Escolar Documentos
Profissional Documentos
Cultura Documentos
Segurana dos sistemas de chave pblica Esses sistemas so desenhados para resistir a ataques de texto pleno
escolhido, mas podem ser sensveis a ataques por criptograma escolhido.
Portanto, nos sistemas onde a assinatura operao inversa da cifragem, pares
distintos de chaves devem ser usados para estes dois servios.
Dos algoritmos assimtricos at hoje propostos, apenas quatro so seguros
e prticos para ambos servios: RSA, ElGamal, Rabin e ECC. Existe uma
famlia de algoritmos teis apenas para assinatura, e outros pouco prticos por
serem inseguros, muito lentos ou usarem chaves muito longas.
RSA
O mais usado e fcil de implementar dos algoritmos assimtricos, conhecido
pela ligra das iniciais dos descobridores, Rivest, Shamir & Adleman. Resiste a quase
20 anos de anlise, sendo sua robustez baseada na dificuldade (custo computacional)
de se fatorar nmeros inteiros.
Gerao de parmetros e par de
chaves do sistema: {t = tamanho}
p = geraprimo(rand(t))
q = geraprimo(rand(t))
f = (p-1)*(q-1) {p, q, f secretos}
n = p*q; e= rand(t)
e = e / mdc(e,f) [>1] EA = (e,n)
d = euclext(e,f,1)
DA = (d,n)
{decripta bloco}
Anlise do RSA
Premissas sobre a segurana do algoritmo 1. Qualquer dos parmetros p, q e f(n) permite o clculo trivial de d em DA a
partir de EA, devendo portanto serem protegidos (sigilo) juntamente com DA.
2. O ataque mais eficiente (conhecido) ao algoritmo consiste em tentar fatorar n
para se obter f(n) e saber em que anel inverter e (divulgado em EA). Pode-se
tambm tentar adivinhar f(n), mas o custo deste ataque to alto quanto o de
fatorar n, sendo maior ainda o custo de se tentar adivinhar EA-1.
3. Em princpio, poderia existir um mtodo de ataque mais eficiente ao RSA. Porm
Ataques a protocolos que usam o RSA Mtodos conhecidos exploram falhas nos protocolos (no diretamente no
algoritmo), devido exponenciao preservar estruturas multiplicativas:
Criptograma escolhido contra assinatura;
Mdulo comum;
Expoente pequeno para encriptao;
Ordem de operaes de cifra e assinatura.
Ataque por criptograma escolhido contra assinatura Este ataque possvel contra protocolos que assinam a mensagem por
extenso (e no um hash da mesma), e prescinde da conivncia ou negligncia do
agente fraudado em assinar mensagens sem motivo aparente.
Caso 1: Vazamento de mensagem
1: RSA, mesmo par de chaves de cifra e assinatura
2: c
Chaves de A: (e,d), n
2: Recebe m cifrada...
3: y
c = me mod n
5: ..., s
s = yd mod n
Agente I
2: Gera n. randmico r < n ;
Calcula x = r mod n
Calcula y = xc mod n
Solicita assinatura de y,
6: Calcula t =
Desvela m =
x = re mod n r = xd mod n
r-1mod n
ts mod n
d
d d
d
d
ts mod n = r-1y mod n = r-1x c mod n = r-1rc mod n = c mod n = m
Chaves de A: (e,d), n
4: m
6: s
Calcula x = r mod n
Calcula m = xM mod n
Solicita autenticao de m,
5: Reconhece firma de m
s = md mod n
d
d d
(rm) mod n = r m mod n
Agente B
7: Calcula t = r-1mod n
Autenticador de M : ts mod
Ataque em mdulo comum Este ataque possvel se a distribuio de chaves para a cifra que usa o
RSA atribui chaves com o mesmo mdulo a usurios distintos. Qualquer
mensagem encriptada por mais de um usurio pode ser facilmente vazada.
Agentes A, B
2,3: A e B recebem a mesma
mensagem m cifrada...
eA mod n
cA = m
cB = m
eB mod n
Supe mdc(eA,eB)=1
2: A, cA
3: B, cB
Agente I
4: Usa Euclides extendido para calcular
onde xeA + yeB = 1
x,y
Ataque com expoentes pequenos de encriptao Encriptao/verificao de assinatura no RSA mais rpido quanto menor
for a chave pblica. Porm, esse tipo de ataque, que usa o algoritmo PolighHellman para fatorar n, torna-se possvel com a encriptao de e(e+1)/2
mensagens linearmente independentes, possivelmente eficiente com e pequeno.
Concluso: gerar exponente de chave pblica pequeno s deve ocorrer para par
de chaves destinados apenas para assinatura digital.
Ataque com assinatura sobre mensagem encriptada As operaes de assinatura e encriptao devem ser executadas nessa
ordem, para evitar fraudes decorrentes deste tipo de ataque, onde nem mesmo o
uso de funo de hash para assinatura pode evitar:
Chaves de A: (eA,dA), nA
2: m cifrada para B...
2: B, eB
c = meB mod nB
4: u
u = cdA mod n
6: B,eB
Agente B
5: Verifica e decripta u; Gera
mensagem expria M;
Calcula x < nB tal que
Mx =
m mod nB;
Se a
Preveno contra ataques conhecidos ao RSA 1. Conhecimento de um par de expoentes (e,d) permite a fatorao do mdulo n.
2. Conhecimento de um par (e,d) permite encontrar outros para mesmo n
Padronizao e patentes O RSA um padro de facto para criptografia assimtrica: Anexo da norma
ISO 9796, draft de uma norma ANSI, padro bancrio na Frana e Austrlia.
No padro nos EUA por problemas de disputa sobre direitos de patente. A
patente, vlida somente nos EUA, expira em 20/9/2000.