Criptografía para enamorados 💖

Transcript

1. Criptografía para enamorados Eva Ferreira – OWASP Uruguay 2025

2. Hola, ¡Soy Eva! Front-end Engineer @ mabl Google Developer Expert

   & organizadora de CSSConf Argentina @evaferreira92
3. None

4. “Nuevo abecedario” @evaferreira92

5. Ñ

6. None
7. None

8. E S T O Y E N A M O

   R A D A D E P E D R O

9. Dos cosas que no sabía @evaferreira92

10. 1. Pedro se volvería un boludo. @evaferreira92

11. 2. Había creado un cifrado Eva’s version @evaferreira92

12. Cifrado @evaferreira92

13. Cifrado Algoritmo para encriptar y desencriptar data @evaferreira92

14. Cifrado Un abecedario privado, entre mi amiga y yo para

    hablar de boludeces que creíamos muy importantes en la escuela primaria. @evaferreira92

15. La mágia de una buena encriptación Keys, el escondite de

    esas keys y… aleatoriedad

16. Key - El papelito • No es solamente un sistema

    • Es un código • Es, idealmente, aleatorio @evaferreira92

17. Aleatoriedad De alta calidad, e impredecible @evaferreira92

18. asdfasdfasdfasdfs

19. asdfasdfasdfasdfs Sarasa predecible.

20. No es random, no es seguro @evaferreira92

21. Una buena encriptación Mantené tu clave segura Que sea random

    @evaferreira92

22. Encriptación a través de la historia Back to the future

    al pasado

23. 1,900 AC – Egipto

24. 1,500 AC – Mesopotamia

25. 700 AC – Griegos - Scytale

26. 100 AC – El cifrado de Cesar

27. 700 DC – al-Khalil

28. Criptografía pre-moderna • Hacer tumbas más sofisticadas • Por diversión

    • Para vender cosas • Batallas @evaferreira92

29. Encriptación Analógica ¡Con un papel ya es suficiente! @evaferreira92

30. Cifrados Clásicos • Substitution • Transposition • Concealment / Null

    @evaferreira92

31. Substitution Cambiar X por Y @evaferreira92

32. Cifrados monoalfabéticos X siempre se va a cifrar a Y

    @evaferreira92

33. Cesar’s cipher A B C D E F G H

    I J K L M N O P Q R S T U V W X Y Z @evaferreira92

34. Cesar’s cipher A B C D E F G H

    I J K L M N O P Q R S T U V W X Y Z @evaferreira92 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

35. Cesar’s cipher A B C D E F G H

    I J K L M N O P Q R S T U V W X Y Z @evaferreira92 D E F G H I J K L M N O P Q R S T U V W X Y Z A B C

36. @evaferreira92

37. WKH PHVVDJH LV RYHU WKH WUHH THE THE

38. THE PHVVDJH LV RYHU THE WUHH WKH WKH

39. THE PEVVDJE LV RYEU THE TUEE WKH H H H

    WKH W HH

40. THE PEVVDJE LV RYEU THE TREE WKH H H H

    WKH WUHH

41. THE PEVVDJE LV RYER THE TREE WKH H H HU

    WKH WUHH

42. THE PEVVDJE IS OVER THE TREE WKH H H LV

    RYHU WKH WUHH

43. THE PESSDJE IS OVER THE TREE WKH HVV H LV

    RYHU WKH WUHH

44. THE MESSAGE IS OVER THE TREE WKH PHVVDJH LV RYHU

    WKH WUHH

45. O, podes contar las letras y darte cuenta de que

    es -3 a la derecha

46. Relative frequency of letters

47. WKH PHVVDJH LV RYHU WKH WUHH

48. O, mandárselo a ChatGTP

49. Eva Vs. Cesar • El cifrado de Cesar  No

    tenía una key  No era random • La Eva de 10 años creó uno mejor que Cesar • Y tenía una ñ @evaferreira92

