ElGamal, Diffie-Hellman

Podobné dokumenty
Asymetrické šifry. Pavla Henzlová FJFI ČVUT v Praze. Pavla Henzlová (FJFI ČVUT v Praze) Asymetrické šifry 28.3.

Diffieho-Hellmanův protokol ustanovení klíče

Šifrová ochrana informací věk počítačů PS5-2

Kryptografie založená na problému diskrétního logaritmu

Šifrová ochrana informací věk počítačů PS5-2

Asymetrická kryptografie a elektronický podpis. Ing. Dominik Breitenbacher Mgr. Radim Janča

asymetrická kryptografie

Diskrétní logaritmus

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

České vysoké učení technické v Praze Fakulta elektrotechnická Katedra telekomunikační techniky Asymetrické kryptosystémy I

Protokol RSA. Tvorba klíčů a provoz protokolu Bezpečnost a korektnost protokolu Jednoduché útoky na provoz RSA Další kryptosystémy

Čínská věta o zbytcích RSA

RSA. Matematické algoritmy (11MA) Miroslav Vlček, Jan Přikryl. Ústav aplikované matematiky ČVUT v Praze, Fakulta dopravní. čtvrtek 21.

RSA. Matematické algoritmy (11MAG) Jan Přikryl. Ústav aplikované matematiky ČVUT v Praze, Fakulta dopravní. verze: :01

Asymetrická kryptografie

Základy kryptografie. Beret CryptoParty Základy kryptografie 1/17

KRYPTOGRAFIE VER EJNE HO KLI Č E

Složitost a moderní kryptografie

PSK2-16. Šifrování a elektronický podpis I

Šifrová ochrana informací věk počítačů KS - 5

Osnova přednášky. Seznámení s asymetrickou kryptografií, díl 1. O pojmu bezpečnost Poznámka o hodnocení kryptografické bezpečnosti.

Jak funguje asymetrické šifrování?

8. RSA, kryptografie s veřejným klíčem. doc. Ing. Róbert Lórencz, CSc.

Digitální podepisování pomocí asymetrické kryptografie

Digitální podepisování pomocí asymetrické kryptografie

Komerční výrobky pro kvantovou kryptografii

Matematika IV - 5. přednáška Polynomy

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Základy kryptologie. Kamil Malinka Fakulta informačních technologií

Karel Klouda c KTI, FIT, ČVUT v Praze 28. února, letní semestr 2010/2011

Správa přístupu PS3-2

Kryptografie - Síla šifer

Matematika IV - 5. přednáška Polynomy

MFF UK Praha, 22. duben 2008

MINIMÁLNÍ POŽADAVKY NA KRYPTOGRAFICKÉ ALGORITMY. doporučení v oblasti kryptografických prostředků

Základy šifrování a kódování

Kvantové algoritmy a bezpečnost. Václav Potoček

Jihomoravske centrum mezina rodnı mobility. T-exkurze. Teorie c ı sel, aneb elektronicky podpis a s ifrova nı

Šifrová ochrana informací věk počítačů PS5-1

kryptosystémy obecně další zajímavé substituční šifry klíčové hospodářství kryptografická pravidla Hillova šifra Vernamova šifra Knižní šifra

České vysoké učení technické v Praze Fakulta elektrotechnická Katedra telekomunikační techniky. 7.přednáška. Kryptosystémy veřejného klíče II

Moderní metody substitučního šifrování

Směry rozvoje v oblasti ochrany informací PS 7

C5 Bezpečnost dat v PC

Pokročilá kryptologie

Miroslav Kureš. Aplikovaná matematika Ostravice workshop A-Math-Net Sít pro transfer znalostí v aplikované matematice

Informatika Ochrana dat

SSL Secure Sockets Layer

Čínská věta o zbytcích RSA

Hesla a bezpečnost na internetu MjUNI 2019 Dětská univerzita,

Problematika převodu zprávy na body eliptické křivky

Y36PSI Bezpečnost v počítačových sítích. Jan Kubr - 10_11_bezpecnost Jan Kubr 1/41

Šifrování veřejným klíčem

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY SOFTWAROVÁ PODPORA VÝUKY KRYPTOSYSTÉMŮ ZALOŽENÝCH NA PROBLÉMU DISKRÉTNÍHO LOGARITMU

Digitální podepisování pomocí asymetrické kryptografie

Kerchhoffův princip Utajení šifrovacího algoritmu nesmí sloužit jako opatření nahrazující nebo garantující kvalitu šifrovacího systému

pomocí asymetrické kryptografie 15. dubna 2013

Od Enigmy k PKI. principy moderní kryptografie T-SEC4 / L3. Tomáš Herout Cisco. Praha, hotel Clarion dubna 2013.

MPI - 5. přednáška. 1.1 Eliptické křivky

Bezpečnost internetového bankovnictví, bankomaty

Veronika Čadová O DSA BAKALÁŘSKÁ PRÁCE. Univerzita Karlova v Praze. Matematicko-fyzikální fakulta. Katedra algebry

Kvantová informatika pro komunikace v budoucnosti

KRYPTOGRAFICKÝ PROTOKOL VÝMĚNY KLÍČŮ DIFFIE-HELLMAN

bit/p6d-h.d 22. března

Andrew Kozlík KA MFF UK

Obsah. Euler-Fermatova věta. Reziduální aritmetika. 3. a 4. přednáška z kryptografie

příklad Steganografie Matematické základy šifrování šifrování pomocí křížů Hebrejské šifry

Ochrana dat Obsah. Výměna tajných klíčů ve veřejném kanálu. Radim Farana Podklady pro výuku. Kryptografické systémy s tajným klíčem,

Eliptické křivky a RSA

Informatika / bezpečnost

Pokročilá kryptologie

MPI - 7. přednáška. Hledání inverzí v Z n. Rychlé mocnění modulo n. Lineární rovnice v Z + n. Soustavy lineárních rovnic v Z + n.

Správa webserveru. Blok 9 Bezpečnost HTTP. 9.1 Úvod do šifrování a bezpečné komunikace Základní pojmy

Osnova přednášky. Seznámení s asymetrickou kryptografií, díl 2. Podpisová schémata -elementární principy- (1)

Identifikátor materiálu: ICT-2-04

Bezpečnost vzdáleného přístupu. Jan Kubr

9. DSA, PKI a infrastruktura. doc. Ing. Róbert Lórencz, CSc.

Cyklické grupy a grupy permutací

Symetrické šifry, DES

Zero-knowledge protokoly. Autentizační protokoly & Autentizace počítačů. Zero-knowledge protokoly. Protokoly vyšší úrovně SSL/TLS. Komponenty SSL/TLS

Základní definice Aplikace hašování Kontrukce Známé hašovací funkce. Hašovací funkce. Jonáš Chudý. Úvod do kryptologie

INFORMAČNÍ BEZPEČNOST

Moderní komunikační technologie. Ing. Petr Machník, Ph.D.

PV157 Autentizace a řízení přístupu

MODERNÍ ASYMETRICKÉ KRYPTOSYSTÉMY

Obsah. Protokol RSA. Protokol RSA Bezpečnost protokolu RSA. 5. a 6. přednáška z kryptografie

5. a 6. přednáška z kryptografie

Úvod RSA Aplikace, související témata RSA. Ing. Štěpán Sem Festival Fantazie, Štěpán Sem

Úvod do kryptologie. 6. března L. Balková (FJFI ČVUT v Praze) Primality Testing and Factorization 6. března / 41

Seminární práce do předmětu: Bezpečnost informačních systémů. téma: IPsec. Vypracoval: Libor Stránský

Kvantová kryptografie

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP TCP/IP.

Lehký úvod do dvou algoritmů postkvantové kryptografie

Přednáška 10. X Window. Secure shell. Úvod do Operačních Systémů Přednáška 10

Modulární aritmetika, Malá Fermatova věta.

Autentizace uživatelů

Asymetrická kryptografie

Základy elementární teorie čísel

ALTERNATIVNÍ METODY V KRYPTOGRAFII

Transkript:

Asymetrické šifrování 22. dubna 2010 Prezentace do předmětu UKRY

Osnova 1 Diskrétní logaritmus 2 ElGamal 3 Diffie-Hellman

Osnova 1 Diskrétní logaritmus 2 ElGamal 3 Diffie-Hellman

Osnova 1 Diskrétní logaritmus 2 ElGamal 3 Diffie-Hellman

Osnova 1 Diskrétní logaritmus 2 ElGamal 3 Diffie-Hellman

Diskrétní logaritmus Definice Buďte m, g, Y N. Pak každé číslo k N takové, že Y g k mod m nazveme diskrétní logaritmus o základu g z čísla Y vzhledem k modulu m. Někdy se definice upravuje tak, že se ze všech možných diskrétních logaritmů k vybere ten nejmenší. Poznámka Definice lze zobecnit na libovolnou cyklickou konečnou multiplikativní grupu G s generátorem g.

Výpočet diskrétního logaritmu Zatímco spočíst Y = g k mod m při znalosti k, g, m je snadné, spočíst diskrétní logaritmus k je velmi obtížné. Naivní algoritmus (trial multiplication): umocňování g na vyšší a vyšší mocniny k, dokud se Y g k. Časová složitost naivního algoritmus je lineární v počtu prvků grupy, tzn. exponenciální v počtu cifer ve velikosti grupy. Existují lepší algoritmy (např. Baby-step giant-step, Index calculus algorithm) ale žádné nedosahují polynomiální složitosti v počtu cifer ve velikosti grupy. Účinný kvantový algoritmus (Peter Shor).

Osnova 1 Diskrétní logaritmus 2 ElGamal 3 Diffie-Hellman

ElGamal Základní fakta Algoritmus asymetrické kryptografie (šifrování s veřejným klíčem). 1985, Taher ElGamal (Egypt/USA). Nevýhoda: Šifrovaná data jsou dvakrát delší než data nešifrovaná. Nasazení není tak velké jako u RSA algoritmu. ElGamal algoritmus může být definován nad libovolnou cyklickou grupou G (typicky to bývá multiplikativní grupa Z p modulo p P). Bezpečnost spočívá na volbě této grupy a na problému vyřešení diskrétního logaritmu. Existuje ještě ElGamal podpisové schéma (a jeho vylepšení DSA), o něm se zmíníme pouze krátce.

Generování klíče: Veřejné parametry: Generátor g multiplikativní cyklické grupy G řádu q. Tajný klíč: Náhodné číslo x z {0, 1,..., q 1}. Veřejný klíč: h = g x. Zveřejněn bude veřejný klíč h a také informace o grupě (tzn. G,g,q). Tajný klíč x je třeba ponechat v tajnosti.

Šifrování: Zašifrujeme zprávu m pomocí veřejného klíče (h, G, g, q): Vybereme náhodné y z {0, 1,..., q 1}. Spočteme c 1 = g y. Spočteme s = h y (tzv. ephemeral key = jepičí klíč). Pozn. Tyto kroky bylo možné provést před samotným šifrováním. Převedeme zprávu m do zprávy m G (např. pomocí OAEP). Spočítáme c 2 = s m (= h y m ). Odešleme šifrový text (c 1, c 2 ). Pozn. Dále je nutné dobře utajit(popř. zničit) ephemeral key s.

Dešifrování: Obdržíme šifrový text (c 1, c 2 ) Spočteme m = c 2 ((c 1 ) x ) 1. Převedeme na původní zprávu m. Postup funguje, protože c 2 (c1 x ) 1 = s m ((g y ) x ) 1 = = h y m (g xy ) 1 = g xy m (g xy ) 1 = m

Příklad Příklad Jako grupa G se nejčastěji volí multiplikativní grupa Z p s nějakým svým generátorem. Dále je možno zvolit vhodnou aditivní grupu bodů rovinné eliptické křivky. Z hlediska bezpečnosti ekvivalentní. Zkusme si postup ElGamalova algoritmu pro zašifrování zprávy m = 6 v multiplikativní grupě Z 11 s generátorem 7. Příjemce zvolí svůj tajný klíč x = 3, příjemce zvolí svůj empheral key y = 5.

