7/22/2019 Firma RSA
1/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema de
firma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
Firma Digital
U.D. Computacion
DSIC - UPV
U.D. Computacion (DSIC - UPV) Firma Digital 1 / 36
7/22/2019 Firma RSA
2/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema de
firma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
Contenidos del tema
1 Definiciones
2 Firma digital mediante criptografa de clave secreta
3 Firma digital mediante criptografa de clave publicaEl esquema de firma RSAEl esquema de firma de ElGamalDigital Signature Standar DSS
4 Funciones resumen
U.D. Computacion (DSIC - UPV) Firma Digital 2 / 36
7/22/2019 Firma RSA
3/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema de
firma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
1 Definiciones
2 Firma digital mediante criptografa de clave secreta
3 Firma digital mediante criptografa de clave publicaEl esquema de firma RSAEl esquema de firma de ElGamalDigital Signature Standar DSS
4 Funciones resumen
U.D. Computacion (DSIC - UPV) Firma Digital 3 / 36
7/22/2019 Firma RSA
4/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema de
firma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
Definiciones
Proceso de cifrado mediante el cual:
Un usuario puede confirmar su identidad a cualquier otrousuarioEl receptor de una firma debe ser capaz de probar a untercero que la firma es autentica
U.D. Computacion (DSIC - UPV) Firma Digital 4 / 36
7/22/2019 Firma RSA
5/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema de
firma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
Definiciones
Proceso de cifrado mediante el cual:
Un usuario puede confirmar su identidad a cualquier otrousuarioEl receptor de una firma debe ser capaz de probar a untercero que la firma es autentica
La firma digital debe poseer las mismas propiedades que lafirma convencional:
Debe ser facil de generar por su propietarioNo puede ser rechazada por su propietario (irrevocable)
Solo debe poder ser generada por su propietario(infalsificable)Debe ser facil de verificar o reconocer, tanto por parte delpropietario, como de cualquier receptor.Debe depender del mensaje (no reutilizable)
U.D. Computacion (DSIC - UPV) Firma Digital 4 / 36
7/22/2019 Firma RSA
6/72
7/22/2019 Firma RSA
7/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema de
firma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
1 Definiciones
2 Firma digital mediante criptografa de clave secreta
3 Firma digital mediante criptografa de clave publicaEl esquema de firma RSAEl esquema de firma de ElGamalDigital Signature Standar DSS
4 Funciones resumen
U.D. Computacion (DSIC - UPV) Firma Digital 6 / 36
7/22/2019 Firma RSA
8/72
7/22/2019 Firma RSA
9/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
1 Definiciones
2 Firma digital mediante criptografa de clave secreta
3 Firma digital mediante criptografa de clave publicaEl esquema de firma RSAEl esquema de firma de ElGamalDigital Signature Standar DSS
4 Funciones resumen
U.D. Computacion (DSIC - UPV) Firma Digital 8 / 36
7/22/2019 Firma RSA
10/72
7/22/2019 Firma RSA
11/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamalDigital SignatureStandar DSS
Funcionesresumen
Firma digital mediante criptografa de clave publicaEsquema de firma de RSA. Descripcion
Sea n = pq donde p y q son primos. Sean a, b tales queab 1 (mod (n))k = (n, b, a); Clave publica: (n, b); Clave secreta: a
1 Dado un mensaje x, y = sigk(x) = xa
mod n2 verk(x, y) = cierto si y solo si y
b x (mod n)Debido a propiedades de la expoeneciacion modular,partiendo de varios mensajes y sus firmas correspondientes,podran construirse un mensaje nuevos y su firma
Es posible utilizar funciones de redundancia para dificultarla creacion de este tipo de mensajes. Tambien se aconsejael uso de funciones resumen
U.D. Computacion (DSIC - UPV) Firma Digital 9 / 36
7/22/2019 Firma RSA
12/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamalDigital SignatureStandar DSS
Funcionesresumen
Firma digital mediante criptografa de clave publicaEsquema de firma de RSA. Combinacion de firma y cifrado
El cifrado de clave publica puede combinarse facilmentecon la firma digital
Supongamos que Alice desea enviar el mensaje x a Bob(firmado y cifrado)
1 Ambos poseen un par de claves RSA (publica y privada)2 Alice obtiene la firma de x cifrando x con su clave privada:
y = eprAlice(x)3 Alice cifra el par (x, y) con la clave publica de Bob:
m = epbBob(x, y)
4 Bob recibe m. Utilizando su clave privada obtiene(x, y) = dprBob(m)5 Bob verifica la firma utilizando la clave publica de Alice.
dpbAlice(y) = x
Si x = x la firma es valida
U.D. Computacion (DSIC - UPV) Firma Digital 10 / 36
7/22/2019 Firma RSA
13/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamalDigital SignatureStandar DSS
Funcionesresumen
Firma digital mediante criptografa de clave publicaEsquema de firma de RSA. Combinacion de firma y cifrado
En el caso que se cifre antes de firmar:
1 cifrado: y = epbBob(x)2 firma: m = eprAlice(y)
Un posible tercero podra interceptar el mensaje:1 pudiendo obtener el mensaje cifrado y ya que para ello
unicamente necesita la clave PUBLICA de Alice2 Una vez que disponga del mensaje (cifrado) puede
suscribirlo, firmandolo con su clave privada
3 Bob no dispone de mecanismos para averiguar el origen delmensaje
U.D. Computacion (DSIC - UPV) Firma Digital 11 / 36
7/22/2019 Firma RSA
14/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamalDigital SignatureStandar DSS
Funcionesresumen
Firma digital mediante criptografa de clave publicaEsquema de firma de ElGamal. Descripcion
Disenado especficamente para firma. No determinista(dado un mensaje, existen multiples firmas validas para el)
La seguridad del sistema depende de la dificultad delproblema del logaritmo discreto. Necesita valoresmodulares grandes para mantener la seguridad de la firma
Necesita una funcion hash que obtenga un resumen en Zp(valor primo muy grande
Una modificacion de este esquema ha sido adoptada por laNIST
U.D. Computacion (DSIC - UPV) Firma Digital 12 / 36
7/22/2019 Firma RSA
15/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamalDigital SignatureStandar DSS
Funcionesresumen
Firma digital mediante criptografa de clave publicaEsquema de firma de ElGamal. Descripcion
Sea p primo y sea un generador de Zp
Denotamos el resumen del mensaje con x
Sea a un numero aleatorio y = a
k = (p,,,a); kpb = (p,, ); kpr = (a)
1 Generar aleatoriamente h tal que 1 h p 2 ymcd(h, p 1) = 1
sigk(x, h) = (, ) donde
= h mod p= (x a)h1 mod (p 1)
2 verk(, ) = cierto x (mod p) (x a)h1 (mod p 1), entonces, h x a(mod p 1) por lo que x a+ h (mod p 1) lo queconduce a ah x (mod p)
U.D. Computacion (DSIC - UPV) Firma Digital 13 / 36
7/22/2019 Firma RSA
16/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma de
ElGamalDigital SignatureStandar DSS
Funcionesresumen
Firma digital mediante criptografa de clave publicaDigital Signature Standar (DSS)
En la mayora de las situaciones, un documento cifradonecesita descifrarse una unica vez
Un documento firmado puede tener una vigencia mas
prolongada. El proceso de firma necesita un mayor nivelde seguridad
El esquema de firma de ElGamal es seguro para valores dep de 512 bits (1024 para mantener la seguridad en unfuturo proximo)
Una clave de 512 bits produce una firma de 1024 bits.Actualmente se estan introduciendo tarjetas con capacidadde 2048 bits.
U.D. Computacion (DSIC - UPV) Firma Digital 14 / 36
Fi di i l di i f d l bli
7/22/2019 Firma RSA
17/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma de
ElGamalDigital SignatureStandar DSS
Funcionesresumen
Firma digital mediante criptografa de clave publicaDigital Signature Standar (DSS). Descripcion
Disenado para utilizar el algoritmo de firma SHA
DSS modifica el esquema de ElGamal para que mensajes
de 160 bits puedan firmarse con 320 bits, pero realizandola computacion modulo 512
DSS trabaja con un subgrupo de Zp de talla 2160
La seguridad se fundamenta en la creencia de que elproblema del logaritmo discreto conserva sus propiedadesen dicho subgrupo
U.D. Computacion (DSIC - UPV) Firma Digital 15 / 36
Fi di i l di i f d l bli
7/22/2019 Firma RSA
18/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma de
ElGamalDigital SignatureStandar DSS
Funcionesresumen
Firma digital mediante criptografa de clave publicaDigital Signature Standar (DSS). Descripcion
Seleccionar q primo tal que 2159 < q< 2160
Sea 0 t 8, escoger p primo (2511+64t < p< 2512+64t)tal que q divide (p 1)Seleccionar , generador del unico grupo de orden q en Zp
Denotamos el resumen del mensaje con x
Sea a un numero aleatorio y = a mod pk = (p, q,,, a); kpb = (p, q,, ); kpr = (a)
1 Generar aleatoriamente h tal que 0 < h < q
sigk(x, h) = (, ) donde
= (h mod p) mod q= (x a)h1 mod q
2 verk(, ) = cierto si y solo si
h mod p 1x1 mod p (mod q)
U.D. Computacion (DSIC - UPV) Firma Digital 16 / 36
7/22/2019 Firma RSA
19/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma de
ElGamalDigital SignatureStandar DSS
Funcionesresumen
1 Definiciones
2 Firma digital mediante criptografa de clave secreta
3 Firma digital mediante criptografa de clave publicaEl esquema de firma RSAEl esquema de firma de ElGamalDigital Signature Standar DSS
