Kursusgang 2: Symmetrisk kryptering (II). 3DES og Rijndael. Kursusgang 2: Symmetrisk kryptering (II). 3DES og Rijndael

Transkript

1 Kursusgang 2: Kursusgang 2: Hvorfor er Rijndael valgt som afløser for DES og 3DES? Hvad er de grundlæggende krav til krypteringsalgoritmer? Sammenfatning af DES DES' vigtigste sikkerhedsmæssige egenskaber Symmetrisk kryptering Baseret på traditionel Feisel-struktur + initial og afsluttende permutation 16 runder Runde-funktion permutation (ekspansion) xor med runde-nøgle substitution (reduktion) designet mhp. implementation i hardware Krypteret besked: ser "tilfældig" ud ingen mønstre dvs. ingen over-forekomst af bestemte tal eller talsekvenser Ændring af besked => ændring af krypteret besked: lavine-effekt ændring af 1 bit i input => ændring af 50% af bits i output Angreb uden nøgle: kræver udtømmende søgning blandt alle mulige nøgle-værdier selv om algoritmen er kendt Fast blokstørrelse: 64 bit

2 DES som instans af Feistel-struktur DES = Feistel-instans + initial permutering: IP + afsluttende perm.: IP -1 L i R i + F Opgave 2 / 2.1: Feistel-struktur: korrekthed af inversion (R=2) L R 0 L = R = L + F (R ) 0 3 R = R 1 + F 1 + F 2 L 1 R 1 R 1 = L 0 + F 1 (R 0 ) L 1 = R 0 F3 F2 F1 Funktionen F: F1: expansion (permutation) 32 -> 48 bit F2: xor med. F3: substitution (hemmeligt design) 48 -> 32 bit (6 -> 4, 8 gange) F1 og F3 er tabelstyret Særligt F3 er langsom i software + F 2 L R 2 2 L R F 1 R L 0 0 L R 0 0 Svagheden ved (almindelig) DES Sårbar overfor rå-kraft angreb på grund af for lille nøglelængde (56 bit) Dette var kendt blandt sikkerhedsfolk Benægtet af FBI o.a. amerikanske myndigheder Blev bevist i praksis af EFFs DES-cracker Hemmeligt design-rationale bag S-boksene (de tabeller, som styrer substitution/reduktion af bitgrupper) dog aldrig fundet en svaghed så der er næppe en "bagdør" til FBI Triple-DES Kør DES 3 gange, med 3 forskellige nøgler Nøglelængde: 168 bit k = (k 1, k 2, k 3 ) 3E = E k3 (D k2 (E k1 ((P))) hvor E og D er kryptering og dekryptering med almindelig DES. 3D = P D k1 (E k2 (D k3 ((P))) E k1 A D k2 B E k3 C Derfor har Triple-DES (indtil nov. 2001) være den primære anbefalede standard (af NIST) Triple-DES anerkendes stadig som sikker C E k3 B D k2 A E k1 B

3 Triple-DES: hvorfor E-D-E i stedet for E-E-E Triple-DES: anvendt med 112 bit nøgle Hvis A kun råder over Triple-DES, og B kun råder over DES; så kan A bruge 168 bit-nøglen (k,k,k) (så at sige uden at opdage, der reelt bruges alm. DES) og B bruge 56-bit nøglen k E = 3E = E k1 (D k2 (E k1 ((P))) 112 bit er formentlig tilstrækkeligt (Giver ikke mulighed for afvikling som alm. DES) Triple-DES: styrker & svagheder Erfaringsmæssig sikker underliggende algoritme (DES) (relativ til nøglelængde) Hastighed: tager tre gange så lang tid som DES Har DESs svagheder bortset fra sårbarheden pga. nøglelængde: relativt dårlig i software nøglestørrelse kan ikke varieres (bortet fra "dobbelt kryptering") AES (Advanced Encryption Standard) National Institute of Standards and Technology (USA) indkaldte nye forslag 1997 offentlig udvælgelsesproces med konferencer m.m. 15 gik videre til "semifinale" 5 gik videre til "finale" Rijndael valgt nov Kriterier: sikkerhed ingen bedre metoder end udtømmende nøgle-søgning tilstrækkelig stor nøglelængde: 128, 192, 256 tidsforbrug pladsforbrug fleksibilitet både SW og HW (inklusive smartcards)

4 Kursusgang 2: Kursusgang 2: Rijndael/AES DES som instans af Feistel-struktur L i R i Symmetrisk kryptering Nøglestørrelse 128, 192, 256 bit DES = Feistel-instans + initial permutering: IP + afsluttende perm.: IP -1 + F Variabel blokstørrelse (AES-standarden dog låst fast på 128 = 4*4 bytes) 10 runder med hver sin runde-nøgle Offentligt design, baseret på velforstået matematik Ikke Feistel-struktur (transformerer hele blokken i hver iteration) Tabeller for styring af substitution og permutation kan genereres ud fra formler (som kan ændres i senere versioner af algoritmen) F3 F2 F1 Funktionen F: F1: expansion (permutation) 32 -> 48 bit F2: xor med. F3: substitution (hemmeligt design) 48 -> 32 bit (6 -> 4, 8 gange) F1 og F3 er tabelstyret Særligt F3 er langsom i software

5 Rijndael ikke Feistel-struktur Runde-funktion: DES vs. Rijndael DES-runde: Algoritmen kan inverteres uafhængigt af F L i R i + F DES' runde-funktion: F1: permutation, ekspansion 32 -> 48 bit +: xor med. F3: substitution (hemmeligt design) 48 -> 32 bit (6 -> 4, 8 gange) F3 + F1 Rijndael-runde: Invertering kræver at F er injektiv L i+1 R i+1 S i F S i+1 Rijndaels runde-funktion: F1: substitution (byte-vis, kendt designrationale) F1 F2: permutation (rækkevis skift) F2 F3: substitution + permutation (kolonnevis, kendt designrationale) F3 +: xor med. + Invertering: baglæns igennem +, F3-1, F2-1, F2-1 dvs. dekryptering ikke blot lig kryptering med omvendt nøgle-rækkefølge Substitution: DES vs. Rijndael DES: F3: substitution (reduktion) 6 -> 4 bit S1 = {{14,4,13,...}, // 16 pladser {0,15,7,...}, // do {4,1,14,...}, // do {15,12,8,...}} // do Input = : To første bit (00) selekterer {14,4,13,..} Sidste fire bit (0010) selekterer 4 Hvordan er S1,..,S8 valgt??? Rijndael: F1: Byte-vis substitution Samme tabel/funktion bruges til alle dele af blokken. Input byte: B. Output byte: B S1 S2 S8 S S S Rijndael: målsætning for substitutioner Der søges 2 operationer på bytes, svarende til + og * på heltal, og hvor operationerne kan bruges til at definere invertible transformationer på bytes. Kravet om invertible transformationer hænger sammen med at Rijndael ikke er baseret på en Feistel-struktur med Feistel-struktur kan kryptering inverteres uafhængigt af runde-funktionens egenskaber

6 Rijndael: inverterbare operationer på bytes +: xor Rijndael: 1 byte = 8 koefficienter Det er ønskeligt at ligningen a "operator" x = b (for givet a og b) har netop en løsning med hensyn til x. Hvis + defineres som xor, er + invertibel. OK! Det duer ikke at bruge almindelig multiplikation: a*b (mod 256): 128 * x = 0: mange løsninger (2, 4, 6, etc.) 2 * x = 1: ingen løsninger Dvs. det er ikke alle a, der har en "multiplikativ invers modulus 256". *: {a0,a1,..,a7} * {b0,b1,..,b7} = {c1,c2,..,c7} som hvis a0..a7 og b0..b7 var koefficienter i polynomier dvs. vi skulle udregne (a7*x 7 + a6*x a1*x + a0) * (b7*x 7 + b6*x b1*x + b0) hvor den nye byte dannes af de nye koefficienter Hvis der er koefficienter til x opløftet til en eksponent højere end 7, bruges en reduktions-metode der svarer til modulus-operatoren på heltal. Når reduktions-metoden opfylder visse betingelser, er den samlede multiplikation (* efterfulgt af reduktion) injektiv, dvs. den kan inverteres. Rijndaels F1 afbilder en byte B over til den byte B' som løser B*B' = 1. Rijndaels F3 (subst. + perm. af kolonner = 4 bytes): er baseret på fortolkning af 4 bytes som polynomiums-koefficienter. transformerer (byte0,byte1,byte2,byte3) ved at multiplicere med konstant Fordele: Rijndael: fordele og ulemper Variabel blok- og nøglelængde Hurtigere end DES i software Baseret på kendt matematik dvs. intet skjult design-rationale Visse operationer kan let modificeres, hvis diverse valg viser sig at være uhensigtsmæssige. Ulemper: Lidt langsommere dekryptering Kursusgang 2: Sikkerhed ikke baseret på 25 års erfaring (men dog en flerårig diskussion blandt kryptologer, sikkerhedsfirmaer, m.m.)

