Ochrona Systemów Informacyjnych. Elementy Kryptoanalizy

Transkrypt

1 Ochrona Systemów Informacyjnych Elementy Kryptoanalizy

2 Informacje podstawowe Kryptoanaliza dział kryptografii zajmujący się łamaniem szyfrów. W zależności od rodzaju informacji dostępnych w trakcie kryptoanalizy można rozróżnić kilka podstawowych rodzajów ataków mających na celu złamanie szyfrów: Ciphertext only Known plaintext Chosen plaintext Chosen ciphertext

3 Atak typu ciphertext-only Dostępny jest pewien podzbiór kryptogramów, bez odpowiadających im tekstów jawnych Celem ataku jest znalezienie klucza albo przynajmniej tekstów jawnych Kryptogramy mogą pochodzić z podsłuchu dostępnych kanałów informacyjnych Alice Bob

4 Atak typu known plaintext Pewne pary tekst jawny-kryptogram są znane, Pary te nie mogą być wybierane przez atakującego Celem ataku jest znalezienie klucza Alice Bob

5 Ataki typu chosen plaintext Atakujący dysponuje kryptogramem dla dowolnie wybranego tekstu jawnego Szukamy klucza mając dostępne urządzenie kryptograficzne KEY

6 Atak typu chosen ciphertext Atakujący może uzyskać tekst jawny dla dowolnego kryptogramu. Atakujący ma możliwość deszyfrowania przy pomocy urządzenia kryptograficznego KEY

7 Uwarunkowania dodatkowe Nawet gdy atak wymaga bardzo dużo czasu i mocy obliczeniowej, można go zrealizować w określonych okolicznościach. Przykłady: Wirusy pozwalają na korzystanie z mocy obliczeniowych zainfekowanych komputerów po zarażeniu wirusy wykorzystują momenty słabszego obciążenia maszyny do wykonywania obliczeń. Po sukcesie wynik może być wysłany bądź automatycznie bądź z nieświadomą ingerencją użytkownika do hackerów.

8 Uwarunkowania dodatkowe Chińska ruletka - każdy odbiornik TV w Chinach może być wyposażony w układ łamiący szyfry -dane mogą być przesyłane jako teletekst. Każdy odbiornik odpowiada za oddzielna część algorytmu. W przypadku znalezienia klucza pojawia się komunikat na ekranie telewizora z informacją o kluczu. Wtedy użytkownik może być proszony o kontakt z dostawcą loterii i po podaniu klucza może odebrać nagrodę.

9 Kryptoanaliza różnicowa Kryptoanaliza różnicowa metoda ataku kryptologicznego opracowana niezależnie przez różnych kryptologów ale po raz pierwszy upubliczniona w 1990 roku przez Eli Bihama i Adi Shamira. Polega na porównywaniu dwóch szyfrogramów, które powstały w wyniku zaszyfrowania dwóch, różniących się w pewien szczególny sposób, tekstów jawnych tym samym kluczem. Wymyślenie kryptoanalizy różnicowej było przełomowym wydarzeniem dla kryptologii, gdyż po raz pierwszy metoda ta oferowała złamanie DES-a szybciej niż metoda brute force. Jest to atak z wybranym tekstem jawnym (chosen plaintext) - w przypadku DES-a potrzebuje ona ponad 72 biliardy tekstów jawnych - podczas gdy z zastosowaniem kryptoanalizy różnicowej udało się zredukować ich liczbę do ponad 140 miliardów tekstów jawnych. Chociaż jej odkrywcy przygotowali podstawy teoretyczne, opublikowali je i sprawdzili na niepełnych (mniej niż szesnastorundowych) wersjach DES-a to jednak algorytm opierający się na tej metodzie dla pełnego DES-a okazał się mniej efektywny niż metoda brute force. Po opublikowaniu prac Bihama i Shamira NSA oświadczyła, że ta metoda znana była jej już w latach 70 i dlatego S-BOXy przeprojektowano tak, aby uodpornić je na ten rodzaj ataku oraz zaproponowano w tym celu właśnie 16, a nie mniej rund.

10 Kluczowa obserwacja Stosując operację XOR z bitami klucza K otrzymujemy z ciągów X i Y ciągi (X xor K) i (Y xor K) będąc danymi wejściowymi dla S-boxów. (X xor K) xor (Y xor K) = X xor Y Zatem różnica między danymi wejściowymi S- boksów jest taka sama jak różnica pomiędzy X i Y. Zatem nie znając danych wejściowych dla S- boxów, jakie powstają w przypadku X i Y, możemy łatwo obliczyć ich różnicę

11 Kryptoanaliza liniowa

12 Kryptoanaliza liniowa Kryptoanaliza liniowa - wprowadzona przez M. Matsui, polega na aproksymacji szyfru za pomocą liniowej funkcji boolowskiej. Na podstawie tej aproksymacji, przy znajomości par tekst jawny - szyfrogram, możliwe jest znalezienie bitów klucza.

13 Atak typu brute-force określenie algorytmu, który opiera się na sukcesywnym sprawdzeniu wszystkich możliwych kombinacji w poszukiwaniu rozwiązania problemu, zamiast skupiać się na jego szczegółowej analizie. Jest to zwykle nieoptymalna, ale najprostsza do zaimplementowania i najbardziej skuteczna metoda postępowania (ponieważ teoretycznie pozwala ona złamać każde hasło praktycznie, w zależności skomplikowania hasła - może to być bardzo długi czas (np.dłuższy niż istnieje Wszechświat)). W zależności od kontekstu, w którym termin brute force zostaje użyty, może mieć on nieznacznie różne definicje.

14 Kryptoanaliza statystyczna Zbiór metod kryptoanalitycznych opierających się na fakcie nierównomiernego występowania poszczególnych liter i sylab w językach naturalnych. Powoduje to również nierównomierny rozkład liter i zlepków literowych w tekście zaszyfrowanym. Na ataki z tej grupy podatne są szczególnie szyfry podstawieniowe. Obecnie historyczna wersja kryptoanalizy statystycznej ma marginalne znaczenie ze względu na praktyczne wycofanie z użycia szyfrów podatnych na łamanie tymi metodami. Jednak metody statystyczne w kryptoanalizie przeżywają swój renesans ze względu na znaczne ilości informacji, jakie są szyfrowane współcześnie. Daje to olbrzymie próbki statystyczne umożliwiające ataki kryptoanalityczne, co nie byłoby możliwe w wypadku szyfrogramów składających się jedynie z kilkuset znaków. Typowymi przykładami są: analiza entropii, analiza współinformacji (mutual information), poszukiwanie kolizji. Kryptoanaliza statystyczna jest obecnie podstawowym narzędziem służącym sprawdzaniu jakości algorytmów szyfrujących.

15 Ataki statystyczne Ataki statystyczne - to zespół ataków na szyfry, których wspólna cecha jest wykorzystanie informacji statystycznych na temat struktury tekstu jawnego. Historycznie najstarszym przykładem takiego ataku jest np. wykorzystanie następującego sposobu: należy wyznaczyć rozkład znaków w zaszyfrowanym tekście i porównać z rozkładem w dowolnym tekście jawnym z tego samego języka (najlepiej, ale niekoniecznie, tego samego autora na podobny temat). Przy dłuższym tekście tajnym pozwala to na idealne rozszyfrowanie. Inne metody mogą polegać na poszukiwaniu takich statystycznych własności tekstu jawnego, które pomimo zastosowania algorytmu szyfrowania ukrywającego częstości znaków tekstu jawnego nadal są możliwe do odtworzenia na podstawie szyfrogramu (porównaj: test kappa, mutual information, entropia) Współcześnie ataki tego rodzaju są niezmiernie ważne i popularne, a to z następujących powodów: ilości informacji szyfrowanej (szyfrogramów) dostępnych współcześnie są olbrzymie. Na przykład zaszyfrowanie jednego średniej wielkości pliku Worda dostarcza tyle informacji co ok. 600 stron druku (strona wydruku ASCII to ok. 1KB) informacje szyfrowane zwykle posiadają bardzo bogatą i ściśle określoną strukturę, np. bity w plikach skompresowanych spełniają szereg znanych prawideł statystycznych, ich zaszyfrowanie ułatwia złamanie szyfru. wykonanie ataku statystycznego często nie wymaga znajomości szczegółów algorytmu szyfrowania, wystarczy ogólna znajomość do jakiej rodziny algorytmów należy zastosowany algorytm; zgodnie z współczesnym paradygmatem kryptologii, bezpieczeństwo szyfru leży we właściwym wyborze klucza. Jednak ludzie mają tendencję do nieprawidłowej oceny losowości procesów, i znane są prawidłowości statystyczne które dają się rozpoznać jeśli klucz nie jest generowany bezpiecznym kryptologicznie generatorem losowym, lecz przez człowieka. W pewnych sytuacjach wystarcza to do przeprowadzenia ataków słownikowych, niekiedy do ataków statystycznych.

16 Ciekawym aspektem odporności na atak brute force jest następująca cecha: algorytm szyfrowania jest tym odporniejszy na atak brute force im wolniej działa. Jeśli zatem zaszyfrowanie nawet niewielkiego jawnego komunikatu wymaga dużej aktywności obliczeniowej i czasu np. rzędu 1 s, to atak brute force usiłujący sprawdzić wynik szyfrowania tekstu jawnego w celu odgadnięcia klucza straci nieporównanie więcej czasu przeszukując zbiór możliwych kluczy, niż w wypadku szybkiego algorytmu. Z punktu widzenia użytkownika niska szybkość szyfrowania może wydawać się wadą, a w pewnych wypadkach nawet ograniczać możliwość użycia algorytmu (np. szyfrowanie transmisji dźwięku).

17 Atak w oparciu o słabość algorytmu Najważniejszy, podstawowy rodzaj ataku kryptologicznego. Polega na wykorzystaniu słabości algorytmu szyfrowania, przez co uzyskuje się pewną wiedzę na temat zaszyfrowanego tekstu, co zwykle pozwala przeprowadzić następne kroki w deszyfracji aż do częściowego lub całkowitego odtworzenia informacji.

18 Tęczowe tablice Tęczowe tablice (ang. rainbow tables) baza skrótów wykorzystywana w łamaniu haseł zakodowanych jednokierunkową funkcją skrótu. Pozwala na zaoszczędzenie mocy obliczeniowej koniecznej do złamania hasła metodą brute force. Jednym z pionierów tej techniki był Philippe Oechslin z Politechniki w Lozannie. Zwykłe bazy danych skrótów zajmują setki gigabajtów, przez co są nieefektywne. Tęczowa tablica jest tworzona przez zapisywanie łańcuchów (ang. chains) ze skrótów z możliwych haseł. Dzięki temu zapisywany jest jeden skrót na kilkaset, a nawet kilka tysięcy wygenerowanych. Czas łamania hasła skraca się przez to do kilkudziesięciu sekund na potężnych komputerach. Tęczowe tablice pozwalają na złamanie większości popularnych funkcji skrótu, w tym MD5, SHA-1, NTLM czy Cisco Pix. Obrona Dobrym sposobem na zabezpieczenie się przed tego typu atakiem jest stosowanie soli (ang. salt), czyli losowo generowanej wartości dodawanej jako argument funkcji skrótu i zapisywanej obok wartości skrótu. Sprawia to, że dla każdej soli funkcja skrótu jest inna. Żeby złamać taki skrót cracker musiałby posiadać tęczową tablicę dla każdej możliwej soli, co jest niepraktyczne. Większość dystrybucji GNU/Linuksa i systemów BSD wykorzystuje sól do zapisywania haseł użytkowników, funkcja ta jest oferowana przez pakiet shadow. Z kolei większość aplikacji internetowych w PHP wykorzystuje do kodowania haseł użytkowników zwykłe MD5, co ułatwia złamanie hasła.

19 Kleptografia Metoda przeprowadzania ataku poprzez kradzież klucza