Backdooring Post-Quantum Cryptography: Kleptographic Attacks on Lattice-based KEMs

Post-quantum Cryptography (PQC) has reached the verge of standardization competition, with Kyber as a winning candidate. In this work, we demonstrate practical backdoor insertion in Kyber through kleptrography. The backdoor can be inserted using classical techniques like ECDH or post-quantum Classic Mceliece. The inserted backdoor targets the key generation procedure where generated output public keys subliminally leak information about the secret key to the owner of the backdoor. We demonstrate first practical instantiations of such attack at the protocol level by validating it on TLS 1.3

Ciberdefensa y los usos maliciosos de la criptografía

Los objetivos principales del proyecto son el estudio, análisis, paradigmas y herramientas criptológicas modernas destinadas a la creación de software malicioso y puertas traseras criptográficas. Asimismo indagar mecanismos y metodologías que posibiliten la prevención, detección y protección para ser aplicadas en el ámbito de la Ciberdefensa Nacional. La criptografía y todas sus aplicaciones (firma digital, autenticación, etc.) suele ser conocidas por ser de las más importantes herramientas de carácter defensivo. Los últimos años esa idea viene levemente cambiando hacia el sentido opuesto. Es decir que puede emplearse en aplicaciones ofensivas y maliciosas. Las más difundidas, al menos hasta ahora, son el secuestro, la pérdida de información y la extorsión. El responsable de llevar adelante tales actos, es una nueva clase de malware, conocida como Ransomware. Otra aplicación, no tan conocida y de igual o mayor impacto aún, es el diseño e implementación de algoritmos criptográficos que incluyan las llamadas Backdoors Cryptography o puertas traseras criptográficas. Estas pueden vulnerar la confidencialidad, integridad y disponibilidad de la información que, en teoría, deberían proteger. Son evidentes las graves consecuencias sobre la ciberseguridad de usuarios particulares, empresas y organismos no gubernamentales de tales ataques. Mayor aún es el impacto que podrían tener sobre la protección de las Infraestructuras Críticas (IICC) de una sociedad, los sistemas de información y comunicación empleados en las fuerzas que defienden la nación, como así también la amenaza directa sobre la población. Si las IICC están comprometidas, en forma directa o indirecta, entonces la vulnerabilidad trasciende a la ciberseguridad, sino que afecta directamente a la Ciberdefensa. Entendidas aquí a las IICC como organizaciones relacionadas con la generación y distribución de energía, sistema financiero y bancario, organismos de salud como hospitales, servicio de potabilización y distribución de agua, saneamiento de desechos, entre otras.Red de Universidades con Carreras en Informátic

Criptografía maliciosa y ciberdefensa

El proyecto tiene por finalidad estudiar y analizar la aplicación de paradigmas y herramientas criptológicas modernas para la creación de software malicioso y puertas traseras, como así también indagar técnicas de prevención, detección y protección para ser consideradas en el ámbito de la Ciberdefensa Nacional. Aunque comúnmente se entiende a la criptografía y a sus aplicaciones como herramientas de carácter defensivo, también pueden emplearse para usos ofensivos y maliciosos; a saber, el secuestro, extorsión y pérdida de información producidos mediante software malicioso denominado ransomware, en sus distintas variantes. Por otra parte, la literatura también da cuenta de ataques en las etapas de diseño e implementación de algoritmos criptográficos, comúnmente llamados backdoors o puertas traseras, que pueden vulnerar la confidencialidad, integridad y disponibilidad. Es fácil observar las consecuencias directas sobre la ciberseguridad de usuarios particulares, empresas y organismos no gubernamentales de tales ataques. Pero un aspecto de este tipo de ataques pasa desapercibido y sin embargo tiene un impacto mayor pues amenaza directamente a la población de una ciudad, provincia o llanamente, un país completo pues es capaz de afectar a sus organismos públicos, fuerzas de seguridad, estructura militar, política y diplomática, como así también sus activos de información. Puede contribuir a la realización exitosa de ataques a las Infraestructuras Críticas, es decir, aquellas organizaciones relacionadas con la generación y distribución de energía, sistema financiero y bancario, organismos de salud como hospitales, servicio de potabilización y distribución de agua, saneamiento de desechos, entre otras. Es decir, los ataques basados en puertas traseras o backdoors podrían menoscabar la ciberdefensa de una nación.Eje: Seguridad informática.Red de Universidades con Carreras en Informátic

Ataque por Sustitución de Algoritmo Criptográfico: Implementación de prueba para OpenSSL

El presente artículo presenta la primera de una serie de implementaciones de diferentes esquemas kleptográficos. Reconociendo a la Kleptografía como un subcampo de la Criptovirología, que aborda los usos maliciosos de la criptografía y sus aplicacioines. Estas implementaciones se muestran a manera de prueba de concepto y aplicación experimental. De manera que permitan la validación y análisis de los paradigmas y herramientas criptológicas modernas para la creación de software malicioso. Asimismo se persigue la elaboración de técnicas de prevención, detección temprana y protección, para ser consideradas como un aspecto más de la Ciberdefensa. El código fuente de referencia ha sido publicado en Github.com.XI Workshop Seguridad Informática (WSI)Red de Universidades con Carreras en Informátic

Subliminal channels in post-quantum digital signature schemes

We analyze the digital signatures schemes submitted to NIST\u27s Post-Quantum Cryptography Standardization Project in search for subliminal channels

Análisis y resolución de los problemas asociados al diseño de sistemas de IOT

Al momento de diseñar un sistema de IoT, sin importar si se parte desde un sistema existente que trabaja de forma offline, o si se desea crear un sistema desde sus inicios, se presentarán los siguientes desafíos: En primer lugar, los sistemas de IoT pueden estar conformados por una amplia variedad de dispositivos, cada uno utilizando diferentes protocolos de comunicación y medios físicos para el establecimiento de la misma. Además, los dispositivos podrían encontrarse en ubicaciones geográficas muy distantes, en las que estén regidos por diferentes sistemas legales, y en las cuales la estructura de costos asociada a la conectividad entre los mismos sea muy diferente. Por otra parte, la selección del hardware asociado a cada dispositivo puede variar dependiendo de los riesgos asociados a la actividad en la que se los involucre; de los costos asociados a la adquisición, instalación y mantenimiento en la región geográfica donde se los despliegue; de los protocolos de comunicación que se deseen utilizar; del nivel de calidad deseada en el desempeño de cada dispositivo; y de otros factores técnicos o comerciales. La selección de las tecnologías de Software a utilizar en cada dispositivo podría depender de factores similares a aquellos mencionados en la selección del hardware. Además de estudiar las necesidades particulares de cada dispositivo, debe analizarse la arquitectura general del sistema de IoT. Esta arquitectura debe contemplar las diferentes formas de conectar a los dispositivos entre sí; las jerarquías de dispositivos; los servidores Web involucrados; los proveedores de servicios que serán contratados; los medios de almacenamiento, procesamiento y publicación de la información; las personas involucradas y los demás componentes internos o externos que interactúan en el sistema. Todas las consideraciones mencionadas previamente deben realizarse dentro de un marco de trabajo que garantice la privacidad y seguridad de la información tratada. Es por ello que en algunas regiones geográficas se han establecido diferentes legislaciones asociadas al tema, las cuales deben ser consideradas desde el comienzo del diseño del sistema de IoT. No obstante, si las reglas establecidas en las legislaciones no fueran lo suficientemente claras o completas (o incluso, inexistentes), pueden tomarse como fundamentos los estándares internacionales sobre privacidad y seguridad de los datos, en hardware y software. En este artículo, se presenta una línea de investigación que aborda el Análisis y Resolución de los Problemas Asociados al Diseño de Sistemas de IoT.Red de Universidades con Carreras en Informátic

Actas del XXIV Workshop de Investigadores en Ciencias de la Computación: WICC 2022

Compilación de las ponencias presentadas en el XXIV Workshop de Investigadores en Ciencias de la Computación (WICC), llevado a cabo en Mendoza en abril de 2022.Red de Universidades con Carreras en Informátic

XXIII Edición del Workshop de Investigadores en Ciencias de la Computación : Libro de actas

Compilación de las ponencias presentadas en el XXIII Workshop de Investigadores en Ciencias de la Computación (WICC), llevado a cabo en Chilecito (La Rioja) en abril de 2021.Red de Universidades con Carreras en Informátic