Bezpieczeństwo systemów i sieci komputerowych

Transkrypt

1 Bezpieczeństwo systemów i sieci komputerowych Kryptologia (2) Szyfry blokowe Szyfry kaskadowe Propozycja Shannona Bezpieczny szyfr można zbudować operując na dużych przestrzeniach komunikatów i kluczy oraz za pomocą prostych przekształceń wprowadzić wymieszanie (confusion) i rozproszenie (diffusion) S-boxy proste szyfry podstawieniowe P-boxy powodują rozproszenie częściowych kryptogramów w celu utworzenia danych wejściowych dla kolejnej tury szyfrowania Szyfry kaskadowe tego typu znane są jako sieci podstawień i permutacji (S-P sieci) Bezpieczenstwo informacyjne w 7 1

2 Szyfry kaskadowe Własności S-P sieci Lawinowość zmiana jednego bitu na we powinna wymusić zmianę co najmniej połowy na wy Zupełność każdy bit wy powinien być złożoną funkcją wszystkich bitów we Szyfry kaskadowe Własności S-P sieci Lawinowość zmiana jednego bitu na we powinna wymusić zmianę co najmniej połowy na wy Zupełność każdy bit wy powinien być złożoną funkcją wszystkich bitów we funkcje realizowane przez sieci SP zazwyczaj nie są samoodwrotne Bezpieczenstwo informacyjne w 7 2

3 Szyfry kaskadowe Sieci Feistla szyfrowany/deszyfrowany blok dzielony na części (zazwyczaj połowy), F zależy od klucza (K) i składa się z S-P sieci, szyfrowanie i deszyfrowanie przebiega według tego samego schematu, zmienia się tylko (na odwrotną) kolejność kluczy, F może być dowolną funkcją pseudolosową, F nie musi być odwracalna. Jeśli funkcja F jest pseudolosowa i kryptograficznie bezpieczna, to sieć Feistla składająca się z trzech rund generuje pseudolosową permutację danych wejściowych L R i 1 i 1 R i L F( R, K ) i i i Szyfry kaskadowe Algorytm Lucifer Stworzony w IBM na początku lat 70 Szyfruje 128-bitowe komunikaty korzystając ze 128bitowego klucza, Klucze częściowe to 64 młodsze bity klucza k. Po każdej rundzie klucz przesuwany jest cyklicznie w lewo o 56 bitów Bezpieczenstwo informacyjne w 7 3

4 Szyfry kaskadowe Algorytm Lucifer Każdy s-box to prosty szyfr podstawieniowy z jednobitowym kluczem Klucze sterujące dla s-boxów są pobierane z klucza częściowego k i Szyfry kaskadowe DES Stworzony przez IBM w połowie lat 70 Struktura podobna do Lucifera Szyfruje 64-bitowe bloki korzystając ze 56bitowego klucza w 16 rundach Bezpieczenstwo informacyjne w 7 4

5 DES algorytm DES podklucze rundy 56 bitów klucza dzielone jest na dwie połowy po 28 bitów w każdej iteracji bity obu połówek są cyklicznie przesuwane w lewo o jeden lub dwa bity, w zależności od numeru iteracji ostatecznie wykonywana jest permutacja kompresująca, dzięki której z 56b klucza, otrzymujemy 48b podklucz K i używany w funkcji f (L i, K i ) połówki klucza podawane są do następnej iteracji i+1 DES algorytm DES funkcja rundy Bezpieczenstwo informacyjne w 7 5

6 DES Funkcja E (ekspansji) DES Algorytm DES funkcja rundy 10 wiersz 1101 kolumna Bezpieczenstwo informacyjne w 7 6

7 DES algorytm DES permutacja P DES DES - Brute force attack 1997 DESCHALL Project tysiące komputerów w internecie, brut force, 7 godzin Electronic Frontier Foundation (EFF), urzadzenie 1856 układów, US$250,000 ok.. 2 dni Universities of Bochum and Kiel, COPACOBANA RIVYERA US$10000, mniej niż 1 dzień. Bezpieczenstwo informacyjne w 7 7

8 3DES Wersja z kluczem 168bitowym k k 1 k2 k3, k k k k 1 c DES( DES ( DES( m, k1), k2), k3) Wersja z kluczem 112bitowym k c DES 1 2 k1 k2, k1 k2 1 ( DES ( DES ( m, k1), k2), k1 3 1 ) Rijndael Algorytm blokowy, odwracalny, zaprojektowany na konkurs ogłoszony w r Przyjęty jako Advanced Encryption Standard (AES) w r. 2001, obejmuje AES-128, AES-192 i AES-256 Blok o długości 128b, klucz 128,192 i 256b, w oryginale wielokrotności 32b, min 128 max blok 256, maks klucz bez ograniczeń szyfruje 128, 192, lub 256 bitowe bloki danych stosując klucze tejże długości 10,12 lub 14 rund Nie jest oparty na sieci Feistela, bazuje na konstrukcji zwanej siecią substytucji-permutacji (Substitution permutation network) Związek między danymi wejściowymi a wyjściowymi można zapisać jako wielomian nad ciałem Galois Bezpieczenstwo informacyjne w 7 8

