Asymetrická šifrovací schémata

Transkript

1 Bankovní institut vysoká škola Praha Katedra informatiky a kvantitativních metod Asymetrická šifrovací schémata Bakalářská práce Autor: David Fulajtár, DiS. Informační technologie Vedoucí práce: Ing. Vladimír Beneš, Ph.D. Písek Duben, 2014

2 Prohlášení Prohlašuji, ţe jsem bakalářskou práci zpracoval samostatně a v seznamu uvedl veškerou pouţitou literaturu. Svým podpisem stvrzuji, ţe odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, ţe se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.... V Písku, dne David Fulajtár, DiS.

3 Poděkování Děkuji panu Ing. Vladimíru Benešovi za poskytnutí cenných rad a vedení mé práce. Na závěr bych také rád poděkoval své rodině za podporu při psaní této práce.

4 Anotace Obsahem bakalářské práce jsou základní principy kryptografie a definice některých pojmů. Mapuje počátek jejich vzniku a důleţitosti pro rozvoj bezpečné komunikace a schopnosti ochránit soukromí. Zabývá se hlavně symetrickými a asymetrickými šifrovacími systémy a jejich porovnáním. V práci je rovněţ popsáno praktické vyuţití různých metod. Na závěr je popsán směr budoucího rozvoje kryptografie. Klíčová slova: symetrické šifrování, proudové šifry, blokové šifry, asymetrické šifrování, elektronický podpis, veřejný klíč, soukromý klíč. Abstract The content of the thesis are the basic principles of cryptography and definitions of some terms. It mapping the beginning of their start and importance for the development of secure communication and the ability to protect privacy. It deals mainly with symmetric and asymmetric encryption systems and their comparison. In thesis also describes the practical use of different methods. Finally it describes the direction of future development of cryptography. Key words: symmetric encription, stream ciphers, block ciphersm asymmetric encryption, digital signature, public key, private key.

5 Obsah Úvod... 7 Zvolené metody zpracování Historie Starověk Středověk Novověk Symetrické šifrovací systémy Proudové šifry Proudová šifra RC Symetrická proudová šifra A Symetrické blokové šifry Bloková šifra DES Tripel DES Advanced Encryption Standart (AES) Hashovací funkce Jednosměrná funkce Bezkoliznost Secure Hash Algorithm (SHA) SHA SHA Message Digest algorithm (MD) RIPEMD Asymetrické šifrovací systémy Asymetrický algoritmus RSA Algoritmus digitálního podpisu (DSA)

6 4.3 ElGamal Diffieho-Helmanova výměna klíčů Kryptografie eliptických křivek (ECC) Diffieho-Hellmanův protokol s vyuţitím eliptických křivek (ECDH) Výhody a nevýhody kryptografických metod Výhody a nevýhody symetrické kryptografie Výhody a nevýhody asymetrické kryptografie Využití kryptografie Elektronický podpis Vytvoření a ověření elektronického podpisu Vlastnosti elektronického podpisu Certifikáty Komerční a kvalifikované certifikáty Certifikační autorita (CA) Kvalifikované a akreditované certifikační autority Typy elektronických podpisů Secure Socketd Lsyer SSL (SSL) Pretty Good Privacy (PGP) GNU Privacy Guard (GPG) Vyhodnocení a pohled do budoucna Závěr Seznam použité literatury Seznam obrázků Seznam tabulek Seznam zkratek

7 Úvod Kryptografie se prolíná lidskými dějinami aţ do současnosti. Spolu s vývojem technologií se vyvíjela i kryptografie. Během druhé světové války došlo k velkému rozvoji na poli kryptologie. Dalším zlomem pro kryptografii jako vědu byl rozvoj informačních technologií. V dnešní době jsou informační technologie prostoupeny tak naší kulturou, ţe se neustále zmenšuje osobní prostor lidí. Proto se klade větší důraz na ochranu informací a zabezpečení komunikace. Informace a data jsou velmi cennou komoditou v celém světě. Stabilita zemí, národní bezpečnost, ekonomika, politika, vojenské aktivity, ale i posílání obyčejného mailu, či zločinecké aktivity jsou závislé na síle šifer. Na různé druhy informací jsou kladeny odlišné poţadavky na ochranu, proto je zapotřebí vyuţití různých metod a speciálních nástrojů pro zajištění jejich bezpečnosti. Jedním z těchto nástrojů je kryptografie. Kryptografie má několik druhů metod. Dnes jsou nejrozšířenější dva základní typy: symetrické a asymetrické metody šifrování. Kaţdá ze jmenovaných metod má své klady i zápory a jsou pouţívány v různých odvětvích. Náplní práce bude popsání obecného fungování moderních symetrických šifrovacích metod, jejich vyjmenování a popsání těch nejznámějších. Následující část práce bude popisovat obecný princip asymetrické kryptografie. Popsání nejmodernějších a nejpouţívanějších asymetrických metod a na jakém matematickém principu fungují. Jaké mají výhody a nevýhody oproti moderním symetrickým metodám. Závěr práce se bude věnovat praktickému vyuţití asymetrických metod. Podrobně bude popsáno, k čemu je lze pouţít, v jakých aplikacích je můţeme nalézt a jakým směrem se kryptografický systémy mohou vyvíjet. 7

8 Zvolené metody zpracování Bakalářská práce se bude zabývat vyuţitím kryptografických metod, s kterými se můţe obyčejný uţivatel potkat v běţném ţivotě. Práce je rozdělená na několik částí. První část se zabývá historií a postupným vývojem a vyuţitím kryptologie. V první části byla důleţitá práce s literárními zdroji, z kterých bylo čerpáno. Další část bakalářské práce popisuje některé metody pouţívané v kryptografii, jejich výhody a nevýhody. Jednotlivé metody budou popsány teoreticky a matematicky. Závěrečná část bakalářské práce se zaměřuje na prvky z kryptografie, s kterými se setkáváme v reálném ţivotě. 8

9 1 Historie Historie kryptografie se začala psát jiţ od dob Mezopotámie a starých říší. Její vývoj pokračoval průběţně do dnešní doby. Dnes je běţnou součástí ţivotního stylu naší společnosti. Metody kryptografie se pouţívají nejen v profesionálním prostředí, ale i v soukromém ţivotě. Historie kryptografie je soubojem mezi tvůrci a luštiteli šifer, kteří odhalovali slabá místa v šifrách. Tento neustálý souboj tvůrců a luštitelů šifer vedl k celé řadě významných vědeckých objevů. Tvůrci šifer vţdy usilovali o dokonalejší utajení komunikací, zatímco jejich luštitelé vyvíjeli ještě rafinovanější techniky útoku. V této snaze o uchování i odhalení tajemství, musely obě strany zvládnout rozmanité obory a technologie- od matematiky po lingvistiku, od teorie informace po kvantovou fyziku. Vynaloţené úsilí bylo pro všechny zmíněné obory přínosem a jejich práce vedla často k urychlení technického pokroku. Nejvýraznějším příkladem je vznik moderních počítačů. 1.1 Starověk První náznaky pouţívání kryptografické metody se objevily jiţ ve starém Egyptě, kde do textu byly zařazeny nestandardní hieroglyfy, které komplikovaly přečtení textu. Roku 480 př.n.l. Řek Demaratus poslal tajnou zprávu z Perské říše do Řecka, aby je varoval před překvapivým útokem. Zpráva byla napsána na dřevěné destičce a zalita voskem. Komunikace, kde se ukryje pouze text a není nijak šifrovaný, se nazývá steganografie. Proto Řekové začali poţívat transpoziční šifru Scytale, která účinně text zašifruje pomocí přesně daných pravidel. Princip transpoziční šifry je zaloţený na změně uspořádání původního textu, který se zašifruje do skupiny nic neříkajících písmen. Šifru pouţívali převáţně spartští vojevůdci, aby utajili vojenské zprávy. Systém Scytale je sloţen ze dvou dřevěných holí stejného průměru. Hole se pouţívají k šifrování a dešifrování textové zprávy. 1 Na jednu z dřevěných holí se shora dolů navine páska pergamenu nebo pruh kůţe tak, aby pokryla celou plochu hole, a na ni se pak svisle po délce hole zapíše krátký text zprávy. Jakmile se páska z hole sundá, zůstane jen dlouhý prouţek pergamenu s nesrozumitelným zápisem. Pro dekódování zprávy musí příjemce zprávy pouţít druhou dřevěnou hůl se stejným průměrem. Na dřevěnou hůl se znovu navine pergamen a takto se šifrovaná zpráva dekóduje. Pouze osoba, která vlastnila dřevěnou 1 SINGH, Simon. Kniha kódů a šifer:utajování od starého Egypta po kvantovou kryptografii Praha:Dokořán ISBN str. č.: 22,23 9

10 hůl o stejném průměru, mohla přečíst šifrovanou zprávu. Při pokusu o přečtení zprávy na holi o jiném průměru získáme pouze nelogickou změť různých znaků. 2 Obrázek 1: Systém Scytale Zdroj: Wikipedia ( Z tohoto období je také známa hebrejská šifra Atbash. Staří šifry Atbash je odhadováno na dobu let př.n.l. Touto šifrou jsou zašifrována některá slova ve Starém zákoně. Čtenář můţe najít příklady šifry Atbash v Knize Jeremiáše. Šifra Atbash je jednoduchá substituční šifra postavená na jediné šifrovací tabulce. Principem šifry Atbash je prohození prvního písmena abecedy s posledním, druhé písmeno se prohodí s předposledním písmenem. Konstrukce tabulky se skládá ze dvou řádků. První řádek tvoří abeceda, která je vypsána zleva doprava. Do druhého řádku je vypsána abeceda zprava doleva. Tyto dva řádky pak tvoří šifrovací tabulku, pomocí které je text zprávy zašifrovaný. 3 Další jednoduchý systém šifrování popsal řecký spisovatel Polybius. Polybius je autorem knihy Historiai, kde popsal jednoduchý a účinný způsob jak zašifrovat zprávu. Metoda je pojmenována po Polybiusovi a je známa jako Polybiův čtverec. Tento šifrovací systém je zaloţen na uspořádání abecedy do čtverce 5x5,kde kaţdý sloupec a řádek jsou 2 3 KAJÍNEK, Milan. Tajemství šifer po stopách kryptografie a steganografie I [online] [cit ].Dostupné z: SINGH, Simon. Kniha kódů a šifer:utajování od starého Egypta po kvantovou kryptografii Praha:Dokořán ISBN str. č.: 39 10

11 očíslovány od jedné do pěti. Znamená to, ţe ve zprávě kaţdé písmeno je prezentováno dvěma číselnými souřadnicemi, kde první číslo znázorňuje řádek a druhé sloupec. 4 První písemný záznam pouţití substituční šifry pro vojenské účely se objevuje v dílu Zápisky o válce galské od vojevůdce Julia Caesara. V knize se popisuje, jak poslal zašifrovanou zprávu Cicerovi, který byl obklíčený. Julius Caesar šifroval texty tak často, ţe Valerius Probus vytvořil dílo, kde popisuje všechny jeho šifry. Nejznámější šifrou Julia Caesara je takzvaná Caesarova šifra, kterou detailně popsal ţivotopisec Suetonius. Caesarova šifra je zaloţena na principu, ţe kaţdé šifrované písmeno zprávy je během šifrování zaměněno za písmeno, které se abecedně nachází o pevně stanovený počet míst dále. Podle Suetoniuse Julius Caesar pouţíval posun o tři místa v abecedě. V dnešní době je za Caesarovu šifru povaţováno jakékoliv šifrování za pomoci posunu písmen abecedy o konstantní hodnotu. 5 Tabulka 1: Šifrovací tabulka Caesrovy šifry A B C D E F G H I J K L M N O P Q R S T U W X Y Z X Y Z A B C D E F G H I J K L M N O P Q R S T U W Zdroj: SINGH, Simon. Kniha kódů a šifer 1.2 Středověk Ve zlatém věku islámské civilizace se rozvíjelo umění a věda stejnou měrou. Úředníci museli pouţívat bezpečnou komunikaci, aby stát mohl správně fungovat. Toho docílili pomocí šifrovaného textu. Opatření, která byla zavedena, vedla k tomu, ţe šifrovací techniky byly značně rozšířené a běţně se pouţívaly. Arabští úředníci většinou pouţívali šifrovanou abecedu, kde změnili pouze uspořádání otevřené abecedy. Arabští učenci věděli nejenom jak účinně zašifrovat text, ale také jak vyluštit šifrovaný text. Byli tedy první, kdo poloţil základy kryptoanalýzy, nauky, pomocí které lze dešifrovat text bez pomoci šifrovacího klíče. To vedlo i k prvnímu velkému objevu v kryptoanalýze. Tento systém popsal filozof al-kindí a dnes je znám jako frekvenční analýza. Metoda frekvenční analýzy nám ukazuje, ţe nemusíme zkoušet 4 5 Polybios. V: Wikipedia:Otevřená encykolpedie [online] Naposledy editována: [cit ]. Dostupné z: KAJÍNEK, Milan. Tajemství šifer po stopách kryptografie a steganografie II [online] [cit ]. Dostupné z: 11

12 kaţdý moţný klíč, ale můţeme zjistit obsah zašifrovaného textu pomocí analýzy četnosti znaků v šifrovaném textu. 6 Johannes Trittheim je povaţován za zakladatele moderní kryptografie.trittheim byl známý učenec, který se zabýval teoriemi o kryptografii a steganografii. Okolo roku 1500 n.l. Trittheim své poznatky sepsal do první knihy o kryptografii. Tu tvořily tři svazky zabývající se tématikou steganografie. Trittheim vytvořil opatření, které ztěţovalo pouţití statistického rozboru a následné prolomení šifry. Prvek byl nazýván klamač a doporučoval uţivatelům šifer vkládat do textu náhodné znaky. Trittheim vytvořil také vlastní substituční šifru, která se nazývá Trittheimova tříčíselná substituce. Princip je zaloţen na tom, ţe ke kaţdému znaku otevřené abecedy jsou přiřazeny kombinace čísel jedna, dva a tři. 7 Jeden z nejvýznamnějších objevů kryptografie v tomto období je od italského architekta Leona Battista Albertiho. Alberti byl inspirován konverzací se svým přítelem, jenţ pracoval jako sekretář u papeţského stolce. Rozhovor ho inspiroval k napsání eseje, kde rozvíjí myšlenku, kde se u substituční šifry místo jedné šifrovací abecedy pouţije více šifrovacích abeced. Ty se při šifrování otevřeného textu pravidelně střídaly. Pouţití dvou nebo více šifrovacích abeced při šifrování otevřeného textu ztěţovalo prolomení šifry. Alberti tuto myšlenku jiţ dále nerozvíjel. Alberti také navrhl jeden z nejstarších šifrovacích strojů, takzvaný Albertiho šifrovací disk, který pouţíval dvě šifrovací abecedy. Albertiho šifrovací disk se skládá ze dvou kotoučů, kde jeden je menší neţ ten druhý. Po obvodu kotoučů byla napsána písmena abecedy. Kotouče se pak přiloţily na sebe. Menší se dal na větší a byly spojeny na stejné ose tak, aby se mohly nezávisle otáčet. Díky tomu mohly abecedy zaujímat různé vzájemné pozice. Albertiho disk se mohl pouţívat na šifrování, ale i na dešifrování. Například Ceasarovy šifry, kde na druhé abecedě nastavíme posun o danou hodnotu. Pokud nastavíme posun správně, bude vnitřní kruh představovat šifrovací abecedu a vnější bude znázorňovat písmeno po zašifrování. 8 Blaise de Vigenere byl francouzký diplomat, který se zajímal o kryptografii z praktického důvodu. Po skončení s prací diplomata se začal věnovat studiu. Detailně prostudoval teorie Albertiho, Trittheima a Porty. Jejich poznatky sloţil dohromady do SINGH, Simon. Kniha kódů a šifer:utajování od starého Egypta po kvantovou kryptografii Praha:Dokořán ISBN str. č.: KAJÍNEK, Milan. Tajemství šifer po stopách kryptografie a steganografie III [online] [cit ]. Dostupné z: Steganografie-III.html SINGH, Simon. Kniha kódů a šifer:utajování od starého Egypta po kvantovou kryptografii Praha:Dokořán ISBN str. č.: 56-57,

