Introducci
on
M
etodos de Autentificaci
on
180
El esquema de autentificacion, descrito anteriormente, no proporciona sin embargo secreto (ya que cualquiera puede tener acceso a la clave p
ublica de j y por tanto puede leerlo).
Si se desea conjugar ambos aspectos puede cifrarse dos veces, seg
un el esquema siguiente:
supongamos j, con claves (nj , ej , dj ) desea enviar M a i, con claves (ni , ei , di ). Distingamos
(por razones tecnicas) dos casos:
Si ni < nj , M se cifra como [M ei (modni )]dj (modnj )
e
Si nj < ni , M se cifra como M dj (modnj ) i (modni )
El proceso se representa en la figura de la pagina siguiente.
Planteemos ahora el problema de la autentificacion de manera general. Los procesos
de autentificacion constituyen un tipo particular de una amplia gama de aplicaciones criptograficas que reciben el nombre generico de Protocolos Criptograficos (ver [9], para otros
tipos de protocolos).
181
182
Protocolos de Desafo-Respuesta
Definici
on 2.6. Son protocolos que demuestran la identidad de una parte A a otra B (el
verificador), demostrando la posesion de un cierto secreto (sin revelar este). Para ello A debe
proporcionar una respuesta a un cierto desafo planteado por el verificador. Habitualmente
tal respuesta debe ser dada en un plazo determinado. De no hacerlo as B considerara
terminado el protocolo y fallida la autentificacion.
183
184
Protocolo de identificaci
on de Fiat-Shamir
Requerimientos previos:
1. Una tercera parte confiable T ha elegido y hecho p
ublico n = pq, p, q primos,
guardando p, q secretos.
2. A elige el secreto s, 1 s n 1 y computa v = s2 (mod n), que registra con T
como llave p
ublica.
Algoritmo 2.9. Consta de t rondas (por ejemplo t=50) cada una implicando 3 intercambios
de mensajes.
1. A elige aleatoriamente r, 1 r n 1 y enva a V el testigo x = r2 (mod n).
2. V elige y enva a A, e {0, 1}.
3. A computa y enva a V :
y = r, si e = 0.
y = rs, si e = 1.
4. Si y = 0, V rechaza la prueba (r 6= 0). Caso contrario la acepta si y solo si y 2 xv e
(mod n).
Nota 2.10. Un adversario impersonando A puede enviar a V , x = r2 /v. Podra entonces
responder (correctamente) y = r si e = 1, pero no si e = 0. Luego tendra una probabilidad
1/2 de acierto en cada ronda.
185
Protocolo de identificaci
on de Schnorr
Basado en el problema del logaritmo discreto. Requiere solo tres intercambios de mensajes.
Requerimientos previos:
1. Una tercera parte confiable T ha elegido:
a1) p primo, q primo, q|p 1, (p 21024 , q 2160 ).
a2) 1 p 1 de orden q (mod p)
a3) Cada participante posee copia autentificada de (p, q, )
a4) Un parametro de seguridad t, t 40, 2t < q.
2. Parametros de A,
b1) Identificador IA
b2) Llave privada 0 a q 1
b3) Llave p
ublica v = a (mod p)
b4) Certificado emitido por T : CertA = (IA , v, DT (IA , v)) (DT llave privada de T ).
Algoritmo 2.11.
1. A elige aleatoriamente r, 1 r q 1 y enva a V : CertA , x r (mod p).
2. Tras verificar la llave p
ublica de A, V elige y enva a A, 1 e 2t .
3. A enva a V , y ae + r (mod q).
4. V acepta la identidad de A si z y v e (mod p) = x.
Firma Digital
El desarrollo del comercio electronico y de los requerimientos de autentificacion, hacen necesario un analogo electronico de la firma ordinaria, incluso con valor legal, para zanjar disputas
respecto a la autenticidad de documentos transmitidos electronicamente.
Ello confiere a la firma digital obvias implicaciones economicas, pero tambien legislativas
y jurdicas, como lo muestra el interes reciente del mundo del derecho por el tema y la
legislacion a la que ha dado lugar: Real Decreto-ley de firma electronica de 17/9/1999, LSSI,
directivas europeas, etc.
La firma electronica debe tener pues una serie de propiedades formalmente analogas a
las de la firma escrita ordinaria. En particular:
186
187
Las firmas con recuperacion del mensaje tienen el inconveniente de tener que cifrar (dos
veces si se desea garantizar secreto y autenticidad) todo el mensaje a autentificar, el cual
puede ser muy largo, con clave p
ublica (que es muy lenta).
En consecuencia, para firmar un mensaje, habitualmente se obtiene previamente un
comprimido de peque
no tama
no del mensaje, que es lo que se cifra para obtener la firma.
Tales comprimidos se obtienen utilizando las funciones hash anteriormente descritas.
Un protocolo de firma digital con apendice de un mensaje M (eventualmente cifrado
previamente, por ejemplo con clave privada, para garantizar el secreto) sera como sigue:
Algoritmo 3.4.
1. Obtener el comprimido hash H(M ) y su firma F (H(M )) (obtenida con la llave privada
del remitente, por ejemplo la llave privada de RSA).
2. Enviar el par (M, F (H(M ))).
3. El receptor calcula H(M ) por dos caminos: a partir del primer elemento del par y de
la funcion (p
ublicamente conocida) H y a partir del segundo elemento (aplicandole la
llave p
ublica del remitente).
4. El receptor compara los dos valores de H(M ) obtenidos, aceptando el mensaje si
coinciden y rechazandolo en caso contrario.
5. Eventualmente, si M estaba previamente cifrado, el receptor lo descifrara para obtener
el mensaje en claro.
Tipos de ataques
El objetivo para un atacante a un proceso de firma digital es forjar firmas que sean
aceptadas como validas. Seg
un el ambito de tales falsificaciones se habla de:
1. Rotura total: El atacante posee un algoritmo de firma funcionalmente equivalente al
autentico.
2. Rotura selectiva: El atacante es capaz de forjar una firma para un tipo particular
de mensaje.
3. Rotura existencial: El atacante es capaz de forjar una firma para al menos un
mensaje.
188
189
M +nr
k
mod q.
3. Firma: (M,f(M)=r,s).
4. Verificaci
on de la firma: Sean w s1 mod q, u M w mod q y v rw mod q.
La firma se acepta como valida si r [g u K v mod p] mod q.
Bibliografa
[1] P. Alegra, M.A. Garca, I. Martinez, J. Tena, A. Vera, Aplicaciones de las Matem
aticas.
Editorial Antonio Vera, 2002.
[2] A. Fuster, D. de la Gua, L. Hernandez, F.Montoya, J.Mu
noz, Tecnicas Criptograficas de
proteccion de datos. Ed. Ra-Ma, 1997.
[3] J. Gutierrez, A. Ibeas, Criptografa. Protocolos Criptograficos y Seguridad en Redes. (Eds. J.
Gutierrez, T. Ayuso), Servicio de Publicaciones Universidad de Cantabria, 2003.
190
[4] A.J. Menezes, P.C van Oorschot, S.A. Vanstone, Handbook of Applied Cryptography. C.R.C.,
1997.
[5] J. Pastor, M.A. Sarasa, Criptografa Digital. Fundamentos y Aplicaciones. Prensas de la U.
de Zaragoza, 1997.
[6] B. Schneider, Applied Criptography. J. Wiley, 1994.
[7] W. Stalling, Cryptography and Network Security. Prentice Hall, 1998.
[8] D.R. Stinson, Cryptography. Theory and Practice, C.R.C., 1995.
[9] J. Tena, Protocolos Criptogr
aficos. Protocolos Criptograficos y Seguridad en Redes. (Eds. J.
Gutierrez, T. Ayuso), Servicio de Publicaciones Universidad de Cantabria, 2003.