Cripto ufv-1 0-linea

Estudio de los criptoanálisis más utilizados en la actualidad

Universidad
Francisco
CRIPTOANÁLISIS MÁS UTILIZADOS EN
Vitoria LA ACTUALIDAD

CONTROL DOCUMENTAL
TÍTULO Criptoanálisis más utilizados en la actualidad
SUBTÍTULO Criptografía y teoría de códigos
ENTIDAD DE DESTINO Universidad Francisco Vitoria
PÁGINAS 24 páginas
PALABRAS 5327 palabras
VERSIÓN 1.0
FECHA DE CREACIÓN martes, 27 de diciembre de 2011
ULTIMA MODIFICACIÓN domingo, 23 de septiembre de 2012
NOMBRE DEL ARCHIVO CRIPTO-UFV-1_0.DOCX
TAMAÑO DEL ARCHIVO 1263859 bytes
HERRAMIENTA DE EDICION Microsoft Word
AUTOR/ES Enrique Sánchez Acosta
RESUMEN DEL DOCUMENTO Estudio de los criptoanálisis más utilizados en la actualidad

Criptografía y teoría de códigos | Enrique Sánchez Acosta

Criptoanálisis más utilizados en la actualidad
Universidad Francisco Vitoria

RESUMEN
Trataremos en este trabajo de analizar el criptoanálisis, en que se basa y como ha ido siempre
ligado a la criptología aunque nada tenga que ver con ella, todas sus técnicas y su lógica son
diferentes.
Veremos en este texto tanto una pequeña introducción como los métodos más utilizados hoy
en día, hasta llegar a las mas recientes investigaciones en criptoanálisis contra algoritmos de
seguridad avanzada como WPA y RSA. Estos utilizados masivamente en transacciones bancarias y
seguridad Wireless, así como en los accesos a los sistemas gubernamentales mas seguros.
No pretendemos en este documento mostrar la forma en que se descifran las claves, ni los
programas que utilizaríamos, sino que sirva como base de una introducción a este mundo del
criptoanálisis, para posteriormente aumentar los conocimientos con otras publicaciones o con el
ejercicio practico de las pocas cosas que aquí se muestran.

Enrique Sánchez Acosta Página 2 de 24


ÍNDICE

Contenido
1. Introducción Al Criptoanálisis........................................................................ 4
1. Clásico .......................................................................................................................... 4
a. El análisis de frecuencias o de sustitución: .................................................................. 5
b. Método KASISKI ......................................................................................................... 8
c. Otros................................................................................................................................. 8
2. Moderno ....................................................................................................................... 9
2. Tipos de Ataques .......................................................................................... 11
1. Activos ....................................................................................................................... 11
3. Pasivos ........................................................................................................................ 12
3. Criptoanálisis según el tipo de criptografía .................................................. 13
1. criptografía simétrica.................................................................................................. 13
a. Criptoanálisis diferencial............................................................................................ 13
b. Criptoanálisis Lineal .................................................................................................. 13
c. Ataque XSL ................................................................................................................... 13
d. Ataque de deslizamiento ............................................................................................ 13
4. criptografía asimétrica ................................................................................................ 14
4. criptoanálisis más utilizados hoy en día ....................................................... 15
1. criptoanálisis aplicados a RSA (Muy utilizado en SSL operaciones por internet) .... 15
a. Ataque al secreto de N por cifrado cíclico ................................................................. 16
b. Ataque a la clave por paradoja cumpleaños ............................................................... 17
5. criptoanálisis a algoritmos WEP y WPA ................................................................... 18
c. WEP ............................................................................................................................... 18
d. WAP y WAP2 ............................................................................................................ 21



1. INTRODUCCIÓN AL CRIPTOANÁLISIS

No podemos comenzar a hablar del criptoanálisis sin tener en cuenta a la criptografía. Es
importante destacar que no son lo mismo, sino ciencias completamente opuestas, pero que no
podrían haber avanzado en la historia ninguna sin la otra.
La criptografía no llego hasta nuestros días por si sola, sino que tuvo una ciencia “aliada”: El
Criptoanálisis. Pongo entre comillas la palabra “aliada”, por que, el criptoanálisis consiste en la
reconstrucción de un mensaje cifrado en texto simple utilizando distintos métodos. Por lo tanto, por
lo que podríamos decir que el criptoanálisis es el arma utilizada por el enemigo para descubrir
nuestro “código” o “clave”. Cuando un método de criptoanálisis permite descifrar un mensaje cifrado
mediante el uso de algún sistema o cripto-sistema, decimos que el algoritmo de cifrado ha sido
decodificado.

1. CLÁSICO

Trataremos de dar una pequeña introducción del criptoanálisis clásico, de sus comienzos y las
primeras técnicas utilizadas para averiguar mensajes secretos. No es importante dentro del texto del
trabajo pero no podríamos continuar sin poner en contexto el futuro del criptoanálisis que vamos a
explicar a continuación.
Aproximadamente ya por el siglo IX, el matemático árabe YusufYaqubibnIshaq al-Sabbah
Al-Kindi escribió un pequeño manuscrito para descifrar mensajes criptográficos

Así comienza una de las técnicas clásicas del criptoanálisis:


a. EL ANÁLISIS DE FRECUENCIAS O DE SUSTITUCIÓN:

Se trata del estudio de las frecuencias de las letras o los grupos de letras en un texto cifrado.
Está basado en el hecho de que, dado un texto, ciertas letras o combinaciones de letras aparecen más
a menudo que otras, existiendo distintas frecuencias para ellas. Es más, existe una distribución
característica de las letras que es prácticamente la misma para la mayoría de ejemplos de ese
lenguaje. Por ejemplo, en el español, las vocales son muy frecuentes, ocupando alrededor del 45%
del texto, siendo la E y la A las que aparecen en más ocasiones, mientras que la frecuencia sumada
de F, Z, J, X, W y K no alcanza el 2%.

Será ya en 1843 cuando Edgar Alan Poe escribirá un relato llamado “El escarabajo de oro”
sobre un mensaje cifrado con la localización de un tesoro.
Poe era un gran aficionado al criptoanálisis y nos lleva a explicar esta técnica de
criptoanálisis clásico en su libro. Vamos a ver un ejemplo de como utilizar esta técnica:

Ejemplo:

Si un atacante intercepta el texto cifrado con un cifrado por sustitución:
YIFQFMZRWQFYVECFMDZPCVMRZWNMDZVEJBTXCDDUMJNDIF
EFMDZCDMQZKCEYFCJMYRNCWJCSZREXCHZUNMXZZUCDRJXY
YSMRTMEYIFZWDYVZVYFZUMRZCRWNZDZJJZWGCHSMRNMDH
NCMFQCHZJMXJZWIEJYUCFWDJNZDIR
Calcula las frecuencias de las letras:


Letra Frecuencia Letra Frecuencia Letra Frecuencia

A 0 J 11 S 3

B 1 K 1 T 2

C 15 L 0 U 5

D 13 M 16 V 5

E 7 N 9 W 8

F 11 O 0 X 6

G 1 P 1 Y 10

H 4 Q 4 Z 20

I 5 R 10

Sabiendo que el original está en inglés, planteamos la hipótesis:

1º hipótesis: dK (Z) = e
2ª hipótesis: dK (C,D,F,J,M,R,Y,N) ⊂ {t,a,o,i,n,s,h,r} ya que las letras C, D, F, J, M, R, Y, N
aparecen al menos 9 veces
3ª hipótesis: A partir de los diagramas, especialmente de la forma –Z o Z– dada la suposición
de que Z representa e, se tiene que los más comunes son DZ & ZW (4); NZ & ZU (3); y
RZ,HZ,XZ,FZ,ZR,ZV,ZC,ZD,ZJ (2). Como ZW aparece 4 veces y WZ ninguna, y además W tiene
baja frecuencia, se supone que dK (W)=d
4ª hipótesis: También de los diagramas, como DZ ocurre 4 veces y ZD ocurre dos,
sospechamos que dK (D)∈ {r,s,t} ya que se corresponde con los diagramas más simétricos
5ª hipótesis: Notamos que ZRW y RZW ocurren ambos cerca del principio, y que RW se
repite luego. Como R tiene alta frecuencia, y nd es un diagrama común en inglés, suponemos que
dK© = n
6ª hipótesis: dK(N) = h porque NZ es un diagrama común y ZN no
Texto parcialmente descifrado:
- - - - - - e nd- - - - - - - - - e - - - - n e dh - - e - - - - - - - - - - --
YIFQFMZRWQFYVECFMDZPCVMRZWNMDZVEJBTXCDDUMJ
h - - - - - - - e - - - - e - - - - - - - - - nh- d - - - en - - - - e- h- - e
NDIFEFMDZCDMQZKCEYFCJMYRNCWJCSZREXCHZUNMXZ
he - - - n - - - - - - n - - - -- - ed - - - e - - - e - - ne –nd h e – e - -
NZUCDRJXYYSMRTMEYIFZWDYVZVYFZUMRZCRWNZDZJJ
- e d - - - - - n h - - - h- - - - - - e - - -- ed - - - - - - - d- - he- - n
XZWGCHSMRNMDHNCMFQCHZJMXJZWIEJYUCFWDJNZDIR

7ª hipótesis: A partir de ne-ndhe suponemos que dK©=a


8ª hipótesis: Considerando ahora la 2ª letra más frecuente, M, tenemos que RNM se descifra
como nh- lo que sugiere que empieza una palabra, por lo que suponemos que dK(M) debería
ser una vocal, luego dK(M) ∈ { i, o }. Como CM es bastante frecuente, y ai es un diagrama
más frecuente que ao, suponemos que dK(M) = i


- - - - - i e nd- - - - - a –i– e – a –i n e d h i– e - -- - - - a- - - i–
h - - - - - i – e a – i – e – a- - - a – i – n ha d- a- en - - a – e- h i– e
NDIFEFMDZCDMQZKCEYFCJMYRNCWJCSZREXCHZUNMX
he – a – n - -- - - in –I - - - - ed - - - e - - - e –I ne an dhe- e - -
-e d – a - - I n h I - - h a i- - - a- e –I - - ed- - - - - a- d- - he - - n

9ª hipótesis: Como o es una vocal frecuente, suponemos que ek(o) ∈{F,J,Y}. Así, como Y es
la más frecuente, suponemos que dK(Y)=o
10ª hipótesis: Como dK(D) ∈ {r,s,t} y el trigrama NMD ocurre 2 veces, se supone que dK(D)
=s, para que NMD se corresponda con his.
11ª hipótesis: El segmento HNCMF podría ser chair, conduciendo a dK(F) = r, dK(H) = c,
dK(J) = t (el último por eliminación).

o – r – riend – ro- - ari s e – a – i n e dhi s e - - t- - - a s s – it
h s – r –ri s e a s i –e – a- ora t i o n ha dta- en - -a c e- h i – e
he– as n t –oo – I n –I– o- re d s o – e – ore –I ne an dhe s e t t
- e d – a c –I n h I s c h a I r - ac e t I– ted- - t o –ard s t hes- n

Ya resulta fácil imaginar lo que falta:

ourfriendfromparisexaminedhisemptyglasswit
hsurpriseasifevaporationhadtakenplacewhile
hewasntlookingipouredsomemorewineandhesett
ledbackinhischairfacetilteduptowardsthesun


Pueden hacerse diversos estudios de este tipo de criptoanálisis en la siguiente dirección:
http://scottbryce.com/cryptograms/

b. MÉTODO KASISKI

Ideado en 1863 para romper el sistema criptográfico Vigenere. Se basa en que ciertas
secuencias de letras aparecen muchas veces en los textos originales, y consecuentemente los textos
cifrados con Vigenere tienen las correspondientes secuencias de letras cifradas también muy
repetidas.
Por tanto, la distancia entre las cadenas más repetidas en el texto cifrado debe ser un múltiplo
de la longitud de la clave K, y un buen candidato a longitud será el producto de los factores más
repetidos en las distancias encontradas.

Por ejemplo:

Texto original: TOBEORNOTTOBE
Clave: NOWNOWNOWNOWN
Texto cifrado: GCXRCNACPGCXR
Los pasos de este tipo de criptoanálisis son:

 Se buscan los poligramas más repetidos y las distancias desde sus puntos de inicio
para cada uno.
 Se sabe que la longitud de la clave divide a todas esas distancias, por lo que también
dividirá a su mcd
 Se calculan los factores de cada distancia y se descubren los factores más repetidos
(candidatos a longitud de clave).
 Se divide el criptograma en filas según cada longitud candidata (empezando por la
mayor) y se compara la distribución de frecuencias de cada columna con la del idioma
usado.

c. OTROS

Existen otros métodos clásicos de criptoanálisis en la historia pero nos veremos con
profundidad, solo saber algunos de ellos como:
 Índice de coincidencia
 Índice mutuo de coincidencia
 Playfair
 Telegrama Zimmermann (Primera guerra mundial)
 Máquina Enigma (Segunda guerra mundial: Un simulador de esta famosa máquina en
http://www.amenigma.com/)Podriamos considerarlo el paso en tre el sistema clásico
al moderno


2. MODERNO

El criptoanálisis moderno comienza por los dispositivos Bombe: era un dispositivo
electromecánico usado por los criptólogos británicos para ayudar a descifrar las señales cifradas por
la máquina alemana Enigma durante la Segunda Guerra Mundial. La Armada y el Ejército de los
Estados Unidos produjeron máquinas con la misma especificación funcional, pero diseñadas de una
manera diferente
La función del Bombe era descubrir algunos de los ajustes diarios de las máquinas Enigma en
las varias redes militares alemanas: específicamente, el conjunto de rotores en uso y sus posiciones
en la máquina; los ajustes de los anillos del alfabeto.

Tomada como un todo, la criptografía moderna se ha vuelto mucho más impenetrable al
criptoanalista que los métodos de pluma y papel del pasado, y parece que en la actualidad llevan
ventaja sobre los métodos del puro criptoanálisis. La única forma que nos queda al criptoanálisis
según David Kahn (Colaborador de la NSA) se basa en 4 puntos fundamentales:

 La intercepción
 La colocación de dispositivos grabadores
 Los ataques de canal lateral
 El criptoanálisis cuántico


Sin embargo creo que aun no ha llegado ese momento tan crítico y aun podemos tener
algunos sistemas modernos de criptoanálisis como son:

 Ataque con sólo texto cifrado disponible: el criptoanalista sólo tiene acceso a una
colección de textos cifrados ó codificados.
 Ataque con texto plano conocido: el atacante tiene un conjunto de
textos cifrados de los que conoce el correspondiente texto plano ó descifrado.
 Ataque con texto plano escogido ("ataque con texto cifrado elegido"): el atacante puede
obtener los textos cifrados (planos) correspondientes a un conjunto arbitrario de textos
planos (cifrados) de su propia elección.
 Ataque adaptativo de texto plano escogido: como un ataque de texto plano escogido, pero
el atacante puede elegir textos planos subsiguientes en base a la información obtenida de
los descifrados anteriormente. Similarmente, existe el ataque adaptativo de texto cifrado
escogido.
 Ataque de clave relacionada: como un ataque de texto plano escogido, pero el atacante
puede obtener texto cifrado utilizando dos claves diferentes.Las claves son desconocidas,
pero la relación entre ambas es conocida;por ejemplo, dos claves que difieren en un bit.



2. TIPOS DE ATAQUES

Para una primera clasificación del criptoanálisis moderno podemos observar como se realiza
el ataque hacia el sistema cifrado. Es lógico pensar entonces que contamos con dos tipos de formas
de actuar del atacante, en este caso el criptoanalista.
Los ataques criptoanalíticos varían en potencia y en su capacidad de amenaza para los
sistemas criptográficos utilizados en el mundo real. Esencialmente, la importancia práctica del ataque
depende de las respuestas dadas a las siguientes preguntas:

 ¿Qué conocimiento y capacidades son necesarios como requisito?
 ¿Cuánta información adicional secreta se deduce del ataque?
 ¿Cuánto esfuerzo se requiere? (es decir, ¿cuál es el grado de complejidad
computacional?)

1. ACTIVOS

El atacante modifica el flujo de datos o crea flujos falsos. Hay muchas técnicas que se usan
en este tipo de ataques.

Ejemplos:

 Suplantación: El atacante trata de suplantar la identidad de la persona que tiene la
autorización, para que el sistema piense que es el y le alguna información sobre la clave
aunque esta este cifrada y poder después descifrarla mediante algún sistema
criptoanalítico.
 Modificación de mensajes: Capturar paquetes para luego ser borrados (droppingattacks),
manipulados, modificados (taggingattack) o reordenados. En muchos sistemas
criptográficos parte de la clave se envía en estos paquetes de forma cifrada. Solamente
tendremos que encontrar estos paquetes y comenzar a trabajar sobre ellos.
 Reactivación: Captura de paquetes y retransmisiones
 Degradación: Técnicas para que el servicio se degrade.



Se trata de uno de los ataques mas utilizados en la actualidad, como veremos mas adelante
con respecto al criptoanálisis utilizado para algoritmos WEP.

3. PASIVOS

Aquí el atacante no altera la comunicación, sólo la escucha o monitoriza, para obtener
información. Por tanto este tipo de ataques suelen usar técnicas de escucha de paquetes (sniffing) y
de análisis de tráfico. Son difíciles de detectar ya que no implican alteración de los datos. Se pueden
prevenir mediante el cifrado de la información.



3. CRIPTOANÁLISIS SEGÚN EL TIPO DE CRIPTOGRAFÍA

1. CRIPTOGRAFÍA SIMÉTRICA

Un cifrado simétrico no es más que un algoritmo de cifrado basado en una función invertible,
tal que tanto el algoritmo como su inverso dependen de un parámetro igual para ambos llamado clave
secreta.
También recibe este nombre aquel algoritmo de cifra que depende de un parámetro diferente
del de su inverso, pero tal que el conocimiento de uno permite, en un tiempo razonable y con unos
recursos limitados, el conocimiento del otro.
Existen diversos tipos de criptoanálisis contra los sistemas criptográficos siméticos:

 Criptoanálisis diferencial
 Criptoanálisis lineal
 Criptoanálisis integral
 Ataque XSL (eXtended Sparse Linearisation)
 Ataque de deslizamiento

a. CRIPTOANÁLISIS DIFERENCIAL

Técnica critoanalítica de tipo estadístico, consistente en cifrar parejas de texto en claro
escogidas con la condición de que su producto o-exclusivo obedezca a un patrón definido
previamente. Los patrones de los correspondientes textos cifrados suministran información con la
que conjeturar la clave criptográfica.
Se aplica en los cifrados de tipo DES, aunque es de destacar que precisamente éste es
relativamente inmune al citado ataque.

b. CRIPTOANÁLISIS LINEAL

Técnica criptoanalítica de tipo estadístico, consistente en operar o-exclusivo dos bits del texto
en claro, hacer lo mismo con otros dos del texto cifrado y volver a operar o-exclusivo los dos bits
obtenidos. Se obtiene un bit que es el resultado de componer con la misma operación dos bits de la
clave. Si se usan textos en claro recopilados y los correspondientes textos cifrados, se pueden
conjeturar los bits de la clave. Cuantos más datos se tengan más fiable será el resultado.
Se aplica a los cifrados tipo DES.

c. ATAQUE XSL

Es un sistema criptoanalítico que utiliza un método por bloques cifrados. Se utiliza
generalmente contra algoritmos de tipo AES.

d. ATAQUE DE DESLIZAMIENTO



Ataque a algoritmos de cifra que utilizan varios ciclos similares de cifrado elemental. El
ataque busca debilidades en la generación de sub-claves para cada ciclo.

4. CRIPTOGRAFÍA ASIMÉTRICA

La criptografía asimétrica (también llamada criptografía de clave pública) es una criptografía
que se basa en utilizar dos claves: una privada y una pública. Estas cifras invariablemente emplean
en problemas matemáticos "duros" como base para su seguridad, así que un punto obvio de ataque es
desarrollar métodos para resolver el problema. La seguridad de una criptografía de dos claves
depende de cuestiones matemáticas de una manera que no se aplica a la criptografía de clave única, y
recíprocamente conectan el criptoanálisis con la investigación matemática en general de nuevas
maneras.

Otra característica distintiva de los algoritmos asimétricos es que, a diferencia de los ataques
sobre criptosistemas simétricos, cualquier criptoanálisis tiene la oportunidad de usar el conocimiento
obtenido de la clave pública.


Contra este tipo de cifrado necesitaremos unas maquinas especiales para realizar el
criptoanálisis, estos son los ordenadores cuánticos:
De construirse un ordenador cuántico, muchas cosas cambiarían. La computación en paralelo
sería probablemente la norma, y varios aspectos de lacriptografíacambiarían.
Algunos escritores han declarado que ningún cifrado permanecería seguro de estar
disponibles los ordenadores cuánticos, pero seguramente la posibilidad mas real sea que el aumento
en capacidad computacional pueda hacer posibles otros ataques de búsqueda de claves, más allá de la
simple fuerza bruta, contra uno o varios de los algoritmos actualmente inexpugnables. En ausencia
de un método para predecir estos avances, sólo nos queda esperar.

4. CRIPTOANÁLISIS MÁS UTILIZADOS HOY EN DÍA

1. CRIPTOANÁLISIS APLICADOS A RSA (MUY UTILIZADO EN SSL OPERACIONES
POR INTERNET)

Cifrado asimétrico ideado por Rivest, Shamir y Adelman y publicado en 1978. Se basa en
operaciones de potenciación en aritmética modular y su fortaleza radica en la dificultad de factorizar
números extraordinariamente grandes. Es, con gran diferencia, la técnica asimétrica de uso más
generalizado.
Su longitud de clave (pública y privada) es variable, siendo valores usuales: 512, 1024 o 2048
bits.
Frente a otras técnicas asimétricas presenta la ventaja de poderse emplear también en la firma
digital.
Criptosistema de clave pública, diseñado en 1978 que basa su seguridad en la dificultad de
factorizar grandes números. Puede ser usado, tanto para cifrar como para producir firmas digitales.

El algoritmo RSA es el siguiente y nos ayudará a entender el criptoanálisis que hay que
utilizar:

1.- Generación del par de claves


Para generar un par de claves (KP; Kp), en primer lugar se eligen aleatoriamente dos números
primos grandes, p y q (de unas 200 cifras cada uno, por ejemplo). Después se calcula el
producto n = p*q
Escogeremos ahora un número e primo relativo con (p-1) y con (q-1). Este par de números
(e,n) pueden ser conocidos por cualquiera, y constituyen la llamada clave públicae por tanto debe
tener un inverso módulo (p-1)(q-1), al que llamamos d. Por supuesto se cumple que ed ≡ 1 mod((p-
1)(q-1)), que es lo mismo que decir que ed = 1+k (p-1)(q-1) para algún entero k. La clave
privada será el par (d, n). Este número d debe mantenerse secreto y sólo será conocido por el
propietario del par de claves.
2.- Cifrado del mensaje con la clave pública

Hay que hacer notar que con este algoritmo los mensajes que se cifran y descifran son
números enteros de tamaño menor que n, no letras sueltas como en el caso de los cifrados César o
Vigènere.Para obtener el mensaje cifrado C a partir del mensaje en claro M, se realiza la siguiente
operación:

C = Me (mod n)

3.- Descifrado del mensaje con la clave privada

Para recuperar el mensaje original a partir del cifrado se realiza la siguiente operación:

M = Cd (mod n)

Para romper un cifrado RSA, podemos probar varias vías. Aparte de factorizar n, que ya
sabemos que es un problema computacionalmente intratable en un tiempo razonable, podríamos
intentar calcular φ(n) directamente (Si recordamos, la función de Euler φ(n)= (p-1)(q-1), y que en
general, salvo azar improbable, se tendrá que mcd(M,p) = mcd(M,q) = mcd(M,n) = 1. Y por tanto
según el teorema de Euler-Fermat, Mφ(n) ≡ 1 (mod n) ⇒ (M(p-1)(q-1))k ≡ 1 (mod n) [ii]), o probar
por un ataque de fuerza bruta tratando de encontrar la clave privada d, probando sistemáticamente
con cada uno de los números posibles del espacio de claves. Ambos ataques son, para n grandes,
incluso aún más costosos computacionalmente que la propia factorización de n.
Necesitaremos actualmente unos 22.020.985.858.787.784.059 (2e64) años para romper una
clave cifrada con 128 bits.
Sin embargo existen otros tipos de ataques al algoritmo RSA

a. ATAQUE AL SECRETO DE N POR CIFRADO CÍCLICO

Se puede encontrar el número en claro N sin necesidad de conocer d, la clave privada del
receptor.
Como C = Nemod n, realizaremos cifrados sucesivos de los criptogramas Ciresultantes con la
misma clave pública hasta obtener nuevamente el cifrado C original.


Ci= Cei-1mod n (i = 1, 2, ...)con C0= C

Si en el cifrado i-ésimo se encuentra el criptograma C inicial, entonces es obvio que el
cifrado anterior (i-1) será el número buscado. Esto se debe a que RSA es un grupo multiplicativo.
Para evitarlo hay que usar primos seguros de forma que los subgrupos de trabajo sean lo
suficientemente altos.

Un ejemplo significativo:

Sea p = 13, q = 19, n = 247, φ(n) = 216, e = 29 (d = 149, no conocido)
El número a cifrar será M = 123 ⇒ C = 12329mod 247 = 119

i Ci
i=0 C0= 119
i=1 C1= 11929mod 247 = 6
i=2 C2 = 629mod 247 = 93
i=3 C3= 9329mod 247 = 175
i=4 C4= 17529mod 247 = 54
i=5 C5= 5429mod 247 = 123
i=6 C6= 12329mod 247 = 119

El ataque ha prosperado muy rápidamente: como hemos obtenido otra vez el criptograma C =
119, es obvio que el paso anterior con C = 123 se correspondía con el texto en claro. Si usamos
primos seguros, la cantidad de cifrados será mayor y el sistema menos vulnerable.

b. ATAQUE A LA CLAVE POR PARADOJA CUMPLEAÑOS

 Se trata del algoritmo propuesto por Merkle y Hellman en 1981:
 El atacante elige dos números aleatorios distintos i, j dentro del cuerpo de cifra n. Lo
interesante es que elige, además, un mensaje o número N cualquiera.
 Para i = i+1 y para j = j+1 calcula Nimod n y Njmod n.


 Cuando encuentra una coincidencia de igual resultado de cifra para una pareja (i, j), será
capaz de encontrar d.

Un ejemplo para resolver en la siguiente diapositiva: sea p = 7; q = 13, n = p∗q = 91, e = 11,
d = 59. El atacante parte con el número N = 20 y elegirá los valores i = 10 y j = 50. Sólo conoce n =
91 y e = 11.

5. CRIPTOANÁLISIS A ALGORITMOS WEP Y WPA

c. WEP

El protocolo WEP (Wired Equivalent Privacy) nace en 1999 comoparte del estándar IEEE
802.11[1]. Su misión es garantizar la privacidad dela información transmitida por los componentes
de una red WiFi. Encriptar la información que un ordenador envía por el aire a otro es esencial para
impedirque un vecino curioso encuentre interesante nuestro número de tarjeta decrédito, nuestra
contraseña de correo o simplemente decida que usar nuestraconexión a Internet es más adecuado a
sus ocultos propósitos.
La base del WEP está en la operación lógica XOR. El o-exclusivo es una operación binaria
que genera el valor 1 si los dos operandos son diferentes, y 0 si son iguales. Presenta la propiedad
que si aplicamos dos veces el XOR a un valor obtendremos el valor original, es decir (A XOR B)
XOR B = A. P

¿Qué puntos débiles presentaeste modelo aparentemente tan seguro?

Está demostrado matemáticamente la existencia unboquete lógico en la fase KSA del
algoritmo RC4. Trataremos de evitar la complejidad de los cálculos a la hora deexponer un resumen
que muestre losresultados más interesantes, aunque tendremos que recurrir a La Cuenta de la Vieja
en algunos momentos. Sabemos que en cada frame se transmite parte de la semilla de
inicializaciónde RC4 que corresponden con los tresbytes del vector de inicialización (IV), además
sabemos que la informacióncodificada es generalmente un paqueteTCP/IP que poseen tres primeros
bytesconocidos (0xAA:0xAA:0x03). Basándose en esto se aplicalas debilidades encontradas en el
algoritmo RC4 paradeterminar qué vectores IV proporcionaninformación sobre alguno de
estosprimeros bytes conocidos. Estos IVs pueden encontrarse fácilmente y son denominados Weaks
IV. En principio nos concentraremos solamente en el desordenamiento del vector S.

El crackeado de WEP puede ser demostrado con facilidad utilizando herramientas como
Aircrack (creado por el investigador francés en temas de seguridad, Christophe Devine). Aircrack
contiene tres utilidades principales, usadas en las tres fases del ataque necesario para recuperar la
clave:

• airodump: herramienta de sniffing utilizada para descubrir las redes que tienen activado
WEP,
• aireplay: herramienta de inyección para incrementar el tráfico,


• aircrack: crackeador de claves WEP que utiliza los IVs únicos recogidos.

En la actualidad, Aireplay sólo soporta la inyección en algunos chipsets wireless, y el soporte
para la inyección en modo monitor requiere los últimos drivers parcheados. El modo monitor es el
equivalente del modo promiscuo en las redes de cable, que previene el rechazo de paquetes no
destinados al host de monitorización (lo que se hace normalmente en la capa física del stack OSI),
permitiendo que todos los paquetes sean capturados. Con los drivers parcheados, sólo se necesita una
tarjeta wireless para capturar e inyectar tráfico simultáneamente.
La meta principal del ataque es generar tráfico para capturar IVs únicos utilizados entre un
cliente legítimo y el punto de acceso. Algunos datos encriptados son fácilmente reconocibles porque
tienen una longitud fija, una dirección de destino fija, etc.
Una vez se haya localizado la red objetivo, deberíamos empezar a capturar en el canal
correcto para evitar la pérdida de paquetes mientras escaneamos otros canales. Esto produce la
misma respuesta que el comando previo:

# airodump wlan0 WEP000 1


Después, podremos usar la información recogida para inyectar tráfico utilizando aireplay. La
inyección empezará cuando una petición ARP capturada, asociada con el BSSID objetivo aparezca
en la red inalámbrica:

# aireplay -3 -b 00:13:10:1F:9A:72 -h 00:0C:F1:19:77:5C -x 600 wlan0 (...)

Finalmente, aircrack se utiliza para recuperar la clave WEP. Utilizando el fichero pcap se
hace posible lanzar este paso final mientras airodump sigue capturando datos

# aircrack -x -0 WEP000.cap

Este paquete informático tan extendido hoy en día hace posible otros diversos ataques como
son:

 Deautenficación: Este ataque puede ser usado para recuperar un SSID oculto (por
ejemplo, uno que no sea broadcast),
 Desencriptación de paquetes de datos WEP arbitrarios sin conocer la clave: Este
ataque está basado en la herramienta representativa de KoreK, llamada chopchop, que
puede desencriptar paquetes encriptados con WEP sin conocer la clave. El chequeo de
integridad implementado en el protocolo WEP permite que el atacante pueda
modificar tanto un paquete encriptado como su correspondiente CRC.
 Autenticación falsa: Se requiere un cliente legítimo (real o virtual, aunque real sería
mejor), asociado con el punto de acceso para asegurarse de que el punto de acceso no
rechace los paquetes por una dirección de destino no asociada.


Podemos observar por lo tanto que la obtención de la clave WEP no tiene ya ningún misterio,
incluso para alguien no versado en sistemas de criptoanálisis. Por este motivo no tardaron en salir al
mercado dos protocolos nuevos WAP y WPA2.

d. WAP Y WAP2

A continuación explicamos las características de Wi-Fi Protected Access (WPA) versión 1
que fue creado por la Wi-Fi Alliance provisionalmente para ocupar el lugar de WEP, mientras
802.11i era finalizado.

Este protocolo fue implementado para corregir las deficiencias del sistema previo WEP y no
requería un cambio de hardware. En cambio, como veremos más adelante esto no ocurre con WPA
versión 2.
Los datos utilizan el algoritmo RC4 con una clave de 128 bits y un vector de inicialización de
48 bits. Una de las mejoras más sobresalientes sobre su predecesor, WEP, es TKIP (Temporal Key
Integrity Protocol, o Protocolo de integridad de clave temporal).
WPA hace más difícil vulnerar las redes inalámbricas al incrementar los tamaños de las
claves e IVs, reduciendo el número de paquetes enviados con claves relacionadas y añadiendo un
sistema de verificación de mensajes.
La Wi-Fi Alliance lanzó en septiembre de 2004, WPA2, que es la versión certificada de la
especificación completa del estándar IEEE 802.11i, que fue certificado en junio de 2004.
Las principales diferencias entre las dos versiones de WPA las veremos en la tabla mostrada
a continuación:

WPAv1 WPAv2
MODO AUTENTICACIÓN PSK PSK
PERSONAL
CIFRADO TKIP(RC4) / CCMP(AES) /
MIC CBC-MAC
MODO AUTENTICACIÓN 802.1x / EAP 802.1x / EAP
EMPRESARIAL
CIFRADO TKIP (RC4) / CCMP(AES) /
MIC CBC-MAC

Una de las diferencias más destacables entre WPAv1 y WPAv2, es que esta última substituye
el cifrado RC4 por CCMP (Counter Mode with Cipher Block Chaining Message Authentication
Code Protocol ) que utiliza AES (Advanced Encryption Standard).

Así como en el protocolo WEP hemos analizado los posibles caminos por los cuales
vulnerarlo, WPA se considera computacionalmente irrompible .De hecho sólo es vulnerable la
versión WPA-PSK (Pre-Shared Key), que se basa en una clave compartida entre usuario y Access
Point.
Si conseguimos capturar dicho handshake, a partir de las MACs (AP y cliente), del SSID y
de los números aleatorios intercambiados, podemos conseguir el secreto compartido.


Una vez capturado todo lo necesario y sólo a falta de saber la PSK, utilizaremos la fuerza
bruta o el uso de un diccionario para sacar la clave utilizada en el cifrado. La suite aircrack-ng
también nos proporciona la posibilidad de utilizar un diccionario para este fin y poder encontrar las
claves PSK.

Sin embargo aunque hasta ahora pensábamos que solo este tipo PSK podía ser roto aparece
en los últimos años un nuevo sistema de ataque a las WPA creado por Toshihiro Ohigashi y
Masakatu Morii y basado en el ataque de criptoanálisis “Man in the middle” que utiliza unos
mensajes de falsificación para engañar al protocolo, obteniendo la clave en apenas un minuto.



La idea del ataque es utilizar un mensaje de falsificación práctico para cualquier
implementación de WPA. Existía un ataque Beck-Tews (un método chopchop que aunque se puede
usar con WEP, también puede trabajar con WPA) para PSK pero este ataque modificado con el
ataque MITM (Man-In-the-Middle) puede trabajar en cualquier WPA.
El documento completo de la Universidad de Hiroshima se encuentra en:

http://jwis2009.nsysu.edu.tw/location/paper/A%20Practical%20Message%20Falsification%2
0Attack%20on%20WPA.pdf

Solo nos queda que algún día también se consiga hacer el sistema de criptoanálisis para las
WPA2. ¿y por qué no?

“Tres podrían guardar un secreto
si dos de ellos hubieran muerto.”
Benjamin Franklin



BIBLIOGRAFÍA
 A Practical Message Falsication Attackon WPA por Toshihiro Ohigashi y Masakatu Morii
 Criptoanálisis Wep con Zaurus por Alberto Planas
 Seguridad Wi-Fi por Guillaume Lehembre
 http://www.seguridadwireless.net/
 Vulnerabilidades y Ataques al Sistema de Cifra RSA por Jorge Ramiro Aguirre
 GUÍA DE SEGURIDAD DE LAS TIC(CCN-STIC-401) (Centro Criptológico Nacional)
https://www.ccn-cert.cni.es/publico/serieCCN-STIC401/index.html


Cripto ufv-1 0-linea

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (6)

Similar to Cripto ufv-1 0-linea

Similar to Cripto ufv-1 0-linea (20)

Recently uploaded

Recently uploaded (10)

Cripto ufv-1 0-linea