criptoanálisis más utilizados en la actualidad · pdf filecriptoanálisis...

Estudio de los criptoanálisis más utilizados en la actualidad

CONTROL DOCUMENTAL

TÍTULO Criptoanálisis más utilizados en la actualidad

SUBTÍTULO Criptografía y teoría de códigos

ENTIDAD DE DESTINO Universidad Francisco Vitoria

PÁGINAS 24 páginas

PALABRAS 5327 palabras

VERSIÓN 1.0

FECHA DE CREACIÓN martes, 27 de diciembre de 2011

ULTIMA MODIFICACIÓN domingo, 23 de septiembre de 2012

NOMBRE DEL ARCHIVO CRIPTO-UFV-1_0.DOCX

TAMAÑO DEL ARCHIVO 1263859 bytes

HERRAMIENTA DE EDICION Microsoft Word

AUTOR/ES Enrique Sánchez Acosta

RESUMEN DEL DOCUMENTO Estudio de los criptoanálisis más utilizados en la actualidad

Criptografía y teoría de códigos | Enrique Sánchez Acosta

Universidad

Francisco

Vitoria

CRIPTOANÁLISIS MÁS UTILIZADOS EN

LA ACTUALIDAD

Criptoanálisis más utilizados en la actualidad

Universidad Francisco Vitoria

Enrique Sánchez Acosta Página 2 de 24

RESUMEN

Trataremos en este trabajo de analizar el criptoanálisis, en que se basa y como ha ido siempre

ligado a la criptología aunque nada tenga que ver con ella, todas sus técnicas y su lógica son

diferentes.

Veremos en este texto tanto una pequeña introducción como los métodos más utilizados hoy

en día, hasta llegar a las mas recientes investigaciones en criptoanálisis contra algoritmos de

seguridad avanzada como WPA y RSA. Estos utilizados masivamente en transacciones bancarias y

seguridad Wireless, así como en los accesos a los sistemas gubernamentales mas seguros.

No pretendemos en este documento mostrar la forma en que se descifran las claves, ni los

programas que utilizaríamos, sino que sirva como base de una introducción a este mundo del

criptoanálisis, para posteriormente aumentar los conocimientos con otras publicaciones o con el

ejercicio practico de las pocas cosas que aquí se muestran.




ÍNDICE

Contenido

1. Introducción Al Criptoanálisis........................................................................ 4

1. Clásico .......................................................................................................................... 4

a. El análisis de frecuencias o de sustitución: .................................................................. 5

b. Método KASISKI ......................................................................................................... 8

c. Otros ................................................................................................................................. 8

2. Moderno ....................................................................................................................... 9

2. Tipos de Ataques .......................................................................................... 11

1. Activos ....................................................................................................................... 11

3. Pasivos ........................................................................................................................ 12

3. Criptoanálisis según el tipo de criptografía .................................................. 13

1. criptografía simétrica.................................................................................................. 13

a. Criptoanálisis diferencial............................................................................................ 13

b. Criptoanálisis Lineal .................................................................................................. 13

c. Ataque XSL ................................................................................................................... 13

d. Ataque de deslizamiento ............................................................................................ 13

4. criptografía asimétrica ................................................................................................ 14

4. criptoanálisis más utilizados hoy en día ....................................................... 15

1. criptoanálisis aplicados a RSA (Muy utilizado en SSL operaciones por internet) .... 15

a. Ataque al secreto de N por cifrado cíclico ................................................................. 16

b. Ataque a la clave por paradoja cumpleaños ............................................................... 17

5. criptoanálisis a algoritmos WEP y WPA ................................................................... 18

c. WEP ............................................................................................................................... 18

d. WAP y WAP2 ............................................................................................................ 21




1. INTRODUCCIÓN AL CRIPTOANÁLISIS

No podemos comenzar a hablar del criptoanálisis sin tener en cuenta a la criptografía. Es

importante destacar que no son lo mismo, sino ciencias completamente opuestas, pero que no

podrían haber avanzado en la historia ninguna sin la otra.

La criptografía no llego hasta nuestros días por si sola, sino que tuvo una ciencia “aliada”: El

Criptoanálisis. Pongo entre comillas la palabra “aliada”, por que, el criptoanálisis consiste en la

reconstrucción de un mensaje cifrado en texto simple utilizando distintos métodos. Por lo tanto, por

lo que podríamos decir que el criptoanálisis es el arma utilizada por el enemigo para descubrir

nuestro “código” o “clave”. Cuando un método de criptoanálisis permite descifrar un mensaje cifrado

mediante el uso de algún sistema o cripto-sistema, decimos que el algoritmo de cifrado ha sido

decodificado.

1. CLÁSICO

Trataremos de dar una pequeña introducción del criptoanálisis clásico, de sus comienzos y las

primeras técnicas utilizadas para averiguar mensajes secretos. No es importante dentro del texto del

trabajo pero no podríamos continuar sin poner en contexto el futuro del criptoanálisis que vamos a

explicar a continuación.

Aproximadamente ya por el siglo IX, el matemático árabe YusufYaqubibnIshaq al-Sabbah

Al-Kindi escribió un pequeño manuscrito para descifrar mensajes criptográficos

Así comienza una de las técnicas clásicas del criptoanálisis:




a. EL ANÁLISIS DE FRECUENCIAS O DE SUSTITUCIÓN:

Se trata del estudio de las frecuencias de las letras o los grupos de letras en un texto cifrado.

Está basado en el hecho de que, dado un texto, ciertas letras o combinaciones de letras aparecen más

a menudo que otras, existiendo distintas frecuencias para ellas. Es más, existe una distribución

característica de las letras que es prácticamente la misma para la mayoría de ejemplos de ese

lenguaje. Por ejemplo, en el español, las vocales son muy frecuentes, ocupando alrededor del 45%

del texto, siendo la E y la A las que aparecen en más ocasiones, mientras que la frecuencia sumada

de F, Z, J, X, W y K no alcanza el 2%.

Será ya en 1843 cuando Edgar Alan Poe escribirá un relato llamado “El escarabajo de oro”

sobre un mensaje cifrado con la localización de un tesoro.

Poe era un gran aficionado al criptoanálisis y nos lleva a explicar esta técnica de

criptoanálisis clásico en su libro. Vamos a ver un ejemplo de como utilizar esta técnica:

Ejemplo:

Si un atacante intercepta el texto cifrado con un cifrado por sustitución:

YIFQFMZRWQFYVECFMDZPCVMRZWNMDZVEJBTXCDDUMJNDIF

EFMDZCDMQZKCEYFCJMYRNCWJCSZREXCHZUNMXZZUCDRJXY

YSMRTMEYIFZWDYVZVYFZUMRZCRWNZDZJJZWGCHSMRNMDH

NCMFQCHZJMXJZWIEJYUCFWDJNZDIR

Calcula las frecuencias de las letras:




Letra Frecuencia Letra Frecuencia Letra Frecuencia

A 0 J 11 S 3

B 1 K 1 T 2

C 15 L 0 U 5

D 13 M 16 V 5

E 7 N 9 W 8

F 11 O 0 X 6

G 1 P 1 Y 10

H 4 Q 4 Z 20

I 5 R 10

Sabiendo que el original está en inglés, planteamos la hipótesis:

1º hipótesis: dK (Z) = e

2ª hipótesis: dK (C,D,F,J,M,R,Y,N) ⊂ {t,a,o,i,n,s,h,r} ya que las letras C, D, F, J, M, R, Y, N

aparecen al menos 9 veces

3ª hipótesis: A partir de los diagramas, especialmente de la forma –Z o Z– dada la suposición

de que Z representa e, se tiene que los más comunes son DZ & ZW (4); NZ & ZU (3); y

RZ,HZ,XZ,FZ,ZR,ZV,ZC,ZD,ZJ (2). Como ZW aparece 4 veces y WZ ninguna, y además W tiene

baja frecuencia, se supone que dK (W)=d

4ª hipótesis: También de los diagramas, como DZ ocurre 4 veces y ZD ocurre dos,

sospechamos que dK (D)∈ {r,s,t} ya que se corresponde con los diagramas más simétricos

5ª hipótesis: Notamos que ZRW y RZW ocurren ambos cerca del principio, y que RW se

repite luego. Como R tiene alta frecuencia, y nd es un diagrama común en inglés, suponemos que

dK© = n

6ª hipótesis: dK(N) = h porque NZ es un diagrama común y ZN no

Texto parcialmente descifrado:

- - - - - - e nd- - - - - - - - - e - - - - n e dh - - e - - - - - - - - - - --

YIFQFMZRWQFYVECFMDZPCVMRZWNMDZVEJBTXCDDUMJ

h - - - - - - - e - - - - e - - - - - - - - - nh- d - - - en - - - - e- h- - e

NDIFEFMDZCDMQZKCEYFCJMYRNCWJCSZREXCHZUNMXZ

he - - - n - - - - - - n - - - -- - ed - - - e - - - e - - ne –nd h e – e - -

NZUCDRJXYYSMRTMEYIFZWDYVZVYFZUMRZCRWNZDZJJ

- e d - - - - - n h - - - h- - - - - - e - - -- ed - - - - - - - d- - he- - n

XZWGCHSMRNMDHNCMFQCHZJMXJZWIEJYUCFWDJNZDIR

7ª hipótesis: A partir de ne-ndhe suponemos que dK©=a




8ª hipótesis: Considerando ahora la 2ª letra más frecuente, M, tenemos que RNM se descifra

como nh- lo que sugiere que empieza una palabra, por lo que suponemos que dK(M) debería

ser una vocal, luego dK(M) ∈ { i, o }. Como CM es bastante frecuente, y ai es un diagrama

más frecuente que ao, suponemos que dK(M) = i


- - - - - i e nd- - - - - a –i– e – a –i n e d h i– e - -- - - - a- - - i–


h - - - - - i – e a – i – e – a- - - a – i – n ha d- a- en - - a – e- h i– e

NDIFEFMDZCDMQZKCEYFCJMYRNCWJCSZREXCHZUNMX

he – a – n - -- - - in –I - - - - ed - - - e - - - e –I ne an dhe- e - -


-e d – a - - I n h I - - h a i- - - a- e –I - - ed- - - - - a- d- - he - - n


9ª hipótesis: Como o es una vocal frecuente, suponemos que ek(o) ∈{F,J,Y}. Así, como Y es

la más frecuente, suponemos que dK(Y)=o

10ª hipótesis: Como dK(D) ∈ {r,s,t} y el trigrama NMD ocurre 2 veces, se supone que dK(D)

=s, para que NMD se corresponda con his.

11ª hipótesis: El segmento HNCMF podría ser chair, conduciendo a dK(F) = r, dK(H) = c,

dK(J) = t (el último por eliminación).


o – r – riend – ro- - ari s e – a – i n e dhi s e - - t- - - a s s – it


h s – r –ri s e a s i –e – a- ora t i o n ha dta- en - -a c e- h i – e


he– as n t –oo – I n –I– o- re d s o – e – ore –I ne an dhe s e t t


- e d – a c –I n h I s c h a I r - ac e t I– ted- - t o –ard s t hes- n


Ya resulta fácil imaginar lo que falta:

ourfriendfromparisexaminedhisemptyglasswit


hsurpriseasifevaporationhadtakenplacewhile


hewasntlookingipouredsomemorewineandhesett


ledbackinhischairfacetilteduptowardsthesun





Pueden hacerse diversos estudios de este tipo de criptoanálisis en la siguiente dirección:

http://scottbryce.com/cryptograms/

b. MÉTODO KASISKI

Ideado en 1863 para romper el sistema criptográfico Vigenere. Se basa en que ciertas

secuencias de letras aparecen muchas veces en los textos originales, y consecuentemente los textos

cifrados con Vigenere tienen las correspondientes secuencias de letras cifradas también muy

repetidas.

Por tanto, la distancia entre las cadenas más repetidas en el texto cifrado debe ser un múltiplo

de la longitud de la clave K, y un buen candidato a longitud será el producto de los factores más

repetidos en las distancias encontradas.

Por ejemplo:

Texto original: TOBEORNOTTOBE

Clave: NOWNOWNOWNOWN

Texto cifrado: GCXRCNACPGCXR

Los pasos de este tipo de criptoanálisis son:

Se buscan los poligramas más repetidos y las distancias desde sus puntos de inicio

para cada uno.

Se sabe que la longitud de la clave divide a todas esas distancias, por lo que también

dividirá a su mcd

Se calculan los factores de cada distancia y se descubren los factores más repetidos

(candidatos a longitud de clave).

Se divide el criptograma en filas según cada longitud candidata (empezando por la

mayor) y se compara la distribución de frecuencias de cada columna con la del idioma

usado.

c. OTROS

Existen otros métodos clásicos de criptoanálisis en la historia pero nos veremos con

profundidad, solo saber algunos de ellos como:

Índice de coincidencia

Índice mutuo de coincidencia

Playfair

Telegrama Zimmermann (Primera guerra mundial)

Máquina Enigma (Segunda guerra mundial: Un simulador de esta famosa máquina en

http://www.amenigma.com/)Podriamos considerarlo el paso en tre el sistema clásico

al moderno

http://scottbryce.com/cryptograms/

http://www.amenigma.com/




2. MODERNO

El criptoanálisis moderno comienza por los dispositivos Bombe: era un dispositivo

electromecánico usado por los criptólogos británicos para ayudar a descifrar las señales cifradas por

la máquina alemana Enigma durante la Segunda Guerra Mundial. La Armada y el Ejército de los

Estados Unidos produjeron máquinas con la misma especificación funcional, pero diseñadas de una

manera diferente

La función del Bombe era descubrir algunos de los ajustes diarios de las máquinas Enigma en

las varias redes militares alemanas: específicamente, el conjunto de rotores en uso y sus posiciones

en la máquina; los ajustes de los anillos del alfabeto.

Tomada como un todo, la criptografía moderna se ha vuelto mucho más impenetrable al

criptoanalista que los métodos de pluma y papel del pasado, y parece que en la actualidad llevan

ventaja sobre los métodos del puro criptoanálisis. La única forma que nos queda al criptoanálisis

según David Kahn (Colaborador de la NSA) se basa en 4 puntos fundamentales:

La intercepción

La colocación de dispositivos grabadores

Los ataques de canal lateral

El criptoanálisis cuántico




Sin embargo creo que aun no ha llegado ese momento tan crítico y aun podemos tener

algunos sistemas modernos de criptoanálisis como son:

Ataque con sólo texto cifrado disponible: el criptoanalista sólo tiene acceso a una

colección de textos cifrados ó codificados.

Ataque con texto plano conocido: el atacante tiene un conjunto de

textos cifrados de los que conoce el correspondiente texto plano ó descifrado.

Ataque con texto plano escogido ("ataque con texto cifrado elegido"): el atacante puede

obtener los textos cifrados (planos) correspondientes a un conjunto arbitrario de textos

planos (cifrados) de su propia elección.

Ataque adaptativo de texto plano escogido: como un ataque de texto plano escogido, pero

el atacante puede elegir textos planos subsiguientes en base a la información obtenida de

los descifrados anteriormente. Similarmente, existe el ataque adaptativo de texto cifrado

escogido.

Ataque de clave relacionada: como un ataque de texto plano escogido, pero el atacante

puede obtener texto cifrado utilizando dos claves diferentes.Las claves son desconocidas,

pero la relación entre ambas es conocida;por ejemplo, dos claves que difieren en un bit.




2. TIPOS DE ATAQUES

Para una primera clasificación del criptoanálisis moderno podemos observar como se realiza

el ataque hacia el sistema cifrado. Es lógico pensar entonces que contamos con dos tipos de formas

de actuar del atacante, en este caso el criptoanalista.

Los ataques criptoanalíticos varían en potencia y en su capacidad de amenaza para los

sistemas criptográficos utilizados en el mundo real. Esencialmente, la importancia práctica del ataque

depende de las respuestas dadas a las siguientes preguntas:

¿Qué conocimiento y capacidades son necesarios como requisito?

¿Cuánta información adicional secreta se deduce del ataque?

¿Cuánto esfuerzo se requiere? (es decir, ¿cuál es el grado de complejidad

computacional?)

1. ACTIVOS

El atacante modifica el flujo de datos o crea flujos falsos. Hay muchas técnicas que se usan

en este tipo de ataques.

Ejemplos:

Suplantación: El atacante trata de suplantar la identidad de la persona que tiene la

autorización, para que el sistema piense que es el y le alguna información sobre la clave

aunque esta este cifrada y poder después descifrarla mediante algún sistema

criptoanalítico.

Modificación de mensajes: Capturar paquetes para luego ser borrados (droppingattacks),

manipulados, modificados (taggingattack) o reordenados. En muchos sistemas

criptográficos parte de la clave se envía en estos paquetes de forma cifrada. Solamente

tendremos que encontrar estos paquetes y comenzar a trabajar sobre ellos.

Reactivación: Captura de paquetes y retransmisiones

Degradación: Técnicas para que el servicio se degrade.




Se trata de uno de los ataques mas utilizados en la actualidad, como veremos mas adelante

con respecto al criptoanálisis utilizado para algoritmos WEP.

3. PASIVOS

Aquí el atacante no altera la comunicación, sólo la escucha o monitoriza, para obtener

información. Por tanto este tipo de ataques suelen usar técnicas de escucha de paquetes (sniffing) y

de análisis de tráfico. Son difíciles de detectar ya que no implican alteración de los datos. Se pueden

prevenir mediante el cifrado de la información.




3. CRIPTOANÁLISIS SEGÚN EL TIPO DE CRIPTOGRAFÍA

1. CRIPTOGRAFÍA SIMÉTRICA

Un cifrado simétrico no es más que un algoritmo de cifrado basado en una función invertible,

tal que tanto el algoritmo como su inverso dependen de un parámetro igual para ambos llamado clave

secreta.

También recibe este nombre aquel algoritmo de cifra que depende de un parámetro diferente

del de su inverso, pero tal que el conocimiento de uno permite, en un tiempo razonable y con unos

recursos limitados, el conocimiento del otro.

Existen diversos tipos de criptoanálisis contra los sistemas criptográficos siméticos:

Criptoanálisis diferencial

Criptoanálisis lineal

Criptoanálisis integral

Ataque XSL (eXtended Sparse Linearisation)

Ataque de deslizamiento

a. CRIPTOANÁLISIS DIFERENCIAL

Técnica critoanalítica de tipo estadístico, consistente en cifrar parejas de texto en claro

escogidas con la condición de que su producto o-exclusivo obedezca a un patrón definido

previamente. Los patrones de los correspondientes textos cifrados suministran información con la

que conjeturar la clave criptográfica.

Se aplica en los cifrados de tipo DES, aunque es de destacar que precisamente éste es

relativamente inmune al citado ataque.

b. CRIPTOANÁLISIS LINEAL

Técnica criptoanalítica de tipo estadístico, consistente en operar o-exclusivo dos bits del texto

en claro, hacer lo mismo con otros dos del texto cifrado y volver a operar o-exclusivo los dos bits

obtenidos. Se obtiene un bit que es el resultado de componer con la misma operación dos bits de la

clave. Si se usan textos en claro recopilados y los correspondientes textos cifrados, se pueden

conjeturar los bits de la clave. Cuantos más datos se tengan más fiable será el resultado.

Se aplica a los cifrados tipo DES.

c. ATAQUE XSL

Es un sistema criptoanalítico que utiliza un método por bloques cifrados. Se utiliza

generalmente contra algoritmos de tipo AES.

d. ATAQUE DE DESLIZAMIENTO




Ataque a algoritmos de cifra que utilizan varios ciclos similares de cifrado elemental. El

ataque busca debilidades en la generación de sub-claves para cada ciclo.

4. CRIPTOGRAFÍA ASIMÉTRICA

La criptografía asimétrica (también llamada criptografía de clave pública) es una criptografía

que se basa en utilizar dos claves: una privada y una pública. Estas cifras invariablemente emplean

en problemas matemáticos "duros" como base para su seguridad, así que un punto obvio de ataque es

desarrollar métodos para resolver el problema. La seguridad de una criptografía de dos claves

depende de cuestiones matemáticas de una manera que no se aplica a la criptografía de clave única, y

recíprocamente conectan el criptoanálisis con la investigación matemática en general de nuevas

maneras.

Otra característica distintiva de los algoritmos asimétricos es que, a diferencia de los ataques

sobre criptosistemas simétricos, cualquier criptoanálisis tiene la oportunidad de usar el conocimiento

obtenido de la clave pública.




Contra este tipo de cifrado necesitaremos unas maquinas especiales para realizar el

criptoanálisis, estos son los ordenadores cuánticos:

De construirse un ordenador cuántico, muchas cosas cambiarían. La computación en paralelo

sería probablemente la norma, y varios aspectos de lacriptografíacambiarían.

Algunos escritores han declarado que ningún cifrado permanecería seguro de estar

disponibles los ordenadores cuánticos, pero seguramente la posibilidad mas real sea que el aumento

en capacidad computacional pueda hacer posibles otros ataques de búsqueda de claves, más allá de la

simple fuerza bruta, contra uno o varios de los algoritmos actualmente inexpugnables. En ausencia

de un método para predecir estos avances, sólo nos queda esperar.

4. CRIPTOANÁLISIS MÁS UTILIZADOS HOY EN DÍA

1. CRIPTOANÁLISIS APLICADOS A RSA (MUY UTILIZADO EN SSL OPERACIONES

POR INTERNET)

Cifrado asimétrico ideado por Rivest, Shamir y Adelman y publicado en 1978. Se basa en

operaciones de potenciación en aritmética modular y su fortaleza radica en la dificultad de factorizar

números extraordinariamente grandes. Es, con gran diferencia, la técnica asimétrica de uso más

generalizado.

Su longitud de clave (pública y privada) es variable, siendo valores usuales: 512, 1024 o 2048

bits.

Frente a otras técnicas asimétricas presenta la ventaja de poderse emplear también en la firma

digital.

Criptosistema de clave pública, diseñado en 1978 que basa su seguridad en la dificultad de

factorizar grandes números. Puede ser usado, tanto para cifrar como para producir firmas digitales.

El algoritmo RSA es el siguiente y nos ayudará a entender el criptoanálisis que hay que

utilizar:

1.- Generación del par de claves




Para generar un par de claves (KP; Kp), en primer lugar se eligen aleatoriamente dos números

primos grandes, p y q (de unas 200 cifras cada uno, por ejemplo). Después se calcula el

producto n = p*q

Escogeremos ahora un número e primo relativo con (p-1) y con (q-1). Este par de números

(e,n) pueden ser conocidos por cualquiera, y constituyen la llamada clave públicae por tanto debe

tener un inverso módulo (p-1)(q-1), al que llamamos d. Por supuesto se cumple que ed ≡ 1 mod((p-

1)(q-1)), que es lo mismo que decir que ed = 1+k (p-1)(q-1) para algún entero k. La clave

privada será el par (d, n). Este número d debe mantenerse secreto y sólo será conocido por el

propietario del par de claves.

2.- Cifrado del mensaje con la clave pública

Hay que hacer notar que con este algoritmo los mensajes que se cifran y descifran son

números enteros de tamaño menor que n, no letras sueltas como en el caso de los cifrados César o

Vigènere.Para obtener el mensaje cifrado C a partir del mensaje en claro M, se realiza la siguiente

operación:

C = Me (mod n)

3.- Descifrado del mensaje con la clave privada

Para recuperar el mensaje original a partir del cifrado se realiza la siguiente operación:

M = Cd (mod n)

Para romper un cifrado RSA, podemos probar varias vías. Aparte de factorizar n, que ya

sabemos que es un problema computacionalmente intratable en un tiempo razonable, podríamos

intentar calcular φ(n) directamente (Si recordamos, la función de Euler φ(n)= (p-1)(q-1), y que en

general, salvo azar improbable, se tendrá que mcd(M,p) = mcd(M,q) = mcd(M,n) = 1. Y por tanto

según el teorema de Euler-Fermat, Mφ(n) ≡ 1 (mod n) ⇒ (M(p-1)(q-1))k ≡ 1 (mod n) [ii]), o probar

por un ataque de fuerza bruta tratando de encontrar la clave privada d, probando sistemáticamente

con cada uno de los números posibles del espacio de claves. Ambos ataques son, para n grandes,

incluso aún más costosos computacionalmente que la propia factorización de n.

Necesitaremos actualmente unos 22.020.985.858.787.784.059 (2e64) años para romper una

clave cifrada con 128 bits.

Sin embargo existen otros tipos de ataques al algoritmo RSA

a. ATAQUE AL SECRETO DE N POR CIFRADO CÍCLICO

Se puede encontrar el número en claro N sin necesidad de conocer d, la clave privada del

receptor.

Como C = Nemod n, realizaremos cifrados sucesivos de los criptogramas Ciresultantes con la

misma clave pública hasta obtener nuevamente el cifrado C original.




Ci= Cei-1mod n (i = 1, 2, ...)con C0= C

Si en el cifrado i-ésimo se encuentra el criptograma C inicial, entonces es obvio que el

cifrado anterior (i-1) será el número buscado. Esto se debe a que RSA es un grupo multiplicativo.

Para evitarlo hay que usar primos seguros de forma que los subgrupos de trabajo sean lo

suficientemente altos.

Un ejemplo significativo:

Sea p = 13, q = 19, n = 247, φ(n) = 216, e = 29 (d = 149, no conocido)

El número a cifrar será M = 123 ⇒ C = 12329

mod 247 = 119

i Ci

i = 0 C0= 119

i = 1 C1= 11929

mod 247 = 6

i = 2 C2 = 629

mod 247 = 93

i = 3 C3= 9329

mod 247 = 175

i = 4 C4= 17529

mod 247 = 54

i = 5 C5= 5429

mod 247 = 123

i = 6 C6= 12329

mod 247 = 119

El ataque ha prosperado muy rápidamente: como hemos obtenido otra vez el criptograma C =

119, es obvio que el paso anterior con C = 123 se correspondía con el texto en claro. Si usamos

primos seguros, la cantidad de cifrados será mayor y el sistema menos vulnerable.

b. ATAQUE A LA CLAVE POR PARADOJA CUMPLEAÑOS

Se trata del algoritmo propuesto por Merkle y Hellman en 1981:

El atacante elige dos números aleatorios distintos i, j dentro del cuerpo de cifra n. Lo

interesante es que elige, además, un mensaje o número N cualquiera.

Para i = i+1 y para j = j+1 calcula Nimod n y N

jmod n.




Cuando encuentra una coincidencia de igual resultado de cifra para una pareja (i, j), será

capaz de encontrar d.

Un ejemplo para resolver en la siguiente diapositiva: sea p = 7; q = 13, n = p∗q = 91, e = 11,

d = 59. El atacante parte con el número N = 20 y elegirá los valores i = 10 y j = 50. Sólo conoce n =

91 y e = 11.

5. CRIPTOANÁLISIS A ALGORITMOS WEP Y WPA

c. WEP

El protocolo WEP (Wired Equivalent Privacy) nace en 1999 comoparte del estándar IEEE

802.11[1]. Su misión es garantizar la privacidad dela información transmitida por los componentes

de una red WiFi. Encriptar la información que un ordenador envía por el aire a otro es esencial para

impedirque un vecino curioso encuentre interesante nuestro número de tarjeta decrédito, nuestra

contraseña de correo o simplemente decida que usar nuestraconexión a Internet es más adecuado a

sus ocultos propósitos.

La base del WEP está en la operación lógica XOR. El o-exclusivo es una operación binaria

que genera el valor 1 si los dos operandos son diferentes, y 0 si son iguales. Presenta la propiedad

que si aplicamos dos veces el XOR a un valor obtendremos el valor original, es decir (A XOR B)

XOR B = A. P

¿Qué puntos débiles presentaeste modelo aparentemente tan seguro?

Está demostrado matemáticamente la existencia unboquete lógico en la fase KSA del

algoritmo RC4. Trataremos de evitar la complejidad de los cálculos a la hora deexponer un resumen

que muestre losresultados más interesantes, aunque tendremos que recurrir a La Cuenta de la Vieja

en algunos momentos. Sabemos que en cada frame se transmite parte de la semilla de

inicializaciónde RC4 que corresponden con los tresbytes del vector de inicialización (IV), además

sabemos que la informacióncodificada es generalmente un paqueteTCP/IP que poseen tres primeros

bytesconocidos (0xAA:0xAA:0x03). Basándose en esto se aplicalas debilidades encontradas en el

algoritmo RC4 paradeterminar qué vectores IV proporcionaninformación sobre alguno de

estosprimeros bytes conocidos. Estos IVs pueden encontrarse fácilmente y son denominados Weaks

IV. En principio nos concentraremos solamente en el desordenamiento del vector S.

El crackeado de WEP puede ser demostrado con facilidad utilizando herramientas como

Aircrack (creado por el investigador francés en temas de seguridad, Christophe Devine). Aircrack

contiene tres utilidades principales, usadas en las tres fases del ataque necesario para recuperar la

clave:

• airodump: herramienta de sniffing utilizada para descubrir las redes que tienen activado

WEP,

• aireplay: herramienta de inyección para incrementar el tráfico,




• aircrack: crackeador de claves WEP que utiliza los IVs únicos recogidos.

En la actualidad, Aireplay sólo soporta la inyección en algunos chipsets wireless, y el soporte

para la inyección en modo monitor requiere los últimos drivers parcheados. El modo monitor es el

equivalente del modo promiscuo en las redes de cable, que previene el rechazo de paquetes no

destinados al host de monitorización (lo que se hace normalmente en la capa física del stack OSI),

permitiendo que todos los paquetes sean capturados. Con los drivers parcheados, sólo se necesita una

tarjeta wireless para capturar e inyectar tráfico simultáneamente.

La meta principal del ataque es generar tráfico para capturar IVs únicos utilizados entre un

cliente legítimo y el punto de acceso. Algunos datos encriptados son fácilmente reconocibles porque

tienen una longitud fija, una dirección de destino fija, etc.

Una vez se haya localizado la red objetivo, deberíamos empezar a capturar en el canal

correcto para evitar la pérdida de paquetes mientras escaneamos otros canales. Esto produce la

misma respuesta que el comando previo:

# airodump wlan0 WEP000 1




Después, podremos usar la información recogida para inyectar tráfico utilizando aireplay. La

inyección empezará cuando una petición ARP capturada, asociada con el BSSID objetivo aparezca

en la red inalámbrica:

# aireplay -3 -b 00:13:10:1F:9A:72 -h 00:0C:F1:19:77:5C -x 600 wlan0 (...)

Finalmente, aircrack se utiliza para recuperar la clave WEP. Utilizando el fichero pcap se

hace posible lanzar este paso final mientras airodump sigue capturando datos

# aircrack -x -0 WEP000.cap

Este paquete informático tan extendido hoy en día hace posible otros diversos ataques como

son:

Deautenficación: Este ataque puede ser usado para recuperar un SSID oculto (por

ejemplo, uno que no sea broadcast),

Desencriptación de paquetes de datos WEP arbitrarios sin conocer la clave: Este

ataque está basado en la herramienta representativa de KoreK, llamada chopchop, que

puede desencriptar paquetes encriptados con WEP sin conocer la clave. El chequeo de

integridad implementado en el protocolo WEP permite que el atacante pueda

modificar tanto un paquete encriptado como su correspondiente CRC.

Autenticación falsa: Se requiere un cliente legítimo (real o virtual, aunque real sería

mejor), asociado con el punto de acceso para asegurarse de que el punto de acceso no

rechace los paquetes por una dirección de destino no asociada.




Podemos observar por lo tanto que la obtención de la clave WEP no tiene ya ningún misterio,

incluso para alguien no versado en sistemas de criptoanálisis. Por este motivo no tardaron en salir al

mercado dos protocolos nuevos WAP y WPA2.

d. WAP Y WAP2

A continuación explicamos las características de Wi-Fi Protected Access (WPA) versión 1

que fue creado por la Wi-Fi Alliance provisionalmente para ocupar el lugar de WEP, mientras

802.11i era finalizado.

Este protocolo fue implementado para corregir las deficiencias del sistema previo WEP y no

requería un cambio de hardware. En cambio, como veremos más adelante esto no ocurre con WPA

versión 2.

Los datos utilizan el algoritmo RC4 con una clave de 128 bits y un vector de inicialización de

48 bits. Una de las mejoras más sobresalientes sobre su predecesor, WEP, es TKIP (Temporal Key

Integrity Protocol, o Protocolo de integridad de clave temporal).

WPA hace más difícil vulnerar las redes inalámbricas al incrementar los tamaños de las

claves e IVs, reduciendo el número de paquetes enviados con claves relacionadas y añadiendo un

sistema de verificación de mensajes.

La Wi-Fi Alliance lanzó en septiembre de 2004, WPA2, que es la versión certificada de la

especificación completa del estándar IEEE 802.11i, que fue certificado en junio de 2004.

Las principales diferencias entre las dos versiones de WPA las veremos en la tabla mostrada

a continuación:

WPAv1 WPAv2

MODO PERSONAL

AUTENTICACIÓN PSK PSK

CIFRADO TKIP(RC4) / MIC

CCMP(AES) / CBC-MAC

MODO EMPRESARIAL

AUTENTICACIÓN 802.1x / EAP 802.1x / EAP

CIFRADO TKIP (RC4) / MIC

CCMP(AES) / CBC-MAC

Una de las diferencias más destacables entre WPAv1 y WPAv2, es que esta última substituye

el cifrado RC4 por CCMP (Counter Mode with Cipher Block Chaining Message Authentication

Code Protocol ) que utiliza AES (Advanced Encryption Standard).

Así como en el protocolo WEP hemos analizado los posibles caminos por los cuales

vulnerarlo, WPA se considera computacionalmente irrompible .De hecho sólo es vulnerable la

versión WPA-PSK (Pre-Shared Key), que se basa en una clave compartida entre usuario y Access

Point.

Si conseguimos capturar dicho handshake, a partir de las MACs (AP y cliente), del SSID y

de los números aleatorios intercambiados, podemos conseguir el secreto compartido.




Una vez capturado todo lo necesario y sólo a falta de saber la PSK, utilizaremos la fuerza

bruta o el uso de un diccionario para sacar la clave utilizada en el cifrado. La suite aircrack-ng

también nos proporciona la posibilidad de utilizar un diccionario para este fin y poder encontrar las

claves PSK.

Sin embargo aunque hasta ahora pensábamos que solo este tipo PSK podía ser roto aparece

en los últimos años un nuevo sistema de ataque a las WPA creado por Toshihiro Ohigashi y

Masakatu Morii y basado en el ataque de criptoanálisis “Man in the middle” que utiliza unos

mensajes de falsificación para engañar al protocolo, obteniendo la clave en apenas un minuto.




La idea del ataque es utilizar un mensaje de falsificación práctico para cualquier

implementación de WPA. Existía un ataque Beck-Tews (un método chopchop que aunque se puede

usar con WEP, también puede trabajar con WPA) para PSK pero este ataque modificado con el

ataque MITM (Man-In-the-Middle) puede trabajar en cualquier WPA.

El documento completo de la Universidad de Hiroshima se encuentra en:

http://jwis2009.nsysu.edu.tw/location/paper/A%20Practical%20Message%20Falsification%2

0Attack%20on%20WPA.pdf

Solo nos queda que algún día también se consiga hacer el sistema de criptoanálisis para las

WPA2. ¿y por qué no?

“Tres podrían guardar un secreto

si dos de ellos hubieran muerto.”

Benjamin Franklin

http://jwis2009.nsysu.edu.tw/location/paper/A%20Practical%20Message%20Falsification%20Attack%20on%20WPA.pdf

http://jwis2009.nsysu.edu.tw/location/paper/A%20Practical%20Message%20Falsification%20Attack%20on%20WPA.pdf




BIBLIOGRAFÍA

A Practical Message Falsication Attackon WPA por Toshihiro Ohigashi y Masakatu Morii

Criptoanálisis Wep con Zaurus por Alberto Planas

Seguridad Wi-Fi por Guillaume Lehembre

http://www.seguridadwireless.net/

Vulnerabilidades y Ataques al Sistema de Cifra RSA por Jorge Ramiro Aguirre

GUÍA DE SEGURIDAD DE LAS TIC(CCN-STIC-401) (Centro Criptológico Nacional)

https://www.ccn-cert.cni.es/publico/serieCCN-STIC401/index.html

http://www.seguridadwireless.net/

https://www.ccn-cert.cni.es/publico/serieCCN-STIC401/index.html

criptoanálisis más utilizados en la actualidad · pdf filecriptoanálisis...

Documents