Andrew Kozlík KA MFF UK

Podobné dokumenty
Hashovací funkce. Andrew Kozlík KA MFF UK

Diffieho-Hellmanův protokol ustanovení klíče

Kryptografie založená na problému diskrétního logaritmu

Andrew Kozlík KA MFF UK

Proudové šifry a posuvné registry s lineární zpětnou vazbou

asymetrická kryptografie

Digitální podepisování pomocí asymetrické kryptografie

MFF UK Praha, 22. duben 2008

Konstrukce šifer. Andrew Kozlík KA MFF UK

Správa přístupu PS3-2

Operační mody blokových šifer a hašovací algoritmy. šifer. Bloková šifra. šifer. Útoky na operační modus ECB

UKRY - Symetrické blokové šifry

Základní definice Aplikace hašování Kontrukce Známé hašovací funkce. Hašovací funkce. Jonáš Chudý. Úvod do kryptologie

Asymetrická kryptografie

Stavební bloky kryptografie. Kamil Malinka Fakulta informačních technologií

Vzdálenost jednoznačnosti a absolutně

Identifikátor materiálu: ICT-2-04

Moderní metody substitučního šifrování

ElGamal, Diffie-Hellman

8. RSA, kryptografie s veřejným klíčem. doc. Ing. Róbert Lórencz, CSc.

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

MINIMÁLNÍ POŽADAVKY NA KRYPTOGRAFICKÉ ALGORITMY. doporučení v oblasti kryptografických prostředků

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Hesla a bezpečnost na internetu MjUNI 2019 Dětská univerzita,

Jak funguje asymetrické šifrování?

Data Encryption Standard (DES)

Y36PSI Bezpečnost v počítačových sítích. Jan Kubr - 10_11_bezpecnost Jan Kubr 1/41

kryptosystémy obecně další zajímavé substituční šifry klíčové hospodářství kryptografická pravidla Hillova šifra Vernamova šifra Knižní šifra

Kryptoanalýza. Kamil Malinka Fakulta informačních technologií. Kryptografie a informační bezpečnost, Kamil Malinka 2008

Bezpečnost internetového bankovnictví, bankomaty

Pokročilá kryptologie

Asymetrická kryptografie a elektronický podpis. Ing. Dominik Breitenbacher Mgr. Radim Janča

Kerchhoffův princip Utajení šifrovacího algoritmu nesmí sloužit jako opatření nahrazující nebo garantující kvalitu šifrovacího systému

Návrh a implementace bezpečnosti v podnikových aplikacích. Pavel Horal

Základy kryptologie. Kamil Malinka Fakulta informačních technologií

DSY-6. Přenosový kanál kódy pro zabezpečení dat Základy šifrování, autentizace Digitální podpis Základy měření kvality přenosu signálu

vá ro ko Sý ětuše Kv

Čínská věta o zbytcích RSA

MASARYKOVA UNIVERZITA FAKULTA INFORMATIKY. Autentizace dat. Bc. David Cimbůrek

Asymetrické šifry. Pavla Henzlová FJFI ČVUT v Praze. Pavla Henzlová (FJFI ČVUT v Praze) Asymetrické šifry 28.3.

KRYPTOGRAFIE VER EJNE HO KLI Č E

SSL Secure Sockets Layer

Šifrování flash a jiných datových úložišť

III. Mody činnosti blokových šifer a hašovací funkce

RSA. Matematické algoritmy (11MAG) Jan Přikryl. Ústav aplikované matematiky ČVUT v Praze, Fakulta dopravní. verze: :01

Složitost a moderní kryptografie

Moderní komunikační technologie. Ing. Petr Machník, Ph.D.

RSA. Matematické algoritmy (11MA) Miroslav Vlček, Jan Přikryl. Ústav aplikované matematiky ČVUT v Praze, Fakulta dopravní. čtvrtek 21.

PA159 - Bezpečnostní aspekty

5. Hašovací funkce, MD5, SHA-x, HMAC. doc. Ing. Róbert Lórencz, CSc.

BI-BEZ Bezpečnost. Proudové šifry, blokové šifry, DES, 3DES, AES,

Od Enigmy k PKI. principy moderní kryptografie T-SEC4 / L3. Tomáš Herout Cisco. Praha, hotel Clarion dubna 2013.

7. Proudové šifry, blokové šifry, DES, 3DES, AES, operační módy. doc. Ing. Róbert Lórencz, CSc.

CO JE KRYPTOGRAFIE Šifrovací algoritmy Kódovací algoritmus Prolomení algoritmu

KPB. Režimy činnosti symetrických šifer - dokončení. KPB 2015/16, 7. přednáška 1

PSK2-16. Šifrování a elektronický podpis I

bit/p6d-h.d 22. března

Integrovaný informační systém Státní pokladny (IISSP) Dokumentace API - integrační dokumentace

Kryptografie a počítačová

Protokol pro zabezpečení elektronických transakcí - SET

Autentizace uživatelů

9. DSA, PKI a infrastruktura. doc. Ing. Róbert Lórencz, CSc.

Počítačové sítě II. 20. Útoky na síť a její ochrana Miroslav Spousta, 2006 <qiq@ucw.cz>,

ČESKÁ TECHNICKÁ NORMA

Psaní na mokrý papír. Andrew Kozlik KA MFF UK


Využití Diffie-Hellmanova protokolu pro anonymní autentizaci

Komerční výrobky pro kvantovou kryptografii

PV157 Autentizace a řízení přístupu

Kryptografické protokoly. Stříbrnice,

Lineární algebra : Změna báze

Jihomoravske centrum mezina rodnı mobility. T-exkurze. Teorie c ı sel, aneb elektronicky podpis a s ifrova nı

Ochrana dat Obsah. Výměna tajných klíčů ve veřejném kanálu. Radim Farana Podklady pro výuku. Kryptografické systémy s tajným klíčem,

Identifikace a autentizace

pomocí asymetrické kryptografie 15. dubna 2013

6. Cvičení [MI-KRY Pokročilá kryptologie]

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP TCP/IP.

Elektronické bankovníctvo základy, priame distribučné kanály. Tradičné vs. elektronické bankovníctvo BIVŠ 2007/2008

Aplikace univerzálního rámce řízení přístupu

Predik atov a logika - pˇredn aˇska () Predik atov a logika - pˇredn aˇska / 16

Zero-knowledge protokoly. Autentizační protokoly & Autentizace počítačů. Zero-knowledge protokoly. Protokoly vyšší úrovně SSL/TLS. Komponenty SSL/TLS

Kvantová kryptografie

Seminární práce do předmětu: Bezpečnost informačních systémů. téma: IPsec. Vypracoval: Libor Stránský

Základy kryptografie. Beret CryptoParty Základy kryptografie 1/17

Bezpečnost dat. Možnosti ochrany - realizována na několika úrovních

Katedra informačních technologií PEF ČZU, Praha 6, Kamýcká ul.,

Bezpečné placení na Internetu

základní informace o kurzu základní pojmy literatura ukončení, požadavky, podmiňující předměty,

Hashovací funkce a SHA 3

SIM karty a bezpečnost v mobilních sítích

vnější profesionál vnitřní profesionál organizace opakuje podsouvá

Co musíte vědět o šifrování

Co musíte vědět o šifrování

5. a 6. přednáška z kryptografie

Anonymní komunikace praktické příklady

Matematické základy šifrování a kódování

Bezpečnostní mechanismy

Digitální podepisování pomocí asymetrické kryptografie

Přednáška 10. X Window. Secure shell. Úvod do Operačních Systémů Přednáška 10

Transkript:

Autentizační kód zprávy Andrew Kozlík KA MFF UK

Autentizační kód zprávy Anglicky: message authentication code (MAC). MAC algoritmus je v podstatě hashovací funkce s klíčem: MAC : {0, 1} k {0, 1} {0, 1} n, kde k, n N. MAC slouží k autentizaci původce zprávy. Implicitně zahrnuje i zajištění integrity zprávy. Obraz nazýváme tag nebo prostě MAC. Tag můžeme připojit ke zprávě jako jakýsi podpis. Není to podpis, protože nezajišťuje nepopiratelnost!

Zajištění autentizace pomocí hashovací funkce odesílatel útočník příjemce x x A B Jestliže veřejný kanál h(x ) = t, h h usoudíme, že x = x a že x t kanál se zajištěnou autentizací =? pochází od A. Zajištění autentizace pomocí MACu odesílatel útočník příjemce x x A B t veřejný kanál t Jestliže MAC MAC MAC(k, x ) = t, usoudíme, že? k = x kanál s utajením a autentizací = x a že x G pochází od A.

Typy útoků na MAC Known message útok Útočník zná jeden nebo více párů (x i, t i ), kde t i = MAC(k, x i ) a k je konstantní. Chosen message útok Útočník volí zprávy x 1,..., x n a dozvídá se hodnoty t i = MAC(k, x i ), kde k je konstantní. Cílem je vytvořit novou dvojici (x, t), kde t = MAC(k, x).

Šifra nezajišťuje ani integritu ani autentizaci Alice posílá do banky platební příkaz pro Boba. Příkaz má standardní formát x = pořadové číslo N A N B částka a zašifruje se proudovou šifrou y = x s, kde s je keystream, N A a N B jsou čísla účtů Alice a Boba. Cestou do banky je zašifrovaný příkaz zadržen Evou. Ta ho pozmění a pošle dál: y = y (0... 0 0... 0 N B N E 0... 0). Po dešifrování y v bance dostaneme pořadové číslo N A N E částka.

Autentizované šifrování Encrypt-then-MAC Máme klíče k1 a k 2 (jeden může být odvozený z druhého). Spočítáme y = E(k1, x) a t = MAC(k 2, y). Pošleme (y, t). Existují operační režimy blokových šifer, které kombinují utajení a autentizaci. Výstupem je šifrový text a tag. Například: Galois Counter Mode (GCM). Obrana proti replay útokům: Do zprávy přidáme důkaz čerstvosti, např. pořadové číslo.

Konstrukce MAC algoritmu z hashovací funkce Nápad: MAC(k, x) := h(k x). Problém: Když h má Merkleovu-Damgårdovu konstrukci: Útočník odposlechne (x, t), kde t = h(k x). Pro libovolné x může spočítat h(k x x ) bez znalosti k. Stačí navázat na posloupnost volání kompresní funkce: B 1 B 2 B n B 1 B n IV f f... f t f... f t Tím získá tag t pro zprávu x x, aniž by znal klíč k. Řešení: ( HMAC(k, x) := h (k opad) ( ) ) h (k ipad) x, kde opad a ipad jsou standardem dané konstanty.

Konstrukce MAC algoritmu z blokové šifry Nápad: CBC-MAC Zprávu zašifrujeme blokovou šifrou v CBC režimu a jako tag použijeme pouze poslední blok výstupu, IV = 0. Pro šifrování a MAC je třeba použít různé klíče! Problém: Known message útok Útočník odposlechne (x1, t 1 ) a (x 2, t 2 ), kde t i = CBC-MAC(k, x i ). Pro jednoduchost předpokládejme, že délka xi je rovna délce jednoho bloku šifry, potom t i = E(k, x i ). Označme x3 := t 1 x 2. Potom CBC-MAC(k, x1 x 3 ) = E(k, E(k, x 1 ) x 3 ) = E(k, t 1 t 1 x 2 ) = t 2. Sestrojili jsme novou platnou dvojici ( x1 (t 1 x 2 ), t 2 ).

Konstrukce MAC algoritmu z blokové šifry Řešení: EMAC Výsledek CBC-MACu navíc zašifrujeme jiným klíčem: EMAC(k 1, k 2, x) := E(k 2, CBC-MAC(k 1, x)) Problém: Chosen message útok Podaří-li se útočníkovi narazit na kolizi (x1, t) a (x 2, t), kde t = EMAC(k 1, k 2, x 1 ) = EMAC(k 1, k 2, x 2 ), pak CBC-MAC(k 1, x 1 ) = CBC-MAC(k 1, x 2 ). Nechť x je libovolný řetězec o délce jednoho bloku. Uvažujeme-li chosen message útok, pak se útočník může dotázat na EMAC(k 1, k 2, (x 1 x )) = t 3.

Chosen message útok na EMAC Pokračování: Nyní platí: Řešení: EMAC(k 1, k 2, (x 2 x )) = E(k 2, CBC-MAC(k 1, (x 2 x )) = E(k 2, E(k 1, CBC-MAC(k 1, x 2 ) x ))) = E(k 2, E(k 1, CBC-MAC(k 1, x 1 ) x ))) = E(k 2, CBC-MAC(k 1, (x 1 x )) = EMAC(k 1, k 2, (x 1 x )) = t 3. Sestrojili jsme novou platnou dvojici ( (x2 x ), t 3 ), ačkoliv se útočník na tag pro (x 2 x ) nikdy nedotázal. 1. Omezíme počet zpráv, pro které se k 1 a k 2 použijí, aby kolize tagů byly málo pravděpodobné. 2. Jako tag použijeme jen několik prvních bitů výstupu EMACu, aby útočník nemohl z tagu poznat kolize CBC-MACu.

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář