cripto 1p

Question 1

Cifrar y tagear un mensaje con MAC es CCA-Secure
a- Solo si se usan claves distintas k1 y k2 ytransmitiendo el tag t=MAC_k2(E_k1(m)) en plano.
b- Siempre y cuando se utilice la misma clave k tanto para generar el MAC como para Cifrar. De otra forma no es un criptosistema.
c- SOlo si se usan claves distintas k1 y k2 y primero se genera el tag en base al texto plano y luego se obtiene (c,t) = E_k1(m, MAC_k2(m))

Answer 1

a-Cifrar y luego autentucar siempre es seguro con k1 != k2
b- Esta afirmacion es falsa. La clave para encriptar siempre debe ser distinta a la clave para tagear para garantizar que sean independientes y que no se repitan estados internos.
c- Autenticar y luego cifrar puede ser seguro si pasa la prueba CCA.

rta: a

Question 2

El principal problema del modo de operacion de cifrado en el bloque ECB es
a- Dos bloques de mensaje m_1 y m_j que son identicos generan cifrados que son tambien identicos. Esro se soluciona en el modo CBC mediante la utilizacion de un IV que es un numero aleatorio secreto entre las partes con el que se xorea el mensaje.
b- Dos bloques de mensaje m_i y m_j que son identicos generan cifrados que son tambien identicos. Esto se soluciona en el modo CBC mediante la utilizacion de un IV que es un numero aleatorio que se transmite plano con el que se xorea el mensaje.
c- Dos bloques de mensaje consecutivos m_i y m_{i+1} que son identicos generan cifrados que son tambien identicos. Esto se soluciona en el modo CBC mediante la utilizacion de un IV que es un numero aleatorio secreto entre las partes con el que se xorea el cifrado.

Answer 2

El problema de ECB es que encriptar dos mensajes identicos siempre devuelve el mismo cifrado
Un atacante puede:
- detectar si 2 mensajes son identicos
- detectar si un mensaje tiene data repetida (ej muchos null bytes)
- detectar si dos mensajes comparten prefijo

–> el atacante obtiene mucha informacion de los mensajes, NO es CPA-Secure

a- esta es falsa porque el IV no es privado
b- el IV no se xorea con todo el mensaje pues este ultimo se divide en bloques
c- La primero parte esta bien pero en la segunda parte se xorea el mensaje, no el cifrado.

Rta: b

Question 3

El sistema de encripcion clasica de Vigenere sobre el alfabeto ingles
a- Es una composicion de un cifrado de sustitucion con uno de transposicion
b- Conserva la distribucion relativa de cada letra segun una frecuencia de aparicion
c- Tiene secreto perfecto siempre y cuando el mensaje tenga al menos la longitud de la clave

Answer 3

a- Esta afirmacion es falsa pues no hay ningun tipo de permutacion/transposicion en el texto Ej. el orden de los caracteres no se altera
b- Esto es correcto. Este tipo de cifrado genera secuencias repetidsa que permiten estimar la longitud de la clave. Luego, se generan |k| subtextos y para cada subtexto, la misma letra se cifra a una misma letra –> se mantiene la frecuencia de la letra sustituida con respecto a la frecuencia de la original.
c- Esta afirmacion es falsa. Tiene secreto perfecto siempre y cuando la longitud de la clave sea mayor o igual a la longitud del mensaje

Rta: b

Question 4

Dado el criptosistema de clave publica RSA

Pub: (n, e) Priv:(p, q, d)
n= p * q
Φ(n) = (p-1) * (q-1)
e ⊥ Φ(n)(1<=e<=Φ(n))
e.d ≡1 (mod Φ(n)) con (1<= d <= Φ(n))

¿Como son las operaciones de encripcion y desencripcion para que sea un criptosistema?

Answer 4

Enc_pk(m)= m^e mod n y Dec_sk(c) = c^d mod n

https://itba2-my.sharepoint.com/:i:/g/personal/ltorrusio_itba_edu_ar/EcqLmXjCt39JlgRlQt8YJiUBXhH1PXymkK-sMNDcEP42dg?e=xdAwEv

Question 5

Dado el criptosistema de clave publica RSA

Pub: (n, e) Priv:(p, q, d)
n= p q y e.d ≡1_{Φ(n)} con (1<= d <= Φ(n))
e ⊥ Φ(n)(1<=e<=Φ(n))

Mallory afirma que tiene un algoritmo que puede factorizar un numero en tiempo polinomial. Asumir la existencia de un oraculo para ello y plantear un ataque PubK^eav_A,π(n)

Answer 5

Si M tiene un algoritmo que puede factorizar un numeo en tiempo polinomial, entonces obtiene p y q facilmente. Conocemos p, q y e. Tomemos como ejemplo p=3, q=5 y e=3. m_0=1 y m_1=2, A emite 0 si C=1 y 1 sino

|    |b   |c   |b' 
|1  |0   |1   |0  ✓
|2  |1   |8   |1  ✓

→ Pubk^EAV_Aπ = 1

Obs: Si P(Pubk^EAV_Aπ = 1) < 0.5 + E, π es indistinguible.

Question 6

Dado el criptosistema de clave publica RSA

Pub: (n, e) Priv:(p, q, d)
n= p q y e.d ≡1_Φ(n) con (1<= d <= Φ(n))
e ⊥ Φ(n)(1<=e<=Φ(n))

Por que seria una mala idea que p y q sean iguales?

Answer 6

Si p=q, N=p^2 y es muy facil de factorizar pues hacemos √N . Una vez que tenemos p podemos conocer el cifrado de cualquier mensaje.

Question 7

Dado el siguiente sistema de cifrado en flujo π = (Gen, Enc, Dec).
Genk ∈ {0,1}ⁿ
c= E_k(m) = G(k) ⊕ m

indicar como es el proceo de desencripcion

Answer 7

Dec_k (c) = c⊕G(k)

Question 8

Dado el siguiente sistema de cifrado en flujo π = (Gen, Enc, Dec).
Genk ∈ {0,1}ⁿ
c= E_k(m) = G(k) ⊕ m

Como podria modificarse para que sea CPA-Secure?

Answer 8

Se puede tomar una funcion pseudoaleatoria que tome un numero aleatorio r y Enc_k(m)=F_k(r)⊕m. F_k(r) es indistinguible de una funcion elegida completamente al azar y su determinismo depende de r.

Question 9

Dado el siguiente sistema de cifrado en flujo π = (Gen, Enc, Dec).
Genk ∈ {0,1}ⁿ
c= E_k(m) = G(k) ⊕ m

que alternativas se pueden implementar para encriptar mensajes de cualquier longitud?

Answer 9

https://itba2-my.sharepoint.com/:i:/g/personal/ltorrusio_itba_edu_ar/EfbJFkHjj4xDm-ym3xCkMjwBJSCpbRvSpv9A71gWnjzJoA?e=e5Ndsm

Question 10

Dado el siguiente criptosistema π = (Gen, Enc, Dec).
Para p∈Z y a,b,r∈Z_p, siendo la clave k = (a,b) y siendo r← random
r∈Z_2 r=0 o r=1
(c₁, c₂, r) = E_k(m) = (m+a, m+b)_p

…………………| (c₁ - a)_(p) r=0
m = D_k (c)<
…………………|(c₂ - b)_(p) r=1

donde (.)_(p) implica que opera con aritmetica modular.

es un criptosistema valido?

Answer 10

Para que un criptosistema sea valido, se debe cumplir Dec_k(Enc_k (m)) = m.
Caso 1: r=0 –> Dec_k(Enc_k(m)) = c₁ -a = m+a-a = m

Caso 2: r=1 –> Dec_k(Enc_k(m)) = C₂-b=m+b-b=m

Conclusion:
∀r∈Z₂ se cumple Dec_k(Enc_k(m))=m , entonces el criptosistema es valido

Question 11

Dado el siguiente criptosistema π = (Gen, Enc, Dec).
Para p∈Z y a,b,r∈Z_p, siendo la clave k = (a,b) y siendo r← random
r∈Z₂ r=0 o r=1
(c₁, c₂, r) = E_k(m) = (m+a, m+b)_(p)

…………………| (c₁ - a)_(p) r=0
m = D_k (c)<
…………………|(c₂ - b)_(p) r=1

donde (.)_(p) implica que opera con aritmetica modular.

Si m, a, b, c_i ∈Z₂₆ y a=b tiene secreto perfecto? Demostrar

Answer 11

Si hacemos el experimento y A envia m₀=a y m₁=a+1, entonces emite b’=0 cuando c₁, c₂ pares.

|    |b   |          c          |b' 
|0  |0   |(2a, 2a)         |0  ✓
|1  |1   |(2a+1, 2a+1)|1  ✓

Conclusion: P(Exp^eav_A,m = 1) = 1 –> no hay secreto perfecto

Question 12

Lo importante al encriptar un mensaje con una fucnion de hash es que este demostrado que para la misma es computacionalmente complejo encontrar la preimagen, eventuales colisiones o segundas preimagenes.

VERDADERO
FALSO

Answer 12

VERDADERO
La seguridad computacional recae en que la funcion de hash sea resistente a colisiones

Question 13

Una firma digital basada en un algoritmo asimetrico no requiere utilizar primitivas de hash

VERDADERO
FALSO

Answer 13

VERDADERO
Un ejemplo puede ser ‘RSA-Signature’ que aunque sea inseguro, no requiere funciones de hash.

Question 14

El algoritmo de Diffie-Hellman permite que alice le envie una clave de sesion a Bob por un canal inseguro

VERDADERO
FALSO

Answer 14

FALSO
El algoritmo DH no garantiza que B le lleve la clave de A ante un ataque de tipo Man in the Middle

Question 15

El algoritmo de AES se basa en las Feister-Network para cifrar simetrica
* VERDADERO
* FALSO

Answer 15

FALSO
El algoritmo DES se basa en los Feister Network

Question 16

Un cilintro de Jefferson esta compuesto por 36 discos, unidos sobre un eje de rotacion en el interior que le permite rotar libremente. Cada disco tiene a su vez 26 letras, A-Z, en la periferia, con un orden especifico para cada disco, en una configuracion particular. Es decir, cada disco tiene una permutacion de A-Z, y a su vez el orden de los discos puede alterarse. Una barra de referencia con una ranura se coloca de manera paralela al eje por donde es posible leer la alineacion de las letras.
FOTO
El mecanismo de encripcion procede alineadndo los discos hasta formar sobre la ranura el mensaje de 36 letras a encriptar y se selecciona una de las 25 alineaciones restantes para formar el texto cifrado. Ejemplo, si el mensaje a encriptar arranca con “ATAQUE…”, se rota el primer disco hasta quue la “A” quede visible sobre la ranura, el segundo disco hasta que quede visible la “T”, y asi sucesivamente. Luego se elige alguna de las 25 alineaciones restantes, y esa corresponde al texto cifrado.
Con discos con exactamente la misma configuracion de letras cada uno y ordenados en la misma secuencia, se procede a la Desencripcion alineando el texto cifrado con cada una de las letras de cada disco sobre la ranura y buscando en las restantes 25 alineaciones, aquella que posea algun texto plano reconocible.
Considerando por simplicidad mensajes de 36 letras

a) Cual es el tamano del espacio de claves
b) Demostrar si este sistema admite secreto perfecto y bajo que condiciones. Especificar claramente la estrategia de la demostracion elegida.

Answer 16

a- |k| = 36! porque un mnesaje de l=36 puede ser cifrado 36! veces distintas segun como se ordenen los discos

b- La seguridad de un criptosistema implica que un atacante no puede obtener informacion alguna del mensaje. Para cada letra del texto plano, sabemos que hay una que no puede ser. Es decir, si la letra b es cifrada con d entonces ya podemos descartar una opcion. En este sentido, obtenemos informacion del mensaje original

Question 17

Dado el siguiente esquema de intercambio de claves (Shamirs no key protocol) entre A y B.
Publico p prime
A, B seleccionan a,b | 1≤ a, b ≤ p-2, a ⊥(p-1), b ⊥ (p-1) (⊥ coprimo)
A selecciona K, clave de sesion al azar, a ≤K≤p-1

Trans:
1) A → B: K^a mod p
2) A←B: (K^a)^b mod p
3) A→B:(K^ab)^a-1 mod p (de forma tal que (K^ab)^a-1 mod p = K)

a) detallar cual es el objetivo dat protocolo, y donde radica la seguridad computacional del mismo.

b) en que se diferencia con diffie-hellman

Answer 17

ai- El objetivo del protocolo es intercambiar claves

aii- k^a mod p = β
La seguridad computacional radica en que el problema del logaritmo discreto a = log_k β mod p tiene comlejidad NP (polinomial no determinista). Si los numeros son grandes, se convierte en un problema de muy dificil solucion. En este caso, hay otra capa de seguridad y es que el generador k no es conocido.

b- La diferencia con D-H es que las identidades A y B no tienen que ponerse de acuerdo en ningun parametro.

Question 18

Especificar los pasos de validacion que deberia realizar un browser al conectarse a un homebanking para verificar que el certificado presentado por el sitio no es apocrifo

Answer 18

-Verificar integridad del certificado: Utilizando el algoritmo especificado y la clave publica del emisor
- Verificar intervalo de validez: debe estar vigente y la autoridad certificante debe estar vigente al comienzo del periodo de vigencia
- Verificar identidad del certificado: comparar el common name (CN) con el que espera la aplicacion
- Verificar el uso del certificado: validar que el certificado este autorizado para el uso que se le quiere dar

Question 19

Dado el siguiente algoritmo de generacion de MAC, demostrar mediante la prueba Mac-Forge como un Atacante podria tener exito en la ejecucion del experimento.
k←{0,1}
…………………….| t es un bit paridad par si k=0
t←Mac_k(m):= <
…………………….| t es bit paridad impar si k = 1
…………………..| 1 si k-0 y t es bit paridad par de m
b←Vrfy_k:= < 1 si k=1 y t es bit paridad impar de m
…………………..| 0 otro

** Recordar que si m=1001, paridad par es agregarle un bit adicional para que la cantidad de 1(unos) en el mensaje sea par, y paridad impar es, correspondientemente, para que esa cantidad sea impar.

Answer 19

El adversario A obtiene t, la etiqueta del mensaje m=1. Luego emite Vrfy_k(m’=111, t) y pasa la prueba.
Conclusion: No es seguro
Obs: ∀ mensaje m con cantidad par de 1’s. Obtenemos la misma etiqueta y ∀ mensaje con cantidad impar de 1’s obtenemos la misma etiqueta

Question 20

En el modo de encadenamiento para cifrados en bloque OFB:
a-cada bloque del texto cifrado Ci surge de Encriptar cada bloque del texto plano Pi
b) La alteracion de un bit de Ci afecta toda la Desencripcion a partir de ese punto
c) La salida Oj de cada bloque de encripcio se genera encriptado la salida del bloque Oj-1
d) Se aplica una operacion XOR inicial sobre el IV que luego se Encripta formando Ki inicial

https://itba2-my.sharepoint.com/:i:/g/personal/ltorrusio_itba_edu_ar/EYCGhH4AtCpEjsN0rfit2_UB78xVH6M96JG6sCHq8tYy9Q?e=JIGzdc

Answer 20

Rta: c

a- Falso porque ci se obtiene de texto plano xoreado con encriptado
b- Falso porque la alteracion de un bit de ci solo afeecta el bloque mi (con el que se obtuvo ci)
Desencripcion:
IMAGEN

c- Verdadero, ver dibujo
d- Falso porque al IV no se le aplica ningun xor y la clave se uso para encriptar el IV

IMAGEN: https://itba2-my.sharepoint.com/:i:/g/personal/ltorrusio_itba_edu_ar/EZR-DLo6ZXxEvR1mvVa_OfgBeUIw5E-UXAY7MDg6fgZv9g?e=mcPG0y

Question 21

El “CVV” o Code Verification Value es el codigo de validacion de 3 o 4 digitos que se usa en las tarjetas de credito para demostrar posecion real del plastico en vta. telefonica. Que mecanismo criptografico seria el mas conveniente para realizar la validacion de dicho codigo en los servidores del banco emisor de la tarjeta y asi verificar que el mismo es valido, pero sin que el codigo este directamente accesible en las bases de datos

a- Un HMAC basado en una clave simetrica almacenada de manera segura en el banco emisor.
b- AES-256 basado en una clave publica distribuida publicamente de manera autenticada
c- un esquema de diffie-hellman para intercambiar ese codigo
d- Una firma digital basado en una clave publica distribuida de manera autenticada

Answer 21

Rta: a
a- verdadero porque la clave es privada y solo el banco emisor pueden verificar el codigo
b- Falso AES es simetrico, no pupede ser encriptada con clave publica
c- Falso porque no buscamos intercambiar nada
d- Falso porque una firma digital es asimetrica y cualquiera con la clave publica lo podria verificar

Question 22

Que mecanismo criptografico seria mas conveniente utilizar para la distribucion de software en los mercados de apps que se utilizan en los dispositivos moviles
a- Un mecanismo de encripcion simetrica TDES con una clave secreta
b- Un CBC-MAC basado en una Funcion pseudoaleatoria Fk.
c- Un esquema de firma digital sobre los binarios
d- Una funcion de Hash SHA-1 aplicado sobre los ejecutables.

Answer 22

Rta: c
a- Falso porque como hacemos para desencriptar si no tenemos la clave
b- Falso por mimsa razon que anterios
c- Verdadero porque garantiza validacion, autenticidad y no cualquiera puede generar la firma.
d- Falso porque se puede estar hasheando cualquier cosa. Es decir, el hash solo garantiza integridad pero no garantiza autenticidad.

Question 23

En un esquema de transposicion por columnas, el texto del mensaje se distribuye en una matriz de k columnas (siendo k la clvae) y luego se obtiene el texto cifrado concatenando las letras de cada fila empezando por la columna 1, luego la columna 2, hasta la columna k. (Es decir leyendo las filas de la matriz traspuesta de la que contiene el mensaje)
Ejemplo: m=”ESTEMENSAJEESCLARO”, k=3
|E|S|T|
|E|M|E|
|N|S|A|
|J|E|E|
|S|C|L|
|A|R|O|
Entonces el cifrado es c=”EENJSASMSECRTEAELO”
Considerar un esquema de trasposicion por columnas, tal que:
Gen: elige aleatoriamente y en forma uniforme k ∈K = {2,3}
Enc: Si el texto plano es m=m₁m₂…m₆, entonces el cifrado el cifrado c es c=c₁c₂…c₆, donde m se distribuyo en una matriz M_enc de k columnas y 6/k filas y c corresponde a la lectura por filas de la matriz traspuesta de M_enc.
Dec: Si el cifrado es c=c₁c₂…c₆, entonces el texto plano es m=m₁m₂…m₆, donde c se distribuyo en una matriz M_dec de k filas y 6/k columnas y m corresponde a la lectura por filas de la matriz traspuesta de M_dec.

Demostrar de manera formal si el esquema de cifrado propuesta tiene secreto perfecto para los siguientes espacios de mensajes, indicando en cada caso que definicion de secreto perfecto se utilizo.

a- M = Σ⁶ / Σ = {‘a’, ‘b’, ‘c’, ‘d’, ‘e’, ‘f’} (es decir |m|=6)
b- M ⊂ Σ⁶ / Σ= {‘a’, ‘b’, ‘c’, ‘d’, ‘e’, ‘f’} ∧ (m∈ M↔m=m₀m₂…m₅ ∧ m_i!=m_j )

Answer 23

a- En un eavsdropping indistinguichability test, A emite m₀ = ‘aaaaa’ y m₁=’bbbbb’. Si c = ‘aaaaa’. A emite 0.

||b|k|c|b'|
|'aaaaa'|0|2|'aaaaa'|0| ok
|'aaaaa'|0|3|'aaaaa'|0| ok
|'bbbbb'|0|2|'bbbbb'|1| ok
|'bbbbb'|0|3|'bbbbb'|1| ok

–> P(Eav_A,π =1) = 1 → no hay secreto perfecto
Obs: Para que tenga secreto perfecto, se debe cumplir P(Eav_A,π=1)=0.5 + negl(n)

b- Para que el esquema tenga secreto perfecto, se debe satisfacer, para todo por (m,c):
P(C=c|M=m)=P(C=c)
- P(C=’adbecf’) P(M=’abcdef’) * P(k=3) + P(M=’aedcbf’) * P(k=2) =
¹/_6! * ¹/_2! * 2 = ¹/_6!

• P(C=’abdecf’ |M=’abcdef’)=P(k=3) = ¹/₂

Conclusion: Como la propiedad probabilistica no se cumple para un par (m,c), entonces no hay secreto perfecto.

Question 24

Se tienen dos protocolos en los cuales un participante (A) envia a otro (B) un mensaje y.
Protocolo 1: y=Enc_k1(x||H(k₂||x))
Donde x es un mensaje, H es una funcion de hash, Enc es un algoritmo de encripcion simetrico, || denota una concatenacion y k₁ y k₂ son claves secretas compartidas y conocidas unicamente por el emisor y el receptor

Protocolo 2: y=Enc_k(x||Sign_kprA(H(x)))
Donde x es un mensaje, H es una funcion de hash, Enc es un algoritmo de encripcion mediante clave secreta compartida k, || denota una concatenacion y kprA es la clave privada de A (emisor del mensaje y)

a- Explicar que pasos efectua B (el receptor) con el mensaje recibido en cada protocolo.

b- Establecer, para cada protocolo, si los siguientes aspectos se preservan:
- confidencialidad
- integridad
- no repudio
- seguridad ante ataque de replay

Answer 24

Protocolo 1:
a-
1) Desencripta con k₁ y obtiene x||H(k₂||x)
s) Como B sabe la longitud de salida de H, entonces obtiene x.
3) Hace H(k₂||x) para verificar que no se modifica nada.
Recordemos: no existe H^-1

b-
- Se mantiene confidencialidad (suponiendo que es seguro)
- Se mantiene integridad
- No mantiene no repudio
- No es seguro ante ataque de replay i.e. el cifrado puede ser envidia multiples veces

Protocolo 2:
a-
1) Descripta con k₁ y obtiene x||Sign_kprA(H(x))
2) Como B sabe la longitud de salida de Sign, entonces obtiene x.
3) Verifica la firma con la clave publica de A.
4) Hace H(x) para verificar que no se modifica nada.

b-
- Se mantiene confidencialidad (suponiendo que es seguro)
- Se mantiene integridad
- Se mantiene no repudio
- No es seguro ante ataque de replay i.e el cifrado que puede ser enviado multiples veces

Protocolo 1:

Confidencialidad: El mensaje está cifrado con la clave compartida “k1”, lo que brinda confidencialidad. Solo A y B conocen dicha clave.
Integridad: El hash de la concatenación “H(k2||x)” proporciona integridad al mensaje. Si se altera el mensaje, el hash cambiará y B podrá detectar la modificación.
No repudio: No se garantiza el no repudio, ya que no hay elementos que vinculen la firma o identidad de A de manera inequívoca.
Seguridad ante ataque de replay: No se aborda la seguridad ante ataques de replay en el protocolo 1. Si un atacante intercepta y reenvía el mensaje cifrado “y”, B lo aceptaría como válido nuevamente.

Protocolo 2:

Confidencialidad: No se garantiza la confidencialidad del mensaje, ya que se envía en texto claro como parte del mensaje cifrado. Solo la integridad del mensaje está protegida.
Integridad: El hash “H(x)” y la firma digital “SignkprA(H(x))” aseguran la integridad del mensaje. Si se modifica el mensaje, el hash y la firma no coincidirán, y B podrá detectar la alteración.
No repudio: La firma digital “SignkprA(H(x))” permite a B verificar la autenticidad del mensaje y vincularlo inequívocamente a A, lo que brinda no repudio. A no puede negar haber enviado el mensaje.
Seguridad ante ataque de replay: No se aborda la seguridad ante ataques de replay en el protocolo 2. Si un atacante intercepta y reenvía el mensaje cifrado “y”, B lo aceptaría como válido nuevamente.

Question 25

Considere el modo de cifrado de bloque llamado “Fischer Spiffy Mixer” (FSM). En este modo, la encripcion de una secuencias de bloques de mensaje m₁…m_n resulta en una secuencia c₁…c_n, donde:
c₀ = IV₁
m₀ = IV₂
c_i = m_i-1 ⊕ F_k (m_i ⊕ c_i-1), ∀i >= 1
Los vectores de inicializacion IV son acordados y conocidos por emisor y receptor. F_k es una funcion seudoaleatorio.

a- describir como se hace la desencripcion.
b- Si un bit en el bloque cifrado c_j se dana en la transmision, que bloques de texto se decifran mal? por que?

Answer 25

a- m_i = F^-1_k(C_i ⨁ C_i-1, ∀i ≥1
b- Si hay un error en un bit cifrado c_j, se propaga el error al bloque de mensaje que se esta desencriptado con c_j. Luego, ese mensaje m_j se usa para desencriptar el siguiente bloque y se propaga el error nuevamente. Y asi sucesivamente. Entonces, a partir de m_j, todos los bloques siguientes se desencriptan mal.

Question 26

Explicar que significan PKI y KDC

Answer 26

PKI signigica Public Key Infrustructure y permite resolver ataques como Man in the middle con certificados digitales que autentican los claves publicos. El estandar de firmas digitales es X-509. La verificacion de certificados incluye multiples pasos desde verificacion de validez (Ej. fecha, si esta en la lista de certificados revocados), verificacion de las autoridades certificantes y si dicha autoridad esta vigente, hasta la verificacion del uso del certificado (i.e verificar que este autorizado para el uso que se le quiere dar). Obviamente, se debe verificar que el CN corresponde al que una espera i.e. hay que validar la identidad del certificado

KDC significa Key Distribution Center y se encarga de generar claves de sesion. Un ejemplo de protocolo que se basa en un KDC es el de Needham Schroeder. Cuando dos identidades se quieren comunicar, solicitan una clave de sesion al KDC quien envia a cada una dicha clave encriptada por la clave publica de cada participante

Question 27

Comparar PKI y KDC (Encontrar por lo menos una similitud o punto en comun y una diferencia)

Answer 27

Diferencia: KDC se encarga de intercambios de claves y PKI se encarga de autenticar claves publicas
Similitud: ambas distribuyen claves, KDC distribuye claves de sesion y PKI distribuye claves publicas

Question 28

En el siguiente protocolo:
1- Alice ejecuta G(1’’) para obtener (G, q, g) (Grupo ciclico, orden, generador)
2- Alice elige x ← Z_q de manera aleatoria y uniforme, y calcula h₁ := g^x
3- Alice envia (G, q, g, h₁) a Bob.
4- Bob recibe (G, q, g, h₁). Elige y ←Z_q de manera aleatoria y uniforme, y calcula h₂:= g^y. Bob envia h₂ a Alice y emite la clave k_B:=h^y₁

a- Es un protocolo de etiquetado de mensajes (MAC)
b- es un protocolo de firma asimetrico
c- Es un protocolo de intercambio de claves
d- Es un protocolo de encripcion asimetrico

Answer 28

a-
Rta: c
Es el protocolo de intercambio de claves Diffie-Hellman

b- Rta: c
a) Falso porque es determinista
b) Falso porque si mandamos m=0ⁿ, obtenemos r.
c) Verdadero porque la seguridad recae en que F_k(r) es indistinguible de un valor al azar uniforme y su determinismo depende de r.
d) Falso porque es determinista i.e. c no cambia si se envia el mismo mensaje 2 veces. Entonces, un atacante puede detectar si dos mensajes son iguales.
⨺⨺ Un criptosistema deterministico NO puede ser CPA secure

c- Rta: c
- La longitud debe ser fija pero se puede extender CBC-MAC para que soporte longitudes variables.
Ej. m₁=A||B y m₂=A → obtenemos t_i y t₂ respectivamente
Emitimos m₃ = A||B||(t₁ xor A) → t₃ = t₂ por que F₃ = F_k(t₁ xor t₁ xor A) = F_k(A) = t₂ .
- El IV debe ser fijo, de no serlo, al cambiar el IV solo hace falta encontrar por el cual el xor entre IV y mensaje sea el mismo.

Question 29

Un criptosistema (Gen, Enc, Dec), con:
- Gen: elige en forma uniforme y aleatoria k← {0,1}ⁿ
- Enc: obtiene c a partir de m ∈ {0,1}ⁿ y F_k(x) una funcion seudoaleatoria.

Es seguro frente a ataque de texto plano conocido (CPA) si:
a- c:= <F_k(m) ⊕k>
b- c:=<r, m ⊕r>, r ←{0,1}ⁿ pseudoaleatorio
c- c:=<r, F_k(r) ⊕m>, r ← {0,1}ⁿ pseudoaleatorio
d- c:= <F_k(m)>

Answer 29

Rta: c

Question 30

La construccion CBC-MAC es una construccion segura para MAC:
a- si los mensajes son de longitud fija y el vector IV es aleatorio
b- si los mensajes son de longitud variable y el vector IV es aleatorio
c- si los mensajes son de longitud fija y el vector IV es constante
d- si los mensajes son de longitud variable y el vector IV es constante

Answer 30

Rta: c

Question 31

El esquema de cifrado Hill fue ideado por Lester Hill en 1929. Permite cifrar bloques de mensaje de longitud n, usando como clave una matriz cuadrada de nxn.
Ejemplo: m = “BAR”, k=[1 2 3;4 5 6;7 8 1], entonces el cifrado es c = “QIU”, porque:

[1 0 17]*[1 2 3; 4 5 6;7 8 1] = [16 8 20] (el producto se resolvio en Z₂₆)

Considerar un esquema de cifrado Hill, tal que:
El espacio de mensajes M=∑², donde ∑={‘a’, ‘b’}.
Las claves pertenecen al conjunto Z₂^2x2> (es decir, matrices de 2x2 con coeficientes en Z₂ = {0,1})
Los cifrados pertenecen al conjunto ∑²
Gen: elige aleatoriamente y en forma uniforme k ∈K
Enc: si el texto plano es m=m₁m₂, entonces el cifrado c es c=c₁c₂, donde [m₁ m₂] . k = [c₁ c₂] (la letra ‘a’ se codifica como 0, la ‘b’ como 1)
Dec: Si el cifrado es c=c₁c₂, entonces el texto plano es m=m₁m₂, donde [c₁ c₂] . k^-1 = [m₁ m₂] (la letra ‘a’ se codifica como 0, la ‘b’ como 1)

a) El espacio de claves K no esta formado por las 16 matrices posibles sino solo por las 6 matrices que cumplen la condicion de que se determinante es distinto de cero. Justificar, desde los conocimientos de esta materia por que hay que descartar esas matrices.

b) Calcular el espacio de Mensajes M: #M…, Escribir la tabla de Encripcion segun cada clave y calcular el espacio de Cifrados C: #C…

c) Demostrar de manera formal si el esquema de cifrado propuesto tiene secreto perfecto. (indicar que definicion de secreto perfecto se utilizo)

Answer 31

a- Las matrices con determinante cero NO son inversibles
Recordemos: A^-1 = ¹/_|A| * (A^k)^t

b- # M= 4 y #C = 4
https://itba2-my.sharepoint.com/:i:/g/personal/ltorrusio_itba_edu_ar/EWT3_GYwriZFjxzmreMS11oBSHgBWbpf_oIsirZ6v2wDXQ?e=W4geZ9

c- Para que un esquema de cifrado tenga secreto perfecto se debe cumplir para todo m. c:P( C=c|M=m) = P(C=c).
P(c=’aa’) = ⁶/₂₄ = ¹/₄
P(c= ‘aa’/m=’aa’) = 1

Conclusion: P(C=c/M=m) = P(C=c) no se satisface para todo par (m, c), entonces el esquema no tiene secreto perfecto

Question 32

Se tiene un esquema de etiquetado (MAC) para mensajes de longitud 2n, con la siguiente construccion:
Gen: elige aleatoriamente y en forma uniforme k∈{0,1}ⁿ
Mac: Dado m=m₁m₂ (es decir m=m₁ || m₂), con |m₁| = |m₂| = n, y siendo F_k una funcion pseudoaleatoria (F_k:{0,1}ⁿ → {0,1}ⁿ), la etiqueta es un par que se obtiene como: Mac_k(m) = <F_k(m₁), F_k(F_k(m₂))>
Vrfy: Dado m=m₁m₂, la etiqueta <t₁, t₂> y k, emitir 1 si y solo si t₁ = F_k(m₁) y t₁ = F_k(F_k(m₂))

Mostrar que no es un esquema seguro, efectuando el experimento MAC-forge_A,π(n)

Answer 32

A llama al oraculo y obtiene la siguiente:
- m = m₁|| m₁ → t₁ = F_k(m₁) y t₂ = F_k(F_k(m₁))

• m’ = m₂|| m₂ → t₁’ = F_k(m₂) y t₂’ = F_k(F_k(m₂))

Luego, entre m’’ = m₁|| m₂ y <t₁’’, t₂’’> = <t₁, t₂’> = < F_k(m₁),F_k(F_k(m₂)) > → Vrfy(m’’, <t₁, t₂’> ) = 1
Conclusion: P(Mac-forge_A,π = 1) =1 → la construccion no es segura

Recrdemos: para que la construccion sea segura, se debe cumplir P(Mac-forge_A,π =1) < ε(n)

Question 33

Una variante del modo CBC es el modo “Propagating CBC”.
En este modo, la encripcion de un mensaje de m=m₀m₁…m_n es c=c₀c₁…c_n, donde:
c₀ = m₀ ⨁ IV
c_i = F_k(m_i ⨁m_i-1 ⨁c_i-1 ) ∀i≥1
El vector de iniciacion IV es acordado por emisor y receptor.
F_k es una funcion seudoaleatoria.
a- Describir como se hace la descripcion
b- Un error es un bit de cifrado c_j, se propaga? por que?

Answer 33

a-
Desencripcion Dec_k(c=c₀c₁…c_n)
- m₀ = c₀ ⨁ IV
- m_i= F_k^-1(c_i) ⨁c_i-1 ⨁m_i-1), ∀i≥1
b-
Porque los mensajes que siguene a m_j son obtenidos a partir de c_j i.e si m_j= F_k^-1(c_j) ⨁c_j-1 ⨁m_j-1) → m_j va a tener error y luego m_j+1 = F_k^-1(c_j+1 ⨁c_j ⨁m_j) tambien va a tener error y asi hasta el ultimo bloque

Question 34

En un esquema de clave publica
a) La clave pública se mantiene en secreto y la clave privada se distribuye autenticada.
b) La clave privada se mantiene en secreto y la clave pública se distribuye autenticada.
c) La clave privada se mantiene en secreto y la clave pública también.
d) La clave privada se mantiene en secreto y la clave pública se mantiene en un KDC.

Answer 34

Rta:b
a) Falso porque la clave publica es publica
b) Verdadero porque quien encripta tiene que asegurarse de que la P_k corresponda a quien le esta mandando la encripcion
c) Falso porque la clave publica es publica.
d) Falso porque la funcion de KDC no es guardar PKS sino generar claves de sesion

Question 35

Para reducir ciertos ataques en el esquema de firma RSA se sugiere usar
π = (Gen, Sign, Vrfy) donde θ (la firma) se calcula como
θ:= [H(m)]^d mod N, siendo (N, d) =sk y H una funcion de hash resistente a colisiones util para criptografia, para verificar la firma:

a) Vrfy debe recibir θ y efectuar θ^e mod N y H( θ^e mod N)
b) Vrfy debe recibir θ y efectuar θ^e mod N y H^-1( θ^e mod N)
c) Vrfy debe recibir m y θ y efectuar θ^e mod N y H(m)
d) Vrfy debe recibir m y θ y efectuar m^e mod N y H(θ)

Answer 35

Rta: c
a) falso porque estariamos comparando θ^e mod N = H(m) con H(H(m))
b) Falso porque las funciones de Hash no son inversibles
c) Verdadero porque θ^e mod N = H(m) y la funcion hash es deterministica
d) falso porque Vrfy no afecta la verificacion con n, tengo que verificar que la firma corresponda a m.

Teorema de Fermat: si a es un entero positivo y p es un primo que no divide a a → p debe ser un factor de a ^p-1-1 i.e. a^p-1 ≡ 1 mod p

Explicacion: H(m) = H(m) ^ed mod N
ed ≡1 mod (φ(n)) → ed= 1 + k* φ(n) para algun k ∈ Z
sigue…

Question 36

Considerar el siguiente protocolo de autenticacion:
1. A→B: n_A
2. B→A: Cert_B, n_B, Sign_B(n_A, n_B)
3. A→B: Cert_A, Sign_A(n_B, n_A)

Mostrar como un adversario C puede autenticarse como A ante B

Answer 36

1) A→B (intercepta C): n_A
2) C→B :n_A
3) B→C: Cert_B, n_B, Sign_B(n_A, n_B)
4) C→A: Cert_C, n_B, Sign_C(n_A, n_B)
5) A→C: Cert_A, Sign_A(n_B, n_A)

Aca A no verifica si es B con quien comunica pero B, al verificar quien el emisor, concluye que es A. Para que C pueda hacer esto, es necesario que consiga la firma de A junto a los 2 nonces, n_A y n_B

Question 37

En que esta basado el cifrado simetrico DES? Explicar la idea general, que es lo que se busca en el algoritmo. SI trabajasen en un banco y alguien propone utilizar este protocolo, que aconsejarian y como lo argumentarian?

Answer 37

DES esta basado en redes Feistel. La idea general es que se parte el texto plano en 2 mitades y la clave en varias partes. Se transforma una mitad del texto con una caja feistel y una parte de la clave, se intercambian las mitades de lugar y se repiten los pasos anteriores hasta terminar. La entrada es de 64 bits y la clave tambien, pero en el caso de esta ultima solo 56 son efectivos

Se busca que sea computacionalmente muy dificil recuperar el mensaje por fuerza bruta

Desaconsejaria que se utilice DES en el banco ya que el algoritmo esta debilitado (se puede romper en s⁴³ intentos), en su lugar usaria AES

Question 38

Planteen un algoritmo de encripcion simple basado en un algoritmo de sustitucion polialfabetica. Como y bajo que condiciones pueden utilizarlo para implementar con el un esquema de One-Time-Pad?

Answer 38

Cualquier criptosistema que tenga secreto perfecto, puede reducirse a One-Time-Pad. un ejemplo de un algoritmo de sustitucion polialfabetico es vigenere, que para que tenga secreto perfecto, la clave que se utiliza debe tener una longitud igual o mayor a la longitud del mensaje a encriptar

Question 39

Lo importante al encriptar un mensaje con un Mac es que este demostrado que para esta primitiva es computacionalmente complejo encontrar la preimagen, eventuales colisiones o segundas preimagenes

Answer 39

Falso, ese es el hash

Question 40

La ventaja del modo de encripcion en bloque CBC es que puede ser paralelizable

Answer 40

Falso, ese es el counter

Question 41

Una firma digital basada en un algoritumo simetrico requiere utilizar primitivas de hash

Answer 41

falso, las firmas siempre son asimetricas

Question 42

El algoritmo de ElGamal permite la generacion entre alice y Bob de una clave de sesion por un canal inseguro

Answer 42

Falso, cifrado asimetrico

Question 43

La composicion de dos cifrados Vigenere es mas segura que uno solo

Answer 43

falso

Question 44

La unica manera de quebrar un cifrado de sustitucion monoalfabetica sobre un alfabeto de 27 letras es hacer un maximo de 27 pruebas por fuerza bruta

Answer 44

falso

Question 45

Para atacar un cifrado Vigenere, es necesario calcular las distancias entre repeticiones y luego obtener el maximo comun divisor entre ellas

Answer 45

verdadero

Question 46

La mejor opcion para proteger la autenticidad y la confidencialidad de un mail que A le envia a B, es que A envie E_KPB(M)|| Sign_KSA(M)

Answer 46

falso. La firma es verificable publicamente, entonces cualquiera podria obtener el mensaje si el esquema es inseguro. Lo ideal seria encriptar y luego firmar el cifrado.

Question 47

La principal diferencia entre un MAC y una firma digital es:
a- un MAC puede ser verificado solo en base al mensaje, pero una firma digital solo puede verificarse con la clave privada usada para firmar el mensaje
b- Un MAC puede ser verificado solo en base al mensaje, pero una firma digital solo puede verificarse con la clave publica del que firmo el mensaje.
c- Un MAC solo puede verificarse con la clave secreta usada para generarlo, pero una firma digital puede ser verificada solo en base al mensaje.
d- Un MAC solo puede verificarse con la clave secreta usada para generarlo, pero una firma digital puede ser verificada con la clave publica del que firmo el mensaje.

Answer 47

d

Question 48

Todas las funciones de una sola via
a- Reducen el tamano del mensaje
b- permiten cifrar mensajes
c- Tienen resistencia a preimagen.
d- Son resistentes a colisiones

Answer 48

c

Question 49

Una funcion de hash criptografica
a- Es siempre una funcion de una sola via
b- Siempre necesita de una clave.
c- Admite que si x != x’, entonces f(x) = f(x’)
d- Es equivalente a un MAC

Answer 49

a

Question 50

Alice y Bob son dos usuarios que quieren autenticarse entre si. Cada un de ellos tiene una password que el otro conoce. Alice tiene Pa y Bob tiene Pb

Parte 1:Mostrar por que este protocolo NO VA A FUNCIONAR (Man in the middle):
a- Alice y Bob intercambian sus claves publicas
b- Alice encripta Pa con la clave publica de Bob y envia esto a el.
c- Bob encripta Pb con la clave publica de Alice y envia esto a ella.
d- Alice desencripta lo que recibio en el paso (c) y verifica que esto es correcto.
e- Bob desencripta lo que recibio en el paso (d) y verifica que es correcto

Parte 2: Considerar el siguiente protocolo (interlock protocol) y explicar por que este protocolo podria solucionar la situacion anterior
a- Alice y Bob intercambian sus claves publicas
b- Alice encripta su mensaje usando la clave publica de Bob. Alice envia a Bob la mitad del mesnaje encriptado.
c- Bob encripta su mensaje usando la clave publica de Alice. Bob envia a Alice la mitad del mensaje encriptado,
d- Bob une las dos partes recibidas y las desencripta con su clave privada. Bob le envia a Alice la otra mitad de su mensaje encriptado
e- Alice une las dos partes recibidas y las desencripta con su clave privada