SlideShare una empresa de Scribd logo

Criptoanálisis: clave para la seguridad de redes

G Hoyos A
G Hoyos A
1 de 9
Descargar para leer sin conexión
Redes Criptoanálisis: factor clave para la ingeniería de seguridad de redes de ordenadores EDICIONES TÉCNICAS REDE • Marzo 2000 1
Redes Criptoanálisis: factor clave para la ingeniería de seguridad de redes de ordenadores Dr. Javier Areitio Bertolín El presente artículo analiza la Tecno- lar características o manifestaciones ma muy predecible. También puede El Dr. Javier Areitio logía de Criptoanálisis aplicada al no aleatorias (por ejemplo, contado- ser posible adivinar que algun bloque Bertolín,autor de este campo de las Redes de Ordenadores. res de frecuencia, repeticiones, pa- de texto cifrado contiene una palabra artículo, es Director de Se identifican, describen y clasifican trones, fenómenos simétricos), etc. común. Redes y Sistemas. los diferentes métodos de ataque Los ataques a un sistema crip- ESIDE. Facultad de más utilizados. También se sintetiza tográfico intentan explotar una de- Texto Ataque a Texto Sin Cifrar Ingeniería. Universidad e implementa un módulo software bilidad del mismo y pueden ser de Conocido de Deusto para la ruptura criptoanalítica de dos tipos: El atacante (criptoanalista, ad- PRNGs lineales. − Ataques al propio sistema, versario o espía) conoce o puede adi- aquí se pretende deducir una debili- vinar/inferir el texto sin cifrar para En la última década se ha producido dad en el diseño del sistema. algunas partes del texto cifrado. La un crecimiento especialmente impor- − Ataques a la implementación tarea consiste en descifrar el resto de tante en investigación en todos los del mismo, aquí la debilidad que se los bloques de texto cifrado utilizan- aspectos relativos a la Criptología y pretende obtener es de la implemen- do esta información. Esto se puede el Criptoanálisis ha sido una de las tación particular del mismo; este tipo hacer determinando la clave utiliza- áreas más activas. Muchos sistemas de ataques suele tener más éxito, un da para cifrar los datos o utilizando criptográficos (o criptosistemas, por ejemplo son las debilidades encon- algún “atajo”. ejemplo DES) que se creían seguros tradas en las primeras implementa- se han visto rotos y se ha desarrolla- ciones del protocolo de seguridad Texto Ataque a Texto Sin Cifrar Elegido do un elevado conjunto de herra- SSL del navegador Netscape. El atacante puede tener algo de mientas matemáticas para poder lle- texto que quiere, cifrado con la cla- var a cabo de la forma más adecua- Criptoanálisis y tipos de ve desconocida. La tarea consiste en da el criptoanálisis. ataques a los determinar la clave utilizada para el El criptoanálisis suele ser un pro- criptosistemas cifrado. Algunos métodos de cifrado ceso duro, a menudo tedioso, repe- (por ejemplo, el algoritmo de clave titivo y de gran costo económico. El El Criptoanálisis (es uno de lo pública o asimétrico RSA) son extre- éxito nunca está asegurado y los re- dos componentes que conforman la madamente vulnerables a los ata- cursos son siempre limitados. Conse- Criptología junto a la Criptografía ques de texto sin cifrar elegido. cuentemente, también se deben con- que se define como la ciencia que Cuando tales algoritmos se utilizan siderar otros enfoques, a veces, más trata de escribir mensajes que nadie debe tenerse extremo cuidado para efectivos para obtener información salvo el receptor deseado lo pueda diseñar todo el sistema de modo que oculta o las claves secretas (esto leer) puede definirse como la ciencia un atacante nunca pueda conseguir plantea un compromiso entre el crip- que engloba un conjunto de técnicas texto sin cifrar elegido cifrado. toanálisis y la subversión). Cuando la tendentes a descifrar comunicacio- fuerza de un desarrollo criptográfico nes cifradas sin conocer las claves Ataque “man-in-the-middle” (por ejemplo, un cifrador) excede por correctas, obtener el polinomio de Atacante mediante intromisión. mucho el esfuerzo requerido para realimentación de un PRNG a partir El adversario se coloca en medio de obtener la misma información de de la salida conocida, obtener el es- las partes legítimas que se comuni- otra forma, el cifrador probablemen- quema interno de un determinado can o “meet-in-the-middle”. Este ata- te es lo suficiente fuerte para resistir mecanismo criptográfico, etc. Existen que es relevante para protocolos de los ataques. muchas técnicas, las más importan- intercambio de claves y comunica- El criptoanálisis implica una tes para un diseñador/implementa- ción criptográfica. La idea es que combinación de razonamiento ana- dor práctico de sistemas son: cuando dos partes se intercambian lítico, aplicación de herramientas claves para comunicaciones seguras matemáticas/informáticas, encuentro Texto Ataques sólo a Texto Cifrado (por ejemplo utilizando Diffie-Hell- de patrones, paciencia, determina- El atacante no conoce nada man) un adversario se coloca entre ción, suerte, encontrar esquemas de acerca de los contenidos del mensa- las partes en la línea de comunicacio- factorización de enteros, aplicar téc- je y debe trabajar a partir sólo del nes. El adversario entonces realiza un nicas de inteligencia artificial (redes texto cifrado. En la práctica a menu- intercambio de clave separado con neuronales, algoritmos genéticos, do es posible adivinar algo de texto cada parte. Las partes finalizarán uti- sistemas expertos, etc.), utilizar algo- sin cifrar ya que muchos tipos de lizando una clave diferente cada una ritmos discretos, aplicar métodos es- mensaje tienen cabeceras de forma- de las cuales es conocida por el ad- tadísticos sofisticados, ordenación y to fijo. Incluso las cartas y documen- versario. El adversario entonces des- reordenación de los datos para reve- tos ordinarios empiezan de una for- cifrará las comunicaciones con la cla- 2 • Marzo 2000
Redes Figura 1. Esquema del PROTOCOLO, TARJETA análisis estadístico puede incluso El criptoanálisis lineal fue ideado INTELIGENTE, ETC. Principio sobre el que se conducir a la recuperación total de por Matsui y Yamagishi para un ata- Fundamenta el Ataque de estos parámetros secretos. La idea que sobre FEAL. Fue extendido por Tiempo. inicial fue presentarda por Kocker en Matsui para atacar al DES. Es un ata- 1996 y demandaba que el atacan- que de texto sin cifrar conocido y SECRETO te dispusiese de un conocimiento utiliza una aproximación lineal para muy detallado de la implementación describir el comportamiento del cifra- del sistema a atacar. Actualmente dor de bloque. Dados suficientes otros investigadores han mejorado el pares de texto sin cifrar y los corres- método de Kocker y no se requiere pondientes textos cifrados, se pue- un conocimiento tan detallado del den obtener los bits de información PREGUNTA RESPUESTA sistema. acerca de la clave y cantidades cre- DIFERENCIA DE TIEMPO cientes de datos darán normalmen- Criptoanálisis Diferencial, Lineal y te una elevada probabilidad de éxito. ve adecuada y las cifrará con la otra Lineal-Diferencial Existen una variedad de mejoras clave para enviarla a la otra parte. Las El criptoanálisis diferencial es un al ataque básico. Langford y Hellman partes creerán que se están comuni- tipo de ataque que puede aplicarse introdujeron un ataque denominado cando de forma segura, pero de he- a cifradores de bloque iterativos criptoanálisis lineal-diferencial que cho el adversario está escuchando y (como por ejemplo, los algoritmos combina los elementos del criptoaná- entendiendo todo. simétricos o de clave secreta DES, lisis diferencial con los del criptoaná- Una forma de prevenir los ata- 3DES, IDEA, etc.). Estas técnicas fue- lisis lineal. Así mismo, Kaliski y Robs- ques de este tipo es que ambos ex- ron introducidas por Murphy en un haw demostraron que un ataque tremos calculen una función cripto- ataque sobre FEAL-4, pero fueron criptoanalítico lineal utilizando múl- gráfica unidireccional hash (por mejoradas y perfeccionadas poste- tiples aproximaciones, puede permi- ejemplo, MD5, SHA/SHA1, etc.) del riormente por Biham y Shamir que tir una reducción de la cantidad de intercambio de clave (o al menos de las utilizaron para atacar el DES. datos requerido para un ataque con las claves de cifrado), la firmen utili- El criptoanálisis diferencial es éxito. Nyberg, Knudsen y O’Conner zando un algoritmo de firma digital básicamente un ataque sobre texto han estudiado la protección de cifra- y envíen la firma al otro extremo. sin cifrar escogido y se basa en un dores contra ataques criptoanalíticos El receptor entonces verificará que análisis de la evolución de las diferen- lineales. la firma viene de la otra parte desea- cias entre dos textos sin cifrar relacio- da y que el «hash» de la firma coin- nados cuando se cifran bajo la mis- Ataques de diccionario cide con el calculado localmente. Este ma clave. Mediante un cuidadoso Utilizados para romper palabras método se utiliza por ejemplo en análisis de los datos disponibles, las de paso de los sistemas operativos. Photuris. probabilidades pueden asignarse a En el «ataque de diccionario» no se cada una de las posibles claves y pretende obtener la clave, si no direc- Ataques de Tiempo eventualmente la clave más probable tamente el texto en claro ya que el Este ataque es muy reciente y se se identifica como la correcta. método de cifrado es público y aun- basa en la medida repetida de los El criptoanálisis diferencial se ha que no se disponga de la clave se tiempos de ejecución exactos de las utilizado contra cifradores muy gran- puede reproducir. Este es el caso de operacioes de exponenciación modu- des con grados de éxito variables. En los sistemas de cifrado de claves de lar (figura 1). Es relevante al menos ataques contra el DES su efectividad acceso en sistemas operativos. a los métodos criptográficos RSA, es limitada, por lo que fue muy cui- Cuando un usuario quiere darse Diffie-Hellman y de Curvas Elipticas. dadoso el diseño de las cajas S du- de alta en un sistema, introduce su Las implementaciones de algo- rante el diseño del DES a mediados código y su clave de acceso, ésta se ritmos criptográficos a menudo rea- del año 1970. cifra y posteriormente se compara el lizan cálculos en tiempo no constan- Nyberg, Knudsen Lai, Massey y resultado con la clave cifrada que se te, debido a optimizaciones del ren- Murphy han realizado estudios sobre almacena en el fichero de claves. Si dimiento. Si dichas operaciones im- protección de cifradores contra crip- son iguales, el sistema considera que plican parámetros secretos, estas va- toanálisis diferencial. El criptoanálisis el usuario es quien dice ser y le per- riaciones de tiempo pueden fugar diferencial ha sido útil en ataques a mite el acceso. cierta información y si se proporcio- otros algoritmos criptográficos como Los programas rompedores de na suficiente conocimiento de las por ejemplo las funciones criptográ- “palabras de paso” parten del hecho implementaciones, un cuidadoso ficas unidireccionales «hash». de que se ha obtenido una copia del • Marzo 2000 3
Redes fichero de claves (por ejemplo, el de- Figura 2. PRNG basado en nominado /etc/passwd de Unix) y Registro de Desplazamien- comprueban si existe alguna cuenta to con Realimentación sin clave, en cuyo caso utilizan, y con Lineal de longitud 7, de el resto se realiza el siguiente ataque. función de realimentación Por una parte se dispone de un dic- f(x)=1+x+x7. Su estado cionario en claro con gran cantidad inicial es 1001011 o de palabras y combinaciones muy expresado en forma comunes y válidas como claves. Pos- polinómica 1+x3+x5+x6. teriormente se realiza su cifrado con Su salida de longitud 20 la utilidad del sistema a atacar o una será copia de la misma, se comprueba el 11010010110001101111. resultado del cifrado con el conteni- una entrada de audio, los intervalos de cogerse de una parte de la bate- do del fichero de claves y en el caso entre interrupciones de dispositivos o ría no devuelta) en un modo que de que se produzca una coincidencia las pulsaciones de teclado de usua- hace que cada bit de la batería de- inferimos cuál es la palabra en claro. rio. El ruido obtenido de una fuente penda de cada otro bit de la batería. física se «destila» con una función Se debe mezclar nuevo ruido am- Ataque de búsqueda exhaustiva hash criptográfica para hacer que biental a la batería antes de agitar El ataque de búsqueda exhaus- cada bit dependa de los otros. A para hacer más imposible la predic- tiva o fuerza bruta para encontrar la menudo una batería grande (varios ción de valores previos o futuros. clave de un cifrador, es útil cuando el miles de bits) se usa para contener tamaño de la clave a atacar es redu- aleatoriedad y cada bit de la batería Síntesis e cido. Se realiza generando aleatoria- se hace dependiente de cada bit del implementación de un mente todos los valores posibles de ruido de entrada y cada uno de los módulo software de las claves de acceso y transformán- otros bits de la batería de una forma criptoanálisis para la dolas. De esta forma se puede elegir fuerte criptográfica. ruptura de un PRNG la clave de acceso cuya transforma- Cuando la aleatoriedad física basado en registro de da coincida con la interceptada. Para verdadera no está disponible, se de- desplazamiento claves de gran longitud este ataque ben usar números pseudoaleatorios. se agiliza con un hardware ASIC de Esta situación no es deseable, pero a La figura 2 muestra un PRNG ruptura de elevadísmo costo. menudo se utiliza en ordenadores de basado en un registro de desplaza- propósito general. Siempre es desea- miento con realimentación de longi- Generadores de ble obtener algún ruido ambiental tud 7, posee una función de reali- números aleatorios (latencias de dispositivos, estadísticas mentación lineal f(x)=1+x+x7 y su criptográficos. de utilización de recursos y de red, estado inicial es 1001011 (MSB a la Criptoanálisis cadencia de pulsación de teclados, derecha) en binario o expresado en etc.). Los datos no deben ser prede- forma polinómica 1+x3+x5+x6, su Generan números aleatorios uti- cibles por ningún observador exter- salida en binario de longitud 20 es lizados en aplicaciones criptográficas no; para conseguir esto, la batería 11010010110001101111. como claves, passwords, etc. Los aleatoria debe contener al menos La figura 3 muestra la especifica- convencionales disponibles en la 128 bits de entropía verdadera. ción en C de un mecanismo software mayoría de lenguajes de programa- Los generadores pseudoaleato- de criptoanálisis que permite obtener ción o entornos de programación, no rios criptográficos poseen una gran la «complejidad lineal» (L) de una son adecuados para aplicaciones batería (valor de semilla) que contie- secuencia binaria producida por un criptográficas, ya que estan diseña- ne aleatoriedad. Los bits son devuel- PRNG basado en registro de despla- dos para aleatoriedad estadística y tos desde esta batería tomando da- zamiento con realimentación lineal, no resisten la predicción por criptoa- tos de la batería, opcionalmente eje- así como su polinomio de realimen- nálisis. En el caso óptimo, los núme- cutando los datos a través de una tación. La ayuda del programa se ros aleatorios se basan en fuentes función hash criptográfica para evi- obtiene tecleando «criptoanálisis h». verdaderamente físicas de aleatorie- tar revelación de los contenidos de la Supongamos que se conoce una dad que no pueden ser predecibles. batería. Cuando se necesitan más cadena de bits que proviene de un Dichas fuentes son por ejemplo el bits, la batería se agita cifrando sus PRNG lineal desconocido. Esa cade- ruido de los dispositivos semiconduc- contenidos con un cifrador adecua- na es la entrada del módulo de crip- tores, el bit menos significativo de do con una clave aleatoria (que pue- toanálisis. Supongamos que el PRNG 4 • Marzo 2000
Redes Figura 3. Listado del Módulo Software de Criptoanálisis para un Generador de Números Pseudoaleatorio (PRNG). esta basado en un registro de despla- Veinte bits de la cadena genera- bits al ataque/criptoanálisis de Berle- zamiento de realimentación lineal (o da por este PRNG son: kamp-Massey dado por el módulo LFSR) formado por el polinomio pri- “criptoanálisis.exe” se obtine la si- mitivo x7+x+1 y dicho registro se 11010010110001101111. guiente salida: inicializa con el valor (1001011) o en notación polinómica 1+x3+x5+x6. Si sometemos esta cadena de Secuencia? • Marzo 2000 5
Redes 11010010110001101111 jidad lineal” de dicha función menos de veinte bits, por ejemplo L=7 (1+x+x7) es 7 y el ataque criptoana- doce: Polinomio de lítico ha conseguido obtener el poli- realimentación=1+x+x7. nomio original del que partía la se- 110100101100 cuencia. Esto significa que la “comple- Si se introduce una secuencia de el módulo software diseñado 6 • Marzo 2000
Redes “criptoanálisis.exe” también podrá La complejidad lineal de una secuen- salidas del PRNG no se ven de forma adivinar el polinomio de realimenta- cia es la longitud del LFSR más corto directa. ción deseado del PRNG. Si en cambio que puede generar dicha secuencia. sólo introducimos once o menos bits El algoritmo Berlekamp-Massey Ataques Basados en la Entrada el criptoanálisis será incorrecto y la obtiene la complejidad lineal de for- Un ataque de entrada ocurre ruptura no tendrá éxito, debido a ma iterativa y también obtiene el cuando un atacante puede utilizar el que poseemos poca información polinomio de realimentación asocia- conocimiento o control de las entra- para que el criptoanálisis infiera lo do al LFSR. Puesto que el grado del das del PRNG para criptoanalizar el deseado. polinomio es igual al del registro de PRNG, es decir para distinguir entre En este ejemplo de criptoanálisis desplazamiento LFSR, el grado de la salida del PRNG y los valores alea- se ha utilizado un PRNG basado en este polinomio es la complejidad li- torios. Los ataques de entrada pue- un LFSR o registro de desplazamien- neal. El número de bits necesarios den ser a su vez clasificados en tres to realimentado linealmente por un para roomper una secuencia genera- categorias: polinomio primitivo basado en el da por un LFSR de longitud n dado, operador suma módulo 2 (o O-exclu- utilizando el algoritmo de Berle- a) Ataques de Entrada Conoci- siva), es decir perteneciente a GF(2) kamp-Massey es en el peor de los da.- Pueden ser prácticos en cual- (Grupo Finito de orden 2). El núme- casos 2n. quier situación en la que alguna de ro de polinomios de realimentación El orden de un polinomio de rea- las entradas del PRNG ideadas por el primitivos sobre GF(2) para grado limentación de un LFSR f(x), para el diseñador del sistema difíciles de pre- n=1,2,3,..., es el indicado en el cua- que f(0) es distinto de cero, es el decir, resultan ser fácilmente predi- dro 1, es decir para grado n=1 sólo menor entero “e” para el que f(x) di- chas en algunos casos especiales. Un hay un polinomio el (1+x), para n=2 vide a 1+x e; un polinomio sobre ejemplo de esto es una aplicación sólo existe uno, el (1+x+x2); para GF(2) es primitivo si posee orden (2n que utiliza la latencia del «hard- n=3 existen dos, el (1+x+x3) y el –1), por ejemplo 1+x+x2 posee or- drive» para algunas de las entradas (1+x2+x3), etc. den e = 3 = 2 2 -1 ya que (1+ del PRNG, pero tienen que estar eje- En general el número de polino- x+x2)(1+x)=(1+x3). cutándose por medio de un “drive” mios primitivos sobre GF(2) para gra- Otra ruptura con el módulo soft- de red cuyos «timings» (diagramas Cuadro 1. do k es: ware diseñado sería para la señal de de tiempo) son observables por el entrada procedente del PRNG a rom- atacante. [FI(2k – 1)]/k per con, por lo menos, 12 bits: 101010100110 y la salida es L=7 y b) Ataques de Entrada Elegida.- donde la función FI(m) de Euler re- el polinomio es 1+x+x7; en este caso Pueden ser prácticos contra tarjetas presenta el número de valores ente- el estado de partida del LFSR es inteligentes y otros “token” (o testi- ros positivos menores que m y rela- 1010101 (1+x2+x4+x6). gos) resistentes a intentos de forzar tivamente primos con m; p. ejemplo: bajo un ataque físico/criptoanalítico; Clasificación de clases pueden también ser prácticos para FI(26 -1) = FI(63) = 36 = de ataques aplicaciones que suministren mensa- = cardinalidad{2,4,5,8,...,62} criptoanalíticos a jes entrantes, palabras de paso selec- PRNGs cionadas por el usuario, estadísticas por tanto, el número de polinomios de red, etc. en su PRNG como mues- de grado k=6 es 36/6=6. Ataque de Criptoanálisis Directo tras de entropía. Una secuencia de salida se dice Cuando un atacante puede distin- que es m si es generada por un LFSR guir directamente entre las salidas - c) Ataques de Entrada Repeti- de longitud m y si el polinomio de del PRNG (o Generador de Números da.- Es probable que sean prácticos realimentación del LFSR es primitivo; Pseudoaleatorios) y las salidas alea- en las mismas situaciones que los se dice que es primitivo si es irredu- torias, se dice que es un ataque crip- anteriormente mencionados ataques cible y divisible por 1+xp donde el tográfico directo. Este tipo de ataque de entrada elegida, pero requieren li- período p de la secuencia es (2m –1). es aplicable a la mayoría, pero no a geramente menos control/sofistica- Las secuencias m poseen un núme- todos los métodos de PRNGs. ción por parte del atacante. ro casi equilibrado de unos y ceros en Por ejemplo, un PRNG que úni- un período; la diferencia entre unos camente se utilice para generar cla- Ataques de Extensión que y ceros en un período es sólo uno. ves de un cifrador, como puede ser Comprometen el Estado Aparentemente una secuencia m triple-DES, nunca puede ser vulnera- Los intentos de ataque de exten- posee un comportamiento aleatorio. ble a este tipo de ataque, ya que las sión que comprometen el estado ex- • Marzo 2000 7
Redes tienden al máximo posible las venta- terno «S» del PRNG en el instante de práctica mientras el cifrador está uti- jas de un esfuerzo previamente con tiempo «t», todos los valores futuros lizándose. éxito que ha recuperado el estado y pasados de «S» son vulnerables al • Si un cifrador es secreto, ese interno «S» (figura 4). Supóngase ataque. secreto se ve comprometido de for- que por cualquier razón (una pene- ma creciente por el hecho de hacer- tración temporal a la seguridad del c) Ataques de Adivinación Itera- se disponible para su uso. Para que ordenador, una fuga inadvertida, un tiva.- Utilizan el conocimiento del un cifrador sea utilizado debe estar suceso criptoanalítico, etc.) un adver- estado interno «S» en el instante de presente en varios lugares y a más sario conoce el estado interno «S» en tiempo «t» y las salidas del PRNG in- amplia utilización mayor es el riesgo algún instante de tiempo «t». Un ata- termedias para aprender el estado de que el secreto se vea expuesto. Por que de extensión que compromete al interno «S» en el instante de tiempo tanto, cualquier ventaja que puede estado sucede cuando el atacante (t + e) cuando las entradas recogi- proporcionar un cifrador secreto no puede recuperar las salidas descono- das durante este intervalo de tiempo puede mantenerse y el oponente cidas del PRNG (o distinguir aquellas son adivinables (pero no conocidas) eventualmente tendrá las mismas salidas del PRNG de los valores alea- por el atacante. ventajas que tendría al revelarse pú- torios) desde antes de que “S” se blicamente. haya visto comprometido, o recupe- d) Ataques «man/meet-in-the- Los diseñadores de mecanismos rar las salidas desde después de que middle».- Son en esencia una com- criptográficos (cifradores simétricos/ el PRNG haya recogido una secuen- binación de un ataque de adivinación asimétricos, PRNGs, funciones hash, cia de entrada que el atacante no iterativo con un ataque de vuelta firmas digitales, etc.) se pueden au- puede adivinar. atrás. El conocimiento del estado in- toengañar de forma peligrosa, supo- Los ataques de extensión que terno «S» en los instantes de tiempo niendo que su oponente no posee comprometen al estado son más «t» y «t + 2e» permite al atacante información que de hecho puede probables que operen cuando un recuperar el estado interno “S” en el poseer. Los requisitos de Kerckoff PRNG se arranca en un estado inse- instante de tiempo (t + e). formulados en 1883 relativos a los guro (adivinable) debido a la insufi- criptosistemas generales son: ciencia entropía de arranque. Tam- Cifradores secretos. − El sistema debería ser irrompi- bién pueden operar cuando “S” se ha Requisitos de Kerckhoff ble, si no teóricamente, al menos en visto comprometido por cualquiera la práctica. No existen sistemas rea- de los ataques señalados o por cual- Aunque en algunos casos el crip- les que sean «irrompibles», y tiene quier otro método. toanálisis puede realizarse incluso poco sentido utilizar cifradores rom- En la práctica es prudente asu- aunque el proceso de cifrado no se pibles conocidos. El «One Time Pad» mir que puede suceder que se vea conozca, parece que ésto puede en (OTP) que utiliza una clave tan larga ocasionalmente comprometido el principio dificultar el trabajo del ad- como el mensaje a cifrar y absoluta- estado interno “S”; para preservar la versario. Por tanto, se puede argu- mente aleatoria, es el único método robusted del sistema, los PRNGs de- mentar que el proceso de cifrado impracticable que cumple la condi- berían ser resistentes al máximo a los debería permanecer en secreto, de ción de «secreto perfecto». En la ataques de extensión que compro- hecho los sistemas de cifrado milita- práctica se buscan sistemas que sean meten el estado. res no se publican. En criptografía «computacionalmente seguros», es Esta categoría de ataques puede comercial se asume normalmente decir el costo de obtener el mensaje a su vez clasificarse en las siguientes (los requisitos de Kerckhoff) que el original sin conocer la clave es extre- categorias: adversario/oponente conoce los de- madamente alto en tiempo y/o en talles del cifrador (aunque no la cla- espacio de computación. a) Ataques de Vuelta Atrás (o ve). Existen varias razones para esto: − Comprometer los detalles del «backtracking»).- Utilizan la situa- • Es común para todo cifrador la sistema criptográfico no debería pre- ción de verse comprometido el esta- existencia de ciertas debilidades (o ocupar. Hoy en día se asume que el do interno «S» del PRNG en el instan- «bugs») no esperadas que no detec- oponente tiene suficientes detalles te de tiempo «t» para aprender las tan sus diseñadores. Pero si el dise- del cifrador, ya que para que el cifra- salidas del PRNG previas. ño del cifrador se mantiene en secre- dor se pueda utilizar ampliamente to, no podrá ser examinado por otras debe estar presente en muchos luga- b) Ataques de verse comprome- partes competentes y, por tanto, res y por tanto es probable que pue- tido en el estado de forma perma- la debilidad no se expondrá pública- da quedar expuesto. También se asu- nente.- Ocurren si una vez que un mente. Esto viene a significar que la me que el oponente tendrá cierta atacante compromete el estado in- debilidad puede explotarse en la cantidad de texto sin cifrar (o «pla- 8 • Marzo 2000
Redes Figura 4. Representación ware para la clave y una frase de de Bloques Simplificada paso para la clave. de las Operaciones − El criptograma debería ser Internas de la mayoria de transmisible por telégrafo. Esto no es PRGNs. muy importante hoy en día ya que incluso el texto cifrado binario pue- de convertirse a ASCII para la trans- misión si es necesario. - El cifrador debería ser portable, operable y fácil de utilizar por cual- quier persona. o Bibliografia Areitio, J. «Análisis y Evaluación de la Seguridad en Redes». Revista Española de Electrónica. Nº 521. Abril 1998. Gleason, AM. «Elementary Cour- intext») conocido para poder traba- tros días es un problema. El «hash» se In Probability for The Crypta- jar con él. nos permite recurrir al empleo de fra- nanyst». Aegean Park Press. 1998. − La clave debería ser recordable ses de lenguaje largas; por ello, el Foster, C.C. «Cryptanalysis for sin necesidad de anotaciones y fácil- mejor enfoque consiste en utilizar Microcomputers». Hayden Books. mente cambiable. Esto aún en nues- simultáneamente una tarjeta hard- Rochelle Park. 1990. • Marzo 2000 9

Recomendados

Criptoánalisis
CriptoánalisisCriptoánalisis
CriptoánalisisMarco Tinajero
 
Criptografía
CriptografíaCriptografía
Criptografíaguestdb3d8d5
 
Criptografia
Criptografia Criptografia
Criptografia Alex Miguel
 
Criptografia: Conceptos básicos e implementación con software libre
Criptografia: Conceptos básicos e implementación con software libreCriptografia: Conceptos básicos e implementación con software libre
Criptografia: Conceptos básicos e implementación con software libreplinio.puello
 
Criptografía y su importancia en nuestra vida diaria
Criptografía y su importancia en nuestra vida diariaCriptografía y su importancia en nuestra vida diaria
Criptografía y su importancia en nuestra vida diariaecontinua
 
LA CRIPTOGRAFIA
LA CRIPTOGRAFIALA CRIPTOGRAFIA
LA CRIPTOGRAFIAannylaurita
 
SILABO
SILABOSILABO
SILABOeamartineza
 
Criptografí1
Criptografí1Criptografí1
Criptografí1stephanie2021
 

Recomendados

Criptoánalisis
CriptoánalisisCriptoánalisis
CriptoánalisisMarco Tinajero
 
Criptografía
CriptografíaCriptografía
Criptografíaguestdb3d8d5
 
Criptografia
Criptografia Criptografia
Criptografia Alex Miguel
 
Criptografia: Conceptos básicos e implementación con software libre
Criptografia: Conceptos básicos e implementación con software libreCriptografia: Conceptos básicos e implementación con software libre
Criptografia: Conceptos básicos e implementación con software libreplinio.puello
 
Criptografía y su importancia en nuestra vida diaria
Criptografía y su importancia en nuestra vida diariaCriptografía y su importancia en nuestra vida diaria
Criptografía y su importancia en nuestra vida diariaecontinua
 
LA CRIPTOGRAFIA
LA CRIPTOGRAFIALA CRIPTOGRAFIA
LA CRIPTOGRAFIAannylaurita
 
SILABO
SILABOSILABO
SILABOeamartineza
 
Criptografí1
Criptografí1Criptografí1
Criptografí1stephanie2021
 
Tecnicas de criptografia
Tecnicas de criptografiaTecnicas de criptografia
Tecnicas de criptografiaTensor
 
Trabajo de criptografía
Trabajo de criptografíaTrabajo de criptografía
Trabajo de criptografíaLeidy Johana Garcia Ortiz
 
Criptografia
CriptografiaCriptografia
CriptografiaJose Sanchez
 
Diapositiva criptografia
Diapositiva criptografiaDiapositiva criptografia
Diapositiva criptografiajofaan
 
Criptografia
Criptografia Criptografia
Criptografia Razialeana
 
Criptologia
CriptologiaCriptologia
CriptologiaG Hoyos A
 
Técnicas de Cifrado y Descifrado
Técnicas de Cifrado y DescifradoTécnicas de Cifrado y Descifrado
Técnicas de Cifrado y DescifradoHacking Bolivia
 
Presentación criptografía
Presentación criptografíaPresentación criptografía
Presentación criptografíaCYNTHIAG86
 
Criptografia
CriptografiaCriptografia
CriptografiaAlbaro Javier Cruz Mejia
 
La criptologia
La criptologiaLa criptologia
La criptologiaArly_Ins
 
2.3 criptografia
2.3 criptografia2.3 criptografia
2.3 criptografiajorgecan91
 
Criptografia 3
Criptografia 3Criptografia 3
Criptografia 3Brenda Ruiz
 
Encriptacion
EncriptacionEncriptacion
EncriptacionDaniel Muccela
 
Criptografía
CriptografíaCriptografía
CriptografíaNoel Cruz
 
Unidad 5 - Criptografía
Unidad 5 - CriptografíaUnidad 5 - Criptografía
Unidad 5 - Criptografíavverdu
 
Criptologia c:
Criptologia c: Criptologia c:
Criptologia c: CandysHRZ
 
métodos cifrado
métodos cifradométodos cifrado
métodos cifradoirenech92
 
Metodo De Encriptacion
Metodo De EncriptacionMetodo De Encriptacion
Metodo De EncriptacionStefany
 
Criptografia y Metodos de cifrado
Criptografia y Metodos de cifradoCriptografia y Metodos de cifrado
Criptografia y Metodos de cifradokyaalena
 
Introduccion a la criptografia
Introduccion a la criptografiaIntroduccion a la criptografia
Introduccion a la criptografiaTensor
 
2021 1 T4-Criptografía
2021 1 T4-Criptografía2021 1 T4-Criptografía
2021 1 T4-CriptografíaFrancisco Medina
 
Si u2 apuntes
Si u2 apuntesSi u2 apuntes
Si u2 apuntesroland castillo
 

Más contenido relacionado

La actualidad más candente

Tecnicas de criptografia
Tecnicas de criptografiaTecnicas de criptografia
Tecnicas de criptografiaTensor
 
Diapositiva criptografia
Diapositiva criptografiaDiapositiva criptografia
Diapositiva criptografiajofaan
 
Técnicas de Cifrado y Descifrado
Técnicas de Cifrado y DescifradoTécnicas de Cifrado y Descifrado
Técnicas de Cifrado y DescifradoHacking Bolivia
 
Presentación criptografía
Presentación criptografíaPresentación criptografía
Presentación criptografíaCYNTHIAG86
 
La criptologia
La criptologiaLa criptologia
La criptologiaArly_Ins
 
2.3 criptografia
2.3 criptografia2.3 criptografia
2.3 criptografiajorgecan91
 
Criptografía
CriptografíaCriptografía
CriptografíaNoel Cruz
 
Unidad 5 - Criptografía
Unidad 5 - CriptografíaUnidad 5 - Criptografía
Unidad 5 - Criptografíavverdu
 
Criptologia c:
Criptologia c: Criptologia c:
Criptologia c: CandysHRZ
 
métodos cifrado
métodos cifradométodos cifrado
métodos cifradoirenech92
 
Metodo De Encriptacion
Metodo De EncriptacionMetodo De Encriptacion
Metodo De EncriptacionStefany
 
Criptografia y Metodos de cifrado
Criptografia y Metodos de cifradoCriptografia y Metodos de cifrado
Criptografia y Metodos de cifradokyaalena
 
Introduccion a la criptografia
Introduccion a la criptografiaIntroduccion a la criptografia
Introduccion a la criptografiaTensor
 

La actualidad más candente (20)

Tecnicas de criptografia
Tecnicas de criptografiaTecnicas de criptografia
Tecnicas de criptografia
 
Trabajo de criptografía
Trabajo de criptografíaTrabajo de criptografía
Trabajo de criptografía
 
Criptografia
CriptografiaCriptografia
Criptografia
 
Diapositiva criptografia
Diapositiva criptografiaDiapositiva criptografia
Diapositiva criptografia
 
Criptografia
Criptografia Criptografia
Criptografia
 
Criptologia
CriptologiaCriptologia
Criptologia
 
Técnicas de Cifrado y Descifrado
Técnicas de Cifrado y DescifradoTécnicas de Cifrado y Descifrado
Técnicas de Cifrado y Descifrado
 
Presentación criptografía
Presentación criptografíaPresentación criptografía
Presentación criptografía
 
Criptografia
CriptografiaCriptografia
Criptografia
 
La criptologia
La criptologiaLa criptologia
La criptologia
 
2.3 criptografia
2.3 criptografia2.3 criptografia
2.3 criptografia
 
Criptografia 3
Criptografia 3Criptografia 3
Criptografia 3
 
Encriptacion
EncriptacionEncriptacion
Encriptacion
 
Criptografía
CriptografíaCriptografía
Criptografía
 
Unidad 5 - Criptografía
Unidad 5 - CriptografíaUnidad 5 - Criptografía
Unidad 5 - Criptografía
 
Criptologia c:
Criptologia c: Criptologia c:
Criptologia c:
 
métodos cifrado
métodos cifradométodos cifrado
métodos cifrado
 
Metodo De Encriptacion
Metodo De EncriptacionMetodo De Encriptacion
Metodo De Encriptacion
 
Criptografia y Metodos de cifrado
Criptografia y Metodos de cifradoCriptografia y Metodos de cifrado
Criptografia y Metodos de cifrado
 
Introduccion a la criptografia
Introduccion a la criptografiaIntroduccion a la criptografia
Introduccion a la criptografia
 

Similar a Criptoanálisis: clave para la seguridad de redes

Criptografia
CriptografiaCriptografia
CriptografiaYeyi02
 
Criptografia simetrica
Criptografia simetricaCriptografia simetrica
Criptografia simetricaBaruch Ramos
 
6 seguridad privada y encriptamiento de datos
6 seguridad privada y encriptamiento de datos6 seguridad privada y encriptamiento de datos
6 seguridad privada y encriptamiento de datoslalitotecgonzalez
 
La criptologia
La criptologiaLa criptologia
La criptologiaEdibeRM
 
Métodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesMétodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesESPE
 
Métodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesMétodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesESPE
 
Métodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesMétodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesESPE
 
Definición de seguridad privada
Definición de seguridad privadaDefinición de seguridad privada
Definición de seguridad privadaGCIRIDIAN
 
Clave criptografia
Clave criptografiaClave criptografia
Clave criptografiaG Hoyos A
 
Métodos encriptación en vpns
Métodos encriptación en vpnsMétodos encriptación en vpns
Métodos encriptación en vpnsbryan_azr
 
Criptografia
CriptografiaCriptografia
Criptografiachristian
 
Criptografia
CriptografiaCriptografia
Criptografiachristian
 

Similar a Criptoanálisis: clave para la seguridad de redes (20)

2021 1 T4-Criptografía
2021 1 T4-Criptografía2021 1 T4-Criptografía
2021 1 T4-Criptografía
 
Si u2 apuntes
Si u2 apuntesSi u2 apuntes
Si u2 apuntes
 
6. criptografia
6. criptografia6. criptografia
6. criptografia
 
criptografia simetrica
criptografia simetricacriptografia simetrica
criptografia simetrica
 
Criptografia
Criptografia Criptografia
Criptografia
 
Criptografia
CriptografiaCriptografia
Criptografia
 
Criptografia simetrica
Criptografia simetricaCriptografia simetrica
Criptografia simetrica
 
6 seguridad privada y encriptamiento de datos
6 seguridad privada y encriptamiento de datos6 seguridad privada y encriptamiento de datos
6 seguridad privada y encriptamiento de datos
 
La criptologia
La criptologiaLa criptologia
La criptologia
 
Métodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesMétodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtuales
 
Métodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesMétodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtuales
 
Métodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesMétodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtuales
 
Definición de seguridad privada
Definición de seguridad privadaDefinición de seguridad privada
Definición de seguridad privada
 
Metodos de cifrado
Metodos de cifradoMetodos de cifrado
Metodos de cifrado
 
Metodos de cifrado
Metodos de cifradoMetodos de cifrado
Metodos de cifrado
 
Clave criptografia
Clave criptografiaClave criptografia
Clave criptografia
 
Métodos encriptación en vpns
Métodos encriptación en vpnsMétodos encriptación en vpns
Métodos encriptación en vpns
 
seguridad en telecomunicaciones
seguridad en telecomunicacionesseguridad en telecomunicaciones
seguridad en telecomunicaciones
 
Criptografia
CriptografiaCriptografia
Criptografia
 
Criptografia
CriptografiaCriptografia
Criptografia
 

Más de G Hoyos A

curvas elipticas
curvas elipticas curvas elipticas
curvas elipticasG Hoyos A
 
correo seguro
correo seguro correo seguro
correo seguroG Hoyos A
 
cifra flujo
cifra flujo cifra flujo
cifra flujoG Hoyos A
 
composicion de algoritmos
composicion de algoritmos composicion de algoritmos
composicion de algoritmosG Hoyos A
 
gestion seguridad informatica
gestion seguridad informatica gestion seguridad informatica
gestion seguridad informaticaG Hoyos A
 
calidad de la informacion
calidad de la informacioncalidad de la informacion
calidad de la informacionG Hoyos A
 
Cripto clasica
Cripto clasicaCripto clasica
Cripto clasicaG Hoyos A
 
Presentacion cripto transp_manuel_lucena
Presentacion cripto transp_manuel_lucenaPresentacion cripto transp_manuel_lucena
Presentacion cripto transp_manuel_lucenaG Hoyos A
 
Transposicion
TransposicionTransposicion
TransposicionG Hoyos A
 
Sellado de tiempo_timestamp
Sellado de tiempo_timestampSellado de tiempo_timestamp
Sellado de tiempo_timestampG Hoyos A
 
Protocolo gestor claves
Protocolo gestor clavesProtocolo gestor claves
Protocolo gestor clavesG Hoyos A
 
Problema rsa
Problema rsaProblema rsa
Problema rsaG Hoyos A
 
Número primo fuerte
Número primo fuerteNúmero primo fuerte
Número primo fuerteG Hoyos A
 
Metodo kasiski
Metodo kasiskiMetodo kasiski
Metodo kasiskiG Hoyos A
 
Modos de operación_de_una_unidad_de_cifrado_por_bloques
Modos de operación_de_una_unidad_de_cifrado_por_bloquesModos de operación_de_una_unidad_de_cifrado_por_bloques
Modos de operación_de_una_unidad_de_cifrado_por_bloquesG Hoyos A
 

Más de G Hoyos A (20)

curvas elipticas
curvas elipticas curvas elipticas
curvas elipticas
 
correo seguro
correo seguro correo seguro
correo seguro
 
cifra flujo
cifra flujo cifra flujo
cifra flujo
 
composicion de algoritmos
composicion de algoritmos composicion de algoritmos
composicion de algoritmos
 
gestion seguridad informatica
gestion seguridad informatica gestion seguridad informatica
gestion seguridad informatica
 
calidad de la informacion
calidad de la informacioncalidad de la informacion
calidad de la informacion
 
Cripto clasica
Cripto clasicaCripto clasica
Cripto clasica
 
Presentacion cripto transp_manuel_lucena
Presentacion cripto transp_manuel_lucenaPresentacion cripto transp_manuel_lucena
Presentacion cripto transp_manuel_lucena
 
S box
S boxS box
S box
 
Xor
XorXor
Xor
 
Unixsec
UnixsecUnixsec
Unixsec
 
Transposicion
TransposicionTransposicion
Transposicion
 
Sellado de tiempo_timestamp
Sellado de tiempo_timestampSellado de tiempo_timestamp
Sellado de tiempo_timestamp
 
Protocolo gestor claves
Protocolo gestor clavesProtocolo gestor claves
Protocolo gestor claves
 
Problema rsa
Problema rsaProblema rsa
Problema rsa
 
Pki
PkiPki
Pki
 
Número primo fuerte
Número primo fuerteNúmero primo fuerte
Número primo fuerte
 
Metodo kasiski
Metodo kasiskiMetodo kasiski
Metodo kasiski
 
Modos de operación_de_una_unidad_de_cifrado_por_bloques
Modos de operación_de_una_unidad_de_cifrado_por_bloquesModos de operación_de_una_unidad_de_cifrado_por_bloques
Modos de operación_de_una_unidad_de_cifrado_por_bloques
 
Hc
HcHc
Hc
 

Criptoanálisis: clave para la seguridad de redes

  • 1. Redes Criptoanálisis: factor clave para la ingeniería de seguridad de redes de ordenadores EDICIONES TÉCNICAS REDE • Marzo 2000 1
  • 2. Redes Criptoanálisis: factor clave para la ingeniería de seguridad de redes de ordenadores Dr. Javier Areitio Bertolín El presente artículo analiza la Tecno- lar características o manifestaciones ma muy predecible. También puede El Dr. Javier Areitio logía de Criptoanálisis aplicada al no aleatorias (por ejemplo, contado- ser posible adivinar que algun bloque Bertolín,autor de este campo de las Redes de Ordenadores. res de frecuencia, repeticiones, pa- de texto cifrado contiene una palabra artículo, es Director de Se identifican, describen y clasifican trones, fenómenos simétricos), etc. común. Redes y Sistemas. los diferentes métodos de ataque Los ataques a un sistema crip- ESIDE. Facultad de más utilizados. También se sintetiza tográfico intentan explotar una de- Texto Ataque a Texto Sin Cifrar Ingeniería. Universidad e implementa un módulo software bilidad del mismo y pueden ser de Conocido de Deusto para la ruptura criptoanalítica de dos tipos: El atacante (criptoanalista, ad- PRNGs lineales. − Ataques al propio sistema, versario o espía) conoce o puede adi- aquí se pretende deducir una debili- vinar/inferir el texto sin cifrar para En la última década se ha producido dad en el diseño del sistema. algunas partes del texto cifrado. La un crecimiento especialmente impor- − Ataques a la implementación tarea consiste en descifrar el resto de tante en investigación en todos los del mismo, aquí la debilidad que se los bloques de texto cifrado utilizan- aspectos relativos a la Criptología y pretende obtener es de la implemen- do esta información. Esto se puede el Criptoanálisis ha sido una de las tación particular del mismo; este tipo hacer determinando la clave utiliza- áreas más activas. Muchos sistemas de ataques suele tener más éxito, un da para cifrar los datos o utilizando criptográficos (o criptosistemas, por ejemplo son las debilidades encon- algún “atajo”. ejemplo DES) que se creían seguros tradas en las primeras implementa- se han visto rotos y se ha desarrolla- ciones del protocolo de seguridad Texto Ataque a Texto Sin Cifrar Elegido do un elevado conjunto de herra- SSL del navegador Netscape. El atacante puede tener algo de mientas matemáticas para poder lle- texto que quiere, cifrado con la cla- var a cabo de la forma más adecua- Criptoanálisis y tipos de ve desconocida. La tarea consiste en da el criptoanálisis. ataques a los determinar la clave utilizada para el El criptoanálisis suele ser un pro- criptosistemas cifrado. Algunos métodos de cifrado ceso duro, a menudo tedioso, repe- (por ejemplo, el algoritmo de clave titivo y de gran costo económico. El El Criptoanálisis (es uno de lo pública o asimétrico RSA) son extre- éxito nunca está asegurado y los re- dos componentes que conforman la madamente vulnerables a los ata- cursos son siempre limitados. Conse- Criptología junto a la Criptografía ques de texto sin cifrar elegido. cuentemente, también se deben con- que se define como la ciencia que Cuando tales algoritmos se utilizan siderar otros enfoques, a veces, más trata de escribir mensajes que nadie debe tenerse extremo cuidado para efectivos para obtener información salvo el receptor deseado lo pueda diseñar todo el sistema de modo que oculta o las claves secretas (esto leer) puede definirse como la ciencia un atacante nunca pueda conseguir plantea un compromiso entre el crip- que engloba un conjunto de técnicas texto sin cifrar elegido cifrado. toanálisis y la subversión). Cuando la tendentes a descifrar comunicacio- fuerza de un desarrollo criptográfico nes cifradas sin conocer las claves Ataque “man-in-the-middle” (por ejemplo, un cifrador) excede por correctas, obtener el polinomio de Atacante mediante intromisión. mucho el esfuerzo requerido para realimentación de un PRNG a partir El adversario se coloca en medio de obtener la misma información de de la salida conocida, obtener el es- las partes legítimas que se comuni- otra forma, el cifrador probablemen- quema interno de un determinado can o “meet-in-the-middle”. Este ata- te es lo suficiente fuerte para resistir mecanismo criptográfico, etc. Existen que es relevante para protocolos de los ataques. muchas técnicas, las más importan- intercambio de claves y comunica- El criptoanálisis implica una tes para un diseñador/implementa- ción criptográfica. La idea es que combinación de razonamiento ana- dor práctico de sistemas son: cuando dos partes se intercambian lítico, aplicación de herramientas claves para comunicaciones seguras matemáticas/informáticas, encuentro Texto Ataques sólo a Texto Cifrado (por ejemplo utilizando Diffie-Hell- de patrones, paciencia, determina- El atacante no conoce nada man) un adversario se coloca entre ción, suerte, encontrar esquemas de acerca de los contenidos del mensa- las partes en la línea de comunicacio- factorización de enteros, aplicar téc- je y debe trabajar a partir sólo del nes. El adversario entonces realiza un nicas de inteligencia artificial (redes texto cifrado. En la práctica a menu- intercambio de clave separado con neuronales, algoritmos genéticos, do es posible adivinar algo de texto cada parte. Las partes finalizarán uti- sistemas expertos, etc.), utilizar algo- sin cifrar ya que muchos tipos de lizando una clave diferente cada una ritmos discretos, aplicar métodos es- mensaje tienen cabeceras de forma- de las cuales es conocida por el ad- tadísticos sofisticados, ordenación y to fijo. Incluso las cartas y documen- versario. El adversario entonces des- reordenación de los datos para reve- tos ordinarios empiezan de una for- cifrará las comunicaciones con la cla- 2 • Marzo 2000
  • 3. Redes Figura 1. Esquema del PROTOCOLO, TARJETA análisis estadístico puede incluso El criptoanálisis lineal fue ideado INTELIGENTE, ETC. Principio sobre el que se conducir a la recuperación total de por Matsui y Yamagishi para un ata- Fundamenta el Ataque de estos parámetros secretos. La idea que sobre FEAL. Fue extendido por Tiempo. inicial fue presentarda por Kocker en Matsui para atacar al DES. Es un ata- 1996 y demandaba que el atacan- que de texto sin cifrar conocido y SECRETO te dispusiese de un conocimiento utiliza una aproximación lineal para muy detallado de la implementación describir el comportamiento del cifra- del sistema a atacar. Actualmente dor de bloque. Dados suficientes otros investigadores han mejorado el pares de texto sin cifrar y los corres- método de Kocker y no se requiere pondientes textos cifrados, se pue- un conocimiento tan detallado del den obtener los bits de información PREGUNTA RESPUESTA sistema. acerca de la clave y cantidades cre- DIFERENCIA DE TIEMPO cientes de datos darán normalmen- Criptoanálisis Diferencial, Lineal y te una elevada probabilidad de éxito. ve adecuada y las cifrará con la otra Lineal-Diferencial Existen una variedad de mejoras clave para enviarla a la otra parte. Las El criptoanálisis diferencial es un al ataque básico. Langford y Hellman partes creerán que se están comuni- tipo de ataque que puede aplicarse introdujeron un ataque denominado cando de forma segura, pero de he- a cifradores de bloque iterativos criptoanálisis lineal-diferencial que cho el adversario está escuchando y (como por ejemplo, los algoritmos combina los elementos del criptoaná- entendiendo todo. simétricos o de clave secreta DES, lisis diferencial con los del criptoaná- Una forma de prevenir los ata- 3DES, IDEA, etc.). Estas técnicas fue- lisis lineal. Así mismo, Kaliski y Robs- ques de este tipo es que ambos ex- ron introducidas por Murphy en un haw demostraron que un ataque tremos calculen una función cripto- ataque sobre FEAL-4, pero fueron criptoanalítico lineal utilizando múl- gráfica unidireccional hash (por mejoradas y perfeccionadas poste- tiples aproximaciones, puede permi- ejemplo, MD5, SHA/SHA1, etc.) del riormente por Biham y Shamir que tir una reducción de la cantidad de intercambio de clave (o al menos de las utilizaron para atacar el DES. datos requerido para un ataque con las claves de cifrado), la firmen utili- El criptoanálisis diferencial es éxito. Nyberg, Knudsen y O’Conner zando un algoritmo de firma digital básicamente un ataque sobre texto han estudiado la protección de cifra- y envíen la firma al otro extremo. sin cifrar escogido y se basa en un dores contra ataques criptoanalíticos El receptor entonces verificará que análisis de la evolución de las diferen- lineales. la firma viene de la otra parte desea- cias entre dos textos sin cifrar relacio- da y que el «hash» de la firma coin- nados cuando se cifran bajo la mis- Ataques de diccionario cide con el calculado localmente. Este ma clave. Mediante un cuidadoso Utilizados para romper palabras método se utiliza por ejemplo en análisis de los datos disponibles, las de paso de los sistemas operativos. Photuris. probabilidades pueden asignarse a En el «ataque de diccionario» no se cada una de las posibles claves y pretende obtener la clave, si no direc- Ataques de Tiempo eventualmente la clave más probable tamente el texto en claro ya que el Este ataque es muy reciente y se se identifica como la correcta. método de cifrado es público y aun- basa en la medida repetida de los El criptoanálisis diferencial se ha que no se disponga de la clave se tiempos de ejecución exactos de las utilizado contra cifradores muy gran- puede reproducir. Este es el caso de operacioes de exponenciación modu- des con grados de éxito variables. En los sistemas de cifrado de claves de lar (figura 1). Es relevante al menos ataques contra el DES su efectividad acceso en sistemas operativos. a los métodos criptográficos RSA, es limitada, por lo que fue muy cui- Cuando un usuario quiere darse Diffie-Hellman y de Curvas Elipticas. dadoso el diseño de las cajas S du- de alta en un sistema, introduce su Las implementaciones de algo- rante el diseño del DES a mediados código y su clave de acceso, ésta se ritmos criptográficos a menudo rea- del año 1970. cifra y posteriormente se compara el lizan cálculos en tiempo no constan- Nyberg, Knudsen Lai, Massey y resultado con la clave cifrada que se te, debido a optimizaciones del ren- Murphy han realizado estudios sobre almacena en el fichero de claves. Si dimiento. Si dichas operaciones im- protección de cifradores contra crip- son iguales, el sistema considera que plican parámetros secretos, estas va- toanálisis diferencial. El criptoanálisis el usuario es quien dice ser y le per- riaciones de tiempo pueden fugar diferencial ha sido útil en ataques a mite el acceso. cierta información y si se proporcio- otros algoritmos criptográficos como Los programas rompedores de na suficiente conocimiento de las por ejemplo las funciones criptográ- “palabras de paso” parten del hecho implementaciones, un cuidadoso ficas unidireccionales «hash». de que se ha obtenido una copia del • Marzo 2000 3
  • 4. Redes fichero de claves (por ejemplo, el de- Figura 2. PRNG basado en nominado /etc/passwd de Unix) y Registro de Desplazamien- comprueban si existe alguna cuenta to con Realimentación sin clave, en cuyo caso utilizan, y con Lineal de longitud 7, de el resto se realiza el siguiente ataque. función de realimentación Por una parte se dispone de un dic- f(x)=1+x+x7. Su estado cionario en claro con gran cantidad inicial es 1001011 o de palabras y combinaciones muy expresado en forma comunes y válidas como claves. Pos- polinómica 1+x3+x5+x6. teriormente se realiza su cifrado con Su salida de longitud 20 la utilidad del sistema a atacar o una será copia de la misma, se comprueba el 11010010110001101111. resultado del cifrado con el conteni- una entrada de audio, los intervalos de cogerse de una parte de la bate- do del fichero de claves y en el caso entre interrupciones de dispositivos o ría no devuelta) en un modo que de que se produzca una coincidencia las pulsaciones de teclado de usua- hace que cada bit de la batería de- inferimos cuál es la palabra en claro. rio. El ruido obtenido de una fuente penda de cada otro bit de la batería. física se «destila» con una función Se debe mezclar nuevo ruido am- Ataque de búsqueda exhaustiva hash criptográfica para hacer que biental a la batería antes de agitar El ataque de búsqueda exhaus- cada bit dependa de los otros. A para hacer más imposible la predic- tiva o fuerza bruta para encontrar la menudo una batería grande (varios ción de valores previos o futuros. clave de un cifrador, es útil cuando el miles de bits) se usa para contener tamaño de la clave a atacar es redu- aleatoriedad y cada bit de la batería Síntesis e cido. Se realiza generando aleatoria- se hace dependiente de cada bit del implementación de un mente todos los valores posibles de ruido de entrada y cada uno de los módulo software de las claves de acceso y transformán- otros bits de la batería de una forma criptoanálisis para la dolas. De esta forma se puede elegir fuerte criptográfica. ruptura de un PRNG la clave de acceso cuya transforma- Cuando la aleatoriedad física basado en registro de da coincida con la interceptada. Para verdadera no está disponible, se de- desplazamiento claves de gran longitud este ataque ben usar números pseudoaleatorios. se agiliza con un hardware ASIC de Esta situación no es deseable, pero a La figura 2 muestra un PRNG ruptura de elevadísmo costo. menudo se utiliza en ordenadores de basado en un registro de desplaza- propósito general. Siempre es desea- miento con realimentación de longi- Generadores de ble obtener algún ruido ambiental tud 7, posee una función de reali- números aleatorios (latencias de dispositivos, estadísticas mentación lineal f(x)=1+x+x7 y su criptográficos. de utilización de recursos y de red, estado inicial es 1001011 (MSB a la Criptoanálisis cadencia de pulsación de teclados, derecha) en binario o expresado en etc.). Los datos no deben ser prede- forma polinómica 1+x3+x5+x6, su Generan números aleatorios uti- cibles por ningún observador exter- salida en binario de longitud 20 es lizados en aplicaciones criptográficas no; para conseguir esto, la batería 11010010110001101111. como claves, passwords, etc. Los aleatoria debe contener al menos La figura 3 muestra la especifica- convencionales disponibles en la 128 bits de entropía verdadera. ción en C de un mecanismo software mayoría de lenguajes de programa- Los generadores pseudoaleato- de criptoanálisis que permite obtener ción o entornos de programación, no rios criptográficos poseen una gran la «complejidad lineal» (L) de una son adecuados para aplicaciones batería (valor de semilla) que contie- secuencia binaria producida por un criptográficas, ya que estan diseña- ne aleatoriedad. Los bits son devuel- PRNG basado en registro de despla- dos para aleatoriedad estadística y tos desde esta batería tomando da- zamiento con realimentación lineal, no resisten la predicción por criptoa- tos de la batería, opcionalmente eje- así como su polinomio de realimen- nálisis. En el caso óptimo, los núme- cutando los datos a través de una tación. La ayuda del programa se ros aleatorios se basan en fuentes función hash criptográfica para evi- obtiene tecleando «criptoanálisis h». verdaderamente físicas de aleatorie- tar revelación de los contenidos de la Supongamos que se conoce una dad que no pueden ser predecibles. batería. Cuando se necesitan más cadena de bits que proviene de un Dichas fuentes son por ejemplo el bits, la batería se agita cifrando sus PRNG lineal desconocido. Esa cade- ruido de los dispositivos semiconduc- contenidos con un cifrador adecua- na es la entrada del módulo de crip- tores, el bit menos significativo de do con una clave aleatoria (que pue- toanálisis. Supongamos que el PRNG 4 • Marzo 2000
  • 5. Redes Figura 3. Listado del Módulo Software de Criptoanálisis para un Generador de Números Pseudoaleatorio (PRNG). esta basado en un registro de despla- Veinte bits de la cadena genera- bits al ataque/criptoanálisis de Berle- zamiento de realimentación lineal (o da por este PRNG son: kamp-Massey dado por el módulo LFSR) formado por el polinomio pri- “criptoanálisis.exe” se obtine la si- mitivo x7+x+1 y dicho registro se 11010010110001101111. guiente salida: inicializa con el valor (1001011) o en notación polinómica 1+x3+x5+x6. Si sometemos esta cadena de Secuencia? • Marzo 2000 5
  • 6. Redes 11010010110001101111 jidad lineal” de dicha función menos de veinte bits, por ejemplo L=7 (1+x+x7) es 7 y el ataque criptoana- doce: Polinomio de lítico ha conseguido obtener el poli- realimentación=1+x+x7. nomio original del que partía la se- 110100101100 cuencia. Esto significa que la “comple- Si se introduce una secuencia de el módulo software diseñado 6 • Marzo 2000
  • 7. Redes “criptoanálisis.exe” también podrá La complejidad lineal de una secuen- salidas del PRNG no se ven de forma adivinar el polinomio de realimenta- cia es la longitud del LFSR más corto directa. ción deseado del PRNG. Si en cambio que puede generar dicha secuencia. sólo introducimos once o menos bits El algoritmo Berlekamp-Massey Ataques Basados en la Entrada el criptoanálisis será incorrecto y la obtiene la complejidad lineal de for- Un ataque de entrada ocurre ruptura no tendrá éxito, debido a ma iterativa y también obtiene el cuando un atacante puede utilizar el que poseemos poca información polinomio de realimentación asocia- conocimiento o control de las entra- para que el criptoanálisis infiera lo do al LFSR. Puesto que el grado del das del PRNG para criptoanalizar el deseado. polinomio es igual al del registro de PRNG, es decir para distinguir entre En este ejemplo de criptoanálisis desplazamiento LFSR, el grado de la salida del PRNG y los valores alea- se ha utilizado un PRNG basado en este polinomio es la complejidad li- torios. Los ataques de entrada pue- un LFSR o registro de desplazamien- neal. El número de bits necesarios den ser a su vez clasificados en tres to realimentado linealmente por un para roomper una secuencia genera- categorias: polinomio primitivo basado en el da por un LFSR de longitud n dado, operador suma módulo 2 (o O-exclu- utilizando el algoritmo de Berle- a) Ataques de Entrada Conoci- siva), es decir perteneciente a GF(2) kamp-Massey es en el peor de los da.- Pueden ser prácticos en cual- (Grupo Finito de orden 2). El núme- casos 2n. quier situación en la que alguna de ro de polinomios de realimentación El orden de un polinomio de rea- las entradas del PRNG ideadas por el primitivos sobre GF(2) para grado limentación de un LFSR f(x), para el diseñador del sistema difíciles de pre- n=1,2,3,..., es el indicado en el cua- que f(0) es distinto de cero, es el decir, resultan ser fácilmente predi- dro 1, es decir para grado n=1 sólo menor entero “e” para el que f(x) di- chas en algunos casos especiales. Un hay un polinomio el (1+x), para n=2 vide a 1+x e; un polinomio sobre ejemplo de esto es una aplicación sólo existe uno, el (1+x+x2); para GF(2) es primitivo si posee orden (2n que utiliza la latencia del «hard- n=3 existen dos, el (1+x+x3) y el –1), por ejemplo 1+x+x2 posee or- drive» para algunas de las entradas (1+x2+x3), etc. den e = 3 = 2 2 -1 ya que (1+ del PRNG, pero tienen que estar eje- En general el número de polino- x+x2)(1+x)=(1+x3). cutándose por medio de un “drive” mios primitivos sobre GF(2) para gra- Otra ruptura con el módulo soft- de red cuyos «timings» (diagramas Cuadro 1. do k es: ware diseñado sería para la señal de de tiempo) son observables por el entrada procedente del PRNG a rom- atacante. [FI(2k – 1)]/k per con, por lo menos, 12 bits: 101010100110 y la salida es L=7 y b) Ataques de Entrada Elegida.- donde la función FI(m) de Euler re- el polinomio es 1+x+x7; en este caso Pueden ser prácticos contra tarjetas presenta el número de valores ente- el estado de partida del LFSR es inteligentes y otros “token” (o testi- ros positivos menores que m y rela- 1010101 (1+x2+x4+x6). gos) resistentes a intentos de forzar tivamente primos con m; p. ejemplo: bajo un ataque físico/criptoanalítico; Clasificación de clases pueden también ser prácticos para FI(26 -1) = FI(63) = 36 = de ataques aplicaciones que suministren mensa- = cardinalidad{2,4,5,8,...,62} criptoanalíticos a jes entrantes, palabras de paso selec- PRNGs cionadas por el usuario, estadísticas por tanto, el número de polinomios de red, etc. en su PRNG como mues- de grado k=6 es 36/6=6. Ataque de Criptoanálisis Directo tras de entropía. Una secuencia de salida se dice Cuando un atacante puede distin- que es m si es generada por un LFSR guir directamente entre las salidas - c) Ataques de Entrada Repeti- de longitud m y si el polinomio de del PRNG (o Generador de Números da.- Es probable que sean prácticos realimentación del LFSR es primitivo; Pseudoaleatorios) y las salidas alea- en las mismas situaciones que los se dice que es primitivo si es irredu- torias, se dice que es un ataque crip- anteriormente mencionados ataques cible y divisible por 1+xp donde el tográfico directo. Este tipo de ataque de entrada elegida, pero requieren li- período p de la secuencia es (2m –1). es aplicable a la mayoría, pero no a geramente menos control/sofistica- Las secuencias m poseen un núme- todos los métodos de PRNGs. ción por parte del atacante. ro casi equilibrado de unos y ceros en Por ejemplo, un PRNG que úni- un período; la diferencia entre unos camente se utilice para generar cla- Ataques de Extensión que y ceros en un período es sólo uno. ves de un cifrador, como puede ser Comprometen el Estado Aparentemente una secuencia m triple-DES, nunca puede ser vulnera- Los intentos de ataque de exten- posee un comportamiento aleatorio. ble a este tipo de ataque, ya que las sión que comprometen el estado ex- • Marzo 2000 7
  • 8. Redes tienden al máximo posible las venta- terno «S» del PRNG en el instante de práctica mientras el cifrador está uti- jas de un esfuerzo previamente con tiempo «t», todos los valores futuros lizándose. éxito que ha recuperado el estado y pasados de «S» son vulnerables al • Si un cifrador es secreto, ese interno «S» (figura 4). Supóngase ataque. secreto se ve comprometido de for- que por cualquier razón (una pene- ma creciente por el hecho de hacer- tración temporal a la seguridad del c) Ataques de Adivinación Itera- se disponible para su uso. Para que ordenador, una fuga inadvertida, un tiva.- Utilizan el conocimiento del un cifrador sea utilizado debe estar suceso criptoanalítico, etc.) un adver- estado interno «S» en el instante de presente en varios lugares y a más sario conoce el estado interno «S» en tiempo «t» y las salidas del PRNG in- amplia utilización mayor es el riesgo algún instante de tiempo «t». Un ata- termedias para aprender el estado de que el secreto se vea expuesto. Por que de extensión que compromete al interno «S» en el instante de tiempo tanto, cualquier ventaja que puede estado sucede cuando el atacante (t + e) cuando las entradas recogi- proporcionar un cifrador secreto no puede recuperar las salidas descono- das durante este intervalo de tiempo puede mantenerse y el oponente cidas del PRNG (o distinguir aquellas son adivinables (pero no conocidas) eventualmente tendrá las mismas salidas del PRNG de los valores alea- por el atacante. ventajas que tendría al revelarse pú- torios) desde antes de que “S” se blicamente. haya visto comprometido, o recupe- d) Ataques «man/meet-in-the- Los diseñadores de mecanismos rar las salidas desde después de que middle».- Son en esencia una com- criptográficos (cifradores simétricos/ el PRNG haya recogido una secuen- binación de un ataque de adivinación asimétricos, PRNGs, funciones hash, cia de entrada que el atacante no iterativo con un ataque de vuelta firmas digitales, etc.) se pueden au- puede adivinar. atrás. El conocimiento del estado in- toengañar de forma peligrosa, supo- Los ataques de extensión que terno «S» en los instantes de tiempo niendo que su oponente no posee comprometen al estado son más «t» y «t + 2e» permite al atacante información que de hecho puede probables que operen cuando un recuperar el estado interno “S” en el poseer. Los requisitos de Kerckoff PRNG se arranca en un estado inse- instante de tiempo (t + e). formulados en 1883 relativos a los guro (adivinable) debido a la insufi- criptosistemas generales son: ciencia entropía de arranque. Tam- Cifradores secretos. − El sistema debería ser irrompi- bién pueden operar cuando “S” se ha Requisitos de Kerckhoff ble, si no teóricamente, al menos en visto comprometido por cualquiera la práctica. No existen sistemas rea- de los ataques señalados o por cual- Aunque en algunos casos el crip- les que sean «irrompibles», y tiene quier otro método. toanálisis puede realizarse incluso poco sentido utilizar cifradores rom- En la práctica es prudente asu- aunque el proceso de cifrado no se pibles conocidos. El «One Time Pad» mir que puede suceder que se vea conozca, parece que ésto puede en (OTP) que utiliza una clave tan larga ocasionalmente comprometido el principio dificultar el trabajo del ad- como el mensaje a cifrar y absoluta- estado interno “S”; para preservar la versario. Por tanto, se puede argu- mente aleatoria, es el único método robusted del sistema, los PRNGs de- mentar que el proceso de cifrado impracticable que cumple la condi- berían ser resistentes al máximo a los debería permanecer en secreto, de ción de «secreto perfecto». En la ataques de extensión que compro- hecho los sistemas de cifrado milita- práctica se buscan sistemas que sean meten el estado. res no se publican. En criptografía «computacionalmente seguros», es Esta categoría de ataques puede comercial se asume normalmente decir el costo de obtener el mensaje a su vez clasificarse en las siguientes (los requisitos de Kerckhoff) que el original sin conocer la clave es extre- categorias: adversario/oponente conoce los de- madamente alto en tiempo y/o en talles del cifrador (aunque no la cla- espacio de computación. a) Ataques de Vuelta Atrás (o ve). Existen varias razones para esto: − Comprometer los detalles del «backtracking»).- Utilizan la situa- • Es común para todo cifrador la sistema criptográfico no debería pre- ción de verse comprometido el esta- existencia de ciertas debilidades (o ocupar. Hoy en día se asume que el do interno «S» del PRNG en el instan- «bugs») no esperadas que no detec- oponente tiene suficientes detalles te de tiempo «t» para aprender las tan sus diseñadores. Pero si el dise- del cifrador, ya que para que el cifra- salidas del PRNG previas. ño del cifrador se mantiene en secre- dor se pueda utilizar ampliamente to, no podrá ser examinado por otras debe estar presente en muchos luga- b) Ataques de verse comprome- partes competentes y, por tanto, res y por tanto es probable que pue- tido en el estado de forma perma- la debilidad no se expondrá pública- da quedar expuesto. También se asu- nente.- Ocurren si una vez que un mente. Esto viene a significar que la me que el oponente tendrá cierta atacante compromete el estado in- debilidad puede explotarse en la cantidad de texto sin cifrar (o «pla- 8 • Marzo 2000
  • 9. Redes Figura 4. Representación ware para la clave y una frase de de Bloques Simplificada paso para la clave. de las Operaciones − El criptograma debería ser Internas de la mayoria de transmisible por telégrafo. Esto no es PRGNs. muy importante hoy en día ya que incluso el texto cifrado binario pue- de convertirse a ASCII para la trans- misión si es necesario. - El cifrador debería ser portable, operable y fácil de utilizar por cual- quier persona. o Bibliografia Areitio, J. «Análisis y Evaluación de la Seguridad en Redes». Revista Española de Electrónica. Nº 521. Abril 1998. Gleason, AM. «Elementary Cour- intext») conocido para poder traba- tros días es un problema. El «hash» se In Probability for The Crypta- jar con él. nos permite recurrir al empleo de fra- nanyst». Aegean Park Press. 1998. − La clave debería ser recordable ses de lenguaje largas; por ello, el Foster, C.C. «Cryptanalysis for sin necesidad de anotaciones y fácil- mejor enfoque consiste en utilizar Microcomputers». Hayden Books. mente cambiable. Esto aún en nues- simultáneamente una tarjeta hard- Rochelle Park. 1990. • Marzo 2000 9