Konstrukce šifer. Andrew Kozlík KA MFF UK

Podobné dokumenty
Data Encryption Standard (DES)

Vzdálenost jednoznačnosti a absolutně

Šifrová ochrana informací historie KS4

Šifrová ochrana informací historie PS4

kryptosystémy obecně další zajímavé substituční šifry klíčové hospodářství kryptografická pravidla Hillova šifra Vernamova šifra Knižní šifra

Proudové šifry a posuvné registry s lineární zpětnou vazbou

Šifrová ochrana informací historie PS4

Kerchhoffův princip Utajení šifrovacího algoritmu nesmí sloužit jako opatření nahrazující nebo garantující kvalitu šifrovacího systému

Andrew Kozlík KA MFF UK

CO JE KRYPTOGRAFIE Šifrovací algoritmy Kódovací algoritmus Prolomení algoritmu

Hashovací funkce. Andrew Kozlík KA MFF UK

Kryptografie založená na problému diskrétního logaritmu

klasická kryptologie základní pojmy požadavky na kryptosystém typologie šifer transpoziční šifry substituční šifry

označme j = (0, 1) a nazvěme tuto dvojici imaginární jednotkou. Potom libovolnou (x, y) = (x, 0) + (0, y) = (x, 0) + (0, 1)(y, 0) = x + jy,

Diffieho-Hellmanův protokol ustanovení klíče

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Pokročilá kryptologie

Šifrová ochrana informací věk počítačů PS5-1

Ukázkyaplikacímatematiky

Ukázky aplikací matematiky. Kapitola 1. Jiří Tůma. Úvod do šifrování. Základní pojmy- obsah. Historie šifrování

Matematické základy šifrování a kódování

8. RSA, kryptografie s veřejným klíčem. doc. Ing. Róbert Lórencz, CSc.

klasická kryptologie základní pojmy požadavky na kryptosystém typologie šifer transpoziční šifry substituční šifry

vnější profesionál vnitřní profesionál organizace opakuje podsouvá

Permutační grupy Cykly a transpozice Aplikace. Permutace. Rostislav Horčík: Y01DMA 11. května 2010: Permutace 1/17

doc. Ing. Róbert Lórencz, CSc.

VI. Maticový počet. VI.1. Základní operace s maticemi. Definice. Tabulku

Moderní metody substitučního šifrování

maticeteorie 1. Matice A je typu 2 4, matice B je typu 4 3. Jakých rozměrů musí být matice X, aby se dala provést

1 Zobrazení 1 ZOBRAZENÍ 1. Zobrazení a algebraické struktury. (a) Ukažte, že zobrazení f : x

FP - SEMINÁŘ Z NUMERICKÉ MATEMATIKY. Katedra matematiky a didaktiky matematiky Technická univerzita v Liberci

Hammingovy kódy. dekódování H.kódů. konstrukce. šifrování. Fanova rovina charakteristický vektor. princip generující a prověrková matice

1 Vektorové prostory.

Kryptografie a počítačová bezpečnost

Matice. Modifikace matic eliminační metodou. α A = α a 2,1, α a 2,2,..., α a 2,n α a m,1, α a m,2,..., α a m,n

grupa těleso podgrupa konečné těleso polynomy komutativní generovaná prvkem, cyklická, řád prvku charakteristika tělesa

Těleso racionálních funkcí

Asymetrické šifry. Pavla Henzlová FJFI ČVUT v Praze. Pavla Henzlová (FJFI ČVUT v Praze) Asymetrické šifry 28.3.

ALGEBRA. Téma 4: Grupy, okruhy a pole

Protiopatření eliminující proudovou analýzu

Kryptografie a počítačová

Téma 2 Principy kryptografie


Matematika (CŽV Kadaň) aneb Úvod do lineární algebry Matice a soustavy rovnic

Základy kryptologie. Kamil Malinka Fakulta informačních technologií

Kryptografie - Síla šifer

0.1 Úvod do lineární algebry

Šifrová ochrana informací věk počítačů PS5-2

Asymetrická kryptografie

KPB. Režimy činnosti symetrických šifer - dokončení. KPB 2015/16, 7. přednáška 1

Četba: Texty o lineární algebře (odkazy na webových stránkách přednášejícího).

II. Symetrické šifrovací systémy

Postranními kanály k tajemství čipových karet

Šifrová ochrana informací věk počítačů KS - 5

Učební texty k státní bakalářské zkoušce Matematika Vlastní čísla a vlastní hodnoty. študenti MFF 15. augusta 2008

Matematika B101MA1, B101MA2

Vektory a matice. Obsah. Aplikovaná matematika I. Carl Friedrich Gauss. Základní pojmy a operace

Lineární algebra Operace s vektory a maticemi

Algebra - druhý díl. Lenka Zalabová. zima Ústav matematiky a biomatematiky, Přírodovědecká fakulta, Jihočeská univerzita

Maticí typu (m, n), kde m, n jsou přirozená čísla, se rozumí soubor mn veličin a jk zapsaných do m řádků a n sloupců tvaru:

7. Proudové šifry, blokové šifry, DES, 3DES, AES, operační módy. doc. Ing. Róbert Lórencz, CSc.

4. Teorie informace, teorie složitosti algoritmů. doc. Ing. Róbert Lórencz, CSc.

Soustavy. Terminologie. Dva pohledy na soustavu lin. rovnic. Definice: Necht A = (a i,j ) R m,n je matice, b R m,1 je jednosloupcová.

NALG 001 Lineární algebra a geometrie 1, zimní semestr MFF UK Doba řešení: 3 hodiny

B) výchovné a vzdělávací strategie jsou totožné se strategiemi vyučovacího předmětu Matematika.

Šifrová ochrana informací věk počítačů PS5-2

6. Cvičení [MI-KRY Pokročilá kryptologie]

10. Soustavy lineárních rovnic, determinanty, Cramerovo pravidlo

Počet kreditů: 5 Forma studia: kombinovaná. Anotace: Předmět seznamuje se základy dělitelnosti, vybranými partiemi algebry, šifrování a kódování.

DEFINICE Z LINEÁRNÍ ALGEBRY

MATICE. a 11 a 12 a 1n a 21 a 22 a 2n A = = [a ij]

Pokročilá kryptologie

Soustavy linea rnı ch rovnic

AVDAT Nelineární regresní model

BI-BEZ Bezpečnost. Proudové šifry, blokové šifry, DES, 3DES, AES,

0.1 Úvod do lineární algebry

Odpřednesenou látku naleznete v kapitolách skript Abstraktní a konkrétní lineární algebra.

Dosud jsme se zabývali pouze soustavami lineárních rovnic s reálnými koeficienty.

Soustavy lineárních rovnic a determinanty

V: Pro nulový prvek o lineárního prostoru L platí vlastnosti:

Informatika / bezpečnost

Vektorové podprostory, lineární nezávislost, báze, dimenze a souřadnice

[1] x (y z) = (x y) z... (asociativní zákon), x y = y x... (komutativní zákon).

Kapitola 11: Vektory a matice 1/19

Determinanty. Obsah. Aplikovaná matematika I. Pierre Simon de Laplace. Definice determinantu. Laplaceův rozvoj Vlastnosti determinantu.

[1] samoopravné kódy: terminologie, princip

ŠIFROVACÍ METODA ZALOŽENÁ NA FRAKTÁLNÍ KOMPRESI. 1. Úvod. V posledních letech se ukázalo, že teorii fraktálů lze využít v mnoha teoretických

10. DETERMINANTY " # $!

SHANNONOVA TEORIE TAJNÉ KOMUNIKACE

Cyklické grupy a grupy permutací

Matematika. Kamila Hasilová. Matematika 1/34

V předchozí kapitole jsme podstatným způsobem rozšířili naši představu o tom, co je to číslo. Nadále jsou pro nás důležité především vlastnosti

6. ANALYTICKÁ GEOMETRIE

Matematika pro informatiku 2

8 Matice a determinanty

Základy šifrování a kódování

IB112 Základy matematiky

Teorie informace a kódování (KMI/TIK) Reed-Mullerovy kódy


[1] LU rozklad A = L U

Transkript:

Konstrukce šifer Andrew Kozlík KA MFF UK

Kerckhoffsův princip V roce 1883 stanovil Auguste Kerckhoffs 6 principů, kterými by se měl řídit návrh šifrovacích zařízení. Například, že zařízení by mělo být přenosné, snadno použitelné, kompatibilní s telegrafem apod. Nejdůležitější je ale Kerckhoffsův druhý princip: Je třeba, aby šifrovací zařízení nevyžadovalo utajení a aby mohlo padnout do nepřátelských rukou, aniž by to způsobilo potíže. Jinými slovy: Bezpečnost šifry nemá spočívat v utajení šifrovacího algoritmu, ale pouze v utajení klíče. Důvodů je spousta: špionáž, úplatky, vydírání, reverzní inženýrství integrovaných obvodů (mikroskopem) nebo softwaru (z výpisu paměti běžícího programu).

Budování složitějších šifer Cíl: Jedním klíčem (cca 16 bajtů) chceme šifrovat mnoho zpráv (gigabajty). Problém: U klasických šifer lze klíč snadno určit z jediného páru otevřeného a šifrového textu. Např. u Hillovy šifry vyřešením soustavy lineárních rovnic. Intuice: Šifra by měla provázat klíč a otevřený text složitým způsobem tak, aby: výpočet ŠT z OT a klíče byl rychlý (šifrování), výpočet OT z ŠT a klíče byl rychlý (dešifrování), výpočet klíče z OT a ŠT byl složitý (luštění). Požadavky na dobrou šifru jsou ve skutečnosti přísnější...

Modely útočníků 1. Ciphertext-only attack (COA) Útočník zná jeden nebo více šifrových textů. 2. Known-plaintext attack (KPA) Útočník zná jeden nebo více párů ŠT a OT. 3. Chosen-plaintext attack (CPA) Útočník volí otevřené texty a dovídá se šifrové texty. 4. Chosen-ciphertext attack (CCA) Útočník volí šifrové texty a dovídá se otevřené texty. Někdy se navíc předpokládá, že útočník může zároveň volit i otevřené texty a dovídat se šifrové texty. Všechny šifrové texty vznikají použitím stejného klíče.

Cíle útočníků 1. Key recovery attack Určit použitý klíč. 2. Plaintext recovery attack Dešifrovat nějaký šifrový text. 3. Zjistit jen jeden bit klíče nebo otevřeného textu nebo jiný údaj o klíči nebo otevřeném textu. 4. Distinguishing attack Poznat, zda se jedná o šifrový text nebo o náhodná data. Od dobré šifry požadujeme, aby bez znalosti klíče byla při CPA i CCA nerozlišitelná od náhodně zvoleného prostého zobrazení P C.

Konfuze a difuze Nedostatkem mnoha klasických šifer je, že ŠT odráží statistické charakteristiky OT. Na základě statistické analýzy ŠT pak lze získat informace o klíči. Shannon navrhl dvě metody pro zmaření takové analýzy: Difuze: Rozptyluje statistické charakteristiky OT přes celý ŠT. Čili každý bit OT by měl ovlivňovat co nejvíce bitů ŠT. Konfuze: Každý bit ŠT by měl být složitým způsobem závislý na několika bitech klíče tak, aby vztah mezi ŠT a klíčem byl zastřen složitým systémem nelineárních rovnic.

Příklady konfuze a difuze Příklad: Jednoduchá substituce nebo Vigenèrova šifra. Neposkytují dobrou difuzi ani konfuzi. Proto jsou zranitelné frekvenční analýzou. Příklad: Hillova šifra. Zajišťuje dobrou difuzi, je-li matice dostatečně velká a hustá. Frekvenční analýza je neúčinná. Neposkytuje dobrou konfuzi. Klíč lze snadno spočítat z OT a ŠT.

Součin a izomorfismus šifer Definice Nechť S 1 = (P, Q, K 1, E 1, D 1 ) a S 2 = (Q, C, K 2, E 2, D 2 ) jsou šifry. Definujeme součin šifer S 2 S 1 = (P, C, (K 1 K 2 ), E, D), kde E((k 1, k 2 ), x) = E 2 (k 2, E 1 (k 1, x)), x P, (k 1, k 2 ) K 1 K 2, D((k 1, k 2 ), y) = D 1 (k 1, D 2 (k 2, y)), y C, (k 1, k 2 ) K 1 K 2. Definice Nechť S 1 = (P, C, K 1, E 1, D 1 ) a S 2 = (P, C, K 2, E 2, D 2 ) jsou šifry. Říkáme, že S 1 a S 2 jsou izomorfní, jestliže existují zobrazení f : K 1 K 2 a g : K 2 K 1 taková, že E 1 (k, x) = E 2 (f (k), x), k K 1, x P, E 2 (k, x) = E 1 (g(k), x), k K 2, x P.

Idempotentní šifry Definice Jestliže S S S, říkáme, že S je idempotentní šifra. Jinými slovy, idempotentní šifra je taková, pro kterou platí: Dvojité šifrování dvěma klíči za sebou lze vždy popsat jako jediné šifrování s nějakým jedním klíčem. Čili, vícenásobné šifrování idempotentní šifrou nezvyšuje bezpečnost. Příklady idempotentních šifer: substituční šifra, transpoziční šifra, Hillova šifra, Vigenèrova šifra, Vernamova šifra.

Komutující šifry Definice Jestliže S 2 S 1 S 1 S 2, říkáme, že S 1 a S 2 komutují. Jinými slovy, komutující šifry jsou takové, pro které platí: Zašifrování první šifrou a následné zašifrování výstupu druhou šifrou lze vždy popsat jako šifrování v opačném pořadí, byť třeba s jinými klíči. Příklady komutujících šifer: substituce na písmenech a transpozice na písmenech (klíče budou po změně pořadí stejné, f = id), transpozice na písmenech a Vigenèrova šifra (klíč Vigenèrovy šifry se může zvětšit). Obecně nekomutují: substituční a Hillova šifra.

Asociativita součinu šifer Pozorování Operace součinu šifer je asociativní, protože skládání zobrazení je asociativní. Pozorování Jestliže dvě idempotentní šifry S 1 a S 2 komutují, pak S 2 S 1 je idempotentní: (S 2 S 1 ) (S 2 S 1 ) S 2 S 2 S 1 S 1 S 2 S 1. Příklad Označme S substituční šifru na písmenech a T transpoziční šifru na písmenech, pak S k6 T k5 S k4 T k3 S k2 T k1 S k T k.

Budování složitějších šifer Složitější šifru můžeme vybudovat z neidempotentní šifry S iterováním: S n = S S S. Jednu iteraci šifry S nazýváme runda. Kde vzít neidempotentní šifru? Můžeme vzít dvě šifry, které nekomutují. Jejich součin by obecně neměl být idempotentní.

Nelineární operace K zajištění nelinearity se v mnoha šifrách používá tzv. substituční box (S-box). S-box je zobrazení S : {0, 1} m {0, 1} n. Obvykle m = n a S je bijekce, čili substituční šifra. Některé šifry používají S-boxy závislé na klíči (např. Twofish). Většina šifer používá jeden nebo více konstantních S-boxů (např. DES a AES) a klíč se aplikuje před použitím S-boxu.

S-boxy S-boxy se zpravidla implementují vyhledávací tabulkou, protože nemívají jednoduchý algebraický popis. Vstup Výstup 000000 1110 000001 0000 000010 0100 000011 1111 000100 1101.. 111110 0000 111111 1101 Velikost S-boxu roste exponenciálně v počtu vstupních bitů m, proto většinou m 8.

Využití konstantního bijektivního S-boxu Pokusíme se posílit Vernamovu šifru proti KPA. Přidání S-boxu na konec nemá pro bezpečnost význam: k x S y Přidání S-boxu na začátek ztíží COA tím, že homogenizuje entropii bitů OT, ale KPA zůstává triviální: k x S V následujícím uspořádání (tzv. Evenovo-Mansourovo schéma) už obecně nelze z x a y vypočítat k tak snadno: k k x S y y

Evenovo-Mansourovo schéma k k x S y Dobrý S-box zde tvoří překážku, přes kterou lze přenést známou hodnotu snadno, ale neznámou hodnotu nikoliv. Evenovo-Mansourovo schéma pak poskytuje dobrou konfuzi. Problém: Můžeme si dovolit jen malý S-box (m 8 bitů). Toto schéma tak samo o sobě neposkytuje dobrou difuzi. Klíč o délce m bitů odhalíme hrubou silou.

S-box nestačí Klíč by měl mít přes 80 bitů, aby mohl odolat útoku hrubou silou. Řešení: Přidáme víc klíče, k = (k 1, k 2, k 3, k 4 ): k 1 k 2 k 3 k 4 x S S S y Problém: Schéma dovoluje jen malou délku OT a ŠT. Pro pevně zvolený klíč si útočník může při KPA vytvořit slovník dvojic ( x, E k (x) ), který pokryje většinu x P. Množina P musí být dostatečně velká (délka OT alespoň 64 bitů), aby toto nebylo snadno proveditelné.

S-box nestačí Další možností je rozmístění S-boxů paralelně: k 1 k 2 x S S S S y Máme vedle sebe několik Evenových-Mansourových schémat, která spolu nijak neinteragují. Toto řešení není o moc lepší, protože složitost útoků vzrůstá přímo úměrně k počtu S-boxů, resp. k délce OT nebo klíče. Složitost útoků by měla vzrůstat exponenciálně.

Difuzní vrstva Dobrým řešením je provázat několik konfuzních operací pomocí jedné difuzní operace. Jednoduchou difuzní operací je např. bitová permutace: k 1 x S S S S k 2 S S S S y Lepší difuzi lze docílit použitím lineárního zobrazení, jehož matice je MDS (maximum distance separable).

Substituční-permutační šifra Konfuzi lze dále vylepšit iterováním tohoto schématu. x k 1 S S S S k 2 S S S S k 3 k 4 S S S S y

MDS matice Definice Nechť A je matice typu m n nad konečným tělesem F q. Jestliže Ax + x > m pro všechna x F n q \ 0, pak říkáme, že A je MDS matice (maximum distance separable). x značí Hammingovu váhu vektoru x, tj. počet nenulových složek v x. Jinými slovy, je-li A MDS matice, pak platí, že změníme-li t složek vektoru x, pak se změní alespoň m t + 1 složek vektoru Ax. Změna jedné složky v x způsobí změnu všech složek v Ax. Změna dvou složek v x způsobí změnu v alespoň m 1 složkách Ax, atd.

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář