenda Criptosistemas Asimétricos: Definiciones, nociones de seguridad y principios básicos RSA, implementación.

Presentaciones similares


Presentación del tema: "Patrick Longa University of Waterloo. Agenda Criptosistemas Asimétricos: Definiciones, nociones de seguridad y principios básicos RSA, implementación."— Transcripción de la presentación:

1 Patrick Longa University of Waterloo

2 Agenda Criptosistemas Asimétricos: Definiciones, nociones de seguridad y principios básicos RSA, implementación de RSA Firmas digitales Logaritmos discretos Curvas elípticas (ECC) Básicos, Características Intercambio de llaves DH Aritmética en ECC Ataques Side-Channel: Ataques Side-Channel simples (SSCA) Aplicaciones, implementación e historia Casos de estudio: RFIDs y la industria automotriz

3 Criptografía no solo es encriptación También ofrece: Confidencialidad Autenticación No repudiación Integridad Clasificación Criptosistemas Simétricos Criptosistemas Asimétricos Ayer vimos...

4 Problemas con Sistemas Simétricos ¿Cómo se logra el Canal Seguro? Complejo/impráctico manejo/distribución de llaves. comunicaciones seguras entre n personas requieren n(n-1)/2 llaves ¿ Autenticación y no repudiación? no se puede lograr. encriptador desencriptador canal seguro Bob k Eve Alice c

5 Propiedades de autenticación y no repudiación: Firmas Digitales Manejo/distribución de llaves más fácilmente manejable. Sin embargo, mucho más lento que sistemas simétricos: criptosistemas híbridos CRIPTOSISTEMAS ASIMETRICOS encrypter decrypter m Llave publica de Alice c m Bob Alice Llave privada de Alice Eve

6 Definición Criptosistemas definidos por tres funciones: Generación de llaves: Función de encriptación: Función de desencriptación: m : mensaje M : conjunto de todos los mensajes c : texto encriptado C : conjunto de todos los textos encriptados. P : llave pública LL : conjunto de todos los pares de llaves. S : llave secreta l : parámetro de seguridad de la llave Criptosistemas Asimétricos

7 En 1976: Diffie, Hellman y Merkle presentaron una solución al problema de distribución de llaves para criptosistemas simétricos Definieron por primera vez la idea de un Criptosistema Asimétrico (o de llave pública) Sin embargo, ellos mismos no fueron capaces en ese momento de proponer un sistema práctico que encajara en su definición En 1977: Rivest, Shamir y Adleman descubrieron el primer sistema práctico de llave pública: RSA La Historia detrás

8 Nociones de seguridad Para romper un sistema de seguridad… (Muy arcaicamente) se cuentan los pasos requeridos por el algoritmo más eficiente para romper el criptosistema El nivel de seguridad se expresa en bits(# pasos) Por ejemplo: el ataque Pollard rho requiere pasos para romper ECC. Si ECC es implementado con tamaño(p) = bits y el nivel de seguridad es de 80 bits

9 Nociones de seguridad Mas genéricamente: La complejidad de cualquier función puede ser expresada por: Para categorizarla como: Exponencial en Subexponencial Polinomial en

10 Nociones de seguridad Por ejemplo: el ataque Number Field Sieve (NFS) requiere pasos para romper RSA. claramente subexponential. Si RSA se quiere con 80 bits de seguridad, ¿cuantos bits en el parámetro de seguridad l de la llave se requieren? bits es requerido para alcanzar 80 bits de seguridad

11 Basado en la dificultad para factorizar números de gran tamaño. Dado un parámetro de seguridad l: Generación de llaves: Escoger dos números primos p y q, y calcula n = p.q Escoger un número aleatorio e que sea coprimo a la llave pública es (n, e) la llave privada es Notar que : RSA

12 Función de encriptación: Dado un mensaje m: Función de desencriptación: Dado el texto encriptado c: Chequeando el proceso encriptacion/desencriptacion: RSA

13 Operación central: exponenciación Método directo (e veces) sólo multiplicaciones modulares muy caro! Método binario, donde y squarings y multiplicaciones modulares Implementación de RSA

14 Método binario: Implementación de RSA

15 La historia alternativa de PKC El concepto de criptosistemas de llave pública fue en realidad descubierto por James Ellis (Government Communications Headquarters – GCHQ) al final de los 60s (alrededor de 7 años antes!). Clifford Cocks retomó la labor de llevar a la realidad la innovativa definición, y así descubrió RSA en 1973 (3-4 años antes que Rivest, Shamir y Adleman). Finalmente, Malcolm Williamson, tratando de encontrar alguna falla en el análisis de Cocks, descubre el Intercambio de llaves DH en 1975 (un año antes que Diffie y Hellman). Sin embargo, GCHQ nunca supo sacar provecho de sus descubrimientos !

16 Caso de estudio: Criptografía y la Industria Automotriz

17 Definición Un firma digital esta definida por tres funciones: Generación de llaves: Función para firmar: Función de verificación: Se debe cumplir: m : mensaje σ : firma del mensaje. PK : llave pública LL : conjunto de todos los pares de llaves. SK : llave secreta l : parámetro de seguridad de la llave Firmas Digitales

18 Dado un parámetro de seguridad l: Generación de llaves: Escoger dos números primos p y q, y calcular n = p.q Escoger un número aleatorio e que sea coprimo a la llave pública es (n, e) la llave privada es Recordar que : Firma Digital RSA

19 Función para firmar: Dado el hash del mensaje m: H(m) La firma es el par (σ, H(m)) Función de verificación: Dada una firma (σ, H(m)), aceptarla si y solo si: Chequeando el proceso firma/verificacion: Firma Digital RSA

20 Basado en la dificultad para calcular logaritmos en determinados grupos cíclicos. Dado el grupo cíclico G de orden n, encontrar x dados g y. O lo que es lo mismo, calcular: Ejemplos: DLOGs son fáciles de calcular ; ya que (h veces) = 1. h = h se especula que es difícil de calcular, donde E es una curva elíptica sobre el grupo finito. Se considera que el calculo de DLOG es considerablemente más difícil en este grupo Logaritmos discretos

21 El criptosistema de curvas elípticas (ECC) es un sistema de llave publica que fue independientemente propuesto por Miller y Koblitz (1985): Basado en la dificultad para calcular logaritmos discretos sobre una curva elíptica: Dada la curva elíptica E definida sobre el campo finito K, y P y Q que son puntos de E(K) tal que: Q = dP El problema de determinar d dados los puntos P y Q es considerado altamente difícil. La multiplicación escalar es la operación dominante en ECC. En general, d es usada como la llave secreta y Q como la llave pública Curvas Elípticas (ECC)

22 No se conoce ataque subexponential contra ECC más atractivo que RSA porque requiere llaves significantemente más cortas para brindar el mismo nivel de seguridad más rápida ejecución menores requerimientos de memoria Ideal para dispositivos portátiles como PDAs, smartcards, celulares, etc. Algunos ejemplos de protocolos usando ECC: ECDSA EC Digital Signature Algorithm ECDH Intercambio de llaves EC Diffie-Hellman Características (ECC) Tamaño de llave (bits) ECC RSA

23 Público: un grupo E(K) y un punto P de orden n Bob y Alice poseen el mismo valor bQ Alice = aQ Bob = abP Esta llave compartida puede ahora ser utilizada para establecer una rápida y segura comunicación usando un criptosistema simétrico: hybrid cryptosystem Un ejemplo: Intercambio de llaves EC Diffie-Hellman a Bob Enviar Q Alice Enviar Q Bob a Alice Calcular bQ Alice Calcular aQ Bob Escoger secreto 0 < b < n Escoger secreto 0 < a < n Calcular Q Bob = bP Calcular Q Alice = aP

24 Una curve elíptica E sobre un campo finito K es definido por la ecuación: (1) Donde e l conjunto de puntos (x,y) que resuelven (1) y un punto al infinito (que es la identidad) forman un grupo finito especializado En general, hay dos grupos finitos para construir ECC: Binary fields : campos finitos de orden ECC: básicos

25 Prime fields : consiste de los enteros modulo p (primo) : {0,1,…,p-1}, con adición y multiplicación sobre modulo p Donde: ECC: básicos

26 La estructura aritmética de ECC consiste de 3 niveles: ARITMETICA DE CAMPO ARITMETICA DE PUNTO ARITMETICA ESCALAR Algoritmos para multiplicación escalar: dP = P + P + … + P ( d times) Doubling y adición de puntos ECC: 2P, P+Q Adición, multiplicación, squaring, inversión de campo ECC: básicos

27 1 st nivel: Aritmética escalar Objetivo: ejecutar la multiplicación escalar dP eficientemente Método directo dP = P + P + … + P (d veces ) solo adiciones de puntos Método binario adiciones y doublings de puntos Ejemplo: 45 = (101101) 2 [45]P = 2(2(2(2(2P) + P) + P)) + P ECC: básicos

28 Adición de puntos: P+Q 2 nd nivel: Aritmética de punto Objetivo: calcular adiciones y doublings de puntos eficientemente tradicional representación con dos coordenadas (x,y) : Affine Doubling de puntos: 2P ECC: básicos

29 3 rd nivel: Aritmética de campo Objetivo: calcular inversiones, multiplicaciones, squarings, adiciones, substracciones and reducciones de campo eficientemente Para campos primos : operaciones son módulo el número primo p Un ejemplo: operaciones de campo modulo = 14 3 mod 11 6 – 8 = mod 11 6 x 8 = 48 4 mod 11 6^2 = 36 3 mod 11 6^( - 1) 2 mod 11 ( 6 x 2 = 12 1 mod 11 ) ECC: básicos

30 El Ataque de Cumpleaños ¿Cuántas personas deben agruparse (aleatoriamente) para que la posibilidad de tener al menos dos con el mismo cumpleaños sea alto? Sólo 23 para tener una probabilidad de éxito superior al 50% !! Colisiones o valores repetidos aparecen más pronto de lo esperado; por ejemplo: Supongamos un banco autentica sus transacciones bancarias con 64 bits (algo de 18 trillones) Con el Principio del Cumpleaños un atacante en realidad solo necesita ver (algo de 4000 millones) de transacciones

31 Caso de estudio: RFIDs, firmas digitales y la industria farmacéutica

32 Side-Channel Attacks (SCA) Establecidos criptosistemas (AES, ECC, RSA, etc.) están basados en problemas matemáticos de gran dificultad más altos niveles de seguridad son (hasta el día de hoy) imposibles de romper matemáticamente Pero dispositivos de la vida real despiden información adicional que puede correlacionarse con las computaciones internas: Tiempo de ejecución Fallas forzadas Consumo de potencia Emisión electromagnética, etc., etc.

33 Modelo de Ataque Consumo de potencia, emision EM, tiempo de ejecucion, etc. INFORMACION SIDE-CHANNEL Data de entrada Data encriptada ATACANTEDATA SECRETA

34 SSCA: explota información de solo una medición para revelar la llave secreta En la multiplicación escalar de ECC, secuencia de D and A depende directamente de los bits de la llave: si es posible distinguir D de A, se puede descubrir el valor de la llave secreta DSCA (Differential Side-Channel Attacks) SCA SSCA (Simple Side-Channel Attacks) D D,A DD …… Clasificación

35 Regular secuencia de operaciones (ejemplo: Double-and-Add-Always) altamente caro Operaciones indistinguibles vía instrucciones falsas: Hacer los consumos de potencia D and A indistinguibles con la inserción de instrucciones falsas costoso Medidas contra SSCA

36 Side-Channel Atomicity: Construir D y A con bloques (atómicos) homogéneos conteniendo la misma secuencia de operaciones de campo un atacante no va a poder distinguir entre adiciones and doublings. de bajo costo MANAMANA MANAMANA MANAMANA MANAMANA MANAMANA MANAMANA MANAMANA MANAMANA MANAMANA MANAMANA MANAMANA MANAMANA …… ADICION DOUBLING DOUBLING Medidas contra SSCA

37 Información acerca Side-channel attacks: Información acerca de ECC: Información acerca de RSA y aplicaciones de criptografía: Grupo de investigación criptográfica de la U. de Waterloo: Algunas referencias

38 Patrick Longa University of Waterloo Preguntas y Respuestas Presentación disponible en:


Descargar ppt "Patrick Longa University of Waterloo. Agenda Criptosistemas Asimétricos: Definiciones, nociones de seguridad y principios básicos RSA, implementación."

Presentaciones similares


Anuncios Google