stringtranslate.com

Libreta de un solo uso

Formato de libreta de un solo uso utilizada por la Agencia de Seguridad Nacional de los EE. UU. , cuyo nombre en código es DIANA. La tabla de la derecha es una ayuda para convertir entre texto simple y texto cifrado utilizando los caracteres de la izquierda como clave.

En criptografía , el block de un solo uso ( OTP ) es una técnica de cifrado que no se puede descifrar , pero que requiere el uso de una clave compartida previamente de un solo uso que sea mayor o igual al tamaño del mensaje que se envía. En esta técnica, un texto sin formato se empareja con una clave secreta aleatoria (también conocida como block de un solo uso ). Luego, cada bit o carácter del texto sin formato se cifra combinándolo con el bit o carácter correspondiente del block mediante la adición modular . [1]

El texto cifrado resultante será imposible de descifrar o descifrar si se cumplen las cuatro condiciones siguientes: [2] [3]

  1. La clave debe tener al menos la misma longitud que el texto sin formato.
  2. La clave debe ser verdaderamente aleatoria .
  3. La clave nunca debe reutilizarse total o parcialmente.
  4. La clave deberá ser mantenida en completo secreto por las partes comunicantes.

También se ha demostrado matemáticamente que cualquier cifrado con la propiedad de secreto perfecto debe utilizar claves con efectivamente los mismos requisitos que las claves OTP. [4] Las naciones han utilizado versiones digitales de cifrados de un solo uso para comunicaciones diplomáticas y militares críticas , pero los problemas de distribución segura de claves los hacen poco prácticos para la mayoría de las aplicaciones.

Descrito por primera vez por Frank Miller en 1882, [5] [6] el block de un solo uso fue reinventado en 1917. El 22 de julio de 1919, la patente estadounidense 1.310.719 fue otorgada a Gilbert Vernam por la operación XOR utilizada para el cifrado de un block de un solo uso. [7] Derivado de su cifrado Vernam , el sistema era un cifrado que combinaba un mensaje con una clave leída de una cinta perforada . En su forma original, el sistema de Vernam era vulnerable porque la cinta de clave era un bucle, que se reutilizaba cada vez que el bucle hacía un ciclo completo. El uso de un solo uso llegó más tarde, cuando Joseph Mauborgne reconoció que si la cinta de clave era totalmente aleatoria, entonces el criptoanálisis sería imposible. [8]

La parte "pad" del nombre proviene de las primeras implementaciones donde el material clave se distribuía como un block de papel, permitiendo que la hoja superior actual se pudiera arrancar y destruir después de su uso. Para ocultarlo, el block era a veces tan pequeño que se necesitaba una lupa potente para usarlo. La KGB usaba block de tal tamaño que podían caber en la palma de una mano, [9] o en una cáscara de nuez . [10] Para aumentar la seguridad, los block de un solo uso a veces se imprimían en hojas de nitrocelulosa altamente inflamable , de modo que pudieran quemarse fácilmente después de su uso.

El término "cifrado Vernam" presenta cierta ambigüedad debido a que algunas fuentes utilizan "cifrado Vernam" y "bloc de un solo uso" como sinónimos, mientras que otras se refieren a cualquier cifrado de flujo aditivo como "cifrado Vernam", incluidos aquellos basados ​​en un generador de números pseudoaleatorios criptográficamente seguro (CSPRNG). [11]

Historia

Frank Miller fue el primero en describir en 1882 el sistema de libreta de un solo uso para proteger la telegrafía. [6] [12]

El siguiente sistema de libreta de un solo uso fue eléctrico. En 1917, Gilbert Vernam (de AT&T Corporation ) inventó [13] y más tarde patentó en 1919 ( patente estadounidense 1.310.719 ) un sistema de cifrado basado en la tecnología de teleimpresora . Cada carácter de un mensaje se combinaba eléctricamente con un carácter de una clave de cinta de papel perforada . Joseph Mauborgne (en aquel entonces capitán del ejército estadounidense y más tarde jefe del Cuerpo de Señales ) reconoció que la secuencia de caracteres de la clave de cinta podía ser completamente aleatoria y que, de ser así, el criptoanálisis sería más difícil. Juntos inventaron el primer sistema de cinta de un solo uso. [11]

El siguiente desarrollo fue el sistema de bloc de papel. Los diplomáticos habían usado códigos y cifras durante mucho tiempo para mantener la confidencialidad y minimizar los costos del telégrafo . Para los códigos, las palabras y frases se convertían en grupos de números (normalmente de 4 o 5 dígitos) utilizando un libro de códigos similar a un diccionario . Para mayor seguridad, los números secretos se podían combinar con cada grupo de códigos (normalmente mediante adición modular) antes de la transmisión, y los números secretos se cambiaban periódicamente (esto se denominaba superencriptación ). A principios de la década de 1920, tres criptógrafos alemanes (Werner Kunze, Rudolf Schauffler y Erich Langlotz), que participaron en la ruptura de estos sistemas, se dieron cuenta de que nunca podrían romperse si se utilizaba un número aditivo elegido al azar para cada grupo de códigos. Imprimieron blocs de papel duplicados con líneas de grupos de números aleatorios. Cada página tenía un número de serie y ocho líneas. Cada línea tenía seis números de 5 dígitos. Se utilizaba una página como hoja de trabajo para codificar un mensaje y luego se destruía. El número de serie de la página se enviaba con el mensaje codificado. El destinatario debía seguir el procedimiento inverso y luego destruir su copia de la página. El Ministerio de Asuntos Exteriores alemán puso en funcionamiento este sistema en 1923. [11]

Una idea distinta fue el uso de un bloque de letras de un solo uso para codificar texto simple directamente, como en el ejemplo siguiente. Leo Marks describe la invención de un sistema de este tipo para el Ejecutivo de Operaciones Especiales británico durante la Segunda Guerra Mundial , aunque sospechaba en ese momento que ya era conocido en el mundo altamente compartimentado de la criptografía, como por ejemplo en Bletchley Park . [14]

