Tema 4: Criptografía Moderna - Grupo Alarcos

Tema 4: Criptografía Criptograf a Moderna 

1. Criptosistemas con cifrado en flujo. 

1.1. Cifrado en flujo. 

1.2. Generadores “aleatorios 

aleatorios” de secuencia cifrante. cifrante 

2. Criptosistemas con clave secreta y cifrados simétricos. 

sim tricos. 

2.1. Cifrado en bloque. 

2.2. Cifrados tipo producto: LUCIFER. 

2.3. El cifrado DES. 

2.4. El cifrado IDEA. 

2.5. El cifrado RC5. 

3. Criptosistemas con clave pública p blica y cifrados asimétricos. 

asim tricos. 

3.1. Criptografía Criptograf a con clave secreta. 

3.2. Principios de los criptosistemas de clave pública. p blica. 

3.3. Cambio de clave de Diffie-Hellman 

Diffie Hellman. 

3.4. El criptosistema RSA. 

3.5. El criptosistema de ElGamal. ElGamal 

1. Criptosistemas con Cifrado en Flujo 

1.1. Cifrado en Flujo (I) 

El cifrado Vernam Vernam verifica las condiciones condiciones de de secreto secreto perfecto perfecto 

(Shannon Shannon). 

Es el único procedimiento de cifrado incondicionalmente seguro. 

Tiene el inconveniente de que requiere un bit de clave por cada bit 

de texto claro. 

Hacer llegar una clave tan grande a emisor y receptor por un canal 

seguro desbordaría la propia capacidad del canal En la práctica 

se utiliza el cifrado en flujo. 

El emisor A, con una clave corta (secreta) y un algoritmo 

determinístico (público) genera una secuencia binaria {Si } cuyos 

elementos se suman módulo 2 con los correspondientes bits de 

texto claro mi , dando lugar a los bits de texto cifrado ci . Esta 

secuencia {ci} es la que se envía a través de un canal público. 

En recepción, B, con la misma clave y el mismo algoritmo genera 

la misma secuencia cifrante, que se suma modulo 2 con la 

secuencia cifrada, dando lugar a los bits de texto claro. 

1 

2 

1


1.1. Cifrado en Flujo (II) 


1.1. Cifrado en Flujo (III) 

El cifrado en flujo es una involución: 

El procedimiento de cifrado y descifrado es el mismo. 

Como la secuencia cifrante se ha obtenido a partir de un algoritmo 

determinístico, el cifrado en flujo ya no considera secuencias 

perfectamente aleatorias, sino solamente pseudo-aleatorias. 

Lo que se pierde en cuanto a seguridad (condiciones condiciones de de Shannon) Shannon 

se gana en viabilidad. 

La única información que han de compartir emisor y receptor es la 

clave secreta, cuya longitud oscila entre 120-150 bits. 

En la actualidad, y en general para todos los cifrados de clave 

privada, lo que se hace es enviar la clave privada al destinatario 

mediante un procedimiento de clave pública (procedimiento más 

costoso, pero válido para textos cortos), y una vez que ambos 

disponen ya de la clave, se procede a aplicar el esquema de cifrado 

en flujo. 

3 

4 

2


1.2. Generadores “aleatorios” de Secuencia Cifrante (I) 

Es difícil evaluar cuando una secuencia binaria es suficientemente 

segura para su utilización en Criptografía. Pero al menos se 

consideran los siguientes criterios: 

11-- Periodo: Periodo 

Es el número de elementos a partir del cual se repite la 

secuencia. 

El periodo ha de ser al menos tan largo como la longitud 

del texto a cifrar. 

En la práctica, periodo del orden de 1038 . 


1.2. Generadores “aleatorios” de Secuencia Cifrante (II) 

22-- Distribucióón Distribuci n de de ceros ceros y y unos: unos 

En una secuencia, diferentes muestras de determinada longitud han 

de estas uniformemente distribuidas a lo largo de toda ella. 

0 

… 01001101001110110010001101010001 … 

1 

Racha: Racha Se denomina racha de longitud k a una sucesión de k dígitos 

iguales entre dos dígitos distintos. 

La función de autocorrelacióónn autocorrelaci AC(k) de una secuencia periódica de 

periodo T se define como AC(k)=(A-D)/T. 

A: número de coincidencias, D: número de no coincidencias con la 

secuencia desplazada cíclicamente k posiciones. 

Si k es múltiplo de T, la correlación está en fase y AC(k)=1. 

Si no, la autocorrelación está fuera de fase: AC(k)∈[-1,1]. 

0 

0 

1 

1 

0 

0 

1 

1 

0 

0 

0 

0 

1 

1 

1 

k No coincidencias Coincidencias 

1 

0 

1 

1 

0 

0 

1 

0 

1 

1 

0 

1 

0 

1 

1 

0 

0 

1 

Secuencia de 3 unos 

0 

1 

0 

0 

1 

0 

1 

1 

0 

0 

1 

0 

0 

0 

1 

1 

0 

1 

0 

0 

5 

6 

3


1.2. Generadores “aleatorios” de Secuencia Cifrante (III) 

Postulados Postulados de de pseudoaleatoriedad pseudoaleatoriedad de de Golomb: Golomb 

G1: En cada periodo de la secuencia, el nº de unos tiene que ser 

aproximadamente igual al número de ceros; la diferencia entre uno y 

otro no debe exceder de la unidad. 

G2: En cada periodo de la secuencia considerada, la mitad de las 

rachas tienen longitud 1, una cuarta parte tiene longitud 2, una 

octava parte tienen longitud 3, etc. Además, para cada longitud de las 

rachas, habrá el mismo número de rachas de ceros que de unos. 

G3: La autocorrelación AC(k) fuera de fase es constante para todo 

valor de k. 

Una secuencia finita que verifique estos postulados tiene las 

propiedades de una secuencia binaria de distribución uniforme. 

G1: Unos y ceros aparecen con la misma probabilidad. 

G2: Los diversos n-gramas ocurren con la probabilidad correcta. 

G3: El cómputo de coincidencias entre un secuencia y su versión 

desplazada no aporta ninguna información sobre el periodo de la 

secuencia, a menos que ésta se desplace sobre sí misma un múltiplo 

de dicho periodo. 


1.2. Generadores “aleatorios” de Secuencia Cifrante (IV) 

33-- Imprevisibilidad: 

Imprevisibilidad 

La secuencia cifrante ha de ser imprevisible. 

Dada una porción de secuencia de cualquier longitud, un 

criptoanalista no podría predecir el siguiente dígito con una 

probabilidad de acierto superior a 1/2. 

44-- Facilidad Facilidad de de implementacióónn: 

implementaci 

La secuencia tiene que ser fácil de generar con medios electrónicos 

para poder ser aplicada en el cifrado/descifrado. 

Aspectos técnicos: Velocidad de generación, coste, tamaño, consumo, 

etc. 

Ejemplo: Ejemplo: Generadores Generadores basados basados en en congruencias congruencias lineales lineales 

Xi+1=(aXi+b)(mod m) 

Xi+1=(5Xi+3)(mod 16) {1, 8, 11, 10, 5, 12, 15, 14, 9, 0, 3, 2, 13, 4, 

7, 6, 1, 8, ….} 

Ahí comienza un nuevo periodo 

7 

8 

4







sim tricos. 







asim tricos. 







2. Criptosistemas con Clave Secreta 

2.1. Cifrado en Bloque (I) 

Es aquel cifrado en el que se cifra el mensaje original agrupando 

los símbolos en grupos (bloques). 

En este apartado (el 2) estudiaremos varios cifrados modernos en 

bloque: 

Cada bloque de símbolos se cifra siempre de igual manera. 

Dos mensajes originales iguales, cifrados con la misma clave, 

producen siempre mensajes cifrados iguales. 

Para descifrar parte de un mensaje no es preciso descifrarlo 

completamente desde el principio. 

Todos los cifrados en bloque se componen de 4 elementos: 

1. Transformación inicial. 

2. Función criptográficamente débil iterada r veces. 

3. Transformación final. 

4. Algoritmo de expansión de clave. 

9 

10 

5


2.1. Cifrado en Bloque (II) 

Bloque en claro 

Clave 

Expansión 

de Clave 

K i 

Transformación 

Inicial 

Función 

Criptográfica 

Transformación 

Final 


2.1. Cifrado en Bloque (III) 

Transformacióón Transformaci n inicial inicial (1): Puede tener una o dos funciones: 

Bloque cifrado 

1. Aleatorización de los datos de entrada (sin significado criptográfico si no 

depende de la clave [DES]). 

Esto hace que desaparezcan bloques con todo ceros o todo unos. 

Sin significado criptográfico no depende de la clave 

2. Dificulta ataques por análisis lineal o diferencial (con significado criptográfico 

[RC5, IDEA]). 

“Vueltas Vueltas intermedias” intermedias (2): 

Función no lineal complicada de los datos y la clave. 

Puede ser unidireccional [DES] o no [IDEA, RC5]. 

Puede estar formada por una sola operación muy compleja o por la sucesión de 

varias transformaciones simples. 

Las vueltas se enlazan por sumas módulo 2 bit a bit con los datos que vienen de 

la transformación inicial o de vueltas anteriores Se posibilita una involución. 

involuci n. 

Involución cuando se puede repetir el proceso pero en orden inverso, obteniendo el 

mismo resultado (para descifrar se aplica el mismo algoritmo que para cifrar) 

Las vueltas intermedias no han de formar grupo 

Varias pasadas no deben equivaler a una 

11 

12 

6


2.1. Cifrado en Bloque (IV) 

Transformacióón Transformaci n final final (3): Sirve para que las operaciones de cifrado 

y descifrado sean simétricas. 

Algoritmo Algoritmo de de expansióón expansi n de de clave clave (4): 

Convierte la clave de usuario (32-256 bits) en un conjunto de 

subclaves constituidas por varios cientos de bits en total. 

Conviene que sea unidireccional, y que el conocimiento de una o 

varias subclaves no permita deducir las claves anteriores o 

posteriores. 

Las subclaves producidas no deben constituir un pequeño 

subconjunto monótono (que se repitan) de todas las posibles. 


2.2. Cifrados tipo Producto: LUCIFER (I) 

Un cifrado tipo producto, según Shannon Shannon (1949), es el que utiliza 

la composición de diferentes funciones de cifrado. 

El resultado de cifrar un mensaje M con t funciones Fi (1≤i≤t) será: 

E(M)=Ft(...F3(F2(F1(M)))...) Fi puede ser sustitución o transposición. 

Se trata de que el resultado final sea lo más aleatorio posible. 

Esta idea de Feistel fue implantada por Notz y Smith en el 

dispositivo Lucifer, Lucifer precursor del DES. 

Se trata simplemente de aplicar varias funciones de manera 

secuencial sobre los datos a cifrar. Para descifrar, se aplicarían las 

inversas en el orden contrario, y se conseguiría obtener el mensaje 

original. 

13 

14 

7


2.2. Cifrados tipo Producto: LUCIFER (II) 

6. La parte baja y alta se 

intercambian, y se realizan 

hasta 16 vueltas de este 

tipo, dando lugar al bloque 

cifrado 


2.3. DES – Data Encryption Standard (I) 

1. El bloque de datos a 

cifrar de 128 bits se divide 

a su entrada en dos 

partes, la alta y la baja 

2. A cada uno de los 8 

octetos de la parte alta se 

los somete a una 

transformación bajo el 

control de un bit 

determinado de la clave 

3. El resultado de dicha 

transformación se suma 

Xor con los 8 restantes de 

la clave 

4. Se realiza una 

transformación a nivel de 

bit sobre los 64 bits 

5. Se suma el resultado 

con los octetos de la parte 

baja del bloque de entrada 

1973: el NBS (National Bureau of Standards, USA) organizó un 

concurso solicitando un algoritmo de cifrado para la protección de 

datos de ordenador en su transmisión y almacenaje. 

1974: IBM presenta una propuesta inspirada en LUCIFER. 

Esta propuesta, modificada, dio lugar al DES. 

La aprobación y modificación de la propuesta se hizo con la 

supervisión de la NSA (National Security Agency). La NSA impuso la 

actual longitud de la clave (modesta y desaconsejable). 

El DES es un algoritmo de cifrado en bloque (64 bits, 8 car. ASCII). 

La longitud de la clave es de 56 bits (7.2*10 

16 

16 claves diferentes). 

La norma exige que el DES se implemente mediante un circuito 

electrónico integrado. 

El chip DES es un producto estratégico USA (no se permite exportar 

sin permiso…). 

1981: el ANSI (American National Standards Institute, USA) adoptó el 

DES como Data Encryption Algorithm (DEA). La norma no exige 

implementación con chip y puede hacerse por software. 

15 

8


2.3. DES (II): Estructura 

Los pasos pasos del del algoritmo algoritmo son los siguientes: 

1. Se hace una permutación inicial fija (sin valor criptográfico). 

2. Se divide el bloque en dos mitades: derecha e izquierda. 

3. Se realiza una operación modular que se repite 16 veces. 

Esta operación consiste en sumar módulo 2 la parte izquierda con una 

función F sobre la parte derecha y gobernada por la clave. 

4. Se intercambian las partes derecha e izquierda. En la vuelta 16 se 

omite el intercambio. 

5. Se remata el algoritmo con una permutación final que es la inversa 

de la inicial. 


2.3. DES (III): Estructura 

17 

18 

9


2.3. DES (IV): Estructura 

1.2. 1. 2.Criptosistemas 

Criptosistemas con Clave Secreta 

2.3. DES (V): Involución 

Para descifrar el DES se repite la 

operación modular. 

Su aplicación repetida dos veces 

conduce a los datos originales. 

No hay que invertir la función F 

sino repetirla. 

Esto permite que dicha 

transformación sea una función 

de un solo sentido, empleando 

operaciones no lineales. 

19 

20 

10


2.3. DES (V): Transformaciones inicial y final 

PI: Permutación inicial fija: 

58 

62 

57 

61 

PI-1: Permutación final fija 

40 

38 

36 

34 

50 

54 

49 

53 

8 

6 

4 

2 

42 

46 

41 

45 

48 

46 

44 

42 

34 

38 

33 

37 

16 

14 

12 

10 

26 

30 

25 

29 

56 

54 

52 

50 

PI-1 es la permutación inversa a PI PI-1(PI(j)) = j 

18 

22 

17 

21 

24 

22 

20 

18 

10 

14 

9 

13 

64 

62 

60 

58 

2 

6 

1 

5 

32 

30 

28 

26 

Ej. El bit segundo del bloque, a través de la permutación PI es colocado en la posición octava, 

y al final del algoritmo, el bit octavo cifrado es colocado, por PI-1 en la posición segunda 

2 Criptosistemas con Clave Secreta 

2.3. DES (VI): Manipulaciones 

La función F es un conjunto de operaciones combinadas. 

Segunda manipulación 

Se suma la expansión 

con la clave 

Los 48 bits se agrupan 

en 8 bloques de 6 bits, 

y cada una pasa a una 

“caja” que genera 4 

bits diferentes 

Última manipulación 

Se realiza una 

permutación de los 32 

bits resultantes 

60 

64 

59 

63 

39 

37 

35 

33 

52 

56 

51 

55 

7 

5 

3 

1 

44 

48 

43 

47 

47 

45 

43 

41 

36 

40 

35 

39 

15 

13 

11 

9 

28 

32 

27 

31 

55 

53 

51 

49 

20 

24 

19 

23 

23 

21 

19 

17 

12 

16 

11 

15 

63 

61 

59 

57 

4 

8 

3 

7 

31 

29 

27 

25 

21 

Primera manipulación 

Expandimos los 32 bits 

de entrada en 48 

(añadimos nuevos bits) 

Se genera la clave 

correspondiente (hay 

una clave de entrada 

que cambiará en cada 

una de las 16 vueltas) 

22 

11


2.3. DES (VII): Manipulaciones 

1. 1. Expansióónn: Expansi La primera manipulación consiste en fabricar un vector 

de 48 bits a partir de los 32 iniciales mediante una expansión 

lineal. 

2. Se combina la clave local de 48 bits con el vector anterior por 

suma suma móódulo m dulo 22 bit a bit. Se obtienen 48 bits que se agrupan en 8 

grupos de 6 bits. 


2.3. DES (VIII): Manipulaciones 

3. 3. SS--Boxes Boxes: Cada grupo entra en una de las 8 funciones denominadas 

cajas S. 

Aportan la no linealidad del DES. 

En cada caja entran 6 bits pero salen 4. 

La sustitución producida no es función lineal de la entrada. 

El bit 1 y 6 indican la fila, los bits centrales indicarán la columna de la 

S-Box. El elemento de cruce indicará los 4 bits de salida. 

Al cambiar un bit de la entrada, cambian, al menos, 2 bits de la salida. 

Los principios para la elección de las cajas S jamás han sido 

revelados, y es información clasificada por el gobierno de los EEUU. 

23 

24 

12


2.3. DES (IX): Manipulaciones 

SS--Boxes Boxes: 

Bj=b1b2b3b4b5b6 b1b6 row 

b2b3b4b5 column 

Ej. La entrada 

101010 en al S-Box 

número 8 

seleccionaría el 

1100 (12), que es 

el elemento de 

cruce entre la fila 

10 (2) y la columna 

0101 (5). 


2.3. DES (X): Manipulaciones 

4. 4. PP--Box Box: Se pasa la información por una permutación lineal fija, 

elegida de tal forma que la difusión de bits sea máxima a lo largo 

del bloque de 32 bits. 

El resultado final de 

esta permutación es el 

resultado de la función 

f en una iteración 

25 

26 

13


2.3. DES (XI): Expansión de claves en el DES 

La clave inicial se reduce de 64 a 56 bits (eliminando el primer bit 

de cada 8). 

Se reordenan los bits restantes (sin significado criptográfico). 

Se generan las 16 subclaves necesarias en las 16 vueltas. 

Cada subclave está compuesta por 48 bits. Durante el descifrado se 

toman en orden inverso al de cifrado. 


2.3. DES (XII): Expansión de claves en el DES 

Para obtener las claves, se dividen los 56 bits de la clave inicial en 

dos mitades de 28 bits. 

Las mitades se rotan (permutan circularmente) a la izquierda 1 o 2 

bits dependiendo de la vuelta. Las vueltas 1, 2, 9 y 16 rotan 1 

posición, y las restantes rotan 2 posiciones. 

Después de las rotaciones se vuelven a unir las mitades, teniendo 

de nuevo 16 grupos de 56 bits. 

Se seleccionan 48 bits de cada grupo para formar las 16 subclaves, 

en lo que se denomina permutación con compresión. 

27 

28 

14


2.3. DES (XIII): Propiedades Fundamentales 

Dependencia Dependencia entre entre síímbolos s mbolos: Cada bit del texto cifrado es una 

función compleja de todos los bits de la clave y todos los bits del 

texto original. 

Cambio Cambio de de los los bits bits de de entrada: entrada Un cambio en un bit produce un 

50% (aprox.) de cambio en el bloque cifrado. 

Cambio Cambio de de los los bits bits de de clave: clave Un cambio en un bit de la clave 

produce un 50% de cambio en el bloque cifrado. 

Claves Claves déébiles d biles: 

Existen 4 claves “débiles” que provocan que todas las claves k1 a k16 sean iguales. 

Existen 28 claves “semidébiles” que producen sólo dos o cuatro 

subclaves parciales diferentes. 

Errores Errores de de transmisióónn: transmisi Los errores se propagan a todo el bloque, 

produciéndose un conjunto de errores después del descifrado de 

64 bits. 


2.3. DES (XIV): Seguridad del DES 

No existe una prueba que garantice que un algoritmo de cifrado 

sea prácticamente indescifrable. 

Existen demostraciones de que hay algoritmos vulnerables. 

El DES es un excelente sistema de cifrado. 

Aunque el espacio de claves es reducido. 

Ataque al DES: 

En 1998 se construyó una máquina masivamente paralela (210000$). 

Prueba todas las claves del DES en 9 días; en 4.5 días encuentra una 

clave. 

El DES Cracker tiene 36864 unidades de prueba de claves, ensayando 

cada una 2.5*106 claves por segundo. En total ensaya 92.16*109 claves por segundo. 

Conclusióónn: Conclusi El DES ya no es seguro. 

¿Sustituto? Triple DES: clave de 112 bits. 

29 

30 

15


2.3. DES (XV): Implementación de Cifrados en Bloque 

Los sistemas de cifrado en bloque operan sobre conjuntos de 

información reducidos (bloques). 

Son adecuados para cifrar pequeños mensajes. 

Son inadecuados para cifrar grandes cantidades de datos. 

Los perfiles se desdibujan pero las siluetas se conservan 


2.3. DES (XVI): Implementación de Cifrados en Bloque 

Se han especificado cuatro modos de operar con DES: 

Libro Electrónico de Códigos (Electronic Code Book - ECB). 

Encadenamiento de Bloques Cifrados (Cipher Block Chaining - 

CBC). 

Realimentación del Texto Cifrado (Cipher Feedback - CFB). 

Realimentación de la salida (Output Feedback - OFB). 

ECB es la forma más obvia de usar el cifrador de bloques: un bloque 

de texto plano se cifra y se obtiene un bloque de texto cifrado. 

Como el mismo bloque de texto plano siempre se cifra 

obteniendo el mismo bloque de texto cifrado, es teóricamente 

posible crear un “libro de códigos” de texto plano y su 

correspondiente texto cifrado. 

Sin embargo, si el bloque es de 64 bits, el número de 

posibles bloques de texto distinto es muy largo. 

En cualquier caso, se puede complicar todavía más la forma de 

utilizar el cifrado en bloque 

31 

32 

16


2.3. DES (XVII): Implementación de Cifrados en Bloque 

Encadenamiento Encadenamiento de de bloques bloques cifrados cifrados –– CBC: CBC 

Proporciona un mecanismo de realimentación al cifrador de bloques 

El resultado del cifrado del bloque anterior alimenta al cifrado del 

siguiente bloque (cada bloque cifrado es usado para cifrar el siguiente) 

Carga inicialmente en el registro de 64 bits un Vector Inicial que no importa 

que sea secreto pero si debe ser aleatorio. 

Convierte al DES en un cifrado en flujo. 

Puede cifrar mensajes iguales de manera diferente con sólo cambiar VI 

(semilla: tiempo). 

No cambia el tamaño del espacio de claves. 

Ci 

= E 

i 

P ⊕ 

K ( Pi 

⊕ C −1 

i = Ci−1 

Dk 

i 


2.3. DES (XVIII): Implementación de Cifrados en Bloque 

) 

( C ) 

Realimentacióón Realimentaci n del del texto texto cifrado cifrado –– CFB CFB (1): (1) 

Con CBC, el cifrado no puede comenzar hasta que se reciba un bloque 

de datos completo. Esto puede ser un problema en ciertas redes en la 

que cuando llega un carácter, éste ha de ser inmediatamente 

transmitido. 

Con CFB, el cifrado de datos se puede hacer con unidades más 

pequeñas que el bloque del DES. CFB puede usar 64 bits o cualquier 

cantidad menor. 

Igual que en CBC, se carga inicialmente en el registro de 64 bits un Vector 

Inicial que no importa que sea secreto pero si debe ser aleatorio. 

Se divide el mensaje en claro en bloques de n bits. 

La operación de suma módulo 2 se hace bit a bit sobre bloques de n bits, 

que pueden variar entre 1 y 64. 

El registro de desplazamiento se desplaza a la izquierda n bits después de 

cada operación de cifrado (circularmente). 

Propiedades: 

Convierte al DES en un cifrado en flujo. 

Puede cifrar mensajes iguales de manera diferente con sólo cambiar VI 

(semilla: tiempo). 

