Grundlæggende kryptering og digital signatur 04/09/2012 ITU 2.1

Transkript

1 Grundlæggende kryptering og digital signatur 04/09/2012 ITU 2.1

2 Indhold Terminologi, mål og kryptoanalyse Klassisk kryptering Substitution Transposition (permutation) WWII: Enigma Moderne kryptering Symmetrisk kryptering Public Key kryptering Hash funktioner Digital signatur EFS 04/09/2012 ITU 2.2

3 Terminologi Kryptografi = skjult skrift, Kryptologi = læren om kryptering Intruder (Trudy og Eve) Sender (Bob) receiver (Alice) Encryption encipher kryptering Decryption decipher dekryptering Metode/algoritme + nøgle(r) 04/09/2012 ITU 2.3

4 Mål og kryptoanalyse Mål med kryptering Confidentiality, Integrity, Authentication, Non-repudiation Kunsten at bryde kryptosystemer Cryptanalysis Er en algoritme breakable? Fx svagheder i algoritmen - metoden WEP har fx vist sig at indeholde alvorlige sårbarheder Flaws i protokollerne Brute force Næsten alle algoritmer kan brydes med brute force Forskellige angrebsmuligheder Ciphertext only attack known/probable plaintext attack chosen plaintext attack (Lunch time attack) chosen ciffertext angreb Er det alvorligt når en krypteringsalgoritme er brudt? Hardware versus software? 04/09/2012 ITU 2.4

5 Klassisk kryptering Substition (Confusion) Monoalfabetisk substitution Polyalfabetisk substitution... Transposition (Diffusion) Klassisk kryptering er tekstbaseret 04/09/2012 ITU 2.5

6 Klassisk kryptering Monoalfabetisk substitution Monoalfabetisk substitution ABCDEFG pdfxwim Kendte anvendelser: Julius Caesar ABCDEFGHIJKLMNOPQRSTUVWXYZ defghijklmnopqrstuvwxyzabc c i = P i + 3 mod 26 Nøglen = 3 Mary Stuart (ca. 1587) Dancing men 04/09/2012 ITU 2.6

7 Brute force Kryptoanalyse Simpelt ved de additive algoritmer (max 26 muligheder) I det gennerelle tilfælde 26! = muligheder Frekvensanalyse Series1 04/09/2012 ITU 2.7

8 Klassisk kryptering Polyalfabetisk substitution Polyalfabetisk substitution Bland flere alfabeter for at få en jævn fordeling Vigenère tableau Blaise de Vigenère ( ), diplomate français DETERHEMMELIGT djæewoerteqpgy Substitution skaber confusion! abcdefghijklmnopqrstuvwxyzæøå 0 A abcdefghijklmnopqrstuvwxyzæøå 1 B bcdefghijklmnopqrstuvwxyzæøåa 2 C cdefghijklmnopqrstuvwxyzæøåab 3 D defghijklmnopqrstuvwxyzæøåabc 4 E efghijklmnopqrstuvwxyzæøåabcd 5 F fghijklmnopqrstuvwxyzæøåabcde 6 G ghijklmnopqrstuvwxyzæøåabcdef 7 H hijklmnopqrstuvwxyzæøåabcdefg 8 I ijklmnopqrstuvwxyzæøåabcdefgh 9 J jklmnopqrstuvwxyzæøåabcdefghi 10 K klmnopqrstuvwxyzæøåabcdefghij 11 L lmnopqrstuvwxyzæøåabcdefghijk 12 M mnopqrstuvwxyzæøåabcdefghijkl 13 N nopqrstuvwxyzæøåabcdefghijklm 14 O opqrstuvwxyzæøåabcdefghijklmn 15 P pqrstuvwxyzæøåabcdefghijklmno 16 Q qrstuvwxyzæøåabcdefghijklmnop 17 R rstuvwxyzæøåabcdefghijklmnopq 18 S stuvwxyzæøåabcdefghijklmnopqr 19 T tuvwxyzæøåabcdefghijklmnopqrs 20 U uvwxyzæøåabcdefghijklmnopqrst 21 V vwxyzæøåabcdefghijklmnopqrstu 22 W wxyzæøåabcdefghijklmnopqrstuv 23 X xyzæøåabcdefghijklmnopqrstuvw 24 Y yzæøåabcdefghijklmnopqrstuvwx 25 Z zæøåabcdefghijklmnopqrstuvwxy 26 Æ æøåabcdefghijklmnopqrstuvwxyz 27 Ø øåabcdefghijklmnopqrstuvwxyzæ 28 Å åabcdefghijklmnopqrstuvwxyzæø 04/09/2012 ITU 2.8

