PDF de programación - Capítulo 16 Autenticación y Firma Digital

Libro Electrónico de Seguridad Informática y Criptografía v4.1

Capítulo 16

Autenticación y Firma Digital

Seguridad Informática y Criptografía

Ultima actualización del archivo: 01/03/06
Este archivo tiene: 63 diapositivas

v 4.1

Material Docente de
Libre Distribución

Dr. Jorge Ramió Aguirre
Universidad Politécnica de Madrid

Este archivo forma parte de un curso completo sobre Seguridad Informática y Criptografía. Se autoriza el uso,
reproducción en computador y su impresión en papel, sólo con fines docentes y/o personales, respetando los
créditos del autor. Queda prohibida su comercialización, excepto la edición en venta en el Departamento de
Publicaciones de la Escuela Universitaria de Informática de la Universidad Politécnica de Madrid, España.

Curso de Seguridad Informática y Criptografía © JRA

Capítulo 16: Autenticación y Firma Digital

Página 745

¿Interesa confidencialidad o integridad?

• Confidencialidad

• Para lograrla se cifra el mensaje M, número N o
clave K obteniendo un criptograma.

• Integridad

• Para lograrla se firma un hash del mensaje h(M),
añadiendo una marca al mensaje o criptograma.

Si bien en ciertos escenarios es muy importante
mantener el secreto de la información, siempre que
ésta lo requiera, en muchos casos tiene quizás más
trascendencia el poder certificar la autenticidad
entre cliente y servidor como ocurre en Internet.

© Jorge Ramió Aguirre Madrid (España) 2006

Capítulo 16: Autenticación y Firma Digital

Libro Electrónico de Seguridad Informática y Criptografía v4.1

Capítulo 16: Autenticación y Firma Digital

Página 746

Algunos problemas de integridad

a) Autenticidad del emisor
¿Cómo comprueba Benito (B) que el mensaje recibido del emisor
que dice ser Adela (A) es efectivamente de esa persona?

b) Integridad del mensaje
¿Cómo comprueba Benito (B) que el mensaje recibido del emisor
Adela (A) es el auténtico y no un mensaje falso?

c) Actualidad del mensaje
¿Cómo comprueba Benito (B) que el mensaje recibido del emisor
Adela (A) es actual, no un mensaje de fecha anterior reenviado?

© Jorge Ramió Aguirre Madrid (España) 2006

Capítulo 16: Autenticación y Firma Digital

Página 747

Más problemas de integridad

d) No repudio del emisor
¿Cómo comprueba Benito (B) que el mensaje enviado por el emisor
Adela (A) -y que niega haberlo enviado- efectivamente ha llegado?

e) No repudio del receptor
¿Cómo comprueba Benito (B) que el mensaje enviado al receptor
Adela (A) -y que niega haberlo recibido- efectivamente se envió?

d) Usurpación de identidad del emisor/receptor
¿Cómo comprueba Benito (B) que Adela (A), Carmen (C) u otros
usuarios están enviando mensajes firmados como Benito (B)?

© Jorge Ramió Aguirre Madrid (España) 2006

Capítulo 16: Autenticación y Firma Digital

Libro Electrónico de Seguridad Informática y Criptografía v4.1

Capítulo 16: Autenticación y Firma Digital

Página 748

Primer escenario de integridad

Escenario de desconfianza

1ª Solución. Uso de una
tercera parte de confianza
activa. Un juez tendrá una
clave KA con la que se
comunica con A y una
clave KB con la que se
comunica con B.

Se usará criptografía simétrica

© Jorge Ramió Aguirre Madrid (España) 2006

Si A envía un mensaje M a B:
A cifra M con la clave KA ⇒
EKA(M) y lo envía al juez.
Este comprueba la integridad
de A, lo descifra y envía a B,
cifrado con KB, el mensaje M,
la identidad de A y la firma
EKA(M): EKB{M, A, EKA(M)}.
Ambos confían en el juez y
ante cualquier duda éste puede
comprobar la identidad de A
ante B descifrando EKA(M).

Capítulo 16: Autenticación y Firma Digital

Página 749

Segundo escenario de integridad

Escenario de desconfianza

2ª Solución. Uso de una
tercera parte de confianza
no siempre activa. Esta
parte sólo actúa cuando se
produce un conflicto entre
los interlocutores, quienes
se autentican a través de
ella que les certifica.
Se usará criptografía asimétrica

© Jorge Ramió Aguirre Madrid (España) 2006

En este caso la
figura del juez se
conoce como una
Autoridad de
Certificación

Habrá una aceptación del
sistema de autenticación, tanto
por convencimiento propio de
los usuarios como por su
confianza en los algoritmos.

Capítulo 16: Autenticación y Firma Digital

Libro Electrónico de Seguridad Informática y Criptografía v4.1

Capítulo 16: Autenticación y Firma Digital

Página 750

Funciones y esquemas de autenticación

• Autenticación mediante el cifrado de mensajes con

criptografía simétrica

− La cifra de datos podría servir como autenticación.

• Autenticación con MAC Message Authentication Code o

checksum

− Una función pública y una clave secreta producen un valor

de longitud fija que es válida como autenticador.

• Autenticación mediante funciones hash

− Una función pública reduce el mensaje a una longitud de

valor hash que sirve como autenticador de integridad.

• Autenticación mediante firma digital del mensaje con

criptografía asimétrica

− Una función pública y un par de claves, pública y privada
inversas en un cuerpo, permiten la autenticación completa.

© Jorge Ramió Aguirre Madrid (España) 2006

Capítulo 16: Autenticación y Firma Digital

Página 751

Autenticación con sistemas simétricos

Si la clave de un sistema simétrico es segura, es decir no
está en entredicho, podemos afirmar que, además de la
confidencialidad que nos entrega dicha cifra, se
comprueban también simultáneamente la integridad del
mensaje y autenticidad del emisor, en tanto que sólo el
usuario emisor (en quien se confía por el modelo, tipo de
cifra y en su clave pública) puede generar ese mensaje.

Con los sistemas de cifra simétricos no podremos
realizar una autenticación fácil y completa: emisor y
mensaje. Veremos un procedimiento algo complejo de
autenticación con cifra simétrica como es el caso de
Kerberos y un esquema de firma digital.

© Jorge Ramió Aguirre Madrid (España) 2006

Capítulo 16: Autenticación y Firma Digital

Libro Electrónico de Seguridad Informática y Criptografía v4.1

Capítulo 16: Autenticación y Firma Digital

Página 752

Los problemas de la autenticación simétrica

No obstante, subyacen los problemas característicos de
un criptosistema: ¿cómo asegurar que la clave simétrica
entre emisor y receptor es segura? o lo que es lo mismo,

¿cómo intercambiar claves de forma segura?

El intercambio de claves de forma segura ya hemos visto que
se logra eficientemente sólo a través de sistemas asimétricos.
Las herramientas más usuales para autenticación serán los
códigos de autenticación de mensajes MACs y el sistema
Kerberos con cifras simétricas. Kerberos también permite el
intercambio seguro de una clave de sesión aunque es más
complejo y pesado que el algoritmo de Diffie y Hellman.

© Jorge Ramió Aguirre Madrid (España) 2006

Capítulo 16: Autenticación y Firma Digital

Página 753

Autenticación con MAC o checksum

• Los dos extremos de la comunicación A y B comparten

una única clave secreta que no está en entredicho.

•

• El MAC o checksum será una función que se aplica al

mensaje M junto a una clave secreta K de la forma CK(M).
• A envía el mensaje en claro y el Message Authentication
Code (MAC) o Checksum CK(M) a B.
Integridad: el receptor B puede estar seguro de que nadie
ha modificado el mensaje durante la transmisión pues el
valor CK(M) en destino coincide con el enviado por A.
• Autenticación: como solamente el emisor A y el receptor B
comparten la clave secreta K, se asegura la autenticación
de ambos usuarios. Por lo tanto, la condición a cumplir es
que la clave K debe ser única y segura.

© Jorge Ramió Aguirre Madrid (España) 2006

Capítulo 16: Autenticación y Firma Digital

Libro Electrónico de Seguridad Informática y Criptografía v4.1

Capítulo 16: Autenticación y Firma Digital

Página 754

Message Authentication Code con DES

Se inserta un código al final del mensaje M transmitido en

claro, consistente en la cifra con la clave secreta de los últimos
bytes del texto, por ejemplo 64 bits de DES o bien usando
Triple DES.

En destino, con el mismo algoritmo y la clave secreta, se realiza

la cifra y se comparan estos últimos bloques.

Como la cifra es CBC, encadenamiento de bloques cifrados,
esos bytes cifrados dependen de todo el mensaje por lo que
cualquier modificación será detectada al no coincidir los
resultados del cifrado de M en emisión y recepción.

http://www.faqs.org/rfcs/rfc3537.html



© Jorge Ramió Aguirre Madrid (España) 2006

Capítulo 16: Autenticación y Firma Digital

Página 755

Esquema de autenticación MAC con DES

Mensaje M
M1 M2
emisor

Cifrado del último bloque en modo CBC

...

Mn

receptor
M1 M2

E (K,M)

K

...

Mn

Am

E (K,M) = Am ∈ MR MR: espacio de marcas de autenticación
• La Marca Am son 16, 32 ó 64 bits.
• Es un tamaño muy pequeño y podría

¿Cuáles son las
debilidades de
este modelo?

dar lugar a colisiones: mensajes
distintos con iguales MACs.

© Jorge Ramió Aguirre Madrid (España) 2006

Capítulo 16: Autenticación y Firma Digital

Libro Electrónico de Seguridad Informática y Criptografía v4.1

Capítulo 16: Autenticación y Firma Digital

Página 756

Autenticación con funciones hash HMAC

• Las funciones hash vistas (MD5, SHA-1, etc.) no han sido
diseñadas para la autenticación al carecer de clave secreta.

• No obstante, son interesantes puesto que su velocidad es mayor
que muchos cifradores de bloque, su código fuente es abierto y
sus propiedades y funcionamiento son muy conocidos.

• La RFC 2104 propone el uso de una autenticación en entornos

seguros como SSL mediante una operación MAC en la que
intervenga una función hash: su nombre es HMAC.

• HMAC usa entonces una función hash (MD5, SHA-1, etc.)

como una caja negra, una clave K en lo posible mayor que el
tamaño del hash en bits, una función xor y operaciones de
relleno de bits, tal como se muestra en el siguiente esquema.

©