13 uceleného návrhu a vytvořil pomocí nich silnou šifru. Šifra je pojmenována po Vigenerovi hlavně proto, ţe ji vypracoval do finální podoby, i přes čerpání z příspěvků Albertiho, Trittheima a Porty. Nejdůleţitější část Vigenerovi šifry je takzvaný Vigenerův čtverec. Ve čtverci je znázorněna, na úplném vrchu, otevřená abeceda a pod ní je znázorněno 26 šifrovacích abeced, z nichţ kaţdá je posunuta o jednu pozici vůči předchozí abecedě. Velkou výhodou Vigenerovy šifry je, ţe k šifrování nepouţívá pouze jednu šifrovací abecedu, ale hned 26 odlišných šifrovacích abeced, které se mohou libovolně kombinovat. Díky tomu je odolná vůči statickému rozboru. 9 Za zmínku stojí francouzský matematik Francois Viete, který byl velmi schopný kryptoanalytik. Viete hlavně luštil španělské šifry. Jeho schopnost luštění šifer byla tak velká, ţe španělský král Filip II se obrátil na Vatikán a obvinil Vieteho ze spolčení s ďáblem. Papeţ ţádost krále Filipa II odmítl. Toto období charakterizoval otevřený boj mezi kryptografy a kryptoanalytiky. Kryptografové tou dobou ještě stále spoléhali na monoalfabetickou substituční šifru, zatímco kryptoanalytici začínali k jejímu luštění uţívat frekvenční analýzu Novověk V 19. stol. vděčí kryptografie za další rozvoj hlavně telegrafu, po kterém se mohli posílat utajované zprávy. Zprávy posílané pomocí telegrafu měli nevýhodu, ţe je mohli odposlouchávat. Tento nedostatek přinutil uţivatele telegrafu přemýšlet o tom, jak zabezpečit zprávu a jakou metodu k tomu pouţít. Uţivatelé, kteří pouţívali telegraf, proto začali pouţívat tajné kódovací klíče. Ty znaly pouze strany, které spolu komunikovaly. Nejznámější zašifrovaný telegram, který byl rozluštěný, je takzvaný Zimmermannův telegram. V tomto telegramu německý ministr zahraničí Arthur Zimmermann posílal za první světové války zprávu mexické vládě, ţe Německo je rozhodnuto zahájit neomezenou ponorkovou válku, a ţe tento krok by mohl Spojené státy americké přinutit vstoupit do války proti Německu. Německý ministr zahraničí proto v telegramu nabádá mexického prezidenta, aby vstoupil do války se Spojenými státy americkými a přislíbil Mexičanům pomoc. Také v tomto telegramu nabádal mexického prezidenta, aby působil jako prostředník pro jednání s Japonskem a společně zaútočili na Spojené státy americké. Zimmermannův telegram musel být posílaný přes Švédsko a pak teprve poslán dále do Spojených států. Komunikace ze Švédska ale šla 9 10 SINGH, Simon. Kniha kódů a šifer:utajování od starého Egypta po kvantovou kryptografii Praha:Dokořán ISBN str. č.: SINGH, Simon. Kniha kódů a šifer:utajování od starého Egypta po kvantovou kryptografii Praha:Dokořán ISBN str. č.: 41 13

14 přes Anglii, kde se telegramu zmocnili Britové. Zachycený Zimmermannův telegram byl předán do šifrovacího oddělení admirality tzv. Kanceláře č. 40, kde byl telegram po 14. dnech dešifrovaný a následně předán Spojeným státům. 11 Nejprudší rozvoj kryptografie nastal v období světových válek. V této době vznikl i jeden z nejznámějších šifrovacích strojů Enigma. Šifrovací stroj Enigma si roku 1918 nechal patentovat německý inţenýr Arthur Scherbius. Scherbius navrhnul Enigmu, tak aby nahradila staré šifrovací systémy, které pouţívali Němci za první světové války. Tento stroj původně slouţil k civilním účelům. Ve dvacátých letech ho pouţívalo mnoho firem po celém světě, aby ochránili obchodní zájmy svojí společnosti. Proslavil se, aţ kdyţ začal být pouţíván německou armádou. Postupně bylo vyvinuto mnoţství variant Enigmy slouţící pro rozdílné účely. Roku 1925 šla první vojenská verze Enigmy do výroby a byla určena pro německé námořnictvo. Pak byla postupně zavedena i do dalších částí německé armády a do tajných sluţeb. Šifrovací stroj Enigma byl zaloţen na několika rotorech. Rotory tvořily elektrifikovanou variantu Albertiho šifrovacího disku. Rotory nebyly jediné prvky, které tvořily přístroj, ale bylo do něj přidáno mnoţství elektrických a mechanických systémů. Všechny tyto prvky šifrování se daly snadno prolomit. Z tohoto důvodu se prvky vzájemně kombinovaly a tím se sloţitost jejich prolomení zněkolikanásobila a vytvořila zdánlivě nerozluštitelnou šifru. 12 Jako první šifrování Enigmy prolomil polský kryptoanalytik Rejewski, který získal data o stroji od Němce Schmidta. Situace se změnila roku 1938, kdy němečtí kryptografové zvýšili bezpečnost Enigmy na takovou úroveň, ţe ani Rejewski nemohl číst šifrované zprávy. Po obsazení Polska německou armádou v práci na prolomení šifrovaní Enigmy pokračovali Britové a Francouzi. Britští a francouzští kryptoanalytici vycházeli z práce polských kryptoanalytiků, kterou získali ještě před vpádem německých vojsk do Polska. Byly to právě Britové, kteří zlomili šifru Enigmy v Bletchley Park. Bletchley Park bylo, ustředí pro analýzu šifer a jejich luštění. V Bletchley Park nebyla prolomena jen německá šifra Enigma, ale také tady britští kryptoanalytici dokázali prolomit italské a japonské šifrovaní a díky tomu získali převahu na všech bojištích během 2. Světové války. V roce 1944 byly tyto poznatky pouţity i při invazi na evropský kontinent. Po válce si Británie informace o šifrování Enigmy nechala SINGH, Simon. Kniha kódů a šifer:utajování od starého Egypta po kvantovou kryptografii Praha:Dokořán ISBN str. č.: SINGH, Simon. Kniha kódů a šifer:utajování od starého Egypta po kvantovou kryptografii Praha:Dokořán ISBN str. č.:

15 pro sebe a stroje, které zabavila během války, prodala do jiných zemí. Enigma byla pouţívaná do konce 50. let. Díky tomu získala Britská rozvědka velké výhody. 13 Po druhé světové válce se na kryptografii a kryptoanalýzu začalo nahlíţet jako na matematickou problematiku. Díky rozvoji počítačů, které byly stále výkonnější, a celosvětové síti Internet se stala kryptografie běţně pouţívaným nástrojem. Kryptografie spolu s kryptoanalýzou se v tomto období po válce stávají výsadou jednotlivých vlád. V polovině 70. let 20. století bylo zaznamenáno několik velkých posunů v kryptografii. Prvním pokrokem bylo zveřejnění návrhu symetrické šifry Data Encryption Standart. Šifra byla představena Národním institutem standardů a technologií výzkumné skupině z firmy IBM. Data Encryption Standart byla snaha vyvinout zabezpečení elektronické komunikace pro podniky a velké finanční organizace. Po úpravách od NSA, která pracovala v zákulisí, byla šifra v roce 1977 přijata a zveřejněna jako federální standard. Další významný krok byl zaznamenán v roce 1976 a změnil způsob fungovaní kryptografických systémů. Změna byla publikovaná v článku New Directions in Cryptography. Autory byli Whitfield Diffie a Martin Hellman. Byla představena nová metoda distribuce šifrovacích klíčů. Metoda Diffie-Hellman řeší jeden ze závaţných problémů šifrování, kterým je bezpečný přenos šifrovacího klíče protistraně SINGH, Simon. Kniha kódů a šifer:utajování od starého Egypta po kvantovou kryptografii Praha:Dokořán ISBN str. č.: Historie kryptografie. V: Wikipedia:Otevřená encykolpedie [online] Naposledy editována: [cit ]. Dostupné z: 15

16 2 Symetrické šifrovací systémy Moderní symetrické šifrovací systémy jsou zaloţeny na principu pouţití jednoho šifrovacího klíče. Šifrovací klíč se pouţívá na zašifrování otevřeného textu, i na dešifrování zašifrovaného textu. Principiálně symetrické šifrování spočívá v tom, ţe odesilatel a příjemce zprávy vlastní stejný tajný klíč, který si musí před vlastní komunikací nejprve odesilatel a příjemce zprávy vyměnit nějakým bezpečným způsobem. 15 Obrázek 2: Princip symetrického šifrovaní Zdroj: Proudové šifry Proudové šifrování je zaloţeno na bázi symetrického šifrování. Proudové šifry zpracovávají vstupní otevřený text po jednotlivých znacích, tedy bit po bitu, a k tomu se pouţívá tzv. heslo. Heslo můţe být vybráno zcela náhodně, nebo můţe být vygenerováno na základě šifrovacího klíče. Šifrovaný text vzniká sloučením jednotlivých znaků otevřeného textu a hesla. Otevřený text a heslo se nejčastěji slučuje pomocí funkce XOR. Pro dešifrování šifrovaného textu pouţijeme obrácený postup. Na šifrovaný text pouţijeme heslo a tím dostaneme otevřený text. Příjemce i odesilatel potřebují znát heslo, s jehoţ pomocí zašifrují nebo dešifrují zprávu. Proto, aby se nemuselo heslo posílat, se v praxi pro generování hesla pouţívají různé algoritmy. Ty se nastaví pomocí distribuovaného šifrovacího klíče. Tak se 15 ISVS. Symetrické šifrovací algoritmy (16. díl) [online] [cit ]. Dostupné z: 16

17 pokaţdé docílí vygenerování nového hesla a klíč se nemusí často měnit. Proudové šifry vyuţívají principu inicializační hodnoty. Inicializační hodnota je pro kaţdou zprávu určena náhodně. Hodnota se přenáší na začátku spojení v otevřeném textu. Díky inicializační mu vektoru se příslušný algoritmus nastaví vţdy do jiného počátečního stavu. Utajení hesla pouţitého pro šifrování je garantováno šifrovacím klíčem. Proudové šifry se pouţívají zejména tam, kde do komunikačního kanálu přichází jednotlivé znaky v pravidelných nebo nepravidelných časových intervalech. Je potřeba tyto znaky okamţitě přenést, takţe není vhodné nebo není moţné počkat na poslání zbývajících znaků bloku. Proudové šifry je také vhodné pouţívat v případech, kde šifrovací zařízení má omezenou paměť na průchozí data. Další výhodou proudových šifer je malá propagace chyby. To znamená, ţe v případě, kdy vznikne na komunikačním kanále chyba v jednom znaku šifrovaného textu, tato chyba se projeví pouze v jednom odpovídajícím znaku otevřeného textu. 16 Obrázek 3: Princip proudového šifrovaní Zdroj: 16 KLÍMA, Vlastimil, Tomáš ROSA. Kryptologie pro praxi - symetrická a asymetrická kryptografie [online]. Červenec 2003.[cit ]. Dostupné z: 17

18 2.1.1 Proudová šifra RC4 RC4 je jedna z nejpouţívanějších šifer v internetovém prostředí. Šifru navrhl v roce 1987 profesor Ronald Rivertem. Ronald Rivertem byl jedním ze spoluzakladatelů společnosti RSA DSI. Proudová šifra RC4 nevyuţívá inicializační vektor. Na kaţdé spojení se proto musí náhodně vytvořit nový tajný klíč. Klíč inicializuje konečný automat, který následně vygeneruje posloupnost bajtů hesla. Popis RC4 neoficiálně publikoval v roce 1994 neznámy hacker. RC4 umoţňuje volit délku klíče aţ do 256 bajtů. Nejvíce jsou však pouţívané délky 40 a 128 bitů. Šifrovací klíč pro RC4 se pouţívá k vygenerování tajné substituce, tedy substituci bajtu za bajt. Potom se pomocí algoritmu šifry vygeneruje posloupnost hesla. Delší z pouţívaných klíčů se pouţívá na území Spojených států a kratší klíč se pouţívá nejčastěji pro export. Jeho pouţití způsobuje, ţe protokol SSL při vytváření komunikačního kanálu mezi americkými weby a neamerickými klienty musí sníţit délku klíče na 40 bitů. Většina publikovaných proudových šifer se zakládá na lineárních posuvných registrech. Výhodou těchto konstrukcí je, ţe je dobře zvládnuta periodičnost, lineární sloţitost a statistické vlastnosti. Návrh RC4 se vyhýbá pouţití lineárních posuvných registrů a je ideální pro implementaci v softwaru, protoţe vyţaduje pouze bajtovou manipulaci Symetrická proudová šifra A5 Šifra A5 je proudová šifra vyvinutá v devadesátých letech k šifrování GSM hovoru mezi mobilní stanicí a základovou stanicí. Dále není šifrovaný a lze ho tedy odposlouchávat. Existují dvě varianty proudové šifry A5 a to A5/1 a A5/2. První verze šifry A5/1 byla vyvinuta v roce 1987 v USA. Algoritmus A5/1 spolu s algoritmem A5/2 byly utajovány. Tato proudová šifra načítá binárně heslo na otevřený text. Generuje heslo o délce 228 bitů. Z toho je 114 bitů určeno pro šifrování odchozího hovoru a dalších 114 bitů je pro šifrování příchozího hovoru. Úsek těchto 114 bitů se nazývá burst. Kaţdý z burst je označený číselným rámcem TDMA o velikosti 22 bitů. Šifra A5/1 vyuţívá klíč délky 64 bitů, který je spojený s veřejně známým číselným rámcem dlouhým 22 bitů. V implementaci GSM je ovšem deset bitů klíče pevně nastaveno na nulu, takţe efektivní délka klíče je 54 bitů. Kvůli tomu je šifra A5/1 méně bezpečná. Šifra A5/2 byla vyvinuta roku 1999 a byla určena hlavně pro oblast Asie a východní Evropu. Je podstatně méně bezpečná neţ předchozí verze. V průběhu času 17 KLÍMA, Vlastimil. Šifra, která míchá karty. Chip [online]. Září 1999 [cit ]. Dostupné z: 18

19 byla nahrazována původní A5/1, neboť brzy se přišlo na to, jak je moţné šifru prolomit i na běţném osobním počítači Symetrické blokové šifry Blokové šifry, neţ začnou s šifrováním, rozdělí otevřený text do bloků. Blokové šifry většinou pouţívají bloky o velikosti 64 bitů. Pokud dat bylo více neţ 64 bitů, text se rozdělí na více bloků. Po rozdělení do bloků je kaţdý blok samostatně šifrovaný pomocí šifrovacího algoritmu řízeným šifrovacím klíčem. Dešifrování probíhá na stejném principu jako zakódování. Zašifrované bloky stejné délky jsou postupně rozšifrovány pomocí algoritmu za pouţití stejného utajovaného klíče. Nejznámější blokové šifry pouţívaly a pouţívají bloky o délce 64 bitů jako např.:des a Triple DES. V současné době se přechází na bloky o délce 128 bitů, které pouţívá standard AES. 19 Obrázek 4: Princip blokové šifry Zdroj: ROHLÍK, M. Využití proudových šifer v současnosti. [online] [cit ]. Dostupné z: KLÍMA, Vlastimil. Základy moderní kryptologie - Symetrická kryptografie II. Verze: 1.3 [online] [cit ]. Dostupné z: 19

20 2.2.1 Bloková šifra DES DES je jedna z nejpouţívanějších šifer na světě. Koncem osmdesátých let 20. století byla vyvinuta firmou IBM, na základě veřejné soutěţe. Schválena byla jako šifrovací standart v USA pro ochranu citlivých, ale neutajovaných dat ve státní správě. Tento standard se stal součástí mnoha jiných standardů v průmyslu a bankovnictví. DES pouţívá šifrovací klíč o délce 56 bitů a to hlavně kvůli poţadavkům ze strany NSA, to kdyby bylo potřeba šifru prolomit. Během let se šifra DES stala předmětem mnoha výzkumů a útoků. Díky tomu byly objeveny některé nedostatky. V praxi je však zásadní nevýhodou pouze krátký šifrovací klíč. V roce 1998 byl postaven stroj, který měl za úkol vyzkoušet všechny moţné klíče a prolomit tak šifru. V dnešní době se jiţ bloková šifra DES nepouţívá a byla nahrazená svou variantou Triple DES a novější šifrou AES. 20 Obrázek 5: Šifrování blokovou šifrou DES Zdroj: 20 KLÍMA, Vlastimil. Základy moderní kryptologie - Symetrická kryptografie II. Verze: 1.3 [online] [cit ]. Dostupné z: 20

21 Princip blokové šifry DES je zaloţen na tom, ţe otevřený text se rozdělí do bloků o délce 64 bitů. Klíč je expandován do šestnácti rundových klíčů. Kaţdý z těchto klíčů má velikost 48bitů. Kaţdý bit z rundového klíče je část z původního klíče. Šifra DES na začátku šifrování místo zašumění otevřeného textu pouţívá bezklíčovou pevnou permutaci. Na konci místo závěrečného zašumění pouţívá inverzi k počáteční permutaci. Po počáteční permutaci se kaţdý 64 bitový blok rozdělí na pravou a levou stranu o velikosti 32 bitů. Tyto strany jsou následně kaţdým rundovým klíčem transformovány na obraz mnoţiny šifrovaných informací. Po pouţití šestnáctého rundového klíče jsou pravá a levá strana prohozeny a je pouţita koncová inverzní permutace. Dešifrování šifrovaného textu probíhá na podobném principu, jen s tím rozdílem, ţe se prohodí pořadí výběru rundových klíčů Tripel DES Jednou z největších slabin blokové šifry DES je délka šifrovacího klíče. Malá délka klíče vystavila šifru DES ohroţení útoku hrubou silou. Tato slabina byla kompenzována cestou, kde klasický DES se pouţívá jako stavební prvek. Triple DES pouţívá celkem tři bloky. Díky tomu se zvětší i délka klíče a odolnost algoritmu, ale také se sníţí jeho rychlost. Celý šifrovací klíč se skládá z tří podklíčů, které jsou aplikované na jednotlivé bloky. Principem Triple DES je, ţe v prvním bloku zašifruje zprávu pomocí prvního podklíče a tento zašifrovaný text jde do druhého bloku. V druhém bloku je zašifrovaný text pomocí druhého podklíče dešifrován a dešifrovaný text je poslán do třetího bloku. V třetím bloku se následně zašifruje pomocí třetího klíče do finálního šifrovaného textu. Dešifrování textu probíhá na stejném principu. 22 Existují tři varianty Triple DES podle toho, jaké zvolíme tři podklíče pro jednotlivé bloky. Nejjednodušší variantou je zopakování tří šifrovacích operací DES se stejnými podklíči. Tato varianta se označovaná jako jednoduchý DES a pro kaţdý blok pouţívá stejný podklíč. Skutečná délka klíče této varianty se nijak neliší od předchozí, která byla 56 bitů. Druhá varianta je označována jako dvojitý DES. V druhé variantě jsou první a druhý podklíč na sobě nezávislý a první a třetí jsou stejný. Kvůli rozlišnosti prvního a druhého klíče je efektivní délka 112bitů místo 56 bitů. Poslední a nejčastější variantou pouţívanou v praxi je plný trojitý DES, který je definovaný některými standardy a bankovními normami. V této KLÍMA, Vlastimil. Základy moderní kryptologie - Symetrická kryptografie II. Verze: 1.3 [online] [cit ]. Dostupné z: Triple DES V: Wikipedia:Otevřená encyklopedie [online] Naposledy editována: [cit ]. Dostupné z: 21

