Codificação de Informação 2010/2011

Transcrição

1 Codificação de Informação 2010/2011 Sumário: Criptografia Cifras de bloco Cifras de bloco simétricas (ou de chave secreta) Tipo de chave Cifras simétricas Cifras assimétricas Cifra mista ou híbrida Tipos de cifras Modo de operação Cifras de bloco block cipher Cifras (corridas ou de sequência) stream cipher Dept. InformáIca / FCT 9 Novembro

2 Tipos de chave cifras simétricas Chave comum à operação de cifrar e de decifrar Chave secreta P mensagem em claro C mensagem cifrada K chave usada para cifrar e decifar f função usada para cifrar f 1 função usada para decifrar C = f ( K, P) P = f 1 ( K,C) Dept. InformáIca / FCT 9 Novembro Tipos de chave cifras assimétricas K p Chave pública para cifrar K s Chave privada para decifrar Estas chaves estão ligadas a uma determinada enidade com a qual se quer comunicar K p diferente de K s f função para cifrar f 1 função para decifrar Estas funções exigem normalmente tempos de execução muito mais longos do que as funções usadas nas chaves simétricas C = f (K p, P) P = f 1 (K s, C) Dept. InformáIca / FCT 9 Novembro

3 Tipos de chave cifras mistas A transferência de grandes quanidades de dados é feita usando um método simétrico com chave secreta K A troca da chave K entre os interlocutores usa um método assimétrico (chave pública, chave privada) Dept. InformáIca / FCT 9 Novembro Cifras con@nuas (steam ciphers) Gerador de sequência Usado por exemplo para cifrar voz Sequência de ( bits ) chave Sequência em claro Sequência cifrada xor Ver exemplo do XOR a propósito do one Ime pad Dept. InformáIca / FCT 9 Novembro

4 Cifras simétricas Geradores uilizados Máquinas de estado deterministas, controladas por uma chave de dimensão finita. A chave determina: O estado inicial Parametriza a função que define o estado seguinte É produzida uma sequência cíclica de bits O princípio da confusão é usado, uma vez que existe uma relação complexa entre a chave, os bits em claro e os bits cifrados O princípio da difusão não é usado Assim sendo, normalmente para cada interacção, usa se uma chave diferente Dept. InformáIca / FCT 9 Novembro Geradores para cifras con@nuas As chaves con@nuas devem ser o mais próximo possível do one Ime pad Período o mais longo possível; se possível superior ao tamanho da mensagem a cifrar Sequência verdadeiramente aleatória equiprobabilidade imprevisibilidade Dept. InformáIca / FCT 9 Novembro

5 Cifra simétrica Chave comum à operação de cifrar e de decifrar Chave secreta P mensagem em claro, C mensagem cifrada K chave usada para cifrar e decifar f função usada para cifrar f 1 função usada para decifrar C = f ( P, K) P = f 1 ( C, K) Bloco em claro com n bits cifrar decifrar Bloco cifrado com n bits Dept. InformáIca / FCT 9 Novembro Cifras simétricas por blocos Usam os princípios básicos da difusão e confusão: Aplicação iteraiva de uma operação complexa a um bloco de grandes dimensões (>= 64 bits) controlada por uma chave Operações elementares sobre blocos Permutação: troca bits de lugar (ver à frente P Box) SubsItuição: muda conjuntos de bits por outros de acordo com uma tabela (ver à frente S Box) Expansão: acrescenta novos bits, replicando alguns dos bits de entrada Compressão: passa para a saída apenas alguns dos bits Dept. InformáIca / FCT 9 Novembro

6 Versão moderna das cifras de subsituição S BOX 0 1 endereço 2 N -1 Memória com 2 N posições conteúdo M bits por posição Dept. InformáIca / FCT 9 Novembro Versão moderna das cifras de permutação P BOX N bits P BOX N bits Dept. InformáIca / FCT 9 Novembro

7 Versão moderna das cifras de permutação P BOX Dept. InformáIca / FCT 9 Novembro Bloco de Feistel 1973 Aplicação práica por Feistel das noções de confusão e difusão devidas a Shannon É a base da maior parte dos algoritmos de cifra simétricos por bloco Entrada: 2w bits de texto (L i 1, R i 1 ) e uma subchave K i Todas as subchaves, K i, são derivadas de K L i = R i 1 R i = L i 1 XOR f(r i 1, K i ) L i 1 XOR f L i R i R i 1 K i Dept. InformáIca / FCT 9 Novembro

8 Reversibilidade da rede de Feistel Cifrar L i 1 R i 1 L i 1 R i 1 Decifrar XOR f K i XOR f K i L i R i L i R i R i 1 = L i é óbvio uma vez que foi copiado directamente L i 1 = R i XOR f(l i,k i ) = (L i 1 XOR f(r i 1,K i )) XOR f(l i,k i ) = L i 1 uma vez que L i é R i 1 Reversibilidade é independente da função F usada Dept. InformáIca / FCT 9 Novembro Uso de múliplos andares de Feistel Cifrar Decifrar Mensagem em claro Mensagem em claro Sub chaves Andar de Feistel 1 Andar de Feistel 2 Andar de Feistel 1 Andar de Feistel 2 Sub Chaves Andar de Feistel n Andar de Feistel n Mensagem cifrada Mensagem cifrada Dept. InformáIca / FCT 9 Novembro

9 Algoritmos de cifra simétrica por blocos Muitos usam redes de Feistel DES (Digital EncrypIon Standard) Nº de bits de um bloco Nº de bits da chave Nº de iterações IDEA Blowfish 64 Variável 16 até 488 AES (Advanced EncrypIon Standard) 128, 192 ou , 192 ou ,12 ou 14 Dept. InformáIca / FCT 9 Novembro DES Digital EncrypIon Standard No final dos anos 60 a IBM desenvolveu a cifra LUCIFER Usado em ATM (automaic teller machine) Chave de 128 bits cifrava 64 bits de dados Controvérsia de desenho: Modificações feitas pela IBM e pela NSA (NaIonal Security Agency) para criar o DES A chave de 128 bits foi mudada para 56 bits As S boxes foram classificadas Os eventos subsequentes e a análise pública mostraram que o desenho estava correcto DES foi usado de forma generalizada e é uma norma ANSI Referência h2p://csrc.nist.gov/publica<ons/fips/fips46 3/fips46 3.pdf Dept. InformáIca / FCT 9 Novembro

10 DES Digital EncrypIon Standard Algoritmo de chave simétrica Cifra de produto combina subsituição (confusão) e permutação (difusão) O texto em claro é dividido em blocos de 64 bits e cifrado. 16 andares de Feistel Usa chave de 56 bits com 8 bits de paridade Total de 64 bits Operação de decifrar: os mesmos passos, com a mesma chave, permitem inverter a operação de cifrar Dept. InformáIca / FCT 9 Novembro DES Digital EncrypIon Standard Dept. InformáIca / FCT 9 Novembro

11 DES Digital EncrypIon Standard Dept. InformáIca / FCT 9 Novembro Estrutura de cada passo do DES Dept. InformáIca / FCT 9 Novembro

12 Passos do DES round func<on (1) Bloco de mensagem de 32 bits é expandido para um bloco de 48 bits através da duplicação de 16 bits e permutação do bloco Computação do valor obido com a chave (round key) obida através da transformação Dept. InformáIca / FCT 9 Novembro Passos do DES round func<on (2) Bloco de 48 bits obido no passo anterior é dividido blocos de 6 bits que são entrada das 8 S Boxes. As saídas de 4 bits das S Boxes são depois concatenadas para formar um bloco de 32 bits. Dept. InformáIca / FCT 9 Novembro

13 Passos do DES round func<on (3) Finalmente é aplicada uma permutação P ao bloco de 32 bits Dept. InformáIca / FCT 9 Novembro Transformação das chaves Chave de 64 bits é reduzida a 56 bits 16 sub chaves de 48 bits são geradas a parir da chave de 56 bits A chave de 56 bits é deslocada à esquerda em cada passo Depois do deslocamento, 48 dos 56 bits são seleccionado Referência (DES demo applets) hvp://nsfsecurity.pr.erau.edu/crypto/index.html Dept. InformáIca / FCT 9 Novembro

14 Transformação das chaves Usa duas metades de 32-bit (L & R) Como é normal na cifra de Feistel : L i = R i 1 R i = L i 1 F(R i 1, K i ) Toma 32 bit da metade R e uma sub-chave de 48 bits e: Expande R para 48 bits usando a permutação E XOR com a sub-chave Passa através de 8 S-boxes para obter um resultado de 32 bits Permuta esses 32 bits usando a P-Box P Dept. InformáIca / FCT 9 Novembro Transformação de chaves Dept. InformáIca / FCT 9 Novembro

15 Efeito de avalanche Uma propriedade fundamental dos algoritmos de cifra A mudança de um bit na entrada ou na chave resulta na mudança em aproximadamente metade dos bits da saída Torna métodos caseiros de adivinhar chaves impossíveis O DES tem um efeito de avalanche forte Dept. InformáIca / FCT 9 Novembro Exemplo do exemplo de avalanche Os blocos em claro P1 e P2 diferem só no 1º bit: P1= {1, 1, 0, 0, 0, 1, 0, 0, 0, 0, 1, 0, 1, 0, 0, 1, 1, 0, 0, 0, 0, 1, 0, 1, 1, 1, 0, 1, 1, 0, 0, 0, 0, 1, 1, 1, 0, 1, 1, 1, 0, 1, 1, 0, 1, 1, 1, 1, 0, 1, 0, 0, 0, 1, 0, 1, 1, 0, 0, 0, 0, 1, 1, 0} P2 = {0, 1, 0, 0, 0, 1, 0, 0, 0, 0, 1, 0, 1, 0, 0, 1, 1, 0, 0, 0, 0, 1, 0, 1, 1, 1, 0, 1, 1, 0, 0, 0, 0, 1, 1, 1, 0, 1, 1, 1, 0, 1, 1, 0, 1, 1, 1, 1, 0, 1, 0, 0, 0, 1, 0, 1, 1, 0, 0, 0, 0, 1, 1, 0} Blocos cifrados resultantes de P1 e P2: C1={0, 0, 0, 0, 0, 0, 0, 0, 1, 0, 0, 0, 1, 0, 1, 0, 0, 1, 0, 1, 1, 1, 0, 0, 1, 0, 1, 1, 0, 1, 0, 1, 1, 0, 0, 0, 1, 0, 1, 1, 0, 0, 1, 0, 1, 1, 0, 1, 1, 1, 0, 1, 1, 1, 0, 1, 0, 0, 1, 1, 1, 0, 1, 0} C2={0, 1, 0, 1, 0, 1, 1, 0, 1, 1, 1, 1, 1, 0, 1, 1, 1, 1, 0, 1, 1, 0, 1, 0, 1, 1, 0, 0, 0, 1, 1, 1, 1, 0, 0, 1, 1, 1, 0, 0, 1, 1, 0, 1, 1, 0, 1, 0, 1, 0, 1, 0, 0, 0, 0, 0, 0, 0, 1, 0, 0, 1, 0, 1} C1 e C2 diferem em 37 posições. Dept. InformáIca / FCT 9 Novembro

16 Ataques ao DES: tamanho da chave Os ataques de força bruta não são fáceis (comprimento da chave: 56 bits) 2 56 chaves possíveis = 7.2x10 16 chaves Preço de uma máquina para pesquisa da chave (1993) $100,000 $1,000,000 $10,000,000 Tempo de busca esperado 35 horas 3.5 horas 1 minuto Os avanços do hardware tornaram nos possíveis: Em 1997 na Internet nalguns meses Em 1998 com h/w dedicado (Electronic FronIer FoundaIon) nalguns dias Em 1999 num esforço distribuído 22 horas! Dept. InformáIca / FCT 9 Novembro DES múliplo Dadas as potenciais fraquezas do DES e as novas formas de ataque conhecidas é precisa uma alternaiva Solução simples operações sucessivas de cifra com o algoritmo DES usando chaves diferentes DES Duplo DES Triplo Dept. InformáIca / FCT 9 Novembro

17 Duplo DES (2DES) P X C E E K 1 K 2 C D X D P K 2 K 1 C = E K2 (E K1 (P)) P = D K1 (D K2 (C)) Dept. InformáIca / FCT 9 Novembro Duplo DES (2DES) P X C E(K1) E(K2) Aparentemente o nº de chaves passou a bit Mas é possível o Ataque Meet in the Middle (MITM) ao 2DES Se C = E K2 (E K1 (P)), então X = E K1 (P) = D K2 (C) Dado um par (P, C): 1. Cifrar P com todos os 2 56 valores possíveis de K1, armazenar os resultados numa tabela 2. Decifrar C usando todos os valores de K2 3. Para resultado obido em 2 comparar com os valores do passo Se há coincidência, testar com um novo par (P,C ). 5. Se as duas chaves produzem o bloco cifrado correcto, são as chaves procuradas Dept. InformáIca / FCT 9 Novembro

18 Triplo DES (3DES) P E A D B K 1 K 2 C D B E A K 1 K 2 E K 1 D K 1 C C = E K1 (D K2 (E K1 (P))) P P = D K1 (E K2 (D K1 (C))) Derrota o ataque MITM Só usa um espaço de chaves com 56x2 bits Também se pode usar o 3DES com três chaves C = E K3 (D K2 (E K1 (P))) P = D K1 (E K2 (D K3 (C))) Dept. InformáIca / FCT 9 Novembro Como cifrar mensagens maiores de que um bloco Modos de operação Electronic codebook (ECB) Cipher Block Chaining (CBC) Outros Dept. InformáIca / FCT 9 Novembro

19 ECB (Electronic Code Book) P i P i+1 C i C i+1 E E D D C i C i+1 P i P i+1 Cifrar (E encrypt) Decifrar (D decrypt) P bloco em claro, C bloco cifrado Os mesmos blocos em claro correspondem ao mesmo bloco cifrado (reordenação e subsituição possíveis) Não há propagação de erros Dept. InformáIca / FCT 9 Novembro ECB (Electronic Code Book) Mode Dept. InformáIca / FCT 9 Novembro

20 ECB (Electronic Code Book) Mode Texto em claro com registos de tamanho múliplo de um bloco. Dept. InformáIca / FCT 9 Novembro CBC Cipher Block Chaining Cifrar C o = IV bloco inicial IV P1 P2 C 1 = E(IV ^ P 1 ) C i = E(C i 1 ^ P i ) E C1 E C2 Decifrar C o = IV bloco inicial IV C1 C2 P 1 = D(C 1 ) ^ IV D D P i = D(C i ) ^ P i 1 P1 P2 Dept. InformáIca / FCT 9 Novembro

21 CBC Cipher Block Chaining Dept. InformáIca / FCT 9 Novembro Cifrar CBC Cipher Block Chaining X 1 = P 1 xor IV ; C 1 = E(X 1 ) X i = P i xor C i 1 ; C i = E(X i ) Decifrar D(C 1 ) = X 1 ; X 1 xor IV = (P 1 xor IV) xor IV = P 1 D(C i ) = X i ; X i xor C i 1 = (P i xor C i 1 ) xor C i 1 = P i O mesmo bloco em claro corresponde a blocos cifrados diferentes Reordenação e substituição impossíveis Depende do bloco anterior Propagação de erros limitada Só afecta o bloco corrente e o próximo Dept. InformáIca / FCT 9 Novembro

22 AES Advanced EncrypIon Standard Desenhado parque o DES Inha uma chave com poucos bits e o Triple DES é demasido lento NIST (NaIonal InsItute of Standards and Technology) Rijndael (V. Rijmen e J. Daemen) Vários modos de operação Dept. InformáIca / FCT 9 Novembro AES Advanced EncrypIon Standard Esquema geral: XOR inicial 9 passos (rounds) iguais em que só a chave muda úlimo passo ligeiramente diferente Dept. InformáIca / FCT 9 Novembro

23 AES Advanced EncrypIon Standard Estrutura de cada passo: 1. Sobre cada byte SubBytes() 2. Permutação de cada byte ShiftRows() 3. Manipulação colunas MixColumns() 4. OR exclusivo com um round AddRoundKey() Dept. InformáIca / FCT 9 Novembro TEA Tiny EncrypIon Algorithm Trabalho práico desta semana Wheeler e Needham 1994; sem patentes Blocos de 64 bits Chave de 128 bits Estrutura de Feistel com 64 passos Escalonamento da chave muito simples e igual para cada passo Implementado em muito poucas linhas de código (a seguir) Dept. InformáIca / FCT 9 Novembro

24 Função de cifra do TEA void encrypt(unsigned long k[], unsigned long text[]) { Texto em claro unsigned long y = text[0], z = text[1]; e cifrado 2 x 32 unsigned long delta = 0x9e3779b9, sum = 0; int n; for (n= 0; n < 32; n++) { sum +=delta; y += ((z << 4) + k[0]) ^ (z+sum) ^ ((z >> 5) + k[1]); // 5 z += ((y << 4) + k[2]) ^ (y+sum) ^ ((y >> 5) + k[3]); // 6 } text[0] = y; text[1] = z; } OU exclusivo deslocamento chave 4 x 32 bits As linhas 5 e 6 fazem ocultação (XOR do texto deslocado) e difusão (deslocamento e trocas) - 64 passos (neste caso 32*2) com somas, XOR e deslocamentos lógicos para assegurar a confusão e a difusão dos padrões de bits do bloco em claro no bloco cifrado - A constante mágica delta serve para evitar alguns tipos de ataques Dept. InformáIca / FCT 9 Novembro Função para decifrar do TEA void decrypt(unsigned long k[], unsigned long text[]) { unsigned long y = text[0], z = text[1]; unsigned long delta = 0x9e3779b9, sum = delta << 5; int n; for (n= 0; n < 32; n++) { z -= ((y << 4) + k[2]) ^ (y + sum) ^ ((y >> 5) + k[3]); y -= ((z << 4) + k[0]) ^ (z + sum) ^ ((z >> 5) + k[1]); sum -= delta; } text[0] = y; text[1] = z; } Dept. InformáIca / FCT 9 Novembro

25 UIlização do TEA void tea(char mode, FILE *infile, FILE *outfile, unsigned long k[]) { /* mode is e for encrypt, d for decrypt, k[] is the key.*/ char ch, Text[8]; int i; while(!feof(infile)) { i = fread(text, 1, 8, infile); /* read 8 bytes from infile into Text */ if (i <= 0) break; while (i < 8) { Text[i++] = ' ';} /* pad last block with spaces */ switch (mode) { case 'e': encrypt(k, (unsigned long*) Text); break; case 'd': decrypt(k, (unsigned long*) Text); break; } fwrite(text, 1, 8, outfile); /* write 8 bytes from Text to outfile */ } } Dept. InformáIca / FCT 9 Novembro