Protocolos criptográficos para uso futuro (y actual) [GuadalajaraCON 2013]

Protocolos criptográficos para uso futuro y actual
Eduardo Ruiz Duarte
Facultad de Ciencias UNAM
19 de Abril 2013, GuadalajaraCON México
Eduardo Ruiz Duarte (Facultad de Ciencias UNAM)Protocolos criptográficos para uso futuro y actual
/ 39

Agenda
Introducción
Conceptos fundamentales
Uso de problemas no determin´ısticos en criptograf´ıa
Intercambio de llaves
Repartición de secretos entre n personas
Pruebas Zero-Knowledge
Criptograf´ıa visual
Criptoanálisis y paradoja del cumpleanos
/ 39

Introducción
La criptograf´ıa generalmente se relaciona con cifrado de información pero
ésta tiene más usos, nosotros trataremos de dar a conocer otros con el fin
de promover la investigación en estos.
/ 39

Un grupo G es un conjunto con una operaci´on binaria * que cumple:
Para cualesquiera dos elementos g, h ∈ G tenemos que g ∗ h ∈ G
∃e ∈ G tal que g ∗ e = g ∀g ∈ G
Si g, h, k ∈ G entonces (g ∗ h) ∗ k = g ∗ (h ∗ k)
Si g ∈ G existe un g−1 ∈ G tal que g ∗ g−1 = e
Si se cumpliera que:
Para todo g, h ∈ G g ∗ h = h ∗ g, decimos que G es un grupo abeliano
Ejemplo
< R+, ∗ > Es claro que todas las propiedades se cumplen, de hecho es un
grupo abeliano y si a ∈ R+ su inverso a−1 es 1/a ya que a ∗ (1/a) = 1
/ 39

Un grupo < G, ∗ > es c´ıclico si puede ser generado por un s´olo elemento
b ∈ G, es decir que si a ∈ G entonces a = bn donde bn = b ∗ b ∗ ... ∗ b
(nveces), y denotaremos a G como < b >
/ 39

Ejemplo de grupo c´ıclico
El conjunto E = {(x, y) ∈ R × R : y2 = x5 − 2}
forma un grupo c´ıclico, de hecho en vez de la aritm´etica usual y aburrida
de la recta en la criptograf´ıa moderna es usado preferentemente, les
llaman curvas el´ıpticas.
/ 39

Un morfismo de un grupo < G, ∗ > a otro grupo < H, ⊗ > es es una
función φ : G → H tal que
φ(g1 ∗ g2) = φ(g1) ⊗ φ(g2) (1)
Si φ es biyectivo decimos que es un isomorfismo
Ejemplo de morfismo de < R, + > con < R+, ∗ >
Sea φ(x) = ex con φ : R → R+
φ(a + b) = ea+b = ea ∗ eb = φ(a) ∗ φ(b)
/ 39

La aritmética módulo p consiste en las operaciones del conjunto
Zp = {¯1, ¯2, ..., ¯n − 1} donde p es primo y definimos el grupo < Zp, ∗ >
con la operación ¯a ∗ ¯b = ¯r como a/b = q y bq = a + r básicamente es el
residuo de dividir a y b con p
Ejemplo Z13
En Z13 5 ∗ 3 = 2 ya que 15/13 = 1 y sobra 2, y el inverso de 7 es 2 ya que
7 ∗ 2 = 1 y 1 es el neutro
/ 39

Una gráfica G es un par ordenado G = (V , E) donde:
V es un conjunto de vértices o nodos
E es un conjunto de aristas que relacionan los vértices
/ 39

Ejemplo
V := {1, 2, 3, 4, 5, 6}
E := {(1, 2), (1, 5), (2, 3), (2, 5), (3, 4), (4, 5), (4, 6)}
Computacionalmente es ´util verla as´ı:
/ 39

Dos gráficas G = (VG , EG ) y H = (VH, EH) son isomorfas si existe una
biyección de vértices ψ : VG → VH y siempre que la arista (a, b) ∈ EG
entonces (ψ(a), ψ(b)) ∈ EH
Ejemplo, gráficas G y H
ψ(a) = 1, ψ(b) = 6, ψ(c) = 8, ψ(d) = 3
ψ(g) = 5, ψ(h) = 2, ψ(i) = 4, ψ(j) = 7
y vemos que efectivamente por ejemplo
(a, i) ∈ EG ⇒ (ψ(a), ψ(i)) = (1, 4) ∈ EH
/ 39

Problemas no determin´ısticos en criptograf´ıa
En criptograf´ıa se abordan problemas que aún no tiene solución en tiempo
determin´ıstico polinomial es decir, los parametros privados están
protegidos por un problema que no es Turing-tratable, por lo que veremos
3 de ellos y después veremos que hacer con ellos
/ 39

Problema de logaritmo discreto:
Sea < G, ∗ > c´ıclico , |G| = n , b ∈ G y < b >= G ⇒ ∀g ∈ G g = bk , k
entero y deﬁnimos el morﬁsmo de grupos:
logb : G → Zn
g → [k]
de tal manera que bk = g mod n
/ 39

Ejemplo de PLD
Tomemos el grupo < Z101, ∗ > y como generador al 39, entonces, cuál es
el valor de log39(44) =?? es decir quién es x en 39x ≡ 44 mod 101, la
respuesta es x = 89, pero este valor para grupos Zp con la p muy grande
(1024 bits en adelante) es intratable para una máquina de turing actual
/ 39

Problema de isomorfismo de gráficas
Sean G y H dos gráficas finitas, determina si son o no isomórficas, es
decir, establece el isomorfismo entre vértices que respeten aristas en ambas
gráficas.
Este problema está resuelto para cierto tipo de gráficas (planas, arboles,
entre otros) pero en general no lo está y se cree que no se puede resolver
en tiempo polinomial, de hecho el más rápido de los algoritmos a la fecha
es exponencial 2O(
√
n log(n))
, Luks-1983
/ 39

Ejemplo
Determina si son isomorfas las dos gráficas, es decir, topologicamente
puedes mover los vertices ”arrastrando” sus aristas para que las dos se
vean identicas, o algebraicamente puedes encontrar una función que
relacione sus vértices y aristas???
/ 39

Este problema es especial porque no tiene solución única y tiene un gran
uso en criptograf´ıa:
Solución de un sistema de ecuaciones lineales en k variables con menos de
k ecuaciones
Ejemplo
x + y = 0
Éste tiene una infinidad de soluciones
/ 39

Ahora veamos qu´e podemos hacer con esta teor´ıa
/ 39

Imagina un escenario donde dos personas A = Alberto y B = Berenice
quieren transmitirse un archivo cifrado pero para esto ambos necesitan un
password en común pero el problema es que ambos están siendo
monitoreados por completo por E = Eulalio, as´ı que TODO lo que ellos
digan será escuchado por él qué pueden hacer?
/ 39

Protocolo Diffie-Hellman-Merkle-Ellis-Williamson
A y B se ponen de acuerdo en un < Z∗
p, ∗ > y en un g ∈ G tal que g
es generador, (Nótese que E ya tiene esta información)
A toma un a ∈ Z, calcula A1 = ga mod p y manda A1 a B (E ya
tiene A1)
B toma un b ∈ Z, calcula B1 = gb mod p y manda B1 a A (E ya
tiene B1)
A calcula Sa = Ba
1 mod p
B calcula Sb = Ab
1 mod p
Sa = Sb ya que Sa = (gb)a = Sb = (ga)b = gab = S
Alberto y Berenice ya tienen un secreto S y no importa que Eulalio
conozca A1, B1, p y g ya que E tendr´ıa que saber calcular logaritmos
discretos en < Z∗
p, ∗ >
/ 39

Reparticion de secretos
Recordemos antes un requerimiento:
¿C´omo podemos generar una funci´on continua que pase por ciertos puntos
dados en el plano?
/ 39

Interpolación de Lagrange.
Dados n + 1 puntos (xi , yi ) con xi = xj queremos un p(x) tal que
p(xi ) = yi ∀i
p(x) =
n
j=0
yj Lj (x)
Donde Lj (x) es el j-ésimo polinomio de Lagrange definido por los puntos
dados
Lj (x) =
n
i=0,i=j
x − xi
xj − xi
Este polinomio existe no es parte de la presentación demostrarlo pero para
los curiosos, la respuesta está detrás de la matriz de Vandermonde.
/ 39

Dividiremos a D (una clave, un número) en n partes D1, D2, ..., Dn
1. El saber k o más piezas Di hace que D sea fácilmente computble
2. El saber k-1 o menos piezas Di hace que D sea imposible de computar
Si k=n entonces todos son requeridos para construir el secreto.
/ 39

Esquema Shamir para compartir secretos
Veamos un ejemplo del algoritmo.
-Supongamos que el secreto es s = 1234
-Dividiremos en n=6 partes pero queremos que con tan solo k=3 partes
sea suficiente construir el secreto
-Calculamos k-1=2 números aleatorios a1 = 166, a2 = 94
-Construimos un polinomio f (x) = s + a1x + a2x2 = 1234 + 166x + 94x2
-Sacamos n=6 puntos de ese polinomio para cada entidad, por facilidad
será f (i) = yi i = 1, 2...6
-Obtenemos (1,1494);(2,1942);(3,2578);(4,3402);(5,4414);(6,5614) y cada
quien le damos un punto.
/ 39

Reconstrucci´on de secreto:
Supongamos que 3 entidades quieren construir el secreto, ellos tienen
(2,1942);(4,3402);(5,4415)
-Computamos los polinomios de Lagrange Lj (x)
L0(x) = x2
6 − x
2 + 1
L1(x) = −x2
2 − 3x
2 − 5
L2(x) = x2
3 − 2x + 4
3
Ahora el polinomio de lagrange es:
f (x) =
2
j=0
yj Lj (x) = 1942(
x2
6
−
x
2
+ 1) + 3401(
−x2
2
−
3x
2
− 5) +
4414(
x2
3
− 2x +
4
3
) = 1234 + 166x + 94x2
y aqui tenemos s=1234
/ 39

Prueba Zero Knowledge
Ahora queremos resolver un problema que consiste en que alguien/algo
quiere demostrarle a un verificador que una declaración es verdadera, sin
revelar nada más que la veracidad de la declaración, esto sirve para
métodos de autenticación en los cuales alguien quiera demostrar que posee
las credenciales de acceso sin tener que revelar su passphrase a una
máquina secundaria
/ 39

A = Alberto le quiere demostrar a B = Berenice que dos gráficas Gs y Gt
son isomorfas pero no le quiere mostrar el isomorfismo π : Gs → Gt a B.
A y B conocen las gráficas Gs y Gt
A genera k gráficas S = {G1, G2, ..., Gk} simplemente permutando
los vértices, esto producir´ıa gráficas isomorfas
A le manda a B S
B le pide a A que para cada gráfica Gi ∈ S le de el isomorfismo
ψi t : Gi → Gt ó ψi s : Gi → Gs
SÓLO UNO para cada i
/ 39

Es importante que A no le de el isomorfismo a ambas gráficas Gt y Gs de
la misma Gi ya que fácilmente B podr´ıa deducir que:
Gs
Gi Gt
π
ψi s
ψ−1
i t
π : Gt → Gs
π = ψi s ◦ ψ−1
i t
Y está bien definida porque todos son isomorfismos
/ 39

Con esto B podrá corroborar que Gt y Gs son isomorfas porque todas las
gráficas de S son isomorfas, B pidió isomorfismos de cada una de las
Gi ∈ S a algún Gt o Gs (no ambos) y por transitividad del isomorfismo ,
Gt y Gs deben ser isomorfas y A habrá probado a B el isomorfismo sin
darlo expl´ıcitamente
/ 39

La criptograf´ıa visual nos permite poder repartir unsecreto en n personas y
que sólamente si éstas se juntan, visualmente puedan reconstruir el
secreto, básiamente funciona como si fuera aritmética módulo 2, pero en
la vida real, NEGRO XOR NEGRO no es blanco, por lo que hay que
reconstruir parcialmente el blanco, veamos esta tabla:
/ 39

Por cada Pixel de la imágen a descomponer en criptogramas visuales, si
éste es blanco, nos echamos un volado y escogemos uno de los 2 tipos de
posibles combinaciones para formar el blanco (renglón), y se escriben cada
pixel en cada archivo, lo mismo para el negro.
.
El resultado serán dos criptogramas visuales que no podrán reconstruir el
secreto por el simple hecho de que cada pixel está randomizada la manera
de construirse, por lo que si se necesitan N pixeles para ”deducir” la
imagen, y esta tiene K pixeles, habrá que encontrar la combinación de los
N Pixeles en los K pixeles lo cual como podrán imaginar es un problema
exponencial.
/ 39

Paradoja del cumpleanos
Cu´al es la probabilidad de que 2 personas cumplan anos el mismo d´ıa en
un conjunto de 23 personas?
/ 39

Para calcularlo, primero necesitamos saber cu´antas posibles parejas se
pueden formar con 23 personas, de tal manera que (a, b) sea igual que
(b, a), esto es simple combinatoria, y son las combinaciones de 23 en 2
C(23, 2) = 23!
(23−2)!2 = 23∗22
2 = 253
/ 39

Ahora la probabilidad de que 2 personas tengan diferente fecha de
cumpleanos es:
1 − 1
365 = 364
365 = 0.99726
Lo cual suena muy l´ogico, pero ahora, como el evento ”cumpleanios” en
todas las personas estamos considerandolo como algo al azar, es
independiente, es decir, ningun cumpleanios depende de otro por lo que
sabemos que si tenemos dos eventos A y B mutuamente excluyentes:
Prob(AyB) = Prob(A) ∗ Prob(B)
/ 39

Es decir la probabilidad de que en 23 personas haya un par que cumplan el
mismo d´ıa es de 364
365
253
= 0.4995 Y la fórmula para N personas es
364
365
C(N,2)
, por lo que es fácil ver que si N = 60, la probabilidad de que dos
personas cumplan anos el mismo d´ıa es de más del 99%
/ 39

Si no lo creen , intentenlo en su sal´on..., Es tan probable que suceda, a
que ganen un volado, aqu´ı el comportamiento del fen´omeno
/ 39

Paradoja el cumpleanos
A lo que voy con esto ya para concluir es que, los hashes como MD5,
SHA1, RIPEMD160, en teor´ıa todos sus valores tienen la misma
probabilidad de existir, por lo que podemos calcular el conjunto m´ınimo de
datos a generar para poder colisionarlo, es decir, encontrar 2 valores que
tengan el mismo hash, y siguiendo la misma dinámica te puedo decir que
en un hash de 128 bits cuyos valores son Pseudo Random, generando
combinaciones de 32 bytes por cada 2.6 × 1016 strings al menos tendré
una colisión, esto es por mas chafa o bueno sea el algoritmo...
/ 39

Problema abierto
Conjeturas El problema más importante de la historia de las matemáticas
modernas, actualmente sin responder, es la hipótesis de Riemann la cual
como corolario nos dice que tan densos son los números primos usando la
función zeta de Riemann, este problema de los números primos se ha ido
resolviendo a ”maquinazos” haciendo cada d´ıa el uso de las llaves más
grandes por lo que esto implica mayor cómputo, por lo que existen mejores
problemas para criptograf´ıa asimétrica como lo es el problema del
logaritmo discreto el cual veremos en mi otra presentación
/ 39

¡Gracias! Eduardo Ruiz Duarte
beck@math.co.ro
http://math.co.ro
blog: http://b3ck.blogspot.com
twitter: @toorandom
PGP key ﬁngerprint: 0xFEE7F2A0
/ 39

Protocolos criptográficos para uso futuro (y actual) [GuadalajaraCON 2013]

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (20)

Similar a Protocolos criptográficos para uso futuro (y actual) [GuadalajaraCON 2013]

Similar a Protocolos criptográficos para uso futuro (y actual) [GuadalajaraCON 2013] (20)

Más de Websec México, S.C.

Más de Websec México, S.C. (20)

Último

Último (20)

Protocolos criptográficos para uso futuro (y actual) [GuadalajaraCON 2013]