M8 - Aplicac Cripto

Aplicacions de la criptografia
Josep Domingo Ferrer Jordi Herrera Joancomart

P03/05024/02266
w w w. u o c . e d u
Universitat Oberta de Catalunya P03/05024/02266
ndex
Introducci ........................................................................................... Objectius ................................................................................................ 1. Autentificaci i identificaci ...................................................... 1.1. El protocol de tres passos de Shamir ........................................... 1.2. El protocol didentificaci de Fiat-Shamir................................... 1.3. Proves de coneixement nul ......................................................... 2. Esquemes de compartici de secrets ........................................................................................... 3. Situacions de desconfiana mtua ............................................ 3.1. Comproms de bit........................................................................ 3.2. Transferncia inconscient............................................................ 3.3. Signatura de contractes................................................................ 3.4. Correu electrnic certificat .......................................................... 3.5. Clcul segur a mltiples bandes .................................................. 3.6. Clcul sobre dades xifrades ......................................................... 4. Diners electrnics ........................................................................... 4.1. Requisits ....................................................................................... 4.2. El sistema de pagament ............................................................... 4.3. Signatures tapades ....................................................................... 4.3.1. Signatures tapades RSA...................................................... 4.4. Com evitar lengany al banc ....................................................... 4.5. Diners electrnics on line ............................................................. 4.6. Diners electrnics off line............................................................. 5. Concessi de drets intransferibles.............................................. 5.1. Situaci inicial ............................................................................. 5.2. Lesquema i les seves propietats .................................................. 5.3. Recapitulaci i aplicacions .......................................................... 6. Eleccions electrniques ................................................................. 6.1. El protocol delecci de Merritt ................................................... 6.2. Altres protocols ............................................................................ Resum ..................................................................................................... Activitats ...............................................................................................
5 6 7 7 9 11
15 18 18 20 21 22 23 24 27 27 28 29 29 30 31 31 34 35 35 38 40 41 42 43 45
Exercicis dautoavaluaci ................................................................. Solucionari ............................................................................................ Glossari ................................................................................................... Bibliografia ...........................................................................................
45 46 48 49
Introducci
Sense voler ser exhaustius, en aquest mdul didctic presentem les segents aplicacions de la criptografia: Lautentificaci i identificaci. Mitjanant protocols criptogrfics, s possible autentificar i identificar dues parts que es volen comunicar electrnicament. La compartici de secrets. Passem revista a les solucions criptogrfiques del problema de la compartici de secrets. La idea s dificultar lextorsi fent possible que els secrets realment importants (codis dactivaci de mssils, dobertura de caixes fortes, etc.) no estiguin a les mans duna sola persona o entitat, sin que en calguin diverses per a recuperar-los. Les situacions de desconfiana mtua. Hi ha situacions de desconfiana mtua que plantegen problemes de seguretat no trivials quan es duen a terme de manera virtual. Per exemple, la signatura electrnica de contractes, el correu electrnic certificat o el clcul segur a mltiples bandes. La criptografia proporciona solucions perqu tots els participants tinguin les garanties necessries. Els pagaments sense rastre. Les signatures tapades sn uns protocols de signatura digital que permeten al comprador efectuar pagaments per Internet sense que la botiga en spiga la identitat ni el banc en quin concepte ha desps els diners. Els drets intransferibles. Amb el protocol criptogrfic adequat, una autoritat pot donar drets a un client per utilitzar uns determinats serveis i alhora assegurar-se que no podr transferir aquests drets a tercers sense el concurs de lautoritat. Les votacions electrniques. Efectuar una votaci mitjanant una xarxa com Internet (sense acudir fsicament a un collegi electoral) s aparentment difcil de conjugar amb els requisits danonimat i de secret de vot. Revisarem algunes solucions criptogrfiques que shan proposat.
Objectius
Els materials didctics daquest mdul han de permetre que lestudiant assoleixi els objectius segents: 1. Entendre que les aplicacions de la criptografia no es limiten a proporcionar secret i autenticitat. 2. Conixer els esquemes de compartici de secrets. 3. Aprendre com es poden resoldre de manera segura situacions de desconfiana mtua en les quals els participants es comuniquen per mitj duna xarxa com Internet. 4. Ser conscients del problema que hi ha amb el rastre en els pagaments electrnics i adonar-se que aix t soluci criptogrfica. 5. Entendre com es poden concedir drets intransferibles per utilitzar uns determinats. serveis 6. Comprendre els requisits i el funcionament dels sistemes de votaci electrnica.
1. Autentificaci i identificaci
1.1. El protocol de tres passos de Shamir El protocol de tres passos de Shamir va ser inventat per A. Shamir, tot i que no va arribar a ser publicat mai.
El protocol de tres passos de Shamir permet establir una comunicaci segura entre dues persones* sense cap intercanvi de claus previ, ni pbliques ni privades.
* Per exemple, lAnna i en Bernat.
Per tal de poder dur a terme el protocol, cal tenir una funci de xifratge simtrica; s a dir, s el mateix xifrar un missatge amb una clau A i el resultat tornar-lo a xifrar amb una clau B, que xifrar el missatge primer amb la clau B i el resultat xifrar-lo amb la A: EA(EB(M)) EB(EA(M)). Passem a descriure el protocol de tres passos de Shamir en el qual lAnna (amb la seva clau secreta A) vol fer arribar a en Bernat (que t una clau secreta B) el missatge M: 1) LAnna xifra el missatge M amb la seva clau secreta A, i el resultat que sobt, C1 EA(M ), lenvia a en Bernat. 2) En Bernat xifra amb la seva clau secreta B el missatge que ha rebut de lAnna, s a dir, C2 EB(C1) EB(EA(M)), i retorna aquest resultat a lAnna. 3) LAnna utilitza la seva clau secreta A i la commutativitat del xifratge per a obtenir EB(M) de la manera segent: DA(EB(EA(M ))) DA(EA(EB(M ))) EB(M ), on DA( ) indica la funci de desxifratge. Ara lAnna envia el resultat obtingut, C3 EB(M ), a en Bernat. 4) Finalment, en Bernat noms ha dutilitzar la seva clau secreta B per tal dobtenir M fent M DB(EB(M )). Un cop hem vist com funciona el protocol de tres passos de Shamir s lgic que ens preguntem quins criptosistemes poden ser tils per tal dimplemen-
tar-lo. Amb aix volem dir no solament quins sistemes de xifratge conserven la commutativitat amb les claus, sin quins ens ofereixen una seguretat elevada per a aplicar aquest protocol amb garanties: a) Per exemple, si ens fixem en el xifratge de Vernam, que seria el que ens aportaria la seguretat incondicional, observem que la commutativitat es compleix, ja que en aquest cas tant el xifratge com el desxifratge s la suma XOR amb la clau, i per tant: EA(EB(M )) (M B) A (M A) B EB(EA(M )). Aix, el protocol de tres passos de Shamir entre A i B fent servir el xifratge de Vernam genera els missatges xifrats segents: C1 M A, C2 M A B, C3 M B. El problema en aquest cas no s la commutativitat del criptosistema (que s que en t) sin la seguretat del protocol. En efecte, un atacant en t prou de prendre nota dels tres missatges xifrats que sintercanvien lAnna i en Bernat, ja que un cop intercepta C1, C2 i C3 per a obtenir el missatge xifrat M noms cal que faci una suma XOR com la que hi ha a continuaci: C1 C2 C3 (M A) (M A B) (M B) M. b) El mateix Shamir va proposar un altre esquema commutatiu molt ms segur. Aquest sistema s semblant al criptosistema RSA i aix implica que la seva seguretat recau en la dificultat del clcul del logaritme discret. El criptosistema es basa en el fet de prendre un nombre primer p tal que p 1 t un factor primer gran. La clau de xifratge ser un valor e tal que mcd( p 1,e) 1. La clau de desxifratge d es calcula a partir de la de xifratge, de tal manera que de 1 mod ( p 1). Per tant, per xifrar un missatge M farem C M e mod p i per desxifrar-lo, M Cd mod p. Si apliquem aquest criptosistema al protocol descrit, veurem que obtenim la seguretat desitjada. Una vegada que sha presentat aquest sistema dintercanvi dinformaci, cal no oblidar, per, un detall clau quan sintenta obtenir una comunicaci segura entre dos interlocutors. Si ens fixem en el protocol, veiem que el missatge M sempre circula de forma xifrada entre A i B; per tant, a priori, caldria pensar que la seguretat del missatge est garantida. El problema amb qu ens trobem s el mateix que en el cas de la clau pblica. Com sabem que, quan comena la comunicaci, lAnna est realment parlant amb en Bernat i no pas amb alg altre?
Noteu que la suma XOR tamb s commutativa.
Vegeu el xifratge de Vernam en el subapartat 2.1 del mdul Introducci a la criptografia daquesta assignatura.
El criptosistema RSA sexplica al subapartat 4.1 del mdul Xifres de clau pblica daquesta assignatura.
Com ja hem destacat en altres mduls, aquest problema es refereix a la identificaci dels interlocutors. Un dels protocols didentificaci a qu es pot recrrer s el de Fiat-Shamir.
Vegeu lapartat 3 del mdul didctic Fonaments de criptografia daquesta assignatura.
1.2. El protocol didentificaci de Fiat-Shamir El protocol didentificaci de Fiat-Shamir va ser creat per A. Fiat i A. Shamir lany 1986. Un any ms tard els mateixos autors, amb la incorporaci de Feige, van modificar el protocol creant una de les proves de coneixement nul didentificaci ms conegudes.
Vegeu el concepte de proves de coneixement nul al subapartat 1.3 daquest mdul didctic.
El protocol didentificaci de Fiat-Shamir requereix una autoritat certificadora en la qual shan de registrar tots els usuaris que vulguin poder ser identificats pel sistema. Lavantatge ms gran que presenta aquest esquema s que la interacci de lusuari amb el centre de certificaci noms s necessria una sola vegada.
Suposem que en Pep (P) es vol identificar a en Vicen (V ). La primera cosa que ha de fer en Pep s registrar-se a lautoritat certificadora per tal dobtenir les seves claus (pblica i privada). Per a fer-ho executa el protocol segent: 1) Lautoritat certificadora tria un n pq, on p i q sn dos primers secrets. 2) La clau pblica de P s v, un residu quadrtic mdul n. s a dir, existeix una x tal que x2 v mod n t soluci i v1 mod n existeix. 3) La clau privada s la s ms petita tal que s v 1 mod n. Una vegada en Pep ja ha obtingut les seves claus pbliques i privades, es podr identificar a en Vicen per mitj del protocol segent: 1) P tria un valor aleatori r n, calcula x r2 mod n i envia el resultat x a V. 2) V envia un bit aleatori b a P. 3) P envia a V: r; y rs mod n; si b 0. si b 1.
4) Si b 0, V valida que x r 2 mod n, i per tant sap que P coneix larrel quadrada de x. Si b 1, V valida que y2 xv1 mod n, i per tant sap que P coneix v 1.
10
Aix s noms una iteraci del protocol, el que sanomena una acreditaci. Si sexecuta t vegades la probabilitat que P enganyi V s 12t.
Una modificaci daquest protocol s la que presentem tot seguit. Les millores van encaminades, duna banda, a aconseguir ms duna acreditaci en cada iteraci del protocol, i, de laltra, a incloure en la informaci que sintercanvien la identitat de lusuari que es vol identificar. El protocol modificat funciona de la manera que especifiquem tot seguit: 1) Primer hi ha la part de certificaci a lautoritat: a) Lautoritat certificadora tria un n pq, on p i q sn dos primers secrets, i una funci hash ( ) que pren valors a n . b) Lautoritat certificadora crea un identificador I per a cada usuari. Aquest identificador portar incorporada la identitat de lindividu. c) Lautoritat certificadora calcula k valors enters: vi (I,i) per a i 1, ..., k. d) Lautoritat certificadora tria t k ndexs ij tals que els corresponents vij sn residus quadrtics mdul n. Per cada un daquests calcula larrel quadrada ms petita, s a dir, sij v 1 ij mod n per a i 1, ..., t. e) Lautoritat certificadora envia a lusuari lidentificador I, els valors sij i els ndexs corresponents ij per a j 1, ..., t. 2) Una vegada fet el protocol de certificaci, lautoritzaci es basa en el fet que en Pep amb identificador I demostri a en Vicen que coneix els valors sij per a j 1, ..., t sense mostrar-los-hi. Vegem com es fa: a) P envia el valor del seu identificador I i els ndexs ij per a j 1, ..., t. b) V calcula els valors vij a partir de la funci hash i de lidentificador I, tal com lautoritat certificadora ha fet: vij (I,ij) per a j 1, ..., t. c) P tria un valor aleatori r n, calcula el valor x r2 mod n i envia el resultat a V. d) V tria t bits aleatriament (b1, ..., bt) i els envia a P. e) P retorna a V el valor segent: yr
