1、 Unin Internacional de TelecomunicacionesUIT-T X.1035SECTOR DE NORMALIZACIN DE LAS TELECOMUNICACIONES DE LA UIT (02/2007) SERIE X: REDES DE DATOS, COMUNICACIONES DE SISTEMAS ABIERTOS Y SEGURIDAD Seguridad de las telecomunicaciones Protocolo de intercambio de claves con autenticacin mediante contrase
2、a Recomendacin UIT-T X.1035 RECOMENDACIONES UIT-T DE LA SERIE X REDES DE DATOS, COMUNICACIONES DE SISTEMAS ABIERTOS Y SEGURIDAD REDES PBLICAS DE DATOS Servicios y facilidades X.1X.19 Interfaces X.20X.49 Transmisin, sealizacin y conmutacin X.50X.89 Aspectos de redes X.90X.149 Mantenimiento X.150X.179
3、 Disposiciones administrativas X.180X.199 INTERCONEXIN DE SISTEMAS ABIERTOS Modelo y notacin X.200X.209 Definiciones de los servicios X.210X.219 Especificaciones de los protocolos en modo conexin X.220X.229 Especificaciones de los protocolos en modo sin conexin X.230X.239 Formularios para declaracio
4、nes de conformidad de implementacin de protocolo X.240X.259 Identificacin de protocolos X.260X.269 Protocolos de seguridad X.270X.279 Objetos gestionados de capa X.280X.289 Pruebas de conformidad X.290X.299 INTERFUNCIONAMIENTO ENTRE REDES Generalidades X.300X.349 Sistemas de transmisin de datos por
5、satlite X.350X.369 Redes basadas en el protocolo Internet X.370X.379 SISTEMAS DE TRATAMIENTO DE MENSAJES X.400X.499 DIRECTORIO X.500X.599 GESTIN DE REDES DE INTERCONEXIN DE SISTEMAS ABIERTOS Y ASPECTOS DE SISTEMAS Gestin de redes X.600X.629 Eficacia X.630X.639 Calidad de servicio X.640X.649 Denomina
6、cin, direccionamiento y registro X.650X.679 Notacin de sintaxis abstracta uno X.680X.699 GESTIN DE INTERCONEXIN DE SISTEMAS ABIERTOS Marco y arquitectura de la gestin de sistemas X.700X.709 Servicio y protocolo de comunicacin de gestin X.710X.719 Estructura de la informacin de gestin X.720X.729 Func
7、iones de gestin y funciones de arquitectura de gestin distribuida abierta X.730X.799 SEGURIDAD X.800X.849 APLICACIONES DE INTERCONEXIN DE SISTEMAS ABIERTOS Compromiso, concurrencia y recuperacin X.850X.859 Procesamiento de transacciones X.860X.879 Operaciones a distancia X.880X.889 Aplicaciones genr
8、icas de la notacin de sintaxis abstracta uno X.890X.899 PROCESAMIENTO DISTRIBUIDO ABIERTO X.900X.999 SEGURIDAD DE LAS TELECOMUNICACIONES X.1000 Para ms informacin, vase la Lista de Recomendaciones del UIT-T. Rec. UIT-T X.1035 (02/2007) i Recomendacin UIT-T X.1035 Protocolo de intercambio de claves c
9、on autenticacin mediante contrasea Resumen En la Recomendacin UIT-T X.1035 se especifica un protocolo que garantiza la autenticacin mutua de las dos partes que participan en el acto de establecer una clave criptogrfica simtrica mediante el intercambio Diffie-Hellman. La utilizacin del intercambio Di
10、ffie-Hellman garantiza el secreto perfecto en adelante, que es, a su vez, una propiedad de un protocolo de establecimiento de claves que garantiza que una clave de sesin o una clave privada a largo plazo comprometidas despus de una determinada sesin no comprometan ninguna sesin anterior. Gracias al
11、mtodo de autenticacin propuesto el intercambio queda protegido de ataques hombre en medio. La autenticacin se basa en un secreto precompartido (por ejemplo, una contrasea), que es protegido (es decir, se garantiza que siga sin ser revelado) contra quien escuche solapadamente, impidindose as un ataqu
12、e de diccionario fuera de lnea. Por esta razn, el protocolo puede utilizarse en aplicaciones en que los secretos precompartidos se basan en la posibilidad de que exista una contrasea dbil. Orgenes La Recomendacin UIT-T X.1035 fue aprobada el 13 de febrero de 2007 por la Comisin de Estudio 17 (2005-2
13、008) del UIT-T por el procedimiento de la Recomendacin UIT-T A.8. ii Rec. UIT-T X.1035 (02/2007) PREFACIO La UIT (Unin Internacional de Telecomunicaciones) es el organismo especializado de las Naciones Unidas en el campo de las telecomunicaciones. El UIT-T (Sector de Normalizacin de las Telecomunica
14、ciones de la UIT) es un rgano permanente de la UIT. Este rgano estudia los aspectos tcnicos, de explotacin y tarifarios y publica Recomendaciones sobre los mismos, con miras a la normalizacin de las telecomunica-ciones en el plano mundial. La Asamblea Mundial de Normalizacin de las Telecomunicacione
15、s (AMNT), que se celebra cada cuatro aos, establece los temas que han de estudiar las Comisiones de Estudio del UIT-T, que a su vez producen Recomendaciones sobre dichos temas. La aprobacin de Recomendaciones por los Miembros del UIT-T es el objeto del procedimiento establecido en la Resolucin 1 de
16、la AMNT. En ciertos sectores de la tecnologa de la informacin que corresponden a la esfera de competencia del UIT-T, se preparan las normas necesarias en colaboracin con la ISO y la CEI. NOTA En esta Recomendacin, la expresin “Administracin“ se utiliza para designar, en forma abreviada, tanto una ad
17、ministracin de telecomunicaciones como una empresa de explotacin reconocida de telecomunicaciones. La observancia de esta Recomendacin es voluntaria. Ahora bien, la Recomendacin puede contener ciertas disposiciones obligatorias (para asegurar, por ejemplo, la aplicabilidad o la interoperabilidad), p
18、or lo que la observancia se consigue con el cumplimiento exacto y puntual de todas las disposiciones obligatorias. La obligatoriedad de un elemento preceptivo o requisito se expresa mediante las frases “tener que, haber de, hay que + infinitivo“ o el verbo principal en tiempo futuro simple de mandat
19、o, en modo afirmativo o negativo. El hecho de que se utilice esta formulacin no entraa que la observancia se imponga a ninguna de las partes. PROPIEDAD INTELECTUAL La UIT seala a la atencin la posibilidad de que la utilizacin o aplicacin de la presente Recomendacin suponga el empleo de un derecho de
20、 propiedad intelectual reivindicado. La UIT no adopta ninguna posicin en cuanto a la demostracin, validez o aplicabilidad de los derechos de propiedad intelectual reivindicados, ya sea por los miembros de la UIT o por terceros ajenos al proceso de elaboracin de Recomendaciones. En la fecha de aproba
21、cin de la presente Recomendacin, la UIT no ha recibido notificacin de propiedad intelectual, protegida por patente, que puede ser necesaria para aplicar esta Recomendacin. Sin embargo, debe sealarse a los usuarios que puede que esta informacin no se encuentre totalmente actualizada al respecto, por
22、lo que se les insta encarecidamente a consultar la base de datos sobre patentes de la TSB en la direccin http:/www.itu.int/ITU-T/ipr/. UIT 2007 Reservados todos los derechos. Ninguna parte de esta publicacin puede reproducirse por ningn procedimiento sin previa autorizacin escrita por parte de la UI
23、T. Rec. UIT-T X.1035 (02/2007) iii NDICE Pgina 1 Alcance . 1 2 Referencias . 1 3 Definiciones 1 4 Abreviaturas, siglas o acrnimos 1 5 Convenios . 1 6 Descripcin del protocolo. 2 7 Consideraciones de seguridad. 3 Bibliografa 5 iv Rec. UIT-T X.1035 (02/2007) Introduccin Aunque el intercambio Diffie-He
24、llman garantiza el secreto perfecto en recepcin, resulta, como es bien sabido, vulnerable ante ataques hombre en medio. Hay varios mtodos que permiten mitigar esa clase de ataque, algunos de los cuales se basan en criptografa de claves pblicas, mientras que otros se basan en secretos compartidos (co
25、ntraseas). En la presente Recomendacin se especifica un protocolo de este ltimo tipo. Concretamente, el mtodo de autenticacin propuesto permite proteger el intercambio contra ataques hombre en medio. La autenticacin se basa en un secreto precompartido posiblemente dbil, que se oculta (esto es, perma
26、nece no revelado) contra quien escuche solapadamente, lo cual impide ataques de diccionario fuera de lnea. As pues, el protocolo mencionado puede utilizarse en una amplia gama de aplicaciones en las cuales se utilizan secretos precompartidos tales como los basados en contraseas. Las ventajas del int
27、ercambio de claves de contrasea autntica PAK son las siguientes: Permite proceder a intercambios de claves fuertes con contraseas dbiles. Burla los ataques hombre en medio. Proporciona una autenticacin mutua explcita. Garantiza el secreto perfecto en adelante. En los documentos que se enumeran en la
28、 bibliografa se ofrece informacin adicional sobre el intercambio de claves con autenticacin mediante contrasea. Rec. UIT-T X.1035 (02/2007) 1 Recomendacin UIT-T X.1035 Protocolo de intercambio de claves con autenticacin mediante contrasea 1 Alcance En esta Recomendacin se da una descripcin del proto
29、colo de intercambio de claves con autenticacin mediante contrasea (PAK), protocolo que atiende a los siguientes requisitos: Permite proceder a una autenticacin mutua basndose en una clave precompartida. Proporciona proteccin contra ataques hombre en medio y de diccionario fuera de lnea. La Recomenda
30、cin ofrece tambin orientacin para seleccionar los parmetros del intercambio de claves Diffie-Hellman. 2 Referencias Las siguientes Recomendaciones del UIT-T y otras referencias contienen disposiciones que, mediante su referencia en este texto, constituyen disposiciones de la presente Recomendacin. A
31、l efectuar esta publicacin, estaban en vigor las ediciones indicadas. Todas las Recomendaciones y otras referencias son objeto de revisiones por lo que se preconiza que los usuarios de esta Recomendacin investiguen la posibilidad de aplicar las ediciones ms recientes de las Recomendaciones y otras r
32、eferencias citadas a continuacin. Se publica peridicamente una lista de las Recomendaciones UIT-T actualmente vigentes. En esta Recomendacin, la referencia a un documento, en tanto que autnomo, no le otorga el rango de una Recomendacin. TIA 683-D TIA Standard TIA-683-D (2006), Over-the-Air Service P
33、rovisioning of Mobile Stations in Spread Spectrum Systems. 3 Definiciones Ninguna. 4 Abreviaturas, siglas o acrnimos En esta Recomendacin se utilizan las siguientes abreviaturas, siglas o acrnimos. PAK Intercambio de claves con autenticacin mediante contrasea (password-authenticated key exchange) PW
34、 Contrasea (password) SHA Algoritmo de troceado seguro (secure hash algorithm) WLAN Red inalmbrica de rea local (wireless local area network) 5 Convenios En esta Recomendacin se utilizan los siguientes convenios: a mod b denota ltimo resto no negativo cuando a se divide por b. Hi(u) denota una funci
35、n de troceado convenida (por ejemplo, basada en SHA-1) que se computa a lo largo de una cuerda u, donde i = 1, 2, 3, La funcin Hi() rige con independencia de las funciones aleatorias. Se recomienda el recurso a diferentes funciones aleatorias en el protocolo PAK para fortalecer la seguridad de este
36、protocolo. s|t denota la concatenacin de las cuerdas s y t. 2 Rec. UIT-T X.1035 (02/2007) 6 Descripcin del protocolo El acuerdo de clave Diffie-Hellman hace necesario que tanto el remitente como el receptor de un mensaje creen sus propios nmeros aleatorios secretos e intercambien los exponentes de s
37、us respectivos nmeros. Al elevar el valor intercambiado con sus nmeros aleatorios secretos, ambas partes pueden computar el mismo secreto compartido, clave Diffie-Hellman. En el PAK hay dos partes que comunican, A y B, las cuales comparten una contrasea (PW) secreta. Se procede a seleccionar cuidado
38、samente las constantes globales Diffie-Hellman pblicamente conocidas, un nmero primo p y un generador g, de tal modo que: 1) un nmero primo p seguro sea lo suficientemente largo como para hacer inviable el cmputo del logaritmo discreto; y 2) las potencias de g mdulo p abarcan toda la gama de nmeros
39、enteros p-1 que van de 1 a p-1. En un principio, A selecciona un exponente secreto RAy computa pgARmod ; B selecciona un exponente secreto RB y computa pgBRmod . En aras de la eficiencia, cabe la posibilidad de utilizar exponentes cortos para RAy RB,siempre y cuando su tamao no sea inferior a un det
40、erminado mnimo. En los siguientes pasos todas las operaciones de multiplicacin deberan realizarse con mdulo p, de tal modo que todos los valores que intercambian las partes que comunican no sobrepasen p. En consecuencia, todas las operaciones de divisin debern hacerse tambin con mod p. De ser as: 1)
41、 A inicia el intercambio escogiendo un RAaleatorio y enviando a B la cantidad )mod()|(1pgPWBAHXAR= . 2) Al recibir dicha cantidad, B verifica que X no adopte un valor nulo y procede a dividir X por )|(1PWBAH para recuperar pgARmod . A continuacin, B elige un RBaleatorio y computa )mod)|(|mod|)|(|(11
42、31= pPWBAHXpgPWBAHXPWBAHSBBRRe )mod()|(2pgPWBAHYBR= . B enva a A un mensaje que contiene las cantidades S1 e Y. 3) Al recibir el mensaje citado y verificar que Y no sea cero, A puede autenticar B, recuperando lo que debera ser pgBRmod y computando S1. Si el resultado es igual al valor recibido, A co
43、mputar la clave )mod)|(|)|(|mod|(225= pPWBAHYPWBAHYpgPWBAHKAARRPara autenticarse a s mismo y completar el intercambio, A computa tambin la cantidad y la enva a B. )mod)|(|)|(|mod|(2242= pPWBAHYPWBAHYpgPWBAHSAARRRec. UIT-T X.1035 (02/2007) 3 4) B autentica A computando 2S y verificando el resultado s
44、obre la base del valor recibido de A. Si ambos valores son idnticos, B computa tambin la clave )mod)|(|mod|)|(|(115= pPWBAHXpgPWBAHXPWBAHKBBRR. La ejecucin del protocolo se detendr si dichas verificaciones fracasan; de otro modo, ambas partes se han autentificado entre s y establecido la correspondi
45、ente clave. El resumen de los pasos anteriores se ilustra en la figura 1 donde P denota A|B|PW (P = A|B|PW) y se han simplificado algunas frmulas. Parte A Parte B )mod()(1pgPHXAR= XVerificar que el valor recibido no sea 0 pgPHpgPHARARmod)()mod()(11=)mod|mod|mod|(31pgpgpgPHSBRARBRAR=Calcular S1y veri
46、ficar que es igual al valor recibido de B para S1YS ,1)mod()()mod|mod|mod|(231pgPHYpgpgpgPHSBRBRARBRAR=)mod|mod|mod|(42pgpgpgPHSBRARBRAR=2S)mod|mod|mod|(42pgpgpgPHSBRARBRAR=Calcular S2y verificar que es igual al valor recibido de A para S2)mod|mod|mod|(5pgpgpgPHKBRARBRAR=)mod|mod|mod|(5pgpgpgPHKBRAR
47、BRAR=Figura 1 Descripcin del protocolo PAK 7 Consideraciones de seguridad En esta clusula se examinan los aspectos de seguridad de PAK. Concretamente, se proporciona orientacin sobre la seleccin de los parmetros Diffie-Hellman. Slo habra que utilizar en el protocolo PAK valores previamente convenido
48、s para los parmetros p y g. Esto resulta necesario si la idea es protegerse contra un atacante que enve valores de p y g y de este modo impulse engaosamente a la otra parte comunicante a proceder a una exponenciacin Diffie-Hellman inadecuada. Utilizar los parmetros p y g de manera no conforme con los requisitos descritos en esta Recomendacin puede comprometer la contrasea. En TIA 683-D se publican sendos valores adecuados de 1024 bits para p y g. Asimismo, hay que sealar que si se utilizan exponentes c
