Kursusgang 2: Symmetrisk kryptering (fortsat). Asymmetrisk kryptering. DES' vigtigste sikkerhedsmæssige egenskaber

Transkript

1 Kursusgang 2: Symmetrisk kryptering (fortsat). Asymmetrisk kryptering. DES' vigtigste sikkerhedsmæssige egenskaber 1. DES (uddybning) 2. Rijndael 3. Asymmetrisk kryptering 4. RSA 5. Talteori til Rijndael og RSA 6. Java: JCE-opgave (i datastuen ) Krypteret besked: ser "tilfældig" ud ingen mønstre dvs. ingen over-forekomst af bestemte tal eller talsekvenser Ændring af besked => ændring af krypteret besked: lavine-effekt ændring af 1 bit i input => ændring af ca. 50% af bits i output Angreb uden nøgle: kræver udtømmende søgning blandt alle mulige nøgle-værdier selv om algoritmen er kendt Disse egenskaber vigtige målsætninger for alle symmetrisk algoritmer DES som instans af Feistel-struktur DES = Feistel-instans + initial permutering: IP + afsluttende perm.: IP -1 L i R i + F K i Feistel-struktur: korrekthed af inversion (R=2) L R 0 L = R = L + F (R ) 0 3 R = R 1 + F 1 + F 2 F3 F2 + F1 Funktionen F: F1: expansion + permutation 32 -> 48 bit F2: substitution + reduktion 48 -> 32 bit (6 -> 4, 8 gange) F3: permutation F1, F2 og F3 er tabelstyret Særligt F2 er langsom i software L 1 R 1 + F 2 L 2 R 2 R 1 = L 0 + F 1 (R 0 ) L 1 = R 0 + F 1 R 0 L 0 L 3 R 3 L 0 R 0

2 Electronic Frontier Foundation: Cracking DES (1) Known plaintext attack EFF = organisation som arbejder med frihedsrettigheder i relation til digitalisering og Internet (ret til hemmeligholdelse, ophavsret,..) RSA Lab's DES Challenge II (juli 1998) Known plaintext attack Forinden: får man at vide at beskeden er på formen: "THE UNKNOWN MESSAGE IS: X ", hvor X er ubekendt På en startdato får man: Krypteret besked Parametre til at styre CBC (en IV, for Initialization Vector) Udfordring: at gætte nøglen Tog 3 dage (senere challenges: endnu hurtigere) EFFs DES-cracker: (2) ciphertext-only attack Princip: Udnyt at kun 1/4 af mulige byteværdier er interessante. Hver nøgle underkastes: simple test i special bygget hardware hvis "interessant", laver software mere udbygget test Specialbygget hardware ("search unit"): input: DES-nøgle samt to 64-bit blokke output: interessant / ikke interessant "Interessante" tegn: 69 interessante tegn ud af 256 mulige byte-værdier sandsynlighed for interessant byte: 1/4 blok: 1/4 * 1/4 *... *1/4 (8 faktorer) = 1 / (2 16 ) to interessante blokke: 1/ (2 32 ) Software skal kun teste (2 56 )/(2 32 ) = 2 24 = 16 millioner nøgler EFFs motivation Ville vise at DESs nøglelængde er for lille Advokere for brug af stærkere kryptering Afsløre at myndigheder (FBI m.fl.) løj når de sagde, at de ikke kunne bryde DES brute-force Tidligere var der også mistanke om at DES havde en "bagdør" dvs. at FBI kunne bryde med særlig nøgle fordi design bag S-bokse aldrig blev offentliggjort af IBM men en sådan svaghed aldrig påvist Svaghed findes næppe hvis kryptologer ikke kan finde den DES eksisteret siden Det internationale miljø af kryptologer, dataloger,matematiker m.fl. er ikke sammensvorne med FBI etc. Ville kunne publicere om svagheder Efterretningstjenesterne råder næppe over markant dygtigere folk 2-DES Forslag om at styrke DES ved at bruge 2 nøgler: c = E(k 2, E(k 1,m)) E m K1 E c' K2 c Formodning var at dette udvidede antallet af muligheder fra 2 56 til Men hvis k 1 kan knækkes (ved udtømmende søgning) til tiden O(T), kan både k 1 og k 2 knækkes til tiden O(2*T)! hvis der er tale om et known plaintext-angreb (angriberen har adgang til et eksempel på m og c) m skal bestå af mindst to blokke (m 1,m 2 ) af hver 64 bit (1) gæt (k 1,k 2 ) ved at sammenligne alle værdier af E x1 (m 1 ) og D x2 (c 1 ) (2) verificer (k 1,k 2 ) ved at tjekke om 2 (1 (m 2 )) = c 2, fordi (1) kun er rigtigt med en vis sandsynlighed

3 3-DES (Triple-DES) Varianter af 3-DES Kør DES 3 gange, med 3 forskellige nøgler Nøglelængde: 168 bit k = (k 1, k 2, k 3 ) 3E: C = 3 (D k2 (1 ((P))) hvor E og D er kryptering og dekryptering med almindelig DES. 3D: P = D k1 (2 (D k3 ((C))) 1) Sæt k1 = k3: 1 (D k2 (1 ((P))) Reducerer nøglelængde til 112 bit "Midter-angrebet" på 2-DES synes ikke anvendeligt 2) Brug 3 gange kryptering isf. mix af kryptering/dekryptering 3 (2 (1 ((P))) P C 1 D k3 A B D k2 2 B A 3 D k1 C B Samme styrke som rigtig 3-DES Men ikke samme mulighed for at køre DES som specialtilfælde (k1=k2=k3) 3-DES: styrker & svagheder Erfaringsmæssig sikker underliggende algoritme (DES) Pfleeger Er DES "onto"/"på" dvs. surjektiv? Mere præcist: Lad c være en 64 bits-blok. Findes der for vilkårlig c en m og en k således at c = (m)? Hastighed: tager tre gange så lang tid som DES Har DESs svagheder bortset fra sårbarheden pga. nøglelængde: relativt dårlig i software D k

4 Kursusgang 2: Symmetrisk kryptering (fortsat). Asymmetrisk kryptering. 1. DES (uddybning) 2. Rijndael 3. Asymmetrisk kryptering 4. RSA 5. Talteori til Rijndael og RSA 6. Java: JCE-opgave (i datastuen ) AES (Advanced Encryption Standard) National Institute of Standards and Technology (USA) indkaldte nye forslag 1997 offentlig udvælgelsesproces med konferencer m.m. 15 gik videre til "semifinale" 5 gik videre til "finale" Rijndael valgt nov Kriterier: sikkerhed ingen bedre metoder end udtømmende nøgle-søgning tilstrækkelig stor nøglelængde: 128, 192, 256 tidsforbrug pladsforbrug fleksibilitet både SW og HW (inklusive smartcards) Rijndael/AES Rijndael ikke Feistel-struktur L i R i Symmetrisk kryptering Nøglestørrelse 128, 192, 256 bit Variabel blokstørrelse (AES-standarden dog låst fast på 128 = 4*4 byte matrix) DES-runde: Algoritmen kan inverteres uafhængigt af F + F L i+1 R i+1 K i 10 runder med hver sin runde-nøgle S i Offentligt design, baseret på velforstået matematik Tabeller for styring af substitution og permutation kan genereres ud fra formler Ikke Feistel-struktur (transformerer hele blokken i hver iteration) Rijndael-runde: Invertering kræver at F er injektiv F K i S i+1

5 Runde-funktion: DES vs. Rijndael Substitution: DES vs. Rijndael Funktionen F: F1: expansion + permutation 32 -> 48 bit F2: substitution + reduktion 48 -> 32 bit (6 -> 4, 8 gange) F3: permutation F3 + F1 Rijndaels runde-funktion: F1: substitution (byte-vis, matematikbaseret) F1 F2: permutation (rækkevis skift) F2 F3: substitution + permutation (kolonnevis, matematikbaseret) F3 + Invertering: baglæns igennem +, F3-1, F2-1, F2-1 dvs. dekryptering ikke blot lig kryptering med omvendt nøgle-rækkefølge F4 K i DES: F3: substitution (reduktion) 6 -> 4 bit S1 = {{14,4,13,...}, // 16 pladser {0,15,7,...}, // do 32 {4,1,14,...}, // do {15,12,8,...}} // do Input = : Første og sidste bit (00) selekterer {14,4,13,..} Bit 1-4 (0001) selekterer 4 Hvordan er S1,..,S8 valgt??? Rijndael: F1: Byte-vis substitution Samme tabel/funktion bruges til alle dele af blokken. Input byte: B Output byte: B S1 S2 S8 S S S Rijndael: målsætning for substitutioner Søges: en transformation af bytes en transformation af enheder a 4 bytes (kolonner) hvor transformationerne kan inverteres Kravet om invertibel transformation hænger sammen med at Rijndael ikke er baseret på en Feistel-struktur med Feistel-struktur kan kryptering inverteres uafhængigt af runde-funktionens egenskaber Rijndaels design-ide er at transformationerne er baseret på Galois-legemet (2 8 ), med operationerne +: xor *: multiplikation af polynomier modulus x 8 +x 4 +x 3 +x+1 Pfleeger Konstruer additions- og multiplikationstabeller for heltal modulus * Tillægsspørgsmål: Er heltal modulus 4 et Galois-legeme? (Har alle tal et inverst mht. *)

6 Byte-vis substitution i Rijndael Rijndael: 1 byte = 8 koefficienter +: xor S(B) = B -1 + f(b -1,C) hvor C er konstanten og f er en simpel funktion (dog ikke så simpel som xor - modsat hvad Pfleeger siger s. 663) Substitutionen S er lagret i en 256*256 tabel. B -1 er den multiplikative inverse af B, dvs. X = B -1 betyder: X * B = 1 *: {a0,a1,..,a7} * {b0,b1,..,b7} = {c1,c2,..,c7} som hvis a0..a7 og b0..b7 var koefficienter i polynomier dvs. vi skulle udregne (a7*x 7 + a6*x a1*x + a0) * (b7*x 7 + b6*x b1*x + b0) hvor den nye byte dannes af de nye koefficienter Hvis der er koefficienter til x opløftet til en eksponent højere end 7, bruges en reduktions-metode der svarer til modulus-operatoren på heltal. Når reduktions-metoden opfylder visse betingelser (reduktion med et irreducibelt polynomium), er den samlede multiplikation injektiv, dvs. den kan inverteres. Rijndael: multiplikationstabel for GF(2 8 ) ? ? ? Eksempler på multiplikation Eksempel 1: * = (x+1) * (x+1) = x 2+ 2*x + 1 = x = Eksempel 2: * = (x 4 +x 3 ) * (x 4 +x 3 ) = x 8 + 2*x 7 + x 6 = x 8 + x 6 Da x 8 + x 6 = 1 * (x 8 +x 4 +x 3 +x+1) + x 6 + x 4 + x 3 + x + 1 fås x 8 + x 6 mod (x 8 +x 4 +x 3 +x+1) = x 6 + x 4 + x 3 + x + 1 =

7 Fordele: Rijndael: fordele og ulemper Kursusgang 2: Symmetrisk kryptering (fortsat). Asymmetrisk kryptering. Variabel blok- og nøglelængde Hurtigere end DES i software Baseret på kendt matematik dvs. intet skjult design-rationale egenskaber kan lettere underkastes matematisk analyse og foreløbig har matematikerne ikke fundet nogen svagheder Visse operationer kan let modificeres, hvis diverse valg viser sig at være uhensigtsmæssige. Ulemper (i forhold til DES/3-DES) Sikkerhed ikke baseret på 25 års erfaring (men dog en flerårig diskussion blandt kryptologer, sikkerhedsfirmaer, m.m.) 1. DES (uddybning) 2. Rijndael 3. Asymmetrisk kryptering 4. RSA 5. Talteori til Rijndael og RSA 6. Java: JCE-opgave (i datastuen ) Asymmetrisk kryptering Krav til PKI 1. Overkommeligt at generere nøglepar, f.eks. for B: KU b og KR b (U for public og R for private). Primær anvendelse og historisk årsag til forskningsinteressen: udveksling/distribution af nøgler til symmetrisk kryptering Asymmetrisk kryptering i forhold til symmetrisk k.: væsentlig langsommere nøgledistribution ikke fuldstændigt elimineret som problem ikke mere sikker RSA: private/hemmelige nøgle kan findes alene ud fra offentlig nøgle ved at løse ligningen n = p*q (mht. p og q) bortset fra at der ikke er tilstrækkelig regnekraft når n ~ 1024 bit 2. Overkommeligt for A at kryptere: C = E KUb (M) 3. Overkommeligt for B at dekypretere: M = D KRb (C) 4. Uoverkommeligt for modstander at generere KR b ud fra KU b. 5. Uoverkommeligt for modstander at generere M ud fra C og KU b. (6. KU b og KR b kan bytte roller) Formuleret af Diffie og Hellman før de havde en løsning.

8 Historisk om PKI Pfleeger Daværende. direktør for National Security Agency (NSA) i USA hævdede NSA havde PKI i 1960erne James Ellis fra en engelsk militær forskningsgruppe opfandt en PKIvariant i starten af 70erne som modforholdsregel mod et eksploderende antal hemmelige nøgler til symmetrisk kryptering af militær kommunikation n enheder skal bruge og distribuere (n 2 )/2 hemmelige nøgler Ellis inspireret af manuskript fra Bell Labs fra 40erne om hemmeligholdelsen af indhold af telefonsamtaler: Alice ringer til Bob for at give beskeden M Bob genererer støj (S) som gør det samlede signal (M+S) uforståeligt (OBS: Dette er specielt for analog telefonforbindelse) Bob optager (M+S) Bob kender S og kan derfor fjerne det fra (M+S). A: A pub, A priv B: B pub, B priv C kender begge offentlige nøgler 1) Hvorledes skal A kryptere af besked til B? 2) Hvorledes skal A bevise at hun er kilden til besked? 3) Hvorledes skal A opnå både 1 og 2? Tydede på at hemmeligholdelse var mulig uden (delt) hemmelig nøgle Kursusgang 2: Symmetrisk kryptering (fortsat). Asymmetrisk kryptering. RSA (n,e) (n,d) 1. DES (uddybning) 2. Rijndael 3. Asymmetrisk kryptering M M e (mod n) = C C C d (mod n) = M M 4. RSA 5. Talteori til Rijndael og RSA 6. Java: JCE-opgave (i datastuen )

9 Offentlig nøgle: (n,e) Privat nøgle: (n,d) RSA Største tal i blok til kryptering skal være mindre end n. Kryptering af besked M til krypteret besked C (0 <= M,C <= n): C = M e mod n Dekryptering: Udregn C d mod n Dekryptering giver M fordi (M e ) d mod n = M e*d mod n = M (på grund af den måde n, e og d er valgt) Andre forudsætninger for brugbarhed til kryptering: Det er overkommeligt at danne n, e og d. Det er uoverkommeligt at danne d ud fra givet n og e. RSA opgave: Krypter "E" A = 1, B = 2, C = 3, D = 4, E = 5,... Offentlig nøgle = (33,3) dvs. n = 33 Klartekst: M = 5 C = 5 3 mod 33: 5 2 mod 33 = 5*5 = mod 33 = 125 mod 33 = 26 Krypteret tekst: C = 26 (dvs. bogstavet Z) RSA: Generering af nøglepar 1. Find to primtal p og q af passende størrelse (512 bits) (p <> q) 2. Udregn n = p*q 3. Udregn f(n) = (p-1)(q-1) 4. Den offentlige nøgle er (n,e) hvor: 1 < e < f(n) gcd(e,f(n)) = 1 5. Den private nøgle er (n,d), hvor: e*d mod f(n) = 1 RSA: Forudsætning for sikkerhed Knækning af RSA-nøglepar: fx. offentlig nøgle = (33,3), hvad er den privat nøgle (33,d)? Sikkerheden ved RSA beror på, at faktorisering af store tal er uoverkommelig (selv om man ved der er præcis to primtalsfaktorer) Trial-and-error metode har eksponentiel kompleksitet Visse moderne metoder har bedre kompleksitet: subeksponentiel k., der intuitivt er "næsten-eksponentiel". Bedste kendte hedder Tallegeme-sien (Number Field Sieve) fra ca Der eksisterer ikke bevis for, at der ikke findes bedre algoritmer.

10 RSA: Forudsætning for anvendelighed Kursusgang 2: Symmetrisk kryptering (fortsat). Asymmetrisk kryptering. Hvor lang tid tager det at udregne M e mod n hvis e~512 bits og n~1024 bits? To metoder bruges til at reducere tiden: 1. Der tages modules n efter hvert skridt. 2. Antallet af potensopløftninger er logaritmisk i e. I princippet udnyttes at: M 256 = M 2*2*2*2*2*2*2*2 = (((((((M 2 ) 2 ) 2 ) 2 ) 2 ) 2 ) 2 ) 2 1. DES (uddybning) 2. Rijndael 3. Asymmetrisk kryptering 4. RSA 5. Talteori til Rijndael og RSA: kommer under 2 og Java: JCE-opgave: i datastuen allerede cryptix ( Cryptix fuld softwarepakke til kryptering og sikker kommunikation java open source baseret på Suns "Java Cryptographic Extension" (JCE) dvs. i JCEs terminologi en "Provider" svarer til at implementere et interface Design-ide i Suns JCE: JCE = kun generisk ramme definerer grænseflade (brug) interfaces, factories m.m. JCE og Cryptix Implementationer af DES, Rijndael etc. leveres af "Provider" (plugin) muliggør let udskiftning af implementationer krypterings-implementation et helt andet problem end definition af standardiseret grænseflade (Sun leverer dog også sin egen Provider: SunJCE) Cryptix indeholder både provider/plugin til JCE og selve JCE da denne tidligere var underlagt USAs eksportrestriktioner Java 1.4 indeholder dog JCE

11 Uddrag af CryptixDemo.java Blokbehandling // initialisering vhja. statiske metoder i Security og Cipher. Security.addProvider(new CryptixCrypto()); // Security indeholder statisk liste af providere Cipher c = Cipher.getInstance("DES/ECB/None", "CryptixCrypto"); // Cipher har statisk factory-metode, // som fra Security får reference til provider-implementation af CipherSPI, // f.eks. cryptix.jce.provider.cipher.sed byte[] plaintext = Util.hexFromString(" abcdef"), key = Util.hexFromString(" bbcdff1"); // kryptering vhja. instansmetode i Cipher SimpleKey k = new SimpleKey(key); c.init(cipher.encrypt_mode,k); byte[] ciphertext = c.dofinal(plaintext); Vi_a ngri ber_ i_mo rgen _kl4.00 DES definerer metode til kryptering/dekryptering af 1 blok Derudover kræves konvention for kryptering af bytesekvens af vilkårlig længde skal alle blokke krypteres på samme måde? hvorledes fyldes sidste blok ud? skal være defineret af protokol Kodebogsmetoden Blok-kædning ECB Electronic Code-Book Hver blok krypteres på samme måde svarende til "opslagsbog", givet ved nøglen, OBS: bogen skal give mulighed for 2 64 opslag!! P 1 P 2 P 3 = P 1 CBC Cipher Block Chaining Foregående, krypteret blok xor-es med næste blok før kryptering IV P 1 + P 2 P = P 1 C 1 C 2 C 3 Svaghed: En vis sårbaghed overfor frekvensanalyse (dog kun af hele grupper af 4 tegn).. = C 1 C 1 C 2 C 3 <> C 1 Dekryptering: Fra C 2 genskabes (P 2 + C 1 ) Dernæst bruges (P 2 + C 1 ) + C 1 = P 2 Der bruges også "initialiserings-vektor" (IV) som erstatning for "C 0 ".

12 Initialværdi (64 bit) Feedback-metode (strøm-kryptering) CFB Cipher Feed-Back Mode Giver mulighed for at kryptere/sende 1 byte ad gangen (vel at mærke uden at kende resten af besked, eller dens længde) kæder bytes, ligesom CBC kæder blokke Hel 64 bit blok krypteres/dekrypteres for hver byte Beskeden xor-es efter kryptering af blok i shift-register Shift-register Shift-register Mulige eksamensspørgsmål 2. Gør rede for fællestræk og forskelle mellem symmetrisk og asymmetrisk kryptering. 3. Skitser principperne i Rijndael og gør rede for fordele og ulemper ved algoritmen. 4. Skitser principperne i RSA og gør rede for fordele og ulemper ved algoritmen. P 1 (8 bit) Vælg 8/64 Vælg 8/64 + C 2 C 1 P 2 + Kursusgang 3: Digital signatur. Den danske OCESstandard. Artikler til studenter-fremlæggelser kursusgang 3 eller 4: Robert Morris and Ken Thomsen. Password Security. A Case History. Communications of the ACM. November 1979, Volume 22, Number 11, p (ACM Digital Library, gratis download fra maskiner på RUC). Ford. Quantum Cryptography Tutorial. URL: A. Sterbenz and P. Lipp. Performance of the AES Candidate Algorithms in Java.