A kriptográfia története tömören

7/22/2019 A kriptogrfia trtnete tmren

1/9

Budapest University of Technology and Economics

A kriptogrfia trtnete tmren a szktaltl az SSL-ig

Dr. Buttyn Levente

Laboratory of Cryptography and System Security (CrySyS)

Department of Telecommunications

Budapest University of Technology and Economics

[email protected]

www.crysys.hu

2www.crysys.huLaboratory ofCry ptography and System Security

A kommunikci biztonsga

fbb biztonsgi kvetelmnyek adatok titkossga

adatok integritsnak vdelme adatok hitelessgnek biztostsa

- zenet kldsnek s vtelnek letagadhatatlansga

- a rendszer erforrsaihoz val hozzfrs korltozsa

a biztonsg hrom pillre fizikai vdelem

algoritmikus vdelem

humn oldal (rendszablyok, nevels, stb.)

a kriptogrfia az algoritmikus vdelem elmlete

3www.crysys.huLaboratory ofCryptography and System Security

A kriptogrfia trtnete

a 20. szzad msodik felig a kriptogrfit kizrlag katonai sdiplomciai alkalmazsokban hasznltk kriptgrfia = titkosrs, rejtjelezs

a 20. szzad msodik feltl a kriptogrfia megjelent az zletiletben (elssorban banki alkalmazsokban) a titkossg mellett fontoss vlt az integritsvdelem, a hitelests,

a letagadhatatlansg, stb.

a 20. szzad vgtl a kriptogrfia a mindennapi let rszv vlt SSL (Secure Socket Layer) Web tranzakcik biztonsga

GSM biztonsgi architektra mobiltelefon-hlzat biztonsga


A (szimmetrikus) rejtjelezs klasszikus modellje

a tmad clja a rejtett szvegek szisztematikus megfejtse

a kulcs megfejtse

a Kerkchoff-elv a tmad pontosan ismeri a kdol s a dekdol transzformci

mkdst a tmad nem ismeri a kulcsot

EE DDxnylt szveg

kkulcs

kkulcs

Ek(x)rejtett szveg

Dk (Ek(x)) = x

tmad


Trtnelmi pldk

mr az kori grgk is ... a sprtaiak szktalja

veni, vidi, vici Julius Caesar rejtjelezje a feltrhetetlen sifre Vigenre kd

a rejtjelezs gpestse az Enigma


A szktal

i.e. 400 krl hasznltk a sprtaiak

az zenet betinek trendezsn alapszik kulcs = a rd tmrje

kulcstr mrete kicsi


2/9


3/9


Az Enigma mkdsi elve

hrom f egysg: billentyzet nylt / rejtett szveg bevitele

kijelzpanel rejtett / nylt szveg kijelzse keveregysg rejtett szveg ellltsa / nylt szveg visszalltsa

az Enigma lelke a kevertrcsa (rotor)

(illusztrci -Simon Singh: Kdknyv)








Enigma a billentyzet s a kijelzpanel


Enigma a kevertrcsk


Enigma a kapcsoltbla


4/9


Az Enigma hasznlata

alapbellts kapcsoltbla belltsa (pl: A/L P/R T/D B/W K/F O/Y)

kevertrcsk sorrendje (pl: II III - I) kevertrcsk belltsa (pl: Q C - W)

(a kulcstr mrete = 100391791500 x 6 x 263 ~ 1016 ~ 253)

nylt szveg bevitele a billentyzeten

rejtett szveg leolvassa a kijelz panelrl


Az Enigma feltrse

Marian Rejewskilengyel matematikus

Hans-Thilo Schmidt nmet km 10 ezermrkrt eladja a katonai Engima hasznlatitmutatit a franciknak [1931. november 8.]

ezek segtsgvel a szvetsgesek megptika katonai Engima mst

a francik feltrhetetlennek tartjk azEnigmt, s tadjk az sszes dokumentumota lengyeleknek

a lengyel Biuro Szyfrw felvesz hsz fiatalmatematikust a poznani egyetemrl, majdkivlasztja kzlk a hromlegtehetsgesebbet; kztk a 23 vesMarian Rejewskit


Az Enigma feltrse

a nmetek nem a napi kulccsal rejtjeleztk zeneteiket ha a napi kulcsot hasznltk volna, akkor tbb ezer zenetet kdoltak voltak

ugyanazzal a kulccsal, s ez nvelte volna a napi kulcs megfejtsnek eslyt

helyette minden zenetet egy egyszeri zenetkulccsal rejtjeleztek, majdaz zenetkulcsot a napi kulccsal kdoltk, s a kdolt kulcsot arejtjelezett zenet el csatoltk zenetkulcs: a kapcsoltbla belltsa s a kevertrcsk sorrendje

megegyezett a napi kulcsval, a kevertrcsk belltsa vletlen

valjban az zenetkulcsot ktszer gpeltk be az Enigmba, hogy akulcs tvitele sorn keletkez hibkat detektlni tudjk

plda:

napi kulcsszerinti bellts(QCW)

zenetkulcs szerinti bellts(PGH)

P G H P G H A T T A C K A T M I D N I G H T

K I V B J E G H I O P E G L R W M L S A U K

Enigma


Az Enigma feltrse

Rejewski megrezte, hogy az zenetkulcs ismtlse a gyenge pont

egy v alatt kidolgozott egy mdszert a napi kulcs megfejtsre

st, gpestette a kulcs megfejtst egy mdostott Enigma folyamatosan vltoztatta a kevertrcsk

belltst, mg r nem akadt a helyes belltsra 6 gp dolgozott prhuzamosan (6 lehetsges kevertrcsa sorrend)

a gpet zakatolsa miatt idztett bombnakhvta

a lengyelek 1933-tl rutinszeren fejtettk meg a nmetekzeneteit


Az Enigma feltrse

1938 decemberben a nmetek fokozzk az Enigma biztonsgt 2 j kevertrcst rendszerestettek (6-rl 60-ra ugrott a

lehetsges kevertrcsa sorrendek szma)

6-rl 10-re nveltk a betcserk szmt a kapcsoltbln ezzel 1.59*1020-ra emelkedett a kulcstr mrete

Hitler felbontja a Lengyelorszggal kttt megnemtmadsiszerzdst [1939. prilis 27.]

a lengyelek felfedik eredmnyeiket a szvetsgeseknek [1939.jlius 24.]

a bombk tervrajzt eljuttatjk Londonba [1939. augusztus 16.]

Nmetorszg lerohanja Lengyelorszgot [1939. szeptember 1.]


Az Enigma feltrse

Ridley kapitny vadszata a Bletchley Parkban[1939. augusztus]


5/9


Az Enigma feltrse

a britek tkletestik a bombt, s tovbbi lelemnyes tletekkelllnak el

ci lly-k a nmet Enigma kezelk a csata hevben gyakran nagyon egyszer

zenetkulcsokat vlasztottak (pl. QWE, BNM)

egy Enigma kezel rendszeresen bartnje monogramjt hasznlta

zenetkulcsnak (C.I.L.) az ilyen gyenge zenetkulcsokat cilly-knek hvtk (~silly)

kevertrcskra vonatkoz megktsek a nmetek minden nap vltoztattk a kevertrcsk sorrendjt

egyetlen trcsa sem maradhatott egy helyen ktszer egyms utn

pl. I-II-V utn nem jhetett III-II-IV

ez az vintzkeds cskkentette a szmba jhet kevertrcsasorrendeket, s gy knnytette a britek dolgt

hasonlkppen, a kapcsoltbln sem lehett szomszdos betketfelcserlni


Az Enigma feltrse

Alan Turing csatlakozik a Bletchley parkikriptogrfusokhoz [1939. szeptember 4.]

br csak 27 ves, ekkor mr hres matematikus, tl van aTuring- gp megalkotsn

feladata egy j kulcsfejtsi eljrs kidolgozsa, mely nemhasznlja ki az ismtld zenetkulcsot az zenet elejn

Turing megoldja a feladatot, mdszere az n. tmpontokrapl a nmetek preczek s jl szervezettek zeneteik szablyos, kiszmthat struktrjak egy- egy sz knnyen megsejthet pl. minden este 6- kor idjrsjelentst kldtek, mely jl

meghatrozott helyen tartalmazta az idjrs (wetter) szt

Turing tervei alapjn j bombkat ptenek (Victory, AgnusDei) [1940. mrcius - augusztus]

a nmetek megvltoztatjk kulcscsere eljrsukat [1940.mjus 1.]

Alan Turingbrit matematikus


Az Enigma feltrse

a Bletchley Park teljestmnye a szvetsgesek gyzelmnekdnt tnyezje volt

trtnszek becslse szerint az Enigma feltrse nlkl a hborakr 1948-ig is eltarthatott volna !

a hbor utn a bombkat sztszedtk, a dokumentumokat pedigelgettk

a Bletchley parki kriptogrfusok visszatrtek a civil letbe(titoktarts mellett)

a titoktartst 1970-ben oldottk fel, s a vilg ekkor szerzettcsak tudomst a Bletchley Park ltezsrl s az Enigmafeltrsrl

Alan Turing 1954. jnius 7-n ngyilkos lett


Egy valban feltrhetetlen rejtjelez a one-time pad

mod 2 sszeads : a b = (a + b) mod 20 0 = 00 1 = 11 0 = 11 1 = 0

a mod 2 sszeads tulajdonsgai:1. x x = 02. x 0 = x


A one-time pad mkdse

kdols yi = xi ki ahol x i a nylt szveg i. bitje, yi a rejtett szveg i. bitje ki az egyenletes eloszls vletlen kulcsfolyam i. bitje

dekdols xi = yi ki = xi ki ki = xi

egyenletesenvletlen bitfolyam

egyenletesenvletlen bitfolyam

+... ...nylt szveg bitjei rejtett szveg bitjei


A one-time pad tkletessge

tegyk fel, hogy a tmad megfigyeli az Y rejtett szveget

mivel minden kulcs egyformn valszn

, ezrt minden nyltszveg egyforma valsznsggel lehetsges

Claude Shannon [1949] bebizonytotta, hogy

I(X; Y) = H(X) - H(X|Y) = 0

Shannon megadta a tkletessg szksges felttelt is:

H(K) H(X)

ami praktikusan azt jelenti, hogy a kulcs mrete nem lehetkisebb, mint a (tmrtett) nylt szveg mrete


6/9


7/9


Diszkrt hatvnyozs mint egyirny fggvny

adott egy p prm Zp* = {1, 2, , p-1} g a Zp* egy genertora

Zp* = {g0 mod p, g1 mod p, , gp-2 mod p}

f(x) = gx mod p

ha adott x, akkor f(x)-et knny kiszmtani ha adott y = f(x), akkor x-et nehz meghatrozni (diszkrt log

problma)

plda: p = 7, Z7* = {1, 2, 3, 4, 5, 6}, g = 3 30 = 1, 31 = 3, 32 = 9 = 2, 33 = 27 = 6, 34 = 81 = 4, 35 = 243 = 5

mirt egyirny a diszkrt hatvnyozs? 453x mod 21 997 = 5789, hatrozzuk meg x-et!


A Diffie-Hellman-Merkle kulcscsere protokoll

BobAlice

select random xcompute gx mod p

select random ycompute gy mod p

gx mod p

gy mod p

compute k = (gy)x mod p compute k = (gx)y mod p

feltevs: adott egy p prm s a Zp* = {1, 2, , p-1} egy g genertora


Az aszimmetrikus kulcs kriptogrfia modellje

aszimmetrikus kulcsok k kiszmtsa k-bl nehz feladat (NP) k-t nyilvnossgra lehet hozni (nyilvnos kulcs kriptogrfia)

a nyilvnos kulcs nem titkos, de a hitelessgt biztostani kell !

erre a ma ismert legelterjedtebb mdszer a kulcstanusitvnyokhasznlata (PKI)

EE DDxnylt szveg

kkdolkulcs

kdekdol kulcs

Ek(x)rejtett szveg

Dk (Ek(x)) = x

tmad


Az RSA algoritmus

Ronald Rivest, Adi Shamir, s Leonard Adleman,

A Method for Obtaining Digital Signatures and Public-KeyCryptosystems, 1978

Ronald Rivest Adi Shamir Leonard Adleman


Az RSA algoritmus

kulcs generls vlasszunk kt nagy prmet, p-t s q-t (mindkett kb. 500 bites)

n = pq, (n) = (p-1)(q-1)

vlasszunk egy e szmot, melyre 1 < e < (n) s lnko(e, (n)) = 1

szmtsuk ki e inverzt mod (n), azaz azt a d-t, melyreed mod (n) = 1 (p s q ismeretben ez nem nehz feladat)

a nyilvnos kulcs (e, n)

a privt kulcsd

kdols a nylt zenetet egy m [0, n-1] egsz szmknt reprezentljuk

a rejtett zenet szmtsa: c = me mod n

dekdols a nylt zenet szmtsa: m = cd mod n


Az RSA algoritmus egy pldn keresztl

legyen p = 73, q = 151

n = 73*151 = 11023 (n) = 72*150 = 10800

legyen e = 11 [ lnko(11, 10800) = 1, mert 10800 = 24*3*52*9 ]

d-t az euklideszi algoritmussal szmoljuk: d = 5891

tegyk fel, hogy m = 17

c = 1711 mod 11023 = 1782

m = 17825891 mod 11023

ngyzetre emels s szorzs mdszere:5891 = 20 + 21 + 28 + 29 + 210 + 212

17825891 = 1782212 * 1782210 * 178229 * 178228 * 17822 * 1782 =

= ( ((17822)2)2 )2 * ( ((17822)2)2 )2 * = 17 (mod 11023)


8/9


Az RSA biztonsga

az egsz szmok faktorizcija jl ismert nehznek vlt feladat adott egy n pozitv egsz, keressk n prm faktorait

igazi komplexitsa nem ismert

gy sejtik, hogy nem P-beli (nincs r hatkony megolds)

d kiszmtsa (e, n)-bl ekvivalens n faktorizlsval

gy sejtik, hogy m kiszmtsa c-bl s (e, n)-bl (RSA problma)ekvivalens n faktorizlsval ha n faktorai ismertek, akkor (e,n)-bl knnyen kiszmolhat d, majd

ennek segtsgvel c-bl m

a msik irnyra nincs formlis bizonyts


A nyilvnos kulcs kriptogrfia titkos trtnete

James Ellis Clifford Cocks Malcolm Williamson


A nyilvnos kulcs kriptogrfia titkos trtnete

Ellis, Cocks, s Williamson a brit titkosszolglat emberei voltak

1969-ben Ellis rjtt, hogy nyilvnos kulcs kriptogrfia lehetsges (nem-titkos kdolsnak nevezte) kidolgozta a publikus s privt kulcsok elmlett tudta, hogy kell valamilyen egyirny fggvny, amely csak akkor vlik

megfordthatv, ha a cmzett birtokban van egy bizonyos informcinak

1973-ban Cocks kitallta a ksbb RSA nven ismertt vlt kdolst rviddel belpse utn, Cocksnak elmondtk a problmt mg aznap este, fl ra alatt kidolgozta az RSA kdot szmelmlettel foglalkozott, s azonnal a faktorizcira gondolt, mint

egyirny fggvny

1974-ben Williamson (Cocks bartja) felfedezi a ksbb Diffie-Hellmankulcscsere nven ismertt vlt eljrst

1975-re Ellis, Cocks, s Williamson a nyilvnos kulcs kriptogrfia sszesalapvet ttelt kidolgozta de hallgatniuk kellett (1997-ig)


Az SSL protokoll

a Netscape fejlesztette ki a 90-es vek kzepn

clja biztonsgos kapcsolat ltrehozsa kt tvoli (TCP)alkalmazs kztt

tipikusan: biztonsgos kapcsolat ltrehozsa egy web szerver segy web bngsz kztt

az SSL 3.0 de facto szabvnny vlt az Interneten

az SSL 3.1-es verzija TLS nven hivatalos Internet szabvnylett


Az SSL mkdse


Az SSL mkdse (egyszerstett)

randommester titokgenerlsaMS

kapcsolatkulcsgenerlsa MS- bl K

kapcsolatkulcsgenerlsa MS- bl K

kliens s szerver hello zenetek

RSAKsrv(MS)

finished zenetek

3DESK(http krs)

3DESK(http vlasz (pl. krt weblap))

...

kliens szerver

[Ksrv, szerver nv, IP cm, ...]Kca


9/9


Utsz

a biztonsg olyan, mint egy lnc:

mrtkt mindig a leggyengbb lncszem erssge

hatrozza meg !

Documents

A kriptográfia története tömören