cripto 1p Flashcards
Cifrar y tagear un mensaje con MAC es CCA-Secure
a- Solo si se usan claves distintas k1 y k2 ytransmitiendo el tag t=MACk2(Ek1(m)) en plano.
b- Siempre y cuando se utilice la misma clave k tanto para generar el MAC como para Cifrar. De otra forma no es un criptosistema.
c- SOlo si se usan claves distintas k1 y k2 y primero se genera el tag en base al texto plano y luego se obtiene (c,t) = Ek1(m, MACk2(m))
a-Cifrar y luego autentucar siempre es seguro con k1 != k2
b- Esta afirmacion es falsa. La clave para encriptar siempre debe ser distinta a la clave para tagear para garantizar que sean independientes y que no se repitan estados internos.
c- Autenticar y luego cifrar puede ser seguro si pasa la prueba CCA.
rta: a
El principal problema del modo de operacion de cifrado en el bloque ECB es
a- Dos bloques de mensaje m_1 y m_j que son identicos generan cifrados que son tambien identicos. Esro se soluciona en el modo CBC mediante la utilizacion de un IV que es un numero aleatorio secreto entre las partes con el que se xorea el mensaje.
b- Dos bloques de mensaje m_i y m_j que son identicos generan cifrados que son tambien identicos. Esto se soluciona en el modo CBC mediante la utilizacion de un IV que es un numero aleatorio que se transmite plano con el que se xorea el mensaje.
c- Dos bloques de mensaje consecutivos m_i y m_{i+1} que son identicos generan cifrados que son tambien identicos. Esto se soluciona en el modo CBC mediante la utilizacion de un IV que es un numero aleatorio secreto entre las partes con el que se xorea el cifrado.
El problema de ECB es que encriptar dos mensajes identicos siempre devuelve el mismo cifrado
Un atacante puede:
- detectar si 2 mensajes son identicos
- detectar si un mensaje tiene data repetida (ej muchos null bytes)
- detectar si dos mensajes comparten prefijo
–> el atacante obtiene mucha informacion de los mensajes, NO es CPA-Secure
a- esta es falsa porque el IV no es privado
b- el IV no se xorea con todo el mensaje pues este ultimo se divide en bloques
c- La primero parte esta bien pero en la segunda parte se xorea el mensaje, no el cifrado.
Rta: b
El sistema de encripcion clasica de Vigenere sobre el alfabeto ingles
a- Es una composicion de un cifrado de sustitucion con uno de transposicion
b- Conserva la distribucion relativa de cada letra segun una frecuencia de aparicion
c- Tiene secreto perfecto siempre y cuando el mensaje tenga al menos la longitud de la clave
a- Esta afirmacion es falsa pues no hay ningun tipo de permutacion/transposicion en el texto Ej. el orden de los caracteres no se altera
b- Esto es correcto. Este tipo de cifrado genera secuencias repetidsa que permiten estimar la longitud de la clave. Luego, se generan |k| subtextos y para cada subtexto, la misma letra se cifra a una misma letra –> se mantiene la frecuencia de la letra sustituida con respecto a la frecuencia de la original.
c- Esta afirmacion es falsa. Tiene secreto perfecto siempre y cuando la longitud de la clave sea mayor o igual a la longitud del mensaje
Rta: b
Dado el criptosistema de clave publica RSA
Pub: (n, e) Priv:(p, q, d)
n= p * q
Φ(n) = (p-1) * (q-1)
e ⊥ Φ(n)(1<=e<=Φ(n))
e.d ≡1 (mod Φ(n)) con (1<= d <= Φ(n))
¿Como son las operaciones de encripcion y desencripcion para que sea un criptosistema?
Encpk(m)= me mod n y Decsk(c) = cd mod n
https://itba2-my.sharepoint.com/:i:/g/personal/ltorrusio_itba_edu_ar/EcqLmXjCt39JlgRlQt8YJiUBXhH1PXymkK-sMNDcEP42dg?e=xdAwEv
Dado el criptosistema de clave publica RSA
Pub: (n, e) Priv:(p, q, d)
n= p q y e.d ≡1_{Φ(n)} con (1<= d <= Φ(n))
e ⊥ Φ(n)(1<=e<=Φ(n))
Mallory afirma que tiene un algoritmo que puede factorizar un numero en tiempo polinomial. Asumir la existencia de un oraculo para ello y plantear un ataque PubKeavA,π(n)
Si M tiene un algoritmo que puede factorizar un numeo en tiempo polinomial, entonces obtiene p y q facilmente. Conocemos p, q y e. Tomemos como ejemplo p=3, q=5 y e=3. m_0=1 y m_1=2, A emite 0 si C=1 y 1 sino
| |b |c |b' |1 |0 |1 |0 ✓ |2 |1 |8 |1 ✓
→ PubkEAVAπ = 1
Obs: Si P(PubkEAVAπ = 1) < 0.5 + E, π es indistinguible.
Dado el criptosistema de clave publica RSA
Pub: (n, e) Priv:(p, q, d)
n= p q y e.d ≡1Φ(n) con (1<= d <= Φ(n))
e ⊥ Φ(n)(1<=e<=Φ(n))
Por que seria una mala idea que p y q sean iguales?
Si p=q, N=p^2 y es muy facil de factorizar pues hacemos √N . Una vez que tenemos p podemos conocer el cifrado de cualquier mensaje.
Dado el siguiente sistema de cifrado en flujo π = (Gen, Enc, Dec).
Genk ∈ {0,1}n
c= Ek(m) = G(k) ⊕ m
indicar como es el proceo de desencripcion
Dec_k (c) = c⊕G(k)
Dado el siguiente sistema de cifrado en flujo π = (Gen, Enc, Dec).
Genk ∈ {0,1}n
c= Ek(m) = G(k) ⊕ m
Como podria modificarse para que sea CPA-Secure?
Se puede tomar una funcion pseudoaleatoria que tome un numero aleatorio r y Enck(m)=Fk(r)⊕m. Fk(r) es indistinguible de una funcion elegida completamente al azar y su determinismo depende de r.
Dado el siguiente sistema de cifrado en flujo π = (Gen, Enc, Dec).
Genk ∈ {0,1}n
c= Ek(m) = G(k) ⊕ m
que alternativas se pueden implementar para encriptar mensajes de cualquier longitud?
https://itba2-my.sharepoint.com/:i:/g/personal/ltorrusio_itba_edu_ar/EfbJFkHjj4xDm-ym3xCkMjwBJSCpbRvSpv9A71gWnjzJoA?e=e5Ndsm
Dado el siguiente criptosistema π = (Gen, Enc, Dec).
Para p∈Z y a,b,r∈Z_p, siendo la clave k = (a,b) y siendo r← random
r∈Z_2 r=0 o r=1
(c1, c2, r) = Ek(m) = (m+a, m+b)p
…………………| (c1 - a)(p) r=0
m = Dk (c)<
…………………|(c2 - b)(p) r=1
donde (.)(p) implica que opera con aritmetica modular.
es un criptosistema valido?
Para que un criptosistema sea valido, se debe cumplir Dec_k(Enc_k (m)) = m.
Caso 1: r=0 –> Deck(Enck(m)) = c1 -a = m+a-a = m
Caso 2: r=1 –> Deck(Enck(m)) = C2-b=m+b-b=m
Conclusion:
∀r∈Z2 se cumple Dec_k(Enc_k(m))=m , entonces el criptosistema es valido
Dado el siguiente criptosistema π = (Gen, Enc, Dec).
Para p∈Z y a,b,r∈Zp, siendo la clave k = (a,b) y siendo r← random
r∈Z2 r=0 o r=1
(c1, c2, r) = Ek(m) = (m+a, m+b)(p)
…………………| (c1 - a)(p) r=0
m = D_k (c)<
…………………|(c2 - b)(p) r=1
donde (.)(p) implica que opera con aritmetica modular.
Si m, a, b, ci ∈Z26 y a=b tiene secreto perfecto? Demostrar
Si hacemos el experimento y A envia m0=a y m1=a+1, entonces emite b’=0 cuando c1, c2 pares.
| |b | c |b' |0 |0 |(2a, 2a) |0 ✓ |1 |1 |(2a+1, 2a+1)|1 ✓
Conclusion: P(ExpeavA,m = 1) = 1 –> no hay secreto perfecto
Lo importante al encriptar un mensaje con una fucnion de hash es que este demostrado que para la misma es computacionalmente complejo encontrar la preimagen, eventuales colisiones o segundas preimagenes.
VERDADERO
FALSO
VERDADERO
La seguridad computacional recae en que la funcion de hash sea resistente a colisiones
Una firma digital basada en un algoritmo asimetrico no requiere utilizar primitivas de hash
VERDADERO
FALSO
VERDADERO
Un ejemplo puede ser ‘RSA-Signature’ que aunque sea inseguro, no requiere funciones de hash.
El algoritmo de Diffie-Hellman permite que alice le envie una clave de sesion a Bob por un canal inseguro
VERDADERO
FALSO
FALSO
El algoritmo DH no garantiza que B le lleve la clave de A ante un ataque de tipo Man in the Middle
El algoritmo de AES se basa en las Feister-Network para cifrar simetrica
* VERDADERO
* FALSO
FALSO
El algoritmo DES se basa en los Feister Network
Un cilintro de Jefferson esta compuesto por 36 discos, unidos sobre un eje de rotacion en el interior que le permite rotar libremente. Cada disco tiene a su vez 26 letras, A-Z, en la periferia, con un orden especifico para cada disco, en una configuracion particular. Es decir, cada disco tiene una permutacion de A-Z, y a su vez el orden de los discos puede alterarse. Una barra de referencia con una ranura se coloca de manera paralela al eje por donde es posible leer la alineacion de las letras.
FOTO
El mecanismo de encripcion procede alineadndo los discos hasta formar sobre la ranura el mensaje de 36 letras a encriptar y se selecciona una de las 25 alineaciones restantes para formar el texto cifrado. Ejemplo, si el mensaje a encriptar arranca con “ATAQUE…”, se rota el primer disco hasta quue la “A” quede visible sobre la ranura, el segundo disco hasta que quede visible la “T”, y asi sucesivamente. Luego se elige alguna de las 25 alineaciones restantes, y esa corresponde al texto cifrado.
Con discos con exactamente la misma configuracion de letras cada uno y ordenados en la misma secuencia, se procede a la Desencripcion alineando el texto cifrado con cada una de las letras de cada disco sobre la ranura y buscando en las restantes 25 alineaciones, aquella que posea algun texto plano reconocible.
Considerando por simplicidad mensajes de 36 letras
a) Cual es el tamano del espacio de claves
b) Demostrar si este sistema admite secreto perfecto y bajo que condiciones. Especificar claramente la estrategia de la demostracion elegida.
a- |k| = 36! porque un mnesaje de l=36 puede ser cifrado 36! veces distintas segun como se ordenen los discos
b- La seguridad de un criptosistema implica que un atacante no puede obtener informacion alguna del mensaje. Para cada letra del texto plano, sabemos que hay una que no puede ser. Es decir, si la letra b es cifrada con d entonces ya podemos descartar una opcion. En este sentido, obtenemos informacion del mensaje original
Dado el siguiente esquema de intercambio de claves (Shamirs no key protocol) entre A y B.
Publico p prime
A, B seleccionan a,b | 1≤ a, b ≤ p-2, a ⊥(p-1), b ⊥ (p-1) (⊥ coprimo)
A selecciona K, clave de sesion al azar, a ≤K≤p-1
Trans:
1) A → B: Ka mod p
2) A←B: (Ka)b mod p
3) A→B:(Kab)a-1 mod p (de forma tal que (Kab)a-1 mod p = K)
a) detallar cual es el objetivo dat protocolo, y donde radica la seguridad computacional del mismo.
b) en que se diferencia con diffie-hellman
ai- El objetivo del protocolo es intercambiar claves
aii- ka mod p = β
La seguridad computacional radica en que el problema del logaritmo discreto a = logk β mod p tiene comlejidad NP (polinomial no determinista). Si los numeros son grandes, se convierte en un problema de muy dificil solucion. En este caso, hay otra capa de seguridad y es que el generador k no es conocido.
b- La diferencia con D-H es que las identidades A y B no tienen que ponerse de acuerdo en ningun parametro.
Especificar los pasos de validacion que deberia realizar un browser al conectarse a un homebanking para verificar que el certificado presentado por el sitio no es apocrifo
-Verificar integridad del certificado: Utilizando el algoritmo especificado y la clave publica del emisor
- Verificar intervalo de validez: debe estar vigente y la autoridad certificante debe estar vigente al comienzo del periodo de vigencia
- Verificar identidad del certificado: comparar el common name (CN) con el que espera la aplicacion
- Verificar el uso del certificado: validar que el certificado este autorizado para el uso que se le quiere dar
Dado el siguiente algoritmo de generacion de MAC, demostrar mediante la prueba Mac-Forge como un Atacante podria tener exito en la ejecucion del experimento.
k←{0,1}
…………………….| t es un bit paridad par si k=0
t←Mack(m):= <
…………………….| t es bit paridad impar si k = 1
…………………..| 1 si k-0 y t es bit paridad par de m
b←Vrfyk:= < 1 si k=1 y t es bit paridad impar de m
…………………..| 0 otro
** Recordar que si m=1001, paridad par es agregarle un bit adicional para que la cantidad de 1(unos) en el mensaje sea par, y paridad impar es, correspondientemente, para que esa cantidad sea impar.
El adversario A obtiene t, la etiqueta del mensaje m=1. Luego emite Vrfyk(m’=111, t) y pasa la prueba.
Conclusion: No es seguro
Obs: ∀ mensaje m con cantidad par de 1’s. Obtenemos la misma etiqueta y ∀ mensaje con cantidad impar de 1’s obtenemos la misma etiqueta
En el modo de encadenamiento para cifrados en bloque OFB:
a-cada bloque del texto cifrado Ci surge de Encriptar cada bloque del texto plano Pi
b) La alteracion de un bit de Ci afecta toda la Desencripcion a partir de ese punto
c) La salida Oj de cada bloque de encripcio se genera encriptado la salida del bloque Oj-1
d) Se aplica una operacion XOR inicial sobre el IV que luego se Encripta formando Ki inicial
https://itba2-my.sharepoint.com/:i:/g/personal/ltorrusio_itba_edu_ar/EYCGhH4AtCpEjsN0rfit2_UB78xVH6M96JG6sCHq8tYy9Q?e=JIGzdc
Rta: c
a- Falso porque ci se obtiene de texto plano xoreado con encriptado
b- Falso porque la alteracion de un bit de ci solo afeecta el bloque mi (con el que se obtuvo ci)
Desencripcion:
IMAGEN
c- Verdadero, ver dibujo
d- Falso porque al IV no se le aplica ningun xor y la clave se uso para encriptar el IV
IMAGEN: https://itba2-my.sharepoint.com/:i:/g/personal/ltorrusio_itba_edu_ar/EZR-DLo6ZXxEvR1mvVa_OfgBeUIw5E-UXAY7MDg6fgZv9g?e=mcPG0y
El “CVV” o Code Verification Value es el codigo de validacion de 3 o 4 digitos que se usa en las tarjetas de credito para demostrar posecion real del plastico en vta. telefonica. Que mecanismo criptografico seria el mas conveniente para realizar la validacion de dicho codigo en los servidores del banco emisor de la tarjeta y asi verificar que el mismo es valido, pero sin que el codigo este directamente accesible en las bases de datos
a- Un HMAC basado en una clave simetrica almacenada de manera segura en el banco emisor.
