Forelesning 3

Datasikkerhet vår 2003
Forelesning 3
Terminologi
• Kryptografi – fra gresk krypto: skjult, hemmelig og
grafein: skrift
• Kryptering - å kode melding slik at dens innhold/mening
ikke kan oppfattes av utenforstående (å skjule
meningsinnhold)
• Dekryptering - omforme en kryptert M tilbake til normal
for (klartekst)
Klartekst
Kryptogram
Klartekst
Kryptering
Dekryptering
• Kryptoanalyse - lete etter skjult mening
• analytisk
• ved hjelp av rå maskinkraft
20.01 2003
HiØ Forelesning 3
2
Algoritme = (regne/behandlings) regel/regler
P = [VÆR HILSET STUDENTER OG VELKOMMEN]
C = E(P) der E (krypteringsalgoritmen) er røverspråkreglene.
Etter hver konsonant settes en vokal og deretter gjentas
konsonanten.
C = [VOVÆROR HOHILOLSESTET
SOSTETUDODENONTETEROR OGOG
VOVELOLKOKOMOMMOMENON]
Røverspråket er en fast algoritme - uten nøkkel.
20.01 2003
HiØ Forelesning 3
3
Algoritmer med nøkkel
KENCRYPT
M
ENCRYPT
KDECRYPT
Kryptogram
DECRYPT
M
(Pass på mulige inkonsistenser ved oversettelse til norsk)
20.01 2003
HiØ Forelesning 3
4
Substitusjon
A>D
B>E
C>F
D>G
.
Ø>B
Å>C
20.01 2003
ZM IV M JIVH QIH D PBVI
SQ OVÅTXSKVEJM
• c=c+3
• Enkel å implementere
– for mennesker
– for maskiner
• Eksempel Caesars
algoritme
HiØ Forelesning 3
5
Transposisjoner (Permutasjoner)
• Stokker om på ”bokstavene” som utgjør
meldingen
• Forutsetter at man lager blokker av
meldingen
network
securit
yessent
ialsxxx
20.01 2003
nsyieee
atcslwu
ssorexr
inxkttx
HiØ Forelesning 3
6
To sikkerhetskrav - klassisk kryptografi
• Sterk krypteringsalgoritme
– Algoritme bør være offentlig (NSK er hemmelig)
– (Algoritme + N*kryptogram) skal ikke medføre avsløring av
klartekst/nøkkel;
– (Algoritme + N*(kryptogram + klartekst)) skal ikke medføre
avsløring av nøkkel;
• Sender og mottaker må ha fått kopier av
hemmelig nøkkel på en sikker måte;
– med tilgang til nøkkelen kan all kommunikasjon avsløres.
20.01 2003
HiØ Forelesning 3
7
Klassifisering av kryptosystemer
• Type operasjoner som benyttes
– substitusjon,
– transposisjonering;
• Antall nøkler som benyttes
– En nøkkel - symmetrisk
– To nøkler - asymmetrisk eller ”Public key”
• Prosesseringsmåte
– Blokkalgoritmer N bit inn N bit ut
– Fortløpende (stream) et element inn, et element ut
20.01 2003
HiØ Forelesning 3
8
Kryptoanalyse
Å avsløre klartekst fra kryptogrammer
• Kun den krypterte tekst
– (algoritme + kryptogram) analyse basert på sannsynligheter, kjente
fordelinger, uttømmende nøkkelsøk
• Kjent klartekst
– ( + par av klartekst/kryptogrammer der hemmelig nøkkel er benyttet)
• Valgt klartekst
– ( + klartekst valgt av analytiker og tilhørende kryptogram)
• Valgt kryptogram
– ( + dekryptert klartekst)
• Valgt tekst (begge de to foregående)
Klartekst
20.01 2003
Algoritme
Kryptogram
HiØ Forelesning 3
Algoritme
Klartekst
9
Kriterier for tilstrekkelig sterke
kryptografiske systemer
• Kostnaden ved dekryptering overstiger
verdien på den krypterte informasjon;
• Tiden det tar å gjennomføre analysen
overstiger informasjonens ”levetid” (hvor
lenge den må holdes hemmelig)
20.01 2003
HiØ Forelesning 3
10
Ønskede egenskaper ved
kryptoalgoritmer
• Forvirring (confusion)
– sørge for at det er vanskelig å finne ut hva endringer i noe av
klarteksten har å si for den krypterte tekst.
• Spredning (diffusion)
– sørge for at endringer i litt av klarteksten spres ut over store deler
av den krypterte tekst.
20.01 2003
HiØ Forelesning 3
11
Tid ved uttømmende nøkkelsøk
Tid ved 1
dekrypt. per
mikrosek.
Nøkkellengde
# nøkler
56bit
256=7.2 x 1016 255=1142 år
128bit
2128...
20.01 2003
106
dekrypteringer
per mikrosek.
10 timer
...5.4x1024år 5.4x1018år
HiØ Forelesning 3
12
•
•
•
•
Symmetriske algoritmer
Private Key algoritmer
KE = KD (DES algoritmen)
P = D(K,E(K,P))
•
•
•
•
Asymmetriske algoritmer
Public Key algoritmer
KE  KD (RSA algoritmen)
P = D(KD,E(KE,P))
K
M
20.01 2003
KE
E
Kryptogram
D
M
M
E
HiØ Forelesning 3
KD
Kryptogram
D
M
13
DES algoritmen
• Se egen presentasjon
• NB! Resten av presentasjonen omhandler
symmetriske (secret key) algoritmer
20.01 2003
HiØ Forelesning 3
14
Trippel DEA
•
•
•
•
•
•
Benytter 3 nøkler (tre hemmelige)
Gjennomløper DEA 3 ganger
C=EK3[DK2[EK1[P]]]
P= DK1[EK2[DK3[C]]]
Tre ulike nøkler  168 bits
To ulike nøkler  128 bits (en nøkkel 2 ganger)
20.01 2003
HiØ Forelesning 3
15
Andre algoritmer
DES
56
SET, Kerberos
Trippel DES
112 v 168
PGP, S/MIME
IDEA
128
PGP
Blowfish
... 448
RC5
... 2048
CAST-128
40 .. 128
20.01 2003
HiØ Forelesning 3
PGP
16
Cipher Block Chaining Mode
• Se PDF fil
• Nevne at funksjonen kan benyttes for å lage
en ”digest” (forkortelse).
20.01 2003
HiØ Forelesning 3
17
Cipher Feedback Mode
•
•
•
•
•
DES kan benyttes slik
DES i streaming mode (egentlig block cipher)
Kan operere i sanntid
I figuren sendes j bit. j er ofte 8.
Er en ”chaining” variant slik at alle produsert kryptert tekst
er avhengig av tidligere tekst
20.01 2003
HiØ Forelesning 3
18
Kryptering (PDF 2.8)
•
•
•
•
•
Set 64 bit shift register med IV
Krypter
Ta de j (8) mest signifikante bit
XOR disse med j (8) bit klartekst : C1 (j bit)
Shift register j (8) bit og plasser C1 i de j
minst signifikante bit
• Krypter osv.
20.01 2003
HiØ Forelesning 3
19
Kryptere hvor
• Link kryptering
– Sikker på linjen, rask, transparent for bruker, motstandsdyktig mot
trafikkanalyse fordi også pakkehoder er kryptert
– Klartekst i nodene
• Ende-til-ende kryptering
– Kan være transparent for bruker, ikke avhengig av underliggende
transportnett, færre kryptoenheter, beskyttet gjennom noder
– Følsom for trafikkanalyse
• Kan benytte begge samtidig
20.01 2003
HiØ Forelesning 3
20
Livssyklus
Distribusjon
Installasjon
Produksjon
Lagring
Arkivering
Destruksjon
20.01 2003
HiØ Forelesning 3
21
Nøkkelhåndtering
• Man må påse at nøkler er gode
• Det er god praksis å skifte kryptonøkler jevnlig
(for å unngå kompromittering)
• Nøkler må oppbevares betryggende
• Ønsker å oppbevare digitale signaturer i årevis
som bevis (f.eks. på kontrakter)
• Blir nødvendig å oppbevare nøkler i årevis - kan
bli tusenvis av nøkler.
20.01 2003
HiØ Forelesning 3
22
Trusler
• Avsløring under
• Feil ved
– produksjon
– distribusjon
– lagring
–
–
–
–
• Svake nøkler
produksjon
distribusjon
lagring
synkronisering
– ikke tilfeldige nok
– dårlige egenskaper
20.01 2003
HiØ Forelesning 3
23
Symmetrisk nøkkel utveksling
uten server
• A og B har en felles symmetrisk nøkkel K
A
E(K,Knew)
B
Løsningen forutsetter at alle par av kommuniserende parter
har nøkkel for hver part - n(n-1)/2
20.01 2003
HiØ Forelesning 3
24
Nøkkelhierarki
Hoved
krypterings
nøkkel
Nøkkelkrypterings
nøkkel
Trafikknøkkel
20.01 2003
Nøkkelkrypterings
nøkkel
Trafikknøkkel
Trafikknøkkel
HiØ Forelesning 3
Trafikknøkkel
25
Symmetrisk nøkkel utveksling
med server
• Per og Rita trenger hemmelig nøkkel for sikker
kommunikasjon seg imellom
• Kp, Kr er Pers og Ritas nøkler for sikker kommunikasjon
med nøkkelsenter (KDC - Key Distribution Centre)
• Per sender (P, R, Ip) til KDC - Per, Rita (identiteter) unik
identifikator Ip i fall Per har flere samtidige ”oppdrag” - og
for å hindre replay angrep.
• KDC sender Per E((Ip,R,Kpr,E((Kpr,P),Kr)),Kp)
• Per sender E((Kpr,P),Kr) videre til Rita
20.01 2003
HiØ Forelesning 3
26
Nøkkeldistribusjonssenter - NDS (KDC)
NDS
Ip
R
P
1
P
Kpr
R
Kpr
Ip: Slumptall
Kpr: Trafikknøkkel
R: Ritas Id
P: Pers Id
Per-NDS nøkkel
Rita-NDS nøkkel
Ip
2
3
P
Kpr
Rita
Per
20.01 2003
HiØ Forelesning 3
27
Modell for nøkkelhåndtering
KI
KP
NA
KI
KP
NA
NP
20.01 2003
KommunikasjonsInitiator
KommunikasjonsPartner
NøkkelAnsvarlig
Nøkkelprodusent
HiØ Forelesning 3
NP
28
Informasjonsflyt
• Rekvisisjon
–
–
–
–
Egen (KI) identitet
Autentiseringsinfo.
Identiteten til KP
Aksesskontrollinfo.
KI
Nøkkelmateriell
Sikker komm.
KP
Rekvisisjon
Nøkkelmateriell
NA
• Nøkkelmateriell
– kryptonøkkel
– referanse til
kryptonøkkel
– gyldighetsperiode etc.
– NA sin signatur
20.01 2003
Lagre
Algoritme
Sync
Policy
Aut.Info
Aksessk.Info
HiØ Forelesning 3
NP
29