Andrew Kozlík KA MFF UK

Rozměr: px

Začít zobrazení ze stránky:

Download "Andrew Kozlík KA MFF UK"

Marie Sedláčková
před 4 lety
Počet zobrazení:

1 Autentizační kód zprávy Andrew Kozlík KA MFF UK

2 Autentizační kód zprávy Anglicky: message authentication code (MAC). MAC algoritmus je v podstatě hashovací funkce s klíčem: MAC : {0, 1} k {0, 1} {0, 1} n, kde k, n N. MAC slouží k autentizaci původce zprávy. Implicitně zahrnuje i zajištění integrity zprávy. Obraz nazýváme tag nebo prostě MAC. Tag můžeme připojit ke zprávě jako jakýsi podpis. Není to podpis, protože nezajišťuje nepopiratelnost!

3 Zajištění autentizace pomocí hashovací funkce odesílatel útočník příjemce x x A B Jestliže veřejný kanál h(x ) = t, h h usoudíme, že x = x a že x t kanál se zajištěnou autentizací =? pochází od A. Zajištění autentizace pomocí MACu odesílatel útočník příjemce x x A B t veřejný kanál t Jestliže MAC MAC MAC(k, x ) = t, usoudíme, že? k = x kanál s utajením a autentizací = x a že x G pochází od A.

4 Typy útoků na MAC Known message útok Útočník zná jeden nebo více párů (x i, t i ), kde t i = MAC(k, x i ) a k je konstantní. Chosen message útok Útočník volí zprávy x 1,..., x n a dozvídá se hodnoty t i = MAC(k, x i ), kde k je konstantní. Cílem je vytvořit novou dvojici (x, t), kde t = MAC(k, x).

5 Šifra nezajišťuje ani integritu ani autentizaci Alice posílá do banky platební příkaz pro Boba. Příkaz má standardní formát x = pořadové číslo N A N B částka a zašifruje se proudovou šifrou y = x s, kde s je keystream, N A a N B jsou čísla účtů Alice a Boba. Cestou do banky je zašifrovaný příkaz zadržen Evou. Ta ho pozmění a pošle dál: y = y ( N B N E ). Po dešifrování y v bance dostaneme pořadové číslo N A N E částka.

6 Autentizované šifrování Encrypt-then-MAC Máme klíče k1 a k 2 (jeden může být odvozený z druhého). Spočítáme y = E(k1, x) a t = MAC(k 2, y). Pošleme (y, t). Existují operační režimy blokových šifer, které kombinují utajení a autentizaci. Výstupem je šifrový text a tag. Například: Galois Counter Mode (GCM). Obrana proti replay útokům: Do zprávy přidáme důkaz čerstvosti, např. pořadové číslo.

7 Konstrukce MAC algoritmu z hashovací funkce Nápad: MAC(k, x) := h(k x). Problém: Když h má Merkleovu-Damgårdovu konstrukci: Útočník odposlechne (x, t), kde t = h(k x). Pro libovolné x může spočítat h(k x x ) bez znalosti k. Stačí navázat na posloupnost volání kompresní funkce: B 1 B 2 B n B 1 B n IV f f... f t f... f t Tím získá tag t pro zprávu x x, aniž by znal klíč k. Řešení: ( HMAC(k, x) := h (k opad) ( ) ) h (k ipad) x, kde opad a ipad jsou standardem dané konstanty.

8 Konstrukce MAC algoritmu z blokové šifry Nápad: CBC-MAC Zprávu zašifrujeme blokovou šifrou v CBC režimu a jako tag použijeme pouze poslední blok výstupu, IV = 0. Pro šifrování a MAC je třeba použít různé klíče! Problém: Known message útok Útočník odposlechne (x1, t 1 ) a (x 2, t 2 ), kde t i = CBC-MAC(k, x i ). Pro jednoduchost předpokládejme, že délka xi je rovna délce jednoho bloku šifry, potom t i = E(k, x i ). Označme x3 := t 1 x 2. Potom CBC-MAC(k, x1 x 3 ) = E(k, E(k, x 1 ) x 3 ) = E(k, t 1 t 1 x 2 ) = t 2. Sestrojili jsme novou platnou dvojici ( x1 (t 1 x 2 ), t 2 ).

9 Konstrukce MAC algoritmu z blokové šifry Řešení: EMAC Výsledek CBC-MACu navíc zašifrujeme jiným klíčem: EMAC(k 1, k 2, x) := E(k 2, CBC-MAC(k 1, x)) Problém: Chosen message útok Podaří-li se útočníkovi narazit na kolizi (x1, t) a (x 2, t), kde t = EMAC(k 1, k 2, x 1 ) = EMAC(k 1, k 2, x 2 ), pak CBC-MAC(k 1, x 1 ) = CBC-MAC(k 1, x 2 ). Nechť x je libovolný řetězec o délce jednoho bloku. Uvažujeme-li chosen message útok, pak se útočník může dotázat na EMAC(k 1, k 2, (x 1 x )) = t 3.

10 Chosen message útok na EMAC Pokračování: Nyní platí: Řešení: EMAC(k 1, k 2, (x 2 x )) = E(k 2, CBC-MAC(k 1, (x 2 x )) = E(k 2, E(k 1, CBC-MAC(k 1, x 2 ) x ))) = E(k 2, E(k 1, CBC-MAC(k 1, x 1 ) x ))) = E(k 2, CBC-MAC(k 1, (x 1 x )) = EMAC(k 1, k 2, (x 1 x )) = t 3. Sestrojili jsme novou platnou dvojici ( (x2 x ), t 3 ), ačkoliv se útočník na tag pro (x 2 x ) nikdy nedotázal. 1. Omezíme počet zpráv, pro které se k 1 a k 2 použijí, aby kolize tagů byly málo pravděpodobné. 2. Jako tag použijeme jen několik prvních bitů výstupu EMACu, aby útočník nemohl z tagu poznat kolize CBC-MACu.

Podobné dokumenty

Hashovací funkce. Andrew Kozlík KA MFF UK

Hashovací funkce. Andrew Kozlík KA MFF UK Hashovací funkce Andrew Kozlík KA MFF UK Hashovací funkce Hashovací funkce je zobrazení h : {0, 1} {0, 1} n. Typicky n {128, 160, 192, 224, 256, 384, 512}. Obraz h(x) nazýváme otisk, hash nebo digest prvku