ΠΑΝΕΠΙΣΤΗΜΙΟ ΠΑΤΡΩΝ ΠΟΛΥΤΕΧΝΙΚΗ ΣΧΟΛΗ Τμήμα Μηχανικών Ηλεκτρονικών Υπολογιστών και Πληροφορικής

Transcript

1 ΠΑΝΕΠΙΣΤΗΜΙΟ ΠΑΤΡΩΝ ΠΟΛΥΤΕΧΝΙΚΗ ΣΧΟΛΗ Τμήμα Μηχανικών Ηλεκτρονικών Υπολογιστών και Πληροφορικής Σχεδίαση και Υλοποίηση Κρυπτογραφικού Συστήματος Ελλειπτικών Καμπυλών προστατευμένο από Φυσικές Επιθέσεις ΚΛΑΟΥΔΑΤΟΣ ΝΙΚΟΛΑΟΣ Διπλωματική Εργασία στα πλαίσια του Μεταπτυχιακού Διπλώματος Ειδίκευσης Ολοκληρωμένα Συστήματα Υλικού Λογισμικού Τριμελής Επιτροπή: Ο. Κουφοπαύλου, Καθηγητής (επιβλέπων) Γ. Θεοδωρίδης, Επίκουρος Καθηγητής Κ. Γκούτης, Ομότιμος Καθηγητής Πάτρα, Νοέμβριος 2013

2

3 Ευχαριστίες Ο συγγραφέας αρχικά θα ήθελε να ευχαριστήσει τον κ. Οδυσσέα Κουφοπαύλου για τη δυνατότητα που του παρείχε να ασχοληθεί με ένα τόσο ενδιαφέρον και απαιτητικό θέμα. Επίσης, θα ήθελε να εκφράσει τις θερμές ευχαριστίες στον κ. Αποστόλη Φούρναρη για την αμέριστη συμπαράστασή του σε όλη τη διάρκεια εκπόνησης αυτής της διπλωματικής εργασίας, για την καθοδήγησή του σε αρκετά ζητήματα που προέκυψαν, καθώς και στη σημαντική βοήθειά του σε ένα τεχνικό ζήτημα που έπρεπε να επιλυθεί. Ακόμη, θα ήθελε να ευχαριστήσει τον κ. Δημήτριο Σχοινιανάκη για τις πολύτιμες πληροφορίες που του παρείχε πάνω σε θεωρητικά ζητήματα αλλά ιδιαίτερα πάνω στην εφαρμογή του Αριθμητικού Συστήματος Υπολοίπων και στη λειτουργία του Montgomery πολλαπλασιασμού. Επιπλέον, εκφράζει τις ευχαριστίες του στο Ίδρυμα Κρατικών Υποτροφιών (Ι.Κ.Υ.) για την οικονομική υποστήριξη που του παρείχε. Η ολοκλήρωση της εργασίας αυτής έγινε στο πλαίσιο της υλοποίησης του μεταπτυχιακού προγράμματος το οποίο συγχρηματοδοτήθηκε μέσω της Πράξης «Πρόγραμμα χορήγησης υποτροφιών Ι.Κ.Υ. με διαδικασία εξατομικευμένης αξιολόγησης ακαδ. έτους » από πόρους του Ε.Π. «Εκπαίδευση και Δια Βίου Μάθηση» του Ευρωπαϊκού Κοινωνικού Ταμείου (ΕΚΤ) και του ΕΣΠΑ, του Τέλος, θα ήθελε να ευχαριστήσει την οικογένεια του και τους φίλους του για την υποστήριξη και την υπομονή που υπέδειξαν καθ όλη την διάρκεια των σπουδών του. i

4 ii

5 Περίληψη Στις μέρες μας, η ασφαλής διακίνηση πληροφοριών και δεδομένων αποτελεί ένα μείζον ζήτημα. Προς αυτή την κατεύθυνση, τα σύγχρονα συστήματα ασφαλείας χρησιμοποιούν κρυπτογραφικούς αλγορίθμους για να παρέχουν εμπιστευτικότητα, ακεραιότητα και αυθεντικότητα των δεδομένων. Αυτό έχει σαν αποτέλεσμα τα τελευταία χρόνια η επιστήμη της κρυπτογραφίας να αποτελεί ένα τομέα με μεγάλο ερευνητικό ενδιαφέρον. Πιο συγκεκριμένα, η κρυπτογραφία δημοσίου κλειδιού παρουσιάζει γρήγορη ανάπτυξη και εφαρμόζεται ευρύτατα καθώς παρέχει μεγάλο βαθμό προστασίας των δεδομένων. Αυτό το χαρακτηριστικό επιτυγχάνεται χάρη στην υψηλή υπολογιστική πολυπλοκότητα που παρουσιάζουν οι χρησιμοποιούμενοι αλγόριθμοι κατά την προσπάθεια επίλυσής τους. Επιπλέον, αυτού του τύπου η κρυπτογραφία αποφεύγει το πρόβλημα της διανομής και διαχείρισης κλειδιών μέσα σε ένα μη ασφαλές κανάλι επικοινωνίας που παρουσιάζει η κρυπτογραφία ιδιωτικού κλειδιού. Παρόλα αυτά, η κρυπτογραφία δημοσίου κλειδιού εμφανίζει, και αυτή με τη σειρά της, το μειονέκτημα πως κατά την κρυπτογράφησηαποκρυπτογράφηση απαιτούνται δαπανηρές αριθμητικές πράξεις (π.χ. modulo πολλαπλασιασμός, αντιστροφή). Το πρόβλημα αυτό επιβαρύνεται από το γεγονός πως το μήκος των κλειδιών σε αυτού του τύπου την κρυπτογραφία έχει πολύ μεγάλο μέγεθος έτσι ώστε να διασφαλιστεί ένα υψηλό επίπεδο ασφαλείας. Λύση στα παραπάνω προβλήματα αποτελεί η βελτιστοποίηση σχεδιασμού των αριθμητικών πράξεων που απαιτούνται σε ένα σύστημα δημοσίου κλειδιού καθώς και η χρήση ελλειπτικών καμπυλών αφού με αυτό τον τρόπο γίνεται χρήση μικρότερου μήκους κλειδιών για την επίτευξη του ίδιου επιπέδου ασφαλείας. Στην Κρυπτογραφία Ελλειπτικών Καμπυλών, ο Βαθμωτός Πολλαπλασιασμός αποτελεί την κύρια μαθηματική πράξη και περιλαμβάνει μια σειρά από άλλες λειτουργίες πάνω στα σημεία της καμπύλης οι οποίες αυξάνουν τη συνολική υπολογιστική πολυπλοκότητα του συστήματος. Οι χρησιμοποιούμενοι, λοιπόν, βαθμωτοί πολλαπλασιαστές αποτελούν τον κύριο στόχο των φυσικών επιθέσεων (επιθέσεων υλικού) οι οποίες έχουν ως σκοπό να αποκομίσουν σημαντικές πληροφορίες κατά τη διάρκεια εκτέλεσης ενός βαθμωτού πολλαπλασιασμού. Οι πιο ευρέως γνωστές τέτοιες επιθέσεις είναι οι επιθέσεις σφάλματος (Fault Attacks - FA) και οι επιθέσεις πλάγιου μονοπατιού (Side Channel Attacks - SCA). Η χρήση αντίμετρων, όμως, για αυτά τα είδη επιθέσεων κατά την υλοποίηση ενός βαθμωτού πολλαπλασιαστή δεν είναι μια απλή διαδικασία. Ο συνδυασμός διάφορων αντίμετρων σε μια ενιαία αρχιτεκτονική μπορεί να δημιουργήσει νέα τρωτά σημεία σε αυτό το σύστημα τα οποία μπορεί να εκμεταλλευτεί ένας επιτιθέμενος. Λόγω αυτού του γεγονότος και δεδομένου ότι το κόστος κάθε αντίμετρου στη συνολική απόδοση δεν είναι αμελητέο, είναι ιδιαιτέρως σημαντική η προσεκτική επιλογή του σχήματος προστασίας για την αρχιτεκτονική ενός βαθμωτού πολλαπλασιαστή. Στα πλαίσια αυτής της διπλωματικής εργασίας μελετήθηκε η κρυπτογραφία δημοσίου κλειδιού η οποία βασίζεται στις Ελλειπτικές Καμπύλες με στόχο να προταθεί και να υλοποιηθεί ένα αποδοτικό κρυπτογραφικό σύστημα, τόσο από πλευράς ταχύτητας και απαιτούμενης επιφάνειας όσο και από πλευράς ασφάλειας. Σε αυτή τη μεθοδολογία σχεδιασμού δόθηκε μεγάλο βάρος στην προσπάθεια χρήσης μιας νέας μορφής Ελλειπτικών Καμπυλών, τις iii

6 Καμπύλες Edwards, οι οποίες παρουσιάζουν σημαντικά πλεονεκτήματα έναντι των συμβατικών ελλειπτικών καμπυλών (π.χ. Weierstrass), καθώς οι πράξεις πάνω στην καμπύλη μπορούν να υλοποιηθούν πιο αποτελεσματικά ενώ έχουν και ένα εγγενή μηχανισμό προστασίας ενάντια στις επιθέσεις πλάγιου μονοπατιού. Λόγω του γεγονότος πως οι καμπύλες αυτές ορίζεται πάνω σε ένα πεπερασμένο σώμα ( ), οι πράξεις μεταξύ των σημείων της καμπύλης βασίζονται στην αριθμητική πεπερασμένων σωμάτων. Για να αυξηθεί το προτεινόμενο επίπεδο προστασίας και η συνολική αποδοτικότητα χρησιμοποιήθηκε το Αριθμητικό Σύστημα Υπολοίπων (Residue Number System - RNS), το οποίο αντικαθιστά μια πράξη με δεδομένα μεγάλου μεγέθους με υπολογισμούς σε παράλληλα μονοπάτια μικρότερου μεγέθους. Επίσης, το σύστημα RNS λόγω της αναπαράστασης των αριθμών οι οποίοι βασίζονται σε αριθμητικά υπόλοιπα, έχει μια εγγενή προστασία ενάντια σε επιθέσεις σφάλματος καθώς οποιοδήποτε εισαχθέν σφάλμα σε μια μεταβλητή κατά τη διάρκεια ενός RNS υπολογισμού, διαδίδεται σε όλες τις άλλες μεταβλητές και καθιστά το αποτέλεσμα μη-χρησιμοποιήσιμο (αρχή μολυσματικού υπολογισμού). Για την περαιτέρω αύξηση του μηχανισμού προστασίας, ένας αλγόριθμος για το βαθμωτό πολλαπλασιασμό βασιζόμενος στο Montgomery Power Ladder υιοθετήθηκε ο οποίος χρησιμοποιεί τυχαιοποίηση και έλεγχο συνοχής σε μια προσπάθεια το προτεινόμενο σύστημα να παρουσιάζει αντοχή και ανθεκτικότητα ενάντια σε FA και SCA επιθέσεις χωρίς να δημιουργηθούν νέα τρωτά σημεία. iv

7 v

8 Abstract Nowadays, the secure transmission of information and data is a major issue. Towards this end, modern security systems use cryptographic algorithms to provide confidentiality, integrity and authenticity of data. As a result, in recent years the science of cryptography has become an area with a large scientific interest. In particular, public-key cryptography is being developed very fast and is widely applied as it provides a large degree of data protection. This characteristic is being achieved thanks to the high computational complexity of the used algorithms when trying to attack them. Moreover, this type of cryptography avoids the problem of distribution and key management in an insecure communication channel that is presented in private-key cryptography. However, public-key cryptography has the disadvantage that during encryption and decryption, costly arithmetic operations are required (e.g. modulo multiplication, inversion). This problem is aggravated by the fact that the length of the keys in this type of cryptography is very large in order to ensure a high level of security. A solution to the above problems is the design optimization of arithmetic operations required in a public key system and the use of elliptic curves due to the fact that shorter keys are used to achieve the same level of security. In the Elliptic Curve Cryptography, Scalar Multiplication constitutes the main mathematic operation and involves a series of other point operations that add up to the computational complexity of Elliptic Curve cryptography as a whole. Furthermore, scalar multipliers are the main target of physical, hardware, attacks aiming at extracting sensitive information during one scalar multiplication execution. The most widely used such attacks are fault injection attacks (FA) and side channel attacks (SCA). However, integrating FA and SCA countermeasures into a scalar multiplier implementation is not a straightforward task. Combining different countermeasures into a single architecture may create new vulnerabilities on this system that an attacker can exploit. Due to the above fact and since the performance cost of each FA-SCA countermeasure is not negligible, choosing the protection scheme for a scalar multiplier architecture must be done very carefully. In this thesis, public-key cryptography based on elliptic curves was studied aiming to propose and implement an efficient cryptographic system, both in terms of speed and space requirements and in terms of security. In this design methodology, great focus is given to the use of a new form of elliptic curves, Edwards Curves, which have significant advantages over conventional elliptic curves (e.g. Weierstrass), since the Edwards Curve operations can be more efficiently implemented and have an inherent protection mechanism against SCA. Due to the fact that these curves are defined over a finite field ( ), the operations between the points of the curve are based on arithmetic of finite fields. To enhance the proposed protection level and to increase performance efficiency, Residual Number System (RNS) was used, which replaces an operation of large data size with calculations on parallel paths of smaller size. Moreover, RNS due to its modulo basis number representation has inherent protection against fault injection attacks since any introduced fault in an involved variable during some RNS calculation, propagates to all the other variables and renders the result unusable (infective computing vi

9 principle). To further enhance this protection mechanism, a Montgomery Power Ladder based scalar multiplication algorithm was adopted that employs randomization and check coherence in an effort to provide FA and SPA resistance against a wide range of attacks without introducing new vulnerabilities. vii

10 viii

11 Περιεχόμενα Ευχαριστίες... i Περίληψη... iii Abstract... vi Περιεχόμενα... ix Κατάλογος Σχημάτων... xiii Κατάλογος Πινάκων... xv Λίστα Συντομογραφιών... xvii Κεφάλαιο 1: Εισαγωγικές Έννοιες Εισαγωγή Προϋπάρχουσα Έρευνα Συμβολή Διπλωματικής Εργασίας Δομή Διπλωματικής Εργασίας Κεφάλαιο 2: Μαθηματικό Υπόβαθρο Βασικές Αρχές Θεωρίας ομάδων Σχέσεις Ισοδυναμίας και Αριθμητική Υπολοίπων (moduli) Θεωρία Ελλειπτικών Καμπυλών Βασικές Αρχές Αριθμητική Ελλειπτικών Καμπυλών Νόμος Ομάδας Βαθμωτός Πολλαπλασιασμός ή Πολλαπλασιασμός Σημείου (Scalar Multiplication or Point Multiplication) Καμπύλες Edwards ορισμένες σε σώμα ( ) (Edwards Curve over ( )) Πρόσθεση Σημείων Διπλασιασμός Σημείων Κρυπτογραφία Ελλειπτικών Καμπυλών Αριθμητικό Σύστημα Υπολοίπων (Residue Number System) Μετατροπή από το Δυαδικό Σύστημα στο RNS (Binary to RNS Conversion) Μετατροπή από το RNS στο Δυαδικό Σύστημα (RNS to Binary Conversion) Επίλογος Κεφάλαιο 3: Επιθέσεις στο Φυσικό Μέσο και Τρόποι Αντιμετώπισης Μη επεμβατικές επιθέσεις σε Ελλειπτικές Καμπύλες Απλή Ανάλυση Ισχύος (Simple Power Analysis) Επιθέσεις Προτύπου (Template Attacks) Διαφορική Ανάλυση Ισχύος (Differential Power Analysis) Συγκριτική Επίθεση Πλάγιου Μονοπατιού (Comparative Side-Channel Attack) Λεπτομερής Ανάλυση Ισχύος (Refined Power Analysis) Επίθεση Μηδενικού Σημείου (Zero-Value Point Attack) Επίθεση Κρατουμένου (Carry-Based Attack) ix

12 3.1.8 DPA Επίθεση Διεύθυνσης Bit (Address-Bit DPA) Ημι-επεμβατικές Επιθέσεις σε Ελλειπτικές Καμπύλες Ασφαλής Ανάλυση Σφάλματος (Safe-Error Analysis) Ασφαλές Σφάλμα C (C safe-error) Ασφαλές Σφάλμα M (Μ safe-error) Ανάλυση Αδύναμης Καμπύλης (Weak Curve Based Analysis) Επιθέσεις Άκυρου Σημείου (Invalid Point Attacks) Επιθέσεις Άκυρης Καμπύλης (Invalid Curve Attacks) Επίθεση βασισμένη σε Συνεστραμμένη Καμπύλη (Twist Curve based Attack) Διαφορική Επίθεση Σφάλματος (Differential Fault Attack) FA Αλλαγής Προσήμου (Sign Change FA) Biehl-Meyer-Muller DFA Αντίμετρα SPA Αντίμετρα Μέθοδος Μη Διαχωρίσιμων Πράξεων Σημείου (Indistinguishable Point Operation Formulae (IPOF)) Συνεχής Διπλασιασμός και Πρόσθεση (Double-and-Add-Always) Ατομικό Μπλοκ (Atomic Block) Montgomery Powering Ladder DPA Αντίμετρα Βαθμωτή Τυχαιοποίηση (Scalar Randomisation) Απόκρυψη Σημείου Βάσης (Base Point Blinding) Τυχαίες Προβολικές Συντεταγμένες (Random Projective Coordinates) Τυχαία Διάσπαση Κλειδιού (Random Key Splitting) Τυχαίος Ισομορφισμός Ελλειπτικής Καμπύλης (Random EC Isomorphism) Τυχαίος Ισομορφισμός Σώματος (Random Field Isomorphism) Τυχαία Διεύθυνση Καταχωρητή (Random Register Address) FA Αντίμετρα Επικύρωση Σημείου (Point Validation) Έλεγχος Ακεραιότητας Καμπύλης (Curve Integrity Check) Έλεγχος Συνοχής (Coherence Check) Έλεγχος Συνδυασμένης Καμπύλης (Combined Curve Check) Πολλαπλασιασμός Συμπαράγοντα (Co-factor Multiplication) Επίλογος Κεφάλαιο 4: Σχεδιασμός Πράξεων Σημείων σε Ελλειπτικές Καμπύλες Edwards ορισμένες στο ( ) Προτεινόμενος Αλγόριθμος Βαθμωτού Πολλαπλασιασμού Ανάλυση Ασφάλειας Προτεινόμενου Αλγορίθμου Νόμος Ομάδας σε EK Edwards σε Προβολικές Συντεταγμένες Εξισώσεις Πρόσθεσης Σημείων x

