Algoritmos Simetricos Criptgraficos

Seguridad de la red
Capítulo 3
La criptografía simétrica
• Modos de cifrado
• Data Encryption Standard (DES)
• Estándar de Encriptación Avanzado (AES)
• El cifrado de bloques RC4
• KASUMI
Seguridad de la red (WS 17/18): 03 - Criptografía simétrica 1

© Dr.-Ing G. Schäfer
El cifrado simétrico
• Descripción general:
• La misma clave K A, B se utiliza para cifrar y descifrar los mensajes:
Cifrar
Texto sin texto
formato Cipher-
desencriptar
texto Texto sin
Cipher- formato
• Notación:
• Si PAG denota el mensaje de texto sin formato E (K A, B, PAG) denota el texto cifrado y se mantiene D (K A, B, E (K A,
B, P)) = P
• Como alternativa a veces escribimos { PAG} KA, B o mi KA, B ( PAG) para E (K A, B, PAG)
• Ejemplos: DES, 3DES, AES, ...

Simétricos de bloque cifrados - Modos de cifrado 1
• Observaciones generales y la notación:
• Un texto plano PAG se segmenta en bloques PAG 1, PAG 2, ... cada uno de longitud segundo o j,
respectivamente, donde segundo denota el tamaño de bloque del algoritmo de cifrado y j <b
• el texto cifrado do es la combinación de do 1, do 2, ... dónde do yo denota el resultado de la encriptación

de la yo º de bloques del mensaje de texto claro
• Las entidades cifrar y descifrar un mensaje han convenido en una llave K.

Simétricos de bloque cifrados - BCE
• Código Modo de libro electrónico (BCE):

• cada bloque PAG yo de longitud segundo se cifra de forma independiente: do i = E (k, p yo)
• Un error de bit en un bloque de texto cifrado do yo resultados en un bloque de texto claro recuperado completamente
erróneamente PAG yo '
• La pérdida de sincronización no tiene ningún efecto si múltiplos enteros del tamaño de bloque segundo Esta
perdido.
Si se pierde cualquier otro número de bits, es necesaria la re-sincronización explícita.
• Desventaja: bloques de texto plano idénticos se cifran a texto cifrado idéntica!
BCE Tiempo = 1 Tiempo = 2 ... Tiempo = n
PAG 1 PAG 2 PAG norte
Cifrar K Cifrar K Cifrar ... K Cifrar
do 1 do 2 do norte

Simétricos de bloque cifrados - CBC
• Bloques de cifrado modo de encadenamiento (CBC):
• Antes de cifrar un bloque de texto plano pag yo se hace un XOR ( •) con el bloque de texto cifrado precedente do i-1:
norte do i = E (K, C i-1 • pag yo)
norte PAG yo '= do i-1 • D (K, C yo)
• Con el fin de calcular do 1 ambas partes están de acuerdo en una valor inicial (IV) para do 0
• propiedades:
• propagación de error:
norte A distorsionadas resultados bloque de texto cifrado en dos bloques de texto claro distorsionadas, como
PAG yo ' se calcula utilizando do i-1 y do yo
• Sincronización:
norte Si el número de bits perdidos es un número entero múltiplo de segundo, un bloque adicional
PAG i + 1 se distorsiona antes de que se restablezca la sincronización. Si cualquier otro número de

bits se pierden explícita es necesaria la re-sincronización.
• Ventaja: bloques de texto claro idénticos están codificadas a texto cifrado no idéntico.

Simétricos de bloque cifrados - CBC 2
CBC Tiempo = 1 Tiempo = 2 ... Tiempo = n
IV + + do n-1 +
Cifrar K Cifrar K Cifrar ... K Cifrar
do 1 do 2 do norte
do 1 do 2 do norte
desencriptar K desencriptar K desencriptar ... K desencriptar
IV + + do n-1 +

Simétricos de bloque cifrados - CFB
• Modo texto cifrado Comentarios (CFB):

• Un algoritmo de cifrado bloque de trabajar en bloques de tamaño segundo se puede convertir en un algoritmo que
trabaja en bloques de tamaño j (j <b):
norte Dejar: S (j, x) denotar la j más altos bits significativos de X

PAG yo, do yo denotar la yo º bloque de texto cifrado de civil y de longitud j IV ser un valor
inicial de ambas partes han acordado a continuación:
1
R •IV
• •RR• 1 • ••
jnn bien
mod 2 2 do nótese
•1 // j bits desviación a la izquierda y XOR con el viejo texto cifrado
norte
• • , j SC • •• •
K
PRE
nn
• , • •K • • nn
• • ,j SRE •jKSCRE
n
•• •j S • , • •• •
K
PRE
nn
• , • j S •• • K • PCRE
nnn
• Un valor actual de j 8 es para el cifrado de un carácter por paso

Simétricos de bloque cifrados - CFB 2
CFB Tiempo = 1 Tiempo = 2 ... Tiempo = m
do m-1
Shift-Reg. b Shift-Reg. Shift-Reg.
-j | jb bj | jb bj | jb
Cifrar Cifrar K Cifrar K ... Cifrar K

segundo segundo segundo
Seleccione Descartar Seleccione Descartar Seleccione Descartar
j | bj j | bj j | bj
j j j
PAG 1 + do 1 PAG 2 + do 2 j PAG metro + do mj

j j j j
do m-1
Shift-Reg. Shift-Reg. Shift-Reg.
bj | jb bj | jb bj | jb
desencriptar
Cifrar K Cifrar K ... Cifrar K
j j j

j j j j

Simétricos de bloque cifrados - CFB 3
• Propiedades de CFB:
norte Como los bloques de texto cifrado se desplazan a través del paso de registro a paso,
un bloque errónea do yo distorsiona el bloque de texto claro recuperado PAG yo ' así como la siguiente • b
/ j • bloques
norte Si el número de bits perdidos es un número entero múltiplo de j entonces • b / j • adicional
bloques están distorsionados antes de que se restablezca la sincronización. Si cualquier otro
número de bits se pierden explícita es necesaria la re-sincronización.
• Retirarse:
norte La función de cifrado mi necesita ser computado más a menudo, como una
cifrado de segundo poco tiene que realizarse para ocultar j poco de texto plano
norte Ejemplo: El uso de DES con el cifrado de un carácter a la vez:

• el cifrado tiene que ser realizado 8 veces más a menudo

Simétricos de bloque cifrados - OFB
• Modo de realimentación de salida (OFB):
• El algoritmo de cifrado bloque se utiliza para generar una secuencia pseudo-aleatoria R yo, que
depende sólo de K y IV:
norte Dejar: S (j, x) denotar la j más altos bits significativos de X
PAG yo, do yo denotar la yo º bloque de texto cifrado de civil y de longitud j IV ser un valor
inicial de ambas partes han acordado a continuación:
1
R •IV
• •RR• 1 ••
jnn
• ,j S •KREn • 1 ••
segundo
• mod 2 2 // j-bit desplazamiento a la izquierda + valor antiguo cifrada
•
norte
• , j SC • •• •
K
PRE
nn
• , • •K • • nn
• • ,j SRE •jKSCRE
n
•• •j S • , • •• •
K
PRE
nn
• , • j S •• • K • PCRE
nnn
norte El texto claro se XOR con la secuencia pseudo-aleatoria para obtener

el texto cifrado y viceversa

Simétricos de bloque cifrados - 2 OFB
DE B Tiempo = 1 Tiempo = 2 ... Tiempo = m
S (j, E K ( R m-1))
Cifrar Cifrar K Cifrar K ... Cifrar K

j j

jj j j j
S (j, E K ( R m-1))
desencriptar
Cifrar K Cifrar K ... Cifrar K

jj j jj jj

Simétricos de bloque cifrados - 3 OFB
• Propiedades de OFB:
norte errores de un solo bit como resultado sólo en los errores de un solo bit • sin multiplicación de errores
norte Si se pierden algunos bits se necesita explícita de resincronización
• Ventaja:
norte La secuencia pseudo-aleatoria puede ser pre-calcula con el fin de mantener
el impacto de cifrado para el retardo de extremo a extremo bajo
• inconvenientes:
norte Al igual que con la función de encriptación CFB mi necesita ser computado más
a menudo, como un cifrado de segundo poco tiene que realizarse para ocultar j poco de texto plano
norte Es posible que un atacante para manipular bits específicos del texto plano

Simétricos de bloque cifrados - Algoritmo general
• Data Encryption Standard (DES)

• American Standard de edad a partir de los años 70
• Inseguros porque de longitud de la clave y el bloque
• diseño fundamental
• cifrado triple con un cifrado de bloque, por ejemplo, Triple-DES
• Estándar de Encriptación Avanzado (AES)

• proceso de normalización abierto con participación internacional
• En octubre de 2000, un algoritmo llamado Rijndael se ha propuesto para AES
• estándar AES anunció en noviembre de 2001
• Ver también http://www.nist.gov/aes/
• Otros algoritmos populares:

• RC4
• KASUMI

El estándar de cifrado de datos (DES) - Historia
• 1973, la Oficina Nacional de Estándares (NBS, ahora Instituto Nacional de Estándares y

Tecnología, NIST) emitió una solicitud de propuestas para un estándar de cifrado nacional,
exigiendo que el algoritmo:
• proporcionar un alto nivel de seguridad,
• ser completamente especificada y fácil de entender,

• proporcionar seguridad sólo por su ' llave y no por su ' propio secreto,
• estar a disposición de todos los usuarios,
• ser adaptable para su uso en diversas aplicaciones,
• ser económicamente implementable en dispositivos electrónicos,
• ser eficiente de usar,
• ser capaz de ser validado, y

• ser exportable.
• Ninguna de las contribuciones para este primer llamado estuvo cerca de estos criterios.
• En respuesta a una segunda llamada, IBM presentó su ' algoritmo de Lucifer, un bloque de cifrado
simétrico, que trabaja en bloques de longitud de 128 bits utilizando claves de 128 bits de longitud y que
fue el único candidato prometedor

DES - Historia continuó
• El NBS solicitó la ayuda de la Agencia Nacional de Seguridad (NSA) para evaluar el

algoritmo ' s de seguridad:
• La NSA reduce el tamaño de bloque de 64 bits, el tamaño de la clave de 56 bits y cambió detalles
en el algoritmo ' s cajas de sustitución.
• Muchas de la NSA ' s justificación de estas modificaciones se hizo evidente en la década de 1990 ' s, pero
criado gran preocupación a finales del 1970 ' s.
• A pesar de todas las críticas del algoritmo se adoptó como “ Data Encryption Standard ” en la
serie de Federal Information Processing Standards en 1977 (FIPS PUB 46) y autorizados para
su uso en todas las comunicaciones del gobierno no clasificados.
• DES ha sido ampliamente adoptado en los años siguientes

DES - Esquema Algoritmo
de texto claro de 64 bits clave de 56 bits
Permutación Permutada
inicial Opción 1
K1 Permutada Circular izquierda

la iteración 1
Opción 2 Shift / 2
K2 Permutada Circular izquierda

iteración 2
Opción 2 Shift / 2
...
K dieciséis Permutada Circular izquierda
iteración 16
Opción 2 Shift / 2
Intercambio de 32 bits
Permutación
inicial inversa
texto cifrado de 64 bits
Seguridad de la red (WS 17/18): 03 - Criptografía simétrica dieciséis

DES - Iteration Individual (1)
Los datos que se cifran usada para el cifrado de clave
32 bits 32 bits de 28 bits de 28 bits
L i-1 R i-1 do i-1 re i-1
Permutación de
Shift izquierdo Shift izquierdo
expansión
R i-1 48
48 K yo La contracción de permutación
+
... K yo 48
(Perm. Choice 2)
S-Box: Elección
f (R i-1, K yo) Sustitución
32
Permutación
32
L yo R yo do yo re yo

DES - iteración individual (2)
• El bit de la derecha 32 de los datos a ser cifrados se expanden a 48 bits mediante el uso de
una tabla de expansión / permutación
• Tanto la izquierda y el bit de la derecha 28 de la llave (también llamados subclaves)
se dejó circular desplazada y el valor resultante se contrajo a 48 bits mediante el uso de una
tabla de permutación / contracción
• Los dos valores anteriores se XOR y se introducen en una caja de elección y
substitución:
• Internamente esta operación se realiza por 8 de los llamados S-boxes, cada uno de ellos la asignación de un valor de seis
bits en un valor de cuatro bits de acuerdo con una tabla de caja específica, en conjunto conduce a una salida de 32 bit
• El diseño de estas cajas-S se vio reforzada por la NSA, que dio lugar a un intenso debate en el
1970 ' s y se entiende en el 1990 ' s después del descubrimiento de criptoanálisis diferencial
• La salida de la etapa anterior se permuta de nuevo y XORed con la mano izquierda 32 bit de
datos que conducen a la nueva derecha 32 bit de datos
• La nueva izquierda 32 bits de datos son el valor de la derecha de la iteración
anterior

DES - descifrado (1)
• El uso de la abreviatura f (R, K) el proceso de cifrado se puede escribir como:

• L i = R i-1
• R i = L i-1 • f (R i-1, K yo)
• Esta idea de diseño (dividir los datos en dos mitades y organizar el cifrado de acuerdo con las ecuaciones anteriores)
se utiliza en muchos sistemas de cifrado en bloque y se llama
la red de Feistel ( de su inventor H. Feistel)
• El proceso de descifrado DES es esencialmente el mismo que el cifrado. Se utiliza el texto cifrado como
entrada para el algoritmo de cifrado, pero se aplica las subclaves en orden inverso
• Por lo tanto, los valores iniciales son:
• L ' 0 || R ' 0 = InitialPermutation (texto cifrado)

