Make your own free website on Tripod.com

PROBLEMA TIPO MOCHILA


CIFRADOS TIPO MOCHILA
Están basados en el problema NP- completo de la mochila, y se describen como más característicos los siguientes tipos:
1.- MERKLE-HELLMAN (1978) [MEH 78]
Que se utiliza para secreto, y no para preservar la autenticación de la firma.
2.- GRAHAM-SHAMIR (1984) [SHAM 84]
Que al igual que el anterior se utiliza para secreto, y no permite preservar la autenticación.
Los métodos de la mochila, válidos para proveer a la vez secreto y autenticación tienen el inconveniente de que se resuelven en tiempo polinómico [DENN 83].
Este criptosistema ha caído en desuso debido a que la mayoría de sus implementaciones han sido rotas por criptoanálisis [SHAM 84], no obstante aún existen algunos criptosistemas basados en el que aquí se presenta que todavía son seguros, aunque muy poco utilizados.
Definición: El problema de la mochila tramposa o simple o fácil, puede plantearse en los siguientes términos: sea W={w1, w2, ..., wn } un conjunto finito dado de números enteros, y sea s = wi1 + ... + wit , con i1<...< it, una subsuma de elementos de W. Se trata de determinar el subconjunto {wi1, ..., wit } de W, conocido W y s. El nombre de mochila asignado al problema se debe a que s puede pensarse como la capacidad de una mochila, y los elementos de W como los tamaños de diferentes objetos; se trata entonces de saber si la mochila se puede llenar con un número exacto de objetos y determinar qué objetos son éstos.
Dado que W es finito, también lo es el número de posibles subconjuntos; por tanto el problema se puede resolver, aunque la dificultad estriba en hacerlo de forma eficiente. Conviene señalar que puede haber dos subconjuntos de W con la misma suma, y que para determinados conjuntos W es muy sencillo encontrar la solución. Por ejemplo, si W=(1, 2, 22, 23, ...,2k,...) entonces basta con calcular la expresión de s en base binaria.
Definición: Una sucesión de números enteros w1 < w2 < ... < wk < ... se dice supercreciente o una sucesión de crecimiento rápido, si se verifica que wi+1 > w1 + ...+ wi , para todo i. Si W = {w1, ..., wn } es una parte de una sucesión supercreciente y se conoce la suma s de un subconjunto de W, es fácil determinar dicho subconjunto. Basta considerar el mayor elemento de W menor que s, wit , luego el mayor elementos de W menor que s - wit , wi(t-1) , y así sucesivamente. Es claro que para el problema de la mochila 0 < w1.


ALGORITMO DE MERKLE-HELLMAN (M-H) Y SU SEGURIDAD

a) Algoritmo de Merkle - Hellman
Este método se basa en el problema NP-completo de la mochila de tipo 0-1 o problema de la mochila fácil, y el mayor atractivo que tiene es su fácil implementación en un programa y su gran rapidez, unas 100 veces más rápido que el RSA. También hay que decir que para cifrar bloques de 200 bits (n = 200) en la mochila, almacenar el vector mochila W = (w1 , ..., wn ) requiere del orden de 80 Kb, si consideramos que cada wi es , de media, de 400 bits, mientras que con el RSA necesitaríamos, solamente, 1 Kb para almacenar su clave.
Dado C entero positivo, W = (w1, ..., wn ) un vector con componentes wi enteros positivos para todo i. Se trata de encontrar M = (m1 , ..., mn), mi = 0 ó 1, 1< i < n, Tal que C = W.M ó C = w1 m1 + ... + wn mn
EJEMPLO:
Sea n = 5, C = 14 y W = (l, l0, 5, 22, 3), entonces M = (1,1,0,0,1).
Este problema es NP-completo y se resuelve en un tiempo de magnitud 0(2n/2) que es un tiempo exponencial y crece mucho cuando n se hace grande, lo que lo hace altamente ineficaz de resolver.

Sin embargo, existe el problema de la mochila simple que se resuelve en un tiempo lineal de complejidad 0(n), en el cual los wi son supercrecientes. Lo que implica que mn = 1 si y sólo si C > wn . Y para i = n-l, n-2, ..., l se verifica que:
EJEMPLO:
Sea W = (1, 3, 5, 10, 22). La solución que se obtiene fácilmente es (1,1,0,1,0), para C = 14 del anterior ejemplo.
Un problema de la mochila simple o fácil se puede convertir en una función trampa difícil de resolver sin la información adicional, para ello:
1) Se escoge un vector del problema simple W' = (w1', ..., wn'). Esto permite una solución sencilla de: C'= W'.M .
2) Se elige un entero u tal que: u > 2.wn' > w1' + ... + w n' .
3) Se elige un entero v tal que MCD (u, v) = 1 y el inverso multiplicativo del mismo número v-1 mod u se obtiene de v.v-1 mod u = 1.
4) El vector W' se transforma en el. W = v W' mod u, donde, wi = wi' mod u.
Así, resolver C = W .M es difícil, pero si se conoce la información adicional v -1 y u el problema es más sencillo, pues se puede convertir el problema C = W .M en el C' = W' .M, fácil de resolver. Ya que:
C' = v -1. C mod u
= v -1. W .M. mod u
= v -1. (v. W') . M mod u
= W' .M mod u
= W' . M
El procedimiento de cifrado sería el siguiente:
Sea EA el algoritmo cifrado que utiliza la clave pública A, y DAV el algoritmo de descifrado que utiliza (W', u , v -1 ) la clave privada.
El mensaje inicial se trocea en bloques de n bits (cardinal de W) M = (m1, ..., mn ) y cada bloque se cifra según: C = EAB (M) = W .M .
El mensaje C se descifra calculando: DAV (C) = Algoritmo Simple (v-1 . C mod u, W') = M.

EJEMPLO:
Sea W = (1, 2, 5, 9), u = 20 y v = 7. Entonces v -1 = 3 el vector W se convierte en el W' = v.W ó wi '= v. wi mod u. La clave privada es ((1, 2, 5, 9), 3, 20).
W' = (7.l mod 20, 7.2 mod 20, 7.5 mod 20, 7.9 mod 20) = (7, 14, l 5, 3), esto es la clave pública.
Sea C = 13, el mensaje, que corresponde al vector binario M = (1,1,0,1).
Entonces:
C' = EAB (M) = 7 +14 +3 = 24
DAV (C') = DAV (24)
= Algoritmo Simple (3.24 mod 20, W')
= Algoritmo Simple (12, W')
= 1 + 2 + 9 = 13
EJEMPLO (Otra forma del criptosistema de la mochila):
Sea el conjunto:
{w1 = 20111, w2 = 10201, w3 = 10412, w4 = 20801, w5 = 11611, w6 = 13221}

donde los números wi forman el conjunto de objetos con los cuales llenar la mochila. Estos números han sido tomados de forma que en su posición cuarta y tercera, contadas a partir de la derecha, contienen diferentes potencias de dos (1, 2, 4, 16, 32), mientras que en la primera y segunda contienen dígitos cuya suma, extendida a todos los elementos wi , es menor que 100.
Este conjunto de números puede ser utilizado como clave de un sistema de cifrado de la forma que sigue:
Supongamos que el mensaje a transmitir es M = 101101.
El mensaje cifrado será la suma de los números wi de forma que la posición i-esima del mensaje a transmitir contenga un 1. Es decir, C' = E(m)= w1 + w3 + w4 + w6 = 64545.
Obsérvese que en las columnas cuarta y tercera se encuentra el número 45, que tiene como expansión binaria a 101101, el cual coincide con el mensaje que queríamos transmitir.
Este algoritmo, sin más precauciones, sería roto fácilmente, por eso hay que hablar de la seguridad del criptosistema de la mochila que como veremos no es tan maravillosa como se podría esperar en un principio.
EJEMPLO (Otra forma del criptosistema de la mochila):
Sea {2, 3, 7, 15, 31, 62, ...} una sucesión supercreciente. Dado que vamos a utilizar el alfabeto de 26 letras (La "ñ" no se suele contar) codificado con 0-25 y como 24 = 16 < 26 < 32 = 25, el conjunto W tendrá sólo cinco elementos, pues las letras en base binaria tendrán, como máximo, cinco bits. Así pues, W = {2, 3, 7, 15, 31} es suficiente. Por otra parte, 2 + 3 + 7 + 15 + 31 = 58, y podemos considerar u = 61 > 58. Si elegimos v = 17, primo con 61, su inverso módulo 61 es v-1 = 18. La clave pública del usuario B, por ejemplo, será W' = v .W = {34, 51, 58, 11, 39}, mientras que su clave privada es v-1 = 18, junto con v = 17, u = 61 y W.
Supongamos que el usuario A quiere mandar el mensaje "HOLA" al usuario B. A codifica el mensaje y luego lo encripta de la siguiente manera:
H: 7=1+2.3=1+2(1+2)=1+2+22 =(00111)2. -> 34 + 51 + 58 = 143,
O : 14= 2.7 = 2(1 + 2 + 22) = 2 + 22 + 23 = (01110)2. -> 51 + 58 + 11=120,
L: 11 = 1 + 2.5 = 1 + 2(1 + 22) = 1 + 2 + 23 = (01011) 2 . -> 34 + 51 + 11 = 96,
A : 0 = 0 = (00000) 2 . -> 0.
Por tanto, el mensaje a enviar a B es:
C' = (143, 120, 96, 0) mod 61 = (21, 59, 35, 0).
Para recuperar el mensaje recibido, B utiliza la sucesión supercreciente W el inverso v-1 = 18 y lleva a cabo las siguientes operaciones:
v-1.C' = (12, 25, 20, 0)
12 = 7 + 3 + 2 ~ (00111) 2 = 1 + 2 + 22 = 7 : H
25 = 15 + 7 + 3 ~ (01110) 2 = 2 + 22 + 23 = 14 : O
20 = 15 + 3 + 2 ~ (01011) 2 = 1 + 2 + 23 = 11: L
0 = 0 ~ (00000) 2 = 0 : A


