Konfidentialitet og kryptografi 31. januar, Jakob I. Pagter

Transkript

1 Konfidentialitet og kryptografi 31. januar, 2009 Jakob I. Pagter

2 Oversigt Kryptografi autenticitet vs. fortrolighed ubetinget vs. beregningsmæssig sikkerhed Secret-key fortrolighed Public-key fortrolighed 2

3 Kryptologi Sikker kommunikation over usikre kanaler (ikke kun hemmeligholdelse) Ofte nødvendigt, men aldrig tilstrækkeligt! To opdelinger autenticitet vs. fortrolighed ubetinget vs. beregningsmæssig sikkerhed Historie: Fx David Kahn: The Codebreakers eller Simon Singh: The Code Book 3

4 Autenticitet og fortrolighed To fundamentale og forskellige problemer Autenticitet: at en besked er uændret og kommer fra den påståede afsender Fortrolighed: at kun afsender og modtager kender indholdet af beskeden De tekniske løsninger er forskellige og det er vigtigt at vælge den rigtige løsning 4

5 Ubetinget vs. beregningsmæssig sikkerhed Ubetinget sikkerhed ingen antagelser Beregningsmæssig sikkerhed antage at modstanderen har begrænsede ressourcer (typisk tid) 5

6 Secret-key: definitioner To algoritmer: Kryptering: E (for Encryption) Dekryptering: D Nøgle k (key) klartekst m og ciffertekst c c = E k (m) m = D k (E k (m)) 6

7 Eksempel: Cæsars substitutionsciffer Substitionscifferet E k : læg k til højre i alfabetet: k=3: a d, b e,, æ a D k går naturligvis 3 til venstre k=3, m=sikkerhed c = E k (m) = E 3 (sikkerhed) = vlnnhukhg D k (c) = D 3 (vlnnhukhg) = sikkerhed = m 7

8 Nonce Number used once Formål: samme klartekst, m, forskellig ciffertekst, c c = E k (m+nonce) M+nonce = D k (c) 8

9 Ubetinget sikkerhed Klartekst og nøgle er lige lange m = n og k = n Nøglen er n tilfældige bits. i te bit af E k (m) = m i c i x y x y m k c

10 Hvorfor ubetinget? Da hver bit i nøglen er tilfældig, vil hver bit i cifferteksten også være det. Da alle nøgler er mulige, er samtlige mulige klartekster af længde n en mulig korrekt dekryptering. 10

11 Begrænsninger Hvis en nøgle et one-time-pad bruges mere end én gang, falder dette til jorden Så, hver gang vi ønsker at sende en fortrolig besked af længde n, skal vi først udveksle en nøgle (som en fortrolig besked) af længde n 11

12 Beregningsmæssig sikkerhed Genbrug af nøgler og beskeder som er meget længere en nøglen er ønskeligt i praksis Angreb: Exhaustive key search Viden om klartekst, m, svarende til ciffertekst, c Gennemløb alle mulige nøgler, k Antag at dette ikke er praktisk muligt 12

13 Korte nøgler og lange beskeder Vi ønsker at kryptere vilkårligt lange klartekster vha. nøgler med en fast størrelse To løsninger: Stream-ciphers Block-ciphers 13

14 Stream-ciphers Givet en kort nøgle, k, generes en tilfældigt udseende streng, som så bruges som one-time-pad Eksempel: RC4 Kommercielt udbredt, fx WEP, WPA, 14

15 Block-ciphers Krypterer basalt set kun en fast størrelse datablok Eksempler: DES (56 bit nøgle, 64 bit datablok) 3DES (112 bit nøgle, 64bit datablok) AES (128 bit nøgle, 128 bit datablok) Vi vil gerne kryptere mere end én blok med fast længde! Modes of operation CBC (Cipher Block Chaining mode) CTR (CounTeR mode) CFP (Cipher FeedBack mode) 15

16 AES + CBC Brug AES med nøgle k som sub-rutine Message m = M 1 M 2 M t C 0 = IV (128 bit) initialization vector) C i = AES k (M i C i-1 ) IV ikke nødvendigvis hemmelig Valg af IV er vigtigt Fra wikipedia AES 16

17 Krav til block cipher Passende algoritme Passende mode of operation Fornuftigt valg af IV => (sædvanligvis) godt kryptosystem 17

18 Secret-key performance Ofte algoritmer baseret på simple operationer DES: 1-10MB/sec AES: endnu hurtigere 18

19 Secret-key problemer Nøglen skal udveksles på forhånd Svært i praksis! Hvert par af brugere skal have egen nøgle 19

20 Secret-key oversigt Begge parter har nøgle nøglefordeling problematisk Stream-ciphers: vilkårlig længde klartekst RC4 Block-ciphers: fast længde klartekst brug modes of operation DES, 3DES, AES, 20

21 Public-key fortrolighed I stedet for 1 fælles nøgle, 2 nøgler: en til kryptering og en til dekryptering Sikkerhed baseret på algoritmik, tal- og kompleksitetsteori 21

22 Public-key definitioner To algoritmer: Kryptering: E (for Encryption) Dekryptering D To nøgler pk public-key (offentlig nøgle) sk secret-key (hemmelig eller privat nøgle) klartekst m og ciffertekst c c = E pk (m) m = D sk (E pk (m)) 22

23 Public-key intution Nøglepar er hængelås og tilhørende nøgle Kryptering svarer til at låse en kasse med hængelåsen Dekryptering svarer til at låse hængelåsen op og åbne kassen 23

24 Public-key eksempel Alice ønsker at modtage fortrolige beskeder: Konstruerer nøglepar, (pk,sk) Offentliggør public-key, pk Hemmeligholder secret-key, sk Bob vil sende fortrolig besked til Alice: Krypterer klartekst med Alices public-key Sender ciffertekst til Alice Alice modtager besked fra Bob: Dekrypterer cifferteksten med sin secret-key Læser klarteksten 24

25 RSA (Rivest, Shamir, Adleman) n = pq, p og q primtal pk = (n,e) sk = (n,d) e specielt valgt ifht. d Sikkerhed beror på at det er ligeså svært at finde e fra d, som at finde p og q fra n 25

26 RSA operationer m [0 n-1] altså et heltal repræsenteret vha. bits c = E pk (m) = m e mod n D sk (c) = c d mod n = (m e mod n) d mod n = m Pga. valg af e og d 26

27 Sikkerhed Nøglestørrelse 1978: 500 bit RSA sikkert 2003: 1000 bit ok I dag 2000 bit RSA anbefales Matematisk struktur gør at der er bedre angreb end exhaustive key search (RSA El-Gamal/Elliptic Curves måske bedre ) Grænsen flyttes hele tiden algoritmik (faktorisering) hardware 27

28 Performance Meget langsommere en secret-key Enveloping: Benyt session key Generer secret-key (AES) og krypter denne vha public-key (RSA) Krypter beskeden vha. secret-key Send krypteret secret-key sammen med krypteret besked Padding Kryptering af (fx) 128 bit AES-nøgle vha bit RSAnøgle?? OAEP (Optimal Asymmetric Encryption Padding) 28

29 Public-key problemer Performance Har man fat i den rigtige public-key?! Autentifikation! 29

30 Public-key oversigt Afsender og modtager har hver sin nøgle Mange afsendere kan dele én public-key for én modtager men hvem tilhører den? RSA Performance/enveloping 30

31 Kryptografi - oversigt Fortrolighed Autentifikation Ubetinget sikkerhed X Beregningsmæssig sikkerhed Secret-key (symmetrisk) Public-key (asymmetrisk) X X 31