Kryptografie a počítačová bezpečnost

Transkript

1 Kryptografie a počítačová bezpečnost Symetrické algoritmy (cont.) KPB 2017/18, 6. přednáška 1

2 Teoretické základy blokových algoritmů Koncept moderní kryptografie navrhli C. Shannon a H. Feistel. Claude Shannon: Communication Theory of Secrecy Systems, Bell System Technical Journal, Oct 1949, Prediction and Entropy of printed English, Bell System Technical Journal, Jan Koncept: entropie, redundance jazyka (redundance ve zprávě je dostačující k jejímu prolomení), teorie o tom kolik informace je třeba pro zlomení šifrového textu - stanovil teoretickou míru bezpečnosti šifry pomocí neurčitosti otevřeného textu, když je dán šifrový text, KPB 2017/18, 6. přednáška 2

3 Teoretické základy blokových algoritmů Koncept: Vernamův algoritmus je jediný absolutně bezpečný systém, šíření chyb, výběr klíče Konfuse, difuse (Difuse, konfuse a úplnost u klasických (historických) šifer je velmi slabá (vzhledem k OT i ke klíči)), Úplnost Lavinový efekt S-P network KPB 2017/18, 6. přednáška 3

4 Konfuse Konfuse (confusion, záměna, zmatení ) - komplikuje vztahy mezi statistikou ŠT a klíčem, realizováno substitucí KPB 2017/18, 6. přednáška 4

5 Difuse Difuse (diffusion, rozptýlení) - rozptýlení statistiky OT po celé ŠT, realizováno permutací KPB 2017/18, 6. přednáška 5

6 Kerckhoffův princip KPB 2017/18, 6. přednáška 6

7 Konstrukce blokových algoritmů Avalanche (lavinový) efekt změna jednoho vstupního bitu má vliv na změnu cca poloviny výstupních bitů. Obecně pro funkci f: Pro každý bit i, 0<=i<m, jestliže 2 m vektorů OT rozdělíme na 2 m-1 dvojic X a X i (každý pár se liší jen v bitu i) a jestliže 2 m-1 provedeme jejich XOR, pak porovnáme-li V i = f(x) f(x i ) zjistíme, že asi polovina těchto součtů je 1. Completeness (úplnost) každý výstupní bit je funkcí všech vstupních bitů. Obecně pro funkci f: Pro každý bit j, 0<=j<m výstupního (šifrového) vektoru, existuje nejméně jeden pár vektorů OT X a X i, který se liší jen v bitu i, a pro který f(x) a f(x i ) se liší v bitu j. Dobrý návrh (konstrukce) algoritmu má avalanche, completeness, nepředvídaltelnost, nahodilost. Špatný návrh - algoritmus má nedostatek nahodilosti a příliš mnoho předvídatelnosti. KPB 2017/18, 6. přednáška 7

8 Lavinový efekt KPB 2017/18, 6. přednáška 8

9 Složené algoritmy Substituce: Binární slovo je nahrazeno jiným binárním slovem. Pokud použijeme n-bitová slova, klíč je 2 n, roste velmi rychle s rostoucím n (možných (2 n )! substitucí). Tzv. S-boxy KPB 2017/18, 6. přednáška 9

10 Složené algoritmy Permutace: Binární slovo je přeuspořádáno (permutováno), permutace formuje klíč, tedy pro n- bitové slovo máme klíč n bitový. Roste pomaleji, je tak méně bezpeč. než substituce, jen n! možných permutací. Tzv. P-boxy. KPB 2017/18, 6. přednáška 10

11 Shanon: Teoretické základy blokových algoritmů Kvalitní n-bitové blokové šifry se jeví jako náhodné permutace na množině n-bitových bloků, f: {0,1} n {0,1} n. Ideální by bylo použít jednu extrémně velkou substituci, což není příliš praktické vzhledem k vstupům pro 128-bitový blok. Použijeme tedy menší bloky - Substitution-permutation (S-P) networks moderní forma složených algoritmů. Substituce se realizuje na úrovni bajtů a permutace na úrovni několikabajtových slov (např. 32b)... SP síť dosahuje požadovaných vlastností (difúze, konfúze, úplnost). Při n násobném opakování (S, P) obdržíme náhodnou permutaci na množině např. {0,1} 32 Smysl SP sítě bez klíče je omezený. KPB 2017/18, 6. přednáška 11

12 Entropie Entropie H(M) - Množství informace ve zprávě min počet bitů potřebných k zakódování, uložení všech možných významů (hodnot) zprávy za předpokladu, že všechny významy jsou stejně pravděpodobné. Množství informace, obsažené ve zprávě měřené průměrným počtem bitů, nezbytných k jejímu zakódování při optimálním kódování (optimální kódování používá co nejméně bitů k zakódování zpráv) Tj. je to množství informace ve zprávě M, měřené v bitech log 2 n, kde n je počet možných významů Míra neurčitosti zprávy, vyjadřuje průměrnou informační hodnotu jedné zprávy z daného zdroje. Nechť M=X, pak 12

13 Entropie Příklad Maximální entropie nastává, pokud mají všechny zprávy stejnou pravděpodobnost: H(M) = log 2 (n) Minimální nastává, pokud přijde pouze jedna zpráva a má pravděpodobnost 1, potom H(M) = 0 Reprezentace dnů v týdnu ve 3 bitech, 000 pondělí, 001 úterý, 110 neděle, 111 nevyužito, 8 významů Entropie H(M) = log 2 n, kde n je počet možných významů, tj. H M = log 2 8 = 3 entropie je < 3 bity, Kdybychom repr. dny v týdnu 2 znaky (Po, Ut, St, ) * 8 bitů, spotřebujeme 16 bitů, ale jsou v nich obsaženy jen < 3 bity informace. KPB 2017/18, 6. přednáška 13

14 Vzdálenost jednoznačnosti Všechny klasické šifry (s výjimkou Vernamovy šifry) mají tu vlastnost, že čím delší je šifrový text, tím snazší je šifru rozluštit. Shannonova teorie vysvětluje, proč tomu tak je. Intuitivně můžeme posoudit, proč delší šifrový text poskytuje více informací o otevřeném textu. Použijeme-li monoalfabetickou substituci, pak ze šifrového textu o délce jednoho písmene např. A nemůžeme usoudit vůbec nic o příslušném otevřeném textu. Ze šifrového textu o dvou písmenech AB už můžeme usoudit, že příslušný otevřený text není složený ze dvou stejných písmen. Má-li smysluplný otevřený text v přirozeném jazyce délku např. 500 písmen, pak si lze těžko představit, že by mohla existovat nějaká permutace písmen, která by jej opět proměnila v jiný smysluplný otevřený text v přirozeném jazyce. Proto k šifrovému textu o 500 písmenech může existovat nejvýše jeden smysluplný text v přirozeném jazyce, který nějakou jednoduchou záměnou vede k tomuto šifrovému textu. Nejmenší délka šifrového textu, ke kterému existuje jednoznačně určený smysluplný otevřený text, se nazývá vzdálenost jednoznačnosti (Unicity Distance U), U je pro každou šifru jiná. Pokud otevřený text neobsahuje žádnou redundanci, pak je vzdálenost jednoznačnosti nekonečná; to znamená, že systém je teoreticky nezlomitelný útokem pouze ze známého šifrového textu. KPB 2017/18, 6. přednáška 14

15 Rate Rate r jazyka (obsažnost jazyka vzhledem k 1 znaku) je průměrná entropie znaku ve zprávě, je definován jako r = H(M) / N, kde N je délka zprávy Absolutní rate (obsažnost) R jazyka je max počet bitů, které mohou být zakódovány v každém znaku (za předpokl., že všechny znaky v OT jsou stejně pravděpodobné), tedy průměrná entropie znaku pokud by byly všechny zprávy a znaky stejně pravděpodobné R = log 2 L, kde L je počet znaků v abecedě (daného jazyka). Je to maximální možná obsažnost jazyka o L stejně pravděpodobných znacích (přirozený jazyk jí nedosahuje) KPB 2017/18, 6. přednáška 15

16 Redundance Redundance D (nadbytečnost; množství textu, které není nezbytně nutné k přenosu informace.) jazyka: D=R-r Angličtina: rate r je 1<r<1.5 bitů/znak pro velká N Absolutní rate R je R= log bitů/znak Redundance D =R - r = = 3.4 b/znak pro r=1.3 U = H(K) /D, kde H(K) je entropie klíče Příklad: zpráva, ASCII znaky z 8 bitů jen 1.3 nese užitečnou informaci a 6.7 b je nadbytečných Celková redundance je D = 6.7 / b na bit ASCII textu a entropie je 0.16 b informace na každý ASCII bit KPB 2017/18, 6. přednáška 16

17 Příklad Mějme alg. AES s délkou klíče 256 bitů. Víme, že otevřený text je v angličtině, v kódování ASCII 8-bit. Kolik znaků šifrového textu musíme získat, aby tomu odpovídal jeden smysluplný otevřený text? H(K) = log 2 (2 256 ) =256 je entropie klíče D = R r je redundance Pro R=8 (abeceda je ASCII 8-bit), r=1.3 (angličtina) je D=8 1.3 = =6.7 bitu na bajt U = H(K) /D = 256/6.7 = bajtů (unicity distance) Stačí nám cca 38 znaků šifrového textu, abychom věděli, že získáme jediný smysluplný otevřený text. KPB 2017/18, 6. přednáška 17

18 Konstrukce blokových algoritmů Mohou být použity ve všech režimech (ECB, CBC, ) -později Softwarová implementace snazší než u proudových šifer. Pro šifrování a dešifrování zprávy můžeme definovat inverzní boxy ke každému S & P-boxu, ale tím zdvojnásobíme softwarové/hardwarové požadavky, nebo definujeme snadno invertovatelné (reversibilní) struktury tak, abychom mohli použít stejný kód nebo hardware pro šifrování i dešifrování. Je lepší použít otestované a prokázané konstrukce algoritmů. První algoritmus Lucifer KPB 2017/18, 6. přednáška 18

19 Režimy činnosti symetrických algoritmů Kryptografický režim obvykle kombinuje algoritmus, nějaký druh zpětné vazby a jednoduché operace (NIST (National Institute of Standards and Technology) FIPS 81, Special Publication A). Hlediska bezpečnosti algoritmu: ukrytí statistických vzorků otevřeného textu, vstup pro šifru náhodný (např. náhodné generování klíče), manipulace s otevřeným textem prostřednictvím chyb v šifrovém textu má být obtížná, má být možno opakovaně použít tentýž klíč pro šifrování více zpráv, účinnost režimu nemůže být menší než účinnost šifry, odolnost proti chybám. KPB 2017/18, 6. přednáška 19

20 Electronic Codebook Mode ECB Nejjednodušší a nejrychlejší blokový režim. Je to vlastně prostá substituce, kdy je blok otevřeného textu šifrován do bloku šifrového textu: necht i 1, c i = e k (m i ),m i = d k (c i ). Padding - doplnění posledního bloku M, který může být kratší než je délka bloku Každý blok je šifrován nezávisle, celý proces může být paralelizován. Stereotypní začátky a konce zprávy. Vhodné pro krátké zprávy (šifrování a rozesílání klíčů...). Vhodné pro poruchová spojení (změna nebo ztráta jednoho bloku neovlivní šifrování ostatních bloků). KPB 2017/18, 6. přednáška 20

21 Electronic Codebook Mode Nezašifrovaný text není skrýván. Snadná kryptoanalýza. Opakovaný blok je šifrován shodně - lze budovat kódovou knihu odposlechem bez znalosti klíče K. Pasivní útok: informace, vyplývající ze shody bloků šifrových textů (databáze, kódová kniha, slovníkový útok) Aktivní útoky vložením - Útočník může modifikovat, odstranit nebo zopakovat libovolný blok šifry bez znalosti klíče nebo algoritmu. Řešením je chaining (zřetězení). KPB 2017/18, 6. přednáška 21

22 Electronic Codebook Mode KPB 2017/18, 6. přednáška 22

23 Electronic Codebook Mode Opakovaný blok je šifrován shodně KPB 2017/18, 6. přednáška 23

24 Cipher Block Chaining Mode CBC Přidává k algoritmu mechanismus zpětné vazby. Každý blok šifrového textu (ŠT) je použit pro zašifrování dalšího bloku otevřeného textu (ŠT bloku je kontextově závislý). Každý blok ŠT je závislý na všech předešlých blocích otevřeného textu. Blok m i je XORován se šifrou bloku m i-1 před šifrováním / po dešifrování: c i = e k (m i c i-1 ), m i =c i-1 d k (c i ), pro i >1 Pro šifrování prvního bloku používá inicializační vektor IV (pseudonáhodná data): c 1 =e k (m 1 IV), m 1 =IV d k (c 1 ) IV se šifruje v ECB režimu Nešifrovaný text je skrýván (je XORován). Snadná softwarová implementace. Šifrování je neparalelizovatelné, dešifrování ano. Vhodný pro šifrování souborů. Bezpečnější než ECB. KPB 2017/18, 6. přednáška 24

25 Cipher Block Chaining Mode KPB 2017/18, 6. přednáška 25

26 Cipher Block Chaining Mode Opakovaný blok je šifrován odlišně, pouze když je odlišný některý z předchozích bloků M. Chyba v jednom bitu M tolik nevadí, po dešifrování se v M objeví zase jen tato chyba. Chyba v C je obvyklejší (poruchový spoj, chyba na paměťovém médiu) - chyba v jednom bitu bloku C i ovlivní dešifrování tohoto a následujícího bloku C i+1, nazývá se error extension, z této chyby se systém zotaví - CBC je self recovering. Pokud však je bit do šifry C přidán či z ní ztracen, z této chyby se systém nezotaví. Vaudenay útok postranním kanálem (postranní kanály viz později) využitím chybového hlášení KPB 2017/18, 6. přednáška 26

27 Cipher Block Chaining Mode KPB 2017/18, 6. přednáška 27

28 CTR režim KPB 2017/18, 6. přednáška 28

29 CTR režim Režim Counter mode používá posloupnost čítačů T 1, T 2,..., T n, pro které platí, že každý blok T i je jiný než všechny ostatní. používá pouze šifrovací alg.e K výstup lze použít celý nebo část různé způsoby inkrementace čítač se může týkat jen (dolní) části registru inicializačního vektoru smyslem je zaručit různé hodnoty čítače použité během životnosti jednoho klíče hlavní výhoda: heslo O i může být vypočítáno jen na základě pozice a IV, nezávisle na ničem jiném O i T i KPB 2017/18, 6. přednáška 29

30 CTR režim Režim CRT může být definován takto: O i = e k (T i ) pro i = 1,.., n 1, c i = m i O i pro i = 1,.., n 1, c n = m n msb u (O n ), O i = e k (T i ) pro i = 1,.., n 1, m i = c i O i pro i = 1,.., n 1, m n = c n msb u (O n ). Pro poslední blok dat, který může mít jen u bitů (msb - most significant bits) se neprovádí padding. Operace XOR se provede jen pro těchto u platných bitů. KPB 2017/18, 6. přednáška 30

31 Kryptografie a počítačová bezpečnost DES KPB 2017/18, 6. přednáška 31

32 Feistelova síť (1) Použité pojmy: délka bloku, počet kroků, algoritmus generování podklíče, funkce f kroku, iterovaná šifra Feistelova síť: n kroků (iterací, rund), všechny jsou identické. Blok zprávy m i se dělí na dvě poloviny L i, R i Klíč k se dělí na podklíče k i Funkce f kroku se aplikuje na R i pomocí k i : L i = R i-1, R i = L i-1 f(r i-1,k i ). V f se uplatňují S-boxy a P-boxy. Dešifrování je totožný proces jako šifrování, podklíče se používají v opačném pořadí. KPB 2017/18, 6. přednáška 32

33 Feistelova síť (2) f f KPB 2017/18, 6. přednáška 33

34 DES (1) Standard Patent 1975, Od r.1977 do (s výhradami) r.1998 standard FIPS PUB 46-2, také ANSI (American National Standard) X /R1987. Režimy činnosti DESu (později): FIPS PUB 81 ECB, CBC, OFB, CFB, ANSI bankovní standard ECB, CBC pro šifrování, CBC a CFB pro autentizaci. DES založen na proprietárním algoritmu Lucifer (IBM, navržen Feistelem), který měl klíč 128 bitů. Klíč DESu byl zkrácen na 64 (56) bitů (požadavek NSA - implementace na jeden čip) klíčů je 72,057,594,037,927,936 klíčů Ze 64 bitů klíče je každý osmý paritní, proto 56-bitový klíč Iterovaná šifra 16 iterací (rund) KPB 2017/18, 6. přednáška 34

35 Útoky na DES (1) Praktický útok malá délka klíče DES cracker (Deep Crack), , HW stroj, cena útoku USD ( za HW) 29 desek se 64 čipy, testování 90 MLD klíčů/sec. umožňuje bruteforce attack do 9 dní Výzva DES Challenge III, za 22 hod.15 min., kombinace Distributed.Net (okolo PC ) a Deep Crack ( ) KPB 2017/18, 6. přednáška 35

36 Deep Crack (2) 36