Aplikovaná kryptoanalýza. Dr. Tomáš Rosa,

Podobné dokumenty
(Ne)popiratelnost digitálních podpisů. Cíl přednášky. Jazyková vsuvka

Osnova přednášky. Seznámení s asymetrickou kryptografií, díl 2. Podpisová schémata -elementární principy- (1)

MFF UK Praha, 22. duben 2008

Nepopiratelnost digitálních podpisů

Matematika v kryptografii. Doc. Ing. Karel Burda, CSc. FEKT VUT v Brně

základní informace o kurzu základní pojmy literatura ukončení, požadavky, podmiňující předměty,

BEZPEČNOST IS. Ukončení předmětu: Předmět je zakončen zkouškou sestávající z písemné a doplňkové ústní části.

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

Kryptografie a počítačová

Osnova přednášky. Seznámení s asymetrickou kryptografií, díl 1. O pojmu bezpečnost Poznámka o hodnocení kryptografické bezpečnosti.

Základy šifrování a kódování

J.Breier, M.Vančo, J.Ďaďo, M.Klement, J.Michelfeit, Masarykova univerzita Fakulta informatiky

Digitální podepisování pomocí asymetrické kryptografie

Karel Kohout 18. května 2010

Postranními kanály k tajemství čipových karet

Informatika / bezpečnost

8. RSA, kryptografie s veřejným klíčem. doc. Ing. Róbert Lórencz, CSc.

Kryptografie založená na problému diskrétního logaritmu

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Nový trestní zákon - kampaň za změnu k vysvětlení problému

Digitální podepisování pomocí asymetrické kryptografie

BEZPEČNOST INFORMACÍ

Současná kryptologie v praxi

Základy kryptografie. Beret CryptoParty Základy kryptografie 1/17

Výsledky bezpečnostního auditu TrueCryptu. Ing. Josef Kokeš. CryptoFest 2015

Šifrová ochrana informací historie KS4

Projekt 2 - Nejčastější chyby. Ing. Dominik Breitenbacher

2000 zveřejnění dobové zprávy General Report on Tunny informací nedostatek k odvození konstrukce šifrátoru Lorenz cíl: odvození pravděpodobného

Šifrová ochrana informací věk počítačů PS5-2

Diffieho-Hellmanův protokol ustanovení klíče

DSY-6. Přenosový kanál kódy pro zabezpečení dat Základy šifrování, autentizace Digitální podpis Základy měření kvality přenosu signálu

Kryptografie - Síla šifer

Šifrová ochrana informací věk počítačů PS5-2

Návrh a implementace bezpečnosti v podnikových aplikacích. Pavel Horal

Základní definice Aplikace hašování Kontrukce Známé hašovací funkce. Hašovací funkce. Jonáš Chudý. Úvod do kryptologie

Asymetrická kryptografie a elektronický podpis. Ing. Dominik Breitenbacher Mgr. Radim Janča

2000 zveřejnění dobové zprávy General Report on Tunny

Andrew Kozlík KA MFF UK

Šifrová ochrana informací historie PS4

Šifrová ochrana informací historie PS4

Co je Czech Point? Podací Ověřovací Informační Národní Terminál, zredukovat přílišnou byrokracii ve vztahu

Jak funguje asymetrické šifrování?

Protiopatření eliminující proudovou analýzu

Zaručená archivace elektronických dokumentů

MINIMÁLNÍ POŽADAVKY NA KRYPTOGRAFICKÉ ALGORITMY. doporučení v oblasti kryptografických prostředků

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů. Digitální důvěra. Jiří Smítka

Asymetrická kryptografie

Pokročilá kryptologie

9. DSA, PKI a infrastruktura. doc. Ing. Róbert Lórencz, CSc.

Útok na privátní podpisové klíče formátu OpenPGP, programů PGP TM a dalších aplikací kompatibilních s OpenPGP

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

Šifrová ochrana informací věk počítačů PS5-1

Zabezpečení mobilních bankovnictví

Zabezpečení citlivých dat informačních systémů státní správy. Ing. Michal Vackář Mgr. Boleslav Bobčík

Elektronický podpis význam pro komunikaci. elektronickými prostředky

PA159 - Bezpečnostní aspekty

Správa přístupu PS3-2

Vzdálenost jednoznačnosti a absolutně


VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY

vnější profesionál vnitřní profesionál organizace opakuje podsouvá

asymetrická kryptografie

Akreditovaná certifikační autorita eidentity

Komerční výrobky pro kvantovou kryptografii

kryptosystémy obecně další zajímavé substituční šifry klíčové hospodářství kryptografická pravidla Hillova šifra Vernamova šifra Knižní šifra

Matematické základy šifrování a kódování

Od Enigmy k PKI. principy moderní kryptografie T-SEC4 / L3. Tomáš Herout Cisco. Praha, hotel Clarion dubna 2013.