• texto cifrado = InverseInitialPermutation (R 16 || L dieciséis)
• L ' 0 || R ' 0 = InitialPermuation (InverseInitialPermutation (R 16 || L 16)) = R 16 || L dieciséis
• Después de un paso de descifrado:
• L ' 1 = R ' 0 = L 16 = R 15
• R ' 1 = L ' 0 • f (R ' 0, K 16) = R dieciséis • f (R 15, K 16) = [ L 15 • f (R 15, K dieciséis)] • f (R 15, K 16) = L 15

DES - descifrado (2)
• Esta relación se mantiene a través de todo el proceso como:
• R i-1 = L yo
• L i-1 = R yo • f (R i-1, K i) = R yo • Florida yo, K yo)
• Por último, la salida de la última ronda es:

• L ' 16 || R ' 16 = R 0 || L 0
• Después de la última ronda, DES realiza un intercambio de 32 bits y la permutación inicial inversa:
• InverseInitialPermutation (L 0 || R 0) =
InverseInitialPermutation (InitialPermutation (texto claro)) = texto claro

DES - Seguridad (1)
• debilidades clave:
• claves débiles: cuatro teclas son débiles, ya que generan subclaves, ya sea con todos 0 ' s 1 o la totalidad ' s
• Semiweak claves: hay seis pares de llaves, que cifran en texto llano a texto cifrado idéntica,
ya que generan sólo dos subclaves diferentes
• llaves posiblemente débiles: hay 48 teclas, que generan sólo cuatro subclaves diferentes
• En su conjunto 64 llaves de 72.057.594.037.927.936 se consideran débiles
• estructura algebraica:
• Si fuera DES cerrado, a continuación, para cada K 1, K 2 habría una K 3 tal que: E (K 2, E (K 1, M)) =
E (K 3, M), de este modo doble cifrado sería inútil
• Si fuera DES puro, A continuación, para cada K 1, K 2, K 3 habría una K 4 tal que E (K 3, E (K 2, E (K 1, M)))
= E (K 4, M) tanto de triple cifrado sería inútil
• DES no es ni cerrado ni puro, así un esquema de cifrado múltiple podría ser utilizado para aumentar la longitud
de clave (véase también a continuación)

DES - Seguridad (2)
• criptoanálisis diferencial:
• En 1990 E. Biham y A. Shamir publican este método de análisis
• Parece específicamente para las diferencias en los textos cifrados cuyos textos planos tienen diferencias
particulares y trata de adivinar la clave correcta de esta
• El enfoque de las necesidades básicas de texto plano escogido junto con su texto cifrado
• DES con 16 rondas es inmune frente a este ataque, ya que el ataque necesita 2 47
textos planos elegidos o (cuando “ convertido ” a un ataque de texto conocido) 2 55
textos planos conocidos.
• Los diseñadores de DES dijeron en el 1990 ' s que sabían acerca de este tipo de ataques en el 1970 ' s
y que las cajas-S fueron diseñados en consecuencia
• Longitud de la clave:
• Como una clave de 56 bits puede ser buscado en 10,01 horas cuando ser capaz de realizar 10 6 cifrados / •
s( que es factible en la actualidad), DES ya no se puede considerar como suficientemente seguro

La extensión de la Llave-Longitud del DES de cifrado múltiple (1)
• Doble DES: como DES no está cerrada, los resultados dobles de cifrado en un sistema de cifrado que utiliza claves de
112 bits:
• Desafortunadamente, puede ser atacado con un esfuerzo de 2 56
• Como C = E (K 2, E (K 1, PAG)) tenemos X: = E (K 1, P) = D (K 2, DO)
• Si un atacante puede obtener un par conocido en texto plano / texto cifrado entonces él puede construir dos
tablas ( satisfacer-en-el-medio-ataque):
norte Tabla 1 contiene los valores de X cuando PAG está cifrada con todo posible
valores de K
norte Tabla 2 contiene los valores de X cuando do se descifra con la posible

valores de K
norte Clasificar los dos tablas y construir teclas K T1 || K T2 para todas las combinaciones de
entradas que producen en el mismo valor
• Como hay 2 64 posibles valores de texto cifrado para cualquier texto claro dado que podría producirse
por Double-DES, no estarán en el promedio 2 112 / 2 64 = 2 48
falsas alarmas en el primero conocido par de texto claro / texto cifrado.
• Cada par de texto plano / texto cifrado adicional reduce la probabilidad de contraer una tecla equivocada en un factor de
1/2 64, por lo que con dos bloques conocidos es la oportunidad 2- dieciséis

La extensión de la Llave-Longitud del DES de cifrado múltiple (2)
• Por lo tanto, el esfuerzo necesario para romper DES es doble de la magnitud de 2 56,
que es sólo ligeramente mejor que el esfuerzo de 2 55 requerida para romper DES simple con
un ataque de texto conocido y muy lejos de la 2 111 que esperaríamos de cifrado con una
longitud de clave de 112 bits!
• Este tipo de ataque puede ser evitado mediante el uso de un esquema de cifrado triple, según lo
propuesto por W. Tuchman en 1979:
• C = E (K 3, D (K 2, E (K 1, PAG)))
• El uso de la función de descifrado re en el medio permite el uso de dispositivos de cifrado triples con sus compañeros que
sólo poseen dispositivos criptográficos individuales mediante el establecimiento de K 1 = K 2 = K 3
• cifrado Triple se puede utilizar con dos (set K 1 = K 3) o tres llaves diferentes
• No se conocen ataques prácticas contra este esquema hasta ahora
• Desventaja: el rendimiento es sólo 1/3 de la de un solo cifrado, por lo que podría ser una mejor idea de utilizar
un sistema de cifrado diferente, que ofrece una longitud mayor número- de inmediato

El estándar de cifrado avanzado AES (1)
• De enero 1997: la Instituto Nacional de Estándares y Tecnología (NIST)

de los EE.UU. anuncia el desarrollo AES esfuerzo.
• El objetivo general es desarrollar un Federal Information Processing Standard (FIPS) que especifica
un algoritmo (s) de cifrado capaz de proteger la información gubernamental sensible hasta bien
entrado el próximo siglo.
• Sep. de 1997: oficial llamar para los algoritmos, abierto a todos en la tierra
• AES especificaría un algoritmo sin clasificar, revelado públicamente cifrado (s), disponible
gratuitamente, en todo el mundo.
• De agosto 1998: primera conferencia candidato AES
• NIST anuncia la selección de 15 candidatos algoritmos

• La demanda de los comentarios del público
• De abril de 1999
• El uso de los análisis y los comentarios recibidos, el NIST selecciona cinco algoritmos como candidatos
finalistas: MARS, RC6, Rijndael, Serpent, y Dos peces
• Octubre de 2000: Rijndael se anuncia como el NIST ' s propuesta de AES

• 26. Noviembre 2001: anuncio oficial de la norma AES

• cifrado simétrico basado redonda

• No estructura Feistel (diferentes funciones de cifrado y descifrado)
• Clave y de bloque longitudes:
• Longitud de la clave: 128, 192, o 256 bits
• Longitud de bloque: 128, 192, o 256 bits (sólo 128 bit versión estandarizada)
• Número de rondas: 10, 12, 14
Estandarizados Configuraciones AES
Tamaño de la clave [bit] Bloquear Longitud [bit] # Rondas
128 128 10
192 128 12
256 128 14

• El algoritmo funciona en:

• estado [4, 4]: a byte-array de 4 filas y 4 columnas (por tamaño de bloque de 128 bits)
• tecla [4, 4]: una matriz de 4 filas y 4 columnas (para 128 bits tamaño de la clave)
• Encriptación: (para el bloque y tamaño de clave de 128 bits)
• Rondas 1 - 9 hacer uso de varias operaciones diferentes:
norte ByteSub: un byte sustitución no lineal mediante una mesa fija (básicamente un s-
caja)
norte ShiftRow: las filas del estado se desplazan cíclicamente diversos desplazamientos
norte MixColumn: las columnas de estado [] son considerados como polinomios más de
GF (2 8) y módulo multiplicado x 4 + 1 con una matriz fija:
norte RoundKey: la clave de ciclo se hace un XOR con el Estado
• Ronda 10 no hace uso de la operación MixColumn

Estructura de un disparo en Rijndael
(fuente: “ Rijndael ”, una presentación por J. Daemen y V. Rijmen)

• descifrado:
• Redondas llaves y operaciones aplicadas en orden inverso
• MixColumn paso sólo se puede invertir mediante la multiplicación con la matriz inversa (también
sobre GF (2 8))
• se utilizan soluciones pre-calculado menudo tabularized, pero toma más espacio

AES - Seguridad
• La estructura matemática sencilla de AES es la razón principal de su velocidad, pero dio lugar a
la crítica
• Sólo la función ByteSub es realmente no lineal e impide un análisis eficaz
• AES se puede describir como una gran operación de matriz
• Ya durante los ataques de normalización para las versiones reducidas se han desarrollado
• Un ataque con 2 32 texto abierto escogido contra una versión 7 ronda de AES [GM00]
• reducción significativa de la complejidad, incluso para una versión 9 ronda de AES con 256 tamaño de la clave con un
ataque clave relacionada
• 2011, el primer ataque contra un total de AES llegó a ser conocido [BKR11]
• La recuperación de claves en 2 126,1 por AES con 128 bits, 2 189,7 por AES con 192 bits, 2 254.4 por AES con
256 bits
• ataque “Práctica” (no asume claves relacionadas), pero

