Kryptoanalýza CSA. Jakub Marek

Transkript

1 České vysoké učení technické v Praze Fakulta elektrotechnická ČVUT FEL katedra počítačů Diplomová práce Kryptoanalýza CSA Jakub Marek Vedoucí práce: Ing. Jan Schmidt, Ph.D. Studijní program: Elektrotechnika a informatika dobíhající magisterský Obor: Informatika a výpočetní technika leden 2008

2 ii

3 Poděkování Chtěl bych poděkovat v prvé řadě svému školiteli Ing. Janu Schmidtovi, Ph.D. za vstřícnou spolupráci a cenné rady. Zároveň bych chtěl poděkovat svým blízkým za úžasné prostředí, které mi během vypracovávání práce vytvářeli. iii

4 iv

5 Prohlášení Prohlašuji, že jsem svou diplomovou práci vypracoval samostatně a použil jsem pouze podklady uvedené v přiloženém seznamu. Nemám závažný důvod proti užití tohoto školního díla ve smyslu 60 Zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon). V Praze dne v

6 vi

7 Abstract This diploma thesis provides a general overview of cryptography and cryptanalysis. It is focused in detail on the ciphers DES, Zodiac and CSA which are recently in use. A part of this work is also an analysis of robustness of those ciphers in relation to number of rounds and chosen cryptanalytic method. First section (review) consists of description of cipher modes, important definitions, cipher algorithms characterization and cryptanalytic method description. Second section is more practically focused and it demonstrates the robustness of DES, Zodiac and CSA when attacked by linear, differential and algebraic analysis, respectively. The robustness analysis results are in accordance with our prediction. CSA appears to be the most stabile ciphering system followed by Zodiac and DES, which is limited by short key length. The most effective attack seems to be the linear cryptanalysis which enabled to get over the highest number of rounds for each of tested ciphers. Although the algebraic cryptanalysis has a great potential and should be promoted in the future. Abstrakt Tato diplomová práce poskytuje přehled základní problematiky šifrovacích systémů. Podrobněji se zaměřuje na v současnosti používané šifry DES, Zodiac a CSA a její součástí je také analýza odolnosti těchto šifer v závislosti na použité kryptoanalytické metodě a počtu rund dané šifry. První část práce je tedy věnována vlastní rešerši a zejména přehledu jednotlivých šifrovacích módů, definicím důležitých pojmů, popisu bezpečnostních rizik, algoritmů samotných šifer a krytoanalytických metod. Druhá část práce demonstruje odolnost šifer DES, Zodiac a CSA vůči lineární, diferenciální a částečně algebraické analýze. Z výsledků vyplývá, že CSA je, dle předpokladů, nejstabilnějším šifrovacím systémem oproti šifře Zodiac a v poslední řadě DES, kterou znatelně omezuje krátká délka klíče. Nejefektivněji se jevila lineární kryptoanalýza, kterou bylo možné za daných podmínek u všech šifer překonat nejvyšší počet rund. Do budoucna lze však počítat především s uplatněním perspektivní algebraické kryptoanalýzy. vii

8 viii

9 Obsah Seznam obrázků Seznam tabulek xi xiii 1 Úvod 1 2 Specifikace cílů práce 2 3 Úvod do kryptografie vybraných šifer Terminologie a dělení šifer Operační módy blokových šifer ECB (Electronic CodeBook ) mód CBC (Cipher Block Chaining ) mód CFB (Cipher FeedBack ) mód OFB (Output FeedBack ) mód Popis šifer DES, Zodiac, CSA a KeeLoq Data Encryption standard Úvodní analýza Šifrování Feistelova funkce Rundové podklíče Dešifrování Zodiac KeeLoq Common Scrambling Algorithm Kryptoanalytické metody Druhy útoků Útok hrubou silou Lineární kryptoanalýza Diferenciální kryptoanalýza Algebraická kryptoanalýza Kritéria pro hodnocení odolnosti šifer Vlastní kryptoanalýza vybraných šifer Minimální matematický aparát Útok lineární kryptoanalýzou Útok diferenciální kryptoanalýzou Útok algebraickou kryptoanalýzou Srovnání odolnosti šifer DES, Zodiac a CSA 43 7 Závěr 44 8 Seznam literatury 45 ix

10 A Seznam použitých zkratek 49 B Stavební prvky DES 51 C Vyjádření SBOXů DES v ANF 55 D Vyjádření SBOXů CSA v ANF 59 D.1 Bloková část D.2 Proudová část E Vyjádření SBOXů Zodiac v ANF 63 F Lineární aproximační tabulky DES 69 G Lineární aproximační graf S-BOXu blokové části CSA 73 H Lineární aproximační graf S-BOXů šifry Zodiac 75 I Diferenční distribuční tabulky DES 77 J Diferenční distribuční graf S-BOXu blokové části CSA 81 K Diferenční distribuční graf S-BOXů šifry Zodiac 83 L Průchod kryptosystémem DES lineárními aproximacemi 85 M Průchod kryptosystémem DES s pomocí diferenční tabulky 87 N Obsah přiloženého DVD 89 x

11 Seznam obrázků 3.1 Základní schéma šifrovacích algoritmů Módy blokových šifer ECB - Šifrování ECB - Dešifrování CBC - Šifrování CBC - Dešifrování CFB - Šifrování CFB - Dešifrování OFB - Šifrování OFB - Dešifrování DES - Lavinový efekt DES - Šifrování DES - Výpočet Feistelovy funkce DES - Výběr podklíčů DES - Dešifrování Zodiac - Šifrování Zodiac - Permutace Zodiac - Feistelova funkce Zodiac - Výběr podklíčů KeeLoq - Šifrování KeeLoq - Dešifrování CSA - Kompletní algoritmus CSA - Bloková část algoritmu CSA - Proudová část algoritmu Diferenciální kryptoanalýza - Bumerangový útok (Boomerang attack) Úspěšnost linearizace jedné rundy Počet rund napadnutelných lineární kryptoanalýzou Procentuelní vyjádření počtu rund napadnutelných lineární kryptoanalýzou Srovnání různých přístupů diferenciální kryptoanalýzy Počet rund napadnutelných diferenciální kryptoanalýzou Procentuelní vyjádření počtu rund napadnutelných diferenciální kryptoanalýzou Srovnání celkového počtu rund G.1 Lineární aproximační graf S-BOXu blokové části CSA H.1 Lineární aproximační graf S-BOXu S 1 (45 x ) šifry Zodiac H.2 Lineární aproximační graf S-BOXu S 2 (GF (2 8 )) šifry Zodiac J.1 Diferenční distribuční graf S-BOXu blokové části CSA K.1 Diferenční distribuční graf S-BOXu S 1 (45 x ) šifry Zodiac K.2 Diferenční distribuční graf S-BOXu S 2 (GF (2 8 )) šifry Zodiac L.1 Příklad průchodu kryptosystémem DES lineárními aproximacemi M.1 Příklad průchodu kryptosystémem DES pomocí distribučně diferenčních tabulek 87 N.1 Obsah přiloženého DVD xi

12 xii

13 Seznam tabulek 3.1 DES - slabé klíče DES - poloslabé klíče DES - počáteční permutace P P DES - inverzní počáteční permutace P P Tabulka možných vstupů pro S 1, X = 0x Tabulka možných klíčů pro S 1, X = 0x34, Y = 0x0D B.1 DES - Expanzní permutace E u Feistelovy funkce B.2 DES - permutace P u Feistelovy funkce B.3 DES - rotace u výběru podklíče B.4 DES - permutace P 1 při výběru podklíče B.5 DES - permutace P 2 při výběru podklíče F.1 Lineární aproximační tabulka - DES(FIPS 46-3) SBOX 5 část F.2 Lineární aproximační tabulka - DES(FIPS 46-3) SBOX 5 část I.1 Diferenční distribuční tabulka - DES(FIPS 46-3) SBOX 1 část I.2 Diferenční distribuční tabulka - DES(FIPS 46-3) SBOX 1 část xiii

14 xiv

15 KAPITOLA 1. ÚVOD 1 1 Úvod Během posledních let se výpočetní výkon počítačů zněkolikanásobil. Současný moderní svět je na počítačových technologiích bezpochyby závislý a tak jejich vývoj žene neustále dopředu. Obrovská množství dat, která proudí především prostředím internetu jsou také bezpečnostním problémem nebot není možné, aby data byla zachytitelná pouze příjemcem. Současně s vývojem počítačové technologie tak probíhá vývoj kryptografický, vývoj zabezpečovacích technologií. Jaké má tedy tento vývoj dopady na současnou kryptografii? Příkladem je velice dobře známá bloková šifra DES (Data Encryption Standard). Ta byla vyvinuta v sedmdesátých letech dvacátého století a v listopadu roku 1976 byla v USA zvolena za šifrovací standard. Od té doby se velice rozšířila a používaly ji bankovní instituce, vládní ústavy, ale i domácnosti. Již roku 1977 byl však navržen kryptology Diffiem a Hellmanem stroj, který by při své tehdejší ceně 20 miliónů dolarů dokázal tento 56 bitový algoritmus prolomit za jediný den. Následně v roce 1993 přišel Michael J. Wiener s návrhem dešifrovacího zařízení, který by bylo možné zkonstruovat za jeden milión dolarů a dokázalo by najít použitý klíč do sedmi hodin. Stále klesala cena za tyto dešifrátory a v roce 1998 se pohybovala již jen kolem čtvrt milionu dolarů, později dokonce pouhých sta tisíc. Proto bylo v roce 2004 na základě zpracovaného hodnocení NIST navrženo zrušení FIPS 46-3 (DES) jako šifrovacího standardu. Pro zajímavost, v letošním roce lze dešifrovací stroj (COPACOBANA) pořídit přibližně za deset tisíc amerických dolarů. Je toto osud, který jednou potká každou šifru nebo již současní kryptografici vyvinuli šifru neprolomitelnou, jak se v této souvislosti spekuluje o šifře CSA? Protože se jedná o aktuální a stále se dynamicky vyvíjející problematiku, která mne velmi zaujala, rozhodl jsem se na toto téma vypracovat svoji diplomovou práci. V této práci bych chtěl rámcově shrnout současné poznatky z kryptografie (zejména vybraných šifer) a kryptoanalýzy. Chtěl bych se zaměřit na velmi zajímavé šifry DES, Zodiac a CSA, nebot se jedná o zástupce různých typů šifrovacích algoritmů (DES a Zodiac jako zástupci blokových šifer se svým charakterem podobají, zcela se od nich odlišuje velmi nadějná CSA jako kombinace proudové a blokové šifry). Na těchto kryptosystémech bych chtěl ukázat jejich rozdílnou odolnost vůči různým typům útoků, kterými bych dané šifry otestoval. Velmi zajímavé je při takových analýzách také sledování asymptotické složitosti algoritmů použitých ke kryptoanalýze v závislosti na použitým počtu rund nebo délce klíče samotné šifry. Celkově bych ve své práci chtěl přiblížit kryptologii a jako zástupce šifer pak především zmiňované DES, Zodiac a CSA. Zároveň bych chtěl demonstrovat možnosti kryptoanalýzy a to především v závislosti na komplexnosti daného šifrovacího systému a počtu rund šifrovacího procesu.

16 2 KAPITOLA 2. SPECIFIKACE CÍLŮ PRÁCE 2 Specifikace cílů práce V rámci své diplomové práce z oboru kryptologie se, v souladu se zadáním, pokusím charakterizovat současné metody šifrování dat, a to zejména na příkladech šifer CSA (Common Scrambling Algorithm), DES (Data Encryption Standard) a Zodiac. Tato práce by měla být rešeršní (srovnávací). Dále se budu věnovat metodám analýzy šifrovaného textu a to opět se zaměřením na šifry CSA, DES a Zodiac. V této části se pokusím o charakterizaci jednotlivých útoků, především pomocí lineární, diferenciální a algebraické kryptoanalýzy a jejich omezení. Ve srovnávací části práce bych se následně pokusil o analýzu a srovnání jednotlivých šifrovacích algoritmů a jejich robustnosti. Rád bych demonstroval odolnost jednotlivých druhů šifer (CSA, DES a Zodiac) v závislosti na charakteru použitého útoku a počtu rund. Vzhledem k blokovému charakteru šifer DES a Zodiac jsem se pro účely srovnání rozhodl vybrat také blokovou část šifry CSA. Výsledná data by měla odpovídat komplexitě a pokročilosti šifrovacího algoritmu a tedy CSA jako nejmodernější z šifer by měla vykazovat nejvyšší odolnost následována šifrou Zodiac. Případné odchylky od předpokládaného chování šifer budou diskutovány.

17 KAPITOLA 3. ÚVOD DO KRYPTOGRAFIE VYBRANÝCH ŠIFER 3 3 Úvod do kryptografie vybraných šifer Kryptologie je věda zabývající se naukou o šifrách. Tedy o textu, který bývá zašifrován pomocí určitého klíče a bez něho by nikdo neměl být schopen text číst či případně modifikovat. Samotným šifrováním se pak zabývá kryptografie. Analýzou odolnosti šifrovací algoritmů, jejich klíčů a jejich prolamováním se zabývá kryptoanalýza. V následujících částech práce se pokusím o analýzu daných kryptosystémů a jejich odolnosti. V této kapitole budou zavedeny pojmy důležité pro pochopení následujícího textu a popsány konkrétně šifry CSA, DES a Zodiac jenž budou dále analyzovány. 3.1 Terminologie a dělení šifer Poněkud teoretičtější podkapitola, která je věnovaná především definicím nezbytným k popisu kryptografických systémů. Definice jsou převážně přejaty z [Klí05]. V prvé řadě definujeme pojem šifra, resp. kryptografický systém pro šifrování zpráv: Definice Kryptografický systém pro šifrování zpráv (šifra) Kryptografický systém pro šifrování zpráv je pětice (P, C, K, E, D), kde P je prostor otevřených zpráv, C prostor šifrových zpráv a K prostor klíčů. E, D je dvojice zobrazení, které pro k K definují transformaci pro zašifrování zpráv E k a transformaci pro dešifrování zpráv E k : P C : p c (3.1) D k : C P : c p, (3.2) přičemž platí k K, p P : D k (E k (p)) = p. (3.3) Klíč k Klíč k Otevřený text p Veřejně přístupný komunikační kanál Otevřený text p Šifrovací Algoritmus E() Dešifrovací algoritmus D() Šifrovaný text c Obrázek 3.1: Základní schéma šifrovacích algoritmů Poznámka Šifrovací a dešifrovací klíče se mohou lišit Obrázek 3.1 demonstruje použití kryptografie v praxi. Při přenosu dat přes nezabezpečený kanál, který je možno odposlouchávat, je pro zachování určitého standardu zabezpečení nutné šifrovat. V závislosti na použitých šifrovacích a dešifrovacích klíčích se soudobá kryptografie dělí na symetrickou a kryptografii s veřejným klíčem (asymetrickou).

18 4 KAPITOLA 3. ÚVOD DO KRYPTOGRAFIE VYBRANÝCH ŠIFER Definice Symetrický kryptografický systém pro šifrování zpráv (symetrická šifra) Symetrická šifra je taková šifra, kde pro každé k K lze z transformace zašifrování E k určit transformaci dešifrování D k a naopak. Definice Asymetrický kryptografický systém pro šifrování zpráv (asymetrická šifra) Asymetrická šifra je taková šifra, kde pro téměř všechna k K nelze z transformace pro zašifrování E k určit transformaci pro dešifrování D k. V praxi je u asymetrických šifer klíč k tajným nastavením, z kterého se vhodnou transformací G vygeneruje dvojice parametrů (e, d), které se nazývají po řadě veřejný (e) a privátní (d) klíč. Zjednodušeně řečeno symetrická kryptografie používá stejný klíč pro šifrování i dešifrování. Hlavním problémem je distribuce tohoto klíče. Asymetrická kryptografie využívá několika klíčů a řeší tak jejich distribuci. Zpravidla je zpráva zašifrována veřejným klíčem příjemce a ten si zprávu dešifruje pomocí svého soukromého klíče. Kryptografie s veřejným klíčem má větší nároky na délku klíče, v současnosti se tudíž používá tzv. hybridní kryptografie, která využívá obou těchto metod. V této práci se budu zabývat pouze symetrickou kryptologií. Symetrické šifry se podle základního principu dělí na blokové a proudové šifry. Definice Symetrická bloková šifra Necht A je abeceda q symbolů, t N a P, C je množina všech řetězců délky t nad A. Necht K je množina klíčů. Bloková šifra je šifrovací systém (P, C, K, E, D), kde E a D jsou zobrazení, definující pro každé k K transformaci zašifrování E k a dešifrování D k tak, že zašifrování bloků otevřeného textu p(1), p(2), p(3),..., (kde p(i) P pro každé i N) probíhá podle vztahu i N : c(i) = E k (p(i)) (3.4) a dešifrování podle vztahu i N : p(i) = D k (c(i)). (3.5) Definice Symetrická proudová šifra Necht A je abeceda q symbolů, necht P, C je množina všech konečných řetězců nad A a necht K je množina klíčů. Proudová šifra se skládá z transformace (generátoru) G, zobrazení E a zobrazení D. Pro každý klíč k K generátor G vytváří posloupnost hesla h(1), h(2),..., přičemž prvky h(i) reprezentují libovolné substituce E h (1), E h (2),... nad abecedou A. Zobrazení E a D každému klíči k K přiřazují transformace zašifrování E k a dešifrování D k. Zašifrování otevřeného textu p = p(1), p(2),... probíhá podle vztahu c(1) = E h(1) (p(1)), c(2) = E h(2) (p(2)),... (3.6)

19 KAPITOLA 3. ÚVOD DO KRYPTOGRAFIE VYBRANÝCH ŠIFER 5 a dešifrování šifrového textu c = c(1), c(2),... probíhá podle vztahu kde D h(i) = E h(1) 1. p(1) = D h(1) (c(1)), p(2) = D h(2) (c(2)),..., (3.7) Pokusil bych se pokusil o částečné zjednodušení těchto pojmů. V případě blokové šifry se otevřený text rozdělí na bloky odpovídající velikosti bloku šifrovacího algoritmu. Každý blok je pak samostatně zašifrován. Proudové šifry využívají změn vnitřních stavů a to jim dovoluje šifrovat otevřený text po jednotlivých prvcích. Zpravidla to bývá po bitech. U blokových šifer se naskýtá několik implementačních problémů, které bych rád zmínil. Otevřený text většinou nebývá přesně dělitelný velikostí bloku. Proto se doplňuje o další bity do požadované velikosti - proces tzv. zarovnání. Doplňuje se o náhodné bity, ale tak aby je byl příjemce schopen rozlišit. Nejjednodušším způsobem je blok doplnit o jedničky či nuly. Poněkud elegantnějším způsobem je vzít poslední kompletní blok otevřeného textu. Ten exklusivně sečíst (XORovat) s neúplným blokem. Tím získáme kompletní blok. Útočníkovy neposkytujeme příliš informací o obsahu těchto bloků 1 a příjemce bez problémů tyto doplněné bity odliší. Důležité je také řešit, co všechno šifrovat. Enigma byla rozluštěná hlavně díky tomu, že jí byly zašifrovány zprávy o počasí a podobné texty s předpokládaným obsahem. Dnešní šifry jsou už silnější a měly by odolávat útokům se známým otevřeným textem (viz kapitola Druhy útoků). Ale i tak možná bezpečnostní rizika snížíme, pokud případnému útočníkovi poskytneme pouze minimální informace o otevřeném textu. Důležité tedy je snažit se nešifrovat protokoly a obdobné texty s předvídatelnou strukturou. Další dlouho diskutovanou otázkou je, jak nakládat s kontrolními součty. Pokud bychom je šifrovali, poskytneme další informaci o otevřeném textu. Ostatně pokud bychom je nešifrovali tak také. Ukázalo se, že nejlepší možností je přikládat pouze kontrolní součet šifrovaného textu v otevřené podobě. K tomu ovšem musí být přizpůsoben i náš kryptografický software. Jakým způsobem pracovat s bloky šifrovaného textu a s případným generování počátečního vektoru se zabývá následující kapitola Operační módy blokových šifer. Historie kryptografie sahá asi do 5. až 6. století př. n. l. Nejstaršími šiframi byly například Caesarova šifra či spartská skytála. Jsou to příklady substituční šifry a transpoziční šifry. Caesarova substituční šifra využívá posun písmen v abecedě o konstantní počet znaků. Poznámka U substitučních šifer nemusí jít pouze o posun v abecedě, ale o libovolné zpřeházení. Spartská skytála je naopak šifrou transpoziční. Odesílatel a příjemce museli mít válec o stejném průměru, aby zprávu dešifrovali. Po spirálovitém omotání pergamenové pásky se zprávou byl text opět čitelný. Nyní se podívejme na definice substitučních a transpozičních šifer. Definice Substituční šifra Necht A je abeceda q symbolů a P, C je množina konečných řetězců nad A. Necht K je množina všech permutací na množině A. Substituční šifra je zpravidla bloková šifra s délkou 1 Poskytneme bohužel informaci, ačkoli neúplnou, o diferenci otevřeného a šifrovaného textu, kterou lze použít pro případný útok diferenciální analýzou.

20 6 KAPITOLA 3. ÚVOD DO KRYPTOGRAFIE VYBRANÝCH ŠIFER bloku 1 znak. Je tvořená pěticí (P, C, K, E, D), kde E a D jsou zobrazení, definující pro každé k K transformaci zašifrování E k a dešifrování D k tak, že E k = k a D k = k 1, tedy pro každé i N zašifrování znaku p(i) A otevřeného textu na šifrový text c(i) probíhá podle vztahu c(i) = E k (p(i)) (3.8) a dešifrování podle vztahu p(i) = D k (c(i)). (3.9) Definice Transpoziční šifra Necht A je abeceda q symbolů, t N a P = C je množina všech řetězců délky t nad A. Necht K je množina všech permutací na množině 1, 2,..., t. Transpoziční šifra je bloková šifra, tvořená pěticí (P, C, K, E, D), kde E a D jsou zobrazení, definující pro každé k K transformaci zašifrování E k a dešifrování D k tak, že E k : P C : p c = (c 1,..., c t ) = (p k(1), p k(2),..., p k(t) ) (3.10) a D k : C P : c p = (p 1, p 2,..., p t ) = (c l(1), c l(2),..., c l(t) ), (3.11) kde l = k 1. Při základní kryptoanalýze blokových šifrovacích algoritmů zkoumáme nejdříve základní požadované vlastnosti šifer. Jednak statické: vzájemná nekorelovatelnost otevřeného textu a šifrovaného textu, klíče a šifrovaného textu. A analytické vlastnosti: konfuze, difuze, úplnost, lavinovost... Jsou to konstanty popisující základní charakteristiky kryptografických algoritmů. Pojmy difuze a konfuze souvisí právě se zmiňovanými pojmy substituce a transpozice. Konfuze vyjadřuje složitost vztahu mezi klíčem a šifrovaným textem. Pro zajištění vysoké konfuze používáme permutaci. Difuze popisuje, jak jsou statistické vlastnosti otevřeného textu napříč šifrovým textem. K tomu se využívá transpozice u historických šifer, permutace v moderních metodách. Lavinovost popisuje kolik bytů šifrovaného textu se změní při změně jednoho bitu klíče, resp. otevřeného textu. Dále se snažíme nalézt slabé a poloslabé klíče a tyto klíče se při implementaci kryptografických aplikací snažíme zakázat. Definice Slabý klíč Necht je definován kryptografický systém S = (P, C, K, E, D), kde E a D jsou zobrazení, definující pro každé k K transformaci zašifrování E k a dešifrování D k. Jestliže platí pak takový klíč k nazýváme slabým klíčem. Definice Poloslabé klíče k K, X : E k (X) = X, Necht je definován kryptografický systém S = (P, C, K, E, D), kde E a D jsou zobrazení, definující pro každé k K transformaci zašifrování E k a dešifrování D k. Jestliže platí k 1, k 2 K, X : E k2 (E k1 (X)) = X,

21 KAPITOLA 3. ÚVOD DO KRYPTOGRAFIE VYBRANÝCH ŠIFER 7 pak takovou dvojici klíčů k 1, k 2 nazýváme poloslabými klíči. Jednou ze základních struktur moderních blokových kryptosystémů je Feistelova sít. Zakládá na tom, že blok textu rozdělí na dvě části L i a R i, kter0 jsou pak dále iterovány podle vztahu L i = R i 1 (3.12) R i = L i 1 f(r i 1, K). (3.13) Feistelova sít 2 je involuční. Je to zajímavá vlastnost, která se často v kryptografii využívá. Znamená, že toto zobrazení je samo k sobě inverzní. Abychom získali původní vstup, stačí znovu aplikovat postup. Ukažme si to na příkladu XORu, který je také involuční: (86) 10 (54) 10 = ( ) 2 ( ) 2 = ( ) 2 = (96) 10 (3.14) (96) 10 (54) 10 = ( ) 2 ( ) 2 = ( ) 2 = (86) 10 (3.15) Definice Involuce Zobrazení Λ nazýváme involucí, jestliže platí: x : Λ(Λ(x)) = x. Involuce v kryptografii využíváme hlavně proto, že výrazně zjednodušuje proces dešifrování. 3.2 Operační módy blokových šifer Blokové šifry pracují s fixní velikostí bloku otevřeného a šifrovaného textu. V závislosti na typu práce s danými bloky rozlišujeme různé blokové šifry, které pracují v operačních módech. Aby byl daný mód využitelný a neoslaboval celou šifru musí být stejně tak bezpečný a efektivní jako šifra sama. Nejběžněji používanými módy jsou ECB, CBC, CFB a OFB, které jsou součástí norem FIPS PUB 81, ANSI X , ISO 8732 a ISO/IEC 10116, ale existuje i řada dalších jako například CTR (Conter Mode), CCMP (Counter CBC MAC Protocol), ABC (Accumulated Block Chaining), WHF (Whiting-Housley-Ferguson). Většina módů pro počáteční nastavení využívá počátečního vektoru. Pro zvýšení bezpečnostního standardu se používá tzv. metoda solení (salting). Jde o to, že si sice komunikující strany předají pseudo počáteční vektor, ale inicializují kryptosystém podle hodnoty pouze z něho odvozenou (zašifrovaný pseudo počáteční vektor nebo jeho hash). Podrobněji představme nejběžněji používané módy ECB (Electronic CodeBook ) mód Přestože se mód ECB standardně používá, nedoporučuje se, protože nabízí nejnižší úroveň zabezpečení. Každý blok dat je šifrován (resp. dešifrován) samostatně. Šifrování (resp. dešifrování) probíhá podle rovnice: kde N značí počet bloků šifry. i {1..N} : C i = E k (P i ) (3.16) i {1..N} : P i = D k (C i ), (3.17)

22 8 KAPITOLA 3. ÚVOD DO KRYPTOGRAFIE VYBRANÝCH ŠIFER Obrázek 3.2: Módy blokových šifer a) Původní obrázek b) Obrázek zašifrovaný pomocí ECB módu c) Obrázek zašifrovaný v CBC módu Obrázek 3.3: ECB - Šifrování Obrázek 3.4: ECB - Dešifrování Metoda šifrování (resp. dešifrování) je zobrazena na obrázku 3.3 (resp. 3.4) Hlavní výhodou tohoto módu je nezávislost bloků. Můžeme tudíž bloky dat šifrovat (resp. dešifrovat) v libovolném pořadí a nabízí se možnost paralelizace šifrování (resp. dešifrování) dat. Další nezanedbatelnou výhodou je, že při chybě kanálu a poškození jednoho bloku dat je poškozen pouze tento blok a ne celý šifrovaný text. Mezi nevýhody naopak patří, že tento mód zachovává strukturu otevřeného textu (viz obrázek 3.2). Pokud dostaneme na vstup stejný blok otevřeného textu, je zašifrován na stejný šifrovaný blok. Tím se nabízí hned několik možností případného útoku. První poněkud naivní metodou 2 Při použití stejných podklíčů.

23 KAPITOLA 3. ÚVOD DO KRYPTOGRAFIE VYBRANÝCH ŠIFER 9 by bylo sestavení tabulky šifer pro každý klíč a blok textu. Tato metoda v současné době není reálná. Vezmeme-li v úvahu pamět ovou náročnost, potřebovali bychom pro každý blok dat 2 56 t, kde t je velikost bloku. Pro t = 64b dostáváme 2 62 b = 2 54 B = 16P B. Pokud by tabulka měla obsahovat všechny možné bloky dat, dostali bychom se na astronomických b = b = B = 256V B 3. Což nejen, že pro nás není reálná hodnota, ale také by nám samozřejmě samotné generování dat zabralo nereálně dlouhou dobu. Mohli bychom se omezit pouze na často používané bloky, ale i tak dostáváme vysoké hodnoty. Další možností je vytvořit si tabulku šifer pro jeden blok dat, který můžeme předpokládat, že se v otevřeném textu s největší pravděpodobností vyskytne (například hlavičky paketů apod.) a pro každý si uložit použitý klíč. Zde bychom například pro 56 bitový klíč 4 dostali b = B = 14P B. Dešifrování by probíhalo tak, že pro námi zvolený blok dat 5 nalezneme klíč v naší tabulce, ověříme jeho správnost a následně již můžeme celý text dešifrovat podle nalezeného klíče. Obě tyto metody mají stejnou časovou složitost jako samotné prolomení hrubou silou. Jejich výhodou je možnost opětovného použití bez dalšího generování. Existuje ale i způsob jak tabulku šifer sestavovat i bez znalosti klíče. Využíváme, že se části zpráv opakují a že mohou nabývat určitých hodnot. Kompletní dekódování je náročné, ale poměrně snadná je modifikace zprávy. V současné době se tento mód používá hlavně u šifrování krátkých zpráv, například při rozesílání klíčů, kde se negativní vlastnosti tolik neprojevují. Dále pak se tento mód používá u poruchových spojů, kde není kladen velký důraz na bezpečnost CBC (Cipher Block Chaining ) mód Dalším módem je asi nejpoužívanější mód CBC. Jde již o polyalfabetický mód narozdíl od předchozího monoalfabetického módu ECB. Zavádí kontextovou závislost jednotlivých bloků tím, že je při šifrování každý blok otevřeného textu exklusivně sečten (XORován) s předchozím blokem šifrovaného textu: i {1..N} : C i = E k (P i C i 1 ) (3.18) i {1..N} : P i = C i 1 D k (C i ) (3.19) K prvnímu bloku je přičten náhodně generovaný inicializační vektor. Ten se snaží zaručit, že zašifrování dvou stejných zpráv bude mít různý výsledek. Vektor se ukládá jako nultý šifrovaný blok bez XORování a nebo je uložen přímo v otevřené podobě. Pro větší názornost jsou uvedeny schémata pro šifrování a dešifrování v CBC módu - obrázek 3.5 a 3.6. Pokud při přenosu dojde k výskytu chyby v bloku počátečního vektoru, budou nesprávně dešifrovány všechny bloky. Na druhou stranu při případném útoku nestačí získat klíč, ale i počáteční vektor 6 a to tento mód činí bezpečnějším. 3 [čti venta bajt] 4 Na velikosti bloku pamět ová náročnost nezávisí. Na té závisí pouze doba přístupu. Při předpokládaném použití hashového pole je přístup v konstantním čase pouze pokud se zde nevyskytují duplicity. 5 Pokud lokaci referenčního bloku neznáme, můžeme vyzkoušet pro všechny bloky šifrovaného textu. 6 V praxi to znamená dešifrovat alespoň dva po sobě následující bloky, nejen jeden.

24 10 KAPITOLA 3. ÚVOD DO KRYPTOGRAFIE VYBRANÝCH ŠIFER Obrázek 3.5: CBC - Šifrování Obrázek 3.6: CBC - Dešifrování CFB (Cipher FeedBack ) mód Mód CFB již využívá vlastností proudových šifer a blokový algoritmus převádí na proudovou šifru s vlastní synchronizací. Opět používá náhodně generovaný počáteční vektor, který se opět snaží odlišit výstupy stejných otevřených textů. Tento mód umožňuje přenos zprávy o méně bitech než je velikost bloku. Šíření chyb je obdobné jako u CBC módu. CFB zašifruje inicializační vektor a vytvoří tak výstupní blok. Dále jsou exkluzivně sečteny následující bity výstupního bloku s bity otevřeného textu. Tak je vytvořen šifrovaný text. Jakmile je jedna bloková hodnota šifrovaného textu vytvořena, stává se vstupem k blokové šifře pro vytvoření dalšího výstupního vektoru a proces se opakuje. Podrobněji viz obr. 3.7 a 3.8. i {1..N} : C i = E k (C i 1 ) P i (3.20) i {1..N} : P i = D k (C i 1 ) C i (3.21) Obrázek 3.7: CFB - Šifrování

25 KAPITOLA 3. ÚVOD DO KRYPTOGRAFIE VYBRANÝCH ŠIFER 11 Obrázek 3.8: CFB - Dešifrování OFB (Output FeedBack ) mód Obdoba módu CFB jejíž výhodou je, že se chyby nešíří. Na druhou stranu je však snadněji napadnutelný něž CFB. V tomto módu je výstup blokové šifry využit zpětně jako vstup a vytváří se pomocí něj další blok. Za sebou jdoucí bity výstupu blokového šifrovaného textu jsou exkluzivně sečteny s otevřeným textem pro vytvoření nového šifrovaného textu. Algoritmus šifrování i dešifrování je identický. Podrobněji viz obr. 3.9 a i {1..N} : C i = P i O i (3.22) i {1..N} : P i = C i O i (3.23) i {1..N} : O i = E k (O i 1) (3.24) Obrázek 3.9: OFB - Šifrování 3.3 Popis šifer DES, Zodiac, CSA a KeeLoq Pro následující podrobnější analýzy DES, Zodiac a CSA, je potřeba nejdříve pochopit základní principy, jak tyto šifry fungují Data Encryption standard DES je symetrická šifra vyvinutá v 70. letech organizací NBS (dnes NIST) a v listopadu roku byla v USA zvolena za šifrovací standard [Pub93][Pub04]. V literatuře se můžeme setkat 7 publikována 19.ledna 1977

26 12 KAPITOLA 3. ÚVOD DO KRYPTOGRAFIE VYBRANÝCH ŠIFER Obrázek 3.10: OFB - Dešifrování Slabé klíče FEFE FEFE FEFE FEFE 1F1F 1F1F 0E0E 0E0E 0E0E 0E0E 1F1F 1F1F Tabulka 3.1: DES - slabé klíče i s názvem DEA (Data Encryption Algorithm). Jedná se o blokovou Feistelovou sít s délkou bloku 64 bitů. Používá délku klíče 56 bitů a má 16 rund. Někde se uvádí 64 bitový klíč, ale pak se 8 bitů považuje za paritní. Původně byla odvozena od kryptosystému Lucifer. Protože jde o druh Feistelovy sítě, můžeme algoritmus zařadit bez hlubší analýzy mezi substitučně permutační sítě (SPN). DES je obvykle užíván v módu CBC či CFB Úvodní analýza Kryptosystém DES má ze svých 2 56 právě 4 slabé klíče (viz tabulka 3.1) a 6 poloslabých párů (tabulka 3.2) 8. Jednou z jeho pozitivních vlastností je dobrá lavinovost. Platí, že při změně jednoho bitu (nebo více) otevřeného textu či klíče, se šifrovaný text změní v průměru o padesát procent (viz obrázek 3.11) Šifrování V první části šifrovacího procesu je vstupní blok otevřeného textu p = (p 0,...p 63 ) permutován na klíči nezávislou počáteční permutací. Ta je definována tabulkou 3.3. Označme si jí PP. Prvky tabulky jsou očíslovány z leva do prava, od shora dolů. Pak permutovaný text p pp dostaneme vztahem: p pp P P (i) = p i, i {0,..., 31} (3.25) 8 Potenciálně slabých je ještě dalších 256 klíčů. 31 P pp = p i 2 P P (i) (3.26) i=0

27 KAPITOLA 3. ÚVOD DO KRYPTOGRAFIE VYBRANÝCH ŠIFER 13 prumerny pocet zmenenych bitu v sifrovanem textu [%] DES - Lavinovy Efekt pocet zmenenych bitu v klici [-] Obrázek 3.11: DES - Lavinový efekt Testováno na 5MB vzorku Následně je rozdělen na dvě 32 bitové části L 0 = (p 0,.., p 31 ) a P 0 = (p 32,..., p 63 ). Ty jsou dále iterovány v šestnácti rundách. Každé L i a R i je odvozeno od předchozích podle následujícího předpisu pro Feistelovu sít : L i = R i 1 R i = L i 1 f(r i 1, K i ) (3.27) Důležité je, aby podklíče použité v rundách byly různé. Jinak by bylo možné provést útok s možností výběru otevřeného textu [BP82]. V posledním kole jsou obě části opět spojeny a na celý tento blok je aplikována další permutace, inverzní k počáteční. Permutace P P 1 je opět zadána tabulkou 3.4 a výsledný šifrovaný text dostaneme vztahem: c P P 1 (i) = x i, i {0,..., 31} (3.28) Poloslabé 01FE 01FE 01FE 01FE 1FE0 1FE0 0EF1 0EF1 01E0 01E0 01F1 01F1 1FFE 1FFE 0EFE 0EFE 011F 011F 010E 010E E0FE E0FE F1FE F1FE klíče FE01 FE01 FE01 FE01 E01F E01F F10E F10E E001 E001 F101 F101 FE1F FE1F FE0E FE0E 1F01 1F01 0E01 0E01 FEE0 FEE0 FEF1 FEF1 Tabulka 3.2: DES - poloslabé klíče

28 14 KAPITOLA 3. ÚVOD DO KRYPTOGRAFIE VYBRANÝCH ŠIFER Tabulka 3.3: DES - počáteční permutace P P Tabulka 3.4: DES - inverzní počáteční permutace P P 1 31 C = x i 2 P P 1 (i) i=0 (3.29) Přičemž platí i {0, 31}, x i : x i = x i 2 P P (i) 2 P P 1 (i) = x i 2 P P (i)+p P 1 (i) = x i (3.30) x i = x i 2 P P 1 (i) 2 P P (i) = x i 2 P P 1 (i)+p P (i) = x i (3.31) Počáteční a inverzní počáteční permutace slouží pouze k úpravě textů a nemají na bezpečnost DES vliv. Při kryptoanalýze je můžeme úplně zanedbat. Celý tento proces je zobrazen na obrázku Feistelova funkce Průběh výpočtu Feistelovy funkce je zobrazen na obrázku Pravý 32 bitový blok textu je pomocí expanzní permutace E rozšířen na 48 bitů. Ty jsou exklusivně sečteny s 48 bitovým podklíčem a následně rozděleny po 6 bitech pro vstup do osmi S-BOXů. Tabulky jednotlivých S-BOXů nalezneme v příloze. Každý S-BOX má 6 vstupních a 4 výstupní bity. Výstupy z S-BOXů jsou následně spojeny do 32 bitového bloku a dále permutovány permutací P.

29 KAPITOLA 3. ÚVOD DO KRYPTOGRAFIE VYBRANÝCH ŠIFER 15 Obrázek 3.12: DES - Šifrování Rundové podklíče Jak jsme již zmínili, je žádoucí aby podklíče použité ve Feistelově síti byly různé v každé rundě. Odvozují se od hlavního 56 bitového klíče. Podklíče mají pouze 46 bitů. Proces výběru podklíčů je zobrazen na obrázku Jako hlavní klíč je brán 64 bitový klíč, z něhož jsou odstraněny paritní bity a celý blok je permutován permutací P1 (tabulka B.4). Následně je rozdělen na dva 28 bitové bloky C 0 a D 0. Bloky C i a D i dostaneme rekurzivně podle tabulky B.3 a následujících vztahů: C i = C i 1 << i T ab (3.32) D i = D i 1 << i T ab (3.33) a podklíč k i spojením bloků C i a D i a permutací P2 (tabulka B.4).

30 16 KAPITOLA 3. ÚVOD DO KRYPTOGRAFIE VYBRANÝCH ŠIFER Obrázek 3.13: DES - Výpočet Feistelovy funkce Dešifrování Proces dešifrování je zobrazen na obrázku Díky tomu, že Feistelova sít je involuční, bude se proces dešifrování od šifrovacího procesu lišit pouze v detailech. Počáteční a inverzní počáteční permutace jsou aplikovány obráceně. Na vstupu je tedy použita inverzní počáteční (tab. 3.4) a na výstupu počáteční permutace (tab. 3.3). Inverzně jsou zadány i vstupy podklíčů do jednotlivých rund Feistelovy sítě, tzn. že jsou zadávány od K 16 do K Zodiac Kryptosystém Zodiac byl navržen v roce 2000 Chang-Hyi Lee-em pro korejskou firmu SoftForum. I když se jedná o poměrně mladý algoritmus, přesto jde opět o 16 rundovou Feistelovu sít obohacenou ovšem o tzv. bělení klíčů (key whitening). Aby se i přes toto vylepšení autor ujistil, že systém nepůjde překonat diferenciální kryptoanalýzou či útokem hrubou silou, zvolil již zde 128 bitový klíč. Šifra Zodiac využívá dva druhy S-BOXů. Prvý je založen na diskrétní exponenciele 45 x, jakou využívá například kryptosystém SAFER. Druhý druh S-BOXů vychází z kryptosystému SHARK, kde se pro výpočet substitucí využívá funkce f(x) = x nad konečným tělesem GF (28 ). 128 bitový blok otevřeného textu je nejprve permutován pomocí permutace, která je zobrazena na obrázku Lze ji zapsat jako soustava rovnic: T = A B C D (3.34) A = A T (= B C D) (3.35)

31 KAPITOLA 3. ÚVOD DO KRYPTOGRAFIE VYBRANÝCH ŠIFER 17 Obrázek 3.14: DES - Výběr podklíčů B = B T (= A C D) (3.36) C = C T (= A B D) (3.37) D = D T (= A B C), (3.38) kde A,B,C,D,A,B,C,D a T jsou 32 bitové registry. Proces šifrování se velice podobá šifrovacímu procesu u DESu a to proto, že obě šifry mají strukturu Feistelovy sítě s šestnácti rundami. Na rozdíl od DESu Zodiac používá 18 podklíčů. Nultý podklíč je exklusivně přičten k levému bloku ihned po permutaci. Sedmnáctý podklíč je opět exklusivně přičten k levému bloku těsně před konečnou permutací. Šifrování probíhá podle vztahu: P 1 = L 0 (3.39) L 1 = P 0 F (L 0 K 1 ). (3.40) Samotnou Feistelovu funkci máme zobrazenou na obrázku Proces dešifrování probíhá analogicky jako u DESu. Vše zůstává stejné, až na pořadí podklíčů.

32 18 KAPITOLA 3. ÚVOD DO KRYPTOGRAFIE VYBRANÝCH ŠIFER Obrázek 3.15: DES - Dešifrování Výběr podklíčů je o něco složitější. Jeho proces je zobrazen na obrázku Pro lepší pochopení doporučuji [Lee00] KeeLoq KeeLoq byl vyvinut v osmdesátých letech Willem Smitem a v roce 1995 byl patent na tento algoritmus prodán za 10 milionů dolarů firmě Microchip Technology Inc. Tento algoritmus se používá například v automobilovém průmyslu pro elektronické zamykání aut. Jedná se o blokový algoritmus s délkou bloku 32 bitů a s délkou klíče 64 bitů. Algoritmus vyniká svojí jednoduchostí, která mu umožňuje využít 528 rund. Je to opět iterativní algoritmus. Vyniká svojí jednoduchostí. Šifrovací a dešifrovací proces je zobrazen na obrázku 3.20 a Šifrování probíhá následovně. Vyberou se bity 1, 9, 20, 26 a 31 (číslované od MSB 31 do LSB 0), označme si po řadě jako x 1, x 2, x 3, x 4 a x 5 a vloží se do zpětnovazebné funkce

33 KAPITOLA 3. ÚVOD DO KRYPTOGRAFIE VYBRANÝCH ŠIFER 19 Obrázek 3.16: Zodiac - Šifrování F (x 1, x 2, x 3, x 4, x 5 ) na schématu označené jako NLF 0x3A5C742E. F (x 1, x 2, x 3, x 4, x 5 ) = = x 4 x 5 x 1 x 3 x 1 x 5 x 2 x 3 x 2 x 5 x 3 x 4 x 4 x 5 x 1 x 4 x 5 x 1 x 3 x 5 x 1 x 2 x 4 x 1 x 2 x 3 (3.41) Tato funkce zde nahrazuje S-BOX a využívá své nelinearity. Výstup z této funkce se exklusivně sečte s 0. a 16. bitem datového bloku a s 0. bitem klíčového bloku. Oba tyto bloky následně rotují o jeden bit vpravo. Nově vytvořený bit přepíše 31. bit. Po skončení všech 528 rund dostáváme v datovém bloku již šifrovaný text. Dešifrování probíhá obdobně. Do funkce F (x 1, x 2, x 3, x 4, x 5 ) vstupuje 0, 8, 19, 25 a 30 bit. Výsledek je exklusivně sečten s 31. a 15. bitem datového bloku a 15. bitem klíče. Oba bloku jsou opět rotovány, tentokrát vlevo. Výsledek přepisuje 0. bit datového bloku. Po průchodu všech rund dostáváme v datovém bloku otevřený text.

34 20 KAPITOLA 3. ÚVOD DO KRYPTOGRAFIE VYBRANÝCH ŠIFER Obrázek 3.17: Zodiac - Permutace Obrázek 3.18: Zodiac - Feistelova funkce Common Scrambling Algorithm Tato velmi komplexní šifra byla vyvinuta v devadesátých letech 20. století, roku 1994 byla specifikována Evropským konsorciem pro standardizaci a následně přijata jako šifra pro přenos kódovaného digitálního televizního vysílání. Dlouho nebyly podrobnosti o CSA šifře veřejné. Až roku 2002 byl uvolněn software FreeDec, software implementující CSA algoritmus (v binárním kódu). Dnes je k dispozici celý kód CSA implementovaný v různých programovacích jazycích. V současné době je tedy většina digitálních kódovaných televizních kanálů již jako daný MPEG- 2 (audio - video kompresní standard) proud šifrována pomocí tohoto algoritmu. Algoritmus CSA vyžaduje pro inicializaci 8 bytové kontrolní slovo (klíč) nezbytné pro následný proces dešifrování zakódovaných televizních služeb. Toto kontrolní slovo se během přenosu televizního signálu mění každých s a obvykle je generováno pomocí přídavného algoritmu/mechanismu. Tento mechanizmus je pak obecně známý kódovací standard televizního kanálu jako např. Irdeto, Cryptoworks nebo NDS. Se znalostí správného inicializačního klíče - kontrolního slova je možné dekódovat daný program. Hlavním omezením je tedy znalost kon-

35 KAPITOLA 3. ÚVOD DO KRYPTOGRAFIE VYBRANÝCH ŠIFER 21 Obrázek 3.19: Zodiac - Výběr podklíčů Obrázek 3.20: KeeLoq - Šifrování trolních slov. CSA je dnes používána téměř všemi evropskými placenými televizními stanicemi a tak prolomení šifry CSA by de facto postihlo celoplošně poskytovatele vysílání.

36 22 KAPITOLA 3. ÚVOD DO KRYPTOGRAFIE VYBRANÝCH ŠIFER Obrázek 3.21: KeeLoq - Dešifrování Na samotný šifrovací algoritmus lze pohlížet jako na vrstvení dvou základních kryptografických funkcí - 64 bitovou blokovou šifru a proudovou šifru - přičemž obě využívají 64 bitový klíč označovaný jak společný klíč (common key) (jejich vzájemné propojení viz obr. 3.22). Pro zašifrování naloženého m-bytového paketu je tento paket rozdělen do bloků o osmi bytech Obrázek 3.22: CSA - Kompletní algoritmus pozn. Obrázek převzatý z [nez03]. (DB i ). Sekvence 8 bytových bloků je zašifrována v opačném pořadí k blokové šifře, která operuje v CBC módu. Poslední výstup z mezibloků IB i (viz obrázek 3.22) je pak použit jako zavaděč pro proudovou šifru.

37 KAPITOLA 3. ÚVOD DO KRYPTOGRAFIE VYBRANÝCH ŠIFER 23 Bloková část šifry Jak již bylo řečeno, využívána je iterativní bloková šifra pracující s jednotlivými byty v blocích o délce 64 bitů. Společný klíč K je též 64 bitový. Každé kolo šifry používá shodnou cyklickou transformaci φ, která bere 8 bytový vektor současně s jedním bytem rozšířeného klíče jako vstup. Rozšířený klíč K e je obvykle 448 bitový a vypočte se rekurzivně jako permutace předem definovaných 64 bitových řetězců následovaná exkluzivním součtem s hexadecimální konstantou (podrobnosti viz [Wir04]). Výstupem je nový 8 bytový vektor. Transformace se opakuje 56-krát. Cyklická transformace φ spočívá v aplikaci nelineárních funkcí f a f, což jsou rozdílné permutace na množině hodnot tvořících S-BOXy šifry. Obě funkce jsou spojeny přes permutaci svých bitů zadanou tabulkami tak, že např. bit 0 funkce f je mapován jako bit 1 ve funkci f, 1 k bitu 7 atd. Pokud S = (s 0,..., s 7 ) bude vektor bytů reprezentujících vnitřní stav blokové šifry v daném kole, pak funkce φ přijímající S z kola i do kola i + 1 může být definována jako: φ(s 0,..., s 7, k) = (s 1, s 2 s 0, s 3 s 0, s 4 s 0, s 5, s 6 f (k s 7 ), s 7, s 0 f(k s 7 )) (3.42) Pro dešifrování bloku šifrového textu C se využije funkce inverzní. Pro šifrování otevřeného textu P = (p 0,..., p 7 ) je tedy potřeba provést tyto operace: S 0 = P (3.43) S r = φ((s r 1, (k 8 r E,..., k E 8r+7)) 1 r 56 (3.44) C = S 56. (3.45) Jejichž výsledkem je šifrovaný text C = (c 0,..., c 7 ). Pro dešifrování je sled operací: S 0 = C (3.46) S r = φ 1 (S r 1, (k E 448 8r,..., k E 455 8r)) 1 r 56 (3.47) Schéma blokové části algoritmu CSA je zobrazeno na obrázku P = S 56. (3.48) Proudová část šifry Touto částí kryptosystému se v rámci analýz v diplomové práci nebudu příliš zabývat, proto ani zde ji nevěnuji velký prostor. Proudová část je o poznání komplikovanější než část bloková. Využívají se zde dva zpětnovazebné posuvné registry (FSR), kombinační obvod s pamětí a řada registrů, kde tři z nich jsou bitové a zbývající jsou pouze pro čtyři bity (viz schéma proudové časti CSA na obr. 3.24). Nové hodnoty pro ne - FSR registry jsou odvozovány ze sedmi 5x2 S Boxů. V rámci proudové šifry se nejprve v inicializačním módu nastaví startovací stav šifry. V druhém módu pak šifra vytváří dva pseudonáhodné bity za jeden časový cyklus. I proudová šifra využívá společný klíč K. Ten je nejprve použit pro nastavení počátečního stavu a déle je nahrán do posuvných registrů.

38 24 KAPITOLA 3. ÚVOD DO KRYPTOGRAFIE VYBRANÝCH ŠIFER Obrázek 3.23: CSA - Bloková část algoritmu pozn. Obrázek převzatý z [nez03].

39 KAPITOLA 3. ÚVOD DO KRYPTOGRAFIE VYBRANÝCH ŠIFER 25 Obrázek 3.24: CSA - Proudová část algoritmu pozn. Obrázek převzatý z [nez03].

40 26 KAPITOLA 4. KRYPTOANALYTICKÉ METODY 4 Kryptoanalytické metody Kryptoanalýza je věda zabývající se zkoumáním a rozbíjením šifer bez přístupu ke klíči. Cílem je samozřejmě dešifrovat požadovaná data, většinou však také získat klíč a tedy schopnost stálého dešifrování. Kryptoanalytické metody odrážejí vlastnosti šifry, ze kterých se snaží těžit a tak se zásadně liší pro symetrické a asymetrické šifry. Většina dnes popsaných kryptoanalytických metod se pokouší v šifře nalézt slabé místo, statisticky podloženou závislost na základě níž lze odvodit něco o chování šifry, nejlépe ve vztahu ke klíči. Nejběžněji používanými analytickými metodami pro symetrické šifry jsou lineární, diferenciální (někdy označovaná jako diferenční) a algebraická kryptoanalýza. Tyto metody se liší hlavními myšlenkami jak přistupovat ke zdolávání šifer a v závislosti na tom jsou také omezeny v použití jen na různé typy šifer např. dle jejich obsažených komponent jako je S-BOX. Lineární kryptoanalýza je obecnou metodou založenou na hledání lineárních aproximací k jednotlivým akcím šifry na rozdíl od diferenciální analýzy, která se pokouší nalézt závislosti mezi rozdíly vstupů a výstupů. Nejméně rozšířenou je algebraická kryptoanalýza, která popisuje šifrovací systém souborem rovnic a ty se snaží řešit. Výběr metody také výrazně ovlivňuje jaký materiál (např. jen šifrované nebo otevřené i odpovídající šifrované texty) má kryptoanalytik k dispozici, viz 4.1. V této kapitole budou popsány typy útoků v závislosti na zdrojových datech a především tři nejzákladnější kryptoanalytické metody: lineární, diferenciální a algebraická kryptoanalýza, v závěru pak kritéria pro hodnocení odolnosti šifer. 4.1 Druhy útoků Použití dané kryptoanalytické metody odráží mimo jiné jaký výchozí materiál máme k dispozici. Zda máme otevřený text, šifrovaný text, obojí nebo i možnost zašifrovat námi vybraný text. Rozhodující pro kryptoanalýzu a zvolení správného postupu může být i částečná znalost vztahů mezi některými klíči. Vždy předpokládáme, že máme kompletní informace o šifrovacím algoritmu. Dle výše uvedeného můžeme útoky podle zdrojových dat rozdělit na: Útok se znalostí šifrovaného textu (ciphertext-only attack) Je takový útok, kde analytik má k dispozici pouze sadu zašifrovaných textů. Takový útok může být úspěšný zejména je-li otevřený text nebo klíč předvídatelný. Pokud tomu tak je, může být oslaben i velmi dobrý šifrovací systém jako tomu bylo v případě Enigmy, kde pravidelně zasílané předpovědi počasí (o předvídatelném obsahu určitých slov) napomohly k prolomení jinak velmi robustního systému. Každá moderní šifra usiluje o poskytnutí ochrany proti tomuto typu útoky, i když je to do jisté míry minimum, nebot tento typ útoku je pro kryptoanalytika nejsložitější. Útok se znalostí otevřeného textu (known-plaintext attack) Přístup k šifrovanému textu je doplněn o přístup k otevřeným textům těchto zpráv a cílem tak je obvykle rozluštění klíče(ů) či rekonstrukce dešifrovacího procesu. Kryptoanalytik vidí transformaci otevřeného v šifrovaný text (tedy samozřejmě pouze vstup a výstup) a kryptoanalýza je tak usnadněna. Klasické šifry jako byla Caesarova (posun abecedy) jsou velmi snadno napadnutelné tímto útokem, zde typicky stačí znalost jediného písmene otevřeného textu a jediného odpovídajícího písmene šifrovaného textu. Útok se znalostí vybraných otevřených textů (chosen-plaintext attack) Další usnadnění přináší kryptoanalytikovi možnost vybrat si otevřené texty, které budou posléze zašifrovány, jako je tomu v tomto případě. Tento typ útoku je samozřejmě účinnější než před-

41 KAPITOLA 4. KRYPTOANALYTICKÉ METODY 27 chozí dva, protože za použití vybraných otevřených textů (např. repetic jednotlivých znaků) můžeme někdy získat více informací o klíči. Cílem útoku je tedy vybrat takové otevřené texty k zašifrování, které poskytnou luštiteli doplňující informace o šifrovacím procesu a sníží tak její bezpečnost. Takové typy útoků jsou v současné době aktuální díky rozšíření veřejných šifrovacích systémů jako je RSA, kde kdokoli má přístup k veřejnému klíči a může šifrovat libovolný text. V zásadě můžeme ještě vymezit dva podtypy útoků s vybraným textem: dávkový útok, kde kryptoanalytik vybere všechny otevřené texty před zašifrováním a adaptivní útok, kde kryptoanalytik vytváří jakési dotazy výběrem sledu otevřených textů v závislosti na informacích z předchozího šifrování (může tedy šifrovat otevřené texty opakovaně). Útok se znalostí vybraných šifrových textů (chosen-ciphertext attack) Oproti předchozí variantě má útočník ještě možnost dešifrovat zvolený zašifrovaný text. Jediným cílem tedy zůstává odvození klíče či klíčů. Mnoho šifer je odolných útoku s vybraným otevřeným textem, ale mohou mít problém s aplikací vybraných šifrových textů. Pak je potřeba zabezpečit přístup k dešifrování, což může být problém, protože i částečně vybrané šifrové texty mohou poskytnou velké množství informací. Stejně jako v předchozím případě je útok se znalostí vybraných šifrových textů díky možnosti šifrování libovolného textu spíše záležitostí algoritmů s veřejným šifrovacím klíčem. Někdy lze k útoku využít i znalosti o chování klíčů a odvodit tak například strukturu neveřejného S boxu. Tento typ útoku nazýváme útokem se znalostí vybraného klíče (chosen-key attack), což neznačí znalost samotného klíče či klíčů, ale jen některých souvislostí Útok hrubou silou Téměř všechny kryptografické algoritmy jsou napadnutelné útokem hrubou silou. V tomto typu útoku zkoušíme všechny možné klíče tak dlouho, dokud šifra nepodlehne. To bývá mnohdy časově nereálné. Nutnou podmínkou je schopnost zjistit, že byl daný šifrovaný text rozluštěn. K tomu se používají různé statistické metody a slovníky. Ale co když dešifrováním můžeme podle klíče dostat libovolný text? To je případ Vernamovy šifry. Ta využívá jednorázový heslář (One-time pad). Šifrování probíhá dle rovnic: c i = p i k i (4.49) p i = c i k i (4.50). Důležitými podmínkami zůstává, že klíče musí být naprosto náhodné a že každý klíč bude použit pouze jedenkrát 1. Výsledný text pak může být jakýkoliv v závislosti na klíči. Příklad Je zašifrována zpráva Neutocte, kterou můžeme pomocí ASCII zapsat jako 0x4E 0x65 0x75 0x74 0x6F 0x63 0x74 0x65, a zašifrována klíčem 0x22 0x34 0x12 0x66 0xA0 0xFF 0x05 0x00. Dostáváme výsledný šifrovaný text: c = 0x4E 0x65 0x75 0x74 0x6F 0x63 0x74 0x65 0x22 0x34 0x12 0x66 0xA0 0xFF 0x05 0x00 = 0x6C 0x51 0x67 0x12 0xCF 0x9C 0x71 0x65. Potenciální útočník se snaží zprávu dešifrovat. Domnívá se, že byl použit klíč 0x36 0x30 0x12 0x66 0xA0 0xFF 0x05 0x00. Zprávu dešifruje a dostává: p = 0x6C 0x51 0x67 0x12 0xCF 0x9C 0x71 0x65 0x36 0x30 0x12 0x66 0xA0 0xFF 0x05 0x00 1 Šifra má periodu rovnou.

42 28 KAPITOLA 4. KRYPTOANALYTICKÉ METODY = 0x5A 0x61 0x67 0x12 0xCF 0x9C 0x71 0x65. Při použití tabulky ASCII dostáváme text Zautocte a ten má přesně opačný význam. Útočník nikdy nepozná, kdy použil správný klíč. V práci [Sha49] Shannon dokazuje, že Vernamova šifra je absolutně bezpečný kryptosystém Lineární kryptoanalýza Na konferenci EUROCRYPT 93 byla poprvé představena nová metoda útoku, původně zaměřená jen na šifry se strukturou Feistelovy sítě [Mat94][Bih94]. Jednalo se o lineární kryptoanalýzu. Ta se snaží hledat lineární závislosti mezi vstupy a výstupy jednotlivých S-BOXů a to s co nejlepší spolehlivostí - pravděpodobností, že tento vztah bude platit. Zmíněný postup se lze dále rozšířit na celou Feistelovu funkci a také na větší počet rund: Definice Lineární pravděpodobnost S-BOXu [CC00] Lineární pravděpodobnost (bijektivního) S-BOXu S: {0, 1} m {0, 1} m definujeme pro libovolná Γx, Γy {0, 1} m jako LP S (Γx Γy) = [ {x {0, 1} m Γx x = Γy S(x)}/2 m 1 1] 2, kde Γx x je parita Γx x. Definice Maximální lineární pravděpodobnost S-BOXu [CC00] Maximální lineární pravděpodobnost (bijektivního) S-BOXu S: {0, 1} m {0, 1} m definujeme jako LP S max = max LP S (Γx Γy), kde maximum se bere přes všechna Γx, Γy 0, Γx {0, 1} m, Γy {0, 1} m. Definice Funkce SDS [Ros] SDS je funkce se třemi úrovněmi: substitucí (S), difuzní úrovní (D) a substitucí (S). Označme vstupní a výstupní diferenci SDS jako x {0, 1} nm, x 0, y = y y = D(x) D(x ), a vstupní a výstupní masku SDS jako Γx {0, 1} nm, Γy {0, 1} nm, Γy 0. Věta Horní odhad pro lineární obal funkce SDS [CC00] Jestliže difuzní úroveň D je maximální (tj. n l (D) = n + 1 nebo ekvivalentně n d (D) = n + 1), pak pravděpodobnost každého lineárního obalu funkce SDS je omezena hodnotou q n. Důsledek Předchozí věta říká, že LP SDS (Γx Γy) q n pro každé Γx {0, 1} nm, Γy 0, Γy {0, 1} nm. Odtud vyplývá, že LP SDS max = max LP SDS (Γx Γy) q n, kde maximum se bere přes všechna Γx {0, 1} nm, Γy 0, Γy {0, 1} nm. Důsledek Sít SDS můžeme vůči S-BOXu chápat jako větší S-BOX, tzv. XS -BOX. Maximální lineární obal XS-BOXu je pomocí předchozí věty odhadnut dle maximálních lineárních obalů malých boxů S z nichž je sestaven jako SDS sít. Z XS-BOXů lze sestavovat větší XXS- BOXy atd.

43 KAPITOLA 4. KRYPTOANALYTICKÉ METODY 29 Tím se samozřejmě tato pravděpodobnost snižuje a k prolomení šifry je potřeba více známých bloků otevřeného textu. Definujme tři binární vektory α, β, γ, které nám určují jaké položky z vstupních (resp. výstupních či klíčových) bloků vybíráme: P α = P α (4.51) C β = C β (4.52) K γ = K γ. (4.53) Snažíme se najít rovnost P α C β = c K γ (4.54) s pravděpodobností p 1 2, kde c je kontantní vektor. Zavádíme pojem efektivita vztahu (4.54) a ta je právě dána vztahem p 1 2. Lineární kryptoanalýza se nejvíce využívá pro útok se znalostí otevřeného textu Diferenciální kryptoanalýza Principy diferenciální kryptoanalýzy byly poprvé publikovány roku 1991 v práci Eli Bihama a Adi Shamira [BS91] [BS93]. Tehdy byl popsán poprvé útok na šestnácti rundový DES, který byl efektivnější než útok hrubou silou. Diferenciální kryptoanalýza někdy bývá též překládána jako diferenční,( v anglickém jazyce bývá tato metoda pojmenována jako differential cryptanalysis nebo také T-attack) využívá zvýšené pravděpodobnosti určitých diferencí otevřeného textu při výskytu diferencí šifrovaného textu. Definice Diferenciální pravděpodobnost S-BOXu [CC00] Lineární pravděpodobnost (bijektivního) S-BOXu S: {0, 1} m {0, 1} m definujeme pro libovolná x, y {0, 1} m jako DP S ( x y) = {x {0, 1} m S(x) S(x x) = y}/2 m. Definice Maximální diferenciální pravděpodobnost S-BOXu [CC00] Maximální diferenciální pravděpodobnost (bijektivního) S-BOXu S: {0, 1} m {0, 1} m definujeme jako DP max S = max DP S ( x y), kde maximum se bere přes všechna x 0, x {0, 1} m, y {0, 1} m. Věta Horní odhad pro diferenciál funkce SDS. [CC00] Předpokládejme, že rundové podklíče, které jsou exklusivně sečteny na vstupní data v každé rundě, jsou nezávislé a stejnoměrně náhodné. Jestliže difuzní úroveň D je maximální (tj. n d = n + 1), pak pravděpodobnost každého diferenciálu funkce SDS je omezena hodnotou p n. Důsledek Předchozí věta říká, že DP SDS ( x y) p n pro každé x {0, 1} nm, x 0, y {0, 1} nm. Odtud vyplývá, že DP SDS max = maxdp SDS ( x y) p n, kde maximum se bere přes všechna x 0, x {0, 1} nm, y {0, 1} nm.

44 30 KAPITOLA 4. KRYPTOANALYTICKÉ METODY Důsledek Sít SDS můžeme vůči S-BOXu chápat jako větší S-BOX, tzv. XS -BOX. Maximální diferenciál boxu XS je pomocí předchozí věty odhadnut dle maximálních diferenciálů malých boxů S z nichž je sestaven jako SDS sít. Z XS-BOXů lze sestavovat větší XXS-BOXy atd. Obrázek 4.1: Diferenciální kryptoanalýza - Bumerangový útok (Boomerang attack) pozn. Obrázek převzatý z kde je bumerangový útok podrobněji popsán Diferenciální kryptoanalýza se nejvýce používá pro útok s možností výběru otevřeného textu. Další text je vybírán právě podle diferencí. Podle metody, jakou další text vybíráme, dělíme diferenciální kryptoanalýzu na Podmíněný diferenciální útok (Conditional Differential Cryptanalysis) Diferenciální útok vyšších stavů (Higher order Differential Cryptanalysis) Zkrácený diferenciální útok (Truncated Differential Cryptanalysis) Nemožný diferenciální útok (Impossible Differential Cryptanalysis) Bumerangový diferenciální útok (Boomerang Differential Cryptanalysis) Nejčastěji používanými útoky jsou hlavně poslední dva. Postup při výběru dalšího textu u bumerangové diferenciální kryptoanalýzy máme zobrazen na obrázku 4.1.

45 KAPITOLA 4. KRYPTOANALYTICKÉ METODY Algebraická kryptoanalýza Algebraická kryptoanalýza se snaží popsat S-BOXy algebraickými rovnicemi, pokud možno pouze s nízkým stupněm. Vychází z algebraické normálové formy, která se od konjunktivní normálové formy CNF liší tím, že místo logického sčítání používá exklusivní součet. Tu se pak snaží upravit k obrazu svému. Podle vyžadovaných rovnic a metod jejich spojování (u iterativních šifer) dělíme algebraickou kryptoanalýzu na: Neustálé dělení - (Continued fractions ) XSL XL Vnořování - (Embedding) Neustále dělení vytváří například pro 3 rundy následující strukturu XL a XSL metody se snaží najít rovnice typu x = K + C 1 K + C 2. (4.55) K C + 3 K +p f(x 1,...x n, y 1,..., y m ) = 0, (4.56) kde n značí počet vstupů, m počet výstupů daného S-BOXu a funkce f má algebraický stupeň roven dvěma. Vnořování se používá pro specielní případy. V [MR02] je definována bloková šifra BES, která pracuje nad 128 bytama. Metoda vnořování se snaží popsat například Rijndaelův algoritmus 2 jako Rijndael(x) = φ 1 (BES(φ(x))). (4.57) V současné době se nejčastěji používá metoda XSL, nástupce XL metody. Nutno však podotknout, že ani tato metoda není v současnosti dostatečně prozkoumána a vlastní kryptoanalýza zůstává hlavně věcí náhody jak sami autoři přiznávají. 4.2 Kritéria pro hodnocení odolnosti šifer Přední vlastností každé šifry je její odolnost vůči případným útokům. Existují šifry jejichž cílem není maximální úroveň zabezpečení, ale např. optimální kombinace zabezpečení a uživatelského komfortu, zabývejme se však dále jen hodnocením šifer, které by měly přinést maximální možné zabezpečení. Pak bezpečnou šifrou můžeme nazvat takovou šifru, jejíž zdolání metodou hrubé síly není v reálném času možné a zároveň pokud bychom k prolomení museli vynaložit větší úsilí na kryptoanalýzu než na zmiňovaný útok hrubou silou. Z kryptoanalytického hlediska šifru může oslabit mnoho faktorů, pro metodu hrubé síly bývá rozhodující pouze délka klíče. Samozřejmě nelze ověřit absolutní bezpečnost šifry, je však několik charakteristik, které by měl dobrý šifrovací algoritmus splňovat. Jsou to zejména: Dobrá konfuze, difuze a lavinovost (viz kap. 3). Šifrovací algoritmus by neměl obsahovat slabé ani poloslabé klíče nebo by měly být zakázány. Šifrovací algoritmus neomezuje výběr klíčů nebo otevřených textů svými vlastnostmi. 2 Používá se v AES.

46 32 KAPITOLA 4. KRYPTOANALYTICKÉ METODY Šifrovací algoritmus neumožňuje šíření vzniklé chyby do dalších procesů. Zašifrovaný text není větší než otevřený text (větší text, více informací k prolomení a větší nároky na pamět ). Pokud se nám algoritmus podaří určitým způsobem napadnou, nemusí být nutně špatný. Záleží na typu útoku (viz předchozí kapitola) a typu prolomení: Úplné prolomení total break - útočník získá klíč, dokáže k jakémukoliv zašifrovanému textu odvodit text otevřený Globální dedukce global deduction - útočník sice nezjistí klíč, ale dokáže text šifrovat resp. dešifrovat bez něj Lokální dedukce local deduction - útočník získá otevřený text ke konkrétnímu případu šifrovaného textu Dedukce informace information deduction - útočník získá nějakou informaci o otevřeném textu V současné době se na kryptosystémy kladou čím dál tím více požadavků. Nyní by měl splňovat tyto základní bezpečnostní cíle: Důvěrnost - ochrana informací proti neoprávněnému zneužití Integrita - ochrana proti změně obsahu Autentizace - příjemce by měl mít možnost zjisti původ zprávy Nepopiratelnost - odesílatel by neměl mít později možnost zapřít, že zprávu poslal Abychom všechny požadavky na kryptosystémy splnily, musíme se velmi často obracet na kombinace různých přístupů (např. hybridní kryptografie), či algoritmů.

47 KAPITOLA 5. VLASTNÍ KRYPTOANALÝZA VYBRANÝCH ŠIFER 33 5 Vlastní kryptoanalýza vybraných šifer Přistupme nyní k vlastní analýze šifer DES, Zodiac a CSA danými kryptoanalytickými metodami. 5.1 Minimální matematický aparát Pro algebraickou kryptoanalýzu budeme velmi často potřebovat metody pro minimalizaci boolovských funkcí. Nejčastěji pravděpodobně použijeme karnaughovu mapu, která ovšem pro velké množství vstupů se stává nepřehlednou. Existují i další metody a mnohé aplikace, které je implementují. Zajímavou je například metoda Quine-McCluskey. Klíčová pro nás bude konverze do algebraické normálové formy. Proto zde uvádím její algoritmus zapsaný v pseudo kódu: ANF Algoritmus g(x1,..., xn ) = f (0,..., 0) for (k=1; k<2*n-1; k++) int2bin(k); // vyjádři binární reprezentaci čísla k, k = b1 + b2*2 + b3*pow(2,2) bn*pow(2,n-1) } if (g(b1, b2,..., bn) == f(b1, b2,..., bn)) { c=1; for (i=0; i<=n; i++) c*=pow(xi,bi); g(x1,..., xn) = g(x1,..., x_n) ^ c ANF(f) = g(x1,..., xn) Další nutnou znalostí bude práce v modulární soustavě a ostatní základy numerické matematiky ([Lór04],[JP96]). 5.2 Útok lineární kryptoanalýzou Prvním cílem je vytvořit si lineární aproximační tabulky. Příklady budu uvádět pro DES, pro ostatní šifry budou postupy analogické. Budeme se snažit zapsat následující rovnosti a zjistit jejich výchylky od normálu a pravděpodobnosti: n m i 0, n), j 0, m), α i {0, 1}, β i {0, 1} : α i X i = β j Y j, (5.58) kde n je počet možných kombinací vstupů SBOXu, m počet možných kombinací výstupů. Vyzkoušeli jsme všechny možnosti kombinací vstupů α a výstupů β a zapsali jsme hodnotu L i,j. L i,j = n { 1 pro 2 αi x k = β i y k Πn k (5.59) 0 pro ostatní případy i j

48 34 KAPITOLA 5. VLASTNÍ KRYPTOANALÝZA VYBRANÝCH ŠIFER Nyní můžeme z tabulky lineární aproximace zjistit výchylku b i,j : A pravděpodobnost p i,j možné linearity : b i,j = L i,j n (5.60) p i,j = b i,j = L i,j n (5.61) V lineárně aproximačních tabulkách pro S-BOXy šifry DES se nalezneme největší výchylku b i,j. Zjistíme, že pro S-BOX S 5 (tab. F.1 a tab. F.2) a pro α = (16) 10 = (010000) 2 a β = (15) 10 = (001111) 2, respektive pro α = (48) 10 = (110000) 2 a β = (15) 10 = (001111) 2, je L 16,15 (resp. L 48,15 ) rovno -20. To znamená, že S-BOX S 5 můžeme aproximovat jako respektive a to s výchylkou (z rovnice (5.60)) x 1 = y 0 y 1 y 2 y 3, (5.62) x 0 x 1 = y 0 y 1 y 2 y 3 (5.63) b 16,15 = b 48,15 = L 16,15 n = L 48,15 n = = 5 16 (5.64) a pravděpodobností (z rovnice (5.61)) Rovnice můžeme drobně upravit: respektive a dostáváme, že platí s pravděpodobností p 16,15 = p 48,15 = b 16,15 = b 48,15 = (5.65) x 1 1 = y 0 y 1 y 2 y 3, (5.66) x 0 x 1 1 = y 0 y 1 y 2 y 3 (5.67) p 16,15 = p 48,15 = 1 p 16,15 = 1 p 48,15 = 13 = 81, 25% (5.68) 16 Kryptosystém DES byl právě díky této vysoké linearitě S-BOXu S 5 (tab. F.1 a tab. F.2) v minulosti už mnohokrát kritizován. Pro nás bude nejvhodnější rovnice (5.66) vzhledem k její jednoduchosti. Po důkladnějším prozkoumání expanzní permutace E (tab. B.1) a permutace P (tab. B.2) zjistíme, který vstupní bit Feistelovy funkce odpovídá vstupnímu bitu samotného S-BOXu. Dostáváme: X [16] Y [2] Y [7] Y [13] Y [24] 1 = K r,[25], (5.69) kde r označuje číslo rundy. Ve většině případů nám postačí pracovat s negací tohoto výrazu: X [16] Y [2] Y [7] Y [13] Y [24] = K r,[25]. (5.70) Rovnice (5.69) je nejlepší lineární aproximací, které jsme schopni v šifře dosáhnout. Abychom mohli případný útok realizovat, musíme být schopni aplikovat tento postup i pro více

49 KAPITOLA 5. VLASTNÍ KRYPTOANALÝZA VYBRANÝCH ŠIFER 35 rund. Ukážeme si to na příkladu 3-rundového DESu. Rovnici (5.70) aplikujeme na první a třetí kolo. Dostaneme P p,[16] X 2,[2] X 2,[7] X 2,[13] X 2,[24] P l,[2] P l,[7] P l,[13] P l,[24] = K 1,[25] (5.71) C p,[16] X 2,[2] X 2,[7] X 2,[13] X 2,[24] C l,[2] C l,[7] C l,[13] C l,[24] = K 3,[25]. (5.72) Po exklusivním sečtením dostaneme P p,[16] C p,[16] P l,[2] P l,[7] P l,[13] P l,[24] C l,[2] C l,[7] C l,[13] C l,[24] = K 1,[25] K 3,[25] (5.73) a to s pravděpodobností 1 p = ( )2 = = 69, 53%. (5.74) Tento postup je aplikovatelný na libovolný počet kol, popsán je v [Bih94]. Existuje i jiný postup, postupného zřetězování, který je popsán v [Hey02] a zobrazili jsme ho v příloze na obrázku L.1. Analogicky bychom pro další kola dostáváme rovnici pro 5 rund: P p,[15] P l,[7] P l,[18] P l,[24] P l,[27] P l,[28] P l,[29] P l,[30] P l,[31] C p,[15] C l,[7] C l,[18] C l,[24] C l,[27] C l,[28] C l,[29] C l,[30] C l,[31] = K 1,[42] K 1,[43] K 1,[45] K 1,[46] K 2,22] K 4,[22] K 5,[42] K 5,[42] K 5,[43] K 5,[45] K 5,[46]. (5.75) Lemma (Piling-Up lemma[mat94]) Necht X i jsou nezávislé binární proměnné, kde i 1; n, pak pravděpodobnost p, že n i=1 X i = 0 bude rovna Pomocí lemmy ověříme vztah (5.75) p( n i=1x i = 0) = n 1 Π n i=1(p i 1 2 ) (5.76) p = ( 5 16 )2 = (5.77) Můžeme tedy tvrdit, že pravděpodobnost prolomení je závislá na nejslabším článku (pravděpodobnosti jeho linearizace) a počtu rund. Od této pravděpodobnosti lze i odvodit potřebný počet otevřených textů. Abychom šifru prolomili s pravděpodobností na 99,8%, budeme potřebovat 2(p 1 2 ) 2 otevřených textů (podle [Mat94]). Pro náš případ 3-rundového DESu dostáváme, že bychom potřebovali 53 bloků otevřeného textu. Pro celý 16-ti rundový DES bychom potřebovali 1, otevřených textů 2. Pro jednotlivé kryptosystémy pro jednotlivé rundy dostáváme srovnání zobrazené na obr Aby bylo zadání zcela splněno musí být stanoveno kolik rund je reálné ještě narušit. Musíme si určit mez počtu otevřených textů, kterou jsme schopni v rozumném čase vyzkoušet a času, který jsme ochotni výpočtu věnovat. Řekněme, že dokážeme vyzkoušet bloků otevřených textů za vteřinu a že pro výpočet věnujeme maximálně jeden měsíc výpočetního času. Můžeme tedy vyzkoušet 1, otevřených textů. Dostáváme grafy na obrázcích 5.2 a Pravděpodobnost se rovná součtu toho, že obě rovnice platí a součtu, že obě rovnice neplatí. 2 V literatuře se objevuje hodnota Je to počet potřebných otevřených bloků textu k prolomení šifry na hladině pravděpodobnosti 97,7%.

50 36 KAPITOLA 5. VLASTNÍ KRYPTOANALÝZA VYBRANÝCH ŠIFER Obrázek 5.1: Úspěšnost linearizace jedné rundy Obrázek 5.2: Počet rund napadnutelných lineární kryptoanalýzou Hodnoty jsou platné pro výpočet nejdéle 30 dní při rychlosti ověřování bloků/s (* Pro šifru CSA použita pouze bloková část, u Zodiacu vynecháno bělení klíčů) Poznámka V [Mat94] je popsána i metoda útoku se znalostí pouze šifrovaného textu. K této metodě je zapotřebí více textu a je výpočetně náročnější. Oproti tomu omezíme-li se v naší metodě na znaky anglické abecedy (například v html souborech), budeme potřebovat bloků méně. Pro výpočet nejdéle 30 dní při rychlosti ověřování bloků/s dostáváme tyto hodnoty: Nejméně odolnou šifrou proti lineární kryptoanalýze se stal kryptosystém DES, kterému lze prolomit 12 rund. Naopak nejsilnější se stal kryptosystém CSA, kterému lze prolomit pouze 7 rund. Je to pouze 12,5% z celkevého počtu rund tohoto kryptosystému. Šifra zodiac odolávala

51 KAPITOLA 5. VLASTNÍ KRYPTOANALÝZA VYBRANÝCH ŠIFER 37 o jednu rundu méně. Prolomit tedy lineární kryptoanalýzou šlo celkem 8 rund. Obrázek 5.3: Procentuelní vyjádření počtu rund napadnutelných lineární kryptoanalýzou Hodnoty jsou platné pro výpočet nejdéle 30 dní při rychlosti ověřování bloků/s (* Pro šifru CSA použita pouze bloková část, u Zodiacu vynecháno bělení klíčů) 5.3 Útok diferenciální kryptoanalýzou Sestavíme si distribuční tabulku diferencí pro X a Y podle definice Postupujeme tak, že procházíme všechny možné vstupní diference přes všechny možné vstupy a do tabulku výstupních diferencí inkrementujeme. x 1, x 2 X : x = x 1 x 2, y = S(x 1 ) S(x 2 ) (5.78) x X, x : y = S(x) S(x x) (5.79) Pravděpodobnost určité diference dostaneme, že hodnotu z tabulky pro určitou diferenci podělíme počtem možných kombinací vstupů. Podívejme se například na tabulku pro S-BOX S 1 kryptosystému DES - tab. I.1 a I.2. Dostáváme nebo S 1 : X = 0xF to Y = 0xF : p s1,[f ;F ] = = 1 8 S 1 : X = 0xD to Y = 0xB : p s1,[d;d] = = 1 32 = 12, 5% (5.80) = 3, 125%. (5.81) Pravděpodobnost ideálního kryptosystému by byla rovna 1 2 n. Povšimněme si také, že všechny hodnoty jsou sudé. Dochází k tomu díky komutativnosti funkce exklusivního sčítání. Podívejme se znovu na rovnici (5.78). Y = S(x 1 ) S(x 2 ) Y = S(x 2 ) S(x 1 ), x 1 x 2 (5.82) Podívejme se nyní na maximální pravděpodobnosti jednotlivých kryptosystémů:

52 38 KAPITOLA 5. VLASTNÍ KRYPTOANALÝZA VYBRANÝCH ŠIFER DES: 28 případů, kde p = 1 4 = 25% KeeLoq: 1 případ, kde p [30,0] = 1 = 100% Zodiac: 1 případ, kde p [128,253] = 1 2 = 50% CSA: 1 případ, kde p [28,45] = 3 64 = 3, 125% Lemma [NK92] Pravděpodobnost diferenciálu r-rundového schématu je omezena číslem 2p 2, jestliže maximální pravděpodobnost diferenciálu rundové funkce je p a r 4. Pokud je rundová funkce bijektivní, je to pouze p 2. Z této lemmy můžeme říct, že pravděpodobnost diferenciálu pro systém KeeLoq není shora omezena a pro kryptosystémy DES, Zodiac a CSA je shora omezená po řadě hodnotami 12,5%, 25%, 0,0096%. Nyní bych rád ukázal jak samotná analýza pracuje. Příklady opět ukážu pouze na kryptosystému DES, pro ostatní systémy je postup analogický. Zvolme si určitou řádku distribuční tabulky. Například pro S-BOX S 1 X = 0x34. Vidíme, že výstupní diference může nabývat osmi hodnot 0x1, 0x2, 0x3, 0x4, 0x7, 0x8, 0xD, 0xF. Pro ostatní diference se vyskytují s nulovou pravděpodobností (viz tab. I.2). Pro každou hodnotu jsme schopni určit možný rozsah vstupu (viz tab. 5.1). Výstupní diference Y Hodnoty možného vstupu X 1 0x03 0x0F 0x1E 0x1F 0x2A 0x2B 0x37 0x3B 2 0x04 0x05 0x0E 0x11 0x12 0x14 0x1A 0x1B 0x20 0x25 0x26 0x2E 0x2F 0x30 0x31 0x3A 3 0x01 0x02 0x15 0x21 0x35 0x36 4 0x13 0x27 7 0x00 0x08 0x0D 0x17 0x18 0x1D 0x23 0x29 0x2C 0x38 0x3D 8 0x09 0x0C 0x19 0x2D 0x38 0x3D D F 0x06 0x10 0x16 0x1C 0x22 0x24 0x28 0x32 0x07 0x0A 0x0B 0x33 0x3E 0x3F Tabulka 5.1: Tabulka možných vstupů pro S 1, X = 0x34 A pro každou hodnotu jsme následně schopni určit příslušný klíč. Například pro hodnotu výstupní diference Y dostáváme tabulku 5.2. Statisticky pro větší počet diferencí ověříme. Falešné klíče budou mít pouze normálové rozložení pravděpodobnosti, pravý klíč bude mít pravděpodobnost vyšší. Tento postup se dá rozšířit na větší počet rund. Postupuje se tak, že aproximujeme r-1 rund a z posledního hádáme klíč. Průchod tímto systémem je zobrazen v příloze na obrázku M.1. Tento postup je jednak nároční na počet otevřených bloků, tak i pamět ově, protože si tyto bloky potřebujeme uložit abychom mohli zkoušet různé kombinace. Existují různé varianty a vylepšení diferenciální kryptoanalýzy. Podíváme-li se na následující

53 KAPITOLA 5. VLASTNÍ KRYPTOANALÝZA VYBRANÝCH ŠIFER 39 Vstup x 1 Vstup x 2 Hodnota klíče k 0x06 0x32 0x07 0x10 0x24 0x11 0x16 0x22 0x17 0x1C 0x25 0x1D 0x22 0x16 0x23 0x24 0x10 0x25 0x25 0x1C 0x29 0x32 0x06 0x33 Tabulka 5.2: Tabulka možných klíčů pro S 1, X = 0x34, Y = 0x0D graf (obr. 5.4) vidíme, že námi použitá metoda (v grafu označená zeleně) je na kompletní, 16 rundový, DES horší než prohledávání hrubou silou. Abychom dospěli lepších výsledků, museli bychom použít vylepšený algoritmus s heuristikou (označený modře). Ten je sice lepší, ale bohužel asymptoticky zůstává nezměněn. Pro Zodiac se používá tzv. nemožná diferenciální kryptoanalýza (viz [LL01]). Při stanovení stejných mezí jako v předchozí kapitole dostáváme grafy na obrázcích 5.5 a 5.6. DES - diferencialni analyza pocet paru [-] pocet rund [-] Legenda Utok se znalosti otevreneho textu Namerene hodnoty pro utok se znalosti vybranych otevrenych textu Teoreticke hodnoty pro utok se znalosti vybranych otevrenych textu s heuristikou Vyvojovy trend pro utok se znalosti otevreneho textu Vyvojovy trend pro teoreticke hodnoty pro utok se znalosti vybranych otevrenych textu Vyvojovy rend pro namerene hodnoty pro utok se znalosti vybranych otevrenych textu Obrázek 5.4: Srovnání různých přístupů diferenciální kryptoanalýzy Pořadí odolností jednotlivých kryptosystémů se nezměnilo, pouze vlastní hodnoty. Nejslabším kryptosystémem zůstává šifra DES, u které můžeme prolomit 10 rund. Na druhém místě je Zodiac, u kterého můžeme diferenciální kryptoanalýzou zdolat už pouze 5 rund. A jako

54 40 KAPITOLA 5. VLASTNÍ KRYPTOANALÝZA VYBRANÝCH ŠIFER Obrázek 5.5: Počet rund napadnutelných diferenciální kryptoanalýzou Hodnoty jsou platné pro výpočet nejdéle 30 dní při rychlosti ověřování bloků/s (* Pro šifru CSA použita pouze bloková část) Obrázek 5.6: Procentuelní vyjádření počtu rund napadnutelných diferenciální kryptoanalýzou Hodnoty jsou platné pro výpočet nejdéle 30 dní při rychlosti ověřování bloků/s (* Pro šifru CSA použita pouze bloková část) nejsilnější zůstává kryptosystém CSA. Podíváme-li se diferenční distanční tabulky, které jsou na přiloženém DVD, vydíme, že se tato skutečnost dala očekávat. S-BOX systému CSA je sám o sobě velice odolný a diference se vyskytují pouze s malou pravděpodobností. Proto i celý kryptosystém CSA odolává pro více jak 3 rundy, což představuje pouhých 5,4% z celového počtu rund.

55 KAPITOLA 5. VLASTNÍ KRYPTOANALÝZA VYBRANÝCH ŠIFER Útok algebraickou kryptoanalýzou Algebraická kryptoanalýza se snaží pospat S-BOXy algebraickými rovnicemi, které pak řeší jako SAT problém. Courtois a Bard ve své práci [CBW07] definují tři různé algebraické struktury pro popis kryptosystémů. Vícepromněné vstupně výstupné rovnice nízkého řádu Vstupně výstupní rovnice s malým počtem jednočlenů. Rovnice velmi nízkého stupně (1-2), nízké nelinearity a extrémně vysokým rozptylem Teorém [NTC02] Necht n je počet vstupů S-BOXu, m počet výstupů a t je počet prvků χ, pak pro každý S-BOX, (x 1,..., x n ) (y 1,..., y m ) a pro podmnožinu χ z 2 m+n možných jednočlenů z x i a y i platí, když t > 2 n, pak v podmnožině χ je nejméně t 2 n lineárně nezávislých vstupně výstupních rovnic. Abychom mohli určit kolik bude mít soustava popisující S-BOX lineárně nezávislých rovnic, musíme nejdříve určit kolik existuje různých jednočlenů. Definujme tedy rovnici typu: αijk x i y j y k + β ijk x i x j y k + γ ij x i y j + δ i x i + ε i y i + ζ = 0. (5.83) Pak platí: m(m 1) n(n 1) t = 1 + nm + n + m + n + m 2 2 (5.84) Důsledek S-BOX [NTC06] Pro každý 6 4 S-BOX počet lineárně nezávislých rovnic r je nejméně (typu (5.83)): Důsledek S-BOX r t 2 n = 67 (5.85) Pro každý 8 8 S-BOX počet lineárně nezávislých rovnic r je nejméně (typu (5.83)): r t 2 n = 3857 (5.86) Zároveň Courtois a Bard [CBW07] tvrdí, že jakmile bude mít soustava více jak 131 různých jednočlenů, pak se ztrácí určité vztahy mezi DES S-BOXem a náhodným S-BOXem. Díky rovnici (5.86) a tomu, že zatím neexistuje matematický aparát jakým tyto rovnice vybírat, nejsme v současné době schopni vytvořit algebraickou analýzu pro blokovou část CSA a šifru Zodiac. Pokud bychom měli číselně vyjádřit kolik rund jsme schopni touto analýzou prolomit, museli bychom použít ANF pro tyto šifry, které jsou v přílohách D a E, ale dostali bychom hodnoty maximálně do tří rund. Tuto metodu jsem zde uvedl převážně kvůli tomu, že je to v současnosti jediná metoda, která není exponencielně závislá na počtu rund a proto je do budoucna jednou z mála potenciálních metod pro řešení vysoko rundových kryptosystémů. Tato vlastnost byla demonstrována na rozbití šifry KeeLoq [CBW07]. Ta samozřejmě byla o poznání jednodušší 3 než námi zmiňované kryptosystémy a díky své nelineární funkci, která byla zadána již přímo v ANF, se přímo pro tento typ útoku vybízela. 3 KeeLoq používá 5 1 S-BOX (NLF).

56 42 KAPITOLA 5. VLASTNÍ KRYPTOANALÝZA VYBRANÝCH ŠIFER Útok na DES je popsán v již zmiňovaném článku [CBW07]. Ovšem ani zde není přesně znám jakým způsobem rovnice vybírat. Pro výběr rovnic jsem se pokoušel aplikovat genetické algoritmy, ale nepřinesly vhodné výsledky. Předpokládám, že to bylo hlavně způsobeno tím, že chromozomy v tomto případě byly velmi dlouhé 4. A abych zachoval dostatečnou diversitu populace, musela i ta být velmi rozsáhlá. U tohoto systému se pak pomalá konvergence dala již očekávat. Využitím evolučních algoritmů v kryptoanalýze se zabývá [CF05]. 4 Byla použita dynamická délka chromozomu.

57 KAPITOLA 6. SROVNÁNÍ ODOLNOSTI ŠIFER DES, ZODIAC A CSA 43 6 Srovnání odolnosti šifer DES, Zodiac a CSA Podíváme-li se na graf na obrázku 6.1 vidíme, že KeeLoq používá mnohem více rund než ostatní kryptosystémy. Ale i přes to byl prolomen algebraickou kryptoanalýzou. To nám dává naději do budoucna, že bychom mohli dosáhnout podobných výsledků u iterativních šifer s vysokým počtem rund jako je například CSA. Obrázek 6.1: Srovnání celkového počtu rund Hlavní srovnání můžeme právě vztahovat k počtu prolomených rund, a nebo k procentuelnímu zastoupení prolomených rund k celkovému počtu. Většinu iterativních šifer lze prolomit při nízkém počtu iterací. Proto návrháři těchto kryptosystémů musí správně navrhnout počet rund, který by měl být dostatečný pro zabezpečení a kompromisem pro rychlost šifrování. V našem případě procentuelní zobrazení ještě umocňuje rozdílnost odolností. Kryptosystém CSA dosahuje v každé použité metodě kryptoanalýzy nejlepších hodnot. A to kvůli kombinaci s proudovou šifrou, velikosti S-BOXu použitého v blokové části algoritmu a jeho veliké nelinearitě. Otázkou zůstává jestli potom není použito zbytečně mnoho rund v tomto kryptosystému. Odpověd zní, že nikoliv. Šifra CSA byla od počátku navržena pro šifrování digitálních televizí. Proto může obsahovat takové množství operací, které lze za pomocí aktuálních prostředků realizovat v reálném čase. Konkrétní hodnoty máme zobrazené na grafech na obrázcích H.1, H.2, K.1 a K.1. Ukazuje se, že v metodách lineární a diferenciální kryptoanalýzy je nejsilnější CSA, druhou silnou šifrou se stává Zodiac a jako bezpečnostně nejslabší zůstává DES. Ten nevyhovuje také z hlediska délky klíče. U algebraické kryptoanalýzy jsme nedokázali najít vhodné rovnice pro reprezentaci S-BOXů v šifrách CSA a Zodiac a tak zde bohužel odolnost těchto šifer srovnávat nelze. Velmi zajímavé výsledky dostaneme, pokud se podíváme na analýzy jednotlivých S-BOXů. Například z grafů na obrázcích H.1 a H.2 vidíme, že S-BOX S 1 vykazuje daleko větší prvky linearity. Lze tak jednoduše analyzovat jednotlivé prvky systému, nalézt slabá místa a ty pak optimalizovat. Touto cestou se snaží jít následovníci DESu (s n DES), kteří se snaží opravit samotné S-BOXy (bylo poukazováno na vysokou linearitu S-BOXu S 5 ).