Übung zur Vorlesung Sicherheit Übung 1. Jessica Koch Thomas Agrikola

Transkript

1 Übung zur Vorlesung Sicherheit Übung 1 Jessica Koch Jessica.Koch@kit.edu Thomas Agrikola Thomas.Agrikola@kit.edu / 38

2 Literatur zur Vorlesung Jonathan Katz, Yehuda Lindell. Introduction to Modern Cryptography. ISBN Ross Andersson. Security Engineering. ISBN Skript auf der Vorlesungs-Webseite. 2 / 38

3 Ein paar Worte zu Übung und Übungsblättern Übungsblätter freiwillig Kein Klausurbonus o.ä. Aber: Klausur wird sich an den Übungen orientieren! Diskussionen/Fragen willkommen Übung ca. alle 2 Wochen Feedback-Kasten auf Website für anonymes Feedback Mailingliste listinfo/sicherheit2018 Kommunikation, Fragen, Diskussionen,... 3 / 38

4 Übung: Struktur Übungsteil Besprechung des aktuellen Übungsblatts Nicht unbedingt immer alle Aufgaben Tutoriumteil Vorbereitung aufs nächste Übungsblatt Besprechen von ähnlichen Aufgaben Manchmal auch VL-Wiederholung 4 / 38

5 Experiment: Socrative Room: SICHERHEIT App um Quiz durchzuführen Zugang durch Browser oder App Als Quizteilnehmer kein Account notwendig. 5 / 38

6 Fragen? 6 / 38

7 Restliche Agenda für heute Aufgaben besprechen Vigenère OTP Blockchiffren Beweisbare Sicherheit (falls Zeit) 7 / 38

8 Übungsblatt 1 Aufgabe 1. Gegeben ist der folgende Chiffretext. Ermitteln Sie den dazugehörigen Klartext. (Hinweis: Als Verschlüsselungsmechanismus wurde das Vigenère-Verfahren benutzt.) PGOGXLFFRNHRKCWSFFGYGZBUTUTVOWPTHSWHLGSIUFFIXTIOIYWVBHNRRHWTCKCDWDMSWITEHWYNFFOHRVGG FEGFCAPCHCLPZBOHRVGGYDRFSXDLFQJUFFSCPDDZJPEOQHTJGQTSVWGFIPDSTUGOGXLFFRBWZQVNHKCPJZVD HXTTFSYUICAYWFGSSDKOZQDNSRFRTSGXIYSIXTFTDFHJKCWSJWGPCFKBYDSSOSRZSBYIYSSFHZSFFERGGBDI RWXUFFHMTFKBJGKCFJBVAPJGXSBJGRZZDBVOBXXKKWQASSSFHZSFKDIOBFIKOQPTIHCLJVGGMDNSJJGGOGXL FFRXLYWQMPISRNUWWQZAKHCWTDSAGTIAODPCGCWTUIQJIYSGJRLFWYNFTOXNJHSRQVQOZHVOIXTIGANVYHBJ TUHCBGZHSIDNBCWTCSQYGFBWHPCZMXIFFSYWVDOXHNCFIQLGSWHNWZQCVSRKGVEIJCKDOXHNCFIGVGSYHRBR HJJSFXPISATGVZWPTCMHTGVIGJIYSGFBVDOXHNCFIHZAWQPIZMYWVACWTJHFNCXSBYGVEINGVASSIJTCWERG GBDIRGYGVBUYWVUVFKVOANMFTIUEVFQFHVOBIAFKSWRRGSQTKHSWHRBRIXXWHXDIQVFCXSWYBFBHMAPHVJVI SOYTIHVJSVUFJTKCKMXTVIXTIGKNACGIGKVFHYWVGMXIVACYWVFGFGXISQDEUSWERGGBDIRGUGFJWITDCFJH VQIWXKMSLTEHFTEPHVFCJVCWIVFDFHJKCWSJKWYWRKWITMOFNTKMCKRYOFFRKSFXXEHVJBVACWPSWZNIPOBI HVQIWXKMCKERGGBDIRGOTWTMFCVHOQTOOANCVHVJTWTSHIFTOIKZQSLXMSBYDLGSWHRPCZIRUCTSTVCNRVCT UPJGKTGUHVJNWCISSKVOYERGGBDIRGGPJSRTCKVWSZZBUTURDVWPJSOSSKOYNCXHVJUZFGYAVHHJGFTSFRYK CWSRFSOJJHOXBVACWPSZSFHEOWATCMGJAVQHJSGOGXLFFRXPERXZHKOGMPIRHTRIOQPPJFOSSFAZDVVBSWPK SRUPJGKTGUGQTBSWBNCXHKTDIACWTLBFJARHSILFFRXPEROQIVFWSVJCAJDWHVJAVHHJGJHCXEVQWFATVOWP THSWHFFBZBSSFXXJOBTIYSFLDFRAJIYCRGJKOGNCXZSIXTHWTCRFMBDIRWXCFHVFKZBUFEVFGTCRZZDSVGWL CVROQVFFWYWDTCWVVBSWPKWBLDSGQZGVDOXHNCFIHZGOSDKVSWVFCRRTKVCIWFKSATIOGPXEUIXTIGHTGVAS RQVFOUPJGKTGUQCSHZGHNCXCTFBZLCKJGDSWRRGSFCUZCBTIQOXTTVOWPTHSWHZGGNBZZOWIFOGPXEUHMTDH CWTDSAGTIOGJFLSBHTFTPNIJVOWSKCFJBVAPJGRBRTCCMOQXKHZJQZHVFGUSFYDTFOHZVUCSAPCBJWLBRWTU HKJCKMSNVYHHNBVGVFGUSFYDTFOHZWCFXTMSBQTKHSWERGGBDIRGQTJGWKIYSIXTIGWRECMQFEZHOQXJSGTC VCTYWVZSYIVFGFHBWBLJJSFXIFIGJQFHVQTKHSWHRBRIXXWHXLZZZTUKSBQTRRHTTRGMYDXISXHJIPXIZHIY XFBGXJTVOXTKCHMGVSOSSZHCTCVGIGHKWHZIZCBXLYWQMPISKJACYBTLEHCFIKOQPTIGGNBZZOWAPHMUXEUH MTGOGXLFFRTCVYSDQFOFIGFKVNVYSFNHRQCRBFBHWXTYYSDNBHTPKHOHZVFGNCKKCYWFIGFCUHVNGKSSSVFC UQTISZJPJSRFAZGHTUKVSRDJHQTBDCBUPJGKTGUHMUTJOZQDWKVNRYOFJRFBGNSVFSIXEGSHJISPJRRIGJIY SMFGVHCTTRGMYDXISXHVGDJRZOZQNRTHJGISGJPIQVNCXOBNCUWJNSLOZTCJCQNPCASIXRHVJCRASTU... 8 / 38

9 Socrative: Aufgabe 1/Vigenère Room: SICHERHEIT App um Quiz durchzuführen Zugang durch Browser oder App Als Quizteilnehmer kein Account notwendig. 9 / 38

10 Übungsblatt 1 Aufgabe 1 Lösungsvorschlag zu Aufgabe 1. Beim Brechen von Vigènere- Chiffraten gehen wir wie folgt vor: Wir raten die Länge l des Schlüssels K = K 1 K 2... K l (oder wir nutzen die Kasiski-, Friedmann- oder die Autokorrelations-Methode) Wir teilen das Chiffrat in l Teile auf, z.b. für l = 5: PGOGXLFFRNHRKCWSFFGYGZBUTUTVOWPT / 38

11 Übungsblatt 1 Aufgabe 1 Erwartete Buchstabenhäufigkeit im Englischen (Quelle: Wikipedia): A: ********************************* B: ****** C: *********** D: ***************** E: *************************************************** F: ********* G: ******** H: ************************ I: **************************** J: * K: *** L: **************** M: ********** N: *************************** O: ****************************** P: ******** Q: R: ************************ S: ************************* T: ************************************ U: *********** V: **** W: ********* X: * Y: ******** Z: 11 / 38

12 Übungsblatt 1 Aufgabe 1 Vorgehen: Wir vergleichen die natürliche Alphabetverteilung mit der Verteilung, die aus der Frequenzanalyse hervorging. Die Buchstabenverteilung für den obigen Chiffretext und ersten Teiltext, der mit K 1 verschlüsselt wurde, sieht wie folgt aus: 12 / 38

13 Übungsblatt 1 Aufgabe 1 Frequenzanalyse von C (1) : A: ************** B: ************** C: **************************** D: ******************************* E: ************* F: * G: ******************************* H: *********************************** I: ********************** J: ************ K: *** L: ******** M: * N: ****** O: P: ************************************** Q: ****** R: ****************** S: ************** T: ************************************************* T: ************************************************* U: *********** V: ******** W: ************ X: *********************** Y: Z: **** 13 / 38

14 Übungsblatt 1 Aufgabe 1 Vermutlich wurde E (der häufigste Buchstabe im natürlichen Alphabet) auf T abgebildet. Damit ist T E = 19 4 = 15 = P der wahrscheinlichste Kandidat für K 1. Wir folgen dieser Strategie für K 2 bis K 5 und erhalten einen Schlüsselkandidaten: PRDOF Beim Entschlüsseln des Chiffretexts mit diesem Schlüssel erhalten wir folgendes Ergebnis: APLSSWOCDISAHORDOCSTRIYGOFCSARACEERSUDEDF OCUSERLUTHEYTICAEIONTZPROVPI... Der Schlüssel ist also noch nicht korrekt, also betrachten wir z.b. die Stelle 3 genauer. 14 / 38

15 Übungsblatt 1 Aufgabe 1 Frequenzanalyse von C (3) : A: ************* B: ************************ C: ****************************** D: ********** E: ** F: ******************************** G: *************************************** H: *********************************************** I: ********** J: ** K: ************ L: * M: ****** N: O: *********************************** P: *** Q: ************* R: ************** S: ********************************************* T: ******** U: ****** V: ************* W: ********************* X: Y: *** Z: *********** 15 / 38

16 Übungsblatt 1 Aufgabe 1 Der Buchstabe E könnte beim Verschlüsseln auch auf den zweithäufigsten Buchstaben S abgebildet worden sein. Damit wäre S E = 18 4 = O ein Kandidat für K 3. Entschlüsseln mit dem Schlüssel PROOF ergibt (unter Hinzufügen von Groß-/Kleinschreibung, Leer- und Satzzeichen und Ersetzen von Zahlwörtern) den Klartext: A password is a word or string of characters used for user authentication to prove identity or access approval to gain access to a resource (for example: an access code is a type of password), which is to be kept secret from those not allowed access. The use of passwords is known to be ancient. The easier a password is for the owner to remember generally means it will be easier for an attacker to guess. However, / 38

17 Übungsblatt 1 Aufgabe 2 OTP-Chiffrate sind verformbar: Wollen Chiffrat von COMPLE- XIFY auf Chiffrat von DOKTORMETA verformen M := 43 4F 4D 50 4C (entspricht COMPLEXIFY, HEX-codiert im ASCII-Code) M = 44 4F 4B 54 4F 52 4D (entspricht DOKTORMETA ) X := M M = C C := C X = D8 C A M = D(K, C ) = D(K, C X) = D(K, M K M M ) = D(K, K M ) = 44 4F 4B 54 4F 52 4D Durchführbar ohne K zu kennen! K berechenbar: K = C M = 9C 8F 3C 12 C6 D5 4F B 17 / 38

18 OTP mehrfache Verwendung eines Schlüssels = = = 18 / 38

19 Socrative: Blockchiffren Room: SICHERHEIT App um Quiz durchzuführen Zugang durch Browser oder App Als Quizteilnehmer kein Account notwendig. 19 / 38

20 Übungsblatt 1 Aufgabe 3 Wir wissen, dass die Blockchiffre (E, D): {0, 1} 8 {0, 1} 4 {0, 1} 4 bei Eingabe eines festen Schlüssels K 0 eine Eingabe M wie folgt auf eine Ausgabe C := E(K 0, M) abbildet: M C M C Verschlüsseln Sie die Klartexte M 1 = und M 2 = unter K 0 in den Betriebsmodi ECB, CBC, und CTR. Wählen Sie, falls nötig, einen geeigneten Initialisierungsvektor. 20 / 38

21 Übungsblatt 1 Aufgabe 3 M C M C CBC-Mode: C 0 := IV C i := E(K 0, M 1,i C i 1 ) M 1 = C 0 = IV = 0000 C 1 = E(K 0, ) = E(K 0, 0100) = 1111 C 2 = E(K 0, ) = E(K 0, 1000) = 1101 C 3 = E(K 0, ) = E(K 0, 1001) = 0010 C 4 = E(K 0, ) = E(K 0, 0011) = 1110 C = (Rest analog) 21 / 38

22 Übungsblatt 1 Aufgabe 3 Worauf sollte bei der Wahl eines Initialisierungsvektors IV in den einzelnen Modi geachtet werden? Der IV muss für jede Verschlüsselung neu zufällig gleichverteilt gewählt werden! (Warum: Siehe nächstes Übungsblatt) 22 / 38

23 Verwundbarkeit von CBC Verschlüsselung: Nachricht M₁ M₂ M₃ Initialisierungsvektor (IV) Key E Key E Key E Ciphertext C₁ C₂ C₃ Entschlüsselung: Ciphertext C₁ C₂ C₃ Key D Key D Key D Initialisierungsvektor (IV) Nachricht M₁ Hier: Setze C 1 := C 1,alt M 2 M, dann entschlüsselt C 2 zu M. Quelle: Wikipedia M₂ M₃ 23 / 38

24 Übungsblatt 1 Aufgabe 4 Betriebsmodus Xor-Encrypt-Xor (XEX): i α α α Key₂ block cipher encryption Plaintext Plaintext Plaintext Key₁ block cipher encryption Key₁ block cipher encryption Key₁ block cipher encryption Ciphertext Ciphertext XEX mode encryption Ciphertext Quelle: Wikipedia Berechne Initialisierungsvektor mit zweitem Teil des Schlüssels aus Sektornummer i berechne für jede Position j innerhalb des Sektors: X j := E(k 2, i) α j 1 C j := E (k 1, (M j X j )) X j 24 / 38

25 Mathematische Grundlagen Definition (Ideal) Sei (R, +, ) ein kommutativer Ring mit 1. I R heißt Ideal, wenn gilt: (i) (I, +) ist Untergruppe von (R, +). (ii) Für alle r R gilt: r I I. Satz Sei R ein kommutativer Ring mit 1 und I R ein Ideal in R. Dann ist die Faktorgruppe (R/I, +) mit der Verknüpfung (a + I) (b + I) := ((a b) + I) ein kommutativer Ring mit 1. Erinnerung: R/I = {r + I r R} 25 / 38

26 Übungsblatt 1 Aufgabe 4 Verknüpfung mit α: Multiplikation in ( Z2 [X]/ ( X X 7 + X 2 + X + 1 ) Z 2 [X], +, ) α := X erzeugt multiplikative Gruppe Arithmetik : multipliziere Polynome und reduziere so lange bis Ergebnis Grad kleiner als 128 hat 26 / 38

27 Übungsblatt 1 Aufgabe 4 Für dieses Übungsblatt rechnen wir in GF (2 4 ) Auch hier erzeugt das Polynom X die multiplikative Gruppe Wir reduzieren modulo X 4 + X / 38

28 Rechenbeispiel multizipliere Polynome X und X 2 + X + 1 und reduziere modulo X 4 + X + 1 (X 3 + 1) (X 2 + X + 1) = X 5 + X 4 + X 3 + X 2 + X + 1 X 5 + X 4 + X 3 + X 2 + X + 1 : X 4 + X + 1 = X + 1 X X 2 + X X 4 + X X X + 1 X 3 + X 1 X X X als Bitstring interpretiert 28 / 38

29 Übungsblatt 1 Aufgabe 4 M C M C XEX-Mode X j := E(K 0, i = 0011) α j 1 C j := E(K 0, M j X j ) X j M 1 = , key 1 = key 2 = K 0, i = 0011 X 1 = E(0011) = 1110 C 1 = E( ) 1110 = = 0010 X 2 = 1110 α =? 29 / 38

30 Übungsblatt 1 Aufgabe 4 wir rechnen in GF (2 4 ) := Z 2 [X]/(X 4 + X + 1)Z 2 [X] das Polynom α := X erzeugt die multiplikative Gruppe 1110 α = (X 3 + X 2 + X) X = X 4 + X 3 + X 2 Reduziere modulo X 4 + X + 1: X 4 + X 3 + X 2 : X 4 + X + 1 = 1 X 4 + X + 1 X 2 = 1111 X 3 + X 2 + X / 38

31 Übungsblatt 1 Aufgabe 4 M C M C XEX-Mode X j := E(K 0, i = 0011) α j 1 C j := E(K 0, M j X j ) X j M 1 = , key 1 = key 2 = K 0, i = 0011 X 1 = E(0011) = 1110 C 1 = E( ) 1110 = = 0010 X 2 = 1110 α = 1111 C 2 = E( ) 1111 = = 0010 X 3 = 1111 α =? 31 / 38

32 Übungsblatt 1 Aufgabe 4 wir rechnen in GF (2 4 ) := Z 2 [X]/(X 4 + X + 1)Z 2 [X] das Polynom α := X erzeugt die multiplikative Gruppe 1111 α = (X 3 + X 2 + X + 1) X = X 4 + X 3 + X 2 + X Reduziere modulo X 4 + X + 1: X 4 + X 3 + X 2 + X : X 4 + X + 1 = 1 X 4 + X + 1 X 3 = 1101 X 3 + X / 38

33 Übungsblatt 1 Aufgabe 4 M C M C XEX-Mode X j := E(K 0, i = 0011) α j 1 C j := E(K 0, M j X j ) X j M 1 = , key 1 = key 2 = K 0, i = 0011 X 1 = E(0011) = 1110 C 1 = E( ) 1110 = = 0010 X 2 = 1110 α = 1111 C 2 = E( ) 1111 = = 0010 X 3 = 1111 α = 1101 C 3 = E( ) 1101 = = 1111 X 4 = 1101 α =? 33 / 38

34 Übungsblatt 1 Aufgabe 4 wir rechnen in GF (2 4 ) := Z 2 [X]/(X 4 + X + 1)Z 2 [X] das Polynom α := X erzeugt die multiplikative Gruppe 1101 α = (X 3 + X 2 + 1) X = X 4 + X 3 + X Reduziere modulo X 4 + X + 1: X 4 + X 3 + X : X 4 + X + 1 = 1 X 4 + X + 1 X 4 = 1001 X / 38

35 Übungsblatt 1 Aufgabe 4 M C M C XEX-Mode X j := E(K 0, i = 0011) α j 1 C j := E(K 0, M j X j ) X j M 1 = , key 1 = key 2 = K 0, i = 0011 X 1 = E(0011) = 1110 C 1 = E( ) 1110 = = 0010 X 2 = 1110 α = 1111 C 2 = E( ) 1111 = = 0010 X 3 = 1111 α = 1101 C 3 = E( ) 1101 = = 1111 X 4 = 1101 α = 1001 C 4 = E( ) 1001 = = / 38

36 Übungsblatt 1 Aufgabe 4 Vor-/Nachteile: Chiffrate abhängig von Sektor-Adresse i und Position des Blocks j innerhalb des Sektors (tweakable) Ver- und Entschlüsselung parallelisierbar keine XOR-Homomorphie, aber: keine explizite Prüfsumme wie GCM Nachrichtenlänge (Größe des Sektors) muss ein Vielfaches der verwendeten Blocklänge sein 36 / 38

37 Betriebsmodus: XEX-based tweaked-codebook mode with ciphertext stealing (XTS) Ciphertext-stealing ermöglicht es den Betriebsmodus auf Nachrichten anzuwenden, die nicht durch die Blockgröße teilbar sind i α α Key₂ block cipher encryption Plaintext Plaintext Plaintext Key₁ block cipher encryption Key₁ block cipher encryption Key₁ block cipher encryption Ciphertext Ciphertext Ciphertext XEX with tweak and ciphertext stealing (XTS) mode encryption Quelle: Wikipedia 37 / 38

38 Betriebsmodus: XEX-based tweaked-codebook mode with ciphertext stealing (XTS) Vor-/Nachteile: wie XEX Nachrichten müssen nicht durch Blocklänge teilbar sein 38 / 38