CRIPTOGRAFÍA

Un ataque adaptativo de texto cifrado elegido (abreviado como CCA2 ) es una forma interactiva de ataque de texto cifrado elegido en el que un atacante primero envía un número de textos cifrados para descifrar el texto elegido adaptativamente, luego usa los resultados para distinguir un texto cifrado objetivo sin consultar el oráculo en En el texto cifrado de desafío, en un ataque adaptativo, se permite al atacante que se realicen consultas adaptativas una vez que se revela el objetivo (pero la consulta de destino no está permitida). Está extendiendo el ataque de texto cifrado elegido (no adaptativo) indiferente ( CCA1) donde la segunda etapa de consultas adaptativas no está permitida. Charles Rackoffy Dan Simon definió CCA2 y sugirió un sistema basado en la definición no adaptativa de CCA1 y el sistema de Moni Naor y Moti Yung (que fue el primer tratamiento de la inmunidad de ataque de texto cifrado elegida de los sistemas de clave pública).

En ciertas configuraciones prácticas, el objetivo de este ataque es revelar gradualmente información sobre un mensaje cifrado o sobre la clave de descifrado. Para los sistemas de clave pública , los textos cifrados adaptados elegidos generalmente se aplican solo cuando tienen la propiedad de maleabilidad de texto cifrado , es decir, un texto cifrado puede modificarse de formas específicas que tendrán un efecto predecible en el descifrado de ese mensaje.

Ataques prácticos [ editar ]

Los ataques de texto cifrado adaptados elegidos tal vez se consideraron una preocupación teórica, pero no se manifestaron en la práctica hasta 1998, cuando Daniel Bleichenbacher, de los Laboratorios Bell (en ese momento) demostró un ataque práctico contra sistemas que utilizan cifrado RSA en concierto con el PKCS # Función de codificación 1 v1 , que incluye una versión del protocolo Secure Socket Layer (SSL) utilizado por miles de servidores web en ese momento. ^[1]

Los ataques Bleichenbacher, también conocidos como el ataque del millón de mensajes, aprovecharon las fallas dentro de la función PKCS # 1 para revelar gradualmente el contenido de un mensaje cifrado RSA. Hacer esto requiere enviar varios millones de textos cifrados de prueba al dispositivo de descifrado (por ejemplo, un servidor web equipado con SSL). En términos prácticos, esto significa que una clave de sesión SSL puede exponerse en un período de tiempo razonable, quizás un día o menos.

Con ligeras variaciones, esta vulnerabilidad todavía existe en muchos servidores modernos, bajo el nuevo nombre "Return Of Bleichenbacher's Oracle Threat" (ROBOT). ^[2]

Prevención de ataques [ editar ]

Con el fin de prevenir los ataques de adaptación-elegir-texto cifrado, es necesario el uso de un esquema de cifrado o codificación que los límites de texto cifrado maleabilidad y una prueba de seguridad del sistema. Después del desarrollo a nivel teórico y básico de los sistemas seguros CCA, se han propuesto varios sistemas en el modelo de Oracle aleatorio: el estándar más común para el cifrado RSA es el relleno de cifrado asimétrico óptimo (OAEP). A diferencia de esquemas improvisados ​​como el relleno utilizado en las primeras versiones de PKCS # 1, OAEP ha demostrado ser seguro en el modelo de oráculo aleatorio , ^[3] OAEP se incorporó a PKCS # 1 a partir de la versión 2.0 publicada en 1998 como el esquema de codificación ahora recomendado, con el esquema anterior aún compatible pero no recomendado para nuevas aplicaciones. ^[4] Sin embargo, el estándar de oro para la seguridad es mostrar el sistema seguro sin depender de la idealización Random Oracle. ^{[ cita requerida ]}

Modelo matemático [ editar ]

En la criptografía teórica de la complejidad, la seguridad contra ataques adaptativos de texto cifrado elegido se modela comúnmente utilizando indiferenciabilidad de texto cifrado (IND-CCA2).

En criptografía , la ventaja de un adversario es una medida de cuán exitosamente puede atacar un algoritmo criptográfico , al distinguirlo de una versión idealizada de ese tipo de algoritmo. Tenga en cuenta que en este contexto, el " adversario " es en sí mismo un algoritmo y no una persona . Un algoritmo criptográfico se considera seguro si ningún adversario tiene una ventaja no despreciable, sujeto a límites específicos en los recursos computacionales del adversario (ver seguridad concreta ). "Insignificante" generalmente significa "dentro de O (2 ^−p )" donde p es un parámetro de seguridadasociado con el algoritmo. Por ejemplo, p podría ser el número de bits en una clave de cifrado de bloque .

Descripción del concepto [ editar ]

Sea F un oráculo para la función que se está estudiando, y sea G un oráculo para una función idealizada de ese tipo. El adversario A es un algoritmo probabilístico, dado F o G como entrada, y que produce 1 o 0. El trabajo de A es distinguir F de G, basado en hacer consultas al oráculo que se le da. Decimos: $${\ displaystyle Adv (A) = | \ Pr [A (F) = 1] - \ Pr [A (G) = 1] |}

Ejemplos [ editar ]

Sea F una instancia aleatoria del cifrado de bloque DES . Este cifrado tiene bloques de 64 bits y una clave de 56 bits. Por lo tanto, la clave selecciona uno de una familia de 2 ⁵⁶ permutaciones en los 2 ⁶⁴ posibles bloques de 64 bits. Una "instancia aleatoria de DES" significa que nuestro oráculo F calcula DES usando alguna clave K (que el adversario desconoce) donde K se selecciona de las 2 ⁵⁶ claves posibles con la misma probabilidad.

¡Queremos comparar la instancia DES con un cifrado de bloque idealizado de 64 bits, lo que significa una permutación seleccionada al azar de (2 ⁶⁴ ) ! posibles permutaciones en bloques de 64 bits. Llama a esta permutación seleccionada aleatoriamente G. Nota de la aproximación de Stirling que (2 ⁶⁴ )! esta alrededor$${\ displaystyle 10 ^ {3.47 \ times 10 ^ {20}}}, por lo que incluso especificar qué permutación se selecciona requiere escribir un número demasiado grande para representar exactamente en cualquier computadora real. Visto de otra manera, G es una instancia de un "cifrado" cuya "longitud de clave" es de aproximadamente 10 ²¹ bits, que nuevamente es demasiado grande para caber en una computadora. (Sin embargo, podemos implementar G con un espacio de almacenamiento proporcional al número de consultas, utilizando un oráculo aleatorio ).

Tenga en cuenta que debido a que los oráculos que se nos dan cifran el texto sin formato de nuestra elección, estamos modelando un ataque de texto sin formato elegido o CPA , y la ventaja que estamos calculando se puede llamar la ventaja de CPA de un adversario dado. Si también tuviéramos oráculos de descifrado disponibles, estaríamos haciendo un ataque de texto cifrado o CCA elegido y encontrando la ventaja de CCA del adversario.

Ejemplo 1: Adivina al azar [ editar ]

Llame a este adversario A ₀ . Simplemente lanza una moneda y devuelve 1 o 0 con la misma probabilidad y sin hacer ninguna llamada al oráculo. Por lo tanto, Pr [A ₀ (F) = 1] y Pr [A ₀ (G) = 1] son ​​ambos 0.5. La diferencia entre estas probabilidades es cero, entonces Adv (A ₀ ) es cero. Lo mismo se aplica si siempre devolvemos 0, o siempre devolvemos 1: la probabilidad es la misma para F y G, por lo que la ventaja es cero. Este adversario no puede distinguir entre F y G. Si somos diseñadores de cifrado, nuestro deseo (tal vez no sea posible) es hacerlo de manera que sea computacionalmente inviable para cualquier adversario para hacerlo significativamente mejor que esto. Habremos tenido éxito si podemos hacer un cifrado para el que no haya un distintivo más rápido que la búsqueda de fuerza bruta.

Ejemplo 2: búsqueda de fuerza bruta [ editar ]

Este adversario (llámelo A ₁ ) intentará criptoanalizar su entrada por la fuerza bruta . Tiene su propia implementación de DES. Le da una sola consulta a su oráculo, solicitando que se encripte la cadena de 64 bits de todos los ceros. Llame al texto cifrado resultante E ₀ . Luego ejecuta una búsqueda exhaustiva de claves. El algoritmo se ve así:

E 0 = consulta_oracle (0)
 para k en 0,1, ..., 2 56 -1:
   si DES k (0) == E 0 :
      volver 1
 volver 0

Esto busca en todo el espacio de teclas DES de 56 bits y devuelve "1" si probablemente encuentra una clave coincidente. En la práctica, se requieren varios textos claros para confirmar la clave, ya que dos teclas diferentes pueden dar como resultado uno o más pares de texto claro-texto cifrado coincidentes. Si no se encuentra ninguna clave, devuelve 0.

Si el oráculo de entrada es DES, esta búsqueda exhaustiva seguramente encontrará la clave, entonces Pr [A ₁ (F) = 1] = 1. Si el oráculo de entrada es una permutación aleatoria, hay 2 ⁶⁴ valores posibles de E ₀ , y como máximo 2 ⁵⁶ de ellos serán examinados en la búsqueda de teclas DES. Entonces, la probabilidad de que A ₁ devuelva 1 es como máximo 2 ⁻⁸ . Es decir:

$${\ displaystyle Pr [A_ {1} (G) = 1] \ leq 2 ^ {- 8}}, entonces

$${\ displaystyle Adv (A_ {1}) = | Pr [A_ {1} (F) = 1] -Pr [A_ {1} (G) = 1] | \ geq 1-2 ^ {- 8}}

entonces la ventaja es de al menos aproximadamente 0.996. Este es un distintivo casi seguro, pero no es una falla de seguridad porque no es más rápido que la búsqueda de fuerza bruta, después de todo, es la búsqueda de fuerza bruta.

Adi Shamir (en hebreo : עדי שמיר ; nacido el 6 de julio de 1952) es un criptógrafo israelí . Es co-inventor del algoritmo Rivest – Shamir – Adleman (RSA) (junto con Ron Rivest y Len Adleman ), co-inventor del esquema de identificación Feige – Fiat – Shamir (junto con Uriel Feige y Amos Fiat ), uno de los inventores del criptoanálisis diferencial y ha realizado numerosas contribuciones a los campos de la criptografía y la informática .

Carrera e investigación [ editar ]

Después de un año como investigador postdoctoral en la Universidad de Warwick , realizó una investigación en el Instituto de Tecnología de Massachusetts (MIT) de 1977 a 1980 antes de regresar a ser miembro de la facultad de Matemáticas e Informática del Instituto Weizmann . A partir de 2006, también es profesor invitado en la École Normale Supérieure en París.

Además de RSA , los otros numerosos inventos y contribuciones de Shamir a la criptografía incluyen el esquema de intercambio secreto de Shamir , la ruptura del criptosistema de mochila Merkle-Hellman , la criptografía visual y los dispositivos de factorización TWIRL y TWINKLE . Junto con Eli Biham , descubrió el criptoanálisis diferencial a fines de la década de 1980, un método general para atacar los cifrados de bloque . Más tarde se supo que el criptoanálisis diferencial ya era conocido, y mantenido en secreto, tanto por IBM ^[4] como por la Agencia de Seguridad Nacional (NSA).^[5]

Shamir también ha realizado contribuciones a la informática fuera de la criptografía, como encontrar el primer algoritmo de tiempo lineal para la satisfacción de 2 ^[6] y mostrar la equivalencia de las clases de complejidad PSPACE e IP .

Premios y distinciones [ editar ]

Shamir ha recibido varios premios, que incluyen los siguientes:

• el Premio ACM Turing 2002 , junto con Rivest y Adleman , en reconocimiento a sus contribuciones a la criptografía ^[7]
• el Premio Teoría y Práctica Paris Kanellakis ; ^[8]
• El Premio Erdős de la Sociedad Matemática de Israel,
• el Premio IEEE WRG Baker de 1986 ^[9]
• el Premio Científico UAP ^{[se necesita aclaración ]}
• La medalla de oro PIUS XI del Vaticano ^[10]
• el Premio 2000 IEEE Koji Kobayashi Computadoras y Comunicaciones ^[11]
• el Premio Israel , en 2008, por la informática. ^[12] [13]
• un título honorífico de DMath (Doctor en Matemáticas) de la Universidad de Waterloo ^[14]
• 2017 (33º) Premio de Japón en el campo de la electrónica, la información y la comunicación por su contribución a la seguridad de la información a través de la investigación pionera en criptografía ^[15]
• Fue elegido miembro extranjero de la Royal Society (ForMemRS) en 2018 por su contribución sustancial a la mejora del conocimiento natural. ^[1]

Fue elegido miembro de la American Philosophical Society en 2019.

El Sistema de contenido de acceso avanzado ( AACS ) es un estándar para la distribución de contenido y la gestión de derechos digitales , destinado a restringir el acceso y la copia de discos ópticos posteriores a la generación de DVD. La especificación se lanzó al público en abril de 2005 y el estándar se adoptó como el esquema de restricción de acceso para HD DVD y Blu-ray Disc (BD). Está desarrollado por AACS Licensing Administrator, LLC (AACS LA), un consorcio que incluye Disney , Intel , Microsoft , Panasonic , Warner Bros., IBM , Toshiba y Sony . AACS ha estado operando bajo un "acuerdo provisional" ya que la especificación final (incluidas las disposiciones para la Copia Administrada ) aún no se ha finalizado.

Desde su aparición en los dispositivos en 2006, se extrajeron varias claves de descifrado AACS de los reproductores de software y se publicaron en Internet, lo que permite el descifrado mediante software sin licencia.

Resumen del sistema [ editar ]

Cifrado [ editar ]

AACS usa criptografía para controlar y restringir el uso de medios digitales. Cifra el contenido bajo una o más claves de título utilizando el Estándar de cifrado avanzado (AES). Las claves de título se descifran utilizando una combinación de una clave multimedia (codificada en un Bloque de clave multimedia ) y la ID de volumen de los medios (por ejemplo, un número de serie físico incrustado en un disco pregrabado).

La principal diferencia entre AACS y CSS , el sistema DRM utilizado en DVD y CD, radica en cómo se organizan las claves y códigos de descifrado del dispositivo.

Bajo CSS, todos los jugadores de un grupo de modelos dado tienen la misma clave de descifrado activada compartida. El contenido se cifra bajo la clave específica del título, que se cifra bajo la clave de cada modelo. Por lo tanto, cada disco contiene una colección de varios cientos de claves cifradas, una para cada modelo de reproductor con licencia.

En principio, este enfoque permite a los licenciantes "revocar" un modelo de reproductor determinado (evitar que reproduzca contenido futuro) al omitir el cifrado de claves de título futuras con la clave del modelo de reproductor. En la práctica, sin embargo, revocar a todos los jugadores de un modelo en particular es costoso, ya que hace que muchos usuarios pierdan la capacidad de reproducción. Además, la inclusión de una clave compartida entre muchos jugadores hace que el compromiso clave sea significativamente más probable, como lo demostraron varios compromisos a mediados de la década de 1990.

El enfoque de AACS proporciona a cada jugador individual un conjunto único de claves de descifrado que se utilizan en un esquema de cifrado de difusión . Este enfoque permite a los licenciantes "revocar" jugadores individuales, o más específicamente, las claves de descifrado asociadas con el jugador. Por lo tanto, si las claves de un jugador determinado se ven comprometidas y publicadas, AACS LA simplemente puede revocar esas claves en el contenido futuro, haciendo que las claves / jugador sean inútiles para descifrar nuevos títulos.

AACS también incorpora técnicas de rastreo de traidores . El estándar permite que múltiples versiones de secciones cortas de una película se cifren con diferentes claves, mientras que un jugador dado solo podrá descifrar una versión de cada sección. El fabricante incorpora diversas marcas de agua digitales en estas secciones, y tras un análisis posterior de la versión pirateada, las claves comprometidas pueden identificarse y revocarse (esta característica se denomina claves de secuencia en las especificaciones de AACS). ^[1] [2]

ID de volumen [ editar ]

Las ID de volumen son identificadores únicos o números de serie que se almacenan en discos pregrabados con hardware especial. No se pueden duplicar en los medios grabables de los consumidores. El objetivo de esto es evitar copias simples bit a bit, ya que se requiere la identificación del volumen (aunque no es suficiente) para decodificar el contenido. En los discos Blu-ray, la ID del volumen se almacena en la marca BD-ROM . ^[3]

Para leer la identificación del volumen, se requiere un certificado criptográfico (la clave de host privado ) firmado por AACS LA. Sin embargo, esto se ha eludido modificando el firmware de algunas unidades HD DVD y Blu-ray. ^[4] [5]

Proceso de descifrado [ editar ]

Para ver la película, el reproductor primero debe descifrar el contenido del disco. El proceso de descifrado es algo complicado. El disco contiene 4 elementos: el Bloque de clave multimedia (MKB), la ID de volumen, las Claves de título cifradas y el Contenido cifrado. El MKB está encriptado en un enfoque de árbol de diferencia de subconjunto. Esencialmente, un conjunto de claves está organizado en un árbol de manera que cualquier clave puede usarse para encontrar cualquier otra clave, excepto sus claves principales. De esta manera, para revocar una clave de dispositivo determinada , el MKB solo necesita cifrarse con la clave principal de esa clave de dispositivo.

Una vez que se descifra el MKB, proporciona la clave multimedia, o el km . El km se combina con la ID de volumen (que el programa solo puede obtener presentando un certificado criptográfico al disco, como se describió anteriormente) en un esquema de cifrado unidireccional (AES-G) para producir la Clave única de volumen ( Kvu ). El Kvu se usa para descifrar las claves de título cifradas, y eso se usa para descifrar el contenido cifrado. ^[4] [6]

Salidas analógicas [ editar ]

Partes de este artículo (los relacionados con --Este necesita ser actualizado por lo que no se ocupa sobre todo con la obsoleta HD-DVD format-- ) necesidad de ser actualizado . Actualice este artículo para reflejar eventos recientes o información recientemente disponible. ( Noviembre de 2010 )

Artículo principal: Token de restricción de imagen

Los reproductores compatibles con AACS deben seguir las pautas relativas a las salidas a través de conexiones analógicas. Esto se establece mediante un indicador llamado Token de restricción de imagen (ICT), que restringe la resolución para salidas analógicas a 960 × 540. La resolución completa de 1920 × 1080 está restringida a las salidas HDMI o DVI que admiten HDCP . La decisión de establecer el indicador para restringir la salida ("conversión descendente") se deja al proveedor de contenido. Warner Pictures es un defensor de las TIC, y se espera que Paramount y Universal también implementen la conversión descendente. ^{[7] Las} pautas de AACS requieren que cualquier título que implemente las TIC lo indique claramente en el paquete. La revista alemana "Der Spiegel"^[8] Sin embargo, algunos títulos ya se han lanzado que aplican las TIC. ^[9]

Marca de agua de audio [ editar ]

El 5 de junio de 2009, se finalizaron los acuerdos de licencia para AACS, que se actualizaron para que la detección de Cinavia en reproductores comerciales de discos Blu-ray sea un requisito. ^[10]

Copia gestionada [ editar ]

Managed Copy se refiere a un sistema mediante el cual los consumidores pueden hacer copias legales de películas y otros contenidos digitales protegidos por AACS. Esto requiere que el dispositivo obtenga autorización poniéndose en contacto con un servidor remoto en Internet. Las copias aún estarán protegidas por DRM , por lo que no es posible realizar copias infinitas (a menos que el propietario del contenido lo permita explícitamente). Es obligatorio que los proveedores de contenido brinden al consumidor esta flexibilidad tanto en los estándares HD DVD como en los estándares Blu-ray (comúnmente llamados Copia Obligatoria Administrada ). Los estándares de Blu-ray adoptaron la copia administrada obligatoria después de HD DVD, después de que HP lo solicitó. ^[11]

Los posibles escenarios para la Copia Administrada incluyen (pero no están limitados a):

• Cree un duplicado exacto en un disco grabable para respaldo
• Cree una copia de resolución completa para almacenar en un servidor de medios
• Cree una versión reducida para ver en un dispositivo portátil

Esta característica no se incluyó en el estándar provisional, por lo que los primeros dispositivos en el mercado no tenían esta capacidad. ^[12] Se esperaba que fuera parte de la especificación final de AACS. ^[13]

En junio de 2009, los acuerdos finales de AACS fueron ratificados y publicados en línea, e incluyen información sobre los aspectos de la Copia Administrada de AACS.

Historia [ editar ]

El 24 de febrero de 2001, Dalit Naor, Moni Naor y Jeff Lotspiech publicaron un documento titulado "Esquemas de revocación y rastreo para receptores sin estado", donde describieron un esquema de encriptación de difusión utilizando una construcción llamada árboles de diferencia de subconjuntos de Naor-Naor-Lotspiech. Ese documento sentó las bases teóricas de AACS. ^[14]

El consorcio AACS LA fue fundado en 2004. ^[15] Con DeCSS en retrospectiva, los lectores de la revista IEEE Spectrum votaron por AACS como una de las tecnologías con mayor probabilidad de fallar en la edición de enero de 2005. ^[16] El estándar final de AACS se retrasó, ^[17] y luego se retrasó nuevamente cuando un miembro importante del grupo de Blu-ray expresó su preocupación. ^[18] A petición de Toshiba, se publicó un estándar provisional que no incluía algunas características, como la copia administrada. ^[12] Hasta el 15 de octubre de 2007, el estándar final AACS aún no se había publicado.