MASARYKOVA UNIVERZITA

Transkript

1 MASARYKOVA UNIVERZITA Fakulta informatiky Diplomová práce Moderní kryptoanalytické metody Jan Lauš, květen 2007

2 Prohlášení Prohlašuji, že tato práce je mým původním autorským dílem, které jsem vypracoval samostatně. Všechny zdroje, prameny a literaturu, které jsem při vypracování používal nebo z nich čerpal, v práci řádně cituji s uvedením úplného odkazu na příslušný zdroj. Podpis 1

3 Poděkování Tímto bych rád poděkoval svému vedoucím diplomové práce Mgr. Janu Krhovjákovi za odbornou pomoc a připomínky. Také bych rád poděkoval své rodině za podporu a trpělivost při vypracovávání této práce. A také bych chtěl poděkovat své snoubence za nekonečnou trpělivost a velkou pomoc s korekturou textu. 2

4 Shrnutí Tato práce je souhrnem aktuálních informací o moderních kryptoanalytických metodách. První část se věnuje základním informacím o kryptologických algoritmech. Je zde definována symetrická kryptologie, proudové a blokové symetrické šifry. U blokových šifer jsou uvedeny základní módy šifrování. Dále jsou zde podány základní informace o asymetrické kryptografii, hašovacích funkcích a generátorech náhodných čísel. Druhá část se věnuje jednotlivým kryptoanalytickým metodám ve spojení s konkrétními útoky. Kapitoly jsou děleny podle toho zda se jedná o útok na symetrické šifry, asymetrické šifry, hašovací funkce nebo kryptografické protokoly. Třetí část je věnována implementaci útoku na hašovací funkce pomocí diamantové struktury. Tento útok využívá nedostatečné obrany hašovacích funkcí proti Chosen Target Forced Prefix. Klíčová slova Symetrická kryptografie, asymetrická kryptografie, hašovací funkce, kolize v MD5, chybová analýza, Nostradámů útok 3

5 Obsah PROHLÁŠENÍ... 1 PODĚKOVÁNÍ... 2 SHRNUTÍ... 3 KLÍČOVÁ SLOVA... 3 OBSAH... 4 ÚVOD SYMETRICKÁ KRYPTOGRAFIE PROUDOVÉ ŠIFRY Synchronní proudové šifry Samočinně synchronní proudové šifry BLOKOVÉ ŠIFRY SYMETRICKÉ Mód ECB Mód CBC Mód CFB Mód OFB ASYMETRICKÁ KRYPTOGRAFIE HAŠOVACÍ FUNKCE GENERÁTORY NÁHODNÝCH ČÍSEL ÚTOKY NA PROUDOVÉ SYMETRICKÉ ŠIFRY DIFERENCIÁLNÍ KRYPTOANALÝZA PY, PYPY Identické klíčové proudy Útok na Py a Pypy pomocí kolizí ve vnitřním stavu ÚTOKY NA SYMETRICKÉ BLOKOVÉ ŠIFRY ÚTOK POSTRANNÍM KANÁLEM NA BLOKOVOU ŠIFRU V CBC MÓDU PŘI POUŽITÍ PKCS#5 PADDING Útok pomocí orákula O ÚTOK POSTRANNÍM KANÁLEM NA BLOKOVOU ŠIFRU V CBC MÓDU PŘI POUŽITÍ FORMÁTU ZPRÁV PKCS# PKCS# Útok pomocí orákula PKCS#7 CONF Složitost dešifrování celého textu ÚTOK NA AES POMOCÍ INDUKCE CHYB BĚHEM ŠIFROVÁNÍ ÚTOKY NA ASYMETRICKÉ ŠIFRY ÚTOK NA RSAES-OAEP PODLE STANDARDU PKCS #1 V RSAES-OAEP Popis útoku ÚTOK NA RSAES-OAEP PKCS#1 V Popis útoku ÚTOK NA RSA-KEM Popis H-PKEY KEM, DEM

6 7.3.2 Popis útoku KOLIZE V MD Úvod Základní postup Tunely v MD Výsledky PARALELNÍ HLEDÁNÍ KOLIZÍ V HAŠOVACÍCH FUNKCÍCH rho-metoda Dopady paralelního hledání kolizí Jak modifikovat zprávu beze změny obsahu ÚTOKY POMOCÍ KOLIZÍ ZPRÁV SE STEJNÝM PREFIXEM Jak najít kolizi dvou vstupních zpráv, které mají společný prefix Diamantová struktura Útoky s využitím diamantové struktury Smysluplnost dat ÚTOKY NA KRYPTOGRAFICKÉ PROTOKOLY ČASOVÁ ANALÝZA SSH PRAKTICKÝ ÚTOK POPIS IMPLEMENTACE Fáze 1 vybudování diamantové struktury Fáze 2 Nalezení spojovací zprávy MOŽNOSTI MODIFIKACE POUŽITÝ JAZYK A NÁSTROJE ZÁVĚR LITERATURA PŘÍLOHA 1. POUŽITÉ ALGORITMY ALGORITMUS PY A PYPY ALGORITMUS AES ALGORITMUS RSA ALGORITMUS MD PŘÍLOHA 2. TABULKY S PODMÍNKAMI PRO KOLIZE V MD

7 Úvod Kryptografie je v dnešní době velice důležitou součástí každodenního života. Možná si to většina z nás ani neuvědomuje, ale přichází s ní do styku téměř neustále. Kdo z Vás ještě nikdy nevybíral z bankomatu či neplatil platební kartou? Tyto jednoduché operace provázející nás každodenním životem využívají právě kryptografii. Kryptografie se nepoužívá jen u finančních operací, ale pro moderního člověka i u úplně běžných věcí, jako je přihlašování na počítač pod heslem (heslo je v počítači uloženo v zašifrované podobě), posílání u ( může být posílán v zašifrované podobě) nebo používání čipových karet v knihovnách, školách, městské dopravě,... (informace uloženy na kartě jsou často chráněny proti zneužití právě kryptografií). Velké procento lidí má doma počítač, mnoho lidí s ním každý den pracuje na svém pracovišti, mají přístup k internetu a používají , využívají internetové bankovnictví. Většina z těchto lidí bezmezně těmto službám důvěřuje a ani si neuvědomuje, že k tomu, aby mohli tyto operace provádět, potřebují kryptografii a že bez jejího přispění by si informace v jejich ech mohl bez problému přečíst kdokoliv. Ovšem je tato důvěra zasloužená? Kryptografie je disciplína, která se zabývá převedením informace do podoby, v níž je tato informace skryta. Jejím úkolem je tedy učinit informaci nečitelnou hlavně v situacích kdy by k ní mohla mít přístup nepovolaná osoba. Obecně slouží k ochraně dat, informací a soukromí osob. Kryptoanalýza je jakýsi opak kryptografie. Jejím hlavním cílem je analýza odolnosti kryptografických systému a hledání metody vedoucí k proniknutí do těchto systémů. [19] Hromadné použití kryptografie přišlo s masovým rozšíření počítačů a následně zpřístupněním Internetu široké veřejnosti. Ovšem historie kryptografie sahá až do 4. tisíciletí před našim letopočtem, kdy ji používali Egypťané. Největší rozvoj a rozmach kryptografie i kryptoanalýzy nastal za první a následně druhé světové války, kdy získání informací od nepřítele sehrálo důležitou roli. V dnešní době je díky počítačům nemyslitelné používat historické šifrovací metody. Díky obrovské výpočetní síle jsou všechny lehce překonatelné útokem hrubou silou, tj. vyzkoušením všech možných kombinací tzv. šifrovacích klíčů. Klíč je vlastní nastavení šifrovacího algoritmu, pomocí použití různých klíčů dostaneme pro stejnou vstupní informaci různý výsledek. Aktuálně se používají takové šifrovací metody, pro které by útok hrubou silou trval velmi dlouho. Právě proto se souběžně rozvíjí i kryptoanalýza, která se snaží najít efektivnější útok než hrubou silou. Každý se jistě zeptá, jestli neexistuje neprolomitelný algoritmus. V současnosti existuje algoritmus, o kterém bylo matematicky dokázáno, že není prolomitelný. Jedná se o takzvanou Vernamovu šifru. Ta ovšem předpokládá, že klíč je stejně dlouhý jako samotná zpráva, a že žádný klíč nebude použitý vícekrát. Toto samozřejmě velmi omezuje možnosti použití této šifry. Proto se momentálně používají tzv. výpočetně bezpečné kryptografické metody, což jsou metody, pro které nejlepší známý útok trvá tak dlouho, že není časově zvládnutelný, a to ať už z důvodu výpočetní náročnosti (provedení útoku trvá řádově desítky let), nebo z důvodu omezené časové platnosti utajované informace (například útok může trvat několik hodin, ale informaci je nutné utajovat jen hodinu). Kryptoanalytici se neustále snaží objevit slabiny používaných kryptografických metod, které by mohly vést k jejich prolomení. Tím se testuje bezpečnost těchto metod. Toto testování je založeno na tzv. Kerckhoffově principu tj. že žádný algoritmus nesmí být tajný a jedinou 6

