Diseño e Implementación de una Autoridad Certificadora en Plataformas Móviles

(1)

SUPERIORES DE MONTERREY

Escuela de Graduados de Ingenieria y Arquitectura Maestr´ıa en Ciencias Computacionales

“Dise˜ no e Implementaci´ on de una Autoridad Certificadora en Plataformas M´ oviles”

Tesis presentada por

Guillermo Mart´ınez Silva para obtener el grado de Maestro

en Ciencias Computacionales

Director de tesis:

Dr. Francisco Rodr´ıguez Henr´ıquez

M´exico D.F. verano de 2005

(2)

SUPERIORES DE MONTERREY

Escuela de Graduados de Ingenieria y Arquitectura Maestr´ıa en Ciencias Computacionales

“Dise˜ no e Implementaci´ on de una Autoridad Certificadora en Plataformas M´ oviles”

Tesis presentada por Guillermo Mart´ınez Silva para obtener el grado de Maestro

en Ciencias Computacionales Comisi´on de tesis:

Nombre del Presidente Presidente

Nombre Sinodal I Sinodal Nombre Sinodal II

Sinodal

M´exico D.F. junio de 2005

(3)

Guillermo Mart´ınez Silva

para obtener el grado de

Maestro en Ciencias Computacionales.

Dr. Nombre del Presidente Presidente

Dr. Nombre Sinodal I Sinodal

Dr. Nombre Sinodal II Sinodal

Dr. Francisco Rodr´ıguez Henr´ıquez

Titular de la Materia

Dra. Patricia Ray´on Villela Director del Programa de

Maestr´ıa

3 de junio de 2005

i

(4)

Gracias a todos los que hicieron esto posible.

(5)

texto

(6)

El presente trabajo implementa una Autoridad Certificadora en un dispositivo móvil PDA(Asistente Personal Digital) con la particularidad de incluir información biométri- ca de huella digital en los campos de extensión de un certificado digital basado en el estándar X.509 V3. Los criptosistemas empleados para la generación de certificados son RSA (1024 bits) y ECC (criptograf´ıa de curva el´ıptica) utilizando las curvas 163k, 192p, 224p, 233k.

iv

(7)

Agradecimientos II

Dedicatoria III

Resumen IV

Introducci´on 1

1. Criptograf´ıa de llave p´ublica y funciones hash 3

1.1. Principios de criptosistemas basados en llave p´ublica . . . 6

1.2. Intercambio de llaves Diffie-Hellman. . . 9

1.3. Criptosistema RSA . . . 10

1.4. Criptograf´ıa de curva el´ıptica ECC . . . 11

1.4.1. Grupos de curva el´ıptica sobre R . . . 12

1.4.2. Grupos de curva el´ıptica sobre Fp . . . 15

1.4.3. Grupos de curva el´ıptica sobre F2^m . . . 18

1.4.4. Criptosistema basado en ECC . . . 20

1.5. Funciones hash . . . 22

1.6. Aplicaciones de criptosistemas de llave p´ublica . . . 23

1.6.1. Autenticaci´on . . . 24

1.6.2. Intercambio de llaves . . . 24

v

(8)

1.6.3. Confidencialidad . . . 25

1.6.4. No-repudio y firmas digitales. . . 25

1.6.5. Integridad de datos . . . 27

2. Servicio de autenticación 28 2.1. Servicios de seguridad informática en ambientes inalámbricos . . . 30

2.2. Ataques a la autenticaci´on de entidades . . . 32

2.2.1. Ataque del intruso de en medio . . . 32

2.2.2. Usurpaci´on de identidad . . . 32

2.3. M´etodos de autenticaci´on . . . 33

2.3.1. Autenticaci´on mediante entidades de confianza . . . 33

2.3.2. Autenticaci´on biom´etrica . . . 36

3. PKI (Infraestructura de llave p´ublica) 39 3.1. Introducci´on a PKI . . . 40

3.2. Componentes PKI . . . 42

3.2.1. Autoridades Certificadoras (ACs) . . . 44

3.2.2. Autoridad de Registro (AR) . . . 46

3.2.3. Repositorio . . . 46

3.2.4. Emisor CRL . . . 47

3.2.5. Entidades Finales . . . 47

3.3. Arquitecturas PKI . . . 48

3.4. Estructuras de datos PKI . . . 50

3.4.1. Certificados X.509 . . . 50

3.4.2. Listas de revocaci´on de certificados . . . 53

3.5. Servicios adicionales PKI . . . 57

(9)

4. Implementaci´on del sistema 58

4.1. Descripci´on del sistema . . . 59

4.2. Arquitectura de la aplicaci´on. . . 60

4.2.1. Dispositivo m´ovil . . . 60

4.2.2. Biblioteca criptograf´ıca RCT. . . 61

4.2.3. Biblioteca biom´etrica BioAPI . . . 63

4.2.4. Biblioteca ASN.1 y est´andar X.509v3 . . . 66

4.3. Proceso de generaci´on de un certificado digital . . . 68

4.4. Proceso de verificaci´on de un certificado digital . . . 69

5. An´alisis de desempe˜no 72 5.1. Resultados obtenidos . . . 73

5.1.1. Generaci´on de llaves . . . 73

5.1.2. Firma digital . . . 73

5.1.3. Verificaci´on de firma digital . . . 74

5.1.4. Tama˜no de certificados digitales . . . 74

5.2. An´alisis de resultados . . . 75

5.2.1. Generaci´on de llaves . . . 76

5.2.2. Firma digital . . . 76

5.2.3. Verificaci´on de firma digital . . . 77

5.2.4. Tama˜no de certificados digitales . . . 77

Conclusiones 80 A. ASN.1 (Abstract Syntax Notation One) 83 A.1. Tipos de datos b´asicos en ASN.1 . . . 85

A.1.1. Tipo BOOLEAN . . . 85

(10)

A.1.2. Tipo INTEGER. . . 86

A.1.3. Tipo ENUMERATED . . . 86

A.1.4. Tipo OCTET STRING. . . 86

A.1.5. Tipo BIT STRING . . . 87

A.1.6. Tipo IA5String . . . 87

A.1.7. Tipo PrintableString . . . 87

A.1.8. Tipo UTCTime . . . 88

A.1.9. Tipo OID (OBJECT IDENTIFIER) . . . 88

A.2. Estructura de datos construidos . . . 89

A.2.1. Tipo SEQUENCE . . . 89

A.2.2. Tipo SEQUENCE OF . . . 89

A.2.3. Tipo SET . . . 89

A.2.4. Tipo CHOICE . . . 90

A.3. Descripci´on de la sintaxis ASN.1 de un certificado X.509 V3 . . . 90

A.3.1. Tipo tbsCertificate . . . 90

A.3.2. Tipo signatureAlgorithm . . . 92

A.3.3. Tipo signatureValue . . . 92

B. Ejemplos de certificados X.509v3 93 B.1. Certificado RSA sin datos biom´etricos . . . 93

B.2. Certificado ECC con datos biom´etricos . . . 99

C. Funcionamiento del sistema 108 C.1. Descripci´on de la interfaz gr´afica . . . 109

C.1.1. Pantalla de Datos . . . 110

C.1.2. Pantalla de Biometric. . . 110

C.1.3. Pantalla de RSA . . . 112

(11)

C.1.4. Pantalla de ECC . . . 113 C.1.5. Pantalla de Verificaci´on . . . 113 C.2. Generaci´on de certificados X.509 v3 . . . 115

Referencias 116

´Indice alfab´etico 122

(12)

2.1. Diferentes tipos de autenticación y sus propiedades . . . 29 4.1. iPAQ Pocket PC - Tasa de Falsos Positivos y Falsos Negativos . . . 66 5.1. Tiempo de generación de llaves. . . 73 5.2. Tiempos requeridos para firma digital de un mensaje aleatorio de 1KB. 74 5.3. Verificación de la fima digital de un mensaje de 1KB. . . 74 5.4. Comparación de tamaño en bytes de los certificados X.509 v3 . . . 75

B.1. Explicación de la sintaxis ASN.1 de un certificado RSA sin información biométrica . . . 98 B.2. Explicación de la sintaxis ASN.1 de un certificado ECC con información

biom´etrica . . . 107 C.1. Caracter´ısticas principales del dispositivo m´ovil iPAQ h5550. . . 108

x

(13)

1.1. Confidencialidad en sistemas de llave secreta . . . 5

1.2. Primitivas de los criptosistemas de llave p´ublica . . . 7

1.3. Confidencialidad en criptosistemas de llave p´ublica . . . 8

1.4. Adici´on de puntos sobre R . . . 14

1.5. Doblado de puntos sobre R. . . 15

1.6. Curva el´ıptica y² = x³+ x sobre F23. . . 16

1.7. Esquema de firma y veriificaci´on digital . . . 26

2.1. Ataque del “intruso de en medio” al protocolo Diffie-Hellman . . . 32

2.2. Autenticaci´on a trav´es de una tercera parte de confianza . . . 34

3.1. Componentes PKI . . . 43

3.2. Arquitecturas PKI . . . 49

3.3. Certificado digital X.509 versi´on 3 . . . 54

3.4. Estructura de una CRL. . . 56

4.1. Diagrama a bloques de la aplicaci´on. . . 60

4.2. M´odulos ECDSA . . . 61

4.3. Obtenci´on de llave privada . . . 62

4.4. Obtención de parámetros de generación del certificado digital . . . 69

xi

(14)

4.5. Firma digital del certificado . . . 69

4.6. Generaci´on del certificado digital X.509 . . . 70

4.7. Separaci´on de las estructuras b´asicas de un certificado digital . . . 70

4.8. Verificaci´on del certificado digital . . . 71

5.1. Tiempos requeridos para la generaci´on de llaves en Curva El´ıptica. . . . 76

5.2. Generaci´on de firma digital de un mensaje de 1KB. . . 77

5.3. Comparaci´on en verificaci´on de firma digital . . . 78

5.4. Comparación de certificados con y sin información biométrica . . . 79

C.1. Pantalla principal de la aplicaci´on . . . 109

C.2. Llenado de datos de la entidad final . . . 110

C.3. Selecci´on del peri´odo de validez del certificado . . . 111

C.4. Opciones de la pantalla de Datos . . . 111

C.5. Captura de huella digital . . . 112

C.6. Generaci´on del certificados RSA . . . 113

C.7. Generaci´on de certificados ECDSA . . . 114

C.8. Selecci´on de certificados almacenados en la PDA . . . 114

C.9. Verificaci´on de certificados emitidos por la AC . . . 115

(15)

La utilización masiva de las computadoras y redes como medios para almacenar, transferir y procesar información se ha incrementado espectacularmente en los últimos años, al grado de convertirse en un elemento indispensable para el funcionamiento de la sociedad actual. Como consecuencia, la información en todas sus formas y estados se ha convertido en un activo de considerable valor, el cual se debe proteger y asegurar para garantizar su integridad, confidencialidad y disponibilidad, entre otros servicios de seguridad.

Actualmente se ha incrementado en nuestro pa´ıs el uso de aplicaciones electrónicas que abarcan: correo, comercio, transacciones, acceso seguro a bancos de información, comunicaciones seguras, entre otras. Por tal motivo, los requerimientos de seguridad son cada vez mayores, presentándose as´ı un problema que la Seguridad Informática, haciendo uso fundamentalmente de técnicas criptográficas, trata de resolver implemen- tando diversas servicios de seguridad.

Desgraciadamente los avances tecnológicos también han propiciado la proliferación de fraudes y robo de información v´ıa electrónica. Debido a esto es necesario ofrecer tecnolog´ıas para asegurar la información que viaja electrónicamente en Internet. Actualmente los certificados digitales ofrecen autenticación con cierto grado de confiabilidad, ya que se basan en dos caracter´ısticas muy importantes:

1

(16)

Algo que el usuario sabe (una contrase˜na) Algo que el usuario tiene (su llave p´ublica)

El presente trabajo se enfoca a resolver algunos de los aspectos necesarios para que un sistema de comercio electrónico tenga las herramientas necesarias para brindar servicios indispensables de seguridad y primordialmente fortalecer la autenticación de usuarios mediante el uso de información biométrica.

(17)

Criptograf´ıa de llave p´ ublica y funciones hash

El comercio electrónico es un campo de rápido crecimiento en la Internet. Existen varias difierencias entre el comercio en el mundo real y el comercio en l´ınea, y quizás el aspecto más fundamental es la confianza y la seguridad. Un consumidor camina a la tienda y compra bienes, se presenta f´ısicamente, se identifica y elige la forma de pago. Pero en el comercio electrónico ambas partes, el comprador y el vendedor tienen dificultades para probar la identidad de su contraparte. ¿Cómo puede un comprador estar seguro de transmitir información de manera confidencial al vendedor? ¿Cómo sabe un vendedor si una orden de compra es leg´ıtima? ¿Cómo pueden saber ambas partes si una tercera entidad copia o modifica la información de la transacción? Estas preguntas y muchas otras describen los aspectos que afectan las transacciones electrónicas en las redes de datos.

Para construir aplicaciones seguras de comercio electrónico, es necesario establecer varios requerimientos de seguridad. A continuación se listan los requerimientos fundamentales para la seguridad de la información en los sistemas de comercio electrónico.

1. Confidencialidad. Las entidades no autorizadas no podr´an tener acceso a la informaci´on protegida del sistema.

3

(18)

2. Integridad de datos. La informaci´on no podr´a ser alterada por entidades o medios desconocidos.

3. Autenticación. Permite la verificación de la identidad de las partes involucradas en la transacción.¹

4. No-repudio. Este servicio previene el incumplimiento o desmentido de acciones realizadas en la informaci´on por cualquier entidad en sistema.

Un sistema que implementa estos servicios de seguridad es considerado como seguro.

La herramienta computacional que estudia la implementaci´on de los requerimientos anteriores es la Criptograf´ıa, la cual puede ser definida como sigue:

Definición 1.1. La Criptograf´ıa es el estudio de técnicas matemáticas relacionadas a los aspectos de seguridad de la información tales como confidencialidad, integridad de datos, autenticación y no-repudio.

Los criptosistemas convencionales basados en criptograf´ıa simétrica o sistemas de llave secreta requieren que el remitente y el destinatario compartan una llave la cual solamente ellos deben de conocer. El conocimiento de esta llave permite el decifrado del texto, de ah´ı la razón de que la llave permanezca en secreto. La figura §1.1 muestra el proceso de cifrado y descifrado en un sistema simétrico.

El algoritmo m´as comunmente utilizado en sistemas de llave secreta es DEA (Data Encryption Algorithm) definido en el est´andar DES²(Data Encryption Standar ). Otros

1Este servicio contempla diferentes variantes (autenticaci´on de entidad, de mensaje, de llave, etc.) las cuales ser´an explicadas en detalle en el cap´ıtulo §2.

