Ασφάλεια Πληροφοριακών Συστηµάτων Κρυπτογραφία

Transcript

1 Ασφάλεια Πληροφοριακών Συστηµάτων Κρυπτογραφία ΤΕΙ Καλαµάτας (Υπ. Σπάρτης) Μηλιώνης Ματθαίος MSc Infosec, CISSP Έκδοση

2 Το Πρόβληµα Το πρόβληµα υο µέρη Αlice, Βob επιθυµούν να επικοινωνήσουν ανταλλάσοντας µηνύµατα m Η «κακιά» Malory (adversary) είναι στην µέση και υποκλέπτει τα µηνύµατα Alice Bob Malory 2

3 Κρυπτογραφία Το αρχικό µήνυµα m, µε χρήση κάποιου µηχανισµού F και κάποιου µυστικού κλειδιού k µετατρέπεται σε κρυπτογράφηµα C To κρυπτογράφηµα είναι ακαταλαβίστικο σε όποιον και αν το δει αν δεν γνωρίζει το κλειδί Έτσι το κείµενο «Το αγόρι έχει την µπάλα» θα γίνει «i>c4%awua$nsrwkp/ohq1cphb9aqf» Κρυπτογραφία = Κρύπτο + γραφεία (µυστική γραφή) The one that killed JFK is zb/mdh9idoqb X5NMLAyg7Om3 y8v04ee1u Recipient Update Service Recipient Update Service 3

4 Ιστορία Από αρχαία Βαβυλώνα οι πρώτες ιστορικές ενδείξεις. Υιοθέτηση διαφορετικής γραφής µη αντιληπτής σε άλλους 400πχ Σπαρτιατική Σκυτάλη Μήνυµα γραµµένο σε λωρίδα τυλιγµένο σε σκυτάλη, ξετυλίγονταν και για να ξαναδιαβαστεί θα έπρεπε να έχει ίδια σκυτάλη. Άλλες περιπτώσεις 200 πχ Πίνακας Πολύβιου 1 α µχ Αλγόριθµος Καίσαρα Μεσαιωνική κρυπτογραφία Vigenère Tableau Enigma 2 ος ΠΠ 4

5 Η Κρυπτογραφία σε µαθηµατικά Κρυπτογράφηση f e (m,k e ) = c, όπου m αρχικό µήνυµα k e κλειδί c κρυπτογράφηµα Αποκρυπτογράφηση f d (c,k d ) = m, η ανάποδη διαδικασία Για τα κλειδιά µπορεί να ισχύει k e k d Άλλοι ορισµοί Ε k (m) = x κτλ m plaintext E E K (m) ciphertext D D K (E K (m)) = m K encryption key eavesdropping adversary K decryption key 5

6 Επιθέσεις - Κρυπτανάλυση Κρυπτανάλυση σκοπό έχει να σπάσει τον αλγόριθµο δηλαδή είτε να βρει το κλειδί είτε να βρει µε κάποιο τρόπο το αρχικό κείµενο. Κρυπταναλυτικές µέθοδοι. Με µαθηµατικά, στατιστική κτλ προσπαθούµε να βρούµε αδυναµίες στον αλγόριθµος ώστε να αποκαλύψουµε το κλειδί ή το κείµενο. Ωµή βία (brute force). Προσπαθούµε να βρούµε το κλειδί µε το να δοκιµάζουµε πολλά από αυτά. Μπορεί το κλειδί να είναι µυστικό αλλά δεν µπορούµε να αποτρέψουµε έναν τρήτο να το µαντέψει. 6

7 Μοντέλο κρυπτανάλυσης Κρυπτανάλυση Ο σκοπός του κακού είναι Συστηµατική ανάγνωση των µηνυµάτων Να βρει το κλειδί Αρχή Kerckhoff Οι κακοίξέρουνόλεςτιςλεπτοµέρειες για του µηχανισµούς E, D. ηλαδή ο αλγόριθµος είναι γνωστός Η ασφάλεια πρέπει να στηρίζεταιµόνο στο κλειδί Κ. Είναι η µόνη πληροφορία που δεν έχει. 7

8 Ορισµοί Αρχικό κείµενο (Plaintext). Το αρχικό κείµενο χωρίς καµιά επεξεργασία. Το καταλαβαίνουν όλοι Κρυπτογραφικός αλγόριθµος (Encryption algorithm). Ο αλγόριθµος που µετατρέπει το αρχικό κείµενο σε κρυπτογράφηµα (ακαταλαβίστικο κείµενο) Μυστικό κλειδί (Secret key) Είσοδος στον αλγόριθµο, δεν εξαρτάτε από αυτόν. Άλλο κλειδί παράγει άλλο κρυπτογράφηµα Κρυπτογράφηµα (Ciphertext ) ακαταλαβίστικο κείµενο, έξοδος του αλγορίθµου που αντιστοιχεί στο αρχικό κείµενο αφού αυτό κρυπτογραφηθεί Αλγόριθµος Αποκρυπτογράφησης (decryption algorytm) Το ανάποδος της κρυπτογράφησης. Χρησιµοποιεί το ίδιο (ή όχι) κλειδί µε την κρυπτογράφιση. 8