8 utajovanou věcí je šifrovací klíč. Díky tomuto principu je velmi malá šance, že se pro široké použití vybere nekvalitní algoritmus, který někdo brzo prolomí. Každým rokem se objevují nové algoritmy, ke kterým odborná veřejnost prezentuje odhalené slabiny nebo konkrétní útoky, které tento algoritmus prolomí. Cílem této práce je shromáždit a ucelit aktuální výsledky kryptoanalytiků týkající se nejčastěji používaných kryptografických metod, a to jak z oblasti symetrické nebo asymetrické kryptografie. Tato práce se zabývá odolností samotných algoritmů, ne jejich konkrétní implementací do různých hardwarových zařízení. Má se jednat o rozsáhlý (nikoli však vyčerpávající) přehled nejnovějších kryptoanalytických poznatků. Jelikož je kryptologie momentálně na vzestupu a velké množství odborníků prezentuje své výsledky o nejpoužívanějších algoritmech, není možné na takto omezeném prostoru popsat vše, co bylo publikováno. Proto je tato práce zaměřena především na útoky, které mají větší význam z hlediska bezpečnosti pro daný algoritmus. 7

9 1 Symetrická kryptografie Symetrické šifry jsou asi nejrozšířenější skupinou šifer a mají také velmi dlouho historii, na rozdíl od asymetrických šifer, které se podařilo sestrojit až koncem minulého století. Symetrické šifry používají dvojici klíčů d,e (d na dešifrování, e na šifrování), kde z d lze jednoduše odvodit e a naopak. Nejčastěji se d = e, tzn., že je používán stejný klíč pro šifrování i dešifrování. Symetrické šifry lze rozdělit na blokové a proudové symetrické šifry. Blokové symetrické šifry šifrují vstupní text po blocích pevně dané délky. Proudové symetrické šifry šifrují vstupní text bit po bitu, dá se říci, že proudové šifry jsou vlastně blokové šifry s velikostí bloku jeden bit. 1.1 Proudové šifry Proudové šifry jsou důležitou třídou šifrovacích algoritmů. Šifrují individuálně znaky (obvykle bity) vstupní zprávy jeden po druhém, přičemž používají šifrovací transformace, které se mění v čase. Na rozdíl od blokových šifer, které současně šifrují skupinu znaků vstupního textu a používají fixní šifrovací transformaci. Proudové šifry jsou obecně rychlejší než blokové šifry, pokud je použito hardwarové řešení, protože mají mnohem jednoduší hardwarové obvody. Jsou mnohem vhodnější, v některých speciálních případech (například v některých telekomunikačních aplikacích), když je vyrovnávací paměť příjemce limitována, nebo když znaky musí být zpracovávány individuálně, tak jak jsou přijímány. Protože mají omezenou nebo dokonce žádnou propagaci chyby, proudové šifry můžou také být výhodné v situacích, kdy jsou chyby v přenosu vysoce pravděpodobné. U blokových šifer je během celého šifrování použita neustále stejná funkce pro zašifrování všech bloků, takže (čisté) blokové šifry jsou bez paměti. Proudové šifry, na rozdíl od blokových, zpracovávají vstupní text v blocích tak malých, jako je jediný bit a šifrovací funkce se může měnit v průběhu zpracovávání vstupního textu, takže proudové šifry mají paměť. Někdy jsou nazývány stavové šifry protože šifrování závisí nejen na klíči a na vstupním textu, ale i na okamžitém stavu. Tento rozdíl mezi blokovými a proudovými šiframi není vymezující, přidáním trochy paměti do blokové šifry (jako se používá v CBC módu) vyústí do proudové šifry s velkými bloky. [17, 18] Synchronní proudové šifry Synchronní proudové šifry jsou ty, jejichž klíč je generován nezávisle na vstupní zprávě nebo šifře. Šifrovací proces synchronních proudových šifer se dá zapsat následovně: σ i+1 = f(σ i, k) z i = g(σ i, k) c i = h(z i, m i ), kde σ 0 je počáteční stav, který může být odvozen z klíče k, f je funkce určující další stav, g je funkce produkující klíčový proud z i a h je výstupní funkce (typicky exkluzivní součet), která kombinuje klíčový proud se vstupním textem m i a produkuje šifru c i, viz Obr.1. OFB mód blokové šifry se také dá považovat za příklad synchronní proudové šifry. [17] 8

10 Obr 1: Diagram šifrování a dešifrování synchronních proudových šifer Vlastnosti synchronních proudových šifer: 1. Požadavek na synchronizaci při použití synchronní šifry musejí být oba uživatelé, příjemce i odesilatel, synchronizovaní. Musejí používat stejný klíč a operace na stejných pozicích (ve stejných stavech), aby zajistili správné dešifrování. Jestliže je synchronizace ztracena, některé části zašifrované zprávy jsou ztraceny nebo nějaké jiné části jsou během přenosu přidány, tak dešifrování zhavaruje a do správného stavu je možné se dostat jen pomocí dodatečné techniky re-synchronizace. Technika re-synchronizace obsahuje proces re-inicializace, vkládání speciálních značek v pravidelných intervalech do šifrového textu, nebo pokud vstupní text obsahuje dostatečně redundance vyzkoušení všech možných offsetů klíčového proudu. 2. Žádná propagace chyby pokud se změní (ne smaže) část šifrového textu během přenosu, tak tato chyba nemá žádný efekt na zbytek zprávy. tzn. až na chybnou část se zpráva dešifruje správně. [17] Samočinně synchronní proudové šifry Samočinně synchronní nebo také asynchronní proudové šifry jsou ty, u kterých je klíčový proud generován jako funkce klíče a fixního počtu předchozích čísel šifrového textu. Šifrovací funkce samočinně synchronních proudových šifer lze zapsat následovně: σ i = f(c i-t, c i-t+1, c i-t+2,..., c i-1 ) z i = g(σ i, k) c i = h(z i, m i ), kde σ 0 = (c -t, c -t+1, c -t+2,..., c i-1 ) je (veřejný) iniciální stav, k je klíč, g je funkce která produkuje klíčový proud z i a h je výstupní funkce, která kombinuje klíčový proud z i a vstupní text m i a produkuje šifrový text c i, viz. Obr.2. [17] Obr. 2: Diagram šifrování a dešifrování samočinně synchronních šifer 9

11 Vlastnosti samočinně synchronních proudových šifer: 1. Samočinná synchronizace samočinná synchronizace je možná, i když jsou některé části šifrového textu smazány nebo nějaké nové vloženy, protože dešifrování závisí na fixním počtu předcházejících znaků šifrového textu. Takže šifra je schopná znovu zavést správné dešifrování automaticky po ztrátě synchronizace jenom s fixním počtem nedešifrovaných znaků zprávy. 2. Omezená propagace chyby víme, že stav samočinně synchronní šifry závisí na t předchozích znacích šifrového textu. Jestliže je jeden znak šifrového textu změněn (smazán nebo vložen nový) během přenosu, pak dešifrování až t dalších znaků může být nesprávné, dále však následují správně dešifrované znaky zprávy. 3. Difůze statistik vstupního textu jelikož každý znak šifrového textu ovlivní celý následující šifrový text (každý šifrový znak je použit pro generování následujícího klíčového proudu), tak statistické vlastnosti vstupního text jsou rozprostřeny do celého šifrového textu. Takže samočinně synchronní proudové šifry jsou odolnější proti útokům založeným na redundanci vstupního textu než synchronní proudové šifry. [17] 1.2 Blokové šifry symetrické Symetrické blokové šifry jsou nejvýznamnějším a nejdůležitějším prvkem mnoha kryptografických systémů. Samy o sobě poskytují možnost utajení. Jako základní stavební kámen umožňují konstrukci pseudonáhodných generátorů čísel, proudových šifer, hašovacích funkcí a MAC (Message Authentication Code). Mohou také sloužit jako ústřední komponenta pro ověřování zpráv, zajištění integrity dat a ověřování entit. Žádná bloková šifra není dokonale vhodná pro všechna aplikační použití, a to i když nabízí vysoký stupeň zabezpečení. Je to dáno různými nároky, v různých aplikacích je třeba brát ohled na jiné vlastnosti jako jsou: rychlost šifrování, velikost využité paměti, použité módy šifrování nebo podmínky nutné pro implementaci na konkrétní hardware. Vždy je třeba zvolit vhodný kompromis mezi takovými požadavky a bezpečím proti útokům.[17,18] Blokové šifry definice Bloková šifra je funkce, která zobrazí b-bitové bloky vstupního textu do n-bitových bloků šifrového textu. Číslo n je nazýváno velikost bloku. Může být brána jako jednoduchá substituční šifra s velkou velikostí znaku. Funkce je parametrizována k-bitovým klíčem K z množiny Қ (klíčový prostor) všech možných k-bitových vektorů V K. Obecně je klíč z této množiny vybírán náhodně. Použití stejné velikosti bloků vstupního a výstupního textu zabraňuje expanzi dat. Aby byla umožněno unikátní šifrování, tak šifrovací funkce musí být invertovatelná. Pro n-bitové bloky vstupního a výstupního textu a fixní klíč musí být šifrovací funkce bijekcí, definující permutaci na n-bitovém vektoru. Každý klíč potenciálně definuje jinou bijekci. Počet klíčů je roven Қ, a efektivní velikost klíče je lg Қ, toto je délka klíče, jestliže všechny k-bitové vektory z Қ jsou platné klíče. Jestliže jsou všechny klíče stejně pravděpodobné a každý definuje rozdílnou bijekci, pak se entropie klíčového prostoru rovná taktéž lg Қ. [17, 18, 19] 10

12 Vlastnosti blokových šifer Velikost klíče efektivní bitová délka klíče, nebo lépe entropie klíčového prostoru, definuje horní hranici bezpečnosti dané šifry(na tom závisí rychlost útoku hrubou silou). Delší klíče typicky znamenají nějakou nadbytečnou cenu, jako je složitější generování, přenos a uložení. Rychlost šifrování rychlost šifrování závisí na složitosti kryptografického zobrazení a na tom, jak moc je toto zobrazení přizpůsobeno konkrétní implementaci nosiče nebo platformy. Velikost bloku velikost bloku ovlivňuje jak bezpečnost (větší je lepší), tak složitost (větší je náročnější na implementaci). Složitost kryptografického zobrazení složitost algoritmu ovlivňuje cenu implementace jak z hlediska vývoje a zdrojů, tak i z hlediska rychlosti a výkonnosti samotného šifrování v reálném čase. Expanze dat obecně je vhodné, a v některých případech dokonce nutné, aby se při šifrování nezvětšovalo množství dat (aby neprobíhala expanze dat). Ovšem přesto některé techniky, jako jsou například homophonická substituce(každý znak je nahrazen jedním z množiny 100 znaků, tak aby výsledná pravděpodobnost výskytu každého znaku byla 1%) nebo technika náhodného šifrování (vstupní text je nedeterministicky zašifrován na jeden z možných šifrových textů, dešifrování již, ale probíhá deterministicky), mají za výsledek expanzi dat. Propagace chyby dešifrování šifrového textu obsahující chybu v jediném bitu může vyústit v rozdílný efekt na výsledný text, podle toho jaký algoritmus byl použit. Propagaci chyby ovlivňuje například délka bloku a použitý mód.[17] Výhody symetrické kryptografie 1. Symetrické šifry mohou být navrženy pro rychlejší šifrování dat, u některých hardwarových řešení se jedná i o stovky megabitů za sekundu. 2. Klíče pro symetrické šifry jsou relativně krátké. 3. Symetrické šifry mohou být použity jako základ pro další různé kryptografické mechanizmy jako jsou generátory pseudonáhodných čísel, hašovací funkce a podobně. 4. Symetrické šifry mohou být kombinovány a skládány do sebe, čímž zvyšují zabezpečení šifrového textu. Nevýhody symetrické kryptografie 1. Při komunikaci dvou entit musí zůstat klíč tajemstvím na obou stranách. 2. Ve velké síti je třeba mít uloženo velké množství párů klíčů. 3. Při komunikaci mezi dvěmi entitami je konvencí měnit často klíče, optimální je mít nový klíč pro každou komunikační relaci, což může být poněkud komplikované, jelikož přenos klíče vyžaduje zabezpečený kanál. Módy šifrování pomocí blokových šifrovacích algoritmů Blokové šifry šifrují vstupní text do bloků s pevnou bitovou délkou n. Zprávy, které mají více jak n bitů, se jednoduše rozdělí na n-bitové bloky a ty se pak postupně šifrují. Podle 11

13 způsobů šifrování se rozlišuje několik módů. Základní módy jsou ECB(electronic-codebook), CBC(cipher-block chaining), CFB(cipher feedback) a OFB(output feedback). V následujícím textu E K označuje šifrovací funkcí blokové šifry E parametrizovanou klíčem K, E K -1 označuje dešifrování. Vstupní text x = x 1, x 2, x 3,... x t se skládá z n-bitových bloků pro módy ECB a CBC nebo r-bitových bloků pro módy CFB a OFB pro pevně dané r n. [17] Mód ECB ECB mód je nejjednodušším a také nejpřirozenějším způsobem šifrování pomocí blokové šifry. Při tomto módu je každý blok šifrován zcela nezávisle na ostatní blocích zprávy. To znamená, že pokud jsou ve vstupním textu dva stejné bloky, pak i jejich odpovídající bloky v šifrovém text budou stejné. [17] Pro vstupní text x = x 1, x 2, x 3,... x t s n-bitovými bloky, šifrový text c = c 1, c 2, c 3,... c t s n-bitovými bloky a k-bitový klíč K je šifrování a dešifrování ukázáno na Obr.3. Obr. 3: Diagram ECB Šifrování bloku j, kde 1 j t probíhá: c j = E K (x j ). Dešifrování bloku j, kde 1 j t probíhá: x j = E K -1 (c j ). Vlastnosti módu ECB: 1. Identické bloky vstupního textu (při použití stejného klíče) vyústí ve stejné bloky šifrového textu. 2. Bloky jsou šifrovány a dešifrovány zcela nezávisle na ostatních blocích. Změna pořadí bloků ve vstupním textu se odrazí ve změně pořadí bloků v šifrovém textu. 3. Propagace chyby jedno nebo více bitová chyba v jednom bloku šifrového textu ovlivní dešifrování právě jen tohoto bloku. [17, 18] 12

14 Použití ECB módu: Jelikož bloky šifrového textu jsou nezávislé, tak náhodné či podloudné nahrazení jednoho bloku šifrového textu neovlivní dešifrování ostatních bloků. Kromě toho, blokové šifry v ECB módu neskrývají modely dat identické bloky šifrového textu znamenají identické bloky v šifrovém textu. Z tohoto důvodu se ECB mód nedoporučuje pro zprávy delší jak jeden blok. Bezpečnost tohoto módu může být částečně zvýšena přidáním náhodných bitů ke každému bloku. [17] Mód CBC Bloková šifra v CBC módu již nešifruje bloky nezávisle na sobě, ale před zašifrováním každého bloku provede XOR tohoto bloku s předchozím blokem šifrového textu. Z toho důvodu závisí zašifrovaná podoba každého bloku na všech předcházejících blocích. [17, 18] Pro vstupní text x = x 1, x 2, x 3,... x t s n-bitovými bloky, šifrový text c = c 1, c 2, c 3,... c t s n-bitovými bloky, n-bitovou inicializační hodnotu IV (ta nemusí být tajná) a k-bitový klíč K je šifrování a dešifrování ukázáno na Obr.4. Obr. 4: Diagram CBC Šifrování bloku j, kde 1 j t probíhá: c j = E K (c j-1 x j ), c 0 je IV(inicializační hodnota). Dešifrování bloku j, kde 1 j t probíhá: x j = c j-1 E K -1 (c j ), c 0 je IV(inicializační hodnota) Vlastnosti CBC módu: 1. Stejné bloky vstupního textu vyústí v stejné bloky šifrového textu(za předpokladu, že používáme stejný klíč) pouze pokud bude shodná i IV použitá pro tyto bloky. Obecně díky řetězení IV, klíče a šifrovaného bloku stejné bloky ve vstupním textu mají různé bloky 13

15 v šifrovém textu, tzn. dvou blokům vstupního textu, které jsou zcela identické a jsou zašifrovány stejným klíčem, odpovídají různé bloky šifrového textu. 2. Řetězící mechanizmus způsobuje, že blok c j šifrového textu nezávisí jen na bloku x j vstupního textu, ale i na všech předešlých blocích vstupního textu. Z tohoto důvodu znamená přeskládání bloků vstupního textu rozdílný šifrový text. Správné dešifrování nějakého bloku závisí na správném dešifrování bloku předchozího. 3. Propagace chyby jednobitová chyba v bloku c j šifrového textu ovlivní dešifrování c j a c j+1. Blok x' j dešifrovaný z c j je s největší pravděpodobností zcela náhodný, ovšem blok x' j+1 má jednobitovou chybu přesně na tom stejném místě jako měl blok c j. Pokud je tato chyba v bloku x' j+1 rozpoznána, je možné podle ní opravit i chybu v bloku c j a tím umožnit správné dešifrování všech bloků. 4. Oprava chyb CBC mód je samočinně synchronní ve smyslu toho, že pokud se objeví chyba v bloku c j, ale ne v blocích c j+1 a c j+2, pak je blok x j+2 dešifrován správně. [17, 18] Mód CFB CBC mód pracuje s bloky vstupního textu n-bitů, ale některé aplikace vyžadují r-bitové jednotky vstupního textu, které musí být zašifrovány a odeslány bez zdržení, pro nějaké pevně dané r n (často r = 1 nebo r = 8). V tomto případě může být použit mód CFB. [17] Pro vstupní text x = x 1, x 2..., x t s r-bitovými bloky, šifrový text c = c 1, c 2..., c t s r-bitovými bloky, n-bitovou inicializační hodnotu IV a k-bitový klíč K se dá šifrování a dešifrování zapsat takto: Šifrování bloku j, kde 1 j t probíhá v několika krocích: a) O j = E K (I j ) spočítání výstupu blokové šifry, I j je vstupní hodnota v posuvném registru b) t j = r levých krajních bitů O j c) c j = x j tj odeslání r-bitového bloku c j d) I j+1 = 2 r * I j + c j mod 2 n posun c j na pravý konec posuvného registru I j+1 Počáteční inicializace I je: I 1 = IV Dešifrování bloku j, kde 1 j t probíhá také v několika krocích: Výpočet t j, O j a I j jsou stejné jako při šifrování, tzn.: a) viz výše. b) viz výše. c) x j = c j t j d) viz výše. Vlastnosti módu CFB: 1. Stejně jako u CBC módu i u módu CFB se díky řetězení zašifrují stejné bloky vstupní zprávy do různých bloků šifrové zprávy, přičemž stejně jako u CBC není potřeba tajit inicializační hodnotu IV. 2. Stejně jako u módu CBC řetězící mechanizmus zajišťuje, že blok c j šifrového textu závisí jak na bloku x j vstupního textu, tak i na všech blocích předcházejících. Pro správné dešifrování 14

16 daného bloku je třeba, aby předcházejících [n/r] bloků šifrového textu bylo bez chyby. To totiž znamená, že posuvný registr obsahuje správnou hodnotu. 3. Propagace chyby jedno nebo více bitová chyba v jednom r-bitovém bloku šifrového textu ovlivní dešifrování tohoto bloku i dalších [n/r] bloků šifrového textu (po dešifrování těchto bloků je konečně chybový blok vyřazen z posuvného registru). Obnova chyby je možná stejně jako u CBC módu. 4. Oprava chyb CFB mód je samočinně synchronní a na obnovení potřebuje [n/r] bloků. 5. Výkon pro bloky r < n výkon klesá, jelikož každým zavoláním funkce E je zašifrován nebo dešifrován jen blok délky r. [17] Mód OFB OFB mód je používaný v aplikacích, ve kterých musí být zachycena každá chyba(způsobená přenosem) v šifrovém textu. Tento mód se podobá módu CFB, jelikož umožňuje šifrovat různě dlouhé bloky, ale liší se v blokovém výstupu šifrovací funkce E, který slouží jako zpětná vazba. Jsou obvyklé dvě verze OFB módu. OFB mód s úplnou zpětnou vazbou a OFB mód s r-bitovou zpětnou vazbou. [17] Pro vstupní text x = x 1, x 2..., x t s r-bitovými bloky, šifrový text c = c 1, c 2..., c t s r-bitovými bloky, n-bitovou inicializační hodnotu IV a k-bitový klíč K K se dá šifrování a dešifrování zapsat takto: Šifrování bloku j, kde 1 j t probíhá v několika krocích: a) O j = E K (I j ) spočítání výstupu blokové šifry, I j je vstupní hodnota v posuvném registru b) t j = r levých krajních bitů O j c) c j = x j t j odeslání r-bitového bloku c j d) I j+1 = O j obnovení vstupu pro další blok Počáteční inicializace I je následující: I 1 = IV Dešifrování bloku j, kde 1 j t probíhá také v několika krocích: Výpočty t j, O j a I j jsou stejné jako při šifrování., tzn.: a) viz výše. b) viz výše. c) x j = c j + t j d) viz výše. Pro vstupní text x = x 1, x 2..., x t s r-bitovými bloky, šifrový text c = c 1, c 2,... c t s r-bitovými bloky, n-bitovou inicializační hodnotu IV a k-bitový klíč K probíhá šifrování a dešifrování bloku j, kde 1 j t skoro stejně jak jako u OFB módu s plnou zpětnou vazbou až na rozdíl v kroku, kde se počítá následující hodnota posuvného registru: d) I j+1 = 2 r * I j + t j mod 2 n posun výstupu t j na pravý konec posuvného registru I j+1 15

17 Vlastnosti Módu OFB: 1. Stejně jako CBC a CFB módy, dva stejné bloky vstupního textu nejsou šifrovány do dvou stejných bloků šifrového textu pokud nejsou použity stejné IV. 2. Klíčový proud je zcela nezávislý na vstupním textu. 3. Propagace chyby jedno nebo více bitová chyba v kterémkoliv bloku c j šifrového textu ovlivní jen tento blok. Navíc se tato chyba objeví jen na odpovídacích místech ve výsledném textu, takže je možno tyto chyby zpětně opravit. 4. Oprava chyb OFB mód umožňuje obnovit bitové chyby v šifrovém textu, ale nemůže se sám sesynchronizovat po úplné ztrátě některého bloku. V tomto případě je nutná explicitní obnova synchronizace. 5. Výkon výkon stejně jako u CFB módu klesá. Ovšem díky tomu, že klíčový proud nezávisí ani na vstupním text ani na šifrovém textu, tak může být přepočítán, což umožní určité zrychlení. [17] 16

18 2 Asymetrická kryptografie V systémech využívajících asymetrickou kryptografii má každá entita A svůj veřejný klíč e a odpovídající soukromý klíč d. Pokud by měl být systém dokonale bezpečný, pak by problém odvození odpovídajícího soukromého klíče d ze známého veřejného klíče e měl být nemožný. V realitě se ale používají systémy založené na nějakém výpočetně velice složitém problému, takže odvození d ze známého e není nemožné, ale jen výpočetně velice složité a náročné. Veřejný klíč definuje šifrovací transformaci E e a soukromý klíč definuje odpovídající dešifrovací transformaci D d. Jakákoliv entita B, která chce poslat zprávu m entitě A, obdrží ověřenou kopii veřejného klíče e, použije šifrovací transformaci a obdrží šifrový text c = E e (m), a pošle c entitě A. Aby entita A dešifrovala šifrový text c použije dešifrovací transformaci a obdrží tak otevřený text zprávy m = D d (c). Veřejný klíč není třeba uchovávat v tajnosti a z toho důvodu může být veřejně dostupný, jenom je třeba zaručit jeho ověření k entitě A, která má příslušný odpovídající soukromý klíč. Hlavní výhodou asymetrické kryptografie je, že zaručit ověření veřejného klíče je mnohem jednoduší než distribuce tajných klíčů, která je potřebná v případě symetrické kryptografie. Navíc při vzájemné komunikaci n stran není potřeba n*(n-1)/2 klíčů jako u symetrické kryptografie, ale jen 2n klíčů. Hlavním cílem systémů používajících asymetrickou kryptografii je zajištění utajení a důvěrnosti. Jelikož jsou šifrovací transformace i veřejný klíč veřejně známé, pak šifrování pomocí veřejného klíče nezaručuje ověření zdroje dat nebo jejich integritu. Tyto vlastnosti musí být zabezpečeny použitím dalších technik jako jsou ověřovací kódy a digitální podpis. Asymetrická kryptografie je bohužel o dost pomalejší než symetrická kryptografie. Z tohoto důvodu se asymetrická kryptografie nejčastěji používá na přenosy klíčů pro symetrickou kryptografii, která bude následně použita pro přenos dat a zaručení ostatních bezpečnostních opatření jako je právě ověření dat a jejich integrita, nebo například při challenge-response protokolů využívaných ke vzdálenému přihlašování a přístupu k internetovému bankovnictví. [17, 18] Výhody asymetrické kryptografie 1.V tajnosti musí být udržován pouze privátní klíč, u veřejného stačí, pokud je garantována jeho autenticita. 2. Podle způsobu použití mohou být dvojice soukromý/veřejný klíč používány po delší dobu (například několik relací, nebo i několik let). 3. Většina asymetrických šifer umožňuje relativně účinný mechanizmus digitálního podpisu. 4. I ve velké síti je počet uložených klíčů mnohem menší než u symetrické kryptografie. Nevýhody asymetrické kryptografie 1. Rychlost šifrování nejčastěji používaných algoritmů je mnohem menší než v případě symetrické kryptografie. 2. Velikosti klíčů jsou většinou mnohem větší než jaké vyžadují algoritmy symetrické kryptografie. 17

19 3. U žádné asymetrické šifry nebylo dokázáno, že je bezpečná (to stejné se dá ovšem říct i o symetrických šifrách). Nejlepší asymetrické šifry mají bezpečnost založenou na nějakém problému teorie čísel. 18

20 3 Hašovací funkce Hašovací funkce jsou jedním ze základních prvků moderní kryptografie, často jsou nazývány jednosměrné hašovací funkce. Hašovací funkce je účinně navržená funkce zobrazení binárních řetězců neomezené délky na binární řetězce nějaké fixní délky, nazývané haš hodnota. Pro ideální hašovací funkci, která má n-bitovou haš hodnotu, je šance,že náhodně vybraný řetězec bude zobrazen na konkrétní haš hodnotu 2 -n. Základní idea hašovacích funkcí je, že haš hodnota by měla sloužit jako kompaktní reprezentant vstupního řetězce. Hašovací funkce vhodná k použití v kryptografii je většinou zvolena tak, že je výpočetně velmi složité najít dva různé vstupní řetězce, které mají stejnou haš hodnotu. Pokud se podaří takové dva řetězce najít říkáme, že jsme našli kolizi. Stejně tak by mělo být výpočetně velmi složité najít pro nějakou haš hodnotu odpovídající vstupní řetězec. Použití hašovacích funkcí slouží nejčastěji ke kontrole integrity dat a při digitálním podepisování dat. [17, 18] 19

21 4 Generátory náhodných čísel V mnoha aplikacích je třeba bezpečně vygenerovat nepředvídatelné údaje. V kryptografii je nejčastější použití při generování hesel (v případě symetrických šifer) nebo jejich částí (v případě RSA se generují prvočísla p,q). K tomuto účelu se právě používají generátory (pseudo)náhodných čísel. Generátory (pseudo)náhodných čísel jsou také důležitou součástí kryptografických protokolů (nejčastěji challenge-responce). Mnoho protokolů využívá během svého průběhu náhodně generované sekvence nebo čísla. Náhodnost je vyžadována z bezpečnostních důvodů, aby potencionální útočník neměl možnost jakkoliv předpovědět využitou sekvenci nebo číslo. Generátor náhodný bitů je algoritmus nebo zařízení, jehož výstupem jsou statisticky nezávislá a neodvoditelná binární čísla. Generátor pseudonáhodný bitů je deterministický algoritmus, jehož výstupem je sekvence bitů, která se jeví náhodně, ovšem je založena na vstupu do generátoru, který se nazývá seed. Ovšem výstup z takového generátoru však není náhodný a pokud útočník je schopen zjistit nebo odvodit seed, pak je schopen zjistit tuto pseudonáhodnou sekvenci. Proto se jako seed používá krátká opravdu náhodná sekvence, která se použitím pseudonáhodného generátoru rozšíří na sekvenci dostatečně dlouhou. Pro bezpečnost generátoru je velice důležité, aby z předchozích čísel sekvence nešla odvodit čísla, která mají následovat. 20

22 5 Útoky na proudové symetrické šifry 5.1 Diferenciální kryptoanalýza Py, Pypy Biham a Seberry představili proudovou šifru Py [44], která vychází z návrhu RC4. Py je jedna z nejrychlejších proudových šifer pro 32-bitové procesory. Proudová šifra Pypy [44] je úprava šifry Py odolná proti Distinguishing attack. Od Py se liší tím, že je zahozena polovina výstupů, tzn. první výstup z každých dvou výstupů v každém kroku je zahozen. Py a Pypy byly vybrány jako kandidátní šifry do fáze 2 ECRYPT estream project. Inicializace Py a Pypy jsou shodné a právě fáze inicializace má několik bezpečnostních nedostatků, které znamenají, že obě tyto šifry jsou překonatelné pomocí diferenciální kryptoanalýzy. Tyto nedostatky vedou k tomu, že dva klíčové proudy mohou být stejné jestliže je klíč použit s některou z 2 16 IV, které mají speciální rozdíly. Je to velice reálná hrozba, protože množina IV potřebných pro útok se může objevit v aplikacích používajících Py a Pypy s velkou pravděpodobností. [43] Identické klíčové proudy IV je použita pouze ve fázi nastavení IV. Na začátku fáze nastavení IV je použito pouze 15 bitů z IV (iv[0] a iv[1], nejméně význačný bit iv[1] není použit) k inicializaci pole P a proměnné s. Pro dvojice IV, které mají těchto 15 bitů shodných je i výsledné pole P shodné. Označme si následující kód jako algoritmus A: for(i=0; i<ivsizeb; i++) { s = s + iv[i] + Y(YMININD+i); u8 s0 = P(s&0xFF); EIV(i) = s0; s = ROTL32(s, 8) (u32)s0; } Následující kód si označme jako algoritmus B: for(i=0; i<ivsizeb; i++) { s = s + iv[i] + Y(YMAXIND-i); u8 s0 = P(s&0xFF); EIV(i) += s0; s = ROTL32(s, 8) (u32)s0; } Tyto dva cykly jsou použity k aktualizaci s a EIV. 21

23 IV rozdílné ve dvou bytech Přepokládejme dvě IV iv 1 a iv 2 rozdílné ve dvou po sobě jdoucích bytech s iv 1 [i] iv 2 [i]=1, nejméně význačný bit iv 1 [i] je 1, iv 1 [i+1] iv 2 [i+1] (1 i ivsizeb - 1) a iv 1 [j] = iv 2 [j] pro 0 j < i a i+1 < j ivsizeb-1. Projdeme algoritmus A a ukážeme jak rozdíly v iv ovlivní s a EIV. Na konci i-tého kroku algoritmu A EIV 1 [i] EIV 2 [i]. Nechť β 1 = EIV 1 [i] a β 2 = EIV 2 [i]. Dostaneme, že s 1 s 2 = 0x100 + δ 1, kde δ 1 = (β 1 x) (β 2 x), a x je s otočené o 8 bitů. V dalším kroku platí iv 1 [i+1] iv 2 [i+1], jestliže iv 2 [i+1] iv 1 [i+1] = δ 1, a s 1, s 2 se stanou shodnými s vysokou pravděpodobností. Z pozorování provedeného v [43] je tato pravděpodobnost p i = Jestliže, s 1 = s 2, pak EIV 1 [i+1] = EIV 2 [i+1], a v následujících krocích i+2, i+3,..., i+ivsizeb-1 v algoritmu A zůstanou s 1 a s 2 stejné a EIV 1 [j] = EIV 2 [j] pro j i. Po algoritmu A jsou iv[i] a iv[i+1] znovu použity k aktualizaci s a EIV v algoritmu B. Na konci i-tého kroku algoritmu B platí EIV 1 [i] = EIV 2 [i] s pravděpodobností 1/255. Nechť γ 1 = s0 1 a γ 2 = s0 2. Jestliže EIV 1 [i] = EIV 2 [i], tak platí γ 2 - γ 1 = β 1 β 2. Na konci tohoto kroku s 1 s 2 = 0x100 + δ 2, kde δ 2 = (γ 1 y) - (γ 2 y) a y je ROTL32(s,8). Na konci dalšího kroku, jestliže iv 2 [i+1] iv 1 [i+1] = δ 2, se stanou s 1 a s 2 shodnými s vysokou pravděpodobností. Poznamenejme, že iv 2 [i+1] iv 1 [i+1] = δ 1 a δ 1, δ 2 korelují, takže iv 2 [i+1] iv 1 [i+1] = δ 2 s pravděpodobností větší než 2-8. Pravděpodobnost p 1, že s 1 = s 2 je podle provedeného pozorování 2-5,6. Jakmile jsou dvě hodnoty s stejné, EIV 1 [i+1] = EIV 2 [i+1], tak ve všech následujících krocích i+2, i+3,..., i+ivsize-1 algoritmu B platí s 1 = s 2 a EIV 1 [i+2] = EIV 2 [i+2], EIV 1 [i+3] = EIV 2 [i+3],..., EIV 1 [i+ ivsize-1] = EIV 2 [i+ ivsize-1]. To znamená, že po použití IV na aktualizaci s a EIV, nastane situace s 1 = s 2 a EIV 1 = EIV 2 s pravděpodobností p 1 * 1/255 * p 1 = 2-24,2. Jelikož je IV je použita jen v algoritmech A a B, takže jakmile po skončení algoritmu B platí s 1 = s 2 a EIV 1 = EIV 2, tak je jisté, že tyto dva klíčové proudy budou stejné. [43] IV rozdílné ve třech bytech Stejně jako byla v předchozí části popsána možnost použít byte i a i+1 z IV, tak lze podobně použít ještě třetího bytu a to i+4. Při použití třech bytů IV je pravděpodobnost vytvoření stejného klíčového proudu přibližně [43] Útok na Py a Pypy pomocí kolizí ve vnitřním stavu Prezentované bezpečnostní nedostatky vedou k tomu, že na Py a Pypy je možné provést útok na odhalení klíče. Důležitou roli zde právě hrají kolize ve vnitřním stavu. Tento útok má dvě fáze: Fáze 1: Obnovení časti pole Y Předpokládejme IV rozdílné ve dvou bytech, tzn. kolize se objeví s pravděpodobností 2-23,2. Napřed použijeme algoritmus A ze kterého se pokusíme získat část pole Y a poté se pokusíme získat další části z algoritmu B. P JE ZNÁMÉ PROČ? Pro iv m si označme s na konci j-tého kroku jako s j m, nejméně význačný bit označme jako s j,0 m a nejvýznačnější bit jako s j,3 m. 22

24 Označme ε jako možný binární přenos, který má hodnotu 0 s pravděpodobností 0,5 a B(x) je funkce, která vrátí nejméně význačný bit x. Jestliže jsou klíčové proudy shodné, pak víme: s i 1 + iv 1 [i+1] = s i 2 + iv 2 [i+1] (1) Z algoritmu A víme: s i = ROTL32(s i-1 + iv[i] + Y(-3 + i),8) P(B(s i-1 + iv[i] + Y(-3 + i))) (2) Z těchto rovností dostaneme: s i,0 = P((B(s i-1 + iv[i] + Y(-3 + i))) B(s i-1,3 + Y(-3 + i) + ε i ) (3) a (s i 1 s i,0 2 ) (s i 2 s i,0 2 ) = (iv 1 [i] iv 2 [i]) << 8 = 256, (4) kde (4) platí s pravděpodobností Z (1), (3) a (4) odvodíme: (P(B(s i-1,0 1 + iv 1 [i] + Y -3 + i,0 )) B(s i-1,3 1 + Y -3 + i,3 + ε i,1 )) iv 1 [i+1] = = (P(B(s i-1,0 2 + iv 2 [i] + Y -3 + i,0 )) B(s i-1,3 2 + Y -3 + i,3 + ε i,2 )) + iv 2 [i+1], (5) kde ε i,1 = ε i,2 s pravděpodobností , takže v následujícím textu budeme ε i,1, ε i,2 označovat ε i. Označme si iv θ jako pevnou IV s prvními i byty shodnými se všemi IV lišícími se pouze v iv[i] a iv[i+1]. Takže s i-1,0 2 = s i-1,0 1 = s i-1,0 θ a s i-1,3 2 = s i-1,3 1 = s i-1,3 θ. Podle tohoto se rovnost (5) přepsat následovně: (P(B(s i-1,0 θ + iv 1 [i] + Y -3 + i,0 )) B(s i-1,3 θ + Y -3 + i,3 + ε i )) iv 1 [i+1] = = (P(B(s i-1,0 θ + iv 2 [i] + Y -3 + i,0 )) B(s i-1,3 θ + Y -3 + i,3 + ε i )) + iv 2 [i+1] (6) Použitím jiné dvojice IV lišícími se v iv[i] a iv[i+1] s prvními i byty shodnými s iv θ, které mají kolizi ve vnitřních stavech, dostaneme další rovnost (6). Předpokládejme tedy, že je k dispozici několik rovností (6). Z množiny těchto rovností lze odvodit hodnoty B(s i-1,0 θ + Y - 3+i,0) a B(s i-1,3 θ + Y -3+i,3 + ε i ). V [43] je ukázáno, že pokud budeme mít k dispozici více jak 5 těchto rovností, tak je velmi malá šance, že odvozené hodnoty budou špatně. Po odvození několika po sobě jdoucích hodnot B(s i-1,0 θ + Y -3+i,0 ) a B(s i-1,3 θ + Y -3+i,3 + ε i ) jsme schopni zjistit část informací o poli Y. Z hodnot B(s i-1,0 θ + Y -3+i,0 ) a B(s i-1,3 θ + Y -3+i,3 + ε i ) a rovnosti (3) jsme schopni určit hodnotu s i,0 θ a následně jsme také schopni z hodnot B(s i-1,0 θ + Y -3+i,0 ) a B(s i-1,3 θ + Y - 3+i,3 + ε i ) a s i,0 θ určit Y -3+i+1,0. [43] Postup jak vygenerovat dostatečné množství rovností (6) je uveden v [43]. Fáze 2: Získání klíče Ve fázi 1 odhalíme hodnoty Y -3+1,0 a Y 256-i,0 pro 2 < i < ivsize-2. Nyní odvodíme 15ti bitovou tajnou informaci v P využitím eliminace rozdílů i EIV. Označme s i θ v algoritmu A jako s i A,θ a s i θ v algoritmu B jako s i B,θ. Pro dvě IV lišící se jen v iv[i] a iv[i+1] a generující shodný klíčový proud, spočítáme EIV 1 A [i], EIV 2 A [i], EIV 1 B [i] a EIV 2 B [i] následujícím způsobem: EIV 1 A [i] = (P(B(s i-1,0 A, θ + iv 1 [i] + Y -3+i,0 )) (7) EIV 2 A [i] = (P(B(s i-1,0 A, θ + iv 2 [i] + Y -3+i,0 )) (8) EIV 1 B [i] = EIV 1 A [i] + (P(B(s i-1,0 B, θ + iv 1 [i] + Y -3 + i,0 )) (9) EIV 2 B [i] = EIV 2 A [i] + (P(B(s i-1,0 B, θ + iv 2 [i] + Y -3 + i,0 )) (10) Jelikož jsou dva klíčové proudy shodné, pak platí: EIV 2 B [i] = EIV 1 B [i] (11) B(s i-1,0 A, θ + iv 1 [i] + Y -3 + i,0 ) a B(s i-1,0 B, θ + iv 1 [i] + Y 256-i,0 ) jsou určeny při zjišťování částí Y z algoritmů A a B. Z rovností (7), (8), (9), (10) a (11) je odhaleno 8 bytů z P. Existuje asi 7 23

25 dvojic IV, které generují shodné klíčové proudy pro každou hodnotu i, takže můžeme zjistit všechny byty z P. Pro odhalení klíče použijeme následující část algoritmu z fáze nastavení klíče: for(i=yminind, j=0; i<=ymaxind; i++) { s = s + key[j]; s0 = internal_permutation[s&0xff]; Y(i) = s = ROTL32(s, 8) (u32)s0; j = (j+1) mod keysizeb; } Pojmenujme uvedenou část jako algoritmus C. Z algoritmu C dostáváme následující rovnost: B(Y -3+i,0 + key[i+1 mod keysizeb] + ε i ) P (B(Y -3+i+3,0 + key[i+4 mod keysizab])) = Y -3+i+4,0, (12) kde P znázorňuje internal_permutation a ε i znázorňuje možný bitový přenos. ε i, který má s pravděpodobností 0,5 hodnotu 0. Jakmile je známa hodnota Y-3+i,0 (pro 2 < i < ivsize-2), máme rovnost (12), která dává do souvislosti key[i+4 mod keysizab] a key[i+1 mod keysizab] pro 2 < i < ivsize-6. Každá taková rovnost nám dává alespoň 7 bitů informace o key[i+4 mod keysizab] a key[i+1 mod keysizab]. Hodnota Y 256-i,0 (pro 2 < i < ivsize-2) je také známá a můžeme díky ní získat další informace z rovnosti (12). Celkově máme 2 * (ivsize - 9) rovností (12) dávající informace o bytech klíče. Pro 16ti bytový klíč a 16ti bytovou IV získáme 14 rovností (12). V těchto 14ti rovnostech je použito 13 bytů, které můžeme odvodit, což znamená že efektivnost klíče je snížena na 3 byty. Podobně pro 32 bytový klíč a 32 bytovou IV máme 46 rovností (12), ze kterých můžeme odvodit 29 bytů klíče, takže efektivnost klíče je snížena na 3 byty. [43] 24

26 6 Útoky na symetrické blokové šifry 6.1 Útok postranním kanálem na blokovou šifru v CBC módu při použití PKCS#5 padding Tento útok představený Sergem Vaudenayem [20, 21] je klasickým útokem postranním kanálem využívajícím chybového výstupu dešifrovací fce. Pokud má útočník přístup k chybovému hlášení o tom, že doplnění (padding) nebylo v pořádku, může podle tohoto útoku postupně odkrýt celý vstupní text. PKCS#5 padding Při šifrování pomocí blokové šifry v CBC módu je třeba vyřešit problém jak šifrovat poslední blok vstupního textu pokud velikost vstupního textu, není dělitelná velikostí bloku. Řešením je doplnění (padding) posledního bloku nějakými náhodnými slovy, která půjdou po dešifrování lehce rozpoznat a od výsledného textu následně odstranit. PKCS#5 definuje jednu možnost jak zprávu doplnit. Podle PKCS#5 se doplní n slov o hodnotě n, tak aby výsledná zpráva byla dělitelná velikostí bloku, tzn. pokud je potřeba doplnit tři slova, aby byla vstupní zpráva dělitelná velikostí bloku, pak je doplněno 333. [22] Útok pomocí orákula O Pro úspěšný útok musíme sestrojit čtyři orákula. První orákulum (orákulum O) nám bude říkat, jestli má dešifrovaná zpráva správné doplnění. Další orákulum je orákulum posledního slova, toto orákulum nám pomocí opakovaného volání předchozího orákula O dokáže spočítat poslední slovo posledního bloku. Třetí orákulum je orákulum dešifrující daný blok zprávy pomocí opakovaného volání orákula posledního slova. Poslední orákulum je dešifrovací orákulum, to nám pomocí volání předchozího orákula pro každý, blok umožní dešifrovat celou zprávu. [20,21] Orákulum O Sestrojit toto orákulum není těžké, již podle předpokladů tohoto útoku má útočník přístup k chybovému hlášení o správnosti doplnění. Takže pokud je doplnění správné, tzn. nevznikne žádné chybové hlášení, tak nám orákulum O vrátí 1. Pokud doplnění není správné a vznikne nějaké chybové hlášení, tak orákulum vrátí 0. Jelikož správné dešifrování, a tedy to jestli vznikne nějaké chybové hlášení nebo ne, je závislé na šifrovací funkci C a iniciační hodnotě IV, tak je i orákulum O závislé na funkci C a hodnotě IV. [20,21] Orákulum posledního slova (Last Word Oracle) Toto orákulum má za úkol spočítat poslední slovo C -1 (y), kde y je poslední blok šifrového textu. Útočník, který má přístup k orákulu O sestrojí velice jednoduše toto orákulum pomocí v průměru W/2 volání orákula O na dvoublokové zprávě, kde W je počet všech možných slov. 25

27 Nechť r 1, r 2,..., r b jsou náhodná slova a b je počet slov v jednom bloku, pak nechť r = r 1, r 2,..., r b. Vytvoříme falešný šifrový text r y tím, že za sebou spojíme náhodný blok r a blok y. Tento šifrový text necháme dešifrovat a orákulum O nám řekne, zda má dešifrovaný text správné doplnění nebo ne. Pokud O(r y) = 0, tak C -1 (y) r nekončí správným doplněním a je třeba upravit blok r. Jelikož se snažíme nalézt poslední slovo, tak upravíme r b a znovu otestujeme r y pomocí orákula O. Toto provádíme tak dlouho, dokud O(r y) = 1. Pokud O(r y) = 1, tak potom C -1 (y) r končí správným doplněním. V tomto případě musíme zjistit jaké je to doplnění, zda je to 1, 22, 333,.... Toto (pro případ kdy testujeme doplnění 1) zjistíme tak že orákulu O pošleme r y, kde r = r 1, r 2,..., r b, kde r b = r b. Pokud nám orákulum O vrátí 1, pak bylo doplnění 1. Pokud nám vrátí 0, bylo použito delší doplnění (které jsme výše uvedeným postupem narušili. Jaké, to otestujeme stejně, jen nezměněných slov v r bude postupně přibývat, dokud orákulum O nevrátí 1. V tu chvíli víme jak dlouhé doplnění bylo použito. Řekněme, že by doplnění bylo jen 1, pak poslední slovo C -1 (y) je r b 1. [20,21] Orákulum dešifrující daný blok Toto orákulum má za úkol, pomocí předchozího orákula posledního slova a orákula O, získat text vstupní zprávy nějakého bloku y, tzn. spočítat C -1 (y). Nechť je a 1, a 2,..., a b posloupnost slov dešifrovaného textu C -1 (y). Můžeme jednoduše určit poslední slovo a b pomocí orákula posledního slova. Teď stačí ukázat že dokážeme zjistit a j, pokud již známe a j+1,..., a b. Pokud se to podaří, tak následně můžeme opakovaným postupem získat celý blok. Nechť r 1, r 2,..., r j-1 jsou náhodná slova a r k = a k (b-j+2) pro k = j,...,b. Nechť r = r 1, r 2,..., r b. Vytvořme falešný šifrový text r y tím, že spojíme bloky r a y. Jestliže orákulum O vrátí pro náš falešný text 1, tak r j-1 a j-1 = b-j+2 a z tohoto vztahu dokážeme odvodit a j-1. Jestliže r j-1 je náhodné, pak je pravděpodobnost W -1, že orákulum O vrátí právě 1. Z toho vyplývá, že průměrně potřebujeme W/2 volání aby tato situace nastala. Takže pokud každý blok má b slov, pak potřebujeme v průměru bw/2 volání orákula O pro implementaci orákula dešifrujícího daný blok. [20,21] Dešifrující orákulum Pomocí orákula dešifrujícího daný blok můžeme dešifrovat jakoukoliv zprávu y 1, y 2,..., y N s pomocí orákula O. V průměru je třeba NbW/2 volání orákula O. Stačí pouze zavolat pro každý blok y i orákulum dešifrující daný blok a provést CBC dešifrování. Jediný problém by mohl nastat tehdy bude-li IV tajná, pokud by to nastalo tak bychom nemohli dešifrovat první blok zprávy. Nicméně můžeme dostat první blok vstupního textu až po neznámou. Zejména pokud jsou dvě zprávy zašifrované se stejnou IV, tak můžeme spočítat XOR dvou prvních bloků vstupních zpráv. Útok má složitost O(NbW). Například pro b = 8 a W = 256 dokážeme dešifrovat jakoukoliv vstupní zprávu pomocí 1024N volání orákula O. To znamená, že je tento útok velice efektivní. 26

28 6.2 Útok postranním kanálem na blokovou šifru v CBC módu při použití formátu zpráv PKCS#7 Po zveřejnění Vaudenayova útoku[20,21] na šifry v CBC módu používající PKCS#5 doplňování [22] byly provedeny studie a byly navrženy možné rozšíření a protiopatření [23], které by zabránily tomuto útoku. Jediné efektivní doplnění, které zde bylo uvedeno pod názvem ABYT-PAD (arbitrary-tail padding) pro bytově orientované zprávy a ABIT-PAD pro bitově orientované zprávy. ABYT-PAD je definován následujícím způsobem: nechť poslední byte zprávy je X, vezmeme nějaký rozdílný byte Y a přidáme jeden nebo více bytů Y tak, aby velikost zprávy byla dělitelná velikostí bloku. Příjemce si přečte poslední byte dešifrované zprávy a odstraní všechny stejné byty z konce zprávy. Hlavní výhodou tohoto doplňování je, že neexistuje žádné špatné doplnění, to znamená, že nelze použít útok popsaný Vaudenayem. Ovšem ani toto doplnění samo o sobě není dostačující, V. Klíma a T. Rosa publikovali útok na symetrickou blokovou šifru v CBC módu využívající známou standardní syntaxi PKCS#7 a ABYT-PAD doplnění [24]. Jejich útok není postaven na orákulu, které říká, zda daná zpráva má správné doplnění, ale na orákulu PKCS#7 CONF, které pro daný šifrový text říká, zda dešifrovaný text odpovídá PKCS#7 syntaxi. K určení, zda to tak je, postačuje jakákoliv informace, například zpráva pro uživatele, chybové hlášení API, zápis do logovacího souboru, rozdílná časová náročnost mezi dešifrování správného a nesprávného textu, a podobně. Ve svém článku ukázali, že pokud má útočník přístup k takovému orákulu, je schopen dešifrovat celý vstupní text. [24] PKCS#7 Formát PKCS#7 [25] popisuje obecnou syntax pro kryptograficky chráněná data. PKCS#7 definuje těchto šest obsahových typů: data, podepsaná data, zabalená data, podepsaná a zabalená data, shrnutá data a zašifrovaná data. Tyto obsahové typy jsou definovány použitím ASN.1 [26] notace a jsou použity v mnoha aplikacích a programech. Podle ANS.1 je struktura kódování vstupní zprávy (0x04, L, data), kde 0x04 je daná konstanta a L je délka zprávy. Při tomto útoku budeme bez ztráty obecnosti předpokládat, že data jsou uvedena jako oktetové stringy. Dále budeme předpokládat, že zašifrovaná data mají datový typ zabalená data, bloková šifra pracuje v CBC módu a je použito ABYT-PAD doplňování. Šifrový text je umístěn ve vysoce strukturovaném datovém bloku zabalená data. Symetrický klíč použitý k zašifrování je zašifrován pomocí asymetrické kryptografie a je také uložen na specifickém místě v zabalených datech. Inicializační hodnota IV je také uložena v této struktuře, mimo šifrový text, takže je možno ji změnit bez ovlivnění samotného šifrového textu. Dále předpokládáme, že pokud změníme zprávu, tak jsme schopni upravit všechny oktety v struktuře zabalená data určující délku zprávy, takže nebude porušena korektnost struktury zabalená data. V následujícím textu budeme manipulovat jen s IV a šifrovým textem. [24] PKCS#7 potvrzovací orákulum PKCS#7 CONF Nechť CT je šifrový text neobsahující IV, který je uložen ve struktuře zabalená data, pak označme C = (IV, CT). 27