criptoanálisis más utilizados en la actualidaduniversidad francisco vitoria

8/17/2019 Criptoanálisis más utilizados en la actualidadUniversidad Francisco Vitoria

1/24

Estudio de los criptoanálisis más utilizados en la actualidad

CONTROL DOCUMENTAL

TÍTULO Criptoanálisis más utilizados en la actualidadSUBTÍTULO Criptografía y teoría de códigos

ENTIDAD DE DESTINO Universidad Francisco VitoriaPÁGINAS 24 páginasPALABRAS 5327 palabrasVERSIÓN 1.0FECHA DE CREACIÓN martes, 27 de diciembre de 2011ULTIMA MODIFICACIÓN domingo, 23 de septiembre de 2012NOMBRE DEL ARCHIVO CRIPTO-UFV-1_0.DOCXTAMAÑO DEL ARCHIVO 1263859 bytesHERRAMIENTA DE EDICION Microsoft WordAUTOR/ES Enrique Sánchez AcostaRESUMEN DEL DOCUMENTO Estudio de los criptoanálisis más utilizados en la actualidad

Criptografía y teoría de códigos | Enrique Sánchez Acosta

UniversidadFrancisco

Vitoria

CRIPTOANÁLISIS MÁS UTILIZADOS EN

LA ACTUALIDAD


2/24

Criptoanálisis más utilizados en la actualidadUniversidad Francisco Vitoria

Enrique Sánchez Acosta Página 2 de 24

RESUMENTrataremos en este trabajo de analizar el criptoanálisis, en que se basa y como ha ido siempre

ligado a la criptología aunque nada tenga que ver con ella, todas sus técnicas y su lógica son

diferentes.Veremos en este texto tanto una pequeña introducción como los métodos más utilizados hoy

en día, hasta llegar a las mas recientes investigaciones en criptoanálisis contra algoritmos deseguridad avanzada como WPA y RSA. Estos utilizados masivamente en transacciones bancarias yseguridad Wireless, así como en los accesos a los sistemas gubernamentales mas seguros.

No pretendemos en este documento mostrar la forma en que se descifran las claves, ni los programas que utilizaríamos, sino que sirva como base de una introducción a este mundo delcriptoanálisis, para posteriormente aumentar los conocimientos con otras publicaciones o con elejercicio practico de las pocas cosas que aquí se muestran.


3/24



ÍNDICE

Contenido

1. Introducción Al Criptoanálisis........................................................................ 4

1. Clásico .......................................................................................................................... 4

a. El análisis de frecuencias o de sustitución: .................................................................. 5

b. Método KASISKI ......................................................................................................... 8

c. Otros ................................................................................................................................. 8

2. Moderno ....................................................................................................................... 9

2. Tipos de Ataques .......................................................................................... 11

1. Activos ....................................................................................................................... 11

3. Pasivos ........................................................................................................................ 12

3. Criptoanálisis según el tipo de criptografía .................................................. 13

1. criptografía simétrica.................................................................................................. 13

a. Criptoanálisis diferencial............................................................................................ 13

b. Criptoanálisis Lineal .................................................................................................. 13

c. Ataque XSL ................................................................................................................... 13

d. Ataque de deslizamiento ............................................................................................ 13

4. criptografía asimétrica ................................................................................................ 14

4. criptoanálisis más utilizados hoy en día ....................................................... 15

1. criptoanálisis aplicados a RSA (Muy utilizado en SSL operaciones por internet) .... 15

a. Ataque al secreto de N por cifrado cíclico ................................................................. 16

b. Ataque a la clave por paradoja cumpleaños ............................................................... 17

5. criptoanálisis a algoritmos WEP y WPA ................................................................... 18

c. WEP ............................................................................................................................... 18 d. WAP y WAP2 ............................................................................................................ 21


4/24



1. INTRODUCCIÓN AL CRIPTOANÁLISIS

No podemos comenzar a hablar del criptoanálisis sin tener en cuenta a la criptografía. Esimportante destacar que no son lo mismo, sino ciencias completamente opuestas, pero que no

podrían haber avanzado en la historia ninguna sin la otra.La criptografía no llego hasta nuestros días por si sola, sino que tuvo una ciencia “aliada”: El

Criptoanálisis. Pongo entre comillas la palabra “aliada”, por que, el criptoanálisis consiste en lareconstrucción de un mensaje cifrado en texto simple utilizando distintos métodos. Por lo tanto, porlo que podríamos decir que el criptoanálisis es el arma utilizada por el enemigo para descubrirnuestro “código” o “clave”. Cuando un método de criptoanálisis permite descifrar un mensaje cifrado

mediante el uso de algún sistema o cripto-sistema, decimos que el algoritmo de cifrado ha sidodecodificado.

1. CLÁSICO

Trataremos de dar una pequeña introducción del criptoanálisis clásico, de sus comienzos y las primeras técnicas utilizadas para averiguar mensajes secretos. No es importante dentro del texto deltrabajo pero no podríamos continuar sin poner en contexto el futuro del criptoanálisis que vamos aexplicar a continuación.

Aproximadamente ya por el siglo IX, el matemático árabe YusufYaqubibnIshaq al-SabbahAl-Kindi escribió un pequeño manuscrito para descifrar mensajes criptográficos

Así comienza una de las técnicas clásicas del criptoanálisis:


5/24



a. EL ANÁLISIS DE FRECUENCIAS O DE SUSTITUCIÓN:

Se trata del estudio de las frecuencias de las letras o los grupos de letras en un texto cifrado.Está basado en el hecho de que, dado un texto, ciertas letras o combinaciones de letras aparecen más

a menudo que otras, existiendo distintas frecuencias para ellas. Es más, existe una distribucióncaracterística de las letras que es prácticamente la misma para la mayoría de ejemplos de eselenguaje. Por ejemplo, en el español, las vocales son muy frecuentes, ocupando alrededor del 45%del texto, siendo la E y la A las que aparecen en más ocasiones, mientras que la frecuencia sumadade F, Z, J, X, W y K no alcanza el 2%.

Será ya en 1843 cuando Edgar Alan Poe escribirá un relato llamado “El escarabajo de oro”

sobre un mensaje cifrado con la localización de un tesoro.

Poe era un gran aficionado al criptoanálisis y nos lleva a explicar esta técnica decriptoanálisis clásico en su libro. Vamos a ver un ejemplo de como utilizar esta técnica:

Ejemplo:

Si un atacante intercepta el texto cifrado con un cifrado por sustitución:YIFQFMZRWQFYVECFMDZPCVMRZWNMDZVEJBTXCDDUMJNDIFEFMDZCDMQZKCEYFCJMYRNCWJCSZREXCHZUNMXZZUCDRJXYYSMRTMEYIFZWDYVZVYFZUMRZCRWNZDZJJZWGCHSMRNMDHNCMFQCHZJMXJZWIEJYUCFWDJNZDIRCalcula las frecuencias de las letras:


6/24



Letra Frecuencia Letra Frecuencia Letra Frecuencia

A 0 J 11 S 3

B 1 K 1 T 2

C 15 L 0 U 5

D 13 M 16 V 5

E 7 N 9 W 8

F 11 O 0 X 6

G 1 P 1 Y 10

H 4 Q 4 Z 20

I 5 R 10

Sabiendo que el original está en inglés, planteamos la hipótesis:

1º hipótesis: dK (Z) = e2ª hipótesis: dK (C,D,F,J,M,R,Y,N)⊂ {t,a,o,i,n,s,h,r} ya que las letras C, D, F, J, M, R, Y, N

aparecen al menos 9 veces3ª hipótesis: A partir de los diagramas, especialmente de la forma – Z o Z – dada la suposición

de que Z representa e, se tiene que los más comunes son DZ & ZW (4); NZ & ZU (3); y

RZ,HZ,XZ,FZ,ZR,ZV,ZC,ZD,ZJ (2). Como ZW aparece 4 veces y WZ ninguna, y además W tiene baja frecuencia, se supone que dK (W)=d

4ª hipótesis: También de los diagramas, como DZ ocurre 4 veces y ZD ocurre dos,sospechamos que dK (D)∈ {r,s,t} ya que se corresponde con los diagramas más simétricos

5ª hipótesis: Notamos que ZRW y RZW ocurren ambos cerca del principio, y que RW serepite luego. Como R tiene alta frecuencia, y nd es un diagrama común en inglés, suponemos quedK© = n

6ª hipótesis: dK(N) = h porque NZ es un diagrama común y ZN noTexto parcialmente descifrado:

- - - - - - e nd- - - - - - - - - e - - - - n e dh - - e - - - - - - - - - - --YIFQFMZRWQFYVECFMDZPCVMRZWNMDZVEJBTXCDDUMJh - - - - - - - e - - - - e - - - - - - - - - nh- d - - - en - - - - e- h- - e

NDIFEFMDZCDMQZKCEYFCJMYRNCWJCSZREXCHZUNMXZhe - - - n - - - - - - n - - - -- - ed - - - e - - - e - - ne – nd h e – e - -

NZUCDRJXYYSMRTMEYIFZWDYVZVYFZUMRZCRWNZDZJJ- e d - - - - - n h - - - h- - - - - - e - - -- ed - - - - - - - d- - he- - n

XZWGCHSMRNMDHNCMFQCHZJMXJZWIEJYUCFWDJNZDIR

7ª hipótesis: A partir de ne-ndhe suponemos que dK©=a


7/24


8/24



Pueden hacerse diversos estudios de este tipo de criptoanálisis en la siguiente dirección:http://scottbryce.com/cryptograms/

b. MÉTODO KASISKI

Ideado en 1863 para romper el sistema criptográfico Vigenere. Se basa en que ciertassecuencias de letras aparecen muchas veces en los textos originales, y consecuentemente los textoscifrados con Vigenere tienen las correspondientes secuencias de letras cifradas también muyrepetidas.

Por tanto, la distancia entre las cadenas más repetidas en el texto cifrado debe ser un múltiplode la longitud de la clave K, y un buen candidato a longitud será el producto de los factores másrepetidos en las distancias encontradas.

Por ejemplo:

Texto original: TOBEORNOTTOBEClave: NOWNOWNOWNOWNTexto cifrado: GCXRCNACPGCXRLos pasos de este tipo de criptoanálisis son:

Se buscan los poligramas más repetidos y las distancias desde sus puntos de inicio para cada uno.

Se sabe que la longitud de la clave divide a todas esas distancias, por lo que también

dividirá a su mcd Se calculan los factores de cada distancia y se descubren los factores más repetidos

(candidatos a longitud de clave).

Se divide el criptograma en filas según cada longitud candidata (empezando por lamayor) y se compara la distribución de frecuencias de cada columna con la del idiomausado.

c. OTROS

Existen otros métodos clásicos de criptoanálisis en la historia pero nos veremos con profundidad, solo saber algunos de ellos como:

Índice de coincidencia

Índice mutuo de coincidencia

Playfair

Telegrama Zimmermann (Primera guerra mundial)

Máquina Enigma (Segunda guerra mundial: Un simulador de esta famosa máquina enhttp://www.amenigma.com/)Podriamos considerarlo el paso en tre el sistema clásicoal moderno

http://scottbryce.com/cryptograms/http://scottbryce.com/cryptograms/http://www.amenigma.com/http://www.amenigma.com/http://www.amenigma.com/http://scottbryce.com/cryptograms/


9/24



2. MODERNO

El criptoanálisis moderno comienza por los dispositivos Bombe: era un dispositivoelectromecánico usado por los criptólogos británicos para ayudar a descifrar las señales cifradas por

la máquina alemana Enigma durante la Segunda Guerra Mundial. La Armada y el Ejército de losEstados Unidos produjeron máquinas con la misma especificación funcional, pero diseñadas de unamanera diferente

La función del Bombe era descubrir algunos de los ajustes diarios de las máquinas Enigma enlas varias redes militares alemanas: específicamente, el conjunto de rotores en uso y sus posicionesen la máquina; los ajustes de los anillos del alfabeto.

Tomada como un todo, la criptografía moderna se ha vuelto mucho más impenetrable alcriptoanalista que los métodos de pluma y papel del pasado, y parece que en la actualidad llevanventaja sobre los métodos del puro criptoanálisis. La única forma que nos queda al criptoanálisissegún David Kahn (Colaborador de la NSA) se basa en 4 puntos fundamentales:

La intercepción

La colocación de dispositivos grabadores

Los ataques de canal lateral El criptoanálisis cuántico


10/24



Sin embargo creo que aun no ha llegado ese momento tan crítico y aun podemos teneralgunos sistemas modernos de criptoanálisis como son:

Ataque con sólo texto cifrado disponible: el criptoanalista sólo tiene acceso a una

colección de textos cifrados ó codificados. Ataque con texto plano conocido: el atacante tiene un conjunto de

textos cifrados de los que conoce el correspondiente texto plano ó descifrado.

Ataque con texto plano escogido ("ataque con texto cifrado elegido"): el atacante puedeobtener los textos cifrados (planos) correspondientes a un conjunto arbitrario de textos

planos (cifrados) de su propia elección.

Ataque adaptativo de texto plano escogido: como un ataque de texto plano escogido, peroel atacante puede elegir textos planos subsiguientes en base a la información obtenida delos descifrados anteriormente. Similarmente, existe el ataque adaptativo de texto cifradoescogido.

Ataque de clave relacionada: como un ataque de texto plano escogido, pero el atacante puede obtener texto cifrado utilizando dos claves diferentes.Las claves son desconocidas, pero la relación entre ambas es conocida;por ejemplo, dos claves que difieren en un bit.


11/24



2. TIPOS DE ATAQUES

Para una primera clasificación del criptoanálisis moderno podemos observar como se realizael ataque hacia el sistema cifrado. Es lógico pensar entonces que contamos con dos tipos de formas

de actuar del atacante, en este caso el criptoanalista.Los ataques criptoanalíticos varían en potencia y en su capacidad de amenaza para los

sistemas criptográficos utilizados en el mundo real. Esencialmente, la importancia práctica del ataquedepende de las respuestas dadas a las siguientes preguntas:

¿Qué conocimiento y capacidades son necesarios como requisito?

¿Cuánta información adicional secreta se deduce del ataque?

¿Cuánto esfuerzo se requiere? (es decir, ¿cuál es el grado de complejidadcomputacional?)

1. ACTIVOS

El atacante modifica el flujo de datos o crea flujos falsos. Hay muchas técnicas que se usanen este tipo de ataques.

Ejemplos:

Suplantación: El atacante trata de suplantar la identidad de la persona que tiene laautorización, para que el sistema piense que es el y le alguna información sobre la claveaunque esta este cifrada y poder después descifrarla mediante algún sistemacriptoanalítico.

Modificación de mensajes: Capturar paquetes para luego ser borrados (droppingattacks),manipulados, modificados (taggingattack) o reordenados. En muchos sistemascriptográficos parte de la clave se envía en estos paquetes de forma cifrada. Solamentetendremos que encontrar estos paquetes y comenzar a trabajar sobre ellos.

Reactivación: Captura de paquetes y retransmisiones

Degradación: Técnicas para que el servicio se degrade.


12/24



Se trata de uno de los ataques mas utilizados en la actualidad, como veremos mas adelantecon respecto al criptoanálisis utilizado para algoritmos WEP.

3. P ASIVOS

Aquí el atacante no altera la comunicación, sólo la escucha o monitoriza, para obtenerinformación. Por tanto este tipo de ataques suelen usar técnicas de escucha de paquetes (sniffing) yde análisis de tráfico. Son difíciles de detectar ya que no implican alteración de los datos. Se pueden

prevenir mediante el cifrado de la información.


13/24



3. CRIPTOANÁLISIS SEGÚN EL TIPO DE CRIPTOGRAFÍA

1. CRIPTOGRAFÍA SIMÉTRICA

Un cifrado simétrico no es más que un algoritmo de cifrado basado en una función invertible,tal que tanto el algoritmo como su inverso dependen de un parámetro igual para ambos llamado clavesecreta.

También recibe este nombre aquel algoritmo de cifra que depende de un parámetro diferentedel de su inverso, pero tal que el conocimiento de uno permite, en un tiempo razonable y con unosrecursos limitados, el conocimiento del otro.

Existen diversos tipos de criptoanálisis contra los sistemas criptográficos siméticos:

Criptoanálisis diferencial

Criptoanálisis lineal Criptoanálisis integral

Ataque XSL (eXtended Sparse Linearisation)

Ataque de deslizamiento

a. CRIPTOANÁLISIS DIFERENCIAL

Técnica critoanalítica de tipo estadístico, consistente en cifrar parejas de texto en claroescogidas con la condición de que su producto o-exclusivo obedezca a un patrón definido

previamente. Los patrones de los correspondientes textos cifrados suministran información con laque conjeturar la clave criptográfica.

Se aplica en los cifrados de tipo DES, aunque es de destacar que precisamente éste esrelativamente inmune al citado ataque.

b. CRIPTOANÁLISIS LINEAL

Técnica criptoanalítica de tipo estadístico, consistente en operar o-exclusivo dos bits del textoen claro, hacer lo mismo con otros dos del texto cifrado y volver a operar o-exclusivo los dos bits

obtenidos. Se obtiene un bit que es el resultado de componer con la misma operación dos bits de laclave. Si se usan textos en claro recopilados y los correspondientes textos cifrados, se puedenconjeturar los bits de la clave. Cuantos más datos se tengan más fiable será el resultado.

Se aplica a los cifrados tipo DES.

c. ATAQUE XSL

Es un sistema criptoanalítico que utiliza un método por bloques cifrados. Se utilizageneralmente contra algoritmos de tipo AES.

d. ATAQUE DE DESLIZAMIENTO


14/24



Ataque a algoritmos de cifra que utilizan varios ciclos similares de cifrado elemental. Elataque busca debilidades en la generación de sub-claves para cada ciclo.

4. CRIPTOGRAFÍA ASIMÉTRICA

La criptografía asimétrica (también llamada criptografía de clave pública) es una criptografíaque se basa en utilizar dos claves: una privada y una pública. Estas cifras invariablemente empleanen problemas matemáticos "duros" como base para su seguridad, así que un punto obvio de ataque esdesarrollar métodos para resolver el problema. La seguridad de una criptografía de dos clavesdepende de cuestiones matemáticas de una manera que no se aplica a la criptografía de clave única, yrecíprocamente conectan el criptoanálisis con la investigación matemática en general de nuevasmaneras.

Otra característica distintiva de los algoritmos asimétricos es que, a diferencia de los ataquessobre criptosistemas simétricos, cualquier criptoanálisis tiene la oportunidad de usar el conocimientoobtenido de la clave pública.


15/24



Contra este tipo de cifrado necesitaremos unas maquinas especiales para realizar elcriptoanálisis, estos son los ordenadores cuánticos:

De construirse un ordenador cuántico, muchas cosas cambiarían. La computación en paralelosería probablemente la norma, y varios aspectos de lacriptografíacambiarían.

Algunos escritores han declarado que ningún cifrado permanecería seguro de estardisponibles los ordenadores cuánticos, pero seguramente la posibilidad mas real sea que el aumentoen capacidad computacional pueda hacer posibles otros ataques de búsqueda de claves, más allá de lasimple fuerza bruta, contra uno o varios de los algoritmos actualmente inexpugnables. En ausenciade un método para predecir estos avances, sólo nos queda esperar.

4. CRIPTOANÁLISIS MÁS UTILIZADOS HOY EN DÍA

1. CRIPTOANÁLISIS APLICADOS A RSA (MUY UTILIZADO EN SSL OPERACIONESPOR INTERNET)

Cifrado asimétrico ideado por Rivest, Shamir y Adelman y publicado en 1978. Se basa enoperaciones de potenciación en aritmética modular y su fortaleza radica en la dificultad de factorizarnúmeros extraordinariamente grandes. Es, con gran diferencia, la técnica asimétrica de uso másgeneralizado.

Su longitud de clave (pública y privada) es variable, siendo valores usuales: 512, 1024 o 2048

bits.Frente a otras técnicas asimétricas presenta la ventaja de poderse emplear también en la firma

digital.Criptosistema de clave pública, diseñado en 1978 que basa su seguridad en la dificultad de

factorizar grandes números. Puede ser usado, tanto para cifrar como para producir firmas digitales.

El algoritmo RSA es el siguiente y nos ayudará a entender el criptoanálisis que hay queutilizar:

1.- Generación del par de claves


16/24



Para generar un par de claves (KP; Kp), en primer lugar se eligen aleatoriamente dos números primos grandes, p y q (de unas 200 cifras cada uno, por ejemplo). Después se calcula el producto n = p*q

Escogeremos ahora un número e primo relativo con (p-1) y con (q-1). Este par de números

(e,n) pueden ser conocidos por cualquiera, y constituyen la llamada clave públicae por tanto debetener un inverso módulo (p-1)(q-1), al que llamamos d. Por supuesto se cumple que ed ≡ 1 mod((p-1)(q-1)), que es lo mismo que decir que ed = 1+k (p-1)(q-1) para algún entero k. La clave

privada será el par (d, n). Este número d debe mantenerse secreto y sólo será conocido por el propietario del par de claves.

2.- Cifrado del mensaje con la clave pública

Hay que hacer notar que con este algoritmo los mensajes que se cifran y descifran sonnúmeros enteros de tamaño menor que n, no letras sueltas como en el caso de los cifrados César oVigènere.Para obtener el mensaje cifrado C a partir del mensaje en claro M, se realiza la siguiente

operación:

C = Me (mod n)

3.- Descifrado del mensaje con la clave privada

Para recuperar el mensaje original a partir del cifrado se realiza la siguiente operación:

M = Cd (mod n)

Para romper un cifrado RSA, podemos probar varias vías. Aparte de factorizar n, que yasabemos que es un problema computacionalmente intratable en un tiempo razonable, podríamosintentar calcular φ(n) directamente (Si recordamos, la función de Euler φ(n)= (p-1)(q-1), y que engeneral, salvo azar improbable, se tendrá que mcd(M,p) = mcd(M,q) = mcd(M,n) = 1. Y por tantosegún el teorema de Euler-Fermat, Mφ(n) ≡ 1 (mod n) ⇒ (M(p-1)(q-1))k ≡ 1 (mod n) [ii]), o probar

por un ataque de fuerza bruta tratando de encontrar la clave privada d, probando sistemáticamentecon cada uno de los números posibles del espacio de claves. Ambos ataques son, para n grandes,incluso aún más costosos computacionalmente que la propia factorización de n.

Necesitaremos actualmente unos 22.020.985.858.787.784.059 (2e64) años para romper unaclave cifrada con 128 bits.

Sin embargo existen otros tipos de ataques al algoritmo RSA

a. ATAQUE AL SECRETO DE N POR CIFRADO CÍCLICO

Se puede encontrar el número en claro N sin necesidad de conocer d, la clave privada delreceptor.

Como C = Nemod n, realizaremos cifrados sucesivos de los criptogramas Ciresultantes con la

misma clave pública hasta obtener nuevamente el cifrado C original.


17/24



Ci= Cei-1mod n (i = 1, 2, ...)con C0= C

Si en el cifrado i-ésimo se encuentra el criptograma C inicial, entonces es obvio que elcifrado anterior (i-1) será el número buscado. Esto se debe a que RSA es un grupo multiplicativo.

Para evitarlo hay que usar primos seguros de forma que los subgrupos de trabajo sean losuficientemente altos.

Un ejemplo significativo:

Sea p = 13, q = 19, n = 247, φ(n) = 216, e = 29 (d = 149, no conocido) El número a cifrar será M = 123 ⇒ C = 12329mod 247 = 119

i Cii = 0 C0= 119

i = 1 C1= 11929mod 247 = 6i = 2 C2 = 629mod 247 = 93i = 3 C3= 9329mod 247 = 175i = 4 C4= 17529mod 247 = 54i = 5 C5= 5429mod 247 = 123i = 6 C6= 12329mod 247 = 119

El ataque ha prosperado muy rápidamente: como hemos obtenido otra vez el criptograma C =119, es obvio que el paso anterior con C = 123 se correspondía con el texto en claro. Si usamos

primos seguros, la cantidad de cifrados será mayor y el sistema menos vulnerable.

b. ATAQUE A LA CLAVE POR PARADOJA CUMPLEAÑOS

Se trata del algoritmo propuesto por Merkle y Hellman en 1981:

El atacante elige dos números aleatorios distintos i, j dentro del cuerpo de cifra n. Lo

interesante es que elige, además, un mensaje o número N cualquiera. Para i = i+1 y para j = j+1 calcula Nimod n y N jmod n.


18/24



Cuando encuentra una coincidencia de igual resultado de cifra para una pareja (i, j), serácapaz de encontrar d.

Un ejemplo para resolver en la siguiente diapositiva: sea p = 7; q = 13, n = p∗q = 91, e = 11,

d = 59. El atacante parte con el número N = 20 y elegirá los valores i = 10 y j = 50. Sólo conoce n =91 y e = 11.

5. CRIPTOANÁLISIS A ALGORITMOS WEP Y WPA

c. WEP

El protocolo WEP (Wired Equivalent Privacy) nace en 1999 comoparte del estándar IEEE802.11[1]. Su misión es garantizar la privacidad dela información transmitida por los componentes

de una red WiFi. Encriptar la información que un ordenador envía por el aire a otro es esencial paraimpedirque un vecino curioso encuentre interesante nuestro número de tarjeta decrédito, nuestracontraseña de correo o simplemente decida que usar nuestraconexión a Internet es más adecuado asus ocultos propósitos.

La base del WEP está en la operación lógica XOR. El o-exclusivo es una operación binariaque genera el valor 1 si los dos operandos son diferentes, y 0 si son iguales. Presenta la propiedadque si aplicamos dos veces el XOR a un valor obtendremos el valor original, es decir (A XOR B)XOR B = A. P

¿Qué puntos débiles presentaeste modelo aparentemente tan seguro?

Está demostrado matemáticamente la existencia unboquete lógico en la fase KSA delalgoritmo RC4. Trataremos de evitar la complejidad de los cálculos a la hora deexponer un resumenque muestre losresultados más interesantes, aunque tendremos que recurrir a La Cuenta de la Viejaen algunos momentos. Sabemos que en cada frame se transmite parte de la semilla deinicializaciónde RC4 que corresponden con los tresbytes del vector de inicialización (IV), ademássabemos que la informacióncodificada es generalmente un paqueteTCP/IP que poseen tres primeros

bytesconocidos (0xAA:0xAA:0x03). Basándose en esto se aplicalas debilidades encontradas en elalgoritmo RC4 paradeterminar qué vectores IV proporcionaninformación sobre alguno deestosprimeros bytes conocidos. Estos IVs pueden encontrarse fácilmente y son denominados WeaksIV. En principio nos concentraremos solamente en el desordenamiento del vector S.

El crackeado de WEP puede ser demostrado con facilidad utilizando herramientas comoAircrack (creado por el investigador francés en temas de seguridad, Christophe Devine). Aircrackcontiene tres utilidades principales, usadas en las tres fases del ataque necesario para recuperar laclave:

• airodump: herramienta de sniffing utilizada para descubrir las redes que tienen activado

WEP,• aireplay: herramienta de inyección para incrementar el tráfico,


19/24


20/24



Después, podremos usar la información recogida para inyectar tráfico utilizando aireplay. Lainyección empezará cuando una petición ARP capturada, asociada con el BSSID objetivo aparezcaen la red inalámbrica:

# aireplay -3 -b 00:13:10:1F:9A:72 -h 00:0C:F1:19:77:5C -x 600 wlan0 (...)

Finalmente, aircrack se utiliza para recuperar la clave WEP. Utilizando el fichero pcap sehace posible lanzar este paso final mientras airodump sigue capturando datos

# aircrack -x -0 WEP000.cap

Este paquete informático tan extendido hoy en día hace posible otros diversos ataques comoson:

Deautenficación: Este ataque puede ser usado para recuperar un SSID oculto (porejemplo, uno que no sea broadcast),

Desencriptación de paquetes de datos WEP arbitrarios sin conocer la clave: Esteataque está basado en la herramienta representativa de KoreK, llamada chopchop, que

puede desencriptar paquetes encriptados con WEP sin conocer la clave. El chequeo deintegridad implementado en el protocolo WEP permite que el atacante puedamodificar tanto un paquete encriptado como su correspondiente CRC.

Autenticación falsa: Se requiere un cliente legítimo (real o virtual, aunque real seríamejor), asociado con el punto de acceso para asegurarse de que el punto de acceso norechace los paquetes por una dirección de destino no asociada.


21/24



Podemos observar por lo tanto que la obtención de la clave WEP no tiene ya ningún misterio,incluso para alguien no versado en sistemas de criptoanálisis. Por este motivo no tardaron en salir almercado dos protocolos nuevos WAP y WPA2.

d. WAP Y WAP2

A continuación explicamos las características de Wi-Fi Protected Access (WPA) versión 1que fue creado por la Wi-Fi Alliance provisionalmente para ocupar el lugar de WEP, mientras802.11i era finalizado.

Este protocolo fue implementado para corregir las deficiencias del sistema previo WEP y norequería un cambio de hardware. En cambio, como veremos más adelante esto no ocurre con WPAversión 2.

Los datos utilizan el algoritmo RC4 con una clave de 128 bits y un vector de inicialización de48 bits. Una de las mejoras más sobresalientes sobre su predecesor, WEP, es TKIP (Temporal KeyIntegrity Protocol, o Protocolo de integridad de clave temporal).

WPA hace más difícil vulnerar las redes inalámbricas al incrementar los tamaños de lasclaves e IVs, reduciendo el número de paquetes enviados con claves relacionadas y añadiendo unsistema de verificación de mensajes.

La Wi-Fi Alliance lanzó en septiembre de 2004, WPA2, que es la versión certificada de laespecificación completa del estándar IEEE 802.11i, que fue certificado en junio de 2004.

Las principales diferencias entre las dos versiones de WPA las veremos en la tabla mostradaa continuación:

WPAv1 WPAv2MODO

PERSONALAUTENTICACIÓN PSK PSK

CIFRADO TKIP(RC4) /MIC

CCMP(AES) /CBC-MAC

MODOEMPRESARIAL

AUTENTICACIÓN 802.1x / EAP 802.1x / EAP

CIFRADO TKIP (RC4) /MIC

CCMP(AES) /CBC-MAC

Una de las diferencias más destacables entre WPAv1 y WPAv2, es que esta última substituyeel cifrado RC4 por CCMP (Counter Mode with Cipher Block Chaining Message AuthenticationCode Protocol ) que utiliza AES (Advanced Encryption Standard).

Así como en el protocolo WEP hemos analizado los posibles caminos por los cualesvulnerarlo, WPA se considera computacionalmente irrompible .De hecho sólo es vulnerable laversión WPA-PSK (Pre-Shared Key), que se basa en una clave compartida entre usuario y AccessPoint.

Si conseguimos capturar dicho handshake, a partir de las MACs (AP y cliente), del SSID y

de los números aleatorios intercambiados, podemos conseguir el secreto compartido.


22/24



Una vez capturado todo lo necesario y sólo a falta de saber la PSK, utilizaremos la fuerza bruta o el uso de un diccionario para sacar la clave utilizada en el cifrado. La suite aircrack-ngtambién nos proporciona la posibilidad de utilizar un diccionario para este fin y poder encontrar lasclaves PSK.

Sin embargo aunque hasta ahora pensábamos que solo este tipo PSK podía ser roto apareceen los últimos años un nuevo sistema de ataque a las WPA creado por Toshihiro Ohigashi yMasakatu Morii y basado en el ataque de criptoanálisis “Man in the middle” que utiliza unosmensajes de falsificación para engañar al protocolo, obteniendo la clave en apenas un minuto.


23/24



La idea del ataque es utilizar un mensaje de falsificación práctico para cualquierimplementación de WPA. Existía un ataque Beck-Tews (un método chopchop que aunque se puedeusar con WEP, también puede trabajar con WPA) para PSK pero este ataque modificado con elataque MITM (Man-In-the-Middle) puede trabajar en cualquier WPA.

El documento completo de la Universidad de Hiroshima se encuentra en:

http://jwis2009.nsysu.edu.tw/location/paper/A%20Practical%20Message%20Falsification%20Attack%20on%20WPA.pdf

Solo nos queda que algún día también se consiga hacer el sistema de criptoanálisis para lasWPA2. ¿y por qué no?

“Tres podrían guardar un secretosi dos de ellos hubieran muerto.”

Benjamin Franklin

http://jwis2009.nsysu.edu.tw/location/paper/A%20Practical%20Message%20Falsification%20Attack%20on%20WPA.pdfhttp://jwis2009.nsysu.edu.tw/location/paper/A%20Practical%20Message%20Falsification%20Attack%20on%20WPA.pdfhttp://jwis2009.nsysu.edu.tw/location/paper/A%20Practical%20Message%20Falsification%20Attack%20on%20WPA.pdfhttp://jwis2009.nsysu.edu.tw/location/paper/A%20Practical%20Message%20Falsification%20Attack%20on%20WPA.pdfhttp://jwis2009.nsysu.edu.tw/location/paper/A%20Practical%20Message%20Falsification%20Attack%20on%20WPA.pdf


24/24


BIBLIOGRAFÍA A Practical Message Falsication Attackon WPA por Toshihiro Ohigashi y Masakatu Morii

Criptoanálisis Wep con Zaurus por Alberto Planas

Seguridad Wi-Fi por Guillaume Lehembre

http://www.seguridadwireless.net/

Vulnerabilidades y Ataques al Sistema de Cifra RSA por Jorge Ramiro Aguirre GUÍA DE SEGURIDAD DE LAS TIC(CCN-STIC-401) (Centro Criptológico Nacional)

https://www.ccn-cert.cni.es/publico/serieCCN-STIC401/index.html
http://www.seguridadwireless.net/http://www.seguridadwireless.net/https://www.ccn-cert.cni.es/publico/serieCCN-STIC401/index.htmlhttps://www.ccn-cert.cni.es/publico/serieCCN-STIC401/index.htmlhttps://www.ccn-cert.cni.es/publico/serieCCN-STIC401/index.htmlhttp://www.seguridadwireless.net/

criptoanálisis más utilizados en la actualidaduniversidad francisco vitoria

Documents