bj1
si mod n.
j
11
f) V comprova que es compleixi la igualtat segent: x y2
bj1
vi mod n.
j
En aquest protocol tamb cal repetir h vegades els darrers quatre passos (del c al f) per tal dobtenir ms seguretat; tot i que, a diferncia del cas anterior, aqu una sola iteraci ja redueix a 12t la probabilitat dengany amb xit. Per tant, si repetim el procs h vegades la probabilitat esdev 12th.
Aquest tipus de protocol que acabem de descriure sengloba dins del que es coneixen com a proves de coneixement nul.
1.3. Proves de coneixement nul Com podem saber que alg altre sap alguna cosa sense saber el que sap? Aix que pot semblar un joc de paraules sha convertit en un dels temes de recerca en criptografia. El problema es troba en el fet de demostrar que sabem un secret sense dir-lo. Aquest concepte, batejat amb el nom de proves de coneixement nul*, el van introduir S. Goldwasser, S. Micali i C. Rackoff lany 1985. En els protocols de les proves de coneixement nul, hi intervenen dues parts; en el nostre cas, en Pep (P), que s el provador, el que vol demostrar que sap el secret, i en Vicen (V ), el verificador, que sha de convncer que el provador coneix el secret. Podem donar dues caracterstiques principals del que ha de complir una prova de coneixement nul: 1) La probabilitat que el provador enganyi el verificador ha de ser molt petita. s a dir, si el provador no coneix el secret que diu que coneix, la probabilitat que la prova de coneixement nul sexecuti correctament s molt petita. 2) Un cop sha fet la prova de coneixement nul, el verificador no t cap informaci sobre el secret que el provador coneix. En particular, el verificador no pot provar a una tercera persona, ni per mitj duna prova de coneixement nul, que coneix el secret. Per tal daclarir les coses observem lexemple segent proposat per J.J. Quisquater i L. Guillou, i que ajuda a entendre el procs bsic duna prova de coneixement nul. Suposem que tenim una cova, tal com mostra la figura de la pgina segent. Com shi pot veure, la cova consta duna sola entrada, la qual es bifurca ms endavant en dos camins que fan la volta i es tornen a trobar. La uni dels dos camins est separada per una porta que noms sobre amb una paraula secreta.
* En angls, zero-knowledge proofs.
12
Grfic de la cova
D B C
En Pep coneix la paraula clau que obre la porta i vol que en Vicen es convenci que la sap sense haver-la-hi de dir; s a dir, en Pep vol provar que sap la clau (ser el provador) i en Vicen ho ha de verificar (ser el verificador). Aix, decideixen fer el protocol segent: 1) En Vicen es queda a lentrada de la cova (punt A de la figura), mentre que en Pep entra a dins i tria un dels dos camins fins a arribar a la porta; s a dir, ser al punt C o D segons la tria que hagi fet. 2) Un cop en Pep ha arribat davant de la porta, en Vicen avana fins a la bifurcaci (punt B). Des dall tria un dels dos camins, el de la dreta o el de lesquerra, i fa un crit a en Pep perqu surti pel cam que acaba de triar. 3) Com que en Pep coneix la clau que obre la porta no t cap problema per a sortir pel costat que en Vicen li ha demanat. Si tornssim a fer lexperiment i el repetssim tantes vegades com volgussim, en Pep sortiria sempre pel costat que en Vicen li demans, ja que coneix la clau que obre la porta i, per tant, no tindria cap problema. Per, qu passaria si en Pep no conegus la clau que obre la porta? La primera vegada que fssim la prova, en Pep tindria una probabilitat d12 dencertar el cam que li demanar ms tard en Vicen, ja que si en endinsar-se en la cova lencerta, desprs podr sortir pel mateix costat i no li caldr utilitzar la clau que, de fet, no sap. Ara b, si el procs el repetim un altre cop, en Pep noms t 14 de probabilitat denganyar-lo. Ja es veu que si repetim la prova n vegades la probabilitat que en Pep enganyi en Vicen s d12n. Aix, doncs, si en Vicen vol estar segur amb una probabilitat 0,999023 que en Pep sap la paraula que obre la porta noms cal que facin la prova deu vegades.
Lexemple de la cova... ... illustra com funciona una prova de coneixement nul, tot i que bviament per al nostre propsit nhi hauria prou de fer entrar en Pep per la dreta i fer-lo sortir per lesquerra.
13
En general, les proves de coneixement nul funcionen daquesta manera, s a dir, sn iteratives, de manera que a cada iteraci hi ha una probabilitat del 50% dencertar. A ms, aquest tipus de protocols utilitzen la tcnica anomenada challenge & response, en la qual el verificador dna al provador una informaci que ell ha generat de manera aleatria, per tal que el provador la completi utilitzant el secret que coneix. Aquesta tcnica tamb sanomena sovint cut & choose, ja que fa referncia al tpic protocol de repartir un pasts entre dues persones, en el qual una fa les parts (talla) i laltra les tria.
Des dun punt de vista ms formal, les proves de coneixement nul es basen en la transformaci del problema, del qual volem demostrar que sabem la soluci, en un altre disomorf. Aleshores, es resol aquest nou problema utilitzant la soluci de lanterior.
Exemple de prova de coneixement nul A continuaci veiem un exemple concret duna prova de coneixement nul. Aquesta prova va ser proposada per Chaum, Evertse i van de Graaf i demostra el coneixement del logaritme discret sense necessitat de revelar-lo. bviament, la prova t sentit tenint en compte que el clcul del logaritme discret s difcil. El seu funcionament s el que exposem tot seguit. En primer lloc el sistema est format per tres parmetres pblics ( p, g, b): p s un nombre primer gran, b s un nombre enter, tal que b p, i g s un enter 1 g generador del grup multiplicatiu p . Recordem que P vol provar a V que coneix x amb 1 x p 1 tal que s soluci de lequaci b g x mod p. El protocol que efectuen s el segent: 1) P tria un valor aleatori r, on 0 r p, i envia h a V, on h g r mod p. 2) V tria un bit c, tal que c {0, 1} i lenvia a P. 3) P calcula y r cx mod p 1 i lenvia a V. 4) V comprova que g y hbc mod p. El protocol consisteix en la repetici n vegades dels passos descrits anteriorment. Igual que en lexemple de la cova, en aquest cas, com que P no coneix quin bit triar V en el segon pas, la probabilitat que t denganyar V s d12. Per tant, V pot determinar el grau de credibilitat del protocol fixant el nombre (elevat) de vegades en qu shan de repetir els passos i aconseguir que la probabilitat dengany sigui 12n.
No oblidem que les proves de coneixement nul sn difcils daconseguir, ja que moltes vegades, en cada iteraci, es va revelant informaci del secret. Aquesta informaci, encara que s del tot insuficient per a obtenir el secret, s obtinguda pel verificador. s per aquesta ra que en molts casos en comptes de proves de coneixement nul es parla de proves de revelaci mnima*. Pel que fa a laplicaci de les proves de coneixement nul, un dels camps en els quals tenen ms importncia s en el de lautentificaci. El tradicional sis* En angls, minimum disclosure proofs.
14
tema del nmero didentificaci personal (PIN) comena a ser insuficient per a certes aplicacions, ja que tant si es guarda el PIN en clar com si es guarda com a imatge duna funci hash en algun moment lusuari lha dintroduir en clar i s aleshores quan pot ser interceptat. El protocol didentificaci de Fiat-Shamir s en essncia una prova de coneixement nul, ja que acompleix els requisits que hem descrit en aquest subapartat. En el futur, la implantaci de sistemes de targetes intelligents, capaces dexecutar les instruccions i els protocols, far que les proves de coneixement nul siguin utilitzades mpliament per als processos didentificaci.
Recordeu que hem descrit el protocol didentificaci de Fiat-Shamir al subapartat 1.2 daquest mdul didctic.
15
2. Esquemes de compartici de secrets
Hi ha situacions en qu un secret no pot ser guardat per una sola persona, perqu el risc que comporta s massa elevat. Una situaci quotidiana seria el problema de guardar una clau secreta. Si la guardem en un lloc determinat, i en aquest lloc passa algun incident la podem perdre. Per a solucionar aix podem guardar la mateixa clau en llocs diferents, per aix implica una reducci de la seguretat, ja que les probabilitats que alg la trobi sn ms elevades. Finalment, el que sembla ms segur s partir la clau en diferents trossos de manera que noms amb uns quants pugui ser recuperada. Daquesta manera, si sen perdessin alguns encara es podria recuperar la clau.
Els sistemes que sutilitzen per a resoldre els problemes que acabem de presentar sanomenen esquemes de compartici de secrets. Un tipus habitual de compartici de secrets s aquell en qu es pretn repartir un secret entre n participants, de tal manera que si m qualssevol participants ajunten els seus fragments poden recuperar el secret, tenint en compte que qualsevol agrupaci de menys de m fragments no obt cap informaci del secret. Aquest tipus desquemes sanomenen esquemes de llindar i es representen per esquemes de llindar (m,n).
Codis secrets s clar que els codis que governen el llanament de mssils nuclears no poden dependre dun sol individu, ja que si aquest pats algun trastorn... El que es fa s repartir el codi secret entre diferents persones per tal que sigui necessari lacord dun determinat nombre daquestes per a poder obtenir el codi total.
Aix, doncs, un esquema de compartici de secrets de llindar (m,n) est format per n usuaris u1, ..., un. Cada usuari t el seu fragment corresponent si del secret S. A ms, cal tenir en compte el segent: 1) Per a tot i 1, ..., n, lusuari ui noms coneix el seu fragment si. 2) El secret S es pot obtenir a partir de m valors diferents si per a qualsevol i {1, ..., n}. 3) Donats m 1 valors diferents si no es pot obtenir cap informaci de S. Hi ha diferents maneres dobtenir esquemes de compartici de secrets de tipus llindar: 1) Els anomenats esquemes vectorials van ser introduts per G.R. Blakley i es basen en el segent: suposem que volem crear un esquema de compartici de secrets vectorial de llindar (m,n). El que farem s definir el secret que volem compartir com un punt P de lespai m-dimensional. Els fragments del secret seran hiperplans de dimensi m 1. Aquests hiperplans els construirem de tal manera que la intersecci de m qualssevol doni el punt P. Daquesta mane-
16
ra, si reunim m hiperplans podrem trobar el punt intersecci de tots aquests i, per tant, reconstruir el secret.
Aplicaci de lesquema vectorial Suposem que la combinaci duna caixa forta la formen tres nombres: 12, 13 i 14. A lentitat bancria hi ha cinc delegats que comparteixen la clau i noms en calen tres per a obrir la caixa. A cada delegat se li dna una de les equacions segents que corresponen a plans de 3: x y z 13. 2x y z 25. x z 2. x 2y 2z 10. x y z 11. s fcil veure que si calculem el punt dintersecci de qualsevol dels tres plans ens dna el valor (12,13,14), que s el nombre secret.
2) Un altre esquema per compartir secrets s el proposat per A. Shamir i es basa en la interpolaci polinmica. Suposem que volem un esquema de llindar (m,n) per poder repartir el secret S. Escollim un nombre primer p pblic, on p n i p S. Tamb escollim un polinomi de grau m 1, que t com a terme independent el secret; s a dir: P(x) S P1x P2x2 ... Pm1xm1 mod p, on els coeficients Pi sn aleatoris i secrets. Finalment, es trien n valors enters aleatoris inferiors a p, {x1, ..., xn}. Cada participant rep com a fragment del secret un parell {xi, P(xi)}, on P(xi ) s lavaluaci del polinomi P(x) en el punt xi. A continuaci veiem que, per tal de recuperar el secret, nhi ha prou amb m participants. En efecte, si pretenem calcular el polinomi P(x) resulta que tenim com a incgnites els m coeficients del polinomi, ja que els valors de les variables els aporten els participants, les seves potncies es poden calcular i lavaluaci del polinomi en els punts tamb la donen els participants. Aix, sobt el sistema dequacions segent:
m1 P(x1) S P1x1 P2 x2 mod p. 1 ... Pm1x 1 m1 mod p. P(x2) S P1x2 P2 x2 2 ... Pm1x 2
P2 x2 m
...
1 Pm1x m m
P(xm) S P1xm
mod p.
Aquest s un sistema de m equacions amb m incgnites que sempre t una soluci nica, ja que hi interv el determinant de Vandermonde. Els esquemes de compartici de secrets, per, no estan exempts de determinats atacs que fan que esquemes tan simples com els presentats fins ara no siguin tils en segons quins entorns. Per exemple, ens podrem preguntar qu
17
passaria si un dels participants dons un valor aleatori en comptes del seu fragment. La cosa certa s que el secret no es recuperaria i, encara ms, no sabrem qui nha estat el culpable. Tamb resulta que latacant podria utilitzar el secret recuperat errniament, el seu fragment fals i el seu fragment correcte per a recuperar el secret real sense lajut de la resta de participants. Per tal de resoldre aquests problemes hi ha esquemes de compartici de secrets ms elaborats que resisteixen aquest tipus datacs, per el seu estudi sescapa de labast daquesta assignatura.
18
3. Situacions de desconfiana mtua
