0:00:00.000,0:00:03.911
1[br]00:00:00,000 --> 00:00:03,911[br]Mi meta para los próximos segmentos es mostrar que si usamos un [br]PRG seguro, podremos

0:00:03.911,0:00:07.892
2[br]00:00:03,911 --> 00:00:07,892[br]obtener una secuencia o flujo seguro. Lo primero que tenemos que hacer [br]es definir cual es el

0:00:07.892,0:00:11.679
3[br]00:00:07,892 --> 00:00:11,679[br]significado de que un flujo de datos sea seguro?[br]Así que cada vez que definimos la seguridad siempre

0:00:11.679,0:00:15.174
4[br]00:00:11,679 --> 00:00:15,174[br]es terminos de żqué es lo que el atacante puede hacer?[br]y żqué es lo que el atacante esta

0:00:15.174,0:00:18.670
5[br]00:00:15,174 --> 00:00:18,670[br]intentando hacer? En el contexto de cifrado de flujo [br]recuerde que estos sólo se utilizan

0:00:18.670,0:00:22.737
6[br]00:00:18,670 --> 00:00:22,737[br]con una llave de una sola vez (onetime key), [br]y como [br]resultado, la mayoria de las veces el atacante solo

0:00:22.737,0:00:26.754
7[br]00:00:22,737 --> 00:00:26,754[br]puede ver el texto cifrado con la llave que [br]estamos utilizando.żY como nos vamos

0:00:26.754,0:00:30.772
8[br]00:00:26,754 --> 00:00:30,772[br]a limitar a los atacantes ? A la capacidad de obtener [br]básicamente un texto cifrado. Y, de hecho,

0:00:30.772,0:00:34.641
9[br]00:00:30,772 --> 00:00:34,641[br]más adelante vamos a permitir que el[br]atacante pueda hacer mucho, mucho, mucho más, pero

0:00:34.641,0:00:38.460
10[br]00:00:34,641 --> 00:00:38,460[br]por ahora sólo vamos a darle un texto cifrado.[br]Y lo que queremos encontrar, ,

0:00:38.460,0:00:42.560
11[br]00:00:38,460 --> 00:00:42,560[br]what does żqué significa que el cifrado sea seguro? [br]Así que la primera definición que

0:00:42.560,0:00:46.892
12[br]00:00:42,560 --> 00:00:46,892[br]viene a la mente es básicamente para decir[br][br]bueno tal vez queremos exigir que el atacante no

0:00:46.892,0:00:50.718
13[br]00:00:46,892 --> 00:00:50,718[br]puede realmente recuperar la clave secreta.[br][br]Bueno por lo que dado el texto cifrado el atacante

0:00:50.718,0:00:54.609
14[br]00:00:50,718 --> 00:00:54,609[br]no debe ser capaz de recuperar la clave secreta.

0:00:54.609,0:00:58.717
Pero esa es una definición terrible

0:00:58.717,0:01:02.855
15[br]00:00:54,609 --> 00:00:58,717[br]porque pesa mas en la falla de nuestro genial cifrado[br]pero es la manera como ciframos el

0:01:02.855,0:01:07.427
16[br]00:00:58,717 --> 00:01:02,855[br]mensaje usuando una clave K es como básicamente[br]sale en mensaje. Bueno este es

0:01:07.427,0:01:12.000
17[br]00:01:02,855 --> 00:01:07,427[br]un sistema de cifrado sí brillante, [br]por supuesto [br]no hace nada dado un mensaje que acaba

0:01:12.000,0:01:16.029
18[br]00:01:07,427 --> 00:01:12,000[br]de generar un mensaje con el texto cifrado.

0:01:16.029,0:01:20.493
Esto no es un esquema de cifrado

0:01:20.493,0:01:24.630
19[br]00:01:12,000 --> 00:01:16,029[br]particularmente bueno; Sin embargo, dado el [br]texto [br]cifrado,hace que nuestro desvalido atacante

0:01:24.793,0:01:28.636
20[br]00:01:16,029 --> 00:01:20,493[br]no pueda recuperar la clave, porque él no sabe [br]cuál es la clave.Y así, como resultado

0:01:28.636,0:01:32.317
21[br]00:01:20,493 --> 00:01:24,630[br]esta cifrado que claramente es inseguro,[br]se considera segura bajo este

0:01:32.317,0:01:35.999
22[br]00:01:24,793 --> 00:01:28,636[br]requisito de seguridad. Así que esta [br]definición no será buena. Bueno por lo que si

0:01:35.999,0:01:39.680
23[br]00:01:28,636 --> 00:01:32,317[br]recuperando la clave secreta es el camino equivocado [br]para definir la seguridad. Así que la próxima cosa que

0:01:39.680,0:01:43.518
24[br]00:01:32,317 --> 00:01:35,999[br]puede intentar es básicamente, es decir[br]el atacante no se preocupa por

0:01:43.518,0:01:48.223
25[br]00:01:35,999 --> 00:01:39,680[br]la clave secreta, lo que realmente le importa es el [br]texto plano. So maybe it should be

0:01:48.223,0:01:53.436
26[br]00:01:39,680 --> 00:01:43,518[br]Así que tal vez debería ser difícil para el atacante [br]recuperar el texto completo. Pero incluso eso no funciona porque

0:01:53.436,0:01:58.014
27[br]00:01:43,518 --> 00:01:48,223[br]vamos a pensar en el siguiente el siguiente [br]esquema de cifrado. Así que suponemos

0:01:58.014,0:02:03.100
28[br]00:01:48,223 --> 00:01:53,436[br]que lo que este esquema de encriptación[br]hace es que se necesitan dos mensajes,así que voy a utilizar dos

0:02:03.100,0:02:08.060
29[br]00:01:53,436 --> 00:01:58,014[br]líneas para indicar la concatenación de dos[br]mensajes: linea M0 , Linea M1, de

0:02:08.060,0:02:13.337
30[br]00:01:58,014 --> 00:02:03,100[br]manera que concatenamos M0 y M1. Ahora imagine[br]lo que el sistema hace es realmente hace la salida de

0:02:13.337,0:02:17.478
31[br]00:02:03,100 --> 00:02:08,060[br]M0 en texto plano y concatena con la encripción[br]de M1. Tal vez aunque estemos usando

0:02:17.478,0:02:21.702
32[br]00:02:08,060 --> 00:02:13,337[br]una libreta de una vez (One Time Pad) żsi? [br]Y aquí el atacante va a dar con un

0:02:21.702,0:02:25.872
33[br]00:02:13,337 --> 00:02:17,478[br]texto cifrado. su objetivo sería recuperar los [br]los textos planos. But the

0:02:25.872,0:02:30.043
34[br]00:02:17,478 --> 00:02:21,702[br]Pero el pobre atacante pobres no pueden leer nada porque el[br]texto M1 fue cifrado usado la libreta de una sola vez

0:02:30.043,0:02:34.055
35[br]00:02:21,702 --> 00:02:25,872[br](One Time Pad )de forma que el ataquente no puede[br]recuperar M1 porque nosotros sabemos que el

0:02:34.055,0:02:37.962
36[br]00:02:25,872 --> 00:02:30,043[br]One Time Pad es seguro dato un solo[br]texto cifrado. De acuerdo con esto nosotros

0:02:37.962,0:02:42.185
37[br]00:02:30,043 --> 00:02:34,055[br]habremos de satisfacer la definición pero[br]desafortunamente este no es un esquema[br][br]38[br]00:02:34,055 --> 00:02:37,962[br]de cifrado correcto porque simplemente[br]la mitad del texto no esta cifrado. M0 esta

0:02:42.185,0:02:46.462
39[br]00:02:37,962 --> 00:02:42,185[br]completamente disponible para el atacante[br]aun cuando el no pueda recuperar completamente

0:02:46.462,0:02:50.658
40[br]00:02:42,185 --> 00:02:46,462[br]todo el texto plano, ya que el el capaz de recuperar[br]mucho del texto plano y esto es claramente

0:02:50.658,0:02:54.747
41[br]00:02:46,462 --> 00:02:50,658[br]Inseguro. Por supuesto que nosotros contamos con la[br]solicion y esta es tomada de la

0:02:54.747,0:02:58.835
42[br]00:02:50,658 --> 00:02:54,747[br]definición de Shanos de la seguridad perfecta de la [br]secrecia, donde la idea de Sahnnon es que de

0:02:58.835,0:03:02.818
43[br]00:02:54,747 --> 00:02:58,835[br]facto cuando el atacante intercepta un texto[br]cigrado, el no puede apredender nada acerca de[br][br]44[br]00:02:58,835 --> 00:03:02,818[br]la información contenida en el texto plano. [br]El ni siquiera deberia aprender un poco acerca de

0:03:02.818,0:03:07.221
45[br]00:03:02,818 --> 00:03:07,221[br]texto plano o aún, el no deberia ser capaz de[br]predecir ni un pequeńo bit acerca

0:03:07.221,0:03:11.205
46[br]00:03:07,221 --> 00:03:11,205[br]de [br]de nuestro texto plano, esto es, absolutamente[br]nada acerca de nuestro texto plano

0:03:11.205,0:03:14.926
47[br]00:03:11,205 --> 00:03:14,926[br]Así que vamos a recordar muy brevemente[br]el concepto de Shannon de la secrecia perfeta

0:03:14.926,0:03:19.442
48[br]00:03:14,926 --> 00:03:19,442[br]basicamente el nos dijo que dato un texto[br]cifrado, decimos que el cifrado tiene secrecia

0:03:19.442,0:03:25.069
49[br]00:03:19,442 --> 00:03:25,069[br]perfecta si datos dos mensajes del mismo tamańo[br]se da la circuntancia que la distribución en los[br]it so happens that the distribution

0:03:25.069,0:03:30.167
50[br]00:03:25,069 --> 00:03:30,167[br]textos cifrados es igual. Pero si tomamos una clave [br]aleatoria y miramos en la distribución de[br][br]51[br]00:03:30,167 --> 00:03:34,838[br]los textos cifrados, encontramos que M0 tendrá [br]exactamente la misma distribucion que cuando

0:03:30.167,0:03:34.838
52[br]00:03:34,838 --> 00:03:39,257[br]cifremos M1. La intuciones es que si un observado[br]mira los textos cifrados[br][br]53[br]00:03:39,257 --> 00:03:43,839[br]el no es capaz de hacer nada con la [br]distribución del resultado del cifrado[br][br]54[br]00:03:43,839 --> 00:03:48,203[br]M0 ya que su distribucione es similar a la [br]distribución de encriptar M1. Y como resultado

0:03:34.838,0:03:39.257
55[br]00:03:48,203 --> 00:03:52,513[br]el observador no nos puede decir si es el [br]cifrado de M0 o de M1. Y esto es verdadero para todos

0:03:39.257,0:03:43.839
56[br]00:03:52,513 --> 00:03:56,877[br]los mensajes de la misma longitud y como [br]resultado nuestro pobre atacante no puede conocer

0:03:43.839,0:03:48.203
57[br]00:03:56,877 --> 00:04:01,212[br]que mensaje fue encriptado. Por supuesto nosotros no[br]Por supuesto, ya hemos dicho que esta definición es demasiado

0:03:48.203,0:03:52.513
58[br]00:04:01,212 --> 00:04:05,400[br]fuerte en el sentido de que requiere que las claves de cifrado [br]realmente largas, si el cifrado fue corto

0:03:52.513,0:03:56.877
59[br]00:04:05,400 --> 00:04:09,535[br]las claves posiblemente no puedan satisfacer esta definición[br]en un flujo de cifrado particular

0:03:56.877,0:04:01.212
60[br]00:04:09,535 --> 00:04:14,328[br]Bueno, vamos a intentar debilitar[br]la definicion en un pequeńo bit

0:04:01.212,0:04:05.400
61[br]00:04:14,328 --> 00:04:19,114[br]y pensar en lo que se vio en el segmento anterior[br]y nosotros vamos a decir que en lugar de requerir

0:04:05.400,0:04:09.535
62[br]00:04:19,114 --> 00:04:23,841[br]de dos distribuciones que sean absolutamente[br]identicas que es lo que nosotros podemos requerir, esto es[br][br]63[br]00:04:23,841 --> 00:04:28,686[br]que las dos distribuciones sean computacionalmente[br]indistinguibles. En otras palabras, que un pobre atacante[br][br]64[br]00:04:28,863 --> 00:04:33,353[br]no pueda distinguir entre las dos distribuciones[br]aun cuando estas sean

0:04:09.535,0:04:14.328
65[br]00:04:33,353 --> 00:04:37,815[br]muy, muy, pero muy diferentes.[br]Si entregamos una muestra de

0:04:14.328,0:04:19.114
66[br]00:04:37,815 --> 00:04:42,580[br]una distribucion y un ejemplo de otra [br]distribucion, el atacante no podrá decirnos que

0:04:19.114,0:04:23.841
67[br]00:04:42,580 --> 00:04:47,120[br]distribución corresponde a cada ejemplo dado.[br]Resulta que esta definicipin es actualmente[br][br]68[br]00:04:47,120 --> 00:04:51,716[br]considerada correcta, pero aun aspi es considerada[br]un poco demasiado fuerte,ya que todavía no puede satisfacer

0:04:23.841,0:04:28.686
69[br]00:04:51,716 --> 00:04:56,200[br]ańadir uno o mas restricciones y[br]y es que en lugar de decir que esta

0:04:28.863,0:04:33.353
70[br]00:04:56,200 --> 00:05:00,797[br]definicion deberia ser posible para todas las M0 y M1.[br]Se trata de mantener por pares sólo M0 M1

0:04:33.353,0:04:37.815
71[br]00:05:00,797 --> 00:05:05,208[br]que los atacantes puedan actualmente exhibir.[br]Bueno por lo que este hecho

0:04:37.815,0:04:42.580
72[br]00:05:05,208 --> 00:05:10,038[br]nos lleva a la definición de la semántica[br]de la seguridad.Y así, una vez más se trata de semántica

0:04:42.580,0:04:47.120
73[br]00:05:10,038 --> 00:05:15,050[br]segura para claves de una sola vez, en otras palbras[br]cuando el atacante solo obtuvo un solo texto

0:04:47.120,0:04:51.716
74[br]00:05:15,050 --> 00:05:19,819[br]cibrado. Y así, la forma en que definimos la semántica[br]de la seguridad es definiendo dos experimentos,

0:04:51.716,0:04:56.200
75[br]00:05:19,819 --> 00:05:24,562[br]Bueno, nosotros definieremos el experimento 0 y[br]el experimento 1. Y mas generalmente nosotros habremos[br][br]76[br]00:05:24,562 --> 00:05:29,230[br]de pensaar de etos esperimentos como B parentesis.[br]donde B puede ser cero o uno. Esto esta bien si[br][br]77[br]00:05:29,230 --> 00:05:32,890[br]la realización de estos experimentos es realizada como [br]sigue, nosotros tenemos un adversario que esta intentando

0:04:56.200,0:05:00.797
78[br]00:05:32,890 --> 00:05:37,161[br]romper el sistema. Un adversario A, que [br]es el análogo de realizar[br][br]79[br]00:05:37,161 --> 00:05:41,279[br]las pruebas estadisticas en el mundo de los pseudo [br]generadores aleatorios. Y entonces cuando el adversario hace

0:05:00.797,0:05:05.208
80[br]00:05:41,279 --> 00:05:45,093[br]lo siguiente, o realmente tenemos dos adversarios,[br]pero los adversarios son similares

0:05:05.208,0:05:10.038
81[br]00:05:45,093 --> 00:05:49,414[br]que nosotros podemos describirlos como un [br]solo adversario que en un cado toma

0:05:10.038,0:05:15.050
82[br]00:05:49,414 --> 00:05:53,634[br]la entradas de bit establecidas a cero y en[br]en otros casos toma estas entradas extablecidas

0:05:15.050,0:05:19.819
83[br]00:05:53,634 --> 00:05:57,193[br]a uno. Y ahora permitamen mostrar lo que estos[br]adversarios hacen. La primera cosa que el

0:05:19.819,0:05:24.562
84[br]00:05:57,193 --> 00:06:01,349[br]adversario va a realizar es probar una clave[br]aleatioria y entonces el adversario

0:05:24.562,0:05:29.230
85[br]00:06:01,349 --> 00:06:06,076[br]basicamente va la salida tomada de los dos mensajes[br]M0 y M1. Bueno, esto es en un par de mensajes

0:05:29.230,0:05:32.890
86[br]00:06:06,076 --> 00:06:11,039[br]explitos que el atacante quiere desafiar y es[br]usual que nosotros no intentamos

0:05:32.890,0:05:37.161
87[br]00:06:11,039 --> 00:06:15,766[br]esconder la longitud de los mensajes,[br]nosotros requerimos que el mensaje sea de igual

0:05:37.161,0:05:41.279
88[br]00:06:15,766 --> 00:06:21,643[br]longitud. Y entonces el adversario basicamente[br]habra de obtener la salida del cifrado de M0

0:05:41.279,0:05:45.093
89[br]00:06:21,643 --> 00:06:25,890[br]o el cifrado de M!. Bueno, de hecho en el [br]experimento 0, el adversario habra de tomar la salida[br][br]90[br]00:06:25,890 --> 00:06:30,301[br]del cifrado de M0. En el experimento 1 el adversario[br]tomara la salida del cifrado de

0:05:45.093,0:05:49.414
91[br]00:06:30,301 --> 00:06:34,385[br]M1. Bueno, esta es la diferencia entre los experimentos.