Χρήστος Ξενάκης Τμήμα Ψηφιακών Συστημάτων

Transcript

1 Βασικά Θέματα Κρυπτογραφίας Χρήστος Ξενάκης Τμήμα Ψηφιακών Συστημάτων Πανεπιστήμιο Πειραιά

2 Αντικείμενο μελέτης Εφαρμοσμένη Κρυπτογραφία, απαραίτητη για την Ασφάλεια Δικτύων Υπολογιστών Χαρακτηριστικά των σημαντικότερων αλγορίθμων Συναρτήσεις σύνοψης (hash functions) για παραγωγή κώδικα αυθεντικοποίησης μηνυμάτων (message authentication code) Συστήματα κρυπτογραφίας δημόσιου κλειδιού (public-key) Παραγωγή και επαλήθευση ψηφιακών υπογραφών (digital signatures) 2/73

3 Συμμετρικά Κρυπτοσυστήματα Κανόνες Συμμετρικής Κρυπτογραφίας Ένα σχήμα συμμετρικής-συμβατικής κρυπτογραφίας αποτελείται από πέντε επιμέρους οντότητες: Αρχικό κείμενο (plaintext) Αλγόριθμο κρυπτογράφησης (encryption algorithm) Μυστικό κλειδί (secret key) Κρυπτογράφημα ή κρυπτογραφημένο μήνυμα (ciphertext) Αλγόριθμο αποκρυπτογράφησης (decryption algorithm) 3/73

4 Aπλοποιημένο Μοντέλο Συμβατικής Κρυπτογραφίας Πίνακας 4/73

5 Προϋποθέσεις για την ασφαλή χρήση της συμβατικής κρυπτογραφίας Η ύπαρξη ενός ισχυρού (strong) αλγορίθμου κρυπτογράφησης Πομπός και Δέκτης έχουν παραλάβει τα αντίγραφα του μυστικού κλειδιού με ασφαλή τρόπο και τα διαφυλάσσουν σε ασφαλές μέρος Αδύναμος κρίκος: η μυστικότητα του κλειδιού και όχι η μυστικότητα του αλγορίθμου που χρησιμοποιείται 5/73

6 Κριτήρια Ταξινόμησης Μεθόδων Κρυπτογράφησης Ο τύπος των διαδικασιών που χρησιμοποιούνται για το μετασχηματισμό μ του αρχικού κειμένου σε κρυπτογράφημα Ο αριθμός των κλειδιών που χρησιμοποιούνται Ο τρόπος με τον οποίο επεξεργάζεται το αρχικό κείμενο 6/73

7 Διάφοροι φρ τύποι επιθέσεων Κρυπτανάλυσης Τύπος Επίθεσης Επίθεση κρυπτογραφήματος (ciphertext only attack) Στοιχεία γνωστά στον κρυπταναλυτή Αλγόριθμος κρυπτογράφησης Κρυπτογράφημα Επίθεση γνωστού αρχικού Αλγόριθμος κρυπτογράφησης κειμένου (known plaintext Κρυπτογράφημα attack) Ένα ή περισσότερα ζεύγη (αρχικού κειμένου, κρυπτογραφήματος) παραγόμενα από το μυστικό κλειδί Επίθεση επιλεγμένου αρχικού Αλγόριθμος κρυπτογράφησης κειμένου Κρυπτογράφημα (chosen plaintext attack) Αρχικό κείμενο επιλεγμένο από τον κρυπταναλυτή, σε συνδυασμό με το αντίστοιχο κρυπτογράφημα που παράγεται με το μυστικό κλειδί Επίθεση επιλεγμένου Αλγόριθμος κρυπτογράφησης κρυπτογραφήματος Κρυπτογράφημα (chosen ciphertext attack) Επιλεγμένο από τον κρυπταναλυτή κρυπτογράφημα,, μαζί με το αντίστοιχο αποκρυπτογραφημένο αρχικό κείμενο που παράχθηκε με το μυστικό κλειδί Πίνακας Επίθεση επιλεγμένου κειμένου (chosen text attack) Αλγόριθμος κρυπτογράφησης Κρυπτογράφημα Επιλεγμένο από τον κρυπταναλυτή μήνυμα αρχικού κειμένου, μαζί με το αντίστοιχο κρυπτογράφημα που παράχθηκε με το μυστικό κλειδί Επιλεγμένο από τον κρυπταναλυτή κρυπτογράφημα, μαζί με το αντίστοιχο 7/73 αποκρυπτογραφημένο αρχικό κείμενο που παράχθηκε με το μυστικό κλειδί

8 Ορισμός υπολογιστικά ασφαλούς σχήματος κρυπτογράφησης Ένα σχήμα κρυπτογράφησης θεωρείται υπολογιστικά ασφαλές (computationally secure) εφόσον το κρυπτογράφημα που παράγεται πληροί ένα τουλάχιστον από τα ακόλουθα κριτήρια: Το κόστος της παραβίασης του κρυπτομηνύματος να υπερβαίνει την αξία των τελικά λαμβανομένων πληροφοριών από τη διαδικασία της κρυπτανάλυσης Ο Ο χρόνος που απαιτείται για την κρυπτανάλυση του κρυπτομηνύματος πρέπει να υπερβαίνει την ωφέλιμη διάρκεια ζωής των λαμβανομένων πληροφοριών 8/73