13 4.2.2 Εξισώσεις Διπλασιασμού Σημείου Συγκρίσεις Πράξεων Ελλειπτικών Καμπυλών για Προβολικές Συντεταγμένες Εξισώσεις για τον Υπολογισμό του Επίλογος Κεφάλαιο 5: Αλγόριθμοι και Αρχιτεκτονικές Αριθμητικών Μονάδων για Πράξεις σε Σώματα ( ) Modular Αθροιστής/Αφαιρέτης Modular Αθροιστής για την Πρώτη Βάση (Modulo Adder) Modular Αφαιρέτης για την Πρώτη Βάση (Modulo Subtractor) Modular Αθροιστής για τη Δεύτερη Βάση (RM Adder) Modular Αφαιρέτης για τη Δεύτερη Βάση (RM Subtractor) Modular Πολλαπλασιαστής Modular Πολλαπλασιαστής για την Πρώτη Βάση (Modulo Multiplier) Modular Πολλαπλασιαστής για τη Δεύτερη Βάση (RM Multiplier) RNS Αθροιστής/Αφαιρέτης RNS Montgomery Πολλαπλασιαστής Αλγόριθμος RNS Montgomery Πολλαπλασιασμού Επέκταση Βάσης (Base Extension) Μετατροπή από RNS σε MRS αναπαράσταση Μετατροπή από MRS σε RNS Αναπαράσταση Αρχιτεκτονική RNS Montgomery Πολλαπλασιαστή Μετατροπή από το Δυαδικό Σύστημα σε Μορφή RNS Προτεινόμενη Αρχιτεκτονική Συστήματος Κρυπτογραφίας Ελλειπτικών Καμπυλών Edwards Παρουσίαση Αρχιτεκτονικής για τον Υπολογισμό του Ανάλυση Λειτουργίας Προτεινόμενης Αρχιτεκτονικής για τον Υπολογισμό του Επίλογος Κεφάλαιο 6: Διαδικασία Ανάπτυξης και Αποτελέσματα Διαδικασία Ανάπτυξης Αποτελέσματα Σύγκριση Αποτελεσμάτων Επίλογος Κεφάλαιο 7: Συμπεράσματα και Μελλοντικές Προοπτικές Έρευνας Βιβλιογραφία xi

14 xii

15 Κατάλογος Σχημάτων 1.1 Τυπικό σύστημα κρυπτογράφησης-αποκρυπτογράφησης Πυραμιδικό μοντέλο σχεδιασμού συστήματος κρυπτογραφίας ελλειπτικών καμπυλών Άθροιση σημείων σε μια Ελλειπτική Καμπύλη ορισμένη στο πραγματικό πεδίο Διπλασιασμός σημείου σε μια Ελλειπτική Καμπύλη ορισμένη στο πραγματικό πεδίο Modular αθροιστής για την πρώτη βάση Modular αφαιρέτης για την πρώτη βάση Modular αθροιστής για τη δεύτερη βάση Modular αφαιρέτης για τη δεύτερη βάση Modular πολλαπλασιαστής για την πρώτη βάση Modular πολλαπλασιαστής για τη δεύτερη βάση RNS αθροιστής/αφαιρέτης Κύκλωμα υπολογισμού του όρου της σχέσης Κύκλωμα μετατροπής από RNS σε MRS αναπαράσταση για την πρώτη βάση Κύκλωμα μετατροπής από RNS σε MRS αναπαράσταση για τη δεύτερη βάση Κύκλωμα μετατροπής από MRS σε RNS αναπαράσταση για τα moduli της δεύτερης βάσης Κύκλωμα μετατροπής από MRS σε RNS αναπαράσταση για τα moduli της δεύτερης βάσης Κύκλωμα μετατροπής από MRS σε RNS αναπαράσταση για τα moduli της πρώτης βάσης Κύκλωμα μετατροπής από MRS σε RNS αναπαράσταση για τα moduli της πρώτης βάσης RNS Montgomery Πολλαπλασιαστής Κύκλωμα μετατροπής από το δυαδικό σύστημα σε μορφή RNS Γενική αρχιτεκτονική για τον υπολογισμό του Διαδικασία ανάπτυξης προτεινόμενης αρχιτεκτονικής xiii

16 xiv

17 Κατάλογος Πινάκων 1.1 Μέγεθος κλειδιού για ισοδύναμα επίπεδα ασφάλειας για διάφορα συστήματα δημοσίου κλειδιού Κόστος πρόσθεσης και διπλασιασμού σημείου για διάφορες μορφές ΕΚ Συνολικό κόστος πρόσθεσης και διπλασιασμού σημείου για διάφορες μορφές ΕΚ για S=0.8M Εξισώσεις για τον υπολογισμό του βαθμωτού πολλαπλασιασμού Τιμές επιλεγμένων moduli για τις βάσεις και Επιλογή modulo άθροισης για τη δεύτερη βάση σύμφωνα με τα σήματα και Επιλογή modulo αφαίρεσης για τη δεύτερη βάση σύμφωνα με τα σήματα και Εξισώσεις για μετατροπή από RNS σε MRS από την βάση στην βάση Εξισώσεις για μετατροπή από RNS σε MRS από την βάση στην βάση Απόδοση και απαιτήσεις υλικού για τα βασικά component της προτεινόμενης αρχιτεκτονικής Απόδοση και απαιτήσεις υλικού της προτεινόμενης αρχιτεκτονικής για το συνολικό κύκλωμα Απόδοση και απαιτήσεις υλικού για το συνολικό κύκλωμα σε αντίστοιχες εργασίες στην βιβλιογραφία xv

18 xvi

19 Λίστα Συντομογραφιών Αγγλικά ADPA CRT DFA DLP DPA FA ECDLP ECPM IFP MRs RM RNS ROM RPA SCA SPA ZPA Address-Bit Differential Power Analysis Chinese Remainder Theorem Differential Fault Attack Discrete Logarithm Problem Differential Power Analysis Fault Attack Elliptic Curve Discrete Logarithm Problem Elliptic Curve Point Multiplication Integer Factorization Problem Mixed Radix System Reconfigurable Modular Residue Number System Read Only Memory Refined Power Analysis Side Channel Attack Simple Power Analysis Zero-Value Point Attack Ελληνικά EK ΜΚΔ Ελλειπτικές Καμπύλες Μέγιστος Κοινός Διαιρέτης xvii

20 xviii

21 Κεφάλαιο 1: Εισαγωγικές Έννοιες 1.1 Εισαγωγή Η λέξη κρυπτογραφία προέρχεται από τα συνθετικά "κρυπτός" + "γράφω". Είναι ο επιστημονικός κλάδος, ο οποίος ασχολείται με τη μελέτη, την ανάπτυξη και την χρήση τεχνικών για την επίτευξη ασφαλούς επικοινωνίας μεταξύ δύο ή περισσότερων προσώπων κατά την παρουσία τρίτων, που ονομάζονται επιτιθέμενοι. Γενικότερα, αφορά την υλοποίηση και ανάλυση πρωτοκόλλων για τη διασφάλιση της προστασίας και της ακεραιότητας των προσωπικών δεδομένων, της μη-απάρνησης προηγούμενων ενεργειών καθώς και τον έλεγχο της ταυτότητας προέλευσης των δεδομένων. Η σύγχρονη κρυπτογραφία βασίζεται στους κλάδους των μαθηματικών, της επιστήμης των υπολογιστών και της ηλεκτρολογίας. Εφαρμογές της κρυπτογραφίας περιλαμβάνουν την προστασία ΑΤΜ καρτών, των κωδικών πρόσβασης υπολογιστών, των μηνυμάτων ηλεκτρονικού ταχυδρομείου και του ηλεκτρονικού εμπορίου. Κρυπτογράφηση (encryption) ονομάζεται η διαδικασία με την οποία επιτυγχάνεται η μετατροπή ενός μηνύματος με τέτοιο τρόπο ώστε το περιεχόμενο του να παραμένει μυστικό. Η αντίστροφη διαδικασία όπου από το μετασχηματισμένο μήνυμα παράγεται πάλι το αρχικό ονομάζεται αποκρυπτογράφηση (decryption). Κλειδί (key) είναι μία ακολουθία bit που χρησιμοποιείται ως είσοδος τόσο στη συνάρτηση κρυπτογράφησης όσο και στη συνάρτηση αποκρυπτογράφησης. Η αρχική πληροφορία αποτελεί το αρχικό κείμενο (plaintext), ενώ το αποτέλεσμα της κρυπτογράφησης ονομάζεται κρυπτογραφημένο κείμενο (ciphertext). Ένα τυπικό σύστημα κρυπτογράφησης-αποκρυπτογράφησης παρουσιάζεται στην Εικόνα 1.1. Κλειδί Κρυπτογράφησης Κλειδί Αποκρυπτογράφησης Αρχικό Κείμενο P Αλγόριθμος Κρυπτογράφησης E Κρυπτογραφημένο Κείμενο C Αλγόριθμος Αποκρυπτογράφησης D Αρχικό Κείμενο P Εικόνα 1.1 Τυπικό σύστημα κρυπτογράφησης-αποκρυπτογράφησης Κρυπτογραφικός αλγόριθμος είναι η μέθοδος που χρησιμοποιείται για τον μετασχηματισμό των δεδομένων σε τέτοια μορφή που να μην επιτρέπει την αποκάλυψη των περιεχομένων τους σε μη εξουσιοδοτημένα άτομα. Κατά κανόνα, ο κρυπτογραφικός αλγόριθμος είναι μία πολύπλοκη μαθηματική ή λογική συνάρτηση. Οι κρυπτογραφικοί αλγόριθμοι διακρίνονται σε δυο κατηγορίες: στους συμμετρικούς αλγορίθμους κρυπτογράφησης (αλγόριθμοι ιδιωτικού 1

22 Κεφάλαιο 1 Εισαγωγικές Έννοιες κλειδιού) και στους ασύμμετρους αλγορίθμους κρυπτογράφησης (αλγόριθμοι δημοσίου κλειδιού). Οι συμμετρικοί αλγόριθμοι κρυπτογράφησης χρησιμοποιούν το ίδιο κλειδί τόσο για κρυπτογράφηση όσο και για αποκρυπτογράφηση. Το κλειδί αυτό ονομάζεται ιδιωτικό κλειδί. Η ασφάλεια αυτών των αλγορίθμων βασίζεται στη μυστικότητα του κλειδιού. Τα συμμετρικά κρυπτοσυστήματα προϋποθέτουν την ανταλλαγή του κλειδιού μέσα από ένα κανάλι επικοινωνίας ή μέσα από την φυσική παρουσία των προσώπων. Αυτό το χαρακτηριστικό καθιστά δύσκολη την επικοινωνία μεταξύ απομακρυσμένων ατόμων. Τα μεγάλα τους πλεονεκτήματα είναι η ταχύτητα του χρόνου εκτέλεσης και η εύκολη υλοποίησή τους (hardware). Γνωστοί συμμετρικοί αλγόριθμοι είναι ο DES, ο Triple DES και o AES. Το μέγεθος των κλειδιών διαφέρει σε κάθε περίπτωση. Παραδείγματος χάρη ο DES χρησιμοποιεί κλειδιά 56 bit, ενώ ο AES χρησιμοποιεί κλειδιά 128, 192 και 256 bit [1]. Για να εξασφαλιστεί επίσης η υψηλή ασφάλεια και η αξιοπιστία που παρέχουν αυτοί οι κρυπτογραφικοί αλγόριθμοι είναι αναγκαστική η περιοδική αλλαγή των κλειδιών. Αυτή η διαδικασία απαιτεί την αντικατάσταση και την ανταλλαγή ενός νέου κλειδιού μεταξύ των ατόμων που επικοινωνούν. Για να επιτευχθεί όμως αυτό, απαιτείται πάλι η αποστολή του νέου κλειδιού μέσω κάποιου μη ασφαλούς καναλιού επικοινωνίας, το οποίο μπορεί να παρακολουθείται από κάποιον τρίτο (επιτιθέμενο). Λύση στο πρόβλημα της διανομής και διαχείρισης κλειδιών μέσα σε ένα μη ασφαλές κανάλι επικοινωνίας δόθηκε από τους Diffie και Hellman [2], οι οποίοι πρότειναν τις βασικές αρχές της κρυπτογραφίας δημοσίου κλειδιού. Στους ασύμμετρους αλγόριθμους κρυπτογράφησης, ο κάθε χρήστης έχει ένα ζευγάρι κλειδιών ( ). Το κλειδί ονομάζεται δημόσιο και χρησιμοποιείται για την κρυπτογράφηση των μηνυμάτων. Το κλειδί αυτό μπορεί να είναι διαθέσιμο σε όλους. Το κλειδί ονομάζεται ιδιωτικό και χρησιμοποιείται για την διαδικασία της αποκρυπτογράφησης. Η βασική σχέση που ισχύει είναι: ό,τι κρυπτογραφεί το ένα κλειδί, μπορεί να το αποκρυπτογραφήσει μόνο το άλλο. Συνεπώς, δεν μεταδίδεται κανένα κρυφό κλειδί δια μέσω του καναλιού επικοινωνίας, ενώ ο αριθμός των χρησιμοποιούμενων κλειδιών είναι αυστηρά περιορισμένος σε δύο. Η υψηλή ασφάλεια αυτών των αλγορίθμων έγκειται στην υπολογιστική αδυναμία εύρεσης του ιδιωτικού κλειδιού γνωρίζοντας το δημόσιο. Το πρόβλημα εύρεσης του ιδιωτικού κλειδιού είναι εφάμιλλο της επίλυσης ενός δισεπίλυτου μαθηματικού προβλήματος. Τα τρία πιο γνωστά τέτοια προβλήματα που χρησιμοποιούνται στην Κρυπτογραφία Δημοσίου Κλειδιού είναι: Πρόβλημα παραγοντοποίησης ακεραίων (Integer Factorization Problem, IFP). Έστω ότι είναι ένας θετικός ακέραιος, να βρεθεί η παραγοντοποίησή του σε πρώτους αριθμούς έτσι ώστε, όπου είναι διακριτοί ανά ζεύγη πρώτοι ακέραιοι αριθμοί και κάθε. Πρόβλημα διακριτού λογαρίθμου (Discrete Logarithm Problem, DLP): Έστω ότι είναι ένας πρώτος αριθμός, είναι ένα στοιχείο γεννήτορας του ( ) και είναι ένα στοιχείο του. Να βρεθεί ένας ακέραιος, τέτοιος ώστε ( ). 2

23 Κεφάλαιο 1 Εισαγωγικές Έννοιες Πρόβλημα διακριτού λογαρίθμου Ελλειπτικών Καμπύλων (Elliptic Curve Discrete Logarithm Problem, ECDLP): Αποτελεί γενίκευση του DLP. Έστω ότι υπάρχει μια Ελλειπτική Καμπύλη ορισμένη σε ένα Σώμα και έστω ότι είναι ένα σημείο της καμπύλης αυτής, ( ), τάξεως και ότι είναι επίσης ένα σημείο της καμπύλης, ( ). Να βρεθεί ακέραιος αριθμός, τέτοιος ώστε. Ένα ακόμη πλεονέκτημα των συστημάτων δημόσιου κλειδιού είναι ότι παρέχουν επιπρόσθετα μια μέθοδο για ψηφιακές υπογραφές. Το μειονέκτημα που παρουσιάζουν είναι το υψηλό υπολογιστικό κόστος που απαιτείται κατά την εκτέλεση τους. Γνωστοί ασύμμετροι αλγόριθμοι είναι ο RSA, o DSA και οι Ελλειπτικές Καμπύλες. Το μέγεθος των κλειδιών που χρησιμοποιούνται από τους ασύμμετρους αλγόριθμους διαφέρει κατά πολύ από το αντίστοιχο μέγεθος των κλειδιών των συμμετρικών αλγόριθμων. Στον παρακάτω πίνακα (πίνακας 1.1) συνοψίζονται τα μεγέθη κλειδιού που απαιτούνται για ασύμμετρα κρυπτοσυστήματα για την επίτευξη ισοδύναμων επίπεδων ασφάλειας: Συστήματα Δημοσίου Κλειδιού Μέγεθος κλειδιού (bits) Σύστημα RSA Σύστημα Διακριτού Λογαρίθμου Σύστημα Ελλειπτικών Καμπυλών Πίνακας 1.1 Μέγεθος κλειδιού για ισοδύναμα επίπεδα ασφάλειας για διάφορα συστήματα δημοσίου κλειδιού Εύκολα λοιπόν παρατηρείται το γεγονός ότι μικρότεροι παράμετροι απαιτούνται στις Ελλειπτικές Καμπύλες για δεδομένο επίπεδο ασφάλειας σε σχέση με τα RSA και DL συστήματα. Πιο συγκεκριμένα, ενώ το DLP πρόβλημα λύνεται με αλγόριθμο που έχει υποεκθετική πολυπλοκότητα, το ECDLP λύνεται με εκθετική πολυπλοκότητα ως προς τον αριθμό των bit του μέγιστου δυνατού κλειδιού. Κατά συνέπεια, με το ίδιο μέγεθος κλειδιού ένα κρυπτογράφημα βασισμένο στο ECDLP επιτυγχάνει πολύ μεγαλύτερη ασφάλεια σε σχέση με τα DLP και IFP ή αλλιώς χρησιμοποιώντας πολύ μικρότερο κλειδί ένα ECDLP κρυπτογράφημα επιτυγχάνει την ίδια ασφάλεια με ένα DLP ή IFP κρυπτογράφημα. Η χρήση λοιπόν μικρότερου κλειδιού έχει σαν αποτέλεσμα γρηγορότερους υπολογισμούς και μείωση απαιτήσεων σε επεξεργαστική ισχύ και αποθηκευτικό χώρο. Για αυτούς τους λόγους, οι Ελλειπτικές Καμπύλες έχουν γίνει ιδιαίτερα ελκυστικές σε εφαρμογές με υψηλές απαιτήσεις ασφάλειας και έχουν αποτελέσει αντικείμενο μελέτης τα τελευταία χρόνια. Η Κρυπτανάλυση (cryptanalysis) από την άλλη πλευρά είναι ο κλάδος της επιστήμης της κρυπτολογίας που ασχολείται με το «σπάσιμο» κρυπτογραφικών συστημάτων ασφαλείας, έτσι ώστε χωρίς να είναι γνωστό το κλειδί της κρυπτογράφησης να μπορεί να αποκωδικοποιηθεί το αρχικό κείμενο. Βασικός στόχος της κρυπτανάλυσης είναι η εφαρμογή μιας επίθεσης με την οποία θα ανακαλυφθεί το κλειδί ή ένας ισοδύναμος αλγόριθμος που θα αποκρυπτογραφεί το μήνυμα. Οι επιθέσεις αυτές χωρίζονται σε δύο κατηγορίες: τις επιθέσεις στον αλγόριθμο κρυπτογραφίας και τις επιθέσεις στο φυσικό μέσο. 3

24 Κεφάλαιο 1 Εισαγωγικές Έννοιες Στην κατηγορία επιθέσεων στον αλγόριθμο κρυπτογραφίας ανήκουν όλες εκείνες στις οποίες ο επιτιθέμενος έχοντας στη διάθεση του ένα ή περισσότερα μηνύματα ή/και κρυπτογραφημένα μηνύματα, προσπαθεί να ανακαλύψει το κλειδί. Αυτές οι επιθέσεις διακρίνονται με τη σειρά τους στις εξής περιπτώσεις: Ciphertext-only attack O επιτιθέμενος έχει στην κατοχή του μόνο μια συλλογή από κρυπτογραφημένα μηνύματα. Known-Plaintext attack O επιτιθέμενος έχει στην κατοχή του ένα ή περισσότερα κρυπτογραφημένα μηνύματα καθώς και τα αντίστοιχα αρχικά μηνύματα. Chosen Plaintext attack Ο επιτιθέμενος έχοντας επιλέξει ένα ή περισσότερα από τα αρχικά μηνύματα, μπορεί να αποκτήσει τα αντίστοιχα κρυπτογραφημένα μηνύματα. Chosen Cipher attack Ο επιτιθέμενος έχοντας επιλέξει ένα ή περισσότερα από τα κρυπτογραφημένα μηνύματα, μπορεί να αποκτήσει τα αντίστοιχα αρχικά μηνύματα. Όσον αφορά τις επιθέσεις στο φυσικό μέσο, αυτού του είδους οι επιθέσεις προϋποθέτουν την παρουσία του κρυπτογραφικού συστήματος και επιχειρούν, προκαλώντας διαταραχές στον τρόπο λειτουργίας του, να εξάγουν συμπεράσματα για τον αλγόριθμο κρυπτογράφησης και το κλειδί. Χωρίζονται στα παρακάτω είδη επιθέσεων: Invasive Attacks (Επεμβατικές Επιθέσεις) Η επεμβατική επίθεση αποτελεί το πιο δυνατό είδος επίθεσης που μπορεί να εφαρμοστεί σε ένα μια κρυπτογραφική συσκευή. Αυτές οι επιθέσεις στοχεύουν στην φυσική διατάραξη της λειτουργίας του ολοκληρωμένου κυκλώματος. Το πρώτο βήμα περιλαμβάνει την αποπαθητικοποίηση (depassivation) του προστατευτικού στρώματος του συστήματος. Εν συνεχεία, ακολουθεί η απομάκρυνση ολοκληρωμένων κυκλωμάτων (chip depackaging) και η τροποποίηση της λειτουργίας του συστήματος μέσω ειδικών εργαλείων. Οι τροποποιήσεις αυτές μπορεί να συμβούν στον εκτελέσιμο κώδικα και στις τιμές των καταχωρητών. Επίσης, σε αυτού του είδους τις επιθέσεις παρατηρείται η συμπεριφορά του συστήματος μετά από διακοπή ρεύματος δεδομένου ότι κάποια κυκλώματα έχουν την ικανότητα να συγκρατούν τα δεδομένα τους. Οι επεμβατικές επιθέσεις δεν είναι εύκολο να πραγματοποιηθούν καθώς απαιτούν ακριβό και εξειδικευμένο εξοπλισμό. Τέλος, απαιτείται μεγάλη γνώση και εμπειρία από τους επιτιθέμενους για μια επιτυχημένη επίθεση. Semi invasive attacks (Ημι-επεμβατικές επιθέσεις) Σε αυτές τις επιθέσεις, γνωστές και ως επιθέσεις σφάλματος (fault attacks), παρατηρείται η συμπεριφορά του κρυπτογραφικού συστήματος μετά από μία εξειδικευμένη πυροδότησή του. Όπως και στις επεμβατικές επιθέσεις απαιτείται απομάκρυνση των ολοκληρωμένων κυκλωμάτων (chip depackaging). Παρόλα αυτά δεν εφαρμόζεται αποπαθητικοποίηση (depassivation) του προστατευτικού στρώματός του, καθώς δεν δημιουργούνται ηλεκτρικές επαφές με τις επιφάνειες των ολοκληρωμένων. Ο σκοπός αυτού του είδους επιθέσεως είναι είτε 4

25 Κεφάλαιο 1 Εισαγωγικές Έννοιες να ανακαλύψει το περιεχόμενο των κυττάρων μνήμης είτε να προκαλέσει την παραγωγή ενός σφάλματος κατά τη διάρκεια μιας κρυπτογραφικής λειτουργίας και έπειτα να παρατηρηθεί η διάδοσή του. Ο εισβολέας είναι σε θέση να εξάγει πληροφορίες από τις εν λόγω παρατηρήσεις. Στις ημι-επεμβατικές επιθέσεις το σφάλμα παράγεται με ακραίες θερμοκρασιακές μεταβολές, αρρυθμίες του ρολογιού (clock glitches), υπεριώδη ακτινοβολία ή με ακτίνες λέιζερ. Οι παραπάνω επιθέσεις είναι σχετικά δύσκολο να εφαρμοστούν αφού προϋποθέτουν εμπειρία του επιτιθέμενου και ακριβά μέσα. Non invasive attacks (Μη Επεμβατικές Επιθέσεις) Αυτές οι επιθέσεις, οι οποίες καλούνται επίσης και επιθέσεις πλάγιου μονοπατιού (Side Channel Attacks), εκμεταλλεύονται τα χαρακτηριστικά του ολοκληρωμένου κυκλώματος (υπολογιστικό χρόνο, κατανάλωση ενέργειας, εκπομπή ηλεκτρομαγνητικής ακτινοβολίας) για να εξάγουν πληροφορίες από τα επεξεργαζόμενα δεδομένα και να συμπεραίνουν το κλειδί ή άλλες σημαντικές πληροφορίες. Σε αυτού του είδους τις επιθέσεις ο επιτιθέμενος δεν παρεμβαίνει στο κρυπτογραφικό σύστημα. Αρκεί η χρήση μόνο ενός υπολογιστή, ενός ψηφιακού παλμογράφου καθώς και καλωδίων για να παρατηρηθούν οι πληροφορίες που απαιτούνται. Σημαντικό είναι το γεγονός ότι σε αυτό το είδος επιθέσεων δεν απαιτούνται εξεζητημένες γνώσεις και εμπειρία για την πραγματοποίηση της επίθεσης. Οι επιθέσεις αυτές διακρίνονται στις εξής κατηγορίες: Timing attacks: Ο επιτιθέμενος παρακολουθεί τον χρόνο που απαιτείται από το σύστημα για την εκτέλεση κρυπτογραφικών αλγορίθμων. Κάθε λογική λειτουργία που εκτελείται απαιτεί χρόνο για την ολοκλήρωση της, και ο χρόνος αυτός διαφέρει ανάλογα με τα δεδομένα εισόδου. Με ακριβείς μετρήσεις του χρόνου για κάθε πράξη, ο επιτιθέμενος είναι σε θέση να ανακαλύψει πληροφορίες για το κλειδί. Στη συνέχεια ο επιτιθέμενος υποθέτει διάφορα κλειδιά και συγκρίνει τα υποτιθέμενα αποτελέσματα με τα πραγματικά. Λαμβάνοντας αρκετά δείγματα μπορεί να συμπεράνει το κλειδί. Power Attacks: Αυτές οι επιθέσεις παρακολουθούν την κατανάλωση ενέργειας που εκλύεται κατά τη διάρκεια μιας κρυπτογράφησης. Η Απλή Ανάλυση Ισχύος (Simple Power Attack (SPA)) περιλαμβάνει την οπτική εξέταση των γραφημάτων του ρεύματος που χρησιμοποιείται από μια συσκευή με την πάροδο του χρόνου. Διακυμάνσεις στην κατανάλωση ενέργειας λαμβάνουν χώρα καθώς εκτελούνται διαφορετικές λειτουργίες. Αυτό μπορεί να οδηγήσει τον επιτιθέμενο να ξεχωρίσει τις διεργασίες που συμβαίνουν στο σύστημα και εν τέλει το ίδιο το κλειδί, μιας και είναι αυτό που ουσιαστικά τις ορίζει. Ακόμα όμως κι αν υπάρχει προστασία ενάντια στην επίθεση SPA, το σύστημα δεν είναι απόλυτα ασφαλές. Η Διαφορική Ανάλυση Ισχύος (Differential Power Analysis (DPA)) είναι μια πιο προχωρημένη μορφή επιθέσεως ενέργειας η οποία μπορεί να επιτρέψει σε ένα επιτιθέμενο να υπολογίσει ενδιάμεσα αποτελέσματα σε κρυπτογραφικούς υπολογισμούς από τη στατιστική ανάλυση δεδομένων που συλλέγονται από τις πολλαπλές λειτουργίες κρυπτογράφησης. Έτσι, ο επιτιθέμενος μπορεί να ανακαλύψει το κλειδί και άλλες κρυφές πληροφορίες από τη συσκευή. 5

26 Κεφάλαιο 1 Εισαγωγικές Έννοιες Electromagnetic Attacks: Αυτού του τύπου οι επιθέσεις εκμεταλλεύονται συσχετίσεις μεταξύ των κρυπτογραφημένων δεδομένων και των διακυμάνσεων της εκπεμπόμενης ακτινοβολίας από την κρυπτογραφική συσκευή. Για αυτές τις επιθέσεις δεν απαιτείται επαφή με το ολοκληρωμένο κύκλωμα, πράγμα το οποίο σημαίνει πως η διαδικασία μπορεί να γίνει και από πιο μακριά. Δυστυχώς όμως, αιτίες όπως ο θόρυβος και τα όρια σφάλματος των μετρήσεων περιορίζουν την αποτελεσματικότητα της μεθόδου. Για την αντιμετώπιση των παραπάνω επιθέσεων υπάρχουν δυο διαφορετικοί τύποι αντίμετρων που μπορούν να εφαρμοστούν. Στην πρώτη περίπτωση ανήκουν τα αντίμετρα που βασίζονται στον αλγόριθμο. Αυτά αποτελούν τεχνικές που διαφοροποιούν τις αλγεβρικές πράξεις του αλγορίθμου και έχουν σαν στόχο να ελαχιστοποιήσουν την πληροφορία που διαχέεται στο περιβάλλον. Εφαρμόζονται για προστασία από semi invasive και non invasive επιθέσεις. Στη δεύτερη περίπτωση υπάρχουν τα αντίμετρα που βασίζονται στο κύκλωμα. Αυτές είναι δομές που προστίθενται στο ολοκληρωμένο και σκοπό έχουν να αναγνωρίσουν τυχόν απόπειρα επίθεσης. Μπορούν να εφαρμοστούν για κάθε τύπο επίθεσης στο υλικό μέσο. Δυστυχώς, λόγω του υψηλού κόστους που απαιτούν τα αντίμετρα αυτά η χρήση τους γίνεται ασύμφορη. 1.2 Προϋπάρχουσα Έρευνα Στην κρυπτογραφία Ελλειπτικών Καμπυλών επιλέγεται ένα πρωτόκολλο κρυπτογραφίας Ελλειπτικών Καμπυλών καθώς και ένας αντίστοιχος αλγόριθμος για κρυπτογράφησηαποκρυπτογράφηση, ψηφιακή υπογραφή ή πιστοποίηση μηνύματος. Ο αλγόριθμος αυτός, ο οποίος είναι βασισμένος στο ECDLP, εκτελεί μια ή περισσότερες φορές μια πολύπλοκη από μαθηματικής πλευράς πράξη, το βαθμωτό πολλαπλασιασμό (scalar multiplication). Η πράξη αυτή με τη σειρά της χρησιμοποιεί άλλες πράξεις πάνω στην ελλειπτική καμπύλη, τους διπλασιασμούς σημείων ( ) και τις προσθέσεις σημείων ( ). Όλες αυτές οι πράξεις ακολουθούν τον Νόμο Ομάδας και εφαρμόζονται πάνω σε πεπερασμένα σώματα, δηλαδή σε πεδία με πεπερασμένο αριθμό σημείων. Τα σώματα τα οποία χρησιμοποιούνται στην κρυπτογραφία είναι τα πρώτα σώματα ( ) και τα σώματα δυαδικής επέκτασης ( ). Οι πράξεις, οι οποίες ορίζονται πάνω σε ένα πεπερασμένο σώμα, περιλαμβάνουν την πρόσθεση-αφαίρεση, τον πολλαπλασιασμό-ύψωση σε δύναμη, τον τετραγωνισμό και την αντιστροφή-διαίρεση. Κάθε μια από αυτές τις πράξεις έχει διαφορετική υπολογιστική και μαθηματική πολυπλοκότητα καθώς και κόστος σε ταχύτητα ή πόρους υλικού (μετρημένους σε throughput, καθυστέρηση κρίσιμου μονοπατιού, αριθμό πυλών και κατανάλωση ισχύος). Η αντιστροφή-διαίρεση έχει το μεγαλύτερο κόστος, ενώ η πρόσθεση-αφαίρεση το λιγότερο. Όλα τα παραπάνω βήματα για το σχεδιασμό ενός συστήματος κρυπτογραφίας βασισμένο στις Ελλειπτικές Καμπύλες μπορούν να αναπαρασταθούν με το πυραμιδικό μοντέλο της εικόνας 1.2. Σε αυτό το μοντέλο υπάρχουν τέσσερα διαφορετικά επίπεδα σχεδιασμού και ένα υλοποίησης. Όσον αφορά τα επίπεδα σχεδιασμού, κάθε επίπεδο χρησιμοποιεί το μαθηματικό 6

27 Κεφάλαιο 1 Εισαγωγικές Έννοιες υπόβαθρο του αμέσως παρακάτω επιπέδου. Η Αριθμητική Πεπερασμένου Σώματος περιλαμβάνει πράξεις όπως είναι η άθροιση, η αφαίρεση και ο πολλαπλασιασμός μεταξύ των στοιχείων ενός πεπερασμένου σώματος. Πάνω σε αυτές τις πράξεις βασίζεται η Αριθμητική Ελλειπτικών Καμπυλών, οι οποίες ακολουθούν το Νόμο Ομάδας για τον υπολογισμό της άθροισης και διπλασιασμού σημείου. Οι πράξεις αυτές με τη σειρά τους αποτελούν τη βάση για τον υπολογισμό του βαθμωτού πολλαπλασιασμού στις Ελλειπτικές Καμπύλες. Τέλος, ο βαθμωτός πολλαπλασιασμός χρησιμοποιείται σε κάποιο κρυπτογραφικό πρωτόκολλο ή αλγόριθμο Ελλειπτικών Καμπυλών. Η βάση της πυραμίδας αποτελεί το επίπεδο της υλοποίησης όλων των παραπάνω αρχιτεκτονικών σε υλικό με χρήση μιας γλώσσας περιγραφής. Η υλοποίηση σε υλικό παρουσιάζει σημαντικά πλεονεκτήματα σε σχέση με την υλοποίηση σε λογισμικό καθώς μπορεί να επιτύχει υψηλή απόδοση ταχύτητας υπολογισμών. Το μόνο μειονέκτημα αποτελεί το γεγονός πως όταν ένα σύστημα υλοποιηθεί σε υλικό δεν υπάρχει η δυνατότητα τροποποίησής του αργότερα. Η πυραμίδα του σχήματος 1.2 συμβολίζει, επίσης, τη συχνότητα των χρησιμοποιούμενων πράξεων σε κάθε επίπεδο σχεδιασμού. Για κάποιο αλγόριθμο κρυπτογραφίας ΕΚ χρειάζονται λίγοι βαθμωτοί πολλαπλασιασμοί. Για κάθε τέτοιο πολλαπλασιασμό πραγματοποιούνται αρκετές προσθέσεις και διπλασιασμοί σημείων της ελλειπτικής καμπύλης ανάλογα με την τιμή του ακεραίου κατά τον υπολογισμό. Κάθε μια τέτοια πράξη απαιτεί μια σειρά από πράξεις πάνω στο πεπερασμένο σώμα που ορίζει την καμπύλη. Κατά συνέπεια ο αριθμός των απαιτούμενων αριθμητικών πράξεων σε κάθε επίπεδο σχεδιασμού αυξάνεται δραματικά καθώς κινούμαστε προς τη βάση της πυραμίδας. Ως αποτέλεσμα, ο αποδοτικός σχεδιασμός των πράξεων κάθε επιπέδου ως προς την ταχύτητα υπολογισμού, την κατανάλωση ενέργειας και την χρήση πόρων υλικού παίζει αυξανόμενο ρόλο καθώς κινούμαστε προς τα κατώτερα επίπεδα σχεδιασμού. Έτσι, παρατηρείται ότι το χαμηλότερο επίπεδο σχεδιασμού (Αριθμητική Πεπερασμένων Σώματος) έχει το σημαντικότερο μερίδιο ευθύνης για την απόδοση του όλου συστήματος κρυπτογραφίας ΕΚ. Στο επίπεδο αυτό, το αυξημένο κόστος που παρουσιάζει η πράξη της αντιστροφής έχει σαν αποτέλεσμα τη μείωση της απόδοσης του συνολικού συστήματος. Για το λόγο αυτό, πολλοί ερευνητές με στόχο την αποφυγή της πράξης της αντιστροφής σε πεπερασμένα σώματα έχουν προτείνει την αλλαγή του συστήματος συντεταγμένων των σημείων μιας Ελλειπτικής Καμπύλης από συγγενές (affine) σε προβολικό επίπεδο (projective) [3]-[7]. Αυτή η αλλαγή στο σύστημα συντεταγμένων οδηγεί σε αύξηση του αριθμού των πολλαπλασιασμών που απαιτούνται πάνω σε ένα πεπερασμένο σώμα. Αυτό έχει σαν συνέπεια μεγάλο βάρος να έχει δοθεί από ερευνητές στην υλοποίηση του κατάλληλου πολλαπλασιαστή λαμβάνοντας υπόψη το χρόνο εκτέλεσης και το απαιτούμενο υλικό. Μία πρώτη λύση σε αυτό το πρόβλημα είναι η χρήση του κανόνα του Horner [8]. Μία ακόμα λύση είναι η κατάλληλη προσαρμογή του Montgomery πολλαπλασιασμού [9] πάνω στα πεπερασμένα πεδία και πιο συγκεκριμένα στο πρώτο σώμα ( ). Έχει προταθεί, λοιπόν, ένας σημαντικός αριθμός μεθοδολογιών και αρχιτεκτονικών πολλαπλασιασμού Montgomery που βασίζονται σε μια μεγάλη γκάμα τεχνικών τόσο αλγοριθμικής βελτιστοποίησης όσο και βελτιστοποίησης υλικού. 7

28 Κεφάλαιο 1 Εισαγωγικές Έννοιες Πιο συγκεκριμένα, έχει χρησιμοποιηθεί σε επίπεδο αλγορίθμων, πλεονάζουσα λογική [11] και κωδικοποίηση Booth [12] ενώ σε επίπεδο αρχιτεκτονικής υλικού, συστολικές διατάξεις [13], Carry Save λογική και high radix δομές [14][15]. Πρωτόκολλα και Αλγόριθμοι Κρυπτογραφίας ΕΚ Βαθμωτός Πολλαπλασιασμός Επίπεδο Σχεδίασης Αριθμητική Ελλειπτικών Καμπυλών (Πρόσθεση και Διπλασιασμός Σημείου) Αριθμητική Πεπερασμένου Σώματος (Άθροιση/Αφαίρεση, Πολλαπλασιασμός) Υλοποίηση σε Hardware (VHDL) Επίπεδο Υλοποίησης Εικόνα 1.2 Πυραμιδικό μοντέλο σχεδιασμού συστήματος κρυπτογραφίας ελλειπτικών καμπυλών Επίσης, τα τελευταία χρόνια πολύ μεγάλο ενδιαφέρον παρουσιάζει η χρήση του Αριθμητικού Συστήματος Υπολοίπων (RNS). Χρησιμοποιώντας το σύστημα RNS, ένα συγκεκριμένο εύρος δεδομένων μπορεί να αναλυθεί σε παράλληλα μονοπάτια μικρότερου δυναμικού εύρους, χωρίς να υπάρχει η ανάγκη για ανταλλαγή πληροφοριών μεταξύ των μονοπατιών που χρησιμοποιούν διαφορετικό moduli. Αυτό έχει σαν αποτέλεσμα η χρήση του RNS να προσφέρει μειωμένη πολυπλοκότητα και κατανάλωση ενέργειας σε σχέση με αριθμητικές μονάδες με λέξεις μεγάλου μήκους. Ήδη έχει εφαρμοστεί σε αρκετές αρχιτεκτονικές οι οποίες βασίζονται τόσο στον κανόνα του Horner [16][17] όσο και στο Montgomery πολλαπλασιασμό [18]-[23]. Από την άλλη πλευρά, οι υλοποιήσεις βασισμένες στο σύστημα RNS έχουν το επιπλέον κόστος για ένα μετατροπέα στην είσοδο ο οποίος θα μεταφράζει αριθμούς από μια δεδομένη δυαδική μορφή σε μορφή υπολοίπων και ένα μετατροπέα στην έξοδο ο οποίος θα κάνει τη μετατροπή από RNS σε μία δυαδική 8

29 Κεφάλαιο 1 Εισαγωγικές Έννοιες αναπαράσταση [24] είτε μέσω του Κινέζικου Θεωρήματος Υπολοίπων (CRT) είτε μέσω της Mixed Radix αναπαράστασης (MRC). Επιπλέον, πρέπει να αναφερθεί η εξάρτηση που παρουσιάζει η απόδοση του RNS Montgomery πολλαπλασιασμού από δύο σημαντικούς παράγοντες. Ο πρώτος έχει να κάνει με την κατάλληλη επιλογή των moduli, κάτι το οποίο αναφέρεται τόσο στον αριθμό των moduli που θα χρησιμοποιηθούν όσο και στη μορφή τους. O Bajard στις εργασίες του [25][26] εξηγεί ότι τα στοιχεία των RNS βάσεων που παρουσιάζουν την καλύτερη πολυπλοκότητα είναι της μορφής, όπου, ενώ προτείνει τις καλύτερες βάσεις των 64 bit μετά από εξαντλητικό έλεγχο. Σε επόμενες εργασίες [27][28][29] παρουσιάζονται νέες μορφές RNS βάσεων που είναι εξίσου αποδοτικές. Ο δεύτερος παράγοντας αφορά την επέκταση βάσης. Μια επέκταση βάσης είναι μια διαδικασία για να μετατραπεί ένας αριθμός που αναπαριστάται σε μια RNS βάση σε μια RNS βάση. Έχει αποδειχτεί ότι η διαδικασία αυτή αποτελεί την πιο χρονοβόρα διαδικασία σε ένα RNS Montgomery πολλαπλασιασμό. Στη βιβλιογραφία έχουν προταθεί αρχιτεκτονικές που βασίζονται τόσο στο Chinese Remainder Theorem (CRT) [30][31][32] όσο και στo Mixed Radix System (MRS) [33][34]. Η χρήση όμως του CRT δεν είναι βολική, λόγω του μεγάλου μεγέθους των εμπλεκόμενων τελεστέων και των ενδιάμεσων αποτελεσμάτων καθώς και του απαιτούμενου υπολογισμού του διορθωτικού παράγοντα γ. Τέλος, πρέπει να σημειωθεί ότι στο σχεδιασμό ενός συστήματος Κρυπτογραφίας Δημοσίου Κλειδιού πρέπει να λαμβάνεται υπόψη και η παράμετρος της ασφάλειας. Δεδομένου ότι σε ένα κρυπτοσύστημα μπορούν να εφαρμοστούν κρυπταναλυτικές μέθοδοι που εκμεταλλεύονται αδυναμίες του τρόπου σχεδιασμού του έτσι ώστε να ανακαλύψουν πληροφορίες για το ιδιωτικό κλειδί, πρέπει να λαμβάνονται μέτρα κατά τέτοιων επιθέσεων. Στις εργασίες [35][36] παρουσιάζονται αλγόριθμοι που υπολογίζουν το και προστατεύουν το σύστημα από επιθέσεις πλάγιου μονοπατιού (side channel attacks) και επιθέσεις σφάλματος (fault attacks). Η αρχιτεκτονική ενός τέτοιου συστήματος, το οποίο είναι προστατευμένο από SPA και DPA επιθέσεις βασιζόμενο στο Montgomery Power Ladder [35], παρουσιάζεται στο [37]. 1.3 Συμβολή Διπλωματικής Εργασίας Στα πλαίσια αυτής της διπλωματικής εργασίας μελετήθηκε η Κρυπτογραφία Δημοσίου Κλειδιού βασισμένη στις Ελλειπτικές Καμπύλες με στόχο να προταθεί και να υλοποιηθεί μια μεθοδολογία σχεδιασμού ενός αποδοτικού κρυπτογραφικού συστήματος, τόσο από πλευράς ταχύτητας και απαιτούμενης επιφάνειας όσο και από πλευράς ασφάλειας. Το πιο σημαντικό βήμα, από πλευράς ασφάλειας, αποτέλεσε η επιλογή του αλγορίθμου για τον υπολογισμό του βαθμωτού πολλαπλασιασμού. Ο αλγόριθμος που χρησιμοποιήθηκε βασίστηκε στην εργασία [36], αφού τροποποιήθηκε κατάλληλα για να μπορεί να εφαρμοστεί στις Ελλειπτικές Καμπύλες. Με τη χρήση αυτού του αλγορίθμου παρέχεται προστασία στο προτεινόμενο σύστημα κρυπτογραφίας έναντι κρυπταναλυτικών επιθέσεων πλάγιου μονοπατιού και επιθέσεων σφάλματος. Εν συνεχεία, δόθηκε μεγάλη έμφαση στην προσπάθεια χρησιμοποίησης και εφαρμογής για πρώτη φορά σε ένα σύστημα κρυπτογραφίας μιας νέας μορφής Ελλειπτικών Καμπυλών, τις 9

30 Κεφάλαιο 1 Εισαγωγικές Έννοιες Καμπύλες Edwards. Οι καμπύλες αυτές, οι οποίες ορίζονται πάνω σε ένα πρώτο σώμα ( ), παρουσιάζουν σημαντικά πλεονεκτήματα συγκριτικά με τις συμβατικές καμπύλες (Weierstrass). Ιδιαίτερα, οι πράξεις της πρόσθεσης και διπλασιασμού σημείου, οι οποίες ακολουθούν το νόμο Ομάδας, είναι αποδοτικότερες καθώς επιτυγχάνουν μικρότερους χρόνους εκτέλεσης. Για το λόγο αυτό, οι εξισώσεις για τις πράξεις μεταξύ των σημείων της καμπύλης προσαρμόστηκαν στον προτεινόμενο αλγόριθμο για τον υπολογισμό του βαθμωτού πολλαπλασιασμού. Οι πράξεις αυτές με τη σειρά τους βασίζονται στην αριθμητική πεπερασμένων σωμάτων. Δυστυχώς, ορισμένες από αυτές όπως η πράξη της αντιστροφής παρουσιάζουν μεγάλη πολυπλοκότητα. Για να αποφευχθεί αυτό το κόστος, πολλοί ερευνητές πρότειναν τη μετατροπή των συντεταγμένων των σημείων από το συγγενές επίπεδο στο προβολικό. Στη συγκεκριμένη περίπτωση, επιλέχθηκε η χρήση των τυπικών προβολικών συντεταγμένων. Μετά όμως από αυτή τη μετατροπή, ο modulo πολλαπλασιασμός αποτελεί την κυρίαρχη πράξη. Για το modulo πολλαπλασιασμό μεταξύ των στοιχείων ενός πρώτου σώματος ( ), προτείνεται η χρήση του αλγορίθμου του Montgomery. Ο αλγόριθμος αυτός προσαρμόστηκε με τέτοιο τρόπο ώστε να κάνει χρήση του Αριθμητικού Συστήματος Υπολοίπου. Έτσι οι πράξεις του αρχικού αλγορίθμου μεταξύ λέξεων μεγάλου μήκους αντικαταστάθηκαν με παράλληλους υπολογισμούς μεταξύ δεδομένων μικρότερου μεγέθους. Αυτή η προσαρμογή είχε σαν αποτέλεσμα να απαιτείται μια μετατροπή των προβολικών συντεταγμένων των σημείων που δίνονται σαν είσοδο στο προτεινόμενο σύστημα από τη δυαδική μορφή σε μορφή RNS. Για την μετατροπή ενός αριθμού ( ) από τη δυαδική μορφή σε μορφή RNS εφαρμόστηκε η σχέση ( ) (1.1) όπου οι σταθερές είναι προϋπολογισμένες και αποθηκευμένες σε μνήμες ROM. Επιλέχθηκαν συνολικά δύο βάσεις και, καθεμία από τις οποίες αποτελείται από τέσσερα moduli. Για να επιτευχθεί αυξημένη πολυπλοκότητα, χρησιμοποιήθηκε η μορφή που πρότεινε ο Bajard στην εργασία [25]. Πιο συγκεκριμένα, για την περίπτωση που το μέγεθος του ιδιωτικού κλειδιού είναι 192 bit επιλέχθηκαν τα οκτώ moduli που προτείνονται στην εργασία [34]. Για τη δύσκολη διαδικασία της επέκτασης βάσης που απαιτείται επιλέχθηκε η χρήση της MRS αναπαράστασης, λόγω των πλεονεκτημάτων που παρουσιάζει έναντι του θεωρήματος CRT. Έπειτα, ακολούθησε η επιλογή των αλγορίθμων και ο σχεδιασμός των αντίστοιχων αρχιτεκτονικών, οι οποίες εκμεταλλεύονται τα πλεονεκτήματα των δυο παραπάνω βάσεων και υπολογίζουν τις πράξεις της modulo άθροισης/αφαίρεσης και του modulo πολλαπλασιασμού. Χάρη λοιπόν σε αυτές τις αριθμητικές μονάδες, οι οποίες αποτέλεσαν την βάση του συνολικού συστήματος, σχεδιάστηκε η αρχιτεκτονική του RNS Montgomery modulo πολλαπλασιαστή. Η βασική ιδέα πίσω από αυτό το σχεδιασμό ήταν η χρήση της διασωλήνωσης (pipelining) μεταξύ των components από τα οποία αποτελείται. Η εφαρμογή του pipeline επέτρεψε να μειωθεί ο χρόνος εκτέλεσης των πράξεων πάνω στα σημεία (πρόσθεση και διπλασιασμός σημείων), αλλά 10

31 Κεφάλαιο 1 Εισαγωγικές Έννοιες παρείχε και πρόσθετη ασφάλεια στο συνολικό σύστημα καθώς δεν ήταν εφικτή η διάκριση για το ποια πράξη εκτελείται κάθε χρονική στιγμή. Όλα τα παραπάνω υλοποιήθηκαν σε hardware με χρήση της γλώσσας VHDL. Τέλος, έγινε μια σύγκριση και αξιολόγηση των αποτελεσμάτων που προέκυψαν από τη σύνθεση όλων των προτεινόμενων κυκλωμάτων, όσον αφορά την ταχύτητα και το απαιτούμενο υλικό, με αντίστοιχες εργασίες στην βιβλιογραφία που υπολογίζουν τον βαθμωτό πολλαπλασιασμό, και πρόεκυψαν τα ανάλογα συμπεράσματα. 1.4 Δομή Διπλωματικής Εργασίας Τα υπόλοιπα κεφάλαια της διδακτορικής διατριβής δομούνται με τον παρακάτω τρόπο: Στο κεφάλαιο 2 θα παρουσιαστούν όλες οι βασικές μαθηματικές έννοιες που απαιτούνται για τη κατανόηση της συγκεκριμένης υλοποίησης. Θα γίνει αναφορά στις βασικές αρχές θεωρίας ομάδας, στη θεωρία και στην κρυπτογραφία των Ελλειπτικών Καμπυλών και στο Αριθμητικό Σύστημα Υπολοίπων. Στο κεφάλαιο 3 θα αναλυθούν οι επιθέσεις στο φυσικό μέσο καθώς και τρόποι αντιμετώπισης. Πιο συγκεκριμένα, θα γίνει αναφορά στα είδη επιθέσεων πλάγιου μονοπατιού και επιθέσεων σφάλματος σε ελλειπτικές καμπύλες, ενώ θα προταθούν τρόποι αντιμετώπισης για τις πιο σημαντικές από τις παραπάνω επιθέσεις. Στο κεφάλαιο 4 θα παρουσιαστεί ο αλγόριθμος του βαθμωτού πολλαπλασιαστεί που θα χρησιμοποιηθεί στη συγκεκριμένη διπλωματική εργασία καθώς και οι αλγεβρικές εξισώσεις του Νόμος Ομάδας για τις Ελλειπτικές Καμπύλες Edwards. Στο κεφάλαιο 5 θα παρουσιαστεί η αρχιτεκτονική των βασικών αριθμητικών μονάδων του συστήματος, ενώ θα αναλυθεί και η προτεινόμενη αρχιτεκτονική για τον υπολογισμό του βαθμωτού πολλαπλασιασμού. Στο κεφάλαιο 6 θα γίνει μια αξιολόγηση του συγκεκριμένου κρυπτογραφικού συστήματος σε σχέση με άλλες υλοποιήσεις που υπάρχουν στην βιβλιογραφία τόσο από πλευράς υλικού όσο και από πλευράς χρόνου εκτέλεσης. Στο κεφάλαιο 7 θα γίνει μια σύνοψη των συμπερασμάτων από αυτή τη διπλωματική εργασία και θα προταθούν μελλοντικές προοπτικές έρευνας. 11

32 Κεφάλαιο 2: Μαθηματικό Υπόβαθρο Στο κεφάλαιο αυτό αναλύονται όλες οι βασικές μαθηματικές έννοιες που απαιτούνται για την κατανόηση των θεμάτων που πραγματεύονται σε αυτή τη διπλωματική εργασία. Αρχικά, γίνεται μια εισαγωγή στις βασικές αρχές θεωρίας ομάδων όπου ιδιαίτερη έμφαση δίνεται στον ορισμό των πεπερασμένων σωμάτων, μιας και πάνω σε αυτό το πεδίο θα υλοποιηθεί το προτεινόμενο σύστημα. Κατόπιν, αναλύονται οι βασικές έννοιες της θεωρίας ελλειπτικών καμπυλών, η αριθμητική ελλειπτικών καμπυλών με τις κυριότερες πράξεις που περιλαμβάνουν και παρουσιάζεται με νέα και πολύ χρήσιμη μορφή Ελλειπτικών Καμπυλών, οι Καμπύλες Edwards. Στη συνέχεια, γίνεται αναφορά στις σημαντικές παραμέτρους για την κρυπτογραφία Ελλειπτικών Καμπυλών, ενώ τέλος αναλύεται το Αριθμητικό Σύστημα Υπολοίπων, μια μέθοδος που ερευνάται και χρησιμοποιείται ευρύτατα τα τελευταία χρόνια στην κρυπτογραφία ΕΚ. 2.1 Βασικές Αρχές Θεωρίας ομάδων Μια ομάδα είναι ένα σύνολο στοιχείων μαζί με μια δυαδική πράξη (συνήθως είναι η πρόσθεση ή ο πολλαπλασιασμός ) που ικανοποιεί τις ακόλουθες ιδιότητες: Συνεκτικότητα: Για όλα τα ισχύει ότι το. Προσεταιριστικότητα: Για όλα τα ισχύει ότι ( ) ( ). Μοναδιαίο στοιχείο: Υπάρχει ένα στοιχείο τέτοιο ώστε για κάθε. Αντιστροφή: Για όλα τα υπάρχει ένα, που ονομάζεται αντίστροφος του, τέτοιο ώστε. Επιπρόσθετα, η ομάδα είναι αβελιανή εάν η δυαδική πράξη ικανοποιεί την αντιμεταθετική ιδιότητα: Αντιμεταθετικότητα: Για κάθε ισχύει ότι. Ένα σύνολο ονομάζεται δακτύλιος, όταν για όλα τα στοιχεία του ισχύουν ο πολλαπλασιασμός και η πρόσθεση και επίσης ισχύει: Προσεταιριστική ιδιότητα ως προς τον πολλαπλασιασμό: ( ) ( ) για όλα τα. Το R είναι αβελιανό ως προς την πρόσθεση: για όλα τα. Επιμεριστική ιδιότητα ως προς την πρόσθεση: ( ) ( ) ( ) και ( ) ( ) ( ) για όλα τα. Επιμεριστική ιδιότητα ως προς τον πολλαπλασιασμό: ( ) ( ) ( ) και ( ) ( ) ( ) για όλα τα. Αξίζει να παρατηρηθεί ότι για ένα δακτύλιο δεν ισχύει η πράξη της διαίρεσης ή της αντιστροφής αφού δεν υπάρχει πάντα πολλαπλασιαστικό αντίστροφο για κάθε στοιχείο του δακτυλίου. 12