380 likes | 687 Views
Criptografía : Fundamentos , aplicaciones e implementación. Patrick Longa University of Waterloo. Agenda. Criptosistemas Asimétricos: Definiciones, nociones de seguridad y principios básicos RSA, implementación de RSA Firmas digitales Logaritmos discretos Curvas elípticas (ECC)
E N D
Criptografía:Fundamentos, aplicacionese implementación Patrick Longa University of Waterloo
Agenda • Criptosistemas Asimétricos: • Definiciones, nociones de seguridad y principios básicos • RSA, implementación de RSA • Firmas digitales • Logaritmos discretos • Curvas elípticas (ECC) • Básicos, Características • Intercambio de llaves DH • Aritmética en ECC • Ataques Side-Channel: • Ataques Side-Channel simples (SSCA) • Aplicaciones, implementación e historia • Casos de estudio: RFIDs y la industria automotriz
Ayer vimos... • Criptografía no solo es encriptación También ofrece: • Confidencialidad • Autenticación • No repudiación • Integridad • Clasificación • Criptosistemas Simétricos • Criptosistemas Asimétricos
Eve Bob Alice encriptador desencriptador k canal seguro Problemas con Sistemas Simétricos • ¿Cómo se logra el “Canal Seguro”? • Complejo/impráctico manejo/distribución de llaves. comunicaciones seguras entre n personas requieren n(n-1)/2 llaves • ¿ Autenticación y no repudiación? no se puede lograr. c
m m c encrypter decrypter Llave publica de Alice CRIPTOSISTEMAS ASIMETRICOS Eve • Propiedades de autenticación y no repudiación: Firmas Digitales • Manejo/distribución de llaves más fácilmente manejable. • Sin embargo, mucho más lento que sistemas simétricos: criptosistemashíbridos Alice Bob Llave privada de Alice
Criptosistemas Asimétricos Criptosistemas Asimétricos • Definición Criptosistemas definidos por tres funciones: • Generación de llaves: • Función de encriptación: • Función de desencriptación: m : mensaje M : conjunto de todos los mensajes c : texto encriptado C : conjunto de todos los textos encriptados. P : llave pública LL : conjunto de todos los pares de llaves. S : llave secreta l : parámetro de seguridad de la llave
Criptosistemas Asimétricos La Historia detrás En 1976: • Diffie, Hellman y Merkle presentaron una solución al problema de distribución de llaves para criptosistemas simétricos • Definieron por primera vez la idea de un Criptosistema Asimétrico (o de llave pública) Sin embargo, ellos mismos no fueron capaces en ese momento de proponer un sistema práctico que encajara en su definición En 1977: • Rivest, Shamir y Adleman descubrieron el primer sistema práctico de llave pública: RSA
Criptosistemas Asimétricos Nociones de seguridad • Para romper un sistema de seguridad… • (Muy arcaicamente) se cuentan los “pasos” requeridos por el algoritmo más “eficiente” para romper el criptosistema • El nivel de seguridad se expresa en bits(# pasos) Por ejemplo: el ataque Pollard rho requiere pasos para romper ECC. Si ECC es implementado con tamaño(p) = bits y el nivel de seguridad es de 80 bits
Criptosistemas Asimétricos Nociones de seguridad • Mas genéricamente: La complejidad de cualquier función puede ser expresada por: Para categorizarla como: • Exponencial en • Subexponencial • Polinomial en
Criptosistemas Asimétricos Nociones de seguridad Por ejemplo: el ataque NumberFieldSieve (NFS) requiere pasos para romper RSA. claramente subexponential. Si RSA se quiere con 80 bits de seguridad, ¿cuantos bits en el parámetro de seguridad l de la llave se requieren? bits es requerido para alcanzar 80 bitsde seguridad
Criptosistemas Asimétricos RSA • Basado en la dificultad para factorizar números de gran tamaño. Dado un parámetro de seguridad l: • Generación de llaves: Escoger dos números primos p y q,y calcula n = p.q Escoger un número aleatorio e que sea coprimo a la llave pública es (n, e) la llaveprivadaes Notarque :
Criptosistemas Asimétricos RSA • Función de encriptación: Dado un mensaje m: • Función de desencriptación: Dado el texto encriptado c: Chequeando el proceso encriptacion/desencriptacion:
Criptosistemas Asimétricos Implementación de RSA • Operación central: exponenciación Método directo (e veces) sólo multiplicaciones modulares muy caro! Método binario , donde y squarings y multiplicaciones modulares
Criptosistemas Asimétricos Implementación de RSA Método binario:
La historia alternativa de PKC El concepto de criptosistemas de llave pública fue en realidad descubierto por James Ellis (Government Communications Headquarters – GCHQ) al final de los 60’s (alrededor de 7 años antes!). Clifford Cocks retomó la labor de llevar a la realidad la innovativa definición, y así descubrió RSA en 1973 (3-4 años antes queRivest, Shamir y Adleman). Finalmente, Malcolm Williamson, tratando de encontrar algunafalla en el análisis de Cocks, descubre el Intercambio de llaves DH en 1975 (un año antes queDiffie y Hellman). Sin embargo, GCHQ nunca supo sacar provecho de sus descubrimientos !
Criptosistemas Asimétricos Firmas Digitales • Definición Un firma digital esta definida por tres funciones: • Generación de llaves: • Función para firmar: • Función de verificación: Se debecumplir: m : mensaje σ: firma del mensaje. PK : llave pública LL : conjunto de todos los pares de llaves. SK : llave secreta l : parámetro de seguridad de la llave
Criptosistemas Asimétricos Firma Digital RSA Dado un parámetro de seguridad l: • Generación de llaves: Escoger dos números primos p y q,y calcular n = p.q Escoger un número aleatorio e que sea coprimo a la llave pública es (n, e) la llaveprivadaes Recordarque :
Criptosistemas Asimétricos Firma Digital RSA • Función para firmar: Dado el hash del mensaje m: H(m) La firma es el par (σ, H(m)) • Función de verificación: Dada una firma (σ, H(m)), aceptarla si y solo si: Chequeando el proceso firma/verificacion:
Criptosistemas Asimétricos Logaritmos discretos • Basado en la dificultad para calcular logaritmos en determinados grupos cíclicos. Dado el grupo cíclico G de orden n, encontrar x dados g y . O lo que es lo mismo, calcular: Ejemplos: • DLOGs son fáciles de calcular ; ya que (h veces) = 1. h = h • se especula que es difícil de calcular • , donde E es una curva elíptica sobre el grupo finito . Se considera que el calculo de DLOG es considerablemente más difícil en este grupo
Criptosistemas Asimétricos Curvas Elípticas (ECC) El criptosistema de curvas elípticas (ECC) es un sistema de llave publica que fue independientemente propuesto por Miller y Koblitz (1985): • Basado en la dificultad para calcular logaritmos discretos sobre una curva elíptica: Dada la curva elíptica E definida sobre el campo finito K, y P y Q que son puntos de E(K) tal que: Q = dP El problema de determinar d dados los puntos P y Q es considerado altamente difícil. • La multiplicación escalar es la operación dominante en ECC. • En general, d es usada como la llave secreta y Q como la llave pública
Criptosistemas Asimétricos Características (ECC) No se conoce ataque subexponential contra ECC más atractivo que RSA porque requiere llaves significantemente más cortas para brindar el mismo nivel de seguridad más rápida ejecución menores requerimientos de memoria Ideal para dispositivos portátiles como PDAs, smartcards, celulares, etc. Algunos ejemplos de protocolos usando ECC: • ECDSA EC Digital Signature Algorithm • ECDH Intercambio de llaves EC Diffie-Hellman
Criptosistemas Asimétricos Un ejemplo: Intercambio de llaves EC Diffie-Hellman Público: un grupo E(K) y un punto P de orden n Bob y Alice poseen el mismo valor bQAlice = aQBob = abP Esta llave compartida puede ahora ser utilizada para establecer una rápida y segura comunicación usando un criptosistema simétrico: hybrid cryptosystem Escoger secreto 0 < b < n Escoger secreto 0 < a < n Calcular QBob= bP Calcular QAlice= aP Enviar QBoba Alice a Bob Enviar QAlice Calcular bQAlice Calcular aQBob
Criptosistemas Asimétricos ECC: básicos Una curve elíptica E sobre un campo finito K es definido por la ecuación: (1) Donde el conjunto de puntos (x,y) que resuelven (1) y un punto al infinito (que es la identidad) forman un grupo finito especializado En general, hay dos grupos finitos para construir ECC: • Binary fields : campos finitos de orden
Criptosistemas Asimétricos ECC: básicos • Prime fields :consiste de los enteros modulo p (primo): {0,1,…,p-1}, con adición y multiplicación sobre modulo p Donde:
Algoritmos para multiplicación escalar: dP = P + P + … + P (d times) ARITMETICA ESCALAR Doubling y adición de puntos ECC: 2P , P+Q ARITMETICA DE PUNTO Adición, multiplicación, squaring, inversión de campo ARITMETICA DE CAMPO Criptosistemas Asimétricos ECC: básicos La estructura aritmética de ECC consiste de 3 niveles:
Criptosistemas Asimétricos ECC: básicos 1stnivel: Aritmética escalar Objetivo:ejecutar la multiplicación escalar dP eficientemente • Método directo dP = P + P + … + P (dveces) solo adiciones de puntos • Método binario adiciones y doublings de puntos Ejemplo: 45 = (101101)2 [45]P = 2(2(2(2(2P) + P) + P)) + P
ECC: básicos Adición de puntos: P+Q Doubling de puntos: 2P Criptosistemas Asimétricos 2nd nivel: Aritmética de punto Objetivo:calcular adiciones y doublings de puntos eficientemente tradicional representación con dos coordenadas (x,y) : Affine
Criptosistemas Asimétricos ECC: básicos 3rd nivel: Aritmética de campo Objetivo:calcular inversiones, multiplicaciones, squarings, adiciones, substracciones and reducciones de campo eficientemente Para campos primos : operaciones son módulo el número primo p Un ejemplo: operaciones de campo modulo 11 6 + 8 = 14 3 mod 11 6 – 8 = -2 9 mod 11 6 x 8 = 48 4 mod 11 6^2 = 36 3 mod 11 6^(-1) 2 mod 11 (6 x 2 = 12 1 mod 11 )
El Ataque de Cumpleaños ¿Cuántas personas deben agruparse (aleatoriamente) para que la posibilidad de tener al menos dos con el mismo cumpleaños sea alto? Sólo 23 parateneruna probabilidad de éxito superior al 50% !! “Colisiones” o “valoresrepetidos” aparecenmás pronto de lo esperado; porejemplo: Supongamos un bancoautenticasustransaccionesbancarias con 64 bits (algo de 18 trillones) Con el Principio del Cumpleaños un atacante en realidad solo necesita ver (algo de 4000 millones) de transacciones
Caso de estudio:RFIDs, firmas digitales y la industria farmacéutica
Side-Channel Attacks (SCA) • Establecidos criptosistemas (AES, ECC, RSA, etc.) están basados • en problemas matemáticos de gran dificultad • más altos niveles de seguridad son (hasta el día de hoy) • imposibles de romper “matemáticamente” • Pero dispositivos de la vida real despiden información adicional que puede correlacionarse con las computaciones internas: • Tiempo de ejecución • Fallas forzadas • Consumo de potencia • Emisión electromagnética, etc., etc.
Data de entrada Data encriptada ATAQUES Side-CHANNEL Modelo de Ataque Consumo de potencia, emision EM, tiempo de ejecucion, etc. ATACANTE DATA SECRETA INFORMACION SIDE-CHANNEL
Clasificación DSCA (Differential Side-Channel Attacks) SCA SSCA (Simple Side-Channel Attacks) … … D D D D,A D,A ATAQUES Side-CHANNEL SSCA:explota información de solo una medición para revelar la llave secreta En la multiplicación escalar de ECC, secuencia de D and A depende directamente de los bits de la llave: si es posible distinguir D de A, se puede descubrir el valor de la llave secreta 0 0 1 1 0
Medidas contra SSCA ATAQUES Side-CHANNEL • Regular secuencia de operaciones (ejemplo: Double-and-Add-Always) altamente caro • Operaciones indistinguibles vía instrucciones “falsas”: Hacer los consumos de potencia D and A indistinguibles con la inserción de instrucciones “falsas” costoso
M A N A M A N A M A N A M A N A M A N A M A N A M A N A M A N A M A N A M A N A M A N A M A N A ADICION DOUBLING DOUBLING … … ATAQUES Side-CHANNEL Medidas contra SSCA • Side-Channel Atomicity: Construir D y A con bloques (“atómicos”) homogéneos conteniendo la misma secuencia de operaciones de campo un atacante no va a poder distinguir entre adiciones and doublings. de bajo costo
Algunas referencias • Información acerca Side-channel attacks: • http://www.crypto.ruhr-uni-bochum.de/en_sclounge.html • Informaciónacerca de ECC: • http://www.certicom.com/index.php?action=ecc,home • Información acerca de RSA y aplicaciones de criptografía: • http://www.rsa.com/rsalabs/node.asp?id=2260 • Grupo de investigación criptográfica de la U. de Waterloo: • http://www.cacr.math.uwaterloo.ca/
Criptografía:Fundamentos, aplicacionese implementación Preguntas y Respuestas Presentación disponible en: http://www.patricklonga.bravehost.com Patrick Longa University of Waterloo