You are on page 1of 131

UNIVERSIDAD NACIONAL ABIERTA

VICERRECTORADO ACADEMICO
CENTRO LOCAL NUEVA ESPARTA
AREA DE MATEMATICA





CRIPTOGRAFIA






LICENCIADO:
HUBERT RAFAEL LONGART MARCANO
C.I. 8.395.929
CARRERA: LICENCIATURA EN MATEMATICAS
MENCION ANALISIS NUMERICO (120)
LA ASUNCIÓN, 20 DE FEBRERO DE 2009
AGRADECIMIENTO


A DIOS creador de todo lo visible e invisible ya que “..ni una hoja se mueve sin
su consentimiento…” La Biblia.
A mi madre Rosalía Marcano de Longart..Difícilmente las generaciones futuras
creerán que existió alguien tan desprendida, sabia, trabajadora y amorosa.
A mi padre JOSE LONGART (dif.) quien con su trabajo y sacrificio nos dio la
seguridad económica que nos permitió culminar nuestros estudios.
A mis hermanos Norelis , Jose y Hebert (dif.) Longart
A mi mentor Profesor RAFAEL MALAVE (alias “Guareque “) gracias por
ayudarme a descubrir mi vocación natural.
A mi tutor académico Profesor JOSE GASCON ..gracias por su paciencia ,
tiempo, conocimientos y “don de gente”.
A mis familiares (son tantos que si los menciono a todos me llevaría otro libro)
A mi sobrinita YORGELIS LONGART quien me ayudo a transcribir partes del
presente trabajo con tan solo 13 años.
A mis amigos Gladys Carreño, Jesus Gomez, sensei frankling “YAKI “ cuellar,
Ingeniero Jose Bello, Sra. Gisela, Raquel, profesora Carmen Narvaez, profesor
Geronimo Valerio, Profesora Gladis Sucre de Rigual y Liz Zambrano que
estuvieron conmigo en las buenas y en las malas.
A mis amigos de la lista de Crackslatinos: maestro Ricardo Narvaja ( un titulo
bien merecido ) ,Solid, Red Hawk ,Akira , Coco y otros..Este trabajo resulto
como consecuencia de sus tutoriales…son los mejores.

DEDICATORIA



A DIOS todopoderoso y eterno fuente y origen de todo conocimiento.

A mi madre Rosalía Marcano de Longart ..Nunca la palabra MADRE fue tan bien
merecida.

A mi mentor Profesor RAFAEL MALAVE (alias “Guareque “)…Leonardo Da Vinci
escribió “…si un alumno no supera al maestro…lo defrauda…” maestro no sé si
soy mejor que usted..Solo quiero que sepa que espero no haberlo defraudado.

A mi tutor académico Profesor JOSE GASCON un verdadero ejemplo de lo que
debe ser un profesor universitario, tanto por sus conocimientos, como por su
búsqueda permanente de la perfección. y más aun por su humildad y sentido de la
justicia.

A mis alumnos de los que aspiro que sean mejores que yo.











UNIVERSIDAD NACIONAL ABIERTA
VICERRECTORADO ACADEMICO
CENTRO LOCAL NUEVA ESPARTA
AREA DE MATEMATICA




CRIPTOGRAFIA
Trabajo de grado



Autor: Hubert Longart
Asesor: Jose Gascon





RESUMEN

En este trabajo se abordaron los primeros aspectos relativos al tema de la criptografía
moderna, sus antecedentes históricos, bases y fundamentos matemáticos así como
descripciones de algunos algoritmos aplicados y los ataques a los cuales son vulnerables.



INTRODUCCION



El presente trabajo constituye una introducción a la criptografía y su
aplicación a la seguridad en redes. La información es un elemento valioso en cualquier
cultura y sociedad. El conocimiento con antelación del plan de batalla de nuestro rival,
de determinadas decisiones económicas, de nuevas legislaciones etc. tiene un valor
estratégico, financiero y táctico. El conocimiento tecnológico avanzado determina, en
buena medida, la división entre el primer y tercer mundo. Dentro de ese conocimiento
existen ciertas áreas que son mantenidas en completa reserva, como la energía atómica,
la biotecnología y la nanotecnología. Sin embargo, los científicos de un país o compañía
que trabajan en esas áreas necesitan comunicarse entre ellos. Surge la necesidad de
realizar esta comunicación de manera segura, de forma que solo el emisor y el receptor
del mensaje tengan acceso a la información. La manera de lograrlo es mediante el uso
de técnicas criptográficas. Un ejemplo menos sofisticado son las transacciones que
realizamos todos los días usando Internet, cajeros automáticos, teléfono etc. Vamos a la
Web y a una tienda en particular, nos piden nuestra clave de usuario, nuestro password,
el número de nuestra tarjeta de crédito, etc. Cada uno de estos datos es muy importante
para nosotros y el robo por terceros, de cualquiera de ellos, puede acarrearnos perdidas
materiales y molestias diversas. Sin embargo los mandamos a través de la red con
relativa confianza. ¿Por qué? Por que el mensaje va cifrado o encriptado como también
decimos. Confiamos en la matemática y en la seguridad informática cada vez que
compramos en Internet. En buena medida el trabajo que presentamos explica los
métodos básicos detrás de nuestra confianza.

Por ser nuestro trabajo autocontenido, empezamos en el primer capítulo
con los resultados y definiciones fundamentales de la criptografía y el criptoanálisis.
También damos ejemplos de los mismos para que el lector comprenda las ideas tras
ellos, en particular el sistema de Vi gener ees expl i cado y us ado par a i l us t r ar
nues t r as i deas . Las r egl as de Ker ckhof f s y el concept o de s ecr et o
per f ect o s on expl i cados en det al l e.

El capítulo 2 es el más importante desde el punto de vista abstracto para
nuestro trabajo. En el capítulo 2 se examinan varios conceptos derivados de la teoría de
la información, en particular el muy importante concepto de entropía es explicado,
demostrada sus propiedades más importantes e ilustrado con varios ejemplos. También
desarrollamos, en detalle, los elementos de la teoría de números que aparecen en los
métodos criptográficos que estudiaremos en el capítulo 3, en particular para el sistema
RSA. El teorema de Fermat y los problemas asociados con la factorización en primos
grandes son cruciales en la implementación del sistema RSA. Varios ejemplos ilustran
al lector las ideas de la teoría de números que usamos. La noción de curva elíptica se
explica de manera sencilla y será aplicada en el capítulo 3 en el sistema de El Gamal.









El capítulo 3 explica los sistemas de criptografía más empleados en la
Internet. Podemos considerar este capítulo como el centro del trabajo desde el punto de
vista de las aplicaciones. Ilustramos el algoritmo RSA con un ejemplo de corrida a
mano para que el lector vea como pasamos del mensaje original, al cifrado y luego de
vuelta al original. Las ideas de claves públicas son explicadas, así como la aplicación
del teorema del resto chino al descifrado. Otros sistemas de cifrado como el de El
Gamal basado en la idea de curva elíptica y el de Rabin son explicados. Pero el sistema
sobre el que hacemos más énfasis es el RSA, sin duda el más importante desde el punto
de vista teórico y de las aplicaciones.

Por último, no podemos dejar de examinar las posibilidades de ataques
informáticos a nuestros sistemas de cifrado. Las vulnerabilidades de los mismos son
examinadas, muchas de ellas se refieren a la mala escogencia de los primos usados pero
también examinamos las debilidades de los sistemas criptográficos desde un punto de
vista teórico y de rapidez de cómputo. Resulta claro que el concepto de seguridad es
relativo a la infraestructura de hardware empleada.

Esperamos que este trabajo sirva como una introducción a un tema sobre
el cual existe profusa investigación actualmente y sobre el cual se basa la economía
globalizada: la criptografía y su aplicación a las redes.
INDICE GENERAL
CAPITULOS PAG.
1.- Criptografía -
1.1 Introducción 1
1.2 Conceptos básicos 2
1.3 Reglas de Kerchoff 5
1.4 Secreto Perfecto 6
1.5 Distancia de Unicidad 9
2.-Aspectos Matemáticos -
2.1 Teoría de la información 15
2.1.1 Conceptos Básicos 16
2.1.2 Medición de la Cantidad de Información 17
2.1.3 Entropía 20
2.1.3.1 Propiedades de la Entropía 25
2.2 Teoría de Números 37
2.2.1 Propiedades de la Congruencia en Z 37
2.2.2 Algoritmo Extendido de Euclides 49
2.2.2.1 Algoritmo para el Cálculo de Inversos 51
2.2.3 Cálculos en campos de Galois 57
2.2.4 Elementos de ( )
n
GF p como polinomios
57
2.3 Curvas Algebraicas 58
2.3.1 Forma Canónica de Weierstrass (caso general) 58
2.3.2 Forma Canónica de Weierstrass (característica 2) 60
2.3.3 Forma Canónica de weirstrass (características 3) 61
2.3.4 El Grupo de Puntos de una Elíptica 62
2.3.5 Interpretación Geométrica 62
2.3.6 Formulas Analíticas 64
3.-Sistemas Criptográficos en la Internet -
3.1 Importancia de la seguridad en Internet 71
3.1.1 Importancia de las Redes 71
3.1.2 Redes Internas 72
3.1.3 Redes Externas 72
3.1.4 Intranets 74
3.1.5 Sistemas de Seguridad en la Red 74
3.2 RSA y Rabin. 75
3.3. Criptosistema RSA 76
3.3.1Uso del Teorema del Resto Chino en RSA 81
3.3.2 Descifrado RSA aplicando el TRC 81
3.3.3 que fortaleza tiene el algoritmo RSA ante ataques? 82
3.4. Criptosistema de El Gamal 83
3.5. Cambio de Clave de Diffie-Hellman 85
3.6 Versión Elíptica de El Gamal y de Hiffie-Miller 87
3.6.1 Cambio de Clave de Diffie-Hellman para Curvas Elípticas 87
3.6.2 Criptosistema de El Gamal para Curvas Elípticas 87
3.6.3 Algoritmo de Rabin

89
4.0 Conclusiones -
4.-Vulnerabilidad de los sistemas criptográficos 91
4.1 Ataque a un sistema criptográfico 92
4.1.1 RSA 92
4.1.2 Tamaño de los parámetros en RSA 95
4.1.3 El problema en la elección del valor de n
95
4.1.4 Elección de los números primos 96
4.1.5 Cálculo de números primos p y q seguros 97
4.1.6 Par de primos seguros pero independientes 97
4.1.7 Claves privadas parejas en RSA 98
4.1.8 Número de claves privadas parejas 98
4.1.9 Minimizando las claves privadas parejas 99
4.1.10 Claves parejas de la clave pública en RSA 101
4.1.11 Comprobación de una firma digital 101
4.1.12 Números no cifrables en RSA 102
4.1.13 Cantidad de números no cifrables 102
4.1.14 Distribución de números no cifrables. 104
4.1.15 Cantidad mínima de números no cifrables 105
4.1.16 Confidencialidad en intercambio de clave 106
4.1.17 Ataque al secreto de N por cifrado cíclico 107
4.1.18 La paradoja del cumpleaños 109
4.1.19 Ataque a la clave por paradoja cumpleaños 109
4.1.20 Ataque que entrega alguna clave pareja 111
4.1.21 Ataque que entrega la clave privada 112
4.2 Ataque a la clave Diffie y Hellman 113
4.2.1 ¿Puede un intruso atacar la clave DH? 113
4.2.2 Seguridad del intercambio de clave de DH 113
4.2.3 ¿Es vulnerable el protocolo de DH? 113
4.2.4 Intercambio de clave DH entre n usuarios 114
4.2.5 Condiciones del intercambio de clave D-H 115
4.2.6
Raíz α incorrecta (falsa) 115
4.2.7 Raíz α correcta
116
4.3. Ataque al Criptosistema de El Gamal 116
4.4 Conclusiones y Recomendaciones 117
4.4.1 Conclusiones 117
4.4.2 Recomendaciones 118
Bibliografía -










Capitulo 1

Criptografía

1

1.1 INTRODUCCION


Des de l os pr i nci pi os de l a humani dad es t a ha s ent i do l a
neces i dad de comuni car s e , per o cas i s i mul t áneament e ha t eni do el
des eo( o l a neces i dad) de mant ener i deas en s ecr et o o s ol o
compar t i r l as con un gr upo s el ect o, es t o es par t i cul ar ment e pat ent e
en l as épocas de guer r a donde es i ndi s pens abl e el f act or s or pr es a
, l as pr i mer as ci vi l i z aci ones des ar r ol l ar on t écni cas par a envi ar
mens aj es dur ant e l as campañas mi l i t ar es de f or ma que s i el
mens aj er o er a i nt er cept ado l a i nf or maci ón que por t aba no cor r i er a
el pel i gr o de caer en manos del enemi go.

Pos i bl ement e, el pr i mer cr i pt os i s t ema que s e conoce f uer a un
s i s t ema de s us t i t uci ón bas ado en l a pos i ci ón de l as l et r as en una
t abl a t ambi én l os r omanos ut i l i z ar on s i s t emas de s us t i t uci ón,
s i endo el mét odo act ual ment e conoci do como Cés ar , por que
s upues t ament e J ul i o Cés ar l o ut i l i zó en s us campañas , uno de l os
más conoci dos en l a l i t er at ur a.

“Des de el s i gl o XI X y has t a l a Segunda Guer r a Mundi al l as
f i gur as más i mpor t ant es f uer on l a del hol andés Augus t e Ker ckhof f s
y l a del pr us i ano Fr i edr i ch Kas i s ki . Per o es en el s i gl o XX cuando
l a hi s t or i a de l a cr i pt ogr af í a vuel ve a pr es ent ar i mpor t ant es
avances . ”

“Tr as l a concl us i ón de l a Segunda Guer r a Mundi al , l a
cr i pt ogr af í a t i ene un des ar r ol l o t eór i co i mpor t ant e, s i endo Cl aude
Shannon y s us i nves t i gaci ones s obr e t eor í a de l a i nf or maci ón
es enci al es hi t os en di cho des ar r ol l o. . . ”( 1)

En vi s t a de que l os avances en comput aci ón s uponí an una
amenaz a par a l os s i s t emas vi gent es par a l a época es por l o cual l a
cr i pt ogr af í a moder na nace dur ant e l a s egunda guer r a mundi al
i ns pi r ada en el t r abaj o des ar r ol l ado por el mat emát i co Al an Tur i ng
el cual s e encont r aba al s er vi ci o del ej ér ci t o br i t áni co t r at ando de
des ci f r ar l os mens aj es s ecr et os envi ados por el ej ér ci t o al emán

Los s i s t emas cr i pt ogr áf i cos es t án t eni endo un gr an auge
úl t i mament e ant e l a i ncer t i dumbr e de que una t r ans mi s i ón en
I nt er net pueda s er i nt er cept ada y que el l o pueda or i gi nar que s e
f i l t r e al guna i nf or maci ón que no deber í a. Nos r ef er i mos por
ej empl o, a una t r ans acci ón pol í t i ca o mi l i t ar i mpor t ant e o a una
i nf or maci ón s obr e det er mi nados t emas empr es ar i al es en l os cual es
l a di s cr eci ón es vi t al par a l l evar a f el i z t ér mi no l as oper aci ones
r equer i das


2
( 1) Tomado de : ht t p: / / es . wi ki pedi a. or g/ wi ki / Cr i pt ogr af


A cont i nuaci ón s e dar án una s er i e de concept os bás i cos par a l a
cabal compr ens i ón del pr es ent e t r abaj o:


1. 2 CONCEPTOS BASICOS


Def i ni ci ón 1. La Cr i pt ol ogi a ( del gr i ego cr i pt os = ocul t o y l ogos
= t r at ado, ci enci as ) es el nombr e genér i co con el cual s e des i gnan
dos di s ci pl i nas opues t as y a l a vez compl ement ar i as : Cr i pt ogr af í a
y Cr i pt oanál i s i s .

Def i ni ci ón 2. La Cr i pt ogr af í a s e ocupa del di s eño de
pr ocedi mi ent os par a ci f r ar , es deci r , par a enmas car ar una
det er mi nada i nf or maci ón de car áct er conf i denci al .

Def i ni ci ón 3. El cr i pt oanál i s i s , por s u par t e, s e ocupa de
r omper es os pr ocedi mi ent os de ci f r ado par a as í r ecuper ar l a
i nf or maci ón or i gi nal .

Shannon, padr e de l a t eor í a de l a i nf or maci ón, en 1949 r econoci ó
que ambas di s ci pl i nas s i empr e s e han des ar r ol l ado de f or ma
par al el a pues cual qui er mét odo de ci f r ado l l eva s i empr e
empar ej ado s u Cr i pt oanál i s i s cor r es pondi ent e. Des de ent onces s e
us an s u t eor í a y nomencl at ur a par a el es t udi o t eór i co de l a
cr i pt ogr af í a, aunque ambas ci enci as ( Cr i pt ogr af í a y Teor í a de l a
i nf or maci ón) compar t en muchos concept os y r es ul t ados , s on
mat er i as es enci al ment e di s t i nt as , ya que l a Teor í a de l a
I nf or maci ón t r at a de l a t r ans mi s i ón cl ar a y s egur a de l a
i nf or maci ón a t r avés de un canal r ui dos o ( es deci r que
di s t or s i ona de una maner a no i nt enci onal l a f i del i dad de l a
i nf or maci ón t r ans mi t i da) , mi ent r as que l a Cr i pt ogr af í a t r at a de l o
cont r ar i o, es deci r , hacer el mens aj e t r ans mi t i do i ncompr ens i bl e
par a un pot enci al enemi go.

La pr ot ecci ón de l a i nf or maci ón que s e per s i gue en cr i pt ogr af í a s e
l l eva a cabo var i ando s u f or ma or i gi nal .

Def i ni ci ón 4. Se l l ama Ci f r ado ( o t ransf ormaci ón
Cri pt ográf i ca) a una t r ans f or maci ón del t ext o or i gi nal
( denomi nado t ambi én t ext o i ni ci al o t ext o cl ar o) que l o convi er t e
en el l l amado t ext o ci f r ado o cr i pt ogr ama.


3
( .. )
. .
k
T transformacion criptografica
textooriginal textocifrado →


Fi gur a 1



Def i ni ci ón 5. Se l l ama des ci f r ado a l a t r ans f or maci ón que
per mi t e r ecuper ar el t ext o or i gi nal a par t i r del t ext o ci f r ado.

Def i ni ci ón 6. Una cl ave es el par ámet r o que det er mi na cada una
de l as t r ans f or maci ones .

Def i ni ci ón 7. El conj unt o de s us pos i bl es val or es s e denomi na
es paci o de cl aves K.

Def i ni ci ón 8. La f ami l i a de t r ans f or maci ones s e l l ama s i s t ema
cr i pt ogr áf i co { } /
k
T T k K = ∈ , denot ándos e medi ant e
k
T ( o t ambi én
k
E ) a l a oper aci ón de ci f r ado y como
k
D al des ci f r ado con cl ave
k.

El es paci o de mens aj es or i gi nal es que cons t i t uye el conj unt o de
par t i da de l os ci f r ados s e denomi na M, mi ent r as que el conj unt o
i magen f or mado por l os t ext os ci f r ados s e denot a medi ant e C.
Más adel ant e ver emos un ej empl o que cl ar i f i ca es t as i deas .

Los ci f r ados s e cl as i f i can, s egún l a f uent e, en ci f rados di gi t al es
o anal ógi cos , per o en el pr es ent e t ext o s e t r at ar an l os ci f r ados
di gi t al es en vi s t a de que pr es ent a ma yor gr ado de s egur i dad que
el anal ógi co.


Si l a f uent e es di gi t al , l os mens aj es es t án cons t i t ui dos por
gr upos de el ement os per t eneci ent es a una col ecci ón f i ni t a
denomi nada al f abet o y es anal ógi ca s i gener a un cont i nuo de
val or es .


En l os ci f r ados di gi t al es , t ant o el t ext o or i gi nal como el ci f r ado
es t án f or mados por l et r as de un al f abet o. Se cons i der an, además del
al f abet o { }
1 2
, ,....
m
A a a a = l os al f abet os f or mados a par t i r de l a
combi naci ón de s us l et r as . Sus
n
m el ement os s on l as l l amadas n-
pal abr as . Por mot i vos pr áct i cos s e s us t i t uyen l as l et r as por
númer os , us ándos e ent onces como al f abet o el conj unt o de ent er os
{ } 0,1,..... 1
m
Z m = − . Al conj unt o de n- pal abr as cor r es pondi ent es a es e
al f abet o s e l e denot a
, m n
Z .
4
Pr i nci pal ment e s e us an 2 al f abet os numér i cos , el al f abet o
deci mal { }
10
0,1,...., 9 Z = y el al f abet o bi nar i o { }
2
0,1 Z = .

En t eor í a, el s i s t ema cr i pt ogr áf i co s e puede es cr i bi r como
{ }
( )
:1
n
k
T T n = ≤ < ∞ , s i endo
( )
( )
n
k
T x y = donde y es l a n- pal abr a ci f r ada
que cor r es ponde a l a n- pal abr a or i gi nal x .

En el pr es ent e t r abaj o s e har án l as s i gui ent es s upos i ci ones :

1)
( ) n
k
T es bi yect i va

2) Se us a el mi s mo al f abet o par a ambos t ext os , or i gi nal y ci f r ado.

3) Se def i ne el ci f r ado de t odas l as pos i bl es pal abr as ,
i ndependi ent ement e de s i exi s t en o no.

4) Cada n- pal abr a s e ci f r a en una n- pal abr a, t eni éndos e as í que el
ci f r ado no cambi a l a l ongi t ud del t ext o or i gi nal .

Ej empl o 1

A l os f i nes de cl ar i f i car l a not aci ón i nt r oduci da
ej empl i f i car emos con el s i gui ent e s i s t ema cr i pt ogr áf i co,
conoci do como s i s t ema de VI GENERE l as s us t i t uci ones
( ) n
k
T s e
def i nen de conf or mi dad con l a s i gui ent e t abl a:


A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
0 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
1 B C D E F G H I J K L M N O P Q R S T U V W X Y Z A
2 C D E F G H I J K L M N O P Q R S T U V W X Y Z A B
3 D E F G H I J K L MN O P Q R S T U V W X Y Z A B C
. . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . .
25 Z A B C D E F G H I J K L M N O P Q R S T U V W X Y

Fi gur a 2

En es t e cas o, el s i s t ema cr i pt ogr áf i co
k
T vi ene dado por l a t abl a
que per mi t e t r ans f or mar cada pal abr a de acuer do a l a per mut aci ón
del abecedar i o cor r es pondi ent e a cada númer o y as í mi s mo el
conj unt o i magen C vi ene dado por t odas l os pos i bl es t ext os
ci f r ados que s e pueden obt ener al apl i car di cho conj unt o de
t r ans f or maci ones

5

Y de acuer do con es t e s i s t ema t r ans f or mar emos l a pal abr a HOLA
s egún l a cl ave el egi da ( 3 en es t e cas o) s egún l os s i gui ent es pas os
s e el i ge l a pal abr a a s us t i t ui r en l a pr i mer a f i l a y s e bus ca s u
equi val ent e en l a f i l a cor r es pondi ent e a l a cl ave el egi da:

, , , H K O R L O A D → → → →


Por t ant o l a t r ans f or maci ón queda:

3
( ) T HOLA KROD =


1. 3 REGLAS DE KERCKHOFFS.


En el s i gl o XI X Augus t e Ker ckhof f s en s u t r abaj o t i t ul ado “La
Cr i pt ogr af í a Mi l i t ar ” es t abl eci ó l as r egl as que han s i do acept adas
como nor ma gener al en l a mat er i a.
Las r ef er i das a r egl as mi l i t ar es acept adas mundi al ment e s on:
1) No debe exi s t i r ni nguna f orma de recuperar el t ext o
ori gi nal a part i r del cri pt ograma ( s eguri dad ant e el
pri mer at aque) .
Es t a regl a s e cons i dera cumpl i da en l a práct i ca s i empre que
l a compl ej i dad del proces o de recuperaci ón del t ext o ori gi nal
s ea s uf i ci ent e para mant ener l a s eguri dad del s i s t ema.
2) Todo s i s t ema cri pt ográf i co debe es t ar compues t o por dos
t i pos de i nf ormaci ón:
a. Públ i ca: s e ref i ere a l a f ami l i a de al gori t mos que
def i nen el s i s t ema cri pt ográf i co.

b. Pri vada: es conoci da s ól o por el us uari o. La cl ave de
ci f rado de cada us uari o en part i cul ar.
3) La f orma de es coger l a cl ave debe s er f áci l de recordar y
modi f i car.
4) Debe s er pos i bl e l a comuni caci ón del cri pt ograma con l os
medi os de t rans mi s i ón ( en adel ant e Tx) habi t ual es .

6
5) La compl ej i dad del proces o de recuperaci ón del t ext o
ori gi nal debe corres ponders e con el benef i ci o obt eni do ( el
cos t o es proporci onal al s ecret o que qui ere guardar) .
El conoci do genér i cament e como pr i nci pi o de Ker ckhof f s di ce
que l a s egur i dad de un cr i pt os i s t ema s e debe medi r s uponi endo que
el enemi go conoce compl et ament e ambos pr oces os de ci f r ado y
des ci f r ado.
Un cr i pt os i s t ema t i ene s ecr et o:

1) Teóri co: s í es s egur o en cont r a cual qui er enemi go que t enga
r ecur s os y t i empo l i mi t ados .

2) Práct i co: s i es s egur o cont r a aquel l os enemi gos que t enga
s uf i ci ent e t i empo o r ecur s os .
3) Probabl e: cuando no s e ha demos t r ado s u s egur i dad per o por el
moment o no han s i do r ot o.

1. 4 SECRETO PERFECTO.


Dado s i s t ema cr i pt ogr áf i co { } /
k
T T k K = ∈ en bas e al s egundo
pr i nci pi o de Ker ckhof f s s e s upone que el enemi go conoce l as
cuat r o car act er í s t i cas s i gui ent es : el t ext o ci f r ado, el s i s t ema
Cr i pt ogr áf i co T, el es paci o de cl aves K y l a f or ma en que una cl ave
K det er mi na l a t r ans f or maci ón Cr i pt ogr áf i cas
k
T .

Def i ni ci ón 9. Se habl a de cr i pt oanál i s i s bayes i ano cuando el
enemi go conoce una di s t r i buci ón de pr obabi l i dad s obr e l as cl aves
dadas por { }
k
P K qué s i r ve de es t i mul aci ón par a hal l ar l a
pr obabi l i dad de que el cr i pt ógr af o ut i l i ce l a cl ave K.

Se da por s upues t o que l os pr oces os de el ecci ón de l a cl ave y
gener aci ón del t ext o i ni ci al s on i ndependi ent es .

Si s e r epr es ent a como X l a n- pal abr a or i gi nal s e puede
es quemat i z ar l a s i t uaci ón del enemi go, donde l a pal abr a
*
x
( pr oduct o de l a f unci ón de deci s i ón apl i cada por el enemi go) puede
coi nci di r o no con X.

Se s upone que el enemi go di s pone de una di s t r i buci ón a pr i or i
{ }
f
P x del t ext o or i gi nal gener ado por l a f uent e.
7
Di chas di s t r i buci ones ,
f
P y
k
P per mi t en al enemi go es t i mar l as
s i gui ent es : { }
C
P Y ( pr obabi l i dad que l a pal abr a ci f r ada s ea Y ) ,
{ }
,
,
f k
P x k ( pr obabi l i dad de que l a pal abr a or i gi nal s e ha X y l a cl ave
el egi da s ea K) , { }
,
,
f c
P x y ( pr obabi l i dad de que l as pal abr as or i gi nal y
ci f r ada s ean X. e Y) , { }
,
,
c k
P y k ( pr obabi l i dad de que l a pal abr a ci f r ada
s ea Y y l a cl ave us ada s ea K) , { }
/
/
f c
P x y ( pr obabi l i dad de que l a
pal abr a or i gi nal s ea X s uponi endo conoci da l a pal abr a ci f r ada Y) ,
{ }
/
/
k c
P k y ( pr obabi l i dad de que l a cl ave us ada s ea K s abi endo que l a
pal abr a ci f r ada es Y) .
Dado que par a una cl ave K y un cr i pt os i s t ema Y, el des ci f r ado
debe s er úni co ent onces s e t i ene que { } : ( )
k
x T x y = pos ee s ol o un
el ement o
*
x , y por l o t ant o { } { } { }
*
,
, .
c k f k
p y k p x p k = .
A cont i nuaci ón s e dan al gunas def i ni ci ones y r es ul t ados
r el aci onados con el cr i pt oanál i s i s baye s i ano.
Def i ni ci ón 10. Una f unci ón de deci si ón det ermi ni st i ca
{ }
( ) n
δ δ = es una s uces i ón de t r ans f or maci ones de l a f or ma:
( )
, ,
( )
:
( )
n
m n m n
n
Z Z
y y x
δ
δ

→ =

Se t i ene que un deci s or aci er t a con una f unci ón de deci s i ón δ s i
, , n x k ∀ , s e cumpl e que
( ) ( )
( ( )) .
n n
k
T x x δ =
Def i ni ci ón 11. Una f unci ón de deci s i ón
B
δ es bayes i ana s i l a
pr obabi l i dad de aci er t o del cr i pt oanal i s t a
{ } { }
/ /
( )/ max / .
f c B x f c
P y y P x y δ =

A mayor cant i dad de t ext o ci f r ado, mayor pr obabi l i dad de
r ecuper ar el t ext o or i gi nal .