El descubrimiento final lo hizo el teórico de la información Claude Shannon en la década de 1940, quien reconoció y demostró la importancia teórica del sistema de libreta de un solo uso. Shannon presentó sus resultados en un informe clasificado en 1945 y los publicó abiertamente en 1949. [4] Al mismo tiempo, el teórico de la información soviético Vladimir Kotelnikov había demostrado de forma independiente la absoluta seguridad de la libreta de un solo uso; sus resultados se presentaron en 1941 en un informe que aparentemente sigue siendo clasificado. [15]

También existe un análogo cuántico del block de un solo uso, que puede utilizarse para intercambiar estados cuánticos a lo largo de un canal cuántico unidireccional con perfecto secreto, que a veces se utiliza en computación cuántica. Se puede demostrar que se requiere un secreto compartido de al menos 2n bits clásicos para intercambiar un estado cuántico de n-qubits a lo largo de un canal cuántico unidireccional (por analogía con el resultado de que se requiere una clave de n bits para intercambiar un mensaje de n bits con perfecto secreto). Un esquema propuesto en 2000 logra este límite. Una forma de implementar este block de un solo uso cuántico es dividiendo la clave de 2n bits en n pares de bits. Para cifrar el estado, para cada par de bits i en la clave, se aplicaría una compuerta X al qubit i del estado si y solo si el primer bit del par es 1, y se aplicaría una compuerta Z al qubit i del estado si y solo si el segundo bit del par es 1. El descifrado implica aplicar esta transformación nuevamente, ya que X y Z son sus propias inversas. Se puede demostrar que esto es perfectamente secreto en un entorno cuántico. [16]

Ejemplo

Supongamos que Alicia desea enviar el mensaje helloa Bob . Supongamos que previamente se han producido y distribuido de forma segura dos bloques de papel que contienen secuencias aleatorias idénticas de letras. Alicia elige la página no utilizada adecuada del bloque. La forma de hacerlo normalmente se acuerda de antemano, como por ejemplo "utilizar la hoja número 12 el 1 de mayo" o "utilizar la siguiente hoja disponible para el siguiente mensaje".

El material de la hoja seleccionada es la clave de este mensaje. Cada letra del bloc se combinará de una manera predeterminada con una letra del mensaje. (Es habitual, pero no obligatorio, asignar a cada letra un valor numérico , por ejemplo, aes 0, bes 1, etc.)

En este ejemplo, la técnica consiste en combinar la clave y el mensaje mediante la adición modular , de forma similar al cifrado de Vigenère . Los valores numéricos de las letras del mensaje y de la clave correspondientes se suman, módulo 26. Por lo tanto, si el material de la clave comienza con XMCKLy el mensaje es hello, entonces la codificación se realizaría de la siguiente manera:

 mensaje de hola 7 (h) 4 (e) 11 (l) 11 (l) 14 (o) mensaje+ 23 (X) 12 (M) 2 (C) 10 (K) 11 (L) tecla= 30 16 13 21 25 mensaje + clave= 4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) (mensaje + tecla) mod 26 EQNVZ → texto cifrado

Si un número es mayor que 25, el resto después de restar 26 se toma de manera aritmética modular. Esto simplemente significa que si los cálculos "pasan" de Z, la secuencia comienza nuevamente en A.

El texto cifrado que se le enviará a Bob es, por tanto EQNVZ, . Bob utiliza la página de claves correspondiente y el mismo proceso, pero a la inversa, para obtener el texto sin formato . Aquí se resta la clave del texto cifrado, utilizando nuevamente aritmética modular:

 Texto cifrado EQNVZ 4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) texto cifrado− 23 (X) 12 (M) 2 (C) 10 (K) 11 (L) tecla= −19 4 11 11 14 texto cifrado – clave= 7 (h) 4 (e) 11 (l) 11 (l) 14 (o) texto cifrado – clave (mod 26) hola → mensaje

De manera similar a lo anterior, si un número es negativo, se suma 26 para convertir el número en cero o mayor.

De esta manera, Bob recupera el texto en claro de Alice, el mensaje hello. Tanto Alice como Bob destruyen la hoja de claves inmediatamente después de su uso, evitando así su reutilización y un ataque contra el código. La KGB solía entregar a sus agentes cuadernos de un solo uso impresos en pequeñas hojas de papel flash, papel convertido químicamente en nitrocelulosa , que arde casi instantáneamente y no deja cenizas. [17]

El clásico bloc de notas de un solo uso del espionaje utilizaba blocs de notas reales de papel minúsculo, fácil de ocultar, un lápiz afilado y algo de aritmética mental . El método se puede implementar ahora como un programa de software, utilizando archivos de datos como entrada (texto simple), salida (texto cifrado) y material clave (la secuencia aleatoria requerida). La operación o exclusiva (XOR) se utiliza a menudo para combinar el texto simple y los elementos clave, y es especialmente atractiva en las computadoras, ya que suele ser una instrucción nativa de la máquina y, por lo tanto, es muy rápida. Sin embargo, es difícil garantizar que el material clave sea realmente aleatorio, se use solo una vez, nunca llegue a ser conocido por la oposición y se destruya por completo después de su uso. Las partes auxiliares de una implementación de software de bloc de notas de un solo uso presentan desafíos reales: manejo/transmisión segura de texto simple, claves verdaderamente aleatorias y uso de la clave solo una vez.

Intento de criptoanálisis

Para continuar con el ejemplo anterior, supongamos que Eva intercepta el texto cifrado de Alicia: EQNVZ. Si Eva probara todas las claves posibles, descubriría que la clave XMCKLproduciría el texto simple hello, pero también descubriría que la clave TQURIproduciría el texto simple later, un mensaje igualmente plausible:

 4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) texto cifrado− 19 (T) 16 (Q) 20 (U) 17 (R) 8 (I) clave posible= −15 0 −7 4 17 clave de texto cifrado= 11 (l) 0 (a) 19 (t) 4 (e) 17 (r) clave de texto cifrado (mod 26)

De hecho, es posible "descifrar" a partir del texto cifrado cualquier mensaje con el mismo número de caracteres, simplemente utilizando una clave diferente, y no hay ninguna información en el texto cifrado que permita a Eva elegir entre las distintas lecturas posibles del mismo. [18]

Si la clave no es verdaderamente aleatoria, es posible utilizar un análisis estadístico para determinar cuál de las claves plausibles es la "menos" aleatoria y, por lo tanto, la que tiene más probabilidades de ser la correcta. Si se reutiliza una clave, será evidente que será la única clave que produzca textos claros lógicos a partir de ambos textos cifrados (las probabilidades de que una clave incorrecta aleatoria también produzca dos textos claros lógicos son muy escasas).

Secreto perfecto

Los blocs de un solo uso son " seguros desde el punto de vista de la información " en el sentido de que el mensaje cifrado (es decir, el texto cifrado ) no proporciona información sobre el mensaje original a un criptoanalista (excepto la longitud máxima posible [nota 1] del mensaje). Se trata de una noción de seguridad muy sólida, desarrollada por primera vez durante la Segunda Guerra Mundial por Claude Shannon y demostrada matemáticamente como cierta para el bloc de un solo uso por Shannon aproximadamente en la misma época. Su resultado se publicó en el Bell System Technical Journal en 1949. [19] Si se utilizan correctamente, los blocs de un solo uso son seguros en este sentido incluso contra adversarios con un poder computacional infinito.

Shannon demostró, utilizando consideraciones de teoría de la información , que el block de un solo uso tiene una propiedad que él llamó secreto perfecto ; es decir, el texto cifrado C no da absolutamente ninguna información adicional sobre el texto simple . [nota 2] Esto se debe a que (intuitivamente), dada una clave verdaderamente uniformemente aleatoria que se usa solo una vez, un texto cifrado se puede traducir a cualquier texto simple de la misma longitud, y todos son igualmente probables. Por lo tanto, la probabilidad a priori de un mensaje de texto simple M es la misma que la probabilidad a posteriori de un mensaje de texto simple M dado el texto cifrado correspondiente.

Los algoritmos de cifrado simétrico convencionales utilizan patrones complejos de sustitución y transposición . En el caso de los mejores de los que se utilizan actualmente, no se sabe si puede existir un procedimiento criptoanalítico que pueda revertir de manera eficiente (o incluso revertir parcialmente ) estas transformaciones sin conocer la clave utilizada durante el cifrado. Los algoritmos de cifrado asimétrico dependen de problemas matemáticos que se consideran difíciles de resolver, como la factorización de números enteros o el logaritmo discreto . Sin embargo, no hay pruebas de que estos problemas sean difíciles, y un avance matemático podría hacer que los sistemas existentes sean vulnerables a ataques. [nota 3]

En contraste con el cifrado simétrico convencional, dado que se mantiene un secreto perfecto, el block de un solo uso es inmune incluso a los ataques de fuerza bruta. Probar todas las claves simplemente produce todos los textos sin formato, todos con la misma probabilidad de ser el texto sin formato real. Incluso con un texto sin formato parcialmente conocido, no se pueden utilizar ataques de fuerza bruta, ya que un atacante no puede obtener ninguna información sobre las partes de la clave necesarias para descifrar el resto del mensaje. Las partes del texto sin formato que se conocen revelarán solo las partes de la clave que les corresponden, y se corresponden estrictamente de uno a uno ; los bits de una clave aleatoria uniforme serán independientes .

La criptografía cuántica y la criptografía poscuántica implican el estudio del impacto de los ordenadores cuánticos en la seguridad de la información . Peter Shor y otros han demostrado que los ordenadores cuánticos son mucho más rápidos a la hora de resolver algunos problemas de los que depende la seguridad de los algoritmos de cifrado asimétrico tradicionales. Los algoritmos criptográficos que dependen de la dificultad de estos problemas quedarían obsoletos con un ordenador cuántico lo suficientemente potente. Sin embargo, los blocs de notas de un solo uso seguirían siendo seguros, ya que el secreto perfecto no depende de suposiciones sobre los recursos computacionales de un atacante.

Problemas

A pesar de las pruebas de seguridad de Shannon, la libreta de un solo uso tiene serios inconvenientes en la práctica porque requiere:

Los block de un solo uso resuelven pocos problemas prácticos actuales en criptografía. Hay cifrados de alta calidad ampliamente disponibles y su seguridad no se considera actualmente una preocupación importante. [20] Estos cifrados son casi siempre más fáciles de utilizar que los block de un solo uso porque la cantidad de material clave que debe generarse, distribuirse y almacenarse de manera adecuada y segura es mucho menor. [18] Además, la criptografía de clave pública supera el problema de la distribución de claves.

Aleatoriedad verdadera

Los números aleatorios de alta calidad son difíciles de generar. Las funciones de generación de números aleatorios en la mayoría de las bibliotecas de lenguajes de programación no son adecuadas para el uso criptográfico. Incluso aquellos generadores que son adecuados para el uso criptográfico normal, incluidos /dev/random y muchos generadores de números aleatorios de hardware , pueden hacer algún uso de funciones criptográficas cuya seguridad no ha sido probada. Un ejemplo de una técnica para generar aleatoriedad pura es la medición de emisiones radiactivas . [21]

En particular, el uso único es absolutamente necesario. Por ejemplo, si y representan dos mensajes de texto sin formato distintos y cada uno de ellos está cifrado con una clave común , entonces los textos cifrados respectivos se dan por:

donde significa XOR . Si un atacante tuviera ambos textos cifrados y , entonces simplemente tomando el XOR de y se obtiene el XOR de los dos textos sin formato . (Esto se debe a que tomar el XOR de la clave común consigo misma produce un flujo de bits constante de ceros). es entonces el equivalente a un cifrado de clave en ejecución. [ cita requerida ]

Si ambos textos sin formato están en un idioma natural (por ejemplo, inglés o ruso), cada uno tiene una probabilidad muy alta de ser recuperado mediante criptoanálisis heurístico , con posiblemente algunas ambigüedades. Por supuesto, un mensaje más largo solo se puede descifrar en la parte que se superpone a un mensaje más corto, más quizás un poco más completando una palabra o frase. La explotación más famosa de esta vulnerabilidad ocurrió con el proyecto Venona . [22]

Distribución de claves

Debido a que el pad, como todos los secretos compartidos , debe transmitirse y mantenerse seguro, y el pad tiene que ser al menos tan largo como el mensaje, a menudo no tiene sentido usar un pad de un solo uso, ya que uno puede simplemente enviar el texto sin formato en lugar del pad (ya que ambos pueden ser del mismo tamaño y deben enviarse de forma segura). [18] Sin embargo, una vez que se ha enviado de forma segura un pad muy largo (por ejemplo, un disco de computadora lleno de datos aleatorios), se puede usar para numerosos mensajes futuros, hasta que la suma de los tamaños de los mensajes sea igual al tamaño del pad. La distribución de claves cuánticas también propone una solución a este problema, suponiendo computadoras cuánticas tolerantes a fallas .

Distribuir claves de un solo uso muy largas es un inconveniente y, por lo general, plantea un riesgo de seguridad significativo. [2] El bloc es esencialmente la clave de cifrado, pero a diferencia de las claves para los cifrados modernos, debe ser extremadamente largo y es demasiado difícil de recordar para los humanos. Los medios de almacenamiento como las memorias USB , los DVD-R o los reproductores de audio digitales personales se pueden utilizar para llevar un bloc de un solo uso muy grande de un lugar a otro de una manera no sospechosa, pero la necesidad de transportar el bloc físicamente es una carga en comparación con los protocolos de negociación de claves de un criptosistema de clave pública moderno. Dichos medios no se pueden borrar de forma segura de ningún modo que no sea la destrucción física (por ejemplo, la incineración). Un DVD-R de 4,7 GB lleno de datos de un bloc de un solo uso, si se tritura en partículas de 1 mm2 ( 0,0016 pulgadas cuadradas) de tamaño, deja más de 4 megabits de datos en cada partícula. [ cita requerida ] Además, el riesgo de vulneración durante el tránsito (por ejemplo, que un carterista robe, copie y reemplace el pad) es probablemente mucho mayor en la práctica que la probabilidad de vulneración para un cifrado como AES . Finalmente, el esfuerzo necesario para gestionar el material de claves de un solo uso para el pad es muy difícil de escalar para grandes redes de comunicantes: la cantidad de pads necesarios aumenta al cuadrado de la cantidad de usuarios que intercambian mensajes libremente. Para la comunicación entre solo dos personas, o una topología de red en estrella , esto es un problema menor.

El material clave debe eliminarse de forma segura después de su uso, para garantizar que nunca se reutilice y para proteger los mensajes enviados. [2] Debido a que el material clave debe transportarse de un punto final a otro y persistir hasta que se envíe o reciba el mensaje, puede ser más vulnerable a la recuperación forense que el texto simple transitorio que protege (debido a la posible remanencia de datos).

Autenticación

Tal como se utilizan tradicionalmente, los blocs de un solo uso no proporcionan autenticación de mensajes , cuya falta puede suponer una amenaza para la seguridad en los sistemas del mundo real. Por ejemplo, un atacante que sabe que el mensaje contiene "encuéntrate con Jane y conmigo mañana a las tres y media de la tarde" puede derivar los códigos correspondientes del bloc directamente de los dos elementos conocidos (el texto cifrado y el texto sin formato conocido). El atacante puede entonces sustituir ese texto por cualquier otro texto de exactamente la misma longitud, como "la reunión a las tres y media se cancela, quédate en casa". El conocimiento que tiene el atacante del bloc de un solo uso se limita a esta longitud de bytes, que debe mantenerse para que cualquier otro contenido del mensaje siga siendo válido. Esto es diferente de la maleabilidad [23], donde el texto sin formato no se conoce necesariamente. Sin conocer el mensaje, el atacante también puede invertir bits en un mensaje enviado con un bloc de un solo uso, sin que el destinatario pueda detectarlo. Debido a sus similitudes, los ataques a los blocs de un solo uso son similares a los ataques a los cifrados de flujo . [24]

Las técnicas estándar para evitar esto, como el uso de un código de autenticación de mensajes , se pueden usar junto con un sistema de bloc de notas de un solo uso para prevenir tales ataques, al igual que los métodos clásicos como el relleno de longitud variable y la copulación rusa , pero todos ellos carecen de la seguridad perfecta que tiene el propio OTP. El hash universal proporciona una forma de autenticar mensajes hasta un límite de seguridad arbitrario (es decir, para cualquier p > 0 , un hash lo suficientemente grande garantiza que incluso la probabilidad de que un atacante sin límites computacionales tenga éxito en la falsificación sea menor que p ), pero esto utiliza datos aleatorios adicionales del bloc de notas, y algunas de estas técnicas eliminan la posibilidad de implementar el sistema sin una computadora.

Errores comunes de implementación

Debido a su relativa simplicidad de implementación y a su promesa de secreto perfecto, el bloc de notas de un solo uso goza de gran popularidad entre los estudiantes que aprenden criptografía, especialmente porque suele ser el primer algoritmo que se presenta e implementa durante un curso. Estas "primeras" implementaciones a menudo incumplen los requisitos de seguridad teórica de la información de una o más maneras:

Usos

Aplicabilidad

A pesar de sus problemas, el block de un solo uso conserva cierto interés práctico. En algunas situaciones hipotéticas de espionaje, el block de un solo uso podría ser útil porque el cifrado y el descifrado se pueden calcular a mano con solo lápiz y papel. Casi todos los demás sistemas de cifrado de alta calidad son totalmente imprácticos sin computadoras. Sin embargo, en el mundo moderno, las computadoras (como las incorporadas en los teléfonos móviles ) son tan omnipresentes que poseer una computadora adecuada para realizar cifrado convencional (por ejemplo, un teléfono que pueda ejecutar software criptográfico oculto) por lo general no atraerá sospechas.

