CRITERIOS DE ESTABLECIMIENTO DE CLAVES PARA UNA ...premat.fing.edu.uy/ingenieriamatematica//archivos/tesis_juan josé... · (ya sea un documento, una conversación o una clave) es

Facultad de Ingenieriacutea

Universidad de la Repuacuteblica

Tesis presentada en la Universidad de la Repuacuteblica

para obtener el tiacutetulo de Magiacutester en Ingenieriacutea Matemaacutetica

Director Gonzalo Tornariacutea

CRITERIOS DE ESTABLECIMIENTO DE

CLAVES PARA UNA COMUNICACIOacuteN

PUNTO A PUNTO

MODELOS DE USO Y ESQUEMAS DE REALIZACIOacuteN

Juan Escanellas

11 de julio de 2013

Montevideo Uruguay

Resumen El objetivo de este trabajo es determinar criterios para el establecimiento de

claves en una comunicacioacuten punto a punto De un anaacutelisis preliminar de la seguridad de la

comunicacioacuten que involucra el canal los mensajes y los usuarios participantes se deduce

que es necesario establecer una relacioacuten de equivalencia que permita distinguir a los

usuarios Esta relacioacuten estaacute asociada al concepto usual de identidad Se propone entonces

un modelo que dene queacute atributos de identidad son necesarios para lograr el objetivo

planteado Se destaca de esta forma a la vez la importancia central de la identidad en

la solucioacuten y la de establecer una comunicacioacuten adecuada de los requerimientos praacutecticos

que tienen las hipoacutetesis de los esquemas criptograacutecos disponibles tanto para los usuarios

como para los administradores de una solucioacuten nal

En el primer capiacutetulo se indican queacute aspectos del problema son importantes a la

hora de seleccionar un esquema de establecimiento de claves En el segundo capiacutetulo se

realiza una breve descripcioacuten de conceptos matemaacuteticos a ser referidos en el capiacutetulo

tercero que analiza los esquemas y las demostraciones de seguridad correspondientes

Iacutendice general

Capiacutetulo 1 Establecimiento de claves 111 Introduccioacuten 112 Modelo propuesto restriccioacuten de acceso e identidad 313 Modelos de conanza 1314 Esquemas de establecimiento de claves 1515 Caracteriacutesticas determinantes del modelo 1816 Resumen 1917 Casos de uso 20

Capiacutetulo 2 Primitivas criptograacutecas 2521 Resumen de fundamentos matemaacuteticos 2522 Logaritmo discreto y factorizacioacuten 2723 Seguridad del cifrado 2924 El esquema RSA de cifrado asimeacutetrico 3025 Funciones hash 3026 Esquemas de rma digital 3127 Modelo de conanza de certicacioacuten 3228 Criptografiacutea basada en identidad 32

Capiacutetulo 3 Esquemas de realizacioacuten 3531 Modelo de ataque y objetivos del adversario 3532 Esquemas de identicacioacuten por desafiacuteo y respuesta 3933 Esquemas de identicacioacuten basados en una conjetura 4234 Esquemas de distribucioacuten previa de claves (KPS) 5035 El esquema SKDS BellareRogaway 5136 Esquemas de acuerdo de claves (KAS) 5237 El esquema de acuerdo de claves por intercambio cifrado con contrasentildea 56

Bibliografiacutea 59

Iacutendice alfabeacutetico 61

Capiacutetulo 1

Establecimiento de claves

En este capiacutetulo se describen los requerimientos del problema planteado y se analizanlas condiciones y limitaciones inherentes Se propone un modelo y criterios que permitanseleccionar los esquemas adecuados seguacuten el caso de uso En los capiacutetulos subsiguientesse describiraacute la seguridad de estos esquemas

11 Introduccioacuten

La red telefoacutenica tradicional garantiza una alta disponibilidad para establecer unacomunicacioacuten Agregando un dispositivo al teleacutefono es posible establecer una conversa-cioacuten segura aprovechando la calidad y la extensioacuten de dicha red

Como la voz consiste en variaciones de energiacutea a distintas frecuencias en un rangolimitado midiendo la energiacutea ocho mil veces por segundo se obtiene una secuencianumeacuterica A partir de esta es posible recuperar la conversacioacuten original

Cifrando esa secuencia numeacuterica con una clave secreta compartida es posible res-tringir el acceso a la informacioacuten de la conversacioacuten

Luego de haber realizado un prototipo experimental a partir de componentes estaacuten-dar disponibles en el mercado surgioacute la necesidad de establecer criterios para determinarla clave compartida de manera segura

Es necesario modelar como procesos aleatorios tanto los pasos del establecimientode claves como las amenazas existentes y determinar coacutemo limitar la probabilidad deeacutexito de un atacante a un valor insignicante

Para establecer una clave compartida no es suciente lograr su transporte segurodebe denirse de quieacuten y con quieacuten se comparte la clave Estas identidades nocorresponden a identidades reales sino a condiciones que deben permitir establecer lasrestricciones deseadas sobre la comunicacioacuten Para establecer una clave es necesario

determinar previamente en queacute consiste la identidad de los usuarios

La capacidad de distinguir usuarios en un conjunto corresponde a partir el conjunto

en partes que se consideran identidades diferentes1Esta particioacuten del conjunto de usuarios podriacutea basarse en una serie de condiciones

que permitan asignar a cada usuario una parte del conjunto por ejemplo el color deojos el tono de voz o por algo que posean o que conozcan Cada subconjunto resultanteseraacute una identidad pero estos subconjuntos podriacutean contener maacutes de un integrantePor ejemplo si dos usuarios quieren mantener una conversacioacuten condencial es su-ciente restringir la conversacioacuten a un subconjunto de dos integrantes Otros casos encambio requieren poder denir particiones con maacutes precisioacuten por ejemplo para poder

1Matemaacuteticamente la identidad es una relacioacuten de equivalencia que permite establecer la particioacuten

deseada en el conjunto (ver [Jud94] por maacutes detalles)

2 1 ESTABLECIMIENTO DE CLAVES

distinguir el autor de una informacioacuten compartida En ese sentido tambieacuten una identi-dad es un criterio de medida con mayor o menor capacidad de separacioacuten entre de

los usuarios 2En este trabajo se propone un modelo de identidad compatible con las praacutecticas

de identicacioacuten tradicionales y las nuevas teacutecnicas que han surgido a partir de lacriptografiacutea moderna Se clasican posibles casos de uso para el establecimiento declaves y las condiciones que permitan seleccionar un esquema adecuado

En este primer capiacutetulo se presentaraacuten los criterios que permiten seleccionar un es-quema adecuado seguacuten el caso de aplicacioacuten En el segundo capiacutetulo se resumen losfundamentos matemaacuteticos y las primitivas criptograacutecas citadas Finalmente en el ter-cer capiacutetulo se describen los esquemas y las demostraciones de su seguridad

Como se veraacute en detalle maacutes adelante para determinar el esquema maacutes adecuado auna situacioacuten particular los factores determinantes a tener en cuenta propuestos aquiacuteseraacuten la cantidad de usuarios la relacioacuten entre el tamantildeo de la clave y la cantidadde informacioacuten numeacuterica cifrada (el largo de vida de la clave) y la posesioacuten de lainformacioacuten de la conversacioacuten (es decir quieacuten es el duentildeo de la informacioacuten)

A continuacioacuten se denen las propiedades baacutesicas de la seguridad de la informacioacutenque se utilizan a lo largo de todo este trabajo

Integridad consiste en que la informacioacuten no se modique En la praacutectica alcanzacon vericar si la informacioacuten es la original

Condencialidad se espera que la informacioacuten no sea expuesta a extrantildeos Cuan-do la informacioacuten viaja por un canal inseguro debe ser encubierta mediante algu-na transformacioacuten para que sea praacutecticamente imposible distinguirla El cifradosimeacutetrico permite con una uacutenica clave compartida cifrar y descifrar su contenidoentre quienes la conocen La clave debe ser distribuiacuteda adecuadamente

Disponibilidad la informacioacuten debe estar al alcance para su uso en el momentodeseado

Autenticidad consiste en la garantiacutea de que la informacioacuten proviene de la fuenteque se declara Implica una prueba de identicacioacuten

No repudio es posible probar el autor de un mensaje aunque el este pretendieserechazarlo

Posesioacuten indica el duentildeo de la informacioacuten y afecta el establecimiento de la claveya que este debe poder recuperar las claves involucradas en su informacioacuten

111 Desafiacuteo de la criptografiacutea moderna La aparicioacuten de la criptografiacutea asi-meacutetrica ha provocado un cambio a la hora de considerar los aspectos de mayor impactoen la seguridad de una comunicacioacuten Al no requerirse un canal seguro para el acuerdode la clave es posible extender las aplicaciones de la criptografiacutea Sin embargo siguesiendo necesario autenticar la informacioacuten puacuteblica transmitida por el canal inseguroLa autenticacioacuten pasa a ser un aspecto trascendente mientras que antes era un as-pecto trivial determinado por la existencia misma del canal seguro Es posible ofrecermaacutes y mejores soluciones pero aparece un nuevo problema la autenticacioacuten requierela capacidad de poder asociar la identidad a la informacioacuten a autenticar

2Asiacute como la capacidad de separacioacuten que tiene un telescopio por ejemplo

12 MODELO PROPUESTO RESTRICCIOacuteN DE ACCESO E IDENTIDAD 3

Aparece asiacute la necesidad de un proceso de identicacioacuten que permita vericar laidentidad involucrada Si bien es posible transformar la informacioacuten de un mensajereducieacutendola a nuacutemeros la identidad es un problema difiacutecil de determinar directamenteya que requiere meacutetodos convencionales que no es posible digitalizar Deben aplicarseprocedimientos de registro de la identidad que cumplan con normas escritas y aceptadaspor todos los involucrados en el aacutembito de aplicacioacuten

En los esquemas del modelo se requieren primitivas criptograacutecas como cifrar ormar Cuando se quiere lograr condencialidad en la comunicacioacuten de la informacioacuten(ya sea un documento una conversacioacuten o una clave) es necesario disponer de un parde funciones (cifrar descifrar) que permitan modicar y recuperar el mensaje

Como se veraacute a continuacioacuten para asegurar la exclusividad a un uacutenico usuario lasfunciones de cifrado y descifrado deberaacuten permitir restringirse a un uacutenico individuoy por lo tanto deberaacuten depender de dos claves distintas Es necesario asiacute disponer deesquemas que utilicen cifrado asimeacutetrico utilizando un par de claves (clave puacuteblicaclave privada) que actuacutean como candado y llave en analogiacutea al acceso a una puertaEstas funciones que cumplen la funcioacuten de escotilloacuten trampilla (en ingleacutes trapdoor)actuacutean como puertas secretas en una pared o piso de tal forma que su uso esteacute restringidoal que no conozca el mecanismo de acceso

12 Modelo propuesto restriccioacuten de acceso e identidad

Es necesario establecer un modelo que permita representar la identidad En primerlugar se analizaraacute el problema de las restricciones de acceso necesarias sus caracteriacutesticasy queacute tipo de soluciones seriacutean adecuadas seguacuten las condiciones del caso Luego seanaliza el problema de la autenticidad y la identicacioacuten donde se presenta un modelode identidad aplicable Se obtiene un modelo que surge de las condiciones del problemasin hacer referencias a las tecnologiacuteas disponibles

121 Restriccioacuten de la comunicacioacuten En esta seccioacuten se analiza el problemade la comunicacioacuten a partir de las restricciones necesarias para el establecimiento declaves Como se describe en la introduccioacuten es posible desplegar un canal digital atraveacutes de la liacutenea telefoacutenica Para lograr la identicacioacuten a traveacutes de este canal debedistinguirse una cadena de bits generada por una persona en particular Si esa cadenade bits viajase por un canal inseguro podriacutea ser reproducida Por lo tanto debe existir

un conocimiento secreto entre las partes que no viaje por el canal inseguro y que

permitiraacute reconocer la identidad

A continuacioacuten se consideraraacuten entidades que crean modican o leen mensajes yque desean comunicar los mensajes entre siacute

Definicioacuten 1 Sea U es el conjunto de usuarios que pueden acceder a un canalSe clasican los usuarios seguacuten su capacidad de acceso en socios rivales autores einteacuterpretes

S es el subconjunto de socios que pueden leer mensajesR es el subconjunto de rivales que no pueden leer mensajesA es el subconjunto de autores que pueden leer crear y modicar mensajesI es el subconjunto de inteacuterpretes que solo pueden leer mensajes

Para preservar la condencialidad de los mensajes entre los socios es suciente quetodos los socios sean autores S = A En ese caso para todos los socios la restriccioacuten dela comunicacioacuten es la misma en ambos sentidos de la comunicacioacuten por lo que se diraacuteque es una restriccioacuten simeacutetrica

Para preservar los derechos de autor entre los socios se requiere una restriccioacuten maacutesfuerte que permita distinguir quieacutenes enviacutean (autores) y quieacutenes reciben (inteacuterpretes)En este caso se diraacute que es una restriccioacuten asimeacutetrica

Ejemplo 121 La Criptografiacutea permite a un autor transformar un mensaje conuna funcioacuten de cifrado de tal forma que solo quienes posean la funcioacuten para descifrarpuedan leer el mensaje Para simplicar la administracioacuten y el anaacutelisis de seguridadestas funciones quedan determinadas por nuacutemeros enteros llamados claves

Definicioacuten 2 Cuando las funciones de cifrar y descifrar utilizan la misma clavetodo lector es autor por lo que resulta una restriccioacuten o cifrado simeacutetrico de la comu-nicacioacuten

Para lograr una restriccioacuten asimeacutetrica se debe separar los autores de los inteacuterpretesy distinguir asiacute la accioacuten de crear y modicar un mensaje (funcioacuten para cifrar) de laaccioacuten de leer (funcioacuten para descifrar) Si bien la funcioacuten de descifrar debe permitirrecuperar el mensaje original a partir del mensaje cifrado no deberiacutea ser faacutecil deducirla funcioacuten de cifrado a partir de la funcioacuten de descifrado

Por lo tanto la funcioacuten de cifrar deberaacute ser una funcioacuten echada (oneway) con unacceso secreto (trap door) cuya posesioacuten permita utilizarla Ese secreto se representacomo una clave privada a que determina la funcioacuten de cifrado del autor Ana Lafuncioacuten de descifrado correspondiente deberaacute tener determinado el acceso a traveacutes deuna clave puacuteblica α que permita recuperar el mensaje cifrado para su interpretacioacuten

Definicioacuten 3 Cuando las funciones de cifrar y descifrar utilizan dos claves distintasresulta una restriccioacuten o cifrado asimeacutetrico de la comunicacioacuten

Una ventaja de utilizar claves para realizar restricciones asimeacutetricas es que el anaacutelisisdel uso de las funciones puede reducirse al uso de las claves en particular para el cifradoasimeacutetrico deberiacutea ser difiacutecil obtener la clave privada a a partir de la clave secretaα

122 Requerimientos del cifrado A los efectos de cifrar un mensaje la infor-macioacuten cifrada no deberiacutea aportar informacioacuten sobre el mensaje original [Sha49]

Privacidad es una restriccioacuten que separa socios de los terceros rivalesAutenticidad es una restriccioacuten que separa al autor de un par inteacuterpreteAleatoriedad indica que las claves se seleccionan del total de claves y no de unsubconjunto de estas Si a partir de la no aleatoriedad de las claves el adver-sario obtiene informacioacuten que permite reducir las claves posibles aumenta suprobabilidad de eacutexito en un ataque por ensayo y error (por fuerza bruta)

Ejemplo 122 El cifrado simeacutetrico no permite distinguir entre las entidades queposeen la clave Se puede pensar que asiacute como un instrumento oacuteptico tiene un liacutemite ensu capacidad para separar o distinguir dos objetos el poder de separacioacuten del cifradosimeacutetrico es hasta grupos de dos o maacutes entidades

El cifrado asimeacutetrico en cambio permite distinguir cualquier entidad y separar elautor del inteacuterprete

1221 Caracteriacutesticas de las claves Las claves permiten simplicar la utiliza-cioacuten de funciones de cifrado y descifrado y establecer modelos maacutes simples para medirla seguridad Tambieacuten facilitan la realizacioacuten de un sistema de administracioacuten y comu-nicacioacuten que alcance sus objetivos maacutes ecientemente

La aleatoriedad del mensaje para un adversario una vez aplicada la transformacioacutende restriccioacuten (cifrado) depende de la aleatoriedad de la clave Si la clave no es aleatoriaseraacute maacutes faacutecil para el adversario (rival) obtener informacioacuten de la clave o el mensaje

La clave se representa (como informacioacuten y para su procesamiento numeacuterico) poruna cadena de bits de longitud w La cantidad de claves correspondiente es 2w (cadabit permite duplicar las claves disponibles) De la misma forma la cantidad de mensajesposibles depende de la longitud en bits enviados Si la cantidad de claves a disposicioacutenfuera igual a la cantidad de mensajes posibles y las claves se eligiesen de manera aleato-ria seriacutea posible cifrar de tal forma que dado un mensaje cifrado su origen haya podidoser cualquiera de todos los mensaje posibles Se deduce que el resultado de la relacioacutenentre la longitud en bits de un mensaje cifrado y la longitud en bits de la clave deberiacuteaser uno Sin embargo es muy difiacutecil manejar claves de longitud comparable al de losmensajes enviados En la praacutectica se establece un compromiso entre la facilidad de usoy la seguridad utilizando teacutecnicas de cifrado a partir de claves de longitud acotada Enconsecuencia para mantener la relacioacuten entre el largo de los mensajes y el largo de laclave lo maacutes bajo posible debe cambiarse de clave con la frecuencia marcada por elcrecimiento de esta relacioacuten

En sentido gurado se utiliza la expresioacuten tiempo o largo de vida para referirse altipo de uso de una clave Una clave de larga vida seraacute una clave con la cual se esperacifrar poca informacioacuten mientras que una clave de corta vida seraacute una clave que ciframucha informacioacuten 3

123 Autenticidad y autenticacioacuten

Definicioacuten 4 Autenticidad es la propiedad de ser genuino vericable y conable(Conable en el sentido de la validez de una transmisioacuten un mensaje o el origen de unmensaje)

Definicioacuten 5 Autenticador es el medio usado para conrmar la identidad delusuario proceso o dispositivo [NIS11]

Si una contrasentildea no viaja cifrada no es posible garantizar la autenticacioacuten Si lacontrasentildea viaja cifrada con clave simeacutetrica la autenticacioacuten es parcial Cuando en undispositivo testigo (en ingleacutes token) se utiliza cifrado asimeacutetrico es posible lograr unaautenticacioacuten que brinde no repudio

3Esto tambieacuten es vaacutelido cuando se consideran claves para cifrar que sean faacuteciles de recordar llamadas

por eso contrasentildeas (password en ingleacutes) Sin embargo usualmente las password para autenticacioacuten

en un sistema (en ingleacutes login) no se utilizan para cifrar la informacioacuten del usuario por lo que el anaacutelisis

de su uso merece un enfoque distinto al realizado aquiacute

124 Identidad Para acordar la clave a traveacutes de un canal no condencial decomunicacioacuten es necesario intercambiar cierta informacioacuten puacuteblica Esta informacioacutendebe enviarse de tal manera que impida a un tercero cualquiera no involucrado obtenerla informacioacuten secreta de la clave Debe denirse un modelo aplicable de identidad quepermita lograr este objetivo

Definicioacuten 6 Seguacuten [NIS11] por identidad se entiende

1 El nombre completo de tal forma que corresponda a un uacutenico individuo2 Las caracteriacutesticas fiacutesicas y de comportamiento por el cual un individuo es

uacutenicamente reconocible

En ingleacutes por identity binding se reere a la accioacuten de establecer esta relacioacuten entreel conjunto de individuos y el conjunto de sus nombres 4 A los efectos del estable-cimiento de claves es necesario distinguir el usuario con quien se pretende establecerla comunicacioacuten de un adversario Las condiciones que deberiacutea cumplir la identidad

determinan la siguiente denicioacuten asiacute como el objetivo a modelar

Definicioacuten 7 Identidad es la informacioacuten invariante en el tiempo de una entidadque permite distinguirla de otra cualquiera Parte de la informacioacuten de identidad debeser inimitable de lo contrario otra entidad podriacutea reproducir y asumir la identidad deotra es decir usurparla

1241 Identicacioacuten La identicacioacuten consiste en autenticar la identidad deuna entidad determinada en el momento mientras que la rma de un documento permiteque sea autenticado a futuro

Para probar la identidad usualmente se exige

caracteriacutesticas de comportamiento o atributos fiacutesicos (lo que se es)documentos o credenciales (lo que se posee) olo que se conoce como ser contrasentildeas informacioacuten personal etc

Todo protocolo de acuerdo de claves requeriraacute la autenticacioacuten de la informacioacuten in-tercambiada Los datos necesarios para lograr la identicacioacuten corresponderaacuten a la in-formacioacuten necesaria para distinguir a un interlocutor de cualquier otro participante enel canal Los datos de identicacioacuten son datos brindados por una fuente que se asumeconable durante la fase de presentacioacuten de la identidad

La identicacioacuten como toda toma de decisioacuten debe fundamentarse en criterios

de discriminacioacuten objetivos Un criterio objetivo permite determinar el resultado in-dependientemente de quieacuten realiza la evaluacioacuten En la praacutectica esto permite estableceruna correspondencia bien denida entre entre los criterios utilizados y los resultados

Ejemplo 123 El reconocimiento personal no es objetivo si depende de criterios noestablecidos o de habilidades no transferibles no es faacutecil determinar reglas claras paradiscriminar modalidades individuales de expresioacuten forma de hablar gestos etc Lomismo se puede decir de criterios de discriminacioacuten como simpatiacutea o anidad La

4Matemaacuteticamente corresponde a establecer una funcioacuten inyectiva entre el conjunto de individuos y

sus nombres Una funcioacuten es inyectiva si a cualquier par de individuos (distintos) les corresponde un par

de nombres (distintos)

falta de denicioacuten objetiva permite la aplicacioacuten de criterios impliacutecitos que pueden sermanipulados 5

1242 Descripcioacuten del modelo de identidad

Definicioacuten 8 Se llamaraacute plantilla a informacioacuten que (en el contexto de aplica-cioacuten) sea inimitable (intransferible por medios externos) invariante en el tiempo y querepresente una caracteriacutestica exclusiva de cada individuo

Ejemplo 124 En los sistemas tradicionales de autenticacioacuten se espera que elestilo de grafiacutea personal cumpla la funcioacuten de plantilla Tambieacuten se utiliza como plantillapersonal la propia yema del dedo para registrar la huella digital En el sistema de cifradoasimeacutetrico la plantilla corresponde a un nuacutemero secreto llamado clave privada que noes imitable

Otro componente necesario en la informacioacuten de la identidad debe ser declarablesin dar por ello indicios que permitan reproducir la plantilla

Definicioacuten 9 Se llamaraacute muestra a la parte declarable de la identidad asociada ala plantilla

Ejemplo 125 La ruacutebrica de una rma es una muestra (declaracioacuten del estilode rma personal) comparable a la marca estampada de un sello o a la huella de tintadejada en el papel de un documento de certicacioacuten En el cifrado asimeacutetrico lamuestra

corresponde a la clave puacuteblica mientras que la plantilla es la clave privada Se suponeque la clave puacuteblica no brinda informacioacuten de la clave privada Esta es una hipoacutetesisque seraacute considerada con maacutes detalle en los capiacutetulos siguientes

Definicioacuten 10 Se llamaraacute identidad virtual al par (plantilla muestra) para re-presentar en este modelo a las caracteriacutesticas inimitables y declarables que permitendistinguir una identidad

Ejemplo 126 La identidad virtual es una representacioacuten objetiva en el modelode los criterios usados habitualmente para reconocer a una persona el rostro puederepresentar la plantilla y su fotografiacutea la muestra Tambieacuten el dedo pulgar y su huellapueden constituir una identidad virtual

Definicioacuten 11 Llamamos declaracioacuten de identidad del usuario U a la informacioacutenen bits formada a partir del par (nombre muestra)

U verU

U representa una cadena de bits asociada al nombre uacutenico o identicacioacutennominal consistente en el nombre y datos que aseguren su unicidadverU representa una cadena de bits asociada a la muestra (por ejemplo la clavepuacuteblica) de U y

5No solo en referencia al necesario rigor cientiacuteco sino para dejar un marco claro del cumplimiento

de las normas La ingenieriacutea social manipula los efectos de los prejuicios de los individuos sobre su

interpretacioacuten de lo que se debiacutea hacer

representa la operacioacuten de concatenacioacuten de bits

Para vericar la asociacioacuten entre la identidad virtual y la declaracioacuten de identidadsin que sea necesario revelar la plantilla es necesario un mecanismo de vericacioacutenEsta vericacioacuten puede brindarla un agente conable que conociendo la identidad dela entidad la presente como tal El agente brindaraacute las garantiacuteas necesarias para unaidenticacioacuten rigurosa justicable en el contexto de aplicacioacuten

Seguacuten las condiciones denidas en un acuerdo establecido previamente entre laspartes el agente conable o autoridad de conanza asignaraacute un mecanismo de veri-cacioacuten a la declaracioacuten de identidad correspondiente permitiendo asiacute determinar loque llamaremos identidad relativa (Ver Figura 121)

Definicioacuten 12 Llamamos identidad relativa al par formado por la declaracioacuten de

identidad y un mecanismo de vericacioacuten de su autenticidad

Figura 121 Modelo de identidaad

Ejemplo 127 Un mecanismo de vericacioacuten usualmente aceptado consiste en queun agente conable y reconocido (TA) presenta la declaracioacuten de identidad en un do-cumento aplicando su rma En la medida en que todos los usuarios puedan reconocer

la rma del TA seraacute posible realizar la vericacioacuten

Definicioacuten 13 Para emitir un certicado digital (que se notaraacute como CertUpara un usuario U) se requiere un proceso conable de un agente externo llamadoTA especicado en un contrato En primer lugar se toma registro de la declaracioacuten de

identidad donde el nombre es un conjunto de datos que identican uacutenicamente al usua-rio y la muestra corresponde a su clave puacuteblica Luego se emite el certicado adjuntandola rma del TA de la declaracioacuten de identidad En el acto del registro los usuarios reci-ben del TA su muestra A partir de ese momento la muestra del TA permitiraacute vericarsu rma de las declaraciones de identidad de todos los usuarios registrados

En conclusioacuten la identidad en este modelo se compone de la identidad relativa

y de la identidad virtual La identidad relativa y la identidad virtual tienen en

comuacuten la muestra

Definicioacuten 14 En un ataque Man In the Middle (MIM) una entidad se interponeen un canal de comunicacioacuten asumiendo las identidades de cada extremo presentando acada una los correspondientes pares (nombre muestra) Esto ilustra la necesidad de unmecanismo de vericacioacuten de la relacioacuten entre la identidad virtual y la declaracioacuten de

identidad En la descripcioacuten del esquema KAS STS (ver 361) se muestra un ejemplode este ataque

Ejemplo 128 Un ejemplo de identicacioacuten tradicional es el carneacute o tarjeta deidenticacioacuten donde un agente registra cada usuario asociando el nombre y la muestraque puede ser la fotografiacutea del rostro o la huella digital

Ejemplo 129 En una solucioacuten de clave asimeacutetrica el par de claves (puacuteblica pri-vada) constituye una identidad virtual La clave puacuteblica es la muestra y la clave privadala plantilla Sin embargo la identidad virtual podriacutea ser asociada a cualquier nombre sino se dispone del mecanismo de vericacioacuten de la identicacioacuten relativa

125 Necesidad de certicacioacuten Para que una entidad certique la asociacioacutenentre una muestra y una identidad debe establecerse una relacioacuten de conanza Unavez denido un modelo de identidad adecuado a la situacioacuten real cuya solucioacuten deberealizarse aparece naturalmente el rol de la presentacioacuten es decir coacutemo aprendemoslas nuevas identidades Quienes cumplen el rol de presentar identidades nuevas debengozar de la propiedad de conanza Sin embargo la conanza es una propiedad difiacutecilde establecer de manera general Existen soluciones que pretenden ser universales peroaplicando procedimientos administrativos que requieren una importante infraestructurao estableciendo criterios maacutes exibles de presentacioacuten que pueden ser cuestionables encuanto a su conabilidad No existe una solucioacuten perfecta para la conanza a la hora dela presentacioacuten de una nueva identidad Para cada caso debe pensarse con cuidado quesolucioacuten de conanza se elige y si esta se ajusta adecuadamente a los requerimientos

Es posible establecer distintos niveles de autoridad de conanza Las TA puedenrmar certicados en un dominio pero requerir de una rma de un TA superior parareconocimiento en un dominio maacutes amplio de usuarios Por ejemplo un TA de un paiacutesy un TA internacional Cuando maacutes alto esteacute el TA en este aacuterbol jeraacuterquico mayor seraacutesu autoridad de conanza Una entidad de conanza superior puede presentar otrasentidades de menor nivel de conanza

Definicioacuten 15 En el TA la responsabilidad de realizar los procedimientos conven-cionales de vericacioacuten de identidad de los usuarios recae sobre la autoridad de registro

(RA en ingleacutes Registration Authority)

Una vez realizado el registro la autoridad certicadora (CA en ingleacutes CerticationAuthority) recibe del usuario su clave puacuteblica y junto con otra informacioacuten de aplicacioacuteny administrativa procede a rmarla (con la clave privada de la autoridad certicadora)

Cuando corresponde la clave puacuteblica de la autoridad certicadora se emite en uncerticado de una autoridad de certicacioacuten superior o es rmada por siacute misma siendoentonces un certicado certicado por siacute y disponible para todos los usuarios

Resumiendo la autoridad de registro debe contar con un mecanismo convencional deidenticacioacuten de los participantes de tal forma que permita protocolos de vericacioacutende la identidad (autenticacioacuten) Se pretende mediante un contrato que al emitir lasclaves o los certicados estos correspondan a la identidad pretendida La utilizacioacutende una clave puacuteblica para cifrar o rmar solo verica la correspondencia con su claveprivada pero no la identidad de su propietario Mediante un certicado del TA esposible vericar la correspondencia entre la declaracioacuten de identidad y la clave privadaLa emisioacuten del certicado requiere un procedimiento de vericacioacuten convencional de laidentidad de quien declara ser propietario de la clave puacuteblica

La estructura de conanza tambieacuten juega un rol fundamental Como vimos debepermitir un procedimiento que es posible auditar Esta conanza puede delegarse a unaentidad o formarse por los propios usuarios pero siempre estableciendo un protocolo deregistro El TA en general se encarga de los procedimientos de registro y de emisioacutende certicados que consisten en documentos digitales que unen indivisiblemente laclave puacuteblica a informacioacuten de identicacioacuten mediante la rma digital del TA Aquiacute laclave puacuteblica del TA debe adquirirse mediante un mecanismo de conanza en el actode registro

126 Emisioacuten de certicados digitales

Definicioacuten 16 Un certicado (de clave puacuteblica) [NIS11] es una representacioacutendigital de informacioacuten que por lo menos

1 identica la autoridad certicadora que lo emite2 nombra o identica al suscriptor3 contiene la clave puacuteblica del suscriptor4 identica el periacuteodo de validez y5 estaacute rmado de forma digital por la autoridad de certicacioacuten que lo emite

Para la emisioacuten de los certicados

1 Se establece la identidad de manera convencional determinando una cadena decaracteres con la informacioacuten de identicacioacuten

2 Se determina el par de claves (rmaprivada y vericacioacutenpuacuteblica) donde laclave de rmaprivada queda en poder del usuario

3 El TA genera la rma de la cadena de caracteres formado por la informacioacutende identicacioacuten y clave de vericacioacuten (puacuteblica) A partir de la informacioacutenanterior el certicado consiste en la terna (nombre clave de vericacioacuten rmadel TA)

127 PKI Una infraestructura de clave puacuteblica (en ingleacutes Public Key Infres-

tructure PKI) consiste en una infraestructura que permite proveer servicios de comuni-cacioacuten segura control de acceso y arquitectura de privacidad mediante la administracioacuten

de certicados Debe proveer los mecanismos para poder realizar la emisioacuten de los cer-ticados su revocacioacuten etc

Ademaacutes de brindar una solucioacuten a la conanza necesaria para determinar la au-tenticidad de la declaracioacuten de la identidad sin la cual como vimos la criptografiacuteaasimeacutetrica no puede establecerse esto debe dar un marco para permitir otros controlesde aplicacioacuten

Introducir una PKI en un entorno o en una organizacioacuten determinada requiere unacuidadosa planicacioacuten y profunda comprensioacuten de las relaciones con otros sistemasautomaacuteticos involucrados

Definicioacuten 17 Una infraestructura de clave puacuteblica (PKI) facilita la disposicioacutende productos y servicios de integridad y autenticidad para soluciones digitales que his-toacutericamente utilizaban papel Estas soluciones digitales dependen de la integridad y laautenticidad de la informacioacuten que pueden realizarse asociando una uacutenica rma digitala un individuo y evitando su falsicacioacuten Ademaacutes es posible brindar privacidad cifrandola informacioacuten[KHPC01]

Definicioacuten 18 Una autoridad de certicacioacuten (en ingleacutes Certication AuthorityCA) es una entidad conable que emite y revoca certicados de clave puacuteblica Tambieacutenes responsable de cumplir estrictamente con la poliacutetica de la PKI

Definicioacuten 19 Autoridad de registro (en ingleacutes Registration Authority RA) esuna entidad conable que establece y responde por la identidad de un suscriptor alproveedor de credenciales de identicacioacuten (en ingleacutes Credential Service Provider) ElRA puede ser parte o ser independiente al proveedor de credenciales pero estaacute siempreen relacioacuten a este Es la organizacioacuten responsable de denir la funcioacuten de identidad(identity binding)

Definicioacuten 20 La lista de certicados revocados (en ingleacutes Certicate RevocationList CRL) es una lista creada y rmada por una CA que indica los certicados quehan perdido validez antes de su vencimiento

La administracioacuten de certicados debe incluir

Registro consiste en las tareas administrativas tradicionales para determinar laidentidad vericando documentos informacioacuten presencial realizadas por la RA

Administracioacuten de claves debe controlarse la generacioacuten asignacioacuten y distri-bucioacuten de las claves

Respaldo los procedimientos para respaldo en caso de peacuterdida de las claves pri-vadas deben ser denidos y cumplir con los requerimientos del caso

Emisioacuten de certicados es el procedimiento mediante el cual se habilita un cer-ticado que ha sido solicitado para su aprobacioacuten

Recepcioacuten de certicados es el procedimiento de ingreso de las solicitudes decerticados para su creacioacuten o renovacioacuten

Actualizacioacuten accioacuten de renovacioacuten de un certicadoRecuperacioacuten accioacuten de recuperacioacuten ante la eventual peacuterdida de la clave priva-da (Es un servicio opcional el manejo de la clave privada por otra parte que nosea su duentildeo requiere garantiacuteas para no socavar los fundamentos del modelo deidentidad)

Revocacioacuten accioacuten por la cual se da de baja a un certicado y se lo incluye enla CRL

Expiracioacuten n del periacuteodo de validez del certicadoHistoria de claves procedimiento que permite la vericacioacuten de informacioacuten r-mada o cifrada con certicados que han expirado o han sido revocados

Almacenamiento de claves denicioacuten del procedimiento por el cual se dene ellugar y meacutetodo de acceso a las claves seguacuten el caso

128 Funciones de la entidad administradora (TA) La TA es la entidadencargada de distribuir la informacioacuten previa para establecer la comunicacioacuten entre laspartes

La administracioacuten de las claves requeriraacute

Almacenamiento de las claves con acceso restringidoRespaldo de aquellas claves para su eventual recuperacioacutenDistribucioacuten de las claves a los participantes seguacuten sea requeridoControl de validez por

Expiracioacuten por poliacutetica del TA se limita el tiempo de validez de una cla-ve para controlar su exposicioacuten teniendo en consideracioacuten el contexto porejemplo ante el riesgo de un ataque pasivo consistente en observar el textocifrado para deducirlaRevocacioacuten en cualquier momento por ejemplo a solicitud de un usuariose suspende la validez de una clave por peacuterdida o robo

Tambieacuten deberaacute cuidar la informacioacuten manejada teniendo en cuenta

Posesioacuten de la informacioacuten del canal y por lo tanto de las clavesIntegridad de la informacioacuten almacenadaAutenticidad de la informacioacuten de identicacioacuten que determinaraacute las identidadesy su asociacioacuten con certicados y claves

Disponibilidad de las claves para establecer una sesioacutenNo repudio de un traacutemite de solicitud de certicado o clave

A medida que crece el nuacutemero de claves se requeriraacuten maacutes recursos para su administra-cioacuten

Las tareas del TA seguacuten las necesidades y conveniencia del caso podriacutean ser reali-zadas por los propios participantes por una parte de ellos o ser delegadas a una entidadindependiente

129 Validacioacuten de certicados

1 Vericar la integridad y autenticidad del certicado vericando la rma del TA2 Vericar que el certicado no expiroacute3 Vericar que el certicado no ha sido revocado4 Vericar que el certicado corresponde a lo especicado en campos opcionales

1210 Mecanismos de control de revocacioacuten A los efectos de permitir elcontrol a los usuarios de los certicados que hayan sido revocados es posible mantenerdisponible una lista de nuacutemeros de serie de los certicados revocados La preparacioacutenrma publicacioacuten y actualizacioacuten de esta lista (en ingleacutes Certicate Revocation List

13 MODELOS DE CONFIANZA 13

CRL) es responsabilidad del TA Dado que el tamantildeo de las listas puede llegar a sermuy grande es posible mantener un repositorio de la lista y las uacuteltimas modicaciones

Otra teacutecnica utilizada es utilizar un protocolo de estado de certicados en liacutenea(OSCP) donde un servidor responde las consultas sobre un certicado consultando laCRL

13 Modelos de conanza

Cuando existen maacutes de un TA entre dos usuarios los TA deben ser tambieacuten identi-cados y por lo tanto disponer de identicacioacuten rmada por otro TA de igual o mayorautoridad de conanza Un TA que no dispone de rmas de otro TA se llama raiacutez y unTA que rma el certicado de otro establece una relacioacuten de orden entre ellos Este or-den puede ser estricto en cuyo caso se establece un aacuterbol jeraacuterquico estricto entre TA ode lo contrario puede ser radial (en ingleacutes hub and spoke) Un usuario debe establecerun camino seguacuten el orden anterior entre su TA y su usuario par ademaacutes de vericarque las condiciones del camino estaacuten de acuerdo con la arquitectura del modelo de talforma que en un modelo jeraacuterquico estricto no es aceptable la rma por parte de unTA de jerarquiacutea inferior a un TA superior

NOTA Un aspecto a considerar es que un TA cuando rma el certicado de otroen principio rma su identidad no con esto asegurando que los TA inferiores actuacuteenadecuadamente

1301 Modelo de conanza jeraacuterquico estricto En una jerarquiacutea estricta elTA raiacutez es llamado ancla de conanza (en ingleacutes trust anchor) y es el encargadode emitir certicados a los TA de menor nivel Cada TA puede emitir certicados alos suscriptores El modelo tiene una estructura de aacuterbol basado en una relacioacuten deconanza (ver la Denicioacuten 44)

1302 Modelo de conanza en red En el modelo de conanza en red los TA secertican entre siacute Pueden tomar dos formas

Conguracioacuten en malla en que los TA se rman los certicados entre siConguracioacuten radial (en ingleacutes Hub and Spoke) una TA central (Hub) certicael resto de las TA

En el modelo de conanza en red la cantidad de certicados a emitir entre las nautoridades de conanza participantes seraacute

proporcional a n en el modelo radialproporcional a n2 en el modelo en malla

1303 Modelo de conanza basado en un navegador de Internet El progra-ma que se utiliza para la navegacioacuten por Internet contiene una lista de TA y el usuarioconfiacutea en el proveedor del navegador en incluir TA vaacutelidas Su desventaja consiste enque no posee un servicio adecuado de revocacioacuten de TA y cuando una conexioacuten no tienecerticado vaacutelido se da la opcioacuten al usuario de darlo por vaacutelido de todas maneras loque pone en cuestioacuten el fundamento en siacute del sistema de seguridad de los certicados

1304 Modelo de conanza PGP El sistema de criptografiacutea PGP [Ass00] eshiacutebrido ya que combina criptografiacutea asimeacutetrica y criptografiacutea simeacutetrica Para vericar lavalidez de la asociacioacuten entre el destinatario y la declaracioacuten de la identidad (su nombrey clave puacuteblica) se establece un sistema de certicacioacuten basado en rmas conables delpar (nombre clave puacuteblica)

En el esquema PGP se denen tres niveles de conanza (Completa Marginal yNinguna) y tres niveles de validez (Totalmente vaacutelido Marginalmente vaacutelido Sinvalidez )

La conanza se establece mediante el modelo de presentacioacuten seguacuten el cual sedelegan a personas o entidades la capacidad de presentar un certicado como vaacutelidocumpliendo asiacute el rol de CA Cada presentador puede tener un nivel de conanza Com-

pleta cuando su rma es suciente para dar validez total a un certicado o Marginal

cuando apenas puede brindar validez marginal Se requieren dos entidades con conan-za marginal o una entidad con conanza total para que un certicado sea Totalmente

vaacutelido

131 Cifrado basado en identidad El sistema de cifrado basado en identidad(en ingleacutes Identity Based Cryptography IBC o Identity Based Encription IBE) tienevarias similitudes pero tambieacuten diferencias importantes respecto al cifrado por clavepuacuteblica tradicional En el sistema de cifrado IBC los usuarios se registran ante el TA paraobtener un conjunto de paraacutemetros puacuteblicos

Con estos paraacutemetros el usuario puede calcular la clave puacuteblica asociada a cualquiernombre de identicacioacuten Esto permite una aproximacioacuten diferente ya que aquiacute unusuario puede preparar un nombre que incluya una serie de condiciones y determinar laclave puacuteblica correspondiente aplicando una funcioacuten hash (ver seccioacuten 25) que permiteresumir la identicacioacuten del usuario junto a paraacutemetros puacuteblicos del sistema

El destinatario de la informacioacuten cifrada se autentica ante el generador de claveprivada (PKG Private Key Generator) que es la parte del TA Para determinar laclave privada la PKG usa informacioacuten propia secreta llamada clave maestra (en ingleacutesmaster secret) combinada al nombre del usuario para calcular la clave privada y seentrega al usuario autorizado

Los algoritmos necesarios en un esquema IBC son establecimiento extraccioacutencifrado y descifrado

El establecimiento inicializa los paraacutemetros requeridos incluyendo el secretomaestro que la PKG utiliza para calcular las claves privadas

La extraccioacuten es el algoritmo que calcula la clave privada a partir de los paraacuteme-tros del establecimiento junto con el nombre de la identidad del usuario usandopara esto la clave maestra de la PKG

El cifrado se realiza con la clave puacuteblica IBC La clave puacuteblica es determinada apartir de los paraacutemetros puacuteblicos del establecimiento y el nombre de la identidaddel usuario

El descifrado se realiza con la clave privada IBC obtenida de la PKG

Ejemplo 131 En IBC es posible cifrar informacioacuten meacutedica reservada con destinoa un rol doctor como parte del nombre de identicacioacuten de la identidad Aquellosque cumplan con estas condiciones de identicacioacuten podraacuten tramitar su clave privadaCuando una organizacioacuten tiene una infraestructura basada en roles IBC permite cifrar lainformacioacuten reservada para ser descifrada por alguien que cumpla ciertas combinacionesde informacioacuten de identidad que correspondan a dicho rol

1311 Conclusiones sobre el cifrado IBC Cuando la organizacioacuten es propie-taria de la informacioacuten a cifrar IBC presenta ventajas por su bajo costo y gran facilidad

14 ESQUEMAS DE ESTABLECIMIENTO DE CLAVES 15

de uso respecto al cifrado con clave puacuteblica tradicional ([Lut08]) ya que el TA conoce laclave privada de los usuarios Esto permite que la organizacioacuten pueda recuperar las cla-ves privadas cuando la falta de un empleado no puede implicar la falta de la informacioacutenque este maneja (Sin embargo esto impide el no repudio)

Auacuten asiacute debe mantenerse cuidadosamente el sistema de identicacioacuten (nombres deidenticacioacuten etc) asiacute como la revocacioacuten y la expiracioacuten de las claves La clave maestradel TA no debe poder determinarse a partir de las claves de los usuarios ya que estopermitiriacutea la falsicacioacuten del TA Para la generacioacuten de la clave maestra el TA determinaun par (clave puacuteblica clave privada) y utiliza una funcioacuten puacuteblica que permite incluirdetalles de identicacioacuten del TA asiacute como paraacutemetros del sistema

Los algoritmos de clave puacuteblica nos permiten comunicar de forma segura con otrossin haber intercambiado la clave previamente Esta ventaja implica asumir hipoacutetesisadicionales En el caso de los algoritmos de clave puacuteblica tradicionales se utiliza uncerticado digital para administrar la clave puacuteblica de los usuarios y es necesario es-tablecer una relacioacuten de conanza en el TA y la PKI Alliacute se generan los certicadoscon el rigor correspondiente a la seguridad prometida Si el TA comete un error (propioo provocado maliciosamente por un tercero) y asocia un nombre incorrecto a la clavepuacuteblica de un usuario es posible cifrar un mensaje con la clave incorrecta o que unarma no represente a quien realmente representa Ademaacutes si las realizaciones de clavepuacuteblica tradicional archivan copias de las claves privadas de los usuarios se debe teneruna conanza total en cuanto a los servicios de seguridad brindados en cuanto a queesas claves no terminen en manos de usuarios no autorizados

En el caso de IBC los supuestos necesarios son distintos Cualquier usuario puedecalcular una clave puacuteblica a partir del nombre de identidad del usuario y los paraacutemetrospuacuteblicos correctos pero debe asumirse que los usuarios reciben los paraacutemetros puacuteblicosSi se brinda a un usuario paraacutemetros incorrectos faacutecilmente se puede descifrar susmensajes cifrados Tambieacuten se debe suponer que la PKG IBC autentica los usuariosapropiadamente antes de asignarles sus claves privadas y que ciertos problemas seaninviables

14 Esquemas de establecimiento de claves

Una clave de larga vida puede ser distribuida previamente a los usuarios por el TA osi es de corta vida ser distribuida en cada instancia de sesioacuten requerida Alternativa-mente la clave puede ser acordada sin la participacioacuten activa del TAque eventualmenteparticipariacutea distribuyendo certicados previamente pero no durante el establecimientode la clave Asiacute las opciones de establecimiento de claves se clasican en esquemas dedistribucioacuten previa de claves (KPS en ingleacutes Key Predistribution Scheme) esquemasde distribucioacuten por sesioacuten (SKDS en ingleacutes Session Key Distribution Scheme) y es-quemas de acuerdo de claves (KAS en ingleacutes Key Agreement Scheme) Estos esquemasse caracterizan por

KPS el TA distribuye informacioacuten de claves anticipadamente a todos los par-ticipantes que en el momento de requerirlo pueden utilizarla para cifrar unacomunicacioacuten Esto permitiraacute a cada par de usuarios determinar la clave corres-pondiente a una sesioacuten de comunicacioacuten entre ellos a partir de la informacioacutenque el TA distribuyoacute a cada usuario del par

SKDS el TAelige a demanda claves de sesioacuten y los distribuye mediante un pro-tocolo interactivo Se supone que el periacuteodo de validez de una clave de sesioacuten esrelativamente corta Las claves de sesioacuten se cifran con claves establecidas antici-padamente entre el TA y los usuarios del esquema

KAS para acordar una clave de sesioacuten los usuarios emplean un protocolo inter-activo Este protocolo puede estar basado en esquemas de criptografiacutea simeacutetricao asimeacutetrica y no requieren la participacioacuten de un TA durante la ejecucioacuten delprotocolo

141 Seguridad en la distribucioacuten y acuerdo de claves Consideremos dosparticipantes Ana y Ben que desean establecer una clave Deben considerarse las ame-nazas y objetivos de un posible adversario Omar y las acciones que podriacutea intentar paralograrlos

Dado un esquema de distribucioacuten o acuerdo de claves el adversario puede intentar

1 modicar un mensaje2 almacenar un mensaje para uso futuro3 usurpar la identidad de un usuario

Para lograr

1 hacer que Ana o Ben acepten una clave invaacutelida2 hacer creer a Ana y Ben que establecieron una clave cuando no3 obtener alguna informacioacuten sobre la clave establecida

Dada la dicultad de evaluar la seguridad de un esquema disponer de una demostracioacutende su seguridad brinda una clara denicioacuten de los supuestos y de sus objetivos Luegodeberaacute vericarse el cumplimiento de los supuestos y si los objetivos corresponden alas necesidades del modelo y a la solucioacuten que se pretende con este Una demostracioacutenno asegura que un esquema no pueda ser atacado con eacutexito bajo cualquier condicioacutensino que permite reducir el problema a ciertas hipoacutetesis que permiten un mejor anaacutelisisdel riesgo involucrado al implementar una solucioacuten Una vez conocido el riesgo de esashipoacutetesis la demostracioacuten permite deducir exactamente el riesgo del esquema En lapraacutectica el problema de factorizar nuacutemeros muy grandes o la solucioacuten del logaritmodiscreto permiten establecer criterios de evaluacioacuten aplicados por estaacutendares a nivelinternacional Sin embargo basar la seguridad en la probabilidad de un complot en uncontexto particular es quizaacutes maacutes difiacutecil de justicar

142 Comparacioacuten de esquemas KPS Si bien los esquemas de KPS por aco-tacioacuten de complot son incondicionalmente seguros (es decir no dependen de una con-jetura que supone que un problema es difiacutecil de resolver) desde el punto de vista de laaplicacioacuten del modelo es recomendable depositar la conanza en la dicultad de resol-ver un problema matemaacutetico estudiado universalmente que en la dicultad de realizarun complot a menos que se disponga de informacioacuten justicable objetivamente

143 Establecimiento de claves de sesioacuten El establecimiento de claves desesioacuten permite disminuir

la vida de las clavesla cantidad de claves del sistemalas claves que cada participante debe almacenar

Para su realizacioacuten existen dos alternativas la distribucioacuten y el acuerdo de claves desesioacuten

144 Distribucioacuten de claves de sesioacuten SKDS Es recomendable utilizar es-quemas de distribucioacuten de claves de sesioacuten (SKDS [Sti06]) cuando el duentildeo de la in-formacioacuten no participa de la sesioacuten o cuando se preera utilizar criptografiacutea simeacutetricaEn SKDS cada participante deberaacute establecer en cada sesioacuten un canal seguro con elTA mediante el acuerdo previo de una clave de larga vida o el uso de certicados

La cantidad de claves de larga vida por usuario se minimiza mientras que el TA debealmacenar una cantidad proporcional a la cantidad de participantes de claves de largavida El TA genera las claves de cada sesioacuten a demanda de los participantes previo a lacomunicacioacuten entre ellos Por lo tanto

1 cada participante almacena una clave de larga vida2 el TA almacena las claves de cada participante3 el TA genera las claves y las distribuye para cada sesioacuten mediante el canal seguro

establecido puede usarse para esto criptografiacutea simeacutetrica o asimeacutetrica

145 Acuerdo de claves de sesioacuten (KAS) En el acuerdo de claves de sesioacuten(KAS) los participantes pueden determinar la clave de sesioacuten a partir de informacioacutenestablecida previamente sin que el TA participe activamente durante el establecimientode las claves El TA se encarga de la distribucioacuten de los certicados requeridos por losesquemas para permitir la autenticacioacuten de las claves Cada usuario puede determinarsu clave independientemente la clave de sesioacuten no tiene que ser transmitida

En 36 se trata la seguridad de los esquemas de acuerdo de claves

146 ZRTP El protocolo ZRTP [Bre07] es un protocolo usado para acordarclaves por canales de voz No requiere certicados y usa claves (de corta vida efiacuteme-ras) determinadas por DieHellman Una vez establecida la primer clave segura secombina parte de la clave anterior con la siguiente para evitar ataques MIM (ver la De-nicioacuten defmim) subsiguientes El acuerdo de la primer clave se compara entre ambosextremos leyendo el resultado de aplicar una funcioacuten que permite obtener un resumencaracteriacutestico de la clave Se debe recordar que de todas maneras para establecer unaclave se requiere informacioacuten de identicacioacuten previa Por maacutes detalles praacutecticos sobrela investigacioacuten de la seguridad de ZRTP consultar [BB10] En ZRTP se supone que lainformacioacuten necesaria para el reconocimiento mutuo es suciente De lo contrario seriacuteafaacutecil realizar un ataque MIM sustituyendo primero la identidad del extremo y luego laclave

147 Resguardo compartido de una clave Cuando un TA administra unaclave secreta es posible mejorar la conabilidad compartiendo la responsabilidad deacceso a la clave secreta Para resguardar una clave cuyo acceso es sensible se puededistribuir informacioacuten parcial de esta entre varios participantes de tal forma que a partirde cierto valor umbral t (en ingleacutes threshold) sea posible su recuperacioacuten En el esquemade resguardo compartido de claves de Shamir (ver [Sti06] capiacutetulo 13) el propietariode la clave (que no participa en el esquema) distribuye las partes a los participantesSolo a partir de un acuerdo entre t de estos participantes es posible recuperar la clave

15 Caracteriacutesticas determinantes del modelo

En esta se seccioacuten se indican las variables del modelo a tener en cuenta para deter-minar el esquema de distribucioacuten de claves maacutes adecuado al caso de aplicacioacuten

Nuacutemero de usuarios νNuacutemero de claves γTiempo de validez τFacilidades de encuentro entre usuarios para acordar clavesUso de contrasentildeas o claves por parte de usuariosPropietarios de la informacioacuten a intercambiarRelaciones de conanzaValor de la informacioacutenCosto de un TAGrado de exposicioacuten de las claves

151 Largo de vida de una clave Como se indica en la seccioacuten 1221 el largode vida de una clave depende de la exposicioacuten del texto cifrado ya que por Shannon(Communication Theory of Secrecy Systems [Sha49]) si el largo del texto plano esmayor que la clave queda expuesta informacioacuten al adversario que eventualmente podriacuteaobtener Es recomendable entonces cifrar el texto plano de la comunicacioacuten con claves desesioacuten (donde podriacutea incluso haber sesiones de tiempo limitado y haber varias sesionespor conversacioacuten)

Esta consideracioacuten permitiriacutea clasicar el establecimiento de claves seguacuten

distribucioacuten previa de claves (de larga vida) odistribucioacuten o acuerdo de claves (de corta vida)

152 Posesioacuten de la informacioacuten Otro aspecto a considerar es la convenienciao no de la participacioacuten de un agente conable en el establecimiento de la clave centra-lizando la administracioacuten y distribucioacuten de estas Esto depende de que la informacioacutensea propiedad del agente conable y deba mantener control sobre la informacioacuten cifra-da o porque las entidades esteacuten dispuestas a compartir la propiedad de la informacioacutencifrada conando en su servicio como facilidad para sus operaciones

Esto determina la eleccioacuten de un esquema de distribucioacuten previa de claves de largavida o de distribucioacuten de claves de sesioacuten (de corta vida) donde el agente conable ode conanza participa directamente en la generacioacuten de las claves a distribuir

En caso contrario ya sea por innecesario o inconveniente puede optarse por unmeacutetodo donde el establecimiento de las claves se realice sin la participacioacuten directade un agente conable un esquema de acuerdo de claves En esta clase de esquemael TA podraacute participar brindando un servicio de certicacioacuten sin poder acceder a lainformacioacuten de las claves acordadas

153 Cantidad de claves La cantidad de claves a asignar a los participantesvariacutea seguacuten la restriccioacuten de la comunicacioacuten es simeacutetrica o asimeacutetrica

Distribucioacuten previa de claves (KPS) a la hora de asignar claves simeacutetricas aν usuarios como se requiere una clave para cada uno de los

)pares de usua-

rios la distribucioacuten previa de claves simeacutetricas requiere un nuacutemero de clavesproporcional a ν2

16 RESUMEN 19

Distribucioacuten de claves por sesioacuten (SKDS) una alternativa para que el nuacuteme-ro de claves sea proporcional a ν es asignar una gura responsable que actuacuteecomo autoridad de conanza (TA) que distribuya una clave a cada uno de losusuarios Cuando un usuario desea establecer una sesioacuten de comunicacioacuten soli-cita una clave al TA El TA genera una clave aleatoria y la entrega al par deusuarios correspondiente

Esquema KAS STS no requiere participacioacuten del TA durante el acuerdo de lasclaves solo debe emitir los certicados Pero requiere que ambas partes ejecutenlos pasos del protocolo para determinar la clave

En KPS Trivial es incondicionalmente seguro y no requiere realizar caacutelculos pa-ra determinar la clave (deberaacute buscarse en una tabla de ν minus 1 entradas) peroel total de claves del sistema seraacute γ proporcional a ν2 por lo que el esfuerzo deadministracioacuten tambieacuten crece en ese orden

KPS DH γ es proporcional a ν el TA distribuye certicadosZRTP no se requiere certicados pero la seguridad depende de un primer reco-nocimiento de la voz seguro entre las partes

SKDS BellareRogaway el TA genera la clave a demanda y la distribuye Losusuarios tienen una clave de larga vida para comunicarse con el TA la ventajaes que el cifrar con clave de sesioacuten deja la clave menos expuesta

KAS STS (estacioacuten a estacioacuten) el TA solo certica claves puacuteblicas de los usua-rios

IBC no hay certicados El TA determina la clave privada que corresponde a suidentidad durante el registro Esto requiere mayor conanza depositada en elTA

KAS con contrasentildea los usuarios pueden memorizar las claves pero como enKPS-Trivial las contrasentildeas crecen seguacuten ν2

16 Resumen

Los esquemas propuestos han sido seleccionados por su eciencia y propiedadesde seguridad demostrables matemaacuteticamente A grandes rasgos estas resultan ser ladistribucioacuten previa de claves trivial (KPS trivial) la distribucioacuten previa de claves DieHellman (KPS DH) la distribucioacuten de claves por sesioacuten BellareRogaway (SKDS BR)el acuerdo de claves estacioacuten a estacioacuten (KAS STS) y el acuerdo de claves cifrado concontrasentildea (KAS DH con contrasentildea)

En el esquema KPS trivial cada par de participantes debe acordar una clave de largavida ya sea entre siacute o a traveacutes de una entidad centralizada llamada autoridad conable(TA) que las distribuya Como la cantidad de pares crece proporcional al cuadrado delnuacutemero de usuarios la administracioacuten de las claves limita la utilizacioacuten de este esquemaa un nuacutemero pequentildeo de usuarios Tambieacuten requiere el cambio perioacutedico de las clavesde acuerdo a su utilizacioacuten

En el esquema SKDS BR un TA genera las claves de cada sesioacuten entre dos usuariosdistribuyendo estas a demanda Para ello deben contar tambieacuten con una clave de largavida con el TA pero su uso es mucho maacutes limitado por lo que el periacuteodo de cambiode claves puede ser maacutes extendido Como hay una clave por cada usuario las claves aadministrar crecen proporcionalmente al nuacutemero de usuarios

En estos dos esquemas cuando el TA distribuye las claves tiene la capacidad deacceder a la informacioacuten y por lo tanto estaacute en condiciones de ser su duentildeo

El esquema KPS DH consiste en la distribucioacuten previa de certicados por parte delTA para transmitir la parte puacuteblica del acuerdo de claves DieHellman El nuacutemerode claves es proporcional al de usuarios y la clave de cifrado resultante es de larga vida

En el esquema KAS STS no se requiere la participacioacuten del TA durante el acuerdode las clave para una conversacioacuten Este esquema utiliza cifrado asimeacutetrico en el quecada participante dispone de un par (clave puacuteblica clave privada) La clave privadaseraacute un secreto de cada usuario pero cada usuario deberaacute registrar su clave puacuteblicaante el TA que a su vez permitiraacute vericar al resto de los usuarios que la clave puacuteblicaes auteacutentica es decir que realmente corresponde al usuario supuesto

En el esquema KAS STS al permitir que la clave privada sea un secreto de cadausuario permite que la informacioacuten sea propiedad exclusiva de los interlocutores Sinembargo si el TA administrase las claves privadas tambieacuten seraacute potencial propietario dela informacioacuten de las conversaciones Como en SKDS el nuacutemero de claves es proporcionalal nuacutemero de usuarios pero en KAS STS la administracioacuten de las claves puacuteblicasrequieren una infraestructura de clave puacuteblica adecuada para brindar documentos quecertican la autenticidad de las claves puacuteblicas que manejan los usuarios del sistema

Si es necesario garantizar la posesioacuten y disponibilidad de la informacioacuten para untercero (su duentildeo) las claves deben permanecer a su alcance En este caso puede serconveniente utilizar un esquema de distribucioacuten de claves de sesioacuten SKDS en lugar deKAS (ver secciones 144 y 145)

En cambio cuando la posesioacuten de la informacioacuten sea exclusiva de las partes encomunicacioacuten puede ser maacutes conveniente un esquema KAS

En el esquema KAS DH con contrasentildea la clave acordada es de corta vida pero serequiere administrar una contrasentildea por cada par de usuarios por lo que las contrasentildeascrecen proporcionalmente al cuadrado del nuacutemero de usuarios

17 Casos de uso

A la hora de decidir el esquema a utilizar para un caso particular las coordenadasfundamentales a tener en cuenta son la propiedad de la informacioacuten cifrada la capacidadde almacenamiento de claves y su administracioacuten la capacidad de procesamiento de losterminales y del TA En general se optaraacute por cifrar con claves de sesioacuten por lo quea la hora de determinar si usar SKDS o KAS deberaacute tenerse en cuenta que SKDSes adecuado cuando el propietario de la informacioacuten es el TA y este distribuye lasclaves de sesioacuten manteniendo asiacute el control de las claves y por lo tanto del contenidocifrado independientemente de los interlocutores involucrados De lo contrario aun sino hay un tercer duentildeo de la informacioacuten si el procesamiento de los terminales superala capacidad requerida para realizar cifrado asimeacutetrico deberaacute usarse SKDS por clavesimeacutetrica para evitar el crecimiento exponencial de las claves en los terminales Cuandoel procesamiento de los terminales puede soportar cifrado asimeacutetrico este permitiraacute conun manejo adecuado de la clave privada de cada usuario y de un manejo conable delas claves puacuteblicas establecer una comunicacioacuten condencial punto a punto

171 El sistema de telefoniacutea celular GSM La telefoniacutea celular GSM [ETS11]es un sistema de comunicacioacuten global para comunicacioacuten telefoacutenica moacutevil

17 CASOS DE USO 21

Desde el punto de vista de la seguridad se disponen las siguientes facilidades

1 Autenticacioacuten de la identidad del usuario2 Condencialidad de la identidad del usuario3 Condencialidad de los datos de sentildealizacioacuten4 Condencialidad de los datos del usuario

La seguridad de la comunicacioacuten se establece punto a punto entre cada abonado yun nodo de la red (MSC) La red consiste en operadores que despliegan sus MSC paraestablecer la comunicacioacuten entre sus abonados y la red Al registrarse ante el operador alabonado se le asigna una declaracioacuten de identidad (IMSI) y una plantilla simeacutetrica (Ki)La autenticacioacuten del abonado corresponde al centro de autenticacioacuten del operador delabonado (CAu) que es un componente de la base de datos de registro de abonados deloperador (HLR) Como no es necesario distinguir entre el abonado y el CAu es posibleutilizar una plantilla simeacutetrica para la identicacioacuten del abonado ante la red

El operador le entrega al abonado una tarjeta de abonado inteligente (SIM) y unequipo moacutevil (TM)6 La SIM contiene el PIN el IMSI el Ki y un algoritmo (de desafiacuteoy respuesta) que a partir de un desafiacuteo aleatorio (RAND) del CAu permite calcular larespuesta SRES y la clave de sesioacuten Kc

El CAu contiene tambieacuten una base de datos con una tabla (IMSI Ki) y el mismoalgoritmo para determinar la respuesta SRES y la clave de sesioacuten Kc Por lo tanto laautenticacioacuten es por desafiacuteo y respuesta y el establecimiento de claves corresponde aun esquema del tipo de acuerdo de claves simeacutetrico (porque la plantilla Ki es simeacutetrica)

A los efectos de dicultar el seguimiento de la identidad del abonado a traveacutes desu comunicacioacuten con la red una base de datos de abonados visitantes a la red (VLR)asocia una identidad temporal TMSI al IMSI

La comunicacioacuten inalaacutembrica entre el teleacutefono moacutevil del abonado y la MSC se esta-blece a traveacutes de una radiobase de la red El equipo moacutevil obtiene la clave de sesioacuten Kcde la SIM y la radiobase la obtiene del CAu del abonado De esta forma la comunicacioacuten(de voz datos y sentildealizacioacuten) viaja cifrada a traveacutes del aire

1 En el contrato se asocia una SIM con el registro de clientes del proveedor HLR2 El abonado tiene asociado un identicador MSI3 El terminal al conectarse consulta al registro de visitantes VLR4 El VLR enviacutea el IMSI al HLR

Ya sea la primera vez que realiza la conexioacuten o por alguna razoacuten excepcional que el VLRpierda los datos del cliente una vez autenticado el cliente se ejecutaraacute un protocolocon la estacioacuten moacutevil

1 SIM enviacutea un TMSI por defecto al VLR2 VLR solicita el IMSI al SIM3 VLR realiza la autenticacoacuten del MS4 VLR enviacutea un TMSI por el canal cifrado

El TMSI cambia en cada cambio de localizacioacuten (LAI) De esta forma si cambia de VLRel TMSI puede ser faacutecilmente determinado por el nuevo VLR

1 SIM enviacutea (LAITMSI) al nuevo VLR

6El equipo moacutevil cuenta con una identicacioacuten propia (IMEI) que se usa por ejemplo para el caso de

2 El nuevo VLR deduce asiacute el VLR anterior y le solicita el IMSI

Si el usuario cambia de VLR el nuevo VLR solicita el IMSI al VLR anterior que letransere las ternas sin uso al nuevo VLR

En el Cuadro 171 se resume la relacioacuten entre los paraacutemetros de seguridad en la redGSM

SIM TM Radiobase RegistroIMSI Ki IMSI KiTMSI TMSI

Cuadro 171 Distribucioacuten de paraacutemetros de seguridad en la red

172 Grupo de gerentes y un gerente general Una empresa tiene un grupode gerentes y un gerente general que responde ante el directorio Utilizan conversacionestelefoacutenicas para negociar y en algunos casos estas conversaciones no pueden quedar fue-ra del aacutembito de los gerentes Durante una conversacioacuten condencial entre un gerentey el gerente general el nal de una negociacioacuten por una solicitud de inversioacuten estrateacute-gica requiere no repudio ya que el gerente general deberaacute evaluar los resultados de lasnegociaciones con cada gerente y presentar sus conclusiones al directorio a partir de es-tas Dado que estas negociaciones pueden implicar decisiones de negocio que involucrenmedidas no faacutecilmente reversibles se requiere que un planteo de un gerente al gerentegeneral no pueda ser negado posteriormente Por ejemplo que si el gerente justica unasolicitud con un argumento no pueda luego negar haber sostenido tal argumento Estotanto por la posibilidad de que el gerente bajo presioacuten no actuacutee honestamente asiacute comoante la situacioacuten de que se pueda demostrar que el gerente general no pudo confundir algerente con otro ya sea por accidente o incluso en una maniobra deshonesta por partedel gerente general

Se considera que una conversacioacuten telefoacutenica a traveacutes de un sistema cuyo software nose conecta nunca a Internet cumple con ventajas los requisitos de seguridad necesariosplanteados luego del anaacutelisis de riesgo realizado a tales efectos

Durante una conversacioacuten mediante un botoacuten PRIV se tiene la opcioacuten de pasar auna conversacioacuten condencial entre los gerentes Acordado el resultado del planteo sedecide dejar constancia apretando otro botoacuten REG en ese estado se enciende unaluz que indica grabacioacuten Al indicarse n (por ejemplo apretando nuevamente REG)se apaga la luz se termina la grabacioacuten se rma y se enviacutea la grabacioacuten y la rma

No se considera conveniente la privacidad de la conversacioacuten en el aacutembito empre-sarial por lo que para el estado PRIV se selecciona un esquema un esquema SKDSBellareRogaway El esquema SKDS BellareRogaway cuenta con una demostracioacuten deseguridad y utiliza primitivas de criptografiacutea simeacutetrica pero requiere para cada sesioacutenun intercambio de mensajes con un TA

El botoacuten REG requiere un sistema de emisioacuten de certicados para rmar la gra-bacioacuten donde la clave privada sea de acceso exclusivo a cada gerente a los efectos demantener las garantiacuteas del no repudio La rma de esta parte decisiva de la conversacioacutenpermite vericar la autenticidad y el no repudio

Alternativamente se decide que dado que existe una infraestructura de certicadospara la rma el establecimiento de claves pueda realizarse tambieacuten por KAS STS

17 CASOS DE USO 23

que tambieacuten tiene demostracioacuten de seguridad El uso de criptografiacutea asimeacutetrica en elacuerdo de claves permite que no sea necesario la interaccioacuten con un TA por cada sesioacutenDependiendo de la situacioacuten puede congurarse un aparato telefoacutenico remotamente paraque use KAS o SKDS Por ejemplo en caso de auditarse un aparato por alguna razoacutenexcepcional La empresa considera que la informacioacuten de las conversaciones es de supropiedad por lo que no se considera necesario una indicacioacuten del esquema utilizado encualquier sesioacuten de ese aparato telefoacutenico

En otro escenario posterior debido al eacutexito y a la experiencia lograda con el pro-ducto se da la oportunidad de brindar a grupos terceros un servicio de ese tipo En esecaso la informacioacuten de las conversaciones seraacute privada para el proveedor por lo que laasignacioacuten de claves se conguraraacute en los teleacutefonos uacutenicamente por KAS STS

Seguacuten cada caso el disentildeo de la PKI y los servicios que esta brinde deberaacuten sercuidadosamente determinados La vericacioacuten de revocacioacuten por los aparatos telefoacutenicos(ver seccioacuten 1210) asiacute como la recuperacioacuten de una clave privada (por peacuterdida de untoken o de contrasentildea de acceso a esta) deberaacute considerarse con atencioacuten En esteuacuteltimo caso quizaacutes el acceso compartido requiriendo muacuteltiples participantes puedenaumentar la sensacioacuten de conanza Sin embargo siempre que la clave privada no seapropiedad exclusiva del usuario es muy difiacutecil cuanticar objetivamente el riesgo y lasgarantiacuteas que realmente puede brindar el sistema La seguridad de la clave privada llevasiempre la responsabilidad y dicultad de su uso

Capiacutetulo 2

Primitivas criptograacutecas

En este capiacutetulo se realiza una breve descripcioacuten de las primitivas utilizadas Pormaacutes detalles ver [Sti06] [Jud94] y [LN97]

21 Resumen de fundamentos matemaacuteticos

Cuando dos enteros tienen el mismo resto en la divisioacuten entera sobre m se diceque son congruentes moacutedulo m Esto equivale a decir que dos nuacutemeros son congruentesmoacutedulo m si su diferencia es un muacuteltiplo de m

Definicioacuten 21 Si m es un entero positivo se dice que dos enteros a y b soncongruentes moacutedulo m y se escribe a equiv b (mod m) cuando bminus a es muacuteltiplo de m

En el manejo habitual de los horarios se trabaja considerando las horas moacutedulo24 o moacutedulo 12 para el sistema AMPM y se realiza la aritmeacutetica naturalmenteAnaacutelogamente se puede trabajar moacutedulo cualquier entero positivo m Por maacutes detallesen la seccioacuten 11 de [Sti06] se brinda un resumen breve y en [Ste09] se desarrolla eltema con maacutes detalle

Definicioacuten 22 Se nota Z(m) al conjunto de los restos moacutedulo m 0 mminus 1Cuando para un elemento a isin Z(m) existe un b isin Z(m) tal que ab minus 1 es muacuteltiplode m se dice que a es invertible y que b es su inverso multiplicativo en Z(m)

El conjunto de los invertibles moacutedulo m que se notaraacute aquiacute como Φ(n) es igual alconjunto de los elementos de Z(m) coprimos con m

Ejemplo 211Φ(6) = 1 5

Definicioacuten 23 Una operacioacuten binaria middot en un conjunto G es una funcioacuten

(middot) GtimesG minusrarr G

y se nota g1 middot g2 = g1g2 = (middot)(g1g2)

Cuando la operacioacuten es conmutativa (que el orden de los elementos no afecta alresultado) suele usarse la notacioacuten + para la operacioacuten Por supuesto es un criterioconvencional y cualquier siacutembolo puede ser utilizado para referirse a una operacioacuten

Definicioacuten 24 Un grupo es un conjunto G no vaciacuteo con una operacioacuten binaria (middot)que cumple las tres condiciones indicadas a continuacioacuten

1 La operacioacuten middot sobre G es asociativa es decir para cualquier ab c isin G

a middot (b middot c) = (a middot b) middot c

2 Existe un elemento identidad e en G tal que para todo g isin G

g middot e = e middot g = g

26 2 PRIMITIVAS CRIPTOGRAacuteFICAS

3 Para cada elemento g isin G existe un elemento inverso gminus1 isin G tal que

ggminus1 = gminus1g = e

Si el grupo tambieacuten satisface4 Para todo ab isin G

a middot b = b middot aentonces el grupo es llamado abeliano (o conmutativo)

A veces se nota amiddotb simplemente como ab La propiedad asociativa garantiza que unasecuencia de operaciones sin pareacutentesis no es ambigua ya que el lugar de los pareacutentesisno afecta el resultado

Definicioacuten 25 Un grupo es nito si tiene un nuacutemero nito de elementos Se llamaorden de grupo nito al nuacutemero de sus elementos

Se diraacute que dado un elemento λ isin G y un entero n

nprod1

Ejemplo 212 El conjunto de los enteros forma un grupo con la operacioacuten deadicioacuten El 0 es la identidad y el inverso de un entero cualquiera a es minusa El grupo delos enteros se nota como Z

Definicioacuten 26 Un subconjunto H del grupo G es un subgrupo de G si H es ungrupo respecto la operacioacuten de G Los subgrupos de G que no sean subgrupos triviales(e y G) son llamados subgrupos no triviales de G

Definicioacuten 27 Las potencias de un elemento λ de un grupo forman un subgrupo〈λ〉 En ese caso λ es un generador de 〈λ〉 y se dice que 〈λ〉 es un grupo ciacuteclico generadopor λ Si el grupo ciacuteclico generado por λ es nito su nuacutemero de elementos se denominaorden de λ

Un grupo ciacuteclico puede tener maacutes de un elemento generador Por ejemplo el grupoaditivo Z tiene a 1 y a minus1 como generadores

Ejemplo 213 (Φ(6) middot) es un grupo ciacuteclico En efecto Φ(6) = Φ(5) ya que moacutedulo6 5 equiv minus1 (mod 6)

(Φ(12) middot) no es un grupo ciacuteclico 11 equiv minus1 (mod 12) y 52 equiv 72 equiv 1 (mod 12)En (Φ(15) middot) que tampoco es ciacuteclico 〈2〉 = 2 4 8 1 y 〈7〉 = 7 4 13 1

Definicioacuten 28 Un cuerpo (F+ middot) es un conjunto F con dos operaciones binariastales que

1 F es un grupo abeliano respecto la operacioacuten middot2 El conjunto de los elementos de F distintos de 0 Flowast = F 0 forma un grupo

con la multiplicacioacuten middot3 middot es conmutativa4 Se cumplen la ley distributiva es decir para todo ab c isin F se cumple

a middot (b+ c) = a middot b+ a middot c

22 LOGARITMO DISCRETO Y FACTORIZACIOacuteN 27

Un ejemplo de cuerpo nito es el conjunto 0 1 p minus 1 junto con la suma y elproducto moacutedulo p llamado cuerpo de Galois de orden p y se nota Fp Se destacanalgunas propiedades a recordar

Proposicioacuten 211 Si F es un cuerpo nito con q elementos entonces todo a isin Fcumple aq = a

Teorema 211 Para cada cuerpo nito Fq el grupo multiplicativo Flowastq de ele-

mentos no cero de Fq es ciacuteclico

Asiacute como es posible extender el cuerpo de los nuacutemeros reales R agregando un nuevoelemento que sea raiacutez del polinomio x2 + 1 y obtener asiacute el cuerpo de los nuacutemeroscomplejos representable por Rtimes R es decir el plano complejo es posible extender uncuerpo nito Fp con p primo para lograr un cuerpo nito de pm elementos donde mes el grado de un polinomio sin raiacuteces en el cuerpo Fp

22 Logaritmo discreto y factorizacioacuten

Ciertos grupos nitos ciacuteclicos de orden muy grande1 tienen la propiedad de quelas potencias de un elemento λ no siguen un patroacuten reconocible es decir que dados elelemento λ y una potencia elegida al azar no habriacutea un algoritmo mucho mejor paraencontrar el exponente correspondiente que realizar una buacutesqueda exhaustiva es decirrecorrer todos los exponentes hasta encontrar la potencia en cuestioacuten

Definicioacuten 29 Sea λ isin G donde (G middot) es un grupo El logaritmo discreto de unapotencia de λ es la funcioacuten que permite determinar el exponente correspondiente

El problema del logaritmo discreto consiste en calcular dados un grupo ciacuteclico 〈λ〉y un elemento cualquiera de eacutel α elegido al azar el exponente a isin Z tal que α = λa

221 El problema computacional de DieHellman (CDHP) El proble-ma computacional de DieHellman reere a la situacioacuten modelada en el esta-blecimiento de claves DieHellman Dado un grupo ciacuteclico 〈λ〉 ambas partes Ana yBen determinan su propio exponente secreto elegido al azar y calculan su potencia co-rrespondiente Digamos que Ana elige el exponente a y determina α = λa y Ben eligeel exponente b y determina β = λb Para determinar la clave Ana y Ben compartensus potencias puacuteblicamente y calculan αb = βa que utilizan como clave2

Definicioacuten 30 Dado un grupo con operador multiplicativo y un elemento λ en eacutelsean dos potencias α = λa y β = λb donde los exponentes son secretos

El problema computacional de DieHellman CDHP(λαβ) consiste en hallarla potencia λab

En un grupo aditivo y un elemento P en eacutel dados dos productos aP y bP el problemaCDHP consiste en obtener abP

Una forma obvia de resolver este problema es calculando el logaritmo discreto en elcaso multiplicativo o los factores en el caso aditivo para obtener a y b Por lo tantoCDHP no es maacutes difiacutecil de resolver que el problema del logaritmo discreto

1Un aacuterea de investigacioacuten que permite aumentar la disponibilidad de grupos ciacuteclicos es la de las

curvas eliacutepticas sobre cuerpos nitos2este no es un protocolo de establecimiento de claves seguro como veremos maacutes adelante

222 El problema de decisioacuten DieHellman (DDHP) El problema de

decisioacuten de Die-Hellman consiste en obtener informacioacuten parcial de la solucioacutenCDHP Si el adversario pudiera a partir de los tres paraacutemetros de entrada obtenervarios bits del resultado el establecimiento de claves DieHellman no seriacutea hermeacuteticoya que un adversario pasivo podriacutea obtener informacioacuten de la clave de los usuariosobservando el intercambio de claves puacuteblicas

Dado un grupo con operador multiplicativo y un elemento λ en eacutel sean dos potenciasλa y λb El problema de decisioacuten DDHP consiste en que dada una potencia cualquieraelegida de 〈λ〉 determinar si es o no cierto que sea igual a λab

Cuando en la presentacioacuten de un esquema de seguridad se indica que estaacute basadoen el problema del logaritmo discreto muchas veces se da por entendido la utilizacioacutende los problemas CDHP y DDHP

223 El problema de factorizacioacuten Otro problema del cual se conjetura noexiste una solucioacuten viable es el problema de factorizacioacuten de un nuacutemero entero com-

puesto En efecto todo nuacutemero entero es unidad (1 o minus1) 0 primo o producto deprimos Sin embargo auacuten cuando un nuacutemero sea el producto de solo dos primos esposible seleccionarlos de tal forma que se conjetura seriacutea inviable factorizarlos Elproblema RSA es un problema que estaacute basado en la inviabilidad del problema de lafactorizacioacuten

224 Deniciones

Definicioacuten 31 Texto original (plaintext) es la informacioacuten para la cual el cifradoprovee privacidad Un algoritmo de cifrado toma el texto original y una clave comoentradas y produce un texto cifrado como salida

Definicioacuten 32 Texto cifrado (ciphertext) es la salida de un algoritmo de cifrado

Definicioacuten 33 Cifrado (encryption) toma texto original y una clave como entra-das y produce texto cifrado como salida

Definicioacuten 34 Descifrado (decryption) toma el texto cifrado y una clave comoentradas y produce texto original como salida

Definicioacuten 35 Clave criptograacuteca es un valor que dene la operacioacuten de cifrado odescifrado Los valores usados para todos los usuarios del sistema criptograacuteco se llamanparaacutemetros El cifrado IBC dispone de un conjunto de paraacutemetros puacuteblicos

Definicioacuten 36 Clave asimeacutetrica o puacuteblica es un cifrado que usa dos claves rela-cionadas una puacuteblica y otra privada tal que dada la clave puacuteblica es inviable obtenerla clave privada

Definicioacuten 37 Cifrado aleatorio es uno que requiere un nuacutemero aleatorio comoentrada ademaacutes del texto original y la clave

TA es la entidad conable responsable de la administracioacuten y de la distribucioacutende informacioacuten

Ana es la identidad de la primera usuaria del canalAna es el nombre de Ana expresado como cadena de bitsBen es la identidad del segundo usuario del canal

23 SEGURIDAD DEL CIFRADO 29

Ben es el nombre de Ben expresado como cadena de bitsOmar es la identidad del atacantedxe es el menor entero mayor que xΦ(n) es el conjunto de enteros positivos menores que n que son coprimos con nSi p es primo Φ(p) = 1 pminus 1

ϕ(n) es el nuacutemero de elementos de Φ(n)eK(m) cifrado de m con la clave KdK(c) descifrado de c con la clave KmacK(m) resumen (hash) cifrado con clave simeacutetrica K del mensaje msigU(m) rma del usuario U del mensaje mverU(s) vericacioacuten de la rma s del usuario UverU clave puacuteblica del usuario UKPS (Key Predistribution Scheme) esquema de distribucioacuten previa de clavesSKDS (Session Key Distribution Scheme) esquema de distribucioacuten de claves desesioacuten

KAS (Key Agreement Scheme) esquema de acuerdo de clavesIBC (Identity Based Cryptography) cifrado basado en la identidadoplus operacioacuten o exclusivo (XOR) bit a bit operacioacuten que une de forma secuencial dos cadenas de bits

Definicioacuten 38 Un algoritmo aleatorio se dice Las Vegas si como salida puederesponder falla o responder un resultado correcto Un algoritmo es (εQ) si es unalgoritmo aleatorio Las Vegas tal que disponiendo de Q intentos la probabilidad pro-medio de eacutexito no supera ε

23 Seguridad del cifrado

Usualmente la seguridad de un cifrado se clasica seguacuten los requerimientos que seindican a continuacioacuten

Ataque con solo texto cifrado el adversario tiene acceso solo a texto cifradoes el ataque maacutes difiacutecil para un adversario y cualquier criptosistema debe serresistente a ese tipo de ataques para brindar cierto nivel de seguridad

Ataque con texto original conocido el adversario tiene acceso al texto origi-nal y al texto cifrado correspondiente no necesariamente para todo el mensajecifrado El adversario tiene mucha ventaja y cualquier criptosistema deberiacutea pro-teger contra este tipo de ataque Muchos mensajes con formato permiten unafaacutecil realizacioacuten de este ataque

Ataque de texto original elegido el adversario puede elegir un texto original yobtener el cifrado correspondiente Asiacute podriacutea obtener una tabla que represente lafuncioacuten de cifrado Una forma de contrarrestarlo es incluir informacioacuten aleatoriaen el texto original a cifrar de tal forma que un mismo mensaje podraacute ser cifradoen diferentes resultados de texto cifrado cada vez

Ataque de texto original elegido adaptativo aquiacute el adversario selecciona eltexto original a cifrar en funcioacuten del resultado cifrado anterior

Ataque de texto cifrado elegido el adversario selecciona texto cifrado y puedeobtener el texto original correspondiente Si un algoritmo cifra el mismo texto

original al mismo texto cifrado (el resultado del cifrado no es aleatorio) es sus-ceptible a este tipo de ataque Cualquier criptosistema de clave puacuteblica deberiacuteatolerar e ste tipo de ataque

Ataque de texto cifrado elegido adaptativo el adversario selecciona texto ci-frado seguacuten el resultado anterior

24 El esquema RSA de cifrado asimeacutetrico

En RSA (ver seccioacuten 53 de [Sti06]) se seleccionan dos primos pq secretos y dis-tintos donde la factorizacioacuten de su producto se considere inviable Entonces se calculay hace puacuteblico n = pq Se cumple que ϕ(n) = (p minus 1)(q minus 1) Entonces se elige unentero aleatorio b tal que tenga un inverso moacutedulo ϕ(n) Luego se calcula aplicando elalgoritmo extendido de Euclides (ver [Ste09]) un entero a tal que

ab equiv 1 (mod ϕ(n))

La clave puacuteblica es el par (nb) y la clave privada (pqa) Las funciones de cifradoeK(x) y descifrado dK(y) se denen como

eK(x) equiv xb (mod n)

dK(x) equiv xa (mod n)

El nuacutemero b se llama exponente de cifrado y el nuacutemero a exponente de descifrado

241 La transformada de FujisakiOkamoto Esta transformada transformaun cifrado de clave puacuteblica deacutebil en uno que es seguro contra ataques de texto cifradoelegido

Sea E(PXR) un algoritmo de clave puacuteblica aleatorio que cifra el texto plano Xusando una entrada aleatoria R y la clave puacuteblica P Sea D la funcioacuten de descifradocorrespondiente a E y sean H1 y H2 funciones de hash criptograacutecas Entonces paracifrar un mensaje M el cifrado Eprime es resistente a ataques de texto cifrado elegido

Eprime(PMR) = (C1C2) = C

C1 = E(PRH1(RM))

C2 = H2(R)oplusM

Para descifrar el mensaje

s = D(C1)

M = H2(s)oplus C2

r = H1(sM) vericar que C1 = E(P sR) Si no es cierto elevar error y terminar

M es el resultado del descifrado de C

25 Funciones hash

En la praacutectica un mensaje contiene mucha informacioacuten redundante y es posibleextraer una huella (con un largo de bits jo y relativamente pequentildeo) del mensaje detal forma que cualquier pequentildea modicacioacuten genere una huella totalmente distintaUna funcioacuten inversa de la huella de un mensaje deberiacutea ser difiacutecil de deducir a partir de

26 ESQUEMAS DE FIRMA DIGITAL 31

la observacioacuten de sus resultados La probabilidad de que dos mensajes distintos tenganla misma huella deberiacutea ser despreciable

Una huella puede ademaacutes requerir el conocimiento de una clave para obtener su re-sultado En criptografiacutea (ver seccioacuten 42 de [Sti06]) estas funciones huella se denominanhash

Definicioacuten 39 Una familia (hash) es una cuaterna (X YKH) tal que

1 X es el conjunto de los mensajes posibles2 Y es un conjunto nito de huellas posibles3 K es el conjunto de claves posibles4 Para cada clave k de K existe una funcioacuten hash en H hk que va de X a Y

Definicioacuten 40 Se elige una funcioacuten hash con entradas x1 y x2 y salidas y1 e y2Entonces H es una funcioacuten hash criptograacuteca si su caacutelculo es eciente y tiene las trespropiedades siguientes

resistencia a colisiones es difiacutecil hallar x1 x2 distintos y que H(x1) = H(x2)resistencia a preimagen dado cualquier y1 es difiacutecil encontrar un x1 con y1 =

H(x1)resistencia a segunda preimagen dado un x1 con y1 = H(x1) es difiacutecil encon-trar un x2 distinto a x1 e y1 = H(x2)

Una funcioacuten MAC es un hash que depende de una clave (ver seccioacuten 44 de [Sti06])A continuacioacuten se dene la seguridad de una funcioacuten MAC

El objetivo de un adversario es obtener un MAC vaacutelido de un mensaje sin conocerla clave Sea x el mensaje particular e y su MAC correspondiente

El adversario puede observar una secuencia (x1y1) (xQyQ) de pares vaacutelidos deotros mensajes (xi 6= x) Si el adversario logra obtener (xy) a partir de Q observaciones(xiyi) habraacute logrado una falsicacioacuten

Definicioacuten 41 Diremos que una MAC es segura(εQ) si a partir de Q MACla probabilidad promedio de lograr una falsicacioacuten es menor que ε Un adversarioque puede tiene probabilidad ε o mayor de realizar una falsicacioacuten a partir de Qobservaciones seraacute un falsicador(εQ)

26 Esquemas de rma digital

La rma a mano se adjunta a un documento almacenado en papel para indicarsu responsable Un esquema de rma (digital) es un meacutetodo de rmar un mensajealmacenado en forma electroacutenica es decir almacenado como una sucesioacuten de bits Sinembargo una rma digital no queda adjunta al mensaje y su vericacioacuten debe realizarsemediante un algoritmo puacuteblico

Ademaacutes todas las copias de una rma digital son exactamente iguales a la originalpor lo que el concepto de rma original no es aplicable para habilitar una transaccioacutenbasada en que una rma es la original

Un esquema de rma consiste en un algoritmo de rma sigK() (privado) que dependede la clave privada K y un algoritmo de vericacioacuten (puacuteblico) asociado a la clave privada

Definicioacuten 42 Un esquema de rma es una tupla (PAKSV) donde se cumple

1 P es un conjunto nito de mensajes

2 A es un conjunto nito de posibles rmas3 K es un conjunto nito de posibles claves4 S es el conjunto de funciones de rma5 V es el conjunto de funciones de vericacioacuten6 Para cada clave k isin K existe un algoritmo de rma en S y un correspondiente

algoritmo de vericacioacuten en V La rma es una funcioacuten de P sobre A y la veri-cacioacuten es una funcioacuten de P times A rarr verdadero falso que compara la rmacon el mensaje de tal forma que si corresponden el resultado seraacute verdadero ode lo contrario falso

Definicioacuten 43 Diremos que un esquema de rma es seguro(εQ) si a partir dela disponibilidad de Q rmas la probabilidad promedio de falsicarla no supera ε

27 Modelo de conanza de certicacioacuten

En el conjunto de entidades E se dene una funcioacuten γ Erarr N que representa el nivelde autoridad de conanza de la entidad La propiedad de autoridad de conanza reereal total de certicados que directamente o indirectamente a traveacutes de otras autoridadesde conanza estaacuten rmados por eacutel El rol de autoridad de conanza corresponde al TALa autoridad de certicacioacuten (CA) no constituye por siacute sola una autoridad de conanzaΓA indica el nivel autoridad de conanza depositada en AEn el conjunto de los pares ordenados de Etimes E se toma un subconjunto que dene

una relacioacuten R entre ellos de tal forma que (AB) isin R cuando se cumple que ΓA gt ΓBSe cumple que R es una relacioacuten de orden entre los niveles de conanza depositados

a las entidades certicadoras En efecto ΓA gt ΓA ya que en un mismo nivel jeraacuterquicode conanza A puede certicar su propia muestra Si ΓA gt ΓB y ΓB gt ΓA entonces estaacutenen un mismo nivel de conanza es decir ΓA = ΓB Si ΓA gt ΓB y ΓB gt ΓC entoncesΓA gt ΓC

Si el nivel de conanza de A le permite certicar a B indicamos por ΓA gt ΓB

Definicioacuten 44 Una relacioacuten de conanza es una relacioacuten de orden gt entre lasentidades certicadoras tal que A gt B cuando A puede emitir un certicado a B

Esta relacioacuten permite establecer niveles de conanza de jerarquiacutea creciente y tambieacutenun camino de conanza entre varios agentes conables

28 Criptografiacutea basada en identidad

Sea G = 〈g〉 de orden p primo por ejemplo un grupo de puntos en una curva denidaen un cuerpo nito y Gt un grupo de orden p por ejemplo un subgrupo multiplicativoen alguna extensioacuten del cuerpo

Supongamos que no es viable obtener un homomorsmo de Gt rarr GSea e GtimesGrarr Gt bilineal es decir que cumple forallu v isin G forallab isin Z

e(ua vb) = e(u v)ab

donde 〈e(gg)〉 = GtAdemaacutes suponemos que las operaciones sobre GGt y e son calculables eciente-

28 CRIPTOGRAFIacuteA BASADA EN IDENTIDAD 33

Decimos entonces que G es un grupo bilineal y que el mapa e es simeacutetrico bili-neal (o pairing) en el grupo G La simetriacutea reere a la invarianza del mapa bilineal alintercambiar sus argumentos

Consideremos que la identidad del destinatario ID consiste en una cadena arbitrariade bits 0 1lowast que el mensaje a cifrar M es de longitud ja l y los cuatro hashescriptograacutecos

H1 0 1lowast rarr G (de la identidad en G)

H2 Gt rarr 0 1l (para aplicar xor con la clave de sesioacuten)

H3 0 1l times 0 1l rarr Z(p)

H4 0 1l rarr 0 1l (para hacer xor con el texto en claro)

Entonces el esquema consiste en

281 Inicializacioacuten

w = rand(p)

gpub = gw

(ggpub) isin G2 son los paraacutemetros puacuteblicos (params)

w isin Z(p) es la clave maestra (masterkey)

282 Extraccioacuten El remitente ID tramita su clave privada dID con el TA quecalcula

hID = H1(ID)

dID = (hID)w isin G

283 Cifrado El remitente desea enviar el mensaje M isin 0 1l al destinatarioidenticado por ID isin 0 1lowast

s = rand(0 1l)

hID = H1(ID)

yID = e(hIDgpub)

C = (gr soplusH2(yrID)MoplusH4(s)) isin Gtimes 0 1l times 0 1l

284 Descifrar

C = (u vw)

s = voplusH2(e(udID))

M = woplusH4(s)

r = H3(sM)

El esquema de cifrado es consistente en efecto

e(udID) = e(grhID) = e(ghID)

yrID = e(hIDgw)r = e(hIDg)

Al descifrar el resultado M se considera vaacutelido si gr = uEste resumen sigue la liacutenea de [Boy06]

Capiacutetulo 3

Esquemas de realizacioacuten

31 Modelo de ataque y objetivos del adversario

El objetivo de un esquema de establecimiento de claves es intercambiar informacioacutenque permita a las partes involucradas determinar la clave sin que un tercero puedaobtener alguna informacioacuten de esta

El atacante no deberiacutea alterar la informacioacuten ni los destinatarios en el desarrollo deuna sesioacuten protocolo ni obtener informacioacuten secreta de este

La informacioacuten secreta (por ejemplo una contrasentildea una clave o la plantilla en unesquema de identicacioacuten) que sea posible obtener de una sesioacuten por parte de un atacan-te deberiacutea ser nula Un esquema que cumple con este requerimiento se dice hermeacutetico(en ingleacutes zero knowledge scheme)

Ademaacutes un esquema deberiacutea ser sencillo y eciente como para ser realizado en unatarjeta inteligente

311 Seguridad de las claves El tiempo de validez de uso de una clave (sulargo de vida) es un aspecto importante en la seguridad de un esquema

Definicioacuten 45 Se dice que una clave es de larga vida (en ingleacutes long lifetime LLkey) cuando su uso en el tiempo es prolongado

Como se indica en la seccioacuten 151 la clave debe ser lo menos expuesta posible a unposible adversario

En ese sentido es preferible utilizar claves de sesioacuten de corta vida (en ingleacutes shortlifetime session keys) En general las claves deberiacutean ser establecidas de forma aleatoriaen cada oportunidad (independientemente de su duracioacuten)

Se debe tener en cuenta tambieacuten el almacenamiento de las claves de larga vidaNaturalmente un esquema donde las claves crecen con los pares de usuarios puedehacerse muy difiacutecil de administrar a medida que el nuacutemero de usuarios aumenta Porejemplo para 10 usuarios habraacute 45 pares Si n es el nuacutemero de usuarios los pares creceraacutenproporcionalmente a n2 El adversario podriacutea deducir una clave de sesioacuten o una clavede larga vida

Definicioacuten 46 Se dice que se realiza un ataque con clave de sesioacuten conocida

(en ingleacutes known session key attack) cuando un adversario conociendo una clave desesioacuten intenta deducir otras claves de ya sean de sesioacuten o de larga vida

Definicioacuten 47 Se dice que se realiza un ataque con clave de larga vida conocida

cuando un adversario conoce la clave de larga vida

Esto obliga a reiniciar totalmente el esquema De lo contrario las claves establecidasa partir de ese momento careceraacuten de garantiacuteas

36 3 ESQUEMAS DE REALIZACIOacuteN

Definicioacuten 48 Se dice que un esquema tiene la propiedad de secreto perfecto afuturo (en ingumleacutes perfect forward secrecy) cuando auacuten conociendo la clave de larga vidael atacante no es capaz de deducir las claves de sesioacuten que fueron emitidas previamente

En este caso si el atacante no dispone el resto de los paraacutemetros de la sesioacuten conque fue generada cuando se establece una clave de sesioacuten la seguridad de la clavepermaneceraacute auacuten cuando maacutes adelante se obtuviese la clave de larga vida con la que fuegenerada

312 Seguridad de un protocolo Como se describe en la introduccioacuten si sedispone de un canal digital establecido a traveacutes de la liacutenea telefoacutenica debe distinguirseuna cadena de bits que solo puede ser generada por una persona en particular (suplantilla) Si esa cadena de bits viaja por un canal inseguro puede ser interpretadaPor lo tanto debe existir un conocimiento secreto entre las partes que no viaja

por el canal inseguro y que permitiraacute reconocer la identidad

Definicioacuten 49 Un protocolo es una secuencia donde a cada paso del protocolo lecorresponde un ujo de informacioacuten entre las entidades participantes

Se llama sesioacuten a una instancia de un protocolo

La informacioacuten de un ujo en un protocolo consiste en una o varias variables que locomponen El ujo no deberiacutea ser predecible ni poder ser reutilizado fuera del paso quecorresponde en el protocolo Para evitarlo se recurre a agregar componentes aleatoriasy a disponer en en los ujos de pasos distintos una estructura particular por ejemploen la cantidad de variables que lo componen

313 Esquemas de identicacioacuten Un esquema de identicacioacuten brinda un me-canismo que permite a demanda y en el momento en que se solicita (en tiempo real)vericar una identidad ante un vericador a traveacutes de un canal inseguro (ver [Sti06]seccioacuten 91) Enviar la identidad relativa declaraacutendola propia no es suciente ya que laidentidad relativa permite vericar la declaracioacuten de identidad pero no la plantilla quees necesaria para determinar la identidad virtual sin la cual no se puede determinarla identidad de acuerdo al modelo presentado en el primer capiacutetulo

Es necesario entonces un mecanismo que demuestre al vericador el conocimiento oposesioacuten de la plantilla por parte del vericado Esta prueba de conocimiento deberaacute sertal que no revele informacioacuten de la plantilla La secuencia de pasos para realizar el inter-cambio de informacioacuten requerida por el esquema se denomina protocolo Cada paso dedicho protocolo deberaacute ser inutilizable posteriormente De lo contrario su reutilizacioacutenpermitiriacutea en otro paso de la misma o en otra sesioacuten usurpar una identidad

314 Seguridad de un esquema de identicacioacuten En un protocolo de unesquema de identicacioacuten se vericaraacute el cumplimiento de las condiciones previstas enel esquema para evitar la posibilidad de un ataque exitoso Solo si estas condiciones

se cumplen se aceptaraacute la identicacioacuten

Definicioacuten 50 Un participante honesto cumple con el esquema realiza los caacutelculoscorrectamente y no revela informacioacuten al adversario

Definicioacuten 51 Un adversario es pasivo si solo recaba la informacioacuten que uye entrelos participantes durante el protocolo de establecimiento

31 MODELO DE ATAQUE Y OBJETIVOS DEL ADVERSARIO 37

Definicioacuten 52 Un adversario es activo si durante el protocolo de establecimien-to logra introducir un mensaje cambiar un mensaje o cambiar el destinatario de unmensaje

Un adversario activo puede tomar el lugar del otro participante legiacutetimo o del TA einterceptar y cambiar mensajes del esquema El objetivo de un adversario (llamadoen adelante Omar) es lograr que un participante honesto (que respeta el esquema)acepte la identicacioacuten en una sesioacuten donde eacutel es activo Como modelo de ataque eladversario puede intentar dos fases una previa de recoleccioacuten de informacioacuten (pasiva)y luego intentar (participando activamente) engantildear al vericador La recoleccioacuten deinformacioacuten realizada por Omar puede lograrse actuando como observador pasivo perotambieacuten durante su participacioacuten activa

En una sesioacuten de un protocolo de un esquema de identicacioacuten se pretende probar laposesioacuten de un conocimiento (la plantilla ver Denicioacuten 8) de tal forma que su resultadoindique la autenticidad

Definicioacuten 53 Se diraacute que una variable es loacutegica o booleana cuando puede tomardos valores que representan Falso o Verdadero Una funcioacuten se diraacute booleana si tomay devuelve valores booleanos

Una armacioacuten cualquiera por ejemplo un teorema es una proposicioacuten loacutegica y porlo tanto una variable booleana En principio esta variable p tiene un valor desconocidoy la prueba consiste en determinar su valor

Definicioacuten 54 Un prueba [Pan08] es una funcioacuten booleana que es

Completa cuando a toda entrada verdadera le corresponde un resultado verda-dero

Consistente cuando a una entrada falsa le corresponde un resultado falso

Definicioacuten 55 Una prueba de identicacioacuten es completa cuando su resultado nalpermite vericar la identidad en cuestioacuten

Definicioacuten 56 Una prueba de identicacioacuten es consistente (soundness [Sti06])cuando usurpar una identidad implica conocer la plantilla

Definicioacuten 57 Un esquema de identicacioacuten es un esquema que permite a alguiencon una informacioacuten secreta (la plantilla) convencer a otra parte de su conocimiento

Si un adversario pudiera realizar con eacutexito la condicioacuten impuesta por una pruebainteractiva de identicacioacuten seriacutea capaz de usurpar la identidad con una probabilidadno despreciable

Definicioacuten 58 Una prueba de identicacioacuten es una prueba de conocimiento (eningleacutes proof of knowledge [Sti06]) si es una prueba de identicacioacuten completa y con-sistente

Definicioacuten 59 Una prueba de conocimiento es hermeacutetica (en ingleacutes zero proof

of knowledge [Sti06]) si no revela informacioacuten del secreto (la plantilla) durante suejecucioacuten

Definicioacuten 60 Una prueba de conocimiento es segura si es una prueba de conoci-miento hermeacutetica

Definicioacuten 61 Una prueba de identicacioacuten es consistente(pn) cuando usurparuna identidad luego de observar hasta n sesiones implica conocer la plantilla con mayorprobabilidad que p

Definicioacuten 62 Una prueba de conocimiento(pn) es una prueba de identicacioacutenque es completa y consistente(pn)

Definicioacuten 63 Una prueba de conocimiento seraacute hermeacutetica(pn) si en una can-tidad n de sesiones de la prueba la probabilidad de que la informacioacuten revelada seasuciente para obtener el secreto (la plantilla) es menor que p

Definicioacuten 64 Una prueba de conocimiento es segura(pn) si es una prueba deconocimiento(pprimenprime) y hermeacutetica(pprimeprimenprimeprime) y pprime 6 p pprimeprime 6 p nprime gt n nprimeprime gt n

La seguridad de un esquema de identicacioacuten estaraacute dada por la seguridad de laprueba que utilice

Ejemplo 311 Sea Omar un participante cualquiera que quiere autenticarse comoAna ante Ben

1 Si Omar tiene la plantilla de Ana la prueba de conocimiento deberiacutea aceptarsepor parte de Ben es la completitud de la prueba

2 Si Omar puede lograr que Ben lo acepte en la prueba de conocimiento interacti-va esto deberiacutea implicar que Omar tiene la plantilla de Ana es la consistenciade la prueba

3 Si Omar no puede obtener informacioacuten de la plantilla de Ana a partir de sesionesen las que participa Ana es el hermetismo de la prueba Omar puede recopi-lar informacioacuten como observador pasivo o activamente intentando establecersesiones con Ana

315 Objetivo del adversario En un esquema de establecimiento de clavesun atacante activo podriacutea

1 alterar mensajes que observe en el canal2 guardar mensajes para reutilizarlos maacutes adelante3 intentar usurpar la identidad de usuarios o entidades de la red

El objetivo del adversario seriacutea

1 engantildear a los participantes en aceptar una clave falsa por ejemplo una clave delpasado que ha perdido validez o una clave elegida por el adversario

2 hacer creer al menos a uno de los participantes de haber intercambiado una clavecon el otro cuando no ha sido asiacute

3 determinar cualquier informacioacuten sobre la clave establecida

En algunas demostraciones de seguridad de los esquemas de identicacioacuten o estableci-miento de claves es posible que se considere obvia la completitud y que la consistencia yel hermetismo se deduzcan probando que un atacante activo o pasivo no puedan alterarni obtener informacioacuten de una o varias sesiones

Resumiendo el objetivo de una sesioacuten de un esquema de distribucioacuten o acuerdode claves es que al nal de la sesioacuten del esquema ambas partes involucradas en lasesioacuten obtengan la misma clave y su valor sea totalmente desconocido por cualquierotra parte (excepto cuando asiacute esteacute previsto que le corresponda al TA) Cuando estos

32 ESQUEMAS DE IDENTIFICACIOacuteN POR DESAFIacuteO Y RESPUESTA 39

esquemas requieran el establecimiento autenticado de claves deberaacuten ser esquemas deidenticacioacuten seguros

32 Esquemas de identicacioacuten por desafiacuteo y respuesta

Los esquemas de identicacioacuten por desafiacuteo y respuesta (Challenge and Response)que se describen a continuacioacuten constituyen una clase de algoritmos que sustentan suseguridad en primitivas criptograacutecas cuya seguridad ya estaacute establecida previamenteen las hipoacutetesis

321 Identicacioacuten por desafiacuteo y respuesta con clave simeacutetrica Este es-quema consiste en comprobar la identidad entre dos participantes donde el nombre delvericador es Ben y Ana es el nombre de quien desea identicarse A esos efectos (verProtocolo 321) Ben elige un desafiacuteo aleatorio r de w bits y lo enviacutea a quien debe reco-nocer Cuando Ana recibe el desafiacuteo de Ben responde con la MAC del valor (Ana r)obteniendo macK(Ana r) (Utilizando la clave simeacutetrica K compartida previamenteentre Ana y Ben)

Suponemos que la MAC es segura(εQ) (ver la Denicioacuten 41) Por lo tanto elatacante (Omar) puede recopilar Q MACs e intentar un ataque a la MAC con unaprobabilidad no mayor que ε Pero independientemente a las caracteriacutesticas de seguridadde la MAC Omar podriacutea tener la suerte de que entre los Q MACs recuperados desesiones anteriores para valores (Ana ri) elija uno que coincida con el desafiacuteo actualr Pero como los r son aleatorios la probabilidad en este caso es Q2w

1 Ben r = rand(2w) r minusrarr Ana

2 Ana u = macK(Ana r) u minusrarr Ben

3 Ben ulowast = macK(Ana r) acepta si u = ulowast

Protocolo 321 Desafiacuteo y respuesta con clave simeacutetrica

El tamantildeo w en bits de r permite mantener baja la probabilidad de reutilizacioacuten dela respuesta (2minusw) La respuesta debe contener el nombre de Ana para que solo puedareutilizarse respuestas emitidas por ella

Anarlarrminusminusminusminusminusminusminus Ben

Anauminusminusminusminusminusminusminusminusrarr Ben

Diagrama 321 Desafiacuteo y respuesta con clave simeacutetrica

La seguridad del protocolo se mide como la probabilidad maacutexima de que luego decierto nuacutemero Q de sesiones en que Omar es pasivo y observa QMACs al pasar Omar aser activo en una sesioacuten engantildee a Ben logrando que la acepte cuando deberiacutea rechazarlaSe asumen MACs seguras(εQ) es decir que la probabilidad de falsicarlas a partir deobservar Q no es mayor a ε Se dice que un esquema es seguro(pn) si en n sesionesla probabilidad de un ataque exitoso no es mayor a p (ver seccioacuten 25 y [Sti06] seccioacuten422)

3211 Estimacioacuten de una cota de probabilidad en la unioacuten de sucesos Cuan-do dos sucesos son muy poco probables [PM08] (como se establece al denir los pa-raacutemetros de seguridad de los esquemas en criptografiacutea) la probabilidad de que ocurrauno u otro (su unioacuten) es la suma de cada uno menos la probabilidad de su ocurrenciasimultaacutenea (su interseccioacuten) Ya sea que los procesos sean independientes o que difiacute-cilmente ocurran simultaacuteneamente se consideraraacute que la suma de las probabilidadeses una buena cota del peor caso Tambieacuten cuando tengo varios intentos que puedenresultar en eacutexito o fracaso (intentos de Bernoulli) e interesa calcular la probabilidad detener eacutexito en Q intentos y la probabilidad p de eacutexito es muy baja se cumple

Pr [alguacuten eacutexito en Q intentos] = 1minus Pr [no tener ninguacuten eacutexito] = 1minus (1minus p)Q asymp Qp

Teorema 321 Utilizando un MAC seguro(εQ) si los desafiacuteos son aleatorios

y de w bits el esquema de identicacioacuten Desafiacuteo y respuesta con clave simeacutetrica

es seguro(Q2w + ε Q)

Demostracioacuten La prueba de conocimiento es completa ya que si Omar conoce laclave K podraacute usurpar la identidad de Ana con probabilidad 1

Para probar que la prueba de conocimiento es consistente(Q2w + εQ) suponga-mos que Omar logra usurpar la identidad de Anaen Q intentos con probabilidad mayora Q2w + ε haciendo que Ben haya aceptado en alguna de esas Q sesiones y por tantoobservando Q MACs Si Omar obtuvo el valor de u solo pudo haberlo hecho reutili-zando o falsicando u La probabilidad de reutilizacioacuten no puede ser mayor que Q2w

por ser el desafiacuteo aleatorio y de w bitsEntonces la probabilidad de reutilizacioacuten de Omar es mayor que ε pero esto no es

posible por hipoacutetesisPara probar que la prueba de conocimiento es hermeacutetica(ε Q) observar que si

Omar logra obtener K en Q sesiones estaraacute en condiciones de obtener una MAC porlo que la probabilidad de Omar de hacerlo debe ser menor que ε

Por lo tanto el esquema es seguro(Q2w + ε Q)

322 Identicacioacuten por desafiacuteo y respuesta mutua con clave simeacutetrica

En este caso ambos participantes realizan la prueba de conocimiento entre siacute Como enel esquema anterior debe evitarse la reutilizacioacuten de cualquier respuesta ya sea en lamisma sesioacuten o en una siguiente Se describen los pasos necesarios de una sesioacuten delesquema en el protocolo (322)

1 Ben r1 = rand(2w) r1 minusrarr Ana

2 Ana r2 = rand(2w) u1 = macK(Ana r1 r2) (r2u1) minusrarr Ben

3 Ben ulowast1 = macK(Ana r1 r2) Si u1 = ulowast1 acepta

u2 = macK(Ben r2) u2 minusrarr Ana

4 Ana ulowast2 = macK(Ben r2) Si u2 = ulowast2 acepta

Protocolo 322 Desafiacuteo y respuesta mutua con clave simeacutetrica

Notar que se requiere imponer una asimetriacutea en las MAC de forma que una enviadaen un sentido no pueda luego ser reutilizada en el sentido contrario En el diagrama322 se ilustra los ujos de informacioacuten del protocolo

Anar1larrminusminusminusminusminusminusminusminus Ben

Anar2 u1minusminusminusminusminusminusminusminusrarr Ben

Anau2larrminusminusminusminusminusminusminusminus Ben

Diagrama 322 Desafiacuteo y respuesta mutua con clave simeacutetrica

La seguridad del Protocolo 322 se demuestra en el Teorema 322

y de w bits el esquema de identicacioacuten mutua Desafiacuteo y respuesta con clave

simeacutetrica es seguro(Q2w + 2εQ2)

Demostracioacuten La prueba es completa ya que si Omar conoce la clave podraacuteautenticarse ante Ben Para el hermetismo se aplica un argumento similar al caso delTeorema 321

En cuanto a la consistencia que Ben acepte a Omar implique que Omar conoce laclave es equivalente a que si Omar no conoce la clave Ben no acepte En primer lugaren el caso de identicacioacuten mutua el liacutemite de sesiones que puede observar Omar esQ2 Asiacute podraacute disponer de Q MACs Como los mensajes u1 son creados por Ana conuna estructura distinta al de los mensajes u2 creados por Ben los mensajes u1 nopueden reutilizarse como creados por Ben o los mensajes u2 como creados por AnaPara usurpar la identidad de Ana alcanza determinar u1 y para usurpar la identidadde Ben alcanza con determinar u2 La mitad de los MAC disponibles son generadospor Ana y la otra mitad son generados por Ben con la misma clave (ya que esta essimeacutetrica)

Diremos que el atacante Omar logra una sustitucioacuten si acierta al seleccionar entresus Q MAC recolectados el auteacutentico valor Como la informacioacuten de MAC observadapor Omar estaacute protegida por la misma clave puede recolectar informacioacuten de la MACen ambos sentidos para intentar una sustitucioacuten

Para usurpar la identidad de Ana Omar podriacutea intentar reutilizar un u1 de los Q2que dispone si se le permitiese recopilar Q MACs donde eacutel mismo elige el desafiacuteo r2 ylo mantiene jo En ese caso los (Ana r1 r2) posibles son 2w y pA1 = Q2w+1 ofalsicarlo con probabilidad pA2 = ε por lo que

pA = pA1 + pA2 = Q2w+1 + ε

Para usurpar la identidad de Ben Omar podriacutea intentar tambieacuten reutilizar un u2 delos Q2 que dispone entre los 2w con probabilidad pB1 = Q2w+1 o falsicarlo conprobabilidad pB2 = ε por lo que

pB = pB1 + pB2 = Q2w+1 + ε

Entonces la probabilidad de eacutexito de Omar no es mayor a Q2w + 2ε

323 Identicacioacuten mutua por desafiacuteo y respuesta con clave asimeacutetrica

En este caso se asumen que las rmas digitales son seguras(εQ) es decir que no puedenser falsicadas a partir de la observacioacuten previa deQ de ellas con una probabilidad mayora ε En el Protocolo 323 se describen los pasos necesarios

Notar que para un usuario U cualquiera verU representa su clave puacuteblica que es-taacute directamente asociada a verU(m s) la funcioacuten de verdad (booleana) que permitevericar si la rma s del mensaje m corresponde o no a su clave puacuteblica

1 Ben r1 = rand(2w) (CertBen r1) minusrarr Ana

2 Ana r2 = rand(2w) s1 = sigAna(Ben r1 r2) (CertAna r2 s1) minusrarr Ben

3 Ben verica verAna en CertAna Si verAna(Ben r1 r2 s1) aceptas2 = sigBen (Ana r2) s2 minusrarr Ana

4 Ana verica verBen en CertBen Si verBen(Ana r2 s2) acepta

Protocolo 323 Desafiacuteo y respuesta mutuo con clave asimeacutetrica

En el Teorema 323 se prueba la seguridad del esquema

Teorema 323 Si el esquema de rma sig() es seguro(εQ) y los desafiacuteos

son aleatorios de longitud w el protocolo del esquema de identicacioacuten mutua

Desafiacuteo y respuesta con clave asimeacutetrica es seguro(Q2wminus1 + 2εQ)

Demostracioacuten La demostracioacuten es anaacuteloga a la correspondiente simeacutetrica tenien-do en cuenta que las rmas tienen una clave distinta en cada sentido por lo que se tomanQ sesiones y que ahora la probabilidad de usurpar una rma es

pA1 = pB1 =Q

a partir de lo cual de la misma forma que en el teorema anterior se obtiene el valorenunciado en la tesis

33 Esquemas de identicacioacuten basados en una conjetura

Los esquemas de identicacioacuten basados en una conjetura parten de la conanza enque un problema que se conjetura como sin solucioacuten y que por lo tanto se puede consi-derar de muy difiacutecil solucioacuten en tiempo polinomial y con probabilidad no despreciableEl problema permite a partir de un secreto (clave privada) generar una clave puacuteblica

La seguridad de estos esquemas requiere que sean completos consistentes y hermeacute-ticos No es necesario partir de la seguridad de otras primitivas pero si la conjeturafuera falsa el esquema perderiacutea utilidad

331 El esquema de identicacioacuten Schnorr El esquema de identicacioacuten

Schnorr es un tipo de esquema basado en el problema del logaritmo discreto que nousa herramientas criptograacutecas cuya medida de seguridad estaacute denida Una ventaja deeste tipo de esquemas es que podriacutean ser maacutes ecientes y consumir menos recursos decomunicacioacuten Se tomaraacute λ como un elemento de orden primo y muy grande q

Se elige un paraacutemetro de seguridad w tal que 2w lt q sea cota del desafiacuteo aleatorio(exponente) r = rand(2w) Ana dene un secreto su clave privada a y los paraacutemetros

33 ESQUEMAS DE IDENTIFICACIOacuteN BASADOS EN UNA CONJETURA 43

puacuteblicos son λ qw y la clave puacuteblica correspondiente α = λminusa En el Protocolo 331se describen los pasos de una sesioacuten del esquema Cuando Ana intenta identicarse yBen desea vericarlo Ana elige como clave privada un exponente a y seraacute

α equiv λminusa equiv λqminusa (mod p)

El uso de los certicados se omite para simplicar la descripcioacuten en el Protocolo 331

Ana k = rand(q) γ = λk γ minusrarr Ben(1)

Ben r = rand(2w) r minusrarr Ana(2)

Ana y equiv k+ ar (mod q) y minusrarr Ben(3)

Ben λyαr equiv γ(4)

Protocolo 331 Schnorr

El esquema Schnorr estaacute disentildeado para ser eciente y raacutepido requiriendo miacutenimoesfuerzo de caacutelculo para identicarse En efecto el mayor esfuerzo de caacutelculo para Ana seda en el paso (1) pero es posible realizar el caacutelculo previamente En el paso (3) serequiere una multiplicacioacuten y una suma en los exponentes naturales menores que q Enel caso de implementarse el grupo ciacuteclico a trabajando en el cuerpo nito Fp es decireligiendo un primo muy grande y un elemento λ en [1pminus 1] que genere el grupo ciacuteclicode orden q la informacioacuten en bits intercambiada son p + w + q bits En general p esel tamantildeo en bits necesario para representar γ Puede disminuirse esta informacioacuten acosta de utilizar una funcioacuten de hash adecuada (por ejemplo SHA1 ver seccioacuten 25)y enviando γprime = SHA1(γ) Ben podraacute comparar el hash recibido contra el hash delγ calculado A los efectos de demostrar la seguridad del esquema el primer paso esvericar que es completo

3311 Completitud

Proposicioacuten 331 El esquema Schnorr es completo

Demostracioacuten

λyαr equiv λk+arαr equiv λk equiv γ (mod p)

3312 Consistencia A continuacioacuten se vericaraacute que el esquema son consisten-tes (ver la Denicioacuten 56) es decir que usurpar la identidad de Ana implica que se puedeobtener la clave privada con mayor probabilidad que la dada por el paraacutemetro de seguri-dad Para esto se supone primero que se logra usurpar la identidad de Ana y se intentaprobar que esto equivale a tener la capacidad de obtener la clave privada en tiempopolinomial y con probabilidad no despreciable El siguiente lema seraacute de utilidad

Lema 331 Sustituir a Ana implica que es posible adivinar en tiempo polino-

mial para un valor dado γ dos pares (rprimeyprime) y (rprimeprimeyprimeprime) vaacutelidos con probabilidad no

despreciable es decir tales que

γ = λyprimeαrprime= λy

primeprimeαrprimeprime

(mod p)

Se presentan dos demostraciones de este lema cuyo resultado se presume en laDemostracioacuten 941 de [Sti06] (paacutegina 375) La primera se propone como solucioacuten alEjercicio 96 [Sti06] La demostracioacuten estaacute basada en un ataque mediante un algoritmoexpliacutecito por lo que se considera ilustrativo

Demostracioacuten Observando el Protocolo 331 si Omar estaacute en condiciones deusurpar la identidad de Ana puede deducir en tiempo polinomial un y a partir deun par (γ r) con mejor probabilidad que adivinar r (que es 2minusw) Podemos suponerentonces que Omar dispone de un oraacuteculo O(γ r) del tipo Las Vegas (ver la Denicioacuten38) cuya respuesta seriacutea y a partir un par cualquiera (γ r) con probabilidad ε

Para obtener los dos pares Omar ejecuta el Algoritmo 331

N = d1εe(331)

Se generan N pares (γi ri) = (rand(q) rand(2w))(332)

Se prueba N veces O(γi ri)(333)

Si el par (γi ri) es exitoso (γprime rprime) = (γi ri)(334)

Se generan N valores si = rand(2w)(335)

Se prueba N veces O(γprime si)(336)

Si el par (γprime si) es exitoso y si si 6= rprime rArr rprimeprime = si(337)

Algoritmo 331 Hallar respuestas Schnorr vaacutelidas

Para que este algoritmo pueda realizarse en tiempo polinomial en el paraacutemetro deseguridad w el valor de N debe ser polinomial en t En ese caso veremos que es posibleobtener el par de valores buscados con una probabilidad no despreciable

En la Figura 331 se muestra el espacio de probabilidad de generacioacuten de los pares(γ r) siendo Γ el conjunto de los γ y R el conjunto de los r y X sub ΓtimesR X es el conjuntode los casos en que la respuesta es vaacutelida Su probabilidad es por hipoacutetesis ε

P(X) =|X|

|R||Γ |= ε

Figura 331 Espacio de probabilidad

Es faacutecil observar que el Algoritmo 331 es O(N) Ademaacutes la probabilidad de fallaren N intentos es (

)(1minus 1N)N = eminus1

por lo que la probabilidad de eacutexito es 1 minus eminus1 Una vez obtenido el par (γprime rprime) sedeberiacutea evaluar la probabilidad de obtener un nuevo rprimeprime pero distinto a rprime para el γprime delpar anterior Observando la Figura 331 el conjunto de los pares exitosos de abscisa γprime

consisten en Rprime = X cap (γ r) γ = γprimeVeremos que la probabilidad de obtener un γprime para el cual la probabilidad de eacutexito

sea mayor o igual a ε2 es mayor o igual a 12 Se denen

p =Pr [(γprime r) isin X]rArr p =|Rprime|

Γ0 =γprime p gt

Γ1 =ΓΓ0

Entonces (ver Figura 332)

Figura 332 Probabilidad de Γ0

P(γprime isin Γ1) =sumγprimeisinΓ1 |R

prime|

|R|sumγprimeisinΓ1 p

=|Γ1|p|X|

6|Γ1|p

ε|Γ |6

|Γ1|ε2ε|Γ |

=12|Γ1|

|Γ |6

Por lo tanto la probabilidad de obtener un buen γprime es mayor o igual a

12(1minus eminus1)

En el segundo intento la probabilidad de obtener un par (γprime rprimeprime) es

1minus (1minusε

2)N minus

1(2w)2

asymp 1minus (1minusε

12ε2 asymp 1minus eminus

La probabilidad de tener eacutexito seriacutea mayor o igual a

12(1minus eminus1)(1minus eminus

que es una probabilidad no despreciable (ver seccioacuten 3312)

La segunda demostracioacuten corresponde a la nota publicada en [Sti07]

Demostracioacuten La consistencia del esquema signica que cualquiera que puedausurpar la identidad de Ana con una probabilidad no despreciable en tiempo polinomialpodraacute calcular la clave privada de Ana en tiempo polinomial Se supone entonces quees posible obtener dos algoritmos G e Y El algoritmo G obtiene un γ vaacutelido en tiempopolinomial Y(γ r) es un algoritmo Las Vegas que obtiene un y vaacutelido con probabilidadε o indica Falla en caso contrario La idea es ejecutar G para obtener un γ y luegoejecutar Y varias veces hasta que se encuentre un par (rprime rprimeprime) con respuestas vaacutelidas parael mismo valor de γ donde ε = 1

wccon c constante Es decir que habraacute una respuesta

por cada 2w

wcdesafiacuteos r posibles (ya que |r| = w) Esto corresponde a la hipoacutetesis de

que ε represente una probabilidad no despreciable Ahora si se ejecuta Y wc veces esdecir un nuacutemero polinomial en el paraacutemetro w la probabilidad de no obtener ningunarespuesta seraacute (por la distribucioacuten binomial)

p0 = (1minus1wc

Y la probabilidad de obtener exactamente una respuesta seraacute

p1 = wc times 1

wctimes (1minus

)(wcminus1 = (1minus

)wcminus1

Como p0 asymp p1 asymp eminus1 asymp 037 la probabilidad de obtener por lo menos dos respuestascorrectas es

1minus p0 minus p1 asymp 026

Por lo tanto se ha logrado en tiempo polinomial y con probabilidad constante y positivaun par de valores (ry) para un γ dado Como veremos en la proposicioacuten siguiente estoimplica haber obtenido una forma eciente de calcular la clave privada de Ana

Proposicioacuten 332 El esquema Schnorr es consistente

Demostracioacuten A partir del Lema 331 si Omar puede usurpar la identidad deAna puede obtener en tiempo polinomial rprime rprimeprime y tambieacuten yprimeyprimeprime tales que

λyprimeminusyprimeprime = αr

primeprimeminusrprime equiv λa(rprimeminusrprimeprime)

Y como λ es de orden q

yprime minus yprimeprime equiv a(rprime minus rprimeprime) (mod q)

Siendo asiacute posible obtener la clave privada a Por lo tanto poder usurpar la identidadde Ana implica poder obtener la clave privada El esquema es consistente

3313 Hermetismo A continuacioacuten se prueba que el esquema es hermeacutetico

Proposicioacuten 333 El esquema Schnorr es hermeacutetico (cero)

Demostracioacuten La informacioacuten que viaja en una sesioacuten puede resumirse en unestado t = (γ ry) donde se cumple que

γ equiv λyαr (mod p)

Supongamos que con un algoritmo E se obtiene la clave privada con probabilidad εa partir de una sucesioacuten real de estados t1 tl Si a su vez tprime1 t

primel son sesiones

simuladas con la misma distribucioacuten de probabilidad E podriacutea extraer con probabilidadε la clave privada

Todos los estados posibles son

T = (γ ry) γ equiv λyαr (mod p)

donde r isin [1 2w] e y isin [0 qminus 1] Entonces |T| = q2w

P(T = t) = P(Y = y R = r) = P(Y = y | R = r)P(R = r)

P(Y = y|R = r) = P(K+ aR = y|R = r) = P(K = yminus ar) = qminus1

Entonces

P(T = t) = qminus12minusw

Omar podriacutea entonces realizar una simulacioacuten de la sucesioacuten de estados donde

r = rand(2w)

y = rand(q)

γ = λyαr

tienen la misma distribucioacuten de probabilidad que el caso real Por lo tanto la sucesioacutende estados real no aporta informacioacuten a Omar

332 El esquema de identicacioacuten GuillouQuisquater El esquema estaacutebasado en esquema RSA (ver seccioacuten 24) El TA elige dos primos p y q y forma elproducto n = pq Los valores de p y q son secretos mientras que n es puacuteblico Losvalores de los primos p y q deben ser elegidos de forma tal que sea difiacutecil factorizar nTambieacuten el TA elige a 1 como exponente RSA y paraacutemetro de seguridad cota deldesafiacuteo aleatorio r = rand(a) Los paraacutemetros puacuteblicos son na

Ana elige la clave privada u tal que (ver seccioacuten 21) el maacuteximo comuacuten divisor de uy n sea igual a 1 y luego calcula la clave puacuteblica

β equiv (uminus1)a (mod n)

En el Protocolo 332 se describen los pasos de una sesioacuten del esquema

Ana k = rand(n) γ = ka γ minusrarr Ben(1)

Ben r = rand(a) r minusrarr Ana(2)

Ana y = kur y minusrarr Ben(3)

Ben yaβr equiv γ (mod n)(4)

Protocolo 332 GuillouQuisquater

3321 Completitud

Proposicioacuten 334 El esquema GuillouQuisquater es completo

Demostracioacuten

yaβr equiv (kur)auminusar equiv ka equiv γ (mod n)

3322 Consistencia A continuacioacuten se vericaraacute que el esquema son consis-tentes (ver la Denicioacuten 56) es decir que usurpar la identidad de Ana implica que sepuede obtener la clave privada con mayor probabilidad que la dada por el paraacutemetrode seguridad Para esto se supone primero que se logra usurpar la identidad de Ana yse intenta probar que esto equivale a tener la capacidad de obtener la clave privada entiempo polinomial y con probabilidad no despreciable

Proposicioacuten 335 El esquema GuillouQuisquater es consistente

Demostracioacuten El Lema 331 sobre las ternas (yγ r) es aplicable tambieacuten eneste esquema ya que cumplen exactamente el mismo rol Si Omar puede usurpar laidentidad de Ana puede obtener en tiempo polinomial rprime rprimeprime y tambieacuten yprimeyprimeprime tales queγ equiv ya1βr1 equiv ya2βr2 (mod n) Por simetriacutea sin peacuterdida de generalidad podemos asumirque r1 gt r2 entonces

βr1minusr2 equiv (y2yminus11 )b (mod n) y si t equiv (r1 minus r2)

minus1 (mod a) entonces

β(r1minusr2)t equiv (y2yminus11 )at (mod n)

Dado que existe l isin N (r1 minus r2)t = la+ 1

βlb+1 equiv (y2yminus11 )at (mod n) =rArr β equiv (y2y

minus11 )at(βminus1)la

Elevando al exponente aminus1 (mod n) y tomando inversas

uminus1 equiv (y2yminus11 )t(βminus1)l (mod n)

u equiv (y1yminus12 )tβl (mod n)

Proposicioacuten 336 El esquema GuillouQuisquater es hermeacutetico (cero)

Demostracioacuten

T = (γ ry) γ equiv yaβr (mod n)

donde r isin [1a] e y isin [0nminus 1]Entonces |T| = an

P(T = t) = P(Y = y R = r) = P(Y = y|R = r)P(R = r)

P(Y = y|R = r) = P(K = uminusr|R = r) = nminus1

Entonces

P(T = t) = nminus1aminus1

r = rand(a)y = rand(n)

γ = yaβr (mod n)

tendraacute la misma distribucioacuten de probabilidad que la real Por lo tanto la sucesioacuten deestados real no aporta ninguna informacioacuten a Omar y el esquema es hermeacutetico

34 Esquemas de distribucioacuten previa de claves (KPS)

En la distribucioacuten previa de claves (KPS [Sti06]) se distribuye una clave de largavida y se usa para cada sesioacuten de comunicacioacuten Es el esquema mas sencillo pero al serusada la clave en cada sesioacuten su exposicioacuten puede implicar un riesgo mayor ([Sha49])

341 Distribucioacuten previa de claves trivial El TA distribuye las claves entrelos n participantes Es incondicionalmente seguro La cantidad de claves que debe ad-ministrar y distribuir el TA crece de forma cuadraacutetica con los participantes En efectoel TA deberaacute establecer una clave para cada uno de los n(nminus1)

2pares de participantes

342 Distribucioacuten previa (KPS) por acotacioacuten de complot Una teacutecnicaposible para acotar las claves que el TA debe distribuir en KPS es determinar un nuacutemeroreducido de participantes a partir del cual el riesgo de complot se considere insignican-te Esto se puede lograr considerando a las claves de larga vida distribuidas por el TAcomo informacioacuten parcial a partir de la cual cualquier par de usuarios puede deduciruna clave que sea inaccesible para el resto de los usuarios a menos que se reuacutenan n omaacutes participantes Esta teacutecnica se basa en la interpolacioacuten de Lagrange (por ejemploBlom KPS [Sti06]) o en meacutetodos combinatorios (distribucioacuten de patrones Fiat-NaorMitchell-Piper KPS [Sti06])

343 Distribucioacuten previa (KPS) DieHellman Sea un grupo ciacuteclico mul-tiplicativo 〈λ〉 de orden q tal que el problema de Decisioacuten DieHellman sea inviable Seconviene por notacioacuten que las claves privadas se indican por letras minuacutesculas y las cla-ves puacuteblicas por letras griegas Cada usuario U elije un exponente aleatorio u = rand(q)como clave privada de larga vida y determina su clave puacuteblica como la potencia corres-pondiente

υ = λu

A continuacioacuten el usuario U entrega la clave puacuteblica al TA para que cree el certicadocon su rma correspondiente que garantice un sistema de identicacioacuten seguro Asiacutecualquier par de usuarios Ana y Ben puede intercambiar certicados vericar las clavespuacuteblicas con la rma del TA y obtener la claves simeacutetricas de comunicacioacuten aplicandola foacutermula

KAnaBen = βa = αb

3431 Propiedades

Las claves de los usuarios son de larga vidaSi los usuarios no revelan su clave privada al TA la clave determinada quedadisponible solo para el par de usuarios involucradosLa seguridad estaacute basada en el problema DDHP [Sti06] Se espera que sea invia-ble en tiempo polinomial distinguir claves DieHellman de elementos aleatoriosdel subgrupo 〈λ〉Las claves puacuteblicas a distribuir por el TA crecen de forma lineal con el nuacutemerode participantes

Teorema 341 El esquema KPS DieHellman es seguro si utiliza un sistema

de certicacioacuten seguro y si el problema de caacutelculo DieHellman en el subgrupo

〈α〉 es inviable

35 EL ESQUEMA SKDS BELLAREROGAWAY 51

Demostracioacuten Para demostrar la seguridad del esquema hay que vericar que unadversario no podraacute realizar un ataque activo o pasivo exitoso y que el protocolo deidenticacioacuten es seguro El protocolo de identicacioacuten es seguro por hipoacutetesis

Al no haber interaccioacuten en el esquema entre los participantes (que pueden intercam-biar informacioacuten puacuteblica como sus nombres de identicacioacuten o sus certicados pero noinformacioacuten privada) y asumiendo que las claves privadas satisfacen las hipoacutetesis de lainviabilidad del problema DDHP no hay oportunidad de eacutexito para un ataque activo

En ataque pasivo el adversario solo puede observar las claves puacuteblicas y determinaralguna informacioacuten de la clave no es resolver el problema DDHP(λαβ) que no esviable por hipoacutetesis

35 El esquema SKDS BellareRogaway

Los esquemas de distribucioacuten de claves de sesioacuten (SKDS) fueron presentados en laseccioacuten 144 Aquiacute se trataraacute el esquema BellareRogaway y la demostracioacuten de suseguridad

351 Descripcioacuten En el Protocolo 351 tanto Ana como Ben eligen desafiacuteosaleatorios que enviacutean al TA en primer lugar Ana enviacutea la solicitud de sesioacuten a Benque consiste en una terna formada por los nombres Ana Ben y el desafiacuteo aleatorio deAna Luego Ben enviacutea la solicitud completa al TA con los nombres de Ana Ben y losdesafiacuteos aleatorios de Ana y Ben Entonces el TA genera una clave de sesioacuten aleatoriaK y genera para cada usuario una MAC de la cadena de caracteres formada por losnombres de los dos usuarios el desafiacuteo aleatorio del destinatario y el cifrado (con laclave correspondiente entre el TA y cada usuario) de la clave de sesioacuten Los paraacutemetrosw1 y w2 se eligen para hacer despreciable la probabilidad del adversario de adivinar losdesafiacuteos aleatorios o la clave de sesioacuten respectivamente

1 Ana rAna = rand(2w1) (Ana Ben rAna) minusrarr Ben

2 Ben rBen = rand(2w1) (Ana Ben rAna rBen) minusrarr TA

3 TA K = rand(2w2)

yB = (eKBen(K)macKBen(Ana Ben rBen eKBen(K))) yB minusrarr Ben

yA = (eKAna(K)macKAna(Ben Ana rAna eKAna(K))) yA minusrarr Ana

Protocolo 351 SKDS BellareRogaway

En el protocolo BellareRogaway al recibir yA Ana puede estar seguro que B recibioacuterA y que por lo tanto fue noticado de la intencioacuten de Ana de establecer una clave desesioacuten y de que Ben tambieacuten solicitoacute la clave Solo queda entonces esperar la recepcioacutende un mensaje cifrado con la clave de sesioacuten por parte de Ben para conrmar la clave

Teorema 351 El esquema SKDS BellareRogaway (351) es seguro Se supo-

ne que los participantes en el esquema lo hacen honestamente y que los esquemas

de cifrado y de MAC utilizados son seguros Tambieacuten que las claves secretas lo son

entre los participantes y que los desafiacuteos se obtienen por generadores aleatorios

perfectos

Demostracioacuten Se debe demostrar que el esquema es seguro ante un ataque activoy pasivo y que el esquema de identicacioacuten es seguro El esquema de identicacioacuten sebasa en la seguridad de las primitivas criptograacutecas utilizadas Se analizan los ataquesposibles

Omar es pasivo En este caso en cualquier sesioacuten del esquema los participantesdel conjunto de control aceptan y podraacuten descifrar la clave de sesioacuten Nadie maacutes podraacutelograrlo debido a la seguridad del esquema de cifrado

Omar es activo frente a A El objetivo de Ana es obtener una clave de sesioacuten que nopueda determinarse fuera del conjunto de control Observar que Ana no puede distinguirdurante la sesioacuten si alguien fuera del conjunto de control estaacute sustituyendo a BenCuando Ana recibe yA verica la validez de la MAC que incorpora su propio desafiacuteoaleatorio rA las identidades de Ana y Ben y la de la clave de sesioacuten cifrada eKAna(K)Esto limita la posibilidad por parte de Omar de reutilizar la MAC debido al desafiacuteoaleatorio y a que macKAna() es solo disponible para TA en los maacutergenes de seguridad delas hipoacutetesis Tambieacuten se evita que eKAna(K) sea alterada fuera del conjunto de controlde participantes indicados en el esquema Omar es activo frente a Ben Ben no sabesi Omar estaacute sustituyendo a Ana Cuando Ben recibe el mensaje yB verica la validezde macKBen() que incorpora el propio desafiacuteo aleatorio rB las identidades de ambos yla clave se sesioacuten cifrada eKBen(K) Asiacute Ben verica que la MAC ha sido calculada porel TA al ser el TA el uacutenico que conoce la clave de la MAC Ademaacutes el desafiacuteo aleatorioevita la reutilizacioacuten de un MAC de una sesioacuten previa El cifrado de la clave evita queOmar usurpe la clave establecida por el TA

Por lo tanto tanto Ana como Ben pueden conar que su par es el uacutenico que escapaz de descifrar la clave K auacuten si Omar intenta usurpar la identidad en una sesioacutendel esquema

36 Esquemas de acuerdo de claves (KAS)

Un esquema de acuerdo de claves (ver 145) es seguro si es un esquema de identica-cioacuten mutua seguro ninguacuten participante honesto aceptaraacute ante un ataque activo y anteun ataque pasivo ambos participantes calcularaacuten la misma clave de sesioacuten sin brindarinformacioacuten alguna de su valor

Definicioacuten 65 Un esquema de acuerdo de claves brinda autenticacioacuten impliacutecita

si nadie maacutes que su par supuesto puede calcular la clave (en particular el adversariono deberiacutea poder calcular la clave)

Definicioacuten 66 Un esquema de acuerdo de claves brinda conrmacioacuten impliacuteci-

ta (implicit key conrmation) si cualquiera de las partes pueden suponer que su parsupuesto podriacutea calcular la clave pero nadie maacutes

Definicioacuten 67 Un esquema de acuerdo de claves brinda conrmacioacuten expliacutecita sicualquiera de las partes pueden suponer que su par calculoacute la clave pero nadie maacutes

En la praacutectica la informacioacuten previa que debe almacenar cada participante son loslos certicados de los n participantes Por lo tanto

1 cada participante almacena los certicados de los demaacutes2 el TA no participa en la determinacioacuten de la clave de sesioacuten

36 ESQUEMAS DE ACUERDO DE CLAVES (KAS) 53

3 el acuerdo de claves requiere criptografiacutea asimeacutetrica para mantener el crecimientolineal de la cantidad de claves almacenadas

Todo protocolo de acuerdo de claves deberiacutea cumplir los requerimientos que se enumerana continuacioacuten Estas condiciones son satisfechas en los esquemas SKDS BR y KASSTS

1 Identicar la sesioacuten para evitar su reutilizacioacuten mediante un paraacutemetro aleatoriototalmente independiente (no predecible ni que permita predecir) respecto lainformacioacuten de sesioacuten

2 Identicar los usuarios participantes (requerimiento para lograr la condenciali-dad)

3 Tener distinto nuacutemero de variables en cada ujo del protocolo para evitar suposible reutilizacioacuten

4 Producir una clave aleatoria (no predecible)

361 El esquema de acuerdo de claves DieHellman En este esquemalos paraacutemetros de dominio puacuteblico consisten en el grupo ciacuteclico 〈λ〉 y su orden q Laobtencioacuten de la clave corresponde al problema de caacutelculo DieHellman CDH(λαβ)Asumiendo que dicho caacutelculo es inviable un adversario pasivo no podriacutea calcular laclave ni obtener informacioacuten de ella (problema de decisioacuten DieHellman DDH)

1 Ana a = rand(q) α = λa α minusrarr Ben

2 Ben b = rand(q) β = λb β minusrarr Ana

3 Ana K = βa

Ben K = αb

Protocolo 361 KAS DieHellman

Este esquema no es seguro ante un ataque activo MIM (ver denicioacuten 14)

362 El esquema de acuerdo de claves (KAS) estacioacuten a estacioacuten (STS)

El esquema de acuerdo de claves autenticado estacioacuten a estacioacuten (STS) es una mo-dicacioacuten del KAS DieHellman para adaptarlo a los esquemas ISO 97983 (ver[Sti06]) Fue presentado en 1987 y desarrollado por W Die P C van Oorschot yM J Wiener Se utilizan certicados rmados por un agente con el rol de TA Todoslos usuarios disponen de un esquema de rmas y su par de claves ver sig asiacute como elTA que entrega de manera segura su algoritmo de vericacioacuten verTA() Cada usuario Uposee un certicado (ver la Denicioacuten 13)

CertU = (DeclID(U) sigTA(DeclID(U)))

dondeDeclID(U) = U verU

La idea baacutesica del Protocolo 362 es combinar el KAS DieHellman con un esquemade identicacioacuten mutua segura donde los exponentes cumplen la funcioacuten de desafiacuteosaleatorios Se puede decir que al rmar los desafiacuteos aleatorios se logra la autenticacioacutenmutua Finalmente estos desafiacuteos calculados como en el KAS DieHellman permitenque ambas partes calculen la misma clave K = CDH(λαβ)

1 Ana a = rand(q) α = λa (CertAnaα) minusrarr Ben

2 Ben b = rand(q) β = λb K = αb

y2 = sigBen(Ana α β) (CertBenβy2) minusrarr Ana

3 Ana Vericar certicado y extraer vericacioacuten si verBen(y2) aceptar

K = βa

y1 = sigAna(Ben α β) y1 minusrarr Ben

4 Ben Vericar certicado y extraer vericacioacuten si verAna(y1) aceptar

K = αb

Protocolo 362 KAS STS

Ejemplo 361 Antes de demostrar la seguridad de este esquema se vericaraacute coacutemolas rmas brindan proteccioacuten ante un ataque MIM Al reemplazar Omar en el ataqueλa con λa

prime recibiraacute de Ben

(361) λb sigBen(Ana λb λaprime)

Ademaacutes deberiacutea reemplazar λb por λbprime para lo cual deberiacutea reemplazar la rma por

sigBen(Ana λbprime λa)

Sin embargo para Omar no es posible calcular la rma de Ben sobre

Ana λbprime λa

porque no posee la clave privada de Ben que le permitiriacutea hacerlo Tampoco podraacutereemplazar

sigAna(Ben λa λbprime) por

sigAna(Ben λaprime λb)

porque no posee la clave privada de Ana

Teorema 361 Asumiendo que el problema de decisioacuten de DieHellman es

inviable STS es un esquema de acuerdo de claves autenticado y brinda conr-macioacuten impliacutecita de clave Ademaacutes es seguro contra un ataque con claves de sesioacuten

conocidas (ver la Denicioacuten 66)

La demostracioacuten se divide en tres partes

1 es un esquema de identicacioacuten mutua seguro2 es un esquema con conrmacioacuten impliacutecita de clave3 es un esquema seguro contra un ataque con claves de sesioacuten conocidas

Lema 361 Asumiendo que el problema de decisioacuten de DieHellman es in-

viable STS es un esquema de identicacioacuten mutua seguro

Demostracioacuten El protocolo STS es una combinacioacuten del esquema KAS DieHellman y de un esquema de identicacioacuten mutua por desafiacuteo y respuesta con clavepuacuteblica La demostracioacuten se deduce inmediatamente a partir de la correspondiente rea-lizada para el Protocolo 323

viable el acuerdo de claves STS brinda conrmacioacuten de clave impliacutecita

Demostracioacuten Se analiza primero el caso en que Ana acepta y luego el caso enque Ben acepta

1 Si Ana acepta por el Lema 361 Ana puede asumir que se comunicoacute conBen y que Omar ha sido pasivo antes del uacuteltimo ujo del protocoloSi Ben es honesto y ademaacutes ejecutoacute bien el esquema Ana puede asumir queBen puede calcular K y nadie maacutes que eacutelAna puede asumir que Ben estaacute en condiciones de calcular K En efectoAna ha recibido la rma de Ben de λa y de λb asiacute como conoce su claveprivada bPara Ana no hay garantiacutea de que Ben haya calculado K

2 Si Ben acepta puede conar en que se ha comunicado con Ana y que K puedeser calculado por Ana y nadie maacutes Sin embargo existe una diferencia

cuando Ben acepta si se supone que A es honesto puede conar en queAna aceptoacutecuando Ana acepta no puede adelantar si Ben aceptaraacute ya que Omar podriacuteaafectar el uacuteltimo ujo provocando el rechazo de Ben

No obstante esto no afecta la seguridad del esquema

En un escenario real una red permite a muchos usuarios establecer muacuteltiples sesionesSTS simultaacuteneamente Esto brinda al atacante nuevas oportunidades para atacar elesquema Si Omar lograse obtener las claves de una serie de sesiones [S] = s1 s2 stpodriacutea intentar a partir de esa informacioacuten obtener la clave de otra sesioacuten sr El ataqueno requiere que todas las sesiones s1 s2 st hayan culminado para realizarse sinoque puede consistir en un ataque realizado sobre varias sesiones en paralelo

Para probar la seguridad contra un ataque con claves conocidas alcanza con vericarque dicho conocimiento no aporta a los efectos de determinar otras claves

La demostracioacuten utiliza la misma estrategia que en las demostraciones de hermetismoen las demostraciones de seguridad de los esquemas de identicacioacuten (ver Lema 333)Se escribe dicha informacioacuten en la forma de listas cuya distribucioacuten de probabilidad esla misma que una serie de listas simuladas que es posible construir sin conocimiento declaves

Lema 363 El acuerdo de claves STS es seguro contra un ataque con claves

de sesioacuten conocidas asumiendo que el problema de decisioacuten de DieHellman es

inviable

Demostracioacuten En una sesioacuten cualquiera del esquema la informacioacuten relevanteconsiste en la que es posible observar las potencias y la que un rival desea obtenerque es la clave correspondiente Por lo tanto la informacioacuten completa de una sesioacutencualquiera si puede resumirse por una terna Ti = (αiβiKi) Estas sesiones puedencorresponder a sesiones KAS STS entre dos usuarios cualesquiera En la hipoacutetesis sesupone que Omar ha podido obtener una secuencia nita T consistente en r ternasTi El atacante Omar podriacutea obtener T participando eacutel mismo en sesiones con otrosparticipantes si es un socio no honesto con un certicado vaacutelido o robando las clavesde otras sesiones ya que como KAS STS es un esquema de identicacioacuten segura no

tiene otra opcioacuten Obtener el valor de Ki implica resolver CDHP(λαiβi) (ver seccioacuten221) y obtener alguna informacioacuten sobre Ki implica poder resolver DDHP(λαiβi)(ver seccioacuten 222)

Supongamos que a partir de T Omar quiere obtener la clave K de una sesioacuten dadaentre dos usuarios Ana y Ben

Supongamos que existiese un algoritmo A de la forma

A(Tαβ)

que en tiempo polinomial permitiese a Omar obtener alguna informacioacuten sobre la clavede sesioacuten K

A continuacioacuten demostraremos que si DDHP (ver seccioacuten 222) es inviable un al-goritmo de tales caracteriacutesticas no podriacutea existir

La idea de la demostracioacuten es que si Omar conociese un algoritmo A como el descrip-to anteriormente tambieacuten podriacutea resolver DDHP(λαβ) contradiciendo la hipoacutetesis

En efecto sin tomar parte en sesiones extra ni obtener claves de sesioacuten conocidasOmar puede obtener una lista Tprime de ternas simuladas de la forma

T prime = (αprimeiβprimeiKprimei)

donde Omar realiza

aprimei = rand(q)αprimei = λaprimei (362)

bprimei = rand(q)βprimei = λbprimei (363)

Kprimei = (βprimei)aprimei y dene T prime = (αprimeiβ

primeiKprimei)(364)

La diferencia sustancial de la simulacioacuten Tprime consiste en que se sustituye la eleccioacutenaleatoria de un socio honesto por una eleccioacuten aleatoria de Omar

Como Omar determina aprimei y bprimei con la misma distribucioacuten de probabilidad uniforme

resulta que una lista Tprime es indistinguible de otra preparada a partir de sesiones realescomo T Por lo tanto las salidas de A(Tαβ) tienen la misma distribucioacuten de probabi-lidad que las de A(Tprimeαprimeiα

primei) Por lo tanto la posibilidad de conocer un algoritmo (de

tiempo polinomial) A seriacutea equivalente a resolver DDHP en tiempo polinomialSin embargo esta posibilidad no es factible sin contradecir la hipoacutetesis del lema

37 El esquema de acuerdo de claves por intercambio cifrado con

contrasentildea

Este esquema consiste en el acuerdo de claves DieHellman pero la informacioacutenviaja cifrada por una contrasentildea acordada previamente Esto puede simplicar la admi-nistracioacuten de claves cuando son contrasentildeas faacuteciles de recordar por los usuarios RequiereKPS con las contrasentildeas Se considera un grupo ciacuteclico 〈λ〉 de orden q TA distribuyepreviamente las contrasentildeas y las funciones de cifrado ep() y descifrado dp() Los pasosnecesarios para una sesioacuten se describen en el Protocolo 371

37 EL ESQUEMA DE ACUERDO DE CLAVES POR INTERCAMBIO CIFRADO CON CONTRASENtildeA57

1 Ben a = rand(q) α = λa yAna = ep(α) (AnayAna) minusrarr Ben

2 Ben b = rand(q) β = λb yBen = ep(β) (BenyBen) minusrarr Ana

3 Ana β = dp(yBen) K = βa

4 Ben α = dp(yAna) K = αb

Protocolo 371 KAS por contrasentildea

Bibliografiacutea

[Ass00] Network Associates Introduction to Cryptography ftpftppgpiorgpubpgp70

docsenglishIntroToCryptopdf 2000

[BB10] Riccardo Bresciani and Andrew Buttereld ProVerif Analysis of the ZRTP Protocol Tech

report Foundations and Methods Group Trinity College Dublin Lero the Irish Software

Engineering Research Centre bresciarscsstcdie AndrewButtereldscsstcdie Septem-

ber 2010 Ver httpinfonomics-societyorgIJProVerif Analysis of the ZRTP Protocolpdf

[Boy06] Xavier Boyen The BF Identity-Based Encryption System httpgrouperieeeorg

groups1363IBCsubmissionsBoyen-bf_ieeepdf August 2006

[Bre07] Riccardo Bresciani The ZRTP Protocol Security Considerations Research Report LSV-

07-20 Laboratoire Speacutecication et Veacuterication Ecole Normale Supeacuterieure de Cachan CNRS

61 avenue du Preacutesident Wilson 94235 Cachan Cedex France May 2007 Ver httpwww

lsvens-cachanfrPublisRAPPORTS_LSVPDFrr-lsv-2007-20pdf

[ETS11] ETSI Mobile technologies gsm 2011 Ver httpwwwetsiorgindexphptechnologies-

clusterstechnologiesmobilegsm

[Jud94] TW Judson Abstract algebra Theory and applications The Prindle Weber amp Schmidt

Series in Advanced Mathematics PWS Publishing Company 1994

[KHPC01] Richard Kuhn Vincent Hu Timothy Polk and Shu-Jen Chang NIST SP 800-32 In-

troduction to Public Key Technology httpcsrcnistgovpublicationsnistpubs

800-32sp800-32pdf February 2001 p 5

[LN97] Rudolf Lidl and Harald Niederreiter Finite elds second ed Encyclopedia of Mathematics

and its Applications vol 20 Cambridge University Press Cambridge 1997 With a foreword

by P M Cohn MR 1429394 (97i11115)

[Lut08] Martin Luther Introduction to Identity Based-Encryption rst ed Discrete Mathematics

and its Applications (Boca Raton) Artech House Publishers 2008 Theory and practice

[NIS11] NIST Glossary of Key Information Security Terms httpcacruwaterlooca

~dstinsonCS_7582007Schnorr-soundnesspdf February 2011 pp 8687

[Pan08] AM Panait Security aspects of zero knowledge identication schemes McGill University

[PM08] ValentiacutenV Petrov and Ernesto Mordecki Teoriacutea de la probabilidad 2 ed Dirac (Facultad

de Ciencias UDELAR) 2008

[Sha49] C E Shannon Communication theory of secrecy systems Bell System Tech J 28 (1949)

656715 MR 0032133 (11258d)

[Ste09] WA Stein Elementary number theory Primes congruences and secrets Undergraduate

texts in mathematics Springer London Limited 2009

[Sti06] Douglas R Stinson Cryptography third ed Discrete Mathematics and its Applications (Bo-

ca Raton) Chapman amp HallCRC Boca Raton FL 2006 Theory and practice MR 2182472

(2007f94060)

[Sti07] On the soundness of the Schnorr Scheme Preprint httpcacruwaterlooca

~dstinsonCS_7582007Schnorr-soundnesspdf January 2007

Iacutendice alfabeacutetico

Φ(n) 29

eK(m) 29

dK(c) 29

macK(m) 29

sigU(m) 29

ϕ(n) 29

adversario

activo 37

pasivo 37

agente

conable 8

autenticacioacuten impliacutecita 52

autenticador 5

camino de conanza 32

certicado digital 9

puacuteblica 7

privada 7

conrmacioacuten impliacutecita de clave 52

contrasentildea 5

honesto 36

identidad 6

declaracioacuten de 8

relativa 8

virtual 7

identicacioacuten 6

implicit key conrmation 52

inimitable 6

KAS 29

known session key attack 35

KPS 29

largo de vida 18

muestra 7

nombre 8

one way 4

password 5

perfect forward secrecy 36

plantilla 7

relacioacuten de conanza 32

restriccioacuten

simeacutetrica 4

SKDS 29

testigo 5

token 5

trap door 3

Capiacutetulo 1 Establecimiento de claves



13 Modelos de confianza



16 Resumen

17 Casos de uso

Capiacutetulo 2 Primitivas criptograacuteficas





25 Funciones hash

26 Esquemas de firma digital

27 Modelo de confianza de certificacioacuten


Capiacutetulo 3 Esquemas de realizacioacuten


32 Esquemas de identificacioacuten por desafiacuteo y respuesta

33 Esquemas de identificacioacuten basados en una conjetura


35 El esquema SKDS BellarendashRogaway


37 El esquema de acuerdo de claves por intercambio cifrado con contrasentildea

Bibliografiacutea