8

Def i ni ci ón 12. La mej or es t i maci ón a pr i or i del t ext o or i gi nal
que puede hacer un enemi go cor r es ponde a l a n pal abr a que
maxi mi za l a pr obabi l i dad ( ) { }
0 1
,....,
f n
P x x

. Des pués de i nt er cept ar el
t ext o ci f r ado, el enemi go r evi s a es a es t i maci ón us ando l a nueva
i nf or maci ón r eci bi da. Si n embar go puede s uceder que cuando el
cr i pt ogr ama no pr opor ci one ni nguna i nf or maci ón út i l s obr e el
t ext o or i gi nal . En es t e cas o s e t i ene que { } { }
/
/
f c f
P x y P x =
{ } : 0
c
y P y ∀ > y s e di ce que el s i s t ema cr i pt ogr áf i co t i ene s ecr et o
per f ect o.

A cont i nuaci ón s e es peci f i can l as denomi nadas condi ci ones
s ecr et o per f ect o.

1) Si exi s t en al menos t ant as cl aves en K como n- pal abr as de
t ext o i ni ci al de pr obabi l i dad pos i t i va, ent onces el s i s t ema
cr i pt ogr áf i co t i ene s ecr et o per f ect o.

2) Dado un cr i pt os i s t ema en el que el númer o de n- pal abr as
or i gi nal es , el númer o de n- pal abr as ci f r adas y el númer o de cl aves
coi nci den, exi s t e s ecr et o per f ect o s i y s ól o s i :

2. 1) Exi s t e s ól o una cl ave que t r ans f or ma cada n- pal abr a
or i gi nal en cada n- pal abr a ci f r ada.
2. 2) Todas l as cl aves s on equi pr obabl es .
En r es umen l a cl ave debe s er al eat or i a, us ar s e una úni ca vez y
t ener al menos l a mi s ma l ongi t ud que el t ext o or i gi nal .
Ej empl o2: ( Secr et o Per f ect o)
Text o or i gi nal M = Secuenci a de bi t s
Cl ave par a ci f r ar K = Secuenci a al eat or i a de bi t s
Text o ci f r ado C= M xor K ( s uma modul o 2)
M: 011 001 001 000 100 010
K: 001 010 001 101 110 101
C: 010 011 000 101 010 111


9

( 0) 12 / 18 2 / 3; ( 1) 6 / 18 1/ 3
( 0) ( 0)
( 0 / 0) 6 / 9 2 / 3
( 0)
( 0) ( 1)
( 0 / 1) 6 / 9 2 / 3
( 1)
( 1) ( 0)
( 1/ 0) 3 / 9 1/ 3
( 0)
( 1) ( 1)
( 1/ 1) 3 / 9 1/ 3
( 1)
p M p M
p M C
p M C
p C
p M C
p M C
p C
p M C
p M C
p C
p M C
p M C
p C
= = = = = = ¹
¦
( = =
¦
¸ ¸
= = = = =
=
( = =
¸ ¸
= = = = =
=
`
( = =
¸ ¸
= = = = =
=
( = =
¸ ¸
= = = = =
=




( ) ( / ) p M p M C
¦
¦
¦
¦
¦
⇒ =
¦
¦
¦
¦
¦
¦
¦
)


En t odos l os cas os l o cual cons t i t uye s ecr et o per f ect o.

1. 5 DISTANCIA DE UNICIDAD
Def i ni ci ón 13. La s i gui ent e noci ón f ue i nt r oduci da por Shannon y
es f undament al en l a Teor í a de I nf or maci ón di cha apor t e f ue l a
def i ni ci ón de l a medi da de l a i nf or maci ón como el mí ni mo númer o
de bi t s neces ar i os par a codi f i car t odos l os pos i bl es s i gni f i cados de
mens aj e.

Def i ni ci ón 14. Shannon us ando l a def i ni ci ón 13 def i ni ó l a
ent r opí a de una di s t r i buci ón di s cr et a de pr obabi l i dad con
( (0),........, ( 1)) p p p m = − como: ( ) 0 p t ≥ y (0) .... ( 1) l p p m = + + −
0
( ) ( )log ( )
t m
H p p t p t
≤ <
= −

.

Def i ni ci ón 15. De maner a anál oga s e def i ne l a ent r opí a de una
var i abl e como l a ent r opí a de s u di s t r i buci ón.

En es t e cas o r epr es ent a l a i ncer t i dumbr e que exi s t e s obr e l os
pos i bl es r es ul t ados exper i ment al es de di cha var i abl e. Tambi én s e
puede def i ni r l a ent r opí a de una var i abl e al eat or i a X de l a ot r a Y
como:
, /
,
( / ) ( , ) log ( / ) ( / ) ( )
x y x y y
t s t
H X Y P s t P s t H X Y t P t = = =
∑ ∑
.
Es t a s e puede i nt er pr et ar como i ncer t i dumbr e que queda s obr e l a
var i abl e X uno des conocí a l a var i abl e Y( l os concept os r el at i vos a l a
medi da de l a i nf or maci ón y l a ent r opí a de una var i abl e, ent r e ot r os ,
s er án expl i cados en f or ma más ampl i a en el s egundo capí t ul o) .
10



Es t e concept o es muy út i l en l a cr i pt ogr af í a t al y como queda de
mani f i es t o en l as s i gui ent es def i ni ci ones de equi vocaci ón que s e
comet e cuando s e as i gna un t ext o i ni ci al o bi en una cl ave a un
t ext o ci f r ado i nt er cept ado. Se cons i der a una var i abl e al eat or i a K
i ndependi ent e de l a f uent e del t ext o or i gi nal S y que t oma val or es
en el es paci o de cl aves .

Def i ni ci ón 16. La equi vocaci ón de cl ave dado un t ext o ci f r ado es
l a ent r opí a condi ci onal H( K/ Y) y mi de l a i ncer t i dumbr e que exi s t e
con r es pect o a cl ave ut i l i z ada una vez conoci do un cr i pt ogr ama.

Def i ni ci ón 17. La equi vocaci ón del t ext o or i gi nal dado un t ext o
ci f r ado es l a ent r opí a condi ci onal H( X/ Y) y mi de l a i ncer t i dumbr e
que hay con r es pect o a mens aj e or i gi nal una vez i nt er cept ado un
cr i pt ogr ama.

Def i ni ci ón 18. La r az ón abs ol ut a del l enguaj e R s e def i ne como
el númer o máxi mo de bi t s de i nf or maci ón que puede s er
codi f i cados en cada car áct er s uponi endo que t oda l a s ecuenci a de
car act er es s on equi pr obabl es . As í s i el l enguaj e us a m car act er es ,
di cha cant i dad vi ene dada por
2
log R m = .

Ej empl o3:

l a r az ón abs ol ut a del cas t el l ano vi ene dada por

2 2
log log (27) 4, 75( / )
castellano
R m bits letra = = =

Def i ni ci ón 19. Se def i ne l a r az ón del l enguaj e par a n- pal abr as
como r =H( X) / n es t e númer o mi de el númer o medi o de bi t s de
i nf or maci ón por car áct er .

Como l as l et r as que apar ecen en un t ext o no t i enen i gual
pr obabi l i dad, s u f r ecuenci a de apar i ci ón es di s t i nt a, l os l enguaj es
es t á muy es t r uct ur ados , ha y bl oques de dos pal abr as ( di gr amas )
car act er í s t i cos , t r i gr amas , pol i gr amas , et c. , y s e cal cul a que os ci l a
ent r e 1, 2<r <1, 5 a es t e i nt er val o de val or es s e l l ega codi f i cando l os
mens aj es con monogr amas , di gr amas , t r i gr amas , et c. , s egún el
es t udi o hecho por Shannon.






11



Ej empl o4: ( l a r azón del l enguaj e)


Un s ub- al f abet o del cas t el l ano módul o 27 cons t a de 5 car act er es :
A, E, O, S, y T, t odos el l os equi pr obabl es . Podemos acept ar l o
como r epr es ent at i vo del l enguaj e.

Pr egunt a: ¿Cuánt os mens aj e de l ongi t ud 4 exi s t en y cuánt os con
s ent i do?


Sol uci ón:


2
log (5) 2, 3219 R = = . Ent onces exi s t i r án
*4 2,3219*4 4
2 2 625 5
R
= = = mens aj es
y como 1, 2<r <1, 5 s e puede deduci r que exi s t i r án x mens aj es con
s ent i do de l ongi t ud 4 compr endi dos ent r e:
1,2*4 1,5*4
2 x 2 < < es deci r
27<x<64.

Bus cando en un di cci onar i o encont r amos l as 45 pal abr as con
s ent i do que s e i ndi can, y que cas ual ment e es el val or medi o
( 27 + 64) / 2 = 45:

aet a, as as , as ea, as ee, as eo, as es , as t a, at ea, at as , at es , at eo, at oa,
at oe, at oo, os as , os es , os os , os t e, ot ea, ot ee, ot eo, eas o, es as , es es ,
es os , es t a, es t e es t o, et as , t as a, t as e, t as o, t eas , t es a, t es e, t es o,
t et a, s eas , s es o, s et a, s et o, s os a, s ot a, s ot e, s ot o.


Def i ni ci ón 20. La r edundanci a de un l enguaj e s e def i ne medi ant e
l a di f er enci a D=R- r dada es t a def i ni ci ón el conj unt o t odos l os
pos i bl es mens aj es , que t i ene car di nal 2
Rn
, s e puede di vi di r en un
conj unt o de 2
rn
mens aj e con s i gni f i cado y un conj unt o de 2 2
Rn rn

mens aj es s i n s i gni f i cado.


Se ha cal cul ado que 3, 25<D<3, 55 l o cual s i gni f i ca que el
númer o de bi t s ext r as ( bi t s r edundant es ) neces ar i os par a codi f i car
un mens aj e s uponi endo un al f abet o de 27 car act er es ( codi f i caci ón
con 5 bi t s pues t o que
5
2 32 = y
4
2 16 = ) s er á apr oxi madament e i gual
a 3, 5.





12



Def i ni ci ón 21. Un ci f rado al eat ori o cons i s t e en un gr upo de
s i s t emas cr i pt ogr áf i cos con una di s t r i buci ón de pr obabi l i dad. Es
deci r un ci f r ado al eat or i o es aquel par a el cual , par a cada cl ave K y
par a cada cr i pt ogr ama Y, el des ci f r ado es una var i abl e al eat or i a
i ndependi ent e y di s t r i bui da uni f or mement e s obr e el conj unt o de l os
2
rn
mens aj es con s i gni f i cado.
Suponi endo l a equi pr obabi l i dad s e puede mos t r ar l a equi val enci a
ent r e l a ant er i or def i ni ci ón de di s t anci a de uni ci dad y l a noci ón de
di s t anci a uni ci dad de un ci f r ado al eat or i o como l a menor cant i dad
de cr i pt ogr ama t al que .2
D
K

val e 1. Exi s t e una r el aci ón muy
es t r echa ent r e l a di s t anci a uni ci dad de un s i s t ema y l a r edundanci a
de l a f uent e ut i l i zada. Cuando l a f uent e pr es ent a r edundanci a l a
r azón ent r e el númer o de n- pal abr as decr ece a medi da que n cr ece.
Por l o t ant o, par a al gún val or f i ni t o de n es a r azón es l o bas t ant e
pequeña como par a que .2
Dn
K

s ea i gual a 1. Di cho val or
pr opor ci ona l a di s t anci a de uni ci dad n=H( K) / D.
Demos t raci on:
A medi da que s e t enga un cr i pt ogr ama más l ar go, y por t ant o
más i nf or maci ón, s e s upone que l a t ar ea de at aque del
cr i pt oanal i s t a s e va f aci l i t ando.
Se bus ca el t amaño N de cr i pt ogr ama que per mi t a es per ar que l a
s ol uci ón de K s ea úni ca. Suponi endo un ci f r ador al eat or i o,
l l egamos al model o s i gui ent e:
Par ámet r os del model o al eat or i o:
1) Exi s t i r án
*
2
R N
mens aj es pos i bl es de l ongi t ud N.
2) Exi s t i r án
*
2
r N
mens aj es pos i bl es de l ongi t ud N. con s ent i do
3) El es paci o de mens aj es de l ongi t ud N s e di vi di r á en:
3. 1) Es paci o de l os mens aj es con s ent i do:
*
2
r N
CS
M =
3. 2) Es paci o de l os mens aj es s i n s ent i do:
* *
2 2
R N r N
SS
M = −
4) Los
*
2
r N
mens aj es con s ent i do s er án equi pr obabl es s i endo s u
val or
*
*
1
( ) 2
2
r N
CS r N
p M

= = .
13

5) El r es t o de mens aj es (
* *
2 2
R N r N
− ) cor r es pondi ent es a aquel l os s i n
s ent i do t endr án una pr obabi l i dad nul a. ( ) 0
SS
p M = , ya que nunca
s er án gener ados .
6) Exi s t i r án
( )
2
H K
cl aves equi pr obabl es ( En donde H( K) es l a
ent r opí a de l a cl ave) .
7)
( ) ( )
( ) 1/ 2 2
H K H K
p K

= = Con es t as cl aves s e ci f r ar án t odos l os
mens aj es con s ent i do dando l ugar a
*
2
R N
t ext os ci f r ados pos i bl es de
l ongi t ud N.
A di f er enci a de l os mens aj es , como es l ógi co l os cr i pt ogr amas
obt eni dos s er án t odos equi pr obabl es .
Par a cada s ol uci ón cor r ect a de un t ext o M ci f r ado con una cl ave
K del es paci o
( )
2
H K
exi s t i r án ot r as (
( )
2 1
H K
− ) cl aves con l a mi s ma
pr obabi l i dad de ent r egar una s ol uci ón f al t a SF.
Sea q l a pr obabi l i dad de obt ener un mens aj e con s ent i do:
* * ( )* *
2 / 2 2 2
r N R N r R N D N
q
− −
= = =
( ) ( ) * ( ) * *
(2 1) * (2 1) *2 2 2
H K H K D N H K D N D N
SF q
− − −
= − = − = −
( ) *
2
2 log ( ) *
H K D N
SF SF H K D N

⇒ ≈ ⇒ = −
La s ol uci ón SF = 0 es i mpos i bl e por que s ól o s e l l ega a el l a de
f or ma as i nt ót i ca con un val or de N i nf i ni t o.
Se acept a ent onces que haya como máxi mo una s ol a s ol uci ón
f al s a, de ahí s u nombr e de uni ci dad, l uego:
( ) *
2
H K D N
SF

=
Si hacemos 1 ( ) * 0 ( ) / SF H K D N N H K D = ⇒ − = ⇒ = .
Lqqd.
El val or N s er á el númer o mí ni mo de byt es o car act er es que
deber á t ener el cr i pt ogr ama C par a i nt ent ar un at aque por
es t adí s t i cas del l enguaj e. Por l o gener al el val or r eal neces ar i o de
N s er á unas 10 veces s uper i or .

14

Def i ni ci ón 22. Se def i ne l a di s t anci a de uni ci dad como l a
menor l ongi t ud de cr i pt ogr ama t al que equi vocaci ón de cl ave dado
un t ext o ci f r ado H( K/ Y) , s e acer ca a 0. Es deci r l a di s t anci a de
uni ci dad r epr es ent a en muchos cas os l a cant i dad de t ext o que hay
que i nt er cept ar par a que no haya i ncer t i dumbr e s obr e l a cl ave
ut i l i z ada.
Ej empl o 5 ( Cal cul o de Di s t anci a de Uni ci dad)
Supongamos que vamos a ut i l i z ar un al f abet o de n car act er es como
un es paci o de cl aves k por l o cual t endr emos n! cl aves pos i bl es y
t eni endo en cuent a que s egún l a f ór mul a de St i r l i ng:
! 2
n n
n n
n n
e e
π
| | | |
≈ ≈
| |
\ ¹ \ ¹

Ent onces l a ent r opí a del es paci o de cl aves k s er i a:
2 2 2
( ) log ( !) log log
n
n n
H k n n
e e
| | | |
= ≈ =
| |
\ ¹ \ ¹

Por l o que l a di s t anci a de uni ci dad s er i a:
2
log
( )
n
n
H K e
N
D D
| |
|
\ ¹
= ≈
Apl i cando es t a f ór mul a al cas o es peci f i co del cas t el l ano en l a cual
n=27y D=3, 4 t enemos que:
2
27
27*log
2, 72
27, 4
3, 4
N
| |
|
\ ¹
≈ ≈

Es deci r que s e neces i t ar í an obt ener 27, 4 car act er es del
cr i pt ogr ama codi f i cado como mí ni mo par a i nt ent ar des ci f r ar un
mens aj e encr i pt ado con es t as car act er í s t i cas .
En el capi t ul o s i gui ent e s e har á un us o más pr áct i co de var i os de
l os concept os aquí s eñal ados a l os f i nes de mant ener l a
coher enci a en l a s ecuenci a l ógi ca del des ar r ol l o del es t e t r abaj o,
es por el l o que s e di f i er e l a ej empl i f i caci ón pr act i ca de di chos
concept os has t a el capí t ul o I I .









Capitulo 2

Aspectos Matemáticos de la Criptografía

15



2. 1 TEORIA DE LA INFORMACION



A par t i r del aument o de l a capaci dad t écni ca as í como de l a
acel er ada di f us i ón y es peci al i z aci ón que exper i ment an l os medi os
de comuni caci ón dur ant e l a pr i mer a mi t ad del s i gl o XX, s ur ge el
pr i mer model o ci ent í f i co del pr oces o de comuni caci ón conoci do
como l a Teor í a de l a I nf or maci ón o Teor í a Mat emát i ca de l a
Comuni caci ón. Es t e model o, s e des ar r ol l a en el ár ea de l a
t el egr af í a donde s ur ge l a neces i dad de det er mi nar , con pr eci s i ón,
l a capaci dad de l os di f er ent es s i s t emas de comuni caci ón par a
t r ans mi t i r i nf or maci ón.

La pr i mer a f or mul aci ón de l as l e ye s mat emát i cas que gobi er nan
di cho s i s t ema f ue r eal i z ada por Har t l e y ( 1928) y s us i deas s on
cons i der adas act ual ment e como el or i gen de l a Teor í a de l a
I nf or maci ón . En l os años s i gui ent es , Shannon y Weaver ( 1949)
des ar r ol l ar on l os pr i nci pi os def i ni t i vos de es t a t eor í a. Su t r abaj o
es t uvo enf ocado en al gunos de l os s i gui ent es pr obl emas que s e
or i gi nan en l os s i s t emas di s eñados par a mani pul ar i nf or maci ón:
cómo hal l ar l os mej or es mét odos par a ut i l i zar l os di ver s os s i s t emas
de comuni caci ón; cómo es t abl ecer el mej or mét odo par a s epar ar l as
s eñal es del r ui do y cómo det er mi nar l os l í mi t es pos i bl es de un
canal .
Es i mpor t ant e des t acar que l a Teor í a de l a I nf or maci ón s e
des ar r ol l a como una s ol uci ón a l os pr obl emas t écni cos del pr oces o
de comuni caci ón, s i n embar go s us pr i nci pi os puedan apl i car s e en
ot r os cont ext os .


En gener al , l a Teor í a de l a I nf or maci ón t r at a acer ca de l a
cant i dad de i nf or maci ón que s e t r ans mi t e de l a f uent e al r ecept or
al envi ar un det er mi nado mens aj e, s i n t omar en cons i der aci ón el
s i gni f i cado o pr opós i t o de di cho mens aj e.







16


2. 1. 1 CONCEPTOS BASICOS

A cont i nuaci ón es t abl ecer emos una s er i e de concept os que nos
s er án út i l es a l o l ar go del des ar r ol l o pr áct i co del pr es ent e t r abaj o:


Def i ni ci ón 23. Una Señal es l a Mani f es t aci ón f í s i ca ( en f or ma de
onda s onor a, onda el ect r omagnét i ca, l enguaj e es cr i t o et c. ) capaz de
pr opagar s e por un medi o dado .


Def i ni ci ón 24. Se denomi na Mens aj e a l a Señal que cor r es ponde
a una r eal i z aci ón par t i cul ar del conj unt o de s eñal es dadas .


Def i ni ci ón 25. l a Fuent e Sel ecci ona el mens aj e des eado de un
conj unt o de mens aj es pos i bl es .


Def i ni ci ón 26. Se l l ama Observador: al des t i nat ar i o f i nal del
mens aj e.


Def i ni ci ón 27. El Canal es def i ni do como l a Tot al i dad de l os
medi os des t i nados a l a t r ans mi s i ón de l a s eñal .


Def i ni ci ón 28. Se denomi na Modul aci ón a l a Tr ans f or maci ón
de un mens aj e en una s eñal , con l a f i nal i dad de f aci l i t ar y
aument ar l a ef i caci a de l a t r ans mi s i ón y r educi r l os er r or es de l a
mi s ma.


Def i ni ci ón 29. La Demul aci ón es l a oper aci ón i nver s a de l a
modul aci ón.


Def i ni ci ón 30. La Codi f i caci ón cons i s t e: Tr ans f or maci ón de un
mens aj e en una s eñal , cuyo pr i nci pal obj et i vo es aument ar l a
ef i caci a de l a t r ans mi s i ón.


Def i ni ci ón 31. La Decodi f i caci ón es l a Tr ans f or maci ón i nver s a
de l a codi f i caci ón


17

Def i ni ci ón 32. La Per t ur baci ón: Señal que modi f i ca una s eñal
al eat or i a út i l , di s mi nuyendo l a cant i dad de i nf or maci ón que
ci r cul a por el l a.

Ej empl o 1

Un ej empl o pr áct i co que per mi t i r á acl ar ar l os concept os
menci onados podr í a s er l a comuni caci ón ví a t el éf onos i nal ámbr i cos
ent r e 2 per s onas en l a cual l a per s ona que l l ama ( f uent e) emi t e l as
ondas s onor as ( codi f i caci ón) l as cual es medi ant e l a ci r cui t er í a
i nt er na s e t r ans f or man en ondas her t zi anas ( modul aci ón) di chas
ondas vi aj an at r aes del ai r e ( canal ) haci a el r ecept or
( obs er vador ) en donde s e pr oduce el pr oces o i nver s o a l a
modul aci ón ( demul aci on) par a vol ver s e nuevament e en ondas
s onor as en donde el r ecept or i nt er pr et a ( decodi f i ca) por medi o de
un conj unt o de r egl as pr evi ament e es t abl eci das y conveni das por
l as par t es act uant es ( al f abet o) .


La Teor í a de l a I nf or maci ón, concept ual i z a el t ér mi no
i nf or maci ón como el gr ado de l i ber t ad de una f uent e par a el egi r un
mens aj e de un conj unt o de pos i bl es mens aj es



2. 1. 2 MEDICION DE LA CANTIDAD DE
INFORMACION.


El concept o de i nf or maci ón s upone l a exi s t enci a de duda o
i ncer t i dumbr e. La i ncer t i dumbr e i mpl i ca que exi s t en di f er ent es
al t er nat i vas que deber án s er el egi das , s el ecci onadas o
di s cr i mi nadas .

Al medi r cuánt a i nf or maci ón pr opor ci ona l a f uent e al r ecept or al
envi ar un mens aj e, s e par t e del s upues t o que cada el ecci ón es t á
as oci ada a ci er t a pr obabi l i dad, s i endo al gunos mens aj es más
pr obabl es que ot r os . Uno de l os obj et i vos de es t a t eor í a es
det er mi nar l a cant i dad de i nf or maci ón que pr opor ci ona un mens aj e,
l a cual puede s er cal cul ada a par t i r de s u pr obabi l i dad de s er
envi ada.

El t i po de el ecci ón más s i mpl e es el que exi s t e ent r e dos
pos i bi l i dades , en que cada una t i ene una pr obabi l i dad de 1/ 2 ( 0, 5) .
Por ej empl o, al t i r ar una moneda al ai r e ambas pos i bi l i dades - car a
y s el l o- t i enen l a mi s ma pr obabi l i dad de s al i r .


18


A ef ect os de cl ar i f i car es t os concept os pongamos un ej empl o
pr áct i co, def i namos l as s i gui ent es var i abl es :


a
I = cant i dad de i ncer t i dumbr e ant es de conocer un mens aj e
d
I = cant i dad de i ncer t i dumbr e des pués de conocer el mens aj e
i
c = gr ado de i ncer t i dumbr e , log
a
i
d
I
c
I
=

Ej empl o 2:

Supongamos que t enemos 3 l et r as A, B, C y de cada una hay de 2
col or es negr o y r oj o ( es deci r 6 en t ot al ) y hagamos un cuadr o
es quemát i co con t odas l as combi naci ones pos i bl es ( t omadas de 3 en
3 s i n r epet i r l et r as )



1 A B C
2 A B C
3 A B C
4 A B C
5 A B C
6 A B C
7 A B C
8 A B C
:


Como podemos obs er var t enemos 8 combi naci ones pos i bl es t odas
i gual ment e pr obabl es de s er el egi das ( es t o def i ne que l a
i ncer t i dumbr e i ni ci al es i gual a 8) .

Ahor a s upongamos que es cogemos una combi naci ón y ot r a
per s ona debe deduci r cual es l a combi naci ón cor r ect a ( l a númer o 3
en es t e cas o en par t i cul ar ) , por l o cual hace al gunas pr egunt as ( es
deci r obt i ene i nf or maci ón)

l as l et r as s on t odas del mi s mo col or ? Res pues t a: no
Es t a i nf or maci ón r educe l os cas os pos i bl es de 8 a 6 ya que s e
el i mi nan l os cas os 1 y 8.

8
1 log( ) log8 log6
6
i
c = = −


19


La l et r a A es r oj a? Res pues t a: no
Es t a i nf or maci ón el i mi na l os cas os 5 , 6 y 7.

6
2 log( ) log6 log3
3
i
c = = −

Ha y 2 l et r as cons ecut i vas negr as ? Res pues t a: no
Se el i mi na el cas o 2.

3
2 log( ) log3 log2
2
i
c = = −

l a l et r a C es r oj a? Res pues t a: no
Se el i mi na el cas o 4 y s e el i mi na l a i ndet er mi naci ón

2
4 log( ) log2 log1
1
i
c = = −



Todas l as magni t udes s e pueden s umar como:

1 2 3 4 log8 log1 log8
i i i i
c c c c c = + + + = − =

Sean
a
I = cant i dad de i ncer t i dumbr e ant es de conocer un mens aj e,
d
I = cant i dad de i ncer t i dumbr e f i nal ( des pués de conocer el
mens aj e)

log( ) log( ) log( )
a
i a d
d
I
c I I
I
= = − .

La cant i dad de i nf or maci ón t i ene como uni dad de medi da l a de
un f enómeno de s ol o 2 es t ados ( es deci r es un f enómeno bi nar i o)
ent onces :
2
log ( ) log 2 log 1
1
i b b b
c = = − y como log 2
b
debe s er i gual a 1
t enemos que l a bas e b=2 y a es t a uni dad de i nf or maci ón s e l e
denomi na bi t ( bi nar i di gi t ) .

Por l o t ant o en el ej empl o ant er i or
2
8
log ( ) 3
1
i
c = = es deci r que l a
i ndet er mi naci ón puede s er r es uel t a en s ol o 3 pas os ( y no en 4 como
l o hi ci mos or i gi nal ment e) el i mi nando el 50% de l as pos i bl es cas o
en cada pr oces o de obt ener i nf or maci ón.


20


Pr egunt as :

1) Es t a l a combi naci ón ent r e l os cas os 1 al 4? Res pues t a: s i
( s e el i mi nan l os cas os del 5 al 8)

2) Es t á ent r e l os cas os 1y 2? Res pues t a: no
( s e el i mi nan es t os cas os )

3) Es el cas o 4? Res pues t a: no y es t o def i ne que el cas o el egi do es
el 3 el i mi nando as í l a i ncer t i dumbr e.


Def i ni ci ón 33. Por l o t ant o s e def i ne l a cant i dad de
i nf or maci ón como un s uces o A que puede pr es ent ar s e con una
pr obabi l i dad p( A) y que cuando di cho s uces o t i ene l ugar s e
pr oduce una cant i dad de i nf or maci ón
1
( ) log( )
( )
I A
p A
= .

Es t a var i abl e s e mi de en: Bi t ( bas e 2) , Di t ( bas e 10) , Ni t ( bas e n) .
( Es i mpor t ant e di s t i ngui r ent r e bi t como uni dad de i nf or maci ón y
l os s í mbol os 0 y 1 que r epr es ent an l as s eñal es bi nar i as . Es t os
s í mbol os s e s uel en l l amar i mpr opi ament e bi t s , per o pueden
cont ener o no un bi t de i nf or maci ón. Par a di s t i ngui r , a l os s í mbol os
0 y 1 s e l es denomi nan bi ni t s ) .



2. 1. 3 ENTROPIA


Par a una var i abl e al eat or i a X ¿Cuánt a i nf or maci ón enci er r a l a
expr es i ón X=x? , par ece l ógi co s uponer que cuant o mayor s ea l a
pos i bi l i dad de que X=x mas i nf or mat i vo s er a el mens aj e. Por
ej empl o s upongamos que X r epr es ent a l a s uma de dos dados
l anzados ent onces ha y más i nf or maci ón en deci r X=12 que en deci r
X=7 ( ya que en el pr i mer cas o l a pr obabi l i dad es
1
36
y en el
s egundo cas o es
1
6
es deci r , hay un s ol o cas o pos i bl e cuando X=12
y ha y 6 cas os pos i bl es cuando X=7) por l o t ant o ha y más
i ncer t i dumbr e ( cas os pos i bl es ) en el s egundo cas o que en el
pr i mer o.




