Μελέτη και υλοποίηση σε γλώσσα C++ του κρυπτογραφικού αλγορίθμου AES

Transcript

1 ΑΡΙΣΤΟΤΕΛΕΙΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΘΕΣΣΑΛΟΝΙΚΗΣ ΠΟΛΥΤΕΧΝΙΚΗ ΣΧΟΛΗ ΤΜΗΜΑ ΗΛΕΚΤΡΟΛΟΓΩΝ ΜΗΧΑΝΙΚΩΝ ΚΑΙ ΜΗΧΑΝΙΚΩΝ ΥΠΟΛΟΓΙΣΤΩΝ ΤΟΜΕΑΣ ΗΛΕΚΤΡΟΝΙΚΗΣ ΥΠΟΛΟΓΙΣΤΩΝ Μελέτη και υλοποίηση σε γλώσσα C++ του κρυπτογραφικού αλγορίθμου AES ΔΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ του Κωνσταντίνου Α. Καραγιαννίδη (ΑΕΜ: 4769) Επιβλέπων: Σταύρος Π. Δοκουζγιάννης Επίκουρος Καθηγητής Θεσσαλονίκη, Ιανουάριος 29

2

3 Μελέτη και υλοποίηση σε γλώσσα C++ του κρυπτογραφικού αλγορίθμου AES Διπλωματική εργασία στο ΤΗΜΜΥ / ΠΣΑΠΘ του Κωνσταντίνου Α. Καραγιαννίδη

4

5 ΠΡΟΛΟΓΟΣ Η κρυπτογραφία είναι μία επιστήμη-τέχνη, σύμφυτη διαχρονικώς, με την ανάγκη του ανθρώπου να προστατεύσει «ευαίσθητες» πληροφορίες κατά την επικοινωνία του με άλλους. Μεγάλη εξέλιξη γνώρισε κατά τον Β Παγκόσμιο Πόλεμο και κυρίως μετά, εξ αιτίας της αλματώδους αναπτύξεως υπολογιστικών συστημάτων. Η δυνατότητα ταχείας εκτελέσεως μαθηματικών υπολογισμών από τους Η/Υ επιβάλλει την καθιέρωση ο- λοένα πολυπλοκότερων πρωτοκόλλων ασφαλούς επικοινωνίας. Το 977 υιοθετείται από τις κρατικές υπηρεσίες των ΗΠΑ ο κρυπτογραφικός αλγόριθμος DES (Data Encryption Standard), για την χρήση του στην ανταλλαγή μη διαβαθμισμένων (unclassified) πληροφοριών. Ο DES έγινε το πρώτο διεθνώς αποδεκτό πρότυπο κρυπτογραφημένης επικοινωνίας. Στις αρχές της δεκαετίας του 99, το επίπεδο ασφαλείας που παρείχε ο DES ήταν ήδη παρωχημένο. Έτσι, κατόπιν διεθνούς διαγωνισμού, οδηγηθήκαμε το 2 στην επίσημη αντικατάσταση του DES από τον κρυπτογραφικό αλγόριθμο AES (Advanced Encryption Standard), η χρήση του οποίου έχει καθιερωθεί, πλέον, σε ένα ευρύτατο φάσμα εφαρμογών. Η παρούσα εργασία στοχεύει αφ ενός στην θεωρητική μελέτη του κρυπτογραφικού αλγορίθμου AES, αφ ετέρου στην υλοποίησή του με την γλώσσα προγραμματισμού C++, ώστε το παραχθέν λογισμικό να χρησιμοποιηθεί στο εργαστήριο του μαθήματος «Ψηφιακά Συστήματα ΙΙΙ». Η ανάπτυξη του λογισμικού έγινε με το προγραμματιστικό πακέτο Borland C++ Builder 6. Enterprise Trial Version (δοκιμαστική έκδοση 3 ημερών). Ολοκληρώνοντας το προλογικό αυτό σημείωμα, θεωρώ υποχρέωσή μου να ευχαριστήσω τον επιβλέποντα της διπλωματικής εργασίας, επίκουρο καθηγητή κύριο Σταύρο Δοκουζγιάννη, που μου έδωσε την ευκαιρία να ασχοληθώ με ένα άκρως ενδιαφέρον θέμα και με βοήθησε στην διεκπεραίωσή του. Κων/νος Α. Καραγιαννίδης Θεσσαλονίκη, Ιανουάριος 29 i

6 ii

7 ΠΕΡΙΕΧΟΜΕΝΑ. Εισαγωγή στην κρυπτογραφία Βασικές έννοιες. Θεμελιώδεις ορισμοί.2 Κρυπτογραφικές υπηρεσίες 2.3 Ασφάλεια κρυπτοσυστημάτων 3.3. Μοντέλα ασφαλείας Είδη κρυπταναλυτικών επιθέσεων Σχεδίαση ασφαλών κρυπτοσυστημάτων 5.4 Κατηγοριοποίηση κρυπτογραφίας 7.4. Συμμετρική (Symmetric) κρυπτογραφία Κρυπταλγόριθμοι Ροής (Stream Ciphers) Κρυπταλγόριθμοι Τμήματος (Block Ciphers) Ασύμμετρη (Asymmetric) κρυπτογραφία.4.3 Κβαντική (Quantum) κρυπτογραφία.5 Κρυπτογραφικές πράξεις και συναρτήσεις 4.5. Κατηγορίες κρυπτογραφικών πράξεων Κρυπτογράφηση γινομένου Δίκτυα Αντικαταστάσεως Μεταθέσεως (SPN) Συναρτήσεις αντικαταστάσεως & μεταθέσεως Δομή SPN Παράδειγμα Δίκτυα Feistel 8 2. Απαραίτητο μαθηματικό υπόβαθρο 9 2. Θεμελιώδεις έννοιες θεωρίας αριθμών Αλγεβρικές δομές Αριθμητική υπολοίπων (modular) Πεπερασμένα σώματα και πολυώνυμα Βασικές έννοιες θεωρίας πολυωνύμων Πολυώνυμα ορισμένα επί σωμάτων Αναπαράσταση ytes με πολυώνυμα επί του GF(2) Αναπαράσταση ομάδων ytes με πολυώνυμα επί του GF(2 8 ) 29 iii

8 3. Ο κρυπταλγόριθμος AES Ιστορικό εξελίξεως Βασικά χαρακτηριστικά του AES Συναρτήσεις του AES Η συνάρτηση SuBytes Η συνάρτηση ShiftRows Η συνάρτηση MixColumns Η συνάρτηση AddRoundKey Επέκταση κλειδιού Κρυπτογράφηση και αποκρυπτογράφηση Αλγόριθμος κρυπτογραφήσεως Αλγόριθμος ευθείας αποκρυπτογραφήσεως Αλγόριθμος ισοδυνάμου αποκρυπτογραφήσεως Συγκεντρωτικό διάγραμμα αλγορίθμων Παρουσίαση διαδικασίας κρυπτογραφήσεως μέσω παραδείγματος Ζητήματα ασφαλείας και κρυπταναλύσεως Κριτήρια ασφαλείας Αντοχή του AES σε γραμμική και διαφορική κρυπτανάλυση Αντοχή του AES σε άλλα είδη επιθέσεων Εξαντλητική αναζήτηση κλειδιού του AES Συνοπτική σύγκριση του AES με τον DES Υλοποιήσεις του AES Ζητήματα ασφαλείας υλοποιήσεων Επιθέσεις χρονισμού Ανάλυση ισχύος Υλοποίηση σε πλατφόρμες υλικού (hardware) Πλατφόρμες επεξεργαστών των 8 its Πλατφόρμες επεξεργαστών των 32 its Άλλες πλατφόρμες Γενική υλοποίηση σε γλώσσα C Περιγραφή της κλάσεως aes_cipher Περιγραφή προγράμματος υλοποιήσεως AES Περιγραφή προγράμματος ελέγχου AES 69 iv

9 5. Ανακεφαλαίωση 7 Παραρτήματα Α. Υπολογισμός βάσει πινάκων αναφοράς του πολλαπλασιασμού δύο ytes στο GF(2 8 ) Β. Πίνακες αναφοράς για τον υπολογισμό των S RD και S RD - 77 Γ. Παράδειγμα εφαρμογής του AES στην κρυπτογράφηση με κλειδί των 28 its Δ. Κώδικας λογισμικού του AES σε γλώσσα C++ (Standard) Βιβλιογραφία 97 v

10 vi

11 ΚΕΦΑΛΑΙΟ Εισαγωγή στην Κρυπτογραφία Βασικές έννοιες. Θεμελιώδεις ορισμοί Ο κλασικός ορισμός για την κρυπτογραφία, την περιγράφει ως την επιστήμη που μελετά τον μετασχηματισμό πληροφοριών σε ακατάληπτη από τον άνθρωπο μορφή. Ο Ronald L. Rivest (ένας εκ των δημιουργών του κρυπτογραφικού αλγορίθμου RSA), όρισε την κρυπτογραφία, το 99, ως την επιστήμη που ασχολείται με την επικοινωνία παρουσία αντιπάλου (adversary). Ο ορισμός του Rivest είναι ιδιαιτέρως σημαντικός διότι για πρώτη φορά εισάγει την έννοια του αντιπάλου. Κρυπτογράφηση (encryption) καλείται η διαδικασία μετατροπής της αρχικής πληροφορίας σε ακατανόητη από τον άνθρωπο μορφή. Η αντίστροφη διαδικασία, δηλαδή η ανάκτηση της αρχικής πληροφορίας ονομάζεται αποκρυπτογράφηση (decryption). Η αρχική πληροφορία αποτελεί το απλό κείμενο (plaintext), ενώ η πληροφορία που έχει υποστεί την διαδικασία της κρυπτογραφήσεως αποτελεί το κρυπτοκείμενο (ciphertext). Η διαδικασία της (απο)κρυπτογραφήσεως υλοποιείται από κάποιον αλγόριθμο. Ο συνδυασμός του αλγορίθμου κρυπτογραφήσεως και του αλγορίθμου αποκρυπτογραφήσεως απαρτίζει τον κρυπτογραφικό αλγόριθμο ή κρυπταλγόριθμο (cipher). Εκτός από το απλό κείμενο ή το κρυπτοκείμενο, για να πραγματοποιήσει ο κρυπταλγόριθμος την (απο)κρυπτογράφηση, απαιτείται ως όρισμα και πλεονάζουσα πληροφορία, η οποία ονομάζεται κλειδί (key).