b) Seguridad del Algoritmo M-H
Los autores sugieren que la longitud de n sea 100 dígitos. Schroeppel y Shamir [SCHR 79] han desarrollado un algoritmo para resolver problemas de la mochila de este tamaño con ordenes de complejidad en tiempo y espacio:
T = 0(2n/2) y S = 0(2n/4)
Para n = 100, un procesador hallaría la solución en 11.574 días y 1000 procesadores en 12 días aproximadamente.
Si n = 200, el algoritmo es ineficaz.
Los autores aconsejan que se tomen varios pares de (u, v) e iterarlos en la transformación W' = v. W mod u para que el sistema no sea vulnerable cuando se conoce u (*), pero al parecer este método también es inseguro.
Pohling [POHL78] ha demostrado que si el problema de la mochila tiene subconjuntos parcialmente ordenados (simples), puede ser factible encontrar una solución en un tiempo menor. La probabilidad de que esto ocurra no parece muy alta.
En 1983, este esquema de iteraciones del sistema de Merkle-Hellman (*) sufrió un ataque de Adleman [ADL 83] que proporcionó la evidencia de su inseguridad. Luego, Lagarias y Odlyzko [LA0 83] demostraron que cualquier criptosistema basado en una mochila de baja densidad (mochila (w1, w2, ..., wn ) tal que el número n/log2 (wn ) es pequeño), se puede romper en tiempo polinomial, en particular, este resultado se puede aplicar al sistema de Merkle-Hellman. La idea de su ataque se basa en la reconstrucción de los vectores de la mochila fácil a partir de los vectores de mochila difícil, rompiendo así el sistema.
A partir de la misma idea que sirvió como base al sistema de Merkle-Hellman, se han creado nuevas variantes, conocida con el nombre de sistemas de la mochila.
En 1982, Shamir [SHA 82] diseñó un algoritmo que resuelve en tiempo polinomial el tipo de problema de la mochila que se presenta en el sistema de Merkle-Hellman.
El ataque de Shamir procede analizando los números w1 ,w2 , ..., wn , que forman la clave de cifrado de este sistema para intentar encontrar un par de números enteros N y M tales que el conjunto { M .wi mod N } constituya una mochila fácil cuya suma sea menor que N. Para ello, es necesario suponer que el orden de los coeficientes wi corresponde al orden creciente de los coeficientes de la mochila fácil original, y hay que calcular una serie de intervalos cada vez más pequeños, donde se sabe que están cada uno de los números wi.
El procedimiento es válido siempre que la longitud de los números de la mochila fácil no sea mayor de l00 bits, pues en ese caso la consecución de los intervalos y su posterior reducción se hace infactible.
Otro punto débil del ataque está en la suposición de que el orden de los { wi }i corresponde al de la mochila fácil, pues éste es un dato que no se suele tener, y si no se tiene hay que probar todas las posibles combinaciones.
En general, el cálculo de los subintervalos se realiza resolviendo una serie de inecuaciones que son resolubles en tiempo polinomial. Una vez obtenido el intervalo final [e1 , e2 ], hay que encontrar una solución a otro problema de programación entera, consistente en obtener la fracción M/N tal que ei < M/N <= e2 Knuth ha desarrollado en [KNU 69] algunos algoritmos eficientes que resuelven este problema. A partir de estos cocientes se obtienen algunos pares (M, N) de los que se descartan aquellos tales que { M .ai mod N } no es una mochila fácil.
Muchos de estos sistemas han sido criptoanalizados utilizando herramientas del área de la aproximación diofántica [BRO 88]. Sin embargo, no todos estos sistemas han caído. Existen todavía unos pocos que resisten los ataques, como los sistemas iterados y el sistema de Chor-Rivest.
La búsqueda de sistemas de la mochila seguros continúa hoy en día por dos motivos fundamentales: se obtienen grandes velocidades de los cifrados y descifrados, y representan una alternativa elegante a los sistemas simétricos y al propio RSA. Ambas características se deben a la simplicidad de su diseño.


ALGORITMO DE GRAHAM - SHAMIR.
Este algoritmo presenta la ventaja frente al de M-H en que se disminuye el tamaño del vector en la función trampa tipo mochila a costa de aumentar el tamaño de cada componente de dicho vector.
El vector del problema simple es A' = (a'1,..., a'n ) donde cada a'j = (R j, I j, S j).
Siendo a su vez: R j y S j cadenas aleatorias de bits e I j una cadena de n bits tal que el bit j = 1 y los n-l restantes son cero. Cada cadena aleatoria S j tiene log 2 n ceros en las cifras de mayor orden, de tal forma que no se produce desbordamiento en el área de las I j 's , al operar para el cálculo de C'.
Entonces, C'= A' .M tiene representación binaria de la forma C' = (R, M, S) donde:
;
El vector de cadenas de bits ((In , Sn ), ..., (I1, S1 )), es decir, los elementos a'j listados en sentido contrario, sin las Rj's, es un vector del problema simple. Las Rj's se añaden para ocultar esta simplicidad.
Este problema tipo mochila es más simple que el de M-H, Ya que M puede extraerse directamente de la representación binaria de C'.
El vector A' del problema simple se convierte en el vector A del problema difícil al igual que en el M-H, es decir, tomando u y w y calculando A = w A' mod u , de igual forma:
C = EAB (M) = A . M.
C se descifra resolviendo
C' = w -1 . C mod u
y extrayendo de C' los bits que representan M.
Shamir y Zippel [SHAM 8O] consideran esta variante más segura, más rápida y simple de implantar que el esquema de M-H.
Ejemplo:
Sea n=5 A' se define por:

J
Rj
Ij
Sj
 
1
011010
10000
000101
=a'1
2
001001
01000
000010
=a'2
3
010010
00100
000100
=a'3
4
011000
00010
000111
=a'4
5
000110
00001
000001
=a'5

Sea M=(0, 1, 0, 0, 1) Entonces:
C' = A'. M = a'2 + a'5 = (R2 + R5 , I2 + I5 , S2 + S5 ) = (001111, 01001, 000011).
Siendo 01001 el mensaje M.

CRIPTOANALISIS DE M-H
Se ha dicho antes que el criptosistema de la mochila se puede romper facilmente (en tiempo polinomial), algunos de estos criptoanálisis fueron presentado por Shamir [SHAM 82], por Lagarias y Odlyzko [LAGA 85] y por Brickell [BRIC 83].
Cada uno de ellos es suficiente para romper el criptosistema de la mochila tipo M-H.

Ataque de Shamir
La clave pública del criptosistema de M-H es un conjunto de n números W = {w1 , ..., wn} un mensaje m = m1 , ..., mn es cifrado por C = m1 w1 + ... + mn wn . Supongamos que un atacante conoce el conjunto W y también C, cosa que no es difícil pues W es la clave pública y C puede ser interceptado pues el canal es inseguro.
El ataque de Shamir analizará los números de W e intentará encontar un par N y M tales que el conjunto {M wi mod N}i sea una sucesión supercreciente y que tenga suma total menor que N (+). Una vez que hemos encontrado ese par de números puede ocurrir que no sea el par original de la clave secreta, entonces ese par de números sería suficiente para encontrar los verdaderos pares y resolver el problema de la mochila en tiempo polinomial, así pues sólo necesitamos que exista un par de números que verifiquen (+), pero esto está garantizado pues es la base del M-H.
Expliquemos el ataque con un ejemplo.
W = {467, 355, 131, 318, 113, 21, 135, 215} esta es la clave pública.
Nosotros queremos encontrar un par de numeros N y M que cumplan (+), es decir, tales que el conjunto {M wi mod N}i sea una sucesión supercreciente y que tenga suma total menor que N.
Supongamos, que hemos descubierto, por el método que sea, un par de números M y N de posibles valores de la transformación de la clave secreta a la pública, entonces podemos encontrar los verdaderos valores de la clave secreta, veamos como.
Si encontramos M, N entonces M w 1' mod N tiene que ser menor que 2-7 N, pues la sucesión de la clave secreta es una sucesión supercreciente, (wi+1 > w 1 + ... + w i , entonces, N> w 1 + ... + w n > w1 + ... + w n-1 + (w 1 + ... + w n-1) = 2 (w 1 + ... + w n-1 ) > ... ...> 2n-1 w 1 ).
Sea y = f(m) = 467 M mod N, (estamos buscando w1).
Los ceros de esta función son: M = N/467, 2 N/467, ..., 466 N/467.

Además, para el valor de y > 2-7 N no puede darse ningún w 1, lo que implica que M pertenece al subintervalo I1 = [N/467, N/467 + 2-7 N/467] luego tenemos una familia de 466 subintervalos pequeños de [0, N] de la forma:
Ip = [p N/467, p N/467 + 2-7 N/467] y M pertenece a Ip para algún p con 1 < p < 466.
Tomamos, ahora w2' = 355 y razonamos del mismo modo, entonces
M w2' = M 355 mod N < 2-6 N, (estamos buscando w2).
Y encontramos otros intervalos Iq = [q N/355, q N/355 + 2-6 N/355] y también se verifica que M pertenece a Iq para algún q entre 1 y 354.
Luego M pertenece a las interseccciones posibles de los Ip con los Iq.
Ahora se tomaría w3', ... y se razonaría de la misma manera dando al final unos intervalos para cada una de los elementos de W' y verificandose que M pertenece a la intersección de ellos.
Si lo hacemos hasta w4' tenemos sólo dos subintervalos (las otras posibles conbinaciones se hacen el vacio), que dividiendolos por N son:
[0.053533190578, 0.053565140845]
[0.107066381156, 0.107086267606]
y en estos subintervalos es donde está la verdadera M/N de la transformación de la clave secreta a la pública, como además N <= 2 max wi', sólo tenemos un número pequeños de números para probar (para este ejemplo hay 21 pares), sólo pongo unos cuantos:

 

M

 

N
M/N
25
467

0.053533190578
50
467
0.107066381156
53
495
0.107070
28
523
0.053537
56
523
0.107074
...
...

....
53
990
0.0535353
106
990
0.107070

se toman cada uno de estos pares y se comprueba que verifican (+).

Por ejemplo:
Para (25,467) la sucesión es: 0, 2, 6, 11, 23, 58, 106, 238; no es supercreciente.
Para (50,467) la sucesión es: 0, 4, 12, 22, 46, 116, 212, 9; no es supercreciente.
Para (53,990) la sucesión es: 1, 5, 13, 24, 49, 123, 225, 505 que sí es supercreciente.
De hecho sólo los pares (28, 523) y (53, 990) dan sucesiones supercrecientes para el problema de la mochila.
Con lo cual sólo tenemos dos posibles mensajes en claro y discernir entre uno de ellos es factible.

Bibliografia

CRIPTOSISTEMA DE LA MOCHILA, Lázaro A. Escudero Ferrer
http://www.tierradelazaro.com/cripto/mochila.htm

Referencia.
departamentos.unican.es/macc/ personal/profesores/castillo/Libro/Chap2.pdf