22 variantě jsou všechny tři klíče na sobě nezávislé. Díky tomu se efektivní délka klíče zvýšila na 168 bitů. 23 Obrázek 6: Princip šifrování Tripel DES Zdroj: Advanced Encryption Standart (AES) Standart Advanced Encryption Standard je nástupcem po DES, který čelil útokům hrubou silou a byl zranitelný. Výběrové řízení na náhradu standartu DES roku 1997 vybralo algoritmus s pracovním názvem Rijndael. V platnost vstoupil jako AES roku 2002, kdy byl vydán jako standart v oficiální publikaci. Advanced Encryption Standard je veřejně dostupný standard, který se pouţívá k ochraně citlivých neutajovaných informací. AES je stejně jako DES symetrická bloková šifra. Rozdíl je ve velikosti jejich bloků. Zatímco DES měl bloky o délce 64 bitů, algoritmus AES pouţívá bloky o délce 128 bitů. AES můţe pouţívat tři délky šifrovacích klíčů: 128, 192 a 256 bitů. V závislosti na délce klíče se mění algoritmus a s ním počet rundů mezi 10, 12 a 14. Díky větším bloků a delším klíčům se zabraňuje mnoha útokům, které bylo moţné provést na DES a jiné blokové šifry. Algoritmus neobsahuje ţádné známé chyby jako DES. AES je velmi sloţitý. Byl navrţen pro různé typy procesorů. Má malé nároky na paměť a je velmi rychlý. Pokud někdo v algoritmu neobjeví nějakou slabinu, předpokládá se, ţe zůstane standardem po několik desetiletí a bude mít obrovský vliv na počítačovou bezpečnost Triple DES V: Wikipedia:Otevřená encyklopedie [online] Naposledy editována: [cit ]. Dostupné z: KLÍMA, Vlastimil. AES- nová šifra nastupuje. Chip [online]. květen 2002 [cit ]. Dostupné z: 22

23 3 Hashovací funkce V moderní kryptografii jsou hashovací funkce povaţovány za jeden z nejsilnějších nástrojů. Jsou klíčovou myšlenkou počítačové revoluce. Hashovací funkce do kryptografie přinesly řadu nových moţností jejich pouţití. Původní hashovací funkce měla za úkol k libovolně velkému vstupu přiřadit na výstupu krátký hashovací kód o pevně definované délce. Výstup dat hashovací funkce se nazývá Hash nebo otisk. Na pouţívané hashovací funkce v kryptografii se klade větší důraz hlavně na vlastnosti jako je jednosměrnost a bezkoliznost Jednosměrná funkce Hashovací funkce jsou jednosměrné funkce, které musí splňovat, ţe ze vstupních dat lze vypočítat výstupní data (hash). Ale obráceně při zadání náhodného hash kódu je v současné době nemoţné vypočítat vstupní data. Krásný příklad jednosměrné funkce je součin dvou prvočísel. Vynásobením těchto dvou prvočísel získáme součin, který představuje výstupní data. Z vypočítaného součinu v současné době neexistuje dostatečně efektivní metoda pro vypočet původních dvou prvočísel. 26 Obrázek 7: Jednosměrná funkce. Zdroj: Existuje i druhá varianta jednosměrných funkcí. Jsou to jednosměrné funkce s padacími vrátky. Tyto jednosměrné funkce způsobily revoluci v moderní kryptologii. Je moţné je invertovat a to za předpokladu, ţe jsme obeznámeni s padacími vrátky. Podmínka se KLÍMA, Vlastimil. Hašovací funkce, principy, příklady a kolize. Verze: 1 [online] [cit ]. Dostupné z: KLÍMA, Vlastimil. Hašovací funkce, principy, příklady a kolize. Verze: 1 [online] [cit ]. Dostupné z: 23

24 musí vztahovat jak na transformaci jako celek, ale i pro jednotlivé funkční hodnoty. Padací vrátka představují privátní klíč, pomocí kterého funkci invertujeme. Například si můţeme představit ovou schránku. Kdokoliv nám do ní můţe zaslat , ale y můţe číst jen ten, kdo zná přístupový kód do ové schránky Bezkoliznost Další důleţitou vlastností hashovacích funkcí je bezkoliznost. Odolnost proti kolizím poţaduje, aby nebylo výpočetně moţno nalezení dvou různých zpráv, které mají stejnou hash funkci. Pokud to neplatí, nalezli jsme kolizi. Výše popsané bezkoliznosti říkáme bezkoliznost 1. řádu nebo jen bezkoliznost. Bezkoliznost se zásadním způsobem vyuţívá u digitálního podpisu, kde se nepodepisuje přímo zpráva, ale pouze hash zprávy. Další definice je odolnost proti bezkoliznosti druhého řádu. Hashovací funkce bude odolná proti druhému vzoru tehdy, jestliţe první náhodný vzor výpočetně nezvládne nalézt druhý vzor Secure Hash Algorithm (SHA) SHA je jedna z nejznámějších hashovacích funkcí. SHA byla navrţena NSA a následně vydána NIST jako jeden z amerických federálních standardů. Secure Hash Algorithm nezahrnuje jen jednu hashovací funkci, ale hned pět funkcí. Čtyři z těchto hashovacích funkcí byly sloučeny do jednoho algoritmu, který je označovaný jako SHA-2. Hashovací funkce SHA jsou pouţívány v různých aplikacích a protokolech. Pouţívají se i pro kontrolu integrity souborů a ukládaní dat. Jsou jedním z nástupců hashovaní funkce MD SHA-1 Původní algoritmus byl publikován roku 1993 spolu s jeho specifikacemi. Vedením NIST byl představen jako Secure Hash Algorithm. Verzi vydanou roku 1993 můţeme dnes znát pod zkratkou SHA-0.Krátce po vydání byla NSA staţena a nahrazena novější upravenou verzí. Ta byla vydána v roce 1995 s označením jako SHA-1. Změny provedené NSA v algoritmu SHA-0 přidali pouze jednu bitovou rotaci do algoritmu SHA-1. V následujících letech byly objeveny chyby v SHA-0 tak i v SHA-1. Přes tyto chyby je povaţován algoritmus KLÍMA, Vlastimil. Základy moderní kryptologie Symetrická kryptografie I. Verze: 1.2 [online] [cit ]. Dostupné z: KLÍMA, Vlastimil. Hašovací funkce, principy, příklady a kolize. Verze: 1 [online] [cit ]. Dostupné z: Secure Hash Algorithm. V: Wikipedia:Otevřená encykolpedie [online] Naposledy editována: [cit ]. Dostupné z: 24

25 SHA-1 za bezpečnější. Obě funkce SHA-0 a SHA-1 transformují vstupní data o maximální délce bitů a transformují je na data o délce 160 bitů SHA-2 V roce 2001 NIST zveřejnila návrhy dalších čtyři hashovací funkcí SHA,které jsou označovány jako SHA-2. Číselná hodnota ve jménech těchto algoritmů představuje délku výstupních dat. V následujícím roce byla SHA-2 přijata jako oficiální standart. I přesto, ţe je SHA-2 bezpečnější, její pouţívání není tak velké. Důvodem je několik aspektů. Například nedostatečná systémová podpora nebo čekání na standart SHA-3. Podle směrnic americké vládní agentury NIST přestal se pouţívat SHA-1 po roce V současnosti se v České republice se pouţívají certifikáty na bázi SHA-2, které jsou určené pro datové schránky Message Digest algorithm (MD) Další velmi hojně pouţívané hash funkce spadají do rodiny Message Digest. Autorem těchto algoritmů je Ronald Rivest, zakladatel RSA Data Security Inc. Byly navrhnuty tři varianty MD2, MD4 a MD5.Pouţívání těchto funkcí podléhá licenci. V roce 1989 byla prezentována MD2. V následujících letech byla publikována MD4 a další rok po ní MD5.Funkce oproti předchozí verzi byly orientované na pouţívání bitů. MD2 pracovala s bajty a byla oproti následným funkcím velmi pomalá. MD4 nahradila MD2. Byla ale velmi slabá z hlediska bezpečnosti. MD5 dokonce nedoporučoval pouţívat sám autor Ronald Rivest a to všude, kde by se mohlo vyuţívat kolizi. Tyto nedostatky zapříčinily úpadek těchto funkcí RIPEMD Funkce RIPEMD byla navrţena v rámci Komise Evropského společenství za účelem standardizace kryptografických funkcí. V rámci projektu bylo navrhnuto několik kryptografických nástrojů. Projekt byl završen v polovině 90. let 20. století. Při navrhování RIPEMD bylo vycházeno z MD4. RIPEMD má oproti svému vzoru zvýšenou bezpečnost. RIPEMD pouţívá dvě kompresní funkce a jejich výsledky následně zpracovává v bloku. Největší slabinou funkce je, ţe pracuje se 128 bitovým kódem. Proto byla v roce Secure Hash Algorithm. V: Wikipedia:Otevřená encykolpedie [online] Naposledy editována: [cit ]. Dostupné z: Secure Hash Algorithm. V: Wikipedia:Otevřená encykolpedie [online] Naposledy editována: [cit ]. Dostupné z: KLÍMA, Vlastimil. Hašovací funkce a kódy- Jak se melou data. Chip [online]. Duben 1999 [cit ]. Dostupné z: 25

26 nahrazena RIPEMD-160 se 160 bitovým hashovacím kódem. Také byla navrţena verze se 128 bitovým kódem jako náhraţka za předchozí verzi tam, kde nebylo moţné pouţít 160 bitový kód. Obě dvě verze navrhly H. Dobbertin,A. Bosselaers a B. Preneel KLÍMA, Vlastimil. Hašovací funkce a kódy- Jak se melou data. Chip [online]. Duben 1999 [cit ]. Dostupné z: 26

27 4 Asymetrické šifrovací systémy Asymetrické šifrovací systémy jsou skupina kryptografických metod, kde se nepouţívá pouze jeden tajný šifrovací klíč, ale pár šifrovacích klíčů. Soukromý a veřejný. Veřejný šifrovací klíč je dostupný kaţdému a soukromý šifrovací klíč zná pouze vlastník klíče. Pokud se zašifruje zpráva veřejným klíčem, příjemce ji můţe dešifrovat pouze odpovídajícím soukromým klíčem. Mezi základní druhy asymetrické kryptografie patří protokoly pro dohodu o klíči, podpisová schémata a šifrovací schémata. 34 Obrázek 8: Princip asymetrického šifrování Zdroj: vlastní úprava 4.1 Asymetrický algoritmus RSA Roku 1977 byl popsán algoritmus RSA. Metoda RSA je zaloţena na principech asymetrické kryptografie. RSA je šifra s veřejným klíčem. Algoritmus RSA je povaţovaný za 34 KLÍMA, Vlastimil, Tomáš ROSA. Kryptologie pro praxi [online]. Srpen 2003.[cit ]. Dostupné z: 27

28 první, který je vhodný pro elektronický podpis a i šifrování zpráv. Autory algoritmu jsou Ronald Rivest, Adi Shamir a Leonard Adleman. Iniciály těchto autorů tvoří název algoritmu. Bezpečnost algoritmu je zajištěna matematickým problémem. RSA je zaloţena na náročnosti řešení úlohy faktorizace, kde se vychází z toho, ţe je obtíţné rozloţit velká čísla, která vznikla součinem dvou vysokých prvočísel. Úroveň bezpečnost zašifrování lze libovolně změnit. Pomocí velikosti modulu je moţné zvýšit bezpečnost RSA. Algoritmus se pouţívá i v dnešní době, přičemţ obecně platí, ţe kdyţ je zvolený klíč o dostatečné délce, je algoritmus bezpečný. Celý algoritmus RSA vychází z obtíţnosti faktorizace velkých čísel. Veřejný a soukromý klíč se odvozují jako součin dvou velkých prvočísel. Veřejný klíč RSA je tvořen dvěma celými čísly n a e. Číslo n je označováno jako modul a číslo e jako šifrovací nebo veřejný exponent. Číslo n vypočítáme pomocí vzorce n = p*q. Kde p a q jsou zvolená utajená prvočísla vysoké hodnoty. Hodnota modulu n v RSA určuje délku klíče. Délka modulu se liší podle vyuţití. Nejčastěji se pouţívá 1024 bitů. U citlivých dat se můţeme setkat s delšími moduly o hodnotách 2048, 3072 nebo 4096 bitů. Soukromým klíčem RSA je tvořen dvojicí čísel n a d. Kde číslo d představuje dešifrovací nebo soukromý exponent. 35 Prvním krokem při pouţití algoritmu RSA je vytvoření veřejného a soukromého klíče. Proto si na začátku zvolíme dvě různě velká prvočísla p a q. Ze zvolených prvočísel následně vypočítáme součin pomocí vzorce: n = p * q. (1) V dalším kroku spočítáme pomocí Eulerovy funkce hodnotu φ. Dalším krokem je, ţe zvolíme šifrovací exponent e. Šifrovací exponent musí splňovat několik parametrů. Exponent musí být menší neţ hodnota φ a zároveň být nesoudělný s φ. Následně pouţijeme rozšířený Euklidův algoritmus na zvolené číslo e a hodnotu φ. Díky algoritmu vypočítáme hodnotu soukromého exponentu d. Dešifrovací exponent musí splňovat následující podmínky d*e = 1 (mod φ). Tímto postupem jsme vytvořili dvojici klíčů. Šifrovaná komunikace mezi dvěma osobami bude vypadat přibliţně takto. Odesilatel otevřený text pomocí dohodnutých způsobů převede text na číslo m. Číslo musí splňovat podmínku, ţe délka zprávy m je menší neţ modul n. Otevřený text pak následně zašifrujeme pomocí funkce: c = m e mod n. (2) 35 KLÍMA, Vlastimil, Tomáš ROSA. Kryptologie pro praxi - metoda RSA [online]. Březen 2004.[cit ]. Dostupné z: 28

29 Nyní můţe odesilatel poslat příjemci šifrovaný text nezabezpečeným kanálem. Dešifrování šifrovaného textu probíhá na podobném principu. Jakmile příjemce obdrţí šifrovanou zprávu, dešifruje ji pomocí funkce: m = c d mod n. 36 (3) 4.2 Algoritmus digitálního podpisu (DSA) Algoritmus digitálního podpisu je popsaný v dokumentu Digital Signature Standard. Asymetrický algoritmus DSA je zvláštní oproti jiným asymetrickým algoritmům. DSA byl vytvořený tak, aby šel pouţít pouze k digitálnímu podpisu a nedal se pouţít k šifrování dat. Byl navrţený v roce 1991 v institutu NIST. Stal se součástí amerického standartu Digital Signature Standard (DSS). DSA si nechal patentovat bývalý zaměstnanec Národní bezpečnostní agentury NSA David W. Kravitz. Patent byl následně uvolněný pro veřejnost k volnému vyuţívání. Algoritmus je zaloţen na problematice diskrétního logaritmu a je odvozený od systému, který původně navrhli Schnorr a ElGamal. 37 Původní návrh počítal, ţe DSA bude mít modul o délce 512 bitů. Délka modulu se postupně zvyšovala, aţ se dosáhla na hodnotu 1024bitů.Stadard byl pak následně přijat roku Roku 1998 byl standard DSS aktualizovaný i o algoritmus RSA. DSA byl také vloţen do amerických norem v bankovnictví. Je hojně pouţívaný v mnoha společnostech a i aplikacích. 38 Pro aplikaci algoritmus DSA musíme určit parametry Digital Signature Standard (DSS). Prvním parametrem je veřejný modul p o délce 1024 nebo vyšší. Veřejný modul p musí splňovat podmínku, ţe bude v rozsahu < p < Následně zvolíme veřejné 160bitové číslo q. Prvočíslo q musí být v intervalu < q < Prvočíslo q je dělitelem zvoleného čísla p - 1. Veřejné číslo g následně budeme muset vypočítat pomocí vzorce: g = h (p-1)/q mod p. (4) Vybereme celé přirozené číslo h, abychom mohli vypočítat vzorec. Číslo má splňovat podmínku, ţe se nachází v intervalu 1 < h < p 1. Zvolíme si soukromý klíč x, který musí RSA. V: Wikipedia:Otevřená encykolpedie [online] Naposledy editována: [cit ]. Dostupné z: Digital Signature Algorithm. V: Wikipedia:Otevřená encykolpedie [online] Naposledy editována: [cit ]. Dostupné z: KLÍMA, Vlastimil. DSS- podpis bez pera a papíru. Chip [online]. Květen 1999 [cit ]. Dostupné z: 29

30 nacházet v rozsahu intervalu 0 < x < q. Zvolené parametry následně pouţijeme pro vypočítání veřejného klíče. Veřejný klíč vypočítáme pomocí vzorce: y = g x mod p. (5) Dále je důleţitý 160 bitový parametr k, který se generuje pro kaţdý podpis samostatně. Parametr k musí splňovat podmínku 0 < k < q. Při podepisování by kaţdá nová zpráva měla mít novou hodnotu parametru k. Stejně jako soukromý klíč se i parametr k nesmí prozradit. Podpis zprávy se provede následně. V první řadě se vytvoří hashovací kód m za pouţití funkce SHA-1.Následně se vygeneruje parametr k pomoci, kterého vypočítáme dvojici čísel r a s. Číslo r se vypočítá pomocí vzorce: r = (g k mod p) mod q. (6) Hodnotu čísla r následně pouţijeme pro výpočet čísla s. Pokud se úspěšně vypočítala hodnota čísla r.číslo r se můţe následně dosadit do vzorce: s = (k -1 (m + xr)) mod q. (7) Dvojice čísel r a s tvoří podpis. Dvojice se připojí ke zprávě a vytvoří zprávu s digitálním podpisem. 39 Samozřejmě, ţe pokud obdrţíme zprávu s digitálním podpisem, chceme si ověřit, zda je věrohodná. Abychom si ověřili podpis, musíme vypočítat hashovací hodnotu m. Také budeme muset získat z důvěryhodných zdrojů parametry p, q, g. Příjemce zprávy bude muset také vlastnit veřejný klíč y odesilatele. Vlastní parametry zkontrolujeme, jestli splňují podmínku 0 < r < q. Stejná podmínka platí také pro číslo s. Jestli dvojice čísel splňuje podmínku, můţeme vypočítat pomocné proměnné. Proměnné se vypočítají pomocí ze vzorců: w = s -1 mod q, (8) u1 = m*w mod q, (9) u2 = r*w mod q. (10) Hodnoty u1 a u2 následně dosadíme do posledního vzorce: 39 KLÍMA, Vlastimil. DSS- podpis bez pera a papíru. Chip [online]. Květen 1999 [cit ]. Dostupné z: 30

31 v = (g ul y u2 mod p) mod q. (11) Vypočítanou hodnotu následně porovnáme s hodnotou r. Pokud je hodnota r rovna v je podpis v pořádku ElGamal ElGamal je algoritmus asymetrické kryptografie. Skládá se z šifrovacího a podpisového schématu. Algoritmus navrhnul roku 1985 Taher ElGamal. Pouţívaní tohoto schématu oproti ostatním algoritmům jako je RSA nebo podpisové schéma D-H není tak velké. Jedním z důvodů proč není tak hojně pouţíván jako jiné algoritmy je, ţe šifrovaný text je dvakrát větší neţ otevřený text. I přesto je šifrovací schéma ElGamal zastoupeno v mnoha standardech, programech a prostředí jako alternativa k jiným algoritmům. Princip algoritmu je zaloţený na počítání diskrétních logaritmů. Stejně jako u předchozího algoritmu i v tomto případě musíme vytvořit veřejný a soukromý klíč. Pouţívání ElGamal je v dnešní době v útlumu. 41 K vytvoření veřejného klíče si musíme zvolit vysoké prvočíslo p a hodnotu generátoru g multiplikativní skupiny Z p *.Dále zvolíme náhodné číslo a, které nám zároveň představuje privátní klíč. Číslo a se musí nacházet v intervalu 1< a < p 2. Následující hodnoty dosadíme do vzorce: y = g a mod p (12) Ze vzorce vypočítáme veřejný klíč. Veřejný klíč tvoří tři podhodnoty, které jsou p, g, g a. Privátní klíč představuje hodnota a. Šifrována komunikace mezi odesilatelem a příjemcem zprávy by probíhala následně. Odesílatel zprávy zjistí hodnotu veřejného klíče (p, g, g a ). Pak převede otevřený text na celé číslo m v rozsahu <0, p 1>. Následně si zvolí náhodné celé číslo, které je v intervalu <1, p-2>. Vypočítáme hodnotu γ a δ pomocí funkcí: γ = g a mod p, (13) δ = m ( g a ) k mod p. (14) Zašifrovaný text následně prezentuje dvojice γ a δ, který se potom přepošle příjemci. Příjemce dešifruje šifrovaný text za pouţití privátního klíče a funkce: KLÍMA, Vlastimil. DSS- podpis bez pera a papíru. Chip [online]. Květen 1999 [cit ]. Dostupné z: KLÍMA, Vlastimil, Tomáš ROSA. Kryptologie pro praxi schémata ElGamal [online]. Červen 2004.[cit ]. Dostupné z: 31

32 m = δ * γ a mod p. 42 (15) Elgamal postupně nahradili novější algoritmy DSA a ECDSA. 4.4 Diffieho-Helmanova výměna klíčů Diffieho-Hellmanův kryptografický protokol je pojmenovaný po Whitfieldu Diffie a Martinu Hellmanovi kteří ho navrhli roku Protokol se stal první praktickou metodou pro sdílení tajných informací na nechráněném komunikačním kanálu. Protokol umoţňuje po nezabezpečeném kanálu mezi dvěma komunikujícími stranami vytvořit šifrované spojení, aniţ by si mezi sebou předtím dohodli šifrovací klíče. Pomocí tohoto protokolu se vytvoří šifrovací symetrický klíč, který mohou uţivatelé následně pouţít pro šifrování komunikace mezi sebou. Uţivatelé klíč vytvoří na základě vyměněných informací, které jsou posílány po částech, a z kterých se následně vytváří šifrovací klíč. V případě, ţe by byl kanál někým odposlouchávaný, je pro něj nemoţné zjistit šifrovací klíč, který bude pouţit na šifrování komunikace. Nevýhodou tohoto protokolu je, ţe neumoţňuje ověření účastníků. Proto je vhodné pouţívat protokol tam, kde nehrozí, ţe bude někdo aktivně zasahovat do komunikace. 43 Pokud chtějí dva uţivatelé A a B zahájit komunikaci pomocí protokolu D-H. Musí se nejprve dohodnout na veřejných parametrech p a g, kde p představuje prvočíslo a hodnota g představuje generátor grupy Z p *. Po vzájemné dohodě na veřejných parametrech si oba uţivatelé zvolí tajný klíč x. Celé číslo, které představuje soukromý klíč, musí být v rozmezí intervalu 1 < x < p-2. Po zvolení soukromého klíče uţivatelé pouţijí veřejné parametry a soukromý klíč k vypočítání veřejného klíče y za pomoci vzorce. Vypočítané veřejné klíče si následně přepošlou.veřejné klíče jsou obvykle ověřené certifikátem, aby se zabránilo útoku třetí osobě. V momentě, kdy bude uţivatel B vlastnit veřejný klíč uţivatele A, pouţije uţivatel B vzorec: xb K B = y A mod p. (16) Do vzorce se dosadí hodnoty získané v předchozích krocích. Stejný postup pouţije i uţivatel A s podobným vzorcem: K A = y xa B mod p. (17) MENEZES, A., van OORSCHOT, P., VASTONE, S., Handbook of Applied Cryptography. CRC Press, 1996 ISBN: str.: Dostupné z: Diffieho-Hellmanova výměna klíčů. V: Wikipedia:Otevřená encyklopedie [online] Naposledy editována: [cit ]. Dostupné z: 32

33 Vypočítaná hodnota K by měla být stejná jak u uţivatele A tak i u uţivatele B. Hodnota K je sdílené tajemství z kterého se vyvodí symetrický šifrovací klíč. Pro větší bezpečnost na začátku spojení si uţivatelé vymění diversifikační hodnoty. Diversifikační hodnoty, zabraňují útokům zaloţeným na opakování přenosu zachycené zprávy Kryptografie eliptických křivek (ECC) Kryptografie eliptických křivek je metoda pouţívaná k šifrování veřejných klíčů. Metoda je zaloţena na algebraických strukturách eliptické křivky nad konečnými poli. Pouţití eliptických křivek navrhli nezávisle na sobě jiţ v roce 1985 Neal Koblitz a Victor S. Miller. Předpokládá se, ţe nalezení diskrétního logaritmu náhodného elementu eliptické křivky, s ohledem na známý základní bod, je nemoţné. Úroveň zabezpečení je určena velikostí eliptické křivky. Stejné úrovně zabezpečení jako RSA sytému se zvoleným velkým modulem můţeme dosáhnout s menší skupinou eliptických křivek. Pouţití malé skupiny eliptických křivek přinese sníţení nároků na přenos i místo. V současné době se pro kryptografické účely pouţívá rovinná křivka, která se skládá z bodů vyhovujících rovnici: y 2 = x 3 + ax + b. Jako u ostatních šifrovacích metod zaloţených na veřejném klíči, nebyl doposud publikován ţádný matematický důkaz o matematické bezpečnosti ECC. Národní bezpečnostní agentura schválila pouţívání ECC k šifrování informací s označením přísně tajný Diffieho-Hellmanův protokol s využitím eliptických křivek (ECDH) ECDH je varianta Diffieho-Hellmanova protokolu na výměnu klíčů. Tato varianta oproti původnímu D-H protokolu pouţívá eliptické křivky, aby zajistila bezpečnou komunikaci. Komunikace bude probíhat podobně jako při D-H, ale uţivatelé A a B si budou vyměňovat jiné informace. Oba uţivatelé pouţívají stejnou eliptickou křivku a stejný bod P, který se nachází na eliptické křivce. Pokud jsou tyto podmínky splněny, uţivatel A si zvolí soukromý klíč d A a veřejný klíč Q A. Stejný postup provede i uţivatel B a zvolí si soukromý d B a veřejný klíč Q B. Uţivatelé A a B si mezi sebou vymění veřejné klíče a vypočítají bod Z leţící na křivce, aniţ by spolu jiţ komunikovali. Uţivatel A vypočte bod Z d A *Q B. Uţivatel B provede tentýţ úkon, jen pouţije svůj soukromý klíč a veřejný klíč uţivatele A. Tedy uţivatel B pouţije vzorec d B *Q A. Vypočítaný bod Z, který účastníci A a B vypočítali, musí být stejný KLÍMA, Vlastimil, Tomáš ROSA. Kryptologie pro praxi protokol D-H [online]. Květen 2004.[cit ]. Dostupné z: Kryptografie nad eliptickými křivkami. V: Wikipedia:Otevřená encyklopedie [online] Naposledy editována: [cit ]. Dostupné z: 33

34 Po vypočítání bodu Z se stává bod společným tajenstvím obou uţivatelů. Z vypočítaného bodu se následně odvozuje pomocí různých technik symetrický klíč, který se pouţije k šifrování komunikace. Stejně jako u základní varianty D-H pouţívající prvočísla i v této variantě, pokud někdo zachytí veřejné klíče Q, tak nemůţe zjistit vypočítávaný bod, protoţe nezná soukromé klíče uţivatelů KLÍMA, Vlastimil. Kryptografie eliptických křivek- Eliptické křivky a šifrování. Chip [online]. Říjen 2002 [cit ]. Dostupné z: 34

35 5 Výhody a nevýhody kryptografických metod Kaţdá z kryptografických metod má své výhody a nevýhody. Aby se vyuţily výhody některých metod, v praxi se různě zkombinují, a vytváří se jednoduché kombinace šifrování. 5.1 Výhody a nevýhody symetrické kryptografie Symetrické šifry nevyţadují velkou výpočetní náročnost. Díky tomu je jednou z největších výhod symetrické kryptografie její rychlost šifrování a dešifrování dat. Největší slabinou symetrických metod je problém s počáteční výměnou klíčů. Šifrovací klíč, který bude pouţit pro šifrování a dešifrování, musí být poslán bezpečným způsobem, aby se zajistila bezpečnost. Proto je vhodné s ním šifrovat data. Například na počítači, kde se nikam nemusí posílat šifrovací klíč. Další nevýhodou je růst počtu klíčů. Počet klíčů roste druhou mocninou komunikujících dvojic. Metody symetrického šifrování nejsou vhodné pro elektronické podepisování dokumentů Výhody a nevýhody asymetrické kryptografie Šifrování asymetrickými šiframi je výpočetně náročnější, ale i pomalejší oproti symetrickému šifrování. Pokud bychom mezi nimi porovnali rychlost, jak šifrují a dešifrují data, zjistilo by se, ţe symetrické šifry jsou 1000 aţ rychlejší neţ asymetrické šifry. Výhodou asymetrických šifer je, ţe potřebné veřejné klíče lze přenášet i nezabezpečeným kanálem. Počet klíčů u asymetrické kryptografie neroste jako u symetrické, ale lineárně s přibývajícím počtem komunikujících dvojic. Metody asymetrického šifrování jsou vhodné pro elektronické podepisování dokumentu ISVS. Symetrické šifrovací algoritmy (16. díl) [online] [cit ]. Dostupné z: ISVS. Asymetrické šifrování a jeho praktické využití (19. díl) [online] [cit ]. Dostupné z: 35

36 6 Využití kryptografie V dnešní době slouţí kryptografie i k vojenským účelům. Hlavním důvodem je, aby nebyly získány klíčové informace a nemohly se zneuţít. Kryptografie se ve velkém pouţívá také pro civilní účely. Setkáme s ní v bankovnictví, při pouţívání internetu, zašifrování dat v počítači a největší zastoupení má v komunikaci. Pouţívá se jak symetrické tak asymetrické šifrování. To se hlavně pouţívá pro elektronický podpis. 6.1 Elektronický podpis Elektronický podpis jsou údaje v elektronické podobě, které nahrazují klasický, vlastnoručně napsaný podpis. Data jsou připojené k datové zprávě, nebo jsou s ní logicky spojené. Elektronický podpis je vytvořený pro konkrétní data, proto ho nelze překopírovat z jedné zprávy do jiné. Elektronický podpis by měl umoţnit ověření totoţnosti podepsané osoby ve vztahu k datové zprávě. Zaručený elektronický podpis je elektronický podpis v podobě, kde je moţné ověřit pravost dokumentů a autentizaci podepsaného. Tento podpis musí splňovat vlastnosti, které jsou stanovené v zákoně o elektronickém podpisu Vytvoření a ověření elektronického podpisu V dnešní době můţe elektronický podpis pouţívat kaţdý uţivatel. Pro komunikaci se statní správou je potřeba získat certifikát. V následující podkapitole si popíšeme, jak získáme certifikát a vytvoříme elektronický podpis v dokumentu a následně ho ověříme. Prvním krokem je vystavení certifikátu, díky kterému náš elektronický podpis získá důvěryhodnost. Certifikát nám vystaví jedna ze tří akreditovaných autorit za poplatek dle jejich ceníku. Nejdříve musíme na svém počítači, na kterém budeme chtít pouţívat elektronický podpis vytvořit ţádost o elektronický podpis. Ţádost vytvoříme ve speciální aplikaci, která je přístupná na internetových stránkách poskytovatelů těchto sluţeb. Ţádost následně uloţíme v elektronické podobě na externí datové zařízení například: USB disk. S přenosným zařízením se uţivatel dostaví do pobočky firmy, která sluţby nabízí a vyplní smlouvu pro získání certifikovaného podpisu. Uţivatel bude muset pro svoji identifikaci předloţit dva doklady totoţnosti. Certifikát se následně na počkání přidá na USB disk. Následně se nainstaluje doma na počítači, který jsme pouţili pro vytvoření ţádosti 49 Elektronický podpis. V: Wikipedia:Otevřená encykolpedie [online] Naposledy editována: [cit ]. Dostupné z: 36

37 o elektronický podpis. Po jeho nainstalování uţ můţe uţivatel pouţívat veřejný klíč s důvěryhodným certifikátem, který prokáţe jeho totoţnost. 50 Obrázek 9: Vytvoření a ověření elektronického podpisu Zdroj: Dokument podepíšeme následným způsobem. Uţivatel si vybere dokument, který chce elektronicky podepsat. Pomocí hashovací funkce se vytvoří otisk dokumentu. Tento otisk, který jsme získali pomocí hashovací funkce následně zašifrujeme soukromým klíčem uţivatele. Tím jsme vypočítali elektronický podpis, který je vázaný ke zvolenému dokumentu a nemůţe existovat sám o sobě. Dokument se můţe následně poslat elektronickou podobou příjemci, který následně ověří pravost dokumentu. Příjemce při obdrţení dokumentu s elektronickým podpisem nejprve vypočítá za pomocí hashovaní funkce otisk (hash) dokumentu. Potom podpis poslaný s dokumentem dešifruje pomocí veřejného klíče, čím získáme druhý otisk (hash). Pokud jsou oba otisky stejné, je elektronický podpis platný 50 SLAVÍK, Matěj. Jak získat elektronický podpis. Olomoucký deník [online] [cit ]. Dostupné z: 37