7 Kursusgang 2: cryptix ( Cryptix fuld softwarepakke til kryptering og sikker kommunikation java open source baseret på Suns "Java Cryptographic Extension" (JCE) Design-ide i Suns JCE: JCE = kun generisk ramme definerer grænseflade (brug) interfaces, factories m.m. JCE Implementationer af DES, Rijndael etc. leveres af "Provider" (plugin) muliggør let udskiftning af implementationer krypterings-implementation et helt andet problem end definition af standardiseret grænseflade (Sun leverer dog også sin egen Provider: SunJCE) Plugin af Cipher-implementation // initialisering vhja. statiske metoder i Provider og Cipher. Security.addProvider(new Cryptix()); // kun ændre her ved skift af plugin (?) // Security indeholder statisk liste af referencer til providere (klassenavne) Cipher cipher = Cipher.getInstance("DES/ECB/NONE"); // Cipher har statisk factory-metode, // som fra Security får reference til provider-implementation af Cipher, // f.eks. cryptix.provider.cipher.sed (en Cipher-subklasse) byte[] k = {0,0,0,0,0,0,0,0}; RawKey key = new RawKey("DES",k); cipher.initencrypt(key); // kryptering vhja. instansmetode i Cipher. String str = "testing!"; byte[] plaintext = str.getbytes(); byte[] ciphertext = cipher.crypt(plaintext);

8 Cryptix vs. JCE Cryptix indeholder både provider/plugin til JCE og selve JCE da denne også er underlagt USAs eksportrestriktioner Java 1.4 indeholder JCE men stadig begrænsninger (enten i JCE eller plugin) Cryptix vs. JDK og JCE: versioner Cryptix vs. JCE Alle Cryptix-versioner baseret på JCE version 1.1 (aldrig offentliggjort) centrale kryptografiske klasser derfor placeret forskelligt: JCE v.1.1: java.security.cipher JCE v.1.2: opdeling i java.security (adgangskontrol, autentificering; ingen eksportrestriktioner) javax.crypto (kryptering; eksportrestriktioner), bl.a. med javax.crypto.cipher Cryptix: xjava.security.cipher (for ikke at skygge for java.security.cipher?) Cryptix vs. JDK Cryptix v. 3.2: Java 1.1, 1.2, 1.3 (1.4??) Betydningen af versionsforskelle: modularitet, platformsuafhængighed har ikke noget at gøre med inkompatibilitet af selve algoritmerne Cryptix-provider kan udveksle med SunJCE-provider C-program kan udveksle med Java-program Kursusgang 2: RSA opgave 1: Krypter "RUC" A = 1, B = 2, C = 3,.., R = 18, S = 19, T = 20, U = 21,.. Offentlig nøgle = (35,5) C: beregn 3 5 mod mod 35 = 3*3 = mod 35 = 9*3 = mod 35 = 27*3 mod 35 = 81 mod 35 = mod 35 = 11*3 mod 35 = 33 RUC = [18,21,3] Krypteret: [23,21,33] Vi bruger: (a*a mod n) = (a mod n)*(a mod n)

9 Opgave 2: Hvilken privat nøgle svarer til den offentlige nøgle: (n=35,e=5)? Offentlig nøgle: (n,e) Privat nøgle: (n,d) RSA Krav: Den private nøgle er (n,d), hvor n=35 og d opfylder: 5*d (mod f) = 1 hvor f = (p -1)(q-1) n=q*p Metode: 1. Gæt p og q ved primtalsopløsning af 35: p=5, q=7. (Svært ved store tal) 2. Udregn f = (p-1)(q-1) = (5-1)(7-1) = 4*6= Løsning af ligningen 5*d (mod 24) = 1 giver d=5. Største tal i blok til kryptering skal være mindre end n. Kryptering af besked M til krypteret besked C (0 <= M,C <= n): C = M e (mod n) Dekryptering: Udregn (C) d (mod n) Dekryptering giver M fordi (M e ) d (mod n) = M e*d (mod n) = M (på grund af den måde n, e og d er valgt) Andre forudsætninger for brugbarhed til kryptering: Det er overkommeligt at danne n, e og d. Det er uoverkommeligt at danne d ud fra givet n og e. Extra opgave: krypter "Kryptering og sikker kommunikation" Artikler til 3. kursusgang om offentlige nøglesystemer (og autentificering) Løsning: Hvis vi skal kryptere et tegn ad gangen, skal vi kryptere tal mellem (ca.) Lad os vælge et n på mindst 128. Vi kan bruge p=11, q=13: n=11*13= 143 f = (11-1)(13-1) = 10*12= 120 e=11, fordi gcd(11,120) = 1 d=11, fordi e*11 mod 120 = 11*11 mod 120 = 121 mod 120 = 1 Robert Morris and Ken Thomsen. Password Security. A Case History. Communications of the ACM. November 1979, Volume 22, Number 11, p (ACM Digital Library, gratis download fra maskiner på RUC). Ford. Quantum Cryptography Tutorial. URL: