SHA-3. Úvod do kryptologie. 29. dubna 2013

Podobné dokumenty
Kryptologie a kombinatorika na slovech. 6. března 2013

Základní definice Aplikace hašování Kontrukce Známé hašovací funkce. Hašovací funkce. Jonáš Chudý. Úvod do kryptologie

5. Hašovací funkce, MD5, SHA-x, HMAC. doc. Ing. Róbert Lórencz, CSc.

vá ro ko Sý ětuše Kv

A. Poznámka k lineárním aproximacím kryptografické hašovací funkce BLUE MIDNIGHT WISH

Operační mody blokových šifer a hašovací algoritmy. šifer. Bloková šifra. šifer. Útoky na operační modus ECB

Hashovací funkce a SHA 3

Teoretický základ a přehled kryptografických hashovacích funkcí

Vlastimil Klíma. Seminár Bezpecnost Informacních Systému v praxi, MFF UK Praha,

III. Mody činnosti blokových šifer a hašovací funkce

Ochrana dat Obsah. Výměna tajných klíčů ve veřejném kanálu. Radim Farana Podklady pro výuku. Kryptografické systémy s tajným klíčem,

Digitální podepisování pomocí asymetrické kryptografie

Digitální podepisování pomocí asymetrické kryptografie

SIM karty a bezpečnost v mobilních sítích

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

MINIMÁLNÍ POŽADAVKY NA KRYPTOGRAFICKÉ ALGORITMY. doporučení v oblasti kryptografických prostředků

Předmět úpravy. 2 Způsob dokládání splnění povinností stanovených v 6 zákona o elektronickém podpisu

Digitální podepisování pomocí asymetrické kryptografie


Integrovaný informační systém Státní pokladny (IISSP) Dokumentace API - integrační dokumentace

Stavební bloky kryptografie. Kamil Malinka Fakulta informačních technologií

Informatika / bezpečnost

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY

Od Enigmy k PKI. principy moderní kryptografie T-SEC4 / L3. Tomáš Herout Cisco. Praha, hotel Clarion dubna 2013.

asymetrická kryptografie

Pokroky matematiky, fyziky a astronomie

Hashovací funkce. Andrew Kozlík KA MFF UK

PV157 Autentizace a řízení přístupu

Proudové šifry a posuvné registry s lineární zpětnou vazbou

MFF UK Praha, 22. duben 2008

Garantovaná a bezpečná archivace dokumentů. Miroslav Šedivý, Telefónica CZ

Základy kryptografie. Beret CryptoParty Základy kryptografie 1/17

Monday, June 13, Garantovaná a bezpečná archivace dokumentů

Archivujeme pro budoucnost, nikoliv pro současnost. Miroslav Šedivý Telefónica ČR

Šifrová ochrana informací věk počítačů PS5-2

Crypto-World. Informační sešit GCUCMP. 11/ speciál

Karel Kohout 18. května 2010

PA159 - Bezpečnostní aspekty

496/2004 Sb. VYHLÁŠKA Ministerstva informatiky ze dne 29. července 2004 o elektronických podatelnách

Hašovací funkce, principy, příklady a kolize

A. Blížící se konference k SHA-3 a rušno mezi kandidáty Vlastimil Klíma, kryptolog konzultant, KNZ, s.r.o., Praha

212/2012 Sb. VYHLÁŠKA

UKRY - Symetrické blokové šifry

Nedůvěřujte kryptologům

DSY-6. Přenosový kanál kódy pro zabezpečení dat Základy šifrování, autentizace Digitální podpis Základy měření kvality přenosu signálu

Šifrová ochrana informací věk počítačů PS5-2

(Ne)popiratelnost digitálních podpisů. Cíl přednášky. Jazyková vsuvka

Pokročilá kryptologie

ElGamal, Diffie-Hellman

Kryptografie - Síla šifer

Univerzita Karlova v Praze Matematicko-fyzikální fakulta BAKALÁŘSKÁ PRÁCE. Martin Suchan. Porovnání současných a nových hašovacích funkcí

MASARYKOVA UNIVERZITA FAKULTA INFORMATIKY. Autentizace dat. Bc. David Cimbůrek

Jednocestné zabezpečení citlivých údajů v databázi

Základy kryptologie. Kamil Malinka Fakulta informačních technologií

Návrh a implementace bezpečnosti v podnikových aplikacích. Pavel Horal

Autentizace uživatelů

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

Problematika převodu zprávy na body eliptické křivky

Osnova přednášky. Seznámení s asymetrickou kryptografií, díl 2. Podpisová schémata -elementární principy- (1)

Crypto-World Informační sešit GCUCMP ISSN

Identifikace a autentizace

Šifrová ochrana informací věk počítačů PS5-1

VYHLÁŠKA ze dne 23. června 2009 o stanovení podrobností užívání a provozování informačního systému datových schránek

O čem byl CHES a FDTC? Jan Krhovják Fakulta informatiky Masarykova univerzita v Brně

Projekt: 1.5, Registrační číslo: CZ.1.07/1.5.00/ Digitální podpisy

Kryptografie založená na problému diskrétního logaritmu

Kerchhoffův princip Utajení šifrovacího algoritmu nesmí sloužit jako opatření nahrazující nebo garantující kvalitu šifrovacího systému

Diffieho-Hellmanův protokol ustanovení klíče

klasická kryptologie základní pojmy požadavky na kryptosystém typologie šifer transpoziční šifry substituční šifry

Asymetrická kryptografie a elektronický podpis. Ing. Dominik Breitenbacher Mgr. Radim Janča

Bezpečnostní mechanismy

ZPRÁVA PRO UŽIVATELE

PSK2-5. Kanálové kódování. Chyby

Současná kryptologie v praxi

Testovací protokol. 1 Informace o testování. 2 Testovací prostředí. 3 Vlastnosti generátoru klíčů. Příloha č. 13

pomocí asymetrické kryptografie 15. dubna 2013

ZPRÁVA PRO UŽIVATELE

DEMONSTRAČNÍ APLIKACE HASHOVACÍCH ALGORITMŮ SHA-1 A SHA-2

Správa přístupu PS3-2

kryptosystémy obecně další zajímavé substituční šifry klíčové hospodářství kryptografická pravidla Hillova šifra Vernamova šifra Knižní šifra

Obsah přednášky. Pozn: pokud je v přednáškách zmíněn Občanský zákoník, jedná se o zákon č. 89/2012 Sb., občanský zákoník ( nový občanský zákoník )

Pohled do nitra mikroprocesoru Josef Horálek

Digitální obvody. Doc. Ing. Lukáš Fujcik, Ph.D.

Robert Hernady, Regional Solution Architect, Microsoft

M I N I S T E R S T V A V N I T R A

Elektronický podpis a jeho aplikace v praxi

KPB. Režimy činnosti symetrických šifer - dokončení. KPB 2015/16, 7. přednáška 1

DNSSEC: implementace a přechod na algoritmus ECDSA

ZPRÁVA PRO UŽIVATELE

Vybrané útoky proti hašovací funkci MD5

1 z :27

194/2009 Sb. VYHLÁKA

ČESKÁ TECHNICKÁ NORMA

Veronika Čadová O DSA BAKALÁŘSKÁ PRÁCE. Univerzita Karlova v Praze. Matematicko-fyzikální fakulta. Katedra algebry

Kryptologie: Zahrnuje kryptografii a kryptoanalýzu (někdy se také uvádí, že obsahuje steganografii tajnopis).

dokumentaci Miloslav Špunda

KRYPTOGRAFIE VER EJNE HO KLI Č E

Číselné vyjádření hodnoty. Kolik váží hrouda zlata?

Y36PSI Bezpečnost v počítačových sítích. Jan Kubr - 10_11_bezpecnost Jan Kubr 1/41

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

Transkript:

SHA-3 L ubomíra Balková Úvod do kryptologie 29. dubna 2013

Prolomení hašovacích funkcí masová kryptografie na nedokázaných principech prolomení je přirozená věc 2004 - prolomena MD5 2010 - konec platnosti SHA-1 současný platný standard SHA-2 je 3krát pomalejší

Soutěž o SHA-3 listopad 2007 - NIST (americký úřad pro standardizaci) soutěž na nový hašovací standard SHA-3 požadavky: rychlost (SHA-1 7,5 cyklu procesoru/byte, SHA-2 20 cyklů procesoru/byte), nároky na pamět (stovky bytů) 64 algoritmů od 191 kryptologů (univerzity a elektronické giganty, ale i největší světoví výrobci z oblasti čipů) např. firmy: Microsoft, Sony, RSA, Intel, IBM, MIT, PGP, Hitachi, známá jména: Rivest, Schneier Češi spojeni s 2 kandidáty: EDON-R (Aleš Drápal, Vlastimil Kĺıma, vlastník a vynálezce Danilo Gligoroski), BMW (vlastník-vynálezce Gligoroski-Kĺıma) červenec 2009 - vybráno 14 kandidátů: BLAKE, BLUE MIDNIGHT WISH, CubeHash, ECHO, Fugue, Grøstl, Hamsi, JH, Keccak, Luffa, Shabal, SHAvite-3, SIMD, Skein prosinec 2011 - vybráno 5 finalistů: BLAKE, Grøstl, JH, Keccak, Skein 2.10.2012 - vyhlášení vítěze: Keccak

14 kandidátů

BMW = Blue Midnight Wish vznikla spoluprací Vlastimila Kĺımy na vylepšení Turbo-SHA Danila Gligoroského a Sveina Knapskoga po roce práce (konec 2008) odeslána do soutěže NISTu pracovní název nejprve Blue Wish, pak ale autoři zjistili, že jde o registrovanou značku, když se po x-té o půlnoci bĺıžili ke konečné variantě algoritmu, napadlo je Blue Midnight Wish

Nové nápady požadavek: větší bezpečnost i rychlost nutnost nových nápadů soustavy rovnic tvořené polynomy o mnoha neznámých (booleovské proměnné) nedovedeme řešit v polynomiálním čase ALE! spočíst hodnotu náhodného polynomu 32. stupně s proměnnými a 0,a 1,...,a 31 a b 0,b 1,...,b 31, např. a 0 a 1 a 31 a 0 b 0 b 1 b 2 a 12 je náročné na pamět i čas ( počtu a ) existuje operace, kterou moderní procesory zvládají v 1 taktu (nejrychleji, jak je to možné), a přesto poskytuje 32 polynomů vysokých řádů najednou!

Operace ADD jedná se o operaci ADD ( mod 2 32 )! označme a 31...a 1 a 0 binární zápis a a b 31...b 1 b 0 binární zápis b, s 31...s 1 s 0 binární zápis s = a+b mod 2 32 a c 31...c 2 c 1 bity přenosu (carry), pak s = (a 31 b 31 c 31,...,a 1 b 1 c 1,a 0 b 0 ) c 1 = a 0 b 0 c 2 = a 1 b 1 a 1 c 1 b 1 c 1 c 3 = a 2 b 2 a 2 c 2 b 2 c 2... c 31 = a 30 b 30 a 30 c 30 b 30 c 30

Kandidáti na SHA-3 dosadíme jednotlivé výrazy pro bity přenosu do vyšších bitů: c 1 = a 0 b 0 1 term řádu 2 c 2 = a 1 b 1 a 1 a 0 b 0 b 1 a 0 b 0 1 term řádu 2 a 2 termy řádu 3 jedinou operací a+b tak vznikne 32 polynomů, které dohromady obsahují přes 2 miliardy termů řádu 2 32

Termy v součtu 32-bitových čísel

Vlastnosti BMW používá jen operace ADD a XOR, operace bitových posunů a cyklických bitových posunů podobně vypadají všichni nejrychlejší kandidáti (požadavek na rychlost vedl logicky k využití operace ADD)

Společné prvky SHA-2 a BMW iterativní princip a kompresní funkce padding = doplnění hašované zprávy na potřebný počet bitů, zarovnání na nejbližší násobek 512 nebo 1024 bitů (podle toho, zda jde o BMW256/BMW512, resp. SHA256/SHA512)

Hašování 1 předzpracování doplň zprávu M jednoznačně definovaným způsobem o délku zprávy v bitech a doplněk rozděl zprávu na celistvý násobek N m-bitových bloků M 1,M 2,...,M N nastav počáteční hodnotu průběžné haše H 0 := IV 2 výpočet haše 3 závěr for i = 1 to N H i := f(m i,h i 1 ) H(M) := definovaných n bitů z hodnoty H N

Mouchy SHA-2 podle NISTu možnost nalezení multikolizí rychlejší než u náhodného orákula u náhodného orákula složitost nalezení r = 2 k multikolizí 2 n(r 1)/r operací, u SHA-2 pouze k2 n/2 (Joux) možnost nalezení kolize stejná jako u náhodného orákula (2 n/2 podle narozeninového paradoxu) náchylnost na útok prodloužením zprávy

Dvojnásobná pumpa využita částí kandidátů na SHA-3 navržena k řešení výše uvedených much Lucksem jde o zdvojnásobení šířky průběžné haše a výsledná haš je pak polovina průběžné haše k nalezení kolizí Jouxovým útokem je třeba k2 n operací výpočet ale pak trvá cca. 4krát déle

Pumpa BMW

Zdůvodnění NISTu k výběru finalistů Security: We preferred to be conservative about security, and in some cases did not select algorithms with exceptional performance, largely because something about them made us nervous, even though we knew of no clear attack against the full algorithm.

Nový standard SHA-3 2.10.2012 - vyhlášení vítěze: Keccak tým belgických a italských kryptografů (z hardwarových firem STMicroelectronics a NXP Semiconductors) zdůvodnění NISTu: elegantní návrh, bezpečnostní rezerva, přizpůsobivost, dobrý výkon obecně a výborný výkon v hardwaru jiná konstrukce než MD5, SHA-1, SHA-2 (největší výhoda) keccak.noekeon.org

Kryptografické využití hašovacích funkcí jednoznačná identifikace dat (zejména pro digitální podpisy) kontrola integrity (kontrola shody velkých souborů dat) ukládání a kontrola přihlašovacích hesel prokazování autorství prokazování znalosti autentizace původu dat nepadělatelná kontrola integrity pseudonáhodné generátory

Kryptografické využití hašovacích funkcí Digitální otisk dat (digital fingerprint) nebo výtah zprávy (message digest) z velkých dat vytváří hašovací funkce jejich identifikátor (díky bezkoliznosti nejsme schopni nalézt jinou zprávu se stejnou haší) v řadě zemí stojí digitální otisky na úrovni otisků prstů pro identifikaci lidí, proto při digitálním podpisu zprávy stačí podepsat její haš

Kryptografické využití hašovacích funkcí Ukládání přihlašovacích hesel místo hesel se ukládají jejich haše přihlašování do systému = výpočet haše a jeho porovnání s uloženou hodnotou haše neodhalují hesla, z nichž jsou vypočteny

Kryptografické využití hašovacích funkcí Kĺıčovaný hašový autentizační kód HMAC hašováním zpracovává nejen zprávu M, ale i tajný kĺıč K použití: nepadělatelné zabezpečení zpráv (útočník nemůže data měnit bez změny HMACu a ten bez tajného kĺıče nevypočte správně) průkaz znalosti při autentizaci entit (dotazovatel odešle challenge, od prokazovatele obdrží HMAC(challenge, K), útočník z odpovědi nezíská kĺıč K) značení HMAC-SHA-1(M,K)

Kryptografické využití hašovacích funkcí Pseudonáhodné generátory chování jako náhodná orákula, změna 1 bitu na vstupu změna každého výstupního bitu s pravděpodobností 50% PKCS#1 v.2.1(rsa Cryptography Standard) definuje MGF1 (Mask Generation Function) h(seed 0x00000001), h(seed 0x00000002), h(seed 0x00000003),... kde 0x hexadecimální vyjádření daného čísla standard pro podpisové schéma DSA definuje náhodný generátor x 0 := K, x j+1 := h((k +1+x j ) mod 2 m ), kde K je počáteční vstup (kĺıč) a m délka bloku hašovací funkce h

Důsledky prolomení Změna v kryptografických algoritmech, které jsou používány pro vytváření elektronického podpisu Na základě aktuálních poznatků v oblasti kryptografie a dokumentu ETSI TS 102 176-1 V2.0.0 (ALGO Paper) Ministerstvo vnitra stanoví: Kvalifikovaní poskytovatelé certifikačních služeb ukončí vydávání kvalifikovaných certifikátů s algoritmem SHA-1 do 31. 12. 2009. Od 1. 1. 2010 budou tito poskytovatelé vydávat kvalifikované certifikáty podporující některý z algoritmů SHA-2. Zároveň je od uvedeného data stanovena minimální přípustná délka kryptografického kĺıče pro algoritmus RSA na 2048 bitů.

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář