Nowości w kryptografii

Transkrypt

1 Nowości w kryptografii Andrzej Chmielowiec 30maja2012

2 Funkcje skrótu Konkurs na SHA-3 FIPS Atak BEAST Kradzież w RSA Zakończenie

3 Konkurs na SHA-3 FIPS Implementacja finalistów konkursu SHA-3 w układzie ASIC(1) Algorytm Przepustowość Moc Energia [Gbps] [mw] [mj/gbit] BLAKE Grostl JH Keccak Skein SHA

4 Konkurs na SHA-3 FIPS Implementacja finalistów konkursu SHA-3 w układzie ASIC(2)

5 Konkurs na SHA-3 FIPS Nowy FIPS 180 W marcu 2012 roku NIST opublikował nową wersję standardu FIPS 180. Dokument FIPS wprowadza dwie funkcje skrótu: SHA512/224, SHA512/256.

6 Czego mężczyźni szukają w Internecie?

7 Czego mężczyźni szukają w Internecie? Zdjęć(2%),

8 Czego mężczyźni szukają w Internecie? Zdjęć(2%), Filmów(8%),

9 Czego mężczyźni szukają w Internecie? Zdjęć(2%), Filmów(8%),...( %),

10 Czego mężczyźni szukają w Internecie? Zdjęć(2%), Filmów(8%),...( %), Kluczy publicznych( %)

11 Czego mężczyźni szukają w Internecie? Zdjęć(2%), Filmów(8%),...( %), Kluczy publicznych( %) Arjen Lenstra, James Hughes, Maxime Augier, Joppe Bos, Thorsten Kleinjung, Christophe Wachter.

12 Co można znaleźć w Internecie?

13 Co można znaleźć w Internecie?

14 Co można znaleźć w Internecie? kluczy publicznych RSA

15 Co można zrobić ze znalezionymi modułami RSA?

16 Co można zrobić ze znalezionymi modułami RSA? 99.8% możemy wydrukować.

17 Co można zrobić ze znalezionymi modułami RSA? 99.8% możemy wydrukować. 0.2% możemy rozłożyć na czynniki!

18 Postępy w znajdowaniu logarytmu dyskretnego na krzywej eliptycznej Za około PLN można zakupić zestaw pozwalający na łamanie kluczy na 130-bitowych krzywych w ciągu jednego roku.

19 Postępy w znajdowaniu logarytmu dyskretnego na krzywej eliptycznej Za około PLN można zakupić zestaw pozwalający na łamanie kluczy na 130-bitowych krzywych w ciągu jednego roku. W skład zestawu wchodzą:

20 Postępy w znajdowaniu logarytmu dyskretnego na krzywej eliptycznej Za około PLN można zakupić zestaw pozwalający na łamanie kluczy na 130-bitowych krzywych w ciągu jednego roku. W skład zestawu wchodzą: małacola,

21 Postępy w znajdowaniu logarytmu dyskretnego na krzywej eliptycznej Za około PLN można zakupić zestaw pozwalający na łamanie kluczy na 130-bitowych krzywych w ciągu jednego roku. W skład zestawu wchodzą: małacola, frytki,

22 Postępy w znajdowaniu logarytmu dyskretnego na krzywej eliptycznej Za około PLN można zakupić zestaw pozwalający na łamanie kluczy na 130-bitowych krzywych w ciągu jednego roku. W skład zestawu wchodzą: małacola, frytki, kart graficznych GTX 295.

23 Biclique-czyli,jakwteoriizłamanoAES W 2011 roku Andrey Bogdanov, Dmitry Khovratovich i Christian Rechberger zaprezentowali pierwszy atak na szyfr AES. Szyfr Dane Złożonośćataku Pamięć AES AES AES

24 TrybCBC-schemat Funkcje skrótu Atak BEAST Kradzież w RSA

25 Atak BEAST Kradzież w RSA Tryb CBC- oznaczenia E k (m) funkcjaszyfrującapojedynczyblokmprzyużyciu klucza k, D k (c) funkcjadeszyfrującapojedynczyblokcprzyużyciu klucza k, m 1,...,m n kolejneblokitekstujawnego, c 1,...,c n kolejneblokiszyfrogramu, c 0 wektorpoczątkowy.

26 Atak BEAST Kradzież w RSA Tryb CBC- szyfrowanie i deszyfrowanie Proces szyfrowania w trybie CBC wyraża się następującą zależnością rekurencyjną: c i =E k (m i c i 1 ). Natomiast proces deszyfrowania CBC wyraża się wzorem: m i =D k (c i ) c i 1.

27 AtaknatrybCBC(1) Atak BEAST Kradzież w RSA Rozważmy teraz scenariusz, w którym implementacja SSL/TLS wykorzystuje ostatni szyfrogram, jako wektor początkowy dla kolejnego rekordu. W takiej sytuacji każdy, kto obserwował ostatni zaszyfrowanyrekord (c 0,c 1,...,c l )będzieznałwektorpoczątkowy użyty do szyfrowania kolejnego rekordu. Załóżmy,żeatakującymapewnąhipotezędotyczącąblokum j. Atakującyprzypuszcza,żewartośćm j jestrównam.jeśli atakujący zmusi użytkownika, aby na początku kolejnego rekordu zaszyfrował wiadomość: m =c j 1 c l m, to zweryfikuje prawdziwość swojej hipotezy.

28 Atak BEAST Kradzież w RSA AtaknatrybCBC(2) E k (m c l ) = E k ((c j 1 c l m ) c l ) = E k (c j 1 m ) = c. Porównującszyfrogramc zszyfrogramemc j =E k (m j c j 1 ) atakujący może stwierdzić, że jego hipoteza jest poprawna jeśli c =c j.

29 Atak BEAST Kradzież w RSA Atak BEAST Duong i Rizzo zaproponowali rozwinięcie ataku na tryb CBC stosowany w protokole SSL/TLS. Aby to zrobić wykorzystali nowe funkcjonalności oferowane przez przeglądarki i strony WWW. Mechanizmy wymienione poniżej mogą zostać wykorzystane do przeprowadzenia bardzo praktycznego ataku na tryb CBC szyfru blokowego: Javascript XMLHttpRequest API, HTML5 WebSocket API, Flash URLRequest API, Java Applet URLConnection API, Silverlight WebClient API.

30 Ochrona przed atakiem BEAST Atak BEAST Kradzież w RSA Aktualnie najpewniejszym sposobem na neutralizację zagrożenia jest rezygnacja po stronie serwera z obsługi protokołów SSL 3.0, TLS1.0iprzejścienaprotokołyTLS1.1iTLS1.2.

31 Atak BEAST Kradzież w RSA Kradzież ziaren do tokenów SecurID W 2011 roku firma RSA poinformowała swoich klientów o włamaniu, którego skutkiem była między innymi kradzież ziaren (kluczy prywatnych) do tokenów SecurID. Dostęp do kluczy oraz informacja na temat algorytmu generowania kodów pozwalają symulować działanie określonego urządzenia.

32 Wniosek na przyszłość Atak BEAST Kradzież w RSA Jeśli dwie osoby mają dochować tajemnicy, tojednamusijejnieznać!

33 Zakończenie Dziękuję za uwagę.