CRIPTOGRAFIA E SEGURANÇA DE REDES

Transcrição

1 Universidade Federal do Piauí Departamento de Informática e Estatística Curso de Ciência da Computação CRIPTOGRAFIA E SEGURANÇA DE REDES Carlos André Batista de Carvalho Capítulo 03 - Cifras de Bloco e o Data Encryption Standard

2 Cifras de Bloco e o Data Encryption Standard o Sumário Princípios de cifra de bloco Data Encryption Standard A força do DES Criptoanálise Criptoanálise diferencial e linear Princípios de projeto de cifras de blocos CRIPTOGRAFIA E SEGURANÇA DE REDES 03 - Cifras de Bloco e o DES

3 Cifras de Bloco o Definição o Conversão (mapeamento) de um texto em claro (bloco) de n bits em um criptograma de mesmo tamanho Função de decifragem é a inversa da função de cifragem Mapeamento inverso Cifras de blocos possui comportamento semelhante as cifras de substituição Substituição de blocos com n bits A análise de frequência é inviável o Tipo de algoritmos criptográficos mais utilizado o Apresentar os princípios de uma cifra de bloco baseado no DES o Cifra de bloco ideal Tabelas de cifragem/decifragem Chave 2 n elementos CRIPTOGRAFIA E SEGURANÇA DE REDES 03 - Cifras de Bloco e o DES

4 Princípios de Cifras de Bloco o Cifra de bloco ideal CRIPTOGRAFIA E SEGURANÇA DE REDES 03 - Cifras de Bloco e o DES

5 Princípios de Cifras de Bloco o Cifra de bloco ideal CRIPTOGRAFIA E SEGURANÇA DE REDES 03 - Cifras de Bloco e o DES

6 Princípios de Cifras de Bloco o Cifra de bloco ideal Inviável o Outra possibilidade Sistemas de equações lineares Bastante vulnerável o Solução Projeto de cifras produto Algoritmo composto pela execução de duas ou mais cifras mais simples Maior segurança A proposta de Claude Shannon (1949) Prover confusão e difusão da mensagem e da chave Funções de substituições e permutações Base das cifras de blocos modernas CRIPTOGRAFIA E SEGURANÇA DE REDES 03 - Cifras de Bloco e o DES

7 Princípios de Cifras de Bloco o Um algoritmo criptográfico precisa eliminar as propriedades estatísticas da mensagem original Evita a dedução da chave, parte da chave ou um conjunto de chaves prováveis As estatísticas do criptograma independe da chave utilizada Criptograma aleatório Mistura da chave e texto em claro De modo que não seja identificada nenhuma correlação da saída com a entrada A alteração de um bit da chave/mensagem afeta o criptograma (bloco) como um todo CRIPTOGRAFIA E SEGURANÇA DE REDES 03 - Cifras de Bloco e o DES

8 Princípios de Cifras de Bloco o Difusão Dissipa a estatística do texto em claro em todo criptograma Efeito obtido com alguma permutação seguida da aplicação de uma função o Confusão Execução em várias rodadas Torna o relacionamento entre a chave e o criptograma o mais complexo possível Efeito obtido com uma função de substituição complexa O uso de uma função linear implica em pouca confusão CRIPTOGRAFIA E SEGURANÇA DE REDES 03 - Cifras de Bloco e o DES

9 Data Encryption Standard o Estrutura de Feistel Elementos de um algoritmo criptográfico Tamanho do bloco Tamanho da chave Número de rodadas Algoritmo de geração de sub-chaves Função da rodada Substituição e permutação Desempenho da cifra Facilidade de análise da cifra CRIPTOGRAFIA E SEGURANÇA DE REDES 03 - Cifras de Bloco e o DES

10 Data Encryption Standard o Primeiro padrão de criptografia Aprovado em 1976 pelo NBS (National Bureau of Standards) Atual NIST (National Institute of Standards and Technology) FIPS 46 Padrão mundial por mais de 20 anos Resistindo às mais diversas formas de criptoanálise Teve de ser subsitituído devido ao tamanho da chave (56 bits) Blocos de 64 bits Baseado no Lucifer (IBM) Desenvolvido por Horst Feistel (alemão) Estrutura de Feistel Bloco de 64 bits e chave de 128 bits Projeto concluído em 1971 e submetido para apreciação do NBS em 1973 O algoritmo foi revisado e aprovado como DES Criptografia Moderna 10/43

11 Data Encryption Standard o A segurança do DES foi muito questionada Intervenção da NSA (Agência de Segurança Nacional) Tamanho da chave de 128 para 56 bits Força bruta: mais de 1000 anos 1998: Força bruta em 3 dias Electronic Frontier Foundation (EFF) Usando uma máquina de 250 mil dólares Alteração da estrutura interna das tabelas de subsituição (caixas-s) Detalhes do projeto eram confidenciais Análises subsequentes indicam um projeto apropriado As vulnerabilidades foram removidas Em 1999 o NIST publica o FIPS 46-3 Recomenda o uso do 3DES Uso do DES para aplicações legadas Criptografia Moderna 11/43

12 Data Encryption Standard o Algoritmo Permutação inicial Divisão em L 0 e R 0 16 rodadas da Estrutura de Feistel L i = R i-1 R i = L i-1 f(r i-1, K i ) f(r i-1, k i ) = P(S(E(R i-1 ) k i )) E(X): função de expansão (entrada: 32 bits, saída: 48 bits) S(X): função de substituição (8 caixas-s) caixa-s: entrada de 6 bits e saída de 4 bits P(X): função de permutação (32 bits) Gerador de 16 sub-chaves k i de 48 bits Concatenação: R 16 L 16 Permutação inicial inversa o E a DECIFRAGEM? Criptografia Moderna 12/43

13 Data Encryption Standard Criptografia Moderna 13/43

14 Data Encryption Standard o Permutação inicial Reordena os bits de entrada Bits pares na metade da esquerda Bits ímpares na metade da direita Exemplo IP(675a6967 5e5a6b5a) = (ffb2194d 004df6fb) Criptografia Moderna 14/43

15 Data Encryption Standard o Permutação inicial inversa o As tabelas de permutação podem ser facilmente criadas Possuem uma estrutura regular Criptografia Moderna 15/43

16 Data Encryption Standard o Estrutura de uma rodada do DES Criptografia Moderna 16/43

17 Data Encryption Standard o Função f Criptografia Moderna 17/43

18 Data Encryption Standard o Função de expansão Criptografia Moderna 18/43

19 Data Encryption Standard o Função de substituição Compostas por 8 Caixas-S Cada Caixa-S Mapeia 6 bits em 4 bits Tabela com 4 linhas e 16 colunas A linha é determinada pelos bits externos (1 e 6) A coluna é determinada pelos bits internos (2 a 5) Cada linha define uma função reversível O resultado depende dos dados e da chave Criptografia Moderna 19/43

20 Data Encryption Standard o Função de substituição Criptografia Moderna 20/43

21 Data Encryption Standard o Função de substituição Criptografia Moderna 21/43

22 Data Encryption Standard o Função de permutação Fundamental para que a saída de uma caixas-s afete a entrada de outras Caixas-S na rodada seguinte Criptografia Moderna 22/43

23 Data Encryption Standard o Efeito avalanche Obtido com várias rodadas da função f Propriedade desejável em qualquer cifra de bloco A alteração de um bit da mensagem/chave deve alterar aproximadamente metade dos bits de saída Dificulta a tentativa de adivinhar a chave Criptografia Moderna 23/43

24 Data Encryption Standard o Efeito avalanche Criptografia Moderna 24/43

25 Data Encryption Standard o Geração das sub-chaves Uma chave do DES normalmente é representada com 64 bits (8 caracteres) O último bit de cada byte é ignorado (ou bit de paridade) Permutação inicial da chave (56 bits) Gera duas metades de 28 bits Criptografia Moderna 25/43

26 Data Encryption Standard o Geração das sub-chaves 16 rodadas Descolamento circular à esquerda de cada metade Seleção permutada de 24 bits de cada metade para compor a chave da rodada Criptografia Moderna 26/43

27 Data Encryption Standard o Exemplo Mensagem: 02468aceeca86420 Chave: 0f1571c947d9e859 Criptografia Moderna 27/43

28 A Força do DES o Criptoanálise Força bruta 2 56 chaves diferentes Média: 2 55 Realizada atualmente com tempo/custo relativamente baixos Ataques analíticos Baseado em características do algoritmo Determinar (alguns/todos) bits da chave a partir de um conjunto de criptogramas cifrados com a mesma chave Ataques de temporização Os tempos de cifragem/decifragem para entradas diferentes são ligeiramente diferentes A observação dessa variação pode ajudar na determinação de bits da chave O DES tem se mostrado resistente a esse tipo de ataque Criptografia Moderna 28/43

29 Criptoanálise o Objetivo Recuperar a chave sem o conhecimento da mesma o Abordagens Ataque por força bruta Testar todas as chaves até obter uma tradução inteligível Dificuldades: texto em claro compactado/executável Ataque por criptoanálise Explora a natureza do algoritmo e conhecimento de características do texto em claro o Se o ataque for bem sucedido a chave/algoritmo fica comprometido CRIPTOGRAFIA E SEGURANÇA DE REDES 02 - Técnicas Clássicas de Criptografia

30 Criptoanálise o O projeto de algoritmos criptográficos Lembrar que os recursos computacionais são limitados Cifragem/decifragem eficiente Computacionalmente seguro o Critérios que indicam algoritmos computacionalmente seguros Custo para quebrar a cifra superior ao valor da informação Tempo exigido para quebrar a cifra superior ao tempo de vida útil da informação o O que é considerado seguro hoje pode não ser amanhã CRIPTOGRAFIA E SEGURANÇA DE REDES 02 - Técnicas Clássicas de Criptografia

31 Criptoanálise o Ataque por força bruta É o ataque mais básico Limite superior de segurança de um algoritmo Esforço proporcional ao tamanho da chave Em média, são testadas metade de todas as chaves possíveis É necessário ainda o reconhecimento do texto em claro Texto inteligível CRIPTOGRAFIA E SEGURANÇA DE REDES 02 - Técnicas Clássicas de Criptografia

32 Criptoanálise o Ataques por criptoanálise Projetados para explorar padrões dos textos em claro que podem ser propagados nos criptogramas Exemplos: Cifras clássicas Análise de frequência Método Kasiski Índice de Coincidência Cifras de blocos Criptoanálise diferencial Criptoanálise linear Cifras assimétricas Propriedades matemáticas RSA: Fatoração de números primos gigantes CRIPTOGRAFIA E SEGURANÇA DE REDES 02 - Técnicas Clássicas de Criptografia

33 Criptoanálise o Tipos de ataques por criptoanálise Baseados na informações conhecidas pelo criptoanalista CRIPTOGRAFIA E SEGURANÇA DE REDES 02 - Técnicas Clássicas de Criptografia

34 Criptoanálise o Segurança incondicional Quando o criptograma gerado não contém informações suficientes para determinar exclusivamente o texto em claro correspondente Decodificação impossível: One-Time Pad (chave de uso único) O criptograma pode representar vários textos em claro legíveis diferentes CRIPTOGRAFIA E SEGURANÇA DE REDES 02 - Técnicas Clássicas de Criptografia

35 Criptoanálise o One-Time Pad Cifra de Vigenère Chave aleatória do tamanho da mensagem Utilizada uma única vez Observe que, para qualquer texto em claro e qualquer criptograma de um mesmo tamanho, existe uma chave correspondente Problemas: geração e distribuição de chaves Inviável Exemplo: texto em cifrado: ANYYODK chave: texto em claro: pxlmvms eduardo texto em cifrado: ANYYODK chave: texto em claro: mfugpmi antonio CRIPTOGRAFIA E SEGURANÇA DE REDES 02 - Técnicas Clássicas de Criptografia

36 Criptoanálise de Cifras de Blocos o Criptoanálise Diferencial Um dos avanços recentes mais importantes Conhecida pela NSA na década de 70 Primeiro trabalho publicado: Murphy (1990) Cifra: FEAL Estudos com o DES (1991) Eli Biham e Adi Shamir Com textos em claro escolhidos: 2 47 textos Ataque apenas teórico Com texto em claro conhecido: textos Poder da criptoanálise diferencial Lucifer (8 rodadas ): 256 textos em claro escolhidos DES (8 rodadas): 2 14 textos Criptografia Moderna 36/43

37 Criptoanálise de Cifras de Blocos o Criptoanálise Diferencial Comparação na cifragem de pares de textos em claro (entrada) com a mesma diferença (XOR) Quando a mesma chave é utilizada Procurar por diferenças nas saídas Rodada a rodada Diferenças irão ocorrer com alguma probabilidade Se a probabilidade for alta é possível identificar a chave da rodada A repetição do processo permite a dedução de bits da chave Criptografia Moderna 37/43

38 Criptoanálise o Criptoanálise Linear (1993) Mitsuru Matsui Usa texto em claro conhecido 2 43 textos (para o DES) Bits da chave são identificados em aproximações lineares encontradas para descrever a transformação da entrada na saída Bits da chave sugeridos são válidos para alguma probabilidade p Ideal é que a probabilidade p esteja distante de 0,5 Pode ser combinado com a criptoanálise diferencial o Outros ataques Ataque de Davies (1997) Ataques por Interpolação (1997) Criptografia Moderna 38/43

39 Princípios de Projeto de Cifra de Bloco o Critérios adotados no projeto do DES Relados por Coppersmith (1994) Projeto das Caixas-S Não linearidade Resistência a criptoanálise diferencial Cada linha de cada caixa-s deve conter todas as 16 combinações possíveis de saída Boa confusão Projeto para a permutação As saídas de uma caixa-s deve influenciar na entrada de várias caixas-s na rodada seguinte Aumentar a difusão CRIPTOGRAFIA E SEGURANÇA DE REDES 03 - Cifras de Bloco e o DES

40 Princípios de Projeto de Cifra de Bloco o Critérios adotados no projeto do DES Relados por Coppersmith (1994) Projeto das Caixas-S Não linearidade Resistência a criptoanálise diferencial Cada linha de cada caixa-s deve conter todas as 16 combinações possíveis de saída Boa confusão Projeto para a permutação As saídas de uma caixa-s deve influenciar na entrada de várias caixas-s na rodada seguinte Aumentar a difusão CRIPTOGRAFIA E SEGURANÇA DE REDES 03 - Cifras de Bloco e o DES

41 Princípios de Projeto de Cifra de Bloco o Número de rodadas Um número maior de rodadas Aumenta o esforço para a criptoanálise Um ataque analítico deve exigir um esforço maior do que a força bruta Perda de desempenho o Projeto da estrutura de uma rodada (função F) Prover confusão e difusão Função de substituição não linear Construção de Caixas-S: aleatória, manual e matematicamente No Blowfish, a chave é usada na construção da caixa-s Efeito avalanche o Algoritmo de escalonamento de chave Efeito avalanche CRIPTOGRAFIA E SEGURANÇA DE REDES 03 - Cifras de Bloco e o DES