MKRI Kryptografie v informatice

Transkript

1 1. Základní pojmy: kryptologie, kryptografie, steganografie, kryptoanalýza, princip symetrických a asymetrických šifer. Kryptologie: Nauka o metodách utajování. Název z řeckého slova kryptós = skrytý. Kryptologie je souhrnný název pro kryptografii, steganografii a kryptoanalýzu. Kryptografie: Technika a věda o utajování zpráv. Zabývá se šifrovacími technologiemi, algoritmy, mechanizmy, stavebními bloky a transformacemi používanými pro utajování zpráv. Kryptografie šifrované zprávy vytváří. Steganografie: Věda zabývající se skrýváním zpráv. Základem je utajený algoritmus na veřejném klíči, což může znamenat komunikaci tam, kde se zdá, že žádná komunikace není. (V praxi text uložený v obrázku na místech, kde se vyskytuje náhodný šum.) Kryptoanalýza: Věda zabývající se získáváním obsahu zašifrovaných zpráv, aniž by bylo použito tajného klíče. Tzv.: prolamování kódu. Kryptoanalýza šifrované zprávy luští a tím testuje odolnost kryptografických systémů. Princip symetrických šifer: Základem je takový šifrovací algoritmus,který pro šifrování a dešifrování používá jediný tajný klíč. Klíč je jeden a znají ho jen Ti dva co spolu komunikují => problém s distribucí klíčů. Výhodou sym. šifer je velká rychlost šifrování oproti asymetrickým. Druhy symetrických šifer: Proudové šifry šifrování bit po bit (byte po byte). Např.:Vernamova šifra,rc4 Blokové šifry šifrování po blocích konstantní délky (např.:64, 128bit). Pokud je zpráva jinak dlouhá než je velikost bloku, tak se dle různých algoritmů buď rozdělí na bloky,nebo doplní na požadovanou délku. Např.: DES, AES Princip asymetrických šifer: Základem je šifrovací algoritmus, kde se pro zašifrování a dešifrování používají 2 odlišné klíče (veřejný [VK] a soukromý [SK]). Výhodou asymetrického šifrování je, že ten kdo šifruje, nemusí s příjemcem zprávy sdílet žádné tajemství. Nejběžnějším použitím v praxi je elektronický podpis (viz. otázka č.: 8). Pomocí SK majitel klíčů zprávu zašifruje a VK volně poskytne, aby si každý mohl ověřit autentičnost a integritu zprávy. Druhou možností použití asymetrického šifrování je, že VK majitel klíčů uveřejní a kdokoli jím může šifrovat jemu určené zprávy. Dešifrovací klíč je soukromý, majitel jej drží v tajnosti a pomocí něj může tyto zprávy dešifrovat. 2. Matematické základy kryptologie: modulární aritmetika, inverse modulo, Euclidův algoritmus, Eulerova funkce, prvočísla princip generování. Modulární aritmetika Definice: Obecně platí a b(mod n), jestliže a=b + kn pro nějaké celé číslo k. Bude-li a nezáporné číslo a b číslo mezi 0 a n, pak b můžeme chápat jako zbytek po dělení a číslem n. Číslu b někdy říkáme residuo a, modulo n a o číslu a říkáme že je kongruentní (shodné) s číslem b modulo n. Množina celých čísel od 0 do n-1 tvoří úplnou množinu residuí modulo n. To znamená, že reziduem modulo n jakéhokoliv celého čísla a je nějaké číslo mezi 0 a n-1. Modulo prakticky: Přepočet z 24hodinového formátu na 12cti hodinový. Příklad pro 11 hodin večer: 23mod12 = 11. Inverse modulo Definice (nejlépe přečíst kompletní z elearningu 3přednáška strana 97-99): Nechť vyjadřuje nějakou algebraickou číselnou operaci. může například vyjadřovat operaci +, nebo. Číslo i bude identickým prvkem pro pakliže x i = x a i x = i pro každé číslo x. => Existují 2 druhy inverse. Inverse pro operaci sčítání a ta je: x + i = - 1 -

2 x (i = 0, protože a + (-a) = 0 ) a inverse pro operaci násobení a ta je: x i = x (i = 1, protože a 1/a = 1). Konkrétní multiplikativní inverse 4 je ¼ jelikož 4 ¼ = 1. V aritmetice modulů je však problém: 4 x 1(mod 7) řešením je hledání takových x, která by splňovala: 4x = 7k + 1 => hledáme x pro které platí 1 = (a x) mod n což lze zapsat a -1 x (mod n). Problém je, že někdy řešení existuje a někdy ne! Přesvědčit se můžeme když si uvědomíme že modulární aritmetika na operacích + a vytváří matematický útvar, kterému se říká komutativní okruh. Budou-li po operaci inversi čísla různá od nuly, půjde o tzv. Galoisovo těleso. Důsledek je ten, že inversi modula zjistíme podle tabulky sestavené pro dané modulo (tabulka složitá, uvedena jen pro úplnost, důležitý je důsledek pod ní přesto příklad: inverse 5 modulo 14 = 3 ) Tabulka pro odečítání inverse mod 14 Důsledek je, že a -1 x (mod n) má jediné řešení jen tehdy, jestliže čísla a a n nemají společného dělitele. Jestliže a a n mají společného dělitele, pak a -1 x (mod n) nemá žádné řešení! Pokud chceme lehčí způsob, který však již není triviální, jako tento, zvolíme Euclidův algoritmus. Euclidův algoritmus Nejstarší netriviální algoritmus (vznik cca 500l.př.n.l, popsán Euclidem 300let př.n.l. ) Je to algoritmus pro určení největšího společného dělitele dvou přirozených čísel. Toto číslo je označováno gcd (z angl.: Greatest Common Divisor). Definice: a = m b + r kde m=a/b a r vyjadřuje zbytek. Příklad: Mějme čísla a=40902, b=24140 a b a = m b + r = = = = = = = = konec algoritmu Euclidův algoritmus pro výpočet gcd Největším společným dělitelem čísel a je číslo

