Κρυπτογραφία. Διάλεξη 7 Κρυπταλγόριθμοι τμήματος: Αλγόριθμος AES Τρόποι λειτουργίας

Transcript

1 Κρυπτογραφία Διάλεξη 7 Κρυπταλγόριθμοι τμήματος: Αλγόριθμος AES Τρόποι λειτουργίας

2 AES- Advanced Encryption Standard Το 1997, ο NIST προσκάλεσε δημόσια για ορισμό νέου προτύπου που θα λάμβανε το όνομα Advanced Encryption Standard (AES), προς αντικατάσταση του DES Ως ελάχιστο μήκος κλειδιού τέθηκε 128 bits Δυνατότητα υλοποίησης σε επεξεργαστές 8 bit To 1998, επελέχθησαν 15 επικρατέστεροι Αργότερα, έμειναν 5 επικρατέστεροι MARS (IBM - ΗΠΑ) RC6 (RSA Labs - ΗΠΑ) Rijndael (Rijmen & Daemen Βέλγιο) SERPENT (Anderson, Biham, and Knudsen Μεγάλη Βρετανία, Ισραήλ, Νορβηγία) TWOFISH (Schneier, Kelsey, και άλλοι - ΗΠΑ) 2

3 Advanced Encryption Standard (AES) (ΙΙ) Τελικοί βαθμοί των 5 επικρατέστερων αλγορίθμων: Τον Οκτώβρη του 2000, ανακοινώθηκε ως νικητής ο αλγόριθμος Rijndael. 3

4 Αλγόριθμος Rijndael Μήκη κλειδιού: 128, 192, 256 bits (υποστηρίζονται και τα τρία αυτά μεγέθη) Μήκη blocks δεδομένων: 128, 192, 256 bits Στο πρότυπο AES, υιοθετήθηκε ως μόνο δυνατό μέγεθος block τα 128 bits Εύκολη υλοποίηση hardware γύροι, ανάλογα με το μήκος του κλειδιού Κάθε γύρος αποτελείται από 4 βασικές πράξεις: Αντικατάσταση byte (Byte substitution) χρήση s-boxes με καλά χαρακτηριστικά Ολίσθηση (Shift row) Συνδυασμός πολλών bit (Mix Column) Πρόσθεση (XOR) του κλειδιού 4

5 Παράμετροι του AES Αναλόγως το μέγεθος του κλειδιού, χρησιμοποιείται άλλο πλήθος γύρων. Λοιπές παράμετροι, βάσει του μεγέθους του κλειδιού που χρησιμοποιείται, φαίνονται στον ακόλουθο πίνακα: Ο αλγόριθμος αποτελείται από έναν αρχικό απλό γύρο, ακολουθούμενο από άλλους r - 1 τυπικούς γύρους (όπου το r είναι είτε 10 είτε 12 είτε 14, βάσει του ανωτέρω πίνακα), καθώς επίσης και από έναν τελευταίο λίγο διαφορετικό από τους άλλους - γύρο. 5

6 Σχηματικό διάγραμμα του AES PLAINTEXT ROUND 0 ROUND 1 ROUND r - 1 Last_ROUND r Ciphertext Κρυπτογράφηση KEY ROUND 0 KEY ROUND 1 KEY ROUND r-1 KEY ROUND r SECRET KEY EXTENDED_KEY Ο πρώτος γύρος (Round 0) είναι απλά πράξη XOR με το κλειδί Οι υπόλοιποι r-1 γύροι είναι όμοιοι μεταξύ τους και αποτελούνται από τις τέσσερις βασικές λειτουργίες που αναφέρθηκαν νωρίτερα (βλ. και επόμενη διαφάνεια) Ο τελευταίος γύρος είναι λίγο διαφορετικός από τους προηγούμενους r-1 γύρους Το μυστικό κλειδί «επεκτείνεται» με κάποια διαδικασία: από το επεκταμένο κλειδί υπολογίζονται τα υπο-κλειδιά του κάθε γύρου 6