12 Κρυπτοσύστημα ονομάζουμε το σύνολο των διαδικασιών κρυπτογραφήσεως και αποκρυπτογραφήσεως μαζί με τα αντίστοιχα κλειδιά. Κρυπτανάλυση είναι η προσπάθεια αποκρυπτογραφήσεως του κρυπτοκειμένου, χωρίς την γνώση του κλειδιού, ή άλλως, η προσπάθεια ευρέσεως του κλειδιού που χρησιμοποιήθηκε για την κρυπτογράφηση ενός κειμένου. Συχνά, συναντάται και ο όρος κρυπτολογία, που είναι ευρύτερος, και αφορά και στην κρυπτογραφία (με την κλασική έννοια) και στην κρυπτανάλυση. Οι διαδικασίες της κρυπτογραφήσεως και της αποκρυπτογραφήσεως μπορούν να παρασταθούν, ισοδυνάμως, είτε χρησιμοποιώντας μαθηματικές σχέσεις, είτε σχηματικώς, όπως φαίνεται στον επόμενο πίνακα. Στην παρούσα εργασία προτιμώνται, πάντως, οι μαθηματικές παραστάσεις. Μαθηματική παράσταση Συμβολική παράσταση Κρυπτογράφηση c = e ( p) k p e c k Αποκρυπτογράφηση p = d ( c) k c d p k ΣΥΜΒΟΛΟΛΟΓΙΑ p : Αρχικό κείμενο c : Κρυπτοκείμενο k : Κλειδί e : Συνάρτηση κρυπτογραφήσεως d : Συνάρτηση αποκρυπτογραφήσεως.2 Κρυπτογραφικές υπηρεσίες Με τον όρο κρυπτογραφικές υπηρεσίες, εννοούμε τους σκοπούς που υπηρετεί η κρυπτογραφία, οι οποίοι είναι: 2

13 Εμπιστευτικότητα (confidentiality) Η προστασία της πληροφορίας από μη εξουσιοδοτημένη πρόσβαση και αποκάλυψη. Να τονισθεί ότι η έννοια της εμπιστευτικότητος δεν αναφέρεται μόνο στην προστασία του περιεχομένου της πληροφορίας αλλά και στην απόκρυψη της υπάρξεως της πληροφορίας. Ακεραιότητα (integrity) Η προστασία από μη εξουσιοδοτημένη τροποποίηση του περιεχομένου της πληροφορίας. Ακόμη και εάν η αρχική πληροφορία αλλοιωθεί, ο εξουσιοδοτημένος παραλήπτης θα πρέπει να είναι σε θέση να αντιληφθεί τις αλλαγές. Είναι έννοια αντίστοιχη με την ανίχνευση σφαλμάτων σε σήμα που μεταδίδεται μέσω καναλιού με θόρυβο. Αυθεντικοποίηση (authentication) Η επιβεβαίωση της ταυτότητος της οντότητος με την οποία επικοινωνούμε. Μη απάρνηση (non repudiation) Η αδυναμία του παραλήπτη να αρνηθεί την λήψη πληροφορίας και του αποστολέα να αρνηθεί την αποστολή πληροφορίας..3 Ασφάλεια κρυπτοσυστημάτων Θεμελιώδες ζήτημα κατά την μελέτη ενός κρυπτοσυστήματος είναι το πόσο ασφαλές είναι έναντι επιθέσεων από αντιπάλους..3. Μοντέλα ασφαλείας Επειδή η έννοια «ασφάλεια» είναι υποκειμενική, έχουν καθιερωθεί διάφορα μοντέλα ώστε να μπορεί να αξιολογηθεί όσο το δυνατόν αντικειμενικότερα ένα κρυπτοσύστημα. Ασφάλεια άνευ όρων Το μοντέλο αυτό είναι θεωρητικό και ισχύει όταν το κρυπτοκείμενο δεν μπορεί να παράσχει καμία πληροφορία στον αντίπαλο για το αρχικό κείμενο, ακόμη και εάν ο αντίπαλος διαθέτει άπειρη υπολογιστική ισχύ. Το διετύπωσε ο Shannon και εξετάζει την ασφάλεια ενός κρυπτοσυστήματος υπό το πρίσμα της θεωρίας της πληροφορίας, κατά την οποία ένα κρυπτοσύστημα είναι άνευ ό- ρων ασφαλές, εάν η πιθανότητα να «σπάσει» το κρυπτοκείμενο ο αντίπαλος δεν μεταβάλλεται όταν αυτός έχει την λύση για ένα τμήμα του κρυπτοκειμένου. 3

14 Υπολογιστική ασφάλεια Το μοντέλο αυτό σχετίζεται με την υπολογιστική ισχύ που διαθέτει ο αντίπαλος. Το κρυπτοσύστημα θεωρείται ασφαλές όταν η υπολογιστική ισχύς του α- ντιπάλου δεν είναι αρκετή για να «σπάσει» το κρυπτοκείμενο, ή όταν η υπολογιστική ισχύς του αντιπάλου δεν του εξασφαλίζει λύση σε λογικό χρονικό διάστημα. Το μοντέλο αυτό θεωρεί ότι ο αντίπαλος χρησιμοποιεί για το «σπάσιμο» του κρυπτοσυστήματος την τεχνική της εξαντλητικής αναζητήσεως, κατά την οποία δοκιμάζονται όλα τα πιθανά κλειδιά (Στην τεχνική αυτή, η αναμενόμενη τιμή για τον χρόνο που θα χρειαστεί έως το «σπάσιμο» του κρυπτοσυστήματος είναι ανάλογη του μισού του συνολικού αριθμού κλειδιών). Το μοντέλο αυτό, ωστόσο, δεν θεωρείται ικανοποιητικό, παρά για συγκεκριμένο χρονικό διάστημα, καθώς η υπολογιστική ισχύς αυξάνεται ραγδαίως, ενώ α- ναπτύσσονται και εναλλακτικοί αλγόριθμοι «σπασίματος», που μειώνουν τον απαιτούμενο χρόνο της αναζητήσεως του κλειδιού. Ασφάλεια θεωρητικής πολυπλοκότητος Κατά το μοντέλο αυτό, οι παράμετροι ασφαλείας του κρυπτοσυστήματος εκφράζονται πολυωνυμικώς ως προς τον χρόνο και τον χώρο. Η ανάλυση ενός κρυπτοσυστήματος βάσει του μοντέλου αυτού έχει μόνον θεωρητική και καθόλου πρακτική αξία. Αποδείξιμη ασφάλεια Ένα σύστημα έχει αποδείξιμη ασφάλεια, όταν η ασφάλειά του είναι ισοδύναμη (μέσω κάποιου μαθηματικού μετασχηματισμού) με δεδομένο και αποδεδειγμένως δυσεπίλυτο μαθηματικό πρόβλημα, όπως επί παραδείγματι η παραγοντοποίηση μεγάλων πρώτων αριθμών. Η αποδείξιμη ασφάλεια είναι αντίστοιχη με την υπολογιστική ασφάλεια, καθώς δεν αποκλείει την μελλοντική απλοποίηση της επιλύσεως του δεδομένου προβλήματος..3.2 Είδη κρυπταναλυτικών επιθέσεων Ο κρυπταναλυτής έχει την δυνατότητα να επιτεθεί σε ένα κρυπτοσύστημα, προκειμένου να το «σπάσει», με διάφορες μεθόδους: Επίθεση στο κρυπτοκείμενο Ο αντίπαλος έχει πρόσβαση σε μέρος του κρυπτοκειμένου και προσπαθεί είτε να αποκρυπτογραφήσει το συγκεκριμένο κρυπτοκείμενο είτε να ανακαλύψει το κλειδί. Επίθεση με γνωστό απλό κείμενο 4

15 Ο αντίπαλος γνωρίζει αντιστοιχίες απλού κειμένου και κρυπτοκειμένου και προσπαθεί να ανακαλύψει το κλειδί. Επίθεση με επιλεγμένο απλό κείμενο Ο αντίπαλος έχει πρόσβαση στο κρυπτοσύστημα, αλλά δεν γνωρίζει το κλειδί, το οποίο προσπαθεί να ανακαλύψει παρατηρώντας τις αντιστοιχίες του απλού κειμένου που κρυπτογραφεί και του κρυπτοκειμένου που προκύπτει. Επίθεση προσαρμόσιμου επιλεγμένου απλού κειμένου Η διαφορά με την επίθεση με επιλεγμένο απλό κείμενο είναι ότι το απλό κείμενο, που κρυπτογραφείται κάθε φορά, εξαρτάται, βάσει κάποιου αλγορίθμου, από τα απλά κείμενα που έχουν κρυπτογραφηθεί προηγουμένως. Επίθεση με επιλεγμένο κρυπτοκείμενο Ο αντίπαλος έχει πρόσβαση μόνον στον αλγόριθμο αποκρυπτογραφήσεως και όχι σε όλο το κρυπτοσύστημα. Προσπαθεί να ανακαλύψει το κλειδί αποκρυπτογραφήσεως ζητώντας κάθε φορά την αποκρυπτογράφηση συγκεκριμένου κρυπτοκειμένου. Στην συμμετρική κρυπτογραφία (όπου τα κλειδιά κρυπτογραφήσεως και αποκρυπτογραφήσεως ταυτίζονται) αυτό το είδος επιθέσεως δεν διαφέρει από την επίθεση με επιλεγμένο απλό κείμενο. Επίθεση προσαρμόσιμου επιλεγμένου κρυπτοκειμένου Αντίστοιχη μέθοδος της επιθέσεως προσαρμόσιμου επιλεγμένου απλού κειμένου για την επίθεση με επιλεγμένο κρυπτοκείμενο..3.3 Σχεδίαση ασφαλών κρυπτοσυστημάτων Κατά την σχεδίαση ενός κρυπτοσυστήματος λαμβάνονται υπ όψιν κάποιες αρχές που διασφαλίζουν την αντοχή του απέναντι σε κρυπταναλυτικές επιθέσεις. Το 883, ο Φλαμανδός κρυπτογράφος Auguste Kerckhoff (να μην συγχέεται με τον Gustav Kirchhoff, ο οποίος μελέτησε τα ηλεκτρικά κυκλώματα) διετύπωσε 6 αρχές για την σχεδίαση κρυπτογραφικών αλγορίθμων. Η 2 η από αυτές ήταν η σπουδαιότερη, η οποία κατεγράφη στην βιβλιογραφία ως η αρχή του Kerchoff: «Η ασφάλεια ενός κρυπτοσυστήματος δεν πρέπει να εξαρτάται από την μυστικότητα του κρυπταλγορίθμου, παρά μόνον από την μυστικότητα του κλειδιού.» Η αρχή του Kerckhoff είναι θεμελιώδης, διότι εάν ένα κρυπτοσύστημα βασιζόταν μόνο στην μυστικότητα του, η αποκάλυψή του θα οδηγούσε στην κατάρρευση του, καθώς θα ήταν αρκετά δύσκολο το κρυπτοσύστημα να τροποποιηθεί. Αντιθέτως, α- κόμη και εάν ο αντίπαλος ανακαλύψει το κλειδί ενός αλγορίθμου που βασίζεται στην 5

16 εν λόγω αρχή, η αντικατάσταση του κλειδιού αποκαθιστά την ασφάλεια του κρυπτοσυστήματος. Σε πολλά κρυπτοσυστήματα, μάλιστα, τα κλειδιά αλλάζουν κατά τακτά χρονικά διαστήματα. Το πλεονέκτημα των κρυπτοσυστημάτων που βασίζονται στην αρχή του Kerckhoff είναι ανάλογο των πλεονεκτημάτων που έχουν τα λογισμικά ανοικτού κώδικος. Δηλαδή, το κρυπτοσύστημα υπόκειται σε εκτεταμένες δοκιμές και υφίσταται μεγάλο αριθμό δοκιμαστικών επιθέσεων ώστε να διαπιστωθεί ο πραγματικός βαθμός ασφαλείας που παρέχει. Αντιθέτως στα μυστικά κρυπτοσυστήματα η αποκάλυψη των αδυναμιών τους συμβαίνει με την κατάρρευσή τους. Αξίζει να σημειωθεί, πάντως, ότι α- κόμη και σήμερα οι κρυπταλγόριθμοι που χρησιμοποιούνται σε στρατιωτικές επικοινωνίες, η γενικότερα σε κρατικές υπηρεσίες, χαρακτηρίζονται από μυστικότητα. Το 949, ο Claude Shannon διετύπωσε 5 μέτρα αξιολογήσεως μίας ορθής σχεδιάσεως ενός κρυπταλγορίθμου, τα οποία είναι γνωστά ως τα μέτρα του Shannon και αφορούν στα βασικά σημεία ενός αλγορίθμου:. Βαθμός απαιτούμενης κρυπτογραφικής ασφαλείας: Το κέρδος του αντίπαλου σε πληροφορία από την παρατήρηση του κρυπτοκειμένου. 2. Μήκος κλειδιού: Η ευκολία χειρισμού του κλειδιού. 3. Πρακτική εκτέλεση (απο)κρυπτογραφήσεως: Η δυνατότητα εύκολης υλοποιήσεως και γρήγορης εκτελέσεως. 4. Διόγκωση κρυπτοκειμένου: Η διαφορά μεγέθους κρυπτοκειμένου και απλού κειμένου. (Επιθυμητό είναι το κρυπτοκείμενο να έχει το ίδιο, ή τουλάχιστον συγκρίσιμο, μέγεθος με το αρχικό κείμενο.) 5. Διάδοση σφαλμάτων: Ένα σφάλμα κατά την κρυπτογράφηση πρέπει να επηρεάζει το δυνατόν λιγότερο την αποκρυπτογράφηση. Το χαρακτηριστικό των μέτρων του Shannon είναι ότι δεν μπορούν να ισχύσουν όλα, ταυτοχρόνως, στον ίδιο βαθμό, καθώς είναι αντιφατικά μεταξύ τους. Δύο άλλες ιδιότητες που χρησιμοποιούνται για την αξιολόγηση της ασφαλείας των κρυπτοσυστημάτων είναι η σύγχυση και η διάχυση. Οι έννοιες αυτές σχετίζονται με την μεταβολή που προκαλείται στο κρυπτοκείμενο, από την μεταβολή ενός τμήματος του αρχικού κειμένου. Συγκεκριμένα: 6

17 Σύγχυση είναι η ικανότητα του αλγορίθμου κρυπτογραφήσεως να μην επιτρέπει στον αντίπαλο να προβλέψει τις μεταβολές στο κρυπτοκείμενο, δεδομένης μίας μεταβολής στο αρχικό κείμενο. Αυτό συμβαίνει όταν οι σχέσεις μεταξύ του απλού κειμένου και του κρυπτοκειμένου είναι αρκούντως πολύπλοκες. Διάχυση είναι η ικανότητα του αλγορίθμου κρυπτογραφήσεως να επηρεάζει όσο το δυνατόν μεγαλύτερο τμήμα του κρυπτοκειμένου από ένα τμήμα του απλού κειμένου. Ένας αλγόριθμος έχει υψηλή διάχυση, όταν ένα στοιχειώδες τμήμα του α- πλού κειμένου, ανεξαρτήτως της θέσεώς του, επηρεάζει όλο το κρυπτοκείμενο..4 Κατηγοριοποίηση κρυπτογραφίας.4. Συμμετρική (Symmetric) κρυπτογραφία Η κλασική μέθοδος κρυπτογραφίας είναι η συμμετρική κρυπτογραφία. Το κύριο χαρακτηριστικό της είναι η χρήση του ιδίου κλειδιού τόσο για την κρυπτογράφηση, όσο και για την αποκρυπτογράφηση. Συνακολούθως, ο αλγόριθμος αποκρυπτογραφήσεως ακολουθεί την ίδια διαδικασία με τον αλγόριθμο κρυπτογραφήσεως, αλλά με αντίστροφη σειρά. Οι μαθηματικές σχέσεις που διέπουν την συμμετρική κρυπτογραφία είναι: c = e ( p) και p = d ( c) k k Οι αλγόριθμοι συμμετρικής κρυπτογραφήσεως διακρίνονται σε κρυπταλγορίθμους ροής (stream ciphers) και κρυπταλγορίθμους τμήματος(lock ciphers). Γνωστοί κρυπταλγόριθμοι ροής είναι οι: RC4, VEST, Turing, SNOW, SEAL, ενώ, αντιστοίχως, γνωστοί κρυπταλγόριθμοι τμήματος είναι (εκτός του AES) οι: DES, IDEA, Twofish, Hierocrypt, SHARK, BKSQ, MARS, RC Κρυπταλγόριθμοι Ροής (Stream Ciphers) Στους κρυπταλγορίθμους ροής το απλό κείμενο παρίσταται ως μία συνεχής α- κολουθία από its (p i, i M-), όπου M το μήκος του απλού κειμένου. Αντιστοίχως, από κάποιο κλειδί εκκινήσεως Κ, παράγεται μία περιοδική και ψευδοτυχαία ακολουθία its (k i, i M-), η οποία ονομάζεται κλειδορροή (keystream). Το κρυπτοκείμενο προκύπτει από την εφαρμογή της πράξεως XOR (αποκλειστική διά- 7

18 ζευξη) μεταξύ των its του απλού κειμένου και της κλειδορροής. Κατ ανάλογο τρόπο πραγματοποιείται και η αποκρυπτογράφηση. c i = pi ki και pi ci ki = για i M Η ασφάλεια των κρυπταλγορίθμων ροής εξαρτάται από την γεννήτρια της κλειδορροής. Τα κριτήρια που πρέπει να πληροί μία γεννήτρια κλειδορροής, προκειμένου να θεωρηθεί ασφαλής η κρυπτογράφηση, είναι: Η περίοδος της κλειδορροής πρέπει να είναι όσο το δυνατόν μεγαλύτερη. Τα παραγόμενα its της κλειδορροής πρέπει να ικανοποιούν τις απαιτήσεις τυχαιότητος (περίπου ίσος αριθμός και, αποφυγή επαναλήψεως συγκεκριμένων ακολουθιών, κ.α.). Το κλειδί εκκινήσεως, που ορίζει το σημείο ενάρξεως της κλειδορροής, πρέπει να είναι όσο το δυνατόν μεγαλύτερο, για την καταπολέμηση κρυπταναλυτικών προσπαθειών μέσω εξαντλητικής αναζητήσεως. Το πλεονέκτημα των κρυπταλγορίθμων ροής είναι η μεγάλη ταχύτητα (απο)κρυπτογραφήσεως και η ευκολία υλοποιήσεως σε υλικό (hardware). Επίσης, λόγω της μεμονωμένης κρυπτογραφήσεως κάθε it, δεν συντελούν στην διάδοση σφαλμάτων κατά την μετάδοση. Αυτή η ιδιότητα είναι συνάμα και μειονέκτημα, καθώς σημαίνει πως ο αλγόριθμος χαρακτηρίζεται από πολύ χαμηλή διάχυση. Επιπροσθέτως, οι αλγόριθμοι ροής είναι ευάλωτοι στον αποσυγχρονισμό. Ο αντίπαλος μπορεί να παρεμβληθεί στην επικοινωνία και να παρεμβάλλει στο μεταδιδόμενο κρυπτοκείμενο τυχαία σύμβολα. Έτσι, κατορθώνει να εμποδίσει την μετάδοση της πληροφορίας στον παραλήπτη Κρυπταλγόριθμοι Τμήματος (Block Ciphers) Στους κρυπταλγορίθμους τμήματος, το απλό κείμενο P χωρίζεται σε n τμήματα συγκεκριμένου μήκους (αριθμός its). Κάθε ένα τμήμα (lock) αποτελεί, διαδοχικώς, είσοδο στον κρυπταλγόριθμο. Το τελικό τμήμα, εάν καταστεί απαραίτητο, πρέπει να συμπληρωθεί, προκειμένου να έχει το ίδιο, σταθερό, μήκος με τα προηγούμενα. Η διαδικασία της συμπληρώσεως του τελικού τμήματος είναι γνωστή ως padding και συνήθως γίνεται με προσθήκη μηδενικών χαρακτήρων. Η σύνδεση των n τμημάτων κρυπτοκειμένου, που προκύπτουν εν τέλει, παράγει το κρυπτοκείμενο C. P = [ p p2... p ] και C = [ c c2... c ] n όπου c = e ( p ) και d ( c ) i k i i k i n p = για < i n 8

19 Όσον αφορά τα χαρακτηριστικά των αλγορίθμων τμήματος, είναι αντίθετα από τα χαρακτηριστικά των αλγορίθμων ροής. Συγκεκριμένα, παρουσιάζουν υψηλή διάχυση, αλλά επηρεάζονται από τα σφάλματα κατά την μετάδοση και είναι πιο αργοί. Η διαδικασία c = e ( p ) και d ( c ) i k i i k p = χαρακτηρίζεται ως ηλεκτρονικό κωδικοβιβλίο (Electronic CodeBook, ECB) και είναι ο κλασικός τρόπος χρήσεως της συμμετρικής κρυπτογραφίας τμήματος. Παρουσιάζει, ωστόσο, το μειονέκτημα κάθε όμοιο τμήμα απλού κειμένου να κρυπτογραφείται πάντοτε κατά τον ίδιο τρόπο. Με διαφορετική διατύπωση, η κρυπτογράφηση ενός τμήματος δεν εξαρτάται από την κρυπτογράφηση των υπολοίπων τμημάτων. i Για την αύξηση της διαχύσεως των κρυπταλγορίθμων τμήματος έχουν τυποποιηθεί διάφορες άλλες διαμορφώσεις λειτουργίας, ενώ υπάρχουν και μη τυποποιημένες διαδικασίες. Οι τυποποιημένες διαμορφώσεις λειτουργίας των κρυπταλγορίθμων τμήματος, εκτός της ECB, είναι: Κρυπταλγόριθμος αλυσιδωτού τμήματος (Cipher Block Chaining, CBC) Ανάδραση κρυπταλγορίθμου (Cipher FeedBack, CFB) Ανάδραση εξόδου (Output FeedBack, OFB) Οι διαδικασίες κρυπτογραφήσεως και αποκρυπτογραφήσεως σε κάθε διαμόρφωση λειτουργίας παρουσιάζονται στον ακόλουθο πίνακα: Διαμόρφ. Λειτουργ. Κρυπτογράφηση Αποκρυπτογράφηση ECB c i = ek ( pi ) p i = d k ( ci ) CBC ci = ek ( ci pi ) p i = dk ( ci ) ci CFB ci = ek ( ci ) pi pi = ek ( ci ) ci c i = pi ri pi = ci ri OFB όπου r i τμήμα κλειδορροής ίσου μήκους με το τμήμα p i, που προκύπτει από το κλειδί εκκινήσεως e k ( r i ) ΣΗΜΕΙΩΣΗ: Για όλες τις διαδικασίες, εκτός της ECB, απαιτείται, όπως γίνεται αντιληπτό από τους ανωτέρω τύπους, ένα διάνυσμα αρχικοποιήσεως (c ή r ), το οποίο θεωρείται μέρος του κλειδιού και αποστέλλεται κρυπτογραφημένο κατά ECB. 9

20 .4.2 Ασύμμετρη (Asymmetric) κρυπτογραφία Η συμμετρική κρυπτογραφία απαιτεί προσυνεννόηση των δύο μερών που επικοινωνούν, όσον αφορά τα κλειδιά που θα χρησιμοποιούνται στην επικοινωνία. Στην περίπτωση, όμως, που πρέπει να δημιουργηθεί ένα νέο κανάλι επικοινωνίας, μεταξύ δύο μερών σε μεγάλη απόσταση, ανακύπτει το πρόβλημα της ανταλλαγής των κλειδιών, καθώς το κανάλι επικοινωνίας που θα χρησιμοποιηθεί για την ανταλλαγή των κλειδιών δεν είναι ασφαλές. Το πρόβλημα αυτό επιλύει η ασύμμετρη κρυπτογραφία, η οποία εν αντιθέσει προς την συμμετρική κρυπτογραφία που είναι γνωστή από αρχαία χρόνια επινοήθηκε το 976 από τους Whitfield Diffie και Martin Hellman. Το μοντέλο αυτό επικοινωνίας κάνει χρήση δύο διαφορετικών κλειδιών, ενός μόνο για κρυπτογράφηση (Ke) και ενός μόνο για αποκρυπτογράφηση (Kd). Το ένα εκ των κλειδιών παραμένει γνωστό μόνον στον κάτοχό του (ιδιωτικό κλειδί, ΚΙ), ενώ το άλλο είναι ευρέως γνωστό (δημόσιο κλειδί, ΚΔ). Τα κλειδιά αυτά εμφανίζονται πάντοτε ανά ζεύγος και είναι μαθηματικώς σχετιζόμενα μεταξύ τους, ώστε: c = e ( p) και p = d ( c) Ke Kd Τόσο η κρυπτογράφηση, όσο και η αποκρυπτογράφηση στην ασύμμετρη κρυπτογραφία είναι μονόδρομες διαδικασίες, δηλαδή: Εάν c = e ( p) τότε p d ( c) Κ, όπου K = ή Ke ή Kd K Η επικοινωνία μεταξύ δύο μερών Α (αποστολέας) και Π (παραλήπτης), τα οποία διαθέτουν, αντιστοίχως, ζεύγη κλειδιών ΚΙ Α, ΚΔ Α και ΚΙ Π, ΚΔ Π μπορεί να γίνει με τους εξής τρόπους:. = KIA Ke και Kd = KΔA Η μέθοδος αυτή εξασφαλίζει την αυθεντικοποίηση του αποστολέα, αλλά όχι την εμπιστευτικότητα των δεδομένων, καθώς οποιοσδήποτε τρίτος μπορεί να αποκρυπτογραφήσει το μήνυμα, με το δημόσιο κλειδί του αποστολέα. 2. = KΔ Π Ke και Kd = KΙΠ Η μέθοδος αυτή εξασφαλίζει την εμπιστευτικότητα των δεδομένων, αλλά όχι την αυθεντικοποίηση του αποστολέα, καθώς οποιοσδήποτε τρίτος μπορεί να κρυπτογραφήσει μήνυμα, με το δημόσιο κλειδί του παραλήπτη.

21 3. Συνδυασμός των δύο προηγουμένων διαδικασιών εξασφαλίζει και την εμπιστευτικότητα και την αυθεντικοποίηση. Στην περίπτωση αυτή, τόσο η κρυπτογράφηση, όσο και η αποκρυπτογράφηση απαιτούν δύο στάδια για την πραγματοποίησή τους. Αναλυτικότερα: Κρυπτογράφηση Αποκρυπτογράφηση c c c p Α Τρόπος Β Τρόπος = eκι ( p) c = e Α ΚΔ ( p) Π = eκδ () c c = e () c Π ΚΙΑ = d ( c ΚΙ ) c = d ( c ) Π ΚΔΑ = d () c p = d () c ΚΔ Α ΚΙ Π Εν συγκρίσει, πάντως, με την συμμετρική κρυπτογραφία, η ασύμμετρη είναι είτε πιο πολύπλοκη και αργή, εάν επιδιώκουμε ίδιο επίπεδο ασφαλείας, είτε λιγότερο α- σφαλής, εάν επιδιώκουμε ίδιο επίπεδο στην ταχύτητα εκτελέσεως. Για τον λόγο αυτό η ασύμμετρη κρυπτογραφία χρησιμοποιείται, κυρίως, στην ανταλλαγή κλειδιών συμμετρικής κρυπτογραφίας. Το πλέον γνωστό κρυτποσύστημα ασύμμετρης κρυπτογραφίας είναι το RSA (978), το οποίο, παρότι εξαιρετικώς ασφαλές, είναι πολύ αργό, λόγω χρήσεως κλειδιών μήκους 24 its. Ιδιαίτερο ενδιαφέρον παρουσιάζει και το νεότερο κρυπτοσύστημα ElGamal (985), το οποίο βασίζεται στην θεωρία των ελλειπτικών καμπυλών (Εκτενής ανάλυση της σχετικής θεωρίας υπάρχει στην βιβλιογραφική αναφορά [5])..4.3 Κβαντική (Quantum) κρυπτογραφία Ένας βασικός λόγος που οδήγησε στην ανάπτυξη της ασύμμετρης κρυπτογραφίας ήταν το πρόβλημα της ανταλλαγής κλειδιών. Τα τελευταία χρόνια έχει καταστεί εφικτή και η κβαντική κρυπτογραφία, που είναι μία μέθοδος ανταλλαγής κλειδιών μέσα από μη ασφαλές κανάλι επικοινωνίας. Βάση της κβαντικής κρυπτογραφίας είναι η αρχή της απροσδιοριστίας του Heisenerg: «Η μέτρηση μίας φυσικής ιδιότητος σε κβαντική κατάσταση θα διαταράξει κάποια άλλη ιδιότητα.» Απλούστερα, όταν επιλέξουμε να μετρήσουμε μία ιδιότητα ενός κβαντικού συστήματος, θα μεταβάλλουμε τις αρχικές ιδιότητές του και εν τέλει δεν θα είμαστε σε θέση να γνωρίζουμε το σύνολο των αρχικών ιδιοτήτων του συστήματος.

22 Στην κβαντική κρυπτογραφία φορείς της πληροφορίας είναι τα φωτόνια (uantum its ή -its) και η επικοινωνία πραγματοποιείται μέσω οπτικών ινών. Συγκεκριμένα, η πληροφορία αποθηκεύεται σε μία κβαντική ιδιότητα του φωτονίου, την πόλωση. Δεδομένου ότι στην κβαντική φυσική κάθε σωματίδιο μπορεί να θεωρηθεί ηλεκτρομαγνητικό κύμα (και αντιστρόφως), ως πόλωση ορίζουμε την γωνία που σχηματίζει το επίπεδο διαδόσεως του ηλεκτρικού πεδίου ενός φωτονίου εν σχέσει με κάποιο επίπεδο αναφοράς (το επίπεδο διαδόσεως του ηλεκτρικού πεδίου ενός μη πολωμένου φωτονίου). Υπάρχουν δύο τρόποι αναπαραστάσεως των its πληροφορίας:. Χρήση ορθού φίλτρου πολώσεως (Συμβολισμός: +) Bit Πόλωση [deg] Σύμβολο -it 9 2. Χρήση πλαγίου φίλτρου πολώσεως (Συμβολισμός: x) Bit Πόλωση [deg] Σύμβολο -it 45 / 35 \ Για να διαβαστεί σωστά ένα -it, πρέπει να έχει χρησιμοποιηθεί ο ίδιος τύπος φίλτρου και κατά την αποστολή και κατά την λήψη. Άλλως, θα παραχθεί, κατά τυχαίο τρόπο, είτε είτε, με ίση πιθανότητα. Η διαδικασία ανταλλαγής ενός κλειδιού επικοινωνίας μεταξύ του αποστολέα (Α) και του παραλήπτη (Π) είναι η εξής:. Ο Α χρησιμοποιεί για κάθε it πληροφορίας όποιον τύπο φίλτρου επιθυμεί και αναπαριστά, αντιστοίχως, το it. 2. Ο Α αποστέλλει τα -its στον Π, χωρίς να τον ενημερώσει για τον τύπο φίλτρου που χρησιμοποίησε για κάθε it. 3. Ο Π επιλέγει τυχαίως ποιόν τύπο φίλτρου θα χρησιμοποιήσει για κάθε εισερχόμενο -it. 4. Ο Α ενημερώνει τον Π για την σειρά των φίλτρων που χρησιμοποίησε και ο Π με την σειρά του πληροφορεί τον Α για τις θέσεις των its που χρησιμοποίησαν ίδιο τύπο φίλτρου. 5. Το κλειδί της επικοινωνίας των Α και Π απαρτίζεται, τελικώς, από τα its εκείνα για τα οποία χρησιμοποίησαν τον ίδιο τύπο φίλτρου. 2

23 ΠΑΡΑΔΕΙΓΜΑ : Α/Α Bit Bit πληροφορίας Φίλτρο Α + + x + x x + + Πόλωση / \ \ Φίλτρο Π x + x x x + + x Ανιχνευθείσα πόλωση \ / / \ \ Ληφθέν it Κλειδί Εάν ο υποκλοπέας (Υ) θελήσει να παρεμβληθεί στην επικοινωνία των Α και Π, θα αναγκαστεί να χρησιμοποιήσει τυχαία φίλτρα για την ανίχνευση της πολώσεως των -its, καταστρέφοντας, όμως, βάσει της αρχής του Heisenerg, την αρχική τους πόλωση. Έτσι, θα στείλει στον Π τα -its, όπως αυτός τα ανίχνευσε. Ο ακόλουθος πίνακας παρουσιάζει τις αλλαγές που προκαλούνται στο προηγούμενο παράδειγμα, εξ αιτίας της παρουσίας του υποκλοπέα. Α/Α Bit Bit πληροφορίας Φίλτρο Α + + x + x x + + Πόλωση / \ \ Φίλτρο Υ + x x x + x + + Ανιχνευθείσα πόλωση / / / \ Ληφθέν it Φίλτρο Π x + x x x + + x Ανιχνευθείσα πόλωση \ / / \ \ Ληφθέν it Κλειδί Το αποτέλεσμα της παρεμβολής του Υ είναι να αλλοιωθεί το κλειδί (το it υπ α- ριθμόν στο συγκεκριμένο παράδειγμα). Εάν λοιπόν στα 5 βήματα της διαδικασίας ανταλλαγής κλειδιού με κβαντική κρυπτογράφηση προστεθεί και ένα έκτο, αυτό της δοκιμαστικής χρήσεως του κλειδιού, η αλλοίωση που έχει επισυμβεί στο κλειδί θα προδώσει την παρουσία του Υ. Ακόμη και εάν υποτεθεί ότι, λόγω συγκυριών, το κλειδί μεταδίδεται ορθώς, ο Υ δεν γνωρίζει παρά μόνον μέρος του και συγκεκριμένα εκείνα τα its για τα οποία έκανε χρήση ιδίου τύπου φίλτρου με τον Α (τα its υπ α- ριθμόν 2 και 6 στο εν λόγω παράδειγμα). Δεδομένου ότι σε πραγματικές συνθήκες μεταδίδεται μεγάλος αριθμός its, τόσο η πιθανότητα να μην επηρεάσει η παρουσία 3

24 του Υ το κλειδί, όσο και η πιθανότητα ο Υ να ανακαλύψει όλα τα its του κλειδιού είναι μηδαμινές. Ένα μειονέκτημα της κβαντικής κρυπτογραφίας είναι η ανάγκη για μετάδοση υπερδιπλασίου αριθμού its από το επιθυμητό μήκος του κλειδιού, καθώς ο Π είναι σε θέση, στατιστικώς, να ανιχνεύσει ορθώς περίπου τα μισά από τα μεταδιδόμενα its. Το σημαντικότερο, όμως, πρόβλημα της κβαντικής κρυπτογραφίας είναι η περιορισμένη εμβέλεια μεταδόσεως, καθώς η χρήση αναμεταδοτών στις οπτικές ίνες θα κατέστρεφε την αρχική πόλωση των -its. Με τις έως σήμερα γνωστές τεχνικές η εμβέλεια μεταδόσεως -its δεν έχει υπερβεί τα 5 χιλιόμετρα [7]. Η λύση στο πρόβλημα της εμβελείας ίσως προέλθει από την αξιοποίηση συζευγμένων φωτονίων..5 Κρυπτογραφικές πράξεις και συναρτήσεις Ως κρυπτογραφικές πράξεις ορίζουμε τις ενέργειες αυτές που οδηγούν στην κατασκευή κρυπτοκειμένου, ενώ κρυπτογραφικές συναρτήσεις είναι οι συναρτήσεις που μπορούν να χρησιμοποιηθούν στην κατασκευή κρυπτογραφικών πράξεων..5. Κατηγορίες κρυπτογραφικών πράξεων Οι κρυπτογραφικές πράξεις διακρίνονται σε τρεις βασικές κατηγορίες: Μετάθεση ή Αναδιάταξη Στην αναδιάταξη διατηρούνται αυτούσια τα σύμβολα του απλού κειμένου, αλλά μεταβάλλεται η θέση τους στο κείμενο. Μονοαλφαβητική αντικατάσταση Στην πράξη αυτή, κάθε σύμβολο του απλού κειμένου αντικαθίσταται από ένα σύμβολο κρυπτοκειμένου, το ίδιο όμως κάθε φορά. Το γεγονός αυτό έχει ως συνέπεια να διατηρείται η αναλογία των συμβόλων του απλού κειμένου και στο κρυπτοκείμενο. Η πληροφορία αυτή ίσως να βοηθήσει τον επίδοξο κρυπταναλυτή. Πολυαλφαβητική αντικατάσταση Και η πράξη αυτή οδηγεί σε αντικατάσταση των συμβόλων του απλού κειμένου από σύμβολα του κρυπτοκειμένου. Εδώ, όμως, ένα σύμβολο του απλού κειμένου δεν αντικαθίσταται πάντοτε από το ίδιο σύμβολο κρυπτοκειμένου. Κατ αυτόν τον τρόπο η συχνότητα εμφανίσεως των συμβόλων στο κρυπτοκείμενο διαφέρει αρκετά από την αντίστοιχη στο απλό κείμενο. 4

25 .5.2 Κρυπτογράφηση γινομένου Υπάρχουν κρυπτογραφικοί αλγόριθμοι που βασίζονται στην εκτέλεση μίας μόνο κρυπτογραφικής πράξεως. Επί παραδείγματι, ο αλγόριθμος του Καίσαρος εκτελεί μονοαλφαβητική αντικατάσταση, ενώ ο κρυπταλγόριθμος Vigenère βασίζεται στην πολυαλφαβητική αντικατάσταση. Η χρήση, όμως, μίας μόνο κρυπτογραφικής πράξεως δεν θεωρείται ασφαλής. Για τον λόγο αυτό χρησιμοποιείται η κρυπτογράφηση γινομένου (ή κρυπτογραφική σύνθεση). Ο όρος επινοήθηκε από τον Shannon για να περιγράψει την σύνθεση δύο ή περισσοτέρων κρυπτογραφικών πράξεων για την δημιουργία ενός κρυπταλγορίθμου ισχυροτέρου, όσον αφορά ζητήματα ασφαλείας, από τις απλές πράξεις. Τα περισσότερα συμμετρικά κρυπτοσυστήματα προκύπτουν από κρυπτογραφικό γινόμενο απλών κρυπτογραφικών πράξεων. Κρυπτογραφικό γινόμενο είναι δυνατόν να προκύψει και από την επαναληπτική χρήση μίας μόνον κρυπτογραφικής πράξεως. Σε αυτήν την περίπτωση, το κρυπτοκείμενο που παράγεται από την εφαρμογή της κρυπτογραφικής πράξεως επανακρυπτογραφείται για να προκύψει νέο κρυπτοκείμενο. Ο αριθμός των επαναληπτικών χρήσεων μίας κρυπτογραφικής πράξεως ο- ρίζει τους γύρους κρυπτογραφήσεως (rounds). Να σημειωθεί ότι σε κάθε γύρο χρησιμοποιείται διαφορετικό κλειδί, το οποίο προκύπτει, όμως, από το αρχικό κλειδί. Η ακολουθία των διαδοχικών κλειδιών που θα χρησιμοποιηθούν σε κάθε γύρο καλείται πρόγραμμα κλειδιού (key schedule)..5.3 Δίκτυα Αντικαταστάσεως Μεταθέσεως (SPN) Πολλά συμμετρικά κρυπτοσυστήματα αποτελούνται από Δίκτυα Αντικαταστάσεως Μεταθέσεως ή ΔΑΜ (Sustitution Permutation Networks ή SPN). Ο πρώτος που επινόησε ένα τέτοιο δίκτυο ήταν ο Γερμανός Horst Feistel. Τα SPN προκύπτουν από κρυπτογραφική σύνθεση και αποτελούνται από συναρτήσεις αντικαταστάσεως (συμβάλλουν στην αύξηση της συγχύσεως) και συναρτήσεις μεταθέσεως (επιτυγχάνουν υψηλή διάχυση) Συναρτήσεις αντικαταστάσεως & μεταθέσεως Συστατικό στοιχείο των SPN είναι οι συναρτήσεις αντικαταστάσεως και μεταθέσεως. Οι συναρτήσεις αντικαταστάσεως καλούνται κουτιά αντικαταστάσεως ή S- κουτιά (Sustitution oxes, S-oxes), ενώ οι συναρτήσεις μεταθέσεως καλούνται κουτιά μεταθέσεως ή P-κουτιά (Permutation oxes, P-oxes). 5

26 Ένα m its, όπου n m S-κουτί δέχεται στην είσοδό του n its και παράγει στην έξοδό του n m. Η διαδικασία αντιστοιχίσεως είναι μη γραμμική και συνήθως υ- λοποιείται με βάση κάποιον πίνακα αναφοράς (look-up tale) Δομή SPN Παράδειγμα Όπως προειπώθηκε, τα SPN προκύπτουν από κρυπτογραφικό γινόμενο. Κάθε γύρος, σε ένα SPN, ορίζεται από εφαρμογή ενός αριθμού S-κουτιών και ενός αριθμού P-κουτιών. Να υπογραμμισθεί ότι για να είναι δυνατόν να χρησιμοποιηθεί ένα S- κουτί σε SPN, πρέπει να ισχύει n = m. Μόνον στον τελευταίο γύρο του κρυπτογραφικού γινομένου ενός SPN μπορεί να υπάρξει S-κουτί με n < m. Υπάρχουν δύο είδη δομών SPN:. Απλά SPN Τα απλά SPN χαρακτηρίζονται μόνον από την ύπαρξη ενός αριθμού γύρων. 2. SPN με κλειδί Στα SPN με κλειδί, στο τέλος κάθε γύρου εφαρμόζεται η πράξη XOR μεταξύ του αποτελέσματος του γύρου και ενός κλειδιού, το οποίο είναι μέρος ενός προγράμματος κλειδιού. ΠΑΡΑΔΕΙΓΜΑ : Έστωσαν τα εισόδου 8 its SPN-, που ορίζεται από 4 γύρους και SPN-2, που ορίζεται από 3 γύρους με κλειδί. Θεωρούμε, επίσης, τον γύρο των SPN που απεικονίζεται στο κατωτέρω σχήμα, όπου I i και Q i (i=,,2, 7) τα its εισόδου και εξόδου, αντιστοίχως. I I I 2 I 3 I 4 I 5 I 6 I 7 S S 2 P P 2 Q Q Q 2 Q 3 Q 4 Q 5 Q 6 Q 7 όπου τα κουτιά S (4x4), S 2 (3x3), P και P 2, ορίζονται στους ακολούθους πίνακες αναφοράς: 6

27 S Είσοδος Έξοδος S 2 Είσοδος Έξοδος P (Σειρά its) Είσοδος Έξοδος 2 2 P 2 (Σειρά its) Είσοδος Έξοδος Έστω η είσοδος και το πρόγραμμα κλειδιού, όπως ορίζονται εν συνεχεία: Είσοδος Πρόγραμμα κλειδιού Κ Κ 2 Κ 3 Τα αποτελέσματα της διαδικασίας κρυπτογραφήσεως σε κάθε ένα SPN παρουσιάζονται στον επόμενο πίνακα: SPN- SPN-2 Ενδιάμεσα αποτελέσματα Γ4 Γ3 Γ2 Γ Μετά από S-κουτιά Μετά από P-κουτιά Μετά από XOR Μετά από S-κουτιά Μετά από P-κουτιά Μετά από XOR Μετά από S-κουτιά Μετά από P-κουτιά Μετά από XOR Μετά από S-κουτιά Μετά από P-κουτιά Τελικό αποτέλεσμα 7

28 Δίκτυα Feistel Μία ειδική περίπτωση SPN είναι τα δίκτυα Feistel. Ο γύρος ενός δικτύου Feistel εικονίζεται ακολούθως και ορίζεται ως εξής: L i- R i- f L i R i k i. Η είσοδος και η έξοδος χωρίζονται σε δύο ίσα τμήματα, αριστερό (L) και δεξί (R). 2. Το αριστερό τμήμα της εξόδου είναι αυτούσιο το δεξί της εισόδου. 3. Στο δεξί τμήμα της εισόδου εφαρμόζεται μία κρυπτογραφική συνάρτηση f, η οποία απαιτεί ως όρισμα και ένα κλειδί. 4. Το δεξί τμήμα της εξόδου υπολογίζεται από την πράξη XOR μεταξύ του αποτελέσματος του βήματος 3 και του αριστερού τμήματος της εισόδου. Μία αξιοπρόσεκτη ιδιότητα των δικτύων Feistel είναι πως σε κάθε γύρο κρυπτογραφείται μόνον το ήμισυ της εισόδου. Για να επιτευχθεί, λοιπόν, ένα ικανοποιητικό επίπεδο ασφαλείας απαιτείται η ύπαρξη μεγαλυτέρου αριθμού γύρων από ότι συνηθίζεται σε άλλα SPN. Η σημαντικότερη, όμως, ιδιότητα των δικτύων Feistel είναι ότι είναι αντιστρέψιμα, ανεξαρτήτως της συναρτήσεως f. Ακόμη και εάν η f είναι μονόδρομη συνάρτηση, είναι πάντοτε δυνατή η αντιστροφή της διαδικασίας κρυπτογραφήσεως (δηλαδή η αποκρυπτογράφηση). Κατά συνέπεια, είναι εφικτό, μέσω των δικτύων Feistel, να χρησιμοποιήσουμε στην συμμετρική κρυπτογραφία μονόδρομες συναρτήσεις. Η κρυπτογράφηση και η αποκρυπτογράφηση στα δίκτυα Feistel γίνεται όπως περιγράφεται εν συνεχεία: p = [ L R ] και c = [ ] L r R r Κρυπτογράφηση Αποκρυπτογράφηση Li = R R = L R L i i i i i = L i = R i f f ( k R ) i, i ( k, L ) i i, για i =,2,... r, για i = r, r,... 8

29 ΚΕΦΑΛΑΙΟ 2 Απαραίτητο μαθηματικό υπόβαθρο 2. Θεμελιώδεις έννοιες θεωρίας αριθμών Η θεωρία αριθμών ασχολείται με το σύνολο Z = {..., 2,,,,2,...} των ακεραίων αριθμών και το σύνολο N = {,,2,...} των φυσικών αριθμών. Ενδιαφέρον * παρουσιάζουν, επίσης, τα σύνολα = Z {} * Z και = N {} N. Έστωσαν οι αριθμοί * N ο καλείται διαιρέτης ή πα- εάν υπάρχει ράγοντας του α. a Z και k Z τέτοιο ώστε a k * Z =. Εάν. Ο α ονομάζεται πολλαπλάσιο του * a N με Ένας αριθμός a > ονομάζεται πρώτος (prime) εάν οι μόνοι διαιρέτες του είναι οι α και. Συμφώνως προς το θεμελιώδες θεώρημα της Αριθμητικής, κάθε φυσικός αριθμός είναι δυνατόν να αναλυθεί σε γινόμενο πρώτων παραγόντων του, κατά μοναδικό τρόπο. Μέγιστος κοινός διαιρέτης (ΜΚΔ ή gcd) δύο ή περισσοτέρων ακεραίων αριθμών είναι ο μεγαλύτερος των κοινών διαιρετών. Δύο ακέραιοι αριθμοί που έχουν ΜΚΔ το ονομάζονται σχετικώς πρώτοι (coprime). Θεώρημα διαιρέσεως: Για οποιουσδήποτε αριθμούς πάρχουν μοναδικοί αριθμοί Z και * r N, με r < d ώστε: a Z και * d N υ- 9

30 a = d + r Τα και r ονομάζονται πηλίκο και υπόλοιπο, αντιστοίχως και συμβολίζονται, επίσης, ως adiv d και amod d. 2.2 Αλγεβρικές δομές Ως πράξη επί ενός μη κενού συνόλου S ορίζεται μία απεικόνιση S S S. Επί ενός συνόλου είναι δυνατόν να ορισθούν διάφορες πράξεις. Το σύνολο μαζί με τις ορισθείσες σε αυτό πράξεις απαρτίζουν μία αλγεβρική δομή (ή δομή). Αβελιανή ομάδα (Aelian group) ονομάζεται μία δομή αποτελούμενη από ένα σύνολο G εφοδιασμένο με μία πράξη, για την οποία ισχύουν οι εξής ιδιότητες:. a ( c) = ( a ) c a,, c G (προσεταιριστική ιδιότητα) 2. e G : a e = a a G (ουδέτερο στοιχείο) 3. a G : a a = e a G (συμμετρικό στοιχείο) 4. a = a a, G (αντιμεταθετική ιδιότητα) (group). Εάν δεν ισχύει η 4 η ιδιότητα, τότε η δομή ( G, ) ονομάζεται απλώς ομάδα Δύο βασικές ιδιότητες των ομάδων είναι πως το ουδέτερο στοιχείο είναι μοναδικό και πως το συμμετρικό στοιχείο κάθε στοιχείου του συνόλου είναι επίσης μοναδικό. Όταν η πράξη είναι η πρόσθεση, η αντίστοιχη ομάδα ονομάζεται προσθετική, ενώ όταν είναι ο πολλαπλασιασμός ονομάζεται πολλαπλασιαστική. Δακτύλιος (ring) ονομάζεται μία δομή αποτελούμενη από ένα σύνολο R εφοδιασμένο με τις πράξεις + (πρόσθεση) και o (πολλαπλασιασμός), για την οποία ισχύουν οι εξής ιδιότητες:. Η δομή ( R,+) είναι αβελιανή προσθετική ομάδα. (Ουδέτερο στοιχείο για την πρόσθεση είναι το ) 2. Η πράξη o είναι προσεταιριστική. 3. Υπάρχει ουδέτερο στοιχείο για την πράξη o (). 2

31 4. a o ( c) = a o c + o c + a, c G, (επιμεριστική ιδιότητα) Εάν επιπλέον των τεσσάρων ιδιοτήτων ισχύει και η αντιμεταθετική για την πράξη o, τότε ο δακτύλιος ονομάζεται αντιμεταθετικός. Ομομορφισμός (δακτυλίων) λέγεται μία απεικόνιση F μεταξύ των δακτυλίων R και R ( F R R ) : με ουδέτερα στοιχεία για την πράξη o τα και, αντιστοίχως, όταν:. F () = 2. F ( a ) = F( a) + F( ) 3. F( a ) F( a) o F( ) + a, R o = a, R Ισομορφισμός (δακτυλίων) λέγεται ο αμφιμονοσήμαντος ( ) ομομορφισμός, ο οποίος, λόγω της ιδιότητός του αυτής, είναι αντιστρέψιμος. τα εξής: Γενικότερα, δύο δομές ( S, ) και (, ) S θεωρούνται ισομορφικές όταν ισχύουν. Μεταξύ των συνόλων S και S υπάρχει αμφιμονοσήμαντη ( ) αντιστοιχία. 2. Οι πράξεις και διατηρούνται στην αντιστοιχία. Δηλαδή: Εάν για s, s 2 S και s, s S 2 ισχύει η αντιστοιχία s s και s 2 s 2, s s s τότε 2 s2. Η χρησιμότητα των ισομορφικών δομών έγκειται στο γεγονός ότι έχουν πανομοιότυπες ιδιότητες και διαφέρουν μόνον ως προς την απεικόνιση των στοιχείων τους. Συνεπώς, είναι δυνατόν, προς διευκόλυνση, μία δομή να αντικατασταθεί από μία ισομορφική της. Σώμα (field) ονομάζεται μία δομή αποτελούμενη από ένα σύνολο F {} ε- φοδιασμένο με τις πράξεις + (πρόσθεση) και o (πολλαπλασιασμός), για την οποία ισχύουν οι εξής ιδιότητες:. Η δομή ( F,+,o) είναι αντιμεταθετικός δακτύλιος. 2. Για όλα τα μη μηδενικά στοιχεία του F υπάρχει συμμετρικό στοιχείο για την πράξη o. 2

32 Κάθε ομάδα / δακτύλιος / σώμα μπορεί να περιέχει άπειρα στοιχεία ή και πεπερασμένο αριθμό στοιχείων. Στην περίπτωση αυτή ορίζεται η τάξη της εν λόγω δομής (ομάδα / δακτύλιος / σώμα) ως το πλήθος των στοιχείων του συνόλου της. Τα σώματα με πεπερασμένο αριθμό στοιχείων (πεπερασμένα σώματα) καλούνται σώματα Galois (Galois Fields), προς τιμήν του Γάλλου μαθηματικού Évariste Galois και συμβολίζονται ως GF ( m), όπου m η τάξη του σώματος. Τα σώματα αυτά παρουσιάζουν ιδιαίτερο ενδιαφέρον για την επιστήμη της κρυπτολογίας. Αποδεικνύεται ότι για να είναι μία αλγεβρική δομή σώμα Galois πρέπει η τάξη της να είναι n-οστή * n δύναμη ( n N ) κάποιου πρώτου αριθμού p ( m = p ), ο οποίος αποτελεί την χαρακτηριστική του σώματος. Για τον λόγο αυτό προτιμάται ο συμβολισμός GF ( p n ) για τα πεπερασμένα σώματα. Αποδεικνύεται, επίσης, πως όλα τα σώματα Galois ι- δίας τάξεως είναι ισομορφικές δομές. 2.3 Αριθμητική υπολοίπων (modular) Όταν δύο αριθμοί a, Z διαιρούμενοι με τον * n N έχουν το ίδιο υπόλοιπο, ονομάζονται ισοϋπόλοιποι (ή ισοδύναμοι) ως προς modulo n. Ο συμβολισμός της ισοδυναμίας είναι a ( modn). a a( modn) 2. a ( modn) a( modn) a ( modn) 3. a c( modn), c Z c( modn). Ισχύουν, επίσης, και τα εξής: Στην αριθμητική υπολοίπων είναι δυνατόν να διαχωρίσουμε το σύνολο των ακεραίων σε κλάσεις ισοδυναμίας, αναλόγως με το υπόλοιπό τους κατά την διαίρεση με * κάποιον φυσικό αριθμό. Η κλάση ισοδυναμίας ως προς modulo n ( N ) a Z ορίζεται ως εξής: [ ] = {( a + k n), k Z} = { w Z : w a( modn) } a n n του Κάθε κλάση αναπαρίσταται συνήθως με το μικρότερο μη αρνητικό στοιχείο της. Βάσει των ανωτέρω ορίζεται το σύνολο των ακεραίων modulo n: n {[ ],[ ],...,[ n ] } Z = n n n 22

33 Ένα εξίσου σημαντικό σύνολο στην αριθμητική υπολοίπων είναι το σύνολο των κλάσεων ισοδυναμίας των σχετικώς πρώτων με τον n ακεραίων: Z * n {[ a] Z : gcd( a, ) = } = n n n Αρχή της αριθμητικής υπολοίπων: Εάν a, a 2 Z και η πράξη της προσθέσεως ή του πολλαπλασιασμού (η αφαίρεση θεωρείται ίδια πράξη με την πρόσθεση), τότε η αναγωγή μομορφισμός. Δηλαδή: mod n από τους ακεραίους στους ακεραίους modulo n είναι ο- ( a a ) n = [( a modn) ( a modn) ] modn mod 2 2 Η αρχή της αριθμητικής υπολοίπων παρουσιάζεται σχηματικώς κατωτέρω: Ακέραιοι Αναγωγή modn Ακέραιοι mod n Στοιχεία Συνόλου, a 2 a ( a n),( a modn) mod 2 Πράξη Αποτέλεσμα Πράξεως a2 a [( a n) ( a modn) ] modn = ( a a ) modn mod 2 2 Οι πράξεις της προσθέσεως και του πολλαπλασιασμού στο σύνολο Z n συμβολίζονται ως + n και n, αντιστοίχως. Η δομή ( Z + ) n, καλείται προσθετική ομάδα modulo n και αποδεικνύεται n πως είναι μία πεπερασμένη αντιμεταθετική αβελιανή ομάδα, τάξεως n. Αντιθέτως, η δομή ( Z ) *, δεν είναι ομάδα, όμως αποδεικνύεται ότι η δομή ( Z, ) n n n n είναι μία πεπερασμένη αντιμεταθετική αβελιανή ομάδα, η τάξη της οποίας είναι συνάρτηση του n και ονομάζεται πολλαπλασιαστική ομάδα modulo n. Για έναν πρώτο αριθμό p, αποδεικνύεται πως η δομή ( Z +, ) p, είναι σώμα και είναι ισοδύναμη έκφραση του GF ( p), αφού κάθε τάξη ορίζει μόνον ισομορφικές p p 23

34 { } * δομές. Στην περίπτωση αυτή ισχύει Z [ ] * ( Z, ) p p είναι p. =, ενώ η τάξη της δομής p Z p p 2.4 Πεπερασμένα σώματα και πολυώνυμα Ιδιαίτερο ενδιαφέρον στην επιστήμη της κρυπτολογίας, όπως προειπώθηκε, διαδραματίζουν τα πεπερασμένα σώματα της μορφής ( n ) 8 και GF ( 2 ). GF 2, κυρίως δε τα GF ( 2) Η δυνατότητα αναπαραστάσεως μεμονωμένων ytes (ή ομάδων τους) με την μορφή πολυωνύμων, ορισμένων επί των συγκεκριμένων πεπερασμένων σωμάτων, διευκολύνει την θεωρητική μελέτη κρυπτογραφικών αλγορίθμων, οι οποίοι βασίζονται σε διαδικασίες που ορίζονται σε επίπεδο yte, όπως ο AES Βασικές έννοιες θεωρίας πολυωνύμων Πολυώνυμο βαθμού n ( n N ) επί του συνόλου A { ak, k =,,... n} την μεταβλητή x, ορίζεται μία αλγεβρική παράσταση της μορφής: P n ( x) = k= a k x Εάν n =, το πολυώνυμο ονομάζεται σταθερό, ενώ εάν = a ονομάζεται μονοειδές (monic). k ως προς n Στην άλγεβρα πολυωνύμων δεν ενδιαφέρει ο υπολογισμός του πολυωνύμου για δεδομένη τιμή της μεταβλητής, παρά οι συντελεστές του πολυωνύμου. Οι πράξεις της προσθέσεως, αφαιρέσεως και του πολλαπλασιασμού μεταξύ πολυωνύμων ορίζονται πάντοτε, ενώ για να είναι δυνατή και η διαίρεση πρέπει το πολυώνυμο να είναι ορισμένο επί ενός σώματος. με Οι πράξεις μεταξύ των πολυωνύμων P( x) = m n ορίζονται ως εξής: n k= a k x k m και Q( x) = k= k x k, 24

35 k Πρόσθεση / Αφαίρεση P( x) ± Q( x) = ( ak + k ) x + Πολλαπλασιασμός P m k= n ( ) ( ) + x Q x = k= m c k x k n m+ a k x c = a + a a a k =, k > n και k =, k > m όπου k k k k με k Πολυώνυμα ορισμένα επί σωμάτων Θεωρούμε πως οι συντελεστές ενός συνόλου πολυωνύμων είναι ορισμένοι επί ενός σώματος ( F,+,o). Το σύνολο των πολυωνύμων συμβολίζεται με F [] x, ενώ με F [] x n συμβολίζεται το σύνολο των πολυωνύμων βαθμού μικρότερου του n. Αποδει- ( F x,+,o) αποτελεί έναν αντιμεταθετικό δακτύλιο, ο οποίος χαρα- κνύεται ότι η δομή [] κτηρίζεται πολυωνυμικός δακτύλιος. Για την διαίρεση P ( x) Q( x) δύο πολυωνύμων βαθμών n και m ( m n), αντιστοίχως, που ανήκουν σε έναν πολυωνυμικό δακτύλιο (αφού μόνον τότε ορίζεται η πράξη αυτή) ισχύει το θεώρημα της διαιρέσεως όπως διετυπώθη στην παράγραφο 2., αλλά οι ακέραιοι αντικαθίστανται από πολυώνυμα. Δηλαδή: P ( x) = ( x) Q( x) + r( x) Ο βαθμός του ( x) είναι n m, ενώ ο βαθμός του ( x) Εάν r ( x) =, τότε το Q ( x) είναι παράγοντας του P ( x). r είναι μικρότερος του m. Μεταξύ της αριθμητικής πολυωνύμων και της αριθμητικής ακεραίων υπάρχει σαφής αντιστοιχία. Έτσι, ορίζεται ΜΚΔ μεταξύ πολυωνύμων, ως το μονοειδές πολυώνυμο με τον μεγαλύτερο βαθμό που είναι κοινός παράγοντας των πολυωνύμων. Επιπροσθέτως, ένα πολυώνυμο που δεν έχει παράγοντες στο σώμα στο οποίο το θεωρούμε, καλείται ανάγωγο (irreducile) ή πρώτο. Όπως στην αριθμητική ακεραίων, έτσι και στην αριθμητική πολυωνύμων ορίζονται κλάσεις ισοδυναμίας πολυωνύμων ως προς modulo πολυωνύμου. Εάν C ( x) και ( x) P τυχόν πολυώνυμο, η κλάση ισοδυναμίας του ( x) m δεδομένα πολυώνυμα και ( x) C ως προς modulo ( x) m ορίζεται ως: 25

36 [ C( x) ] ( ) = { P( x) : P( x) modm( x) C( x) } m x = Εάν ένα σύνολο πολυωνύμων είναι ορισμένο στο πεπερασμένο σώμα F = GF( p), το οποίο είναι εφοδιασμένο με τις πράξεις ( p p ) n k = p κλάσεις ισοδυναμίας ως προς modulo m ( x), όπου n ο βαθμός του ( x) Τότε: { } [ x] = [ C( x) ] ( ),[ C ( x) ] ( ) [ Ck ( x) ] m x 2 m x m ( x ) F,..., Αποδεικνύεται ότι εάν το ( x) n m είναι ανάγωγο, το σύνολο [] n με τις πράξεις ( +, p p ) συνιστά ένα πεπερασμένο σώμα τάξεως προϋποθέσεις: +,, θα υπάρχουν F x m., εφοδιασμένο n p, υπό τις εξής. Η αριθμητική επί των συντελεστών των πολυωνύμων πραγματοποιείται με χρήση των πράξεων ( +, p p ). 2. Εάν το αποτέλεσμα του πολλαπλασιασμού πολυωνύμων είναι βαθμού μεγαλύτερου του n, τότε γίνεται αναγωγή του αποτελέσματος modulo ( x) m. Δηλαδή, το αποτέλεσμα της αριθμητικής πολυωνύμων modulo m ( x) επί του n GF ( p), όταν το ( x) GF p. m είναι ανάγωγο, είναι αναπαράσταση του ( ) Αναπαράσταση ytes με πολυώνυμα επί του GF ( 2), όπου B = {,} 7 Ένα yte i, =,,..., 7 αναπαρασταθεί με ένα πολυώνυμο βαθμού 7 με συντελεστές i είναι δυνατόν να i B. Δηλαδή: ( x) = 7 x + 6 x + 5 x + 4 x + 3 x + 2 x + x Επί παραδείγματι: A 7( ) = x + x + x + x 6 + Βάσει της παραγράφου 2.3, προκύπτει πως η δομή (, +, 2 2 ) με το GF ( 2). Να σημειωθεί ότι + 2 (XOR). B είναι ισοδύναμη 26

37 Σε συμφωνία με όσα ελέχθησαν στην παράγραφο 2.4.2, για να είναι τα πολυώ- 8 νυμα που αναπαριστούν ytes στοιχεία του GF ( 2 ), πρέπει να ορισθεί στο σώμα αυτό ένα ανάγωγο πολυώνυμο βαθμού 8, για την αναγωγή των αποτελεσμάτων του πολλαπλασιασμού μεταξύ ytes. Στον κρυπταλγόριθμο AES θεωρείται, για τον λόγο αυτό, το εξής πολυώνυμο: m ( x) = x + x + x + x + ΣΗΜΕΙΩΣΗ: Τον πολλαπλασιασμό με αναγωγή modulo κάποιο πολυώνυμο, στο εξής θα τον συμβολίζουμε με, ενώ με θα συμβολίζεται ο απλός πολλαπλασιασμός, άνευ αναγωγής. Ειδική μνεία πρέπει να γίνει στον πολλαπλασιασμό ( x) x, καθώς η ευκολία υπολογιστικής πραγματοποιήσεώς του απλοποιεί την διαδικασία υπολογισμού του πολλαπλασιασμού μεταξύ δύο yte. Ο πολλαπλασιασμός ενός yte επί x αντιστοιχεί στον πολλαπλασιασμό επί 2 ( 6) ( x) x = x + x + x + x + x + x + x x Παρατηρούμε ότι το αποτέλεσμα της πράξεως ( x) x είναι ένα πολυώνυμο βαθμού 8. Η αναγωγή του πολυωνύμου αυτού mod m( x) ισοδυναμεί με την πράξη XOR μεταξύ ( x) x και m ( x). Δηλαδή: Τελικώς προκύπτει: ( x) x = [ ( x) x] m( x) ( x) x = 6 x + 5 x + 4 x + ( 3 7 ) x + ( 2 7 ) x + x + ( 7 ) x 7 + ΣΗΜΕΙΩΣΗ: Πολλάκις, συνηθίζεται η χρήση του συμβολισμού xtime, όπου xtime( ) ( x) x. 27

38 Υπολογιστικώς, σε επίπεδο it, η διαδικασία του πολλαπλασιασμού ( x) x περιγράφεται από τρία βήματα:. Αριστερή ολίσθηση των its του yte ( x) κατά μία θέση και προσθήκη του ως το τελευταίο it. 2. Εάν το πρώτο αριστερά it είναι, το αποτέλεσμα είναι τα 8 υπόλοιπα its. 3. Εάν το πρώτο αριστερά it είναι, το τελικό αποτέλεσμα προκύπτει από την πράξη XOR μεταξύ του αποτελέσματος της ολισθήσεως και του. ΣΗΜΕΙΩΣΗ: Ο υπολογισμός του πολλαπλασιασμού με αναγωγή modulo m ( x) δύο ytes διευκολύνεται με την χρήση πινάκων αναφοράς. Οι σχετικές διαδικασίες αναλύονται λεπτομερώς στο Παράρτημα Α. ΠΑΡΑΔΕΙΓΜΑΤΑ ΠΡΑΞΕΩΝ : Πρόσθεση 57 D ( 6) 83( 6) = 4( 6) ή = ή ( x + x + x + x + ) ( x + x + ) = x + x + x + x Πολλαπλασιασμός 57 C ( 6) 83( 6) = ( 6) ή ( x + x + x + x + ) ( x + x + ) = = [( x + x + x + x + ) ( x + x + ) ] mod( x + x + x + x + ) ( x + x + x + x + ) ( x + x + ) = = ( x + x + x + x + x ) ( x + x + x + x + x) ( x + x + x + x + ) = x 3 + x + x 9 + x 8 + x 6 + x 5 + x 4 + x 3 + = 28

39 Επομένως: ( x + x + x + x + ) ( x + x + ) = = ( x + x + x + x + x + x + x + x + ) mod( x + x + x + x + ) = x 7 + x 6 + = Πολλαπλασιασμός επί x 57 = = ( 6) ( 6) 57( 6) ( ( 6) 2( 6) ( 6) ) = ( 57( 6) ( 6) ) ( 57( 6) 2( 6) ) 57( 6) = 57 = 7 = FE 3 ( 6) ( 6) 6) ( 6) ( 6) ( 6) ( 6) ( 6) ( xtime( xtime( xtime( 57( 6) ) xtime( 57( 6) ) 57( 6) = ( xtime( xtime( AE( 6) ) AE( 6) 57( 6) = ( xtime( 47( 6) ) AE( 6) 57( 6) = ( 8E( 6) ) AE( 6) 57( 6) = = xtime = xtime = xtime = xtime ( 6) ( 6) ( 6) ( 6) 2 AE = = 2 = = Αναπαράσταση ομάδων ytes με πολυώνυμα επί του GF ( 2 ) Στον AES εμφανίζονται διανύσματα 4-ytes, τα οποία αναπαρίστανται με πο- 8 λυώνυμα ορισμένα επί του ( 2 ) GF, βαθμού ( x) V3x + V2x + V x V V + 8 = με GF( 2 ) V i, i =,,2, 3 Για τον πολλαπλασιασμό και την πρόσθεση μεταξύ των συντελεστών των πολυωνύμων ισχύουν όσα εγράφησαν στην προηγούμενη παράγραφο (2.4.3). 8 Η πρόσθεση των πολυωνύμων επί του ( 2 ) GF πραγματοποιείται και σε αυτήν την περίπτωση με την εφαρμογή της πράξεως XOR μεταξύ των αντιστοίχων συντελεστών τους. 29

40 Εάν V ( x) και ( x) αποτέλεσμα της πράξεως ( x) U ( x) U δύο πολυώνυμα 3 ου 8 βαθμού, ορισμένα στο GF ( 2 ), το V προκύπτει από τον τύπο για τον πολλαπλασιασμό πολυωνύμων της παραγράφου 2.4., με την διαφορά ότι αντί για απλή πρόσθεση και πολλαπλασιασμό θα γίνεται χρήση των πράξεων και, αντιστοίχως. Δηλαδή: ( x) U ( x) = W6 x + W5 x + W4x + W3x + W2x + W x W V + όπου: W W W W W W W = V = V = V = V 2 3 = V = V 3 3 = V 3 U U U U U U U 2 3 V V V V 2 2 V 2 U U U U U 2 3 V V V U U U V U 3 Για να είναι και το αποτέλεσμα της πράξεως ( x) U ( x) V διάνυσμα 4-yte, α- παιτείται αναγωγή του αποτελέσματος modulo ένα πολυώνυμο 4 ου βαθμού. Στον κρυπταλγόριθμο AES θεωρείται, για τον λόγο αυτό, το πολυώνυμο: l ( x) = x 4 + Μετά την αναγωγή [ V ( x) U ( x) ] modl( x) V προκύπτει: 3 2 ( x) U ( x) = W x + ( W W ) x + ( W W ) x + ( W ) W4 ΠΑΡΑΤΗΡΗΣΗ: Το πολυώνυμο ( x) 8 l δεν είναι ανάγωγο στο σώμα ( 2 ) 4 GF, διότι + = ( x +) 4 x. Αυτό σημαίνει ότι ο πολλαπλασιασμός δεν είναι πάντοτε αντιστρέψιμος (δεν έχουν όλα τα πολυώνυμα συμμετρικό στοιχείο για την πράξη του πολλαπλασιασμού). Για να έχει ένα πολυώνυμο συμμετρικό στοιχείο πρέπει να μην διαιρείται με το ( x +). Στον AES ορίζεται, για τους ανωτέρω λόγους, μόνον πολλαπλασιασμός επί ένα συγκεκριμένο σταθερό πολυώνυμο, που καθιστά την πράξη αυτή αντιστρέψιμη. 3