Stream cipher. Merima Halkic Maria Davidouskaya Mostafa Masud

Transkript

1 Stream cipher Merima Halkic Maria Davidouskaya Mostafa Masud

2 Inhalt Einleitung Prinzip von stream cipher Synchrone stream cipher Asynchrone stream cipher Linear Feedback Shift Registers(LFSR) LFSR-Beispiel RC4 Einführung RC4 Algorithm KSA(RC4 Algorithm) KSA-Beispiel

3 Inhalt PRGA(RC4 Algorithm) PRGA-Beispiel Sicherheit RC4 estream Projekt Phase I, II und III HC-128 Sicherheit Angriffe auf Stromverschlüsselungen Vergleich zwischen Algorithmen

4 Einleitung Stream cipher ist ein kryptographischer Algorithmus zur symmetrischen Verschlüsselung. Prinzip der symmetrischen Verschlüsselung Symmetrische Verschlüsselung: Stream cipher Block cipher Auf Deutsch als Stromchiffre bekannt

5 Prinzip von stream cipher(grob) Klartext wird: in Bits zerlegt mit dem entsprechenden Element einer Schlüsselfolge chiffriert Klartextstrom + Schlüsselstrom= Chiffretextstrom Stream cipher: Synchrone Asynchrone

6 Synchrone stream cipher Der Anfangszustand q wird vorgegeben, beispielsweise durch den Schlüssel K der aktuelle Zustand hängt ausschließlich vom jeweils vorausgehenden Zustand ab weder der vorangegangene Chiffretext noch der Klartext hat einen Einfluss Sender und Empfänger müssen perfekt synchronisiert sein

7 Synchrone stream cipher eine Resynchronisation erforderlich wenn ein Zeichen des Chiffretextes verloren geht oder eines hinzukommt(verlust eines Teiles der Nachricht zur Folge haben kann) Angreifer kann den Klartext nicht verfälschen, indem er zusätzliche Zeichen in den Chiffretext einspeist oder welche vernichtet

8 Asynchrone stream cipher der innere Zustand wird zum Zeitpunkt t vollständig durch eine feste Anzahl n vorangegangener Chiffretextzeichen bestimmt wenn einer Stromchiffre Zeichen des Chiffretextes verloren geht oder eines hinzukommt so wird dieser dennoch korrekt entschlüsselt Bei einem Fehler im Chiffretext werden bis zu n nachfolgende Zeichen des Klartextes falsch entschlüsselt ein niedrigeres Sicherheitsniveau

9 Linear Feedback Shift Registers(LFSR) Eigenschaften: LFSRs sind der Grundbaustein der meisten Schlüsselstromgeneratoren bei Stromchiffren LFSRs sind algebraisch sehr gut analysierbar LFSRs können Pseudozufallsfolgen mit großer Periode und guten statistischen Eigenschaften erzeugen Zur Rückkopplung wird die lineare logische Funktion XOR verwendet Besonders effizient auf Hardware Ebene realisierbar

10 Linear Feedback Shift Registers(LFSR) ein Schieberegister mit n Speicherelementen(typischerweise D-Flipflops) zwischen bestimmten D-Flipflops bestehen Abzweigungen welche die Rückkopplungen darstellen die maximal mögliche Periodenlänge- 2 n -1 n ist in diesem Fall gleich dem Grad des Generatorpolynoms

11 Linear Feedback Shift Registers(LFSR) seed-der Startwert Takteingang: Bei jedem Taktimpuls wird in den Folgezustand gewechselt Arten von LFSR: Fibonacci-LFSR Galois-LFSR

12 LFSR-Beispiel

13 RC4 Einführung 1987 von Ronald L. Rivest bei RSA entwickelt 1994 anonym publiziert Anwendung: SSH(secure schell) für einen sicheren Rechnerzugang über das Netz SSL(secure socket layer) für einen sicheren Web-Zugang WEP(wired equavalent privacy) für eine gesicherte Übertragung über Wireless

14 RC4 Beschreibung Mit RC4 können binäre Daten mit einem Schlüssel von 1 bis zu 256 Bytes( Bits) verschlüsselt werden. RC4 ist ein auf eine S-box, eine zufällig gewählte Permutation oder Substitution der Zahlen 0 bis 255 basierendes, symmetrisches Chiffrierverfahren. Eine Folge von zufälligen Bits wird aus einem nur einmalig zu verwendenden Schlüssel erzeugt. Der Klartext wird Bit für Bit per XOR mit der Zufallsfolge verknüpft, um die Daten zu verschlüsseln.

15 RC4 Block Diagramm Secret Key RC4 Keystream Plain Text + Encrypted Text

16 RC4 Algorithm Grundsätzlich besteht der Algorithmus aus 2 Komponenten: Key- Scheduling Algorithm (KSA): S-Box wird dynamisch erzeugt KSA PRGA Pseudo-Random Generation Algorithm(PRGA): Verschlüsselung

17 Initialisierung(KSA) for i = 0 to 255 do S[i] := i j := 0 for i = 0 to 255 do j := (j + S[i]+K[i mod L]) mod 256 swap(s[i],s[j])

18 Beispiel KSA Key S j = 0, i = 0; j = (j + s[i] + K[i mod256]) mod256 j = = 4 tausche s[i] mit s[j], also s[0] mit s[4]

19 Beispiel KSA Key S j = 4, i = 1; j = (4 + s[1] + K[1 mod256]) mod256 j= = 18 tausche s[1] mit s[18]

20 Encryption(PRGA) i=j=0 Loop i = (i + 1) (mod 256) j = (j + S[i]) (mod 256) swap(s[i], S[j]) output (S[i] + S[j]) (mod 256) End Loop RC4 PRGA: s[i]+s[j] ergeben den Index für das Element der S-Box, welches ein Klartext- Byte durch XOR-Verknüpfung verschlüsselt.

21 Beispiel PRGA S i = j = i= i + 1 = = 1 j = j + s[i] = = 18 tausche s[i] mit s[j], also s[1] mit s[18] out = s[s[1]+s[18]] = s[242+18]mod256 = s[4]=28

22 Beispiel PRGA S i= i + 1 = = 2 j = j + s[i] = = 45 tausche s[i] mit s[j], also s[2] mit s[45] out = s[s[2]+s[45]] = s[11+27]mod256 = s[38]=201

23 Sicherheit Aus heutige Sicht kann RC4 für wichtige Verschlüsselungsaufgaben nicht mehr als sicher genug betrachtet werden Rekonstruktion durch Permutation (Andrew Roos) 2001 Fluher, Mantin and Shamir-Attacke (Der erste praktische Angriff) RSA Security empfahl daraufhin, die ersten 256 Bytes des Schlüsselstroms zu verwerfen.

24 Sicherheit 2005 Klein s attack. Andreas Klein verbesserte den Angriff, so dass er auch dann funktioniert, wenn die ersten 256 Byte verworfen werden. Er empfahl, die Ausgabe der ersten 12 Runden zu verwerfen 2013 Angriff gegen die RC4-Verschlüsselung in TLS(AlFardan, Bernstein, Paterson, Poettering und Schuldt) 2015 stellten Mathy Vanhoef und Frank Piessens einen praktisch durchführbaren Angriff auf RC4 vor, in dem Cookies innerhalb von 52 Stunden entschlüsselt werden konnten Seit Anfang 2016 unterstützen die Web-Browser Chrome, Edge, Firefox und Internet Explorer 11 das RC4 nicht mehr.

25 estream Projekt Überblick: Das estream-projekt ermittelte zwischen Oktober 2004 und Mai 2008 in drei Phasen neue Stromchiffrierverfahren für zukünftige Standards. Es unterscheidet zwei Profile: Profil 1: Verfahren für Softwareanwendungen Profil 2: Verfahren für Hardware mit limitierten Ressourcen

26 Profile I und II: Das endgültige Portfolio setzt sich wie folgt zusammen: Profil 1: Hier finden sich Chiffren mit Schlüssellängen von 128 oder 256 Bit, die sich durch besondere Performance in Software auszeichnen. Profil 2: Die Kandidaten in dieser Kategorie haben Schlüssellängen von 80 oder 128 Bit und sind besonders kompakt und effezient, wenn sie direkt in der Hardware verbaut werden.

27 Phase I: Cryptanalysis In Phase 1 wurden 35 Algorithmen Kanditaten verwendet. Die Kandidaten wurden in 2 Profile eingeteilt und generell analysiert. Am 27. März 2006 wurde die Phase 1 offiziell beendet.

28 Phase II Am 1 August 2006 ist Phase 2 gestartet und für jedes Profile sind einige Algorithmen ausgewählt. Ziel war, die besseren Algorithmen für die späteren Stufen zu bekommen. Mehr Kryptoanalyse und Leistungbewertungen auf diesen Algorithmen submissions.

29 Phase III Phase 3 ist in April 2007 gestartet. Die Entscheidung hängt von vielen Faktoren ab Sicherheit Leistung im Vergleich zu der AES Leistung im Vergleich zu anderen Einreichungen Einfachheit IP hatte keine Rolle bei der Entscheidung. Am endete die Phase 3 und ausgewählte Kandidaten wurden für das finale estream Portfolio ausgewählt F-FCSR-H wegen Sicherheitsmängel aus Portfolio herausgenommen F-FCSR-H v2

30 HC-128 Einführung Stream Cipher HC-128 ist die vereinfachte Version von HC-256 für 128-bit security HC-128 ist eine einfache, sichere software-effiziente Chiffer und es ist frei-verfügbar HC-128 besteht aus zwei geheimen Tabellen mit jeweils bit Elementen Bei jedem Schritt wird ein Element aus der Tabelle mit non-linearfeedback Funktion aktualisiert. Und alle Elemente aus den zwei Tabellen werden in 1024 Schritten aktualisiert. Bei jedem Schritt wird ein 32-bit Output von non-linear output filtering Funktion erzeugt. Von einem 128-bit Key und 128-bit IV, HC-128 erzeugt ein Keystream mit der Länge 2^64 bit.