• Sólo un pequeño rasguño al considerar 10 años de investigación criptográfica

El RC4 corriente Cipher Algoritmo (1)
• RC4 es un cifrado de flujo que ha sido inventado por Ron Rivest en 1987
• Fue patentado hasta 1994, cuando alguien publicó de forma anónima a una lista de correo
• RC4 se hace funcionar en el modo de realimentación de salida (OFB):
• El algoritmo de cifrado genera un RC4 secuencia pseudo-aleatoria ( IV, K), que depende sólo
de la clave K y un vector de inicialización IV
• el texto plano PAG yo luego se XOR con la secuencia pseudo-aleatoria para obtener el texto
cifrado y viceversa:
norte do 1 = PAG 1 • RC4 ( IV 1, K)
norte PAG 1 = do 1 • RC4 ( IV 1, K)
• La secuencia pseudo-aleatoria a menudo también se denomina flujo de claves
• Es crucial para la seguridad de que no se KeyStream reutilizado !!!
norte Si se reutiliza flujo de clave (es decir IV 1 = IV 2 con el mismo K), entonces el
XOR de dos textos planos se puede obtener:
do 1 • do 2 = PAG 1 • RC4 ( IV, K) • PAG 2 • RC4 ( IV, K) = P 1 • PAG 2

• RC4 utiliza una clave de longitud variable de hasta 2048 bits
• En realidad, la clave sirve como la semilla de una pseudo-aleatoria de bits generador
• RC4 trabaja con dos matrices de bytes 256: S [0255], K [0255]
• Paso 1: Inicializar los arrays

for (i = 0; i <256; i ++) S [i] = i; // llenar matriz S [] con 0 a 255
// llenar matriz K [] con la llave y IV mediante la repetición de ellos hasta K [] se llena n = 0;
for (i = 0; i <256; i ++) {n = (n + S [i] + K [i]) MOD 256; swap (S [i], S [n]); }
• Paso 2: Generar el flujo de clave (después de inicializar i = 0; n = 0;)

i = (i + 1) MOD 256; n = (n + S [i]) MOD 256; swap (S [i], S
[n]);
t = (S [i] + S [n]) MOD 256;
Z = S [t]; // Z contiene 8 bits de corriente de clave producida por una iteración
• Paso 3: XOR la cadena de claves con el texto plano o texto cifrado

• Seguridad de RC4:
• La seguridad contra ataques de fuerza bruta (probando todas las claves posibles):
norte La longitud de clave variable de hasta 2048 bits permite hacerlos

práctico (al menos con los recursos disponibles en nuestro universo)
norte Sin embargo, mediante la reducción de la longitud de la clave RC4 también se puede hacer arbitrariamente
¡inseguro!
• RSA Data Security, Inc. afirma que RC4 es inmune a criptoanálisis diferencial y lineal, y se
sabe que no hay ciclos pequeños
• RC4 con claves de 40 bits tenía un estatus especial de exportación, incluso cuando otros sistemas de cifrado
no se les permitía ser exportados desde los EE.UU.
• Secure Socket Layer (SSL) utiliza RC4 con 40 teclas de bits como algoritmo por defecto
• longitud de clave de 40 bits no es inmune contra ataques de fuerza bruta
• Sin embargo, dependiendo del método de programación clave, RC4 puede ser seriamente
vulnerables! [FMS01a, Riv01a, SIR01a]
• Se recomienda para descartar al menos los primeros 3072 bytes de la corriente tecla [Mir02,
Kle08]
• Debe en realidad no dejar de utilizarse, incluso con las claves más largas

KASUMI
• Se utiliza para cifrar las llamadas en GSM y UMTS, implementa f (8) y f (9) (también llamado A5 /
3, UEA1, UIA1)
• Inicialmente estandarizada por 3GPP en el año 2000 [ETS12] y en base a MISTY1 por Mitsubishi
• Diseñado para la implementación de hardware

• implementación rápida posible
• <puertas 10k
• tamaño de bloque de 64 bits
• longitud de clave de 128 bits
• 8 ronda red de Feistel

• margen de seguridad no es muy grande

KASUMI - Iteration Individual (1)
usada para el cifrado de clave Los datos que se cifran
128 bits 32 bits 32 bits
L i-1 R i-1
K + Constante
K'
Elección
Elección aún por ronda
todos lados impar
48 L i-1
FO Florida
48 32 32 K yo ...
Elección
FL FO
32 Florida i-1, K yo)
32 32
L yo R yo