3 Eulerova funkce MKRI Kryptografie v informatice Teoretická příprava: Používá se pro výpočet inverse mod n, avšak ne vždy lze použít. Redukovaná množina residuí (zbytků) mod n je podmnožinou úplné množiny residuí,jejíž prvky nemají s n žádné společné součinitele. Bude-li n prvočíslem, pak redukovanou množinu residuí mod n budou všechna čísla od 1 do n-1. Eulerova funkce: zapisována: φ(n), reprezentována počtem prvků redukované množiny residuí modulo n udává počet celých kladných čísel menších než n, přičemž žádné z těchto čísel nemá s n společného dělitele. Bude-li n prvočíslo, pak φ(n) = n-1, bude-li n =pq, kde p a q jsou prvočísla, pak φ(n) = (p 1) (q 1). V praxi se těchto čísel využívá v algoritmech veřejného klíče. (Pozn.: na tomto algoritmu je postaven systém RSA pokud bychom dokázali efektivně vypočítat eulerovu funkci bez rozkladu argumentu, dokázali bychom pak dopočítat z veřejného klíče klíč soukromý.) Prvočísla princip generování. Algoritmy veřejného klíče potřebují prvočísla, zde je o nich pár zajímavých poznatků: pokud použijeme velikost čísla 512 bitů, počet různých prvočísel bude , pravděpodobnost že si dva lidé zvolí stejné prvočíslo je tedy 1/ Vytvořit tedy databázi všech prvočísel velikosti 512 je nemožné. Špatná cesta k hledání prvočísel je vygenerovat si čísla a ta pak rozkládat, dokud nenarazíme na prvočísla. Správný postup je vygenerovat čísla a ta testovat na prvočíselnost. Testů založených na pravděpodobnostním přístupu je celá řada. Tyto testy určují s nějakou pravděpodobností, zda vygenerované číslo může být prvočíslem. Takovýmto prvočíslům se říká průmyslová prvočísla = pravděpodobná prvočísla se zanedbatelně malou chybou. (pravděpodobnost chyby 1 ku nemusíme řešit). Pro ověření existuje řada testů namátkou: Solovay-Strassenův test, Rabin-Millerův test (testovaní mocí funkce modulo). Princip generování v praxi. (1.) Vygenerujeme n-bitové náhodné číslo p. (2.) nejvyšší a nejnižší bit musí být 1 (nejvyšší oznamuje správnost požadované délka čísla, spodní bit že jde o liché číslo) (3.) Prověříme že číslo p není dělitelné malými prvočísly (3,5,7 251 rozsah je do 256) (4.) Provedeme Rabin-Millerův test. Pomocí malého náhodně vygenerovaného čísla a test se provede 5. Pokud p nevyhoví vygenerujeme jiné číslo a postup hledání opakujeme. 3. Generování náhodných čísel, princip, kongruenční generátory, testování generátorů, baterie testů. Generátory náhodných čísel, principy Generátor náhodných čísel (bitů) je zařízení sestrojené k produkci posloupnosti statisticky nezávislých a rovnoměrně rozdělených (binárních) náhodných veličin. Musí splňovat: rovnoměrnost pravděpodobnost vygenerovaných nul a jedniček se rovná 0.5, nezávislost měřítka co platí pro celou posloupnost musí platit i pro libovolnou posloupnost, konzistenci chování generátoru nezávisí na vstupní hodnotě, nepredikovatelnost, rychlé generování. Využití generátorů náhodných čísel: simulace např. metody Monte Carlo (numerické metody, které dokáží vypočítat poměrně přesný výsledek použitím naprosto náhodných čísel), loterie, kryptografie o přímé šifrování náhodným heslem - příkladem může být systém One-time pad (dokonalé šifrování), o generování klíčů pro symetrické šifry, o generování klíčů pro asymetrické šifry, o generování dat pro vytváření elektronických podpisů (zvláštní případ využití asymetrických šifer). Generátory náhodných čísel (bitů) může rozdělit na tří základní druhy: Fyzikální generátory - označovány jako TRNG = True Random Number Generator, - obsahují fyzikální zdroj náhodných informací

4 - podle typu náhodnosti je dělíme na: o fundamentálně náhodné náhodnost je zahrnuta přímo ve fyzikální podstatě jevu a jev je jako náhodný popsán fyzikálními zákony (radioaktivní rozpad, tepelný šum, dopad světelného kvanta) o prakticky náhodné po teoretické stránce je systém deterministický, ale je popsán často neúplnými parametry nebo není znám jeho počáteční stav (ruleta, losovací zařízení Sazky, ), - výhody: naprostá neopakovatelnost, - nevýhody: nízká rychlost generování, problémy při technické realizaci. Algoritmické generátory - označovány jako PRNG = Pseudo Random Number Generator, - zdrojem náhodných informací je matematický algoritmus (nějaká jednosměrná funkce), - množina generovaných čísel zůstane vždy konečná, - výhody: vysoká rychlost generování, lacinější realizace, - nevýhody: periodicita. Smíšené generátory - kombinace TRNG a PRNG generátorů, - důvodem je spojit kryptografické a statistické výhody obou typů generátorů (v pseudonáhodných generátorech je možné využít funkce, které nejsou striktně jednosměrné jako LFSR lineární registry se zpětnou vazbou), - zvláštním případem smíšených generátorů je použití velmi jednoduchých funkcí (filtrů) na korekci fyzikálního generátoru za účelem zlepšení pravděpodobnostních charakteristik četnosti bitu 1 a 0. Mezi nejznámější funkce (filtry) pro korekci patří: o technika xorování jeden výstupní bit vytvoříme ze dvou po sobě následujících úspěšných realizací experimentu podle následujícího schématu: o filtr von neumanna opět vytváříme jeden výsledný bit ze dvou po sobě následujících úspěšných realizací experimentu Kongruenční generátory Kongruenční generátory můžeme zařadit do skupiny algoritmických generátorů, kde zdrojem náhody je nějaký matematický algoritmus s jednosměrnou funkcí (mod). Princip metody: 1. Vhodnou funkcí z předchozích členů posloupnosti vypočteme y. 2. Operací modulo m zařadíme číslo do příslušné třídy a vytvoříme tím následující člen posloupnosti. x n+1 = f(x n, x n-1,... x n-k ) mod m y = f(x n, x n-1,... x n-k ) Kongruence Dvě čísla x, y jsou kongruentní podle modulu m (mn) pokud je rozdíl x y beze zbytku dělitelný m, zapisuje se: x y mod m. Kongruencí je množina celých čísel rozdělena na třídy vzájemně ekvivalentních reprezentantů. Lineární kongruentní generátor Lineární kongruentní generátor má následující rovnici: x n+1 = (a 0 x n a k x n-k + b) mod m. Pro volbu konstant mají generátory svoje názvy: Aditivní: x n+1 = (x n + x n-1 ) mod m Multiplikativní: x n+1 = (ax n ) mod m Smíšený kongruentní: x n+1 = (ax n + b) mod m - 4 -

5 Pro volbu m, b, a existuje celá řada zásad a doporučení, např. m co největší, m, b nesoudělná,... Testování generátorů Testování generátoru spočívá v ověření, zda generátor poskytuje hodnoty, které lze považovat za nezávislé. Existují dva základní typy testů: teoretické testy (vycházejí z teorie čísel) - metodika návrhu, - zobrazení ve vícedimenzionálních prostorech, - zjištění entropie, kompresní techniky, Mauren&Coron (universální kryptografický test). klasické testy: - test frekvence, - test n-tic (serial test, poker test), - test sérií (run test), - test rozložení sérií, - autokorelační test. Žádný test ovšem nedává definitivní jistotu že čísla jsou skutečně náhodná. Úspěšnost v několika testech zvyšuje důvěru v náhodnost čísel. Baterie testů Přehled nejpoužívanějších testovacích baterií: FIPS (NIST USA) o použité testy: test frekvence, poker test, test sérií, test extrémně dlouhé série, o základní testovací baterie generátorů, má odhalit testy v HW tak i v SW. FIPS (NIST USA) o stejné testy jako FIPS 140-2, o o dva řády tvrdší vyhodnocovací podmínky testů. NIST Statistical Test Suite o obsahuje 16 testů jak klasických tak i z oblasti transformací testované posloupnosti (FFT,..), o zaměřen speciálně do oblasti kryptografie. DIEHARD o obsahuje 15 testů vesměs z oblasti transformací, o pro oblast kryptografie méně vhodná. CRYPT XS o obsahuje 8 testů, vhodná pro použití v kryprografii. VANAD o obsahově podobná s NIST

6 4. Symetrické šifrovací algoritmy: principy, používané techniky, Césarova šifra, Vernamova šifra, substituční a transpoziční šifry, princip jejich kryptoanalýzy, proudové a blokové šifry, módy blokových šifer, příklady se stručnou charakteristikou (AES, DES IDEA, RC(x)), šifry používané v GSM, princip autentizace účastníků GSM sítě. Symetrické šifrovací algoritmy, princip U symetrických kryptosystémů platí, že KD lze vypočítat v reálném čase z KE a naopak, tzn. oba klíče jsou tajné a proto hovoříme o kryptografických systémech s tajným klíčem. Vlastnosti: výhoda symetrické kryptografie je její relativně velká rychlost šifrování, použití přímo k šifrování velkých objemů dat, klíč pro šifrování a dešifrování je stejný nebo snadno odvoditelný z druhého v reálném čase, klíče je nutné chránit a držet v tajnosti, znalost šifrovacího klíče umožňuje přístup k zašifrovaným datům a jeho neznalost tomuto přístupu zabraňuje, často šifrovací klíč uložen v chráněném hardware, např. v čipové kartě, SIM karta nebo obecně tzv. tokenech. Používané techniky Tajný algoritmus, omezený algoritmus (restricted algorithm) o bezpečnost algoritmu založena na jeho utajení, o je nemožné algoritmus utajit na delší dobu, o používá se v systémech s nízkým stupněm zabezpečení, o v komunikačních systémech se nepoužívají. Algoritmy s využitím klíčů o algoritmy jsou většinou známé, o bezpečnost je zaručena použitím klíčů. Césarova šifra Césarova šifra funguje na principu prostého posunu celé abecedy o tři písmena doprava. ci = E(pi) = pi

7 Vernamova šifra (1917) MKRI Kryptografie v informatice Někdy označována jako dokonalá šifra. Spočívá v posunu každého znaku zprávy o náhodně zvolený počet míst v abecedě. To se prakticky rovná náhradě zcela náhodným písmenem a na tomto faktu je založen důkaz, že Vernamova šifra je v principu nerozluštitelná. Musí se dodržet následující podmínky: klíč musí byt stejně dlouhý jako přenášená zpráva, klíč musí být dokonale náhodný, klíč muže být použit jenom jednou. Substituční a transpoziční šifry, princip jejich kryptoanalýzy Substituční šifry Substituce - nahrazujeme písmena abecedy jinými písmeny. Rozdělení substitučních šifer: monoalfabetické substituční šifry - každý znak otevřeného textu je jednoznačně transformován na jediný znak šifrového textu o příkladem je Cesarova šifra (25 variant útok hrubou silou) o kryptoanalýza spočívá ve spočítání frekvence jednotlivých písmen v šifrovaném textu o např. počet permutací abecedy s 26 písmeny = 26! = 4E26. homofoní substituční šifry - každý jednotlivý znak nahrazen jiným z několika možných znaků o mění se tedy frekvence znaků o vhodné pro frekventovanější komunikaci polyalfabetické substituční šifry - skládá se z několika jednoduchých šifer o snahou je zrovnoměrnění frekvence distribuce šifrového textu o příklad: písmeno T zašifrujeme jako A (písmeno A má daleko větší četnost v textu) o někdy se používají dvě šifrovací abecedy (jedna pro lichý znak, druhá pro sudý) o způsoby kryptoanalýzy: kasiskiho metoda princip spočívá v nalezení opakujících se skupin písmen (menší než tři písmena), zjištění vzdálenosti počátečních bodů sousedních skupin (diferencí), stanovení všech dělitelů diferencí, odhad délky klíče a počtu abeced koeficient (index) koincidence určení počtu monoalfabetických substitucí podle drsnosti rozdělení Difuse - změna otevřeného textu se promítá do mnoha míst zašifrovaného textu. Konfuse (zmatení) - nelze predikovat, jakou změnu zašifrovaného textu vyvolá byť jen malá změna otevřeného textu, složitá funkční závislost mezi zašifrovaným textem a párem klíč - otevřený text. Transpoziční šifry Transpozice - změna uspořádání písmen zprávy. Sloupcová transformace - znaky otevřeného textu se zapíší do samostatných bloků např. po pěticích. Výsledný šifrový text vznikne transpozicí: c1 c6 c11... c2 c7 c K doplnění kratších sloupců se využije znaků s malou četností např. písmeno x

8 Kryptoanalýza transpozičních šifer: MKRI Kryptografie v informatice zjištění zda se jedná o transpoziční šifru pomocí frekvenční analýzy jednotlivých znaků porovnávání dílčích posloupností šifrového textu a zjišťuje se četnost skupin znaků (bigramy, trigramy,... slova) Dvojnásobná transpozice Dvě sloupcové transpozice s různým počtem sloupců. 1. transpozice E1 2. transpozice E2 Výsledný šifrový text: c1 c7 c13 c5 c6 c12 c4 c10 Kryptoanalýza: obě transpozice E1 a E2 jsou regulární funkce proto i E1(E2-(p)) bude regulární, dá se prolomit: o se znalostí vybraných otevřených textů, o se znalostí otevřeného textu, o pomocí analýzy často se vyskytujících digramů. kryptoanalytik lokalizuje páry písmen šifrového textu, které se v otevřeném textu pravděpodobně vyskytují vedle sebe. Pomocí těchto párů se snaží odvodit matematický vztah, který by umožnil vypočítat polohu příslušných písmen šifrového textu. Stejný algoritmus se pak snaží aplikovat na ostatní písmena. Proudové a blokové šifry Proudové šifry Princip proudového šifrátoru je velmi jednoduchý. Šifrátor je vybaven zdrojem bitů, který podle šifrovacího klíče K produkuje určitou postupnost bitů tzv. heslo H. Šifrování probíhá tím způsobem, že i-tý bit zprávy z i se sčítá v aritmetice modulo dva s i-tým bitem hesla h i. Vznikne tak i-tý bit kryptogramu c i =z i h i. Při dešifrování postupnost bitů kryptogramu zpracovává dešifrátor. Ten má k dispozici stejný synchronně pracující zdroj hesla. V případě použití stejného klíče K se na výstupu tohoto zdroje hesla objevuje heslová postupnost, která je totožná s heslovou postupností šifrátoru. Sčítáním modulo dva c i a h i vznikne původní bit zprávy z i : c i h i = (z i h i ) h i = z i. Rozdělení proudových šifer: synchronní o příjemce i odesilatel musí mít synchronizován, o chyba při komunikaci má za následek ztrátu synchronizace. asynchronní o při ztrátě synchronizace dojde po určité době k synchronizaci, o proud hesla je generován pomocí klíče a n znaků šifrového textu

9 Výhody: Nevýhody: rychlost transformace každý symbol šifrován samostatně, malé šíření chyb případná chyba ovlivní pouze daný znak. nízká úroveň difůze veškerá informace o jednom znaku transformována opět do jednoho znaku, náchylnost k úmyslným falzifikacím a modifikacím, při odhalení pozice otevřeného textu v šifrovém textu možno snadno zaměnit zprávu, nezajišťují integritu, nebezpečí dvojího použití stejného hesla. Blokové šifry V případě použití blokové šifry se zpráva rozdělí na bloky o určité délce. Každý blok zprávy se stanoveným postupem podle daného klíče zašifruje. Spojením všech po sobě následujících zašifrovaných bloků vznikne samotný kryptogram. Délka jednotlivých bloků zprávy, respektive kryptogramu činí zpravidla n = 64, 128 nebo 256 bitů. Výhody: difůze informace otevřeného textu difunduje do několika symbolů šifrového textu, imunita vůči narušení - nelze změnit symbol v bloku aniž by to bylo při dešifrování odhaleno. Nevýhody: zpoždění pro započetí šifrování je nutno přijmout celý blok, šíření chyb chyba ovlivní transformaci všech ostatních znaků téhož bloku. Módy blokových šifer ECB Electronic Code Book Vlastnosti: základní režim blokové šifry, každý blok je šifrován samostatně, opakovaný blok je shodně šifrován, pro krátké zprávy, rozesílání klíčů, vhodné pro poruchové spoje (ztráta pouze jednoho bloku). CBC Cipher Block Chaining Vlastnosti: řetězení šifrového textu - rozšíření difúze a konfúze, každý blok před šifrováním XORován s předchozím zašifrovaným blokem, první blok XOR s IV inicializačním vektorem, poslední blok doplnit na potřebnou délku, kontrola při dešifrování, po ztrátě bloku šifrového textu se synchronizuje po přijetí dvou bloků

10 CFB Ciphertext FeedBack Vlastnosti: využití blokové šifry jako zdroje hesla pro proudovou šifru, zdroj (generátor) hesla ovlivněn zpětnou vazbou branou ze zašifrovaného textu, schopnost samo-synchronizace, při dešifrování náchylné na chybovost spoje. OFB Output FeedBack Vlastnosti: zpětná vazba zavedena z výstupu samotného generátoru, vlastnosti synchronní proudové šifry, pro poruchové spoje, satelitní komunikace. CTR Counter mode Vlastnosti: obdoba OFB, převádí blokovou šifru na synchronní proudovou šifru, heslo lze vypočítat na základě pozice otevřeného textu, nemá vlastnost samo-synchronizace. MAC = Message Authentication Code autentizační kód zprávy, slouží k zajištění integrity např. zprávy (obdoba CBC). autentizační funkce A produkuje autentizační kód h zprávy Z (MAC), který je závislý na nějakém tajném klíči K: h = A(Z, K). výhodou kódu MAC je skutečnost, že útočník nemůže tento kód ani vytvořit ani ověřit, protože nezná tajný klíč K

11 Příklady se stručnou charakteristikou (AES, DES IDEA, RC(x)) DES (Data Encryption Standard) vznikla v roce 1977, symetrická bloková šifra bloky o velikosti 64 bitů, klíč dlouhý 56 bitů, 16 rund, v dnešní době rozluštitelný hrubou silou, proto vzniklo zesílení -> triple DES DES nahrazen AES Triple DES umělé zesílení DES, 1999 FIPS PUB 46-3, prodloužení klíče na 56 (+ 56) + 56 bitů, 3DES_112, 3DES_168, používá se všude tam, kde je potřeba schválený a bezpečný algoritmus a nevadí zpomalení. AES (Advanced Encryption Standard) symetrická bloková šifra, vyvinuta americkou vládou jako standard pro šifrování svých dokumentů, šifra využívá symetrického klíče. Tj. stejný klíč je použit pro šifrování i dešifrování. Velikost klíče může být 128, 192 nebo 256 bitů. metoda šifruje data postupně v blocích s pevnou délkou 128 bitů. Šifra se vyznačuje vysokou rychlostí šifrování. V současné době nebyla tato metoda ochrany dat zatím prolomena

12 IDEA (International Data Encryption Algoritm) využívá klíčů o délce 128 bitů s šifrováním 64-bitového bloku, symetrická šifra, 8 rund, v každé rundě je každý subblok XORován, sečten s dalšími subbloky a se subklíči, útok hrubou silou by vyžadoval (10 38 ) šifrování k nalezení klíče při testování bilionu klíčů za sekundu by trvalo let nalézt klíč, může pracovat ve všech režimech pro bokové šifry, ECB, CBC, OFB, CFB. RC4 R. Rivest, 1987, RSA dlouho neznáma struktura 1994 popis zveřejněn hackerem šifra internetu, SSL, S/MIME rychlá, 2-4 krát rychlejší než blokové šifry klíč 40, 128 bitů přenáší se asymetricky 1995 výzva na internetu k rozluštění komunikace SSL - použit útok hrubou silou, 40 bitový klíč rozlomen za 8 dní (druhá výzva 32 hodin) RC6 blok 128 bitů pro 18 rund existují určité teoretické slabiny na PC 200 MHz rychlost šifrování 12,6MB/s, vhodné pro implementaci na čipových kartách s méně než 256B RAM Šifry používané v GSM, princip autentizace účastníků GSM sítě Požadavky na bezpečnost mobilní komunikace: anonymita odposlechem není možné určit identitu ani pozici účastníka, autentizace použité služby jsou jednoznačně přiřazeny, účastníkovi, u kterého je ověřená identita. Je vhodné aby se autentizovala síť vůči uživateli. důvěrnost odposlechem není možné zjistit obsah přenášených dat, hovoru. Autentizace, kterou síť GSM ověřuje identitu uživatele mobilní stanice je klasickým protokolem typu výzva-odpověď. Šifra pro autentizaci uživatele GSM se nazývá COMP 128. Je složena ze dvou algoritmů: A3, A8. Využívá klíče Ki (128b) skrytého v SIM kartě telefonu a v AuC (Autentizační Centrum sítě). Postup autentizace: 1) Mobilní stanice se přihlásí do sítě. 2) Síť vyžádá triplet AT = <RAND, SREC, Kc>, kde: - RAND je náhodné číslo (128b) - SREC = A3(RAND, Ki) - Kc=A8(RAND, Ki). 3) Mobilní stanice vypočítá SRES za pomoci A3 a Ki na SIM kartě. 4) SRES odešle síti. 5) Pokud SRES = SRES (vytvořenou sítí) je povolena další komunikace

13 Šifra A5 se používá pro šifrování (standardizována A5/1-4): COMP 128 prolomen COMP 128-2, COMP (Kc 64b) tajné. Útoky na COMP128: algoritmus byl a je tajný první popis algoritmu 1997, některé části popisu chyběly 1998 byl COMP128 prolomen zpětným inženýrstvím skupinou kryptologů - algoritmus napsali v jazyce C a provedli na něj první útok, ten vyžadoval provedení dotazů se vybraných vstupů a trval přibližně 8 hodin (při použití čtečky SIM karet, která umožňovala 6 dotazů za sekundu) DPA (Differential Power Analysis) skupina z IBM. Bylo zapotřebí 1000 dotazů s náhodnými vstupy nebo 255 dotazů s vybranými vstupy nebo dokonce pouze 8 dotazů s adaptivně vybranými vstupy. A5 A5 tajný algoritmus pro šifrování řeči 1994 první popis od dr. Shepherda. (Britská telefonní společnost BTT mu omylem zapomněla dát podepsat smlouvu o mlčenlivosti). o A5/0 bez šifrování o A5/1 šifrovací algoritmus 64/54b klíč o A5/2 oslabená verze A5/1 o A5/3 šifrovací algoritmus používaný v UMTS (Katsumi), algoritmus zveřejněn

14 5. Kvantová kryptografie, princip, protokol pro výměnu klíčů. Princip: Oblasti použití: Bezpečná komunikace (kombinace se symetrickou šifrou, výměna klíčů) Generování náhodných čísel Kvantová informace Nelze vytvořit identickou kopii neznámého kvantového stavu - vychází z Heisenbergova principu neurčitosti. - čtení zprávy zároveň ovlivňuje její obsah. Kvantový bit - qubit Může nabývat nekonečně mnoho hodnot mezi hodnotami 0 a 1, avšak měřením qubitu získáme nejvýše jeden bit klasické informace. Qubit může být realizován jakýmkoliv dvojrozměrným kvantovým systémem. - foton (polarizace, fázový posun) - elektron (spin) - atom (spin) Formální zápis qubit,, - komplexní čísla ( 1) 0, 1 - báze dvojrozměrného Hilbertova prostoru 2 2 Polarizace světla - lineární polarizace světla, vektor elektrického pole kmitá ve stále stejném směru - polarizace pomocí hranolu na dvě kolmé složky (vertikální a horizontální polarizace) - jeden foton nelze rozdělit, proto je-li polarizován šikmo, buď projde nebo se odrazí s pravděpodobností 50% - po průchodu bude polarizován svisle nebo vodorovně Polarizační kódování Bity 0 a 1 jsou kódovány do kvantových stavů polarizovaných fotonů (dvě navzájem kolmé lineární polarizace ze dvou polarizačních bází pootočených o 45 ). Ortogonální báze 0 1 * koncept kvantových peněz

15 Protokol pro výměnu klíčů Protokol BB84 Slouží k dohodě na symetrickém klíči (např. systém jednorázového hesla). Neřeší autentizaci uživatelů. Založen na využití Heisenbergova principu neurčitosti ve spojení s polarizačním, nebo fázovým kódováním. S mírnými obměnami používán a rozvíjen dodnes. Polarizační kódování Postup: I. Kvantový přenos 1. Alice vybere náhodné bity. 2. Alice náhodně vybere vysílací polarizační báze. 3. Alice kóduje bity do polarizací posílaných fotonů. 4. Bob náhodně vybírá přijímací polarizační báze. 5. Bob zaznamenává obdržené bity (některé fotony se ztratí nejsou detekovány) II. Veřejná diskuze 6. Bob oznamuje báze, ve kterých naměřil fotony. 7. Alice oznamuje, které báze byly správně uhodnuty. 8. Shodli-li se Alice a Bob v bázích, přenesený bit si ponechají. (nenaslouchala-li Eva má Bob přesně to, co alice poslala) III. Obětování bitu 9. Bob obětuje některé náhodně vybrané bity k odhalení Evy. 10. Alice potvrzuje tyto obětované bity (Eva by způsobila odchylky). 11. Zbylé tajné bity sdílené Alicí a Bobem tvoří klíč

16 Odposlech: Foton nelze rozdělit, nelze vytvořit ani jeho přesnou kopii. Eva se tváří jako Bob a Alice, nezná však polarizační bázi, způsobí v přenosu průměrně 50% chyb. Stálý odposlech způsobí v přenosu průměrně 25% chyb. Detekce odposlechu: Alice a Bob porovnávají část přenesených bitů, není-li v systému jiný zdroj chyb, neshoda indikuje odposlouchávání. Alice a Bob obětují část dohodnutého klíče a veřejným kanálem (nutno autentizovat původ zpráv) se informují o konkrétních přijatých hodnotách. Odposlech se projeví jako chyba v přenosu. Při obětování n bitů je pravděpodobnost detekce soustavného odposlechu 1 - (0,25) n. Volbou n lze tuto pravděpodobnost limitně přibližovat k hodnotě 1. Srovnáním 100 bitů bude pravděpodobnost, že odposlech nebude odhalen p = (1 0,25) Protokol B92 Dvojstavový protokol. 0 foton polarizovaný pod úhlem 0 (+) 1 foton polarizovaný pod úhlem 45 (x) Postup: Komunikace přes kvantový kanál 1. Alice náhodně volí bity 2. Polarizace fotonů, které vysílá Alice 3. Bob náhodně zvolí polarizační báze 4. Polarizace fotonů, které Bob změřil 5. Bob zjištěné bity Komunikace přes klasický kanál 6. Bob oznamuje Alici, pro které bity dokázal určit jejich hodnoty 7. Bob obětuje některé bity na odhalení Evy a oznámí jejich hodnoty Alici 8. Alice oznamuje Bobovi, zda má stejné hodnoty bitů. 9. Tajný klíč

17 x x x + x + + x x + x x + x x + + x x + + x 4 5 0??? 1? 1?? 0???? 0?????? 1? 6 K K K K K K OK OK Problémy Generování a detekce jednoho fotonu Oprava chyb (způsobuje je nejen odposlech, ale i chyby a šum zařízení nutno tolerovat určité malé procento chyb; nelze však vyloučit, že zrovna ty pocházejí z odposlechu). Zesílení utajení: Z počtu chyb lze odhadnout maximální informaci, která mohla být odposlechem získána. Zkrácením původního klíče na nový kratší se docílí zesílení utajení. Nutnost autentizace (zabraňuje útoku MIM) Omezený dosah (ztráty ve vlákně, šum detektorů, nelze použít zesilovače ) 6. Asymetrické šifrovací algoritmy: zavazadlový algoritmus, RSA, Diffie-Hellman, El Gamal systém. Zavazadlový algoritmus máme předměty o hmotnosti a 1, a 2, máme sbalit zavazadlo tak, aby mělo hmotnost M, tj. hledáme binární slovo X takové, aby platilo: M = x 1 *m 1 + x 2 *m 2 + vlastník zakóduje zprávu tak, že tajně vybere podmnožinu objektů a vloží ji do batohu celkovou hmotnost M a seznam možných objektů a 1, a 2, zveřejní Těžce řešitelný problém zadaný vektorem A zpráva, vektor X určuje který prvek A bude umístěn do zavazadla S (součet prvků zavazadla) známe-li A a S je obtížné (nejednoznačné) určit X Lehce řešitelný problém pokud je A* superrostoucí tj. i 1 i a j j1 a lze jednoznačně určit X Řešení na základě modulární aritmetiky (Merkle Hellman 1978) veřejný klíč A zpráva X šifrování S na základě A a X dešifrování A se převede na A* S se převede na S* Z S* se pomocí A* určí X algoritmus prolomen, není bezpečný

18 RSA MKRI Kryptografie v informatice (Rivest-Shamir-Adleman 1977) bezpečnost založena na obtížnosti faktorizace velkých čísel Princip výpočet klíčů: dvě velká náhodná prvočísla p a q 100 až 200 dekadických míst n = pq Příklad: volí se p = 7, q = 17 n = 7*17 = 119 volba šifrovacího klíče e < n e nesoudělné se součinem (p-1)(q-1) e často 3; 17; ( ) e nesoudělné s 96 e = 5 a vypočte se d, 5d = 1 mod 96, d = 77 e, n veřejný klíč {5, 119} výpočet soukromého klíče d Euklidův algoritmus ed = 1 mod((p-1)(q-1)) d = e -1 mod((p-1)(q-1)) d, n soukromý klíč {77, 119} Šifrování, dešifrování otevřený text M rozdělíme na bloky m i, m i < n zpráva se rozdělí na bloky s hodnotou menší než : na 19 a 7 šifrový text C bude tedy tvořen bloky c i šifrování c i = m e i mod n šifra prvního bloku 19 5 mod 119 = 66 dešifrování m i = c d i mod n dešifrování prvního bloku mod 119 = 19 c i d = (m i e ) d = m i ed = m i k(p-1)(q-1)+1 = m i m i k(p-1)(q-1) = m i 1 ; vše (mod n) Fermatova věta: m p (mod p) = m nebo m p-1 (mod p) = 1 ; p prvočíslo Implementace Problém rychlosti HW 1000x pomalejší než DES SW 100x pomalejší než DES operace lze urychlit šifrování: vhodnou volbou e dešifrování: operace s d pomocí Čínské věty o zbytcích, nutná znalost p, q, HW čipy 512, 1024 bitů, rychlost šifrování až 1Mbit/s Využíváno v mikročipových kartách Diffie-Hellman Jeden z prvních asymetrických algoritmů (1976) Bezpečnost založena na obtížnosti výpočtu diskrétních logaritmů ( Pro výměnu klíčů, využití v elektronickém podpisu Postup: y g x mod p ) 1. Generování a zveřejnění klíčů Je zvoleno vhodné prvočíslo p a generátor g je elementem Zp*, které jsou zveřejněny (g je primitive vzhledem k p, to znamená že každé číslo od 1 do p může být generováno jako nějaká mocnina g) Příklad: p = 53, g = Zprávy protokolu A B: B A: X g a mod p Y g b mod p 3. Činnosti během provádění protokolu

19 A zvolí náhodné číslo a, 1 a p - 1, a zašle B zprávu B zvolí náhodné číslo b, 1 b p - 1, a zašle A zprávu a a b jsou privátní klíče X g a mod p Y g b mod p a 1 b 2 a b b A vypočítá klíč k 1 jako k Y mod p g mod p mod p g mod p b a a B vypočítá klíč k 2 jako k X mod p g mod p mod p g mod p Obě strany došly ke stejnému číslu k = k 1 = k 2 Příklad: a = 5 (1 a p-2) b = 7 (1 a p-2) X = 17 5 mod 53 = 40 Y = 17 7 mod 53 = 6 k = k 1 = 6 5 mod 53 = 38 k = k 2 = 40 7 mod 53 = 38 Náchylnost na MITM attack (Man in the Middle) pokud je útočník schopen zasahovat do komunikace, aniž bychom si toho všimli, domluvíme si klíče pouze s prostředníkem (= klíče nejsou autentizované) El Gamal systém vychází z Diffie Hellman (první varianta 1984) založen na problému diskrétních logaritmů dvě verze algoritmu, pro šifrování a elektronický podpis Princip činnosti čísla M, a, b, p, g, x, y p je prvočíslo, M < p, y g x mod p veřejným klíčem je trojice (p, g, y) p a g mohou být sdíleny skupinou uživatelů soukromým klíčem číslo x původní zprávou číslo M zašifrovanou zprávou dvojice (a, b) Šifrování a dešifrování Pro zašifrování zprávy M náhodně zvolíme k, které je nesoudělné s p-1 a vypočteme a, b podle vztahů: a g k mod p, b y k M mod p. k zapomeneme (a tím ho utajíme) výsledný šifrovaný text (a, b) bude mít dvojnásobnou délku, než původní zpráva M Podpis dešifrování: protože platí: b M p x a mod k xk b y M g M mod p mod p mod p M mod p M x xk xk a g g Pro podpis zprávy M náhodně zvolíme k, které je nesoudělné s p-1 a vypočteme a, b podle vztahů: a g k mod p, M k utajíme podpis představuje dvojice (a, b) y a a b xa kbmod p 1 mod p g mod p ověření podpisu: Příklad: parametry: p = 11 g = 2 tajný klíč: x = 8 (< 11) veřejný klíč: y = g x mod p = 2 8 mod 11 = 3 podpis: M = 5, k = 9, NSD (k, p-1) = (9, 10) = 1 M = x a + k b (mod p-1) 5 = b (mod 10) pomocí Euklidova algoritmu, b = 3 podpis (6, 3) ověření: mod 11 = 2 5 mod 11 M a b

20 7. Hašovací funkce, princip, příklady, kolize, odolnost proti kolizím. Definice Hašovací funkce je předpis pro výpočet kontrolního součtu (haše) ze zprávy či většího množství dat. Může sloužit ke kontrole integrity dat, k rychlému porovnání dvojice zpráv, indexování, vyhledávání apod. Je důležitou součástí kryptografických systémů pro digitální podpisy. Formálně je to funkce h, která převádí vstupní posloupnost bitů (či bytů) na posloupnost pevné délky n bitů. kde D > R. Z definice plyne existence kolizí, to znamená dvojic vstupních dat (x,y) takových, že h(x)=h(y). Kolize jsou nežádoucí, ale v principu se jim nelze úplně vyhnout. Lze jen snižovat pravděpodobnost, že nastane kolize pro podobná data, například při náhodné změně v části vstupní posloupnosti. Cílem je vysoká pravděpodobnost, že dvě zprávy se stejným kontrolním součtem jsou stejné. Požadavky na hašovací funkci Nejdůležitější je následující trojice vlastností. Obtížností se v tomto kontextu myslí výpočetní složitost. Odolnost vůči získání předlohy. Pro daný haš c je obtížné spočítat x takové, že h(x)=c. (Hašovací funkce je jednosměrná.) Odolnost vůči získání jiné předlohy. Pro daný vstup x je obtížné spočítat y takové, že h(x)=h(y). Odolnost vůči nalezení kolize. Je obtížné systematicky najít dvojici vstupů (x,y), pro které h(x)=h(y). Další obvyklé požadavky zahrnují: Nekorelovatelnost vstupních a výstupních bitů, kvůli znemožnění statistické kryptoanalýzy. Odolnost vůči skoro-kolizím. Je obtížné nalézt x a y taková, že h(x) a h(y) se liší jen v malém počtu bitů. Lokální odolnost vůči získání předlohy. Je obtížné najít i jen část vstupu x ze znalosti h(x) Jednocestná funkce je taková funkce, kterou lze snadno vyčíslit, ale je velmi obtížné (prakticky nemožné) z výsledku funkce odvodit její vstup. Ze zadaného x tedy lze snadno získat f(x), avšak výpočet inverzní funkce, získání x při znalosti f(x), je prakticky neřešitelná úloha Typy hašovacích funkcí Jednocestné hašovací funkce jednocestná funkce + vstup proměnné délky (264,...) výstup pevné délky, (128, 160,...), otisk prstu, parita, compression function, fingerprint, message digest,data integritycheck (DIC), contraction function. Klíčovaná jednocestná hašovací funkce jednocestná funkce +vstup = {zpráva; tajemství}, výstup = klíčovaná charakteristika, cryptographic checksum, message authentication code(mac), data authentication code(dac). Použití pro uložení hesel otisky hesel uložení klíčů otisky klíčů jednoznačná identifikace dat, tvorba digitálních podpisů otisky zprávy kontrola integrity, porovnání souborů otisk souboru prokazování autorství pseudonáhodné generátory Odolnost proti kolizím Kolize prvního řádu (collision resistance) nalezení dvou libovolných zpráv M a M pro které platí H(M)= H(M ). Kolize druhého řádu (second preimage resistance) k dané zprávě Mx nalézt zprávu My tak aby platilo H(Mx)= H(My)