Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Cripto Ufv 1 - 0 Linea PDF
Cripto Ufv 1 - 0 Linea PDF
Universidad
Francisco
CRIPTOANÁLISIS MÁS UTILIZADOS EN
Vitoria LA ACTUALIDAD
CONTROL DOCUMENTAL
TÍTULO Criptoanálisis más utilizados en la actualidad
SUBTÍTULO Criptografía y teoría de códigos
ENTIDAD DE DESTINO Universidad Francisco Vitoria
PÁGINAS 24 páginas
PALABRAS 5327 palabras
VERSIÓN 1.0
FECHA DE CREACIÓN martes, 27 de diciembre de 2011
ULTIMA MODIFICACIÓN domingo, 23 de septiembre de 2012
NOMBRE DEL ARCHIVO CRIPTO-UFV-1_0.DOCX
TAMAÑO DEL ARCHIVO 1263859 bytes
HERRAMIENTA DE EDICION Microsoft Word
AUTOR/ES Enrique Sánchez Acosta
RESUMEN DEL DOCUMENTO Estudio de los criptoanálisis más utilizados en la actualidad
RESUMEN
Trataremos en este trabajo de analizar el criptoanálisis, en que se basa y como ha ido siempre
ligado a la criptología aunque nada tenga que ver con ella, todas sus técnicas y su lógica son
diferentes.
Veremos en este texto tanto una pequeña introducción como los métodos más utilizados hoy
en día, hasta llegar a las mas recientes investigaciones en criptoanálisis contra algoritmos de
seguridad avanzada como WPA y RSA. Estos utilizados masivamente en transacciones bancarias y
seguridad Wireless, así como en los accesos a los sistemas gubernamentales mas seguros.
No pretendemos en este documento mostrar la forma en que se descifran las claves, ni los
programas que utilizaríamos, sino que sirva como base de una introducción a este mundo del
criptoanálisis, para posteriormente aumentar los conocimientos con otras publicaciones o con el
ejercicio practico de las pocas cosas que aquí se muestran.
ÍNDICE
Contenido
1. Introducción Al Criptoanálisis........................................................................ 4
1. Clásico .......................................................................................................................... 4
a. El análisis de frecuencias o de sustitución: .................................................................. 5
b. Método KASISKI ......................................................................................................... 8
c. Otros................................................................................................................................. 8
2. Moderno ....................................................................................................................... 9
2. Tipos de Ataques .......................................................................................... 11
1. Activos ....................................................................................................................... 11
3. Pasivos ........................................................................................................................ 12
3. Criptoanálisis según el tipo de criptografía .................................................. 13
1. criptografía simétrica.................................................................................................. 13
a. Criptoanálisis diferencial............................................................................................ 13
b. Criptoanálisis Lineal .................................................................................................. 13
c. Ataque XSL ................................................................................................................... 13
d. Ataque de deslizamiento ............................................................................................ 13
4. criptografía asimétrica ................................................................................................ 14
4. criptoanálisis más utilizados hoy en día ....................................................... 15
1. criptoanálisis aplicados a RSA (Muy utilizado en SSL operaciones por internet) .... 15
a. Ataque al secreto de N por cifrado cíclico ................................................................. 16
b. Ataque a la clave por paradoja cumpleaños ............................................................... 17
5. criptoanálisis a algoritmos WEP y WPA ................................................................... 18
c. WEP ............................................................................................................................... 18
d. WAP y WAP2 ............................................................................................................ 21
1. INTRODUCCIÓN AL CRIPTOANÁLISIS
1. CLÁSICO
Trataremos de dar una pequeña introducción del criptoanálisis clásico, de sus comienzos y las
primeras técnicas utilizadas para averiguar mensajes secretos. No es importante dentro del texto del
trabajo pero no podríamos continuar sin poner en contexto el futuro del criptoanálisis que vamos a
explicar a continuación.
Aproximadamente ya por el siglo IX, el matemático árabe YusufYaqubibnIshaq al-Sabbah
Al-Kindi escribió un pequeño manuscrito para descifrar mensajes criptográficos
Se trata del estudio de las frecuencias de las letras o los grupos de letras en un texto cifrado.
Está basado en el hecho de que, dado un texto, ciertas letras o combinaciones de letras aparecen más
a menudo que otras, existiendo distintas frecuencias para ellas. Es más, existe una distribución
característica de las letras que es prácticamente la misma para la mayoría de ejemplos de ese
lenguaje. Por ejemplo, en el español, las vocales son muy frecuentes, ocupando alrededor del 45%
del texto, siendo la E y la A las que aparecen en más ocasiones, mientras que la frecuencia sumada
de F, Z, J, X, W y K no alcanza el 2%.
Será ya en 1843 cuando Edgar Alan Poe escribirá un relato llamado “El escarabajo de oro”
sobre un mensaje cifrado con la localización de un tesoro.
Poe era un gran aficionado al criptoanálisis y nos lleva a explicar esta técnica de
criptoanálisis clásico en su libro. Vamos a ver un ejemplo de como utilizar esta técnica:
Ejemplo:
A 0 J 11 S 3
B 1 K 1 T 2
C 15 L 0 U 5
D 13 M 16 V 5
E 7 N 9 W 8
F 11 O 0 X 6
G 1 P 1 Y 10
H 4 Q 4 Z 20
I 5 R 10
1º hipótesis: dK (Z) = e
2ª hipótesis: dK (C,D,F,J,M,R,Y,N) ⊂ {t,a,o,i,n,s,h,r} ya que las letras C, D, F, J, M, R, Y, N
aparecen al menos 9 veces
3ª hipótesis: A partir de los diagramas, especialmente de la forma –Z o Z– dada la suposición
de que Z representa e, se tiene que los más comunes son DZ & ZW (4); NZ & ZU (3); y
RZ,HZ,XZ,FZ,ZR,ZV,ZC,ZD,ZJ (2). Como ZW aparece 4 veces y WZ ninguna, y además W tiene
baja frecuencia, se supone que dK (W)=d
4ª hipótesis: También de los diagramas, como DZ ocurre 4 veces y ZD ocurre dos,
sospechamos que dK (D)∈ {r,s,t} ya que se corresponde con los diagramas más simétricos
5ª hipótesis: Notamos que ZRW y RZW ocurren ambos cerca del principio, y que RW se
repite luego. Como R tiene alta frecuencia, y nd es un diagrama común en inglés, suponemos que
dK© = n
6ª hipótesis: dK(N) = h porque NZ es un diagrama común y ZN no
Texto parcialmente descifrado:
- - - - - - e nd- - - - - - - - - e - - - - n e dh - - e - - - - - - - - - - --
YIFQFMZRWQFYVECFMDZPCVMRZWNMDZVEJBTXCDDUMJ
h - - - - - - - e - - - - e - - - - - - - - - nh- d - - - en - - - - e- h- - e
NDIFEFMDZCDMQZKCEYFCJMYRNCWJCSZREXCHZUNMXZ
he - - - n - - - - - - n - - - -- - ed - - - e - - - e - - ne –nd h e – e - -
NZUCDRJXYYSMRTMEYIFZWDYVZVYFZUMRZCRWNZDZJJ
- e d - - - - - n h - - - h- - - - - - e - - -- ed - - - - - - - d- - he- - n
XZWGCHSMRNMDHNCMFQCHZJMXJZWIEJYUCFWDJNZDIR
- - - - - i e nd- - - - - a –i– e – a –i n e d h i– e - -- - - - a- - - i–
YIFQFMZRWQFYVECFMDZPCVMRZWNMDZVEJBTXCDDUMJ
h - - - - - i – e a – i – e – a- - - a – i – n ha d- a- en - - a – e- h i– e
NDIFEFMDZCDMQZKCEYFCJMYRNCWJCSZREXCHZUNMX
he – a – n - -- - - in –I - - - - ed - - - e - - - e –I ne an dhe- e - -
NZUCDRJXYYSMRTMEYIFZWDYVZVYFZUMRZCRWNZDZJJ
-e d – a - - I n h I - - h a i- - - a- e –I - - ed- - - - - a- d- - he - - n
XZWGCHSMRNMDHNCMFQCHZJMXJZWIEJYUCFWDJNZDIR
9ª hipótesis: Como o es una vocal frecuente, suponemos que ek(o) ∈{F,J,Y}. Así, como Y es
la más frecuente, suponemos que dK(Y)=o
10ª hipótesis: Como dK(D) ∈ {r,s,t} y el trigrama NMD ocurre 2 veces, se supone que dK(D)
=s, para que NMD se corresponda con his.
11ª hipótesis: El segmento HNCMF podría ser chair, conduciendo a dK(F) = r, dK(H) = c,
dK(J) = t (el último por eliminación).
ourfriendfromparisexaminedhisemptyglasswit
YIFQFMZRWQFYVECFMDZPCVMRZWNMDZVEJBTXCDDUMJ
hsurpriseasifevaporationhadtakenplacewhile
NDIFEFMDZCDMQZKCEYFCJMYRNCWJCSZREXCHZUNMXZ
hewasntlookingipouredsomemorewineandhesett
NZUCDRJXYYSMRTMEYIFZWDYVZVYFZUMRZCRWNZDZJJ
ledbackinhischairfacetilteduptowardsthesun
XZWGCHSMRNMDHNCMFQCHZJMXJZWIEJYUCFWDJNZDIR
b. MÉTODO KASISKI
Ideado en 1863 para romper el sistema criptográfico Vigenere. Se basa en que ciertas
secuencias de letras aparecen muchas veces en los textos originales, y consecuentemente los textos
cifrados con Vigenere tienen las correspondientes secuencias de letras cifradas también muy
repetidas.
Por tanto, la distancia entre las cadenas más repetidas en el texto cifrado debe ser un múltiplo
de la longitud de la clave K, y un buen candidato a longitud será el producto de los factores más
repetidos en las distancias encontradas.
Por ejemplo:
Se buscan los poligramas más repetidos y las distancias desde sus puntos de inicio
para cada uno.
Se sabe que la longitud de la clave divide a todas esas distancias, por lo que también
dividirá a su mcd
Se calculan los factores de cada distancia y se descubren los factores más repetidos
(candidatos a longitud de clave).
Se divide el criptograma en filas según cada longitud candidata (empezando por la
mayor) y se compara la distribución de frecuencias de cada columna con la del idioma
usado.
c. OTROS
Existen otros métodos clásicos de criptoanálisis en la historia pero nos veremos con
profundidad, solo saber algunos de ellos como:
Índice de coincidencia
Índice mutuo de coincidencia
Playfair
Telegrama Zimmermann (Primera guerra mundial)
Máquina Enigma (Segunda guerra mundial: Un simulador de esta famosa máquina en
http://www.amenigma.com/)Podriamos considerarlo el paso en tre el sistema clásico
al moderno
La intercepción
La colocación de dispositivos grabadores
Los ataques de canal lateral
El criptoanálisis cuántico
Ataque con sólo texto cifrado disponible: el criptoanalista sólo tiene acceso a una
colección de textos cifrados ó codificados.
Ataque con texto plano conocido: el atacante tiene un conjunto de
textos cifrados de los que conoce el correspondiente texto plano ó descifrado.
Ataque con texto plano escogido ("ataque con texto cifrado elegido"): el atacante puede
obtener los textos cifrados (planos) correspondientes a un conjunto arbitrario de textos
planos (cifrados) de su propia elección.
Ataque adaptativo de texto plano escogido: como un ataque de texto plano escogido, pero
el atacante puede elegir textos planos subsiguientes en base a la información obtenida de
los descifrados anteriormente. Similarmente, existe el ataque adaptativo de texto cifrado
escogido.
Ataque de clave relacionada: como un ataque de texto plano escogido, pero el atacante
puede obtener texto cifrado utilizando dos claves diferentes.Las claves son desconocidas,
pero la relación entre ambas es conocida;por ejemplo, dos claves que difieren en un bit.
2. TIPOS DE ATAQUES
Para una primera clasificación del criptoanálisis moderno podemos observar como se realiza
el ataque hacia el sistema cifrado. Es lógico pensar entonces que contamos con dos tipos de formas
de actuar del atacante, en este caso el criptoanalista.
Los ataques criptoanalíticos varían en potencia y en su capacidad de amenaza para los
sistemas criptográficos utilizados en el mundo real. Esencialmente, la importancia práctica del ataque
depende de las respuestas dadas a las siguientes preguntas:
1. ACTIVOS
El atacante modifica el flujo de datos o crea flujos falsos. Hay muchas técnicas que se usan
en este tipo de ataques.
Ejemplos:
Se trata de uno de los ataques mas utilizados en la actualidad, como veremos mas adelante
con respecto al criptoanálisis utilizado para algoritmos WEP.
3. PASIVOS
1. CRIPTOGRAFÍA SIMÉTRICA
Un cifrado simétrico no es más que un algoritmo de cifrado basado en una función invertible,
tal que tanto el algoritmo como su inverso dependen de un parámetro igual para ambos llamado clave
secreta.
También recibe este nombre aquel algoritmo de cifra que depende de un parámetro diferente
del de su inverso, pero tal que el conocimiento de uno permite, en un tiempo razonable y con unos
recursos limitados, el conocimiento del otro.
Existen diversos tipos de criptoanálisis contra los sistemas criptográficos siméticos:
Criptoanálisis diferencial
Criptoanálisis lineal
Criptoanálisis integral
Ataque XSL (eXtended Sparse Linearisation)
Ataque de deslizamiento
a. CRIPTOANÁLISIS DIFERENCIAL
b. CRIPTOANÁLISIS LINEAL
Técnica criptoanalítica de tipo estadístico, consistente en operar o-exclusivo dos bits del texto
en claro, hacer lo mismo con otros dos del texto cifrado y volver a operar o-exclusivo los dos bits
obtenidos. Se obtiene un bit que es el resultado de componer con la misma operación dos bits de la
clave. Si se usan textos en claro recopilados y los correspondientes textos cifrados, se pueden
conjeturar los bits de la clave. Cuantos más datos se tengan más fiable será el resultado.
Se aplica a los cifrados tipo DES.
c. ATAQUE XSL
d. ATAQUE DE DESLIZAMIENTO
Ataque a algoritmos de cifra que utilizan varios ciclos similares de cifrado elemental. El
ataque busca debilidades en la generación de sub-claves para cada ciclo.
4. CRIPTOGRAFÍA ASIMÉTRICA
Otra característica distintiva de los algoritmos asimétricos es que, a diferencia de los ataques
sobre criptosistemas simétricos, cualquier criptoanálisis tiene la oportunidad de usar el conocimiento
obtenido de la clave pública.
Cifrado asimétrico ideado por Rivest, Shamir y Adelman y publicado en 1978. Se basa en
operaciones de potenciación en aritmética modular y su fortaleza radica en la dificultad de factorizar
números extraordinariamente grandes. Es, con gran diferencia, la técnica asimétrica de uso más
generalizado.
Su longitud de clave (pública y privada) es variable, siendo valores usuales: 512, 1024 o 2048
bits.
Frente a otras técnicas asimétricas presenta la ventaja de poderse emplear también en la firma
digital.
Criptosistema de clave pública, diseñado en 1978 que basa su seguridad en la dificultad de
factorizar grandes números. Puede ser usado, tanto para cifrar como para producir firmas digitales.
El algoritmo RSA es el siguiente y nos ayudará a entender el criptoanálisis que hay que
utilizar:
Hay que hacer notar que con este algoritmo los mensajes que se cifran y descifran son
números enteros de tamaño menor que n, no letras sueltas como en el caso de los cifrados César o
Vigènere.Para obtener el mensaje cifrado C a partir del mensaje en claro M, se realiza la siguiente
operación:
C = Me (mod n)
Para recuperar el mensaje original a partir del cifrado se realiza la siguiente operación:
M = Cd (mod n)
Para romper un cifrado RSA, podemos probar varias vías. Aparte de factorizar n, que ya
sabemos que es un problema computacionalmente intratable en un tiempo razonable, podríamos
intentar calcular φ(n) directamente (Si recordamos, la función de Euler φ(n)= (p-1)(q-1), y que en
general, salvo azar improbable, se tendrá que mcd(M,p) = mcd(M,q) = mcd(M,n) = 1. Y por tanto
según el teorema de Euler-Fermat, Mφ(n) ≡ 1 (mod n) ⇒ (M(p-1)(q-1))k ≡ 1 (mod n) [ii]), o probar
por un ataque de fuerza bruta tratando de encontrar la clave privada d, probando sistemáticamente
con cada uno de los números posibles del espacio de claves. Ambos ataques son, para n grandes,
incluso aún más costosos computacionalmente que la propia factorización de n.
Necesitaremos actualmente unos 22.020.985.858.787.784.059 (2e64) años para romper una
clave cifrada con 128 bits.
Sin embargo existen otros tipos de ataques al algoritmo RSA
Se puede encontrar el número en claro N sin necesidad de conocer d, la clave privada del
receptor.
Como C = Nemod n, realizaremos cifrados sucesivos de los criptogramas Ciresultantes con la
misma clave pública hasta obtener nuevamente el cifrado C original.
Un ejemplo significativo:
i Ci
i=0 C0= 119
i=1 C1= 11929mod 247 = 6
i=2 C2 = 629mod 247 = 93
i=3 C3= 9329mod 247 = 175
i=4 C4= 17529mod 247 = 54
i=5 C5= 5429mod 247 = 123
i=6 C6= 12329mod 247 = 119
El ataque ha prosperado muy rápidamente: como hemos obtenido otra vez el criptograma C =
119, es obvio que el paso anterior con C = 123 se correspondía con el texto en claro. Si usamos
primos seguros, la cantidad de cifrados será mayor y el sistema menos vulnerable.
Un ejemplo para resolver en la siguiente diapositiva: sea p = 7; q = 13, n = p∗q = 91, e = 11,
d = 59. El atacante parte con el número N = 20 y elegirá los valores i = 10 y j = 50. Sólo conoce n =
91 y e = 11.
c. WEP
El protocolo WEP (Wired Equivalent Privacy) nace en 1999 comoparte del estándar IEEE
802.11[1]. Su misión es garantizar la privacidad dela información transmitida por los componentes
de una red WiFi. Encriptar la información que un ordenador envía por el aire a otro es esencial para
impedirque un vecino curioso encuentre interesante nuestro número de tarjeta decrédito, nuestra
contraseña de correo o simplemente decida que usar nuestraconexión a Internet es más adecuado a
sus ocultos propósitos.
La base del WEP está en la operación lógica XOR. El o-exclusivo es una operación binaria
que genera el valor 1 si los dos operandos son diferentes, y 0 si son iguales. Presenta la propiedad
que si aplicamos dos veces el XOR a un valor obtendremos el valor original, es decir (A XOR B)
XOR B = A. P
El crackeado de WEP puede ser demostrado con facilidad utilizando herramientas como
Aircrack (creado por el investigador francés en temas de seguridad, Christophe Devine). Aircrack
contiene tres utilidades principales, usadas en las tres fases del ataque necesario para recuperar la
clave:
• airodump: herramienta de sniffing utilizada para descubrir las redes que tienen activado
WEP,
• aireplay: herramienta de inyección para incrementar el tráfico,
Finalmente, aircrack se utiliza para recuperar la clave WEP. Utilizando el fichero pcap se
hace posible lanzar este paso final mientras airodump sigue capturando datos
# aircrack -x -0 WEP000.cap
Este paquete informático tan extendido hoy en día hace posible otros diversos ataques como
son:
Deautenficación: Este ataque puede ser usado para recuperar un SSID oculto (por
ejemplo, uno que no sea broadcast),
Desencriptación de paquetes de datos WEP arbitrarios sin conocer la clave: Este
ataque está basado en la herramienta representativa de KoreK, llamada chopchop, que
puede desencriptar paquetes encriptados con WEP sin conocer la clave. El chequeo de
integridad implementado en el protocolo WEP permite que el atacante pueda
modificar tanto un paquete encriptado como su correspondiente CRC.
Autenticación falsa: Se requiere un cliente legítimo (real o virtual, aunque real sería
mejor), asociado con el punto de acceso para asegurarse de que el punto de acceso no
rechace los paquetes por una dirección de destino no asociada.
d. WAP Y WAP2
Este protocolo fue implementado para corregir las deficiencias del sistema previo WEP y no
requería un cambio de hardware. En cambio, como veremos más adelante esto no ocurre con WPA
versión 2.
Los datos utilizan el algoritmo RC4 con una clave de 128 bits y un vector de inicialización de
48 bits. Una de las mejoras más sobresalientes sobre su predecesor, WEP, es TKIP (Temporal Key
Integrity Protocol, o Protocolo de integridad de clave temporal).
WPA hace más difícil vulnerar las redes inalámbricas al incrementar los tamaños de las
claves e IVs, reduciendo el número de paquetes enviados con claves relacionadas y añadiendo un
sistema de verificación de mensajes.
La Wi-Fi Alliance lanzó en septiembre de 2004, WPA2, que es la versión certificada de la
especificación completa del estándar IEEE 802.11i, que fue certificado en junio de 2004.
Las principales diferencias entre las dos versiones de WPA las veremos en la tabla mostrada
a continuación:
WPAv1 WPAv2
MODO AUTENTICACIÓN PSK PSK
PERSONAL
CIFRADO TKIP(RC4) / CCMP(AES) /
MIC CBC-MAC
MODO AUTENTICACIÓN 802.1x / EAP 802.1x / EAP
EMPRESARIAL
CIFRADO TKIP (RC4) / CCMP(AES) /
MIC CBC-MAC
Una de las diferencias más destacables entre WPAv1 y WPAv2, es que esta última substituye
el cifrado RC4 por CCMP (Counter Mode with Cipher Block Chaining Message Authentication
Code Protocol ) que utiliza AES (Advanced Encryption Standard).
Así como en el protocolo WEP hemos analizado los posibles caminos por los cuales
vulnerarlo, WPA se considera computacionalmente irrompible .De hecho sólo es vulnerable la
versión WPA-PSK (Pre-Shared Key), que se basa en una clave compartida entre usuario y Access
Point.
Si conseguimos capturar dicho handshake, a partir de las MACs (AP y cliente), del SSID y
de los números aleatorios intercambiados, podemos conseguir el secreto compartido.
Sin embargo aunque hasta ahora pensábamos que solo este tipo PSK podía ser roto aparece
en los últimos años un nuevo sistema de ataque a las WPA creado por Toshihiro Ohigashi y
Masakatu Morii y basado en el ataque de criptoanálisis “Man in the middle” que utiliza unos
mensajes de falsificación para engañar al protocolo, obteniendo la clave en apenas un minuto.
http://jwis2009.nsysu.edu.tw/location/paper/A%20Practical%20Message%20Falsification%2
0Attack%20on%20WPA.pdf
Solo nos queda que algún día también se consiga hacer el sistema de criptoanálisis para las
WPA2. ¿y por qué no?
BIBLIOGRAFÍA
A Practical Message Falsication Attackon WPA por Toshihiro Ohigashi y Masakatu Morii
Criptoanálisis Wep con Zaurus por Alberto Planas
Seguridad Wi-Fi por Guillaume Lehembre
http://www.seguridadwireless.net/
Vulnerabilidades y Ataques al Sistema de Cifra RSA por Jorge Ramiro Aguirre
GUÍA DE SEGURIDAD DE LAS TIC(CCN-STIC-401) (Centro Criptológico Nacional)
https://www.ccn-cert.cni.es/publico/serieCCN-STIC401/index.html