Cojín de una sola vez

Técnica de cifrado

Un formato de libreta de un solo uso utilizado por la Agencia de Seguridad Nacional de EE. UU. , cuyo nombre en código es DIANA. La tabla de la derecha es una ayuda para convertir entre texto sin formato y texto cifrado utilizando los caracteres de la izquierda como clave.

En criptografía , el bloc de un solo uso ( OTP ) es una técnica de cifrado que no se puede descifrar , pero requiere el uso de una clave precompartida de un solo uso que sea mayor o igual al tamaño del mensaje que se envía. En esta técnica, un texto sin formato se combina con una clave secreta aleatoria (también conocida como bloc de un solo uso ). Luego, cada bit o carácter del texto sin formato se cifra combinándolo con el bit o carácter correspondiente del pad mediante suma modular . ^[1]

El texto cifrado resultante será imposible de descifrar o descifrar si se cumplen las cuatro condiciones siguientes: ^{[2] [3]}

1. La clave debe ser al menos tan larga como el texto sin formato.
2. La clave debe ser aleatoria ( distribuida uniformemente en el conjunto de todas las claves posibles e independiente del texto sin formato), extraída en su totalidad de una fuente caótica y no algorítmica, como un generador de números aleatorios de hardware ; sin patrón, según la definición de Gregory Chaitin . ^[4] No es suficiente que las claves OTP pasen pruebas estadísticas de aleatoriedad, ya que dichas pruebas no pueden medir la entropía y la cantidad de bits de entropía debe ser al menos igual a la cantidad de bits en el texto sin formato. Por ejemplo, usar un algoritmo para generar datos aparentemente aleatorios permitiría a un atacante intentar descifrar el algoritmo de generación de números aleatorios. Los datos verdaderamente aleatorios, por definición, no se pueden predecir.
3. La clave nunca debe reutilizarse total o parcialmente.
4. La clave deberá ser mantenida en completo secreto por las partes comunicantes.

También se ha demostrado matemáticamente que cualquier cifrado con la propiedad de secreto perfecto debe utilizar claves con los mismos requisitos que las claves OTP. ^[5] Las naciones han utilizado versiones digitales de cifrados de bloc de un solo uso para comunicaciones diplomáticas y militares críticas , pero los problemas de distribución segura de claves los hacen poco prácticos para la mayoría de las aplicaciones.

Descrito por primera vez por Frank Miller en 1882, ^{[6] [7]} el bloc de notas de un solo uso se reinventó en 1917. El 22 de julio de 1919, se concedió la patente estadounidense 1.310.719 a Gilbert Vernam para la operación XOR utilizada para el cifrado de un cojín de una sola vez. ^[8] Derivado de su cifrado Vernam , el sistema era un cifrado que combinaba un mensaje con una clave leída de una cinta perforada . En su forma original, el sistema de Vernam era vulnerable porque la cinta clave era un bucle, que se reutilizaba cada vez que el bucle hacía un ciclo completo. El uso único llegó más tarde, cuando Joseph Mauborgne reconoció que si la cinta de claves fuera totalmente aleatoria, entonces el criptoanálisis sería imposible. ^[9]

La parte "bloc" del nombre proviene de las primeras implementaciones en las que el material clave se distribuía en forma de un bloc de papel, lo que permitía arrancar y destruir la hoja superior actual después de su uso. Para ocultarse, la almohadilla era a veces tan pequeña que se necesitaba una lupa poderosa para usarla. La KGB utilizaba almohadillas de tal tamaño que cabían en la palma de la mano ^[10] o en una cáscara de nuez . ^[11] Para aumentar la seguridad, a veces se imprimían almohadillas de un solo uso en láminas de nitrocelulosa altamente inflamable , para que pudieran quemarse fácilmente después de su uso.

Existe cierta ambigüedad en el término "cifrado Vernam" porque algunas fuentes usan "cifrado Vernam" y "bloque de un solo uso" como sinónimos, mientras que otras se refieren a cualquier cifrado de flujo aditivo como "cifrado Vernam", incluidos aquellos basados ​​en un cifrado criptográficamente seguro. Generador de números pseudoaleatorios (CSPRNG). ^[12]

Historia

Frank Miller fue el primero en describir en 1882 el sistema de bloc de un solo uso para asegurar la telegrafía. ^{[7] [13]}

El siguiente sistema de plataforma de un solo uso fue eléctrico. En 1917, Gilbert Vernam (de AT&T Corporation ) inventó ^[14] y posteriormente patentó en 1919 ( patente estadounidense 1.310.719 ) un cifrado basado en tecnología de teleimpresor . Cada carácter de un mensaje se combinaba eléctricamente con un carácter de una tecla de cinta de papel perforada . Joseph Mauborgne (entonces capitán del ejército estadounidense y más tarde jefe del Cuerpo de Señales ) reconoció que la secuencia de caracteres en la cinta de claves podía ser completamente aleatoria y que, de ser así, el criptoanálisis sería más difícil. Juntos inventaron el primer sistema de cinta de un solo uso. ^[12]

El siguiente desarrollo fue el sistema de bloc de papel. Los diplomáticos habían utilizado durante mucho tiempo códigos y cifras para mantener la confidencialidad y minimizar los costos del telégrafo . Para los códigos, las palabras y frases se convirtieron en grupos de números (normalmente de 4 o 5 dígitos) utilizando un libro de códigos similar a un diccionario . Para mayor seguridad, los números secretos se podían combinar (normalmente mediante una adición modular) con cada grupo de códigos antes de la transmisión, y los números secretos se cambiaban periódicamente (esto se denominaba supercifrado ). A principios de la década de 1920, tres criptógrafos alemanes (Werner Kunze, Rudolf Schauffler y Erich Langlotz), que participaban en descifrar tales sistemas, se dieron cuenta de que nunca podrían descifrarse si se utilizaba un número aditivo separado elegido al azar para cada grupo de códigos. Tenían cuadernos de papel duplicados impresos con líneas de grupos de números aleatorios. Cada página tenía un número de serie y ocho líneas. Cada línea tenía seis números de 5 dígitos. Una página se utilizaría como hoja de trabajo para codificar un mensaje y luego se destruiría. El número de serie de la página se enviaría con el mensaje codificado. El destinatario invertiría el procedimiento y luego destruiría su copia de la página. El Ministerio de Asuntos Exteriores alemán puso en funcionamiento este sistema en 1923. ^[12]

Una idea aparte era el uso de un bloque de letras de un solo uso para codificar texto sin formato directamente como en el siguiente ejemplo. Leo Marks describe cómo inventó un sistema de este tipo para el Ejecutivo de Operaciones Especiales británico durante la Segunda Guerra Mundial , aunque en ese momento sospechaba que ya era conocido en el mundo altamente compartimentado de la criptografía, como por ejemplo en Bletchley Park . ^[15]

El descubrimiento final lo realizó el teórico de la información Claude Shannon en la década de 1940, quien reconoció y demostró la importancia teórica del sistema de libreta de un solo uso. Shannon entregó sus resultados en un informe clasificado en 1945 y los publicó abiertamente en 1949. ^[5] Al mismo tiempo, el teórico de la información soviético Vladimir Kotelnikov había demostrado de forma independiente la seguridad absoluta de la libreta de un solo uso; sus resultados fueron entregados en 1941 en un informe que aparentemente permanece clasificado. ^[dieciséis]

También existe un análogo cuántico del One Time Pad, que se puede utilizar para intercambiar estados cuánticos a lo largo de un canal cuántico unidireccional con perfecto secreto, que a veces se utiliza en la computación cuántica. Se puede demostrar que se requiere un secreto compartido de al menos 2n bits clásicos para intercambiar un estado cuántico de n-qubits a lo largo de un canal cuántico unidireccional (por analogía con el resultado de que se requiere una clave de n bits para intercambiar n bits). mensaje con perfecto secreto). Un plan propuesto en 2000 logra este objetivo. Una forma de implementar este pad cuántico de un solo uso es dividiendo la clave de 2n bits en n pares de bits. Para cifrar el estado, para cada par de bits i en la clave, se aplicaría una puerta X al qubit i del estado si y sólo si el primer bit del par es 1, y se aplicaría una puerta Z al qubit i del estado. indique si y solo si el segundo bit del par es 1. El descifrado implica aplicar esta transformación nuevamente, ya que X y Z son sus propios inversos. Se puede demostrar que esto es perfectamente secreto en un entorno cuántico. ^[17]

Ejemplo

Supongamos que Alice desea enviar el mensaje helloa Bob . Supongamos que dos blocs de papel que contienen secuencias aleatorias idénticas de letras se produjeron previamente y se entregaron de forma segura a ambos. Alice elige la página apropiada no utilizada del bloc. La forma de hacerlo normalmente se determina con antelación, como por ejemplo "utilizar la hoja número 12 el 1 de mayo" o "utilizar la siguiente hoja disponible para el siguiente mensaje".

El material de la hoja seleccionada es la clave para este mensaje. Cada letra del bloc se combinará de forma predeterminada con una letra del mensaje. (Es común, pero no obligatorio, asignar a cada letra un valor numérico , por ejemplo, aes 0, bes 1, etc.)

En este ejemplo, la técnica consiste en combinar la clave y el mensaje mediante una suma modular , similar al cifrado Vigenère . Los valores numéricos del mensaje correspondiente y las letras clave se suman, módulo 26. Entonces, si el material clave comienza con XMCKLy el mensaje es hello, entonces la codificación se haría de la siguiente manera:

 hola mensaje 7 (h) 4 (e) 11 (l) 11 (l) 14 (o) mensajeTecla + 23 (X) 12 (M) 2 (C) 10 (K) 11 (L)= 30 16 13 21 25 mensaje + clave= 4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) (mensaje + tecla) mod 26 EQNVZ → texto cifrado

Si un número es mayor que 25, entonces el resto después de restar 26 se toma en forma aritmética modular. Esto simplemente significa que si los cálculos "pasan" Z, la secuencia comienza nuevamente en A.

El texto cifrado que se enviará a Bob es, por tanto EQNVZ, . Bob usa la página clave coincidente y el mismo proceso, pero a la inversa, para obtener el texto sin formato . Aquí la clave se resta del texto cifrado, nuevamente usando aritmética modular:

 Texto cifrado EQNVZ 4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) texto cifrado− 23 (X) 12 (M) 2 (C) 10 (K) 11 (L) tecla= −19 4 11 11 14 texto cifrado – clave= 7 (h) 4 (e) 11 (l) 11 (l) 14 (o) texto cifrado – clave (mod 26) hola → mensaje

De manera similar a lo anterior, si un número es negativo, entonces se suma 26 para hacer que el número sea cero o mayor.

Así, Bob recupera el texto sin formato de Alice, el mensaje hello. Tanto Alice como Bob destruyen la hoja de claves inmediatamente después de su uso, evitando así su reutilización y un ataque contra el cifrado. La KGB a menudo entregaba a sus agentes blocs de un solo uso impresos en pequeñas hojas de papel flash, papel convertido químicamente en nitrocelulosa , que se quema casi instantáneamente y no deja cenizas. ^[18]

El clásico bloc de espionaje de un solo uso utilizaba blocs reales de papel minúsculo y fácil de ocultar, un lápiz afilado y algo de aritmética mental . El método se puede implementar ahora como un programa de software, utilizando archivos de datos como entrada (texto sin formato), salida (texto cifrado) y material clave (la secuencia aleatoria requerida). La operación exclusiva o (XOR) se utiliza a menudo para combinar el texto sin formato y los elementos clave, y resulta especialmente atractiva en ordenadores ya que suele ser una instrucción nativa de máquina y, por tanto, es muy rápida. Sin embargo, es difícil garantizar que el material clave sea realmente aleatorio, se utilice sólo una vez, nunca llegue a ser conocido por la oposición y se destruya por completo después de su uso. Las partes auxiliares de la implementación de un pad de software de un solo uso presentan desafíos reales: manejo/transmisión segura de texto sin formato, claves verdaderamente aleatorias y uso de la clave una sola vez.

Intento de criptoanálisis

Para continuar con el ejemplo anterior, supongamos que Eve intercepta el texto cifrado de Alice: EQNVZ. Si Eve probara todas las claves posibles, descubriría que la clave XMCKLproduciría el texto sin formato hello, pero también encontraría que la clave TQURIproduciría el texto sin formato later, un mensaje igualmente plausible:

 4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) texto cifrado− 19 (T) 16 (Q) 20 (U) 17 (R) 8 (I) clave posible= −15 0 −7 4 17 clave de texto cifrado= 11 (l) 0 (a) 19 (t) 4 (e) 17 (r) clave de texto cifrado (mod 26)

De hecho, es posible "descifrar" del texto cifrado cualquier mensaje con el mismo número de caracteres, simplemente utilizando una clave diferente, y no hay información en el texto cifrado que permita a Eve elegir entre las diversas lecturas posibles. del texto cifrado. ^[19]

Si la clave no es verdaderamente aleatoria, es posible utilizar el análisis estadístico para determinar cuál de las claves plausibles es la "menos" aleatoria y, por lo tanto, es más probable que sea la correcta. Si se reutiliza una clave, será notablemente la única clave que produzca textos claros sensibles a partir de ambos textos cifrados (las posibilidades de que alguna clave aleatoria incorrecta también produzca dos textos claros sensibles son muy escasas).

Secreto perfecto

Los blocs de notas de un solo uso son " teóricamente seguros para la información " en el sentido de que el mensaje cifrado (es decir, el texto cifrado ) no proporciona información sobre el mensaje original a un criptoanalista (excepto la longitud máxima posible ^{[nota 1]} del mensaje). Esta es una noción muy fuerte de seguridad desarrollada por primera vez durante la Segunda Guerra Mundial por Claude Shannon y que demostró ser cierta, matemáticamente, para la antigua plataforma de Shannon aproximadamente al mismo tiempo. Su resultado se publicó en el Bell System Technical Journal en 1949. ^[20] Si se usan correctamente, los pads de un solo uso son seguros en este sentido incluso contra adversarios con un poder computacional infinito.

Shannon demostró, utilizando consideraciones teóricas de la información , que la libreta de un solo uso tiene una propiedad que denominó secreto perfecto ; es decir, el texto cifrado C no proporciona absolutamente ninguna información adicional sobre el texto sin formato . ^{[nota 2]} Esto se debe a que (intuitivamente), dada una clave aleatoria verdaderamente uniforme que se usa solo una vez, un texto cifrado se puede traducir a cualquier texto sin formato de la misma longitud, y todos son igualmente probables. Por lo tanto, la probabilidad a priori de un mensaje de texto claro M es la misma que la probabilidad a posteriori de un mensaje de texto claro M dado el texto cifrado correspondiente.

Los algoritmos de cifrado simétrico convencionales utilizan patrones complejos de sustitución y transposiciones . Para la mayoría de los que se utilizan actualmente, no se sabe si puede existir un procedimiento criptoanalítico que pueda revertir eficientemente (o incluso revertir parcialmente ) estas transformaciones sin conocer la clave utilizada durante el cifrado. Los algoritmos de cifrado asimétrico dependen de problemas matemáticos que se consideran difíciles de resolver, como la factorización de números enteros o el logaritmo discreto . Sin embargo, no hay pruebas de que estos problemas sean difíciles y un avance matemático podría hacer que los sistemas existentes sean vulnerables a los ataques. ^{[nota 3]}

Dado un secreto perfecto, a diferencia del cifrado simétrico convencional, el bloc de un solo uso es inmune incluso a ataques de fuerza bruta. Al probar todas las claves, simplemente se obtienen todos los textos sin formato, todos con la misma probabilidad de ser el texto sin formato real. Incluso con un texto sin formato parcialmente conocido, no se pueden utilizar ataques de fuerza bruta, ya que un atacante no puede obtener ninguna información sobre las partes de la clave necesarias para descifrar el resto del mensaje. Las partes del texto claro que se conocen revelarán sólo las partes de la clave que les corresponden, y se corresponden estrictamente uno a uno ; Los bits de una clave uniformemente aleatoria serán independientes .

Peter Shor y otros han demostrado que las computadoras cuánticas son mucho más rápidas a la hora de resolver algunos problemas de los que depende la seguridad de los algoritmos de cifrado asimétrico tradicionales. Los algoritmos criptográficos que dependen de la dificultad de estos problemas quedarían obsoletos con una computadora cuántica lo suficientemente potente. Sin embargo, los pads de un solo uso seguirían siendo seguros, ya que el secreto perfecto no depende de suposiciones sobre los recursos computacionales de un atacante. La criptografía cuántica y la criptografía poscuántica implican estudiar el impacto de las computadoras cuánticas en la seguridad de la información .

Problemas

A pesar de la prueba de seguridad de Shannon, la plataforma de un solo uso tiene serios inconvenientes en la práctica porque requiere:

• Valores de pad únicos verdaderamente aleatorios, a diferencia de pseudoaleatorios , lo cual no es un requisito trivial. La generación de números aleatorios en las computadoras suele ser difícil y los generadores de números pseudoaleatorios se utilizan a menudo por su velocidad y utilidad para la mayoría de las aplicaciones. Existen verdaderos generadores de números aleatorios , pero suelen ser más lentos y más especializados.
• Generación e intercambio seguro de los valores del pad de un solo uso, que deben ser al menos tan largos como el mensaje. Esto es importante porque la seguridad del pad de un solo uso depende de la seguridad del intercambio del pad de un solo uso. Si un atacante puede interceptar el valor del pad de un solo uso, puede descifrar los mensajes enviados utilizando el pad de un solo uso. ^[19]
• Tratamiento cuidadoso para garantizar que los valores de las almohadillas de un solo uso sigan siendo secretos y se eliminen correctamente, evitando cualquier reutilización (parcial o total), de ahí "una sola vez". Los problemas con la remanencia de datos pueden dificultar el borrado completo de los medios informáticos.

Los pads de un solo uso resuelven pocos problemas prácticos actuales en criptografía. Los cifrados de alta calidad están ampliamente disponibles y su seguridad no se considera actualmente una preocupación importante. ^[21] Estos cifrados son casi siempre más fáciles de emplear que los de un solo uso porque la cantidad de material de claves que debe generarse, distribuirse y almacenarse de forma adecuada y segura es mucho menor. ^[19] Además, la criptografía de clave pública supera el problema de la distribución de claves.

Verdadera aleatoriedad

Los números aleatorios de alta calidad son difíciles de generar. Las funciones de generación de números aleatorios en la mayoría de las bibliotecas de lenguajes de programación no son adecuadas para uso criptográfico. Incluso aquellos generadores que son adecuados para el uso criptográfico normal, incluidos /dev/random y muchos generadores de números aleatorios de hardware , pueden hacer algún uso de funciones criptográficas cuya seguridad no ha sido probada. Un ejemplo de técnica para generar aleatoriedad pura es la medición de emisiones radiactivas . ^[22]

En particular, es absolutamente necesario un uso único. Por ejemplo, si y representan dos mensajes de texto sin formato distintos y cada uno de ellos está cifrado con una clave común , entonces los respectivos textos cifrados vienen dados por: ${\displaystyle p_{1}}$ ${\displaystyle p_{2}}$ ${\displaystyle k}$

${\displaystyle c_{1}=p_{1}\oplus k}$

${\displaystyle c_{2}=p_{2}\oplus k}$

donde significa XOR . Si un atacante tuviera ambos textos cifrados y , simplemente tomando el XOR de y obtendría el XOR de los dos textos sin formato . (Esto se debe a que tomar el XOR de la clave común consigo mismo produce un flujo de bits constante de ceros). es entonces el equivalente a un cifrado de clave en ejecución. ^{[ cita necesaria ]} ${\displaystyle \oplus }$ ${\displaystyle c_{1}}$ ${\displaystyle c_{2}}$ ${\displaystyle c_{1}}$ ${\displaystyle c_{2}}$ ${\displaystyle p_{1}\oplus p_{2}}$ ${\displaystyle k}$ ${\displaystyle p_{1}\oplus p_{2}}$

Si ambos textos claros están en un lenguaje natural (por ejemplo, inglés o ruso), cada uno tiene una probabilidad muy alta de ser recuperado mediante criptoanálisis heurístico , posiblemente con algunas ambigüedades. Por supuesto, un mensaje más largo sólo se puede dividir en la parte que se superpone a un mensaje más corto, y quizás un poco más al completar una palabra o frase. El exploit más famoso de esta vulnerabilidad ocurrió con el proyecto Venona . ^[23]

Distribución de claves

Debido a que el bloc, como todos los secretos compartidos , debe transmitirse y mantenerse seguro, y el bloc tiene que ser al menos tan largo como el mensaje, a menudo no tiene sentido usar un bloc de un solo uso, ya que simplemente se puede enviar el mensaje simple. texto en lugar del bloc (ya que ambos pueden ser del mismo tamaño y deben enviarse de forma segura). ^[19] Sin embargo, una vez que se ha enviado de forma segura un bloc de notas muy largo (por ejemplo, un disco de computadora lleno de datos aleatorios), se puede utilizar para numerosos mensajes futuros, hasta que la suma de los tamaños del mensaje sea igual al tamaño del bloc. La distribución de claves cuánticas también propone una solución a este problema, suponiendo ordenadores cuánticos tolerantes a fallos .

Distribuir claves de teclado de un solo uso muy largas es inconveniente y normalmente plantea un riesgo de seguridad importante. ^[2] La libreta es esencialmente la clave de cifrado, pero a diferencia de las claves de los sistemas de cifrado modernos, debe ser extremadamente larga y demasiado difícil de recordar para los humanos. Se pueden utilizar medios de almacenamiento como memorias USB , DVD-R o reproductores de audio digitales personales para transportar un bloc de un solo uso muy grande de un lugar a otro de forma no sospechosa, pero la necesidad de transportar el bloc físicamente es una carga. en comparación con los protocolos de negociación de claves de un criptosistema moderno de clave pública. Dichos medios no pueden borrarse de manera confiable y segura por ningún medio que no sea la destrucción física (por ejemplo, incineración). Un DVD-R de 4,7 GB lleno de datos de un solo uso, si se desmenuza en partículas de 1 mm ² (0,0016 pulgadas cuadradas) de tamaño, deja más de 4 megabits de datos en cada partícula. ^{[ cita necesaria ]} Además, es probable que el riesgo de compromiso durante el tránsito (por ejemplo, un carterista robando, copiando y reemplazando la libreta) sea mucho mayor en la práctica que la probabilidad de compromiso de un cifrado como AES . Finalmente, el esfuerzo necesario para gestionar el material de claves de un solo uso escala muy mal para grandes redes de comunicantes: el número de blocs requeridos aumenta como el cuadrado del número de usuarios que intercambian mensajes libremente. Para la comunicación entre sólo dos personas, o una topología de red en estrella , esto es un problema menor.

El material clave debe eliminarse de forma segura después de su uso, para garantizar que nunca se reutilice y para proteger los mensajes enviados. ^[2] Debido a que el material clave debe transportarse de un punto final a otro y persistir hasta que se envíe o reciba el mensaje, puede ser más vulnerable a la recuperación forense que el texto plano transitorio que protege (debido a la posible remanencia de datos).

Autenticación

Como se utilizan tradicionalmente, los blocs de notas de un solo uso no proporcionan autenticación de mensajes , cuya falta puede representar una amenaza a la seguridad en los sistemas del mundo real. Por ejemplo, un atacante que sabe que el mensaje contiene "nos vemos mañana a Jane y a mí a las tres y media de la tarde" puede derivar los códigos correspondientes del bloc de notas directamente a partir de los dos elementos conocidos (el texto cifrado y el texto sin formato conocido). Luego, el atacante puede reemplazar ese texto por cualquier otro texto de exactamente la misma longitud, como por ejemplo "la reunión de las tres y media está cancelada, quédate en casa". El conocimiento del atacante sobre el bloc de un solo uso se limita a esta longitud de bytes, que debe mantenerse para que cualquier otro contenido del mensaje siga siendo válido. Esto es diferente de la maleabilidad ^[24] donde el texto claro no se conoce necesariamente. Sin conocer el mensaje, el atacante también puede invertir bits en un mensaje enviado con un bloc de un solo uso, sin que el destinatario pueda detectarlo. Debido a sus similitudes, los ataques a pads de un solo uso son similares a los ataques a cifrados de flujo . ^[25]

Se pueden utilizar técnicas estándar para evitar esto, como el uso de un código de autenticación de mensajes, junto con un sistema de bloc de un solo uso para prevenir este tipo de ataques, al igual que métodos clásicos como el relleno de longitud variable y la cópula rusa , pero todos carecen de la solución perfecta. seguridad que tiene la propia OTP. El hash universal proporciona una forma de autenticar mensajes hasta un límite de seguridad arbitrario (es decir, para cualquier p > 0 , un hash lo suficientemente grande garantiza que incluso la probabilidad de falsificación exitosa de un atacante computacionalmente ilimitado sea menor que p ), pero esto utiliza datos aleatorios adicionales. desde el pad, y algunas de estas técnicas eliminan la posibilidad de implementar el sistema sin una computadora.

Errores de implementación comunes

Debido a su relativa simplicidad de implementación y a su promesa de perfecto secreto, el one-time-pad goza de gran popularidad entre los estudiantes que aprenden sobre criptografía, especialmente porque suele ser el primer algoritmo que se presenta e implementa durante un curso. Estas "primeras" implementaciones a menudo violan los requisitos de seguridad teórica de la información de una o más maneras:

• El pad se genera mediante algún algoritmo que expande uno o más valores pequeños en un "pad de un solo uso" más largo. Esto se aplica por igual a todos los algoritmos, desde operaciones matemáticas básicas inseguras como expansiones decimales de raíz cuadrada, hasta generadores de números aleatorios pseudoaleatorios (CSPRNG) complejos y criptográficamente seguros. Ninguna de estas implementaciones son dispositivos de un solo uso, sino cifrados de flujo por definición. Todos los pads de un solo uso deben generarse mediante un proceso no algorítmico, por ejemplo, mediante un generador de números aleatorios de hardware .
• El intercambio del bloc se realiza mediante métodos que en teoría no son seguros para la información. Si el cuaderno de un solo uso se cifra con un algoritmo de entrega teóricamente seguro sin información, la seguridad del criptosistema es tan segura como el mecanismo de entrega inseguro. Un mecanismo de entrega defectuoso común para el pad de un solo uso es un criptosistema híbrido estándar que se basa en criptografía de clave simétrica para el cifrado del pad y criptografía asimétrica para la entrega de clave simétrica. Los métodos seguros comunes para la entrega única de pads son la distribución de claves cuánticas , un Sneakernet o un servicio de mensajería , o un punto muerto .
• La implementación no incluye un mecanismo de autenticación incondicionalmente seguro, como una MAC de un solo uso .
• La plataforma se reutiliza (explotada durante el proyecto Venona , por ejemplo). ^[26]
• La almohadilla no se destruye inmediatamente después de su uso.

Usos

Aplicabilidad

A pesar de sus problemas, el bloc de un solo uso conserva cierto interés práctico. En algunas situaciones hipotéticas de espionaje, la libreta de un solo uso podría resultar útil porque el cifrado y descifrado se pueden calcular a mano sólo con lápiz y papel. Casi todos los demás cifrados de alta calidad son totalmente imprácticos sin computadoras. Sin embargo, en el mundo moderno, las computadoras (como las integradas en los teléfonos móviles ) son tan omnipresentes que poseer una computadora adecuada para realizar cifrado convencional (por ejemplo, un teléfono que pueda ejecutar software criptográfico oculto) generalmente no despertará sospechas.

• El one-time-pad es el criptosistema óptimo con un secreto teóricamente perfecto. ^[20]
• El one-time-pad es uno de los métodos de cifrado más prácticos en el que una o ambas partes deben realizar todo el trabajo a mano, sin la ayuda de una computadora. Esto lo hizo importante en la era anterior a las computadoras, y posiblemente todavía podría ser útil en situaciones donde la posesión de una computadora es ilegal o incriminatoria o donde no hay computadoras confiables disponibles.
• Los blocs de notas de un solo uso son prácticos en situaciones en las que dos partes en un entorno seguro deben poder separarse y comunicarse desde dos entornos seguros separados con perfecto secreto.
• El bloc de un solo uso se puede utilizar en supercifrado . ^[27]
• El algoritmo más comúnmente asociado con la distribución de claves cuánticas es el pad de un solo uso. ^[28]
• El bloc de notas de un solo uso es imitado por cifrados de flujo . ^[25]
• Las estaciones de números a menudo envían mensajes cifrados con un bloc de un solo uso. ^[2]

Criptografía cuántica y poscuántica

Un uso común del bloc de un solo uso en criptografía cuántica se utiliza en asociación con la distribución de claves cuánticas (QKD). QKD generalmente se asocia con la libreta de un solo uso porque proporciona una forma de distribuir una clave secreta compartida larga de forma segura y eficiente (suponiendo la existencia de un hardware de red cuántico práctico ). Un algoritmo QKD utiliza propiedades de los sistemas de mecánica cuántica para permitir que dos partes se pongan de acuerdo sobre una cadena compartida uniformemente aleatoria. Los algoritmos para QKD, como BB84 , también pueden determinar si una parte adversaria ha estado intentando interceptar material clave y permiten acordar una clave secreta compartida con relativamente pocos mensajes intercambiados y una sobrecarga computacional relativamente baja. A un alto nivel, los esquemas funcionan aprovechando la forma destructiva en que se miden los estados cuánticos para intercambiar un secreto y detectar manipulaciones. En el artículo BB84 original, se demostró que el bloc de un solo uso, con claves distribuidas a través de QKD, es un esquema de cifrado perfectamente seguro . ^[28] Sin embargo, este resultado depende de que el esquema QKD se implemente correctamente en la práctica. Existen ataques a sistemas QKD del mundo real. Por ejemplo, muchos sistemas no envían un solo fotón (u otro objeto en el estado cuántico deseado) por bit de la clave debido a limitaciones prácticas, y un atacante podría interceptar y medir algunos de los fotones asociados con un mensaje, obteniendo información sobre la clave (es decir, filtrar información sobre la almohadilla), mientras pasa fotones no medidos correspondientes al mismo bit de la clave. ^[29] La combinación de QKD con un pad de un solo uso también puede flexibilizar los requisitos para la reutilización de claves. En 1982, Bennett y Brassard demostraron que si un protocolo QKD no detecta que un adversario estaba intentando interceptar una clave intercambiada, entonces la clave se puede reutilizar de forma segura manteniendo un perfecto secreto. ^[30]

La libreta de un solo uso es un ejemplo de criptografía poscuántica, porque el secreto perfecto es una definición de seguridad que no depende de los recursos computacionales del adversario. En consecuencia, un adversario con una computadora cuántica aún no podría obtener más información sobre un mensaje cifrado con una libreta de un solo uso que un adversario con solo una computadora clásica.

Usos históricos

Las compresas de un solo uso se han utilizado en circunstancias especiales desde principios del siglo XX. En 1923, fueron contratados para comunicaciones diplomáticas por el establishment diplomático alemán. ^[31] El Servicio Diplomático de la República de Weimar comenzó a utilizar el método alrededor de 1920. La ruptura de la pobre criptografía soviética por parte de los británicos , con mensajes hechos públicos por razones políticas en dos casos en la década de 1920 ( caso ARCOS ), parece haber causado que el Servicio Diplomático soviético Union adoptará libretas de un solo uso para algunos propósitos alrededor de 1930. También se sabe que los espías de la KGB han utilizado libretas de un solo uso de lápiz y papel más recientemente. Los ejemplos incluyen al coronel Rudolf Abel , que fue arrestado y condenado en la ciudad de Nueva York en la década de 1950, y los 'Krogers' (es decir, Morris y Lona Cohen ), que fueron arrestados y condenados por espionaje en el Reino Unido a principios de la década de 1960. Ambos fueron encontrados con toallas sanitarias físicas de un solo uso en su poder.

Varios países han utilizado sistemas de plataformas de un solo uso para su tráfico sensible. Leo Marks informa que el Ejecutivo de Operaciones Especiales británico utilizó blocs de notas de un solo uso en la Segunda Guerra Mundial para codificar el tráfico entre sus oficinas. A finales de la guerra se introdujeron pastillas de un solo uso para usar con sus agentes en el extranjero. ^[15] Algunas máquinas británicas de cifrado de cinta de un solo uso incluyen Rockex y Noreen . La máquina alemana Stasi Sprach también era capaz de utilizar una cinta única que Alemania Oriental, Rusia e incluso Cuba utilizaban para enviar mensajes cifrados a sus agentes. ^[32]

El codificador de voz SIGSALY de la Segunda Guerra Mundial también era una forma de sistema único. Agregó ruido a la señal en un extremo y lo eliminó en el otro extremo. El ruido se distribuía hasta los extremos del canal en forma de grandes discos de goma laca que se fabricaban en pares únicos. Surgieron problemas tanto de sincronización inicial como de deriva de fase a largo plazo y tuvieron que resolverse antes de que se pudiera utilizar el sistema. ^[33]

La línea directa entre Moscú y Washington DC , establecida en 1963 después de la crisis de los misiles cubanos de 1962 , utilizaba teleimpresores protegidos por un sistema comercial de cinta de un solo uso. Cada país preparó las cintas de codificación utilizadas para codificar sus mensajes y las entregó a través de su embajada en el otro país. Una ventaja única de la OTP en este caso fue que ningún país tenía que revelar métodos de cifrado más sensibles al otro. ^[34]

Las Fuerzas Especiales del Ejército de EE. UU. utilizaron plataformas de un solo uso en Vietnam. Al utilizar el código Morse con teclados de un solo uso y la transmisión de radio de onda continua (el portador del código Morse), lograron comunicaciones secretas y confiables. ^[35]

A partir de 1988, el Congreso Nacional Africano (ANC) utilizó tabletas de un solo uso basadas en discos como parte de un sistema de comunicación seguro entre los líderes del ANC fuera de Sudáfrica y los agentes en el país como parte de la Operación Vula, ^[36] un esfuerzo exitoso para construir una red de resistencia dentro de Sudáfrica. Los números aleatorios del disco se borraron después de su uso. Una azafata belga hizo de mensajero para traer los discos. Era necesario un reabastecimiento regular de discos nuevos, ya que se agotaban con bastante rapidez. Un problema con el sistema era que no podía utilizarse para el almacenamiento seguro de datos. Más tarde, Vula añadió un cifrado de flujo codificado por códigos de libros para resolver este problema. ^[37]

Una noción relacionada es la del código de un solo uso : una señal que se utiliza sólo una vez; por ejemplo, "Alfa" para "misión completada", "Bravo" para "misión fallida" o incluso "Antorcha" para " invasión aliada del norte de África francesa " ^[38] no se pueden "descifrar" en ningún sentido razonable de la palabra. Comprender el mensaje requerirá información adicional, a menudo "profundidad" de repetición o algún análisis del tráfico . Sin embargo, tales estrategias (aunque a menudo utilizadas por agentes reales y entrenadores de béisbol ) ^{[ cita necesaria ]} no son un bloc criptográfico de un solo uso en ningún sentido significativo.

NSA

Al menos hasta la década de 1970, la Agencia de Seguridad Nacional (NSA) de EE. UU. produjo una variedad de almohadillas manuales de un solo uso, tanto de uso general como especializadas, y en el año fiscal 1972 se produjeron 86.000 almohadillas de un solo uso. La NSA llama sistemas "pro forma", donde "el marco, forma o formato básico de cada texto de mensaje es idéntico o casi idéntico; el mismo tipo de información, mensaje tras mensaje, debe presentarse en el mismo orden, y sólo valores específicos , como los números, cambian con cada mensaje." Los ejemplos incluyeron mensajes de lanzamiento nuclear e informes de radiogoniometría (COMUS). ^{[39] : págs. 16-18}

Se produjeron blocs de notas de uso general en varios formatos: una simple lista de letras aleatorias (DIANA) o simplemente números (CALYPSO), pequeños blocs para agentes encubiertos (MICKEY MOUSE) y blocs diseñados para una codificación más rápida de mensajes cortos, a costa de menor densidad. Un ejemplo, ORION, tenía 50 filas de alfabetos en texto plano en un lado y las correspondientes letras de texto cifrado aleatorio en el otro lado. Al colocar una hoja encima de un trozo de papel carbón con el carbón hacia arriba, se podría rodear una letra en cada fila en un lado y la letra correspondiente en el otro lado estaría rodeada por el papel carbón. Así, una hoja ORION podría codificar o decodificar rápidamente un mensaje de hasta 50 caracteres. La producción de las almohadillas ORION requería imprimir ambas caras con un registro exacto, un proceso difícil, por lo que la NSA cambió a otro formato de almohadilla, MEDEA, con 25 filas de alfabetos emparejados y caracteres aleatorios. ( Consulte Commons:Categoría:Blocs de notas de un solo uso de la NSA para ver ilustraciones).

La NSA también construyó sistemas automatizados para las "cuarteles generales centralizados de la CIA y las unidades de las Fuerzas Especiales para que puedan procesar de manera eficiente los numerosos mensajes separados de un solo uso hacia y desde los titulares de blocs individuales en el campo". ^{[39] : págs. 21-26}

Durante la Segunda Guerra Mundial y hasta la década de 1950, Estados Unidos hizo un uso extensivo de sistemas de cinta de un solo uso. Además de brindar confidencialidad, los circuitos protegidos por cintas de un solo uso funcionaban continuamente, incluso cuando no había tráfico, protegiendo así contra el análisis de tráfico . En 1955, la NSA produjo unos 1.660.000 rollos de cinta desechable. Cada rollo tenía 8 pulgadas de diámetro, contenía 100.000 caracteres, duraba 166 minutos y su producción costaba 4,55 dólares. En 1972, sólo se produjeron 55.000 rollos, ya que las cintas desechables fueron reemplazadas por máquinas de rotor como SIGTOT y, más tarde, por dispositivos electrónicos basados ​​en registros de desplazamiento . ^{[39] : págs. 39–44} La NSA describe sistemas de cinta de un solo uso como 5-UCO y SIGTOT como utilizados para el tráfico de inteligencia hasta la introducción del cifrado electrónico basado en KW-26 en 1957. ^[40]

Hazañas

Si bien los blocs de notas de un solo uso proporcionan un secreto perfecto si se generan y utilizan correctamente, pequeños errores pueden conducir a un criptoanálisis exitoso:

• En 1944-1945, el Servicio de Inteligencia de Señales del Ejército de EE. UU. pudo resolver un sistema de plataforma de un solo uso utilizado por el Ministerio de Asuntos Exteriores alemán para su tráfico de alto nivel, con nombre en código GEE. ^[41] GEE era inseguro porque los pads no eran lo suficientemente aleatorios: la máquina utilizada para generar los pads producía resultados predecibles.
• En 1945, Estados Unidos descubrió que los mensajes entre Canberra y Moscú se cifraban primero mediante un libro de códigos y luego mediante un bloc de notas de un solo uso. Sin embargo, la libreta de un solo uso utilizada fue la misma que utilizó Moscú para los mensajes entre Washington, DC y Moscú. Combinado con el hecho de que algunos de los mensajes entre Canberra y Moscú incluían documentos conocidos del gobierno británico, esto permitió descifrar algunos de los mensajes cifrados. ^{[ cita necesaria ]}
• Las agencias de espionaje soviéticas empleaban agendas de un solo uso para comunicaciones encubiertas con agentes y controladores de agentes. Los análisis han demostrado que estos blocs de notas fueron generados por mecanógrafos que utilizaban máquinas de escribir reales. Este método no es verdaderamente aleatorio, ya que hace que los pads tengan más probabilidades de contener ciertas secuencias de teclas convenientes con mayor frecuencia. Esto resultó ser efectivo en general porque los blocs todavía eran algo impredecibles porque los mecanógrafos no seguían las reglas y diferentes mecanógrafos producían diferentes patrones de blocs. Sin copias del material de claves utilizado, sólo algún defecto en el método de generación o reutilización de claves ofrecía muchas esperanzas de criptoanálisis. A partir de finales de la década de 1940, las agencias de inteligencia de Estados Unidos y el Reino Unido pudieron interrumpir parte del tráfico soviético hacia Moscú durante la Segunda Guerra Mundial como resultado de errores cometidos en la generación y distribución del material clave. Una sugerencia es que el personal del Centro de Moscú se sintió algo apurado por la presencia de tropas alemanas en las afueras de Moscú a finales de 1941 y principios de 1942, y produjeron más de una copia del mismo material clave durante ese período. Este esfuerzo de décadas finalmente recibió el nombre en código VENONA (BRIDE había sido un nombre anterior); produjo una cantidad considerable de información. Aun así, sólo un pequeño porcentaje de los mensajes interceptados fueron total o parcialmente descifrados (unos pocos miles de varios cientos de miles). ^[26]
• Los sistemas de cinta de una sola vez utilizados en Estados Unidos empleaban mezcladores electromecánicos para combinar bits del mensaje y la cinta de una sola vez. Estos mezcladores irradiaban una energía electromagnética considerable que podría ser captada por un adversario a cierta distancia del equipo de cifrado. Este efecto, notado por primera vez por los Laboratorios Bell durante la Segunda Guerra Mundial, podría permitir la interceptación y recuperación del texto sin formato de los mensajes que se transmiten, una vulnerabilidad cuyo nombre en código es Tempest . ^{[39] : págs. 89 y siguientes}

Ver también

• Agripa (Un libro de los muertos)
• Seguridad teórica de la información.
• Estación de números
• Contraseña de un solo uso
• Clave de sesión
• esteganografía
• Comercio
• Distancia de unicidad
• Teorema de no esconderse

Notas

1. La longitud real de un mensaje de texto sin formato se puede ocultar agregando partes extrañas, llamadas relleno . Por ejemplo, un texto cifrado de 21 caracteres podría ocultar un mensaje de 5 caracteres con alguna convención de relleno (por ejemplo, "-PADDING-HELLO-XYZ-") tanto como un mensaje real de 21 caracteres: por lo tanto, un observador sólo puede deducir el máximo posible. longitud del texto significativo, no su longitud exacta.
2. Es decir, la " ganancia de información " o divergencia Kullback-Leibler del mensaje de texto plano del mensaje de texto cifrado es cero.
3. La mayoría de los algoritmos de cifrado asimétrico se basan en el hecho de que los algoritmos más conocidos para la factorización prima y el cálculo de logaritmos discretos son el tiempo superpolinomial. Existe una fuerte creencia de que estos problemas no se pueden resolver con una máquina de Turing en el tiempo que escala polinomialmente con la longitud de la entrada, lo que hace que sea difícil (con suerte, prohibitivamente) resolverlos mediante ataques criptográficos. Sin embargo, esto no ha sido probado.

Referencias

1. Lugrin, Thomas (2023), Mulder, Valentín; Mermoud, Alain; Prestamistas, Vicente; Tellenbach, Bernhard (eds.), "One-Time Pad", Tendencias en protección de datos y tecnologías de cifrado , Cham: Springer Nature Suiza, págs. 3–6, doi : 10.1007/978-3-031-33386-6_1 , ISBN 978-3-031-33386-6, recuperado el 12 de septiembre de 2023
2. "Introducción a las estaciones numéricas". Archivado desde el original el 18 de octubre de 2014 . Consultado el 13 de septiembre de 2014 .
3. "Bloc de notas de un solo uso (OTP)". Cryptomuseum.com. Archivado desde el original el 14 de marzo de 2014 . Consultado el 17 de marzo de 2014 .
4. Chaitin, Gregory (1966). "Sobre la duración de los programas para calcular secuencias binarias finitas". J. ACM . 13 (4): 547–569. doi :10.1145/321356.321363. S2CID  207698337.
5. Shannon, Claude (1949). "Teoría de la comunicación de los sistemas secretos" (PDF) . Revista técnica del sistema Bell . 28 (4): 656–715. doi :10.1002/j.1538-7305.1949.tb00928.x.
6. Molinero, Frank (1882). Código telegráfico para asegurar la privacidad y el secreto en la transmisión de telegramas . CM Cornwell.
7. Bellovin, Steven M. (2011). "Frank Miller: inventor del bloc de notas de un solo uso". Criptología . 35 (3): 203–222. doi :10.1080/01611194.2011.583711. ISSN  0161-1194. S2CID  35541360.
8. "'Patente del sistema de señalización secreta 'en Google.Com ". google.com . Archivado desde el original el 11 de marzo de 2016 . Consultado el 3 de febrero de 2016 .
9. Kahn, David (1996). Los descifradores de códigos . Macmillan . págs. 397–8. ISBN 978-0-684-83130-5.
10. "Preguntas frecuentes sobre One-Time-Pad (Cifrado de Vernam), con foto". Archivado desde el original el 7 de mayo de 2006 . Consultado el 12 de mayo de 2006 .
11. Sabroso, Stuart (2001). "Chiffriergerätebau: One-Time-Pad, con foto" (en alemán). Archivado desde el original el 30 de mayo de 2011 . Consultado el 24 de julio de 2006 .
12. Kahn, David (1967). Los descifradores de códigos . Macmillan . págs. 398 y siguientes. ISBN 978-0-684-83130-5.
13. John Markoff (25 de julio de 2011). "El libro de códigos muestra un formulario de cifrado que se remonta a Telegraphs". Los New York Times . Archivado desde el original el 21 de mayo de 2013 . Consultado el 26 de julio de 2011 .
14. Peng, Weiping; Cui, Shuang; Canción, Cheng (20 de enero de 2021). Raja, Gulistan (ed.). "Algoritmo de cifrado de un solo uso basado en mapeo de confusión y tecnología de almacenamiento de ADN". MÁS UNO . 16 (1): e0245506. Código Bib : 2021PLoSO..1645506P. doi : 10.1371/journal.pone.0245506 . ISSN  1932-6203. PMC 7817086 . PMID  33471849. 
15. Marcas, Leo (1998). Entre la seda y el cianuro: la historia de un creador de códigos, 1941-1945. HarperCollins. ISBN 978-0-684-86780-9.
16. Sergei N Molotkov (Instituto de Física del Estado Sólido, Academia de Ciencias de Rusia, Chernogolovka, región de Moscú, Federación de Rusia) (22 de febrero de 2006). "Criptografía cuántica y teoremas de muestreo y clave única de VA Kotel'nikov". Física-Uspekhi . 49 (7): 750–761. Código Bib : 2006PhyU...49..750M. doi :10.1070/PU2006v049n07ABEH006050. S2CID  118764598. Archivado desde el original el 10 de diciembre de 2008 . Consultado el 3 de mayo de 2009 .{{cite journal}}: Mantenimiento CS1: varios nombres: lista de autores ( enlace )Números PACS: 01.10.Fv, 03.67.Dd, 89.70.+c y abiertamente en ruso Квантовая криптография и теоремы В.А. Котельникова об одноразовых ключах об отсчетах. УФН
17. Mosca, Michele; Tapp, Alain; de Wolf, Ronald (27 de marzo de 2000). "Canales cuánticos privados y el costo de aleatorizar la información cuántica". arXiv : quant-ph/0003101 .
18. Robert Wallace y H. Keith Melton, con Henry R. Schlesinger (2008). Spycraft: La historia secreta de las tecnologías de espionaje de la CIA, desde el comunismo hasta Al Qaeda. Nueva York: Dutton . pag. 436.ISBN​ 978-0-525-94980-0.
19. Schneier, Bruce. "Paquetes de un solo uso". Archivado desde el original el 3 de abril de 2005.
20. Shannon, Claude E. (octubre de 1949). "Teoría de la comunicación de los sistemas secretos" (PDF) . Revista técnica del sistema Bell . 28 (4): 656–715. doi :10.1002/j.1538-7305.1949.tb00928.x. hdl :10338.dmlcz/119717. Archivado desde el original (PDF) el 20 de enero de 2012 . Consultado el 21 de diciembre de 2011 .
21. Lars R. Knudsen y Matthew Robshaw (2011). El compañero de cifrado en bloque. Medios de ciencia y negocios de Springer. págs. 1-14. ISBN 978-3642173424. Consultado el 26 de julio de 2017 .
22. Singh, Simón (2000). El libro de códigos. Estados Unidos: Anchor Books. págs.123. ISBN 978-0-385-49532-5.
23. "Las traducciones y los sistemas criptográficos de la KGB" (PDF) . La historia de Venona . Fort Meade, Maryland : Agencia de Seguridad Nacional . 2004-01-15. págs. 26–27 (28–29 de 63 en PDF). Archivado desde el original (PDF) el 10 de mayo de 2009 . Consultado el 3 de mayo de 2009 . El centro de fabricación de material criptográfico de la KGB en la Unión Soviética aparentemente reutilizó algunas de las páginas de libretas de un solo uso. Esto proporcionó a Arlington Hall una oportunidad.
24. Safavi-Naini, Reihaneh (2008). Seguridad teórica de la información: Tercera Conferencia Internacional, ICITS 2008, Calgary, Canadá, 10 al 13 de agosto de 2008, Actas. Medios de ciencia y negocios de Springer. ISBN 978-3540850922- a través de libros de Google.
25. Boneh, Dan. "Ataques a Stream Ciphers y The One Time Pad: descripción general del curso y cifrados de transmisión". Coursera . Consultado el 21 de marzo de 2022 .
26. "Las traducciones de Venona" (PDF) . La historia de Venona . Fort Meade, Maryland : Agencia de Seguridad Nacional . 2004-01-15. pag. 17 (de 63 en PDF) pero marcado como 15. Archivado desde el original (PDF) el 10 de mayo de 2009 . Consultado el 3 de mayo de 2009 . La capacidad de Arlington Hall para leer los mensajes de VENONA era irregular, ya que dependía del código subyacente, los cambios de clave y la falta de volumen. Del tráfico de mensajes desde la oficina de la KGB en Nueva York a Moscú, el 49 por ciento de los mensajes de 1944 y el 15 por ciento de los mensajes de 1943 eran legibles, pero esto era cierto sólo para el 1,8 por ciento de los mensajes de 1942. De los mensajes de la oficina de Washington de la KGB a Moscú de 1945, sólo el 1,5 por ciento eran legibles. Alrededor del 50 por ciento de los mensajes del GRU-Naval de Washington a Moscú/Moscú a Washington de 1943 fueron leídos, pero ninguno de ningún otro año.
27. Una "forma de combinar múltiples algoritmos de bloque" de modo que "un criptoanalista deba romper ambos algoritmos" en §15.8 de Criptografía aplicada, segunda edición: protocolos, algoritmos y código fuente en C por Bruce Schneier. Publicación de computadoras Wiley, John Wiley & Sons, Inc.
28. Bennett, Charles; Brassard, Giles (1984). "Criptografía cuántica: distribución de claves públicas y lanzamiento de monedas". Informática Teórica . 560 : 7–11. arXiv : 2003.06557 . doi :10.1016/j.tcs.2014.05.025. S2CID  27022972.Nota: Este artículo se publicó originalmente en 1984, pero se retractó y la versión en ArXiv es una reimpresión de 2014 del artículo de 1984.
29. Dušek, Miloslav; Haderka, Ondřej; Hendrych, Martín (1 de octubre de 1999). "Ataque generalizado de división de haz en criptografía cuántica con estados coherentes tenues". Comunicaciones Ópticas . 169 (1): 103–108. Código Bib : 1999OptCo.169..103D. doi :10.1016/S0030-4018(99)00419-8. ISSN  0030-4018.
30. Bennet, Charles; Brassard, Giles; Breidbart, Seth (2014). "Criptografía cuántica II: cómo reutilizar un pad de un solo uso de forma segura incluso si P = NP". Computación Natural . 13 (4): 453–458. doi :10.1007/s11047-014-9453-6. PMC 4224740 . PMID  25400534. S2CID  3121156. Nota: Esta es también una reimpresión del artículo original de 1982.
31. Kahn, David (1996). Los descifradores de códigos . Macmillan . págs. 402–3. ISBN 978-0-684-83130-5.
32. "Máquina Stasi Sprach Morse". El Centro de Información e Investigación de Estaciones de Números. Archivado desde el original el 13 de marzo de 2015 . Consultado el 1 de marzo de 2015 .
33. "Agencia de Seguridad Nacional | Servicio Central de Seguridad > Acerca de nosotros > Patrimonio criptológico > Publicaciones y personajes históricos > Publicaciones > Segunda Guerra Mundial > Historia de Sigsaly". 2019-02-24. Archivado desde el original el 24 de febrero de 2019 . Consultado el 27 de marzo de 2022 .
34. Kahn, David (1967). Los descifradores de códigos . Macmillan . págs. 715 y siguientes. ISBN 978-0-684-83130-5.
35. Hieu, Phan Duong (abril de 2007). "Criptología durante las guerras francesa y estadounidense en Vietnam" (PDF) . Criptología . 41 (6): 1–21. doi :10.1080/01611194.2017.1292825. S2CID  3780267 . Consultado el 14 de abril de 2020 .
36. "Operación Vula: una red holandesa secreta contra el apartheid", Archivos de Radio Holanda, 9 de septiembre de 1999
37. Jenkin, Tim (mayo-octubre de 1995). "Hablando con Vula: La historia de la red secreta de comunicaciones subterráneas de la Operación Vula". Mayibuyé . Archivado desde el original el 26 de agosto de 2014 . Consultado el 24 de agosto de 2014 . Nuestro sistema se basaba en el bloc de un solo uso, aunque en lugar de tener blocs de papel, los números aleatorios estaban en un disco.
38. Paloma, Geoffrey (2003). "Capítulo 28: Bill Miller - Té con los alemanes". La guerra inalámbrica secreta: la historia de las comunicaciones del MI6 1939-1945 . UPSO Ltd. pág. 249.ISBN​ 978-1-84375-252-3.
39. Boak, David G. (julio de 1973) [1966]. Una historia de la seguridad de las comunicaciones en EE. UU.; las conferencias de David G. Boak, vol. I (PDF) (edición de revisión de desclasificación de 2015). Pie. George G. Meade, MD: Agencia de Seguridad Nacional de EE. UU. Archivado desde el original (PDF) el 25 de mayo de 2017 . Consultado el 23 de abril de 2017 .
40. Klein, Melville (2003). "Seguridad de comunicaciones récord: TSEC/KW-26" (PDF) . Agencia Nacional de Seguridad. Archivado desde el original (PDF) el 13 de febrero de 2006 . Consultado el 12 de mayo de 2006 .
41. Erskine, Ralph, "La seguridad de Enigma: lo que los alemanes realmente sabían", en Action this Day , editado por Ralph Erskine y Michael Smith, págs. 370–386, 2001.

Otras lecturas

• Rubina, Frank (1996). "Criptografía de almohadilla de un solo uso". Criptología . 20 (4): 359–364. doi :10.1080/0161-119691885040. ISSN  0161-1194.
• Fostera, Caxton C. (1997). "Inconvenientes de la libreta de un solo uso". Criptología . 21 (4): 350–352. doi :10.1080/0161-119791885986. ISSN  0161-1194.

enlaces externos

• Descripción detallada e historia de One-time Pad con ejemplos e imágenes sobre máquinas de cifrado y criptología
• La entrada del glosario FreeS/WAN con una discusión sobre las debilidades de OTP