Osnova přednášky. Seznámení s asymetrickou kryptografií, díl 2. Podpisová schémata -elementární principy- (1)

Podobné dokumenty
Šifrová ochrana informací věk počítačů PS5-2

Šifrová ochrana informací věk počítačů PS5-2

Digitální podepisování pomocí asymetrické kryptografie

Digitální podepisování pomocí asymetrické kryptografie

Osnova přednášky. Seznámení s asymetrickou kryptografií, díl 1. O pojmu bezpečnost Poznámka o hodnocení kryptografické bezpečnosti.

Asymetrická kryptografie a elektronický podpis. Ing. Dominik Breitenbacher Mgr. Radim Janča

Aplikovaná kryptoanalýza. Dr. Tomáš Rosa,

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

(Ne)popiratelnost digitálních podpisů. Cíl přednášky. Jazyková vsuvka

MINIMÁLNÍ POŽADAVKY NA KRYPTOGRAFICKÉ ALGORITMY. doporučení v oblasti kryptografických prostředků

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

asymetrická kryptografie

9. DSA, PKI a infrastruktura. doc. Ing. Róbert Lórencz, CSc.

MFF UK Praha, 22. duben 2008

Kryptografie založená na problému diskrétního logaritmu

Problematika náhodných a pseudonáhodných sekvencí v kryptografických eskalačních protokolech a implementacích na čipových kartách

Šifrová ochrana informací věk počítačů KS - 5

ElGamal, Diffie-Hellman

496/2004 Sb. VYHLÁŠKA Ministerstva informatiky ze dne 29. července 2004 o elektronických podatelnách

Šifrová ochrana informací věk počítačů PS5-1

Pokročilá kryptologie

Digitální podepisování pomocí asymetrické kryptografie

O klíčových kolizích v podpisových schématech

Základní definice Aplikace hašování Kontrukce Známé hašovací funkce. Hašovací funkce. Jonáš Chudý. Úvod do kryptologie

Informatika / bezpečnost

Základy kryptografie. Beret CryptoParty Základy kryptografie 1/17

Diffieho-Hellmanův protokol ustanovení klíče

PA159 - Bezpečnostní aspekty

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Informatika Ochrana dat

8. RSA, kryptografie s veřejným klíčem. doc. Ing. Róbert Lórencz, CSc.

Ochrana dat Obsah. Výměna tajných klíčů ve veřejném kanálu. Radim Farana Podklady pro výuku. Kryptografické systémy s tajným klíčem,

Nepopiratelnost digitálních podpisů

DSY-6. Přenosový kanál kódy pro zabezpečení dat Základy šifrování, autentizace Digitální podpis Základy měření kvality přenosu signálu

dokumentaci Miloslav Špunda

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

Správa přístupu PS3-2

Základy šifrování a kódování

Garantovaná a bezpečná archivace dokumentů. Miroslav Šedivý, Telefónica CZ

Předmět úpravy. 2 Způsob dokládání splnění povinností stanovených v 6 zákona o elektronickém podpisu

RSA. Matematické algoritmy (11MA) Miroslav Vlček, Jan Přikryl. Ústav aplikované matematiky ČVUT v Praze, Fakulta dopravní. čtvrtek 21.

212/2012 Sb. VYHLÁŠKA

Monday, June 13, Garantovaná a bezpečná archivace dokumentů

Robert Hernady, Regional Solution Architect, Microsoft

Bezpečnostní mechanismy

Veronika Čadová O DSA BAKALÁŘSKÁ PRÁCE. Univerzita Karlova v Praze. Matematicko-fyzikální fakulta. Katedra algebry

Asymetrická kryptografie

Návrh a implementace bezpečnosti v podnikových aplikacích. Pavel Horal

Tel.: (+420)

Projekt: 1.5, Registrační číslo: CZ.1.07/1.5.00/ Digitální podpisy

SIM karty a bezpečnost v mobilních sítích

Co je Czech Point? Podací Ověřovací Informační Národní Terminál, zredukovat přílišnou byrokracii ve vztahu

RSA. Matematické algoritmy (11MAG) Jan Přikryl. Ústav aplikované matematiky ČVUT v Praze, Fakulta dopravní. verze: :01

Archivujeme pro budoucnost, nikoliv pro současnost. Miroslav Šedivý Telefónica ČR