9 Rijndael Runda (z wyjątkiem ostatniej) składa się z 4 przekształceń macierzowych Round(State, RoundKey) { ByteSub(State); ShiftRow(State); MixColumn(State); AddRoundKey(State, RoundKey); } zarówno blok jak i klucz reprezentowane są przez macierze skonstruowane w następujący sposób: elementem macierzy jest 8-bitów (bajt) mają zawsze 4 wiersze liczba kolumn = długość bloku (wiadomości lub klucza) podzielona przez 32: Transformacja SubByte nieliniowe przekształcenie każdego z bajtów stanu. Rijndael Transformacja ShiftRow przesuwa cyklicznie kolejne wiersze o zadaną wartość Bezpieczenstwo informacyjne w 7 9

10 Rijndael Transformacja MixColumn Transformacja RoundKey Współczesne szyfry blokowe Skipjack: algorytm rozwijany przez U.S. National Security Agency. Algorytm ten zastosowano w szyfrującym układzie scalonym Clipper. Używa kluczy 80-bitowych na 64 bitowych blokach. Nie jest bezpieczny. IDEA (powstał w Szwajcarii, opatentowany w 1991r, operuje na 64b blokach danych, klucz 128b, do tej pory nie złamany (oficjalnie) Algorytmy RC2 / RC4 / RC5 / RC6 - prawnie zastrzeżone algorytmy opracowane przez Ronalda Rivesta (MIT i RSA Data Security),. bardzo wydajne algorytmy symetryczne (ok. 10 razy szybsze od DES) o zmiennej długości klucza (do 2048b). RC2, RC5, RC6 to szyfry blokowe, RC4 jest szyfrem strumieniowym. wykorzystywane w Lotus Notes, Oracle, protokołach SSL i S- HTTP, sieciach bezprzewodowych i komórkowych. Algorytm Blowfish bardzo popularny zwłaszcza w produktach open source. Blok danych ma 64 bity, a klucz podstawowy długość do 448b. W algorytmie występuje 16 rund wykorzystujących 18 kluczy pomocniczych (wyznaczanych każdorazowo przed szyfrowaniem i deszyfrowaniem) i 4 S-bloki 256-elementowe o wartościach zależnych od: klucza podstawowego, danych oraz liczby. Bezpieczenstwo informacyjne w 7 10

11 Współczesne szyfry blokowe Odporność na brute force attack wg. Schneidera Zakładając budowę specjalizowanego komputera za 1 mln $ klucz Rok 1995 Rok b 0,2s 0,02s 56b 3,6h 21min 112b y y 128b y y Tryby pracy szyfrów blokowych TrybTryb ECB Electronic Code Book każdy blok szyfrowany/deszyfrowany oddzielnie, błąd transmisji jednego bloku nie wpływa na poprawność dekodowania bloków następnych, utrata bloku nie wpływa na poprawność dekodowania bloków kolejnych jeśli blok wystąpi w wiadomości więcej niż raz za każdym razem otrzymamy taki sam blok szyfrogramu co umożliwia ataki Nagłówki stereotypowe i zakończenia stereotypowe Powtórzenie bloku Bezpieczenstwo informacyjne w 7 11

12 Tryby pracy szyfrów blokowych Tryb CBC Cipher-Block chaining (Tryb wiązania bloków zaszyfrowanych) kolejny blok wiadomości dodawany mod 2 do ostatniego bloku szyfrogramu, pierwszy blok sumowany z wektorem początkowym IV (liczba losowa, znana obu stronom, zapewnia maskowanie standardowych nagłówków wiadomości) błąd w transmisji bloku i powoduje błędne dekodowanie bloków ci oraz ci+1 - pozostałe będą zdekodowane poprawnie, utrata bloku powoduje niepoprawne dekodowanie jednego bloku pozostałe są dekodowane poprawnie standardowy tryb prawie wszystkich protokołów. Tryby pracy szyfrów blokowych Inne tryby CFB -cipher feedback (Tryb sprzężenia zwrotnego szyfrogramu) dane są szyfrowane w jednostkach mniejszych niż rozmiar bloku, Pojedynczy błąd w szyfrogramie zniekształca kolejne 9 bitów Tryb ważny w zastosowaniach sieciowych Bezpieczenstwo informacyjne w 7 12

13 Tryby pracy szyfrów blokowych CFB 1. na początku rejestr przesuwający zawiera losowy ciąg 64 bitów 2. zawartość rejestru przesuwającego jest szyfrowana za pomocą klucza K np. algorytmem DES 3. 8 pierwszych bitów kryptogramu jest dodawane modulo 2 z 8 bitami reprezentującymi literę wiadomości (M i ) dając kryptogram C i przesyłany do odbiorcy 4. C i jednocześnie wprowadzane jest do rejestru przesuwającego na młodsze 8 bitów przesuwając rejestr o 8 pozycji arytmetycznie w lewo 5. Przy deszyfrowaniu rola wejścia i wyjścia zostaje zamieniona Tryby pracy szyfrów blokowych CFB Bezpieczenstwo informacyjne w 7 13

14 Tryby pracy szyfrów blokowych Inne tryby OFB Output FeedBack (Tryb sprzężenia zwrotnego wyjściowego) jest podobny do trybu CFB z pewnymi zmianami Pojedynczy błąd w szyfrogramie powoduje pojedynczy błąd w tekście jawnym Tryby pracy szyfrów blokowych ECB jest trywialny nie powinien być stosowany do szyfrowania sesji danych; może być wykorzystany do przesłania kluczy oraz wektor IV w trybie CBC mogą występować problemy implementacyjne związane z IV celem IV jest upodobnienie bloków szyfrogramu do postaci losowych danych typowe IV wartości nijak nie przypominają losowych (często zawierają powtarzające się najstarsze bity lub mają inną łatwą do przewidzenia strukturę) nawet jeśli IV byłby prawdziwie losowy, to trzeba go przekazać odbiorcy np. wysyłając w pierwszym bloku szyfrogramu (wydłuża to szyfrogram stwarzając problem z małymi porcjami szyfrowanych danych) Bezpieczenstwo informacyjne w 7 14

15 Szyfry strumieniowe domosc klucz XOR wia XOR klucz Szyfry strumieniowe są odpowiednie do zastosowań z ograniczoną możliwością buforowania lub tam gdzie porcje danych muszą być od razu przetwarzane, jak tylko się pojawią. Bezpieczenstwo informacyjne w 7 15

16 Wiadomość jawna m m1 m2 m3... jest przekształcana w szyfrogram c c c2 c3... Ek ( m1 ) Ek ( m2) Ek ( 3)... 1 m Addytywny szyfr strumieniowy E k i ( m ) ( m k ) mod n i i Jeżeli m i, k i 0,1 dla każdego i a n=2 to szyfr jest szyfrem Vernama m m1 m2 m3... c c1 c2 c3... E k Jeżeli klucz jest ciągiem losowym i jest użyty jednokrotnie to taki szyfr jest szyfrem jednokrotnym i k k1 k2 k3... Algorytm A5 Nieliniowość przesunięcie w tych rejestrach, w których środkowe bity są zgodne (reguła większości) Bezpieczenstwo informacyjne w 7 16

17 Algorytm A5 działanie Wprowadzenie 64 bitowego klucza sesji 22 iteracje wprowadzenie numeru ramki do rejestrów, 100 iteracji zgodnie z reguła większości, 228 iteracji generujących 2 strumienie klucza po 114 bitów każdy dla obu kierunków transmisji Algorytm A5 Wersje A5/1 (1987) najbardziej rozpowszechniony strumieniowy algorytm szyfrujący z 64 bitowym kluczem, wykorzystywany w GSM Na początku 2009 roku niemiecki zespół Karsten Nohl i Sascha Krißler opublikował szczegóły ataku typu time-memory tradeoff, przy pomocy którego można złamać klucze A5/1 w ciągu 3-5 minut. Atak wymaga obliczenia tablic o wielkości 2 TB, A5/2 uproszczona wersja A5/1 dla krajów z restrykcjami eksportowymi złamana w miesiąc po upublicznieniu, Opublikowany w 2003 roku udoskonalony atak Barkana, Bihama i Kellera umożliwia natychmiastowe odtworzenie klucza szyfrującego A5/2 na podstawie analizy kilkudziesięciu milisekund zaszyfrowanego ruchu zarejestrowanego z podsłuchu radiowego Bezpieczenstwo informacyjne w 7 17

18 Algorytm A5 Wersje A5/3 (KASUMI) blokowy szyfr strumieniowy, zmodyfikowana wersja szyfru MISTY1 stworzonego przez Mitsubishi, wykorzystuje strukturę sieci Feistla, 8 rund, 128 bitów klucza, 64 bitowy blok danych, stworzony dla sieci 3G i UMTS W styczniu 2010 Orr Dunkelman, Nathan Keller i Adi Shamir przedstawili artykuł, w którym opisują, jak złamali KASUMI. przeprowadzenie ataku wymagało mniej niż dwie godziny na zwykłym PC. 96-bitowy klucz, często używany w sieciach 3G, został złamany w ciągu kilku minut. Nie udało się złamać użytą metodą pierwowzoru, czyli MISTY1. RC4 opracowany przez Rona Rivesta z RSA Security w 1987 Zastosowanie WEP,WPA (wersja1), SSL(opcja), SSH(opcja), MPPE, RDP, Kerberos (opcja) algorytm jest bardzo szybki, może akceptować klucze o przypadkowej długości (zazwyczaj bit) bardzo ważne by ten sam klucz RC4 nie był nigdy używany do szyfrowania dwóch różnych strumieni danych, Uważany za niezbyt bezpieczny Bezpieczenstwo informacyjne w 7 18

19 RC4 - działanie Procedura inicjowania klucza generuje z klucza pseudolosową permutację S[256] for i from 0 to 255 do { S[i] = i; T[i]=K[i mod keylenght]; } j = 0 for i = 0 to 255 do { j := (j + S[i] + T[i]) mod 256 zamień(s[i],s[j]) } RC4 - działanie Procedura inicjowania klucza Algorytm pseudolosowej generacji klucza o dowolnej długosci i := 0 j := 0 while TworzonyStrumieńSzyfrujący: i := (i + 1) mod 256; j := (j + S[i]) mod 256; zamień(s[i],s[j]) wynik:= S[(S[i] + S[j]) mod 256] Bezpieczenstwo informacyjne w 7 19

20 RC4 - zastosowanie SSL SSH WEP VPN MS Office Microsoft MPPE Skype Acrobat 4,5 i 6 (user password) RC4 - bezpieczeństwo Alicja pisze w Wordzie Robi backupy na serwerze w sieci lokalnej W MS Office 95 hasło było powielane i dokument xor'owany z tak otrzymanym ciągiem W późniejszych wersjach pojawił się RC4 Początkowo z 40 bitowym kluczem To żadne zabezpieczenie Bezpieczenstwo informacyjne w 7 20

21 RC4 - bezpieczeństwo Alicja pisze w Wordzie Robi backupy na serwerze w sieci lokalnej Ewa przechwytuje zaszyfrowane kopie dokumentów RC4 - bezpieczeństwo RC4 w Office97. Microsoft dopuscił w implementacji wielokrotne szyfrowanie różnych danych tym samym kluczem. Błąd ten istniał jeszcze w Microsoft Office Na domiar złego MS Office stosowało klucz RC4 o długości 40 bitów - niezależnie od długości hasła. Cryptograpic API - Office zaczęło korzystać z CryptoAPI wraz z pojawieniem się go w systemie Windows. Domyślnym szyfrem było RC4 i pomimo możliwości stosowania dłuższych kluczy (do 128 bitów), domyślną wartością było nadal 40 bitów. powtarzano też te same błędy w implementacji RC4, popsute też było generowanie klucza z hasła (brak iteracji). Office jest to pierwsza wersja Office, która - wraz z wprowadzeniem OOXML (ECMA-376) uporządkowała kwestie szyfrowania Domyślnym algorytmem jest AES, zaś proces konwersji hasła na klucz ma aż 50 tys. iteracji. Bezpieczenstwo informacyjne w 7 21

22 RC4 bezpieczeństwo WEP - Przestrzeń z której wybierany jest IV jest zbyt mała Atak na RC4 używany w WEP Atak na RC4 (2001)metodą opisaną przez Fluhrera, Mantina i Shamira* Wykorzystanie dużej ilości szyfrogramów (ok. 10 mln komunikatów) Analiza statystyczna Atak Kleinsa (2005). Klucz 104 bitowy używany w WEP 128 łamie w mniej niż minute. Złamanie klucza z p=50% wymaga ramek. Z 95% ramek. *istnieje możliwość obrony przed atakiem tego typu. W tym celu należy odrzucić początkową porcję danych ze strumienia szyfrującego (co najmniej pierwsze 1024 bajty).. RC4 bezpieczeństwo WPA-TKIP i TLS Mathy Vanhoef i Frank Piessens (2015) Wykorzystuje istnienie tzw. odchylenia Fluhrera-McGrewa, w których dwa kolejne bajty klucza mają skłonność do przybierania pewnych wartości oraz odchylenia Mantinsa typu ABSAB, w których para następujących po sobie bajtów ma skłonności do powtarzania się. Wystarcza maksymalnie 75 godzin, by odszyfrować przechwycone ciasteczko logowania do witryny internetowej, w praktyce udawało się osiągnąć efekt po 52 godzinach. po skutecznym przeprowadzeniu ataku atakujący jest w stanie odszyfrowywać i wstrzykiwać dowolne pakiety w ruch skierowany do klienta Trzeba zrezygnować z WPA-TKIP na rzecz WPA2-AES i zrezygnować z oferowania szyfru RC4 podczas negocjacji SSL Bezpieczenstwo informacyjne w 7 22