9 Είδη επιθέσεων Ciphertext only. Μόνο το κρυπτογράφηµα είναι γνωστό Known plaintext. Το αρχικό κείµενο και το κρυπτογράφηµα είναι γνωστό Chosen plaintext. Το αρχικό κείµενο και το κρυπτογράφηµα είναι γνωστό επιλεγµένο Παραλαγές Chosen ciphertext Chosen text 9

10 Αλγόριθµος του Καίσαρα Αλλάζουµε κάθε γράµµα µε το αντίστοιχο Ν επόµενο. Έστω κλειδί το νούµερο 3 τότε το γράµµα A γίνεται D, Β γίνεται E κτλ C = E(k, p) = (p + k) mod 26 δηλαδή για K=3 γίνεται C = E(3, p) = (p + 3) mod 26 p = D(k, C) = (C k) mod 26 Παράδειγµα HELLO WORLD KHOOR ZRUOG υνατά κλειδιά µόνο.. 25 (αγγλικό αλφάβητο) 10

11 Σπάζοντας τον.. καίσαρα plain: meet me after the toga party cipher: PHHW PH DIWHU WKH WRJD SDUWB 11

12 Μονοαλφαβητικοί αλγόριθµοι Κάθε γράµµα αντικαθιστάτε µε ένα άλλο (µετάθεση) plain: a b c d e f g h i j k l m n o p q r s t u v w x y z cipher: D E F G H I J K L M N O P Q R S T U V W X Y Z A B C Ένα κρυπτογράφηµα θα ήταν κάπως έτσι UZQSOVUOHXMOPVGPOZPEVSGZWSZOPFPESXUDBMETSXAIZ VUEPHZHMDZSHZOWSFPAPPDTSVPQUZWYMXUZUHSX EPYEPOPDZSZUFPOMBZWPFUPZHMDJUDTMOHMQ Στατιστική ανάλυση % P 13.33, H 5.83, F 3.33, B 1.67, C 0.00, Z 11.67, D 5.00 W 3.33, G 1.67, K 0.00, S 8.33, E 5.00, Q 2.50, Y 1.67, L 0.00, U 8.33, V 4.17, T 2.50, I 0.83, N 0.00, O 7.50, X 4.17, A 1.67, J 0.83, R 0.00, M

13 Συχνότητες γραµµάτων Σε όλες τις γλώσσες τα γράµµατα δεν εµφανίζονται µε την ίδια συχνότητα. Στο Scramble το Ψ έχει πιο πολλούς πόντους 13

14 Ιδιότητες γλωσσών Στατιστικές παρατηρίσεις Με πρώτη σύγκριση το P, Z είναι τα e και t αλλά ποια ακριβώς άγνωστο Τα γράµµατα S, U, O, M, και H υψηλής συχνότητας ίσως αντιστοιχούν στα {a, h, i, n, o, r, s}. Τα γράµµατα χαµηλής συχνότητας είναι (A, B, G, Y, I, J) πιθανόν να είναι τα {b, j, k, q, v, x, z}. Το th και το the είναι πολύ συνηθισµένο άρα UZQSOVUOHXMOPVGPOZPEVSGZWSZOPFPESXUDBMETSXAIZ t a e e te a that e e a a VUEPHZHMDZSHZOWSFPAPPDTSVPQUZWYMXUZUHSX e t ta t ha e ee a e th t a EPYEPOPDZSZUFPOMBZWPFUPZHMDJUDTMOHMQ e e e tat e the t 14

15 Το κείµενο Τελικά µε λίγες προσπάθειες το τελικό κείµενο είναι it was disclosed yesterday that several informal but direct contacts have been made with political representatives of the viet cong in moscow Σε µεγαλύτερα κείµενα η αποκρυπτογράφηση µε χρήση υπολογιστή είναι σχεδόν ακαριαία. 15

16 Πολυαλφαβητικοί αλγόριθµοι Vigenère cipher, εξέλιξη του Caesar. Χρησιµοποιείτε µία λέξη κλειδί που επαναλαµβάνεται key: deceptivedeceptivedeceptive plaintext: wearediscoveredsaveyourself ciphertext: ZICVTWQNGRZGVTWAVZHCQYGLMGJ 16

17 Κρυπτανάλυση Vigenère cipher Παραλλαγή της επίθεσης των µονοαλφαβητικών. οκιµάζονται πιθανά µήκη κλειδιών και παρατηρούνται οι πιθανότητες αν συµπίπτουν µε αυτές των γλωσσών Προβλήµατα Η κρυπτογράφηση µε κλειδιά µικρών µηκών Αν χρησιµοποιηθεί το ίδιο µήνυµα µε άλλο κλειδί βρίσκουµε το νέο κλειδί αν ξέρουµε το προηγούµενο. 17

18 One Time Pad Παραλλαγή του Vigenère (ή το ανάποδο) Κλειδί (key) τόσο µεγάλο όσο το µήνυµα (plaintext) To κλειδί είναι τυχαίο και χρησιµοποιείτε µονο µια φορά Τέλεια ασφάλεια c i = m i k i και m i = c i k i όπου = XOR

19 One time pad Το µόνο που µαθηµατικά ΕΝ σπάει. εν υπάρχει στατιστική συσχέτιση µεταξύ αρχικού µηνύµατος και κρυπτογραφήµατος Πολλά (όλα) δυνατά µηνύµατα για ένα κρυπτογράφηµα ANKYODKYUREPFJBYOJDSPLREYIUNOFDOIUERFPLUYTS ciphertext: ANKYODKYUREPFJBYOJDSPLREYIUNOFDOIUERFPLUYTS key1: pxlmvmsydofuyrvzwc tnlebnecvgdupahfzzlmnyih plaintext: mr mustard with the candlestick in the hall ciphertext: ANKYODKYUREPFJBYOJDSPLREYIUNOFDOIUERFPLUYTS key2: mfugpmiydgaxgoufhklllmhsqdqogtewbqfgyovuhwt plaintext: miss scarlet with the knife in the library 19

20 One time pad - προβλήµατα Αν και «άσπαστο» υπάρχουν µερικά πρακτικά προβλήµατα υσκολία δηµιουργίας πραγµατικά τυχαίων κλειδιών οι υπολογιστές είναι ντετερµινιστικοί δεν επαναχρησιµοποιούνται τα ίδια κλειδιά Το µέγεθος των κλειδιών είναι ίδια µε το µέγεθος του µηνύµατος Πρόβληµα διαχείρισης κλειδιών (πως τα διακινείς) Χρήση ONE TIME PAD Σε low bandwidth κανάλια µε ανάγκες για υψηλή ασφάλεια Λέγεται ότι το κόκκινο τηλέφωνο µεταξύ Αµερικής Μόσχας χρησιµοποιούσε one time pad 20

21 Αντιµεταθετικοί Αλγόριθµοι Σε οµάδες n γραµµάτων τα αντιµεταθέτουµε (Transposition) Key: Plaintext: a t t a c k p o s t p o n e d u n t i l t w o a m x y z Ciphertext: TTNAAPTMTSUOAODWCOIXKNLYPETZ 21

22 Αντιµεταθετικοί Αλγόριθµοι Εύκολα αναγνωρίσιµοι (ίδιες συχνότητες) Εύκολα σπάνε (στην απλή τους µορφή) Χωρίζουµε το µήνυµα σε blocks και δοκιµάζουµε διαφορετικές σειρές. Εύκολα γίνονται πιο ασφαλείς µε το να ξανα-αντιµεταθέσουµε το προκύπτον κρυπτογράφηµα αρκετές φορές (µε το ίδιο κλειδί) Key: Plaintext: t t n a a p t m t s u o a o d w c o i x k n l y p e t z Ciphertext: NSCYAUOPTTWLTMDNAOIEPAXTTOKZ 22

23 Ρότορες - Rotor Machines Λειτουργεί σαν το οδόµετρο Για κάθε πλήρη περιστροφή του αριστερά κυλίνδρου γυρνάει µία θέση ο δεξιότερος Για 3 κυλίνδρους 26 x 26 x 26 = 17,576 αλφάβητα υποκατάστασης, µε 4, και µε 5, Μετά από αυτό το σύστηµα επαναλαµβάνετε 23

24 Κατηγορίες Κρυπτογραφικών Αλ/µων Συµµετρικοί (symmetric). Το κλειδί k της κρυπτογράφησης είναι το ίδιο (k) µε αυτό της αποκρυπτογράφησης Stream Ciphers (κρυπτογραφούν σε επίπεδο bit) Block Ciphers (κρυπτογραφούν blocks από bits) f(m,k) = c και d(c, k) = m Ασύµµετροι (Asymmetric). Το κλειδί k της κρυπτογράφησης είναι διαφορετικό (k ) µε αυτό της αποκρυπτογράφησης. (Ζεύγος κλειδιών) Συνήθης εφαρµογή στην Κρυπτογραφία δηµοσίου κλειδιού f(m,k e ) = c και d(c, k d ) = m 24

25 Stream Ciphers (Κρυπτογράφησης Ροής) Κρυπτογραφούνται τα δεδοµένα σε επίπεδο µονάδας (πχ bit) καθώς αυτά. f(m i, k i ) = c i d(c i, k i ) = m i Η ακολουθία των κλειδιών k i οριζετε keystream και αλλάζει ανά bit (ή άλλη µονάδα)

26 Κρυπτογράφηση Ροής (Stream Ciphers) Κρυπτογραφούν έναν, έναν τους χαρακτήρες µε την σειρά. Το κλειδί παράγει µία ακολουθία κλειδιών (ονοµάζεται Keystream) που συνδυάζεται µε το αρχικό κείµενο για την παραγωγή του κρυπτογραφήµατος. Ουσιαστικά η ασφάλεια του αλγορίθµου είναι όµια µε αυτή του αγλορίθµου παραγωγής keystream p i ff k k σ i+1 σ i i gg k k z i h c i 26

27 Πλεονεκτήµατα - Μειονεκτήµατα Πλεονεκτήµατα Υλοποιούνται εύκολα σε hardware (πύλες OR, XOR, AND κτλ) και οικονοµικά. Είναι πολύ γρήγοροι (ειδικά σαν HARDWARE). εν µεταδίδουν λάθη (error propagation). Λάθος στο κλειδί ή στο κρυπτογράφηµα επηρεάζουν µόνο τον τρέχοντα χαρακτήρα (ή έχουν µικρή διάδοση). Μειονεκτήµατα Εκσυγχρονίζονται (σε περίπτωση εισαγωγής ή διαγραφής ενός ή µερικών bit από το keystream ή το chiphertext) Χρησιµοποιούν µονο Confusion και εν γένει είναι λιγόερο ασφαλείς 27

28 Block Ciphers Το αρχικό κείµενο (Plaintext) χωρίζεται σε «οµάδες» (blocks) των n bits (ή bytes, chars κτλ) Σε αυτά τα blocks εφαρµόζεται µία σειρά από µετασχηµατισµούς και αλλαγές µε βάσει κάποιο κλειδί και παράγεται ένα block n bits κρυπτογραφήµατος. k bit key n bit input EE n bit output 28

29 Block Cipher Οι µετασχηµατισµοί που εφαρµόζονται σε ένα block δεδοµένων είναι διάφοροι όπως simple operations elementary arithmetic operations logical operations (e.g., XOR) modular multiplication transpositions substitutions Σκοπός είναι ο τελικός αλγόριθµος να είναι πιο ασφαλής χάρη στον συνδυασµό των παραπάνω τεχνικών 29

30 Επιθέσεις Αναζήτηση κλειδιού Η κύρια επίθεση σε έναν αλγόριθµο είναι η δοκιµή όλων των κλειδιών (Exhaustive key search) µέχρι να βρεθεί το σωστό. Αναπόφευκτη επίθεση. εν µπορείς να αποτρέψεις τον επιτιθέµενο να «µαντέψει» το κλειδί. Αντίµετρο: επιλογή µεγάλου κλειδιού. Σήµερα χρησιµοποιούνται τουλάχιστον 128bit, (2 127 προσπάθειες = 1, e+38 κλειδιά) τα 56bit του DES σπάνε σε µία ώρα από ειδικό Hardware DES Cracker. 30

31 Αλγεβρικές επιθέσεις Αφού το µέγεθος του κλειδιού είναι τεράστιο η αµέσος καλύτερη επίθεση είναι η αλγεβρική δοµή του αλγορίθµου Παράδειγµα επίθεση στον DES µε αναζήτηση κλειδιού 2 55 (Συµπλήρωµα) complementation property of DES: 2 54 (διαφορική) differential cryptanalysis of DES: 2 47 (γραµµική) linear cryptanalysis of DES:

32 Τρόποι Λειτουργίας - modes of operation ECB Electronic Codebook Χρησιµοποιείτε για να κρυπτογραφήσουµε ένα µόνο block δεδοµένων(πχdes key) CBC Cipher Block Chaining Επαναλαµβανόµενη χρήση του αλγορίθµου για πολλά blocks CFB Cipher Feedback Χρησιµοποιείτε για να κρυπτογραφήσει µια ροή από χαρακτήρες (stream of characters ) αντιµετωπίζει κάθε χαρακτήρα µεµονωµένα και ξεχωριστά. OFB Output Feedback Χρησιµοποιείται για διαύλους µε θόρυβο (και λάθη) CTR Counter simplified OFB µε κάποια πλεονεκτήµατα 32

33 IV Initialization Vector Αν κρυπτογραφήσουµε το ίδιο µήνυµα (plaintext) δύο φορές µε το ίδιο κλειδί οδηγεί σε ίδιο κρυπτογράφηµα. f(m, k) = c Αυτό είναι ΠΡΟΒΛΗΜΑ Μπορούµε να εξάγουµε συµπεράσµατα για την πληροφορία που διακινείται (πχ δύο άτοµα που έχουν το ίδιο κωδικό σε ένα σύστηµα αυτό είναι εµφανές) Λύση (Initialization Vector) Χρήση τυχαίου, µη κρυφού αριθµού (IV) που «συνδυάζεται» µε το αρχικό µήνυµα plaintext f(m, IV, k) = c & IV, f(m, IV, k) = c & IV c c αν και k = k το IV αποστέλλεται µε το κρυπτογράφηµα Η ακεραιότητά του πρέπει να διασφαλιστεί. Πολλές φορές το κρυπτογραφούµε Άλλες ονοµασίες SALT (αλάτι) 33

34 Παραγέµισµα - Padding Στους block ciphers το Plaintext δεν χωρίζεται ακριβώς σε Ν blocks των Μ bits. Το τελευταίο block το γεµίζουµε µε τυχαία (ή µη τυχαία) bits Το τελευταίο «κοµµάτι» λέει το αριθµό των padding bits ελλιπές block padding 05 34

35 ECB mode encrypt P 1 P 2 P N K E E K E K E E C 1 C 2 C N decrypt C 1 C 2 C N K DD K D D K DD P 1 P 2 P N 35

36 Ιδιότητες του ECB Ίδιο αρχικό κείµενο (plaintext) οδηγεί σε ίδιο κρυπτογράφηµα (chiphertext) κάτω από το ίδιο κλειδί. Τα blocks κρυπτο- αποκρυπτογραφούνται ανεξάρτητα ιάδοση λαθών (error propagation). Ένα (τουλάχιστον) bit λάθος (στην αναµετάδοση πχ) οδηγεί σε «καταστροφή» του τρέχοντος µόνο block εν πρέπει να χρησιµοποιείτε για παραπάνω από ένα block δεδοµένων 36

37 CBC mode Κρυπτογράφηση P 1 P 2 P 3 P N IV C N-1 + K E E K E E K E E K E E C 1 C 2 C 3 C N Αποκρυπτογράφηση C 1 C 2 C 3 C N K DD K DD K DD K DD IV C N-1 + P 1 P 2 P 3 P N 37

38 Ιδιότητες του CBC Κρυπτογράφηση ίδιου block αρχικού κειµένου µε διαφορετικό IV οδηγεί σε διαφορετικό κρυπτογράφηµα (δεν ανιχνεύεται επανάληψη µηνύµατος) Το ciphertext block C j εξαρτάτε από το P j και όλα τα προηγούµενα plaintext blocks «ανακάτεµα» (αν φτάσουν µε λάθος σειρά) των ciphertext blocks επηρεάζει την αποκρυπτογράφηση. Το κάθε block plaintext που παράγεται επηρεάζεται από το προηγούµενο µονο block C j-1 Για την αποκρυπτογράφηση ενός ciphertext block απαιτείται να υπάρχει ακέραιο το προηγούµενο chiphertext box error propagation: ένα bit λάθος στοciphertext block C j επηρεάζει το j και το (j+1) plaintext block P j είναι εντελώς κατεστραµµένο ενώ P j+1 έχει λάθη εκεί που είχε και το C j error recovery: Αναρρώνει µόνος του από λάθη bit (self-synchronizing) εν µπορεί να αναρρώσει από χαµένα πακέτα ( lost bits) 38

39 Πλεονεκτήµατα Μειονεκτήµατα των block Chiphers Πλεονεκτήµατα Εν γένει πιο ασφαλείς από τους Stream Ciphers λόγω ότι χρησιµοποιούν πιο πολλές τεχνολογίες όπως confusion & diffusion ταυτόχρονα. Πιο πολλές χρήσεις Μειονεκτήµατα Αρκετά πιο αργοί από τους stream ciphers (mb /sec) Πιο ακριβοί να υλοποιηθούν σε hardware (απαιτούν πιο πολλά κυκλώµατα) Ποιο επιρρεπείς σε λάθη µετάδοσης (από 1 bit λάθος, καταστρέφεται όλο το block) 39

40 Ασύµµετρη κρυπτογραφία (asymmetric) Βασική της διαφορά από την συµµετρική είναι ότι χρησιµοποιείται ένα ζεύγος κλειδιών. Ότι κρυπτογραφείται µε το ένα αποκρυπτογραφείται µε το άλλο, και το αντίστροφο. Το ίδιο κλειδί ΕΝ µπορεί να αποκρυπτογραφήσει αυτό που κρυπτογράφησε. f(m,k e ) = c και d(c, k d ) = m όπου k e k d Γνωστή και σας public key cryptography Από το ζεύγος κλειδιών που παράγεται το ένα κλειδί το κρατάµε µυστικό, το δεύτερο το ανακοινώνουµε δηµόσια Πολλές χρήσεις Ψηφιακές υπογραφές Ανταλλαγή κλειδιών Γνωστά συστήµατα RSA, Diffie-Hellman, Elliptic Curve Cryptography 40

41 RSA RSA (Rivest, Shamir, Adleman) Προτάθηκε το 1977 Είναι το πλέον χρησιµοποιούµενο σύστηµα ηµοσίου κλειδιού 41

42 Μαθηµατικό Υπόβαθρο Συνάρτηση Totient φ(n) Αριθµός θετικών ακέραιων µικρότεροι από n και σχετικά πρώτοι (Relatively prime) σε σχέση µε το n Relatively prime σηµαίνει ότι ΕΝ υπάρχουν κοινοί παράγοντες µε το n Παράδειγµα: φ(10) = 4 1, 3, 7, 9 είναι σχετικά πρώτοι µε το 10 Παράδειγµα 2: φ(21) = 12 1, 2, 4, 5, 8, 10, 11, 13, 16, 17, 19, 20 είναι σχετικά πρώτοι µε το 21 42

43 Ο αλγόριθµος RSA Επιλέγουµε δύο µεγάλους πρώτους αριθµούς (prime numbers) p, q έστω n = pq τότε φ(n) = (p 1)(q 1) Επιλέγουµε e < n τέτοιο ώστε e σχετικά πρώτο µε το φ(n). Υπολογίζουµε το d έτσι ώστε ed mod φ(n) = 1 ηµόσιο Κλειδί (Public key): (e, n); Ιδιωτικό (private key): d Encipher: c = m e mod n Decipher: m = c d mod n 43

44 Παράδειγµα RSA - Εµπιστευτικότητα Η Alice θέλει να στείλει ένα µήνυµα στον Bob χωρίς να µπορεί κάποιος άλλος να το διαβάσει (εµπιστευτικότητα) Κρυπτογραφεί το µήνυµα µε το δηµόσιο κλειδί του BOB και του το στέλνει f e (m, K publicbob ) = c O ΒΟΒ το παραλαµβάνει και το αποκρυπτογραφεί χρησιµοποιόντας το δηµόσιο του κλειδί F d (c, K privatebob ) = m Γιατί έχουµε εµπιστευτικότητα Μόνο ο BOB ξέρει το µυστικό κλειδί που µπορέι να «ανοίξει» (αποκρυπτογραφήσει το µήνυµα) 44

45 RSA Ακεραιότητα - Αυθεντικότητα Η Alice θέλει να στείλει ένα µήνυµα στον Bob χωρίς να µπορεί κάποιος άλλος να το αλλάξει (ακεραιότητα) αλλά και ο BOB να ξέρει ότι το µήνυµα είναι αυθεντικό (αυθεντικότητα) Κρυπτογραφεί το µήνυµα µε το ιδιοτικό της κλειδί και του το στέλνει f e (m, K privatealice ) = c O ΒΟΒ το παραλαµβάνει και το αποκρυπτογραφεί χρησιµοποιώντας το δηµόσιο του κλειδί της Alice F d (c, K public Alice ) = m Γιατί έχουµε αυθεντικότητα και ακεραιότητα Μόνο η alice ξέρει το µυστικό κλειδί της και άρα θα µπορούσε να παράγει το µήνυµα που αποκρυπτογραφείτε µόνο µε το δηµόσιό της. 45

46 RSA Ακεραιότητα - Αυθεντικότητα Ο Bob λαµβάνει Bob χρησιµοποιεί το Κ (public key) της Alice, e = 17, n = 77, για να αποκρυπτογραφήσει το µήνυµα: mod 77 = mod 77 = mod 77 = mod 77 = mod 77 = 14 Bob µεταφράζει το µήνυµα σε HELLO Το έστειλε η Alice γιατί µόνο αυτή ξέρει το ΙΚ και κανένας άλλος δεν θα µπορούσε να είχε κρυπτογραφήσει αυτό το µήνυµα Εάν τα κρυπτογραφηµένα µηνύµατα αλλοιώνονταν (altered) στο δρόµο ΕΝ θα αποκρυπτογραφούνταν σωστά. 46

47 Και τα δύο (confidentiality & integrity & authenticity) H Alice θέλει να στείλει στον Bob το µήνυµα HELLO και enciphered και authenticated (integrity-checked) Alice s keys: public (17, 77); private: 53 Bob s keys: public: (37, 77); private: 13 Alice κρυπτογραφεί HELLO ( ): (07 53 mod 77) 37 mod 77 = 07 (04 53 mod 77) 37 mod 77 = 37 (11 53 mod 77) 37 mod 77 = 44 (11 53 mod 77) 37 mod 77 = 44 (14 53 mod 77) 37 mod 77 = 14 Alice στέλνει

48 Υπηρεσίες Ασφάλειας (Security Services) Confidentiality (Εµπιστευτικότητα) Μόνο ο ιδιοκτήτης του µυστικού κλειδιού µπορεί να αποκρυπτογραφήσει οτιδήποτε έχει κρυπτογραφηθεί µε το δηµόσιό του. Authentication (Αυθεντικότητα) Μόνο ο ιδιοκτήτης του ιδιωτικού κλειδιού µπορεί να κρυπτογραφήσει µηνύµατα που αποκρυπτογραφούνται µε το δηµόσιο του. Integrity (ακεραιότητα) Τα γράµµατα του κρυπτογραφήµατος δεν µπορεί να τα αλλάξει κάποιος που ΕΝ γνωρίζει το µυστικό κλειδί Non-Repudiation (αποκήρυξη) Το µήνυµα που κρυπτογραφείτε µε κάποιο µυστικό κλειδί προήλθε από κάποιον που το ήξερε. ( ΕΝ µπορεί να το αρνηθεί) 48

49 Συναρτήσεις κατακερµατισµού (HASH) Ειδικές µαθηµατικές συναρτήσεις που από ένα κείµενο έχουν σαν έξοδο κείµενου σταθερού αριθµού bit. H(m) = h, όπου H είναι η συνάρτηση κατακερµατισµού και h το αποτέλεσµα (HASH ή digest ή checksum) m είναι µεταβλητού µήκους (από 1bit έως όσο θέλει πχ 1 gigabyte). Το h είναι σταθερών bit αποτέλεσµα (πχ 128Bit) Κατά µία έννοια είναι ψηφιακό ισότιµο του αρχικού κειµένου Ιδιότητες HASH συναρτήσεων εν είναι αντίστροφες. Από το h ΕΝ υπάρχει αποδοτικός τρόπος να εντοπιστεί το m από όπου προκύπτει. Για κάθε ένα bit που αλλάζει στο m, αλλάζουν µε τυχαίο τρόπο περίπου τα µισά bit του h (hash) εν µπορούν να βρεθούν m m έστι ώστε H(m) = H(m ), αν και υπάρχουν, καθόσον η συνάρτηση είναι πολλά προς ένα 49

50 Ορισµός HASH συνάρτησης Cryptographic checksum (HASH) h: A B: 1. Για κάθε x A, h(x) είναι «εύκολο» να υπολογιστεί 2. Για κάθε y B, είναι υπολογιστικά αδύνατο να βρεις x A τέτοιο ώστε h(x) = y (One way, µονόδροµη) 3. είναι υπολογιστικά αδύνατο να βρεις δύο εισόδους x, x A ώστε x x and h(x) = h(x ) Εναλλακτικά (stronger): Για κάθε x A, είναι υπολογιστικά αδύνατο να βρεθεί ένα διαφορετικό x A ώστε h(x) = h(x ). Dear Sir I would like to ask you to pay Mr Wilson 2000 only. Yours John Μήνυµα τυχαίου µεγέθους hash hash function function 0FA812B01 Αποτέλεσµα = Σταθερό µήκος (n- bits) Γνωστό ως = hash value / message digest / fingerprint 50

51 Συγκρούσεις - Collisions Αν x x και h(x) = h(x ), τότε το x και x είναι collision Αρχή περιστερώνα (Pigeonhole principle): 101 περιστέρια ΕΝ χωράνε σε 100 φωλιές µόνα τους Εφαρµογή: αν υπάρχουν 32 αρχεία και µόνο 8 δυνατά cryptographic checksum, τουλάχιστον µία τιµή (hash) αντιστοιχεί σε 4 αρχεία Στις HASH συναρτήσεις σίγουρα υπάρχουν «συγκρούσεις» αλλά ΕΝ (πρέπει) να µπορούµε να τις υπολογίσουµε ευκολα. 51

52 Παραδείγµατα HASH Χρήσεις Προστασία ακεραιότητας δεδοµένων (data Integrity) Κύριο συστατικό των ψηφιακών υπογραφών Encrypt( hash, key) = Digital Signature Μικρή τροποποίηση στο µήνυµα αλλάζει το HASH H(Pay Mr. Wilson 2000$ only) = af0wgq H(Pay Mr. Wilson 20$ only) = UtZZa4s Παραδείγµατα Κατεβάζουµε δικτυακά ένα αρχείο και µαζί κατεβάζουµε και την Hash που έχει (είναι υπολογισµένη από τον αποστολέα) Επαναϋπολογίζουµε την HASH και αν δεν συµπίπτει τότε το αρχείο έχει αλλάξει (και άρα είναι corrupted) Οι HASH από µόνες τους ΕΝ χρησιµοποιούνται στην κρυπτογραφία. Είναι γνωστές συναρτήσεις (προσυµφωνηµένες) Γνωστές HASH MD4, MD5 SHA1 52

53 MAC Message authentication Code Είναι µία HASH κρυπτογραφηµένη µε συµµετρικό αλγόριθµο. Ε(Key, Hash) = MAC Ένα παράδειγµα MAC είναι µε χρήση του DES Μήνυµα τυχαίου µεγέθους MAC MAC function function secret key Σταθερού µήκους MAC 53

54 Παράδειγµα Χρήσης MAC Παράδειγµα προφύλαξης ακεραιότητας Τα δύο συναλλασσόµενα µέρη γνωρίζουν µυστικό κλειδί K Αποστέλλεται µήνυµα m και η MAC(m). Αλλάζει το µήνυµα στο δρόµο Στον παραλήπτη επαναϋπολογίζεται η σωστή MAC του αφιχθέντος µηνύµατος. εν συµφωνεί µε αυτό που αποστάλθηκε. Το µήνυµα έχει αλλάξει δεν γίνεται δεκτό Ο επιτιθέµενος ΕΝ µπορεί να παράγει έγκυρη MAC καθόσον ΕΝ γνωρίζει το µυστικό κλειδί. 54

55 Ψηφιακές Υπογραφές Είναι το ισότιµο των χειρόγραφων υπογραφών Χρησιµοποιούν τεχνολογία δηµοσίου κλειδιού Ιδιότητες Εύκολο να υπολογιστούν βάση του αρχικού µηνύµατος και κάποιου µυστικού κλειδιού Εύκολο να επιβεβαιωθούν βάση του αρχικού µηνύµατος και του δηµοσίου κλειδιού Μοναδικές (πρακτικά) για κάθε µήνυµα Μικρή αλλαγή στο µήνυµα οδηγεί σε τελείως άλλη Ψ.Υ. Αδύνατο Πλαστογραφηθούν εν µπορούµε να παράγουµε έγκυρες ψηφιακές υπογραφές χωρίς την γνώση του µυστικού κλειδιού 55

56 Πως λειτουργεί η Ψηφιακή υπογραφή Υπολογισµός Ψηφιακής Υπογραφής (αποστολέας) Υπολογίζουµε την HASH ενός µηνύµατος Κρυπτογραφούµε την HASH µε το µυστικό µας κλειδί Αυτό είναι ψηφιακή υπογραφή S s (h(m),k 1 ) = Digital Signature Αποστέλλουµε τη Ψ.Υ. και το αρχικό µήνυµα στον παραλήπτη. Επαλήθευση (ο παραλήπτης) Υπολογίζει την HASH ενός µηνύµατος Αποκρυπτογραφεί την Ψ.Υ µε το δηµόσιο µας κλειδί Και βρίσκει το HASH Συγκινεί HASH = HASH (αν ίδια η υπογραφή είναι έγκυρη) H(m) = h και S v (Sm, k2) = h <if h = h then OK> 56

57 Προβλήµατα Ψ.Υ Collision (συγκρούσεις) Forging (πλαστογράφηση) Repudiation (αρνησικυρία) Impersonation (πλαστοπροσωπία) Time Stamping (Ώρα) Validity period (χρόνος εγκυρότητας) 57

58 Ψηφιακά Πιστοποιητικά ηµιουργήθηκαν για να λύσουν προβλήµατα διαχείρισης δηµοσίου κλειδιού Κάποιος Τρίτος (έµπιστος) καλείτε να πιστοποιήσει ότι ένα κλειδί Α, ανήκει σε κάποια οντότητα Β) Σαν την Αστυνοµική ταυτότητα Εµπιστευόµαστε όχι το χαρτί αλλά την σφραγίδα του κράτους, και του αστυνοµικού. 58

59 οµή ενός Ψ.Π (κατά Χ.509) X.509 version 3 Certificate x509 v3 Bodypart Signature Algorithm Signature of CA Version Serial Number Signature Algorithm Issuer Name Validity Subject Name Subject Public Key Issuer Unique ID (v2) Subject unique ID (v2) Extensions (v3) 59

60 Παράδειγµα Κάτοχος: Γεώργιος Ζώτος Εκδόθηκε από: ΕΛΛΗΝΙΚΗ ΑΡΧΗ ΠΙΣΤΟΠΟΙΗΣΗΣ Ηµεροµηνία: 14/3/2008 Λήξη: 14/3/2012 ηµόσιο Κλειδί: d1a8e2f d802d57ff0d41dd0c092e6e7e2 35a1f8d7a3b55020f7d452013f5bd acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f 75e939d1dcf7f38fa206551b873c5a b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371a cf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316d70e225d50ea22c83 Αλγόριθµος Περίληψης: SHA1 Αλγόριθµος Υπογραφής: RSA Αποτύπωµα Υπογραφής από Εκδότη: 87ηιθηhjj 49&*(^uyhIwefjks8lhfwe 4hfpio3jf91#JFUIRhfwphjd c9ij3eoicj#-9iwjqc(i*j#_( ψξ #- 049ψξ3ψθξερ- ιξ ειοψ ξριθηκδηξπφιοηπ*&(^i8374 h*3r3 60

61 Υποδοµή ιαχείρισης ηµοσίου Κλειδιού Για την έκδοση ανάκληση διαχείριση των πιστοποιητικών χρησιµοποιούµε τα PKI (public key infrastructure) Τι είναι Ιδέες (ideas) Υποθέσεις (conventions) Συµβόλαια (contracts) κανονικοί(regulations) Εµπιστοσύνη (trust and confidence) Άνθρωποι (people) Συµφωνίες (agreements) Νοµοθεσία (laws) Ιδρύµατα (Institutions) Ότι είχαµε και για τις κανονικές ταυτότητες «αλά ψηφιακά» that will enable us to use public keys envelopes and digital signatures to do those things we have historically done with handmade marks in ink on paper William Murray 61

62 PKI Συστατικά Certification Authority: issues certificates, CRLs,. Registration Authority: registration of the users Directory: publication of certificates and CRLs User Agent: provides public key management services to security apps. Attribute Authority: issuing of attribute certificates Token Issuing Authority: issues tokens Key Recovery Authority: keeps back-up of critical keys Policy Authority: defines PKI policy Time-stamping Authority Notarisation Authority 62

63 Στεγανογραφία (steganography) εν κρύβει το περιεχόµενο του κειµένου αλλά την ίδια την ύπαρξη του. Εδώ η Malory (κακιά) δεν πρέπει να µάθει ότι ο BOB και η Alice µιλανε. Τέχνη (κη) όχι επιστήµη. Αόρατη Μελάνι (γραφή µε µελάνι από λεµόνι, σιδέρωµα του χαρτιού εµφανίζει το κείµενο) Το κάθε πρώτο γράµµα της κάθε παραγράφου δηµιουργεί το µήνυµα. Στα µη κρίσιµα bits µια RGB εικόνας (least significant του κάθε RGB pixel) κρύβουµε ένα κείµενο ή µια άλλη εικόνα. Το κρυµµένο κείµενο µπορεί να είναι κρυπτογραφηµένο. 63