2 El estándar DES tiene una longitud de llave de 56 bits. A pesar de ser considerado muy seguro en el tiempo de su creación a mediados de 1970, los avances tecnológicos han asistido al desarrollo de técnicas para romper las llaves en tiempos relativamente cortos. En 1999 un proyecto de cómputo distribuido rompió DES en 22 horas y 15 minutos. En la actualidad DES no es considerado suficientemente robusto para llaves de alta seguridad. Por esta razón se ideó Triple DES el cual ofrece el doble de seguridad equivalente a 112 bits.

(19)

abcdefghijklmno pqrstuvwxyz012 3456789abcdefg hijklmnopqrstuv wxyz012345678 9abcdefghijklmn opqrstuvwxyz01

Mensaje en claro

Algoritmo de Cifrado (AES, DES, IDEA, etc.)

Algoritmo de Descifrado (AES, DES, IDEA, etc.)

Mensaje en claro Mensaje

cifrado

Llave secreta

!"#$%¨*][Ñ[]_:@!

"#$*][Ñ[]_:@!"#$

%&()=¨*][Ñ[]_:@!

"#$%&()=¨*][Ñ[]_

:_,;[~!3432:@[Ñ[

]_:@![Ñ[]_:@![Ñ[

]_:@![Ñ[]_:@! x3

Figura 1.1: Confidencialidad en sistemas de llave secreta

esquemas incluyen Triple DES, AES³ , IDEA, RC4, RC5, Blowfish y Twofish. A pesar que estos sistemas brindan una alta seguridad y eficiencia computacional, sufren de muchas desventajas:

Distribuci´on e intercambio de llaves. La llave debe de permanecer en secreto y debe ser conocida por el remitente y el destinatario. Las dos partes involucradas deben de tener gran cuidado en el intercambio para prevenir que la llave pueda ser interceptada por una entidad no autorizada.⁴

Manejo de llaves. En el intercambio de informaci´on entre varias entidades, existen muchas llaves a ser administradas. Para garantizar la seguridad, las llaves deben ser cambiadas frecuentemente y preferentemente en cada sesi´on.

Debido a esto, los sistemas clásicos de llave secreta tienen grandes debilidades. Más aún, los requerimientos de autenticación y no-repudio discutidos anteriormente son

3 Las llaves de AES pueden ser de 128, 192 ó 256 bits de longitud. A partir del año 2000 AES ha venido sustituyendo paulatinamente a DES. Si existiera un generador de llaves que fuera capaz de descubrir 1 llave DES cada segundo, este tardar´ıa aproximadamente 149 mil billones de años en encontrar una sola llave AES de 128 bits.

4 En un sistema de llave secreta con n usuarios se necesita un intercambio de ⁿ⁽ⁿ⁻¹⁾₂ llaves para que todas las entides puedan comunicarse unas con otras de manera confidencial.

(20)

imposibles de lograr en estos criptosistemas [Sch96]. Un parteaguas en la Criptograf´ıa ocurrió en 1976 con la invención de la Criptograf´ıa de llave pública por parte de Diffie y Hellman⁵ [DH76]. Esta invención resolvió no sólo el problema de la distribución y manejo de llaves, también proporcionó las herramientas necesarias para los servicios de autenticación y no-repudio.

1.1. Principios de criptosistemas basados en llave p´ ublica

Los algoritmos de llave pública están basados en funciones matemáticas en lugar de sustituciones o permutaciones. Y lo más importante, la Criptograf´ıa de llave pública es asimétrica lo cual implica que existan dos llaves separadas, a diferencia de los algoritmos de llave secreta en los cuales sólo existe una llave. El uso de las llaves tiene consecuencias considerables en lo referente a los servicios de confidencialidad, no-repudio y autentica- ción.

Los sistemas de llave p´ublica requieren que cada usuario A tenga un par de llaves:

una llave pública, K_pub(A) la cual es publicada, y una llave privada K_prv(A) la cual es mantenida en secreto. Un mensaje cifrado (con el conjunto de reglas E) usando una llave pública, sólo puede ser descifrado (con el conjunto de reglas D) con su correspondiente llave privada. Esto elimina la necesidad de compartir una llave secreta.

Las primitivas en criptosistemas de llave p´ublica son las siguientes:

1. Generaci´on de llaves. Esta primitiva crea las llaves publicas y privadas de los usuarios.

5 Diffie y Hellman fueron los primeros en publicar los conceptos de criptograf´ıa de llave p´ublica.

Sin embargo, en 1997 una agencia de seguirdad británica (CESG, National Technical Authority for Information Assurance) dió a conocer documentos en los cuales se demuestra que en 1970, James Ellis descubrió la criptograf´ıa de llave pública [Way97,TW01].

(21)

Criptografía de llave pública

Generación de llaves

Verificación/Cifrado (operación pública) Firma/Descifrado

(operación privada)

Figura 1.2: Primitivas de los criptosistemas de llave pública 2. Operación pública. Utilizada para cifrar o verificar mensajes.

3. Operaci´on privada. Utilizada para firmar o descifrar mensajes.

La Criptograf´ıa de llave pública permite la implementación de las tres primitivas (figura §1.2); las cuales a su vez, permiten satisfacer los servicios fundamentales de la seguridad informática (confidencialidad, integridad, autenticación, y no-repudio).

Supongamos que Alicia quiere enviar un mensaje m a Benito. Alicia usa la llave pública de Benito para cifrar el mensaje (operación pública, denotada como c = E_K_pub_(Benito)(m)) obteniendo como resultado c. Benito, una vez recibido el mensaje cifrado c utiliza su llave privada para descifrar (operación privada, denotada como m = E_K_prv_(Benito)(c)), lo cual le permite recuperar el mensaje en claro m.

Para entender el concepto, se puede usar la analog´ıa del sistema de correo. Nosotros podemos enviar un correo a cualquier persona conociendo ´unicamente su direcci´on.

Una vez que el correo está en el buzón sólo el destinatario puede leerlo (asumiendo que

´

unicamente el destinatario puede abrir el buz´on). La figura §1.3muestra el esquema de confidencialidad en sistemas de llave p´ublica.

Teóricamente, los sistemas de llave pública pueden ser construidos utilizando funciones matemáticas especiales denominadas ”trapdoor one-way functions” (funciones de sólo ida con pasadizo secreto).

(22)

Mensaje en claro

Mensaje en claro Mensaje

cifrado Anillo de

llaves publicas

Algoritmo de Cifrado (RSA, ECC)

Llave pública de Alicia

Benito Carlos

Operación Pública

Algoritmo de Descifrado (RSA, ECC)

Llave privada de Alicia

Operación Privada

!"#$%¨*][Ñ[]_:@!

"#$*][Ñ[]_:@!"#$

%&()=¨*][Ñ[]_:@!

"#$%&()=¨*][Ñ[]_

:_,;[~!3432:@[Ñ[

]_:@![Ñ[]_:@![Ñ[

]_:@![Ñ[]_:@! x3

Figura 1.3: Confidencialidad en criptosistemas de llave p´ublica

Matemáticamente, una funcion f de sólo ida o en un sentido es aquella en la cual f (x) es fácil de calcular para cualquier entrada x, pero el cálculo de f⁻¹(x) es extre- madamente complicado. Una función de sólo ida con pasadizo secreto es en la cual la función f⁻¹(x) es fácilmente calculable si se tiene cierta información adicional (una puerta oculta “trapdoor”). Los siguientes dos problemas son considerados los candidatos más comunes para la creación de funciones trapdoor one-way.

Problema de factorización de enteros: Dado un número entero n. Encon- trar sus factores primos. Es decir, obtener n = p₁ê¹p₂ê²p₃ê³· · · p_kê^k, donde p_i es un número primo y e_i ≥ 1.

Encontrar números primos grandes⁶ es una tarea relativamente fácil, pero el problema de factorizar el producto de esos números primos es considerado computacionalmente no realizable para el estado del arte actual [RSA05].

Problema del logaritmo discreto: Dado un número primo p, un generador g de Z_p^∗, y un elemento a ∈ Z_p^∗. Encuentre el número entero único i, 0 ≤ i < p − 1,

6 En este contexto un n´umero grande es considerado como ´aquel que tiene al menos 512 bits.

(23)

tal que a ≡ gⁱ(mod p). La utilidad del problema del logaritmo discreto en la Criptograf´ıa es que encontrar logaritmos discretos es dif´ıcil. El método de fuerza bruta para calcular g^j(mod p) para 1 < j ≤ p−1 no es computacionalmente viable para valores grandes de p. Sin embargo, la operación inversa de exponenciación puede ser calculada eficientemente. De tal forma gⁱ(mod p) es una función de sólo ida con pasadizo secreto para valores convenientemente elegidos de p.

La mayor´ıa de los criptosistemas de llave pública están basados en la dificultad de resolver los problemas anteriores. En las siguientes secciones se describen implementaciones de criptosistemas de llave pública que son basados en los problemas de factorización y logaritmo discreto.

1.2. Intercambio de llaves Diffie-Hellman

El prop´osito del algoritmo es permitir que dos usuarios intercambien llaves de una manera segura con el objetivo de que la llave sea usada para un subsecuente cifrado de mensajes. El algoritmo fundamenta su efectividad en la dificultad de calcular los logaritmos discretos en el grupo Z_p^∗.

Supongamos que A y B desean establecer una secreto compartido en un canal no seguro. Los pasos necesarios en el protocolo Diffie-Hellman son los siguientes:

1. Los par´ametros p y α son seleccionados y publicados . donde p, es n´umero primo y α, es un elemento generador⁷ de Zp∗

(2 ≥ α ≥ p − 2).

2. A elige un n´umero aleatorio a, 0 ≤ a < p − 1.

7 El orden de un elemento g en un grupo G es definido como el entero positivo más pequeño m tal que g^m= 1. Un elemento g ∈ G cuyo orden n es igual al número de elementos no cero en G se dice que es generador si y sólo si, su exponenciación repetitiva produce todos los elementos de grupo G.

(24)

3. B elige un n´umero aleatorio b, 0 ≤ b < p − 1.

4. A calcula u = g^amod p, se env´ıa u a B 5. B calcula v = g^bmod p, se env´ıa v a A 6. A calcula K = (g^b)^amod p

7. B calcula K = (g^a)^bmod p

El resultado de este proceso es que A y B intercambiaron su llave secreta K de una forma segura y manteniendo en secreto a y b.

1.3. Criptosistema RSA

El esquema RSA inventado por Ron Rivest, Adi Shamir, y Len Adleman fue desarrollado en 1977 y publicado en 1978. RSA est´a basado en la idea de que factorizar enteros en sus factores primos es un problema de alta complejidad. A continuaci´on se resume el algoritmo RSA.

La generaci´on de llaves en RSA⁸ :

1. Se seleccionan dos n´umeros primos p, q

2. Se calcula el producto n = (p)(q) , n es llamado m´odulo 3. Se calcula φ(n) = (p − 1)(q − 1)

4. Se selecciona un entero e (1 < e < φ(n)), tal que e sea primo relativo⁹ de φ.

5. Se calcula d , d = e⁻¹mod φ(n)

8 La implementaci´on del criptosistema RSA en el presente trabajo de tesis utiliza llaves de 1024 bits. Lo cual garantiza hoy d´ıa un margen de seguridad aceptable.

9 Dos enteros a, b son primos relativos si el m´aximo com´un divisor M CD(a, b) = 1.

(25)

6. La llave p´ublica es K_pub = (e, n) 7. La llave privada es K_prv = (d, e)

Cifrado en RSA

El texto en claro es cifrado en bloques, cada bloque debe detener un valor binario menor que n.

1. Texto claro: M < n

2. Texto cifrado: C = M^e(mod n)

Descifrado en RSA

1. Texto cifrado: C

2. Texto claro: M = C^d(mod n)

1.4. Criptograf´ıa de curva el´ıptica ECC

El fundamento básico de los sistemas de llave pública es la gran dificultad de resolver computacionalmente problemas como el del logaritmo discreto y la factorización.

Estos problemas est´an definidos sobre un grupo finito, principalmente en Zn y Zp∗

. Teóricamente se puede considerar cualquier grupo mientras los problemas anteriores estén bien definidos. Hay dos razones principales por las cuales se deben de considerar alguna otra variedad de grupos. Primero, las operaciones requeridas en ciertos grupos pueden ser implementadas más fácilmente en software o hardware que en otros grupos.

Segundo, los problemas computacionales que son la base de los criptosistemas pueden ser más dificiles de resolver en otros campos finitos. De tal forma, se puede usar un grupo finito G más pequeño que Zn o Zp∗

pero con el mismo o mejor nivel de seguridad.

(26)

Como resultado se obtienen tamaños de llave más pequeños y/o implementaciones más eficientes.

Las curvas el´ıpticas [KC98, V.86, Sti95] definidas sobre campos finitos producen un grupo tal que el problema del logaritmo discreto es intratable. Estas curvas fueron propuestas por primera vez en aplicaciones criptogr´aficas por Neal Koblitz y Victor Miller [V.86] en 1985.

En las siguientes secciones se explica la aritmética básica necesaria para la utiliza- ción de las curvas el´ıpticas en aplicaciones criptográficas. La primera sección aborda la aritmética de curvas el´ıpticas definidas sobre los números reales de forma geométri- ca para as´ı poder explicar de una manera mucho más intuitiva la adición y doblado de puntos. Las secciones posteriores explican la definición de curvas sobre los campos finitos Fp y F2^m.

1.4.1. Grupos de curva el´ıptica sobre R

Una curva el´ıptica sobre R es definida como el conjunto de puntos (x, y) que satisfacen la ecuaci´on §(1.1)

y² = x³+ ax + b (1.1)

Las variables a, b pertenecen a R y la modificaci´on de los valores de a y b producen diferentes curvas el´ıpticas.

Si x³+ax+b no tiene factores repetidos; es decir, si el determinante ∆ = 4a³+27b² 6=

0¹⁰, entonces la curva el´ıptica definida en §(1.1) puede ser usada para formar un grupo.

Un grupo de curva el´ıptica sobre los n´umeros reales esta conformado por los puntos que

10La condicion de que ∆ 6= 0 asegura que la curva el´ıptica sea suave; es decir, que no existan puntos en los cuales la curva tenga dos o m´as l´ıneas tangentes. Esta propiedad es muy importante, ya que la operaci´on de doblado de puntos utiliza la l´ınea tangente a la curva en el punto a doblar.

(27)

satisfacen la curva, junto con un punto especial O denomidado punto al infinito.

Los grupos formados por curvas el´ıpticas son grupos aditivos; es decir, su función básica es la adición. La adición de dos puntos en una curva el´ıptica puede ser definida geométricamente.

El negativo de un punto P = (x_p, y_p) es su reflexi´on sobre el eje x, de tal forma

−P = (x_p, −y_p). Debido a la simetr´ıa de la curva respecto al eje x, el punto −P tambi´en forma parte de la curva.

Adici´on de puntos en curva el´ıptica sobre R

Suponga que P y Q son puntos distintos de la curva el´ıptica, y que el punto P 6= −Q.

Para sumar los puntos P y Q, se traza una l´ınea a trav´es de los dos puntos. Esta l´ınea intersecta la curva el´ıptica en exactamente otro punto, denotado −R. El punto −R es reflejado con respecto al eje x para obtener R. Un ejemplo de adici´on de puntos en una curva el´ıptica definida sobre R se muestra en la figura §1.4 [HMV03].

En el caso particular P = −Q la l´ınea a través de P y −P es vertical, la cual no produce intersección con otro punto de la curva el´ıptica; consecuentemente los puntos P y −P no pueden ser sumados de la forma anteriormente definida. Debido a esta razón la curva el´ıptica incluye un punto al infinito O. Por definición, P + (−P ) = O. Como resultado de esta ecuación se obtiene P + O = P. O es llamado elemento neutro del grupo.

Doblado de puntos en curva el´ıptica sobre R

Para sumar un punto P a s´ı mismo, se traza una l´ınea tangente a la curva en el punto P . Si P_y 6= 0 , entonces la l´ınea tangente intersecta a la curva el´ıptica en exactamente otro punto, denotado −R. Este punto es reflejado respecto al eje x para obtener R.

Esta operaci´on es llamada doblado de punto (P + P = 2P = R). Un ejemplo de la

(28)

Suma: P + Q = R

R (x3, y3) -R (x3 , -y3)

y^2 = x^3 - 7x Q (x2 , y2)

P (x1 , y1)

–8 –6 –4 –2 2 4 6 8

y

–4 –2 2 4 6

x

Figura 1.4: Adici´on de puntos sobre R

operaci´on de doblado de punto en una curva el´ıptica definida sobre los n´umeros reales R se muestra en la figura §1.5 [HMV03].

Si el punto P es tal que P_y = 0, la l´ınea tangente a la curva el´ıptica en el punto P es vertical por lo cual no intersecta la curva el´ıtpica en ning´un otro punto. Por definici´on, 2P = O para un punto P con P_y = 0. Si se requiere calcular 3P , se puede sumar 2P + P , lo cual es lo mismo que O + P = P, de tal forma que 3P = P .

(29)

Doblado: P + P = R

y^2 = x^3 - 7x

R(x3,y3) -R

P(x1,y1)

–8 –6 –4 –2 2 4 6 8

y

–4 –2 2 4 6

x

Figura 1.5: Doblado de puntos sobre R Multiplicaci´on escalar de puntos

La operación de exponenciación de un punto P , es denotada por la multipicación escalar del punto definida como kP = P + P + P + · · · + P (k veces), esto es debido a que la operación básica del grupo es la adición.

1.4.2. Grupos de curva el´ıptica sobre F

p

Las operaciónes sobre los números reales son lentas e inexactas debido a errores de redondeo del punto flotante. Las aplicaciones criptográficas requieren una aritmética

(30)

r´apida y precisa; debido a esto los grupos usados en la pr´actica son Fp 11

y F2^m. Una curva el´ıptica definida sobre Fp puede ser obtenida mediante la asignación de valores de las variables a y b que estén dentro del campo Fp. El grupo de curva el´ıptica incluye todos los puntos (x, y) que satisfacen la ecuación §(1.2) sobre Fp junto con el punto al infinito O.

y²(mod p) ≡ x³+ ax + b (mod p) (1.2) Un ejemplo de una curva el´ıptica sobre F^p se muestra en la figura §1.6.

y^2 (mod 23) = x^3 + x (mod 23)

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 x

Figura 1.6: Curva el´ıptica y² = x³+ x sobre F23

11El campo F^pusa números de 0 a p − 1, y los cálculos de sus operaciones son realizadas en módulo p.

(31)

Aritm´etica en grupos de curva el´ıptica sobre Fp

Existen grandes diferencias entre los grupos Fp y los reales R. Los grupos sobre Fp son finitos debido a que las curvas consisten de una serie de puntos discretos de la curva. Geom´etricamente las operaciones no son claras como en R. Sin embargo, las reglas algebraicas para la aritm´etica pueden ser adaptadas para curvas el´ıpticas sobre Fp.

Adici´on de puntos

Si P (x_P, y_P) y Q(x_Q, y_Q) son puntos diferentes tal que, P 6= −Q, la suma P + Q = R(x_R, y_R) est´a definida de la siguiente forma:

s = _(x^(y^P^−y^Q⁾

P−x_Q)mod p

x_R = s²− x_P − x_Qmod p y_R= −y_P + s(x_P − x_R) mod p

N´otese que s es la pendiente de los puntos P y Q.

Doblado de puntos

Si y_P 6= 0, el doblado de P es 2P = R donde s = ^(3x_(2y^P²^+a)

P) mod p x_R = s²− 2x_P mod p

y_R= −y_P + s(x_P − x_R) mod p

Multiplicaci´on escalar de puntos

A continuaci´on se muestra el algoritmo utilizado para la multiplicaci´on escalar de los elementos del grupo de curva el´ıptica sobre Fp.

(32)

Multiplicaci´on de puntos para curvas sobre F^p Entrada: k = (kt−1, . . . , k₁, k₀)₂, P ∈ E(Fq)

Salida: kP 1. Q ← O

2. De i = 0 hasta t − 1 haz

2.1 Si ki = 1 entonces Q ← Q + P 2.2 P ← 2P

3. Regresa (Q)

1.4.3. Grupos de curva el´ıptica sobre F

2^m

Los elementos del campo F2^m son cadenas de m-bits. Las reglas para la aritmética sobre F2^m pueden ser definidas ya sea por representación polinomial¹² o por represen- tación de base normal óptima (ONB)¹³. Debido a que F2^m opera sobre cadenas de bits, los cálculos aritméticos pueden realizarse muy eficientemente [ECC04].

Una curva el´ıptica sobre F2^mesta definida por la ecuaci´on §(1.3), donde los elementos a y b pertenecen a F2^m y b 6= 0.

y²+ xy = x³+ ax² + b (1.3)

El grupo de curva el´ıptica incluye todos los puntos (x, y) los cuales satisfacen la ecuaci´on §(1.3) sobre F2^m junto con el punto al infinito O.

Aritm´etica en grupos de curva el´ıptica sobre F2^m

Los grupos de curva el´ıptica sobre F2^mson grupos finitos y su aritm´etica no involucra errores por redondeo al igual que Fp. Esto en combinaci´on con la naturaleza binaria del

12 Los elementos de F²^m son polinomios de grados menores que m, con coeficientes en F²; es decir, am−1x^m−1+ am−2x^m−2+ · · · + a2x²+ a1x + a0. Estos elementos pueden ser escritos en forma de vectores de la forma (am−1· · · a1a0). El n´umero de elementos de F²^m es 2^m.

13 Una base óptima proporciona una alternativa para la definición de la multiplicación de los elementos del campo [ECC04].

(33)

campo, permite que la aritm´etica pueda ser implementada muy eficientemente por una computadora [ECC04].

Adici´on de puntos

El negativo del punto P = (x_P, y_P) es el punto −P = (x_P, x_P + y_P). Si P (x_P, y_P) y Q(x_Q, y_Q) son puntos diferentes tal que, P 6= −Q, entonces P + Q = R donde

s = _(x^(y^P^−y^Q⁾

P+xQ)

x_R = s²+ s + x_P + x_Q+ a y_R= s(x_P + x_R) + x_R+ y_P

Al igual que las curvas el´ıpticas sobre R, P +(−P ) = O, el punto al infinito. Adem´as, P + O = P para todos los puntos P .

Doblado de puntos

Si x_P = 0, entonces 2P = O. Si x_P 6= 0 el doblado de P es 2P = R donde s = x_P +^y_x^P

P

x_R = s²+ s + a y_R= x_P²+ (s + 1)x_R

Multiplicaci´on escalar de puntos

El algoritmo de multiplicación escalar sobre F2^mes el mismo que en Fp. La diferencia radica únicamente en la aritmética utilizada en cada grupo.

(34)

Multiplicaci´on de puntos para curvas sobre F2^m

Entrada: k = (kt−1, . . . , k₁, k₀)₂, P ∈ E(F2^m) Salida: kP

1. Q ← O

2. De i = 0 hasta t − 1 haz

2.1 Si ki = 1 entonces Q ← Q + P 2.2 P ← 2P

3. Regresa (Q)

1.4.4. Criptosistema basado en ECC

El siguiente es un ejemplo de un criptosistema basado en curva el´ıptica sobre el campo finito Fp.

Definici´on 1.2. Sea un n´umero p > 3. La curva el´ıptica en Fp (denotada como E(Fp)) es el conjunto de soluciones (x, y) en Fp × Fp que satisfacen:

y²(mod p) ≡ x³+ ax + b (mod p) (1.4) donde a, b estan en Fp y el discriminante ∆ = 4a³+ 27b² 6= 0 mod(p). Entonces, el grupo de cuva el´ıptica esta definido por los puntos (P_x, P_y) ∈ Fp que satisfacen la ecuaci´on §(1.4) junto el punto especial O denominado punto al infinito.

De tal forma, el problema del logaritmo discreto en curvas el´ıpticas se reduce a lo siguiente:

Dada una curva el´ıptica E definida en Fp, un punto P ∈ E(Fp) de orden n¹⁴ y un punto Q ∈ E(Fp), determine el entero k, 0 < k < n − 1, tal que Q = kP , sabiendo que tal entero existe.

14 El orden de una curva el´ıptica E sobre F^p es definido como el n´umero de puntos (x, y) ∈ E(F^p), denotado como #F^p [HMV03].

(35)

De tal forma, las primitivas de un criptosistema basado en curva el´ıptica son definidas de la siguiente forma:

Generaci´ on de llaves

Una vez seleccionada la curva el´ıptica sobre un campo finito Fp, la generaci´on de llaves en curva el´ıptica consta de los siguientes pasos:

1. Selecci´on de un punto conveniente P ∈ E(Fp) de orden n.

2. Selecci´on de un entero ´unico e impredecible k, 0 < k ≤ n − 1.

3. Se calcula Q = kP

4. La llave p´ublica es conformada por (E, P, n, Q) 5. Se mantiene en secreto la llave privada k ¹⁵

Operaci´ on privada

Dado un mensaje m, los par´ametros de la curva (E, P, n), y la llave privada k, el procedimiento de firma digital es el siguiente:

1. Selecci´on de un entero ´unico e impredecible i, 0 < i ≤ n − 1.

2. Calcular iP = (x1, y1) 3. Calcular r = x₁mod n

4. Calcular s = i⁻¹(m + kr) mod n

5. La firma de m esta formada por la pareja (r, s)

15Como comparaci´on, un sistema basado en curva el´ıptica con un punto P cuyo orden es un n´umero primo de 160 bits ofrece aproximadamente el mismo nivel de seguiridad que el sistema RSA con un modulo n de 1024 bits.

(36)

Operaci´ on p´ ublica

Dado un mensaje m, los par´ametros de la curva (E, P, n, Q), el procedimiento de verificaci´on de firma digital es el siguiente:

1. Calcular s⁻¹mod n

2. Calcular u1 = ms⁻¹mod n 3. Calcular u2 = rs⁻¹mod n 4. Calcular u₁P + u₂Q = (x₁, y₁) 5. Calcular v = x₁mod n

6. La firma es aceptada si v = r

En el cap´ıtulo §4 se abordará otros aspectos de la Criptograf´ıa de Curva El´ıptica como por ejemplo: los tipos de curva utilizadas en la implementación de la Autori- dad Certificadora, el esquema de firma y la verificación digital de acuerdo al estandar ECDSA.

1.5. Funciones hash

Una funcion hash en Criptograf´ıa, toma como entrada un mensaje de longitud arbi- traria y produce como salida una digesti´on del mensaje de longitud fija. Las propiedades que debe cumplir este tipo de funciones son:

Dado un mensaje m, la digesti´on del mensaje h(m) puede ser calculada muy r´apidamente.

(37)

Dado una digestion del mensaje y, computacionalmente no es posible encontrar un mensaje m tal que h(m) = y.

Es computacionalmente imposible encontrar colisiones entre mensajes (m₁ 6= m₂, tal que h(m₁) = h(m₂)).

La implementaci´on de la Autoridad Certificadora en esta tesis utiliza los algoritmos hash MD5 (Message Digest Algorithm) y SHA-1 (Secure Hash Algorithm).

El algoritmo hash MD5¹⁶ fue desarrollado por Ron Rivest. Recibe de entrada un mensaje de tama˜no arbitrario y produce una salida de 128 bits. La entrada es procesada en bloques de 512 bits.

El algormitmo hash SHA fue desarrollado por NIST¹⁷ y publicado como FIPS PUB 180¹⁸ en 1993. Posteriormente se revisó en 1995 generando la especificación FIPS PUB 180-2 conocida como SHA-1. El algoritmo es alimentado con un mensaje de longitud máxima de 2⁶⁴ bits y produce una salida de 160 bits ¹⁹ . La entrada al igual que MD5 es procesada en bloques de 512 bits.

1.6. Aplicaciones de criptosistemas de llave p´ ublica

Actualmente la seguridad de navegación y compra de bienes y servicios en Internet es soportada por protocolos como SSL (Secure Sockets Layer) desarrollado por Netscape, y TLS (Transport Layer Security) propuesto por IETF²⁰, en lo referente a transacciones seguras con tarjetas de crédito el protocolo SET (Secure Electronic Protocol) diseñado

16El algoritmo MD5 es descrito a detalle en el RFC 1321,http://www.ietf.org/rfc/rfc1321.txt

17 National Institute of Standards and Technology,http://www.nist.org

18 Federal Information Processing Standards Publications,http://www.itl.nist.gov/fipspubs/

19En febrero de 2005 se dio a conocer un nuevo ataque sobre el algoritmo SHA-1. Los autores afirman que su an´alisis muestra que las coalisiones de SHA-1 pueden ser encontradas con una complejidad menor a 2⁶⁹operaciones hash. Este es el primer ataque al algoritmo completo de SHA-1 con complejidad menor a 2⁸⁰ [WYY05].

20 Internet Engineer Task Force,http://www.ietf.org

(38)

por VISA y MasterCard, sustenta este tipo de transferencias bancarias. Por supuesto, estos protocolos est´an fundamentados en criptosistemas de llave p´ublica.

A continuación se mencionan los servicios fundamentales de la seguridad informática y las ideas básicas de la Criptograf´ıa de llave pública y las funciones hash que permiten su implementación en aplicaciones reales.

1.6.1. Autenticaci´ on

La autenticación es el proceso de verificar la identidad de alguien o algo (usuario, servidor, comporación, etc.). La autenticación es muy importante en transacciones de comercio electrónico que involucren a un cliente y a un servidor, ya que los clientes desean confirmar la identidad del servidor antes de enviar información confidencial como su número de tarjeta de crédito. El siguiente ejemplo es la forma en la cual el protocolo SSL utiliza técnicas de criptograf´ıa de llave pública para la autenticación.

Supongamos que A quiere autenticar a B:

A env´ıa un mensaje aleatorio r a B

B cifra r usando su llave privada y env´ıa el resultado a A

A descifra el dato enviado por B usando la llave p´ublica de B y lo compara con el original

Debido a que la llave privada de B solo es conocida por él mismo, B es la única entidad que pudo haber cifirado el mensaje r si es que la comparación fue exitosa.

1.6.2. Intercambio de llaves

Como se mencionó anteriormente, el intercambio de llaves fue la primera aplicación de la Criptograf´ıa de llave pública. Se requiere compartir una llave secreta (conocida en

(39)

la pr´actica como llave de sesi´on), la cual pueda ser usada posteriormente para cifrar y descifrar mensajes mediante un sistema de llave secreta como DES. Los siguientes son los pasos a realizar:

A genera un número alearorio k para ser usado como llave secreta (llave de sesión) A cifra k usando la llave pública de B y env´ıa el resultado a B

Despu´es de recibir, B descifra el mensaje usando su llave privada

Debido a que la llave privada de B ´unicamente es conocida por B, cualquier atacante que obtenga de alguna forma los mensajes no podr´a conocer el secreto compartido²¹ .

1.6.3. Confidencialidad

Un criptosistema de llave pública puede ser utilizado para mantener y asegurar la confidencialidad de los datos, pero en la práctica, este tipo de esquema no es utilizado debido a que los sistemas de llave secreta son aproximadamente 100 a 200 veces más rápidos [Moh04]. De tal forma, los criptosistemas de llave pública son usados como una herramienta para que los sistemas de cifrado simétrico puedan establecer su llave secreta.

1.6.4. No-repudio y firmas digitales

Los sistemas de llave p´ublica proporcionan firmas digitales las cuales no pueden ser repudiadas. El concepto es muy similar al proceso del mundo real donde se firma un documento para legalizarlo y para especificar a la persona o entidad responsable

21Para que este esquema de intercambio de llaves tenga éxito es necesario asegurar la autenticación de las entidades, ya que de otra forma el esquema puede ser v´ıctima de alguna entidad maliciosa mediante ataques como “el intruso de en medio ”, “usurpación de identidad ” entre otros. Este tipo de debilidades de los sistemas de llave pública son discutidas en el cap´ıtulo §2.

(40)

Llave privada de Alicia

Hash

h(m)

M E N S A J E

Hash h(m)

h´(m)

¿iguales?

Firma Verificada

si

Anillo de llaves publicas

Llave pública de Alicia

Operación Privada Operación Pública

Firma Digital

Firma NO Válida

no

Alicia Benito

Figura 1.7: Esquema de firma y veriificaci´on digital

por el documento; pero es más poderoso pues también protege contra alteraciones del documento original. El esquema de firma digital se basa en dos algoritmos, uno de firma y otro de verificación. Este proceso es muy similar al de autenticación.

A cifra el mensaje m con su llave privada (E_K_prv_(A)(m))

A cifra el resultado utilizando la llave p´ublica de B y env´ıa el resultado a B (c = E_K_pub_(B)(E_K_prv_(A)(m)))

B recupera m mediante m = D_K_pub_(A)(D_K_prv_(B)(c))

Debido a que B es capaz de recuperar m usando la llave pública de A, B puede verificar que A firmó el mensaje con su llave privada. Y debido a que la firma depende del contenido del mensaje, nadie más puede usar la fima con otro mensaje.

La firma digital en el mundo real (figura §1.7) no se realiza directamente sobre el mensaje; lo que se hace es calcular el resumen hash del mensaje (h(m)) y ´este es el que se firma. La siguiente secci´on lo ejemplifica.

(41)

1.6.5. Integridad de datos

Las firmas digitales tambi´en pueden ser usadas para validar la integridad de datos firmados. Por ejemplo, el protocolo SSL utiliza funciones hash para procesar el mensaje de tal forma que el algorimo firma ´unicamente el valor hash del mensaje, en lugar de firmar el mensaje completo.

A calcula el hash del mensaje y lo cifra con su llave privada A env´ıa el mensaje m y el hash cifrado a B

Despu´es de recibir, B extrae el mensaje m y calcula el valor hash del mensaje.

También extrae el valor hash cifrado y lo descifra utilizando la llave pública de A B compara el valor hash calculado con el valor que recibió. Si son idénticos, entonces se ha validado la integridad de los datos.

En la práctica la Criptograf´ıa de llave pública necesita una infraestructura la cual le permita proveer plenamente los servicios anteriores, sobre todo los servicios de autenti- cación para evitar ataques como el intruso de en medio y la usurpación de identidad. El cap´ıtulo §2es dedicado a explicar la necesidad de contar con un sistema de autenticación confiable para as´ı evitar este tipo de ataques.

(42)

Servicio de autenticaci´ on

La Autenticación es un proceso que tiene como finalidad verificar la información referente a un determinado objeto, como la identidad del remitente (ya sea un dispositivo electrónico y/o un usuario), la integridad de la información enviada, el momento de env´ıo de la información, la validez de la firma, etc.

La Autenticación es uno de los objetivos más importantes en la seguridad de la información. A mediados de 1970 se cre´ıa que la autenticación y la confidencialidad estaban ligadas intr´ınsecamente, pero con el descubrimiento de las funciones hash, las firmas digitales y los adelantos en reconocimiento de patrones biométricos se ha logrado una separación de estos servicios de seguridad.

En la Seguridad Inform´atica existen diversos tipos de autenticaci´on [MOV01]:

Autenticación del mensaje. Este término es usado análogamente con autenti- cación del origen de datos y consiste en la verificación de que una de las partes es la fuente original del mensaje, es decir, autentica la procedencia de un mensaje creado en un determinado momento. Este tipo de autenticación asegura la integridad del mensaje.

Autenticaci´on de entidad. Consiste en el proceso donde una parte se asegura de la identidad de la segunda parte involucrada en el protocolo de comunicaci´on.

28

(43)

La identidad es asegurada en base a la corroboraci´on de informaci´on especifica obtenida en el protocolo.

Autenticaci´on de llave. Este tipo de autenticaci´on permite que una parte se asegure que ninguna otra entidad no confiable pueda tener acceso a la llave privada correspondiente.

Autenticación de transacción. Este tipo de autenticación provee autenticación de mensaje y adicionalmente garantiza la existencia única y temporal de los datos.

La existencia única y temporal se logra a través del uso de parámetros variantes en el tiempo TVPs¹

La tabla §2.1 resume las propiedades de los diferentes tipos de autenticaci´on [MOV01].

⇒ Propiedad

⇓ Tipo de autenticaci´on

Identificaci´on del origen

Integridad de datos

Tiempo o unicidad

autenticaci´on de mensaje si si -

autenticaci´on de transacci´on si si si

autenticaci´on de entidad si - si

autenticaci´on de llave si si deseable

Tabla 2.1: Diferentes tipos de autenticaci´on y sus propiedades

La autenticación es un proceso activo el cual utiliza herramientas criptográficas y protocolos de comunicación para llevar a cabo su objetivo. La autenticación proporciona un servicio de protección de sistemas de información contra ataques tanto pasivos como activos.

Las primitivas criptogr´aficas necesarias para poder ofrecer el servicio de autenticaci´on son las siguientes:

1 TVPs (Time-Variant Parameters), estos parámetros incluyen números aleatorios, estampas de tiempo, secuencias, etc., en respuesta a retos involucarados en el protocolo de comunicación.

(44)

1. Funciones hash (SHA1, MD5)

2. Cifradores sim´etricos (AES, DES, TDES) 3. Firma digital (RSA, ECDSA)

Una de las aplicaciones más comunes e importantes en la Seguridad Informática es el Control de Acceso, el cual se otorga en base a la autenticación de de la entidad que quiere acceder a la información.

La autenticaci´on de un usuario puede ser lograda en base a uno o varios de los siguientes aspectos:

Algo que el usuario conozca (una palabra clave, un NIP, nombre de usuario, etc.) Algo que el usuario posea (una tarjeta inteligente, un certificado digital)

Algo que el usuario sea (huella digital, reconocimiento de voz, la anatom´ıa del rostro, an´alisis de DNA, etc.)

El trabajo de ésta tesis se enfoca principalmente a la creación de una infraestructura la cual permita realizar autenticación de entidad ; es decir, identificación de usuarios involucrados en una transferencia de información electrónica a través de algo que el usuario conozca, algo que posea y algo que sea.

2.1. Servicios de seguridad inform´ atica en ambientes inal´ ambricos

La comunicación inalámbrica es el proceso de transmisión de información a través de ondas electromagnéticas que viajan por el espacio libre. Los mensajes inalámbricos

(45)

viajan por el medio ambiente utilizando un determinado espectro electromagn´etico el cual est´a regulado por las autoridades correspondientes.

Dispositivos inalámbricos como asistentes digitales personales (PDAs), teléfonos ce- lulares, pagers son lógicamente menos seguros que sus contrapartes alámbricos. Esto es debido en parte a las limitaciones tanto en capacidad de procesamiento, memoria y el ancho de banda restringido para transmisión. Otra razón de gran importancia es que estos dispositivos env´ıan información a través del medio ambiente donde cualquier entidad con la tecnolog´ıa apropiada puede interceptarla.

La tecnolog´ıa inalámbrica, por su misma naturaleza, viola los principios fundamentales de la seguridad informatica. Esta no asegura la identidad del usuario (autenticación), tampoco previene que el remitente del mensaje refute que ha enviado el mensaje (no- repudio). La tecnolog´ıa inalámbrica no es nueva, pero sus aplicaciones contemporaneas son aún inmaduras.

Para solucionar los inconvenientes mencionados anteriormente es de gran importancia fortalecer los servicios de seguridad informática en ambientes inalámbricos sobre todo en dispositivos con poder computacional restringido. Debido a esto, el presente trabajo de tesis hace hincapié en el uso de criptosistema ECC el cual permite obtener exelentes grados de seguridad a un precio computacional menor que algoritmos como RSA; además, se propone el uso de información biométrica para complementar el servicio de autenticación. En resumen, se creó una infraestructura que robustece el servicio de autenticación de usuarios, y que es especialmente conveniente para dispositivos móbiles en ambientes inalámbricos.

(46)

2.2. Ataques a la autenticaci´ on de entidades

La presente secci´on brinda un panorama de los principales ataques que comprometen el servicos de autenticaci´on de entidades.

2.2.1. Ataque del intruso de en medio

Supongamos que Ana quiere establecer una sesión segura con Beto para el env´ıo de información confidencial. Para esto, utiliza un protocolo de llave pública para el intercambio de llaves. Si un atacante, Carlos, se hace pasar por Beto sin que Ana lo advierta, entonces podrá descifrar la información confidencial sin problema alguno.

Existen varias formas en las cuales Carlos puede llevar a cabo el ataque. La figura §2.1 ilustra este tipo de ataque al protocolo Diffie-Hellman.

Ana Carlos Beto

g^a (mod p) g^x (mod p)

g^b (mod p) g^x (mod p)

K_AC = (g^a)^x(mod p) K_CB = (g^b)^x(mod p)

Figura 2.1: Ataque del “intruso de en medio” al protocolo Diffie-Hellman

Nótese que en ningún momento se rompió el criptosistema de llave pública, Carlos

´

unicamente hiz´o creer a Ana que realmente es Beto y viceversa.

2.2.2. Usurpaci´ on de identidad

La usurpación de identidad consiste primordialmente en la subplantación de llaves autenticas por llaves apócrifas. Supongamos que Beto env´ıa a Ana su llave pública

(47)

mediante una red de datos. El atacante Carlos puede interceptarla y reemplazarla con su propia llave pública. De igual forma Carlos puede también lograr la misma meta si Ana descarga la llave pública de Beto de algún servidor en la red mediante la sustitución previa de las llaves. En resumen, Carlos puede intentar distribuir su propia llave pública como si perteneciera realmente a Beto.

2.3. M´ etodos de autenticaci´ on

Debido al tipo de ataques presentados en la sección anterior, es nesesario contar con una infraestructura adicional a la criptograf´ıa de llave pública, la cual permita resolver estos problemas. Esta sección explica diferentes métodos para lograr brindar eficientemente el servicio de autenticación.

2.3.1. Autenticaci´ on mediante entidades de confianza

Ana y Beto necesitan intercambiar informaci´on de una manera segura y confidencial.

Con el objetivo de no ser propensos a ataques como el intruso de en medio y usurpación de entidad, deciden que una tercera parte en la cual ambos confian, “certifique” que las llaves públicas usadas para el cifrado y firma digital de la información correspondan a los usuarios que afirman ser los legitimos dueños. De esta forma una nueva entidad aparece en el esquema de autenticación, la cual tiene la tarea de verificar que que el v´ınculo entre la persona posedora de la llave pública y su identidad sean correctos. A través de esta nueva entidad tanto Ana como Beto están seguros que estan intercambiando información con la persona adecuada. La figura §2.2 muestra la relación de confianza entre Ana, Beto y la tercera entidad de confianza.

La manera en la cual la tercera entidad de confianza logra certificar que las llaves publicas corresponden a Ana y a Beto es a trav´es de la firma digital de un documento

(48)

Ana Beto Entidad

de Confianza

Figura 2.2: Autenticaci´on a trav´es de una tercera parte de confianza

elctrónico denominado “certificado digital ” el cual contiene información de la identidad del usuario y su llave pública respectiva. De esta forma, si tanto Ana como Beto confian en la entidad de confianza, no existe duda de la autenticidad de las partes en el proceso de comunicación.

La Criptograf´ıa de Llave Pública es una herramienta que permite la implementa- ción de servicios de seguridad como autenticación, confidencialidad, integridad de datos y no-repudio. En estas aplicaciones, la llave pública se hace de conocimiento general, pero cuando una parte utiliza la llave pública de la contraparte, no se tiene certeza real de que la llave pertenezca a quien dice ser. Debido a esto, se requiere una sistema el cual contenga el registro de las llaves públicas y sus respectivos propietarios entre otros servicios. Este sistema es conocido en la Internet cómo Infraestructura de Llave Pública (PKI, Public Key Infraestructure) y su principal tarea es permitir la autenti- cación confiable de entidades mediante el uso de Certificados Digitales basados en el estándar X.509. En este contexto, la entidad de confianza es denominada “Autoridad Certificadora” y es el módulo principal de la infraestructura PKI.

Un certificado digital apegado al estándar X.509 contiene la información necesaria para vincular una entidad con su respectiva llave pública. A continuación se muestran algunos campos del certificado X.509.