Zufallszahlen in der Kryptographie

Transkript

1 Uni Basel, Zufallszahlen in der Kryptographie Willi Meier

2 Inhalt Zufallszahlen One-Time-Pad Pseudozufallszahlen Stream Ciphers Angriffe auf Stream Ciphers Das estream Projekt Hash-Funktionen Das SHA-3 Projekt von NIST

3 Zufallszahlen Werden gebraucht in Computer-Simulationen Genetischen Algorithmen Kryptographie

4 One Time Pad (OTP) Chiffriersystem, entwickelt von G. Vernam, Alphabet: {0,1} Klartexte x und Chiffriertexte y: Bitstrings von beliebiger aber endlicher Länge. Klartextbit b wird mit Hilfe eines Zufallsbits z in Chiffriertextbit c transformiert: b c = b r Also, wenn b = r = 1 ist, dann ist c = = 0.

5 Verschlüsselung durch bitweise Addition mod 2 (xor) mit Zufallsbits. Da xor selbstinvers, ist Entschlüsselung dieselbe Operation: c b = c r OTP hat perfekte Sicherheit. Ein Chiffriersystem ist perfekt sicher, wenn für jeden Klartext x und Chiffriertext y die a-priori Wahrsch. p(x) gleich der bedingten (a-posteriori) Wahrsch. p(x y) ist: p ( x y ) = p ( x).

6 Aus Definition der bedingten Wahrscheinlichkeit und perfekter Sicherheit folgt: p( x y) p ( x y) = = p( x) p( y) Klartext x und Chiffriertext y sind also statistisch unabhängig bei perfekter Sicherheit.

7 Eine Bitfolge (a n ) ist eine echte Zufallsbitfolge, wenn: 1. die Werte 0 und 1 gleich wahrscheinlich sind, 2. es keine Möglichkeit gibt, aus einer beliebig langen Anfangs-Sequenz von (a n ) Information über das nächstfolgende Bit von (a n ) zu erhalten. Wenn das OTP mit einer echten Zufallsbitfolge betrieben wird, hat es perfekte Sicherheit. Beweis: X Menge aller Klartexte x, Y Menge der Chiffriertexte y, Z Menge der Schlüssel z, alle der Länge n. Im OTP haben alle diese Mengen 2 n Elemente.

8 Zu jedem Klartext x wird jeder Chiffriertext y mit derselben Wahrsch. p(y)=1/n erzeugt: y ist bitweise Addition modulo 2 von x mit echt zufälliger Bitfolge z. N verschiedene Schlüssel, also gibt es N verschiedene Chiffriertexte y zu jedem Klartext x (und alle y's haben die gleiche Wahrsch. 1/N). Also p ( y x ) = 1 N. Wenden Formel für bedingte Wahrsch. auf p(y x) an, anstatt auf p(x y): p( y x) p( x) = p( x y) p( y).

9 Setzen p(y x) = 1/N: 1 N p( x) = p( x y) 1 N, d.h. p ( x y) = p( x), was genau der perfekten Sicherheit entspricht.

10 Nachteil des OTP: Geheime Verteilung des langen Schlüssels (z.b. auf CD). Bei Wiederverwendung desselben Schlüsselstroms geht beweisbare Sicherheit verloren. Für praktische Anwendungen wird der zufällige Schlüsselstrom durch den Output eines Pseudozufallsgenerators ersetzt. Initialzustand ist kurzer echt zufälliger Bitstring K (z.b. der Länge n = 128 Bit). Anstatt des langen Schlüsselstroms muss nur dieser kurze String geheim übermittelt werden. Beweisbare Sicherheit geht dabei ebenfalls verloren.

11 Vielzahl von Möglichkeiten, um Pseudozufallszahlen zu erzeugen. Wählen lineare Schieberegister (LFSR), da in Hardware leicht implementierbar. Ein LFSR der Länge L: Besteht aus einem Bit-Vektor (x 1,,x L ). Bei jedem Schritt wird jedes Bit um eine Position nach rechts geschoben, ausser das rechteste Bit x 1, welches ausgegeben wird. Links wird eine neues Bit hineingeschoben mittels linearer Rekursion x j = (c 1 x j-1 + c 2 x j c L x j-l ) mod 2, für j grösser oder gleich L. Pseudozufallszahlen

12 Beispiel: L = 3 x 3 x 2 x 1 output x j = x j-1 + x j-3 mod 2

13 Je nach gewählter linearer Rekursion, haben LFSR s gute Eigenschaften: Sie produzieren Outputfolgen mit grosser Periodendauer (z.b. maximale Periode 2 n -1 ) Folgen haben gute statistische Eigenschaften Sie können algebraisch gut analysiert werden

14 Lineare Rekursion eines LFSR kann auch durch ihr Feedback-Polynomial beschrieben werden: Für ein LFSR der Länge n mit Koeffizienten c 0, c 1,...,c n, ist das charakteristische Polynom definiert durch f(x)=c 0 + c 1 x c n-1 x n-1 + x n f ist primitiv, falls f das Polynom x 2n teilt, aber nicht ein Polynom x e + 1 with e < 2 n 1. (Polynomiale Arithmetik über GF(2)). Wenn f primitiv ist, so hat die Output-Folge des LFSR's maximale Periodendauer 2 n - 1.

15 Nachteil der LFSR's: Bei bekanntem Output kann Initialzustand schnell gefunden werden: Auflösen eines linearen Gleichungsystems (sogar bei unbekannter Rekursion). Methode zur Zerstörung der Linearität: Nichtlineare Filterfunktion mit einigen LFSR-Zuständen als Inputs Stream Ciphers

16 Stream Ciphers

17 Anwendungen: Mobiltelefone RFID's Bekannte Stream Ciphers: RC4, im Netscape Secure Socket Layer (SSL) Protokoll, aber auch im ebanking. A5, im Global System for Mobile Communication (GSM). Bluetooth Stream Cipher, Standard for wireless shortrange connectivity.

18 Nicht linearer Filtergenerator: Erzeugt Schlüsselbits b 0, b 1, b 2,..., mit nicht linearer Funktion f auf Zuständen eines LFSR. non-linear filter b 0, b 1, b 2,... linear feedback state

19 Beispiel eines Generators, der 3 LFSR's kombiniert: Geffe Generator (nur noch von historischer Bedeutung). 3 LFSR s X, Y, Z, mit Outputs x t, y t, z t. Output b t des Generators bestimmt durch: If y t = 1 b t = x t else b t = z t Kombinier-Funktion: b = f(x,y,z) = x t * y t +(y t +1) * z t.

20 Analyse-Methoden Annahme: Man kennt Teile des Klartextes, oder der Klartext hat Redundanz (er ist z.b. in ASCII - Code). Bei Stream Cipher: Bekannter Klartext ist äquivalent zu bekanntem Output, also Schlüsselstrom. Bei einer Attacke geht es entweder darum, den geheimen Schlüssel (Initialzustand) zu finden, oder einen sog. Distinguisher zu entwickeln. Ein Distinguisher erlaubt, den Output des Ciphers vom Output einer echt zufälligen Bitfolge zu unterscheiden.

21 Rechenaufwand zur Bestimmung von K aus bekanntem Outputstring sollte nahe bei 2 n liegen. Die meisten Pseudozufallszahlgeneratoren für Computersimulationen würden eine so hohe Anforderung nicht erfüllen. "Praktische Sicherheit": Bisher hat niemand eine effiziente Attacke auf diesen Cipher gefunden. Viele Stream Ciphers sind in der Vergangenheit gebrochen worden.

22 Beispiel: Combiner Korrelations-Attacke Die Outputs a m von s LFSR s werden als Input einer Booleschen Funktion f benutzt um den Schlüsselstrom zu produzieren, f(a 1m,...,a sm ) = b m Korrelation: Prob(b m = a im ) = p, p 0. 5 Beispiel: s = 3 p = 0.75 f(x 1, x 2, x 3 ) = x 1 x 2 + x 1 x 3 + x 2 x 3

23 Statistisches Modell: BAS LFSR a m z m b m BAS: Binäre asymmetrische Quelle, Prob(z m = 0) = p > 0.5

24 Problem: Gegeben N Bits von b (und die Struktur des LFSRs, der Länge n) Finde korrekte Outputfolge a des LFSRs. Bekannte Lösung: Mit vollständiger Suche über alle Initialzustände des LFSRs finde man a sodass T = # { j b = a,1 j N j j } maximal wird. Komplexität: O(2 n ) Machbar für n bis etwa 50. Schnellere Methode mit sog. Fast Correlation Attacks.

25 Algebraische Attacken Typ von Gleichungen: System von multivariaten polynomialen Gleichungen modulo 2. x1 + x0x1 + x0x = 1 x1x2 + x0x3 + x = 0...

26 Das Brechen eines guten Ciphers sollte bedeuten:... as much work as solving a system of simultaneous equations in a large number of unknowns of a complex type [Shannon, 1949] Allgemeine Erfahrung: Grosse nicht lineare Gleichungssysteme werden unlösbar mit wachsender Zahl von Unbekannten.

27 Aber: Systeme, die überdefiniert sind, also mehr Gleichungen als Unbekannte haben, sind leichter zu lösen. Direkter Weg: Gleichungen in Zustandsbits k 0,...,k n-1 für Filtergenerator f f f ( k 0,..., k n 1 ) ( L ( k 0,..., k 2 ( L ( k,..., k 0 n n 1 )) )) = = =... b b b L( ): Lineare Rekursion.

28 Löse dieses Gleichungssystem. Stark überdefiniert, für genügend viel bekannten Schlüsselstrom, z.b., 20 Kbytes. Einfache Methode: Annahme: f ist von niedrigem Grad d. Dann kann der n Initialzustand aus K = Schlüsselbits mit Aufwand d gewonnen werden. K 3 Linearisierung: Eine neue Variable für jedes Monom. Es gibt n ca. K = Monome. Löse ein lineares System. d

29 Verbesserung Was ist, wenn der Grad d zu gross ist? Beispiel: Toyocrypt Stream Cipher (seinerzeit beim Projekt Cryptrec der Japanischen Regierung eingereicht). Filter-Generator mit einem LFSR der Länge n=128, Outputfunktion vom Grad d = 63. Diese Output-Funktion erfüllt alle vorher bekannten Design- Kriterien. Kann man den Grad der Gleichungen reduzieren?

30 Schwäche von Toyocrypt Output-Funktion f(s 0,..., s 127 ) ist vom Grad d = 63, aber: Ist Summe von nur linearen and quadratischen Termen, plus einzelne Monome, vom Grad 4, 17, und 63. Teile vom Grad 4, 17 and 63 sind alle teilbar durch einen gemeinsamen Faktor s 23 s 42. Sei f(s) = 1. Dann gilt f(s)(s ) = s Höhere Terme löschen sich aus, d.h., wir erhalten eine Gleichung vom Grad d = 3!

31 Neuer Typus einer Attacke Durch Multiplizieren der Gleichungen mit einem gut gewählten Polynom wird der Grad von d = 63 auf d = 3 reduziert. Toyocrypt kann innerhalb von 2 49 CPU Zyklen (einige Tage auf einem PC) gebrochen werden, falls etwa 2 18 Schlüsselstrom-Bits bekannt sind. Attacke wurde experimentell verifiziert (gemeinsam mit N. Courtois).

32 Szenarien Grad der Output-Funktion f gross, f=g*h f*g=0, Grad von g klein f*g=h, Grad von g und h klein Wenn Output-Bit b i =1, nehme g(s)=0, ansonsten nehme die Gleichung h(s)=0

33 Prinzip der algebraischen Attacke Anstatt f(s) = b t mit s = L t (K), K = Initialzustand (Schlüssel): Löse die Gleichungen mit gut gewählter Funktion g. f(s) * g(s) = b t * g(s) Frage: Existieren gute Funktionen g?

34 Unter gewissen Bedingungen existieren solche Funktionen g immer. Satz (Niedrig-dimensionale Gleichungen) Sei f eine Boolesche Funktion in k Variablen. Dann gibt es eine nichttriviale Boolesche Funktion g vom Grad höchstens k/2 sodass f(x) * g(x) vom Grad höchstens k/2 ist. (Nehme k/2 aufgerundet, wenn k ungerade ist) Dieses Resultat wurde u.a. motiviert durch algebraische Kryptanalyse des AES Block Ciphers.

35 Folgerungen Man kann jeden Stream Cipher mit linearer Rückkoppelung und Boolescher Output- Funktion mit einer kleinen Zahl k von Zustandsbits als Input brechen, und zwar mit 3 Polynomialer Komplexität n, falls k als kleine Konstante k / 2 betrachtet wird. Schon bekannt: Durch Linearisierung kann ein solcher Cipher 3 n gebrochen werden in k Komplexität der neuen generischen Attacke nur ca. die Quadratwurzel der bekannten Attacke.

36 Das estream Projekt estream ist ein Projekt mit dem Ziel: "to identify new stream ciphers that might become suitable for widespread adoption". Organisiert durch das EU ECRYPT Netzwerk. Initiiert aufgrund eines Misserfolgs des Vorgängerprojektes NESSIE (alle eingereichten Kandidaten ungeeignet). Call for Primitives 2004 Projektende 2008 Verschiedene Projektphasen

37 Zwei Kandidatenprofile für estream: Profil 1: Stream Ciphers für Software-Anwendungen wo hoher Durchsatz erforderlich ist (schneller als Block Cipher AES in Counter Mode). Profil 2: Stream Ciphers für Hardware-Anwendungen bei beschränkten Ressourcen, z.b. wenig Speicher, kleine Hardware oder geringer Stromverbrauch. Unterkategorien: Stream Ciphers mit kombinierter Chiffrierung und Authentisierung. Reaktion auf Aufruf: 34 Vorschläge eingereicht!

38 Phase 1: Analyse aller Vorschläge im Hinblick einer ersten Auswahl von Kandidaten, die Erfolg versprechend erscheinen. Workshop State of the Art of Stream Ciphers, SASC'2006, Leuven. Kriterien: Sicherheit, Effizienz, Einfacheit des Designs. Phase 2: Beginn August 2006 Auswahl einer Liste von Fokus 2 Kandidaten. Solche Kandidaten zeichnen sich durch originelles Design und Effizienz aus. SASC'2007, Bochum

39 Phase 3: Beginn April 2007 Auswahl von 8 Kandidaten in Profil 1 8 Kandidaten in Profil2 Kein Kandidat mehr mit Authentisierung. Februar 2008: SASC'2008, Lausanne Projektende: Mai Finalisten in Profil 1 3 Finalisten in Profil 2

40 Konstruktionsprinzipien Allgemeine Form eines (dedizierten) Stream Ciphers: Zustand mit Update-Funktion, und Output- oder Filterfunktion, definiert auf dem Zustand Update des Zustandes linear oder nicht linear Output-Funktion zumeist nicht linear

41 Stream Cipher

42 Erweiterungen Für Software-Anwendungen: Wort-orientierte anstatt bitorientierte Register, z.b. bei 32-Bitwörtern. Wegen algebraischen Attacken benutzen einige estream Kandidaten kein LFSR, sondern eine nicht lineare Update-Funktion. Andere Kandidaten orientieren sich nicht am Filtergenerator sondern am Design von Block Ciphers.

43 Eigenes Design (gem. mit Uni Lund): Grain 3 wesentliche Komponenten: 80 Bit LFSR, 80 Bit NFSR, nicht lineares Filter h. Input in NFSR maskiert mit einem LFSR Bit. Output Bit maskiert mit xor von 7 NFSR Bits. Grain ist unter den drei Finalisten in Profil 2.

44 Hash-Funktionen

45 Wo werden Hash-Funktionen eingesetzt? 1. Digitale Signaturen 2. Integritätsprüfung von Daten 3. Schutz von Passwörtern 4. Pseudozufallsgeneratoren 5...

46 Prinzip Dokument von bel. Länge Hash-Funktion Hashwert feste Länge

47 Hash-Funktionen bilden eine digitale Meldung beliebiger Länge in einen Bitstring fester Länge ab: H: Meldung Hashwert Typische Hash-Funktionen haben einen Hashwert der Länge 160 Bits, 256 Bits oder 512 Bits. Wichtig: Eine kleine Änderung in der Meldung sollte eine grosse Änderung im Hashwert bewirken. Beispiel: MD5 H("Hello") = 09f7e02f1290be211da707a266f153b3 H("Hallo") = 3290ec3c19a8a39362f7d70043f15627

48 Beispiel: UBS Zertifikat

49 Sicherheitsanforderung Es soll unmöglich sein, ein Urbild zu finden: Hashwert Inversion Dokument Viele Urbilder

50 Sicherheit von Passwörtern Login mit User ID und Passwort Computer speichert Fingerabdruck des Passwortes, und prüft, ob eingegebenes Passwort richtigen Fingerprint hat. Fremder Benutzer hat keinen Zugang zum Computer. Wenn Urbilder gefunden werden können, ist Passwort unsicher!

51 Sicherheitsanforderung Es soll unmöglich sein, eine Kollision zu finden: Dokument Hash-Funktion Hashwert =

52 Digitale Unterschrift Handgeschriebene Unterschrift Digitale Unterschrift Bei digitalen Signaturen wird nicht das Dokument signiert, sondern sein Fingerabdruck (aus Effizienzgründen). Falls zu einem gegebenen Dokument ein anderes mit dem gleichen Fingerabdruck gefunden werden kann, ist Fälschung der Signatur möglich. Beispiel einer kritischen Kollision: H("Ich überweise an XY 100 CHF") = H("Ich überweise an XY CHF")

53 Was bedeutet Kollisionsresistenz: Modell: Inputs einer Hash-Funktion: Bälle Outputs einer Hash-Funktion: Menge von Löchern Hash-Funktion wirft Bälle in die Löcher Wenn es mehr Bälle als Löcher gibt, fallen in mindestens ein Loch zwei Bälle.

54 Geburtstagsparadox N Löcher Bei mehr als N Bällen: Mit Wahrscheinlichkeit grösser als ½ fallen zwei Bälle ins selbe Loch. Eine Hash-Funktion mit n binären N Outputs heisst kollisionsresistent, falls der Aufwand, eine Kollision zu finden, nicht kleiner ist als etwa 2 n/2 Berechnungen der Hash-Funktion. Eine Hash-Funktion ist gebrochen, wenn es einen Algorithmus gibt, der Kollisionen mit wesentlich kleinerem Aufwand findet.

55 Aktueller Status der Hash-Funktionen NIST Standards und MD5 (faktisch in weltweitem Gebrauch): MD5, SHA-1 gebrochen (Wang 2005). SHA-2 nicht gebrochen, aber alle Hash-Funktionen auf demselben Design-Prinzip beruhend. Unklare Sicherheitsprinzipien.

56 Reaktion: Das Projekt SHA-3 von NIST Internationaler Wettbewerb NIST SHA-3 für neue Hash- Funktionen ( ).

57 64 Designs eingereicht. 51 Kandidaten in erster Runde durch NIST akzeptiert : NIST bestimmt 14 Kandidaten für zweite Runde.

58 Hash-Funktion BLAKE Eigener Vorschlag einer SHA-3 Hash-Funktion, gem. mit ETHZ und Uni Loughborough. Ist Kandidat in der zweiten Runde. Software-orientiert. Basiert auf neuer Design-Architektur, verschieden von MD5 oder SHA. Benutzt als Operationen ausschliesslich Mix aus Integer- Addition, XOR, und zirkuläre Rotation von 32-Bit, resp. 64-Bitwörtern. Vorschlag wird intensiv auf Kollisionsresistenz analysiert. Eigene Analyse von anderen Design-Vorschlägen.

59 Ausblick Welche der 14 Kandidaten werden als Finalisten erkoren (per Zufall)?