Základy kryptografie a kryptoanalýzy

Transkript

1 Seminární práce rozšiřující studium učitelství Informatiky Základy kryptografie a kryptoanalýzy Zpracoval: Mgr. Libor Olbrich Frýdek- Místek 2002

2 Obsah: Obsah: Úvod a historie kryptografie Základní pojmy kryptografie Historie kryptografie Shrnutí Základy kryptografie Základy kryptografie Co je to šifrování Ochrana dat Jak šifrovat Shrnutí Šifrovací algoritmy Symetrické šifrovací algoritmy Asymetrické šifrovací algoritmy Proudové šifry Blokové šifry Shrnutí Metody dešifrování a jak se jim bránit Typy útoků na algoritmy Základy obrany proti útokům Shrnutí Dodatek 1 XOR Dodatek 2 PKI Dodatek 3 PGP Jak PGP pracuje PGP v praxi PGP screenshot Vysvětlivky k používaným symbolům Použitá a doporučená literatura... 33

3 1. Úvod a historie kryptografie 1.1. Základní pojmy kryptografie V tomto skriptičku se budeme zabývat základy kryptografie. Před započetím seriózní práce je nezbytně nutné ujasnit si základní pojmy, které budou používány v celém dokumentu. Obsahem této práce je seznámení se základy kryptografie. Kryptografie je věda zabývající se šifrováním. Věnuje se nejen tvorbě šifer, ale i generátorům náhodných čísel, digitálním podpisům, kryptografickým protokolům apod. Opakem kryptografie je kryptoanalýza věda zabývající se luštěním šifer. Kryptografie a kryptoanalýza spolu logicky úzce souvisí a dohromady tvoří vědní obor zvaný kryptologie. Pro další práci je nutno pochopit i rozdíl mezi šifrováním a kódováním. Kódování je převod informací se známým zpětným postupem. Při šifrování je k převodu informací potřeba znát tajný převodní klíč. Příkladem kódování může být například morseovka, nebo v počítačovém světě velmi známá ASCII tabulka. Příkladům šifrování se budeme věnovat v dalším textu, svou tajnou abecedu si však může vytvořit každý sám. Je nutno si uvědomit, že rozdíl mezi kódováním a šifrováním je v existenci veřejně popsaných převodních metod, ne v složitosti převodu zašifrovaného/ zakódovaného textu do běžné mluvy. Pokud svou šifru založím na jednoduchém posunu písmen (místo A budu psát B, místo M N apod.)vytvořím text jehož dešifrování je principiálně stejně složité jako převod ASCII kódu do abecedy (pro člověka tento kód neznajícího). v prvním případě však jde o šifrování, ale v druhém o kódování. V prvním případě musím pravidlo převodu textu zjistit (např. na základě četnosti výskytu písmen v národní abecedě apod.) v druhém mi řešení odhalí vhodně zvolená literatura. Pro správné pochopení učiva je tedy nezbytné správně chápat rozdíly kódování x šifrování. Pro správné rozdělení učiva v kontextu vědních disciplín je nutno chápat rovnici kryptografie (šifrování) + kryptoanalýzy (dešifrování) = kryptologie Úkol: 1) Zkuste najít další příklady kódování s kterými se setkáváme v běžném životě. 2) Zkuste vytvořit svou vlastní šifru, zkuste ji vytvořit hned, po nabytí dalších zkušeností můžete porovnat jak silnou šifru jste vytvořili.

4 1.2. Historie kryptografie V této kapitole si stručně řekneme o několika meznících ve vývoji šifrování. Zjistíme, že některé základy na kterých jsou postaveny i dnešní šifrovací algoritmy byly popsány již před mnoha sty lety. Nejdříve se jen heslovitě zmíním o údajích starých stovky, či tisíce let. Většinu časových údajů je nutno brát s rezervou. - asi 2000 let př. n. l. egyptští písaři používají nestandardní hieroglyfy - asi 500 let př. n. l. Řekové používají jednoduchý šifrovací přístroj na dřevěnou tyč šikmo namotají úzký proužek papyru a na něj kolmo píší. Zprávu správně přečte jen příjemce s tyčí o stejném průměru. Z té doby pochází i první známá ochrana přenosových cest kurýrova hlava byla vyholena, na ni se napsala zpráva a až se kurýrův porost hlavy obnovil byl tento vyslán na cestu. Jistě každý uzná, že tato metoda nebyla nijak zvlášť bezpečná a ani rychlost nebyla nijak závratná. - asi 50 let př. n. l. Julius Caesar používal šifry založené na posuvu písmen v abecedě a na přepisu mezi řeckou a latinskou abecedou. Vzpomeňte na úkol z konce minulé lekce, kdo z Vás postupoval obdobně? - začátek n. l. o kryptografii, jako o dovednosti, kterou by měli lidé ovládat se zmiňuje i Kama Sutra - asi 750 n. l. kniha o kryptografii, věnující se dešifrování na základě znalosti části textu dnes již tradiční postup v arabské encyklopedii se objevuje i pojednání o šifrování, dělení šifer, ale i o kryptoanalýze zavedena myšlenka hesla, jako šifrovacího klíče pro opakované šifry Blaise de Vigenére napsal knihu o šifrách ve kterých jsou zašifrovaná písmena generována z písmen minulých a další. Některé principy přežívají dodnes např. v DES standardu vymyšlena kotoučová šifra, která byla s úpravami používaná i za druhé světové války Z našeho hlediska je jistě zajímavější pohled na kryptografii v 20. století, kdy se začalo s masivním používáním strojového šifrování a dešifrování, i když z našeho pohledu za mnohem primitivnějších podmínek. Velkým impulsem pro rozvoj šifrování a dešifrování by druhá světová válka. V této publikaci se zmíním o japonských a německých šifrovacích strojích a úspěších spojenců s jejich dešifrováním. Je jasné, že podobný souboj probíhal i v opačném směru, je však logické, že vítěz nerad zveřejňuje své nedostatky (v případě prolomených šifer) a ještě méně důvodů má k zveřejňování svých úspěchů. Již před napadením Pearl Harbouru se Američanům podařilo rozluštit japonský diplomatický kód (Purple Code). Je to o to zajímavější, že se jim nepodařilo žádný šifrovací stroj (Purple Machine) ukořistit. Na základě svých znalostí sestrojili jeho obdobu, která jim pomáhala s dešifrováním depeší. Nebyla to však kopie skutečné purple machine, byl to originál. Tento stroj pomáhal s dešifrováním, samotný však nestačil, k dešifrování bylo nutno použít navíc šifrovací klíč, který se denně měnil. Tento klíč byl vyluštěn po nastřádáni dostatečného počtu zpráv a pochopení jejich logiky. Toto zpoždění možná způsobilo nepřipravenost při útoku na Pearl Harbour, v mnoha jiných operacích však Američanům přinesl tento stroj velkou výhodu. Jmenujme například sestřelení admirála Jamamoty, vrchního velitele a nejschopnější osobnosti japonského loďstva, které by bez znalosti japonských šifer bylo nemožné.

5 Němci měli obdobný stroj zvaný Enigma. Jeho konstrukce je docela zajímavá. Ve skutečnosti šlo o psací stroj u kterého docházelo k záměně písmen. Za klávesami byly tři až čtyři kola s abecedou. První kolo se otáčelo po každém stisknutí klávesy, druhé kolo po celém otočení prvního kola, třetí kolo po otočení druhého, případné čtvrté po otočení třetího. Protože k otočení minimálně jednoho kola došlo po každém zmáčknutí klávesy, měly i stejné klávesy na vstupu jinou hodnotu na výstupu. Enigmu mohli poprvé v roce 1928 zkoumat polští matematici, v roce 1941 pak Britové jeden funkční exemplář ukořistili. Protože počáteční (iniciační) nastavení kol se denně měnilo ukořistěný stroj sám k ničemu nebyl, bylo potřeba ještě znát toto iniciační nastavení. K dešifrování zpráv byly tedy vytvořeny speciální počítače (lepe snad dekódovací automaty), znalost informací o pohybech německých vojsk samozřejmě pomohla spojencům efektivněji alokovat své síly. Úkol: Na internetové adrese najděte článek věnující se šifrovacímu stroji Enigma, spusťte a vyzkoušejte si prácí Enigmy na vlastní kůži Shrnutí Kódovaní je převod informací se známým zpětným postupem. U šifrování je k převodu třeba znát tajný klíč. Kryptografie je věda zabývající se šifrováním. Kryptoanalýza je věda zabývající se dešifrováním. Kryptografie a kryptoanalýza spolu tvoří kryptologii. První pokusy o šifrování jsou nám známy již z doby 2000 let př.n.l. První pokusy s ochranou přenosové cesty jsou známy již z doby 500 let př.n.l. Velkými impulsy pro rozvoj šifrování jsou válečné konflikty.

6 2. Základy kryptografie 2.1. Základy kryptografie V této kapitole se dovíte obecné principy, které určují směry šifrování a dešifrování. A proč je šifrování v dnešním světě důležité Co je to šifrování Kryptografie pracuje na principu šifrování a dešifrování. Šifrování je činnost odesílatele, při které se normální čitelný text převádí do nečitelné podoby (aby to nemohl nikdo přečíst). Na druhé straně dešifrování provádí příjemce zprávy. Při této činnosti transformuje nečitelnou podobu zprávy zpět do čitelné podoby. Tyto činnosti, šifrování a dešifrování, jsou zařizovány šifrovacími a dešifrovacími algoritmy, což jsou metody (vlastně se jedná o jakési matematické transformace), které popisují, jak se obecně jakýkoliv text zašifruje či dešifruje. Je jasné, že zpráva zašifrovaná určitým šifrovacím algoritmem může být dešifrována pouze korespondujícím dešifrovacím algoritmem (v matematickém pojetí jde vlastně o inverzní funkci). Šifrovací i dešifrovací algoritmus musí být samozřejmě bezpečné, což znamená, že dešifrovat jimi zašifrované zprávy může pouze ten, kdo tyto algoritmy zná. Zde ale zjišťujeme, že bezpečnost přes tajný algoritmus s sebou nutně nese určité obtíže. Tak kupříkladu vymyslet opravdu bezpečný algoritmus není vůbec lehká záležitost a pokud by byl tento algoritmus nepříteli vyzrazen (například tím, že Vám ukradnou tajnou vysílačku), stává se nadále naprosto nepoužitelným. Stejně tak pokud si mezi sebou chce bezpečně dopisovat třeba sto lidí, musí si vymyslet něco kolem pěti tisíc bezpečných algoritmů, což je absolutně nemožné. Tyto problémy nám pomůže vyřešit zavedení něčeho, čemu se v kryptologii říká šifrovací klíč, nebo jen klíč. Klíč může být nějaké číslo, slovo, věta či něco podobného konstantní délky. Klíč se pak vedle textu zprávy použije jako druhý vstup do šifrovacího algoritmu a vedle zašifrovaného textu jako druhý vstup do dešifrovacího algoritmu (zde je klíč pro šifrování a dešifrovaní stejný). Každý takový klíč způsobí, že se tyto algoritmy chovají trochu jinak. Jenom dva lidé, kteří vlastní (nebo znají) stejný klíč můžou dešifrovat data zašifrované pomocí stejného klíče druhou stranou. Ten kdo vlastní jeden klíč, nemůže dešifrovat zprávy zašifrované jiným klíčem. Základní pravidlo kryptografie zní: bezpečnost se dělá přes tajný klíč a ne přes tajný algoritmus. Důvody jsou ryze praktické. Představte si, že si chcete dopisovat s nějakým člověkem. O šifrování toho ještě moc nevíte, a tak si vymyslíte nějaký postup (algoritmus) pomocí něhož si budete šifrovat. Jednoho krásného dne potkáte někoho jiného, se kterým by jste si také rádi bezpečně dopisovali. Nejen pro tohoto druhého člověka, ale také pro každého dalšího musíte vymyslet nový, originální a také bezpečný algoritmus. Přitom žádné dva algoritmy nesmí být ty samé, to by pak jeden váš kamarád mohl číst dopisy určené někomu jinému. Už samo toto je velmi nepraktické.

7 Mohlo by se znát, že jsme objasnili a vyřešili všechny problémy kryptologie, stačí vymyslet bezpečný šifrovací algoritmus a může si mezi sebou šifrovat celá planeta. Ale pozor. Zde nastávají opět problémy. Co korespondent, to tajný klíč. Pokud chceme bezpečně komunikovat se sto lidmi, musíme si pamatovat devadesát devět klíčů. Dnešní šifry mají délku klíče 128 bitů, což odpovídá přibližně padesáti písmenům či číslům, takže bychom si museli pamatovat téměř na pět tisíc znaků a navíc s každým člověkem by jsme si museli nějakou bezpečnou cestou vyměnit klíč. Věc, která nám to umožňuje se nazývá kryptografie s veřejným klíčem Ochrana dat Šifrování je jediná spolehlivá metoda ochrany dat. Šifrování mění starost o ochranu velkých objemů dat na starost o ochranu malých objemů dat (šifrovacích klíčů). Dobrou ochranou šifrovacích klíčů ochráníme i zašifrovaná data. Jisté nebezpečí zde přináší rychlý růst možnosti počítačů, který může být použit k dešifrování. Šifrování je obdoba ukládání dat do trezoru. Jak existují různě kvalitní (a různě drahé) trezory, tak existují různě kvalitní (a různě nákladné) šifrovací metody. Jako u trezorů, tak i u šifer musíme posoudit cenu dat a tomu přizpůsobit nákladnost šifrovacího systému. Stejně jako u jiných počítačových systému musíme brát v úvahu nejen nákupní cenu systému, ale celkové provozní náklady. Důležité je si uvědomit proč šifrovat. Šifrování nám umožní převést starost o ochranu velkých objemů dat na starost o ochranu relativně malého klíče. Klíče mohu uložit do fyzických předmětů, realizaci ochrany přístupů k datům pak mohu řešit přes distribuci fyzických klíčů (např. čipové karty). Zaměstnanci nemusí znát hodnoty šifrovacích klíčů na jim předaných fyzických nosičích, pomocí různých typů klíčů mohu přístup k datům realizovat pomocí řízení přístupu ke klíčům. Úkoly: 1) Co je to šifrovací algoritmus? 2) Co je to šifrovací klíč? 3) Čím se musím řídit při výběru vhodné šifrovací metody? 2.2. Jak šifrovat Typům šifrovacích algoritmů se budeme věnovat v následujících částech. Nyní se obecně zaměřme jen na základní otázku jak šifrovat? Jednou z nejdůležitějších vlastností šifer je kvalita šifrovacích algoritmů. Pro kvalitní a v praxi použitelnou šifru je rovněž důležité skloubení tohoto základního požadavku s požadavky dalšími. Asi nejdůležitějším rozšiřujícím požadavkem pro kvalitní šifru je její rychlost. Další požadavky na uživatelskou přívětivost apod. jsou méně podstatné. Je nutno si pamatovat : optimální šifra = optimální rovnováha mezi bezpečností a rychlostí

8 Je nesporné, že tato rovnováha není fixní a mění se podle stupně utajení a rozsahu utajovaných dat. Přísně tajné dokumenty budu utajovat silnější šifrou i za cenu pomalejšího procesu (de)šifrovaní. U šifrování celých disků na počítačů pro mě bude daleko více do popředí vystupovat rychlost. V případě (de)šifrování on the fly (za letu, v průběhu práce s počítačem, při každé zápisu na disk) vystupuje rychlost do popředí ještě znatelněji pokud uživateli nezajistím dostatečnou rychlost bude se pokoušet ochranu obcházet, data nešifrovat vůbec a tím tyto může vystavit většímu nebezpečí než při použití slabší a rychlejší šifry Shrnutí Šifrování je převod normálního, otevřeného textu do nečitelné podoby. Dešifrování je postup opačný. Šifrování a dešifrování se děje pomocí (de)šifrovacích algoritmů popisu postupu (de)šifrování. Pro předejití problému s vytvářením tisíců algoritmů zavádíme šifrovací klíč druhý vstup (spolu s původním textem) do šifrovacího algoritmu. Šifrovací algoritmus obecně není tajný, bezpečnost dělá klíč. Šifrování je jediná spolehlivá ochrana dat. Kvalitní šifra bere ohled nejen na bezpečnost, ale i rychlost apod. Úkol: Stejně jako jste vymysleli svou vlastní šifru, zkuste vymyslet své heslo. V dalších kapitolách můžete sledovat na kolik by obstálo v dnešním světě. Pokuste se zjistit co v oblasti šifrování znamená pojem Lucifer a co nám přinesl pro kryptografii.

9 3. Šifrovací algoritmy Po možná nudném, ale jistě nutném úvodu se dostaneme ke konkrétním typům šifrovacích algoritmů. Budeme se zabývat symetrickými a asymetrickými šifrovacími algoritmy a proudovými a blokovými typy šifer. Zde je třeba objasnit, že symetrické a asymetrické algoritmy se odlišují počtem klíčů pro šifrování i dešifrování mají buď tentýž (symetrické) nebo různý (asymetrické). Mezi proudovým a blokovým typem šifer je rozdíl v šifrování buď po jednotlivých znacích (proudový), nebo po blocích znaků (blokový). V obou šifrovacích algoritmech se mohou využít oba typy šifer (i když v asymetrických se předpokládá, že typ je blokový). Proto následující čtyři kapitoly budou spolu úzce souvise, vzájemně se prolínat a doplňovat. Na úvod si rovněž řekneme, že můžeme šifry dělit i podle přístupu k otevřenému textu: - našemu tématu nejvzdálenější je snaha o utajený přenos. Zde se nesnažím utajit obsah zprávy, ale snažím se utajit fakt, že zpráva existuje (tajné inkousty, vyholený posel v Řecku apod.) - další možností, v minulosti hojně využívané jsou různé transpoziční systémy, tyto vyměňují pořadí znaků v textu a tím jej činí nečitelný. V dnešní době počítačů jsou prakticky nepoužitelné (není problém v krátkém čase vyzkoušet všechny možné kombinace znaků). S transpozičními systémy se setkáme v kapitole pojednávající o symetrických algoritmech - dnes se používají transkripční systémy znaky jsou ponechány na svých místech, ale zaměňují se za jiné. Tato záměna se může dít jednou (šifry proudové), či víckrát (šifry blokové) a pak je rozšifrování přirozeně složitější. Utajením přenosu se v této publikaci zabývat nebudeme i tento směr vývoje ochrany dat je však zajímavý i v dnešní moderní době. V minulé kapitole jsem uváděl příklad z hlubokého dávnověku, ale krásný příklad najdeme i v nedávné minulosti. Za druhé světové války Američani povolávali na válečné lodě do Pacifiku indiány kmene Navaho, jako radisty. Většina rozkazů se přirozeně předávala v zašifrované podobě. Uprostřed bitvy však mohlo být nebezpečné zdržovat předání operačních rozkazů šifrováním a dešifrováním. Rozkazy tedy byly mezi navažskými radisty předávány v jejich rodném jazyce. Oprávněně se předpokládalo, že mnoho Japonců Navažsky neumí.

10 3.1. Symetrické šifrovací algoritmy Tyto algoritmy patří k základním šifrovacím algoritmům. Symetrické šifrovací algoritmy se vyznačují tím, že k zašifrování i rozšifrování se používá stejného klíče. Algoritmus sám může být znám, ale celý klíč musíme uchovat v tajnosti. Ve chvíli kdy dojde k prozrazení klíče dá se zpráva rozšifrovat. Tento systém se nazývá systémem s tajnými klíči. Použitelnost je dána nemožností jej ze správy zjistit. Zjistíme li jej, podaří se nám dekódovat celá zpráva. Zásadní výhodou symetrických algoritmů je rychlost. Z důvodu naprosté nutnosti uchovat klíč v tajnosti se však musíme vypořádat s problémem bezpečného přenosu klíče mezi komunikujícími stranami. Může se zdát samozřejmé, že při známém algoritmu musím klíč uchovat v tajnosti. V následují kapitole o asymetrických šifrách však uvidíme, že to nemusí platit zcela. Na následujícím příkladě si taky objasníme co je to algoritmus a co je to klíč. Mějme například šifru, kterou používal Caesar. Ten šifroval tak, že posunoval znaky, např. o tři písmena v abecedě. Algoritmus je to, že bude docházet k posunu tento algoritmus může být znám. Klíč je o kolik bylo posunuto. Klíč znám zveřejněn být nesmí. Samozřejmě se nezveřejňuje ani, který algoritmus používám proč nepříteli ulehčovat situaci? Takže vraťme se k našemu Caesarovi: Jeho vzkaz CKRM, neznamená nic jiného, než AHOJ! (Používám českou abecedu bez háčku a čárek). Tento typ šifry je přirozeně velmi primitivní. Další možností symetrického šifrování jsou šifry substituční. Klíčem je tabulka, která písmenům otevřeného textu přiřazuje písmena textu zašifrovaného. Caesarova šifra je částečně taky substituční (když si vytvořím pro snazší převod tabulku). Složitější symetrickou šifrou je transpozice. Ta nám písmena nezaměňuje, zaměňuje však jejich pořadí. Jak to nám říká heslo = klíč. K šifrování použijeme HESLO tvořené jedním nebo více slovy. To nám určí pořadí, ve kterém bereme písmena otevřeného textu. Délku otevřeného textu musíme přizpůsobit délce hesla. Nic nám to neobjasní lépe než příklad: Nejdříve si zvolím heslo např. POSTOLOPRTY. Text přepíšu do řádku o stejné délce (tj. jedenáct písmen a podle pořadí písmen hesla v abecedě přepisuji sloupce (stejná písmena beru postupně) viz. tabulka: Heslo P O S T O L O P R T Y Pořadí písmen Text p r i j e d u z y t r a f p e t c e k e j u s a l i n y k o n e c Původní text tedy zněl: Prijedu zytra f pet cekej u saliny konec. Zašifrovaný text pak bude vypadat: dcy rfa etn uek pas zko yen ipl jei tje ruc. Jen příjemce ví v jakém pořadí má sloupce číst a tedy jen mu dává tato zpráva smysl. Slovo konec nebylo nutno psát. Jen jsem s ním vhodně doplnil čtverečky, které by jinak zůstaly prázdné. Vylepšením tohoto systému je rovněž situace, kdy se s příjemcem dohodnu nejen na hesle, ale i na počtu řádků, které zaplním. Potom text nemusím strukturovat do (v tomto případě) trojic a můžu jej napsat ve stylu: dcyrfetnuekpaszk yenipljeitjeruc, čímž jeho dekódování ještě ztížím.

11 Pozn. Autor není naprostý jazykový analfabet a ví, že věta by mněla správně znít (bez háčku a čárek): Prijedu zitra v pet cekej u tramvaje konec. Používání gramatických chyb a hovorových výrazů je při tvorbě tajných zpráv silně doporučeno, protože značně ztěžuje dešifrování. V našem případě by při strojovém dekódování vznikly pro dešifrovací program problémy minimálně se slovem zytra. Obdobou transpozice je šifrovací mřížka. Funguje jednoduše máte čtverec složený např. ze sto menších čtverců z nich některé jsou vystřihnuty přiložím je na papír do prázdných okének vypíšu text, v případě potřeby čtverec otočím o 90 a píši dál. Na zbylá místa doplním libovolná písmena. Tato šifra má překvapivě mnoho kombinací. Tyto kombinace jsou dány tím, že protivník nezná počet vystřižených čtverečků, ale i v případě znalosti počtu vystřižených čtverečků je možnost kombinace značná. Výhodou této šifry je rovněž její jednoduchost pro (de)šifrování. Tento systém je oblíben v historických filmech a knihách věřím, že jste jej v praxi již všichni viděli. Dalším typem symetrických šifer o kterých se zde zmíním jsou šifry aditivní. Jedním z příkladu je šifra de Vigenérova (tento pán ji nevymyslel, pouze ji popsal). Je to obdoba Caesarovské šifry, jen posun se neděje o předem dané číslo, ale k posunu dochází o klíč, když je zpráva delší než klíč mohu k dalšímu šifrování buď použít předchozí zprávu, či již zašifrovaná předchozí písmena viz. příklad.. Toto byl důležitý posun v šifrování. Všechny předchozí šifry totiž pouze zaměňovaly písmeno za písmeno, ale to nemělo vliv na četnost výskytu písmen. Spočetl jsem si tedy četnost výskytu písmen ve zprávě, četnost výskytu v abecedě znám a porovnáním zjistím, které písmeno je zaměněno za které. A nyní jak tato šifra funguje v praxi. Vezmu své oblíbené heslo POSTOLOPRTY a zašifruji jim text. SEJDEME SE NA HRBITOVE. (Použiji klasickou 26 písmennou abecedu, bez háčku a čárek, s příjemcem si můžete kromě hesla domluvit i abecedu jinou o to bude dešifrování složitější). A nyní zpět k šifře, začněme tedy šifrovat (do závorky umístím pořadové číslo písmene v abecedě): Text s (19) e (5) j (10) d (4) e (5) m (13) e (5) Klíč p (16) o (15) s (19) t (20) o (15) l (12) o (15) Zašifrovaný text i(19+16=9) t (5+15=20) c (3) x (24) t (20) y (25) t (20) Text s (19) e (5) n (14) a (1) h (8) r (18) b (2) Klíč p (16) r (18) t (20) y (25) z (26) h (8) z (26) Zašifrovaný text i (9) w (23) h(8) z (26) h (8) z (26) b (2) Text i (9) t (20) o (15) v (22) e (5) Klíč b(2) k(11) e (5) t (20) p (16) Zašifrovaný text k (11) e (5) t (20) p(16) u (21) Text SEJDEMESENAHRBITOVE byl tedy zašifrován do textu ITCXTYTIWHZHZBKETPU. Šipkami je naznačeno, že po skončení textu hesla přičítám písmena zašifrovaného textu, toto je jedna z možností, rovněž mohu přičítat začátek nezašifrovaného textu (ten již příjemce zná rozšifroval si jej pomocí hesla) a podobně.

12 Problémem tohoto algoritmu je přirozeně chyba při šifrování, pokud se spletu u jednoho písmene, pak mám špatně zašifrovaný cely text a příjemce jej musí dešifrovat hrubou silou. Na předchozím příkladu jsem uvedl modifikovanou de Vigenérovu šifru. Ta v původní variantě přičítala k písmenům neustále se opakující klíč. Toto původní řešení sice odstranilo nevýhody dešifrace pomocí pravděpodobnostního výskytu znaků (stejný znak se mohl pokaždé zašifrovat jinak), ale pomocí znalosti nejčastěji se vyskytujících kombinací slabik a slov v jazyce se dal odvodit klíč a zpráva dešifrovat. Základním úkolem zde bylo zjištění délky klíče (hesla). Tato modifikované metoda tento problém částečně neutralizuje. Samozřejmě i u této šifra, obdobně jako jakékoli jiné, se mohlo dešifrování značně ztížit pokud si odesílatel a příjemce dohodli kromě klíče i nějakou speciální abecedu. Zde nebylo důležité pořadí, ale např. rozlišovat malá, velká písmena, háčky, čárky a podobně. Jak již bylo uvedeno použití slangových výrazů přirozeně dešifrování ztíží rovněž. V současnosti se symetrické algoritmy (zvláště pro svou rychlost) stále využívají. Vycházejí z výše popsaných algoritmů, které však různě kombinují. Současné algoritmy využívají velmi dlouhých klíčů a speciálních matematických algoritmů zajišťujících, že ani při znalosti otevřeného a zašifrovaného textu útočník klíč neodhalí. V současnosti jsou na základech symetrických šifrovacích algoritmů postaveny šifry (standarty) DES, TripleDES, AES, CAST, RC2, RC4 a další. Na závěr kapitoly o symetrických šifrovacích algoritmech si dovolím uvést šifru, která je již dosti stará přesto je, a za předpokladu správného používání zůstane ještě velmi dlouho nerozluštitelná. Je to šifra s nekonečným klíčem. Příkladem může být kniha jejíž stejné vydání mají obě strany komunikace. Každé písmeno budu kódovat do šestice čísel strana řádek pozice písmene. Tedy např bude označovat páté písmeno na sedmé stránce v desátém řádku dané knihy. Písmena mohu vyjadřovat pokaždé jinou šesticí (u rozsáhlých knih klidně devíticí) znaků. Písmena jsou z hlediska kryptologie umístěna náhodně, proto i výsledná složená slova budou náhodným seskupením číslic a v případě použití dostatečně rozsáhle knihy mohu každé písmeno, či slovo vyjádřit pokaždé jinak. Případné stejné vyjádření by bylo náhodné a případný protivník s ním nemůže počítat. I v případě, že protivník obdrží zašifrovanou i dešifrovanou jednu zprávu porovnáním obsahu není schopen odhalit klíč. veškeré zprávy se dají dešifrovat pouze v případě, že odhalíme klíč=knihu. Pokud tento klíč nezískáme ze zdrojů stojících mimo oblast kryptoanalýzy, musíme počkat na počítač, který bude schopen v reálném čase projít všechny vydání všech dostupných knih a zjistit zda udané kombinace dají za použití té které knihy reálný text. Tuto úvahu považuji v současnosti za bezpředmětnou.

13 3.2. Asymetrické šifrovací algoritmy Asymetrické šifrovací algoritmy jsou založeny na existenci dvou šifrovacích klíčů. Jeden klíč nazývá se veřejný (public key) a slouží k zašifrování zprávy, druhý klíč se nazývá soukromý (private key)a slouží k rozšifrování zprávy. Důležité je, že se žádným výpočtem nedá ze znalosti veřejného klíče odvodit klíč soukromý a nefunguje to ani naopak. Ještě jednou zdůrazním, že pomocí veřejného klíče jsem schopen zprávu zašifrovat, ale již ji jim nerozšifruji zpět, to není chyba, to je vlastnost! Symetrické algoritmy tedy pracují na sdílení tajemství pouze s tím s kým se podělíme o šifrovací klíč si s námi může šifrovaně dopisovat. Asymetrické algoritmy pracují jinak, veřejný klíč můžu dát k dispozici komukoli (ideálně například na Internetu), privátní klíč musím pečlivě uschovat. kdokoli kdo mi chce zaslat tajnou zprávu si stáhne můj veřejný klíč, zprávu zašifruje a odešle. já jako příjemce pak k odšifrování použiji svůj soukromý klíč. Velkou výhodou je, že se tedy nemusím starat o zabezpečení kanálů, kterými budu svůj asymetrický veřejný klíč posílat. Nijak nevadí, že jej bude každý znát, soukromý klíč z něj neodvodí. U asymetrických klíčů může vznikat jiný problém, jak zajistit, že veřejný klíč patří opravdu tomu za jehož vlastnictví se vydává. Nic mi nebrání vygenerovat si klíč a vystavit jej na Internet jako klíč Václava Klause a tedy poté číst jemu zaslané šifrované zprávy. Aby se tomuto zabránilo existují takzvané důvěryhodné certifikační autority, které potvrzuji, že ten který klíč patří té které osobě. Přirozeně pokud si jej vyměním s kamarádem z ruky do ruky tak ten klíč bude fungovat i bez potvrzení certifikační autority. toto potvrzení slouží pro výměnu klíčů na dálku a mezi neznámými lidmi. Uvedený příklad s Václavem Klausem byl mírně přitažen za vlasy, já bych jemu zaslané šifrované zprávy číst mohl on sám však ne (nemá privátní klíč) tato situace by asi nezůstala dlouho utajena. Představme si však jiný (pravděpodobnější) příklad zajímá mě komunikace pana Karla (ředitele firmy KOVO a.s.) a pana Milana (ředitele firmy METAL a.s.), pokud se mi podaří podstrčit panu Milanovi svůj veřejný klíč pod záminkou, že je to klíč pana Karla a zároveň podstrčím svůj klíč panu Karlovi, jako klíč pana Milana pak mohu postupovat takto: odchytávám jejich zprávy (zašifrované mými veřejnými klíčí), dešifruji a přečtu je, poté je šifruji jejich skutečnými veřejnými klíči a posílám dál. Takto mohu mít přehled o veškeré jejich korespondenci,bez sebemenšího podezření na jejich straně. Proto je důležitá činnost certifikačních autorit. S asymetrickými šifrovacími algoritmy úzce souvisí další pojem a to digitální podpis. Co to je digitální podpis je všeobecně známo, proto jen stručně. Digitální podpis je sekvence znaků za určitým dokumentem. Tato sekvence se generuje z obsahu podepisované zprávy a (a to je pro nás důležité) z privátního klíče odesílatele. Podpis potom ověřujeme, po dešifrování zprávy, veřejným klíčem odesílatele. Digitální podpis je pokaždé jiný, ale protože je složen z obsahu zprávy a našeho privátního klíče je vysoce bezpečný. Ani příjemce nemůže po dešifrování svým privátním klíčem naší zprávu pozměnit. Kontrolní součet digitálního podpisu by nesouhlasil, protože je generován i z obsahu zprávy. Je téměř nemožné, aby byla pozměněna zprávy tak, aby zůstal kontrolní součet (digitální podpis) stejný. Domnívám se, že je z hlediska pravděpodobnosti nemožné, aby byla zpráva pozměněna podle potřeby příjemce a digitální podpis zůstal stejný.

14 Pokud digitální podpis nesouhlasí jsou možné dvě situace. Zprávu podepsal někdo jiný a nebo se zprávou bylo neoprávněně manipulováno (byla pozměněna). Tedy pro zopakování: vlastním veřejný klíč paní Martiny a ona vlastní můj. Paní Martina se mi rozhodne sdělit přísně tajnou zprávu, jak to provede? Napíše zprávu, pomocí svého soukromého klíče vygeneruje digitální podpis, pak tuto zprávu zašifruje mým veřejným klíčem a odešle ji. Já po obdržení zprávy ji nejdříve dešifruji svým soukromým klíčem, nyní si ji mohu přečíst, abych jednoznačně určil odesílatele (protože můj veřejný klíč může použít kdokoliv a naťukat pod zprávu Martina není rovněž těžké) použiji soukromý klíč paní Martiny a zkontroluji digitální podpis, poté si již mohu byt obsahem zprávy jistý. V současnosti se již pro digitální podpis nepoužívají klasické operace šifrování a dešifrování zprávy, ale operace podepisování zprávy a verifikace zprávy. Nedochází ke změně principu těchto operací, ale tyto operace se dějí pomocí jiných matematických funkcí. Důležité je vědět, že asymetrické šifrování má mnoho výhod oproti symetrickému, ale jednu obrovskou nevýhodu a tou je rychlost, či spíše pomalost. Asymetrické algoritmy jsou velmi pomalé a proto se čistá asymetrická kryptografie nepoužívá ani u šifrování dat, ani u digitálního podpisu. U digitálního podpisu se ve skutečnosti nešifruje celý text, ale jeho jedinečný haš (většinou o délce 128, nebo 160 bitů) vzniklý pomocí hašovací funkce. V případě přenosu dat se asymetricky šifruje jen náhodný řetězec a ten se předá protistraně před vlastní šifrovanou komunikací. tento řetězec protistrana rozšifruje a interpretuje jej jako klíč pro (starý dobrý) symetrický šifrovací systém. Hašovací algoritmus je určitá transformace vstupního textu, která je relativně jednoduchá a rychlá, a lze ji snadno aplikovat například na celou zprávu. Výsledkem pak je funkční hodnota, které se říká také message digest (volně přeloženo krátký obsah zprávy) - jde typicky o datovou položku konstantní, předem pevně dané délky (bez ohledu na velikost původní zprávy). Z toho vyplývá, že různé zprávy mohou mít stejný message digest. Konkrétním důsledkem pak je fakt, že celé hašování je na rozdíl od většiny šifrovacích algoritmů pouze jednosměrným a nevratným procesem. Není možné ze znalosti message digest odvodit původní zprávu. Z toho co bylo uvedeno výše (nejednoznačnost) je to i principiálně nemožné. Asymetrické šifrovací algoritmy jsou z principu velmi složité a založeny na složitých matematických zákonitost. Není tedy možné principy asymetrických šifer vysvětlit na podobně jednoduchých příkladech jako tomu bylo v předcházející kapitole. v následujících odstavcích se pouze pokusím stručně vysvětlit principy a zákonitosti na kterých asymetrické algoritmy pracují. V závěru se pak zmíním o standardizačním procesu v oblasti šifer. Jeden z prvních, ale dodnes hojně využívaných, asymetrických algoritmů byl takzvaný RSA. Tento algoritmus vychází z jednoduchého předpokladu: není problém spočítat součin dvou prvočísel, ale je problém zjistit čísla jejichž součinem vzniklo dané číslo. tj. jednoduše zjistím, součin prvočísel 53 a 37, to je 1961, ale umíte říct součinem, kterých prvočísel vzniklo číslo 2911? Jde to těžko, ale dají se zde vyzkoušet všechny možnosti. RSA však pracuje s čísly řádově o stovkách míst a zde by zkoušení zabralo velmi mnoho času ( je to tedy rozluštitelná šifra ne však v reálném čase). V RSA tedy ve veřejném (šifrovacím) klíči prezentujeme dvě prvočísla jako součin, v soukromém (dešifrovacím) pak odděleně. Tento

15 algoritmus je tedy tím bezpečnější čím větší číslo (součin prvočísel) používá. Ve chvíli kdy někdo zjistí zákonitost v tvorbě prvočísel, či vytvoří nějaký vzorec pro snadný rozklad čísla na prvočísla bude tento algoritmus nevyužitelný. Samozřejmě s rostoucím výpočetní výkonem počítačů roste nutnost využívání větších čísel. Dalším důležitým asymetrickým algoritmem je Diffie Hellmanovo schéma. Toto schéma nepopisuje šifrování dat, ale popisuje bezpečnou výměnu klíčů. Tj. zavádí možnost bezpečné komunikace bez předchozí výměny klíčů. To je důležité např. při komunikaci klienta se serverem, kdy je bezpečnost ustavena na pozadí. Jak funguje v praxi? Toto schéma vychází z teorie grup. Máme cyklickou grupu G s generátorem g. komunikující znají g, v G si vyberou libovolný prvek A=g a, respektive B=g b, prvky A a B si vymění pak spočítají A b, respektive B a oba dojdou ke stejnému výsledku g ab. Útočník může odchytit A (=g a ), B (=g b ), ale z toho nejde spočítat g ab. Jediná jeho možnost je spočítat diskrétní logaritmus a z g a g a (resp. diskrétní log. b z g a g b ). Toto řešení je výpočetně velmi náročné. Pro implementaci RSA algoritmů a další šifrovacích technik, začaly být vydávány standardy pro použití algoritmů a datové struktury. Tyto standardy jsou známy jako normy PKCS (Public Key Cryptografy Standards). Začaly se vydávat v roce 1991 a protože byly první staly se základem i dalších standardů (bankovnictví, el. pošta apod.). PKCS standardy nejsou jedinými, ale jsou dominantními a jsou kompatibilní s dalšími standardy (např. SET bankovnictví, S/MINE el. pošta aj.).

16 3.3. Proudové šifry Proudové šifry jsou šifry zpracovávající data bit po bitu (resp. byte po bytu). Používají se hlavně v případě, že zpracováváme jen krátký text, nebo v případě, že data dostáváme jako plynulý proud bitů, který je nutno okamžitě šifrovat. Otevřený text je přímo zpracováván pomocí hesla. Heslo je zde buď přímo šifrovací klíč, nebo je klíč z hesla odvozován. Proudové šifry se využívají se symetrickými šifrovacími algoritmy. Příkladem proudové šifry, u které je heslo zároveň klíčem, je Vernamova šifra.každý bit otevřeného textu se šifruje odpovídajícím bitem hesla pomocí operace XOR. Aby byla šifra bezpečná musí heslo splňovat tři podmínky: musí být stejně dlouhé jako šifrovaný text, musí být jednorázové (může se použít k šifrování jen jednoho textu), všechny bity hesla jsou náhodné, nezávislé, se stejnou pravděpodobností výskytu nuly a jedničky. Tato šifra je při splnění výše uvedených podmínek prakticky absolutně bezpečná, v současnosti se však nepoužívá pro problémy s nutnou distribucí (často dlouhého) hesla. V současnosti se používají postupy, které s relativně krátkého klíče vygenerují libovolně dlouhé heslo. Tajné už není celé heslo, ale jen klíč. Pokud se klíč nemění algoritmus generuje neustále stejné heslo. To je pro bezpečné šifrování nevhodné, proto se zavádí tzv. iniciační vektor, který většinou generuje náhodně a předává se před zprávou. Pomocí tohoto vektoru se pak algoritmus nastaví na jinou výchozí hodnotu a generuje i při stejném klíčí jiné heslo. Neměníme tedy klíč měníme pouze iniciační vektor. U některých typů šifer se iniciační vektor, pro zvýšení bezpečnosti, rovněž šifruje tato operace se nazývá tzv. solení. Jiné algoritmy nepoužívají ani toto bezpečnostní opatření, ale šifrovací klíč generují pro každý přenos znovu a přenášejí jej pomocí jiné techniky (např. pomocí asymetrické šifry).

17 3.4. Blokové šifry Blokové šifry jsou šifry pracující se symetrickými i s asymetrickými algoritmy. Blokové šifry zpracovávají více znaků otevřeného textu najednou. V základním režimu dochází k záměně bloku otevřeného textu za blok textu zašifrovaného. Bloky jsou téměř výhradně dlouhé 64, nebo 128 bitů. Bloky otevřeného i šifrovaného textu jsou stejně dlouhé. Šifrovaný blok by mohl být delší, ale nepoužívá se to. Protože dochází vlastně k záměně bloku za blok nazývá se tento postup Electronic Code Book (ECB). V praxi se nepoužívají pouze čistě blokové šifry, ale i blokové šifry v proudovém módu při nich algoritmus zpracovává bloky různé délky (stejně jako proudové šifry). I zde existuje iniciační vektor, který nastavuje blokovou šifru vždy do jiné počáteční pozice. Pomocí iniciačního vektoru se vytvoří první blok hesla a pomocí něj se zašifruje otevřený text jednoduchou operací (nejčastěji) XOR. Vzniklý blok hesla, či zašifrovaného textu je náhodný a může se tedy použít jako vstup do dalšího bloku dat. Pro poslední (neúplný) blok dat se použije jen tolik bitů kolik je třeba. Zde nám vzniká obdoba proudové šifry, i zde můžeme použít např. solení. Podle toho, zda další kódování provádíme z hesla, nebo z již zašifrovaného textu rozlišujeme dva módy. Modus zpětné vazby z výstupu (OFB Output Feedback) a modus zpětné vazby ze zašifrovaného textu (CFB Cipher Feedback). Klasická bloková šifra (ECB) se v praxi téměř vůbec nepoužívá. Důvod je jasný obrazem stejného textu je stejný zašifrovaný text což může být nevhodné. V praxi se užívá vylepšení ECB, které se nazývá řetězení zašifrovaného textu (CBC Cipher Block Chaining). Svým smyslem je tato metoda velmi podobna metodě de Vigenérově (popsané v kapitole 3.1.). V praxi funguje takto: první blok dat se zašifruje pomocí náhodného iniciačního vektoru (výsledek je tedy zcela náhodný). Výsledný blok slouží jako vstup pro zašifrování dalšího textu výsledný blok je tedy zcela náhodný a pokaždé jiný.

18 3.5. Shrnutí V praxi se setkáváme se symetrickými a asymetrickými algoritmy. Šifrování mohu provádět pomocí bloku šifer, či proudu šifer. Při šifrování se mohu pokusit o utajení přenosové cesty, nebo zprávy šifrovat pomocí transkripce, či transpozice. Algoritmy využívající k šifrování i dešifrování stejný klíč se nazývají symetrické. Zásadní výhodou symetrických šifer je jejich rychlost, to je důvod proč se používají i dnes. Nevýhodou je nutnost (utajeného) přenosu klíče mezi komunikujícími stranami. V minulosti používané systémy se daly rozluštit i na základě statistických zákonitostí textu, dnešním systémům již tento problém nehrozí. V současnosti jsou standarty pro symetrické šifrování TripleDES, AES, RC4 a další. Asymetrické algoritmy používají dva klíče veřejný a soukromý. Veřejný klíč mohu poskytnout komukoli, není z něj možno zjistit klíč soukromý. Asymetrické algoritmy se využívají i u digitálního podpisu. Asymetrické algoritmy jsou velmi pomalé proto se kombinují s algoritmy symetrickými. V současnosti asymetrické algoritmy zajišťují tyto dvě funkce: výměnu klíčů a digitální podpis. Nejpoužívanějšími asymetrickými algoritmy jsou RSA (pro šifrování dat, digitální podpis a výměnu klíčů), Diffie Hellman (pro ustavení společného klíče). Novějšími pak jsou DSA, ElGamal a pro šifrování na eliptických křivkách pak ECDSA. Proudové šifry zpracovávají data bit po bitu. Používají se u symetrických šifrovacích algoritmů, kdy je třeba šifrovat malý objem dat, nebo data šifrovat okamžitě po příchodu. Většina současných proudový šifer pracuje s heslem vygenerovaným pomocí tajného šifrovacího klíče. Blokové šifry zpracovávají data po blocích, nejčastěji pevné délky. Klasické blokové šifry se v praxi neužívají, místo nich se užívá tzv. módu řetězení zašifrovaného textu. Často se rovněž využívají tzv. blokové šifry v proudovém módu, které jsou schopny zašifrovávat bloky dat různé délky. Bezpečnost dnešních systémy se děje přes délku klíče a využití složitých matematických zákonitostí způsobujících náročnost zjištění klíče i při znalosti zdrojové a zašifrované zprávy. Je nutno zdůraznit, že ochrana utajovaných dat ve státní správě se děje pomocí utajovaných šifrovacích algoritmů. Snad jedinou výjimkou je symetrický algoritmus ČÁST, i ten se však používá pouze pro zprávy s nejnižším stupněm utajení. Proto výše popsané algoritmy zcela jistě nepatří mezi nejlepší.

19 Úkol: Pokuste se rozluštit můj vzkaz SX LCAM SKGQ. Napovím, že je zašifrován symetrickým algoritmem s jehož funkcí jste byli seznámeni. V kapitole 3.2. jsme narazili na problém ochrany komunikace pana Karla s panem Milanem, dala by se jejich komunikace ochránit i bez certifikační autority? jak? Co Vaše šifra, jak by obstála? Pokuste se zhodnotit na základě současných znalostí kvalitu Vaší šifry z kapitoly jedna. pokuste se zhodnotit její kvality a nedostatky. Tento úkol bude kopírovat Váš úkol z kapitoly jedna, pokuste se sestavit, či vylepšit nějaký známý šifrovací algoritmus a vytvořit vlastní šifru, popište její výhody.

20 4. Metody dešifrování a jak se jim bránit V této kapitole se seznámíme se základními metodami útoků na šifrovací mechanismy a se způsoby jak dešifrování našich materiálu zabránit či jej alespoň efektivně ztížit. Dešifrování je problematikou kryptoanalýzy, jak se dešifrování bránit je plně v kompetenci kryptografie. Obrana proti dešifrování bude tedy úzce souviset s vědomostmi, které jste nabyli v předchozí kapitole, bude je doplňovat a samozřejmě se s nimi částečně překrývat Typy útoků na algoritmy Jak již bylo uvedeno v předchozím odstavci útoky na algoritmy jsou většinou prácí kryptoanalytiků. Ti hledají chyby v návrzích algoritmů. Chyby se mohou nacházet rovněž v konkrétní implementaci šifrovacího algoritmu. Těmito chybami se zde nebudeme zabývat, protože toto jsou lidské chyby, které nic neříkají o kvalitě konkrétního algoritmu a nejsou odstranitelné pomocí znalostí kryptografie. Typy útoků na algoritmy můžeme rozdělit do třech základních skupin. Dobrý šifrovací algoritmus by měl být schopen odolat všem třem typům. První typ útoků, který se může zdát nejčastější, je útok bez známého originálu. zde má kryptoanalytik k dispozici zašifrovaný text a chce se po něm, aby našel jemu odpovídající otevřený text. Dalším typem útoků je útok se známým originálem. Je to útok kdy známe zašifrovanou i otevřenou verzi textu a pouze hledáme klíč. V praxi samozřejmě nemusíme znát celý otevřený text (všechny zprávy zašifrovány tímto klíčem), ale pokud určíme ze známé části klíč můžeme dešifrovat celou původní zprávu. Obdobou útoků se známým originálem je útok s vybraným originálem. Zde musí kryptoanalytik donutit druhou stranu k zašifrování jakéhokoli textu (přesněji toho, který dodá kryptoanalytik). Toto se může zdát naprosto totožné s předchozí možností. Výhoda útoků s vybraným originálem je ta, že pokud mohu sledovat dobu šifrování, mohu na základě délky trvání různých (matematických) operací a na základě délky trvání šifrování lépe odhadnout některé vlastnosti hesla a tedy si zlepšit svou pozici na dešifrování. Může se zdát, že většina dešifrování stojí na útoku bez známého originálu, nemusí to být pravda. U velké části zašifrovaných zpráv, které se dnes používají známe, nebo můžeme odhadnout alespoň část zprávy. Dnešní textové dokumenty mají hlavičku nesoucí popis typu souborů a pod, hlavička zašifrované ové zprávy se dá rovněž kvalifikovaně odhadnout apod. Problém útoků se známým (vybraným) originálem je znám však již i z poměrně dávné minulosti. Představme si následující situaci: za agentem (např. diplomatem) států A přichází náměstek ministra států B a předá mu tajné dokumenty ministerstva (z lásky, nenávisti, pro peníze apod.). Šťastný agent státu A tyto zprávy šifruje a odesílá na svou centrálu. Pokud náměstek ministra nebyl zrádce, ale provokatér tak tajná služba státu B zná originál zprávy a

21 může odposlechnout její zašifrovanou kopii (pro pomoc v dešifrování je téměř nepodstatné, že zašifrovaná zpráva bude obsahovat o něco více údajů). Při znalosti alespoň části otevřeného textu k zašifrovanému se často užívá pro dešifrování metoda brute force. Toto není nic jiného než použití hrubé síly a zkoušení všech možností. Kousek otevřeného textu musíme znát, abychom ho mohli porovnávat z dešifrovaným textem a zjistit, kdy jsme se trefili do klíče. Je třeba si uvědomit, že odolnost proti tomuto útoků je svázána s délkou šifrovacího klíče. Čím delší tím lepší. Zde je třeba si uvědomit, že dle Moorova zákone se výkon počítačů zdvojnásobí za 18 měsíců. Proto při délce klíče nemůžeme brát ohled pouze na dnešní schopnosti šifrovacích strojů, ale na jejich předpokládaný vývoj a používat klíč s dostatečnou velikostí. V současnosti se za bezpečné považují 80 bitové klíče, v komerční sféře se však již běžně používají 128 bitové a jsou již i 256 bitové. Pro dešifrování mohu používat specializované počítače, nebo dešifrování řešit jako distribuovanou úlohu. Většina z v poslední době prolomených šifer byla prolomena za pomoci Internetu a tisíců počítačů z nichž každý počítal část úlohy. Mimo brute force mohu použít i dictionary attack, útok s vyzkoušením dlouhého seznamu slov jako hesla. Tento útok musíme mít na paměti právě při volbě hesla, jak bude zmíněno dále. V současnosti se mohutně rozvíjí kryptoanalýza právě na základě útoku s vybraným originálem. Nejedná již se jen o matematické, ale i fyzikální zákonitosti. Pokud mám šifrovací zařízení k dispozici mohu sledovat nejen prodlevu při šifrování, ale rovněž změny napětí či vyzařování, případně se mohu pokusit změnou napětí, výpadkem napětí apod. přinutit šifrovací zařízení k vyčtení obsahu paměti za hranici odesílané sekvence a mohu získat (při troše štěstí) klíč či jiné tajné údaje. Zde je nutno si uvědomit, že nejen šifrováním textu je živá kryptologie a kryptoanalýza, ale dalším příkladem využití jsou např. čipové karty. A o klonování telefonních, bankovních či SIM karet již slyšel každý. Tyto pracují na základě těchto moderních fyzikálních metod. U asymetrických algoritmů bylo řečeno, že jsou z velké části založeny na faktorizaci čísel. V současnosti se objevil nový stroj tzv. TWIKLE, který je schopen dramaticky zvýšit rychlost výpočtů a ohrozit tedy asymetrické šifry typu Diffie Hellman či RSA, nemůže být použit pro algoritmům pracujícím na eliptických křivkách. I RSA či Diffie Hellman jsou však v současnosti bezpečné pro dostatečně vysoká čísla (1024 bitů apod.) 4.2. Základy obrany proti útokům V minulosti byl způsob obrany jasný snažili jsme se ochránit cestu, nebo vymysleli dostatečně složitý algoritmus jehož ruční rozluštění (zjištění klíče) zabralo protivníkovi neúměrně mnoho času. V dnešním světě počítačů jsou útoky typu brute force mnohem jednodušší a protivník často nehledá klíč, ale zkouší všechny možné. Jak již bylo několikrát zmíněno základem ochrany v současnosti je dostatečně dlouhý klíč. Toto poselství prochází celým předchozím textem a nebudu jej tady znovu rozebírat.

22 V souvislosti s klíčem se však zaměřím na další problémy s ním spjaty. Náš tajný klíč je něco co nás jednoznačně identifikuje, každý kdo jej získá může nejen číst naší korespondenci, ale v elektronickém světě se za nás vydávat. Klíč si však pravděpodobně nebudeme pamatovat my - může to být tisíce znaků bez jakékoli souvislosti. A je nutno zopakovat, že síla asymetrických algoritmů závisí na délce klíče. Klíč si pamatuje náš šifrovací program a i ten jej ukládá opět v zašifrované podobě. Přístup do programu (a k rozšifrování klíče) je chráněn heslem, či kontrolní frázi. Tuto frázi si musíme bezpodmínečně zapamatovat a chránit ji. Pokud někdo zjistí naši frázi může nám šifrovací klíč ukrást a nic nám nepomůže, že poté heslo změníme útočník již má klíč a heslo jako takové je bezvýznamné. O zásadách tvorby hesla si povíme v dalším odstavci. Pokud bude chtít někdo zjistit můj šifrovací klíč musí splnit dvě podmínky fyzicky mít přístup k počítači na němž je klíč uložen. A poté se šifrovacímu programu prokázat jako oprávněný uživatel. Toto se děje pomocí kontrolního hesla či fráze (za heslo je považována sekvence znaků těžko uhodnutelná a snadno zapamatovatelná pro ochranu méně citlivých dat, fráze se užívá pro citlivější data a na prvním místě zde stojí problematika uhodnutelnosti) Kontrolní fráze musí být neuhodnutelná až na dalším místě je důležitá její zapamatovatelnost. Ideálním heslem (frází) je náhodné kombinace číslic a velkých a malých čísel. Ideální by bylo používat pro hesla stejných bezpečnostních pravidel jako pro fráze (realita je bohužel jiná). Obecně přirozeně totiž platí čím je něco lépe zapamatovatelné tím je to lépe uhodnutelné a naopak. Heslo (fráze) nesmí být jméno čí název kohokoli známého (ať všeobecně či pouze v souvislosti s Vámi), nesmí to být číslo spjaté s Vaší osobou, čímkoli co vidíte před sebou apod. Obecně by heslem neměl být žádný název či slovo ze slovníku, protože na něj se dá úspěšně provést dictionary attack (viz. předchozí kapitola).)heslo (frázi) můžeme přesto vytvořit tak, aby bylo zapamatovatelné a přesto nerozluštitelné bez lidské logiky, tedy vyloučíme obrovský strojový výkon, který je v současnosti největší nepřítel kryptografie. Jak vytvořit bezpečné heslo, existuje několik možností nyní uvedu jednu z nich. Zvolím si náhodnou frází např. SKÁKAL PES PŘES OVES, PŘES ZELENOU LOUKU. Nyní vynechám všechny samohlásky a vznikne heslo SKKL PS PRS VS, PRS ZLN LK heslo vylepším tak, že každé písmeno za kterým následuje samohláska bude malé tj. mám heslo SkkL ps Prs vs, PrS zln lk, dále ze všech opakujících se písmen ponechám pouze první a za něj doplním počet výskytu písmene, místo čárky dám otazník a vše spojím do jednolitého textu, vznikne mi konečné heslo S4k2L3p2r2v?zn. Toto heslo (fráze) je zcela imunní proti dictionary attacku i proti brute force. Pokud si uvedenou písničku nebroukáte kudy chodíte je toto heslo velmi odolné i proti útokům za použití lidské inteligence. V kapitole 3.2. jsme narazili na příklad pánů Milana a Karla, kteří si potřebovali vyměnit své veřejné klíče. Aby předešli možnosti odposlechů komunikace a podstrčení klíčů nepravých. Zmíněným řešením byla certifikační autorita a její využití, ale co v případě kdy

23 jejich služeb využít nemohu či nechci? Potom můžu použít Interlock protokol. Jeho použití si popíšeme na následujícím příkladě. Mějme opět naše pány Karla a Milana, ti si vzájemně pošlou svůj veřejný klíč. Potom Milan napíše zprávu zašifruje ji Karlovým klíčem a pošle mu polovinu. Karel udělá totéž. Milan po obdržení poloviny Karlovy zprávy mu pošle druhou polovinu své. Ten zprávu dešifruje a posílá svou druhou polovinu. Důležité je aby jedna půlka bez druhé nic neznamenala (např. v první pošlu jen sudé bity, v druhé jen liché bity) a aby byly zprávy posílány až po obdržení předchozích části jak bylo popsáno výše. Případný útočník totiž může veřejné klíče zaměnit a zprávy zachytit, ale je schopen dešifrovat pouze první polovinu a tu musí poslat dál dříve než obdrží druhou polovinu, pokud chce zprávu pozměnit musel by si domyslet druhou půlku s kterou je seznámen až po doručení. To je možné, ale je nepravděpodobné, že by se tímto způsobem dala udržovat smysluplná komunikace mezi Karlem a Milanem prostřednictvím pána třetího, který si polovinu obsahu zprávy domýšlí ( a pozor! ne ve smyslu druhou polovinu souvislého textu, ale např. všechny sudé bity) Shrnutí Typy útoků na algoritmy můžu rozdělit na útoky bez známého originálu, se známým originálem a s vybraným originálem. Při známém originálů můžu pro další luštění použít metodu brute force. Pro luštění ( zvláště nesprávně zvolených hesel) se dá s úspěchem použít i tzv. dictionary attack. Základem ochrany dat je dostatečně dlouhý klíč. K tomu většinou přistupuji pomocí hesla to by mnělo být zvláště neuhodnutelné, až na další místo je nutno klást zapamatovatelnost. Úkol: Zhodnoťte Vámi vymyšlené heslo z hlediska nabytých znalostí o tvorbě hesel. Upravte své heslo do podoby přijatelné pro seriózní ochranu, pokuste se přitom použít jiný algoritmus než naznačený v příkladu.

24 5. Dodatek 1 XOR Přestože čtenáři tohoto skripta budou převážně zájemci o informatiku a pro ně by informace o logickém operátoru XOR měly být známe stručně jej zde objasním v intencích kryptografie. XOR je jedna z logických operací, která je definována takto: 0 xor 0 = 0 0 xor 1 = 1 1 xor 0 = 1 1 xor 1 = 0 Tedy slovně vyjádřeno: výsledek je TRUE je li právě jedna ze vstupních hodnot TRUE. Z hlediska kryptografie je pro nás důležité, že (a xor b) xor b = a. Tedy dvojím použitím funkce XOR dostanu původní hodnotu. V kryptografii tedy využiji tohoto: otevřený text XOR heslo = zašifrovaný text zašifrovaný text XOR heslo = otevřený text. Přitom otevřený text, heslo i zašifrovaný text jsou přirozeně převáděny na bity na kterých je operace XOR fakticky prováděna. Pouhého použití operandu XOR pro zašifrování se používá pouze v amatérských šifrách, je to logické tento operand nám sice text zašifruje na první pohled kvalitně, ale pokud není heslo dostatečně dlouhé a útočník zná kousek nezašifrovaného textu (nebo ho dokáže kvalifikovaně odhadnout) získá jednoduše bit hesla. Zná li dostatečný počet stejných (z hlediska umístění) bitů otevřeného a zašifrovaného textu je schopen odhadnout celé heslo. XOR se přirozeně bezproblémově uplatní u jednorázového bloku, kde je heslo tak dlouhé jako zašifrovaný text a odhalení části hesla nám nijak nepomůže k odhalení zbytku. XOR můžu rovněž používat u dalších algoritmů, které nejsou závislé jen na automatickém použití hesla.

25 6. Dodatek 2 PKI V současnosti se velmi rozšiřuje šifrování a identifikace pomocí tzv. veřejných a privátních klíčů. Toto je významné ve finančnictví, ale v současnosti (např. s postupným zavaděním elektronického podpisu do praxe) i v dalších oblastech života, zvláště při komunikaci s dalšími občany či veřejnou správou. Aby byl tento systém účinný a nenapadnutelný je nutno bezpečně vyměňovat autorizovaná data. Pro dosažení bezpečné výměny dat při velkém množství uživatelů je nutný systém správy odpovídajících klíčů. PKI public key infrastructure je souhrn entit potřebných k použití kryptografie veřejných klíčů pro široká společenství. Uvnitř infrastruktury je bezpečnosti dosahováno na základě vzájemné důvěry, proto je bezpečná zpráva klíčů nevyhnutelná. Veřejný klíč účastníka je platný pouze v případě, je-li potvrzen důvěryhodnou certifikační autoritou. účastníky nemusí být jen fyzické osoby, ale i počítače, tiskárny apod. Infrastrukturu s certifikační autoritou (CA) si můžeme představit jako strom. Na vrcholku je centrální CA, která má důvěru všech, listy jsou certifikovaní uživatelé a další CA, které jsou certifikovány centrální CA. Dvě CA můžou být propojeny buď pomocí nadřízené CA, nebo dohodou vzájemného uznávání certifikátů. CA vydává certifikáty, kde uvádí jméno certifikovaného účastníka, dobu platnosti apod. CA ručí za správnou identifikaci účastníka. Po skončení doby platnosti musí být vydán nový certifikát. Povinností CA je udržovat, aktualizovat a dávat k dispozici účastníkům tzv. revokační seznam, kde jsou neplatné certifikáty. Certifikát může být prohlášen za neplatný pokud je zjištěno zneužití, je vyzrazeno heslo apod. Účastník nemusí nutně žádat o klíč fyzicky přímo od CA, je li to výhodné existují takzvané registrační autority, které se starají o prokázaní identity uživatelů a předávají žádosti CA. Například u banky je jistě vhodné, aby existovala jedna CA. Ta bude přítomna pouze na jednom místě (pravděpodobně centrála) a je nepřijatelné požadovat po všech klientech osobní návštěvu tohoto místa, proto na pobočkách mohou existovat registrační autority, které přijímají žádosti a po ověření identity je posílají ke zpracování CA. Protože se certifikát skládá z veřejného klíče podepsaného CA a je nejdříve nutno privátní a veřejný klíč vygenerovat a veřejný pak nechat podepsat CA. Tuto činnost lze provést dvěmi způsoby. Klíče může vygenerovat CA a u sebe je uložit. Výhodou je možnost vydání uživateli kopií klíčů (např. při zničení). Generování i přenos je jednoduchý a certifikáty jsou přijímány okamžitě bez problémů. Nevýhodou je nutnost naprostého vztahu důvěry mezi CA a uživatelem, protože CA má přístup k privátnímu klíči uživatele. Druhou možností je vygenerování klíčů u uživatele. Ten pak musí doručit veřejný klíč do CA. Při tomto přenosu si musíme dát pozor na bezpečnost přenosové cesty. CA klíč podepíše až po ověření totožnosti (nutný doklad, např. nestačí). Nevýhodou je, že v případě

26 zničení privátního klíče ja nutno generovat nové klíče a opět je nechat certifikovat. Velkou výhodou je, že všechny citlivé informace (privátní klíč, heslo) zůstávají u uživatele a riziko zneužití je tedy menší.

27 7. Dodatek 3 PGP Již v předchozím textu (u asymetrického šifrování) jsem se zmínil o digitálním podpisu a šifrování komunikace. V dnešní době prochází tato oblast velký rozvoj a velkou roli zde hraje software pro šifrování a digitální podepisování PGP (Pretty Good Privacy). Nespornou výhodou tohoto software je jeho rozšíření, ale i to, že je zdarma. V následujících odstavcích se trochu blíže seznámíme s historií a používáním tohoto programu Jak PGP pracuje PGP se tváří jako systém využívající asymetrickou kryprografii a my jej tak zatím můžeme chápat. Umožňuje šifrovat, podpisovat, rozšifrovat, ověřit podpis Vaše zprávy. Se všemi těmito úkony jsme se již seznámili v kapitole o asymetrické kryptografii.. Pokud budeme chtít posílat šifrované zprávy svým přátelům (kteří taky musí mít PGP), potřebujeme k tomu následující věci: svůj pár klíčů, tj. soukromý klíč (abyste mohli podepisovat vlastní zprávy a dešifrovat zprávy, co Vám poslali ostatní) a veřejný klíč (ten pošleme svým přátelům, aby mohli ověřovat podpis a mohli šifrovat zprávy pro Vás vašim klíčem ) a veřejné klíče svých přátel (abyste mohli šifrovat zprávy, které posíláte ostatním a ověřovat jejich podpisy). PGP je kombinovaný šifrovací systém. Navenek se jeví jako program s veřejným šifrovacím klíčem, plně využívající asymetrického šifrování. To se však ve skutečnosti používá pouze pro zakódování klíče symetrické šifry, kterou je pak zašifrována samotná zpráva. Digitálním podpisem je kontrolní součet zprávy (angl. hash), který je zašifrován asymetrickou šifrou. Proč tomu tak je jsme si pověděli v předcházejícím textu, takže jen stručně pro zopakování: Kvalitní asymetrická šifra by musela mít dlouhý klíč a šifrování by probíhalo neúnosně dlouho. PGP tedy nejdříve pomocí asymetrického algoritmu (dříve RSA dnes DH) vygeneruje náhodný klíč pro zašifrování pomocí symetrické šifry (dnes IDEA, Triple DES, nebo CAST) a pomocí ní zprávu zakóduje. Při dekódování je postup náhodný. PGP řeší také problém ověření obsahu a identifikace autora zprávy tzv. digitálními (elektronickými) podpisy. K tomu slouží algoritmus MD5 nebo SHA-1 pro vytvoření kontrolního součtu zprávy. Pro efektivní práci s PGP mi nestačí dva klíče, ale potřebují těch klíčů více potřebuji celou klíčenku. V PGP jsou klíče uchovávány ve dvou souborech jeden je pro veřejné klíče a druhý pro soukromé klíče (nic mi nebraní jich mít více). Soubor se soukromým klíčem je navíc chráněn bezpečnou frázi. Jak ji vytvořit jsme si řekli v kapitole 4. Měli byste si také zachovat kopii Vašeho soukromého klíče, protože jeho ztrátou přijdete o možnost přečíst zprávy Vám určené. Při komunikaci s jinými osobami budete potřebovat jejich veřejné klíče. Takový klíč má několik atributů: ID (jednoznačná identifikace klíče), User ID (identifikace uživatele (lů),

28 kterým klíč patří), Signature (podpis jiným klíčem, vlastník tohoto klíče vyjadřuje své přesvědčení, že klíč, který podepsal patří uvedenému uživateli). Data (samotný klíč, obsah závisí na typu klíče). Od verze 6 je možno do klíče vkládat i Photo ve formátu BMP, nebo JPEG. Podepsáním (signováním) cizího klíče dáváme najevo svou důvěru ve vlastníka klíče. Pokud pracujeme s klíčem, který jsme nepodepsali program nás na to upozorní. Podepsaný cizí klíč můžeme vystavit na veřejnosti (internetu), aby jej mohl použít ten kdo chce komunikovat s jeho vlastníkem a nám důvěřuje, že jsme totožnost spolehlivě ověřili. Je vidět, že PGP nepracuje s žádnou centrální autoritou, ale s postupným podepisováním a zdůvěryhodňováním klíčů. Pokud potřebujete někomu poslat nový klíč, můžete k tomu použít elektronickou poštu. Ta však obecně není bezpečná, proto se doporučuje vytvořit fingerprint (otisk prstu), který doručíme příjemci jiným způsobem. Fingerprint je sekvence znaků, které jednoznačně identifikují náš veřejný klíč, tento si může kdokoli z veřejného klíče vygenerovat a tedy ověřit platnost. Pozn.: Současné PGP ve verzi 6, je již zcela legální nástroj, některé minulé verze (do verze 2.3.), však měly mírné problémy spočívající v použité šifře RSA, ta je patentována a tedy její použití nebylo zcela v souladu s legislativou USA (to byl jeden z důvodů k přechodu na jiné asymetrické šifrovací algoritmy). PGP používá poměrně silnou šifru a státní orgány USA se snažily zabránit vývozu tohoto šifrovacího nástroje za hranice. V praxi se to obcházelo tak, že jste při pokusu stáhnout si program z internetových stránek museli vyplnit, že jste z USA. Tato ochrana je samozřejmě pouze iluzorní. PGP si nakonec vybojovalo povolení vlády USA na vývoz i se svou silnou šifrou. Bylo to způsobeno i hrozbou vytvoření společnosti mimo hranice USA (a tedy mimo dopad legislativy USA). Postavení PGP by v současnosti mohlo ovlivnit zavádění standardu S/MINE pro elektronickou komunikaci. Tento standard podporují IE i NN od verze 4. Její nevýhodou je americký původ a tedy restrikce na velikost šifer.

29 7.2. PGP v praxi PGP je program, který je dostupný ve verzích pro Windows, Mac, Linux, Unix, Solaris apod.. V obou systémech probíhá instalace standardním způsobem a není třeba nastavovat žádné zvláštní parametry. Při prvním spuštění je třeba vygenerovat první pár klíčů, zde je třeba mít na paměti všechna bezpečnostní pravidla pro tvorbu hesel a zabezpečení. V prostředí Windows se PGP 6.02 se skládá z několika částí: PGPtray - je to ikona umístěná v pravé části lišty Windows. Tato nabízí spuštění dalších komponent PGP a také práci s clipboardem: zašifrovat, dešifrovat, podepsat a ověřit podpis textu v clipboardu. PGPtools - umožní zašifrovat, dešifrovat, podepsat a ověřit podpis jakéhokoli souboru na disku. Zároveň nabízí tzv. Wipe, což je bezpečné smazání souboru z Vašeho disku bez možnosti obnovy. PGPkeys - správa klíčů: generování Vašeho klíče, import a export klíčů a vyhledávání klíčů na serverech veřejných klíčů. Můžete také podepisovat cizí klíče. PGP Preferences - tady lze nastavit několik parametrů pro chování PGP. V současnosti již existuje i verze 7, ta však neobsahuje šifrování disku, což považuji za velký nedostatek. PGP je integrováno do Windows je možno sním pracovat buď v průzkumníku, či pomocí kontextové nabídky vyvolané zmáčknutím pravého tlačítka myši. PGP je přirozeně integrováno i do poštovních programů. Ve verzi 85 pro UNIX můžeme používat tyto příkazy: pgpk - správce klíčů (generování, přidávání, odebírání, podepisování, export a import PGP klíče), pgpe - zašifrování zprávy. pgps - podepsání zprávy, pgpv - rozšifrování a ověření podpisu zprávy.

30 7.3. PGP screenshot obr.1.1. Úvod instalace Windows verze obr.3. Výběr komponent pro instalaci, jsou vidět možnosti rozšiřujících plug - inů obr.3. PGP Tools ikony jsou jednoznačné, poslední dvě slouží k bezpečnému mazáni souborů

31 obr.4. Správce klíčů PGP 6.02 obr.5. Fingerprint v praxi obr.6. Rozhraní PGP 6.02 pro práci se zabezpečeným diskem