b- AES-256 basado en una clave publica distribuida publicamente de manera autenticada
c- un esquema de diffie-hellman para intercambiar ese codigo
d- Una firma digital basado en una clave publica distribuida de manera autenticada
Rta: a
a- verdadero porque la clave es privada y solo el banco emisor pueden verificar el codigo
b- Falso AES es simetrico, no pupede ser encriptada con clave publica
c- Falso porque no buscamos intercambiar nada
d- Falso porque una firma digital es asimetrica y cualquiera con la clave publica lo podria verificar
Que mecanismo criptografico seria mas conveniente utilizar para la distribucion de software en los mercados de apps que se utilizan en los dispositivos moviles
a- Un mecanismo de encripcion simetrica TDES con una clave secreta
b- Un CBC-MAC basado en una Funcion pseudoaleatoria Fk.
c- Un esquema de firma digital sobre los binarios
d- Una funcion de Hash SHA-1 aplicado sobre los ejecutables.
Rta: c
a- Falso porque como hacemos para desencriptar si no tenemos la clave
b- Falso por mimsa razon que anterios
c- Verdadero porque garantiza validacion, autenticidad y no cualquiera puede generar la firma.
d- Falso porque se puede estar hasheando cualquier cosa. Es decir, el hash solo garantiza integridad pero no garantiza autenticidad.
En un esquema de transposicion por columnas, el texto del mensaje se distribuye en una matriz de k columnas (siendo k la clvae) y luego se obtiene el texto cifrado concatenando las letras de cada fila empezando por la columna 1, luego la columna 2, hasta la columna k. (Es decir leyendo las filas de la matriz traspuesta de la que contiene el mensaje)
Ejemplo: m=”ESTEMENSAJEESCLARO”, k=3
|E|S|T|
|E|M|E|
|N|S|A|
|J|E|E|
|S|C|L|
|A|R|O|
Entonces el cifrado es c=”EENJSASMSECRTEAELO”
Considerar un esquema de trasposicion por columnas, tal que:
Gen: elige aleatoriamente y en forma uniforme k ∈K = {2,3}
Enc: Si el texto plano es m=m1m2…m6, entonces el cifrado el cifrado c es c=c1c2…c6, donde m se distribuyo en una matriz Menc de k columnas y 6/k filas y c corresponde a la lectura por filas de la matriz traspuesta de Menc.
Dec: Si el cifrado es c=c1c2…c6, entonces el texto plano es m=m1m2…m6, donde c se distribuyo en una matriz Mdec de k filas y 6/k columnas y m corresponde a la lectura por filas de la matriz traspuesta de Mdec.
Demostrar de manera formal si el esquema de cifrado propuesta tiene secreto perfecto para los siguientes espacios de mensajes, indicando en cada caso que definicion de secreto perfecto se utilizo.
a- M = Σ6 / Σ = {‘a’, ‘b’, ‘c’, ‘d’, ‘e’, ‘f’} (es decir |m|=6)
b- M ⊂ Σ6 / Σ= {‘a’, ‘b’, ‘c’, ‘d’, ‘e’, ‘f’} ∧ (m∈ M↔m=m0m2…m5 ∧ mi!=mj )
a- En un eavsdropping indistinguichability test, A emite m0 = ‘aaaaa’ y m1=’bbbbb’. Si c = ‘aaaaa’. A emite 0.
||b|k|c|b'| |'aaaaa'|0|2|'aaaaa'|0| ok |'aaaaa'|0|3|'aaaaa'|0| ok |'bbbbb'|0|2|'bbbbb'|1| ok |'bbbbb'|0|3|'bbbbb'|1| ok
–> P(EavA,π =1) = 1 → no hay secreto perfecto
Obs: Para que tenga secreto perfecto, se debe cumplir P(EavA,π=1)=0.5 + negl(n)
b- Para que el esquema tenga secreto perfecto, se debe satisfacer, para todo por (m,c):
P(C=c|M=m)=P(C=c)
- P(C=’adbecf’) P(M=’abcdef’) * P(k=3) + P(M=’aedcbf’) * P(k=2) =
1/6! * 1/2! * 2 = 1/6!
- P(C=’abdecf’ |M=’abcdef’)=P(k=3) = 1/2
Conclusion: Como la propiedad probabilistica no se cumple para un par (m,c), entonces no hay secreto perfecto.
Se tienen dos protocolos en los cuales un participante (A) envia a otro (B) un mensaje y.
Protocolo 1: y=Enck1(x||H(k2||x))
Donde x es un mensaje, H es una funcion de hash, Enc es un algoritmo de encripcion simetrico, || denota una concatenacion y k1 y k2 son claves secretas compartidas y conocidas unicamente por el emisor y el receptor
Protocolo 2: y=Enck(x||SignkprA(H(x)))
Donde x es un mensaje, H es una funcion de hash, Enc es un algoritmo de encripcion mediante clave secreta compartida k, || denota una concatenacion y kprA es la clave privada de A (emisor del mensaje y)
a- Explicar que pasos efectua B (el receptor) con el mensaje recibido en cada protocolo.
b- Establecer, para cada protocolo, si los siguientes aspectos se preservan:
- confidencialidad
- integridad
- no repudio
- seguridad ante ataque de replay
Protocolo 1:
a-
1) Desencripta con k1 y obtiene x||H(k2||x)
s) Como B sabe la longitud de salida de H, entonces obtiene x.
3) Hace H(k2||x) para verificar que no se modifica nada.
Recordemos: no existe H-1
b-
- Se mantiene confidencialidad (suponiendo que es seguro)
- Se mantiene integridad
- No mantiene no repudio
- No es seguro ante ataque de replay i.e. el cifrado puede ser envidia multiples veces
Protocolo 2:
a-
1) Descripta con k1 y obtiene x||SignkprA(H(x))
2) Como B sabe la longitud de salida de Sign, entonces obtiene x.
3) Verifica la firma con la clave publica de A.
4) Hace H(x) para verificar que no se modifica nada.
b-
- Se mantiene confidencialidad (suponiendo que es seguro)
- Se mantiene integridad
- Se mantiene no repudio
- No es seguro ante ataque de replay i.e el cifrado que puede ser enviado multiples veces
Protocolo 1:
Confidencialidad: El mensaje está cifrado con la clave compartida “k1”, lo que brinda confidencialidad. Solo A y B conocen dicha clave.
Integridad: El hash de la concatenación “H(k2||x)” proporciona integridad al mensaje. Si se altera el mensaje, el hash cambiará y B podrá detectar la modificación.
No repudio: No se garantiza el no repudio, ya que no hay elementos que vinculen la firma o identidad de A de manera inequívoca.
Seguridad ante ataque de replay: No se aborda la seguridad ante ataques de replay en el protocolo 1. Si un atacante intercepta y reenvía el mensaje cifrado “y”, B lo aceptaría como válido nuevamente.
Protocolo 2:
Confidencialidad: No se garantiza la confidencialidad del mensaje, ya que se envía en texto claro como parte del mensaje cifrado. Solo la integridad del mensaje está protegida.
Integridad: El hash “H(x)” y la firma digital “SignkprA(H(x))” aseguran la integridad del mensaje. Si se modifica el mensaje, el hash y la firma no coincidirán, y B podrá detectar la alteración.
No repudio: La firma digital “SignkprA(H(x))” permite a B verificar la autenticidad del mensaje y vincularlo inequívocamente a A, lo que brinda no repudio. A no puede negar haber enviado el mensaje.
Seguridad ante ataque de replay: No se aborda la seguridad ante ataques de replay en el protocolo 2. Si un atacante intercepta y reenvía el mensaje cifrado “y”, B lo aceptaría como válido nuevamente.
Considere el modo de cifrado de bloque llamado “Fischer Spiffy Mixer” (FSM). En este modo, la encripcion de una secuencias de bloques de mensaje m1…mn resulta en una secuencia c1…cn, donde:
c0 = IV1
m0 = IV2
ci = mi-1 ⊕ Fk (mi ⊕ ci-1), ∀i >= 1
Los vectores de inicializacion IV son acordados y conocidos por emisor y receptor. Fk es una funcion seudoaleatorio.
a- describir como se hace la desencripcion.
b- Si un bit en el bloque cifrado cj se dana en la transmision, que bloques de texto se decifran mal? por que?
a- mi = F-1k(Ci ⨁ Ci-1, ∀i ≥1
b- Si hay un error en un bit cifrado cj, se propaga el error al bloque de mensaje que se esta desencriptado con cj. Luego, ese mensaje mj se usa para desencriptar el siguiente bloque y se propaga el error nuevamente. Y asi sucesivamente. Entonces, a partir de mj, todos los bloques siguientes se desencriptan mal.
Explicar que significan PKI y KDC
PKI signigica Public Key Infrustructure y permite resolver ataques como Man in the middle con certificados digitales que autentican los claves publicos. El estandar de firmas digitales es X-509. La verificacion de certificados incluye multiples pasos desde verificacion de validez (Ej. fecha, si esta en la lista de certificados revocados), verificacion de las autoridades certificantes y si dicha autoridad esta vigente, hasta la verificacion del uso del certificado (i.e verificar que este autorizado para el uso que se le quiere dar). Obviamente, se debe verificar que el CN corresponde al que una espera i.e. hay que validar la identidad del certificado
KDC significa Key Distribution Center y se encarga de generar claves de sesion. Un ejemplo de protocolo que se basa en un KDC es el de Needham Schroeder. Cuando dos identidades se quieren comunicar, solicitan una clave de sesion al KDC quien envia a cada una dicha clave encriptada por la clave publica de cada participante
Comparar PKI y KDC (Encontrar por lo menos una similitud o punto en comun y una diferencia)
Diferencia: KDC se encarga de intercambios de claves y PKI se encarga de autenticar claves publicas
Similitud: ambas distribuyen claves, KDC distribuye claves de sesion y PKI distribuye claves publicas
En el siguiente protocolo:
1- Alice ejecuta G(1’’) para obtener (G, q, g) (Grupo ciclico, orden, generador)
2- Alice elige x ← Zq de manera aleatoria y uniforme, y calcula h1 := gx
3- Alice envia (G, q, g, h1) a Bob.
4- Bob recibe (G, q, g, h1). Elige y ←Zq de manera aleatoria y uniforme, y calcula h2:= gy. Bob envia h2 a Alice y emite la clave kB:=hy1
a- Es un protocolo de etiquetado de mensajes (MAC)
b- es un protocolo de firma asimetrico
c- Es un protocolo de intercambio de claves
d- Es un protocolo de encripcion asimetrico
a-
Rta: c
Es el protocolo de intercambio de claves Diffie-Hellman
b- Rta: c
a) Falso porque es determinista
b) Falso porque si mandamos m=0n, obtenemos r.
c) Verdadero porque la seguridad recae en que Fk(r) es indistinguible de un valor al azar uniforme y su determinismo depende de r.
d) Falso porque es determinista i.e. c no cambia si se envia el mismo mensaje 2 veces. Entonces, un atacante puede detectar si dos mensajes son iguales.
⨺⨺ Un criptosistema deterministico NO puede ser CPA secure
c- Rta: c
- La longitud debe ser fija pero se puede extender CBC-MAC para que soporte longitudes variables.
Ej. m1=A||B y m2=A → obtenemos ti y t2 respectivamente
Emitimos m3 = A||B||(t1 xor A) → t3 = t2 por que F3 = Fk(t1 xor t1 xor A) = Fk(A) = t2 .
- El IV debe ser fijo, de no serlo, al cambiar el IV solo hace falta encontrar por el cual el xor entre IV y mensaje sea el mismo.
Un criptosistema (Gen, Enc, Dec), con:
- Gen: elige en forma uniforme y aleatoria k← {0,1}n
- Enc: obtiene c a partir de m ∈ {0,1}n y Fk(x) una funcion seudoaleatoria.
Es seguro frente a ataque de texto plano conocido (CPA) si:
a- c:= <Fk(m) ⊕k>
b- c:=<r, m ⊕r>, r ←{0,1}n pseudoaleatorio
c- c:=<r, Fk(r) ⊕m>, r ← {0,1}n pseudoaleatorio
d- c:= <Fk(m)>
Rta: c
La construccion CBC-MAC es una construccion segura para MAC:
a- si los mensajes son de longitud fija y el vector IV es aleatorio
b- si los mensajes son de longitud variable y el vector IV es aleatorio
c- si los mensajes son de longitud fija y el vector IV es constante
d- si los mensajes son de longitud variable y el vector IV es constante
Rta: c
El esquema de cifrado Hill fue ideado por Lester Hill en 1929. Permite cifrar bloques de mensaje de longitud n, usando como clave una matriz cuadrada de nxn.
Ejemplo: m = “BAR”, k=[1 2 3;4 5 6;7 8 1], entonces el cifrado es c = “QIU”, porque:
[1 0 17]*[1 2 3; 4 5 6;7 8 1] = [16 8 20] (el producto se resolvio en Z26)
Considerar un esquema de cifrado Hill, tal que:
El espacio de mensajes M=∑2, donde ∑={‘a’, ‘b’}.
Las claves pertenecen al conjunto Z22x2> (es decir, matrices de 2x2 con coeficientes en Z2 = {0,1})
Los cifrados pertenecen al conjunto ∑2
Gen: elige aleatoriamente y en forma uniforme k ∈K
Enc: si el texto plano es m=m1m2, entonces el cifrado c es c=c1c2, donde [m1 m2] . k = [c1 c2] (la letra ‘a’ se codifica como 0, la ‘b’ como 1)
Dec: Si el cifrado es c=c1c2, entonces el texto plano es m=m1m2, donde [c1 c2] . k-1 = [m1 m2] (la letra ‘a’ se codifica como 0, la ‘b’ como 1)
a) El espacio de claves K no esta formado por las 16 matrices posibles sino solo por las 6 matrices que cumplen la condicion de que se determinante es distinto de cero. Justificar, desde los conocimientos de esta materia por que hay que descartar esas matrices.
b) Calcular el espacio de Mensajes M: #M…, Escribir la tabla de Encripcion segun cada clave y calcular el espacio de Cifrados C: #C…
c) Demostrar de manera formal si el esquema de cifrado propuesto tiene secreto perfecto. (indicar que definicion de secreto perfecto se utilizo)
a- Las matrices con determinante cero NO son inversibles
Recordemos: A-1 = 1/|A| * (Ak)t
b- # M= 4 y #C = 4
https://itba2-my.sharepoint.com/:i:/g/personal/ltorrusio_itba_edu_ar/EWT3_GYwriZFjxzmreMS11oBSHgBWbpf_oIsirZ6v2wDXQ?e=W4geZ9
c- Para que un esquema de cifrado tenga secreto perfecto se debe cumplir para todo m. c:P( C=c|M=m) = P(C=c).
P(c=’aa’) = 6/24 = 1/4
P(c= ‘aa’/m=’aa’) = 1
Conclusion: P(C=c/M=m) = P(C=c) no se satisface para todo par (m, c), entonces el esquema no tiene secreto perfecto
Se tiene un esquema de etiquetado (MAC) para mensajes de longitud 2n, con la siguiente construccion:
Gen: elige aleatoriamente y en forma uniforme k∈{0,1}n
Mac: Dado m=m1m2 (es decir m=m1 || m2), con |m1| = |m2| = n, y siendo Fk una funcion pseudoaleatoria (Fk:{0,1}n → {0,1}n), la etiqueta es un par que se obtiene como: Mack(m) = <Fk(m1), Fk(Fk(m2))>
Vrfy: Dado m=m1m2, la etiqueta <t1, t2> y k, emitir 1 si y solo si t1 = Fk(m1) y t1 = Fk(Fk(m2))
Mostrar que no es un esquema seguro, efectuando el experimento MAC-forgeA,π(n)
A llama al oraculo y obtiene la siguiente:
- m = m1|| m1 → t1 = Fk(m1) y t2 = Fk(Fk(m1))
- m’ = m2|| m2 → t1’ = Fk(m2) y t2’ = Fk(Fk(m2))
Luego, entre m’’ = m1|| m2 y <t1’’, t2’’> = <t1, t2’> = < Fk(m1),Fk(Fk(m2)) > → Vrfy(m’’, <t1, t2’> ) = 1
Conclusion: P(Mac-forgeA,π = 1) =1 → la construccion no es segura
Recrdemos: para que la construccion sea segura, se debe cumplir P(Mac-forgeA,π =1) < ε(n)
Una variante del modo CBC es el modo “Propagating CBC”.
En este modo, la encripcion de un mensaje de m=m0m1…mn es c=c0c1…cn, donde:
c0 = m0 ⨁ IV
ci = Fk(mi ⨁mi-1 ⨁ci-1 ) ∀i≥1
El vector de iniciacion IV es acordado por emisor y receptor.
Fk es una funcion seudoaleatoria.
a- Describir como se hace la descripcion
b- Un error es un bit de cifrado cj, se propaga? por que?
a-
Desencripcion Deck(c=c0c1…cn)
- m0 = c0 ⨁ IV
- mi= Fk-1(ci) ⨁ci-1 ⨁mi-1), ∀i≥1
b-
Porque los mensajes que siguene a mj son obtenidos a partir de cj i.e si mj= Fk-1(cj) ⨁cj-1 ⨁mj-1) → mj va a tener error y luego mj+1 = Fk-1(cj+1 ⨁cj ⨁mj) tambien va a tener error y asi hasta el ultimo bloque
En un esquema de clave publica
a) La clave pública se mantiene en secreto y la clave privada se distribuye autenticada.
b) La clave privada se mantiene en secreto y la clave pública se distribuye autenticada.
c) La clave privada se mantiene en secreto y la clave pública también.
d) La clave privada se mantiene en secreto y la clave pública se mantiene en un KDC.
Rta:b
a) Falso porque la clave publica es publica
b) Verdadero porque quien encripta tiene que asegurarse de que la Pk corresponda a quien le esta mandando la encripcion
c) Falso porque la clave publica es publica.
d) Falso porque la funcion de KDC no es guardar PKS sino generar claves de sesion
Para reducir ciertos ataques en el esquema de firma RSA se sugiere usar
π = (Gen, Sign, Vrfy) donde θ (la firma) se calcula como
θ:= [H(m)]d mod N, siendo (N, d) =sk y H una funcion de hash resistente a colisiones util para criptografia, para verificar la firma:
a) Vrfy debe recibir θ y efectuar θe mod N y H( θe mod N)
b) Vrfy debe recibir θ y efectuar θe mod N y H-1( θe mod N)
c) Vrfy debe recibir m y θ y efectuar θe mod N y H(m)
d) Vrfy debe recibir m y θ y efectuar me mod N y H(θ)
Rta: c
a) falso porque estariamos comparando θe mod N = H(m) con H(H(m))
b) Falso porque las funciones de Hash no son inversibles
c) Verdadero porque θe mod N = H(m) y la funcion hash es deterministica
d) falso porque Vrfy no afecta la verificacion con n, tengo que verificar que la firma corresponda a m.
Teorema de Fermat: si a es un entero positivo y p es un primo que no divide a a → p debe ser un factor de a p-1-1 i.e. ap-1 ≡ 1 mod p
Explicacion: H(m) = H(m) ed mod N
ed ≡1 mod (φ(n)) → ed= 1 + k* φ(n) para algun k ∈ Z
sigue…
Considerar el siguiente protocolo de autenticacion:
1. A→B: nA
2. B→A: CertB, nB, SignB(nA, nB)
3. A→B: CertA, SignA(nB, nA)
Mostrar como un adversario C puede autenticarse como A ante B
1) A→B (intercepta C): nA
2) C→B :nA
3) B→C: CertB, nB, SignB(nA, nB)
4) C→A: CertC, nB, SignC(nA, nB)
5) A→C: CertA, SignA(nB, nA)
Aca A no verifica si es B con quien comunica pero B, al verificar quien el emisor, concluye que es A. Para que C pueda hacer esto, es necesario que consiga la firma de A junto a los 2 nonces, nA y nB
En que esta basado el cifrado simetrico DES? Explicar la idea general, que es lo que se busca en el algoritmo. SI trabajasen en un banco y alguien propone utilizar este protocolo, que aconsejarian y como lo argumentarian?
DES esta basado en redes Feistel. La idea general es que se parte el texto plano en 2 mitades y la clave en varias partes. Se transforma una mitad del texto con una caja feistel y una parte de la clave, se intercambian las mitades de lugar y se repiten los pasos anteriores hasta terminar. La entrada es de 64 bits y la clave tambien, pero en el caso de esta ultima solo 56 son efectivos
Se busca que sea computacionalmente muy dificil recuperar el mensaje por fuerza bruta
Desaconsejaria que se utilice DES en el banco ya que el algoritmo esta debilitado (se puede romper en s43 intentos), en su lugar usaria AES
Planteen un algoritmo de encripcion simple basado en un algoritmo de sustitucion polialfabetica. Como y bajo que condiciones pueden utilizarlo para implementar con el un esquema de One-Time-Pad?
Cualquier criptosistema que tenga secreto perfecto, puede reducirse a One-Time-Pad. un ejemplo de un algoritmo de sustitucion polialfabetico es vigenere, que para que tenga secreto perfecto, la clave que se utiliza debe tener una longitud igual o mayor a la longitud del mensaje a encriptar
Lo importante al encriptar un mensaje con un Mac es que este demostrado que para esta primitiva es computacionalmente complejo encontrar la preimagen, eventuales colisiones o segundas preimagenes
Falso, ese es el hash
La ventaja del modo de encripcion en bloque CBC es que puede ser paralelizable
Falso, ese es el counter
Una firma digital basada en un algoritumo simetrico requiere utilizar primitivas de hash
falso, las firmas siempre son asimetricas
El algoritmo de ElGamal permite la generacion entre alice y Bob de una clave de sesion por un canal inseguro
Falso, cifrado asimetrico
La composicion de dos cifrados Vigenere es mas segura que uno solo
falso
La unica manera de quebrar un cifrado de sustitucion monoalfabetica sobre un alfabeto de 27 letras es hacer un maximo de 27 pruebas por fuerza bruta
falso
Para atacar un cifrado Vigenere, es necesario calcular las distancias entre repeticiones y luego obtener el maximo comun divisor entre ellas
verdadero
La mejor opcion para proteger la autenticidad y la confidencialidad de un mail que A le envia a B, es que A envie EKPB(M)|| SignKSA(M)
falso. La firma es verificable publicamente, entonces cualquiera podria obtener el mensaje si el esquema es inseguro. Lo ideal seria encriptar y luego firmar el cifrado.
La principal diferencia entre un MAC y una firma digital es:
a- un MAC puede ser verificado solo en base al mensaje, pero una firma digital solo puede verificarse con la clave privada usada para firmar el mensaje
b- Un MAC puede ser verificado solo en base al mensaje, pero una firma digital solo puede verificarse con la clave publica del que firmo el mensaje.
c- Un MAC solo puede verificarse con la clave secreta usada para generarlo, pero una firma digital puede ser verificada solo en base al mensaje.
d- Un MAC solo puede verificarse con la clave secreta usada para generarlo, pero una firma digital puede ser verificada con la clave publica del que firmo el mensaje.
d
Todas las funciones de una sola via
a- Reducen el tamano del mensaje
b- permiten cifrar mensajes
c- Tienen resistencia a preimagen.
d- Son resistentes a colisiones
c
Una funcion de hash criptografica
a- Es siempre una funcion de una sola via
b- Siempre necesita de una clave.
c- Admite que si x != x’, entonces f(x) = f(x’)
d- Es equivalente a un MAC
a
Alice y Bob son dos usuarios que quieren autenticarse entre si. Cada un de ellos tiene una password que el otro conoce. Alice tiene Pa y Bob tiene Pb
Parte 1:Mostrar por que este protocolo NO VA A FUNCIONAR (Man in the middle):
a- Alice y Bob intercambian sus claves publicas
b- Alice encripta Pa con la clave publica de Bob y envia esto a el.
c- Bob encripta Pb con la clave publica de Alice y envia esto a ella.
d- Alice desencripta lo que recibio en el paso (c) y verifica que esto es correcto.
e- Bob desencripta lo que recibio en el paso (d) y verifica que es correcto
Parte 2: Considerar el siguiente protocolo (interlock protocol) y explicar por que este protocolo podria solucionar la situacion anterior
a- Alice y Bob intercambian sus claves publicas
b- Alice encripta su mensaje usando la clave publica de Bob. Alice envia a Bob la mitad del mesnaje encriptado.
c- Bob encripta su mensaje usando la clave publica de Alice. Bob envia a Alice la mitad del mensaje encriptado,
d- Bob une las dos partes recibidas y las desencripta con su clave privada. Bob le envia a Alice la otra mitad de su mensaje encriptado
e- Alice une las dos partes recibidas y las desencripta con su clave privada