KASUMI - iteración individual (2)
• El bit de la izquierda 32 de los datos a ser encriptado es modificada por dos funciones no lineales de
FO y FL materiales que tanto el uso de claves
• El orden en que se aplican FO y FL depende del número redondo
• FL divide los datos en palabras de 16 bits que se combinan con el material de claves, permutados, y
XORed con los valores originales
• FO es una red de Feistel 3-redonda con un FI función de modificación que es en sí una red
de Feistel similar que emplea dos cajas S
• La salida de la etapa anterior se XOR con la mano derecha 32 bit de datos que conducen a
la nueva derecha 32 bit de datos
• La nueva izquierda 32 bit de datos es el valor de la derecha de la iteración anterior

Discusión de Seguridad - KASUMI
• Una versión reducida de KASUMI (6 rondas) puede ser atacado por los llamados
diferencial cripto-análisis imposible, donde los estados imposibles de la cifra se deducen del texto
cifrado / pares de texto sin formato
• Publicado por primera vez ya un año después de la normalización
• complejidad de tiempo de 2 100 [ Kue01]
• Para una versión completa de KASUMI relacionados con ataques claves son posibles
• Elegido ataque de texto plano, donde el atacante puede cifrar los mismos datos con múltiples teclas
“relacionadas”
• complejidad de tiempo de 2 76,1 [ BDN05] y 2 32 en el mejor de [DKS10]

• Sin embargo, las condiciones que los atacantes tienen acceso a las claves relacionadas en redes 3G son
muy rara vez
• Curiosamente BRUMOSOS no se ve afectado por estos ataques!
• Sin embargo ETSI ha adoptado NIEVE 3G (UEA2 y UIA2) [ETS06] estar preparado para una
violación completa de KASUMI
• cifrado de flujo basado en LFSR, puede ser implementado en 7.500 puertas ASIC
• Pero también vulnerable a los ataques clave relacionados [KY11]

Referencias adicionales
[AES01a] Instituto Nacional de Estándares y Tecnología (NIST). Especificación para la

Estándar de Encriptación Avanzado (AES). Federal Information Processing Standards
Publication, febrero de 2001. [DR97a]
J. Daemen, V. Rijmen. AES Propuesta: Rijndael.
http://csrc.nist.gov/encryption/aes/rijndael/Rijndael.pdf, 1997. [FMS01a] S. Fluhrer, I. Mantin, A. Shamir. Las
deficiencias en la clave de algoritmo de programación
de RC4. VIII Taller Anual sobre áreas seleccionadas de la criptografía, Agosto
2001.
[Riv01a] R. Rivest. Respuesta RSA Security a debilidades en Key algoritmo de programación
de RC4. http: // www. rsa.com/rsalabs/node.asp?id=2009, 2001. [SIR01a] A. Stubblefield, J.
Ioannidis, AD Rubin. Utilizando el Fluhrer, Mantin, y Shamir
Ataque para romper WEP. AT & T Labs Technical Report TD-4ZCPZZ, agosto de 2001. [FKLS00] N.
Ferguson, J. Kelsey, S. Lucks, B. Schneier, M. Stay, D.Wagner, D. Whiting.
Mejora de criptoanálisis de Rijndael. En FSE'00, volumen 1978 de Lecture Notes in Computer Science,
páginas 213-230. Springer, 2000.

Referencias adicionales
[GM00] H. Gilbert y M. Minier. Un ataque de colisión en 7 Rondas de Rijndael. En AES Candidato

Conferencia, páginas 230-241, 2000.
[BKR11] A. Bogdanov, D. Khovratovich, C. Rechberger. criptoanálisis biclique de la AES completo. En
ASIACRYPT'11, páginas 344-371, 2001.
[Mir02] I. Mironov. ( No tan) baraja al azar de RC4. Avances en criptología - CRYPTO 2002, el
volumen de 2442, páginas 304-319 LNCS, 2002.
[Kle08] A.Klein. Ataques a la cifra de corriente RC4. En los diseños, códigos y criptografía. 48,
volumen 3, páginas 269-286, 2008.
[ETS12] ETSI / SAGE. Especificación de la confidencialidad e integridad algoritmos 3GPP; Documento 2:
especificación Kasumi. Liberar 11. 2012
[Kue01] U. Kühn. Criptoanálisis de Ronda reducido el brumoso. Avances en criptología - EUROCRYPT 2001,
2001.
[BDN05] E. Biham, O. Dunkelman, N. Keller. Un relativos a la clave Ataque Rectángulo en la KASUMI completa, En
ASIACRYPT 2005, 2005.
[DKS10] O. Dunkelman, N. Keller, A. Shamir. Un tiempo de ataque práctica relacionada con la tecla en el
KASUMI sistema de cifrado utilizado en la telefonía GSM y 3G. En CRYPTO'10 de 2010.
[ETS06] ETSI / SAGE. Especificación del 3GPP confidencialidad e integridad Algoritmos UEA2 y UIA2.
Documento 2: SNOW 3G Especificación. Versión 1.1. 2006.
[KY11] A. Kircanski AM Youssef. En la propiedad de deslizamiento de la NIEVE NIEVE 3G y 2.0 IET Inf. Secur., Vol.
5, Iss. 4, páginas. 199-206. 2011


Algoritmos Simetricos Criptgraficos

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Algoritmos Simetricos Criptgraficos

Diunggah oleh

Hak Cipta:

Format Tersedia

Seguridad de la red

• El cifrado de bloques RC4

Seguridad de la red (WS 17/18): 03 - Criptografía simétrica 1

texto Texto sin

• Ejemplos: DES, 3DES, AES, ...

Seguridad de la red (WS 17/18): 03 - Criptografía simétrica 2

• Observaciones generales y la notación:

• el texto cifrado do es la combinación de do 1, do 2, ... dónde do yo denota el resultado de la encriptación

• Las entidades cifrar y descifrar un mensaje han convenido en una llave K.

Seguridad de la red (WS 17/18): 03 - Criptografía simétrica 3

Simétricos de bloque cifrados - BCE

• Código Modo de libro electrónico (BCE):

erróneamente PAG yo '

• Desventaja: bloques de texto plano idénticos se cifran a texto cifrado idéntica!

BCE Tiempo = 1 Tiempo = 2 ... Tiempo = n

PAG 1 PAG 2 PAG norte

Cifrar K Cifrar K Cifrar ... K Cifrar

Seguridad de la red (WS 17/18): 03 - Criptografía simétrica 4

• Bloques de cifrado modo de encadenamiento (CBC):

norte do i = E (K, C i-1 • pag yo)

norte PAG yo '= do i-1 • D (K, C yo)

PAG yo ' se calcula utilizando do i-1 y do yo

PAG i + 1 se distorsiona antes de que se restablezca la sincronización. Si cualquier otro número de

Seguridad de la red (WS 17/18): 03 - Criptografía simétrica 5

Simétricos de bloque cifrados - CBC 2

CBC Tiempo = 1 Tiempo = 2 ... Tiempo = n

PAG 1 PAG 2 PAG norte

Cifrar K Cifrar K Cifrar ... K Cifrar

desencriptar K desencriptar K desencriptar ... K desencriptar

PAG 1 PAG 2 PAG norte

Seguridad de la red (WS 17/18): 03 - Criptografía simétrica 6

• Modo texto cifrado Comentarios (CFB):

norte Dejar: S (j, x) denotar la j más altos bits significativos de X

• Un valor actual de j 8 es para el cifrado de un carácter por paso

Seguridad de la red (WS 17/18): 03 - Criptografía simétrica 7

Simétricos de bloque cifrados - CFB 2

CFB Tiempo = 1 Tiempo = 2 ... Tiempo = m

Cifrar Cifrar K Cifrar K ... Cifrar K

Seleccione Descartar Seleccione Descartar Seleccione Descartar

PAG 1 + do 1 PAG 2 + do 2 j PAG metro + do mj

Seleccione Descartar Seleccione Descartar Seleccione Descartar

PAG 1 + do 1 PAG 2 + do 2 j PAG metro + do mj

Seguridad de la red (WS 17/18): 03 - Criptografía simétrica 8

norte Ejemplo: El uso de DES con el cifrado de un carácter a la vez:

Seguridad de la red (WS 17/18): 03 - Criptografía simétrica 9

Simétricos de bloque cifrados - OFB

• Modo de realimentación de salida (OFB):

norte El texto claro se XOR con la secuencia pseudo-aleatoria para obtener

Seguridad de la red (WS 17/18): 03 - Criptografía simétrica 10

DE B Tiempo = 1 Tiempo = 2 ... Tiempo = m

Cifrar Cifrar K Cifrar K ... Cifrar K

Seleccione Descartar Seleccione Descartar Seleccione Descartar

PAG 1 + do 1 PAG 2 + do 2 j PAG metro + do mj

Seleccione Descartar Seleccione Descartar Seleccione Descartar

PAG 1 + do 1 PAG 2 + do 2 j PAG metro + do mj

Seguridad de la red (WS 17/18): 03 - Criptografía simétrica 11

Simétricos de bloque cifrados - 3 OFB

Seguridad de la red (WS 17/18): 03 - Criptografía simétrica 12

• Data Encryption Standard (DES)

• Inseguros porque de longitud de la clave y el bloque

• Estándar de Encriptación Avanzado (AES)

• Otros algoritmos populares:

Seguridad de la red (WS 17/18): 03 - Criptografía simétrica 13