Kryptologie a kombinatorika na slovech. 6. března 2013

Transkript

1 Kryptologie a kombinatorika na slovech L ubomíra Balková Seminář současné matematiky 6. března 2013

2 Program 1 Hašovací funkce 2 Aperiodický generátor náhodných čísel

3 Program Hašovací funkce 1 Hašovací funkce 2 Aperiodický generátor náhodných čísel

4 Jednocestnost a bezkoliznost Definice (jednocestné funkce) f : X Y nazveme jednocestná (one-way), pokud 1 pro každé x X je snadné spočíst y = f(x), 2 pro náhodně vybrané y f(x) je výpočetně nemožné najít jeho vzor, tj. x X tak, že y = f(x). Definice (bezkolizní funkce) f : X Y nazveme bezkolizní (collision-free), pokud je výpočetně nemožné najít x,x X, x x tak, že f(x) = f(x ).

5 Definice kryptografické hašovací funkce Definice (kryptografická hašovací funkce) Necht N,n N a n << N a f : {0,1} N {0,1} n nazveme hašovací (hash function), pokud je jednocestná a bezkolizní. f(m) nazýváme hash (otisk, hašový kód) zprávy M. Pozn. Obvykle N = , N = a n stovky bitů (pro MD5/SHA-1/SHA256/SHA512 je to 128/160/256/512 bitů).

6 Odolnost proti nalezení vzoru Chová-li se hašovací funkce f : {0,1} N {0,1} n jako náhodné orákulum, pak složitost nalezení vzoru (i druhého vzoru) k danému y = f(m) je 2 n. Pokud lze vzor hledat jednodušeji, hovoříme o prolomení hašovací funkce.

7 Odolnost proti nalezení kolize Chová-li se hašovací funkce f : {0,1} N {0,1} n jako náhodné orákulum, pak složitost nalezení kolize (dvou libovolných zpráv se stejnou haší) je 2 n/2. Pokud lze kolize hledat jednodušeji, hovoříme o prolomení hašovací funkce. Počet kolizí: v průměru 2 N n zpráv má stejnou haš.

8 Narozeninový paradox Pozn. množina o m prvcích, vybíráme k prvků po 1 s vracením pravděpodobnost, že ve výběru některý prvek aspoň 2krát: P(m,k) = 1 m(m 1)...(m k +1) m k pro k = O(m 1/2 ) a m jdoucí do nekonečna P(m,k). = 1 e k2 2m pro k = (2m ln2) 1/2. = m 1/2 je P(m,k). = 50% P(365,23) = 0,507 a P(365,30) = 0,706 ve skupině 23 lidí najdeme s pravděpodobností 50% dvojici slavící narozeniny ve stejný den, ve skupině 30 lidí s pravděpodobností 70%. Obvyklé vnímání: hledání jedněch konkrétních narozenin, proto paradox.

9 Damgard-Merklova konstrukce - Crypto 1989 iterativní hašovací funkce s využitím tzv. kompresní funkce zpráva dlouhá až např bitů hašování po blocích (M rozdělena na 512-bitové bloky m 1,m 2,...,m k, kde m k případně kratší) Damgard-Merklovo zesílení - doplnění M na délku p 512: M doplněna bitem 1, poté bity 0 (může jich být 0-447) na délku p a nakonec binárním zápisem délky M kompresní funkce: 2 vstupy (aktuální blok zprávy m i a kontext h i 1 ) a 1 výstup (kontext h i ), tedy zpracovává širší vstup na užší výstup algoritmus: h 0 = IV, h i = f(h i 1,m i ) výstup hašovací funkce je h k nebo jeho část dokázáno, že bezkoliznost kompresní funkce bezkoliznost hašovací funkce (proto stačilo najít kvalitní kompresní funkce)

10 Útok na opakující se kontexty pokud h i 1 = h i = f(h i 1,m i ), pak haše m 1...m i 1 m i m i+1...m k a m 1...m i 1 m l i m i+1...m k stejné, což vede k nalezení 2. vzoru se složitostí t 2 n/ n t+1 pro zprávy s délkou 2 t bĺızkou 2 n/2 např. pro SHA-1 lze ke zprávě o délce 2 60 najít 2. vzor se složitostí na rozdíl od teoretické složitosti J. Kelsey, B. Schneier, Second preimages on n-bit hash functions for much less than 2 n work

11 Ditherování Hašovací funkce zpracování obrazu: simulace barev, které nemáme, náhodným mícháním pixelů podobných barev; cílem odstranění nežádoucích liníı

12 Ditherování hašovacích funkcí h i = f(h i 1,m i,d i ) 1 ditherování čítačem: d i := i (problém libovolných délek zpráv d i nad nekonečnou abecedou) 2 ditherování náhodnou posloupností: d i := r i (nechrání proti opakování bloků) 3 ditherování střídáním 0 a 1 (nechrání proti opakování bloků) 4 ditherování pomocí square-free a abelian square-free nekonečných slov R. Rivest, Abelian square-free dithering for iterated hash functions

13 Square-free slova square-free slovo neobsahuje ww Příklad abracadabra OK, banana NE Příklad neexistují square-free nekonečná slova nad {0, 1} existují square-free nekonečná slova nad {0, 1, 2} Thue-Morseovo slovo t = je cube-free (i overlap-free) odvozené slovo v = je square-free DOKAŽTE!

14 Abelian square-free slova abelian square-free slovo neobsahuje ww, kde w permutace w Příklad abelianalien NE, obsahuje alien a elian Příklad magické slovo S = abcacdcbcdcadcdbdaba cabadbabcbdbcbacbcdc acbabdabacadcbcdcacd bcbacbcdcacdcbdcdadbdcbca délky 85 označme σ cyklický posun σ(abcacd) = bcdbda, pak Keränenovo abelian square-free slovo je pevný bod morfismu a S, b σ(s), c σ 2 (S), d σ 3 (S)

15 Otázky 1 Jsou abelian square-free slova v ditherování v něčem lepší než square-free slova? 2 Najděte vhodné ditherační posloupnosti (nesmí mít nízkou komplexitu). 3 Zkoumejte odolnost ditherovaných hašovacích funkcí vůči známým útokům. 4 Studujte jiné způsoby ditherování.

16 Kryptografické využití hašovacích funkcí jednoznačná identifikace dat (zejména pro digitální podpisy) kontrola integrity (kontrola shody velkých souborů dat) ukládání a kontrola přihlašovacích hesel prokazování autorství prokazování znalosti autentizace původu dat nepadělatelná kontrola integrity pseudonáhodné generátory

17 Digitální otisk dat (digital fingerprint) nebo výtah zprávy (message digest) z velkých dat vytváří hašovací funkce jejich identifikátor (díky bezkoliznosti nejsme schopni nalézt jinou zprávu se stejnou haší) v řadě zemí stojí digitální otisky na úrovni otisků prstů pro identifikaci lidí, proto při digitálním podpisu zprávy stačí podepsat její haš

18 Ukládání přihlašovacích hesel místo hesel se ukládají jejich haše přihlašování do systému = výpočet haše a jeho porovnání s uloženou hodnotou haše neodhalují hesla, z nichž jsou vypočteny

19 Kĺıčovaný hašový autentizační kód HMAC hašováním zpracovává nejen zprávu M, ale i tajný kĺıč K použití: nepadělatelné zabezpečení zpráv (útočník nemůže data měnit bez změny HMACu a ten bez tajného kĺıče nevypočte správně) průkaz znalosti při autentizaci entit (dotazovatel odešle challenge, od prokazovatele obdrží HMAC(challenge, K), útočník z odpovědi nezíská kĺıč K) značení HMAC-SHA-1(M,K)

20 Pseudonáhodné generátory chování jako náhodná orákula, změna 1 bitu na vstupu změna každého výstupního bitu s pravděpodobností 50% PKCS#1 v.2.1(rsa Cryptography Standard) definuje MGF1 (Mask Generation Function) h(seed 0x ), h(seed 0x ), h(seed 0x ),... kde 0x hexadecimální vyjádření daného čísla standard pro podpisové schéma DSA definuje náhodný generátor x 0 := K, x j+1 := h((k +1+x j ) mod 2 m ), kde K je počáteční vstup (kĺıč) a m délka bloku hašovací funkce h

21 Prolomení hašovacích funkcí masová kryptografie na nedokazatelných (nedokázaných) principech prolomení je přirozená věc prolomena MD5 (2006 Kĺıma - generování kolizí na notebooku během 1 minuty) konec platnosti SHA-1 současný platný standard SHA-2 je 3krát pomalejší

22 Soutěž o SHA-3 Hašovací funkce listopad NIST (americký úřad pro standardizaci) soutěž o nový hašovací standard SHA-3 požadavky: rychlost (SHA-1 7,5 cyklu procesoru/byte, SHA-2 20 cyklů procesoru/byte), nároky na pamět (stovky bytů) 64 algoritmů od 191 kryptologů (univerzity a elektronické giganty, ale i největší světoví výrobci z oblasti čipů) např. firmy: Microsoft, Sony, RSA, Intel, IBM, MIT, PGP, Hitachi, známá jména: Rivest, Schneier Češi spojeni s 2 kandidáty: EDON-R (Aleš Drápal, Vlastimil Kĺıma, vlastník a vynálezce Danilo Gligoroski), BMW (vlastník-vynálezce Gligoroski-Kĺıma) červenec vybráno 14 kandidátů: BLAKE, BMW, CubeHash, ECHO, Fugue, Grøstl, Hamsi, JH, Keccak, Luffa, Shabal, SHAvite-3, SIMD, Skein prosinec vybráno 5 finalistů: BLAKE, Grøstl, JH, Keccak, Skein

23 14 kandidátů Hašovací funkce

24 BMW = Blue Midnight Wish vznikla spoluprací Vlastimila Kĺımy na vylepšení Turbo-SHA Danila Gligoroského a Sveina Knapskoga po roce práce (konec 2008) odeslána do soutěže NISTu pracovní název nejprve Blue Wish, pak ale autoři zjistili, že jde o registrovanou značku, když se po x-té o půlnoci bĺıžili ke konečné variantě algoritmu, napadlo je Blue Midnight Wish

25 Nové nápady požadavek: větší bezpečnost i rychlost nutnost nových nápadů soustavy rovnic tvořené polynomy o mnoha neznámých (booleovské proměnné) nedovedeme řešit v polynomiálním čase ALE! spočíst hodnotu náhodného polynomu 32. stupně s proměnnými a 0,a 1,...,a 31 a b 0,b 1,...,b 31, např. a 0 a 1 a 31 a 0 b 0 b 1 b 2 a 12 je náročné na pamět i čas ( počtu a ) existuje operace, kterou moderní procesory zvládají v 1 taktu (nejrychleji, jak je to možné), a přesto poskytuje 32 polynomů vysokých řádů najednou!

26 Operace ADD jedná se o operaci ADD ( mod 2 32 )! označme a 31...a 1 a 0 binární zápis a a b 31...b 1 b 0 binární zápis b, s 31...s 1 s 0 binární zápis s = a+b mod 2 32 a c 31...c 2 c 1 bity přenosu (carry), pak s = (a 31 b 31 c 31,...,a 1 b 1 c 1,a 0 b 0 ) c 1 = a 0 b 0 c 2 = a 1 b 1 a 1 c 1 b 1 c 1 c 3 = a 2 b 2 a 2 c 2 b 2 c 2... c 31 = a 30 b 30 a 30 c 30 b 30 c 30

27 Kandidáti na SHA-3 Hašovací funkce dosadíme jednotlivé výrazy pro bity přenosu do vyšších bitů: c 1 = a 0 b 0 1 term řádu 2 c 2 = a 1 b 1 a 1 a 0 b 0 b 1 a 0 b 0 1 term řádu 2 a 2 termy řádu 3 jedinou operací a+b tak vznikne 32 polynomů, které dohromady obsahují přes 2 miliardy termů řádu 2 32

28 Termy v součtu 32-bitových čísel

29 Vlastnosti BMW používá jen operace ADD a XOR, operace bitových posunů a cyklických bitových posunů podobně vypadají všichni nejrychlejší kandidáti (požadavek na rychlost vedl logicky k využití operace ADD)

30 Společné prvky SHA-2 a BMW iterativní princip a kompresní funkce padding = doplnění hašované zprávy na potřebný počet bitů, zarovnání na nejbližší násobek 512 nebo 1024 bitů (podle toho, zda jde o BMW256/BMW512, resp. SHA256/SHA512)

31 Hašování Hašovací funkce 1 předzpracování doplň zprávu M jednoznačně definovaným způsobem o délku zprávy v bitech a doplněk rozděl zprávu na celistvý násobek N m-bitových bloků M 1,M 2,...,M N nastav počáteční hodnotu průběžné haše H 0 := IV 2 výpočet haše 3 závěr for i = 1 to N H i := f(m i,h i 1 ) H(M) := definovaných n bitů z hodnoty H N

32 Mouchy SHA-2 podle NISTu možnost nalezení multikolizí rychlejší než u náhodného orákula u náhodného orákula složitost nalezení r = 2 k multikolizí 2 n(r 1)/r operací, u SHA-2 pouze k2 n/2 (Joux) možnost nalezení kolize stejná jako u náhodného orákula (2 n/2 podle narozeninového paradoxu) náchylnost na útok prodloužením zprávy

33 Dvojnásobná pumpa využita částí kandidátů na SHA-3 navržena k řešení výše uvedených much Lucksem jde o zdvojnásobení šířky průběžné haše a výsledná haš je pak polovina průběžné haše k nalezení kolizí Jouxovým útokem je třeba k2 n operací výpočet ale pak trvá cca. 4krát déle

34 Pumpa BMW Hašovací funkce

35 Zdůvodnění NISTu Security: We preferred to be conservative about security, and in some cases did not select algorithms with exceptional performance, largely because something about them made us nervous, even though we knew of no clear attack against the full algorithm vyhlášení vítěze Keccak

36 Aperiodický generátor náhodných čísel Program 1 Hašovací funkce 2 Aperiodický generátor náhodných čísel

37 Aperiodický generátor náhodných čísel rozlišujeme dva druhy generátorů: 1 generátor pravých náhodných čísel (RNG) založen na náhodnosti fyzikálních jevů 2 generátor pseudonáhodných čísel (PRNG) algoritmus vytvářející posloupnosti čísel chovající se zdánlivě náhodně

38 Aperiodický generátor náhodných čísel Lineární kongruenční generátor (LCG) definován rekurentním vztahem x n+1 = (ax n +c) mod m 0 < m modulo 0 a < m multiplikátor 0 c < m posunutí 0 x 0 < m seed nevýhody LCG: periodičnost mřížková struktura

39 Aperiodický generátor náhodných čísel Mrížková struktura LCG Obrázek: RANDU: a = 65539, m = 2 31, c = 0

40 Aperiodický generátor náhodných čísel APRNG dány dva LCG X = (x n ) n 0 a Y = (y n ) n 0 a nekonečné aperiodické slovo u = u 1 u 2 u 3... nad {0,1} pak APRNG Z = (z n ) n 0 založený na slově u získáme pomocí algoritmu: 1 postupně čteme písmena slova u 2 čteme-li ve slově u po i-té nulu, potom na konec posloupnosti Z přidáme i-tý člen posloupnosti X 3 čteme-li ve slově u po i-té jedničku, potom na konec posloupnosti Z přidáme i-tý člen posloupnosti Y

41 Aperiodický generátor náhodných čísel Aperiodický generátor náhodných čísel APRNG jsou aperiodické APRNG založené na podtřídě cut and project slov nemají mřížkovou strukturu L.-S. Guimond, Jan Patera, Jiří Patera, Statistical properties and implementation of aperiodic pseudorandom number generators

42 Aperiodický generátor náhodných čísel Slova s dobře rozmístěnými výskyty APRNG založené na slovech splňujících vlastnost DRV nemají mřížkovou strukturu nekonečné aperiodické slovo u nad {0, 1} má vlastnost DRV právě tehdy, když pro libovolné m N a pro libovolný faktor w splňuje slovo u následující podmínku: označíme i 1,i 2,... výskyty w v u, pak { ( u1 u 2...u ij 0, u 1 u 2...u ij 1 ) mod m j N } = Z 2 m

43 Aperiodický generátor náhodných čísel Sturmovská slova nekonečné slovo u nazveme sturmovské, pokud jeho faktorová komplexita splňuje C u (n) = n+1 pro každé n N aperiodická (DOKAŽTE!) mají vlastnost DRV sturmovská slova jsou šiřší třídou než cut and project slova uvažovaná v článku

44 Aperiodický generátor náhodných čísel Fibonacciho slovo sturmovské generování pomocí substituce ϕ : 0 01,1 0 f je pevný bod substituce ϕ f =

45 Aperiodický generátor náhodných čísel Thue-Morseovo slovo není sturmovské generování pomocí substituce ϕ : 0 01,1 10 t je pevný bod substituce ϕ t =

46 Aperiodický generátor náhodných čísel Thue-Morseovo slovo kombinace stejných LCG pomocí Thue-Morseova slova zachovává mřížkovou strukturu Thue-Morseovo slovo tedy nemá vlastnost DRV

47 Aperiodický generátor náhodných čísel Otázky Co se děje, kombinujeme-li podle vícepísmenných nekonečných slov, tedy kombinujeme-li více generátorů? Existuje i v takovém případě podobná kombinatorická podmínka jako je vlastnost DRV v případě binárních slov? Zlepšují se kombinací více generátorů statistické vlastnosti vzniklého APRNG? Existuje souvislost mezi dalšími kombinatorickými vlastnostmi nekonečných slov (komplexita, palindromy, frekvence, návratová slova apod.) a statistickými vlastnostmi APRNG?

48 Aperiodický generátor náhodných čísel Děkuji za pozornost