9 Μέσος χρόνος που απαιτείται για εξαντλητική αναζήτηση κλειδιών 9/73

10 Η Δομή Κρυπτογραφίας του Feistel Σχεδόν το σύνολο των συμβατικών αλγορίθμων κρυπτογραφίας τμημάτων δεδομένων, του DΕS συμπεριλαμβανομένου, περιλαμβάνουν μία δομή που περιγράφηκε πρώτα από τον H. Feistel της ΙΒΜ το /73

11 Κλασικό δίκτυο Feistel Αρχικό κείμενο (2w bits) Κλειδί L 0 w bits w bits R 0 Κύκλος 1 K 1 F Αλγόριθμος παραγωγής δευτερευόντων κλειδιών L 1 R 1 Κύκλος i K i F L i R i Κύκλος n K n F L n R n L n+1 R n+1 Κρυπτογραφημένο κείμενο (2w bits) 11/73

12 Παράμετροι για υλοποίηση δικτύου Feistel Μέγεθος των τμημάτων (block size) Μέγεθος γ ς κλειδιού (key size) Αριθμός κύκλων (number of rounds) Αλγόριθμοςό θ παραγωγής δευτερευόντων κλειδιών (subkey generation algorithm) Συνάρτηση κύκλου (round cycle) 12/73

13 Συμβατικοί Αλγόριθμοι Κρυπτογραφίας Data Encryption Standard (DES) Tο σχήμα κρυπτογράφησης που έχει χρησιμοποιηθεί ευρύτατα είναι το Data Encryption Standard DES Σχεδιάστηκε από την IBM, υιοθετήθηκε το 1977 από το National Institute of Standards and Technology NIST, USA, ως Federal Information Processing Standard 46 FIPS PUB 46. Ο αλγόριθμος που έχει υλοποιηθεί στο σύστημα DES αναφέρεται ως Data Encryption Algorithm - DEA Πίνακας 13/73

14 Γενική περιγραφή του αλγορίθμου κρυπτογράφησης DES Πίνακας 14/73

15 Ένας κύκλος του αλγορίθμου DES 15/73

16 Χρόνος που απαιτείται για τη διάσπαση ενός κώδικα (υποθέτοντας 10 6 αποκρυπτογραφήσεις/μs) 16/73

17 Συμβατικοί Αλγόριθμοι Κρυπτογραφίας Triple Data Encryption Standard (TDES) Το TDES ή 3DES χρησιμοποιεί τρία κλειδιά και τρεις εκτελέσεις του αλγορίθμου DES. Ο αλγόριθμος ακολουθεί τη διαδοχή: κρυπτογράφηση, αποκρυπτογράφηση, κρυπτογράφηση (EDE encryption decryption - encryption): C = E K3 [D K2 [E K1 [P]]] όπου: C = κρυπτογράφημα P = αρχικό κείμενο E K [X] = κρυπτογράφηση του Χ με χρήση του κλειδιού Κ D K [Y] = αποκρυπτογράφηση του Χ με χρήση του κλειδιού Κ Η αποκρυπτογράφηση ακολουθεί ακριβώς την ίδια διαδικασία με τα κλειδιά σε αντίστροφη χρήση: P = D K1 [E K2 [D K3 [C]]] K1 K2 K3 17/73

18 O αλγόριθμος TDES K 1 K 2 K 3 P E A D B E C (α) Κρυπτογράφηση K 3 K 2 K 1 C D B E A D P (β) Αποκρυπτογράφηση 18/73

19 Oδηγίες FIPS 46-3 για το TDES TDES (3 διαφορετικά κλειδιά, διαθέτει κλειδί 168-bit) Στο FIPS 46-3 επιτρέπεται χρήση δύο κλειδιών K1, K2, με K1 = K3. Έτσι εξασφαλίζει μήκος κλειδιού 112-bit. 19/73

20 Advanced Encryption Standard (AES) Κύριο ρ μειονέκτημα του TDES: Eίναι σχετικά αργός σε υλοποιήσεις με χρήση λογισμικού. Προηγμένο Πρότυπο Κρυπτογράφησης Advanced Encryption Standard AES Kριτήρια συγκριτικής αξιολόγησης : Ασφάλεια Κόστος Απλότητα 20/73

21 Αλγόριθμοι που έγιναν αποδεκτοί στην τελική φάση και τα βασικά χαρακτηριστικά τους MARS: 32 κύκλοι μετασχηματισμών. RC6: 20 κύκλοι μετασχηματισμών. Serpent: 32 κύκλοι μετασχηματισμών. Twofish: 6 κύκλοι, Rijndael: έχει υιοθετηθεί πλέον ως ο αλγόριθμος AES, χαρακτηρίζεται από απλότητα, ευελιξία, ρωμαλεότητα σε όλες τις γνωστές κρυπταναλυτικές επιθέσεις υψηλή ταχύτητα λειτουργίας. 21/73

22 Λοιποί Συμμετρικοί Κωδικοποιητές Τμημάτων Αλγόριθμος Μήκος Κλειδιού Αριθμός Κύκλων Μαθηματικές Πράξεις Εφαρμογές DES 56 bits 16 XOR, σταθερά S-boxes SET, Kerberos Triple DES 112 ή 168 bits 48 XOR, σταθερά S-boxes Financial key management, PGP, S/MIME IDEA 128 bits 8 XOR, πρόσθεση, πολλαπλασιασμός Blowfish Μεταβλητό μέχρι 448 bits 16 XOR, μεταβλητά S- boxes, πρόσθεση PGP RC5 Μεταβλητό μέχρι 2048 bits Μεταβλητό μέχρι 255 Πρόσθεση, αφαίρεση, XOR, περιστροφή CAST μέχρι 128 bits 16 Πρόσθεση, αφαίρεση, XOR, περιστροφή, σταθερά S-boxes PGP 22/73

23 Τρόποι Λειτουργίας Κωδικοποιητών Τμημάτων Ένας ς συμμετρικός κωδικοποιητής ηήςτμημάτων (symmetric block cipher) επεξεργάζεται τμήματα δεδομένων κάθε φορά. DES και TDES το μέγεθος του τμήματος είναι 64-bit. Αν το αρχικό κείμενο έχει μεγαλύτερο μέγεθος των 64-bit, Επέκταση η - padding. Ο απλούστερος τρόπος επεξεργασίας Electronic CodeBook ECB. Η κρυπτογράφηση ενός τμήματος μηνύματος εξαρτάται αποκλειστικά από το κλειδί και από το τμήμα του μηνύματος. μ 23/73

24 Αντιμετώπιση των ρηγμάτων ασφάλειας του ECB Μέθοδο Αλυσιδωτής Κρυπτογράφησης Τμημάτων CBC (Cipher Block Chaining) Μέθοδο Ανάδρασης Κρυπτογραφημάτων CFB (Cipher FeedBack) Μέθοδο Ανάδρασης Εξόδου OFB (Output Feedback) 24/73

25 Αντιμετώπιση των ρηγμάτων ασφάλειας του ECB Μέθοδος Cipher Block Chaining (CBC) Στιγμή = 1 Στιγμή = 2 Στιγμή = N IV P 1 P 2 P N C N-1 + K DES κρυπτογράφηση K DES κρυπτογράφηση... K DES κρυπτογράφηση C 1 C 2 C N (α) Κρυπτογράφηση... C 1 C 2... C N K DES αποκρυπτογράφηση K DES αποκρυπτογράφηση... K DES αποκρυπτογράφηση IV C N-1 P 1 P 2 P N... (β) Αποκρυπτογράφηση 25/73

26 Αντιμετώπιση των ρηγμάτων ασφάλειας του ECB Μέθοδος Ανάδρασης Κρυπτογραφημάτων - CFB IV C M - 1 Καταχωρητής ολίσθησης ης Καταχωρητής ολίσθησης ης Καταχωρητής ολίσθησης ης 64 - j bits j bits 64 - j bits j bits 64 - j bits j bits 64 DES DES K K K Κρυπτογράφηση Κρυπτογράφηση DES Κρυπτογράφηση 64 Επέλεξε Απόρριψε Επέλεξε Απόρριψε Επέλεξε Απόρριψε j bits 64 - j bits j bits 64 - j bits j bits 64 - j bits j j C 1 C 2 C M j P 1 P 2 P M (α) Κρυπτογράφηση IV C M - 1 Καταχωρητής ολίσθησης 64 - j bits j bits Καταχωρητής ολίσθησης 64 - j bits j bits Καταχωρητής ολίσθησης 64 - j bits j bits K DES Κρυπτογράφηση Επέλεξε Απόρριψε j bits 64 - j bits K DES Κρυπτογράφηση Επέλεξε Απόρριψε j bits 64 - j bits... K DES Κρυπτογράφηση Επέλεξε Απόρριψε j bits 64 - j bits C 1 C 2 C M P 1 P 2 P M (β) Αποκρυπτογράφηση 26/73

27 Αντιμετώπιση των ρηγμάτων ασφάλειας του ECB Μέθοδος Ανάδρασης Εξόδου - OFB Η μέθοδος λειτουργίας OFB του DES είναι παρόμοια, με τη μέθοδο λειτουργίας CFB. Η κύρια διαφορά τους έγκειται στο γεγονός ότι ο καταχωρητής ολίσθησης επανατροφοδοτείται από την έξοδο της λειτουργίας κρυπτογράφησης, ης, ενώ στη μέθοδο CFB ο καταχωρητής ολίσθησης επανατροφοδοτείται από την κρυπτογραφημένη ακολουθία. Το βασικό πλεονέκτημα της OFB μεθόδου είναι ότι επιτυγχάνεται ο περιορισμός διάδοσης σφαλμάτων. 27/73

28 Τοποθέτηση Συσκευών Κρυπτογράφησης Κρυπτογράφηση διαμέσου ενός δικτύου μεταγωγής πακέτων PSN PSN Δίκτυο μεταγωγής πακέτων PSN PSN = Συσκευή κρυπτογράφησης από-άκρη-σε-άκρη = Συσκευή κρυπτογράφησης ζεύξης PSN = Packet switching node 28/73

29 Διανομή Κρυπτογραφικών Κλειδιών Η διανομή κλειδιών μπορεί να επιτευχθεί με διάφορους τρόπους για δύο συμβαλλόμενα μέρη Α και Β: Ένα κλειδί θα μπορούσε να επιλεγεί από τον Α και να παραδοθεί με φυσικό τρόπο στον Β. Ένας έμπιστος τρίτος θα μπορούσε να επιλέξει το κλειδί και να το παραδώσει με φυσικό τρόπο στους Α και Β. Εάν ο Α και ο Β έχουν χρησιμοποιήσει πρόσφατα κάποιο κλειδί που παραμένει μυστικό, θα μπορούσε ο ένας να διαβιβάσει στον άλλο το νέο κλειδί, κρυπτογραφώντας το με το παλαιό κλειδί. Εάν οι Α και Β διατηρούν μία κρυπτογραφημένη σύνδεση με έναν τρίτο Γ, ο Γ θα μπορούσε να παραδώσει ένα κλειδί μέσω της κρυπτογραφημένης σύνδεσης στους Α και Β. 29/73

30 Αυτόματη διανομή κλειδιών σε πρωτόκολλο προσανατολισμένο στη σύνδεση Για τη λειτουργία αυτή, προσδιορίζονται δύο είδη κλειδιών: Κλειδί συνόδου (session key) Μόνιμο κλειδί (permanent key) Η διαμόρφωση (configuration) περιλαμβάνει τα ακόλουθα στοιχεία: Κέντρο διανομής κλειδιού (key distribution center KDC) Μετωπικός επεξεργαστής (front-end processor FEP) 30/73

31 Αυτόματη διανομή κλειδιών σε πρωτόκολλο προσανατολισμένο στη σύνδεση (σχήμα) 1. O αποστολέας στέλνει ένα πακέτο αίτησης σύνδεσης 2. Ο FEP αποθηκεύει το πακέτο και ζητάει σύνδεση απο το KDC 3. KDC διανέμει το κλειδί συνόδου και προς της δύο άκρες 4. Αποστέλνει το πακέτο αιτήματος σύνδεσης FEP = front-end processor KDC = key distribution center 2 KDC FEP 3 Host 1 F E P Δίκτυο 4 F E P Host 31/73

32 Βήματα για την εγκατάσταση μιας σύνδεσης ύδ Βήμα 1. Αποστολή πακέτου αίτησης σύνδεσης (connection-request packet) Βήμα 2. Ο FEP αποθηκεύει το πακέτο και αποστέλλει μία αίτηση στο KDC για την επίτευξη της σύνδεσης Βήμα 3. Η επικοινωνία μεταξύ του FEP και του KDC κρυπτογραφείται χρησιμοποιώντας ένα κύριο κλειδί, που γνωρίζουν μόνον οι FEP και KDC. Εάν το KDC εγκρίνει το αίτημα σύνδεσης, τότε δημιουργεί το κλειδί συνόδου και το παραδίδει στους δύο κατάλληλους FEP χρησιμοποιώντας ένα μοναδικό μόνιμο κλειδί για κάθε FEP Βήμα 4. Ο FEP έχει τη δυνατότητα να αποστείλει το πακέτο αιτήματος σύνδεσης και να πραγματοποιηθεί μία σύνδεση μεταξύ των δύο συστημάτων. Τα δεδομένα του χρήστη κρυπτογραφούνται από τους αντίστοιχους FEP χρησιμοποιώντας το κλειδί συνόδου μιας χρήσης 32/73

33 Ασύμμετρα Κρυπτοσυστήματα και Αυθεντικοποίηση οίη η Μηνυμάτων Αυθεντικοποίηση Μηνυμάτων Αυθεντικοποίηση με χρήση Συμβατικής Κρυπτογράφησης Αυθεντικοποίηση Μηνυμάτων χωρίς Κρυπτογράφηση 33/73

34 Κώδικας Αυθεντικοποίησης Μηνυμάτων - MAC Μήνυμα K Αποστολή Mac Αλγόριθμος Σύγκριση Mac Αλγόριθμος MAC K 34/73

35 Μονόδρομες Συναρτήσεις Σύνοψης Μία παραλλαγή του κώδικα αυθεντικοποίησης μηνυμάτων, που έχει ιδιαίτερη σημασία στις σύγχρονες κρυπτογραφικές εφαρμογές μονόδρομης συνάρτησης σύνοψης (one-way hash function) 35/73

36 Αυθεντικοποίηση ημηνύματος μ με χρήση μονόδρομης συνάρτησης σύνοψης Μύνημα Μύνημα Μύνημα H K Σύγκριση H K D E α) Χρησιμοποιώντας συμμετρική κρυπτογράφηση Μύνημα Μύνημα Μύνημα H Κ-δημόσιο Σύγκριση H K-ιδιωτικό E D β)χρησιμοποιώντας κρυπτογράφηση δημοσίου κλειδιού Μύνημα Μύνημα Μύνημα H Συγκριση H γ) Χρησιμοποιώντας συνάρτηση σύνοψης 36/73

37 Ασφαλείς Συναρτήσεις Σύνοψης και HMAC Η συνάρτηση Ηπρέπει: Απαιτήσεις Συναρτήσεων Σύνοψης Να μπορεί να εφαρμοστεί σε τμήμα δεδομένων οποιουδήποτε μεγέθους Να παράγει έξοδο συγκεκριμένου μικρού σταθερού μήκους Να είναι εύκολα υπολογίσιμη για δοθέν x, καθιστώντας πρακτική την υλοποίηση είτε με λογισμικό είτε με υλικό Πρέπει να είναι υπολογιστικά ανέφικτο (computationally infeasible): e): Για κάθε δοθέν h να βρεθεί x, τέτοιο ώστε H(x)=h Για δοθέν τμήμα δεδομένων x, να βρεθεί κάποιο y x, τέτοιο ώστε H(y)=H(x) Να βρεθεί ζεύγος (x,y) τέτοιο ώστε H(x)=H(y) 37/73

38 Γενικές Αρχές Ασφαλών Συναρτήσεων Σύνοψης Συγκριτική παρουσίαση των αλγορίθμων σύνοψης MD5, SHA-1, RIPEMD-160 MD5 SHA-1 RIPEMD-160 Μήκος Σύνοψης Βασική μονάδα επεξεργασίας Αριθμός βημάτων 128 bits 160 bits 160 bits 512 bits 512 bits 512 bits 64 (4 rounds of 16) 80 (4 rounds of 20) 160 (5 paired rounds of 16) Μέγιστο μέγεθος μηνύματος bits Αρχική τοπική συνάρτηση Επιιπλέον χρησιμοποιούμενες σταθερές /73

39 Αλγόριθμοι σύνοψης Ο αλγόριθμος MD5 (Message Digest) αναπτύχθηκε από τον R. Rivest και περιγράφεται στο RFC 1321 Ο αλγόριθμος RIPEMD-160 αναπτύχθηκε στα πλαίσια του ευρωπαϊκού έργου RIPE - RACE Integrity Primitives Evaluation από ομάδα ερευνητών που είχαν επιχειρήσει επιτυχείς επιθέσεις στους αλγορίθμους MD4 και MD5 39/73

40 HMAC Υπήρξε ενδιαφέρον για τη δημιουργία MAC από κρυπτογραφική σύνοψη Τα κίνητρα ήταν: Οι κρυπτογραφικές συναρτήσεις σύνοψης εκτελούνται ταχύτερα με χρήση κατάλληλου λογισμικού από ότι οι συμβατικοί αλγόριθμοι κρυπτογραφίας, όπως ο DES Οι βιβλιοθήκες κώδικα για κρυπτογραφικές συναρτήσεις σύνοψης είναι ευρέως διαθέσιμες Δεν υπάρχουν πλέον νομικοί περιορισμοί εξαγωγής κρυπτογραφικών συναρτήσεων σύνοψης ούτε από τις ΗΠΑ, ούτε από άλλη χώρα 40/73

41 Σχεδιαστικοί Στόχοι Σό HMAC Να χρησιμοποιούνται χωρίς μετατροπές συναρτήσεις σύνοψης Να επιτρέπεται η εύκολη αντικατάσταση της συνάρτησης σύνοψης στο HMAC Να διατηρείται η αρχική απόδοση της συνάρτησης σύνοψης, Να χρησιμοποιούνται κλειδιά και να γίνονται αντικείμενο διαχείρισης με εύκολο τρόπο Να υπάρχει σαφής κρυπτογραφική ανάλυση των δυνατοτήτων του μηχανισμού αυθεντικοποίησης, 41/73

42 Το HMAC μεταχειρίζεται τη συνάρτηση σύνοψης ως μαύρο κουτί Το γεγονός αυτό έχει δύο πλεονεκτήματα: Μία υπάρχουσα υλοποίηση μιας συνάρτησης σύνοψης μπορεί να χρησιμοποιηθεί ως βάση στην υλοποίηση του HMAC. Το κύριο μέρος του κώδικα του HMAC μπορεί να χρησιμοποιηθεί χωρίς καμία απολύτως μετατροπή. Όπου απαιτηθεί η αντικατάσταση της συνάρτησης σύνοψης του HMAC το μόνο που απαιτείται είναι η αφαίρεση του υπάρχοντος κώδικα της συνάρτησης και η εισαγωγή του διαδόχου. 42/73

43 Αλγόριθμος HMAC (επεξήγηση συμβόλων) H = ενσωματωμένη συνάρτηση σύνοψης (π.χ. SHA-1) Μ = μήνυμα που αποτελεί είσοδο στο HMAC, μαζί με το πλήθος των bits που έχουν προσαρτηθεί σύμφωνα με την Η Yi =iτμήμα του Μ, με 0 i L-1 L = αριθμός τμημάτων του Μ B = αριθμός bits ενός τμήματος N = το μήκος της σύνοψης που παράγεται από την ενσωματωμένη συνάρτηση σύνοψης Κ = το μυστικό κλειδί. Αν το μήκος του κλειδιού είναι μεγαλύτερο από b, το κλειδί είναι είσοδος στη συνάρτηση σύνοψης ώστε να παραχθεί ένα κλειδί n-bits. Το μήκος πρέπει να είναι μεγαλύτερο ή ίσο του n. K + = το Κ μετά από προσάρτηση μηδενικών από τα αριστερά, έτσι ώστε το αποτέλεσμα να είναι b bits σε μήκος. ipad = (36 στο δεκαεξαδικό) επαναλαμβανόμενο b/8 φορές opad = (5C στο δεκαεξαδικό) επαναλαμβανόμενο b/8 φορές 43/73

44 Λειτουργία του HMAC K + + ipad b bits b bits b bits... S i Y 0 Y 1 Y L-1 IV n bits Σύνοψη K + + opad b bits n bits H(S i M) pad to b bits S 0 IV n bits Σύνοψη n bits HMAC K (M) 44/73

45 Έκφραση του HMAC: HMAC K = H [(K + opad) H [(K + ipad) M]] Αναλυτικά: Βήμα 1 Προσθήκη μηδενικών στο Κ από τα αριστερά για να δημιουργηθεί μία συμβολοσειρά K + μήκους b bits. Βήμα 2 Εφαρμογή XOR στο K + και στο ipad για να παραχθεί το τμήμα S i από b bits. Βήμα 3 Προσάρτηση του Μ στο S i. Βήμα 4 Εφαρμογή της Η στο αποτέλεσμα του βήματος 3. Βήμα 5 Εφαρμογή XOR στο K + και στο opad για να παραχθεί το τμήμα S ο από b bits. Βήμα 6 Προσάρτηση του αποτελέσματος του βήματος 4 στο S ο. Βήμα 7 Εφαρμογή της Η στο αποτέλεσμα του βήματος 6. Η έξοδος της Η είναι το τελικό αποτέλεσμα του αλγορίθμου. 45/73

46 Αρχές Ασύμμετρων Κρυπτοσυστημάτων Η κρυπτογραφία δημοσίου κλειδιού (public-key cryptography) αξιοποιείται κατά προτεραιότητα: για αυθεντικοποίηση μηνυμάτων για διανομή μυστικών κλειδιών. 46/73

47 Δομή Κρυπτοσυστημάτων Δημοσίου Κλειδιού (1/2) Μία δομή κρυπτοσυστήματος δημοσίου κλειδιού αποτελείται από τις ακόλουθες συνιστώσες: Αλγόριθμος κρυπτογράφησης (encryption algorithm) Αρχικό κείμενο (plaintext) Ζεύγος δημόσιου (public) και ιδιωτικού (private) κλειδιού Κρυπτογράφημα ή κρυπτογραφημένο μήνυμα (ciphertext) Αλγόριθμος αποκρυπτογράφησης (decryption algorithm) 47/73

48 Δομή Κρυπτοσυστημάτων Δημοσίου Κλειδιού (2/2) Joy Mike Τα δημόσια κλειδιά του Bob Ted Alice Το δημόσιο κλειδί της Alice Αποστελλόμενο Κρυπτογράφημα Το ιδιωτικό κλειδί της Alice Αρχικό κείμενο Αλγόριθμος κρυπτογράφησης (π.χ., DES) Αλγόριθμος αποκρυπτογράφησης Αρχικό κείμενο α) Κρυπτογράφηση Το ιδιωτικό κλειδί του Bob Joy Mike Τα δημόσια κλειδιά της Alice Ted Bob Το δημόσιο κλειδί του Bob Αποστελλόμενο Κρυπτογράφημα Αρχικό κείμενο Αλγόριθμος κρυπτογράφησης (π.χ., DES) Αλγόριθμος αποκρυπτογράφησης Αρχικό κείμενο 48/73 β) Αυθεντικοποίηση

49 Εφαρμογές Κρυπτοσυστημάτων Δημοσίου Κλειδιού Κρυπτογράφηση/Αποκρυπτογράφηση Decryption) (Encryption/ Ψηφιακή υπογραφή (Digital Signature) Ανταλλαγή κλειδιών (Key Exchange) 49/73

50 Αλγόριθμοι δημοσίου κλειδιού και υποστηριζόμενες εφαρμογές Αλγόριθμος Κρυπτογράφηση/ Ψηφιακή Ανταλλαγή Αποκρυπτογράφηση Υπογραφή Κλειδιών RSA x x x Diffie- Hll Hellman - - x DSS - x - Elliptic Curve x x x 50/73

51 Απαιτήσεις σε Περιβάλλον ρβ Κρυπτογραφίας Δημοσίου Κλειδιού (1/2) Ένας τέτοιος αλγόριθμος πρέπει: Να είναι υπολογιστικά εύκολο: για κάποιο φορέα Β να δημιουργήσει ένα ζεύγος κλειδιών (δημόσιο κλειδί KU b, ιδιωτικό κλειδί KR b ) για τον αποστολέα Α, γνωρίζοντας το δημόσιο κλειδί και το μήνυμα προς κρυπτογράφηση Μ, να δημιουργήσει το αντίστοιχο κρυπτογραφημένο μήνυμα C = E KUb (M) για τον παραλήπτη Β να αποκρυπτογραφήσει το κρυπτογραφημένο μήνυμα C, χρησιμοποιώντας το ιδιωτικό του κλειδί, ώστε να ανακτήσει το αρχικό μήνυμα: M = D KRb (C) = D KRb [E KUb (M)] 51/73

52 Απαιτήσεις σε Περιβάλλον ρβ Κρυπτογραφίας Δημοσίου Κλειδιού (2/2) Να είναι υπολογιστικά ανέφικτο (computationally infeasible) για έναν επιτιθέμενο γνωρίζοντας το δημόσιο κλειδί KU b να υπολογίσει το αντίστοιχο ιδιωτικό κλειδί KR b Καθώς και το κρυπτογραφημένο κείμενο C να ανακτήσει το αρχικό κείμενο M. Προαιρετικά: Οποιοδήποτε από τα δύο συσχετιζόμενα κλειδιά μπορεί να χρησιμοποιηθεί για την κρυπτογράφηση και το άλλο για την αποκρυπτογράφηση, δηλαδή δήισχύει: M = D KRb [E KUb (M)] = D KUb [E KRb (M)] 52/73

53 Αλγόριθμοι για Ασύμμετρα Κρυπτοσυστήματα Αλγόριθμος RSA Αλγόριθμος των Diffie-Hellman Αλγόριθμος Digital Signature Standard (DSS) Αλγόριθμος Elliptic-Curve Cryptography (ECC). 53/73

54 Αλγόριθμος RSA (1/2) Ο RSA βασίζεται στη δυσκολία παραγοντοποίησης μεγάλων αριθμών (σήμερα, συνήθως της τάξης των 1024 με 2048 bits). Για να είναι ικανοποιητικός ο αλγόριθμος θα πρέπει να ικανοποιούνται οι ακόλουθες απαιτήσεις: Είναι δυνατό να βρεθούν τιμές για τα e,d,n, τέτοιες ώστε να ισχύει: M ed = Μ mod n, για κάθε Μ<n Είναι σχετικά εύκολο να υπολογιστούν τα M e και C, για κάθε Μ<n Είναι αδύνατο να προσδιοριστεί ρ το d, δοθέντων των e και n 54/73

55 Αλγόριθμος RSA (2/2) Παραγωγή κλειδίου Επέλεξε p, q p και q κι οι δύο πρώτοι Υπολόγισε n = p x q Υπολόγισε (n) = (p - 1)(q - 1) Επέλεξε ακέραιο e Υπολόγισε d gcd( (n), e) = 1; 1 < e< (n) d =e -1 mod (n) Δημόσιο κλειδί KU = {e, n} Ιδιωτικό κλειδί KR = {d, n} } Κρυπτογράφηση Κρυπτογράφημα: M < n Αρχικό κείμενο: C = M e (mod n) Αποκρυπτογράφηση Κρυπτογράφημα: C Αρχικό κείμενο: M = C d (mod n) 55/73 Φ(n) Η συνάρτηση του Euler. Ο αριθμός των θετικών ακεραίων που είναι μικρότεροι του n και είναι πρώτοι με αυτόν

56 Παράδειγμα αλγορίθμου RSA Κρυπτογράφηση Αρχικό κείμενο = = 119 Αποκρυπτογράφηση με υπόλοιπο το Κρυπτογράφημα x 10 με = x = υπόλοιπο το Αρχικό κείμενο 19 KU = 5, 119 KR = 77, /73

57 Ανταλλαγή Κλειδιών κατά Diffie Hellman Καθολικά δημόσια στοιχεία q πρώτος αριθμός < q και μία πρώτη ρίζα του q Παραγωγή κλειδιού για το χρήστη Α Επέλεξε ιδιωτικό X A X A <q Υπολόγισε δημόσιο Y A Y A = a X A mod q Παραγωγή κλειδιού για το χρήστη B Επέλεξε ιδιωτικό X B X B <q Υπολόγισε δημόσιο Y B X Y B = a B mod q Παραγωγή μυστικού κλειδιόυ από το χρήστη A X K = (Y B ) A mod q Παραγωγή μυστικού κλειδιόυ από το χρήστη Β X K = (Y A ) B mod q a mod q, a 2 mod q,, a q-1 mod q generate 1 q-1 with some permutation!! 57/73

58 Παράδειγμα ανταλλαγής κλειδιών κατά Diffie-Hellman Hll Χρήστης A Παρήγαγε τυχαίο X A < q; Υπολόγισε Y A = A Χ Α mod q Υπολόγισε X A K = (Y B ) mod q Y A Y B Χρήστης B Παρήγαγε τυχαίο X B <q; Υπολόγισε X B Y B =a modq; Υπολόγισε X B K = (Y A ) mod q application of the discrete logarithm problem 58/65

59 Πρότυπο Ψηφιακής Υπογραφής -DSS Πρότυπο FIPS - Federal Information Processing Standard PUB 186, γνωστό ως Digital Signature Standard - DSS. Το DSS χρησιμοποιεί: τη συνάρτηση σύνοψης SHA-1 και παρουσιάζει μία νέα τεχνική για ψηφιακές υπογραφές, τον Αλγόριθμο Digital Signature Algorithm DSA έχει σχεδιαστεί να παρέχει μόνο συνάρτηση ψηφιακής υπογραφής. Αντίθετα από το RSA, δεν μπορεί να χρησιμοποιηθεί η για κρυπτογράφηση ή ανταλλαγή κλειδιών. 59/73

60 Κρυπτογραφία Ελλειπτικής Καμπύλης ΕCC Ανταγωνιστικό σύστημα του RSA Κρυπτογραφία Ελλειπτικής Καμπύλης (Elliptic Curve Cryptography - ECC). Ο κύριος λόγος που καθιστά ελκυστικό το ECC, συγκρινόμενο με τον αλγόριθμο RSA, προσφέρει το ίδιο επίπεδο ασφάλειας για μικρότερο πλήθος bits, Μειώνεται ο απαιτούμενος υπολογιστικός χρόνος και φόρτος εργασίας. 60/73

61 Ψηφιακές Υπογραφές Η κρυπτογράφηση με το ασύμμετρο κρυπτοσύστημα μπορεί να αξιοποιηθεί όταν δεν επιθυμείται η εμπιστευτικότητα του κειμένου Αλλά ο παραλήπτης επιθυμεί να είναι σίγουρος για την προέλευσή του, δηλαδή απαιτείται η αυθεντικοποίηση (authenticity) του αποστολέα του μηνύματος. Ο παραλήπτης αποκρυπτογραφεί με το δημόσιο κλειδί το μήνυμα. Έτσι, όλο το κρυπτογραφημένο κείμενο αποτελεί μία ψηφιακή υπογραφή (digital signature) του αποστολέα. 61/73

62 Διαχείριση Δημόσιων Κλειδιών Η διανομή των δημόσιων κλειδιών Η χρήση του ασύμμετρου κρυπτοσυστήματος για τη διανομή μυστικών κλειδιών, δηλαδή των κλειδιών που χρησιμοποιούνται στο συμμετρικό κρυπτοσύστημα. 62/73

63 Ψηφιακά Πιστοποιητικά (Ψηφιακές υπογραφές) Μη υπογεγραμμένο πιστοποιητικό: περιλαμβάνει το δημόσιο κλειδί και έναν κωδικό του κατόχου του κλειδιού Παραγωγή κώδικα σύνοψης ενός μη υπογεγραμμένου πιστοποιητικού H E Κρυπτογραφηση κώδικα σύνοψης Με ιδιωτικό κλειδί CA για την δημιουργία υπογραφής Υπογεγραμμένο γγρμμ πιστοποιητικό: Ο παραλήπτης μπορεί να επαληθεύσει την υπογραφή χρησιμοποιώντας το δημόσιο κλειδί του CA. 63/73

64 Διανομή Μυστικών Κλειδιών με Ασύμμετρο Κρυπτοσύστημα Τα βήματα για να αποστείλει ο Β στον Α το μυστικό κλειδί: Ο Β ετοιμάζει το προς αποστολή μήνυμα Ο Β κρυπτογραφεί το μήνυμα με συμβατικό κρυπτοσύστημα, χρησιμοποιώντας ένα μυστικό κλειδί που δημιούργησε Ο Β κρυπτογραφεί το μυστικό αυτό κλειδί με το δημόσιο κλειδί του Α Ο Β επισυνάπτει το κρυπτογραφημένο αυτό κλειδί στο μήνυμα και το αποστέλλει στον Α. 64/73

65 Βασικά Θέματα Κρυπτογραφίας Ερωτήσεις... 65/73