Professional Documents
Culture Documents
Cripto 2
Cripto 2
1
Problemas de la Clave Secreta
2
Criptografía de Clave Pública
3
Criptografía de Clave Pública
RSA
4
Cambio de clave Diffie-Hellman (1)
5
Cambio de clave Diffie-Hellman (2)
6
Seguridad del cambio de clave Diffie-
Hellman (3)
7
Ejemplo de cambio de clave Diffie-Hellman
(1)
9
Criptosistema RSA: claves (1)
Generación de claves:
10
Criptosistema RSA: claves (2)
Generación de claves :
11
Criptosistema RSA: cifrado y descifrado
Cifrado:
1. B obtiene la clave pública de A: (n, e).
12
Criptosistema RSA: cifrado y descifrado
Descifrado:
13
Criptosistema RSA: seguridad
14
Ejemplo de RSA
Determinación de la clave
15
Ejemplo de RSA
Determinación de la clave
16
Ejemplo de RSA
Cifrado del mensaje
21
Ejemplo de RSA real: determinación de la clave
Elegimos dos números primos de 512 bits cada uno:
p= 99139 39965 46089 30824 88909 93861 03286 96951
12542 27785 63290 53802 69243 59622 97966 62570
51166 31784 15643 33030 16752 83735 31885 76891
66571 64285 73232 22921 38706 46645 4667
q= 13136 91819 25708 96843 02581 72409 47022 42864
58333 11752 43481 96993 06139 88470 36911 06258
28665 95507 45575 89427 96421 73663 31154 90105
78349 59036 89416 42907 63853 18510 41021
22
Ejemplo de RSA real: determinación de la clave
23
Ejemplo de RSA real: determinación de la clave
Calculamos ahora (n)
(n) = 13023 86182 92318 89502 81446 21088 35570 66154
05574 73331 40682 54739 98959 56538 57163 11615
41258 54863 46136 57472 70014 83693 94664 97674
40264 93450 88904 88932 37197 32536 99621 55436
08140 90954 33158 91752 02824 75927 58318 51855
25756 53877 77904 98939 17269 60590 99043 70901
35345 34755 41723 90985 14659 94363 88023 86692
77788 52514 85590 27820 73639 9320
24
Ejemplo de RSA real: determinación de la clave
Como exponente de cifrado elegimos e = 65537 = 216+1, mientras
que el exponente de descifrado es:
d= 16516 06202 03467 10050 48918 84868 90218 92489
18279 99581 50695 43180 80680 06590 48611 11408
16546 34751 39652 57374 55344 81434 97422 92471
72748 50400 58881 01914 48242 51509 06748 05656
23580 43535 93387 51598 50264 21324 46463 09835
51972 56416 71447 94037 48482 18482 95184 74535
17075 11535 81529 12320 91084 24120 45236 48596
01095 63033 24342 09716 36483 433
25
Ejemplo de RSA real: cifrado del mensaje
Supongamos que el mensaje a transmitir utilizando la clave pública
(n,e) es:
“Hasta la fecha no se ha demostrado de forma rigurosa la
equivalencia entre resolver el problema de la factorización y
romper el criptosistema RSA.”
Para transformar el mensaje en un número menor que el módulo
RSA y primo con él, se utiliza la base 256 dada por los valores
ASCII de los caracteres que componen el mensaje. Como la
longitud del mensaje no puede ser mayor que el módulo RSA, se
analiza si es preciso trocear el mensaje.
26
Ejemplo de RSA real: cifrado del mensaje
m1 = 34591 23054 20684 92221 54004 31463 55718 40131
28
Ejemplo de RSA real: cifrado del mensaje
29
Ejemplo de RSA real: descifrado del mensaje
30
Precursores de la criptografía de clave pública y
del RSA
1976: Protocolo de cambio de clave de Diffie-Hellman
1978: Criptosistema RSA
1997: Criptógrafos del Cuartel General de Comunicaciones del
Gobierno Británico
1973 Cocks
1970 Ellis
1974 Williamson
31
Firma digital RSA
Sean (nB,eB) y dB las claves pública y privada de un usuario B y sean
(nA,eA) y dA las claves correspondientes del usuario A.
Si B quiere mandar junto con el criptograma c correspondiente al
mensaje m, su firma digital para dicho mensaje, el protocolo a seguir
es:
32
Firma digital RSA
33
Elección de los primos p y q.
34
Elección de los primos p y q.
MCD(p-1,q-1) debe ser pequeño.
p-1 y q-1 deben contener factores primos grandes.
p y q deben ser robustos.
35
.
36
Elección del exponente de descifrado d.
37
Mensajes inocultables.
38
Récord de factorización.
39
Récord de factorización.
40
Récord de factorización.
41
Récord de factorización.
http://www.npac.syr.edu/factoring/overview/RSAFCAList.txt
42
Número Dígitos Premio Fecha
RSA-200 200 9-5-2005
RSA-576 174 10000$ 3-12-2003
RSA-640 193 20000$ Abierto
RSA-704 212 30000$ Abierto
RSA-768 232 50000$ Abierto
RSA-896 270 75000$ Abierto
RSA-1024 309 100000$ Abierto
RSA-1536 463 150000$ Abierto
RSA-2048 617 200000$ Abierto
43
Consideraciones finales.
44
Criptosistema de ElGamal: claves
Generación de claves:
1. Se elige un número primo grande: p.
45
Criptosistema de ElGamal: claves
Generación de claves:
46
Criptosistema de ElGamal: cifrado y descifrado
Cifrado:
1. B obtiene la clave pública de A: (p, , a),
2. B representa el mensaje que quiere enviar, m, en el conjunto
{0, 1, ..., p – 1}, troceándolo si es preciso,
3. B genera un número aleatorio v, 0 < v < p – 1,
4. B calcula v (mod. p), y m ·(a)v (mod. p).
5. B envía a A el par (,).
47
Criptosistema de ElGamal: cifrado y descifrado
Descifrado:
1. A utiliza su clave privada, a, para calcular
a (v)a (mod. p) en G y su inverso p – 1 – a (mod. p)
48
Criptosistema de ElGamal: seguridad
49
Ejemplo ElGamal: determinación de la clave.
50
Ejemplo ElGamal: cifrado del mensaje.
51
Ejemplo ElGamal: cifrado del mensaje.
52
Ejemplo ElGamal: cifrado del mensaje.
53
Ejemplo ElGamal: descifrado del mensaje.
54
Ejemplo ElGamal: descifrado del mensaje.
55
Firma digital ElGamal.
56
Firma digital ElGamal.
57
Firma digital ElGamal.
Para conseguir la falsificación de la firma de A en el mensaje m,
un escucha tendría que resolver la ecuación
m =(a)r · rs
con las incógnitas r y s. Si fija r y trata de resolver la ecuación
en s se encontraría con un problema de logaritmo discreto,
mientras que si fija s e intenta resolver la ecuación para r se
encontraría con una congruencia exponencial mixta para la que
no hay algoritmo conocido (Problema de la firma digital de
ElGamal)
58
Problema del Logaritmo Discreto
Sea G un grupo multiplicativo cíclico de orden n. Dados un
generador g G, y un elemento e G, el problema del logaritmo
discreto (PLD) en G consiste en calcular un entero x , 0 x n - 1,
de modo que gx = e.
Este problema (computacionalmente difícil) es la base de varios
criptosistemas (cambio de clave de Diffie-Hellman, ElGamal) y de
varios esquemas de firma digital (ElGamal y Digital Signature
Standard, DSS).
59
Grupos para el PLD
Grupo multiplicativo de un cuerpo finito: Zp*.
Grupo multiplicativo de un cuerpo finito de característica 2.
Subgrupo propio del grupo multiplicativo de un cuerpo finito.
El grupo de las unidadades de Zn*, siendo n un entero
compuesto.
El grupo de puntos de una curva elíptica definida sobre un
cuerpo finito.
El jacobiano de una curva hiperelíptica definida sobre un
cuerpo finito.
60
Grupos para el PLD
Se puede resolver en PLD sobre Zp* en un tiempo subexponencial:
exp((1.923 + o(1))(log p)1/3(log log p)2/3), por lo que p debería
elegirse muy grande (210 bits), lo que lleva a problemas
computacionales (tiempo y espacio).
Se debe mantener la dificultad computacional del problema,
reducir el tamaño de las claves para utilizar menor tiempo de
computación y utilizar menor espacio físico (menor amplitud de
banda para facilitar la implementación en tarjetas inteligentes,
teléfonos móviles, localizadores personales, etc.)
61
Bibliografía (1)
W. Diffie and M. Hellman, New directions in Cryptography,
IEEE Trans. Inform. Theory 22 (1976), 644-654.
R. Durán Díaz, L. Hernández Encinas y J. Muñoz Masqué, El
criptosistema RSA, RA-MA, Madrid, 2005.
T. ElGamal, A public key cryptosystem and a signature scheme
based on discrete logarithms, IEEE Trans. Inform. Theory 31
(1985), 469-472.
A. Fúster Sabater, D. Guía Martínez, L. Hernández Encinas, F.
Montoya Vitini y J. Muñoz Masqué, Técnicas criptográficas de
protección de datos, RA-MA, Madrid, 3ª ed., 2004.
62
Bibliografía (2)
63
Esquema de la charla
1. Introducción
2. Identificación amigo-enemigo
3. Lanzamiento de una moneda por teléfono
4. Póquer por teléfono
5. El problema del millonario
6. Venta de secretos
7. Conocimiento nulo
8. Transferencia inconsciente
9. Intercambio de secretos
10. Firma de un contrato
11. Correo con acuse de recibo
12. Voto electrónico
13. Otros protocolos
64
Introducción: definición
Protocolo. (Del b. lat. protocollum, y este del gr.
πρωτκολλον). Plan escrito y detallado de un experimento
científico, un ensayo clínico o una actuación médica.
(Diccionario de la Real Academia Española de la Lengua)
Protocolo. Es el conjunto de acciones coordinadas que
realizan dos o más partes o entidades con el objeto de llevar a
cabo un intercambio de datos o información.
Los Protocolos criptográficos serán aquellos que cumplen
esta función usando para ello algoritmos y métodos
criptográficos.
Su objetivo es dar una solución a distintos problemas de la
vida real, especialmente aquellos en donde puede existir un
grado de desconfianza entre las partes.
65
Introducción: ejemplos
1.- El problema de la identificación del usuario
¿Cómo permitir que un usuario se identifique y autentique ante
una máquina -y viceversa- con una clave, password y no pueda
ser suplantado por un tercero?
66
Introducción: ejemplos
3.- El problema de la firma de contratos
¿Cómo permitir que dos o más usuarios que se encuentran
físicamente alejados puedan realizar la firma de un contrato,
asegurando que ninguno de los firmantes va a modificar las
condiciones ni negarse a última hora a dicha firma?
67
Introducción: ejemplos
5.- El problema del juego de póquer mental o por teléfono
¿Cómo permitir que dos o más usuarios puedan jugar a través de la
red una partida de póquer -o de cualquier otro juego de cartas - si
no están físicamente en una misma mesa de juego y asegurando, al
mismo tiempo, que ninguno de ellos va a hacer trampa?
68
Introducción: ejemplos
7.- El problema del esquema electoral o voto electrónico
¿Cómo realizar unas elecciones a través de una red, de forma que
pueda asegurarse que el voto es único y secreto, que los votantes y
mesas estén autenticados, y se pueda comprobar que el voto se
contabiliza adecuadamente?
70
Introducción: ejemplos
¿Cómo podemos calcular la edad media de un grupo de personas
sin conocer la edad de cada una de las personas?
...
A E1 ( A E1 ) E2 ... ( A E1 En1 ) En
A 103 ( A E1 En ) A
media
aleatorio n
71
Identificación Amigo-Enemigo
¿?
74
Lanzamiento de una moneda por
teléfono
A elige dos números primos grandes, p y q, y comunica su
producto, n = p·q, a B.
B elige un número aleatorio u (1, n/2), y comunica a A el valor
z = u2(mod n) .
A calcula las cuatro raíces de z módulo n: x, y. Si x e y son
los mínimos valores para x, y, respectivamente, se tiene que u
= x y v = y.
A hace la hipótesis de si u = x o u = y, es decir, halla el menor i
de modo que el i-ésimo bit de x es distinto del i-ésimo bit de y, y le
comunica a B su hipótesis: “el i-ésimo bit de u es 0” ó “el i-ésimo
bit de u es 1”.
75
Lanzamiento de una moneda por
teléfono
B responde a A si su hipótesis es correcta o no.
B da a conocer a A el número u.
A muestra a B la factorización de n.
Nota: A no puede saber el valor de u; por tanto, la probabilidad de
que su hipótesis sea cierta es del 50%. Si B quisiera hacer trampa
cambiando u después de conocer la hipótesis de A, es porque
conocería x e y, por lo que podría factorizar n. Para evitarlo A no
comunica x ó y a B, sino un solo bit de su hipótesis.
76
Póquer por teléfono
A elige sus cinco cartas, cj1,...,cj5, las cifra con su clave pública y
se las envía a B:
Ep (cj ) ,..., Ep (cj ) 78
A A 5
Póquer por teléfono
B descifra con su clave privada las 5 cartas y se las devuelve a A:
ESB(EpA(cj)) = EpA(cj) ,..., ESB(EpA(cj5)) = EpA(cj) .
79
El problema del millonario
Dos millonarios quieren saber cuál de los dos es más rico pero
sin que ninguno conozca la fortuna del otro.
Supongamos que FA es la fortuna de A y que FB es la fortuna de
B. Utilizaremos el criptosistema RSA para diseñar un protocolo
que permita llevar a cabo el deseo de los millonarios.
Supongamos, además, que FA, FB < 100.
80
El problema del millonario
Sean (nA, eA), dA y (nB, eB), dB las claves públicas y privadas de A
y B, respectivamente.
El protocolo es como sigue:
B elige un número aleatorio grande x, acotado por un valor
fijado de antemano, y lo cifra con la clave pública de A:
k x e mod n A .
A
81
El problema del millonario
A elige un número primo grande p < x , y calcula los números:
zi yi mod p , 1 i 100 .
Para cada uno de estos valores, A verifica que
zi z j 2
i , j i ,
0 zi p
83
Venta de secretos
Supongamos que A posee varios secretos para vender: s1,...,sk ,
e imaginemos que B quiere comprarle uno de ellos: sj .
El protocolo es como sigue:
A construye k criptosistemas RSA de claves (ni, ei) y di, de tal
forma que pi, qi ≡ 3 (mod 4).
85
Descubrimiento mínimo
Debemos convencer a una persona de que
poseemos cierta información secreta sin
revelarle nada de dicha información
(Conocimiento nulo)
86
Descubrimiento mínimo
A posee una información y desea convencer a B de ello, pero sin
darle tal información. Determinar cuál es la mínima cantidad de
información que A debe revelar a B para que este último se
convenza de que el primero posee la información que dice
El protocolo es como sigue:
A comunica a B que conoce la factorización del módulo RSA n =
p·q.
B elige un número entero aleatorio x y comunica a A el valor de
x4(mod n) .
A calcula las raíces cuadradas de x4(mod n) y comunica a B el
valor de una de ellas: x2(mod n) .
B comprueba que el valor enviado por A es una raíz cuadrada de
x4(mod n) , elevando al cuadrado tal valor.
87
Transferencia inconsciente
88
Transferencia inconsciente
Sin pérdida de generalidad podemos suponer que el secreto que
A posee es la factorización del módulo RSA, n = p·q.
El protocolo es como sigue:
B elige un número x y da a conocer a A el valor de x2 (mod n).
A calcula las cuatro raíces cuadradas de x2 (mod n), que son x
y y, y da a conocer sólo una de ellas, u, a B. (Obsérvese que A
no sabe cuál de ellas es x)
B comprueba si u es congruente con x (mod n). Si es así, B
no obtiene ninguna información nueva; en caso contrario, B
obtendría dos raíces cuadradas diferentes de n, y podría
factorizarlo.
A no sabe cuál de las dos situaciones es en la que se encuentra
B, por lo que no sabe si al final B consiguió o no el secreto.
89
Intercambio de secretos
90
Intercambio de secretos
El protocolo es como sigue:
A y B se ponen de acuerdo en el tamaño de sus claves RSA:
(nA, eA), dA, y (nB, eB), dB, de tal forma que pA, qA, pB, qB ≡ 3 (mod
4).
A y B cifran sus secretos y los intercambian con sus claves
públicas.
A y B eligen, respectivamente:
ai Z n A 1 / 2 , 1 i 100
bi Z n B 1 / 2 , 1 i 100
92
Firma de un contrato
93
Firma de un contrato
El protocolo es como sigue:
A y B se ponen de acuerdo en el tamaño de los módulos RSA
que van a utilizar y se intercambian sus respectivas claves
públicas: (nA, eA) y (nB, eB),
A envía a B un contrato firmado utilizando su firma digital
(es decir, firmado mediante su clave privada, dA), en el que
asegura que el contrato es válido si B sabe cómo factorizar nA.
B procede de manera análoga enviando su contrato firmado
digitalmente mediante su clave privada dB .
Una vez que cada participante ha leído el contrato firmado
digitalmente por la otra parte y ha verificado la firma digital,
se intercambian los factores primos de los respectivos módulos
haciendo uso del protocolo de intercambio de secretos. 94
Correo con acuse de recibo
Una persona A quiere enviar un correo, m, a
otra persona B, de modo que B pueda leer
dicho correo sólo si A obtiene la
confirmación de recepción por parte de B.
95
Correo con acuse de recibo
El protocolo es como sigue:
A envía a B su clave pública.
B envía a A su clave pública junto con el acuerdo firmado
digitalmente (con su clave privada) de que si A puede factorizar
nB, entonces B factoriza nA y obtiene cualquier correo, m, que
esté cifrado por A.
A y B se intercambian los factores primos de sus módulos
mediante el protocolo de intercambio de secretos.
Cuando B factoriza nA, puede leer el correo enviado por A.
Como A factoriza nB, obtiene el certificado firmado por B.
96
Voto electrónico
Todos tenemos de una u otra forma una idea
intuitiva, aunque quizás no completa, sobre
cómo se desarrolla un proceso electoral.
97
Voto electrónico
“Un esquema de votación electrónica es una aplicación
distribuida y constituida por un conjunto de mecanismos
criptográficos y protocolos que, de forma conjunta, permiten
que se realicen elecciones en una red de computadores, de
forma segura, incluso suponiendo que los electores legítimos
pueden tener un comportamiento malicioso.”
Andreu Riera
Tesis Doctoral
Universidad Autónoma de Barcelona, España, 1999.
98
Voto electrónico
Requisitos de un esquema electoral:
Sólo pueden votar quienes estén censados.
El voto debe ser secreto.
El voto debe ser único por cada votante.
Se contabilizarán todos los votos válidos.
El recuento parcial no debe afectar a votos que se emitan con
posterioridad.
Cada votante debe poder comprobar que su voto ha sido tenido
en cuenta en el escrutinio.
Se debe proteger el proceso contra ataques en red.
El proceso debe ser factible, práctico y, dentro de lo posible,
de uso universal. 99
Voto electrónico
Primera aproximación del voto electrónico
MCV = Mesa Central de Votación
El votante cifra su voto con la clave pública de MCV.
El votante envía su voto a la MCV.
La MCV descifra el voto y lo contabiliza.
La MCV hace público el resultado.
¿Qué problemas presenta este esquema? TODOS...
La MCV no sabe de dónde vienen los votos, si éstos son válidos o
no y si alguien vota más de una vez. Además puede conocer la
identidad del votante por lo que se vulnera el secreto del voto. Lo
único que aquí se protege es el secreto del voto ante terceros.
100
Voto electrónico
Segunda aproximación del voto electrónico
El votante firma su voto con su clave privada y lo cifra luego con
la clave pública de MCV.
El votante envía su voto a la MCV.
La MCV descifra el voto, lo contabiliza y hace público el
resultado.
¿Qué problema tenemos ahora?
En este nuevo esquema se satisface que cada votante autorizado
vote una sola vez, no obstante seguimos vulnerando el secreto del
voto ante la MCV.
101
Voto electrónico
Tercera aproximación del voto electrónico
El tercer esquema contempla dos mesas:
MCV = Mesa Central de Votación
MCL = Mesa Central de Legitimación
102
Voto electrónico
El protocolo es como sigue:
El votante A envía a la MCL el mensaje: “Buenos días, soy A
y vengo a votar”
La MCL verifica si A está censado. Si no es un votante
legítimo rechaza la solicitud. Si es legítimo, le envía un
número aleatorio de identificación único i(A) y le borra de la
lista para impedir que vuelva a votar.
Nota. El número i(A) debe ser mucho mayor que el número de
votantes. Por ejemplo, para un millón de votantes, unos 10100
números.
La MCL envía a la MCV la lista de números de validación.
103
Voto electrónico
El votante A escoge una identificación secreta s(A) y envía a la MCV
el mensaje formado por el trío [i(A), v(A), s(A), donde i(A) es su
identificación, v(A) es su voto y s(A) es su número secreto.
Nota. Puede generarlo internamente con su sistema de cifra. Será
también un valor de muchos dígitos.
La MCV verifica que el número i(A) de identificación se encuentra en
el conjunto N de los números censados y cruza los datos para evitar que
se vote más de una vez.
Seguidamente quita i(A) del conjunto N y añade s(A) al conjunto de
electores que han optado por la opción v(A).
La MCV contabiliza los votos y hace público el resultado, junto con la
lista de números secretos s(A) que han votado a la opción v(A).
104
Voto electrónico
Algunas consideraciones sobre este protocolo
Obsérvese que cada elector puede comprobar si su voto ha sido
contabilizado sin hacer pública su opción.
¿Qué pasa si MCV y MCL no son independientes?
Si las dos mesas, MCV y MCL, no tienen la idoneidad y la
integridad que se presume, la solución está en el uso de una
diversidad de esquemas más desarrollados que evitan esta
anomalía mediante protocolos, entre ellos ANDOS (All-or-
Nothing Disclosure Of Secrets) Distribución Anónima de
Números de Validación.
105
Voto electrónico
Otros esquemas de mesas electorales
Hay muchos otros esquemas con dos mesas, una única mesa e
incluso ninguna, cada uno con sus características propias. Entre
ellos tenemos:
- Modelo de Cohen y Fisher (1985)
- Modelo de Fujioka y otros (1992)
- Modelo de Park y otros (1993)
- Modelo de Sako y Killian (1995)
- Modelo de Borrel y Rifà (1996)
106
Voto electrónico
Estado del arte
Existen diversos modelos y esquemas, algunos de ellos
probados con éxito con un número reducido de electores.
No está todavía bien solucionado el problema de la protección
física y lógica de la red ante ataques masivos, denegación de
servicio, etc. Es el principal problema al que se enfrentan estos
esquemas, su difícil escalabilidad en sistemas grandes y
abiertos.
No obstante, el proceso de unas elecciones vía Internet
realizable, práctico y seguro en cuanto a la privacidad y
autenticidad, es completamente factible.
107
Otros protocolos: esquemas
umbrales
Existen otros protocolos criptográficos que no hacen uso de las
técnicas proporcionadas por la clave pública en su diseño, y no
por ello son menos importantes.
Entre ellos podemos señalar de manera destacada a los protocolos
para el reparto de secretos y, más concretamente, a los esquemas
(k, n)-umbrales.
Estos protocolos tienen un amplio abanico de aplicaciones:
• Apertura de cajas fuertes
• Lanzamiento de misiles
• Almacenamiento seguro de
claves criptográficas
108
Otros protocolos: esquemas
umbrales
Grosso modo, un esquema (k, n)-umbral para el reparto de un
secreto, S, es un procedimiento por el cual, a partir del secreto S
se computan n sombras, S1 ,..., Sn , de tal forma que para poder
recuperar el secreto original es necesario juntar, al menos, k de
dichas sombras y no menos. De hecho, si se juntaran k – 1
sombras no se obtendría ninguna información sobre el secreto S.
Las sombras son creadas por una persona de confianza mútua
(PCM).
El esquema se dice que es ideal cuando el tamaño de las
sombras es igual o inferior al tamaño del secreto.
El esquema (k, n)-umbral más famoso es el debido a Shamir
(1979) y está basado en la interpolación de Lagrange.
109
Otros protocolos: esquemas
umbrales
El esquema de Shamir es como sigue:
Sea SZ el secreto a ser repartido.
La PCM selecciona un primo p > max(S, n).
Selecciona de manera aleatoria los números enteros:
a1, a2,…,ak1 Zp .
112
Otros protocolos: criptografía visual
La imagen secreta no es más que rectángulo dividido en
pixeles,
Los pixeles que definen la imagen secreta son blancos y
negros.
114
Otros protocolos: criptografía visual
Obsérvese que:
Cada pixel de la imagen original da lugar a dos pixeles,
uno para cada sombra.
Los píxeles blancos pierden contraste al recuperar la
imagen original secreta.
La obtención del cuádruple pixel blanco-negro o negro-
blanco de la sombra tiene la misma probabilidad (p = 0'5), y
no depende del color del pixel original,
El proceso es aleatorio (lanzar una moneda) y los
resultados obtenidos en cada prueba son independientes (no
se obtiene información adicional si se observa un grupo de
píxeles en cualquiera de las sombras).
115
Otros protocolos: criptografía visual
Imagen original Imagen recuperada
lanzamientos
c c x x x c x c
x x c c x x x x
c c x x c c x c
c c x c x c c x
x x c c x c x c Sombras
x x c c x c x c
c x x c x x x c
c c c x x c c x 116
Otros protocolos: criptografía visual
117
Bibliografía
R. Durán Díaz, L. Hernández Encinas y J. Muñoz Masqué, El
criptosistema RSA, RA-MA, Madrid, 2005.
A. Fúster Sabater, D. Guía Martínez, L. Hernández Encinas,
F. Montoya Vitini y J. Muñoz Masqué, Técnicas criptográficas
de protección de datos, RA-MA, Madrid, 3ª ed., 2004.
A. Menezes, P. van Oorschot and S. Vanstone, Handbook of
applied Cryptography, CRC Press, Boca Raton, FL., 1997.
J. Ramió Aguirre. Seguridad informática y Criptografía.
Material docente de libre distribución. Madrid 2005
118