Criptografía cuántica y postcuántica

Un uso común del block de un solo uso en criptografía cuántica se está utilizando en asociación con la distribución de claves cuánticas (QKD). La QKD se asocia típicamente con el block de un solo uso porque proporciona una forma de distribuir una clave secreta compartida larga de forma segura y eficiente (asumiendo la existencia de hardware de red cuántica práctico ). Un algoritmo QKD utiliza propiedades de los sistemas mecánicos cuánticos para permitir que dos partes acuerden una cadena aleatoria uniforme compartida. Los algoritmos para QKD, como BB84 , también pueden determinar si una parte adversaria ha estado intentando interceptar material clave, y permiten que se acuerde una clave secreta compartida con relativamente pocos mensajes intercambiados y una sobrecarga computacional relativamente baja. En un nivel alto, los esquemas funcionan aprovechando la forma destructiva en que se miden los estados cuánticos para intercambiar un secreto y detectar manipulaciones. En el artículo original de BB84, se demostró que el block de un solo uso, con claves distribuidas a través de QKD, es un esquema de cifrado perfectamente seguro . [27] Sin embargo, este resultado depende de que el esquema QKD se implemente correctamente en la práctica. Existen ataques a sistemas QKD del mundo real. Por ejemplo, muchos sistemas no envían un solo fotón (u otro objeto en el estado cuántico deseado) por bit de la clave debido a limitaciones prácticas, y un atacante podría interceptar y medir algunos de los fotones asociados con un mensaje, obteniendo información sobre la clave (es decir, filtrando información sobre el pad), mientras pasa fotones no medidos correspondientes al mismo bit de la clave. [28] La combinación de QKD con un pad de un solo uso también puede flexibilizar los requisitos para la reutilización de claves. En 1982, Bennett y Brassard demostraron que si un protocolo QKD no detecta que un adversario estaba tratando de interceptar una clave intercambiada, entonces la clave puede reutilizarse de manera segura mientras se preserva el secreto perfecto. [29]

El block de un solo uso es un ejemplo de criptografía postcuántica, porque el secreto perfecto es una definición de seguridad que no depende de los recursos computacionales del adversario. En consecuencia, un adversario con un ordenador cuántico no podría obtener más información sobre un mensaje cifrado con un block de un solo uso que un adversario con un ordenador clásico.

Usos históricos

Los blocs de un solo uso se han utilizado en circunstancias especiales desde principios del siglo XX. En 1923, fueron utilizados para comunicaciones diplomáticas por el estamento diplomático alemán. [30] El Servicio Diplomático de la República de Weimar comenzó a utilizar el método alrededor de 1920. La ruptura de la pobre criptografía soviética por parte de los británicos , con mensajes hechos públicos por razones políticas en dos casos en la década de 1920 ( caso ARCOS ), parece haber hecho que la Unión Soviética adoptara los blocs de un solo uso para algunos fines alrededor de 1930. También se sabe que los espías de la KGB han utilizado blocs de un solo uso de lápiz y papel más recientemente. Los ejemplos incluyen al coronel Rudolf Abel , que fue arrestado y condenado en la ciudad de Nueva York en la década de 1950, y los "Krogers" (es decir, Morris y Lona Cohen ), que fueron arrestados y condenados por espionaje en el Reino Unido a principios de la década de 1960. Ambos fueron encontrados con blocs físicos de un solo uso en su posesión.

Varias naciones han utilizado sistemas de libretas de un solo uso para su tráfico confidencial. Leo Marks informa que la Dirección de Operaciones Especiales británica utilizó libretas de un solo uso en la Segunda Guerra Mundial para codificar el tráfico entre sus oficinas. Las libretas de un solo uso para su uso con sus agentes en el extranjero se introdujeron a finales de la guerra. [14] Algunas de las máquinas de cifrado de cinta de un solo uso británicas incluyen la Rockex y la Noreen . La Stasi Sprach Machine alemana también era capaz de utilizar cintas de un solo uso que Alemania del Este, Rusia e incluso Cuba utilizaban para enviar mensajes cifrados a sus agentes. [31]

El codificador de voz SIGSALY de la Segunda Guerra Mundial también era una forma de sistema de un solo uso. Añadía ruido a la señal en un extremo y lo eliminaba en el otro. El ruido se distribuía a los extremos del canal en forma de grandes discos de goma laca que se fabricaban en pares únicos. Surgieron problemas de sincronización inicial y de deriva de fase a largo plazo que tuvieron que resolverse antes de poder utilizar el sistema. [32]

La línea directa entre Moscú y Washington DC , establecida en 1963 después de la Crisis de los Misiles de Cuba de 1962 , utilizaba teleimpresoras protegidas por un sistema comercial de cintas de un solo uso. Cada país preparaba las cintas de codificación utilizadas para codificar sus mensajes y las enviaba a través de su embajada en el otro país. Una ventaja única del OTP en este caso era que ninguno de los dos países tenía que revelar al otro métodos de cifrado más sensibles. [33]

Las Fuerzas Especiales del Ejército de los Estados Unidos utilizaron libretas de un solo uso en Vietnam. Mediante el uso del código Morse con libretas de un solo uso y transmisión de radio de onda continua (el portador del código Morse), lograron tanto el secreto como la fiabilidad de las comunicaciones. [34]

A partir de 1988, el Congreso Nacional Africano (ANC) utilizó discos de un solo uso como parte de un sistema de comunicación seguro entre los líderes del ANC fuera de Sudáfrica y los agentes dentro del país como parte de la Operación Vula [35] , un esfuerzo exitoso para construir una red de resistencia dentro de Sudáfrica. Los números aleatorios en el disco se borraban después de su uso. Un asistente de vuelo belga actuó como mensajero para traer los discos de uso. Se necesitaba un reabastecimiento regular de nuevos discos, ya que se usaban con bastante rapidez. Un problema con el sistema era que no podía usarse para el almacenamiento seguro de datos. Más tarde, Vula agregó un cifrado de flujo codificado por códigos de libros para resolver este problema. [36]

Un concepto relacionado es el de código de un solo uso , una señal que se utiliza una sola vez; por ejemplo, "Alpha" para "misión completada", "Bravo" para "misión fallida" o incluso "Torch" para " invasión aliada del norte de África francesa " [37] no se puede "descifrar" en ningún sentido razonable de la palabra. Para comprender el mensaje se necesitará información adicional, a menudo "profundidad" de repetición, o algún análisis de tráfico . Sin embargo, estas estrategias (aunque a menudo las utilizan agentes reales y entrenadores de béisbol ) [38] no son un bloc de notas criptográfico de un solo uso en ningún sentido significativo.

NSA

Al menos hasta la década de 1970, la Agencia de Seguridad Nacional de los Estados Unidos (NSA) produjo una variedad de libretas manuales de un solo uso, tanto de uso general como especializadas, y en el año fiscal 1972 se produjeron 86.000 libretas de un solo uso. Las libretas de uso especial se produjeron para lo que la NSA llamó sistemas "pro forma", donde "el marco básico, la forma o el formato de cada texto de mensaje es idéntico o casi idéntico; el mismo tipo de información, mensaje tras mensaje, se presenta en el mismo orden, y solo cambian valores específicos, como números, con cada mensaje". Entre los ejemplos se incluyen los mensajes de lanzamiento nuclear y los informes de radiogoniometría (COMUS). [39] : págs. 16-18 

Los blocs de uso general se produjeron en varios formatos: una simple lista de letras al azar (DIANA) o simplemente números (CALYPSO), blocs diminutos para agentes encubiertos (MICKEY MOUSE) y blocs diseñados para codificar más rápidamente mensajes cortos, a costa de una menor densidad. Un ejemplo, ORION, tenía 50 filas de alfabetos de texto simple en un lado y las letras de texto cifrado aleatorias correspondientes en el otro lado. Al colocar una hoja sobre un trozo de papel carbón con el papel carbón hacia arriba, se podía rodear con un círculo una letra de cada fila en un lado y la letra correspondiente en el otro lado quedaría rodeada por el papel carbón. De este modo, una hoja ORION podía codificar o decodificar rápidamente un mensaje de hasta 50 caracteres de longitud. La producción de los blocs ORION requería imprimir ambos lados en registro exacto, un proceso difícil, por lo que la NSA cambió a otro formato de bloc, MEDEA, con 25 filas de alfabetos emparejados y caracteres aleatorios. ( Véase Commons:Categoría:Blocs de un solo uso de la NSA para ver ilustraciones).

La NSA también construyó sistemas automatizados para las "sedes centrales de la CIA y las unidades de las Fuerzas Especiales, de modo que puedan procesar de manera eficiente los numerosos mensajes separados de un solo uso que se envían y reciben de los titulares de los blocs en el campo". [39] : págs. 21–26 

Durante la Segunda Guerra Mundial y en la década de 1950, Estados Unidos hizo un uso extensivo de sistemas de cinta de un solo uso. Además de proporcionar confidencialidad, los circuitos asegurados por cinta de un solo uso funcionaban continuamente, incluso cuando no había tráfico, protegiendo así contra el análisis del tráfico . En 1955, la NSA produjo unos 1.660.000 rollos de cinta de un solo uso. Cada rollo tenía 8 pulgadas de diámetro, contenía 100.000 caracteres, duraba 166 minutos y costaba 4,55 dólares producirlo. En 1972, solo se produjeron 55.000 rollos, ya que las cintas de un solo uso fueron reemplazadas por máquinas de rotor como SIGTOT, y más tarde por dispositivos electrónicos basados ​​en registros de desplazamiento . [39] : pp. 39–44  La NSA describe sistemas de cinta de un solo uso como 5-UCO y SIGTOT como utilizados para el tráfico de inteligencia hasta la introducción del cifrado electrónico basado en KW-26 en 1957. [40]

Hazañas

Si bien los blocs de notas de un solo uso brindan un secreto perfecto si se generan y se utilizan correctamente, pequeños errores pueden llevar a un criptoanálisis exitoso:

Véase también

Notas

  1. ^ La longitud real de un mensaje de texto simple se puede ocultar mediante la adición de partes extrañas, llamadas relleno . Por ejemplo, un texto cifrado de 21 caracteres podría ocultar un mensaje de 5 caracteres con alguna convención de relleno (por ejemplo, "-PADDING- HOLA -XYZ-") tanto como un mensaje real de 21 caracteres: un observador puede, por lo tanto, deducir solo la longitud máxima posible del texto significativo, no su longitud exacta.
  2. ^ Es decir, la " ganancia de información " o divergencia de Kullback-Leibler del mensaje de texto simple respecto del mensaje de texto cifrado es cero.
  3. ^ La mayoría de los algoritmos de cifrado asimétrico se basan en el hecho de que los algoritmos más conocidos para la factorización prima y el cálculo de logaritmos discretos son los de tiempo superpolinomial. Existe la firme creencia de que estos problemas no se pueden resolver con una máquina de Turing en un tiempo que se escale polinomialmente con la longitud de entrada, lo que hace que sea difícil (con suerte, prohibitivamente) descifrarlos mediante ataques criptográficos. Sin embargo, esto no ha sido demostrado.

Referencias

  1. ^ Lugrin, Thomas (2023), Mulder, Valentin; Mermoud, Alain; Lenders, Vincent; Tellenbach, Bernhard (eds.), "One-Time Pad", Tendencias en protección de datos y tecnologías de cifrado , Cham: Springer Nature Switzerland, págs. 3–6, doi : 10.1007/978-3-031-33386-6_1 , ISBN 978-3-031-33386-6
  2. ^ abcd «Introducción a las estaciones de números». Archivado desde el original el 18 de octubre de 2014 . Consultado el 13 de septiembre de 2014 .
  3. ^ "Libreta de un solo uso (OTP)". Cryptomuseum.com. Archivado desde el original el 14 de marzo de 2014. Consultado el 17 de marzo de 2014 .
  4. ^ ab Shannon, Claude (1949). "Teoría de la comunicación de los sistemas secretos" (PDF) . Bell System Technical Journal . 28 (4): 656–715. doi :10.1002/j.1538-7305.1949.tb00928.x.
  5. Frank Miller (1882). Código telegráfico para asegurar la privacidad y el secreto en la transmisión de telegramas  – vía Wikisource .
  6. ^ ab Bellovin, Steven M. (2011). "Frank Miller: inventor de la libreta de un solo uso". Criptología . 35 (3): 203–222. doi :10.1080/01611194.2011.583711. ISSN  0161-1194. S2CID  35541360.
  7. ^ "'Patente de sistema de señalización secreta' en Google.Com". google.com . Archivado desde el original el 11 de marzo de 2016 . Consultado el 3 de febrero de 2016 .
  8. ^ Kahn, David (1996). Los descifradores de códigos . Macmillan . Págs. 397-8. ISBN. 978-0-684-83130-5.
  9. ^ "Preguntas frecuentes sobre One-Time-Pad (Vernam's Cipher), con foto". Archivado desde el original el 2006-05-07 . Consultado el 2006-05-12 .
  10. Savory, Stuart (2001). «Chiffriergerätebau: One-Time-Pad, with photo» (en alemán). Archivado desde el original el 2011-05-30 . Consultado el 2006-07-24 .
  11. ^ abc Kahn, David (1967). Los descifradores de códigos . Macmillan . Págs. 398 y siguientes. ISBN . 978-0-684-83130-5.
  12. ^ John Markoff (25 de julio de 2011). «Codebook Shows an Encryption Form Dates Back to Telegraphs» (Libro de códigos muestra que una forma de cifrado data de la época de los telégrafos). The New York Times . Archivado desde el original el 21 de mayo de 2013. Consultado el 26 de julio de 2011 .
  13. ^ Peng, Weiping; Cui, Shuang; Song, Cheng (20 de enero de 2021). Raja, Gulistan (ed.). "Algoritmo de cifrado de un solo uso basado en mapeo de confusión y tecnología de almacenamiento de ADN". PLOS ONE . ​​16 (1): e0245506. Bibcode :2021PLoSO..1645506P. doi : 10.1371/journal.pone.0245506 . ISSN  1932-6203. PMC 7817086 . PMID  33471849. 
  14. ^ ab Marks, Leo (1998). Entre la seda y el cianuro: la historia de un creador de códigos, 1941-1945. HarperCollins. ISBN 978-0-684-86780-9.
  15. ^ Sergei N Molotkov (Instituto de Física del Estado Sólido, Academia Rusa de Ciencias, Chernogolovka, región de Moscú, Federación Rusa) (22 de febrero de 2006). "Criptografía cuántica y teoremas de muestreo y clave única de VA Kotel'nikov". Physics-Uspekhi . 49 (7): 750–761. Bibcode :2006PhyU...49..750M. doi :10.1070/PU2006v049n07ABEH006050. S2CID  118764598. Archivado desde el original el 2008-12-10 . Consultado el 2009-05-03 .{{cite journal}}: CS1 maint: multiple names: authors list (link)Números PACS: 01.10.Fv, 03.67.Dd, 89.70.+c y abiertamente en ruso Квантовая криптография и теоремы В.А. Котельникова об одноразовых ключах об отсчетах. УФН
  16. ^ Mosca, Michele; Tapp, Alain; de Wolf, Ronald (27 de marzo de 2000). "Canales cuánticos privados y el costo de aleatorizar la información cuántica". arXiv : quant-ph/0003101 .
  17. ^ Robert Wallace y H. Keith Melton, con Henry R. Schlesinger (2008). Spycraft: The Secret History of the CIA's Spytechs, from Communism to al-Qaeda [El espionaje: la historia secreta de los espías de la CIA, desde el comunismo hasta Al Qaeda]. Nueva York: Dutton . pág. 436. ISBN. 978-0-525-94980-0.
  18. ^ abcd Schneier, Bruce. "Libretas de un solo uso". Archivado desde el original el 3 de abril de 2005.
  19. ^ ab Shannon, Claude E. (octubre de 1949). "Teoría de la comunicación de los sistemas secretos" (PDF) . Bell System Technical Journal . 28 (4): 656–715. doi :10.1002/j.1538-7305.1949.tb00928.x. hdl :10338.dmlcz/119717. Archivado desde el original (PDF) el 20 de enero de 2012 . Consultado el 21 de diciembre de 2011 .
  20. ^ Lars R. Knudsen y Matthew Robshaw (2011). The Block Cipher Companion. Springer Science & Business Media. Págs. 1–14. ISBN 978-3642173424. Recuperado el 26 de julio de 2017 .
  21. ^ Singh, Simon (2000). El libro de códigos. Estados Unidos: Anchor Books. pp. 123. ISBN 978-0-385-49532-5.
  22. ^ "Las traducciones y los sistemas criptográficos de la KGB" (PDF) . La historia de Venona . Fort Meade, Maryland : Agencia de Seguridad Nacional . 15 de enero de 2004. págs. 26-27 (28-29 de 63 en PDF). Archivado desde el original (PDF) el 10 de mayo de 2009 . Consultado el 3 de mayo de 2009 . El centro de fabricación de material criptográfico de la KGB en la Unión Soviética aparentemente reutilizó algunas de las páginas de los cuadernos de un solo uso. Esto le proporcionó una oportunidad a Arlington Hall .
  23. ^ Safavi-Naini, Reihaneh (2008). Information Theoretic Security: Third International Conference, ICITS 2008, Calgary, Canadá, 10-13 de agosto de 2008, Actas. Springer Science & Business Media. ISBN 978-3540850922– a través de Google Books.
