Firma RSA

7/22/2019 Firma RSA

1/72

Firma Digital

U.D.Computacion

Definiciones

Firma digitalmediantecriptografa declave secreta

Firma digitalmediantecriptografa declave publica

El esquema defirma RSA

El esquema de

firma deElGamal

Digital SignatureStandar DSS

Funcionesresumen

Firma Digital

U.D. Computacion

DSIC - UPV

U.D. Computacion (DSIC - UPV) Firma Digital 1 / 36

7/22/2019 Firma RSA

2/72

Firma Digital

U.D.Computacion

Definiciones




El esquema de

firma deElGamal


Funcionesresumen

Contenidos del tema

1 Definiciones

2 Firma digital mediante criptografa de clave secreta

3 Firma digital mediante criptografa de clave publicaEl esquema de firma RSAEl esquema de firma de ElGamalDigital Signature Standar DSS

4 Funciones resumen


7/22/2019 Firma RSA

3/72

Firma Digital

U.D.Computacion

Definiciones




El esquema de

firma deElGamal


Funcionesresumen

1 Definiciones



4 Funciones resumen


7/22/2019 Firma RSA

4/72

Firma Digital

U.D.Computacion

Definiciones




El esquema de

firma deElGamal


Funcionesresumen

Definiciones

Proceso de cifrado mediante el cual:

Un usuario puede confirmar su identidad a cualquier otrousuarioEl receptor de una firma debe ser capaz de probar a untercero que la firma es autentica


7/22/2019 Firma RSA

5/72

Firma Digital

U.D.Computacion

Definiciones




El esquema de

firma deElGamal


Funcionesresumen

Definiciones

Proceso de cifrado mediante el cual:

Un usuario puede confirmar su identidad a cualquier otrousuarioEl receptor de una firma debe ser capaz de probar a untercero que la firma es autentica

La firma digital debe poseer las mismas propiedades que lafirma convencional:

Debe ser facil de generar por su propietarioNo puede ser rechazada por su propietario (irrevocable)

Solo debe poder ser generada por su propietario(infalsificable)Debe ser facil de verificar o reconocer, tanto por parte delpropietario, como de cualquier receptor.Debe depender del mensaje (no reutilizable)


7/22/2019 Firma RSA

6/72

7/22/2019 Firma RSA

7/72

Firma Digital

U.D.Computacion

Definiciones




El esquema de

firma deElGamal


Funcionesresumen

1 Definiciones



4 Funciones resumen


7/22/2019 Firma RSA

8/72

7/22/2019 Firma RSA

9/72

Firma Digital

U.D.Computacion

Definiciones




El esquema defirma deElGamal


Funcionesresumen

1 Definiciones



4 Funciones resumen


7/22/2019 Firma RSA

10/72

7/22/2019 Firma RSA

11/72

Firma Digital

U.D.Computacion

Definiciones

Firma digitalmediantecriptografa de

clave secreta



El esquema defirma deElGamalDigital SignatureStandar DSS

Funcionesresumen

Firma digital mediante criptografa de clave publicaEsquema de firma de RSA. Descripcion

Sea n = pq donde p y q son primos. Sean a, b tales queab 1 (mod (n))k = (n, b, a); Clave publica: (n, b); Clave secreta: a

1 Dado un mensaje x, y = sigk(x) = xa

mod n2 verk(x, y) = cierto si y solo si y

b x (mod n)Debido a propiedades de la expoeneciacion modular,partiendo de varios mensajes y sus firmas correspondientes,podran construirse un mensaje nuevos y su firma

Es posible utilizar funciones de redundancia para dificultarla creacion de este tipo de mensajes. Tambien se aconsejael uso de funciones resumen


7/22/2019 Firma RSA

12/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta




Funcionesresumen

Firma digital mediante criptografa de clave publicaEsquema de firma de RSA. Combinacion de firma y cifrado

El cifrado de clave publica puede combinarse facilmentecon la firma digital

Supongamos que Alice desea enviar el mensaje x a Bob(firmado y cifrado)

1 Ambos poseen un par de claves RSA (publica y privada)2 Alice obtiene la firma de x cifrando x con su clave privada:

y = eprAlice(x)3 Alice cifra el par (x, y) con la clave publica de Bob:

m = epbBob(x, y)

4 Bob recibe m. Utilizando su clave privada obtiene(x, y) = dprBob(m)5 Bob verifica la firma utilizando la clave publica de Alice.

dpbAlice(y) = x

Si x = x la firma es valida


7/22/2019 Firma RSA

13/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta




Funcionesresumen

Firma digital mediante criptografa de clave publicaEsquema de firma de RSA. Combinacion de firma y cifrado

En el caso que se cifre antes de firmar:

1 cifrado: y = epbBob(x)2 firma: m = eprAlice(y)

Un posible tercero podra interceptar el mensaje:1 pudiendo obtener el mensaje cifrado y ya que para ello

unicamente necesita la clave PUBLICA de Alice2 Una vez que disponga del mensaje (cifrado) puede

suscribirlo, firmandolo con su clave privada

3 Bob no dispone de mecanismos para averiguar el origen delmensaje


7/22/2019 Firma RSA

14/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta




Funcionesresumen

Firma digital mediante criptografa de clave publicaEsquema de firma de ElGamal. Descripcion

Disenado especficamente para firma. No determinista(dado un mensaje, existen multiples firmas validas para el)

La seguridad del sistema depende de la dificultad delproblema del logaritmo discreto. Necesita valoresmodulares grandes para mantener la seguridad de la firma

Necesita una funcion hash que obtenga un resumen en Zp(valor primo muy grande

Una modificacion de este esquema ha sido adoptada por laNIST


7/22/2019 Firma RSA

15/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta




Funcionesresumen

Firma digital mediante criptografa de clave publicaEsquema de firma de ElGamal. Descripcion

Sea p primo y sea un generador de Zp

Denotamos el resumen del mensaje con x

Sea a un numero aleatorio y = a

k = (p,,,a); kpb = (p,, ); kpr = (a)

1 Generar aleatoriamente h tal que 1 h p 2 ymcd(h, p 1) = 1

sigk(x, h) = (, ) donde

= h mod p= (x a)h1 mod (p 1)

2 verk(, ) = cierto x (mod p) (x a)h1 (mod p 1), entonces, h x a(mod p 1) por lo que x a+ h (mod p 1) lo queconduce a ah x (mod p)


7/22/2019 Firma RSA

16/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta



El esquema defirma de

ElGamalDigital SignatureStandar DSS

Funcionesresumen

Firma digital mediante criptografa de clave publicaDigital Signature Standar (DSS)

En la mayora de las situaciones, un documento cifradonecesita descifrarse una unica vez

Un documento firmado puede tener una vigencia mas

prolongada. El proceso de firma necesita un mayor nivelde seguridad

El esquema de firma de ElGamal es seguro para valores dep de 512 bits (1024 para mantener la seguridad en unfuturo proximo)

Una clave de 512 bits produce una firma de 1024 bits.Actualmente se estan introduciendo tarjetas con capacidadde 2048 bits.


Fi di i l di i f d l bli

7/22/2019 Firma RSA

17/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta





Funcionesresumen

Firma digital mediante criptografa de clave publicaDigital Signature Standar (DSS). Descripcion

Disenado para utilizar el algoritmo de firma SHA

DSS modifica el esquema de ElGamal para que mensajes

de 160 bits puedan firmarse con 320 bits, pero realizandola computacion modulo 512

DSS trabaja con un subgrupo de Zp de talla 2160

La seguridad se fundamenta en la creencia de que elproblema del logaritmo discreto conserva sus propiedadesen dicho subgrupo


Fi di i l di i f d l bli

7/22/2019 Firma RSA

18/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta





Funcionesresumen

Firma digital mediante criptografa de clave publicaDigital Signature Standar (DSS). Descripcion

Seleccionar q primo tal que 2159 < q< 2160

Sea 0 t 8, escoger p primo (2511+64t < p< 2512+64t)tal que q divide (p 1)Seleccionar , generador del unico grupo de orden q en Zp

Denotamos el resumen del mensaje con x

Sea a un numero aleatorio y = a mod pk = (p, q,,, a); kpb = (p, q,, ); kpr = (a)

1 Generar aleatoriamente h tal que 0 < h < q

sigk(x, h) = (, ) donde

= (h mod p) mod q= (x a)h1 mod q

2 verk(, ) = cierto si y solo si

h mod p 1x1 mod p (mod q)


7/22/2019 Firma RSA

19/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta





Funcionesresumen

1 Definiciones



4 Funciones resumen


F i

7/22/2019 Firma RSA

20/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta





Funcionesresumen

Funciones resumenIntegracion de resumen y firma

Los esquemas de firma como ElGamal o DSS solopermiten firmar mensajes pequenos (512 o 160 bitsrespectivamente)

Un documento legal puede ser mucho mayor. Soluciontrivial: dividir el documento en multiples bloques y firmar

todos ellos:El tamano de la firma duplica el del mensajeEl proceso de firma es costoso debido al uso de funcionescostosas temporalmenteNo se garantiza la integridad del resultado (pueden

eliminarse/reordenarse bloques del mensaje sin afectar elresultado)

El uso de Funciones Resumen unidireccionales y rapidaspermite digerir un mensaje y obtener un resultado de tallafija (resumen)


F i s s

7/22/2019 Firma RSA

21/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta





Funcionesresumen

Funciones resumenIntegracion de resumen y firma

El proceso de firma puede limitarse a la firma del resumen

A desea enviar x a B. Sea h una funcion resumen

1 A computa el resumen de x (h(x))2 A firma el resumen z = sigk(h(x)) y enva (x, z) a B3 B recibe el par (x, z), pudiendo computar el resumen del

mensaje x4 Dado el resumen, se puede verificar la firma verk(h(x), z)

La verificacion puede ser realizada por cualquiera


Funciones resumen

7/22/2019 Firma RSA

22/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta





Funcionesresumen

Funciones resumenDescripcion

Sea un alfabeto binario A. Una funcion hash es unafuncion h donde el dominio esta formado por mensajes delongitud arbitraria y el rango es R An para un valor nprefijado


Funciones resumen

7/22/2019 Firma RSA

23/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta





Funcionesresumen



|D

|>>

|R

|, por lo tanto h no es inyectiva, produciendose

colisiones


Funciones resumen

7/22/2019 Firma RSA

24/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta





Funcionesresumen



|D

|>>

|R


colisionesPara una h aleatoria, si D = At (t> n), entonces a cadaresumen le corresponden 2tn mensajes. La probabilidadde que dos mensajes den como resultado la misma salidaes 2n


Funciones resumen

7/22/2019 Firma RSA

25/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta





Funcionesresumen



|D

|>>

|R


colisionesPara una h aleatoria, si D = At (t> n), entonces a cadaresumen le corresponden 2tn mensajes. La probabilidadde que dos mensajes den como resultado la misma salidaes 2n

Propiedades:

Facil de computar

Compresion: Cualquier entrada x de longitud arbitraria, seconvierte en h(x) de longitud fija


Funciones resumen

7/22/2019 Firma RSA

26/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta





Funcionesresumen

Funciones resumenPropiedades de las funciones hash

Funciones hash unidireccionales (OWHF)

Funciones hash resistentes a colisiones (CRHF)


Funciones resumen

7/22/2019 Firma RSA

27/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta





Funcionesresumen


Funciones hash unidireccionales (OWHF)Resistencia a la primera preimagen (one way hashing):Dado un valor hash y, es computacionalmente intratableencontrar un x D tal que h(x) = yResistencia a la segunda preimagen (Weak colision free):

Dado un mesaje x es computacionalmente intratableencontrar un segundo mensaje x, (x= x), tal queh(x) = h(x)



Funciones resumen

7/22/2019 Firma RSA

28/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta





Funcionesresumen


Funciones hash unidireccionales (OWHF)Resistencia a la primera preimagen (one way hashing):Dado un valor hash y, es computacionalmente intratableencontrar un x D tal que h(x) = yResistencia a la segunda preimagen (Weak colision free):

Dado un mesaje x es computacionalmente intratableencontrar un segundo mensaje x, (x= x), tal queh(x) = h(x)


Resistencia a las colisiones (one way hashing): Encontrardos mensajes x, x D, (x= x), tales que h(x) = h(x)es computacionalmente intratable

(Implica resistencia a primera y segunda preimagen)


Funciones resumen

7/22/2019 Firma RSA

29/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta





Funcionesresumen

Funciones resumenEl ataque del cumpleanos

Sea h : X

Z donde|X|

2|Z|

donde|X|

= m y|Z| = n. Por lo tanto existiran almenos n colisionesAsumimos que para cualquier z Z se cumple que|h1(z)| = m/n. En otro caso se incrementa laprobabilidad de encontrar una colision


Funciones resumen

7/22/2019 Firma RSA

30/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta





Funcionesresumen


Sea h : X

Z donde|X

| 2|Z

|donde

|X

|= m y

|Z| = n. Por lo tanto existiran almenos n colisionesAsumimos que para cualquier z Z se cumple que|h1(z)| = m/n. En otro caso se incrementa laprobabilidad de encontrar una colision

Dados k mensajes al azar (x1, x2, . . . , xk), queremoscalcular la probabilidad de que no se produzca colision:


Funciones resumen

7/22/2019 Firma RSA

31/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta





Funcionesresumen

u c o es esu eEl ataque del cumpleanos

Sea h : X

Z donde|X

| 2|Z

|donde

|X

|= m y


Dadosk

mensajes al azar (x

1,x

2, . . . ,x

k), queremoscalcular la probabilidad de que no se produzca colision:

1 1n

1 2

n

. . .

1 k 1

n

=

k1i=1

1 i

n


Funciones resumen

7/22/2019 Firma RSA

32/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta





Funcionesresumen

El ataque del cumpleanos

Sea h : X

Z donde|X

| 2|Z

|donde

|X

|= m y


Dadosk

mensajes al azar (x

1,x

2, . . . ,x


1 1n

1 2

n

. . .

1 k 1

n

=

k1i=1

1 i

n

ex

= 1 x +x2

2! x3

3! . . .


Funciones resumen

7/22/2019 Firma RSA

33/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta





Funcionesresumen


Sea h : X

Z donde|X

| 2|Z

|donde

|X

|= m y


Dadosk

mensajes al azar (x

1,x

2, . . . ,x


1 1n

1 2

n

. . .

1 k 1

n

=

k1i=1

1 i

n

ex

= 1 x +x2

2! x3

3! . . . , por lo que, si x 0entonces 1 x ex


Funciones resumen

7/22/2019 Firma RSA

34/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta





Funcionesresumen


Sea h : X

Z donde|X

| 2|Z

|donde

|X

|= m y

|Z| = n. Por lo tanto existiran almenos n colisionesAsumimos que para cualquier z Z se cumple que|h1(z)| = m/n. En otro caso se incrementa laprobabilidad de encontrar una colisionDados k mensajes al azar (x

1, x

2, . . . , x

k), queremos

calcular la probabilidad de que no se produzca colision:

1 1n

1 2

n

. . .

1 k 1

n

=

k1i=1

1 i

n

ex

= 1 x +x2

2! x3

3! . . . , por lo que, si x 0entonces 1 x ex , con lo que la probabilidad de nocolision queda:

k1

i=1

1 i

n

k1

i=1

ei

n = ek(k1)

2n


Funciones resumen

7/22/2019 Firma RSA

35/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta





Funcionesresumen


La probabilidad de colision se aproxima a 1 ek(k1)

2n .Cuantos mensajes hay que escoger para que laprobabilidad de colision sea ?


Funciones resumen

7/22/2019 Firma RSA

36/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta





Funcionesresumen




e

k(k1)2n

1


Funciones resumen

7/22/2019 Firma RSA

37/72

Firma Digital

U.D.Computacion

Definiciones


clave secreta





Funcionesresumen




e

k(k1)2n

1 k(k

1)

2n ln(1 )


Funciones resumenEl d l l

7/22/2019 Firma RSA

38/72

Firma Digital

U.D.Computacion

Definiciones


clave secretaFirma digitalmediantecriptografa declave publica




Funcionesresumen




e

k(k1)2n

1 k(k

1)

2n ln(1 )

k2 k 2n ln 11


Funciones resumenEl d l l

7/22/2019 Firma RSA

39/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen




e

k(k1)2n

1 k(k

1)

2n ln(1 )

k2 k 2n ln 11 k

2n ln

1

1


Funciones resumenEl t d l l

7/22/2019 Firma RSA

40/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen




e

k(k1)2n

1 k(k

1)

2n ln(1 )

k2 k 2n ln 11 k

2n ln

1

1

Si = 0.5 entonces k

n(2ln2) 1.17n


Funciones resumenEl ata e del c leaos

7/22/2019 Firma RSA

41/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen




e

k(k1)2n

1 k(k

1)

2n ln(1 )

k2 k 2n ln 11 k

2n ln

1

1

Si = 0.5 entonces k

n(2ln2) 1.17nTomando n = 365 obtenemos k = 23



7/22/2019 Firma RSA

42/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen




e

k(k1)2n

1 k(k

1)

2n ln(1 )

k2 k 2n ln 11 k

2n ln

1

1

Si = 0.5 entonces k n(2ln2) 1.17nTomando n = 365 obtenemos k = 23

Con el mismo n = 365, tomando = 0.95 entonces k = 47



7/22/2019 Firma RSA

43/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen


El ataque del cumpleanos acota inferiormente la talla delresumen

Si el resumen es de 40 bits, entonces con probabilidad 0.5,

se puede obtener una colision con 220 mensajes al azar(aproximadamente 106 mensajes)

Una talla de 128 bits ha sido utilizada hasta ahora

DSS considera 160 bits

La familia SHA permite 256 y 512 bits


Funciones resumenEl ataque del cumpleanos Algoritmo de Yuval

7/22/2019 Firma RSA

44/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen

El ataque del cumpleanos. Algoritmo de Yuval

Firma de un mensaje ilegtimo con la de un mensaje inocuo

ENTRADA: Mensaje legtimo xl. Mensaje ilegtimo xi.Funcion hash h de m bits

SALIDA: Mensajes xl y x

i, con cambios menores respecto

la entrada, tales que h(x

l) = h(x

i)


Funciones resumenEl ataque del cumpleanos Algoritmo de Yuval

7/22/2019 Firma RSA

45/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen

El ataque del cumpleanos. Algoritmo de Yuval

Firma de un mensaje ilegtimo con la de un mensaje inocuo

ENTRADA: Mensaje legtimo xl. Mensaje ilegtimo xi.Funcion hash h de m bits

SALIDA: Mensajes xl y x

i, con cambios menores respecto

la entrada, tales que h(x

l) = h(x

i)METODO:

1 Generar t = 2m/2 modificaciones menores de xl2 Computar el resumen y almacenar los pares (xl, h(x

l))3 repetir

Generar xi modificacion menor de xi y computar h(xi )

Buscar una colision con alguna variante de xl

4 mientras no colision /* probable despues de t intentos */


Funciones resumenLa familia MDx

7/22/2019 Firma RSA

46/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen

La familia MDx

Propuesta por Rivest: MD2 en 1989; MD4 en 1990; MD5en 1991

MD2 optimizada para maquinas de 8 bits. MD4/5pensada para maquinas de 32 bits

MD4/5 obtiene un resumen de 128 bits

El esquema algoritmico se ha seguido utilizado en lasultimas propuestas de algoritmos de resumen

El estandar SHS esta basado en esta familia. Considera

mensajes de longitud menor de 264 produciendo unresumen de 160 bits. Recientemente se han disenadoalgoritmos que proporcionan resumenes de 256/512 bits


Funciones resumenLa funcion MD4. Descripcion

7/22/2019 Firma RSA

47/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen

a u c o esc pc o

Se extiende el mensaje (anadiendo un 1 seguido de

suficientes 0s) para que su longitud sea congruente con448 modulo 512 (faltan 64 bits para que la longitud delmensaje sea multiplo de 512)



7/22/2019 Firma RSA

48/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen

p



Al mensaje extendido se le anade la representacion binaria

del mensaje modulo 2

64

(los 64 bits menos significativos)



7/22/2019 Firma RSA

49/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen

p





64

(los 64 bits menos significativos)Dado el mensaje (longitud multiplo de 512), se construyeun vector de subcadenas (que llamaremos palabras) delongitud 32. Notese que la talla del vector es multiplo de16

M = M[0]M[1] . . . M[N 1] donde N 0 (mod 16)



7/22/2019 Firma RSA

50/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen





64


M = M[0]M[1] . . . M[N 1] donde N 0 (mod 16)El proceso recorre el mensaje considerando en cadaiteracion 16 palabras (esquema de Damgard y Merkle)



7/22/2019 Firma RSA

51/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen





64


M = M[0]M[1] . . . M[N 1] donde N 0 (mod 16)El proceso recorre el mensaje considerando en cadaiteracion 16 palabras (esquema de Damgard y Merkle)

El resumen se obtiene por concatenacion de 4 palabras de32 bits


Funciones resumenLa funcion MD4. Algoritmo

7/22/2019 Firma RSA

52/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen

1 A = 67452301(hex); B = efcdab89(hex)C = 98badcfe(hex); D = 10325476(hex)

2 for i = 0 to N/16 1 do /* para cada bloque de 16palabras */

3 for j = 0 to 15 do

X[j] = M[16i + j]4 AA = A; BB = B

CC = C; DD = D

5 Round 16 Round 27 Round 3

8 A = A + AA; B = B + BBC = C + CC; D = D + DD

9 Return ABCD


Funciones resumenLa funcion MD4. Algoritmo

7/22/2019 Firma RSA

53/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen

1 A = (A + f(B,C, D) + X[0])

7/22/2019 Firma RSA

54/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen

1 A = (A + g(B, C,D) + X[0] + 5A827999)

7/22/2019 Firma RSA

55/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen

1 A = (A + h(B,C,D) + X[0] + 6ED9EBA1)

7/22/2019 Firma RSA

56/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen

Descripcion de las funciones f, g y h:f(X,Y, Z) = (X AND Y) OR (X AND Z)

/* Si X entonces Y, si no Z */g(X, Y, Z) = (X AND Y) OR (X AND Z) OR (Y AND Z)

/* funcion mayora */h(X,Y, Z) = (X Y Z)

Consideraciones:

X,Y y Z son palabras de 32 bitsLas operaciones AND, OR y X denotan las operacioneslogicas bit a bit

X + Y denota la aicion modulo 232 de X e YX

7/22/2019 Firma RSA

57/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen

Muy pronto se desarrollan ataques a MD4 que noejecutaban la primera o tercera vuelta


Funciones resumenLa funcion MD4

7/22/2019 Firma RSA

58/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen


Se ha mostrado como encontrar soluciones MD4 en menosde un minuto en un PC sin requisitos de configuracion



7/22/2019 Firma RSA

59/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen



Se ha demostrado que MD4 sin la tercera vuelta no es unafuncion hash unidireccional



7/22/2019 Firma RSA

60/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen



Se ha demostrado que MD4 sin la tercera vuelta no es unafuncion hash unidireccional

Se considera que MD4 esta roto



7/22/2019 Firma RSA

61/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen

MD5 considera el mismo tratamiento previo del mensaje

que hace MD4



7/22/2019 Firma RSA

62/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen


que hace MD4

El algoritmo sigue basicamente el esquema MD4ejecutando una cuarta vuelta adicional



7/22/2019 Firma RSA

63/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen


que hace MD4


Vulnerability of software integrity and code signing applications

to chosen-prefix collisions for MD5 November 30, 2007.Describe un procedimiento para encontrar mensajesdistintos x y x tales que hMD5(x) = hMD5(x

)



7/22/2019 Firma RSA

64/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen


que hace MD4




)

MD5 sigue siendo fiable como medio para validar lano-modificacion de ficheros propios cuyo contenido

conocemos. Deja de ser fiable como base para cualquiertipo de firmas o certificados



7/22/2019 Firma RSA

65/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen


que hace MD4El algoritmo sigue basicamente el esquema MD4ejecutando una cuarta vuelta adicional



)

MD5 sigue siendo fiable como medio para validar lano-modificacion de ficheros propios cuyo contenido

conocemos. Deja de ser fiable como base para cualquiertipo de firmas o certificados

DNI electronico utiliza SHA-1/RSA. Se recomienda nousarlo para firmar hashes MD5.


Funciones resumenLa familia SHA

7/22/2019 Firma RSA

66/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen

Desarrollado por la NSA en 1993. Considera mensajes de

longitud menor de 264 bits, produciendo inicialmente unresumen de 160 bits



7/22/2019 Firma RSA

67/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen



En 1995, NSA sustituye SHA-0 por SHA-1, basicamenteigual a SHA-0 con cambios menores



7/22/2019 Firma RSA

68/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen




Se ha propuesto un algoritmo de cumpleanos queencuentra colisiones en SHA-1 con un esfuerzo menor a lafuerza bruta (orden de 269 operaciones en lugar de 280)



7/22/2019 Firma RSA

69/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen





Este algoritmo encuentra colisiones en SHA-0 con 239

operaciones (!!)



7/22/2019 Firma RSA

70/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen






operaciones (!!)

Pese a esto, atacar SHA-1 es 4 ordenes de magnitud masdificil que atacar DES (...)



7/22/2019 Firma RSA

71/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen






operaciones (!!)

Pese a esto, atacar SHA-1 es 4 ordenes de magnitud masdificil que atacar DES (...)

Existen versiones de 256 bits (SHA-256) y de 512 bits(SHA-512) que se consideran inmunes (...) a ataques


7/22/2019 Firma RSA

72/72

Firma Digital

U.D.Computacion

Definiciones






Funcionesresumen


Firma RSA

Documents