Kryptografie - Síla šifer

Operační mody blokových šifer a hašovací algoritmy. šifer. Bloková šifra. šifer. Útoky na operační modus ECB

C5 Bezpečnost dat v PC

Testovací protokol. 1 Informace o testování. 2 Testovací prostředí. 3 Vlastnosti generátoru klíčů. Příloha č. 13

Projekt 2 - Nejčastější chyby. Ing. Dominik Breitenbacher

Pokročilá kryptologie

Čínská věta o zbytcích RSA

Základy kryptologie. Kamil Malinka Fakulta informačních technologií

I.CA SecureStore Uživatelská příručka

SecureStore I.CA. Uživatelská příručka. Verze 2.16 a vyšší

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

pomocí asymetrické kryptografie 15. dubna 2013

Od Enigmy k PKI. principy moderní kryptografie T-SEC4 / L3. Tomáš Herout Cisco. Praha, hotel Clarion dubna 2013.

PSK2-16. Šifrování a elektronický podpis I

Matematika IV - 5. přednáška Polynomy

Standard Ministerstva financí k provozování hazardních her dle zákona č. 186/2016 Sb., o hazardních hrách

Y36PSI Bezpečnost v počítačových sítích. Jan Kubr - 10_11_bezpecnost Jan Kubr 1/41

Problematika převodu zprávy na body eliptické křivky

Bezpečnost dat. Možnosti ochrany - realizována na několika úrovních

I.CA SecureStore Uživatelská příručka

Úvod RSA Aplikace, související témata RSA. Ing. Štěpán Sem Festival Fantazie, Štěpán Sem

Matematika IV - 5. přednáška Polynomy

BEZPEČNOST INFORMACÍ

Komerční výrobky pro kvantovou kryptografii

Asymetrické šifry. Pavla Henzlová FJFI ČVUT v Praze. Pavla Henzlová (FJFI ČVUT v Praze) Asymetrické šifry 28.3.

Miroslav Kureš. Aplikovaná matematika Ostravice workshop A-Math-Net Sít pro transfer znalostí v aplikované matematice

TEZE PROVÁDĚCÍCH PRÁVNÍCH PŘEDPISŮ. I. Vyhláška, kterou se mění vyhláška č. 645/2004 Sb., kterou se provádějí některá

INFORMAČNÍ BEZPEČNOST

KRYPTOGRAFIE VER EJNE HO KLI Č E

ŠIFROVÁNÍ, EL. PODPIS. Kryptografie Elektronický podpis Datové schránky

Útok na privátní podpisové klíče formátu OpenPGP, programů PGP TM a dalších aplikací kompatibilních s OpenPGP

BEZPEČNOST IS. Ukončení předmětu: Předmět je zakončen zkouškou sestávající z písemné a doplňkové ústní části.

příklad Steganografie Matematické základy šifrování šifrování pomocí křížů Hebrejské šifry

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

VYHLÁŠKA. 3 Účinnost. Tato vyhláška nabývá účinnosti dnem 1. prosince 2016.

Katedra informačních technologií PEF ČZU, Praha 6, Kamýcká ul.,

DNSSEC: implementace a přechod na algoritmus ECDSA

Použití čipových karet v IT úřadu

Autentizace uživatelů

EU-OPVK:VY_32_INOVACE_FIL13 Vojtěch Filip, 2014

Složitost a moderní kryptografie

Elektronické dokumenty Terminologie, technologická Dokument jako důkazní prostředek Právní předpoklady pro používání elektronických dokumentů Autentiz

PV157 Autentizace a řízení přístupu

Karel Klouda c KTI, FIT, ČVUT v Praze 28. února, letní semestr 2010/2011

J.Breier, M.Vančo, J.Ďaďo, M.Klement, J.Michelfeit, Masarykova univerzita Fakulta informatiky

Transkript:

