crittosistemi a flusso

Transcript

1 crittosistemi a flusso Prendiamo Z 2 come alfabeto; in un cifrario a flusso, il testo in chiaro x = x 1 x 2... viene cifrato bit per bit con la chiave k = k 1, k 2,... per ottenere il testo cifrato. Nell one-time pad, x i k i = y i crittosistemi a blocchi I cifrari a blocchi (o a pacchetti) lavorano su blocchi di informazione ognuno dei quali è cifrato e decifrato indipendentemente Il testo in chiaro è considerato come una sequenza di blocchi di m bit. Il testo cifrato ha la stessa lunghezza del testo in chiaro. Di fatto opera come una sostituzione su stringhe molto lunghe (DES: 64 bit, AES: 128 bit) Quindi come una permutazione di 2 64, numeri. Dovrebbe essere una permutazione pseudocasuale (PRP) indistinguibile da una permutazione casuale

2 crittosistemi prodotto Shannon in Communication Theory of Secrecy Systems introduce l idea di combinare diversi crittosistemi prendendo il loro prodotto. DES, AES sono CS prodotto consideriamo crittosistemi in cui P = C (CS endomorfi): S 1 = (P, P, K 1, E 1, D 1 ), S 2 = (P, P, K 2, E 2, D 2 ). Il prodotto S 1 S 2 è il crittosistema (P, P, K 1 K 2, E, D); data una chiave k = (k 1, k 2 ), la corrispondente funzione di cifratura è e (k1,k 2 )(x) = e k2 (e k1 (x)) e la funzione di decifratura è d (k1,k 2 )(y) = d k1 (d k2 (y)). crittosistemi prodotto Infatti, d (k1,k 2 )(e (k1,k 2 )(x)) = d (k1,k 2 )(e k2 (e k1 (x))) = d k1 (d k2 (e k2 (e k1 (x)))) = d k1 (e k1 (x)) = x.

3 crittosistemi prodotto: esempio sia M il cifrario moltiplicativo: P = C = Z 26 ; K = {a Z 26 (a, 26) = 1}; e a (x) = ax, d a (y) = a 1 y; sia S il cifrario additivo; P = C = K = Z 26 ; e k (x) = x + k, d k (y) = y k; allora M S è il cifrario affine! e (a,k) (x) = e k (ax) = ax + k cifrari iterati spesso si considera il prodotto di un crittosistema S per se stesso; S S = S 2 un crittosistema si dice idempotente se S S = S : (additivo, sostituzione, Vigenère sono idempotenti) se un crittosistema S non è idempotente, usare il CS S n può aumentare la sicurezza questa idea è usata per esempio nel DES, che consiste di 16 iterazioni, o round

4 SPN questo è quello che succede nelle reti a sostituzione-permutazione (Substitution-permutazion network, o SPN) introdotte de Shannon in Communication Theory of Secrecy Systems queste reti sono la base della crittografia moderna forniscono confusione e diffusione di un messaggio Shannon ha suggerito di usare crittosistemi che producano: confusione: rende la relazione tra ciphertext e chiave la più complessa possibile. diffusione sparge la struttura statistica del testo in chiaro su tutto il testo cifrato. SPN

5 SPN - Esempio Blocchi lunghi m = 3 4. Un blocco è: Le S-box sono permutazioni π S di {0, 1,..., 7}: hanno come input e output una stringa binaria di lunghezza tre. Per sempicità, consideriamo una sola S-box La P-box è una permutazione π P di {1, 2,..., 12}. Quindi π S π P

6 SPN key schedule Abbiamo descritto un iterazione. In genere, in un SPN a R round, una chiave dà luogo a R chiavi di round (key schedule). Nell i-simo round,prima della S-box e della P-box, il testo in input viene combinato con la chiave tramite uno XOR.

7 Supponiamo che le rete del nostro esempio abbia 2 round: la chiave potrebbe essere una stringa binaria k di lunghezza 12, che produce tre chiavi di round (k 0, k 1, k 2 ), per esempio k 0 = k, k 1 = k 1, k 2 = π S (k). il SPN dell esempio, con PT x = , chiave k = Chiavi di round k 0 = k = ; k 1 = ; k 2 = ; x = k 0 = π S π P k 1 = π S π P k 2 = = y

8 SPN - descrizione generale Siano l, k e R interi positivi,m = l k, sia π Si : {0, 1} l {0, 1} l una permutazione, (per i = 1,... k) e π P : {1,..., m} {1,..., m} un altra permutazione. Siano P = C = Z m 2, sia K = Zm 2 assieme a un algoritmo di key scheduling che, data una chiave k, produce R chiavi di round k 1,..., k R.. La cifratura funziona secondo il seguente schema informale: per i = 1,..., R 1 input = x i = 1, o l output del round i 1 per i > 1. 2 fare lo XOR fra l input e k i. 3 a questo, applicare π S. 4 a questo, applicare π P. l output del R-simo round è il testo cifrato y. confusione e diffusione confusione la relazione tra ciphertext e chiave deve essere molto complessa deve essere molto difficile risalire alla chiave anche conoscendo molte coppie plaintext-cyphertex cambiare un bit nella chiave deve cambiare molto il testo cifrato diffusione la relazione tra ciphertext e plaintext deve essere molto complessa cambiare un bit nel testo in chiaro deve cambiare molto il testo cifrato effetto valanga: se l i-simo bit nel PT cambia, il j-simo bit del CT cambia con probabilità 1 2 per ogni i, j

9 SPN: confusione e diffusione una SPN deve essere progettata con lo scopo di massimizzare confusione e diffusione le S-box vanno costruite massimizzando l effetto valanga le P-box devono distribuire i bit in uscita da una singola S-box in modo che siano in entrata nel maggior numero possibile di S-box