Projekt: 1.5, Registrační číslo: CZ.1.07/1.5.00/ Digitální podpisy

Bezpečnostní normy a standardy KS - 6

Ochrana dat Obsah. Výměna tajných klíčů ve veřejném kanálu. Radim Farana Podklady pro výuku. Kryptografické systémy s tajným klíčem,

Digitální podepisování pomocí asymetrické kryptografie

Šifrování flash a jiných datových úložišť

Testovací protokol. 1 Informace o testování. 2 Testovací prostředí. 3 Vlastnosti generátoru klíčů. Příloha č. 13

SecureStore I.CA. Uživatelská příručka. Verze 2.16 a vyšší

Bezpečnostní mechanismy

I.CA SecureStore Uživatelská příručka

Bezpečnost internetového bankovnictví, bankomaty

Pokročilá kryptologie

Základy moderní kryptologie Symetrická kryptografie I.

ZPRÁVA PRO UŽIVATELE

PV157 Autentizace a řízení přístupu

Informatika Ochrana dat

Současná kryptologie v praxi

Protokol RSA. Tvorba klíčů a provoz protokolu Bezpečnost a korektnost protokolu Jednoduché útoky na provoz RSA Další kryptosystémy

Problematika náhodných a pseudonáhodných sekvencí v kryptografických eskalačních protokolech a implementacích na čipových kartách

Elektronický podpis. Marek Kumpošt Kamil Malinka

Počet kreditů: 5 Forma studia: kombinovaná. Anotace: Předmět seznamuje se základy dělitelnosti, vybranými partiemi algebry, šifrování a kódování.

Cryptelo je systém kompletně navržený a vyvinutý přímo naší společností. Aplikace šifrování do běžné praxe. Cryptelo chrání přímo vaše data

ZPRÁVA PRO UŽIVATELE

Základy kryptologie. Kamil Malinka Fakulta informačních technologií

ElA blockchain. blockchain pro váš business. Valná hromada Elektrotechnické asociace České republiky /05/2019/Přerov

INFORMAČNÍ BEZPEČNOST

Elektronický podpis a jeho aplikace v praxi

496/2004 Sb. VYHLÁŠKA Ministerstva informatiky ze dne 29. července 2004 o elektronických podatelnách

Archivujeme pro budoucnost, nikoliv pro současnost. Miroslav Šedivý Telefónica ČR

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

ZPRÁVA PRO UŽIVATELE

Úvod - Podniková informační bezpečnost PS1-1

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma


Transkript:

Aplikovaná kryptoanalýza Dr. Tomáš Rosa, trosa@ebanka.cz

Agenda Současný stav aplikované kryptografie Fenomény aplikované kryptoanalýzy Postranní kanály Přískoky vědy Sociální inženýrství Nepopiratelnost skrytá hrozba Exemplární slabiny vybraných schémat Možnosti odhalování slabin 2

Přístup kryptoanalytika Věříme, že bezpečné schéma existuje. Pokud lze něco prolomit, tak musel někdo udělat chybu. Chybovat je lidské 3

Aplikovaná kryptografie dneška Přístup typu black-box Autonomní, snadno aplikovatelné moduly. Nízké povědomí až aktivní nezájem o vnitřní uspořádání. Zřetelný rozdíl mezi zpravodajským a komerčním pojetím kryptografie. Neznalost až vědomá ignorace elementárních principů. Chybí použitelný standard kvality. 4

Jak vypadá dnešní hacker Naštěstí je to často stejný, ne-li větší, ignorant jako dnešní vývojář Máme na mysli běžného útočníka a vývojáře, kteří svéřemeslo berou čistě jako prostředek obživy. 5

Co můžeme očekávat Finanční přitažlivost počítačových útoků stoupá. S tím bude stoupat snaha útočníků zdokonalovat své metody. 6