21




Denot emos ( ) I p como l a cant i dad de i nf or maci ón cont eni da en el
mens aj e que nos di ce que ha ocur r i do un event o, cuya pr obabi l i dad
es p ; par a det er mi nar l a ecuaci ón de ( ) I p , s ean X e Y var i abl es
al eat or i as i ndependi ent es y s upongamos que { } P X x p = = y que
{ } P Y y q = = ¿Cuánt a i nf or maci ón cont i ene el mens aj e X=x e Y=y?
par a cont es t ar es a pr egunt a s e debe obs er var pr i mer o que l a
cant i dad de i nf or maci ón en l a f r as e X es i gual a x es ( ) I p . Como el
conoci mi ent o de que X es i gual a x no af ect a l a pos i bi l i dad de que
Y s ea i gual a y ( pues t o que X e Y s on i ndependi ent es ) ent onces
t enemos que l a cant i dad de i nf or maci ones l a f r as e Y es i gual a y es
i gual a ( ) I q . Ent onces l a cant i dad de i nf or maci ón cont eni da en el
mens aj e X=x e Y=y es ( ) ( ) I p I q + s i n embar go, t enemos que:

{ } { } { } , P X x Y y P X x P Y y pq = = = = = =

Lo cual i mpl i ca que l a cant i dad de i nf or maci ón cont eni da en el
mens aj e X=x e Y=y es ( ) I pq , por l o t ant o t enemos :

( ) ( ) ( ) I pq I p I q = +

Y s i def i ni mos una f unci ón ( ) (2 )
p
G p I

= .

( El hecho de que en l a f or mul a es t e pr es ent e el númer o 2 es par a
cont r ar r es t ar el car áct er exponenci al de l os es t ados pos i bl es y
hacer más f áci l es l os cál cul os , per o es i gual ment e val i do cual qui er
ot r a numer o, ya que s ol o cambi ar i a por una cons t ant e, r ecor dando
l a f or mul a
log
log
log
b
a
b
X
X
a
= ) .


De l o ant er i or ment e expues t o t enemos que:


( )
( ) (2 ) ( ) (2 2 )
p q p q
G p q I G p q I
− + − −
+ = ⇒ + =

( ) (2 ) (2 ) ( ) ( ) ( )
p q
G p q I I G p q G p G q
− −
+ = + ⇒ + = +



Se puede demos t r ar que l as que l as f unci ones G que s at i s f acen l as
r el aci ones f unci onal es ant er i or es t i enen l a f or ma:


22




( ) G p cp =

Par a al guna cons t ant e c, por l o que t enemos que:

(2 )
p
I cp

=


Y cons i der ando que 2
p
q

= r es ul t a:

2
( ) log ( ) I q c q = −

Par a al guna cons t ant e c. Es t r adi ci onal t omar c=1.

Cons i der emos ahor a una var i abl e al eat or i a X, que t oma uno de
l os val or es
1 2
, ,...
n
x x x con pr obabi l i dades r es pect i vas
1 2
, ,...
n
p p p . Como
log( )
i
p − r epr es ent a l a i nf or maci ón encer r ada en l mens aj e
i
X x = , l a
cant i dad es per ada de i nf or maci ón que s er á pr opor ci onada cuando
s e as i gne un val or a X es t á dada por :

2
1
( ) log ( )
n
i i
i
H X p p
=
= −



Por t odo l o ant er i or ment e expues t o podemos deci r que:


Def i ni ci ón 34. La Ent r opí a de un mens aj e, que s e r epr es ent a
por H( X) , es el val or medi o ponder ado de l a cant i dad de
i nf or maci ón de l os di ver s os es t ados pos i bl es del mens aj e.


Es deci r r epr es ent a una s umat or i a de l os cas os pos i bl es que
gener an i ncer t i dumbr e a l a hor a de hacer una el ecci ón.

Tambi én puede def i ni r s e como una medi da de l a i ncer t i dumbr e
medi a acer ca de una var i abl e al eat or i a y del númer o de bi t s de
i nf or maci ón cont eni dos en di cho mens aj e.







23



Ej empl o 3: CÁLCULO DE ENTROPIA



Cas o 1

Si t enemos 1 bol a negr a ( N) y 1 bol a bl anca ( B) t enemos :

1
1 2 2
2
1
( )
1 1 1 1
2
( ) log ( ) log ( ) 1
1 2 2 2 2
( )
2
N p x
H x Bits
B p x
¦ ¹
→ =
¦ ¦
¦ ¦ (
⇒ = − + =
´ `
(
¸ ¸
¦ ¦
→ =
¦ ¦
¹ )


Cas o 2

Si t enemos 9 bol as negr as ( N) y 1 bol a bl anca ( B) t enemos :

1
1 2 2
2
9
( )
1 1 9 9
10
( ) log ( ) log ( ) 0, 67
1 10 10 10 10
( )
10
N p x
H x Bits
B p x
¦ ¹
→ =
¦ ¦
¦ ¦ (
⇒ = − + =
´ `
(
¸ ¸
¦ ¦
→ =
¦ ¦
¹ )



Cas o 3

Si t enemos 99 bol as negr as ( N) y 1 bol a bl anca ( B) t enemos :

1
1 2 2
2
99
( )
99 99 1 1
100
( ) log ( ) log ( ) 0, 08
1 100 100 100 100
( )
100
N p x
H x Bits
B p x
¦ ¹
→ =
¦ ¦
¦ ¦ (
⇒ = − + =
´ `
(
¸ ¸
¦ ¦
→ =
¦ ¦
¹ )



Se puede obs er var que el pr i mer cas o es más i nci er t o que el
s egundo y es t e a s u vez mas i nci er t o que el t er cer o ( en donde cas i
ha y l a cer t ez a de obt ener una bol a negr a) de donde podemos
deduci r que l a ent r opí a aument a cuando aument a l a i ncer t i dumbr e.







24




Ej empl o 4 ENTROPI A CONDI CI ONAL


Supongamos , por ej empl o, que t enemos 125 ani mal es ( ent r e
mul as y cabal l os t ant o j óvenes como vi ej os ) di s t r i bui dos de l a
s i gui ent e maner a:


j óvenes vi ej os t ot al es
cabal l os 38 10 48
mul as 26 51 77
t ot al es 64 61 125



Si pr egunt an cuál es l a pos i bi l i dad de que un ani mal el egi do s ea
un cabal l o l a r es pues t a es :
48
( ) 0, 384
125
p c = = en cambi o, s i s abemos
que el ani mal s el ecci onado es vi ej o nos podemos val er de es t a
condi ci ón par a cal cul ar l a pr obabi l i dad de que s ea un cabal l o.

10
( ) 0,163
(10 51)
p c = =
+
.

En l enguaj e mat emát i co s e expr es a l a pos i bi l i dad de que un
event o
i
x s uceda condi ci onado a que s e dé ot r o s uces o
j
y de l a
s i gui ent e f or ma:
( , )
( )
( )
i j
i
j j
p x y
x
p
y p y
=


En donde:

( )
i
j
x
p
y
= Pr obabi l i dad de obt ener
i
x cuando ha ocur r i do
j
y
( )
j
i
y
p
x
= Pr obabi l i dad de obt ener
j
y cuando ha ocur r i do
i
x
Es deci r , que l a pr obabi l i dad que exi s t e de que s e t r ans i t a
i
x y s e
r eci ba
j
y es : ( , ) ( ) ( )
i
i j j
j
x
p x y p y p
y
= ; que es i gual a l a pr obabi l i dad de
que s e r eci ba
j
y por l a pr obabi l i dad de que habi endo r eci bi do
j
y s e
hal l a t r ans mi t i do
i
x .
25




2. 1. 3. 1 PROPIEDADES DE LA ENTROPIA



TEOREMA 1 ( ENTROPI A MAXI MA) :


La ent r opí a es máxi ma cuando t odos l os mens aj es t i enen l a
mi s ma pr obabi l i dad de ocur r enci a.


Demos t raci ón:


Sea

[ ] ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( )
[ ] ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( )
[ ] ( ) ( ) ( ) [ ]
1 2
1 1 2 2
1 1 1 1 1 1
1 1
1
( ) ( ) .... ( ) ( )
log log .... log
log log .... log
1 1
log log
n i
n n
p x p x p x p x
n
H X p x p x p x p x p x p x
H X p x p x p x p x p x p x
H X np x p x H X n p
n n
= = = ⇒ = ⇒
= − − − ⇒
= − − − ⇒
| | | | | |
= − ⇒ = − ⇒
| | |
\ ¹ \ ¹ \ ¹



[ ] ( )
Max
H X Log n =


Lqqd.



Par a cual qui er ot r a di s t r i buci ón de pr obabi l i dades , en l os
cual es t odos l os val or es de l as pr obabi l i dades s ean i gual es , l a
ent r opí a es menor .


Par a pr obar es t e t eor ema har emos us o de l a l l amada des i gual dad de
j es s en l a cual es t abl ece que: ( ) 1 Ln x x ≤ − .

En es t e cas o def i ni mos 1
i i i
i i i
p p p
x Ln
p p p
| | ′ ′ ′
= ⇒ | ≤ −
|
\ ¹
cumpl i éndos e l a

26



i gual dad en el cas o que
i i
p p

= , mul t i pl i cando l os dos mi embr os
de l a des i gual dad por
i
p y s umando par a t odas l as i t enemos que:



( ) i i i
i
i
i i
p p p
p
p Ln
p p


| | ′
| ≤ ⇒
|
\ ¹
∑ ∑
i
i i i
i
p
p Ln p p
p
| | ′

| ≤ − ⇒
|
\ ¹
∑ ∑ ∑


0 ( ) ( ) 0
i
i i i i i
i
p
p Ln p Ln p p Ln p
p
| | ′

| ≤ ⇒ − ≤ ⇒
|
\ ¹
∑ ∑ ∑

( ) ( )
i i i i
p Ln p p Ln p


∑ ∑


En gener al

log log
i i i i
p p p p


∑ ∑



La i gual dad s e cumpl e s i
i i
p p

= ; s i
1
i
p
n

= , o s ea que t odos l os
pr oces os s on i gual ment e pr obabl es t enemos ent onces que:

1 1
log log( ) log log( )
i i i i i i
p p p p p p
n n
| | | |
≤ ⇒ ≤ ⇒
| |
\ ¹ \ ¹
∑ ∑ ∑ ∑

[ ]
1 1
log log( ) log
i i i
p p p H X
n n
| | | |
− ≥ − ⇒ ≤ −
| |
\ ¹ \ ¹
∑ ∑


[ ] log( ) H X n ⇒ ≤

per o [ ] [ ] [ ] log( )
Max Max
H X n H X H X = ⇒ ≤


TEOREMA 2 ( PROPI EDAD ADI TI VA)

Debe cumpl i r s e que:

[ ] ( )
( ) log( )
i j i j
H XY p x y p x y = −
∑∑


[ ] [ ] [ ] H XY H X H Y = +
27



Demos t raci ón:


Sean 2 f uent es X e Y de al f abet os

[ ]
[ ]
1 2
1 2
, ....
, ....
n
n
X x x x
Y y y y
=
=


y s us pr obabi l i dades as oci adas


[ ]
[ ]
1 2
1 2
( ) ( ), ( ).... ( )
( ) ( ), ( ).... ( )
n
n
p X p x p x p x
p Y p y p y p y
=
=


Cons i der emos l a f uent e compues t a:

[ ]
1 1 2 2
, ,....
n m
XY x y x y x y =
[ ]
1 1 2 2
( ) ( ), ( ),.... ( )
n m
p XY p x y p x y p x y =

Donde s i l os pr oces os s on es t ocas t i cament e i ndependi ent es l a
ocur r enci a de
i
x no al t er a l a pr obabi l i dad de
j
y , es deci r :

( ) ( ) ( )
i j i j
p x y p x p y = ⇒

[ ] ( ) ( )
log( ) ( ) ( ) log ( ) ( )
i j i j i j i j
H XY p x y p x y p x p y p x p y ( = − = −
¸ ¸
∑∑ ∑∑


[ ] ( ) ( ) log( ( )) ( ) ( ) log( ( ))
i j i i j j
H XY p x p y p x p x p y p y = − − ⇒
∑∑ ∑∑


[ ] ( ) ( ) log( ( )) ( ) ( ) log( ( ))
j i i i j j
H XY p y p x p x p x p y p y = − − ⇒
∑ ∑ ∑ ∑


[ ] ( ) log( ( )) ( ) log( ( ))
i i j j
H XY p x p x p y p y = − − ⇒
∑ ∑



[ ] [ ] [ ] H XY H X H Y = +

Lqqd.

Cuando l os mens aj es de l a f uent e s on i ndependi ent es l a ent r opí a
de l a f uent e compues t a es i gual a l a s uma de l as ent r opí as de cada
una de l as f uent es .
28




TEOREMA 3 ( ENTROPI A CONDI CI ONAL)

La ent r opí a [ ] / H X Y s e l l ama ambi güedad o equi voco por que nos
da l a medi da de l a i ncer t i dumbr e s obr e el campo de ent r ada,
cuando s e conoce l a s al i da.

La ent r opí a [ ] / H Y X s e l l ama er r or medi o por que nos da l a medi da
de l a i ncer t i dumbr e s obr e el campo de s al i da cuando s e conocen
l os s í mbol os de ent r ada.

Y debe cumpl i r s e que:

[ ] ( )
/ ( ) log ( / )
i j i j
H X Y p x y p x y = −
∑∑



As í como:


[ ] ( )
/ ( ) log ( / )
i j j i
H Y X p x y p y x = −
∑∑


Demos t r aci ón:


Sean 2 f uent es X e Y de al f abet os

[ ]
[ ]
1 2
1 2
, ....
, ....
n
n
X x x x
Y y y y
=
=


y s us pr obabi l i dades as oci adas

[ ]
[ ]
1 2
1 2
( ) ( ), ( ).... ( )
( ) ( ), ( ).... ( )
n
n
p X p x p x p x
p Y p y p y p y
=
=


Cons i der emos l a f uent e compues t a:

[ ]
1 1 2 2
, ,....
n m
XY x y x y x y =
De pr obabi l i dades



[ ]
1 1 2 2
( ) ( ), ( ),.... ( )
n m
p XY p x y p x y p x y =

29




Donde s i l os pr oces os
i
x e
j
y
no s on es t ocas t i cament e
i ndependi ent es exi s t e un enl ace es t ocas t i co ent r e
i
x e
j
y
que es t a
dado por l as pr obabi l i dades condi ci onal es :

( )
( )
( )
,
/
i j
i j
j
p x y
p x y
p y
=


Es deci r que l a pr obabi l i dad que exi s t e de que s e t r ans mi t a
i
x y s e
r eci ba
j
y
es : ( , ) ( ) ( )
i
i j j
j
x
p x y p y p
y
= ; que es i gual a l a pr obabi l i dad de
que s e r eci ba
j
y por l a pr obabi l i dad de que habi endo r eci bi do
j
y s e
hal l a t r ans mi t i do
i
x .

Si l os acont eci mi ent os a l a s al i da s on conoci dos exi s t e una ci er t a
i ncer t i dumbr e s obr e l os acont eci mi ent os a l a ent r ada.

El val or medi o de es t a i ncer t i dumbr e es l o que s e l l ama l a
ent r opí a de l a f uent e X condi ci onada por l a f uent e Y, es deci r
[ ] / H X Y .

Si
j
y es el s í mbol o que ha apar eci do a l a s al i da de l a f uent e,
exi s t e una ci er t a i ncer t i dumbr e s obr e el s í mbol o emi t i do que
puede s er
1 2
, ,....,
i
x x x .

El val or medi o de es t a i ncer t i dumbr e s obr e l os s í mbol os de
ent r ada cuando s e conoce l a s al i da
j
y es el val or de l a ent r opí a
condi ci onal /
j
X y (
¸ ¸
que s egún l a def i ni ci ón de ent r opí a val dr á:


/ ( / ) log( ( / )
j i j i j
H X y p x y p x y ( = −
¸ ¸





El val or medi o de es t a ent r opí a par a t odos l os pos i bl es val or es
j
y
es :



30


[ ]
/ ( ) log( /
j j
H X Y p y H X y ( = −
¸ ¸



[ ] / ( ) ( / ) log( ( / ))
j i j i j
H X Y p y p x y p x y = −
∑∑



Per o ( ) ( / ) ( , )
j i j i j
p y p x y p x y = ent onces l a ecuaci ón ant er i or queda:

[ ] / ( , ) log( ( / ))
i j i j
H X Y p x y p x y = −
∑∑


Lqqd.

De l a mi s ma f or ma obt enemos que:


[ ] / ( , ) log( ( / ))
i j j i
H Y X p x y p y x = −
∑∑




TEOREMA 4 ( LEY DE LAS ENTROPI AS TOTALES)

Debe cumpl i r s e que:

[ ] [ ] [ ] / H XY H X H Y X = +

Demos t r aci ón:


Si t enemos l a f uent e compues t a:

[ ]
1 1 2 2
, ,....
n m
XY x y x y x y =

De pr obabi l i dades

[ ]
1 1 2 2
( ) ( ), ( ),.... ( )
n m
p XY p x y p x y p x y =

La ent r opí a de l a f uent e s er á:

[ ] ( ) ( )
log( ) ( ) ( / ) log ( ) ( / )
i j i j i j i i j i
H XY p x y p x y p x p y x p x p y x ( = − = −
¸ ¸
∑∑ ∑∑


[ ] ( ) ( / ) log( ) ( ) ( / ) log( ( / ))
i j i i i j i j i
H XY p x p y x x p x p y x p y x = − −
∑∑ ∑∑




31



Per o,

[ ] ( ) ( / ) log( ) ( / ) ( ) log( ( ))
i j i i j i i i
p x p y x x p y x p x p x H X − = − =
∑∑ ∑ ∑



Ya que:
( )
/ 1
j i
p y x =



En el s egundo s umando de l a ecuaci ón t enemos :

[ ] ( ) ( / ) log( ( / )) ( ) log( ( / )) /
i j i j i j i j i
p x p y x p y x p y x p y x H Y X − = − =
∑∑ ∑∑


Sus t i t uyendo es t as expr es i ones f i nal ment e t enemos que:


[ ] [ ] [ ] / H XY H X H Y X = +


Lqqd.


Teorema 5 ( OTRAS PROPI EDADES DE LA ENTROPI A)


La ent r opí a de una f uent e X cuyo a l f abet o es t á condi ci onado por
el al f abet o de una f uent e Y s i empr e es menor o i gual ( ) ≤ que el de
una f uent e X, al canz ándos e l a i gual dad en el cas o de que l os
al f abet os de l as f uent es s ean i ndependi ent es , es deci r :


[ ] [ ] / H X Y H X ≤ o [ ] [ ] / H Y X H Y ≤



La ent r opí a de una f uent e XY cuyo al f abet o s e obt i ene como l as
pos i bl es par ej as de s í mbol os de l as f uent es { }
i
X x e
{ }
j
Y y es
s i empr e menor o i gual a l a ent r opí a de cada una de l as f uent es por
s epar ado:

[ ] [ ] [ ] H XY H X H Y ≤ +





32


Demos t r aci ón:

Sean 2 f uent es X e Y de al f abet os

[ ]
[ ]
1 2
1 2
, ....
, ....
n
n
X x x x
Y y y y
=
=



y s us pr obabi l i dades as oci adas

[ ]
[ ]
1 2
1 2
( ) ( ), ( ).... ( )
( ) ( ), ( ).... ( )
n
n
p X p x p x p x
p Y p y p y p y
=
=



Cons i der emos l a f uent e compues t a:

[ ]
1 1 2 2
, ,....
n m
XY x y x y x y =


De pr obabi l i dades

[ ]
1 1 2 2
( ) ( ), ( ),.... ( )
n m
p XY p x y p x y p x y =



I gual ment e s abemos que:

( ) ( )
i i j
j
p x p x y =


( ) ( )
j i j
i
p y p x y =




Ent onces l os val or es de l as ent r opí as de l as f uent es X e Y s e
pueden es cr i bi r as í :

[ ] ( ) log( ( )) ( ) log( ( ))
i i j i i
H X p x p x p y x p x = − = −
∑ ∑∑



[ ] ( ) log( ( )) ( ) log( ( ))
j j j i j
H Y p y p y p y x p y = − = −
∑ ∑∑







33



Sumando ambas ecuaci ones obt enemos que:


[ ] [ ]
( ) log ( ) ( )
j i i j
H X H Y p y x p x p y ( + = −
¸ ¸
∑∑



Apl i cando l a des i gual dad de j es s en al cas o de 2 var i abl es


( ) log( ( )) ( ) log( ( ))
j i i j j i i j
p y x p x y p y x p x y ′ ≤
∑∑ ∑∑




El s egundo mi embr o de l a des i gual dad ant er i or es :

[ ] ( ) log( ( ))
j i i j
p y x p x y H XY = −
∑∑


Per o
( ) ( ) ( )
i j i j
p x y p x p y ′ =


Ya que es t a pr obabi l i dad s e cor r es ponde cuando l os s uces os er an
es t ocas t i cament e i ndependi ent es , ent onces el pr i mer mi embr o de
l a des i gual dad queda:


( ) log( ( )) ( ) log ( ) ( )
j i i j j i i j
p y x p x y p y x p x p y ′ ( =
¸ ¸
∑∑ ∑∑


[ ] [ ]
( ) log( ( )) ( ) log( ( ))
j i i j i j
p y x p x p y x p y H X H Y ( = + = − +
¸ ¸
∑∑ ∑∑



Sus t i t uyendo en l a des i gual dad obt enemos que:

[ ] [ ] [ ]
H X H Y H XY ( − + ≤ −
¸ ¸


Cambi ando el s i gno f i nal ment e obt enemos


[ ] [ ] [ ] H XY H X H Y ≤ +

Lqqd.


34



Teorema 6 ( CANTI DAD DE I NFORMACI ON DE SHANNON)


La obt enci ón de i nf or maci ón s obr e el r es ul t ado de una
exper i enci a r epr es ent a una di s mi nuci ón de l a i ncer t i dumbr e
( ent r opí a) as oci ada a l a mi s ma. Dada 2 var i abl es al eat or i as X e Y
s e l l ama cant i dad de i nf or maci ón de Shannon que l a var i abl e X
s umi ni s t r a s obr e l a var i abl e Y a l a di f er enci a

[ ] [ ] ( , ) / I X Y H X H X Y = −



La i nf or maci ón que una var i abl e cont i ene s obr e ot r a coi nci de
con l a que es t a cont i ene s obr e l a pr i mer a.


Demos t r aci ón:

[ ] [ ] [ ] [ ] [ ] / / H XY H X H Y X H Y H X Y = + = + ⇒

[ ] [ ] [ ] [ ] / / H X H X Y H Y H Y X − = − ⇒

( , ) ( , ) I X Y I Y X =

Lqqd.

La cant i dad de i nf or maci ón que una var i abl e cont i ene s obr e ot r a
es s i empr e pos i t i va y es nul a s i exi s t e i ndependenci a es t ocás t i ca
ent r e el l as .

Sabemos que [ ] [ ] [ ] [ ] / ( , ) / 0 H Y X H Y I X Y H Y H Y X < ⇒ = − > , cuando
exi s t e i ndependenci a es t ocás t i ca ent r e l as var i abl es

[ ] [ ] [ ] [ ] / ( , ) 0 H Y X H Y I X Y H Y H Y = ⇒ = − =

La cant i dad de i nf or maci ón máxi ma que una var i abl e cont i ene
s obr e ot r a es t a acot ada por s u ent r opí a y coi nci de con l a
i nf or maci ón que l a var i abl e cont i ene s obr e s í mi s ma.






35




[ ] [ ] [ ] ( , ) / I X Y H Y H Y X H Y = − <



Por s er [ ] / 0 H Y X > y como:

[ ] [ ] [ ] / ( , ) H Y Y H Y I Y Y H Y = ⇒ =



CANTI DAD DE I NFORMACI ON ( en bas e a l a ent r opí a)


Ot r a f or ma de expr es ar l a i nf or maci ón par t i endo de l as
pr opi edades de l a ent r opí a es de l a s i gui ent e maner a:


[ ] [ ] [ ] [ ] [ ] ( , ) / ( , ) I X Y H Y H Y X I X Y H X H Y H XY = − ⇒ = + −


Def i ni ci on 35. Codi f i cador Opt i mo.


Un codi f i cador ópt i mo es aquel en el cual s e us an el menor
númer o de bi t s par a codi f i car un mens aj e X

I nt r oduci endo el s i gno negat i vo dent r o del l ogar i t mo en l a
expr es i ón de l a ent r opí a nos quedar í a:


2
1
1
( ) ( ) log ( )
( )
n
i
H X p x
p x
=
=



En donde l a expr es i ón
2
1
log ( )
( ) p x
r epr es ent a el númer o neces ar i o
de bi t s de i nf or maci ón par a codi f i car un mens aj e X en un
codi f i cador opt i mo.







36



Ej empl o 5


Par a que dé un val or exact o, vamos a cal cul ar el númer o de bi t s
ópt i mo de codi f i caci ón par a el mens aj e M = LELAELLA de 8
car act er es .

Sol uci ón:

p( L) = 0, 5; p( E) = 0, 25; p( A) = 0, 25; y obvi ament e ( , , ) 1 p L E A =



Par a codi f i car L neces i t ar emos
2 2
1
log ( ) log (2) 1
0, 5
= = bi t :


Par a codi f i car E neces i t ar emos
2 2
1
log ( ) log (4) 2
0, 25
= = bi t

Par a codi f i car A neces i t ar emos
2 2
1
log ( ) log (4) 2
0, 25
= = bi t

Luego, s i L s e codi f i ca como 0, E como 10 y A c omo 11, el
mens aj e M s e codi f i car á como: 0 10 0 11 10 0 0 11, es deci r s e
t r ans mi t en 12 bi t s .

Si cal cul a l a ent r opí a de M obt endr á:

H( M) =0, 5( 1) +0, 25( 2) +0, 25( 2) =0, 5+0, 5+0, 5= 1, 5

Al mi s mo val or s e l l ega con el concept o de númer o medi o de bi t s :
par a codi f i car un mens aj e M de 8 el ement os , hemos us ado 12 bi t s .
Luego 12/ 8 = 1, 5 bi t s por el ement o.













37



2. 2 TEORIA DE NUMEROS.


En vi s t a de que l os act ual es s i s t emas cr i pt ogr áf i cos t i enen s u
bas e en al gor i t mos de t i po ar i t mét i co es f undament al hacer una
br eve expos i ci ón de l os pr i nci pi os f undament al es s obr e l a cual s e
s us t ent as a l os f i nes de poder compr ender s us l i mi t aci ones y
al cance . Revi s ar emos r es ul t ados bás i cos de l a t eor í a de númer os ,
como el Teor ema de Fer mat ( pequeño) , des compos i ci ón en f act or es
pr i mos , cur vas , el í pt i cas et c.



Def i ni ci ón 36. Concept o de Congr uenci a:


Sean 2 númer os ent er os a y b : s e di ce que a es congr uent e con b
en el modul o n s i y s ol o s i n di vi de de f or ma exact a a l a
di f er enci a ( ) a b − .


Lo cual s e expr es a de l a s i gui ent e f or ma: mod a b kn a b n − = ⇒ ≡

Ej empl o 6:

19 es congr uent e con 1 modul o 6 ya que 19- 1=18=k. 6 es deci r :

19 1(mod6) ≡



2. 2. 1 PROPIEDADES DE LA CONGRUENCIA EN Z



1) Pr opi edad Ref l exi va.


mod , a a n a Z ≡ ∀ ∈


Apl i cando l a def i ni ci ón de congr uenci a t enemos :

* 0 * a a k n k n k o − = ⇒ = ⇒ =

Lqqd.



38




2) Pr opi edad Si mét r i ca.

mod mod , , a b n b a n a b Z ≡ ⇒ ≡ ∀ ∈



Como
/ ( ) / ( ) n a b k n a b k − = ⇒ − − − =
ent onces t enemos que

/ ( ) mod n b a k b a n − − = ⇒ ≡


Lqqd.
3) Pr opi edad Tr ans i t i va:
Si mod a b n ≡ y mod b c n ≡ mod , , , a c n a b c Z ⇒ ≡ ∀ ∈

Por l a def i ni ci ón de congr uenci a t enemos que
/ ( ) n a b −
y
/ ( ) / (( ) ( )) / ( ) n b c n a b b c n a c − ⇒ − + − ⇒ −

mod a c n ⇒ ≡
Lqqd.
Por t odas l as pr opi edades ant er i or es es que l a noci ón de
congr uenci a cons t i t uye una r el aci ón de equi val enci a que
par t i ci ona Z en cl as es de equi val enci as , n cl as es en t ot al
cor r es pondi ent es a l os pos i bl es r es t os que s e obt i enen al di vi di r
por n que es l o q s e conoce por
( )
n
Z
.

As i mi s mo s e def i nen l as oper aci ones s uma y mul t i pl i caci ón mod n
que pr es ent an l as s i gui ent es pr opi edades :

4) Pr opi edad As oci at i va:
( ) mod ( ) mod a b c n a b c n + + ≡ + +

5) Pr opi edad Conmut at i va:

mod mod
* mod * mod
a b n b a n
a b n b a n
+ ≡ +




39




6) Pr opi edad Di s t r i but i va:

*( ) mod (( * ) ( * )) mod a b c n a b a c n + = +


7) Exi s t enci a del el ement o I dent i dad

0mod 0 mod mod
*0mod 0* mod mod
a n a n a n a
a n a n a n a
+ = + = =
= = =


8) Exi s t enci as de I nver s os

( ) mod 0 a a n + − =
1
*( ) mod 1( 0) a a n sia

= ≠


Obs er vaci ón: El i nver s o mul t i pl i cat i vo s ol o exi s t e s i mcd( n, a) =1


9) Reduci bi l i dad

[ ] ( ) mod ( mod ) ( mod) mod a b n a n b n + = +
[ ] ( * ) mod ( mod ) *( mod) mod a b n a n b n =


Def i ni ci ón 37. Gr upo


Un conj unt o G no vaci o con una l ey de compos i ci ón i nt er na *,
deci mos que es un gr upo r es pect o a es a l ey, s i ( G, *) ver i f i ca l as
s i gui ent es pr opi edades :



1) La l ey de compos i ci ón * es as oci at i va, es deci r :

( x * y) * z =x * ( y* z ) , cual qui er a s ean x, y, z ∈ G.

2) Exi s t e un el ement o neut r o e ∈ G. es deci r , exi s t e e ∈ G t al
que:

e* x = x * e = x, par a t odo x ∈ G.

40





3) Par a t odo x ∈ G, exi s t e el ement o s i mét r i co de X, es deci r ,
exi s t e x′ ∈ G t al que :

x * x′ = x′ * x = e.

Si además de l as pr opi edades 1, 2 y 3 l a l ey de compos i ci ón es
conmut at i va s e di ce que el gr upo G es conmut at i vo o abel i ano.


Ej empl o 7

Supongamos que G cons i s t e en l os númer os r eal es - 1 y 1con l a
mul t i pl i caci ón ent r e númer os r eal es como oper aci ón ( G, *) ent onces
G es un gr upo conmut at i vo abel i ano.


Sea l a t abl a de mul t i pl i caci ón:

* 1 - 1
1 1 - 1
- 1 - 1 1

Apl i cando l as pr opi edades ant er i or es t enemos que:

1) ( 1*( - 1) ) *( 1) =1*( ( - 1) *1)
2) 1*( - 1) =( - 1) *1
3) ( - 1) *( - 1) =( - 1) - ( - 1)
4) ( - 1) *1=1*( - 1)


Al cumpl i r es t as 4 pr opi edades s e demues t r a que ( G, *) es un gr upo
conmut at i vo abel i ano.


Def i ni ci ón 38. Homomor f i s mo de Gr upo


Sean ( ,.) G y ( , ) G′ dos gr upos . Un homomor f i s mo del gr upo ( ,.) G en
el gr upo ( , ) G′ es una f unci ón:
: ( ,.) ( , ) h G G′ →
Tal que:
1 2 1 2
( . ) ( ) ( ) h x x h x h x =
Cual es qui er a s ean:
41

1 2
, x x G ∈

En el campo de l os ent er os es t a def i ni ci ón nos per mi t i r á t r abaj ar
con númer os muy gr andes en vi s t a de que:

1 2 1 2
( ) mod ( mod ) ( mod ) a opa n a n op a n =

Si endo op. Un oper ador ar i t mét i co; t omemos un ej empl o numér i co
a l os f i nes de cl ar i f i car l os concept os expues t os :



Ej empl o 8


Supongamos que t enemos una cal cul ador a l a cual t i ene una
capaci dad máxi ma de 3 dí gi t os y q t enemos que r eal i z ar l a
s i gui ent e oper aci ón ar i t mét i ca:

88*93mod13 8.184mod13 7 = =


Vemos que el r es ul t ado i nt er medi o 8. 184 t i ene más de 3 dí gi t os
por l o que no s e podr í a ej ecut ar en nues t r a hi pot ét i ca
cal cul ador a, no obs t ant e, s i apl i camos el homomor f i s mo de l a
congr uenci a t enemos que:

[ ] 88*93mod13 (88mod13) *(93mod13) mod13 =

10*2mod13

20mod13



Res ul t ado = 7, s e l l ega a l o mi s mo, per o con l a vent aj a que, en
es t e cas o, ni nguno de l os r es ul t ados i nt er medi os s uper o l os 3
dí gi t os y por l o t ant o s e puede ej ecut ar con l as l i mi t aci ones de
cál cul o i mpues t as . Di cha pr opi edad s er á út i l pos t er i or ment e.







42



Def i ni ci ón 39. ( Conj unt o Reduci do de Res t o ( C. R. R) ) .


El conj unt o r educi do de r es t o, conoci do como CRR de n, es el
s ubconj unt o { } 1... ,... 1
i
n n − de r es t os con el gr upo n.

Si n es pr i mo, t odos l os r es t os s er án copr i mos con él .

Como el cer o no es una s ol uci ón, ent onces :

CRR={ } 1,..., ,... 1
i
n n − / mcd ( , ) 1
i
n n =

Ej empl o: CRR mod 8 = { } 1, 3, 5, 7
CRR mod 5 = { } 1, 2, 3, 4


Una pr opi edad muy i mpor t ant e es que l os r es t os r educi dos
f or man un gr upo mul t i pl i cat i vo de Zn.

( Obs er vaci ón: mcd s e r ef i er e al mayor númer o ent er o que puede
di vi di r en f or ma exact a a 2 númer os dados )



En cr i pt ogr af í a el conoci mi ent o del CRR per mi t i r á apl i car un
al gor i t mo par a el cál cul o del i nver s o mul t i pl i cat i vo de un numer o x
dent r o de un cuer po n a t r avés de l a f unci ón ( ) n Φ , denomi nada
Funci ón de Eul er o I ndi cador de Eul er .

Ser á i mpor t ant e en t odo l os s i s t emas s i mét r i cos que t r abaj an en
un modul o ( con excepci ón de del DES q es un cas o muy es peci al de
ci f r as no modul ar ) y más aun en l os s i s t emas as i mét r i cos y en
par t i cul ar RSA ya que l os cál cul os de cl aves públ i ca y pr i vadas
s e har án dent r o del cuer po ( ) n Φ . En ambos cas os l a ci f r as y l as
cl aves es t ar án r el aci onadas con el CRR.


Def i ni ci ón 40. Funci ón de Eul er ( ) n Φ



E l I ndi cador o Funci ón de Eul er ( ) n Φ nos ent r egar a el númer o de
el ement os del CRR.

Podr emos r epr es ent ar cual qui er númer o n de es t as cuat r os
f or mas :
43



- a) n es numer o pr i mo

- b) n s e r epr es ent a como n =
k
p
con p pr i mo y k ent er o.

- c) n es el pr oduct o n = p*q con p y q pr i mos .

- d) n es numer o cual qui er a, f or ma genér i ca

n=
1 2
1 2 1
* *...*
e e et t ei
t i i
p p p p
=
= ∏

La f unci ón de Eul er pr es ent a var i os cas os par t i cul ar es que
det al l ar emos a cont i nuaci ón:


A) Funci ón ( ) n Φ de Eul er cuando n=p

Cas o 1: n es númer o pr i mo

Si n es pr i mo, ( ) n Φ s er á i gual a CRR menos el 0.

( ) n Φ =n – 1 s e us ar a en s i s t ema ELGAMAL

Si n es pr i mo, ent onces CRR = CRR – 1 ya que t odos l os r es t os de
n, except o el cer o, s er án pr i mos ent r e s í .


Ej empl o 9

CRR ( 7) = { } 1, 2, 3, 4, 5, 6 s ei s el ement os

Φ
( 7) =n- 1=7- 1=6


(11) 11 1 10; (23) 23 1 22 Φ = − = Φ = − =


B) Funci ón ( ) n Φ de Eul er cuando n =
k
p

Cas o 2:
k
p ( con p pr i mo y k un ent er o)

( ) n Φ = Φ
( )
1 k k k
p p p

= − Φ
( ) ( )
1
1
k k
p p p

= −

44

De l os
k
p el ement os del CRR, r es t ar emos t odos l os múl t i pl os 1*p,
2*p, 3*p, …
( )
1
1 *
k
p p



y el cer o.



Ej empl o CRR ( 16) = { } 1, 3, 5, 7, 9,11,13,15 ocho el ement os
( ) ( ) ( )
4 4 1 3
2 16 2 2 1 2 *1 8

Φ = Φ = − = =
( ) ( ) ( )
3 3 1 2
5 125 5 5 1 5 *4 100

Φ = Φ = − = =


C) Funci ón ( ) n Φ de Eul er cuando n =p*q


Cas o3: n=p*q ( con p y q pr i mos )

Φ( n) = ( ) ( ) ( ) ( )( ) * * 1 1 p q p q p q Φ = Φ Φ = − −

De l os p*q el ement os del CRR, r es t ar emos t odos l os múl t i pl os de p
= 1*p, … ( ) 1 * q p − , t odos l os múl t i pl os de q = 1*q, 2*q, …y el cer o.

( ) ( ) ( ) ( )( ) * 1 * 1 * 1 1 1 p q q p p q q p p q Φ = − − = − − + = − − (
¸ ¸



Ej empl o de ( ) n Φ cuando n=p*q

Ej empl o 10:

CRR ( ) { } 15 1, 2, 4, 7,8,11,13,14 = ocho el ement os

( ) ( ) ( )( ) 15 3*5 3 1 5 1 2*4 8 Φ = Φ = − − = =

( ) ( ) ( ) ( ) 143 11*13 11 1 13 1 10*2 120 Φ = Φ = − − = =


Es t a s er á una f or ma de l as oper aci ones más ut i l i z adas en
cr i pt ogr af í a.

Es l a bas e del s i s t ema RSA que dur ant e muchos años ha s i do un
es t ándar y, de hecho, cont i núa s i éndol o en el 2005 al menos a
ni vel de us o empr es ar i al .


45

Unos de s us us os más t í pi cos l o encont r ar emos en l as
comuni caci ones s egur as del ent or no i nt er net , t ant o par a el
i nt er cambi o de cl aves como en l os f or mat os de cer t i f i cados
di gi t al es X. 509 de f i r mas di gi t al es .


D) Funci ón
Φ
( n) de Eul er para n genéri co

Cas o 4: ( )
2
1 2
* *... *
el e et
t i
n p p p p sonprimos =

( )
1
1
( 1)
t ei
i i i
n p p

=
Φ = ∏ −

Ej empl o 11:


CRR ( ) { } 20 1, 3, 7, 9,11,13,17,19 = ocho el ement os

( ) ( ) ( ) ( )
2 2 1 1 1 1
20 2 *5 2 2 1 *5 5 1 2 *1*1*4 8
− −
Φ = Φ = − − = =

( ) ( ) ( ) ( ) ( )
3 2* 3 1 2 1 1 1
320 2 *3 5 2 2 1 *3 3 1 *5 5 1 96
− − −
Φ = Φ = − − − =



Teorema 7 ( de Eul er. )


Si
( )
( , ) 1 mod 1
n
mcd a n a n
Φ
= ⇒ ≡


Demos t raci ón:

En vi s t a de que a y n s on pr i mos ent r e s i , a mul t i pl i cado por
cual qui er el ement o del conj unt o r educi do de r es t os modul o n
{ }
1 ( )
...
n
r r
Φ
t i ene que s er t ambi én pr i mo con n, por l o t ant o el conj unt o
{ }
1 ( )
...
n
ar ar
Φ
es i gual a una per mut aci ón del conj unt o ant er i or , por l o
t ant o:

( ) ( ) ( ) ( )
( ) ( )
1 1 1 1
mod mod 1mod
n n n n
n n
i i i i
i i i i
ar r n a r r n a n
Φ Φ Φ Φ
Φ Φ
= = = =
¦ ¹ ¦ ¹
≡ ⇒ ≡ ⇒ ≡
´ ` ´ `
¹ ) ¹ )
∏ ∏ ∏ ∏


Lqqd.


Es t e t eor ema es út i l par a cal cul ar i nver s os mul t i pl i cat i vos como
ver emos a cont i nuaci ón:

46

* mod 1 a x n≡
y
( )
mod 1
n
a n
Φ


( ) 1
* mod mod
n
a a n x n
Φ −


( ) 1
mod
n
x a n
Φ −


El val or x s er á el i nver s o de a en el cuer po n.


Not a: obs er ve que s e ha di vi di do por a en el cál cul o ant er i or .
Es t o s e puedo hacer por que mcd ( a, n) =1 y por l o t ant o hay un
úni co val or i nver s o en el cuer po n que l o per mi t e.


Ej empl o 12: cál cul o de i nver s os con el Teor ema de Eul er .


¿Cuál es el i nver s o de 4 modul o 9?
el i nver s o l o denot ar emos por

(4,9) inv
.


Pr egunt a ¿Exi s t e * mod 4* mod9 1 a x n x ≡ = ? ; como mcd( 4, 9) =1 es t o
i mpl i ca que s i aunque 4 y 9 no s ean pr i mos .

6 1
(9) 6 4 mod9 7 7*4 28mod9 1 x

Φ = ⇒ ≡ = ⇒ ≡ =

De donde r es ul t a que: i nv ( 4, 9) =7 e i nv ( 7, 9) =4



Teorema 8 ( Eul er para n=p*q)



Si el f act or a es pr i mo r el at i vo con n y el val or n es el pr oduct o
de 2 pr i mos , s egui r á cumpl i éndos e el Teor ema de Eul er t ambi én en
di chos pr i mos .


Por ej empl o:

Si * ( ) ( 1)( 1) n p q n p q = ⇒ Φ = − −

( ) { }
/ , , 1 a mcd a p q ∀ =



47

Se cumpl e que:


( )
mod 1
n
a p
Φ
=
( )
mod 1
n
a q
Φ
=

En el capí t ul o dedi cado a l a ci f r a con cl ave publ i ca RSA,
r el aci onar emos es t e t ema con el t eor ema del r es t o chi no.


Ej empl o 13: t eor ema de Eul er par a n =p*q



Sea n = p*q = 7*11 = 77

( ) n Φ = ( p – 1) ( q - 1) = ( 7 – 1) ( 11 – 1) = 6*10 = 60


Si k =1, 2, 3, …

Par a a = k*7
( ) 60
mod *7 mod77 56
n
a n k
Φ
= =

Par a a =k*11
( ) n
a
Φ 60
mod *11 mod77 22 n k = =

Par a *7, *11 a k k ∀ ≠
( ) 60
mod mod77 1
n
a n a
Φ
= =



Y s e cumpl e t ambi én que:

Par a *7, *11 a k k ∀ ≠
( ) 60
mod mod7 1
n
a p a
Φ
= =


( ) 60
mod mod11 1
n
a q a
Φ
= =


( )
mod 0
n
a p
Φ
=

En cas o cont r ar i o:
( )
mod 0
n
a q
Φ
=







48


Teorema 9 ( Pequeño t eorema de Fermat )


Si t r abaj amos en el cuer po Zp donde p es pr i mo t enemos :

mcd ( a, p) =1 ;
( )
mod 1
n
a p
Φ
=



Demos t raci ón:

Cons i der emos el conj unt o { } , 2 , 3 ...., ( 1) a a a p a − . Ni ngún par de
númer os de es t e conj unt o s on congr uent es modul o p, ya que s i
s uponemos que (mod ) xa ya p ≡ , con 1 ( 1) x y p ≤ < ≤ − ent onces como
mcd ( a, p) =1 i mpl i car í a que (mod ) x y p ≡ l o cual es f al s o.
Ent onces es t os númer os s on congr uent es a { } 1, 2, 3......( 1) p − en al gún
or den, en cons ecuenci a, s us pr oduct os t ambi én s on congr uent es es
deci r :


.2 .3 ...( 1) 1.2.3...( 1) mod a a a p a p p − ≡ −
Luego

1
( 1)! ( 1)!mod
p
a p p p

− ≡ −

Y como el mcd ( p, ( p- 1) ) =1 t enemos que ( en es t e cas o ( ) 1 p p Φ = − )
y por l o t ant o:

( )
mod 1
n
a p
Φ
=


l . q. qd.


Tal cual s e quer í a demos t r ar , ahor a s e pr oceder á a des cr i bi r como
obt ener el i nver s o por medi o de es t e t eor ema. Ent onces a * x mod p
= 1 s er i a l a ecuaci ón que debe cumpl i r x por s er el i nver s o
mul t i pl i cat i vo de a y p i gual ment e debe cumpl i r s e que
( )
mod 1
n
a p
Φ
=
.

Además , en es t e cas o ( ) 1 p p Φ = − por l o que i gual ando l as dos
ecuaci ones de ar r i ba t enemos :




49

( ) 1
* mod mod
p
a a p x p
Φ −


2
mod
p
x a p



Luego x s er á e i nver s o de a en el pr i mo p.

Cuando no s e conoce ( ) n Φ

s e debe cal cul ar
i
a
mod n cuando l os
val or es de i y a s on gr andes , s e hace t edi os o pues hay que ut i l i z ar
l a pr opi edades de l a r educi bi l i dad r epet i das veces .

Si no conocemos ( ) n Φ o no quer emos us ar l os t eor emas de Eul er o
Fer mat , s i empr e podr emos encont r ar el i nver s o de a en el cuer po n
us ando el al gor i t mo ext endi do de Eucl i des .

Es el mét odo más r ápi do y pr act i co.


2. 2. 2 ALGORITMO EXTENDIDO DE EUCLIDES AEE


Si mcd( a, n) =1 y * mod 1 ( , ) a x n x inv a n = ⇒ =

Ent onces podemos es cr i bi r :

1 1
* n C a r = +
1
a r >
2 1 2
* a C r r = +
1 2
r r >
1 3 2 3
* r C r r = +
2 3
r r >
…. . …. .
2 1
* 1
n n n
r C r
− −
= +
1
1
n
r

>
1 1
*1 0
n n
r C
− +
= +



Si vol vemos haci a at r ás des de
2 1
* 1
n n n
r C r
− −
= + , obt enemos el
i nver s o de a en el cuer po n. Es t os val or es s e or denan por r es t os
des de el val or 1has t a l l egar a una expr es i ón del t i po
1 2
( * * ) mod 1 k n k a n + = , en donde el i nver s o de a en n l o dar á el
coef i ci ent e
2
k pues t o que
1
* mod 0. k n n =


Es t os dat os s e agr upan s egún l a Tabl a de r es t os del AEE.


1
C
2
C
3
C
4
C

1 n
C


n
C
1 n
C
+

n a
1
r
2
r
3
r

2 n
r


1 n
r


1

50




Ej empl o 14:


Encuent r a el i nv. ( 9, 25) por el mét odo de r es t os de Eucl i des .


25 = 2*9 +7

9 = 1*7+2

7 = 3*2+1

2 = 2*1+0

Res t o



2 1 3 2
25 9 7 2 1 0




7=25 – 2*9

2=9- 1*( 25- 2*9) =3*9- 1*25

1=( 25- 2*9) - 3*( 3*9- 1*25)

1=4*25- 11*9 mod 25





El i nv ( 9, 25) =- 11

- 11+25=14

I nv( 9, 25) =14






7=25 – 2*9

2=9 – 1*7

1=7 – 3*2
51


2. 2. 2. 1 Al gori t mo para el cál cul o de i nversos


Par a encont r ar X = i nv ( A, B)

X= i nv ( A, B)
Hacer
( ) ( )
1
1 0 1
, , , , , ,1, 0, 0,1,1
o o
g g u u v v i B A = X=i nv ( 9, 25)
Mi ent r as 0
i
g ≠ hacer

Hacer ( )
1 1
/
i i i
y parteentera g g
+ −
=
Hacer
1 1 1*
*
i i i i
g g y g
+ − +
= −
Hacer
1 1 1
*
i i i i
u u y u
+ − +
= −
Hacer
1 1 1
*
i i i i
v v y v
+ − +
= −
Hacer i =i +1

Si
( ) ( )
1
0 9, 25 11 25 14
i
v x inv

< = = − + =
Hacer
1 1 i i
v v B
− −
= +
Hacer
1 i
x v

=



Si mcd ( a, n)

1no pueden exi s t i r i nver s os , per o s i a * x mod n
= b con b

1 y mcd ( a, n) =m, s i endo m di vi s or de b, habr á m
s ol uci ones val i das .


Ej empl o 15:

6*xmod10=4 mcd ( 6, 10) =2

No exi s t e i nv ( 6, 10) per o… habr á 2 s ol uci ones val i das



1
4 x = ⇒ 6*4 mod 10 = 24 mod 10 = 4


2
9 x = ⇒ 6*9 mod 10= 54 mod 10 = 4








i

i
y
i
g
i
u
i
v

0
- 25 1 0

1
- 9 0 1

2
2 7 1 - 2

3
1 2 - 1 3

4
3 1 4 - 11

5
2 0 - 9 25
52

Teorema10 ( del rest o chi no TRC)

Si n =
1 2 3
* * *...*
t
d d d d con
1
ei
i
d p = ( p pr i mo)

El s i s t ema de ecuaci ones :

x mod ( ) 1, 2, 3,...
i i
d x i t = =

Ti ene una s ol uci ón común en [ ] , 1 o n −

( )
1
/ * * mod
t
i i i i
x n d y x n
=
= ∑

Con ( ) / ,
i i i
y inv n d d = (
¸ ¸


Demos t raci ón:


Par a cada i mcd. , 1
i
i
n
d
d
(
=
(
¸ ¸
. Por l o t ant o par a cada
i
n
d
debe t ener
una i nver s a
i
y t al que:

1mod
i i
i
n
y d
d
(

(
¸ ¸


Tambi én s e cumpl e que:


0mod
i j
i
n
y d
d
(

(
¸ ¸
, j i ∀ ≠

Ya que
i
n
d
es múl t i pl o de cada
j
d

Sea ( )
1
/ * * mod
t
i i i i
x n d y x n
=
= ∑

Ent onces es una s ol uci ón a:

x mod ( ) 1, 2, 3,...
i i
d x i t = =

Ya que:

53

0 1* mod
k k i i i i i
k i
k i
n n
x y x y x x x d
d d

= + = + ≡



Lqqd.



Ej empl o 16: apl i caci ón del TRC


Encont r ar x de f or ma que: 12*x mod3. 960=36

Tenemos l a ecuaci ón genér i ca: * mod
i i
a x d b =



3 2
1 2 3 4
3.960 2 *3 *5*11 * * * 8*9*5*11 n n d d d d = ⇒ = = =

a=12

b=36

Como n ⇒
4
d , exi s t i r án 4 s ol uci ones de
i
x


1 1 1 1
2 2 2 2
3 3 3 3
4 4 4 4
* mod mod 12* mod8 36mod8 4
* mod mod 12* mod9 36mod9 0
* mod mod 12* mod5 36mod5 1
* mod mod 12* mod11 36mod11 3
a x d b d x
a x d b d x
a x d b d x
a x d b d x
= ⇒ = =
= ⇒ = =
= ⇒ = =
= ⇒ = =



Res ol vi endo par a x obt enemos :

1 1 1
2 2 2
3 3 3
4 4 4
12* mod8 4 4* mod8 4 1
12* mod9 0 3* mod9 0 0
12* mod5 1 2* mod5 1 3
12* mod11 3 1* mod11 3 3
x x x
x x x
x x x
x x x
= ⇒ = ⇒ =
= ⇒ = ⇒ =
= ⇒ = ⇒ =
= ⇒ = ⇒ =



Res ol vi endo ahor a l a ecuaci ón auxi l i ar del Teor ema del Res t o
Chi no ( ) / ,
i i i
y inv n d d = (
¸ ¸


54

[ ] [ ]
[ ] [ ]
[ ] [ ]
[ ] [ ]
1 1 1 1
2 2 2 2
3 3 3 3
4 4 4 2
( / ), (3.960 / 8), 8 (495, 8) 7
( / ), (3.960 / 9), 9 (440, 9) 8
( / ), (3.960 / 5), 5 (792, 5) 3
( / ), (3.960 / 11),11 (360,11) 7
y inv n d d y inv inv
y inv n d d y inv inv
y inv n d d y inv inv
y inv n d d y inv inv
= ⇒ = = =
= ⇒ = = =
= ⇒ = = =
= ⇒ = = =



Apl i cando l a ecuaci ón del t eor ema del r es t o chi no


( )
1
/ * * mod
t
i i i i
x n d y x n
=
= ∑



[ ]
1 1 1 2 2 2 3 3 3 4 4 4
( / ) ( / ) ( / ) ( / ) mod3.960 x n d y x n d y x n d y x n d y x = + + +



[ ] 495*7*1 440*8*0 792*3*3 360*7*3 mod3.960 x = + + +



2.313 x =


Def i ni ci ón 41 Raí z pr i mi t i va o gener ador de un pr i mo


Un gener ador o r aí z pr i mi t i va de un numer o pr i mo p es aquel
val or que, el evado a t odos l os r es t os del cuer po r educi do modul o
n, gener a t odo el cuer po.


As í , g es un gener ador s i : 1 1 a p ∀ ≤ ≤ −

( ) mod 1 1,
a
g p b con b p todoslosb = ≤ ≤ − ≠


Ej empl o 17:

Sea p= 3 ⇒ CRR = {1, 2} ( el cer o no es s ol uci ón)

Res t o 1: no gener ar a nada por que
1
k
mod p = 1

Res t o 2:
1
2 mod 3 = 2;
2
2 mod 3 = 1

Luego el 2 es un gener ador del cuer po n =3


55



Exi s t e muchos númer os dent r o del CRR que s on gener ador es del
cuer po… per o s u bús queda no es al go f áci l … ¿ al gunas s ol uci ones ?


Conoci endo l a f act or i zaci ón de p- 1
( )
1, 2
...; q q qn con
i
q
l os f act or es
pr i mos de p- 1, di r emos que un numer o g s er á gener ador en s i
: i
q ∀



( ) 1
mod 1
p qi
g p




En cambi o


Si al gún r es ul t ado es i gual a 1, g no s er á gener ador



Ej empl o 18:


Búsqueda de raí ces pri mi t i vas en
13
Ζ

Como
2
1 2
13 1 12 2 *3 2; 3 p p q q = ⇒ − = = ⇒ = =


(13 1)/ 2 6
(13 1)/3 4
2 mod13 2 mod13 12
2 mod13 2 mod13 3


¹ = =
¦

`
= =
¦
)
el r es t o 2 es gener ador



(13 1)/ 2 6
(13 1)/3 4
3 mod13 3 mod13 1
3 mod13 3 mod13 3


¹ = =
¦

`
= =
¦
)
el r es t o 3 no es gener ador


Y as í s uces i vament e has t a l l egar al úl t i mo r es t o ( 12)


Obt eni éndos e que l os gener ador es de
13
Ζ =2, 6, 7, 11

( 1) / ( 1) (13 1) / (13 1) 4 / 12 1/ 3 p p τ = Φ − − = Φ − − = =


56

Generadores en cuerpo de pri mos seguros


Un númer o pr i mo p s e di ce que es pr i mo s egur o o pr i mo f uer t e s i :
,
2* 1 p + ( con
,
p t ambi én pr i mo) .


Ej empl o 19:

Si
,
p =11, l uego p=2*11 + 1 = 23 ( es pr i mo y es s egur o)


En es t e cas o l a t as a de númer os gener ador es del cuer po del cuer po
s er á mayor que en el cas o ant er i or ( con p = 13 er a del 30%)

Pr obabi l i dad:
( 1) / 1 1/ 2 psegro p p
τ
= Φ − − ≈


Cas i l a mi t ad de l os númer os del gr upo s er án gener ador es en p.


Compr obaci ón de gener ador es en 2 1 p p′ = +

, , ,
11; 2 22; 2 1 23 p p p p = = = + = Pr i mo s egur o

Como
,
2 1 p p = − exi s t i r án:

( ) ( )
, , ,
1 p p elementosdeorden p enelCRR ( Φ = −
¸ ¸


( ) { } 11 10 1, 2, 3, 4, 5, 6, 7, 8, 9,10 Φ = =


( ) ( )
, ,
2 1 1 p p elementosdeorden p enelCRR ( Φ = − −
¸ ¸


( ) { } 22 10 1, 3, 5, 7, 9,13,15,17,19, 21 Φ = =


( ) ( ) ( )
, , ,
1 / 1 1 / 2 1/ 2 p p p p τ = − − = − ≈



Us ando l a ecuaci ón
( 1)/
mod
p qi
g p

, en es t e cas o
1
2 q = y
2
11 q =

(23 1)/ 2 11
(23 1)/11 2
mod23 mod23
mod23 mod 23
g g
g g


=
=



57


Encont r amos l os s i gui ent es 10 gener ador es en p=23
{5, 7, 10, 11, 14, 15, 17, 19, 20, 21} es deci r l a mi t ad de l os val or es de
CRR que en es t e cas o es i gual a 23- 1=22.


2. 2. 3 CALCULOS EN CAMPOS DE GALOIS


Cuando t r abaj amos en un cuer po k con dos oper aci ones + y *,
s abemos que t odos el ement o di s t i nt os del cer o t i ene un úni co
i nver s o mul t i pl i cat i vo. Si el cuer po es i nf i ni t o, s e denomi na
t ambi én cuer po o campo de Gal oi s y s e denot a por ( )
n
GF p , donde p
es un pr i mo y n un ent er o
1 ≥
.

Al gunos us os en cr i pt ogr af í a:

Si s t emas de cl aves publ i ca cuando l a oper aci ón es mod
e
C M p ≡
( ci f r ador ELGAMAL) o bi en RSA us ando el Teor ema del Res t o
Chi no par a des ci f r ar , como s e ver á en es e capí t ul o.

Apl i caci ones en ( )
n
GF p , pol i nomi os módul os p y de gr ados n de l a
f or ma a( x) =
1 2
1 2 1 0
* * ... *
n n
n n
a x a x a x a
− −
− −
+ + + +
: s e us ar a en l as cur vas
el í pt i cas .


2. 2. 4 ELEMENTOS DE ( )
n
GF p COMO
POLINOMIOS

Los el ement os del cuer po ( )
n
GF p s e pueden r epr es ent ar como
pol i nomi os de gr ados < n con coef i ci ent es
i
a Zp ∈
, es deci r , en l a
f or ma:

1 2
1 2 0
( ) * * ... *
n n
n n i
a x a x a x a x a
− −
− −
= + + + +


El cuer po ( )
n
GF p s e puede cons t r ui r es cogi endo un pol i nomi o
i r r educi bl e p( x) de gr ado n a coef i ci ent es en
p
Z . ent onces cada
el ement os a( x) del cuer po ( )
n
GF p es un r es t o modul o p( x) .

As í , l os el ement os de
( )
2
n
GF s on pol i nomi os de gr ado < n con
coef i ci ent es en {0, 1}. De es t a maner a,
( )
3
2 GF t i ene 8 el ement os o
58

r es t os pol i nomi cos que s on:
2 2 2 2
0,1, , 1, , 1; , 1, x x x x x x x x + + + + + l os 8 de
un pol i nomi o de gr ado n- 1 ( n=3) .

2. 3 CURVAS ALGEBRAICAS


Def i ni ci ón42. Cur vas El í pt i cas

Se denomi na cur va el í pt i ca def i ni da s obr e un cuer po K al conj unt o
de punt os que ver i f i can:

2 3 2
1 3 2 4 6
, y b xy b y x b x b x b bi K + + = + + + ∈


Mas el punt o del i nf i ni t o O.


2. 3. 1 FORMA CANONICA DE WEIERSTRASS
(CASO GENERAL)


Toda cur va el í pt i ca vi ene dado por una ecuaci ón ( es cr i t a por
comodi dad en f or ma af í n) del t i po:

2 3 2
1 3 2 4 6
, y b xy b y x b x b x b bi K + + = + + + ∈
( a)


Es t as cur vas pos een úni cament e un punt o en el i nf i ni t o, de
coor denadas ( 0, 1, 0) –geomét r i cament e el punt o del i nf i ni t o en l a
di r ecci ón del ej e y- que not ar emos
λ P∞
, que s e t oma
habi t ual ment e como el punt o O de l a def i ni ci ón de cur va el í pt i ca y
como el el ement o neut r o del gr upo que def i ni r emos en l a s i gui ent e
s ecci ón.

Supongamos que CAR ( K)

2 ( CAR ( K) des i gna l a car act er í s t i cas
del cuer po
)
.



: , x x =

( )
1 3
: / 2 y y b x b = − +
( b)


Per mi t e t r ans f or mar l a ecuaci ón ant er i or a l a f or ma más s enci l l a:


2 3 2
2 4 6
, y x a x a x a = + + +

ai K ∈
( c)

59


Si además l a car act er í s t i ca de K es di f er ent e de 3, el nuevo cambi o
de var i abl e:

2
: / 3 x x a = −

: y y =
( d)



Tr ans f or ma l as ecuaci ones ant er i or es en:


, A B K ∈
( e)



Def i ni ci ón 43.


La ecuaci ón ( e) s e denomi na f or mar canóni ca de Wei er s t r as s de
l a cur va el í pt i ca.


En r eal i dad Wei er s t r as s obt uvo l a ecuaci ón ( e) en el cont ext o
de f unci ones de var i abl es compl ej as as oci adas a un r et í cul o, como
ecuaci ón di f er ent e ver i f i cada por l a f unci ón
ρ
( u) de Wei er s t r as s
de di cho r et í cul o.

Recor damos que, por def i ni ci ón, una cur va el í pt i ca no pos ee
punt o s i ngul ar . En el cas o de l a ecuaci ón ( e) es f áci l ver que un t al
punt o s i ngul ar ( s ol uci ón del s i s t ema) , deber í as es t ar s i t uado s obr e
el ej e x, y más pr eci s ament e cor r es ponde a una r aí z múl t i pl e del
pol i nomi o en s u s egundo mi embr o. Es bi en conoci do que un
pol i nomi o pos ee r aí ces múl t i pl es s i y s ol ament e s i s u
di s cr i mi nant es s e anul a. En el cas o par t i cul ar del pol i nomi o
3
x Ax B + +
, el val or de s u di s cr i mi nant e es :



3 2
4 27 D A B = +
( f )


Es t e val or debe, por cons i gui ent e, s er no nul o par a una cur va
el í pt i ca.

Un par t i cul ar l os coef i ci ent es A, B no pueden s er
s i mul t áneament e nul os , por ej empl o l a cur va de ecuaci ones
2 3
y x =

no es el í pt i ca ( pos ee un punt o s i ngul ar en el or i gen)

En cambi o l os dos t i pos de cur vas
2 3 2 3
, y x Ax y x B = + = +
s on
s i empr e el í pt i cas ( nat ur al ment e en l a hi pót es i s A, B

0) y s on
cas os es peci al ment e i nt er és y bi en es t udi ados . Al udi r emos a es t os
2 3
y x Ax B = + +
60

cas os par t i cul ar ment e en es t e mi s mo capí t ul o a pr opós i t os de l a
det er mi naci ón del númer o de punt os de una cur va el í pt i ca.




REPRESENTACION GRAFICA DE UNA CURVA
ELIPTICA








2. 3. 2
FORMA CANONICA DE WEIERSTRASS
(
CARACTERISTICA 2)


Si Car ( K) = 2 evi dent ement e que el cambi o de var i abl es 2. 4 no
es pos i bl e. A par t i r de l a f or mul a 2. 3 di s t i ngui r emos dos cas os :

i )
1
0 b ≠
. El cambi o de var i abl es :


2
1 3 1
: / x b x b b = +
, ( )
3 2 3 3
1 1 4 3 1
: / y b y b b b b = + +


Conduce a l a ecuaci ón,

2 3 2
2 6
y xy x a x a + = + +
( g)

61


Par a es t a ecuaci ón, el di s cr i mi nant e del s egundo mi embr o vi ene
dado por D =
6
a
, el cual debe s er di f er ent e de 0, par a as egur ar l a
no s i ngul ar i dad de l a cur va.


i i )
1
0 b =
. El cambi o de var i abl es :

2
: x x b = +
y: =y


Conduce a l a ecuaci ón


3
3 4 6
a
y a y x a x a + = + +
( h)


Si endo en es t e cas o el di s cr i mi nant e D =
4
3
a
.

Por anal ogí a con l a ecuaci ón ( e) del cas o cl ás i co, denomi nar emos
t ambi én f or ma canóni ca nor ma de Wei er s t r as s a l as ecuaci ones ( g)
y ( h) .


2. 3. 3
FORMA CANONICA DE WEIERSTRASS
(
CARACTERISTICA 3)

En es t e cas o es f act i bl e el cambi o de var i abl es ( b) , per o no
evi dent ement e el ( d) . A par t i r de l a f or mul a ( c) di s t i ngui r emos dos
cas os :


i )

2
0 a ≠
. El cambi o de var i abl es :

4 2
: / 2 , x x a a = −
y: =y

Conduce a l a ecuaci ón,

2 3 2
2 6
y x a x a = + +
( i )

i i )
2
0 a =
. Se t i ene l a ecuaci ón


2 3 6
4
y x a x a = + +
( j )


62

Las ecuaci ones ( i ) y ( j ) s on l as f or mas canóni cas de Wei er s t r as s
en el cas o de car act er í s t i cas 3.





2. 3. 4 ELGRUPO DE PUNTOS DE UNA ELIPTICA


Lo que conf i er e i nt er és a l as cur vas el í pt i cas es l a pos i bi l i dad de
dot ar l as de maner a nat ur al – medi ant e ecuaci ones - de una
es t r uct ur a de gr upo abel i ano.

De maner a más pr eci s a, s i E es una cur va el í pt i ca def i ni da s obr e
K podemos dot ar al conj unt o E ( K) de una l e y de gr upo t al que l as
coor denadas de punt o s uma de dos dados vi enen dadas como
f unci ones r aci onal es de l as coor denadas de es t os úl t i mos ,
f unci ones con coef i ci ent es en K, por l o que l a r es t r i cci ón de di cha
oper aci ones de di cha oper aci ones al s ubconj unt o E ( K) dot a a es t e
de es t r uct ur a de s ubgr upo.

Las cur vas el í pt i cas t i enen pues es t r uct ur as de var i edad
abel i ana:
Por una par t e s on var i edad al gébr i ca ( de di mens i ón1) y por ot r a
par t e gr upos abel i anos . De hecho l as cur vas el í pt i cas s on l as
úni cas var i edades abel i anas de di mens i ón 1.

Exi s t e una f or ma abs t r act a de def i ni r di cha l ey de gr upo bas ada
en l a t eor í a de di vi s or es y el t eor ema de r i emann- r och.

Puede dar s e s i n embar go una cons t r ucci ón geomét r i ca, que
det al l amos a cont i nuaci ón.


2. 3. 5 INTERPRETACION GEOMETRICA

Hemos vi s t o que una cur va el í pt i ca admi t e un modul o pl ano dado
por una ecuaci ón de gr ado 3 ( cubi ca) . Dado dos punt os de l a cur va,
l a r ect a que l os une ( l a t angent e a l a cur va s i ambos punt os s on el
mi s mo) cor t a a di cha cur va en un t er cer punt o ( t eor ema de bezout ) .
Es t a pr opi edad es l a bas e de l a def i ni ci ón de s uma de punt os , l a
cual es quemat i z amos en l a f i gur a adj unt a, par a el cas o de l a
ecuaci ón ( e) y con l a r epr es ent aci ón gr af i ca habi t ual ( aunque ya
i ndi camos que t al r epr es ent e s ol o es r eal ment e cor r ect a par a el
cuer po de l os númer os r eal es ) . En el cas o de car act er i s t i cas 2 o 3 l a
s i t uaci ón es anál oga ( ver det al l es en l a s ubs ecci on s i gui ent e, donde
damos l as f or mul as expl i ci t as par a cada cas o) .
63


El punt o del i nf i ni t o
(0,1, 0) p

Ο = =
s er á el el ement o neut r o del
gr upo y dado un punt o af í n
( ) , p x y =
s u opues t o es –p= ( x, - y) ,
s i mét r i co r es pect o del ej e x . dados dos punt os
1 2
, p p
. Se def i ne l a
s uma de ambos en l a f or ma s i gui ent e:

a) Si
2 1 1 2
. 0 p p p p p

= − + = =
( nót es e que l a r ect a que une ambos
punt os es ver t i cal y cor t a a l a en s u punt o del i nf i ni t o)

b) Si
2 1 1 2
, p p p p ≠ ± +
es el s i mét r i co r es pect o del ej e x del t er cer
punt o de i nt er s ecci ón con l a cubi ca de l a r ect a que une ambos
punt os .

c) Si
2 1
p p =
, par a obt ener
1 2 1
2 p p p + =
s e r azona anál ogament e al
cas o b) , s us t i t uyé ndol o l a r ect a que une ambos punt os por l a
t angent e a l a cur va en di cho punt o.

Hemos menci onado ant er i or ment e que l as cur vas el í pt i cas s on
l as úni cas que admi t en una t al es t r uct ur a de gr upo. Aunque no s ea
r eal ment e una demos t r aci ón, una j us t i f i caci ón i nt ui t i va es l a
s i gui ent e: l as cur vas el í pt i cas vi enen def i ni das por una ecuaci ón de
gr ado 3. , por l o que una r ect a l a cor t a en 3 punt o. Por el cont r ar i o
en es t e cas o de gr ado 2 ( cóni cas , cur vas de géner o 0) dado dos
punt os de di cha cóni ca l a r ect a que l os une no cor t a a l a cur va en
ni ngún ot r o punt o, mi ent r as que s i el gr ado es mayor que 3 exi s t i r á
más de un punt o adi ci onal de cor t e .




















64

REPRESENTACI ON GRAFI CA DE LA SUMA DE PUNTOS EN
UNA CURVA ELI PTI CA





2. 3. 6 FORMULAS ANALITICAS


La l ey de gr upo que acabamos de def i ni r s e t r aduce
i nmedi at ament e a f or mul as anal í t i ca. Expl i ci t emos es t as par a cada
una de l as f or mas canóni cas de Wei er s t r as s .

Cas o general : ecuaci ones ( e) corres pondi ent e a Car
( ) 2, 3 k ≠
.

Sean
( ) , , 1, 2
i i i
p x y i = =
, dos punt os de l a cur va. Se t i ene:

( ) ( ) ( )
2
3 1 2 3 3 1 2 1 3 1
, , p p p x y x x x x y λ λ = + = = − − − −


Donde
λ
es l a pendi endo da l a r ect a que une ambos punt os , es
deci r ,

2 1 2 1 1 2
( ) / ( ) y y x x p p λ = − − ⇔ ≠


1 1 1 2
(3 ) / 2 x A y p p λ = + ⇔ =


65



Cas o Car
( ) 2 k =


i ) Cas o de l a ecuaci ón ( g) .

En es t e cas o el opues t o del punt o p=( x, y) es el punt o
–p=( x, x+y) y dado
( , ); 1, 2
i i i
p x y i = =
s e t i ene par a s u s uma
3
: p

2 1 2 1 2
3 1 2 2
1 2 1 2
( ) ( )
y y y y
x x x a
x x x x
+ +
= + + + +
+ +


1 2
3 1 3 3 1
1 2
( )( )
y y
y x x x y
x x
+
= + + +
+

En el cas o
1 2
p p ≠ ±
mi ent r as que par a
1 2
p p =
.

2 2
3 1 6 1
/ x x a x = +


2
3 1 1 1 1 3 3
( ( / )) y x x y x x x = + + +



i i ) Cas o de l a ecuaci ón ( h) .



En es t e cas o el opues t o del punt o p=( x, y) es el punt o
–p=( x, y+
3
a
) y dado
( , ); 1, 2
i i i
p x y i = =
s e t i ene par a s u s uma
3
: p


2 1 2
3 1 2
1 2
( )
y y
x x x
x x
+
= + +
+


1 2
3 1 3 1 3
1 2
( )( )
y y
y x x y a
x x
+
= + + +
+




En el cas o
1 2
p p ≠ ±
mi ent r as que par a
1 2
p p =
.

4
2 2 2
3 1 3
/ x x a a = +


2
1 4
3 1 3 1 3
3
( )( )
x a
y x x y a
a
+
= + + +

66


Cas o Car ( K) = 3


1) Cas o de l as ecuaci ones ( i )


Dados
( ) , , 1, 2
i i i
P x y i = =
, s e t i ene par a s u s uma
3
p
:


2
2 1
3 1 2 2
2 1
y y
x x x a
x x
| | −
= − − −
|

\ ¹


( )
2 1
3 1 3 1
2 1
y y
y x x y
x x
| | −
= − −
|

\ ¹



En el cas o
1 2
P P ≠ ±
, mi ent r as que par a
1 2
: P P =


( )
2
3 2 1 1 2 1
/ x a x y a x = − +


( )( )
3 2 1 1 1 3 1
/ y a x y x x y = − −


i i i ) Cas o de l a ecuaci ón ( j )

Dat os ( )
1 1
, , 1, 2,
i
p x y i = = s e t i ene par a s u s uma
3
p :

2
2 1
3 1 2
2 1
y y
x x x
x x
| | −
= − −
|

\ ¹


( )
2 1
3 1 3 1
2 1
y y
y x x y
x x
| | −
= − −
|

\ ¹



en el cas o
1 2
P P ≠ ±
, mi ent r as que par a
1 2
p p =
:

( )
2
3 4 1 1
/ x a y x = −


( )( )
3 4 1 1 3 1
/ y a y x x y = − −


67

A un punt o que s at i s f ace l a ecuaci ón
2 3 2 4
1 3 2 4 6
, y b xy b y x b x b x b x b bi K + + = + + + + ∈

s e l e l l ama punt o r aci onal .
Si el campo es f i ni t o, ent onces el conj unt o de punt os ( x, y) que
s at i s f acen l a ecuaci ón es f i ni t o y es l l amado conj unt o de punt os
r aci onal es de l a cur va E s obr e el campo F. Al conj unt o
de punt os r aci onal es l o podemos r epr es ent ar como:

E: O, P1, P2, P3, . . . , Pn

Donde E r epr es ent a l a ecuaci ón y O es un punt o que no t i ene
coor denadas y hace el papel de cer o ( l l amado punt o al i nf i ni t o) ya
que en es t e conj unt o l os punt os puede s umar s e y t i ene l as mi s mas
pr opi edades que l a s uma de l os númer os ent er os , es deci r l o que s e
conoce como un gr upo abel i ano. Di cha s uma t i ene una expl i caci ón
geomét r i ca muy s i mpl e, s i l a gr af i ca r epr es ent a a t odos l os punt os
que s at i s f acen l a ecuaci ón de l a cur va el í pt i ca, y quer emos s umar a
P1 y P2:


1º . - Tr az amos una l í nea r ect a que pas e por P1 y p2, l a ecuaci ón de
l a cur va es de gr ado 3 y l a l í nea de gr ado 1, ent onces exi s t en
s i empr e t r es s ol uci ones , en es t e cas o l a t er cer a s ol uci ón es t a
di buj ada como el punt o P1+P2=P4.

2º . - Segui dament e s e pr ocede a di buj ar una l í nea r ect a par al el a al
ej e Y que pas e por P3.

3º . - Es t a l í nea ver t i cal i nt er cept a t r es veces a l a r ect a, t odas l as
l í neas ver t i cal es i nt er cept an al punt o es peci al l l amado i nf i ni t o y
que geomét r i cament e es t a en el hor i zont e del pl ano, el t er cer punt o
es por def i ni ci ón P1+P2, como s e mues t r a a cont i nuaci ón:

4º . - A par t i r de l as coor denadas de P y de Q no es compl i cado
obt ener l as f or mul as par a cal cul ar l as coor denadas del punt o
P4=- P3. Si por ej empl o el campo de def i ni ci ón de l a cur va es un
campo pr i mo Zp, ent onces l as f or mul as s on l as dadas
ant er i or ment e.










68

Ej empl o 20: ( Decodi f i caci ón de un Mens aj e us ando Cur vas
El í pt i cas )


Par a codi f i car un mens aj e m de modo que s e obt engan punt os de
una cur va el í pt i ca dada, s e pr ocede como s i gue:

Si cada uni dad del mens aj e, m, ver i f i ca: 0 <m<M, cons i der amos un
ent er o h de modo que q<M. h, s i endo q un pr i mo o l a pot enci a de
un pr i mo y GF ( q) el cuer po f i ni t o s obr e el que s e l l evan a cabo l as
oper aci ones . Los ent er os ent r e 1 y M. h l os es cr i bi mos en l a f or ma
m. h + j , con j = 1, . . . ; h – 1, y as í s e obt i ene una cor r es pondenci a
uno a uno ent r e es t os ent er os y el ement os x de GF ( q) . Por l o
t ant o, dado m t enemos un el ement o x ∈GF ( q) cor r es pondi ent e a
m. h + j , par a cada j = 1, …, h –1. Par a es e x cal cul amos el val or de
3 2
2 4 6
x a x a x a + + + en GF( q) . bus camos un val or ent er o par a y que
ver i f i que l a i gual dad de l a ecuaci ón que def i ne l a cur va el í pt i ca
( 1) . Si t al val or de y exi s t e, t endr emos ya l as coor denadas del
punt o de l a cur va ( ) ,
m
P x y = que s e as oci a a l a uni dad del mens aj e
m. s i el val or de y que bus camos no exi s t e, s e i ncr ement a en 1 el
val or de x y s e r epi t e l a bús queda de y.


Par a decodi f i car el mens aj e r eci bi do f or mado por l os punt os ( x, y) ,
s e cal cul a par a cada uno de l os punt os el val or


1 x
m
h

=



Donde x

es el ent er o que cor r es ponde a x por l a cor r es pondenci a
ant er i or ; es deci r , aquel que haces que m t ome un val or ent er o.

Ej empl o. Supongo que l a cur va el í pt i ca es E:
2 3
y y x x + = − , y que
es t a def i na s obr e el cuer po
751
* ℤ , en el que t i ene 727 punt os .

Par a codi f i car mens aj es ut i l i z ar emos el al f abet o de l os ej empl os
ant er i or es , per o ahor a l a codi f i caci ón s e har á par a A- Z de 10 a 35.
Supongamos que quer emos envi ar el mens aj e m= STOP << >> .








69


Ej empl o 21:



Como 0 35 m < ≤ , t omamos M = 36 y h= 20. Ent onces q = 751
>m. h = 720.


Codi f i quemos cada una de l as uni dades del mens aj e:


3 2
: 28 28.20 1 561 73 S x x x y y → = + = → − ≡ ≠ +

Par a y de
751
* ℤ ,

3 2
28.20 2 562 410 x x x y y = + = → − ≡ = +

Par a ( ) 576 562, 576 ,
s
y p = → =

3 2
: 29 29.20 1 581 212 T x x x y y → = + = → − ≡ = +

Par a ( ) 395 581, 395 ,
T
y P = → =

3 2
: 24 24.20 1 481 229 O x x x y y → = + = → − ≡ ≠ +

Par a y de
751
* ℤ ,

3 2
24.20 4 484 199 x x x y y = + = → − ≡ = +

Par a ( ) 214 484, 214 ,
o
y P = → =

3 2
: 25 25.20 1 501 556 P x x x y y → = + = → − ≡ = +

Par a ( ) 220 501, 220 .
p
y P = → =











70


Por cons i gui ent e, el mens aj e codi f i cado es ( 562, 576) , ( 581, 395) ,
( 484, 241) y ( 501, 220) .


Par a decodi f i car el mens aj e ant er i or , s e l l evan a cabo l as
s i gui ent es oper aci ones :


562 1 561 1
28, 05; 28
20 20
S
− −
= = →



581 1
29
20
T

= → ,


484 1 483 1 481 1
24,15, 24,1; 24 ,
20 20 20
O
− − −
= = = →


501 1
25
20
P

= → .
































Capitulo 3

Sistemas Criptográficos en la Internet

71

3.- SISTEMAS CRIPTOGRAFICOS EN LA
INTERNET

3.1 IMPORTANCIA DE LA SEGURIDAD EN
INTERNET
La rápida expansión y popularización de las redes de comunicación ha convertido a la
seguridad en redes en uno de los temas más importantes de la Informática moderna.
Con este nivel de interconexión, los virus, spamers, troyanos, crackers y los hackers
abundan, aprovechando las debilidades en las medidas de seguridad tomadas.

Las ventajas de las redes de información son evidentes, pero comúnmente se obvian
ciertos riesgos, hecho que pone en peligro la seguridad de los sistemas. En solo unos
años la mayoría de las empresas operaran a través de la Red, y esto solo será posible en
forma segura si los profesionales de la Informática pueden aportar soluciones que
aseguren la confidencialidad de la información.

3.1.1 IMPORTANCIA DE LAS REDES

La Informática es la ciencia del tratamiento automático de la información, pero igual o
más importante que su procesamiento y almacenamiento es la capacidad para poder
transmitirla de forma eficiente. La información tiene cada vez un menor tiempo de vida
y la velocidad con la que pueda viajar es algo muy importante. Los últimos avances en
la informática permiten actualmente transferir grandes cantidades de información a un
ritmo que hace pocos años eran imposibles.

El carácter complejo de las grandes redes así como su carácter público hacen de la
protección física de los canales de comunicación algo tremendamente difícil. Por lo
cual, cada vez más se deberá depositar nuestra confianza en la Criptografía para
garantizar la confidencialidad en las comunicaciones.

El protocolo TCP/IP se ha erigido como estándar en la industria de la Informática
para que computadoras de diferentes tipos pudieran entenderse. En general todas las
redes de computadoras se construyen conceptualmente sobre diferentes capas de
abstracción, las cuales desarrollan tareas distintas y ofrecen un protocolo unificado a las
capas superiores. La Criptografía podrá entonces ser utilizada en diferentes niveles de
abstracción. Por ejemplo, podemos encriptar un fichero antes de enviarlo por la red, lo
cual correspondería al nivel de abstracción mayor, o se podría enviarlo sin modificar,
pero por medio de un protocolo de bajo nivel que cifre cada uno de los paquetes de
información en los que se va a subdividir el fichero en el momento de transmitirlo.

En función del tipo de red con el que se trabaje encontraremos diferentes clases de
riesgos, lo cual conducirá a implementar medidas de diferente naturaleza para
garantizar la seguridad en las comunicaciones. En este capítulo se hará una corta
72

reflexión sobre algunos de los casos que pueden darse, sin intentar de ser exhaustivos
(dada la inmensa cantidad de posibilidades).Por lo que, se aportara una serie de
directrices y medidas que permitan analizar cada situación y definir una adecuada
política de protección de la información.

3.1.2 REDES INTERNAS

El caso más sencillo de red que nos podemos encontrar es local (LAN), con todos los
computadores interconectados por medio de unos cables de los que también se es
propietario. Esta última circunstancia permite ejercer un control total sobre los canales
de comunicaciones, pudiendo protegerlo físicamente, lo cual evita prácticamente
cualquier riesgo de falta de privacidad en la información.

Uno de los riesgos siempre presentes en estos casos son las posibles pérdidas de
información debidas a fallos físicos (fallas en la electricidad por ejemplo), que pueden
(y deben) ser minimizados llevando a cabo una política de copias de respaldo
dependiendo del grado de importancia de la información, las cuales deberán ser
elaboradas periódicamente, almacenadas en un lugar diferente de aquel donde se
encuentra la red, y protegidas adecuadamente contra incendios y accesos no deseados.

Otro riesgo comúnmente subestimado, es el que se origina por el uso inadecuado del
sistema por parte de los usuarios. Ya sea por malas intenciones o descuido, un usuario
con demasiados privilegios puede destruir información importante, por lo que estos
privilegios de sistema deben ser asignados por parte de los administradores del sistema
con mucha precaución. Este factor es muy importante, ya que, sobre todo en pequeñas
empresas, el dueño muchas veces asume que debe conocer la clave del administrador, y
luego es incapaz de resistir la tentación de manipular con ella, poniendo en serio peligro
la integridad del sistema (y de la valiosa información contenida en el) , entorpeciendo el
trabajo del administrador del sistema.

Existen redes internas en las que un control exhaustivo sobre el medio físico de
transmisión es prácticamente imposible. Por ejemplo, en un aula de una universidad,
que posee conexiones ethernet en todas sus aulas. En principio, nada impedirá que una
persona pueda conectar un ordenador portátil a una de esas conexiones para llevar a
cabo un análisis del tráfico de la red sin que dicha actividad sea advertida, o suplantar a
cualquier otro computador. En este tipo de casos será conveniente llevar a cabo algún
medio de control, como la deshabilitación dinámica de las conexiones de red no
utilizadas en cada punto, o la adopción de protocolos de autentificación de las
computadoras dentro de la red.

3.1.3 REDES EXTERNAS

Se considera como una red externa a aquella que en todo o en parte se apoye en un
canal físico de comunicación ajeno. Existen redes externas de muy diferentes tipos, pero
todas ellas tienen en común la característica de que, en algún momento, la información
viaja por canales sobre los que no se tiene ningún tipo de control. Todas las técnicas que
73

permiten llevar a cabo protecciones efectivas de los datos tienen que hacer uso
necesariamente de la Criptografía.

La identificación de los posibles riesgos que presentara una red externa, pasa por
fijarnos en aspectos tan diferentes como el sistema operativo que corre sobre los
ordenadores o el tipo de acceso que los usuarios legales del sistema pueden utilizar.

Una de las más comunes configuraciones consiste en el uso de una red local
conectada al exterior mediante un cortafuego (computadora que filtra el tráfico entre la
red interna y el exterior). Los cortafuegos son herramientas muy poderosas si se
emplean adecuadamente, pero entrañan ciertos riesgos si se usan mal. Por ejemplo,
existen sitios donde el cortafuego está conectado a la red local y esta a su vez a la red
externa. Esta configuración es la más sencilla y barata, en vista de que solo se necesita
una tarjeta de red en el cortafuego, pero no impedirá a un computador situado en el
exterior conectarse directamente a los de la red local, donde la red externa (y todos sus
peligros) está separada físicamente de la red local.

Podemos distinguir dos grandes tipos de peligros potenciales que pueden comprometer
nuestra información desde una red externa:
A) Ataques indiscriminados. Suelen ser los más frecuentes, y también los menos
dañinos. Dentro de esta categoría podemos incluir los troyanos y los virus, programas
diseñados normalmente para introducirse en cualquier sistema y producir efectos muy
diversos. En vista de su carácter general, existen programas específicos que nos
protegen de ellos, como los antivirus. Es conveniente disponer de un buen antivirus y
actualizarlo periódicamente (ello permitirá que el antivirus pueda reconocer con certeza
a qué tipo de virus se enfrenta para tomar la acción más conveniente según su
programación).


B) Ataques a medida. Son menos comunes que los anteriores, y también más
peligrosos, son aquellos que generalmente llevan a cabo los hackers. Las víctimas son
casi siempre grandes corporaciones, y muchas veces la información ni siquiera es
destruida o comprometida, puesto que los hackers solo buscan enfrentarse al reto que
supone para ellos entrar en un sistema grande. El problema es que para borrar sus
huellas y dificultar el rastreo de sus acciones, suelen atacar en primer lugar sistemas
pequeños para desde ellos iniciar el ataque a otro sistema, lo cual convierte a cualquier
sistema en potencial victima de los hackers.

En cuanto a la protección de las comunicaciones, existen protocolos de comunicación
segura de bajo nivel, como el SSL (Secure Sockets Layer), que permiten crear
comunicaciones seguras a través de Internet, haciendo uso de algoritmos simétricos y
asimétricos simultáneamente. Este protocolo es transparente y puede funcionar con
otros protocolos ampliamente conocidos, como POP3, TELNET, FTP, HTTP, etc. Gran
cantidad de aplicaciones emplean protocolos de este tipo en sus comunicaciones. Pero
las leyes norteamericanas se han vuelto restrictivas en cuanto a la exportación de
material criptográfico lo que origina que la gran mayoría de las aplicaciones seguras que
74

se venden fuera de los EE.UU. y Canadá estén en realidad debilitadas, por lo que se ha
de documentarnos muy bien antes de depositar nuestra confianza en ellas.


3.1.4 INTRANETS

El termino intranet se ha popularizado recientemente y se refiere a redes externas que
se comportan en su interfaz con los usuarios como redes privadas internas. Este tipo de
redes se ha de implementar haciendo uso de protocolos criptográficos de autentificación
y codificación de las transmisiones, en vista que el trafico que se aprecia como interno
a nuestra red, en realidad viaja por Internet.

3.1.5 SISTEMA DE SEGURIDAD EN LA RED

El concepto de seguridad en la información es más amplio que la protección de los
datos a nivel lógico. Para proporcionar una seguridad real hay que tomar en
consideración múltiples factores, tanto internos como externos. En primer lugar habrá
que caracterizar el sistema que va a recibir la información para poder identificar las
amenazas, y en este sentido podemos hacer la siguiente división:

1. Sistemas aislados. Son los que no están conectados a ningún tipo de red.
Actualmente se han convertido en minoría, debido a la expansión que ha
experimentado Internet.

2. Sistemas interconectados. En la actualidad casi cualquier ordenador pertenece
a alguna red, enviando y recogiendo información del exterior. Esto implica que las redes
de ordenadores sean cada vez más complejas y constituyan un peligro potencial que no
debe ser ignorado. En relación a los aspectos involucrados con la seguridad que se
habrá de establecer podríamos clasificarlas de la siguiente forma:

A. Seguridad física. Incluiremos dentro de esta categoría a todos los aspectos
relacionados con la custodia de los soportes físicos de la información, más que de la
información propiamente dicha. En este aspecto estarán, entre otras, las medidas contra
incendios y sobrecargas eléctricas, la prevención de ataques terroristas, las políticas de
backup, etc. También hay que tener en cuenta, dentro de este punto, aspectos
relacionados con la restricción de acceso físico a las computadoras únicamente a
personas autorizadas.

B. Seguridad de la información. En este punto se le prestara atención a la
preservación de la información frente a observadores no autorizados. Para ello se podrá
emplear tanto criptografía simétrica como asimétrica, estando la primera únicamente
indicada en sistemas aislados, ya que si la utilizáramos en redes, al tener que transmitir
la clave por el canal de comunicación, se estaría asumiendo un riesgo excesivo.

C. Seguridad del canal de comunicación. Los canales de comunicación rara
vez se consideran seguros. En vista de que, en la mayoría de los casos, escapan a
75

nuestro control, ya que pertenecen a terceros, por lo que resulta imposible asegurarse
totalmente de que no están siendo escuchados o intervenidos.

D. Problemas de autenticación. Debido a los problemas inherentes al canal de
comunicación, es necesario asegurarse de que la información que recibimos en la
computadora viene de quien realmente creemos que viene. Para esto se suele utilizar
criptografía asimétrica en conjunción con funciones resumen.

E. Problemas de suplantación. En las redes se tiene el problema añadido de que
cualquier usuario autorizado puede entrar al sistema desde fuera, por lo que se ha de
confiar en sistemas fiables para garantizar que los usuarios no están siendo suplantados
(clonados) por intrusos. Normalmente se emplean mecanismos basados en password
para conseguir esto.

3.2 RSA Y RABIN
De entre todos los algoritmos asimétricos, quizá RSA sea el más sencillo de
comprender e implementar. Sus pares de claves son duales, por lo que sirve tanto para
codificar como para autentificar. Su nombre proviene de sus tres inventores: Ron
Rivest, Adi Shamir y Leonard Adleman en 1977. Desde su nacimiento nadie ha
conseguido probar o rebatir su seguridad, pero se le tiene como uno de los algoritmos
asimétricos más seguros.

RSA se basa en la dificultad para factorizar grandes números. Las claves pública y
privada se calculan a partir de un número que se obtiene como producto de dos primos
grandes. El atacante se enfrentará, si quiere recuperar un texto plano a partir del
criptograma y la llave pública, a un problema de factorización.

Definición 42.
Para introducir los criptosistemas de clave pública, se define una función
unidireccional (One-Way Function, OWF) : f M C → como una función invertible, de
modo que es facil << >> calcular ( ) f m = c, mientras que es dificil << >> computar
( )
1
f c

=m.(No se sabe si hay funciones de este tipo, aunque se supone su existencia.)
Una función unidireccional se dice que es una función unidireccional tramposa
(Trapdoor One-way Function, TOF) si se puede ser invertida fácilmente cuando se
conoce alguna información adicional extra. Tal información extra se conoce como
trampa.



76


Definición 43.
Se define un criptosistema de clave pública como una familia de funciones
unidireccionales tramposas, { }
k
f , para cada clave k de K de modo que la trampa
( ) t k sea fácil de obtener. Además, para cada k de K se debe poder describir un
algoritmo eficiente que permitir calcular
k
f , pero de modo que sea intratable la
determinación de k y t (k).
Para implementar un criptosistema de clave pública, dada una familia de funciones
unidireccionales tramposas, cada usuario U elige una clave aleatoria u de k y publica
u
E que permite calcular
u
f ;
u
E es su clave pública, mientras que la trampa t (u),
necesaria para invertir
u
f , es su clave privada.
Si un usuario A desea enviar un mensaje m a otro usuario B, mira la clave pública
de , ,
b
B E y transmite ( )
b
f m = c a B. como B es el único capaz de invertir ,
b
f es el único
que recuperar el mensaje ( ) ( )
1
: .
b b
m f f m m

=
Ya hemos dicho que no se ha demostrado aun la existencia de funciones
unidireccionales tramposas; no obstante, hay dos funciones candidatas a serlo. La
primera de ellas es el producto de número enteros primos, cuya inversa es la
factorización del número obtenido, y la segunda es la exponenciación discreta, cuya
inversa es el logaritmo discreto. Las dos funciones son fáciles de computar, mientras
que no lo son sus inversas. Es decir, dado un número n, es difícil determinar su
descomposición en factores primos y, por otra parte, dados a y b, es difícil calcular x de
modo que .
x
a b = veamos como estas dos funciones permiten implementar dos
criptosistemas diferentes de clave pública.
3.3. CRIPTOSISTEMA RSA
La primera realización del modulo de Diffie-Hellman fue desarrollada por Rivest,
Shamir y Adleman, y se conoce con el nombre de criptosistema RSA. El protocolo
desarrollado por estos autores es el siguiente:
1. Cada usuario U elige dos números primos (actualmente se recomienda que tales
números primos tengas más de 200 dígitos) p y q calcula n= p.q. el grupo a
utilizar por el usuario U es, entonces,
*
.
n
ℤ el orden de este grupo es
( ) ( ) ( ) ( ) . 1 1 . n p q p q Φ = Φ = − − para U es fácil calcular este orden, pues conoce
p y q.

77

2. Después, U selecciona un entero positivo ( ) ,1 , e e n ≤ < Φ de modo que sea primo
con el orden del grupo, es decir, de modo que mcd ( ) ( )
, 1. e n Φ =

3. Mediante el algoritmo de Euclides extendido calcula el inverso de e en
( )
,
n Φ
ℤ d;
se tiene entonces . 1 e d ≡ ( ) ( )
mod n Φ , con ( ) 1 . d n ≤ < Φ
4. La clave publica del usuario U es la pareja (n, e), mientras que su clave privada
es el numero d. por supuesto, también deben permanecer secreto los números p,q
y ( ) n Φ .

Si un usuario A desea enviar un mensaje m de
n
ℤ a otro usuario B, utiliza la clave
publica de B ( ) , ,
b b
n e para calcular el valor de ( ) mod ,
b
e
b
m n c = que enviar a B.
Para recuperar el mensaje original, B calcula
( ) ( ) mod .
b
b b b b
d
d e e d
b
c m m m n = = ≡
Ejemplo 1. Consideremos una codificación del alfabeto que transforme las letras de la
A a la Z en los números del 0 al 25 (utilizaremos el alfabeto ingles). Deseamos enviar
un mensaje a un usuario B. para ellos veamos cómo este usuario ha elaborado su clave
pública y su clave privada.
El usuario B elige dos números primos:
281
b
p =
y
167,
b
q =
calcula
281.167 46927
b
n = =
y considera el grupo
*
46927
. ℤ

El orden de este grupo es: ( ) 46927 280.166 46480 φ = = . B elige el número
39423
b
e = y comprueba que mcd (39423,46480) =1.
A continuación determina el inverso de 39423 modulo 46480. Este número es
26767.
b
d = por lo tanto, la clave pública de B es: ( ) ( ) , 46927, 39423 ,
b b
n e = mientras que
mantiene en secreto los demás valores.
Para enviar un mensaje a B, debemos determinar en primer lugar la longitud del
mismo. Para ello, tendremos en cuenta que vamos a codificar las letras del alfabeto por
medio de número en base 26.
Como el mensaje ha de ser un elemento del grupo con el que estamos trabajando, su
longitud no puede exceder del valor de n =46927.asi pues, dado que
3 4
26 17576 456976 26 , n = < < = el mensaje ha de tener un máximo de tres letras. Si se
desea enviar un mensaje más largo, habrá que romper el mensaje el mensaje es mucho
mayor, dado que n es un numero con mucho mas dígitos. Enviaremos, pues, a B el
78

mensaje m= YES << >>.
Vamos a suponer que somos el usuario A cuya clave pública es ( , )
a a
n e
( ) 155011, 2347 =

y cuya clave privada es
a
d 151267, = con
( ) 409, 379 154224.
a a a
p q y n φ = = =
Para enviar el mensaje m, hemos de codificarlo, es decir, expresarlo en base 26 de modo
que el mensaje sea un elemento del grupo considerado, es decir, pertenezca a
*
46927
: ℤ
2 2
.26 .26 24.26 4.26 18 16346 YES Y E S m = + + = + + = =
Ahora encriptamos m con la clave publica de B:
( ) ( )
39423
mod 16346 mod 46927 21166
eb
b
c m n = = =
Decodificamos el mensaje encriptado:
3 2
21166 1.26 5.26 8.26 2 c BFIC = = + + + =

Por lo tanto, el mensaje a enviar a B es: BFIC << >>
Para que B pueda recuperar el mensaje, deberá codificar los datos recibidos en base
26 y a continuación realizar las operaciones que hemos indicado anteriormente:
3 2
1.26 5.26 8.26 2 21166 BFIC c = + + + = =
Ahora recuperara m calculando
( ) ( )
26767
mod 21166 mod 46927 16346
b
d
b
m c n = = =
Se decodifica m y se obtiene el texto original
2
16346 24.26 4.26 18 m YES = = + + =

En la práctica, para agilizar las operaciones del criptosistema RSA se suele elegir
una clave pública pequeña, de modo que quien desee enviar un mensaje lo hago de la
forma más rápida posible .de hecho, es frecuente que muchos usuarios utilicen el mismo
exponente como su clave publica ( los exponentes más comúnmente utilizados son 3 y
16
2 1) + . Esta situación no compromete la seguridad del criptosistema y permite que la
encriptación de los mensajes sea mucho más rápida que la descriptacion, así como que
la verificación de un mensaje sea mucho más rápida que la firma digital del mismo.
Desde el punto de vista algorítmico, si k es el numero de bits del modulo n, las
operaciones con la clave publica necesitan
( )
2
O k pasos, las operaciones con la clave
79

privada necesitan
( )
3
O k pasos y la generación de clave necesitan
( )
4
O k pasos.
En la actualidad, el chip más rápido para el RSA tiene una velocidad de proceso
mayor que 600 kbits por segundo con un modulo de 512 bits, lo que supone que puede
ejecutar más de 1.000 operaciones de la clave privada del RSA por segundo. En
comparación, en software, el criptosistema de clave secreta DES es como mínimo 100
veces más rápido que el RSA, y en hardware DES es entre 1.000 y 10.000 veces más
rápido que RSA. No obstante, a pesar de esta diferencia de ejecución, el criptosistema
RSA.
No obstante, a pesar de esta diferencia de ejecución, el criptosistema RSA y otro de
clave pública se utiliza porque permiten firmar digitalmente los mensajes que se envían.
Dado que el criptosistema RSA es bastante lento en su ejecución, generalmente se
utiliza en conjunción con el criptosistema de clave secreta DES del siguiente modo: en
primer lugar, el lugar, el usuario A encripta el mensaje m con el criptosistema DES
mediante una clave aleatoria, y a continuación la clave DES utilizada se encripta con el
criptosistema RSA. Posteriormente, A envía por el canal inseguro la pareja formada por
el mensaje encriptado mediante DES y la clave DES encriptada con RSA. En este
protocolo se conoce como envoltura digital RSA. Para recuperar el mensaje recibido, el
usuario B descripta la clave de DES mediante su clave privada del RSA y luego utiliza
la clave obtenida para desencriptar el mensaje m.
El criptosistema RSA fue patentado en 1983 por Public Key Partners (PKP) en
estados unidos, y la patente no expira hasta el año 2000. PKP permita el uso no
comercial del RSA con fines personales, académicos o intelectuales, mediante la
correspondiente certificación, pero siempre dentro de estados unidos. La Exportación de
este criptosistema es bastante más difícil, aunque hay posibilidades de obtener permiso
del gobierno de los estados unidos para su uso, siempre que se utilice para autenticar
mensajes y no con fines de encriptación, a menos que el tamaño de la clave no exceda
de los 512 bits.
Ejemplo 2 de RSA
Intercambio de clave RSA (B → A) en este ejemplo Benito será el emisor y Adela la
receptora de una clave K .
En el protocolo intercambiaremos una clave K
Sea K = DA9F (16 bits)
Claves Benito
16
2 < 66.331 <
17
2 Claves Adela
65.669
35, 53.771
B
B B
n
e d
=
= =
Forzaremos cifrar un bloque de 16 bits
66.331
25, 18.337
A
A A
n
e d
=
= =


80


16 10
25
9 55.967
mod
55.967 mod66.331 16.667
eA
A
K DA F
C K n
C
= =
=
= =

Benito envía a Adela C=16.667
En la práctica no habrá que forzar este tamaño ya que la cifra asimétrica se hace en un
cuerpo (más de mil bits mucho mayor que el numero que se cifra (cientos de bits)
Recuperación de la clave K por A
Claves Benito Claves Adela

65.669
35, 53.771
B
B B
n
e d
=
= =

66.331
25, 18.377
A
A A
n
e d
=
= =


Teníamos que:
16 10
9 55.967 K DA F = =
mod
eA
A
C K n =
25
55.967 mod 66.331 16.667 C = =
Benito había enviado a Adela 16.667 C =
Adela calcula:
18.377
mod 16.667 mod 66.331
dA
A
C n = .=55.967
El intercambio de clave se ha realizado con confidencialidad porque solo Adela ha
podido realizar ese cálculo con su clave privada
A
d .
Los primos que ha usado Benito son (97,677) y los de Adela (11,587) ha podido realizar
ese cálculo con su clave privada
A
d .
Descifrando con números grandes
Grupo ( ) ( ) ( )( ) 91 7*13; 7*13 7 1 13 1 12 n n = = Φ = Φ = − − = 48 N =

Elegimos 5 e = pues mcd ( ) 5, 72 1 = ( ) 5, 72 29 d inv ∴ = =

Cifrado:
5
mod 48 mod91 5245.803.968mod91 55
e
C N n ≡ = = =

Descifrado:
29 29
mod 55 mod91 48...55
d
N C n ≡ = = ´´ya es numero grande´´
81

29
55 Es un número con 51 dígitos…
29
55 295473131755644748809642476009391248226165771484375 =
¿Cómo podemos acelerar esta operación?
1
a
Opción: usar deducibilidad 2
a
opción: algoritmo exponenciación rápida
Opción óptima: usar el Teorema del Resto Chino
3.3.1 USO DEL TEOREMA DEL RESTO CHINO EN
RSA
Normalmente la clave pública e de RSA es un valor bastante bajo, por ejemplo
16
2 1 +
(un valor típico) no tendremos problemas con la velocidad de cifra porque el exponente
e será relativamente bajo, en este caso 17 bits.
Como el cuerpo de trabajo * n p q = es mucho mayor, del orden de
1.024
2 si hablamos
de clave de 1.024 bits, entonces la clave privada d será por lo general mucho mayor que
e y caerá muy cerca de ese valor de 1.024 bits. Por la tanto, podría ser costoso para el
receptor descifra algo con su clave privada o firmar digitalmente un documento con
dicha clave privada.
La solución está en aplicar el Teorema del Resto Chino: en vez de trabajar en n, lo
haremos en p y q, mucho más rápido que hacerlo en n.
3.3.2 DESCIFRADO RSA APLICANDO EL TRC
N = Cd mod n Aplicando el Teorema del Resto Chino
{ ( ) [ ]}
mod (mod ) mod
dq
dp
p p q
q
N A C p A C q n   = +
 

Con: ( )
1
, mod
p
q
A q inv q p q n

= =  
 

( )
1
, mod
q
q
A p inv q p p n

= =  
 

( ) mod 1
p
d d p = − ; ( ) mod 1
q
d d q = −

; mod
q
C C q =
Se hacen más operaciones pero el tiempo de cálculo total es menor dado que los
valores ,
p q p q
d d A yA están pre-calculados. Las operaciones
p
C y
q
C son sencillas y muy
rápidas. El único calculo que consume tiempo será
dp
p
C y
dq
q
C per ambos se hacen en
mod
p
C C p =
82

cuerpo mucho menores que n.
Ejemplo 3. Descifrando RSA usando el TRC

sea: 89, 31, * 89 *31 2.759, ( ) 88*30 2.640 p q n p q n = = = = = Φ = =
Elegimos ( ) [ ] 29 , 29, 2.640 2.459 e d inv e n inv = ⇒ = Φ = =  
 

Si el numero a cifra es N = 1.995, entonces
29
mod 1.995 mod 2.759 141
e
C N n = = =
2.549
mod 141 mod 2.749 1.995
d
N C n = = =
( )
1 30
mod 89 mod 2.759 2.047
mod 1 2.549mod30 29
mod 141mod31 17
q
q
q
q
A q n
d d q
C C q

= = =
= − = =
= = =

Reemplazado en: ( ) ( )
{ }
mod mod mod
dp dq
p p q q
N A C p A C q n     = +
   

{ }
85 29
713 52 mod89 2.047 17 mod31 mod 2.759 N     = +
   

{ } ( ) 713*37 2.047*11 mod2.759 26.381 22.517 mod 2.759 1995 N = + = + =

3.3.3 QUE FORTALEZA TIENE EL ALGORITMO RSA
ANTE ATAQUES?
El intruso q desee conocer la clave secreta d a partir de los valores n y e se enfrentara
al Problema de la Factorización de Números Grandes (PFNG), puesto que la solución
para conocer esta clave privada es conocer primero el valor del indicador de Euler
( ) ( 1)( 1) n p q Φ = − − para luego poder encontrar [ ] , ( ) d inv e n = Φ pero para ello deberá
encontrar los valores de los números primos p y q.
A título de ejemplo colocamos una tabla de valores que indican los tiempos
aproximados que le tomarían a un procesador de
8
2*10 instrucciones por segundo para
poder factorizar n.



( )
1 88
mod 31 mod 2.759 713
mod 1 2.549mod88 85
mod 141mod89 52
p
p
p
p
A q n
d d p
C C p d

= = =
= − = =
= = =
83

Nº de bits (n) Nº de dígitos Días Años
60 18
8
1, 7*10


-
120 36
5
1, 5*10


-
256 77 1,0 -
363 109
2
9, 2*10
2,5
442 133
4
9, 4*10
2
2, 5*10
665 200
8
3, 8*10
6
1, 0*10


3.4. CRIPTOSISTEMA DE EL GAMAL
ELGAMAL

propuso un esquema de clave pública basado en la exponenciación
discreta sobre el grupo multiplicativo de un cuerpo finito .
p
ℤ no obstante, aquí
presentaremos un protocolo más general al presupuesto por EL GAMAL sobre un
grupo finito G.
Suponemos, en primer lugar, que los mensajes son elementos de G y que el usuario A
desea enviar un mensaje m al usuario B. el protocolo mencionado anteriormente es el
siguiente:
1. Se selecciona un grupo finito G y un elemento α de G.

2. Cada usuario A elige un número aleatorio a, que será su clave privada, y calcula
a
α en G, que será su clave pública.
Para que un usuario A envié un mensaje, m, a otro usuario B, suponiendo que los
mensajes son elementos de G, realiza las siguientes operaciones:

1. A genera un numero aleatorio v y calcula
v
α en G.
2. A mira la clave publica de B,
b
α , y calcula ( )
b v
α y m.
bv
α en G.
3. A envía la pareja
( )
, .
v bv
m α α a B.
Para recuperar el mensaje original:
1. B calcula
( )
b
v
α
2. B obtiene m solo con calcular


.
bv
vb

α

84


Por seguridad y eficacia, el grupo G y el elegirse de modo que verificaran con las
siguientes condiciones:
Por eficacia, la operación en G debería ser facil << >> de aplicar.
Por seguridad, el problema del logaritmo discreto en el subgrupo cíclico G generado por
, , α α < > debería ser dificil << >>.
Para simplificar el protocolo anterior, podemos suponer, tal y como fue descrito por EL
GAMAL, que el grupo sobre el que se llevan a cabo las operaciones mencionadas en el
protocolo anterior es el grupo multiplicativo del cuerpo ;
p
ℤ de esta forma, las potencias
y productos anteriores se efectúan modulo un numero primo p.
Ejemplo 4.
Consideremos el grupo
*
15485863
ℤ , con 15485863 p = primo y un generador 7 α = .
A y B eligen las siguientes claves:
28236
28236, 21702, 7 a b α = = = 12506884 ≡
( )
21702
mod15485863 7
b
yα =
8890431 ≡ ( ) mod15485863 , Que son las claves privadas
y públicas de A y B, respectivamente.
Supongamos que A quiere mandar a B el mensaje . m HIJO =<< >>
Entonces, codificamos m como en el ejemplo anterior:

3 2
7.26 8.26 9.26 14 128688 m HIJO = = + + + =

A elige el numero
480 v =
y calcula
480
7 12001315
v
α = ≡
( ) mod15485863 .
A continuación A calcula el valor de
( )
480
8890431
v
b
α = 9846598 = ( ) mod15485863 ,
El de . 128688.
vb
mα = 9846598 ≡ 8263449 ( ) mod15485863 , y decodifica el par
formado por:
( )
, .
v vb
m α α = ( ) 12001315,8263449 , que es el mensaje encriptado:
5 4 3
12001315 1.26 0.26 6.23
v
α = = + +
2
21.26 11.26 1 + + +
, BAGVLB =
4 3
. 8263449 18.26 2.26 4.
vb
mα = = + +
2
26 0.26 25 + +
=SCEAZ
85

Por lo tanto, el mensaje a enviar a B es: (BAGVLB, SCEAZ).
Veamos como recupera B codifica en base 26 la pareja recibida:
En primer lugar, B codifica en base 26 la pareja recibida:

5 4
1.26 0.26 6 BAGVLB = + +
3 2
.23 21.26 11.26 1 + + +
12001315 ,
v
α = =
4 3 2
18.26 2.26 4.26 0.26 25 SCEAZ = + + + + 826449 =
.
vb
mα =
A continuación B calcula
( )
21702
12001315 9846598
b
v
α = ≡ ( ) mod15485863 y luego
tiene calcular

.
vb
vb

α

Para ellos debe determinar el inverso de
vb
α modulo 15485863. La determinación de
este inverso se lleva a cabo por medio del algoritmo de Euclides extendido, es decir,
como
662582. 421299. 1
vb
p α − + =
Resulta que :
( )
1
662582 14823281 mod15485863
vb
α
≡ − ≡

Por tanto:
. 8263449
8263449.14823281 128688
9846598
vd
vd
m
m
α
α
= ≡ ≡ =

Y recupera el mensaje original:
3 2
128688 7.26 8.26 9.26 14 m HIJO = = + + + =
3.5. CAMBIO DE CLAVE DE DIFFIE-HELLMAN
Con objeto de evitar los problemas relacionados con: La distribución de claves,
manejo de claves y falta de firma digital , Diffie y Hellman describieron un protocolo
por medio del cual dos personas pueden intercambiarse pequeñas informaciones
secretas por un canal inseguro. Este protocolo se conoce como el cambio de clave de
Diffie-Hellman, y es el siguiente:
86


1. Los dos usuarios, A y B, seleccionan públicamente un grupo multiplicativo
finito, G, de orden n y un elemento α ∈G.
2. A genera un numero aleatorio a, calcula
a
α en G y transmite este elemento a B.
3. B genera un numero aleatorio b, calcula
b
α en G y transmite este elemento a A.
4. A recibe
b
α y calcula ( )
b a
α en G.
5. B recibe
a
α y calcula
( )
b
a
α en G.
Ahora A y B poseen un elemento común y secreto del grupo G;. Un escucha (espía), S,
podría conocer G, n,
a
α y
b
α y debería poder calcular el elemento
ab
α
, lo que hasta
ahora es un problema intratable
. Este problema se conoce como el Problema de Diffie-
Hellman Generalizado (Generalized Diffie-Hellman Problem, GDHP). Si el grupo G es
el grupo multiplicativo de los enteros módulos un numero primo, se le denomina
simplemente Problema de Diffie-Hellman (Diffie-Hellman Problem, DHP).en realidad,
el DHP consiste en hallar un algoritmo computacionalmente eficiente que resuelva esta
cuestión. Cuando se trata de determinar un algoritmo eficiente que permita el cálculo de
a conocidos G, n, α ,
a
α , estamos ante el llamado Problema del Logaritmo Discreto
Generalizado (Generalized discrete Logarithm problema ,GDLP). Si el grupo G es el
grupo multiplicativo de los enteros módulos un numero primo, el problema se conoce
simplemente como Problema del logaritmo Discreto (Dicrete longarithm Problem,
DLP). Resulta claro que si el escucha S pudiera resolver el GDLP. De ahí que se diga
que la seguridad del cambio de clave de Diffie-Hellman está basada en la del logaritmo
discreto. La conjetura generalmente aceptada es que ambos problemas son
computacionalmente equivalentes.
Ejemplo. Sea p el número primo 53. Supongamos que
*
53
G = ℤ y sea 2 α = un
generador. El protocolo de Diffie-Hellman es el siguiente:
1. A elige 29 a = , calcula ( )
29
2 45 mod53
a
α = ≡ y envía 45 a B.
2. B elige 19 b = , calcula ( )
19
2 12 mod53
b
α = ≡ y envía 12 a A.
3. A recibe 12 y calcula ( )
29
12 21 mod53 ≡
4. B recibe 45 y calcula ( )
19
45 21 mod53 ≡
La clave privada o la información secreta que comparten ahora A y B es 21. Un
escucha, S, conoce del protocolo anterior
*
53
, 2, 45 12 y ℤ pero que no puede conocer que
la información secreta compartida por A y B es 21.


87

3.6 VERSION ELIPTICA DE EL GAMAL Y DE
HIFFIE-MILLER
3.6.1 CAMBIO DE CLAVE DE DIFFIE-HELLMAN PARA
CURVAS ELIPTICAS
Supongamos que los usuarios A y B quieren ponerse de acuerdo, utilizando una curva
elíptica E, en una clave que posteriormente utilizaran en un determinado criptosistema.
En primer lugar, hacen público un cuerpo finito GF (q) y una curva elíptica sobre él E.
la clave que quieren determinar será construida a partir de un punto P de la curva E por
ejemplo, la coordenada x de tal punto---, pero para ello han de mantener secreto el punto
P elegido. Veamos la forma en que determinan este punto de forma secreta.
A y B eligen públicamente un punto G E ∈ que servirá como base.
Este punto G juega el papel análogo al generador considerado en el cambio de clave
de Diffie-Hhellman, aunque no sea de hecho un generador de la curva E. Este punto
G se debería elegir de modo que su orden fuera grande; es decir, o bien el número de
puntos de la curva elíptica o bien un divisor grande suyo.
Para generar la clave, una vez elegido el punto G.
1. A selecciona un numero aleatorio a de orden de magnitud igual que el de q, que
mantiene secreto.
2. A continuación calcula . a G E ∈ y lo envía a B.
3. De forma analógica, B selecciona un numero aleatorio b, calcula . bG E ∈ y lo
envía a A.
4. A calcula el punto de la de la curva elíptica . . . P a bG =
5. B calcula el punto . . . P a bG =
Un escucha podría conocer los valores de G, a. G, y b. G del protocolo anterior, pero
no tendía forma de saber el valor de P, supuesto intratable el problema del logaritmo
discreto en una curva elíptica.
3.6.2 CRIPTOSISTEMA DE EL GAMAL PARA CURVAS
ELIPTICAS
Veamos cómo puede definirse el criptosistema de El Gamal sobre una curva elíptica,
de modo que sea posible encripta los puntos de dicha curva, ,
m
P obtenido a partir de un
mensaje m:
1. Se hace público un cuerpo finito GF (q), una curva elíptica sobre el E y un
punto y un punto base de la curva G E ∈ .
88


2. A continuación, cada usuario A elige secretamente un número a (su clave
privada) y hace público el punto . ,
A
C a G = que será su clave pública.
Si el usuario A desea enviar el punto de la curva
m
P (que corresponde una parte a una
parte codificada del mensaje) encriptado a B, lleva a cabo las siguientes operaciones:
1. A elige un entero aleatorio k y calcula el punto k. . G E ∈

2. A examina la clave publica de , . ,
B
B C b G = y calcula entonces
. . . . .
b m b
k C k b G EyP k C E = ∈ + ∈
3. A envía a B el par de puntos ( ) . , . ,
m B
k G P k C + donde
B
C es la clave publica de B.
Para recuperar el mensaje original:
1. B multiplica el primer punto de los dos recibidos por su clave privada, b.

