vod do klasick ch a modern ch metod ifrov n n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Úvod do klasických a moderních metod šifrování PowerPoint Presentation
Download Presentation
Úvod do klasických a moderních metod šifrování

Loading in 2 Seconds...

play fullscreen
1 / 18

Úvod do klasických a moderních metod šifrování - PowerPoint PPT Presentation


  • 109 Views
  • Uploaded on

Úvod do klasických a moderních metod šifrování. Jaro 20 11 , 8 . přednáška. Po čátky asymetrické kryptografie. Whitfield Diffie, Martin Hellman, New directions in cryptography , IEEE Transactions on Information Theory, vol. IT-22, pp. 644-654, 1976.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Úvod do klasických a moderních metod šifrování' - elga


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
po tky asymetrick kryptografie
Počátky asymetrické kryptografie
  • Whitfield Diffie, Martin Hellman, New directions in cryptography, IEEE Transactions on Information Theory, vol. IT-22, pp. 644-654, 1976.
  • Popisují, jak lze v kryptografii použít jednosměrné funkce a permutace s padacími vrátky (trapdoor permutations).
  • Šifrovací systém s veřejným klíčem není nic jiného než permutace s padacími vrátky (každý může šifrovat, ale nemůže dešifrovat), která umožňuje dešifrování pouze oprávněnému uživateli.
  • Článek ale neobsahuje žádnou konkrétní permutaci s padacími vrátky.
  • Dalšími zakladateli byli R. Merkle a L. Lamport.
ifrovac syst m s ve ejn m kl em
Šifrovací systém s veřejným klíčem

Oskar (Eva) - protivník

y

x

Šifrovací

algoritmus

Dešifrovací

algoritmus

x

Alice

Bob

Ks

Kp

Kp

Kanál s autentizací

Zdroj

klíčů

x – otevřený text,y – šifrový text,

Kp – veřejný klíč Ks – soukromý klíč

po adavky
Požadavky
  • Pro dvojici klíčů (Kp,Ks) platí, že dKs(eKp(x)) = x pro každou zprávu x.
  • Kanál pro přenos veřejného klíče Kp nemusí být bezpečný (tj. zajišťující důvěrnost přenášených zpráv), musí ale zajišťovat autentizaci, tj. Alice si musí být jistá, že veřejný klíč dostala skutečně od Boba.
  • Generátor klíčů je obvykle na straně příjemce zprávy, tj. u Boba.
  • Šifrovací a dešifrovací algoritmy musí být rychlé, zatímco dešifrování bez znalosti soukromého klíče musí být výpočetně nezvládnutelné.
  • Vlastnosti asymetrického šifrování
  • soukromý klíč je tajemstvím pouze příjemce, nikolivobou partnerů,
  • veřejný klíč umožňuje každému zašifrovat zprávu pro příjemce,
  • cenou za toto větší pohodlí je větší složitost systémů s veřejným
  • klíčem jak po matematické stránce tak z hlediska počtu operací,
  • které jetřeba provádět.
  • Systémy s veřejným klíčem jsou proto mnohem pomalejší oproti
  • symetrickým šifrovacím systémům, jejich bezpečnost se posuzuje
  • mnohemobtížněji.
protokol diffieho hellmana
Protokol Diffieho-Hellmana

Zajišťuje ustanovení tajného klíče pro symetrickou kryptografii pomocí nezabezpečeného kanálu, který ale musí zajišťovat autentizaci a integritu.

Oskar (Eva) - protivník

Šifrovací

algoritmus

Dešifrovací

algoritmus

Alice

Bob

K

K

V

U

Výměna A

Výměna B

Kanál s autentizací

K – klíč, U,V – zprávy, kroky protokolu

dohoda na symetrick m kl i
Dohoda na (symetrickém) klíči
  • Alice a Bob se nejdříve dohodnou na nějakém velkém prvočísle p a kladném g menším než p takovém, že gx mod p je různé od 1 pro každé kladné x<p-1.
  • Obě čísla pa g mohou být veřejná.
  • Alice zvolí nějaké tajné x, které má stejně bitů jako p.
  • Spočítá U = gx mod pa odešle U Bobovi.
  • Bob podobně zvolí tajné y, které má stejně bitů, jako p.
  • Spočítá V = gy mod pa odešle V Alici.
  • Alice si spočítá K = Vx mod p= gyx mod p.
  • Bob si spočítá K = Uy mod p= gxy mod p.
  • Číslo K je tajný klíč sdílený Alicí a Bobem.
  • Aby byl klíč K skutečně tajný, musí být výpočetně nemožné ze znalosti čísel U a V získat číslo K .
  • Problému nalezení čísla x ze znalosti gx mod p se říká problém diskrétního logaritmu. Tento problém je stále považován za velmi obtížný.
v znam autentizace
Význam autentizace
  • Protokol Diffieho-Hellmana vyžaduje, aby kanál, kterým si Alice a Bob vyměňují p, g, U a V, zajišťoval autentizaci.
  • Bez autentizace by šmíráci Eva s Oskarem mohli postupovat následovně.
  • Posadí se doprostřed kanálu mezi Alici a Boba.
  • Uskuteční protokoly s Alicí a Bobem, s každým zvlášť.
  • Získají tak symetrický klíč K pro komunikaci s Alicí a jiný symetrický klíč L pro komunikaci s Bobem.
  • Pošle-li Alice šifrovanou zprávu Bobovi, Eva s Oskarem ji dešifrují za pomoci příslušného klíče K, poté ji zašifrují pomocí klíče L a pošlou ji dále Bobovi.
  • Tomuto typu aktivního útoku se anglicky říká man-in-the-middle attack.
ifrovac syst m rsa
Šifrovací systém RSA
  • Jeho autory jsou Ronald Rivest, Adi Shamir a Leonard Adleman.
  • Zveřejnili jej v článku A method for obtaining digital signatures and public-key cryptosystem, Communications of ACM, vol. 21, pp. 120-126, 1978.
  • Jde o první šifrovací systém s veřejným klíčem.
  • Je založený na obtížnosti rozložení velkého přirozeného čísla na součin prvočísel.

Malá Fermatova věta

  • Pro přirozené číslo N označíme φ(N) počet přirozených čísel menších než N, které jsou nesoudělné s N.
  • Například jsou-li p,q různáprvočísla, pak φ(p) = p-1, φ(pq) =(p-1)(q-1) .
  • Malá Fermatova věta říká, že pro každé přirozené číslo N větší než 1 a každé přirozené číslo x menší než N platí

xφ(N) = 1mod N .

gener tor kl a ifrov n
Generátor klíčů a šifrování
  • Jako první je nutné zvolit veřejný parametr s, který říká, kolik bitů bude mít modul N .
  • Standardní volbou je v současnosti s = 1024.
  • Poté je třeba najít dvě nezávislá náhodná prvočísla p,q velikosti s/2 bitů.
  • Víme, že pro N=pq platí φ(N) = (p-1)(q-1) .
  • Dále se zvolí nějaké číslo e nesoudělné s φ(N) = (p-1)(q-1) .
  • Pomocí rozšířeného Euklidova algoritmu se najde číslo d takové, že ed = 1 mod φ(N).
  • Veřejným klíčem Kp je dvojice (N,e) .
  • Soukromým klíčemKs je dvojice (N,d) .
  • Zpráva se zakóduje jako nějaké číslo x z množiny {1,2,. . . . N-1}.
  • Zprávux zašifrujemejako y = xe mod N .
  • Šifrovou zprávu y pak dešifrujeme jako yd mod N .
  • Z malé Fermatovy věty vyplývá, že po dešifrování dostanemepůvodní otevřený text x .
co je t eba um t
Co je třeba umět
  • Musíme umět hledat velká prvočísla. K tomu se používá Millerův-Rabinův test.
  • S pravděpodobností 1 pozná, že dané číslo je prvočíslo a s pravděpodobností 1-4-k pozná, že je to složené číslo, kde k je volitelný parametr.
  • Millerův-Rabinův test vyžaduje O (s4) operací.
  • Vynásobit dvě čísla o s/2bitech běžným školním algoritmem vyžaduje O (s2) operací. Lze to ale udělat i rychleji pomocí Karacubova algoritmu.
  • Vyzkoušet, je-li nějaké číslo e nesoudělné s φ(N), vyžaduje použít jednou Euklidův algoritmus, což je dalších O (s2) operací.
  • K výpočtu d je třeba jednou použít rozšířený Euklidův algoritmus, což je dalších O (s2) operací.
  • Šifrování vyžaduje dalších O (s3) operací. Vhodnou volbou e, například e = 17 nebo e = 216+1 to lze zrychlit na O (s2) operací.
  • Dešifrování stojí dalších O (s3) operací.
elgamal v ifrovac syst m
ElGamalův šifrovací systém
  • Autorem je Taher ElGamal, popsal jej ve své PhD disertaci Cryptography and logarithms over finite fields, Stanford University 1984.
  • Dva veřejné parametry jsou velké prvočíslo p a kladné číslo g menší než p takové, že gx mod p je různé od 1 pro každé kladné x<p-1.
  • Generátor klíče nyní vygeneruje náhodné kladné x a spočítá číslo

y =gx mod p.

  • Veřejný klíč je Kp = y.
  • Soukromý klíč je Ks = x.
  • Zpráva je zakódována jako nenulové číslo m menší než p.
  • Šifrování probíhá tak, že odesílatel zvolí náhodné nenulové číslo r menší než p, spočítá u = gr mod p a v = myr mod p. Šifrová zpráva je (u,v).
  • Dešifrování probíhá tak, že se spočte číslovu-x mod p.
  • Proběhnou-li výpočty správně, pak m = vu-x mod p.
  • Výhody a nevýhody oproti RSA.
digit ln podpis
Digitální podpis

x

x,σ

x,σ

Bob

Alice

Oskar (Eva) - protivník

Podpisovací

algoritmus

Ověřovací

algoritmus

x,+/-

Ks

Kp

Kp

Kanál s autentizací

Zdroj

klíčů

x – podpisovaný text,σ– digitální podpis,

Kp – veřejný klíč Ks – soukromý klíč

digit ln podpis1
Digitální podpis
  • Schéma s veřejným klíčem pro digitální podpis tvoří:
  • generátor pseudonáhodných čísel,
  • podpisovací algoritmus, který ze zprávy x a soukromého klíče Ks vypočítá digitální podpis σ,
  • ověřovací algoritmus, který pro každou zprávu x, podpis σ a veřejný klíč Kp ověří správnost podpisu.
  • Digitální podpis musí zajistit několik bezpečnostních cílů.
  • Nezfalšovatelnost podpisu. Pro útočníka musí být nemožné bez znalosti tajného klíče Ks vytvořit ke zprávě x platný podpis σ.
  • To musí platit i v situaci, kdy útočník má k dispozici několik platných podpisů (xi,σi), dokonce i když si může volit zprávy xi.
  • Nepopiratelnost podpisu. Ten, kdo zprávu podepsal, nesmí mít později možnost svůj podpis popřít. To znamená, že autor podpisu nemůže dokázat, že podpis lze zfalšovat.
nezfal ovatelnost podpisu
Nezfalšovatelnost podpisu
  • Podvržení podpisu může mít několik podob.
  • Úplné prolomení systému spočívá v tom, že útočník dokáže ze znalosti veřejného klíče Kp získat soukromý klíč Ks.
  • Univerzální podvržení. Na základě veřejného klíče Kp útočník dokáže vytvořit algoritmus, který vytváří platné podpisy k libovolné zprávě x.
  • Selektivní podvržení. Na základě veřejného klíče Kp útočník dokáže vytvořit zprávu, ke které pak umí připojit platný podpis.
  • Existenční podvržení. Na základě veřejného klíče Kp je útočník schopen vytvářet dvojice (x,σ), kde σ je platný podpis zprávy x. Nemá ale žádnou kontrolu nad tím, jak zpráva x vypadá.
od ifrovac ho k podpisov mu syst mu
Od šifrovacího k podpisovému systému
  • Šifrovací systém s veřejným klíčem můžeme snadno přeměnit v podpisový systém s veřejným klíčem tak, že použijeme dešifrovací algoritmus jako podpisovací algoritmus a šifrovací algoritmus jako ověřovací.
  • Dešifrovací algoritmus totiž závisí na soukromém klíči, který je známý pouze tomu, kdo podepisuje.
  • Šifrovací algoritmus závisí na veřejném klíči, který je dostupný každému, podpis tedy může ověřit kdokoliv.
  • V takto jednoduché podobě jde o podpis s obnovou zprávy.
  • Podepisovanou zprávu x není nutné posílat spolu s podpisem σ, protože ji získáme z podpisu σ jako výsledek ověřovacího algoritmu.
  • V případě dlouhých zpráv trvá vytvoření podpisu a jeho ověření příliš dlouho. Asymetrické šifrovací systémy jsou příliš pomalé.
jednoduch rsa podpis
Jednoduchý RSA podpis
  • Použijeme-li jako výchozí šifrovací systém RSA, dostaneme jednoduchý RSA podpis.
  • Ten trpí několika problémy, které jsou způsobené tvarem šifrovacího a dešifrovacího algoritmu u RSA.
  • Tak například není odolný vůči existenčnímu podvržení.
  • Každý si snadno může k libovolnému náhodně zvolenému podpisu σ vytvořit zprávu m = σe mod N, jejímž podpisem je právě σ.
  • Vytvoří tak zprávu m s platným podpisem σ, nemá ale žádnou kontrolu nad podobou zprávy m.
  • Stejně tak je snadné ze dvou platných podpisů (m,σ) a (m’,σ’) vytvořit nový platný podpis (m’’,σ’’) tak, že položíme

m’’ = mm’ mod N a σ’’ = σσ’ mod N .

  • Tyto bezpečnostní problémy lze odstranit použitím hašovací funkce.
syst m bez obnovy zpr vy
Systém bez obnovy zprávy
  • V praxi se proto používají podpisové systémy bez obnovy zprávy.
  • Nepodepisuje se zpráva x, ale hodnota H(x), kde H je nějaká hašovací funkce.
  • Podepisují se tak pouze zprávy délky rovné délce hašovací funkce H.
  • Podpisem je tak dvojice ( H(x),σ ), kde σje podpistextu H(x).
  • Podepisovaná zpráva x se posílá spolu s podpisem, není ji proto nutné obnovovat.
  • Použitá hašovací funkce musí být odolná vůči nalezení kolizí.
  • V opačném případě by bylo možné mít stejný podpis ke dvěma různým zprávám.
  • Jednu by si útočník nechal podepsat a pak by podpis připojil ke druhé zprávě.
  • Tím by podvrhnul podpis druhé zprávy.
elgamal v podpis
ElGamalův podpis
  • Je založený na ElGamalově šifrovacím systému.
  • Dva veřejné parametry jsou velké prvočíslo p a kladné číslo g menší než p takové, že gx mod p je různé od 1 pro každé kladné x<p-1.
  • Generátor klíče nyní vygeneruje náhodné kladné x a spočítá číslo

y =gx mod p.

  • Veřejný klíč je Kp = y.
  • Soukromý klíč je Ks = x.
  • Pak se spočítá otisk h = H(m) podepisované zprávy m pomocí nějaké hašovací funkce H.
  • Podpis se vygeneruje tak, že se zvolí náhodné kladné číslo k menší než p-1 a spočítá r = gk mod p a s = (h - xr)k-1 mod (p-1).
  • Podpis zprávy h je potom dvojice σ = (r,s) .
  • Ověřovací algoritmus spočívá v ověření rovnosti yrrs = gh mod p .
  • Pokud byl totiž podpis σ = (r,s) správně spočítán, tak platí

yrrs = gxr+ks = gh mod p .