Foros:
Según publica hoy la prensa, un físico valenciano, Vicent Martínez Sancho, ha patentado un sistema de cifrado seguro
Ahora, un nuevo procedimiento, la criptografía de residuos permite la misma seguridad del cifrado de Vernam sin límite de información. El físico Vicent Martínez Sancho, profesor de la Universitat de València es el padre de este nuevo sistema publicado el pasado 15 de noviembre en la Oficina Europea de Patentes, organismo que le ha otorgado la mayor calificación posible, la categoría A, en novedad, actividad inventiva y aplicación industrial.
A ver si alguien se anima a explicarnos qué es eso de la "criptografía de residuos"...
Hay interés
Querido Agustín,
Hoy mismo, un ex-alumno de Martínez Sancho nos ha dirigido un mensaje enlazando a la noticia y solicitando de nosotros una opinión más cualificada, por cuanto los titulares de prensa... ejem... ya se sabe.
A ver si hay suerte y nos enteramos de algún detalle más.
El más indicado
El más indicado para obtener información detallada y fehaciente del invento es el alumno del meritorio profesor. Yo le sugeriría que le hiciera una entrevista más técnica que la que viene en la prensa, y que la publicara en esta página.
Ex
Repito, ex-alumno. Supongo que hace años de eso y no existe la posibilidad de entrevista.
La patente
http://invenes.oepm.es/InvenesWeb/detalle?referencia=PCT/ES2011/070331
Para descargar el pdf:
http://worldwide.espacenet.com/espacenetDocument.pdf?flavour=trueFull&lo...
Analizando el funcionamiento...
Según lo descrito en el artículo el funcionamiento se basa en que el mensaje se encripta utilizando dos claves (una "normal" y otra de "procedimiento")... evidentemente si se trasmiten el criptograma y cada una de las claves por separado el método es "más seguro" que transmitir una clave y el criptograma ya que hay que interceptar tres "mensajes" y relacionarlos entre si.
Sin embargo, si pensamos en las protecciones de obras audiovisuales, la cosa falla, puesto que el reproductor ha de saber la clave de descifrado y el método, por tanto una ingeniería inversa daría en poco tiempo con el método de descifrado... como hasta ahora. Porque no se dan cuenta que es imposible proteger un DVD dado que cada reproductor es una maquina descifradora automática y basta con analizarla para reventar todo el tinglado.
Un saludo
Escéptico...
Mi conocimiento de criptología es básico y está bastante oxidado, pero no me convence mucho lo que se expone en la patente: lo que se llama "clave de protocolo" está pidiendo a gritos ser una secuencia pseudoaleatoria, con lo que no se ganaría mucho respecto al one-time pads de toda la vida. Por lo demás, el algoritmo parece básicamente una S-box, con la particularidad de que se puede seleccionar al azar una posición entre varias (es decir, en vez realizar siempre la misma sustitución para cada entrada, se puede elegir entre n sustituciones posibles). Por otra parte, tiene pinta de ser bastante ineficiente en espacio.
Aunque se demostrara que es robusto, no lo veo práctico con relación a los cifrados existentes.
No cumple ni la propiedad de difusión.
A textos planos parecidos, le corresponden textos cifrados parecidos.
¿Seguro? Si no cumple la
¿Seguro? Si no cumple la propiedad de difusión y efectivamente a textos planos parecidos les corresponden cifrados similares, mis AG se lo merendarían crudo, algo que ni siquiera pueden hacer con FOTP o Rubik2. ¿Cómo conseguiste esa información? Si hiciste una prueba sería estupendo que la pusieses aquí..
Por lo que llevo leído del procedimiento, no veo por que no va a cumplir la propiedad de difusión.
Suelta un tufillo raro, raro
Asi de entrada, y gracias al PDF que acaban de ofrecernos por aquí arriba: en la pagina 3, linea 21: "Por lo que respecta a los sistemas de cifrado simetrico, uno de los lenguajes mas solventes continua siendo el llamado algoritmo DES (Data Encryption Standard)". Alguien que supuestamente ha inventado algo criptograficamente relevante, y que en la solicitud de patente suelta semejante pedrada, pierde bastante credito para mi. Que no tiene ni puta idea, vamos, ni está mínimamente al día.
Mientras que no se verifique que el método realmente vale algo, esta patente es humo.
Ya oi hace años a algún otro iluminado que decía que se había inventado un metodo de transmision wireless que multiplicaba por 100 las tasas de transferencia de entonces (y ya me sonó raro no haber oido nada en los foros "oficiales": IEEE, ACM y similares). Y efectivamente, un pufo como una casa.
Con esto pasa lo mismo: si la primera vez que se oye hablar de un nuevo metodo de cifrado es en un articulo de El Pais y en una solicitud de patente, y no en una revista o asociación de Matematicos, o en un foro especializado como este, huele a pufo que echa para atras.
Ojala me equivoque, pero de momento me quedo con AES.
Después de una lectura rápida
Veo lo que intentan hacer y me plantea muchas dudas. Lo primero que me llama la atención es lo terriblemente inflacionista que es. Multiplica por mucho la información que se transmite (el mensaje de ejemplo "la reunión será mañana jueves" acaba requiriendo más de 460 digitos del 1 al 9). Después, requiere de muchos acuerdos previos entre las partes, incluyendo intercambios de claves que no se explica como se va a realizar. Si se espera utilizarlo en comunicaciones implicará pues el uso de mecanismos previos existentes como sistemas de clave pública, que condicionarán toda la seguridad posterior.
En dichos sistemas de comunicaciones cifradas, la parte simétrica es la que se supone más eficiente (si no fuera así podríamos seguir con la asimétrica). Un algoritmo simétrico tan ineficiente como éste no le veo razón de ser.
Después, para emplearlo como sistema de cifrado para soportes, volvemos al tema de la inflación, Su coste en volumen de información será un handicap importante. Tampoco parece estar diseñado para una implementación informática. ¿Por qué se trabaja en una base decimal?.
Por lo que respecta a sus bases matemáticas, no acabo de ver en que consiste ese Teorema de residuos (no he sabido verlo formulado ni aplicado). Se afirma también que su espacio de claves es Aleph-0, pero respecto a las tablas de residuos, dado que las dimensiones estarán fijadas por un pacto previo entre las partes, la cardinalidad será, de facto, finita.
Respecto a su seguridad también tengo mis dudas ya que parece que las condiciones iniciales (desorden de la matriz y aplicación de la clave de protocolo) se mantienen constantes a lo largo de todo el proceso, por largo que sea, cosa que no me parece nada recomendable. De todos modos, si tengo tiempo (escaso, muy escaso) a lo mejor lo implemento y así confirmo o desmiento estas primeras impresiones, que quizás he ido muy rápido en la lectura.
Sería estupendo que lo
Sería estupendo que lo pudieses implementar, para hacerle alguna prueba y ver como respira. A lo mejor nos lee el autor, y nos manda una.
Totalmente de acuerdo con todos vosotros
Como patentar la idea puede hacerlo, pero no se porque le han otorgado una A y se infla de tanto orgullo algo que no podemos probar y que a primera vista nos esta pareciendo poco eficiente y de difícil implementación, para colmo vulnerable. Hasta que no salga una implementación oficial es mejor olvidarse de ello y seguir peleandose con Rubik2.
Me rechinan los infinitos
Vale que el lenguaje usado en una reclamación de patente es más bien coloquial que técnico, pero hay frases que me rechinan, y mucho: "Si consideramos todos los textos claros posibles de un determinado idioma hemos de concluir que dicho número es infinito" Y eso es falso a menos que consideremos la posibilidad de textos de longitud infinita. Para textos de una longitud dada, el número de combinaciones es ciertamente finito (véase los conceptos de "Biblioteca Universal", por ejemplo en http://bitnavegante.blogspot.com.es/2009/01/kurd-lasswitz-la-biblioteca-...)
El uso constante del término "pirata" es obviamente lo que ha llamado la atención de las agencias de medios, pero en sí no dice nada. Es puramente convencional.
Y por todo lo demás, tiene las mismas vulnerabilidades que cualquier otro sistema de clave simétrica: el acuerdo de las claves.
Finalmente, hay una frase que me parece oro: "Ya la plantilla [...] es un Criptograma Seguro de Shannon". ¡Por supuesto que lo es! Puesto que se supone para empezar que para generarla se ha acordado entre las partes una clave única y de un sólo uso (cuaderno de claves de un sólo uso). O sea que el gran invento consiste en aplicar dos veces la técnica de cuaderno de un solo uso. Y eso es supuestamente más seguro que hacerlo una única vez. Todo en unas bonitas 41 páginas. ¿Y de verdad le han dado un premio a esto?
No parece serio.
Tal vez me equivoque, pero un análisis somero de las partes del algoritmo revela que aunque se intenta practicar la confusión (especialmente en el texto ;-), la difusión brilla por su ausencia.
La matriz de residuos es muy similar a una secuencia de dígitos base 9 (pero +1). Al aplicarle una serie de permutaciones de columna y fila estamos aplicando una función matemática fácilmente reversible.
La tabla de equivalencia hace algo similar.
La clave de protocolo engorda el resultado, con más confusión.
Pero ninguna de ellas difunde la información a través del mensaje, por lo que probablemente sea susceptible de ataques por sustitución, inserción o supresión de segmentos. Sólo añadir una autenticación clásica de contenidos podría detectarlos.
Parece más un juego que una clave real. Pero puedo equivocarme, claro.
Premios y calificaciones
Me parece a mí que en la patente del invento no se recoge ninguna valoración explícita sobre su calidad ni, por supuesto, se le otorga premio alguno. Uno diseña un algoritmo, o una cafetera, presenta su pequeña farfolla -en este caso no tan pequeña- y la Agencia se limita a comprobar que la cosa no esté ya patentada. No puede tener capacidad para entrar en análisis matemáticos del sistema,ni es su cometido.
No he estudiado a fondo el algoritmo, pero coincido en que se arroga más infinitos de los que se ven a primera vista. Por otra parte, desde mi ignorancia sobre la negociación de protocolos, me da la impresión de que el punto más débil de la cadena será la comunicación vía e-mail, si es que he entendido bien la propuesta.
También me ha llamado la atención que en el desarrollo aparece un número ALEATORIO de cuyo método de generación no se dice nada.
Imagino que si se trata de algo interesante la comunidad criptográfica internacional se hará eco de ello, oye, y aparecerá algún artículo por ahí, lo que no quita que nosotros tratemos de estudiarlo por nuestra cuenta.
Le echaremos una segunda lectura.
Este criptosistema me
Este criptosistema me recuerda un poco al cifrado furtivo del sr Torner Al final sí que existe un cifrado perfecto, que no necesita OTP, y que no es otro que el cifrado homofónico de varios órdenes. Puede hacerse un cifrado homofónico de orden 4, por ejemplo, que cifre englobándolos 4 textos diferentes. Aunque el criptoanálisis los desvele, no hay forma de saber cuál es el bueno, no hay criptografía cuántica que valga.
Una posible vulnerabilidad
http://www.kriptopolis.com/posible-vulnerabilidad-criptografia-residuos
Bueno, espero no haberme equivocado en nada ni haberos aburrido.
Un saludo a todos, y siento no poder participar más a menudo.
Encantado de verte otra vez
Encantado de verte otra vez por aquí. Sólo puedo recomendarte que lo publiques, aunque sea como una simple nota en alguna revista especializada, porque tu ataque tiene un interés público indudable, tanto para cualquiera que esté interesado en la implementación práctica del criptosistema, como para el propio autor de la patente.
Saludos, Tokamak. Lo mismo te
Saludos, Tokamak. Lo mismo te digo. Bueno, lo de la publicación, lo considero ya publicado aquí porque, ¿qué mejor sitio que Kriptópolis para publicar algo del mundo de la Criptografía?. Además, Admin (un saludo, Admin) ya lo ha destacado en primera página (espero que lo que he expuesto no tenga fallos, que luego vendrán las críticas :) ), lo cual me sorprendió al entrar. Creo que no necesita publicarse en otros sitios. Pero te agradezco tu recomendación.
Posible explicación del Teorema de los Residuos
Busqué en la Wikipedia esto del teorema de los residuos, y venía algo que no se parecía mucho a lo que pone el documento.
Por otro lado, he estado repasando las fórmulas que vienen en el documento, y me he encontrado cosas un poco raras. Por ejemplo, la fórmula para calcular el segundo dígito menos significativo del valor que se pondrá en el criptograma. Viene dado por:
p=sumatorio(dígitos)-9xentero(sumatorio(dígitos)/9)
Esta fórmula queda resumida en p=N mod 9, donde N es el número que forman los dígitos de las posiciones k. Se demuestra fácilmente:
La expresión kxint(N/k) es equivalente a M-(M mod k). Basta expresar el entero M en base k, tenemos que M/k desplaza la coma decimal una posición a la izquierda, y al hallar la parte entera, nos queda el mismo número, pero sin el dígito menos significativo. Al multiplicar por k, estamos añadiendo un 0 a la derecha del número. Este valor es lo mismo que M-(dígito menos significativo de M), pero este dígito menos significativo es M mod k, por lo que nos queda M-(M mod k).
Ahora, la expresión M-kxint(M/k) nos queda M-(M-(M mod k))=M mod k.
Estamos trabajando módulo 9. Comprobemos que M mod 9=sumatorio(dígitos M) mod 9. Como sabemos, en base 10, los números pueden expresarse, en función de sus dígitos, como sumatorio(10^i*dígito(i)). Puesto que 10=1(mod 9), y aplicando las reglas de las congruencias, tenemos que 10^i=1^i=1(mod 9). Por tanto, sumatorio(10^i*dígito(i))=sumatorio(dígito(i))(mod 9).
Así, pues, queda claro que la expresión p=sumatorio(dígitos)-9xentero(sumatorio(dígitos)/9) es p=N mod 9, con N el número formado por los dígitos indicados en la expresión.
La segunda expresión es R-sumatorio(dígitos)-p-9xentero((R-sumatorio(dígitos)-p)/9).
Por lo visto antes, esta expresión es equivalente a la expresión R-sumatorio(dígitos)-p(mod 9). Aplicando las reglas de las congruencias, podemos expresar el sumatorio como cualquier entero con la misma clase residual módulo 9, que vendrá dado como sumatorio(dígitos) mod 9. Vimos antes que esta expresión, módulo 9, es equivalente a N mod 9, así que podemos expresar lo anterior como R-N-p(mod 9). Pero también vimos que p=N mod 9, por lo que queda R-N-N(mod 9), es decir, R-2xN(mod 9).
La expresión que nos permite obtener R es sumatorio(todos los dígitos)-9xentero(sumatorio(todos los dígitos)/9), que es equivalente a sumatorio(todos los dígitos)(mod 9). Pero todos los dígitos son los dígitos de N más p más el último dígito, llamémosle q, así que podemos expresarlo como sumatorio(dígitos N)+p+q(mod 9). Como vimos antes, en módulo 9 podemos expresar el sumatorio de los dígitos como N, por lo que queda N+p+q(mod 9). Sustituyento p y q por las expresiones obtenidas antes, queda N+N+R-2xN(mod 9)=R(mod 9).
Supongo que éste es el famoso Teorema de los Resíduos que indicaba su autor, solo que el autor lo ha complicado un poquillo.
Pero de todo esto se puede deducir que el valor de p no es necesario para el cálculo de R. Vimos que el valor de q viene dado por R-2xN(mod 9). Si d es el dígito, tenemos que d=R-2xN(mod 9), que nos da el dígito, y si queremos calcular R conociendo d, nos queda R=d+2xN(mod 9). Como se ve, el valor de p es innecesario.
Reedición:
---------------------------------
Se me olvidó indicar que la presencia de este valor p, que es innecesario, es una enorme ayuda al criptoanálisis. En la vulnerabilidad indicada, se buscan grupos de dígitos gracias a que los valores de p y de q dependen del resto de dígitos. La probabilidad de que dos dígitos al azar cumplan la condición para que el bloque sea candidato (un falso positivo) es de 1/100, frente a la probabilidad de 1/10 en caso de que no se hubiera incluido el dígito p. Es decir, de esta forma tenemos una probabilidad de falsos positivos 10 veces menor que si no se hubiera incluído el dígito p, lo que acelera el criptoanálisis
Hay que ver
Hay que ver qué cabeza tiene este chico...
Muy buen estudio..
Por procedimiento, el autor de un criptosistema no puede proclamar que es totalmente seguro -y que "marcará un antes y un después"- sin haberlo sometido al escrutinio de la comunidad criptográfica internacional.
Muchas gracias, Agustín
Muchas gracias, Agustín. De esto me surge una preocupación. En la patente se propone utilizar este criptosistema en muchos sectores, incluyendo el sector de Defensa Nacional. ¿Que pasaría si una persona con una autoridad inversamente proporcional a sus conocimientos en Criptografía lo lee y decide implementarlo?. Espero que existan protocolos en todos los sectores para impedir esta catástrofe, cualquiera que sea el sector involucrado
Que nos invadan
Dada la línea de actuación del actual gobierno lo mejor sería que nuestra defensa fracasara estrepitosamente, con la esperanza de que los invasores lo hicieran mejor. Es broma. claro.
Sí que da miedo, porque esa proporcionalidad inversa a la que aludes, suele darse en la práctica, pero no sólo en lo referente a la criptografía.
opinar