2. B obtiene el punto de la curva que corresponde al mensaje solo con restar el
valor obtenido, . . , b k G del segundo punto recibido:
.
. . . . .
m B m
m
P k C b k G P k b G P + − = + =

Ejemplo. Después del ejemplo presentado sobre como codificar el mensaje
, m STOP =<< >> vamos a encriptar el primer de los puntos obtenido en dicha
codificación.
Consideremos la curva elíptica
2 3
: E y y x x + = − sobre el cuerpo
*
715
ℤ y el punto base
( ) 361, 383 . G E = ∈ supongamos que el mensaje que A desea enviar a B es
. m S =<< >> Ya hemos visto que el punto de la curva E que correspondiente a este
mensaje es el punto ( ) 562, 576 .
s
P E = ∈ veamos como encriptar este punto mediante el
criptosistema de El Gamal para la curva elíptica E.
En primer lugar, vamos a ver como B genera su clave privada y su clave pública. B
considera el número 7 b = como su clave privada, y calcula 7 , G que será su clave. Para
llevar a cabo el cálculo de 7 , G B expresa 7 en base 2 y obtiene:
2
7 2 2 1; = + + por
consiguiente, el cálculo de 7G se lleva a cabo solo con reiterar sucesivamente el cálculo
de 2G.
Una vez efectuado este cálculo, obtiene que su clave pública es ( ) 7 556, 495 .
B
C G = =
A continuación, A utiliza la clave pública de B para encriptar el punto
S
P de las
siguientes maneras:
89

A considera el numero k=3 y envía a B la pareja de puntos ( ) . , . .
S b
k G P k C + para ello,
determina 3G= (740,737), ( ) 3 639, 32
B
C = y ( ) 3 348, 603 .
S B
P C + = Así pues, A envía a B
la pareja de puntos ( ) ( ) ( )
740, 737 , 348, 603 .

Para recuperar el mensaje original, B multiplica el primero de los puntos recibidos por
su clave privada, esto es, determina el valor de ( ) ( ) 3 7 740, 373 639, 32 b G = = y a
continuación resta el punto obtenido del segundo punto recibido; es decir, determina el
valor de (348,603) – (639, 32) = (562, 576) = .
s
P una vez que B conoce cuál es el punto
de la curva elíptica que corresponde al mensaje, procede como ya se ha indicado para
obtener el mensaje m.

3.6.3 ALGORITMO DE RABIN


El sistema de llave asimétrica de Rabin se basa en el problema de calcular raíces
cuadradas modulo un numero compuesto. Este problema se ha demostrado que es
equivalente al de la factorización de dicho número.

En primer lugar escogemos dos números primos, p y q, ambos congruentes con 3
modulo 4 (los dos últimos bits a 1). Estos primos son la clave privada. La clave publica
es su producto, n = pq.

Para codificar un mensaje m, simplemente se calcula:

2
c m (mod n) ≡

La decodificación del mensaje se hace calculando lo siguiente:


(p+1)/ 4
1
(p+1)/ 4
2
(q+1)/ 4
3
(q+1)/ 4
4
m c (mod p)
m (p -c ) (mod p)
m c (mod q)
m (q -c )(mod q)














90

Luego se escogen a y b tales que:
1
a q(q (mod p))

≡ y
1
b p(p (mod q)).




1 3
1 4
2 3
2 4
m (am + bm ) (mod n)
m (am + bm ) (mod n)
m (am + bm ) (mod n)
m (am + bm ) (mod n)
a
b
c
d







Desgraciadamente, no existe ningún mecanismo para decidir cuál de los cuatro es el
autentico, por lo que el mensaje debería incluir algún tipo de información para que el
receptor pueda distinguirlo de los otros.









Capitulo 4

Conclusiones

91

4.0 CONCLUSIONES

4.VULNERABILIDAD DE LOS SISTEMAS
CRIPTOGRAFICOS

Podemos apreciar que pueden existir sistemas teóricamente seguros, capaces de
resistir cualquier ataque. También se verá que estos sistemas en la práctica carecen de
interés, lo cual implica tener que adoptar un compromiso entre el coste del sistema
tanto computacional como de almacenamiento, e incluso económico frente a su
resistencia a diferentes ataques criptográficos. La información posee un tiempo de vida,
y pierde su valor transcurrido este. Los datos sobre la estrategia de inversiones a largo
plazo de una gran empresa, por ejemplo, tienen un mayor tiempo de validez que la
exclusiva periodística de una sentencia judicial que se va a hacer pública al día
siguiente. Sería suficiente, tener un sistema que garantice que, el tiempo que se puede
tardar en comprometer su seguridad, es mayor que el tiempo de vida útil de la propia
información que este alberga. Esto no suele ser fácil, sobre todo porque no tardaría lo
mismo un oponente que disponga de una única computadora de capacidad modesta,
que otro que emplee una red de supercomputadoras. Por eso también ha de evaluarse si
la información que queremos proteger vale más que el esfuerzo de criptoanálisis que va
a necesitar, porque entonces puede que no esté segura. La seguridad de los
criptosistemas se suele medir en términos del número de computadoras y del tiempo
necesarios para romperlos, y a veces simplemente en función del dinero necesario para
llevar a cabo esta tarea con garantías de éxito.

En cualquier caso hoy por hoy existen sistemas que son muy poco costosos o incluso
gratuitos, como algunas versiones de PGP (Pretty God Privacity sistema de
encriptación aplicado a servicios de mensajería electrónica ), que nos garantizan un
nivel de protección tal que toda la potencia de cálculo que actualmente hay en el planeta
sería insuficiente para romperlos.

Tampoco conviene depositar excesiva confianza en los algoritmos de cifrado, puesto
que en el proceso de protección de la información existen otros puntos débiles que
deben ser tratados con extremo cuidado. Por ejemplo, no tiene sentido emplear
algoritmos con niveles de seguridad extremadamente elevados si luego se escogen
contraseñas (passwords) fáciles de adivinar. Una mala práctica muy extendida es la de
escoger palabras clave que contengan fechas, nombres de familiares, nombres de
personajes o lugares de ficción, etc.

Son las primeras que un atacante inteligente y bien informado probaría. Tampoco es
una práctica recomendable anotarlas o decírselas a nadie, puesto que si la clave cae en
malas manos, todo el sistema queda comprometido, por buenos que sean los algoritmos
empleados.

92


4.1 ATAQUES A SISTEMAS CRIPTOGRAFICOS
4.1.1 RSA

Ya hemos comentado la elaboración de las claves para este criptosistema.
Recordémoslo brevemente.
1. En primer lugar se seleccionan dos números primos grandes: p y q, se calcula
. n p q = y se considera el grupo
. n

2. A continuación se elige un numero aleatorio e menor que ( ) n Φ de modo que sea
primo con el orden del grupo; es decir, de modo que mcd ( ) ( )
, 1 e n φ = .
3. Posteriormente se calcula el inverso de e modulo ( ) n Φ , d.
4. La clave publica del usuario es la pareja (n, e) y se mantienen en secreto el resto
de los números.
El ataque contra este criptosistema consiste en localizar de alguna manera la clave
privada de modo que se pueda, en un tiempo factible, descriptar cualquiera de los
mensaje recibidos por el usuario. Así pues, se trata de determinar el valor de d
conociendo n y e, o cualesquiera otros números que nos permitan localizar el valor de d.
Para romper el protocolo, es necesario conocer ( ) n Φ , pues entonces es sencillo
localizar el valor de d. Ahora bien, conocido n, no es fácil determinar el valor de ( ) n Φ
, a no ser que se tenga información adicional. Es sabido que si n es producto de dos
primos (que es el caso del criptosistema RSA), entonces calcular ( ) n Φ es
computacionalmente equivale a factorizar n; es decir, puede calcular en un tiempo
asequible. Por ello se dice que la seguridad del criptosistema RSA está basada en el
problema de la factorización, aunque no se ha demostrado que la única manera de
determinar d a partir de e sea a través de la descomposición de n.
Dado que romper el criptosistema RSA está íntimamente ligado al problema de la
factorización de n, conviene elegir este n de modo que se dificulte al máximo su
posible factorización, supuesto que ya es sabido que es el producto de dos números
primos. Para ello, se eligen aleatoriamente p y q verificando las siguientes condiciones:



93

1. p y q solo deben diferir en unos pocos dígitos, aunque no deben ser demasiado
cercanos.
2. ( ) ( ) 1 1 p y q − − deben contener factores primos grandes.
3. El mcd ( ) 1, 1 p q − − debe ser pequeño.
Las razones matemáticas para tales condiciones son las siguientes:
1. Si p y q estuvieran demasiado cercanos, con p>q, entonces ( ) / 2 p q − es
pequeño y ( ) / 2 p q + es solo ligeramente mayor que n .Además,

( ) ( )
2 2
4 4
p q p q
n
+ −
− =
Con lo que el primer miembro de la igualdad anterior es un cuadrado perfecto.
Para factorizar n, basta entonces con aplicar el método de Fermat ; Es decir, probar
los enteros x n > hasta que uno de ellos verifique que
2
x n − sea un cuadrado
perfecto,
2
y , con lo que p x y = + y . q x y = −
2. Si los factores primos de 1 p − y de 1 q − fueron pequeños, también lo serian los
de ( ) n Φ . Suponiendo que todos los factores primos r de ( ) n φ fueran menores
que un entero k, como log
r
n  
 
es el exponente de la máxima potencia de r que
posiblemente divida a ( ) n φ , es computacionalmente posiblemente construir
todos los candidatos v a ser ( ) n φ y chequear el criptograma elevado a la potencia
( ) 1 / , v e + suponiendo que este valor es entero.

3.
Puesto que p-1 y q-1 son pares, resulta que
( ) n φ
es divisible por 4.Si el mcd
( ) 1, 1 p q − −
tuvieran un valor grande, el mcm
( ) 1, 1 p q − −
= m tendría un valor
pequeño en comparación con
( ) n φ
. Entonces cualquier inverso de e modulo m
serviría como exponente para descriptar el mensaje.

Una forma de elegir estos dos números podría ser la siguiente: se elige un primo r
grande de modo que
2. 1 p r = +
y
2. 1 q p = +
sean primos (un número primo, p,
elegido así se llama un primo seguro). De esta forma, se verifican las tres
condiciones enunciadas más arriba. En efecto, p y q solamente diferente en unos
dígitos,
1 2. p r − =
y
1 2. q p − =
tienen factores primos grandes: r y p,
respectivamente, finalmente, mcd
( ) 1, 1 2 p q − − =
es pequeño.

94

Según acabamos de mencionar, el ataque contra el RSA se basa en la
factorización, pero para ello conviene elegir adecuadamente los números primos p y
q. Nos encontramos entonces con un problema que se agrava si se desea que los dos
primos sean grandes. Por tanto, deberíamos analizar estas dos operaciones:
La primalidad, es decir, la determinación de números que sean primos y la
factorización, esto es, descomponer un numero como producto de factores primos.
Como se puede apreciar, los dos problemas están muy relacionados, pero son dos
problemas completamente distintos.
Otro tipo de ataque a este criptosistema consiste en determinar una técnica que
permita computar raíces e-esimas modulo el numero n. La cuestión es que si el texto
cifrado a partir de un mensaje m es c, con
( ) mod
e
c m n =
, entonces la raíz e-esima
de c
( ) mod n
es el mensaje m. Este ataque permitirá a un escucha recuperar el
mensaje encriptado y falsificar la firma digital sin necesidad de conocer la clave
privada. No se sabe si este ataque es equivalente a factorizar n; en realidad no se
conocen intentos de atacar al RSA por este método.
Debe quedar bien claro que los ataque contra el criptosistema RSA están en la
línea de lo señalado hasta ahora. No puede considerar como tal un ataque contra
RSA que consista en el intento de romper una implementación insegura de este
criptosistema, ni tampoco el hecho de hacer hipótesis sobre cuál puede ser el
mensaje enviado.
Otra cuestión a considerar en los ataques contra este criptosistema es la relativa al
aumento en la potencia de los computadores a medida que pasa el tiempo. Pudiera
pensarse que este factor facilita la labor de los criptoanalistas y por ello hace menos
seguro el RSA.
Sucede, sin embargo, lo contrario. Este aumento de potencia en hardware hace
más seguro el criptosistema RSA. La cuestión estriba en que las mejores hardware
que puedan permitir a un criptoanalista factorizar un numero, producto de dos
primos grandes, permiten a la vez a un usuario de RSA utilizar una clave con
docenas de dígitos mas grande, lo que hace que la factorización sea mucho más
difícil. Baste tener en cuenta que doblar la longitud del modulo incrementa, en
media, el tiempo requerido para las operaciones de la clave pública (encriptado y
verificación de la firma) en un factor de 4, y las operaciones de la clave privada
(descriptado y firma digital) en un factor de 8.
A continuación analizaremos con mayor detalle los dos problemas subyacentes al
criptosistema RSA: la primalidad y la factorización.

95


4.1.2 TAMAÑO DE LOS PARAMETROS EN RSA

Toda la seguridad de RSA está basada en sus parámetros: los primos p y q y los
valores de sus claves de sus claves públicas e y privada d.
El cuerpo de trabajo debe ser al menos de 1.024 bits con primos p y q de al menos 500
bits y que diferencia unos cuantos dígitos.
Aunque la clave pública debe ser pequeña para facilitar así las operaciones, su valor no
puede ser excesivamente bajo. Se usara el número 4 de Fermat
4
2 16
4
2 1 2 1 65.537. F = + = + =

Como ed
( ) mod 1, n Φ =
esto hace q la clave privada d sea un número superiores a los
1.000 bits, por lo general cerca de 1.024.
Habrá que prestar también especial atención en la generación de dichos primos y la
posterior comprobación de su primalidad.

4.1.3 EL PROBLEMA EN LA ELECCION DEL VALOR DE
N

Si p y q son muy cercanos, puede ser fácil factorizar n
Si p

q y suponemos que p > q, entonces
( ) / 2 p q −
es un entero muy pequeño y por
otra
( ) / 2 p q +
será un entero superior a
n
.
Además se cumplirá que:
( ) ( )
2 2
/ 4 / 4. n p q p q = + − −
Esto lo podemos escribir como
2 2 2 2
n x y x y n = − ⇒ − −

Elegimos enteros
x n >
hasta q ( )
2
X n −
sea cuadrado perfecto. En este caso
( ) / 2; X p q = +
y
( ) / 2. p q = −
Por lo tanto rompemos el valor n:
( ) ( ) ; . p x y q x y = + = −


96


Ejemplo 1: de mala elección del valor de n
Sea 181; 251 181*251 45.431 p q n = = ⇒ = =
Como 45.431 213,14 = buscaremos valores enteros de x mayores que 213 de forma
que
( )
2
45.413 X − sea un cuadro perfecto ↓
1.
2
214 45.413 365 X X = ⇒ − = 365 19,10 ∴ =
2.
2
215 45.431 794 X X = ⇒ − = 794 28,17 ∴ =
3.
2
216 45.431 1.225 X X = ⇒ − = 1.225 35 ∴ =
Entonces: 216 35 181 p x y = − = − =
216 35 251 q x y = + = + =
Para evitar otros problemas, es recomendable usar los denominados primos seguros.

4.1.4 ELECCION DE LOS NUMEROS PRIMOS
Los valore primos deben elegirse apropiadamente:
Sistema RSA
a) p y q deben diferenciar en unos pocos dígitos.
Recuerde que la relación bit/digito es 3, 3. ≈
b) p y q no deben ser primos muy cercanos.
c) Longitud mínimo de p y q: 500 bits.
d) Valores de ( ) 1 p − y ( ) 1 q − del Indicador de Euler con factores primos
grandes.
e) El mcd entre ( ) 1 p − y ( ) 1 q − debe ser pequeño.
Esto se cumple con los denominados primos seguros.





97


4.1.5 CALCULO DE NUMEROS PRIMOS p y q
SEGUROS
Se elige r un primo grande de modo que: 2* 1 r p + =
Se elige un r’ primo algo mayor que r de modo q: 2* ' 1 r q + =

Ejemplo 2:
Sean 1.019 r = y ' 3.863 r =
( ) 2*1.019 1 2.039 11 p bits = + = Es primo
( ) 2*3.863 1 7.727 13 q bits = + = Es primo
* 15.755.353 n p q = =
Luego: 1 2.038; p − = 1 7.726 q − =
1 2*1.019; p − = 1 2*3.863 q − = ⇒ ( ) 1, 1 2 mcd p q − − =
Los primos p y q cumplen la condición de primos seguros
Nota: es posible que encuentren algún documento donde proponga elegir un valor r
primo y comprobar luego si 2 1 p r = + y 2 1 q p = + son primos. En este caso p y q
seguirán siendo primos seguros pero solos de forma independiente. Aquí será muy
fácil atacar el valor n factorizandolo a través de una ecuación de segundo grado.
4.1.6 PAR DE PRIMOS SEGUROS PERO
INDEPENDIENTES
Elegimos r primo. Comprobamos primero que 2 1 p r = + es primo luego que
2 1 q p = + también es primo.
Los valores de p y q serán primos seguros pero en el sistema RSA basado en
* n p q = no servirán como pareja dado que:
[ ][ ] [ ] ( ) [ ][ ] * 2 1 2 1 2 1 2 2 1 1 2 1 4 3 n p q r p r r r r = = + + = + + + = + +  
 

2
8 10 3 n r r = + + ⇒ ( )
2
8 10 3 0 r r n + + − =
Luego: ( ) 10 100 32 3 / 16 10 4 32 / 16 r n n
   
= − ± − − = − ± +
   

98

10 4 32 / 16 r n
 
= − + +
 

Conocido el valor de r podemos calcular p y q.
Ejemplo: 41, 2 1 83, 2 1 167, 13.861. r p r q p n = = + = = + = =
[ ] 10 4 32*13.861 / 16 10 666 / 16 41. r
 
= − + + = − + =
 


4.1.7 CLAVES PRIVADAS PAREJAS EN RSA
Una clave privada pareja CPP
p
d , permite descifrar criptograma C resultado de una
cifra con la clave pública e. En el sistema RSA habrá como mínimo una clave
p
d
pareja de la clave privada d.
Esto se debe a que las claves inversas e y d lo serán en ( ) n Φ y en cambio la cifra se
hace en el cuerpo n.
Ejemplo 3:
Si ( ) 13; 19; 247, 216 p q n n = = = Φ = y elegimos 41, e = entonces
( ) 41, 216 137, d inv = = que es único. Si ciframos con la clave pública el número
87 N = obtenemos
41
87 mod 247 159 C ≡ = .
Luego sabemos que
137
mod 159 mod 247 87
d
N C n ≡ = =

Pero también lo desciframos con
p
d = 29, 65, 101, 173, 209 y 245.
4.1.8 NUMERO DE CLAVES PRIVADAS PAREJAS
Si ( ) ( ) 1 , 1 mcm p q γ = − −  
 
y sea ( )
1
mod , d e inv e
γ
γ γ

= =
La clave pública e tendrá λ claves parejas
i
d de la forma:
1
i
d d
γ
γ = + 1
i
d n < <
0,1,... i λ =
( )
/ n d
γ
λ γ
 
= −
 



99

En el ejemplo anterior tenemos que:
( ) ( ) ( ) 1 , 1 12,18 36 mcm p q mcm γ = − − = =  
 

Luego: ( ) 41, 36 29, d inv
γ
= = así 29 *36
i
d d i i
γ
γ = + = +
Es decir 29, 65,101,137,173, 209, 245.
i
d = Observe que en aparece (137) la clave
privada d y comprobemos que:
( ) ( ) / 247 29 / 36 60, 05 6 n d
γ
λ γ
 
= − = − = =  
 
 


Ejemplo 4: Casos extraños de claves privadas parejas

Sea p = 751, q = 1.009; e=13
Clave privada: d=407.707
Nº De clave privadas parejas: 5
29.077,155.077,281.077,533.077,
659.077

Sea p = 751, q = 1.009; e=101
Clave privada: d=553.901
Nº De clave privadas parejas: 5
49.901,301.901,427.901,679.901.

Para otros valores de e, siempre existe
una separación entre las claves privadas
de: 126.000


4.1.9 MINIMIZANDO LAS CLAVES PRIVADAS PAREJAS
Para que λ
sea lo más pequeño posible
( ) 1 λ =
un primer paso es elegir los primos p y q
como primos seguros.
Ejemplo 5:
Sean
' 5, '' 23 2*5 1 11 r r p = = ⇒ = + =
(es primo)
2*23 1 47 q = + = (es primo)
En estas condiciones con 517 n = y ( ) 460, n Φ = sea 1 e =

Sea p = 379, q = 1.783; e=71
Clave privada: d=531.287
Nº De clave privadas parejas: 53
7.379,19.853,32.327,44.801,57.275,
69.749,82.223,94.697,107.171,
119.645,132.119,144.593,157.067,
169.541,…506.339,518.813,543.761,
556.235,568.709,581.183,593.657,
606.131,618.605,631.709,643.553
656.027,668.501 …
Y separadas 12.474.

Sea p = 379, q = 1.783; e=131
Ahora las CPP aumentan a: 54

100

Luego ( ) 10, 46 230 mcm γ = = y ( ) 17, 230 203 d inv
γ
= =
Entonces
( ) ( ) / 517 203 / 230 1, 36 1 n d
γ
λ γ
 
= − = − = =  
 
 

Así: 203 *203 203, 433 1
i
d d i i
γ
γ λ = + = + = ⇒ =
En efecto, ( ) ( ) , 17, 460 433 d inv e n inv = Φ = =  
 
y lo cifrado con 17 e = también se
descifra con 203.o
p
d =
Minimizando no sólo con primos seguros
Para que λ sea igual a la unidad, habrá que elegir además un valor adecuado de clave
pública:
Tomando el mismo ejemplo anterior:
11; p = 47; q = 517 n = y ( ) 460 n Φ = .
Según el valor que el elijamos de clave pública e, podríamos obtener más de una clave
privada pareja:
Sea: 7, e = 263 d = 230 γ = y ( ) 7, 230 33 d inv
γ
= =
33 *230 33, 263, 493 2
i
d d i i
γ
γ λ = + = + = ⇒ =
Sea: 77, e = 233 d = 230 γ = y ( ) 77, 230 3 d inv
γ
= =
3 *230 3, 233, 463 2
i
d d i i
γ
γ λ = + = + = ⇒ =
Con primos seguros, el número de clave parejas será siempre bajo.
Si bien al generar claves RSA con libretas actuales como Crypto++ de Wei Dei (Open
SSI) aparecen claves que no pueden considerarse como óptimas ya que no se controla
este hecho, hay que tener en mente que las claves privadas parejas tendrán siempre
valoradas muy cercanos al cuerpo de ( ) n Φ
es decir un tamaño del orden de
2
n
bits.
Por lo tanto, independientemente de la distribución, se trata de una búsqueda en un
cuerpo cercano a
2
n
bits, en la actualidad en
1024
2
bits, es decir un valor más intenso
para la capacidad de cómputo actual, incluso suponiendo un ataque similar al del DES
Challengue III y un cálculo de claves por segundo varios órdenes de magnitud superior.
No obstante, en todos estos temas siempre hay que estar en alerta pues en cualquier
momento puede aparecer algún método óptimo de ataque.
101

4.1.10 CLAVES PAREJAS DE LA CLAVE PUBLICA EN
RSA
Al trabajo en un cuerpo finito y con iguales opciones de cifra con la clave pública e y la
clave privada d, tenemos que las ecuaciones vistas anteriormente son validas en este
entorno, cambiando d por e.

No es un problema puesto que todo el mundo conoce la clave pública y el sistema sigue
siendo igual de seguro.

Se cumple que los valores de dicha clave parejas son similares y equivalentes en ambos
entornos en ambos entornos, el de las claves públicas y el de las claves privadas.


Ejemplo 6: de firma y claves parejas de e

Retomamos el primer ejemplo de clave privadas parejas con:


13; p = 19; q = 247, n = ( ) n Φ 216, 14, 137 e d = = =


Si firmamos N=24 obtenemos
137
24 mod 247 215 C ≡ ≡


Luego sabemos que
mod 247 24
e
N C n ≡ ≡ ≡



Como
( ) ( ) , 137, 36 5, e inv d inv
γ
γ = = =
entonces:

( ) ( ) ) / 247 5 /36 6, 72 6 n e
γ
λ γ
 
= − = − = =  
 
 


5 *36 5, 41, 77,113,149,185, 221
i
e e i i
γ
γ = + = + =


Y se podrá comprobar el criptograma C de la firma con cualquier de estas claves,
parejas de la clave pública e.

4.1.11 Comprobación de una firma digital

Un usuario firma un hash de un mensaje con su clave privada, la cual envía al destino
junto con el mensaje original. En destino se descifra con clave pública emisor y se
comprarán las dos hash, el de emisión y el recuperado en recepción, para dar validez a
dicha firma.
102

En este escenario, esto significa que se podría dar por valida una firma descifrar el
hash recibido con una clave pública pareja e’ distinta a la inversa de la usada en emisión
y dar valides a dicha firma; es decir usando algunas de las claves publicas parejas.
Esto en si no es un ataque por lo que, al menos en este contexto y en principio no
debería considerarse como una vulnerabilidad. Esto es así porque, además, como se ha
dicho es típico que la clave publica sea el mismo número primo para todos, el valor
16
65.537 2 1. e = = +
Como es obvio, lo que será distinto para par de claves con p y q.

4.1.12 NUMEROS NO CIFRABLES EN RSA
Si mod
e
N n N = se dice que N es un número no cifrable, NNC.
En RSA habrá como 9 números no cifrable.
En caso más crítico, todos los números del cuerpo n puede ser no cifrables como
veremos más adelante.
Para conocer estos valores no cifrables, habrá que hacer un ataque de descifrado por
fuerza bruta en p y q, es decir deberemos comprobar que mod
e
X p X = y
mod
e
X q X = con 1<X< n – 1.
Ejemplo 7:
Sea el cuerpo ( ) 35 5, 7 , n p q = = = con ( ) n Φ 24 = y 11 e = .
Dentro de los números posibles { } 0,1 .El valor n-1 (en este caso 34) será también
siempre no cifrable.
4.1.13 CANTIDAD DE NUMEROS NO CIFRABLES
La cantidad de números no cifrable dentro de un cuerpo n será:
( ) 1 1, 1
n
mcd e p σ = + − −  
 
( ) 1 1, 1
n
mcd e q σ = + − −  
 

Los números no cifrables serán:
( ) { } ( ) { }
, , mod
p q
N q inv q p N p inv p q N n    = +
  

Con:
p
N las soluciones de mod
e
N p N =
103


q
N las soluciones de mod
e
N q N =
En el ejemplo anterior se da el caso mínimo

Ejemplo 8: de números no cifrables (1)
Sea 13; p = 17; q = * 221 n p q = =
Elegimos 7 e = por lo de ( ) 7,192 55, d inv = = luego:
( ) ( ) 1 1, 1 1 1, 1
n
mcd e p mcd e q σ = + − − + − −    
   

( ) ( ) ( )( )
221
1 6,12 1 6,16 1 6 1 2 21 mcd mcd σ = + + = + + =    
   

Soluciones de { }
7
mod13 0,1, 3, 4, 9,10,12
p
N N N = ⇒ =
Soluciones de { }
7
mod17 0,1,16
q
N N N = ⇒ =
Los números no cifrable serán:
( ) { } ( ) { }
( ) { } ( ) { }
{ } { }
, , mod
17 17,13 13 13,17 mod 221
17*10 13*4 mod221
170* 52* mod 221
p q
p q
p q
p q
N q inv q p N p inv p q N n
N inv N inv N
N N N
N N N
  = +
 
  = +
 
  = +
 
  = +
 

Ejemplo 9: de números no cifrables (2)

Teníamos: { } 0,1, 3, 4, 9,10,12
p
N = y { } 0,1,16
q
N =
170* 52* mod 221
p q
N N N   = +
 

N { } { } [170* 0, 1, 3, 4, 9, 10, 12 52* 0, 1,16 ] mod 221 = +
N { } 0, 170, 510, 680, 1.530, 1.700, 2.040 {0, 52,832} mod 221 = +  
 

N [ ] 0 0, 0 52, 0 832, 170 0, 170 52, 170 832, ... mod 221 = + + + + + +
N [ ] 0, 52, 832, 170, 222, 1.002, 510, 562, 1.342, 680,732, 1.512, 1.530, 1.582, 2.362, 1.700, 1.752, 2.531, 2.040, 2.092, 2.872 mod221 =
104

N [ ] 0, 52, 169, 170, 1, 118, 68, 120, 16, 17, 69, 186,204, 35, 152, 153, 205, 101, 51, 103, 220 =
Reordenando tenemos:
N [ ] 0, 1, 16, 17, 35, 51, 52, 68, 69, 101, 103, 118, 120, 152, 153, 169, 170, 186,204, 205, 220 =
Estos son los 21 mensajes de
221
σ .
4.1.14 DISTRIBUCION DE NUMEROS NO CIFRABLES.
Dado que N [ ] 0, 1, 16, 17, 35, 51, 52, 68, 69, 101, 103, 118, 120, 152, 153, 169, 170, 186,204, 205, 220 =
se observa que excepto el valor 0, los valores de los extremos siempre sumarán el valor
del módulo: 1+220 = 16+205 = 17+204 = 35+186 ... = 221 = n.
No obstante, esto no es una debilidad porque el siguiente valor no cifrable posterior al
1 es aleatorio y también la distribución entre los demás. Es más, en la mayoría de las
claves no se aprecia una secuencia de valores muy clara, aunque sí se observa un
comportamiento y distribución bastante curiosos.
Si no fuera así, el sistema sería muy débil porque podríamos conocer de antemano qué
valores muy pequeños serían no cifrables (además del 0 y el 1) y con esa información
poder deducir si un valor x de centenas de bits (clave) es o no cifrable.
Ejemplo 10: Dos casos de números no cifrables

Sean p = 409, q = 499
Con e = 31, d = 19.663
Total números no cifrables: 49
0, 1, 1.636, 1.637, 23.313, 23.314, 24.949,
24.950, 26.586, 48.263, 49.899, 56.388,
58.024, 72.855, 74.491, 79.701, 81.337,
81.338, 82.973, 82.974, 96.168, 97.804,
97.805, 99.440, 99.441, 104.650, 104.651,
106.286, 106.287, 107.923, 121.117,
121.118, 122.753, 122.754, 124.390,
129.600, 131.236, 146.067, 147.703,
154.192, 155.828, 177.505, 179.141,
179.142, 180.777, 180.778, 202.454,
202.455, 204.090.
Sean p = 241, q = 251
Con e = 61, d = 26.281
Total números no cifrables: 671
0, 1, 231, 250, 251, 364, 400, 482, 522,
604, 640, 733, 866, 1.004, 1.024, 1.287,
1.486, 1.506, 1.777, 1.870, 1.988, 2.009,
2.028, 2.227, 2.259, 2.260, 2.291, 2.510,
....
... 57.981, 58.200, 58.231, 58.232, 58.264,
58.463, 58.482, 58.503, 58.621, 58.714,
58.985, 59.005, 59.204, 59.467, 59.487,
59.625, 59.758, 59.851, 59.887, 59.969,
60.009, 60.091, 60.127, 60.240, 60.241,
60.260, 60.490.



105

4.1.15 CANTIDAD MINIMA DE NUMEROS NO
CIFRABLES
Para que la cantidad de números no cifrables sea la mínima posible, es decir 9,
deberemos elegir la clave pública e de forma que:
( ) ( ) mcd e 1, p 1 2 y mcd e 1, q 1 2 − − = − − =
[ ][ ] 1 2 1 2 9
n
σ = + + =
Entonces:
Esto se logra usando primos seguros:
p 2r 1 y q 2r’ 1 = + = + con r, r’, p y q primos grandes
Ya que: ( ) ( ) ( )
mcd e 1, p 1 mcd e 1, 2r 1 1 mcd 2 − − = − + − ⇒ = o bien r
( ) ( ) ( )
mcd e 1, p 1 mcd e 1, 2r 1 1 mcd 2 − − = − + − ⇒ = o bien r’
Luego: ( ) ( ) ( ) ( ) { }
n 9, 3 r 1 , 3 r’ 1 , r 1 r’ 1 σ = + + + +

Hay que comprobar en diseño que no se den valores del mcd igual a r o r’ pues
tendríamos un número muy alto de este tipo de mensajes.
Además, observe que si e p 3p y si e q 3q.
n n
σ σ = ⇒ = = ⇒ =


Ejemplo 11: Cantidad máxima de números no cifrables
En el peor de los casos, ( ) ( ) mcd e 1, p 1 p 1 y mcd e 1, q 1 q 1 − − = − − − = −
Entonces: ( ) ( ) n [1 mcd e 1, p 1 ][1 mcd e 1, q 1 ] σ = + − − + − −
n p*q n ... σ = = Todas las cifras quedarían sin cifrar
Por lo tanto, cualquier número en el cuerpo n 221 = será no cifrable para la clave
pública e = 49. Compruebe que en este caso esto se cumple si
( ) ( ) e n / k 1 k 2 y 4 φ = + = es decir e = 97 y 49.
Nunca podrá usarse ( ) e n / 2 1 φ = + ya que la clave de descifrado será igual a 1 y
por lo tanto no será cifrable ningún número de n.

106

Ejemplo 12: NNC por mala elección de la clave e =
Sea p = 101, q = 761, n = 76.861. Luego ( ) n 100*760 76.000 φ = =
Algunos valores de e válidos como clave pero relacionados con ( ) : n Φ
( ) e n / 2 1 38.001 76.861 = Φ + = ⇒ NNC (100 %)
( ) e n / 4 1 19.001 76.861 = Φ + = ⇒ NNC (100 %)
( ) e n / 5 1 15.201 76.861 = Φ + = ⇒ NNC (100 %)
( ) e n / 8 1 9.501 38.481 = Φ + = ⇒ NNC (50 % aprox.)
( ) e n / 10 1 7.601 76.861 = Φ + = ⇒ NNC (100 %)
( ) e n / 16 1 4.751 9.741 = Φ + = ⇒ NNC (12,5 % aprox.)
( ) e n / 19 1 4.001 4.141 = Φ + = ⇒ NNC (5 % aprox.)
( ) e n / 20 1 3.801 76.861 = Φ + = ⇒ NNC (100 %)
( ) e n / 50 1 1.521 15.981 = Φ + = ⇒ NNC (20 % aprox.)
( ) e n / 100 1 761 15.981 = Φ + = ⇒ NNC (20 % aprox.)
( ) e n / 1.000 1 77 385 = Φ + = ⇒ NNC (0,5 % aprox.)
4.1.16 CONFIDENCIALIDAD EN INTERCAMBIO DE
CLAVE
A diferencia del número de claves privadas parejas, por lo general un número
relativamente bajo y distribución generalmente en torno a 2n bits, la cantidad de
números no cifrables es mucho mayor y en ciertos casos puede llegar a ser todo el
cuerpo de cifra.
No obstante en este nuevo escenario la utilización actual de este tipo de cifra con
clave pública de destino está en el intercambio de una clave de sesión de corta duración,
por lo que la confidencialidad de dicha clave no está en compromiso en tanto es
computacionalmente imposible un ataque por fuerza bruta a ella durante el corto tiempo
de validez de la misma.
107

El único problema es que sería fácilmente detectable pues si la cifra de mod
e
K n se
envía en claro, el resultado será un número K de 128 bits en un cuerpo de cifra de 1.024
bits... habrá centenas de ceros.
Firmas digitales no cifrables
¿Hay algún problema con la firma digital no cifrable?
Si la cantidad de números no cifrables con la clave pública (tema confidencialidad) es
alto, también lo será en igual proporción el de números no cifrables con la clave privada
(tema autenticidad).
En este caso, significa que el hash de la firma del mensaje dentro del cuerpo de cifra n
iría en claro. Aunque el hash sea de 128 bits (MD5) ó 160 bits (SHA1) y se cifre con la
clave privada del emisor y luego se reduzca al cuerpo de cifra de 1.024 bits, la cifra irá
en claro por lo que se podría apreciar claramente al tener esa cifra tener sólo una
centena de bits significativos... y muchos ceros a la izquierda.
Como mucho esto puede dar pistas al criptoanalista en cuanto a que la clave del emisor
podría no ser óptima y, por lo tanto, animarle a intentar otros tipos de ataques por la
cifra de otros números en claro.
4.1.17 ATAQUE AL SECRETO DE N POR CIFRADO
CICLICO
Un nuevo problema: se puede encontrar el número en claro N sin necesidad de
conocer d, la clave privada del receptor.
Como mod
e
C N n ≡ , realizaremos cifrados sucesivos de los criptogramas Ci
resultantes con la misma clave pública hasta obtener nuevamente el cifrado C original.
( )
1
Ci C mod n i 1, 2, ... con C C
e
i o −
≡ = =
Si en el cifrado iésimo se encuentra el criptograma C inicial, entonces es obvio que el
cifrado anterior (i-1) será el número buscado. Esto se debe a que RSA es un grupo
mutiplicativo. Para evitarlo hay que usar primos seguros de forma que los subgrupos de
trabajo sean lo suficientemente altos.
Ejemplo 13 : ataque por cifrado cíclico
Sea p = 13, q = 19, n = 247, ( ) n 216, e 29 Φ = = (d = 149, no conocido)



108

El número a cifrar será
29
M 123 C 123 mod 247 119 = ⇒ ≡ =
I
C
i

i = 0
C 119
o
=
i = 1
29
1
C 119 mod 247 6 ≡ ≡
i = 2
29
2
C 6 mod 247 93 ≡ ≡
i = 3
29
3
C 93 mod 247 175 ≡ ≡
i = 4
29
4
C 175 mod 247 54 ≡ ≡
i = 5
29
5
C 54 mod 247 123 ≡ ≡
i = 6
29
6
C 123 mod 247 119 ≡ ≡

En este paso aún no lo sabemos.
El ataque ha prosperado muy rápidamente: como hemos obtenido otra vez el
criptograma C = 119, es obvio que el paso anterior con C = 123 se correspondía con el
texto en claro. ¿Y si usamos primos seguros?.
Ejemplo 14 : ataque por cifrado cíclico y primos seguros.
Sea p = 11, q = 23, n = 253, ( ) n 220, e 17 Φ = = (d = 134, no conocido)
El número a cifrar será
17
M 123 C 123 mod 253 128 = ⇒ ≡ =

I
C
i

i = 0
0
C 128 =
i = 1
17
1
C 128 mod 253 6 ≡ ≡
i = 2
17
2
C 6 mod 253 173 ≡ ≡
i = 3
17
3
C 173 mod 253 101 ≡ ≡
i = 4
17
4
C 101 mod 253 95 ≡ ≡
i = 5
17
5
C 95 mod 253 39 ≡ ≡
i = 6
17
6
C 39 mod 253 96 ≡ ≡
i = 7
17
7
C 96 mod 253 2 ≡ ≡
i = 8
17
8
C 2 mod 253 18 ≡ ≡
i = 9
17
9
C 18 mod 253 215 ≡ ≡
i = 10
17
10
C 215 mod 253 151 ≡ ≡
i = 11
17
11
C 151 mod 253 167 ≡ ≡
i = 12
17
12
C 167 mod 253 150 ≡ ≡

109

i = 13
17
13
C 150 mod 253 193 ≡ ≡

i = 14
17
14
C 193 mod 253 118 ≡ ≡

i = 15
17
15
C 118 mod 253 200 ≡ ≡

i = 16
17
16
C 200 mod 253 73 ≡ ≡

i = 17
17
17
C 73 mod 253 94 ≡ ≡

i = 18
17
18
C 94 mod 253 41 ≡ ≡

i = 19
17
19
C 41 mod 253 123 ≡ ≡

i = 20
17
20
C 123 mod 253 128 ≡ ≡



Para n=253 se ha tenido que recorrer un espacio mucho mayor que en el caso anterior

4.1.18 LA PARADOJA DEL CUMPLEAÑOS.

El próximo ataque a la clave privada estará basado en este problema.
Pregunta: ¿Cuál será la confianza (probabilidad > 50%) de que en un aula con 365
personas -no se tiene en cuenta el día 29/02 de los años bisiestos- dos de ellas al azar
estén de cumpleaños en la misma fecha?
Solución: Se escribe en la pizarra los 365 días del año y las personas entran al aula de
uno en uno, borrando el día de su cumpleaños de la pizarra. Para alcanzar esa confianza
del 50%, basta que entren sólo 23 personas al aula. Este es un valor muy bajo, en
principio inimaginable y de allí el nombre de paradoja, aunque matemáticamente no lo
sea.
Explicación: El primero en entrar tendrá una probabilidad de que su número no esté
borrado igual a n/n = 1, el segundo de (n-1)/n, etc. De esta manera, la probabilidad de
no coincidencia será ( ) p !/ !
k
nc
n n k n = − . Para k = 23 se tiene
nc
p = 0,493 y así la
probabilidad de coincidencia será igual a
c
p = (1-
nc
p ) = 0,507, que es mayor que 0,5.
4.1.19 ATAQUE A LA CLAVE POR PARADOJA DEL
CUMPLEAÑOS
Algoritmo propuesto por Merkle y Hellman en 1981:
El atacante elige dos números aleatorios distintos i, j dentro del cuerpo de cifra n. Lo
interesante es que elige, además, un mensaje o número N cualquiera.
110

Para i i 1 y para j j 1 calcula N mod n y N mod n.
i i
= + = +
Cuando encuentra una coincidencia de igual resultado de cifra para una pareja (i, j), será
capaz de encontrar d
Ejemplo 15: de ataque paradoja cumpleaños
Sea p = 7; q = 13, n = 91, e = 11, d = 59.
El atacante sólo conoce n = 91 y e = 11. Partirá con el número N = 20 y elegirá los
valores i = 10 y j = 50.
i
C
i

i = 10
10
10
C 20 mod 91 43 ≡ ≡
i = 11
11
11
C 20 mod 91 41 ≡ ≡
i = 12
12
12
C 20 mod 91 1 ≡ ≡
i = 13
13
13
C 20 mod 91 20 ≡ ≡
i = 14
14
14
C 20 mod 91 36 ≡ ≡
i = 15
15
15
C 20 mod 91 83 ≡ ≡
i = 16
16
16
C 20 mod 91 22 ≡ ≡
i = 17
17
17
C 20 mod 91 76 ≡ ≡

j
C
i

j = 50
50
50
C 20 mod 91 36 ≡ ≡
j = 51
51
51
C 20 mod 91 83 ≡ ≡
j = 52
52
52
C 20 mod 91 22 ≡ ≡
j = 53
53
53
C 20 mod 91 76 ≡ ≡
j = 54
54
54
C 20 mod 91 64 ≡ ≡
j = 55
55
55
C 20 mod 91 6 ≡ ≡
j = 56
56
56
C 20 mod 91 29 ≡ ≡
j = 57
57
57
C 20 mod 91 34 ≡ ≡

Hay una colisión en el paso quinto al coincidir el valor C = 36 en el contador i que ya
había aparecido en contador j. Observe los valores repetidos.
Con los valores de i, j y el desplazamiento observado en uno de ellos cuando se
detecta la colisión (i = 14), se establece un conjunto de ecuaciones y, si el ataque
prospera, obtenemos la clave privada, una clave privada pareja, o bien un valor de clave
privada particular que sólo sirve para descifrar el número elegido (aquí el 20) y no un
número genérico. En este caso se hablará de un falso positivo.
111

Resultado del ataque paradoja cumpleaños
La primera coincidencia se encuentra para i = 14; j = 50. Así, el atacante conociendo la
clave pública e = 11, calcula:
w = (14-50) / mcd (11, |14-50|) = -36 / mcd ( 11, 36) = - 36.
Entonces deberán existir valores s, t de forma que se cumpla lo siguiente:
w*s e*t 1 36*s 11*t 1 + = ⇒ − + =
Las posibles soluciones a la ecuación son: w*s mod e = 1; e*t mod w = 1
( ) ( ) 36*s 1 mod11 s inv 36,11 inv 8, 11 7 − = ⇒ = − = =
( ) 11*t 1 mod36 t inv 11, 36 23 = ⇒ = =
El valor t = 23 será una clave privada pareja de d = 59. Compruebe que se verifica
w*s + e*t = 1 y que las claves parejas son 11, 23, 35, 47, 71 y 83.
Nota: como este algoritmo parte con valores aleatorios de los contadores i, j (i deberá
ser el menor posible y j la mitad del cuerpo de cifra) y del número N (en el ejemplo 20)
no siempre prospera el ataque, es decir será no determinista. En ese caso, es posible que
cambiando el valor de N sí se logre el objetivo buscado.
4.1.20 ATAQUE QUE ENTREGA ALGUNA CLAVE
PAREJA
Normalmente el ataque rompe la clave privada o una clave privada pareja; sin
embargo, se darán situaciones especiales.
Sea p = 11, q = 31, e = 13. Entonces d = 277 y las claves privadas parejas son: 7, 37,
67, 97, 127, 157, 187, 217, 247, 307, 337.
Observe la diferencia constante igual a ( ) / 10 30 n Φ = .
Se realiza el ataque con el software genRSA tomando valores de N desde 2 hasta 50,
partiendo el contador i en 3 y j en n/2.
Para N = 2 encuentra d’ = 157; para N = 3 encuentra d’ = 97; para N = 4 encuentra d’ =
127; para N = 5 encuentra d’ = 127; para N = 6 encuentra d’ = 97;... etc.
Para N = 32 encuentra d’ = 13, una solución falsa.
Para d’ = 13 el programa realiza 2 iteraciones, para d’ = 127 realiza 3, para d’ = 157
realiza 4 y para d’ = 97 realiza 14.

112

4.1.21 ATAQUE QUE ENTREGA LA CLAVE PRIVADA
En función de los parámetros de la clave, a veces se encuentra para muchos valores de
N casi siempre la clave privada d.
Sea p = 191, q = 211, e = 31. Entonces d = 12.871 y hay 9 claves privadas parejas.
Se realiza el ataque con el software genRSA tomando valores de N desde 2 hasta 50,
partiendo el contador i en 3 y j en n/2.
Para casi todos los valores de N encuentra la clave privada d.
Para N = 7, 39, 49 encuentra d’ = 1.951, para N = 14 encuentra d’ = 13.668 y para N =
23 encuentra d’ = 18.191, todas falsas.
Sea ahora p = 241, q = 251, e = 11. Entonces d = 49.091 y hay 9 claves privadas
parejas.
Aunque aquí casi siempre encuentra el valor d’ = 19.091 como clave privada pareja
válida, si usamos N = 36 el programa nos da como solución el valor d’ = 0, obviamente
un falso positivo.
¿Podría darse un ataque distribuido?
El ataque basado en la paradoja del cumpleaños no sería factible realizarlo en un solo
PC por la alta complejidad computacional.
... pero bien podría pensarse en un algoritmo distribuido, de forma que un computador
hiciera las veces de servidor y todos los demás (... tal vez varios cientos de miles)
actuaran como clientes.
El servidor tendría como función distribuir trozos de cifra entre los clientes en
diferentes intervalos de valores i, j como los del ejemplo anterior y, además, recibir los
resultados de los clientes para detectar colisiones. Esta última función será la más
crítica.
Supuestamente este ataque llevaría un tiempo menor que el de factorizar el valor de n,
para así encontrar la clave privada.
Si bien no está demostrado la factibilidad real en tiempo de cómputo de esta opción, el
hecho de que un certificado digital, y por ende la clave privada, tenga una validez de un
año podría ser un motivo de preocupación... siempre sin caer en paranoias.



113

4.2 ATAQUE A LA CLAVE DIFFIE Y HELLMAN

4.2.1 ¿PUEDE UN INTRUSO ATACAR LA CLAVE DH?

Un intruso que conozca las claves públicas p y α e intercepte el valor mod p
a
α que
ha enviado A y el valor mod p
b
α que ha enviado B no podrá descubrir los valores de
a, de b y ni menos mod p ...
ab
α
Salvo que se enfrente al Problema del Logaritmo Discreto (PLD) que, como ya hemos
visto, se vuelve computacionalmente intratable para valores del primo p grandes.

4.2.2 SEGURIDAD DEL INTERCAMBIO DE CLAVE DE
DH
La seguridad del intercambio de clave de Diffie y Hellman radica en la imposibilidad
computacional a la que se enfrentará el criptoanalista al tener que resolver el problema
del logaritmo discreto para encontrar la clave privada que se encuentra en el exponente
de la expresión mod p C.
i
α ≡
Como p y α serán públicos, al capturar el valor C el atacante deberá resolver
i log C mod p,
α
= un problema no polinomial (debido a la operación final dentro del
módulo p) que para valores grandes de p (del orden o superior a los 1.000 bits) resulta
computacionalmente imposible encontrar su solución.
El algoritmo propuesto inicialmente es vulnerable ante un ataque del tipo “man in the
middle” como veremos a continuación. No obstante, esta vulnerabilidad puede evitarse.

4.2.3 ¿ES VULNERABLE EL PROTOCOLO DE DH?
A elige un número a con 1 < a < p-1 y envía a B mod p
a
α
C intercepta este valor, elige un número c con 1 < c < p-1 y envía a B mod p
c
α B elige
un número b con 1 < b < p-1 y envía a A mod p
b
α
C intercepta este valor y envía a A mod p
c
α (valor anterior)
114

A y B calculan sus claves k ( ) mod p, k ( )b mod p
c a c
A B
α α = =

C calcula también las claves:
k ( ) mod p
A
a c
C
α =
k ( ) mod p
B
b c
C
α =
Por lo tanto, a partir de ahora C tiene “luz verde” y puede interceptar todos los mensajes
que se intercambian A y B.

4.2.4 INTERCAMBIO DE CLAVE DH ENTRE n
USUARIOS

El protocolo DH se puede generalizar para n usuarios: sea n = 3.
A, B y C seleccionan un grupo p y un generador α
A genera un número aleatorio a y envía mod p a B
a
α
B genera un número aleatorio b y envía mod p a C
b
α
C genera un número aleatorio c y envía mod p a A
c
α
A recibe mod
c
α p y calcula ( ) mod
c a
α p y se lo envía a B
B recibe mod
a
α p y calcula ( ) mod
a b
α p y se lo envía a B
C recibe mod
b
α p y calcula ( )
b c
α mod p y se lo envía a A
A recibe mod
bc
α p y calcula ( ) mod p mod p
bc a bca
α α =
B recibe mod
ca
α p y calcula ( ) mod p mod p
ca b cab
α α =
C recibe mod
ab
α p y calcula ( ) mod p mod p
ab c abc
α α =
El secreto compartido por A, B y C es el valor mod p
abc
α


115

4.2.5 CONDICIONES DEL INTERCAMBIO DE CLAVE
D-H
1) El módulo p debe ser un primo grande, al menos de 1.024 bits.
2) Interesa que el Indicador de Euler ( ) p 1, n Φ = − , además del valor 2, tenga
factores primos grandes.
3) El generador α debe ser una raíz primitiva del módulo p.
Si el módulo es un primo pequeño, se puede hacer un ataque por fuerza bruta dentro de
un tiempo razonable.
Si el generador no es una raíz primitiva del grupo p, entonces la operación
mod p (1 i p 1)
i
α ≤ ≤ − no genera todos los restos del grupo y esto facilita el ataque
por fuerza bruta.

4.2.6
RAIZ α INCORRECTA (falsa)


MALA ELECCIÓN DE LOS PARÁMETROS:
Sean el grupo de trabajo p = 13 y un valor α = 3 ... entonces

1
3 mod 13 ≡ 3
2
3 mod 13 ≡ 9
3
3 mod 13 ≡ 1
4
3 mod 13 ≡ 3
5
3 mod 13 ≡ 9
6
3 mod 13 ≡ 1
7
3 mod 13 ≡ 3
8
3 mod 13 ≡9
9
3 mod 13 ≡ 1

10
3 mod 13 ≡ 3
11
3 mod 13 ≡ 9
12
3 mod 13 ≡ 1

Se repiten los restos 3, 9 y 1 porque 3 no es un generador de
13
ℤ . Observe que:
. ( ) ( )
1 1
4 3
3 mod 13 (3 ) 3 mod 13 1* 3 mod 13 3 = = =
Un ataque por fuerza bruta deberá buscar sólo en una tercera parte del espacio de claves
y, lo que es peor, la probabilidad de éxito de encontrar un valor verdadero
b en mod p
b
α aumenta de 1/12 a 1/3.

116



4.2.7 RAIZ α CORRECTA

1
2 mod 13 ≡ 2
2
2 mod 13 ≡ 4
3
2 mod 13 ≡ 8

4
2 mod 13 ≡ 3
5
2 mod 13 ≡ 6
6
2 mod 13 ≡ 12

7
2 mod 13 ≡ 11
8
2 mod 13 ≡ 9
9
2 mod 13 ≡ 5
10
2 mod 13 ≡ 10
11
2 mod 13 ≡ 7
12
2 mod 13 ≡ 1

Ahora sí están todos los restos multiplicativos del cuerpo
13
ℤ porque el resto 2 es un
generador dentro de este cuerpo.
Observe que el valor unidad sólo se obtiene para
1
mod
p
p α

.
Como vimos en el capítulo de Teoría de Números, en p = 13 serán generadores los
valores g = 2, 6, 7, 11.

4.3. ATAQUE AL CRIPTOSISTEMA DE EL
GAMAL
Al presentar el criptosistema de El Gamal, hemos mencionado al forma en que un
usuario elabora su clave secreta y su clave privada.
Un escucha, S, que quisiera romper el protocolo anterior, conocería
, , , ,
a b v
G n α α α
y
m.
vb
α
Y debería calcular m. Este problema se conoce como el problema de El Gamal
(El Gamal Problem, EGP). Es fácil ver que la seguridad de este criptosistema es
equivalente a la del cambio de clave de Diffie-Hellman; por tanto, la seguridad del
criptosistema de El Gamal está basada en la dificultad del logaritmo discreto.
Al analizar los diferentes tiempos de computación para determinados algoritmos,
surge la dificultad de calcular logaritmos discretos en un cuerpo finito . Por ahora baste
decir que el ataque contra el criptosistema de El Gamal, hoy por hoy, se considera
intratable, dado que los mejores tiempos de computación para calcular logaritmos
discretos son de tipo subexponencial .

117

4.4 CONCLUSIONES Y RECOMENDACIONES

4.4.1 CONCLUSIONES

1) A lo largo del desarrollo de la presente se ha podido constatar que la seguridad de la
información cada día más se apoya en métodos numéricos que permitan la transmisión
segura así como la salvaguarda de información sensible.

2) la mayoría de dichos métodos se basan en la aritmética modular y en el problema
computacional que implica la factorización en números primos grandes en tiempo
razonable, dicho problema actualmente genera una especie de carrera entre los sistemas
de cómputo y los algoritmos cuyo objetivo es encriptar la información y aquellos que
por razones obvias desean lo contrario.

3) Esta situación ha generado un sinnúmero de métodos y contra métodos que intentan
dar o quitar seguridad a la información encriptada, no obstante, considero que el
problema de la factorización en números primos grandes no será resuelta en forma
computacional (habida cuenta de que si los crackers logran tener computadoras que
factoricen mas rápido ello implica que quienes encriptan tendrán a su disposición
computadoras que generen números más grandes).

4) Es por ello que una posible solución al problema de factorizar números grandes en
tiempo razonable debería venir por alguna ampliación en el campo de la teoría de
números , tal como por ejemplo, las curvas modulares elípticas las cuales fueron la base
fundamental para lograr resolver el último teorema de Fermat.

5) Debido a que el campo de la criptografía se ha vuelto muy dinámico aquellas
personas que necesiten la aplicación de dichos métodos de encriptación deberán estar
muy al tanto de los últimos avances tanto a nivel de capacidad de cómputo como de los
nuevos descubrimientos en la teoría de números en vista de que cualquier avance en
dichos campos podría dejar obsoleto algún sistema de encriptación considerado seguro
con las consecuencias que dicho desfase de información tendría.

118


4.4.2 RECOMENDACIONES

1) La criptografía y el criptoanálisis han demostrado su utilidad a lo largo de la historia
humana y así seguirá siendo, por lo tanto es importante mantenerse actualizado tanto
como sea posible en dichos campos.

2) En la universidad deberían dictarse talleres y conferencias al respecto con el fin de
incentivar el interés sobre este desafiante campo a la nueva generación de matemáticos
que egresaran de ella.

3) Un sistema de seguridad es tan importante como aquello que salvaguarda por lo que
debe existir un interés especial por este campo en aquellas instituciones que descansan
sobre el secreto en la transmisión o salvaguarda de datos sensibles (como por ejemplo
los bancos y instituciones de tipo militar) las cuales debería prestar su concurso y
medios para desarrollar sistemas de encriptación propios y no utilizar sistemas foráneos
que en caso de conflicto armado serian fácilmente utilizados en su propia contra.

4) En vista de que el tema es muy amplio y abarca el concurso de muchas
especialidades diferentes sería conveniente seleccionar estudiantes aventajados que
formen grupos de estudio e investigación en este campo bajo el auspicio de la
universidad.

5) El presente trabajo no representa un estudio exhaustivo del tema de hecho muchos
métodos y estudios fueron obviados por razones de tiempo y alcance, por lo que sería
conveniente que otros estudiantes del área abarcaran dichos aspectos en sus trabajos de
grado a los fines de complementar y ampliar los primerísimos aspectos de la
criptografía aquí presentados.




BIBLIOGRAFIA

AYRES, F.(1991). Álgebra Moderna. McGraw-Hill. México,.
Berry, T.(1992).CODIFICACION Y CRIPTOGRAFIA V escuela venezolana de
matemáticas Caracas Venezuela.
Caballero, P.(2002). INTRODUCCIÓN A LA CRIPTOGRAFÍA. SEGUNDA
EDICIÓN Editorial Ra-Ma, Textos Universitarios, Madrid.
Fúster,A., De la Guía D., Hernández L., Montoya,F.,Muñoz,J.(2004).TÉCNICAS
CRIPTOGRÁFICAS DE PROTECCIÓN DE DATOS. TERCERA EDICIÓN
Editorial Ra-Ma.
Herstein,I.(1990).ALGEBRA MODERNA: GRUPOS, ANILLOS, CAMPOS,
TEORIA DE GALOIS. México Editorial Trillas .
Lucena, J. (1999). CRIPTOGRAFIA Y SEGURIDAD EN COMPUTADORES.
Departamento de Informática Escuela Politécnica Superior Universidad de
Jaén.
Menezes, A., Oorsschof, P., Vanstone, S.(1997).HANDBOOK OF APPLIED
CRYPTOGRAPHY CRC Press Inc. Extraído el 15 de Diciembre de 2007 desde
http://www.cacr.math.uwaterloo.ca/hac/
Ramió, J.(2005). LIBRO ELECTRONICO DE SEGURIDAD INFORMATICA Y
CRIPTOGRAFIA VERSION V 4.0 Universidad Politécnica de Madrid.
Tena,J.(1995).CURVAS ELIPTICAS EN CRIPTOGRAFIA VIII escuela
venezolana de matemáticas Caracas Venezuela.