Post-Quantum Kryptographie für IPsec

Transkript

1 Post-Quantum Kryptographie für IPsec Dipl.-Inf. Ephraim Zimmer 24. Februar 2015

2 PQC für IPsec Folie 2 von 27

3 PQC für IPsec Folie 3 von 27

4 Peter Shor Algorithms for Quantum Computation: Discrete Logarithms and Factoring PQC für IPsec Folie 4 von 27

5 Peter Shor Algorithms for Quantum Computation: Discrete Logarithms and Factoring PQC für IPsec Folie 4 von 27

6 Notwendige Schritte IPsec Analyse Geeignete Kryptosysteme für PQC PQC-Implementierung IPsec Erweiterung Evaluation und Vergleich PQC für IPsec Folie 5 von 27

7 IPsec Analyse PQC für IPsec Folie 6 von 27

8 IP Security - RFC4301 Zugriffskontrolle Teilnehmerauthentifizierung verbindungslose Integrität Vertraulichkeit Replay-Schutz eingeschränkte Datenfluss-Vertraulichkeit PQC für IPsec Folie 7 von 27

9 IP Security - RFC4301 Zugriffskontrolle Teilnehmerauthentifizierung verbindungslose Integrität Vertraulichkeit Replay-Schutz eingeschränkte Datenfluss-Vertraulichkeit PQC für IPsec Folie 7 von 27

10 IKEv2 Protokoll - RFC5996 PQC für IPsec Folie 8 von 27

11 IKEv2 Protokoll - RFC5996 PQC für IPsec Folie 8 von 27

12 Geeignete Kryptosysteme für PQC PQC für IPsec Folie 9 von 27

13 Geeignete Kryptosysteme für einen PQC-Schlüsselaustausch Symmetrische Kryptographie Hashbasierte Kryptographie Multivariate Kryptographie Gitterbasierte Kryptographie Codebasierte Kryptographie PQC für IPsec Folie 10 von 27

14 Geeignete Kryptosysteme für einen PQC-Schlüsselaustausch Symmetrische Kryptographie Hashbasierte Kryptographie Multivariate Kryptographie Gitterbasierte Kryptographie Codebasierte Kryptographie PQC für IPsec Folie 10 von 27

15 Codebasierte Kryptographie Fehlerkorrigierende Codes Verschlüsselung: Hinzufügen von Bitfehlern Entschlüsselung: Entfernen der Bitfehler durch die Kenntnis des Codes Vertreter: McEliece Kryptosystem, Niederreiter Kryptosystem PQC für IPsec Folie 11 von 27

16 Codebasierte Kryptographie Fehlerkorrigierende Codes Verschlüsselung: Hinzufügen von Bitfehlern Entschlüsselung: Entfernen der Bitfehler durch die Kenntnis des Codes Vertreter: McEliece Kryptosystem, Niederreiter Kryptosystem PQC für IPsec Folie 11 von 27

17 PQC-Implementierung PQC für IPsec Folie 12 von 27

18 Niederreiter Kryptobibliothek PQC für IPsec Folie 13 von 27

19 IPsec Erweiterung PQC für IPsec Folie 14 von 27

20 strongswan Plugin PQC für IPsec Folie 15 von 27

21 Erste IKE_SA_INIT Nachricht PQC für IPsec Folie 16 von 27

22 Zweite IKE_SA_INIT Nachricht PQC für IPsec Folie 17 von 27

23 Problem: Große öffentliche Schlüssel Bit-Sicherheit DH ECDH Niederreiter Tabelle: Datenmenge in Byte für einen Schlüsselaustausch vom Sender zum Empfänger. PQC für IPsec Folie 18 von 27

24 Lösung: Hash und URL RFC5996 by replacing long data structures with a 20-octet SHA-1 hash [ ] of the replaced value followed by a variable-length URL that resolves to the [ ] data structure itself. PQC für IPsec Folie 19 von 27

25 Lösung: Hash und URL PQC für IPsec Folie 20 von 27

26 Lösung: Hash und URL PQC für IPsec Folie 20 von 27

27 Lösung: Hash und URL mit Sendersocket PQC für IPsec Folie 20 von 27

28 Evaluation und Vergleich PQC für IPsec Folie 21 von 27

29 Latenz PQC für IPsec Folie 22 von 27

30 Evaluation + Empfängerseite + Ver- und Entschlüsselung + Vergleich mit DH + Sicherheit gegen QC Schlüsselgenerierung Große Niederreiter-Schlüssel PQC für IPsec Folie 23 von 27

31 Erreichte Ziele " Ersetzung des DH-Schlüsselaustauschs mit PQC " Erhaltung der Sicherheitsdienste von IPsec " Keine Einführung neuer Angriffsmöglichkeiten " Erste funktionierende PQC-IPsec-Verbindung PQC für IPsec Folie 24 von 27

32 Lao Tzu If you do not change direction, you may end up where you are heading. w Verbesserung des Prototypen w Einführung von PQC in kryptographische Standards w Reduzierung der öffentlichen Niederreiter-Schlüssel w Integration von PQC in IKE_AUTH PQC für IPsec Folie 25 von 27

33 PQC für IPsec Folie 26 von 27

34 Analyse von IPsec und der notwendigen Änderungen für PQC Fokus auf IKEv2 Überblick geeigneter PQC Kandidaten für einen Schlüsselaustausch Prototypische Implementatierung von PQC in IKEv2 Niederreiter-Plugin für strongswan Vergleich mit DH- und ECDH-Schlüsselaustausch-Plugins und Evaluation PQC für IPsec Folie 27 von 27

35 Backup-Folien PQC für IPsec Folie 28 von 27

36 Wirklich noch keine Quantencomputer? PQC für IPsec Folie 29 von 27

37 Was bewiesen werden konnte 1998: experimentelle Realisierung von Grovers Algorithmus für die Durchsuchung einer Liste von N = 4 Elementen nach einer speziellen Charakteristik [CGK98] 2001: experimentelle Realisierung von Shors Algorithmus für die Faktorisierung der Zahl 15 mithilfe von sieben Qubits [Van+01] 2011: experimentelle Realisierung von Shors Algorithmus für die Faktorisierung der Zahl 21 [Mar+12] 2013: effiziente Berechnung der Permanenten1 einer quadratischen Matrix mithilfe eines nicht-universellen Quantencomputers [Til+13] PQC für IPsec Folie 30 von 27

38 Auswirkung auf moderne Kryptographie Schlüsselsuche klassisch Grover Anz. Schritte für 128 Bit Anz. Schritte für 256 Bit = = = 263, = 2127,5 Faktorisierung klassisch Shor Anz. Schritte für 1024 Bit , [ 2 25 ] Anz. Schritte für 2048 Bit , [ 2 28 ] Tabelle: Durchschnittliche Anzahl an Rechenoperationen bei der Faktorisierung und der symmetrischen Schlüsselsuche. PQC für IPsec Folie 31 von 27

39 Angreifermodelle Angreifermodell 1 Ein Angreifer habe die Rolle eines Außenstehenden. Als dieser habe er nur Zugriff auf die Subsysteme zwischen den beiden IPsec-Endgeräten der Kommunikationsteilnehmer, um durch IPsec gesicherte Nachrichten abzufangen. Er verfügt allerdings nicht über eine genügend große Verbreitung zur effektiven Unterbindung der IPsec-Kommunikation. Sein Verhalten sei als aktiv und modifizierend charakterisiert. Die verfügbare Rechenkapazität und Zeit des Angreifers sei komplexitätstheoretisch beschränkt. PQC für IPsec Folie 32 von 27

40 Angreifermodelle Angreifermodell 2 Ein Angreifer habe alle Rollen und Charakteristiken des Angreifermodells 1 und verfüge zusätzlich über einen Quantencomputer, auf dem er in Echtzeit Shors und Grovers Algorithmen ausführen kann. PQC für IPsec Folie 33 von 27

41 Neuer IKE_SA_INIT PQC-Schlüsselaustausch PQC für IPsec Folie 34 von 27

42 Niederreiter mit binären Goppa Codes Code Parameter: n, t N mit t n als max. korrigierbare Fehler Schlüsselgenerierung: Kontrollmatrix H priv eines binären Goppa Code G Zufällige Permutationsmatrix P Zufällige invertierbare Matrix M H pub = M H priv P PQC für IPsec Folie 35 von 27

43 Niederreiter mit binären Goppa Codes Code Parameter: n, t N mit t n als max. korrigierbare Fehler Schlüsselgenerierung: Kontrollmatrix H priv eines binären Goppa Code G Zufällige Permutationsmatrix P Zufällige invertierbare Matrix M Öffentlicher Schlüssel: (H pub, t) H pub = M H priv P Privater Schlüssel: (M, Dec G, P), mit Dec G als Dekodierungsalgorithmus für G PQC für IPsec Folie 35 von 27

44 Niederreiter mit binären Goppa Codes Verschlüsselung: Nachricht m e {0, 1} n mit Gewicht t Syndrom s = H pub e PQC für IPsec Folie 36 von 27

45 Niederreiter mit binären Goppa Codes Verschlüsselung: Nachricht m e {0, 1} n mit Gewicht t Syndrom s = H pub e Entschlüsselung: M 1 s = H priv P e Dec G (H priv P e) = P e P 1 P e = e PQC für IPsec Folie 36 von 27

46 Multivariate Kryptographie Basieren auf Mengen von quadratischen Polynomen p 1,..., p m K[X 1,..., X n ] über endlichen Körpern mit mehr als einer Variablen Verschlüsselung: Auswertung der polynomiellen Abbildung am Nachrichtenpunkt Entschlüsselung: Anwendung der inversen polynomiellen Abbildung durch Kenntnis einer speziellen Abbildungsstruktur PQC für IPsec Folie 37 von 27

47 Multivariate Kryptographie Basieren auf Mengen von quadratischen Polynomen p 1,..., p m K[X 1,..., X n ] über endlichen Körpern mit mehr als einer Variablen Verschlüsselung: Auswertung der polynomiellen Abbildung am Nachrichtenpunkt Entschlüsselung: Anwendung der inversen polynomiellen Abbildung durch Kenntnis einer speziellen Abbildungsstruktur + Sehr effiziente Ver- und Entschlüsselung + Frei für den kommerziellen Einsatz Wenig Vertrauen durch viele gebrochene Kryptosysteme Wenig Wissen durch Anwendung junger Mathematik PQC für IPsec Folie 37 von 27

48 Multivariate Kryptographie Basieren auf Mengen von quadratischen Polynomen p 1,..., p m K[X 1,..., X n ] über endlichen Körpern mit mehr als einer Variablen Verschlüsselung: Auswertung der polynomiellen Abbildung am Nachrichtenpunkt Entschlüsselung: Anwendung der inversen polynomiellen Abbildung durch Kenntnis einer speziellen Abbildungsstruktur + Sehr effiziente Ver- und Entschlüsselung + Frei für den kommerziellen Einsatz Wenig Vertrauen durch viele gebrochene Kryptosysteme Wenig Wissen durch Anwendung junger Mathematik Vertreter: HFE Kryptosystem, Perturbed Matsumotu-Imai Plus (PMI+) PQC für IPsec Folie 37 von 27 Kryptosystem

49 Gitterbasierte Kryptographie Basieren auf Gitterproblemen wie dem Shortest-Vector-Problem oder dem Closest-Vector-Problem Verschlüsselung: Addition speziell präparierter Vektoren auf den Nachrichtenvektor Entschlüsselung: Invertierung der Addition durch Kenntnisse über die speziell präparierten Vektoren PQC für IPsec Folie 38 von 27

50 Gitterbasierte Kryptographie Basieren auf Gitterproblemen wie dem Shortest-Vector-Problem oder dem Closest-Vector-Problem Verschlüsselung: Addition speziell präparierter Vektoren auf den Nachrichtenvektor Entschlüsselung: Invertierung der Addition durch Kenntnisse über die speziell präparierten Vektoren ± Starke Sicherheitsbeweise (dann allerdings nicht effizient) ± Sehr effiziente Ver- und Entschlüsselung (dann allerdings keine starken Sicherheitsbeweise) Wenig Vertrauen durch kurze Kryptoanalyse-Vergangenheit Patentrechtliche Abhängigkeiten PQC für IPsec Folie 38 von 27

51 Gitterbasierte Kryptographie Basieren auf Gitterproblemen wie dem Shortest-Vector-Problem oder dem Closest-Vector-Problem Verschlüsselung: Addition speziell präparierter Vektoren auf den Nachrichtenvektor Entschlüsselung: Invertierung der Addition durch Kenntnisse über die speziell präparierten Vektoren ± Starke Sicherheitsbeweise (dann allerdings nicht effizient) ± Sehr effiziente Ver- und Entschlüsselung (dann allerdings keine starken Sicherheitsbeweise) Wenig Vertrauen durch kurze Kryptoanalyse-Vergangenheit Patentrechtliche Abhängigkeiten Vertreter: Number Theory Research Unit (NTRU) Kryptosystem, PQC für IPsec Folie 38 von 27 Learning with Errors (LWE) Kryptosystem

52 Gitterbasierte Kryptographie P. Campbell, M. Groves, D. Shepherd 2014 SOLILOQUY: A Cautionary Tale. ETSI Crypto Workshop. PQC für IPsec Folie 39 von 27

53 Evaluation: Latenzen PQC für IPsec Folie 40 von 27

54 Latenz: IKE SA Aushandlung Bit-Sicherheit Sender [ms] Empfänger [ms] DH ECDH Niedr DH ECDH Niedr ,0-966,5 275,3-764, ,3 513,6 960,9 300,7 359,1 728, ,3 444, ,0 310,7 333,9 716, ,7 555, ,1 564,5 380,0 721, , ,1 977,1-759, , , ,7-980, , ,8-295,4 781, , , ,5-819, , ,1-313,3 965,0 Tabelle: Zeiten für eine IKE SA Aushandlung mit den drei Plugins Niederreiter, DH und ECDH. PQC für IPsec Folie 41 von 27

55 Latenz: Schlüsselgenerierung Bit-Sicherheit Sender [ms] Empfänger [ms] DH ECDH Niedr DH ECDH Niedr 80 5,0-80,2 5,1-0, ,7 6,7 134,2 15,2 2,8 0, ,6 2,6 210,0 33,3 2,6 0, ,0 3,7 264,8 107,8 3,3 0, ,1-353,2 246,7-0, ,3-611,7 791,1-0, ,8 723,9-6,8 0, ,7-813, ,1-0, , ,4-13,2 0,05 Tabelle: Zeiten für die Schlüsselgenerierung mit den drei Plugins Niederreiter, DH and ECDH. PQC für IPsec Folie 42 von 27

56 Latenz: kryptographische Berechnungen Bit-Sicherheit Sender [ms] Empfänger [ms] DH ECDH Niedr DH ECDH Niedr 80 4,5-1,4 4,4-0, ,8 2,1 1,9 13,8 2,2 0, ,8 2,6 2,5 31,6 2,7 0, ,2 3,4 3,4 103,9 4,1 0, ,5-4,3 243,7-0, ,2-6,3 786,9-0, ,0 7,7-6,8 0, ,0-8, ,6-0, ,2 14,3-12,9 0,41 Tabelle: Zeiten für die kryptographischen Berechnungen mit den drei Plugins Niederreiter, DH and ECDH. PQC für IPsec Folie 43 von 27

57 Evaluation: Rechenleistung PQC für IPsec Folie 44 von 27

58 Referenzen I Daniel J. Bernstein, Johannes Buchmann und Erik Dahmen. Post Quantum Cryptography. 1st. Berlin, Heidelberg: Springer-Verlag, isbn: doi: / Isaac L. Chuang, Neil Gershenfeld und Mark Kubinec. Experimental Implementation of Fast Quantum Searching. In: Phys. Rev. Lett. 80 (15 Apr. 1998), S url: (besucht am ) (siehe S. 37). Lov K. Grover. A fast quantum mechanical algorithm for database search. In: Proceedings of the twenty-eighth annual ACM symposium on Theory of computing. STOC 96. Philadelphia, Pennsylvania, USA: ACM, 1996, S isbn: url: (besucht am ). C. Kaufman u. a. RFC Internet Key Exchange Protocol Version 2 (IKEv2). Sep url: (besucht am ). S. Kent und K. Seo. RFC Security Architecture for the Internet Protocol. Dez url: (besucht am ). Enrique Martin-Lopez u. a. Experimental realization of Shor s quantum factoring algorithm using qubit recycling. In: Nature Photonics 6 (Nov. 2012), S url: (besucht am ) (siehe S. 37). PQC für IPsec Folie 45 von 27

59 Referenzen II Peter W. Shor. Algorithms for Quantum Computation: Discrete Logarithms and Factoring. In: Foundations of Computer Science, 1994 Proceedings., 35th Annual Symposium on Foundations of Computer Science. Santa Fe, NM: IEEE Computer Society Press, Nov. 1994, S url: (besucht am ). Max Tillmann u. a. Experimental boson sampling. In: NatPhoton 7 (Juli 2013), S url: (besucht am ) (siehe S. 37). Lieven M. K. Vandersypen u. a. Experimental realization of Shor s quantum factoring algorithm using nuclear magnetic resonance. In: Nature 414.quant-ph/ (Dez. 2001), S url: (besucht am ) (siehe S. 37). PQC für IPsec Folie 46 von 27