Forelesning 3
Transcription
Forelesning 3
Datasikkerhet vår 2003 Forelesning 3 Terminologi • Kryptografi – fra gresk krypto: skjult, hemmelig og grafein: skrift • Kryptering - å kode melding slik at dens innhold/mening ikke kan oppfattes av utenforstående (å skjule meningsinnhold) • Dekryptering - omforme en kryptert M tilbake til normal for (klartekst) Klartekst Kryptogram Klartekst Kryptering Dekryptering • Kryptoanalyse - lete etter skjult mening • analytisk • ved hjelp av rå maskinkraft 20.01 2003 HiØ Forelesning 3 2 Algoritme = (regne/behandlings) regel/regler P = [VÆR HILSET STUDENTER OG VELKOMMEN] C = E(P) der E (krypteringsalgoritmen) er røverspråkreglene. Etter hver konsonant settes en vokal og deretter gjentas konsonanten. C = [VOVÆROR HOHILOLSESTET SOSTETUDODENONTETEROR OGOG VOVELOLKOKOMOMMOMENON] Røverspråket er en fast algoritme - uten nøkkel. 20.01 2003 HiØ Forelesning 3 3 Algoritmer med nøkkel KENCRYPT M ENCRYPT KDECRYPT Kryptogram DECRYPT M (Pass på mulige inkonsistenser ved oversettelse til norsk) 20.01 2003 HiØ Forelesning 3 4 Substitusjon A>D B>E C>F D>G . Ø>B Å>C 20.01 2003 ZM IV M JIVH QIH D PBVI SQ OVÅTXSKVEJM • c=c+3 • Enkel å implementere – for mennesker – for maskiner • Eksempel Caesars algoritme HiØ Forelesning 3 5 Transposisjoner (Permutasjoner) • Stokker om på ”bokstavene” som utgjør meldingen • Forutsetter at man lager blokker av meldingen network securit yessent ialsxxx 20.01 2003 nsyieee atcslwu ssorexr inxkttx HiØ Forelesning 3 6 To sikkerhetskrav - klassisk kryptografi • Sterk krypteringsalgoritme – Algoritme bør være offentlig (NSK er hemmelig) – (Algoritme + N*kryptogram) skal ikke medføre avsløring av klartekst/nøkkel; – (Algoritme + N*(kryptogram + klartekst)) skal ikke medføre avsløring av nøkkel; • Sender og mottaker må ha fått kopier av hemmelig nøkkel på en sikker måte; – med tilgang til nøkkelen kan all kommunikasjon avsløres. 20.01 2003 HiØ Forelesning 3 7 Klassifisering av kryptosystemer • Type operasjoner som benyttes – substitusjon, – transposisjonering; • Antall nøkler som benyttes – En nøkkel - symmetrisk – To nøkler - asymmetrisk eller ”Public key” • Prosesseringsmåte – Blokkalgoritmer N bit inn N bit ut – Fortløpende (stream) et element inn, et element ut 20.01 2003 HiØ Forelesning 3 8 Kryptoanalyse Å avsløre klartekst fra kryptogrammer • Kun den krypterte tekst – (algoritme + kryptogram) analyse basert på sannsynligheter, kjente fordelinger, uttømmende nøkkelsøk • Kjent klartekst – ( + par av klartekst/kryptogrammer der hemmelig nøkkel er benyttet) • Valgt klartekst – ( + klartekst valgt av analytiker og tilhørende kryptogram) • Valgt kryptogram – ( + dekryptert klartekst) • Valgt tekst (begge de to foregående) Klartekst 20.01 2003 Algoritme Kryptogram HiØ Forelesning 3 Algoritme Klartekst 9 Kriterier for tilstrekkelig sterke kryptografiske systemer • Kostnaden ved dekryptering overstiger verdien på den krypterte informasjon; • Tiden det tar å gjennomføre analysen overstiger informasjonens ”levetid” (hvor lenge den må holdes hemmelig) 20.01 2003 HiØ Forelesning 3 10 Ønskede egenskaper ved kryptoalgoritmer • Forvirring (confusion) – sørge for at det er vanskelig å finne ut hva endringer i noe av klarteksten har å si for den krypterte tekst. • Spredning (diffusion) – sørge for at endringer i litt av klarteksten spres ut over store deler av den krypterte tekst. 20.01 2003 HiØ Forelesning 3 11 Tid ved uttømmende nøkkelsøk Tid ved 1 dekrypt. per mikrosek. Nøkkellengde # nøkler 56bit 256=7.2 x 1016 255=1142 år 128bit 2128... 20.01 2003 106 dekrypteringer per mikrosek. 10 timer ...5.4x1024år 5.4x1018år HiØ Forelesning 3 12 • • • • Symmetriske algoritmer Private Key algoritmer KE = KD (DES algoritmen) P = D(K,E(K,P)) • • • • Asymmetriske algoritmer Public Key algoritmer KE KD (RSA algoritmen) P = D(KD,E(KE,P)) K M 20.01 2003 KE E Kryptogram D M M E HiØ Forelesning 3 KD Kryptogram D M 13 DES algoritmen • Se egen presentasjon • NB! Resten av presentasjonen omhandler symmetriske (secret key) algoritmer 20.01 2003 HiØ Forelesning 3 14 Trippel DEA • • • • • • Benytter 3 nøkler (tre hemmelige) Gjennomløper DEA 3 ganger C=EK3[DK2[EK1[P]]] P= DK1[EK2[DK3[C]]] Tre ulike nøkler 168 bits To ulike nøkler 128 bits (en nøkkel 2 ganger) 20.01 2003 HiØ Forelesning 3 15 Andre algoritmer DES 56 SET, Kerberos Trippel DES 112 v 168 PGP, S/MIME IDEA 128 PGP Blowfish ... 448 RC5 ... 2048 CAST-128 40 .. 128 20.01 2003 HiØ Forelesning 3 PGP 16 Cipher Block Chaining Mode • Se PDF fil • Nevne at funksjonen kan benyttes for å lage en ”digest” (forkortelse). 20.01 2003 HiØ Forelesning 3 17 Cipher Feedback Mode • • • • • DES kan benyttes slik DES i streaming mode (egentlig block cipher) Kan operere i sanntid I figuren sendes j bit. j er ofte 8. Er en ”chaining” variant slik at alle produsert kryptert tekst er avhengig av tidligere tekst 20.01 2003 HiØ Forelesning 3 18 Kryptering (PDF 2.8) • • • • • Set 64 bit shift register med IV Krypter Ta de j (8) mest signifikante bit XOR disse med j (8) bit klartekst : C1 (j bit) Shift register j (8) bit og plasser C1 i de j minst signifikante bit • Krypter osv. 20.01 2003 HiØ Forelesning 3 19 Kryptere hvor • Link kryptering – Sikker på linjen, rask, transparent for bruker, motstandsdyktig mot trafikkanalyse fordi også pakkehoder er kryptert – Klartekst i nodene • Ende-til-ende kryptering – Kan være transparent for bruker, ikke avhengig av underliggende transportnett, færre kryptoenheter, beskyttet gjennom noder – Følsom for trafikkanalyse • Kan benytte begge samtidig 20.01 2003 HiØ Forelesning 3 20 Livssyklus Distribusjon Installasjon Produksjon Lagring Arkivering Destruksjon 20.01 2003 HiØ Forelesning 3 21 Nøkkelhåndtering • Man må påse at nøkler er gode • Det er god praksis å skifte kryptonøkler jevnlig (for å unngå kompromittering) • Nøkler må oppbevares betryggende • Ønsker å oppbevare digitale signaturer i årevis som bevis (f.eks. på kontrakter) • Blir nødvendig å oppbevare nøkler i årevis - kan bli tusenvis av nøkler. 20.01 2003 HiØ Forelesning 3 22 Trusler • Avsløring under • Feil ved – produksjon – distribusjon – lagring – – – – • Svake nøkler produksjon distribusjon lagring synkronisering – ikke tilfeldige nok – dårlige egenskaper 20.01 2003 HiØ Forelesning 3 23 Symmetrisk nøkkel utveksling uten server • A og B har en felles symmetrisk nøkkel K A E(K,Knew) B Løsningen forutsetter at alle par av kommuniserende parter har nøkkel for hver part - n(n-1)/2 20.01 2003 HiØ Forelesning 3 24 Nøkkelhierarki Hoved krypterings nøkkel Nøkkelkrypterings nøkkel Trafikknøkkel 20.01 2003 Nøkkelkrypterings nøkkel Trafikknøkkel Trafikknøkkel HiØ Forelesning 3 Trafikknøkkel 25 Symmetrisk nøkkel utveksling med server • Per og Rita trenger hemmelig nøkkel for sikker kommunikasjon seg imellom • Kp, Kr er Pers og Ritas nøkler for sikker kommunikasjon med nøkkelsenter (KDC - Key Distribution Centre) • Per sender (P, R, Ip) til KDC - Per, Rita (identiteter) unik identifikator Ip i fall Per har flere samtidige ”oppdrag” - og for å hindre replay angrep. • KDC sender Per E((Ip,R,Kpr,E((Kpr,P),Kr)),Kp) • Per sender E((Kpr,P),Kr) videre til Rita 20.01 2003 HiØ Forelesning 3 26 Nøkkeldistribusjonssenter - NDS (KDC) NDS Ip R P 1 P Kpr R Kpr Ip: Slumptall Kpr: Trafikknøkkel R: Ritas Id P: Pers Id Per-NDS nøkkel Rita-NDS nøkkel Ip 2 3 P Kpr Rita Per 20.01 2003 HiØ Forelesning 3 27 Modell for nøkkelhåndtering KI KP NA KI KP NA NP 20.01 2003 KommunikasjonsInitiator KommunikasjonsPartner NøkkelAnsvarlig Nøkkelprodusent HiØ Forelesning 3 NP 28 Informasjonsflyt • Rekvisisjon – – – – Egen (KI) identitet Autentiseringsinfo. Identiteten til KP Aksesskontrollinfo. KI Nøkkelmateriell Sikker komm. KP Rekvisisjon Nøkkelmateriell NA • Nøkkelmateriell – kryptonøkkel – referanse til kryptonøkkel – gyldighetsperiode etc. – NA sin signatur 20.01 2003 Lagre Algoritme Sync Policy Aut.Info Aksessk.Info HiØ Forelesning 3 NP 29