Blockverschlüsselung und AES

Transkript

1 Blockverschlüsselung und AES Proseminar/Seminar Kryptographie und Datensicherheit SoSe 2009 Universität Potsdam ein Vortrag von Linda Tschepe

2 Übersicht Allgemeines SPNs (Substitutions- Permutations- Netzwerke) Lineare Kryptoanalyse Differentielle Kryptoanalyse DES (der Data Encryption Standard) AES (der Advanced Encryption Standard) Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 2

3 Allgemeines - Blockchiffre Was ist eine Blockchiffre? Bei der Blockverschlüsselung werden immer Blöcke einer festen Länge verschlüsselt. Moderne Blockchiffren sind meist Produktchiffren, welche Substitutions- und Permutationschiffren kombinieren. Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 3

4 Allgemeines eine typische iterierte Chiffre w0 x w1 g(w0,k1) w2 g(w1,k2) : : wn-1 g(wn-2,kn-1) wn g(wn-2,kn) y wn N Anzahl der Runden K binärer Schlüssel (K 1,...,K N ) Liste der Rundenschlüssel w r Zustand des Textes w0 Klartext (x) wn Chiffretext (y) g Rundenfunktion : g(w r-1, K r ) = w r Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 4

5 Allgemeines eine typische iterierte Chiffre wn y wn-1 g-1(wn,kn) : : w0 g-1(w1,k1) x w0 g muss injektiv sein!!! N Anzahl der Runden K binärer Schlüssel (K 1,...,K N ) Liste der Rundenschlüssel w r Zustand des Textes w0 Klartext (x) wn Chiffretext (y) g Rundenfunktion : g(w r-1, K r ) = w r Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 5

6 Substitutions-Permutations-Netzwerke K i+1 + S-Boxen Permutation w N-1 w i + K N x x Klartext (Länge l*m) y Chiffretext (Länge l*m) S-Boxen N Anzahl der Runden π S : {0,1} l {0,1} l π P : {1,...,l*m} {1,...,l*m} y + K N+1 Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 6

7 SPN - Beispiel п S : A B C D E F E 4 D 1 2 F B 8 3 A 6 C п P : K 1 : K 2 : K 3 : K 4 : K 5 : Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 7

8 Lineare Kryptoanalyse 1993 von Mitsuru Matsui publiziert kann prinzipiell auf jede iterierte Chiffre angewandt werden fällt unter die Kategorie Known-Plaintext-Attacke Lineare Chiffren sind relativ leicht zu entziffern Umgehen der nicht-linearen S-Boxen Idee: Approximation der Chiffrierfunktion durch eine lineare Abbildung Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 8

9 Lineare Kryptoanalyse Piling-up Lemma Seien X 1,...,X n unabhängige Zufallsvariablen, welche Werte der Menge {0,1} annehmen, und є 1,..., є n die zugehörigen Bias-Werte, so gilt: P(X 1 xor... xor X n = 0) = ½ + 2 n-1 є i n i = 1 P(X i =0) = p i P(X i =1) = 1-p i є i = p i ½ P(X i =0) = ½ + є i P(X i =1) = ½ - є i Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 9

10 Lineare Kryptoanalyse 1. Teil Approximieren der S-Boxen durch eine lineare Abbildung: 4 Eingangsvariablen: X 1, X 2, X 3, X 4 4 Ausgangsvariablen: Y 1, Y 2, Y 3, Y 4 Untersuchen aller Abbildungen der Form (a i,b i є {0,1}): a 1 X 1 xor a 2 X 2 xor a 3 X 3 xor a 4 X 4 = b 1 Y 1 xor b 2 Y 2 xor b 3 Y 3 xor b 4 Y 4 a 1 a 2 a 3 a 4 in Hexadezimaldarstellung = Inputsumme (u) b 1 b 2 b 3 b 4 in Hexadezimaldarstellung = Outputsumme (v) Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 10

11 Lineare Kryptoanalyse 1. Teil Lineare Approximations-Tabelle: A B C D E F A B C D E F Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 11

12 Lineare Kryptoanalyse 1. Teil Die lineare Approximations-Tabelle zeigt die Anzahl der möglichen Kombinationen für X 1 X 2 X 3 X 4, für die die entsprechende Gleichung wahr ist. z.b: Inputsumme: B, Outputsumme: 1 -> 12 є(b1) = (12 8)/16 = ¼ P(B1) = ½ + є(b1) = ¾ Je größer є(xy) ist desto, besser ist die Approximation zu verwenden. (Bei є(xy) = ½ ist eine perfekte Repräsentation gefunden.) Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 12

13 Lineare Kryptoanalyse 2. Teil Zusammensetzen der einzelnen Approximationen zu einem Ganzen: Input S-Box S i,j = U i,k (k є {1,..., 16}) Output S-Box S i,j = V i,k (k є{1,...,16}) Approximation S 1,2 : (Wahrscheinlichkeit ¾) U 1,5 xor U 1,7 xor U 1,8 = V 1,6 X 5 xor X 7 xor X 8 xor K 1,5 xor K 1,7 xor K 1,8 = V 1,6 K1 S11 S12 S13 S14 K2 S21 S22 S23 S24 K3 S31 S32 S33 S34 K4 S41 S42 S43 S44 K5 Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 13

14 Lineare Kryptoanalyse 2. Teil Approximation S 2,2 : (Wahrscheinlichkeit ¼) U 2,6 = V 2,6 xor V 2,8 K1 S11 S12 S13 S14 K2 U 2,6 = V 1,6 xor K 2,6 X 5 xor X 7 xor X 8 xor K 1,5 xor K 1,7 xor K 1,8 xor K 2,6 = V 2,6 xor V 2,8 (mit Wahrscheinlichkeit: ½ + 2(¾ ½) (¼ ½) = 3/8) (Piling-Up Lemma) S21 S22 S23 S24 K3 S31 S32 S33 S34 K4 S41 S42 S43 S44 K5 Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 14

15 Lineare Kryptoanalyse 2. Teil Approximation S 3,2 : (Wahrscheinlichkeit ¼) U 3,6 = V 3,6 xor V 3,8 Approximation S 3,4 : (Wahrscheinlichkeit ¼) U 3,14 = V 3,14 xor V 3,16 U 3,6 = V 2,6 xor K 3,6, U 3,14 = V 2,8 xor K 3,14 X 5 xor X 7 xor X 8 xor K 1,5 xor K 1,7 xor K 1,8 xor K 2,6 xor K 3,6 xor K 3,14 = V 3,6 xor V 3,8 xor V 3,14 xor V 3,16 (Wahrscheinlichkeit:15/32) K1 S11 S12 S13 S14 K2 S21 S22 S23 S24 K3 S31 S32 S33 S34 K4 S41 S42 S43 S44 K5 Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 15

16 Lineare Kryptoanalyse 2. Teil X 5 xor X 7 xor X 8 xor K 1,5 xor K 1,7 xor K 1,8 xor K 2,6 xor K 3,6 xor K 3,14 xor K 4,6 xor K 4,8 xor k 4,14 xor K 4,16 = U 4,6 xor U 4,8 xor U 4,14 xor U 4,16 (K 1,5 xor K 1,7 xor K 1,8 xor K 2,6 xor K 3,6 xor K 3,14 xor K 4,6 xor K 4,8 xor k 4,14 xor K 4,16 ) hat festen Wert 1 oder 0 X 5 xor X 7 xor X 8 xor U 4,6 xor U 4,8 xor U 4,14 xor U 4,16 = 0 oder 1 K1 S11 S12 S13 S14 K2 S21 S22 S23 S24 K3 S31 S32 S33 S34 K4 S41 S42 S43 S44 K5 Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 16

17 Lineare Kryptoanalyse 3. Teil Berechnen einzelner Bits des letzten Teilschlüssels: y xor K 5 Rückwärts durch S-Box Wiederholen für jedes Klar-, Chiffretextpaar (Werte Zählen) Der Wert dessen Zähler am weitesten entfernt von (Anzahl Paare)/2 ist, also den größten Bias-Wert hat, ist wahrscheinlich der richtige K1 S11 S12 S13 S14 K2 S21 S22 S23 S24 K3 S31 S32 S33 S34 K4 S41 S42 S43 S44 K5 Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 17

18 Differentielle Kryptoanalyse 1990 von Biham & Shamir publiziert Fällt in Kategorie Chosen-Plaintext-Attacke Ist der linearen Kryptoanalyse recht ähnlich Hauptunterschied: die differentielle Kryptoanalyse vergleicht den Xor-Wert zweier Inputs mit dem der zugehörigen Outputs Also den Unterschied der Eingabe ΔX = X' xor X'' mit dem Unterschied der Ausgabe ΔY = Y' xor Y'' Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 18

19 Differentielle Kryptoanalyse ΔX = X' xor X'', ΔY = Y' xor Y'' Bei einer ideal zufällig erscheinenden Chiffre ist die Wahrscheinlichkeit, dass auf ein ΔX ein bestimmtes ΔY folgt ½^(n) (n- Anzahl der Bits von X) Der Angreifer sucht nach einem ΔX, für welches ein ΔY mit hoher Wahrscheinlichkeit erscheint Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 19

20 Differentielle Kryptoanalyse Differentielle Charakteristiken sind Sequenzen von Einund Ausgabedifferenzen von Runden, wobei die Ausgabedifferenz der einen Runde der Eingabedifferenz der nächsten entspricht Suche noch möglichst wahrscheinlichen differentiellen Charakteristiken bis in die letzte Runde Rückschlüsse auf einzelne Bits des letzten Teilschlüssels Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 20

21 Data Encryption Standard Vorgängersystem: Lucifer (IBM) Entwickelt von IBM mit Hilfe der NSA (National Security Agency) 1977 in den USA als Standard festgelegt 2000 durch AES abgelöst Modifizierte Feistel - Chiffre Iterierte Blockchiffre Rundenanzahl: 16 Blocklänge: 64 Bit Schlüssellänge: 64 Bit (56 Bit + 8 Paritätsbits) Schlüsselraum: 2 56 Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 21

22 DES Berechnen der Rundenschlüssel 64 Bit Schlüssel PC: Permuted Choice - Entfernt Paritätsbits - Teilt in 2 28 Bit Blöcke PC-1 C-0 D-0 LS LS C-i D-i 16 Runden PC-2 LS: Left Shift - jede Runde um 2 Bit - in Runden 1, 2, 9 und 16 nur je ein Bit K i 48 Bit Rundenschlüssel Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 22

23 DES - Verschlüsselung 1. Unterteilung des Chiffretextes in 2 Blöcke gleicher Länge (L 0,R 0 ) 2. Rundenfunktion: g(li-1,ri-1,ki) = (Li,Ri) L i-1 R i-1 f K i L i = Ri-1 + R i = Li-1 xor f(ri-1,ki) 3. Vertauschen der Blöcke L i R i Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 23

24 DES Entschlüsselung 1. Zerteilen des Chiffretextes und Vertauschen der Hälften K i f L i R i 2. Rundenfunktion: R i-1 = L i + L i-1 = R i xor f(l i,k i ) L i-1 R i-1 Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 24

25 DES die Verschlüsselungsfunktion f Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 25

26 DES die Verschlüsselungsfunktion f R i-1 wird durch eine feste Expansionsfunktion E auf 48 Bit erweitert E: Von den 32 Bits werden 16 verdoppelt Anschließend: Permutation Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 26

27 DES die Verschlüsselungsfunktion f Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 27

28 DES die Verschlüsselungsfunktion f E (Ri-1) xor Ki Das Ergebnis dann schon unterteilt in 8 6-Bit-Strings geschrieben Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 28

29 DES die Verschlüsselungsfunktion f Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 29

30 DES die Verschlüsselungsfunktion f 8 S-Boxen mit S i : {0,1} 6 {0,1} 4 In 16 * 4 Tabelle gespeichert 1. und letztes Bit = Zeilennummer Die 4 mittleren Bit = Spaltennummer S Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 30

31 DES die Verschlüsselungsfunktion f Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 31

32 DES die Verschlüsselungsfunktion f Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 32

33 DES die Verschlüsselungsfunktion f Zusammensetzen zu 32 Bit Permutation P Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 33

34 DES - Kryptoanalyse Das Größte Sicherheitsrisiko des DES ist wohl der relativ kleine Schlüsselraum von nur 2 56 möglichen Schlüsseln. Schon 1999 wurden zum knacken eines 88 Byte langen Chiffretextes nur 22 Stunden und 15 Minuten benötigt (Das Durchsuchen des gesamten Raumes ca. 82 Std.) S-Boxen wurden zufällig zusammengestellt Gerüchte NSA hätte Hintertüren eingebaut (keine Seite nachgewiesen) Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 34

35 Advanced Encryption Standard 1997 Ausschreibung des AES AES Kandidaten Konferenz: 15 der 21 Kryptosysteme als Kandidaten zugelassen AES Kandidatenkonferenz: 5 Finalisten ausgewählt: MARS, RC6, Rijndael, Serpent, Twofish AES Kandidaten Konferenz: Rijndael = AES Blocklänge: 128 Bit Schlüssellänge: 128, 192, oder 256 Bits Rundenanzahl: 10, 12, oder 14 (abhängig von Schlüssellänge) Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 35

36 AES - Verschlüsselung AddRoundKey x y AddRoundKey ShiftRows SubBytes SubBytes ShiftRows MixColumns AddRoundKey 1. Umwandeln des Klartextes in einen State anschließend AddRoundKey 2. N-1 mal: SubBytes, ShiftRows, MixColumns, AddRoundKey 3. SubBytes, ShiftRows, AddRoundKey 4. Umwandeln von State in Chiffretext Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 36

37 AES - Verschlüsselung AddRoundKey x y AddRoundKey ShiftRows SubBytes SubBytes ShiftRows MixColumns AddRoundKey Alle Operationen in Rijndael sind byteorientiert Unterteilung des Klartextes in 16 1-Byte Blöcke Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 37

38 AES - Verschlüsselung AddRoundKey x y AddRoundKey ShiftRows SubBytes SubBytes ShiftRows MixColumns AddRoundKey Rundenschlüssel hat gleiche Anzahl von Byes wie State Byteweises Xor-Verknüpfen der beiden Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 38

39 AES - Verschlüsselung AddRoundKey x y AddRoundKey ShiftRows SubBytes SubBytes ShiftRows MixColumns AddRoundKey S-Box π S :{0,1} 8 {0,1} 8 Meist als 16 x 16 Array gespeichert Diese S-Box ist im Gegensatz zu denen vom DES algebraisch definiert Basiert auf Operationen des endlichen Körpers GF(28 ) Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 39

40 AES - Verschlüsselung AddRoundKey x y AddRoundKey ShiftRows SubBytes SubBytes ShiftRows MixColumns AddRoundKey Z 2 ist der Restklassenring modulo 2 Da 2 eine Primzahl ist, ist Z 2 auch ein Körper π S operiert auf dem Polynomring in x über Z 2 : Z 2 [x] Jedoch nur auf Polynomen vom Grad 7 oder kleiner Bilden von Restklassen modulo eines irreduziblen Polynoms 8. Grades Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 40

41 AES - Verschlüsselung AddRoundKey x y AddRoundKey ShiftRows SubBytes SubBytes ShiftRows MixColumns AddRoundKey Welches irreduzible Polynom 8. Grades ist egal AES nutzt: x8 + x4 + x3 + x + 1 GF(28) = Z2[x]/( x8 + x4 + x3 + x + 1) Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 41

42 AES - Verschlüsselung AddRoundKey x y AddRoundKey ShiftRows SubBytes SubBytes ShiftRows MixColumns AddRoundKey 1. Byte in Polynom umwandeln 2. Falls Polynom!= 0, berechne das Multiplikativ Inverse M= 3. Polynom in Byte umwandeln 4. Multipliziere mit Matrix M 5. Xor mit a= Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 42

43 AES - Verschlüsselung Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 43

44 AES - Verschlüsselung AddRoundKey x y AddRoundKey ShiftRows SubBytes SubBytes ShiftRows MixColumns AddRoundKey Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 44

45 AES - Verschlüsselung AddRoundKey x y AddRoundKey ShiftRows SubBytes SubBytes ShiftRows MixColumns AddRoundKey Die Spalten von State werden als Polynome aufgefasst Multiplikation mit Matrix A (Multiplikation in GF(28 )) A = Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 45

46 AES Schlüsselerzeugung (128 Bit Schlüssel) Die Schlüsselerzeugung ist wortbasiert (1 Wort = 4 Bytes) Ein Rundenschlüssel besteht aus 4 Wörtern 128 Bit-Schlüssel 10 Runden 11 Rundenschlüssel Festes Array Rcon bestehend aus 10 Wörtern Teilfunktionen: RotWord: rotiert die Bytes eines Wortes um eine Stelle nach links SubWord: nutzt für jedes Byte die S-Box aus SubBytes Xor Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 46

47 AES Schlüsselerzeugung (128 Bit Schlüssel) RCon (in Hexadezimaldarstellung): B Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 47

48 AES Schlüsselerzeugung (128 Bit Schlüssel) RW RW SW + SW + Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 48

49 AES - Entschlüsselung Die Reihenfolge der Operationen ist umgekehrt Dabei werden anstelle von ShiftRows, SubBytes und MixColumns ihre inversen Funktionen genutzt Außerdem werden die Rundenschlüssel in umgekehrter Reihenfolge verwendet Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 49

50 AES - Kryptoanalyse Die Entwickler des Algorithmus selber, wiesen schon nach, dass Rijndael gegen lineare und differentielle Kryptoanalyse resistent Bis heute keine effektiven Angriffe auf Rijndael bekannt Die effektivsten Varianten lehnen sich an eine Chiffre mit einer reduzierten Rundenzahl an Doch selbst diese sind kaum besser als einfache Suche Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 50

51 Referenzen Douglas R. Stinson: Cryptography: Theory and Practice. 3nd Edition, Chapman & Hall/CRC 2006 Andreas Pfitzmann: Sicherheit in Rechnernetzen: Mehrseitige Sicherheit in verteilten und durch verteilte Systeme ( node_id=510&ln=de) Albrecht Beutelspacher, Heike B. Neumann, Thomas Schwarzpaul: Kryptografie in Theorie und Praxis: mathematische Grundlagen für elektronisches Geld, Internetsicherheit und Mobilfunk Vieweg+Teubner Verlag, 2005 Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 51

52 Referenzen Howard M.Heys: A tutorial on linear and differential cryptanalysis (Faculty of Engineering and Applied Science - Memorial University of Newfoundland) Kryptographie und Datensicherheit: Blockverschlüsselung und AES Folie 52

53