Tryby pracy szyfrów blokowych do realizacji uwierzytelnionego szyfrowania

Podobne dokumenty
Rozdział 6. Pakowanie plecaka. 6.1 Postawienie problemu

Uwierzytelnione szyfrowanie. Paweł Szałachowski pod kierunkiem: prof. Zbigniewa Kotulskiego

Technologia informacyjna Ochrona danych Janusz Uriasz

Authenticated Encryption

Edycja geometrii w Solid Edge ST

Laboratorium nr 1 Szyfrowanie i kontrola integralności

UCHWAŁ A SENATU RZECZYPOSPOLITEJ POLSKIEJ. z dnia 18 października 2012 r. w sprawie ustawy o zmianie ustawy o podatku dochodowym od osób fizycznych

INSTRUKCJA WebPTB 1.0

Program szkoleniowy Efektywni50+ Moduł III Standardy wymiany danych

Zintegrowane Systemy Zarządzania Biblioteką SOWA1 i SOWA2 SKONTRUM

Projekt U S T A W A. z dnia

PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska

Postanowienia ogólne. Usługodawcy oraz prawa do Witryn internetowych lub Aplikacji internetowych

Korzy ci wynikaj ce ze standaryzacji procesów w organizacjach publicznych a zarz dzanie jako ci

2 Kryptografia: algorytmy symetryczne

Harmonogramowanie projektów Zarządzanie czasem

PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska

USTAWA. z dnia 26 czerwca 1974 r. Kodeks pracy. 1) (tekst jednolity)

System Informatyczny CELAB. Przygotowanie programu do pracy - Ewidencja Czasu Pracy

Architektura komputerów

Charakterystyka systemów plików

Kryptografia na procesorach wielordzeniowych

w sprawie przekazywania środków z Funduszu Zajęć Sportowych dla Uczniów

Szyfrowanie informacji

Elementy cyfrowe i układy logiczne

PRZEDMIOTOWY SYSTEM OCENIANIA Z PODSTAW PSYCHOLOGII W KLASIE DRUGIEJ. Ocenianie wewnątrzszkolne na przedmiocie podstawy psychologii ma na celu:

PRZETWARZANIE DANYCH OSOBOWYCH

REGULAMIN KONTROLI ZARZĄDCZEJ W MIEJSKO-GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W TOLKMICKU. Postanowienia ogólne

Logowanie do mobilnego systemu CUI i autoryzacja kodami SMS

Zastosowania informatyki w gospodarce Wykład 5

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

Ustawa o obywatelstwie polskim z dnia 15 lutego 1962 r. (Dz.U. Nr 10, poz. 49) tekst jednolity z dnia 3 kwietnia 2000 r. (Dz.U. Nr 28, poz.

Microsoft Management Console

Olsztyn, dnia 30 lipca 2014 r. Poz UCHWAŁA NR LIII/329/2014 RADY GMINY JONKOWO. z dnia 26 czerwca 2014 r.

Miejski Ośrodek Pomocy Rodzinie w Koninie

Regulamin Pracy Komisji Rekrutacyjnej w Publicznym Przedszkolu Nr 5 w Kozienicach

Moduł. Rama 2D suplement do wersji Konstruktora 4.6

Przetwarzanie bazuj ce na linii opó niaj cej

Bazy danych. Andrzej Łachwa, UJ, /15

- o zmianie o Krajowym Rejestrze Sądowym

Opis programu do wizualizacji algorytmów z zakresu arytmetyki komputerowej

Podstawa prawna: Ustawa z dnia 15 lutego 1992 r. o podatku dochodowym od osób prawnych (t. j. Dz. U. z 2000r. Nr 54, poz. 654 ze zm.

Politechnika Warszawska Wydział Matematyki i Nauk Informacyjnych ul. Koszykowa 75, Warszawa

3 4 5 Zasady udzielania urlopów 6 7 8

6. Projektowanie składu chemicznego stali szybkotn cych o wymaganej twardo ci i odporno ci na p kanie

RZECZPOSPOLITA POLSKA. Prezydent Miasta na Prawach Powiatu Zarząd Powiatu. wszystkie

Zagospodarowanie magazynu

U Z A S A D N I E N I E

Zamawiający potwierdza, że zapis ten należy rozumieć jako przeprowadzenie audytu z usług Inżyniera.

Bezpieczeństwo systemów komputerowych. Algorytmy kryptograficzne (1) Algorytmy kryptograficzne. Algorytmy kryptograficzne BSK_2003

REGULAMIN PRZEPROWADZANIA OCEN OKRESOWYCH PRACOWNIKÓW NIEBĘDĄCYCH NAUCZYCIELAMI AKADEMICKIMI SZKOŁY GŁÓWNEJ HANDLOWEJ W WARSZAWIE

Regulamin Programu Motywacyjnego II. na lata współpracowników. spółek Grupy Kapitałowej Internet Media Services SA

Inspiracje dla branży. Sport i rekreacja

Kurs wyrównawczy dla kandydatów i studentów UTP

Wdrożenie modułu płatności eservice dla systemu Virtuemart 2.0.x

o zmianie ustawy o księgach wieczystych i hipotece.

Zakład Certyfikacji Warszawa, ul. Kupiecka 4 Sekcja Ceramiki i Szkła ul. Postępu Warszawa PROGRAM CERTYFIKACJI

Rozliczenia z NFZ. Ogólne założenia. Spis treści

Regulamin Drużyny Harcerek ZHR

Proces certyfikacji ISO 9001:2015. Wydanie normy ISO 9001:2015 dotyczące systemów zarządzania jakością obowiązuje od 15 września 2015 roku.

Budowa systemów komputerowych

ZARZĄDZENIE Nr Or/9/Z/05

Śrubka zamykająca Uchwyt ścienny Przycisk kontrolny Lampka kontrolna

PROCEDURA OCENY RYZYKA ZAWODOWEGO. w Urzędzie Gminy Mściwojów

Kancelaris - Zmiany w wersji 2.50

NAP D I STEROWANIE PNEUMATYCZNE

Zobacz to na własne oczy. Przyszłość już tu jest dzięki rozwiązaniu Cisco TelePresence.

R O Z P O R ZĄDZENIE M I N I S T R A N A U K I I S Z K O L N I C T WA W YŻSZEGO 1) z dnia r.

U M O W A. zwanym w dalszej części umowy Wykonawcą

Strategia rozwoju kariery zawodowej - Twój scenariusz (program nagrania).

ZESTAWIENIE UWAG. na konferencję uzgodnieniową w dn r. poświęconą rozpatrzeniu projektu. rozporządzenia Prezesa Rady Ministrów

Zarządzenie nr 538 Wójta Gminy Zarszyn z dnia 9 czerwca 2014 r.

DECYZJA w sprawie czasowego zaprzestania działalności

ROZPORZĄDZENIE MINISTRA INFRASTRUKTURY I ROZWOJU1'

INSTRUKCJA DO PROGRAMU LICZARKA 2000 v 2.56

Zasady rekrutacji, kryteria i warunki przyjęć do Przedszkola Samorządowego nr 25 w Kielcach

Wtedy wystarczy wybrać właściwego Taga z listy.

Załącznik nr 1 do projektu wzoru umowy - szczegółowe zasady realizacji i odbioru usług

Praca na wielu bazach danych część 2. (Wersja 8.1)

Instrukcja Obsługi STRONA PODMIOTOWA BIP

Procedura weryfikacji badania czasu przebiegu 1 paczek pocztowych

ZARZĄDZENIE NR 21/2015 WÓJTA GMINY IWANOWICE Z DNIA 12 PAŹDZIERNIKA 2015 ROKU w sprawie ustalenia wytycznych kontroli zarządczej.

USTAWA z dnia 15 lutego 1962 r. o obywatelstwie polskim. Rozdział 1 Obywatele polscy

Szanowni Rodzice. Niniejsze zasady nie obejmują przedszkoli i szkół podstawowych prowadzonych przez inne podmioty niż Gmina Olsztyn.

PODSTAWY METROLOGII ĆWICZENIE 4 PRZETWORNIKI AC/CA Międzywydziałowa Szkoła Inżynierii Biomedycznej 2009/2010 SEMESTR 3

Regulamin Obrad Walnego Zebrania Członków Stowarzyszenia Lokalna Grupa Działania Ziemia Bielska

Opracowała: Karolina Król-Komarnicka, kierownik działu kadr i płac w państwowej instytucji

NOWELIZACJA USTAWY PRAWO O STOWARZYSZENIACH

VinCent Office. Moduł Drukarki Fiskalnej

PRZEDMIOTOWY SYSTEM OCENIANIA Z JĘZYKA NIEMIECKIEGO

Zapytanie o propozycję nr 42/CP/2013/TZ

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

NOWE I ISTNIEJĄCE SYSTEMY ADMINISTRACJI PUBLICZNEJ W ŚWIETLE ROZPORZĄDZENIA KRAJOWYCH RAM INTEROPERACYJNOŚCI

PROGRAM NR 2(4)/T/2014 WSPIERANIE AKTYWNOŚCI MIĘDZYNARODOWEJ

Projektowanie bazy danych

WZÓR SKARGI EUROPEJSKI TRYBUNAŁ PRAW CZŁOWIEKA. Rada Europy. Strasburg, Francja SKARGA. na podstawie Artykułu 34 Europejskiej Konwencji Praw Człowieka

OBWIESZCZENIE ZARZĄDU PKP CARGO S.A. z dnia 15 grudnia 2008 r.

Zarządzenie Nr 2860/2013 Prezydenta Miasta Płocka z dnia 05 marca 2013 roku

Regulamin Walnego Zebrania Członków Polskiego Towarzystwa Medycyny Sportowej

Zamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.

Transkrypt:

prof. dr in. Wojciech Oszywa mgr in. Rafał Gliwa Wojskowy Instytut Ł czno ci 05-130 Zegrze Tryby pracy szyfrów blokowych do realizacji uwierzytelnionego szyfrowania Tryb pracy szyfru blokowego to algorytm okre laj cy, w jaki sposób zastosowa n-bitowy szyfr blokowy, aby osi gn zało ony cel. Celem, któremu po wi cony został ten artykuł, jest zapewnienie jednocze nie poufno ci i uwierzytelnienia wiadomo ci, które to zagadnienie okre lane jest w literaturze wspólnym terminem uwierzytelnionego szyfrowania. W niniejszym artykule zaprezentowano szereg mo liwo ci realizacji uwierzytelnionego szyfrowania wył cznie w oparciu o szyfr blokowy, bez wykorzystania kryptograficznej funkcji skrótu. 1. Tryby pracy szyfrów blokowych Szyfry blokowe stanowi podstawowy element wykorzystywany w kryptografii. Szyfr blokowy, oznaczany CIPH (rysunek 1), odwzorowuje n-bitowy blok tekstu jawnego P na n-bitowy blok szyfrogramu C przy u yciu k-bitowego klucza K. Parametr n nazywamy długo ci bloku. Rysunek 1. Szyfr blokowy W przypadku wiadomo ci, których długo jest inna ni długo pojedynczego bloku, konieczne staje si u ycie szyfru blokowego w jednym z trybów pracy. W ten sposób, poza oczywist dla szyfru blokowego funkcj zapewnienia poufno ci, jako element fundamentalny (ang. primitive), mo e on słu y równie do generacji ci gów pseudolosowych, zapewnienia integralno ci danych, do realizacji wył cznie uwierzytelnienia wiadomo ci lub do realizacji uwierzytelnienia i poufno ci jednocze nie. Zagadnienie jednoczesnego zapewnienia uwierzytelnienia i poufno ci wiadomo ci okre lone zostało w literaturze terminem uwierzytelnionego szyfrowania (ang. Authenticated Encryption) i zostało sformalizowanie dopiero w roku 2000 [1]. Pierwszy dokument normatywny, definiuj cy tryby pracy szyfrów blokowych został opracowany przez Narodowy Instytut Standaryzacji i Technologii USA (ang. National Institute of Standard and Technology, NIST) w 1980 roku dla ówczesnego standardu szyfrowania DES. Dokument ten, pod nazw FIPS 81 [7], opracowany został z uwzgl dnieniem specyfiki algorytmu DES i definiował cztery tryby pracy przeznaczone do szyfrowania wiadomo ci: ECB (ang. Electronic CodeBook) tryb elektronicznej ksi ki kodowej, CBC (ang. Cipher Block Chaining) tryb wi zania bloków zaszyfrowanych, CFB (ang. Cipher FeedBack mode) tryb sprz enia zwrotnego szyfrogramu, OFB (ang. Output FeedBack mode) tryb sprz enia zwrotnego wyj cia.

Po przyj ciu przez NIST, w pa dzierniku 2000 roku, nowego standardu szyfrowania AES [8], konieczna okazała si weryfikacja dotychczasowego standardu FIPS 81. Stało si to okazj do opracowania i wdro enia nowych trybów pracy, uwzgl dniaj cych post py w dziedzinie kryptologii i odpowiadaj cych na post puj ce potrzeby u ytkowników. Do dnia dzisiejszego, w wyniku prac standaryzacyjnych NIST, opracowane zostały nast puj ce dokumenty normatywne dotycz ce trybów pracy szyfrów blokowych: SP 800-38A [9] (grudzie 2001), opisuj cy pi trybów pracy zapewniaj cych poufno ; s to cztery zaktualizowane wersje trybów pracy z FIPS 81 oraz tryb licznikowy CTR (ang. Counter mode); SP 800-38B [10] (maj 2005), opisuj cy tryb pracy CMAC (ang. Cipher-based MAC), zapewniaj cy uwierzytelnienie wiadomo ci; SP 800-38C [11] (maj 2004), opisuj cy tryb pracy CCM (ang. Counter with CBC-MAC), zapewniaj cy jednocze nie poufno i uwierzytelnienie wiadomo ci; SP 800-38D [12] (pa dziernik 2007), opisuj cy tryb pracy GCM (ang. Galois/Counter mode), zapewniaj cy jednocze nie poufno i uwierzytelnienie wiadomo ci (w sposób bardziej efektywny od CCM). 2. Jednoprzebiegowe tryby uwierzytelnionego szyfrowania W 2000 roku, Charanjit Jutla z firmy IBM opracował dwa pierwsze schematy uwierzytelnionego szyfrowania, które ju po jednokrotnym przetworzeniu wiadomo ci, zapewniaj jej poufno i uwierzytelnienie. Tryby te to: IACBC (ang. Integrity Aware Cipher Block Chaining) oraz IAPM (ang. Integrity Aware Parallelizable Mode) (rysunek 2) [5]. Jutla przełamał konstrukcj kompozycji ogólnych, które były prost kombinacj komponentu szyfruj cego i komponentu uwierzytelniaj cego, i pokazał, e nie ma konieczno ci wykonywania dodatkowego przebiegu tj. powtórnego przetwarzania ka dego bloku wiadomo ci w celu jej uwierzytelnienia. Czynno t mo na zast pi przez wykonanie prostej operacji sumowania XOR bloków tekstu jawnego, a nast pnie zaszyfrowanie otrzymanego wyniku. Naliczana suma kontrolna ma wówczas posta : Rysunek 2. Tryb IAPM ( ródło [5]) z 1 P i i 1 checksum (suma XOR) (1) Aby unikn mo liwo ci ujawnienia w ten sposób informacji o tek cie jawnym koniecznym jest jednak wybielenie (ang. whitening) sumy kontrolnej. Przez wybielanie rozumiemy wykonanie operacji XOR okre lonego bloku z sekwencj pseudolosow. Wybielaniu podlegaj te wszystkie

wej cia i wyj cia wywoła szyfru blokowego. W trybie IACBC, zbudowanym w oparciu o tryb szyfrowania CBC, wybielanie wej do szyfru blokowego odbywa si dzi ki ła cuchowaniu bloków, wynikaj cemu z konstrukcji typu CBC. Do wybielania wyj szyfru blokowego w trybie IACBC oraz do wybielania wej i wyj szyfru blokowego w trybie IAPM słu y specjalnie wygenerowana sekwencja pseudolosowa o okre lonych wła ciwo ciach. Jak wiadomo, szyfrowanie CBC z natury nast puje blok po bloku: nie mo na rozpocz szyfrowania k+1 bloku, dopóki nie dysponujemy wynikiem szyfrowania bloku k. St d te wi ksze zainteresowanie przyci gn ł tryb IAPM, który pozbawiony jest takiej niedogodno ci. Istotne znaczenie w konstrukcji trybów IACBC i IAPM odgrywa sposób generacji i wła ciwo ci wspomnianej sekwencji pseudolosowej. Generacja bazuje na losowym wektorze inicjalizuj cym r. Jednym ze sposobów generacji jest zaszyfrowanie kolejnych bloków r, r+1, r+2,..., r+m (m - ilo bloków tekstu jawnego) przy u yciu szyfru blokowego z wykorzystaniem klucza innego ni u ywany do szyfrowania bloków tekstu jawnego. Wymaga to jednak m dodatkowych szyfrowa, przez co jest tak samo mało efektywne jak generowanie ci gu uwierzytelnienia MAC w trybie CBC-MAC. Zwi kszenie efektywno ci omawianych trybów jednoprzebiegowych wynika z faktu, e wymagana sekwencja nie musi by w pełni pseudolosowa, lecz warunkiem wystarczaj cym jest, aby była parami niezale na (ang. pairwise independent). Oznacza to, e je eli mamy sekwencj postaci s 1, s 2,, s m to ka dy element s i ma by ci giem losowym, ale tylko parami niezale nym z pozostałymi elementami. Ci g losowy n-bitowych liczb o rozkładzie jednostajnym s 1, s 2,, s m nazywamy parami niezale nym, je li dla ka dej pary i, j, i j i ka dej pary n-bitowych stałych c 1 i c 2 : 1 Pr[ c s c ] (2) si 1 j 2 2n 2 Taka sekwencja jest efektywnie generowana za pomoc konstrukcji podzbiorów w trakcie (logm) (m - ilo bloków tekstu jawnego) operacji kryptograficznych, takich jak szyfrowanie blokowe. Dzi ki temu, w porównaniu do kompozycji ogólnej, utworzonej na bazie trybu CBC (szyfrowanie CBC i uwierzytelnienie CBC-MAC), która wymagałaby m wywoła szyfru blokowego do zaszyfrowania wiadomo ci o długo ci m bloków oraz dodatkowych m wywoła szyfru blokowego do uwierzytelnienia tej wiadomo ci, tryby IACBC i IAPM wymagaj ł cznej liczby (m+logm) wywoła szyfru blokowego do zapewnienia uwierzytelnionego szyfrowania. Z czasem okazało si, e wystarczaj cy jest nawet słabszy warunek, a mianowicie, by elementy sekwencji s były parami równomiernie zró nicowane (ang. pairwise differentially-uniform). Ci g losowy n-bitowych liczb o rozkładzie jednostajnym s 1, s 2,, s m nazywamy równomiernie zró nicowanym parami, je li dla ka dej pary i, j, i j i ka dej n-bitowej stałej c: 1 Pr[ si s j c] (3) n 2 Koszt wygenerowania sekwencji równomiernie zró nicowanej parami jest szczególnie niski dla operacji w ciele GF(p). Ci g losowy n-bitowych liczb s 1, s 2,, s n o rozkładzie jednostajnym w GF(p) nazywamy równomiernie zró nicowanym parami w GF(p), je li dla ka dej pary i, j, i j i ka dej n-bitowej stałej c w GF(p): 1 Pr[( si sj)mod p c] (4) p W takim przypadku, generacja sekwencji randomizuj cej sprowadza si do wykonania jednego dodatkowego szyfrowania, poł czonego z prostymi i szybkimi operacjami kombinatorycznymi, a tym samym koszt uwierzytelnionego szyfrowania wynosi zaledwie (m+1) szyfrowa (m - ilo bloków tekstu jawnego). Kolejne jednoprzebiegowe tryby zapewniaj ce uwierzytelnione szyfrowanie opracowali Gligor i Donescu. XCBC-XOR oraz XECB-XOR [4] s pokrewne odpowiednio trybom IACBC i IAPM Jutli. Główn ide trybów XCBC oraz XECB, odró niaj c je od IACBC i IAPM, było zastosowanie do oblicze sekwencji randomizuj cej nie arytmetyki mod p, lecz arytmetyki mod 2 n, która jest szczególnie efektywnie realizowana na procesorach.

Rogaway, Bellare i Black, wzoruj c si na konstrukcji IAPM, opracowali jednoprzebiegowy tryb pracy pod nazw OCB [12] (ang. Offset CodeBook). OCB definiuje u ycie konkretnej konstrukcji wyliczania parami niezale nej sekwencji randomizuj cej, która zawiera mno enie przez stały element w binarnym ciele sko czonym GF(2 n ) oraz obliczenie kodu Gray a. Metoda ta umo liwia wcze niejsze obliczenie niektórych warto ci sekwencji i zapami tanie ich w tablicy, co prowadzi do skrócenia czasu oblicze w trakcie działania OCB. Zaproponowana konstrukcja sprawia równie, e OCB staje si trybem z jednym kluczem (IAPM wymaga drugiego klucza do generacji parami niezale nej sekwencji). Pomimo niew tpliwej zalety trybów jednoprzebiegowych, jak jest szybko przetwarzania, opracowane algorytmy nie weszły do powszechnego u ytku. Stało si tak na skutek opatentowania trybów jednoprzebiegowych przez ich autorów. Obawa przed naruszeniem własno ci intelektualnej oraz wynikaj ce z patentów ograniczenia zmusiły rodowisko kryptologiczne do poszukiwania innych kompromisowych rozwi za. Podj te prace koncepcyjne doprowadziły do opracowania i dynamicznego rozwoju dwuprzebiegowych trybów uwierzytelnionego szyfrowania. 3. Dwuprzebiegowe tryby uwierzytelnionego szyfrowania W celu zapewnienia poufno ci i uwierzytelnienia wiadomo ci, dwuprzebiegowe tryby pracy przetwarzaj ka dy blok wiadomo ci dwukrotnie. W jednym przebiegu wiadomo jest szyfrowana, w drugim przebiegu opatrywana znacznikiem uwierzytelnienia, przy czym kolejno tych operacji jest uzale niona od intencji projektanta. Szczególnie wa ne jest to, e dwuprzebiegowe tryby uwierzytelnionego szyfrowania wymagaj na wej ciu tylko jednego klucza. Pierwszym dwuprzebiegowym trybem uwierzytelnionego szyfrowania, jaki opracowano, był tryb CCM (ang. Counter mode with CBC-MAC) [11]. W celu wyeliminowania pewnych słabo ci CCM zaprojektowano tryb EAX [2]. CCM i EAX ł cz w sobie dwa bardzo dobrze znane mechanizmy kryptograficzne tj. tryb licznikowy CTR, słu cy do szyfrowania oraz schemat typu CBC-MAC, słu cy do uwierzytelniania wiadomo ci. Ze wzgl du na iteracyjne wła ciwo ci mechanizmu CBC- MAC, oba tryby cechuje brak mo liwo ci zrównoleglenia oblicze. Kolejne prace, dotycz ce poprawy efektywno ci przetwarzania poprzez umo liwienie zrównoleglenia oblicze, znalazły swoje odzwierciedlenie najpierw w trybie CWC [6], a nast pnie w trybie GCM [12]. Mechanizm uwierzytelnienia typu CBC-MAC zast piono konstrukcj MAC Cartera-Wegmana, której idea jest nast puj ca: zamiast zastosowania funkcji fundamentalnej (np. szyfru blokowego) bezpo rednio do wiadomo ci X, która ma podlega uwierzytelnieniu, nale y najpierw skróci t wiadomo do mniejszego rozmiaru, za pomoc (niekryptograficznej) funkcji nale cej do Uniwersalnej Rodziny Funkcji Haszuj cych, a dopiero wówczas zastosowa funkcj kryptograficzn do otrzymanego krótkiego ci gu wynikowego [3]. Tryb GCM (rysunek 3) zapewnia poufno danych, wykorzystuj c do szyfrowania tryb licznikowy CTR oraz realizuje uwierzytelnienie wiadomo ci i dodatkowych danych skojarzonych za pomoc uniwersalnej funkcji haszuj cej GHASH, zdefiniowanej na sko czonym ciele binarnym Galois GF(2 128 ). Przetwarzanie w trybie GCM jest poprzedzone wyliczeniem warto ci wst pnego bloku licznika J 0 w oparciu o wektor inicjalizuj cy IV. Wst pny blok licznika J 0, po inkrementacji, słu y do inicjalizacji procesu szyfrowania tekstu jawnego P, w wyniku czego otrzymujemy szyfrogram C. Nast pnie rozpoczyna si proces uwierzytelnienia. Dodatkowe dane uwierzytelniane A oraz szyfrogram C s (oddzielnie) dopełniane tak minimaln ilo ci bitów 0 (je eli to konieczne), eby długo ci gów wynikowych była wielokrotno ci rozmiaru bloku. Do konkatenacji tych ci gów doł czana jest 64-bitowa reprezentacja długo ci danych skojarzonych A oraz 64-bitowa reprezentacja długo ci szyfrogramu C. Tak sformatowany ci g jest podawany na wej cie funkcji haszuj cej GHASH. Wynik działania funkcji haszuj cej w postaci bloku S jest szyfrowany poprzez XOR-owanie z ci giem pseudolosowym, stanowi cym wst pny blok licznika J 0. Z wyniku szyfrowania brane jest t najstarszych bitów, które tworz znacznik uwierzytelnienia T. Szyfrogram C oraz znacznik uwierzytelnienia T stanowi wynik działania algorytmu uwierzytelnionego szyfrowania w trybie GCM. Kolejno operacji w procesie uwierzytelnionego

szyfrowania umo liwia weryfikacj autentyczno ci danych po stronie odbiorczej bez potrzeby ich uprzedniego deszyfrowania. W tym celu, w sposób analogiczny jak wy ej, obliczany jest znacznik uwierzytelnienia T dla danych odebranych. Rysunek 3. Tryb GCM - schemat uwierzytelnionego szyfrowania Zgodno znacznika obliczonego T z warto ci znacznika odebranego T wiadczy o autentyczno ci odebranych danych (wiadomo ci i danych skojarzonych). W takim przypadku szyfrogram C podlega zdeszyfrowaniu, w wyniku czego otrzymujemy tekst jawny P. W przypadku niezgodno ci znaczników uwierzytelnienia, wiadomo zostaje odrzucona, a na wyj ciu funkcji uwierzytelnionego deszyfrowania otrzymujemy wynik BŁ D. Mechanizm uwierzytelnienia w trybie GCM jest oparty na uniwersalnej funkcji haszuj cej, zwanej GHASH, która realizuje mno enie w ciele Galois GF(2 128 ), przez stały parametr H, zwany podkluczem. Podklucz funkcji GHASH jest generowany poprzez zastosowanie szyfru blokowego z kluczem K, do bloku samych zer H=CIPH K (0 128 ). Konkretna instancja funkcji, oznaczana GHASH H, jest u ywana do wyliczenia warto ci funkcji haszuj cej z danych skojarzonych oraz z szyfrogramu, sformatowanych do bloku postaci X=X 1 X 2 X m-1 X m, takiego e: X = (A 0 v C 0 u [len(a)] 64 [len(c)] 64 ). W efekcie swojego działania funkcja GHASH oblicza sum iloczynów: S=X 1 H m X 2 H m-1 X m-1 H 2 X m H. Przez H i (dla dodatniej liczby całkowitej i) rozumiemy i-t pot g bloku H, na przykład, H 2 =H H, H 3 =H H H, itd. Operacja oznacza mno enie modularne w binarnym ciele Galois o 2 128 elementach. Modułem mno enia jest wielomian nieredukowalny f=1+ + 2 + 7 + 128. Zgodnie z konstrukcj Cartera-Wegmana wynik S funkcji haszuj cej, po zaszyfrowaniu tworzy znacznik uwierzytelnienia T. 4. Wnioski Zalet trybów uwierzytelnionego szyfrowania jest to, e jasno definiuj w jaki sposób osi gn jednocze nie poufno i uwierzytelnienie wiadomo ci, wykluczaj c tym samym ryzyko przypadkowego powi zania ze sob komponentu szyfruj cego i komponentu uwierzytelniaj cego w sposób nie gwarantuj cy bezpiecze stwa. Ich szczególnie po dan cech jest wymaganie do pracy tylko jednego klucza. Upraszcza to procedur zarz dzania kluczami i redukuje koszty zwi zane z pobieraniem danych kluczowych z pami ci oraz z ich przechowywaniem. Bior c pod

uwag liczne udane ataki na kryptograficzne funkcje skrótu w ostatnim czasie, nale y podkre li fakt, e tryby uwierzytelnionego szyfrowania zapewniaj poufno i uwierzytelnienie wiadomo ci wył cznie w oparciu o algorytm szyfru blokowego, bez potrzeby stosowania kryptograficznej funkcji skrótu. Zmniejsza to tak e w istotnym stopniu koszty implementacji. Z przeprowadzonej przez autorów analizy wynika, e warto rozwa y opracowanie schematu uwierzytelnionego szyfrowania w postaci dwuprzebiegowego trybu pracy szyfru blokowego, który zapewni uwierzytelnienie wiadomo ci jawnej wytworzonej u ródła (w przeciwie stwie do uwierzytelnienia szyfrogramu), a jednocze nie umo liwi zrównoleglenie oblicze. Konsekwencj takiej kolejno ci operacji jest brak mo liwo ci szybkiej weryfikacji autentyczno ci wiadomo ci (konieczno deszyfrowania wiadomo ci przed sprawdzeniem autentyczno ci). Niedogodno t rekompensuje jednak zwi kszenie poziomu bezpiecze stwa. Uwierzytelnienie wiadomo ci, a nast pnie zaszyfrowanie jej wraz z naliczonym znacznikiem uwierzytelnienia utrudnia bowiem atak na funkcj uwierzytelnienia: przeciwnikowi zostaje udost pniony wył cznie zaszyfrowany tekst z zaszyfrowan warto ci znacznika uwierzytelnienia. Dane wej ciowe funkcji uwierzytelnienia nie s dost pne (w przeciwie stwie do uwierzytelnienia szyfrogramu), a zaszyfrowana warto znacznika nie przenosi adnych informacji dla atakuj cego. Ponadto, dzi ki uwierzytelnieniu wiadomo ci jawnej uzyskujemy gwarancj, e po pozytywnej weryfikacji znacznika uwierzytelnienia mamy do czynienia z oryginaln wiadomo ci wytworzon u ródła. Tym samym wyeliminowany zostaje słaby punkt, jaki wyst puje w przypadku uwierzytelnienia szyfrogramu, e odbiorca, po poprawnym zweryfikowaniu autentyczno ci wiadomo ci, u yje do jej odszyfrowania niewła ciwego klucza, na skutek czego, pomimo pomy lnej weryfikacji uwierzytelnienia, otrzyma inny tekst jawny ni ten, który został wysłany. Konstrukcja trybu, umo liwiaj ca zrównoleglenie oblicze wpłynie natomiast na wzrost efektywno ci przetwarzania, umo liwiaj c zastosowanie tego rozwi zania w sieciach o szybko ciach rz du dziesi ciu gigabitów na sekund. Literatura [1] M. Bellare, C. Namprempre, Authenticated encryption: Relations among notions and analysis of the generic composition paradigm, Journal of Cryptology, vol. 21, no. 4, 2008. [2] M. Bellare, P. Rogaway, D. Wagner, The EAX mode of operation, LNCS 3017, 2004. [3] L. Carter, M. N. Wegman, New hash functions and their use in authentication and set equality. In J. of Computer and System Sciences, vol. 22, pp. 265 279, 1981. [4] V. Gligor, P. Donescu, Fast encryption and authentication: XCBC encryption and XECB authentication modes. FSE 2001, LNCS 2355, Springer-Verlag, pp. 92 108, 2002. [5] C. S. Jutla, Encryption modes with almost free message integrity. In Advances in Cryptology, EURO-CRYPT 2001, LNCS 2045, Springer-Verlag, pp. 529 544, 2001. [6] T. Kohno, J. Viega, D. Whiting, CWC: A high performance conventional authenticated encryption mode, 2004. http://eprint.iacr.org/2003/106/. [7] NIST FIPS Publication 81, DES Modes of Operation, U.S. DoC/NIST, 1980. [8] NIST FIPS Publication 197, Specification for the Advanced Encryption Standard, 2001. [9] NIST Special Publication 800-38A, Recommendation for Block Cipher Modes of Operation - Methods and Techniques, 2001. [10] NIST Special Publication 800-38B, Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, 2005. [11] NIST Special Publication 800-38C, Recommendation for Block Cipher Modes of Operation: The CCM Mode for Authentication and Confidentiality, May 2004. [12] NIST Special Publication 800-38D, Recommendation for Block Cipher Modes of Operation: Galois/Counter Mode (GCM) and GMAC, 2007. [13] P. Rogaway, M. Bellare, J. Black, OCB: A block-cipher mode of operation for efficient authenticated encryption. ACM Transactions on Information and System Security, 2003.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres