Κρυπτογραφία: Επισκόπηση & σύγχρονες τάσεις Κρυπτογραφία: Επισκόπηση & σύγχρονες τάσεις ΨΥΛΛΟΣ Απόστολος, Υποψήφιος Διδάκτωρ, Σχολή Ηλεκτρολόγων Μηχανικών & Μηχαν. Υπολογιστών ΕΘΝΙΚΟ ΜΕΤΣΟΒΙΟ ΠΟΛΥΤΕΧΝΕΙΟ

Απαιτήσεις της Κρυπτογραφίας Εμπιστευτικότητα (Confidentiality) Πρόκειται για την προστασία των δεδομένων ενάντια σε μη εξουσιοδοτημένη πρόσβαση ή γνωστοποίησή τους. Η υπηρεσία αυτή υλοποιείται μέσω μηχανισμών ελέγχου πρόσβασης στην περίπτωση αποθήκευσης δεδομένων και μέσω κωδικοποίησης κατά την αποστολή τους Ακεραιότητα (Integrity) Είναι η προστασία των δεδομένων ενάντια σε μη εξουσιοδοτημένη τροποποίηση ή αντικατάστασή τους. Παρέχεται από μηχανισμούς κρυπτογραφίας όπως οι ηλεκτρονικές υπογραφές. Πιστοποίηση (Authentication) Πρόκειται για την επιβεβαίωση της ταυτότητας ενός ατόμου ή της πηγής αποστολής των πληροφοριών. Κάθε χρήστης που επιθυμεί να επιβεβαιώσει την ταυτότητα ενός άλλου προσώπου ή εξυπηρετητή με τον οποίο επικοινωνεί, βασίζεται στην πιστοποίηση Μη -Άρνηση Αποδοχής (Non-Repudiation) Συνδυάζει τις υπηρεσίες της Πιστοποίησης και της Ακεραιότητας. Ο αποστολέας δεδομένων δεν μπορεί να αρνηθεί ότι δημιούργησε και απέστειλε το μήνυμα. Η κρυπτογραφία παρέχει ηλεκτρονικές υπογραφές, κατά συνέπεια μόνο ο αποστολέας του μηνύματος θα μπορούσε να κατέχει τη συγκεκριμένη υπογραφή.

Κρυπτογραφία Συμμετρικού κλειδιού Ασύμμετρου κλειδιού Το κλειδί είναι ένα, τόσο για κρυπτογράφηση όσο και για αποκρυπτογράφηση και πρέπει να φυλάσσεται μυστικό Ασύμμετρου κλειδιού Υπάρχουν δύο κλειδιά, ένα φανερό ( n,e) και ένα μυστικό (n,d). Ο αποστολέας χρησιμοποιεί το φανερό κλειδί για την κρυπτογράφηση c = me mod n Ο παραλήπτης χρησιμοποιεί το μυστικό κλειδί για την αποκρυπτογράφηση m = cd mod n m = (m mod n) e mod n d Ισχύει:

ΚΑ=ΚΒ : Συμμετρικός αλγόριθμος όπου το μοναδικό κλειδί πρέπει να φυλάσσεται μυστικό ΚΑ ≠ ΚΒ : Μη συμμετρικός αλγόριθμος όπου το ένα κλειδί είναι μυστικό και το άλλο φανερό (δημόσιο).

Κωδικοποίηση με τμήματα n-bit (block cipher) Το κάθε τμήμα κρυπτογραφείται ανεξάρτητα Δεν διασφαλίζεται η ακεραιότητα του μηνύματος Κωδικοποίηση με ρεύματα (stream cipher) Η κρυπτογράφηση γίνεται διαδοχικά, 1-bit κάθε φορά Χρησιμοποιείται γεννήτρια «τυχαίων» bit και εφαρμόζονται κάποιες μαθηματικές πράξεις πάνω στα bit που θέλουμε να κρυπτογραφήσουμε

Κρυπτογραφία με Ασύμμετρο Κλειδί Πλεονεκτήματα Εύκολη διανομή των δημόσιων κλειδιών Οποιοσδήποτε μπορεί να στείλει κρυπτογραφημένο μήνυμα που μόνο ο παραλήπτης μπορεί να αποκρυπτογραφήσει Μειονεκτήματα Μεγάλος χρόνος για κρυπτογράφηση και αποκρυπτογράφηση Μαθηματικά απαιτητικές διαδικασίες Κίνδυνος παραγοντοποίησης του δημόσιου κλειδιού και εύρεσης του ιδιωτικού κλειδιού

Ο αλγόριθμος RSA Επιλέγουμε δύο μεγάλους πρώτους αριθμούς p και q Υπολογίζουμε το n = p * q Υπολογίζουμε το φ(n) = (p – 1) * (q – 1) Επιλέγουμε έναν ακέραιο e με 3 ≤ e ≤ φ(n) τέτοιο ώστε να μην έχει κοινό παράγοντα με το φ(n) Επιλέγουμε έναν ακέραιο d τέτοιο ώστε d * e mod φ(n) = 1 Τα e, n δημοσιοποιούνται Τα d, n φυλάσσονται μυστικά

Κρυπτογραφία με Συμμετρικό Κλειδί Πλεονεκτήματα Μικρός χρόνος για κωδικοποίηση /αποκωδικοποίηση Εύκολη μαθηματική υλοποίηση Δύσκολη η κρυπτανάλυση (εύρεση του κλειδιού) Μειονεκτήματα Ανάγκη για ασφαλή φύλαξη του κλειδιού Ανάγκη για ασφαλή διανομή του κλειδιού

Απόδοση αλγορίθμων AES

Ο αλγόριθμος RIJNDAEL (1/3) Βασίζεται σε ένα Πίνακα 4×4 bytes που ονομάζεται Κατάσταση (state) Η κρυπτογράφηση/αποκρυπτογράφηση γίνεται σε 9 επαναλήψεις –εκτός από την τελική, και αποτελείται από τέσσερα στάδια: AddRoundKey — κάθε byte από τον Πίνακα Κατάστασης συνδυάζεται με το κλειδί της επανάληψης, το οποίο παράγεται από το κρυπτογραφικό κλειδί χρησιμοποιώντας κατάλληλο αλγόριθμο. SubBytes — μη-γραμμική πράξη, όπου κάθε byte του Πίνακα Κατάστα σης, αντικαθίσταται με άλλο σύμφωνα με έναν Πίνακα Αντικατάστασης. ShiftRows — γίνεται ολίσθηση των γραμμών του Πίνακα Κατάστασης κυκλικά για έναν ορισμένο αριθμό επαναλήψεων MixColumns — ανάμιξη των στηλών του Πίνακα Κατάστασης, συνδυάζοντας τα τέσσερα bytes από κάθε στήλη χρησιμοποιώντας έναν γραμμικό συνδυασμό Η τελική επανάληψη αντικαθιστά το στάδιο MixColumns με το στάδιο AddRoundKey.

Ο αλγόριθμος RIJNDAEL (2/3) Add Round Key Sub Bytes

Ο αλγόριθμος RIJNDAEL (3/3) Shift Rows Mix Columns

Σχηματική λειτουργία RIJNDAEL

Ασφάλεια Rijndael Με εξειδικευμένες μηχανές που δοκιμάζουν 255 κλειδιά ανά δευτερόλεπτο απαιτούνται 149 τρισ- εκατομμύρια έτη για να σπάσει ένα κλειδί των 128 bits Εκτιμάται ότι θα επαρκέσει για 20 χρόνια

Αλγόριθμος Rabbit Χρησιμοποιεί ένα κλειδί 128-bit και ένα διάνυσμα αρχικών τιμών 64-bit και παράγει σε κάθε επανάληψη ένα block εξόδου 128 ψευδο-τυχαίων bit συνδυάζοντας bit εσωτερικών καταστάσεων. Η κρυπτογράφηση/αποκρυπτογράφηση γίνεται με εφαρμογή XOR μεταξύ των ψευδο-τυχαίων bit και του κειμένου /κρυπτογραφήματος. Το μέγεθος της εσωτερικής συνάρτησης κατάστασης είναι 513 bit διαχωρισμένη σε 8 μεταβλητές κατάστασης των 32-bit, 8 μετρητές των 32-bit και ένα μετρητή κρατουμένου. Οι 8 μεταβλητές κατάστασης ενημερώνονται με 8 συζευγμένες μη-γραμμικές συναρτήσεις. Οι μετρητές εξασφαλίζουν ένα χαμηλό χρονικά όριο στην περίοδο των μεταβλητών κατάστασης. Ο αλγόριθμος Rabbit σχεδιάστηκε ώστε να είναι γρηγορότερος από τους άλλους χρησιμοποιούμενους αλγορίθμους και να εφαρμόζει ένα κλειδί 128 bit για κρυπτογράφηση έως 264 bytes κειμένου.

Αλγόριθμος Rabbit κλειδί 128 bit, συνάρτηση κατάστασης 512 bit, μετρητής 256 bit, εσωτερική συνάρτηση NL- 256 bit, έξοδος 128 bit

Εσωτερική συνάρτηση Κατάστασης (NL State) Αλγορίθμου Rabbit (1/2)

Εσωτερική συνάρτηση Κατάστασης (NL State) Αλγορίθμου Rabbit (2/2) ◊ = συνένωση

Αλγόριθμος Camellia 128-bit Block Cipher Αναπτύχθηκε από κοινού με την NTT και την Μitsubishi Σχεδιάστηκε από έμπειρους κρυπταναλυτές και προγραμματιστές Υποστηρίζει 128, 192, 256-bit keys Χρησιμοποιεί το ίδιο interface όπως το Advanced Encryption Standard (AES) Προσφέρει μεγαλύτερη ασφάλεια ενάντια σε exhaustive key search Camellia is a block cipher with 128-bit block size and supports 128-, 192-, and 256-bit keys. This is the same interface as the Advanced Encryption Standard, AES. These longer key lengths offer more security against exhaustive key search attack in the future.

Απόδοση λογισμικού Camellia (128-bit keys) Σε Pentium III 309 cycles/block (Assembly) = 469Mbps (1.13GHz) Συγκρίσιμη ταχύτητα με άλλους AES finalists RC6 229 238 288 309 312 759 Encryption time [cycles/block] . Rijndael For example, an optimized implementation of Camellia in assembly language can encrypt on a Pentium III of 800MHz at the rate of 340Mbps, which is much faster than the speed of an optimized DES implementation. Compared to other 128-bit block ciphers, for example the AES finalists: RC6, Rijndael, Twofish, Mars, and Serpent, Camellia offers at least comparable encryption speed. These figures are encryption speed on P6, cycles per one block. All of these figures are derived from the assembly code written by excellent programmers and presented at the 3rd AES conference. These are the fastest data as far as we know. Twofish Camellia Mars Serpent

Σύγκριση Απόδοσης Camellia σε υλοποίηση Hardware (128-bit keys) Ρυθμός Μέγεθος [Kgates] [Mbit/s] MARS 2,936 226 RC6 1,643 204 Rijndael 613 1,950 Serpent 504 932 Twofish 432 394 Camellia 273 1,171 On the hardware design, I’ll show several figures of Camellia implemented on ASIC using .35micro CMOS library. One is designed aiming small-size hardware in terms of total number of logic gates. The hardware which includes both encryption and decryption, occupies approximately only 11Kgates, which is the smallest among existing 128-bit block ciphers. Another design policy is to achieve the fastest encryption and decryption speed with no consideration of logic size. This is the comparison with the AES finalists and DES evaluated with the same design policy. Generally speaking, 128-bit block ciphers require larger logic size than a 64-bit block cipher like DES. Camellia achieves more than 1 Gbit/s with this small hardware. DES 54 1,161

Συναρτήσεις κατακερματισμού (hash functions) Είναι συναρτήσεις που δίνουν μια μοναδική n-bit τιμή για κάθε κωδικοποίηση και χρησιμοποιούνται για τον έλεγχο της ακεραιότητας των δεδομένων και την γνησιότητα υπογραφής του αποστολέα

Ψηφιακές Υπογραφές Ο αποστολέας υπογράφει το μήνυμα με το ιδιωτικό του κλειδί. Ο παραλήπτης διαθέτει το δημόσιο κλειδί του αποστολέα και μπορεί να επιβεβαιώσει ότι το μήνυμα υπογράφτηκε με το αντίστοιχο ιδιωτικό κλειδί. Η επιβεβαίωση είναι εφικτή επειδή το ιδιωτικό κλειδί είναι γνωστό μόνο στον ιδιοκτήτη του και άρα μόνο αυτός θα μπορούσε να το χρησιμοποιήσει για να υπογράψει και να στείλει κάποιο μήνυμα

Συνήθεις συναρτήσεις κατακερματισμού SHA-1, [SHA-128, SHA-256,SHA-512] MD5 RIPEMD-160, RIPEMD-256, RIPEMD-320 WHIRLPOOL Πρόκληση: εύρεση κειμένων που δίνουν ίδια τιμή για την συνάρτηση κατακερματισμού (collision)

Κρυπτογραφική έρευνα-οργανισμοί Ευρώπη ECRYPT (Network of Excellence in Cryptology) contract number IST-2002-507932 e-Stream (2004-2008) e-Bats (2004-2008) (benchmarking) NESSIE (New European Schemes for Signatures,  Integrity, and Encryption) contract number IST-1999-12324 (2000-2004)

Αμερική Ιαπωνία Διεθνής NIST -National Institute of Standards and Technology FIPS -Federal Information Processing Standards Ιαπωνία CRYPTREC - Cryptography Research and Evaluation Committees (2000-2005) Διεθνής IACR -The International Association for Cryptologic Research CDT -The Center for Democracy and Technology EPIC -Electronic Privacy Information Center

e-Stream project 14-15 Οκτωβρίου 2004, Bruges.Workshop με θέμα: «SASC - The State of the Art of Stream Ciphers» οδηγεί στο ECRYPT project Νοέμβριος 2004. Υποβολή εργασιών στο ECRYPT 29 Απριλίου 2005. Τέλος προθεσμίας υποβολής. Σύνολο 34 προτάσεων 26-27 Μαϊου 2005, Aarhus. Workshop με θέμα: «SKEW - Symmetric Key Encryption Workshop». 25 papers παρουσιάστηκαν, που περιελάμβαναν 21 stream ciphers. 2-3 Φεβρουαρίου 2006, Leuven.Workshop με θέμα: «SASC 2006: Stream Ciphers Revisited» Φεβρουάριος 2006. Τέλος της πρώτης φάσης εκτίμησης του e-STREAM Ιούλιος 2006. Αρχή της δεύτερης φάσης εκτίμησης του e-STREAM Σεπτέμβριος 2007. Τέλος της δεύτερης φάσης εκτίμησης του e-STREAM Ιανουάριος 2008. Η τελική αναφορά του e-STREAM

Κρυπτανάλυση Επιθέσεις στους αλγόριθμους συμμετρικού κλειδιού Επιθέσεις αναζήτησης κλειδιού (Key search attack) Επιθέσεις κρυπτανάλυσης (Cryptanalysis) Επιθέσεις βασισμένες στο σύστημα κρυπτογράφησης (System-based attacks) Επιθέσεις στους αλγόριθμους δημόσιου κλειδιού Επιθέσεις παραγοντοποίησης (factoring attacks) Επίθεση αλγοριθμική Συναρτήσεις αποσύνθεσης μηνυμάτων (message digest functions) Χρήσεις των συναρτήσεων αποσύνθεσης μηνυμάτων Επιθέσεις στις συναρτήσεις αποσύνθεσης μηνυμάτων

Αλγεβρικές Επιθέσεις

Ασφαλές μήκος κλειδιού RSA σε σχέση με DES/AES

Προβλέψεις ελαχίστου μήκους κλειδιών

Κάτω όρια μήκους ασύμμετρων κλειδιών

Κάτω όρια μήκους συμμετρικών κλειδιών

Κάτω όρια μήκους ασύμμετρων κλειδιών με ελλειπτικές συναρτήσεις

Βιβλιογραφία [1] D. Kahn, Codebreakers: The Story of Secret Writing, Macmillan, 1967 [2] H. Feistel, "Cryptographic coding for data bank privacy," IBM Corp. Res. Rep. RC 2827, Mar. 1970. (I-B4, III-B, SFR) [3] Diffie, W. & Hellman, M. E. (1976), ‘New directions in cryptography’, IEEE Trans. Inform. Theory IT-22 (6) 644–654. [4] R. Rivest, A. Shamir, L. Adleman,”A Method for Obtaining Digital Signatures and Public-Key Cryptosystems”, Communications of the ACM 21,2 (Feb. 1978), 120-126 [5] T. El Gamal. A public key cryptosystem and signature scheme based on discrete logarithms. IEEE Trans. Inform. Theory, 31:469--472, 1985 [6] National Institute of Standards and Technology, NST FIPS PUB 186, Digital Signature Standard, U.S. Department of Commerce, May, 1994 [7] J. Nechvatal, E. Barker, L. Bassham, W. Burr, M. Dworkin, J. Foti and E.Roback, “Report on the Development of the Advanced Encryption Standard (AES)” , Journal of Research of the National Institute of Standards and Technology, 2000,Volume 106, pp. 511–576

[8] Dworkin, M., "Recommendation for Block Cipher Modes of Operation - Methods and Techniques", NIST Special Publication 800-38A, December 2001 [9] CNSS Policy No. 15, Fact Sheet No. 1, National Policy on the Use of the Advanced Encryption Standard (AES) to Protect National Security Systems and National Security Information , June 2003 [10] N. Ferguson, R. Schroeppel, D. Whiting, “A simple algebraic representation of Rijndael “, Selected Areas in Cryptography, Proc. SAC 2001, Lecture Notes in Computer Science 2259, pp. 103–111, Springer Verlag, 2001 [11] K. Aoki and H. Lipmaa, “Fast Implementations of AES Candidates”, Third Advanced Encryption Standard Candidate Conference, 2000, pages 106–120 [12] H. Lipmaa, Fast Implementations of AES and IDEA for Pentium 3 and 4, October 2005,http://home.cyber.ee/helger/implementations [13] A. Hodjat, I. Verbauwhede, “A 21.54 Gbit/s fully pipelined AES processor on FPGA”, Field–Programmable Custom Computing Machines 2004 (FCCM’04), 12th Annual IEEE Symposium, pages 308 – 309 [14] B. Schneier, J. Kelsey, D. Whiting, D. Wagner, C. Hall and N. Ferguson, “Performance Comparison of the AES Submissions”, Proc. Second AES Candidate Conference, NIST, 1999, pp. 15-34

[15] A. Lenstra, Key Length, Contribution to “The Handbook of Information Security”, 2004, http://cm.bell-labs.com/who/akl/key_lengths.pdf [16] ECRYPT Yearly Report on Algorithms and Keysizes 2005, http://www.ecrypt.eu.org/documents/D.SPA.16-1.0.pdf [17] J. Buchmann, Einf¨uhrung in die Kryptographie, Springer, 2001, ISBN: 3-540-41283-2, also available in English ISBN: 0-387-21156-X [18] K. Aoki et., al. “Camellia: A 128-Bit Block Cipher Suitable for Multiple Platforms- Design and Analysis”, Selected Areas in Cryptography 2000, pp39–56 [19] Matsui, M., Nakajima, J., and S. Moriai, "A Description of the Camellia Encryption Algorithm", RFC 3713, April 2004 [20] NIST, FIPS PUB 197, "Advanced Encryption Standard (AES),"November 2001.http://csrc.nist.gov/publications/fips/fips197/fips-197 [21] Frankel, S., Glenn, R., and S. Kelly, "The AES-CBC Cipher Algorithm and Its Use With IPsec," RFC 3602, September 2003 [22] A. Lenstra, Unbelievable Security, 2001, http://www.win.tue.nl/~klenstra/aes_match.pdf

[23] The NESSIE project (New European Schemes for Signatures, Integrity and Encryption),http://www.cosic.esat.kuleuven.ac.be/nessie [24] NIST Computer Security Division, http://csrc.nist.gov/ [25] Arjen Lenstra and E. Verheul, ”Selecting Cryptographic Key Sizes”, 2001,http://citeseer.ist.psu.edu/287428.html [26] RSA Security, PKCS #1: RSA Cryptography Standard, http://www.rsasecurity.com/rsalabs/node.asp?id=2125 [27] Ilya Mironov Microsoft Research, Silicon Valley Campus mironov@microsoft.com November 14, 2005 [IACR] http://www.iacr.org/ [CDT] http://www.cdt.org/crypto/ [EPIC ] http://www.epic.org/epic/about.html [NSA] www.nsa.gov [CRYPTREC] Information-technology Promotion Agency (IPA), Japan, http://www.ipa.go.jp/security/enc/CRYPTREC/index-e.html

Σας ευχαριστώ για την προσοχή σας! Τέλος Σας ευχαριστώ για την προσοχή σας!