Hledání generátoru cyklické grupy Poznámka Algoritmus hledání generátoru cyklické grupy Mějme cyklickou grupu G řádu n, kde n má prvočíselný rozklad: n = p e 1 1 pe 2 2... pe k k. 1 Zvol náhodné g G. 2 For i = 1 to k: i Spočti b = g n/p i. ii Pokud b == 1, vrať se na krok 1. 3 Vrať generátor g. Příklad V našem případě Z 11 je řád 10 = 2 5. Pokud vybereme např. g = 4 dostaneme pro b = 4 5 1 mod 11 a tedy algoritmus se vrátí na krok 1. Naopak v případě g = 7 nalezneme generátor.

Common System-Wide parameters Obě zúčastněné strany se mohou předem domluvit na používané grupě Z p a jejím generátoru g. Poté se tyto informace nemusí posílat jako součást veřejného klíče. Úspora místa. Výhoda: Umocňování při šifrování může být urychleno díky předpočítání. Nevýhoda: Menší bezpečnost = je třeba volit větší modul p.

ElGamal Bezpečnost Problém prolomení ElGamalova šifrování: tj. při daném p, g, h = g x, c 1 = g y, c 2 = h y spočítat m = c 2 (g xy ) 1. Je ekvivalentní řešení Diffie-Helmann problému(dhp): Víme g x, g y, chceme nalézt g xy. Pokud bychom uměli vyřešit problém diskrétního logaritmu: spočetli bychom x a y a pak pouze dosadili. Prolomení ElGamalovy šifry je tedy založeno na diskrétním logaritmu. Je nezbytně nutné, aby se pro zašifrování různých zpráv volili různé klíče y. Pokud by totiž zprávy m a m byly šifrovány pomocí stejného empheral key y na šifrové texty (c 1, c 2 ) a ( c 1, c 2 ). Pak c 2 / c 2 = m/ m a tudíž bychom ze znalosti m mohli jednoduše získat i m.

ElGamal Doporučená délka parametrů S vývojem řešení diskrétního logaritmu a s rostoucí výpočetní silou je třeba volit stále větší klíče. V roce 1996: alespoň modul p o 768 bitech a 1024 bitů pro dlouhodobé šifry. V roce 2003: Pro dlouhodobě bezpečné šifry je třeba volit alepsoň 2000 bitů, tzn. p > 2 2 000 0.115 10 6 03. Pro Common System-Wide parameters musí být voleny ještě větší p. Je to proto, že stěžejní část Index-calculus algoritmu pro výpočet diskrétního logaritmu tvoří předpočítání faktorové databáze. To je ovšem pro předem známé p možno udělat dopředu.

Podpisové schéma ElGamal Taher ElGamal, 1984 Založeno také na obtížnosti řešení problému diskrétního logaritmu. Dnes se již téměř nepouživá, protože existuje vylepšení DSA (Digital Signature Algorithm).

Osnova 1 Diskrétní logaritmus 2 ElGamal 3 Diffie-Hellman

Diffie-Hellman výměna klíčů Whitfield Diffie a Martin Hellman v roce 1976 (třetí spoluautor Ralph Merkle). Kryptografický protokol, který umožňuje přes nezabezpečený kanál vytvořit mezi komunikujícími stranami šifrované spojení bez předchozího dohodnutí šifrovacího klíče. Výsledkem výměny informací je utvoření společného symetrického klíče, který může být použit pro další komunikaci. Výhoda: Klíč nikdy není kanálem posílán v otevřené formě (jsou posílány jen dílčí informace k utvoření klíče). Nevýhoda: Bezbrannost proti útoku Man in the Middle, D-H protokol neumožňuje autentizaci účastníků. Tento protokol bez kombinace z jinými metodami je možný použít pouze tam, kde případný útočník nemůže aktivně zasahovat do komunikace. Počet účastníků není omezen. Demonstrujeme pro 2.

Diffie-Hellman Obecný postup 1 Alice a Bob se domluví na společné multiplikativní cyklické konečné grupě G s generátorem g. (Toto je obvykle provedeno mnohem dřív než zbytek protokolu). 2 Alice si zvolí náhodné číslo a N a odešle g a Bobovi. 3 Bob si zvolí náhodné číslo b N a odešle g b Alici. 4 Alice si vypočte (g b ) a. 5 Bob si vypočte (g a ) b. Alice i Bob nyní vlastní společně sdílený tajný klíč g ab (díky asociativitě umocňování), který může sloužit k dalšímu šifrování. Obvykle se volí multiplikativní grupa Z p, kde p je prvočíslo.

Diffie-Hellman Princip Obrázek: Diffie-Hellman výměna klíčů

Příklad: Alice Bob Eva zná nezná zná nezná zná nezná p = 11 b =? p = 11 a =? p = 11 a =? g = 2 g = 2 g = 2 b =? a = 4 b = 7 K =? A = 2 4 5 mod 11 B = 2 b 7 A = g a 5 B = g b 7 mod 11 A = g a 5 B = g b 7 K = B a 3 mod 11 K = A b 3 K = B a 3 Tabulka: Bezpečnost vůči odposlouchávači (eavesdropper) Poznámka Pro Alici by mělo být těžké zjistit Bobův tajný klíč (a obráceně). Pokud by tomu tak nebylo, mohla by Eva rovněž rozluštit Bobův tajný klíč.

Bezpečnost K získání společného sdíleného klíče K je třeba řešit DHP: při známém g a, g b, ale neznámém a, b, nalézt g ab. Problém řešení diskrétního logaritmu nejsou známy příliš účinné algoritmy. D-H protokol je bezpečný pokud se zvolí p alespoň o 300 cifrách, a a b o alespoň 100 cifrách. Naproti tomu generátor g se volí malý v praxi 2 nebo 5. Pro modul p P se často volí p = 2q + 1 kde q je také prvočíslo (tzv. Sophie Germain prvočíslo). Je to proto, že řád grupy Z p má poté v prvočíselném rozkladu jen 2 a q, kde q je velké prvočíslo. Toto znesnadňuje použití Pohlig Hellmanova algoritmu na řešení diskrétního logaritmu. Pro generování tajných klíčů a a b je třeba užít dobrý generátor náhodných čísel.

Autentizace D-H protokol je náchylný k útoku Man-in-the-Middle. Carl zachytí A = g a mod p od Alice a podvrhne jí svoji hodnotu C = g c mod p. Alice a Carl vypočítají sdílený tajný klíč K ac = K ca. Carl pošle svou hodnotu C = g c mod p Bobovi, který se domnívá, že je to hodnota od Alice a zašle mu svou hodnotu B = g b mod p. Bob a Carl vypočítají sdílený tajný klíč K bc = K cb. Veškerá komunikace mezi Alicí a Bobem je tak odposlouchávána Carlem, který může také přenášená data modifikovat. Proto je většinou v praxi nutná autentizace účastníků. Password-authenticated key agreement (PAKE): autentizace pomocí hesla.

Užití Šifrování s veřejným klíčem: Alice zveřejní veřejný klíč (p, g, g a ). Bob zvolí náhodné b a odešle Alici svůj veřejný klíč g b a zprávu zašifrovanou pomocí symetrického klíče g ab. Pouze Alice je schopna tuto zprávu rozluštit. V praxi se příliš neužívá (v této oblasti spíše RSA). V praxi jako součást IPSec (Internet Protocol Security). SSH (Secure Shell) bezpečná výměna dat. SSL (Secure Sockets Layer).

Děkuji za pozornost.

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář