Criptografía de clave pública Sistemas basados en el problema de ...

Sist. basadosen el problemade la mochila

U.D.Computacion

Cifradoasimetrico

Caracteristicasgenerales

Ppios. de diseno

Un stma.basado en lamochila

El problema dela mochila

Funcionunidireccional

La mochilasupercreciente

Sistema deMerkle-Hellman

Descripcion

Recomendaciones

Criptoanalisis

Implementacion

Criptografıa de clave publica

Sistemas basados en el problema de la mochila

U.D. Computacion

DSIC - UPV

U.D. Computacion (DSIC - UPV) Sist. basados en el problema de la mochila 1 / 21


U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion

Contenidos del tema

1 Cifrado asimetricoCaracterısticas generales de los sistemas de clave publicaPrincipios generales para el diseno de sistemas de clave publica

2 Un sistema de cifrado basado en el problema de la mochilaEl problema de la mochilaLa mochila como funcion unidireccionalLa mochila supercreciente

3 Sistema de Merkle-HellmanDescripcion del SistemaRecomendaciones de diseno del sistema Merkle-HellmanCriptoanalisis del sistema de Merkle-HellmanImplementacion de M-H. Calculo del mcd



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion






U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion

Caracterısticas generales de los sistemas de clave

publica

Sistemas simetricos

La misma clave se utiliza para cifrar y descifrarLa clave ha de distribuirse con la maxima seguridad

Sistemas de clave publica (asimetricos)

Cifrado mediante una funcion unidireccional con trampaCada usuario posee un par de clavesLa clave publica (kc) (cifrado) se distribuyeLa clave privada (kd) constituye la trampa. Permite eldescifrado de mensajes. Problema no abordable sin ellaDado un par de claves kc (publica) y kd (privada) secumple que:

x = dkd(ekc

(x))

y si ambas funciones poseen el mismo dominio:

x = ekc(dkd

(x))



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion

Diseno de sistemas de clave publica

1 Escoger un problema difıcil Π. El problema deberıa serintratable en el sentido de la teorıa de la complejidad (nodebe existir un algoritmo determinista capaz de resolverloen tiempo polinomico)

2 Considerar un subproblema Π′ de Π resoluble en tiempopolinomico (lineal)

3 Modificar Π′ de forma que el resultado Π′′ aparezca comoΠ

4 Publicar Π′′ explicando el protocolo de cifrado. Latransformacion que permita recuperar Π′ a partir de Π′′

permanecera secreta

5 Construir el sistema de manera que el descifrado legıtimo

sea mas sencillo que para el criptoanalista



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion






U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion

El problema de la mochila

Dada una tupla de enteros positivos distintosM = (m1,m2, ...,mn) y un entero positivo k,¿Existe (x1, x2, ..., xk ), con xi ∈ {0, 1}, tal que∑

∀i ximi = k?

Como ejemplo considereseM = (43, 129, 215, 473, 903, 302, 561, 1165, 697, 1523) yk = 3231.La tupla (0, 1, 0, 1, 1, 0, 1, 1, 0, 0) es solucion ya que:129 + 473 + 903 + 561 + 1165 = 3231Algoritmo de fuerza bruta:

Explorar los 2n subconjuntos de M

Con n = 10 es abordableCon n = 300 prohibitivo



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion

Cifrado asimetico. Una funcion unidireccional

Dada una tupla M = (m1,m2, ...,mn) definimos la funcionfinita: fM : 0, 1, ..., 2n − 1 → N donde fM(x) = MBx ,denotando con Bx la representacion binaria de x yconsiderandola como un vector columna

ejemplo:Consideremos la mochilaM = (43, 129, 215, 473, 903, 302, 561, 1165, 697, 1523)Supongamos que deseamos cifrar el caracter ′I ′ (valor ascii73)x = 73, (B73 = 0001001001) por lo tanto:fM(73) = 473 + 561 + 1523 = 2557

Obtener x a partir de fM(x) equivale a resolver elproblema de la mochila. Asumiendo que el valor de n essuficientemente alto, fM(x) es una buena candidata afuncion unidireccional



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion

Cifrado asimetico basado en el problema de la

mochila

Protocolo:1 Codificar el mensaje en binario

Si el alfabeto se limita al alfabeto en mayusculas mas elsımbolo de espaciado: 5 bitsSi el alfabeto consta del alfabeto en mayusculas yminusculas y los 10 dıgitos: 6 bits

2 Formar bloques de n bits (dimension de la mochila).Completar en caso necesario

3 Cifrar cada bloque de n bits

fM debe ser inyectivaTomando M = (17, 103, 50, 81, 33)

{

′S ′ → 10011 → e(′S ′) = 17 + 81 + 33 = 131′F ′ → 00110 → e(′F ′) = 50 + 81 = 131

Sin mas, no es sencillo encontrar una solucion nidemostrar que es unica



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion

Cifrado asimetico basado en el problema de la

mochila

Mochila supercreciente:M = (m1,m2, ...,mn) es supercreciente si cuple quemi >

∑

1≤j≤i−1mj para 2 ≤ i ≤ n

Si M es supercreciente y dado k, si k > mj (1 ≤ j ≤ n)entonces mj pertenece a la solucion

for i = n to 1 do

if k ≥ mi then

xi = 1k = k − mi

else

xi = 0end if

end for

if k = 0 then (x1, x2, . . . , xn) es solucionelse no existe solucionendif

Para una mochila supercreciente, si existe solucion esta esunicaPublicar como clave una mochila supercreciente no ofreceseguridad en el cifrado



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion






U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion

Sistema de Merkle-HellmanGeneracion de claves

1 Escoger una tupla supercreciente M = (m1,m2, . . . ,mn) yun entero s >

∑

∀j mj

2 Escoger un entero t ∈ Zs tal que mcd(t, s) = 1

3 Obtener B = (b1, b2, ..., bn) donde bi = tmi mod s con1 ≤ i ≤ n

4 Clave publica: B ; Clave Privada: (M, s, t)



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion

Sistema de Merkle-HellmanCifrado

1 Tomar la clave publica del destinatario

2 Obtener el mensaje en binario y dividido en bloques delongitud n

3 Para cada bloque x = x1, x2, . . . , xn computary =

∑

1≤i≤n

xibi

4 Enviar el resultado al destinatario



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion

Sistema de Merkle-HellmanDescifrado

1 Para cada y recibido obtener k = t−1y mod s

2 Resolver la instancia del problema de la mochila (M, k)

3 Las secuencias binarias obtenidas constituyen el texto delmensaje



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion

Sistema de Merkle-HellmanRecomendaciones

Dimension: n ≥ 100

Elegir aleatoriamente el valor del modulo s en el intervalo[22n+1 + 1, 22n+2 − 1]

Los valores de mi en M (1 ≤ i ≤ n) deben escogersealeatoriamente en el intervalo [(2i−1 − 1)2n + 1, 2i−12n]

Factor multiplicador: escoger t aleatoriamente en elintervalo [2, s − 2]



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion

Sistema de Merkle-HellmanRecomendaciones

Por ejemplo, tomando n = 5, entonces s ∈ [2049, 4095].Tomamos s = 4089

i=1 1 ≤ m1 ≤ 32 → m1 = 25i=2 33 ≤ m1 ≤ 64 → m1 = 41i=3 65 ≤ m1 ≤ 128 →m1 = 105i=4 129 ≤ m1 ≤ 256→m1 = 233i=5 257 ≤ m1 ≤ 512→m1 = 489

Si se escoge t ∈ [2, 4087] → t = 11, entonces:

B = (3241, 572, 2163, 1256, 3531)



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion

Sistema de Merkle-HellmanCriptoanalisis

Un sistema de Merkle-Hellman que utilice una mochila den = 100 elementos no es sensible a un ataque por fuerzabruta (un ordenador capaz de 106 operaciones porsegundo tardarıa 1046 anos en probar todas las mochilassupercrecientes)

El sistema de Merkle-Hellman solo necesita n operacionesde suma, con lo que su velocidad es similar a sistemas declave privada como el DES

Se ha demostrado que, conociendo el valor del modulo s

(secreto) puede criptoanalizarse (Shamir y Zippel)



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion

Sistema de Merkle-HellmanImplementacion del calculo del mcd

Fundamentos matematicos:

I.- d |a y d |b implica que ∀x , y ∈ Z, se cumple que d |xa+ yb

II.- a|b implica que |a| ≤ |b| ∨ b = 0por lo tanto, a|b y b|a implica que a = ±b

III.- Teorema: mcd(a, b) es el menor entero estrictamentepositivo del conjunto {xa + yb : x , y ∈ Z}(combinaciones lineales de a y b

IV.- Corolario: d |a y d |b implica que d |mcd(a, b)

V.- Teorema: mcd(a, b) = mcd(b, a mod b)



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion

Sistema de Merkle-HellmanImplementacion del calculo del mcd

Algoritmo de Euclides:

Euclides(a, b):

if b = 0 then

Return(a)else

Return(Euclides(b, a mod b))end if

Coste del algoritmo: O(log b)

Ejemplo:Euclides(30, 21) = Euclides(21, 9) = Euclides(9, 3) =Euclides(3, 0) = 3



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion

Sistema de Merkle-HellmanImplementacion del calculo de inversos modulo n

Para el calculo de inversos del producto, es interesanteobtener el mcd(a, b) como combinacion lineal de a y b.Algoritmo extendido de Euclides:

EuclidesExt(a, b):

if b = 0 then

Return(a, 1, 0)else

(d ′, x ′, y ′) = EuclidesExt(b, a mod b))(d , x , y) = (d ′, y ′, x ′ − ⌊a/b⌋y ′)Return(d , x , y)

end if

Coste del algoritmo: O(log b)

Si mcd(a, n) = 1 → xa + yn = 1 → xa ≡ 1 (mod n), porlo tanto a−1 ≡ x (mod n)



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion

Sistema de Merkle-HellmanEjemplo del calculo de inversos modulo n

Ejemplo:

a b (d ′, x ′, y ′) ⌊a/b⌋ d x y

8 5



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion


Ejemplo:

a b (d ′, x ′, y ′) ⌊a/b⌋ d x y

8 55 3



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion


Ejemplo:

a b (d ′, x ′, y ′) ⌊a/b⌋ d x y

8 55 33 2



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion


Ejemplo:

a b (d ′, x ′, y ′) ⌊a/b⌋ d x y

8 55 33 22 1



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion


Ejemplo:

a b (d ′, x ′, y ′) ⌊a/b⌋ d x y

8 55 33 22 11 0



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion


Ejemplo:

a b (d ′, x ′, y ′) ⌊a/b⌋ d x y

8 55 33 22 1 (1, 1, 0)1 0



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion


Ejemplo:

a b (d ′, x ′, y ′) ⌊a/b⌋ d x y

8 55 33 22 1 (1, 1, 0) 2 1 0 11 0



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion


Ejemplo:

a b (d ′, x ′, y ′) ⌊a/b⌋ d x y

8 55 33 2 (1, 0, 1)2 1 (1, 1, 0) 2 1 0 11 0



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion


Ejemplo:

a b (d ′, x ′, y ′) ⌊a/b⌋ d x y

8 55 33 2 (1, 0, 1) 1 1 1 -12 1 (1, 1, 0) 2 1 0 11 0



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion


Ejemplo:

a b (d ′, x ′, y ′) ⌊a/b⌋ d x y

8 55 3 (1, 1,−1)3 2 (1, 0, 1) 1 1 1 -12 1 (1, 1, 0) 2 1 0 11 0



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion


Ejemplo:

a b (d ′, x ′, y ′) ⌊a/b⌋ d x y

8 55 3 (1, 1,−1) 1 1 -1 23 2 (1, 0, 1) 1 1 1 -12 1 (1, 1, 0) 2 1 0 11 0



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion


Ejemplo:

a b (d ′, x ′, y ′) ⌊a/b⌋ d x y

8 5 (1,−1, 2)5 3 (1, 1,−1) 1 1 -1 23 2 (1, 0, 1) 1 1 1 -12 1 (1, 1, 0) 2 1 0 11 0



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion


Ejemplo:

a b (d ′, x ′, y ′) ⌊a/b⌋ d x y

8 5 (1,−1, 2) 1 1 2 -35 3 (1, 1,−1) 1 1 -1 23 2 (1, 0, 1) 1 1 1 -12 1 (1, 1, 0) 2 1 0 11 0



U.D.Computacion

Cifradoasimetrico


Ppios. de diseno






Descripcion

Recomendaciones

Criptoanalisis

Implementacion


Ejemplo:

a b (d ′, x ′, y ′) ⌊a/b⌋ d x y

8 5 (1,−1, 2) 1 1 2 -35 3 (1, 1,−1) 1 1 -1 23 2 (1, 0, 1) 1 1 1 -12 1 (1, 1, 0) 2 1 0 11 0

Por lo que el algoritmo devuelve (1,−2, 3), esto es,5−1 ≡ 5 (mod 8)


Criptografía de clave pública Sistemas basados en el problema de ...

Documents

Transcript of Criptografía de clave pública Sistemas basados en el problema de ...