9 Metoder Kryptoanalyse Kasiski (benytter digrammer, trigrammer..) Friedman test (index of incidence) Konklusion: Anvend lange nøgler og korte ciffertekster Skift ofte nøglen 04/09/2012 ITU 2.9

10 Klassisk kryptering Permutation/transposition Permutationsmetoder Ældre eksempel Scytala (ca. 400 f.kr.) Eksempel Bakke Snagvendt DETTE ER SVÆRT AT BRYDE dette ersvæ rtatb rydex derrertystadtvteeæbx Permutation skaber diffusion 04/09/2012 ITU 2.10

11 ENIGMA. Kodemaskine fra 2. verdenskrig Enigma 04/09/2012 ITU 2.11

12 Rotors 04/09/2012 ITU 2.12

13 Plug board 0 til 13 kabler 04/09/2012 ITU 2.13

14 Enigma kombinationer 3,283,883,513,796,974,198,700,882,069,882,752,878,379,955,261,095,623,685, 444,055,315,226,006,433,615,627,409,666,933,182,371,154,802,769,920,000,0 00,000 Enigma blev brudt! ~ Antal atomer i solen ~ Rejewski Enigma brudt pga. svaghed i nøglefordelingsprotokollen Alan Turing Splittede problemet op i en statisk og dynamisk del 04/09/2012 ITU 2.14

15 Moderne kryptering Symmetrisk kryptering Modtager og afsender har samme nøgle (symmetrisk) Antal nøgler ved n brugere: n*(n-1)/2 Baseret på klassiske metoder (simple bit operationer) Kan underopdeles i Block ciphers Stream ciphers Største problem: nøglefordelingsproblematikken Asymmetrisk kryptering Modtager og afsender har forskellige nøgler Antal nøgler ved n brugere: 2*n Baseret på matematiske problemer. Kræver dedikeret HW 04/09/2012 ITU 2.15

16 Block Ciphers - DES Data Encryption Standard (DES) Baggrund for DES National Bureau of Standards (NBS) (1976) baseret på Lucifer (IBM) Vægt på standard for alt og alle (exporteres) algoritmen kendt og undersøgt key beskyttelse ikke metoden implementeres som hardware (1 $) }Kerckhoff s princip god beskyttelse og effektiv simple logiske operationer (substitution og transposition) Ialt 2 56 muligheder = 72,057,594,037,927,936 Største ulempe: Nøglefordeling 04/09/2012 ITU 2.16

17 DES implementation Input (64 bits) KEY (56 bits) Tabel 3.8 Initial permutation Tabel 3.3 Tabel 3.4 Tabel cycles Tabel 3.6 Tabel 3.9 Tabel 3.7 Inverse initial permutation Output (64 bits) 04/09/2012 ITU 2.17

18 04/09/2012 ITU 2.18

19 Feistel cipher design En runde (cycle) i DES kan skrives som: eller: L i = R i-1 R i = L i-1 F(R i-1, K i ) R i-1 = L i L i-1 = R i F(R i-1, K i ) = R i F(L i, K i ) Feistel konstruktionen betyder at dekryptering kan foretages, selvom F er en envejsfunktion Dekryptering Anvend DES algoritmen med subnøglerne taget i omvendt rækkefølge 04/09/2012 ITU 2.19

20 Sikkerheden i DES Er DES sikker? algoritmen frikendt for trapdoor og design flaw IBM's design noter er klassificeret af NSA, hvorfor? antal iterationer er rigeligt (8 er nok) nøglelængde er for kort (oprindelig 128 bits) Konklusion: ingen reelle kendte svagheder i DES Brute force teknikker: 2 56 mulige nøgler; Tidligere estimat: ca år med 1µsek pr. nøgle 17. juni dage computers forbundet i Internettet Fredag, 17. juli 1998 Koden brudt på 56 timer Cost: $ EFF bygger en DES cracker på mindre end et år. 19. Jan 1999 Koden brudt på 22 timer og 15 min. (240*10 9 keys/s) Deep Crack plus Internet PC er Mulig løsninger: Triple DES (112 bits) Encrypt: K1, decrypt: K2, encrypt: K1 04/09/2012 ITU 2.20

21 Complexity (løsningsrummet for DES er exponentielt stigende med n) 04/09/2012 ITU 2.21

22 Advanced Encryption Standard (AES) NIST initiativ: Start 2. Januar 1997 Endelig godkendelse medio 2001 Kriterier: Uklassificeret, offentlig, royalty-free, worldwide Symmetrisk algoritme. Fast bloklængde på 128 bits Forskellige nøglelængder på 128, 192 og 256 bits Antal rounds: 10, 12 henholdsvis 14 afhængig af nøglelængden Rijndael (Joan Daemen and Vincent Rijmen) Valgt i oktober /09/2012 ITU 2.22

23 1 AES Add key material 04/09/2012 ITU 2.23

24 Modes for blokkryptering Electronic Code Book (ECB) mode Før Flawed! Efter kryptering 04/09/2012 ITU 2.24

25 Integritet og Block replay Forskellige modes for blokkryptering (DES): ECB Electronic code block CBC Cipher block chain CTR Counter encryption Electronic Code Block Vulnerabilities Information leak Replay attack Cipher Block Chaining P i + Encryption C i E(P i C i-1 ) 04/09/2012 ITU 2.25

26 One time pad Stream ciphers Unconditionally secure (Shannon s bevis 1949) Vælg en lang nøgle som XOR es med klarteksten. ciffertekst = Nøgle klartekst klartekst = Nøgle ciffertekst Brug evt. pseudo random number generator (PRNG) til nøglegenerering ISEED (K) Plain text PRNG Cipher text XOR What about integrity? 04/09/2012 ITU 2.26

27 Random generators A chain is no stronger than its weakest link! Requirements of good random generators Uniform distribution Independence Unpredictable Long periode How do we produce good ISEED s? Don t use Time of day (seconds): (<2 17 ) Password 8 letters : (<2 38 ) Could block ciphers be used as random generators? 04/09/2012 ITU 2.27

28 Stream ciphers - hardware GSM algoritme A5- anvendes i vores mobilos. Udviklet i Hemmeligt design. Det overordnede design blev lækket i Reversed engineered i A5/1 og A5/2 benyttes til confidentiality A5/1 i Europa og USA A5/2 i lande not concidered trustworthy enough to strong crypto Simpelt skifteregister 04/09/2012 ITU 2.28

29 Stream ciphers - software RC4 (Ron Rivest, 1987) Initialisering anvendes bl.a. i SSL, WEP, WPA En tabel på 256 bytes initialiseres med for i from 0 to 255 værdier fra 0 til 255 og nøglen blandes ind i S[i] := i tabellen j := 0 for i from 0 to 255 { j := (j + S[i] key[i mod keylength]) mod 256 swap(s[i],s[j]) } The pseudo-random generation algorithm (PRGA) i := 0 j := 0 while running { i := (i + 1) mod 256 j := (j + S[i]) mod 256 swap(s[i],s[j]) pseudo-random-byte := S[(S[i] + S[j]) mod 256] } Simpelt tabelopslag efterfulgt af swap (ombytning) ciffertekst-byte := klartekst-byte pseudo-random-byte 04/09/2012 ITU 2.29

30 Hash algoritmer Hash algoritmer (Kryptografisk forsegling) Compression Absolut envejs (output kaldes digest) Collision free Weak or strong collision resistance Offentlige og kendte. Anvendelse En-vejs kryptering. (f.eks. Password beskyttelse) Integritets check, verification, tidsstempling af dok. Message authentication code, MAC (evt med nøgle) Kan DES anvendes som hash algoritme? 04/09/2012 ITU 2.30

31 MD5 Message PadLength 512-bit Blocks A B C D A B C D A B C D A = B = 89abcdef C = fedcba98 D = A B C D 128-bit Hash 04/09/2012 ITU 2.31

32 MD5 internal loop 512-bit Block 32-bit Words A B C D 16 gange 16 gange 16 gange 16 gange A B C D 04/09/2012 ITU 2.32

33 Forskellige hash algoritmer Ron Rivest (ca. 1990) Message Digest algoritm MD4. (RFC1320) 16 bit word 128 bit digest, 48 steps Message Digest algoritm MD5 (RFC 1321) 32 bit word 128 bit digest, 64 steps In an attack on MD5 published in December 2008, a group of researchers used this technique to fake SSL certificate validity 04/09/2012 ITU 2.33

34 Secure Hash Algoritme med forskellige nøglelængder SHA 1, SHA 256, SHA 384, SHA 512 Arbejder på 32 bit word Bloklængde: 512 bits (SHA 1, SHA 256) eller 1024 bits (SHA 384, SHA 512) SHA1: 160 bit digest SHA2 256, 384 og 512 bits digest SHA3 Vælges i året /09/2012 ITU 2.34

35 Beware of birthday attack Capture-recapture statistics Collision ~ n = n ½ 04/09/2012 ITU 2.35

36 Message Authentication Code (MAC) DES i CBC mode P i + Encryption C i Digest svarer til den sidste blok Autenticitet skabes gennem DES nøglen Problem: Digest (64 bits) er for kort. Hash-based Message Authentication Code HMAC(M,K) = hash(m,k) I praksis vælges en dobbelt hash: H(K opad,h(k ipad,m)) E(P i C i-1 ) 04/09/2012 ITU 2.36

37 Asymmetrisk kryptering (Public key systemer) Baseret på notorisk vanskelige matematiske problemer Eksempler: Diskrete logaritmer givet y, a og n. Find x hvor y = a x mod (n) Diffie Helmann key distribution Faktorisering givet C, e og n. Find m hvor C = m e mod (n) Cryptosystem: RSA algoritmen (1978) Elliptiske funktioner (1985) Kvantekryptering Symmetrisk kryptering er fra 100 til 1000 gange hurtigere end asymmetrisk krypto 04/09/2012 ITU 2.37

38 Diffie-Hellman 1 Alice vælger x p er et primtal og g en generator Begge tal er offentlige 0 2 g x mod p g y mod p 3 Bob vælger y Alice udregner (g y ) x mod p Bob udregner (g x ) y mod p Diffie-Hellman nøglefordeling er baseret på en envejsfunktion z = g x mod p, hvor Alice og Bob (i kraft af privat viden) hver for sig kan udregne den samme størrelse. 04/09/2012 ITU 2.38

39 RSA Rivest Shamir Adelman (RSA) 1978 Alice NB. Det amerikanske patent udløb 20 SEP 2000 Let s meet to night, but don t tell anybody e, n Bob d,n Alice krypterer C = {M} Bob = M e mod (n) Bob dekrypter M= [C] Bob = C d mod (n) e d 04/09/2012 ITU 2.39

40 RSA (fortsat) Alice Sure, trust me, signed Bob e, n d Bob Bob signing S = [M] Bob = M d mod (n). S appendes M Alice verificerer underskriften M =? {S} Bob = S e mod (n) 04/09/2012 ITU 2.40

41 Digital signatur Alice Message 1 Bob Message Hash algoritme Hash algoritme digest digest Digest signeres (Krypteres med Alice s private nøgle) 2 =? Underskrift verificeres (Dekrypteres med Alice s offentlige nøgle) Den offentlige nøgle fås fra Alice s certifikat 04/09/2012 ITU 2.41

42 Fortrolighed Alice Bob Message Message zip unzip Vælg sessionsnøgle K K Symmetrisk kryptering Symmetrisk (de)kryptering K Krypter K med Bob s offentlige nøgle + ciffertext Find K ved at decryptere med Bob s private nøgle ciffertext 04/09/2012 ITU 2.42

43 Hvordan sikres autenticitet af offentlig nøgle? Public Key Infrastructure (PKI) 1. Baggrundschek Kvalificerede certifikater OCES Kommerciel praksis EV SSL (extended Validation) 2. Public key certificate is a digital signed electronic document which bind a public key with an identity. The certificate can be used to verify that a public key belongs to an individual. Hvem underskriver et certificat Self signed CA (certificate authority) Revocation of certificates Verificering af: juridisk, fysisk og operationel eksistens af virksomheden at virksomhedens identitet matcher officielle databaser at virksomheden ejer domænet i certifikat-ansøgningen at virksomheden har accepteret udstedelsen af EV certifikatet 04/09/2012 ITU 2.43 CA

44 X.509 v3 certifikat standard Certificate format version Certificate serial number Signature algorithm identifier Issuer X.500 name Validity period Subject X.500 name Subject public key information Issuer unique identifier Subject unique identifier Type Criticality Value Type Criticality Value Certificate Signature Algorithm CA Signature Extensions Hvad sker der når en CA kompromitteres? DigiNotar!! 04/09/2012 ITU 2.44

45 Structure of Encrypted File System Launch key for nuclear missile is DES File Encryption Output File *#$fjda^j u539!3t 389E Data S e s s i o n K e y RSA Key Encryption Owner s public key RSA Key Encryption Recovery agent s public key RSA Key Encryption &%ht^uy#kl2! (Session Key) Owner s Name Owner s Public Key uk&$j)-!il Agent s Name Agent s Public Key Other Users DDFs DDF DRF 04/09/2012 ITU 2.45

46 Kvantekryptering Quantum Key Distribution (QKD) Metode til overførsel af symmetriske nøgler Bygger på polarisering af lys Måling af en photons polarisationsretning kan ikke ske uden at påvirke fotonerne, derfor kan aflytning ikke ske ubemærket Afstand over lyslederkabler (marts 2007): km Quantum cryptography is still vulnerable to a type of MITM where the interceptor (Eve) establishes herself as "Alice" to Bob, and as "Bob" to Alice. 04/09/2012 ITU 2.46