Stefan Lucks Krypto und Mediensicherheit (2009) 4: Stromchiffren

Transkript

1 4: Stromchiffren Zwei Grundbausteine der symmetrischen Kryptographie: Stromchiffren Verschlüsseln beliebig langer Klartexte, interner Zustand Blockchiffren Verschlüsseln von Blocks einer festen Größe, zustandslos In der Praxis: Betriebsarten für Blockchiffren erlauben das Verschlüsseln beliebig langer Klartexte Stromchiffren eher für ressourcenbeschränkte Einsatzgebiete, z.b. Mobilkommunikation 43

2 In diesem Kapitel: Was sind Stromchiffren? Praktische Bausteine (LFSRs). Präsentation einer speziellen Stromchiffre (des A5 aus dem GSM Mobilfunknetz). Erklärung eines Angriffs auf den A5! Etwas Theorie. 44

3 Synchrone Stromchiffre Schlüssel f Zustand g Klartext Chiffretext 45

4 Synchrone Stromchiffre (2) Synchronisation zwischen Sender und Empfänger muss gewährleistet sein. ( ggf. zusätzl. Maßnahmen) Es gibt auch andere selbstsynchronisierende Stromchiffren, die wir in der Vorlesung aber nicht weiter behandeln. Änderung eines Chiffretext-Blocks Änderung eines Klartext-Blocks. ( kein Schutz der Authentitzität) 46

5 Katastrophaler Fehler bei Synchronen Stromchiffren: Mehrfache Verwendung eines Startzustandes. Genauso schlimm (und dumm) wie bei der Vernam-Chiffre. Diesen Fehler trifft man in der Praxis erstaunlich oft an!!! Beispiel: Christiane Rütten, Verschusselt statt verschlüsselt , 11:

6 Synchrone Stromchiffre (3) Häufigster Spezialfall: Binäre additive Flußchiffre. Pseudozufälliger Bitstrom, erzeugt mit Hilfe eines Pseudozufallsbitgenerators (PZBG): Schlüssel PZBG Klartext Chiffretext Der mit dem PZBG erzeugte Schlüsselstrom wird zum Verschlüsseln bit-weise zum Klartext addiert, zum Entschlüsseln bit-weise vom Chiffretext subtrahiert. (In beiden Fällen die gleiche Operation: XOR.) 48

7 Abstrakte PZBGs Schlüssel Klartext PZG Schlüsselstrom Chiffretext Ein PZBG ist kryptographisch sicher, wenn man den Schlüsselstrom ohne Kenntnis des Schlüssels nicht von einem zufälligen Bit-Strom ( Würfe mit einer fairen Münze ) unterscheiden kann. 49

8 4.1: Schieberegister Einfaches SR: Funktion SR mit Rückkopplung: 4.1: Schieberegister 50

9 LFSR Ist die Rückkopplungsfunktion linear, dann sprechen wir von einem linearen rückgekoppelten Schieberegister oder einem linearen Feedback-Shiftregister (LFSR). Beispiel: 4.1: Schieberegister 51

10 Eigenschaften von LFSR: Lokale Zufälligkeit Effizient, insbesondere in Hardware Große Periode (n-bit Register: maximal 2 n 1) (Warum nicht größer?) Lösbar durch lineare Gleichungen 4.1: Schieberegister 52

11 Allgemeine LFSR x3 x2 x 1 x 0 a3 a2 a1 a0 4.1: Schieberegister 53

12 Allgemeine LFSR (2) PZBG g : {0, 1} n {0, 1} n+1, definiert durch g(x n 1,..., x 0 ) = (x 0, f an 1,...a 0 (x n 1,..., x 0 ), x n 1,..., x 1 ) mit der Feedback-Funktion f an 1,...a 0 (x n 1,..., x 0 ) = a i x i 0 i<n 4.1: Schieberegister 54

13 Allgemeine LFSR (3) Die Theorie der LFSR ist mathematisch gut verstanden. Es ist nicht schwierig, das Feedback-Polynom so zu wählen, daß ein maximales LFSR vorliegt. Umgekehrt sind known plaintext Angriffe auf LFSR sogar dann einfach, wenn das Feedback-Polynom unbekannt, also Teil des Schlüssels, ist (was i.d.r. nicht der Fall ist). Beispiel: n = 4, Bitfolge LFSR sind... linear. ( Welche Überraschung! ) Ein LFSR bildet einen sehr schlechten PZBG! Aber: LFSR werden gerne als Bausteine für PZBGs genutzt, in Verbindung mit nichtlinearen Bausteinen. 4.1: Schieberegister 55

14 4.2: A5-PZBG im GSM Mobilfunknetz Das GSM Sicherheitsprotokoll Ki Nutzerkennung Zufallszahl RAND SRES := A3(Ki,RAND) SRES =? A3(Ki,RAND) Ki Kc := A8(Ki,RAND) Kc := A8(Ki,RAND) Verschlüsselte Sprachdaten A5(Kc) 4.2: A5-PZBG im GSM Mobilfunknetz 56

15 Der A5-PZBG Takt kontrolle LFSR1 LFSR2 LFSR3 Takt LSFR1: 19 bit, LFSR2: 22 bit, LFSR3: 23 bit, gesamt: 64 bit 4.2: A5-PZBG im GSM Mobilfunknetz 57

16 Der A5-PZBG (2) Die Feedback-Polynome der drei LFSR sind bekannt. Die mittleren Bits m 1, m 2 und m 3 der LFSR dienen als Input für die Taktkontrollfunktion t : {0, 1} 3 {0, 1} 3. Deren Verhalten hängt von der Summe s = m 1 + m 2 + m 3 (nicht mod 2) ab: { (m1, m t(m 1, m 2, m 3 ) = 2, m 3 ) falls s 2 (m 1, m 2, m 3 ) sonst. Also werden immer mindestens 2, manchmal alle drei LFSR getaktet im Durchschnitt werden Register getaktet. 4.2: A5-PZBG im GSM Mobilfunknetz 58

17 Der A5 PZBG (Beobachtungen) Jedes Register wird im Durchschnitt etwa 3/4-mal pro Ausgabebit getaktet. Es gibt schwache Schlüssel, bei denen mindestens eines der LFSR konstant Null ist. Der Anteil der schwachen Schlüssel ist > Die Zykluslänge ist unbekannt. Experimente deuten darauf hin, dass sie im Durchschnitt etwa 2 23 beträgt. 4.2: A5-PZBG im GSM Mobilfunknetz 59

18 Der A5 PZBG (Arbeitsweise) Einsatz des A5 zur Verschlüsselung digitalisierter (Sprach-)Daten. GSM sendet in kurzen Abständen Datenblöcke ( Frames ). Ein Frame enthält bis zu 228 Datenbits (114 für jede Kommunikationsrichtung bei full duplex Arbeitsweise). Zu jedem Frame gehört eine (öffentlich bekannte) Frame-Nummer (22 bit). 4.2: A5-PZBG im GSM Mobilfunknetz 60

19 Der A5 PZBG (Arbeitsweise 2) Resynchronisation vor jedem Frame: Setze A5 auf Initialzustand (=Schlüssel) Generiere aus Initialzustand und Frame-Nummer den Startzustand für den Frame. Vermutlich Schlüsselwechsel bevor Frame-Nummern sich wiederholen. (Darauf wird in der mir bekannten Literatur nicht eingegangen. Es dauert einige Stunden, bis nach 2 22 Frames ein Schlüsselwechsel nötig wird.) 4.2: A5-PZBG im GSM Mobilfunknetz 61

20 Ein Angriff auf den A5 PZBG Known Plaintext Angriff: Gegeben: 64 bit b 0, b 1,..., b 63 des Schlüsselstroms. Gesucht: Startzustand der LFSRs: x 18,... x 0 (LFSR1), y 21,... u 0 (LFSR2) z 22,... z 0 (LFSR3). ( Tafel) 4.2: A5-PZBG im GSM Mobilfunknetz 62

21 Folgerungen für die Sicherheit des A5 PZBG Von einer guten Chiffre mit einem 64 bit Schlüssel würde man erwarten, daß ein Angriff im Durchschnitt etwa 2 63 Schritte erfordert, wie bei einem Brute-Force Angriff. Der A5 Schlüsselstromgenerator ist in diesem Sinne kein guter Algorithmus. Das Abhören der (mit dem A5 Algorithmus verschlüsselten) Luftschnittstelle im GSM Mobilfunknetz ist mit dem in dieser Vorlesung geschilderten Angriff zwar nicht trivial, aber möglich. Weitere verbesserte Angriffe machen das Abhören der Luftschnittstelle sogar sehr einfach. 4.2: A5-PZBG im GSM Mobilfunknetz 63

22 4.3: Theorie: Die Sicherheit eines PZBGs als Stromchiffre Satz 3 PZBG kryptographisch sicher Binäre additive Stromchiffre sicher. Beweis-Idee: Wenn die Schlüsselstrom-Bits echt zufällig sind, ist die Chiffre sicher ( Vernam-Chiffre). Kann man die Chiffre knacken, dann hat man auch ein Kriterium, den Schlüsselstrom von einem Strom echt zufälliger Bits zu unterscheiden. 4.3: Theorie: Die Sicherheit eines PZBGs als Stromchiffre 64

23 Was heisst hier sicher? Ein Kryptosystem gilt als sicher gegen eine bestimmte Klasse von Angriffen, wenn es keine effizienten Algorithmen gibt, die bei einem derartigen Angriff mit signifikanter Wahrscheinlichkeit erfolgreich sind. Die Begriffe effizient und signifikante Wahrscheinlichkeit lassen sich grundsätzlich mit konkreten Vorstellungen identifizieren ( MIPS-Jahre, Wahrscheinlichkeit kleiner als ). Die Begriffe haben aber auch eine streng formale Definition in der Komplexitätstheorie. ( Tafel) 4.3: Theorie: Die Sicherheit eines PZBGs als Stromchiffre 65

24 PZBG (Definition) Ein Pseudozufallsbitgenerator (PZBG) ist eine Familie von effizient berechenbaren Funktionen mit l(k) k. f k : {0, 1} k {0, 1} l(k) Intention: Nimm einen kurzen k-bit Schlüssel als Input für f, um einen langen l(k)-bit Schlüsselstrom zu erzeugen. In der Regel ist l(k) k. 4.3: Theorie: Die Sicherheit eines PZBGs als Stromchiffre 66

25 PZBG (Angreifer) Ein Angreifer auf einen PZBG ist ein effizienter Algorithmus, der einen l(k)-bit Schlüsselstrom als Eingabe hat und ein Bit ausgibt. Sei x 0 {0, 1} l(k) ein mit dem PZBG unter einem zufälligen Schlüssel erzeugter Schlüsselstrom, x 1 {0, 1} l(k) sei das Ergebnis von l(k) unabhängigen Würfen mit einer fairen Münze. Der Vorteil eines Angreifers (auf einen PZBG) ist Pr[A gibt 0 aus x 0] Pr[A gibt 0 aus x 1 ]. 4.3: Theorie: Die Sicherheit eines PZBGs als Stromchiffre 67

26 PZBG (Definition der Sicherheit) Ein PZBG ist sicher, wenn es keinen effizienten Angreifer gibt, der einen signifikanten Vorteil erreicht. Intention: Der Vorteil gibt an, ob man zwischen einem pseudozufälligen und einem zufälligen Schlüsselstrom unterscheiden kann. Bei einem sicheren PZBG soll dies eben praktisch unmöglich sein. 4.3: Theorie: Die Sicherheit eines PZBGs als Stromchiffre 68

27 PZBGs aus PZBGs Sei λ 0. Wir definieren eine Familie {f λ k } k IN von Funktionen f λ k : {0, 1} k {0, 1} k+λ, mit Hilfe einer Familie {f k } k IN von Funktionen f k : {0, 1} k {0, 1} k : Theorie: Die Sicherheit eines PZBGs als Stromchiffre 69

28 PZBGs aus PZBGs (2) Algorithmus zur Berechnung von f λ k : Eingabe: (x 1,..., x k ) {0, 1} k und λ 0. Ausgabe: (z 1,..., z k+λ ) {0, 1} k. Für i := 1 bis λ: Berechne (z i, x 1,..., x k ) := f k (x 1,..., x k ). Setze (z λ+1,..., z λ+k ) := (x 1,..., x k ). 4.3: Theorie: Die Sicherheit eines PZBGs als Stromchiffre 70

29 Das Ein-Bit-ist-genug Theorem Satz 4 (Ein-Bit-ist-genug) Sei λ = λ(k) 0 durch ein Polynom in k beschränkt. Dann gilt: Beweis: ( Tafel) a) Wenn {f k } k IN effizient berechenbar ist, dann ist auch {fk λ} k IN effizient berechenbar. b) Wenn {f k } k IN sicher ist, dann ist auch {fk λ} k IN sicher. 4.3: Theorie: Die Sicherheit eines PZBGs als Stromchiffre 71