Pseudozufallsfunktionen (PRF) Kapitel 3

Transkript

1 Pseudozufallsfunktionen (PRF) Kapitel 3

2 Motivation Verschlüsselung eines Dateisystems durch PRG: PRG G(x) Entschlüsselung: berechne aus x entsprechende Generator-Ausgabe Aber: Entschlüsselung der letzten Datei erfordert Iteration von G bis zum Ende Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 2

3 Pseudozufallsfunktion: Idee scheller Zugriff auf einzelne Bits G(x) pseudozufällig U j j-tes Bit von G(x) j j-tes Bit von U wiederhole PRG PRF allgemeiner als Funktion {0, 1} n {0, 1} n f(x, ) pseudozufällig??? a b=f(x,a) a b Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 3

4 Zufällige Funktionen Menge aller 2 n2n Funktionen von {0, 1} n nach {0, 1} n : R n := {g g : {0, 1} n {0, 1} n } haben exponentielle Beschrei- (Die meisten der Funktionen aus R n bungslaenge log 2 2 n2n = n2 n ) Zufaellige Funktion g R n. waehle unter allen Funktionen aus R n eine Funktion g, jede Funktion hat gleiche Wahrscheinlichkeit. Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 4

5 Interaktiver Unterscheider Waehle x {0, 1} n zufaellig (x Schluessel der Funktion) Waehle g R n zufaellig f(x, ) oder g a b a b effizienter Algorithmus D (D sieht nur Ein- und Ausgabe der jeweiligen Box) Ausgabe 0 oder 1 Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 5

6 Pseudozufallsfunktion Definition. Eine effizient berechenbare Funktion f (mit f(x, ) :{0, 1} n {0, 1} n fuer alle x {0, 1} n ) heisst Pseudozufallsfunktion, wenn fuer alle effizienten Algorithmen D gilt: Pr h D f(x, ) (1 n )=1 i Pr [D g (1 n )=1] 0, wobei die Wahrscheinlichkeit ueber die Zufallsbits von D und die Wahl von x {0, 1} n bzw. g R n gebildet wird. (Die Restriktion f(x, ) :{0, 1} n {0, 1} n dient nur zur Vereinfachung; allgemeinere Ein- und Ausgabelaengen koennen ebenfalls definiert werden.) Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 6

7 Pseudozufallsgeneratoren und -funktionen Satz. Pseudozufallsfunktionen existieren genau dann, wenn es Pseudozufallsgeneratoren gibt. Beweisidee ( ). Setze G(x) :=f(x, 0 n ) f(x, 1 n ). Dann ist G(x) ununterscheidbar von g(0 n ) g(1 n ) fuer zufaellige Funktion g R n,undstringg(0 n ) g(1 n ) ist verteilt wie U 2n. Beweisidee ( ). Goldreich, Goldwasser, Micali (GGM-Konstruktion, naechste Folien). Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 7

8 Goldreich-Goldwasser-Micali-Konstruktion (I) Sei G Pseudozufallsgenerator mit Ausgabelaenge 2n. Unterteile Ausgabe von G(x) in linke und rechte Haelfte: G(x) =G 0 (x) G 1 (x) mit G b (x) {0, 1} n Definiere Pseudozufallsfunktion f(x, a) fuer a = a 1 a 2 a n {0, 1} n durch: f(x, a) :=G a n (G a n 1 ( G a 1 (x) )) Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 8

9 Goldreich-Goldwasser-Micali-Konstruktion (II) als Baum (n =3): x G 0 (x) G 1 (x) G 0 ( ) G 1 ( ) G 0 ( ) G 1 ( ) G 0 ( ) G 0 ( ) G 0 ( ) G 0 ( ) G 1 ( ) G 1 ( ) G 1 ( ) G 1 ( ) f(x, 011) = G 1 (G 1 (G 0 (x))) Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 9

10 Advanced Encryption Standard

11 Advanced Encryption Standard (AES) Geschichte: NIST=National Institute of Standards and Technology NIST ruft 1997 öffentlichen Wettbewerb aus Gewinner 2001: Rijndael-Algorithmus Adaption als Standard und Namensvergabe AES (von Rijmen und Daemen) AES guter Kandidat für PRF mit n=128 auch Versionen mit 192 und 256 Bits AES ist sogar mehr (siehe Ende des Abschnitts) Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 11

12 Darstellung von 128-Bit-Werten AES-Spezifikation: Darstellung und Operationen über Körper GF(2 8 ) sehr schnell in Hardware und Software Darstellung hier: unterteile 128 Bit in 16 Blöcke von je 8 Bit stelle 8-Bit-Werte jeweils hexadezimal dar stelle 16 Blöcke als 4 x 4 Matrix dar AES-Beschreibung hier nach Enrique Zabala Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 12

13 Rundenbasierte Struktur des AES unterteile 128 Bit in 16 Blöcke von je 8 Bit stelle 8-Bit-Werte jeweils hexadezimal dar j j Rundenschlüssel werden aus ursprünglichem Schlüssel abgeleitet stelle 16 Blöcke als 4 x 4 Matrix dar Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 13

14 Transformation SubBytes für alle Einträge 9 1 ersetze 19 durch d4 Substitutions-Box (S-Box) (Idee: SubBytes/S-Box garantiert Nicht-Linearität von AES) Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 14

15 Transformation ShiftRows rotiere in j-ter Zeile jeweils j Positionen nach rechts (j=0,1,2,3) (Idee: ShiftRows garantiert zeilenweise Diffusion) Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 15

16 Transformation MixColumns für alle Spalten konstante Matrix (Idee: MixColumns garantiert spaltenweise Diffusion) Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 16

17 Transformation AddRoundKey für alle Spalten = (Idee: AddRoundKey garantiert Abhängigkeit vom Schlüssel) Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 17

18 Permutationseigenschaft AES(x, ) :{0, 1} 128 {0, 1} 128 ist für jeden Schlüssel x sogar Permutation AES 1 (x, ) :{0, 1} 128 {0, 1} 128 ist bei Kenntnis von x leicht zu berechnen (AES als Verschlüsselungsverfahren genauer: Block Cipher konzipiert) S-Boxen sind Permutationen Rotation nach links statt rechts Matrix invertierbar mit Rundenschlüssel Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 18

19 Data Encryption Standard

20 Data Encryption Standard (DES) Geschichte: Ende 70er von NIST zusammen mit IBM entwickelt erste erfolgreiche Angriffe in den 90ern theoretisch durch AES ersetzt DES war guter Kandidat für PRF mit n=64 Schlüssel zu kurz für heutige Sicherheitsniveaus auch Versionen mit längeren Schlüsseln (siehe Ende) auch DES ist mehr Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 20

21 Rundenbasierte Struktur des DES 64 Bit Eingabe IP initiale Permutation (kein Schlüssel) L j R j Rundenschlüssel K j (64 Bit) F F (K j,r j )=P (S(E(R j ) K j )) P Permutation, S S-Boxen, E Expansion L j+1 R j+1 64 Bit 16 Runden IP -1 Ausgabe L j+1 := R j R j+1 := F (K j,r j ) L j Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 21

22 Feistel-Struktur benannt nach Horst Feistel (damals IBM) L j R j K j L j R j K j F F L j+1 R j+1 L j+1 R j+1 L j+1 := R j R j+1 := F (K j,r j ) L j L j = F (K j,l j+1 ) R j+1 R j = L j+1 Ist Permutation, auch wenn F selbst keine Permutation! inverse Abbildung Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 22

23 Triple-DES Schwächen von DES kurze Schlüssel (64 Bit, davon 8 Parity-Check-Bits) sogar bessere Angriffe als Brute-Force Rettungsanker: Triple-DES (3 56=168 Bit-Schlüssel) Schlüssel = x 1 x 2 x 3 a DES DES -1 DES b 64 Bit 64 Bit Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 23

24 Pseudozufallspermutationen

25 AES, DES und Permutationen AES und DES sind pseudozufällig + Permutationen, also auch Pseudozufallspermutationen? ununterscheidbar von zufaelliger Funktion g P n mit P n := {g : g : {0, 1} n {0, 1} n ist Permutation} Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 25

26 Pseudozufallspermutation Definition. Eine effizient berechenbare Funktion f (mit f(x, {0, 1} n )={0, 1} n fuer alle x {0, 1} n )heisstpseudozufallspermutation (PRP), wenn fuer alle effizienten Algorithmen D gilt: Pr h D f(x, ) (1 n )=1 i Pr [D g (1 n )=1] 0, wobei die Wahrscheinlichkeit ueber die Zufallsbits von D und die Wahl von x {0, 1} n bzw. g P n gebildet wird. (Man kann statt P n auch die Klasse R n fuer den Vergleich zu f heranziehen, da fuer alle effizienten Algorithmen D gilt Pr [D g (1 n )=1] Pr D h (1 n )=1 0, fuer g P n bzw. h R n und die Zufallsbits von D.) Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 26

27 Starke Pseudozufallspermutation (I) Stärkeres Angreifermodell: Unterscheider erhält auch Zugriff auf Box mit inverser Funktion Waehle x {0, 1} zufaellig Waehle g P n zufaellig f 1 (x, ) f(x, ) oder g g -1 b* a* a b a b b* a* effizienter Algorithmus D Ausgabe 0 oder 1 Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 27

28 Starke Pseudozufallspermutation (II) Definition. Ein effizient berechenbare Funktion f (mit f(x, {0, 1} n )={0, 1} n fuer alle x {0, 1} n )heisststarke Pseudozufallspermutation (SPRP), wenn fuer alle effizienten Algorithmen D gilt: Pr h D f(x, ),f 1 (x, ) (1 n )=1 i Pr h D g,g 1 (1 n )=1i 0, wobei die Wahrscheinlichkeit ueber die Zufallsbits von D und die Wahl von x {0, 1} n bzw. g P n gebildet wird. Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 28

29 Feistel-Konstruktion für (S)PRPs Sei f Pseudozufallsfunktion und x 1,x 2,x 3,x 4 unabhängige Schlüssel 3-Runden Feistel: 4-Runden Feistel: f x 1 f x 1 f x 2 f x 2 f x 3 f x 3 f x 4 Luby, Rackoff: 3-Runden Feistel ist PRP 4-Runden Feistel ist SPRP Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 29

30 Ein- und Ausgabelänge

31 Ändern der Ausgabelänge f Pseudozufallsfunktion Verkleinere Ausgabelänge: (m<n Bits) F 1 (x, a) :=lsb m (f(x, a)) Verdopple Ausgabelänge: (längere Schlüssel) F 2 (x 1 x 2,a):=f(x 1,a) f(x 2,a) Verdopple Ausgabelänge: (kürzere Eingaben) F 3 (x, a ):=f(x, 0 a ) f(x, 1 a ) mit a {0, 1} n 1 Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 31

32 Ändern der Eingabelänge Eingabe: a = a 1 a 2 a k {0, 1} kn mit a i {0, 1} n, und x {0, 1} n Ausgabe: b k {0, 1} n mit b 0 =0 n, b i = f(x, b i 1 a i ) a x x x a 2 a 3 f(x, ) f(x, ) f(x, ) Ausgabe (n Bits) Wenn k fest und f Pseudozufallsfunktion, dann auch diese Konstruktion Pseudozufallsfunktion. Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 32