Definitions and security (16 min)

Edit subtitles

0:00 - 0:04

La semana pasada, aprendimos la teoría numérica
necesaria para la criptografía de clave pública.
0:04 - 0:07

Esta semana vamos a poner a trabajar ese
conocimiento y vamos a construir varios
0:07 - 0:11

esquemas de criptografía de clave pública seguros.
Pero primero es necesario definir qué es
0:11 - 0:15

la criptografía de clave pública y qué significa
que la criptografía de clave pública sea
0:15 - 0:18

segura. Así, permitidme recordaros que en un
esquema de criptografía de clave pública hay un
0:18 - 0:22

algoritmo de encriptación, normalmente denotado
como E, y un algoritmo de
0:22 - 0:25

desencriptado que denotamos como D. En cualquier
caso, aquí el algoritmo de encriptación usa una
0:25 - 0:29

clave pública, mientras que el de desencriptado
usa una clave privada. Este par se denomina
0:29 - 0:34

par de claves. Y la clave pública se utiliza para
encriptar mensajes mientras que la clave privada
0:34 - 0:39

se utiliza para desencriptarlos. Por tanto, en este
caso, un mensaje "m" se encripta usando
0:39 - 0:44

la clave pública y lo que se obtiene de ello es el
texto cifrado, "c". Y, de forma similar,
0:44 - 0:49

el texto cifrado se usa para alimentar el algoritmo de
desencriptado usando la clave privada y lo que
0:49 - 0:54

se obtiene del algoritmo de desencriptado es
el mensaje original, "m". La encripción de clave
0:54 - 0:58

pública tiene muchas aplicaciones. La semana
pasada vimos la aplicación clásica, el
0:58 - 1:02

establecimiento de sesión, esto es, intercambio de
claves. Y por ahora vamos a limitarnos al intercambio de
1:02 - 1:07

claves que sea seguro sólo contra escucha. Y, si
recordáis cómo funciona el protocolo,
1:07 - 1:11

básicamente Alice, lo que ella hará es generar
un par de claves pública y privada.
1:11 - 1:16

Enviará la clave pública a Bob. Bob
generará un valor aleatorio "x", que
1:16 - 1:20

servirá como su secreto compartido y,
entonces, envía "x" encriptada a Alice,
1:20 - 1:25

encriptada con su clave pública [de Alice]. Alice puede
desencriptar, recuperar "x" y ahora ambos
1:25 - 1:30

disponen de este secreto compartido, "x", que
pueden utilizar para comunicarse de forma segura
1:30 - 1:34

entre ellos. El atacante, por supuesto, todo lo que
puede ver es la clave pública, la
1:34 - 1:39

encriptación de "x" con la clave pública, de la cual
no debería poder obtener ninguna
1:39 - 1:44

información sobre "x". Vamos a definir esto
de forma más precisa para entender
1:44 - 1:49

qué significa no ser capaz de averiguar nada
sobre "x". La criptografía pública,
1:49 - 1:53

de hecho, tiene muchas otras aplicaciones.
Por ejemplo, es muy útil en
1:53 - 1:57

aplicaciones no interactivas. Así, pensad en un
sistema de correo electrónico, por ejemplo. Aquí, Bob
1:57 - 2:02

quiere enviar correo a Alice y, cuando Bob
envía el correo, el correo pasa de
2:02 - 2:07

agente de transporte a agente de transporte hasta que
llega a Alice, momento en el que Alice deberá
2:07 - 2:11

desencrciptar. La forma en que el sistema de correo
está implementado está diseñada según una
2:11 - 2:15

configuración no interactiva en la que Bob envía
el correo y entonces Alice se supone que lo
2:15 - 2:19

recibirá. Y Alice no debería tener que comunicarse
con Bob a fin de desencriptar
2:19 - 2:24

el correo. Por tanto, en este caso, a causa de la
falta de interactividad, no existe la oportunidad
2:24 - 2:28

de establecer un secreto compartido entre Alice y
Bob. Por tanto, en este caso, lo que
2:28 - 2:32

ocurrirá es que Bob, básicamente, enviará
el correo encriptado utilizando la clave pública de
2:32 - 2:37

Alice. Del mismo modo que él envía el correo, cualquiera
en el mundo puede enviar el correo encriptado a
2:37 - 2:41

Alice, encriptado usando su clave pública [de Alice].
Cuando Alice recibe este correo, ella utiliza
2:41 - 2:46

su clave privada para desencriptar el texto cifrado y
recuperar el mensaje en texto llano.
2:46 - 2:51

Por supuesto, el inconveniente en un sistema como
éste es que, de hecho, Bob necesita, de algún modo,
2:51 - 2:55

obtener la clave pública de Alice. Así, por ahora, vamos
a asumir, simplemente, que Bob ya dispone
2:55 - 2:58

de la clave pública de Alice, pero más adelante,
cuando hablemos sobre firmas digitales,
2:58 - 3:02

veremos cómo se puede hacer esto de
forma muy eficiente utilizando lo que se
3:02 - 3:07

llama gestión de clave pública y, como ya he
dicho, volveremos a ello más adelante.
3:07 - 3:11

Lo más importante que quiero que recordéis es
que la criptografía de clave pública se
3:11 - 3:15

utiliza para establecer sesiones. Esto es muy
común en la web, donde la criptografía de
3:15 - 3:19

clave pública se utiliza para establecer una clave
segura entre un navegador web y un servidor web.
3:19 - 3:23

Y la criptografía de clave pública también es muy
útil para aplicaciones no interactivas,
3:23 - 3:26

en las que cualquiera en el mundo, de forma
no interactiva, necesita enviar un mensaje
3:26 - 3:31

a Alice, pudiendo encriptar el mensaje usando la
clave pública de Alice y Alice puede desencriptar
3:31 - 3:36

y recuperar el texto llano. Por tanto, permitidme que
os recuerde con algo más de detalle qué
3:36 - 3:40

es un sistema de criptografía de clave pública. Bien,
consiste en tres algoritmos, G, E y D.
3:40 - 3:44

G se denomina algoritmo de generación de
claves. Básicamente lo que hace es
3:44 - 3:49

generar este par de claves, la clave pública y la
clave privada. Tal como se indica aquí, G no usa
3:49 - 3:53

argumentos, pero en la vida real, G realmente usa
un argumento denominado el parámetro
3:53 - 3:57

de seguridad, que especifica el tamaño de las
claves que se generan con este algoritmo de
3:57 - 4:02

generación de claves. Luego está este algoritmo
de encriptación, como es habitual, que usa una
4:02 - 4:06

clave pública y un mensaje y genera un texto
cifrado, y un algoritmo de desencriptado que
4:06 - 4:11

usa la clave privada correspondiente y un
texto cifrado y genera el correspondiente
4:11 - 4:15

mensaje. Como siempre, para [la condición de]
consistencia, diremos que si encriptamos un mensaje
4:15 - 4:19

según una determinada clave pública y luego lo
desencriptamos con la clave privada correspondiente,
4:19 - 4:24

deberemos obtener de nuevo el mensaje original. Ahora,
¿qué significa para un sistema criptográfico de clave pública
4:24 - 4:28

que sea seguro? Voy a empezar definiendo
seguridad contra escucha
4:28 - 4:32

y luego definiremos la seguridad contra
ataques activos. La forma de
4:32 - 4:36

definir seguridad contra escucha es muy
similar a la del caso simétrico que hemos
4:36 - 4:41

visto la semana pasada, así que vamos a pasar
por ello rápidamente, sólo como repaso.
4:41 - 4:45

Básicamente, el juego de ataque se define como
sigue. Definimos estos dos experimentos,
4:45 - 4:49

experimento cero y experimento uno. En
cada experimento el retador generará
4:49 - 4:53

un par de claves pública y privada.
Le dará la clave pública
4:53 - 4:57

al adversario. El adversario emitirá
dos mensajes, m0 y m1 de la misma
4:57 - 5:02

longitud y lo que recibe es la
encripción de m0 o la
5:02 - 5:06

encripción de m1. En el experimento cero
obtiene la encripción de m0. En el experimento
5:06 - 5:11

uno obtiene la encripción de m1. Y entonces el
adversario se supone de debe indicar cuál
5:11 - 5:15

ha recibido, ¿Ha recibido la encripción de
m0 o ha recibido la encripción de m1? Así,
5:15 - 5:20

en este juego, el atacante sólo obtiene un
texto cifrado. Esto corresponde a un ataque
5:20 - 5:24

de escucha en el que se limita a "escuchar"
dicho texto cifrado "c". Y ahora
5:24 - 5:29

su objetivo es determinar si el texto cifrado "c"
es la encripción de m0 o m1. No se
5:29 - 5:34

permite manipular el texto cifrado "c" por ahora.
Y, como es costumbre, diremos que el
5:34 - 5:38

esquema de criptografía de clave pública es
semánticamente seguro si el atacante no puede
5:38 - 5:42

distinguir el experimento cero del experimento
uno. En otras palabras, no puede
5:42 - 5:48

diferenciar si recibió la encripción de m0
o la encripción de m1. Antes de pasar
5:48 - 5:52

a los ataques activos, quiero mencionar una
relación inmediata entre la definición que acabamos
5:52 - 5:56

de ver y la definición de seguridad de
escucha para cifrado simétrico.
5:56 - 6:00

Si lo recordáis, cuando hablamos sobre
seguridad de escucha para cifrado
6:00 - 6:05

simétrico, distinguíamos entre el caso en que la
clave se usaba una vez y el caso en que la
6:05 - 6:09

clave se usaba varias veces. Y, de hecho,
vimos que existe una clara
6:09 - 6:13

separación. Por ejemplo, el cuaderno de un solo
uso es seguro si la clave se usa para encriptar
6:13 - 6:17

un único mensaje, pero es completamente inseguro
si la clave se usa para encriptar múltiples
6:17 - 6:21

mensajes. Y, de hecho, teníamos dos definiciones
diferentes, si os acordáis, teníamos una
6:21 - 6:25

definición para seguridad de un solo uso y una
definición diferente, que era más
6:25 - 6:30

exigente, cuando la clave se usaba varias
veces. La definición que os he mostrado en
6:30 - 6:34

la transparencia anterior es muy similar a la
definición de seguridad de un solo uso para
6:34 - 6:38

cifras simétricas. Y, de hecho, resulta que para
la criptografía de clave pública, si un
6:38 - 6:43

sistema es seguro en el caso de un solo uso de la clave,
en cierto sentido, también es seguro para uso múltiple de
6:43 - 6:48

la clave. En otras palabras, no es necesario
proporcionar explícitamente al atacante la habilidad
6:48 - 6:53

para requerir encripciones de mensajes de su
elección, ya que puede crear encripciones
6:53 - 6:58

por si mismo. Dispone de la clave
pública y, por tanto, puede
6:58 - 7:05

por si mismo encriptar cualquier mensaje que desee.
Como resultado, cualquier par de claves pública y privada
7:05 - 7:09

de algún modo inherentemente se usan para
encriptar varios mensajes ya que el atacante
7:09 - 7:14

podría encriptar muchos, muchos mensajes
de su elección usando la clave
7:14 - 7:19

pública que le hemos proporcionado en el
primer paso. Y así, como resultado, de hecho
7:19 - 7:24

la definición de seguridad para un solo uso es
suficiente para implicar seguridad de varios usos y
7:24 - 7:29

es por ello que nos referimos al concepto como
indistinguibilidad bajo un ataque de
7:29 - 7:34

texto llano escogido. Así, este es sólo un punto menor
para explicar por qué en la configuración de criptografía
7:34 - 7:38

de clave pública no necesitamos una
definición más compleja para aprehender
7:38 - 7:43

la seguridad ante escucha. Ahora que
entendemos la seguridad ante escucha,
7:43 - 7:47

vamos a ver adversarios mas fuertes que pueden
montar ataques activos. Entonces, en
7:47 - 7:52

particular, veamos el ejemplo del correo electronico.
Así, aquí tenemos a nuestro amigo Bob
7:52 - 7:56

que quiere enviar enviar un correo a su amiga
Caroline. Y resulta que Caroline tiene una
7:56 - 8:01

cuenta en Gmail. Y esto funciona básicamente
así, el correo electrónico se envía encriptado al
8:01 - 8:06

servidor de Gmail. El servidor de Gmail desencripta
el correo electrónico, mira quienes son los
8:06 - 8:09

destinatarios y luego, si es que el
destinatario es Caroline,
8:09 - 8:14

reenvia el correo electrónico a Caroline.
Si el destinatario es el atacante, se
8:14 - 8:19

lo reenvia al atacante. Esto es similar a
cómo trabaja realmente Gmail,
8:19 - 8:23

porque el remitente enviaría el correo encriptado
sobre SSL al servidor Gmail,
8:23 - 8:28

el servidor Gmail terminaría [la sesión] SSL y
reenviaría el mensaje a los destinatarios
8:28 - 8:33

apropiados. Ahora supongamos que Bob
encripta el correo usando un sistema que
8:33 - 8:38

permita al adversario manipular el
texto cifrado sin ser detectado. Por
8:38 - 8:42

ejemplo, imaginad que el correo está
encriptado usando el modo contador o
8:42 - 8:47

similar. Entonces, cuando el atacante intercepta
este correo puede cambiar el destinatario
8:47 - 8:51

de forma que ahora el destinatario sea
attacker@gmail.com. Y sabemos que, para el
8:51 - 8:55

modo contador, por ejemplo. esto es muy
fácil de hacer. El atacante sabe que el
8:55 - 9:00

correo está dirigido a Caroline, él está sólo
interesado en el cuerpo del correo. Por tanto, puede
9:00 - 9:04

fácilmente cambiar el destinatario del correo
a attacker@gmail.com y ahora, cuando el servidor
9:04 - 9:08

recibe el correo, lo desencriptará, verá que
el destinatario se supone que es el
9:08 - 9:12

atacante y reenviará el cuerpo del mensaje al
atacante. Ahora el atacante ha podido
9:12 - 9:16

leer el cuerpo del mensaje que
estaba destinado a Caroline. Así,
9:16 - 9:21

este es un ejemplo clásico de ataque activo, y
podéis ver lo que el atacante ha conseguido:
9:21 - 9:26

puede desencriptar cualquier texto cifrado
en el que el destinatario sea "to:attacker",
9:26 - 9:32

esto es, un texto cifrado en el que el texto llano
empiece por "to:attacker". Así, nuestro objetivo es
empiece
9:32 - 9:37

diseñar sistemas de clave pública que sean
seguros incluso si el atacante puede manipular
9:37 - 9:43

el texto cifrado y, posiblemente, desencriptar
algunos textos cifrados. Y, de nuevo, quiero
9:43 - 9:48

enfatizar que aquí el objetivo del atacante es
obtener el cuerpo del mensaje. El atacante
9:48 - 9:52

ya sabía que el correo estaba destinado
a Caroline. Y todo lo que él tenía que hacer
9:52 - 9:57

era cambiar el destinatario. Así, este
ataque mediante manipulación motiva la
9:57 - 10:02

definición de seguridad de texto cifrado escogido.
y, de hecho, esta es la noción estándar de
10:02 - 10:07

seguridad para la criptografía de clave pública. Así,
permitidme explicaros cómo funciona el esquema del
10:07 - 10:12

ataque. Como ya dije, nuestro objetivo es construir
sistemas que sean seguros bajo esta noción tan
10:12 - 10:16

conservadora de encripción. Así, tenemos un
esquema de encripción G, E, D y digamos que
10:16 - 10:20

está definido sobre nuestro espacio de mensajes
y de textos cifrados M, C. Como es habitual, vamos
10:20 - 10:24

a definir dos experimentos, experimento cero y
experimento uno. Así, aquí "b" indica si
10:24 - 10:28

el retador está implementando el
experimento cero el el experimento
10:28 - 10:33

uno. El retador empieza generando una clave
pública y una clave privada y entonces proporciona
10:33 - 10:37

la clave privada al adversario. Ahora el adversario
puede decir "Bien, aquí hay un puñado de
10:37 - 10:42

textos cifrados, por favor desencríptalos por mí." Así
que el adversario envía el texto cifrado
10:42 - 10:46

c1 y obtiene la desencripción del
texto cifrado c1, esto es, m1. Y lo repite
10:46 - 10:51

una y otra vez, de forma que envía el
texto cifrado c2 y obtiene la desencripción,
10:51 - 10:56

que es m2, el texto cifrado c3 y lo obtiene
desencriptado, m3, y así en adelante.
10:56 - 11:00

Finalmente, el adversario dice: "Esta fase
de interrogación ha acabado" y ahora
11:00 - 11:04

remite básicamente dos mensajes de la misma
longitud, m0 y m1, como es habitual, y
11:04 - 11:09

recibe en respuesta el texto cifrado de
desafío, "c", que es la encriptación de m0 o
11:09 - 11:13

la encriptación de m1, dependiendo de si
estamos en el experimento cero o el
11:13 - 11:17

experimento uno. Ahora el adversario puede
continuar enviando solicitudes de texto
11:17 - 11:21

cifrado. Así, puede continuar remitiendo
solicitudes de desencriptado. Así, el remite
11:21 - 11:25

un texto cifrado y recibe el texto desencriptado,
pero, por supuesto, ahora tiene que haver una
11:25 - 11:30

limitación. Si el atacante pudiese solicitar textos
cifrados arbitrarios de su elección,
11:30 - 11:34

por supuesto que podría romper el desafío. Lo
único que tendría que hacer es remitir al
11:34 - 11:39

retador el texto cifrado "c" como una solicitud de
desencriptado y entonces se le diría si en la
11:39 - 11:43

fase de desafío se le ha dado la encriptación
de m0 o la encriptación de m1.
11:43 - 11:47

Como resultado, ponemos la siguiente limitación,
que dice que él puede de hecho enviar cualquier
11:47 - 11:51

texto cifrado de su elección, excepto el texto
cifrado del desafío. Así, el atacante
11:51 - 11:55

podrá solicitar el desencriptado de cualquier
texto cifrado de su elección que no sea el
11:55 - 11:59

texto cifrado del desafío. Y, a pesar de que se le hayan
dado todos esos textos desencriptados, a pesar de todo
11:59 - 12:03

no debería ser capaz de decir si ha
recibido la encriptación de m0 o la
12:03 - 12:09

encriptación de m1. Por tanto, daros cuenta de que
se trata de una definición muy conservadora. Proporciona
12:09 - 12:14

al atacante más poder del que vimos en la
transparencia anterior. En la transparencia anterior,
12:14 - 12:19

el atacante sólo podía desencriptar mensajes
si el texto llano empezada con "to:attacker".
12:19 - 12:24

Aquí, lo que vemos es que el atacante puede
desencriptar cualquier texto cifrado de su elección,
12:24 - 12:30

siempre se que sea distinto del texto cifrado del
desafío, "c". ¿De acuerdo? Y entonces su
12:30 - 12:34

objetivo es decir si el texto cifrado del
desafío es la encriptación de m0 o la
12:34 - 12:38

encriptación de m1. Y, como es habitual, si no
puede hacerlo, en otras palabras, su respuesta
12:38 - 12:42

ante el experimento cero es básicamente la
misma respuesta que en el experimento
12:42 - 12:47

uno, sin ser capaz de diferenciar la
encriptación de m0 de la encriptación de
12:47 - 12:51

m1 a pesar del poder del que disponía,
entonces decimos que el sistema es semánticamente
12:51 - 12:56

seguro frente a ataque de texto cifrado escogido,
seguro CCA. En ocasiones se utiliza este acrónimo,
12:56 - 13:01

el acrónimo de INDistinguible frente a un Ataque
de texto Cifrado esCogido [IND-CCA], pero me voy
13:01 - 13:06

a limitar a llamarlo "seguro CCA". Así, vamos a ver
como esto refleja el ejemplo con el correo electrónico
13:06 - 13:11

que vimos antes. Supongamos que el sistema de
encriptación usado es tal que simplemente dada
13:11 - 13:15

un mensaje encriptado el atacante puede
cambiar el destinatario, digamos, de Alice
13:15 - 13:20

a Charlie. Entonces, así es como él
ganaría el juego CCA. Bien, en el
13:20 - 13:25

primer paso recibe, por supuesto, la clave
pública. Y entonces el atacante lo que hará
13:25 - 13:30

es proporcionar dos mensajes de igual longitud,
esto es, en el primer mensaje el cuerpo contendrá
13:30 - 13:34

un cero. En el segundo mensaje el cuerpo contendrá
un uno. Pero ambos mensajes están dirigidos a
13:34 - 13:40

Alice. Y, en respuesta, él recibirá el
texto cifrado del desafío, "c".
13:40 - 13:45

Bien, así que ahora tenemos nuestro texto
cifrado del desafío, "c". Ahora, lo que hará el
13:45 - 13:50

atacante es utilizar su habilidad para
modificar el destinatario.
13:50 - 13:55

Y devolverá un texto cifrado c' [c prima]
en el que c' es la encriptación del
13:55 - 14:02

mensaje para Charlie con el cuerpo del
desafío, "b". Esto es, si os acordáis, o
14:02 - 14:08

cero o uno. Ahora, como que el
texto llano es diferente, sabemos que
14:08 - 14:12

el texto cifrado debe también ser diferente.
En particular, c' debe ser diferente del
14:12 - 14:17

texto del desafío "c", ¿no es así? Esto es,
c' debe ser diferente de "c". Y como
14:17 - 14:22

consecuencia, el pobre retador ahora tiene
que desencriptar, por definición del juego CCA.
14:22 - 14:26

El retador tiene que desencriptar cualquier texto
crifrado que no sea igual a un texto cifrado enviado
14:26 - 14:31

por el retador. Así, el retador desencripta, le
da al adversario m'. Básicamente proporciona
14:31 - 14:35

al adversario "b". Y ahora el adversario
puede mostrar "b" como resultado del desafío
14:35 - 14:40

y gana el juego con ventaja 1. Así, su
ventaja con este esquema particular
14:40 - 14:45

era uno. Simplemente porque el atacante
era capaz de cambiar el texto cifrado del
14:45 - 14:50

retador de un destinatario a otro, lo
que le permite ganar el juego CCA con
14:50 - 14:55

ventaja uno. Así, como ya dije, [el modelo] de
seguridad de texto cifrado escogido es en
14:55 - 14:59

realidad la noción de seguridad correcta para los
sistemas de criptografía de clave pública. Y este es
14:59 - 15:04

un concepto muy interesante. De algún modo,
aunque el atacante tenga la habilidad para
15:04 - 15:08

desencriptar todo lo que quiera, excepto el
texto cifrado del desafío, no es capaz de
15:08 - 15:12

conocer el texto cifrado del retador. Así, lo que haremos
lo que haremos durante lo que queda de este módulo y,
15:12 - 15:16

de hecho, también el próximo, es construir
sistemas seguros CCA. Se tiene que
15:16 - 15:20

destacar que es posible y voy a
mostraros exactamente cómo
15:20 - 15:24

hacerlo. Y, de hecho, los sistemas
seguros CCA que construiremos
15:24 - 15:29

son los que se utilizan en el mundo real.
Y cada vez que se ha intentado implementar un
15:29 - 15:33

sistema de criptografía de clave pública que no ha
sido seguro CCA, alguien ha encontrado un
15:33 - 15:37

ataque y ha sido capaz de romperlo. Y vamos
a ver algunos ejemplos de esos ataques
15:37 - 15:39

en unos pocos segmentos.

Title:: Definitions and security (16 min)
Video Language:: English

	Pedro Sánchez Alvarez edited Spanish subtitles for Definitions and security (16 min)
	Pedro Sánchez Alvarez edited Spanish subtitles for Definitions and security (16 min)
	Pedro Sánchez Alvarez edited Spanish subtitles for Definitions and security (16 min)
	Pedro Sánchez Alvarez edited Spanish subtitles for Definitions and security (16 min)
	Pedro Sánchez Alvarez edited Spanish subtitles for Definitions and security (16 min)
	Pedro Sánchez Alvarez edited Spanish subtitles for Definitions and security (16 min)
	Pedro Sánchez Alvarez edited Spanish subtitles for Definitions and security (16 min)
	Pedro Sánchez Alvarez edited Spanish subtitles for Definitions and security (16 min)

Show all

Spanish subtitles

Revisions

Revision 10

Pedro Sánchez Alvarez

Definitions and security (16 min)

Revisions

Our website uses cookies

Operating cookies (Required)