Seznámení s asymetrickou kryptografií, díl 2. Ing. omáš Rosa ICZ a.s., Praha Katedra počítačů, FEL, ČVU v Praze tomas.rosa@i.cz Osnova přednášky elementární principy, schéma s dodatkem metody RSA, DSA, ECDSA kryptoanalýza podpisových schémat, útoky Nepopiratelnost digitálního podpisu souvislost s nepadělatelností univerzální nepopiratelnost fyzické předměty a autonomní podpisové moduly 2 Historické souvislosti 1976, Diffie-Hellman: formulace základních principů asymetrických schémat 1978, Rivest-Shamir-Adleman: metoda RSA 1990, Rompel: existence jednosměrných funkcí je nutnou a postačující podmínkou pro existenci podpisových schémat 1991, NIS: metoda DSA jako součást první verze standardu DSS 1992, Vanstone: návrh ECDSA 1998 1, 1999 2, 2000 3 : ECDSA přijato jako -elementární principy- (1) Ukážeme si konstrukci podpisového schématu typu RSA schéma se opírá o použití jednosměrné funkce s padacími vrátky metody založené na čistě jednosměrných funkcích jsou poněkud odlišné (DSA, ECDSA) standard ISO 1, ANSI 2, IEEE 3 a NIS 3 3 4 -elementární principy- (2) -elementární principy- (3) podepisovaná zpráva: m h hašovací funkce h y = h(m) podepisovaná zpráva: m h hašovací funkce h y = h(m) X x f k -1 y Y ověřovaný podpis: s m f k privátní klíč: k digitální podpis zprávy m: s m = x = f k -1 (y) X x y Y podpis platí právě tehdy, když f k (s m ) = h(m) 5 6 1

-výpočet podpisu s dodatkem- -ověření podpisu s dodatkem- Datový soubor obecného typu, například: File.doc msie.exe bank_transfer.txt Soukromý klíč signatáře Přijatý datový soubor Hašovací funkce Veřejný klíč signatáře Přijatý digitální podpis Hašovací funkce Výsledný hašový kód Ověřovací algoritmus Výsledný hašový kód Podepisovací algoritmus Digitální podpis Výsledek: platí/neplatí 7 8 O vztahu asymetrických šifer a podpisových schémat RSA (1) Obecně: Asymetrické šifry a podpisová schémata nejsou jedno a totéž Speciální případy: Za určitých okolností lze asymetrickou šifru převést na podpisové schéma a obráceně pozor na terminologii: odšifrování ~ podpis! Společný rys: využití jednosměrných funkcí a jednosměrných funkcí s padacími vrátky rozhodující vliv na bezpečnost má způsob kódování šifrované či podepisované zprávy 9 Podpisové schéma vystavěno na transformacích RSASP(.) a RSAVP(.) důležité jsou přídavné funkce ENCODE/VERIFY Schéma s obnovou zprávy zprávu a její podpis nelze jednoznačně oddělit používá se zřídka pro velmi krátké zprávy ISO/IEC 9796 závažné problémy Schéma s dodatkem podpis tvoří jasně identifikovatelný doplněk k podepsané zprávě v současnou dobu toto schéma převažuje 10 RSA (2) -podpisové schéma s dodatkem- RSA (3) -podpisové schéma s dodatkem- Výpočet podpisu zprávy vstup: privátní klíč RSA (n, d), zpráva pro podpis M (jako binární řetězec) výpočet: 1. H = hash(m) na úrovni stejných hašových kódů jsou dvě různé zprávy nerozlišitelné 2. m = ENCODE(H) 3. s = RSASP((n, d), m) 4. výsledkem budiž s Ověření podpisu zprávy vstup: veřejný klíč RSA (n, e), zpráva pro ověření podpisu M (jako binární řetězec), ověřovaný podpis s výpočet: 1. m = RSAVP((n, e), s) 2. H = hash(m) 3. V = VERIFY(H, m), V {platí, neplatí} 4. výsledkem budiž V 11 12 2

RSA (4) -schéma vs. transformace- Standard PKCS#1 v. 1.5 příklad 1024bitového modulu n 11001110............ kódování EMSA-PKCS1-v1_5 00000000 00000001 FFF... FF 00000000 = ID hash hash(m), kde hash je použitá hašovací funkce a ID hash je její identifikátor 13 14 DSA (1) DSA (2) Standardizován ve FIPS PUB 186-2 DSS Digital Signature Standard, popisuje DSA Digital Signature Algorithm a navíc stanoví, že jako hašovací funkce (dále h) se má použít SHA-1 (FIPS PUB 180-2). zatím není DSA standardizován pro SHA-256,-384,- 512 (nově zavedeny ve FIPS PUB 180-2) tento krok lze očekávat v následujících verzích FIPS PUB 186 Algebraicky připomíná ElGamal narozdíl od ElGamalu využívá podgrupu prvočíselného řádu q grupy Z p*, q (p-1) tím předchází hned několika útokům souvisí také se Schnorrovým schématem 15 Inicializace schématu vygenerujme náhodné prvočíslo q, 2 159 < q < 2 160 vygenerujme náhodné prvočíslo p, 2 1023 < p < 2 1024 tak, aby q (p-1) nalezněme generátor α cyklické podgrupy grupy Z p* řádu q volme privátní exponent x, 0 < x < q vypočtěme veřejný klíč y, y = α x mod p veřejné parametry schématu jsou (p, q, α) někdy je veřejný klíč uváděn ve tvaru (p, q, α, y) privátní klíč je čtveřice (p, q, α, x) je nutné zajistit integritu čtveřice (p, q, α, x) ačkoliv to tak řada popisů dělá, není vhodné vnímat x samostatně jako privátní klíč 16 DSA (3) DSA (4) Podpis zprávy vstup: privátní klíč (p, q, α, x), zpráva pro podpis m, hašovací funkce h (v DSS h=sha-1) výpočet: 1. vygenerujme tajné náhodné číslo k, 0 < k < q parametr k bývá označován jako dočasný klíč zprávy kompromitace k vede ke kompromitaci privátního klíče 2. vypočtěme r = (α k mod p) mod q 3. vypočtěme s = k -1 (h(m) + xr) mod q, kde kk -1 1 (mod q) 4. ověřme, že r 0 a s 0, jinak se výpočet opakuje 5. podpisem budiž dvojice (r, s) Ověření podpisu vstup: veřejné parametry a klíč (p, q, α, y), zpráva m, ověřovaný podpis (r, s), hašovací funkce h (v DSS h=sha-1) výpočet: 1. ověřme, že 0 < r < q a 0 < s < q, jinak podpis odmítneme jako neplatný 2. vypočtěme w = s -1 mod q 3. vypočtěme u 1 = w*h(m) mod q a u 2 = r*w mod q 4. vypočtěme v = (α u1 y u2 mod p) mod q 5. podpis prohlásíme za platný iff v = r 17 18 3

ECDSA Algebraické rozšíření DSA Namísto Z p*, respektive její cyklické podgrupy, je použita eliptická křivka E(F q ), respektive její cyklická podgrupa prvočíselného řádu n, kde n > 2 160 Použitá křivka je generována náhodně nebo je použita některá ze standardizovaných křivek u ECDSA je běžné sdílení veřejných parametrů (těleso, křivka, generátor podgrupy a jeho řád) při generování nových křivek je třeba pečlivě kontrolovat možné anomálie, které mohou vést k efektivním útokům 19 Kryptoanalýza podpisových schémat Potenciální místa útoku základní kryptografické transformace inverze jednosměrných funkcí, kolize hašovacích funkcí,... formátování podepisovaných dat vážný problém u ISO 9796 schéma s obnovou zprávy u používaných schémat s dodatkem zatím nezjištěny vážnější slabiny generování klíčů a ukládání klíčů nevědomé či záměrné generování slabých klíčů útoky na čipové karty postranními kanály vyšší procesy informačního systému trojský kůň podstrčení dokumentu pro podpis, atp. nedodržení okrajových podmínek použitých kryptografických mechanizmů 20 Nepopiratelnost digitálního podpisu Nepadělatelnost digitálního podpisu Definice. Nezávislá třetí strana je schopna jednoznačně ověřit, že daný subjekt předložený dokument podepsal (respektive nepodepsal). V současných systémech není nepopiratelnosti dosaženo automaticky Příslušný systém musí být s ohledem na požadovanou vlastnost nepopiratelnosti speciálně navržen a konstruován pozor na změnu pohledu: Útočníkem je zde často sám majitel privátního klíče! 21 Definice (silná). Neexistuje zpráva, jejíž podpis je výpočetně schůdné najít s pouhou znalostí veřejného klíče a jiných podepsaných zpráv. odpovídá mezím teoreticky prokazatelných vlastností ve skutečnosti však odstiňuje pouze část možných útoků reálné útoky probíhají za volnějších podmínek postranní kanály obecně povolená interakce s podepisovacím modulem trojský kůň... 22 Nepadělatelnost vs. nepopiratelnost Univerzální nepopiratelnost Nepopiratelnost nepadělatelnost čili zajištění nepadělatelnosti je vhodné chápat v kontextu zajištění nepopiratelnosti Z praktického hlediska je vhodné soustředit se na nepopiratelnost omezení se pouze na nepadělatelnost je zavádějící 23 I při nepopiratelnosti mohou hrozit útoky vycházejí zejména z technických slabin konkrétního IS podstata: lokální zmatení konkrétní osoby ověřující daný podpis výrok této osoby se bude lišit od pozdějšího (správného) výroku soudce Řešení: univerzální nepopiratelnost taková nepopiratelnost, kde role třetí strany není omezena na určitou skupinu vybraných autorit čili každá ověřující osoba je schopna vydat rozhodnutí o pravosti podpisu konvenující s pozdějším verdiktem soudce 24 4

Zajišťování (univerzální) nepopiratelnosti Vyžaduje pečlivý formální rozbor procesů celého IS mimo jiné se dotýká klíčového hospodářství nikdo (ani sám majitel daného klíče) nesmí být schopen zcela ovlivnit hodnotu generovaných klíčů zahrnuje i ostatní partie formáty zpracovávaných dokumentů architekturu adresářových a síťových služeb Útoky na nepopiratelnost Využívají kryptoanalytické útoky na použité podpisové schéma k zajištění dílčích cílů hlavního útoku Cíl hlavního útoku získat profit z napadení výroku o pravosti/nepravosti předloženého podpisu 1. útočník před soudem popírá svůj vlastní podpis nejčastější případ 2. útočník * prokazuje, že někdo jiný podepsal jím * předložený dokument v jím * předložené podobě 25 26 Popírání podpisu Hledání alternativního vysvětlení Základní princip: alternativní vysvětlení útočník předkládá soudu (alternativní) vysvětlení toho, proč se u předloženého dokumentu nachází jeho (matematicky) platný podpis, jestliže on dokument nepodepsal Kryptologická opora soudních verdiktů spočívá v tom, že nelze nalézt alternativní vysvětlení čili, existuje pouze jedno matematicky korektní vysvětlení dané situace 27 Nalezení kolize zpráv veřejných klíčů Zpochybnění nepadělatelnosti podpisů v daném schématu kvality generování a ochrany privátních klíčů bezpečnosti podepisovacího modulu Předstírání zmatení kódování podepisovaných zpráv trojský kůň 28 Příklad kódování zpráv- (1) Příklad kódování zpráv- (2) 29 30 5

Nepopiratelnost a fyzické předměty Nepopiratelnost a autonomní podpisové moduly ypicky se dnes jedná o čipové karty privátní klíč je uložen na kartě a chráněn mechanizmem PIN volitelně lze privátní klíč na kartě i vygenerovat a provádět s ním podepisovací transformaci přímo v prostředí karty klíč prokazatelně nikdy neopustí kartu Snižuje možnost alternativního vysvětlení uživatel má klíč pod jistou úrovní své kontroly Sama karta ale nestačí předstírání zmatení aplikace zobrazující podepisovanou zprávu není pod kontrolou čipové karty zpochybnění kvality klíče generovaného na kartě (slabiny (P)RNG) 31 Cílem je dále snížit riziko nalezení alternativního vysvětlení součástí modulu může být i zobrazovací jednotka a klávesnice lze očekávat lepší řešení problémových oblastí čipových karet RNG, apod. Pro plošné nasazení však zatím nedostupné řádově vyšší cena možné problémy s kompatibilitou Nasazovány jako jádra klíčových systémů certifikační autority notářské služby... 32 Závěr Na bezpečnosti digitálního podepisování se podílí řada faktorů počínaje kvalitou matematických primitiv a konče odolností pracovních stanic uživatelů z kryptologického hlediska se jedná zejména o typ použitého schématu, kvalitu RNG, generování a uchovávání Děkuji klíčůza pozornost... Hlavním cílem je nepopiratelnost musíme být schopni útočníkovi * dokázat, že sám nebyl předmětem jiného útoku a tím zmařit jeho * útok Elektronické podepisování vs. digitální podepisování legislativní vs. matematicko-technický pohled na dvě pronikající se oblasti 33 6

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář