Libro. Seguridad Informática PDF

CURSO DE SEGURIDAD INFORMTICA Y CRIPTOGRAFA
PRLOGO DE LA TERCERA EDICIN v 3.1 EN INTERNET

Madrid, marzo de 2003
Estimado amigo o amiga:
Transcurridos ya doce meses desde la publicacin en Internet de la 2 versin de este curso
gratuito en diapositivas, en los cuales he tenido el grato placer de observar cmo da a da el
nmero de descargas del archivo desde el servidor Web de la Red Temtica Iberoamericana
de Criptografa y Seguridad de la Informacin CriptoRed, iba logrando unas cifras para m
verdaderamente astronmicas (ms de 40.000 slo desde ese servidor, y me imagino que unas
cuantas ms por medio de copia de discos y descargas desde otros sitios Web), ha llegado el
momento de hacer una revisin y actualizacin de dicho curso.
La razn de escribir un libro en formato diapositivas naci prcticamente despus de la
publicacin del libro Aplicaciones Criptogrficas editado por el Departamento de Publicaciones
de la EUIUPM en junio de 1999, al ver que en una materia tan cambiante como es la seguridad
informtica y la criptografa era casi una utopa tener una publicacin relativamente al da
sobre tcnicas, algoritmos, esquemas, etc. Por tanto, comenc a elaborar unos apuntes de
clases para mis alumnos con un formato algo ms explcito que unas simples diapositivas de
apoyo a una clase magistral pero que, a la vez, pudiera ser til como material de aprendizaje
para cualquiera que quisiera adentrarse en este fascinante mundo de la seguridad informtica.
Naci as una primera versin del curso en el mes de septiembre de 2001, una segunda versin
en febrero de 2002 y, por ltimo, sta que adems de su publicacin en Internet como
material de libre distribucin, se publica en formato libro con ISBN y depsito legal.
Por lo tanto, adems de su publicacin en Internet para su descarga gratuita slo para fines
personales y docentes, existe una edicin del mismo en papel orientada bsicamente para los
alumnos de la asignatura de Seguridad Informtica que imparto y para quien desee tener ese
documento en formato libro- por intermedio del Departamento de Publicaciones de la Escuela
Universitaria de Informtica de la Universidad Politcnica de Madrid, bajo el patrocinio de la
Fundacin General de la UPM, con ISBN y depsito legal. Por ello, queda prohibida la venta del
mismo en los trminos habituales de cualquier propiedad intelectual protegida por copyright
como el indicado, excepto a travs de dicho departamento de publicaciones.
He corregido algunas erratas, modificado prrafos para su mejor comprensin, incluido ms
ejemplos y actualizado todos los captulos. En el captulo de presentacin del curso se incluye
el contenido por temas para una bsqueda ms rpida y efectiva. Se ha incluido un archivo
dedicado a la bibliografa, enlaces, software y tablas de inters criptogrfico. Adems, al final
de cada captulo o leccin se presenta un conjunto de cuestiones y ejercicios (en total 268)
para el lector. que le servirn a modo de evaluacin personal del avance y comprensin de cada
tema. Espero que las soluciones a los mismos estn disponible en los prximos meses en la
pgina Web de la asignatura.
Esta tercera versin del libro electrnico cuenta con 905 diapositivas, 218 ms que en la
versin v2 del ao 2002 y ms del doble comparado con la versin v1 del ao 2001. Siempre
van quedando -y me temo que por mucho tiempo- temas pendientes que por uno u otro motivo
voy dejando para ms adelante; entre ellos el de tcnicas criptogrficas avanzadas como por
ejemplo la esteganografa, la criptografa visual y la criptografa cuntica, el tema de la
seguridad fsica, de los modelos, normativas y planes de seguridad, la legislacin vigente, las
Autoridades de Certificacin, sistemas de cifra con curvas elpticas, etc.
Pg. i
Pido entonces mis disculpas si precisamente aquel tema sobre seguridad informtica que usted
estaba buscando no lo encuentra en estos apuntes. Adems, cada vez se vuelve ms difcil
lograr un documento ms o menos completo con una cantidad adecuada de pginas; en este
caso estas 900 pginas estn ya en el tamao lmite para poder publicarlo en formato libro. En
este orden de cosas, le informo que el curso que tiene en sus manos est fuertemente
orientado hacia los algoritmos, sistemas de cifra, de firma digital y protocolos criptogrficos,
enfocado eso s hacia el mundo de los ordenadores personales e Internet.
La seguridad informtica como una materia integral que engloba a diversas disciplinas como las
matemticas, algoritmos, lenguajes, sistemas operativos, sistemas de gestin de bases de
datos, protocolos y administracin de redes, modelos y polticas de seguridad, la planificacin
estratgica, hardware, software, auditora, forensia, etc., es cada vez ms amplia e imposible
de abordar en un solo texto. Ms de alguno entre los que me incluyo, hemos propuesto en algn
congreso o foro la necesidad de una nueva carrera: la Ingeniera en Seguridad Informtica.
Para asociar un nombre de archivo con un tema en particular y al mismo tiempo mantener los
nombres genricos de archivos ya utilizados en la versin anterior, excepto el primer archivo
que corresponde a la presentacin del curso, todos los archivos siguen denominndose
SItema??.ppt, si bien de forma interna cada uno de ellos tiene un ttulo diferente en las
propiedades de archivo, por lo que puede saber el nombre de la leccin correspondiente con
slo seleccionarlo o pasar el ratn por sobre el icono, sin tener que abrirlo a priori.
Para un mejor seguimiento de su aprendizaje, le recomiendo que descargue desde el servidor
de CriptoRed o la pgina Web de la asignatura los exmenes de la asignatura de Seguridad
Informtica que imparto desde 1994 (en estos momentos 17 exmenes con 122 pginas) con
sus correspondientes soluciones y, cmo no, el software de prcticas de dicha asignatura que
encontrar en el mismo servidor y el cuaderno de prcticas de la misma.
Jorge Rami Aguirre
PRLOGO DE LA SEGUNDA EDICIN

Madrid, febrero de 2002
Estimado amigo o amiga:
En estas primeras pginas del Libro Electrnico de Seguridad Informtica en Diapositivas y
de Libre Distribucin por Internet que ha descargado del servidor de la Red Temtica
CriptoRed o de mi pgina personal en la Escuela Universitaria de Informtica de la
Universidad Politcnica de Madrid, Espaa, he incluido una versin actualizada y breve del
prlogo del libro de la asignatura Aplicaciones Criptogrficas que dio paso a este curso.
Como posiblemente ya lo sepa, el curso de Seguridad Informtica en diapositivas con formato
Power Point es un proyecto en constante renovacin. En esta fase de comienzos del ao 2002
se ha ampliado contenidos y adaptado la versin que exista desde 2000, para hacerla
compatible con su impresin en papel. Ms adelante, en una siguiente fase, se incluir
informacin de inters, ejercicios, enlaces, etc.
Pg. ii
CURSO DE SEGURIDAD INFORMTICA Y CRIPTOGRAFA

Por lo tanto, le recomiendo que para una correcta visualizacin de su contenido, imprima ahora
los captulos ppt en formato documento, en lo posible con dos diapositivas por pgina hoja y
con la opcin escala de grises. Recuerde que aunque el fondo de las diapositivas sea azul, el
fondo de impresin deber ser blanco y las letras negras. Debe tener en cuenta adems que el
formato de impresin est adecuado para papel tamao DIN A4 que es el usado en Europa y
particularmente en Espaa, si bien en Amrica es ms estndar el tamao carta.
Sin ms, y con la esperanza de que el libro electrnico de este curso que en su primera versin
super las dos mil descargas desde el servidor pueda serle de provecho, reciba un cordial
saludo
Jorge Rami Aguirre
APLICACIONES CRIPTOGRFICAS
PRLOGO DE LA 2 EDICIN 1999 DEL LIBRO DE LA ASIGNATURA
(reducida y actualizada)
Uno de los retos ms fascinantes de la informtica del futuro, inmersa en sistemas de
interconexin de redes y autopistas de la informacin, con un espacio virtual para el
intercambio de mensajes y datos a travs de canales por definicin vulnerables ser, sin lugar
a dudas, la proteccin de la informacin. Representada por archivos confidenciales o mensajes
que se intercambian dos o ms interlocutores autenticados y cuyo contenido en muchos casos
debe mantenerse en secreto por razones personales, empresariales, polticas o de otra ndole,
la informacin es el bien ms preciado en estos das. Por poner slo un ejemplo sencillo y
comn, un problema de gran actualidad es el asociado con el correo electrnico que se
transmite a travs de redes y cuyo nivel seguridad deja mucho que desear. Internet es un
claro ejemplo de estas amenazas en tanto es un entorno abierto en su sentido ms amplio. Por
lo visto en estos pocos aos de existencia de la llamada red de redes, sobran los comentarios
acerca de prdida de privacidad, accesos no autorizados, ataques y otros delitos informticos
a nivel nacional e internacional.
Ante tales amenazas, la nica solucin consiste en proteger nuestros datos mediante el uso de
tcnicas criptogrficas. Esto nos permitir asegurar al menos dos elementos bsicos de la
Seguridad Informtica, a saber la confidencialidad o secreto de la informacin y la integridad
del mensaje, adems de la autenticidad del emisor.
A la luz de lo anterior, a mediados de esta dcada hacen su aparicin en los nuevos planes de
estudios de Ingeniera Informtica que comienzan a implantarse en las universidades
espaolas, diversas asignaturas sobre seguridad informtica y proteccin de la informacin,
con el objeto de formar a los futuros ingenieros en estos temas. Lo que a comienzos de los 90
apareca como una tmida apuesta por esta enseanza en carreras relacionadas principalmente
con la Informtica y las Telecomunicaciones, hoy despus de 10 aos permite ver un mapa
universitario en Espaa en el que ninguna universidad tecnolgica se queda fuera en cuanto a la
oferta de este tipo de asignaturas, superndose las 40. Es ms, comienzan ya a plantearse
perfiles en los nuevos planes de estudio con una clara orientacin hacia la seguridad
informtica de forma integral. Personalmente creo que esto es slo el comienzo; incluso me he
atrevido a proponer ya no slo un perfil, sino una carrera de ingeniera en la que cerca de un
30% de los crditos estn relacionados con esta materia, en una ponencia presentada en un
Pg. iii
congreso el ao 2001 y que podr encontrar en el mismo servidor del que ha descargado este
curso. Puede parecer una utopa, para otros tal vez una locura, pero por lo que he visto en
estos ltimos aos, tengo el presentimiento de que quizs el tiempo me d la razn y veamos
en algunos aos ms como Responsable de Seguridad Informtica precisamente a un Ingeniero
en Seguridad Informtica.
Estoy plenamente consciente que quedan muchos temas interesantes fuera del contexto del
libro, como son las nuevas tcnicas de cifra con curvas elpticas, estudio y profundizacin en
sistemas actuales de clave secreta que tendrn un importante protagonismo en el futuro como
son Skipjack y Rijndael; tcnicas y protocolos de autenticacin; la teora de cifra y
factorizacin de polinomios; tcnicas, algoritmos y esquemas de cifra en flujo; gestin de
claves, proteccin en entornos de red; esquemas de firma; certificados digitales y
Autoridades de Certificacin; criptografa visual, criptografa cuntica, esteganografa,
autenticacin biomtrica, etc. Resulta imposible abordar tantos temas y plasmarlos en un libro
que tenga un tamao relativamente normal. Por ello, he decido que las actualizaciones del
mismo desde el ao 2000 sean en formato electrnico como el que acaba de instalar en su
computador; ello permite una ms rpida y gil actualizacin y, por otra parte, como es de libre
distribucin, el alcance es mucho mayor. Recuerde que estos apuntes se actualizan de forma
peridica; como consejo le recomiendo que visite la pgina Web indicada dos o tres veces al
ao, seguro encontrar una versin nueva.
Tras estas palabras, slo me queda animarle a adentrarse al fascinante mundo de la
criptografa y escritura secreta que, por muy lejano y misterioso que pueda hoy parecerle, en
este ao 2002 la encontrar en muchos sistemas de acceso, consulta, navegacin, intercambio
de datos, etc., la mayora de ellos relacionados con Internet. El cifrado de la informacin, la
firma digital y toda la teora relacionada con este tema ser en esta primera dcada del siglo
XXI algo tan comn como lo fue en la dcada anterior escribir con un procesador de textos,
establecer una llamada telefnica mediante un telfono mvil o incluso ver la televisin va
satlite. En una sociedad informatizada al mximo, nos guste o no la proteccin de esta
informacin y ms an la autenticidad de la misma, nos llevar de forma irremediable a un
nico punto: el uso de tcnicas criptogrficas. No s qu opina usted, en mi caso estoy seguro
de ello.
Madrid, junio de 1999 (y febrero de 2002)
El autor
Dr. Ingeniero de Telecomunicacin por la Universidad Politcnica de Madrid. Profesor titular del
Departamento de Lenguajes, Proyectos y Sistemas Informticos de la Escuela Universitaria de
Informtica de la Universidad Politcnica de Madrid. Es profesor y coordinador de la asignatura de
Seguridad Informtica que se imparte desde el ao 1994 como asignatura optativa de tercer curso
en la titulacin de Ingeniero Tcnico en Informtica de Gestin del Plan de Estudios 1992. Es
Coordinador General de CriptoRed, la Red Temtica Iberoamericana de Criptografa y Seguridad
de la Informacin, en la que participan destacados profesionales e investigadores de ms de un
centenar de universidades y centros de investigacin, as como empresas de sector de las NTIs.
Es partner de la Red ECET, European Computer Education and Training, teniendo entre otros
objetivos la introduccin de las asignaturas de seguridad informtica en los planes de estudios
superiores de las universidades europeas, y miembro del Subcomit de Seguridad de T.I. (SC 27)
del Comit Tcnico de Normalizacin de Tecnologa de la Informacin (CTN 71) de AENOR.
jramio@eui.upm.es
Web personal:
http://www.lpsi.eui.upm.es/~jramio
Web asignatura: http://www.lpsi.eui.upm.es/SInformatica/SInformatica.htm
Web CriptoRed: http://www.criptored.upm.es/
Pg. iv
- Documento de libre distribucin en Internet -
Prohibida su venta, excepto a travs del Departamento de Publicaciones de

la Escuela Universitaria de Informtica de la UPM - Espaa
CURSO DE
SEGURIDAD INFORMTICA
Y CRIPTOGRAFA
LIBRO ELECTRNICO DE LIBRE DISTRIBUCIN EN
INTERNET PARA LA ENSEANZA Y EL APRENDIZAJE DE
LA SEGURIDAD INFORMTICA Y LA PROTECCIN DE LA
INFORMACIN MEDIANTE TCNICAS CRIPTOGRFICAS
DIAPOSITIVAS ANIMADAS QUE PERMITEN SU IMPRESIN EN PAPEL
TERCERA EDICIN
Versin v 3.1
Autor: Jorge Rami Aguirre

UNIVERSIDAD POLITCNICA DE MADRID - ESPAA
Marzo de 2003
JRA, Madrid 2003
ISBN: 84-86451-69-8
Depsito Legal: M-10039-2003
Presentacin del Curso

Seguridad Informtica y Criptografa
Tercera edicin v 3.1 3 de marzo de 2003
Ultima actualizacin: 03/03/03
Archivo con 24 diapositivas
Curso completo: 905 diapositivas
v 3.1
Material Docente de
Libre Distribucin
Jorge Rami Aguirre

Universidad Politcnica de Madrid
Este archivo forma parte de un curso sobre Seguridad Informtica y Criptografa. Se autoriza la
reproduccin en computador e impresin en papel slo con fines docentes o personales, respetando
en todo caso los crditos del autor. Queda prohibida su venta, excepto a travs del Departamento de
Publicaciones de la Escuela Universitaria de Informtica, Universidad Politcnica de Madrid, Espaa.
Curso de Seguridad Informtica y Criptografa JRA
Los derechos de autor

ISBN: 84-86451-69-8
Depsito Legal: M-10039-2003
Este documento electrnico puede ser descargado
libre y gratuitamente desde Internet para su
ejecucin e impresin, slo para fines educativos y/o
personales, respetando su integridad y manteniendo
los crditos del autor en el pie de pgina.
Queda por tanto prohibida su venta, excepto a
Recuerde que este curso en

travs del Departamento de Publicaciones de la
diapositivas es el resultado
Escuela Universitaria de Informtica de la
de miles de horas de trabajo.
Universidad Politcnica de Madrid, Espaa.
Seguridad Informtica y Criptografa.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 2
Temas del curso (1)

Nmero de diapositivas
Presentacin del curso ........................................................................... 24
Tema 00: Introduccin a la Criptografa ................................................ 14
Tema 01: Introduccin a la Seguridad Informtica ................................ 54
Tema 02: Calidad de la Informacin y Virus ......................................... 25
Tema 03: Introduccin a la Seguridad Fsica ........................................ 37
Tema 04: Teora de la Informacin ........................................................ 57
Tema 05: Teora de los Nmeros ........................................................... 67
Tema 06: Teora de la Complejidad Algortmica ................................... 28
Tema 07: Sistemas de Cifra Clsicos ..................................................... 40
Tema 08: Sistemas de Cifra Modernos ................................................... 33
Tema 09: Sistemas de Cifra en Flujo ...................................................... 49
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 3
Temas del curso (2)

Nmero de diapositivas
Tema 10: Cifrado Simtrico en Bloque ................................................. 87
Tema 11: Cifrado Asimtrico con Mochilas ......................................... 28
Tema 12: Cifrado Asimtrico Exponencial ........................................... 56
Tema 13: Funciones Hash en Criptografa ............................................ 30
Tema 14: Autenticacin y Firma Digital ............................................... 50
Tema 15: Certificados Digitales ............................................................ 11
Tema 16: Aplicaciones Criptogrficas .................................................. 93
Tema 17: Protocolos y Esquemas Criptogrficos .................................. 72
Tema 18: Bibliografa, Enlaces, SW y Tablas ....................................... 50
Total diapositivas del curso en la versin v3.1 ..................................... 905
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 4
Resumen del Contenido (1)

Pgina diapositiva
Presentacin del curso .............................................................................. 1

Tema 00: Introduccin a la Criptografa ................................................. 25
Definicin de criptografa ..................................................................... 27
Confidencialidad e integridad .............................................................. 30
Clasificacin de los criptosistemas ....................................................... 31
Criptosistemas simtricos ..................................................................... 33
Criptosistemas asimtricos ................................................................... 34
Sistema de cifra hbrido ........................................................................ 38
Tema 01: Introduccin a la Seguridad Informtica ................................ 39
Delito informtico ................................................................................. 48
Principios de la seguridad informtica ................................................ 50
Debilidades del sistema informtico ..................................................... 54
Amenazas del sistema ........................................................................... 56
Elementos de la seguridad informtica ................................................ 63
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 5

Pgina diapositiva
Esquema de un criptosistema ................................................................ 66

Recomendaciones de Bacon y Kerkchoffs ............................................ 75
Fortaleza y tipos de ataques ................................................................. 78
Cifrado en bloque v/s cifrado en flujo .................................................. 80
Confidencialidad v/s integridad ........................................................... 82
Tema 02: Calidad de la Informacin y Virus .......................................... 93
Concepto e importancia de la informacin .......................................... 95
Vulnerabilidades de la informacin ..................................................... 99
Ejemplos de delitos informticos ....................................................... 106
Introduccin a los virus informticos ................................................. 111
Tema 03: Introduccin a la Seguridad Fsica ....................................... 119
Seguridad fsica en entornos de PCs .................................................. 122
Anlisis de riesgo ............................................................................... 123
Polticas de seguridad ........................................................................ 133
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 6

Pgina diapositiva
Modelos de seguridad ......................................................................... 137

Criterios y normativas de seguridad .................................................. 141
Planes de contingencia ....................................................................... 144
Tema 04: Teora de la Informacin ...................................................... 157
Cantidad de informacin .................................................................... 161
Definicin logartmica ........................................................................ 169
Grado de indeterminacin .................................................................. 170
Entropa de los mensajes .................................................................... 175
Codificador ptimo ............................................................................. 178
Entropa condicional ........................................................................... 181
Ratio r del lenguaje ............................................................................. 184
Redundancia del lenguaje ................................................................... 188
Secreto en un sistema criptogrfico .................................................... 194
Distancia de unicidad ......................................................................... 202
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 7

Pgina diapositiva
Esquema de cifrador aleatorio de Hellmann ..................................... 203

Cantidad de trabajo ............................................................................ 209
Tema 05: Teora de los Nmeros .......................................................... 215
Operaciones y propiedades de la congruencia ................................... 217
Conjunto completo de restos .............................................................. 221
Homomorfismo de los enteros ............................................................ 222
Inversos en un cuerpo ......................................................................... 227
Conjunto reducido de restos ............................................................... 232
Funcin de Euler ................................................................................ 234
Teorema de Euler ............................................................................... 240
Algoritmo extendido de Euclides ........................................................ 246
Teorema del resto chino ..................................................................... 252
Raz primitiva de un cuerpo ............................................................... 260
Algoritmo de exponenciacin rpida ................................................. 270
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 8

Pgina diapositiva
Clculos en campos de Galois ............................................................ 274

Tema 06: Teora de la Complejidad Algortmica ................................. 283
Nmero de operaciones bit ................................................................ 286
La funcin O(n) ................................................................................... 288
Algoritmos de complejidad lineal ....................................................... 291
Algoritmos de complejidad exponencial ............................................. 293
El problema de la mochila .................................................................. 298
El problema de la factorizacin ......................................................... 301
El problema del logaritmo discreto .................................................... 304
Tema 07: Sistemas de Cifra Clsicos ................................................... 311
Herramientas y clasificacin de la criptografa clsica .................... 316
Cifradores de esctala y Polybios ....................................................... 319
Cifrador por sustitucin y cifrado del Csar ...................................... 322
Cifrador monoalfabeto afn ................................................................ 325
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 9

Pgina diapositiva
Cifrador polialfabtico de Vigenre .................................................. 327

Ataque por mtodo de Kasiski ............................................................ 329
Indice de Coincidencia IC .................................................................. 333
Cifrador poligrmico de Playfair ....................................................... 334
Cifrador poligrmico de Hill .............................................................. 336
Ataque por el mtodo de Gausss Jordan ............................................ 339
El cifrador de Vernam ....................................................................... 343
Tema 08: Sistemas de Cifra Modernos ................................................. 351
Clasificacin de los criptosistemas modernos ................................... 353
Introduccin al cifrado en flujo .......................................................... 354
Introduccin al cifrado en bloque ...................................................... 358
Funciones unidireccionales con trampa ............................................ 362
Cifrado con clave pblica de destino ................................................. 365
Cifrado con clave privada de origen .................................................. 371
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 10

Pgina diapositiva
Comparativas entre sistemas simtricos y asimtricos ...................... 374

Tema 09: Sistemas de Cifra en Flujo .................................................... 385
Rachas de dgitos ............................................................................... 388
Autocorrelacin fuera de fase ............................................................ 390
Postulados de Golomb ........................................................................ 393
Generador de congruencia lineal ....................................................... 400
Registros de desplazamiento .............................................................. 404
Generadores no lineales: NLFSR ....................................................... 405
Generadores lineales: LFSR .............................................................. 407
Ataque de Berlekamp-Massey ............................................................ 418
Complejidad lineal ............................................................................. 421
Algoritmos A5/1 y A5/2 ...................................................................... 425
Tema 10: Cifrado Simtrico en Bloque ................................................ 435
Cifradores tipo Feistel ....................................................................... 437
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 11

Pgina diapositiva
Data Encryption Standard DES ......................................................... 447

Modos de cifra .................................................................................... 470
Cifrado DES mltiple. Triple DES ..................................................... 478
International Data Encryption Standard IDEA .................................. 484
Algoritmos RC2, RC5, SAFER, Blowfish, CAST, Skipjack ................ 501
DES Challenge, introduccin al AES y Rijndael ................................ 507
Tema 11: Cifrado Asimtrico con Mochilas ........................................ 523
El problema de la mochila ................................................................. 524
Mochilas simples ................................................................................ 529
Mochila de Merkle y Hellman ............................................................ 532
Criptoanlisis de Shamir y Zippel ...................................................... 542
Tema 12: Cifrado Asimtrico Exponencial .......................................... 551
Cifrado genrico tipo RSA ................................................................. 554
Intercambio de clave de Diffie y Hellman .......................................... 557
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 12

Pgina diapositiva
Algoritmo de cifra RSA ...................................................................... 565

Uso del Teorema del Resto Chino en RSA .......................................... 567
Nmeros primos seguros .................................................................... 572
Claves privadas parejas ..................................................................... 574
Mensajes no cifrables ......................................................................... 577
Ataque por factorizacin de n ............................................................ 583
Ataque al secreto de M por cifrado cclico ........................................ 585
Ataque por la paradoja del cumpleaos ............................................ 588
Algoritmo de cifra de Pohlig y Hellman ............................................ 591
Algoritmo de cifra de ElGamal ........................................................... 595
Tema 13: Funciones Hash en Criptografa ........................................... 607
Propiedades de las funciones hash ..................................................... 611
Algoritmos de resumen ....................................................................... 614
Message Digest 5 MD5 ....................................................................... 615
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 13

Pgina diapositiva
Secure Hash Algorithm SHA-1............................................................ 625

Tema 14: Autenticacin y Firma Digital .............................................. 637
Los problemas de la integridad .......................................................... 639
Autenticacin con sistemas simtricos ............................................... 644
Autenticacin con MAC o Checksum ................................................. 646
Autenticacin con HMAC ................................................................... 649
Autenticacin de Needham y Schroeder ............................................. 653
Autenticacin con Kerberos .............................................................. 658
Autenticacin con sistemas asimtricos ............................................. 668
Caractersticas de la firma digital ..................................................... 669
Firma digital RSA ............................................................................... 670
Firma digital ElGamal ....................................................................... 674
Firma digital DSS Digital Signature Standard .................................. 680
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 14

Pgina diapositiva
Tema 15: Certificados Digitales ........................................................... 687

Certificado digital X.509 .................................................................... 690
Introduccin a las Autoridades de Certificacin ................................ 693
Tema 16: Aplicaciones Criptogrficas ................................................. 699
Private Enhanced Mail PEM .............................................................. 703
Pretty Good Privacy PGP ................................................................... 707
Cifrado local PGP con IDEA ............................................................. 712
Generacin de claves asimtricas y anillos de claves ....................... 715
Gestin del anillo de claves pblicas ................................................. 722
Cifrado RSA con clave pblica de destino ......................................... 725
Descifrado RSA con clave privada de destino ................................... 728
Firma digital RSA ............................................................................... 729
Formato de un mensaje PGP ............................................................. 731
Versiones de PGP en entorno Windows ............................................. 732
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 15

Pgina diapositiva
Instalacin y generacin de claves de la versin 6.5.1 ...................... 735

Operaciones con el portapapeles en la versin 6.5.1 ......................... 761
Versin 7.0.3: caractersticas y operaciones con ficheros ................. 768
Versin 8.0: caractersticas y operaciones de cifra ........................... 777
Estndar PKCS .................................................................................. 784
Caractersticas del estndar PKCS #1 de RSA .................................. 786
Tema 17: Protocolos y Esquemas Criptogrficos ................................ 793
Definicin y ejemplos de protocolos criptogrficos .......................... 794
Transferencia inconsciente o trascordada de Rabin .......................... 800
El problema del lanzamiento de la moneda ....................................... 808
Solucin segn el esquema de Blum ................................................... 810
Restos cuadrticos y enteros de Blum ................................................ 812
La firma de contratos ......................................................................... 820
Firma de contratos segn algoritmo de Even .................................... 824
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 16

Pgina diapositiva
Firma digital ciega ............................................................................. 827

Correo electrnico certificado ........................................................... 830
Pker mental con cifra simtrica y asimtrica ................................... 835
Canal subliminal: transferencia con conocimiento nulo ................... 840
Voto electrnico y esquema electoral ................................................. 847
Tema 18: Bibliografa, Enlaces, SW y Tablas ..................................... 865
Bibliografa en castellano ................................................................... 866
Bibliografa en ingls ......................................................................... 871
Enlaces en Internet ............................................................................. 885
Software de prcticas de la asignatura .............................................. 888
Tablas de frecuencia de caracteres y codificacin cifra clsica ........ 897
Tablas ASCII y ANSI .......................................................................... 903
Tabla cdigo base 64 .......................................................................... 907
Tablas de primos y polinomios primitivos .......................................... 909
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 17
El curso, la asignatura y este libro

Este libro electrnico en su calidad de curso en diapositivas de
libre distribucin en Internet, es parte del material docente que
se usa en la asignatura de Seguridad Informtica y que el autor
imparte desde el ao 1994 en la Escuela Universitaria de
Informtica de la Universidad Politcnica de Madrid, Espaa.
Existe tambin una versin libro editada por el Departamento de
Publicaciones de la Escuela Universitaria de Informtica con
ISBN: 84-86451-69-8 y Depsito Legal: M-10039-2003.
Es posible que le resulte ms econmico adquirir el libro en vez
imprimirlo o sacar fotocopias. Para cualquier consulta en este
sentido sobre condiciones de compra y envo del mismo, dentro
o fuera de Espaa, pngase en contacto con el Departamento de
Publicaciones, EUI-UPM, Carretera de Valencia Km 7, 28031,
Madrid, Espaa. O bien por email a publicaciones@eui.upm.es
o telefnicamente al nmero +34 91 3367905. Precio 16.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 18
Sobre el autor
Jorge Rami Aguirre es profesor titular en el Departamento de Lenguajes,

Proyectos y Sistemas Informticos de la Universidad Politcnica de
Madrid.
http://www.lpsi.eui.upm.es
Desde el curso 1994/1995 imparte la asignatura de Seguridad Informtica
en la titulacin de Ingeniero Tcnico en Informtica de Gestin en la
Escuela Universitaria de Informtica de dicha universidad.
http://www.lpsi.eui.upm.es/SInformatica/SInformatica.htm
Es el creador y Coordinador General de CriptoRed, la Red Temtica
Iberoamericana de Criptografa y Seguridad de la Informacin, desde
diciembre de 1999 y que en febrero de 2003 cuenta con ms de 110
universidades representadas y una centena de empresas.
http://www.criptored.upm.es
Ha impartido diversas conferencias y cursos sobre criptografa y seguridad
informtica en Argentina, Bolivia, Chile, Colombia, Cuba, Espaa,
Mxico, Uruguay y Venezuela.
http://www.lpsi.eui.upm.es/~jramio

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 19
El primer libro de la asignatura

Aplicaciones Criptogrficas, 2 edicin, Junio de 1999
Departamento de Publicaciones - Escuela Universitaria de
Informtica - Universidad Politcnica de Madrid
Carretera de Valencia km. 7 - 28031 Madrid (Espaa)
I.S.B.N.: 84-87238-57-2. Depsito Legal: M-24709-1999
Si dotamos a Internet de las medidas de proteccin y seguridad que nos
ofrecen las tcnicas criptogrficas, dejar de ser ese peligroso y catico
tabln de anuncios para convertirse en el supermercado electrnico del
futuro y la herramienta de trabajo de la generacin del prximo siglo.
A Anita y Jordi
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 20
Descargas de la versin v2 del libro
Nmero total de descargas de la versin v2

desde el 11/02/02 al 28/02/03: 40.065.
Febrero 2002
16.020
Marzo 2002
5.892
Abril 2002
3.655
Mayo 2002
3.077
Junio 2002
2.717
Julio 2002
2.940
Agosto 2002
1.602
Septiembre 2002
719
Octubre 2002
674
Noviembre 2002
765
Diciembre 2002
462
Enero 2003
690
Febrero 2003
852
La versin v1 del libro electrnico alcanz unas descargas ligeramente

superiores a 2.000 durante el ao 2001 desde el mismo servidor.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 21
Nuevo formato imprimible

Esta edicin ha sido adaptada para que, adems de su animacin
como material de apoyo docente y de autoaprendizaje, pueda
tambin imprimirse en papel como un documento de estudio y
consulta. Esto en caso de que opte por no adquirir el libro en el
Departamento de Publicaciones segn ya se ha comentado.
Estos archivos forman parte de un Proyecto Docente del autor y
cuyo objetivo es la elaboracin de una documentacin seria sobre
seguridad informtica y criptografa, en formato electrnico de
libre distribucin en Internet.
IMPORTANTE: Para una lectura ms cmoda, se recomienda
imprimir dos diapositivas por pgina en formato documentos DIN
A4 con impresin en segundo plano, el fondo debe ser blanco. Si
imprime ms de dos diapositivas por pgina, algunas de ellas se
vern con un tamao demasiado pequeo.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 22
Diferencias con la versin v2

El libro en su versin v3.1 cuenta con 19 temas, uno ms que en la versin
v2 de febrero de 2002, al incluir uno dedicado a la bibliografa, enlaces,
software y tablas. Se han revisado y actualizado todos los captulos (en
especial los temas de cifra simtrica y cifra asimtrica, de autenticacin,
protocolos y correo seguro con PGP). Adems, al final de cada captulo se
ha incluido un conjunto de cuestiones y ejercicios, en total 268 preguntas.
En la medida de lo posible, las soluciones a esta cuestiones y ejercicios se
irn incluyendo de forma gradual en la pgina Web de la asignatura.
En esta versin se siguen usando los mismos nombres para los archivos,
es decir SItema??.ppt. No obstante, puede saber el contenido de cada
captulo y su nombre sencillamente viendo las propiedades de ste, sin
necesidad de abrirlo. En algunas versiones de Windows, esto se obtiene
slo con pasar el ratn sobre el icono del archivo correspondiente. Si
desea ir a una diapositiva especfica dentro de un archivo, use la Vista
Normal de Power Point, preferiblemente con la opcin contraer activada.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 23
Actualizacin de los archivos

Tenga en cuenta que los temas y contenidos de estos archivos sern
actualizados de forma continua. Luego, cuando observe en las pginas
Web indicadas la existencia de una versin ms actualizada del archivo
SItemas.zip que la que tiene en su ordenador, reemplace el archivo zip
anterior y, al descomprimirlo, reemplace todos los archivos ppt.
NOTA: No obstante, la documentacin ser en esencia la misma que la
del libro editado mientras se mantenga la versin 3.1. En la pgina Web
del autor y de la asignatura se irn poniendo en un archivo aparte las
nuevas diapositivas que se vayan generando de cara a una nueva edicin.
El curso comienza con un primer archivo llamado SItema00 cuyo objetivo
es entregar una introduccin a la criptografa. Si est comenzando estos
estudios, le recomiendo su visualizacin previa al curso en tanto es un
resumen claro y preciso sobre muchos de los temas y algoritmos que sern
tratados en ms detalle a lo largo de los captulos.
Fin presentacin

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 24
Tema 0
Una Introduccin a la Criptografa
v 3.1
Material Docente de
Libre Distribucin
Jorge Rami Aguirre

Nota del autor

El contenido de este tema de
introduccin est orientado
a una primera visin de tipo
generalista al tema sobre en el
que se profundizar a lo largo
del libro: la seguridad y proteccin
de la informacin mediante el uso de tcnicas y
algoritmos criptogrficos. En particular, se trata de
visin rpida del concepto de cifra y firma digital
asociado a los criptosistemas y que sern analizados
en detalle en los prximos captulos. Si lo desea, puede
utilizar estas diapositivas para una charla introductoria al
tema de la seguridad y criptografa de unos 30 minutos.
Jorge Rami Aguirre
Tema 0: Una Introduccin a la Criptografa
Madrid (Espaa) 2003
Diapositiva 26
Criptografa segn la RAE
Criptografa
una definicin ...
La Real Academia Espaola define criptografa

(oculto + escritura) como:
"el arte de escribir mensajes con una
clave secreta o de modo enigmtico".
Resulta difcil dar una definicin tan poco
ajustada a la realidad actual. Vase la siguiente diapositiva
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 27
Imprecisiones de esta definicin

Arte: la criptografa ha dejado de ser un arte: es una ciencia.
Escritura de mensajes: ya no slo se escriben mensajes; se
enva o se guarda en un ordenador todo tipo de documentos e
informacin de distintos formatos (txt, doc, exe, gif, jpg, ...).
Una clave: los sistemas actuales usan ms de una clave.
Clave secreta: existirn sistemas de clave secreta que usan
una sola clave y sistemas de clave pblica (muy importantes)
que usan dos: una clave privada (secreta) y la otra pblica.
Representacin enigmtica: la representacin binaria de la
informacin podra ser enigmtica para nosotros los humanos
pero jams para los ordenadores ... es su lenguaje natural.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 28
Una definicin ms tcnica de criptografa
Criptografa
Lo que realmente es
Rama inicial de las Matemticas y en la actualidad de la
Informtica y la Telemtica, que hace uso de mtodos y
tcnicas con el objeto principal de cifrar un mensaje o
archivo por medio de un algoritmo, usando una o ms
claves. Esto da lugar a diferentes tipos de criptosistemas
que permiten asegurar cuatro aspectos fundamentales de
la seguridad informtica: confidencialidad, integridad,
disponibilidad y no repudio de emisor y receptor.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 29
Confidencialidad e integridad
Cualquier medio de transmisin es inseguro
Criptosistema
M
Transmisor
T
Cifrador
Medio de
Transmisin
Receptor
MT
Mensaje cifrado
Descifrador
Confidencialidad
Usurpacin de identidad
por un intruso (I)
Integridad
Interceptacin del mensaje

por un intruso (I)
Estos dos principios de la seguridad informtica, el de la

confidencialidad y la integridad, (adems de la disponibilidad y el
no repudio) sern muy importantes en un sistema de intercambio
de informacin segura a travs de Internet.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 30
Tipos de criptosistemas
Clasificacin de los criptosistemas
Segn el tratamiento del mensaje se dividen en:
Cifrado en bloque (DES, IDEA, RSA) 64-128 bits
Cifrado en flujo (A5, RC4, SEAL) cifrado bit a bit
Segn el tipo de claves se dividen en:

Cifrado con clave secreta
Cifrado con clave pblica
Jorge Rami Aguirre
Sistemas simtricos
Sistemas asimtricos
Madrid (Espaa) 2003
Diapositiva 31
Criptosistemas simtricos y asimtricos

Criptosistemas simtricos:
Existir una nica clave (secreta) que deben compartir emisor
y receptor. Con la misma clave se cifra y se descifra por lo que
la seguridad reside slo en mantener dicha clave en secreto.
Criptosistemas asimtricos:
Cada usuario crea un par de claves, una privada y otra pblica,
inversas dentro de un cuerpo finito. Lo que se cifra en emisin
con una clave, se descifra en recepcin con la clave inversa. La
seguridad del sistema reside en la dificultad computacional de
descubrir la clave privada a partir de la pblica. Para ello usan
funciones matemticas de un solo sentido con trampa.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 32
Criptosistemas simtricos
Cifrado con criptosistemas de clave secreta
k
M
Texto
Base
C
EKK
E
Medio de
Transmisin
MT
protegida
Criptograma
k
DDKK
protegida
M
no permitido
Intruso
Integridad
Jorge Rami Aguirre
Madrid (Espaa) 2003
Texto
Base
no permitido
Confidencialidad
La confidencialidad y la integridad se
lograrn si se protegen las claves en el cifrado
y en el descifrado. Es decir, se obtienen
simultneamente si se protege la clave secreta.
DES,TDES,
TDES,
DES,
IDEA,CAST,
CAST,
IDEA,
RIJNDAEL
RIJNDAEL
Diapositiva 33
Criptosistemas asimtricos (1)

Cifrado con clave pblica del receptor
Intercambio de claves RSA
Clave pblica
del usuario B
M
Medio de
Transmisin
Clave privada
del usuario B
Usuario A
Criptograma
DDBB
MT
EB
protegida
M
Observe que se
cifra con la
clave pblica
del destinatario.
Intruso
Las cifras EB y DB (claves) son

inversas dentro de un cuerpo

Jorge Rami Aguirre
no permitido
Confidencialidad
Un sistema similar es el
intercambio de clave de
Diffie y Hellman (DH)
Madrid (Espaa) 2003
Usuario B
Diapositiva 34
Criptosistemas asimtricos (2)

Cifrado con clave privada del emisor
Firma digital RSA
Firmas: RSA y DSS
Clave privada
del usuario A
M
DAA
D
no permitido
Intruso
Integridad
Jorge Rami Aguirre
Observe que se cifra

con la clave privada
del emisor.
Las cifras DA y EA (claves) son

La firma DSS est

basada en el algoritmo
de cifra de El Gamal
Madrid (Espaa) 2003
M
Usuario B
Criptograma
protegida
EA
C
Se firma sobre un hash

H(M) del mensaje, por
ejemplo MD5 o SHA-1
Clave pblica
del usuario A
MT
Usuario A
Medio de
Transmisin
Diapositiva 35
Tipos de cifra con sistemas asimtricos

Criptosistemas de clave pblica
k privada
de A
M
k pblica
de B
k privada
de B
EB
D
DBB
DA
Usuario A
k pblica
de A
M
EA
Usuario B
Confidencialidad
Firma
digital
Integridad
Informacin cifrada
Autenticacin
del usuario A;
integridad de M
La confidencialidad y la integridad se obtienen por separado

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 36
Qu usar, simtricos o asimtricos?

Los sistemas de clave pblica son muy
lentos pero tienen firma digital.
Los sistemas de clave secreta son muy
rpidos pero no tienen firma digital.
Qu hacer?
Cifrado de la informacin:
Sistemas de clave secreta
Firma e intercambio de clave de sesin:
Sistemas de clave pblica
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 37
Sistema hbrido de cifra y firma

k privada
de A
DA
M
Usuario A
Firma
digital
sobre
H(M)
k secreta
k
C
Cifrado asimtrico
Cifrado simtrico
Intercambio clave de sesin k usando
EB(k) en emisin y DB(k) en recepcin

Jorge Rami Aguirre
k secreta
Madrid (Espaa) 2003
k pblica
de A
EA
Usuario B
Autenticacin
del usuario e
integridad
Fin del Tema 0
Diapositiva 38
Tema 1
Introduccin a la Seguridad Informtica
v 3.1
Material Docente de
Libre Distribucin
Jorge Rami Aguirre

Conectado o desconectado?
No podemos aceptar esa
afirmacin popular que
dice que el computador
ms seguro ...
... es aquel que est

apagado y, por tanto,
desconectado de la red.
A pesar de todas las

amenazas del entorno
que, como veremos,
sern muchas y variadas.

Jorge Rami Aguirre
Tema 1: Introduccin a la Seguridad Informtica
Madrid (Espaa) 2003
Diapositiva 40
Hay conciencia de las debilidades?

internas o externas
Amenazas
La seguridad informtica
ser un motivo de
preocupacin.
A finales del siglo XX las empresas, organismos y particulares
comienzan a tener verdadera conciencia de su importancia.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 41
Acontecimientos en dos ltimas dcadas

A partir de los aos 80 el uso del ordenador
personal comienza a ser comn. Asoma ya la
preocupacin por la integridad de los datos.
En la dcada de los aos 90 proliferan los ataques
a sistemas informticos, aparecen los virus y se
toma conciencia del peligro que nos acecha como
usuarios de PCs y equipos conectados a Internet.
Las amenazas se generalizan a finales de los 90.
En los 00s los acontecimientos fuerzan a que se
tome en serio la seguridad informtica.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 42
Qu hay de nuevo en los 00s?

Principalmente por el uso de Internet, el tema de la
proteccin de la informacin se transforma en una
necesidad y con ello se populariza la terminologa
tcnica asociada a la criptologa:
Cifrado, descifrado, criptoanlisis, firma digital.
Autoridades de Certificacin, comercio electrnico.
Ya no slo se transmiten estas enseanzas en las

universidades. El usuario final desea saber, por
ejemplo, qu significa firmar un e-mail.
Productos futuros:
Seguridad aadida
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 43
Una definicin de criptografa

Criptografa:
Rama de las Matemticas y en la actualidad de la
Informtica que hace uso de mtodos y herramientas
con el objeto principal de cifrar un mensaje o archivo
por medio de un algoritmo y una o ms claves, dando
lugar a distintos criptosistemas que permiten asegurar,
al menos, dos aspectos bsicos de la seguridad como
son la confidencialidad y la integridad de la informacin.
Aqu tenemos una definicin algo menos
afortunada de criptografa que vemos en el
diccionario de la Real Academia Espaola ...
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 44
Una definicin menos afortunada...

Criptografa:
Arte de escribir mensajes con una
clave secreta o de modo enigmtico.
Desde el punto de vista de la ingeniera y la informtica,
es difcil encontrar una definicin menos apropiada .
Hoy ya no es un arte sino una ciencia.
No slo se protegen mensajes que se escriben, sino
archivos y documentos en general que se generan.
Muchos sistemas usan dos claves: secreta y pblica.
No hay nada de enigmtico en una cadena de bits.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 45
Cifrar o encriptar?
Cifra o cifrado:
Tcnica que, en general, protege o autentica a un documento o
usuario al aplicar un algoritmo criptogrfico. Sin conocer una clave
especfica, no ser posible descifrarlo o recuperarlo.
En algunos pases por influencia del ingls se usar la palabra
encriptar. Si bien esta palabra todava no existe, bien podra ser el
acto de meter a alguien dentro de una cripta,
... algo
bastante distinto a lo que deseamos expresar .
Situaciones parecidas a sta encontraremos muchas. Por ejemplo,
podemos ver en algunos documentos las palabras autentificacin,
securizar y otras parecidas, que a la fecha no estn recogidas en el
diccionario de la Real Academia Espaola. Peor an, no podemos
encontrar en ese diccionario palabras tan comunes como factorizar,
factorizacin, primalidad, criptlogo, criptgrafo, criptoanalista, ...
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 46
Algunas definiciones previas

Criptologa: ciencia que estudia e investiga todo aquello
relacionado con la criptografa: incluye cifra y criptoanlisis.
Criptgrafo: mquina o artilugio para cifrar.
Criptlogo: persona que trabaja de forma legtima para
proteger la informacin creando algoritmos criptogrficos.
Criptoanalista: persona cuya funcin es romper algoritmos de
cifra en busca de debilidades, la clave o del texto en claro.
Texto en claro: documento original. Se denotar como M.
Criptograma: documento/texto cifrado. Se denotar como C.
Claves: datos (llaves) privados/pblicos que permitirn cifrar.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 47
Es el delito informtico interesante?

El delito informtico parece ser un buen negocio:
Objeto Pequeo: la informacin est almacenada en
contenedores pequeos: no es necesario un camin para
robar un banco, llevarse las joyas, el dinero, ...
Contacto Fsico: no existe contacto fsico en la mayora
de los casos. Se asegura el anonimato y la integridad
fsica del propio delincuente.
Alto Valor: el objeto codiciado tiene un alto valor. El
contenido (los datos) puede valer mucho ms que el
soporte que los almacena: computador, disquete, CD, ...
Solucin? uso de tcnicas criptogrficas.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 48
Seguridad Fsica v/s Seguridad Lgica

El estudio de la seguridad informtica podemos
plantearlo desde dos enfoques:
Seguridad Fsica: proteccin del sistema ante las
amenazas fsicas, planes de contingencia, control de
acceso fsico, polticas de seguridad, normativas, etc.
Este tema ser tratado brevemente en el captulo 3.
Seguridad Lgica: proteccin de la informacin en su
propio medio mediante el enmascaramiento de la
misma usando tcnicas de criptografa. Este enfoque
propio de las Aplicaciones Criptogrficas es el que ser
tratado a lo largo de todo el curso.
No obstante, tenga en cuenta que esta clasificacin en la
prctica no es tan rigurosa.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 49
Principios de la seguridad informtica

Veremos a continuacin los tres
principios bsicos de la seguridad
informtica: el del acceso ms fcil,
el de la caducidad del secreto, y el de
la eficiencia de las medidas tomadas.
Tras los acontecimientos del 11 de
septiembre de 2001, que de alguna
forma ha hecho a la gente pensar en
las debilidades de los sistemas, vale
la pena tenerlos muy en cuenta.
Jorge Rami Aguirre
Deberamos
aprender la
leccin
Madrid (Espaa) 2003
Diapositiva 50
1er principio de la seguridad informtica

PREGUNTA:
Cules son los puntos dbiles
de un sistema informtico?
El intruso al sistema utilizar cualquier artilugio
que haga ms fcil su acceso y posterior ataque.
Existir una diversidad de frentes desde los que
puede producirse un ataque. Esto dificulta el
anlisis de riesgos porque el delincuente aplica la
filosofa de ataque hacia el punto ms dbil.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 51
2 principio de la seguridad informtica

PREGUNTA:
Cunto tiempo deber
protegerse un dato?
Los datos confidenciales deben protegerse slo
hasta ese secreto pierda su valor.
Se habla, por tanto, de la caducidad del sistema de
proteccin: tiempo en el que debe mantenerse la
confidencialidad o secreto del dato.
Esto nos llevar a la fortaleza del sistema de cifra.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 52
3er principio de la seguridad informtica

Las medidas de control se implementan para ser
utilizadas de forma efectiva. Deben ser eficientes,
fciles de usar y apropiadas al medio.
Que funcionen en el momento oportuno.
Que lo hagan optimizando los recursos del sistema.
Que pasen desapercibidas para el usuario.
Y lo ms importante: ningn sistema de

control resulta efectivo hasta que es
utilizado al surgir la necesidad de
aplicarlo. Este es uno de los grandes
problemas de la Seguridad Informtica.
S.I.
Medidas de control
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 53
Debilidades del sistema informtico (1)

HARDWARE - SOFTWARE - DATOS
MEMORIA - USUARIOS
Los tres primeros puntos conforman el llamado Tringulo de
Debilidades del Sistema:
Hardware: pueden producirse errores intermitentes, conexiones
suelta, desconexin de tarjetas, etc.
Software: puede producirse la sustraccin de programas, ejecucin
errnea, modificacin, defectos en llamadas al sistema, etc.
Datos: puede producirse la alteracin de contenidos, introduccin
de datos falsos, manipulacin fraudulenta de datos, etc.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 54
Debilidades del sistema informtico (2)

Memoria: puede producirse la introduccin de un virus, mal uso de
la gestin de memoria, bloqueo del sistema, etc.
Usuarios: puede producirse la suplantacin de identidad, el acceso
no autorizado, visualizacin de datos confidenciales, etc.
Es muy difcil disear un plan que contemple minimizar de

forma eficiente todos estos aspectos negativos.
Debido al Principio de Acceso ms Fcil, no se deber
descuidar ninguno de los cinco elementos susceptibles de
ataque del sistema informtico.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 55
Amenazas del sistema

Las amenazas afectan
principalmente al
Hardware, al Software
y a los Datos. stas se
deben a fenmenos de:
Interrupcin
Interceptacin
Modificacin
Generacin

Jorge Rami Aguirre
Flujo Normal
Interrupcin
Interceptacin
Modificacin
Generacin
Madrid (Espaa) 2003
Diapositiva 56
Amenazas de interrupcin
Interrupcin
Intruso
Se daa, pierde o deja de funcionar un punto del

sistema.
Su deteccin es inmediata.
Ejemplos:
Destruccin del hardware.

Borrado de programas, datos.
Fallos en el sistema operativo.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 57
Amenazas de interceptacin
Interceptacin
Intruso
Acceso a la informacin por parte de personas no

autorizadas. Uso de privilegios no adquiridos.
Su deteccin es difcil, a veces no deja huellas.
Ejemplos:

Jorge Rami Aguirre
Copias ilcitas de programas.

Escucha en lnea de datos.
Madrid (Espaa) 2003
Diapositiva 58
Amenazas de modificacin
Modificacin
Intruso
Acceso no autorizado que cambia el entorno para

su beneficio.
Su deteccin es difcil segn las circunstancias.
Ejemplos:
Modificacin de bases de datos.

Modificacin de elementos del HW.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 59
Amenazas de generacin
Generacin
Intruso
Creacin de nuevos objetos dentro del sistema.

Su deteccin es difcil: delitos de falsificacin.
Ejemplos:
Aadir transacciones en red.

Aadir registros en base de datos.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 60
El tringulo de debilidades
Interrupcin
(prdida)
Interceptacin
(acceso)
Modificacin
(cambio)
DATOS
Los datos sern la
parte ms vulnerable
del sistema.
HW
Interrupcin (denegar servicio)

Interceptacin (robo)

Jorge Rami Aguirre
Generacin
(alteracin)
Ejemplos de ataques
SW
Modificacin (falsificacin)
Interrupcin (borrado)
Interceptacin (copia)
Madrid (Espaa) 2003
Diapositiva 61
Ataques caractersticos
Hardware:
Agua, fuego, electricidad, polvo, cigarrillos, comida.
Software:
Adems de algunos de hardware, borrados accidentales
o intencionados, esttica, fallos de lneas de programa,
bombas lgicas, robo, copias ilegales.
Datos:
Tiene los mismos puntos dbiles que el software. Pero
hay dos problemas aadidos: no tienen valor intrnseco
pero s su interpretacin y, por otra parte, algunos datos
pueden ser de carcter pblico.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 62
Confidencialidad, integridad, disponibilidad

Confidencialidad
Los componentes del sistema sern accesibles slo por
aquellos usuarios autorizados.
Integridad
Los componentes del sistema slo pueden ser creados
y modificados por los usuarios autorizados.
Disponibilidad
Los usuarios deben tener disponibles todos los
componentes del sistema cuando as lo deseen.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 63
No repudio de origen y destino

No Repudio
Este trmino se ha introducido en los ltimos aos
como una caracterstica ms de los elementos que
conforman la seguridad en un sistema informtico.
Est asociado a la aceptacin de un protocolo de
comunicacin entre emisor y receptor (cliente y
servidor) normalmente a travs del intercambio de
sendos certificados digitales de autenticacin.
Se habla entonces de No Repudio de Origen y No
Repudio de Destino, forzando a que se cumplan todas
las operaciones por ambas partes en una comunicacin.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 64
Datos seguros
Si se cumplen estos principios, diremos en general
que los datos estn protegidos y seguros.
DATOS
Confidencialidad
DATOS
Integridad
DATOS
Disponibilidad
DATOS
Datos Seguros

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 65
Sistema de cifra
M
Transmisor
Medio de
Transmisin
Receptor
MT
Cifrador
Mensaje cifrado
Descifrador
Usurpacin de identidad
por un intruso
Interceptacin del mensaje

por un intruso
Sea cual sea el medio de transmisin (enlace, red telefnica,

red de datos, disco magntico, disco ptico, etc.) ste ser
siempre y por definicin inseguro.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 66
Esquema de un criptosistema
Texto
Base
Transmisor
Receptor
Texto cifrado
Cifrador
Descifrador
C
K
Texto
Base
Clave
Clave
Canal inseguro
Espacio de Mensajes M
Se habla
entonces de:
Espacio de Textos Cifrados C

Espacio de Claves K
Transformaciones de Cifrado y de Descifrado

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 67
Funciones y operaciones de cifra

C = E(M)
E: Cifrado del mensaje M
M = D(C)
D: Descifrado del criptograma C
M = D(E(M))
Las operaciones D y E son
inversas o bien lo son las
Si se usa una clave k:
claves que intervienen. Esto
C = E(k,M) o Ek(M)
ltimo es lo ms normal, con
los inversos dentro de un
M = D(k, E(k,M))
cuerpo finito. Por lo tanto, se
M = D(kD, E(kE,M))
recupera el mensaje en claro.
En este ltimo caso los algoritmos E y D son iguales
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 68
Espacio de mensajes M
Est muy claro que esto
es un texto en claro...
M = {m1, m2, ..., mn}
Componentes de un mensaje inteligible (bits, bytes,

pixels, signos, caracteres, etc.) que provienen de un
alfabeto previamente establecido como en el ejemplo.
El lenguaje tiene unas reglas sintcticas y semnticas.
En algunos casos y para los sistemas de cifra clsicos
la longitud del alfabeto indicar el mdulo en el cual
se trabaja. En los modernos, no guarda relacin.
Habr mensajes con sentido y mensajes sin sentido.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 69
Espacio de textos cifrados C

VjbmljYSB3kZSBNYWRy+
WQgQ0ExLTAr8BgN...
C = {c1, c2, ..., cn}
Normalmente el alfabeto es el mismo que el utilizado

para crear el mensaje en claro.
Supondremos que el espacio de los textos cifrados C y
el espacio de los mensaje M (con y sin sentido) tienen
igual magnitud.
En este caso, a diferencia del espacio de mensajes M,
sern vlidos todo tipo de criptogramas.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 70
Espacio de claves K
K = {k1, k2, ..., kn}

Si el espacio de claves K es tan grande como el de los
mensajes M, se obtendr un criptosistema con secreto
perfecto.
Se supone que es un conjunto altamente aleatorio de
caracteres, palabras, bits, bytes, etc., en funcin del
sistema de cifra. Al menos una de las claves en un
criptosistema se guardar en secreto.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 71
Transformaciones de cifrado Ek
Ek: M C
kK
Ek es una aplicacin con una clave k, que est en el

espacio de claves K, sobre el mensaje M y que lo
transforma en el criptograma C.
Es el algoritmo de cifra. Slo en algunos sistemas
clsicos el algoritmo es secreto. Por lo general el
algoritmo de cifra ser de dominio pblico y su cdigo
fuente debera estar disponible en Internet.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 72
Transformaciones de descifrado Dk
Dk: C M
kK
Dk es una aplicacin con una clave k, que est en el

espacio de claves K, sobre el criptograma C y que lo
transforma en el texto en claro M.
Se usa el concepto de inverso. Dk ser la operacin
inversa de Ek o bien -que es lo ms comn- se usa la
misma transformacin Ek para descifrar pero con una
clave k que es la inversa de k dentro de un cuerpo.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 73
Criptosistemas de clave secreta

k
Clave
M
Texto
Base
Medio de
Transmisin
Cifrado
Ek
MT
Mensaje cifrado
Clave
k
M
Descifrado
Dk
Texto
Base
Clave
nica
Cifrado: Ek
Jorge Rami Aguirre
Descifrado: Dk
Madrid (Espaa) 2003
Diapositiva 74
Requisitos de un criptosistema
Algoritmo de cifrado/descifrado rpido y fiable.
Posibilidad de transmitir ficheros por una lnea de
datos, almacenarlos o transferirlos.
No debe existir retardo debido al cifrado o descifrado.
La seguridad del sistema deber residir solamente en
el secreto de una clave y no de las funciones de cifra.
La fortaleza del sistema se entender como la
imposibilidad computacional (tiempo de clculo en
aos que excede cualquier valor razonable) de romper
la cifra o encontrar la clave secreta a partir de otros
datos de carcter pblico.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 75
Recomendaciones de Bacon
Filsofo y estadista ingls del siglo XVI
Dado un texto en claro M y un algoritmo de cifra Ek,
el clculo de Ek(M) y su inversa debe ser sencillo.
Ser imposible encontrar el texto en claro M a partir
del criptograma C si se desconoce la funcin de
descifrado Dk.
El criptograma deber contener caracteres distribuidos
para que su apariencia sea inocente y no d pistas a un
intruso.
Teniendo en cuenta los siglos trascurridos desde estas
afirmaciones, stas siguen siendo vlidas hoy en da.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 76
Recomendaciones de Kerckhoffs
Profesor holands en Pars del siglo XIX
K1: El sistema debe ser en la prctica imposible de
criptoanalizar.
K2: Las limitaciones del sistema no deben plantear
dificultades a sus usuarios.
K3: Mtodo de eleccin de claves fcil de recordar.
K4: Transmisin del texto cifrado por telgrafo.
K5: El criptgrafo debe ser portable.
K6: No debe existir una larga lista de reglas de uso.
Al igual que en el caso anterior, siguen siendo vlidas.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 77
Fortaleza: tipos de ataques

Conociendo el algoritmo de cifra, el criptoanalista
intentar romper la cifra:
1. Contando nicamente con el criptograma.
2. Contando con texto en claro conocido.
Mayor
trabajo
3. Eligiendo un texto en claro.
4. A partir de texto cifrado elegido.
ATAQUE POR FUERZA BRUTA
5. Buscando combinaciones de claves.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 78

Sistemas de cifra: clsicos
v/s modernos
Clasificacin histrica y
cultural (no cientfica).
Sistemas de cifra: en bloque

v/s en flujo
Clasificacin de acuerdo a
cmo se produce la cifra.
Sistemas de clave: secreta v/s pblica
Clasificacin de acuerdo a la cifra usando una nica

clave secreta o bien sistemas con dos claves, una de
ellas pblica y la otra privada.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 79
Cifrado en bloque y en flujo

CIFRADO EN BLOQUE:
El mismo algoritmo de cifra se aplica a un bloque de
informacin (grupo de caracteres, nmero de bytes,
etc.) repetidas veces, usando la misma clave. El
bloque ser normalmente de 64 128 bits.
CIFRADO EN FLUJO:
El algoritmo de cifra se aplica a un elemento de
informacin (carcter, bit) mediante un flujo de clave
en teora aleatoria y mayor que el mensaje. La cifra se
hace bit a bit.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 80
Comparativa cifrado en bloque v/s flujo

CIFRADO EN BLOQUE
Ventajas:
Desventajas:
* Alta difusin de los elementos * Baja velocidad de cifrado al tener
en el criptograma.
que leer antes el bloque completo.
* Inmune: imposible introducir
* Propenso a errores de cifra. Un
bloques extraos sin detectarlo.
error se propagar a todo el bloque.
CIFRADO EN FLUJO
Ventajas:
Desventajas:
* Alta velocidad de cifra al no
* Baja difusin de elementos en el
tener en cuenta otros elementos.
criptograma.
* Resistente a errores. La cifra es * Vulnerable. Pueden alterarse los
independiente en cada elemento. elementos por separado.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 81
Confidencialidad v/s integridad

Vamos a ver cmo se obtienen en cada uno de
estos sistemas de cifra (cifrado con clave secreta
y cifrado con clave pblica) los dos aspectos ms
relevantes de la seguridad informtica:
La confidencialidad
y la integridad
Llegaremos a un concepto de mucha utilidad en
criptografa al analizar el sistema con clave pblica...
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 82
Confidencialidad con clave secreta

k
M
Medio de
Transmisin
C
DDKK
MT
EK
Texto
Base
Criptograma
protegida
M
Texto
Base
Protegemos el
extremo receptor
Buscamos la
confidencialidad
intruso
no permitido
El criptoanalista no podr descifrar el criptograma C o

cualquier otro texto cifrado bajo la transformacin EK.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 83
Integridad con clave secreta

k
M
Texto
Base
Medio de
Transmisin
C
EEKK
MT
protegida
Criptograma
C
DK
M
Texto
Base
Hola... soy Paquito!
no permitido
Buscamos la
integridad
intruso
Protegemos ahora el extremo emisor
El criptoanalista no podr cifrar un texto en claro M y

enviarlo al destinatario como C = EK(M).
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 84
Resumen para sistemas de clave secreta

Integridad
k
M
Texto
Base
Medio de
Transmisin
C
EEKK
MT
protegida
Criptograma
Hola... soy Paquito!
Confidencialidad
C
DDKK
Texto
Base
protegida
Era algo
obvio
no permitido
no permitido
La confidencialidad y la integridad se lograrn

simultneamente si se protege la clave secreta.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 85
Confidencialidad con clave pblica

clave pblica de B
Usuario A
M
Medio de
Transmisin
DDBB
Criptograma
protegida
Texto
Base

con la clave pblica
del usuario receptor
M no permitido
Buscamos la
confidencialidad
intruso
C = EB(M)
M = DB(C) = DB(EB(M))
Jorge Rami Aguirre
Usuario B
MT
EB
Texto
Base
clave privada de B
Cadausuario
usuarioUU
Cada
usados
dosfunciones:
funciones:
usa
unapblica
pblicaEEUyy
una
U
otraprivada
privadaDD
otra
UU
DB y EB son operaciones
Madrid (Espaa) 2003
Diapositiva 86
Integridad con clave pblica

clave privada de A
Usuario A
M
Texto
Base
Medio de
Transmisin
Usuario B
C
EA
DAA
MT
protegida
Criptograma
M
Texto
Base

con la clave privada
del usuario emisor
Hola... soy Paquito

otra vez!
no permitido
Buscamos la
integridad
intruso
C = DA(M)
M = EA(C) = EA(DA(M))
Jorge Rami Aguirre
clave pblica de A
DA y EA son operaciones
Madrid (Espaa) 2003
Diapositiva 87
Resumen para sistemas con clave pblica

K privada
de A
M
DA
K pblica
de B
EB
K privada
de B
K pblica
de A
DDBB
EA
Usuario A
M
Usuario B
Confidencialidad
Integridad
La integridad y la confidencialidad se
obtendrn ahora por separado ...
C = EB(DA(M))
M = EA(DB(C))
Jorge Rami Aguirre
Esta caracterstica
ser muy importante
Cifrado del mensaje con firma digital

Descifrado y comprobacin de firma
Madrid (Espaa) 2003
Diapositiva 88
La gestin de las claves secretas

Clave
secreta
E
kAE
Nmero Claves:
n (n-1)
2
kAD
kAC
kCE
kAB
kBE
Definicin previa:
X
kXY
kYX
kBC
Jorge Rami Aguirre
kCD
kBD
N = n de claves
kDE
5432 usuarios:
NN==10631
Muy mala gestin de claves n2

Madrid (Espaa) 2003
Diapositiva 89
La solucin hbrida
Es entonces la clave pblica la solucin a
todos nuestros problemas?
NO !
Tendr como inconveniente principal (debido a las
funciones de cifra empleadas) una tasa o velocidad de
cifra mucho ms baja que la de los criptosistemas de
clave secreta.
Solucin?
Sistemas de cifra hbridos:

los esquemas actuales
de protocolos seguros en
Internet funcionan as.
Fin del Tema 1

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 90
Cuestiones y ejercicios (1 de 2)
1. Un empleado poco satisfecho ha robado varios discos duros de muy
alta calidad con datos de la empresa. Qu importa ms, el costo de
esos discos o el valor de los datos? Justifique su respuesta.
2. En una empresa se comienza a planificar estrategias de acceso a las
dependencias, polticas de backup, de proteccin de los equipos ante
fuego, agua, etc. Eso es seguridad fsica o lgica? Por qu?
3. En nuestra empresa alguien usa software pirata. Es una amenaza de
interrupcin, interceptacin, modificacin o de generacin?
4. Una clave de sesin en Internet para proteger una operacin de cifra
dura 45 segundos. Si alguien intercepta el criptograma, debemos
preocuparnos si sabemos que la prxima vez la clave ser otra?
5. Si se prueban todas las combinaciones posibles de una clave para
romper un criptograma, qu tipo de ataque estamos realizando?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 91
6. Si protegemos una clave en el extremo emisor, qu buscamos, la
confidencialidad o la integridad? Y si es en el extremo receptor?
7. Por qu en un sistema simtrico se obtiene la confidencialidad y la
integridad al mismo tiempo protegiendo la clave?
8. Explique qu significa que en un sistema de cifra asimtrica se
obtengan la confidencialidad y la integridad por separado.
9. Si se cifra un mensaje con la clave privada del emisor, qu se
obtiene? Y si el emisor cifra con la clave pblica del receptor?
10. Tiene sentido que el emisor cifre de forma asimtrica con su clave
pblica? Qu logramos con ello? Para qu servira?
11. Queremos comunicarnos 10 usuarios con un sistema de cifra de
clave secreta nica entre cada dos miembros. Cuntas claves sern
necesarias? Es eficiente el sistema? Y si hay un usuario ms?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 92
Tema 2
Calidad de la Informacin y Virus
v 3.1
Material Docente de
Libre Distribucin
Jorge Rami Aguirre

Nota del autor

El contenido de este tema
corresponde a los primeras
apuntes del autor.
Tenga en cuenta entonces
que se trata de un borrador, simplemente unas notas
sueltas que tratan genricamente este tema y la nica
intencin de mantener este captulo en el libro es
porque algn da ser ampliado, actualizado y
tratado como se merece.
Jorge Rami Aguirre
Tema 2: Calidad de la Informacin y Virus
Madrid (Espaa) 2003
Diapositiva 94
Qu es la informacin?
El concepto en ingeniera:
Estudio de las estadsticas y caractersticas del
lenguaje que nos permitir su anlisis desde un
punto de vista matemtico, cientfico y tcnico.
El concepto en la empresa:
Conjunto de datos propios que se gestionan y
mensajes que se intercambian personas y/o
mquinas dentro de una organizacin.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 95
Teora de la Informacin
El estudio hecho por Claude Shannon en aos
posteriores a la 2 Guerra Mundial ha permitido:
Cuantificar la cantidad de informacin.

Medir la entropa de la informacin.
Definir un sistema con secreto perfecto.
Calcular la redundancia y ratio del lenguaje.
Encontrar la distancia de unicidad.
Aunque todo el estudio est orientado hacia los
criptosistemas clsicos que cifran letras, se ver
en detalle en un captulo posterior pues permite
definir y analizar sistemas con secreto perfecto.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 96
La informacin en la empresa
Se entender como:
Todo el conjunto de datos y ficheros de la empresa.

Todos los mensajes intercambiados.
Todo el historial de clientes y proveedores.
Todo el historial de productos, ... etc.
En definitiva, el know-how de la organizacin.
Si esta informacin se pierde o deteriora, le ser

muy difcil a la empresa recuperarse y seguir
siendo competitiva polticas de seguridad.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 97
Importancia de la informacin
El xito de una empresa depender de la
calidad de la informacin que genera y
gestiona. As, una empresa tendr una
informacin de calidad si sta permite, entre
otras caractersticas, la confidencialidad, la
integridad y disponibilidad.
La implantacin de una poltica y medidas de seguridad
informtica en la empresa comienza a tenerse en cuenta slo a
finales de la dcada pasada. En este nuevo siglo es un factor
estratgico en el desarrollo y vida de la misma. Tras los
acontecimientos en las torres gemelas del ao 2001, varias
empresas han desaparecido por haber perdido toda su
informacin. Es una seal de peligro y un aviso.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 98
Vulnerabilidad de la informacin
La informacin (datos) se ver afectada
por muchos factores, incidiendo
bsicamente en los aspectos de
confidencialidad, integridad y
descontento
disponibilidad de la misma.
Desde el punto de vista de la empresa,
uno de los problema ms importantes
puede ser el que est relacionado con el
delito o crimen informtico, por
factores externos e internos.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 99
Implantar polticas de seguridad

Esto se ver agravado por otros temas,
entre ellos los aspectos legales y las
caractersticas de los nuevos entornos de
trabajo de la empresa del siglo XXI.
Solucin
Poltica 1
Poltica 2
La solucin parece
muy sencilla: aplicar
tcnicas y polticas
de seguridad...
Jorge Rami Aguirre
Poltica 3
Poltica 4
... slo ahora el

tema comienza a
tomarse en serio.
Madrid (Espaa) 2003
Diapositiva 100
Acciones contra los datos

Una persona no autorizada podra:
Clasificar y desclasificar los datos.

Filtrar informacin.
Por lo tanto,
Alterar la informacin.
deberemos
proteger
Borrar la informacin.
nuestros datos
Usurpar datos.
Hojear informacin clasificada.
Deducir datos confidenciales.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 101
Proteccin de los datos

La medida ms eficiente para la proteccin de los datos es
determinar una buena poltica de copias de seguridad o
backups:
Copia de seguridad completa
Todos los datos (la primera vez).
Copias de seguridad incrementales

Slo se copian los ficheros creados o modificados desde el
ltimo backup.
Elaboracin de un plan de backup en funcin del

volumen de informacin generada
Tipo de copias, ciclo de esta operacin, etiquetado correcto.
Diarias, semanales, mensuales: creacin de tablas.
Establecer quin cmo y dnde se guardan esos datos.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 102
Hackers y crakers
Hacker:
Definicin inicial de los ingenieros del MIT que
hacan alardes de sus conocimientos en informtica.
Pirata Informtico.
Cracker:
Persona que intenta de forma ilegal romper la
seguridad de un sistema por diversin o inters.
No existe uniformidad de criterios en su clasificacin;
no obstante, su accin cada da se vuelve ms tcnica,
sofisticada y debemos implementar medidas para
proteger nuestra informacin ante tales ataques.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 103
Puntos vulnerables en la red

Las empresas relacionadas con las Nuevas Tecnologas
de la Informacin NTIs hacen uso de varias tcnicas y
herramientas de redes para el intercambio de datos:
Transferencia de ficheros (ftp)
Transferencia de datos e informacin a travs de
Internet (http)
Conexiones remotas a mquinas y servidores
(telnet)
Todo esto presentar graves riesgos de ataques de
hackers y otros delincuentes informticos, pero ...
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 104
Dnde est el enemigo?

Por muy organizados que puedan estar
estos grupos de vndalos o delincuentes,
primero que nada hay que ponerse en el
lugar que nos corresponde y no caer en la
paranoia. Adems, debemos pensar que el
peor enemigo puede estar dentro de casa...
La solucin sigue siendo la misma: la
puesta en marcha de una adecuada
poltica de seguridad en la empresa.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 105
Delitos informticos
Son acciones que vulneran la confidencialidad,
integridad y disponibilidad de la informacin.
Ataques a un sistema informtico:
Veamos algunos
) Fraude
) Sabotaje
) Revelacin
) Gusanos
Jorge Rami Aguirre
) Malversacin ) Robo
) Espionaje
) Chantaje
) Mascarada ) Virus
) Caballos de Troya ... etc.
Madrid (Espaa) 2003
Diapositiva 106
Fraude y sabotaje
Fraude
Acto deliberado de manipulacin de datos perjudicando

a una persona fsica o jurdica que sufre de esta forma
una prdida econmica. El autor del delito logra de esta
forma un beneficio normalmente econmico.
Sabotaje
Accin con la que se desea perjudicar a una empresa

entorpeciendo deliberadamente su marcha, averiando
sus equipos, herramientas, programas, etc. El autor no
logra normalmente con ello beneficios econmicos pero
pone en jaque mate a la organizacin.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 107
Chantaje y mascarada
Chantaje
Accin que consiste en exigir una cantidad de dinero a

cambio de no dar a conocer informacin privilegiada o
confidencial y que puede afectar gravemente a la
empresa, por lo general a su imagen corporativa.
Mascarada
Utilizacin de una clave por una persona no autorizada

y que accede al sistema suplantando una identidad. De
esta forma el intruso se hace dueo de la informacin,
documentacin y datos de otros usuarios con los que
puede, por ejemplo, chantajear a la organizacin.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 108
Virus y gusanos
Virus
Cdigo diseado para introducirse en un programa,

modificar o destruir datos. Se copia automticamente a
otros programas para seguir su ciclo de vida. Es comn
que se expanda a travs de plantillas, las macros de
aplicaciones y archivos ejecutables.
Gusanos
Virus que se activa y transmite a travs de la red. Tiene

como finalidad su multiplicacin hasta agotar el espacio
en disco o RAM. Suele ser uno de los ataques ms
dainos porque normalmente produce un colapso en la
red (p.e. el gusano de Internet de Robert Morris Jr.).
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 109
Caballos de Troya
Caballos de Troya
Virus que entra al ordenador y posteriormente acta de

forma similar a este hecho de la mitologa griega. As,
parece ser una cosa o programa inofensivo cuando en
realidad est haciendo otra y expandindose. Ejemplo:
el huevo de Pascua de Windows 95.
Y hay muchos ms delitos. Incluso aparecern nuevos delitos
y ataques a los sistemas informticos y redes que a fecha de
hoy no sabemos cmo sern ni qu vulnerabilidad atacarn...
Este enfrentamiento entre el bien y el mal es inevitable en
un sistema abierto ... y las comunicaciones hoy son as.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 110
Virus informticos
Nota del autor
Las prximas diapositivas son una breve y elemental

introduccin al tema de los virus informticos, orientado adems
slo al mundo de los PCs y del llamado entorno Windows. No
pretende ser ni mucho menos un documento que trate este tema
con la profundidad que debera hacerse y se merece.
Mucha gente cataloga a ste como un tema menor, sin embargo
dentro de las empresas es uno de los mayores problemas con los
que se enfrentan los responsables de seguridad informtica.
Se incluye aqu este apartado como un factor ms a tener en
cuenta en cuanto a la calidad de la informacin que manejamos,
dado que sta puede verse afectada por este tipo de ataques tan
comunes hoy en da por ejemplo va e-mail.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 111
Historia y tipos de virus

Primer ejemplo: John von Neuman (1949)
Primer virus: M. Gouglas de Bell Laboratories
crea el Core War en 1960.
Primeros ataques a PCs entre 1985 y 1987:
Virus Jerusalem y Brain.
Inofensivos (pelota, letras, etc.)

Slo molestan y entorpecen el trabajo pero no
destruyen informacin. Podran residir en el PC.
Malignos (Viernes 13, Melissa, Nimbda, etc.)

Destruyen los datos y afectan a la integridad y la
disponibilidad del sistema. Hay que eliminarnos.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 112
Transmisin de un virus
Se transmiten slo mediante la ejecucin de un
programa. Esto es muy importante recordarlo.
El correo electrnico por definicin no puede
contener virus al ser slo texto. No obstante,
muchas veces contienen archivos aadidos o los
visualizadores ejecutan cdigo en el cliente de
correo del usuario y stos pueden tener incluido
un virus. Ah est el peligro.
El entorno web es mucho ms peligroso. Un
enlace puede lanzar un programa en Java u otro
lenguaje que se ejecute y afecte el disco duro.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 113
Tipos de ataque de un virus

Estn aquellos que infectan a programas con
extensin exe, com y sys por ejemplo.
Residen en memoria al ejecutarse el husped y de
ah se propagan a otros archivos.
Y tambin aquellos que infectan el sistema y el

sector de arranque y tablas de entrada (reas
determinadas del disco).
Se instalan directamente all y por lo tanto residen
en memoria.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 114
Algunas medidas bsicas de prevencin

Proteger los discos extrables con la pestaa, una
proteccin de tipo hardware muy elemental.
Instalar un antivirus y actualizarlo al menos una
vez al mes; recomendable cada 15 das.
Ejecutar el antivirus de vez en cuando al disco
duro (por ejemplo una vez al mes) y siempre a los
disquetes y archivos que se descargan de Internet.
Usar siempre software legal, con licencia.
Controlar el acceso de extraos al computador.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 115
Qu hacer en caso de estar infectado?
Detener las conexiones remotas.

No mover el ratn ni activar el teclado.
Apagar el sistema y desconectarlo.
Arrancar con un disquete de arranque o emergencia
protegido y ejecutar luego un programa antivirus.
Hacer copia de seguridad de ficheros.
Formatear el disco duro a bajo nivel si no queda otra
solucin /.
Instalar nuevamente el sistema operativo y restaurar
las copias de seguridad.
Fin del Tema 2
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 116
Cuestiones y ejercicios
1. Qu diferencia hay entre el concepto de informacin y su calidad
segn lo entienda una empresa o los estudios de ingeniera?
2. Por qu se dice que la informacin de una empresa es su activo
ms valioso? Compare este activo con el personal de la misma y
pngase en situaciones en las que ambos se pierden, qu situacin
podra ser es ms perjudicial para la continuidad de dicha empresa?
3. Como supervisores de seguridad hemos detectado que alguien est
realizando acciones no lcitas, por ejemplo copias no autorizadas de
informacin. Qu actitud debemos tomar?
4. Qu medidas seran la ms adecuadas de cara a minimizar el ataque
por virus en nuestra empresa?
5. Si deseamos que nuestra empresa est debidamente protegida tanto
fsica como lgicamente, qu debemos hacer?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 117
Tema 3
Introduccin a la Seguridad Fsica
v 3.1
Material Docente de
Libre Distribucin
Jorge Rami Aguirre

Nota del autor

El contenido de este archivo
corresponde slo a un primer
borrador en relacin con el
tema de la seguridad fsica.
Actualmente sta tiene una
importancia igual y en algunos casos superior a la
seguridad lgica. Los acontecimientos acaecidos a
comienzos de este siglo han puesto al descubierto
cun vulnerable puede ser un sistema ante un ataque;
por ello se han actualizado algunos temas pero este
documento sigue siendo un borrador de trabajo.
Jorge Rami Aguirre
Tema 3: Introduccin a la Seguridad Fsica
Madrid (Espaa) 2003
Diapositiva 120
Seguridad Fsica
Los datos deben protegerse aplicando:
Seguridad Lgica
Uso de herramientas de proteccin de la informacin
en el mismo medio en el que se genera o transmite.
Protocolos de autenticacin entre cliente y servidor.
Aplicacin de normativas.
Seguridad Fsica
Procedimientos de proteccin fsica del sistema:
acceso personas, incendio, agua, terremotos, etc.
Medidas de prevencin de riesgos tanto fsicos como
lgicos a travs de una poltica de seguridad, planes de
contingencia, aplicacin de normativas, etc.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 121
La seguridad Fsica en entornos de PCs
Anclajes a mesas de trabajo.

Temas a tener
en cuenta en un
Cerraduras.
entorno PC
Tarjetas con alarma.
Etiquetas con adhesivos especiales.
Bloqueo de disquetera.
Protectores de teclado.
Tarjeta de control de acceso al hardware.
Suministro ininterrumpido de corriente.
Toma de tierra.
Eliminacin de la esttica... etc.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 122
Anlisis de riesgo: plan estratgico

Es el proceso de identificacin y evaluacin del
riesgo a sufrir un ataque y perder datos, tiempo y
horas de trabajo, comparndolo con el costo que
significara la prevencin de este suceso.
Su anlisis no slo nos lleva a establecer un nivel
adecuado de seguridad, sino que permite conocer
mejor el sistema que vamos a proteger.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 123
Informacin del anlisis de riesgo

Informacin que se obtiene en un anlisis de riesgo:
Determinacin precisa de los recursos sensibles de la
organizacin.
Identificacin de las amenazas del sistema.
Identificacin de las vulnerabilidades especficas del
sistema.
Identificacin de posibles prdidas.
Identificacin de la probabilidad de ocurrencia de una
prdida.
Derivacin de contramedidas efectivas.
Identificacin de herramientas de seguridad.
Implementacin de un sistema de seguridad eficiente en
costes y tiempo.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 124
Ecuacin bsica del anlisis de riesgo

B>PL?
B: Carga o gasto que significa la prevencin

de una prdida especfica por vulnerabilidad.
P: Probabilidad de ocurrencia de esa prdida
especfica.
L: Impacto total de dicha prdida especfica.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 125
Cundo y cunto invertir en seguridad?

BPL
Hay que implementar una medida de
prevencin.
Si
B>PL
No es necesaria una medida de prevencin.
Si
... al menos matemticamente. No obstante, siempre

puede ocurrir una desgracia que est fuera de todo
clculo. Por ejemplo, el ataque a las torres gemelas y
sus posteriores consecuencias informticas no estaba
contemplado en ningn plan contingencia...
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 126
Efectividad del coste de la medida

Las medidas y herramientas de control han de
tener menos coste que el valor de las posibles
prdidas y el impacto de stas si se produce el
riesgo temido.
Ley bsica: el costo del control ha de ser menor
que el activo que protege. Algo totalmente lgico
y que tanto los directivos como los responsables
de seguridad de la empresa debern estimar de
forma adecuada a su realidad.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 127
El factor L en la ecuacin de riesgo

Factor L (en B P L)
El factor de impacto total L es difcil de evaluar.
Incluye daos a la informacin, a los equipos,
prdidas por reparacin, por volver a levantar el
sistema, prdidas por horas de trabajo, etc.
Siempre habr una parte subjetiva.
La prdida de datos puede llevar a una prdida de
oportunidades por el llamado efecto cascada.
En la organizacin debe existir una comisin
especializada interna o externa que sea capaz de
evaluar todas las posibles prdidas y cuantificarlas.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 128
El factor P en la ecuacin de riesgo

Factor P (en B P L)
El factor P est relacionado con la determinacin
del impacto total L y depende del entorno en el
que est la posible prdida. Como este valor es
difcil de cuantificar, dicha probabilidad puede
asociarse a una tendencia o frecuencia conocida.
Conocido P para un L dado, se obtiene la
probabilidad de prdida relativa de la ocurrencia PL
que se comparar con B, el peso que supone
implantar la medida de prevencin respectiva.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 129
El factor B en la ecuacin de riesgo

Factor B (en B P L)
Indica qu se requiere para prevenir una prdida.
Es la cantidad de dinero que vamos a disponer
para mitigar la posible prdida.
Ejemplo: la carga de prevencin para que un sistema
informtico minimice el riesgo de que sus servidores
sean atacados desde fuera incluye la instalacin de
software y hardware adecuado, un cortafuegos, un
sistema de deteccin de intrusos, una configuracin
de red segura, una poltica de seguimiento de accesos
y de passwords, personal tcnico cualificado, etc.
Todo ello importa una cantidad de dinero especfica.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 130
Cuantificacin de la proteccin
BPL?
Cunta proteccin es necesaria?
En nuestro ejemplo: qu configuracin de red usar,
en qu entorno trabajar, qu tipo de cortafuegos, etc.
Eso depender del novel de seguridad que nuestra
empresa desee o crea oportuno.
De qu forma nos protegeremos?

Una casa puede protegerse con puertas, cerraduras,
barras en ventanas, sistemas de alarmas, etc.
En un sistema informtico podemos aplicar medidas
fsicas, polticas de seguridad de accesos, planes de
contingencia y recuperacin, cortafuegos, cifrado de
la informacin, firmas, pasarelas seguras, etc.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 131
Pasos en un anlisis de riesgos

1. Identificacin costo
posibles prdidas (L)
Se
cierra
el
ciclo
Identificar amenazas
3. Identificar posibles
acciones (gasto) y sus
implicaciones. (B)
Seleccionar acciones a
implementar.
B PL ?
2. Determinar susceptibilidad.
La probabilidad de prdida (P)
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 132
Algunas polticas de seguridad

Polticas administrativas
Procedimientos administrativos.
Polticas de control de acceso

Privilegios de acceso del usuario o programa.
Polticas de flujo de informacin

Normas bajo la cuales se comunican los
sujetos dentro del sistema.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 133
Aspectos administrativos
Polticas administrativas
Se establecen aquellos procedimientos de
carcter administrativo en la organizacin
como por ejemplo en el desarrollo de
programas: modularidad en aplicaciones,
revisin sistemtica, etc.
Se establecen responsabilidades compartidas
por todos los usuarios, cada uno en su nivel.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 134
Control de accesos
Polticas de control de acceso
Poltica de menor privilegio
Acceso estricto a objetos determinados, con
mnimos privilegios para los usuarios.
Poltica de comparticin
Acceso de mximo privilegio en el que cada
usuario puede acceder a todos los objetos.
Granularidad
Nmero de objetos accesibles. Se habla entonces
de granularidad gruesa y fina.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 135
Control de flujo
Polticas de control de flujo
La informacin a la que se accede, se enva y
recibe por:
Canales claros o canales ocultos? Seguros o no?
Qu es lo que hay que potenciar?

La confidencialidad o la integridad?
La disponibilidad? ... El no repudio?
Segn cada organizacin y su entorno de trabajo y
servicios ofrecidos, habr diferencias. En algunos
sistemas primarn unos ms que otros, en funcin
de cun secreta es la informacin que procesan.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 136
Modelos de seguridad
Modelo de Bell LaPadula (BLP)
Rgido. Confidencialidad y con autoridad.
Modelo de Take-Grant (TG)
Derechos especiales: tomar y otorgar.
Modelo de Clark-Wilson (CW)
Orientacin comercial: integridad.
Modelo de Goguen-Meseguer (GM)
No interferencia entre usuarios.
Modelo de Matriz de Accesos (MA)
Estados y transiciones entre estados
Tipo Graham-Dennig (GD)
Tipo Harrison-Ruzzo-Ullman (HRU)
Jorge Rami Aguirre
Madrid (Espaa) 2003
Se definirn
brevemente
en prxima
diapositiva
Diapositiva 137
Modelo de Bell LaPadula BLP

La escritura hacia abajo est prohibida.
La lectura hacia arriba est prohibida.
Es el llamado principio de tranquilidad.
No lectura hacia arriba
usuario dado de alta
con un nivel secreto
No escritura hacia abajo
Jorge Rami Aguirre
Secreto mximo
Secreto
No clasificado
Madrid (Espaa) 2003
Diapositiva 138
Modelo de Take Grant TG

Se describe mediante grafos orientados:
el vrtice es un objeto o sujeto.
un arco es un derecho.
Se ocupa slo de aquellos derechos que

pueden ser transferidos.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 139
Modelo de Clark Wilson CW

Basado en polticas de integridad
Elementos de datos restringidos.
sobre stos debe hacerse un chequeo de
consistencia.
Elementos de datos no restringidos.

Procedimientos de transformacin.
trata los dos elementos.
Procedimientos de verificacin de integridad.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 140
Criterios y normativas de seguridad

Criterio de evaluacin TSEC
Trusted Computer System Evaluation Criteria, tambin
conocido como Orange Book.
Criterio de evaluacin ITSEC

Information Technology Security Evaluation Criteria.
Criterio de evaluacin CC
Common Criteria: incluye los dos anteriores.
Ley Orgnica de Proteccin de Datos LOPD (1999, Espaa)

Establece un conjunto de medidas de seguridad de debido
cumplimiento por parte de empresas y organismos.
Normativa internacional 17799

Desarrolla un protocolo de condiciones mnimas de seguridad
informtica de amplio espectro.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 141
La ley de seguridad informtica en Espaa

Ley Orgnica de Proteccin de Datos LOPD se desarrolla en Espaa
en el ao 1999 y comienza a aplicarse ya en el siglo XXI.
Se crea una Agencia de Proteccin de datos APD que debe velar por
el cumplimiento de esta ley mediante la realizacin de auditoras, al
menos cada dos aos. La APD la forman 9 personas.
Se definen las funciones del Responsable de Fichero y del Encargado
de Tratamiento.
Las faltas se clasifican como leves, graves y muy graves con multas
de 60.000, 300.000 y 600.000 .
En el Real Decreto 994/1999 sobre Medidas de seguridad de los
ficheros automatizados que contengan datos de carcter personal se
definen las funciones del Responsable de Seguridad.
Establece un conjunto de procedimientos de obligado cumplimiento
de forma que adems de proteger la privacidad de las personas, se
cumplan los principios de la seguridad informtica fsica y lgica.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 142
La normativa 17799
Cdigo de buenas prcticas para la Gestin de la Seguridad de la
Informacin: PNE-ISO/IEC 17799 (Proyecto de Norma Espaola)
Antecedentes
Introduccin
Objeto y campo de la aplicacin
Trminos y definiciones
Poltica de seguridad
Aspectos organizativos para la seguridad
Clasificacin y control de los archivos
Seguridad ligada al personal
Seguridad fsica y del entorno
Gestin de comunicaciones y operaciones
Control de accesos
Desarrollo y mantenimiento de sistemas
Gestin de continuidad del negocio
Conformidad

Jorge Rami Aguirre
En 70 pginas y diez
apartados, presenta unas
normas, recomendaciones y
criterios bsicos para
establecer unas polticas de
seguridad. stas van desde
los conceptos de seguridad
fsica hasta los de seguridad
lgica. Parte de la norma
elaborada por la British
Standards Institution BSI,
adoptada por International
Standards Organization ISO
y la International Electronic
Commission IEC.
Madrid (Espaa) 2003
Diapositiva 143
Planes de contingencia
Un Plan de Contingencia consiste en un anlisis

pormenorizado de las reas que componen nuestra
organizacin que nos servir para establecer una poltica de
recuperacin ante un desastre.
Es un conjunto de datos estratgicos de la empresa y que
se plasma en un documento con el fin de protegerse ante
eventualidades.
Adems de aumentar su seguridad, con un plan estratgico la

empresa tambin gana en el conocimiento de fortalezas y
debilidades.
Pero si no lo hace, se expone a sufrir una prdida irreparable
mucho ms costosa que la implantacin de este plan.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 144
Desastres naturales y su prevencin

Desastres naturales
Huracn
Tormenta
Inundacin
Tornado
Vendaval
Incendio
Otros

Jorge Rami Aguirre
Medidas prevencin
Emplazamientos
adecuados
Proteccin fachadas,
ventanas, puertas
Madrid (Espaa) 2003
Diapositiva 145
Vandalismo informtico y su prevencin

Medidas de prevencin
Terrorismo
Sabotaje
Robo
Virus
Programas malignos
Jorge Rami Aguirre
Fortificacin entradas
Guardia Jurado
Patrullas
Circuito cerrado TV
Control de accesos
Proteccin de software y
hardware con antivirus,
cortafuegos, etc.
Madrid (Espaa) 2003
Diapositiva 146
Amenazas del agua y su prevencin

Amenazas
Medidas prevencin
Inundaciones por
causas propias de la
empresa
Inundaciones por
causas ajenas
Pequeos incidentes
personales (botella de
agua, taza con caf)

Jorge Rami Aguirre
Revisar conductos de
agua.
Localizar la sala con los
equipos ms caros en un
sitio libre de estos
problemas.
Instalar sistemas de
drenaje de emergencia.
Concienciar empleados.
Madrid (Espaa) 2003
Diapositiva 147
Amenazas del fuego y su prevencin

Medidas prevencin
Amenazas
Una mala instalacin
elctrica.
descuidos personales
como fumar en la sala
de ordenadores.
Papeleras mal ubicadas
en la que se tira un
cigarrillo no apagado.
Vulnerabilidades del
sistema por humo.
Jorge Rami Aguirre
Detector humo y calor.

Materiales ignfugos.
Almacn de papel
separado de mquinas.
Estado del falso suelo.
Extintores revisados.
Es la amenaza ms
temida por su rpido
poder destructor.
Madrid (Espaa) 2003
Diapositiva 148
Qu sucede si se produce una catstrofe?

Las empresas dependen hoy en da de los equipos
informticos y de todos los datos que hay all
almacenados (nminas, clientes, facturas, ...).
Dependen tambin cada vez ms de las
comunicaciones a travs de redes de datos.
Si falla el sistema informtico y ste no puede
recuperarse, la empresa puede desaparecer porque
no tiene tiempo de salir nuevamente al mercado
con ciertas expectativas de xito, aunque conserve
a todo su personal.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 149
Tiempos de recuperacin ante desastres

Perodo mximo de paro de una empresa
sin poner en peligro su supervivencia:
Sector Seguros:
Sector Fabricacin:
Sector Industrial:
Sector Distribucin:
Sector Financiero:
5,6 das
4,9 das
4,8 das
3,3 das
2,0 das
Ref. Estudio de la Universidad de Minnesota (1996)

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 150
Prdidas por no contar con un plan
Prdida de clientes.
Prdida de imagen.
Prdida de ingresos por beneficios.
Prdida de ingresos por ventas y cobros.
Prdida de ingresos por produccin.
Prdida de competitividad.
Prdida de credibilidad en el sector.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 151
Implantacin de medidas bsicas

Plan de emergencia
Vidas, heridos, activos, evacuacin personal.
Inventariar recursos siniestrados.
Evaluar el coste de la inactividad.
Plan de recuperacin
Acciones tendentes a volver a la situacin que
exista antes del desastre.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 152
Plan de continuidad
Instalaciones alternativas
Oficina de servicios propia.

Acuerdo con empresa vendedora de HW y SW.
Acuerdo recproco entre dos o ms empresas.
Arranque en fro; sala vaca propia.
Arranque en caliente: centro equipado.
Sistema Up Start: caravana, unidad mvil.
Sistema Hot Start: centro gemelo.
Fin del Tema 3

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 153
1. Qu es y qu significa hacer un anlisis de riesgos?
2. Explique el sentido de las ecuaciones B > PL y B PL.
3. Tras un estudio, obtenemos B > PL, podemos estar totalmente
tranquilos al no utilizar medida alguna de prevencin?
4. Explique qu significan los factores L y P en la ecuacin B > PL.
5. Cules son los pasos a seguir en un anlisis de riesgos de acuerdo a
los factores de la ecuacin de B > PL?
6. En algunos sistemas de gestin de informacin a veces prima ms el
elemento confidencialidad, en cambio en otros ms el de integridad.
D algunos ejemplos en que pueda cumplirse al menos en parte este
escenario. Qu opina respecto a una transaccin electrnica?
7. Comente el modelo de seguridad de Bell Lapadula. Por qu se le
llama el modelo de la tranquilidad?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 154
8. Ud. es el responsable de seguridad y detecta que un empleado est
robando informacin confidencial, cmo reaccionara?
9. Cules pueden ser las prdidas en una empresa si no se cuenta con
un adecuado Plan de Contingencia y sucede un desastre?
10. Qu es un Plan de Contingencia y por qu es importante?
11. Nuestra empresa est a medias entre el rubro distribucin y el de las
finanzas. Resulta estratgico tener aqu un Plan de Contingencia?
12. Qu soluciones tenemos para que un banco no se vea afectado por
un desastre y pueda seguir trabajando con sus clientes con un tiempo
de recuperacin bajo o mnimo? Cmo sera su coste?
13. Se pueden prever situaciones extremas como lo acontecido con las
torres gemelas? En que tipo de empresas o instituciones no deben
descartarse estos extremos? En mi empresa que vende pasteles?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 155
Tema 4
Teora de la Informacin
v 3.1
Material Docente de
Libre Distribucin
Jorge Rami Aguirre

Fundamentos de la Seguridad Informtica

Los pilares sobre los que descansa toda la teora
asociada a los criptosistemas son tres:
Lo veremos en ...
La teora de la informacin
este archivo
Estudio de la cantidad de informacin y entropa.
La teora de los nmeros
archivo SItema05
Estudio de las matemticas discretas y cuerpos finitos.
La teora de la complejidad de los algoritmos

Clasificacin de los problemas.
Jorge Rami Aguirre
Tema 4: Teora de la Informacin
Madrid (Espaa) 2003
archivo SItema06
Diapositiva 158
Teora de la informacin
Informacin:
Conjunto de datos o mensajes inteligibles creados
con un lenguaje de representacin y que debemos
proteger ante las amenazas del entorno, durante
su transmisin o almacenamiento, usando entre
otras cosas, las tcnicas criptogrficas.
La teora de la informacin mide la
Veremos estas
cantidad de informacin que
dos definiciones
contiene un mensaje a travs del
ms adelante.
nmero medio de bits necesario para
codificar todos los posibles mensajes
con un codificador ptimo.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 159
Representacin de la informacin
Puede ser numrica, alfabtica, simblica, por lenguaje.
Ejemplo: 24/01/03 24-01-03 24-1-03 24/01/2003
01/24/03 01-24-03 1-24-03 01-24-2003 ...
- Todos son el da 24 de enero del ao 2003.
Vitaminas: B12, C, ...
Quinformacin
informacinnos
nos
Qu
Grupo sanguneo: A2 Rh+ ...
entregaelelmensaje
mensaje
entrega
Elementos: Fe, Si, Hg ...
Hoyhace
hacecalor?
calor?
Hoy
Compuestos qumicos: H2O, CO2 ...
Ms comn
Lenguaje con cdigo: Hoy hace calor
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 160
Pero qu es la informacin?
Veremos qu informacin nos entrega un mensaje
dependiendo del contexto en que nos encontremos.
Esto puede ser:
a) En funcin de la extensin del mensaje recibido.
b) En funcin de la utilidad del mensaje recibido.
c) En funcin de la sorpresa del mensaje recibido.
d) Dependiendo del entorno de esa sorpresa.
e) En funcin de la probabilidad de recibir un mensaje.
Este es el entorno del estudio realizado por Claude
Shannon orientado a la ingeniera y que aqu nos interesa.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 161
Cantidad de informacin (caso 1)

En funcin de la extensin del mensaje
Ante una pregunta cualquiera, una respuesta concreta y
extensa nos entregar mayor informacin sobre el tema
en particular, y diremos que estamos ante una mayor
cantidad de informacin.
Pregunta: Hace calor all?
(una playa en particular)
Respuesta 1: S, hace mucho calor.

Respuesta 2: Cuando no sopla el viento, el calor all es
inaguantable pues supera los 42 grados a la sombra.
Dnde hay una mayor cantidad de informacin?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 162

En funcin de la utilidad del mensaje
Ante una pregunta cualquiera, una respuesta ms til y
clara nos dejar con la sensacin de haber recibido una
mayor cantidad de informacin.
(una playa en particular)
Respuesta 1: S, sobre 30 grados.

Respuesta 2: Si no hay viento del sur y el mar est en
calma, es normal que la temperatura suba bastante.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 163

En funcin de la sorpresa del mensaje
Ante una pregunta cualquiera, una respuesta ms
inesperada y sorprendente, nos dar la sensacin de
contener una mayor cantidad de informacin.
(ahora Finlandia en otoo)
Respuesta
Respuesta1:
1:S,
S,muchsimo.
muchsimo.Es
Esinsoportable.
insoportable.
Respuesta 2: En esta poca del ao, la temperatura es
ms suave y el tiempo muy agradable.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 164

Dependencia del entorno (sorpresa)
Ante una pregunta cualquiera, una respuesta inesperada
y sorprendente en el entorno, nos dar la sensacin de
contener una mayor cantidad de informacin.

(ahora las mismas respuestas hablan de la temperatura en un horno)
Respuesta 1: S, muchsimo. Es insoportable.

Respuesta 2: En esta poca del ao, la temperatura es
ms suave y el tiempo muy agradable. ?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 165

En funcin de la probabilidad de recibir un mensaje
Este enfoque probabilstico es el que nos interesar en
cuanto a la definicin de Cantidad de Informacin.
Dnde le da alegra a su cuerpo Macarena?

Respuesta 1: En un pas de Europa.
Por qu?
Respuesta 2: En una ciudad de Espaa.
Respuesta 3: En el nmero 7 de la calle de la Sierpes en
Sevilla, Espaa.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 166
Incertidumbre e informacin
Ante varios mensajes posibles, en principio
todos equiprobables, aquel que tenga una
menor probabilidad ser el que contenga
una mayor cantidad de informacin.
En el ejemplo anterior:
Al ser ms extenso el nmero de calles y sus nmeros
en una ciudad que el nmero de ciudades en Espaa
y esto ltimo mayor que los pases en Europa, la
ltima respuesta tendr una mayor incertidumbre. Si
suponemos todos los estados equiprobables, entonces
la cantidad de informacin de la respuesta tercera
ser mayor que las dems.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 167
Concepto de variable aleatoria

Sea X una variable aleatoria con n estados posibles con
X = xi una ocurrencia isima:
X = {x1, x2, x3, ..., xn-1, xn}
p1 = p(x1), p2 = p(x2), ..., pn = p(xn)
Como:
0 pi 1 para i = 1, 2, ..., n
Entonces:
pi = 1 La probabilidad de que ocurra p1 o

i=1

Jorge Rami Aguirre
p2 o p3, etc. ser siempre la unidad

porque seguro ser uno de ellos.
Madrid (Espaa) 2003
Diapositiva 168
Definicin logartmica
Definiremos ci a la cantidad de informacin del
estado i, como el logaritmo en base dos de la
probabilidad de que ocurra el estado isimo.
ci
ci = - log2 (pi )
pi
0
- Logaritmo: p(xi) = 1 no hay incertidumbre: ci = 0

p(xi) = 0 mxima incertidumbre: ci
- Signo:
p(xi) < 1 log p(xi) ser negativo
- Base:
Fenmeno binario dos estados (bit)
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 169
Grado de indeterminacin
Grado de indeterminacin previo
ci =
Grado de indeterminacin posterior
Ejemplo del mago: En una bolsa hay un crculo, un
cuadrado y un tringulo: negros o blancos.
Esta ser la combinacin elegida
Combinacin n 1
Combinacin n 2
Combinacin n 3
Combinacin n 4
Si hay equiprobabilidad
entonces p(xi) = 1/8
Combinacin n 5
Combinacin n 6
Combinacin n 7
Combinacin n 8
Qu cantidad de informacin tiene cada uno de los estados?

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 170
Solucin al ejemplo del mago

Combinacin n 1
Combinacin n 2
Combinacin n 3
Combinacin n 4
Combinacin n 5
Combinacin n 6
Combinacin n 7
Combinacin n 8
Los 8 estados sern equiprobables: p(xi) = 1/8
Incertidumbre inicial Ii = 8
Daremos algunas pistas :
Veamos esto ahora

matemticamente ...
Las figuras no son del mismo color: Ii baja de 8 a 6 al

descartarse las combinaciones 1 y 8.
El crculo es blanco: Ii baja de 6 a 3 (descarte 5, 6 y 7).
Hay dos figuras blancas: Ii baja de 3 a 2 (descarte 4).
El cuadrado es negro: Ii baja de 2 a 1 (descarte 2.)
Se acaba la incertidumbre pues la solucin es la combinacin 3.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 171
Solucin matemtica al ejemplo del mago

Las figuras no son del mismo color. Ii baja de 8 a 6:
ci1 = log (8/6) = log 8 - log 6
El crculo es blanco. Ii baja de 6 a 3:

ci2 = log (6/3) = log 6 - log 3
Hay dos figuras blancas. Ii baja de 3 a 2:

ci3 = log (3/2) = log 3 - log 2
El cuadrado es negro. Ii baja de 2 a 1:

ci4 = log (2/1) = log 2 - log 1
Todas las magnitudes se pueden sumar como escalares:

ci = ci1 + ci2 + ci3 + ci4 = log 8 - log 1 = log 8
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 172
Base del logaritmo

Sean: Ii la indeterminacin inicial
If la indeterminacin final
ci = log (Ii / If) = log Ii - log If

La cantidad de informacin tiene como unidad de medida la
de un fenmeno de slo dos estados, un fenmeno binario.
Luego:
ci = logb (2/1) = logb 2 - logb 1

Si logb 2 debe ser igual a 1 entonces la base b = 2.
Precisamente a esta unidad se le llama bit (binary digit)
Ejemplo anterior: ci = log2 8 = 3
Slo 3 preguntas!
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 173
Con slo tres preguntas...

Con slo tres preguntas ms o menos inteligentes
podemos pasar de la incertidumbre total a la certeza:
Pregunta 1: Est entre la opcin 1 y la 4? S
Pregunta 2: Est entre la opcin 1 y la 2? No
Pregunta 3: Es la opcin 4? No
Combinacin n 1
Combinacin n 2
Combinacin n 3
Combinacin n 4
Combinacin n 5
Combinacin n 6
Combinacin n 7
Combinacin n 8

Jorge Rami Aguirre
Se acaba la indeterminacin
Madrid (Espaa) 2003
Diapositiva 174
Entropa de los mensajes

Si un fenmeno tiene un grado de indeterminacin
k y sus estados son equiprobables, la probabilidad
p de que se d uno de esos estados ser 1/k. Luego:
ci = log2 (k/1) = log2 [1/(1/k)] = - log2 p
Si ahora cada uno de estos estados tiene una
probabilidad distinta pi, la entropa H ser igual a
la suma ponderada de la cantidad de informacin:
H = - p1 log2 p1 - p2 log2 p2 - ... - pk log2 pk
k
H = - pi log2 pi
i=1

Jorge Rami Aguirre
Ecuacin no inmediata
Madrid (Espaa) 2003
Diapositiva 175
Definicin de entropa
La entropa de un mensaje X, que se representa por H(X),
es el valor medio ponderado de la cantidad de informacin
de los diversos estados del mensaje.
k
H(X) = - p(xi) log2 p(xi)

i=1
Esto lo
veremos ms
adelante
Es una medida de la incertidumbre media acerca de una

variable aleatoria y el nmero de bits de informacin.
El concepto de incertidumbre en H puede aceptarse. Lo que
llama la atencin es lo del nmero de bits de informacin.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 176
Propiedades de la entropa
a) La entropa es no negativa y se anula si y slo si un estado de la
variable es igual a 1 y el resto 0 (demostracin sencilla).
b) La entropa es mxima, mayor incertidumbre del mensaje,
cuando todos los valores posibles de la variable X son
equiprobables (empricamente fcil; demostracin no directa).
Si hay n estados equiprobables, entonces pi = 1/n.
Luego:
H(X) = - pi log2 pi = - n(1/n) log2 (1/n) = - (log2 1 - log2 n)
i
H(X)mx = log2 n
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 177
Codificador ptimo
Nos falta encontrar el segundo trmino pendiente en la
definicin de cantidad de informacin: codificador ptimo.
Introduciendo el signo negativo dentro del logaritmo en la
expresin de la entropa, sta nos quedar como:
H(X) = p(x) log2 [1/p(x)]
i
Veamos un ejemplo
de codificacin
La expresin log2 [1/p(x)] representa el nmero necesario de

bits para codificar el mensaje X en un codificador ptimo.
Codificador ptimo es aquel que para codificar un
mensaje X usa el menor nmero posible de bits.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 178
Codificacin con el mtodo de Huffman

Letra
Ocurrencias
Frecuencia
1 vez
2 veces
3 veces
3 veces
6 veces
Mensaje: MI MAMA ME MIMA
A
E
Creacin del rbol de

frecuencias observadas
M=1
= 01
15
Cdigo ptimo:
A = 000
A
I
I = 0010
E = 0011
Mensaje: 1 0010 01 1 000 1 000 01 1 0011 01 1 0010 1 000 (33 bits)

Pregunta: Con cuntos bits codificara si se usara ASCII? Saque conclusiones.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 179
Nmero necesario de bits y entropa

Para el mensaje M = M1M2M1M1M3M1M2M3 de 8 caracteres se pide
calcular el nmero de bits ptimo de codificacin:
Solucin:
p(M1) = 0.5; p(M2) = 0.25; p(M3) = 0.25; y obviamente p(Mi) = 1.0.
Para M1: log2 [1/ P(M1)] = log2 2 = 1 (necesitamos 1 bit)
Para M2: log2 [1/ P(M2)] = log2 4 = 2 (necesitamos 2 bits)
Para M3: log2 [1/ P(M3)] = log2 4 = 2 (necesitamos 2 bits)
Luego si M1 se codifica como 0, M2 como 10 y M3 como 11, el mensaje
M se codificar como: 0 10 0 0 11 0 10 11, es decir se transmiten 12 bits.
Si calcula la entropa de M obtendr H(M) = 1,5 y al mismo valor se llega
con el concepto de nmero medio de bits: se ha usado 12 bits para
codificar un mensaje M de 8 elementos 12/8 = 1,5 bits por elemento.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 180
Entropa condicional: equivocacin de X

Si existe una segunda
variable Y que influya
sobre X, esto nos
entregar importante
informacin adicional.
El resultado ms
interesante es que...
Laentropa
entropase
se
La
reduce:hay
hayms
ms
reduce:
ordenyymenos
menos
orden
incertidumbre.
incertidumbre.
Jorge Rami Aguirre
H(X/Y) = - p(x,y) log2 p(x,y)

x,y
Donde p(x,y) = p(y)p(x/y) y la

relacin p(x/y) es la probabilidad
de que se obtenga un estado X
conocido el valor de Y.
Luego:
H(X/Y) = - p(y) p(x/y) log2 p(x/y)

y
Madrid (Espaa) 2003
Diapositiva 181
Ejemplo de entropa condicional

Sea X = {x1, x2, x3, x4} con p(xi) = 0.25
Sea ahora Y = {y1, y2, y3} con p(y1) = 0.5; p(y2) = 0.25; p(y3) = 0.25
Luego H(X) = 4 log2 4 = 2.0 y H(Y) = 2 log2 4 + log2 2 = 1.5
Adems hay las siguientes dependencias entre X e Y:
Si Y = y1 X = x1 o x2 o x3 o x4 (cualquiera con igual probabilidad)
Si Y = y2 X = x2 o x3 (cualquiera con igual probabilidad)
Si Y = y3 X = x3 o x4 (cualquiera con igual probabilidad)
y=3
x=4
y=1
x=1
Como H(X/Y) = - p(y) p(x/y) log2 p(x/y)

H(X/Y) = - p(y1)[p(x1/y1)log2p(x1/y1) + p(x2/y1)log2p(x2/y1) + p(x3/y1)log2p(x3/y1) + p(x4/y1)log2p(x4/y1)]
- p(y2)[p(x1/y2)log2p(x1/y2) + p(x2/y2)log2p(x2/y2) + p(x3/y2)log2p(x3/y2) + p(x4/y2)log2p(x4/y2)]
- p(y3)[p(x1/y3)log2p(x1/y3) + p(x2/y3)log2p(x2/y3) + p(x3/y3)log2p(x3/y3) + p(x4/y3)log2p(x4/y3)]
Calculando, se obtiene H(X/Y) = 1.0 + 0.25 + 0.25 = 1.5. La entropa de

X ha bajado en medio bit con el conocimiento de su relacin con Y.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 182
Importancia de la entropa condicional

Equivocacin de la clave k
Cul es la probabilidad de
que a un criptograma C le
corresponda una cifra con
una clave k?
H(K/C) = - p(c) p(k/c) log2 p(k/c)

c
Servir como un parmetro para la evaluacin de la fortaleza

de un criptosistema segn equivocacin de clave y mensaje.
Equivocacin del mensaje M
Cul es la probabilidad de
que a un criptograma C le
corresponda un mensaje en
claro M?
Jorge Rami Aguirre
H(M/C) = - p(c) p(m/c) log2 p(m/c)

c
Madrid (Espaa) 2003
Diapositiva 183
Ratio r del lenguaje

Ratio r
Es el nmero de bits de informacin en cada carcter
para mensajes con una longitud igual a N caracteres.
Luego, segn la definicin de entropa, se tiene:
r = H(X)/N (bits/letra)
Si codificramos un mensaje letra a letra suponiendo
adems equiprobabilidad entre las letras, se obtiene la
ratio absoluta del lenguaje, R:
R = H(X)
castellano = 27 letras
Rcastellano = log2 n = log2 27 = 4.75 (bits/letra)
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 184
Ratio verdadera del lenguaje

Ratio verdadera
- Como las letras que aparecen en un texto no tienen
igual probabilidad, su frecuencia de aparicin es
distinta, los lenguajes est muy estructurados, hay
bloques de dos palabras (digramas) caractersticos,
trigramas, poligramas, etc., la ratio baja mucho...
1.2 < r < 1.5
- A este valor se llega codificando los mensajes con
monogramas, digramas, trigramas, etc.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 185
Significado de la ratio del lenguaje

Qu significa esto?
Si un alfabeto consta de L elementos existirn 2RN
mensajes posibles de longitud N, la entropa mxima
ser H(X)mx = log2 L, y slo habr 2rN mensajes que
tengan sentido.
Importante: No significa que podamos codificar
todos los mensajes de 27 caracteres con 2 bits (esto
sera imposible). Significa que la informacin que
contiene cada letra es tan slo de 1.5 bits.
Veamos un ejemplo
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 186
Ejemplo de ratio del lenguaje

Un subalfabeto del castellano mdulo 27 consta de 5 caracteres
A, E, O, S, T todos ellos equiprobables, lo que puede aceptarse
como representativo del lenguaje y ms o menos cierto. Cuntos
mensaje de longitud 4 existen y cuntos con sentido?
Solucin:
R = log2 5 = 2,3219, luego existirn 2R4 = 22.32194 = 625 = 54
Como 1.2 < r < 1.5 entonces cabe esperar x mensajes con sentido
de longitud 4 del orden: 21.24 < x < 21.54 es decir 27 < x < 64.
Buscando en un diccionario encontramos 45 palabras, que es
precisamente el valor medio (64+27)/2 = 45.
aeta, asas, asea, asee, aseo, ases, asta, atea, atas, ates, ateo, atoa,
atoe, atoo, osas, oses, osos, oste, otea, otee, oteo, easo, esas, eses,
esos, esta, este esto, etas, tasa, tase, taso, teas, tesa, tese, teso,
teta, seas, seso, seta, seto, sosa, sota, sote, soto.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 187
Redundancia del lenguaje

La redundancia D del lenguaje ser la diferencia
entre la ratio absoluta y la ratio real:
D=R-r
3.25 < D < 3.55
Qu significa esto?
El nmero de bits extras (bits redundantes) necesarios
para codificar un mensaje suponiendo un alfabeto de 27
caracteres (codificacin con 5 bits puesto que 25 = 32 y
24 = 16) ser aproximadamente igual a 3.5.
D/R ser un factor proporcional, luego:
68.42 < % Red. Lenguaje (D/R) < 74.73
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 188
Es nuestro lenguaje redundante?

El estudio de Shannon demuestra que la estructura del
lenguaje produce esta redundancia:
Diferencia de frecuencias de aparicin de las letras.
Existencia de digramas comunes.
Y nuestra misin es
crear algoritmos que
Existencia de trigramas comunes.
sean seguros y eviten
Existencia de poligramas comunes. estos ataques.
Estructuracin de frases y oraciones con sentido.
Esto dar pistas al criptoanalista para atacar un sistema.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 189
Un ejemplo de redundancia (parte 1)

Todos los lenguajes sern redundantes. Esto quiere
decir que la misma cantidad de informacin se puede
entregar con menos smbolos o bits.
Sea el siguiente mensaje M = HBNVZNCRC

1a ayuda:
En el mensaje original se han quitado las vocales.
Esto nos permite suponer que entre consonantes habr cero,
una, dos o tres vocales, segn reglas del lenguaje...
M = __H__B__N__V__Z__N__C__R__C__
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 190

Tenamos el mensaje M = HBNVZNCRC y adems
M = __H__B__N__V__Z__N__C__R__C__
2a ayuda:
El mensaje original contiene cinco palabras.
Esto nos permite limitar el nmero de mensajes posibles
que tengan sentido. En estas condiciones podran existir
muchos mensajes de 5 palabras, aunque no cumpliesen de
forma lgica con las reglas del lenguaje. Un ejemplo
podra ser...
M = AH BUENO AVE ZONA CERCA

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 191

Tenamos el mensaje M = HBNVZNCRC y adems
M = __H__B__N__V__Z__N__C__R__C__
M = AH BUENO AVE ZONA CERCA
3a ayuda y siguientes:
a) El mensaje original tiene que ver con un circo.
b) Corresponde al estribillo de una cancin infantil.
c) Los espacios estn en: M = HB N VZ N CRC.
Seguro que habr adivinado ya el mensaje....
M = HABA UNA VEZ UN CIRCO

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 192
Redundancia y entropa condicional

El ejemplo anterior, adems de demostrar que todos los
lenguajes son redundantes, es un claro exponente de lo que se
entiende en la prctica por entropa condicional.
Cada vez que vamos dando nuevas pistas, disminuye la
incertidumbre del mensaje hasta que sta se anula y por lo
tanto la entropa es igual a 0 ya que existe un nico mensaje
posible con probabilidad igual a la unidad.
Algo similar ocurre cuando resolvemos un crucigrama y lo
anteriormente resuelto nos sirve como pistas para descubrir
palabras nuevas. Mientras ms palabras tengamos, ms fcil
se hace avanzar en su resolucin.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 193
Secreto de un sistema criptogrfico

Shannon midi el secreto de un criptosistema como la
incertidumbre del mensaje en claro conocido el
criptograma recibido:
p(M) = 1
Mensajes
M = {M1, M2, ..., M3}
M
Criptogramas C = {C1, C2, ..., C3}
p(C) = 1
Claves
p(K) = 1
K = {K1, K2, ..., K3}
Cuando tendr nuestro sistema un secreto perfecto?

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 194
Definiciones previas secreto criptogrfico

p(M): Probabilidad de enviar un mensaje M. Si
hay n mensajes Mi equiprobables, p(Mi) = 1/n.
p(C): Probabilidad de recibir un criptograma C. Si
cada uno de los n criptogramas recibidos Ci es
equiprobable, p(Ci) = 1/n.
pM(C): Probabilidad de que, a partir de un texto en
claro Mi, se obtenga un criptograma Ci.
pC(M): Probabilidad de que, una vez recibido un
criptograma Ci, ste provenga de un texto claro Mi.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 195
Secreto criptogrfico perfecto (1)

Un sistema tiene secreto perfecto si el conocimiento del texto
cifrado no proporciona ninguna informacin acerca del
mensaje. Es decir, cuando la probabilidad de acierto al recibir
el elemento i +1 es la misma que en el estado i.
Secreto perfecto
p(M) = pC(M)
La probabilidad p de enviar un mensaje M con texto en claro p(M) o

probabilidad a priori ser igual a la probabilidad p de que, conocido
un criptograma C, ste se corresponda a un mensaje M cifrado con la
clave K. Esta ltima (probabilidad a posteriori) es pC(M).
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 196

La probabilidad p de recibir un texto cifrado C al
cifrar un mensaje M usando una clave K ser pM(C).
Luego, M debe haberse cifrado con alguna clave K:
pM(C) = p(K)
donde EK(M) = C
kj / Ekj(Mi) = Ci
En el fondo esto viene a significar que para lograr un
secreto perfecto, el espacio de claves debe ser al
menos de igual tamao que el espacio de mensajes.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 197

La condicin necesaria y suficiente del secreto
perfecto es que para cualquier valor de M se
cumpla que la probabilidad de recibir C,
resultado de la cifra de un mensaje M con una
clave K, sea la misma que recibir el criptograma
C, resultado de la cifra de otro mensaje M
distinto, cifrado con otra clave.
pM(C) = p(C)
para todo valor de M
Jorge Rami Aguirre
Veamos algunos
ejemplos
Madrid (Espaa) 2003
Diapositiva 198
Cifrador con secreto perfecto

Sea el siguiente escenario:
Espacio de Mensajes
M1
Espacio de Claves
k1
k3
k2
k2
M2
k3
k1
k3
M3
Jorge Rami Aguirre
para todo M
Madrid (Espaa) 2003
C2
C3
pM(C) =1/3
C1
k1
k2
p(M) = 1/3
Espacio de Cifrados
p(C) = 1/3
pC(M) = 1/3
Diapositiva 199
Cifrador sin secreto perfecto (1)

Sea ahora el siguiente escenario:
p(M1) = 1/3
Espacio de Mensajes
p(M2) = 1/3
M1
p(M3) = 1/3
M2
M3
Espacio de Claves
Espacio de Cifrados
k1
k3
k2
k2
k3
k1
k3
k1
k2
Algo ms
p(C1) = 3/9
C1
p(C2) = 2/9
C2
p(C3) = 2/9
C3
p(C4) = 2/9
C4
Probabilidad de que un mensaje Mi se convierta en un criptograma Ci: [PMi(Ci)]

y que un criptograma Ci sea el resultado de la cifra de un mensaje Mi: [PCi(Mi) ]?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 200
Cifrador sin secreto perfecto (2)

Esquema anterior:
M1
M2
k1
k3
k2
k2
K1
pC1(M1) = 1/3 pC1(M2) = 1/3 pC1(M3) = 1/3

pC2(M1) = 1/2 pC2(M2) = 1/2 pC2(M3) = 0
C2
k3
K3
M3
C1
k1
k2
C3
pC3(M1) = 1/2 pC3(M2) = 0

pC4(M1) = 0
pC3(M3) = 1/2
pC4(M2) = 1/2 pC4(M3) = 1/2
C4
pM1(C1) = 1/3
pM1(C2) = 1/3 pM1(C3) = 1/3 pM1(C4) = 0
pM2(C1) = 1/3
pM2(C2) = 1/3 pM2(C3) = 0
pM3(C1) = 1/3
pM3(C2) = 0

Jorge Rami Aguirre
pM3(C3) = 1/3 pM3(C4) = 1/3
Madrid (Espaa) 2003
pM2(C4) = 1/3
Diapositiva 201
Distancia de unicidad
Se entender por Distancia de Unicidad al bloque N de
texto cifrado o criptograma mnimo necesario para que se
pueda intentar con ciertas expectativas de xito un ataque
en bsqueda de la clave usada para cifrar.
Este valor se obtiene cuando la equivocacin de la clave
HC(K) se acerca a cero o tiende a anularse.
A medida que tenga un criptograma ms largo, y por tanto
ms informacin, se supone que la tarea de ataque del
criptoanalista se va facilitando.
Se busca el tamao N de criptograma que permita
esperar que la solucin de K sea nica. Se supondr
un cifrador aleatorio Modelo de Hellmann
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 202
Parmetros del modelo de Hellman (1)

Existirn 2RN mensajes posibles de longitud N.
Existirn 2rN mensajes de longitud N con sentido.
El espacio de mensajes de longitud N se dividir:
Mensajes con sentido: MCS = 2rN
Mensajes sin sentido: MSS = 2RN - 2rN
Los 2rN mensajes con sentido sern equiprobables

siendo su valor p(MCS) = 1/2rN = 2-rN
El resto de mensajes (2RN - 2rN) tendr una
probabilidad nula p(MSS) = 0.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 203
Parmetros del modelo de Hellman (2)
Existirn 2H(K) claves equiprobables.

En donde H(K) es la entropa de la clave.
Con p(K) = 1/2H(K) = 2-H(K)
Con estas claves se cifrarn todos los mensajes
con sentido dando lugar a 2RN textos cifrados
posibles de longitud N.
Los criptogramas obtenidos sern equiprobables.
Por sencillez, veremos el modelo de cifrador
aleatorio de Hellman slo con dos claves k1 y k2.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 204
Esquema de cifrador aleatorio de Hellmann

Espacio de Mensajes
M1
Espacio de Claves
Espacio de Cifrados
k1
C1
k2
M2
C2
k1
k2
k2
M3
C3
k1
k1
SV: Un criptograma est asociado

slo a un texto en claro con sentido
cifrado con una nica clave ki.
SF: Cualquier otra solucin de
cifra distinta a la anterior.
k2
M4
C4
C5
SV: C3 = Ek1(M5)
C4 = Ek1(M2)
C6
C6 = Ek2(M1)
C7 = Ek1(M3)
C9 = Ek1(M6)
C10 = Ek2(M6)
k1
M5
k2
M6
k1
k2
M7
M10
Falsas SF
Verdaderas SV
M8
M9
Soluciones:
SF C2: Condicin obvia

SF C5: Condicin dbil
SF C1: Condicin fuerte

Jorge Rami Aguirre
C7
C8
SF: C2 = Ek1(M4)
C2 = Ek2(M4)
C9
C5 = Ek2(M2)
C5 = Ek2(M5)
C1 = Ek1(M1)
C1 = Ek2(M3)
C10
Madrid (Espaa) 2003
Diapositiva 205
Clculo de la distancia de unicidad (1)

Para cada solucin correcta de un texto M cifrado con
una clave k del espacio 2H(K), existirn otras (2H(K)-1)
claves con la misma probabilidad de entregar una
solucin falta SF.
Sea q la probabilidad de obtener un mensaje con sentido:
q = 2rN / 2RN = 2(r - R)N = 2-DN

Luego:
SF = (2H(K)-1) q = (2H(K)-1) 2-DN = 2H(K) - DN - 2-DN
SF 2H(K) - DN
Jorge Rami Aguirre
log2 SF = H(K) - DN
Madrid (Espaa) 2003
Diapositiva 206
Clculo de la distancia de unicidad (2)

La solucin SF = 0 es imposible porque slo se llega a
ella de forma asinttica con un valor de N infinito como
se muestra en la diapositiva siguiente.
Se acepta entonces que haya como mximo una sola
solucin falsa, de ah su nombre de unicidad, luego:
SF = 2H(K) DN
SF = 1
H(K) - DN = 0
Por lo tanto:
N = H(K) / D
Jorge Rami Aguirre
Nmero mnimo de bytes o caracteres

en C para intentar un ataque.
Madrid (Espaa) 2003
Diapositiva 207
Ejemplos de distancia de unicidad

Para el cifrador del Csar mdulo 27 en el que la clave es b, todos
los posibles desplazamientos de caracteres, 1 b 26, su entropa
H(X) = log2 26 = 4.7 bits por lo que N = 4.7/3.4 = 1.4 caracteres.
Para el mismo cifrador del Csar pero con clave, si el alfabeto tiene n
caracteres, existirn n! posibles claves. En este caso la entropa de la
clave puede aproximarse como H(X) = log2 27! 27log2 (27/e), por
lo que N = 27log2 (27/2.72)/3.4 = 27.4 caracteres.
En el sistema DES la clave verdadera es de 56 bits por lo que su
entropa H(X) = 56. Si el mensaje slo contiene letras maysculas
(27 elementos) podramos decir que N = 56/3.4 = 16,5 caracteres.
Nota: aunque el valor de N sea ahora ms bajo no quiere decir en
absoluto que el DES sea menos seguro que el cifrador del Csar con
clave. Este ltimo se puede atacar fcilmente con estadsticas del
lenguaje muy elementales y el DES no. Adems, recuerde que debe
contar con un criptograma varias veces mayor que el valor de N si
desea que su criptoanlisis tenga alguna posibilidad de xito.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 208
Cantidad de trabajo Q
Cantidad de Trabajo
Q
(B)
(A)
(C) Solucin nica

(D)
n
H(M/C)
N
Cantidad de caracteres
(A) Inicialmente hay que hacer un arduo trabajo para obtener algo
coherente. Habr muchas soluciones falsas.
(B) Cuando se tiene una cantidad adecuada de texto cifrado, la
cantidad de trabajo disminuye. Se descartan algunas soluciones.
(C) Cuando se anula la equivocacin de la clave, H(M/C) = 0,
disminuyen las soluciones falsas y la solucin tiende a ser nica.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 209
El uso de tcnicas de difusin

Para lograr un mayor secreto en las operaciones de cifra,
Shannon propuso usar dos tcnicas: difusin y confusin.
Difusin: es la transformacin sobre el texto en claro con el
objeto de dispersar las propiedades estadsticas del lenguaje
sobre todo el criptograma. Se logra con transposiciones.
TRANSPOSICIONES
La transposicin consiste bsicamente en una permutacin, es

decir, cambiar los caracteres de lugar segn una regla, una
funcin, etc. Por ejemplo el carcter primero se posiciona en
el lugar cuarto, el segundo en el lugar tercero, etc.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 210
El uso de tcnicas de confusin

Confusin: Transformacin sobre el texto en claro con objeto
de mezclar los elementos de ste, aumentando la complejidad
de la dependencia funcional entre clave y criptograma. Se
obtiene a travs de sustituciones.
SUSTITUCIONES
La sustitucin consiste bsicamente modificar la informacin,

es decir, sustituir un carcter por otro de acuerdo a una regla,
una funcin, etc. Por ejemplo cambiar la letra A por la letra
M, la letra B por la letra X , etc.
Ambas tcnicas sern usadas en los sistemas clsicos y
aunque no parezca, tambin lo usar el cifrador DES.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Fin del Tema 4

Diapositiva 211
1. Al despertar ponemos la radio y escuchamos noticias que no nos
llaman la atencin. Por qu decimos que no haba informacin?
2. Justifique la definicin logartmica de cantidad de informacin, es
decir la razn de que ci = - log (pi).
3. Por qu usamos la base 2 en el logaritmo que define ci?
4. Cul es el nmero mnimo e inteligente- de preguntas que hay que
hacer para pasar de la incertidumbre a la certeza en un sistema de n
estados equiprobables? Y si no son equiprobables?
5. Por qu la entropa es no nula y se anula s y slo si uno de los
estados de la variable es igual a la unidad?
6. Codificamos en binario un sistema con 256 estados equiprobables.
Si no usamos un codificador ptimo, cuntos bits son necesarios?
Mediante un codificador ptimo, usaremos ms o menos bits?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 212
7. Qu representa la expresin log2 [1/p(x)] en la entropa H(X)? Si
p(x1)=0,6; p(x2)=0,3; p(x3)=0,1 calcule log2 [1/p(x)] qu opina?
8. Definimos un alfabeto con 71 elementos (maysculas y minsculas,
minsculas acentuadas, nmeros, punto y coma). Si estos elementos
son equiprobables, cul es la ratio absoluta de este alfabeto?
9. La ratio verdadera es mayor o menor que la absoluta? Por qu?
10. Un alfabeto consta de 8 elementos equiprobables. Cuntos posibles
mensajes de tamao 4 existen? De stos, cuntos mensajes podran
tener sentido si esos 8 elementos representan al idioma castellano?
11. Cundo decimos que un sistema tiene secreto perfecto? En un
sistema real, es eso posible? Piense en algn ejemplo y comntelo.
12. Por qu se dice que hay que minimizar las soluciones falsas SF en
el modelo de Hellman para romper la clave? Es la clave k nica?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 213
Tema 5
Teora de los Nmeros
v 3.1
Material Docente de
Libre Distribucin
Jorge Rami Aguirre

Conceptos bsicos de congruencia

Es la base matemtica (matemticas discretas) en
la que se sustentan las operaciones de cifra.
Concepto de congruencia:
Sean dos nmeros enteros a y b: se dice que a es
congruente con b en el mdulo o cuerpo n (Zn) si y
slo si existe algn entero k que divide de forma
exacta la diferencia (a - b)
a-b=kn
anb
a b mod n
Jorge Rami Aguirre
Tema 5: Teora de los Nmeros
Madrid (Espaa) 2003
Diapositiva 216
Operaciones de congruencia en Zn
Es 18 congruente con 3 mdulo 5?
18 3 mod 5?
S, porque: 18-3 = 15 = k5 con k = 3
Cmo se usar esto en criptografa?
Esta operacin en Zn se expresar as:
18 mod 5 = 3
El valor 3 ser el resto o residuo.
El conjunto de nmeros que forman los restos dentro de
un cuerpo Zn sern muy importantes en criptografa.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 217
Propiedades de la congruencia en Zn
Propiedad Reflexiva:
a a mod n a Z
Propiedad Simtrica:
a b mod n b a mod n a,b Z
Propiedad Transitiva:
Si

Jorge Rami Aguirre
a b mod n y b c mod n
a c mod n a,b,c Z
Madrid (Espaa) 2003
Diapositiva 218
Propiedades de las operaciones en Zn (1)

Propiedad Asociativa:
a + (b + c) mod n (a + b) + c mod n
Propiedad Conmutativa:
a + b mod n b + a mod n
a b mod n b a mod n
Se usar el signo =
en vez de
(algo propio de los
Campos de Galois)
Propiedad Distributiva:
a (b+c) mod n ((a b) + (a c)) mod n
a (b+c) mod n = ((a b) + (a c)) mod n
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 219
Propiedades de las operaciones en Zn (2)

Existencia de Identidad:
a + 0 mod n = 0 + a mod n = a mod n = a
a 1 mod n = 1 a mod n = a mod n = a
Existencia de Inversos:
a + (-a) mod n = 0
a (a-1) mod n = 1 (si a 0)
Ambos importantes en
criptografa
No siempre existe
Reducibilidad:
(a + b) mod n = [(a mod n) + (b mod n)] mod n
(a b) mod n = [(a mod n) (b mod n)] mod n
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 220
Conjunto completo de restos CCR

Para cualquier entero positivo n, el conjunto
completo de restos ser CCR = {0, 1, 2, ... n-1},
es decir:
aZ
! ri CCR / a ri mod n
CCR (11) = {0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10}

CCR (6) = {0, 1, 2, 3, 4, 5} = {12, 7, 20, 9, 16, 35}
El segundo conjunto es equivalente: 12 0, 7 1...
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 221
Homomorfismo de los enteros

Enteros
Enteros mod n
a1 , a2
(a1 mod n), (a2 mod n)

es lo mismo que
Esta operacin ...
esta otra
op (y posterior reduccin mod n)

(a1 op a2) mod n

Jorge Rami Aguirre
op
(a1 mod n) op (a2 mod n) mod n
Madrid (Espaa) 2003
Diapositiva 222
Un ejemplo de homomorfismo
Ejemplo: una calculadora capaz de
trabajar slo con tres dgitos ...
8893
93mod
mod13
13
88
8.184 mod
mod13
13
8.184
Solucin por homomorfismo:
Resultado:77
Resultado:
88 93 mod 13
[(88) mod 13 (93) mod 13] mod 13
10 2 mod 13
20 mod 13 Resultado: 7
Se desbordara
la memoria de
nuestro sistema
se llega a lo mismo, pero...
Ahora ya no
se desborda
la memoria

Jorge Rami Aguirre
... y hemos usado siempre nmeros de 3

dgitos. En este caso la operacin mxima
sera 1212 = 144, es decir tres dgitos.
Madrid (Espaa) 2003
Diapositiva 223
Divisibilidad de los nmeros

En criptografa muchas veces nos interesar encontrar el
mximo comn denominador mcd entre dos nmeros a y b.
Para la existencia de inversos en un cuerpo n, la base a y el
mdulo n debern ser primos entre s. mcd (a, n) = 1
Algoritmo de Euclides:
a) Si x divide a a y b a = x a y b = x b
b) Por lo tanto: a - k b = x a - k x b
a - k b = x (a - k b)
c) Entonces se concluye que x divide a (a - k b)
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 224
El mximo comn denominador mcd

Como hemos llegado a que x divide a (a k b) esto nos
permitir encontrar el mcd (a, b):
Si a > b
entonces
a = d1 b + r
(con di un entero y r un resto)

Luego
mcd (a, b) = mcd (b ,r)
(a > b > r 0)
porque:
Si b > r
entonces
b = d2 r + r
(con r un entero y r un resto)

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 225
Divisibilidad con algoritmo de Euclides

mcd (148, 40)
148 = 3 40 + 28
148 = 22 37
40 = 23 5
Factor comn
22 = 4
40 = 1 28 + 12
mcd (385, 78)

385 = 4 78+ 73
78 = 1 73 + 5
28 = 2 12 + 4
73 = 14 5 + 3
12 = 3 4 + 0
5 = 1 3 + 2
mcd (148, 40) = 4

Ser importante
en criptografa
Jorge Rami Aguirre
No hay
factor comn
385 = 5 7 11
78 = 2 3 13
Madrid (Espaa) 2003
3 = 1 2 + 1
2=21+0
mcd (385, 78) = 1
Diapositiva 226
Inversin de una operacin de cifra

En criptografa deber estar permitido invertir una
operacin para recuperar un cifrado descifrar.
Si bien la cifra es una funcin, en lenguaje coloquial
la operacin de cifrado sera una multiplicacin y la
operacin de descifrado una divisin.
La analoga anterior slo ser vlida en el cuerpo de
los enteros Zn con inverso.
Luego, si en una operacin de cifra la funcin es el
valor a dentro de un cuerpo n, deberemos encontrar el
inverso a-1 mod n para descifrar; en otras palabras ...
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 227
Inversos en un cuerpo
Si a x mod n = 1
x ser el inverso multiplicativo (a-1) de a en el mdulo n
No siempre existen los inversos multiplicativos. En
realidad lo raro es que existan.
Por ejemplo, en Z = 2 no existirn inversos pues la
nica solucin para ax mod 2 = 1, con a, x = {0, 1},
sera x = 1 para a = 1, una solucin trivial. El cero
nunca ser solucin del inverso multiplicativo.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 228
Existencia del inverso por primalidad

inverso a-1 en mod n ssi mcd (a, n) = 1
Si mcd (a,n) = 1, el resultado de ai mod n (para i todos los
restos de n) sern valores distintos dentro del cuerpo n.
mcd (a, n) = 1 x ! 0<x<n / a x mod n = 1
Sea: a = 4 y n = 9.
S
O
L
U
C
I
N
I
C
A
Valores de i = {1, 2, 3, 4, 5, 6, 7, 8}
41 mod 9 = 4
42 mod 9 = 8
43 mod 9 = 3
44 mod 9 = 7
45 mod 9 = 2
46 mod 9 = 6
47 mod 9 = 1
48 mod 9 = 5

Jorge Rami Aguirre
Madrid (Espaa) 2003
Si mcd (a,n) 1
Diapositiva 229
Inexistencia de inverso (no primalidad)

Y si no hay primalidad entre a y n?
Si mcd (a, n) 1
No existe ningn x que
Sea: a = 3 y n = 6
0 < x < n / a x mod n = 1
Valores de i = {1, 2, 3, 4, 5}
31 mod 6 = 3
32 mod 6 = 0
34 mod 6 = 0
35 mod 6 = 3
33 mod 6 = 3
No existe el inverso para ningn resto del cuerpo.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 230
Inversos aditivos y multiplicativos

(A+B) mod 5
B + 0 1 2
A 0 0 1 2
1 1 2 3
2 2 3 4
3 3 4 0
4 4 0 1
3
3
4
0
1
2
4
4
0
1
2
3
(AB) mod 5
B 0 1 2
A 0 0 0 0
1 0 1 2
0+0 = 0
2 0 2 4
11 = 1
Es trivial
3 0 3 1
4 0 4 3
3
0
3
1
4
2
4
0
4
3
2
1
o En la operacin suma siempre existir el inverso o valor identidad

de la adicin (0) para cualquier resto del cuerpo.
o En la operacin producto, de existir un inverso o valor de identidad
de la multiplicacin (1) ste es nico. La condicin para ello es que
el nmero y el mdulo sean primos entre s. Por ejemplo para n = 4,
el resto 2 no tendr inverso multiplicativo, en cambio el resto 3 s.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 231
Conjunto reducido de restos CRR

El conjunto reducido de restos, conocido como
CRR de n, es el subconjunto {0, 1, ... ni, ... n-1}
de restos primos con el grupo n.
Si n es primo, todos los restos sern primos con l.
Como el cero no es una solucin, entonces:
CRR = {1, ..., ni, ... n-1} / mcd (ni, n) = 1
Ejemplo: CRR mod 8 = {1, 3, 5, 7}
CRR mod 5 = {1, 2, 3, 4}
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 232
Utilidad del CRR

Qu utilidad tiene esto en criptografa?
El conocimiento del CRR permitir aplicar un algoritmo
para el clculo del inverso multiplicativo de un nmero x
dentro de un cuerpo o grupo n a travs de la funcin (n),
denominada Funcin de Euler o Indicador de Euler.
Ser muy importante tanto en los sistemas
simtricos que trabajan en un mdulo (con
excepcin del DES) como en los sistemas
asimtricos. En ambos casos la cifra y las
claves estn relacionadas con el CRR.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 233
Funcin de Euler (n)

Funcin (n) de Euler
Entregar el nmero de elementos del CRR.
Podremos representar cualquier nmero n de estas
cuatro formas:
a) n es un nmero primo.
b) n se representa como n = pk con p primo y k entero.
c) n es el producto n = pq con p y q primos.
d) n es un nmero cualquiera (genrico).
n = p1 p2 ...
e1

Jorge Rami Aguirre
e2
ptet
=
i=1
piei
Madrid (Espaa) 2003
Veamos cada
uno de ellos
Diapositiva 234
Funcin (n) de Euler (n = p)

Caso 1: n es un nmero primo
Si n es primo, (n) ser igual a CCR menos el 0.
(n) = n - 1
Se usar en sistemas ElGamal y DSS
Si n es primo, entonces CRR = CCR - 1 ya que todos

los restos de n, excepto el cero, sern primos entre s.
Ejemplo
CRR(7) = {1,2,3,4,5,6} seis elementos

(7) = n - 1 = 7-1 = 6
(11) = 11-1 = 10; (23) = 23-1 = 22

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 235
Funcin (n) de Euler (n = pk)

Caso 2: n = pk (con p primo y k un entero)
(n) = (pk) = pk - pk-1
(pk) = pk-1(p-1)
De los pk elementos del CCR, restaremos todos los

mltiplos 1p, 2p, 3p, ...(pk-1-1)p y el cero.
Ejemplo
CRR(16) = {1,3,5,7,9,11,13,15} ocho elementos

(16) = (24) = 24-1(2-1) = 231 = 8
(125) = (53) = 53-1(5-1) = 524 = 254 = 100

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 236
Funcin (n) de Euler (n = pq) (1)

Caso 3: n = pq (con p y q primos)
(n) = (pq) = (p)(q) = (p-1)(q-1)
De los pq elementos del CCR, restaremos todos los
mltiplos de p = 1p, 2p, ... (q - 1)p, todos los
mltiplos de q = 1q, 2q, ... (p - 1)q y el cero.
(pq) = pq - [(q-1) + (p-1) +1] = pq - q - p + 1
(p-1)(q-1)
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 237
Funcin (n) de Euler (n = pq) (2)

Ejemplo
CRR(15) = {1,2,4,7,8,11,13,14} ocho elementos

(15) = (35) = (3-1)(5-1) = 24 = 8
(143) = (1113) = (11-1)(13-1) = 1012 = 120
Ser una de las funciones ms utilizadas ya

que es la base del sistema RSA que durante
muchos aos ha sido un estndar de hecho.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 238
Funcin (n) de Euler (n = genrico)

Caso 4: n = p1e1p2e2 ... ptet
(pi son primos)
(n) = piei-1 (pi - 1)

Ejemplo
i=1
(demostracin no inmediata)
CRR(20) = {1, 3, 7, 9, 11, 13, 17, 19} ocho elementos

(20) = (22 5) = 22-1(2-1)51-1(5-1) = 21114 = 8
(360) = (23 325) = 23-1(2-1)32-1(3-1)51-1(5-1) = 96
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 239
Teorema de Euler
Dice que si mcd (a,n) = 1 a(n) mod n = 1
Ahora igualamos ax mod n = 1 y a(n) mod n = 1
a(n) a-1 mod n = x mod n

x = a(n)-1 mod n
El valor x ser el inverso de a en el cuerpo n

Nota: Observe que se ha dividido por a en el clculo anterior.
Esto se puede hacer porque mcd (a, n) = 1 y por lo tanto hay
un nico valor inverso en el cuerpo n que lo permite.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 240
Clculo de inversos con Teorema Euler

Ejemplo
Cul es el inverso de 4 en mdulo 9?
inv (4, 9)
Pregunta: Existe a x mod n = 4 x mod 9 = 1?

Como mcd (4, 9) = 1 S ... aunque 4 y 9 no son primos.
(9) = 6 x = 46-1 mod 9 = 7
74 = 28 mod 9 = 1
Resulta obvio que: inv (4, 9) = 7 e inv (7, 9) = 4

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 241
Teorema de Euler para n = pq

Si el factor a es primo relativo con n y n es el
producto de 2 primos, seguir cumplindose el
Teorema de Euler tambin en dichos primos.
Por ejemplo:
En el captulo
Si n = pq (n) = (p-1)(q-1)
dedicado a la
cifra con clave
a / mcd {a, (p,q)} = 1
pblica RSA,
se cumple que:
relacionaremos
este tema con el
a(n) mod p = 1
Teorema del
(n)
a mod q = 1
Resto Chino.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 242
Ejemplo Teorema de Euler para n = pq

Sea
n = pq = 711 = 77
(n) = (p - 1)(q - 1) = (7 - 1)(11 - 1) = 610 = 60
Si k = 1, 2, 3, ...
Para a = k7
a(n) mod n = k760 mod 77 = 56
Para a = k11
a(n) mod n = k1160 mod 77 = 22
Para a k7,11 a(n) mod n = a60 mod 77 = 1
Y se cumple que:
Para a k7,11 a(n) mod p = a60 mod 7 = 1
a(n) mod q = a60 mod 11 = 1
En caso contrario:
a(n) mod p = 0
a(n) mod q = 0
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 243
Teorema de Fermat
Si el cuerpo de trabajo n es un primo p
mcd (a, p) = 1 a(p) mod p = 1
Entonces a x mod p = 1 y a(n) mod p = 1
Adems, en este caso (p) = p-1 por lo que igualando las
dos ecuaciones de arriba tenemos:
a(p) a-1 mod p = x mod p

x = ap-2 mod p
Luego x ser e inverso de a en el primo p.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 244
Qu hacemos si no se conoce (n)?

Calcular ai mod n cuando los valores de i y a son
grandes, se hace tedioso pues hay que utilizar la
propiedad de la reducibilidad repetidas veces.
Si no conocemos (n) o no queremos usar el
teorema de Euler/Fermat, siempre podremos
encontrar el inverso de a en el cuerpo n usando el
Algoritmo Extendido de Euclides
Es el mtodo ms rpido y prctico
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 245
Algoritmo Extendido de Euclides AEE

Si mcd (a, n) = 1 a x mod n = 1 x = inv (a, n)
Luego podemos escribir:
n = C1a + r1
a > r1
a = C2r1+ r2
r1> r2
r1 = C3r2+ r3
r2> r3
...
...
rn-2 = Cnrn-1 + 1 rn-1> 1
rn-1 = Cn+11 + 0
Concluye el algoritmo
Jorge Rami Aguirre
Sivolvemos
volvemoshacia
hacia
Si
atrsdesde
desdeeste
este
atrs
valor,obtenemos
obtenemos
valor,
inversode
deaaen
en
elelinverso
cuerpon.n.
elelcuerpo
Madrid (Espaa) 2003
Diapositiva 246
Tabla de restos del AEE

Ordenando por restos desde el valor 1 se llega a una expresin
del tipo (k1 n + k2 a) mod n = 1, en donde el inverso de a en
n lo dar el coeficiente k2 puesto que k1 n mod n = 0.
C1
C2
C3
C4
...
Cn-1 Cn
r1
r2
r3
...
rn-2
Cn+1
rn-1
Vuelta hacia atrs
(k1 n + k2 a) mod n = 1

Jorge Rami Aguirre
Tabla de restos
Madrid (Espaa) 2003
Diapositiva 247
Clculo de inversos con el AEE

Encontrar el inv (9, 25) por el mtodo de restos de Euclides.
a) 25 = 29 + 7
7 = 25 - 29
7 = 25 - 29
b) 9 = 17 + 2
2 = 9 - 17
2 = 9 - 1(25 - 29) = 39 -125
c) 7 = 32 + 1
1 = 7 - 32
1 = (25 - 29) - 3(39 -125)
d) 2 = 21 + 0
restos
1 = 425 - 119 mod 25
Tabla de Restos
25
Elinv
inv(9,25)
(9,25)==-11
-11
El

Jorge Rami Aguirre
-11++25
25==14
14
-11
Madrid (Espaa) 2003
inv(9,
(9,25)
25)==14
14
inv
Diapositiva 248
Algoritmo para el clculo de inversos

Para encontrar x = inv (A, B)
Hacer (g0, g1, u0, u1, v0, v1, i) = (B, A, 1, 0, 0, 1, 1)
Mientras gi 0 hacer
i
yi
Hacer yi+1 = parte entera (gi-1/gi)
0
Hacer gi+1 = gi-1 - yi+1 gi
Hacer ui+1 = ui-1 - yi+1 ui
1
Hacer vi+1 = vi-1 - yi+1 vi
2
2
Hacer i = i+1
3
1
Si (vi-1 < 0) x = inv (9, 25) = -11+25 = 14
4
3
Hacer vi-1 = vi-1 + B
5
2
Hacer x = vi-1
Ejemplo
Jorge Rami Aguirre
Madrid (Espaa) 2003
x = inv (A, B)
x = inv (9, 25)
gi
ui
vi
25
-2
-1
-11
-9
25
Diapositiva 249
Caractersticas de inversos en n = 27
Para el alfabeto castellano con maysculas (n = 27) tenemos:
x
1
2
4
5
7
8
inv (x, 27)

1
14
7
11
4
17
x
10
11
13
14
16
17
inv (x, 27)

19
5
25
2
22
8
x
19
20
22
23
25
26
inv (x, 27)

10
23
16
20
13
26
27 = 33 luego no existe inverso para a = 3, 6, 9, 12, 15, 18, 21, 24.

inv (x, n) = a inv (a, n) = x
inv (1, n) = 1
Jorge Rami Aguirre
Inversos en sistemas de
cifra clsicos orientados a
alfabetos de 27 caracteres.
Madrid (Espaa) 2003
Diapositiva 250
Habr inversos si mcd (a, n) 1?

Pueden existir inversos?
No, pero...
Si a x mod n = b con b 1 y mcd (a, n) = m, siendo
m divisor de b, habr m soluciones vlidas.
Esto no nos sirve en criptografa ...
6x mod 10 = 4
mcd (6, 10) = 2
No existe inv (6, 10) pero ... habr 2 soluciones vlidas
64 mod 10 = 24 mod 10 = 4
x1 = 4
x2 = 9
69 mod 10 = 54 mod 10 = 4

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 251
Teorema del Resto Chino TRC

Si n = d1d2d3 ... dt
El sistema de ecuaciones:
x mod di = xi
con di = piei (p primo)

(i = 1, 2, 3, ... t)
tiene una solucin comn en [0, n-1]

t
x = (n/di)yixi mod n
desarrollo
i=1
con yi = inv [(n/di), di]

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 252
Ejemplo de aplicacin del TRC (1)

Encontrar x de forma que :
12 x mod 3.960 = 36
Tenemos la ecuacin genrica: a xi mod di = b
n = 3.960 n = 2332511 = d1d2d3d4 = 89511
a = 12
b = 36
Como n d4, existirn 4 soluciones de xi
ax1 mod d1 = b mod d1
12x1 mod 8 = 36 mod 8 = 4
12x2 mod 9 = 36 mod 9 = 0
12x3 mod 5 = 36 mod 5 = 1
12x4 mod 11 = 36 mod 11 = 3
4 ecuaciones en x
Jorge Rami Aguirre
Madrid (Espaa) 2003
Resolviendo para xi
Diapositiva 253

x1 = 1
x2 = 0
x3 = 3
x4 = 3
4 ecuaciones en x
12x1 mod 8 = 4 4x1 mod 8 = 4
12x2 mod 9 = 0 3x2 mod 9 = 0
x2 = 0
12x3 mod 5 = 1 2x3 mod 5 = 1
x3 = 3
12x4 mod 11 = 3 1x4 mod 11 = 3

Jorge Rami Aguirre
Madrid (Espaa) 2003
x1 = 1
x4 = 3
Diapositiva 254

Resolvemos ahora la
ecuacin auxiliar del
Teorema Resto Chino
y1 = 7
y2 = 8
y3 = 3
y4 = 7
yi = inv [(n/di), di]

y1 = inv [(n/d1), d1] y1 = inv[(3960/8),8] = inv (495,8)
y2 = inv [(n/d2), d2] y2 = inv[(3960/9),9] = inv (440,9)
y3 = inv [(n/d3), d3] y3 = inv[(3960/5),5] = inv (792,5)
y4 = inv[(n/d4), d4] y4 = inv[(3960/11),11] = inv(360,11)
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 255

x1 = 1
x2 = 0
x3 = 3
x4 = 3
y1 = 7
y2 = 8
y3 = 3
y4 = 7
Aplicando ecuacin del Resto Chino

para el caso 12 x mod 3.960 = 36
con d1 = 8, d2 = 9, d3 = 5, d4 = 11:
tt
(n/di)y
modnn
xx==(n/d
i)yix
ixi imod
i=1
i=1
x = [(n/d1)y1x1 + (n/d2)y2x2 + (n/d3)y3x3 + (n/d4)y4x4]

x = [49571 + 44080 + 79233 + 36073] mod 3.960
x = [3.465 + 0 + 7.128 + 7.560] mod 3.960 = 2.313
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 256
Todo marcha bien en este ejemplo?

Es la solucin de 12x mod 3.960 = 36 nica?
NO
Qu ha sucedido?
Puesto que mcd (a, n) = mcd (12, 3.960) = 12, ya hemos visto
en una diapositiva anterior que habr 12 soluciones vlidas.
x1 = 3; x2 = 333; x3 = 663; x4 = 993 ..... x8 = 2.313 ...
xi = 3 + (i-1)330 mod 3.960 ... hasta llegar a x12 = 3.633
Observe que x = 2.313, uno de los valores solucin,
fue el resultado encontrado en el ejercicio anterior.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 257
Otros casos de aplicacin del TRC

Qu sucede ahora con:
12x mod 3.960 = 35
12x mod 3.960 = 35?
mcd (a, n) = 12 no es un
divisor de b = 35, luego
aqu no existe solucin.
Tenamos que
3.960 = 2332511
Encuentre x como ejercicio
49x mod 3.960 = 1

Qu sucede ahora con:
49x mod 3.960 = 1?
Jorge Rami Aguirre
S existir x, en este caso es el

inverso de 49, y ser nico ya que
49 = 77 no tiene factores en n.
Madrid (Espaa) 2003
Diapositiva 258
Slo sirve para esto el TRC?

Calcular el inverso de 49 en el cuerpo 3.960 por medio
del Teorema del Resto Chino es algo tedioso ..........
ya lo habr comprobado .
No obstante, ya habr comprobado que en este caso el
inverso de 49 en el cuerpo 3.960 es x = 889.
Para qu sirve entonces este algoritmo?
Entre otras cosas, cuando veamos el sistema de cifra
RSA y el tema dedicado a Protocolos Criptogrficos,
encontraremos una interesante aplicacin del Teorema.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 259
Raz primitiva o generador g de grupo p

Un generador o raz primitiva de un nmero primo
p n es aquel que, elevado a todos los restos del
cuerpo y reducido mdulo n, genera todo el grupo.
As, g es un generador si:
1 a p-1
ga mod p = b (con 1 b p-1, todos los b )
Sea p = 3 CCR = {1,2}
(el cero no es solucin)
Resto 1: no generar nada porque 1k mod p = 1
Resto 2: 21 mod 3 = 2; 22 mod 3 = 1
Luego el 2 es un generador del cuerpo n = 3
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 260
Cuntas races hay en un grupo?

Existen muchos nmeros dentro del CRR que son
generadores del cuerpo ... pero
Su bsqueda no es fcil ... alguna solucin?
Conociendo la factorizacin de p-1 (q1, q2, ..., qn)
con qi los factores primos de p-1, diremos que un
nmero g ser generador en p si qi:
Ejemplo
g(p-1)/qi mod p 1
En cambio...
Si algn resultado es igual a 1, g no ser generador.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 261
Bsqueda de races primitivas (1)

BSQUEDA DE RACES EN EL CUERPO Z13*
Como p = 13 p-1 = 12 = 223

Luego:
q1 = 2 q2 = 3
Si se cumple g(p-1)/qi mod p 1 qi
entonces g ser un generador de p
2(13-1)/2 mod 13 = 26 mod 13 = 12

2(13-1)/3 mod 13 = 24 mod 13 = 3
3(13-1)/2 mod 13 = 36 mod 13 = 1
3(13-1)/3 mod 13 = 34 mod 13 = 3
Jorge Rami Aguirre
Generadores en Z13
g: 2,
Resto 2
El resto 2 es generador
Resto 3
El resto 3 no es generador
Madrid (Espaa) 2003
Diapositiva 262

Generadores en Z13
g: 2, 6, 7,
4(13-1)/2 mod 13 = 46 mod 13 = 1

4(13-1)/3 mod 13 = 44 mod 13 = 9
Resto 4
5(13-1)/2 mod 13 = 56 mod 13 = 12

Resto 5
5(13-1)/3 mod 13 = 54 mod 13 = 1 El resto 5 no es generador
6(13 -1)/2 mod 13 = 66 mod 13 = 12
6(13-1)/3 mod 13 = 64 mod 13 = 9
Resto 6
7(13-1)/2 mod 13 = 76 mod 13 = 12

7(13-1)/3 mod 13 = 74 mod 13 = 9
Resto 7

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 263

Generadores en Z13
g: 2, 6, 7, 11
8(13-1)/2 mod 13 = 86 mod 13 = 12

Resto 8
9(13-1)/2 mod 13 = 96 mod 13 = 1
9(13-1)/3 mod 13 = 94 mod 13 = 9
Resto 9
10(13-1)/2 mod 13 = 106 mod 13 = 1

Resto 10
11(13-1)/2 mod 13 = 116 mod 13 = 12
Resto 11
11(13-1)/3 mod 13 = 114 mod 13 = 3 El resto 11 es generador
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 264

Generadores en Z13
g: 2, 6, 7, 11
12(13-1)/2 mod 13 = 126 mod 13 = 1

Resto 12
Latasa
tasade
degeneradores
generadoresen
enelelgrupo
grupopp
La
seraproximadamente
aproximadamente==(p-1)/(p-1).
(p-1)/(p-1).
ser
Porlo
lotanto
tantopor
porlo
logeneral
generalelel30%
30%de
delos
los
Por
elementosdel
delConjunto
ConjuntoReducido
Reducidode
de
elementos
Restosde
deppser
serun
ungenerador
generadoren
enp.p.
Restos
Jorge Rami Aguirre
Madrid (Espaa) 2003
= (12)/12
= 4/12 = 1/3
Diapositiva 265
Generadores en cuerpos de primos seguros

Un nmero primo p se dice que es un primo seguro o primo
fuerte si: p = 2p + 1 (con p tambin primo).
Por ejemplo:
Si p = 11, luego p = 211 + 1 = 23 (es primo y es seguro)
En este caso la tasa de nmeros generadores del cuerpo ser
mayor que en el caso anterior (con p = 13 era del 30%).
Probabilidad: pseguro = (p-1)/p-1
Casi la mitad de los nmeros del
grupo sern generadores en p.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Comprobacin
Diapositiva 266
Comprobacin de generadores en p = 2p+1

p = 11; 2p = 22; p = 2p + 1 = 23 primo seguro
Como 2p = p - 1 existirn:
(p) = [p- 1] elementos de orden (p) en el CRR
(11) = 10 = {1,2,3,4,5,6,7,8,9,10}
(2p) = [p- 1] elementos de orden (p-1) en el CRR
(22) = 10 = {1,3,5,7,9,13,15,17,19,21}
= (p- 1)/(p-1) = (p- 1)/2p
Sigue
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 267
Comprobacin de generadores en p = 2p+1

Usando la ecuacin g(p-1)/qi mod p
En este caso con q1 = 2 y q2 = 11
g(23-1)/2 mod 23 = g11 mod 23
g(23-1)/11 mod 23 = g2 mod 23
Encontramos los siguientes 10 generadores en p = 23
{5, 7, 10, 11, 14, 15, 17, 19, 20, 21}
Prcticamente la mitad de los valores de CRR que en
este caso es igual a 23 1 = 22.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 268
Utilidad de la raz primitiva en criptografa

Para qu sirve conocer la raz primitiva de p?
La utilidad de este concepto en
criptografa lo veremos cuando
se estudien los sistemas de clave
pblica y, en particular, el
protocolo de intercambio de
claves de Diffie y Hellman.
Tambin se recurrir a esta
propiedad de los primos cuando
estudiemos la firma digital
segn estndar DSS (ElGamal).
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 269
La exponenciacin en la cifra asimtrica

Una de las ms interesantes aplicaciones de la
matemtica discreta en criptografa es la cifra
asimtrica en la que la operacin bsica es una
exponenciacin AB mod n, en donde n es un
primo o un producto de primos grandes.
Esta operacin se realizar en el intercambio de
clave y en la firma digital.
Cmo hacer estos clculos de forma rpida y
eficiente, sin tener que aplicar la reducibilidad?
Tenemos una solucin aplicando un algoritmo
de exponenciacin rpida.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 270
Un mtodo de exponenciacin rpida

En xy mod n se representa el exponente y en binario.
x2
Se calculan los productos

con j = 0 hasta n-1, siendo n
el nmero de bits que representan el valor y en binario.
Slo se toman en cuenta los productos en los que en la
posicin j del valor y en binario aparece un 1.
Ejemplo
Calcular z = 1237 mod 221 = 207

1237 es un nmero de 40 dgitos:
8505622499821102144576131684114829934592
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 271
Ejemplo de exponenciacin rpida

122 mod 221
1442 mod 221
Calcular z = 1237 mod 221 = 207
3710 = 1001012
x = 12
Bits 5 4 3 2 1 0
x2 mod 221 12 144 183 118
interesante
z = 121831 mod 221 = 207
En vez de 36 multiplicaciones y sus reducciones mdulo

221 en cada paso ... 72 operaciones...
Hemos realizado cinco multiplicaciones (para j = 0 el valor
es x) con sus reducciones mdulo 221, ms dos al final y su
correspondiente reduccin. Un ahorro superior al 80% .
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 272
Algoritmo de exponenciacin rpida

AB
Hallar x =
mod n
Obtener representacin
binaria del exponente B
de k bits:
B2 bk-1bk-2...bi...b1b0
Hacer x = 1
Para i = k-1, ..., 0 hacer
x = x2 mod n
Si (bi = 1) entonces
x = xA mod n
Ejemplo: calcule 1983 mod 91 = 24

8310 = 10100112 = b6b5b4b3b2b1b0
x=1
i=6 b6=1 x = 1219 mod 91 = 19 x = 19
= 88 x = 88
i=5 b5=0 x = 192 mod 91
i=4 b4=1 x = 882 19 mod 91 = 80 x = 80
= 30 x = 30
i=3 b3=0 x = 802 mod 91
i=2 b2=0 x = 302 mod 91
= 81
x = 81
i=1 b1=1 x = 812 19 mod 91 = 80 x = 80

i=0 b0=1 x = 802 19 mod 91 = 24 x = 24
1983 = 1,369458509879505101557376746718e+106 (calculadora Windows)

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 273
Clculos en campos de Galois (GF)

Cuando trabajamos en un cuerpo primo p, sabemos que se
asegura la existencia de un nico inverso multiplicativo.
En este caso se dice que estamos trabajando en Campos
de Galois GF(p).
Algunos usos en criptografa:
Sistemas de clave pblica cuando la operacin de
cifra es C = Me mod p (cifrador ElGamal) o bien RSA
usando el Teorema del Resto Chino para descifrar.
Aplicaciones en GF(qn), polinomios mdulo q y de
grado n: a(x) = an-1xn-1 + an-2xn-2 + ... + a1x + a0:
Cifrador de flujo A5, RIJNDAEL, curvas elpticas.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 274
Campos de Galois del tipo GF(qn)

a(x) = an-1xn-1 + an-2xn-2 + ... + a1x + a0
Es un polinomio de grado n-1 o menor.
Los elementos ai son parte del CCR del mdulo q.
Cada elemento a(x) es un resto mdulo p(x), siendo
p(x) un polinomio irreducible de grado n (que no puede
ser factorizado en polinomios de grado menor que n).
GF(2n) es interesante porque CCR(2) = {0, 1} bits.
GF(23) 8 elementos o restos polinmicos que son:
0, 1, x, x+1, x2, x2+1, x2+x, x2+x+1, los 8 restos de un
polinomio de grado n-1 (n = 3).
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 275
Suma en campos de Galois GF(2n)

Si el mdulo de trabajo es 2 (con restos = bits 0 y 1), las
operaciones suma y resta sern un OR Exclusivo:
0 1 mod 2 = 1
1 0 mod 2 = 1
CG(22)
0 0 mod 2 = 0
1 1 mod 2 = 0
0
1
x
x+1
0
1
x
x+1
x+1
1
x x+1
0 x+1 x
x+1 0
1
x
1
0
Restos: 0, 1, x, x+1
Jorge Rami Aguirre
Como los resultados debern

pertenecer al cuerpo, aplicaremos
Reduccin por Coeficientes:
Por ejemplo:
x + (x +1) = 2x + 1 mod 2 = 1
1 + 1 = 2 mod 2 = 0
Madrid (Espaa) 2003
Diapositiva 276
Producto en campos de Galois GF(2n)

La operacin multiplicacin puede entregar elementos
que no pertenezcan al cuerpo, potencias iguales o
mayores que n Reduccin por Exponente.
CG(22)
0
1
x
x+1
0
0
0
0
x+1
0
0
0
1
x x+1
x x+1 1
x+1 1
x
Restos: 0, 1, x, x+1
Jorge Rami Aguirre
Sea el polinomio irreducible de

grado n = 2, p(x) = x2 + x + 1
Luego: x2 = x + 1
Por ejemplo:
(x + 1)(x + 1) = x2 + 2x + 1
(x + 1)(x + 1) = (x + 1) + 2x +1
(x + 1)(x + 1) = 3x + 2 mod 2 = x
Madrid (Espaa) 2003
Diapositiva 277
Operaciones con campos de Galois en AES

La suma y multiplicacin de polinomios dentro de un
cuerpo binario descritas en las dispositivas anteriores,
conforman las operaciones bsicas del algoritmo de
cifra Advanced Encryption Algorithm AES, que con
el nombre RIJNDAEL es el estndar mundial desde
finales de 2001, desplazando al ya viejo DES.
En este caso, se trabaja con 8 bits por lo que las
operaciones se realizan en GF(28). En el captulo 10
sobre sistemas de cifra con clave secreta encontrar
ejemplos de suma y multiplicacin polinmica dentro
de este cuerpo binario.
Fin del Tema 5

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 278
1. Qu significa para la criptografa el homomorfismo de los enteros?
2. Si una funcin de cifra multiplica el mensaje por el valor a dentro
del cuerpo n, para qu nos sirve conocer el inverso de a en n?
3. En un cuerpo de cifra n, existen siempre los inversos aditivos y los
inversos multiplicativos? Debe cumplirse alguna condicin?
4. Si en un cuerpo n el inverso de a es a 1, es ese valor nico?
5. Cifraremos en un cuerpo n = 131. Cul es el conjunto completo de
restos? Cul es el conjunto reducido de restos?
6. Para cifrar un mensaje M = 104 debemos elegir el cuerpo de cifra
entre el valor n = 127 y n = 133, cul de los dos usara y por qu?
7. Qu nos dice la funcin (n) de Euler?
8. Qu papel cumple el algoritmo extendido de Euclides en la
criptografa? Por qu es importante? En qu se basa?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 279
9. Si en el cuerpo n = 37 el inv (21, 37) = 30, cul es el inv (30, 37)?
10. Usando el algoritmo extendido de Euclides calcule los siguientes
inversos: inv (7, 19); inv (21, 52), inv (11, 33), inv (41, 43).
11. Cuntas soluciones xi hay a la expresin 8x mod 20 = 12?
Explique lo que sucede. Tiene esto inters en criptografa?
12. Qu viene a significar el Teorema del Resto Chino? Aunque an
no lo ha estudiado, le ve alguna utilidad en criptografa?
13. Calcule inv (49, 390) usando el Teorema del Resto Chino.
14. Defina lo que es una raz primitiva o generador de un cuerpo. Es
necesario que ese cuerpo sea un primo?
15. Cuntos generadores podemos esperar en el cuerpo n = 17? Y si
ahora n = 7, cuntos generadores habr? Comprubelo calculando
todos los exponentes del conjunto completo de restos de n = 7.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 280
16. Cmo se define un primo seguro? Cuntos generadores tiene?
17. A partir de los valores p = 13, p = 17, p = 19 y p = 23 queremos
obtener un primo seguro, con cul o cules de ellos lo logramos?
18. Usando el algoritmo de exponenciacin rpida calcule los siguientes
valores: 2332 mod 51; 100125 mod 201; 1.000100.000 mod 2.500.
19. Compruebe los resultados con la calculadora de Windows. Qu
sucede para nmeros muy grandes como el ltimo?
20. Cuntas operaciones bsicas se han hecho en cada caso y en cunto
se ha optimizado el clculo?
21. En GF(2n) reduzca por coeficientes 5x5 + x4 + 2x3 + 3x2 + 6x + 2.
22. Reduzca (x3 + 1)(x2 + x +1) por exponente en GF(2n) usando como
polinomio primitivo p(x) = x4 + x + 1, es decir x4 = x + 1.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 281
Tema 6
Teora de la Complejidad Algortmica
v 3.1
Material Docente de
Libre Distribucin
Jorge Rami Aguirre

Nota del autor

corresponde slo a una breve
introduccin a la complejidad
de los algoritmos, con el objeto
de que el lector pueda hacerse
una idea de la importancia de
este tema en el anlisis y diseo de los algoritmos de
cifra y firma digital que se vern en este curso. La
fortaleza de estos algoritmos y de los protocolos que
los incluyen depender de la complejidad asociada al
criptoanlisis o ataque de los mismos.
Jorge Rami Aguirre
Tema 6: Teora de la Complejidad Algortmica
Madrid (Espaa) 2003
Diapositiva 284
Introduccin a la teora de la complejidad

La teora de la complejidad de los algoritmos nos
permitir conocer si un algoritmo tiene fortaleza y tener
as una idea de su vulnerabilidad computacional.
Complejidad Computacional
Los algoritmos se clasifican segn el tiempo de
ejecucin y en funcin del tamao de la entrada.
Complejidad Polinomial
Complejidad Exponencial
Esto dar lugar a tipos de problemas que nos interesarn.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 285
Operaciones bit en la suma

Si deseamos sumar dos nmeros binarios n y m, ambos de k bits
realizaremos k operaciones bit puesto que cada operacin bsica
con los dgitos de una columna es una operacin bit.
* Recuerde que 0+0 = 0, 0+1=1, 1+0 = 1, 1+1 = 0 con bit 1 de acarreo.
Si un nmero tiene menos bits, se rellena con ceros por la izquierda.
Ejemplo: encontrar el nmero de operaciones bit necesarias en la

suma en binario de 13+7 1101 + 0111 (de k = 4 bits)
+
1 1
1
0
1 0
1
1
1
1
1
(acarreo)
0 1
1 1
0 0
Cada operacin bsica que hacemos con una columna se conoce

como operacin bit, luego necesitamos k = 4 operaciones bit.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 286
Operaciones bit en la multiplicacin

Para la multiplicacin de un nmero n de k bits por un nmero
m de h bits, el nmero de operaciones bit ser igual a 2kh.
Suponemos que k h.
* Recuerde que 0x0 = 0, 0x1=0, 1x0 = 0, 1x1 = 1.
Ejemplo: encontrar el nmero de operaciones bit necesarias en la

multiplicacin en binario 10x5 1010 x 101 (4 y 3 bits)
1
1
0 0
+ 1 0 1
1 1 0
0
0
0
0
0
1 0 x 1 0 1
1 0
0
(procedemos ahora a sumar)
1 0
Como cada operacin bsica entre dos bits es una operacin bit,
hemos realizado hk = 34 multiplicaciones y luego kh = 43
sumas, es decir en total 2kh = 24 operaciones bit.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 287
La funcin O(n)
Las operaciones dependern del tamao de la entrada por lo
que esta complejidad se expresar en trminos del tiempo T
necesario para el clculo del algoritmo y del espacio S que
utiliza en memoria, y se expresar mediante una funcin
f (n), donde n es el tamao de la entrada.
Esta funcin ser una aproximacin pues el resultado exacto
depender de la velocidad del procesador.
f (n) = O(g(n))
Ejemplo
f = O(n) ssi co,no / f(n) cog(n)

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 288
Complejidad de una funcin f(n)

Si
f (n) = 4n2 + 2n + 5
f = O(n2)?
se cumple que cog(n) = con2 f (n)?
Sea co = 6
f (n) = 4n2 + 2n + 5 con2 f (n)?
co
no
cono2
11
No
24
25
No
54
38
96
77
Se cumple
siempre
Luego, la complejidad de f (n) es exponencial.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 289
Tiempos de ejecucin
En la expresin O(n) aparecer el trmino que domina al
crecer el valor de n.
El tiempo de ejecucin de un algoritmo T1 que realiza
2n+1 operaciones es de tipo O(n); uno T2 que realiza
3n2+n+3 operaciones ser de tipo O(n2), etc.
Para realizar la suma de la diapositiva anterior necesitamos
O(n) = O(log n) operaciones bit y para el caso de la
multiplicacin, stas sern O(nm) = O(log n log m)
operaciones bit.
+ Operacin binaria: n+m (de k bits cada uno)
Operacin binaria: nm (de k y h bits respectivamente)
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 290
Algoritmos de complejidad lineal

Un algoritmo se dice que tiene tiempo de ejecucin
polinomial si ste depende polinmicamente del
tamao de la entrada.
Si la entrada es de tamao n y t es un entero, el
nmero de operaciones bit ser O(logt n). Ejemplos
Si t = 1, el sistema es lineal
Suma
Si t = 2, el sistema es cuadrtico
Producto
Si t = 3, el sistema es cbico
mcd Euclides

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 291
Ejemplo de complejidad lineal

Ejemplo: El tiempo de ejecucin de un algoritmo es
O(log3 n). Si doblamos la entrada, en cunto aumenta
este tiempo?
Solucin: En el primer caso el tiempo es O(log3 n) y en
el segundo O(log3 2n). Luego para este sistema lineal
el tiempo se incrementar en log3 2 operaciones bit.
Estos son los denominados problemas fciles y son
los que involucrarn un proceso de cifra y descifrado
(o firma) por parte del o de los usuarios autorizados.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 292
Algoritmos de complejidad exponencial

Un algoritmo se dice que tiene tiempo de ejecucin
exponencial si ste depende exponencialmente del
tamao de la entrada.
Si la entrada es de tamao n y t es un entero, el
nmero de operaciones bit ser O(nt).
Ejemplo
Para t = 2, ser exponencial de orden 2
n!
Para t = 3, ser exponencial de orden 3

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 293
Ejemplo de complejidad exponencial

Ejemplo: El tiempo de ejecucin de un algoritmo es
O(n3). Si doblamos la entrada, en cunto aumenta
este tiempo?
Solucin: En el primer caso el tiempo es O(n3) y en el
segundo O(2n3) = O(8n3). Para este sistema exponencial
el tiempo se incrementar en 8 operaciones bit.
Estos son los denominados problemas difciles y son a
los que deber enfrentarse un criptoanalista o atacante
que desea romper una cifra o la clave de un usuario.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 294
Comparativas de complejidad
Los algoritmos polinmicos y exponenciales se
comparan por su complejidad O(nt).
Polinmico constante O(1)

Polinmico lineal
O(n)
Polinmico cuadrtico O(n2)
Polinmico cbico
O(n3) ... etc.
Exponencial
O(dh(n))
donde d es una constante y h(n) un polinomio
Si suponemos un ordenador capaz de realizar

109 instrucciones por segundo se tiene el cuadro:
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 295
Tabla comparativa de tiempos

Entrada
O(n)
O(n2)
O(n3)
O(2n)
n = 10
10-8 seg
10-7 seg
10-6 seg
10-6 seg
n = 102
10-7 seg
10-5 seg
10-3 seg
41013 aos
n = 103
10-6 seg
10-3 seg
1 seg
Muy grande
Incrementos de un
orden de magnitud
Computacionalmente
imposible
Entrada/109: Para n = 100 O(n2) = 1002/109 = 10-5 seg

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 296
Problemas de tipo NP
En criptografa nos interesan las funciones f(x) de un solo
sentido, es decir:
Fcil calcular f(x) pero muy difcil calcular f-1(x)
salvo que conozcamos un secreto o trampa
Porque dan lugar a problemas tipo NP, polinomiales no
deterministas, computacionalmente difciles de tratar.
Problema de la mochila
Veremos cada
Problema de la factorizacin
uno de ellos
Problema del logaritmo discreto
Otros ...
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 297
El problema de la mochila
Es un problema de tipo NP en el
que el algoritmo debe realizar en
cada paso una seleccin iterativa
entre diferentes opciones.
Enunciado:
Dada una mochila de determinadas dimensiones de alto,
ancho y fondo, y un conjunto de elementos de distintos
tamaos menores que ella y de cualquier dimensin, ...
es posible llenar la mochila (completa) con distintos
elementos de ese conjunto sin repetir ninguno de ellos?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 298
Ejemplo del problema de la mochila

S = a1 + a2 + a3
A = {a1, a2, a3}
Se incluye a1 en la suma S?
a1
No
Los resultados son todos

distintos: una casualidad
Se incluye a2 en la suma?
S
a2
No
a2
No
Se incluye a3?
a3
S
S1
a3
No
S2
S1 = a1+a2+a3
S5 = a2+a3
a3
No
S3
S4
S2 = a1+a2
S6 = a2
a3
No
S5
S6
S3 = a1+a3
S7 = a3
No
S7
S4 = a1
S8 =
S8
Sea una mochila

con 4 elementos
{2, 4, 9, 10}
Cuntas sumas
posibles hay?
Solucin: 24 = 16
, 2, 4, 6,
9, 10, 11, 12,
13, 14, 15, 16,
19, 21, 23, 25.
Repita con
{2, 4, 6, 10}
Hemos tenido que evaluar 23 = 8 valores (carcter exponencial)

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 299
Inters de las mochilas en criptografa

Por qu tiene inters este problema en criptografa?
a) Es de tipo NP completo: su resolucin por lo general
implica una complejidad exponencial. Luego, ser
difcil de atacar o criptoanalizar.
b) Existe un caso en el que la resolucin es lineal y, si la
solucin existe, es nica. Se da si A = {a1, a2, a3, .., an}
est ordenado de menor a mayor y en donde cada ai es
mayor que la suma de los aj que le preceden.
Esto dar lugar a los criptosistemas de mochila
tramposa que veremos en un prximo captulo.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 300
El problema de la factorizacin PFNG

Dado un nmero n que es el resultado del producto de
dos primos n = pq, se pide encontrar estos factores.
Cuando el valor n es muy grande, el Problema de la
Factorizacin de Nmeros Grandes PFNG se vuelve
computacionalmente intratable.
No obstante, el caso inverso, dado dos nmeros p y q,
encontrar el resultado pq = n, se trata de un problema
de tipo polinomial.
Este problema se usar en la generacin del par de
claves del sistema de cifra con clave pblica RSA.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 301
Un ejemplo del PFNG

Clculo fcil o polinomial (funcin directa)
Calcule a mano los siguientes productos de dos primos y
tome el tiempo aproximado que tarda en la operacin:
a) 1331 b) 113131 c) 1.0131.031
calcule...
No vale usar
calculadora...
A qu conclusiones
puede llegar ahora?
Clculo difcil o no polinomial (funcin inversa)

Usando la criba de Eratstenes, factorice en dos primos los
siguientes nmeros y vuelva a tomar el tiempo empleado:
a) 629 b) 17.399 c) 1.052.627
calcule...
En el caso a) son primos de 2 dgitos, en c) de 3 y en d) de 4.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 302
Solucin al ejemplo anterior

Clculo fcil o polinomial
a) 1331 = 403 b) 113131 = 14.803 c) 10131031 = 1.044.403
A medida que aumenta el tamao de la entrada, el tiempo de
clculo aumenta proporcionalmente con los dgitos.
Un computador
Clculo difcil o no polinomial

experimentar lo
mismo....
a) 629 b) 17.399 c) 1.052.627
Aqu resulta evidente que el tiempo de clculo (da igual que el
algoritmo sea ste u otro ms depurado y eficaz) aumenta mucho al
incrementar en un dgito los nmeros en cuestin.
Solucin: a), b) y c) son el producto de los nmeros primos
inmediatamente superiores a los de arriba (ver tabla en SItema18).
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 303
El problema del logaritmo discreto PLD

Dado un par de enteros y que pertenecen al Campo
de Galois GF(p), se pide encontrar un entero x de forma
que x = log mod p.
Si el valor p es muy grande, el Problema del Logaritmo
Discreto PLD es computacionalmente intratable.
No obstante, el caso inverso, dado dos nmeros y x,
encontrar = x mod p es un problema polinomial.
Este problema se usar en la creacin de las claves del
sistema de cifra con clave pblica ElGamal y en el
protocolo de intercambio de clave de Diffie y Hellman.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 304
Un ejemplo del PLD

Clculo fcil o polinomial (funcin directa)
Calcule a mano las siguientes exponenciaciones mod p y
tome el tiempo aproximado que tarda en la operacin:
a) 54 mod 7 b) 817 mod 41 c) 9211 mod 251
54 = 625
817 = 2.251.799.813.685.248
9211 = 3.996.373.778.857.415.671.808
Nota: Haciendo uso de la propiedad de reducibilidad del captulo 5,
podr reducir significativamente el tiempo de clculo. No obstante,
este tiempo ser de tipo polinomial segn el tamao de la entrada.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 305
Solucin al ejemplo anterior

Clculo difcil o no polinomial (funcin inversa)
Aunque existen varios algoritmos para este tipo de clculos
(al igual que para la factorizacin) use la fuerza bruta que se
explica a continuacin para encontrar los siguientes valores y
vuelva a tomar el tiempo empleado:
a) log5 2 mod 7 b) log8 39 mod 41 c) log92 217 mod 251
Aplicando fuerza bruta en el 1er caso (la base elevada a todos
los restos de p) al final se obtiene que log5 2 mod 7 = 4.
51 mod 7 = 5 52 mod 7 = 4 53 mod 7 = 6
54 mod 7 = 2 55 mod 7 = 3 56 mod 7 = 1
Jorge Rami Aguirre
En media deber
recorrer la mitad
del espacio...
Madrid (Espaa) 2003
Diapositiva 306
Logaritmo discreto con generador

log2 1 mod 13 = 0
log2 4 mod 13 = 2
log2 7 mod 13 = 11
log2 10 mod 13 = 10
Es
decir
log2 2 mod 13 = 1
log2 5 mod 13 = 9
log2 8 mod 13 = 3
log2 11 mod 13 = 7
20 mod 13 = 1
23 mod 13 = 8
26 mod 13 = 12
29 mod 13 = 5
21 mod 13 = 2
24 mod 13 = 3
27 mod 13 = 11
210 mod 13 = 10
log2 3 mod 13 = 4
log2 6 mod 13 = 5
log2 9 mod 13 = 8
log2 12 mod 13 = 6
22 mod 13 = 4
25 mod 13 = 6
28 mod 13 = 9
211 mod 13 = 7
Se cumplir adems que ap-1 mod p = a0 mod p = 1.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 307
Logaritmo discreto con no generador

En p=13, el 2
es generador,
pero no as el
nmero 3...
Luego
30 mod 13 = 1
33 mod 13 = 1
36 mod 13 = 1
39 mod 13 = 1
log3 1 mod 13 = 0
log3 4 mod 13 = NE
log3 7 mod 13 = NE
log3 10 mod 13 = NE
31 mod 13 = 3 32 mod 13 = 9
34 mod 13 = 3 35 mod 13 = 9
37 mod 13 = 3 38 mod 13 = 9
310 mod 13 = 3 311 mod 13 = 9
log3 2 mod 13 = NE
log3 5 mod 13 = NE
log3 8 mod 13 = NE
log3 11 mod 13 = NE
log3 3 mod 13 = 1
log3 6 mod 13 = NE
log3 9 mod 13 = 2
log3 12 mod 13 = NE
NE = no existe
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 308
Hay ms funciones NP?

Existen otros problemas matemticos que dan lugar a
problemas del tipo NP basados en estas funciones
unidireccionales (one way functions) pero las dos
ltimas funciones vistas factorizacin de nmeros
grandes y logaritmo discreto- son las que ms uso
tienen, de momento, en la criptografa.
Algunos de ellos se presentarn en el Tema dedicado
a los Protocolos Criptogrficos.
Fin del Tema 6
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 309
1.
2.
3.
4.
5.
6.
Deseamos sumar de forma binaria el nmero 15 (1111) y el nmero

10 (1010), ambos de k = 4 bits. Haga la suma binaria y verifique
que el nmero de operaciones bit desarrolladas es k = 4.
Si multiplicamos en binario 101011, donde k = 4 bits y h = 2 bits,
compruebe que el nmero de operaciones bit realizadas es 2kh.
Por qu son interesantes los problemas de tipo NP en criptografa?
Defina el problema de la mochila y su posible utilizacin en un
sistema de cifra.
Factorice mentalmente el valor n = 143. Intente hacer lo mismo
para n = 1.243. Qu opina ahora del problema de la factorizacin?
A partir de la ecuacin = x mod p, defina el problema del
logaritmo discreto. Qu utilidad tiene en criptografa?

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 310
Tema 7
Sistemas de Cifra Clsicos
Ultima actualizacin:17/03/03
v 3.1
Material Docente de
Libre Distribucin
Jorge Rami Aguirre

Nota del autor

corresponde a unos primeros
apuntes. No tiene la importancia
de los dems temas tratados en
este libro, pero si lo desea puede
encontrar una explicacin ms detallada sobre
la historia de la criptografa y de los sistemas de cifra
clsicos en el libro gua de la asignatura comentado
en la presentacin de estos apuntes o, en su caso,
usando el Libro Electrnico de Criptografa Clsica,
software de libre distribucin que puede descargar
desde Internet como se comenta al final del archivo.
Jorge Rami Aguirre
Tema 7: Sistemas de Cifra Clsicos
Madrid (Espaa) 2003
Diapositiva 312
Clasificacin histrica de criptosistemas

Los criptosistemas pueden clasificarse segn:
a) Su relacin con la Historia en:
- Sistemas Clsicos y Sistemas Modernos
No es sta ni mucho menos la mejor clasificacin desde
el punto de vista de la ingeniera y la informtica ...
No obstante, permitir comprobar el desarrollo de estas
tcnicas de cifra hoy en da rudimentarias y en algunos
casos simples, desde una perspectiva histrica que es
interesante como cultura general para todo ingeniero.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 313
Clasificacin actual de los criptosistemas

o bien segn:
b) El tratamiento de la informacin a cifrar en:
- Cifrado en Bloque y Cifrado en Flujo
c) El tipo de clave utilizada en la cifra en:
- Sistema con Clave Secreta y Sistema con Clave Pblica
Cifra en flujo
Cifra en bloque
Se ver en Temas 8 y 9
Cifra con clave secreta
Cifra con clave pblica
Se ver en Temas 11, 12 y 14

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 314
Primera aproximacin histrica

La criptografa es casi tan antigua como las
primeras civilizaciones de nuestro planeta.
Ya en el siglo V antes de J.C. se usaban tcnicas
de cifra para proteger a la informacin.
Se pretenda garantizar slo la confidencialidad y
la autenticidad de los mensajes.
Los mayores avances se lograron en la Segunda
Guerra Mundial: los pases en conflicto tenan un
gran nmero de tcnicos encargados de romper
los mensajes cifrados de los teletipos.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 315
Herramientas de la criptografa clsica

Tanto mquinas, artilugios de cifra, como los
algoritmos que trabajaban matemticamente
dentro de un cuerpo finito n, hacen uso de dos
tcnicas bsicas orientadas a caracteres y que,
muchos siglos despus, propone Shannon:
Sustitucin: un carcter o letra se modifica o
sustituye por otro elemento en la cifra.
Transposicin: los caracteres o letras del mensaje
se redistribuyen sin modificarlos y segn unas
reglas, dentro del criptograma. Tambin se le
conoce como permutacin.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 316
Clasificacin de los criptosistemas clsicos

MONOALFABTICA
GRUPOS
y algunos
ejemplos
SUSTITUCIN
TRANSPOSICIN
POLIALFABTICA
ESCTALA
SERIES
MONOGRMICA
NO PERIDICA
POLIGRMICA
VERNAM
COLUMNAS
FILAS
PERIDICA
DIGRMICA
N-GRMICA
LINEALES
ALFABETO
ESTNDAR
CSAR
AFN
PLAYFAIR
HILL
ENIGMA
ALFABETO
MIXTO
ALFABETO
ESTNDAR
ALFABETO
MIXTO
OTROS
VIGENRE
OTROS

Jorge Rami Aguirre
PROGRESIVOS
Madrid (Espaa) 2003
Diapositiva 317
Hitos histricos en la criptografa

La criptografa clsica abarca desde tiempos
inmemoriales hasta la mitad del siglo XX.
El punto de inflexin en esta clasificacin la
marcan tres hechos relevantes:
C
I
F
R
A
D
O
D
I
G
I
T
A
L
En el ao 1948 se publica el estudio de Claude

Shannon sobre la Teora de la Informacin.
En 1974 aparece el estndar de cifra DES.
En el ao 1976 se publica el estudio realizado por W.
Diffie y M. Hellman sobre la aplicacin de funciones
matemticas de un solo sentido a un modelo de cifra,
denominado cifrado con clave pblica.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 318
Primer cifrador por transposicin: esctala

La esctala era usada en el siglo V a.d.C. por el pueblo
griego de los lacedemonios. Consista en un bastn en el
que se enrollaba una cinta de cuero y luego se escriba en
ella el mensaje de forma longitudinal.
Al desenrollar la cinta, las letras aparecen desordenadas.
La nica posibilidad de recuperar el texto en claro pasaba
por enrollar dicha cinta en un bastn con el mismo
dimetro que el usado en el extremo emisor y leer el
mensaje de forma longitudinal. La clave del sistema est
en el dimetro del bastn. Se trata de una cifra por
transposicin pues los caracteres del criptograma son los
mismos que en el texto en claro distribuidos de otra forma.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 319
Mtodo de cifra de la esctala

A
I
C
T
R
A
A
E
B
S
En ese bastn resida la

fortaleza de un pueblo.
Hoy en da el popular
bastn de mando que se
le entrega al Alcalde de
una ciudad proviene de
esos tiempos remotos.
El texto en claro es:

M = ASI CIFRABAN CON LA ESCITALA
El texto cifrado o criptograma ser:
C = AAC SNI ICT COA INL FLA RA AE BS
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 320
Primer cifrador por sustitucin: Polybios

Es el cifrador por sustitucin de caracteres ms antiguo que se
conoce (siglo II a.d.C.) pero como duplica el tamao del texto
en claro, con letras o nmeros, resulta poco interesante.
A
B
C
D
E
A
F
L
Q
V
B
G
M
R
W
C
H
N
S
X
D
IJ
O
T
Y
E
K
P
U
Z
1
2
3
4
5
A
F
L
Q
V
B
G
M
R
W
C
H
N
S
X
D
IJ
O
T
Y
E
K
P
U
Z
M1 = QU BUENA IDEA
M2 = LA DEL GRIEGO
C1 = DA DE AE AB DE AE
C2 = 31 11 14 15 31 22
CC AA BD AD AE EA
Jorge Rami Aguirre
42 24 15 22 34
Madrid (Espaa) 2003
Diapositiva 321
El cifrador del Csar

En el siglo I a.d.C., Julio Csar usa este cifrador, cuyo
algoritmo consiste en el desplazamiento de tres espacios
hacia la derecha de los caracteres del texto en claro. Es
un cifrador por sustitucin monoalfabtico en el que las
operaciones se realizan mdulo n, siendo n el nmero de
elementos del alfabeto (en aquel entonces latn).
0
Mi
Ci
7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
ABCDEFGHIJKLMNOPQRSTUVWXYZ
DEFGHIJKLMNOPQRSTUVWXYZABC
Alfabeto de cifrado del Csar para castellano mod 27

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 322
Ejemplo de cifra del Csar en mod 27

Mi
Ci
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
Ci = Mi + 3 mod 27
M = EL PATIO DE MI CASA ES PARTICULAR

C = H SDWLR GH OL FDVD HV SDUWLFXDU
Cada letra se cifrar siempre igual. Es una gran debilidad y
hace que este sistema sea muy vulnerable y fcil de atacar
simplemente usando las estadsticas del lenguaje.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 323
Criptoanlisis del cifrador por sustitucin

00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
Cifrado: Ci = (Mi + b) mod 27
Descifrado: Mi = (Ci b) mod 27
La letra ms frecuente del criptograma la hacemos coincidir con

la ms frecuente del lenguaje, la letra E, y encontramos as b.
C = LZAHL ZBTHW YBLIH XBLKL ILYOH ZLYCH ROKH
Frecuencias observadas en el criptograma: L (7); H (6); Z (3); B (3);
Y (3); I (2); K (2); O (2); A (1); T (1); W (1); X (1); C (1); R (1).
Luego, es posible que la letra E del lenguaje (la ms frecuente) se
cifre como L en el criptograma y que la letra A se cifre como H:
E + b mod 27 = L b = L - E mod 27 = 11 4 mod 27 = 7
A + b mod 27 = H b = H - A mod 27 = 7 0 mod 27 = 7
M = ESTA ES UNA PRUEBA QUE DEBERIA SER VALIDA
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 324
Cifrador por sustitucin afn mod 27

Cifrado:
Ci = aMi + b mod 27
Descifrado:
Mi = (Ci b) a-1 mod 27 donde a-1 = inv (a, 27)
El factor de decimacin a deber ser primo relativo con el

cuerpo n (en este caso 27) para que exista el inverso.
El factor de desplazamiento puede ser cualquiera 0 b 27.
El ataque a este sistema es tambin muy elemental. Se relaciona el
elemento ms frecuente del criptograma a la letra E y el segundo a
la letra A, planteando un sistema de 2 ecuaciones. Si el texto tiene
varias decenas de caracteres este ataque prospera; caso contrario,
puede haber ligeros cambios en esta distribucin de frecuencias.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 325
Criptoanlisis a la cifra afn mod 27

C: NAQF EKNDP NCIVU FPUAN EJUIP FCNER NFRF UNPLN
AFPFQ TFPEI JRTE FPKI KTAPF LIKI AIPU RCUJI
PCIVU CUNER IRLNP TJIAF NEOI CFLNC NLUFA TEF
Caracteres ms frecuentes en criptograma: F = 14; N = 13; I = 12

Con E y A las ms frecuentes, el ataque falla. En un segundo
intento suponemos la letra A ms frecuente que la E, luego:
F = (aA + b) mod 27 (a0 + b) mod 27 = 5 b = 5
N = (aE + b) mod 27 (a4 + 5) mod 27 = 13
Entonces a = (13-5) inv (4, 27) mod 27 = 8 7 mod 27 = 2
Luego Ci = (2Mi + 5) mod 27 Mi = (Ci 5)inv (2, 27). luego:
M: EL GRAN PEZ SE MOVA SILENCIOSAMENTE A TRAVS DE
LAS AGUAS NOCTURNAS, PROPULSADO POR LOS RTMICOS
MOVIMIENTOS DE SU COLA EN FORMA DE MEDIA LUNA.
(Primer prrafo del libro Tiburn de P. Benchley).
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 326
El cifrador de Vigenre
Este cifrador polialfabtico soluciona la debilidad del cifrado
del Csar de que una letra se cifre siempre igual. Usa una
clave K de longitud L y cifra carcter a carcter sumando
mdulo n el texto en claro con los elementos de esta clave.
Ci = Mi + Ki mod 27
Sea K = CIFRA y el mensaje M = HOLA AMIGOS

M = H O L A A M I G O S
K = C I F R A C I F R A
sumando mod 27...
C = J W P R A P L G S Ms de un alfabeto: la letra
O se cifra de forma distinta.
Observe que el criptograma P se obtiene de un texto L y de un texto I.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 327
Es Vigenre un algoritmo seguro?

Si la clave de Vigenre tiene mas de 6 caracteres distintos, se
logra una distribucin de frecuencias en el criptograma del
tipo normal, es decir ms o menos plana, por lo que se
difumina la redundancia del lenguaje.
Aunque pudiera parecer que usando una clave larga y de
muchos caracteres distintos y por tanto varios alfabetos de
cifrado, Vigenre es un sistema de cifra seguro, esto es falso.
La redundancia del lenguaje unido a tcnicas de criptoanlisis
muy sencillas, como los mtodos de Kasiski y del ndice de
Coincidencia, permiten romper la cifra y la clave de una
manera muy fcil y con mnimos recursos. Veamos un ataque
por el mtodo de Kasiski.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 328
Ataque por el mtodo de Kasiski

El mtodo de Kasiski consiste en buscar repeticiones de cadenas de
caracteres en el criptograma. Si estas cadenas son mayores o iguales a
tres caracteres y se repiten ms de una vez, lo ms probable es que esto
se deba a cadenas tpicas del texto en claro (trigramas, tetragramas, etc.,
muy comunes) que se han cifrado con una misma porcin de la clave.
Si se detectan estas cadenas, la distancia entre las mismas ser mltiplo
de la longitud de la clave. Luego, el mximo comn divisor entre esas
cadenas es un candidato a ser la longitud de la clave, digamos L.
Dividimos el criptograma en L subcriptogramas que entonces han sido
cifrados por una misma letra de la clave y en cada subcriptograma
hacemos un ataque simple ahora de tipo estadstico monoalfabtico.
La idea es buscar ahora a travs de los tres caracteres ms frecuentes en
cada subcriptograma las posiciones relativas de las letras A, E y O que
en castellano estn separadas por 4 y 11 espacios. La letra de la posicin
que ocupe la letra A (A = 0) ser entonces la letra clave correspondiente.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 329
Cadenas repetidas en ataque de Kasiski

Sea el criptograma C de 404 caracteres que vamos a criptoanalizar el siguiente:
PBVRQ
UBZVS
LBHGU
ANSJA
INQRS
OTGR
NUEJI
VICAD
FNVRD
ESOM
MTJOK
JEUEM
RYVLP
BCHAS
SKAS
MTIPW
EHLBX
MDODS
GGRBD
WJIFW
EHEUE
DETSJ
UEQVV
VAEEP
ELPWI
GNNIL
XOTGG
UOTIE
PSIED
CBOVN
UELI
UFOZM
AGSJI
RPQRR
FFGYA
BGGMP
UEDIF
SEVEF
QMVNF
DSVSU
JSKET
TGGMP
SLRPW
QLONM
WHUNM
OHASE
EEINT
XRNBL
IKTBW
RPWY
WNUVR
CLPQP
SRJWR
GRUEE
ZETGG
UEEN
EDSDE
SEIKA
MBRRN
SFQCO
TFGGM
NEMUO
IEEU.
DRDP
ZYEAC
BPVI
TWVMB
PORDF
TXJAT
CRCPQ
EYEDS
MTIBV
JGRPW
OGTSS
ORVJH
MNPWK
ETFPH
VEID
VSUEX
TOSEQ
RSFHV
Entre otras, se observan las siguientes cadenas (subrayadas) en el criptograma:

3 cadenas GGMP, separadas por 256 y 104 posiciones.
2 cadenas YEDS, separadas por 72 espacios.
2 cadenas HASE, separadas por 156 espacios.
2 cadenas VSUE, separadas por 32 espacios.
Luego el perodo de la clave puede ser mcd (256, 104, 72, 156, 32) = 4. La clave
tendr cuatro caracteres, por lo tanto tomaremos del criptograma el carcter 1, el
5, el 9, etc. para formar el primer subcriptograma CA; luego el 2, el 6, el 10,
etc. para formar el subcriptograma CB, y as hasta el subcriptograma CD.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 330
Paso a cifrado monoalfabtico en Kasiski

Tenemos 4 subcriptogramas que han sido cifrados con la misma letra de la clave:
CA = PQAAEPDMREEDCNUSRIECNIONSAAETLUOLAUIEULMNIIEAAOOLU
MNARSOMRSISERNAISIRTMDTOORLIORRENENOAVSNIAEOFAMTEI
CB = BVDTSBPPPDPPPBFDPQBUFNUEZCDFBMBESFNPBBBNMKDPF
QFSJFTBPUNJMBNGDUNUFPFSSRPFTPJTBTETTJFUBSUTFTPBE
CC = VISSSIGSWWSDCQWZNMWVOEQMVIYESPHEEXEEEWMQRPMVISTMSWO
MOEWQWJWEQEGDISSETEGOOSETYWWGQSXLGMXOHHECEEIGGIWEE
CD = RCKDJEGLRYDRRMKVVTUVVDLWRKEYEHGSHVPLVHCPRVTVDJJDEIZ
VHSRCVGVXRUGGLJVEGEGRGTQGVJXGRKRZGUJRRVJHHUEYGKUNU
La frecuencia relativa observada en cada uno de los subcriptogramas es:

A
CA 11 0
CB 0 14
CC 0 0
CD 0 0
2
1
1
3
3 12 1 0
6 4 12 1
2 18 0 7
5 7 0 12
0 11
0 0
3 7
6 1
0
4
1
7
0
1
0
5
5
0
1
4
6
3
7
1
9
6
1
1
1 10 2
8 6 14
0 0 2
0 6 2
1 9 7
2 1 6
6 1 12
1 13 2
4
9
3
3
5 1 0
7 1 0
0 3 12
7 14 0
0
0
3
2
0
0
2
3
0
1
1
2
La letra ms frecuente del subcriptograma debera corresponder a la letra E del

texto en claro, la segunda a la letra A y la tercera a la letra O.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 331
La regla AEO en el ataque de Kasiski
Si la posicin relativa de la letra A es el valor 0, entonces la letra E

est cuatro espacios a la derecha de la A (m+4 mod 27) y la letra O
est 15 espacios a la derecha de la letra A (m+15 mod 27).
Buscaremos en cada subcriptograma Ci las tres letras ms frecuentes y
que cumplan adems con esta distribucin.
Es suficiente contar con estas tres letras para que el ataque prospere.
No obstante, podemos afinar ms el ataque si tomamos en cuenta la
siguiente letra frecuente en castellano (S) en posicin (m+19) mod 27.
En el ejemplo para CA se observa que la nica solucin que cumple con

esto es la que coincide la AEO (11, 12, 10) luego la letra clave sera la A.
Para CB elegimos BFP (14, 12, 14) por lo que la letra clave sera B. Para
CC elegimos EIS (18, 7, 12) por lo que la letra clave sera E. Para CD
elegimos RVG (13, 14, 12) por lo que la letra clave sera R.
La clave ser K = ABER y M = Para que la cosa no me sorprenda....
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 332
El ndice de coincidencia IC
Cuando encontramos una longitud L de la clave por el mtodo de Kasiski
y rompemos el criptogama en L subcriptogamas, podemos comprobar que
cada uno de ellos se trata efectivamente de un cifrado monoalfabtico
aplicando el concepto del ndice de coincidencia IC.
26
IC = pi 2
i=0
para castellano mod 27: IC = pA2 + pB2 + ... + pZ2 = 0,072
Aunque el estudio de este ndice IC queda fuera del contexto de estos

apuntes, como para el castellano mod 27 el IC = 0,072, en el ataque de
Kasiski se comprueba que para cada subcriptograma su IC est cercano a
este valor. Si el IC es menor que 0,5 es muy probable que no estemos ante
un cifrador monoalfabtico sino uno polialfabtico de periodo 2 o mayor.
En el ejemplo anterior, una vez roto el criptograma en cuatro tenemos:
ICCA = 0,070; ICCB = 0,073; ICCC = 0,075; ICCD = 0,065.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 333
Cifrador poligrmico de Playfair

Los cifrados anteriores se hacan carcter a carcter, es decir eran
monogrmicos. Para aumentar la seguridad de la cifra podemos
cifrar por poligramas, bloques de caracteres.
Un cifrador inventado a finales del siglo XIX es el de Playfair que
trabaja con una matriz de 5x5 letras, cifrando por digramas. Si el
texto en claro tiene un nmero impar de elementos, se rellena con
una letra establecida, por ejemplo x.
A
F
L
Q
V
B
G
M
R
W
C
H
N/
S
X
D
I/J
O
T
Y

Jorge Rami Aguirre
E
K
P
U
Z
Si M1M2 estn en la misma fila, C1C2

son los dos caracteres de la derecha.
Si M1M2 estn en la misma columna,
C1C2 son los dos caracteres de abajo.
Si M1M2 estn en filas y columnas
distintas, C1C2 son los dos caracteres de
la diagonal, desde la fila de M1.
Madrid (Espaa) 2003
Diapositiva 334
Ejemplo de cifra con Playfair

Si la clave K = BEATLES, eliminando la letra , se pide cifrar el
mensaje M = With a little help from my friends.
B
S
H
O
V
E
C
I
P
W
A
D
K
Q
X
T
F
M
R
Y
L
G
N
U
Z
Se rompe la doble
MM agregando una
X y se rellena al
final con X
M = WI TH AL IT TL EH EL PF RO MX MY FR IE ND SX
C = EP BM TB ME LB BI AB RC UP KY RT MY PC KG DV
Estos sistemas tambin son criptoanalizables pues en el criptograma C
persisten algunas propiedades del lenguaje, en este caso la distribucin de
digramas tpicos del castellano como por ejemplo en, de, mb, etc.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 335
El cifrador de matrices de Hill

En 1929 Lester Hill propone un sistema de cifra usando una
matriz como clave, cifrando Ngramas de forma que:
C1
C2
C3
..
CN
k11
k21
k31
..
kN1
k12
k22
k32
..
kN2
k13
k23
k33
..
kN3
... k1N
... k2N
... k3N
..
... kNN
M1
M2
M3
..
MN
mod n
La matriz clave K debe tener inversa K-1 en el cuerpo de cifra n.

Luego, como K-1 = TADJ(K)/|K| mod n, en donde ADJ(K) es la
matriz adjunta, T es la traspuesta y |K| el determinante, este ltimo
valor |K| no podr ser cero ni tener factores en comn con n puesto
que est en el denominador (concepto de inverso).
Si el texto en claro no es mltiplo del bloque N, se rellena con
caracteres predeterminados, por ejemplo la letra X o la Z.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 336
Ejemplo de cifrado de Hill

Sea M = AMIGO CONDUCTOR y la clave K la que se muestra:
C1
C2
C3
16 4 11
= 8 6 18
15 19 15
0
X 12
8
K = PELIGROSO ser la clave

mod 27
simblica. Se cifrar el primer
trigrama: AMI = 0, 12, 8.
M = AMI GOC OND UCT ORZ

C1 = (160 + 412 + 118) mod 27 = 136 mod 27 = 1 = B
C2 = (80 + 612 + 188) mod 27 = 216 mod 27 = 0 = A
C3 = (150 + 1912 + 158) mod 27 = 348 mod 27 = 24 = X
C = BAX PMA BJE XAF EUM (compruebe Ud. los otros trigramas)
Para descifrar encontramos K-1 = inv (K, 27) = K-1 = TADJ(K)/|K| mod n
|K| = 16(615 - 1918) 4(815 - 1518) + 11 (819 - 156) mod 27 = 4
Encontramos luego la matriz adjunta de K, la trasponemos cambiando
filas por columnas y la multiplicamos por inv (|K|, 27) = inv (4, 27) = 7
con lo que se obtiene la matriz que se indica (hgalo Ud.)
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 337
Ejemplo de descifrado de Hill

M = K-1 x C mod n y
18 26 15
K-1 = 24 6 13
11 24 10
C = BAXPMABJEXAFEUM y la clave K-1 es la que se muestra:

M1
M2
M3
18 26 15
= 24 6 13
11 24 10
1
X
0
24
mod 27
Descifrado del primer trigrama

del criptograma: BAX = 1, 0, 24.
C = BAX PMA BJE XAF EUM

M1 = (181 + 260 + 1524) mod 27 = 378 mod 27 = 0 = A
M2 = (241 + 60 + 1324) mod 27 = 336 mod 27 = 12 = M
M3 = (111 + 240 + 1024) mod 27 = 251 mod 27 = 8 = I
M = AMI GOC OND UCT ORZ (compruebe Ud. los otros trigramas)
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 338
Es seguro el cifrador de Hill?

Si con el sistema de Hill se cifran bloques de 8 caracteres,
incluso en un cuerpo tan pequeo como n = 27 el espacio de
claves aumenta de forma espectacular, comparable con DES.
Si el mdulo de cifra es un primo p, entonces el nmero de
claves vlidas es cercano al mximo posible: px donde x = d2,
con d el tamao de N-grama o de la matriz clave.
No obstante, el sistema no es seguro. Debido a su linealidad
ser muy fcil hacer un ataque con texto claro conocido segn
el mtodo de Gauss Jordan y encontrar as la matriz clave K.
Esto es debido a que aparecen los llamados vectores unitarios
en el criptograma o en el texto en claro, o bien los obtenemos
aplicando este mtodo.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 339
Ataque al cifrado de Hill por Gauss Jordan

El mtodo consiste en escribir una matriz 2N-grmica con los elementos
del texto en claro y los elementos del criptograma. En esta matriz
realizamos operaciones lineales (multiplicar filas por un nmero y restar
filas entre s) con el objeto de obtener los vectores unitarios.
Por ejemplo podemos romper la matriz clave K teniendo:
M = ENU NLU GAR DEL AMA NCH ADE CUY ONO ...
C = WVX IDQ DDO ITQ JGO GJI YMG FVC UT ...
E
N
G
D
A
N
A
C
O
N
L
A
E
M
C
D
U
N
U
U
R
L
A
H
E
Y
O
W
I
D
I
J
G
Y
F
U
V
D
D
T
G
J
M
V

Jorge Rami Aguirre
X
Q
O
Q
O
I
G
C
T
4
13
6
3
0
13
0
2
15
13
11
0
4
12
2
3
21
13
21
21
18
11
0
7
4
25
15
23
8
3
8
9
6
25
5
21
Madrid (Espaa) 2003
22
3
3
20
6
9
12
22
14
24
17
15
17
15
8
6
2
20
Diapositiva 340
Operaciones en la matriz de Gauss Jordan

Vamos a dejar en la primera columna un nmero uno en la fila
primera y todas las dems filas un cero. Luego multiplicamos el
vector (4 13 21 | 23 22 24) por el inv (4, 27) = 7. As obtenemos
7(4 13 21 | 23 22 24) mod 27 = (1 10 12 | 26 19 6). Si esto no se
puede hacer con la primera fila movemos los vectores. Hecho esto
vamos restando las filas respecto de esta primera como se indica:
4
13
6
3
0
13
0
2
15
13
11
0
4
12
2
3
21
13
21
21
18
11
0
7
4
25
15
23
8
3
8
9
6
25
5
21
22
3
3
20
6
9
12
22
14

Jorge Rami Aguirre
24
17
15
17
15
8
6
2
20
a)
b)
c)
d)
e)
f)
g)
h)
2 fila = 2 fila 131 fila mod 27

5 fila ya tiene un 0
7 fila ya tiene un 0
Madrid (Espaa) 2003
Diapositiva 341
Matriz clave de Hill criptoanalizada

Repetimos este procedimiento ahora para algn vector en cuya
segunda columna tenga un nmero con inverso en 27 y lo mismo
para la tercera columna, moviendo si es preciso los vectores.
Como la mitad izquierda de la matriz 2N era el texto el claro, la
parte derecha de la matriz con vectores unitarios corresponder a
la traspuesta de la clave.
1
0
0
0
0
0
0
0
0
0
1
0
0
0
0
0
0
0
0
0
1
0
0
0
0
0
0
2
3
4
0
0
0
0
0
0
5
5
6
0
0
0
0
0
0

Jorge Rami Aguirre
7
8
9
0
0
0
0
0
0
K=
2
5
7
4
6
9
Compruebe que la clave es

la utilizada en este cifrado.
Madrid (Espaa) 2003
3
5
8
Diapositiva 342
El cifrador de Vernam
En 1917 Gilbert Vernam (MIT) propone un cifrador por sustitucin
binaria con clave de un solo uso, basado en el cdigo Baudot de 5 bits:
La operacin de cifra es la funcin XOR.
Usa una secuencia cifrante binaria y aleatoria S que se obtiene de
una clave secreta K compartida por emisor y receptor.
El algoritmo de descifrado es igual al de cifrado por la involucin de
la funcin XOR.
La clave ser tan larga o ms que el mensaje y se usar una sola vez.
Clave K
secuencia cifrante
S
Algoritmo
Determinstico
MENSAJE M

Jorge Rami Aguirre
Clave K
Criptograma
Madrid (Espaa) 2003
Algoritmo
Determinstico
M MENSAJE
Diapositiva 343
Ejemplo de cifrado de Vernam

Usando el cdigo Baudot (vase captulo 18) se pide cifrar el
mensaje M = BYTES con la clave K = VERNAM.
Solucin:
BV = 1100111110 = 00111 = U
YE = 1010100001 = 10100 = H
TR = 1000001010 = 11010 = G
EN = 0000101100 = 01101 = F
SA = 0010100011 = 00110 = I
C = UHGFI
El sistema de Vernam es el nico que es matemticamente seguro e
imposible de criptoanalizar ya que la clave se usa una sola vez (one
time pad), es aleatoria y tanto o ms larga que el propio mensaje.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 344
En construccin ...
ESTIMADO/A LECTOR/A:
AL IGUAL QUE EN CIERTAS PGINAS WEB,
ESTE CAPTULO ESTAR EN CONSTRUCCIN
DURANTE MUCHO TIEMPO... ... mis disculpas!
NO OBSTANTE, SE SEGUIRN PUBLICANDO LOS TEMAS
SIGUIENTES DEL CURSO EN DIAPOSITIVAS SOBRE TCNICAS
DE CIFRA MODERNAS, DE MAYOR INTERS ACADMICO
DE ACUERDO CON EL AVANCE DE LA ASIGNATURA DE
SEGURIDAD INFORMTICA.
Pero si est muy interesado en el tema...
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 345
El libro electrnico de criptografa clsica

Si est interesado en estos temas de criptografa clsica e
historia de las mquinas de cifrar, puede descargar el Libro
Electrnico de Criptografa Clsica hecho en ToolBook desde el
servidor de la Red Temtica Iberoamericana de Criptografa y
Seguridad de la Informacin, CriptoRed.
http://www.criptored.upm.es/paginas/software.htm#propio
El archivo de instalacin tiene 5.17 MB y es de libre distribucin
como gran parte del software y documentos de este servidor.
Su uso es verdaderamente sencillo. Podr adems comprobar y
practicar con estos algoritmos de cifra clsica puesto que el
libro incluye una seccin con software especfico para ello.
Tambin puede descargarse desde el mismo servidor un
programa para prcticas denominado CriptoClsicos.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 346
El libro de la asignatura y los exmenes

Tambin puede seguir con amplios detalles estos sistemas de
cifra clsicos en el libro de la asignatura Seguridad Informtica
Aplicaciones Criptogrficas, 2 edicin, Junio de 1999
Departamento de Publicaciones - Escuela Universitaria de
Informtica - Universidad Politcnica de Madrid (Espaa)
I.S.B.N.: 84-87238-57-2 Depsito Legal: M-24709-1999
Y en los casi 20 exmenes de dicha asignatura (incluyen siempre
un ejercicio bsico sobre este tipo de cifra) y sus soluciones
que podr encontrar en el servidor Web de CriptoRed
http://www.criptored.upm.es/paginas/docencia.htm#examenes
Fin del Tema 7
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 347
LAS SIGUIENTES PREGUNTAS ESTN RELACIONADAS
CON ESTOS APUNTES, EL LIBRO ELECTRNICO DE
CRIPTOGRAFA CLSICA Y EL SOFTWARE DE PRCTICAS
CRIPTOCLSICOS QUE SE HA COMENTADO.
1.
2.
3.
4.
Qu significa cifrar por sustitucin y qu por transposicin?

Por qu que el mtodo esctala es un cifrado por permutacin?
Cul es la peor debilidad que tiene el sistema de cifra del Csar?
Ciframos el mensaje M = HOLA QUE TAL con un desplazamiento
de 6 caracteres, cul es el criptograma? Y si desplazamos 27?
5. Por qu no podemos cifrar en el cuerpo n = 27 con la funcin de
cifra C = (12M + 5) mod n? Qu condicin deber cumplirse?
6. Cmo podramos atacar un sistema de cifra tipo Csar? Y si la
cifra es de tipo afn como el de la pregunta anterior?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 348
7. Cifre el mensaje M = VAMOS A VER con un sistema afn siendo el
valor a = 5 y b = 2 usando slo operaciones modulares.
8. En un sistema de cifra de Vigenre la clave a usar puede ser CERO
o bien COMPADRE, cul de las dos usara y por qu?
9. Cifre segn Vigenre el mensaje M = UNA PRUEBA con la clave
K = OLA sin usar la tabla, slo con operaciones modulares.
10. Por qu se dice que Vigenre es un cifrador polialfabtico?
11. Cmo podramos atacar un cifrado polialfabtico peridico?
12. Cifre con el mtodo de Vernam binario en mensaje M = VIDA y
clave K = TACO suponiendo texto ASCII. Si la clave se cambia en
cada cifra y es aleatoria, cmo se comporta este cifrador?
13. Qu significa cifrar por homfonos? Qu es el cifrado de Beale?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 349
14. Indique las mquinas de cifrar que se usaron en la Segunda Guerra
Mundial y diga de forma sencilla cmo funcionaban.
15. Se cifra por permutaciones usando para ello una distribucin en
columnas con clave. Qu similitud tendr luego este sistema de
cifra con algunas operaciones hechas en el DES?
16. Cifre con el cifrador digrmico de Hill el mensaje ADIOS AMIGO.
Qu matriz simblica puede usar: GATO, GOTA, MISA o MESA?
17. Cifre y descifre con la matriz trigrmica simblica PELIGROSO el
mensaje HOY ES UN HERMOSO DIA.
18. Si la clave es tan grande, es segura la cifra de Hill? Por qu?
19. Qu significan los vectores unitarios? Es fcil encontrarlos?
20. Cmo funciona el ataque de Gauss Jordan? Obtenga la matriz clave
del ejercicio 17 mediante Gauss Jordan.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 350
Tema 8
Sistemas de Cifra Modernos
v 3.1
Material Docente de
Libre Distribucin
Jorge Rami Aguirre

Conceptos elementales
Un par de ideas bsicas
Los criptosistemas modernos, cuya cifra en bits est
orientada a todos los caracteres ASCII o ANSI usan por
lo general una operacin algebraica en Zn, un cuerpo
finito, sin que necesariamente este mdulo deba
corresponder con el nmero de elementos del alfabeto o
cdigo utilizado. Es ms, nunca coinciden; siempre ser
mucho mayor el cuerpo de trabajo que el alfabeto.
Su fortaleza est en la imposibilidad computacional de
descubrir una clave secreta nica, en tanto que el
algoritmo de cifra es (o debera ser) pblico.
Jorge Rami Aguirre
Tema 8: Sistemas de Cifra Modernos
Madrid (Espaa) 2003
Diapositiva 352

MTODOSDE
DECIFRA
CIFRAMODERNA
MODERNA
MTODOS
CIFRADO EN FLUJO
y algunos
ejemplos...
CIFRADO EN BLOQUE
LFSRs A5
Telefona mvil
y tiempo real
CLAVE PBLICA
EXPONENCIACIN
SUMA/PRODUCTO
RSA , ELGAMAL
Intercambio de claves
y firma digital
CE, MOCHILAS
MH (Proteccin
de SW va HW)

Jorge Rami Aguirre
CLAVE SECRETA
DES; T-DES; CAST;
IDEA; RIJNDAEL ...
Cifrado propio de
la informacin
Madrid (Espaa) 2003
Diapositiva 353
Introduccin al cifrado de flujo

Usa el concepto de cifra propuesto por Vernam,
que cumple con las ideas de Shannon sobre
sistemas de cifra con secreto perfecto, esto es:
a) El espacio de las claves es igual o mayor que el
espacio de los mensajes.
b) Las claves deben ser equiprobables.
c) La secuencia de clave se usa una sola vez y luego
se destruye (sistema one-time pad).
DUDA: Es posible satisfacer la condicin a)?

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 354
Espacio de claves y del mensaje

Espacio de Claves Espacio de Mensajes?
1) La secuencia de bits de la clave deber enviarse al
destinatario a travs de un canal que sabemos es
inseguro (recuerde que an no conoce el protocolo
de intercambio de clave de Diffie y Hellman).
2) Si la secuencia es infinita, desbordaramos la
capacidad del canal de comunicaciones.
Qu solucin damos
a este problema?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 355
El concepto de semilla en un generador

Si por el canal supuestamente seguro enviamos esa clave
tan larga ... por qu entonces no enviamos directamente
el mensaje en claro y nos dejamos de historias?
La solucin est en generar una secuencia de tipo

pseudoaleatoria con un algoritmo determinstico a
partir de una semilla de slo unas centenas de bits.
Podremos generar as secuencias con perodos del
orden de 2n, un valor ciertamente muy alto. Esta
semilla es la que se enva al receptor mediante un
sistema de cifra de clave pblica y un algoritmo de
intercambio de clave y no sobrecargamos el canal.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 356
Tcnica de cifra en flujo

El mensaje en claro se leer bit a bit.
Se realizar una operacin de cifra, normalmente
la funcin XOR, con una secuencia cifrante de
bits Si que debe cumplir ciertas condiciones:
Un perodo muy alto.
Aleatoriedad en sus propiedades.
Mensaje M
XOR
Lo veremos en
el captulo 9...
XOR
Mensaje M
Bits del Criptograma
Secuencia cifrante Si
Jorge Rami Aguirre
Secuencia cifrante Si
Madrid (Espaa) 2003
Diapositiva 357
Introduccin a la cifra en bloque

El mensaje se agrupa en bloques, por lo
general de 8 bytes, antes de aplicar el
algoritmo de cifra a cada bloque de
forma independiente con la misma clave.
Cifrado con Clave Secreta

Hay algunos algoritmos muy conocidos por su uso
en aplicaciones bancarias (DES), correo electrnico
(IDEA, CAST) y comercio electrnico (Triple DES).
No obstante, tienen tres puntos dbiles.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 358
Debilidades de la cifra con clave secreta

a) Mala gestin de claves. Crece el nmero de claves
secretas en un orden igual a n2 para un valor n
grande de usuarios .
b) Mala distribucin de claves. No existe posibilidad
de enviar, de forma segura, una clave a travs de
un medio inseguro .
c) No tiene firma digital. Aunque s ser posible
autenticar el mensaje mediante una marca, no es
posible firmar digitalmente el mensaje .
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 359
Por qu usamos clave secreta?

a) Mala gestin de claves
b) Mala distribucin de claves
c) No tiene firma digital
Tiene algo de bueno la cifra
en bloque con clave secreta?
S: la velocidad de cifra es muy alta y por ello se usar
para realizar la funcin de cifra de la informacin. Adems,
con claves de slo unas centenas de bits obtendremos una
alta seguridad pues su no linealidad y algoritmo hace que el
nico ataque que puede prosperar es de el de la fuerza bruta.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 360
Cifrado en bloque con clave pblica
Comienza a ser ampliamente conocido a travs de

su aplicacin en los sistemas de correo electrnico
seguro (PGP y PEM) permitiendo cifrar e incluir
una firma digital adjunta al documento o e-mail
enviado y tambin en navegadores Web.
Cada usuario tiene dos claves, una secreta o privada
y otra pblica, inversas dentro de un cuerpo.
Usan las funciones unidireccionales con trampa.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 361
Funciones unidireccionales con trampa

Son funciones matemticas de un solo sentido
(one-way functions) y que nos permiten usar la
funcin en sentido directo o de clculo fcil para
cifrar y descifrar (usuarios legtimos) y fuerza el
sentido inverso o de clculo difcil para aquellos
impostores, hackers, etc. que lo que desean es
atacar o criptoanalizar la cifra.
f (M) = C es siempre fcil.
f -1(C) = M es difcil salvo que se tenga la trampa.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 362
Funciones con trampa ms usadas

Problema
Problemade
delalafactorizacin
factorizacin
Clculo directo: producto de dos primos grandes pq = n
Clculo inverso: factorizacin de nmero grande n = pq
Problemadel
dellogaritmo
logaritmodiscreto
discreto
Problema
Clculo directo: exponenciacin discreta = x mod n
Clculo inverso: logaritmo discreto
x = log mod n
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 363
Otras funciones con trampa

Problemade
delalamochila
mochila
Problema
Clculo directo: sumar elementos de mochila con trampa
Clculo inverso: sumar elementos de mochila sin trampa
Problema
Problemade
delalaraz
razdiscreta
discreta
Clculo directo: cuadrado discreto
Clculo inverso: raz cuadrada discreta
Jorge Rami Aguirre
Madrid (Espaa) 2003
x = aa mod n
a = x mod n
Diapositiva 364
Cifrado con clave pblica de destino

origen
NUESTROS PROTAGONISTAS
Benito
Claves:eeB, ,nnB, ,ddB

Claves:
B
B
B
eB, nB: pblicas
dB:
privada
eB y dB son
inversas dentro
de un cuerpo ZB
Jorge Rami Aguirre
Si Benito realiza la
operacin con las
claves pblicas de
Adela (eA, nA), la
informacin que se
transmite mantiene la
confidencialidad:
slo ella puede verla.
C = EeA(M) mod nA
Madrid (Espaa) 2003
destino
Adela
Claves:
Claves:eeAA, ,nnAA, ,ddAA
eA, nA: pblicas
dA:
privada
eA y dA son
inversas dentro
de un cuerpo ZA
Diapositiva 365
Operacin de cifra con clave de destino

Cifrado:
Benito enva un mensaje M a Adela
Benito
Adela
C = EeA(M) mod nA
Claves: eB, nB, dB
Claves: eA, nA, dA
Claves pblicas
Descifrado:
Clave privada
M = EdA[EeA(M)] mod nA
EdA y EeA son inversos
Se obtiene confidencialidad del mensaje

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 366
Y si usamos la clave pblica de origen?

Si en vez de utilizar la clave pblica de destino, el emisor
usa su propia clave pblica, la cifra no tiene sentido bajo
el punto de vista de sistemas de clave pblica ya que slo
l o ella sera capaz de descifrar el criptograma (deshacer
la operacin de cifra) con su propia clave privada.
Esto podra usarse para cifrar de forma
local uno o varios ficheros, por
ejemplo, pero para ello ya estn los
sistemas de clave secreta, mucho ms
rpidos y, por tanto, ms eficientes.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 367
Y si usamos la clave privada de origen?

Si ahora el emisor usa su clave privada en la cifra sobre
el mensaje, se obtiene una firma digital que le autentica
como emisor ante el destinatario y, adems, a este ltimo
le permitir comprobar la integridad del mensaje.
Veamos antes un ejemplo de
algoritmo que usa un par de
claves entre dos usuarios...
Obviamente, el emisor nunca podr realizar la cifra del

mensaje M con la clave privada del receptor.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 368
El algoritmo del mensaje en la caja

PROTOCOLO: A enva a B un mensaje M
1 A pone el mensaje M en la caja, la cierra con su
llavey la enva a B.
2 B recibe la caja, la cierra con su llavey enva a
A la caja con las dos cerraduras.
3 A recibe la caja, quita su llave y devuelve a B
la caja slo con la cerradura de B.
4 B recibe la caja, quita su cerradura y puede ver
el mensaje M que A puso en el interior de la caja.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 369
Todo bien en el algoritmo de la caja?

Durante la transmisin, el mensaje est
protegido de cualquier intruso por lo
que existe integridad del mensaje y hay
proteccin contra una ataque pasivo.
Pero el usuario B no puede estar seguro
si quien le ha enviado el mensaje M es
Modificando algo el
el usuario A o un impostor. Por lo tanto
algoritmo anterior,
el algoritmo as implementado no nos
podremos asegurar
tanto la integridad del
permite comprobar la autenticidad del
mensaje como la
emisor pues no detecta la suplantacin
autenticidad de emisor.
de identidad. No obstante...
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 370
Cifrado con clave privada del origen

origen
Benito
Claves:eeB, ,nnB, ,ddB
Claves:
B
B
B
eB, nB: pblicas
dB:
privada
eB y dB son
inversas dentro
de un cuerpo ZB
Jorge Rami Aguirre
Si ahora Benito realiza

la operacin de cifra con
su clave privada dB en el
cuerpo nB Adela ser
capaz de comprobar esa
cifra ya que posee (entre
otras) la clave pblica de
Benito. Comprueba as
tanto la autenticidad del
mensaje como del autor.
C = EdB(M) mod nB
Madrid (Espaa) 2003
destino
Adela
Claves:
Claves:eeAA, ,nnAA, ,ddAA
eA, nA: pblicas
dA:
privada
eA y dA son
inversas dentro
de un cuerpo ZA
Diapositiva 371
Operacin de cifra con clave de origen

Cifrado:
Benito firma un mensaje M a Adela
Benito
Claves: eB, nB, dB
Adela
C = EdB(M) mod nB
Claves: eA, nA, dA

Clave privada
Descifrado:
Claves pblicas
M = EeB[EdB(M)] mod nB
EdB y EeB son inversos
Se comprueba la integridad del origen

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 372
Uso de la criptografa asimtrica

Estas dos operaciones de cifra son posibles debido a la
caracterstica intrnseca de los sistemas de clave pblica: el
uso de una clave privada (secreta) inversa de una pblica.
Qu aplicacin tendrn entonces los sistemas de
criptografa de clave pblica o asimtrica?
Usando la clave pblica del destino se har el intercambio
de claves de sesin de una cifra con sistemas simtricos
(decenas a centenas de bits).
Usando la clave privada de origen, se firmar digitalmente
un resumen (decenas a centenas de bits) del mensaje
obtenido con una funcin hash.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 373
La gestin de claves
Gestin de claves
Clave Secreta
Hay que memorizar
un nmero muy alto
de claves: n2.
Clave Pblica
Slo es necesario
memorizar la clave
privada del emisor.
En cuanto a la gestin de claves, sern mucho ms

eficientes los sistemas de cifra asimtricos pues los
simtricos no permiten una gestin lgica y eficiente
de estas claves.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 374
El espacio de claves
Longitud y espacio de claves
Clave Secreta
Debido al tipo de
cifrador usado, la
clave ser del orden
de la centena de bits.
128
Clave Pblica
Por el algoritmo usado
en la cifra, la clave
ser del orden de los
miles de bits.
En cuanto al espacio de claves, no son comparables los

sistemas simtricos con los asimtricos. Para atacar un
sistema asimtrico no se buscar en todo el espacio de
claves como debera hacerse en los sistemas simtricos.

Jorge Rami Aguirre
Madrid (Espaa) 2003
1024
Diapositiva 375
La vida de las claves

Vida de una clave
Clave Secreta
La duracin es muy
corta. Normalmente
se usa como una
clave de sesin.
Segundos
o minutos
Clave Pblica
La duracin de la clave
pblica, que la entrega
y gestiona un tercero,
suele ser larga.
En cuanto a la vida de una clave, en los sistemas

simtricos sta es muchsimo menor que las usadas
en los asimtricos. La clave de sesin es aleatoria,
en cambio la asimtrica es propia del usuario.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Meses o
un ao
Diapositiva 376
Vida de la clave y principio de caducidad

Si en un sistema de clave secreta, sta se usa como clave
de una sesin que dura muy poco tiempo...
y en este tiempo es imposible romperla...
para qu preocuparse entonces?
La confidencialidad de la informacin tiene

una caducidad. Si durante este tiempo
alguien puede tener el criptograma e intentar
un ataque por fuerza bruta, obtendr la clave
(que es lo menos importante) ...
pero tambin el mensaje secreto! ... puede ser muy peligroso.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 377
El problema de la autenticacin
Condiciones de la autenticidad:
a) El usuario A deber protegerse ante mensajes
dirigidos a B que un tercer usuario desconocido C
introduce por ste. Es la suplantacin de identidad o
problema de la autenticacin del emisor.
b) El usuario A deber protegerse ante mensajes
falsificados por B que asegura haberlos recibido
firmados por A. Es la falsificacin de documento o
problema de la autenticacin del mensaje.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 378
La autenticacin de origen y de destino

Autenticacin
Clave Secreta
Se puede autenticar
al mensaje pero no
al emisor de forma
sencilla y clara.
Clave Pblica
Al haber una clave
pblica y otra privada,
se podr autenticar el
mensaje y al emisor.
En cuanto a la autenticacin, los sistemas simtricos

tienen una autenticacin ms pesada y con una tercera
parte de confianza. Los asimtricos permiten una
firma digital verdadera, eficiente y sencilla.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 379
La velocidad de cifra
Velocidad de cifra
Clave Secreta
La velocidad de
cifra es muy alta.
Es el algoritmo de
cifra del mensaje.
Cientos de
M Bytes/seg
en HW
En cuanto a la velocidad de cifra, los

sistemas simtricos son de 100 a 1.000
veces ms rpidos que los asimtricos.
En SW la velocidad de cifra es ms baja.

Jorge Rami Aguirre
Clave Pblica
La velocidad de cifra
es muy baja. Se usa
para el intercambio de
clave y la firma digital.
Madrid (Espaa) 2003
Cientos de
K Bytes/seg
en HW
Diapositiva 380
Resumen cifra simtrica v/s asimtrica

Cifrado Simtrico
Cifrado Asimtrico
Confidencialidad
Autenticacin parcial
Sin firma digital
Claves:
Longitud pequea
Vida corta
Nmero elevado
Velocidad alta
Confidencialidad
Autenticacin total
Con firma digital
Claves:
Longitud grande
Vida larga
Nmero reducido
Velocidad baja
Fin del Tema 8

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 381
1. En un sistema de cifra se usa un cuerpo de trabajo n. Cmo es el
tamao de ese cuerpo comparado con el tamao del alfabeto usado?
2. Cmo se clasifican los criptosistemas en funcin del tratamiento
que hacemos del mensaje a cifrar?
3. Cmo se clasifican los criptosistemas en funcin de tipo de clave
que se usa en ambos extremos, emisor y receptor?
4. Por qu se dice que un sistema es simtrico y el otro asimtrico?
5. Es posible cumplir 100% con la condicin del cifrado de Vernam?
6. Por qu en los cifradores de flujo se usa la misma funcin XOR en
el extremo emisor y en el extremo receptor? Son inversas aqu las
claves usadas para cifrar y descifrar?
7. Indique y comente algunas debilidades de los sistemas de cifra en
bloque con clave secreta.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 382
8. Si ciframos un nmero con la clave pblica del usuario receptor,
qu cree Ud. que estamos haciendo?
9. Por qu decimos que en un sistema asimtrico la gestin de claves
es mucho mejor que en un sistema simtrico?
10. Nos entregan un certificado digital (certificacin de clave pblica)
de 512 bits. Es hoy en da un valor adecuado? Por qu s o o?
11. Por qu decimos que con un sistema asimtrico es muy fcil
generar una firma digital en emisin y comprobarla en destino?
12. Compare los sistemas simtricos y asimtricos en cuanto a su
velocidad de cifra.
13. Qu es un cifrado hbrido? Por qu y cmo se usa la cifra hbrida
en el intercambio de informacin segura por ejemplo en Internet?
14. Qu relacin hay entre vida de una clave y principio de caducidad?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 383
Tema 9
Sistemas de Cifra en Flujo
v 3.1
Material Docente de
Libre Distribucin
Jorge Rami Aguirre

Cifrador de flujo bsico

Siguiendo la propuesta de cifrador hecha en 1917 por
Vernam, los cifradores de flujo (clave secreta) usan:
Una cifra basada en la funcin XOR.
Una secuencia cifrante binaria y aleatoria S que se obtiene
de una clave secreta K compartida por emisor y receptor.
Un algoritmo de descifrado que es igual al de cifrado por la
involucin de la funcin XOR.
Clave K
secuencia cifrante
S
Algoritmo
Determinstico
MENSAJE M

Jorge Rami Aguirre
Clave K
Tema 9: Sistemas de Cifra en Flujo
Madrid (Espaa) 2003
Algoritmo
Determinstico
M MENSAJE
Diapositiva 386
Caractersticas de la secuencia cifrante Si

Condiciones para una clave segura
Perodo:
La clave deber ser tanto o ms larga que el mensaje.
En la prctica se usar una semilla de unos 120 a 250
bits para generar perodos superiores a 1035.
Distribucin de bits:
Rachas y AC(k)
Distribucin uniforme de unos y ceros que represente

una secuencia pseudoaleatoria (Postulados Golomb).
Rachas de dgitos: uno o ms bits entre dos bits distintos.
Funcin de Autocorrelacin Fuera de Fase AC(k):
desplazamiento de k bits sobre la misma secuencia S.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 387
Rachas de dgitos en una secuencia

Rachas de una secuencia S de perodo 15
Bit anterior
es un 0
11 11 11 11 00 11 00 11 11 00 00 11 00 00 00
Prximo
bit es un 1
Rachas de 1s
Rachas de 0s
Un 0 entre dos 1s
Racha de 1111s
Un 1111 entre dos 0s
Un 1 entre dos 0s
Racha de 00s
Un 00 entre dos 1s
Racha de 11s
Un 11 entre dos 0s
Racha de 000s
Un 000 entre dos 1s

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 388
Distribucin de las rachas de dgitos

Las rachas, es decir la secuencia de dgitos iguales entre
dos dgitos distintos, debern seguir una distribucin
estadstica de forma que la secuencia cifrante Si tenga un
comportamiento de clave aleatoria o pseudoaleatoria.
Para que esto se cumpla, es obvio que habr ms rachas
cortas que rachas largas como en el ejemplo anterior.
Como veremos ms adelante, esta distribucin seguir
una progresin geomtrica. Por ejemplo una secuencia Si
podra tener 8 rachas de longitud uno, 4 de longitud dos,
2 de longitud tres y 1 de longitud cuatro.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 389
Autocorrelacin fuera de fase AC(k)

Funcin de Autocorrelacin:
Autocorrelacin AC(k) fuera de fase de una secuencia
Si de perodo T desplazada k bits a la izquierda:
AC(k) = (A - F) / T
Aciertos bits iguales
Fallos bits diferentes
Ejemplo
Si
A=
1 1 1 1 0 1 0 1 1 0 0 1 0 0 0
1 1 1 0 1 0 1 1 0 0 1 0 0 0 1
F=
A=7; F=8
AC(1)= -1/15

Jorge Rami Aguirre
Si k = 1
Madrid (Espaa) 2003
Diapositiva 390
Autocorrelacin fuera de fase constante

Si
1 1 1 1 0 1 0 1 1 0 0 1 0 0 0
Como ejercicio, compruebe que para esta secuencia cifrante

Si la Autocorrelacin Fuera de Fase AC(k) para todos los
valores de k (1 k 14) es constante e igual a -1/15.
Esto ser importante para la calidad de la clave.
Para que una secuencia cifrante sea considerada segura,
adems de cumplir con la distribucin de rachas, deber
tener una AC(k) constante como veremos ms adelante.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 391
Imprevisibilidad e implementacin de Si
Imprevisibilidad:
Aunque se conozca una parte de la secuencia Si, la
probabilidad de predecir el prximo dgito no debe ser
superior al 50%.
Esto se define a partir de la Complejidad Lineal.
Facilidad de implementacin:
Debe ser fcil construir un generador de secuencia
cifrante con circuitos electrnicos y chips, con bajo
coste, alta velocidad, bajo consumo, un alto nivel de
integracin, etc.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 392
Primer postulado de Golomb G1

Postulado G1:
Deber existir igual nmero de ceros que de unos. Se
acepta como mximo una diferencia igual a la unidad.
S1
1 1 1 1 0 1 0 1 1 0 0 1 0 0 0
En la secuencia S1 de 15 bits, hay 8 unos y 7
ceros. Luego s cumple con el postulado G1.
S2
1 1 0 1 0 1 0 1 0 0 0 1 0 0 0 1
En la secuencia S2 de 16 bits, hay 7 unos y 9
ceros. Luego no cumple con el postulado G1.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 393
Significado del postulado G1

Si
1 1 1 1 0 1 0 1 1 0 0 1 0 0 0
Qu significa esto?
Si una secuencia Si cumple con G1, quiere decir que la
probabilidad de recibir un bit 1 es igual a la de recibir un bit 0, es
decir un 50%.
Por lo tanto, a lo largo de una secuencia Si, independientemente
de los bits recibidos con anterioridad, en media ser igualmente
probable recibir un 1 que un 0, pues hay una mitad de
valores uno y otra mitad de valores cero.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 394
Segundo postulado de Golomb G2

Postulado G2:
En un perodo T, la mitad de las rachas de Si sern de
longitud 1, la cuarta parte de longitud 2, la octava parte
de longitud 3, etc.
Las rachas de
Si
1 1 1 1 0 1 0 1 1 0 0 1 0 0 0
esta secuencia
estn en una
diapositiva
anterior
En la secuencia Si de 15 bits, hay 4 rachas de longitud uno, 2

rachas de longitud dos, 1 racha de longitud tres y 1 racha de
longitud cuatro. Este tipo de distribucin en las rachas para
perodos impares, es tpica de las denominadas m-secuencias
como veremos ms adelante en el apartado generadores LFSR.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 395

Si
1 1 1 1 0 1 0 1 1 0 0 1 0 0 0
Qu significa esto?
Si una secuencia Si cumple con G2, quiere decir que la
probabilidad de recibir un bit 1 0 despus de haber recibido un
1 o un 0 es la misma, es decir un 50%.
Es decir, recibido por ejemplo un 1, la cadena 10 es
igualmente probable que la cadena 11. Lo mismo sucede con
un 0 al comienzo, un 00, 01, 10, 11, 000, 001, etc. Existe una
equiprobabilidad tambin en funcin de los bits ya recibidos.
Como comprobaremos ms adelante, esto va a significar que la
secuencia pasa por todos sus estados, es decir todos sus restos.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 396
Tercer postulado de Golomb G3 (1)

Postulado G3:
La autocorrelacin AC(k) deber ser constante
para todo valor de desplazamiento de k bits.
Si
0 1 1 1 0 1 0 0
Secuencia original
Desplazamiento de un bit a la izquierda
k=1
1 1 1 0 1 0 0 0
AC(1) = (4-4)/8 = 0
k=2
1 1 0 1 0 0 0 1
AC(2) = (4-4)/8 = 0
k=3
1 0 1 0 0 0 1 1
AC(3) = (2-6)/8 = -1/2
k=4
0 1 0 0 0 1 1 1
AC(4) = (4-4)/8 = 0 sigue

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 397
Tercer postulado de Golomb G3 (2)

Si
0 1 1 1 0 1 0 0
Secuencia original
k=5
1 0 0 0 1 1 1 0
AC(5) = (2-6)/8 = -1/2
k=6
0 0 0 1 1 1 0 1
AC(6) = (4-4)/8 = 0
k=7
0 0 1 1 1 0 1 0
AC(7) = (4-4)/8 = 0
k=8
0 1 1 1 0 1 0 0
Secuencia original en fase
La secuencia Si = 01110100 de 8 bits no cumple con G3.

Si = 10101100 s cumple. Compruebe que AC(k) = - .
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 398

Si
0 1 1 1 0 1 0 0
No cumple con G3
Si
1 0 1 0 11 0 0
S cumple con G3
Qu significa esto?
Si una secuencia cumple con el postulado G3 quiere decir
que, independientemente del trozo de secuencia elegido por
el atacante, no habr una mayor cantidad de informacin que
en la secuencia anterior. As, ser imposible aplicar ataques
estadsticos a la secuencia recibida u observada al igual
como operbamos, por ejemplo y guardando las debidas
distancias, con el sistema Vigenre y el ataque de Kasiski.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 399
Generador de congruencia lineal

xi+1 = (axi b)(mod n) secuencia cifrante
Los valores a, b, n caracterizan al generador y
se utilizan como clave secreta.
El valor x0 se conoce como semilla; es el que
inicia el proceso generador de la clave Xi.
La secuencia se genera de i = 0 hasta i = n-1.
Tiene como debilidad que resulta relativamente
fcil atacar la secuencia, de forma similar a los
cifradores afines de la criptografa clsica.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 400
Ejemplo generador de congruencia lineal

Sea:
Sea:
aa==55 bb==11
16 xx0==10
10
nn==16
0
xi+1 = (axi b)(mod n)
Si = 10, 3, 0, 1, 6, 15, 12, 13, 2, 11, 8, 9, 14, 7, 4, 5
x1 = (510+1) mod 16 = 3
x3 = (50+1) mod 16 = 1
x5 = (56+1) mod 16 = 15
x7 = (512+1) mod 16 = 13
x9 = (52+1) mod 16 = 11
x11 = (58+1) mod 16 = 9
x13 = (514+1) mod 16 = 7
x15 = (54+1) mod 16 = 5
Jorge Rami Aguirre
Pero...
x2 = (53+1) mod 16 = 0
x4 = (51+1) mod 16 = 6
x6 = (515+1) mod 16 = 12
x8 = (513+1) mod 16 = 2
x10 = (511+1) mod 16 = 8
x12 = (59+1) mod 16 = 14
x14 = (57+1) mod 16 = 4
x16 = (55+1) mod 16 = 10
Madrid (Espaa) 2003
Diapositiva 401
Algo falla en este generador?

xi+1 = (axi b)(mod n)
Qusucede
sucedesisi
Qu
aa==55 bb==22
16 xx0==10?
10?
nn==16
0
Qusucede
sucedesisi
Qu
11 bb==11
aa==11
16 xx0==7?
7?
nn==16
0
Ejercicios
Qusucede
sucedesisi
Qu
aa==55 bb==22
16 xx0==1?
1?
nn==16
0
Qusucede
sucedesisi
Qu
aa==44 bb==11
16 xx0==10?
10?
nn==16
0
Saque sus propias conclusiones.

Como habr comprobado, este tipo de generadores de secuencia
cifrante no son criptogrficamente nada interesantes.
Una vez hecho esto personalmente, pase a la siguiente diapositiva.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 402
Debilidad en este tipo de generadores

Si = (117 + 1) mod 16
Si = 15, 7
Si = (510 + 2) mod 16
Si = 4, 6, 0, 2, 12, 14, 8, 10
Si = (51 + 2) mod 16
Si = 7, 5, 11, 9, 15, 13, 3, 1
Si = (410 + 1) mod 16
Si = 9, 5, 5, ....
Jorge Rami Aguirre
El perodo que se genera es

slo de tamao dos ... /
Se obtiene un perodo muy
bajo y slo valores pares e
impares. El primer caso es
igual que el de los apuntes
pero con b = 2 ... / /
Peor an, ya no se genera
una secuencia ... / / /
Madrid (Espaa) 2003
Diapositiva 403
Registros de desplazamiento
Generador de secuencia cifrante con registros de desplazamiento
Realimentacin
g[a(t-1)a(t-2) ...a(t-n+1)]a(t-n)
?
Si es un bit 0 1
Conexiones de puertas
S1
S2
S3
S4
a(t-1)
a(t-2)
a(t-3)
a(t-4)
Desplazamiento
Sn-1
Sn
Si
Bit que se pierde
a(t-n+1) a(t-n)
a(i) es el contenido de la celda i
Genera una secuencia con un perodo mximo 2n

NLFSR
Registros de Desplazamiento Realimentados No Linealmente

Registros de Desplazamiento Realimentados Linealmente
LFSR
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 404
Generador NLFSR de 4 celdas (1)

Generador de cuatro celdas (n = 4)
1
XOR
1
0
Primera
operacin
OR
AND
NOT
S01
S12
S13
S14
S1
S2
S3
S4
Sea la semilla: S1S2S3S4 = 0111

Jorge Rami Aguirre
Madrid (Espaa) 2003
Este es el estado
de las celdas y
las operaciones
previas antes de
producirse el
desplazamiento
de un bit hacia a
la derecha.
Si
Operaciones
Diapositiva 405
Generador NLFSR de 4 celdas (2)

1
XOR
Semilla: S1S2S3S4 = 0111
1
0
Observe que
primero se
transmite
S4S3S2S1
OR
AND
NOT
S101
S012
S13
S14
S1
S2
S3
S4
Si
Si = 1110 1100 1010 0001. Tmx = 2n = 24 = 16. Se conoce

como secuencia de De Bruijn. El contenido de las celdas
pasa por todos los estados posibles: 0000 1111.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 406
Generadores lineales LFSR

a(t) = C1a(t-1) C2a(t-2) C3a(t-3) ... Cna(t-n)
Ci = {1,0} conexin/no conexin celda Cn = 1
Funcin nica: XOR
Tmx = 2n - 1
Polinomio asociado:
f(x) = Cnxn + Cn-1xn-1 + .... + C2x2 + C1x + 1

XOR
C1
S1
C2
S2

Jorge Rami Aguirre
C3
S3
C4
S4
Madrid (Espaa) 2003
Generador
Generador
LFSRde
de44
LFSR
etapas/celdas
etapas/celdas
Si
Diapositiva 407
Tipos de generadores lineales LFSR

Observacin: como la nica funcin de realimentacin de un
LFSR es un XOR, no estar permitida la cadena de todos ceros.
En funcin del polinomio asociado tendremos:

LFSR con polinomios factorizables
No sern criptogrficamente interesantes.
LFSR con polinomios irreducibles
No sern criptogrficamente interesantes.
LFSR con polinomios primitivos
Segn los postulados de Golomb, este tipo de polinomio
que genera todos los estados lineales posibles del cuerpo
de trabajo n, ser el que nos entregue una secuencia
cifrante de inters criptogrfico con perodo T = 2n 1.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 408
Generador LFSR con f(x) factorizable

Generador f(x) factorizable de cuatro celdas (n = 4)
Sea f(x) =
x4
x2
+1
f(x) es factorizable porque:

Sea f(x1) = f(x2) =
(x2+x+1)
S1 S2 S3 S4
Problema
f(x) = f(x1) f(x2)

f(x) = (x2+x+1) (x2+x+1)
f(x) = x4+2x3+3x2+2x+1
Tras la reduccin mdulo 2
Luego f(x) = x4 + x2 +1
Jorge Rami Aguirre
Si
T depender de la semilla
T 2n - 1
Y adems, habr perodos
secundarios divisores de T.
Madrid (Espaa) 2003
Diapositiva 409
Ejemplo de LFSR con f(x) factorizable (1)

f(x) = x4 + x2 + 1
Sea ahora la semilla:

S1S2S3S4 = 0111
S01 S12 S13 S14

Primer bit:
resultado de
la operacin
S1 = S2 S4
Registro
Bit Si
Registro
Bit Si
0111
0011
1001
1100
1
1
1
0
1110
1111
0111
1
1

Jorge Rami Aguirre
. . . semilla
Si = 111001 T = 6
Madrid (Espaa) 2003
Si
Diapositiva 410
Ejemplo de LFSR con f(x) factorizable (2)

f(x) = x4 + x2 + 1
Sea la semilla:
S1S2S3S4 = 1101
S11 S12 S03 S14

Primer bit:
resultado de
la operacin
S1 = S2 S4
Registro
Bit Si
1101
0110
1011
1101
1
0
1
1

Jorge Rami Aguirre
S1 S2 S3 S4
Si = 101
T=3
. . . semilla
Madrid (Espaa) 2003
Si
T es un perodo
secundario y en
en este caso es
incluso menor
que la semilla.
Diapositiva 411
Generador LFSR con f(x) irreducible

Generador f(x) irreducible de cuatro celdas (n = 4)
Sea f(x) = x4 + x3 + x2 + x + 1
Es imposible factorizar
en mdulo 2 la funcin
f(x) mediante dos
polinomios f(x1) y f(x2)
de grado menor
S1 S2 S3 S4
Si
Problema
Ahora T ya no depende de la semilla

pero ser un factor de Tmx = 2n 1 y
no obtendremos un perodo mximo.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 412
Ejemplo de LFSR con f(x) irreducible

f(x) = x4 + x3 + x2 + x + 1
Sea ahora la semilla:
S1S2S3S4 = 0001
S01 S02 S03 S14
Primer bit:
resultado de
la operacin
S1 = S2 S4
Registro
Bit Si
Registro
Bit Si
0001
1000
1100
0110
1
0
0
0
0011
0001

Jorge Rami Aguirre
. . . semilla
Si = 100011 T = 5 siendo
Tmx = 2n - 1 = 24- 1 = 15
Madrid (Espaa) 2003
Si
Diapositiva 413
Generador LFSR con f(x) primitivo

Generador f(x) primitivo de cuatro celdas (n = 4)
Sea f(x) = x4 + x + 1
f(x) no es factorizable
como f(x1)f(x2) en
mdulo dos. Es adems
un generador del grupo.
Habr(2
(2nn--1)/n
1)/n
Habr
polinomiosprimitivos
primitivos
polinomios
Jorge Rami Aguirre
S1 S2 S3 S4
T ya no depender de la
semilla y ser un valor
mximo Tmx = 2n - 1.
Se generan m-secuencias
Madrid (Espaa) 2003
Si
Diapositiva 414
Ejemplo de LFSR con f(x) primitivo

Generador f(x) primitivo de cuatro celdas (n = 4)
f(x) = x4 + x + 1
S1S2S3S4 = 1001
Registro
Bit Si
1001
0100
0010
0001
1000
1100
1
0
0
1
0
0

Jorge Rami Aguirre
Si = 100100011110101
S1 = S1 S4
Si
S11 S02 S03 S14

1110
1111
0111
1011
0101
0
1
1
1
1
0
1
0
1
1001
T = 15
Madrid (Espaa) 2003
T = 2n - 1
T = 24 - 1
T = 15
1010
1101
0110
0011
Diapositiva 415
Secuencia Si de un LFSR con f(x) primitivo

Caractersticas
Secuencia mxima de 2n - 1 bits
Cumple con G1:
Hay 2n bits 1 y 2n-1 bits 0
Cumple con G2:
m-secuencia
Distribucin de rachas de m-secuencia. El vector
binario de las celdas pasa por todos los estados
excepto la cadena de ceros que est prohibida.
Cumple con G3:

Los aciertos (A) sern iguales a 2n-1 - 1
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 416
Rachas en Si de un LFSR con f(x) primitivo

Rachas de Longitud
Rachas de Ceros
Rachas de Unos
1
2
...
p
...
n-2
n-1
n
TOTAL
2n-3
2n-4
...
2n-p-2
...
1
1
0
2n-2
2n-3
2n-4
...
2n-p-2
...
1
0
1
2n-2
Rachas de una m-secuencia

Sin embargo, no es un generador ideal para la cifra
porque su Complejidad Lineal es muy baja.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 417
Debilidad de un LFSR con f(x) primitivo

Como este LFSR genera una secuencia de longitud
mxima, sta ser previsible y se puede encontrar la
secuencia completa Si de 2n - 1 bits ...
con slo conocer 2n bits !
Por ejemplo, si en un sistema de 8 celdas con un
perodo 28-1 = 255 conocemos 28 = 16 bits seremos
capaces de encontrar las conexiones de las celdas o
valores de Ci y generar as la secuencia completa Si.
Esta debilidad es la que usa el ataque conocido como
algoritmo de Berlekamp-Massey.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 418
Ejemplo de ataque de Berlekamp-Massey

Si conocemos 2n = 8 bits S1S2S3S4S5S6S7S8 de un LFSR
de 4 celdas C1C2C3C4, tenemos el sistema de ecuaciones:
C1 C2 C3
C4=1
Si
S1 S2 S3 S4
S5 = C1S1 C2S2 C3S3 C4S4

S6 = C1S5 C2S1 C3S2 C4S3
S7 = C1S6 C2S5 C3S1 C4S2
S8 = C1S7 C2S6 C3S5 C4S1
Jorge Rami Aguirre
Madrid (Espaa) 2003
Si asignamos valores
de esos 2n = 8 bits
S1S2S3S4S5S6S7S8
seremos capaces de
resolver este sistema
Primero se transmite
S4S3S2S1 (semilla) y
luego bits S5S6S7S8.
Diapositiva 419
Solucin al ataque de Berlekamp-Massey

S5 = C1S1 C2S2 C3S3 C4S4
S6 = C1S5 C2S1 C3S2 C4S3
S7 = C1S6 C2S5 C3S1 C4S2
S8 = C1S7 C2S6 C3S5 C4S1
1 = C10 C20 C31 C41

0 = C11 C20 C30 C41
Si los 8 bits
S1S2S3S4S5S6S7S8
son 1100 1000
S1 = 0
S2 = 0
S3 = 1
S4 = 1
S5 = 1
S6 = 0
S7 = 0
S8 = 0
0 = C10 C21 C30 C40
C1 = 1
C2 = 0
0 = C10 C20 C31 C40
C3 = 0
C4 = 1

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 420
Conclusiones ataque Berlekamp-Massey

CONCLUSIONES:
Como se conoce la configuracin del generador LFSR, y
Si es una m-secuencia de perodo 2n - 1, entonces por el
conjunto de n celdas pasarn todos los restos del campo de
Galois de 2n, excepto la cadena de n ceros que sabemos
est prohibida en estos sistemas generadores lineales.
Para el ejemplo anterior, esto quiere decir que cualquier
grupo de 2n = 8 dgitos correlativos nos permite generar la
secuencia mxima, en este caso de 2n = 16 bits.
La solucin es aumentar la complejidad lineal del
generador por ejemplo conectando varios LFRs.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 421
Complejidad lineal LC
o Un LFSR con polinomio primitivo de n celdas tendr una
complejidad lineal LC igual a n; es decir con 2n bits se
puede generar la secuencia completa como hemos visto.
o Lo ideal es que si este LFSR entrega una secuencia Si con
un perodo igual a 2n 1, su LC fuese cercana a este valor.
o Para aumentar esta LC podemos usar:
o Operaciones no lineales de las secuencias del LFSR
o Operaciones de suma
o Operaciones de multiplicacin
o Filtrado no lineal de los estados del LFSR.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 422
Operaciones no lineales con dos registros

LC = n1; T = 2n1-1
Generador primitivo con n1 celdas

LC = n2 T = 2n2-1
LC = n1 + n2
Si
T = mcm (2n1-1, 2n2-1)
Es el modelo usado por A5
LC = n1; T = 2n1-1

LC = n2 T = 2n2-1

Jorge Rami Aguirre
Madrid (Espaa) 2003
LC = n1 n2
Si
T = mcm (2n1-1, 2n2-1)
Diapositiva 423
Generadores LFSR con filtrado no lineal

Si a1 es un 0 Si es el bit de a2
Generador de Geffe
LFSR 2
LFSR 3
LFSR 1
a2
a3
Selector
Si
Si a1 es un 1 Si es el bit de a3
Luego: Si = a2 a1a2 a1a3
LC = (n1 + 1)n2 n1n3
a1
T = mcm (2n1-1, 2n2-1, 2n3-1)
Se mejora la LC e incluso se aumenta si ponemos ms LFSRs pero

este generador es dbil ante ataques por correlacin de bits.
Existen una infinidad de esquemas en esta lnea, entre ellos los de
Beth-Piper, Jennings, Gollmann y Massey-Rueppel. Encontrar
mayor informacin consultando la bibliografa del tema 18.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 424
Algoritmos de cifrado en flujo

Sistemas ms conocidos:
A5:
Algoritmo no publicado propuesto en 1994. Versiones
A5/1 fuerte (Europa) y A5/2 dbil (exportacin).
RC4:
Algoritmo de RSA Corp. (Rivest Cipher #4) desarrollado
en el ao 1987, usado en Lotus Notes y luego en el
navegador de Netscape desde 1999. No es pblico.
SEAL:
Algoritmo propuesto por IBM en 1994.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 425
El algoritmo de cifra A5
El uso habitual de este algoritmo lo encontramos en el
cifrado del enlace entre el abonado y la central de un
telfono mvil (celular) tipo GSM.
Con cerca de 130 millones de usuarios en Europa y
otros 100 millones de usuarios en el resto del mundo,
el sistema ha sucumbido a un ataque en diciembre de
1999 realizado por Alex Biryukov y Adi Shamir.
Esta es una consecuencia inevitable en el mundo de la
criptografa cuando los desarrolladores de algoritmos
no hacen pblico el cdigo fuente.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 426
Esquema del algoritmo de cifra A5/1

19
3 LFSR con
R1
22
R3 n3 = 23
23
Jorge Rami Aguirre
f(x2) = x22+x21+1
C3
R3
f(x1) = x19+x18+x17+x14+1
11: bit de reloj
Clave = 64 bits
C2
R2
R1 n1 = 19
R2 n2 = 22
C1
9: bit de reloj
m-secuencia
Si
14
11: bit de reloj
f(x3) = x23+x22+x21+x8+1
Madrid (Espaa) 2003
Una funcin
mayora entre
C1, C2 y C3
hace que slo
los registros en
los que coincide
el bit con ese
valor produzcan
desplazamiento.
En cada paso
habr dos o tres
registros en
movimiento.
Diapositiva 427
Consideraciones sobre el perodo de A5/1

El perodo T vendr dado por el mximo comn mltiplo de los
tres perodos individuales:
T = mcm (2n1 - 1, 2n2 - 1, 2n3 - 1)
Como n1, n2 y n3 son primos entre s, tambin lo sern los valores
(2n1 -1), (2n2 - 1) y (2n3 - 1). Luego el perodo T ser el producto:
T = T1T2T3
Entonces T = (219-1)(222-1)(223-1) = 524.2874.194.3038.388.607
T = 18.446.702.292.280.803.327 < 264 que es un valor demasiado
bajo incluso para mediados de la dcada pasada. /
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 428
Registros y funcin mayora en A5/2

Usa los mismos tres registros de desplazamiento con polinomio
primitivo que A5/1:
f(x1) = x19 + x18 + x17 + x14 + 1
f(x2) = x22 + x21 + 1
f(x3) = x23 + x22 + x21 + x8 + 1
Adems, usa un cuarto registro R4 con un polinomio primitivo:
f(x4) = x17 + x12 + 1
Usa cuatro copias de una funcin mayora F para cada uno de los
cuatro registros que se define como:
F(x1,x2,x3) = x1x2 + x1x3 + x2x3
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 429
Otras operaciones de A5/2
En R1 las entradas a la funcin F1 son las celdas 13, 15 y 16.

La salida de esta copia determina qu registros de R1,R2,R3
se desplazarn en el ciclo.
Complementacin de celdas y sumas en salida de F:
En R1 se complementa la celda 15 y se suma la celda 19 a F.
Fin del Tema 9
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 430
1. Por qu en los sistemas de cifra en flujo se usa una funcin XOR
tanto en emisor como en receptor? Son las claves inversas?
2. Si tenemos una clave de 16 bits, cul es el perodo mximo que
podremos lograr en una secuencia cifrante? Por qu?
3. Qu rachas encuentra en la secuencia 110100111010100?
4. Por qu es lgico esperar ms rachas cortas que rachas largas?
5. Si en una secuencia cifrante se observa una correlacin fuera de fase
no constante, qu significa? Podramos hacer un ataque similar al
que permite romper el sistema de cifra polialfabtico Vigenre?
6. A nivel de probabilidades de ocurrencia de bits, qu significan los
postulados de Golomb G1 y G2?
7. Qu significa que una secuencia cifrante pase por todos los estados
o restos posibles? Cul sera en este caso su perodo?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 431
8. Qu secuencias se obtiene con un generador de congruencia lineal
en el que a = 7, b = 4 y n = 8? Y si ahora hacemos a = 3?
9. Qu tipo de ataque podramos intentar para romper una secuencia
cifrante obtenida con un generador de congruencia lineal?
10. Por qu en un registro de desplazamiento siempre se realimenta el
bit de la ltima celda, bit que sale a lnea?
11. En el generador NLFSR de los apuntes si se cambia la funcin AND
por una OR, qu sucede con la secuencia? Saque conclusiones.
12. Decimos que los generadores LFSR tienen asociado un polinomio
f(x) = anxn + an-1xn-1 + an-2xn-2 + ... + a2x2 + a1x + 1, donde ai toma los
valores de 0 1. Por qu f(x) termina en 1?
13. Qu polinomio elegira para un LFSR, un polinomio factorizable,
uno irreducible o uno primitivo? Por qu?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 432
14. Por qu no est permitida la cadena de n ceros en un generador
LFSR de n etapas y en cambio s en los NLFSR?
15. En el generador LFSR con f(x) primitivo de 4 etapas, la secuencia
pasa por todos los restos excepto 0000. Si usamos hora una semilla
distinta, debemos hacer otra vez todos los clculos o no? Por qu?
16. Justifique la distribucin de las rachas en una m-secuencia. Por qu
tiene ese comportamiento extrao al final de las rachas largas?
17. Qu debilidad de los sistemas LFSR con polinomios primitivos usa
el algoritmo de Berlekamp-Massey para realizar el ataque?
18. En un ataque de Berlekamp-Massey, importa en qu posicin de la
secuencia se encuentran los 2n bits? Por qu?
19. Por qu cree que el algoritmo A5 es dbil? Cul fue el peor error
cometido por sus creadores?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 433
Tema 10
Cifrado Simtrico en Bloque
v 3.1
Material Docente de
Libre Distribucin
Jorge Rami Aguirre

Cifrado y descifrado genrico en bloque

MENSAJE (N bits)
BLOQUE A
N/2
A Xi
BLOQUE B
B Xi

Jorge Rami Aguirre
Xi
A Xi
ki
FUNCIN f
ki
FUNCIN f
Xi
N/2
B Xi
Puesto que Y Xi Xi = Y
Tema 10: Cifrado Simtrico en Bloque
Madrid (Espaa) 2003
B
Diapositiva 436
Cifrado tipo Feistel

Horst Feistel: inventor (IBM) del algoritmo LUCIFER a comienzos de
los aos 70. El algoritmo fue utilizado por el Reino Unido. En 1974 se
propone a la NSA como estndar y en ese ao dar origen al DES.
Dado un bloque de N bits (tpico

64) ste se dividir en dos mitades.
Existir una funcin unidireccional F
(muy difcil de invertir).
Se realizan operaciones con la clave
ki slo con una mitad del bloque, y
se permutan en cada vuelta las dos
mitades, operacin que se repite
durante n vueltas.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 437
Un ejemplo bsico de cifrado tipo Feistel

El algoritmo usar bloques de tamao 8 caracteres. Tendr dos
vueltas y en cada vuelta realizar una operacin de sustitucin
S y una permutacin P sobre la 1 mitad.
Sustitucin: Ci = (Mi +1 ) mod 27
Permutacin: Ci = 3241 (el carcter 1 pasa a la 4 posicin
en el criptograma, el 4 a la 3, el 2 a la 2 y el 3 a la 1)
Mensaje: M = STAR WARS, LA MISIN CONTINA

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 438
Cifrado tipo Feistel en cuerpo n = 27

MM11 ==
SS11 ==
PP11 ==
MM ==
STAR
STAR
TUBS
TUBS
BUST
BUST
STAR WARS,
WARS, LA
LA MISIN
MISIN CONTINA
CONTINA
STAR
WARS LAMI
LAMI SION
SION CONT
CONT INUA
INUA
WARS
WARS MBNJ
MBNJ SION
SION DPU
DPU INUA
INUA
WARS
WARS NBJM
NBJM SION
SION PUD
PUD INUA
INUA
WARS
MM22 ==
SS22 ==
PP22 ==
WARS BUST
BUST SION
SION NBJM
NBJM INUA
INUA PUD
PUD
WARS
XBST BUST
BUST TJP
TJP NBJM
NBJM JVB
JVB PUD
PUD
XBST
SBTX BUST
BUST PJT
PJT NBJM
NBJM VBJ
VBJ PUD
PUD
SBTX
Si: +1 mod 27
Pi: 3241
Primera
vuelta
Segunda
vuelta
C = SBTX BUST PJT NBJM VBJ PUD

Aunque le parezca increble, el DES har prcticamente lo mismo
trabajando con bits y con funciones un poco ms complejas.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 439
Cifradores de bloque ms conocidos

Algoritmo
Bloque (bits)
Clave (bits)
Vueltas
Lucifer
DES
Loki
RC2
CAST
Blowfish
IDEA
128
64
64
64
64
64
64
128
56
64
variable
64
variable
128
16
16
16
-8
16
8
Skipjack
64
80
32
128
128 o ms
flexible
RIJNDAEL
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 440
Caractersticas de estos algoritmos

Lucifer: algoritmo original tipo Feistel que dar lugar al DES.
DES: algoritmo tipo Feistel que se convirti en estndar durante
casi treinta aos. Hoy es vulnerable por su longitud de clave.
Loki: algoritmo australiano similar al DES, tipo Feistel.
RC2: algoritmo propuesto por Ron Rivest y que se incluye en
navegadores de Internet desde 1999.
CAST: algoritmo tipo Feistel que se ofrece como cifrador por
defecto en ltimas versiones de PGP.
Blowfish: algoritmo tipo Feistel propuesto por Bruce Schneier.
IDEA: algoritmo europeo usado en el correo electrnico PGP.
Skipjack: propuesta de nuevo estndar en USA a finales de los
90 para comunicaciones oficiales (tiene puerta trasera).
RIJNDAEL: nuevo estndar mundial desde finales de 2001.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 441
Otros cifradores de bloque

Algoritmo
Twofish
Bloque (bits)
128
Khufu
Khafre
Gost
RC5
Vueltas
variable
64
64
64
512
128
256
variable
variable
variable
64
64
variable
variable
variable
64
64
32
SAFER 64
Akelarre
Clave (bits)
variable
FEAL
16, 24, 32
ms vueltas
32
De stos, los ms conocidos son Twofish -uno de los candidatos a

AES y que lo encontraremos en ltimas versiones de PGP- y RC5.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 442
Caractersticas de estos algoritmos

Twofish: Propuesto por Bruce Schneir despus de Blowfish, de
tipo Feistel, diseo simple, sin claves dbiles y multiplataforma.
Khufu: algoritmo propuesto por Ralph Merkle con una clave
generada con un sistema de cajas S.
Khafre: algoritmo propuesto por Ralph Merkle en el que la
clave ya no depende de las cajas S.
Gost: algoritmo similar al DES con cajas S secretas propuesto
en la Unin Sovitica.
RC5: algoritmo propuesto por Ron Rivest; realiza operaciones
or exclusivo, suma modular y desplazamiento de bits.
SAFER 64: algoritmo propuesto por James Massey.
Akelarre: algoritmo espaol propuesto en 1996 por el CSIC,
Consejo Superior de Investigaciones Cientficas.
FEAL: algoritmo propuesto en Japn.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 443
Algunas tasas de cifra comparativas

Velocidad de cifra de algoritmos en un PC 486 a 33 MHz
Algoritmo
Kbytes/seg
Algoritmo
Kbytes/seg
DES
35
Triple DES
12
IDEA
53
FEAL (32 v)
91
Khufu (16 v)
221
Khufu (32 v)
115
RC5 (8 v)
127
RC5 (16 v)
65
81
SAFER (12 v)
41
182
Blowfish (20 v)
SAFER (6 v)
Blowfish (12 v)
Fuente: Criptografa Digital. Fundamentos y

Aplicaciones. Jos Pastor y Miguel Angel Sarasa,
Prensas Universitarias de Zaragoza (1998).
Jorge Rami Aguirre
Estos son slo valores

indicativos ya que la
velocidad del PC es
algo baja (extrapolar).
Madrid (Espaa) 2003
110
Diapositiva 444
Algoritmos DES, IDEA y AES

Profundizaremos
en estas diapositivas en los algoritmos
DES, Triple DES, IDEA y RIJNDAEL. Por qu?
DES es un cifrador de Feistel, ha sido un estndar y en
aplicaciones bancarias se seguir usando durante tiempo.
DES es de muy fcil comprensin y usa cajas S como varios
algoritmos ms modernos y el actual estndar AES.
Triple DES sigue siendo un estndar en e-commerce.
IDEA es un algoritmo seguro que hace uso de los conceptos de
inversos en un cuerpo finito, como todos los algoritmos de
cifra modernos, y se usa entre otros en la aplicacin PGP.
RIJNDAEL es el nuevo estndar de cifra avanzada, AES.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 445
Modos de cifra
Todos los algoritmos pueden usarse aplicando diversos
modos de cifra, entre ellos:
ECB: Electronic CodeBook (libro electrnico de cdigos)
CBC: Cipher Block Chaining (encadenamiento de bloques)
CFB: Cipher FeedBack (realimentacin de bloques)
OFB: Output FeedBack (realimentacin bloque de salida)
Analizaremos cada uno de ellos para el caso del DES,
aunque el estudio es extensible a todos los dems ya que en
estos modos el cifrador se considera una caja negra.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 446
Data Encryption Standard DES

DES (Data Encryption Standard) ha sido el estndar utilizado
mundialmente durante 25 aos, generalmente en la banca. Hoy
presenta signos de envejecimiento y ha sucumbido a los diversos
criptoanlisis que contra l se viene realizando hace ya aos.
FECHAS DE INTERS
1973: En EEUU la NBS National Bureaux of
Standards llama a
concurso pblico para buscar un algoritmo criptogrfico estndar.

1974: La NSA National Security Agency declara desierto el
primer concurso, publica unas segundas especificaciones y elige
Lucifer, algoritmo original de IBM (aos 70) con variaciones.
1976: El DES se adopta como estndar y se autoriza para ser
utilizado en las comunicaciones no clasificadas del gobierno.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 447
Especificaciones del algoritmo DES
Especificaciones del concurso

El nivel de seguridad computacional debe ser alto.
El algoritmo debe ser fcil de entender y deber estar
especificado en todos sus detalles.
La seguridad del sistema no debe verse afectada por la
publicacin y divulgacin del algoritmo.
Debe estar disponible para cualquier usuario.
Deber poder usarse en diferentes aplicaciones.
Fabricacin con dispositivos electrnicos de bajo costo.
Se debe poder usar como validacin.
Debe ser exportable.
No se cumplen en 1973 pero s en 1974, aunque ...

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 448
El papel de la NSA en el DES

La NSA impone una limitacin en la longitud de la clave:
De los 128 bits de Lucifer,
NSA deja la clave en 64
bits. Al final, la clave slo
son 56 bits efectivos puesto
que al ser datos de 8 bits, se
conoce el bit de paridad.
Luego, el espacio de claves
es 256 = 7.2 1016, tan slo
72 mil billones de valores.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 449
Por qu esta reduccin?

Hay distintas versiones sobre esta
reduccin del espacio de claves: una
habla de la dificultad de disear
chips capaces de operar de forma
eficiente con una clave de 128 bits
en esos aos; la otra sobre una
poltica de seguridad interna para
proteger informacin sensible ante
ataques externos y ser capaces, no
obstante, de practicar criptoanlisis
en un tiempo razonable.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 450
Especificaciones tcnicas finales del DES

Bloque a cifrar: 64 bits
Clave: 8 bytes (con paridad, no caracteres ASCII)
Normas ANSI:
X3.92: Descripcin del algoritmo.
X3.108: Descripcin de los modos de operacin
(ECB, CBC, OFB).
Fcil implementacin en un circuito integrado.
Veremos su descripcin y modos de operacin.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 451
Visin general del DES

Cifrador de bloque
Tipo Feistel
Longitud de clave de 56 bits
Realiza 16 vueltas.
La cifra del bloque
central usa
b
tcnicas de sustituciones y
permutaciones.
Para poder realizar las sumas or
exclusivo, usar permutaciones
con expansin y compresin para
igualar el nmero de bits.
En el descifrado se aplican claves y
desplazamientos en sentido inverso
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 452
Permutacin inicial del DES: tabla IP

Tabla IP sobre bloque de texto
(no tiene inters criptogrfico)
58
50
42
34
26
18
10
60
52
44
36
28
20
12
62
54
46
38
30
22
14
64
56
48
40
32
24
16
57
49
41
33
25
17
59
51
43
35
27
19
11
61
53
45
37
29
21
13
63
55
47
39
31
23
15
Elbit
bit11se
selleva
llevaaalalaposicin
posicin40
40
El
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 453
Bloques izquierdo y derecho de texto

58
50
42
34
26
18
10
60
52
44
36
28
20
12
62
54
46
38
30
22
14
64
56
48
40
32
24
16
57
49
41
33
25
17
59
51
43
35
27
19
11
61
53
45
37
29
21
13
63
55
47
39
31
23
15
L0 = 58 50 42 34 26 18 10 02 60 52 44 36
28 20 12 04 62 54 46 38 30 22 14 06
64 56 48 40 32 24 16 08
R0 = 57 49 41 33 25 17 09 01 59 51 43 35
27 19 11 03 61 53 45 37 29 21 13 05
63 55 47 39 31 23 15 07
Observe la distribucin correlativa que existe entre los

bits del bloque izquierdo L0 y del bloque derecho R0 de
texto. Este tipo de distribucin de los bits en tablas, a
simple vista caprichosa, ser muy comn en el DES.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 454
Permutacin final del DES: tabla IP-1

Tabla IP-1
40
48
16
56
24
64
32
39
47
15
55
23
63
31
38
46
14
54
22
62
30
37
45
13
53
21
61
29
36
44
12
52
20
60
28
35
43
11
51
19
59
27
34
42
10
50
18
58
26
33
41
49
17
57
25
Elbit
bit40
40vuelve
vuelveaalalaposicin
posicin11
El
todoslos
losdems
demsbits
bitsaasu
su
yytodos
posicininicial
inicialantes
antesde
deIP.
IP.
posicin
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 455
Operaciones en cada ciclo del DES

EN CADA CICLO:
Se permuta la mitad derecha Ri
aplicando expansin a 48 bits
La clave de 56 bits se desplaza,
permuta y se seleccionan los 48
bits de Ki
La nueva mitad derecha Ri y la
clave Ki se suman XOR
Se reducen los 48 bits de salida
a 32 bits mediante las Cajas-S
Se permuta el resultado
El resultado se suma XOR con
la mitad izquierda Li
Jorge Rami Aguirre
Madrid (Espaa) 2003
En la prxima
vuelta, la mitad
derecha anterior
pasa ntegra como
mitad izquierda. La
mitad derecha de la
nueva vuelta ser el
ltimo resultado or
exclusivo del ciclo.
Diapositiva 456
Mdulo de cifra en DES

16 bits repetidos
Esquema de la
funcin de cifra
f en cada ciclo
Columnas 1 y
2 repetidas
Enlas
lascajas
cajasSS
En
selogra
logralala
se
fortalezadel
del
fortaleza
algoritmo.Es
Es
algoritmo.
unafuncin
funcin
una
unidireccional
unidireccional
nolineal.
lineal.
yyno
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 457
Operacin de las cajas S en el DES

Permutacin con expansin a 48 bits (Tabla E)
ki (48 bits)
Operacin Or Exclusivo con la subclave ki
De cada 6 bits de entrada se obtienen 4 bits de salida

Sustitucin con compresin a 32 bits (Cajas S)
1
S1
S2
12
13
18
S3
19
12 13
24
S4
25
16 17
30
S5
31
20 21
36
S6
37
24 25
42 43
S7
28 29
48
S8
32
Permutacin de Salida del ciclo (Tabla P)
No lineal y unidireccional. Hay cuatro soluciones de entrada para cada salida

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 458
Valores de las cajas S1 y S2 del DES

COLUMNAS
S1
F
I
L
A
S
14
13
15
11
15
14
2 13
14
13
11
15
12
10 11 12 13 14 1 5
10
10
15 12
12
12 11
3
10
11
14
10
13
COLUMNAS
S2
F
I
L
A
S
10
11 12 13 14 1 5
15
14
11
13
12
5 10
13
15
14 12
10
11
14
11 10
13
12
15
13
10
15
11
12
5 14

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 459

COLUMNAS
S3
F
I
L
A
S
10
9 14
15
10
13 12
11
12
13
7 11
14
2
15
8
13
10
14
12
11 15 1
13
15
11
12
10 14
10 13
15 14
11
12
10
11 12 13 14 1 5
COLUMNAS
S4
F
I
L
A
S
13 14
10
15
12
10 14
13
11
10
12 11
13 15
14
15
10
13
11
12
14

Jorge Rami Aguirre
11
Madrid (Espaa) 2003
12
15
Diapositiva 460

COLUMNAS
S5
F
I
L
A
S
12
14
11
11
10 11 12 13 14 1 5
10
11
15
13
14
12
13
0 15
10
11
10 13
15
9 12
14
12
14
13
6 15
10
10
11 12 13 14 1 5
14
11
COLUMNAS
S6
F
I
L
A
S
12
10 15
13
10
15
12
13 14
11
14 15
12
10
13
11
12
15
10
11 14
13

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 461

COLUMNAS
S7
F
I
L
A
S
10 11 12 13 14 1 5
11
14
15
13
12
10
13
11
10 14
12
15
11 13
12
14 10 15
11 13
10
15 14
12
10
11 12 13 14 1 5
COLUMNAS
S8
F
I
L
A
S
13
15 11
10
14
12
15 13
10
12
11
14
11
12 14
10 13
15
14
10
6 11

Jorge Rami Aguirre
13 15 12
Madrid (Espaa) 2003
Diapositiva 462
Ejemplo de operacin de cajas S del DES

Ejemplo:
Ejemplo:
Seanlos
losbits
bits77alal12
12los
lossiguientes:
siguientes:101100
101100
Sean
Losbits
bitscorrespondern
correspondernentonces
entoncesaalalaentrada
entradade
delalacaja
cajaSS2
Los
2
Para
seleccionar
la
fila
tomamos
los
bits
extremos:
10
=
Para seleccionar la fila tomamos los bits extremos: 1022= 221010==22
Paraseleccionar
seleccionarlalacolumna
columnatomamos
tomamoslos
losbits
bitscentrales:
centrales:0110
01102==6610==66
Para
2
10
indica
una
salida
igual
a
13
=
1101
La
caja
S
La caja S22indica una salida igual a 131010= 110122
explicacin
Entrada: 101100
Salida: 1101
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 463
Clculo de subclaves en el DES (PC-1)

28 bits
Tabla PC-1 (56 bits)
28 bits
57
49
41
33
25
17
58
50
42
34
26
18
10
59
51
43
35
27
19
11
60
52
44
36
63
55
47
39
31
23
15
62
54
46
38
30
22
14
61
53
45
37
29
21
13
28
20
12
Se han eliminado los bits de paridad:
8, 16, 24, 32, 40, 48, 56, 64.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 464
Clculo de subclaves en el DES (PC-2)

28 bits
Tabla PC-2 (48 bits) k1, k2, ..., k16
28 bits
48 bits
48 bits
Jorge Rami Aguirre
17
11
24
28
15
21
10
23
19
12
26
16
27
20
13
41
52
31
37
47
55
30
40
51
45
33
48
44
49
39
56
34
53
46
42
50
36
29
32
Se han eliminado los bits:

9, 18, 22, 25, 35, 38, 43, 54.
48 bits
Madrid (Espaa) 2003
Diapositiva 465
Desplazamiento de subclaves en el DES

28 bits
Se produce un desplazamiento total igual

a 28, todos los bits de cada bloque Ci y Di
28 bits
LF1, LF2, ..., LF16

Vuelta i

Jorge Rami Aguirre
Bits Desp. Izda.
Vuelta i
10
11
12
13
14
15
16
Madrid (Espaa) 2003
Bits Desp. Izda.
Diapositiva 466
Operacin de descifrado en el DES

64 bits de criptograma
Se toman en sentido contrario:

k16, k15, k14, k13, k12, k11, k10,
k9, k8, k7, k6, k5, k4, k3, k2, k1
Como se aplica un desplazamiento
de 28 bits en cada bloque de clave,
entonces D16 = D0 y C16 = C0
Los desplazamientos para el clculo de
las subclaves de descifrado son los
mismos de la tabla anterior pero ahora
se toman hacia la derecha, puesto que
los desplazamientos coinciden.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 467
Claves dbiles y semidbiles

Claves dbiles:
Una clave es dbil si se verifica que: Ek2(M) = M
Son claves k dbiles estas cuatro:
0101010101010101
EOEOEOEOF1F1F1F1
FEFEFEFEFEFEFEFE
1F1F1F1F0E0E0E0E
Nota: E0E0E0E0F1F1F1F1 = (en ANSI).

Compruebe esta clave dbil con el software CripMod de la asignatura.
Claves semidbiles:
Una clave es semidbil si se verifica que: Ek1[Ek2(M)] = M
Son claves k1,k2 semidbiles las siguientes seis parejas:
(01FE01FE01FE01FE,
(1FE01FE00EF10EF1,
(01E001E001F101F1,
(1FFE1FFE0EFE0EFE,
(011F011F010E010E,
(E0FEE0FEF1FEF1FE,
Jorge Rami Aguirre
FE01FE01FE01FE01)
E01FE01FF10EF10E)
E001E001F101F101)
FE1FFE1FFE0EFE0E)
1F011F010E010E01)
FEE0FEE0FEF1FEF1)
Madrid (Espaa) 2003
Diapositiva 468
Ejemplo de clculo de claves en DES

Caso 1: a partir de las tablas PC-1 y PC-2, encuentre la secuencia de bits
de los registros C1 y D1 y la subclave k1.
Solucin:
i = 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28
C1 = 49 41 33 25 17 09 01 58 50 42 34 26 18 10 02 59 51 43 35 27 19 11 03 60 52 44 36 57
i = 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56
D1 = 55 47 39 31 23 15 07 62 54 46 38 30 22 14 06 61 53 45 37 29 21 13 05 28 20 12 04 63
k1 = 10 51 34 60 49 17 33 57 02 09 19 42 03 35 26 25 44 58 59 01 36 27 18 41
22 28 39 54 37 04 47 30 05 53 23 29 61 21 38 63 15 20 45 14 13 62 55 31
Caso 2: si la clave es PRUEBALO, encuentre C0 y D0 y la subclave k1.

Para encontrar C0 y D0 escriba en ASCII la clave y elimine el ltimo bit
como si ste fuese el de paridad.
Solucin:
C0 = 0000 0000 1111 1111 0000 0000 0000
C1 = 1001 0010 1100 1100 1100 0000 0111
k1 = 101000 001001 001001 000010 101101 010100 100111 100100

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 469
Modo de cifra ECB

Lo dicho, estos modos son vlidos para todos los cifradores.
MODO ECB
Electronic CodeBook: cifra cada bloque con la clave k de
forma independiente. Por lo tanto, el resultado es como si se
codificase mediante un gran libro electrnico de cdigos.
Recuerde: codificar no es lo mismo que cifrar.
Debilidades:
Se podra reconstruir ese libro electrnico sin necesidad
de conocer la clave.
Aparece el problema denominado de comienzos y finales
fijos que permiten un tipo de ataque sencillo.
Se ataca a travs de la repeticin de bloques similares.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 470
Caractersticas del modo ECB en DES

Cada bloque de 64 bits del texto en claro se
pasa por el cifrador, usando la misma clave de
64 bits.
Para bloques de texto en claro iguales, se
obtiene siempre el mismo criptograma
Como a cada bloque de texto en claro le
corresponde un nico cdigo o texto cifrado de
salida y ste es constante, este modo de cifra
lleva por nombre Libro Electrnico de Cdigos.
Es como si tuvisemos un gran libro de cdigo
con un cdigo distinto para cada mensaje.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 471
Modo de cifra CBC en DES

Cipher Block Chaining
Cifra por encadenamiento
de bloques
Vector IV = I0
Se encadenan los
bloques de texto en
claro con el bloque del
criptograma anterior.
Usa un vector de
inicializacin IV de 64
bits que se guarda en
secreto.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 472
Operaciones de cifra modo CBC en DES

Cifrado
El vector IV se suma
XOR a los 64 bits de
texto en claro.
Se cifra con la clave K
esa suma.
El resultado Ci se usa
como vector IV para el
nuevo bloque.
Descifrado
Se descifra el primer bloque con
vector IV:
P1 = D(C1) I0
P1 = D[E(P1 I0)] I0
Se guarda el bloque Ci-1 en un
registro. Se descifra el bloque Ci
y luego XOR entre esos bloques:
Mi = D(Ci) Ci-1
CARACTERSTICAS:
Evita el ataque por repeticin de bloque; enmascara el mensaje lo
mismo que la cifra en flujo; el espacio de claves es igual a 64 bits;
la propagacin de un error afecta a dos bloques contiguos.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 473
Modo de cifra CFB en DES

Cipher FeedBack
Cifra por realimentacin
de bloques
Se pueden cifrar
unidades de datos ms
pequeas que bloques,
por lo general un byte.
CIFRAR
CIFRAR
Se usa un registro de
desplazamiento RD de
64 bits como vector
inicial IV.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 474
Operaciones de cifra modo CFB en DES

Cifrado
Descifrado
Se suma XOR cada byte del

texto claro con bytes resultado
de la cifra de RD y la clave K.
El byte Ci se enva al registro;
se desplaza 8 bits a la izquierda
hasta formar otro RD y se repite
el proceso de cifra.
Se cifra el registro RD.

Se obtienen de esta forma
los elementos de Ci-d.
Se suma XOR los Ci-d con
los Ci del criptograma para
obtener Pi.
Se realimenta Ci al registro
RD y se repite el proceso.
CARACTERSTICAS:
Evita el ataque por repeticin de bloque; enmascara el mensaje como
en cifra en flujo, el espacio de claves es igual a 64 bits; la propagacin
de un error se limita a un bloque.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 475
Modo de cifra OFB en DES

Output FeedBack
Cifra por realimentacin
de bloques de salida
El byte se va desplazando por el registro

Registro Desplazamiento (64 bits)
La realimentacin de la
seal se realiza antes
de la operacin XOR.
El DES, la clave y el
Registro RD actan
como un generador de
secuencia cifrante.
K
Bits menos
significativos
Byte
Mensaje
DES
Ci-1
Bi
Ci
Si la cifra se realiza bit a bit, OFB se convierte en cifrador de flujo.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 476
Caractersticas del modo OFB en DES

Evita el ataque por repeticin de bloque.
Produce un enmascaramiento del mensaje similar al de
un cifrador de flujo.
El espacio de claves es igual a 64 bits.
La propagacin de un error afecta slo a un byte, el
que se realimenta en el registro de desplazamiento.
Las operaciones de cifrado y descifrado son iguales.
A pesar de las propiedades interesantes de los
ltimos modos, el ms utilizado en los sistemas
de cifra de diversos protocolos es el CBC.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 477
Cifrado mltiple en un grupo

Si un sistema forma un grupo, entonces cifrar un mensaje M
con una clave k1 y luego el resultado con una clave k2, es lo
mismo que cifrar el mensaje con una nica clave k3.
Por ejemplo, el cifrador de Vigenre es un grupo como se
demuestra a continuacin. Sea k1 = PACO y k2 = CINE y el
mensaje a cifrar M = ESTO ES UN GRUPO.
M1 = ESTO ESUN GRUP O
k1 = PACO PACO PACO P
C1 = TSVD TSWB VRWE E
M2 = TSVD TSWB VRWE E

k2 = CINE CINE CINE C
C2 = VAIH VAJF XZJI G
Obtendremos lo mismo si ciframos el mensaje M

con la clave k3 = k1 + k2 = PACO + CINE = RIOS.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 478
El DES no es un grupo
k1 = PACO PACO PACO P
C1 = TSVD TSWB VRWE E
M2 = TSVD TSWB VRWE E

k2 = CINE CINE CINE C

k3 = RIOS RIOS RIOS R
Como ejercicio compruebe que a resultados similares llega si,
por ejemplo, usa ahora los siguientes pares de claves:
LAPALA y LANUCA; PASA y NADA; PAOS y TERMA.
Cules son las claves k3 en cada caso?
El DES no ser un grupo y, por lo tanto, permitir el cifrado

mltiple. Esto aumentar el tamao efectivo de la clave.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 479
Cifrado DES mltiple

k1
M
k2
C
DES
DES
k1 y k2 son
claves n bits
Se duplica la longitud de la clave?

En este modelo, cabe esperar que la longitud efectiva de la
clave sea 22n donde n representa la longitud de bits de las
claves k1 y k2. No obstante esto no es cierto.
En realidad el tamao de la clave resultante en este caso es
equivalente a 2n+1, un aumento insignificante para n grande
y por esta razn no se usa.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 480
Ataque por encuentro a medio camino

k1
M
k1 y k2 son
claves n bits
k2
Y
DES
DES
a) Se descripta el criptograma C por fuerza bruta usando las 2n claves

posibles y realizando entonces 2n clculos. Se obtiene as Y.
b) Con los textos intermedios Y se forma una tabla ordenada de
textos cifrados con sus correspondientes valores k2.
c) Se cifran los textos en claro M elegidos con todas las claves k1 y se
comparan con Y, realizando un mximo de 2n clculos.
d) Una de las claves ser la verdadera y se ha realizado un nmero
menor que 2n + 2n = 2n+1 clculos. Luego la clave real es igual a 2n+1.
Este ataque se conoce con el nombre de meet-in-the-middle.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 481
Triple DES
k1
M
E (DES)
k2
D (DES)
k1
E (DES)
k1 y k2 son
claves n bits
En este caso se logra un valor efectivo de longitud de

clave igual a 22n bits, es decir 22 56 = 2112 bits.
El ejemplo anterior con slo dos claves (equivalente al
de tres claves) se usa por motivos de compatibilidad con
el DES de clave nica. Propuesto por Matyas y Meyer de
IBM, se denomina EDE: Encrypt-Decrypt-Encrypt.
Es inmune a ataques por encuentro a medio camino.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 482
Usos de Triple DES

k1
M
E (DES)
k2
D (DES)
k1 y k2
claves de
64 bits
k1
E (DES)
Aunque el algoritmo DES haya sufrido diversos ataques y no se

haya vuelto a certificar por el NIST como estndar de cifrado, el
Triple DES s tiene una gran seguridad debido al tamao de su
clave de 112 bits efectivos y sigue siendo muy vlido en el ao
2002. De hecho, es el algoritmo propuesto en el protocolo SET y
se encuentra, entre otras aplicaciones, en el programa PGP.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 483
International Data Encryption Algorithm IDEA

Historia del IDEA
En 1990 Xuejia Lai y James Massey proponen el PES,
Proposed Encryption Standard.
En 1991 -debido a los avances de Biham y Shamir en el
criptoanlisis diferencial- los autores proponen el IPES,
Improved Proposed Encryption Standard.
En 1992 los autores proponen finalmente el algoritmo
IDEA, International Data Encryption Algorithm.
En 1999 el algoritmo IDEA, mucho ms seguro que el
DES y sus versiones, se comienza a usar ampliamente en
el sistema de correo electrnico seguro PGP.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 484
Estructura y esquema de IDEA

Cifra bloques de 64 bits
en 8 vueltas
Divide la entrada M en
cuatro bloques de 16 bits
Se generan 52 subclaves
de 16 bits a partir de la
clave maestra de 128 bits
Usa 6 claves por vuelta
Hay una transformacin
final con 4 claves para
invertir operacin inicial
Jorge Rami Aguirre
Madrid (Espaa) 2003
Todas sus operaciones

se realizan dentro de
un cuerpo finito
Diapositiva 485
Operaciones matemticas en IDEA

Operaciones bsicas
XOR
Suma mdulo 216 (mod 65.536)
Es primo y se
asegura el inverso
multiplicativo
Multiplicacin mdulo 216+1 (65.537)

Todas las operaciones se realizan con bloques de 16 bits y el
truco est en que los bloques cuyo valor sea 0 (16 bits) se
cambiarn por la constante 216 ... de 17 bits! . Comprobar
aqu esto con tantos dgitos es complicado pero podemos ver
un ejemplo con nmeros pequeos que puede interpolarse.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 486
Operaciones +, y en grupo pequeo

Ejemplo dentro de un grupo n pequeo
Como 2n + 1 debe ser primo, sea n = 2 ya que 22 = 4 y 22 + 1 = 5
X
0
0
0
0
1
1
1
1
2
2
2
2
3
3
3
3
Y
00
00
00
00
01
01
01
01
10
10
10
10
11
11
11
11
0
1
2
3
0
1
2
3
0
1
2
3
0
1
2
3
X+Y
00
01
10
11
00
01
10
11
00
01
10
11
00
01
10
11
0
1
2
3
1
2
3
0
2
3
0
1
3
0
1
2
00
01
10
11
01
10
11
00
10
11
00
01
11
00
01
10
1
0
3
2
0
1
2
3
3
2
0
1
2
3
1
0
X Y
01
00
11
10
00
01
10
11
11
10
00
01
10
11
01
00
XY
0
00
1
01
2
10
3
11
1
01
0
00
3
11
2
10
2
10
3
11
0
00
1
01
3
11
2
10
1
01
0
00
n=2
dos bits
Veremos cmo
se opera con la
multiplicacin.
La suma y el or
exclusivo son
operaciones
similares.
Operaciones: + mod 2n (mod 4), mod 2n+1 (mod 5), XOR (mod 2)
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 487
Ejemplo de operacin en IDEA

X
Y
0
00
0
00
0
00
1
01
0
00
2
10
0
00
3
11
1
01
0
00
1
01
1
01
22x 1 = 4
01
=
2
1 0101
= 2 x2 1 = 410
1
01
3
11
=
4
mod
5
=
4
mod
5
2
10
0
00
=10=44==010
2
01
2
10
2
10
(por definicin)
definicin)
2 (por10
3
11
3
11
0
00
3
11
1
01
3
11
2
10
3
11
3
11
X+Y
X Y
0
00
1
01
1
01
0
00
2
10
3
11
3
11
2
10
1
01
0
00
2
10
1
01
3
11
2
10
0
00
3
11
2
10
3
11
3
11
2
10
0
00
0
00
22x 2 = 8
=
2
102
01
1
0211= 2 x2 2 = 801
3
10
=
8
mod
5
=
8
mod
5
0
00
3
11
1
01
=01=33 1
2
10
0
00
0
1
2
3
1
0
3
2
2
3
0
1
3
2
1
0
XY
00
01
10
11
01
00
11
10
10
11
00
01
11
10
01
00
Recuerdeque
que00
Recuerde
igualaa22nn==44
esesigual
porloloque:
que:
por
00==2222xx2222
00
16mod
mod 55
==16
==11
03==2222xx33==12
12
03
12mod
mod 55
==12
==22
Operaciones: + mod 2n (mod 4), mod 2n+1 (mod 5), XOR (mod 2)
Los dems clculos con los diferentes valores de X e Y son todos similares
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 488
Detalles del algoritmo IDEA

Operacin cifrado
MA
Operaciones inversas
al comienzo y al final
del algoritmo. Esto
permite usar el mismo
algoritmo para cifrar
que para descifrar.
Bloque principal
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 489
Bloque principal de IDEA

Estas tres operaciones provocan confusin y no
cumplen las leyes distributiva ni asociativa.
La estructura que crea la

difusin es un bloque bsico
denominado Estructura MA
Multiplication / Addition.
Usa slo dos claves por cada
vuelta y sus entradas F1, F2
as como sus salidas G1, G2
estn conectadas por XOR.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 490
Generacin de claves en IDEA

A partir de una entrada de
128 bits, se generan las 52
subclaves de cifrado.
Se produce un desplazamiento de 25
bits a la izquierda en cada una de las
7 fases de generacin de claves.
26
Con los
primeros
128 bits se
generan 8
subclaves
de 16 bits
cada una.
Los 64
ltimos
bits de
la fase 7
no se
usan.
23
64 bits de ltimas claves

Jorge Rami Aguirre
86
Madrid (Espaa) 2003
Diapositiva 491
Desplazamientos de la clave en IDEA

En cada operacin sobre la clave de 128 bits, se obtienen 8
claves de 16 bits de las que slo se usan 6 en cada vuelta.
Las claves restantes se guardan para la siguiente vuelta.
Clave Principal k = 128 bits
001 002 003 004 005 006 007 008 009 010 011 012 013 014 015 016 017 018 019 020 021 022 023 024 025 026 027 028 029 030 031 032
033 034 035 036 037 038 039 040 041 042 043 044 045 046 047 048 049 050 051 052 053 054 055 056 057 058 059 060 061 062 063 064
065 066 067 068 069 070 071 072 073 074 075 076 077 078 079 080 081 082 083 084 085 086 087 088 089 090 091 092 093 094 095 096
097 098 099 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128
1
2
3
4
5
6
7
Primeros 16 bits de clave
001 002 003 004 005 006 007 008 009 010 011 012 013 014 015 016
026 027 028 029 030 031 032 033 034 035 036 037 038 039 040 041
051 052 053 054 055 056 057 058 059 060 061 062 063 064 065 066
076 077 078 079 080 081 082 083 084 085 086 087 088 089 090 091
101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116
126 127 128 001 002 003 004 005 006 007 008 009 010 011 012 103
023 024 025 026 027 028 029 030 031 032 033 034 035 036 037 038

Jorge Rami Aguirre
.
.
.
.
.
.
.
Ultimos 16 bits de clave
113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128
010 011 012 013 014 015 016 017 018 019 020 021 022 023 024 025
035 036 037 038 039 040 041 042 043 044 045 046 047 048 049 050
060 061 062 063 064 065 066 067 068 069 070 071 072 073 074 075
085 086 087 088 089 090 091 092 093 094 095 096 097 098 099 100
110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125
007 008 009 010 011 012 013 014 015 016 017 018 019 020 021 022
Madrid (Espaa) 2003
Diapositiva 492
Claves usadas por IDEA en cada en vuelta

La distribucin de bits de subclaves
en cada vuelta sigue una lgica
Primera vuelta:
Segunda vuelta:
Tercera vuelta:
Cuarta vuelta:
Quinta vuelta:
Sexta vuelta:
Sptima vuelta:
Octava vuelta:
Transformacin:
k1k2k3k4k5k6
k7k8k9k10k11k12
k13k14k15k16k17k18
k19k20k21k22k23k24
k25k26k27k28k29k30
k31k32k33k34k35k36
k37k38k39k40k41k42
k43k44k45k46k47k48
k49k50k51k52

Jorge Rami Aguirre
B[196]
B[97128; 2689]
B[90128; 125; 5182]
B[83128; 150]
B[76128; 143]
B[4475; 101128; 136]
B[37100; 126128; 129]
B[30125]
B[2386]
Madrid (Espaa) 2003
Diapositiva 493
Primeras claves en cada vuelta en IDEA

Las primeras claves de cada vuelta k1, k7, k13, k19, k25, k31, k37 y
k43 usan un conjunto diferente de bits. Excepto en las vueltas
primera y octava, los 96 bits de subclave usados en cada vuelta,
no son contiguos. Debido al desplazamiento en cada fase de 25
bits a la izquierda, se hace muy difcil el ataque a la clave.
K1:
K7:
K13:
K19:
K25:
K31:
k37:
k43:
001
097
090
083
076
044
037
030
002
098
091
084
077
045
038
031
003
099
092
085
078
046
039
032
004
100
093
086
079
047
040
033

Jorge Rami Aguirre
005
101
094
087
080
048
041
034
006
102
095
088
081
049
042
035
007
103
096
089
082
050
043
036
008
104
097
090
083
051
044
037
009
105
098
091
084
052
045
038
010
106
099
092
085
053
046
039
011
107
100
093
086
054
047
040
012
108
101
094
087
055
048
041
Madrid (Espaa) 2003
013
109
102
095
088
056
049
042
014
110
103
096
089
057
050
043
015
111
104
097
090
058
051
044
016
112
105
098
091
059
052
045
Diapositiva 494
Ejemplo de clculo de claves en IDEA

Si la clave es IDEA es la clave, encuentre los 16 bits de la
segunda clave de la cuarta vuelta.
Solucin:
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
0 1 0 0 1 0 0 1 0 1 0 0 0 1 0 0 0 1 0 0 0 1 0 1 0 1 0 0 0 0
31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60
0 1 0 0 1 0 0 0 0 0 0 1 1 0 0 1 0 1 0 1 1 1 0 0 1 1 0 0 1 0
61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90
0 0 0 0 0 1 1 0 1 1 0 0 0 1 1 0 0 0 0 1 0 0 1 0 0 0 0 0 0 1
91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114
1 0 0 0 1 1 0 1 1 0
1
1
0
0
0
1
1
0
0
0
0
1
0
1
115 116 117 118 119 120 121 122 123 124 125 126 127 128
1
1
0
1
1
0
0
1
1
0
0
1
0
1
Como en cada vuelta se usan 6 subclaves, la segunda clave de la

cuarta vuelta ser la nmero 36+2 = 20. Como la clave 19
termina en el bit 98, la clave 20 sern los 16 bits siguientes, es
decir del 99 al 114: k20 = 10110001 10000101.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 495
Descifrado con IDEA

El algoritmo IDEA, al igual que el DES, permite cifrar y
descifrar con la misma estructura. Como las operaciones se
hacen dentro de un cuerpo finito, en este caso las claves se
toman como los inversos de las operaciones XOR, suma
mod 216 y producto mod 216+1, dependiendo de las
operaciones realizadas en la fase de cifrado.
INVERSOS
Inverso XOR: se aplica la misma funcin

Inverso aditivo: suma mod 216
Inverso multiplicativo: producto mod 216+1
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 496
Claves de descifrado en IDEA

d1 = k49-1
d7 = k43-1
d13 = k37-1
d19 = k31-1
d25 = k25-1
d31 = k19-1
d37 = k13-1
d43 = k7-1
d49 = k1-1
d2 = -k50
d8 = -k45
d14 = -k39
d20 = -k33
d26 = -k27
d32 = -k21
d38 = -k15
d44 = -k9
d50 = -k2
d3 = -k51
d9 = -k44
d15 = -k38
d21 = -k32
d27 = -k26
d33 = -k20
d39 = -k14
d45 = -k8
d51 = -k3
Inversos de la suma
d4 = k52-1
d10 = k46-1
d16 = k40-1
d22 = k34-1
d28 = k28-1
d34 = k22-1
d40 = k16-1
d46 = k10-1
d52 = k4-1
d5 = k47
d11 = k41
d17 = k35
d23 = k29
d29 = k23
d35 = k17
d41 = k11
d47 = k5
d6 = k48
d12 = k42
d18 = k36
d24 = k30
d30 = k24
d36 = k18
d42 = k12
d48 = k6
Inversos del XOR
Inversos del producto

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 497
Operacin de descifrado con IDEA

Mdulo IDEA
Para descifrar, cada
bloque de criptograma
se dividir en cuatro
subbloques de 16 bits
Las operaciones
se hacen ahora
hacia arriba

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 498
Uso de claves inversas en descifrado IDEA

Ultimas 6 claves
de descifrado
d1 = k49-1
d7 = k43-1
d13 = k37-1
d19 = k31-1
d25 = k25-1
d31 = k19-1
d37 = k13-1
d43 = k7-1
d49 = k1-1
d2 = -k50
d8 = -k45
d14 = -k39
d20 = -k33
d26 = -k27
d32 = -k21
d38 = -k15
d44 = -k9
d50 = -k2

Jorge Rami Aguirre
d3 = -k51
d9 = -k44
d15 = -k38
d21 = -k32
d27 = -k26
d33 = -k20
d39 = -k14
d45 = -k8
d51 = -k3
d4 = k52-1
d10 = k46-1
d16 = k40-1
d22 = k34-1
d28 = k28-1
d34 = k22-1
d40 = k16-1
d46 = k10-1
d52 = k4-1
d5 = k47
d11 = k41
d17 = k35
d23 = k29
d29 = k23
d35 = k17
d41 = k11
d47 = k5
Madrid (Espaa) 2003
d6 = k48
d12 = k42
d18 = k36
d24 = k30
d30 = k24
d36 = k18
d42 = k12
d48 = k6
Diapositiva 499
Fortaleza del algoritmo IDEA

IDEA se muestra inmune ante un criptoanlisis diferencial. Sus
autores conocan esta debilidad del DES y lo hicieron resistente.
Joan Daemen descubre en 1992 una clase de claves dbiles. La
siguiente clave k = 0000,0000,0x00,0000,0000,000x,xxxx,x000
en hexadecimal es dbil, en el sentido de que un criptoanalista
podra identificarla en un ataque con texto en claro elegido. Las
posiciones x pueden ser cualquier nmero en hexadecimal.
La probabilidad de que se use este tipo de claves es slo de uno
en 296 y se puede, adems, eliminar por diseo.
A la fecha, ao 2003, no se conoce todava ningn sistema o
algoritmo de ataque que haya criptoanalizado el IDEA.
Joan Daemen y Vincent Rijmen crearn en 1997 el RIJNDAEL,
nuevo estndar mundial del NIST desde finales de 2001.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 500
Algoritmo RC2
Cifrador en bloque de clave variable propuesto por Ron Rivest.

El cdigo es secreto industrial de RSA Data Security Inc.
Tamao del bloque de texto: 64 bits.
Con una clave con tamao variable (de 8 a 1.024 bits) forma una
tabla de 128 bytes (1.024 bits) que depende de la clave inicial.
No usa cajas S y es casi tres veces ms rpido que DES.
Se usa en SMIME con longitudes de clave de 40, 64 y 128 bits.
Los algoritmos RC2 y RC4 se incluyen en productos para la
exportacin, como navegadores, limitando la clave a 40 bits.
Operaciones primitivas de cifra: suma en mdulo 232, operacin
or exclusivo, complemento de bits, operacin AND y rotacin
circular a la izquierda.
Realiza 18 vueltas conocidas como mixing y mashing.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 501
Algoritmo RC5
RC5 es un cifrador en bloque de tamao variable de Ron Rivest.

Cifra bloques de texto de 32, 64 128 bits.
Tamao de clave hasta 2.048 bits, en funcin nmero de vueltas.
Nmero de vueltas de 0 a 255.
Versiones especficas: RC5 w/r/b donde w es el tamao de la
palabra (16, 32 64 bits) -RC5 cifra bloques de dos palabras-, r
es el nmero de vueltas y b es el tamao en octetos de la clave K.
El valor propuesto por Rivest como mnimo es RC5 32/12/16.
Rutina expansin de clave: se expande K para llenar una tabla.
Rutinas de cifrado y descifrado: usa primitivas de suma mdulo
2w, or exclusivo y rotacin circular a la izquierda.
Caractersticas: muy rpido, arquitectura simple, bajos requisitos
de memoria y alta seguridad. Las rotaciones dependientes de los
datos le fortalecen ante el criptoanlisis diferencial.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 502
Algoritmos SAFER 64 y 128

SAFER: Secure and Fast Encryption Routine (James Massey).
Cifra bloques de texto de 64 bits. Cada bloque a cifrar de texto se
divide en 8 bytes.
Tamao de clave: 64 128 bits.
Nmero de vueltas de 0 a 10; mnimo recomendable 6.
Operaciones de cifrado y descifrado distintas basadas en bytes,
que orientan su uso en aplicaciones de tarjetas inteligentes.
En cada vuelta hay operaciones or y sumas normales, potencias y
logaritmos discretos en p = 257, usando 45 como raz primitiva.
Al final del algoritmo hay tres niveles de operaciones lineales
conocidas como Pseudo Transformaciones de Hadamard, PTH,
cuyo objetivo es aumentar la difusin de los bits.
Existen versiones SAFER SK-64 y SK-128 ms seguras ante
claves dbiles que sus antecesoras.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 503
Algoritmo Blowfish
Cifrador tipo Feistel de clave variable (Bruce Schneier).
Cifra bloques de texto de 64 bits.
Tamao de clave: de 32 hasta 448 bits. Se generan 18 subclaves
de 32 bits y cuatro cajas S de 8x32 bits, en total 4.168 bytes.
Nmero de vueltas: 16, en cada una de ellas se realiza una
permutacin funcin de la clave y una sustitucin que es funcin
de la clave y los datos.
Operaciones bsicas: or exclusivo y suma mdulo 232.
Cajas S: en cada vuelta hay cuatro con 256 entradas cada una.
Caractersticas: compacto porque necesita slo 5 K de memoria,
es muy rpido (5 veces ms veloz que DES), es conceptualmente
simple y su fortaleza puede variarse segn longitud de la clave.
Usa una funcin F con las cuatro cajas S y operaciones bsicas
de suma y or exclusivo que provocan un efecto de avalancha.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 504
Algoritmo CAST 128

Cifrador Feistel propuesto por C. Adams y S. Tavares (Canad).
Cifra bloques de texto de 64 bits con claves de 40 hasta 128 bits
en incrementos de octetos.
Cifra en 16 vueltas.
Usa ocho cajas S de 8 bits de entrada y 32 bits de salida con unas
funciones no lineales ptimas (funciones bent), cuatro cajas en
procesos de cifra y las otras cuatro para la generacin de claves.
Cada caja es un array de 32 columnas y 256 filas. Los 8 bits de
entrada seleccionan una fila y los 32 bits de sta es la salida.
Operaciones bsicas: suma y resta mdulo 232, or exclusivo y
rotaciones circulares hacia la izquierda.
Caractersticas: inmune a ataques por criptoanlisis diferencial y
lineal; algoritmo estndar de cifra en ltimas versiones de PGP.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 505
Algoritmo Skipjack
Ha sido desarrollado por la NSA, National Security Agency, est
contenido en los chip Clipper y Capstone y su implementacin
slo est permitida en hardware.
Cifra bloques de 64 bits con una clave de 80 bits.
Los usuarios depositan sus claves secretas en diversas agencias
de gobierno.
Usa 32 vueltas en cada bloque de cifra.
Los detalles del algoritmo no son pblicos.
Caractersticas: imposicin de los EEUU para comunicaciones
con la administracin, tiene una puerta trasera que puede dejar
en claro la cifra, nadie puede asegurar que el algoritmo tenga la
suficiente fortaleza pero los Estados Unidos piensa usarlo en su
DMS, Defense Messaging System. Ha sido duramente criticado.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 506
El DES deja de ser un estndar

El DES se adopta como estndar en 1976.
El NIST certifica al DES en 1987 y luego en 1993.
Durante esos aos se estandariza como algoritmo de cifra
en todo el mundo. Su uso principal lo encontramos en el
cifrado de la informacin intercambiada en transacciones
de dinero entre un cajero automtico y el banco respectivo.
En 1997 NIST no certifica al DES y llama a un concurso
internacional para buscar un nuevo estndar mundial de
cifra denominado AES Advanced Encryption Standard.
Precisamente entre 1997 y 1999 el DES se enfrenta a tres
ataques o desafos conocidos como DES Challenge que
impulsa y promociona la compaa RSA.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 507
DES Challenge I y II
29 enero 1997: DES Challenge I. Se rompe la clave en 96
das con 80.000 de ordenadores en Internet que evalan
7.000 millones de clave por segundo. Para encontrar la
clave se debe recorrer el 25% del espacio de claves .
13 enero 1998: DES Challenge II-1. Se rompe la clave en
39 das con un ataque tipo distribuido por distributed.net
que llega a evaluar 34.000 millones de claves por segundo
y debe recorrer el 88% del espacio de claves .
13 julio de 1998: DES Challenge II-2. Electronic Frontier
Foundation EFF crea el DES Cracker con una inversin
de US $ 200.000 y en 56 horas (2 das) rompe la clave
evaluando 90.000 millones de claves por segundo.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 508
DES Challenge III

18 enero 1999: DES Challenge III. Se unen la mquina
DES Cracker y distributed.net con 100.000 ordenadores
conectados en Internet para romper la clave en 22 horas,
menos de 1 da, evaluando 245.000 millones de claves
por segundo tras recorrer el 22% del espacio de claves.
Se trata del ltimo desafo propuesto por RSA que pone
en evidencia la capacidad de ataque distribuido a travs
de los tiempos muertos de procesador de mquinas
conectadas a Internet que, con un programa cliente, van
resolviendo un pequeo trozo del espacio de claves,
comunicndose para ello con un servidor.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 509
El nuevo estndar en cifra AES

AES: Advanced Encryption Standard
El DES, estndar desde 1976, pasa la certificacin de la
NBS National Bureaux of Standards en 1987 y en 1993.
En 1997 el NIST National Institute of Standards and
Technology (antigua NBS) no certifica al DES y llama a
concurso pblico para un nuevo estndar: el AES.
En octubre del ao 2000 el NIST elige el algoritmo belga
RIJNDAEL como nuevo estndar para algoritmo de cifra
del siglo XXI. Es software de libre distribucin y est
disponible desde finales del ao 2001.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 510
Caractersticas del algoritmo RIJNDAEL

RIJNDAEL: autores Vincent Rijmen y Joan Daemen
No es de tipo Feistel.
Implementado para trabajar en los procesadores de 8 bits
usados en tarjetas inteligentes y en CPUs de 32 bits.
Tamao de clave variable: 128, 192 y 256 bits (estndar) o
bien mltiplo de 4 bytes.
Tamao del bloque de texto: 128 bits o mltiplo de 4 bytes.
Operaciones modulares a nivel de byte (representacin en
forma de polinomios) y de palabra de 4 bytes: 32 bits.
Nmero de etapas flexible segn necesidades del usuario.
Usa un conjunto de Cajas S similar al DES.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 511
Transformaciones o capas de RIJNDAEL

Hay tres transformaciones distintas llamadas capas en las
que se tratan los bits. Estas constan de:
Capa de Mezcla Lineal: en ella se busca la difusin de los
bits.
Capa No Lineal: se trata de una zona similar a las cajas S del
DES.
Capa Clave: operaciones con una funcin Xor de la subclave
y la informacin de esta etapa intermedia.
Las transformaciones realizadas en cada paso del algoritmo

se denominan estados y se representa por un array de 4
filas.
Puede ver un esquema detallado del algoritmo en la pgina Web
de su autor http://www.esat.kuleuven.ac.be/~rijmen/rijndael/ y
en http://home.ecn.ab.ca/~jsavard/crypto/co040401.htm.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 512
Operaciones con bytes en RIJNDAEL

Operaciones a nivel de byte en GF(28)
Suma y multiplicacin. Son clculos en Campos de Galois
GF(28) con 8 bits. Para la reduccin de exponente se usar
un polinomio primitivo p(x).
Producto por x. Esta operacin conocida como xtime(a) al
igual que en el caso anterior usa la reduccin de exponente.
Puede implementarse fcilmente con desplazamientos y
operaciones or exclusivo.
Ejemplos

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 513
Ejemplo de suma en GF(28)

Vamos a sumar los valores hexadecimales 57 y 83:
A = 5716 = 0101 01112
B = 8316 = 1000 00112
que expresados en polinomios dentro de GF(28) sern:
A = 0101 01112 = x6 + x4 + x2 + x + 1
B = 1000 00112 = x7 + x + 1
Sumando: A+B = (x6 + x4 + x2 + x + 1) + (x7 + x + 1) mod 2
A+B = (x7 + x6 + x4 + x2 + 2x + 2) mod 2
A+B = x7 + x6 + x4 + x2 = 1101 0100 = D416
Y lo mismo se obtiene con la suma Or exclusivo:
0101 0111 1000 0011 = 1101 0100 = D416
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 514
Ejemplo de producto en GF(28) (1)

Vamos a multiplicar los valores hexadecimales 57 y 83:
A = 5716 = 0101 01112
B = 8316 = 1000 00112
que expresados en polinomios dentro de GF(28) sern:
A = 0101 01112 = x6 + x4 + x2 + x + 1
B = 1000 00112 = x7 + x + 1
Sea p(x) = x8 + x4 + x3 + x + 1 x8 = x4 + x3 + x + 1
AB = (x6 + x4 + x2 + x + 1)(x7 + x + 1) mod 2
AB = x13 + x11 + x9 + x8 + 2x7 + x6 + x5 + x4 + x3 + 2x2 + 2x +1
AB = x13 + x11 + x9 + x8 + x6 + x5 + x4 + x3 + 1
Este resultado hay que reducirlo por p(x) = x8 + x4 + x3 + x + 1
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 515

Estn fuera del cuerpo de 8 bits
p(x): x8 = x4 + x3 + x + 1
AB = x13 + x11 + x9 + x8 + x6 + x5 + x4 + x3 + 1
x13 = x5x8 = x5(x4 + x3 + x + 1) = x9 + x8 + x6 + x5
x13 = x (x4 + x3 + x + 1) + (x4 + x3 + x + 1) + x6 + x5
x13 = (x5 + x4 + x2 + x) + (x4 + x3 + x + 1) + x6 + x5
x13 = x6 + x3 + x2 + 1

Jorge Rami Aguirre
x13 = x6 + x3 + x2 + 1
Madrid (Espaa) 2003
Diapositiva 516

Estn fuera del cuerpo de 8 bits
p(x): x8 = x4 + x3 + x + 1
AB = x13 + x11 + x9 + x8 + x6 + x5 + x4 + x3 + 1
x11 = x3x8 = x3(x4 + x3 + x + 1)
x11 = x7 + x6 + x4 + x3
x11 = x7 + x6 + x4 + x3
x9 = xx8 = x(x4 + x3 + x + 1)
x9 = x5 + x4 + x2 + x
x9 = x5 + x4 + x2 + x
x8 = x4 + x3 + x + 1
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 517

x13 = x6 + x3 + x2 + 1
x11 = x7 + x6 + x4 + x3
x9 = x5 + x4 + x2 + x
x8 = x4 + x3 + x + 1
AB = x13 + x11 + x9 + x8 + x6 + x5 + x4 + x3 + 1
Reemplazando los clculo anteriores en la expresin:
AB = (x6 + x3 + x2 + 1) + (x7 + x6 + x4 + x3) + (x5 + x4 + x2 + x) +
+ (x4 + x3 + x + 1) + x6 + x5 + x4 + x3 + 1 mod 2
AB = x7 + x6 + 1 = 1100 0001 = C116
Fin del Tema 10
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 518
1. Qu particularidad tiene el cifrado tipo Feistel?
2. Qu importante diferencia tiene el algoritmo Skipjack con respecto
a todos los dems? Razone si eso es bueno o malo en criptografa.
3. Cul es la razn principal de la debilidad del algoritmo DES?
4. Con cul de las dos versiones respecto a la reduccin de clave
aplicada al DES por la NSA se queda Ud.? Razone las dos
respuestas posibles.
5. Qu tamao de bloque de mensaje cifra el DES, con qu longitud
de clave y con cuntas vueltas?
6. Tiene algn inters criptogrfico la tabla de permutacin inicial IP
que se repite en sentido contrario al final en el DES? Por qu?
7. Qu distribucin especial observa en los dos bloques de texto a
cifrar L0 y R0 en DES? Qu separacin en bits hay entre ellos?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 519
8. Cmo se las arregla DES para realizar operaciones suma mdulo
dos con sub-bloques de texto de 32 bits y sub-claves de 56 bits?
9. Qu dos importantes funciones cumplen las cajas S en el DES?
10. En la caja S3 del DES entra la secuencia de bits 101101, qu sale?
11. Si la clave DES en ASCII (no nmeros) es HOLAPACO, cules
sern la primera y segunda sub-claves de cifrado?
12. Por qu no debe usarse nunca el modo de cifra ECB?
13. Podemos usar el DES como un generador de secuencia cifrante?
14. Por qu decimos que el DES no es un grupo? Qu significa eso?
15. En qu consiste un ataque por encuentro a medio camino?
16. Por qu se usa en el triple DES un cifrado con slo dos claves y no
con tres como su nombre indica?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 520
17. Por qu en IDEA se usa una palabra de 16 bits y no de 32 bits? Se
podra usar una palabra de 8 bits 24 bits? Justifique su respuesta.
18. Encuentre los resultados de las tres operaciones bsicas para un
sistema simulado IDEA que trabaja con 4 bits.
19. Qu tamao de bloque cifra IDEA, con qu longitud de clave y con
cuntas vueltas?
20. Cmo se generan las sub-claves en IDEA?
21. Cules son las claves Z9 y Z10 en un sistema IDEA en el que la
clave maestra en ASCII es K = UnaClaveDePrueba.
22. Encuentre las claves de descifrado de las siguientes claves de cifra
en IDEA: k12 = 3.256; k13 = 34.517; k14 = 45.592.
23. Sume y multiplique 31 y 18 en GF(28) segn algoritmo RIJNDAEL.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 521
Tema 11
Cifrado Asimtrico con Mochilas
v 3.1
Material Docente de
Libre Distribucin
Jorge Rami Aguirre

El problema de la mochila
El problema matemtico de la mochila
referido ahora a nmeros y no elementos
que entran en ella puede plantearse como
sigue:
Dada la siguiente secuencia de m nmeros enteros
positivos S = {S1, S2, S3, ..., Sm-2, Sm-1, Sm} y un valor
u objetivo T, se pide encontrar un subconjunto de S
SS = {Sa, Sb, ..., Sj} que cumpla con el objetivo:
T = SS = Sa + Sb + ... + Sj
Jorge Rami Aguirre
Tema 11: Cifrado Asimtrico con Mochilas
Madrid (Espaa) 2003
Diapositiva 524
Solucin al problema de la mochila

Si los elementos de la mochila son nmeros grandes, no
estn ordenados y no siguen una distribucin supercreciente
-en este tipo de distribucin el elemento isimo Si de la
mochila es mayor que la suma de todos sus antecesores-, la
resolucin de este problema es de tipo no polinomial.
Se trata de encontrar los vectores Vi de 0s y 1s de
forma que:
SiV
=
T
i
i
Si se cumple esta relacin, la mochila tiene solucin.
En caso contrario, no existir solucin.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 525
Un ejemplo del problema de la mochila

Tenemos la mochila S = {20, 5, 7, 36, 13, 2} con m = 6 y el
valor T = 35. Se pide encontrar una solucin, si es que sta
existe, en una nica vuelta. En este momento no importa
que los valores de la mochila no estn ordenados.
SOLUCIN: Sin hacer ningn clculo mental, podemos
recorrer todos los valores (se puede descartar el elemento S4
pues es mayor que el objetivo T) de la mochila S, bien de
izquierda a derecha o al revs (da igual el sentido elegido) y
restaremos el elemento isimo si es menor que el objetivo T
en esa etapa del algoritmo, como se indica:
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 526
Solucin al ejemplo de la mochila

S = {S1, S2, S3, S4, S5, S6} = {20, 5, 7, 36, 13, 2} T = 35
S1 = 20 Es menor que objetivo T = 35? S T = 35-20 = 15
S4 = 36 Es menor que objetivo T = 3? No T = 3
S5 = 13 Es menor que objetivo T = 3? No T = 3
S6 = 2 Es menor que objetivo T = 3? S T = 3-2 = 1 0
Se ha recorrido toda la mochila y no se ha encontrado solucin.
En cambio s existe una solucin:

SS = {S1+S5+S6} = 20+13+2 = 35
Jorge Rami Aguirre
Vi = [1,0,0,0,1,1]
Madrid (Espaa) 2003
Diapositiva 527
Puede haber soluciones mltiples?

Si para la misma mochila S = {20, 5, 7, 36, 13, 2} buscamos
ahora el valor T = 27, encontramos tres soluciones vlidas:
SS1 = {S1+S3} = 20+7
SS2 = {S1+S2+S6} = 20+5+2
SS3 = {S2+S3+S5+S6} = 5+7+13+2

Esto sera inadmisible en un sistema de cifra puesto que el
resultado de una operacin de descifrado debe ser nica ya
que proviene de un nico mensaje. La solucin ser el uso
de las denominadas mochilas simples en que la solucin al
problema de la mochila, si existe, es nica.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 528
Mochila simple o supercreciente

Una mochila es simple o
supercreciente si el elemento Sk
es mayor que la suma de los
elementos que le anteceden:
k-1
k-1
SSkk>>SSj j
j=1
j=1
Por ejemplo, la mochila S = {2, 3, 7, 13, 28, 55, 110, 221}

con m = 8 elementos es supercreciente y la solucin para un
objetivo T = 148 es nica: Vi = [S2+S3+S5+S7].
Para resolver cualquier valor T vlido para esta mochila,
sta se recorre de derecha a izquierda una sola vez con el
algoritmo ya visto.
Compruebe que para T = 289, 196 y 353 los vectores son
V1 = 00010101; V2 = 01001110; V3 = 10110011.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 529
Operacin de cifra con mochila simple

Se representa la informacin en binario y se pasan los bits
por la mochila. Los bits 1s incluyen en la suma el elemento
al que apuntan y los bits 0s no.
Con la mochila S = {2, 4, 10, 19, 40} de m = 5 elementos
cifraremos el mensaje M = ADIOS.
SOLUCIN: Usando cdigo ASCII/ANSI: A = 01000001;
D = 01000100; I = 01001001; O = 01001111; S = 01010011
M = 01000 00101 00010 00100 10010 10011 11010 10011
C = (4), (10+40), (19), (10), (2+19), (2+19+40), (2+4+19), (2+19+40)
C = 4, 50, 19, 10, 21, 61, 25, 61
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 530
Descifrado con mochila simple

C = 4, 50, 19, 10, 21, 61, 25, 61
S = {2, 4, 10, 19, 40}
La operacin de descifrado es elemental: pasamos por la

mochila los valores de C, encontramos el vector Vi y por
ltimo agrupamos el resultado en grupos de 8 bits. En este
caso 4 Vi = 01000, 50 Vi = 00101, etc.
PROBLEMA: Es muy fcil cifrar y descifrar
pero tambin criptoanalizar el sistema de cifra
porque se usa una mochila simple.
Una posible solucin es usar mochilas de Merkle y Hellman.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 531
Mochila de Merkle y Hellman MH
En 1978 Ralph Merkle y Martin Hellman proponen un sistema

de cifra de clave pblica denominado Mochila con Trampa.
El algoritmo se basa en crear una mochila difcil a partir de una
mochila simple de forma que el cifrado se haga con la mochila
difcil y el descifrado con la mochila simple o fcil. Se puede
pasar fcilmente de la mochila simple a la difcil o viceversa
usando una trampa.
La trampa ser nuestra clave secreta.

La mochila difcil ser nuestra clave pblica.
Hay otros sistemas de cifra basados en mochilas algo ms

complejos pero, bsicamente, son iguales y no presentan una
fortaleza significativamente mayor. No tiene sentido su estudio.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 532
Diseo mochila de Merkle y Hellman (1)

1. Se selecciona una mochila supercreciente de m elementos
S = {S1, S2, ..., Sm}.
2. Se elige un entero (mdulo de
trabajo) mayor que la suma de
los elementos de la mochila.
3. Se elige un entero primo
relativo con .
> Si
i=1
mcd(,) = 1
ms fcil:
2Sm
Se asegura
el inverso
Se recomienda que no tenga factores con los elementos de S
4. Se multiplica S por mod . Si = Si mod

Obteniendo una mochila difcil S = {S1, S2, ..., Sm}
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 533
Diseo mochila de Merkle y Hellman (2)

5. Se calcula el inverso de en el cuerpo .
Claveprivada:
privada:
Clave
,-1-1
,
Clavepblica:
pblica: mochila
mochilaSS
Clave
-1 = inv(,)
Esto se interpreta como

encontrar los vectores que
cumplan con un valor de T.
CIFRADO:
DESCIFRADO:
C=SM
M = -1 C mod
como S = S mod
Entonces obtenemos:
C = S M mod
Jorge Rami Aguirre
Madrid (Espaa) 2003
S M
Diapositiva 534
Cifrado mochila de Merkle y Hellman (1)

Vamos a cifrar el mensaje M = Sol usando la mochila simple y
supercreciente S = {3, 5, 12, 21}.
1. Eleccin de :
2S4 221 = 45
2. Eleccin de :
mcd(, ) = 1
= 32 (-1 = 38)
3. Mochila S:
S = S mod
S1 = 32 3 mod 45 = 96 mod 45 = 6
S2 = 32 5 mod 45 = 160 mod 45 = 25
S3 = 32 12 mod 45 = 384 mod 45 = 24
S4 = 32 21 mod 45 = 672 mod 45 = 42
Clave
Clavepblica:
pblica:SS=={6,25,24,42}
{6,25,24,42}
Jorge Rami Aguirre
Claveprivada:
privada:=45,
=45,-1-1=38
=38
Clave
Madrid (Espaa) 2003
Diapositiva 535
Cifrado mochila de Merkle y Hellman (2)

Clave
Clavepblica:
pblica:SS=={6,25,24,42}
{6,25,24,42}
Claveprivada:
privada:==45,
45,-1-1==38
38
Clave
Como m = 4, cifraremos bloques de 4 bits,

convirtiendo el mensaje a su equivalente
en binario del cdigo ASCII.
Cifrado: M = Sol = 0101 0011 0110 1111 0110 1100
C = (25+42), (24+42), (25+24), (6+25+24+42), (25+24), (6+25)
C = 67, 66, 49, 97, 49, 31
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 536
Descifrado mochila de Merkle y Hellman

Clave
Clavepblica:
pblica:SS=={6,25,24,42}
{6,25,24,42}
Claveprivada:
privada:==45,
45,-1-1==38
38
Clave
Cifrado: M = Sol = 0101 0011 0110 1111 0110 1100

C = (25+42), (24+42), (25+24), (6+25+24+42), (25+24), (6+25)
C = 67, 66, 49, 97, 49, 31
Como S = {3,5,12,21}
Descifrado:
3867 mod 45=2546 mod 45 = 26 3897 mod 45=3686 mod 45 = 41
3866 mod 45=2508 mod 45 = 33 3849 mod 45=1862 mod 45 = 17
3849 mod 45=1862 mod 45 = 17 3831 mod 45=1178 mod 45 = 8
M = 0101 0011 0110 1111 0110 1100 = Sol

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 537
Valores de diseo de mochilas M-H (1)

Merkle y Hellman proponen los siguientes parmetros:
a) Tamao de la mochila m 100
b) Mdulo uniforme en el siguiente intervalo:
Intervalo : [22m+1+1, 22m+2-1]
2m+2 bits
Si m = 100: todos los elementos de S son de 202 bits.
c) Valores de Si elegidos uniformemente en el intervalo:

Intervalo Si: [(2i-1-1)2m +1, 2i-12m]
Si m = 100: 1 S1 2100 S2 2101 S3 2102 ...
d) Elegir un valor x en el intervalo [2, -2]. El factor se

calcula como: = mcd (, x)
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 538
Mochila con parmetros proporcionales (1)

a) Mochila con m = 6
Todos los elementos sern de (2m+2) = 14 bits
b) Intervalo : [22m+1+1, 22m+2-1] = [226+1+1, 226 +2-1]

= [213+1, 214+1] = [8.193, 16.385] = 13.515
c) Eleccin de los valores Si:
i=1 : [(21-1-1)26+1, (21-1) 26]

i=2 : [(22-1-1)26+1, (22-1) 26]
i=3 : [(23-1-1)26+1, (23-1) 26]
i=4 : [(24-1-1)26+1, (24-1) 26]
i=5 : [(25-1-1)26+1, (25-1) 26]
i=6 : [(26-1-1)26+1, (26-1) 26]
Jorge Rami Aguirre
1 S1 64
65 S2 128
193 S3 256
449 S4 512
961 S5 1.024
1.985 S6 2.048
Madrid (Espaa) 2003
UNA ELECCIN
S1 = 39
S2 = 72
S3 = 216
S4 = 463
S5 = 1.001
S6 = 1.996
Diapositiva 539

d) Clculo del factor . Buscamos un valor x en el intervalo
[2, -2] = [2, 13.513], por ejemplo x = 9.805.
Como el mximo comn divisor entre = 13.515 y x = 9.805
es 265, luego = 9.805/265 = 37.
Vamos a elegir:
= 37 de forma que -1 = 4.018
inv (37,13.515) = 4.018
Luego, la mochila simple y la clave privada sern:

S = {39, 72, 216, 463, 1.001, 1.996}
Mdulo: = 13.515 -1 = 4.018
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 540

Mochila simple:
S = {39, 72, 216, 463, 1.001, 1.996} Mdulo: = 13.515
Factor multiplicador: = 37; -1 = 4.018 Clave privada
S1 = 3937 mod 13.515 = 1.443
S2 = 7237 mod 13.515 = 2.664
S3 = 21637 mod 13.515 = 7.992
S4 = 46337 mod 13.515 = 3.616
S5 = 1.00137 mod 13.515 = 10.007
S6 = 1.99637 mod 13.515 = 6.277
Mochila difcil:
S = {1.443, 2.664, 7.992, 3.616, 10.007, 6.277} Clave pblica
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 541
Fortaleza de las mochilas M-H

En el ao 1982 Adi Shamir y Richard Zippel encuentran
debilidades a las mochilas de Merkle-Hellman:
Si se conoce el mdulo (o puede deducirse) ...
Y si los dos primeros elementos (S1 y S2) de la mochila
difcil se corresponden con los dos primeros elementos
(S1 y S2) de la mochila simple y son primos con ...
Entonces podemos generar la mochila simple a partir de la
difcil ya que encontraremos la clave secreta -1 ... 0
Aunque como veremos existen fuertes restricciones, esta
debilidad no hace recomendable el uso de las mochilas de
M-H al menos para el cifrado de la informacin ... /
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 542
Criptoanlisis de Shamir y Zippel

El ataque para m = 100 supone:
a) Que los dos primeros elementos de S de 100 y 101 bits
son mucho ms pequeos que el mdulo de 202 bits.
b) Que podemos identificar los elementos S1 y S2 en la
mochila difcil y hacerlos corresponder con S1 y S2.
c) Que conocemos el mdulo o podemos deducirlo.
Con estos datos se trata de encontrar los valores de S1 y
S2 adems del factor de multiplicacin .
Con estos valores podemos generar la mochila fcil S.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 543
Pasos del ataque de Shamir y Zippel (1)

1. Se calcula q = (S1/S2) mod
Como Si = Si mod entonces:
q = (S1/S2) mod = [S1 inv(S2, )] mod
Esto implica una condicin: mcd (S2, ) = 1
2. Se calculan todos los mltiplos modulares del valor q con
multiplicadores en el rango [1, 2m+1] = [1, 2101]
CM = {1q mod , 2q mod , ..., 2m+1q mod }
3. El candidato para S1 ser el valor ms pequeo de CM
puesto que ese elemento debe ser ms pequeo de la
mochila fcil S.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 544
Pasos del ataque de Shamir y Zippel (2)

4. Encontrado el candidato para S1se calcula:
= (S1/S1) mod = [S1 inv(S1, )] mod
Esto implica una nueva condicin: mcd (S1, ) = 1
5. Conocido encontramos -1 = inv(, ) y as calculamos
todos los elementos de la mochila Si = Si -1 mod que
debera ser del tipo supercreciente.
6. Si no se genera una mochila supercreciente, se elige el
siguiente valor ms pequeo del conjunto CM y as hasta
recorrer todos sus valores. Si con este conjunto CM no se
obtiene una mochila simple, se repite el punto 2 tomando
ahora valores en el rango 2m+i con i = 2, 3, etc. Por lo
general el ataque prospera con el primer conjunto CM.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 545
Ejemplo de ataque de Shamir y Zippel (1)

La clave pblica de un sistema de mochila Merkle-Hellman es:
S = {S1, S2, S3, S4, S5} = {3.241, 572, 2.163, 1.256, 3.531}
Si de alguna forma hemos conseguido conocer que el mdulo = 4.089,
se pide encontrar la mochila fcil S = {S1, S2, S3, S4, S5}.
Solucin:
q = S1/S2 mod = S1 inv (S2, ) mod . Calculamos ahora inv (S2, )
es decir inv (572, 4,089) = 309, luego q = 3.241309 mod 4.089 = 599.
Mltiplos CM = {1q mod , 2q mod , 3q mod , ..., 64q mod }
puesto que la mochila tiene m = 5 elementos y el intervalo ser [1, 25+1].
Luego CM = [599, 1.198, 1.797, 2.396, 2.995, 3.594, 104, 703, 1.302,
1.901, 2.500, 3.099, 3.698, 208, 807, 1.406, 2.005, 2.604, 3.203, 3.802,
312, 911, 1.510, 2.109, 2.708, 3.307, 3.906, 416, 1.015, 1.614, 2.213,
2.812, 3.411, 4.010, 520, 1.119, 1.718, 2.317, 2.916, 3.515, 25, 624,
1.223, 1.822, 2.421, 3.020, 3.619, 129, 728, 1.327, 1.926, 2.525, 3.124,
3.723, 233, 832, 1.431, 2.030, 2.629, 3.228, 3.827, 337, 936, 1.535].
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 546
Ejemplo de ataque de Shamir y Zippel (2)

Suponemos que el nmero ms pequeo de CM es candidato a S1 = 25.
El factor de multiplicacin sera = (S1/S1) = S1 inv (S1, ) mod .
Como inv (S1, ) = inv (25, 4,089) = 2.617, el factor de multiplicacin
= 3.2412.617 mod 4.089 = 1.111.
Por lo tanto su valor inverso ser -1 = inv (, ) = inv (1.111, 4.089).
Luego -1 = 622.
Multiplicamos ahora los valores S de la mochila difcil por -1 a ver si
obtenemos una mochila supercreciente S (Si = Si -1 mod ):
S1 = 25 (valor elegido como candidato del conjunto CM)
S2 = S2 -1 mod = 572 622 mod 4.089 = 41
&
S3 = S3 -1 mod = 2.163 622 mod 4.089 = 105 &
S4 = S4 -1 mod = 1.256 622 mod 4.089 = 233 &
S5 = S5 -1 mod = 3.531 622 mod 4.089 = 489 &
Como la mochila S = {25, 41, 105, 233, 489} es supercreciente, el
ataque ha prosperado y hemos encontrado la clave privada. /
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 547
Usos de proteccin con mochilas

Existen varios algoritmos propuestos como sistemas de cifra
usando el problema de la mochila: el de Graham-Shamir,
Chor-Rivest, etc.
No obstante todos han sucumbido a los criptoanlisis y en la
actualidad en el nico entorno que se usan es en la proteccin
de diversos programas de aplicacin, en forma de hardware
que se conecta en la salida paralela del computador para
descifrar el cdigo ejecutable de esa aplicacin dejando, sin
embargo, activa la salida a impresora. De esta manera slo en
aquel sistema con la mochila instalada se puede ejecutar el
programa. No se usa en comunicaciones.
Fin del Tema 11

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 548
1. Recorra de izquierda a derecha y de derecha a izquierda la mochila
S = {13, 6, 1, 3, 4, 9, 10} para T = 24. Tiene solucin rpida?
2. Para la mochila de la pregunta anterior, hay una o ms soluciones?
3. Interesa usar en criptografa el problema de la mochila con una
solucin no nica? Por qu s o no?
4. Qu significa que una mochila sea supercreciente? Es la mochila
S = {3, 4, 9, 18, 32, 73} supercreciente? Por qu?
5. A partir de la mochila S = {3, 5, 10, 21, 43} obtenga la mochila
MH difcil S. Para y use los valores mnimos posibles.
6. Si la mochila fcil es S = {1, 2, 4, 8, 16, 32, 64, 128} con = 257 y
= 21, cifre con una mochila de MH el mensaje en ASCII de 10
caracteres M = Hola amigo (recuerde que el espacio se cifra).
7. Descifre el criptograma obtenido en la pregunta anterior.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 549
8. Qu valores mnimos de diseo propusieron Merkle y Hellman
para su sistema de cifrado con mochila? Por qu?
9. Disee una mochila de MH con parmetros proporcionales si m = 5.
10. No es un buen criterio elegir m = 4, m = 8 o m = 16. Por qu?
11. En qu consiste el ataque de Shamir y Zippel a la mochila de MH?
12. En el ejemplo de los apuntes, cuntas operaciones ha tenido que
hacer nuestro algoritmo para romper la clave privada?
13. Con el software de mochilas de la asignatura genere una mochila
difcil a partir de la mochila fcil S = {122, 250, 506, 1.018, 2.042,
4.090, 8.186}, con = 59.369 y = 59.361. Cifre algo con ella y
luego haga un ataque. Cuntas mochilas S encuentra? Comntelo.
14. Usara un sistema de mochila para cifrar informacin en un entorno
como Internet? Y en una intranet para respuestas a un examen?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 550
Tema 12
Cifrado Asimtrico Exponencial
v 3.1
Material Docente de
Libre Distribucin
Jorge Rami Aguirre

Cifrado exponencial con clave del receptor

En el cifrado del mensaje Ee(M) = C y en el descifrado
del criptograma Ed(C) = M, se usa una exponenciacin.
En la operacin de cifrado, el subndice e significa el uso
de la clave pblica del receptor (R) en el extremo emisor
y el subndice d el uso de la clave privada del receptor
(R) en el extremo receptor.
C = EeR(M) = MeR mod nR M = EdR(C) = CdR mod nR
M debe ser un elemento del CCR de nR.

Esta operacin se usar para realizar el intercambio de
una clave de sesin entre un emisor y un receptor.
Jorge Rami Aguirre
Tema 12: Cifrado Asimtrico Exponencial
Madrid (Espaa) 2003
Diapositiva 552
Cifrado exponencial con clave del emisor

En la operacin de cifrado el subndice d significa el uso
de la clave privada del emisor (E) en el extremo emisor y
el subndice e el uso de la clave pblica del emisor (E) en
el extremo receptor.
C = EdE(M) = MdE mod nE M = EeE(C) = CeE mod nE
M debe ser un elemento del CCR de nE.

Esta operacin se usar para autenticar la identidad de un
usuario mediante una firma digital al mismo tiempo que
la integridad del mensaje.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 553
Cifrado exponencial genrico tipo RSA

Sea el grupo de trabajo n = pq (n) = (p-1)(q-1)
Se eligen una clave pblica e y una privada d de forma que:
ed mod (n) = 1 ed = k(p-1)(q-1) + 1.
Si ed = k(n) + 1
Por el Teorema de Euler
se tiene que:
Mk(n) mod n = 1
para todo M primo con n
Jorge Rami Aguirre
y ...
Por el Teorema del Resto

Chino se tiene que:
Med = M mod n
ssi Med = M mod p
Med = M mod q
Luego, el sistema de cifra es

vlido para cualquier valor de M
Madrid (Espaa) 2003
Diapositiva 554
Operacin de descifrado exponencial

Al cifrar el mensaje M con una clave pblica e (en este caso
para intercambio de clave, aunque es igual de vlido con una
clave d en caso de firma digital) tenemos:
Cifrado:
C = Me mod n
Descifrado:
Cd mod n = (Me)d mod n = Med mod n

Cd mod n = Mk(n)+1 mod n = MMk(n) mod n
Cd mod n = M1 mod n = M mod n
Por lo tanto, la operacin Cd mod n recupera el mensaje M.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 555
Comprobacin de recuperacin de texto

Sea n = pq = 511 = 55
(n) = (5-1)(11-1) = 40
Mensaje M = 50 = 252 (debe ser un elemento de n)
Se elige e = 3
d = inv[e, (n)] = inv (3,40) = 27
ed mod (n) = 327 mod 40 = 81 mod 40 = 1

C = Me mod n = 503 mod 55 = (252)3 mod 55
C = [(2)3 mod 55 (52)3 mod 55] mod 55
- por reducibilidad
M = Cd mod n = {[(2)3 mod 55 (52)3 mod 55] mod 55}27 mod 55

M = [(2)327 mod 55 (52)327 mod 55] mod 55
M = [22(n)+1 52(n)+1 52(n)+1] mod 55
Por el Teorema de Euler y del Resto Chino = 2 5 5 mod 55 = 50
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 556
Intercambio de clave de Diffie y Hellman

El comienzo de los sistemas de clave pblica se debe al estudio
hecho por Whitfield Diffie y Martin Hellman (1976).
Protocolo de Intercambio de Claves de Diffie y Hellman
A y B seleccionan un grupo multiplicativo (con inverso) p
y un generador de dicho primo, ambos valores pblicos
A genera un nmero aleatorio a y enva a B a mod p
B genera un nmero aleatorio b y enva a A b mod p
B calcula (a)b mod p = ab mod p y luego destruye b
A calcula (b)a mod p = ba mod p y luego destruye a
El secreto compartido por A y B es el valor ab mod p
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 557
Ejemplo de intercambio de clave de DH

Adela (A) y Benito (B) van a intercambiar una clave de
sesin dentro del cuerpo p = 1.999, con = 33. El
usuario A elegir a = 47 y el usuario B elegir b = 117.
Algoritmo:
A calcula a mod p = 3347 mod 1.999 = 1.343 y se lo enva a B.
B calcula b mod p = 33117 mod 1.999 = 1.991 y se lo enva a A.
B recibe 1.343 y calcula 1.343117 mod 1.999 = 1.506.
A recibe 1.991 y calcula 1.99147 mod 1.999 = 1.506.
La clave secreta compartida por (A) y (B) ser 1.506

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 558
Puede un intruso atacar la clave DH?

Un intruso que conozca las claves pblicas p y e
intercepte el valor a mod p que ha transmitido A y
el valor b mod p transmitido por B no podr
descubrir los valores de a, b ni ab mod p ...
salvo que se enfrente al Problema del Logaritmo
Discreto (PLD) que, como ya hemos visto, se
vuelve computacionalmente intratable para valores
del primo p grandes.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 559
Es vulnerable el protocolo de DH?
A elige un nmero a con 1 < a < p-1 y enva a B a mod p
C intercepta este valor, elige un nmero c con 1 < c < p-1 y

enva a B c mod p
B elige un nmero b con 1 < b < p-1 y enva a A b mod p
C intercepta este valor y enva a A c mod p (valor anterior)
A y B calculan sus claves kA = (c)a mod p, kB = (c)b mod p
C calcula tambin las claves:
Qu hacer?
kCA = (a)c mod p

kCB = (b)c mod p
La solucin a
este problema
es el sellado
de tiempo
Por lo tanto, a partir de ahora C tiene luz verde y puede

interceptar todos los mensajes que se intercambian A y B.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 560
Intercambio de clave DH entre n usuarios

El protocolo DH se puede generalizar para n usuarios: sea n = 3.
A, B y C seleccionan un grupo p y un generador
A genera un nmero aleatorio a y enva a mod p a B
B genera un nmero aleatorio b y enva b mod p a C
C genera un nmero aleatorio c y enva c mod p a A
A recibe c mod p y calcula (c)a mod p y se lo enva a B
B recibe a mod p y calcula (a)b mod p y se lo enva a C
C recibe b mod p y calcula (b)c mod p y se lo enva a A
A recibe bc mod p y calcula (bc)a mod p = bca mod p
B recibe ca mod p y calcula (ca)b mod p = cab mod p
C recibe ab mod p y calcula (ab)c mod p = abc mod p
El secreto compartido por A, B y C es el valor abc mod p

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 561
Condiciones del intercambio de clave D-H

CONDICIONES DEL PROTOCOLO:
El mdulo p debe ser un primo grande, al menos 1.024 bits.
Interesa que p-1 debe tener factores primos grandes.
El generador debe ser una raz primitiva del mdulo p.
Si el mdulo es un primo pequeo, se puede hacer un ataque por
fuerza bruta dentro de un tiempo razonable.
Si el generador no es una raz primitiva del grupo p, entonces la
operacin i mod p (1 i p-1) no genera todos los restos del
grupo y esto facilita el ataque por fuerza bruta.
Veamos un ejemplo
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 562
Raz incorrecta (falsa)

MALA ELECCIN DE LOS PARMETROS:
Sean el grupo de trabajo p = 13 y un valor = 3 ... entonces
31 mod 13 = 3 32 mod 13 = 9 33 mod 13 = 1 1 vamos mal
Slo debera
34 mod 13 = 3 35 mod 13 = 9 36 mod 13 = 1
darse unidad
7
8
9
3 mod 13 = 3 3 mod 13 = 9 3 mod 13 = 1
en este caso.
310 mod 13 = 3 311 mod 13 = 9 312 mod 13 = 1 (p-1mod p = 1)
Se repiten los restos 3, 9 y 1 porque 3 no es un generador de Z13.
Observe que 34 mod 13 = (33)(3)1 mod 13 = 1(3)1 mod 13 = 3.
Un ataque por fuerza bruta deber buscar slo en una tercera parte
del espacio de claves y, lo que es peor, la probabilidad de xito de
encontrar un valor verdadero b en b mod p aumenta de 1/12 a 1/3.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 563
Raz correcta
Ysisiahora
ahora==22??
Y
Primero intente calcularlo... y luego para comprobar sus resultados, avance.
21 mod 13 = 2
24 mod 13 = 3
27 mod 13 = 11
210 mod 13 = 10
22 mod 13 =
25 mod 13 =
28 mod 13 =
211 mod 13 =
4
6
9
7
23 mod 13 = 8
26 mod 13 = 12
29 mod 13 = 5
212 mod 13 = 1
Ahora s estn todos los restos multiplicativos del cuerpo Z13 porque
el resto 2 es un generador dentro de este cuerpo.
Observe que el valor unidad slo se obtiene para p-1 mod p.
Como vimos en el captulo de Teora de Nmeros,
en p = 13 sern generadores g = 2, 6, 7, 11.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 564
Algoritmo de cifra asimtrica RSA

En febrero de 1978 Ron Rivest, Adi Shamir y Leonard Adleman
proponen un algoritmo de cifra de clave pblica: RSA
Algoritmo
1. Cada usuario elige un grupo n = pq (pueden ser distintos).
2. Los valores p y q no se hacen pblicos.
3. Cada usuario calcula (n) = (p-1)(q-1).
4. Cada usuario elige una clave pblica e que sea parte del cuerpo n
y que cumpla: mcd [e, (n)] = 1.
5. Cada usuario calcula la clave privada d = inv [e,(n)].
6. Se hace pblico el grupo n y la clave e.
Podran destruirse
7. Se guarda en secreto la clave d.
ahora p, q y (n).
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 565
Ejemplo de cifrado y descifrado con RSA

Grupo n = 91 = 713; (n) = (713) = (7-1)(13-1) = 72 M = 48
Elegimos e = 5 pues mcd (5,72) = 1 d = inv(5,72) = 29
CIFRADO:
C = Me mod n = 485 mod 91 = 5245.803.968 mod 91 = 55
DESCIFRADO:
M = Cd mod n = 5529 mod 91 = 48 ... 5529 ya es nmero grande
5529 es un nmero con 51 dgitos...
5529 = 295473131755644748809642476009391248226165771484375
Cmo podemos acelerar esta operacin?
1 opcin: usar reducibilidad
2 opcin: algoritmo exp. rpida
Opcin ptima: usar el Teorema del Resto Chino

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 566
Uso del Teorema del Resto Chino en RSA

Normalmente la clave pblica e de RSA es un valor bastante bajo,
por ejemplo 216 + 1. Luego, en el proceso de cifra (no en la firma)
no tendremos problemas con la velocidad de cifrado porque el
exponente e es relativamente bajo.
Como el cuerpo de trabajo n = pq es mucho mayor, del orden de
21024 si hablamos de claves de 1024 bits, entonces la clave privada
d ser por lo general mucho mayor que el valor de e. Por lo tanto,
puede ser costoso para el receptor descifrar algo con su clave
privada o bien firmar digitalmente un documento con dicha clave.
La solucin est en aplicar el Teorema del Resto Chino. En vez de
trabajar en n, lo haremos en p y q. Entonces las exponenciaciones
modulares se harn en p y q, mucho ms rpido que hacerlo en n.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 567
Descifrado RSA aplicando el TRC

M = Cd mod n
Aplicando el Teorema del Resto Chino en n:
M = {Ap[Cpdp (mod p)] + Aq[Cqdq (mod q)]} mod n

con
Cp = C mod p
Cq = C mod q
dp = d mod (p-1)
dq = d mod (q-1)
Ap = q [inv (q,p)] = qp-1 mod n

Aq = p [inv (p,q)] = pq-1 mod n
Recuerde que p y q son la trampa que slo conoce el dueo de la clave
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 568
Ejemplo de descifrado RSA usando el TRC

Sea:
p = 89, q = 31, n = pq = 8931 = 2.759, (n) = 8830 = 2.640

Elegimos e = 29 d = inv [e, (n)] = inv [29, 2.640] = 2.549
Si el bloque de mensaje ya codificado es M = 1.995, entonces:

C = Me mod n = 1.99529 mod 2.759 = 141
M = Cd mod n = 1412.549 mod 2.759 = 1.995
Ap = qp-1 mod n = 3188 mod 2.759 = 713
Aq = pq-1 mod n = 8930 mod 2.759 = 2.047
Cp = C mod p = 141 mod 89 = 52
Cq = C mod q = 141 mod 31 = 17
dp = d mod (p-1) = 2.549 mod 88 = 85
dq = d mod (q-1) = 2.549 mod 30 = 29
Reemplazando en: M = {Ap[Cpdp (mod p)] + Aq[Cqdq (mod q)]} mod n

M = {713[5285 mod 89] + 2.047[1729 mod 31]} mod 2.759
M = {71337 + 2.04711} mod 2.759 = (26.381 + 22.517) mod 2.759 = 1.995
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 569
El problema en la eleccin del valor de n

Si p y q son muy cercanos, es fcil factorizar n.
Si p q y suponemos que p > q, entonces (p-q)/2 es un
entero muy pequeo y por otra parte (p+q)/2 es
ligeramente superior a n.
Adems se cumplir que: n = (p+q)/4 - (p-q)/4. Esto
lo podemos escribir como n = x - y y = x - n
Elegimos enteros x > n hasta que (x - n) sea cuadrado
perfecto. En este caso x = (p+q)/2; y = (p-q)/2. Por lo
tanto rompemos el valor n: p = (x+y); q = (x-y).
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 570
Ejemplo de mala eleccin del valor de n
Sea p = 181; q = 251 n = 181251 = 45.431

Como 45.431 = 213,14 buscaremos valores enteros
de x mayores que 213 de forma que (x - 45.431) sea
un cuadrado perfecto
1. x = 214 x 45.431 = 365

365 = 19,10
2. x = 215 x 45.431 = 794
794 = 28,17
3. x = 216 x 45.431 = 1.225 1.225 = 35
Entonces: p = x y = 216 35 = 181
q = x + y = 216 + 35 = 251
Para evitar otros problemas, es recomendable
usar los denominados primos seguros.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 571
Eleccin de los nmeros primos

Los valores primos deben elegirse apropiadamente:
Sistema RSA
a) p y q deben diferir en unos pocos dgitos.
b) p y q no deben ser primos muy cercanos.
c) Longitud mnima de p y q: 500 bits.
d) Valores de (p-1) y (q-1) del Indicador de
Euler deben tener factores primos grandes.
e) El mcd entre p-1 y q-1 debe ser pequeo.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Cmo?
Diapositiva 572
Clculo de nmeros primos seguros

Primos seguros: se elige r un primo grande de modo que:
p = 2r + 1; q = 2p + 1 sean primos y mcd (p-1, q-1) pequeo.
EJEMPLO: Si r es el primo de 4 dgitos 1.019:
p = 21.019 + 1 = 2.039
Es primo
q = 22.039 + 1 = 4.079
Es primo
Luego: p-1 = 2.038; q-1 = 4.078
p-1 = 21.019; q-1 = 22.039 mcd (p-1, q-1) = 2
Luego los primos p y q cumplen la condicin de primos seguros
El mdulo ser n = pq = 8.317.081

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 573
El problema de las claves privadas parejas

Una clave pareja d, permite descifrar el criptograma C
resultado de una cifra con la clave pblica e sin que d sea
el inverso de la clave pblica e. En el sistema RSA habr
como mnimo una clave d pareja de la clave pblica e.
Ejemplo:
Si p = 5; q = 13; n = 65, (n) = 48 = 24x3, elegimos e = 5.
Calculamos d = inv (5, 48) = 29 que es nico. Si ciframos
el mensaje M = 59, obtenemos C = 595 mod 65 = 24.
Luego sabemos que M = Cd mod n = 2429 mod 65 = 59
Pero tambin lo desciframos con d = 5, 17, 41 y 53!
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 574
Nmero de claves privadas parejas

Si: = mcm (p-1),(q-1) sea d = e-1 mod = inv (e, )
La clave pblica e tendr claves parejas de forma que:
di = d + i
i = 0, 1, ... -1
1 < di < n
= (n - d)/
En el ejemplo anterior tenemos que = mcm (4, 12) = 12.

Luego: d = inv (5, 12) = 5, as di = d + i = 5 + i12.
Es decir di = 5, 17, 29, 41, 53; el nmero de claves que
corresponden al valor = (n - d)/ = (65 5)/12) = 5.
En este caso hablamos de debilidad de la clave, al igual que suceda
con las claves dbiles y semidbiles por ejemplo en DES e IDEA.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 575
Minimizando el nmero de claves parejas

Para que sea lo ms pequeo posible ( = 1) deberemos
elegir los primos p y q como primos seguros.
Ejemplo:
Sea
r=5
p = 2r + 1 = 11 (es primo )
q = 2p + 1 = 23 (es primo )
En estas condiciones con n = 253 y (n) = 220, sea e = 7
Luego = mcm (10, 22) = 110 y d = inv (7, 110) = 63
Entonces = (n - d)/ = (253 63)/110 = 1
As: di = d + i = 63 + i110 = 63, 173 (con i = 0, 1)
En efecto 63 = inv [e, (n)] = inv (7, 220) y lo cifrado con
e = 7 tambin se descifra con d = 173. Slo dos claves.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 576
Mensajes no cifrables
Si Me mod n = M se dice que el mensaje es no cifrable.
Aunque la clave e sea vlida, ste se enva en claro .
En RSA habr como mnimo 9 mensajes no cifrables.
Ejemplo:
Sea el cuerpo n = 35 (p = 5, q = 7), con (n) = 24 y e = 11.
Dentro de los mensajes posibles {0, 34} sern no cifrables:
{6, 14, 15, 20, 21, 29, 34} adems de los obvios {0, 1}.
En el caso ms crtico, todos los mensajes del cuerpo n
pueden ser no cifrables como veremos ms adelante.
Cmo se obtienen estos mensajes no cifrables?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 577
Nmero de mensajes no cifrables

El nmero de mensajes no cifrables dentro de un cuerpo n viene dado por:
n = [1 + mcd (e-1, p-1)][1 + mcd (e-1, q-1)]
Los mensajes no cifrables sern:
M = [q{inv (q, p)}Mp + p{inv (p, q)}Mq] mod n
con:
Mp las soluciones de Me mod p = M
Mq las soluciones de Me mod q = M
Esto ltimo debido al TRC puesto que Me mod n = M
En el ejemplo anterior se da el caso mnimo:
n = [1 + mcd (10, 4)][1 + mcd (10, 6)] = (1+2)(1+2) = 9
M11 mod 5 = M M5 = {0, 1, 4} M11 mod 7 = M M7 = {0, 1, 6}
M = [7{inv (7, 5)}Mp + 5 {inv (5,7)}Mq] mod 35
M = [73 Mp + 53 Mq] mod 35 = [21{0, 1, 4} + 15 {0, 1, 6}] mod 35
M = {0, 15, 90, 21, 36, 111, 84, 99, 175} mod 35 ordenando...
M = {0, 1, 6, 14, 15, 20, 21, 29, 34}
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 578
Ejemplo de mensajes no cifrables (1)

Sea p = 13; q = 17; n = pq = 221
Elegimos e = 7 por lo que d = inv (7, 192) = 55, luego:
n = [1 + mcd (e-1, p-1)][1 + mcd (e-1, q-1)]
221 = [1 + mcd (6, 12)][1 + mcd (6, 16)] = (1+6)(1+2) = 21
Soluciones de M7 mod 13 = M Mp = {0, 1, 3, 4, 9, 10, 12}
Soluciones de M7 mod 17 = M Mq = {0, 1, 16}
Los mensajes no cifrables sern:
M = [q{inv (q, p)}Mp + p{inv (p, q)}Mq] mod n
M = [17{inv (17, 13)}Mp + 13{inv (13, 17)}Mq] mod 221
M = [{1710}Mp + {134}Mq] mod 221
M = [170Mp + 52Mq] mod 221
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 579
Ejemplo de mensajes no cifrables (2)

Tenamos
Mp = {0, 1, 3, 4, 9, 10, 12}

Mq = {0, 1, 16}
M = [170Mp + 52Mq] mod 221 luego:
M = [170{0, 1, 3, 4, 9, 10, 12} + 52{0, 1, 16}] mod 221
Como 52{0, 1, 16} = {0, 52, 832} entonces:
M = [0+0, 0+52, 0+832, 170+0, 170+52, 170+832, ...] mod 221
M = [0, 52, 832, 170, 222, 1.002, 510, 562, 1.342, 680, 732,
1.512, 1.530, 1.582, 2.362, 1.700, 1.752, 2.531, 2.040,
2.092, 2.872] mod 221
M = [0, 52, 169, 170, 1, 118, 68, 120, 16, 17, 69, 186, 204, 35,
152, 153, 205, 101, 51, 103, 220]
ordenando:
M = [0, 1, 16, 17, 35, 51, 52, 68, 69, 101, 103, 118, 120, 152,
153, 169, 170, 186, 204, 205, 220] los 21 mensajes de 221
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 580
Nmero mnimo de mensajes no cifrables

Para que el nmero de mensajes no cifrables sea el mnimo posible,
es decir 9, deberemos elegir la clave pblica e de forma que:
mcd (e-1, p-1) = 2 y mcd (e-1, q-1) = 2
Entonces:
n = [1 + 2][1 + 2] = 9
Esto se logra usando primos seguros:
p = 2r + 1 y q = 2p + 1 con r, p y q primos grandes
ya que: mcd (e-1, p-1) = mcd (e-1, (2r +1)-1) mcd = 2 o bien r
mcd (e-1, q-1) = mcd (e-1, (2p +1)-1) mcd = 2 o bien p
Luego:
n = {9, 3(r+1), 3(p+1), (r+1)(p+1)}
Hay que comprobar en diseo que no se den valores del mcd igual a
r o p pues tendramos un nmero muy alto de este tipo de mensajes.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 581
Nmero mximo de mensajes no cifrables

En el peor de los casos, mcd (e-1, p-1) = p-1 y mcd (e-1, q-1) = q-1
Entonces:
n = [1 + mcd(e-1, p-1)][1 + mcd(e-1, q-1)]
n = pq = n ... todas las cifras irn en claro!
Si en el ejemplo anterior con p = 13, q = 17, hubisemos elegido
como clave e = 49, con d = inv (49, 192) = 145, observamos que:
mcd (e-1, p-1) = mcd (48, 12) = 12
mcd (e-1, q-1) = mcd (48, 16) = 16
n = [1 + 12][1 + 16] = 1317 = 221 = pq = n
Por lo tanto, cualquier mensaje en el cuerpo n = 221 ser no cifrable
para la clave pblica e = 49. Compruebe que en este caso esto se
cumple si e = (n)/k +1 (k = 1, 2 y 4), es decir e = 193, 97 y 49.
Nunca podr usarse e = (n) + 1 ya que la clave de descifrado es 1
ni e = (n)/2 + 1 pues tampoco se cifrarn todos los mensajes de n.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 582
Ataque a la clave por factorizacin de n

Qu fortaleza tendr este algoritmo ante ataques?
El intruso que desee conocer la clave secreta d a
partir de los valores pblicos n y e se enfrentar al
Problema de la Factorizacin de Nmeros Grandes
(PFNG) puesto que la solucin para conocer esa
clave privada pasa por deducir el valor del Indicador
de Euler (n) = (p-1)(q-1) para as poder encontrar el
inverso de la clave pblica d = inv [e,(n)].
La complejidad asociada al PFNG viene dada por la
ecuacin eln(n) ln ln(n), donde ln es logaritmo natural.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 583
Tiempo necesario para afrontar el PFNG

N de bits (n)
60
120
256
363
442
665
N de dgitos
18
36
77
109
133
200
Das
1,7 x 10-8
1,5 x 10-5
1,0
9,0 x 102
9,4 x 104
3,8 x 108
Aos
2,5
2,5 x 102
1,0 x 106
Para un procesador de 2x108 instrucciones por segundo.

Fuente: Criptografa Digital, Jos Pastor. Prensas Univ. de Zaragoza, 1998.
Existen, no obstante, otros tipos de ataques a este

sistema que no pasan por la factorizacin de n.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 584
Ataque al secreto de M por cifrado cclico

Se puede encontrar el mensaje en claro M sin necesidad de
conocer d, la clave privada del receptor.
Como C = Me mod n, realizaremos cifrados sucesivos de los
criptogramas Ci resultantes con la misma clave pblica hasta
obtener nuevamente el cifrado C original.
Ci = Cei-1 mod n
(i = 1, 2, ...) y C0 = C
Si en el cifrado isimo se encuentra el criptograma C inicial,

entonces es obvio que el cifrado (i-1) ser el mensaje
buscado.
Esto se debe a que RSA es un grupo mutiplicativo. Para
evitarlo hay que usar primos seguros de forma que los
subgrupos de trabajo sean bastante altos.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 585
Ejemplo de ataque por cifrado cclico

Sea p = 13, q = 19, n = 247, (n) = 216, e = 29 (d = 149, no conocido)
El mensaje a cifrar ser M = 123 C = 12329 mod 247 = 119
Tabla de cifra
i
i=0
i=1
i=2
i=3
i=4
i=5
i=6
Ci
C0 = 119
C1 = 11929 mod 247 = 6
C2 = 629 mod 247 = 93
C3 = 9329 mod 247 = 175
C4 = 17529 mod 247 = 54
C5 = 5429 mod 247 = 123
C6 = 12329 mod 247 = 119
El ataque ha prosperado muy rpidamente: como hemos obtenido otra

vez el criptograma C = 119, es obvio que el paso anterior con C = 123
se corresponda con el texto en claro. Y si usamos primos seguros?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 586
Ataque cifrado cclico: caso primos seguros

Sea p = 11, q = 23, n = 253, (n) = 220, e = 17 (d = 134, no conocido)
Sea el mensaje secreto M = 123 C = 12317 mod 253 = 128
i
i=0
i=1
i=2
i=3
i=4
i=5
i=6
i=7
i=8
i=9
i = 10
i = 11
Ci
C0 = 128
C1 = 12817 mod 253 = 6
C2 = 617 mod 253 = 173
C3 = 17317 mod 253 = 101
C4 = 10117 mod 253 = 95
C5 = 9517 mod 253 = 39
C6 = 3917 mod 253 = 96
C7 = 9617 mod 253 = 2
C8 = 217 mod 253 = 18
C9 = 1817 mod 253 = 215
C10 = 21517 mod 253 = 151
C11 = 15117 mod 253 = 167

Jorge Rami Aguirre
i
i = 12
i = 13
i = 14
i = 15
i = 16
i = 17
i = 18
i = 19
i = 20
Ci
C12 = 16717 mod 253 = 150
C13 = 15017 mod 253 = 193
C14 = 19317 mod 253 = 118
C15 = 11817 mod 253 = 200
C16 = 20017 mod 253 = 73
C17 = 7317 mod 253 = 94
C18 = 9417 mod 253 = 41
C19 = 4117 mod 253 = 123
C20 = 12317 mod 253 = 128
Hemos tenido que recorrer un

espacio mucho mayor dentro
de un cuerpo de cifra similar.
Madrid (Espaa) 2003
Diapositiva 587
Ataque a la clave por paradoja cumpleaos

La paradoja del cumpleaos se ver en el prximo captulo.
Algoritmo propuesto por Merkle y Hellman en 1981:
El atacante elige dos nmeros aleatorios distintos i, j
dentro del cuerpo de cifra n. Elige adems un mensaje M
cualquiera.
Para i = i+1 y para j = j+1 calcula Mi mod n y Mj mod n.
Cuando encuentra una coincidencia de igual resultado
para una pareja (i, j), puede encontrar d.
Ejemplo: sea p = 7; q = 13, n = pq = 81, e = 11, d = 59.
El atacante elige los valores i = 10, j = 50 y parte con el
mensaje M = 20. Slo conoce n = 81 y e = 11.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 588
Ejemplo de ataque paradoja cumpleaos

i
i = 10
i = 11
i = 12
i = 13
i = 14
i = 15
i = 16
i = 17
i = 18
i = 19
i = 20
i = 21
i = 22
i = 23
i = 24
Ci
C10 = 2010 mod 81 = 34
C11 = 2011 mod 81 = 32
C12 = 2012 mod 81 = 73
C13 = 2013 mod 81 = 2
C14 = 2014 mod 81 = 40
C15 = 2015 mod 81 = 71
C16 = 2016 mod 81 = 43
C17 = 2017 mod 81 = 50
C18 = 2018 mod 81 = 28
C19 = 2019 mod 81 = 74
C20 = 2020 mod 81 = 22
C21 = 2021 mod 81 = 35
C22 = 2022 mod 81 = 52
C23 = 2023 mod 81 = 68
C24 = 2024 mod 81 = 64

Jorge Rami Aguirre
j
i = 50
i = 51
i = 52
i = 53
i = 54
i = 55
i = 56
i = 57
i = 58
i = 59
i = 60
i = 61
i = 62
i = 63
i = 64
Ci
C50 = 2050 mod 81 = 13
C51 = 2051 mod 81 = 17
C52 = 2052 mod 81 = 16
C53 = 2053 mod 81 = 77
C54 = 2054 mod 81 = 1
C55 = 2055 mod 81 = 20
C56 = 2056 mod 81 = 76
C57 = 2057 mod 81 = 62
C58 = 2058 mod 81 = 25
C59 = 2059 mod 81 = 14
C60 = 2060 mod 81 = 37
C61 = 2061 mod 81 = 11
C62 = 2062 mod 81 = 58
C63 = 2063 mod 81 = 26
C64 = 2064 mod 81 = 34
Madrid (Espaa) 2003
Diapositiva 589
Resultado del ataque paradoja cumpleaos

NOTA: Puesto que la explicacin matemtica de este algoritmo podra
resultar algo compleja y larga para exponerla en estos apuntes, se dar
slo la solucin numrica al problema que, como ver, es muy sencilla.
La primera coincidencia se encuentra para i = 10; j = 64. As, el atacante
conociendo la clave pblica e = 11, calcula:
w = (10-64) / mcd (11, 10-64) = -54 / mcd (11, -54) = - 54.
Entonces debern existir valores s,t de forma que se cumpla lo siguiente:
ws + et = 1
-54s + 11t = 1
Las posibles soluciones a la ecuacin son: ws mod e = 1; et mod w = 1
-54s = 1 mod 11
s = inv (-54, 11) = 1
11t = 1 mod 54
t = inv (11, 54) = 5
El valor t = 5 ser una clave secreta d pareja de d = 59. Compruebe que
se verifica ws + et = 1. Observe que 5 mod 54 = 59 mod 54 = 5.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 590
La otra historia del algoritmo RSA

Rivest, Shamir y Adleman son los autores de RSA pero
el desarrollo de un algoritmo de cifra asimtrico que
usara el problema de factorizar nmeros grandes como
funcin unidireccional fue descubierto mucho antes.
En el ao 1969 el GCHQ (Government Communications
Headquarters) en Gran Bretaa comienza a trabajar en
la idea de poder distribuir claves a travs de una cifra no
simtrica. En 1973, el matemtico Clifford Cocks llegar
a la misma conclusin que los creadores de RSA.
Desgraciadamente este trabajo fue considerado como
alto secreto por el gobierno britnico por lo que no se
hace pblico ni se patenta como invento, algo que s
hacen Diffie y Hellman en 1976 con su intercambio de
claves y en 1978 otro tanto los creadores de RSA.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 591
Cifrado Pohlig y Hellman con clave secreta

Stephen Pohlig y Martin Hellman proponen en enero de 1978 un
algoritmo de cifra de clave secreta y que basa su seguridad en el
problema del logaritmo discreto. Hablamos de slo un mes antes
que el algoritmo RSA... algo que tambin llama la atencin.
Se elige un grupo multiplicativo Zp*, p es un primo grande.
Cada usuario elige una clave e, que sea primo relativo con el grupo
(p) = p-1 y calcula d = inv (e, (p)].
La clave secreta sern los valores e y d.
El sistema carece de
Operaciones de cifra
CIFRADO
DESCIFRADO
C = Me mod p
M = Cd mod p

Jorge Rami Aguirre
firma digital y no puede

competir en velocidad
con los algoritmos de
clave secreta por lo
que no tiene uso.
Madrid (Espaa) 2003
Diapositiva 592
Ejemplo de cifrado Pohlig y Hellman

A cifra un mensaje M que enva a B
p = 263 (p) = 262; e = 15 d = inv(15,262) = 35
Sea M = Adis = 65 100 105 243 115
Como se usa el cdigo ANSI, podremos cifrar en bloques
de un carcter pues el mdulo p es algo mayor que 256.
Operacin Cifrado:
C = Me mod p = 6515 mod 263, 10015 mod 263,
10515 mod 263, 24315 mod 263, 11515 mod 263
C = 245, 143, 179, 86, 101
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 593
Ejemplo de descifrado Pohlig y Hellman

B descifra el criptograma C enviado por A
p = 263; d = inv (15, 262) = 35
C = 245, 143, 179, 86, 101
Operacin Descifrado:
M = Cd mod p = 24535 mod 263, 14335 mod 263,
17935 mod 263, 8635 mod 263, 10135 mod 263
M = 065, 100, 105, 243, 115
Convirtindolo al cdigo ANSI: M = Adis
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 594
Algoritmo de cifra asimtrica de ElGamal

Taher ElGamal propone en 1985 un algoritmo de cifra
que hace uso del Problema del Logaritmo Discreto PLD.
Caractersticas
Se elige un grupo multiplicativo Zp*, p es primo grande.
Del grupo p se elige una raz , generador del grupo.
Cada usuario elige un nmero aleatorio dentro de p.
Esta ser la clave privada.
Cada usuario calcula mod p.

Junto con p es la clave pblica.
Jorge Rami Aguirre
Paradescubrir
descubrirlalaclave
claveprivada
privada
Para
atacantedeber
deberenfrentarse
enfrentarse
elelatacante
Problemadel
delLogaritmo
Logaritmo
alalProblema
Discretopara
paraun
unvalor
valorppalto.
alto.
Discreto
Madrid (Espaa) 2003
Diapositiva 595
Operacin de cifra con ElGamal

Operacin Cifrado: A cifra un mensaje M que enva a B
El usuario B ha elegido su clave privada b dentro del
cuerpo del nmero primo p que es pblico.
El usuario B ha hecho pblica su clave b mod p.
El emisor A genera un nmero aleatorio de sesin y
calcula mod p.
Con la clave pblica de B (b) el emisor A calcula:
(b) mod p
A enva a B el par:
Jorge Rami Aguirre
M(b) mod p
C = [ mod p, M (b) mod p]
Madrid (Espaa) 2003
Diapositiva 596
Operacin de descifrado con ElGamal

Operacin Descifrado: B descifra el criptograma C que enva A
El usuario B recibe C = [ mod p, M (b) mod p].
B toma el valor mod p y calcula ()b mod p.
B descifra el criptograma C haciendo la siguiente divisin:
(b) = ()b
[M (b) mod p ] / [()b mod p]
El paso anterior es posible hacerlo porque existir el
inverso de ()b en el grupo p al ser p un primo. Luego:
[M (b) {inv ()b, p}] mod p = M
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 597
Ejemplo de cifrado con ElGamal

Adela (A) enviar a Benito (B) el mensaje M = 10 cifrado
dentro del cuerpo p = 13 que usa Benito.
CIFRADO
Claves pblicas de Benito: p = 13, = 6, (b) mod p = 2
Adela A elige por ejemplo = 4 y calcula:
() mod p = 64 mod 13 = 9
(b)v mod p = 24 mod 13 = 3
M(b)v mod p = 103 mod 13 = 4
Enva a B () mod p, M(b)v mod p = [9, 4]
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 598
Ejemplo de descifrado con ElGamal

DESCIFRADO
La clave privada de Benito es b = 5
Benito recibe: [() mod p, M(b)v mod p] = [9, 4]
Benito calcula:
()b mod p = 95 mod 13 = 3
[M(b)v] inv[()b, p] = 4 inv (3, 13) = 4 9
M = 4 9 mod 13 = 10 (se recupera el mensaje)
Recuerde que debe ser una raz de p. Como ya hemos
visto, si no es una raz, aunque s puede hacerse la cifra,
se facilitar el ataque al Problema del Logaritmo Discreto.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 599
Consideraciones sobre el bloque

Si el mensaje M fuese mayor que el mdulo de trabajo
(n = pq para RSA y p para ElGamal)
cmo se generaran los bloques del mensaje a cifrar?
El mensaje M se transforma en
nmeros y stos se dividen en bloques
de de g-1 dgitos, siendo g el nmero
de dgitos del mdulo de trabajo: el
valor n para RSA y p para ElGamal.
Nota: en la prctica esto no ocurrir ya que el
cuerpo de cifra es como mnimo de 512 bits y el
mensaje a cifrar tendr slo una centena de bits.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Ejemplo
Diapositiva 600
Ejemplo de eleccin del bloque con RSA

Se representar el mensaje en su valor ANSI decimal.
n = pq = 89127 = 11.303 bloques de cuatro dgitos
(n) = 11.088; e = 25; d = inv (25, 11.088) = 10.201
M = Ol = 079 108 233 M = 0791 0823 3
Se recupera el mensaje agrupando en
bloques de 4 dgitos excepto el ltimo
CIFRADO
DESCIFRADO
C1 = 79125 mod 11.303 = 7.853
M1 = 7.85310201 mod 11.303 = 0791
C2 = 82325 mod 11.303 = 2.460
M2 = 2.46010201 mod 11.303 = 0823
C3 =
M3 = 6.97010201 mod 11.303 = 3
325 mod 11.303 = 6.970

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 601
Fortaleza de la cifra exponencial

El problema de la Factorizacin de Nmeros Grandes PFNG
tiene una complejidad similar al del Logaritmo Discreto PLD:
ambos suponen un tiempo de ejecucin no polinomial.
Nmero de pasos que debe realizar el algoritmo PFNG:
Sistema que consuma 1 seg por paso:
e{ln(n)ln[ln(n)]}
3 das
n = 60 dgitos 2,71011 pasos
74 aos
3,8109 aos
El PLD es matemticamente similar:
nmero de pasos e{ln(p)ln[ln(p)]}
Jorge Rami Aguirre
Madrid (Espaa) 2003
Fin del Tema 12

Diapositiva 602
1. A partir de la ecuacin ed = k(n) + 1, compruebe que las claves
RSA e = 133 y d = 38.797 son inversas en el cuerpo n = 40.501.
2. En el ejemplo de intercambio de clave DH del libro con p = 1.999,
podran haber elegido Adela y Benito = 34, 35, 36 37?
3. Carmela (C) intercepta la clave de sesin DH que se intercambian
Adela (A) y Benito (B) dentro del cuerpo p = 127. Si se usa como
generador = 19 y a = 3, b = 12 y c = 7, desarrolle el algoritmo que
permite a C interceptar la comunicacin y engaar a A y B.
4. Los usuarios A, B, C y D desean intercambiar una clave usando el
mtodo DH. Proponga un protocolo genrico que solucione este
problema y presente un ejemplo en el cuerpo p = 23 y elija .
5. Disee un sistema RSA en el que p = 53, q = 113. Elija como clave
pblica el mnimo valor posible de 2 dgitos.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 603
6. Para los datos de diseo del ejercicio 5, cifre el mensaje M = 121 y
luego descfrelo. Use el algoritmo de exponenciacin rpida.
7. Vuelva a descifrar el criptograma usando ahora el Teorema del
Resto Chino. Aunque en este caso haya hecho ms clculos por
qu es interesante usar aqu el Teorema del Resto Chino?
8. Si p = 353 y q = 1.103, cifre el mensaje ASCII de cuatro caracteres
M = HOLA en bloques de tamao eficiente (mnimo) para e = 17.
9. Para los datos del ejercicio anterior, encuentre la clave privada d con
el algoritmo extendido de Euclides.
10. Por qu se usa una clave pblica e de un valor relativamente bajo
y, por contrapartida, la clave privada d es alta? Qu utilidad tiene?
11. Cmo atacara un sistema RSA mal diseado con primos cercanos
y cuyo mdulo es n = 205.027? Encuentre los valores de p y q.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 604
12. En el sistema RSA con p = 11 y q = 19, se elige como clave pblica
e = 31. Cuntas y cules son las claves privadas parejas?
13. Para los mismos datos del ejercicio anterior, cuntos y cules son
los mensajes no cifrables? Y si ahora e = 33?
14. Cmo puede minimizarse el nmero de claves privadas parejas y el
de mensajes no cifrables? D un ejemplo con primos de dos dgitos.
15. Atacamos un sistema RSA con un cifrado cclico. Qu es lo que
vulneramos, el secreto de la clave privada o secreto del mensaje?
16. Se ataca por cifrado cclico el sistema RSA en el que p = 23, q = 41
y e = 17. Cuntos cifrados hay que hacer hasta encontrar M?
17. Cifre M = La Puerta de Alcal (de 19 caracteres ANSI) con un
sistema de Pohlig y Hellman. Use el primer primo que le permita
cifrar bloques de 2 bytes. Descifre ahora el criptograma C.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 605
18. Vamos a cifrar con ElGamal el mensaje en ASCII decimal de la
letra A. Cules son los valores mnimos del cuerpo de cifra, del
generador , de la clave pblica y del valor local v?
19. Descifre el criptograma obtenido en el ejercicio anterior.
20. Se va a cifrar con RSA el mensaje M = Hola. Si p = 53 y q = 97, de
cuntos dgitos ser el bloque ptimo de cifra?
21. En un sistema real, tiene sentido hablar de bloques con un nmero
de dgitos ptimos? Por qu? Justifique su respuesta.
22. Cuntos pasos debe realizar una factorizacin de un nmero n de
120 dgitos? Si tenemos un sistema que consume 1 seg por paso,
cuntos aos tardaramos ms o menos en factorizar ese nmero?
23. El valor encontrado en el ejercicio anterior, es siempre fijo o es
slo una aproximacin? Justifique su respuesta.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 606
Tema 13
Funciones Hash en Criptografa
v 3.1
Material Docente de
Libre Distribucin
Jorge Rami Aguirre

Uso de las funciones hash en criptografa

Una de las aplicaciones ms interesantes de la
criptografa es la posibilidad real de incluir en un
mensaje una firma digital. Todo esto comienza en el
ao 1976 cuando Diffie y Hellman presentan un
modelo de cifrado asimtrico con clave pblica. Con
los sistemas de clave simtrica esto era inviable.
No obstante, dado que los sistemas de clave pblica
son muy lentos, en vez de firmar digitalmente el
mensaje completo, en un sistema criptogrfico se
incluir como firma digital una operacin con la clave
privada sobre un resumen o hash de dicho mensaje
representado por slo una centena de bits.
Jorge Rami Aguirre
Tema 13: Funciones Hash en Criptografa
Madrid (Espaa) 2003
Diapositiva 608
Funciones hash
Mensaje = M Funcin Resumen = H(M)
Firma (rbrica): r = EdE{H(M)}
dE es la clave privada del emisor que firmar H(M)
Cmo se comprueba la identidad en destino?
Se descifra la rbrica r con la clave pblica del
emisor eE. Al mensaje en claro recibido M (se
descifra si viene cifrado) se le aplica la misma
funcin hash que en emisin. Si los valores son
iguales, la firma es autntica y el mensaje ntegro:
Calcula: EeE(r) = H(M)
Compara: H(M) = H(M)?
Jorge Rami Aguirre
Qu seguridad nos da
un resumen de k bits?
Madrid (Espaa) 2003
Diapositiva 609
Seguridad asociada a una funcin hash

Suponga que hemos creado una funcin hash de forma que el resumen es
slo de 4 bits, independientemente del tamao del mensaje de entrada.
La pregunta es: cul es la probabilidad de que dos mensajes distintos
tengan igual funcin hash? Si esta probabilidad fuese muy baja (en este
caso 1/16: hash desde 0000 hasta 1111) podra darse el siguiente caso:
alguien modifica nuestro mensaje firmado, y enva ese mensaje falso con
la firma del primero ya que en ambos casos son los mismos 4 bits...
Mensaje 1: Rechazamos el contrato por no interesarnos nada hash: 1101
Mensaje 2: Firma todo lo que te pongan porque nos interesa hash: 1101
Observe que ambos mensajes tienen 47 caracteres. As, podramos crear
una gran cantidad de mensajes diferentes que digan casi lo mismo, incluso
con igual nmero de caracteres... hasta que los dos hash coincidan!
Por este motivo las funciones hash para que sean interesantes en
criptografa, deben cumplir un conjunto de propiedades.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 610
Propiedades de las funciones hash

H(M) ser segura si tiene las siguientes caractersticas:
1. Unidireccionalidad. Conocido un resumen H(M), debe
ser computacionalmente imposible encontrar M a
partir de dicho resumen.
2. Compresin. A partir de un mensaje de cualquier
longitud, el resumen H(M) debe tener una longitud
fija. Lo normal es que la longitud de H(M) sea menor.
3. Facilidad de clculo. Debe ser fcil calcular H(M) a
partir de un mensaje M.
4. Difusin. El resumen H(M) debe ser una funcin
compleja de todos los bits del mensaje M. Si se
modifica un bit del mensaje M, el hash H(M) debera
cambiar aproximadamente la mitad de sus bits.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 611
Colisiones: resistencia dbil y fuerte

5. Colisin simple. Conocido M, ser
computacionalmente imposible encontrar otro M tal
que H(M) = H(M). Se conoce como resistencia dbil
a las colisiones.
6. Colisin fuerte. Ser computacionalmente difcil
encontrar un par (M, M) de forma que H(M) = H(M).
Se conoce como resistencia fuerte a las colisiones.
Ataque por la paradoja del cumpleaos
Para tener confianza en encontrar dos mensajes con el mismo
resumen H(M) -probabilidad 50%- no habr que buscar en
2n (p.e. 2128), bastar una bsqueda en el espacio 2n/2 (264).
La complejidad algortmica se reduce de forma drstica!
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 612
La paradoja del cumpleaos

Problema: Cul ser la confianza (probabilidad > 50%) de que en un
aula con 365 personas -no se tiene en cuenta el da 29/02 de los aos
bisiestos- dos de ellas al azar cumplan aos en la misma fecha.
Solucin: Se escribe en la pizarra los 365 das del ao y entran al aula
de uno en uno, borrando el da de su cumpleaos de la pizarra. Para
alcanzar esa confianza, basta que entren 23 personas al aula, un valor
muy bajo, en principio inimaginable y de all el nombre de paradoja.
Explicacin: El primero en entrar tendr una probabilidad de que su
nmero no est borrado igual a n/n = 1, el segundo de (n-1)/n, etc. La
probabilidad de no coincidencia ser pNC = n!/(n-k)nk. Para k = 23 se
tiene pNC = 0,493 y as la probabilidad de coincidencia es pC = 0,507.
) En nuestro caso, esto es equivalente a sacar dos mensajes de dos
conjunto disjuntos y comparar sus hash; si los hash no son iguales
sacamos otros dos mensajes, ...etc., hasta que haya una colisin.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 613
Algoritmos de resumen en criptografa
MD5: Ron Rivest 1992. Mejoras al MD4 y MD2 (1990), es ms lento

pero con mayor nivel de seguridad. Resumen de 128 bits.
SHA-1: Del NIST, National Institute of Standards and Technology,
1994. Similar a MD5 pero con resumen de 160 bits. Existen otras
nuevas propuestas conocidas como SHA-256 y SHA-512.
RIPEMD: Comunidad Europea, RACE, 1992. Resumen de 160 bits.
N-Hash: Nippon Telephone and Telegraph, 1990. Resumen: 128 bits.
Snefru: Ralph Merkle, 1990. Resmenes entre 128 y 256 bits. Ha sido
criptoanalizado y es lento.
Tiger: Ross Anderson, Eli Biham, 1996. Resmenes de hasta 192 bits.
Optimizado para mquinas de 64 bits (Alpha).
Panama: John Daemen, Craig Clapp, 1998. Resmenes de 256 bits de
longitud. Trabaja en modo funcin hash o como cifrador de flujo.
Haval: Yuliang Zheng, Josef Pieprzyk y Jennifer Seberry, 1992.
Admite 15 configuraciones diferentes. Hasta 256 bits.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 614
Message Digest 5, MD5

Algoritmo bsico MD5
a) Un mensaje M se convierte en un bloque mltiplo de 512
bits, aadiendo bits si es necesario al final del mismo.

b) Con los 128 bits de cuatro vectores iniciales ABCD de 32
bits cada uno y el primer bloque del mensaje de 512 bits, se
realizan diversas operaciones lgicas entre ambos bloques.
c) La salida de esta operacin (128 bits) se convierte en el
nuevo conjunto de 4 vectores ABCD y se realiza la misma
funcin con el segundo bloque de 512 bits del mensaje y
as hasta el ltimo bloque del mensaje.
d) Al terminar, el algoritmo entrega un resumen que
corresponde a los ltimos 128 bits de estas operaciones.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 615
Etapas de MD5
Bloques funcionales de MD5
Esquema
a) Aadir bits para congruencia mdulo 512, reservando

los ltimos 64 bits para un indicador de longitud.
b) Aadir indicacin de la longitud del mensaje en los 64
bits reservados.
c) Inicializar el vector ABCD de claves.
d) Procesar bloques de 512 bits, entregando una salida de
128 bits que formarn nuevamente el vector ABCD.
e) Obtener el resumen de los ltimos 128 bits.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 616
Esquema de la funcin MD5

Relleno de 1 a 448 bits
Mensaje de K bits
Mensaje
1000... K
L512 bits = N 32 bits

N palabras de 32 bits
512 bits
Y1
ABCD
HMD5
Y2
01234567
AA1616 == 01234567
89ABCDEF
BB1616 == 89ABCDEF
FEDCBA98
CC1616 == FEDCBA98
76543210
DD1616 == 76543210
Yq
HMD5
HMD5
YL-1
HMD5
RESUMEN
de 128 bits
Primer resumen

Jorge Rami Aguirre
K mod 264
(64 bits)
Madrid (Espaa) 2003
Diapositiva 617
Bloque principal de MD5

Qu hacen las funciones F y FF...?
Bloque principal
1er bloque de 512

bits del mensaje M
Vector
inicial
A
B
C
D
Nuevo Vector ABCD

de 128 bits para el
prximo bloque
Vuelta
1
Vuelta
2
Vuelta
3
Vuelta
4
Funciones
Funciones
Funciones
Funciones
F y FF
G y GG
H y HH
I e II
+
Jorge Rami Aguirre
B
C
+
+
+
SUMA MDULO 232

Madrid (Espaa) 2003
Diapositiva 618
Esquema funciones F, G, H, I en MD5

a
Vector inicial ABCD

01234567
AA1616 == 01234567
89ABCDEF
BB1616 == 89ABCDEF
FEDCBA98
CC1616 == FEDCBA98
76543210
DD16 == 76543210
16
Jorge Rami Aguirre
d
128 bits
funcin no lineal
x, y, z b, c, d
(x,y,y,z)z)
FF(x,
(xAND
ANDy)
y)OR
OR(NOT
(NOTxxAND
ANDz)z)
(x
(x,y,y,z)z)
GG(x,
(xAND
ANDz)z)OR
OR(y
(yAND
ANDNOT
NOTz)z)
(x
(x,y,y,z)z)
HH(x,
XORyyXOR
XORzz
xxXOR
(x,y,y,z)z)
II(x,
XOR(x
(xOR
ORNOT
NOTz)z)
yyXOR
(b,c,c,d)
d)
FF(b,
(bAND
ANDc)c)OR
OR(NOT
(NOTbbAND
ANDd)
d)
(b
(b,c,c,d)
d)
GG(b,
(bAND
ANDd)
d)OR
OR(c(cAND
ANDNOT
NOTd)
d)
(b
(b,c,c,d)
d)
HH(b,
XORccXOR
XORdd
bbXOR
(b,c,c,d)
d)
II(b,
XOR(b
(bOR
ORNOT
NOTd)
d)
ccXOR
Madrid (Espaa) 2003
Diapositiva 619
Algoritmo de las funciones en MD5

Desplazamiento del registro
da
ba
bc
dc
Situacin luego del desplazamiento
Se repite el proceso para

Mj+1 hasta 16 bloques del
texto. En las vueltas 2, 3 y 4
se repite el proceso ahora
con funciones G, H e I.
El algoritmo realiza
416 = 64 vueltas
para cada uno de los
bloques de 512 bits
Jorge Rami Aguirre
funcin no lineal
+
sj bits a la
izquierda
32 bits
Mj
32 bits
tj
<<< sj
Madrid (Espaa) 2003
+
Suma
mod 232
Diapositiva 620
Funciones no lineales en MD5

Funciones no lineales
en cada vuelta
Vector de 128 bits
1 Vuelta:
FF(a,b,c,d,Mj,tj,s)
a = b + ((a + F(b,c,d) + Mj + tj) <<< s)
2 Vuelta:
GG(a,b,c,d,Mj,tj,s) a = b + ((a + G(b,c,d) + Mj + tj) <<< s)
3 Vuelta:
HH(a,b,c,d,Mj,tj,s) a = b + ((a + H(b,c,d) + Mj + tj) <<< s)
4 Vuelta:
II(a,b,c,d,Mj,tj,s)
Jorge Rami Aguirre
a = b + ((a + I(b,c,d) + Mj + tj) <<< s)

Madrid (Espaa) 2003
Diapositiva 621
Algoritmo y desplazamiento en MD5

Vector de 128 bits
Sea f la funcin F, G, H o I segn la vuelta.

El algoritmo ser:
Para j = 0 hasta 15 hacer:
TEMP = [(a + f(b,c,d) + Mj + tj) <<<sj]
a=d
d=c
c=b
b=a
a = TEMP
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 622
Operaciones en 1 y 2 vueltas en MD5

FF(a, b, c, d, M0, D76AA478, 7)
FF(d, a, b, c, M1, E8C7B756, 12)
FF(c, d, a, b, M2, 242070DB, 17)
FF(b, c, d, a, M3, C1BDCEEE, 22)
FF(a, b, c, d, M4, F57C0FAF, 7)
FF(d, a, b, c, M5, 4787C62A, 12)
FF(c, d, a, b, M6, A8304613, 17)
FF(b, c, d, a, M7, FD469501, 22)
FF(a, b, c, d, M8, 698098D8, 7)
FF(d, a, b, c, M9, 8B44F7AF, 12)
FF(c, d, a, b, M10, FFFF5BB1, 17)
FF(b, c, d, a, M11, 895CD7BE, 22)
FF(a, b, c, d, M12, 6B901122, 7)
FF(d, a, b, c, M13, FD987193, 12)
FF(c, d, a, b, M14, A679438E, 17)
FF(b, c, d, a, M15, 49B40821, 22)

Jorge Rami Aguirre
GG (a, b, c, d, Mj, tj, s)
Segunda vuelta
Primera vuelta
FF (a, b, c, d, Mj, tj, s)
GG(a, b, c, d, M1, F61E2562, 5)

GG(d, a, b, c, M6, C040B340, 9)
GG(c, d, a, b, M11, 265E5A51, 14)
GG(b, c, d, a, M0, E9B6C7AA, 20)
GG(a, b, c, d, M5, D62F105D, 5)
GG(d, a, b, c, M10, 02441453, 9)
GG(c, d, a, b, M15, D8A1E681, 14)
GG(b, c, d, a, M4, E7D3FBC8, 20)
GG(a, b, c, d, M9, 21E1CDE6, 5)
GG(d, a, b, c, M14, C33707D6, 9)
GG(c, d, a, b, M3, F4D50D87, 14)
GG(b, c, d, a, M8, 455A14ED, 20)
GG(a, b, c, d, M13, A9E3E905, 5)
GG(d, a, b, c, M2, FCEFA3F8, 9)
GG(c, d, a, b, M7, 676F02D9, 14)
GG(b, c, d, a, M12, 8D2A4C8A, 20)
Madrid (Espaa) 2003
Diapositiva 623
Operaciones en 3 y 4 vueltas en MD5

HH(a, b, c, d, M5, FFFA3942, 4)
HH(d, a, b, c, M8, 8771F681, 11)
HH(c, d, a, b, M11, 6D9D6122, 16)
HH(b, c, d, a, M14, FDE5380C, 23)
HH(a, b, c, d, M1, A4BEEA44, 4)
HH(d, a, b, c, M4, 4BDECFA9, 11)
HH(c, d, a, b, M7, F6BB4B60, 16)
HH(b, c, d, a, M10, BEBFBC70, 23)
HH(a, b, c, d, M13, 289B7EC6, 4)
HH(d, a, b, c, M0, EAA127FA, 11)
HH(c, d, a, b, M3, D4EF3085, 16)
HH(b, c, d, a, M6, 04881D05, 23)
HH(a, b, c, d, M9, D9D4D039, 4)
HH(d, a, b, c, M12, E6DB99E5, 11)
HH(c, d, a, b, M15, 1FA27CF8, 16)
HH(b, c, d, a, M2, C4AC5665, 23)

Jorge Rami Aguirre
II (a, b, c, d, Mj, tj, s)
Cuarta vuelta
Tercera vuelta
HH (a, b, c, d, Mj, tj, s)
II(a, b, c, d, M0, F4292244, 6)

II(d, a, b, c, M7, 411AFF97, 10)
II(c, d, a, b, M14, AB9423A7, 15)
II(b, c, d, a, M5, FC93A039, 21)
II(a, b, c, d, M12, 655B59C3, 6)
II(d, a, b, c, M3, 8F0CCC92, 10)
II(c, d, a, b, M10, FFEFF47D, 15)
II(b, c, d, a, M1, 85845DD1, 21)
II(a, b, c, d, M8, 6FA87E4F, 6)
II(d, a, b, c, M15, FE2CE6E0, 10)
II(c, d, a, b, M6, A3014314, 15)
II(b, c, d, a, M13, 4E0811A1, 21)
II(a, b, c, d, M4, F7537E82, 6)
II(d, a, b, c, M11, BD3AF235, 10)
II(c, d, a, b, M2, 2AD7D2BB, 15)
II(b, c, d, a, M9, EB86D391, 21)
Madrid (Espaa) 2003
Diapositiva 624
Funcin de resumen SHA-1

Un resumen de 128 bits tiene una complejidad algortmica de
slo 264, un valor en la actualidad muy comprometido...
'
La funcin SHA-1, Secure Hash Algorithm, entregar un

resumen de 160 bits una complejidad algortmica de 280.
&
Vector Inicial : A = 67452301 B = EFCDAB89

SHA-1
C = 98BADCFE D = 10325476 E = C3D2E1F0
Esta forma de tomar los bits se ver ms adelante
Algoritmo:
Es muy similar a MD5. El vector inicial tiene una palabra ms
de 32 bits (E) por lo que el resumen ser de 160 bits. A cada
bloque de 512 bits del mensaje se le aplicarn 80 vueltas.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 625
Esquema del resumen SHA-1

a
Vector inicial ABCDE
<<< 30
<<< 5
Despus de esta ltima operacin, se

produce el desplazamiento del
registro hacia la derecha
Jorge Rami Aguirre
+
+
Una constante en cada

una de las cuatro vueltas
Madrid (Espaa) 2003
Bloques del texto a partir

del bloque de 16 palabras
Vase la prxima diapositiva...

Funcin
no lineal
Registro de 160 bits

67452301
AA1616 == 67452301
EFCDAB89
BB1616 == EFCDAB89
98BADCFE
CC1616 == 98BADCFE
10325476
DD1616 == 10325476
C3D2E1F0
EE1616 == C3D2E1F0
Wt
32 bits
Kt
32 bits
Suma
mod 232
Diapositiva 626
Vueltas funciones F, G, H, I en SHA-1

(b,c,c,d)
d)
vueltas
vueltastt==00aa19
19
FF(b,
(bAND
ANDc)c)OR
OR((NOT
((NOTb)
b)AND
ANDd)
d)
(b
(b,c,c,d)
d)
vueltas
vueltastt==20
20aa39
39
GG(b,
XORccXOR
XORdd
bbXOR
(b,c,c,d)
d)
vueltas
vueltastt==40
40aa59
59
HH(b,
(b AND
AND c)c) OR
OR (b
(b AND
AND d)
d) OR
OR
(b
ANDd)
d)
(c(cAND
(b,c,c,d)
d)
vueltas
vueltastt==60
60aa79
79
II(b,
XORccXOR
XORdd
bbXOR
Desplazamiento del registro
ae
ba
bc
dc
de
Se repite el proceso con la

funcin F para las restantes 15
palabras de 32 bits del bloque
actual hasta llegar a 20. En
vueltas 2, 3 y 4 se repite el
proceso con funciones G, H e I.
Tenemos 420 = 80 pasos por cada bloque de 512 bits.

Pero ... cmo es posible repetir 80 veces un bloque que slo
cuenta con 16 bloques de texto de 32 bits cada uno?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 627
Las 80 vueltas en SHA-1

Vector de 160 bits
Cada bloque de 16 palabras del mensaje (M0 ... M15) se

expandir en 80 palabras (W0 ... W79) segn el algoritmo:
Wt = Mt (para t = 0, ..., 15)
Wt = (Wt-3 Wt-8 Wt-14 Wt-16) <<<1 (para t = 16, ..., 79)
y adems:
Kt = 5A827999
Kt = 6ED9EBA1
Kt = 8F1BBCDC
Kt = CA62C1D6

Jorge Rami Aguirre
para t = 0, ..., 19
para t = 20, ..., 39
para t = 40, ..., 59
para t = 60, ..., 79
Madrid (Espaa) 2003
Diapositiva 628
Algoritmo y desplazamiento en SHA-1

Vector de 160 bits
El algoritmo para cada bloque de 512 bits ser:

Para t = 0 hasta 79 hacer:
TEMP = (a <<<5) + ft(b,c,d) + e + Wt + Kt
a=e
e=d
d=c
c = b <<<30
b=a
a = TEMP
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 629
Comparativa entre MD5 y SHA-1

SHA-1 genera una salida de 160 bits de longitud mientras
que MD5 genera slo 128 bits.
La dificultad de generar un mensaje que tenga un resumen
dado es del orden de 2128 operaciones para MD5 y 2160 para
SHA-1.
La dificultad de generar dos mensajes aleatorios distintos y
que tengan el mismo resumen (ataques basados en paradoja
del cumpleaos) es del orden de 264 operaciones para MD5 y
280 para SHA-1.
Esta diferencia de 16 bits a favor de SHA-1 lo convierte en

ms seguro y resistente a ataques por fuerza bruta que el
algoritmo MD5. Aunque es ms lento que MD5, hoy es el
estndar como funcin hash.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 630
Pasos y tasas de cifra en MD5 y SHA-1

Ambos algoritmos procesan bloques de 512 bits y emplean 4
funciones primitivas para generar el resumen del mensaje, pero...
SHA-1 realiza un mayor nmero de pasos que MD5 (80 frente

a los 64 que realiza MD5).
SHA-1 debe procesar 160 bits de buffer en comparacin con
los 128 bits de MD5.
Por estos motivos la ejecucin del algoritmo SHA-1 es ms
lenta que la de MD5 usando un mismo hardware. Por ejemplo
en un Pentium a 266 MHz un programa realizado en C entrega
para SHA-1 una tasa del orden de 20 Mbits/seg y para MD5
esta tasa llega a los 60 Mbits/seg.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 631
Ms diferencias entre MD5 y SHA-1

La longitud mxima del mensaje para SHA-1 debe ser
menor de 264 bits, mientras que MD5 no tiene limitaciones
de longitud.
MD5 emplea 64 constantes (una por cada paso), mientras
que SHA-1 slo emplea 4 (una para cada 20 pasos).
MD5 se basa en la arquitectura little-endian, mientras que
SHA-1 se basa en la arquitectura big-endian. Por ello el
vector ABCD inicial en MD5 y SHA-1 son iguales:
A
B
C
D
=
=
=
=
01234567
89ABCDEF
FEDCBA98
76543210

Jorge Rami Aguirre
(MD5)
(MD5)
(MD5)
(MD5)
67452301
EFCDAB89
98BADCFE
10325476
Madrid (Espaa) 2003
(SHA-1)
(SHA-1)
(SHA-1)
(SHA-1)
Diapositiva 632
Arquitecturas little-endian v/s big-endian

Arquitectura little-endian:
Esta es la arquitectura empleada en procesadores Intel de la
familia 80xxx y Pentium.
Para almacenar una palabra en memoria, el byte menos
significativo de los que forman dicha palabra se guarda en
la posicin ms baja de la memoria.
Ejemplo
Arquitectura big-endian:
Empleada por otras arquitecturas como SUN.
Para almacenar una palabra en memoria, el byte ms
significativo de los que forman dicha palabra se guarda en
la posicin ms baja de memoria.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 633
Ejemplo little-endian v/s big-endian

Supongamos que queremos almacenar en memoria la siguiente
palabra de 32 bits (4 bytes) representada en hexadecimal:
76543210
76 54 32 10
Si consideramos que las posiciones de memoria ms bajas se

encuentran a la izquierda y las ms altas a la derecha:
En formato little-endian se representa: 01 23 45 67
En formato big-endian se representa:

Jorge Rami Aguirre
67 45 23 01
Madrid (Espaa) 2003
Diapositiva 634
Funciones hash para la autenticacin

Las funciones hash vistas (MD5, SHA-1, etc.) pueden usarse
adems para autenticar a dos usuarios.
Como carecen de una clave privada no pueden usarse de
forma directa para estos propsitos. No obstante, existen
algoritmos que permiten incluirles esta funcin.
Entre ellos est HMAC, una funcin que usando los hash
vistos y una clave secreta, autentica a dos usuarios mediante
sistemas de clave secreta. Las funciones MAC, Message
Authentication Code, y HMAC se tratarn en el prximo
captulo dedicado a la autenticacin y firma digital.
HMAC se usa en plataformas IP seguras como por ejemplo en
Secure Socket Layer, SSL.
Fin del Tema 13

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 635
1. Qu propiedades debe tener una funcin hash para que su uso en
criptografa sea de inters? Vale cualquier funcin reductora?
2. Por qu prospera un ataque basado en la paradoja del cumpleaos
con un tiempo significativamente menor que un ataque elemental?
3. Se va a aplicar la funcin MD5 a un mensaje de longitud 250 bytes.
Cmo se rellena y cmo queda el ltimo bloque?
4. Por qu razn decimos que la funcin SHA-1 es actualmente un
estndar ms seguro que la funcin MD5?
5. Cmo puede la funcin SHA-1 hacer 80 vueltas con bloques de 32
bits partiendo de un bloque de texto o mensaje de slo 512 bits?
6. Qu funcin hash es ms rpida, MD5 o SHA-1? Por qu?
7. Si en un mensaje cambiamos un bit, en cunto debera cambiar su
hash aproximadamente con respecto a su resumen anterior?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 636
Tema 14
Autenticacin y Firma Digital
v 3.1
Material Docente de
Libre Distribucin
Jorge Rami Aguirre

Confidencialidad v/s integridad

Confidencialidad
Para lograrla se cifra el mensaje M obteniendo un
criptograma C.
Integridad
Para lograrla se firma un hash del mensaje H(M),
aadiendo una marca al mensaje o criptograma.
Si bien en ciertos escenarios es muy importante
mantener el secreto de la informacin, si sta lo
requiere, en muchos casos tiene quizs ms
trascendencia el poder certificar la autenticidad
entre cliente y servidor como ocurre en Internet.
Jorge Rami Aguirre
Tema 14: Autenticacin y Firma Digital
Madrid (Espaa) 2003
Diapositiva 638
Algunos problemas de integridad

a) Autenticidad del emisor
Cmo comprueba Benito (B) que el mensaje recibido del emisor
que dice ser Adela (A) es efectivamente de esa persona?
b) Integridad del mensaje

Adela (A) es el autntico y no un mensaje falso?
c) Actualidad del mensaje

Adela (A) es actual, no un mensaje de fecha anterior reenviado?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 639
Ms problemas de integridad
d) No repudio del emisor
Cmo comprueba Benito (B) que el mensaje enviado por el emisor
Adela (A) -y que niega haberlo enviado- efectivamente ha llegado?
e) No repudio del receptor

Cmo comprueba Benito (B) que el mensaje enviado al receptor
Adela (A) -y que niega haberlo recibido- efectivamente se envi?
d) Usurpacin de identidad del emisor/receptor

Cmo comprueba Benito (B) que Adela (A), Carmela (C) u otros
usuarios estn enviando mensajes firmados como Benito (B)?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 640
Primer escenario de integridad

1er
escenario de desconfianza
1 Solucin. Uso de un Juez.

El Juez tendr una clave KA
con la que se comunica con
A y una clave KB con la que
se comunica con B.
Usa criptografa simtrica
Jorge Rami Aguirre
A enva un mensaje M a B:
A cifra M con la clave KA
EKA(M) y lo enva al Juez.
Este comprueba la integridad
de A, lo descifra y enva a B,
cifrado con KB, el mensaje M,
la identidad de A y la firma
EKA(M): EKB{M, A, EKA(M)}.
Ambos confan en el Juez y
ante cualquier duda ste puede
desvelar la identidad de A
descifrando EKA(M).
Madrid (Espaa) 2003
Diapositiva 641
Segundo escenario de integridad

2 escenario de desconfianza
No est claro que pueda
convertirse en un estndar.
Permanece la figura de la
Autoridad de Certificacin
... es decir
2 Solucin. Prescindir de la
figura del Juez y aceptar la
autenticidad e integridad por
convencimiento propio y la
confianza en los algoritmos.
Ambosconfiarn
confiarnen
enun
unprotocolo
protocoloseguro
seguro
Ambos
seautenticarn
autenticarnaatravs
travsde
deuna
una
yyse
Autoridadde
deCertificacin
CertificacinAC.
AC.
Autoridad
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 642
Funciones de autenticacin
Autenticacin mediante el cifrado de mensajes con
criptografa simtrica
La cifra de datos puede servir como autenticacin.
Autenticacin con MAC Message Code Authentication o
checksum
Una funcin pblica y una clave secreta producen un valor
de longitud fija vlida como autenticador.
Autenticacin mediante funciones hash
Una funcin pblica reduce el mensaje a una longitud de
valor hash que sirve como autenticador.
Autenticacin mediante firma digital del mensaje con
criptografa asimtrica
Una funcin pblica y un par de claves, pblica y privada
inversas en un cuerpo, permiten la autenticacin completa.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 643
Autenticacin con sistemas simtricos

Si la clave de un sistema simtrico es segura, es decir no
est en entredicho, podemos afirmar que, adems de la
confidencialidad que nos entrega dicha cifra, se
obtienen tambin simultneamente la integridad del
emisor y autenticidad del mensaje, en tanto que slo el
usuario emisor (en quien se confa por el modelo de
cifra) puede generar ese mensaje.
Con los sistemas de cifra simtricos no podremos
realizar una autenticacin completa (emisor y mensaje).
Ahora bien, podremos hacer algo similar con algunos
procedimientos ms o menos complejos que usen
sistemas de cifra simtrica como es el caso de Kerberos.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 644
Los problemas de la autenticacin simtrica

No obstante, subyacen los problemas caractersticos de
un criptosistema: cmo asegurar que la clave simtrica
entre emisor y receptor es segura? o lo que es lo mismo,
cmo intercambiar claves de forma segura?
El intercambio de claves de forma segura ya hemos visto que
se logra eficientemente slo a travs de sistemas asimtricos.
Las herramientas ms usuales para autenticacin sern los
cdigos de autenticacin de mensajes MACs y el sistema
Kerberos con cifras simtricas. Kerberos tambin permite el
intercambio seguro de una clave de sesin aunque es ms
complejo y largo que el algoritmo de Diffie Hellman.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 645
Autenticacin con MAC o Checksum

Los dos extremos de la comunicacin A y B comparten
una nica clave secreta que no est en entredicho.
El MAC o checksum ser una funcin que se aplica al
mensaje M junto a una clave secreta K CK(M).
A enva el mensaje en claro y el Messsage Authentication
Code (MAC) o Checksum CK(M) a B.
Integridad: el receptor B puede estar seguro de que nadie
ha modificado el mensaje durante la transmisin pues el
valor CK(M) en destino coincide con el enviado por A.
Autenticacin: como solamente el emisor A y el receptor B
comparten la clave secreta K, se asegura la autenticacin
de ambos usuarios la clave K debe ser muy segura.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 646
Message Authentication Code con DES

Se inserta un cdigo al final del mensaje M transmitido en
claro, consistente en la cifra con clave secreta de los
ltimos bytes del texto, por ejemplo 64 bits de DES.
En destino, con el mismo algoritmo y clave secreta, se
realiza la cifra y se comparan estos ltimos bloques.
Como la cifra es por encadenamiento o realimentacin,
esos bytes cifrados dependen de todo el mensaje por lo que
cualquier modificacin ser detectada al no coincidir los
resultados del cifrado de M en emisor y receptor.
Esquema
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 647
Esquema de autenticacin MAC con DES

Mensaje M
Cifrado del ltimo bloque con encadenamiento
M1
...
M2
Mn
E (K,M)
emisor
K
receptor
M1
E (K,M) = Am MR
Cules son las

debilidades de
este modelo?
Jorge Rami Aguirre
M2
...
Mn Am
MR: espacio de marcas de autenticacin
La Marca Am son 16, 32 64 bits.

Es un tamao muy pequeo y podra
dar lugar a colisiones: mensajes
distintos con iguales MACs.
Madrid (Espaa) 2003
Diapositiva 648
Autenticacin con funciones hash HMAC

Las funciones hash vistas (MD5, SHA-1, etc.) no han sido
diseadas para la autenticacin al carecer de clave secreta.
No obstante, son interesantes puesto que su velocidad es mayor
que muchos cifradores de bloque, su cdigo fuente es abierto y
sus propiedades y funcionamiento son muy conocidos.
La RFC 2104 propone el uso de una autenticacin en entornos
seguros como SSL mediante una operacin MAC en la que
intervenga una funcin hash: su nombre es HMAC.
HMAC usa entonces una funcin hash (MD5, SHA-1, etc.)
como una caja negra, una clave K en lo posible mayor que el
tamao del hash en bits, una funcin xor y operaciones de
relleno de bits, tal como se muestra en el siguiente esquema.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 649
Esquema de HMAC
K+
Parmetros
esquema en
la siguiente
diapositiva.
ipad
b bits
b bits
Y0
S1
n bits
IV
K+
Y1
opad
b bits

Jorge Rami Aguirre
S0
YL-1
Hash
n bits
H(Si||M)
Yi bloques del mensaje

Relleno hasta b bits
IV
n bits
Hash
Madrid (Espaa) 2003
HMACK(M)
n bits
Diapositiva 650
Parmetros, valores tpicos y salida HMAC

M = mensaje de entrada incluyendo el relleno.
H = alguna funcin hash como MD5 (128 bits) o SHA-1 (160 bits).
Yi = bloque isimo de M.
L = nmero de bloques en M.
b = nmero de bits en cada bloque (512).
n = longitud del resumen del hash ocupado en el sistema (128 / 160 bits).
K = clave secreta (160 bits) aunque se recomienda sea mayor que n. Si la
clave K es mayor que b, esta clave se hace pasar antes por la funcin hash
para reducirla a una clave de n bits.
K+ = clave K con ceros aadidos a la izquierda para alcanzar b bits.
ipad = 00110110 octeto repetido b/8 (64) veces.
opad = 01011010 octeto repetido b/8 (64) veces.
Salida HMAC: HMACK = H{(K+ opad) || H[(K+ ipad) || M ]}
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 651
Operaciones y seguridad de HMAC
Aadir ceros a la izquierda de K hasta obtener K+, una cadena de b bits.

Sumar or exclusivo K+ con la cadena ipad para obtener S1 de b bits.
Aadir a S1 el mensaje M como bloques Yi de b bits cada uno.
Aplicar la funcin hash elegida a la cadena de bits antes formada, con el
vector inicial IV de n bits para generar un hash de n bits.
Sumar or exclusivo K+ con la cadena opad para obtener S0 de b bits.
Aadir a S0 el hash anterior, rellenando este ltimo hasta b bits.
Aplicar la funcin hash elegida a los dos bloques de b bits generados en
el paso anterior, con vector IV de n bits para generar un hash de n bits.
El resultado de este ltimo hash es el HMAC del mensaje M con la
clave K, es decir HMACK(M).
Aunque la seguridad de HMAC est directamente relacionada con el hash

utilizado, el modelo presentado no es seguro. Hay otras configuraciones
ms desarrolladas que mejoran esta caracterstica.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 652
Autenticacin con cifra simtrica y un KDC

Caractersticas
Utilizacin de un KDC (Key Distribution Centre) o
Distribuidor de Claves de Confianza, que comparte una
clave llamada maestra con los clientes.
Cada parte, usuario o entidad de la red comparte una clave
secreta y nica o clave maestra con el KDC.
El KDC se ocupa de distribuir una clave de sesin que va a
ser utilizada en la conexin entre dos partes.
La clave de sesin se protege con la clave maestra de los
participantes de una comunicacin.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 653
Propuesta de Needham y Schroeder (1978)

1.
A KDC:
IDA||IDB||N1
2.
KDC A:
EKA[KS||IDB||N1||EKB[KS||IDA]]
3.
A B:
EKB[KS||IDA]
4.
B A:
EKS[N2]
5.
A B:
EKS[f (N2)]
IDA = Nombre de A o identificador de A

IDB = Nombre de B o identificador de B
NX = Valor nonce
KS = Clave de sesin
EKX = Cifrado con clave secreta de X
KX = Clave secreta de X (A B)
Jorge Rami Aguirre
f (N2) es una funcin

conocida por A y B.
Qu sucede si no se
realizan los pasos 4 y 5?
Un intruso podra capturar
el mensaje en el paso 3 y
repetirlo, interfiriendo as
las operaciones de B.
Madrid (Espaa) 2003
Diapositiva 654
Ms debilidades de la propuesta N-S

Algo ms improbable es que un intruso X tenga una clave
de sesin antigua y repita el mensaje del paso 3 enviado a
B, quien no tiene porqu recordar todas las claves de
sesin usadas previamente con A.
Si X captura el mensaje del paso 4, podr suplantar la
respuesta de A del paso 5, enviando a B mensajes que
parecen venir de A con clave de sesin autenticada.
Denning propone la inclusin de un valor timestamp en los
pasos 2 y 3. La utilizacin de timestamps requiere la
sincronizacin de relojes, pero la utilizacin de valores
nonce es tambin vulnerable. Se propone como solucin
ptima dar una duracin a la clave de sesin (tickets).
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 655
Solucin propuesta por Denning y tickets

1.
A KDC:
IDA||IDB
2.
KDC A:
EKA[KS||IDB||T||EKB[KS||IDA||T]]
3.
A B:
EKB[KS||IDA||T]
4.
B A:
EKS[N1]
5.
A B:
EKS[f (N1)]
1.
A B:
IDA||NA
2.
B KDC:
IDB||NB||EKB[IDA||NA||TB]
3.
KDC A:
EKA[IDB||NA||KS||TB]||EKB[IDA||KS||TB]||NB
4.
A B:
EKB[IDA||KS||TB]||EKS[NB]
Denning
T = Timestamp
| Clock t | < t1 + t2
Solucin al problema del timestamp

Jorge Rami Aguirre
Madrid (Espaa) 2003
Tickets
Tickets
Diapositiva 656
Autenticacin en un sentido
El correo electrnico es un ejemplo de aplicacin que
requiere este tipo de autenticacin:
No es necesario que el emisor y el receptor estn conectados
al mismo tiempo.
El receptor necesita confirmar de alguna forma que el emisor
del mensaje es quien dice ser.
1.
A KDC:
IDA||IDB||N1
2.
KDC A:
EKA[KS||IDB||N1||EKB[KS||IDA]]
3.
A B:
EKB[KS||IDA]||EKS[M]
Se garantiza as que slo el receptor puede leer el mensaje

y autentica adems al emisor. Es vulnerable a repeticiones.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 657
Autenticacin con Kerberos (1988)

Servicio de autenticacin
desarrollado en el Massachusetts
Institute of Technology (MIT)
Perro de tres cabezas y cola de serpiente segn mitologa
griega, guardin de la entrada del Templo de Hades.
Tres componentes guardarn la puerta: Autenticacin,
Contabilidad y Auditora. Las dos ltimas cabezas nunca
han sido implementadas.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 658
Caractersticas y fases de Kerberos

Est basado en el protocolo de distribucin de
claves de Needham & Schroeder.
Usa un intercambio de claves con una tercera
parte de confianza.
Fases de autenticacin:
Obtencin de credenciales
Tickets
Autenticadores
Peticin de autenticacin frente un servicio.

Presentacin de las credenciales al servidor final.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 659
Elementos del dilogo de autenticacin

Usuario, cliente y servidor: persona o mquina que necesita
autenticarse en la red.
Principal: entidad o cliente que usa Kerberos y que ha sido
previamente autenticado por un servidor de autenticacin.
Servicio y servidor: servicio es una entidad abstracta (por
ejemplo correo) y servidor el proceso que lo ejecuta.
Clave y password: funcin aplicada a la clave de usuario.
Credenciales: lo que se utiliza para autenticarse.
Maestros y esclavos: la mquina que hospeda la base de
datos es el master y esclavos son las mquinas que poseen
copias de sta.
Dominio: nombre de entidad administrativa que mantiene
los datos de autenticacin.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 660
El ticket en la credencial de Kerberos

Existen dos tipos de credenciales utilizadas en el modelo de
Kerberos: tickets y autenticadores.
Es necesario un ticket para pasar de una forma segura la
identidad del cliente entre el servidor de autenticacin y el
servidor final.
[s, c, addr, timestamp, life, KS,C]KS
s = nombre del servidor
c = nombre del cliente
addr = direccin Internet del cliente
timestamp = fecha de iniciacin del ticket
life = duracin
KS = clave de sesin aleatoria
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 661
El autenticador en la credencial de Kerberos

El autenticador contiene informacin adicional que,
comparada con el ticket, prueba que el cliente que presenta
el ticket es el mismo a quien se le entreg,
[c, addr, timestamp]KS,C
c = nombre del cliente
addr = direccin Internet de la estacin de trabajo
timestamp = fecha de iniciacin del ticket
KS,C = clave de sesin que es parte del ticket
Los objetivos de las credenciales son minimizar el nmero de veces

que un usuario tiene que introducir la password as como eliminar el
problema de enviar la password en texto plano por la red.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 662
Ejemplo de autenticacin con Kerberos (1)

Se autenticar el usuario A ante el usuario B teniendo
como tercera parte de confianza al KDC.
Usarn el algoritmo DES.
Paso 1. A pide una credencial a KDC.
A KDC ID(A), ID(B), NA
Enva el nmero aleatorio NA para que
nadie pueda suplantar su identidad.
KDC
kA
A
kB
B
Paso 2. KDC genera una clave de sesin KS con perodo de validez L

y una credencial c para el usuario B.
m = EkA[KS, L, NA, ID(B)]; c = EkB[KS, L, ID(A)]
KDC A (m, c)
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 663

Paso 3. A descifra con su clave kA el valor m:
DkA[KS, L, NA, ID(B)] = KS, L, NA, ID(B)
Y luego con la clave de sesin entregada por KDC generar un
autenticador a para el usuario B junto con un sello temporal TA.
a = EKS[ID(A), TA]
A B (c, a)
Paso 4. B descifra con su clave kB c:
DkB[KS, L, ID(A)] = KS, L, ID(A)
Ahora que tiene KS descifra el valor a:
DKS[ID(A), TA] = ID(A), TA
Comprueba que coinciden los identificadores ID(A) del usuario A
y que TA est dentro del rango de validez L dado por KDC.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 664

Paso 5. B calcula una funcin acordada con A por ejemplo (TA + 1)
y con la clave de sesin KS se lo enva cifrado.
B A h = EKS[TA + 1]
Paso 6. A descifra h con la clave de sesin KS:
DKS[TA + 1] = TA + 1
Comprueba que coincide con lo acordado lo que le demuestra que
B ha recibido correctamente la clave de sesin KS.
El valor de TA permite ms autenticaciones dentro del perodo de
validez L sin la intervencin de la tercera parte de confianza KDC.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 665
Resumen del ejemplo de autenticacin

Los valores de c y m aseguran la confidencialidad en
la transmisin de la clave de sesin KS.
Los valores de a y h aseguran la confirmacin de la
recepcin correcta de la clave de sesin KS por B.
En este protocolo slo se autentica A ante B.
Existen extensiones del algoritmo que permiten una
autenticacin doble entre A y B.
Otra opcin es que los usuarios A y B compartan una
clave KS sin que su valor sea conocido por KDC.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 666
El hash en la autenticacin asimtrica

H(M) es el resultado de un algoritmo que con una entrada
M de cualquier tamao, produce salida de tamao fijo.
El emisor A enva el mensaje M y la funcin hash H(M) a
B, quien aplica la misma funcin al mensaje M recibido.
Si los mensajes son iguales entonces se asegura que los
hash tambin son iguales. No obstante, el hecho de que los
hash coincidan no significa que los mensajes M y M sean
iguales (ya visto en el captulo correspondiente).
Integridad: el receptor B puede confiar en que nadie ha
modificado el mensaje durante la transmisin pues el valor
H(M) en destino coincide con el enviado por A.
Autenticacin: Es imposible la autenticacin de usuario,
salvo que se use un modelo con clave tipo HMAC ya visto.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 667
Autenticacin con sistemas asimtricos

Al existir una clave pblica y otra privada que
son inversas, se autentica el mensaje y al emisor.
Permite la firma digital, nica para cada mensaje
Problema:
Los sistemas de cifra asimtricos son muy lentos y el mensaje
podra tener miles o millones de bytes ...
Solucin:
Se genera un resumen del mensaje, representativo del mismo, con
una funcin hash imposible de invertir. La funcin hash comprime
un mensaje de longitud variable a uno de longitud fija y pequea.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 668
Caractersticas de una firma digital

Requisitos de la Firma Digital:
a)
b)
c)
d)
Debe ser fcil de generar.

Ser irrevocable, no rechazable por su propietario.
Ser nica, slo posible de generar por su propietario.
Ser fcil de autenticar o reconocer por su propietario y los
usuarios receptores.
e) Debe depender del mensaje y del autor. Esta ltima
Soncondiciones
condicionesms
ms fuertes
fuertes
Son
quelalade
deuna
unafirma
firmamanuscrita.
manuscrita.
que
Jorge Rami Aguirre
propiedad es
muy importante!
Madrid (Espaa) 2003
Diapositiva 669
Firma digital RSA de A hacia B

Clave Pblica (nA, eA) Clave Privada (dA)
Algoritmo:
Rbrica: rAH(M) = H(M)dA mod nA
Adela
A enva el mensaje M en claro (o cifrado) al destinatario B

junto a la rbrica: {M, rAH(M)}
Benito
El destinatario B tiene la clave pblica eA,nA de

A y descifra rAH(M) {(H(M)dA)eA mod nA}
obteniendo as H(M). Como recibe el mensaje
M, calcula la funcin hash H(M) y compara:
Si H(M) = H(M) se acepta la firma.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 670
Valores y tamaos tpicos de firmas

En los siguientes ejemplos, por limitacin del tamao de los
primos elegidos, se firmarn slo bloques de una cantidad
determinada de bits en funcin del cuerpo de trabajo.
No obstante, en los sistemas reales esto no es as puesto que
las funciones hash ya vistas entregarn -por lo generalresmenes comprendidos entre 128 y 160 bits y, por otra
parte, el cuerpo de trabajo de la cifra asimtrica para la
firma digital ser como mnimo de 512 bits (si bien en la
actualidad se recomienda al menos 1.024). Por lo tanto el
resumen que se firma es menor que el cuerpo de cifra o, lo
que es lo mismo, es parte del conjunto de restos del grupo.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 671
Ejemplo de firma digital RSA (B A)

Hola. Te envo el documento. Saludos, Beni.
Sea H(M) = F3A9 (16 bits)
Benito
Claves Benito
nB = 65.669
eB = 35, dB = 53.771
216 < 65.669 < 217

Forzaremos firmar
bloques de 16 bits
Adela
Claves Adela
nA = 66.331
eA = 25, dA = 18.377
Firma H (M) = F3A916 = 62.37710

rH(M) = H(M)dB mod nB
rH(M) = 62.37753.771 mod 65.669 = 24.622
Benito enva el par (M, r) = (M, 24.622)
Jorge Rami Aguirre
Madrid (Espaa) 2003
Nota: los primos

que usa Benito
son 97, 677 y
Adela 113, 587
Diapositiva 672
Comprobacin la firma RSA por A

Claves Benito
Benito
nB = 65.669
eB = 35, dB = 53.771
Claves Adela
nA = 66.331
eA = 25, dA = 18.377
Adela
Tenamos que: H (M) = F3A916 = 62.37710
rH(M) = H(M)dB mod nB rH(M) = 62.37753.771 mod 65.669 = 24.622
Benito haba enviado el par (M, r) = (M, 24.622)
Adela recibe un mensaje M junto con una rbrica r = 24.622:

Calcula reB mod nB = 24.62235 mod 65.669 = 62.377.
Calcula el resumen de M es decir H(M) y lo compara con H(M).
Si los mensajes M y M son iguales, entonces H(M) = H(M) y se
acepta la firma como vlida.
NOTA: No obstante, H(M) = H(M) no implica que M = M.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 673
Firma digital ElGamal de A hacia B
Adela
ElGamal: El usuario A generaba un nmero

aleatorio a (clave privada) del cuerpo p. La
clave pblica es a mod p, con generador.
Firma:(r,
(r,s)s)
Firma:
Algoritmo de firma:
1 El usuario A genera un nmero aleatorio h, que ser primo
relativo con (p): h / mcd {h, (p)} = 1
2 Calcula h-1 = inv {h, (p)} M
M==ar
ar++hs
hsmod
mod(p)
(p)
(M--ar)inv[h,(p)]
ar)inv[h,(p)]mod
mod(p)
(p)
ss==(M
3 Calcula r = h mod p
4 Resuelve la siguiente congruencia:
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 674
Comprobacin de firma ElGamal por B

Algoritmo comprobacin de firma:
1 El usuario B recibe el par (r, s) y calcula:
Benito
rs mod p y (a)r mod p
Conoce: p y (a) mod p
2 Calcula k = [(a)r rs] mod p
Seacepta
aceptalalafirma
firma
Se
h
Como r era igual a mod p entonces:
k = [(arhs] mod p = (ar + hs) mod p = mod p
3 Como M = (ar + hs) mod (p) y es una raz
primitiva de p se cumple que:
a)r r rss] mod p
= ssi = mod (p-1)
a
Si
k
=
[(
Si k = [( ) r ] mod p
esigual
igualaaMMmod
modpp......
4 Comprueba que k = M mod p
es
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 675
Ejemplo de firma ElGamal (B A)

Hola otra vez! Soy Benito de nuevo. Saludos.
Benito
Firma
1)
2)
3)
4)
5)
Sea H(M) = A69B (16 bits)
Claves Benito
pB = 79.903 = 10
b mod p = 3.631
b = 20, h = 31
Adela
216 < 79.903 < 217

Forzaremos firmar
bloques de 16 bits
h-1 = inv[h, (p)] = inv (31, 79.902) = 5.155

r = h mod p = 1031 mod 79.903 = 11.755
s = [H(M) - br][inv(h,(p)] mod (p)
H(M) = A69B16 = 42.65110
s = [42.651-2011.755]5.155 mod 79.902
(r,s)s)==(11.755,
(11.755,68.539)
68.539)
(r,
s = 68.539 Luego, la firma ser

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 676
Comprobacin de firma ElGamal por A

Claves Benito
Benito
pB = 79.903 = 10
b mod p = 3.631
b = 20, h = 31
H(M) = A69B = 42.651

Adela
Adela recibe el par (r, s) = (11.755, 68.539)
Comprobacin de la firma:
1) rs mod p = 11.75568.539 mod 79.903 = 66.404
Como hay igualdad

se acepta la firma
2) (b)r mod p = 3.63111.755 mod 79.903 = 12.023

3) (b)r rs mod p = (12.023 66.404) mod 79.903 = 64.419 = k
4) H(M) mod p = 1042.651 mod 79.903 = 64.419
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 677
Importancia de en la firma de ElGamal

Claves Benito
Benito
pB = 79.903 = 10
b mod p = 3.631
b = 20, h = 31
p-1 = 79.902 = 23223193

q1 = 2; q2 = 3; q3 = 23; q4 = 193
y se cumple 10(p-1)qi mod p 1
= 10 es un generador
del cuerpo p = 79.903
puesto que:
1039.951 mod 79.903 = 79.902
1026.634 mod 79.903 = 71.324
103.474 mod 79.903 = 2.631
10414 mod 79.903 = 41.829
Si se elige = 11 que no es raz, para el exponente 39.951 se

obtiene el valor 1. No nos servir para la firma porque ser
imposible comprobarla mediante la ecuacin k = M mod p.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 678
Estndares de firma digital

1991: National Institute of Standards and Technology (NIST)
propone el DSA, Digital Signature Algorithm, una
variante de los algoritmos de ElGamal y Schnoor.
1994: Se establece como estndar el DSA y se conoce como
DSS, Digital Signature Standard.
1996: La administracin de los Estados Unidos permite la
exportacin de Clipper 3.11 en donde viene inmerso el
DSS, que usa una funcin hash de tipo SHS, Secure
Hash Standard.
El peor inconveniente de la firma propuesta por ElGamal es que
duplica el tamao del mensaje M al enviar un par (r, s) en Zp y (p).
No obstante, se solucionar con el algoritmo denominado DSS.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 679
Digital Signature Standard DSS

Parmetros pblicos de la firma:
Un nmero primo grande p (512 bits)
Un nmero primo q (160 bits) divisor de p-1
Un generador de orden q del grupo p
y eso qu es?
Generador de orden q es aquella raz en el cuerpo Zp de

forma que q es el entero ms pequeo que verifica:
q mod p = 1
En este caso se cumple para todo t que:
t = t (mod q) mod p
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 680
Generacin de firma DSS (A B)

GENERACIN DE LA FIRMA POR PARTE DE A
Claves pblicas de A: primos p, q y el generador
Clave secreta de la firma: a
(1 < a < q) aleatorio
Clave pblica de la firma: y = a mod p

Para firmar un mensaje 1 < M < p, el firmante A elige un
valor aleatorio 1 < h < q y calcula:
r = (h mod p) mod q
s = [(M + ar) inv (h,q)] mod q
La firma digital de M ser el par (r, s)
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 681
Comprobacin de firma DSS por B

COMPROBACIN DE LA FIRMA DE A POR B
B recibe el par (r, s)
Luego calcula:
w = inv (s, q)
u = M w mod q
v = r w mod q
La firma tendr en este caso

un tamao menor que q, es
decir, menos bits que los del
mdulo de firma p ya que se
elige por diseo p >> q
Comprueba que se cumple la relacin:

r = (u yv mod p) mod q
Si se cumple, se acepta la firma como vlida.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 682
Ejemplo de firma DSS (B A)

Hola Adela, soy Benito y lo firmo con DSS.
Sea H(M) = 1101000 = 104 (un elemento de pB)
Benito
Firma
1)
2)
3)
4)
5)
Claves Benito
pB = 223 qB = 37 = 17
y = b mod p = 30
b = 25, h = 12
Adela
28 < pB = 223 < 27
Forzaremos firmar
bloques de 7 bits
inv (h,q) = inv (12, 37) = 34

r = (h mod p) mod q = (1712 mod 223) mod 37 = 171 mod 37 = 23
s = [H(M)+br][inv (h,q)] mod q = [104+2523]34 mod 37 = 35
La firma digital de H(M) = 104 ser: (r, s) = (23, 35)
Benito transmite a Adela el bloque (M, r, s) = (M, 23, 35)

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 683
Comprobacin de la firma DSS por A

Claves Benito
Benito
pB = 223 qB = 37 = 17
y = b mod p = 30
b = 25, h = 12
Comprobacin de firma
Adela recibe:
(M, r, s) = (M, 23, 35)
Igualdad?
1) w = inv (s, q) = inv (35, 37) = 18

2) u = Mw mod q = 10418 mod 37 = 22
3) v = rw mod q = 2318 mod 37 = 7
4) (u yv mod p) mod q = r ?
5) [(1722307) mod 223] mod 37 = 23
Jorge Rami Aguirre
En caso afirmativo,
se acepta la firma
Y el tamao ser menor que
qB = 37 es decir << pB = 223
que era precisamente el punto
dbil del sistema ElGamal.
Madrid (Espaa) 2003
Adela
Fin del Tema 14

Diapositiva 684
1. Por qu cree que un escenario de integridad en la que hay siempre
una tercera parte de confianza activa no sera adecuado en Internet?
2. Si una Autoridad de Certificacin es la tercera parte de confianza,
acta de forma activa o pasiva en la comunicacin? Explquelo.
3. Qu importancia tiene la redundancia del lenguaje en un sistema de
autenticacin? Qu sucedera si no hubiese esa redundancia?
4. Hacemos una autenticacin de mensaje mediante un MAC en el que
el algoritmo es DES. Sera acertado usar modo ECB? Por qu?
5. En un sistema de autenticacin mediante Kerberos, cmo sabe el
que comienza el protocolo (A) que no hay un impostor que intenta
suplantarle? Cmo sabe el que comienza el protocolo (A) que el
segundo usuario (B) o elemento del sistema ha recibido bien la clave
de sesin entregada por el centro de distribucin de claves KDC?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 685
6.
Cmo podramos usar una funcin hash para comprobar que un

archivo no se ha modificado o que est libre de virus?
7. Nos afirman que podemos autenticar un mensaje usando para ello
slo una funcin hash. Es esto verdadero? Por qu?
8. Por qu se dice que una firma digital tiene condiciones ms fuertes
que una firma manuscrita?
9. Por qu es importante que la firma digital dependa del mensaje?
10. Firme digitalmente con RSA el mensaje M = 121 si los datos del
firmante son p = 19; q = 31, d = 149. Compruebe la firma.
11. Con p = 331 y clave privada 15, vamos a firmar digitalmente con
ElGamal el mensaje M = 250 . Para ello, elija los valores ms
pequeos posibles de los parmetros y h. Compruebe la firma.
12. Repita el ejercicio 10 con DSS y valores propuestos por Ud.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 686
Tema 15
Certificados Digitales
v 3.1
Material Docente de
Libre Distribucin
Jorge Rami Aguirre

Nota del autor

El contenido de este archivo
corresponde a una primera
introduccin bsica sobre
certificados digitales, en
particular X.509, y el
intercambio de stos entre
cliente y servidor para una completa autenticacin. En
este ao 2003 se ir ampliando este captulo de forma
que en la prxima versin de este libro se pueda contar
con ya con un tema de certificacin digital y Autoridades
de Certificacin como debe corresponder a un curso de
criptografa y seguridad informtica.
Jorge Rami Aguirre
Tema 15: Certificados Digitales
Madrid (Espaa) 2003
Diapositiva 688
Qu son los certificados digitales?

Un certificado digital es un documento que
contiene diversos datos, entre ellos el nombre de
un usuario y su clave pblica, y que es firmado
por una Autoridad de Certificacin (AC).
Como emisor y receptor confiarn en esa AC, el
usuario que tenga un certificado expedido por
ella se autenticar ante el otro, en tanto que su
clave pblica est firmada por dicha autoridad.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 689
Certificado digital X.509

X.509 est basado en criptografa asimtrica y firma digital.
En X.509 se define un framework (una capa de abstraccin)
para suministrar servicios de autenticacin a los usuarios del
directorio X.500.
La autenticacin se realiza mediante el uso de certificados.
- Un certificado contiene: el nombre de la AC, el nombre
del usuario, la clave pblica del usuario y cualquier otra
informacin como puede ser un un indicador de tiempo
o timestamp.
- El certificado se cifra con la clave privada de la AC.
- Todos los usuarios poseen la clave pblica del AC.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 690
Formato del certificado digital X.509

Versin
N de serie
Algoritmo
Parmetros
Autoridad de Certificacin
Inicio de la validez
Caducidad de la validez
Nombre del usuario
Algoritmo
Parmetros
Clave pblica del usuario
Firma de la AC
Jorge Rami Aguirre
Identificador del algoritmo

Perodo de validez
Clave pblica que se firma

Funcin hash que se cifra con
la clave privada de la AC
Madrid (Espaa) 2003
Diapositiva 691
Campos del certificado digital X.509
V: Versin del certificado (actualmente V3).

SN: Nmero de serie.
AI: identificador del algoritmo de firma que sirve para identificar el
algoritmo usado para firmar el paquete X.509.
CA: Autoridad certificadora.
TA: Periodo de validez.
A: Propietario de la clave pblica que se est firmando.
P: Clave pblica ms identificador de algoritmo utilizado y ms
parmetros si son necesarios.
Y{I}:Firma digital de Y por I usando la clave privada de la unidad
certificadora.
CA<<A>> = CA { V, SN, AI, CA, TA, A, AP }

Y<<X>> es el certificado del usuario X expedido por la autoridad certificadora Y.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 692
Autoridades de Certificacin

Jorge Rami Aguirre
certificado de B
certificado de A
&
AC
&
Autoridad de Certificacin AC
Madrid (Espaa) 2003
clave pblica AC
El usuario A enviar al usuario B

su certificado (la clave pblica
firmada por AC) y ste comprobar
con esa autoridad su autenticidad.
Lo mismo en sentido contrario.
clave pblica AC
Autoridad de Certificacin es un
ente u organismo que, de acuerdo
con unas polticas y algoritmos,
certificar -por ejemplo- claves
pblicas de usuarios o servidores.
Diapositiva 693
Elementos de una AC
El sistema de autenticacin debe tener:
Una poltica de certificacin

Un certificado de la CA
Los certificados de los usuarios (X.509)
Los protocolos de autenticacin, gestin y obtencin
de certificados:
Se obtienen de bases de datos (directorio X.500)
O bien directamente del usuario en tiempo de
conexin (WWW con SSL)

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 694
Algunas caractersticas de diseo de la AC

Deber definirse una poltica de certificacin
Ambito de actuacin y estructura
Relaciones con otras ACs
Deber definirse el procedimiento de certificacin
para la emisin de certificados:
Verificacin on-line
Verificacin presencial
Deber generarse una Lista de Certificados Revocados
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 695
Funcionamiento de una AC
Puesta en marcha de la AC:
Generar su par de claves
Proteger la clave privada con una passphrase
Generar el certificado de la propia AC
Distribucin del certificado de la AC:
A travs del directorio X.500
Por medio de pginas Web
Podr certificar a servidores y a clientes
Fin del Tema 15
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 696
1. Qu es lo que certifica un certificado digital?
2. Solicitamos un certificado digital a una empresa. Est nuestra clave
privada entre los datos que nos solicita para el alta?
3. Si un certificado digital pierde la validez, qu debemos hacer?
4. Por qu una Autoridad de Certificacin firma una funcin hash?
5. Si Ud. fuese una Autoridad de Certificacin, qu condicin pondra
para expedir con seguridad un certificado a un usuario?
6. Una Autoridad de Certificacin emite certificados digitales de hasta
1.024 bits y duracin un ao. Si ella tiene un certificado digital raz
de 2.048 bits, sera lgico plantear una validez de ste por 10 aos?
7. Qu es y cundo se solicita la revocacin de un certificado digital?
8. Qu significa que la Autoridad de Certificacin deba gestionar una
lista de certificados revocados?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 697
Tema 16
Aplicaciones Criptogrficas
v 3.1
Material Docente de
Libre Distribucin
Jorge Rami Aguirre

Resumen de los sistemas de clave secreta

Pros y contras de los Sistemas de Clave Secreta
El emisor y el receptor comparten una misma clave.
La seguridad depende slo del secreto de la clave.
La velocidad de cifra es muy alta y los sistemas con un

espacio de clave grande son muy seguros.
Permiten autenticar los mensajes con MACs.
Es imposible establecer un sistema de distribucin y

gestin de claves eficiente entre emisor y receptor.
Carecen de una firma digital en sentido amplio.

Jorge Rami Aguirre
Tema 16: Aplicaciones Criptogrficas
Madrid (Espaa) 2003
... pero
Diapositiva 700
Resumen de los sistemas de clave pblica

Pros y contras de los Sistemas de Clave Pblica
Emisor y receptor generan un par de claves, pblica y

privada, relacionadas por una funcin con trampa.
Emisor y receptor de un mensaje usan claves diferentes

para las operaciones de cifrado, descifrado y firma.
La seguridad del sistema va asociada a la resolucin de un

problema matemtico difcil.
Tiene firma digital: autenticacin de mensaje y del emisor.
Es necesario contar con mecanismos de certificacin

para asegurar la veracidad de las claves pblicas: ACs.
Son sistemas de cifra muy lentos.

Jorge Rami Aguirre
Madrid (Espaa) 2003
... pero
Diapositiva 701
El correo electrnico seguro

A comienzos de los aos 90 hacen su aparicin
dos sistemas de correo electrnico seguro:
PEM (Private Enhanced Mail)
PGP (Pretty Good Privacy)
De los dos, ha sido PGP quien se ha convertido en un
estndar de hecho en clientes del e-mail seguro. Por
lo tanto veremos slo algunos aspectos genricos de
PEM y analizaremos ms en profundidad PGP.
Su estudio nos permitir ver una aplicacin real de

los sistemas de cifra y firma analizados en el curso.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 702
Private Enhanced Mail PEM

Es una propuesta de la IETF Internet Engineering Task
Force en 1985. El documento tcnico se publica en 1993.
Las especificaciones tcnicas estn en las RFCs Request
For Comments nmeros 1421, 1422, 1423 y 1424.
Se usa conjuntamente con el protocolo SMTP Simple Mail
Internet Protocol.
Cifrado de la informacin: DES modo CBC.
Generacin y gestin de claves: RSA de 508 a 1024 bits.
Estructura de certificados segn la norma X.509.
Clave de sesin: DES modo ECB, TripleDES-EDE.
Firma digital: RSA, MD2, MD5.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 703
Implementacin de PEM
Es compatible con otros modelos de mensajera como, por
ejemplo, X.400.
PEM se implementa en el nivel de aplicacin:
es independiente de los protocolos de los niveles OSI o
TCP/IP inferiores.
es independiente de los sistemas operativos o del
ordenador.
Se puede implementar como un mdulo independiente que
trabaje con el cliente de correo habitual para el usuario.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 704
Servicios de seguridad en PEM

Servicios de seguridad contemplados:
Autenticacin del origen.
Confidencialidad.
Integridad del mensaje.
No repudio del origen cuando se utiliza gestin de clave
con algoritmo de clave asimtrica.
Servicios de seguridad no contemplados:
Control de acceso.
Confidencialidad del trfico de mensajes.
No repudio del mensaje por parte del receptor.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 705
Formato e implementacin de PEM

TIS/PEM
Plataformas UNIX. Trusted Information
System. Cdigo fuente disponible para
los ciudadanos o empresas de Estados
Unidos y Canad. Usa una jerarqua de
certificacin mltiple.
RIPEM
Implementa parte de los protocolos PEM
sin certificados para autenticacin de
claves. Gratuito para aplicaciones no
comerciales. Exportacin prohibida fuera
de Estados Unidos. Existen versiones
utilizadas en todo el mundo.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 706
Pretty Good Privacy PGP

Philip Zimmermann publica la versin 1.0 de PGP en
1991 con mnimos requisitos de hardware y software.
En 1992 aparece la versin 2.0 en la que ya participan
programadores de todo el mundo. Su cdigo se escribe
fuera de USA para evitar las leyes restrictivas respecto al
software criptogrfico y sus problemas legales.
En 1993 aparece la versin 2.3a muy popular en sitios FTP
y vlida para varias plataformas de sistemas operativos.
En 1994 participa en el proyecto el Massachusetts Institute
of Technology MIT y aparecen las versiones 2.4, 2.5 y 2.6.
La versin 2.6.3i se populariza a nivel mundial.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 707
Nota aclaratoria sobre versiones de PGP

Aunque hay ms de una oferta de software para correo seguro que
el programa PGP, ste se ha convertido en un estndar de hecho.
Si bien las ltimas versiones del programa orientadas a entornos
Windows presentan altas prestaciones, las operaciones bsicas
siguen siendo las mismas que en la conocida versin 2.6.3i.
Las nuevas versiones de PGP en entorno Windows cambian muy
rpidamente por lo que resulta muy difcil tener unos apuntes
permanentemente actualizados. Por ello, se usar la versin 2.6.3i
como versin simple para la explicacin de las operaciones de
cifra y firma con PGP y, posteriormente, haremos un repaso de las
caractersticas de la versiones 6.5.1 y 8.0, la ltima a la fecha.
La filosofa de las nuevas versiones es exactamente la misma
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 708
Tutorial de PGP 2.6.3i

Si no conoce PGP o no ha trabajado nunca con este
entorno, le recomiendo que descargue desde la pgina
Web de la Red Temtica CriptoRed el archivo del
Tutorial de PGP 2.6.3i en formato HTML.
http://www.criptored.upm.es/paginas/software.htm
Esta aplicacin, obra de D. David Lin Zayas, alumno

que realiz este proyecto como su Tesis Fin de Carrera
tutorizado por el autor de estos apuntes, le servir para
aprender rpidamente los comandos y prestaciones de
esta versin de PGP, muy similar a las actuales. Adems
PGP 2.6.3i ocupa menos que un disquete de 1,4 MB.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 709
Caractersticas de PGP 2.6.3i

PGP, en su versin 2.6.3i (internacional) se convirti a
mediados de la dcada de los 90 en un estndar de hecho.
De hecho, muchos usuarios siguen fieles a esta versin.
Cifra todo tipo de datos en entornos MS-DOS y UNIX. Su
orientacin principal es el cifrado de los datos y la firma
digital en correo electrnico.
Los algoritmos bsicos que usa son:
IDEA para cifrar con sistema de clave secreta.
RSA para intercambio de claves y firma digital.
MD5 para obtener la funcin hash de la firma digital.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 710
Algoritmos usados en PGP 2.6.3i

Compresin
ZIP
Generacin de claves
RSA, MD5
Cifrado Convencional
IDEA
Intercambio de claves
IDEA, RSA
Firma Digital
MD5, RSA
Compatibilidad e-mail
Base-64
Segmentacin
- Operacin -
- Algoritmo -

Jorge Rami Aguirre
Se comprime el mensaje en claro y la firma para

almacenarlo o transmitirlo.
Genera una clave pblica y otra privada, encontrando
dos nmeros primos muy grandes. El valor privado se
guarda cifrado con IDEA usando como clave un resumen
MD5 de la frase de paso secreta.
Cifra el mensaje con una clave de sesin de 128 bits
(nica) generada en el emisor de forma aleatoria.
Cifra la clave de sesin IDEA con la clave pblica del
destinatario con RSA y la aade en el criptograma.
La funcin hash MD5 genera un resumen de 128 bits,
que representa al mensaje en claro completo, y que se
cifra en RSA con la clave privada del emisor. Se aade
al mensaje enviado.
Permite transmitir el mensaje a todo tipo de aplicaciones
e-mail. Convierte los octetos en caracteres imprimibles.
Divide el criptograma final en bloques de menos de
50.000 bytes para su correcta transmisin en Internet y
su recuperacin.
- Descripcin de su funcin -
Madrid (Espaa) 2003
Diapositiva 711
Caractersticas del cifrado local

Esta operacin sirve para mantener los archivos
protegidos, por ejemplo en el disco duro.
El acceso al texto en claro slo ser posible si se
conoce una clave o contrasea que es la frase de
paso usada al cifrar.
Recuerde que si despus de cifrar el archivo borra
fsicamente el texto en claro -operacin que
realiza una grabacin de unos y ceros aleatorios
en la zona de almacenamiento del disco- le ser
imposible recuperarlo si olvida la contrasea.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 712
Pasos del cifrado local con IDEA

Pasos:
1. PGP solicita una frase de paso: sta debe ser lo
suficientemente larga como para evitar ataques por
combinaciones.
2. Se aplica el algoritmo de resumen MD5 a esa
contrasea, generando as una clave de 128 bits.
3. PGP cifra el documento con el algoritmo IDEA y le
pone como extensin .pgp.
4. Permite luego hacer un borrado fsico del archivo
en claro.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 713
Esquema de cifrado local con IDEA

Mensaje
cifrado
Mensaje en El documento se comprime

con el algoritmo ZIP
claro
Clave Local
La contrasea es una frase de paso.
Se recomienda que tenga espacios,
signos y caracteres de puntuacin
de 128 bits
El archivo cifrado
puede guardarse,
por ejemplo, en
disco.
Borrado del texto
en claro opcional.
CONTRASEA
Cada nuevo cifrado requiere una contrasea. Esta puede ser igual o distinta.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 714
Operaciones con claves asimtricas

Las operaciones de PGP para cifrar, descifrar, firmar y la
comprobacin posterior de la firma digital, usan los
algoritmos de funciones hash, de clave pblica y de clave
secreta ya vistos en captulos anteriores.
Para poder enviar y recibir correo seguro, es necesario
contar al menos con las siguientes claves:
Clave pblica del destinatario.
Par de claves asimtricas del emisor.
Generacin de claves con RSA
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 715
Generacin de claves asimtricas tipo RSA

Una vez instalado PGP, se procede a la generacin de
claves asimtricas del usuario propietario.
Se elige el tamao del mdulo n, por ejemplo 1.024 bits.
PGP generar un par de nmeros primos e (clave pblica)
y d (clave privada) de forma que ed mod (n) = 1.
Para una mayor facilidad en el descifrado en destino, el
valor de la clave pblica e ser pequeo (un valor tpico es
el nmero primo 65.537 = 216+1).
PGP pedir una contrasea o passphrase y con ella y MD5
generar una clave de 128 bits con la que cifrar la clave
privada antes de almacenarla en el disco.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 716
Anillos de claves asimtricas

Con las claves pblica y privada generadas y otras
claves pblicas que podr importar de otros usuarios,
se crean dos anillos de claves:
Anillo de claves pblicas: archivo pubring.pgp
en el que se guardan las claves pblicas del
usuario propietario (puede tener ms de una
identidad) y las claves pblicas de importadas.
Anillo de claves privadas: archivo secring.pgp
en el que se guarda la o las claves privadas del
usuario propietario.
Nota: estos anillos cambiarn su extensin en
las nuevas versiones.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 717
Estructura del anillo de claves privadas

Sellado de tiempo
T1
--Ti
--Tn
Clave ID*
Clave pblica
Clave privada cifrada
ID usuario
e1 mod 264
Clave pb. 1
Clave priv. 1
Usuario 1
--ei mod 264

--en mod 264
---
---
---
ei
EH(FPi)(di)
Usuario i
---
---
---
Clave priv. n
Usuario n
Clave pb. n
Descripcin de los campos

(*) Se usa este campo para la indexacin de la tabla en ambos anillos
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 718
Campos de los anillos de claves

Sellado de tiempo:
Fecha y hora de la generacin del par de claves.
Clave ID:
Identificador de clave (ltimos 64 bits de la clave pblica e).
Clave pblica:
Nmero primo e, inverso del primo d en el cuerpo (n).
Clave privada cifrada:
Cifra EH(FPi) de la clave privada d con IDEA y la funcin hash
de la frase de paso del propietario como clave secreta.
ID usuario:
Identificacin del usuario, normalmente direccin de email.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 719
Estructura del anillo de claves pblicas (1)

Sellado de tiempo
T1
--Ti
--Tn
Clave ID*
Clave pblica Confianza propietario
e1 mod 264
Clave pb. 1
--ei mod 264

--en mod 264
flag_confianza 1
ID usuario
Usuario 1
...
---
---
---
...
ei
flag_confianza i
Usuario i
---
---
---
...
Clave priv. n
Usuario n
Clave pb. n
...
contina en prxima diapositiva

(*) Se usa este campo para la indexacin de la tabla en ambos anillos
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 720
Estructura del anillo de claves pblicas (2)

...
...
...
...
Legitimacin de clave
Firma(s)
Confianza de Firmas
flag_confianza 1
---
---
---
---
--flag_confianza i
--flag_confianza n
viene de la diapositiva anterior

Con la clave pblica del destinatario ya podemos
enviar el correo cifrado y/o firmado. Pero ...
cmo se gestionan las claves en PGP?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 721
Gestin del anillo de claves pblicas

Propietario del anillo
?
C1
X
A1
B1
B2
C2
C3
D1
X es firmado por Y
?
B3
C4
Nivel A
Nivel B
C5
A1 cree en el propietario de la clave para firmar otra clave
Nivel C
Nivel D
ms
A1 cree parcialmente en el propietario de la clave para firmar otra clave

La clave est firmada por un
A1 cree en legitimidad de clave
? usuario o Autoridad que no
A1 no cree que la clave sea legtima
est en anillo de claves de A1
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 722
Otros escenarios de confianza en PGP

Otras situaciones en anillo de claves
Nodo hurfano
con firmas no
reconocibles
B1
?
D2
C1
C1
D1
A1
X es firmado por Y
B2
B3
Observe cambios
en estados finales
C2
D1
estados iniciales
A1 cree en el propietario de la clave para firmar otra clave

A1 cree parcialmente en el propietario de la clave para firmar otra clave
PGP hace que A1 crea en la legitimidad de las claves pues tienen al menos dos
firmas parciales (B1-B2)o una completa (C2) pero no da confianza para firmar
A1 no cree que la clave sea legtima
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 723
Problema en estos escenarios de confianza

La gestin de claves en PGP se
basa en la confianza mutua:
los amigos de tus amigos son
mis amigos!
En un sistema abierto en Internet como puede ser el
comercio electrnico, esta situacin y otras ms que
pueden darse en este sistema de gestin de claves de
confianza mutua, resulta inaceptable.
La solucin, que PGP ya contempla en sus ltimas
versiones, es la aceptacin de las Autoridades de
Certificacin como certificadores de claves pblicas.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 724
Pasos cifrado con clave pblica de destino

Pasos:
1. PGP genera un nmero aleatorio de 128 bits que
ser la clave de sesin.
2. Se cifra el mensaje con dicha clave usando IDEA.
3. Se cifra la clave de sesin con la clave pblica RSA
del destinatario y se aade al criptograma.
4. Se aade el identificador ID de la clave pblica del
destinatario a la clave de sesin cifrada en el paso 3
como indicativo de la identidad del receptor.
Recuerde que el correo electrnico no es en general una comunicacin
en tiempo real por lo que, aunque se enva una clave para descifrar el
criptograma en recepcin, no se trata de una clave de sesin en los
mismos trminos que se usa, por ejemplo, en una comunicacin SSL.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 725
Cifrado con clave pblica de destino

Mensaje en
El documento se comprime
claro
antes con el algoritmo ZIP
Necesitamos una
clave de sesin...
Se busca en el anillo de
claves pblicas del emisor
Clave
de
sesin
Clave pblica
del destinatario

Jorge Rami Aguirre
Madrid (Espaa) 2003
Mensaje
cifrado
Clave de
sesin
cifrada
Por compatibilidad de
sistemas clientes de
correo, se le aade
armadura (Base 64)
antes de transmitirlo
Diapositiva 726
Pasos descifrado con clave privada destino

Pasos:
1. PGP busca en la cabecera del criptograma el
identificador de usuario ID (receptor) que se ha
aadido en la clave de sesin cifrada.
2. Se busca la clave privada del identificador ID en el
anillo de claves privadas del receptor.
3. Se accede a la clave privada en claro, descifrndola
con IDEA al introducir el propietario ID su frase de
paso. Slo en ese momento est en claro.
4. Con la clave privada se descifra la clave de sesin.
5. Con la clave de sesin se descifra el criptograma.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 727
Descifrado con la clave privada de destino

Mensaje
cifrado
Se ha quitado la armadura y se descomprime
Clave de
sesin
cifrada
Mensaje en
claro
Clave
de
sesin
Clave privada
destino cifrada
Clave privada
descifrada
Se busca en el anillo de
claves privadas del receptor
CONTRASEA

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 728
Firma digital RSA

Mensaje en
claro
Se va a firmar un mensaje en claro
Clave privada
descifrada
Necesitamos nuestra
clave privada...
Clave privada
cifrada IDEA
Mensaje en
claro
Bloque de
firma
digital
Si se desea se puede
enviar tambin cifrado
CONTRASEA
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 729
Comprobacin de la firma digital RSA

Mensaje en
claro recibido
Se calcula en destino la funcin hash del mensaje y comparamos

Firma
correcta
H(M)
calculado
Bloque de
firma digital
S
IGUALES ?
Se busca la clave pblica del

emisor para descifrar la firma
H(M)
enviado
No
Firma
incorrecta
Clave pblica
del emisor
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 730
Formato de un mensaje PGP dirigido a B

IDENTIFICADOR DE CLAVE PUBLICA DEL RECEPTOR
CLAVE DE SESION
COMPONENTES DE
CLAVE DE SESION
SELLO DE TIEMPO
IDENTIFICADOR DE CLAVE PUBLICA DEL EMISOR
DOS PRIMEROS OCTETOS DEL RESUMEN
COMPONENTES
DE LA FIRMA
RESUMEN DEL MENSAJE

NOMBRE DEL FICHERO
R64
SELLO DE TIEMPO
E(eB)
ZIP
TEXTO DEL USUARIO
COMPONENTES
DEL MENSAJE
Orden de las operaciones

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 731
Los tiempos cambian, pero ...

La mtica versin de PGP 2.6.3 del MIT se convierte rpidamente
en el software de libre distribucin freeware ms popular en el
mundo de los PCs y especialmente en entornos de correo
electrnico: usa cifra y firma con criptografa calificada como fuerte.
Las versiones en entorno Windows a travs de Network Associates
presentan opciones avanzadas, servicios de red para seguimiento
de paquetes y autenticacin mediante Autoridades de Certificacin.
Existe una versin freeware para usos no comerciales .
Las versiones 5 y 6 tuvieron su cdigo fuente abierto, en la 7 el
cdigo deja de ser pblico y la nueva versin 8.0 (diciembre
2002) ahora con PGP Corporation ha liberado otra vez el cdigo.
Ha vuelto otra vez la cordura?
Jorge Rami Aguirre
Aqu puede haber varias opiniones....
Madrid (Espaa) 2003
Diapositiva 732
Algoritmos en nuevas versiones de PGP

Generacin de claves
RSA: 1.024, 1.536, 2.048 bits
Diffie y Hellman: 1.024, 1.536, 2.048, 3.072, 4.096 bits
Firma digital
DSS Digital Signature Standard 1.024 bits
Cifrado
CAST, IDEA, TripleDES, AES, Twofish
Resumen
SHA-1 (160 bits) y MD5 (128 bits)
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 733
Algunas versiones de PGP en Windows

Desde la versin 5.0 hasta la actual 8.0 en el momento de escribir este
libro (febrero de 2003) los esquemas de cifra y firma digital han cambiado
muy poco aunque presentan mayores prestaciones. No obstante, recuerde
que algunas prestaciones slo estarn activadas en versiones comerciales.
PGP 7.0.3
PGP 6.5.1
PGP 8.0
Veremos algunas operaciones de estas tres versiones con mayor detalle.

Recuerde, eso s, que la versin 7.0.3 no tiene su cdigo fuente abierto.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 734
Instalacin de la versin PGP 6.5.1

PGP 6.5.1 internacional aparece en el ao 1999. Puede
considerarse como una de las versiones seguras mejor
optimizadas desde la primera en entorno Windows.
Puede descargar
estas versiones
desde el servidor
http://www.pgpi.org

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 735
Carpetas y programas de PGP 6.5.1

La instalacin crear esta carpeta
Encontrar aqu
un excelente
manual de PGP
en formato PDF

Jorge Rami Aguirre
Tal vez el programa ms

importante de PGP
Madrid (Espaa) 2003
Diapositiva 736
Opciones generales de PGP 6.5.1

La generacin rpida
de claves slo puede
hacerse para valores
DH de una longitud
predeterminada.
Se puede limitar el
tiempo de descifrado
de la frase de paso en
memoria cach.
El borrado fsico de
datos y ficheros se
hace escribiendo 1s y
0s aleatorios en los
cluster, desde 8 hasta
32 veces.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 737
Opciones de ficheros de PGP 6.5.1

Los archivos donde
guarda las claves
pblicas y claves
privadas siguen
llamndose pubring y
secring pero ahora, a
diferencia de versiones
anteriores, usa como
extensiones pkr.
El archivo de semilla
permite generar
nmeros aleatorios
para crear claves.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 738
Opciones de e-mail de PGP 6.5.1

El PGP/MIME slo
funciona con plugins.
Se puede pedir que
cifre, firme o descifre
y compruebe firma por
defecto al enviar o
abrir mensajes.
Si usa Secure Viewer,
al descifrar un archivo
ste slo se muestra en
la pantalla usando para
ello una tcnica de
enmascarado que evita
los ataques por captura
de radiofrecuencias del
teclado, TEMPEST.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 739
Opciones de atajos de PGP 6.5.1
La opcin de usar
teclas para atajos es
poco interesante pero
puede activarse si se
desea.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 740
Opciones de servidores de PGP 6.5.1

A estos servidores se
puede enviar nuestra
clave pblica para que
los usuarios accedan
ms fcilmente a ella.
Es interesante estar
sincronizado con el
servidor por el tema de
las claves revocadas.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 741
Opciones de ACs de PGP 6.5.1
Tambin
VeriSign OnSite
y Entrust

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 742
Opciones avanzadas de PGP 6.5.1

IDEA era en versiones
anteriores el algoritmo
de cifra por defecto.
El aviso sobre uso de
Additional Decryption
Key (ADK) significa
que el administrador
del sistema puede usar
una clave extra que le
permita descifrar lo
cifrado, en caso de
necesidad o por un
requerimiento judicial.
El formato compatible
es el cdigo base 64.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 743
El programa PGPtray de acceso directo

Si PGPnet est instalado, en la
barra de tareas, al lado del
candado de PGPtray, nos
aparecer un icono vertical
como se ve en la figura.
La ventana actual cifra
texto y no documentos
con formato.
Barra de tareas del PC

Jorge Rami Aguirre
El uso de portapapeles
es la solucin si no
tenemos el plugin para
correo electrnico.
Madrid (Espaa) 2003
Diapositiva 744
Barra flotante de PGPtools
PGPkeys
Freespace Wipe
Encrypt
Wipe
Sign
Decrypt/Verify
Encrypt & Sign
No es muy cmodo y resulta mejor usar

el men contextual con el botn derecho
del ratn. En este caso
sobre el archivo Kerberos_borrador.doc
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 745
Generacin de claves con PGPkeys 6.5.1
Esta es la primera pantalla que aparece una vez instalado PGP.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 746
Nombre del usuario y su correo
No es necesario que
la direccin de
correo sea la real.
No obstante sirve
para los que se
comunican con
nosotros sepan que
esa clave pertenece
a esa direccin de
email.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 747
Eleccin del tipo de clave asimtrica
Habr nuevas
sorpresas en
otras versiones
El estndar para la
generacin de las
claves asimtricas
es en la actualidad
Diffie y Hellman
junto con la Digital
Signature Standard,
y se representar
como DH/DSS.
Tambin puede usar
claves RSA que son
compatibles con las
versiones anteriores
de PGP.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 748
Eleccin de la longitud de la clave

Si genera claves de
longitud distinta a
los valores que se
proponen, puede
tardar bastante
tiempo generarlas.
Algo similar sucede
si no usa la opcin
generacin rpida
de claves.
Es recomendable
que use una clave
de 2.048 bits. Esta
se generar slo en
esta fase.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 749
Clave sin caducidad
Puede optar porque

su clave no caduque
nunca eligiendo esa
opcin.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 750
Clave con caducidad
Puede optar que la

clave caduque de
acuerdo con un
calendario que nos
muestra PGP. En el
ejemplo la clave era
vlida desde el 4 de
junio de 2000 al 4
de junio de 2001.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 751
Frase de paso para cifrar la clave privada

La frase de paso
debe tener varias
palabras para que
sea difcil un ataque
por diccionario.
Si quita la opcin
Hide Typing podr
ver lo que escribe.
No muy buena

Jorge Rami Aguirre
Madrid (Espaa) 2003
Por seguridad, no
est permitido usar
el portapapeles para
copiar la frase de
arriba en la casilla
de confirmacin.
Diapositiva 752
Generacin de los nmeros primos

PGP genera dos
primos tanto para
las claves RSA (los
valores p y q) como
para DH/DSS, en
este caso el primo p
para el intercambio
de clave y el primo
q para la firma DSS.
Normalmente tarda
pocos segundos si
se eligen los valores
estndar que nos
propone PGP.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 753
Envo de la clave al servidor de claves
Se puede enviar la
clave a un servidor.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 754
Generacin de clave concluida

Se ha concluido
satisfactoriamente la
generacin del par
de claves pblica y
privada que se
guardarn en los
anillos pubring.pkr
y secring.pkr.
La clave privada se
guarda cifrada con
una clave de sesin
que se genera al
aplicar una funcin
hash a la frase de
paso del propietario.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 755
Visualizacin de la clave de Benito
Por defecto, el propietario se firma la clave pblica con su clave privada.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 756
Exportacin de la clave pblica de Benito

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 757
Claves de dos usuarios para un ejemplo
U1
U2
Frase de paso para descifrar la clave privada de este usuario

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 758
Inclusin de fotografa en clave pblica
Se firma la fotografa
Usuario al que se
le aade una
fotografa en
propiedades.
En negrita el usuario por defecto

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 759
Las claves pblicas del ejemplo

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 760
Definir un usuario por defecto
El usuario en negrita
es aquel que se ha
definido por defecto.
En cursiva: usuario
cuya clave ha sido
revocada o bien ha
caducado su validez.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 761
Ejemplo de cifra y firma con portapapeles

El texto se escribe
con WordPad o con
el Bloc de Notas y
luego se copia al
portapapeles.
Si lo desea tambin
puede crear el texto
con la opcin Edit y
copiarlo luego al
portapapeles.
Era el usuario
por defecto
Las operaciones
(slo sobre textos)
se realizarn en el
portapapeles por lo
que en este entorno
no crear archivos.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 762
Destinatario y frase de paso para la firma

Se elige el destino y se
arrastra hacia la zona de
destinatarios. Puede ser
ms de uno y hacerlo con
doble clic. Para quitar a
un receptor se hace doble
clic sobre l.
Como se va a firmar, PGP
pedir la frase de paso del
emisor, la agente Scully.
Al trabajar con el portapapeles,

el archivo cifrado siempre
estar en formato base 64.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 763
Documento portapapeles formato base 64

Todo el texto que hay en
el portapapeles, incluido
BEGIN PGP y END PGP,
puede ahora copiarse en
el cuerpo del cliente de
correo electrnico.
Si desea enviar por el
cliente de correo un
archivo adjunto cifrado
y/o firmado, deber crear
primero ese documento
con cualquier programa
como Word, Excel, etc. y
aplicar sobre el archivo el
men contextual del
botn derecho del ratn.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 764
Descifrado del criptograma por destinatario
Introducimos la clave solicitada

para descifrar...
Aunque el usuario por defecto era

Scully, al pedir descifrar lo del
portapapeles, PGP detecta que el
receptor es el usuario Mulder.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 765
Mensaje en claro y firma comprobada

Comprobacin de la firma
Descifrado del
criptograma
Texto en claro

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 766
Otras operaciones con PGP

PGP permite hacer otras operaciones interesantes:
Dividir (split) una clave privada en varias subclaves, de
forma que para deshacer una operacin de cifra o firmar un
documento se requiere un umbral de estas subclaves dadas
por diseo. Est basado en el esquema de Blakely-Shamir.
Firmar las claves pblicas de otros usuarios con distintos
niveles de confianza.
Revocar una clave, habilitar o deshabilitar una clave.
Enviar, buscar y actualizar claves desde servidores.
Cifrar con la opcin slo para tus ojos, crear grupos, etc.
Le recomiendo que stas y otras operaciones las realice
a modo de ejercicio, instalando en su PC el programa.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 767
PGP versin 7.0.3

Es bsicamente el mismo programa de la versin 6.5.1 pero
con ligeras diferencias:
Los mayores cambios se observan en men PGP Options.
Incluye opcin de descifrado automtico muy interesante.
Incluye dos nuevos algoritmos: AES y Twofish
La creacin de claves es de forma automtica DH/DSS con
1.024 bits. Si queremos crear claves RSA, debemos entrar
obligatoriamente en la opcin experto.
Aade opciones de configuracin de VPNs.
El peor inconveniente es que su cdigo no es pblico por lo que nadie
puede asegurar que el programa haga exactamente lo que dice que hace,
por ejemplo la fortaleza de la cifra, proteccin ante ataques tempest, etc.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 768
Opciones de VPN en PGP 7.0.3

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 769
Autenticacin VPN en PGP 7.0.3

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 770
Opciones VPN avanzadas en PGP 7.0.3

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 771
Cifrado local de ficheros con PGP 7.0.3

Podemos usar el
botn derecho del
ratn sobre archivo
Leame.doc...
Elegimos la opcin cifrado convencional

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 772
Descifrado de ficheros con PGP 7.0.3
El archivo queda cifrado, con icono de

PGP y extensin pgp. Observe que el
archivo original permanece porque no
hemos activado la opcin wipe original.
Pinchando dos veces sobre el icono...
Si olvidamos la clave y usamos wipe,

nunca podremos recuperar el archivo!
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 773
Cifrado en modo SDA con PGP 7.0.3
Opcin SDA: Self

Decrypting Archive
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 774
Descifrado SDA con PGP 7.0.3
Este archivo
ejecutable se descifra
de forma automtica
en recepcin sin
necesidad de que el
usuario tenga
instalado PGP.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 775
Borrado fsico de archivos con PGP 7.0.3

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 776
PGP versin 8.0

Las operaciones sobre archivos para cifra y firma digital
siguen siendo muy similares a las versiones anteriores. La
oferta de producto, adems de la versin freeware contempla:
PGP Desktop
PGP Desktop Upgrade to Enterprise
PGP Enterprise
PGP Mobile
PGP Personal
Adems de las carpetas de instalacin, veremos algunas

de las opciones de configuracin con diferencias notables
respecto a las versiones anteriores.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 777
Carpeta e iconos de PGP versin 8.0

La versin 8.0 se instala en
la carpeta PGP Corporation
que cuelga de la carpeta de
C:/Archivos de Programa.
Incluye un nuevo
programa: PGPdisk
El programa PGPmail
es el antiguo PGPtools

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 778
Programa PGPdisk
El programa PGPdisk
permite montar una
seccin del disco como si
se tratase de una unidad
ms en su PC.
De esta forma toda la
informacin que all se
almacene estar protegida
por una clave.
Desgraciadamente esta
opcin no viene incluida
en la edicin freeware.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 779
Opciones generales de PGP 8.0

Incluye al igual que en la
versin 7.03 la opcin de
Single Sign On. Consiste
en permitir la firma
digital de documentos
durante un tiempo dado,
sin tener que introducir
en cada uno de ellos la
frase de paso para
acceder a clave privada.
Las dems opciones son
las mismas, con ligeras
modificaciones.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 780
Opciones avanzadas de PGP 8.0

El algoritmo por defecto
es el nuevo estndar
AES (Rijndael) y cambia
Blowfish por Twofish.
Incluye la opcin de usar
tarjetas inteligentes para
almacenar y gestionar
claves.
Se puede configurar un
backup automtico del
anillo de claves al cerrar
el programa.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 781
Acceso a Wipe Free Space desde PGPmail

Desde PGPtray se
accede a PGPmail

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 782
Free Space Wipe con PGP 8.0

Seleccionamos la unidad en la que
vamos a borrar archivos temporales y
el espacio libre al final del cluster de
cada archivo del disco.
Se elige el nmero de pasos que

har el programa de borrado.
Nota: es una accin que toma
bastante tiempo. En este caso
de unidad A:\ y con slo dos
archivos, tres pasadas han
significado ms de 7 minutos
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 783
Estndar PKCS
PKCS: Public-Key Cryptography Standards. Conjunto de

especificaciones tcnicas desarrolladas por Netscape, RSA y
otros desarrolladores de informtica con el objeto de
uniformizar las tcnicas de criptografa pblica
Publicacin de la primera versin 1.0 en el ao 1991.
PKCS forma parte de distintos estndares de hecho como ANSI
X9, PKIX, SET, S/MIME y SSL.
A la fecha existen 14 documentos con ttulos genricos que van
desde PKCS #1 a PKCS #15. Los puede descargar desde el
servidor http://www.rsasecurity.com/rsalabs/pkcs/.
Mantendremos los ttulos originales en su versin en ingls de
RSA Security Inc. Public-Key Cryptography Standards PCKS.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 784
Documentos del estndar PKCS (2002)
Veremos slo un
PKCS #1: RSA Cryptography Standard
breve resumen del
PKCS #2: Incluido ahora en PKCS #1
contenido del
PKCS #3: Diffie-Hellman Key Agreement Standard
estndar PKCS #1
PKCS #4: Incluido ahora en PKCS #1
PKCS #5: Password-Based Cryptography Standard
PKCS #6: Extended-Certificate Syntax Standard
PKCS #7: Cryptographic Message Syntax Standard
PKCS #8: Private-Key Information Syntax Standard
PKCS #9: Selected Attribute Types
PKCS #10: Certification Request Syntax Standard
PKCS #11: Cryptographic Token Interface Standard
PKCS #12: Personal Information Exchange Syntax Standard
PKCS #13: Elliptic Curve Cryptography Standard
PKCS #15: Cryptographic Token Information Format Standard

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 785
PCKS #1 v2.1 del 14 de Junio 2002 (1)

PKCS #1: RSA Cryptography Standard
Tipos de claves: definicin de claves pblica y privada.
Conversin de primitivas: I2OSP (Integer-to-Octet-String primitive) y
OS2IP (Octet-String-to-Integer primitive).
Primitivas criptogrficas cifra: RSAEP (RSA encryption primitive) y
RSADP (RSA decryption primitive). En este ltimo caso se especifica
la operacin tpica para n = pq y la operacin para n = r1r2r3...ru.
Primitivas criptogrficas firma: RSASP1 (RSA signature primitive 1)
especificando la operacin tpica para n = pq y la operacin en caso
de que n = r1r2r3...ru y RSAVP1 (RSA verification primitive 1).
Esquemas de cifrado: RSAES-OAEP (RSA encryption scheme usando
Optimal Asymmetric Encryption Padding). Especificacin de las
operaciones de cifrado y descifrado.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 786
PCKS #1 v2.1 del 14 de Junio 2002 (2)
Esquemas de firma con apndice: RSASSA-PSS (RSA signature

scheme with appendix - Probabilistic Signature Scheme). Define la
firma y su verificacin.
Mtodos de codificacin para asignaturas con apndices: EMSA-PSS
(Encoding Method for Signatures with Appendix - Probabilistic
Signature Scheme). Define operaciones de codificacin y verificacin.
Sintaxis ASN.1: define los identificadores de objetos ANS.1 para las
claves pblica y privada RSA, RSAES-OAEP, RSASSA-PSS, etc.
Tcnicas soportadas: algoritmos funciones hash MD2, MD5, SHA-1 y
los propuestos SHA-256, SHA-384 y SHA-512 as como funciones de
generacin de mscaras: MGF1 (Mask Generation Function 1).
La patente de RSA ha expirado en septiembre de 2000 no as el nuevo
sistema de cifra RSA con mltiples primos.
Fin del Tema 16

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 787
1. Usando la tabla correspondiente represente en base 64 los siguientes
mensajes ASCII: M1 = AMIGOS, M2 = Qu pasa?
2. Instale una versin de PGP, vaya a la carpeta del programa y luego
imprima el documento que ver en la carpeta documentation.
3. Con cualquier versin de PGP cifre de forma local y con armadura
(base 64) un archivo que haya creado con el bloc de notas y observe
los rellenos que introduce en el criptograma y al final de l. Aada
una letra al texto en claro y vuelva a comparar los textos ASC.
4. Cifre el documento TXT anterior y observe la salida ASC. Vuelva a
cifrarlo y observe la salida. Coinciden? Qu ha pasado?
5. Es posible que PGP cifre un documento y ste salga en claro?
6. Por qu siempre se comprime el mensaje antes de cifrar?
7. Qu puede decir de la gestin de claves pblicas que ofrece PGP?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 788
8. Qu tipo de esquema de cifra es el que utiliza PGP?
9. Despus de instalar PGP en nuestro computador, qu es lo primero
que nos sugiere?
10. Qu diferencia hay entre elegir una clave DH/DSS y RSA?
11. Si creamos un nuevo par de claves asimtricas, queda el nuevo
usuario como usuario por defecto?
12. Cree tres nuevos usuarios Hugo, Paco y Luis con diferentes tipos y
longitudes de clave. Haga que entre ellos se firmen sus claves.
13. Incluya en cada uno una fotografa en sus propiedades. Puede ser
cualquier archivo con formato de imagen.
14. Qu sucede si creamos que un nuevo usuario Ana con una clave
tipo DH/DSS con una longitud exacta de 4.000 bits? Podemos
crear una clave RSA de 4.000 bits?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 789
15. Revoque una clave y observe sus propiedades. Se puede recuperar
esa clave? Puede deshabilitar una clave? Qu significa esto?
16. Cree el grupo Sobrinos con los usuarios Hugo, Paco y Luis. Enve
un mensaje a ese grupo eligiendo desde PGPkeys Show Groups.
17. Cree el usuario FirmaEspecial con frase de paso UnaFirmaEspecial
en la que intervengan 4 usuarios, cada uno con una porcin igual de
la clave y umbral 3. Cifre y firme un documento con dicha clave.
Podra alguien tener ms de una participacin de la clave?
18. Mediante el botn derecho del ratn cifre de forma local un archivo
por ejemplo de Word, en modo formato compatible. Vuelva a cifrar
el archivo original con otro nombre pero ahora sin formato base 64.
Cmo son ambos criptogramas? Cmo son sus tamaos en bytes?
19. Si se cifra un archivo txt con la opcin Secure Viewer, se guarda el
archivo descifrado? Es seguro? Puede hacerse con archivo Word?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 790
20. Cree el nuevo usuario Pepillo y exporte su clave a un archivo. Borre
ahora este usuario y desde PGPkey importe ese archivo de clave
pblica. Se aade el usuario al anillo de claves pblicas?
21. Qu pasa en un cifrado local de un archivo con self decrypting?
Comprubelo con un archivo cualquiera. Podramos usar esta
opcin si adems de cifrar vamos a firmar ese documento?
22. Qu significa actualizar una clave desde PGPkeys?
23. Aada un nuevo nombre a una clave. Para qu puede servir esto?
24. Qu son el KeyID y el Fingerprint? Qu utilidad puede tener que
la huella dactilar tambin est dada como un conjunto de palabras?
25. Si una clave est revocada, puede recibir archivos cifrados con su
clave pblica? Puede firmar nuevos documentos? Puede descifrar
y/o comprobar documentos anteriores a la fecha de revocacin?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 791
Tema 17
Protocolos y Esquemas Criptogrficos
v 3.1
Material Docente de
Libre Distribucin
Jorge Rami Aguirre

Definicin de protocolo criptogrfico

Protocolo: es el conjunto de acciones
coordinadas que realizan dos o ms partes
o entidades con el objeto de llevar a cabo
un intercambio de datos o informacin. Qu es un
protocolo?
Protocolos criptogrficos sern aquellos
que cumplen esta funcin usando para ello
algoritmos y mtodos criptogrficos.
Permiten dar una solucin a distintos
problemas de la vida real, especialmente
en aquellos en donde puede existir un
Veamos 10 ejemplos
grado de desconfianza entre las partes.
Jorge Rami Aguirre
Tema 17: Protocolos y Esquemas Criptogrficos
Madrid (Espaa) 2003
Diapositiva 794
Ejemplos de protocolos criptogrficos (1)

1.- El problema de la identificacin del usuario
Cmo permitir que un usuario se identifique y autentique

ante una mquina -y viceversa- sin que sea posible la
obtencin por un tercero de la clave o password?
2.- El problema del lanzamiento de la moneda
Cmo permitir que dos usuarios realicen una prueba con

probabilidad -como es el lanzamiento de una monedasi stos no se encuentran fsicamente frente a frente y,
a la vez, asegurar que ninguno de los dos hace trampa?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 795

3.- El problema de la firma de contratos
Cmo permitir que dos o ms usuarios que se encuentran

fsicamente alejados puedan realizar la firma de un contrato,
asegurando que ninguno de ellos va a modificar las
condiciones ni negarse a ltima hora a dicha firma?
4.- El problema del descubrimiento mnimo de un secreto
Cmo poder demostrar y convencer a otra persona o

sistema que uno est en posesin de un secreto, sin por ello
tener que desvelarlo ni a ella ni a un tercero?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 796

5.- El problema del juego de pker mental o por telfono
Cmo permitir que varios usuarios puedan jugar a travs de

la red un juego de pker -o cualquier otro- si no estn
fsicamente en una misma mesa de juego y asegurando, al
mismo tiempo, que ninguno de ellos va a hacer trampa?
6.- El problema de la divisin de un secreto o del umbral
Si tenemos un secreto nico y por tanto muy vulnerable,

cmo permitir que ese secreto se divida en n partes, de
forma que juntando k partes sea posible reconstruirlo y, en
cambio, con k-1 partes imposible su reconstruccin?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 797

7.- El problema del esquema electoral o voto electrnico
Cmo realizar unas elecciones a travs de una red, de forma

que pueda asegurarse que el voto es nico y secreto, que los
votantes estn autenticados y que ese voto se contabiliza
adecuadamente en el cmputo final?
8.- El problema de la transmisin por canales subliminales
Dos usuarios desean intercambiar informacin a travs de un

tercero del cual desconfan. Cmo pueden hacerlo sin cifrar
la informacin de forma que este tercero slo vea un mensaje
con texto en claro aparentemente inocente?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 798

9.- El problema del millonario
Dos usuarios desean conocer cul de los dos tiene ms

dinero en su cuenta corriente. Cmo pueden hacerlo de
forma que, una vez terminado el protocolo, ambos sepan
quin de los dos es ms rico sin desvelar la cantidad de
dinero del otro?
10.- El problema del correo electrnico con acuse de recibo
Cmo hacer que una vez recibido un correo electrnico,

ste slo pueda ser ledo (abierto) si el receptor enva, con
anterioridad al emisor, un acuse de recibo como sucede -de
forma similar- con el correo normal certificado?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 799
Transferencia inconsciente o trascordada

Algoritmo de TI propuesto por Michael Rabin en 1981.
Un usuario A transfiere a un usuario B un dato o
secreto con un cifrado probabilstico del 50%.
El usuario B recibe el dato y tiene una probabilidad
del 50% de descubrir el secreto. Una vez que ha
recibido el dato, B sabe si ste es el secreto o no.
No obstante, el usuario A no tiene forma de saber si el
usuario B ha recibido el secreto o no.
Esta incertidumbre mutua forzar a
los protagonistas a que terminen el
protocolo sin hacer trampas.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 800
Algoritmo de TI de Rabin (1)

Paso 1
Paso 2
Paso 3
Paso 4
A elige dos primos (p y q), calcula n = pq y

enva el valor n a B.
B elige un nmero aleatorio x del CCR(n) de
forma que que mcd (x,n) = 1, y devuelve a A
el valor K = x2 mod n.
A calcula las cuatro races de x2 mod n y
enva a B una de ellas. Las races de x2 mod n
sern: x, n-x, y, n-y. Slo A puede hacerlo
porque conoce los valores de p y q.
B intenta descubrir el valor de p o q.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 801
Conclusin del algoritmo de TI de Rabin

Si B recibe x o n-x no ser capaz de encontrar p o q.
No tiene ms informacin que la que tena porque:
x y n-x son valores que conoce (B ha elegido x).
Si B recibe y o n-y, podr encontrar p o q.
En este caso, como x2 mod n = y2 mod n, entonces:
(x2 - y2) mod n = (x+y)(x-y) mod n = 0

Luego (x+y)(x-y) = kn
y se cumplir que:
p = mcd (x+y, n)
q = mcd (x-y, n)
Para entenderlo mejor ... veamos un ejemplo

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 802
Ejemplo de algoritmo de TI de Rabin (1)

A Adela tiene como nmeros secretos p y q, valores que
corresponden a la factorizacin del valor n.
B Benito conoce el valor n y deber descubrir, a partir
del protocolo de transferencia inconsciente, p o q.
Ejemplo con valores:
Sea p = 7; q = 13. Luego, n = pq = 713 = 91.
1.- A enva a B el valor n = 91.
2.- B elige al azar del CCR(91) el valor x = 15 y calcula
K = 152 mod 91 = 225 mod 91 = 43. Se lo enva a A.
3.- A recibe K = 43 y calcula las 4 races de x2 mod n.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 803
Clculo de races de la TI de Rabin

A calcula las dos races de x2 mod n = K de en p y q:
x1 = 1
x12 = K mod p = 43 mod 7 = 1
x22 = K mod q = 43 mod 13 = 4 x2 = 2
Con estos valores usa ahora el Teorema del Resto Chino
No siempre
ser tan fcil
el clculo de
estas races
como se ver
ms adelante

Jorge Rami Aguirre
Si no recuerda el Teorema del Resto

Chino, repase el archivo SItema05.
Tenamos que: x1 = 1 y x2 = 2.
Aplicando entonces la ecuacin del TRC:
Madrid (Espaa) 2003
Diapositiva 804
Aplicacin del TRC en la TI de Rabin

y1 = 6
y1 = inv (n/p, p) = inv (91/7, 7) = inv (13,7)
y2 = inv (n/q, q) = inv (91/13, 13) = inv (7,13) y2 = 2
x = [(n/p)y1x1 + (n/q)y2x2] mod n
x = (136x1 + 72x2) mod 91
Luego para todas las combinaciones xi, p y q se tiene:
{x1, x2}
{x1, q-x2}
{p-x1, x2}
{p-x1, q-x2}
[1,2]
[1,13-2] = [1,11]
[7-1,2] = [6,2]
[7-1,13-2] = [6,11]
x = 15
x = 50
x = 41
x = 76
152 mod 91 = 502 mod 91 = 412 mod 91 = 762 mod 91 = 43.

Adems se cumple que 15 + 76 = 91 = n y 50 + 41 = 91 = n.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 805
Conclusin del algoritmo de TI de Rabin

A recibir cualquiera de estos cuatro valores:15, 50, 41, 76.
Si A recibe el nmero 15 (el valor que haba enviado a B) o
bien n-15 = 91-15 = 76 (que llamaremos valores x) no tiene
ms datos que los que tena al comienzo del protocolo y no
podr factorizar n.
Si A recibe cualquiera de los otros dos valores enviados por B
(50 41) valores que llamaremos y, podr factorizar n usando
la expresin mcd (x+y, n) con x el valor elegido por A al
comienzo del protocolo, es decir 15.
Si y = 50 mcd (50+15, 91) = mcd (65, 91) = 13 q = 13
Si y = 41 mcd (41+15, 91) = mcd (56, 91) = 7
Jorge Rami Aguirre
Madrid (Espaa) 2003
p=7
Diapositiva 806
Eleccin de p y q en algoritmo de Rabin

Para facilitar el clculo de las races de x2 mod p y x2 mod q, el usuario
A elegir los valores de p y q de forma que cumplan:
El valor (p+1) sea divisible por 4.
El valor (q+1) sea divisible por 4.
Si x2 mod p = a mod p dos soluciones: x1 y (p x1)
Si x2 mod q = a mod q dos soluciones: x2 y (q x2)
Estas soluciones se obtienen aplicando el TRC, no obstante si (p+1)
es divisible por 4 entonces para este primo p si x = a(p+1)/4 se cumple:
(a(p+1)/4)2 mod p = a(p+1)/2 mod p = a(a(p-1)/2) mod p = a
Esto es vlido porque : a(p-1)/2 mod p = 1. Lo mismo sucede con q.
Luego: x1 = a(p+1)/4 mod p y x2 = a(q+1)/4 mod q
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 807
Problema lanzamiento de la moneda (1)

Algoritmo propuesto por Mario Blum en 1982.
Se trata de resolver una apuesta entre dos
personas A y B distantes entre s mediante el
lanzamiento de una moneda (cara o cruz).
Situaciones si A lanza la moneda al aire:
Caso 1
1 A lanza la moneda.
2 B hace su apuesta y se lo dice a A.
3 A le dice a B que ha salido justo lo contrario
... independientemente de lo que haya salido.
En este caso el usuario A hace trampa ...
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 808
Problema lanzamiento de la moneda (2)

Caso 2
1
2
3
4
A lanza la moneda.
B hace su apuesta y se lo dice a A.
No sale lo apostado por B y A se lo notifica.
B se desmiente y dice que esa era su apuesta.
Ahora es el usuario B quien hace trampa ...
Si A y B estn distantes y no hay un testigo de fe, cmo

puede desarrollarse el algoritmo para que ninguno de los
dos pueda hacer trampa y, si lo hace, el otro lo detecte?
Esquema de Blum
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 809
El problema de la moneda segn Blum

Soluciones al problema del lanzamiento de la moneda:
Usar el protocolo de la transferencia inconsciente de Rabin
con probabilidad del 50% ya visto, o bien...
Usar el Esquema General de Blum:
1 A partir de un conjunto de nmeros que la mitad son pares
y la otra impares y una funcin unidireccional f : xy, el
usuario A elige un valor x, calcula y = f (x) y lo enva a B.
2 El usuario B apuesta por la paridad de x.
3 A le muestra a B el verdadero valor de x y su paridad.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 810
Condiciones del esquema general de Blum

B tendr igual probabilidad de recibir un nmero
par o impar.
A deber tener una probabilidad igual (50%) de
recibir una apuesta par o impar por parte B.
Ninguno de los dos podr hacer trampa.
Bsqueda de esa funcin f?
Antes deberemos explicar qu se entiende
por restos cuadrticos y enteros de Blum
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 811
Restos cuadrticos de Blum

Buscamos una funcin unidireccional con trampa que
cumpla las caractersticas del protocolo anterior.
El valor a es un resto cuadrtico de Blum R2 mod n si:
x2 mod n = a
solucin
siendo mcd (a,n) = 1
Algn problema? S No sigue la paridad deseada.
Por ejemplo, el resto cuadrtico R2 = 4 en mod 11 se
obtiene para x = 2 (par) y x = 9 (impar) ya que:
22 mod 11 = 4 mod 11 = 4 y 92 mod 11 = 81 mod 11 = 4
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 812
Enteros de Blum
Un entero de Blum es un nmero resultado del producto de dos
primos p y q, ambos congruentes con 3 mdulo 4.
En este caso se cumplir que:
y = x2 mod n mantendr la paridad con z = y2 mod n x Zn
Ejemplo: sea n = 1119 = 209 y el valor x = 24
11 mod 4 = 3; 19 mod 4 = 3 (cumplen congruencia 3 mod 4 )
y = x2 mod n = 242 mod 209 = 576 mod 209 = 158
z = y2 mod n = 1582 mod 209 = 24.964 mod 209 = 93
Como se observa, en este caso y es par y z es impar.
Luego, para todos los restos principales de y = 158 (par) que se obtengan con
valores de x diferentes, el resto cuadrtico z2 ser siempre el valor 93 (impar).
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 813
Paridad en enteros de Blum

Es importante recalcar que:
Existir igual nmero de soluciones y (pares o
impares) que de soluciones z (pares o impares).
Esto no suceder con enteros que no sean de Blum.
Por lo tanto, esta igualdad de paridad en los valores de
los restos de z y de y, har que desde el punto de vista
del usuario B que recibe como dato el valor z o resto
R2 enviado por A, exista una equiprobabilidad.
El siguiente cuadro indica la paridad de R2 para
algunos mdulos enteros y no enteros de Blum.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 814
Ejemplo de paridad en enteros de Blum

Paridad de elementos de R2 para mdulos enteros de Blum
n
y (pares)
y (impares)
z (pares)
z (impares)
21
10
10
10
10
33
11
12
20
12
20
57
19
24
32
24
32
69
23
36
32
36
32
77
11
36
40
36
40
Observe que se obtiene igual cantidad de valores y pares que

de z pares. De la misma forma, se obtiene igual cantidad de
valores y impares que de z impares.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 815
Ejemplo de paridad en no enteros de Blum

Paridad de elementos de R2 para mdulos no enteros de Blum
n
y (pares)
y (impares)
z (pares)
z (impares)
15
35
14
20
26
39
13
22
16
16
22
En este caso no se obtienen cantidades iguales de valores y, z.

Como ejercicio, compruebe que los nmeros 21, 33, 57, 69 y 77
del ejemplo anterior son enteros de Blum y que, por el
contrario, 15, 35 y 39 no lo son.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 816
El algoritmo de Blum
1) A elige dos primos p y q de forma que n = pq es un
entero de Blum (p y q son congruentes con 3 mod 4)
2) A elige un elemento x de Zn y calcula y = x2 mod n.
Luego calcula z = y2 mod n, valor que enva a B.
3) B recibe z y apuesta por la paridad del valor y.
4) A le informa a B si ha acertado o no en su apuesta.
Le muestra tambin el valor x elegido y el valor de y.
Adems le comprueba que n es un entero de Blum.
5) B comprueba que y = x2 mod n y que z = y2 mod n.
6) A y B han actuado con una probabilidad del 50% en
los pasos 2 y 3, respectivamente.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 817
Ejemplo del algoritmo de Blum

Sean los primos p = 7 y q = 19
Luego, n = pq = 719 = 133
Comprobacin de que n = 133 es un entero de Blum:
7 mod 4 = 3; 19 mod 4 = 3
A elige el valor x = 41 y calcula:
y = x2 mod n
y = 412 mod 133 = 1.681 mod 133 = 85
z = y2 mod n
z = 852 mod 133 = 7.225 mod 133 = 43
A enva a B el valor z = 43.
B debe apostar por la paridad de y.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 818
Conclusin del ejemplo de Blum

Situacin 1 (B acierta)
Si B acierta y dice que y es impar, A no puede negarle que ha
ganado. A debe mostrarle a B los valores x e y. Adems debe
demostrarle a B que n era un entero de Blum.
Situacin 2 (B no acierta)
Si B no acierta y dice que y es par, A le dice a B que ha
perdido, le demuestra que n era un entero de Blum y le
muestra el valor x elegido as como el valor y.
Compruebe que a iguales valores de resto principal y resto cuadrtico
se llega para x = 22, x = 92 y x = 111. Es decir, si se recibe z = 43
(impar) la nica posibilidad es que el valor de y sea 85 (impar) y que
A haya elegido como valor x alguno de stos: 22, 41, 92 111.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 819
La firma de contratos
Dos personas desean firmar un
contrato sin un ministro de fe.
- Deben cumplirse dos condiciones:
Que los firmantes queden obligados a culminar la
firma slo a partir de un punto del protocolo. Esto
se conoce como compromiso de los contratantes.
Que la firma no pueda falsificarse y que, adems,
pueda ser comprobada por la otra parte.
Un posible algoritmo
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 820
Algoritmo bsico de firma de contratos (1)

1. El usuario A elige dos claves iA y jA en un sistema de clave
pblica y calcula sus claves privadas iA-1 y jA-1.
2. El usuario B elige una clave secreta KB.
3. A enva a B sus dos claves pblicas iA y jA.
4. B elige una de las dos claves recibidas y con ella cifra su
clave KB, enviando el resultado al usuario A.
5. A elige al azar una de sus dos claves privadas iA-1 y jA-1 y
descifra con dicha clave el valor recibido en el punto 4.
6. A cifra el primer bloque del mensaje de firma usando el
valor elegido en el punto 5 como clave y lo enva a B.
7. B descifrar con la clave recibida el bloque de firma.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 821

Observe que los siete pasos
anteriores corresponden
bsicamente al algoritmo de
transferencia inconsciente
entre los usuarios A y B.
Finalizacin
del protocolo
8. A repite la operacin de los pasos 5 y 6 para cada uno de

los bloques de su firma y B el paso 7.
9. Terminados los bloques de su firma, A repite el paso 6
utilizando ahora su otra clave privada y B el paso 7.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 822

Si A y B han elegido al azar la misma clave con una
probabilidad del 50% para cada uno, B descifrar un
mensaje con sentido en la primera vuelta. En caso
contrario, B recibe un texto sin sentido y deber
esperar hasta recibir el ltimo bloque de la segunda
vuelta para obtener el texto en claro.
Sin embargo, A no tiene cmo saber en cul de los dos
pasos (en la primera o la segunda vuelta) ha logrado B
descifrar el criptograma y obtener un texto con sentido
lo que fuerza a ambas partes a terminar el algoritmo.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 823
Firma de contratos: algoritmo de Even (1)

En el ao 1985 Even, Goldreinch y Lempel proponen el uso
de sistemas de cifra simtricos para la firma de contratos.
1. A elige un conjunto de 2n claves en un sistema simtrico:

C1, C2, ..., Cn, Cn+1, ..., C2n. Las claves se tomarn como
parejas, esto es (C1, Cn+1), (C2, Cn+2), ..., (Cn,C2n) aunque
no tengan ninguna relacin entre s.
2. A cifra un mensaje estndar MA conocido por B con 2n
claves EC1(MA), EC2(MA), ..., EC2n(MA) y le enva a B
ordenados los 2n criptogramas.
3. A se comprometer ms adelante a la firma del contrato
si B puede presentarle para algn i el par (Ci, Cn+i).
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 824

4. B elige tambin un conjunto de 2n claves de un sistema
simtrico: D1, D2,..., Dn, Dn+1, ..., D2n y las claves se
tomarn como parejas (D1, Dn+1), (D2, Dn+2), ..., (Dn,D2n).
B cifra un mensaje estndar MB conocido por A con las
2n claves ED1(MB), ED2(MB), ..., ED2n(MB) y enva a A 2n
criptogramas ordenados. B se comprometer a la firma en
los mismos trminos que lo hizo A en el punto anterior.
5. A enva a B cada par (Ci, Cn+i) ordenados mediante una
transferencia inconsciente; es decir enviando Ci o Cn+i
con igual probabilidad. Lo mismo hace B enviando a A
ordenadamente uno de los dos valores del par (Di, Dn+i).
En este punto A y B tienen la mitad de las claves del otro.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 825

6. Si la longitud de cada clave Ci o Di es de L bits, A y B
realizan el siguiente bucle con 1 i 2n para la clave Ci

y Di que no han usado en los pasos anteriores:
for 1 j L
begin
A enva a B el bit jsimo de todas esas claves Ci
B enva a A el bit jsimo de todas esas claves Di
end
(Esto se conoce como compromiso bit a bit)
7. Al realizar el bucle completo, A y B tienen las 2n claves
del otro y se supone firmado el contrato.
A y B pueden generar mensajes del tipo Esta es mi mitad izquierda
i de mi firma para cifrar con la clave Ci y Di y Esta es mi mitad
derecha i de mi firma para cifrar con la clave Cn+i y Dn+i
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 826
Protocolo de firma ciega

Supongamos que Adela desea que Benito le firme algo pero sin que
Benito se entere de qu es lo que est firmando. En este caso Benito
acta como un ministro de fe, autenticando a Adela.
Protocolo:
Adela pone un documento dentro de un sobre.
Adela cierra el sobre y se lo enva a Benito.
Benito firma el sobre autenticando a Adela y se lo devuelve.
Adela abre el sobre y demuestra que Benito al firmar en el sobre
cerrado tambin ha firmado el documento que estaba en su interior.
En el anterior algoritmo, si Benito necesita una comprobacin de la

identidad Adela, sta sencillamente incluye una firma digital suya en el
sobre que le permita a Benito comprobar su autenticidad.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 827
Algoritmo de firma ciega RSA (Chaum)

Adela desea que Benito le firme un documento M
Adela (A) conoce las claves pblicas de Benito (B: nB, eB)
A elige un valor k de forma que mcd (k, nB) = 1, calcula
k-1 = inv (k, nB) y luego enmascara su mensaje mediante
la siguiente operacin en nB:
y lo enva a B
tA = M keB mod nB
B firma el valor: tB = tAdB mod nB y lo enva a A
A quita la mscara haciendo s = tB inv (k, nB) mod nB
El resultado es que A tiene MdB mod nB, la firma de B.
Comprobacin:
Luego:
tB = (M keB)dB mod nB = MdB k mod nB

[MdB k inv (k, nB)] mod nB = MdB mod nB

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 828
Ejemplo de algoritmo de firma ciega

Adelaida (A) desea que Benito (B) le firme el mensaje M = 65
Claves pblicas de B: nB = 299, eB = 7
Clave privada y datos de B: pB = 13; qB = 23; (nB) = 264, dB = 151
A elige k / mcd (k, nB), por ejemplo k = 60. Luego inv (k, nB) = 5
A enmascara el mensaje: tA = M keB mod nB = 65 607 mod 299
A enva a B: tA = 65226 mod 299 = 39
B firma tA con clave privada: tB = tAeB mod nB = 39151 mod 299 = 104
A quita la mscara: s = tB inv (k, nB) = 104 5 mod 299 = 221
Este valor (221) es el mismo que se obtendra si B firmase su con
clave privada el mensaje M, es decir 65151 mod 299 = 221
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 829
Existe el correo electrnico certificado?

Cmo podemos estar seguros que un mensaje enviado por
correo electrnico ha sido abierto y su contenido conocido
slo por su destinatario autorizado?
Ser para m
ese e-mail?
Para evitar estas situaciones podemos

usar el protocolo del correo certificado
Los sistemas actuales de e-mail permiten emitir desde

el cliente de correo del receptor un acuse de recibo.
No obstante, esto slo significa que alguien en
extremo receptor desde el buzn de entrada pincha
sobre un mensaje nuevo y a la pregunta enviar acuse
recibo al emisor? pulsa Enter eligiendo la opcin S.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 830
El correo electrnico certificado

El usuario A desea enviar un mensaje electrnico
como correo certificado al usuario B.
El usuario A le descubre el mensaje (le enva la
clave) slo despus de que el usuario B le enve
el acuse de recibo correspondiente. De la misma
manera que actuamos ante un correo certificado:
nos entregan la multa
si primero firmamos.
El algoritmo ser muy similar al anterior de
firma de contratos propuesto por Even.
Veamos una implementacin del algoritmo
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 831
Un algoritmo de correo certificado (1)
A elige de forma aleatoria n+1 claves (a0, a1, a2, ... an) de un sistema
de cifra simtrico. Las claves ai no estn relacionadas.
Con la clave a0 A cifrar el documento o carta, C0 = Ea0(M) y se lo
enva a B.
Las claves (a1, a2, ... an) sern la parte izquierda de la clave KIAi.
A calcula an+i = a0ai para 1 i n, obteniendo as la parte derecha
de la clave (an+1, an+2, ... a2n) es decir KDAi.
A y B se ponen de acuerdo en un mensaje estndar de validacin, por
ejemplo V = Mensaje de Validacin.
A cifra el mensaje de validacin V con las 2n claves secretas, es decir
n claves KIAi y n claves KDAi.
Cifrado de validacin de la parte izquierda: VIAi = EKIAi(V).
Cifrado de validacin de la parte derecha: VDAi = EKDAi(V).
A enva a B los pares ordenados (VIAi, VDAi) para i = 1, 2, ... n.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 832
B genera de forma similar n parejas de claves KIBi y KDBi, 2n claves.

B genera n parejas de mensajes Acuse de Recibo de la parte i
Izquierda (RIi) y Acuse de Recibo de la parte i Derecha (RDi).
B cifra las parejas (RIi, RDi) con un sistema simtrico usando las claves
KIBi y KDBi.
B enva a A las parejas ordenadas (IBi, DBi) = [EKIBi(RIi), EKDBi(RDi)].
Mediante una trasferencia trascordada A enva a B una de las dos claves
secretas (KIA1 o KDA1) y lo mismo hace B que enva a A (KIB1 o KDB1).
Este proceso se repite hasta que se envan los n valores de claves.
B usa las claves enviadas por A en el paso anterior para comprobar que
al descifrar DKIAi(VAi) o DKDAi(VAi) obtiene el Mensaje de Validacin.
A usa las claves enviadas por B en el paso anterior para comprobar que
al descifrar DKIBi(IBi) o DKDBi(IBi) obtiene siempre RIi o RDi.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 833
No pueden hacer trampa. A y B ya tienen informacin suficiente para

demostrar ante un ministro de fe que el otro no ha seguido el protocolo.
A y B se intercambian ahora bit a bit todos los bits de las claves de
forma alterna. El primer bit de KIA1, el primer bit de KIB1, el primer bit
de KIA2, el primer bit de KIB2, ... el primer bit de KDA1, etc.
Este paso se conoce como compromiso bit a bit entre A y B.
A obtiene todas las claves de B y comprueba todos los Acuse de Recibo
pareados, la parte i Izquierda y su correspondiente parte i Derecha.
B obtiene todas las claves de A y comprueba que todos los envos de A
contienen el Mensaje de Validacin. A deber mostrar todas sus claves
a B para que B compruebe que A ha usado la funcin an+1 = a0 ai.
Como B tiene todas las claves de A calcula ahora a0 = KIAi KDAi.
Para ello cualquiera de las parejas de Acuse de Recibo son vlidas.
B descifra el criptograma Da0(C0) = M y recupera el mensaje .

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 834
El pker mental con cifra simtrica (1)

Se trata de encontrar un protocolo que permita el juego
del pker a travs de una red de computadores. Se debe asegurar un
juego limpio y sin trampas. Aunque el nmero de jugadores puede
ser cualquiera,veremos un ejemplo slo para dos jugadores.
1. A y B usan un sistema de cifra simtrica que tenga propiedades
conmutativas, usando claves KA y KB respectivamente.
2. B cifra -accin mezcla- las 52 cartas (codificadas con un nmero
aleatorio ci) con su clave secreta KB: EKB(ci) y las enva a A.
3. A elige al azar 5 valores y enva a B: EKB(cB1, cB2, cB3, cB4, cB5).
4. B recibe estos valores y los descifra con su clave secreta KB. As
obtiene: DKB[EKB(cB1, cB2, cB3, cB4, cB5)] = cB1, cB2, cB3, cB4, cB5.
Estas cinco cartas cBi corresponden a la mano de B.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 835
El pker mental con cifra simtrica (2)

5. A elige otras cinco cartas de las 47 restantes, las cifra con su
clave secreta KA y enva a B: EKA[EKB(cA1, cA2, cA3, cA4, cA5)].
6. B descifra con su clave secreta KB la cifra anterior y enva a A el
resultado: EKA(cA1, cA2, cA3, cA4, cA5).
7. A descifra lo anterior con su clave secreta KA y obtiene su mano
cAi: DKA[EKA(cA1, cA2, cA3, cA4, cA5)] = cA1, cA2, cA3, cA4, cA5.
8. Las restantes 42 cartas permanecern en poder de A que es quien
las reparte. Estas cartas siguen cifradas con la clave de B.
9. Si los jugadores desean cambiar algunas cartas, siguen el mismo
procedimiento anterior.
Como ejercicio, intente generalizar este esquema para cuatro jugadores.
Esquema con cifra asimtrica
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 836
Pker mental con cifra asimtrica RSA (1)

En este caso se usar un sistema RSA en el que el mdulo de trabajo
n ser compartido y el par de claves asimtricas de cada jugador, e y
d, sern ambas secretas. Veamos un ejemplo para 4 jugadores.
1. El jugador A que repartir las cartas, todas ellas codificadas con
un nmero aleatorio ci, las mezclar cifrndolas con su clave
pblica eA: EeA[c1, c2, c3, ... c50, c51, c52] y las enva a B.
2. B elige cinco cartas, las cifra con su clave pblica eB y devuelve
a A : EeB{EeA[cB1, cB2, cB3, cB4, cB5]}.
3. A descifra lo recibido con su clave privada dA y se lo enva a B:
EeB[cB1, cB2, cB3, cB4, cB5].
4. B descifra ahora con su clave privada dB lo recibido y se queda
con su mano cBi = cB1, cB2, cB3, cB4, cB5.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 837

5. El jugador B pasa las restantes 47 cartas al jugador C y se
repiten los pasos 2 al 4 anteriores entre C y A, usando ahora las
claves eC, dA y dC.
6. Terminado el paso 5, el jugador C tendr entonces como mano
cCi = cC1, cC2, cC3, cC4, cC5.
7. El jugador C pasa las restantes 42 cartas al jugador D y se
repiten los pasos 2 al 4 entre D y A, usando ahora las claves eD,
dA y dD.
8. Terminado el paso 7, el jugador D tendr entonces como mano
cDi = cD1, cD2, cD3, cD4, cD5.
9. El jugador D devuelve las 37 cartas que quedan y que estn
cifradas con su clave pblica: EeD{EeA[c1, c2, c3, ... c36, c37]} al
jugador A.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 838

10. El jugador A elige 5 cartas entre las 37 y devuelve al jugador
D: EeD{EeA[cA1, cA2, cA3, cA4, cA5]}.
11. El jugador D descifra con su clave privada dD lo recibido y
enva a A: EeA[cA1, cA2, cA3, cA4, cA5].
12. El jugador A descifra con su clave privada dA lo recibido y se
queda con su mano cAi = cA1, cA2, cA3, cA4, cA5.
13. Todos tienen su mano de juego. Las restantes 32 cartas quedan
en poder de A cifradas por D y A: EeD{EeA[c1, c2, ... c31, c32]}.
14. Si un jugador X desea descarte, pide las cartas a A, elige las
que desea, las cifra con su clave pblica eX y se las devuelve a
A, quien las enva a D para que descifre con su clave privada
dD. D las devuelve a A para que descifre con su clave privada
dA y A enva a X: EeX[cartas elegidas en su descarte].
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 839
El canal subliminal
Como ejemplo de canal subliminal, en un supermercado podran incluir

en la msica ambiental una informacin no audible y que slo nuestro
subconsciente sea capaz de interpretar. No se extrae de ello, este tipo
de experimentos se han probado hace muchos aos atrs.
El concepto de canal subliminal fue propuesto por Gustavus Simmons
en 1983. Se conoce tambin como el problema de los prisioneros.
Dos prisioneros cmplices de un delito son encarcelados en celdas
separadas. Si entre ellos pueden intercambiarse mensajes a travs de un
carcelero que los puede leer, cmo hacen para que esos mensajes en
principio inocentes, lleven de forma subliminal un mensaje cifrado y
que el carcelero sea incapaz de dilucidar ese secreto?
La tcnica denominada esteganografa, hoy en da de moda, realiza una
operacin similar, normalmente ocultando un texto bajo una fotografa.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 840
El problema de los prisioneros
El prisionero A genera un mensaje inocente M que desea enviar al

prisionero B a travs del guardia.
Utilizando una clave secreta K acordada con anterioridad, el prisionero
A firma el mensaje de forma que en esa firma se esconda el mensaje
subliminal.
El guardia recibe el mensaje firmado por A y como no observa nada
anormal se lo entrega al prisionero B.
El prisionero B comprueba la firma de su compaero A, autentica el
mensaje y lee la informacin subliminal en M.
Existen varios esquemas de uso del canal subliminal para proteger la

informacin, entre ellos el propio esquema de Simmons basado en la
factorizacin de un nmero grande n compuesto por tres primos p, q y r.
Habr por tanto 23 = 8 races de las cuales slo algunas se usarn como
valores vlidos y otras no. Hace uso del Teorema del Resto Chino.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 841
Transferencia con conocimiento nulo TCN

A
B
La cueva de Al Bab
Puerta de la cueva: palabra secreta

brete ssamo
Este modelo fue presentado

por J. Quisquater y L. Guillou
en Crypto 89 para explicar el
protocolo de transferencia con
conocimiento cero o nulo.
Jorge Rami Aguirre
Algoritmo:
1. Mortadelo y Filemn se acercan a la
cueva en el punto A.
2. Mortadelo se adentra en la cueva hasta
llegar al punto C o D.
3. Filemn se acerca al punto B de la cueva
y le pide a Mortadelo que salga por la
ladera derecha o izquierda, segn desee.
4. Mortadelo satisface la peticin de
Filemn y sale por la ladera que ste le
ha solicitado, usando si es menester la
palabra secreta para abrir la puerta.
5. Se repite el proceso desde el comienzo
hasta que Filemn se convence que
Mortadelo conoce la palabra secreta.
Madrid (Espaa) 2003
Diapositiva 842
Esquema de TCN de Koyama
A desea demostrar a B que conoce la clave secreta RSA de un tercer

usuario C, es decir dC. Como es lgico tambin conocer pC, qC y (nC).
Las claves pblicas de C son nC y eC que conocen tanto A como B.
A y B se ponen de acuerdo y eligen dos valores aleatorios k y m con la
condicin de que km = eC mod (nC).
Como A debe mantener en secreto el valor de (nC) le propone a B que
en cada ejecucin del algoritmo elija un nmero m primo por lo que A
calcula k = [{inv (m, (nC)}eC] mod (nC).
A propone a B un texto aleatorio M o bien A y B generan este texto
usando, por ejemplo, un algoritmo de transferencia trascordada.
Usando la clave privada dC de C, ahora A calcula C = MdC mod nC.
Luego calcula X = Ck mod nC y enva el valor X a B.
B recibe X y comprueba si Xm mod nC es igual al texto M. Si es as,
quiere decir que A ha usado dC, la clave privada de C.
Se repite el proceso las veces que haga falta hasta que B acepte que A
conoce clave privada de C.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 843
Por qu funciona el esquema de Koyama?

Por simplicidad supondremos que los datos de C no tienen subndice:
1.
2.
3.
4.
5.
6.
7.
A conoce n, e, d, p, q, (n) y el texto M; B conoce n, e y el texto M.

B elige un primo m y se lo enva enva a A.
A calcula k = [{inv (m, (n)}e] mod (n).
A calcula C = Md mod n y X = Ck mod n = Mdk mod n y enva este
valor X a B.
B recibe X y calcula Xm mod n = M(dk)m mod n = Mkmd mod n, pero
como km = e mod (n) entonces Mkmd mod n = Med mod n = M.
La nica posibilidad para que B recupere el texto M en el paso 5, es
que A haya usado en la cifra del paso 4 la clave privada d.
Si B no se convence en el primer intento, ambos repiten el algoritmo
con valores primos m distintos en cada iteracin, hasta que se cumpla
un umbral ante el que B acepte que A est en posesin de ese secreto.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 844
Ejemplo del esquema de TCN de Koyama
Supongamos que A desea demostrar a B que conoce la clave privada de

C. Los valores pblicos de C son n = 77, e = 13.
El mensaje M acordado por A y B es la palabra PADRINO con la
codificacin que se muestra a continuacin:
02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28
Supongamos que B elige como valor aleatorio m = 29.

A calcula k segn el algoritmo de Koyama y para cada valor Mi del
mensaje (P = 18, A = 2, D = 5, etc.) calcula primero C = Mid mod n y
luego X = Ck mod n = 30, 39, 31, 27, 54, 36, 68 que enva a B.
B calcula 3029 mod 77, 3929 mod 77, 3129 mod 77, 2729 mod 77, 5429
mod 77, 3629 mod 77, 6829 mod 77 y obtiene la cadena de caracteres
PADRINO.
El protocolo puede repetirse para otros valores primos m que elija B y
siempre se obtendr como resultado el mismo mensaje M.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 845
Solucin del ejemplo de TCN de Koyama

Como n = 77, es obvio que p = 7, q = 11, (n) = 60. Por lo tanto, puesto
que e = 13 entonces d = inv {e, (n)} = inv (13, 60) = 37.
M1 = 18; M2 = 2; M3 = 5; M4 = 20; M5 = 10; M6 = 15; M7 = 17.
C1 = 1837 mod 77 = 39; C2 = 237 mod 77 = 51; C3 = 537 mod 77 = 47;
C4 = 2037 mod 77 = 48; C5 = 1037 mod 77 = 10; C6 = 1537 mod 77 = 71;
C7 = 1737 mod 77 = 52.
k = [{inv (m, (n)}e] mod (n) = inv (29, 60)13 mod 60 = 17.
X1 = 3917 mod 77 = 30; X2 = 5117 mod 77 = 39; X3 = 4717 mod 77 = 31;
X4 = 4817 mod 77 = 27; X5 = 1017 mod 77 = 54; X6 = 7117 mod 77 = 36;
X7 = 5217 mod 77 = 68. Luego X = 30, 39, 31, 27, 54, 36, 68.
3029 mod 77 = 18 = P; 3929 mod 77 = 2 = A; 3129 mod 77 = 5 = D
2729 mod 77 = 20 = R; 5429 mod 77 = 10 = I; 3629 mod 77 = 15 = N
6829 mod 77 = 17 = O.
En este ejemplo el valor de n es muy pequeo y resulta muy fcil
romper la clave privada simplemente factorizando el mdulo .
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 846
El voto electrnico o por ordenador

Todos tenemos de una u otra forma una idea intuitiva,
aunque quizs no completa, sobre cmo se desarrolla un
proceso electoral.
La pregunta es si es posible realizar este tipo de eventos
desde Internet, lo que se conoce como esquema electoral.
La respuesta es s con la ayuda de tcnicas y protocolos
criptogrficos aunque no se trata slo de un problema de
implementacin tcnica; es menester tener en cuenta otros
factores importantes, a saber:
Socio-polticos, econmicos, jurdicos, legislativos...
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 847
Definicin de esquema electoral

Un esquema de votacin electrnica es una
aplicacin distribuida y constituida por un conjunto
de mecanismos criptogrficos y protocolos que, de
forma conjunta, permiten que se realicen elecciones
en una red de computadores, de forma segura,
incluso suponiendo que los electores legtimos
pueden tener un comportamiento malicioso.
Andreu Riera (Tesis Doctoral, UAB, 1999)
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 848
Requisitos de un esquema electoral (1)

Requisitos de un esquema electoral:
Slo pueden votar quienes estn censados.
El voto debe ser secreto.
El voto debe ser nico por cada votante.
Se contabilizarn todos los votos vlidos.
El recuento parcial no debe afectar a votos
que se emitan con posterioridad.
sigue
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 849
Requisitos de un esquema electoral (2)

Requisitos de un esquema electoral:
Cada votante podr comprobar que su voto
ha sido tenido en cuenta en el escrutinio.
Esto ltimo es muy importante
Y, adems:
Se debe proteger el proceso contra ataques en red.
El proceso debe ser factible, prctico y dentro de lo
posible de uso universal.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 850
Primera aproximacin del voto electrnico

MCV = Mesa Central de Votacin
El votante cifra su voto con la clave pblica de MCV.
El votante enva su voto a la MCV.
La MCV descifra el voto y lo contabiliza.
La MCV hace pblico el resultado.
Qu problemas presenta este esquema? TODOS...
La MCV no sabe de dnde vienen los votos, si stos
son vlidos o no y si alguien vota ms de una vez.
Adems puede conocer la identidad del votante por lo
que se vulnera el secreto del voto. Lo nico que aqu
se protege es el secreto del voto ante terceros.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 851
Segunda aproximacin del voto electrnico

El votante firma su voto con su clave privada y lo
cifra luego con la clave pblica de MCV.
El votante enva su voto a la MCV.
La MCV descifra el voto, lo contabiliza y hace
pblico el resultado.
Qu problema tenemos ahora?
En este nuevo esquema se satisface que cada votante
autorizado vote una sola vez, no obstante seguimos
vulnerando el secreto del voto ante la MCV.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 852
Tercera aproximacin del voto electrnico

El tercer esquema contempla dos mesas:
MCL = Mesa Central de Legitimacin
Evita que la MCV conozca a quin ha votado el
votante, mediante un protocolo entre ambas, y
adems gestionan una lista de votantes censados.
MCV y MCL deben ser rganos independientes
Veamos cmo funciona este esquema
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 853
Un protocolo de voto electrnico (1)

1. El votante A enva a la MCL el mensaje:
Buenos das, soy A y vengo a votar.
2. La MCL verifica si A est censado. Si no es
un votante legtimo rechaza la solicitud. Si es
legtimo, le enva un nmero aleatorio de
identificacin nico i(A) y le borra de la lista
para impedir que vuelva a votar.
Toda la informacin ir
cifrada y firmada
Jorge Rami Aguirre
Caractersticas
de i(A)
Madrid (Espaa) 2003
Diapositiva 854
Mucho mayor que el

nmero de votantes.
Por ejemplo, para un
milln de votantes,
unos 10100 nmeros.
Cules deben ser

las caractersticas
de este nmero
aleatorio?
I(A)
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 855

3. La MCL enva a la MCV la lista de nmeros de
validacin.
4. El votante A escoge una identificacin secreta
s(A) y enva a la MCV el mensaje formado por
el tro [i(A), v(A), s(A)] es decir:
Puede generarlo
su identificacin i(A)
internamente con su
su voto v(A)
sistema de cifra. Ser
tambin un valor de
su nmero secreto s(A)
muchos dgitos.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 856

5. La MCV verifica que el nmero i(A) de
identificacin se encuentra en el conjunto N de
los nmeros censados y cruza los datos para
evitar que se vote ms de una vez. Quita i(A) del
conjunto N y aade s(A) al conjunto de electores
que han optado por la opcin v(A).
6. La MCV contabiliza los votos y hace pblico el
resultado, junto con la lista de nmeros secretos
s(A) que han votado a la opcin v(A) ... luego
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 857

Cada elector puede comprobar si su voto ha sido
contabilizado sin hacer pblica su opcin.
Qu pasa si MCV y MCL no son independientes?
Si las dos mesas, MCV y MCL, no tienen la idoneidad
y la integridad que se presume, la solucin est en el
uso de una diversidad de esquemas ms desarrollados
que evitan esta anomala mediante protocolos, entre
ellos ANDOS (All-or-Nothing Disclosure Of Secrets)
Distribucin Annima de Nmeros de Validacin,
pero esto ya se escapa del objetivo de este libro.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 858
Otros esquemas de mesas electorales

Hay muchos otros esquemas con dos mesas, una nica
mesa e incluso ninguna, cada uno con sus caractersticas
propias. Entre ellos tenemos:
- Modelo de Cohen y Fisher (1985)
- Modelo de Fujioka y otros (1992)
- Modelo de Park y otros (1993)
- Modelo de Sako y Killian (1995)
- Modelo de Borrel y Rif (1996)
Observe que son modelos y esquemas muy recientes.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 859
Estado del arte en voto electrnico

Existen diversos modelos y esquemas, algunos de ellos
probados con xito con un nmero reducido de electores.
No est todava bien solucionado el problema de la
proteccin fsica y lgica de la red ante ataques masivos,
denegacin de servicio, etc. Es el principal problema al
que se enfrentan estos esquemas, su difcil escalabilidad
en sistemas grandes y abiertos.
No obstante, el proceso de unas elecciones va Internet
realizable, prctico y seguro en cuanto a la privacidad y
autenticidad, es completamente factible.
Fin del Tema 17
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 860
1. Qu diferencia hay entre un protocolo de red como por ejemplo
TCP/IP con un protocolo criptogrfico?
2. En una transferencia inconsciente de Rabin, A y B se intercambian
lo siguiente. A enva a B el nmero compuesto n = 55, B elige el
valor x = 9 y enva x2 mod n a A. Qu valores de los 4 que puede
devolver A a B permiten a este ltimo factorizar el cuerpo n?
3. Qu sucede si en el ejemplo anterior B elige x = 10?
4. En el ejemplo anterior, estn bien elegidos por A los valores de p y
q? Qu valores usara si p y q fuesen nmeros mayores que 10?
5. Presente una solucin al problema del lanzamiento de la moneda a
travs del esquema de transferencia inconsciente de Rabin.
6. Calcule todos los valores de x2 mod 13. Sea a = 2, 3, 4, 5, 6. Cules
son restos cuadrticos de Blum en el cuerpo n = 13?, por qu?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 861
7.
Para los restos cuadrticos encontrados en el ejercicio anterior, se

cumple la paridad en el valor de x? Qu significa esto?
8. Cules de los siguientes siete nmeros compuestos son enteros de
Blum: 69, 143, 161, 189, 319, 713, 1.333? Justifquelo?
9. Encuentre todos los restos de y, z para el entero de Blum n = 33.
10. En un protocolo con enteros de Blum, A trabaja en n = 77 y elige el
valor x = 15. Calcula y = x2 mod n y luego z = y2 mod n. Enva el
valor z a B. Cul es el escenario del protocolo y cmo trabaja?
11. Qu sucede si en el esquema anterior de Blum el usuario B conoce
el valor de los primos p y q? Funciona as el protocolo?
12. En el algoritmo de firma de contratos con claves asimtricas y una
clave simtrica, cmo puede comprobar el usuario B que A est
usando en cada vuelta una clave privada distinta y no hace trampa?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 862
13. Cmo se entiende el compromiso de firma de A y B en el esquema
de firma de contratos de Even?
14. En el esquema anterior de Even qu relacin tiene el compromiso
bit a bit con el trmino correcto del protocolo? Por qu estn A y
B obligados a terminar el protocolo hasta el ltimo bit?
15. Se desea que el usuario B le firme de forma ciega al usuario A el
mensaje M = 100. Si nB = 253, eB = 19 y el usuario A elige k = 25,
realice y compruebe el protocolo de firma ciega.
16. Para qu podra servir un protocolo como el de firma ciega?
17. Por qu decimos que el actual acuse de recibo de los clientes de
correo electrnico no corresponde a uno verdadero?
18. En el algoritmo de correo con acuse de recibo, compruebe que B
obtiene la clave de descifrado del mensaje haciendo KIAi KDAi.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 863
19. Generalice el pker mental con cifra simtrica para 4 jugadores.
20. Qu diferencia hay en cuanto a la eleccin de cartas de una mano
entre el esquema de pker mental con cifra simtrica y el esquema
con cifra asimtrica? Es esto un inconveniente o no?
21. En el esquema de Quisquater y Guillou de conocimiento nulo, si
Mortadelo y Filemn repiten el protocolo 20 veces, cul es la
probabilidad de que el primero engae al segundo?
22. Usando el software Fortaleza de la asignatura (ver Web) , repita el
ejercicio de TCN de Koyama con n = 465.256.980.233 y e = 4.171.
B elige el valor m = 131, el mensaje M es el mismo y se recibe:
X1 = 394.106.275.745; X2 = 342.981.204.125; X3 = 49.911.481.740;
X4 = 366.983.136.296; X5 = 56.903.681.682; X6 = 246.374.030.904;
X7 = 254.152.395.874. Qu valor tiene la clave privada d?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 864
Tema 18
Bibliografa, Enlaces, SW y Tablas
v 3.1
Material Docente de
Libre Distribucin
Jorge Rami Aguirre

Bibliografa recomendada en castellano (1)

Bibliografa en castellano comentada ordenada alfabticamente
Caballero, Pino
INTRODUCCIN A LA CRIPTOGRAFA. SEGUNDA EDICIN
Editorial Ra-Ma, Textos Universitarios, Madrid
Ao 2002 (133 pginas)
Libro de introduccin a las tcnicas criptogrficas que presenta estos
temas bajo una orientacin matemtica clara y precisa. Actualizacin de la
primera edicin de 1996 en la que trata los temas de criptografa terica,
criptografa de clave secreta y pblica, problemas de autenticacin y
accesos y algunas aplicaciones criptogrficas. Para un buen seguimiento
de la lectura, en algunos apartados es recomendable contar con una base
de conocimientos en matemticas a nivel universitario.
Jorge Rami Aguirre
Tema 18: Bibliografa, Enlaces, SW y Tablas
Madrid (Espaa) 2003
Diapositiva 866

Fster, Amparo; De la Gua, Dolores; Hernndez, Luis; Montoya, Fausto;
Muoz, Jaime
TCNICAS CRIPTOGRFICAS DE PROTECCIN DE DATOS.
SEGUNDA EDICIN
Editorial Ra-Ma
Detallado y actualizado resumen de las tcnicas de cifra modernas,
profundizando en los sistemas de clave secreta con cifra en flujo y en
bloque, de clave pblica y sus aplicaciones en redes. De especial inters
resulta el captulo dedicado a protocolos criptogrficos y sus apndices en
donde explica los mtodos matemticos usados en criptografa y nociones
sobre complejidad computacional. La segunda edicin incluye adems una
coleccin de problemas y sus soluciones en un disquete.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 867

Morant Ramn, J.L.; Ribagorda Garnacho, A.; Sancho Rodrguez J.
SEGURIDAD Y PROTECCIN DE LA INFORMACIN
Coleccin de Informtica, Editorial Centro de Estudios Ramn Areces,
S.A., Madrid
Libro que trata, adems de los temas genricos de la criptografa clsica y
moderna, aspectos de seguridad en sistemas operativos, en bases de datos
y en redes de computadores. Buen texto descriptivo que profundiza en
ciertos aspectos matemticos y hace un buen estudio de la gestin de
claves. Tiene adems como caracterstica ser el primer libro con formato
universitario sobre criptografa y seguridad informtica en Espaa, y
seguramente de lengua espaola.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 868

Pastor, Jos; Sarasa, Miguel Angel
CRIPTOGRAFA DIGITAL. FUNDAMENTOS Y APLICACIONES
Prensas Universitarias de Zaragoza
Extenso y completo texto sobre tcnicas criptogrficas modernas, con una
buena cantidad de ejemplos y profusin de tablas con datos de inters.
Destacan los captulos de cifra con clave secreta, en donde se estudian
ms de una docena de criptosistemas, los de clave pblica y su aplicacin
en firmas digitales y un captulo dedicado a protocolos criptogrficos. En
particular, estn muy bien tratados los apndices con temas matemticos
as como los algoritmos de factorizacin y del logaritmo discreto, algo no
muy comn y que se agradece. Para el buen seguimiento es necesario
contar con una buena base matemtica.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 869

Singh, Simon (traduccin de Jos Ignacio Moraza)
LOS CDIGOS SECRETOS
Editorial Debate S.A.
Interesante y completo libro de Simon Singh editado en 1999 en el que se
hace un repaso extenso de la criptografa denominada clsica, mquinas y
artilugios de cifra, mquina Enigma, etc., desde una perspectiva un tanto
novelesca que, sin desmerecer en absoluto la calidad tcnica del mismo, lo
convierte en un excelente libro de lectura. Encontrar en l una interesante
presentacin de los sistemas de cifra asimtrica, la historia inmersa en la
bsqueda de la criptografa de clave pblica y el intercambio de clave,
para terminar con PGP y un captulo dedicado a la criptografa cuntica.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 870
Bibliografa recomendada en ingls (1)

Bibliografa en ingls comentada ordenada alfabticamente
Denning, Dorothy
CRYPTOGRAPHY AND DATA SECURITY
Addison-Wesley Publishing Company, London
Libro clsico de criptografa, si bien antiguo en comparacin con la
bibliografa actual. Trata los algoritmos y tcnicas criptogrficas clsicas y
modernas, control de accesos y de flujo. Tiene un buen nmero de
ejemplos resueltos y ejercicios propuestos aunque sin sus soluciones. De
especial inters son algunos algoritmos desarrollados en PASCAL. Es, no
obstante, un referente bsico de acuerdo a su fecha de edicin.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 871

Menezes, Alfred; Oorsschof, Paul; Vanstone, Scott
HANDBOOK OF APPLIED CRYPTOGRAPHY
CRC Press Inc.
Interesante y completo libro dedicado al estudio de los algoritmos con una
visin matemtica de alto nivel. Sus captulos estn orientados a bases
matemticas para la criptografa, sistemas de claves secretas y pblicas,
cifradores de flujo y de bloque, hash, autenticacin, firma digital y gestin
de claves. Obra imprescindible para el estudiante universitario que desea
profundizar en el anlisis de los algoritmos, si bien el seguimiento del
mismo puede resultar algo complejo por el nivel matemtico comentado.
Le recomiendo que descargue el libro de forma gratuita desde la pgina
Web de su autor http://www.cacr.math.uwaterloo.ca/hac/.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 872

Pflegger P., Charles
SECURITY IN COMPUTING
Prentice-Hall International Editions, London
Texto de consulta general sobre seguridad informtica que trata los
criptosistemas y adems estudia la seguridad en los programas, en
informtica personal, en las comunicaciones, anlisis de riesgos, as como
los aspectos legales y ticos de esta especialidad. Incluye varios ejercicios
propuestos sin incluir sus soluciones. Debido a la fecha de edicin, no
profundiza en aspectos de cifra asimtrica y algoritmos actuales.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 873

Salomaa, Arto
PUBLIC-KEY CRYPTOGRAPHY. SECOND EDITION
EATCS Monographics on Theoretical Computer Science
W. Brauer, G. Rozenberg, A. Salomaa (Eds.), Springer-Verlag, New York
Interesante y ameno, profundiza en los criptosistemas de clave pblica y
protocolos criptogrficos en esta segunda edicin. En algunos captulos es
necesario contar con una base matemtica de nivel universitario para una
mejor comprensin. No obstante, su lectura es muy agradable y presenta
algunos ejemplos resueltos. Incluye un amplio estudio de los sistemas de
mochilas, su implementacin, debilidades, tipos de ataques, etc.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 874

Schneier, Bruce
APPLIED CRYPTOGRAPHY: PROTOCOLS, ALGORITHMS, AND
SOURCE CODE IN C. SECOND EDITION
John Wiley & Sons, Inc., New York
Segunda edicin del libro con mismo ttulo, con mayor nfasis en los
algoritmos de cifra, protocolos, firmas, etc., especialmente en los sistemas
con clave privada y pblica. El texto de Schneier resulta fundamental para
los estudiantes universitarios de asignaturas de criptografa. Incluye una
bibliografa es muy completa, hay profusin de tablas y estudia una
infinidad de criptosistemas, adjuntando el cdigo fuente en C de muchos
de los algoritmos estudiados. Se echa en falta, no obstante, que no tenga
algunos ejemplos resueltos en cada captulo.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 875

Seberry, Jennifer; Pieprzyk, Josef
CRYPTOGRAPHY. AN INTRODUCTION TO COMPUTER
SECURITY
Prentice-Hall, New York
Adems de los temas propios de criptografa clsica y moderna, incluye
un captulo de introduccin a la aritmtica modular bien estructurado.
Trata tambin la seguridad informtica en bases de datos, en sistemas
operativos y en redes. Como lector se agradece en especial la gran
cantidad de ejercicios propuestos y resueltos en cada captulo, incluyendo
el cdigo en PASCAL.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 876

Stallings, William
CRYPTOGRAPHY AND NETWORK SECURITY. PRINCIPLES AND
PRACTICE. THIRD EDITION
Prentice-Hall Inc.
Con 130 pginas ms que la segunda edicin de mismo ttulo (1999), el
texto est estructurado de una forma ptima que permite una agradable
lectura. Adems de cifra simtrica y asimtrica, algoritmos, firmas, hash,
autenticacin y seguridad en redes, esta edicin se centra en la seguridad
en Internet, profundizando en temas como correo seguro, protocolos de
redes, IP seguro, seguridad en Web, intrusiones, cortafuegos, etc. Incluye
algunos ejemplos y ejercicios. Es para muchos probablemente el mejor
libro de criptografa y seguridad informtica en estos momentos.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 877
Bibliografa de consulta y de inters (1)

Bibliografa interesante ordenada alfabticamente por nombre del autor
Amoroso, Edward. Fundamental of Computer Security Technology.
Prentice Hall, 1994.
Anderson, Ross. Security Engineering. John Wiley & Sons, 2001.
Bauer, Friedrich. Decrypted Secrets. Methods and Maxims of
Cryptology. Springer-Verlag, 1997.
Brassars, Gilles. Cryptologie Contemporaine. Edit. Masson, Paris,
1993.
Braun, Christoph. Unix System Security Essentials. Addison-Wesley,
1994.
Buck, Edward. Introduction to Data Security & Controls. QED
Technical Publishing Group, 1991.
Contreras, J.M.; Gonzlez, M.; Chamorro, R. Correo Electrnico en
Internet. Paraninfo, 1997.
Cobb, Sthephen. Manual de Seguridad para PC y Redes Locales.
McGraw-Hill, 1994.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 878

Chapman, Brent; Zwicky, Elizabeth. Construya Firewalls para Internet.
McGraw-Hill, 1997.
Cheswick, William; Bellovin, Steven. Firewalls and Internet Security.
Addison-Wesley, 1994.
De Marcelo, Jess. Virus de Sistemas Informticos e Internet. Ra-Ma,
2000.
Deavours, C.; Khan, D.; Kruh, L.; Mellen, G. Winkel, B. Cryptology:
Machines, History & Methods. Artech House, 1989.
Del Peso Navarro, Emilio; Ramos Gonzlez, Miguel Angel.
Confidencialidad y Seguridad de la Informacin: La LORTAD y sus
implicaciones socioeconmicas. Daz de Santos, 1994.
Diffie, Whitfield; Landau, Susan. Privacy on the Line. The Politics of
Wiretapping and Encryption. MIT Press, 1998.
Farley, Marc; Stearns, Tom; Hsu, Jeffrey. Seguridad e Integridad de los
Datos. McGraw-Hill, 1998.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 879

Feghhi, Jalal; Feghhi, Jalil; Williams, Peter. Digital Certificates.
Applied Internet Security. Addison-Wesley, 1998.
Fisher, Royal. Seguridad en los Sistemas Informticos. Ediciones Daz
de Santos, 1988.
Ford, Warmick. Computer Communications Security. Principles,
Standards Protocols and Techniques. Prentice Hall, 1994.
Hunter, John. An Information Security Handbook. Springer, 2001.
Garfinkel, Simson; Spafford, Gene. Seguridad Prctica en Unix e
Internet. McGraw-Hill, 1999.
Giblin, Peter. Primes and Programming. An Introduction to Number
Theory with Computing. Cambridge University Press, 1994.
Golomb, Solomon. Shift Register Sequences. Aegean Park Press, 1982.
Gollman, Dieter. Computer Securiry. John Wiley & Sons, 1999.
Graff, Jon. Cryptography and E-Commerce. John Wiley & Sons, 2001.
Jaworski, Jamie; Perrone, Paul. Seguridad en Java. Prentice-Hall, 2001.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 880

Klander, Lars. Hacker Proof. The Ultimate Guide to Network Security.
Gulf Publishing Company, 1997. A Prueba de Hackers. Anaya, 1998.
Knudsen, Jonathan. Java Cryptography. OReilly, 1998.
Konheim, Alan G. Cryptography: A Primer. John Wiley & Sons, 1981.
Loshin, Pete. Big Book of IPSec RFCs. Internet Security Architecture.
Morgan Kaufmann, 2000.
Madron, Thomas W. Network Security in the '90s. Issues and Solutions
for Managers. John-Wiley & Sons, Inc., 1992.
Menezes, Alfred. Elliptic Curve Public Key Cryptosystems. Kluwer
Academic Publishers, Fourth Printing, 1997.
Meyer, C.; Matyas, S. Cryptography: A New Dimension in Computer
Data Security. John Wiley & Sons, 1982.
New Riders (varios autores). Implementing Internet Security. New
Riders Publishing NRP, 1995.
Khan, David. The Codebreakers. The Story of Secret Writing.
Macmillan Publishing Company, New York, 1967.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 881

Northcutt, Stephen; Novak, Judy. Deteccin de Intrusos. Segunda
Edicin. Gua Avanzada. Prentice Hall, 2001.
Oppliger, Rof. Sistemas de Autentificacin para Seguridad en Redes.
Ra-Ma, 1998.
Piattini, Mario, Del Peso, Emilio. Auditora Informtica. Un Enfoque
Prctico. Ra-ma, 1998.
Poe, Edgar Allan. El Escarabajo de Oro. Anaya Tus Libros, 1995.
Ribagorda, Arturo. Glosario de Trminos de Seguridad de las T.I.
Ediciones CODA, 1997.
Ribenboim, Paulo. The Little Book of Big Primes. Springer-Verlag,
1991.
Rodrguez Prieto, A. Proteccin de la Informacin. Paraninfo, 1986.
Rueppel, Rainer A. Analysis and Design of Stream Ciphers. SpringerVerlag, 1986.
Russell, Deborah; Gangemi Sr., G.T. Computer Security Basics.
O'Reilly & Associates, Inc., 1991.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 882

Schneier, Bruce. E-Mail Security. How to Keep your Electronic
Messages Private. John-Wileys & Sons, Inc., 1995.
Sgarro, A. Cdigos Secretos. Pirmide, 1989.
Smith, Richard E. Internet Cryptography. Addison-Wesley, 1997.
Stallings, William. Network Security Essential. Aplications and
Standards. Prentice Hall, 2000.
Stallings, William. Protect Your Privacy. A Guide for PGO Users.
Prentice Hall, 1995.
Stein, Lincoln D. Web Security. A Step-by-Step Reference Guide.
Addison-Wesley, 1998.
Tena, Juan. Codificacin de la Informacin . Universidad de
Valladolid, 1997.
Thomas, Stephen. SSL and TLS Essentials. John Wiley & Sons, 2000.
Tung, Brian. Kerberos. A Network Authentication System, AddisonWesley, 1999.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 883

Van Tilborg, H.C.A. An Introduction to Cryptology. Kluwer Academic
Publishers, 1988.
Wadlow, Thomas. The Pricess of Network Security. Addison-Wesley,
2000.
White, Gregory, Fisch, Eric, Pooch, Udo. Computer System and
Network Security. CRC Press Inc., 1996.
Zimmermann, Philip R. The Official PGP User's Guide. MIT Press,
1995.
En los ltimos dos o tres aos, la bibliografa relacionada con la
criptografa y seguridad informtica ha aumentado de una forma
espectacular. La bibliografa presentada en este captulo como
de consulta est actualizada slo hasta finales del ao 2001. Hoy
cada mes aparecen tres o cuatro libros sobre esta temtica en
el mercado. No obstante, los libros que se han recomendado y
comentado s son actuales y permiten estar al da en este tema.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 884
Enlaces de inters en Internet (1)

Los enlaces que puede encontrar en Internet sobre temas de seguridad
informtica son muchos. Por ejemplo, una consulta al buscador Google
por criptografa entrega 45.000 enlaces; sobre computer security
417.000; por cryptography 937.000; por hackers ms de 4 millones,
etc. En estas tres diapositivas pondremos slo unos cuantos enlaces que
se recomiendan al lector, en los que encontrar informacin interesante.
RedIRIS
http://www.rediris.es/
CSIC Dpto. de Tratamiento de la Informacin
http://www.iec.csic.es/
Criptonomicn
http://www.iec.csic.es/criptonomicon/
Hispasec
http://www.hispasec.com/
VirusProt
http://www.virusprot.com/
Kriptpolis
http://www.kriptopolis.com/
Jorge Rami Aguirre
CriptoRed
http://www.criptored.upm.es/
Revista SIC
http://www.revistasic.com/
Organizacin ISACA
http://www.isaca.org/
Computer Security Resource Center del NIST
http://csrc.nist.gov/
CERT de Carnegie Mellon
http://www.cert.org/
National Security Agency
http://www.nsa.gov/
Madrid (Espaa) 2003
Diapositiva 885

Pgina Web de Alfred Menezes
http://www.cacr.math.uwaterloo.ca/~ajmeneze/
Pgina Web de Bruce Schneier
http://www.counterpane.com/schneier.html
Pgina Web del libro de William Stallings
http://williamstallings.com/Crypto3e.html
Pgina Web de Solomon Golomb
http://csi.usc.edu/faculty/golomb.html
Pgina Web de Vincent Rijmen: Rijndael
http://www.esat.kuleuven.ac.be/~rijmen/rijndael/
Pgina Web de Philip Zimmermann
http://www.philzimmermann.com/
Crypto++ Library
http://www.eskimo.com/~weidai/cryptlib.html
Conceptos sobre voto electrnico
http://oasis.dit.upm.es/~jantonio/documentos/votoelectronico/article.html
Esteganografa
http://www.stegoarchive.com/
Software libre de esteganografa
http://members.tripod.com/steganography/stego/so
ftware.html
Jorge Rami Aguirre
Pgina de criptografa visual de Doug Stinson

http://www.cacr.math.uwaterloo.ca/~dstinson/vis
ual.html
Quantum Cryptography Tutorial
http://www.cs.dartmouth.edu/~jford/crypto.html
PGP internacional
http://www.pgpi.org/
Computer Security Information
http://www.alw.nih.gov/Security/security.html
Cryptographic Compendium de John Savard
http://home.ecn.ab.ca/~jsavard/crypto/entry.htm
PKCS standards: RSA Security Corporation
http://www.rsasecurity.com/rsalabs/pkcs/
The Prime Pages
http://www.utm.edu/research/primes/
Polinomios primitivos
http://mathworld.wolfran.com/primitivepolynomi
al.html
SW para generacin de polinomios primitivos
http://www.theory.csc.uvic.ca/~cos/gen/poly.html
Cryptome: documentos sobre criptografa
http://cryptome.org/
Madrid (Espaa) 2003
Diapositiva 886

Delitos Informticos y Leyes
http://www.delitosinformaticos.com/
Electronic Frontier Foundation EFF
http://www.eff.org/
Leyes, LOPD, 17799, etc. CSI MAP - Espaa
http://www.map.es/csi/fr600001.htm#5
SSH Cryptography A-Z
http://www.ssh.com/support/cryptography/
Linux Security
http://www.linuxsecurity.com/
Ley Orgnica de Proteccin de Datos LOPD
http://www.igsap.map.es/cia/dispo/lo15-99.htm
The Internet Engineering Task Force
http://www.ietf.org/
FIPS Federal Inf. Process. Standards Publications
http://www.itl.nist.gov/fipspubs/
RFC Editor Homepage
http://www.rfc-editor.org/
Open SSL
http://www.openssl.org/
ANSI American National Standards Institute
http://www.ansi.org/
Jorge Rami Aguirre
ETSI. Poltica y normas de seguridad Europa

http://www.etsi.org/technicalfocus/home.htm
Cryptography and Inform. Security Group MIT
http://theory.lcs.mit.edu/~cis/
Computer Forensics Laboratory
http://www.dcfl.gov/index.shtml
VeriSign
http://www.verisign.com/
The Hacker Quarterly
http://www.2600.com/
Web spoofing. Universidad de Princeton
http://www.cs.princeton.edu/sip/pub/spoofing.h
tml
Apache Software Foundation
http://www.apache.org/
GNU Software de seguridad
http://www.gnu.org/directory/security/
Netscape Security
http://wp.netscape.com/security/
Windows Security
http://www.microsoft.com/security/
Madrid (Espaa) 2003
Diapositiva 887
Software libro electrnico de cifra clsica
Autor: Ana Mara Camacho Hernndez (1998).
Enlace: http://www.criptored.upm.es/paginas/software.htm#propio.
Libro electrnico realizado con ToolBook que hace un repaso a los temas
principales de la criptografa clsica, incluyendo fotografas de mquinas de
cifrar as como de los algoritmos ms caractersticos para la realizacin de
prcticas sencillas en un entorno Windows. Cuenta con cinco secciones:
Seccin 0: Historia de la criptografa. Principios de las tcnicas criptogrficas.

Presentacin de los algoritmos esctala, de Polybios y del Csar.
Seccin 1: Mquinas de cifrar. Rueda de Jefferson, discos de Alberti y

Wheatstone, cifrador de Vernam, mquinas Enigma, M-325 y Hagelin.
Seccin 2: Cifrados por sustitucin. Monoalfabtica, polialfabtica, cifra de

Vigenre, de Beaufort, por homofonas, de Beale, de Playfair y de Hill.
Seccin 3: Cifrados por transposicin. Cifra por grupos, series, columnas y filas.
Seccin 4: Algoritmos. Estn implementados en la misma aplicacin todos los

algoritmos de cifrado y descifrado por sustitucin y transposicin para poder
ejercitarse con ejemplos de textos introducidos por teclado.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 888
Software CriptoClsicos
Autor: Luis Miguel Motrel Berjano (1999).
Aplicacin para prcticas de sistemas de cifra clsicos que incluye algoritmos

de cifra monoalfabtica por sustitucin y por transposicin, cifra polialfabtica
con los cifradores de Vigenre, de Beaufort y de clave continua.
Permite, adems de cifrar y descifrar, realizar ataques por criptoanlisis a los

sistemas anteriores mediante el uso de tcnicas de estadsticas del lenguaje.
Incluye adems el cifrador de Vernam, el cifrador de Playfair, el cifrador de Hill

digrmico y cifrado por transposiciones.
Todas las operaciones de cifra pueden realizarse con los alfabetos castellano
mdulo 27 (letras maysculas), castellano mdulo 37 (letras y dgitos) e ingls
mdulo 26 y mdulo 36.
Incluye un apartado con herramientas caractersticas de trabajo dentro de un

cuerpo finito y estadsticas bsicas del lenguaje. Las operaciones estn
limitadas a cuerpos menores que 65.536.
Ayuda en formato Windows estndar y contextual mediante la tecla F1.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 889
Software cifrador de Hill
Autor: M Carmen Cogolludo Alcarazo (2001).
Aplicacin para prcticas de laboratorio con el cifrador poligrmico de Hill.
Permite cifrar y descifrar archivos txt con una matriz clave de tamao 2x2 hasta
10x10 dentro de los siguientes cuerpos: alfabeto castellano con letras en
maysculas (mod 27), alfabeto incluyendo adems los dgitos (mod 37) y por
ltimo un subconjunto de caracteres ASCII imprimibles (mod 191). En este
ltimo caso, la salida puede guardarse como un archivo en formato base 64.
Las matrices clave pueden guardarse como un archivo.
Permite adems realizar ataques por criptoanlisis segn el mtodo de GaussJordan. Una vez criptoanalizada la matriz clave, entrega un seguimiento de las
ecuaciones que han permitido romper el sistema.
El programa incluye una herramienta para el clculo del determinante de una

matriz, la matriz inversa y el nmero de matrices vlidas dentro de un cuerpo.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 890
Software cifrador de mochilas M-H
Autor: Juan Carlos Rodrguez Castellano (1997).
Software para prcticas de cifrado y descifrado del sistema de cifra con mochila
de Merkle - Hellman realizado en Delphi.
Se ha incluido una librera para trabajar con nmeros grandes: decenas o

centenas de dgitos, y herramientas bsicas de trabajo dentro de un cuerpo.
Permite el diseo de mochilas del tamao y datos que desee el usuario, con
tamao recomendable M-H o bien mochilas con un tamao proporcional al
modelo recomendado por Merkle y Hellman.
Una vez creada una mochila, el programa incluye la opcin de criptoanlisis de

la msima segn el mtodo de Shamir y Zippel, indicando luego de romper la
mochila clave los valores analizados hasta lograr su objetivo

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 891
Software: CripMod sistemas modernos
Autores: Jos Alberto Charfol Sancho y D. Abel Gregorio Palomino (1997).
Software para prcticas de sistemas de cifra modernos de clave privada y

pblica realizado en Delphi y con entorno de ayuda en castellano e ingls.
Incluye cifrado y descifrado con DES, Data Encryption Standard, en todos sus
modos de cifra, adems de Triple DES.
La generacin de claves puede ser por parte del usuario o bien la genera el
programa. Detecta claves dbiles y semidbiles.
Incluye una aplicacin de cifra y firma RSA y ElGamal, limitados a cuerpos de

tamao menor que 65.536.
Incluye un sistema bsico de cifra con curvas elpticas.
Cuenta con un apartado dedicado a herramientas tpicas de trabajo dentro de

un cuerpo: primalidad, mximo comn divisor, inversos, indicador de Euler.
Presentacin de entradas y resultados en ASCII y hexadecimal.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 892
Software: Fortaleza de cifrados
Autor: Cristina Chrcoles Larriba (1999).
Software de prcticas realizado en Visual Basic que permite realizar y simular

las operaciones dentro de un cuerpo ms caractersticas en sistemas de cifra
exponencial como son RSA y ElGamal: operaciones bsicas de suma, resta,
multiplicacin y divisin, con o sin mdulo, raz, mximo comn divisor, clculo
de inversos, potencia y primalidad.
Usa una librera de nmeros grandes: decenas hasta centenas de dgitos.
Incluye un mdulo de factorizacin de nmeros compuestos por dos primos

mediante los mtodos de Pollard Rho, Dixon y Fraccciones Continuas. Adems
se muestra una lista de primos para poder trabajar con ellos, un conjunto de
ejemplos y una tabla de primos titnicos.
Incluye un mdulo de clculo del logaritmo discreto mediante los mtodos de

Bsqueda Exhaustiva, Paso Gigante - Paso Enano y Pohlig - Hellman. Adems
presenta un conjunto de ejemplos.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 893
Software: CriptoRES funciones hash
Autor: Jos Azaa Alonso (2001).
Software para el estudio y seguimiento de las funciones hash ms conocidas

usadas en la compresin del documento para la firma digital y tambin en otras
aplicaciones de autenticacin como los certificados digitales.
Tanto para MD5 como para SHA-1, la aplicacin obtiene los resmenes de
documentos de archivos o texto introducido por teclado.
Permite hacer un seguimiento del algoritmo de resumen, a nivel de bloques

mostrando todas las operaciones en hexadecimal o bien siguiendo los pasos de
las operaciones en bajo nivel. Como en este ltimo caso la informacin
mostrada est en bits, por su gran extensin muestra slo el primer bloque de
resumen que es precisamente donde se incluyen los rellenos para congruencia
con el tamao del bloque de 512 bits.
Incluye una representacin grfica de la ecuacin matemtica del problema del

ataque por la paradoja del cumpleaos.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 894
Software: CryptoIDEA
Autor: Esther Snchez Mellado (1999).
Software de prcticas realizado en Delphi que permite cifrar y descifrar con el

algoritmo IDEA as como realizar un seguimiento del proceso y la generacin
de claves directas e inversas de cifra.
Muestra adems los ficheros en nmeros enteros y en binario.
Incluye un sistema de gestin de bases de datos tipo Paradox 5.0 para el

mantenimiento (creacin, modificacin, borrado, etc.) de claves.
La generacin de claves se hace a partir de un texto o clave ASCII.
Incluye un apartado de herramientas para clculos tpicos dentro de un cuerpo,

en especial mod 65.536 y mod 65.537, valores usados en IDEA. Adems el
clculo del mximo comn divisor, inversos y conversiones de carcter a ASCII,
de entero a binario y de binario a entero.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 895
Otro software que se usa en la asignatura
El en proyecto de desarrollo de software de prcticas para la asignatura de

Seguridad Informtica, hay otros programas que se estn llevando a cabo y que
en los siguientes meses se pondrn en el servidor Web ya comentado, entre
ellos:
Laboratorio de cifra RSA que permite comprobar las debilidades asociadas a

este tipo de cifra: claves parejas, mensajes no cifrables, ataque cclico, etc.
Laboratorio de ataque al DES. Adems de cifrado y descifrado con claves en

ASCII o hexadecimal, muestra la debilidad de las claves del DES ante un
ataque monousuario, distribuido simulado o distribuido a travs de la red.
Simulacin de las operaciones de autenticacin de Kerberos en una aplicacin

de tipo Windows para prcticas.
Laboratorio de seguimiento del algoritmo Rijndael.
Etc.
Otros programas ya desarrollados y que se usan de forma interna, no se han

hecho pblicos al no cumplir alguna condicin bsica para su libre distribucin
como puede ser el tamao de la aplicacin, su funcionalidad, etc.

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 896
Tabla de frecuencia de monogramas

A 7,49
B 1,29
C 3,54
D 3,62
E 14,00
F 2,18
G 1,74
H 4,22
I
6,65
J 0,27
K 0,47
L 3,57
M 3,39
N 6,74
A 10,60
B 1,16
C 4,85
D 5,87
E 13,11
F 1,13
G 1,40
H 0,60
I
7,16
J 0,25
K 0,11
L 4,42
M 3,11
N 7,14
A 9,83
B 0,86
C 4,15
D 4,04
E 11,41
F 0,81
G 0,85
H 0,57
I
6,04
J 0,17
K 0,00
L 4,34
M 2,42
N 6,03
O
P
Q
R
S
T
U
V
W
X
Y
Z
-,-7,37
2,43
0,26
6,14
6,95
9,85
3,00
1,16
1,69
0,28
1,64
0,04
O
P
Q
R
S
T
U
V
W
X
Y
Z
0,10
8,23 O
2,71 P
0,74 Q
6,95 R
8,47 S
5,40 T
4,34 U
0,82 V
0,12 W
0,15 X
0,79 Y
0,26 Z
Blanco
0,07
7,75
2,41
0,73
5,26
7,13
3,62
3,24
0,69
0,00
0,18
0,63
0,29
6,33
Valores de frecuencia en tanto por ciento en archivos de 50.000 caracteres.

Columnas: 1 Ingls (mod 26); 2 Castellano (mod 27); 3 Castellano (mod 28)
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 897
Monogramas ms frecuentes mod 27

E 13,11
A 10,60
S 8,47
O 8,23
I
7,16
N 7,14
R 6,95
D 5.87
T 5,40
Frecuencia alta
C
L
U
M
P
G
B
F
V
4,85
4,42
4,34
3,11
2,71
1,40
1,16
1,13
0,82
Frecuencia media
Y
Q
H
Z
J
X
W
K
0,79
0,74
0,60
0,26
0,25
0,15
0,12
0,11
0,10
Frecuencia baja
Con los 9 caracteres ms frecuentes podemos formar la palabra ESTIRANDO

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 898
Alfabeto castellano y sus inversos mod 27

00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
Alfabeto y tabla mdulo 27

a
inv (a,27)
inv (a,27)
inv (a,27)
14
11
17
10
19
11
13
25
14
16
22
17
19
10
20
23
22
16
23
20
25
13
26
26

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 899
Alfabeto castellano y sus inversos mod 37

00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
Alfabeto y tabla mdulo 37
0 1 2 3 4 5 6 7 8 9
27 28 29 30 31 32 33 34 35 36
a inv (a,37) a inv (a,37) a inv (a,37) a inv (a,37) a inv (a,37) a inv (a,37)
1
7
13
19
25
31
1
16
20
2
3
6
2
8
14
20
26
32
19
14
8
13
10
22

Jorge Rami Aguirre
3
9
15
21
27
33
25
33
5
30
11
9
4
10
16
22
28
34
28
26
7
32
4
12
5
11
17
23
29
35
15
27
24
29
23
18
Madrid (Espaa) 2003
6
12
18
24
30
36
31
34
35
17
21
36
Diapositiva 900
Tabla de Vigenre
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
A
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
A
B
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
A
B
C
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
A
B
C
D
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
A
B
C
D
E
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
A
B
C
D
E
F
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
A
B
C
D
E
F
G
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
A
B
C
D
E
F
G
H
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
A
B
C
D
E
F
G
H
I
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
A
B
C
D
E
F
G
H
I
J
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
A
B
C
D
E
F
G
H
I
J
K
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
A
B
C
D
E
F
G
H
I
J
K
L
O
P
Q
R
S
T
U
V
W
X
Y
Z
A
B
C
D
E
F
G
H
I
J
K
L
M
O
P
Q
R
S
T
U
V
W
X
Y
Z
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
A
B
C
D
E
F
G
H
I
J
K
L
M
N
P
Q
R
S
T
U
V
W
X
Y
Z
A
B
C
D
E
F
G
H
I
J
K
L
M
N
Q
R
S
T
U
V
W
X
Y
Z
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
R
S
T
U
V
W
X
Y
Z
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
S
T
U
V
W
X
Y
Z
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
T
U
V
W
X
Y
Z
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
U
V
W
X
Y
Z
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
V
W
X
Y
Z
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
W
X
Y
Z
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
X
Y
Z
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
Y
Z
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Z
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 901
Cdigo Baudot (cifrador de Vernam)

Cdigo Binario
00000
00001
00010
00011
00100
00101
00110
00111
01000
01001
01010
01011
01100
01101
01110
01111
Carcter
Cdigo Binario
Carcter
Blanco
E
=
A
Espacio
S
I
U
<
D
R
J
N
F
C
K
10000
10001
10010
10011
10100
10101
10110
10111
11000
11001
11010
11011
11100
11101
11110
11111
T
Z
L
W
H
Y
P
Q
O
B
G
M
X
V

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 902
Cdigo ASCII/ANSI de nivel bajo (1)

Byte
carcter
Byte
carcter
Byte
carcter
0010 0000
0010 0001
0010 0010
0010 0011
0010 0100
0010 0101
0010 0110
0010 0111
0010 1000
0010 1001
0010 1010
0010 1011
0010 1100
0010 1101
0010 1110
0010 1111
Espacio
!
#
$
%
&
(
)
*
+
,
.
/
0011 0000
0011 0001
0011 0010
0011 0011
0011 0100
0011 0101
0011 0110
0011 0111
0011 1000
0011 1001
0011 1010
0011 1011
0011 1100
0011 1101
0011 1110
0011 1111
0
1
2
3
4
5
6
7
8
9
:
;
<
=
>
?
0100 0000
0100 0001
0100 0010
0100 0011
0100 0100
0100 0101
0100 0110
0100 0111
0100 1000
0100 1001
0100 1010
0100 1011
0100 1100
0100 1101
0100 1110
0100 1111
@
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 903
Cdigo ASCII/ANSI de nivel bajo (2)

Byte
carcter
Byte
carcter
Byte
carcter
0101 0000
0101 0001
0101 0010
0101 0011
0101 0100
0101 0101
0101 0110
0101 0111
0101 1000
0101 1001
0101 1010
0101 1011
0101 1100
0101 1101
0101 1110
0101 1111
P
Q
R
S
T
U
V
W
X
Y
Z
[
\
]
^
_
0110 0000
0110 0001
0110 0010
0110 0011
0110 0100
0110 0101
0110 0110
0110 0111
0110 1000
0110 1001
0110 1010
0110 1011
0110 1100
0110 1101
0110 1110
0110 1111
`
a
b
c
d
e
f
g
h
i
j
k
l
m
n
o
0111 0000
0111 0001
0111 0010
0111 0011
0111 0100
0111 0101
0111 0110
0111 0111
0111 1000
0111 1001
0111 1010
0111 1011
0111 1100
0111 1101
0111 1110
0111 1111
p
q
r
s
t
u
v
w
x
y
z
{
|
}
~

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 904
Tabla de cdigo ASCII extendido

00-0F: Valor decimal: 000015
202F: Valor decimal: 032047
A0AF: Valor decimal: 160175
B0BF: Valor decimal: 176191
C0CF: Valor decimal: 192207
D0DF: Valor decimal: 208223
E0EF: Valor decimal: 224239
F0FF: Valor decimal: 240255

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 905
Tabla de cdigo ANSI extendido

A0AF: Valor decimal: 160175
B0BF: Valor decimal: 176191
C0CF: Valor decimal: 192207
D0DF: Valor decimal: 208223
E0EF: Valor decimal: 224239
F0FF: Valor decimal: 240255

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 906
La codificacin en Base 64
Valor
Carcter
6 bits
codificado
0
000000
A
1
000001
B
2
000010
C
3
000011
D
4
000100
E
5
000101
F
6
000110
G
7
000111
H
8
001000
I
9
001001
J
10
001010
K
11
001011
L
12
001100
M
13
001101
N
14
001110
O
15
001111
P
Valor
6 bits
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Carcter
codificado
010000
Q
010001
R
010010
S
010011
T
010100
U
010101
V
010110
W
010111
X
011000
Y
011001
Z
011010
a
011011
b
011100
c
011101
d
011110
e
011111
f
Valor
6 bits
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
Carcter
codificado
100000
g
100001
h
100010
i
100011
j
100100
k
100101
l
100110
m
100111
n
101000
o
101001
p
101010
q
101011
r
101100
s
101101
t
101110
u
101111
v
Valor
Carcter
6 bits
codificado
48
110000
w
49
110001
x
50
110010
y
51
110011
z
52
110100
0
53
110101
1
54
110110
2
55
110111
3
56
111000
4
57
111001
5
58
111010
6
59
111011
7
60
111100
8
61
111101
9
62
111110
+
63
111111
/
(Relleno)
=
Tabla de codificacin en Base 64
Cada 3 bytes ANSI (24 bits) se convierten en 4 elementos Base 64 de 6 bits cada
uno. El fichero aumenta un 33% pero ello se compensar al usar la compresin zip.
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 907
Ejemplo de codificacin Base 64

HolaANSI = 01001000 01101111 01101100 01100001
HolaB64 = 010010 000110 111101 101100 011000 01 (00 00) = SG9sYQ==
Valor
Carcter
6 bits
codificado
0
000000
A
1
000001
B
2
000010
C
3
000011
D
4
000100
E
5
000101
F
6
000110
G
7
000111
H
8
001000
I
9
001001
J
10
001010
K
11
001011
L
12
001100
M
13
001101
N
14
001110
O
15
001111
P
Valor
6 bits
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Carcter
codificado
010000
Q
010001
R
010010
S
010011
T
010100
U
010101
V
010110
W
010111
X
011000
Y
011001
Z
011010
a
011011
b
011100
c
011101
d
011110
e
011111
f
Valor
6 bits
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
Carcter
codificado
100000
g
100001
h
100010
i
100011
j
100100
k
100101
l
100110
m
100111
n
101000
o
101001
p
101010
q
101011
r
101100
s
101101
t
101110
u
101111
v
Valor
Carcter
6 bits
codificado
48
110000
w
49
110001
x
50
110010
y
51
110011
z
52
110100
0
53
110101
1
54
110110
2
55
110111
3
56
111000
4
57
111001
5
58
111010
6
59
111011
7
60
111100
8
61
111101
9
62
111110
+
63
111111
/
(Relleno)
=
Tabla de codificacin en Base 64

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 908
Tabla de primos del 1 al 1000

2
11
13
17
19
23
29
31
37
41
43
47
53
59
61
67
71
73
79
83
89
97
101 103 107 109 113 127 131 137 139 149 151 157 163 167 173 179 181 191 193 197 199
211 223 227 229 233 239 241 251 257 263 269 271 277 281 283 293
307 311 313 317 331 337 347 349 353 359 367 373 379 383 389 397
401 409 419 421 431 433 439 443 449 457 461 463 467 479 487 491 499
503 509 521 523 541 547 557 563 569 571 577 587 593 599
601 607 613 617 619 631 641 643 647 653 659 661 673 677 683 691
701 709 711 727 733 739 743 751 757 761 769 773 787 797
809 811 821 823 827 829 839 853 857 859 863 877 881 883 887
907 911 919 929 937 941 947 953 967 971 977 983 991 997

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 909
Tabla de primos del 1001 al 2000

1009 1013 1019 1021 1031 1033 1039 1049 1051 1061 1063 1069 1087 1091 1093 1097
1103 1109 1117 1123 1129 1151 1153 1163 1171 1181 1187 1193
1201 1213 1217 1223 1229 1231 1237 1249 1259 1277 1279 1283 1289 1291 1297
1301 1303 1307 1319 1321 1327 1361 1367 1373 1381 1399
1409 1423 1427 1429 1433 1439 1447 1451 1453 1459 1471 1481 1483 1487 1489 1493 1499
1511 1523 1531 1543 1549 1553 1559 1567 1571 1579 1583 1597
1601 1607 1609 1613 1619 1621 1627 1637 1657 1663 1667 1669 1693 1667 1699
1709 1721 1723 1733 1741 1747 1753 1759 1777 1783 1787 1789
1801 1811 1823 1831 1847 1861 1867 1871 1873 1877 1879 1889
1901 1907 1913 1931 1933 1949 1951 1973 1979 1987 1993 1997 1999

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 910
Polinomios primitivos
Polinomios para n = 3: x3 + x + 1; x3 + x2 + 1
Polinomios para n = 4: x4 + x + 1; x4 + x3 + 1
Polinomios para n = 5: x5 + x2 + 1; x5 + x4 + x3 + x2 + 1; x5 + x4 + x2 + 1; x5 + x3 + x2 + x + 1;
x5 + x4 + x3 + x + 1; x5 + x3 + x + 1
Polinomios para n = 6: x6 + x + 1; x6 + x5 + x2 + x + 1; x6 + x5 + x3 + x2 + 1; x6 + x4 + x3 + x + 1;
x6 + x5 + x4 + x + 1; x6 + x5 + 1
(1, 0)
(2, 1, 0)
(3, 1, 0)
(4, 1, 0)
(5, 2, 0)
(6, 1, 0)
(7, 1, 0)
(8, 4, 3, 2, 0)
(9, 4, 0)
(10, 3, 0)
(11, 2, 0)
(21, 2, 0)
(31, 3, 0)
(41, 3, 0)
(12, 6, 4, 1, 0)
(22, 1, 0)
(32, 7, 6, 2, 0)
(42, 5, 4, 3, 2, 1, 0)
(13, 4, 3, 1, 0)
(23, 5, 0)
(33, 13, 0)
(43, 6, 4, 3, 0)
(14, 5, 3, 1, 0)
(24, 4, 3, 1, 0)
(34, 8, 4, 3, 0)
(44, 6, 5, 2, 0)
(15, 1, 0)
(25, 3, 0)
(35, 2, 0)
(45, 4, 3, 1, 0)
(16, 5, 3, 2, 0)
(26, 6, 2, 1, 0)
(36, 11, 0)
(46, 8, 5, 3, 2, 1, 0)
(17, 3, 0)
(27, 5, 2, 1, 0)
(37, 6, 4, 1, 0)
(47, 5, 0)
(18, 7, 0)
(28, 3, 0)
(38, 6, 5, 1, 0)
(48, 7, 5, 4, 2, 1, 0)
(19, 5, 2, 1, 0)
(29, 2, 0)
(39, 4, 0)
(49, 9, 0)
(20, 3, 0)
(30, 6, 4, 1, 0)
(40, 5, 4, 3, 0)
(50, 4, 3, 2, 0) (*)
Algunos polinomios de xn para n = 1 hasta n = 50
(*) Explicacin: (50, 4, 3, 2, 0) p(x) = x50 + x4 + x3 + x2 + 1

Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 911
Magnitudes de tiempo y criptoanlisis

Longitud de la clave
Tiempo necesario para romper la clave
40 bits
2 segundos
48 bits
9 minutos
56 bits
40 horas
64 bits
14 meses
72 bits
305 aos
80 bits
78.250 (216) aos
96 bits
5.127.160.311 (232) aos
112 bits
336.013.578.167.538 (248) aos
128 bits
22.020.985.858.787.784.059 (264) aos
La tabla muestra el tiempo

medio de criptoanlisis
necesario para romper una
clave del DES por fuerza
bruta, usando la potencia
de clculo alcanzada en el
DES Challenge III, unos
250.000 millones de claves
por segundo con mquina
DES Cracker y 100.000
PCs conectados en red.
Valores de tiempo con nmeros grandes

Edad del planeta
10.000.000.000 (1010 = 234) aos
Edad del universo
100.000.000.000 (1011 = 237) aos

Jorge Rami Aguirre
Madrid (Espaa) 2003
Fin del Tema 18

Diapositiva 912
1. En un texto cifrado por sustitucin afn, se tiene como criptograma
C = PCERC QBCSK AQBGR LGFJQ KCXK LCECN RKZHL
KKXGF LCAFB. Qu es lo primero que hacemos? Ataque el
criptograma con el software de la asignatura. Qu puede concluir?
2. Con el cifrador de Vernam y cdigo Baudot ciframos M = SOL con
la clave K = MAR. Qu se obtiene como criptograma?
3. Observando el cdigo ASCII/ANSI de nivel bajo en binario, Por
qu es desaconsejable cifrar con mochilas de tamao 4 u 8?
4. La clave DES escrita en cdigo ASCII es K = HOLAhola. Cul
sera en este caso la clave de 56 bits? Qu puede decir de esto?
5. Observando la tabla de primos del 1 al 1.000 y de 1.001 al 2.000,
podramos concluir que en una ventana igual (2.001 al 3.000; 3.001
al 4.000, etc.) cada vez hay ms nmeros primos? Por qu?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 913
6.
7.
8.
Por qu en mdulo 37 existen ms inversos que en mdulo 27?

Codifique en base 64 el texto de 10 caracteres M = Qu tal!
Qu mensaje hay en M = v01lb nNham Ugb2N 1bHRv Pw==
que est codificado en base 64? Por qu el relleno es dos?
9. En cunto aumenta el tamao cuando convertimos ASCII/ANSI a
cdigo base 64? Es eso significativo en PGP? Por qu s o no?
10. En qu zona podemos decir que el cdigo ASCII y el ANSI son
iguales?
11. Se codificar igual en ASCII que en ANSI el mensaje M1 = Voy
a entrar? Y si ahora el mensaje es M2 = Pasa, est abierto Qu
consecuencias puede tener esto en un programa?
12. Un mensaje codificado en ANSI hexadecimal es 43 72 69 70 74 6F
67 72 61 66 ED 61, cul es el texto en castellano?
Jorge Rami Aguirre
Madrid (Espaa) 2003
Diapositiva 914

Libro. Seguridad Informática PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Libro. Seguridad Informática PDF

Cargado por

Copyright:

Formatos disponibles

CURSO DE SEGURIDAD INFORMTICA Y CRIPTOGRAFA

PRLOGO DE LA TERCERA EDICIN v 3.1 EN INTERNET

PRLOGO DE LA SEGUNDA EDICIN

CURSO DE SEGURIDAD INFORMTICA Y CRIPTOGRAFA

- Documento de libre distribucin en Internet -

Prohibida su venta, excepto a travs del Departamento de Publicaciones de

Autor: Jorge Rami Aguirre

Presentacin del Curso

Jorge Rami Aguirre

Los derechos de autor

Recuerde que este curso en

Presentacin del Curso

Madrid (Espaa) 2003

Temas del curso (1)

Presentacin del Curso

Madrid (Espaa) 2003

Temas del curso (2)

Presentacin del Curso

Madrid (Espaa) 2003

Resumen del Contenido (1)

Presentacin del curso .............................................................................. 1

Presentacin del Curso

Madrid (Espaa) 2003

Resumen del Contenido (2)

Esquema de un criptosistema ................................................................ 66

Presentacin del Curso

Madrid (Espaa) 2003

Resumen del Contenido (3)

Modelos de seguridad ......................................................................... 137

Presentacin del Curso

Madrid (Espaa) 2003

Resumen del Contenido (4)

Esquema de cifrador aleatorio de Hellmann ..................................... 203

Presentacin del Curso

Madrid (Espaa) 2003

Resumen del Contenido (5)

Clculos en campos de Galois ............................................................ 274

Presentacin del Curso

Madrid (Espaa) 2003

Resumen del Contenido (6)

Cifrador polialfabtico de Vigenre .................................................. 327

Presentacin del Curso

Madrid (Espaa) 2003

Resumen del Contenido (8)

Comparativas entre sistemas simtricos y asimtricos ...................... 374

Presentacin del Curso

Madrid (Espaa) 2003

Resumen del Contenido (9)

Data Encryption Standard DES ......................................................... 447

Presentacin del Curso

Madrid (Espaa) 2003

Resumen del Contenido (10)

Algoritmo de cifra RSA ...................................................................... 565

Presentacin del Curso

Madrid (Espaa) 2003

Resumen del Contenido (11)

Secure Hash Algorithm SHA-1............................................................ 625

Presentacin del Curso

Madrid (Espaa) 2003

Resumen del Contenido (12)

Tema 15: Certificados Digitales ........................................................... 687

Presentacin del Curso

Madrid (Espaa) 2003