OSRC001 Segurança em Redes de Computadores Módulo 07: Criptografia Simétrica: AES/SAES

Transcrição

1 OSRC001 Segurança em Redes de Computadores Módulo 07: Criptografia Simétrica: AES/SAES Prof. Charles Christian Miers

2 Concurso AES Morte iminente do DES Triple-DES seguro, mas lento em software NIST realizou um concurso para selecionar um Advanced Encryption Standard Concurso iniciou em 1997, terminou em

3 Concurso AES: requisitos Cifra de bloco simétrica Tamanho da chave: 128, 192 ou 256 bits Tamanho do bloco: 128 bits Características desejadas: Segurança Desempenho (hardware e software) Simplicidade Flexibilidade Livre de licenciamento (não proprietário) 3

4 Concurso AES: processo de seleção Iniciou com 15 participantes Duas conferências: Agosto 1998 Março de 1999 Equipes analisam seus próprios projetos e uns dos outros Depois da conferência de 1999 restaram apenas cinco propostas que não foram quebradas 4

5 Concurso AES: finalistas MARS (Coppersmith, veterano do DES) Cifra "Pia da cozinha" RC6 (Rivest) Rijndael (Rijmen, Daemen) Estrutura algébrica simples Serpent (Anderson, Biham, Knudsen) Twofish (Schneier, Kelsey, Whiting, Wagner, Hall, Ferguson) 5

6 Concurso AES: vencedor Última conferência AES em Abril de 2000 (AES3) Vencedor escolhido em Outubro de 2000 Rijndael foi selecionado Sentimento básico: todos os algoritmos são "suficientemente bons" na segurança Rijndael é mais simples e rápido AES e Rijndael são sinônimos hoje Publicado como FIPS 197 6

7 História do Lucifer ao SAES Linha de tempo dos principais cifradores de bloco simétricos: 7

8 Considerações DES x AES DES é amplamente utilizado e estudado, assim como Estrutura de Feistel AES utiliza Estrutura de Redes S/P e estruturas algébricas, recentes na criptografia simétrica 8

9 AES Advanced Encryption Standard Selecionado através do concurso AES promovido pelo NIST Criado por Vincent Rijmen e Joan Daemen, homologado pelo NIST como AES em outubro/2000 Não utiliza Estruturas de Feistel Baseado no cifrador Square Padronizado através da publicação da FIPS-197 em outubro/2000 9

10 Cifrador AES (cont.) Resistência contra ataques conhecidos de criptoanálise (Linear e Diferencial) Projeto simples Fundamentado na estratégia Wide Trail: Camada não-linear (confusão) Camada de embaralhamento línear (difusão) Camada de adição de Chaves Geração das chaves de rodada baseada em algoritmo Processo de cifrar e decifrar são diferentes devido a natureza matemática do cifrador 10

11 SAES Simplified AES 8 bits chave Cifrar 8 8bits bitstexto textooriginal aberto SAES 8 bits texto cifrado 8 bits chave Decifrar 8 bits texto cifrado SAES-1 8 bits bits texto textoaberto original 11

12 Conceitos Básicos Matriz Estado: matriz aonde são alocados de forma ordenada os bits tanto do bloco como das chaves (duas matrizes distintas). Exemplo: Distribuição texto aberto no Estado: Transformação: operação que possui como entrada um Matriz Estado S que sofre uma transformação e produz uma nova Matriz Estado S Estado Inicial Novo Estado S'0,0 S'0,1 S'1,0 S'1,1 Transformação 12

13 Geração Chaves SAES ExpansaoChave(byte Chave[2 * Nk], palavra w[nb * (Nr + 1)], Nk) inicio i=0 enquanto (i < Nk) w[i] = palavra[chave[2*i],chave[2*i+1]] i = i +1 fim enquanto i = Nk enquanto (i < Nb * (Nr + 1)) temp = w[i - 1] se (i mod Nk = 0) entao temp = SubPalavra(Rotacao(temp)) xor cons[i / Nk] senao temp = SubPalavra(temp) fim se w[i] = w[i - Nk] xor temp i=i+1 fim enquanto fim 13

14 Geração Chaves SAES Exemplo de geração de chaves para:

15 88 bits texto texto aberto original 8 bits SAES: Cifrar Rodada Normal 8 bits K1 ByteSub DeslocamentoLinha MixColumn Rodada Final 8 bits K2 8 bits K3 ByteSub DeslocamentoLinha 8 bits 8 bits texto texto cifrado original 15

16 8 bits texto cifrado 8 bits SAES: Decifrar Rodada Normal 8 bits K3 InvDeslocamentoLinha InvByteSub 8 bits K2 8 bits K1 InvMixColumn Rodada Final InvDeslocamentoLinha InvByteSub 8 bits 8 8bits bitstexto textooriginal aberto 16

17 Transformação SAES A chave de rodada é aplicada no estado através de uma operação XOR elemento a elemento K0 K2 S'0,0 S'0,1 K1 K3 S'1,0 S'1,1 Exemplo: 17

18 Transformação ByteSub SAES Realiza substituição elemento a elemento com base na Caixa-S pré-definida para o cifrador Caixa-S Caixa-S S'0,0 S'0,1 S'1,0 S'1,1 S'0,0 S'0,1 S'1,0 S'1,1 Exemplo: 18

19 Transformação DeslocamentoLinha SAES Realização de um rotacionamento cíclico padrão nos elementos do estado S'0,0 S'0,1 S'1,0 S'1,1 S'0,0 S'0,1 S'1,0 S'1,1 Exemplo: 19

20 Transformação MixColumn SAES As colunas do estado são consideradas como polinômios sobre GF(22) e sofrem uma multiplicação modular com o polinômio irredutível fixo prédeterminado x2+x+1 a(x) S'0,0= (01 ) S'1,0= (11 ) (11 ) S'0,0 S'0,1 S'1,0 S'1,1 S'0,0 S'0,1 S'1,0 S'1,1 (01 ) S'0,1= (01 ) (11 ) S'1,1= (11 ) (01 ) a-1(x) Cifrar: a(x)=3x+1 Decifrar: a-1(x)=x+2 S'0,0= (10 ) (01 S 1,0 ) S'1,0= (01 ) (10 ) S'0,1= (10 ) (01 ) S'1,1= (01 ) (10 ) 20

21 Transformação MixColumn SAES, Exemplo: 21

22 Texto Original (8 Bits): Chave (8 Bits): Cifrar SAES Completo K0 K2 K4 K6 K8 K 10 K1 K3 K5 K7 K9 K 11 K0 K2 S'0,0 S'0,1 K1 K3 S'1,0 S'1,1 S'0,0 S'0,1 S'1,0 S'1,1 Estado Inicial Chaves de Rodada Caixa-S S'0,0 S'0,1 S'1,0 S'1,1 S'0,0 S'0, ByteSub DeslocamentoLinha a(x) S'0,0= (01 ) (11 ) S'1,0= (11 ) MixColumn (01 ) S'1,0 S'0,1= (01 ) (11 ) S'1,1= (11 ) (01 ) S'1,1 K4 K6 S'0,0 S'0,1 K5 K7 S'1,0 S'1,1 S'0,0 S'0,1 S'1,0 S'1, Caixa-S ByteSub S'0,0 S'0,1 S'1,0 S'1,1 K8 K10 S'0,0 S'0,1 K9 K11 S'1,0 S'1,1 DeslocamentoLinha Estado Final (Texto Cifrado) Texto Cifrado (8 Bits): 22

23 Texto Cifrado (8 Bits): Chave (8 Bits): Decifrar SAES Completo K0 K2 K4 K6 K8 K10 K1 K3 K5 K7 K9 K11 K8 K10 S'0,0 S'0,1 K9 K11 S'1,0 S'1,1 S'0,0 S'0,1 S'1,0 S'1,1 S'0,0 S'0,1 S'1,0 S'1,1 Estado Inicial Chaves de Rodada InvDeslocamentoLinha Caixa-S InvByteSub K4 K6 S'0,0 S'0,1 K5 K7 S'1,0 S'1,1 S'0,0 S'0,1 a-1(x) S'0,0= (10 ) (01 ) S'1,0= (01 ) (10 ) S'0,1= (10 ) (01 ) S'1,1= (01 ) (10 ) InvMixColumn S'1,0 S'1,1 S'0,0 S'0,1 S'1,0 S'1,1 S'0,0 S'0,1 S'1,0 S'1,1 Caixa-S InvDeslocamentoLinha InvByteSub K0 K2 S'0,0 S'0,1 K1 K3 S'1,0 S'1,1 Estado Final (Texto Original) Texto Original (8 Bits): 23

24 AES Advanced Encryption Standard 128/192/256 bits texto original 128/192/256 bits texto original 24

25 Fundamentos e Componentes AES Essência Algébrica/Matemática Corpo Finito GF(28) Cifra orientada ao byte Operações sobre Estado Tamanho de chave/bloco variável: 128/192/256 Transformação ByteSub Transformação DeslocamentoLinha Transformação MixColumn Transformação 25

26 Essência Algébrica/Matemática do AES Dados agrupados em bytes, considerados como corpos finitos representados através de notação polinomial: b7x7+b6x6+b5x5+b4x4+b3x3+b2x2+b1x1+b0x0 no qual b correspondem aos bits do byte Operações realizadas sobre os bytes, como multiplicação, seguem o padrão algébrico para Corpos GF 26

27 Corpo Finito GF(28) Utilizado no AES para efeito de difusão e substituição (Caixa-S) Corpo é um anel aonde todos os elementos são inversíveis com excluindo-se o zero (0) Corpo do tipo GF(pm) aonde p é primo e m um inteiro maior que 0 Isomorfismo Corpo abeliano 27

28 Cifra orientada ao byte Todas as operações possuem como entrada mínima um byte e geram como saída a quantidade equivalente de bytes fornecidos na entrada Cada byte consiste de um corpo finito de dimensão GF(28) 28

29 Operações feitas sobre Estado Bytes do bloco de entrada e chave são agrupados primeiramente em bytes e posteriormente em colunas de 4 bytes A quantidade de colunas varia de acordo com o tamanho do bloco de entrada ou chave O resultado de uma transformação consiste na nova situação do Estado Estado Inicial Novo Estado S0,2 S0,3 S'0,0 S'0,1 S'0,2 S'0,3 S1,2 S1,3 S'1,0 S'1,1 S'1,2 S'1,3 Transformação S2,0 S2,1 S2,2 S2,3 S'2,0 S'2,1 S'2,2 S'2,3 S3,0 S3,1 S3,2 S3,3 S'3,0 S'3,1 S'3,2 S'3,3 29

30 Tamanho de chave/bloco variável Devido a orientação ao byte e a organização em estado a variação/aumento do tamanho da chave/bloco consiste na adição de colunas no Estado A alteração do tamanho do bloco(nb) e/ou chave(nk) implica na alteração da quantidade de rodadas (Nr) 30

31 Transformação ByteSub AES Realiza substituição byte a byte através de uma Caixa-S pré-definida O elemento S é selecionado utilizando os quatro primeiros bits do elemento em S para definirem a linha e os quatro últimos para definirem a coluna. O valor encontrado na Caixa-S é atribuído ao elemento em S 31

32 Caixa-S Adotada no AES (hexadecimal) 32

33 Caixa-S-1 Adotada no AES (hexadecimal) 33

34 Transformação DeslocamentoLinha AES Realização de um rotacionamento cíclico padrão nos bytes do estado 34

35 Transformação MixColumn AES As colunas do estado são consideradas como polinômios sobre GF(28) e multiplicadas pelo módulo x4+1 com um polinômio fixo c(x)=03hx3+01hx2+01hx+02h (Cifrar) 35

36 Transformação InvMixColumn AES As colunas do estado são consideradas como polinômios sobre GF(28) e multiplicadas pelo módulo x4+1 com um polinômio fixo d(x)=0bhx3+0dhx2+09hx+0eh (Decifrar) 36

37 Transformação AES A chave de rodada é aplicada no estado através de uma operação XOR byte a byte sub-chave rodada S0,2 S0,3 K0 K4 K8 K12 S'0,0 S'0,1 S'0,2 S'0,3 S1,2 S1,3 K1 K5 K9 K13 S'1,0 S'1,1 S'1,2 S'1,3 S2,0 S2,1 S2,2 S2,3 K2 K6 K10 K14 S'2,0 S'2,1 S'2,2 S'2,3 S3,0 S3,1 S3,2 S3,3 K3 K7 K11 K15 S'3,0 S'3,1 S'3,2 S'3,3 37

38 Algoritmo Geração Chaves AES ExpansaoChave(byte Chave[4 * Nk], palavra w[nb * (Nr + 1)], Nk) inicio i=0 enquanto (i < Nk) w[i] = palavra[chave[4*i],chave[4*i+1],chave[4*i+2],chave[4*i+3]] i = i +1 fim enquanto i = Nk enquanto (i < Nb * (Nr + 1)) temp = w[i - 1] se (i mod Nk = 0) entao temp = SubPalavra(Rotacao(temp)) xor cons[i / Nk] senao se (Nk = 8 e i mod Nk = 4) entao temp = SubPalavra(temp) fim se fim se w[i] = w[i - Nk] xor temp i=i+1 fim enquanto fim 38

39 Algoritmo Geração Chaves AES W0 W1 W2 W3 Chave de Rodada 0 W4 W5 W6 W7 Chave de Rodada 1 W8 W9 W 10 W 11 W 12 Chave de Rodada 2 W 13 W

40 Algoritmo Geração Chaves AES 40

41 Nb bytes bytestexto textooriginal aberto Nb Nb bytes Cifragem AES Rodada 1 Processo de cifrar: Primeira operação é n rodadas iguais Última rodada não possui MixColumn Nk bytes K1 ByteSub DeslocamentoLinha MixColumn Rodada Nr-1 Nk bytes K2 Nk bytes KNr-1 Nk bytes KNr ByteSub DeslocamentoLinha MixColumn ByteSub DeslocamentoLinha Nb bytes OSRC001 Segurança em Redes de Computadores Nb bytes texto cifrado 41

42 Nb bytes texto cifrado Nb bytes Decifrar AES Nk bytes KNr Nk bytes KNr-1 Nk bytes K2 Nk bytes K1 Inv_DeslocamentoLinha Inv_ByteSub Processo de decifrar: Não é igual a cifrar Inversas matemáticas das transformações Caixa-S Inversa Decifrador Equivalente otimizado Tempo de decifrar é diferente do tempo do processo de cifrar Rodada 2 Inv_MixColumn Inv_DeslocamentoLinha Inv_ByteSub Rodada Nr-1 Inv_MixColumn Inv_DeslocamentoLinha Inv_ByteSub Nb bytes OSRC001 Segurança em RedesNb debytes Computadores bytes texto original aberto texto 42

43 Comparativo: SAES e AES (Nb=4 e Nk=4) 43

44 Redução do Número de Rodadas bits texto texto aberto original 88 bits Nbbytes bytestexto textoaberto original Nb Nb bytes Rodada 1 8 bits Nk bytes K1 K1 ByteSub Rodada Normal DeslocamentoLinha MixColumn AES 8 bits Nk bytes ByteSub DeslocamentoLinha K2 MixColumn Rodada Nr-1 ByteSub 8 bits K2 8 bits K3 SAES DeslocamentoLinha MixColumn Rodada Final Nk bytes KNr-1 ByteSub DeslocamentoLinha ByteSub DeslocamentoLinha Nb bytes 8 bits Nk bytes KNr 8 bits texto cifrado Nb bytes texto cifrado 44

45 Modos de Operação AES Modos de Operação do AES definidos pelo NIST através do Recommendation for Block Cipher Modes of Operation SP800-38a: Methods and Techniques. Modos definidos: ECB Eletronic CodeBook CBC Cipher Block Chaining CFB Cipher Feedback Mode OFB Output Feedback Mode CTR Counter Mode 45

46 Codebook Eletrônico (ECB) Cifrar ECB Texto Original - x1 Texto Original - x2 Texto Original - xn Bloco de Entrada Bloco de Entrada Bloco de Entrada AES AES AES Bloco de Saída Bloco de Saída Bloco de Saída Texto Cifrado - y1 Texto Cifrado - y2 Texto Cifrado - yn Decifrar ECB Texto Cifrado - y1 Texto Cifrado - y2 Texto Cifrado - yn Bloco de Entrada Bloco de Entrada Bloco de Entrada AES-1 AES-1 AES-1 Bloco de Saída Bloco de Saída Bloco de Saída Texto Original - x1 Texto Original - x2 Texto Original - xn 46

47 CBC Cipher Block Chaining Decifrar CBC Cifrar CBC VI VI Texto Original x1 Texto Original x2 Texto Original xn Bloco de Entrada 1 Bloco de Entrada 2 Bloco de Entrada n AESK AESK AESK Bloco de Saída 1 Bloco de Saída 2 Bloco de Saída n Texto Cifrado y1 Texto Cifrado y2 Texto Cifrado yn Texto Cifrado y1 Texto Cifrado y2 Texto Cifrado yn Bloco de Entrada 1 Bloco de Entrada 2 Bloco de Entrada n AES-1K AES-1K AES-1K Bloco de Saída 1 Bloco de Saída 2 Bloco de Saída n Texto Original x1 Texto Original x2 Texto Original xn 47

48 CFB Cipher Feedback Mode Cifrar Vetor de Inicialização Bloco de Entrada 1 Bloco de Entrada 2 AESK AESK s Bits Bloco de Saída 1 Selecionar s Bits Bloco de Entrada n (b-s) Bits s Bits AESK Bloco de Saída 2 Descartar (b-s) Bits Selecionar s Bits (b-s) Bits Bloco de Saída n Descartar (b-s) Bits Selecionar s Bits Texto Original 1 Texto Original 2 Texto Original n s Bits s Bits s Bits Descartar (b-s) Bits Texto Cifrado 1 Texto Cifrado 2 Texto Cifrado n s Bits s Bits s Bits Decifrar Vetor de Inicialização Bloco de Entrada 1 Bloco de Entrada 2 Bloco de Entrada n (b-s) Bits (b-s) Bits AESK AESK Bloco de Saída 1 Selecionar s Bits s Bits AESK Bloco de Saída 2 Descartar (b-s) Bits Selecionar s Bits s Bits Bloco de Saída n Descartar (b-s) Bits Selecionar s Bits Texto Cifrado 1 Texto Cifrado 2 Texto Cifrado n s Bits s Bits s Bits Descartar (b-s) Bits Texto Original 1 Texto Original 2 Texto Original n s Bits s Bits s Bits 48

49 OFB Output Feedback Mode Cifrar Vetor de Inicialização Bloco de Entrada 1 Bloco de Entrada 2 Bloco de Entrada n AESK AESK AESK Bloco de Saída 1 Bloco de Saída 2 Bloco de Saída n Texto Original 1 Texto Original 2 Texto Cifrado 1 Texto Original n Texto Cifrado 2 Texto Cifrado n Decifrar Vetor de Inicialização Bloco de Entrada 1 Bloco de Entrada 2 Bloco de Entrada n AESK AESK AESK Bloco de Saída 1 Bloco de Saída 2 Bloco de Saída n Texto Cifrado 1 Texto Cifrado 2 Texto Original 1 Texto Cifrado n Texto Original 2 Texto Original n 49

50 Cifrar CTR Counter Mode Contador 1 Contador 2 Contador n Bloco de Entrada 1 Bloco de Entrada 2 Bloco de Entrada n AESK AESK AESK Bloco de Saída 1 Bloco de Saída 2 Bloco de Saída n Texto Original 1 Texto Original 2 Decifrar Texto Cifrado 1 Texto Original n Texto Cifrado 2 Texto Cifrado n Contador 1 Contador 2 Contador n Bloco de Entrada 1 Bloco de Entrada 2 Bloco de Entrada n AESK AESK AESK Bloco de Saída 1 Bloco de Saída 2 Bloco de Saída n Texto Cifrado 1 Texto Cifrado 2 Texto Original 1 Texto Cifrado n Texto Original 2 Texto Original n 50

51 Leitura Recomendada: Daemen, J. & Rijmen, V. - The rijndael block cipher. NIST FIPS - FIPS46/3: Data Encryption Standard. NIST, FIPS Disponível em: FIPS - FIPS197: Advanced Encryption Standard. NIST, FIPS Disponível em: Miers, Charles C. Modelo Simplificado do Cifrador AES. UFSC. Dissertação de Mestrado Stallings, Willian. Network Security Essentials. 2a Edição. Editora Prentice-Hall Capítulos 1 e 2 51

52 Leitura Recomendada: (Cont.) Stallings, William - Cryptography and Network Security: Principles and Practice. 3ª Edição. Prentice-Hall Capítulos 4, 5, 7, 9 e 10 Terada, Routo - Segurança de Dados Criptografia em Redes de Computador. São Paulo. Edgard Blücher

53 53