31 Variablen Variablen Bedeutung + Addition mod 2^32 Subtraktion mod 512 Bitweise xor / Konkatenation Links/Rechts Shift <<</>>> Links/Rechts Rotation

32 Notationen Notationen P Q k IV s Erklärung Eine Tabelle mit bit Elementen. Jedes Element wird bezeichnet als P[i]. mit 0 i 511. Eine Tabelle mit bit Elementen. Jedes Element wird bezeichnet als Q[i]. mit 0 i bit Schlüssel von HC bit Initialisierungsvektor von HC-128. Der Keystream wird erzeugt aus HC-128. Die 32-bit Ausgabe von i-te Schritte wird bezeichnet als Si. s = s0 s1 s3...

33 Funktionen Funktion Beschreibung

34 Key und IV Konfiguration Prozess startet mit Initialisierung Key und IV in mehreren Schritte. In diesen Schritten werden Key und IV zu P und Q ergänzt. Und Chiffer läuft bis zu 1024 Schritte. Schritt-1: Key und IV muss in ein neues Array Wi (0 i 1279) erweitert werden.

35 Key und IV Konfiguration Schritt-2: Aktualisiere die Tabelle P und Q mit Array W.

36 Key und IV Konfiguration Schritt-3: Läuft die Chiffer für 1024 Schritte und verwendet die Outputs um Tabellenelemente zu ersetzen.

37 Keystream Erzeugung: Bei jedem Schritt wird ein Element von einer Tabelle aktualisiert und ein 32-bit Output erzeugt. EIne S-box wird benutzt, um nur 512 Ausgaben zu generieren. Dann wird dieses Element in den nächsten 512 Schritten aktualisiert.

38 Keystream Erzeugung: j = i mode 512

39 Feedback Funktion In der Feedback Funktion benutzen wir die folgenden Elemente aus der Tabelle als Parameter in Funktion g. So das die bits der Elemente verschiebt werden und XOR-d die alle zusammen. Die Ausgabe wird in sj mode 512 gelegt, dann in die richtige S-box(Q oder P). Wenn i >=512, dann wird ein Element aus der Tabelle Q ausgewählt und g1 zu g2 getauscht. Die Ausgabe wird wieder in Q gelegt. Diese Ausgabe wird auch an die Output Funktion übergeben.

40 Output Funktion In der Output Funktion benutzen wir Sj und Sj-12 Mode 512 in der Funktion h1. Die Ausgabe dieser Funktion geht zu End Funktion Si=h1(x)XORp[j] und Ausgabe dieser Funktion ist Keystream. Wenn i>=512, dann werden wir auf die Elemente aus S- box Q zugreifen. Und Funktion h1 wird mit h2 getauscht.

41 Sicherheit Periodenlänge: Die bit stellt sicher, dass die Periode von keystream extrem groß ist. Die average period von keystream ist geschätzt mehr als2^256. Sicherheit vom geheimen Schlüssel: Output und Feedback Funktionen sind nicht linear. Die nicht-lineare Output Funktion lässt nur eine geringe Menge von Partial Information bei jedem Schritt durch. Und die nicht-lineare Feedback Funktion sichert, dass der geheime Schlüssel, durch diese geringe Menge an Partial Information, nicht regeneriert werden kann. Initialisierung(Key-IV): Es kann schwer eine Relation zwischen Eingangs- und Ausgangsbits hergestellt werden. Ständiges aktualisieren der Tabellen (Key/IV). Correlation Attack und Algebraic Attack sind nicht mo glich um an den Key zu gelangen. Correlation Attack: Klasse der Known Plaintext Attacks. Algebraic Attack: Grundidee: Problem (knacken eines Cipher) System aus Polynomgleichungen lösen.

42 Vergleich zwischen Algorithmen

43 Vergleich zwischen Algorithmen Die Geschwindigkeit in KByte/s Größe der Pakete 32Byte Packete 1000 Packete 5000 Packete Packete HC-128 RC4 AES

44 Vergleich zwischen Algorithmen

45 Vergleich zwischen Algorithmen 4000 Die Geschwindigkeit in KByte/s Größe der Pakete 512Byte Packete 1000 Packete 5000 Packete Packete HC-128 RC4 AES

46 Quelle Barbara Lucie Langer, Diplomarbeit:Stromchiffren-Entwurf, Einsatz und Schwächen,Juni The Stream Cipher HC-128: (Hongjun Wu) An Overview of estream Ciphers: (Pratyay Mukherjee) HC-128 Stream Cipher A-Team Deliverables: (Michael Burns), (Brian Baum) The estream Project: (Matt Robshaw) Efficient Implementation of Stream Ciphers on Embedded Processors: (Gordon Meiser)

47 Danke für die Aufmerksamkeit