  24. ^ ab Boneh, Dan. "Ataques a los cifrados de flujo y a The One Time Pad: descripción general del curso y cifrados de flujo". Coursera . Consultado el 21 de marzo de 2022 .
  25. ^ ab "Las traducciones de Venona" (PDF) . La historia de Venona . Fort Meade, Maryland : Agencia de Seguridad Nacional . 2004-01-15. p. 17 (de 63 en PDF) pero marcada 15. Archivado desde el original (PDF) el 2009-05-10 . Consultado el 2009-05-03 . La capacidad de Arlington Hall para leer los mensajes de VENONA era irregular, siendo una función del código subyacente, los cambios de clave y la falta de volumen. Del tráfico de mensajes de la oficina de la KGB en Nueva York a Moscú, el 49 por ciento de los mensajes de 1944 y el 15 por ciento de los mensajes de 1943 eran legibles, pero esto era cierto solo en el 1,8 por ciento de los mensajes de 1942. En el caso de los mensajes de la oficina de la KGB en Washington a Moscú de 1945, solo el 1,5 por ciento eran legibles. Se leyó aproximadamente el 50 por ciento de los mensajes del GRU-Naval de Washington a Moscú/de Moscú a Washington de 1943, pero ninguno de los otros años.
  26. ^ Una "forma de combinar múltiples algoritmos de bloques" de modo que "un criptoanalista deba descifrar ambos algoritmos" en el §15.8 de Applied Cryptography, Second Edition: Protocols, Algorithms, and Source Code in C de Bruce Schneier. Wiley Computer Publishing, John Wiley & Sons, Inc.
  27. ^ ab Bennett, Charles; Brassard, Giles (1984). "Criptografía cuántica: distribución de claves públicas y lanzamiento de moneda". Ciencias de la computación teórica . 560 : 7–11. arXiv : 2003.06557 . doi :10.1016/j.tcs.2014.05.025. S2CID  27022972.Nota: Este artículo se publicó originalmente en 1984, pero fue retractado y la versión en ArXiv es una reimpresión de 2014 del artículo de 1984.
  28. ^ Dušek, Miloslav; Haderka, Ondřej; Hendrych, Martin (1999-10-01). "Ataque generalizado de división de haz en criptografía cuántica con estados coherentes tenues". Optics Communications . 169 (1): 103–108. Bibcode :1999OptCo.169..103D. doi :10.1016/S0030-4018(99)00419-8. ISSN  0030-4018.
  29. ^ Bennett, Charles; Brassard, Giles; Breidbart, Seth (2014). "Criptografía cuántica II: cómo reutilizar un bloc de un solo uso de forma segura incluso si P=NP". Natural Computing . 13 (4): 453–458. doi :10.1007/s11047-014-9453-6. PMC 4224740 . PMID  25400534. S2CID  3121156. Nota: Esta es también una reimpresión del artículo original de 1982.
  30. ^ Kahn, David (1996). Los descifradores de códigos . Macmillan . Págs. 402-403. ISBN. 978-0-684-83130-5.
  31. ^ "Máquina de lenguaje Morse de la Stasi". Centro de Información e Investigación de Estaciones de Números. Archivado desde el original el 13 de marzo de 2015. Consultado el 1 de marzo de 2015 .
  32. ^ "Agencia de Seguridad Nacional | Servicio Central de Seguridad > Acerca de nosotros > Patrimonio criptológico > Personajes históricos y publicaciones > Publicaciones > Segunda Guerra Mundial > Historia de Sigsaly". 24 de febrero de 2019. Archivado desde el original el 24 de febrero de 2019. Consultado el 27 de marzo de 2022 .
  33. ^ Kahn, David (1967). Los descifradores de códigos . Macmillan . Págs. 715 y siguientes. ISBN . 978-0-684-83130-5.
  34. ^ Hieu, Phan Duong (abril de 2007). "Criptología durante las guerras francesa y estadounidense en Vietnam" (PDF) . Cryptologia . 41 (6): 1–21. doi :10.1080/01611194.2017.1292825. S2CID  3780267 . Consultado el 14 de abril de 2020 .
  35. ^ "Operación Vula: una red secreta holandesa contra el apartheid", Archivos de Radio Holanda, 9 de septiembre de 1999
  36. ^ Jenkin, Tim (mayo-octubre de 1995). "Hablando con Vula: La historia de la red secreta de comunicaciones subterráneas de la Operación Vula". Mayibuye . Archivado desde el original el 26 de agosto de 2014 . Consultado el 24 de agosto de 2014 . Nuestro sistema se basaba en el bloc de un solo uso, aunque en lugar de tener blocs de papel, los números aleatorios estaban en un disco.
  37. ^ Pidgeon, Geoffrey (2003). "Capítulo 28: Bill Miller – Té con los alemanes". La guerra secreta inalámbrica: la historia de las comunicaciones del MI6 entre 1939 y 1945. UPSO Ltd. pág. 249. ISBN 978-1-84375-252-3.
  38. ^ Johnson, Tim. "¿Qué significan todas esas señales con las manos? Dentro del lenguaje oculto del béisbol y el sóftbol" . Consultado el 14 de junio de 2024 .
  39. ^ abcd Boak, David G. (julio de 1973) [1966]. A History of US Communications Security; the David G. Boak Lectures, Vol. I (PDF) (edición de revisión de desclasificación de 2015). Ft. George G. Meade, MD: Agencia de Seguridad Nacional de los Estados Unidos. Archivado desde el original (PDF) el 25 de mayo de 2017. Consultado el 23 de abril de 2017 .
  40. ^ Klein, Melville (2003). "Securing Record Communications: The TSEC/KW-26" (PDF) . NSA. Archivado desde el original (PDF) el 13 de febrero de 2006. Consultado el 12 de mayo de 2006 .
  41. ^ Erskine, Ralph, "La seguridad de Enigma: lo que los alemanes realmente sabían", en Action this Day , editado por Ralph Erskine y Michael Smith, págs. 370–386, 2001.

Lectura adicional

Enlaces externos