Aplikovaná kryptoanalýza Překvapivé útoky v neočekávaných místech systému Obvykle velmi efektivní a těžko odhalitelné postupy. Postranní kanály Podcenění fyzikálních projevů zařízení. Přískoky vědy Podcenění heuristické povahy kryptografie. Sociální techniky Podcenění lidského faktoru. 7

Postranní kanál Každý nežádoucí způsob výměny informací mezi kryptografickým modulem a jeho okolím. Časový Napěťově - proudový Elektromagnetický Chybový Kleptografický Postranní kanál 8

Ilustrace úniku informací postranním kanálem Hammingova vzdálenost datových bloků přesouvaných vybranou instrukcí analyzovaného kódu. 9

1 0

Jiná ilustrace chybový kanál klienti ClientKeyExchange RSA, Finished C = [ϕ(premaster-secret)] e mod N Chybový postranní kanál server computation: try { P C d mod N } try { premaster-secret ϕ -1 (P) } if (exception in ϕ -1 ) premaster-secret RAND(48) else if(bad version of premaster-secret) Alert-version Finished/Alert 1 1

Kryptoanalýza dříve Analytik měl k dispozici zachycený šifrový text. V lepším případě měl i popis použité metody. 1 2

Kryptoanalýza nyní Analytik komunikuje přímo s napadeným systémem - dává mu povolené příkazy. Útok připomíná herní partii výhrou analytika je prolomení systému. 1 3

Přískoky vědy Prokazatelná bezpečnost je zatím iluzí. Myslíme si, že systém je tak bezpečný, jak složitý je problém, o kterém si myslíme, že je neschůdný. Místo myslíme si zde ovšem má být umíme dokázat. 1 4

Oslabení ze dne na den bychom měli očekávat u každého algoritmu. Realita je ovšem zcela jiná: Aplikace nejsou technicky schopny přejít rychle na jiný algoritmus. Některé to nedokážou vůbec. Změna algoritmu není procesně podchycena (krizové scénáře, atp.). 1 5

Sociální inženýrství (SI) Zneužíváno jako platforma pro velmi efektivní útoky. Útoky založeny na slabinách ve vzorcích běžného lidského chování. Zmatení uživatelů podvrženými informacemi. Predikovatelnost reakcí skupiny uživatelů na definované vnější podněty. 1 6

Nepopiratelnost Cíl Nezávislá třetí strana je schopna rozhodovat spory o tom, zda se nějaká údajná událost stala či nestala. Prostředek Důvěryhodný digitální důkaz (nosič nazýváme token, srv. informace vs. data). Útoky Kombinované přístupy s významným podílem sociálního inženýrství. 1 7

Podstata digitálního podpisu Událost vytvoření podpisu musí být nepopiratelná. Nezávislá třetí strana je schopna rozhodnout, zda se událost vytvoření podpisu skutečně stala či nikoliv. Požadavek nepadělatelnosti podpisu je v požadavku nepopiratelnosti události vytvoření podpisu zahrnut implicitně. 1 8

Meze striktně logických důkazů Triviálně lze ukázat, že {s Sig Priv (m)} {Ver Pub (m, s) = ANO}. My bychom však rádi ukázali, že také {Ver Pub (m, s) = ANO} {s (!) Sig Priv (m)}, zde jsme odkázáni na heuristiku... (viz ovšem rozdílné chápání logického a právního důkazu) 1 9

Potenciální slabiny Kolize hašovacích funkcí Neproběhlo s Sig Priv (m 1 ),ale s Sig Priv (m 2 ), kde h(m 1 ) = h(m 2 ), ale m 1 m 2. Vnitřní kolize podpisových schémat Obdobný efekt jako kolize hašovacích funkcí. Kolize klíčů Neproběhlo s Sig Priv1 (m), ale s Sig Priv2 (m), kde Priv 1 Priv 2. Sémantické kolize Zpráva se má dekódovat jako ϕ 2 (m), nikoliv jako ϕ 1 (m), kde ϕ 1 ϕ 2. 2 0

Varování Útočit může sám oprávněný majitel podepisovacího klíče - signatář. Ani jemu nesmí být například umožněno generovat hodnoty klíčů zcela podle jeho vůle. Úloha pro důvěryhodné autonomní kryptografické moduly. Jednoznačné formáty dokumentů. 2 1

RSA exemplární slabiny 2 2

RSA praktické útoky Připomeňme: ověřovací transformace: (m e mod N) = c, podepisovací transformace: (c d mod N) = m. Základní kryptoanalytické úlohy: podvržení podpisu a luštění, inverze ověřovací transformace, nalezení soukromého klíče (N, d). pak už triviálně pak už triviálně 2 3

RSA podvržení podpisu Jde o chyby v ověřovací proceduře. Buď s podpis dle RSASSA-PKCS-v1_5. Pro s e mod N má být ověřeno, že: modul N 0................1 s e mod N dle EMSA-PKCS1-v1_5 00000000 00000001 FF... FF 00000000 ID h h(m) 2 4

Chyba á-la OpenSSL Je tolerován výskyt neprázdného řetězce GRB připojeného zprava, viz níže. modul N 0................1 s e mod N dle EMSA-PKCS1-v1_5 00000000 00000001 FF... FF 00000000 ID h h(m) GRB 2 5

Chyba á-la neznámý umělec Je kontrolována jen hodnota a pozice prvku h(m), viz níže. modul N 0................1 s e mod N dle EMSA-PKCS1-v1_5.............. h(m) 2 6

Důsledky zmíněných chyb (!) Pro nízké veřejné exponenty (typicky 3, 5, 7, 17) lze bez znalosti soukromého klíče vytvořit podpis, který je procedurou považován za platný. Úspěch závisí ještě na délce modulu. Čím delší je, tím lepší šance útočník má. Pro vyšší exponenty (65537, atp.) je to zatím jen významná certifikační slabina. 2 7

DSA exemplární slabiny 2 8

DSA praktické útoky Připomeňme: podpis: r = (g k mod p) mod q, s = (h(m) + xr)k -1 mod q, podpisem je dvojice (r, s), k je tajné číslo, 0 < k < q, tzv. NONCE, x je soukromý klíč, 0 < x < q. 2 9

DSA praktické útoky Základní kryptoanalytické úlohy: kolize, padělání podpisu, nalezení soukromého klíče. pak už triviálně 3 0

DSA - kolize Kolize hašovací funkce. Kolize ve vzorci pro s: ať q h(m 1 ) h(m 2 ), potom s = (h(m 1 ) + xr)k -1 mod q = = (h(m 2 ) + zq + xr)k -1 mod q = = [(h(m 2 ) + xr)k -1 + zqk -1 ] mod q = = (h(m 2 ) + xr)k -1 mod q. 3 1

DSA soukromý klíč Velmi citlivým místem je NONCE k. Závislosti mezi jednotlivými NONCE. Parciální informace o NONCE. Chybové útoky změnou veřejných parametrů. 3 2

K využití znalosti NONCE Vycházíme ze soustavy kongruencí získaných pro d podpisů. A = { k i s i xr i h(m i ) (mod q) } i = 1 d Heuristicky: Znalost nějakého netriviálního bitu nějakého k i podává zhruba 1b informaci o soukromém klíči x, která se přes soustavu A kumuluje. Problém skrytého čísla, úspěšné metody řešení vycházejí z algoritmu LLL. 3 3

Metody odhalování slabin Penetrační testování Slabiny odhalitelné ověřováním hypotéz o zařízení typu black box. Příklad: Ověřovací procedura RSA. Revize zdrojových kódů Aneb když počet ověřovaných hypotéz značně roste. Příklad: Degenerované NONCE u DSA. 3 4

Závěr Vedle aplikované kryptografie existuje aplikovaná kryptoanalýza. Kryptografické algoritmy nejsou nedotknutelné mohou být napadeny a prolomeny. Řízení informační bezpečnosti musí tyto skutečnosti reflektovat. 3 5

Další zdroje Klíma, V. a Rosa, T.: Kryptologie pro praxi, seriál časopisu Sdělovací technika, 2003 2007 http://crypto.hyperlink.cz/cryptoprax.htm Menezes, A.-J., van Oorschot, P.-C., and Vanstone, S.-A.: Handbook of Applied Cryptography, CRC Press, 1996 http://www.cacr.math.uwaterloo.ca/hac/ 3 6

Děkuji za pozornost... dr. Tomáš Rosa, trosa@ebanka.cz divize Informační bezpečnost ebanka, a.s., http://www.ebanka.cz a Katedra algebry UK MFF, http://www.mff.cuni.cz 3 7

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář