jorge ramió - rsa cumple 36 años y se le ha caducado el carné joven [rooted con 2014]
Post on 29-Nov-2014
291 Views
Preview:
DESCRIPTION
TRANSCRIPT
1Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
RSA cumple 36 años y se le ha caducado el carné joven
Jorge Ramió Aguirre
UPM - Criptored
jramio@eui.upm.es
Madrid, 7 de marzo de 2014
2Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Desarrollo de la presentación
Introducción al tema
Cosas simpáticas de RSA
Los ataques más ortodoxos no prosperan
– Ataque por factorización entera
– Ataque por cifrado cíclico
– Ataque por paradoja del cumpleaños
Los ataques por canal lateral sí prosperan
Pero, no sólo RSA se ve afectado …
3Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Interés en algoritmo RSA …
Es un estándar … y eso marca
Como algoritmo es interesante
Febrero de 1978 – Febrero de 2014
Longevo, acaba de cumplir 36 años
Increíble pero sigue aguantando
Su diseño es sencillo
Fácil compresión, incluso ellos se enteran
DENTRO VÍDEO…
4Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Los enteraos … 7 magníficos
5Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Las operaciones en RSA …
Cifrado: Ne mod n (intercambio clave)
Descifrado: Cd mod n
Se realizan dentro de un cuerpo
Es necesario calcular inversos, lo de clave pública y clave privada
Y poco más…
Eso sí, no confundir cuerpo por cuerpazo ni inversos por lo otro
DENTRO VÍDEO…
6Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Otros cuerpos … y otros inversos
7Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Breve repaso del algoritmo (1)
Febrero de 1978: Ron Rivest, Adi Shamir y Leonard Adleman proponen el algoritmo de cifra con clave pública RSA.
1. Cada usuario elige un grupo n = pq (pueden ser y de hecho son distintos).
2. Los valores p y q no se hacen públicos.
3. Cada usuario calcula (n) = (p-1)(q-1).
4. Cada usuario elige una clave pública e de forma que 1 < e < (n) y que cumpla con la condición: mcd [e, (n)] = 1.
8Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Breve repaso del algoritmo (2)
5. Cada usuario calculará ahora su clave privada d = inv [e,(n)].
6. Se hace público el cuerpo n y la clave e.
7. Se guarda en secreto la clave d. También se guardarán en secreto p y q para la operación de descifrado con el Teorema Chino del Resto.
8. Cifra: C = NeR mod nR (ojo... sólo números)
9. Firma: C = h(M)dE mod nE
9Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Fortaleza de RSA
Factorización entera (NP) para poder calcular la clave privada (complicado …)
Ataque al secreto por cifrado cíclico (mucho más complicado …)
Ataque directo (P) a la clave secreta por paradoja del cumpleaños … (más de lo mismo, aunque puede ser distribuido)
Otros ataques no al algoritmo sino al entorno físico: canal lateral (escuchan sonidos, leen energía consumida, ...)
10Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Once preguntas y once NO (1)
1. ¿Puedo elegir los primos p y q de igual valor?
2. ¿Puedo elegir como clave pública e el valor que yo quiera?
3. ¿Se cifrarán todos los números secretos que pueda generar como clave de sesión?
4. ¿Debo preocuparme porque mi clave RSA tenga números que no se cifren y vayan en claro?
5. ¿Si hay una clave pública, existe entonces una única clave privada?
6. ¿Debo preocuparme si mi clave RSA tiene más de una clave privada?
Ver documento a publicarse en Criptored el 10/03/2014
11Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Once preguntas y once NO (2)
7. ¿El secreto intercambiado está asegurado si no se conoce la clave privada del destino?
8. ¿En el ataque por cifrado cíclico, si el resultado de una cifra se vuelve a cifrar con los mismos parámetros y la operación se repite varias veces, recorremos todo el cuerpo?
9. ¿Es factible el ataque por factorización entera para claves reales?
10. ¿Todos los ataques a RSA son del tipo NP?
11. ¿Los ataques de canal lateral tienen poco futuro?
Los temas 7 al 10 se analizarán con demos
12Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Cuestión 7
7. Secreto roto sin conocer clave privada
Demo clave de 30 bits
13Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Cuestión 8
8. Anillos en ataque por cifrado cíclico
Interesante … no será “mi tessooro” … Demo clave de 20 bits
14Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Cuestión 9
9. Factorización entera con Msieve151
Thu Feb 27 20:35:10 2014 Msieve v. 1.51 (SVN 845)
Thu Feb 27 20:35:10 2014 random seeds: a38426d0 91daea70
Thu Feb 27 20:35:10 2014 factoring
… un producto de dos primos consecutivos de 45 dígitos c/u (297 bits)
Thu Feb 27 21:12:58 2014 elapsed time 00:37:48
Demo clave de 200 bits
15Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Cuestión 10
10. Paradoja del cumpleaños en local: servidor
Demo clave de 60 bits
16Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Cuestión 10
10. Paradoja del cumpleaños en local: cliente
17Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Cuestión 10
HIGH PERFORMANCE DATA CENTER
VALLEKAS 2
18Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Cuestión 10
10. Paradoja del cumpleaños red: servidor
Sin red , no hay demo
19Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Cuestión 10
10. Paradoja del cumpleaños red: cliente
20Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Cuestión 11
11. Ataque por canal lateral (no sólo para RSA)
Los ceros y los unos …The sound of silence
21Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Cuestión 11
11. Canal lateral (el verdadero peligro)
22Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Soluciones
Ir a la raíz … TEMPEST
Implementación …
23Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Referencias básicas
J. Ramió; Curso Crypt4you http://www.criptored.upm.es/crypt4you/temas/RSA/leccion0/leccion00.html
J. Ramió, Artículo RSA cumple 36 años y se le ha caducado el carné joven (29 páginas) http://www.criptored.upm.es/guiateoria/gt_m001k1.htm
A. Fuentes, L. Hernández, A. Martín, B. Alarcos; CIBSI 2013. Diseño de un conjunto de herramientas software para ataques por canal lateral. http://www.criptored.upm.es/descarga/ListadoActasCIBSI_TIBETS2013.zip
D. Genkin, A. Shamir, E. Tromer; RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis http://www.tau.ac.il/~tromer/papers/acoustic-20131218.pdf
top related