Distributed Systems Security

Transkript

1 Distributed Systems Security Cryptology Prof. Dr. Stefan Fischer Institut für Telematik, Universität zu Lübeck

2 Overview Fundamental Terms Basics of Cryptology Techniques Substitution Ciphers: Caesar, Vigenère, etc. Enigma One-Time Pad Stream Ciphers (Structure, RC4) Block Ciphers (Feistel Networks, DES, AES) Operation Modes (ECB, CBC, PCBC, CFB, OFB, Counter) Padding Asymmetric Systems (Diffie-Hellmann, RSA) Security - 04 Cryptology #2

3 Fundamental Terms Cryptology comprises two main areas Cryptography: Techniques for protecting data by encryption (Verschlüsselung) Cryptanalysis: Science of breaking cryptography ciphers w/o knowing the encryption key (Kryptanalyse) Cryptology is often clouded in secrecy Old and clandestine technology Cryptic and (today) based on complex algorithms Security of algorithms hard to understand for untrained people Domain of military and intelligence services (believed that military research is/was always ahead of the public one) Sometimes cryptology treated like a weapon Security - 04 Cryptology #3

4 Security - 04 Cryptology #4

5 Terms Plaintext (Klartext): Text to encrypt Encryption (Verschlüsselung, Codierung, Chiffrierung): Transformation of plaintext to ciphertext Decryption (Entschlüsselung, Decodierung, Dechiffrierung): Transformation of ciphertext to plaintext Ciphertext (Geheimtext): Result of encryption Security - 04 Cryptology #5

6 Taxonomy of Cryptography Secret Communication Steganography (Hide data) Cryptography (Encrypt data) Substitution (Replace characters) Transposition (Permute characters) Security - 04 Cryptology #6

7 Steganography (Greek: concealed writing) Hide information such that others can t see it Security through obscurity Messages appear as something else E.g., images, plain text Advantage over cryptography Messages do not attract attention by others (such as encrypted text) Usable when cryptography is illegal Security - 04 Cryptology #7

8 Steganography: Example Liebe Kolleginnen! Wir genießen nun endlich unsere Ferien auf dieser Insel vor Spanien. Wetter gut, Unterkunft auch, ebenso das Essen. Toll! Gruß, J. D. Algorithm Count characters until the next space character Odd binary 0, even binary 1 Read binary numbers as 8-Bit ASCII characters Result First 8 words: , ASCII S Next 8 words: , ASCII O Last 8 words: , ASCII S Hidden text: SOS Security - 04 Cryptology #8

9 Steganography: Using digital files Modify images such that humans will not notice any difference Conceal data in the lowest bits of noisy images, sound files, or videos Example Image hidden in another image Revealed by retaining the two least significant bits of each color component Figure sources: Security and Cryptology #9

10 Steganography Advantages? Disadvantages? Application areas? Security - 04 Cryptology #10

11 Einfache Substitution: Geheimschriften Klassische Kryptographie Geheimschriften: Ersetze einen Buchstaben durch ein Geheimzeichen mit Hilfe einer Tabelle Beispiel: Alphabetum Kaldeorum aus dem frühen Mittelalter Quelle: (Heiko Hahn) Security - 04 Cryptology #11

12 Geheimschriften: Schwächen Ist der Algorithmus (Tabelle) bekannt, so kann jeder die Nachricht lesen Es lässt sich damit keine Vertraulichkeit zwischen zwei Kommunikationspartnern erreichen Dieses Verfahren skaliert nicht und birgt zu viele Risiken Daher: Verschlüsselung Security - 04 Cryptology #12

13 Prinzip der Verschlüsselung Schlüssel des Senders Schlüssel des Empfängers Geheimtext Algorithmus Algorithmus Klartext Klartext Security - 04 Cryptology #13

14 Geheime Schlüsselverfahren Kommunikationspartner A und B Besitzen gemeinsamen geheimen Schlüssel K c K c wird für Ver- und Entschlüsselung eingesetzt Bis Mitte der 1970er Jahre Nur Verfahren mit geheimem Schlüssel bekannt Im Folgenden zunächst die gängigsten Verfahren der Geschichte Security - 04 Cryptology #14

15 Caesar-Verschlüsselung Angeblich von Julius Caesar erfunden Eine der ältesten Verschlüsselungsmethoden Buchstaben werden durch im Alphabet 3 Plätze weiter hinten stehenden ersetzt A D B E... Z C Verallgemeinerung: n statt 3 25 mögliche Schlüssel Security - 04 Cryptology #15

16 Einfache Substitution Caesar Verschlüsselung Variante der allgemeineren Methode der einfachen Substitution Einfache Substitution Jeder Buchstabe des Alphabets durch beliebigen anderen ersetzt Zwei unterschiedliche Zeichen dürfen nicht auf dasselbe Zeichen abgebildet werden Bei beliebiger Zuordnung Knapp 26! = 403 Quadrillionen Schlüssel Plain Cipher A U B X C O D P E C Z Q Security - 04 Cryptology #16

17 Probleme dieser Verfahren Verfahren sind nicht sicher Leicht durch Häufigkeitsanalyse zu knacken Häufigkeitsanalyse Basiert auf statistischer Buchstabenhäufigkeit Es existieren Tabellen für viele Sprachen Ähnliche Tabellen für Buchstabenpaare oder für verbotene Paare Analyse der Häufigkeit von Chiffretextzeichen Mit hoher Wahrscheinlichkeit lassen sich damit Klartextzeichen zuordnen Figure source: Security - 04 Cryptology #17

18 Homophone Substitution Idee Ordne einigen Klartextzeichen mehrere Geheimtextzeichen zu Verwende auch Sonderzeichen und Ziffern Plain A A B Cipher U X O Ziel: Verwische Häufigkeitsverteilung Durch geschickte Abbildung soll eine Gleichverteilung aller Zeichen erreicht werden Häufigkeitsanalyse praktisch ausgeschlossen Problem Wenn auch nur zu einer Nachricht Geheim- und Klartext bekannt sind, lässt sich der Schlüssel leicht bestimmen Und meist ist ein Stück Klartext bekannt (s. später) C P D C E L E M E N Z Q Security - 04 Cryptology #18

19 Transposition Kein Austauschen von Zeichen Es werden nur die Positionen der Zeichen vertauscht Einfaches Verfahren Schreibe Text zeilenweise in Fünfergruppen auf Lies ihn spaltenweise wieder aus VORLE SUNGS ICHER HEITI NNETZ ENXXX VSIHNEOUCENNRNHIEXLGETTXESRIZX Security - 04 Cryptology #19

20 Beispiel der Transposition Skytale, entwickelt im 5. Jhdt. vor Christus in Sparta Nachricht wird auf Lederriemen um Holzstab gewickelt Durchmesser ist der Schlüssel s. auch Security - 04 Cryptology #20

21 Sicherheitsprobleme Transposition Häufigkeitsanalyse bringt hier nichts Aber Padding der Nachricht mit der nötigen Menge von X lässt Rückschlüsse auf Struktur der Transposition zu Bei relativ kurzen Nachrichten können bestimmte Zeichen nicht enthalten sein (welche Nachricht wurde nicht gesendet?) Statistische Analysen sind trotzdem möglich über Buchstabenpaare (Bigramme), die jetzt auseinander gerissen sind Security - 04 Cryptology #21

22 Bigramm-Substitution Nicht einzelne Zeichen, sondern Zeichenpaare ersetzen Zum ersten mal im 16. Jhdt. eingesetzt. Ausgangslage: 25x25 = 625 Zeichenpaare I=J, keine Leerzeichen, keine Kleinbuchstaben Es wurden entsprechend viele Sonderzeichen verwendet Bzw. erst einmal erfunden Angriff mittels verfeinerter Häufigkeitsanalyse Security - 04 Cryptology #22

23 Polyalphabetische Substitution Problem bisheriger Verfahren Jedem Geheimtextzeichen entspricht immer dasselbe Klartextzeichen Polyalphabetische Substitution Mache die Substitutionsvorschrift von der Position im Text abhängig Entschlüsselung solcher Verfahren wesentlich schwieriger Bekanntestes Verfahren: Vigenère-Verschlüsselung Security - 04 Cryptology #23

24 Vigenère-Verschlüsselung Für jeden Buchstaben wie bei Caesar c = a + s mod 26 (s=schlüssel) Verschiebung s abhängig von der Position Ergibt sich durch ein Schlüsselwort EFFENBERGEFFENBERGEFF (Schlüssel) VORLESUNGSICHERHEITIN (Klartext) ZTWPRTYEMWNHLRSLVOXNS (Chiffretext) Ausprobieren: Security - 04 Cryptology #24

25 Angriff auf Vigenère Bei Kenntnis der Schlüssellänge n Man sucht die entsprechenden n-ten Buchstaben heraus Entstehende Menge ist Caesar-chiffriert Beispiel: Schlüssellänge n = 4 Nimm jeweils den 1., 5., 9., etc. Buchstaben Analysiere die Menge mittels Häufigkeitsverteilung Genauso beim 2., 6., 10.,... Unbekannte Schlüssellänge Experimentieren mit verschiedenen Längen Mit dem Computer kein größeres Problem Alternative: Bestimmung der Welligkeit des Textes [waetjen04] Security - 04 Cryptology #25

26 Polyalphabetische Substitution: Die Enigma Chiffriermaschine Während des 2. Weltkriegs im Funkverkehr des deutschen Militärs eingesetzt Entwickelt 1923, weiterentwickelt 1926 Rotormaschine, funktioniert elektromechanisch Bestandteile Tastatur mit 26 Tasten Lampenfeld mit 26 Lämpchen Zerhacker, bestehen aus einem System von Rotoren (3 bzw. 4) und dem Reflektor Verschiedene Rotoren (ca.10 Stück) Ein Steckfeld mit 4 bis 9 Steckbrücken Bildquelle: Deutsches Museum München Security - 04 Cryptology #26

27 Ansicht der Enigma Rotorstellung bestimmt den Schlüssel Rotoren Anzeige des Geheimtext Lampenfeld Tastatur Eingabe des Klartext Steckfeld Zusätzliches Vertauschen von Buchstaben Bildquelle: Deutsches Museum München Security - 04 Cryptology #27

28 Rotormaschine Bestehen aus einer Reihe von Rotoren Elektrisch isolierende Scheibe An gegenüberliegenden Seiten je 26 Kontakte Jeder Eingangskontakt ist auf geheime Weise mit einem Ausgangskontakt verbunden Strom Eine Scheibe: einfache Substitution Strom Security - 04 Cryptology #28

29 Rotormaschine Dreht man eine Scheibe nach jedem Zeichen einen Schritt weiter Polyalphabetische Substitution Kombiniert man mehrere solcher Scheiben Deutliche Verbesserung der Periode Besonders wenn jede Scheibe nach jedem Zeichen um einen anderen Betrag weitergedreht wird Security - 04 Cryptology #29

30 Enigma Funktion und Simulation Quelle des linken Bildes Security - 04 Cryptology #30

31 Eigenschaften der Enigma Buchstaben werden nicht auf sich selbst abgebildet Polyalphabetisch verschiedene Schlüssel Periode von Chiffrierung und Dechiffrierung erfordern gleiche Ausgangsstellungen Schlüssel wurden durch Codebücher weitergegeben Pro Tag eine Grundstellung der Rotoren Mit dieser wurde pro Nachricht ein sog. Spruch- bzw. Sitzungsschlüssel codiert (sehr gängiges Verfahren) Enigma galt als sehr sicher wurde aber trotzdem geknackt Security - 04 Cryptology #31

32 Kryptanalyse der Enigma Im Laufe des zweiten Weltkriegs geknackt worden Ohne dass das deutsche Oberkommando dies vermutet oder erkannt hätte Man hielt mit Enigma verschlüsselte Nachrichten für nicht dechiffrierbar Gründe für die Brechung der Enigma Maschine bzw. Maschinenteile fielen in Feindeshand Leichtsinnsfehler bei der Chiffrierung Eigenarten der Chiffrierung Genialität und Ausdauer der Angreifer (Bletchley Park, UK + polnische Wissenschaftler) Unmengen von Geheimmaterial verfügbar Betrachten wir einige Beispiele Security - 04 Cryptology #32

33 Verlust von Maschinenteilen/Codes 1927 bekam Polen eine Enigma Versehentlich an deutsche Firma in Polen geschickt Auch wenn dies zivile Maschinen waren, war nun die grundlegende Funktionsweise bekannt Briten griffen schlecht bewaffnete Wetterschiffe an Nutzten ebenfalls die Enigma Gelangten an Codebücher ohne dass es dem Gegner auffiel Viele Nachrichten konnten zumindest im Nachhinein gelesen werden Security - 04 Cryptology #33

34 Eigenheiten der Chiffrierung Kein Buchstabe wird auf sich selbst abgebildet Ausschluss bestimmter Positionen Annahme: Bekannt, dass ein Begriff im Klartext vorkommt Auschluss der Stellen an denen das Wort nicht vorkommen kann Negative Mustersuche Beispiel: GAAHADFDEGFDTGH WAHRHEIT WAHRHEIT WAHRHEIT (*) WAHRHEIT WAHRHEIT (*) WAHRHEIT WAHRHEIT (*) WAHRHEIT (*) Bekanntes Wort: Wahrheit (*) gibt erlaubte Kombinationen an Security - 04 Cryptology #34

35 Chiffrierfehler Auswahl schlechter Spruchschlüssel aaa, bbb, Stellung der Rotoren nach dem letzten Spruch Problem des Verlusts von Nachrichten Antwort bitte nochmal lässt sich fast erraten (z.b. wenn anschließend derselbe Spruch noch einmal kommt) Rückfragen manchmal nicht möglich wegen Funkstille die Nachricht musste lesbar sein Folge Spruchschlüssel wurde zweimal hintereinander am Anfang der Nachricht übertragen Ein polnischer Wissenschaftler fand heraus, dass dies dann wohl der Schlüssel sein müsse Security - 04 Cryptology #35

36 Chiffrierfehler Häufiges Senden von Nachrichten mit demselben Text bzw. mit bekannten Worten KEINEBESONDERENVORKOMMNISSE HEILHITLER ANX ( AN am Nachrichtenanfang) Senden ein- und derselben Nachricht verschlüsselt und unverschlüsselt Klartext und Geheimtext bekannt Security - 04 Cryptology #36

37 Unterschieben von Nachrichten Bestimmte Nachrichten provozieren Durch bestimmte Aktionen konnten die Engländer den Deutschen Nachrichten unterschieben Inhalt war dann a priori bekannt: Verminung von Häfen Bombardierung von Leuchttonnen So konnte man dann dieses Wort bzw. seine Kodierung wieder im Geheimtext suchen Security - 04 Cryptology #37

38 Gibt es denn ein sicheres Verfahren? Security - 04 Cryptology #38

39 One-Time Pad One-Time Pad ist die einzige sichere Verschlüsselungsmethode Sie ist polyalphabetisch, allerdings mit unendlicher Periode des Schlüssels Der Schlüssel wiederholt sich nicht Wichtig: Zufällige Schlüssel, da sich sonst evtl. wieder etwas ableiten ließe Problem Der lange Schlüssel ist nicht praktikabel Verschlüsseln einer kompletten Festplatte mit einem One-Time Pad Benötigt eine zweite Platte, die man wegschließen müsste Da könnte man gleich die Originalplatte wegschließen Also kein praktisch einsetzbares Verfahren Security - 04 Cryptology #39

40 Konsequenz Es gibt kein 100% sicheres und praktikables Verfahren Kryptanalyse hat immer Aussicht auf Erfolg Wir haben schon einige wichtige Vorgehensweisen bei der Kryptanalyse kennengelernt Insbesondere bzgl. der Enigma Im Folgenden: Ziele und Grundbegriffe der Kryptanalyse Security - 04 Cryptology #40

41 Ziele der Kryptanalyse Annahme Verfahren ist bekannt Realistische Annahme in fast allen Situationen Beispiel: Caesar, DES, AES, GSM-Verschlüsselung (?) Ziele Gewinne den Schlüssel (Nachrichten können mitgelesen werden) Wenn nicht möglich Ermittle wenigstens den Klartext Damit ist eine Nachricht dekodiert evtl. auch Anhaltspunkte über den Schlüssel Wenn nicht möglich Versuche Aussagen über den Klartext zu machen z.b. negative Mustersuche, siehe weiter vorne Security - 04 Cryptology #41

42 Grundbegriffe und -methoden Geheimtextangriff Schlüssel bzw. Klartext werden nur mit Hilfe des Geheimtextes gewonnen z.b. mit Brute-Force Klartextangriff Teil des Klartextes ist zusätzlich zum Geheimtext bekannt Wichtigste Methode der Kryptanalyse Security - 04 Cryptology #42

43 Grundbegriffe und -methoden Angriff mit ausgewähltem Klartext Angreifer gibt den Klartext vor (schiebt ihn unter) Angriff mit adaptiv ausgewähltem Klartext Der unterzuschiebende Klartext wird entsprechend der bisherigen Ergebnisse verändert Geheimtext-Geheimtext-Angriff Die Nachricht wurde mit zwei verschiedenen Verfahren kodiert und zweimal versandt Security - 04 Cryptology #43

44 Vorgehen des Kryptanalytikers Voraussetzung Geheimtext empfangen Verfahren bekannt Erster Schritt Sammle Informationen über den Klartext Welche Sprache? Welche Textverarbeitung? (wegen Datenrepräsentation) Komprimierte Datei? Sprach- oder Bildaufzeichnung? Ohne diese Daten wird die Analyse wesentlich schwieriger Security - 04 Cryptology #44

45 Vorgehen des Kryptanalytikers (II) Zweiter Schritt Teste zunächst einfache bekannte Verfahren (Caesar, Vigenère,...) Wenn keines in Frage kommt, betrachte die möglichen Schlüssel Beispiel Maximal 6 Zeichen langes Passwort Es bleiben ca. 300 Mio. Möglichkeiten kein Problem für einen PC Zum schnellen Testen des Klartexts Test auf verbotene Zeichen und Bigramme Buchstabenhäufigkeiten Wörterbuchvergleiche Persönliche Vergleiche nur bei den vielversprechendsten Kandidaten Security - 04 Cryptology #45

46 Vorgehen des Kryptanalytikers (III) Oft genügt aber ein Wörterbuchangriff Oft werden Passworte/Sitzungsschlüssel schlecht gewählt Weitere Schritte Versuche Klartextangriffe mit vermuteten Wörtern Überprüfung auf schlechte Implementierung guter Algorithmen Beispiel für Crack-Programme UNIX crack, John the Ripper Security - 04 Cryptology #46

47 Modern Cryptography Systems Security - 04 Cryptology #47

48 Modern Cryptography Systems Developed in the 70s Bit-wise instead of character-wise encryption What is the distribution of the third bit of a byte? No attacks despite brute-force attacks known Two major variants Symmetric (same key for sender and receiver) E.g., Advanced Encryption Standard (AES) Asymmetric (two keys) E.g., Diffie-Hellman, RSA (Rivest, Shamir, Adleman) Security - 04 Cryptology #48

49 Properties of Secure Ciphers Confusion [shannon] Create a complex relationship between plaintext and ciphertext E.g., substitution of individual bits with others Diffusion [shannon, webster] Redundancy in the statistics of the plaintext (non-uniform distribution of individual and neighboring letters) dissipates in statistics of the ciphertext Change of plaintext bit changes ciphertext (w.h.p.) avalanche effect Strict avalanche criterion [webster] Generalization of the avalanche effect Whenever a single input bit is changed, each of the output bits changes with a 50% probability Figure source: Security - 04 Cryptology #49

50 Stream vs. Block Ciphers Stream Ciphers A bit/byte-stream is used to encrypt individual bits/bytes of the plaintext Block Ciphers Encrypts blocks of bytes at once Most good cipher are block ciphers today Security - 04 Cryptology #50

51 Stream Ciphers Security - 04 Cryptology #51

52 Stream Ciphers Encryption Each byte of the plaintext is XORed with a byte from a key stream Decryption Ciphertext is XORed with the same keystream to obtain the plaintext Key stream Key stream Plaintext Ciphertext Plaintext Security - 04 Cryptology #52

53 Key Stream: Security Requirements Large period Impossible to recover key or internal state from key stream Must appear to be random noise Must hold for all possible keys (i.e., no weak keys) Key (bounded size) Key stream generator Key stream (infinite length) Security - 04 Cryptology #53

54 Properties and Examples Simple and fast Sender and receiver must be synchronized Same key stream must never be used again Well-known and widely used RC4 (used by SSL), WEP, SSH, A5 (v1 and v2) used by GSM Others: FISH, Helix, Chameleon,... Security - 04 Cryptology #54

55 Ron s Code Number 4 (RC4) Designed by Ronald Rivest (RSA Security Inc.) Symmetric encryption algorithm Developed 1987 Trade secret, publicly announced 1994 Variable key length Widely used (e.g., WEP, SSL/TLS* und SSH*) 5-10x faster than DES Pseudo-random key stream generator Plaintext encrypted byte-wise optionally selectable as encryption algorithm Security - 07b Phy Data Link #55

56 RC4 Key Scheduling Algorithm Given: Key k of length l (= 8 in this example) Generate initial array S of length 2 8 Initialize an array S with values S is the internal status Key k is used to permute S This generates the initial state of S for encryption for (i = 0 to 255) S[i] = i j = 0 for (i = 0 to 255) j = (j + S[i] + k[i mod 8]) (mod 256) swap (S[i], S[j]) Security - 07b Phy Data Link #56

57 RC4 Encryption During encryption, fields of S are swapped Next key byte t: Sum of swapped elements (mod 256) S[t]: next key byte i = j = 0 for each message byte M i = (i + 1) mod 256 j = (j + S[i]) mod 256 swap(s[i], S[j]) t = (S[i] + S[j]) mod 256 C = M S[t] Output byte Message byte XORed with S[t] Security - 07b Phy Data Link #57

58 RC4 Security RC4 is not vulnerable against well-known attacks on most stream ciphers There are known attacks but most of them have no practical implication RC4 is a stream cipher Vulnerable to bit-flipping attacks Flipped bits in ciphertext are flipped in plaintext as well Keys must not be used again C 1 = M 1 K 1 and C 2 = M 2 K 1 C 1 C 2 M 1 K 1 M 2 K 1 M 1 M 2 Security - 07b Phy Data Link #58

59 Block Ciphers Security - 04 Cryptology #59

60 Block Ciphers Operates on fixed-length groups of bits These are called blocks Typical block lengths: 128, 192, or 256 Bit Plaintext split into blocks Blocks are encrypted individually using the same key (may require padding) Algorithms DES (based on Feistel networks) AES (based on substitution-permutation network) Others: 3DES, RC6, Blowfish, CAST, IDEA, Serpent, Security - 04 Cryptology #60

61 Feistel-Networks Security - 04 Cryptology #61

62 Feistel-Networks Central component of some cryptographic algorithms Devised by Horst Feistel (IBM) beginning of the 70s Encryption comprised of several rounds L i Plaintext R i f Round Key Simple design with a interesting property Decryption is very simple Why? L i+1 Ciphertext R i+1 Security - 04 Cryptology #62