4 Funciones resumen
U.D. Computacion (DSIC - UPV) Firma Digital 17 / 36
F i
7/22/2019 Firma RSA
20/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma de
ElGamalDigital SignatureStandar DSS
Funcionesresumen
Funciones resumenIntegracion de resumen y firma
Los esquemas de firma como ElGamal o DSS solopermiten firmar mensajes pequenos (512 o 160 bitsrespectivamente)
Un documento legal puede ser mucho mayor. Soluciontrivial: dividir el documento en multiples bloques y firmar
todos ellos:El tamano de la firma duplica el del mensajeEl proceso de firma es costoso debido al uso de funcionescostosas temporalmenteNo se garantiza la integridad del resultado (pueden
eliminarse/reordenarse bloques del mensaje sin afectar elresultado)
El uso de Funciones Resumen unidireccionales y rapidaspermite digerir un mensaje y obtener un resultado de tallafija (resumen)
U.D. Computacion (DSIC - UPV) Firma Digital 18 / 36
F i s s
7/22/2019 Firma RSA
21/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma de
ElGamalDigital SignatureStandar DSS
Funcionesresumen
Funciones resumenIntegracion de resumen y firma
El proceso de firma puede limitarse a la firma del resumen
A desea enviar x a B. Sea h una funcion resumen
1 A computa el resumen de x (h(x))2 A firma el resumen z = sigk(h(x)) y enva (x, z) a B3 B recibe el par (x, z), pudiendo computar el resumen del
mensaje x4 Dado el resumen, se puede verificar la firma verk(h(x), z)
La verificacion puede ser realizada por cualquiera
U.D. Computacion (DSIC - UPV) Firma Digital 19 / 36
Funciones resumen
7/22/2019 Firma RSA
22/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma de
ElGamalDigital SignatureStandar DSS
Funcionesresumen
Funciones resumenDescripcion
Sea un alfabeto binario A. Una funcion hash es unafuncion h donde el dominio esta formado por mensajes delongitud arbitraria y el rango es R An para un valor nprefijado
U.D. Computacion (DSIC - UPV) Firma Digital 20 / 36
Funciones resumen
7/22/2019 Firma RSA
23/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma de
ElGamalDigital SignatureStandar DSS
Funcionesresumen
Funciones resumenDescripcion
Sea un alfabeto binario A. Una funcion hash es unafuncion h donde el dominio esta formado por mensajes delongitud arbitraria y el rango es R An para un valor nprefijado
|D
|>>
|R
|, por lo tanto h no es inyectiva, produciendose
colisiones
U.D. Computacion (DSIC - UPV) Firma Digital 20 / 36
Funciones resumen
7/22/2019 Firma RSA
24/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma de
ElGamalDigital SignatureStandar DSS
Funcionesresumen
Funciones resumenDescripcion
Sea un alfabeto binario A. Una funcion hash es unafuncion h donde el dominio esta formado por mensajes delongitud arbitraria y el rango es R An para un valor nprefijado
|D
|>>
|R
|, por lo tanto h no es inyectiva, produciendose
colisionesPara una h aleatoria, si D = At (t> n), entonces a cadaresumen le corresponden 2tn mensajes. La probabilidadde que dos mensajes den como resultado la misma salidaes 2n
U.D. Computacion (DSIC - UPV) Firma Digital 20 / 36
Funciones resumen
7/22/2019 Firma RSA
25/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma de
ElGamalDigital SignatureStandar DSS
Funcionesresumen
Funciones resumenDescripcion
Sea un alfabeto binario A. Una funcion hash es unafuncion h donde el dominio esta formado por mensajes delongitud arbitraria y el rango es R An para un valor nprefijado
|D
|>>
|R
|, por lo tanto h no es inyectiva, produciendose
colisionesPara una h aleatoria, si D = At (t> n), entonces a cadaresumen le corresponden 2tn mensajes. La probabilidadde que dos mensajes den como resultado la misma salidaes 2n
Propiedades:
Facil de computar
Compresion: Cualquier entrada x de longitud arbitraria, seconvierte en h(x) de longitud fija
U.D. Computacion (DSIC - UPV) Firma Digital 20 / 36
Funciones resumen
7/22/2019 Firma RSA
26/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma de
ElGamalDigital SignatureStandar DSS
Funcionesresumen
Funciones resumenPropiedades de las funciones hash
Funciones hash unidireccionales (OWHF)
Funciones hash resistentes a colisiones (CRHF)
U.D. Computacion (DSIC - UPV) Firma Digital 21 / 36
Funciones resumen
7/22/2019 Firma RSA
27/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma de
ElGamalDigital SignatureStandar DSS
Funcionesresumen
Funciones resumenPropiedades de las funciones hash
Funciones hash unidireccionales (OWHF)Resistencia a la primera preimagen (one way hashing):Dado un valor hash y, es computacionalmente intratableencontrar un x D tal que h(x) = yResistencia a la segunda preimagen (Weak colision free):
Dado un mesaje x es computacionalmente intratableencontrar un segundo mensaje x, (x= x), tal queh(x) = h(x)
Funciones hash resistentes a colisiones (CRHF)
U.D. Computacion (DSIC - UPV) Firma Digital 21 / 36
Funciones resumen
7/22/2019 Firma RSA
28/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma de
ElGamalDigital SignatureStandar DSS
Funcionesresumen
Funciones resumenPropiedades de las funciones hash
Funciones hash unidireccionales (OWHF)Resistencia a la primera preimagen (one way hashing):Dado un valor hash y, es computacionalmente intratableencontrar un x D tal que h(x) = yResistencia a la segunda preimagen (Weak colision free):
Dado un mesaje x es computacionalmente intratableencontrar un segundo mensaje x, (x= x), tal queh(x) = h(x)
Funciones hash resistentes a colisiones (CRHF)
Resistencia a las colisiones (one way hashing): Encontrardos mensajes x, x D, (x= x), tales que h(x) = h(x)es computacionalmente intratable
(Implica resistencia a primera y segunda preimagen)
U.D. Computacion (DSIC - UPV) Firma Digital 21 / 36
Funciones resumen
7/22/2019 Firma RSA
29/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma de
ElGamalDigital SignatureStandar DSS
Funcionesresumen
Funciones resumenEl ataque del cumpleanos
Sea h : X
Z donde|X|
2|Z|
donde|X|
= m y|Z| = n. Por lo tanto existiran almenos n colisionesAsumimos que para cualquier z Z se cumple que|h1(z)| = m/n. En otro caso se incrementa laprobabilidad de encontrar una colision
U.D. Computacion (DSIC - UPV) Firma Digital 22 / 36
Funciones resumen
7/22/2019 Firma RSA
30/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma de
ElGamalDigital SignatureStandar DSS
Funcionesresumen
Funciones resumenEl ataque del cumpleanos
Sea h : X
Z donde|X
| 2|Z
|donde
|X
|= m y
|Z| = n. Por lo tanto existiran almenos n colisionesAsumimos que para cualquier z Z se cumple que|h1(z)| = m/n. En otro caso se incrementa laprobabilidad de encontrar una colision
Dados k mensajes al azar (x1, x2, . . . , xk), queremoscalcular la probabilidad de que no se produzca colision:
U.D. Computacion (DSIC - UPV) Firma Digital 22 / 36
Funciones resumen
7/22/2019 Firma RSA
31/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma de
ElGamalDigital SignatureStandar DSS
Funcionesresumen
u c o es esu eEl ataque del cumpleanos
Sea h : X
Z donde|X
| 2|Z
|donde
|X
|= m y
|Z| = n. Por lo tanto existiran almenos n colisionesAsumimos que para cualquier z Z se cumple que|h1(z)| = m/n. En otro caso se incrementa laprobabilidad de encontrar una colision
Dadosk
mensajes al azar (x
1,x
2, . . . ,x
k), queremoscalcular la probabilidad de que no se produzca colision:
1 1n
1 2
n
. . .
1 k 1
n
=
k1i=1
1 i
n
U.D. Computacion (DSIC - UPV) Firma Digital 22 / 36
Funciones resumen
7/22/2019 Firma RSA
32/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma de
ElGamalDigital SignatureStandar DSS
Funcionesresumen
El ataque del cumpleanos
Sea h : X
Z donde|X
| 2|Z
|donde
|X
|= m y
|Z| = n. Por lo tanto existiran almenos n colisionesAsumimos que para cualquier z Z se cumple que|h1(z)| = m/n. En otro caso se incrementa laprobabilidad de encontrar una colision
Dadosk
mensajes al azar (x
1,x
2, . . . ,x
k), queremoscalcular la probabilidad de que no se produzca colision:
1 1n
1 2
n
. . .
1 k 1
n
=
k1i=1
1 i
n
ex
= 1 x +x2
2! x3
3! . . .
U.D. Computacion (DSIC - UPV) Firma Digital 22 / 36
Funciones resumen
7/22/2019 Firma RSA
33/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma de
ElGamalDigital SignatureStandar DSS
Funcionesresumen
El ataque del cumpleanos
Sea h : X
Z donde|X
| 2|Z
|donde
|X
|= m y
|Z| = n. Por lo tanto existiran almenos n colisionesAsumimos que para cualquier z Z se cumple que|h1(z)| = m/n. En otro caso se incrementa laprobabilidad de encontrar una colision
Dadosk
mensajes al azar (x
1,x
2, . . . ,x
k), queremoscalcular la probabilidad de que no se produzca colision:
1 1n
1 2
n
. . .
1 k 1
n
=
k1i=1
1 i
n
ex
= 1 x +x2
2! x3
3! . . . , por lo que, si x 0entonces 1 x ex
U.D. Computacion (DSIC - UPV) Firma Digital 22 / 36
Funciones resumen
7/22/2019 Firma RSA
34/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma de
ElGamalDigital SignatureStandar DSS
Funcionesresumen
El ataque del cumpleanos
Sea h : X
Z donde|X
| 2|Z
|donde
|X
|= m y
|Z| = n. Por lo tanto existiran almenos n colisionesAsumimos que para cualquier z Z se cumple que|h1(z)| = m/n. En otro caso se incrementa laprobabilidad de encontrar una colisionDados k mensajes al azar (x
1, x
2, . . . , x
k), queremos
calcular la probabilidad de que no se produzca colision:
1 1n
1 2
n
. . .
1 k 1
n
=
k1i=1
1 i
n
ex
= 1 x +x2
2! x3
3! . . . , por lo que, si x 0entonces 1 x ex , con lo que la probabilidad de nocolision queda:
k1
i=1
1 i
n
k1
i=1
ei
n = ek(k1)
2n
U.D. Computacion (DSIC - UPV) Firma Digital 22 / 36
Funciones resumen
7/22/2019 Firma RSA
35/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma de
ElGamalDigital SignatureStandar DSS
Funcionesresumen
El ataque del cumpleanos
La probabilidad de colision se aproxima a 1 ek(k1)
2n .Cuantos mensajes hay que escoger para que laprobabilidad de colision sea ?
U.D. Computacion (DSIC - UPV) Firma Digital 23 / 36
Funciones resumen
7/22/2019 Firma RSA
36/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma de
ElGamalDigital SignatureStandar DSS
Funcionesresumen
El ataque del cumpleanos
La probabilidad de colision se aproxima a 1 ek(k1)
2n .Cuantos mensajes hay que escoger para que laprobabilidad de colision sea ?
e
k(k1)2n
1
U.D. Computacion (DSIC - UPV) Firma Digital 23 / 36
Funciones resumen
7/22/2019 Firma RSA
37/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma de
ElGamalDigital SignatureStandar DSS
Funcionesresumen
El ataque del cumpleanos
La probabilidad de colision se aproxima a 1 ek(k1)
2n .Cuantos mensajes hay que escoger para que laprobabilidad de colision sea ?
e
k(k1)2n
1 k(k
1)
2n ln(1 )
U.D. Computacion (DSIC - UPV) Firma Digital 23 / 36
Funciones resumenEl d l l
7/22/2019 Firma RSA
38/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secretaFirma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma de
ElGamalDigital SignatureStandar DSS
Funcionesresumen
El ataque del cumpleanos
La probabilidad de colision se aproxima a 1 ek(k1)
2n .Cuantos mensajes hay que escoger para que laprobabilidad de colision sea ?
e
k(k1)2n
1 k(k
1)
2n ln(1 )
k2 k 2n ln 11
U.D. Computacion (DSIC - UPV) Firma Digital 23 / 36
Funciones resumenEl d l l
7/22/2019 Firma RSA
39/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secretaFirma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
El ataque del cumpleanos
La probabilidad de colision se aproxima a 1 ek(k1)
2n .Cuantos mensajes hay que escoger para que laprobabilidad de colision sea ?
e
k(k1)2n
1 k(k
1)
2n ln(1 )
k2 k 2n ln 11 k
2n ln
1
1
U.D. Computacion (DSIC - UPV) Firma Digital 23 / 36
Funciones resumenEl t d l l
7/22/2019 Firma RSA
40/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secretaFirma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
El ataque del cumpleanos
La probabilidad de colision se aproxima a 1 ek(k1)
2n .Cuantos mensajes hay que escoger para que laprobabilidad de colision sea ?
e
k(k1)2n
1 k(k
1)
2n ln(1 )
k2 k 2n ln 11 k
2n ln
1
1
Si = 0.5 entonces k
n(2ln2) 1.17n
U.D. Computacion (DSIC - UPV) Firma Digital 23 / 36
Funciones resumenEl ata e del c leaos
7/22/2019 Firma RSA
41/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secretaFirma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
El ataque del cumpleanos
La probabilidad de colision se aproxima a 1 ek(k1)
2n .Cuantos mensajes hay que escoger para que laprobabilidad de colision sea ?
e
k(k1)2n
1 k(k
1)
2n ln(1 )
k2 k 2n ln 11 k
2n ln
1
1
Si = 0.5 entonces k
n(2ln2) 1.17nTomando n = 365 obtenemos k = 23
U.D. Computacion (DSIC - UPV) Firma Digital 23 / 36
Funciones resumenEl ataque del cumpleanos
7/22/2019 Firma RSA
42/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secretaFirma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
El ataque del cumpleanos
La probabilidad de colision se aproxima a 1 ek(k1)
2n .Cuantos mensajes hay que escoger para que laprobabilidad de colision sea ?
e
k(k1)2n
1 k(k
1)
2n ln(1 )
k2 k 2n ln 11 k
2n ln
1
1
Si = 0.5 entonces k n(2ln2) 1.17nTomando n = 365 obtenemos k = 23
Con el mismo n = 365, tomando = 0.95 entonces k = 47
U.D. Computacion (DSIC - UPV) Firma Digital 23 / 36
Funciones resumenEl ataque del cumpleanos
7/22/2019 Firma RSA
43/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secretaFirma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
El ataque del cumpleanos
El ataque del cumpleanos acota inferiormente la talla delresumen
Si el resumen es de 40 bits, entonces con probabilidad 0.5,
se puede obtener una colision con 220 mensajes al azar(aproximadamente 106 mensajes)
Una talla de 128 bits ha sido utilizada hasta ahora
DSS considera 160 bits
La familia SHA permite 256 y 512 bits
U.D. Computacion (DSIC - UPV) Firma Digital 24 / 36
Funciones resumenEl ataque del cumpleanos Algoritmo de Yuval
7/22/2019 Firma RSA
44/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa de
clave secretaFirma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
El ataque del cumpleanos. Algoritmo de Yuval
Firma de un mensaje ilegtimo con la de un mensaje inocuo
ENTRADA: Mensaje legtimo xl. Mensaje ilegtimo xi.Funcion hash h de m bits
SALIDA: Mensajes xl y x
i, con cambios menores respecto
la entrada, tales que h(x
l) = h(x
i)
U.D. Computacion (DSIC - UPV) Firma Digital 25 / 36
Funciones resumenEl ataque del cumpleanos Algoritmo de Yuval
7/22/2019 Firma RSA
45/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
El ataque del cumpleanos. Algoritmo de Yuval
Firma de un mensaje ilegtimo con la de un mensaje inocuo
ENTRADA: Mensaje legtimo xl. Mensaje ilegtimo xi.Funcion hash h de m bits
SALIDA: Mensajes xl y x
i, con cambios menores respecto
la entrada, tales que h(x
l) = h(x
i)METODO:
1 Generar t = 2m/2 modificaciones menores de xl2 Computar el resumen y almacenar los pares (xl, h(x
l))3 repetir
Generar xi modificacion menor de xi y computar h(xi )
Buscar una colision con alguna variante de xl
4 mientras no colision /* probable despues de t intentos */
U.D. Computacion (DSIC - UPV) Firma Digital 25 / 36
Funciones resumenLa familia MDx
7/22/2019 Firma RSA
46/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
La familia MDx
Propuesta por Rivest: MD2 en 1989; MD4 en 1990; MD5en 1991
MD2 optimizada para maquinas de 8 bits. MD4/5pensada para maquinas de 32 bits
MD4/5 obtiene un resumen de 128 bits
El esquema algoritmico se ha seguido utilizado en lasultimas propuestas de algoritmos de resumen
El estandar SHS esta basado en esta familia. Considera
mensajes de longitud menor de 264 produciendo unresumen de 160 bits. Recientemente se han disenadoalgoritmos que proporcionan resumenes de 256/512 bits
U.D. Computacion (DSIC - UPV) Firma Digital 26 / 36
Funciones resumenLa funcion MD4. Descripcion
7/22/2019 Firma RSA
47/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
a u c o esc pc o
Se extiende el mensaje (anadiendo un 1 seguido de
suficientes 0s) para que su longitud sea congruente con448 modulo 512 (faltan 64 bits para que la longitud delmensaje sea multiplo de 512)
U.D. Computacion (DSIC - UPV) Firma Digital 27 / 36
Funciones resumenLa funcion MD4. Descripcion
7/22/2019 Firma RSA
48/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
p
Se extiende el mensaje (anadiendo un 1 seguido de
suficientes 0s) para que su longitud sea congruente con448 modulo 512 (faltan 64 bits para que la longitud delmensaje sea multiplo de 512)
Al mensaje extendido se le anade la representacion binaria
del mensaje modulo 2
64
(los 64 bits menos significativos)
U.D. Computacion (DSIC - UPV) Firma Digital 27 / 36
Funciones resumenLa funcion MD4. Descripcion
7/22/2019 Firma RSA
49/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
p
Se extiende el mensaje (anadiendo un 1 seguido de
suficientes 0s) para que su longitud sea congruente con448 modulo 512 (faltan 64 bits para que la longitud delmensaje sea multiplo de 512)
Al mensaje extendido se le anade la representacion binaria
del mensaje modulo 2
64
(los 64 bits menos significativos)Dado el mensaje (longitud multiplo de 512), se construyeun vector de subcadenas (que llamaremos palabras) delongitud 32. Notese que la talla del vector es multiplo de16
M = M[0]M[1] . . . M[N 1] donde N 0 (mod 16)
U.D. Computacion (DSIC - UPV) Firma Digital 27 / 36
Funciones resumenLa funcion MD4. Descripcion
7/22/2019 Firma RSA
50/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
Se extiende el mensaje (anadiendo un 1 seguido de
suficientes 0s) para que su longitud sea congruente con448 modulo 512 (faltan 64 bits para que la longitud delmensaje sea multiplo de 512)
Al mensaje extendido se le anade la representacion binaria
del mensaje modulo 2
64
(los 64 bits menos significativos)Dado el mensaje (longitud multiplo de 512), se construyeun vector de subcadenas (que llamaremos palabras) delongitud 32. Notese que la talla del vector es multiplo de16
M = M[0]M[1] . . . M[N 1] donde N 0 (mod 16)El proceso recorre el mensaje considerando en cadaiteracion 16 palabras (esquema de Damgard y Merkle)
U.D. Computacion (DSIC - UPV) Firma Digital 27 / 36
Funciones resumenLa funcion MD4. Descripcion
7/22/2019 Firma RSA
51/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
Se extiende el mensaje (anadiendo un 1 seguido de
suficientes 0s) para que su longitud sea congruente con448 modulo 512 (faltan 64 bits para que la longitud delmensaje sea multiplo de 512)
Al mensaje extendido se le anade la representacion binaria
del mensaje modulo 2
64
(los 64 bits menos significativos)Dado el mensaje (longitud multiplo de 512), se construyeun vector de subcadenas (que llamaremos palabras) delongitud 32. Notese que la talla del vector es multiplo de16
M = M[0]M[1] . . . M[N 1] donde N 0 (mod 16)El proceso recorre el mensaje considerando en cadaiteracion 16 palabras (esquema de Damgard y Merkle)
El resumen se obtiene por concatenacion de 4 palabras de32 bits
U.D. Computacion (DSIC - UPV) Firma Digital 27 / 36
Funciones resumenLa funcion MD4. Algoritmo
7/22/2019 Firma RSA
52/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
1 A = 67452301(hex); B = efcdab89(hex)C = 98badcfe(hex); D = 10325476(hex)
2 for i = 0 to N/16 1 do /* para cada bloque de 16palabras */
3 for j = 0 to 15 do
X[j] = M[16i + j]4 AA = A; BB = B
CC = C; DD = D
5 Round 16 Round 27 Round 3
8 A = A + AA; B = B + BBC = C + CC; D = D + DD
9 Return ABCD
U.D. Computacion (DSIC - UPV) Firma Digital 28 / 36
Funciones resumenLa funcion MD4. Algoritmo
7/22/2019 Firma RSA
53/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
1 A = (A + f(B,C, D) + X[0])
7/22/2019 Firma RSA
54/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
1 A = (A + g(B, C,D) + X[0] + 5A827999)
7/22/2019 Firma RSA
55/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
1 A = (A + h(B,C,D) + X[0] + 6ED9EBA1)
7/22/2019 Firma RSA
56/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
Descripcion de las funciones f, g y h:f(X,Y, Z) = (X AND Y) OR (X AND Z)
/* Si X entonces Y, si no Z */g(X, Y, Z) = (X AND Y) OR (X AND Z) OR (Y AND Z)
/* funcion mayora */h(X,Y, Z) = (X Y Z)
Consideraciones:
X,Y y Z son palabras de 32 bitsLas operaciones AND, OR y X denotan las operacioneslogicas bit a bit
X + Y denota la aicion modulo 232 de X e YX
7/22/2019 Firma RSA
57/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
Muy pronto se desarrollan ataques a MD4 que noejecutaban la primera o tercera vuelta
U.D. Computacion (DSIC - UPV) Firma Digital 33 / 36
Funciones resumenLa funcion MD4
7/22/2019 Firma RSA
58/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
Muy pronto se desarrollan ataques a MD4 que noejecutaban la primera o tercera vuelta
Se ha mostrado como encontrar soluciones MD4 en menosde un minuto en un PC sin requisitos de configuracion
U.D. Computacion (DSIC - UPV) Firma Digital 33 / 36
Funciones resumenLa funcion MD4
7/22/2019 Firma RSA
59/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
Muy pronto se desarrollan ataques a MD4 que noejecutaban la primera o tercera vuelta
Se ha mostrado como encontrar soluciones MD4 en menosde un minuto en un PC sin requisitos de configuracion
Se ha demostrado que MD4 sin la tercera vuelta no es unafuncion hash unidireccional
U.D. Computacion (DSIC - UPV) Firma Digital 33 / 36
Funciones resumenLa funcion MD4
7/22/2019 Firma RSA
60/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
Muy pronto se desarrollan ataques a MD4 que noejecutaban la primera o tercera vuelta
Se ha mostrado como encontrar soluciones MD4 en menosde un minuto en un PC sin requisitos de configuracion
Se ha demostrado que MD4 sin la tercera vuelta no es unafuncion hash unidireccional
Se considera que MD4 esta roto
U.D. Computacion (DSIC - UPV) Firma Digital 33 / 36
Funciones resumenLa funcion MD5
7/22/2019 Firma RSA
61/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
MD5 considera el mismo tratamiento previo del mensaje
que hace MD4
U.D. Computacion (DSIC - UPV) Firma Digital 34 / 36
Funciones resumenLa funcion MD5
7/22/2019 Firma RSA
62/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
MD5 considera el mismo tratamiento previo del mensaje
que hace MD4
El algoritmo sigue basicamente el esquema MD4ejecutando una cuarta vuelta adicional
U.D. Computacion (DSIC - UPV) Firma Digital 34 / 36
Funciones resumenLa funcion MD5
7/22/2019 Firma RSA
63/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
MD5 considera el mismo tratamiento previo del mensaje
que hace MD4
El algoritmo sigue basicamente el esquema MD4ejecutando una cuarta vuelta adicional
Vulnerability of software integrity and code signing applications
to chosen-prefix collisions for MD5 November 30, 2007.Describe un procedimiento para encontrar mensajesdistintos x y x tales que hMD5(x) = hMD5(x
)
U.D. Computacion (DSIC - UPV) Firma Digital 34 / 36
Funciones resumenLa funcion MD5
7/22/2019 Firma RSA
64/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
MD5 considera el mismo tratamiento previo del mensaje
que hace MD4
El algoritmo sigue basicamente el esquema MD4ejecutando una cuarta vuelta adicional
Vulnerability of software integrity and code signing applications
to chosen-prefix collisions for MD5 November 30, 2007.Describe un procedimiento para encontrar mensajesdistintos x y x tales que hMD5(x) = hMD5(x
)
MD5 sigue siendo fiable como medio para validar lano-modificacion de ficheros propios cuyo contenido
conocemos. Deja de ser fiable como base para cualquiertipo de firmas o certificados
U.D. Computacion (DSIC - UPV) Firma Digital 34 / 36
Funciones resumenLa funcion MD5
7/22/2019 Firma RSA
65/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
MD5 considera el mismo tratamiento previo del mensaje
que hace MD4El algoritmo sigue basicamente el esquema MD4ejecutando una cuarta vuelta adicional
Vulnerability of software integrity and code signing applications
to chosen-prefix collisions for MD5 November 30, 2007.Describe un procedimiento para encontrar mensajesdistintos x y x tales que hMD5(x) = hMD5(x
)
MD5 sigue siendo fiable como medio para validar lano-modificacion de ficheros propios cuyo contenido
conocemos. Deja de ser fiable como base para cualquiertipo de firmas o certificados
DNI electronico utiliza SHA-1/RSA. Se recomienda nousarlo para firmar hashes MD5.
U.D. Computacion (DSIC - UPV) Firma Digital 34 / 36
Funciones resumenLa familia SHA
7/22/2019 Firma RSA
66/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
Desarrollado por la NSA en 1993. Considera mensajes de
longitud menor de 264 bits, produciendo inicialmente unresumen de 160 bits
U.D. Computacion (DSIC - UPV) Firma Digital 35 / 36
Funciones resumenLa familia SHA
7/22/2019 Firma RSA
67/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
Desarrollado por la NSA en 1993. Considera mensajes de
longitud menor de 264 bits, produciendo inicialmente unresumen de 160 bits
En 1995, NSA sustituye SHA-0 por SHA-1, basicamenteigual a SHA-0 con cambios menores
U.D. Computacion (DSIC - UPV) Firma Digital 35 / 36
Funciones resumenLa familia SHA
7/22/2019 Firma RSA
68/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
Desarrollado por la NSA en 1993. Considera mensajes de
longitud menor de 264 bits, produciendo inicialmente unresumen de 160 bits
En 1995, NSA sustituye SHA-0 por SHA-1, basicamenteigual a SHA-0 con cambios menores
Se ha propuesto un algoritmo de cumpleanos queencuentra colisiones en SHA-1 con un esfuerzo menor a lafuerza bruta (orden de 269 operaciones en lugar de 280)
U.D. Computacion (DSIC - UPV) Firma Digital 35 / 36
Funciones resumenLa familia SHA
7/22/2019 Firma RSA
69/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
Desarrollado por la NSA en 1993. Considera mensajes de
longitud menor de 264 bits, produciendo inicialmente unresumen de 160 bits
En 1995, NSA sustituye SHA-0 por SHA-1, basicamenteigual a SHA-0 con cambios menores
Se ha propuesto un algoritmo de cumpleanos queencuentra colisiones en SHA-1 con un esfuerzo menor a lafuerza bruta (orden de 269 operaciones en lugar de 280)
Este algoritmo encuentra colisiones en SHA-0 con 239
operaciones (!!)
U.D. Computacion (DSIC - UPV) Firma Digital 35 / 36
Funciones resumenLa familia SHA
7/22/2019 Firma RSA
70/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
Desarrollado por la NSA en 1993. Considera mensajes de
longitud menor de 264 bits, produciendo inicialmente unresumen de 160 bits
En 1995, NSA sustituye SHA-0 por SHA-1, basicamenteigual a SHA-0 con cambios menores
Se ha propuesto un algoritmo de cumpleanos queencuentra colisiones en SHA-1 con un esfuerzo menor a lafuerza bruta (orden de 269 operaciones en lugar de 280)
Este algoritmo encuentra colisiones en SHA-0 con 239
operaciones (!!)
Pese a esto, atacar SHA-1 es 4 ordenes de magnitud masdificil que atacar DES (...)
U.D. Computacion (DSIC - UPV) Firma Digital 35 / 36
Funciones resumenLa familia SHA
7/22/2019 Firma RSA
71/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
Desarrollado por la NSA en 1993. Considera mensajes de
longitud menor de 264 bits, produciendo inicialmente unresumen de 160 bits
En 1995, NSA sustituye SHA-0 por SHA-1, basicamenteigual a SHA-0 con cambios menores
Se ha propuesto un algoritmo de cumpleanos queencuentra colisiones en SHA-1 con un esfuerzo menor a lafuerza bruta (orden de 269 operaciones en lugar de 280)
Este algoritmo encuentra colisiones en SHA-0 con 239
operaciones (!!)
Pese a esto, atacar SHA-1 es 4 ordenes de magnitud masdificil que atacar DES (...)
Existen versiones de 256 bits (SHA-256) y de 512 bits(SHA-512) que se consideran inmunes (...) a ataques
U.D. Computacion (DSIC - UPV) Firma Digital 35 / 36
7/22/2019 Firma RSA
72/72
Firma Digital
U.D.Computacion
Definiciones
Firma digitalmediantecriptografa declave secreta
Firma digitalmediantecriptografa declave publica
El esquema defirma RSA
El esquema defirma deElGamal
Digital SignatureStandar DSS
Funcionesresumen
U.D. Computacion (DSIC - UPV) Firma Digital 36 / 36