Seguridad 2013/2014

Introduccin a la Seguridad

1

Objetivo General de la Asignatura

Ser capaces de: Almacenar Transmitir Disear Desarrollar Desplegar Administrar Mantener Auditar

Informacin Segura

Comunicaciones Seguras

Sistemas Seguros

2

Identidad: un valor asociado a una determinada entidad (individuo, aplicacin, elemento de red) que lo distingue de forma nica

Autenticacin: el proceso de verificacin de la identidad de una entidad Autorizacin: verificacin de que una solicitud (e.g. un acceso a un recurso) est

dentro de los privilegios de la entidad solicitante. Integridad: Comprobacin de que un recurso o activo de informacin no ha sido

alterado. Confidencialidad: garanta de que determinada informacin slo es accesible por el

destinatario legtimo de la misma. Privacidad: control sobre la comparticin de informacin personal. Disponibilidad: garanta de que un recurso o activo de informacin es accesible

cuando es requerido No repudio (accountability): garanta de que una accin sobre un recurso o la

generacin de un mensaje no puede ser negada

Servicios de Seguridad 3

reas de la Ciberseguridad

Seguridad fsica Seguridad lgica Seguridad de la informacin nCriptografa nSeguridad de las comunicaciones (protocolos)

Control de acceso nAutenticacin y autorizacin

Seguridad de sistemas

4

Seguridad 2013/2014

Introduccin a la Criptografa

5

Por qu Estudiar Criptografa? Es la base de la gran mayora de servicios

de seguridad Confidencialidad Integridad Autenticacin Identidad, Autorizacin No repudio

Est en todas partes (HTTPS, GSM, DVD) Es uno de los pocos mecanismos que, bien

usados, garantiza seguridad OJO. Tampoco es la panacea

Es tremendamente fcil de usar mal

6

Criptografa Clsica 300 b.C: Criptografa en la Grecia antigua

Cifrado de transposicin La clave era el dimetro del cifrador

7

Criptografa Clsica 50 a.C: Cifrado csar

MENSAJE NFOTBKF Cifrado de sustitucin monoalfabtica En realidad era una rotacin del alfabeto La clave era la distancia de rotacin

Fcil de romper (slo hay 26 posibles claves) Probar hasta que el texto en claro tiene sentido Ataque de fuerza bruta

8

Criptografa Clsica 1586: Cifrado Vigenere Sustitucin polialfabtica Puede verse como un csar mltiple n Clave BCDE: MENSAJE -> NGQWBLH

Ataques de fuerza bruta Dificultad segn longitud de clave

Otro tipo de ataques?

9

Criptoanlisis Obtencin del texto claro sin la clave Por oposicin a la fuerza bruta Explotar debilidades en el cifrado

Ejemplos Anlisis de frecuencias Anlisis de digramas, trigramas El escarabajo de oro, de Edgar Allan Poe

10

Criptoanlisis El escarabajo de oro, de E.A. Poe

53305))6*;4826)4.)4);806*;488 60))85;1(;:*883(88)5*;46(;88*96 *?;8)*(;485);5*2:*(;4956*2(5*4)8 8*;4069285);)68)4;1(9;48081;8:8 1;4885;4)485528806*81(9;48;(88;4 (?34;48)4;161;:188;?;

11

Criptoanlisis El escarabajo de oro, de E.A. Poe Anlisis de frecuencias

12

Criptoanlisis El escarabajo de oro, de E.A. Poe Anlisis de frecuencias n Permite establecer correspondencias n 8 e

Anlisis de digramas/trigramas n ;48 the

A partr de ah pueden recomponerse frases n ;48;(88 ????

13

Criptoanlisis El escarabajo de oro, de E.A. Poe Anlisis de frecuencias n Permite establecer correspondencias n 8 e

Anlisis de digramas/trigramas n ;48 the

A partr de ah pueden recomponerse frases n ;48;(88 the tree

14

Criptoanlisis Criptoanlisis de Vigenere Diversas tcnicas (Kasiski, Friedman) Basado en entropa n Cada idioma tiene una entropa carcterstica n Un texto suficientemente largo en ese idioma debe

aproximarse a esa entropa n Y una sustitucin monoalfabtica tambin!

n Cada columna de Vigenere es una sustitucin n Permite deducir la longitud de la clave

15

Hacia la Criptografa Moderna 1895: La radio (Marconi) Increble potencial militar Permite comunicacin instantnea de tropas Pero la comunicacin queda expuesta

La criptografa se vuelve ms crtica Aparecen nuevos mtodos de cifrado

16

Primera mitad del siglo XX One-Time Pads Libros de cifra (codebooks) Mquinas de cifrar: JN-25 PURPLE ENIGMA

Uso fundamentalmente militar

17

Hacia la Criptografa Moderna

El Secreto Perfecto 1945: Teora de la informacin (Shannon) Communication theory of secrecy systems n Establece mtricas ms avanzadas que el anlisis

de frecuencias: n Tambin demuestra la existencia del secreto

perfecto Secreto perfecto One-time pad de la longitud del mensaje n Conocido desde 1916

18

One-time pad

h e i l h i t l e r 001 000 010 100 001 010 111 100 000 101

111 101 110 101 111 100 000 101 110 000

110 101 100 001 110 110 111 001 110 101

s r l h s s t h s r

Mensaje:

Clave:

Texto Cifrado:

e=000 h=001 i=010 k=011 l=100 r=101 s=110 t=111

19

One-Time Pad

e=000 h=001 i=010 k=011 l=100 r=101 s=110 t=111

s r l h s s t h s r 110 101 100 001 110 110 111 001 110 101

111 101 110 101 111 100 000 101 110 000

001 000 010 100 001 010 111 100 000 101

h e i l h i t l e r

Descifrado: Criptograma Clave = Mensaje

Clave:

Mensaje:

20

One-Time Pad: El Secreto Perfecto

e=000 h=001 i=010 k=011 l=100 r=101 s=110 t=111

s r l h s s t h s r 110 101 100 001 110 110 111 001 110 101

101 111 000 101 111 100 000 101 110 000

011 010 100 100 001 010 111 100 000 101

k i l l h i t l e r

Criptograma:

clave:

Mensaje:

21

One-Time Pad: el proyecto VENONA En los aos 30 y 40, los espas soviticos en EEUU

emplearon one-time pads para cifrar sus mensajes Uno de los asuntos de los que informaron con xito

fue sobre del desarrollo de la bomba atmica Los espas nunca reutilizaron la clave, aspecto

bsico para el xito de un sistema de este tipo Sin embargo algunos de los mensajes pudieron ser

descifrados, cmo?

22

One-Time Pad Un aspecto clave en el One-Time Pad es que la

clave empleada sea efectivamente aleatoria Si la clave tiene regularidades, estas se pueden

emplear para recuperar el mensaje Los pads empleados por los espas soviticos

incluan largas secuencias de clave repetidas Mal uso de una criptografa perfecta Este ser un tema recurrente durante la asignatura n Tambin la aleatoriedad de las claves

23

Libro de cdigos Un cifrador basado en libro de cdigos (codebook)

es, literalmente, un libro que contiene palabras y su equivalente cifrado.

Para cifrar una determinada palabras, simplemente hay que encontrar la palabra en el libro y sustituirla por su correspondencia cifrada.

Es un cifrador de SUSTITUCIN en el que las sustituciones son muy complejas

24

Seguridad de los libros de cdigos La seguridad de un cifrador de este tipo depende del

libro de cdigos Los britnicos robaron el libro de cifra de la embajada

espaola en Panam en 1918 comprometiendo las comunicaciones espaolas

Tambin es posible utilizar ataques estadsticos, eso s, con mucha mayor cantidad de informacin

Para evitarlos, era necesario sustituir el libro o emplear tcnicas para extender su vida til

Los cifradores modernos de bloque pueden ser vistos como cifradores de este tipo donde cada clave genera un nuevo libro de cdigos

25

El telegrama de Zimmerman (1917) 26

El telegrama Zimmerman: EEUU entra en la WW I

El telegrama se descifr a partir de una versin daada de un libro de cdigos alemn que los rusos pasaron a los britnicos.

Los britnicos fueron capaces de completar los huecos En el telegrama se lea que el gobierno alemn planeaba

comenzar ataques mediante submarinos que terminaran llevando a la guerra con los EEUU

Como consecuencia, propona a su embajador en Mxico que convenciera a Mxico para comenzar una guerra con los EEUU

El descubrimiento de este telegrama convencin a la opinin pblica de EEUU para entrar en guerra tras el hundimiento del Lusitania

27

Hacia la criptografa moderna 1939: Segunda Guerra Mundial Enigma, Purple, JN25 Tpicamente, mquinas de rotores

Ruptura de cdigos Alan Turing, Friedman Criptoanlisis

28

ENIGMA El cifrado con la mquina Enigma representaba un proceso largo

y pesado. Dos operarios deban trabajar conjuntamente:

Uno pulsaba las letras, operacin relativamente lenta, ya que las teclas deban presionarse con mucha fuerza para girar los rotores

Otro registraba la letra cifrada, que se encenda en el panel superior de bombillas.

Las mquinas comerciales como las espaolas contaban con tres rotores, mientras que el modelo militar rediseado contaba con otros sistemas aadidos.

Para descifrar los mensajes enviados se usaba el mismo sistema, pero al revs.

Simulador de Enigma: http://www.advanced-ict.info/javascript/enigma.html

29

1976: Inflexin 1967: The Codebreakers (Khan) NSA intenta impedir su publicacin

1976: Se publica DES U.S. Data Encryption Standard IBM, Feistel y la NSA

30

DES: los orgenes A mediados de los aos 70 se hizo patente el

gobierno de los EEUU reconoci la necesidad comercial de un cifrado seguro

En esa poca, fuera de los mbitos gubernamentales haba un pobre entendimiento de la criptografa

La falta de informacin llevaba a que no hubiera forma de juzgar la calidad de los algoritmos existentes que era, por otro lado, bastante pobre

31

DES: los orgenes La organizacin de estandarizacin de EEUU

(NBS, posteriormente NIST) promulg una peticin de propuestas de nuevos algoritmos de cifrado

La propuesta ganadora se convertira en el estndar de cifrado para el gobierno y un estndar industrial de facto

Se recibieron pocas propuestas de calidad y desde el principio una propuesta de IBM, el cifrador Lucifer, apareci como el nico candidato de entidad

32

DES: los orgenes Llegados a este punto, encontraron un problema

porque no contaban con expertos en criptografa Recurrieron a la agencia nacional de seguridad

NSA No Such Agency

La NSA era la responsable de disear las soluciones criptogrficas usadas por el gobierno y por los militares americanos Entre otras muchas ms cosas

33

DES: los orgenes Como caba esperar, la NSA se mostr reticente a

participar en el proceso Finalmente aceptaron estudiar el diseo de Lucifer

con la condicin de que su papel no fuera pblico Recordemos NSA=No Such Agency

Cuando finalmente se revel su implicacin en el proceso, muchos sospecharon que la NSA haba introducido una puerta trasera en el algoritmo

34

Estructura de DES 35

DES La NSA sugiri una serie de cambios sobre Lucifer: Reducir el tamao de clave de 128 a 64 bits (56bits + 8

bits de paridad clave efectiva 56 bits) Aparentemente DES era 272 veces ms fcil de romper

por fuerza bruta que Lucifer La NSA tambin sugiri una serie de cambios sobre las

cajas S (elementos de sustitucin no lineales en la estructura de DES)

Con estos cambios DES se adopt como estndar a finales de 1976

36

NSA y DES El tiempo ha mostrado que los cambios que

introdujo la NSA no slo no debilitaron DES sino que lo fortalecieron: La fortaleza real de Lucifer era en realidad similar a la

de DES Las modificaciones introducidas en las cajas S hicieron

DES resistente contra tcnicas criptoanalticas que en aquella poca eran desconocidas n Criptoanlisis diferencial 1990!

37

Relevancia de DES Now there was an algorithm to study; one that the NSA said was secure

(Bruce Schneier)

38

Relevancia de DES Nunca hasta ese momento se haba publicado la

especificacin de un algoritmo considerado seguro por la NSA

En realidad, parece que se trat de un malentendido en la NSA y la NBS

La NSA pretenda que DES slo pudiera implementarse en hardware y as apareca en el estndar

Sin embargo, la NBS public suficientes detalles sobre el algoritmo como para poder implementarlo en sw

Se puede decir que DES fund la disciplina acadmica de la criptografa

39

Relevancia de DES El estndar impona una implementacin slo hw con

la esperanza de mantener el algoritmo en secreto: Hubo elementos, como las composicin de las cajas S, que

no se publicaron y que se obtuvieron mediante ingeniera inversa

Off the record, la NSA reconoce DES como uno de sus mayores errores

Supuso un hito sin precedentes en la historia de la criptografa

El siguiente estndar del gobierno, Skipjack, ya no fue publicado de forma abierta

40

Relevancia de DES Cuando se public DES, la NSA revis las cajas S para hacerlas

resistentes frente a un ataque, el criptoanlisis diferencial, que se public dos dcadas despus

En el ao 1999, unos investigadores publicaron una debilidad en un algoritmo propuesto por la NSA, SHA, que la propia NSA afirm haber descubierto 4 aos antes

En el ao 2004, se public una debilidad en SHA-1, tambin propuesto por la NSA, que la propia NSA pareca desconocer

Las distancias entre criptgrafos gubernamentales y el mundo acadmico claramente se han acortado

Realmente? We are investing in groundbreaking cryptanalytic capabilities to defeat adversarial cryptography and exploit Internet traffic (director de la NSA, James R. Clapper Jr., Fuente: http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html?pagewanted=1&_r=0)

41

Relevancia de DES Maybe now we're just a couple of years

behind

42

The mathematics of cryptography will still be the most secure part of any encryption system. I worry a lot more about poorly

designed cryptographic products, software bugs, bad passwords, companies that

collaborate with the NSA to leak all or part of the keys, and insecure computers and networks. Those are where the real vulnerabilities are, and where the NSA

spends the bulk of its efforts. Bruce Schneier, famoso criptgrafo y divulgador

DES A mediados de los 90 qued patente que la NSA

poda romper DES mediante bsqueda exhaustiva El problema resida en que la clave empleada es

demasiado corta Triple DES (1985): mismo algoritmo, varias iteraciones

En 1998 se disea una mquina que permita romper DES en unos pocos das por un precio de 220000$ DESCracker, por la EFF

43

De DES a AES En 1997, ante los problemas de DES, el NIST convoca

un nuevo concurso para un nuevo algoritmo de cifrado: En 1974 prcticamente no se recibieron propuestas de

calidad En 1997 se recibieron 15 propuestas de 10 pases distintos La criptografa se haba convertido en una disciplina

ampliamente difundida y con trabajos de calidad Tras dos aos de deliberaciones y escrutinio pblico

se seleccin un algoritmo diseado por dos belgas, Rijndael

Ese nuevo algoritmo se bautiz como AES

44

Otra revolucin en los 70 La criptografa de clave pblica es aquella en que

se emplea una clave distinta para cifrar que para descifrar

Este tipo de criptografa fue descubierta tan slo a finales de los 60 principios de los 70 por la GCHQ S, es otra agencia gubernamental, la equivalente

britnica a la NSA Fue descubierta independientemente por

investigadores en el ao 1976 Diffie y Hellman

45

Hacia RSA Diffie y Hellman mostraron que esa criptografa era

posible pero no propusieron un algoritmo de cifrado sino slo un algoritmo de intercambio de claves

Ms adelante, tres investigadores, Rivest, Shamir y Adleman proponen un algoritmo de cifrado basado en esos principios al que llaman Rivest Shamir Adleman

Este algoritmo tambin haba sido descubierto con anterioridad por la GCHQ

46

Criptografa asimtrica Se basan en la existencia de funciones trampa de un

nico sentido La funcin es fcil de calcular en un sentido Computacionalmente imposible de calcular en el sentido

contrario Esto asegura que un atacante no puede emplear la

informacin pblica para recuperar la parte privada Ejemplos: Factorizacin RSA Logaritmos discretos Diffie-Hellman Operaciones sobre curvas elpticas ECC

47

Principios de Kerchoff (1883) Un criptosistema: 1. Debe ser (prcticamente) indescifrable. 2. No debe necesitar ser secreto (debe poder caer en

manos del enemigo). 1. Esto en 2013 sigue sin estar claro MEGAMOS http://

www.theguardian.com/technology/2013/jul/26/scientist-banned-revealing-codes-cars

3. Debe tener una clave que no necesite ser escrita (!), y que pueda cambiarse con facilidad.

4. Debe poder aplicarse al telgrafo (!) 5. Debe ser portable. 6. Debe ser fcil de manejar.

Seguridad de un algoritmo de cifrado De acuerdo con los principios anteriores, la seguridad

de un algoritmo de cifrado viene dada por la clave La mejor manera de atacar un algoritmo de cifrado

debera ser probar con todas las posibles claves Ataque de fuerza bruta o bsqueda exhaustiva

El criptoanalista intenta encontrar debilidades y errores en el algoritmo que permitan recuperar el mensaje o la clave con un esfuerzo menor al de la fuerza bruta

Se dice que un cifrador est roto cuando es posible atacarlo con un esfuerzo inferior al requerido por la fuerza bruta

Seguridad de un algoritmo de cifrado

Diferentes tipos de criptoanlisis Slo texto cifrado (known ciphertext) Texto en claro conocido (known plaintext) Texto en claro elegido (chosen plaintext) nProtocolos pueden cifrar datos elegidos

Claves relacionadas (related keys) Bsqueda directa (forward search)

50

Seguridad de un algoritmo de cifrado Las tres leyes de Shamir (uno de los inventores

de RSA) sobre la seguridad de sistemas: No existen sistemas absolutamente seguros Para reducir a la mitad tus vulnerabilidades, tienes que

doblar tu inversin La mayor parte de los ataques ms que atacarlas,

evitan las protecciones criptogrficas Es ms fcil atacar los elementos no criptogrficos

(el factor humano, p.ej.) que los algoritmos

51

Posibles ataques: Ataques a las primitivas (algoritmos) n Algoritmos dbiles (e.g. propios) n Primitivas mal usadas (e.g. RC4 en WEP) n Primitivas fuertes que dejan de serlo (e.g. MD5, SHA-1)

Ataques a los protocolos n Ataques de repeticin (e.g. cierres centralizados) n Ataques de hombre en medio (MITM)

Ataques a la implementacin n Software o hardware (e.g. side channels, ataque del resto

chino) n Generadores de nmeros aleatorios

Seguridad de un sistema de cifrado 52

Cdigos, cifradores, esquemas de cifrado, funciones de autenticacin de mensajes Histricamente, un ataque contra un sistema implicaba

un ataque sobre la primitiva de cifrado A lo largo de la historia podemos encontrar infinidad de

ejemplos de primitivas de cifrado rotas

Primitivas 53

Primitivas de cifrado en GSM: A5/0: Sin cifrado A5/1: Basado en registros de desplazamiento lineales

con realimentacin (LFSRs) A5/2: Versin dbil de A5/1 A5/3 (KASUMI): Cifrado de 3G

Ejemplo Prctico: el cifrado de GSM 54

Primitivas de cifrado en GSM: A5/0: Sin cifrado A5/1: Roto https://srlabs.de/decrypting_gsm/ A5/2: Roto A5/3 (KASUMI): Atacado

El diseo de los mecanismos de cifrado de GSM es deliberadamente dbil por motivos polticos y de coste

Ejemplo Prctico: el cifrado de GSM 55

Ejemplo prctico: el cifrado de GSM

Fuente: http://events.ccc.de/congress/2010/Fahrplan/attachments/1783_101228.27C3.GSM-Sniffing.Nohl_Munaut.pdf

56

Problemas ms habituales: Emplear la primitiva de cifrado equivocada Desarrollar nuestras propias primitivas de cifrado Emplear las primitivas adecuadas de forma incorrecta n Empleo de RC4 en WEP

Primitivas 57

Otro problema es emplear primitivas que ya no son seguras: Un ejemplo muy tpico es el empleo de funciones hash

como MD5 y SHA1 que si bien hace aos eran seguras, ya no lo son Desarrollo de nuevos ataques

Hay que estar atentos a la evolucin de nuevos ataques sobre primitivas existentes

Primitivas 58

Ataques de repeticin E.g. cierres centralizados

(Fuente: http://spar.isi.jhu.edu/~mgreen/650.445/Course_Syllabus_files/Intro.pdf)

Protocolos 59

Ataques de repeticin E.g. cierres centralizados

(Fuente: http://spar.isi.jhu.edu/~mgreen/650.445/Course_Syllabus_files/Intro.pdf)

Protocolos 60

Ataques de hombre en el medio (MITM) E.g. de nuevo, cierres centralizados

(Fuente: http://spar.isi.jhu.edu/~mgreen/650.445/Course_Syllabus_files/Intro.pdf)

Protocolos 61

Ataques de hombre en el medio (MITM) E.g. de nuevo, cierres centralizados

(Fuente: http://spar.isi.jhu.edu/~mgreen/650.445/Course_Syllabus_files/Intro.pdf)

Protocolos 62

Es el punto de fallo ms habitual de los sistemas Problemas habituales: Mala implementacin del protocolo Generadores de nmeros pseudoaleatorios dbiles Vulnerabilidades Software Plataformas no confiables Ataques side-channel n E.g. Ataque del resto chino

Debilidades en el hardware n It's worth noting that the maintainer of record (me) for the Linux RNG quit

the project about two years ago precisely because Linus decided to include a patch from Intel to allow their unauditable RdRand to bypass the entropy pool over my strenuous objections.

(http://cryptome.org/2013/07/intel-bed-nsa.htm)

Implementacin 63

Ejemplos de errores de programacin: No verificar los lmites de las regiones a copiar No realizar verificaciones sobre las asignaciones de

memoria Escribir tu propia librera criptogrfica Usar una librera criptogrfica sin saber si es segura o no n Problema muy complejo: According to an intelligence budget document leaked by Mr. Snowden, the N.S.A. spends more than $250 million a year on its Sigint Enabling Project, which actively engages the U.S. and foreign IT industries to covertly influence and/or overtly leverage their commercial products designs to make them exploitable. http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html?pagewanted=3&_r=0

Software 64

La decisin sobre qu librera criptogrfica emplear en ocasiones puede ser muy compleja: AVISO: Siempre es peor implementar una propia Hay que tener en cuenta aspectos tcnicos, legales

(posibles restricciones de uso) e incluso sociopolticos (como hemos visto)

Cmo se realiza la generacin y gestin de claves? n Problemas muy importantes en el pasado (Debian OpenSSL,

por ejemplo) n Se mueven las claves de memoria a otras zonas como la

swap?

Software 65

La utilizacin de sistemas hardware puede conducir a una falsa sensacin de seguridad No olvidemos que es posible realizar ingeniera inversa

Ataques side-channel Se puede filtrar informacin del sistema a travs de un

canal colateral: n Radiacin EM, consumo de energa, audio, temporizacin

Hardware 66

Los usuarios siempre suelen ser el eslabn ms dbil: Contraseas dbiles o por defecto Perdida de claves o de datos Atajos

Atacantes internos: La mayor y ms difcil amenaza Polticas, vigilancia, principios de mnimo privilegio

Utilizacin 67

Seguridad de un algoritmo cifrado Posibles ataques: Atacar al usuario que usa el criptosistema n Fallos en el mecanismo generacin de claves n Claves predecibles o atacables Ataques de diccionario n Ingeniera social

n Forzar al usuario a revelar las claves n Otras herramientas

n Password harvesting, keyloggers

Que el propio usuario ataque el criptosistema n O el diseador (NSA again) n Insider attacks

68

OpenSSL en Debian La librera OpenSSL en Debian Linux es la encargada

de la mayor parte de las operaciones criptogrficas en el sistema

Muchas de estas operaciones y en particular la mayora de las que emplean cifrado asimtrico requieren de la generacin de nmeros pseudoaleatorios (PRNG)

Para generar estos nmeros desde un programa, se suele acceder a fuentes que nos proporcionen ese aleatoriedad

En concreto, el PRNG de Debian acceda a zonas de memorias sin inicializar

69

OpenSSL en Debian En condiciones normales, esto no debera hacerse En una comprobacin se detecta ese hecho y se

decide eliminar esas lneas Como consecuencia desaparece la impredecibilidad

del PRNG que pasa a depender slo del identificador de proceso (15 bits) Slo 215 valores posibles 32768 valores

Por ejemplo, slo haba 32768 parejas de claves RSA posibles

Observando una clave pblica, si sabamos que se haba generado en Debian, podamos calcular la privada consultando las parejas anteriores

70

OpenSSL en Debian Introduccion

PAQUETES AFECTADOS

(Debian, Si6-CITEFA) Debian OpenSSL EISI 2009 5 / 34

71

El crack de la PS3 El cdigo que se ejecuta en una PS3 ha de estar firmado empleando ECDSA: Tenemos una curva elptica con parmetros:

Una firma digital de un mensaje e es una pareja de valores (r,s) que se calcula de la siguiente forma:

r =mGs = e+ krm

p,a,b,G,N

72

El crack de la PS3 m debe ser un valor aleatorio nico en cada firma,

si no , sera posible recuperar la clave privada k Supongamos dos firmas (R1,S1) y (R2,S2)

generadas con el mismo valor aleatorio m

R = (mG)x R = (mG)x

S1 =e1 + kR

mS2 =

e2 + kRm

When m is identical for two signatures, so is R,and

S1 S2 = e1 e2m

m =e1 e2S1 S2

k =mSi ei

R

=e1S2 e2S1R(S1 S2)

.

Mittwoch, 29. Dezember 2010

73

El crack de la PS3 R = (mG)x R = (mG)x

S1 =e1 + kR

mS2 =

e2 + kRm

When m is identical for two signatures, so is R,and

S1 S2 = e1 e2m

m =e1 e2S1 S2

k =mSi ei

R

=e1S2 e2S1R(S1 S2)

.

Mittwoch, 29. Dezember 2010

74

El crack de la PS3 Un grupo de investigadores descubri la clave

privada que empleaba Sony para firmar el software de su consola

El algoritmo de firma digital era ECDSA (Algoritmo de firma digital DSA sobre curvas elpticas)

Este algoritmo requiere generar un nuevo nmero aleatorio para cada firma que se genere

Sin embargo Sony empleaba siempre el mismo nmero aleatorio por lo que fue posible recuperar la clave privada

75

El crack de la PS3 76

Qu permite hacer la criptografa? Establecimiento secreto de claves Asegurar comunicaciones Confidencialidad e integridad

Firma digital Autenticacin de documentos

Comunicaciones annimas (privacidad) Tor

77

Qu permite hacer la criptografa? Ms posibilidades Votaciones electrnicas Donaciones annimas Uso de servicios sin revelacin de informacin n E.g. Bsquedas de patentes

Zero-knowledge proofs

78

Qu vamos a ver en las prximas semanas?

Clave Simtrica Misma clave para cifrar y descifrar Dos tipos: cifradores de flujo y cifradores de bloque DES, AES

Clave Pblica (o criptografa asimtrica) Dos claves, una para cifrar (pblica), y otra para descifrar (privada) Tambin, firmas digitales RSA, Diffie-Hellman

Algoritmos hash criptogrficos En ocasiones se ven como criptografa de un nico sentido MD5, SHA-1, TIGER

79