63 Feistel-Networks Feistel Network L i+1 = R i R i+1 = L i f(r i, key i ) Assume that f and the key are known f(r i, key i ) can be calculated Plaintext L i R i f L i+1 R i+1 Ciphertext Round Key Rewrite L i L i = L i f(r i, key i ) f(r i, key i ) (Reversibility of XOR) L i = R i+1 f(r i, key i ) Security - 04 Cryptology #63

64 Feistel-Networks Result: L i = R i+1 f(r i, key i ) Allows to calculate L i-1 from R i Just apply f again to inverse encryption Can be applied recursively Until L 0 and R 0 are calculated Consequence: f needn t be invertible Only required that f can t be calculated without the key One can use arbitrarily complex functions Plaintext L i R i f L i+1 R i+1 Ciphertext Rundenschlüssel Security - 04 Cryptology #64

65 Data Encryption Standard (DES) Security - 04 Cryptology #65

66 Geschichte von DES DES: Data Encryption Standard Ergebnis einer öffentlichen Ausschreibung des amerikanischen National Bureau of Standards (NBS) Mitte der 70er Ziel: Entwurf eines einheitlichen, sicheren Verschlüsselungsalgorithmus Bester Vorschlag von IBM (Feistel, Coppersmith et al.) Modifiziert von 128 auf 56 Bit Schlüssellänge Unter Mitarbeit der NSA (National Security Agency) Bedenken wegen möglicher Unsicherheit, die nur die NSA kannte Bis heute kein Angriff außer Brute-Force bekannt Security - 04 Cryptology #66

67 Der DES-Algorithmus DES kodiert Datenblöcke 64 Bits werden in einem Schritt verschlüsselt Schlüssellänge ist ebenfalls 64 Bit Jedes 8. Bit ein Kontrollbit ist 56 Bit effektive Schlüssellänge DES führt 16 Verschlüsselungsschritte aus Eine Runde ist ein Feistelnetzwerk bestehend aus Bit- Permutationen und Verteilungen Security - 04 Cryptology #67

68 DES-Algorithmus Security - 04 Cryptology #68

69 DES: Ein Zyklus Ein Zyklus: Eine S-Box: Security - 04 Cryptology #69

70 Zum Design von DES DES ist komplex, aber extrem hardwarefreundlich Beschränkt sich auf einfache Bitoperationen wie Verschiebungen und XOR Aufgabe der P-Boxen Lawineneffekt und Ansteuerung der S-Boxen Aufgabe der S-Boxen Komplexität der Kodierung Sicherheit gegen versch. Verfahren der Kryptanalyse Security - 04 Cryptology #70

71 Sicherheit von DES DES ist wegen seiner kurzen Schlüssellänge in kurzer Zeit mittels Brute- Force zu brechen EFF baute 1998 Deep Crack ( $) mit 1536 speziellen Krypto-Chips Juli 1998: DES-Code in 56 Stunden geknackt Neuere Analyseverfahren (differenzielle und lineare Analyse) werden ständig besserund stellen eine Gefährdung dar Deswegen wird DES ersetzt durch neuere Verfahren mit längeren Schlüsseln wie z.b. Triple-DES (3DES) oder AES Security - 04 Cryptology #71

72 Advanced Encryption Standard (AES) Security - 04 Cryptology #72

73 Advanced Encryption Standard (AES) Standard for encrypting electronic data Supersedes DES NIST standard U.S. FIPS PUB 197 (FIPS 197), May 2002 Result of a competition 15 competing algorithms Winning algorithm: Rijndael Submitted by the two Belgian cryptographers Vincent Rijmen and Joan Daemen AES uses a restricted version of Rijndael Security - 04 Cryptology #73

74 AES: Properties Properties Fixed block size of 128 bits (16 byte) Variable key size (128, 192, or 256 bits) Plaintext (16 byte) Operates on a 4x4 matrix called state Initially, state contains the plaintext State Security - 04 Cryptology #74

75 AES: Encryption Flow Chart Not based on Feistel networks Uses a substitution-permutation network instead Encryption and decryption comprised of multiple iteratively applied sub-routines 4 different transformations Operates in discrete rounds Depends on the key size 10 rounds (128 bit), 12 (192 bit), and 14 (256 bit) Key Expansion Initial Round Add Round Key Rounds Substitute Bytes Shift Rows Mix Columns Add Round Key Final Round Substitute Bytes Shift Rows Mix Columns Add Round Key Security - 04 Cryptology #75

76 AES: Key Expansion Generation of round key Fixed size: 128 bit (= block size) Generated using the so-called Rijndael key schedule Different schedules for 128, 192, and 256 bit key sizes Key Expansion Initial Round Add Round Key Rounds Substitute Bytes Shift Rows Mix Columns Add Round Key Final Round Substitute Bytes Shift Rows Mix Columns Add Round Key Security - 04 Cryptology #76

77 AES: Initial Round Only performs a single operation Add round key combines the current state with the current round key See next slide Key Expansion Initial Round Add Round Key Rounds Substitute Bytes Shift Rows Mix Columns Add Round Key Final Round Substitute Bytes Shift Rows Mix Columns Add Round Key Security - 04 Cryptology #77

78 Add Round Key Adds the current round key to state Addition realized as XOR E A A 1 A4 68 6B CB F D FA 54 A3 6C 3 FE 2C C 9F 5B 6A 3 7F 35 EA 50 4 E5 9A 7A 4C 4 17 B F2 2B State Round Key State Security - 04 Cryptology #78

79 AES: A Single Round Comprised of four subtransformations Substitute Bytes Shift Rows Mix Columns Add Round Key (already known) Described individually in the following Key Expansion Initial Round Add Round Key Rounds Substitute Bytes Shift Rows Mix Columns Add Round Key Final Round Substitute Bytes Shift Rows Mix Columns Add Round Key Security - 04 Cryptology #79

80 Substitute Bytes Each byte in state is substituted by another byte A0 9A E9 2 3D F4 C6 F8 3 E3 E2 8D 48 Substitution based on AES S-Box 4 be 2B 2A D4 E0 B8 1E 2 27 BF B D 52 4 AE F1 E5 30 Table image source: FIPS 197 standard Security - 04 Cryptology #80

81 Substitute Bytes: Example 19 D4 Table image source: FIPS 197 standard Security - 04 Cryptology #81

82 Shift Rows Rotates rows individually 1st row 0 times 2nd row 1 times 3rd row 2 times 4th row 3 times Transposition of bytes D4 E0 B8 1E 2 27 BF B D 52 4 AE F1 E D4 E0 B8 1E 2 BF B D AE F1 E5 Rotate by 0 byte Rotate by1 byte Rotate by 2 byte Rotate by 3 byte Security - 04 Cryptology #82

83 Mix Columns The four bytes of each column are combined using an invertible linear transformation Each column is multiplied by a known matrix Example (key size of 128 bit) D4 E0 B8 1E D E BF B D BF 5D = CB F D AE F1 E5 30 E5 4 E5 9A 7A 4C Security - 04 Cryptology #83

84 AES: Final Round Like a single round but w/o mix columns Finally, state contains the cipher text Key Expansion Initial Round Add Round Key Rounds Substitute Bytes Shift Rows Mix Columns Add Round Key Final Round Substitute Bytes Shift Rows Add Round Key Security - 04 Cryptology #84

85 Block Ciphers: Mode of Operation Security - 04 Cryptology #85

86 Block Ciphers: Mode of Operation How to encrypt plaintext longer than the block size of a cipher Common block sizes: DES 64 Bits, AES 128 Bits Plaintext is fragmented into multiple chunks of the block size Cipher is applied to each chunk individually Different modes of operation exist (standardized by NIST) Some modes of operation Electronic Codebook (ECB) Cipher Block Chaining (CBC) Propagating Cipher-Block Chaining (PCBC) Cipher feedback (CFB) Output feedback (OFB) Counter (CTR)

87 Electronic Codebook Mode (ECB) Each plaintext block is encrypted individually Decryption works in the same way Plaintext Plaintext chunk #1 Plaintext chunk #2 Plaintext chunk #3 Key Block Cipher Key Block Cipher Key Block Cipher Ciphertext chunk #1 Ciphertext chunk #2 Ciphertext chunk #3 Security - 04 Cryptology #87

88 Electronic Codebook Mode (ECB) Problems with ECB Identical plaintext blocks result in identical ciphertext blocks Doesn t hide repeated pattern in the data Systems using ECB are often subject to so-called replay attacks Original image ECB Mode Any other mode Image sources: Tux the Penguin, the Linux mascot. Created by Larry Ewing with The GIMP, ECB Security encrypted Tux: Cryptology Secure Tux: #88

89 Cipher Block Chaining (CBC) Invented by IBM in 1976 Each plaintext chunk is XORed with the previous ciphertext block before being encrypted To make each message unique, an initialization vector is used for the first block Result Each ciphertext block depends on all previous plaintext blocks Security - 04 Cryptology #89

90 CBC: Encryption Previous ciphertext chunk is XORed with next plaintext chunk Ciphertext n+1 depends on ciphertext n Plaintext chunk #1 Plaintext chunk #2 Plaintext chunk #3 Initialization Vector (IV) Key Block Cipher Key Block Cipher Key Block Cipher Ciphertext chunk #1 Ciphertext chunk #2 Ciphertext chunk #3 Security - 04 Cryptology #90

91 CBC: Decryption IV must be known for decryption I.e., it must be transferred unencrypted with the ciphertext Initialization Vector (IV) Ciphertext chunk #1 Ciphertext chunk #2 Ciphertext chunk #3 Key Block Cipher Key Block Cipher Key Block Cipher Plaintext chunk #1 Plaintext chunk #2 Plaintext chunk #3 Security - 04 Cryptology #91

92 CBC: Properties Encryption Plaintext needs padding to a multiple of the block size Not parallelizable (depends previous encryption result) Decryption Use of incorrect IV only affects first plaintext block Can be parallelized (decryption of a chunk depends only on previous ciphertext chunk) Security - 04 Cryptology #92

93 Propagating Cipher-Block Chaining (PCBC) Next ciphertext depends on previous plain- and ciphertext Encryption: Plaintext chunk #1 Plaintext chunk #2 Plaintext chunk #3 Initialization Vector (IV) Key Block Cipher Key Block Cipher Key Block Cipher Ciphertext chunk #1 Ciphertext chunk #2 Ciphertext chunk #3 Security - 04 Cryptology #93

94 PCBC: Decryption Causes ciphertext changes to propagate indefinitely Decryption: Initialization Vector (IV) Ciphertext chunk #1 Ciphertext chunk #2 Ciphertext chunk #3 Key Block Cipher Key Block Cipher Key Block Cipher Plaintext chunk #1 Plaintext chunk #2 Plaintext chunk #3 #94

95 PCBC: Properties No official standard Used in Kerberos v4 and Nullsoft WASTE Otherwise not very common Issues If two adjacent ciphertext blocks are swapped, this does not affect the decryption of subsequent blocks No clear attack scheme known, but as a result, PCBC is not used in Kerberos v5 Security - 04 Cryptology #95

96 Cipher Feedback Mode (CFB) Creates a stream cipher out of a block cipher Block cipher is only used to create a key stream Allows arbitrary plaintext length <= block size Encryption Initialization Vector (IV) Key Block Cipher Key Block Cipher Key Block Cipher Plaintext chunk #1 Plaintext chunk #2 Plaintext chunk #3 Ciphertext chunk #1 Ciphertext chunk #2 Ciphertext chunk #3 Security - 04 Cryptology #96

97 CFB: Decryption Initialization Vector (IV) Key Block Cipher Key Block Cipher Key Block Cipher Ciphertext chunk #1 Ciphertext chunk #2 Ciphertext chunk #3 Plaintext chunk #1 Plaintext chunk #2 Plaintext chunk #3 Security - 04 Cryptology #97

98 CFB: Properties Allows arbitrary plaintext length <= block size Encryption not parallelizable, decryption is Loss of bytes in the ciphertext only affects two adjacent block resynchronization possible Using byte-wise encryption, only two bytes are affected Security - 04 Cryptology #98

99 Output feedback (OFB) Feedback of block cipher output instead of ciphertext (CFB) Avoids any error propagation Encryption: Initialization Vector (IV) Key Block Cipher Key Block Cipher Key Block Cipher Plaintext chunk #1 Plaintext chunk #2 Plaintext chunk #3 Ciphertext chunk #1 Ciphertext chunk #2 Ciphertext chunk #3 Security - 04 Cryptology #99

100 OFB: Decryption Initialization Vector (IV) Key Block Cipher Key Block Cipher Key Block Cipher Ciphertext chunk #1 Ciphertext chunk #2 Ciphertext chunk #3 Plaintext chunk #1 Plaintext chunk #2 Plaintext chunk #3 Security - 04 Cryptology #100

101 OFB: Properties Effectively creates a stream cipher Flipping bits in the ciphertext produces flipped bits in the plaintext at the same location Allows error correcting codes to function normally even when applied before encryption Key stream independent of plaintext Each message requires new IV Otherwise, the same key stream will be re-used Essentially removes the keystream Result: keystream plaintext1 keystream plaintext2 Equals: plaintext1 plaintext2 Security - 04 Cryptology #101

102 Counter Mode (CTR) Uses a nonce and a counter Similar properties as OFB Nonce: Number used once Must never be used again Nonce & Counter A B 1 E Nonce & Counter A B 1 E Nonce & Counter A B 1 E Key Block Cipher Key Block Cipher Key Block Cipher Plaintext chunk #1 Plaintext chunk #2 Plaintext chunk #3 Ciphertext chunk #1 Ciphertext chunk #2 Ciphertext chunk #3 Security - 04 Cryptology #102

103 CTR: Decryption Nonce & Counter A B 1 E Nonce & Counter A B 1 E Nonce & Counter A B 1 E Key Block Cipher Key Block Cipher Key Block Cipher Ciphertext chunk #1 Ciphertext chunk #2 Ciphertext chunk #3 Plaintext chunk #1 Plaintext chunk #2 Plaintext chunk #3 Security - 04 Cryptology #103

104 Padding Many modes of operation (e.g., ECB, CBC) require that plaintext length is a multiple of the block size If this is not the case plaintext padding Requirements Any arbitrary plaintext can be adapted to a multiple of the block size Uniquely invertible Average length expansion should be minimal Security - 04 Cryptology #104

105 Padding Different well-known options available Zero Padding Bit Padding (ISO/IEC Padding Method 2) Byte Padding (ANSI X.923, ISO 10126, PKCS7/RFC 5652) Discussed in the following Security - 04 Cryptology #105

106 Zero Padding Remaining bytes are filled with zero Not necessarily invertible If the plaintext ends with one or more zero bytes impossible to distinguish between plaintext and padding Example for a block size of 8 Plaintext A B Padded Plaintext (block size 8) A B Security - 04 Cryptology #106

107 Bit Padding (ISO/IEC Method 2) Add a single 1 -bit to the end of the data Then, if necessary, add 0 -bits until the padded data is a multiple of the block size Example: 7 bit plaintext, 16 bit block size Bit Bit Security - 04 Cryptology #107

108 Bit Padding (ISO/IEC Method 2) First padding byte Bits: Byte: 80 Example for AES Fixed block size: 16 byte Plaintext size: 7 byte Byte E 2B AF 17 9B Byte E 2B AF 17 9B Security - 04 Cryptology #108

109 Byte Padding (PKCS7, RFC 5652) Adds a number of bytes Given length: length of the payload blocksize: block size of the cipher (blocksize < 256) Number of bytes n to append n = blocksize - (length mod blocksize) Value v of the bytes added equals n Security - 04 Cryptology #109

110 Byte Padding (PKCS7, RFC 5652) Example for DES (blocksize = 8) Payload: ABCDEFGH Security - 04 Cryptology #110

111 Byte Padding (PKCS7, RFC 5652) Example for AES (blocksize = 16) Payload: ABCDEFGHIJKLMNOP Security - 04 Cryptology #111

112 Asymmetric Cryptography Security - 04 Cryptology #112

113 Asymmetric Cryptography Mathematic breakthrough in the 70s Establishment of a shared key without requiring its previous exchange Based on two different keys These are mathematically related Developed by Diffie and Hellman 1976 Security - 04 Cryptology #113

114 Idea of Diffie and Hellman Every partner of a two-way communication has two different keys A private one (kept secret) A public one (distributed publically) Is is computationally infeasible to derive one key from the other Despite the fact that they are computationally related Security Requirements Public Key: Authenticity and Integrity Private Key: Confidentiality Figure source: and Security - 04 Cryptology #114

115 Applications of Asymmetric Cryptography Key exchange for symmetric crypto systems Encryption and decryption of normal messages Digital Signatures Signature Security - 04 Cryptology #115

116 Diffie-Hellman Algorithm Anonymous (non-authenticated) key-agreement protocol Technique for generating a mutual symmetric key First known public-key algorithm Not applicable for message encryption Based on the discrete logarithm problem Here: no math background, just the protocol Discrete logarithm b = g a mod p Exponent a is the discrete logarithm of b to the basis g A primitive root modulo n is a generator of the multiplicative group of integers modulo n Security - 04 Cryptology #116

117 Diffie-Hellman Algorithm Given: q: Prime number α: Primitive root of q, α<q Key Generation (Alice) Chose a private X A mit X A <q Calculate Y A with Y A = α X A mod q Send Y A to B (not confidential) Key Generation (Bob) Chose a private X B mit X B <q Calculate Y B with Y B = α X B mod q Send Y B to A (not confidential) Calculate key k (Alice) : K = (Y B ) X A mod q Calculate key k (Bob): K = (Y A ) X B mod q Security - 04 Cryptology #117

118 Example (with q = 353 and α = 3 Alice A selects X A = 97 Bob B selects X B = 233 A calculates Y A = 3 97 mod 353 = 40 B calculates Y B = mod 353 = 248 Exchange of Y A and Y B Exchange of Y A and Y B A calculates K = mod 353 = 160 B calculates K = mod 353 = 160 An attacker learns q, α, Y A and Y B and could try to calculate X A or X B with the discrete logarithm. This is easy for small numbers but computationally infeasible for large numbers. Security - 04 Cryptology #118

119 Issue with the DH algorithm Man-in-the-middle attacks Communication endpoints are not authenticated Messages may be forged by Eve Result: Alice/Bob negotiate shared key with Eve Alice Eve Bob Security - 04 Cryptology #119

120 Asymmetric Message Encryption Security - 04 Cryptology #120

121 Symmetric Cryptography Single key for encryption and decryption Any one with the key can read messages But: Anyone can also be the source no authentication Key Open & Close Security - 04 Cryptology #121

122 Asymmetric Cryptography Two (related) keys: one private, one public Private key for message encryption Only possible for owner of the key Public key for message decryption Anybody can verify message authenticity Private Key Close Public Key Open Security - 04 Cryptology #122

123 Asymmetric Message Encryption A want to communicate with B Both partners generate an asymmetric key pair If B wants to send a message to A, he encrypts the message with the public key of A A decrypts the message with her private key Security - 04 Cryptology #123

124 Encryption and Decryption A B Public Key of B Private Key of B Security - 04 Cryptology #124

125 Digital Signature A B Private Key of A Public Key of A A Security - 04 Cryptology #125

126 Requirements for an Algorithm Diffie und Hellman didn t have a proposal but formulated a set of requirements See next slides These requirements have been fullfilled later by only a few algorithms RSA Elliptic Curve Security - 04 Cryptology #126

127 Requirements for an Algorithm 1. It must be computationally easy to generate a public KU b and private KR b key pair generate ciphertext C from Message M with Ku b : C = E (M) KU b decrypt ciphertexts: M = D (C) = D KR b KRb (E KUb (M)) 2. It must be computationally infeasible to Derive KR b from KU b Derive plaintext M from KU b and the ciphertext C 3. Encryption and decryption can be applied in arbitrary order: M = E KU b (D KRb (M)) = D KUb (E KRb (M)) Security - 04 Cryptology #127

128 Important: Trap-door One-Way Functions Requirements are equivalent to the use of a Trap-door one-way function One-Way-Function Function that is significantly easier to compute in one direction than in the opposite one Y = f(x) easy to compute (e.g., seconds) X = f -1 (Y) hard to compute (e.g., 1000s of years) Like a One-Way Function But X = f -1 (Y) is easy to compute if additional data are known Security - 04 Cryptology #128

129 RSA Diffie-Hellman: only mutual key agreement No enryption / message signature RSA (1977) is the first algorithm to realize the requirements of DH Designed by Rivest (R), Shamir (S), and Adleman (A) Security - 04 Cryptology #129

130 RSA Properties RSA is a block cipher Plaintext and ciphertext are interpreted as large integer numbers (just like the keys) Variable key length Typical lengths: 1024, 2048, 4096 Bit RSA security based on the problem of factorization Hard to factorize the product of two large prime numbers Security - 04 Cryptology #130

131 RSA in Brief Key Generation Choose p, q Calculate n = p q Calculate φ(n) = (p-1)(q-1) Chose e Calculate d Public Key: K U = {e,n} Private Key: K R = {d,n} p and q are prime numbers, p q ggt(φ(n), e) = 1; 1 < e < φ(n) d e -1 mod φ(n) Encryption: Decryption: Plaintext: Ciphertext: M < n C = M e mod n Ciphertext: Plaintext: C M = C d mod n Security - 04 Cryptology #131

132 RSA Security Apart from brute force, factorization of n is the most promising attack on RSA If p and q are known, φ(n) can be calculated and hence the private key d Factorization is a hard problem No efficient algorithms known More computing power helps a bit, but is not enough Security - 04 Cryptology #132

133 MIPS-Jahre und Faktorisierung 1999 wurde eine 512-Bit-RSA-Verschlüsselung in 8000 MIPS- Jahren geknackt MIPS-Jahr: 1-Millionen-Befehle-pro-Sekunde-Rechner läuft ein Jahr Das sind 3 x Befehle Ein 1 GHz-Pentium entspricht etwa einer 250-MIPS-Maschine Das heißt, wenn man eine solche Faktorisierung in 3 Monaten erreichen will, müssen 128 Rechner zusammenarbeiten Schlüssellängen (also die Länge von n) von 1024 bzw Bit gelten heute als sicher Security - 04 Cryptology #133

134 Literatur [wobst01] Reinhard Wobst: Abenteuer Kryptologie, 3. Auflage, Addison-Wesley, 2001 [stallings03] William Stallings: Cryptography and Network Security - Principles and Practice, 3rd ed., Prentice Hall, 2003 [singh99] Simon Singh: Geheime Botschaften, Hanser, 1999 [waetjen04] Dietmar Wätjen: Kryptographie, Spektrum Akademischer Verlag, 2004 [schneier06] Bruce Schneier: Angewandte Kryptographie, Pearson Studium, 2006 [enigma] Detaillierte Enigma-Einführung: [shannon] Claude Shannon: Communication Theory of Secrecy Systems is a paper published in 1949, [feistel] Horst Feistel: Cryptography and Computer Privacy". Scientific American 228 (5), 1973, [webster] A. F. Webster and Stafford E. Tavares: On the design of S-boxes. Advances in Cryptology - Crypto '85. Lecture Notes in Computer Science Springer-Verlag New York, Inc. pp ISBN Security - 04 Cryptology #134