3.1. Comproms de bit LAnna i en Bernat es telefonen per anar al cinema, per no es posen dacord en la pellcula que volen veure. LAnna nha triat una i en Bernat una altra. Finalment decideixen fer-ho a cara o creu. El problema s que com que parlen per telfon, bviament, s molt fcil que en Bernat, que tira la moneda, faci trampa, ja que lAnna no pot veure qu ha sortit realment a la moneda i en Bernat pot dir sempre que ha sortit el contrari. Per a solucionar aix, el que ha de fer lAnna s comprometres a un valor (cara o creu) i enviar a en Bernat el comproms del valor a qu sha comproms de manera que en Bernat no pugui veure quin s aquest valor del comproms. En Bernat llana la moneda i comunica el resultat a lAnna. Aleshores, lAnna obre el seu comproms i es comprova si ha encertat o no. Evidentment, a fi que lAnna tampoc no pugui fer trampa caldr assegurar que no ha pogut canviar el valor un cop sha comproms. Traduint aquest esquema a un entorn matemtic i suposant que lAnna es compromet al valor dun sol bit, tenim el que sanomena comproms de bit. LAnna es vol comprometre a un cert bit b amb en Bernat, sense que aquest conegui a priori el valor de b. Aleshores lAnna genera el comproms de bit que representarem per C(b) i lenvia a en Bernat. Aquest comproms t les caracterstiques segents:
1) En Bernat, a partir del comproms C(b), que s el que guarda, no pot obtenir el valor b. 2) LAnna pot obrir el comproms C(b) per tal de mostrar que efectivament b era el valor a qu shavia comproms. 3) LAnna no pot obrir el mateix comproms C(b) per tal de mostrar un altre valor b' b.
Per a illustrar com pot funcionar un esquema daquest tipus, vegem lexemple segent, que utilitza clau simtrica. El primer que fem s crear el comproms: a) B genera un valor aleatori r i lenvia a A. b) A utilitza una funci de xifratge E( ) amb clau k per tal de xifrar el valor b a qu es vol comprometre juntament amb el valor aleatori r que ha rebut de B. Aleshores, envia a B el valor C(b) Ek(b,r).
19
A continuaci efectuem lobertura del comproms: a) A envia la clau k a B. b) B desxifra el comproms C(b) utilitzant la clau rebuda i comprova que juntament amb el valor b comproms hi ha el seu valor aleatori r. Si ens hi fixem, en aquest exemple es compleixen les condicions que hem esmentat anteriorment: 1) Si lesquema de xifratge utilitzat s bo, B no pot obtenir el valor de b a partir de C(b) Ek(b,r), ja que no coneix la clau k. 2) Per a obrir el comproms, noms cal que A envi la clau k a B. 3) A no pot obrir el comproms C(b) per a obtenir un altre valor b' b, ja que k
quan A ha creat el comproms hi ha afegit el valor aleatori r generat per B i, si el mtode de xifratge s bo, s molt difcil que A pugui trobar una altra clau k' que desxifri C(b), obtenint un altre valor b', per mantenint intacte el valor r. Un esquema de comproms de bit ms interessant s el creat per G. Brassard, C. Crpeau i D. Chaum, que va ser presentat lany 1988. El funcionament es basa en el segent: com a parmetres pblics del sistema tenim ( p,g), on p s un primer tal que p 1 kq amb q primer i g, un generador de p : a) A es vol comprometre al valor b, on 1 b p 1. El comproms el calcula com C(b) g b mod p, i envia el resultat C(b) a B. b) Per a obrir el comproms, A envia directament el valor b a B. Aleshores, B comprova que el comproms sigui correcte validant que g b mod p C(b). Si ens fixem en les propietats, veiem que aquest comproms de bit tamb compleix les tres segents: 1) B no pot obtenir cap informaci del valor C(b), ja que per a obtenir b ha de calcular el logaritme discret: b loggC(b) mod p. 2) Efectivament, A pot obrir el comproms C(b) donant el valor b a B per tal que comprovi el segent: g b mod p C(b). 3) s clar que A no pot obrir el comproms C(b) per a obtenir b' si ho pogus fer tindrem: b, ja que
20
C(b) gb b' g bb' 1 mod p. C(b') g
Tenint en compte la tria dels valors g i p ens queda que: b b' 0 mod ( p 1), i com que 1 b p 1 i 1 b' p 1 noms pot ser que b b'. De totes maneres, aix s aix tenint en compte que g s un generador de p . Per tant, si B vol estar segur que A no lenganya ha de poder validar que g s un generador. Per aconseguir-ho, A pot utilitzar una prova de coneixement nul.
3.2. Transferncia inconscient Els protocols de transferncia inconscient permeten dur a terme lesquema segent: suposem que en Bernat vol conixer un secret que t lAnna, per no vol que lAnna spiga si ell el sap o no. Aleshores, lAnna i en Bernat executaran el protocol de transferncia inconscient, al final del qual lAnna haur enviat a en Bernat el secret amb probabilitat 12. s a dir, en Bernat t 12 de probabilitat de rebre el secret i lAnna no sabr si en Bernat lha rebut o no. Aquest concepte que sembla molt complicat i de poca utilitat veurem que t diversos camps daplicaci. La idea va ser proposada per T. Rabin el 1981 i lesquema que va presentar es basa en el fet que calcular arrels quadrades s equivalent a factoritzar. Vegem com funciona el protocol:
1) El secret que t A sn els valors p i q en qu factoritza un cert nombre N pq. A envia N a B. 2) B tria un valor aleatori x N i envia el seu quadrat z x2 mod N a A. 3) A calcula {x, y}, les quatre arrels quadrades de z, grcies al fet que coneix la factoritzaci de N; en tria una a latzar i lenvia a B. 4) B comprova quina de les arrels ha rebut. Si ha rebut x no tindr ms informaci de la que tenia quan ha comenat el protocol; mentre que si rep y podr calcular mcd(x y,N ), que ser p o b q, i, consegentment podr factoritzar N. Fixem-nos que com que A noms coneix z no sap quina de les arrels t B i, per tant, la probabilitat que li envi una arrel diferent de la que t s 12. Com ja hem dit abans, aquest protocol per si sol potser no t gaire inters, per s la base daltres esquemes com poden ser la signatura de contractes o el correu electrnic certificat.
Fixeu-vos que (x y)(x y) x2 y2 z z 0 mod N, i per tant N p q divideix (x y)(x y), amb la qual cosa o b p divideix x y o b ho fa q.
21
En particular, en molts casos el que farem servir s una modificaci del protocol de transferncia inconscient. Aquesta modificaci permet a A enviar dos missatges i a B rebren un dels dos amb probabilitat 12. Aquesta variant s coneguda com a transferncia inconscient 1-2. Vegem com es pot aplicar la transferncia inconscient 1-2 en lintercanvi de secrets. Suposem que lAnna i en Bernat volen intercanviar 2n nombres secrets de m bits cada un, que representarem per ai , on 1 i 2n, els de A, i bi , on 1 i 2n, els de B. Llavors:
1) A divideix els seus 2n nombres secrets en n parells, per exemple (a2j1,a2j) per a j 1, ..., n. Aleshores, A envia a B un element de cada parell utilitzant una transferncia inconscient 1-2, per la qual cosa B rep a2j1, o b a2j ; per A no sap quin dels elements ha rebut B*. 2) Simultniament al pas anterior, B fa exactament el mateix amb els seus 2n nombres: els divideix en parells i envia un element de cada parell a A utilitzant una transferncia inconscient 1-2. 3) A i B senvien lun a laltre el primer bit de tots els seus nombres ai i bi per a i 1, ..., 2n; desprs, el segon bit, i aix fins al final. Si A vol enganyar B no donant-li laltre element de cap parell, noms t la probabilitat d12n daconseguir-ho, perqu B ja t un element de cada parell i A no sap quin s. Simtricament, es pot aplicar el mateix si B vol enganyar A.
* Recordeu que cada element del parell t un 50% de probabilitat de ser enviat.
3.3. Signatura de contractes A lhora de signar contractes en un entorn no presencial com pot ser una xarxa informtica, ens trobem bsicament amb dos problemes: la validesa de la signatura digital i la simultanetat de la signatura. Ja hem vist la validesa que pot tenir una signatura digital des del punt de vista de la seguretat i nhem fet algunes consideracions. Ara b, quan tenim un contracte en un entorn no presencial, qui el signar primer? En el cas que no hi hagi confiana, cap de les dues parts no voldr iniciar la signatura, perqu podria resultar que un cop signat la part contrria no ho fes. Per aix necessitem un protocol per a signar contractes simultniament. Vegem com funciona:
Recordeu que hem estudiat les signatures digitals al mdul Signatures digitals daquesta assignatura.
!
Vegeu el criptosistema DES al subapartat 2.1 del mdul Xifres de clau compartida: xifres de bloc daquesta assignatura.
1) A genera aleatriament 2n claus DES (que, bviament, podrien ser de quala a sevol altre xifratge de bloc) Ka i per a i 1, ..., 2n, i n parells de missatges (L j ,R j )
per a j 1, ..., n. Aleshores, A xifra cada missatge amb una clau diferent: P a j
a EKa (Ra (La j ) per a j 1, ..., n, i Q j EKa j ) per a j 1, ..., n. j nj
2) B fa el mateix (genera les claus i els missatges) i, per tant, obt P b (Rb j EKb j) j per a j 1, ..., n, i Q b ( Lb j EKb j ) per a j 1, ..., n. nj
22
3) Al contracte que han de signar shi afegeix una clusula per la qual sespecifica que el contracte noms es considerar signat en el cas que A pugui
b a a desxifrar P b j i Q j per a algun 1 j n i B pugui desxifrar P j i Q j per a algun
1 j n. 4) A i B intercanvien les 2n claus secretes* utilitzant el protocol dintercanvi de secrets de la transferncia inconscient.
* A divideix les seves claus a en n parells (K a j , K n+j ) i B tamb ho fa en n b parells (Kb j , Kn+j ).
3.4. Correu electrnic certificat Una altra situaci de desconfiana mtua la trobem quan lAnna vol enviar un correu electrnic a en Bernat i es vol assegurar que aquest el rep. Dit duna altra manera, el que es vol obtenir s el smil del que amb el correu ordinari es coneix com a correu certificat (o, ms concretament, correu amb justificant de recepci), per en lmbit del correu electrnic. La manera daconseguir-ho s molt semblant a la tcnica de signatura de contractes que acabem destudiar. El que es pretn s que B no pugui llegir el missatge que li envia A fins que A no hagi rebut el justificant de recepci de B:
1) A genera aleatriament n 1 claus DES (que, bviament, podrien ser de qualsevol altre xifrador de bloc) Ka i per a i 0, ..., n, i en calcula n ms a para a tir de les n inicials de la manera segent: Ka n i K0 K i per a i 1, ..., n. Da-
questa manera, A obt un total de 2n 1 claus. 2) A xifra el missatge que vol enviar amb la clau Ka (M). 0 : C EKa 0 3) A xifra un missatge S, conegut tamb per B, utilitzant les 2n claus restants. (S) per a i 1, ..., 2n. Desprs envia a B els textos xifrats Ci EKa i 4) B tria 2n claus Kb i per a i 1, ..., 2n i tamb genera 2n textos xifrats del (S) per a i 1, ..., 2n, i els envia a A. missatge S, Di EKb i 5) A i B intercanvien les 2n claus secretes* utilitzant el protocol dintercanvi de secrets de la transferncia inconscient. En finalitzar el protocol, A tindr un justificant de recepci si pot desxifrar un parell (Di,Din) per a alguna 1 i n. Per la seva banda, si B obt un parell
a a de claus (Ka i ,K i n) ja pot desxifrar el missatge C, ja que la clau K0 la pot obtea a nir de la relaci segent: Ka 0 Kni Ki .
* A divideix les seves claus a en n parells (K a i , K n+i ) i B tamb ho fa en n b parells (K b i , Kn+i ).
Cal destacar que el servei de justificant de recepci en correu electrnic va ms enll que el de correu convencional, ja que en alguns esquemes ms elaborats en qu sinclouen funcions hash i criptografia de clau pblica es pot
23
incorporar un resum del correu en el justificant de recepci de manera que vagi lligat unvocament al contingut del correu.
3.5. Clcul segur a mltiples bandes El clcul segur a mltiples bandes s un concepte pel qual un conjunt de n participants cooperen per a efectuar un determinat clcul. Per tant, les entrades seran un conjunt de dades (i1, ..., in ) tals que la dada ij correspon al participant j. Com a sortida sobt el valor de loperaci que ha de conixer tothom. El principal requeriment de seguretat daquests esquemes prov del fet que els participants no han de saber quin s el valor dentrada donat per un altre usuari.
Duna manera molt simple es pot donar una de les aproximacions a la soluci. En el cas en qu hi hagi una tercera part de confiana de la qual tothom es fia, aquesta tercera part s la que pot efectuar el clcul. Com que tothom hi confia, tothom est segur que una vegada cada usuari li hagi lliurat el seu fragment dinformaci, no el mostrar a cap altra part. El que sintenta en els esquemes de clcul segur a mltiples bandes s poder prescindir daquesta tercera part de confiana. Vegem un exemple de clcul segur a mltiples bandes en el cas concret de dos participants. Aquest protocol va ser proposat per C. Yao lany 1982 i es coneix com el problema del milionari. La situaci s la segent: dos milionaris volen saber qui s ms ric, per no volen revelar el valor de les seves fortunes a ning. Per tal de simplificar una mica el problema (de fet, seria equivalent a fitar la fortuna que tenen) transformarem el cas en un altre dequivalent, en qu lAnna i en Bernat volen saber qui t ms edat sense dir quina tenen. Suposarem que tots dos sn honestos i que utilitzen les seves edats reals. LAnna t i anys, en Bernat j i cap dels dos no en t ms de 100, s a dir, es verifica que 1 i i j 100. Tamb necessitarem un esquema de clau pblica en qu hi haur un parell de claus per a lAnna (EA,DA) i un altre per a en Bernat (EB,DB). bviament, en Bernat coneix la clau pblica de lAnna, EA , i lAnna la den Bernat, EB. El protocol funciona de la manera que explicitem a continuaci:
1) B tria un nombre aleatori gran x i el xifra amb la clau pblica de A, k EA(x). 2) B envia a A el valor k j. 3) A amb la seva clau privada calcula el valor:
24
yu DA(k j u); per a 1 u 100. A tria un primer p gran (la mida de x i p sha acordat prviament de manera que la mida de p s ms petita que la de x) i calcula 100 valors zu , tals que verifiquen la relaci segent: zu yu mod p; per a 1 u 100. A ms, per a tot 1 u 100 amb u v es verifica que:
|zu zv| 2; per a 0 zu p 1. Si alguna de les desigualtats no es compleix, A tria un altre primer. 4) A dna a B la seqncia ordenada segent: z1, ..., zi, zi1 1, zi2 1, z100 1, p. Recordeu que i s ledat de lAnna. 5) B comprova si el valor j-sim de la seqncia que ha rebut s congruent amb x mod p. Si ho s, B es conven que i j; en cas contrari i j. 6) B revela la seva conclusi a A. Arribats en aquest punt, es pot tornar a executar el protocol canviant els papers de A i B. La conclusi que treu B en el cinqu pas s correcta, ja que: a) Si i j, aleshores el valor z'j de la seqncia que A envia a B en el quart pas s z'j zj . Per tant, tenim que z'j yj mod p. Com que yj DA(k j j ) DA(k) i k EA(x), ens queda que yj DA(EA(x)) x i, per tant: z'j x mod p. b) Si i j, aleshores el valor z'j verifica que: z'j zj 1 zj yj x mod p.
3.6. Clcul sobre dades xifrades El clcul sobre dades xifrades sorgeix com a necessitat per a resoldre el problema segent: suposem que lAnna vol fer un determinat clcul ( ) sobre certes dades x que t, per resulta que no t suficient potncia de clcul per a dur a terme el procs. En Bernat s que t prou capacitat computacional i, per tant, no t cap problema a calcular (x) a partir del valor x, per lAnna no vol que en Bernat obtingui cap mena dinformaci de les seves dades x. Tot i que en principi es podria veure com un problema semblant a la computaci a mltiples bandes, no s aix. La diferncia principal que hi ha entre
25
la computaci a mltiples bandes i el clcul sobre dades xifrades s que, en el primer cas, hi intervenen totes les parts per a fer el clcul, mentre que en el segon cas hi ha una part passiva que s la que delega el clcul.
Una soluci genrica per a aquest problema s el que sanomenen homomorfismes de privacitat. Els homomorfismes de privacitat van ser introduts per R.L. Rivest, L. Adleman i M.L. Dertouzos lany 1978. Un homomorfisme de privacitat (HP) s un esquema de xifratge que conserva certes operacions. s a dir, suposem que Ek s un HP que preserva la suma. Aix vol dir que, donats dos valors x i y, s el mateix fer una suma i desprs xifrar les dades que xifrar les dades i fer la suma. Per tant: Ek(x y) Ek(x) Ek( y). Els homomorfismes de privacitat tenen la peculiaritat que com ms operacions permeten conservar, menys robustos es tornen criptogrficament parlant. En particular, se sap que si un HP preserva la relaci dordre, aleshores s insegur contra atacs noms amb text xifrat. s ms, un HP que conservi la suma ser insegur per a atacs amb text en clar escollit. Des dun punt de vista computacional i de delegaci de clcul ens interessaran els HP que conservin les operacions bsiques dun cos, s a dir, { , , , }. Per tant, pel que hem esmentat anteriorment, podrem trobar HP que resisteixin atacs de text en clar conegut, per no atacs de text en clar escollits, ja que volem conservar la suma. Actualment no es coneix cap HP que preservi les quatre operacions de cos i mantingui un nivell de seguretat acceptable.
! !
LHP ms segur i que preserva ms operacions de tots els que es coneixen s el creat per J. Domingo Ferrer (1997), i que descrivim a continuaci:
Els parmetres pblics sn d, un enter positiu i, m, un enter aleatori gran (10200). La clau secreta s k (m,r), on m s un divisor petit de m i r m {0}. Lespai de text en clar s T m i el de text xifrat, T ' (m)d. Les operacions de text en clar sn F {m ,m , m } i les operacions de text xifrat a F' sn com a F, per component per component. La funci de xifratge segueix un procs concret. Dividim a de manera aleatria i secreta en (a.1, ..., a.d), on tenim que calculem: a.j a mod m i aleshores j1
d
Ek(a) (a.1r mod m, ..., a.d r d mod m).
26
El procs de desxifratge ha de seguir uns passos concrets. Donada la clau k (m,r), calculem: bj rj mod m a.j; per a 1 j d, i finalment sumem mod m per a trobar a. Pel que fa a la seguretat daquest criptosistema, es pot demostrar que si d 1 i el nombre n de parells de text en clar i text xifrat que coneix latacant s ms petit que el parmetre de seguretat s log m m, aleshores la probabilitat de trencar lHP (intentant endevinar-ne la clau) s com a mxim 2(m)ns 6. Tamb es pot demostrar que aquest HP preserva la suma, la resta i el producte. Totes les operacions en lespai de text xifrat es fan com si tractssim polinomis de variable independent r. La suma i la resta es fan component per component, mentre que el producte s el producte creuat sumant els coeficients dels mateixos graus en r. En el cas de la divisi, el seu valor es pot deixar indicat com a fracci de dos nombres.
27
4. Diners electrnics
Actualment, la manera ms habitual de portar a terme transaccions monetries per mitj dInternet s fent que el comprador envi una informaci determinada sobre la seva targeta de crdit, o b que obri un compte a un venedor amb antelaci al moment de loperaci. La crtica ms important que es pot fer a la compra per Internet basada en targetes de crdit s que no s annima. Efectivament, s possible monitoritzar les transaccions, ats que la identitat del client sestableix cada vegada que fa una compra. En la vida real tenim lalternativa de fer servir diners en metllic quan volem comprar alguna cosa sense que es conegui la nostra identitat.
El terme diners electrnics susa per a englobar els protocols i les tcniques criptogrfiques que pretenen recrear el concepte de compres en metllic per mitj dInternet.
Farem una aproximaci general als diners electrnics basada en criptografia de clau pblica. Aquesta aproximaci va ser suggerida originriament per D. Chaum (1981). Els sistemes de pagament efectuats segons la idea de Chaum ofereixen la possibilitat de lanonimat en les transaccions.
4.1. Requisits Els sistemes de diner electrnic haurien de complir, almenys, les propietats segents:
1) La falsificaci de diners hauria de ser difcil. Es considera que un client falsifica diners electrnics si naconsegueix ms dels que el banc li carrega en compte. 2) La despesa mltiple (s a dir, despendre dues o ms vegades uns diners autntics) hauria de ser impossible o, almenys, detectable. 3) Lanonimat del client hauria de ser preservat. Fins i tot si el banc i el venedor es confabulessin, no haurien de poder saber en qu despn els seus diners un client determinat. 4) Les operacions on line haurien de ser mnimes.
28
4.2. El sistema de pagament Normalment, un sistema de diners electrnics consisteix en els tres protocols segents:
1) Reintegrament. Aquest protocol permet a lusuari U obtenir una moneda digital del banc B. 2) Pagament. Amb aquest protocol, lusuari U compra bns del venedor V a canvi de la moneda digital. 3) Dipsit. Amb el protocol de dipsit, el venedor V dna la moneda al banc B perqu sigui ingressada en el compte de V. En aquests protocols hem suposat que U i V tenen el mateix banc B. Si el banc de V fos B' B, llavors hi hauria un procediment de compensaci entre B i B' desprs del dipsit. Suposem ara que el banc t una clau privada, SKB, per a signar missatges i que la clau pblica corresponent, PKB, s coneguda per tothom. Sigui SKB(m) el missatge m juntament amb la seva signatura sota la clau SKB. Llavors els protocols del nostre sistema podrien ser els que expliquem a continuaci.
1) Protocol de reintegrament a) Lusuari U diu al banc B que voldria retirar 100 euros. b) B retorna un bitllet digital de 100 euros que t la signatura segent: SKB(sc un bitllet de 100 euros,#4527), i retira 100 euros del compte de U. La xifra #4527 s el nmero de srie, que s diferent per a cada bitllet. c) U comprova la signatura del bitllet i si s vlida laccepta. 2) Protocol de pagament a) U paga al venedor V amb el bitllet. b) V comprova la signatura del bitllet i si s vlida laccepta. 3) Protocol de dipsit a) V dna el bitllet a B.
29
b) B comprova la signatura del billet i si s vlida ningressa el valor al compte de V. Evidentment, si lesquema de signatura digital s segur, s impossible falsificar bitllets en els protocols anteriors. No obstant aix, s molt fcil de duplicar i de despendre diverses vegades el mateix bitllet digital (despesa mltiple). A ms, tamb s evident que no es preserva lanonimat, ja que el banc B pot relacionar el nom de U amb el nmero de srie que apareix en el bitllet i saber aix on ha desps U el bitllet.
4.3. Signatures tapades Mirem primer de resoldre el problema de lanonimat que acabem de presentar. Per a fer-ho, ens servirem del que sanomenen signatures tapades*.
* En angls, blind signatures.
La idea de les signatures tapades s que lusuari presenta el bitllet al banc amb un cert emmascarament. En el protocol de reintegrament, el banc signa el bitllet sense veuren els continguts. Daquesta manera, el banc no pot determinar qui va retirar el bitllet quan un venedor el presenta durant el protocol de dipsit.
Una analogia til s pensar en termes de paper. Lusuari cobreix un xec amb un paper carb i ho posa tot dins un sobre tancat. Lusuari dna el sobre al banc. El banc signa el sobre per fora amb un bolgraf i el torna a lusuari sense obrir-lo (de fet, en la versi digital el banc s incapa dobrir el sobre). Tot seguit, lusuari extreu el xec signat de dins el sobre i el pot despendre. El banc no ha vist el xec que ha signat, de manera que no el pot associar amb lusuari quan el xec s dipositat pel venedor. Ara b, el banc pot verificar la signatura que porta el xec i comprovar-ne la validesa. Per amb aquest sistema hi ha un problema greu: un usuari malintencionat pot enganyar el banc perqu signi bitllets trucats. Per exemple, un usuari podria demanar al banc un reintegrament d1 euro i desprs presentar un bitllet de 100 euros perqu sigui signat. El banc signar sense saber-ho el bitllet de 100 euros, amb la qual cosa li hauran estafat 99 euros. Tractarem daquest problema ms endavant. De moment, donarem una construcci de signatures tapades basada en lRSA.
Tractem ms a fons dels problemes que porten associats les signatures tapades en el subapartat 4.4 daquest mdul didctic.
4.3.1. Signatures tapades RSA Amb la signatura RSA, la signatura dun missatge m s s md mod n si la clau pblica del signatari s (n,e)*. Podem verificar la signatura comprovant si
* Recordeu que en la signatura RSA d e1 mod (n).
30
se mod n m mod n. En el cas de les signatures tapades, lusuari U vol que el banc B li retorni s sense haver de revelar m. Si m s un bitllet de 100 euros, vet aqu un possible protocol de reintegrament. Protocol de reintegrament
Les signatures RSA sestudien al subapartat 2.1 del mdul Signatures digitals daquesta assignatura.
!
En les signatures tapades RSA,...
a) U tria un nombre aleatori r mod n. b) U tapa el missatge i calculant m' mr e mod n. c) U dna m' al banc B. d) B retorna una signatura per a m', per exemple s (m')d mod n. Noteu que s' (m')d md(r e)d mdr. e) B carrega 100 euros al compte de U. f) Com que U sap r, pot dividir s' per r per a obtenir s md. Daquesta manera, hem resolt el problema de lanonimat, ja que quan el bitllet torna a B no hi ha cap relaci entre el bitllet i lusuari U a qui va ser lliurat inicialment.
... els protocols de pagament i de dipsit continuen essent els mateixos del subapartat 4.2 daquest mdul.
4.4. Com evitar lengany al banc Les signatures tapades resolen el problema de lanonimat, per encara queden per a resoldre dos problemes ms: Lusuari pot enganyar el banc fent-li signar all que no correspon (com ara un bitllet de 100 euros fent-li creure que s d1 euro). Els bitllets es poden duplicar i despendre diverses vegades (despesa mltiple). Dues solucions possibles per al primer problema sn les segents:
1) Es pot tenir tan sols una denominaci per clau pblica; s a dir, B tindria diverses claus pbliques PK1B, PK2B , ..., de tal manera que la signatura verificable amb PKiB noms valdria per a bitllets de i euros. 2) Una altra possibilitat s lanomenat procediment de remenar i triar, el procs del qual segueix els passos segents: a) U fabrica 100 bitllets de 20 euros. b) U tapa tots els bitllets (amb uns nombres aleatoris r).
31
c) U dna els bitllets tapats al banc B. d) B nagafa un a latzar i demana a U que destapi la resta (revelant-ne els nombres r corresponents). Abans de retornar la signatura del bitllet que ha triat, B sassegura que tots els bitllets revelats eren correctes. Amb aquest darrer procediment, U noms t una probabilitat 1100 de fer trampa sense ser detectat. Augmentant el nombre de bitllets tapats que ha de fabricar U, podem reduir arbitrriament la probabilitat que una trampa de U quedi sense detectar.
4.5. Diners electrnics on line Fins ara hem aconseguit resoldre els problemes de lanonimat i de lengany al banc. Queda el problema de la despesa mltiple del mateix bitllet, que resoldrem amb els diners electrnics on line.
En la versi on line dels sistemes de diner electrnic es demana que el banc B registri tots els bitllets que ha rebut en una base de dades. Durant el protocol de pagament, el venedor V transmet el bitllet a B i demana si aquell mateix bitllet havia ja estat rebut amb anterioritat. Si es fa servir per primera vegada, V laccepta; altrament, el rebutja.
Tot i que es tracta duna soluci senzilla, requereix molta comunicaci, ats que el protocol de pagament sassembla molt a una transacci per targeta de crdit, en la qual el venedor V espera autoritzaci abans de cloure el tracte. Daltra banda, la mida de la base de dades que ha de mantenir B pot arribar a ser problemtica. La soluci on line impedeix la despesa mltiple. Ara b, s possible detectar la despesa mltiple sense verificaci on line.
4.6. Diners electrnics off line
La idea dels diners electrnics off line s la segent: durant el protocol de pagament, U s obligat a escriure una tira aleatria didentificaci (TAI) sobre el bitllet. La TAI ha de complir tres requisits: Que sigui diferent per a cada pagament del bitllet.
32
Noms U ha de poder crear una TAI vlida. Dues TAI diferents sobre el mateix bitllet haurien de permetre a B recuperar el nom de U.
Aix, si B rep dos bitllets idntics amb valors de TAI diferents, llavors U ha fet trampa i B pot identificar-lo. Si B rep dos bitllets idntics amb els mateixos valors de TAI, llavors el tramps s el venedor V. Si H s una funci hash unidireccional, un sistema possible de diners off line s el que presentem tot seguit.
1) Protocol de reintegrament a) U prepara 100 bitllets de 20 euros amb el format segent: ',1, yi,2, y i ',2, ..., yi,K, y i ',K), mi (sc un bitllet de 20 euros, #4257i, yi,1, y i ',j H(x i ',j), amb xi,j i x i ',j triats aleatriament amb la restricci on yi,j H(xi,j), y i segent: ',j nom de U; i, j. xi,j x i ' i envia aquests b) U tapa tots els mi transformant-los en missatges aleatoris m i darrers al banc B. c) B demana a U que destapi 99 dels 100 bitllets tapats. ',j adequats. d) Quan U destapa els bitllets, tamb revela els xi,j i x i e) Per als bitllets destapats, B comprova no tan sols que sn de 20 euros, sin ',j H(x i ',j) i xi,j x i ',j nom de U. tamb que yi,j H(xi,j), y i ' ). f) B retorna una signatura per a lnic bitllet tapat (posem per cas m 13 g) U recupera la signatura s13 sobre m13. A partir dara, prescindirem de lndex i 13 per simplicitat. El protocol de pagament es modifica per forar U a produir una TAI sobre el bitllet. La TAI ser la concatenaci de les xj o x j' per a j 1, ..., K. Quina xj o x j' sigui depn dun repte aleatori que llana el venedor V. 2) Protocol de pagament a) U dna (m,s) a V.
33
b) V verifica la signatura del banc B sobre el bitllet i si s vlida respon amb una tira aleatria de bits de longitud K: b1, ..., bK (repte). c) Si bj 0 lusuari U revela xj; altrament, revela x j'. d) V comprova que yj H(xj) o que y j' H(x j'), segons el cas. Si les comprovacions funcionen per a tot j, V accepta el bitllet. Es compleixen les propietats de la TAI enunciades al principi del subapartat. La probabilitat que en un pagament diferent es produeixi la mateixa TAI s 2K, ats que V tria el repte aleatriament. Noms U pot produir una TAI vlida ja que la funci H s unidireccional. Finalment, dues TAI diferents sobre el mateix bitllet revelen el nom de U, ats que si dues TAI sn diferents hi ha dhaver un ndex j per al qual tinguem tant xj com x j'. 3) Protocol de dipsit a) V porta el bitllet (m,s,TAI) al banc B. b) B en verifica la signatura i comprova si (m,s) ja havia estat dipositat. c) Si el bitllet ja era a la base de dades, B compara les TAI dels dos bitllets. Si sn diferents, lusuari U ha desps el bitllet dues vegades; si sn iguals, s el venedor V qui intenta dipositar la moneda dos cops.
34
5. Concessi de drets intransferibles
En un sistema informtic distribut, les entitats que requereixen identificaci sn els ordinadors, els usuaris i els processos. Quan una daquestes entitats demana un servei duna altra entitat, el terme client designa la primera entitat, i el terme servidor, la segona. Se sol suposar que els servidors sn fiables en el sentit que noms proporcionen el servei desprs dhaver comprovat que el prets client t el dret dobtenir-lo. Considerem un escenari distribut consistent en una gran xarxa amb una autoritat central, un conjunt de servidors fiables que donen accs a certs recursos i una comunitat de clients*. Imposem els requisits de funcionament segents:
* Per exemple, podem pensar que lautoritat s un banc i que parlem duna xarxa de caixers automtics (servidors).
Targeta VISA La utilitzaci daquesta targeta s personal i intransferible, per la qual cosa lestabliment pot sollicitar qualsevol document que acrediti la personalitat de lusuari [...].
Independncia: lautoritat dna dalta clients i els concedeix drets sense haver-ne dinformar els servidors, els quals no guarden informaci daccs sobre els clients. Control daccs: per a poder dur a terme el control daccs, els servidors necessiten noms una llista certificada dels drets disponibles. Intransferibilitat: sense el concurs de lautoritat, un client no pot transferir part dels seus drets a un altre client. Cal remarcar que els esquemes convencionals de control daccs no compleixen el requisit dindependncia. La intransferibilitat de drets s trivial si obliguem cada servidor a guardar informaci sobre qui pot accedir a un determinat servei. Ara b, aconseguir alhora independncia i intransferibilitat no s tan senzill. Lesquema proposat per J. Domingo Ferrer (1994) compleix els tres requisits esmentats anteriorment i ofereix una seguretat tal que: a) El fet que un client que no comparteix cap dret amb ning usurpi un dret, s tan difcil com resoldre un logaritme discret. b) Si es fa servir un criptosistema de clau pblica segur, la compartici de drets entre clients no compromet els seus drets no compartits. c) Si es fa servir un criptosistema de clau pblica segur, lnica manera que un client t de transferir alguns dels seus drets a un altre s per mitj de lautoritat. Noteu que la intransferibilitat es refereix a la impossibilitat de fer transferncies parcials de drets: la penalitzaci que pateix un client c per transferir
Per exemple,... ... el mecanisme de matriu daccs requereix que el servidor guardi una matriu que diu quins drets t cada client.
35
alguns drets a c' s que tots els drets de c passen a c'. La transferncia total de drets o alienaci s inevitable: nhi ha prou que c reveli la seva identitat (clau secreta, paraula de pas, PIN, etc.) a c'.
5.1. Situaci inicial
Un servidor sanomena servidor independent de client si no guarda informaci daccs protegida sobre els seus clients potencials (llistes daccs ni capacitats).
Siguin p i dos nombres pblics, en qu p s un primer gran i s un genera2 dor de p . Prenem p (mn) , on m s el nombre de clients i n s el nombre de
drets. Considerem qualsevol criptosistema de clau pblica segur (per exemple, lRSA amb mdul N p). Sigui E( ) la transformaci de xifratge amb la clau pblica i D( ) la transformaci de desxifratge amb la clau privada. Per a lRSA, E(x) xe mod N i D( y) y d mod N.
Suposem que la transformaci E( ) s pblica, mentre que D( ) noms s coneguda pels servidors. Aix, doncs, la ra per a suposar que els servidors sn fiables s que han de guardar la transformaci privada D( ).
5.2. Lesquema i les seves propietats Sigui auth lautoritat central de la xarxa. En presncia de diversos clients c0, ..., cm1, cal trobar una manera de concedir el mateix dret a ms dun client, tot fent que lexpressi numrica y del dret sigui nica (els drets tamb han de ser independents del client). Lalgorisme segent dna una soluci per a aquest problema. Per a donar a un client c els seus drets inicials y0, ..., yn1, lautoritat auth fa aquest algorisme de concessi de drets:
1) Suposant que els t primers drets entre els y0, ..., yn1 han estat concedits a algun altre client en el passat, tria n t enters aleatoris xi, t i n 1 sobre p1. 2) Tria un nombre aleatori a sobre p1, tal que mcd(a,p 1) 1. 3) Genera n enters aleatoris ri sobre p1, tals que mcd(ri,p 1) 1, per a 0 i n 1. 4) Troba n nombres zi no nuls sobre p1, per a 0 i n 1, tals que:
36
x0 r0 az0 mod (p 1), xn1 rn1 azn1 mod (p 1), (5.1)
on, per a 0 i t 1, xi s tal que yi xi mod (p 1)*. Per a calcular zi cal trobar zi resolent la i-sima equaci fent servir que a t invers a p1. 5) Calcula yi : xi mod p, per a t i n 1 i afegeix aquests nombres juntament amb llur significat s a dir, all a qu el dret yi dna accs a la llista pblica i certificada de drets disponible tant per als servidors com per als clients. 6) Dna els nombres zi, E(ri), per a 0 i n 1 a c de manera pblica. 7) Dna el nombre a a c de manera confidencial. a s la identitat del client c. Algunes remarques addicionals sobre la concessi de drets sn les segents: a) Si el mateix dret es dna a dos clients diferents, c i c', lautoritat els dna ',E(r i ')), diferents, ja que cada parell depn de la identitat parells, (zi,E(ri)) i (z i del client (a o a'). b) s possible donar en pblic un dret addicional yn xn mod p a un client que t drets yi xi mod p, per a 0 i n 1 i un nombre secret a. Amb lalgorisme de concessi de drets, noms cal que auth tri un enter aleatori rn sobre p1, tal que xn rn azn mod ( p 1). Els (zn,E(rn)) resultants sn donats finalment en pblic al client. c) Per a revocar drets cal que lautoritat publiqui una nova llista certificada de drets; llavors, per a cada client c, auth publica nous nombres zi, E(ri ) corresponents als drets que mant el client. d) Per a cada client c, es compleix el teorema segent (teorema 1): si lautoritat auth ha completat lalgorisme de concessi de drets per a un client c, llavors c s capa de mostrar possessi dels seus drets y0, ..., yn1 (o dun subconjunt daquests) a qualsevol servidor de la xarxa, que no necessita saber res de c prviament. Nhi ha prou que el client demostri coneixement dun sol logaritme, independentment del valor n. Per a un client que no comparteix cap dret, robar-ne un sembla tan difcil com resoldre un logaritme discret.
Demostraci del teorema 1 1) Correcci. Per a obtenir accs al servei representat pel dret yi , un client c i un servidor segueixen el protocol que especifiquem tot seguit. Protocol daccs a un servei a) c dna al servidor enters A ( 1), zi i Ei ( 0) que satisfan lequaci segent:
* Lautoritat guarda els logaritmes dels drets ja concedits.
37 (5.2)
yi D(Ei) Azi mod p.
b) c demostra el seu coneixement de log A sobre p1 (aix es pot provar en coneixement nul amb els protocols 1 o 2 de D. Chaum i altres (1988)). Remarquem que la identitat a fou donada a c en el darrer pas de lalgorisme de concessi de drets, i s immediat a partir de les equacions 5.1 que A : a mod p satisf lequaci 5.2 quan Ei E(ri ) i es fa servir el mateix zi a la i-sima equaci 5.1 i a lequaci 5.2. c) El servidor comprova que zi i Ei satisfan lequaci 5.2. Si aquesta comprovaci i la demostraci del pas b han tingut xit, el servidor concedeix accs al servei representat per yi. 2) Seguretat. Lequaci 5.2 s verificable pel servidor ats que yi s public i certificat. Tot seguit mostrarem que el protocol daccs a un servei fa molt difcil que un client c usurpi un dret yi que no posseeix. La usurpaci noms s possible si c pot proporcionar al servidor una tripla, zi, Ei, A, que satisfaci lequaci 5.2. Per si c pot trobar aquesta tripla, llavors pot calcular el logaritme discret de yi com: xi log yi D(Ei) azi mod ( p 1). Per tant, la usurpaci s almenys tan difcil com calcular el logaritme discret de yi, i aix sembla tan complicat com el problema del logaritme discret en general. Observeu que la dificultat de trobar D( ) no s rellevant, perqu implcitament suposem que lusurpador c coneix a log A i D( ). La demostraci conclou i el servidor no ha necessitat cap informaci prvia sobre c.
Per tal dobtenir accs simultani... ... als drets representats per y0, ..., yn, es pot seguir el mateix protocol, tot considerant n equacions en comptes de lnica equaci 5.2 del pas a i fent que el servidor faci n comprovacions al pas c. El pas b queda igual.
Altres propietats de lesquema Propietat de seguretat de la compartici de drets. Si es fa servir un criptosistema de clau pblica segur, no s factible per a un client c de determinar la identitat dun altre client c' i robar-li aix els drets no compartits aprofitant que c i c' comparteixen un dret o un grup de drets. Propietat dintransferibilitat dels drets. Si es fa servir un criptosistema de clau pblica segur i els clients no alienen les seves identitats, no s factible per a un client c transferir un dret a un altre client c' servint-se del fet que c posseeix el dret.
Demostraci de la propietat dintransferibilitat dels drets Grcies a ls daleatoritzaci i al xifratge subsegent dels nombres aleatoris, cap dels enters xi, ri situats al membre esquerre de les equacions 5.1 no s conegut per un client c que posseeix un dret yi. La possessi del dret noms vol dir que lautoritat ha ems dos nombres pblics, zi, Ei, que relacionen la identitat a de c amb el dret yi segons lequaci 5.2. Ara b, ',E i ' tal que: perqu c pugui transferir yi a un altre client c', li cal trobar un parell z i xi D(E i ' ) a'z i ' mod ( p 1) (5.3)
Nota Pel seu carcter tcnic, deixem com a exercici dautoavaluaci la demostraci de la propietat de seguretat de la compartici de drets.
c pot eliminar la incgnita xi de lequaci 5.3 i de lequaci anloga amb els seus valors Ei, a, zi, amb la qual cosa obt lequaci segent: D(E i ' ) D(Ei ) a'z i ' azi mod ( p 1) (5.4)
Sense conixer D( ) ni a (se suposa que no hi ha alienaci de c en c), sembla difcil de trobar valors E i ' ,z i ' que satisfacin lequaci 5.4.
Lnica manera de transferir un dret yi s per mitj de lautoritat. En efecte, de manera anloga a la demostraci del Teorema 1, c demostra a lautoritat la possessi de yi; aix implica que c sha dautentificar demostrant coneixement de la seva identitat a. El receptor c' sautentifica a lautoritat demostrant
38
possessi de la seva identitat a' en coneixement nul. Finalment, en funci de la poltica de seguretat vigent, lautoritat pot decidir transferir a c' el dret yi.
5.3. Recapitulaci i aplicacions Tal com acabem de mostrar, lesquema proposat per a concedir drets intransferibles s molt flexible, ja que la gesti dels clients es pot fer independentment dels servidors i no cal canviar el secret a dun client per a concedir-li o revocar-li drets. Si diem que dues entitats sn mtuament dependents quan hi ha alguna informaci secreta que comparteixen, hem mostrat que les dependncies funcionals entre les diferents entitats del sistema sn les de la taula segent:
Dependncies funcionals Depn de Autoritat Client Servidor Dret Autoritat S No S Client S No No Servidor No No No Dret S No No
Les niques dependncies que hi ha sn entre una comunitat de clients i lautoritat que els va donar llur identitat, i tamb entre un conjunt de drets i lautoritat que els publica i els certifica en una llista. Per tant, veiem que, a ms de ser independents del client, els servidors sn tamb independents de lautoritat. Aix suggereix estendre lesquema proposat de tal manera que diverses autoritats (cadascuna amb la seva comunitat de clients i llista de drets) comparteixin el mateix conjunt de servidors.
Exemples daplicaci de la concessi de drets A continuaci us oferim uns quants exemples daplicaci de lesquema de concessi de drets intransferibles. 1) Considereu un sistema de control daccs per a la seu duna empresa, en la qual: Lautoritat s lempresa, representada per un ordinador de control connectat a una xarxa drea local. Els clients sn els empleats representats per les seves respectives targetes intelligents. Els servidors sn dispositius especials connectats a la xarxa drea local i situats a prop de les portes dels diversos edificis i cambres de la seu. Els drets permeten laccs a les diferents cambres en diverses franges horries. La llista certificada de drets s un fitxer pblic signat digitalment que mant lordinador de control i que s baixat pels servidors de porta cada vegada que detecten que ha estat actualitzat.
39
Quan es contracta un empleat, se li dna una targeta intelligent inicialitzada amb un nombre secret a (juntament amb alguns drets inicials, seguint lalgorisme de concessi de drets). Les actualitzacions dels nombres zi, Ei corresponents als drets de cada empleat es difonen regularment per mitj de les pgines web o dels butlletins interns de lempresa. Per comoditat, aquests nombres tamb es troben disponibles en un fitxer pblic guardat a lordinador de control; els nombres que afecten els drets dun empleat es poden carregar a la targeta intelligent de lempleat inserint-la en qualsevol ordinador connectat a la xarxa. Si un empleat vol entrar en una cambra, insereix la seva targeta al servidor de porta i senceta el protocol daccs a un servei entre la targeta i el servidor. Per tal que un empleat pugui transferir un dret a un altre empleat, tots dos han de recrrer a lordinador remot i seguir el procediment de transferncia autoritzada. Lordinador de control decideix sobre la transferncia segons la poltica de seguretat de lempresa i mant un registre de les transferncies que ha autoritzat amb finalitat dauditoria. En aquest exemple, els servidors de porta poden ser microordinadors de baix preu que contenen un rellotge, sistema de circuits per a obrir la porta, un petit processador, una memria ROM normal per a implementar el protocol daccs a un servei, una ROM protegida per a guardar de manera segura una clau privada, una memria RAM per a guardar la llista actual de drets i una connexi de xarxa. Les targetes intelligents consten dun processador, una memria ROM normal per a implementar el protocol daccs a un servei i el de transferncia autoritzada, una ROM protegida per a guardar la identitat a i una memria de lectura/escriptura per a guardarhi els nombres actuals zi, Ei per cada dret yi. La concessi de drets i lalta dempleats poden ser duts a terme per lautoritat independentment dels servidors. Tant la concessi com la revocaci de drets sn procediments pblics. 2) A tall dexemple amb diverses autoritats, considereu una xarxa de caixers automtics compartida per diverses entitats emissores de targetes de crdit: Els emissors de targetes sn les autoritats, cadascun amb la seva comunitat de clients (els usuaris de les targetes) i un conjunt de servidors compartits (els caixers automtics). Els drets permeten efectuar diverses operacions bancries. Grcies a la simplicitat i a la independncia de la funcionalitat del servidor, el nostre esquema s molt apropiat per a un escenari tan complex.
Recordeu que hem tractat del procediment de transferncia autoritzada al subapartat 5.2 daquest mdul.
40
6. Eleccions electrniques
Si volem traslladar el mecanisme electoral del mn fsic (les paperetes, els sobres, la mesa electoral, el desplaament del votant al collegi, etc.) al mn virtual (cada elector vota des del seu ordinador connectat a Internet), els problemes de seguretat que apareixen no sn gens trivials.
Les eleccions electrniques poden ser vistes com lexemple tpic de clcul segur a mltiples bandes. Recordem que la formulaci general daquest problema s que hi ha m participants, cadascun dels quals t la seva entrada privada, xi. Es vol calcular el resultat duna funci ndimensional (x1, ..., xm) sense que els participants shagin de revelar mtuament les seves entrades xi. En el cas de les eleccions electrniques, els participants sn els votants, les seves entrades sn un valor binari, la funci que es calcula s una suma i el resultat s el recompte de vots.
En general, la finalitat s que un protocol deleccions electrniques compleixi els requisits segents:
1) Noms poden votar les persones autoritzades. 2) Ning no pot votar ms duna vegada. 3) El secret del vot s preservat. 4) Ning no pot duplicar el vot dalg altre. 5) El recompte de vots es fa correctament. 6) Qualsevol hauria de poder comprovar la correcci del recompte. 7) El protocol hauria de ser tolerant a fallades, en el sentit que hauria de funcionar correctament fins i tot en presncia dun cert nombre de participants deshonestos. 8) Hauria de ser impossible obligar un votant a revelar qu ha votat*.
* Per exemple, per evitar la compra de vots.
Habitualment, en un protocol delecci no s desitjable fer participar tots els votants Vi en el procs de clcul. Per tant, suposem que hi ha n collegis
41
electorals, C1, ..., Cn, la tasca dels quals s recollir els vots i calcular-ne el recompte.
6.1. El protocol delecci de Merritt En lesquema de M. Merritt (1983), cada collegi publica una clau pblica, Ei , i mant secreta la clau privada corresponent. Per tal demetre el seu vot vj, cada votant Vj tria un nombre aleatori sj i calcula: E1(E2( ... En(vj,sj) ... )) yn1,j. (6.1)
Ls del subndex n 1 quedar justificat tot seguit. El pas segent s publicar els valors y. Comenant pel collegi Cn i acabant per C1, cada centre Ci fa el segent: per a cada yi1,j, Ci tria un valor aleatori ri,j i publica yi, i( j ) Ei( yi1,j, ri,j ). i( j) s la imatge de j per una permutaci aleatria i dels enters [1 ... n]. El collegi Ci guarda la permutaci en secret. Al final tenim lequaci segent: y1, 1( 2( ... n( j ) ... )) E1(E2( ... En( yn1,j,rn,j) ... r2, 3( ... n( j ) ... ) ) r1, 2( ... n( j ) ... ) ). (6.2)
En aquest punt, comena el cicle de verificaci. Per cada vot rebut, es fan dues iteracions de desxifratge en lordre segent: C1 C2 ... Cn. Per a cada j, la primera iteraci extreu yn1,j a partir de lequaci 6.2. Per a cada j, la segona iteraci extreu vj de yn1,j (equaci 6.1). Els valors desxifrats sn anunciats i el recompte es calcula com la suma dels vots vj. Noteu que cada iteraci requereix desxifrar amb les claus privades de tots els collegis; per tant, el recompte requereix la participaci de tots els collegis. Clarament, se satisfan els requisits 1 i 2. Tamb se satisf el requisit 3, ja que en revelar els vots es mant secreta la connexi entre el vot i el votant que lha ems. Per a reconstruir aquesta connexi caldria conixer totes les permutacions i. El requisit 4 no se satisf, perqu el votant V1 pot copiar el votant V2, per exemple, emetent la mateixa cadena de carcters xifrada (vegeu lequaci 6.1). Els requisits 5 i 6 se satisfan amb ls de cadenes aleatries: a) Per a cada vot, cada collegi comprova durant la primera iteraci de desxifratge que la seva cadena aleatria apareix en el valor desxifrat. Aix, els
42
collegis sasseguren que tots els seus textos xifrats (corresponents als diferents vots) es tenen en compte. b) Per a cada vot vj, cada votant j cerca la seva cadena sj per assegurar-se que el seu vot s comptat. Si els sj sn prou llargs i aleatoris, la probabilitat que nhi hagi dos diguals s negligible. Noteu que, per a verificar la correcci de lelecci, cal la cooperaci de tots els votants, la qual cosa s negativa en grans eleccions. El requisit 7 requereix un mats. Si ens preocupa que la presncia de participants deshonestos pugui trencar el secret de vot, llavors el protocol de Merritt s perfecte. Efectivament, fins i tot en el cas que hi hagi n 1 collegis deshonestos, no aconseguiran saber qui ha ems un determinat vot. Per a trencar el secret, cal conixer totes les permutacions i. No obstant aix, si ens preocupa la tolerncia a fallades, el protocol s nefast; noms que un dels collegis falli (per exemple, per avaria informtica), tot el sistema cau i cal repetir tot el procs deleccions. El requisit 8 no se satisf. El votant pot ser obligat a revelar vj i sj i, si intenta mentir sobre el seu vot, ser descobert perqu els valors declarats no encaixaran amb el text xifrat yn1,j.
Lectura recomanada Per a obtenir una panormica ms mplia sobre eleccions electrniques, podeu consultar lobra segent: J. Borrell (1996). Estudi i desenvolupament dun esquema criptogrfic per realitzar votacions segures sobre una xarxa local (Tesi doctoral). Barcelona: Universitat Autnoma de Barcelona.
6.2. Altres protocols Una proposta recent de Cramer i altres (1996) aconsegueix satisfer el requisit 4 (cpia de vots impossible). Aquesta possibilitat no requereix que tots els votants cooperin en la verificaci del recompte (millor soluci per al requisit 6) i proporciona tolerncia a fallades (requisit 7). Malauradament, lextensi i la complexitat tcnica de la proposta no fan aconsellable incloure-la en aquest text.
43
Resum
En aquest mdul didctic hem fet referncia a protocols dautentificaci i didentificaci. En particular, hem descrit el protocol de tres passos de Shamir, que no necessita cap intercanvi de claus pbliques ni privades, per que requereix un sistema de xifratge simtric respecte de la clau. Tamb hem vist el protocol didentificaci de Fiat-Shamir, que s una prova de coneixement nul. De fet, per, una descripci ms acurada de les proves de coneixement nul sha fet en el subapartat 1.3, al qual hem descrit el protocol de D. Chaum, J.H. Evertse i J. van de Graaf que demostra la possessi del logaritme discret amb una prova de coneixement nul. Hem descrit les caracterstiques principals dels esquemes de compartici de secrets i els camps daplicaci que t. Hem vist com funcionen els esquemes vectorials, com tamb els dinterpolaci polinmica proposats per Shamir. Pel que fa a les situacions de desconfiana mtua, hem estudiat diversos protocols com el comproms de bit i la transferncia inconscient, que, tot i no tenir una aplicaci directa, sn una pea fonamental en els protocols dintercanvi de secrets, la signatura de contractes o el correu electrnic certificat. Daltra banda, hem descrit lescenari del clcul segur a mltiples bandes tot donant com a exemple el problema del milionari. Hem donat tamb la definici dhomomorfisme de privacitat i hem descrit la utilitzaci que t per al clcul sobre dades xifrades. Els sistemes de diner electrnic haurien dimpossibilitar la falsificaci, fer difcil la despesa mltiple, preservar lanonimat del client i minimitzar les operacions on line. Els sistemes de targeta magntica actuals no satisfan els dos darrers requisits. En canvi, hem presentat una soluci criptogrfica que compleix tots els requisits anteriors. En una xarxa de servidors amb mltiples autoritats, cadascuna de les quals t una comunitat de clients, hem mostrat com les autoritats poden concedir i revocar drets intransferibles als seus clients de manera pblica. Un client no pot transferir a un altre part dels seus drets sense haver tingut en compte lautoritat pertinent. Lesquema proposat t lavantatge que la gesti dels drets per part de lautoritat no requereix comunicaci secreta amb els servidors. Finalment, hem enumerat els requisits que ha de complir un sistema delecci electrnica (votaci per mitj dInternet) si vol oferir les mateixes garanties que un sistema delecci convencional (amb paperetes i sobres). A tall dillustraci, hem esbossat un protocol relativament senzill que satisf alguns dels requisits enumerats.
45
Activitats
1. Visiteu la pgina web http://www.digicash.com. Hi trobareu informaci sobre sistemes de pagament comercials semblants al que hem descrit, en el sentit que preserven lanonimat del client. 2. Visiteu la pgina web http://www.mastercard.com. Cerqueu-hi informaci sobre el sistema SET (Secure Electronic Transactions), que, amb el suport de VISA i MasterCard, es perfila com lestndard de facto en pagaments electrnics. En la seva versi actual, el sistema SET no proporciona anonimat per al client. 3. Proposeu un exemple daplicaci de lesquema de drets intransferibles diferent dels proposats al text. 4. Analitzeu com es compleixen els requisits 1 a 8 en les eleccions convencionals. Quins avantatges i quins inconvenients tindria la democrcia directa, que consisteix en la votaci via Internet de totes les decisions importants per al ciutad?
Recordeu que hem vist un exemple daplicaci de lesquema de drets intransferibles al subapartat 5.3 daquest mdul.
! !
Recordeu que hem estudiat els requisits que ha de complir un protocol deleccions electrniques a lapartat 6 daquest mdul.
Exercicis dautoavaluaci
1. Donats els parmetres segents, reproduu el protocol didentificaci de Fiat-Shamir: Lidentificador de lusuari s I 41. El valor n triat per lautoritat certificadora val n 7 13 91. La funci hash utilitzada s (I,i) I i mod n. El nombre de valors que lautoritat certificadora calcula s k 10. Els ndexs triats sn un total de t 4, i corresponen als valors (i1,i2,i3,i4) (2,4,8,10). 2. Utilitzeu el protocol de Shamir per a generar els fragments dun sistema de llindar (3,5), per compartir el nombre secret 11. Preneu com a primer p 13. 3. Tant a lAnna com a en Bernat els ha tocat el sorteig dels cecs, que reparteix fins a quatre milions. LAnna ha tingut ms sort i ha obtingut quatre milions mentre que en Bernat noms nha rebut dos. Cap dells no vol dir la quantitat que li ha tocat per volen saber a qui dels dos els ha tocat ms. Desenvolupeu el protocol del problema del milionari per tal que tots dos puguin saber qui ha guanyat ms sense saber quant li ha tocat a laltre. 4. Comproveu que el xifratge RSA s un homomorfisme de privacitat que conserva el producte. 5. En aquest mdul didctic hem esmentat dues solucions per a evitar lengany al banc en un sistema de pagament. La primera s tenir una signatura per cada valor de bitllet (denominaci). La segona s el procediment de remenar i triar. Cerqueu un avantatge de cada soluci respecte de laltra. 6. En el mecanisme de detecci de despesa mltiple off line, el venedor V pot intentar dipositar dos bitllets idntics amb diferents TAI, per mirar dinculpar algun client. Per a aconseguir-ho, li caldria endevinar una TAI per al segon bitllet que, juntament amb la TAI del primer bitllet, dons el nom dalgun client. Quina probabilitat t V de sortir-sen? 7. Demostreu la propietat de seguretat de la compartici de drets de lesquema de drets intransferibles. 8. Quina s la funci dels enters aleatoris sj i ri,j al protocol delecci de Merritt?
Vegeu la propietat de seguretat de la compartici de drets de lesquema de drets intransferibles que hem tractat al subapartat 5.2 daquest mdul.
Nota Per a resoldre aquest exercici feu servir com a sistema de clau pblica lRSA amb n 55 i el parell de claus (DA 3,EA 27).
46
Solucionari
Exercicis dautoavaluaci
1. Amb les dades donades es pot confeccionar la taula segent: vi I i mod n 41 43 34 29 6 64 76 22 83 36
1 v i mod n 1 si v i mod n
ndex i 1 2 3 4 5 6 7 8 9 10
20 36 83 22 76 64 6 29 34 43
6 29 8 22 15
Com que (i1,i2,i3,i4) (2,4,8,10), tenim que lusuari haur rebut de lautoritat certificadora lidentificador I 41 i els valors (s2,s4,s8,s10) (6,29,22,15) que noms ell coneix i que determinaran la seva identitat. Per tant, quan lusuari es vulgui identificar haur dexecutar el protocol segent: 1) P enviar a V, I 41 i (i1,i2,i3,i4) (2,4,8,10). 2) V utilitza la funci hash (I,i) I i mod n per a calcular vij : vi1 v2 412 43 mod 91. vi2 v4 414 29 mod 91. vi3 v8 418 22 mod 91. vi4 v10 4110 36 mod 91. 3) P tria un valor aleatori, posem per cas r 58 i envia a V el valor x 582 mod 91 88. 4) V tria un vector binari aleatori, per exemple, (b1,b2,b3,b4) (0,1,1,1) i lenvia a P. 5) P utilitza aquest vector aleatori per a calcular y rs4s8s10 58 29 22 15 51 mod 91. 6) Finalment, V comprova que x y2v4v8v10. En efecte, 88 512 29 22 36 88 mod 91. Al final daquest procs P ha pogut enganyar V amb una probabilitat d12t 124. Si volem disminuir aquesta probabilitat repetirem el procs des del pas 3 fins al 6 les vegades que vulguem. 2. El polinomi per a generar els fragments estar compost pel terme independent 11, tindr com a grau m 1 3 1 2 i com a coeficients els nombres aleatoris, que poden ser x1 8 i x2 7. Daquesta manera, el polinomi s P(x) 7x2 8x 11 mod 13. Per a generar els fragments prenem 5 valors menors que p i calculem les seves imatges pel polinomi P(x). Prenent com a valors {1, 2, 3, 4, 5} tindrem: P(1) 7 8 11 0 mod 13. P(2) 28 16 11 3 mod 13. P(3) 63 24 11 7 mod 13. P(4) 112 32 11 12 mod 13. P(5) 175 40 11 5 mod 13. Per tant, els fragments dels participants sn: (1,0), (2,3), (3,7), (4,12), (5,5). 3. De lenunciat es desprn que i 4, j 2, 1 u 5, n 55 i (DA 3,EA 27). Llavors: 1) B tria un valor aleatori, per exemple, x 37, i el xifra amb la clau pblica de lAnna, EA 27, s a dir, k 3727 mod 55 38. 2) B envia a A, k j 38 2 36. 3) A amb la seva clau privada DA 3 calcula: y1 (38 2 1)3 mod 55 373 mod 55 53. y2 (38 2 2)3 mod 55 383 mod 55 37. y3 (38 2 3)3 mod 55 393 mod 55 29. y4 (38 2 4)3 mod 55 403 mod 55 35.
47
4) A tria un primer p x 37, per exemple, p 31 i calcula: z1 53 mod 31 22. z2 37 mod 31 6. z3 29 mod 31 29. z4 35 mod 31 4. Com podem veure, el valor de p triat s correcte perqu es compleix que 0 zu p 1 i |zu zv| 2. 5) A envia a B la seqncia segent: z1, z2, z3, z4, p, que en el nostre cas s: 22, 6, 29, 4, 31. 6) B comprova si z2 x mod p. En aquest cas, com que 6 37 mod 31, B pot concloure que j 2 4 i i, per tant, sap que ell ha guanyat menys diners que lAnna. 4. Sigui n pq, E(x) xe mod n i sigui d tal que ed 1 mod (n). Hem de comprovar que: E(x y) E(x)E(y). Aix, trobem que: E(x y) (x y)e mod n x ey e mod n (x e mod n)(y e mod n) E(x) E(y). 5. Tenir una signatura per a cada denominaci s ms simple de clcul que no pas per mitj del procediment de remenar i triar (que requereix generar molts bitllets, tapar-los i destapar-los). En canvi, lavantatge del procediment de remenar i triar s que permet generar bitllets de qualsevol valor (i en qualsevol divisa); adoneu-vos que tenir una signatura per a cada denominaci implica disposar dun nombre finit de denominacions, amb la qual cosa tenim un problema a lhora de tornar canvi. 6. Perqu dues TAI diferents siguin acceptables, per a cada ndex j o b tenim el mateix valor o b tenim xj x'j amb xj x'j nom de U. El ms senzill per a V s fer que la TAI falsa difereixi de lautntica en noms un ndex (posem j 1). Llavors, si a la TAI autntica hi havia x1, V ha dendevinar x'1 tal que x1 x'1 nom de U per a algun usuari U. Si hi ha m1 usuaris (amb noms diferents) i la llargada dels nombres xj, x'j i dels noms dusuari s m2 bits, la probabilitat que t V dinculpar en fals un usuari s m1/2m2. Noteu que hi ha m1 noms dusuari vlids (casos favorables) sobre un total de 2m2 noms dusuari possibles (casos possibles). 7. Quan els clients c i c' comparteixen un dret yi, no s probable que comparteixin el membre esquerre de cap de les equacions 5.1, ats que al logaritme xi del dret shi han sumat nombres aleatoris diferents ri, r 'i. La probabilitat de triar a p1 nombres aleatoris diferents en les equacions (5.1) per a m clients i n drets s: ( p 1)( p 2) ... ( p mn) , ( p 1)mn que tendeix a 1 si p 1 (mn)2. Per tant, lnica igualtat que es pot establir en termes dexponents quan c i c' comparteixen un dret resulta de les equacions 5.1 i s: D(E(ri )) D(E(r 'i )) azi a'z 'i mod ( p 1). Ara b, a lequaci anterior c coneix E(ri), E(r 'i), zi , z 'i i la seva identitat a. Per a poder trobar a' (identitat de c'), c necessitaria conixer D(E(ri)) D(E(r 'i)) (que no s 0, ja que hem justificat que ri r 'i), la qual cosa s difcil perqu la transformaci D( ) noms s coneguda pels servidors. Finalment, per a apropiar-se dels drets de c', no hi ha cap ms opci per a c que trobar a'. 8. El valor sj serveix per a tapar el vot, s a dir, perqu no es pugui trobar vj encriptant totes les opcions de vot i mirant quina s la que dna yn1,j. Recordeu que els valors yn1,j sanuncien pblicament, amb la finalitat que noms el propi votant (que sap sj) pugui reconixer el seu vot i spiga que sest tenint en compte (prviament al recompte). Els valors ri,j compleixen una funci semblant una vegada que es publiquen els vots (final del recompte); si no hi fossin, quan es revelen els vots es podria saber a quin votant j correspon un vot a base danar provant quin yn1,j dna el y1, publicat pels collegis.
Vegeu la funci totient dEuler (n) al subapartat 1.2 del mdul Xifres de clau pblica daquesta assignatura.
48
Glossari
Alienaci: transferncia de la prpia identitat (i, per tant, de tots els drets) dun client a un altre client. Comproms de bit: eina criptogrfica que permet a un usuari A comprometres a un valor b davant dalg, B. B no podr saber el valor b a qu A sha comproms, per, posteriorment, A podr obrir el comproms per mostrar b a B. DES: Data Encryption Standard. Criptosistema de xifratge de bloc que xifra blocs de dades de 64 bits de llargada per mitj duna clau de 56 bits i lacci de caixes S. Despesa mltiple: despesa per part del client dels mateixos diners electrnics dues o ms vegades. Diners electrnics: tcniques i protocols criptogrfics que pretenen recrear el concepte de compres en metllic en una xarxa oberta com Internet. Esquema de compartici de secrets: esquema pel qual es pot dividir un secret en diferents fragments, de manera que amb un subconjunt de fragments es pot recuperar el secret. Esquema de compartici de secrets de llindar (m,n): esquema de compartici de secrets en qu el secret es divideix en n trossos i sen necessiten m per tal de recuperar-lo. A ms, m 1 trossos no dna cap informaci del secret. Esquema de compartici de secrets dinterpolaci polinomial: esquema de compartici de secrets en qu els fragments del secret sn punts del pla i el secret sobt fent una interpolaci polinmica dun cert nombre de punts. Esquema de compartici de secrets vectorial: esquema de compartici de secrets en qu els fragments del secret sn hiperplans dun espai vectorial en el qual la intersecci dun cert nombre dhiperplans s el secret. Falsificaci: alteraci duna cosa per tal denganyar. Un client falsifica diners electrnics si aconsegueix ms diners electrnics dels que el banc li carrega en compte. Homomorfisme de privacitat: esquema de xifratge en qu la funci xifradora E( ) conserva una o ms operacions, s a dir, suposant una operaci genrica, E(x y) E(x) E(y). HP: Homomorfisme de privacitat. Intransferibilitat: qualitat dun dret que fa que un client, sense el concurs de lautoritat i sense alienaci, no pugui transferir-lo a un altre client. Operaci off line: pagament electrnic efectuat sense necessitat daccedir a la base de dades del banc per a completar el pagament. Operaci on line: durant el protocol de pagament, accs a una base de dades del banc (de bitllets electrnics ja despesos) necessari per a poder cloure el pagament amb xit. PIN: nmero didentificaci personal. Prova de coneixement nul: protocol criptogrfic pel qual un participant A demostra a un altre B el coneixement dalguna informaci sense revelar-ne cap detall. Prova dinformaci mnima: nom que es dna de vegades a les proves de coneixement nul, perqu sargumenta que en general les proves de coneixement nul sempre donen informaci, encara que sigui molt poca, i insuficient per a obtenir el secret del provador. Provador: part encarregada de demostrar que coneix una informaci en una prova de coneixement nul. Revocaci: retirada dun dret a un client per lautoritat. RSA: criptosistema de clau pblica, creat per Rivest, Shamir i Adleman i basat en el problema de la factoritzaci. Signatura tapada: presentaci dun bitllet al banc amb un cert emmascarament durant el protocol de reintegrament. El banc signa el bitllet sense veuren els continguts (bitllet
49
tapat). Daquesta manera, el banc no pot determinar qui va retirar el bitllet quan un venedor el presenta durant el protocol de dipsit. TAI: tira aleatria didentificaci. Tolerncia a les fallades: propietat dun protocol de funcionar correctament fins i tot en el cas de participants deshonestos (fallades intencionals) o de participants avariats (fallades accidentals). Sistema de preservaci de lanonimat: sistema de pagament que permet, fins i tot en cas de confabulaci entre el banc i el venedor, que aquests no spiguen en qu despn els diners un client determinat. Transferncia inconscient: protocol criptogrfic pel qual A emet un missatge en direcci a B. Al final del protocol pot ser que B rebi el missatge amb una probabilitat d12, per A no sabr mai si B lha rebut. Verificador: part encarregada de verificar una prova de coneixement nul.
Bibliografia
Bibliografia bsica
Beker, H.; Piper, F. (1982). Cipher systems, the protection of the communications. Londres: Northwood Books. Borrell, J. (1996). Estudi i desenvolupament dun esquema criptogrfic per realitzar votacions segures sobre una xarxa local (Tesi doctoral). Barcelona: Universitat Autnoma de Barcelona. Chaum, D. (1981). Untraceable electronic mail, return addresses, and digital pseudonyms. Communications of the ACM (vol. 24, pg. 84-88). Nova York: Association for Computing Machinery. Chaum, D.; Evertse, J.H.; Van de Graaf, J. (1988). An improved protocol for demonstrating possession of discrete logarithms and some generalizations. Advances in CriptologyEurocrypt87. Berln: Springer-Verlag. Cramer, R.; Franklin, M.; Schoenmakers, B.; Yung, M. (1996). Multi-authority secret-ballot elections with linear work. Advances in Criptology-Eurocrypt96. Berln: Springer-Verlag. Domingo Ferrer, J. (1994). Untransferable rights in a client-independent server environment. Advances in Criptology - Eurocrypt93. Berln: Springer-Verlag. Domingo Ferrer, J. (1997). Multi-application smart cards and encrypted data processing. Future Generation Computer Systems (vol. 13, juny 1997, pg. 65-74). Merritt, M. (1983). Cryptographic Protocols (Tesi doctoral). Gergia: Georgia Institute of Technology.
Bibliografia complementria
Goldwasser, S.; Micali, S.; Rackoff, C. (1985). The Knowledge Complexity of Interactive Proof Systems. Proceedings of the 17th ACM Symposium on Theory of Computing (pg. 291-304). Nova York: The Association for Computing Machinery. Goldwasser, S.; Micali, S.; Rackoff, C. (1989). The Knowledge Complexity of Interactive Proof Systems. SIAM Journal on Computing (vol. 18, nm. 1, pg. 186-208). Filadlfia: SIAM Publications.

M8 - Aplicac Cripto

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

M8 - Aplicac Cripto

Uploaded by

Copyright:

Available Formats

Aplicacions de la criptografia

Josep Domingo Ferrer Jordi Herrera Joancomart

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

Vegeu lapartat 3 del mdul didctic Fonaments de criptografia daquesta assignatura.

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

f) V comprova que es compleixi la igualtat segent: x y2

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

2. Esquemes de compartici de secrets

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

3. Situacions de desconfiana mtua

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

C(b) gb b' g bb' 1 mod p. C(b') g

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

* A divideix les seves claus a en n parells (K a i , K n+i ) i B tamb ho fa en n b parells (K b i , Kn+i ).

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

Ek(a) (a.1r mod m, ..., a.d r d mod m).

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

* En angls, blind signatures.

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

4.6. Diners electrnics off line

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

5. Concessi de drets intransferibles

Universitat Oberta de Catalunya P03/05024/02266

5.1. Situaci inicial

Universitat Oberta de Catalunya P03/05024/02266

x0 r0 az0 mod (p 1), xn1 rn1 azn1 mod (p 1), (5.1)

* Lautoritat guarda els logaritmes dels drets ja concedits.

Universitat Oberta de Catalunya P03/05024/02266

yi D(Ei) Azi mod p.

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

Universitat Oberta de Catalunya P03/05024/02266

You might also like