No cambia el tamaño del espacio de claves. 

33 

34 

17


2.3. DES (XIX): Implementación de Cifrados en Bloque 

Realimentacióón Realimentaci n del del texto texto cifrado cifrado –– CFB CFB (2): (2) 


2.3. DES (XX): Implementación de Cifrados en Bloque 

Realimentacióón Realimentaci n de de salida salida –– OFB OFB (1): (1) 

Es exactamente igual que el anterior, pero en lugar de alimentar al 

algoritmo de cifrado DES con parte del texto resultado de sumar el 

bloque de texto en claro con el texto cifrado, se hace solamente con 

parte del texto cifrado (antes de ser sumado con el texto en claro) 

Tiene las mismas propiedades que el modo CFB, pero tiene algunos 

problemas adicionales de seguridad. 

35 

36 

18


2.3. DES (XXII): Cifrado Múltiple 

El único procedimiento para aumentar el espacio de claves de un cifrado en 

bloque es hacer un cifrado múltiple. 

Este principio vale para cualquier cifrado en bloque. 

Aparentemente la seguridad aumenta, pero se puede demostrar que la 

longitud efectiva de la clave en bits es 

l=56*(n/2) bits en lugar de l=56*n 

¿Forma este cifrado un grupo algebraico? Si es así, este cifrado es inútil. 

En el caso del DES se ha demostrado que no forma grupo. 


2.3. DES (XXIII): Cifrado Triple 

Modo de cifrado del DES [Triple DES] (utilizable con otros cifradores 

en bloque) consistente en aplicarlo tres veces. 

No llega a ser un cifrado múltiple, porque no son independientes 

todas las subclaves. 

En el DES la longitud efectiva de clave sería 112 bits. 

37 

38 

19


2.4. IDEA (I) 

El precursor de IDEA fue el PES PES (Proposed Encription Standard), 

propuesto por Lai y Massey en 1990, y que cifra bloques de 64 bits 

con una clave de 128 bits. 

IDEA IDEA (International Data Encription Algorithm) es un algoritmo 

ligeramente mejorado, propuesto por Lai, Massey y Murphy en el 

Eurocrypt’91. 

En IDEA, tanto los datos en claro como los datos cifrados están 

compuestos por bloques de 64 bits, mientras que la clave consta 

de 128 bits. 

El cifrado se basa en el concepto de mezclar operaciones 

aritméticas de grupos algebraicos diferentes. 

El algoritmo consiste en ocho vueltas de cifrado idénticas seguidas 

de una transformación de salida. 

Aunque los métodos de criptoanálisis han mejorado, éste es uno 

de los mejores y más seguros algoritmos de cifrado de bloque 


2.4. IDEA (II) 

Durante el proceso de cifrado se utilizan operaciones de tres 

grupos aritméticos diferentes sobre pares de sub-bloques de 16 

bits: 

Grupo multiplicativo en Z 2^16+1 (⊗) 

Multiplicación módulo 2 16 +1 

Grupo aditivo en Z 2^16 (+) 

Suma módulo 216 

Grupo aditivo en Z 2, de las 16-uplas, bit a bit (⊕) 

Xor 

Estas operaciones son invertibles en sí mismas, pero 

incompatibles entre sí no gozan de la ley distributiva ni 

asociativa, no forman grupo y la sucesión de ellas no puede dar 

lugar a cancelación de operaciones. 

Los 64 bits del bloque de datos se divide en 4 sub-bloques de 16. 

En cada vuelta el bloque de datos de entrada X es dividido en 4 subbloques 

de 16 bits (X1, X2, X3, X4). 

Se realizan 8 vueltas, y cada una emplea una subclave diferente. 

39 

40 

20


2.4. IDEA (III) 

1. Multiplica X1 y la 

primera subclave 

2. Suma X2 y la 

segunda subclave 

3. Suma x3 y la 

tercera subclave 

4. Multiplica X4 y la 

cuarta subclave 

5. Xor el resultado 

entre 1 y 3 

6. Xor del resultado 

de 2 y 4 


2.4. IDEA (IV) 

7. Multiplica el 

resultado de 5 con 

la quinta subclave 

8. Suma el resultado 

de 6 y 7 

9. Multiplica el 

resultado de 8 con 

la sexta subclave 

10. Suma el 

resultado de 7 y 9 

11. Xor del 


12. Xor del 


13. Xor del 


14. Xor del 


Las diferencias diferencias con con el el DES, DES que lo hacen más atractivo, son: 

El espacio de claves es 2 

42 

128 . 

Todas las operaciones son algebraicas, sin cajas S de oscura 

justificación. 

No hay operaciones a nivel de bit, facilitando su programación en alto 

nivel. 

Es más eficiente que los algoritmos de tipo DES, porque a cada vuelta 

se modifican todos los bits del bloque y no solamente la mitad. 

Se pueden utilizar todos los modos de operación definidos para el 

DES. 

La expansión de clave se inicia dividiéndola en 8 subclaves de 16 bits, 

que constituyen los 8 primeros sub-bloques de clave. A continuación 

se rota la clave 25 bits hacia la izquierda y se obtienen los siguientes 

8 sub-bloques de clave, y así sucesivamente. 

El ataque por fuerza bruta resulta impracticable Hay que probar 

1038 claves. 

Los autores han demostrado que IDEA es inmune a ciertos tipos de 

criptoanálisis 

Más seguro 

41 

21


2.5. RC5 (I) 

El RC5 RC5 es un algoritmo de cifrado en bloque simétrico, diseñado 

recientemente por Ronald Rivest. 

Opera con palabras de tamaño variable (w), número de vueltas 

variable (r) y clave secreta de longitud variable (b, en bytes). 

Consta de tres operaciones primitivas: 

Suma módulo 2w (+) 

OR exclusivo bit a bit (⊕) 

Rotación, donde la rotación de x un número y de bits a la izquierda se 

denota por x







sim tricos. 







asim tricos. 







3. Criptosistemas con Clave Pública P blica 

3.1. Criptografía con Clave Secreta (I) 

M: Mensajes; C: Textos cifrados; K: Posibles claves. 

Un Criptosistema Criptosistema de de Clave Clave Secreta Secreta es una familia de pares de 

funciones (Ek ,Dk ) para cada k∈K, definidas como Ek :MC, Dk :CM 

de manera que para m∈M se verifica Dk (Ek (m))=m. 

Para utilizar el criptosistema, A y B se ponen de acuerdo y eligen 

secretamente una clave k∈K. 

Si A envía un mensaje m a B, lo cifra, Ek (m)=c, y envía c a B. 

Para recuperar el mensaje, B descifra c, Dk (c)=m. 

Los pares de funciones (Ek ,Dk ) deben ser “fáciles” de computar 

para los usuarios y deberían ser “difíciles” de computar para un 

escucha que conociera c, pero no conociera ni m ni k. 

45 

46 

23


3.1.Criptografía con Clave Secreta (II) 

Problemas Problemas de de la la Criptografíía Criptograf a de de Clave Clave Secreta: Secreta 

1. Distribución de claves: 

Dos usuarios tienen que seleccionar una clave en secreto. 

Tienen que hacerlo personalmente, o por medio de un canal inseguro. 

2. Manejo de claves: 

En una red de n usuarios, cada pareja tiene que tener su clave secreta, lo 

que hace que se tengan n(n-1)/2 claves. 

3. Sin firma digital: 

Una firma digital es lo análogo a una firma manual o rúbrica, pero en una 

red de comunicaciones. 

En los criptosistemas de clave secreta no hay posibilidad de firmar 

digitalmente los mensajes. 

El receptor de un mensaje no está seguro de que quien dice que le envía el 

mensaje sea realmente quien lo ha hecho. 


3.2.Principios (I) 

Se utilizan dos claves para cada participante: 

Una para el cifrado que es pública E AB. 

Otra para el descifrado que es privada/secreta D AV. 

La que realiza el cifrado es una función unidireccional con trampa. 

En 3.3. se estudia lo que es una función tramposa 

m=D AV (E AB (m)) Un usuario cifra un mensaje con su clave 

pública y otro lo descifra con su clave privada. 

m=E AB (D AV (m)) Cualquier usuario puede cifrar un mensaje con 

su clave privada de descifrado y recuperarlo otro usuario con la 

clave pública del primero Firma electrónica. 

47 

48 

24


3.2.Principios (II) 

Firma Firma electróónica/digital 

electr nica/digital: Propiedad privativa de un individuo o 

proceso que se utiliza para firmar mensajes. La información de la 

firma que se añade al mensaje garantiza la autenticidad del 

remitente. 

Si A envía un mensaje m cifrado a B, la firma de A debe satisfacer: 

B debe ser capaz de validar la firma de A en m. 

Es imposible para cualquiera, incluido B, falsificar la firma. 

Si A niega haber firmado un mensaje recibido por B, debe haber un 

tercero que resuelva la disputa. 

La firma electrónica proporciona la autenticidad del remitente y de 

los datos. 


3.2.Principios (III) 

Diffie y Hellman sugieren que se aplique la complejidad 

computacional al diseño de algoritmos de cifrado. 

Los problemas NP-completos se han considerado excelentes para 

su uso criptográfico. 

Se trata de problemas que no pueden resolverse en un tiempo 

polinómico viajante, coloreado óptimo de grafos, etc. 

La información puede cifrarse mediante las operaciones que 

plantea un problema NP-completo, de forma que criptoanalizar el 

mensaje cifrado requiera resolver el problema NP-completo 

empleado en su forma usual, mientras que disponiendo de la clave 

de descifrado se puede encontrar la solución de una forma 

eficiente y fácil. 

49 

50 

25


3.3.Cambio de Clave de Diffie-Hellman (I) 

Diffie y Hellman describieron un protocolo por medio del que dos 

personas pueden intercambiarse pequeñas informaciones secretas 

por un canal inseguro Cambio Cambio de de Clave Clave de de Diffie Diffie Hellman: Hellman 

A y B seleccionan públicamente un grupo multiplicativo finito G, de 

orden n, y un elemento α∈G. 

A genera un nº aleatorio a, calcula αa en G y lo transmite a B. 

B genera un nº aleatorio b, calcula αb en G y lo transmite a A. 

A recibe αb y calcula (αb ) a en G. 

B recibe αa y calcula (αa ) b en G. 

A y B poseen un elemento común y secreto del grupo G: αab . 

Un escucha podría conocer G, n, α, αa y αb y podría intentar 

calcular el elemento αab , lo que hasta ahora es un problema 

intratable. 

Este problema se conoce como el Problema Problema de de Diffie--Hellman 

Diffie Hellman 

Generalizado Generalizado –– GDHP. GDHP 


3.3.Cambio de Clave de Diffie-Hellman (II) 

Ejemplo: Ejemplo Sea p el nº primo 53. Supongamos G=Z53 con * y sea 

α=2 un generador. 

El protocolo de Diffie-Hellman es el siguiente: 

A elige a=29, calcula αa =229≡45 (mod 53) y envía 45 a B. 

B elige b=19, calcula αb =219≡12 (mod 53) y envía 12 a A. 

A recibe 12 y calcula 12a =1229≡21 (mod 53). 

B recibe 45 y calcula 45b =4519≡21 (mod 53). 

La clave privada o información secreta que comparten A y B es 21. 

Un escucha S conoce Z53 , 2, 45 y 12, pero no puede conocer que la 

información secreta compartida por A y B es 21. 

45 

A B 

12 

Comparten 21 

a=29 b=19 

51 

52 

26


3.4. El Criptosistema RSA (I): Definiciones 

Funcióón Funci n Unidireccional: Unidireccional Es una función invertible, pero de modo 

que es “fácil” calcular f(m)=c y es “difícil” computar f-1 (c)=m. 

Funcióón Funci n Tramposa: Tramposa Una función unidireccional es tramposa si 

puede ser invertida fácilmente cuando se conoce alguna 

información adicional extra. Esa información se conoce como 

trampa. Propiedades: 

Son de la forma y=f(x); son fáciles de calcular en el dominio de f. 

∃ f-1 / x=f-1 (y). 

f(x) y f-1 (y) son computables en sus respectivos dominios. 

Si sólo se conoce f(x)=y es computacionalmente imposible 

determinar f-1 (y) a menos que se disponga de información adicional 

(trampa), que suele corresponder a la clave secreta. 

Si se verifica f(f-1 (x))=x se trata de una permutación unidireccional 

con trampa; esta propiedad permite implantar la firma electrónica e 

implica que el dominio de aplicación sea único. 


3.4. El Criptosistema RSA (II): Definiciones 

Criptosistema Criptosistema de de Clave Clave Púública P blica: Se define como una familia de 

funciones unidireccionales tramposas, {fk }, para cada clave k∈K, 

de modo que la trampa t(k) sea fácil de obtener. Además, para 

cada k∈K se debe poder describir un algoritmo eficiente que 

permita calcular fk , pero de modo que sea intratable la 

determinación de k y t(k). 

53 

54 

27


3.4. El Criptosistema RSA (III): Definiciones 

Para implementar implementar un criptosistema de clave pública, cada usuario 

U elige una clave aleatoria y pública u∈K que permite calcular fu ; 

se la denota como Eu y es su clave pública. La trampa t(u) 

necesaria para invertir fu es su clave privada. 

Si A envía un mensaje a B, lo hará con la clave pública de B, Eb , y 

transmite fb (m)=c. B es el único capaz de invertir fb y recuperar el 

mensaje m: 1 

1 

(c) = f (f (m)) = m 

− 

− 

fb b b 

Hay dos funciones candidatas a ser funciones tramposas: 

Producto de números enteros, cuya inversa es la factorización del 

número obtenido. 

Exponenciación discreta, cuya inversa es el logaritmo discreto. 

Las dos funciones son fáciles de computar, mientras que no lo son sus 

inversas: 

Dado n, es difícil determinar su descomposición en factores primos. 

Dados a y b, es difícil calcular x de modo que a x =b. 


2.4. El Criptosistema RSA (IV): Protocolo 

Criptosistema Criptosistema RSA: RSA Primera realización del modelo de Diffie- 

Hellman, desarrollado por Rivest, Shamir y Adleman. 

El protocolo protocolo que sigue es: 

1. Cada usuario U elige dos primos p y q y calcula n=p·q. U utiliza Zn como grupo, cuyo orden es φ(n)=φ(p·q)=(p-1)·(q-1). Para U es fácil 

calcular este orden porque conoce p y q. 

2. U selecciona un entero positivo e, 1≤e


3.4. El Criptosistema RSA (V): Ejemplo 

Ejemplo Ejemplo 1: 1 Alfabeto inglés (A-Z, 0-25). Se envía un mensaje a B. 

El usuario B elige dos primos: pb=281 y qb=167; calcula 

nb=281·167=46927 y considera el grupo Z46927. El orden es φ(46927)=280·166=46480. B elige el número eb=39423 y comprueba que mcd(39423,46480)=1. 

A continuación determina el inverso de 39423 módulo 46480. Este 

número es db=26767. La clave pública de B es (nb,eb) = 

(46927,39423), mientras que mantiene en secreto los demás valores. 

Para enviar un mensaje a B se debe determinar en primer lugar la 

longitud del mismo. Se tendrá en cuenta que vamos a codificar las 

letras del alfabeto por medio de números en base 26. 

Como el mensaje ha de ser un elemento del grupo, su longitud no 

puede exceder de n=46927. Como 263 =17576


3.4. El Criptosistema RSA (VII): Ejemplo 

Para que B pueda recuperar el mensaje, deberá codificar los datos 

recibidos en base 26: 

BFIC = 1·26 3 + 5·26 2 + 8·26 + 2 = 21166 = c 

Ahora recuperará m calculando: 

m = c db (mod nb ) = 21166 26767 (mod 46927) = 16346 

Se decodifica m y se obtiene el texto original: 

m = 16346 = 24·26 2 + 4·26 + 18 = YES 


3.4. El Criptosistema RSA (VIII): Firma Digital 

Sean A y B usuarios con claves (E AB ,D AV ) y (E BB ,D BV ); E: clave de 

cifrado pública, D: clave de descifrado secreta 

A m 

B 

1. A utiliza D AV para firmar el mensaje: s= D AV(m) 

2. Cifra la firma s con el algoritmo de cifrado público de B: 

E BB (s)= E BB (D AV (m)) 

3. Envía por el medio E BB(s). 

4. B descifra el mensaje recibido con su algoritmo secreto: 

D BV (E BB (s))=s= D AV (m) 

5. Suponiendo que proceda de A aplica el algoritmo público de A: 

E AB (D AV (m))=m 

B no puede modificar mm’ porque tendría que crear s’=D AV (m’) y 

no conoce D AV . Al aplicar la clave pública de A, E AB , y obtener m se 

prueba que el mensaje es auténtico y fue firmado por A. 

59 

60 

30


3.4. El Criptosistema RSA (IX) 

En la práctica, para agilizar las operaciones se suele elegir una 

clave pública pequeña, para que quien desee enviar un mensaje lo 

haga de la forma más rápida posible. 

Es frecuente que muchos usuarios utilicen el mismo exponente 

como su clave pública (los exponentes más comunes son 3 y 

2 16 +1). Esta situación no compromete la seguridad del 

criptosistema y permite que el cifrado de los mensajes sea mucho 

más rápida que el descifrado, así como que la verificación de un 

mensaje sea mucho más rápida que la firma digital del mismo. 


3.4. El Criptosistema RSA (X) 

En la actualidad, el chip más rápido para el RSA tiene una 

velocidad de proceso mayor de 600 kbits/s con un módulo de 512 

bits Puede ejecutar más de 1000 operaciones de la clave 

privada del RSA por segundo. 

En comparación, en software el criptosistema de clave secreta DES 

es como mínimo 100 veces más rápido que el RSA, y en hardware 

DES es entre 1000 y 10000 veces más rápido que RSA. 

A pesar de esta diferencia de ejecución, el criptosistema RSA (y 

otros de clave pública) se utiliza porque permite firmar 

digitalmente los mensajes que se envían. 

61 

62 

31


3.4. El Criptosistema RSA (XI): Utilización del DES 

Dado que el RSA es bastante lento en su ejecución, generalmente 

se utiliza en conjunción con el DES del siguiente modo: A cifra m 

con el DES mediante una clave aleatoria, y a continuación esta 

clave DES utilizada se cifra con el criptosistema RSA. 

Posteriormente, A envía por el canal inseguro la pareja formada 

por el mensaje cifrado mediante DES y la clave de DES cifrada con 

RSA. Este protocolo se conoce como envoltura envoltura digital digital RSA. RSA 

Para recuperar el mensaje recibido, B descifra la clave de DES 

mediante su clave privada del RSA y luego utiliza la clave obtenida 

para descifrar el mensaje m. 

El criptosistema RSA fue patentado en 1983 por Public Key 

Partners (PKP) en Estados Unidos, y la patente no expira hasta el 

año 2000. 


3.4. El Criptosistema RSA (XII): Seguridad 

La seguridad del RSA radica en la dificultad computacional de la 

factorización de grandes números. 

Está probado que no existe un algoritmo para factorizar un 

número de 200 dígitos en un tiempo razonable. 

Aunque tiene un enorme coste computacional, el problema de la 

factorización no es inabordable. 

En 1977 la revista Scientific American retó a sus lectores a 

factorizar un número con 129 dígitos. Durante 17 años el 

problema estuvo sin resolver, sin embargo en 1994 un grupo de 

científicos y matemáticos, usando tiempo de CPU donado por un 

total de 600 voluntarios a través de Internet, consiguieron su 

factorización. La resolución de este problema supone romper una 

clave RSA de 129 dígitos y tuvo un coste de 1000 billones de 

operaciones durante un periodo de 8 meses (5000 MIPS-año). El 

mensaje codificado decía "The magic words are squeamish 

ossifrage" que puede traducirse como "las palabras mágicas son 

delicados quebrantahuesos". 

63 

64 

32


3.5. El Criptosistema de ElGamal (I) 

ElGamal propuso un esquema de clave pública basado en la 

exponenciación discreta sobre el grupo multiplicativo de un 

cuerpo finito Zp . 

Los mensajes son elementos de G y A desea enviar un mensaje m 

a B. El protocolo protocolo es el siguiente: 

Se selecciona un grupo finito G y un elemento α∈G. 

Cada usuario A elige un número aleatorio a, que será su clave 

privada, y calcula αa en G, que será su clave pública. 

Para que A envíe un mensaje m a B, realiza lo siguiente: 

1. Genera un número aleatorio v y calcula αv en G. 

2. A utiliza la clave pública de B, αb , y calcula (αb ) v y m·αbv en G. 

3. A envía la pareja (αv ,m·αbv ) a B. 

Para recuperar el mensaje original: 

1. B calcula (αv ) b en G. 

2. B obtiene m con sólo calcular: (m·αvb ) / αvb 3. Criptosistemas con Clave Pública P blica 

3.5. El Criptosistema de ElGamal (II) 

Por seguridad y eficacia 

seguridad y eficacia, el grupo G y el elemento α deben elegirse 

de modo que se verifique: 

Por eficacia: la operación en G debe ser “fácil” de aplicar. 

Por seguridad: el problema del logaritmo discreto en el subgrupo 

cíclico de G generado por α, debería ser “difícil”. 

Para simplificar el protocolo anterior, puede suponerse que el 

grupo sobre el que se llevan a cabo las operaciones mencionadas 

en el protocolo anterior es el grupo multiplicativo del cuerpo Z p 

Las potencias y productos se efectúan módulo un nº primo p. 

65 

66 

33

4. Ejercicios 

1. Utilizando el cifrado en flujo cifrar el mensaje “LADRILLO” usando 

el código ASCII y utilizando la clave K indicada. 

K = 0110001100000001011110000010100001111110011110011110011001011010 

2. Cifrar con el algoritmo DES el mensaje siguiente X utilizando la 

clave K. 

X = 0101010101010101010101010101010101010101010101010101010101010101 

K = 1111000011110000111100001111000011110000111100001111000011110000 

4. Ejercicios 

3. Alicia y Bernardo utilizan como grupo Z13* y eligen como 

generador del mismo α=4. Determinar que número secreto se 

intercambiarán por el cambio de clave de Diffie-Hellman si Alicia 

elige como número a1eatorio a=5 y Bernardo elige b=2. 

4. Si se utiliza el criptosistema RSA, determinar el criptograma para 

el mensaje m=152167492, teniendo en cuenta que los parámetros 

del destinatario, Bernardo, son: nB=143, eB=7 y dB=103, y los del 

remitente, Alicia, son: nA=161, eA=31 y dA=115. 

5. Bernardo utiliza el criptosistema RSA con la siguiente clave 

pública: (nB,eB)=(2947,179). Determinar el criptograma que debe 

enviar Alicia si e1 mensaje es m=”MANDA DINERO”. Las letras A-Z 

del alfabeto se codifican con 0-25, el punto es el 26 y el espacio en 

blanco es el 27. 

67 

68 

34

4. Ejercicios 

6. Si Alicia tiene como clave pública (nA,eA)=(2773,17), determinar 

el criptograma que corresponde a la respuesta a1 mensaje del 

problema anterior: “NO TENGO”. 

7. Enviar el mensaje m=16 a un amigo que trabaja con el 

criptosistema de ElGamal. Este amigo utiliza los siguientes 

parámetros: el primo es p=23, el generador del grupo Z23* es 

α=5 y su clave pública es 19. 

8. En el criptosistema de ElGamal se considera el número primo 

p=65537 y el grupo Zp* con generador α=5. Enviar a Bernardo, 

cuya clave pública es 23467, un mensaje en el que se indique el 

tipo de moneda a utilizar en determinada transacción, es decir, 

m=”PTA”. 

69 

35

Tema 4: Criptografía Moderna - Grupo Alarcos

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?