50. Once you know, you know.

51. Cifrados Polialfabéticos 1,300 DC en adelante

52. Vigenère •Mediados del siglo XVI • Usado por Los Confederados

    en la Guerra Civil •“Construido sobre” El research de Giovan Battista Bellaso Trithemius’ Tabula recta @evaferreira92

53. Vigenère • Múltiples cifrados de Cesar juntos @evaferreira92

54. Vigenère • Múltiples cifrados de Cesar juntos • Seleccionas una

    key  Una frase o una palabra  La repetís hasta que tenga la longitud del texto a ocultar  Cuanto más largo, mejor @evaferreira92

55. Vigenère • OWASP • “Karma is a cat” @evaferreira92

56. Vigenère karmaisacat owaspowaspo @evaferreira92

57. Vigenère Karmaisacat Owaspowaspo @evaferreira92

58. Vigenère kArmaisacat oWaspowaspo Y @evaferreira92

59. Vigenère kaRmaisacat owAspowaspo YW @evaferreira92

60. Vigenère kaRmaisacat owAspowaspo YWR @evaferreira92

61. Vigenère karmaisacat owaspowaspo YWREPWOAUPH @evaferreira92

62. Vigenère karmaisacat… m owaspowaspo… s YWREPWOAUPH… E @evaferreira92

63. Vigenère • La letra “X” no siempre se cifra a

    “Y” • Idealmente, la key es tan larga como el plaintext • Podes encriptar más de una vez • Jugar con el diccionario  Agregas una Ñ, una ẞ, empezas con C, usas números… @evaferreira92

64. Transposition cipher Como Scrabble, scrabbleleas las letras @evaferreira92

65. Rail Fence H O P O A W S L

    A @evaferreira92 HOP

66. Rail Fence H O P O A W S L

    A @evaferreira92 HOPOAWS

67. Rail Fence H O P O A W S L

    A @evaferreira92 HOPOAWSLA

68. 700 AC – Griegos - Scytale

69. Concealment or Null cipher @evaferreira92

70. Null cipher • Ocultar mensajes entre palabras • Usado durante

    la primera Guerra Mundial @evaferreira92
71. None
72. None

73. El cifrado irrompible One time pad, matemáticamente inquebrantable @evaferreira92

74. One time pad (OTP) • Creado por Frank Miller en

    1882 • Con un papelito ya estás listo • Usado por… TODOS @evaferreira92

75. One time pad (OTP)

76. One time pad (OTP)

77. None

78. One Time Pad • Realmente tiene que ser random •

    La seguridad de la key es… MUY importante • No se puede reutilizar @evaferreira92

79. Encriptación analógica • Difícil • Time consuming • Propensa al

    error humano • Si te equivocas…  Perdes todo el mensaje…  Perdes toda la seguridad @evaferreira92

80. ¿Y si sacamos al humano? @evaferreira92

81. Encriptación mecánica Máquinas electromecánicas que utilizar rotores o “cipher wheels”

    @evaferreira92

82. Máquinas de rotores • Polyalphabetic substitution cipher • “Wheel stepping”

     La rueda se mueve con cada key-down @evaferreira92
83. None

84. Enigma machine

85. Lorenz cipher

86. Siemens-Halske machine

87. Geheimschreiber

88. WWII is over… ¡¿Y qué pasa después!?

89. ¡Computadoras! Y con un gran poder…

90. Encriptación digital Tenías dos problemas @evaferreira92

91. Encriptación digital Tenías dos problemas, agrega tecnología y ahora tenes

    +1,000 @evaferreira92

92. A resolver: Seguridad de la Key & Randomización @evaferreira92

93. Resolver la aleatoriedad digital ‘Cause computers can’t random like we

    do! @evaferreira92

94. Pseudo random • Las computadoras son determinísticas • True randomness

    is unpredictable  Por lo tanto, no puede ser creado por un proceso determinístico @evaferreira92

95. Una fuente de aleatoriedad y más poder de cómputo

96. HRNG • Hardware random number generator (HRNG) • True random

    number generator (TRNG) • Non-deterministic random bit generator (NRBG) @evaferreira92

97. HRNG • Mouse movements • Time between keystrokes* • Atmospheric

    noise • Lava lamps @evaferreira92

98. “The Wall of Entropy” @evaferreira92

99. None

100. Dos usuarios, una clave • Usuario 1  Passw0rd 

     127e6fbfe24a8138275…b8e5d98c3c92df2caba935 • Usuario 2  Passw0rd  127e6fbfe24a8138275…b8e5d98c3c92df2caba935 @evaferreira92

101. Nonce, salts y IV • Usuario 1  Passw0rdejrtoelks 

     c73d08de89047956f41…d38b405f014118c8c3caba • Usuario 2  Passw0rdirunvcbml  cf99d88e5f34271ye24…3c81ebd3e29138e5d983er @evaferreira92

102. Nonce, salts y IV • Introducir singularidad para evitar outputs

     predecibles • Usado en hashing y en encriptación • No necesitas mantenerlo un secreto @evaferreira92

103. Resolviendo Aleatoriedad • Sistemas de aleatoriedad, de verdad • Un

     poquito de condimento para conseguir singularidad @evaferreira92

104. Resolviendo la seguridad de la key digital ¿Y si no

     lo resolvemos? @evaferreira92

105. RSA • Creado ahí por 1977 • Por Ron Rivest,

     Adi Shamir and Leonard Adleman (R S A) • Claves públicas y privadas • Factorización de números primos @evaferreira92

106. P * Q = 77 * oversimplified Private key Public

     key

107. 7 * 11 = 77 “Fácil” con números pequeños @evaferreira92

108. Encontrar los factores de números primos muuuy largos puede llevar

     millones de años.

109. And we lived happily ever after Fin.

110. @evaferreira92

111. El Algoritmo de Shor • Allá en 1994 • Quantum

     algorithm for finding prime factors of an integer @evaferreira92

112. P * Q = N

113. Encontrar los factores de números primos muuuy largos puede llevar

     millones de años.

114. Encontrar los factores de números primos muuuy largos puede llevar

     millones de años.

115. @evaferreira92

116. El Algoritmo de Shor • Allá en 1994 • Quantum

     algorithm for finding prime factors of an integer @evaferreira92

117. Quantum computers @evaferreira92

118. Bits Vs. Qubits

119. Bits. Vs. Qubits Bit

120. Bits. Vs. Qubits Bit

121. Bits. Vs. Qubits Bit

122. Bits. Vs. Qubits Bit

123. Bits 0 xor 1

124. Bits. Vs. Qubits Qubit Qubit Qubit Qubit

125. Bits. Vs. Qubits Qubit Qubit Qubit Qubit Qubit Qubit Qubit

     Qubit Qubit Qubit Qubit Qubit

126. Qubits

127. Encontrar los factores de números primos muuuy largos puede llevar

     millones de años

128. Encontrar los factores de números primos muuuy largos puede llevar

     millones de años … un par de segundos.

129. Banca, era 1994.

130. @evaferreira92

131. @evaferreira92

132. @evaferreira92

133. Store now, decrypt later.

134. The search for Post-quantum cryptography El después del algoritmo de

     Shor’s @evaferreira92

135. NIST National Institute of Standards and Technology @evaferreira92

136. National metric week @evaferreira92

137. Post-Quantum Cryptography • NIST abrió una llamada a propuestas en

     2015 • Mucho back and forth con la comunidad • 3 nuevos estándares listos para ser usados  Interoperables con los sistemas actuales  https://csrc.nist.gov/projects/ @evaferreira92

138. Post-Quantum Cryptography •Enfoques híbridos Google / Cloudflare / W3C (FIDO2

     y WebAuthn) Okta (“Investing”) @evaferreira92

139. Recap • La criptografía nos acompaña hace siglos • Analógica

     Mecánica Digital • Para bien y para mal, depende de humanos • Es una cuestión de tiempo; las quantum computers van a romper nuestros estándares actuales • Gente muy inteligente está buscando quantum- resistant standards hace más de 10 años

140. ¡Gracias! @evaferreira92