Jernej Tonejc 18. februar 2011 - DMFA · Zgodovina tajnopisja Klasiˇcni tajnopisi Simetriˇcna kriptograﬁja Kriptograﬁja z javnimi kljuˇci Kriptoanaliza enoabecednih ˇsifer

Zgodovina tajnopisjaKlasicni tajnopisi

Simetricna kriptografijaKriptografija z javnimi kljuci

Matematika sifriranja

Jernej Tonejc

FMF in IMFM

18. februar 2011

Jernej Tonejc Matematika sifriranja



Nacrt

I Osnove in zgodovina tajnopisja

I Klasicni tajnopisi

I Simetricna kriptografija

I Kriptografija z javnimi kljuci

I Elipticne krivulje




Kaj je tajnopisje?

I Iz grscine κρυπτoζ + γραϕειν = kriptografijaoz. tajnopisje

I Veda o komunikaciji v prisotnosti aktivnega napadalca

I Kriptologija ali kriptografija?

I Teorija in praksa o skrivanju informacij

I Cistopis, tajnopis, kljuc, sifra




Glavni igralci

Anita




Glavni igralci

Anita Bojan




Glavni igralci

Anita Bojan

komunicirata




Glavni igralci

Anita Bojan

Oskar

komunicirata

prisluskuje




Osnovni cilji kriptografije

I Zaupnost: ohraniti tajnost pred nepooblascenimi.

I Celovitost: zagotoviti, da informacija ni bila spremenjena.

I Verodostojnost: potrditi izvor informacije.

I Pristnost: potrditi identitete.

I Preprecitev zatajitve: prepreciti neizpolnitev sprejetihobvez ali dejanj.




Primer: posiljanje papirnih dokumentov po posti

Kaksna zagotovila varnosti imamo? Na kaksen nacin?

I Fizicna varnost

I Zakonodaja

I Postna infrastruktura




Primer: elektronski podatki

Kako omogociti enake moznosti kot pri papirnatem nacinu?

I ⊕ Enostavno in poceni hranjenje

I ⊕ Hitro in enostavno prenasanje

I Enostavno kopiranje

I Prenosi niso varni




Zacetki

I Najstarejsi znani tajnopisi v Egiptu (∼ 2500 pr.n.st.)

I Loncene tablice iz Mezopotamije z zasifriranimi recepti

I Preproste enoabecedne sifre pri Hebrejcih (∼ 600 pr.n.st.)

I Antika: skytale - palica

I Srednji vek: Arabci, kasneje Evropejci

I 19. stoletje: bolj sistematicni pristopi, vojaski namen




Nacrt

I Zgodovina tajnopisja

I Klasicni tajnopisi







Zamenjalna (transpozicijska) sifra

I Crke originalnega sporocila ostanejo nespremenjene,njihova mesta pa so pomesana

I Zlahka prepoznamo, ce izracunamo gostotosamoglasnikov (∼ 41% v slovenscini)

I Primer: permutacija stolpcev

I Primer: skytale




Pomicna sifra

I Poseben primer zamenjalne sifre

I Crke krozno zamaknemo. Julij Cezar: 3

C

D

E

FG

HIJK

L

M

N

O

P

R

S

ST

U V ZZ

A

B

C

A

BC

CD

EFGHI

JK

L

MNO

PR S S T

UV

ZZ

I Primer: “Cezar” → “Ehbct”




Modularna aritmetika

I Primer: ura. Ko pridemo do 23, nadaljujemo z 0

I Ostanek pri deljenju z modulom m

I Operacije kot obicajno. Ce presezemo m, popravimo.

I Primer:

(3 + 7) mod 6 = 10 mod 6 = (6 + 4) mod 6 = 0 + 4 = 4

(3 ∗ 7) mod 6 = 21 mod 6 = (18 + 3) mod 6 = 0 + 3 = 3

I Velja m mod m = 0.

I Pri Cezarjevi sifri crke A,. . . ,Z predstavimo s stevili od 0do 24, pristevamo 3 in racunamo po modulu 25.




Afina sifra

I Posplositev pomicne sifre

I Za a in b med 0 in 24 izracunamo

x 7→ a ∗ x + b (mod 25)

I Veljati mora D(a, 25) = 1. Zakaj?

I Za a = 1 dobimo pomicno sifro.

I Moznih kljucev: 20× 25 = 500(slabi a-ji so 0, 5, 10, 15, 20)

I Enoabecedna sifra - vsaka crka se zamenja z natankodoloceno crko.




Vigenerjeva sifra (1586)

I Poliabecedna sifra

I Geslo pisemo nad besedilom, ponavljamo

I Trenutna crka v geslu doloca, katero vrsticotabele uporabimo

I Za geslo dolzine m imamo 25m moznih kljucev

I Za m = 5 je 9, 7× 106 ze preveliko za “pes”

I Za m = 18 je 1, 5× 1025 prevec tudi zaracunalnik

A B C C D E F G H I ...

A A B C C D E F G H I ...

B B C C D E F G H I J ...

C C C D E F G H I J K ...

C C D E F G H I J K L ...

D D E F G H I J K L M ...

E E F G H I J K L M N ...

F F G H I J K L M N O ...

G G H I J K L M N O P ...

H H I J K L M N O P R ...

I I J K L M N O P R S ......

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

...




Primer

I Geslo “SIFRA”

I Cistopis “SKRIVNOST”

I S I F R A S I F RS K R I V N O S T

I Zasifriramo kot“LTZBVHZZL”

A B C C D E F G H I J K L M N O P R S S T U V Z Z

A A B C C D E F G H I J K L M N O P R S S T U V Z Z

B B C C D E F G H I J K L M N O P R S S T U V Z Z A

C C C D E F G H I J K L M N O P R S S T U V Z Z A B

C C D E F G H I J K L M N O P R S S T U V Z Z A B C

D D E F G H I J K L M N O P R S S T U V Z Z A B C C

E E F G H I J K L M N O P R S S T U V Z Z A B C C D

F F G H I J K L M N O P R S S T U V Z Z A B C C D E

G G H I J K L M N O P R S S T U V Z Z A B C C D E F

H H I J K L M N O P R S S T U V Z Z A B C C D E F G

I I J K L M N O P R S S T U V Z Z A B C C D E F G H

J J K L M N O P R S S T U V Z Z A B C C D E F G H I

K K L M N O P R S S T U V Z Z A B C C D E F G H I J

L L M N O P R S S T U V Z Z A B C C D E F G H I J K

M M N O P R S S T U V Z Z A B C C D E F G H I J K L

N N O P R S S T U V Z Z A B C C D E F G H I J K L M

O O P R S S T U V Z Z A B C C D E F G H I J K L M N

P P R S S T U V Z Z A B C C D E F G H I J K L M N O

R R S S T U V Z Z A B C C D E F G H I J K L M N O P

S S S T U V Z Z A B C C D E F G H I J K L M N O P R

S S T U V Z Z A B C C D E F G H I J K L M N O P R S

T T U V Z Z A B C C D E F G H I J K L M N O P R S S

U U V Z Z A B C C D E F G H I J K L M N O P R S S T

V V Z Z A B C C D E F G H I J K L M N O P R S S T U

Z Z Z A B C C D E F G H I J K L M N O P R S S T U V

Z Z A B C C D E F G H I J K L M N O P R S S T U V Z




Kriptoanaliza – razbijanje

Drzali se bomo Kerckhoffovega principa (1883):

Nasprotnik pozna kriptosistem oziroma algoritme, kijih uporabljamo, ne pa tudi kljucev, ki namzagotavljajo varnost.




Kriptoanaliza enoabecednih sifer

I Pomagamo si s frekvencami crk (slovenska abeceda, v %):

E 10,707 L 5,266 V 3,764 Z 2,103 H 1,047

A 10,466 S 5,053 K 3,704 B 1,939 S 0,996

O 9,084 R 5,010 D 3,390 U 1,879 C 0,662

I 9,042 J 4,675 P 3,374 G 1,638 Z 0,646

N 6,328 T 4,329 M 3,305 C 1,483 F 0,110

I Za dani tajnopis izracunamo frekvence crk, ki nastopajo

I S pomocjo tega lahko ze uganemo nekaj crk, dolocimotudi skupine

I Pomagamo si lahko tudi z dvojcki in trojcki




Kriptoanaliza Vigenerjeve sifre

I Test Kasiskega (1863): Poiscemo dele tajnopisa, ki seujemajo. Izracunamo razdalje med njihovimi zacetki.Dolzina gesla deli najvecji skupni delitelj teh razdalj.

I Friedman, 1920: indeks sovpadanja – verjetnost, da stanakljucno izbrana elementa besedila enaka.

I Ce je p∗ pricakovana verjetnost slovenske crke ∗, je indekssovpadanja priblizno p2

A + p2B + · · ·+ p2

Z≈ 0, 063

I Za povsem nakljucne crke dobimo 1252 + · · ·+ 1

252 ≈ 0, 04

I Na ta nacin lahko uganemo dolzino kljuca ter sam kljuc




PrimerPrestregli smo sporocilo

GVCJUOECDFHSTLRNTCNNCROEZFCNRMRZCIAZNJAISOTDAVLNSCPDLVSZSKVNB

KOKBLKZSCNSCIAGTLDSUFCDTVVSGBAZCCSEZJICSVMSIKIAZIICSZIBIRAAZI

EEIHAAZNVISOTSVRRSZSTAEOKDGFVFIRAZNOIZIIPDCCVSZMRNVCNDALLSIKS

ANDAGZKCNZVRNFKOGDJAINNIKZAIKNAJSCLBZUCICLFSINGSSFOACNZEHTVLJ

LGEDMOEKIIAZGKJZRSSNZCBSCHAOUVGDCRICUGUONTECEOTCSZEGZOEGVCHBS

VLSTVKDBLTFZHUASMRZZVSNFCSSUBAFSVZEIOECCCOLBIICCCMFNHEBGTLDJK

ICPIAGZJPJCRIINJECIJIFEKECINACGBAZ

Nasli smo dva niza, ki se ponovita: AAZ in SIK z razmikoma 8 in76. Najvecji skupni delitelj je 4. Izracunajmo sedaj se indekssovpadanja, ce vzamemo vse oz. vsako drugo, tretjo, ..., sesto crko:

1 [GVCJ . . .]: 0,045 4 [GUDT . . .]: 0,053 0,064 0,070 0,061

2 [GCUE . . .]: 0,052 0,047 5 [GOHN . . .]: 0,039 0,049 0,039 0,045 0,052

3 [GJEF . . .]: 0,045 0,046 0,046 6 [GETN . . .]: 0,050 0,051 0,057 0,045 0,049 0,041




Primer, nadaljevanje

Ker so indeksi sovpadanja blizu 0,063 samo pri dolzini 4, jedolzina gesla res najverjetneje 4. Izracunajmo se frekvenceposameznih crk za ta stiri podzaporedja:

GUDT . . . 2, 4, 8, 3, 2, 3, 3, 6, 0, 10A, 1, 0, 3, 1, 10E, 0, 1, 2, 6, 5, 6, 6, 3, 6, 9

VOFL . . . 2, 3, 12E, 0, 1, 0, 5, 3, 4, 8, 6, 9, 6, 3, 3, 10, 0, 6, 1, 1, 2, 0, 12A, 2, 1

CEHR . . . 16A, 2, 3, 1, 1, 12E, 0, 1, 2, 13, 2, 3, 5, 2, 3, 4, 3, 6, 6, 2, 5, 2, 5, 1, 0

JCSN . . . 6, 3, 5, 9, 10, 4, 5, 6, 1, 5, 3, 4, 1, 0, 10A, 2, 0, 0, 2, 12E, 0, 0, 0, 7, 5

Ker imata A in E najvisjo frekvenco in sta 5 crk narazen,iscemo dve visoki frekvenci s tem razmikom. V vsaki vrstici seto zgodi samo na enem mestu. Od tod takoj dobimo geslo“IVAN”.




Nacrt


I Klasicno tajnopisje







Lastnosti

I Najstarejsa oblika kriptografije

I Vsi primeri do sedaj so simetricne sifre

I Poznavanje enega kljuca zadosca za sifriranje inodsifriranje sporocil

I Zelo uporabljana predvsem v vojaske namene

I V praksi dosegamo visoke hitrosti (VIA procesor s strojnopodporo za AES lahko sifrira vec kot 25Gb/s)




Primeri

I Enigma - 2. svetovna vojna:

I DES - Data Encryption Standard, 56 bitni kljuc, razvilIBM leta 1974, leta 1981 postane bancni standard (tudiza PINe), konec 90-ih vse ucinkovitejsi napadi nanj

I AES - Advanced Encryption Standard, pricetek izbora1997, 1999 izbranih 5 finalistov, zmagovalec objavljen2001.




Lastnosti na primeru

Bojan in Anita se vnaprej dogovorita za skupni kljuc, ki ga nepozna nihce drug. S tem kljucem lahko tako zasifrirata kotodsifrirata sporocila.

Ce Bojan z njim zasifrira pismo, je lahko preprican, da galahko odsifrira le Anita.

Hkrati pa je tudi Anita zadovoljna, saj je prepricana, da ji jepismo lahko poslal le Bojan.




Problemi

I Skupen kljuc mora biti dogovorjen VNAPREJ.

I V omrezju z n uporabniki je potrebnih(n2

)razlicnih

kljucev, vsak uporabnik pa mora hraniti n − 1 kljucev.

◦

◦ ◦

◦

◦ ◦

◦

◦

◦◦

◦

◦

I Ce se napadalec nekako dokoplje do kljuca, lahko prebereVSA sporocila, ki smo jih kdajkoli zasifrirali.




Nacrt









Osnove

I Leta 1976 Whit Diffie in Martin Hellman predstavitakoncept kriptografije z javnimi kljuci.

I Vsak uporabnik ima 2 kljuca: en podatke zaklepa, drugijih odklepa.

I Pomembno: kljuc, ki zaklepa, ne more odklepati inobratno, kljuc, ki odklepa, ne more zaklepati.

I En kljuc lahko objavimo, drugega pa hranimo ⇒ javni inzasebni kljuc.




PrimerBojan poslje Aniti podpisano zasebno pismo:

I podpise ga s svojim zasebnim kljucem ZB ,

I zasifrira ga z Anitinim javnim kljucem JA.

I Anita ga s svojim zasebnim kljucem ZA odsifrira,

I z Bojanovim javnim kljucem JB pa preveri podpis.




Matematicno ozadje

Glede na matematicni problem, na katerem temeljijo sistemijavne kriptografije, se le-ti delijo v tri skupine:

I Sistemi faktorizacije celih stevil, npr. RSA(Rivest-Shamir-Adleman),

I Sistemi diskretnega logaritma, npr. DSA(Digital Signature Standard),

I Kriptosistemi z elipticnimi krivuljami, ECC(Elliptic Curve Cryptography).




RSA

I Potrebujemo dve veliki nakljucno izbrani prastevili: p in q

I Produkt je enostavno izracunati: n = pq

I Faktorizirati n je tezek problem

I Racunamo po modulu n

I Eulerjeva funkcija ϕ:

ϕ(n) =∣∣{x ∈ N : x < n in D(x , n) = 1}

∣∣I ϕ(pq) = (p − 1)(q − 1)




RSA

I Eulerjev izrek: ce je D(a, n) = 1, potem je

aϕ(n) ≡ 1 (mod n)

I Sifrirni eksponent je stevilo e, da velja D(e, ϕ(n)) = 1

I Odsifrirni eksponent je d , ki zadosca ed ≡ 1 (mod ϕ(n)).

I Javni kljuc je par (n, e)

I Zasebni kljuc je trojica (d , p, q)

I Sifriramo tako, da izracunamo y = xe mod n

I Odsifriramo tako, da izracunamo yd mod n




Primer

I Izberimo p = 2 in q = 5 ⇒ n = 10

I ϕ(n) = 1 · 4 = 4

I Za e = 3 dobimo d = 3, saj je e · d = 9 ≡ 1 (mod 4)

I Veljavna so sporocila x med 0 in 9. Ce vsa zasifriramo:

cistopis 0 1 2 3 4 5 6 7 8 9tajnopis 0 1 8 7 4 5 6 3 2 9

(saj je npr. 33 = 27 ≡ 7 (mod 10), 83 = 512 ≡ 2 (mod 10))

I V splosnem tabele ne bi mogli uporabljati, saj bi bilomoznih sporocil prevec. Za sifriranje bi zato vsakicizracunali xe mod n.




Problemi RSA

I Ce znamo faktorizirati n, potem znamo iz e izracunati d

I Zaradi vse bolj ucinkovitih algoritmov za faktorizacijomora biti n vse vecji – 512 bitov (155 mestno stevilo) nivec dovolj, priporoca se vsaj 1024 bitov (309 mestnostevilo).

I Pocasen v primerjavi z drugimi kriptosistemi z javnimikljuci za isti nivo varnosti




Nacrt









Elipticne krivulje

I Za kriptografijo sta jih leta 1985 prva predlagala NealKoblitz in Victor Miller

I Elipticna krivulja E je definirana z Weierstrassovo enacbo

y 2 = x3 + ax + b

I Gledamo mnozico tock (x , y), ki ustrezajo tej enacbi




Pravilo za sestevanje

I Razlicni tocki P in Q sestejemo tako, da skozi njijupotegnemo premico, nato pa tretje presecisce te premice skrivuljo prezrcalimo cez x-os:

I Ce je P = Q, potem skozi P potegnemo tangento.




Aritmetika na elipticni krivulji

I Tocke lahko sestevamo in racunamo njihove veckratnike

I Za sifriranje izberemo tocko P in neko nakljucno stevilo k

I Javni kljuc je enacba krivulje, tocka P in tocka kP

I Zasebni kljuc je k

I Iz kP in P je zelo tezko dobiti k




Dolzina kljucev

simetricne asimetricne elipticnesifre (AES) (RSA, DSA) krivulje

40 bitov 274 bitov 80 bitov56 bitov 384 bitov 106 bitov64 bitov 512 bitov 132 bitov80 bitov 1024 bitov 160 bitov96 bitov 1536 bitov 185 bitov112 bitov 2048 bitov 237 bitov120 bitov 2560 bitov 256 bitov128 bitov 3072 bitov 270 bitov256 bitov 15380 bitov 521 bitov




Napad z grobo silo

dolzina stevilo potreben potreben

kljucev moznih cas pri enem cas pri 106

(v bitih) kljucev sifriranju/µs sifriranjih/µs

32 232 ≈ 4, 3× 109 231µsek ≈ 36 min ≈ 2ms56 256 ≈ 7, 2× 1016 ≈ 1142 let ≈ 10 ur80 280 ≈ 1, 2× 1024 ≈ 1, 9× 1010 let ≈ 1, 9× 104 let128 2128 ≈ 3, 4× 1038 ≈ 5× 1024 let ≈ 5× 1018 let

Za primerjavo: starost vesolja se ocenjuje na 13, 7× 109 let.




Vprasanja




Povezave in dodatne informacije na

http://lkrv.fri.uni-lj.si/

Hvala za pozornost!


Documents

Jernej Tonejc 18. februar 2011 - DMFA · Zgodovina tajnopisja Klasiˇcni tajnopisi Simetriˇcna kriptograﬁja Kriptograﬁja z javnimi kljuˇci Kriptoanaliza enoabecednih ˇsifer