Kryptografické systémy

Transcription

1 Kryptografické systémy Blokové šifry doc. RNDr. Jozef Jirásek, PhD. Bc. Ján Kotrady 2017/2018 Zimný semester 2017 Blokové šifry 1

2 Substitučné šifrovacie systémy Alica Encryption Decryption Bob x 1 x 2... x n x i Σ P plaintext otvorený text k y 1 y 2... y n y i Σ C ciphertext šifrový text k x 1 x 2... x n x i Σ P plaintext otvorený text posuvná šifra monoalfabetická substitúcia polyalfabetické šifry prúdové šifry (substitúcia prekrytím pseudonáhodne generovaným prúdom znakov) viacznakové šifry (Playfair, Hill,...) Zimný semester 2017 Blokové šifry 2

3 Jednoduchá mriežka (Cardan grille) Cardano (1550) znaky textu, ktorý chceme zašifrovať, nájdeme v obyčajnom texte (liste) a ich pozície vyznačíme v mriežke dešifrovanie opäť priložiť mriežku (kľúč) skôr steganografia... Zimný semester 2017 Blokové šifry 3

4 Otáčacia mriežka leissner (1880) 4 pozície mriežky všetky miesta obsadené textom dešifrovanie použiť mriežku v dohodnutom poradí Zimný semester 2017 Blokové šifry 4

5 Transpozičné šifry Šifrový text vznikne permutáciou (niektorých) znakov otvoreného textu (ak je text dlhý, možno ho rozdeliť na bloky podľa veľkosti permutácie) zápis otvoreného textu odzadu zápis textu do riadkov pevnej dĺžky a šifrovanie čítaním po stĺpcoch (scytale) stĺpcová transpozícia pred čítaním stĺpce zamiešame permutačné mriežky (jednoduché zapamätanie permutácie mechanické šifrovanie a dešifrovanie) expanzná permutácia - zobrazenie znakov otvoreného textu na viacero miest šifrového textu (eliminácia použitia frekvenčnej analýzy a hľadania anagramov) Zimný semester 2017 Blokové šifry 5

6 Šifra ADGX používaná v 1. svetovej vojne v nemeckej armáde kombinácia Polybiovho štvorca so stĺpcovou transpozíciou znaky šifrového textu A D G X odlišný Morseho kód (redukcia chýb) heslo VELMINAHODNEA BEZPECNEHESLO zapíšeme do Polybiovho štvorca (ako v Playfair šifre) A D G X A V E L M I D N A H O D B Z P C S G G K Q R H T U W X Y Zimný semester 2017 Blokové šifry 6

7 Šifra ADGX A D G X znaky otvoreného textu šifrujeme A D V N E A L H M O I/J D dvojicou indexu riadku a indexu stĺpca B Z P C S G G K Q R X T U W X Y S U P E R G G X X X X A D G G D G X D X G A A X D D E P R S U X G X G X A X D G G D G G X A X D D D A X K R Y P T O G R A I A G GX XX XADGGDGX DX GA AX DD a pokračujeme stĺpcovou transpozíciou s heslom SUPER šifrový text (po stĺpcoch): XXDGD GGXD XAGAX GXDXA GDX Zimný semester 2017 Blokové šifry 7

8 Iné možnosti utajenia informácie Shannon (1945) zobrazenia, zvyšujúce entropiu : konfúzne zakrývajúce vzťah medzi kľúčom a šifrovým textom, zmena v kľúči spôsobí zmenu CT na viacerých miestach zobrazenie je nelineárne pre šifrovaciu funkciu nie je možné použiť aproximáciu lineárnymi resp. inými jednoduchými funkciami difúzne zakrývajúce vzťah medzi otvoreným a šifrovým textom tým, že zmena znaku v PT zmení znaky v CT na rôznych miestach (charakteristiky PT sa rozptýlia do celého CT resp. bloku CT) lavínový efekt (the avalanche effect) zmena bitu v otvorenom texte zmení každý bit výstupu s pravdep. 1/2 Zimný semester 2017 Blokové šifry 8

9 Iné možnosti utajenia informácie Shannon zobrazenia, zvyšujúce entropiu : konfúzne zakrývajúce vzťah medzi kľúčom a šifrovým textom, zmena v kľúči spôsobí zmenu CT na viacerých miestach difúzne zakrývajúce vzťah medzi otvoreným a šifrovým textom tým, že zmena znaku v PT zmení znaky v CT na rôznych miestach z teórie informácie neexistujú iné zobrazenia zloženie konfúzneho a difúzneho zobrazenia nie je komutatívne (záleží na poradí) Zimný semester 2017 Blokové šifry 9

10 Substitučno permutačné siete utajenie zvýši len opakovaná kombinácia konfúzie (substitúcie) a difúzie (transpozície) substitučno-permutačné siete opakujú substitúciu (stále s iným kľúčom) a permutáciu v tzv. rundách (round) účinnosť závisí od kvality substitučných blokov (S-boxov) a veľkosti permutácie (P-boxy) dešifrovanie obrátený postup (s inverznými S-boxmi) Zimný semester 2017 Blokové šifry 10

11 Blokové symetrické šifrovacie systémy Alica Block encr. x 1 x 2... x n x i {0,1} m k otvorený text rozdelený na bloky y 1 y 2... y n y i {0,1} m bloky šifrového textu Block decr. delenie textu na bloky rovnakej veľkosti (aby sa dali urobiť difúzie) šifrovanie rovnakých blokov tým istým kľúčom bude rovnaké blok musí byť dostatočne veľký, aby sa nedali využiť štatistické metódy resp. kódovacie tabuľky pre každý kľúč bloková substitúcia umožňuje K = 2 m! kľúčov prakticky stačí menej, ale treba s nimi správne narábať k Bob x 1 x 2... x n x i {0,1} m bloky otvoreného textu Zimný semester 2017 Blokové šifry 11

12 eistelova sieť L 0 L 1 L 2 R 0 K1 R 1 K 2 R 2 K 3 eistel (1973) SP sieť (pôvodne pre IBM šifru Lucifer) blok rozdelený na polovice L 0 a R 0 L i = R i 1 R i = L i 1 (R i 1, K i ) po n rundách je šifrový text R n L n L 3... L n 1 R 3... R n 1 K n difúzia zmiešanie s opačnou polovicou bloku konfúzia nelineárna funkcia ovplyvnená rôznymi kľúčmi L n R n Zimný semester 2017 Blokové šifry 12

13 eistelova sieť - dešifrovanie L 0 L 1 R 0 K1 R 1 R n R n 1 L n Kn L n 1 L i = R i 1 R i = L i 1 (R i 1, K i ) začiatok R n L n K 2 K n 1 po prvej runde bude L 2 R 2 R n 2 L n 2 L n R n L n, K n L 3 R 3 K 3 K n 2 L n = R n 1 R n L n, K n = = L n 1 (R n 1, K n ) R n 1, K n = L n 1... L n 1... R n 1 K n... R 1... L 1 K 1 teda R n 1 L n 1 a ďalej až po R 0 L 0 - dešifrujem L 0 R 0 nie je potrebné poznať inverzné funkcie k L n R n R 0 L 0 pri dešifrovaní len zmeniť poradie kľúčov Zimný semester 2017 Blokové šifry 13

14 DES Digital Encryption Standard IP IP -1 K 1 K 2 K 16 IPS ( ) podľa IBM Lucifer blok 64 bitov, 16 rúnd kľúč 56 bitov > 16 rundových 48 bitových kľúčov inicializačná permutácia (zapojenie vstupov) Zimný semester 2017 Blokové šifry 14

15 DES funkcia IP IP -1 K 1 K 2 K 16 Expanzia E s 1 s 2 s 3 s 4 s 5 s 6 s 7 s P K i nelineárna funkcia expanzná permutácia E výstupná permutácia P 8 substitučných S-boxov zobrazenia {0,1} 6 {0,1} S-box S Zimný semester 2017 Blokové šifry 15

16 DES generovanie kľúčov 56 PC <<<1 <<<1 PC2 <<<1 <<<1 PC2 <<<2 <<<2 PC2 <<<2 <<<2 PC K1 48 K 2 odstránenie paritných bitov začiatočná kľúčová permutácia PC1 kľúč sa rozdelí na 28 bitové polovice C 0 a D 0 for r := 1 to 16 do if r {1,2,9,16} then j := 1 else j := 2 endif; C r C r 1 <<< j D r D r 1 <<< j K r PC2(C r, D r ) endfor; PC2 - výstupná výberová permutácia po 28 rotáciách bude C 16 = C 0, D 16 = D 0 pre dešifrovanie sa použije ten istý postup s opačným smerom posunutia Zimný semester 2017 Blokové šifry 16

17 DES - analýza je možné zabezpečiť len výpočtovú bezpečnosť (za prelomenie sa považuje útok rýchlejší ako prehľadávanie celej kľúčovej množiny) na 56 bitový kľúč je potrebné použiť kvalitný (pseudo)náhodný generátor (nie len 8 znakov ASCII) 4 slabé kľúče E k E k X = X (+12 poloslabých) nie je homomorfná šifra E k2 E k1 X E k3 X UD (unicity distance) vzdialenosť jednoznačnosti H(K)/H M = log 2 56 / log 2 64 = 0,875 na úspešný útok by mala stačiť dvojica (M,C) Zimný semester 2017 Blokové šifry 17

18 TMTO (time memory trade off) útok KPA pre známu dvojicu (M, C) predpočítať tabuľku (k, DES k (M)) pre všetky kľúče a nájsť správny kľúč v konštantnom čase náhodne voliť kľúč k a porovnať C a DES k (M) (Hellman) dá sa hľadať v čase O( K 1/2 ) s predpočítanou tabuľkou veľkosti O( K 1/2 ) ak veľkosť bloku m sa rovná dĺžke kľúča : for i = 1 to r {z = rand(x i ); for j = 1 to s do z = E z (M); y i = z} dostaneme r dvojíc (x i,y i ) vyrábam maximálne s-prvkový reťazec z = C; {z = E z (M);}, ak pre nejaké j bude z=y j, potom predchodcom C v reťazci, začínajúcom x j musí byť E k (M) Zimný semester 2017 Blokové šifry 18

19 DES KPA útok na niekoľko rúnd Expanzia E P s 1 s 2 s 3 s 4 s 5 s 6 s 7 s K i R 0 K 1 pre jednu rundu poznáme L 0, R 0, L 1, R 1 L 1 = R 0 R 1 = L 0 R 0, K 1 R1 R 0, K 1 = = P(S E R 0 K 1 ) K 1 = E(R 0 ) S 1 (P 1 (L 0 R 1 )) poznáme E(R 0 ) a P 1 (L 0 R 1 ) na S -1 treba vyskúšať 4 8 = 2 16 = možností L 0 L 1 pre dve rundy... Zimný semester 2017 Blokové šifry 19

20 DES COA analýza počet možných kľúčov K = 2 56 ~ 72* (zo všetkých 2 64! substitúcií) VLSI na testovanie 10 6 k/s 1 deň $20 mil návrh 5760 VLSI po $10 ~ 1.5 dňa (nerealizované) 1997 DES Challenge (RSA) 5 mesiacov 25% kľúčov 1998 DES Challenge II-1-39 dní 85% kľúčov 1998 E DES Cracker ASIC chips - 88 mld k/s DES Challenge II-2 56 hodín - $200 tis DES Challenge III DES Cracker + distributed.net (100 tis. PC) 22h15min projekt Copacobana (2007) 120 PGA 48 mld k/s dúhové tabuľky (rainbow table) CPA za 25 s Zimný semester 2017 Blokové šifry 20

21 Odporúčané dĺžky kľúčov Attacker Budget Hardware Min security Hacker 0 PC 58 < $400 PC(s)/PGA 63 0 Malware 77 Small organization $10k PC(s)/PGA 69 Medium organization $300k PGA/ASIC 69 Large organization $10M PGA/ASIC 78 Intelligence agency $300M ASIC 84 rom ECRYPT II Yearly Report on Algorithms and Keysizes ( ) Zimný semester 2017 Blokové šifry 21

22 Stupne zabezpečenia 32 Real-time, individuals Only auth. tag size 64 Very short-term, small org Not for confidentiality in new systems 72 Short-term, medium org Medium-term, small org 80 Very short-term, agencies Smallest general-purpose Long-term, small org < 4 years protection (2-key 3DES, < 240 PT/CT) 96 Legacy standard level 10 years protection (2-key 3DES, < 10 6 PT/CT) 112 Medium-term protection 20 years protection (3-key 3DES) 128 Long-term protection 30 years Good, generic application-indep. 256 oreseeable future rom ECRYPT II Yearly Report on Algorithms and Keysizes (2012) Zimný semester 2017 Blokové šifry 22

23 2DES + KPA útok 2DES C = DES r (DES k M ) Meet-in-the-middle útok - ak poznáme dve dvojice M, C M, C X = DES k (M), Y = DES r -1 (C), X = Y pre správne k a r pre všetky k i nájdeme X i a uložíme do poľa K[X i ] = k i (dimenzie 2 64 ) prechádzame všetky r j a ak pre DES rj -1 (C) = Y j nájdeme obsadenú pozíciu K[Y i ] v poli K, potom DES K[Yj] (M) = Y j = DES rj -1 (C) teda (K[Y i ], r j ) je vhodná dvojica kľúčov (k,r) počet všetkých dvojíc kľúčov je = a počet blokov len 2 64 teda dostaneme približne /2 64 vhodných riešení (UD H(K)/H P = log / log 2 64 = 1,75 ) potrebujeme aspoň jednu ďalšiu dvojicu (M, C ), na ktorej vyskúšame dvojicu kľúčov (K[Y i ], r j ) mali by sme dostať približne (2 112 /2 64 )(1/2 64 ) = 2-16 možností, teda ak DES K[Yj] (M ) = DES rj -1 (C ) bude pravdepodobnosť správneho riešenia vysoká ak DES K[Yj] (M ) DES rj -1 (C ) musíme pokračovať v prehľadávaní ďalších kľúčov r j počet použití DES je < = 2 57 potrebujeme tiež vhodne uložiť pole veľkosti 2 64 Zimný semester 2017 Blokové šifry 23

24 3DES a DESx 3DES C = DES k3 (DES 1 k2 (DES k1 M )) dešifrovanie M = DES 1 k1 DES k2 (DES 1 k3 (C)) 168 bitový kľúč, ale bezpečnosť len na úrovni (MITM) stačí k 1 a k 2 a C = DES k1 (DES 1 k2 (DES k1 M )) 112 bitový kľúč pre k 3 = k 2 = k 1, 3DES k1 k 2 k 3 = DES k1 (3DES funguje aj ako DES) DES-X (Rivest, Killian) C = k 3 DES k1 (Mk 2 ) M = k 2 DES 1 k1 (Ck 3 ) k 1 56 bitový a k 2, k 3 64 bitové spolu 184 bitový kľúč rýchlejší výpočet, bezpečnosť na úrovni key whitening Zimný semester 2017 Blokové šifry 24

25 DES lineárna a diferenciálna kryptoanalýza aproximácia S-boxov lineárnymi zobrazeniami (Matsui 1994) aspoň 2 43 párov PT,CT 10 dní z 2 43 párov je možné získať 26 bitov, ostatok hrubou silou diferenciálna kryptoanalýza - rozdiely medzi vstupmi a výstupmi (čo spôsobí zmena bitu vstupu na výstup) pre diferenciálnu kryptoanalýzu DES choosen PT aproximácia 13 rúnd + hrubá sila pomocou známych dvojíc PT/CT je možné dopočítať CT aj pre hľadaný PT (resp. naopak) Zimný semester 2017 Blokové šifry 25

26 IDEA International Data Encryption Algorithm (1991) náhrada za DES počas licenčných obmedzení pre otvorené riešenia (PGP,...) 64 bitový blok, 128 bitový kľúč 8 rúnd jednoduchých operácií (celočíselných 16-bitových) Lai-Massey schéma podobne ako eistel dešifruje sa šifrovacou funkciou s opačným poradím kľúčov Zimný semester 2017 Blokové šifry 26

27 Ďakujem za pozornosť. Zimný semester 2017 Blokové šifry 27