BLOWFISH. Introduzione Algoritmo. Prestazioni Cryptanalysis of Vaundenay. Egizio Raffaele

Transcript

1 Introduzione Algoritmo Prestazioni Cryptanalysis of Vaundenay Egizio Raffaele Introduzione E un cifrario a blocchi a chiave simmetrica Utilizza varie tecniche tra le quali la rete Feistel, le S-box dipendenti da chiavi e funzioni F non invertibili Le chiavi utilizzate sono di dimensioni variabili fino ad un max. di 448 bit Lavora su blocchi di 64 bit Non si conoscono al momento tecniche di attacco valide nei suoi confronti E' considerato uno degli algoritmi di cifratura a blocchi più veloce (risulta più veloce di DES e IDEA) Non è brevettato ed è di dominio pubblico Algoritmo La procedura consiste in due fasi: una fase di espansione della chiave e una fase di cifratura dei dati L'espansione chiave converte una chiave di al più 448 bit in un array di sottochiavi per un totale di 4168 byte La cifratura dei dati avviene attraverso 16 round Le sole operazioni usate sono XOR, somme su parole a 32- bit e quattro letture per round in array di dati indicizzati Algoritmo Dalla chiave simmetrica vengono ricavati il P-array con 18 sottochiavi a 32 bit (P1, P2,..., P18) e 4 S-box ognuna costituita da 256 sottochiavi a 32 bit P 1 P 2. P 18 CHIAVE (lunghezza compresa tra 64 e 448 bit) Codifica Blowfish è una rete di Feistel che consiste di 16 round Funzione F Dividere xl in quattro blocchi di 8 bit: a, b, c e d F(xL)=[(S1(a)+ S2(b)) S3(c))] + S4(d) + addizione modulo 2 32

2 Passo 1) Passo 1) P 1 P 2. P k. P 18.. P ik+1 P ik+2.. P (i+1)k... CHIAVE C i =32 bit 2<=k<=14 P-array P i =32 bit.. C k. C k Passo 1) Passo 3) P-array del passo 2) P 1 P 2 (00.00) P 3 P 4 xl 1 xr 1 P 3 P 4 xl 1 xr 1 xl 2 xr 2. P jk P jk+1 P jk+2. P 18. (xl 1,xR 1 ) (xl 2,xR 2 ) (xl 3,xR 3 ) Si itera la procedura fino a quando non vengono sostituite tutte le chiavi del P-array ottenendo:. C s. C k xl 1 xr 1 xl 2 xr 2.. xl 17 xr 17 xl 18 xr 18 Passo 4) Si procede come nel passo 3) partendo dalla codifica di (xl 17,xR 18 ) e utilizzando il P-array ottenuto alla fine del medesimo passo. Ad ogni iterazione si sostituiscono le sottochiavi delle S-box invece di quelle del P-array e le S- box così modificate vengono utilizzate nell iterazione successiva Ogni iterazione genera due sottochiavi Sono necessarie 521 iterazioni per generare tutte le sottochiavi (18/2 iterazioni per generare il P-array e 256/2 iterazioni per ognuna delle quattro S-box) Decodifica La decodifica avviene allo stesso modo della codifica ad eccezione dell ordine in cui vengono usate le sottochiavi P1, P2,..., P18 che è invertito

3 Prestazioni Fase di inizializzazione molto complessa (costruzione P-array e S-box) ma può essere precomputata Codifica e decodifica dei dati molto veloci Sicurezza Il Blowfish è stato presentato per la prima volta da B. Schneier sulle pagine del noto dr. Dobb's journal nel 1994 La stessa rivista ha poi sponsorizzato una gara di crittoanalisi (1000 dollari di premio per il vincitore) terminata nell'aprile del 1995 I risultati più interessanti sono stati ottenuti da Serge Vaundenay che, oltre a definire attacchi a versioni modificate del Blowfish, ha evidenziato la presenza di chiavi deboli nell'algoritmo Cryptanalysis Una "weak key" (chiave debole) è una chiave per cui almeno una delle 4 S-Box generate, ad esempio S1, ha almeno una collisione Per S1 esistono due byte diversi, a ed a', tali che S1(a)=S1(a') Mediamente esiste una weak key ogni 2 15 chiavi Assumeremo che l'attaccante conosce la parte di chiave privata che descrive la funzione F, cioè partiremo dal presupposto che l'attaccante conosce tutte le entrate delle S- Box ma non le chiavi P1, P2,..., P18 Assumeremo che la chiave sia una weak-key con d = xor della collisione per S1 d = a xor a, a diverso da a e S1(a)=S1(a') Siano P1, P2,..., P18 le sottochiavi generate dalla weak key e consideriamo la seguente figura Assumendo una sola collisione per S1, con differenza d, la probabilità che si verifichi questo risultato è 2-7 Iterando il precedente procedimento per tre volte si ottiene Blowfish su otto round Sempre assumendo una sola collisione per S1, con differenza d, la probabilità che si verifichi questo risultato è 2-21 ( 2-7 *2-7 *2-7 ) Provando 2 21 coppie di chosen plaintex con xor [0000d000], è facile trovare una coppia di ciphertext (C,C ) con xor [d000xyzt] Sia C=(L,R). Abbiamo: F(L xor P10) xor F(L xor P10 xor [d000])=[xyzt] Provando tutte le 2 32 possibili combinazioni riusciamo a calcolare il valore di P10 che verifica la precedente equazione

4 Per il Blowfish con t round che usa una weak key, è possibile calcolare Pt+2 provando 2 7* t-2/2 coppie di chosen plaintex Una coppia casuale di ciphertext ha xor=[d000xyzt] con probabilità 2-32 Per essere sicuri che il risultato sia valido, è conveniente verificarlo con più coppie di ciphertext con tale xor E possibile dimostrare che con t < 11 una sola coppia è sufficiente a garantire, con buona probabilità, che il risultato sia corretto Con t >=11 è possibile trovare circa 2 7* t-2/223 coppie di ciphertext con xor = [d000xyzt] che ci porterebbero ad un risultato errato per Pt+2 Quando t >= 11 bisogna trovare almeno tre coppie di ciphertext che diano lo stesso risultato, il che implica che bisogna tentare mediamente con 3*2 7* t-2/2 coppie di di chosen plaintex con xor = [0000d000] Una volta scoperta la sottochiave Pt+2 è possibile attaccare la chiave Pt+1 usando lo stesso metodo sul Blowfish con t- 1 round Usando questo metodo in modo iterativo possiamo risalire a tutte le t+2 sottochiavi Poiché,se t è pari,la complessità dell attacco su t round è la stessa che su t-1 round, la ricerca di tutte le sottochiavi richiede 3*2 2+7* t-2/2 coppie di chosen plaintex Per t=16,tale valore è 3*2 51. Per t=8,poiché 8<11, il numero di chosen plaintex richiesto per tale attacco è 2 23 La chiave privata è una chiave qualsiasi e non necessariamente una weak key La funzione (a,b) in S1(a)+S2(b) è un espansione da 16 a 32 bit che può portare ad una collisione S1(a)+S2(b) = S1(a )+S2(b ) con probabilità relativamente alta Sia d = a xor a, µ = b xor b Assumendo una sola collisione per S1+S2, con differenza d µ, la probabilità che si verifichi questo risultato è 2-15 Iterando il precedente procedimento per tre volte si ottiene Blowfish su otto round Sempre assumendo una sola collisione per S1+S2, la probabilità che si verifichi questo risultato è 2-45 ( 2-15 *2-15 *2-15 ) Il numero di chosen plaintex richiesto per attaccare P10 è 2 46 (vogliamo due coppie di ciphertext con xor = [d000xyzt] in modo da poter verificare il risultato ottenuto con la prima coppia) e 2 48 coppie per ottenere tutte le sottochiavi Per Blowfish con più di otto round tale attacco è impossibile perché richiede di provare un numero eccessivo di chosen plaintex S-Box non conosciute Senza assumere che le S-box siano conosciute, è possibile solo scoprire se la chiave utilizzata è una weak key o meno non è possibile risalire al P-array, alle S-box né alla chiave stessa Scegliendo a caso i byte B1, B2, B3, B4, B6, B7, e B8 (non B5 quindi), nella matrice MB di tutte le 2 8 possibili combinazioni di [B1, B2, B3, B4, B5, B6, B7, B8], abbiamo 2 7 coppie con buono xor (cioè 2 7 coppie con xor uguale a [0000d000] dove d è il valore dell eventuale collisione per S1) Sia MC la matrice dei corrispondenti ciphertext [C1, C2, C3, C4, C5, C6, C7, C8]

5 S-Box non conosciute E possibile dimostrare che in ogni coppia buna il valore þ=[(b5 xor C5), C6, C7, C8] è lo stesso per entrambi i messaggi della coppia dove, per coppia buona, si intende la coppia (Bi,Bj) tale che Bi xor Bj = [0000d000] e i rispettivi ciphertext hanno xor uguale =[d000xyzt] Per trovare una buona coppia, ci basta verificare se nella matrice ci sono delle coppie per cui è presente una collisione per il valore þ. Se non ci sono buone coppie, cioè se non ci sono collisioni per nessuna delle quattro S-Box, la probabilità di avere una collisione per þ è molto bassa (circa 2-17 ) S-Box non conosciute Con 2 14 matrici esiste un alta probabilità di trovare una buona coppia, sempre che ci sia almeno una collisione per almeno una delle S-box. Quindi con 2 22 chosen plaintex (2 14 matrici con 2 8 chosen plaintex ciascuna ) siamo in grado, con buona probabilità, di scoprire se ci sono collisioni per le S-box, cioè di scoprire se la chiave utilizzata è una weak key Lo stesso attacco, però, non è attuabile sul Blowfish completo in quanto richiederebbe un numero enorme di chosen plaintex