Cifrari a blocchi: Data Encryption Standard

Transcript

1 Cifrari a blocchi: Data Encryption Standard Alfredo De Santis Dipartimento di Informatica Università di Salerno ads@dia.unisa.it Cifrari simmetrici! Crittosistemi a chiave privata/segreta! Alice e Bob conoscono la stessa chiave K! Cifrari a blocchi! Messaggi divisi in blocchi e poi cifrati! Stream cipher! Messaggi cifrati carattere per carattere 1 Cifrari a blocchi Cifrari a blocchi n bit cifrario chiave n bit! Alcuni esempi:! Data Encryption Standard ()! triplo! Blowfish! RC5, RC6! Advanced Encryption Standard (AES)! Blocchi di n bit! 2 n possibili input ()! 2 n possibili output ()! 2 n! possibili trasformazioni (reversibili)! La cifratura deve essere reversibile! Funzione biettiva Chiaro Cifrato Chiaro Cifrato

2 Cifrari a blocchi Esempio per n=4! Blocchi di n bit! 2 n possibili input ()! 2 n possibili output ()! 2 n! possibili trasformazioni (reversibili)! La cifratura deve essere reversibile! Funzione biettiva Chiaro Cifrato Chiaro Cifrato Cifratura 4 bit input bit output 5 Decifratura Esempio per n=4 Mapping memorizzabile in una tabella! La chiave è la tabella Chiaro Cifrato Chiaro Cifrato Cifrari a blocchi! L uso della tabella è poco pratico! Per blocchi di n bit la tabella ha dimensione n x 2 n! Per n=64, dimensione n x 2 n = 2 70 = bit! Occorre un approssimazione! Un metodo compatto per rappresentare la funzione di cifratura/decifratura 7

3 Cifrari di Feistel Cifrari di Feistel: Caratteristiche! Proposta di Feistel (1973), basata su una sequenza di permutazioni e sostituzioni! Si basa sui principi di Shannon (1949)! Diffusione! Indipendenza della struttura statistica del da quello cifrato! Confusione! Relazione complicata fra e chiave segreta! Tali principi rendono difficile gli attacchi statistici 8! Dimensioni del blocco! Blocchi grandi migliorano la sicurezza ma riducono la velocità! Dimensioni della chiave! Chiavi grandi migliorano la sicurezza ma riducono la velocità! Numero di round! Tutti i round hanno la stessa struttura! Algoritmo di schedulazione della chiave! A partire dalla chiave iniziale vengono prodotte tante sottochiavi quanti sono i round 9 Cifrari di Feistel: struttura di un round Cifrari di Feistel L i-1 R i-1 f L i R i Blocco di testo k i sottochiave round function Blocco di testo! Cifratura:! Basta implementare un solo round! Lo stesso codice può essere usato per ogni round! Decifratura! Usa lo stesso algoritmo per la cifratura! Usa le sottochiavi in ordine inverso! Esempi di cifrari di Feistel!! Blowfish 10 11

4 Data Encryption Standard ()! 15 maggio 1973: richiesta pubblica per uno standard della NBS, oggi NIST! 27 agosto 1974: seconda richiesta! 1975: Lucifer, sviluppato da IBM nel 71, viene modificato dalla NSA (chiave da 128 a 56 bit)! 1976: due workshop! Standard pubblicato 15 gennaio 1977! Riaffermato per successivi 5 anni nel 1983, 1987, 1992! challanges (giugno 1997, luglio 1998, gennaio 1999)! Advanced Encryption Standard (AES) Data Encryption Standard 64 bit 64 bit 56 bit chiave Lunghezza della Chiave Nello standard la chiave è lunga 64 bit: 8 byte di cui l ottavo bit è di parità precedenti 7 bit Precedenti 7 bit IP iterazione 1... iterazione 16 Struttura del 48 bit 48 bit chiave 56 bit schedulazione chiave bit di parità è lo xor dei precedenti 7 bit 14 scambio IP -1 15

5 Permutazione Iniziale IP Permutazione Inversa IP bit iniziali bit iniziali bit permutati bit permutati Singola Iterazione La funzione f parte sinistra 32 bit parte destra 32 bit L i-1 R i-1 sottochiave 48 bit A E 32 bit E(A) 48 bit 48 bit J f k i B 1 B 2 B 3 B 4 B 5 B 6 B 7 B 8 S1 S2 S3 S4 S5 S6 S7 S8 C 1 C 2 C 3 C 4 C 5 C 6 C 7 C 8 L i R i P f(a,j) 32 bit 18 19

6 Espansione E S-box bit iniziali 16 bit sono duplicati Box S1 6 bit in input specificano un elemento della tabella la cui conversione binaria dà i 4 bit output bit dopo espansione Funzionamento delle S-box primo ed ultimo bit 10 Box S1 input output 11 in binario = 1011 Proprietà delle S-box [NBS, 1976]! Ogni riga è una permutazione degli interi 0,..,15! Nessuna S-box è una funzione lineare dei suoi input! Cambiando un solo bit di input ad una S-box variano almeno due bit nell'output! Per ogni S-box S e per ogni input x a 6 bit: S (x) e S(x!001100) differiscono in almeno due bit! Per ogni S-box, per ogni input x e per ogni bit d,g, S(x) " S(x!11dg00)! Per ogni S-box, il numero degli input per i quali il bit di output è 0 è circa uguale al numero degli input per i quali tale bit è

7 Schedulazione delle chiavi chiave k PC1 C 0 D 0 Permutazione PC k bit PC2 56 bit. LS 1 LS 1 C 1 D 1. LS 16 LS 16 i bit in posizione 8, 16, 24, 32, 40, 48, 56, 64 sono di parità e non compaiono bit iniziali k bit 56 bit PC2 C 16 D 16 bit dopo permutazione Compressione-permutazione PC-2 Schedulazione shift a sinistra bit soppressi in posizione 9, 18, 22, 25, 35, 38, 43 e 54 bit iniziali iterazione shift Totale shift nelle 16 iterazioni = 28 posizioni bit dopo compressione

8 Decifratura Decifratura IP chiave iterazione 1... iterazione 16 k 16 k 1 schedulazione chiave scambio IP -1 stesso algoritmo sottochiavi in ordine inverso Decifratura Decifratura L ultimo round dell operazione di cifratura: Il primo round dell operazione di decifratura: L 15 R 15 R 16 = L 15!f(R 15, K 16 ) R 16 L 16 f k 16 L 16 =R 15 f k 16 R 15 =L 16 R 15 =L 16 L 16 R 16 L 15 = R 16!f(L 16, K 16 ) R 15 L 15 L 15 = R 16!f(L 16, K 16 ) 30 31

9 J Gestione cifratura Proviamolo insieme, collegandoci al link! Testo in chiaro Chiave di cifratura Avvia la cifratura Cancella i dati inseriti J Risultati cifratura J Gestione animazioni Risultati relativi al Area in cui vengono visualizzate le animazioni Risultati relativi alla schedulazione della chiave di cifratura Manager dell animazione Area in cui vengono visualizzati i messaggi Area in cui vengono visualizzati i risultati 34 35

10 Osservazioni sul Attacchi al! Molti aspetti circondati da misteri! Si ritiene che autorità governative possano avere forzato alcuni aspetti per poter mantenere il controllo! Esempi! Restrizione ad un massimo di 56 bit per la chiave! Poter decifrare messaggi! Costruzioni delle S-box! Nascondono qualcosa?! Gli shift! Perché a volte 1 e a volte 2?! Forza bruta (ricerca esaustiva)! Esaminare 2 56 chiavi! Anni 70: improponibile! Ma forse non per tutti! Oggi: fattibile! anche se non alla portata di tutti Proprietà del complemento Proprietà del complemento Se x k y è il complemento bit per bit Può essere usata per migliorare il running time della ricerca esaustiva? allora x k y! Attacco known plaintext: NO! Attacco chosen plaintext: SI! Scegliamo due coppie (x, y 1 ) e (x, y 2 )! Per ogni chiave h tale che y =(h, x) si ha y =(h, x)! Pertanto, se y! y 1, allora k!h e se y! y 2 allora k!h! Eliminiamo due chiavi candidate mediante una singola cifratura! Il running time della ricerca esaustiva migliora di un fattore " 38 39

11 Ricerca esaustiva! Numero chiavi = 2 56 # 7, = 72 milioni di miliardi di combinazioni distinte! Considerando un computer che svolge:! 1 cifratura al microsecondo, ci vogliono circa 1142 anni per provare la metà dello spazio delle chiavi 2 55 # 3, chiavi! 1 milione di cifrature al microsecondo, ci vogliono solo circa 10 ore Ricerca esaustiva Con macchine parallele è possibile diminuire il tempo richiesto dalla ricerca esaustiva! 1977: ipotesi di macchina in grado di rompere il in un giorno! costo: 20 milioni di dollari! 10 6 chip, in grado di testare 10 6 chiavi al secondo! 1993: ipotesi di macchina in grado di rompere il in tre ore e mezza! Costo: 1 milione di dollari! 10 macchine in parallelo, ciascuna con 5760 chip challenges Deep Crack: Unità di ricerca! Proposte da RSA Data Security! dollari al primo che rompe la challenge se rotta entro il 25% del miglior tempo precedente chiave blocco! Giugno 1997: 39 giorni, testato 24% delle 2 56 chiavi, CHALL " Rocke Verser scrisse e distribuì un client di ricerca, " computer, " trovata da Michael K. Sanders (Pentium 90 MHz, 16M) " messaggio: Strong cryptography makes the world a safer place! Luglio 1998: 56 ore, Deep Crack, EFF, dollari! Gennaio 1999: 22 ore 15 minuti testando 245 miliardi di chiavi al secondo, Distributed.Net: computer e EFF chiave $ chiave+1 no -1 Interessante? si Invia al software 42 43

12 Deep Crack: Unità di ricerca Chip! Clock di 40Mhz! Una decifratura in 16 cicli di clock! Numero chiavi provate al secondo = ! 24 unità di ricerca! Prova 24 % = chiavi al sec.! Prova tutte le chiavi in giorni (#38 anni) Board Chassis! 64 processori! 32 per faccia! 40 cm X 40 cm! Prova 64% = chiavi al sec.! Prova tutte le chiavi in #218 giorni! 12 schede! Prova 12 % = chiavi al sec.! Prova tutte le chiavi in #18 giorni 46 47

13 EFF Cracker Prestazioni Device Unità di ricerca Quanti nella prossima device Chiavi/sec Num. medio Giorni per ricerca Chip Board Chassis , : ricavata la chiave in sole 56 ore costo: $ EFF Cracker , Attacchi sofisticati al Crittoanalisi differenziale (Biham e Shamir, 1990)! Efficace con un numero basso di iterazioni! Con 8 iterazioni, necessarie 2 14 coppie (plaintext, ciphertext) di testi scelti! Con 16 iterazioni, necessarie 2 47 coppie (plaintext, ciphertext) di testi scelti! Attacco già noto in fase di progetto del? Crittoanalisi lineare (Matsui, 1993)! Recupera la chiave a partire da 2 47 coppie (plaintext, ciphertext) di testi noti! Implementato nel 1993: 10 giorni su 12 macchine Modalità operative del Come cifrare più di 64 bit?! Electronic codebook chaining (ECB)! Cipher block chaining (CBC)! Cipher feedback (CFB)! Output feedback (OFB)! Counter (CTR) NBS FIPS PUB 46, modes of operation, National Bureau of Standards, 1977 NIST SP A, Recommendation for block cipher modes of operation, National Institute of Standards and Technology,

14 Electronic codebook chaining (ECB) messaggio in chiaro x = x 1 x 2...x n (diviso in n blocchi di 64 bit) x 1 x 2 x n y 1 y 2 y n messaggio cifrato y = y 1 y 2 y n Electronic codebook chaining (ECB) cifratura x 1 x 2 x n y 1 y 2 y n decifratura y 1 y 2 y n x 1 x 2 x n Electronic codebook chaining (ECB)! Se la lunghezza del messaggio non è multiplo di 64?! Possibile soluzione: Padding con 10000! L ECB è il metodo più veloce! Eventuali errori non si propagano! Non c è dipendenza tra i blocchi! Possibili attacchi di sostituzione Cipher Block Chaining (CBC) messaggio in chiaro x=x 1 x 2...x n (diviso in n blocchi di 64 bit) IV x 1 x 2 x n y 1 y 2 k k k y n! Non sicuro per messaggi lunghi! Allo stesso blocco in chiaro corrisponde sempre lo stesso cifrato 54 messaggio cifrato y = y 1 y 2 y n vettore di inizializzazione IV di solito pubblico, (potrebbe anche essere scelto a caso e tenuto nascosto) 55

15 cifratura decifratura Cipher Block Chaining (CBC) IV IV x 1 x 2 x n k k k y 1 y 2 y 1 y 2 y n k k k y n Cipher Block Chaining (CBC)! Meno veloce dell ECB! Propagazione errori! C è dipendenza tra i blocchi! Non possibili attacchi di sostituzione x 1 x 2 x n Cipher feedback (CFB) Cipher feedback (CFB) messaggio in chiaro x=x 1 x 2...x n (diviso in n blocchi di 64 bit) IV x 1 y 1 x 2 x n y n cifratura IV x 1 y 1 x 2 k k k x n y n k k k decifratura y 1 y 2 y n-1 y n messaggio cifrato y = y 1 y 2 y n IV x 1 x 2 x n k k k 58 59

16 j-bit CFB j-bit CFB shift di j bit 64-j bit j bit k shift di j bit 64-j bit j bit k shift di j bit 64-j bit j bit k j bit 64-j bit j bit 64-j bit j bit 64-j bit j bit del j bit del j bit del testo in chiaro j bit del j bit del j bit del testo in chiaro Si inizia cifrando IV Cifratura Decifratura j-bit CFB Output feedback (OFB)! j può essere scelto a piacimento, ad es. j=8! Si possono utilizzare j bit cifrati senza aspettarne 64! Più lento al decrescere di j messaggio in chiaro x=x 1 x 2...x n (diviso in n blocchi di 64 bit) sequenza z=z 0 z 1...z n indipendente dal messaggio, z 0 =IV z i-1 k messaggio cifrato y = y 1 y 2 y n y i =x i z i z i 62 63

17 j-bit OFB j-bit OFB shift di j bit 64-j bit j bit k shift di j bit 64-j bit j bit k j bit 64-j bit j bit 64-j bit j bit del testo in chiaro j bit j bit del testo in chiaro j bit Si inizia cifrando IV I valori input allo xor possono essere precomputati j-bit OFB j-bit OFB j bit del testo in chiaro shift di j bit k 64-j bit j bit j bit 64-j bit Cifratura j bit shift di j bit 64-j bit j bit k j bit j bit 64-j bit j bit del testo in chiaro Decifratura! XOR veloci da realizzare! Non c è dipendenza tra i blocchi! Cambiando un bit nel, cambia un solo bit nel cifrato 66 67

18 Counter Esercizio Impiega un contatore di 64 bit x 1 x 2 x n Vantaggi: Counter! Efficienza hardware e software k! Preelaborazione! Accesso casuale x i! y i! Sicurezza dimostrabile! Semplice Counter+1 k x i+1! y i+1 k y 1 in ECB/CBC/CFB/OFB y 2 Blocco y 1 trasmesso non correttamente (alcuni 0 diventano 1 e viceversa) Quanti e quali blocchi sono decifrati non correttamente? y n Cifratura multipla Doppio! Debolezze del # chiave piccola (56 bit) # taglia dei blocchi piccola (64 bit)! Come costruire un cifrario più sicuro a partire dal (senza modificarne la struttura)?! Cifratura multipla k 1 k 2! lunghezza blocco = 64 bit! chiave (k 1, k 2 ) lunga = 112 bit # Cifrare il messaggio varie volte con chiavi differenti, sperando che questo aumenti la sicurezza

19 Doppio Sicurezza doppio Cifratura Decifratura k 1 k Quanto è sicuro il doppio? k 2 k & doppio? Data una coppia (k 1, k 2 ), se esistesse k 3 tale che k3 ( ) = k2 ( k1 ( ) ) la doppia cifratura sarebbe equivalente ad una cifratura singola non forma un gruppo! Esistono 2 64! > > permutazioni! Corrispondenti ai 2 64 input possibili! Ci sono 2 56 << permutazioni definite da! A ciascuna chiave, fa corrispondere una permutazione! Se viene applicato due volte con chiavi diverse può produrre una delle permutazioni non definite da L insieme delle 2 56 permutazioni definite dalle 2 56 chiavi non è chiuso per composizione (dimostrato solo nel 1992) 74 75

20 Doppio x z k 1 k 2! Data una coppia nota (x,y) eseguo tutte le cifrature per i 2 56 valori possibili di k 1 in una tabella! Eseguo le decifrature per i 2 56 valori possibili di k 2 e cerco le corrispondenze nella tabella y Doppio: Known Plaintext Attack Input: x, y = k2 ( k1 (x) ) Costruisci tabella for k 2 '{0,1} 56 do z = -1 k 2 (y) chiave k1 k 1 (x) if per qualche k 1, (k 1, z) è nella tabella then return la chiave è (k 1,k 2 ) Doppio: Doppio:! Complessità spazio: 2 56 righe nella tabella! Complessità tempo:! 2 56 cifrature per x (costruzione tabella)! 2 56 decifrature per y! 2 56 ricerche in tabella! O(1) se tabella hash! 56 se array ordinato L output (k 1,k 2 ) è sicuramente la chiave cercata? 78 79

21 Doppio: Doppio: Dato x, y qual è il numero medio di chiavi (k 1,k 2 ) tali che y = k2 ( k1 (x) )? Dato x, y, qual è il numero medio di chiavi (k 1,k 2 ) tali che y = k2 ( k1 (x) )? Fissato x, ci sono chiavi e 2 64 testi cifrati y #chiavi #y per fissato x = 2 64 = Doppio: Known Plaintext Attack Input: x, y = k2 ( k1 (x) ) k1 k x, y = k2 ( k1 (x ) ) 1 (x) Costruisci tabella for k 2 '{0,1} 56 do z = -1 k 2 (y) if per qualche k 1, (k 1, z) è nella tabella chiave e y = k2 ( k1 (x ) ) then return la chiave è (k 1,k 2 ) 82 Doppio: Dato x, y, x, y qual è il numero medio di chiavi (k 1,k 2 ) tali che y = k2 ( k1 (x) ) y = k2 ( k1 (x ) )? Fissati x, x, ci sono chiavi e testi cifrati y, y #chiavi = = 2-16 #y,y per fissati x,x Prob. di indovinare la chiave corretta = =

22 Doppio: Triplicato Complessità Known Plaintext Attack # 2 56 Ricerca esaustiva su tutte le chiavi # k 1 k 2 k 3 Equivalente ad un cifrario con una chiave di 56 bit, e non 112 bit! lunghezza blocco = 64 bit! chiave (k 1,k 2,k 3 ) lunga = 168 bit Triplicato: Triplicato: x z y k 1 k 2 k 3 Known Plaintext Attack chiave Input: x, y = k3 ( k2 ( k1 (x) )) (k1,k2) Costruisci tabella k2(k1(x)) for k 3 '{0,1} 56 do z = -1 k 3 (y) if per qualche k 1,k 2, (k 1 k 2, z) è nella tabella then return la chiave è (k 1,k 2,k 3 ) 86 Known Plaintext Attack Input: x, y = k3 ( k2 ( k1 (x) )) Costruisci tabella for k 3 '{0,1} 56 do z = -1 k 3 (y) chiave (k1,k2) k2(k1(x)) if per qualche k 1,k 2, (k 1 k 2, z) è nella tabella then return la chiave è (k 1,k 2,k 3 ) Complessità spazio: righe nella tabella Complessità tempo:! cifrature per x (costruzione tabella)! 2 56 decifrature per y! 2 56 ricerche in tabella 87

23 Triplicato: Triplicato: x z y k 1 k 2 k 3 Known Plaintext Attack Input: x, y = k3 ( k2 ( k1 (x) )) chiave Costruisci tabella k1 for k 3,k 2 ' {0,1} 56 X {0,1} 56 do z = -1 k 2 ( -1 k 3 (y)) if per qualche k 1, (k 1, z) è nella tabella then return la chiave è (k 1,k 2,k 3 ) k1(x) 88 Known Plaintext Attack Input: x, y = k3 ( k2 ( k1 (x) )) Costruisci tabella for k 3,k 2 ' {0,1} 56 X {0,1} 56 do z = -1 k 2 ( -1 k 3 (y)) if per qualche k 1, (k 1, z) è nella tabella then return la chiave è (k 1,k 2,k 3 ) Complessità spazio: 2 56 righe nella tabella Complessità tempo:! 2 56 cifrature per x (costruzione tabella)! decifrature per y! ricerche in tabella chiave k1 k1(x) 89 Triplicato: Triplicato:! Complessità Known Plaintext Attack # 2 112! Ricerca esaustiva su tutte le chiavi # Complessità Known Plaintext Attack # Equivalente ad un cifrario con una chiave di 112 bit, e non 168 bit 90 91

24 Triplo Decifratura Triplo -1 Cifratura -1 k k k! lunghezza blocco = 64 bit! chiave (k, k ) lunga = 112 bit! spesso chiamato EDE k,k (acronimo per Encrypt Decrypt Encrypt)! adottato negli standard X9.17 e ISO 8732 Decifratura k k k -1-1 k k k Compatibilità Triplo e Bibliografia Se k = k il triplo -1 k k k è equivalente al semplice! Cryptography: Theory and Practice by D. Stinson (1995)! cap. 3! Cryptography and Network Security by W. Stallings (2005)! cap. 3 (), cap. 6 (modalità operative, cifrature multiple)! Tesina di Sicurezza su reti! Data Encryption Standard 94 95