7 Ένας τυπικός γύρος στον AES SUB_BYTES: Αντικατάσταση byte Είσοδος SHIFT_ROWS: Ολίσθηση SUB_BYTES MIX_COLUMNS: Ανάμειξη στηλών SHIFT_ROWS ADD_ROUND_KEY: Πρόσθεση (XOR) του υπο-κλειδιού MIX_COLUMNS ROUND KEY ADD_ROUND KEY Έξοδος Βασική παραδοχή: το κάθε μπλοκ του μηνύματος, μεγέθους 128 bit, εκλαμβάνεται ως ένας 4x4 πίνακας, του οποίου η κάθε θέση είναι ένα byte (8 bit): 4x4x8= 128 Όλες οι παραπάνω πράξεις επιδρούν πάνω σε τέτοιου τύπου «πίνακα» 7

8 S-Box (Sub_bytes) Κάθε byte a i,j μετατρέπεται σε ένα νέο byte b i,j, μέσω μιας ισχυρά μη γραμμικής συνάρτησης. Είναι το μόνο τμήμα του αλγορίθμου που είναι μη γραμμικό, συνεπώς αυτό που καθορίζει σε μεγάλο βαθμό την ασφάλεια. Οι λεπτομέρειες του συγκεκριμένου S-box βασίζονται σε ιδιότητες των πεπερασμένων σωμάτων (δεν θα μελετηθούν εδώ) Αποδεικνύεται πάντως ότι είναι μία ισχυρά μη γραμμική συνάρτηση, που ταυτόχρονα υλοποιείται εύκολα 8

9 Ολίσθηση γραμμών (Shift_Rows) [0,0] [0,1] [0,2] [0,3] [0,0] [0,1] [0,2] [0,3] [1,0] [1,1] [1,2] [1,3] Shift_Rows(..) [1,1] [1,2] [1,3] [1,0] [2,0] [2,1] [2,2] [2,3] [2,2] [2,3] [2,0] [2,1] [3,0] [3,1] [3,2] [3,3] [3,3] [3,0] [3,1] [3,2] Κάθε byte στο block (δηλαδή κάθε θέση στον πίνακα) συμβολίζεται ως H ολίσθηση που συντελείται στο στάδιο Shift_Rows είναι συγκεκριμένη και εικονίζεται στο παραπάνω σχήμα Η πρώτη γραμμή δεν ολισθαίνει καθόλου, η δεύτερη ολισθαίνει κατά μία θέση κ.ο.κ. 9

10 Μείξη στηλών (MixColumn) Κάθε στήλη του πίνακα πολλαπλασιάζεται με έναν κατάλληλο (πάντα σταθερό και συγκεκριμένο) πίνακα C διαστάσεων 4x4 (όπου κάθε στοιχείο του C είναι 1 Byte). Με αυτόν τον τρόπο, η στήλη μεταβάλλεται συνολικά Η MixColumn συνάρτηση είναι αυτή η οποία δεν συντελείται στον τελευταίο γύρο του AES. Κατά τα άλλα, ο τελευταίος γύρος είναι ίδιος με τους υπόλοιπους 10

11 Πρόσθεση υπο-κλειδιού (Add_Round_Key) Πρόσθεση XOR του block με το υπο-κλειδί του τρέχοντος γύρου (το οποίο επίσης εκλαμβάνεται ως πίνακας από byte) Είναι το μόνο σημείο της όλης κρυπτογραφικής διαδικασίας στην οποία υπεισέρχεται το κλειδί! 11

12 Αποκρυπτογράφηση Γίνονται οι αντίστροφοι μετασχηματισμοί κατά σειρά (Inv_Mix_Columns, Inv_Shift_Rows κτλ.) Μόνο η Inv_Add_Round_Key είναι (προφανώς) ίδια με την Add_Round_Key H αποκρυπτογράφηση είναι πιο αργή από την κρυπτογράφηση, και αυτό είναι ένα από τα μειονεκτήματα του AES Ωστόσο: Παραμένει και η αποκρυπτογράφηση σχετικά γρήγορη, συγκριτικά με άλλους αλγορίθμους Η ταχύτητα στην κρυπτογράφηση είναι πιο σημαντική από την ταχύτητα στην αποκρυπτογράφηση, για λόγους που θα εξηγήσουμε στη συνέχεια 12

13 Κρυπτογράφηση vs Αποκρυπτογράφηση Το σχήμα βρίσκεται στο 13

14 Ασφάλεια του AES Αν υπήρχε υπολογιστική μηχανή που, με εξαντλητική αναζήτηση κλειδιών, θα «έσπαγε» τον DES σε 1 δευτερόλεπτο, τότε αυτή η μηχανή θα χρειαζόταν 128 τρισεκατομμύρια χρόνια για να σπάσει τον AES με μήκος κλειδιού 128 bit. Οι σχεδιαστές του AES κατέδειξαν ότι είναι ασφαλής έναντι διαφορικής και γραμμικής κρυπτανάλυσης, καθώς και έναντι άλλων γνωστών κρυπταναλυτικών τεχνικών Μία συζήτηση για την ασφάλεια του AES σήμερα (από το γνωστό κρυπτογράφο Bruce Schneier): 14

15 Μέγεθος του κλειδιού στον AES Τυπική περίπτωση: 128 bit. Το 2009, εμφανίστηκαν κάποιες επιθέσεις που εκμεταλλεύονται το μηχανισμό παραγωγής υποκλειδιών (related-key attacks). Αυτές οι κρυπταναλυτικές επιθέσεις είχαν κάποια αποτελέσματα για μέγεθος κλειδιού 192 και 256 bit (όχι για 128 bit!!) Βέβαια, ήταν αποτελεσματικές για περιορισμένο πλήθος γύρων Βλ. για περισσότερες πληροφορίες Bruce Shneier: ( ) for new applications I suggest that people don't use AES-256. AES-128 provides more than enough security margin for the foreseeable future. But if you're already using AES-256, there's no reason to change ( ) Πλέον, πολλά εμπορικά προϊόντα προχωρούν ένα βήμα περαιτέρω και υλοποιούν τον AES-256 (Βλ bit-aes-keys/ ) 15

16 Σύγκριση DES, 3DES, AES DES 3DES AES Key Length (bits) or , 192, 256 Strength Weak Strong Strong Processing Requirements Moderate High Modest RAM Requirements Moderate High Modest 16

17 Τρόποι λειτουργίας κρυπταλγορίθμων τμήματος Οι κρυπταλγόριθμοι τμήματος (block ciphers) μπορούν να λειτουργήσουν με διάφορους τρόπους (modes of operation) Μέχρι τώρα έχουμε δει μόνο έναν τρόπο Κρυπτογράφηση κάθε τμήματος ξεχωριστά, με εφαρμογή του κλειδιού Υπάρχουν και άλλοι τρόποι, που γενικά ισχύουν για όλους τους κρυπταλγορίθμους τμήματος (DES, 3DES, AES κτλ.) Ο κάθε ένας έχει τα δικά του πλεονεκτήματα Όλοι οι τρόποι (ECB, CBC, CFB, OFB, CTR) περιγράφονται στη συνέχεια 17

18 Τρόπος λειτουργίας ηλεκτρονικού κωδικοβιβλίου Πηγή σχήματος: Menezes et. al., Handbook of Applied Cryptography, CRC Press, 1996 Ηλεκτρονικό κωδικοβιβλίο (Electronic Codebook (ECB) mode): Είναι ο τρόπος που έχουμε δει μέχρι τώρα Το κλειδί κρυπτογραφεί το κάθε block ανεξάρτητα. Δύο ίδια block, για το ίδιο κλειδί κρυπτογράφησης, κρυπτογραφούνται πάντα στο ίδιο block κρυπτοκειμένου. Άρα, δεν συνίσταται σε εφαρμογές όπου υπάρχουν επαναλαμβανόμενα μοτίβα δεδομένων στο αρχικό μήνυμα. Ένα λάθος στη λήψη επηρεάζει την αποκρυπτογράφηση μόνο του συγκεκριμένου block. 18

19 Τρόπος λειτουργίας αλυσιδωτού τμήματος Πηγή σχήματος: Menezes et. al., Handbook of Applied Cryptography, CRC Press, 1996 Cipher block chaining (CBC) mode: Το block του μηνύματος προστίθεται με XOR με το προηγούμενο block του κρυπτοκειμένου, πριν την κρυπτογράφηση. Συνεπώς, δύο όμοια block δεν δίνουν, μετά την κρυπτογράφησή τους με το ίδιο κλειδί, όμοια block κρυπτοκειμένου. Λάθος κατά τη λήψη σε ένα απλό bit του κρυπτοκειμένου θα προκαλέσει λάθος στην αποκρυπτογράφηση δύο διαδοχικών block 19

20 Κρυπταλγόριθμος αλυσιδωτού τμήματος (συνέχεια) Είναι απαραίτητο να υπάρχει ένα block αρχικοποίησης (λέγεται, ειδικότερα, διάνυσμα αρχικοποίησης -IV) για την κρυπτογράφηση του πρώτου block του μηνύματος (αφού δεν υπάρχει κάποιο κρυπτοκείμενο που να έχει ήδη παραχθεί εκείνη τη στιγμή). To IV πρέπει να το γνωρίζουν ο αποστολέας και ο παραλήπτης και να το προστατεύουν (είναι σημαντικό να μην μπορεί να το παραποιήσει κάποιος επιτιθέμενος, ούτε να το μάθει). Για την ασφάλειά του, μπορεί να το μεταδώσει ο ένας στον άλλο με τρόπο λειτουργίας ECB Αναφέραμε ήδη ότι αν συμβεί σφάλμα κατά τη μετάδοση (και, άρα, και στη λήψη) ενός block κρυπτοκειμένου, το σύστημα τελικά, μετά από δύο λανθασμένες αποκρυπτογραφήσεις θα επανέλθει. Αυτό λέγεται ιδιότητα της αυτοεπούλωσης (self healing). Προσέξτε ότι το τελευταίο block του κρυπτοκειμένου που παράγεται «εξαρτάται» τελικά από ολόκληρο το μήνυμα! (βλέπετε γιατί;) Αυτή είναι μία πολύ σημαντική ιδιότητα του CBC, που θα την ανακαλέσουμε στις συναρτήσεις κατακερματισμού (σε επόμενο μάθημα) 20

21 Σύγκριση ECB και CBC τρόπων λειτουργίας Με τον ECB τρόπο λειτουργίας, όμοια patterns στο αρχικό μήνυμα κρυπτογραφούνται σε όμοια patterns στο κρυπτοκείμενο. Αυτό δεν ισχύει στον CBC τρόπο λειτουργίας ΠΕΣ 621 Κρυπτογραφία Κωνσταντίνος Λιμνιώτης Πηγή: B. Preneel s presentation, MITACS

22 CBC Τρόπος λειτουργίας Επίθεση bit flipping P i-1 P i e K e K Κρυπτογράφηση C i-1 C i C i-1 C i Αποκρυπτογράφηση d K d K P i-1 P i Μεταβολή στο C i-1 προκαλεί άμεσα μεταβολή στο P i-1 και στο P i Όμως, ειδικά για τη μεταβολή στο Pi, αυτή είναι πλήρως συγκεκριμένη! 22

23 Τεχνική «Bit Flipping» Μεταβολή π.χ. στο 5 ο bit του κρυπτογραφημένου block C i-1 οδηγεί σε: Απρόβλεπτη μεταβολή στο P i-1 που θα ανακτήσει ο παραλήπτης Μεταβολή ακριβώς στο 5 ο bit στο P i που θα ανακτήσει ο παραλήπτης Μεταβολή bits C i-1 C i d K d K P i-1 P i οδηγεί σε μεταβολή bits εδώ 23

24 Περιγραφή της επίθεσης bit flipping O επιτιθέμενος μπορεί να «πειράξει» κατάλληλα κάποια bit του C i-1 έτσι ώστε να «επηρεάσει ελεγχόμενα» το block P i που θα ανακτήσει ο νόμιμος παραλήπτης (δηλ. να εισάγει ελεγχόμενες μεταβολές στο μήνυμα που θα ανακτήσει ο νόμιμος παραλήπτης) Μεταβολή bits C i-1 C i d K d K P i-1 P i «Τυχαίο» block οδηγεί σε μεταβολή bits εδώ 24

25 Εφαρμογή της τεχνικής bit flipping στο πρωτόκολλο ασφαλείας IPSec Paterson και Yau (Eurocrypt, 2006): Υποθέτουμε ότι ο επιτιθέμενος γνωρίζει την IP διεύθυνση προορισμού του μεταδιδόμενου IP πακέτου Ο επιτιθέμενος μπορεί να τροποποιήσει κατάλληλα κάποια συγκεκριμένα bit του κρυπτογραφημένου πακέτου (εκείνα που αντιστοιχούν στην IP διεύθυνση του παραλήπτη του πακέτου), έτσι ώστε όταν η gateway ενός Εικονικού Δικτύου λάβει το πακέτο και το αποκρυπτογραφήσει, να το προωθήσει (αποκρυπτογραφημένο πια) σε λάθος διεύθυνση στο εσωτερικό δίκτυο στη διεύθυνση του επιτιθέμενου!! Ακόμα και αν το πακέτο έχει κρυπτογραφηθεί με τον AES, δεν είμαστε ασφαλείς!! Είναι απαραίτητο λοιπόν να διασφαλίζεται η ακεραιότητα του κρυπτοκειμένου που λαμβάνεται (δηλ. ότι δεν έχει τροποποιηθεί και ότι παρελήφθη αυτούσιο) Σε διάφορες υλοποιήσεις του IPSec (το οποίο είναι ένα πολύ σημαντικό πρωτόκολλο ασφαλείας), για λόγους απλότητας, η ακεραιότητα του λαμβανομένου κρυπτοκειμένου δεν ελέγχεται 25

26 Το τέλος του SSLv3 Poodle Attack Οκτώβριος 2014: Επίθεση που εκμεταλλεύεται τις CBC υλοποιήσεις κρυπταλγορίθμων τμήματος στο πρωτόκολλο SSL (με το όνομα Poodle) Η αδυναμία έγκειται στη διαδικασία συμπλήρωσης (padding), η οποία είναι διαφορετική στο SSL από ό,τι στα νεότερα πρωτόκολλα TLS Στο SSL, το padding bits μπορεί να είναι αυθαίρετα, άρα ο παραλήπτης δεν μπορεί να αναγνωρίσει τυχόν παραποίησή τους Αυτό δεν ισχύει στο TLS Η επίθεση αυτή δεν μπορεί να εφαρμοστεί στην περίπτωση που το SSL υλοποιεί, αντί για αλγόριθμο τμήματος, αλγόριθμο ροής (RC4 είναι η μόνη περίπτωση), αλλά και εκεί έχουμε ήδη γνωστή άλλη πρόσφατη επίθεση στο SSL (βλ. μάθημα 5, διαφάνεια 31). Άρα, η μόνη λύση: χρήση TLS (που να μην υλοποιεί RC4) Από τη μεριά των χρηστών: απενεργοποίηση της δυνατότητας υλοποίησης του SSL από τους browsers Σχετικές οδηγίες: Για αναλυτική, και (σχετικά) απλή περιγραφή της επίθεσης: (για την πλήρη κατανόησή της απαιτείται να είναι σαφής και η έννοια του MAC, που θα καλυφθεί σε επόμενα μαθήματα) 26

27 Τρόπος λειτουργίας ανάδρασης κρυπταλγορίθμου Cipher Feedback (CFB) mode: Τα δεδομένα κρυπτογραφούνται s bits τη φορά. Επιλογή s bit Επιλογή s bit Υπάρχει ένας καταχωρητής ολίσθησης, μεγέθους όσο το μέγεθος του μπλοκ. Κάθε χρονική στιγμή, τα περιεχόμενα του καταχωρητή ολίσθησης κρυπτογραφούνται: από το αποτέλεσμα που προκύπτει, τα s αριστερότερα bits γίνονται xor με τα s bits του μηνύματος και προκύπτουν s bits κρυπτοκειμένου. Αυτά Επιλογή s bit Επιλογή s bit για την επόμενη χρονική στιγμή πηγαίνουν στον καταχωρητή ολίσθησης, ο οποίος για να μπορεί να τα «χωρέσει» αποβάλλει τα s αριστερότερά του bits. 27

28 Aνάδραση κρυπταλγορίθμου - Ιδιότητες Μειώνεται η απόδοση (throughput) του συστήματος σε σχέση με το CBC κατά έναν παράγοντα n/s (όπου n το πλήθος bits του block). Λάθος σε ένα bit του κρυπτοκειμένου επηρεάζει το πολύ τις επόμενες [n/s] αποκρυπτογραφήσεις το πολύ για [n/s] χρονικές στιγμές θα παραμείνει στον καταχωρητή το λανθασμένο bit, άρα τόσες αποκρυπτογραφήσεις θα είναι λανθασμένες. Δεν χρησιμοποιείται πουθενά η αποκρυπτογράφηση του αλγορίθμου!! 28

29 Τρόπος λειτουργίας ανάδρασης εξόδου Πηγή σχήματος: Output Feedback (OFB) mode: Σχεδόν όμοιος με τον CFB, με τη διαφορά ότι στην επόμενη βαθμίδα τροφοδοτείται η έξοδος της συνάρτησης κρυπτογράφησης E k και όχι το κρυπτοκείμενο. Πλέον τροφοδοτείται ολόκληρη η έξοδος της Ek (και όχι τα s bits, όπως ίσχυε παλαιότερα, κατ αναλογία με τον CFB) Μοιάζει πολύ με κρυπταλγόριθμο ροής!!! 29

30 Ανάδραση εξόδου- Ιδιότητες Πλεονέκτημα: Σφάλμα σε ένα bit του C i δεν επηρεάζει επόμενη αποκρυπτογράφηση Όπως και στον CFB, δεν χρησιμοποιείται πουθενά η αποκρυπτογράφηση του αλγορίθμου Σε πολλές εφαρμογές που απαιτείται stream cipher (π.χ. ασύρματα δίκτυα), επιλέγεται κάποιος block cipher υψηλής ταχύτητας (π.χ. ο AES) σε τρόπο λειτουργίας OFB 30

31 Τρόπος λειτουργίας μετρητή Τιμή μετρητή (v) Τιμή μετρητή (v+1) Τιμή μετρητή (v) Τιμή μετρητή (v+1) CounTeR mode (CTR): Χρησιμοποιείται μετρητής μήκους n, όπου n το μέγεθος του block. Ο αλγόριθμος τμήματος κρυπτογραφεί κάθε φορά το περιεχόμενο του μετρητή, και η έξοδός του γίνεται XOR με το τμήμα του μηνύματος. Ο μετρητής ξεκινά τη μέτρηση από μία τυχαία αρχική τιμή (IV). Επίσης δεν χρησιμοποιείται πουθενά το κύκλωμα της αποκρυπτογράφησης 31

32 Συζήτηση / Σχόλια Στους τρεις από τους πέντε τρόπους, δεν χρειάζεται το κύκλωμα της αποκρυπτογράφησης Είναι σημαντικό πλεονέκτημα ως προς την υλοποίηση Κάθε τρόπος λειτουργίας προσφέρεται για συγκεκριμένες εφαρμογές Θεωρούνται, γενικώς, καλύτεροι οι CFB, OFB, CTR, ενώ ο CBC αποτελεί καλή επιλογή για συνάρτηση κατακερματισμού (βλ. επόμενα μαθήματα) Όλοι έχουν προτυποποιηθεί από τον οργανισμό τυποποίησης NIST Ο ECB πρέπει να αποφεύγεται (μπορεί να χρησιμοποιηθεί για την κρυπτογράφηση μηνύματος που αποτελείται από ένα μόνο block) Ο τρόπος λειτουργίας μετρητή προσφέρεται για παράλληλη επεξεργασία 32

33 Άλλοι σημαντικοί κρυπταλγόριθμοι τμήματος Εκτός από τους τελικούς υποψήφιους (finalist) για προτυποποίηση MARS, RC6, Serpent, Twofish (οι οποίοι παραμένουν ασφαλείς): Blowfish (προπομπός του Twofish) CAST (είναι δομής Feistel) GOST («αντίπαλο δέος» του DES για πολλά χρόνια) IDEA (Προτάθηκε το 1991, με απώτερο στόχο να αντικαταστήσει τον DES) SAFER (είχε προταθεί για πιθανή επιλογή ως AES) Skipjack (χρησιμοποιήθηκε στην κρυπτογραφική συσκευή clipper chip) 33

34 Άλλες κρυπταναλυτικές τεχνικές Αλγεβρικές επιθέσεις (algebraic attacks) Αντίστοιχα με τους κρυπταλγόριθμους ροής Έπληξαν τον αλγόριθμο KeeLoq (για συναγερμούς αυτοκινήτων) Μη γραμμική κρυπτανάλυση (nonlinear cryptanalysis) Γενίκευση της γραμμικής, με προσεγγίσεις χαμηλού βαθμού (όχι απαραίτητα γραμμικές) Επιθέσεις παρεμβολής (interpolation attacks) Επιθέσεις Boomerang (Boomerang attacks) Επιθέσεις πολυ-συνόλων (Multiset attacks) 34

35 Διαχείριση μυστικών κλειδιών Στους συμμετρικούς αλγορίθμους (stream ciphers και block ciphers) η ασφάλεια έγκειται στη μυστικότητα του κλειδιού Η διαχείριση του κλειδιού (δημιουργία και ασφαλής διανομή) είναι ιδιαίτερα σημαντική Για ασφαλή διανομή του κλειδιού: Μέσω ασφαλούς καναλιού (υπάρχει?) Μέσω κρυπτογράφησης (με άλλον αλγόριθμο τι κλειδί θα χρησιμοποιηθεί;) Με έμπιστη τρίτη οντότητα Κέντρα κατανομής κλειδιού (Key Distribution Centers - KDCs): παίζουν ρόλο «διαιτητή» στην ανταλλαγή κλειδιών μεταξύ των χρηστών. Βασικό σύστημα ανταλλαγής κλειδιού με KDC που χρησιμοποιείται στην πράξη: Kerberos ( 35

36 Ανταλλαγή κλειδιού με αλγόριθμο κρυπτογράφησης Χρησιμοποιείται άλλη κατηγορία αλγορίθμου κρυπτογράφησης Κρυπτογράφηση Δημοσίου Κλειδιού (Public Key Encryption) Τελείως άλλη φιλοσοφία και αρχές σχεδίασης Για να σταλεί μία μυστική πληροφορία με ασφάλεια, δεν απαιτείται η εκ των προτέρων ασφαλής ανταλλαγή κάποιου κλειδιού Προτάθηκαν στα τέλη του 1970 Μελετώνται στο επόμενο μάθημα 36

37 Αρχές διαχείρισης κλειδιού Για μείωση της πιθανότητας υποκλοπής/απώλειας Συχνή αντικατάσταση των κλειδιών Γέννηση νέων κλειδιών με χρήση των παλιών, κάνοντας χρήση κάποιας κατάλληλης μαθηματικής συνάρτησης που να παρέχει ασφάλεια (π.χ. με συνάρτηση κατακερματισμού Hardware (και όχι software) προστασία Για μείωση της πιθανότητας να προσποιηθεί κάποιος ότι είναι κάποιος άλλος Χρήση τεχνικών αμοιβαίας πιστοποίησης ταυτότητας (αυθεντικοποίησης) όταν ανταλλάσσεται το κλειδί 37

38 Άρθρα / Βιβλιογραφία AES Submission Document on Rijndael, J. Daemen and V. Rijmen, Sept AES Security Report, ECRYPT D.STVL.2, ECRYPT Deliverable, Cryptography and theory in practice: The case of encryption in IPSec, K. G. Paterson and A. K. L. Yau, Eurocrypt 2006, Springer, pp , Key Recovery Attacks of Practical Complexity on AES Variants With Up To 10 Rounds, A. Biryukov, O. Dunkelman, N. Keller, D. Khovratovich and A. Shamir, Cryptology eprint Archive ( Πλήθος άρθρων σχετικά με τον AES εμφανίζονται κάθε χρόνο σε μεγάλα συνέδρια κρυπτογραφίας (Crypto, Eurocrypt, Asiacrypt, Indocrypt, Fast Software Encryption - FSE, Theory of Cryptography - TCC κτλ.) 38

39 Προτεινόμενη βιβλιογραφία Τα βασικά θέματα που καλύφθηκαν στο μάθημα αυτό περιγράφονται και στην προτεινόμενη βιβλιογραφία Handbook of Applied Cryptography Κεφ. 7 (7.2.2) Σύγχρονη κρυπτογραφία: Θεωρία και εφαρμογές Κεφ. 7 ( ) Κρυπτογραφία και ασφάλεια δικτύων: Αρχές και εφαρμογές Κεφ. 5, Κεφ. 6 (6.2) Τεχνικές κρυπτογραφίας και κρυπτανάλυσης Κεφ. 5 ( , 5.2.5) ΠΕΣ 621 Κρυπτογραφία Κωνσταντίνος Λιμνιώτης 39