Bankovní institut vysoká škola Praha Katedra informačních technologií a elektronického obchodování
Moderní aplikace šifer
Diplomová práce
Autor:
Michal Janák Informační technologie a management
Vedoucí práce:
Ing. Vladimír Beneš
Odborný konzultant:
Praha
březen, 2009
Prohlášení: Prohlašuji, že jsem diplomovou práci zpracoval samostatně a s použitím uvedené literatury.
V Praze, dne 29.3.2009
Michal Janák
Děkuji Ing. Benešovi, vedoucímu mé bakalářské práce za cennou odbornou pomoc při vedení této práce, za jeho cenné připomínky, které byly přínosem při zpracování a dokončení mé bakalářské práce.
V Praze 14. dubna 2009
Michal Janák
Anotace Diplomová práce „Moderní aplikace šifer“ se zabývá kvalitou implementace kryptografických algoritmů v prostředí internetu a internetových standardů. Základ práce tvoří rozbor klíčových používaných algoritmů jejich slabin a předností. Dále se zabývá použitými algoritmy včetně implementace a implementačních omezení. Soustřeďuje se na tyto vybrané oblasti symetrické a asymetrické algoritmy, generátory náhodných čísel, autentizační algoritmy a mechanizmy. Tyto zjištění jsou pak porovnána s jejich reálném nasazení v prostředí internetu.
Annotation Thesis “Modern encryption and implementation” considers implementation quality of encryption algorithm in Internet environment. Thesis key part is based on key algorithm analyses including their strengths and weaknesses. Implementation and implementation constraints are also discussed. Special interest is put on symmetric and asymmetric encryption algorithm, random number generators, authentication algorithm and methods. Results are confronted with real implementation in the Internet.
Obsah 1 Vybrané termíny z kryptologie a kryptoanalýzy .............................................................................. 7 1.1 Kryptoanalýza ........................................................................................................................... 7 1.2 FIPS 140-2................................................................................................................................. 8 1.3 Bloková šifra ........................................................................................................................... 14 1.4 Pokročilé operační módy ......................................................................................................... 19 1.5 Kombinování blokových šifer ................................................................................................. 27 1.6 PKCS ....................................................................................................................................... 28 1.7 Symetrická šifrovací schémata ................................................................................................ 31 1.8 Asymetrická šifrovací schémata .............................................................................................. 36 1.9 Postranní kanály ...................................................................................................................... 38 2 Nejpoužívanější algoritmy a módy šifer, rozbor jejich slabin a implementačních omezení........... 41 2.1 RSA ......................................................................................................................................... 41 2.2 Šifrovací schemata .................................................................................................................. 41 2.3 Implementace a implementační omezení týkající se RSA ...................................................... 43 2.4 Prvočísla .................................................................................................................................. 47 2.5 Diffie-Hellman výměna klíčů (Diffie-Hellman Key exchange algorythm) ............................ 58 3 Kryptograficky bezpečné generátory náhodných čísel a jejich vlastnosti ...................................... 59 3.1 Generátory náhodných čísel a jejich vlastnosti ....................................................................... 59 3.2 Řešení PRNG na bázi SW ....................................................................................................... 63 3.3 Generátory pseudonáhodných čísel (PRNG) .......................................................................... 63 3.4 Ostatní požadavky na CSPRBG .............................................................................................. 64 3.5 Kryptograficky bezpečné generátory náhodných čísel ........................................................... 70 3.6 ANSI X.9 generátory ............................................................................................................... 81 3.7 HW generátory ........................................................................................................................ 85 4 Autentizační mechanizmy a algoritmy ............................................................................................ 86 4.1 Vlastnosti MAC....................................................................................................................... 86 4.2 Módy autentizační ................................................................................................................... 87 4.3 Módy autentizačně šifrovací ................................................................................................... 90 5 Příklady implementací a zkušenosti s jejich implementací ............................................................ 96 5.1 Šifrování médií ........................................................................................................................ 96 5.2 SSL a PKIX ............................................................................................................................. 98 6 Zhodnocení .................................................................................................................................. 101 6.1 Algoritmy .............................................................................................................................. 101 6.2 Kryptograficky bezpečné generátory a jejich vlastnosti ....................................................... 101 6.3 Autentizační mechanismy ..................................................................................................... 102
5
Úvod Práce „Moderní aplikace šifer“ se snaží najít odpovědi, na vybrané otázky související s implementací, používáním a z toho vyplývajícími riziky v podobě chyb implementace, nebo nevhodného nasazení. Moderní informační systémy se bez efektivní implementace krypto systémů neobejdou. Kryptografické prostředky zajišťují integritu dat, jejich bezpečný přenos a bezpečné uložení po určitou dobu. Bez použití kryptografických metod by v současnosti nebylo možné realizovat rozsáhlé elektronické transakce, anebo i jen relativně jednoduché a bezpečné ukládání hesel. Nasazování kryptografických prostředků se odehrává i v oblastech dříve nemyslitelných, vzhledem ke své náročnosti jako je DRM, anebo jen zajištění integrity modulů programů. Cena a dostupnost, jež byla dříve překážkou je dnes argumentem pro nasazení kryptografických prostředků, ustupuje požadavkům na integritu, utajení a podobně. Otevřenost a dostupnost informací týkající se kryptografie a prostředků, jež používá umožňuje přesunout výzkum z oblastí vojenské, zpravodajské, do oblasti komerčního a civilního výzkumu. Ukazuje se, že v těchto „neprivilegovaných“ oblastech se nachází živná půda pro další rozvoj.
1 Vybrané termíny z kryptologie a kryptoanalýzy 1.1 Kryptoanalýza Kryptoanalýza je věda mající za cíl získání otevřeného textu pomoci analytických metod a to bez znalosti tajného klíče. Rozeznáváme následující základní metody:
1.1.1 Útok se znalostí pouze šifrované správy (Ciphertext-only attack). Tento útok je založen na skutečnosti, že je možné získat otevřený text ze šifrovaných zpráv pouze znalostí zašifrovaného textu (je potřeba více než jedna zpráva). Útok je tehdy úspěšný pokud platí následující vztahy: C1 = Ek(P1), C2 = Ek(P2), ..., Ci = Ek(Pi) (vztah 1) odtud lze snadno odvodit P1, P2, ... , Pi, ale i k, nebo dokonce algoritmus. Odtud lze také odvodit Ci+1 = Ek(Pi+1). Uvedené vzorce jasně vysvětlují, proč není vhodné používat, poměrně jednoduchý algoritmus v důvěrné komunikaci. Tento typ útoku je zvláště účinný proti některým typům blokových šifer, nebo doplňovacích schémat.
1.1.2 Útok pomocí voleného otevřeného textu. (Chosen-plain attack) Útok vedený voleným otevřeným textem se používá za situace, kdy není možné použít předchozí útok. Kryptoanalytik má přístup pouze k šifrované zprávě, anebo její části a příslušnému otevřenému textu. Pokud má kryptoanalytik přístup k části textu, nebo jej může modifikovat mluvíme o útoku adaptivním voleným textem. Také útok je použitelný i v případě, že máme k dispozici neznámý algoritmus (black box) a snažíme se získat jeho popis. Pokud má kryptoanalitik možnost volby textu, dostává do ruky mnohem silnější nástroj než v předešlém případě. Ze vztahů uvedených v pasáži týkajících se otevřeného textu je patrné, že pokud zvolíme vhodný otevřený text (např.: 0...0), pak je velmi jednoduché získat klíč Ek.
1.1.3 Útok pomocí voleného zašifrovaného textu (Chosen-ciphertext attack) Útok vedený volbou zašifrovaného textu je rozdílný v cíli jehož kryptoanalitik chce dosáhnout. Cílem není získat otevřený text, nýbrž klíč. Nutný předpoklad, který je nutné splnit, představuje znalost dešifrovacího klíče Dk. Platí následující vztahy: C1, P1 = Dk(C1), P2 = Dk(C2), ..., Pi = Dk(Ci). Odsud lze získat klíč k. Útok je nejlépe aplikovatelný na algoritmy s veřejným klíčem. Vůči algoritmům se symetrickým klíčem není příliš vhodný. Pro útok na šifry se symetrickým algoritmem je vhodné použít kombinaci obou variant voleného textu tj. voleného otevřeného textu
a voleného zašifrovaného textu.
1.1.4 Útok voleným klíčem (Chosen-key attack) Tento typ útoku, využívá závislostí mezi jednotlivými klíči. Typickými představiteli jsou lineární a diferenciální kryptoanalýza.
1.1.5 Lineární kryptoanalýza Lineární kryptoanalýza je založena na lineárních aproximacích mezi dvěma nebo více po sobě jdoucím bitům. Platí že, pokud se provede nějaká slučovací operace nad zašifrovaným textem, například pomocí operace XOR, pak výstupem bude jeden bit. To je fakticky lineární aproximace s pravděpodobností p. Pokud je ovšem pravděpodobnost
p
≠
½, pak je možné tuto
pravděpodobnost využít k odhadu hodnoty bitu klíče. Metoda byla objevena Mitsuru Matsuim. Otázkou zůstává, jak správně volit vhodnou lineární aproximaci. Zde je nutné říci, že pro každý algoritmus je nutné volit jiný přístup a zdroj aproximace.
1.1.6 Diferenciální kryptoanalýza Diferenciální kryptoanalýza je jedna z nejnovějších metod, jak luštit zašifrované zprávy. Metodu objevili E. Biham a A. Shamir v roce 1990 pro veřejnost (IBM, NSA apod. byla známa pod jinými názvy již dříve) a výrazně zvyšuje účinnost útoku voleným klíčem. Metoda se přednostně zaměřuje na pár zašifrovaných textu a jím příslušným otevřeným textům, jenž jeví určité rozdíly. Metoda je zvláště účinná proti algoritmu DES. AES je proti diferenciální kryptoanalýze odolný (jedna z podmínek zadání).
1.1.7 Obušková kryptoanalýza (Rubber-hose cryptoanalysis) Princip tohoto útoku je založen na získání klíče jinými než kryptografickými metodami. Vydírání, hrozby, úplatky jsou velmi účinné metody, jak získat klíč. Do této skupiny patří i koupě, nebo i krádež klíče (špionáž). Je to pravděpodobně vůbec nejúčinější metoda, jak získat klíč.
1.2 FIPS 140-2 FIPS 140-2 (Federal Information Processing Standards) je americký standard pro počítačovou bezpečnost s důrazem na používání kryptografických prvků. Je platný od 3. prosince 2002 a nahradil tak předcházející platnou verzi z 25. května 2001
( http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf ) **/*1. Původní FIPS 140 vznikl už v roce 1994, jako reakce na potřebu formalizovat kvalitativní parametry kryptografických a bezpečnostních technologií. Úřad NIST vydal standard jako soubor dokumentů pro kryptografické prvky, jak HW, tak i SW provedení. Certifikace je udělována pro jednoznačně definovaný prvek. Certifikace je udílena procesem Cryptographic Module Validation Program (CMVP). Ten je výsledkem společného úsilí NIST a CSEC (Communications Security Establishment Canada). FIPS 140-2 má celkem 4 úrovně které se nazývají level 1 – level 4. Uvádíme zde sumarizaci požadavků pro jednotlivé úrovně. Detaily, včetně odkazů je možné nalézt ve výše zmíněném dokumentu. FIPS 140-2 je zároveň velice zevrubným testem prostředí, kvality návrhu a odolnosti proti útokům na kryptosystém. Standard se zaměřuje na následující oblasti: ▪ Cryptographic Module Specification ▪ Cryptographic Module Ports and Interfaces ▪ Roles, Services, and Authentication ▪ Finite State Model ▪ Physical Security ▪ Operational Environment ▪ Cryptographic Key Management ▪ Electromagnetic Interference/Electromagnetic Compatibility (EMI/EMC) ▪ Self Tests ▪ Design Assurance
▪ Mitigation of Other Attacks 1.2.1 Level 1 Level 1 je nejnižší zabezpečení a nevyžaduje prakticky žádné zabezpečení mechanické povahy. Level 1 nevyžaduje, aby příslušný prvek byl provozován v prostředí, které má garantovanou úroveň zabezpečení (např EAL-x). Jako příklad se uvádí PC s šifrovací kartou. 1 Tento dokument je převzat z: (http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf ) a shrnuje požadavky na různé úrovně bezpečnosti
1.2.2 Level 2 Level 2 rozšiřuje Level 1 o zabezpečení fyzické (tamper-proof). Minimálním požadavkem je zajištění proti překonání fyzické ochrany a to buď pomocí pečetě, nebo bezpečného zámku, odolného proti násilnému otevření (pick-resistant) umístěného na kryptografickém prvku. Úroveň zabezpečení OS nebo operačního prostředí je minimálně na úrovni EAL-2. Požadavky na prostředí jsou definovány v příloze B (Annex B) jako Common Criteria (CC) a Protection Profiles (PP).
1.2.3 Level 3 Level 3 rozšiřuje požadavky na kryptosystém z Level 2 o zabezpečení kryptografických primitiv oproti přístupu nepovolané osoby (CSP - critical security parameters). Smyslem těchto opatření je snaha o zjištění průniku nepovolané osoby. Fyzická bezpečnost pak může zahrnovat bezpečnostní prvky jako: zesílené oplášťování, detektor průniku s následným vymazaní (vynulováním) CSP při otevření překrytu kryptografického prvku. Level 3 vyžaduje autentizaci a autorizaci operátora s následnou verifikací. Předpokládá se, že jsou jednoznačně vytvořeny role pro přístup k kryptografickému zařízení. Prostředí operačního systému musí splňnovat nejméně EAL – 3 s rozšířením o TOE (Informal Target of Evaluation ) o bezpečnostní model (ADV_SPM.1).
1.2.4 Level 4 Level 4 je nejvyšší úrovní definovanou standardem FIPS 140-2. Bezpečnostní požadavky jsou na velmi vysoké úrovni. Úroveň fyzického zabezpečení zahrnuje zabezpečení vnějšího pláště s detekcí průniku. Detekce průniku musí být schopna detekovat průnik s vysokou pravděpodobností. Při detekování průniku musí být všechny nekryptované CSP okamžitě vynulovány. Level 4 vyžaduje, aby kryptografický prvek byl chráněn oproti změnám a fluktuacím v okolním prostředí. Další požadavky, které je třeba pro dosažení Level 4 jsou tyto: •
splnění funkčních požadavků nastolených v Level 3
•
kriteria CC (Common Criteria) s úrovní zajištění alespoň na úrovni EAL – 4. Připouští se možnost použití zabezpečeného prostředí OS s ekvivalentní úrovní zabezpečení.
Ilustrace 1: Tabulka 1. uveřejněná v **/* shrnuje požadavky na jednotlivé úrovně zabezpečení
1.2.5 Cryptographic Module Validation Program (CMVP) Požadavky na FIPS 140-2 jsou dány programem Cryptographic Module Validation Program (CMVP). Výsledný certifikát obsahuje i algoritmy a moduly, pro které je certifikace platná. Certifikace se provádí v souladu s těmito dodatky standardu FIPS 140-2: •
Annex A: Approved Security Functions for FIPS PUB 140-2, Security Requirements for Cryptographic Modules. Annex A definuje symetrické šifry použitelné pro FIPS PUB 140-2. Jmenujme především: AES, Triple-DES. Dále definuje operační módy blokových šifer dle specifikace 800-38A a
800-38D. Oblast asymetrických šifer a podpisových schémat
zastupují: DSS, PKCS#1 v2.1 (podpisová schémata na základě RSA algoritmu), ECDSA a některé další. Kryptografické hashe jsou zastoupeny SHA-1 a SHA-2. V budoucí verzi zde bude zahrnut i budoucí varianta SHS (Secure Hash Standard), který je v současnosti ve stádiu výběru. Budoucím stadardem pro hashe (někdy také nazývaný SHA-3), který má
nahradit SHA-1 a SHA-2, protože jsou považovány za nedostatečně odolné vůči kryptografickému útoku. Zatím je chápán jako SHS algoritmus SHA-2 (SHA-256, 384, 512). •
Annex B: Approved Protection Profiles for FIPS PUB 140-2, Security Requirements for Cryptographic Modules. Protection profiles jsou celým názvem Controlled Access Protection Profile (CAPP) a jsou nástupcem TCSEC (Trusted Computer System Evaluation Criteria). CAPP je soubor požadavků na bezpečnost výpočetních systémů. Bezprostředně není významný pro šifrovací algoritmy i když je nepřímo používá. Například, pro šifrování systémového logu.
•
Annex C: Approved Random Number Generators for FIPS PUB 140-2, Security Requirements for Cryptographic Modules. Annex C se zabývá především schálenými PRNG pro jednotlivé skupiny algoritmů. Annex C popisuje pouze a jen pouze deterministické PRNG. Nedeterministické PRNG nejsou schváleny pro standard FIPS 140-2. Generátor ANSI X9.31-1998 je schválen pro použití ve finančním sektoru, konkrétně pro použití s rDSA (Digital Signatures Using Reversible Public Key Cryptography for the Financial Services Industry). Jedním ze schválených generátorů je i X 9.17-1998, který je dále diskutován. Ostatní zde uvedené algoritmy jsou navržené speciálně pro použití s podpisovým schématem DSA. Další uvedené algoritmy se přímo týkají PRNG šifrovacích algoritmů AES, Triple-DES. AES využívá generátor X 9.31 (appendix 2.4.1) modikovaný tím, že místo DES-EDE používá algoritmus AES, příslušející délce požadovaného algoritmu. V souvislosti s tímto algoritmem se objevila diskuse o vhodnosti použitého generátoru, neboť je používán nepříliš kvalitní generátor s kvalitní šifrou. Dokonce někteří kryptologové požadují náhradu za spolehlivější, protože se domnívají, že použitý generátor představuje značné bezpečnostní riziko (B. Schneier) a požadují jeho úplnou náhradu. Bruce Schneier jde dokonce tak daleko, že obviňuje americkou vládu z machinací ne nepodobných těm, které provázely vznik algoritmu DES.
Triple-DES používá zmíněný
DES-EDE
algoritmus. Domnívám se, že náhrada PRNG je poměrně jednoduchá. Příkladem může být použití CPRNG FORTUNA s modifikací difuzní funkce, kdy nahradí SHA-1 za SHA-2, nebo AES požadované délky. Generátor byl navržen tak, aby bylo možné měnit difuzní funkci dle potřeby. V této souvislosti je třeba připomenout standard NIST Special Publication 800-90 Recommendation for RandomNumber Generation Using Deterministic Random Bit Generators (revize z března 2007). Bruce Schneier upozorňuje na nedostatky uvedené v této publikaci a v této souvislosti zmiňuje vliv nechvalně známé instituce NSA.
Jeho zájem se týká generátoru Dual_EC_DRBG u kterého byly nalezeny dosti značné nedostatky. Vyvozuje z toho snahu amerických vládních agentur ovlivňovat standardizační proces,
tak
aby
v
případě
nutnosti
dala
snadno
dešifrovat
korespondence
(http://www.schneier.com/essay-198.html). Jako důkaz pro své tvrzení zmiňuje prezentaci uvedenou na konferenci CRYPTO 2007, Danem Shumowem and Nielsem Fergusonem (http://rump2007.cr.yp.to/15-shumow.pdf
).
Na
pozadí
poměrně
komplexního
matematického popisu tito pánové vyvozují vychýlenost náhodných čísel generovaných tímto generátorem. To, že tento PRNG není zcela v pořádku podtrhuje i následující analýza pánů Berryho Schoenmakerse and Andreje Sidorenka ( http://eprint.iacr.org/2006/190 ). Z analýzy lze nabýt dojmu, že se někdo snaží o to, aby byl standard dostatečně silný pro potřeby veřejnosti potažmo potřeb komerčních subjektů, ale ne tak silný, aby byl nepřekonatelný pro státní agentury. Doporučení je jednoznačné. Vyhnout se Dual_EC_DRBG a místo toho použít CTR_DRBG, nebo Hash_DRBG. •
Annex D:
Approved Key Establishment Techniques for FIPS PUB 140-2, Security
Requirements for Cryptographic Modules. Annex D je fakticky implementační a validační příručkou pro provádění validací pro FIPS 140-2 level 1 – level 4.
1.2.6 Proudová šifra Klasické pojetí kryptografie definuje proudovou šifru jako symetrickou šifru, která vytváří zašifrovanou zprávu slučováním s klíčem bit po bitu, nebo byte po bytu. Pro slučování se nejčastěji používá funkce výhradní shody (XOR). Rozdíl mezi blokovou a proudovou šifrou je v tom, že bloková šifra pracuje po blocích předem definované neměnné délky, kdežto proudová šifra pracuje právě s jednotlivými bity nebo byty. Proudové šifry mohou být nerozluštitelné, pokud je klíč unikátní pro každou relaci a je nejméně tak dlouhý jako otevřený text, pak se mluví o Vernamově šifře, nebo o OTP (One Time Pad). Podmínkou je, že klíč musí být dokonale náhodný. Jejich použití v moderních systémech je sice možné, ale vhodnější pro mnoho úkolů, které je nucena řešit moderní praxe, plně postačí blokové šifry v kombinaci s používánými kryptografickými schématy založených na symetrické a asymetrické kryptografii. Proudové šifry se obecně dělí na synchronní šifry a na šifry s vlastní synchronizací.
1.2.7 Synchronní proudová šifra Synchronní proudová šifra je charakteristická tím, že generování klíče je nezávislé na otevřeném a šifrovaném textu. V následném výčtu ve zkratce uvedeme jejich vlastnosti.
▪ Synchronizace. Adresát i odesílatel musí být v stavu absolutní synchronizace. Výpadek jednoho jediného bitu znamená ztrátu celé informace, nebo její části. ▪ Přenosové zpoždění a potřebný výpočetní výkon. Přenosové zpoždění je malé. Obvykle platí, že nárůst zpoždění je minimální. Potřebný výpočetní výkon je rovněž minimální: Operace XOR je výpočetně nenáročná. ▪ Odolnost a rychlost přenosu. Požadavek na zajištění odolnosti vůči chybám jde proti požadavku na rychlost.
1.2.8 Samosynchronizující se proudové šifry Symosynchronizující se šifry, též šifry s vlastní synchronizací, Zvážíme - li předchozí výhody a nevýhody, dojdeme k závěru, že splnit v reálném nasazení takto protichůdné požadavky nejspíše nebude možné. Proto je třeba zvážit i jiné technické možnosti.
1.3 Bloková šifra Termín operační mód je dle definice uvedené << [HaC] >> mapováním bloku šifry předem dané délky n na blok otevřeného textu daného n-ticí bitů. S termínem operační mód souvisí ještě datová expanze. Expanzí dat se pak nazývá situace, kdy délka klíče k < n. Pokud platí, že k = n, pak mluvíme o nulové aritmetické expanzi. Na blok šifry lze nahlížet jako na substituční šifru s velkou délkou klíče ≥ 64 bit. Funkce je pak parametrizována na k-bitový klíč K1 z podmnožiny prostoru všech klíčů Vk. Jestliže je požadováné jednoznačné dešifrování, pak je nezbytně nutné, aby byl stanoven poměr otevřených dat k zašifrovaným roven 1:1 (princip inverze). Základní operační módy jsou ECB, CBC, CFB, a OFB. Motivací pro zavedení operačních módů jsou důvody ryze ekonomické. Následující faktory vedou přímo k zavedení operačních módů <
>
1.3.1 Požadavky na operační módy 1.3.1.1 Požadovaná úroveň zabezpečení. Důvěra v kryptografické schémata z hlediska historické perspektivy závisela a závisí na schopnosti odolat kryptoanalytickým pokusům po poměrně dlouhou dobu. Pokud takové kryptoschéma odolá po dostatečně dlouhou dobu, je víceméně vždy považováno za bezpečné. Mimo jiné i proto jsou kryptografická schémata navrhována s perspektivou spíše několika desetiletí. Délka klíče je volena
s ohledem na skutečnost, že objem dat, v potřebný k provedení úspěšného útoku, musí výrazně převýšit délku unikátní vzdálenosti šifry. <<---hac (Definition 7.69)>> 1.3.1.2 Délka klíče Efektivní bitová délka klíče, či spíše entropie prostoru klíčů, definuje horní hranici bezpečnosti šifry, nutnou pro určení počtu nutných hledání všech klíčů. Používání dlouhých klíčů si vynucuje dodatečné náklady v podobě nákladů na generování, přenos, obtíže s ukládáním a v neposlední míře i se zapamatováním si hesel, nebo heslových frází. Zde se přímo nabízí úvaha, jak moc je účinné používat k ochraně dat klíče délky 128 a více bitů, když „passphrase“ má entropii maximálně 50 70 bitů a to ještě ve velmi ideálním případě. 1.3.1.3 Délka bloku Délka bloku přímo ovlivňuje celkovou náročnost řešení (cenu) dvěma způsoby. Velikost bloku má vliv na bezpečnost, protože delší blok je více žádoucí, než kratší, za to však má dopad na komplexnost a náročnost řešení, protože je třeba řešit problémy s rozdílnou délkou šifry a dat. 1.3.1.4 Komplexnost mapování Složitost mapování má dopad na rychlost provádění, velikost kódu nebo složitost HW řešení. Volba metody transformace může a také obvykle má přímý dopad na vhodnost realizovatelnosti v SW, nebo HW řešení. Dobrým příkladem je šifra DES, která je poměrně rychlá v HW provedení, ale selhává v SW realizaci. 1.3.1.5 Datová expanze Celkem pochopitelným požadavkem je, aby šifra byla kratší než délka bloku. Tento požadavek lze řešit je možné řešit substitucí, nebo randomizací pomocí rund. 1.3.1.6 Šíření chyb Propagace chyb je méně zjevný problém už proto, protože se v návrhu nevyskytuje. Je třeba ho řešit v realizační fázi. Nejčastěji jej ovlivňuje délka bloku šifry. Obrázek převzatý z <>
1.3.2 Základní operační módy V práci uvádím většinu problémů, před kterými stojí realizace. Operační módy mohou pomoci tyto problémy překlenout. To však neznamená že jsou samospasitelné. Při detailním návrhu je třeba
počítat také s jejich negativními vlastnostmi. Zvláště v nevhodně kombinaci s primární šifrou mohou způsobit, že jinak dobrý algoritmus se stane bezcenným. Vlastnosti jednotlivých základních módů prezentuje následující shrnutí. 1.3.2.1 ECB ECB (Electronic codebook)2 šifruje po blocích pomocí jednoho a toho samého klíče. Výsledkem jeidentický zašifrovaný text. Důsledky takovéhoto návrhu jsou zřejmé: •
Šifrovaný text je možné přeskupit a tím i přeskupit i otevřený text.
•
Šíření chyb je tímto omezeno pouze na blok ve kterém chyba vznikla. Nemá dopad na ostatní bloky šifrovaného nebo otevřeného textu.
•
Odolnost proti kryptografickým útokům je nulová. Substituční útok, nebo útok pomocí voleného textu je snadno proveditelný. Neméně závažná je i skutečnost, že mód neskrývá schéma otevřené zprávy. Otevírá tím prostor pro sofistikovanější útoky.
Ilustrace 2: Schéma ECB Obrázek převzatý z << [HaC] str. 229 >> názorně demonstruje mód ECB v režimu šifrování a dešifrování>> Pro vysvětlení: key značí klíč, xi vstupní vektor (otevřený text), E šifrovací schéma, n délka bloku šifry E-1, xj výstupní vektor (otevřený text). 1.3.2.2 CBC / CFB CBC (Cipher-block chaining) mód využívá mnohem komplexnější schéma než ECB. Je také mnohem bezpečnější. •
Pokud se použije identický otevřený text a jiný IV (inicializační vektor), výstupní soubor bude vždy rozdílný ve výsledku. IV nutně nemusí být tajný. Podobně jako v případě CBC, řetězící mechanismus způsobuje, že zašifrovaný cj blok závisí na obou předcházejících blocích xj a xj+1 otevřeného textu.
2
Ilustrace 2 představuje základní princip šifrování a dešifrování v módu ECB. Obrázek je převzat z HaC str. 229
•
Šíření chyb. Chyby se podobně jako u CBC módu objevují na stejné pozici xj, kde se nachází chyba v cj. Protože je přesně dané, kde se chyba objeví, útočník může může manipulovat předvídatelným způsobem s obsahem otevřeného textu xj.
•
Zotavení se z chyb. Stejně jako v případě CBC je CFB mód samo synchronizující. Pro úplné zotavení je třeba n / r bloků šifry.
•
Varianta podle ISO. Ta se používá v situaci, kdy z nějakého důvodu je rozdíl s a r je menší než jeden bit. Pak se bit nejvíce vlevo a hodnota cj se předzpočítá r – s. Pak je r – bitový feedback proměnné posunut na pozici nejméně významného bitu.
•
Poznámka k vlastnostem. Na rozdíl od CBC nelze CFB použít v kombinaci s algoritmy pracující s veřejnými klíči.
Ilustrace 3: Schématický obrázek popisující CFB mód
1.3.2.3 OFB (Output feedback) mód OFB3 je mód používaný tam, kde je nezbytně nutné zamezit propagaci chyb. OFB mód je jediný, který je specifikován v nějakém standardu (ISO 10116 a FIPS 81). OFB je stejně jako CFB vhodný pro šifrování posloupnosti znaků. Oproti CFB je rychlejší. Určitou výhodou je, že je možné spočítat podklíče nezávisle na datech a tím urychlit provádění výpočtů. To platí za předpokladu, že známe předem IV. 3
Kresba demonstruje princip OFB módu a je převzata z <>:
Ilustrace 4: princip OFB módu •
Identický otevřený text s identickým IV vedou vždy ke stejnému šifrovanému textu.
•
Výstupní vektor cj nezáleží jen na vstupním vektoru xj, ale i na všech předešlých vstupních vektorech xj-n.
•
Šíření chyb. OFB je schopný se sám od sebe zotavit z chyb, není však schopen se sesynchronizovat. Z toho plyne, že je třeba implementovat algoritmus řešící synchronizaci.
•
Bezpečnostní opatření. Pro zajištění bezpečnosti řešení je třeba implementovat blokovou šifru s délkou bloku n bitů pouze v n-bitovém OFB módu. Opětovné používání klíčů je možné pokud změnímě IV. V opačném případě útočník může snadno, za podmínky znalosti předchozího zašifrovaného textu, odvodit snadno klíč (XOR).
•
Stejně jako v případě CFB dochází k snížení propustnosti v případě, že platí r < n. Tento nedostatek lze kompenzovat, pokud předem spočítáme klíče (nutná znalost IV).
1.3.2.4 CTR mód CTR (counter mód) mód provozu blokové šifry je obdobný OFB. Ovšem namísto posuvného registru se používá čítač (tím se ztrácí jakákoliv zpětná vazba). Po každém zakódování jednoho bloku se hodnota čítače změní o konstantu, zpravidla se zvětší o jedna. Namísto čítače je možné
použít i např. generátor náhodných čísel (pro dešifrování je však vždy nutno použít stejnou posloupnost hodnot, která byla použita pro šifrování). Podobně jako u OFB, CTR mění blokovou šifru na proudovou. Bezpečnost CTR je zhruba stejná jako v případě OFB.
1.4 Pokročilé operační módy V práci jsem doposud uváděl pouze základními operačními módy. Ty pro reálné nasazení nejsou vůbec vhodné a to z mnoha důvodů. Především neposkytují dostatečnou úroveň bezpečnosti a to buď garantovanou, nebo odvoditelnou z použitého algoritmu. Rovněž nejsou sto zajistit autentizaci, kontrolu integrity a další vlastnosti, jako je odolnost proti zaneseným chybám a nebo vysokou rychlost šifrování. Požadavky, jako je rychlost šifrování nebo odolnost vůči chybám, nejsou jedinými požadavky pro zavedení pokročilejších módu. Obvyklým postupem je zvolení nějakého základního módu a přidání vhodného symetrického šifrovacího algoritmu jako je AES. AES je také nejčastější volbou. Tyto módy jsou převzaty z oficiálního doporučení NIST a je možné je nalézt v doporučeních „Special Publication 800-38x“ << >>. Uvedené módy zajišťují dostatečnou úroveň zabezpečení a je možné pro tyto módy stanovit úroveň odolnosti oproti kryptografickým útokům. Tím, že lze určit úroveň robustnosti, vzniká dostatečný podklad pro rozhodování o vhodnosti nasazení daného kryptografického schématu. U základních módů to není vždy úplně možné, protože záleží mimo jiné, na dodatečném šifrovacím algoritmu, typu a struktuře dat. Nelze vždy dopředu odhadnout vliv faktorů, jako je například sémantická bezpečnost. Za pokročilejší módy lze
považovat
následující
módy
<> a některé další << http://csrc.nist.gov/groups/ST/toolkit/BCM/modes_development.html >>: ▪ Autentizační módy. ▪ Autentizačně - šifrovací módy. ▪ Autentizačně - šifrovací módy pro vysoké rychlosti šifrování.
1.4.1.1 Módy důvěry Módy důvěry. Tyto módy slouží především pro vytváření MAC (Message Authentication Code). Ověřování autenticity je kritickým faktorem. Umožňuje předejít útokům typu man-in-the-middle, flip-flop a různým variantám replay atack. Významným faktorem, proč používat MAC je i to, že detekují změny v délce přenášených zpráv. Navíc užití tajného klíče dává důvod věřit,
že zpráva přišla od skutečného odesílatele. MAC jsou velice rychlé, obzvláště, pokud není nutno zároveň i šifrovat. Jsou ovšem i jiné důvody proč používat módy důvěry. Jedním z nepříliš často uváděným důvodem je přirozený šum pozadí (rušení) a chybovost přenosového protokolu, která je vždy > 0, byť je chybovost velmi malé číslo. Tyto vlivy nelze úplně eliminovat, protože jsou dány kvantovými jevy. U velmi velkých souborů ( řádově jednotky TB) je pravděpodobnost výskytu bitové chyby blížící se jedné pro běžně dostupné přenosové technologie. Proto některé databáze mají zabudovaný (ORACLE) mechanismus detekce a opravy takovýchto chyb. Lze nalézt i jiné příklady. 10 Gbps ethernet má doporučenou hodnotu chybovosti 10-13 (viz:http://grouper.ieee.org/groups/802/3/10G_study/public/july99/chang_2_0799.pdf). Dále se zde projevují důsledky narozeninového paradoxu apod., které chybovost ještě více zvyšují. V práci se zabývám mimo jiné i praktickými aspekty protokolů, protože snahou je odhadnout odolnost proti luštění.
1.4.1.2 Šifrování dat v prostředí datových úložišť Šifrování v prostředí datových úložišť je implementací operačních módů. Datová úložiště se rychle dostávají do popředí v poslední době především proto, že je velmi snadné získat data z úložišť oproti luštění zašifrovaných zpráv. Rovněž je mnohem rychlejší získat data kompromitací systému, například, protože s časem hodnota dat rychle klesá. Jako ochrana se nejčastěji používá šifrování. Takto chráněný systém je bezpečný pokud platí následující postulát: „Implementace je tehdy bezpečná, pokud útočník nemůže zjistit z přímého sledování média, jakoukoli užitečnou informaci a to buď uložením textu, nebo modifikací textu již uloženého“. Z toho plyne, že ochrana dat v prostředí datových úložišť a prostředků výpočetní techniky obecně, vyžaduje vytvoření analýzy hrozeb (threat analysis). Zároveň je nutné předeslat, že ochrana datových úložišť je jen jednou z mnoha částí ochrany dat před zneužitím a šifrování je jen jeden z prostředků, jak dosáhnout požadované úrovně zabezpečení. Pokud se má vytvořit spolehlivý robustní systém, je nezbytností vytvořit model rizik a na ten implementovat známé a osvědčené principy. I zde platí, víc než kdekoli jinde, že „lidová tvořivost“ se nevyplácí. Šifrování datových úložišť, vzhledem k povaze otevřeného textu, má svá specifika. Jako základní informace mohou posloužit články: http://crypto-world.info/klima/2007/ST_2007_07_18_18.pdf a článek v časopise Hacking 1/2008 str. 20-27.
1.4.1.3 Vlastnosti uložených souborů a médií Vzhledem k tomu, že je možné predikovat celou řadu vlastností uložených souborů jako je:
velikost souboru, charakteristické oblasti souboru, formátovací značky (například XML – viz sémantická bezpečnost), bloky nul nebo jedniček apod. Další informací hodnotnou informací se může ukázat struktura FS (file system) jako inody, transakční log, informace relavantní k RAID grupě. Informace je využitelná v souvislosti s metodami založenými na diferenciální kryptoanalýze, ale i pomocí mnohem méně sofistikovaných metod. Šifrování blok po bloku je ve skutečnosti substituční šifra. Nahrazením substituce mnohem větším počtem možných kombinací 2128, nebo 2256 stále jde o substituční šifru byť s velmi velkým počtem kombinací. Jestliže je na disku velký počet stejných řetězců, je jasné, že jde nulami vyplněný prostor, nebo může zaměňovat libovolné skupiny po 128 bytech. Mimo to většina systémů založených na CBC má nepříjemnou vlastnost, že musí použít použít inicializační vektor IV. Protože nelze uložit inicializační vektor pro každý blok média zvlášť je nutné ho odvodit od čísla sektoru. Jistě je možné použít master IV, nebo sůl a nějakou vhodnou funkcí spojit s číslem sektoru. Problém nastane v okamžiku, kdy není možné tento hlavní inicializační vektor obnovit, například po nějaké chybě OS a podobně i přes zajištění vícenásobným umístěním na médiu. Navíc je reálné riziko, že útočník může přepsat IV nějakým jiným vektorem a pak je celý obsah nedostupný (fakticky jde o denial of service atack). •
Velikost bloku na médiu. Nezřídka se setkáváme s délkou bloku rozdílnou od standardní velikosti 512 byte (například IBM AS/400 používá 520 byte). Je nutné přijmout opatření, aby útočník neměl příležitost k snadnému dešifrování. Tomu se dá předejít technikou kradení šifrového textu (cipherblock stealing). Páskové mechaniky používají mnohem delší bloky (4 – 8 kB, nebo i více).
•
Narow-block a wide-block encryption. Rozdíl v přístupu k oběma typům je v tom, že není přímo možné použít jeden mód na libovolnou sektoru na disku. Důvody jsou zřejmé. Pokud je sektor malý tj menší než délka bloku šifry a blok má konstantní délku, je prakticky jediným problémem rychlost provádění operace šifrování a dešifrování. V dnešní době je už rychlost procesorů tak vysoká, že výpočetní operace spojené s šifrováním je možné provádět za chodu. V případě delšího bloku je situace odlišná. Je nutné vzít v potaz několik aspektů. Především, jak zajistit, aby délka bloku šifry neznamenala bezpečnostní riziko. Riziko spočívá v tom, že násobek délky sektoru šifry vůči bloku bude konstantní a celočíselný. Pokud tento násobek nesplňuje tuto podmínku, je třeba vyřešit konce zašifrovaného textu nějakým doplňovacím schématem. Lze namítnout, že je možné navrhnout délku šifry, tak aby tomuto požadavku odpovídala. V praxi takové řešení naráží na omezení daná OS, nebo požadavkem zašifrovat už existující soubory na disku. FS využívající velké bloky disponují schopností využívat zbytkový prostor, který by jinak zůstal nezaplněn. Pro zacházení
s extenty a nevyužitými zbytky sektorů (nezaplněnými daty) je třeba použít jednoznačný a spolehlivý algoritmus. Samostatnou kapitolu představují transakční, nebo žurnálovací FS, které díky své povaze mohou mít data duplikována, rozprostřena po celém disku a ukládat rozdíly vůči nějakému stavu apod. Zhruba platí, že se doposud používá pro narow-block encryption LRW a XEX a pro wide-block encryption CMC and EME. Nejčastějším obecně používaným řešením nejen pro velké sektory je použití XTS-AES a to především díky standardizaci. Tento šifrovací algoritmus vznikl modifikací a sloučením několika návrhů. Může mít tři délky klíče K: 256, 320 a 384 bitů. Klíč rozdělí na část K1, který použije jako klíč algoritmu AES-128, 192 nebo 256, a část K2, která má 128 bitů. Algoritmus nezabraňuje všem útokům, ale alespoň těm nejčastějším. Mimoto má dobrý poměr cena/výkon. Je vhodný pro šifrování sektorů, které nejsou zarovnány na 128 bitů, například sektory o 520 bajtech, a to technikou kradení šifrového textu, zmíněné dříve. •
Problémy spojené s ukládáním dat prostředky výpočetní techniky. Záměrně zde užívám termín výpočetní technika, neboť jde o více způsobů ukládání dat a to nejen na magnetická média, CD / DVD, ale i v papírové podobě. Samotný fakt, že data jsou často redundantní znamená, že je možné snáze provádět útoky typu plain text, nebo útok pomocí známého textu. V případě databázových aplikací je třeba vzít v úvahu, že objem dat může být výrazně menší než standardní velikost bloku použité šifry. To zapříčiňuje, že objem zašifrovaného textu je výrazně větší než u otevřeného textu. Je třeba zdůraznit, že archivační a zálohovací systémy také zvyšují objem zašifrovaného textu. Při nesprávně voleném algoritmu může dojít k oslabení ochrany, která může vést až k úplnému prolomení ochrany a to díky možným kryptografickým útokům. Redundantní objem dat dává prostor k analýze prostředí, jejíž výsledkem může být cílený útok, ať už v podobě
man-in-the-middle, nebo útoku
založeném na porovnání dvou či více zašifrovaných textů. •
Rychlost I/O operací. Rychlost I/O operací je kritickým faktorem zejména v případě masivně paralelních systémů, nebo databázových systémů a proto je třeba volit vhodný nejlépe vysokorychlostní algoritmus.
•
Ukládání klíčů. Ukládání klíčů v případě dlouhodobého ukládání vyžaduje klíčové hospodářství na dostatečně vysoké úrovni, protože zde hrozí riziko možné krádeže klíče.
•
Klíčové hospodářství. Klíčové hospodářství je nezbytným v případě organizace s velkým objemem dat a velkým počtem uživatelů. Komplexnost roste kvadraticky s počtem uživatelů a množstvím dat, ke kterým mají mít přístup. Ke zvyšování komplexnosti přispívá i fakt, že
systém musí být dostatečně flexibilní, aby byl schopen reagovat na změnu politik, rozšiřování objemu dat i uživatelů (dostatečný klíčový prostor). V neposlední míře musí být schopen pokrýt požadavky typu: uživatel A smí vidět pouze část souboru X, kdežto uživatel B celý soubor atd. •
Rozdíly dané architektonicky. V zásadě lze volit mezi dvěmi hlavními přístupy a to: link-by-link a end-to-end << [PC] str. 221>>. Je samozřejmě možné, za určitých podmínek kombinovat oba přístupy. Nicméně, ne vždy je to možné a žádoucí. Lze si představit situaci, kdy z nějakého důvodu je nutno ověřit konzistenci dat na jednotlivých uzlech a nebo ověřit, že data skutečně prošla přes nějaký uzel nebo bránu (typické pro bezpečnostní modely jako je Bell – La Padulla apod.)
•
Link-by-link. Spíše by se slušelo nahradit termínem point-to-point. K šifrování dochází na komunikačních spojích mezi jednotlivými uzly prostředí.
1.4.1.4 Bezpečnost mezi jednotlivými uzly •
V uzlech je obsah nezajištěn. Znamená to, že je na uzlech možné provádět odposlech.
•
Otevřený text se vyskytuje v nezašifrované podobě na uzlu, který text odesílá.
•
Role uživatele ◦ Šifrování provádí vždy zdrojový uzel (možnost zadních vrátek u zdroje) ◦ Šifrování zneviditelňuje data uživateli, nebo jejich vlastníkovi ◦ Jednotlivé uzly zajišťují šifrování ◦ Všichni uživatelé musí sdílet jeden mechanismus ◦ Výhodou je implementovatelnost HW prostředky ◦ Nevýhodou může být přístup „všechno, nebo nic“ k šifrování dat
•
Implementační omezení ◦ Jeden klíč je vždy nutný pro dvojici uzlů ◦ Na každém uzlu musí být přítomen šifrovací SW, nebo HW ◦ Nutnost autentizace každáho uzlu
◦ End-to-end šifrování •
Bezpečnost mezi jednotlivými uzly ◦ Otevřený text je zašifrován na zdrojovém uzlu ◦ V mezilehlých uzlech je otevřený text zašifrován
•
Role uživatele ◦ Šifrování provádí vždy zdrojový proces (možnost zadních vrátek u zdroje) ◦ uživatel je ten, kdo vždy aplikuje šifrování ◦ uživatel vždy volí algoritmus ◦ Výhodou je snadná impementace SW prostředky ◦ Uživatel volí soubor, případně algoritmus jímž bude soubor šifrován
•
Implementační omezení ◦ Pro každý pár uživatelů je nutný jeden klíč ◦ Každý uzel musí být vybaven HW, nebo SW prostředky pro šifrování ◦ Nutnost autentizace každého uživatele
1.4.1.5 Rozdíl v šifrování celého datového úložiště a jednotlivých souborů •
Šifrování jednotlivých souborů ◦ Výhody ▪ Jednoduchá implementace. ▪ Pružnost v zacházení se soubory. Při transportu dat mezi cílovým a zdrojovým uzlem, nebo procesem, není třeba odšifrovat a znovu zašifrovat. ▪ Zálohování je mnohem jednodušší (viz. předchozí bod). ◦ Bezpečností rizika ▪ Možný únik informace skrze nedostatečně zabezpečené programy.
▪ Chybná,
nebo
nedostatečně
kvalitní
implementace.
Pokud
implementace
nedostatečně zajišťuje bezpečnost kritických součástí kódu, nebo nesprávně zachází se soubory (i dočasnými), vážně snižuje nebo přímo ohržuje otevřený text. Takovým příkladem může být implementace hesla v které je nezajištěné v paměti, nebo v odkládacím souboru. ◦ Problémy spojené s používáním ▪ Uživatel musí vědět jak správně nakládat s daty a jak zacházet s nástroji pro šifrování. ▪ Pro dostatečné zabezpečení většího počtu souborů je potřeba odpovídající množství hesel. V ideálním případě platí, že co soubor to vlastní heslo. ▪ Řízení přístupu v podstatě neexistuje. Pokud nepoužijeme nějaký centralizovaný nástroj pro zprávu klíčů, pak uživatel je ten, kdo provádí řízení přístupu. •
Šifrování na úrovni celého datového úložiště ◦ Výhody ▪ Dočasné soubory, pracovní kopie, atp. jsou zajištěny. ▪ Pravděpodobnost, že něco nebude zašifrováno, nebo se zapomene zašifrovat je výrazně nižší. ◦ Bezpečností rizika ▪ Implementační nedostatky. Je obtížné správně navrhnout část programu uloženou v paměti a k tomu příslušný ovladač. Další bezpečnostní riziko vyplývá z chybné nebo nesprávné implementace hesel (autentizace a autorizace obecně). ▪ Pokud takto koncipovaný užívá master heslo jeho ztráta, nebo vyzrazení znamená automaticky kompromitování obsahu celého datového úložiště. ▪ Výběr šifer. Je třeba mít na paměti, že ne všechny algoritmy jsou vhodné pro šifrování obsahu datového úložiště. Vhodným příkladem může být OFB (viz výše). ◦ Problémy spojené s používáním. ▪ Jednoznačnou nevýhodou je snížení rychlosti přístupu k datů. Dalším nedostatkem
může být SW implementace (snížení výkonsti systému). ▪ Data se obtížně extrahují v případě, že dojde k poškození řídících struktur média. Zašifrované prostředí totiž může úplně znemožnit obnovu dat po havárii. 1.4.1.6 HW prostředky a SW prostředky HW prostředky byly dlouhou dobu jedinými, které bylo možné nasadit pro zajištění dat. Dnes spíše převládají SW prostředky, nicméně to neznamená, že by byly na ústupu. Dnes se opět začínají objevovat jako součást řadičů diskových polí, nebo jako součást čipsetů pro PC. V této souvislosti je třeba poznamenat, že pokud by takovéto řešení chtěl kdokoli použít pro zacházení s utajovanými skutečnosti, nebude mu to dovoleno, protože takové povolení vydává pouze a jen pouze příslušný úřad. Získat atestaci na jednotlivé komponenty je obtížné, vydává se pro celkové řešení. Atestaci předchází vždy důkladné zkoumání, které může být odňato. Výhodou HW řešení je jednoznačně rychlost. Výpočetní operace spojené s šifrováním a dešifrováním jsou většinou velmi náročné a proto není přínosné zatěžovat hlavní procesor těmito opracemi. Pro používání oddělených HW prostředků hovoří další faktor. Operace prováděné CPU mohou být trasovány a v neposlední míře je i možné provádět útoky typu timming atack přímo na procesoru. CPU většinou nejsou navrhovány s ohledem na zabezpečení prováděných operací. Specifický problémem je ochrana oproti snoopingu. Techniky jako je TEMPEST umožňují i vzdáleně, provádět odposlech pomocí sledování parazitního vyzařování (to se týká i tamperingu). Ochrana proti takovýmto útokům je mimo rámec této práce. Významným faktorem, který hovoří ve prospěch zavádění HW prostředků, je snadná implementace. Nevýhodou jsou časté problémy s kompatibilitou. Běžně se stává, že spolu nekomunikují zařízení od jednoho dodavatele. Velmi často opomíjeným faktorem při implementaci HW řešení je provoz a oprava chyb v algoritmu. Oprava chyb se v prostředí HW implementace provádí hůře než v případě SW implementace (pokud je vůbec možná). HW prostředky obvykle řeší část celkového zabezpečení, nikoliv celek jako takový. SW řešení naproti tomu je možné snáze implementovat, jako end-to-end. Jednoznačnou výhodou je portabilita. SW řešení je možné snadno implementovat na desítky, nebo stovky řešení a stejně rychle je možné provádět opravy chyb, pokud se vyskytnou. Na rozdíl od HW je možné, v prostředí SW řešení implementovat bezpečnostní politiky, které jsou mnohem flexibilnější a je možné je ušít na míru prostředí, ve kterém jsou implementovány. Kritickým faktorem je pak správa prostředí. 1.4.1.7 Standardizační úsilí v oblasti šifrování ukládaní dat Snaha o standardizaci vyústila ve vytvoření pracovních skupin IEEE P1619.x. Zatím byl pouze standardizovány disk storage standard P1619.0 a tape storage standard P1619.1. Standardy zatím
vyřešily některé problémy související s problematikou. Standard P1619.0 definuje šifrování disků použitím algoritmu XTS-AES. Standard P1619.1 (draft) navrhuje šifrování pásek použitím algoritmu AES v modech Counter mód s CBC-MAC (CCM), Galois/Counter Mode (GCM, viz dále), CBC-HMAC-SHA a XTS-HMAC-SHA. Standard P1619.2 se zabývá šifrováním disků s použitím blokové šifry s blokem délky (512 bitů). Také se pracuje na standardu klíčového hospodářství pro paměťová média (draft P1619.3 - v době psaní práce). V práci se zabývám především stávajícím stavem a diskovými a SSD médii. Nejdříve se zaměřím na stávající stav. Nejčastěji využívanými algoritmy současnosti jsou založené na CBC, a to přes své dosti zásadní nedostatky, především v oblasti integrity dat. CBC se používá mimo jiné i proto, protože jiné vhodnější módy jsou patentovány.
1.5 Kombinování blokových šifer Kombinování blokových šifer je způsob jak dosáhnout následujících cílů a to už dohromady, anebo odděleně. ▪ Zvětšit délku klíče ▪ Zkrátit délku klíče ▪ Odstranit některé nedostatky v použitém algoritmu. Prodloužit délku použitého bloku.
1.5.1 Vícenásobné šifrování Nepříliš dobrým způsobem, jak zvýšit bezpečnost algoritmu, je použití dvou nebo více různých klíčů. Uvažujme následující způsob šifrování a dešifrování. C = Ek2(Ek1(P)) P = Dk1(Dk2(C)) Pokud je ovšem blokový algoritmus v grupě, pak platí, že: C = Ek2(Ek1(P)) = Ek3(P) To je nežádoucí stav a z praktických důvodů budeme se mu snažíme vyhnout. Důvod je nasnadě. Dva klíče nahradíme jiným klíčem. Pokud zajistíme, že k tomuto nedojde, nutně to neznamená výhodu delšího klíče. Nebezpečí je skryto v realizovatelném útoku známém jako „setkání uprostřed“ (meet-in-the-middle). Tento útok umožňuje, za předpokladu dostatečně velké dostupné
paměti, snížit výpočetní náročnost řešení úlohy z 22n na 2n+1. Útok předpokládá znalost následujících parametrů: P1, C1, P2 a C2 takových, pro která platí: C1 = Ek2(Ek1(P1 )) C2 = Ek2(Ek1(P2 )) Pak stačí pro všechna platná k spočítat Ek(P1 ) a uložit všechny výsledky do paměti. V následujícím kroku spočítá Dk(C1) a porovná s výsledky v paměti. Pokud se mu podaří najít takovou shodu, pak v následujícím kroku musí ověřit, že klíč K1 je shodný s K2. Pro ověření postačí zašifrovat P1 pomocí K1 a K2. Pokud výsledkem bude C2, lze s velkou pravděpodobností říci (s pravděpodobností 22m - 2n), že máme správné hodnoty C1 a C2. Úvaha vypadá na první pohled nebezpečně pro dvojnásobné šifrování, ale v běžných podmínkách je spíše hypotetickou hrozbou, neboť vyžaduje velký objem paměti (22n). Pokud se bude uvažovat pouze paměť nutná pro uložení dat, pak bude potřeba 256 64 bitových bloků, což znamená 5,76 1011 MB a to vše jen pro čistá data. Do tohoto odhadu nejsou započítána další nutné pomocné data jako jsou: indexy, CRC apod. Při těcchto to objemech jsou pomocná data absolutně nezbytná, už pro odhalení možné zanesené chyby V případě 128 bitového klíče to znamená nárůst na 2,72 1033 MB. Při takových objemech není technicky možné provést útok metodou meet-in-the-middle, protože jen objem křemíku, který by byl potřeba pro paměť typu RAM by byl kvádr o velikosti hrany 1,73 km (za předpokladu, že budeme uvažovat 5 atomů na hradlo a jen křemík). Z tohoto zjištění plyne, že nejefektivnější způsob, jak zvýšit bezpečnost dat, je použití buď silnějšího algoritmu, nebo delšího klíče.
1.5.2 Trojnásobné a vícenásobné šifrování (EDE) EDE je akronym pro Encryption-Decryption-Encryption. Metoda je používána v souvislosti se snahou o zesílení algoritmu DES. Popis je možné nalézt v standardech X 9.17 a ISO 8732. Algoritmus byl vyvinut firmou IBM. Důvody byly v zásadě dva. Prvním důvodem byla zpětná kompatibilita a tím druhým snaha o zesílení algoritmu DES, který už v té době byl považován za nedostatečně silný (1978). V případě ostatních algoritmů nemá jeho užívání smysl, protože jsou samy o sobě podstatně silnější (např.: AES, TWOFISH apod.). EDE samo o sobě není dostatečně odolné řešení proti útokům za pomoci kvantových počítačů. Význam má především v CSPRNG (Cryptographicaly Secure Pseudo Random Generator) dle standardu X 9.17.
1.6 PKCS PKCS (Public Key Cryptography Standards) je standard proponovaný firmou RSA Inc. Jejímž cílem je standardizovat šifrování s veřejným klíčem založeným především na algoritmu RSA,
jenž měla patentovaný (zkončila platnost 22.10.2001). Související témata, jako kryptotokeny apod. řeší také, i když ne všechny související aspekty. Tento standard se fakticky průmyslovým standardem nestal, nicméně našel svou důležitost v prostředí IETF PKIX a jeho některé části jsou přímo využívány v internetových standardech jako je RFC-2704 (KeyNote Trust-Management System Version 2), RFC-2794 (DSA and RSA Key and Signature Encoding for the KeyNote Trust Management system), SSL 3.0, a v dalších oblastech.
1.6.1 PKCS #1 PKCS#1 je formalizace definicí vlastností veřejných a privátních klíčů. Formalizace obsahuje základní algoritmy, kódovací a doplňovací schémata nutná pro šifrování dešifrování a ověřování podpisů. Poslední vydaná verze 2.1, která řeší některé bezpečnostní problémy související s implementací schémat a kryptologických primitiv předchozích implementací, které se v průběhu času objevili a bylo třeba na ně adekvátně reagovat. PKCS #1 je popsán v internetovém standardu RFC – 3447. Vybranými primitivy jako jsou RSA-OAEP a RSA-PSS se budeme zabývat dále.
1.6.2 PKCS #2 a #4 Tyto standardy byly zahrnuty do PKCS #1 a nejsou dále aktivní. PKCS #2 definoval kontrolní součty a PKCS #4 popisoval syntaxi klíčových primitiv.
1.6.3 PKCS #3 PKCS #3 definuje aspekty Diffie-Helman klíčové schody (dále jen D-H). D-H klíčová shoda v této specifikaci řeší výměnu společného tajného klíče mezi dvěmi subjekty skrze nezajištěný komunikační kanál. V současnosti je platnou verzí verze 1.4.
1.6.4 PKCS #5 PKCS #5 definuje schémata pro šifrovací techniky založené na tajném přístupovém kódu.
1.6.5 PKCS #6 PKCS #6 definuje další kryptografické rozšíření pro PKI certifikáty na bázi X.509v1 ve verzi 1.5. Dnes je kompletně nahrazena implementací ve verzi X509v3.
1.6.6 PKCS #7 PKCS #7 je definicí pro předdávání zašifrovaných zpráv CMS (Cryptographic Message Syntax
Standard). CMSS se stal výchozím pro standard S/MIME. Je především užíván pro elektronický podpis a šifrování v rámci PKI. V současné době je specifikován v RFC-3852.
1.6.7 PKCS #8 PKCS #8 je standard pro Private-Key Information Syntax Standard. Je především používán v prostředí http serveru APACHE, jako nástroj pro manipulace s privátními klíči certifikátů. Pozoruhodné je to, že nepoužívá šifrování.
1.6.8 PKCS #9 PKCS #9 definuje vybrané atributy pro ostatní PKCS. Pro PKCS #6 definuje atributy užité v PKI certifikátech, PKCS #7 atributy užité při podepisování zpráv a v PKCS #8 informace relevantní s privátními klíči. Trochu vyjímkou je PKCS # 10, pro který definuje atributy užité v CSR (certificate-signing requests). Platná verze je verze 2.0.
1.6.9 PKCS #10 PKCS #10, jak již bylo řečeno dříve, je popisem Certification Request Standard, standardem řešící vydávání PKI certifikátů a souvisejících otázek. CSR je kodifikován v RFC – 2986 a platná verze je 1.7. Ve své podstatě je CSR žádost o vydání certifikátu vlastního veřejného klíče.
1.6.10
PKCS #11
PKCS #11 popisuje Cryptographic Token Interface (CTI, Cryptoki). CTI je generickým rozhraním pro kryptografické tokeny (HW bezpečnostní moduly, „klíčenky“ apod.). PKCS #11 je často využíván v implementacích chytrých karet (smartcards) a single-sign-on řešení. Některé programovací jazyky a prostředí přímo nabízejí přímo použitelné třídy bezpečnostních rozhraní zabývající s realizací API pro PKCS #11. Poslední platná verze je 2.2. Jako zástupce uveďme JAVA J2EE
(java.cryptoAPI,
java.security,
java.net)
a
C#
(CAPICOM.EnvelopedData,
System.Security.Cryptography.X509Certificates a další)
1.6.11
PKCS #12
PKCS #12 je definicí pro Personal Information Exchange Syntax Standard (PFX). PFX definuje atributy užívané pro ukládání privátních klíčů nejčastěji v souvislosti s PKI a certifikátů veřejných klíčů. PFX je de facto předchůdce PKCS #12. Formát je realizován jako kontejner a proto není
problém ukládání více certifikátů současně v jednom kontejneru. PKCS #12 je použit například pro ukládání certifikátů a klíčů v prostředí J2EE, jako keystore.
1.6.12
PKCS #13
PKCS #13 je zamýšlen jako standard pro ECC (Eliptic Curve Cryptography). Doposud však nebyl vydán ani jako veřejný draft.
1.6.13
PKCS #14
PKCS #14 je snahou o vytvoření jednotného standardu a rozhraní pro PRNG (Pseudo Random Generator). Stejně jako v případě PKCS #13 nebyl vydán ani jako veřejný draft.
1.6.14
PKCS #15
PKCS #15 je soubor definicí atributů a metod pro Cryptographic Token Information Format Standard. Pozoruhodné je, že PKCS #15 je nezávislý na PKCS #11. Tento standard je především spojen se standardem pro chytré karty dle ISO/IEC 7816-15 jehož nedílnou součástí je právě zmíněný standard. Metody a atributy zde popsané, dovolují interakci, vzájemnou identifikaci uživatele a aplikace pomocí chytrých karet.
1.7 Symetrická šifrovací schémata Symetrická šifrovací schémata jsou nejstarší používaná šifrovací schémata vůbec. Jejich používání je doloženo z doby před naším letopočtem. Společný rysem je, že používají stejný klíč pro šifrování i dešifrování textu. Stejný klíč pro šifrování i dešifrování přináší jeden zásadní problém a to nutnost přenést tento klíč mezi odesilatelem i příjemcem zabezpečeným kanálem. V praxi nastávají ještě další obtíže v případě komunikace více subjektů mezi sebou dochází, k nárůstu počtu klíčů, je potřeba vyřešit bezpečnou distribuci klíčů, jejich zničení, jejich úschovu apod. To řeší klíčové hospodářství. Nespornou výhodou je, že délka klíče je oproti šifrám asymetrickým malá, běžné kryptosystémy používají délku klíče mezi 56 až 448 bity, což je oproti asymetrickým kryptosystémům výrazně méně (RSA: 768 – 4096 a více bitů). Symetrická šifrovací schémata se dělí na dvě základní podskupiny a to blokové a proudové.
1.7.1 Proudové šifry Proudové šifry šifrují i dešifrují otevřený text bit po bitu, k tomu používají heslo. Heslo je v tomto
případě zažitý termín, který ve skutečnosti představuje proud pseudonáhodných bitů. Ty mohou být vygenerovány i zcela náhodně jako v případě Vernamovy šifry. V tomto případě mluvíme o jednorázovém klíči (OTP - One Time Pad). Protože je žádoucí , aby heslo bylo pokaždé jiné používáme k jeho změně inicializační vektor (IV), který je pro každou zprávu jiný. Obvykle se používá funkce XOR (výjmečná shoda) pro šifrování i dešifrování Velikost a délka je kvalitativním parametrem, nicméně nelze však říci, že platí, čím delší inicializační vektor, tím je šifra kvalitnější. K celkové kvalitě přispívá i použitý šifrovací algoritmus, kvalita návrhu a výsledná realizace. Vždy ale platí, že při inicializaci je algoritmus ve výchozím stavu a utajení je zajištěno pomocí klíče. Pokud by to tak nebylo, bylo by možné provést kryptografický útok na takový kryptosystém metodou studeného startu (cold boot atack). Pokud by totiž byl systém v počátečním stavu již nastaven, bylo by možné pomocí útoku voleným textem zjistit inicializační vektor a tím i jednoduše ohrozit celý kryptosystém.
1.7.2 Blokové šifry Blokové šifry se od proudových liší tím, že ke své činnosti užívají pevnou délku slova. Typickou délkou slova je 64, 128, nebo 256 bitů. Další charakteristickou vlastností je používání tzv. operačního módu (viz dále). Blokové šifry zpracovávají celý blok zprávy naráz. První novodobou komerční blokovou šifrou byl LUCIFER firmy IBM, Vzhledem ke skutečnosti, že šifrovací schéma pro komerční účely bylo velmi žádáno, LUCIFER se stal základem pro první komerčně dostupnou šifru DES. Od svého uveřejnění << http://patft.uspto.gov/netacgi/nphParser?Sect1=PTO1&Sect2=HITOFF&d=PALL&p=1&u=%2Fnetahtml%2FPTO%2Fsrchnum.htm &r=1&f=G&l=50&s1=3962539.PN.&OS=PN/3962539&RS=PN/3962539>> v roce 1976 a standardizování v roce 1977 jako FIPS PUB – 46. DES je také znám kontroverzí, která jej provází od počátku. Jsou dobře známy a zdokumentovány snahy NSA redukovat sílu šifry a délku klíče. Už od počátku tato snaha poznamenala kvalitu této šifry. Její nástupci DESX, TDES apod. Dosahují přijatelných kvalitativních parametrů. Znamenají zkvalitnění tohoto algoritmu. DES je též první veřejně známou komerční šifrou na níž byl proveden úspěšný útok pomocí specializovaného stroje. Stalo se tak v roce 1998, kdy stroj DES CRACKER v ceně 250 000 USD americké organizace EFF (Electronic Frontier Foundation) prolomil 56-bitový klíč v čase 56 hodin. Definitivně tak padla víra, že DES je neprolomitelný. Tuto víru utvrzovala hlavně NSA. Proto byla otevřeně podezřívána, že za tímto úsilím je snaha snadno a rychle luštit zprávy. DES se stal i prubířským kamenem moderních kryptologických technik, jako jsou lineární kryptoanalýza
a diferenciální kryptoanalýza. Jako pozoruhodná se jeví skutečnost, že šifru Triple DES (TDES) přes zjevné nedostatky schématu, uznal NIST jako dostatečnou pro šifrování citlivých informací americké vlády až do roku 2030. Je vhodné říci, že blokové šifry nejsou jen DES a jeho deriváty. Existují i jiné. Jmenuji například AES, BLOWFISH, GOST 28147-89, Skipjack CAST – 128 a další. Zde uvádím BLOWFISH / TWOFISH a AES jako velmi často užívané blokové šifry v prostředí aplikačního programování.
1.7.3 AES AES (Advanced Encryption Standard ) byl původně pracovní název pro budoucí standard symetrické šifry, který měl nahradit stárnoucí DES. V prvním kole se zůčasnilo 15 kandidátů a do druhého kola bylo vybráno celkem 5 kandidátů. Vybrány byly tyto algoritmy: MARS (IBM), RC6 (RSA Labs), Rijndael (Joan Daemen and Vincent Rijmen), Serpent (Anderson, Biham, Knudsen) and Twofish (Counterpane). Požadavky zadavatele byly následující: � Šifra musí šifrovat 128-bit blocích a používat klíče délky128, 192, nebo 256 bitů. � Šifra musí být navržena s ohledem na odolnost oproti útokům s použitím metod diferenciální a lineární kryptanalýzy. � Rychlost. S ohledem na špatné zkušenosti s rychlostí některých šifer (např. DES v SW realizaci), byl do zadání dodán požadavek týkající se rychlosti šifrování a dešifrování (53 MB/s na procesoru Pentiu III). Osobně si myslím, že rychlost je největší přínos tohoto standardu. Uvážíme-li reálnou rychlost současných médií a výkon procesorů, tak tato podmínka umožňuje rozšířit tento standard do oblastí dříve nemyslitelných bez HW akcelerátorů. Tím myslím šifrování paměťových médií za běhu (on-the-fly), šifrování vysokorychlostní komunikace po síti (> 1Gbps) apod. při relativně nízké zátěži procesoru (řádově několik procent na moderních procesorech). � Vysoká rychlost jak v HW tak i v SW prostředí. � AES nebude podléhat licenčním poplatkům. � Další požadavky je možné nalézt na: http://www.nist.gov/aes. Vítěz je znám též pod názvem RIJNDAEL, což je akronym tvůrců Joan Daemen a Vincent Rijmen, pod kterým se zůčasnil soutěže o budoucí standard AES. Rijndael se stal vítězem soutěže vypsané v lednu 1997. Po pětiletém zkušebním období byl jako vítěz klání dne 26. ledna 2001 a přijat jako standard AES. Dne 26 května 2002 jako americký federální standard. AES dovoluje používat klíče,
v souladu se zadáním NIST, 128, 192 a 256 bitů při délce rundy128 bitů. Runda je cyklus, ve kterém se zpracovává vstupní text. Takto dlouhé délky klíčů se označují AES-128, AES-192 a AES-256. Podle toho jakou délku šifry, volíme počet rund je 10, 12, nebo 14. AES je publikován pod hlavičkou NIST v současnosti jako FIPS PUB 197-2, který je zároveň kompletní specifikací algoritmu. Předpokládá se, že standard bude platný podobu 10 až 15let. NIST ve specifikaci síly šifer pro jednotlivé úrovně bezpečnosti považuje AES za dostatečný do roku 2030. Již dnes, 7 let po ustavení standardu, se pomalu stává převládajícím kryptografickým standardem. Je třeba říci, že jako každý standard má své slabiny. Jako poměrně zásadní je třeba brát v úvahu ne zcela kvalitní návrh PRNG a možnost vzdáleného timming útoku na kryptosystém využívající implementaci AESu. Pokud zvážíme vhodnost ostatních kandidátů pro standard AES, je třeba poznamenat, že ve vztah k volbě šifrovacího algoritmu panovala a dosud panuje jistá kontroverze. Některé odborníky překvapilo, že nezvítězily jiné kryptosystémy, například TWOFISH. Pro lepší pochopení je třeba rozebrat alespoň z hlediska základních vlastností ostatní kandidáty. Informace zde použité jsou převzaty
z
RSA
FAQ
41:
<<
http://www.rsa.com/products/bsafe/documentation/crypto-
c_me21html/RSA_Labs_FAQ_4.1.pdf>>. •
TWOFISH. TWOFISH byl navržen týmem za nímž stála společnost zabývající se počítačovou bezpečností COUNTERPANE (v současnosti vlastněná British Telecom). Tým složený z: Bruce Schneier, John Kelsey, Doug Whiting, David Wagner, Chris Hall a Niels Ferguson. Twofish je založen na Schneier’s algoritmu Blowfish. Twofish je založen na rychlém a velmi univerzální Feistelově síti. Algoritmus nevyžaduje mnoho paměti. BLOWFISH je celkem spolehlivá šifra, u které jsou dobře známé vlastnosti. Podobně jako u šifry MARS díky komplexní vnitřní struktuře, je obtížné analyzovat případné nedostatky a slabiny. Na rozdíl od MARSu algoritmus je postaven na vyzkoušeném a spolehlivém algoritmu.
•
MARS. MARS byl dílem IBM a je třeba konstatovat, že je navržen poměrně novátorsky. To byl zřejmě ten důvod proč nakonec nebyla tato šifra zvolena jako standard AES. MARS je schopen pracovat s klíči až do délky 448 bitů. Skládá se z 16 rund, jádro algoritmu zabaleno do dvou úrovní po 8 rundách, mající za úkol vytvořit difuzi mícháním bitů. Algoritmus dobře odolává známým typům útoků. Další výhodou je používání jednoduchých matematických operací jako je: celočíselný součet, bitový součet a rotace. Rychlost šifrování je přinejmenším dobrá, spíše vynikající. Problémem byl nevyzkoušený algoritmus a obtížně odhadnutelná síla šifry (i oproti ostatním kandidátům).
•
SERPENT. SERPENT byl navržen Rossem Andersonem, Eli Bihamem a Larsem
Knudsenem. SERPENT lze považovat za ztělesnění konzervativního přístupu. To se poněkud negativně odráží na výkonu (ze všech kandidátů je považován za nejpomalejší). Algoritmus používá 8 S-boxů víceméně převzatých z DESu a 32 rundách. Jejich počet více než dvakrát převyšuje požadavky zadání NISTu. SERPENT je tak možné považovat za spolehlivě bezpečnou šifru, s ověřitelnou úrovní spolehlivosti. Další výhodou je fakt, že malé paměťové nároky ji činí vhodnou pro aplikace založené na chytrých kartách. Je dokonce lepší než CAST – 256. •
RC6. RC6 je dílem RSA Laboratories Inc. (dnes EMC Inc.). Algoritmus je založen na algoritmu RC5, který je považován za spolehlivý a odolný proti kryptologickým útokům. RC6 se skládá z 20 rund, což je požadováno za ne zcela dostatečné. Nicméně, v algoritmu se nepodařilo nalézt žádnou slabinu. To činilo ze všech kandidátů nejrychlejší šifru. Určitým omezením jsou v návrhu použité 32-bitové operace. To RC6 omezuje z hlediska výkonosti na jiných než 32-bitových platformách.
•
RIJNDAEL. RIJNDAEL (vítěz AES) je založen na stejných osvědčených principech jako DES. Ty na rozdíl od DESu nebyly nikdy zpochybněny. RIJNDAEL používá rundy (10 – 14) a ve všech rundách je každý bit transformován, řádek rotován a sloupce jsou vynásobeny pomocí předem definovaným vektorem matice. Nad každou rundou je provedena operace XOR a tím vznikne rundový klíč.
Spíše než nižší kvalitou konkrentů, zvítězila vyváženost RIJNDAELu. V nedávné minulosti byly objeveny slabiny, které bude třeba dříve, nebo později odstranit (viz PRNG generátor a vzdálený timming atack). V budoucnu bude zajímavé sledovat, jak dlouho tento kryptosystém dokáže odolávat kvantovým počítačům a rostoucímu tlaku ze strany kryptoanalitiků. Zatím je však, považován přes chyby v návrhu za bezpečný.
1.7.4 BLOWFISH BLOWFISH byl zmíněn v pasáži týkající se AES, jako základ poměrně sofistikovanějšího algoritmu TWOFISH. Ačkoli se TWOFISH nestal standardem AES používání šifry BLOWFISH je stále ještě poměrně rozšířeno a to i přes nástup AESu. Rozšíření šifry Blowfish bylo dáno hlavně tím, že za tuto šifru nebylo nutné platit ,že její užívání bylo osvobozeno od placení licenčních poplatků. V době vzniku, v první polovině 90-tých let, kralovala šifra DES firmy IBM. Již tehdy byla považována za ne zcela spolehlivou. K tomu je třeba přičíst i malou délku klíče 56 bitů. Ostatní dostupné blokové šifry podléhali povinnosti platit licenční poplatky a to nikterak malé (RC4, RC5, IDEA). Ze strany vlády USA také nebyla snaha, z pochopitelných důvodů, zlepšit
situaci. Proto její tvůrce, význačný kryptolog a odborník na počítačovou bezpečnost, Bruce Schneier se rozhodl vytvořit návrh blokové šifry, která by mohla být použita jako náhrada za nevyhovující DES. BLOWFISH je poměrně spolehlivá šifra vytvořená s ohledem na 32-bitové prostředí. V minulosti se podařily najít určité slabiny, ale nezdá se, že kvalita by tím nějak utrpěla. Šifra je bloková se 64-bitovými bloky a každá runda obsahuje permutaci závislou na klíči a datech a feistelovou sítí. Klíč může být délky až do 448 bitů a používá se pro vytváření polí podklíčů. Všechny operace jsou založeny na operaci XOR. Šifra je výrazně rychlejší než DES. Na ověření kvalit šifry byl v roce 1995 vypsána soutěž, dotovanou 1000 USD, podporovaná časopisem Dr. Dobbs Journal na prolomení šifry. To se sice nepovedlo, nicméně byly nalezeny slabiny pro 3-rundovou verzi, některé klíče jsou slabé a v neposlední míře i slabší odolnost vůči diferenciální kryproanalýze. B. Schneier po té navrhl další pokračování výzkumu, který by našel další slabiny návrhu. BLOWFISH je stále ještě oblíbenou šifrou používanou v open-sourcové komunitě. Dnes však ustupuje do pozadí právě díky AESu.
1.8 Asymetrická šifrovací schémata Asymetrická šifrovací schémata jsou charakteristická tím, že používají dvojici nebo obecnou n-tici klíčů. Pokud mluvíme o dvojici klíčů jeden je vždy označován jako veřejný (public), druhý pak za tajný (private), nebo osobní. Tato vlastnost pak dala za vznik názvu asymetrická kryptografie. Tím, že jeden klíč používáme pro zašifrování a druhý pro od šifrování se tato vlastnost stává charakteristickým znakem, jenž asymetrickou kryprografii odlišuje od symetrické. Vznik asymetreické kryptografie, se datuje do poloviny 70 let minulého století, kdy W. Diffie a M. Hellman uveřejnili první koncept výměny klíčů, dnes známou jako D-H klíčová výměna (key exchange). Tento princip byl již znám britské zpravodajské službě GCHQ dříve, která jej důsledně utajila před veřejností. Uveřejnění D-H principu, je považováno za počátek éry kryptografie s veřejným klíčem. Princip je velmi jednoduchý. Tím, že můžeme předat nezajištěným kanálem klíč, který pak adresát může využít k přenesení svého tajného klíče symetrické šifry odesílateli, dává dříve netušené možnosti, jenž pouze s využitím symetrické kryptografie, nebyly myslitelné. Toto schéma má velký význam při dočasné výměně klíčů, protože jen po omezenou dobu (během spojení) existuje tajný klíč. Tato vlastnost je velice cenná, protože ze svého principu zajišťuje insitricky dopřednou
bezpečnost (PFS – Perfect Forward Secrecy). Vysoce významnou je i
skutečnost, že D-H algoritmus je sémanticky bezpečný a není třeba používat doplňovací schémata, na rozdíl například od RSA. Konečně při výměně dat nedochází vůbec k výměně tajného klíče, respektive, bez prolomení kryptosystému ho není možné odvodit.
D-H schéma není zdaleka
jediné. Další velmi významný algoritmus RSA je dnes jedním z nejrozšířenějších schémat a je
považován, přes některé nedostatky, za jedno nejlepších schémat vůbec. Zkratka RSA je složena z iniciálů autoru R. Rivesta, A. Shamira a L. Adelmana. Podobně jako v případě D-H i toto schéma bylo známo CGHQ a to už v roce 1973. Stejně jako v případě D-H byl tento algoritmus důsledně utajen. Dnes, přes své relativní stáří je považována mnohými za nejlepší algoritmus pro asymetrickou kryptografii a to i přes některé nevýhody. Algoritmus RSA je velmi citlivý na implementaci, nicméně prodlužování klíče a zavádění nových doplňovacích schémat z ní dělá stále velmi častou volbu, už proto, že jí stačí výrazně menší délka klíče než v případě D-H. Podobně jako u DH algoritmu již vypršela patentová ochrana a tak padlo i poslední vážné omezení jejího širokého užívání. Dalším velmi známým schématem je ECC (Eliptic Curve Cryptography), kryptografie eliptických křivek. ECC je z nich nejmladší. Její základy byly položeny v roce 1985, kdy použití EC pro kryptologii navrhli nezávisle na sobě N. Koblitz a V. S. Miller. EC mají některé výhody oproti předchozím schématům, především jí stačí při stejné síle šifry mnohem kratší klíč. Dokonce je toto schéma některými odborníky preferováno oproti předchozím dvěma, protože se délkou klíče při stejné síle šifry se blíží šifrám symetrickým. Tato vlastnost je zvláště žádána v případě chytrých karet a jednoúčelových autentizačních zařízení. ECC je založen na skutečnosti, že není možné snadno najít řešení rovnice y2 = x3 +ax2 + b na prostoru celých čísel. Výhodou je skutečnost, že lze tento algoritmus zkombinovat například s DH algoritmem, čímž vznikne schéma ECDH, které je mnohem robustnější při zachování výhod obou schémat. Také je možné jej spojit s DSA. Tyto kombinace jsou zahrnuty v tzv. Suit B amerického národního úřadu pro bezpečnost NSA, který dovoluje užívat tyto schémata i pro nejvíce utajované informace. Principy na nichž jsou jednotlivé šifry založeny: •
D-H
(Diffie - Hellman) - klíčová shoda je založena na obtížnosti řešení diskrétního
logaritmu. •
RSA (Rivest Shamir Adleman) – je založena na obtížnosti (faktorizaci) součinu velkých prvočísel. Algoritmus je zatím považován za bezpečný, protože neexistuje (není známa metoda) jak faktorizovat velká čísla v čase kratším, než je polynomiální. RSA algoritmus bude bezpečný do té doby, než se takový algoritmus najde, nebo kvantové počítače dosáhnou takové úrovně, že je bude možné nasadit v reálném provozu.
•
ECC – Jak již bylo řečeno algoritmus je postaven na obtížnosti řešení rovnice: y2
=
x3
+ax2
+
b
na
prostoru
celých
čísel.
world.info/klima/2005/ST_2005_11_14_15.pdf> . Algoritmus bude bezpečný do té doby než se podaří najít rychlé řešení problému eliptických křivek nad diskrétním algoritmem.
•
Specifickým kryptografickým algoritmem je algoritmus McEliece, který se vymyká běžnému zařazení. Na principiálně podobném typu je založen algoritmus Niederreiter. Je to kryptosystém veřejného klíče, který je principiálně odlišný od předchozích uvedených algoritmů. Algoritmus je založen na algebraické teorii kódování. Algoritmus využívá vlastnosti určité třídy opravných kódů, které se nazývají Goppa kódy. Algoritmus je cenný dvěma vlastnostmi. Tou první je skutečnost, že se nepodařilo nalézt algoritmus, který by vedl k jeho úplnému prolomení a ta druhá spočívá ve faktu, že nalezení určité části kódu je dáno váhou v lineárním binárním kódu, což vede na řešení NP úplného problému (NP-complete). Z hlediska kryptologie a kryptografie to může být zanedlouho velmi cenné, protože takový algoritmus je odolný vůči dešifrování pomocí kvantových počítačů. Popis může být nalezen například v << [AC] Str. 479 – 480>>. Další výhodou oproti kvantové kryptografie je i to, že řešení založené na algoritmu McEliece není omezeno dosahem (bitovou vydatností) spoje a především cenou, která by pak byla nejméně 100-krát, ale spíše 1000-krát nižší, než v případě právě kvantové kryptografie a souvisejícího technicko-organizačního zajištění souvisejícího s integritou šifrovacího řetězce. Velkým a zásadním nedostatkem, je ale délka veřejného klíče, která je enormní - 1019 bitů. To zatím brání nasazení tohoto algoritmu jako náhrady za D-H a RSA. Pokud by se podařilo nalézt způsob, jak bezpečně redukovat délku klíče na přijatelnou délku, pak by tento algoritmus jednoznačně kvalitativně převýšil všechny své konkurenty.
1.9 Postranní kanály Postranní kanály jsou kryptografii velmi častým a diskutovaným tématem. Cílem útoku je získat utajené informace na základě sledování chování. Tím to se liší od metod jako jsou: útok hrubou silou, nebo kryptoanalytické metody snažící se využít slabin v algoritmu. Mezi postranní kanály se řadí i sociální inženýrství, nebo „obušková“ kryptoanalýza. Jaké informace můžeme touto cestou získat? Jsou to především tyto: •
Jednotlivé bity klíče. To umožňuje snížit délku klíče natolik, že je možné efektivně prolomit kryptosystém pomocí jiných metod, například faktorizace, anebo metodami sít (GNFS, Pollardova ρ - metoda). Tyto informace je možné získat pomocí různých variant timing attack.
•
Vnitřní stavy registrů. Vnitřní stavy registrů dávají informaci v jakém stavu se příslušná část výpočtu nachází, jak dlouho ještě bude prováděn, jaká je hodnota IV (inicializačního vektoru) apod.
•
Výsledky chybného výpočtu. Jedním ze způsobů jak zjistit utajované hodnoty registrů klíčů, nebo i vlastního algoritmu, je donutit systém udělat chybu. Při dosažení chybového stavu může nechtěně být odkryta podstatná část utajované informace.
•
BPA (Branche Prediction Analysis) – poměrně nová metoda. Umožňuje získat citlivé údaje z chování procesoru. Metoda se zaměřuje na odhad délky provádění instrukcí a z to odvozuje interní stavy kryptografického zařízení. Nejnovějším poznatkem v této oblasti je zjištění, že ani více jádrové procesory na tom nejsou nejlépe. V souvislosti s timing attackem je možné získat tyto informace i z jiného jádra, než na kterém je provozován kryptografický SW.
Velká nebezpečnost spočívá nejenom v možnosti útoku na chabě technicky zabezpečený kryptosystém, ale je možné provést i útok na algoritmus, nebo jeho implementaci. Zvláště v případě realizace v prostředí počítačů je obtížné zabránit úniku informací o interních stavech, nebo jimi manipulovat. To především platí o generátorech náhodných čísel. Postranní kanály se dělí na následující třídy útoků: •
Timming attack. Timming attack pro zjištění klíčových informací (klíčů nebo jejich částí) používá měření doby, jakou dobu potřebují jednotlivé matematické operace. Z těchto informací, na základě znalosti algoritmu, nebo řešení, je možné rekonstruovat interní informace , které mohou vést k oslabení nebo úplnému prolomení kryptosystému.
•
Měření výkonu zařízení (Power monitoring attack). Z názvu vyplývá, že pomocí měření odebrané energie a jejich následné korelace s událostmi v kryptosystému je možné získat vitální informace. Hlavními dvěmi metodami jsou jednoduchá a diferenciální metoda analýzy výkonu (simple and diferential power analysis). Obvykle nelze získat přímo klíče nebo otevřený text, nicméně je možné získat informace o stavu posuvných registrů, délce výpočtu a podobně. Z těch lze pak vydedukovat informace vedoucí k prolomení kryptosystému.
•
TEMPEST je zkratkou pro Transient Electromagnetic Pulse Emission Standard. Další možný překlad tohoto akronymu může být i Tiny ElectroMagnetic Particles Emitting Secret Things , což poněkud humorně vysvětluje princip. Jde o sledování vyzařování elmg. vln v oboru MHz až GHz. Rádiové vlny jsou nejčastějším způsobem jak provádět odposlech, ale je možné využívat optických i zvukových projevů cílového zařízení. První veřejné informace o této technice přinesl van Eck v roce 1985, ale principy jsou známy od 50-tých let minulého století. Využívá se skutečnosti, že všechny polovodičové přechody vyzařují
elektromagnetické vlny v široké oblasti spektra a je možné je zachytit. Vedle čistě pasivní metody je možné použít i aktivní metodu. Aktivní metoda využívá aktivního vyzařování. Oblast zájmu se zaplaví elmg. zářením v oblasti cm nebo mm vln. Pozoruhodné je, že aktivní metodu je možné použít i k odposlechu. Mikrofon je fakticky rezonátor (dipól) a měří se zpětně vyzářený výkon (amplituda zpětně vyzářeného výkonu je funkcí akustického tlaku na rezonátor). Konečně nikoliv úplně poslední možností je elektromagnetická imise. Vhodným způsobem namodulovaný signál může ovlivnit chování cílového systému a tím buď vyřadit jej z činnosti nebo mu i podvrhnout data, které mohou vyústit v kompromitaci kryptosystému jako celku. •
Akustická kryptoanalýza. Akustická kryptoanalýza, jak vyplývá z názvu, sleduje zvukové projevy spojené s činností zařízení. Takové projevy jsou: zvuk stisku kláves, zvuky vydávající tiskárny a podobně. Jsou zaznamenány také úspěšné pokusy s dálnopisnými stroji, které se povedlo provést v minulosti. To, že tento útok není nesmysl, názorně ukazuje následující stránka:<>. Jsou zde uvedeny názorné příklady odposlechů. Prostředky, které k získání informací byly použity, jsou neuvěřitelně jednoduché a snadno dostupné. Otázkou zůstává, jaké prostředky je možné získat z neveřejných zdrojů.
•
Techniky založené na selhání jednotlivých součástí. Technika využití chyb je známa též pod názvem Differential fault analysis. Princip je úžasně jednoduchý. Nějakým způsobem donutíme zařízení udělat chybu, jedno jak. Jakmile se tak, stane můžeme získat různě významné informace o interním stavu kryptosystému, které pak můžeme využít k jeho prolomení. Je to praktická aplikace Tussmanova zákona: „Nic není neodvratitelnější než chyba, když přijde její chvíle. Prostředky k dosažení cíle jsou různé. Může jít od ozařování chytrých karet rentgenovým zářením, modulace vstupního, nebo napájecího napětí. Jaká-koli změna provozních podmínek, to je provozování mimo rozsah povolených parametrů, nebo platných hodnot většinou vede k selhání a to je možné využít k kryptografickému útoku. Obranou proti takovýmto technikám je snaha o zvýšení odolnosti proti selhání (tamper-resist, tamper-proof). Jejich účinnost je různá jsou známy případy, kdy k dosažení nežádoucího chování stačilo zařízení podchladit nebo (i lokálně) zahřát a tím obejít prvky obrany. Jako základní informace může posloužit následující příspěvek uveřejněný
v:
<>. Pozoruhodné je to, že po sobě útočník nemusí zanechat sebemenší stopy. Dalšími
příklady
mohou
být
tyto:
<>, <> http://www.theregister.co.uk/2008/04/04/side_channel_application_security/. příklad
již
uskutečněného
útoku
je
možné
nalézt
zde:
nebo, Praktický
<
law.com//default.aspx?page=9567>>. Dobrým zdrojem o chytrých kartách může být stránka P. Guttmanna, která shrnuje vlastnosti chytrých karet a není to zrovna uklidňující čtení <>. Pokud by ani tyto slidy nestačily, doporučuji k nahlédnutí články Dr. Vlastimila Klímy ohledně chytrých karet. Karty jako MIFARE, nebo INDALA se poněkud vymykají tématu, nicméně je z popisu vidět, že komplexní zajištění bezpečnosti zde přece jenom chybí a navíc jsou zde praktické ukázky
jak
provádět
útoky
na
<>,
chytré
karty
<
world.info/klima/2007/ST_2007_01_17_17.pdf>>.
2 Nejpoužívanější algoritmy a módy šifer, rozbor jejich slabin a implementačních omezení 2.1 RSA Ačkoliv je algoritmus RSA starší, ale stále patří mezi moderní a široce používané kryptografické schémata. Kvalita je dána především jeho spolehlivostí a tím, že doposud úspěšně odolává pokusům o jeho prolomení. Jeho vznik se datuje do roku 1978, kdy v článku jehož autoři byli Rivest, Shamir a Adelman, navrhli nové schéma pro kryptografii s veřejným klíčem. K jeho oblibě přispívá i skutečnost, že oproti tomuto schématu nebyl doposud proveden přesvědčivý a účinný krytologický útok, který by nebylo možné odvrátit, buď prodloužením modulu šifry, anebo změnou doplňovacího schématu. Kryptografické schéma lze použít také jako elekronický podpis. Podpisové schéma bude zmíněno dále. K oblíbenosti tohoto algoritmu přispívá i to, že vypršela jeho patentová ochrana a tudíž nemůže být zdrojem případných soudních sporů. Oblíbenost algoritmu dosáhla takového stupně, že dnes, pokud se mluví o asymetrickém šifrovacím algoritmu, tak se myslí nejčastěji právě schéma RSA. Je také důležité odlišit vlastní algoritmus a společnost RSA Inc., která je v současnosti divizí společnosti EMC Corporation.
2.2 Šifrovací schemata Schéma je založeno na předpokladu, že nalezení velmi velkého prvočísla je relativně snadné, zato však faktorizace (rozklad na prvočísla) velkého čísla je velmi obtížná a běžnými prostředky neuskutečnitelná. Metody rozkladu velkých čísel sice existují, ale není známa metoda, která by umožnila provádět faktorizaci v přijatelném časovém horizontu. Existují sice metody, jak faktorizaci výrazně urychlit, nicméně nedosahují požadované rychlosti, která by algoritmus RSA účinným a věrohodným způsobem napadla, pokud je správně implementován. Vlastní princip zde uvádím pouze pro vysvětlení: Větší pozornost bude kladena implementaci . Jako zdroj poslouží popis uvedený v .
2.2.1 Šifrování •
Veřejný klíč RSA v je tvořen dvojicí celých čísel (n, e), kde n nazýváme modul a e veřejný exponent.
•
n=pq, kde p a q jsou přibližně stejně velká prvočísla.
•
Délka čísla n se v příípadě RSA nazývá a chápe jako délka klíče (2048, 4096 bit a pod.).
•
Privátní klíč RSA je v základním případě definován jako p=(n, d), kde d je privátní exponent, pro který platí, že ed mod λ=1, kde λ=lcm (p–1, q–1) je nejmenší společný násobek čísel p–1 a q–1 (lcm - least common multiple, nejmenší společný násobek).
•
Pokud jsou splněny předchozí kriteria, pak můžeme definovat šifrovací transformaci RSA jako: EV(x)=xe mod n, kde v=(n, e). Kde x je otevřený (plain) text.
2.2.2 Dešifrování Dešifrování se provádí následujícím způsobem: DP(y)=yd mod N, kde p=(n, d). Platí přitom, že DP(EV(x))= EV(DP(x))=x.
2.2.3 Elektronický podpis realizovaný pomocí algoritmu RSA Podpisování se provádí „obráceným“ postupem. Při šifrování vlastník tajného klíče rozesílá veřejný klíč a předpokládá, že mu bude zaslána správa jeho veřejným klíčem (jinak by to nedávalo smysl). Podepisování je ve skutečnosti stvrzování faktu, že odesílatel je tvůrcem podepsané správy. Jediným způsobem jak může toto tvrzení doložit je zašifrováním hashe zprávy pomocí svého privátního klíče. Adresát pak ověří hash zprávy pomocí veřejného klíče. V praxi se používají schémata založená na RSASP a RSAVP. Pro snažší pochopení uvádím schéma převzaté
z prezentace Ing. Tomáše Rosy << http://www.karlin.mff.cuni.cz/~tuma/nciphers/mff-ls04asym2.ppt>> Provádění výpočtu podpisu zprávy: •
Vstupem je privátní klíč RSA (n, d), zpráva pro podpis M (jako binární řetězec)
•
H = hash (M ) - Dvě zprávy jsou na úrovni hashového kódu nerozlišitelné.
•
m = ENCODE(H ) - zašifrujeme hash získaný ze zprávy M
•
s = RSASP((n , d ), m ); s je výsledek, který je předán současně se zprávou
Provádění ověření podpisu zprávy: •
Vstupem je veřejný klíč RSA (n, e), zpráva pro ověření podpisu M (jako binární řetězec), ověřovaný podpis s
•
m = RSAVP((n, e), s)
•
H = hash(M) - vytvoříme stejným hashovacím algoritmem hash
•
V = VERIFY(H, m), V ≈ {platí, neplatí} – ověření zda podpis je skutečně odpovídající zprávě. Pokud tomu tak je, zpráva byla skutečně odeslána odesílatelem zprávy a ne někým kdo se za něj vydává.
2.3 Implementace a implementační omezení týkající se RSA Implementace algoritmu je kritickou z hlediska celkového řešení kryptosystému a proto je jí třeba věnovat maximální péči. Je zřejmé, že s ohledem na dopad se implementace sleduje stejně pečlivě jako návrh vlastního algoritmu. Nejvíce slabin se hledá a také nachází právě v rovině implementace. Zde se zabývám základními principy obsaženými v níže uvedených řešeních. Je nutné říci, že vlastní algoritmus je v praktickém životě obtížně použitelný. Toto omezení je nutné kompenzovat tzv. vyplňovacími schématy (padding schemes). Tím se snažíme předejít kryptografickým útokům na vlastní algoritmus. Než rozeberu některé možné útoky, je vhodné si
uvědomit
některé,
na
první
pohled
souvislosti<
Menezes,
ne Oorschot,
zcela Vanstone,
zřejmé Scott:
Handbook of Applied Cryptography (free PDF downloads), see Chapter 8 >>: •
Hodnoty m = 0 nebo m = 1 vždy produkují šifrovaný text rovný 0 nebo 1.
•
Když je použito šifrování s malým exponentem (např. e = 3 - velmi častá volba) a malé hodnoty m, výsledek me může být podstatně nižší než n. V tomto případě šifrované texty mohou být snadno dešifrovány použitím e - kořenu šifrovaného textu bez nutnosti
vyžadování znalosti modulu. •
Jelikož je RSA deterministický šifrovací algoritmus, nemá žádné proměnné komponenty. Útočník může snadno použít útok nešifrovaným textem za pomocí slovníku a porovnáváním jednotlivých částí šifrovaného textu s ním.
•
Zpráva musí být menší než je délka n (ale ne zase příliš - problém související s prediktivními útoky).
•
Součin prvočísel n = pq musí být dostupnými prostředky neschopný faktorizace Pro běžné potřeby stačí n o délce 512 bitů. Pro reálné nasazení v současnosti se doporučuje 768, nebo spíše 1024bitů s ohledem na algoritmy jako QS (Quadratic Sieve) a GNFS (General Number Field Sieve). O těchto algorimech se zmíníme jinde v této práci.
•
Prvočísla p a q musí mít zhruba stejnou délku Požadavek na stejnou délku je dán tím, že je možné součin prvočísel n faktorizovat pomocí ECFA (elliptic curve factoring algorithm).
•
Omezení velikosti rozdílu p − q Jestliže je tento rozdíl malý pak platí, že: p ~ q. Z toho plyne vztah p ~
p=n Pro úspěšnou faktorizaci úspěšně postačí vyzkoušet všechna
prvočísla blízká n. •
Malý exponent e V praxi se používají malé exponenty (3 anebo 2^16+1) zčistě výkonostních důvodů. To sebou přináší určité problémy. Jedním z důsledků CRT (Chinese Remainder Teorem – malý čínský problém) je, že ani p - 1 a ani q -1 nesmí být dělitelné 3. Výhodou je nízká výpočetní náročnost (jedno násobení modulu a jedno umocnění). Výhodou většího exponentu je skutečnost, že lze jedním klíčem, aniž bychom umožnili potenciálnímu útočníkovi zjistit obsah zprávy, poslat 2^16 zpráv oproti 3 v případě exponentu e = 3. Abychom demonstrovali možné důsledky budeme uvažovat právě e = 3. Chyba nepřímo souvisí s formátovacími chybami, ale pro zjednodušení nebudeme uvažovat žádné
formátování.
Útok
je
převzat
z
článku
<
world.info/klima/2007/ST_2007_10_13_13.pdf >> . To znamená, že zpráva m je jen převedena na celé číslo 0≤m
•
Coppersmithův útok Obecně jde o útok na formátovací schémata. Útok je obecnější variantou předchozího útoku a dává celkově lepší a použitelnější výsledky pro exponenty e >3. Algoritmus dokáže najít všechny malé hodnoty p(x) modulo N. Předpokládejme, že útočníkovi se podaří zachytit c = m3 mod N. Pokud hledaná zpráva splňuje m < N1/3,může ji útočník uvedeným algoritmem snadno najít. Pro modul 1024 bitů to znamená, že lze úspěšně luštit každou neformátovanou zpravu kratší než 341 bitů, což je mnohem více než, přehledem
pokrývá
přenosy
běžných
klíčů
symetrických
šifer
<
world.info/klima/2007/ST_2007_10_13_13.pdf>> . Tento útok je také úspěšný při chybném nebo nesprávném formátování. Zajímavým důsledkem je možnost užití tohoto algoritmu při opakovaném přenosu zpráv. V situaci, kdy opakovaně posíláme nějakému adresátovi nějakou zprávu použitím stejného veřejného klíče a nezáleží na tom, že používáme pokaždé nový formátovací řetězec PS. PS je vlastní přenášená informace oproštěná od formátovacích řetězců. Pokud je uvedený řetězec „slabý“ a platí, že: PS < (N1/e)1/e), pak je snadno zpráva rozluštitelná. Prakticky vzato, pro modul N délky 1024 bitů nesmí velikost doplňku klesnout pod 15 bajtů. Lepší je ovšem držet se zde alespoň na 25 bajtech. Obecně se pak doporučuje hranice > 10+L/9. Bohužel existují rozšíření knihovní implementace RSA, ktere takových doporučeni nedbají. Ostatně ani dřívější verze standardu PKCS #1 (v. 1.5) neni zcela v pořádku. L je zde délka formátované zprávy. •
Malý exponent d Malý exponent d je žádoucí ze stejného důvodu jako v případě exponentu e.Pokud platí, že: gcd (p-1 , q-1), což je tento případ a zároveň d je menší než zhruba jedna čtvrtina modulu n, pak je možné snadno dopočítat d z veřejné části klíče (n,e). Tím algoritmem je Pollardův ρ – algoritmus, nebo jeho paralelizované varianty. V případě ρ – algoritmu, pokud žádáme dostatečnou odolnost proti kryptografickým útokům, menší než 50%.
•
Multiplikativnost Vlastnost multiplikativnosti je třeba vzít v potaz, pokud rozesíláme více zpráv se stejným veřejným exponentem. Umožňuje provádět útoky metodou adaptivních vybraných částí zprávy (Adaptive-chosen-plaintext attack). Provádění tohoto útoku spočívá v užití následujících vlastností: (m1m2)e ≡ m1e m2e ≡ c1c2(mod n) - tato vlastnost je někdy nazývána homomorfností RSA. Předpokládejme snahu útočníka rozluštit zašifrovanou zprávu c = me mod n určenou pro A. Může také předpokládat, že A bude dešifrovat jinou zprávu než c. Jak by takový útok mohl probíhat. Představme si zprávu (v souladu s předpoklady platnými pro správnou implementaci: m < p-1), jako zcela formální dopis začínající zdvořilostní frází: „Vážený pane řediteli, dovolte mi ...“, pak tato fráze je m1
a zbytek zprávy je m2. Je zřejmé, že tím dáváme potencielnímu útočníkovi poměrně zásadní informaci, která může vést k rychlému rozšifrování zprávy. Stejná chyba z kategorie implementačních chyb je, když se nedoplní
symetrický klíč přenášený pomocí RSA
algorimu nějakou náhodnou solí, nebo vhodným doplňovacím schématem (padding scheme). Doplňovací schémata jsou probírána v implentační části. •
Prediktivní útok Prediktivní útok je typem útoku, který využívá chybu v implementaci. Předpokládá se, že prostor zprávy je buď, malý nebo předvídatelný. Útočník použije slovníkový útok, který může být veden nejen proti celé zprávě, ale i proti části zprávy. V tomto případě postačí vyzkoušet všechny možné zprávy, které připadají v úvahu a pak porovnat výsledek se zašifrovaným textem. Obranou proti tomuto typu útoku je salting.
•
Existují další doporučení jako je používání silných prvočísel. Definice silných provočísel je možné
najít
například
v
<>,
<>. Důvodem používání silných prvočísel je snaha předejít faktorizaci pomocí Pollardova p-1 faktorizačního algoritmu. Tímto opatřením lze předejít rovněž i cyklickým útokům (cycling attacks). •
Zprávy, které nelze zašifrovat Tato vlastnost je podobná „slabým“ klíčům v DES. V algoritmu RSA existuje možnost, že za určitých podmínek nebude možné zprávu zašifrovat. Tato situace nastane tehdy, pokud me ≡ m mod n. Dokonce platí, že existuje minimálně 9 zpráv které není možné zašifrovat <>:. V tomto případě je malý exponent výhodou (3, nebo 65537), protože počet zpráv bude relativně nízký a nepředstavuje větší problém při realizaci.
•
Existují další doporučení jako je používání silných prvočísel. Definice silných provočísel je možné
najít
například
v
<>,
<>. Důvodem používání silných prvočísel je snaha předejít faktorizaci pomocí Pollardova p-1 faktorizačního algoritmu. Tímto opatřením lze předejít rovněž i cyklickým útokům (cycling attacks). •
Adaptivní útok s volbou textu (Bleichenbacherův útok). Adaptivní útok na algoritmus je možné vzhledem tomu, že RSA algoritmus na rozdíl od EC křivek není sémanticky bezpečný. Útoku je na pochopení poněkud složitější. Předpokládejme, že útočník chce dešifrovat zašifrovaný text (c = me mod n) určeného pro adresáta A. Záměrně pak podvrhne řetězec adresátovi A. Tento řetězec je celé číslo, pro které platí: x ∈∈n. Útočník pak
vypočítá c = cxe mod n. A, pak nevědom si nebezpečí, spočítá m = (c)d. Protože platí následující: m ≡ (c)d ≡ cd(xe)d ≡ mx mod n díky čemuž, může útočník spočítat mx-1 mod n – lze obejít tento typ útoku tak, že vloží do textu určité omezení týkající se otevřeného textu. Pokud neobsahuje dešifrovaná zpráva strukturu odpovídající předem definovaným omezením, pak c musí být označeno za podloudné. Pokud je ovšem m zvoleno s ohledem na předchozí text, tento typ útoku není možné úspěšně provést (neplatí, že m ∈∈n). Taková situace může nastat, v podstatě kdykoli, pokud nepoužijeme, buď řešení uvedené výše, anebo nějaké doplňovací schéma (RSA-OAEP například). V praxi mohou nastat dva problémy, hlavně při posílání krátkých zpráv v ASCI notaci, kde m je řetězec jednoho nebo více ASCII znaků. Zpráva obsahující ASCII znak NUL (kterého numerická hodnota je 0) může být dekódována jako m = 0, což produkuje šifrovaný text jako nuly, bez ohledu na to, jaké e a N je použito. Rovněž ASCII znak SOH (numerická hodnota je 1) vždy vyprodukuje šifrovaný text jedniček. V systémech, které používají malé hodnoty e jako třeba 3, mohou být všechny ASCII znakové zprávy málo bezpečné, jelikož m může nabývat nejvýše hodnoty 255 a 2553 je méně než snesitelný modul. Takové texty mohou být obnoveny jednoduše použitím umocňování a odmocňování. Tím splníme jednu z klíčových podmínek, že se při operaci modulo nad vstupními daty m nedostaneme EV(x)=xe což je, zvláště v případě malých exponentů snadná úloha. K zabránění těchto problémů v sobě praktické implementace RSA obvykle skrývají některý typ náhodného vyplnění hodnoty m před jejím zašifrováním. Vyplnění způsobí, že m nemůže klesnout na nebezpečnou hodnotu a takto „modifikovaná“ zpráva bude zašifrována do nějaké vysoké hodnoty šifrovaného textu. Navíc to pomůže snížit možnost útoku pomocí porovnávání se slovníkem. Standardy jako PKCS byly vytvořeny k bezpečnému vyplnění zpráv před jejich zašifrováním pomocí RSA. Tato schémata zaplní nešifrovaný text m určitým počtem dodatečných znaků, pak musí být velikost nevyplněné zprávy M o něco menší. RSA vyplňovací schémata musí být navržena tak, aby byla schopna zabránit i velmi sofistikovaným útokům usnadněným rovněž předvídatelnou strukturou zprávy. Moderní konstrukce používají bezpečnostní techniky (OAEP) k ochraně zpráv proti těmto typům útoků. PKCS standard rovněž začleňuje zpracovávací schémata k poskytnutí bezpečnosti pro RSA podpisy, např. jako RSA-PSS. Tyto techniky dostatečně podrobně popisují standardy (např. PKCS #1).
2.4 Prvočísla Prvočísla představují pro kryptosystémy s veřejným klíčem životně důležitou komponentu. Bez prvočísel by nebylo možné realizovat algoritmy RSA a DH. Také se ukazuje, že implementace není vždy bez chyby. Úspěšné útoky provedené vůči těmto kryptosystémům jsou nezřídka založeny právě na chybách v implementaci, nebo v nesprávném používání. V práci se soustředím na dva důležité okruhy. Tím prvním bude výběr prvočísla s následným ověřením, zda jde skutečně o prvočíslo. Tím druhým je dělení modulo n a rozklad velkého čísla na prvočísla. I když druhý okruh úplně nesouvisí s prvočísly, rychlost rozkladu (faktorizace) je kritickým faktorem pro bezpečnost kryptosystému, který využívá právě součiny velkých prvočísel. Lze konstatovat, že zejména faktorizace představuje úhelný kámen snažení kryptoanalitiků. Bez algoritmu, schopného provést rychle faktorizaci (rozklad velkého čísla na prvočísla), není možné úspěšně ohrozit algoritmus RSA. V této souvislosti je třeba říci, že není znám algoritmus, který by pro velká čísla (> 100 číslic) byl schopen provést úlohu faktorizace dostatečně rychle. Otázkou může být co představuje pod pojmem „dostatečně rychle“. V jiné části práce se tento problém vysvětluje. Zjednodušeně řečeno, rychle znamená tak rychle, aby útočník byl schopen ze získaných dat extrahovat použitelnou informaci. Obvykle se spíše nacházím v pozici obránce a tudíž mě bude zajímat, po jakou dobu, jsou moje data v bezpečí, respektive jak rychle mohou být dešifrována.
2.4.1 Prvočísla, jejich výběr a ověření jejich prvočíselnosti Prvočíslo je číslo, pro které platí, že je celočíselně dělitelné sebou samým a číslem 1. Zároveň musí být splněna podmínka, že číslo musí být > 1, ohledně toho, zda je číslo 1 prvočíslem se vedou spory. Z této definice ovšem nevyplývá jiná důležitá vlastnost a to, že jich je nekonečně mnoho. Tuto vlastnost prvočísel prokázal již před Euklides (300 před n. l.). V souvislosti s prvočísly je třeba se zmínit o dalších vlastnostech.
•
Všechny prvočísla větší než 2 jsou lichá. Číslo 2 je jediným sudým prvočíslem.
•
Silná Goldbachova domněnka Všechny celá nenulová lichá čísla > 2 jsou součinem dvou prvočísel (pokud samy nejsou prvočísly). Existují ještě další interpretace této domněnky, neméně zajímavé. Každé celé číslo > 5 je součinem dvou prvočísel (opět pokud nejsou prvočísla). A konečně, každé celé číslo větší než 2, je součtem dvou prvočísel. Druhá domněnka má menší význam pro kryptografii, než ta první. Nicméně, není jisté, zda tuto domněnku nebude jednou možné použít k faktorizaci.
•
Domněnka o dvojici prvočísel Existuje nekonečně mnoho prvočísel, jejíchž vzdálenost je rovna 2.
•
Velice zajímavou a pro kryptologii významnou domněnkou je domněnka Legendrova. Existuje nekonečně mnoho prvočísel splňující následující nerovnost: n2 ≥ p ≥ (n+1)2, kde n je libovolné celé nenulové číslo. Tento vztah je možné použít jak pro nalezení vhodného prvočísla tak i pro odhad jak velké prvočíslo bylo použito. Použití této domněnky pro velké prvočísla je problematické, nicméně dává odhad, jak velké prvočíslo bylo použito. To platí především pro kryptologii. Nalezení prvočísla pro metodu RSA je mnohem snažší pomocí modulové algebry.
•
Významnou pro faktorizaci čísel je Euklidova lemma. Jestliže p je prvočíslo a c je součin dvou celých čísel ab, pak p dělí buď a, nebo b. Tato lemma se požívá pro dokazování jedinečnosti výsledku faktorizace.
•
Okruh Z/nZ je tělesem tehdy a jen tehdy, pokud platí, že n je prvočíslo.
•
Fermatův malý teorém. Fermatův malý teorém říká, že pokud p je prvočíslo nesoudělné s a pak
platí,
že
ap−1
≡
1
(mod
p).
Důkaz
je
možné
najít
v:
<>. •
Modulo 2 Samo o sobě modulo 2 zdánlivě nemá význam, nicméně je možné pomocí modulo 2 provádět operaci XOR. Další vlastnosti lze nalézt v <<[PC] str. 190 - 204>>
•
Velká prvočísla Algoritmy jako RSA a podobně používají velká prvočísla a proto některé vlastnosti v práci uvádím. Standardní datové typy implementované ve většině programovacích jazycích neimplementují velké celočíselné typy. Je tedy nutno sáhnout po specializovaných knihovnách. Jako příklad mohou posloužit knihovny MUNTL, anebo GSL <<MUNTL: http://freshmeat.net/projects/muntl/ ;GSL http://www.gnu.org/software/gsl/ >>. Tyto knihovny jsou vytvořeny s ohledem na vícenásobnou přesnost a nejen to platí speciálně pro C, C++ a PERL. Výčet vlastností přesahuje významně rámec této práce4. Pokud bych pracovali s velkými prvočísly, pak bych pravděpodobně sáhl po těchto knihovnách5. Další možností je sáhnout po specializovaných knihovnách RSA BSAFE apod. Tyto knihovny ovšem nejsou volně dostupné a jsou licencovány.
4 Část knihovny je obsažena i v balíku openSSL. Knihovna obsahuje funkce pro práci s velkými čísly, včetně jejich přetypování. Vyjma toho jsou schopny provádět mimo jiné i tzv. Pollardovu ρ-metodu. Popis knihovny je možné nalézt například na: http://www.nada.kth.se/~tege/gmp/gmp-man-4.2.4.pdf. 5 To pouze za předpokladu, že nebude vadit, že tyto knihovny nejsou navrženy s ohledem na odolnost vůči timming attacku.
•
Ověřování prvočíselnosti Ověřování prvočíselnosti je fundamentálním požadavkem pro správnou funkci kryptografických funkcí založených na prvočíslech. S úspěchem můžeme použít vlastností modulární aritmetiky, například proto, abychom vůbec byli schopni s velkými čísly pracovat. V reálném nasazení musíme počítat i s zaokrouhlovacími chybami. To platí především pro čísla v plovoucí desetinné čárce, což je další dobrý důvod, proč znovu použít modulární aritmetiku. Pro úplnost uvádí, test Rabin-Miller (dále jen R-M). Rabin – Miller je rozšířením původního Rabinova algoritmu, který je založen na Fermatově větě. Popis je možné nalézt např. v: <<[Kod] str.181>>. Samozřejmě je možné uvést další např. Lucas-Lehmerův (dále jen L-L) test, anebo Prothův test (dále jen P-test). Tyto testy ovšem vyžadují faktorizaci na úrovni n + 1 a to je činí prakticky nepoužitelnými. Popis R – M algoritmu je převzat z <<[PC] str.201>>. Algoritmus se snaží nalézt odpověď na otázku zda celé liché číslo je prvočíslo. Na rozdíl od testů L-L a P-testu, nedostáváme absolutně přesnou odpověď na otázku, zda námi zvolené číslo je prvočíslo. Pracujeme s vědomou chybou. To však neznamená, že by algoritmus byl chybný. V reálném nasazení totiž bezpečná chyba bude výrazně menší > 2-n, což je zajištěno volbou počtu kroků výpočtu. Příklad výpočtu počítá s chybou 2-128, považovanou za bezpečnou úroveň. Algoritmus je převzat z <<[PC] str.201>>.
funkce Rabin-Miller vstup n # liché číslo > 3 výstup b # boolean – identifikace, zda číslo n je prvočíslem, či nikoli
použij n ≥ 3 and n mod 2 ≥ 1 # Nejdříve se spočítá (s,t) takové pro které platí, že: s je liché celé číslo a 2ts = n – 1 (s, t) ← (n-1, 0) while s mod 2 = 0 do (s, t) ← (s/2, t + 1) done # Dále se sleduje zda pravděpodobnost nesprávného výsledku je dostatečně malé na
# to, aby bylo možné s přijatelnou mírou přesnosti říci, že a je prvočíslo. k ← 128 while k < 128 do # zvolíme náhodné čísla tak, aby platilo: 2 ≤ a ≤ n – 1 a zároveň 2 < a < n – 1 # výpočetně náročná operace v ← as mod n # pokud platí, že v = 1, pak n prošlo testem pro bázi a if v ≠ 1 then # sekvence čísel v, v2,...,v2t musí být rovna jedné a zároveň poslední hodnota nesmí # být rovna 1 (n-1) pokud n je prvočíslo. i←0 while v ≠ (n – 1) do if i = t – 1 then return false else (v, i) ← (v2 mod n, i +1) fi done fi # v tomto bodě n prošlo testem prvočíselnosti na bázi a. Nyní lze snížit # pravděpodobnost chybného výsledku o faktor 22, tím že přidáme 2 ke k. k←k+2 done return true Algoritmus podává správné výsledky pro n ≥ 3. Daný test je pouze odpovědí zda zvolené číslo, je prvočíslem, či nikoliv. Rabin-Millerův test variací na malý Fermatův teorém. Pokud je test použit
pro náhodně vygenerované číslo, je jen malá pravděpodobnost, že zvolené číslo nebude prvočíslem. Jiná situace bude v okamžiku, kdy použijeme čísla získané z jiného zdroje. Takové číslo pak může být zvoleno s ohledem na R-M algoritmus tak, aby chyba u složeného čísla byla nižší, než mez, kterou považujeme za bezpečnou. Tím se vyřeší jen jedna část problému. Dále se budeme zbývat druhou částí problému, jak provádět vlastní výpočty. Důvod je dvojí, ten první je práce s velmi velkými čísly (2000 bitů a výše) a druhý je bezpečnostní. Je tu ještě jeden důvod. Rychlost provádění výpočtů. Pro zjednodušení, budeme uvažovat možnost, že útočník má příležitost provádět timming attack. O jeho účinnosti nejlépe vypovídá skutečnost, že se jím mnoho kryptologů zabývá a považují ho za hrozbu, jako celou skupinu útoků postranním kanálem. Problematikou timing attacku se zabývám jinde, nicméně jako dobrý příklad může posloužit tento příklad: << http://cr.yp.to/antiforgery/cachetiming-20050414.pdf >>. Ačkoliv se vztahuje k AES ukazuje dvě silné stránky tohoto útoku. Tou je možnost vzdáleného provádění a jeho účinnost. Proto při používání se neměla tato možnost podceňovat a to proto, protože kryptografie založená na veřejných klíčích, je k tomuto útoku náchylnější. Uvedený příklad výpočtu je pouze ilustrativní a neznamená, že je to jediný způsob jak provádět výpočty. Při výpočtu je relevantní informace: as mod n. Popis je převzat z <<[PC] str.204 – 205>>. Uplatňují se následující pravidla:
•
Pokud je s > 0 a je sudé, nejdříve spočítáme: y = as/2 mod n. Výsledek je pak dán vztahem: as mod n = y2 mod n.
•
Pokud je s > 0 a je liché, y = a(s-1)/2 mod n pomocí stejných pravidel. Výsledek je pak dán následujícím vztahem: as mod n = ay2 mod n.
•
Pokud s = 0, pak je výsledek roven 1
Algoritmus je principiálně rekurzivní. V souvislosti s timming attackem je důležité, kolik operací bude třeba pro výpočet as mod n. Počet operací vychází zhruba na dvojnásobek délky klíče, tzn: při délce 1024 bitů musíme provést 2000 operací násobení. Tato úvaha dává poměrně přesvědčivý argument, proč jednoduché metody výpočtu, nejsou vhodné pro tyto účely. Metody obrany jsou zmíněny u jednotlivých algoritmů.
2.4.2 Praktické doporučení týkající se algorimu RSA Z dříve uvedených poznatků je zřejmé, že nestačí jen dodržet uvedené omezení, ale je třeba zohlednit i na praktickou část, jako je rychlost zpracování apod.
•
Velikost modulu (n). Dostatečně bezpečná velikost modulu n se odvíjí od síly dešifrovacích algoritmů. Proti požadavku na dlouhý klíč se staví efektivita a náklady spojené s používáním klíče. Nelze paušálně říci, že velmi dlouhý klíč řeší všechny problémy. Zhruba do poloviny 90 – tých let platilo za bezpečnou velikost modulu 512 bitů. V současných podmínkách platí, s ohledem na algoritmy jako jsou GNFS a Pollardova ρ-metoda, že bezpečná délka je 2048 bitů. Otázkou zůstává jak dlouho. Dle doporučení NIST, který se ohledem na stav pokroku kryptologie snaží standardizovat úroveň bezpečnosti jednotlivých algoritmů a to včetně predikce do budoucna, platí že, výše uvedená hodnota 2048 bitů bude dostatečná nejméně do roku 2035. Tabulku shrnující doporučení je možné nalézt na: <>, případně novější vydání. Dalšími zdroji mohou být: <>; <>
•
Odolnost proti kryptografickým útoků Samotný algoritmus RSA je bezpečný. To však neplatí pro všechny implementace. I zde platí pravidlo nejslabšího článku. Řešení je bezpečné tak, jako jeho nejslabší část. Proto je třeba ověřit zda zvolené řešení je opravdu bezpečné a na kolik je bezpečné z dlouhodobého hlediska. Stále je třeba mít na paměti, že nejvíce úspěšných kryptografických útoků je vedeno proti implementaci.
•
Odolnost proti postranním kanálům Postranní kanály se v posledních několika letech těší velkému zájmu a je zřejmý vzrůstající zájem o tento typ útoků. Nezbytností se stává implementace opatření mající za úkol zabránit, anebo minimalizovat nebezpečí postranních kanálů. Postranní kanály nejsou jen vlastností algoritmu nebo implementace. Do této oblasti patří i prostředky mající za úkol zabránit tamperingu na úrovni nejen mechanické, elektronické, ale i časové, nebo optické.
•
Cena řešení Cenou zde rozumíme celkové náklady a to nejen pořizovací a provozní. Patří sem rovněž náklady na řešení „emergentních stavů“, jako jsou: selhání modelu bezpečnosti, na základě kterého byl algoritmus zvolen, kompromitace klíčů (jejich krádež, nebo zneužití). Tyto zdroje patří do oblasti projektu bezpečnosti, nicméně jsou spjaty s konkrétním řešením. Další opatření souvisejí s naplňováním zákonných norem, ať už České republiky, nebo komunitního práva v rámci EU. Do hry vstupují i požadavky mimoúnijních norem jako jsou: Směrnice pro kryptografickou politiku z 27. března 1997 zemí OECD, "Implementation of the
Wassenaar Arrangement List of Dual-Use Items: Revisions to the Commerce Control List and Reporting Under the Wassenaar Arrangement; Rule." <> .
Nařízením Rady EU č. 2252/2004 o normách pro bezpečnostní a biometrické prvky v cestovních dokladech vydávaných členskými státy. •
Zvážení vhodnosti celkového řešení i s ohledem na budoucí potřeby. Vhodnost celkového řešení se odvíjí od budoucích potřeb. Ne vždy, je však zvolené řešení odpovídající budoucím potřebám v horizontu 10 nebo 20 let. Tyto požadavky jsou výsledkem analytické části a jsou často deklarovány právními úpravami.
•
Normy práva Normotvorný vliv na implementaci šifrovacích algoritmů je značný. Nejen, že je třeba splnit minimální úroveň bezpečnosti, ale nezřídka, je třeba zvolit certifikované řešení. Tím úloha přestává být obecně kryptografickou a stává se úlohou logistickou, integrační a podpůrnou.
•
Vlastní návrh a řešení Vytvořit si vlastní kryptosystém byť i na již vytvořených řešeních, nemusí být vždy zárukou kvalitního a kryptograficky odolného řešení. Návrh a řešení vyžaduje značnou úroveň znalostí a nezbytnou dávku praxe. Proto zde platí, že je lepší vyzkoušené řešení, jenž ne zcela vyhovuje požadavkům zadavatele, než řešení, které požadavkům vyhovuje, ale je z hlediska kryptoanalýzy pochybné, nebo dokonce bezcenné (snadno prolomitelné).
2.4.3 PKCS #1 PKCS #1 verze 2.1 je popsán v RFC- 3447. Z tohoto zdroje jsem čerpal << http://tools.ietf.org/html/rfc3447 >>. Verze 2.1 je poslední veřejnou verzí a je především opravou předchozích standardů 1.5 a 2.0. V průběhu platnosti standardu se podařilo nalézt slabiny v implementaci a proto bylo třeba tyto slabiny odstranit, aby byla zajištěna dostatečná úroveň bezpečnosti a zároveň dobrý výkon a nepříliš složitá implementace, která může být zdrojem dalších implementačních slabin. Připomeňme si základní fakta. RSA algoritmus je deterministický algoritmus využívající skutečnosti, že je relativně snadné najít velké prvočíslo, avšak faktorizace velkého čísla je obtížný problém, který není možné, pro zvláště velká čísla, najít v relativně krátkém časovém úseku pomocí faktorizace (rozklad na prvočísla). Algoritmus RSA není sémanticky bezpečný
a tudíž se musí doplnit o doplňovací schéma (padding), aby se snížilo nebezpečí
prolomení algoritmu pomocí útoků zaměřených na charakteristické, nebo opakující se části řetězce tajné zprávy m. Doplňovací schéma musí být rovněž dostatečnou zárukou, že nedojde k prolomení slabinou v doplňovacím schématu, což se také v minulosti stalo viz. Mangerův útok
<< http://crypto-world.info/klima/2002/chip-2002-02-134-137.pdf>>. Popis jednotlivých primitiv lze používat, jen tehdy, pokud to ohrozí čitelnost textu. Vlastní standard pokrývá následující aspekty: 2.4.3.1 Kryptografická primitiva (Cryptographic primitives) Rozsah primitiv je poměrně malý. Primitiva jsou dvě pro šifrování a dvě pro podpisování. •
RSAEP ((n, e), m) Vstup: (n, e) veřejný klíč RSA (modul a exponent) m - zpráva, nezašifrovaný text ve formě celého čísla mezi 0 a n – 1 Výstupem je c zašifrovaný text, který je reprezentován celým číslem mezi 0 a n – 1 nebo chybová hláška: “message representative out of range” Nutný předpoklad je, že RSA veřejný klíč (n, e) je platný. Za předpokladu, že výše uvedené podmínky jsou splněny, platí vztah: c = me mod n.
•
RSADP (K, c) Vstup: (K, c) tajný klíč RSA (modul a exponent) pětice (p, q, dP, dQ, qInv) a trojice indexů (ri, di, ti), i = 3, …, u, které mohou být rovny 0. m - zpráva, otevřený text ve formě celého čísla mezi 0 a n – 1. Kde jednotlivé parametry jsou: p
- první prvočíslo
q
- druhé prvočíslo
dP
- exponent p, kladné velké celé číslo pro, které platí: e · dP ≡1 (mod (p – 1))
dQ
- exponent q, kladné velké celé číslo pro, které platí: e · dQ ≡1 (mod (Q – 1))
qInv
- koeficient CRT, které je kladné celé číslo, menší než p a takové, že platí:
q · qInv ≡1 (mod p) Výsledkem je zpráva v otevřeném tvaru m. 2.4.3.2 Kryptografické schémata Doposud jsme uvažovali pouze primitiva. Schémata a primitiva spolu zajišťují, že bude dosaženo příslušné úrovně zabezpečení, reprodukovatelnosti a přenositelnosti. V současnosti je jediné doporučené schéma RSA-OAEP pro šifrování zpráv. Existují i jiné RSA-KEM apod. Ty však nejsou
doporučeny pro vyšší úroveň zabezpečení, protože zde byly nalezeny implementační chyby, nebo byly použity nezcela odolné, nebo nevhodné doplňovací schémata. Důvody proč jsou používána schémata, byly objasněny v části týkající se teoretické části týkající se algoritmu RSA (deterministický algoritmus). Standard PKCS #1 definuje schémata RSAES-OAEP a RSAESPKCS1-1_5. Schémata jako je RSAES-PKCS1-1_5 v poslední verzi PKCS #1, jen z důvodu zpětné kompatibility a proto není doporučeno je užívat pro nové implementace. Rozsahem a architekturou je podobný například IEEE Std. 1363-2000. Je třeba poznamenat, že existují i další standardy, ale nelze jim dát prostor, protože to nedovoluje rozsah práce. 2.4.3.3 RSAES-OAEP RSAES-OAEP je reakcí na nedostatky nalezené v prvních implementacích schémat. Schéma je kombinací primitiv RSAEP a RSADP s EME-OAEP kódovací metodou EME-OAEP založené na návrhu doplňovacího schématu navrženém Bellarem a Rogawayem OAEP (Optimal Asymmetric Encryption Padding) <
http://www-cse.ucsd.edu/users/mihir/papers/oae.pdf>>.
Navržené schéma je kompatibilní s dalšími schématy například IEEE Std 1363-2000. Pro lepší pochopení souvislostí použijeme obrázek převzatý z <>, který popisuje EME-OAEP.
Ilustrace 5: Schéma doplňovacího schématu EME-OAEP Je třeba zdůraznit, že EME-OAEP není vlastní předpis, jak šifrovat data, nýbrž předpis, jak správně formátovat data pro šifrování pomocí algoritmu RSA. Zde popisuji jednotlivé parametry a jejich význam. Výše uvedený diagram použiji ještě jednou v práci a to při rozboru cílených útoků na doplňovací schémata (Mangerův útok) v mírně upravené verzi. Formátování představuje nejdůležitější prvek asymetrických schémat a zároveň i nejzranitelnější. Většina úspěšných útoků byla vedena právě vůči doplňovacím schématům. •
M – otevřený text
•
lHash - hash doplňkového parametru L. Pokud tento parametr je 0, doplňuje se předem vygenerovaným řetězcem. Řetězce je možné najít v RFC-3447, konkrétně v kapitole 7.1, týkající se EME-OAEP.
•
L - doplňkový parametr L
•
l - délka šifrované zprávy M.
•
B - délka binárního zápisu N v bytech
•
PS - předsavuje náhodný řetězec délky B – L -3. Tento řetězec je vygenerován zvláště pro každý výpočet.
•
DB - představuje spojení řetězců
•
MGF - Mask Generation Function. MGF je založena na hashovací funkci a je součástí
pHASH, PS, 0x01, M
kryptografických primitiv (MGF1). Ut éto funkce se zastavíme, protože je významná z hlediska ověřitelné bezpečnosti schémat RSAES-OAEP a RSASSA-PSS. Funkce MGF je hashovací funkcí jenž má za úkol zajistit dostatečnou „náhodnost“ výstupního řetězce. Funkce MGF musí zajistit, že nebude možné dostupnými prostředky rekonstruovat z jedné části výstupu jinou část. 2.4.3.4 Šifrování a dešifrování Dosud jsem rozebíral jen součástí schématu a nyní se práce zabývá prováděním šifrování. Pro šifrování se používají primitiva RSAES-OAEP-ENCRYPT ((n, e), M, L) a RSAES-OAEPDECRYPT (K, C, L). Význam jednotlivých parametrů je patrný z předchozího rozboru. Zmíníme se pouze o parametrech K a C. •
K – Privátní klíč, který je (n,d)
•
C – Zašifrovaný text, určený k rozšifrování.
2.5 Diffie-Hellman výměna klíčů (Diffie-Hellman Key exchange algorythm) Diffie-Hellman algoritmus výměny klíčů (dále jen D-H) je vůbec prvním prakticky použitelným algoritmem pro šifrování s veřejným klíčem (pravděpodobně vůbec prvním byl algoritmus Merkelových skládaček - Merkel´s puzzle). D-H algoritmus patří také do skupiny algoritmů pro distribuci klíčů. Lze ho snadno upravit do podoby, kdy může být nasazen pro více než dvě strany. Od svého vzniku v roce 1976 doznal mnoha změn a variací. Takovými variantami jsou např.: Station-to-station protokol, COMSET, EKE (Encrypted Key Exchange), Hughes, Ephemeral D-H. Ephemeral D-H je hlavní způsob použití tohoto protokolu. Tento protokol byl vytvořen tak, aby odstranil zásadní nedostatek, kterým je nutnost sdílet veřejné parametry (p,g). Další z nejvíce používaných a zároveň nejlepších variant je použitím eliptických křivek (ECC, ECDH). Oproti původnímu návrhu je tento algoritmus mnohem silnější a prakticky se blíží síle symetrických algoritmů. ECDH algoritmus je stejně silný zhruba jako poloviční až třetinové délka symetrického klíče. D-H algoritmus je velmi oblíben pro jeho poměrně dobré vlastnosti a je součástí mnoha
technických řešení, které pro své praktické fungování vyžadují výměnu klíčů mezi dvěma, nebo více subjekty. Princip toho algoritmu je založen na složitosti výpočtu diskrétního algoritmu. Vlastní algoritmus je poměrně jednoduchý: Strana A zvolí náhodné velké celé číslo x a provede následující výpočet: X = gx mod n Strana B zvolí náhodné velké celé číslo y a provede následující výpočet: Y = gy mod n Strany A a B si vymění výsledky X a Y. Hodnoty X a Y pak použije následujícím způsobem. Strana A: k = Yx mod n Strana B: k´ = Xy mod n Pak platí následující, že k a k´ jsou rovny gxy mod n. Přitom platí, že n a g jsou velká prvočísla, kde g je generátor grupy Zp*, x a y jsou celá čísla z intervalu <1, p-2>. Sdílené tajemství je pak k. Z předchozího vztahu je zřejmé, že k a k´ jsou totožné a zároveň sdílené tajemství (klíč). Je třeba zdůraznit, že pro naprostou bezpečnost je třeba zajistit autenticitu klíčů (man in-the-middle). Zajímavým aspektem algoritmu je skutečnost, že vůbec nedojde k výměně klíče přes nezajištěný kanál. Obě strany tak nezávisle mohou spočítat tajný klíč.
3 Kryptograficky bezpečné generátory náhodných čísel a jejich vlastnosti 3.1 Generátory náhodných čísel a jejich vlastnosti Generátory náhodných čísel (kvalitní generátory) jsou jedním z klíčových komponent každého kvalitního kryptosystému. Bez těchto generátorů by nebylo možné vygenerovat soli, inicializační vektory apod., tak aby byly dostatečně náhodné. Podmínka náhodnosti je jedním z klíčových požadavků pro tyto vstupní parametry. Generátory náhodných čísel, jak z názvu vyplývá, slouží k vytváření náhodných čísel, nebo sekvencí. Dělí se na dvě hlavní skupiny, hardwarově a softwarově realizované. Softwarově realizované jsou založeny na deterministickém algoritmu, který poskytuje dostatečně náhodné výstupní hodnoty. To ovšem neznamená, že nemohou být
použity jako zdroj pro inicializační vektor použít SW řešení. Jinou definicí, vycházející ze statistických vlastností, může být tato: „Generátor náhodných bitů je zařízení, nebo algoritmus, jehož výstupem je řada statisticky nezávislých a nevychýlených bitů.“
3.1.1 Náhodná čísla a jejich vlastnosti V předchozích částech se spoléhalo na náhodná čísla, jako na zdroj solí inicializačních vektorů, nebo noncí. Jaké je měřítko náhodnosti? Měřítkem náhodnosti je entropie. Jednou z definic entropie je míra neurčitosti informace. Čím je tato míra vyšší, tím vyšší je i entropie. Matematický popis entropie může být dán následujícím vztahem <<[PC] str.156>>: H x=−Σx PX=xlog2 X=x H x PX=x
- entropie - pravděpodobnost, že X dosahuje hodnoty x
V reálném světě není nic ideálního a ani náhodná čísla jimi nejsou. Proto se zdroje entropie stávají častým cílem útočníků a musí být dostatečně chráněny. Pro dobrého útočníka není velký problém cíleně změnit chování generátoru náhodných čísel například pomocí elektromagnetické imise. Dalším způsobem může být využití EPR paradoxu (Einstein Podolsky Rosen) pro účelovou indoktrinaci náhodného generátoru vlastními podvrženými daty.
3.1.2 Užívání náhodných dat Získávání náhodných dat (nevychýlených, nebo podvržených dat) je jen jedna z mnoha překážek jímž je nutné čelit při získávání náhodných dat. Dalšími problémy jsou dostupnost, spolehlivost a kvalita dat. Zvláště spolehlivost může být zásadní bezpečnostní problém. Jako příklad může posloužit nedávno zveřejněný útok na webové služby. Dostupnost dat je otázkou především vstupních dat za čas. Pokud potřebujeme dostatečné množství náhodných dat musíme počkat, nebo se poohlédnout po lepším zdroji. Většina zdrojů náhodných dat je velmi málo odolných. Spoléhání na takový zdroje dat, které jsou jediným zdrojem dat, se muže stát to, že se jednoduše rozbijí, nebo přestanou fungovat správně. Posledním a nejtěžším problémem, který je třeba vyřešit, je získávání nevychýlených dat ze zdroje.
3.1.3 Útoky proti PRNG Modely útoku útoku se zaměřují na různé části PRNG a to jak jednotlivých komponent, tak i celku. Prvním cíleným útokem je útok na inicializační vektor (seed), který musí být nejen dostatečně náhodný, ale musí být uchován v přísném utajení, protože jinak hrozí kompromitace celého systému. V ukázce praktického řešení použijeme jako příklad PRNG generátor YARROW, který byl speciálně navržen tak, aby byl odolný vůči všem útokům vedeným proti PRNG generátorům. Útok je možné provádět mimo jiné i proto, protože každý PRNG se musí nacházet v nějakém vnitřním stavu. Jakákoli změna (vytvoření pseudonáhodného výstupu) znamená, že nesmí dojít na výstupu můžeme k tomu, že obdržíme ta samá výstupní data, jako v předchozím kroku. To lze provést poměrně snadno, například zašifrováním předchozí hodnoty, nebo použitím hashe. Obtíže nastávají v okamžiku, kdy útočník již kompromitoval PRNG. Pro obnovení věrohodnosti nezbytně potřebujeme zdroj náhodných dat. I když máme zdroj náhodných dat, který není kompromitován, nutně to neznamená, že útočník nemůže pokračovat ve své činnosti. Plně postačí, když se bude snažit o získání co největšího objemu náhodných dat z výstupu generátoru. Pro zjištění interního stavu generátoru metodou hrubé síly, musí útočník vyzkoušet plný rozsah možných vstupních náhodných bitů. Statistické metody potřebné k získání vstupní náhodné veličiny je možné nalézt například v << ftp://ftp.inf.ethz.ch/doc/dissertations/th12187.ps.gz >>. Zabezpečení PRNG tentokráte z pohledu útočníka lze nalézt například v << http://www.schneier.com/paper-prngs.pdf >>. Útok na PRNG může být proveden těmito způsoby: •
Špatný odhad vstupní velikosti entropie, nebo snadno odhadnutelný počáteční stav. Špatný odhad je častou příčinou selhání reálně nasazených PRNG. Pokud je entropie relativně nízká, při stávajícím stavu technologie méně než cca 60 bitů, pak útočník může použít metodu hrubé síly a vyzkoušet všechny dostupné hodnoty entropie (seed). Získání kvalitního zdroje entropie a to nejen z hlediska úrovně entropie, ale i objemu dat je asi nejobtížnější problém při návrhu PRNG.
•
Nesprávné zacházení s klíči, nebo soubory seed. Nesprávné zacházení patří spíše do oblasti implementačních chyb. Představuje široké spektrum chyb jako: chyby typu race condition, nesprávné nastavení práv k dočasným souborům a adresářům, nedostatečně vyřešení mazání souborů, ukládání souborů do veřejně přístupných složek, nedostateční zajištění paměťového prostorů (trasování RAM) apod.
•
Implementační chyby. Implementační chyby nelze odhalit bez auditu a ani ten není zárukou spolehlivého řešení. V souvislostí s implementací je třeba uvažovat i testovací scénáře a
vektory pro nejen vývojovou fázi, ale i pro produkční fázi. V produkční fázi se již pracuje v reálném prostředí a není možné snadno změnit návrh PRNG, už proto protože není izolovaný, ale je součástí většího celku. •
Kryptoanalytický útok proti mechanismu generátoru. Změna seedu mezi dvěmi vnitřními stavy je fakticky proudová šifra. Tato skutečnost dává útočníkovi určitou informaci, kterou může využít k získání vnitřního stavu, nebo z výsledků muže přímo predikovat budoucí stav. Proto většina moderních a spolehlivých PRNG používá silný kryptografický algoritmus pro zajištění interní integrity PRNG. Omezit tuto slabinu je možné například tím, že se použije dostatečně silná bloková šifra. Kvalitních blokových šifer je poměrně hodně a to i těch, které nejsou zatíženy licenčními poplatky (AES, Blowfish, CAST apod.).
•
Útok postranními kanály. Postranní kanály se stávají v poslední době široce diskutovaným tématem a to proto, protože se ukazuje, že je možné je nalézt i ve vysoce kvalitních šifrách. Stejné je tomu v případě PRNG. Postranní kanály umožňují získat informaci o vnitřním stavu
generátoru.
Jako
příklad
může
posloužit
knihovna
RSAEF
2.0
<<www.schneier.com/paper-yarrow.ps.gz , str. 4>>, která není odolná vůči timing attacku i když v tomto případě jde spíše o implementační chybu. •
Útok prostřednictvím voleného vstupu (fakticky chosen plaintext attack). Útočník může dostat příležitost generovat jím zvolený vstup. Pro úspěšné provedení tohoto typu útoku je třeba převzít, alespoň částečnou kontrolu nad PRNG.
•
Úplné kompromitování PRNG. Některé generátory mají tu vlastnost, že pokud se útočníkovi podaří získat klíč, může odvodit všechny budoucí stavy generátoru, teoreticky do nekonečna.
•
Iterativní útok. K provedení tohoto útoku je potřeba, aby útočník převzal kontrolu nad generátorem, nebo alespoň mohl zjišťovat vstupní a výstupní hodnoty. Princip útoku je založen na znalosti stávajícího výstupu a odhadování vstupní entropie z předchozího stavu. Je třeba si uvědomit, že vstupní entropie má většinou menší počet bitů než výstup. Proto má útočník mnohem snažší pozici, když se snaží dopátrat budoucího výstupního vektoru, ze znalosti současné entropie. V souladu s předchozím typem útoku, může úplně eliminovat PRNG jako překážku.
•
Backtracking. Backtracking je založen na myšlence, že program, nebo obecně algoritmus, může být spuštěn nejen dopředu, ale i pozpátku. Tímto způsobem je možné získat klíče šifry, které slouží k přechodu mezi dvěmi vnitřními stavy PRNG. Z toho plyne, že každý
kvalitní generátor musí být navržen s ohledem na na tuto možnost. Nejlepším řešením, je použít jednocestnou funkci, která nemá klíč a z výstupu není možné zjistit vstupní data.
3.1.4 HW řešení PRNG HW PRNG využívají přírodních zdrojů náhodnosti pramenící z jejich fyzikální podstaty. Tyto zdroje nejsou statisticky nevychýlené, anebo vzájemně závislé a proto je třeba používat techniky, které mají tuto vychýlenost odstranit. Výstup není obvykle nezávislý ve statistickém slova smyslu. (pravděpodobnost, že zdroj „1“
nemá pravděpodobnost 0.5, anebo přímo závisí na
předchozím bitu). Způsobem jak provést narovnání je použití následující techniky* << [HaC] >>. Předpokladem je, že nedochází ke změně pravděpodobnosti výskytu p v čase (známo též jako Von Neumannova metoda). Rozdělme skupinu (např.: 10) generovaných bitů na dvojice a ty pak rozdělme dle následujícího klíče: 10 bude přidělena 1, 01 bude přidělena 0. Pak z této sekvence vyřadíme ty, které budou mít hodnotu 00 a 11. Tím je výsledná (opravená) sekvence statisticky nevychýlená a je možné jí použít jako zdroj náhodných bitů. Jednou z dalších možností je použít hashe SHA-1 apod. Tento postup je sice praktický, nicméně z matematického hlediska jeho výsledek je neověřitelný. Zdroje náhodnosti: •
čas mezi dvěma zachycenými částicemi při radioaktivním rozpadu
•
tepelný šum produkovaný polovodičovými součástkami
•
nestabilita volně vázaného oscilátoru
•
turbulence uvnitř pevného disku
•
šum získaný z mikrofonu
Řešení na bázi fyzikálních zdrojů náhodnosti jsou spolehlivé a kvalitní, to však neznamená, že nemohou být cílem útočníka. Proto je nutné, aby byly podniknuty všechny kroky vedoucí k zabezpečení před nežádoucí manipulací. Ani HW zdroje entropie nejsou bez chyby. Pro to, aby mohly být použity v CPRNG, je třeba jejich výstup normalizovat. K tomu se používá právě tzv. Von Neumannova metoda*.
3.2 Řešení PRNG na bázi SW PRNG řešení je výrazně složitější než HW řešení. Jako zdroje náhodnosti mohou být použity následující vstupy: •
systémové hodiny
•
čas mezi stiskem kláves
•
vstupně / výstupní buffery a jejich obsah
•
uživatelský vstup (např.: nahodilé pohyby myší)
•
hodnoty získané z OS, jako například: hodnoty zátěže systému, nebo aktivita síťových karet
Použité zdroje, stejně jako v případě HW řešení, vyžadují kvalitní ochranu před nežádoucí manipulací. V případě SW řešení, je ještě složitější, jak tyto zdroje ochránit. Útočník má na své straně výhodu v tom, že může nejen sledovat zdroje, ale cíleně s nimi manipulovat. SW řešení nemá jen nevýhody, ale také některé výhody. Výhodou může být používání více zdrojů náhodnosti a tím předejít možnému selhání některého ze zdrojů. Získávání finální bitové posloupnosti se neobejde bez poměrně složitých technik, které se souhrnně nazývají míchací funkce (mixing function). Funkce různým způsobem míchá zdroje a ve finále na ně implementuje vhodnou hashovací funkci jako SHA-1 apod. Za účelem komprese výsledné sekvence (hashovací funkce „randomizují“ vstup). Tím dostáváme unifikovanou dostatečně náhodnou sekvenci.
3.3 Generátory pseudonáhodných čísel (PRNG) Za definici PRNG (Pseudorandom Number Generator) lze zobecněnou definici PRBG (Pseudorandom Bit Generator). PRBG je deterministický algoritmus, jehož výstupem je náhodná sekvence bitů o délce k, pro kterou platí: l >> k. Zároveň lze konstatovat, že l je výstup, který je možné považovat za statisticky významný vůči k. Přitom je třeba zdůraznit, že výstup není náhodný. Obecně jsou generátory pseudonáhodných čísel efektivní deterministický program, který generuje posloupnost čísel, statistickými testy obtížně rozlišitelnou od náhodné veličiny. Oproti přirozeným generátorům mají tu nevýhodu, že nejsou skutečně náhodné a mají různě dlouhou periodu.
3.3.1 Požadavky na PRNG dané statistickými závislostmi Matematické požadavky vyplývají z „asymptoticity“ požadavku na statistickou nevychýlenost a dalších požadavků vycházejících z počtu pravděpodobnosti. Snahou je vytvořit generátor, který je pokud možno neodlišitelný od přirozeně náhodné posloupnosti. Uvádím zde některé vlastnosti. •
PRNG je možné považovat za náhodný, pokud projde všemi statistickými testy v polynomiálním čase a žádný algoritmus nemůže spolehlivě odlišit výstupní sekvenci od skutečně náhodné (přirozeně náhodné) sekvence se statistickou pravděpodobností
výrazně větší než 0.5. •
PRNG je možné považovat za spolehlivý pokud projde „next-bit“ testem. Next-bit test je test založený na algoritmu, kdy v polynomiálním čase není možné určit (l +1)-tý bit s pravděpodobností větší než 0.5.
•
Zobecnění next-bit testu (Univerzalita next-bit testu). Pokud PRNG projde next-bit testem tehdy a jen tehdy, pokud projde statistickými testy v polynomiálním čase. Pokud zde mluvíme o polynomiálním čase, máme na mysli dostatečně velkou vstupní a výstupní sekvenci dat.
3.4 Ostatní požadavky na CSPRBG 3.4.1 Zápisy dat na záznamové médium Z hlediska zátěže OS nepředstavuje zápis malého objemu dat do problém. V ideálním případě je to interval řádu minut. V zápisu do souboru jsou skryta jiné nebezpečí. Ty lze shrnout do několika následujících bodů: •
Update a atomicita provádění operací. Zápis dat na záznamové médium se provádí ve většině OS po nějaké periodě času, nebo pokud se napní nějaká vyrovnávací paměť. Dokonce není zajištěno, že pokud je vydán příkaz k zápisu na záznamové médium, je tento příkaz okamžitě splněn. Návrh řešení předpokládá, že k zápisu dojde a to okamžitě po reinicializaci. Dokonce může dojít k tomu, že by data na záznamovém médiu (magnetický disk) byla nekonzistentní. Pravda je ovšem taková, že se to v reálném nasazení nestává. Moderní souborové systémy jsou většinou transakčního typu. Pokud transakční systém negarantuje úplný přepis souboru (není zcela atomický), pak je lepší použít netransakční souborový systém. Důvod je prostý. Transakce mohou zanechat na disku informace (journal), které mohou vést k restauraci dat útočníkem. Pravdou je, že větší nebezpečí to ovšem znamená pro soli a tajné klíče, než pro soubory se seedem. Příkladem může být FS ext3, který je transakční a je možné z transakčního logu (journal) získat za určitých podmínek informace a to i po přepsání. Pro ukládání seedu, solí, nebo tajných klíčů se doporučuje netransakční FS např. Ext2. Důsledky takového chování jsou zmíněny v odstavci týkající se zálohování a obnovy.
•
Podobný problém se vyskytuje, pokud není užito přímého zápisu do diskového prostoru. Používání vyrovnávacích pamětí nese riziko snoopingu. Riziko o to větší, že možnosti jak je možné snooping provést je celá řada. Uvažujme jen tyto: podvržený modul jádra, rootkit,
přímé čtení z média (pevného disku). •
LVM (Logical Volume Manager) a pokročilé FS (File System). LVM je dnes častým prostředkem pro zprávu diskových prostorů a prosazuje se ve téměř všech serverových implementacích. Důvod je jednoduchý. Snadná správa a údržba. To přináší riziko klonování na nejnižší úrovni, které účinně obchází atomicitu zápisu a čtení souborů (z aplikační vrstvy). Nejinak je tomu v případě pokročilých FS. Téměř všechny umožňují pro potřeby zálohování vytvořit konzistentní kopii datového prostoru v daném časovém okamžiku. Pokud útočník získá práva provádět takovéto operace je nemožné mu zabránit v utajeném provádění odposlechu. Rovněž není možné zjistit takovou činnost snadno zjistit. To platí především v případě, že PRNG neběží v privilegovaném režimu.
•
Problém zálohování a obnovy dat V podstatě jde o stejný problém jak v předchozím případě. Jde o to jak zabránit, aby se soubor, nebo soubory se sedeem nedostaly do nepravých rukou. Problém se stává složitějším v okamžiku, kdy dojde k poruše, která znamená odstávku systému. Generátor sice obsahuje ochranu proti predikovatelnosti. PRNG se sám zotaví z kompromitovaného stavu, jenže skutečnost, že protivník získá seed mu dává poměrně rozsáhlé možnosti po obnově systému. Prakticky mu umožňujeme, aby se PRNG nacházel dvakrát ve stejném stavu. Útočník tak získá data někoho, kdo PRNG využívá. Účinná forma obrany proti tomuto typu útoku neexistuje a jedinou možností vytvoření úplně nového souboru se seedem. Samozřejmě je možné vyloučit soubory se seedem ze schématu zálohování. Dalším nutným opatřením je hashování čítače inicializace. Zabráníme tak možnému replay attacku oproti generátoru. Slabina tohoto řešení spočívá v tom, že hashování čítače inicializace je implementačně závislé, respektive platformě závislé.
•
První inicializace První inicializace obecně není tak jednoduchá jak, by se na první pohled mohlo zdát. Běžnou praxí je naplnění seed souboru náhodnými daty během instalace. Řešením může být jiný počítač nebo obecně zdroj entropie, který je odpojen od PRNG po naplnění úložišť a souboru se seedem. Volba záleží na okolnostech daných okolním prostředím a podmínkami za, za kterých je generátor provozován. Úložiště ovšem vyžadují pro svoji správnou funkci a naplnění kvalitní entropií určitý čas odvislý od kvality a vydatnosti externího zdroje entropie. To představuje problém především pro uživatele entropie, protože generátor se používá mimojiné i pro generování klíčů pro různé kryptosystémy a ty jsou při první inicializaci generována také.
•
Volba zdrojů entropie Výběr zdrojů entropie je jedním z nejtěžších vůbec. U zdroje,
který jsme vybraly počítáme s tím, že bude produkovat dokonale náhodná data. V důsledku toho také očekáváme, že každý prvek z výběru, bude mít stejnou pravděpodobnost výběru. Obrana proti snoopingu. Útočníkovi, kterému se podaří získat práva na úrovni superuživatele, plně postačí používat výše uvedené prostředky. Znamená to selhání bezpečnostního modelu jako celku. V případě, že nemůže získat dostatečně vysoká oprávnění, nebo má možnost číst z diskového prostoru, obecně úložného média, pak nám plně postačí na obranu dostatečně kvalitní nástroj pro šifrování diskových prostor. Šifrování diskových prostor řeší většinu výše zmíněných problémů se snoopingem. Znamená to jedno jediné, kvalitní provedení s ochranou klíče proti jeho odcizení.
3.4.2 Hrozby vyplývající z provozu v reálném výpočetním systému K tomu, aby útočník získal použitelnou informaci musí mít možnost přístupu do oblasti paměti, která je využívána PRNG pro řízení rozdělování entropie do jednotlivých akumulátorů. R. Schneier podotýká, že tím útočník dostává do ruky možnost ovlivňovat nejen obsah akumulátorů, ale úplně kompromitovat celý PRNG. To je pravda, nicméně dnešní překladače disponují možnostmi, jak tomuto zabránit a detekovat takovéto jednání a účinně se mu bránit (random canary apod.). Lepší řešení nabízejí moderní implementace prostředí jazyku JAVA. Některé implementace JAVA-enginu šifrují oblast paměti, kterou engine používá a zabraňují tak možnému ovlivňování chování generátoru. Příkladem by mohla být implementace JAVA od IBM. Tato implementace nabízí extenzivní ochranu a kontrolu paměťové haldy. Tím lze zabránit možnému útoku skrze manipulaci s pamětí. To platí jen potud, pokud je PRNG provozován jako uživatelský proces. Provozovat PRNG jako uživatelský program, nebo proces také není prozíravé z toho důvodu, protože je zde prostor na celou řadu útoků typu DoS (Denial of Service), ukončením procesu úplné využití dostupné paměti (memory exhaustion), odsunutí programu PRNG z paměti RAM do odkládacího prostoru apod. Jednoznačně lepší variantou je implementace přímo do jádra OS (Operating system – operační systém). Zde je ochrana jednoznačně vyšší (jádro OS má vždy vyšší prioritu a nelze ho swapovat alespoň ne celek). Jádro OS (kernel) má přímý (výlučný) přístup k zařízením, které jsou zdrojem entropie a v neposlední řadě pracuje na nižší úrovni chráněného módu (protect mode – mluvíme o víceuživatelském OS), než běžné uživatelské programy. To platí jen potud, pokud nedojde k možné kompromitaci systému, včetně jádra OS (např.: podvrženým ovladačem, nebo jaderným modulem). V tomto případě se jedná o selhání bezpečnostního řešení jako celku. S tím nemá PRNG nic společného. Zatím jsme se zabývali pouze útokem z vnějšku na bezchybný program realizující PRNG. Nyní je se třeba zaměřit na další aspekty. Nejdůležitějším aspektem je efektivní získávání entropie z různých driverů. S tím je spojeno několik omezení.
Především jsou to následující: •
Nedostatečná výkonost zdroje entropie. Způsob jak obejít nedostatečnou výkonost, je použít více zdrojů a vhodně je kombinovat.
•
selhání zdroje entropie. To může být dáno špatně napsaným ovladačem fyzického zařízení.
•
Může generátor pozastavit dotazování se na ovladač zařízení? Ano může, protože se nepoužívá jen jeden zdroj entropie. Opakovat dotaz na zařízení po uplynutí předem daného časového okamžiku je jediná cesta jak úspěšně získat entropii a zároveň nepřetížit zdroj entropie.
•
Chyby v programu. Chyby v programu jsou nejčastěji způsobeny tím, že program nekontroluje chybové výstupy a neošetřuje všechny stavy jenž mohou nastat. Pak jsou tu ještě možné chyby v překladači, respektive v generovaném kódu v souvislosti s HW, na kterém je generátor provozován. Ne vždy je možné minimalizovat jejich dopad a nebo jejich vliv úplně vyloučit.
Výše uvedené omezení, kterým musíme čelit nejsou jediná a jsou pojata obecně, nezávisle na implementaci. V případě, že dojde k realizaci jako součást kernelu OS přibývají další omezení. Takovými jsou například: •
volba programovacího jazyka a s tím související specifika
•
Velikost vyprodukovaného kódu a jeho optimalizace. Velmi často se zapomíná, že systémová režie je rovněž kvalitativní parametr.
•
zajištění integrity PRNG. Musíme si uvědomit, že musíme zajistit integritu všech modulů. Ovladač nebo jaderný modul nemusí být rovněž bez chyby.
•
Jaderný modul realizující PRNG nesmí být nikdy odsunut z paměti do odkládacího prostoru. Tato podmínka mimochodem platí i pro PRNG realizovaný jako uživatelský program.
•
PRNG realizovaný v kernelu nesmí za žádnou cenu způsobit pád systémů
•
Jaderný modul, stejně jako uživatelský protějšek musí být testován na chyby v SW. Zvláště se nesmí zapomínat na chyby typu: přetečení zásobníku (stack overflow), chyby spojené s nesprávným zacházením s haldou (stack smashing, stack overflow, heap overflow) apod.
•
Logování. Logování nejúčinější způsob jak zjistit fakt, že došlo ke kompromitaci. Když už nemůžeme kompromitování zabránit, měli bychom mít možnost jej detekovat.
3.4.3 Specifické požadavky pro uživatelsky realizovaný PRNG •
Kontrola na počet spuštěných instancí programu v paměti. Při větším počtu spuštěných instancí hrozí vyčerpání zdrojů entropie a také možný timming attack. Tento typ útoku je poměrně nebezpečný, protože dává možnost odhadovat vstupní entropii PRNG na základě měření času provádění jednotlivých operací.
•
Ověřování integrity PRNG a zdrojů entropie. Ověřování integrity zdroje entropie je z hlediska programové realizace asi nejobtížnější. Zřejmě nejjednodušším je realizace v prostředí jazyků JAVA, protože se implementátor může spolehnout na to, že je prostředí správně implementováno.
•
Používání staticky slinkovaných knihoven. Používání dynamických knihoven je v prostředí OS bezpečnostním rizikem (možnost podvržení knihovny)
• Logování. 3.4.4 Kryptograficky bezpečné pseudonáhodné generátory (CSPRBG) Kryptograficky bezpečné pseudonáhodné generátory (Cryptographicaly Secure Pseudorandom Bit Generato; CSPRGB, nebo Cryptographicaly Secure Pseudorandom Number Generator) jsou generátory, které úspěšně projdou testy jako je next-bit test. V této souvislosti je vhodné se pozastavit nad některými důsledky plynoucími z tohoto požadavku.
3.4.5 Lineární kongruentní generátory ineární kongruentní generátory jsou generátory založené na rekurentním vztahu nejčastěji ve formě: Xn = (a Xn-1 + b ) mod m. Xn - je n-tý člen posloupnosti. a, b – jsou proměnné parametry (záleží na nich perioda sekvence) m - konstanta, obvykle nesoudělné číslo s parametry a,b. Vlastnosti lineárních kongruentních generátorů celkově nejsou dobré. Jedním z charakteristických rysů je, že mají periodu, po které se opakuje pseudonáhodná sekvence. Takovým příkladem může být funkce rand() v ANSI C. Funkce rand() je založena na generátoru s maximálním rozsahem [0,RAND_MAX], kde RAND_MAX je definován ve stdlib.h a obvykle je nastavena na hodnotu 0x7fff v prostředí MS VISUAL STUDIO 6.0 a dalších << http://msdn.microsoft.com/enus/library/2dfe3bzd.aspx >>, nebo v linuxu (glibc) RANDOM_MAX na
0x7FFFFFFF <<
http://linux.die.net/man/3/rand_max >>, pokud není předem nastavena jinak. Dalším problémem je, že se obvykle odvozuje náhodný inicializační vektor (seed) od aktuálního času. To je dáno potřebou portability i když to není nezbytně nutné. V důsledku toho je možné
vygenerovat identické sekvence
náhodných čísel. K tomu se užívá knihovní funkce srand(). ANSI C standard (specifikaci) lze získat v elektronické podobě na: << http://www.lysator.liu.se/c/c-faq/c-5.html#5-2 >>, kde je přímo možné získat elektronickou verzi ANSI C specifikaci. Existují samozřejmě i jiné než lineární generátory. Takovýto generátor není pro kryptografii dostatečně dobrý, protože jeho výsledek lze předvídat a to je nežádoucí. Nejinak jsou na tom kvadratický a kubický kongruentní generátor. Teoretické práce ukazují, že takovéto generátory jsou nedostatečně chráněny před kryptografickými útoky tak jak to třeba ukázala Joan Boyerová v roce 1977 v své práci (spolu s J. Reedsem) „Cracking Random Number Generator“. Pro úplnost zde uvádím vztahy pro kvadratický a kubický generátor: Kvadratický kongruentní generátor: Xn = (aXn – 12 + bXn-1 + c) mod m Kubický kongruentní generátor: Xn = (aXn – 13 + bXn-12 + cXn-1 + d) mod m Funkce parametrů jsou stejné jako v případě lineárního kongruentního generátoru. Podobné vlastnosti mají kongruentní generátory, které používají vzájemné kombinace více generátorů. Pro kryptografické účely nejsou rovněž vhodné i když mají mnohem delší periodu. Jako příklad mohou být užit generátory v << [AC] str.370 tab 16.1 >>. Pro hodnoty a = 84589, b = 45989 a m = 217728 vychází perioda 235.
3.4.6 Kombinování lineárních kongruentních generátorů Snaha o odstranění nedostatečné kvality jednoduchých lineárních kongruentních generátorů vyústila ve snahu použít kombinace těchto generátorů. A ani ta nevedla k dostatečné úrovni kvality generátorů. Jedinou výhodou je delší perioda algoritmu a dávají lepší výsledky v statistických testech. Existují samozřejmě i další generátory založené na jiných principech, ale ty nejsou vhodné pro generování náhodných sekvencí.
3.4.7 Ostatní generátory Není správné tvrdit, že neexistují jiné generátory pro vytváření pseudonáhodných sekvencí dat. Tyto
generátory ne vždy, ale splňují požadavky na kryptograficky bezpečný generátor náhodných čísel. Proto je se třeba mít na pozoru při volbě toho či onoho generátoru pro daný účel.
3.5 Kryptograficky bezpečné generátory náhodných čísel Záměrně byly vybrány náhodné generátory, které jsou standardem a kryptograficky bezpečný generátor, který je navržen od základu jako bezpečný. Rozdíl je dosti značný. Zatímco FORTUNA (Yarrow) je použitelná i v relativně nezabezpečeném prostředí, generátory založené na X 9.x standardu takové rozhodně nejsou.
3.5.1 FORTUNA Fortuna je generátor navržený B. Schneirem a N. Fergusonem jako náhrada za již ne zcela vyhovující yolk << [PC] str. 162 >>. Při návrhu opustili stávající systém estimátorů entropie a ponechali jen jeden akumulátor entropie, který je navíc odolný oproti injection attacku. Rozšířením je pravidelná změna klíče interního algoritmu blokové šifry po 1MB výstupních dat. Z čistě technického hlediska je návrh poměrně volný a umožňuje použít libovolnou interní blokovou šifru. To dává možnost dále zlepšovat kvalitu generátoru tím, že prostě změníme interní blokovou šifru. Oproti yolk dovoluje nabízí další výhodu v tom, že dovoluje pracovat se soubor pro seed už při startu počítače (vysoce bezpečné systémy). 3.5.1.1 Generátor Generátor je část PRNG, která předává stav na libovolně dlouhý výstup. Pro kryptograficky silný generátor nevystačíme s jednoduchým schématem (například lineární kongruentní generátor), ale musíme použít nějakou kvalitní symetrickou šifru. Symetrickou šifru proto, protože PRNG je fakticky bloková šifra v režimu CTR (counter mode, čítačový mód). Interní algoritmus je založen na modifikovaném algoritmu AES. Odolnost vůči útokům při vytváření výstupu se děle zásadně jen na požádání. To neznamená, že útočník nemůže využít okamžik, kdy dochází ke generování výstupu k útoku. Tomu návrh čelí tak, že při každém požadavku na výstup generuje dalších 256 bitů dedikovaných pro nový klíč blokové šifry. Po vygenerování blokové šifry jednoduše můžeme zničit starý klíč a předejít tím úniku informací (backtracking). 3.5.1.2 Zajištění náhodnosti, které je statisticky ověřitelné Náhodnost se zajišťuje velmi problematicky. Na jedné straně je třeba zajistit dostatečnou rychlost a
na straně minimalizovat možnost vzniku kolizí na výstupu. Při objemu 264 bitů z jednoho klíče musíme počítat s jednou kolizí v bloku. Nejjednodušší cestou jak zabránit vzniku kolizí, je omezit délku výstupu na 65536 bloků což je 1 MB. V ideálním případě je pravděpodobnost kolize 2-97. To vyžaduje okolo 297 požadavků. Pokud chce útočník dosáhnout kýženého výsledku, tj. dosáhnout kolizního stavu musí podniknout zhruba 2113 dotazů. Pokud by útočník vygeneroval řádově 1000 dotazů /s, stále by to znamenalo, že musí počkat 1,038 1032 s (109 s je zhruba 32 let). Tím je zároveň prokázáno, že provedení úspěšného útoku hrubou silou je nemožné. Vytvoření nového klíče po každém bloku, zvyšuje celkovou bezpečnost řešení a to v souladu s tím, že neresetujeme čítač. Pokud bychom totiž skončili cyklus a zároveň vynulovali čítač, dojdeme ke zjištění, že bychom opět použili stejný klíč. Tím, že čítač má velikost 128 bitů, zajistíme že se hodnota v čítači nebude opakovat po velmi dlouhou dobu. Hodnota 0 v čítači znamená počáteční stav a generátor nebude generovat výstup, protože ještě nedošlo k šifrování. 3.5.1.3 Inicializace Nastavením čítače na výchozí stav (0) a vygenerováním klíče, indikujeme počáteční stav. 3.5.1.4 Vytvoření nového souboru se seed. Nový soubor seed je vlastně změna interního stavu. Použití hashe zajistíme, že dojde k dokonalému promíchání klíče a nového seedu. 3.5.1.5 Generování bloku Blok náhodných čísel je vytvářen interní funkcí, kterou může použít jen generátor. Tuto funkci není možné použít vně PRNG. 3.5.1.6 Generování náhodných dat Funkce generování náhodných dat je jako jediná přístupná uživateli. Dovoluje mu vytvořit najednou 1MB pseudonáhodných dat a zároveň zajistí, že generátor nebude moci využít předchozí data, která sám vygeneroval. Výstup je tvořen jako výsledek volání funkce GenerateBlock a jedinou další funkci kterou má je, že upraví výstup na správnou délku. 3.5.1.7 Akumulátor Význam akumulátoru je zřejmý. Akumulátor shromažďuje náhodná data z různých zdrojů a používá
je k naplnění generátoru náhodnými daty. 3.5.1.8 Zdroje Entropie Každé reálné prostředí obsahuje několik reálných zdrojů entropie. Při kvalitním návrhu bude zdroj entropie pravděpodobně prvním místem kde se útočník pokusí zaútočit. Jako obránce nemůžu předvídat, kde a jak se útočník pokusí zaútočit. Zdrojem může být cokoliv a nejčastěji se používá pohybů myši nebo stisků kláves (PGP a jeho varianty). Dalšími zdroji mohou být odezvy disků, tiskárny, přerušení OS a podobně. Nejlepším řešením je pak použít je všechny simultánně, protože to útočníkovi znemožňuje efektivně předvídat chování zdroje entropie. Navíc nám jako obráncům to dává určitou výhodu v tom, že můžeme zjistit některé činnosti aktivního útočníka. Zdroje jsou identifikovány číslem z rozsahu 0..255 a mohou být přidělena staticky nebo dynamicky. Data z každého zdroje představují malý objem dat. Spojením výstupů z několika zdrojů vznikne jedinečná událost, kterou je možné dále zpracovat parsrováním. Při návrhu musíme počítat s tou nejhorší možnou variantou, kdy útočník má pod kontrolou zdroje entropie a zároveň může využívat PRNG jako každý jiný uživatel.
3.5.1.9 Úložiště Úložiště (pool Px) slouží k naplnění generátoru a k tomu potřebuje dostatečně velké úložiště, by útočník nemohl úspěšně odhadnou obsah úložiště. Zamysleme se nad obsahem sousloví „dostatečně velké“. Především úložiště musí být tak velké, aby útočník nebyl s to zjistit nic o interním stavu PRNG. Velikost a počet složiště není snadné určit, už s ohledem na prostředí ve kterém se PRNG nachází. FORTUNA má 32 úložišť, které slouží k uložení řetězců neomezené délky. Implementace nevyžaduje ukládání neomezeně dlouhých řetězců, ale vypočítává hash tak, jak jsou plynule spojovány v úložišti. Každý zdroj cyklicky ukládá do úložišť náhodnosti. Tím je zajištěno, že více či méně náhodně jsou distribuovány události do jednotlivých úložišť. Úložiště P0 je naplněno pokaždé pokud je obsah dostatečně dlouhý. Ostatní úložiště jsou znovu naplňován dle následujícího klíče: Úložiště Pi je vynulováno v okamžiku, kdy je čítač nulování r roven 2i. Kde i je číslo úložiště. V praxi to znamená, že P0 se nuluje vždy, P1 každý sudý cyklus, P2 každé 4 cykly. Výhodou řešení je to, že se automaticky přizpůsobuje dané situaci. Útočník nemůže toto schéma využít, protože je zde nejméně jedno úložiště, jehož výsledek nemůže předvídat. Pokud útočník úmyslně vygeneruje velký objem událostí, může predikovat obsah úložiště P0 a odvodit nový stav generátoru ze starého stavu a výstupu generátoru. Jenže pokud dojde k vynulování úložiště P1, nemůže odhadnout interní stav, protože je zde nejméně dvojnásobný
objem dat, než může odhadnout. Rychlost zotavení ze stavu, kdy byl kompromitován, závisí pouze na objemu entropie, jenž přichází do úložišť. Uvažujme , že do úložiště přichází konstantní četnost výskytu ρ. Každé úložiště je naplněno objemem ρt / 32 za periodu času. Útočník nemá reálnou možnost sledovat stav generátoru, pokud úložiště obsahuje více než 128 bitů entropie. V úvahu připadají dva scénáře. V prvním scénáři nedojde k vynulování úložiště P0 ještě před tím, než dosáhne 128 bitů entropie. V tomto případě dojde k zotavení z kompromitovaného stavu okamžitě. Druhý scénář předpokládá, že dojde k vynulování úložiště P0 velmi rychle, například v důsledku aktivity útočníka. Pak čas t, mezi dvěma vynulováními bude odvislý od toho, kdy dojde k vynulování jakéhokoli úložiště Pi, daného vztahem 2it s. Objem dat nastřádaných v úložišti Pi bude roven 2iρt/32 mezi dvěma vynulováními. K prvnímu zotavení Pi dojde mezi: 128 ≤ 2iρt/32 < 256. (aag) Z této nerovnice je možné určit objem dat, který bude nastřádán mezi dvěma body zotavení. Z předchozí rovnice je možné odvodit objem náhodných dat nutných k obnovení ze stavu, kdy byl generátor kompromitován. Zde je vhodné připomenou, že vlastnost sebezotavení se z kompromitovaného stavu, činí tento generátor velmi atraktivní pro nasazení v prostředí reálných aplikací a aplikačních serverů. Generátor používají implementace založené na BSD UNIXu. Nerovnice, ze které je možné odvodit objem dat nutných pro zotavení je na pravé straně vztahu (aag): 2iρt/32 < 256 (aah) po úpravě: 2it/32 < 8192/ρ (aai) Ze vztahu (aai) vyplývá, že ke zotavení z kompromitovaného stavu potřebujeme 213 bitů (pravá strana vztahu aai). V důsledku většího počtu akumulátorů (25) a toho že dojde k vynulování akumulátorů zhruba po 256 bitech lze říci, že celkově je výsledek více než dobrý. Při počtu 32 akumulátorů by musel útočník vložit tolik náhodných dat, aby vynutil 232 vynulování. Tolik nulování je třeba, aby získal 13 bitů entropie. Pokud bychom měli pocit, že počet nulování je příliš malý, a ani tento výsledek nestačil, lze zvětšit počet akumulátorů a tím ještě více zrychlit proces zotavení. Zvětšení počtu akumulátorů není ekonomické, protože při počtu 10 nulování za sekundu vychází zhruba 13 let než dojde k vynulování akumulátoru P31. Třináct let je většinou nejen za technickou, ale především morální životností vybavení. Navíc jen velmi málo systémů se může pyšnit uptime větším než 5 let.
3.5.2 Implementace V implementaci se bude zabývat reálnými požadavky na takovýto generátor. Musíme se zabývat takovými otázkami jako jsou: mechanismus rozdělování náhodnosti přes jednotlivé akumulátory, minimalizace výpočetního výkonu potřebného na realizaci, inicializaci generátoru, získávání entropie, řízení událostí (vznik entropie a její zachycení), řízení seed souborů, atomicita prováděných operací, bootování, volba zdrojů entropie.
3.5.2.1 Mechanismus rozdělování entropie na akumulátory Nejjednodušším způsobem jak řešit rozdělování entropie je používání akumulátoru pro tento účel. Z hlediska bezpečnosti to ovšem není moudré a to proto, protože útočník může volat funkci realizující rozdělování entropie. Pokud by totiž útočník získal možnost přímo ovlivňovat obsah v akumulátoru P0, tak by celý systém akumulátorů byl kompromitován. Schneier a spol. vyřešili tento problém tím, že každá událost (vznik entropie) je generátorem distribuována patřičnému akumulátoru.
3.5.2.2 Práce s událostmi Oprávněným požadavkem je minimalizace pracovní režie generátoru. Režie při získávání entropie je spojena s přidáváním událostí do jednotlivých akumulátorů. Řetězce jednotlivých akumulátorů mohou být teoreticky neomezené, ale jejich velikost je přímo závislá na vydatnosti zdrojů entropie. FORTUNA tento problém řeší tím, že každý akumulátor má vlastní vyrovnávací paměť. Dalším opatřením, jak omezit objem dat ve vyrovnávacích pamětech je, opakovaná hash, jakmile je příslušný akumulátor zaplněn. K zajištění plné funkcionality je třeba provést následující opatření: •
Minimalizace počtu inicializací generátoru (reseeding). Minimalizace počtu inicializací generátoru je zdánlivě na závadu, ale tak to není. Především je třeba si uvědomit, že operace inicializace trvá delší dobu, než je minimální perioda mezi dvě událostmi, které jsou zdrojem entropie. Minimalizace inicializace umožňuje přesunout těžiště výpočtů spojených s generováním výstupních dat na uživatele. Vedlejším efektem je, že dochází k menšímu ovlivňování zdrojů entropie a v neposlední míře i k tomu, že potenciální útočník bude mít menší prostor k provádění útoků.
•
Enkapsulace generátoru. Enkapsulace generátoru je nutné bezpečnostní opatření. Zabraňuje přímému volání a zabraňuje tím obcházení procesu inicializace generátoru. Pro úplné pochopení, proč to tak je, je třeba zdůraznit, že úložiště nabízí funkci RandomData
se stejným rozhraním jakou má funkce PseudoRandomData. To dává úživatelům možnost přímo volat rozhraní RandomData a obcházet tím inicializační proces.
• Eliminace vlivu vyrovnávacích pamětí CPU. Na začátku bylo zdůrazněno, že pro generování pseudonáhodných dat se užívají generátory obecné hashovací funkce. Úvahy se pohybovala především v rovině teoretické. Hashovací funkce standardu SHA (a nejen ty) pracují s vstupními bloky stejné délky. Procesory a jejich paměťové subsystémy jsou navrhovány s ohledem na to, aby procesory podávali co největší výpočetní výkon (maximalizovat propustnost). To ovšem znamená, že kód, má-li být prováděn, efektivně musí uložen ve vyrovnávací paměti nejvyšší úrovně. Kritickým faktorem se proto stává délka kódu a hlavně minimalizace zátěže procesoru. Nepřímo z toho plyne nutnost maximalizovat velikost akumulátorů. Vhodná velikost akumulátorů versus délka programového kódu a četnost výpočtů za jednotku času, to jsou parametry, které jsou závislé na prostředí a není možné je generalizovat.
3.5.2.3 Proces inicializace Inicializace je jednoduchá operace. Nejlepším popisem je příklad prováděcího plánu. Příklad je doslovně převzat z << [PC] str.: 174>> a je napsán v pseudo kódu aplikace : funktion InicializePRNG # Vynulování jednotlivých úložišť e - nulový vektor for i = 0,..,31 do Pi ← e
od # Vynulování čítače ressedu ReseedCnt ← 0
# Inicializace generátoru G ← InitializeGenerator() R ← (G,ReseedCnt,P0,...P31) return R
3.5.2.4 Získání náhodných dat Pro získání náhodných dat potřebujeme wrapper, který zabalí komponenty generátoru, proto abychom zamezili případné nežádoucí manipulaci, jak bylo naznačeno v podkapitole práce s událostmi. Vstupní parametry funkce RandomData: Vstup: R
Stav PRNG, který je měněn funkcí RandomData.
n
množství dat v bytech, které je třeba vygenerovat
Výstup: r
pseudonáhodný řetězec
if délka(P0) > MinPoolSize AND (T - poslední reseed) > 100ms then # musíme provést inicializaci ReseedCnt ← ReseedCnt + 1 # operace hashování nad úložišti s←e for i = 0,..,31 do if 2i OR ReseedCnt then s ← s (SHAd-256()) Pi ← e fi od # získali jsme data a nyní může provést inicializaci fi return PseudoRandomData(G,n) Funkce provádí klíčovou operaci a to generování výstupního řetězce náhodných čísel a inicializaci. Jednoduchý počáteční odhad velikosti úložiště pro 128 bitů entropie vede k hrubému odhadu 64 byte. Úvaha je následující. Předpokládejme, že každá událost obsahuje zhruba 8 bitů entropie
zabírá 4 byty v úložišti. Odtud hodnota MinPoolSize >64bytů. Maximální hodnota by zase neměla být příliš velká, neboť nutně vede k prodloužení času mezi jednotlivými inicializacemi a to i v případě, že zdroje entropie jsou schopny dodávat velký objem entropie. Uvedený příklad funkce je zde pouze za účelem demonstrace. Z popisu je vidět, že není optimalizován z hlediska výkonnosti. Podmínka: „délka(P0) > MinPoolSize AND (T - poslední reseed) > 100 ms“ je podmínkou dělení. Pokud je podmínka splněna, není třeba provádět následně smyčku, protože nemůže dojít inicializaci ostatních úložišť.
3.5.2.5 Přidání události do úložiště Přidání události do úložiště je inicializováno zdrojem. Algoritmus je závislý na konkrétním prostředí. Každý zdroj je jednoznačně identifikován svým číslem. Zjednodušený popis funkce AddRandomEvent dává představu, jak je realizováno přidávání jednotlivých událostí. funkce AddRandomEvent vstup: R
stav generátoru náhodných čísel (PRNG)
s
identifikátor zdroje. Zdroje jsou v rozsahu 0..255 (viz předchozí popis)
i
číslo úložiště v rozsahu 0..31. Každý zdroj je distribuován do všech úložišť. Používá se k tomu metoda round-robin
e
data události. Data události jsou ve formě řetězce délky od 1 do 32
# kontrola parametrů a zároveň podmínka pro vložení dat události (1 ≤ délka(e) ≤32) AND (0 ≤ s ≤ 255) AND (0 ≤ i ≤ 32) # pokud je podmínka splněna provede se vložení dat do příslušného úložiště Pi ← Pi ║s ║délka(e)║e Ze zápisu je patrné, že zdrojový identifikátor i a délka události e je kódována do jednoho bytu. Toto sloučení dvou řetězců je přidáno do úložiště a není prováděno hashování. Hashování se provádí jen tehdy, pokud je to nezbytné. Limitace vstupu na 32 bytů je praktickým omezením, neboť větší hodnoty obvykle nenesou dostatečné množství entropie. Způsob jak bránit zanesení balastní informace, je provedení hashování hned na vstupu. Toto je implementačně závislá volba. Dalším praktickým požadavkem je, aby funkce AddRandomEvent vracela data co možná nejrychleji. Přirozené zdroje entropie mají charakter real time služby a nemohou příliš dlouho čekat na provedení operace. V prostředí víceuživatelských a vícevláknových OS není možné jednoduše
realizovat atomicitu operace a je třeba použít složitější algoritmy (vlákna, mutexy apod.). Ještě složitější situace nastane v případě, že nejkratší nutný čas na provádění funkce AddRandomEvent je příliš dlouhý. Toto omezení lze poměrně snadno obejít vyrovnávací pamětí.
3.5.2.6 Řízení a správa souborů seed Seed soubory jsou nutnou součástí každého bezpečnostně orientovaného systému, protože mu umožňují provádět počáteční inicializaci, například po rebootu. Žádný náhodný generátor, ale ani jiné řešení, které potřebuje pro svou inicializaci náhodné číslo, neboť řetězec se bez něj neobejde. Seed zabraňuje, pokud je správně implementován, odhadnout počáteční stav a tím i vnitřní stavy včetně dalšího chování. Soubor seed je fakticky koncentrovaným zdrojem entropie. Aby řešení bylo spolehlivé, při každé inicializaci se přepisuje novými daty. Soubor s entropií je třeba důsledně chránit, protože obsahuje velmi důležitou informaci, která by útočníkovi usnadnila provedení útoku vůči systému, který jej využívá. Spolehlivá a bezpečná implementace vyžaduje, aby všechny operace byly atomické. Atomicita je nutným, nikoliv postačujícím požadavkem. Správá souboru s inicializačními daty (seed) se sestává ze dvou základních operací a to čtení a zápis. Operace zápisu je nejjednodušší operace zápisu do souboru. Zapisuje se 64 bytů. Funkce WriteSeedFile vypadá následovně: vstup: R f
vnitřní stav PRNG, který tato funkce modifikuje soubor, do kterého se zapisuje seed
write (f, RandomData(R,64)) Význam je zřejmý výstupem funkce write() je zápis do souboru. Pro zjednodušení zde nejsou uvedena oprávnění, umístění v hierarchii FS (File system, souborový systém), ošetření chybových stavů. Operace změny souboru seed. Změna souboru je přepsáním souboru, především při reinicializaci. Reinicializace, přepsání souboru je nutné, protože chceme mít dostupný náhodný inicializační vektor po startu. Je zde ještě jeden důvod a to bezpečnostní. Pokud by útočník získal data ještě před změnou souboru seed, pak by resetoval generátor. Když nedojde ke změně během běžného provozu, útočník by měl k dispozici data z doby před restartem a zároveň kompletní informaci, kterou potřebuje k odhadování budoucího stavu PRNG hned po startu. Navíc jiný uživatel by měl ty samá data jako útočník a tím by byla ohrožena základní premisa o bezpečnosti PRNG. Samozřejmostí je dodržení předpokladu o utajení souboru obsahující seed. Operace přepisu je v podstatě operace zápisu do souboru. Funkce je rozšířena o funkci
Reseed, která zapisuje se 64 bytů. Funkce UpdateSeedFile vypadá následovně: vstup: R f
vnitřní stav PRNG, který tato funkce modifikuje soubor, do kterého se zapisuje seed
s←e asserce délka(s) = 64 Reseed(G,s) write (f, RandomData(R,64)) 3.5.2.7 Kdy zapisovat a číst soubor se seed Čtení se provádí jednoznačně při bootu. V tomto okamžiku nemá PRNG k dispozici dostatečný objem entropie, nebo spíše žádnou. Update souboru se seed provádí v podstatě kdykoli, když máme dostatek entropie, nebo v periodických intervalech, pokud nelze jinak. Činí se, tak v podstatě z několika důvodů. První důvod je, že budeme chtít mít entropii i po restartu systému. Navíc k restartu systému může dojít v podstatě kdykoli. Druhým a neméně důležitým důvodem, že chceme, aby entropie nastřádaná během chodu systému ovlivňovala i obsah souboru se seed. Zabraňujeme tím nutnosti složitě a náročně ověřovat kvalitu entropie v seed souboru. 3.5.2.8 Volba náhodných zdrojů a výběr náhodných čísel Náhodný generátor produkuje sekvenci náhodných dat na výstupu. To je chování, které je od něho očekáváno a požadováno. V praktickém nasazení je to jen jeden způsob, jak generátor používán. Jsou ovšem situace, kdy je třeba vybrat jedno náhodné číslo z množiny náhodných čísel. Při výběru náhodného prvku z množiny, se musí postupovat obezřetně a provést výběr správně. Dále se předpokládá , že každý prvek množiny má stejnou pravděpodobnost, jako má prvek jiný. Správně provedený výběr není snadné realizovat. Následující úvaha je převzata z <<[PC] 183,184>>, protože je konzistentní a snadno pochopitelná. Předpokládejme, že máme n prvků množiny, nad kterou provádíme výběr. Množina prvků obsahuje 0, 1,..., n - 1. •
Množina obsahuje 0 prvků. Znamená to, že n = 0. Množina o 0 prvcích nemá smysl. Totéž platí, s mírnou obměnou, pro n = 1. Pro n = 1 nemáme totiž žádnou možnou volbu.
•
Množina obsahuje 2k prvků. Množina o 2k prvků představuje ideální stav mnoha ohledech.
Předně umožňuje výběr se stejnou pravděpodobností. •
Množina neobsahuje 2k prvků. Takovou množinu je možné převést na předchozí případ tím, že odebereme, „zaokrouhlíme“ počet prvků na počet 2k. Je to nejjednodušší cesta, i když ne zcela správná z hlediska statistiky. Uvažujme příklad programu, který provádí výběr celočíselného 32-bitového čísla a zároveň provádí operaci modulo m. Pokud bude číslo m různé od 0 a zároveň nebude dělitelné 2 (dostaneme výsledek roven 0), pak bude platit následující: •
Výsledek operace modulo n bude roven 0 s pravděpodobností (o + 1)/232. Zatímco výsledek operace modulo m <> 0 s pravděpodobností o /232, kde o je výsledek operace modulo.
•
Standardní odchylka je sice malá, ale dostatečně velká na to, aby útočníkovi umožnila snadno detekovat odchylku v 2128 krocích.
Správný postup je vybírat náhodné číslo z daného rozsahu metodou pokus omyl. Fakticky to znamená, že vygenerujeme číslo požadované délky a zahodíme všechny nepotřebné čísla. Na následujícím příkladu uvedeme postup. Chceme vygenerovat náhodné číslo z rozsahu 0, .. , 4. Nejdříve je nutné vygenerovat číslo z rozsahu 0, .., 7, protože 8 je mocnina 2 (požaduje se celý rozsah a proto je třeba zvolit číslo o 1, vyšší a navíc zde projevuje vliv modulo). Pokud získáme číslo 5, nebo větší zahodíme ho a proces opakujeme až do té doby než dosáhneme požadovaný výsledek.
Formalizovaný postup výběru náhodného čísla v rozsahu 0, …, n – 1 pro n ≥ 2:
•
Zvolme k tak, aby platila následující nerovnice: 2k ≥ n.
•
Generátorem PRNG vygenerujme k-bitové náhodné číslo K. Číslo K bude z rozsahu 0, …, 2k – 1. Nejjednodušší cesta, jak vygenerovat číslo větší o byte a pak číslo K zaokrouhlit na patřičnou velikost.
•
Pokud je K ≥ n, pak je třeba se vrátit ke kroku 2.
•
číslo K je požadované číslo, pokud je splněna platnost všech předchozích kroků.
Uvedený postup má k dokonalosti daleko, už proto, protože se velmi plýtvá zdroji náhodných čísel.
V nejhorším možné případě zahodíme polovinu zdrojových dat. Zlepšení nabízí, pro 232 bitové číslo použít číslo 232 – 1, které je dělitelné 5 (25 = 32). To umožňuje zvolit náhodné číslo z rozsahu: 232 – 2. Použití výše uvedené metody přináší podstatně menší ztráty, než ve výše uvedeném příkladu. Obecná definice vhodného k je založena na následujících vztazích: Pro požadované k, pro které platí, že 2k ≥ n definujme q = 2k/n. Jako první volbu náhodného čísla r z rozsahu hodnot 0, …, nq – 1. Splněním těchto podmínek, získáme touto metodou potřebné náhodné číslo r. Výsledek bude číslo, které obdržíme výpočtem r mod n. Solidní PRNG je vždy a za všech okolností vydatným zdrojem náhodných dat. Proto si můžeme dovolit používat uvedený algoritmus. Z návrhu PRNG generátoru FORTUNA je zřejmé, že v důsledku aritmetické expanze, pomocí hashovací funkce, dostáváme zdroj dostatečně vydatný i pro velmi zatížené systémy, které vyžadují velký objem náhodných čísel (SSL akcelerátory apod.).
3.6 ANSI X.9 generátory Tyto generátory jsou standardizovány NIST a jsou standardizovány pro použití v komerční sféře. Přísně vzato tento generátor byl navržen pro maloobchod a to již v roce 1985. To znamená, že jejich kvalita není dostatečná pro použití ve vládních bezpečnostních systémech, a ani to nikdy nebylo cílem. Tyto generátory jsou popsány v publikaci NIST Special Publication SP 800-90 z března 2007 (zdroj: http://csrc.nist.gov/publications/nistpubs/800-90/SP800-90revised_March2007.pdf). Pro tyto generátory je charakteristické, že jsou to „čisté“ PRNG, využívající algoritmus DES pro vytváření pseudonáhodného zdroje dat. Jako první ukážeme funkci generátoru X 9.17. Schéma generátoru je převzato z:( http://www.cypherpunks.to/~peter/06_random.pdf ) Obrázek
principiální
schéma
generátoru
http://www.cypherpunks.to/~peter/06_random.pdf )
6
X9.17
(obrázek
převzat
z
publikace
6
Zde uvedené schéma nemá nic co do činění s CAPSTONE / FORTEZZA CPRNG. Pro tento generátor nebyly nikdy publikovány detaily řešení.
Ilustrace 6: schéma generátoru X9.17 Z obrázku je patrné, jak generátor funguje. Vstupem je zdroj času (Time), který je v základním nastavení vynulován (čítač). Nicméně je možné ho přenastavit na jinou hodnou. Randomizační funkce využívají algoritmus DES (Enc1 až Enc3). To je další slabina vedle generátoru času. Insitricky se zde předpokládá, že jednotlivé klíče budou utajeny, anebo zničeny. Z hlediska kvality výstupní sekvence pseudonáhodných bitů mu lze vytknout pouze to, že užívá algoritmus DES a ne nějakou vhodnou jednocestnou funkci (např.: hash SHA). Z pouhého návrhu je zřejmé, že tento generátor nemá sebemenší šanci uspět proti kvalitnímu kryptoanalytickému útoku. Je zde ještě jiná slabina a to použití algoritmu DES. Při zvláště nevhodné volbě je možné dosáhnout toho, že výstup nebude randomizován. Konečně, před útočníkem nejsou nijak skryty vnitřní stavy generátoru. Důkaz, že tento generátor není kvalitní, potvrzuje skutečnost, že ani jeden dostupný běžně produkt, který je považován, za alespoň průměrně kvalitní, ho nepoužívá. V rámci projektu CAPSTONE byl tento generátor pozměněn a to tak, že do návrhu byly přidány další bezpečnostní prvky jako hashování pomocí SHA-1 na výstupu a dodatečné vícenásobné zdroje entropie.
3.6.1 X 19.17 – 1998 CPRNG
Ilustrace 7: Schéma modifikovaného generátoru X9.17 (CAPSTONE / FORTEZZA)
Ze schématu je patrné7 , že návrh vzal v potaz některé z výtek, které se po uveřejnění objevily. Především zbytečná složitost, relativní pomalost (DES nepatří mezi nejrychlejší algoritmy), malá odolnost oproti tamperingu, a v neposlední míře, i malé náhodnost vstupu, která je na závadu. Tím, že používá více zdrojů entropie, se zlepšuje odolnost proti manipulaci zdrojů entropie útočníkem. Oproti tomu Schneierův návrh tuto slabinu velmi dobře vyvažuje pooly entropie proti tomuto návrhu. Nevýhodou řešení je, že pro dosažení vysoké kvality výstupních dat potřebuje poměrně vydatný zdroj vstupní entropie. Tento problém je odstraněn v čipu FORTEZZA, který přímo používá integrovaný HW zdroj entropie. Bohužel, se mi nepodařilo, získat nějaké technické parametry tohoto zdroje. Podle některých zdrojů, CAPSTONE / FORTEZZA PRNG nebyl nikdy zcela veřejně publikován (P. Guttman). Zajímavé jsou provozní parametry tohoto řešení. Generátor pracuje s pevným zdrojem o délce 64 bitů. Výstupem je pak vektor o délce 224 bitů. Délka je volena s ohledem na to, že tento generátor byl navržen pro použití s algoritmem SKIPJACK, použitém ve zmíněném čipu FORTEZZA (ten ovšem používá zřejmě jiný algoritmus než DES). Délka 224 bitů představuje 3,5 – násobek délky klíče a zřejmě byla, takto zvolena, s ohledem na možnou kryptoanalýzu zašifrovaného textu. Pro znesnadnění zjištění interních stavů útočníkem, counter o délce 48 bitů přidává do vstupního vektoru. Vektor mění v čase, čímž se zabrání tomu, aby útočník mohl zjistit interní stav generátoru za situace, kdy na vstupu není dostatečný objem entropie a tomu, aby se zjistil interní stav generátoru před hashováním. Řešení samozřejmě není odolné proti kompromitování SHA-1 kroku. Výstupem je pak pseudonáhodný vektor o délce 160 7
Publikované schéma modifikovaného generátoru X9.17 (CAPSTONE / FORTEZZA) byl převzat z: << Schneier papers>>
bitů (20 B). 3.6.1.1 X 9.31 CPRNG Schéma generátoru X931 uvádím pouze pro úplnost, protože se od předchozího řešení liší jen minimálně. Obrázek je převzat z <>
Ilu Vlastnosti a význam jednotlivých parametrů •
V
– inicializační vektor o délce 64 bitů. Inicializační vektor musí být udržen v tajnosti.
•
DT
– časový vektor (zahrnuje jak aktuální datum tak aktuální čas). Délka je rovněž
64 bitů.
•
K
– Tajný klíč DES-EDE. Maximální délka odpovídá délce šifry DES 56 bitů
Z diagramu je patrno, že vektor DT se inicializuje pokaždé, když je požadován výstupní vektor. Vlastní algoritmus je z hlediska kvality difuze a expanze poměrně dobrý. Někteří experti schéma považují za nedostatečně (P. Guttman, viz: http://www.cypherpunks.to/~peter/06_random.pdf). Největší slabina je jednoznačně v nedostatečném zdroji vstupní entropie, který vlastně neexistuje. Zdá se, že NIST si možné napadení uvědomil (zjištění vnitřních stavů CPRNG) a změnil mírně návrh oproti X 9.17. Návrh také neumožňuje se zotavit z kompromitace na rozdíl od návrhu CPRNG FORTUNA.
3.7 HW generátory HW generátory uvádím spíše pro informaci a porovnání s jejich SW protějšky. Jejich jednoznačnou výhodou je kompaktnost a větší odolnost vůči tamperingu. Reálná možnost zjistit vnitřní stavy generátoru je rovněž výrazně nižší. Pokud bychom chtěli dosáhnout kompromitování HW generátoru, museli bychom buď rozpouzdřit obvod a přímo ovlivňovat chování integrovaného obvodu, anebo sledovat chování na základě postranních kanálů. Druhá varianta se jeví méně pravděpodobná už proto, že lze získat interní stavy šifrovacího stroje a z toho zpětně odvodit výstupní vektor generátoru. Jako první je popsán generátor užitý v procesoru Intel
Pentium
III.
Obrázek
a
některé
(http://www.cypherpunks.to/~peter/06_random.pdf).
části
textu
jsou
převzaty
z
Ilustrace 9: HW generátor procesoru Intel Pentium(tm) III
Generátor pracuje tak, že jako zdroj entropie používá tepelný šum na odporech uvnitř procesoru. Principiálně se příliš neliší od generátoru X 9.17. Nabízí však lepší a vydatnější zdroj entropie. Zásobník vstupní entropie je realizován pomocí posuvného registru. Ten je pak randomizován pomocí SHA-1 hashe. Bohužel tento generátor za určitých podmínek může odhalit vnitřní stav generátoru a tím případnému útočníkovi odhalit klíčové informace. Děje se to tím, že informace z výstupu (tedy výstupní vektor) jsou znovu použity na vstupu. Dva bloky výstupu v délce 32-bitů jsou přítomny v každém vstupním vektoru.
4 Autentizační mechanizmy a algoritmy 4.1 Vlastnosti MAC V úvodu kapitoly byly uvedeny důvody, proč se zavádí MAC8 (Message Authentication Code). Vlastnosti mající ze své definice, nebo výhody které přinášejí jsou tyto:
8 Obrázek na následující straně představuje funkční schéma sdílení a používání MAC. Obrázek je převzat z http://en.wikipedia.org/wiki/File:MAC.svg a překonvertován do formátu *.png.
•
správně zkonstruovaný a implementovaný MAC je odolný vůči podvrhu (existencial forgery) včetně útoku pomocí adaptivního voleného textu
•
rozdíl mezi digitálním podpisem a MAC je v tom, že MAC je generován a ověřován tím samým tajným klíčem
•
v důsledku předchozí podmínky, se musí jak příjemce tak i odesílatel dohodnout na stejném symetrickém klíči a operačním módu
•
nejčastěji se MAC konstruuje buď z hashe(HMAC), nebo na základě módu blokové šifry
•
MAC neřeší přenesení symetrického klíče, nonce, nebo IV mezi end-pointy.
•
Transakční autentizace. Transakční autentizace znamená, MAC garantuje unikátnost a jednoznačnost v čase pro data, která zajišťuje a tím zabraňuje nezjistitelnému replay attacku <<[HaC] kap 9.78, str.: 362>>.
Platí proto následující vztah: MAC = TVP + transakční autentizace, kde TVP je označení pro časově proměnné parametry (Time Variable Parameters) •
V souvislosti s MAC se často zaměňuje význam kontrolního součtu CRC, ECC (zde Error
Correction Codes) a kryptografickou ochranou obsahu. CRC a ECC jsou ze své podstaty používány proti neúmyslně způsobeným chybám.
4.2 Módy autentizační Módy autentizační, jsou módy starší a z hlediska konstrukce jednodušší. Zajišťují pouze autentizaci end-pointů.
4.2.1 HMAC HMAC (Hash Message Authentication Code) je jedním z nejstarších MAC algoritmů. Standardizován je například: RFC-2104, ANSI X 9.71, nebo FIPS PUB - 198 . HMAC je konstruován poměrně flexibilně a je možné ho použít s MD5, anebo SHA-1 hash. Existují i další varianty, například s použitím RIPEMu. V práci uvažovaji variantu s SHA-1 už proto, že MD5 není kvalitní hash a dnes se nedoporučuje používat. Zabývám se pouze HMAC s SHA-1, mimo jiné i proto, že je základem pro další internetové standardy jako: IPSEC, DNSSEC a TLS. Detailní popis včetně
obrázku
je
převzat
(http://www.karlin.mff.cuni.cz/~tuma/nciphers/Symetricka_kryptografie_III.pdf).
z Algoritmus
vytvoření HMAC: HMAC-H(M, K) = H( (K xor opad) || H((K xor ipad)|| M) ) HMAC-H(M, K)
– výsledek operace
H
– značí hash
K
– klíč (tajný, obě strany ho musí znát).Klíč se doplní na délku příslušné hashe 0x00 (z leva).
||
– operátor zřetězení
opad
– řetězec B bajtů s hodnotou 0x5C
ipad
– řetězec B bajtů s hodnotou 0x36.
Doplnění klíče K na délku hashe. SHA – 256 má délku B = 64 bitů, SHA – 384 a 512 mají délku 128 bitů. Z návrhu je zřejmé, že algoritmus je pouze autentizační a proto nešifruje data. 4.2.1.1 Bezpečnost HMAC Doposud jsme probíraly pouze funkční vlastnosti. Nyní se zaměřím na bezpečnostní stránku řešení.
HMAC je z dnešního pohledu stále možné považovat za bezpečný. Velkou míru bezpečnosti lze dosáhnout i pro MD5. Jistým omezením je používání algoritmů SHA-2, neboť ty díky své iterativnosti, nemusí být považovány za bezpečné. HMAC může být použit jako průkaz znalosti tajného sdíleného tajemství (K) při autentizaci entit. Princip průkazu je tento. Dotazovatel odešle nějakou náhodnou výzvu (řetězec) challenge a od prokazovatele obdrží odpověď response = HMAC(challenge, K). Nyní ví, že prokazovatel zná hodnotu tajného klíče K. Přitom případný útočník
na
komunikačním
kanálu
z
hodnoty
response
klíč
K
nemůže
odvodit
(http://cryptography.hyperlink.cz/2005/cryptofest_2005.htm kapitola 9.3). Z toho plyne, že není možné použít HMAC jako náhradu DH, anebo jiného schématu. Důkaz o relativní bezpečnosti schématu HMAC je možné nalézt například v: (http://eprint.iacr.org/2006/043.pdf). Bezpečnostní parametry HMAC. Ty se samozřejmě liší od toho, jakou hash použijeme. Odpověď zda je možné nalézt klíč, nebo provést úspěšný útok na přenášená data, přináší práce S. Continiho a L. Y. Yiqun: „Forgery a Partial Key-Recovery Attacks on HMAC and NMAC Using Hash Collisions (Extended Version)“ (http://eprint.iacr.org/2006/319.pdf). Tito výzkumníci tvrdí, že v případě HMAC s použitím SHA-0 (neredukovaný klíč) je možné nalézt kolize pro úplný podvrh po 284 pokusů a pro nalezení klíčů je potřeba stejný počet pokusů. V praxi to znamená, že pro efektivní útok, je potřeba provést zhruba 4,398 1012 pokusů (uvažujeme narozeninový paradox), aby bylo možné dosáhnout 50% pravděpodobnosti, že se podaří zjistit klíč. Pokud se uvažuje o možnosti, že lze uskutečnit 108 dotazů / s, tak lze dosáhnout kýženého výsledku za zhruba 0.5 dne. To je ovšem nepravděpodobné a v reálném prostředí nedosažitelné, i s kompletně zachycenou zprávou.
4.2.2 CBC-MAC CBC-MAC (Cipher Block Chaining Message Authentication Code) je variací CBC módu uzpůsobeného pro realizaci MAC. Klasický CBC-MAC model počítá s tím, že IV bude na počátku vynulován, ale není to nezbytně nutné. Některé zdroje uvádějí, že je možné použít i nenulová IV. <> Výhoda takového řešení je diskutabilní, protože nepřináší zesílení algoritmu. CBC-MAC používá následující princip. Klíč K je užit jako klíč blokové šifry. MAC se pak vypočítá jako: H0 = IV Hi = Ek(Pi xor Hi-1) MAC = Hk H0
– je inicializační vektor
– i-tý krok algoritmu
Hi
Obrázek detailně ukazuje jak se provádí MAC v prostředí CBC9
Ilustrace 11: CBC-MAC schéma Používání CBC-MAC je trochu složitější než u HMAC. To je dáno tím, že spolehlivost a síla šifry je dána použitou základní šifrou (AES-CBC apod.). Bezpečnost algoritmu je dána délkou bloku šifry a je poloviční. Z toho plyne, že bezpečnost je rovna 64 bitům, pokud délka bloku je 128 bitů. Pro zvýšení bezpečnosti je potřeba zvětšit délku alespoň na 128 bitů. B. Schneier v << [PC] str. 101>>
dává následující doporučení, jak správně používat CBC-MAC, protože přímé užití
algoritmu na přenášenou zprávu, umožňuje provést triviální útok: •
Vytvořit řetězec ze spojení l a m. Kde l je délka m ve pevném formátu.
•
Proveď padding s (řetězec vzniklý ze spojení l a m) dokud délka l není násobkem délky užitého bloku.
•
Užij CBC-MAC na takto vzniklý řetězec s.
•
Výstupem je poslední blok takto prováděné šifry. V žádném případě se nesmí zveřejnit žádný blok vzniklý během výpočtu.
Nespornou výhodou je, že je možné, použít ty samé produkty výpočtu, jako při šifrování. Používání CBC-MAC je složitější, než HMAC a proto používat ho správným způsobem, je také mnohem těžší. Zajímavější než použití CBC-MAC, je použít modifikované verze. Ty je možné nalézt v: “NIST Special Publication 800-38B“ << http://csrc.nist.gov/publications/nistpubs/8009
Schéma
CBC-MAC
MAC_structure_%28en%29.svg)
je
převzato
z:(
http://en.wikipedia.org/wiki/File:CBC-
38B/SP_800-38B.pdf >>. Tento dokument popisuje jak vytvářet MAC založené mimo jiné i na CBC-MAC.
4.2.2.1 Bezpečnost CBC-MAC CBC-MAC není bezpečný, ale pokud chceme dosáhnout vysoké úrovně bezpečnosti, musíme provádět úpravy v algoritmu. CBC-MAC je především citlivý na padělání MAC pomocí voleného textu. Zesílení je možné provádět metodou EDE (v případě DES). To sice zvyšuje výpočetní náročnost, ale výrazně zvyšuje sílu algoritmu. Dalším způsobem jak předejít útoku je <<[HaC] str.: 352 kap 9.60>>, použít část výstupu MAC, zkrácený na m bitů. To je možné v situaci, kdy jsme z nějakého důvodu nuceni použít opět DES. Pokud platí že použijeme DES (56 bitů) a m = 32 bitů, pak se prostor klíčů zmenší na 224. Zvláštní péči je třeba věnovat konstrukci kódu pokud je povolená jiná než pevná délka bloku. Zde použití paddingu nepomůže a proto je lepší, se tomuto řešení úplně vyhnout. Detailní popis možného útoku provedeného na takto konstruovaný MAC je popsán v
<[HaC] str 352 kap 9.62>>.
4.3 Módy autentizačně šifrovací Módy autentizačně šifrovací (Authenticated encryption) jsou módy mající zajistit obojí autentizaci i důvěrnost dat. Tyto módy se řadí mezi pokročilé, protože je nejen možné detekovat případné pokusy o manipulaci s datovým tokem, ale je i možné, v jedné aplikaci zajistit jak důvěrnost, tak i autenticitu.
Módy autentizačně šifrovací jsou odolné vůči řadě kryptologických útoků,
jmenujme například: útok voleným textem a adaptivním voleným textem. Tyto módy se rychle dostávají do popředí, především v oblasti sítí (SAN a TCP/IP) a to proto, že dovolují vytvořit účinně zabezpečený kanál mezi dvěma, nebo i více end-pointy a navíc spojenou s jejich autentizací.
4.3.1 GMAC a GCM GCM (Galois/Counter Mode)1011 je mód blokových šifer navržený jak pro autentizaci, tak i pro důvěrné přenosy šifrováním. GMAC naproti tomu je vytvořen jen pro autentizaci. GCM je používán, především v síťových protokolech, kde je vyžadována jak autentizace, tak i ochrana 10
Popis algoritmu je převzat z (http://crypto-world.info/klima/2007/ST_2007_06_14_14.pdf).
11
Obrázek je převzat z:
http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.pdf a je grafickým
znázorněním prováděním šifrování a autentizace.
obsahu. Jako zdroj pro popis bude použit dokument (http://csrc.nist.gov/publications/nistpubs/80038D/SP-800-38D.pdf). GCM si za základ bere osvědčené a prověřené algoritmy, například AES. Použitá délka je 128 bitů. GCM kombinuje CTR (counter mód) a hashovací funkci vytvořenou na Galoisovými tělesy. Šifrování probíhá v CTR módu pomocí blokové šifry a autentizace se provádí násobením v GF(2128). To co platí pro GCM, lze beze zbytku aplikovat i na GMAC. Tím, že byl tento algoritmus standardizován, poměrně rychle pronikl i do prostředí internetu. Příkladem může být RFC – 4106. Nepopiratelnou výhodu představuje fakt, že je dobře implementovatelný v SW tak i HW. Díky značné rychlosti, je možné GCM používat až do rychlosti 10 Gbps včetně. Oproti ostatním algoritmům mají jednoznačně navrch, už proto protože disponují následujícími vlastnostmi. •
GCM je mód, dovoluje pracovat s daty za běhu a není vůbec nezbytné, aby byly kompletně dostupné v době zpracování. Tato vlastnost je zvláště výhodná pro síťové aplikace založené na paketovém přenosu (windowing)
•
GCM vyžaduje pouze dopředný blok šifry zpětný (předchozí) není nutný
•
Autenticita dat je ověřena nezávisle na dešifrovacím procesu.
•
Pokud je dopředu známa délka dat a inicializační vektor, je možné před vypočítat některé parametry blokové šifry.
•
Data, která není třeba šifrovat, je možné autentizovat. To u jiných módů není možné.
•
Šifrování a autentizace probíhá paralelně.
Vstupní data P (Payload) se zašifrují pomocí funkce GCTRk v čítačovém módu. Obě strany pak sdílejí klíč K. Výstupem je pak šifrovaný text délky 128 bitů. Odsud pak může vstupovat paralelně na vstupu autentizačního kódu. Na vstup hashovací funkce mohou vstupovat i autorizovaná data tj. data, která nepotřebují být zašifrována. Přikladem může být hlavička TCP paketu apod. Do vstupu zabezpečovacího kódu pak vstupují data nezašifrovaně. Na vstupu jsou hashovací funkce GCTRk přidány dvě 64-bitová čísla len(A) a len(C) (délka A a C; A jsou autentizovaná data a C šifrovaný text) jako prevence dalších útoků a upravených na 128 bitů přidáním nul. Tyto data se pak zašifrují pomocí čítačového módu. Zabezpečovací signatura S se vypočte opět pomocí CTR módu a z nich se pak odebere část bitů pro přenesený součet T. Z výsledku T se pak na straně adresáta ověří hodnoty A a C pokud souhlasí je paket akceptován, v opačném případě je zahozen. Signaturu T musí ovšem příjemce odšifrovat předem. Odšifrování probíhá paralelně s výpočtem S. GCTR pracuje tak, že se vezme počáteční hodnota J0 vycházející z IV (hlavička paketu) transformací pomocí transformační funkce (Algorithm 4: GCM-AEK (IV, P, A); SP-800-38D ). dolních 32 bitů J0 se pak inkrementuje. Z této hodnoty se pak tvoří heslo pro zašifrování prvního bloku otevřeného textu (po zašifrování blokovou šifrou AES). Další blok otevřeného textu se zašifruje hodnotou J0 o jednu vyšší. GCM se využívá především v síťových protokolech, jmenovitě IPsec, FC-SEC a používá se i pro šifrování dat na paměťových médiích. Výkonost algoritmu ve srovnání s ostatními algoritmy je vynikající. Práce Bo Yang, Sambit Mishra, Ramesh
Karri;
High
Speed
Architecture
for
Galois/Counter
Mode
of
Operation
(GCM)(http://eprint.iacr.org/2005/146.pdf). Práce ukazuje, že i při relativně nízkých latencích jsou
dosažitelné propustnosti okolo 30 – 40 Gbps. Při srovnání s CWC (Carter-Wegman + CTR mode) vychází, že GCM 3 – 4 rychlejší než CWC. Výhodou je i to, že realizace v prostředí obvodu ASIC není náročná a vyžaduje relativně malý počet obvodů. CWC a jeho popis je možné nalézt v: (http://eprint.iacr.org/2003/106). Okolo vysokorychlostních módu je poměrně velká diskuze, neboť ani jeden do důsledku nesplňuje požadavky pro ideální MAC.
4.3.1.1 Bezpečnost GCM Bezpečnostní úroveň GCM lze hodnotit jako dobrou. Nedosahuje sice síly AESu, ale nabízí účinnou autentizaci s šifrováním proudových dat. Podmínkami, kterými se musí řídit jsou následující: •
klíč K musí být jedinečný a zároveň pro tento klíč nesmí být použita ta samá hodnota inicializačního vektoru IV. Z těchto dvou hodnot se generuje modus a ten by byl stejný.
•
Klíče je doporučeno generovat náhodně a zároveň kontrolovat, zda k tomuto klíči nebyla již jednou použita hodnota IV.
•
Vytvoření IV pro různé délky se musí striktně držet postupu uvedeného v kapitole 8.2.1 SP-800-38D pro 96 bitový IV, pro 128 a 160 IV podle kapitoly 8.2.2.
•
Objem zpráv, které je možné bezpečně chránit je 264. To platí, protože používáme 128bitový klíč. Při zvětšení počtu zpráv by hodnota prostoru klíčových zpráv klesla pod únosnou mez (2 n-m; n - počet klíčů v klíčovém prostoru a m – počet zpráv)
•
autentizační tag musí být zarovnán pro každý klíč na příslušnou délku rovnou délce klíče.
4.3.2 CCM CCM (Counter CBC-MAC) je mód, který spojuje výhody CTR a CBC-MAC. CCM se využívá v prostředí sítí a kombinuje se především s AES. Nespornou výhodu představuje to, že není zatížen problémy s intelektuálním vlastnictvím, jako je tomu v případě módu OCB. Mód byl standardizován ve dvou dokumentech a to RFC – 3610 (http://tools.ietf.org/html/rfc3610) a NIST SP 800-38C (NIST Special Publication 800-38C). V současnosti asi nejvýznamnější implementací je užití módu CCM ve standardu 802.11 a ESP enkapsulaci v Ipsec. CCM je možné kombinovat i s jinými algoritmy než s AES. Algoritmy standardizované pro použití s CCM jsou specifikovány v FIPS Pub. 197. Vyjímku představuje TDES a to proto protože je 64-bitový. CCM je od počátku navržen jako 128 bitová bloková šifra. Zároveň platí, že je schválená šifra AES pouze ve 128-bitové verzi. Vlastnosti, které nabízí a vhodné aplikace jsou tyto:
•
Prostředí s výměnou paketů. To znamená, že není vhodný pro datové proudy.
•
Bloková šifra musí být definována, ještě před tím, než dojde k výměně dat. Algoritmus tedy neumožňuje volbu algoritmu během přenosu dat a ani jeho změnu.
•
Klíč, podobně jako, podkladová šifra musí být oběma stranám známý před začátkem přenosu.
•
Maximální životnost klíče je 261 (NIST Special Publication 800-38C).
CCM se skládá ze dvou souvisejících procesů (generation-encryption a decryption-verification). Procesy kombinují dvě kryptografická primitiva: CTR a CBC autentizaci. Všechny proměnné a konstanty jsou, pokud není uvedeno jinak v bitech. •
Generující proces (generation-encryption) •
Nutné podmínky pro generující proces: algoritmus blokové šifry; klíč K; čítačovou funkci; formátovací funkci; MAC délky Tlen.
•
Vstupní data: validmí nonce N; valid data P (payload) délky Plen; valid associated data A (autentizační data). Výstupem je zašifrovaný text C.
•
Postup šifrování. •
formátovací funkcí se vstupní hodnoty N, A, P
použijí na vytvoření bloků
B0,…, Br. •
Přiřadí se Y0= CIPHK(B0).
•
Pro každé i = 1 do r, se provede výpočet: Yi = CIPHK(Bi ∈ Yi-1).
•
T=MSBTlen(Yr).
•
CTR funkce se použije na vytvoření bloků Ctr0, …, Ctrm, pro které platí následující: m = [Plen / 128].
•
Pro každé j=0 do m, se provede přiřazení Sj= CIPHK(Ctrj).
•
Provede se zřetězení S= S1 || S2 || …|| Sm.
•
Vytvoření vlastního zašifrovaného textu je pak dáno vztahem: C=(P ∈ MSBPlen(S)) || (T ∈ MSBTlen(S0)).
•
Dešifrovací a verifikační proces (decryption-verification)
•
Nutné podmínky pro generující proces: algoritmus blokové šifry; klíč K; čítačovou funkci; formátovací funkci; MAC délky Tlen.
•
Vstupní data: validní nonce N; validní data P (payload) délky Plen; valid associated data A (autentizační data). Výstupem je zašifrovaný text C délky Clen .
•
Postup dešifrování. •
Pokud je Clen ≤ Tlen, pak přenesený obsah (P) je neplatný (INVALID)
•
CTR funkce se použije na vytvoření bloků Ctr0, Ctr1, …, Ctrm, pro následující: m = [(Clen – Plen) / 128].
•
Pro každé j=0 to m, se provede výpočet Sj= CIPHK(Ctrj).
•
Provede se zřetězení: S= S1 || S2 || …|| Sm.
•
Provede se výpočet: P=MSBClen-Tlen(C) MSBClen-Tlen(S).
•
Provede se výpočet: T=LSBTlen(C) ⊕ MSBTlen(S0)
•
Pokud jedno z (N, A, P) není validní, všechna přenesená data jsou označena jako INVALID.
•
Pro každé i = 1 do r, se provede výpočet: Yi = CIPHK(Bi Yi-1).
•
Pro každé j=0 do m, se provede přiřazení Sj= CIPHK(Ctrj).
•
Pokud neplatí vztah T≠MSBTlen(Yr), pak výstupem operace je příznak INVALID, v opačné případě výsledkem operace je: P.
Pokud dojde k tomu, že se objeví hlášení INVALID, systém neodkryje, kde vznikne. Je to obrana proti určitým variantám útoku voleným textem.
4.3.2.1 Bezpečnost CCM Nejčastěji diskutovaným a kritizovaným problémem je to, že algoritmus je vytvořen pouze pro 128-bitovou šifru. Možným zdrojem problémů, by mohla být, délka nonce a zprávy. Nonce může být až 104 bitů dlouhá (min. 56 bitů). Délka nonce je závislá na délce přenášené zprávy.
P.
Rogaway
upozorňuje
na
další
potenciálně
nebezpečné
útoky
(http://csrc.nist.gov/groups/ST/toolkit/BCM/documents/comments/800-38_Series Drafts/CCM/RW_CCM_comments.pdf). Specifikace uvádí, že odesílatel vždy vygeneruje 16 byte
tag, ale příjemce akceptuje jakoukoli délku, pokud je validní. To připouští možnost, že útočník může vygenerovat tak 32 bitů a může vybrat správnou zprávu z 232 pokusů. Jedinou vadou tohoto útoku je, že útočník nemůže zkontrolovat, zda útok byl úspěšný (příjemce – oběť přijme zprávu). Daleko závažnější je následující útok. K úspěšnému útoku vyžaduje zachycení zprávy, které napomůže k odeslání série zpráv, z kterých bude nejméně jedna akceptována. Potřebuje k tomu pouze otevřený text. Díky diferenci mezi zašifrovaným textem a otevřeným známým textem, který je k dispozici. Znamená to, že je možné i při 128-bitovém klíči podvrhnout správu. V reálném provozu je to přinejmenším nepravděpodobné, ale bezpečnostní problém to nepochybně je.
5 Příklady
implementací
a
zkušenosti
s
jejich
implementací 5.1 Šifrování médií 5.1.1 Šifrování dat pomocí TrueCrypt Truecrypt je nástroj pro šifrování dat na úložištích a to v prostředí MS Windows, LINUX a Apple MAC. Nástroj je volně dostupný na nekomerční bázi. Licencován je dle TrueCrypt License Version 2.6 (poslední platná verze). Dostupné jsou zdrojové kódy. Přední kryptologové V. Klíma a B. Schneier, jej doporučují a to ze dvou důvodů. Nejsou zde úmyslně implementována zadní vrátka a má velice silný ověřený algoritmus. Pro šifrování používá následující algoritmy: AES-256, Serpent a Twofish. Program pro jednotlivé platformy je možné získat na http://www.truecrypt.org/. Truecrypt dovoluje přenášet soubory mezi platformami.
5.1.1.1 Šifrovací algoritmus a související otázky Šifrování dat je možné několika způsoby. Vlastní data jsou organizována v rámci TrueCrypt volume po 512 bytech. Popis volume je možné najít v dokumentaci (http://www.truecrypt.org/docs/volumeformat-specification.php). Prvních 512 byte je hlavička volume a z toho prvních 64 bytů je salt. PRF (Pseudo Random Function) je použita pro vygenerování klíče podle PKCS #5 v2.0. Pro uložení klíče, je možné použít následující algoritmy: HMAC-SHA-512, HMAC-RIPEMD-160, HMAC-Whirlpool. Operační mód je v současnosti použit XTS. LRW a CBC jsou dostupné
jen z důvodu zpětné kompatibility. XTS mód variací na mód XEX a to s tím rozdílem, že používá dva různé klíče, nikoliv jeden: Ci = EK1(Pi ^ (EK2(n) * ai)) ^ (EK2(n) * ai) •
* – značí násobení dvou polynomů na tělesem GF(2) modulo x128+x7+x2+x+1
•
K1
– je první klíč 256-bit šifry (AES, Serpent, and Twofish)
•
K2
– je druhý klíč 256-bit šifry (AES, Serpent, and Twofish)
•
i
•
n – Index dat pro klíč, n = 0
•
a – element Galoisova tělesa (2128), odpovídající x (tj., 2)
– index bloku. První blok je označem 0.
U stávající verze (v době psaní práce 6.1) nejsou zatím známy bezpečnostní chyby. Poslední verze u které byla zjištěna bezpečnostní mezera týkající se algoritmu, je verze 4.0. kompatibility
se
standardy
je
na
rovněž
velice
solidní
Co se týče úrovni
(http://www.truecrypt.org/docs/?s=technical-details). •
PKCS #5 v2.0
• PKCS #11 v2.20 • FIPS 197 • FIPS 198 • FIPS 180-2 • ISO/IEC 10118-3:2004
5.1.1.2 Doporučená bezpečnostní opatření •
Používat kvalitní heslo. Je třeba si uvědomit, že malá entropie hesla znehodnocuje jinak kvalitní provedení.
•
Není vhodné dovolit útočníkovi, aby mohl po sobě v různých časových intervalech přistupovat k obrazu disku. Teoreticky by mohl odvodit, co bylo změněno.
•
Přednostně používat vlastní volume (patritions), před soubory. (file-hosted)
•
Nepoužívat defragmentaci
•
Tam, kde chceme používat skrytou partition, je potřeba defragmentovat a přeuspořádat
diskový prostor. •
V případě, že používáme OS na zašifrovaném oddílu disku, je třeba vypnout hibernaci a vypnout swap. (viz dokumentace)
•
Paměťový prostor a citlivá data. Truecrypt negarantuje ochranu dat v paměti (!). To je jediná zásadnější chyba na jinak vynikajícím produktu.
5.2 SSL a PKIX 5.2.1 Certifikáty a problémy s nimi Tento příklad zde uvádím z toho důvodu, že názorně ukazuje dvě věci. Teoretické útoky se mohou stát poměrně rychle praktickými a důvěra
v prověřené algoritmy zdrojem
kompromitování systémů po celém světě. Používání obstarožních algoritmů mnohokrát kryptograficky prolomených, je bohužel smutná realita. Příkladem může být používání algoritmu MD5 pro hashe. Algoritmus hashe MD5 byl velmi rozšířen během 90-tých let minulého století a je popsán v RFC-1321 (ftp://ftp.rfc-editor.org/in-notes/rfc1321.txt ). Od té doby byl algoritmus mnohokráte zkoumán kryptoanalytiky a bylo zjištěno, že není dostatečně bezpečný a je možného prolomit. První, kdo zjistil nedostatky v algoritmu MD5, byl H. Dobertin, zaměstnanec německého úřadu na ochranu ústavy (1996). Bylo zjištěno, že obsahuje kolize a bylo prokázáno, s dostatečnou přesvědčivostí, že MD5 nesplňuje podmínky pro preimage rezistenci prvního a později i druhého druhu (http://www.win.tue.nl/hashclash/SoftIntCodeSign/ - Marc Stevens, Arjen Lenstra, Benne de Weger ; 2007). Tento fakt vedl k vytvoření teoretického útoku na schéma SSL certifikátu pomocí tzv.: "chosen prefix attack" (http://www.win.tue.nl/hashclash/EC07v2.0.pdf - Marc Stevens, Arjen Lenstra, a Benne de Weger). Jak útok probíhá je vidět na následujícím obrázku:
Ilustrace 13: Schéma vytvoření falešného certifikátu Vlastní útok využívá skutečnosti, že je možné vydat certifikát používající právě MD5. Certifikáty s MD5 vydával mimo jiné i VeriSign (http://blog.wired.com/27bstroke6/2008/12/berlin.html). Je přinejmenším zarážející, že i taková renomovaná firma jako je VeriSign, vydá certifikát, s vědomím, že používá bezpečnostně přinejmenším pochybné technologie. Relativně nejsložitějším je vytvoření falešné certifikační autority (rogue CA)12. Cestu, kterou použili na vytvoření falešné certifikační autority je použití man-in-the-middle útoku. Za použitím tohoto útoku byla úspěšná snaha o vytvoření „web of trust“. Postup dále již byl standardní: uživatel vygeneruje privátní klíč → potom vygeneruje CSR (Certificate Signing Request). CSR obsahuje tyto položky: user identity, domain name, public key. CA pak provede následující: ověří identitu uživatele (což v praxi moc nefunguje), ověří vlastnictví domény, podepíše a vrátí certifikát, pokud tyto podmínky shledá splněnými. Ve finále si uživatel nainstaluje certifikát do svého prohlížeče, nebo do SSL používající zařízení. Výzkumníci zjistili následující:
12
Schéma útoku pomocí falešných certifikátů
(http://blog.wired.com/.shared/image.html?/photos/uncategorized/2008/12/29/attack2.jpg)
z 30 000 certifikátů, jimi zachycených, mělo plných 9 000 certifikát signovaný s MD5! Z toho 97% bylo vydáno jedinou certifikační autoritou (RapidSSL). Dnes je situace naštěstí jiná. Aby se minimalizoval dopad tohoto útoku, je nezbytně nutné revokovat a znovu vydat certifikát pro daného žadatele s jiným podpisovým algoritmem (alespoň SHA-1). Pokud je vůbec možné domyslet důsledky, pak zůstává rozum stát nad přístupem firem vydávajících certifikáty. V
kombinací
s
chybami,
jako
je
chyba
objevená
v
DEBIAN
LINUXu
(http://www.debian.org/security/2008/dsa-1571), lze očekávat, že podobné útoky se přesunou z oblasti akademické do „praktické“. Nebylo by poprvé, kdy kriminální skupiny využili výsledků výzkumu k nezákonným aktivitám.
5.2.2 Návrh opatření jak předejít těmto problémům v budoucnu •
Použití kvalitních zabezpečení certifikátů. Doporučeným podpisovým algoritmem by měl být algoritmus založený SHA – 2. SHA – 2, zatím nebyl úspěšně napaden. Všechny ostatní podpisová schémata by neměly být vydávány.
•
Prohlížeče a zařízení využívající SSL by měly mít vnitřní obrané mechanismy zabraňující útokům typu
man-in-the-middle. Prohlížeče již podobnou možnost mají (phishing filtry),
ale to není dostatečnou obranou proti manipulaci s certifikáty. Phishing filtry nechrání prohlížeče před již uloženými certifikáty a důvěryhodnými certifikačními autoritami, které jsou uloženy v nastavení prohlížečů. Jednoznačným doporučením je vymazat všechny důvěryhodné CA a každý SSL certifikát ověřovat proti CA (nepřijímat certifikáty automaticky, protože jsou z důvěryhodných zdrojů). •
V budoucí verzi CA by měl být zakomponován i budoucí podpisový standard, v současnosti nazývaný pracovně SHA-3.
•
Zkrátit platnost certifikátů z 1 roku na kratší období 2 – 3 měsíce.
•
Pravidelně provádět update SW, pokud se objeví chyba spojená nejen s certifikáty. Bohužel stále platí, že je snažší útok na slabinu v SW, než na kryptografická zabezpečení (a také je to mnohem častější). Rychlost s jakou jsou prováděny útoky je dnes velmi vysoká a v budoucnosti se bude ještě zvyšovat.
6 Zhodnocení Cílem práce bylo zjistit jak kvalitní jsou používané algoritmy a jejich implementace. Dospěl jsem k
závěru, že většina řešení splňuje bezpečnostní úroveň dostatečnou pro komerční prostředí. Co se týče jednotlivých komponent každého kryptosystému, lze říci následující:
6.1 Algoritmy Použité algoritmy jsou většinou vyzkoušené a prověřené. Nejnovějším algoritmem je AES. Ostatní algoritmy, které jsou považovány za bezpečné, anebo prověřené jsou staré více než 20 let. To přináší výhodu v tom, že jsou dlouhodobě testovány kryptoanalytiky a vypršela u nich patentová ochrana, například u algoritmů RSA a DH a některých odvozených algoritmů. Tím, že NIST zvolil jeden vítězný algoritmus pro symetrickou kryptografii způsobil, že k tomuto algoritmu neexistuje jiná moderní alternativa. Pokud budeme uvažovat o alternativě pro komerční sféru, budeme muset sáhnout po nějaké variantě DESu, anebo RC4 (arcfour). Možnost použití algoritmů jako je IDEA, nebo SKIPJACK, naráží na malou podporu ze strany dodavatelů aplikačního programového vybavení. Každý kdo by se rozhodl zvolit takovéto algoritmy, může narazit na problém s podporou u partnerů. V oblasti asymetrických šifer jednoznačně vede DH a RSA. Začínají se prosazovat ECC algoritmy (ty jsou staré cca 25 let) a to, především v oblastech síťových technologií se zvláštním ohledem na technologie WIFI. V budoucnu lze očekávat, že se mnohem razantněji prosadí i v oblasti elektronické komerce, právě v důsledku standardizace EC křivek. Trochu překvapivé je to, že se nepřipravuje a ani se o náhradě neuvažuje pro případ, že by došlo k průlomu v oblasti kvantových počítačů. Žádný v současnosti používaný algoritmus není odolný vůči dešifrování pomocí kvantových počítačů. Algoritmus McEliece je prakticky nepoužitelný, především pro nepoužitelně velkou délku veřejného klíče (1019 bitů).
6.2 Kryptograficky bezpečné generátory a jejich vlastnosti Zde panuje stále neutěšený stav a nezdá se, že by se to mohlo v dohledné době změnit. Generátory založené na X 9.x nejsou kvalitní, ale zato se používají poměrně často. Jejich používání jednoznačně ohrožuje velkou část kryptosystémů. Jasně se ukázalo, že ani HW generátory na tom nejsou lépe z hlediska kryptografické bezpečnosti. Jejich jednoznačnou výhodou je vydatný zdroj entropie. Budoucnost přinese odpověď na otázku, zda s nástupcem nové hashe (SHA-3) dojde i ke změně v oblasti CPRNG a jejich nasazení. Je zajímavé, že například CPRNG FORTUNA není objektem zájmu, přestože není patentově chráněna.
6.3 Autentizační mechanismy Zde se zaměřuji na autentizační mechanismy v oblasti blokových šifer. Ne náhodou se právě v oblasti sítí tyto algoritmy používají čím dále častěji. Požadavek na autentizaci a důvěrnost jdou ruku v ruce s požadavky na síťovou bezpečnost. V IPv4 byl požadavek na IPsec volitelný, kdežto v IPv6 je požadavek na IPsec již mandatorním. IP sítě nejsou jedinnou oblastí, kde se rozmáhá používání šifrovaných přenosů. Asi nejvíce viditelným je používání GCM algoritmů (a jejich standardizace) pro sítě SAN. V sítích typu SAN již nestačí pouze šifrovat data přenášená po FC, ale i autentizace. Používání FC – SP protokolu je standardem ve všech moderních FC zařízeních. Další rozšiřování standardu na sebe nenechá dlouho čekat, například proto, že obdobné úsilí vyvíjí výbor IEEE P1619, který se zabývá ukládáním dat.
Závěr Práce si vytkla cíl zjistit stav šifrovacích algoritmů používaných v současnosti. Dostupnost algoritmů použitelných v komerční sféře je relativně dobrá a zároveň i kvalita je alespoň na dostatečné úrovni. Je škoda, že není možné porovnat stávající volně dostupné algoritmy s algoritmy vytvořenými pro potřeby armád nebo tajných služeb. Vyjímkou není ani SKIPJACK, protože u něho nikdy nebyla zveřejněná úplná specifikace. Největší pozorovatelný posun je v oblasti blokových a symetrických šifer daný tím, že byl relativně nedávno (2001) ustaven standard AES. AES proniká do všech blokových šifer jako šifra podkladová. Jistý význam má skutečnost, že standard AES byl přijat jako šifra pro úroveň utajení TOP SECRET americkým úřadem NSA. Fakticky je to nejpopulárnější symetrická šifra počátku 21. století. Zatím se neuvažuje o jejím budoucím nástupci a zřejmě nejméně 15 až 20 let to nebude nutné. AES byl akceptován jako standard až do roku 2020. V oblasti asymetrických šifer se mnoho nezměnilo. Nejnovější asymetrický algoritmus je založen na EC (Eliptic Curve) a je zhruba 20 až 25 let starý. Ostatní algoritmy jako RSA a DH jsou staré více než 30 let. Přes jejich stáří a některé nedostatky, platí stále za to nejlepší, co v této oblasti existuje. Nic se patrně nezmění do té doby, dokud nebudou použitelné kvantové počítače a kvantová kryptografie. Je možné, že tyto algoritmy budou nakonec ohroženy ještě dříve. Ohrožení může přijít i z oblasti konvenčních počítačů, lépe řečeno z oblasti grafických procesorů. Přesvědčivě lze ukázat, že zatímco u konvenčních procesorů roste výkon zhruba o 20 – 30% ročně, výpočetní výkon u grafických jednotek (GPU) roste zhruba o 200% ročně a mírně se ještě zrychluje. Během následujících 20 let může stát, že tyto algoritmy budou přímo ohroženy, tak jako tomu bylo v případě algoritmu DES. Ten se během 30 let stal z poměrně slušného standardu na inferiorní algoritmus, který bylo třeba různě zesilovat (TDES apod.), aby mohl dále být používán. Je jistě je možné prodlužovat délku klíče, ale to z dlouhodobého hlediska není řešení, protože se mohou tyto šifry dostat pod tlak se strany specializovaných luštících strojů jako např: TWIRL. Paradoxně se může stát, že právě tyto stroje budou znamenat konec těchto algoritmů. Cestou, jak v budoucnu zajistit neúčinnost takovýchto metod, je zkonstruovat zcela nový algoritmus, který nebude luštitelný v polynomiálním čase a tudíž ani kvantové počítače a ani specializované stroje nebudou představovat hrozbu pro budoucí RSA a DH algoritmy. Jeden z pokusů již byl učiněn algoritmem McEliece, ale jeho praktická nepoužitelnost ho předem diskvalifikuje.
105
Použitá literatura a zdroje Použitá literatura 1. [HaC]MENEZES J. Alfred; van OORSCHOOT C. Paul; VANSTONE A. Scott. Handbook of aplied cryptography. 5. vyd. CRC Press, 2001. 816 s. Příručka praktické kryptografie. ISBN 0-8493-8523-7. 2. [PC]SCHNEIER B. FERGUSON N. Practical Cryptography (Paperback). John Wiley & Sons, Inc. 432 s. Příručka praktické kryptografie. ISBN: 978-0-471-22357-3 3. [AC]SCHNEIER B. Applied Cryptography: Protocols, Algorithms, and Source Code in C, Second Edition (Paperback) 2. vyd. John Wiley & Sons, Inc. 758 s. Encyklopedie praktické kryptografie. ISBN 0-471-11706-9 4. [Kod]ADÁMEK J. Kódování. Sešit XXXI. SNTL 1989. 191 s.
Internet 1. Certicom Corp. SEC 1: Elliptic Curve Cryptography. Version 1.0, [2000-11-20]. Dostupný na: 2. RSA
Labs
Inc.
RSA
BSAFE®
Crypto.
Informační
leták.
Dostupný
na:
3. RSA Labs Inc. Frequently Asked Questions about Todays Cryptography. Version 4.1 - May 2000. Dostupný:http: 4. Federal Information Processing Standards Publication 197, Advanced Encryption Standard (AES)
(FIPS
PUB
197),
[2001-11-26].
Dostupný
na:
5. SCHNEIER Bruce, KELSEY John, WHITING Doug, WAGNER David, HALL Chris, FERGUSON Niels. Twosh: A 128-Bit Block Cipher, [1998-06-15]. Dostupný na: 6. Federal Information Processing Standards Publication 140-2, [2001-05-25] Dostupný na: < http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf > 7. Federal Information Processing Standards Publication 140-2, Annex A: Security Requirements for Cryptographic Modules. Annex A:, October 21, 2008 Draft. Dostupný na: < http://csrc.nist.gov/publications/fips/fips140-2/fips1402annexa.pdf >
8. Federal Information Processing Standards Publication 140-2, Annex B: Approved Protection Profiles for FIPS PUB 140-2,Security Requirements for Cryptographic Modules, Annex B:; June 14, 2007 Draft. Dostupný na: < http://csrc.nist.gov/publications/fips/fips140-2/fips1402annexb.pdf > 9. Federal Information Processing Standards Publication 140-2, Annex c: Approved Random Number Generators for FIPS PUB 140-2, Security Requirements forCryptographic Modules. October 18, 2007 Draft. Dostupný na: < http://csrc.nist.gov/publications/fips/fips140-2/fips1402annexc.pdf > 10. Federal Information Processing Standards Publication 140-2, Annex D: Approved Key Establishment Techniques for FIPS PUB 140-2,Security Requirements for Cryptographic Modules. January 16, 2008 Draft. Dostupný na: < http://csrc.nist.gov/publications/fips/fips140-2/fips1402annexd.pdf > 11. SHUMOW D. FERGUSON N. On the Possibility of a Back Door in the NIST SP800-90 Dual_Ec_Prng. Prezentace. Dostupný na: < http://rump2007.cr.yp.to/15-shumow.pdf > 12. SCHOENMAKERS B., SIDORENKO A. Cryptanalysis of the Dual Elliptic Curve Pseudorandom Generator. [2006-05-29] Dostupný na: < http://eprint.iacr.org/2006/190.pdf > 13. Block Cipher Modes Current Modes. WEB NIST. Dostupný na: < http://csrc.nist.gov/groups/ST/toolkit/BCM/current_modes.html > 14. Block Cipher Modes Modes Development. WEB NIST. Dostupný na: < http://csrc.nist.gov/groups/ST/toolkit/BCM/modes_development.html > 15. IEEE 802.3 High Speed Study Group July 1999 Plenary week meeting. WEB IEEE [1999-07-06]. Dostupný na: < http://grouper.ieee.org/groups/802/3/10G_study/public/july99/chang_2_0799.pdf > 16. Publikační archiv V. Klímy.[2007-07-18] Dostupný na: < http://crypto-world.info/klima/2007/ST_2007_07_18_18.pdf > 17. EHRSAM et al. Product Block Cipher System for Data Security. U.S. Patent: 3,962,539. Dostupný
na
<<
http://patft.uspto.gov/netacgi/nph-
Parser?Sect1=PTO1&Sect2=HITOFF&d=PALL&p=1&u=%2Fnetahtml%2FPTO%2Fsrchn um.htm&r=1&f=G&l=50&s1=3962539.PN.&OS=PN/3962539&RS=PN/3962539 >> 18. Standard for Authenticated Encryption with Length Expansion for Storage Devices. 19. P1619
Narrow-Block
Encryption.
[2007-05-9].Dostupný
na:
https://siswg.net/index.php?option=com_content&task=view&id=38&Itemid=1 >
<
20. Standard for Authenticated Encryption with Length Expansion for Storage Devices. P1619.1 Authenticated
Encryption.
[2007-07-7].
Dostupný
na:
<
https://siswg.net/index.php?option=com_content&task=view&id=37&Itemid=1 > 21. Standard for Authenticated Encryption with Length Expansion for Storage Devices. P1619.2 Wide-Block
Encryption.
[2006-11-2].
Dostupný
na:
<
https://siswg.net/index.php?option=com_content&task=view&id=36&Itemid=1 > 22. Standard for Authenticated Encryption with Length Expansion for Storage Devices. P1619.3:
Key
Management.
[2007-03-28].
Dostupný
na:
<
https://siswg.net/index.php?option=com_content&task=view&id=35&Itemid=1 > 23. Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1. Internetový standard. Březen 2003. Dostupný na: < http://tools.ietf.org/html/rfc3447 > 24. PKCS #3: Diffie-Hellman Key Agreement Standard. An RSA Laboratories Technical Note Version 1.4. Current Version. [2007-11-1]. Dostupný na: < http://www.rsa.com/rsalabs/node.asp?id=2126 > 25. PKCS #5: Password-Based Cryptography Specification Version 2.0. Network Working Group Request for Comments: 2898. RFC-2898. September 2000.
Dostupný na: <
http://tools.ietf.org/html/rfc2898 > 26. Frequently Asked Questions about Today's Cryptography version 4 . 1 - May 2 000 LABORATORIES - 1 Copyright (c) 1992-2000 RSA Security Inc. Dostupný na:< http://www.rsa.com/products/bsafe/documentation/cryptoc_me21html/RSA_Labs_FAQ_4.1. pdf > 27. KLÍMA V., ROSA T.: Kryptologie pro praxi (28) – použití ECC, Sdělovací technika, 11/2005, str. 14-15, Dostupný na: 28. KLÍMA V., ROSA T.: Kryptologie pro praxi (9) – metoda RSA, Sdělovací technika, 3/2004, str. 17, Dostupný na:
29. ROSA T. Seznámení s asymetrickou kryptografií, díl 2. Powerpintová prezentace. Dostupná na: 30. KLÍMA V., ROSA T.: Kryptologie pro praxi (50) – Pro a proti RSA s e = 3, Sdělovací technika, 10/2007, str. 13. Dostupný na: < http://crypto-world.info/klima/2007/ST_2007_10_13_13.pdf > 31. What are strong primes and are they necessary for the RSA system? Crypto FAQ: Chapter 3 Techniques
in
Cryptography:
3.1
32. Wikipedie, heslo Silným prvočísla. Dostupný na:
RSA.
Dostupný
na:
< http://en.wikipedia.org/wiki/Strong_prime > 33. MUNTL - Multiprecision unsigned number template library (MUNTL). Volně dostupná knihovna pro vědecké výpočty. Dostupná na: 34. GSL - The GNU Scientific Library. Volně dostupná knihovna pro vědecké výpočty. Dostupná na: 35. Cache-timing attacks on AES, Daniel J. Bernstein, Prakticky proveditelná útok pomocí timming atacu na AES, Dostupný na: 36. NIST Draft Special Publication 800-57, Doporučení ohledně používání klíčů a jejich životnosti, Dostupný na: 37. A Cost-Based Security Analysis of Symmetric and Asymmetric Key Lengths RSA Labs. Inc. , Technical Notes and Reports: Bulletins, Dostupný na: < http://www.rsa.com/rsalabs/node.asp?id=2088 > 38. Determining Strengths For Public Keys Used For Exchanging Symmetric Keys, Doporučení týkající se délek veřejných klíčův prostředí internetu, kategorie best practices, Dostupný na: < ftp://ftp.rfc-editor.org/in-notes/rfc3766.txt > 39. Implementation of the Wassenaar Arrangement List of Dual-Use Items: Revisions to the Commerce Control List and Reporting Under the Wassenaar Arrangement; Rule. Dohoda o exportu citlivých technologií, Dostupný na: 40. KLÍMA V., ROSA T.: RSA v novém světle, Mangerův útok, popis článek v časopisu CHIP, Dostupný na: < http://crypto-world.info/klima/2002/chip-2002-02-134-137.pdf > 41. Bellare M., Rogaway P., Optimal Asymmetric Encryption How to Encrypt with RSA, Advances in Cryptology Eurocrypt 94 Proceedings, Lecture Notes in Computer Science Vol. 950, A. De Santis ed., Springer-Verlag, 1994., Dostupný na: < http://wwwcse.ucsd.edu/users/mihir/papers/oae.pdf > 42. PKCS #1 v2.1: RSA Cryptography Standard RSA LaboratoriesJune 14, 2002, popis standardu, Dostupný na: < ftp://ftp.rsasecurity.com/pub/pkcs/pkcs-1/pkcs-1v2-1.doc > 43. CACHIN C. Dipl. Ing., Diss. ETH No. 12187 Entropy Measures and Unconditional Security in Cryptography A dissertation submitted to the SWISS FEDERAL INSTITUTE OF
TECHNOLOGY
ZURICH,
disertační
práce,
rok
1997,
Dostupná
na:
< ftp://ftp.inf.ethz.ch/doc/dissertations/th12187.ps.gz > 44. John Kelsey, Bruce Schneier, David Wagner,Chris Hall, Cryptanalytic Attacks on Pseudorandom Number Generators, 1998, Dostupný na: < http://www.schneier.com/paperprngs.pdf >
45. Barker E. Kelsey J., Recommendation for Random Number Generation Using Deterministic Random Bit Generators (Revised), březen 2007, Dostupný na: < http://csrc.nist.gov/publications/nistpubs/800-90/SP800-90revised_March2007.pdf > 46. Guttman P., Random Number Generation, chapter 6., June 2000, Dostupná na: < http://www.cypherpunks.to/~peter/06_random.pdf > 47. The ANSI X9.31-1998 Appendix A.2.4 PRNG, Příloha A2.4 specifikace ANSI X9.31 – 1998, Dostupný na: < http://www.untruth.org/~josh/security/ansi931rng-2.PDF > 48. Klíma V., Základy moderní kryptologie - Symetrická kryptografie III. operační mody blokových šifer a hašovací funkce, Přednášky z kryptografie, verze 1.4, 20. 4. 2005, Dostupná na: < http://www.karlin.mff.cuni.cz/~tuma/nciphers/Symetricka_kryptografie_III.pdf > 49. Klíma V., Hašovací funkce, principy, příklady a kolize, verze 1, 19. 3. 2005, Příspěvek na konferenci Kryptofest 2005, Dostupný na: < http://cryptography.hyperlink.cz/2005/cryptofest_2005.htm > 50. Mihir Bellare, New Proofs for NMAC and HMAC: Security without Collision-Resistance, June 2006, Lecture Notes in Computer Science Vol. , ed., Springer-Verlag, 2006. This is the full version. Dostupný na: < http://eprint.iacr.org/2006/043.pdf > 51. Scott Contini and Yiqun Lisa Yin , Forgery and Partial Key-Recovery Attacks on HMAC and NMAC Using Hash Collisions, Analýza bezpečnosti klíčů v prostředí HMAC a NMAC, 2009, Dostupná na: < http://eprint.iacr.org/2006/319.pdf > 52. Morris Dworkin, NIST Special Publication 800-38B, Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, May 2005, Dostupný na: < http://csrc.nist.gov/publications/nistpubs/800-38B/SP_800-38B.pdf > 53. Morris Dworkin, NIST Special Publication 800-38D, Recommendation for Block Cipher Modes of Operation: Galois/Counter Mode (GCM) and GMAC, November, 2007, Dostupný na: < http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.pdf > 54. Bo Yang, Sambit Mishra, Ramesh Karri, High Speed Architecture for Galois/Counter Mode of Operation (GCM), Analýza HW řešení GCM realizovaná v prostředí CMOS 0.18 µm, Dostupný na: < http://eprint.iacr.org/2005/146.pdf > 55. Tadayoshi Kohno, John Viega, Doug Whiting, CWC: A high-performance conventional authenticated encryption mode, 15 Jan 2004, Dostupný na: < http://eprint.iacr.org/2003/106.pdf > 56. RFC-3610,
Counter
with
CBC-MAC
(CCM),
Internetový
standard,
Category:
Informational, September 2003, Dostupný na: < http://tools.ietf.org/html/rfc3610 > 57. Morris Dworkin, NIST Special Publication 800-38C, Recommendation for Block Cipher
Modes of Operation: The CCM Mode for Authentication and Confidentiality, May 2004, Dostupný na: < http://csrc.nist.gov/publications/nistpubs/800-38C/SP800-38C.pdf > 58. P. Rogaway D. Wagner, A Critique of CCM, Popis slabin v algoritmu CCM, Dostupný na: <
http://csrc.nist.gov/groups/ST/toolkit/BCM/documents/comments/800-38_Series-
Drafts/CCM/RW_CCM_comments.pdf > 59. R. Rivest, The MD5 Message-Digest Algorithm, RFC-1321, MIT Laboratory for Computer Science and RSA Data Security, Inc., April 1992, Dostupný na: < ftp://ftp.rfc-editor.org/innotes/rfc1321.txt > 60. Marc Stevens, Vulnerability of software integrity and code signing applications to chosenprefix collisions for MD5, nalezení kolize druhého druhu pro Win32 executable, November 30, 2007, Stránka internetu dostupný na: < http://www.win.tue.nl/hashclash/SoftIntCodeSign/ > 61. Marc Stevens, Arjen Lenstra, Benne de Weger, Chosen-prefix Collisions for MD5 and Colliding X.509 Certificates for Different Identities, postup vytvoření falešného certifikátu, 2007, Dostupný na: < http://www.win.tue.nl/hashclash/EC07v2.0.pdf >
Seznam Ilustrací
Seznam ilustrací Ilustrace 1: Tabulka 1. uveřejněná v **/* shrnuje požadavky na jednotlivé úrovně zabezpečení ..... 11 Ilustrace 2: Schéma ECB ................................................................................................................... 16 Ilustrace 3: Schématický obrázek popisující CFB mód ..................................................................... 17 Ilustrace 4: princip OFB módu ......................................................................................................... 18 Ilustrace 5: Schéma doplňovacího schématu EME-OAEP ............................................................... 56 Ilustrace 6: schéma generátoru X9.17 ................................................................................................ 82 Ilustrace 7: Schéma modifikovaného generátoru X9.17 (CAPSTONE / FORTEZZA) .................... 83 Ilustrace 8: Schéma modifikovaného generátoru X9.31 .................................................................... 84 Ilustrace 9: HW generátor procesoru Intel Pentium(tm) III ............................................................... 85 Ilustrace 10: MAC mezi dvěmi end pointy ........................................................................................ 86 Ilustrace 11: CBC-MAC schéma ....................................................................................................... 89 Ilustrace 12: Schéma GCM ................................................................................................................ 92 Ilustrace 13: Schéma vytvoření falešného certifikátu ........................................................................ 99
Seznam použitých zkratek 3DES 800-38A
800-38D
ADV_SPM.1 AES AES-CBC Annex A
Annex B ANSI C API ASCII
CAPP
Triple DES - zesílená varianta DES (FIPS – 46 - 3) 800-38A – celým názvem SP800-38A. Tento dokument patří do tzv. „Special Publication 800 series“. Konkrétně tento dokument se zabývá doporučenými blokovými šiframi 800-38D – celým názvem SP800-38D. Tento dokument patří do tzv. „Special Publication 800 series“. Konkrétně tento dokument se zabývá doporučenými blokovými šiframi GCM a CCM. bezpečnostní model prostředí OS Advanced Encryption Standard – šifrovací standard nahrazující DES (FIPS 197). CBC bloková šifra s podkladovou šifrou AES Annex A: Approved Security Functions FIPS PUB 140-2 – celým označením. Definuje symetrické šifry v rámci standardu. Annex B: Approved Protection Profiles for FIPS PUB 140-2 – definuje bezpečnostní profily v rámci standardu specifikace jazyka C podle ANSI Application Programming Interface American Standard Code for Information Interchange – kódování znaků anglické abecedy pro použití ve výpočetní technice Controlled Access Protection Profile – součást Annex B standardu FIPS 140-2
112
CAPSTONE CAST CBC CBC-HMAC-SHA CBC-MAC CC
CCM CFB CLR CMC CMS CMVP
COMSET CPRNG CPU CRC CRHF CRT CSEC CSPRBG CSPRNG CTR_DRGB CWC DES
Projek založený NSA pro vytvoření bezpečných šifrovacích algoritmů určených pro použití ve styku s americkými úřady Bloková šifra k níž vlastní práva Entrust Inc., nejsou vyžadovány licenční poplatky Cipher block chaining - typ operačního módu blokové šifry algoritmus pro šifrování dat v prostředí zálohovacíchj médií, jako jsou např.: pásky Cipher Block Chaining Message Authentication Code – autentizační protokol pro blokové šifry Common Criteria, zkrácený tvar pro Common Criteria for Information Technology Security Evaluation. CC je mezinárodní standard ISO/IEC 15408 Counter with CBC MAC - autentizačně enkrypční mód blokové šifry Cipher Feedback – mód blokové šifry Certificate Revocation List – seznam neplatných certifikátů PKIX CBC mask CBC - mód blokové šifry používaný pro šifrování dat v prostředí paměťových médií (wide block). Cryptographic Message Syntax Standard – schéma pro předávání zašifrovaných zpráv, základ pro S/MIME Cryptographic Module Validation Program – společný program USA a Kanady zaměřený na validaci a certifikaci kryptografických prvků. Jakákoliv společnot, která chce používat ve styku s americkou vládo, je nucena používat takto certifikované produkty COMmunication SETup – protokol umožňující dvěma subjektům identifikovat se navzájem cryptographically secure pseudo-random number generator kryptograficky bezpečný generátor náhodných čísel Central Processor Unit - procesor Cyclic Redundancy Check – kódy pro odhalení chyby Collision Resistant Hash Function – hash odolný vůči kolizím (např. SHA – 2 funkce) Chinese Remainder Theorem – tzv. čínská věta o zbytku Communications Security Establishment Canada – Kanadský ekvivalent NSA Cryptographically Secure PseudoRandom Bit Generator – náhodný generátor cryptographically secure pseudo-random number generator kryptograficky bezpečný generátor náhodných čísel CSPRNG použitý v ANSI X9.82 Carter-Wegman + CTR mode – autentizačně enkrypční mód blokové šifry Data Encryption Standard – standard symetrické šidry dle FIPS 46 a dalších verzí
DES – CRACKER DES-EDE DII DNSSEC
DoS DRM
DSA DSS Dual_EC_DRBG EAL-x ECB ECC ECC ECDH ECDSA ECMQV EDE EDSA EFF
EKE EME EPR ext3 FC-SEC
„Louskáček na DES“ - stroj zkonstruovaný EFF pro prolomení šifry DES Modifikace algoritmu TDES měnící prostřední šifrování na dešifrování (Encryption – Decryption – Encryption) Dynamic Invocation Interface - CORBA client-side API Domain Name System Security Extensions – rozšíření protokolu DNS o transakční signatury a další bezpečnostní opatření Denial of Service – útok odepřením služby Digital Rights Management – řízení přístupu k digitálním médiím.Například Wikipedie to nazývá Digital Restriction Management Digital Signature Algorithm – elektronický podpis (např. dle standardu FIPS – 186-2) Digital Signature Standard - standard pro digitální podpisy. Standard má číslo FIPS-186 CSPRNG použitý v NIST SP 800-90 Evaluation Assurance Level – mezinárodní standard pro zabezpečení počítačů Electronic Code Book – typ operačního módu blokové šifry Eliptic Curve Cryptography – kryptografie pomocí eliptických křivek Error Correction Code -kódy opravující chyby v datech Eliptic Curve Diffie Hellman – modifikace DH algoritmu založená ECC Elliptic Curve DSA – Varianta algoritmu DSA využívající eliptických křivek. Eliptic Curve Menezes-Qu-Vanstone – algoritmus klíčové shody Encryption Decryption Encryption – algoritmus zesilující šifru DES (TDES) Eliptic Curve DSA – DSA standard užívající eliptické křivky Electronic Frontier Foundation – americká nevýdělečná organizace, která si vytkla za cíl podporovat svobodu slova v prostředí elektronických médií a komunikace Encrypted Key Exchange – metoda přenosu tajného klíče mezi dvěma subjekty Encryption Mode with CBC - mód blokové šifry používaný pro šifrování dat v prostředí paměťových médií (wide block). Einstein Podolsky Rosen paradox – jeden ze základních postulátů kvantové fyziky transakční FS používaný v prostředí LINUXu Fiber Channel Security – bezpečnostní framework pro Fiber Channel
FIPS
FIPS 140 FIPS PUB FS GCM GET GCHQ
GMAC GMP GNFS GOST GSL HIDS HMAC I/O IBM IDEA IEC
IEEE IEEE - PKIX IEEE P1619.x IMAP
IPsec IPv4 ISO
Federal Information Processing Standards – americký národní standard pro veřejnou správu (např. Standard FIPS – 46 je DES) Americký standard FIPS pro krypto moduly (FIPS 140 – 2) FIPS PUB – znamená veřejně dostupné materiály. Patři mezi ně i 140-2 File System – souborový systém Galoise Counter Mode – autentizačně šifrovací mód provádějící operacena na Galoisovými tělesy HTTP požadavek Government Communications Headquarters – Britská zpravodajská agentura mající za úkol elektronickou špionáž ve stylu NSA Galoise Counter Mode MAC – MAC založený na operacích prováděných na Galoisových tělesech GNU Multiple-Precision Library – knihovna pro výpočty v plovoucí desetiné čárce General Number Field Sieve – metoda pro faktorizaci velkých čísel Akronym pro standardizační úřad Společenství nezávislých států GNU Scientific Library – knihovna pro matematické výpočty v jazyce C Host Intrusion Detection System – prostředek detekce průniku do hostitelského počítače. keyed-Hash Message Authentication Code – algoritmus pro MAC Input / Output International Business Machines Corporation, alias Big Blue International Data Encryption Algorithm – bloková šifra k níž vlastní práva firma MediaCrypt Inc. The International Electrotechnical Commission – nezisková mezinárodní organizace vytvářející standardy pro elektrotechnický průmysl Institute of Electrical and Electronics Engineers, Inc. mezinárodní asociace elektrotechnických inženýrů IETF public key infrastructure (X.509) – Standard pro X.509 certifikáty pracovní skupina IEEE pro ukládání dat Internet Message Access Protocol – protokol umožňující klientům přistupovat k e-milu na vzdáleném serveru. Poslední verze IMAP rev4 je popsána v RFC - 3501. Internet Protocol Security - protokol pro vytváření šifrovaných spojení na 3. vrstvě OSI TCP/IP protokol verze 4. International Organization for Standardization – mezinárodní standardizační výbor
IV LDAP LRW LVM MAC MARS MD5 Digest MGF MUNTL NIST
NSA
OFB ORACLE ORB OS OTP OWHF PFS
PKCS
PKCS
PKI PKIX PRF PRNG
Initialization Vector – inicializační vektor Lightweight Directory Access Protocol – adresářová služba odvozená od X.500. Poslední verze je popsána RFC - 4510. Liskov Rivest Wagner – mód blokové šifry používaný pro šifrování dat v prostředí paměťových médií (narrow block). Logical Volume Manager – alokátor diskového prostoru Media Access Control, Mandatory access control, nebo Message Authentication Code – zde autentizace správy neúspěšný kandidát na standard AES, navržený IBM. Message Digest 5 - hashovací algoritmus dle standardu RFC 1321 Mask Generation Function – součást kryptografických primitiv MFG1 Multiprecision unsigned number template library – knihovna pro práci s velmi velkými čísly National Institute of Standards and Technology – americký úřad pro standardizaci podřízená ministerstvu obchodu (US Department of Commerce) National Security Agency - amarický úřad pro bezpečnost. Náplní je elektronická špionáž a souvuisející aktivity. Někdy přezdívaná také “Never Say anything“, nebo „No Such Agency“ Output Feedback - typ operačního módu blokové šifry zde název DB stroje Object Request Broker – část rozhraní pro síťovou komunikaci v prostředí CORBA Opearating System – operační systém počítače One Time Pad – jednorázová šifra One Way Hash Function – jednosměrná hašovací funkce Perfect Forward Secrecy – vlastnost šifry s veřejným klíčem zajišťující, že není možné v budoucnu odvodit klíč použitý pro spojení v algoritmech klíčové shody Public Key Cryptography Standards – standard definovaný firmou RSA Inc., např.:PKCS#1 je definice RSA algoritmu (RFC – 3447), PKCS#3 je standardem pro DH klíčovou shodu, atd. Public Key Cryptography Standards – standard definovaný firmou RSA Inc., např.:PKCS#1 je definice RSA algoritmu (RFC – 3447), PKCS#3 je standardem pro DH klíčovou shodu, atd. Public Key Infrastructure Public-Key Infrastructure (X.509) – CA standard založený na adresářové službě X.500, jepopsán RFC – 3280 Pseudo Random Function – idealizovaná funkce realizující náhodný zdroj dat Pseudo Random Number Generator – Generátor pseudonáhodných čísel
RAID RapidSSL RC2,4,5,6 rDSA
RIJNDAEL RIPEM RSA RSA BSAFE RSA-OAEP RSA-PSS S/MIME SAN SHA-1
SHA-2
SHS SKIPJACK
SOH srand() SSH SSL SUN PKCS 11 SUN SASL tamper-proof
TCSEC TDES
Redundant Array of Independent Disks – termín z ukládání dat a znamená pole disků spojených do funkční skupiny. Společnost provozující certifikační autoritu Rivest Cipher – šifra označována podle tvůrce této série Ronalda Rivesta Digital Signatures Using Reversible Public Key Cryptography for the Financial Services Industry – systém s extrakcí tajného klíče. Původní název pro šifru, která se stala standardem AES. hashovací algoritmus Rivest Shamir Adelman – asymetrický šifrovací algoritmus, též zkratka firmy RSA Inc. Knihovna firmy RSA Inc. Pro výpočty a operace odpovídající standardu FIPS 140. Optimal Asymmetric Encryption Padding (OAEP) with RSA – doplňovací schéma pro algoritmus RSA RSA Probabilistic Signature Scheme – algoritmus pro elektronické podepisování pomocí algoritmu RSA Secure / Multipurpose Internet Mail Extensions – standard pro šifrování s veřejně přístupým klíčem pro elektronickou poštu Storage Area Network -síť pro ukládání dat Secure Hash Algorithm – standard elektronického podpisu )patří sem i SHA-224, SHA-256, SHA-384, SHA-512 – FIPS PUB 180-1) Secure Hash Algorithm – standard elektronického podpisu )patří sem i SHA-224, SHA-256, SHA-384, SHA-512 – FIPS PUB 180-1) Secure Hash Standard – bezpečný hašovací algoritmus (např.NIST FIPS 180 - 2) Americký standard pro blokovou šifru s možností odkrytí klíče státními orgány a zároveň bloková šifra vyvinutá pro čip clipper. Start of Header – znak ASCII 01h Funkce jazyka C pro generování pseudonáhodného výstupu Secure Shell – komunikační protokol nahrazující protokol telnet. Security Socket Layer – předchůdce protokolu TSL. Implementace PKCS standardu v prostředí JAVA firmou SUN SUN Simple Authentication and Security Layer – implementace SASL protokolu RFC – 2222. odolnost proti průniku do chráněného zařízení nepovolanou osobou, nebo nežádoucí změna vyvolaná takovou osobou v důsledku průniku Trusted Computer System Evaluation Criteria – Předchůdce CC. Triple DES - zesílená varianta DES (FIPS – 46 – 3)
TEMPEST TLS TOE TrueCrypt TWOFISH URL X9.17 – 1998 X9.31 XEX XOR XTS-AES
XTS-HMAC-SHA YARROW
Transient Electromagnetic Pulse Emission Standard – standard pro elektromagnetickou emisi Transport Layer Security – protokol zajišťující zabezpečené přenášení dat v prostředí Internetu Target of Evaluation – součást standardu FIPS 140-2 Počítačový program určený pro šifrování dat na paměťových médiích neúspěšný kandidát na standard AES, odvozený ze šifry BLOWFISH. Uniform Resource Locator – synonimum pro URI (Uniform Resource Identifier- RFC – 1630) standard pro CPRNG standard pro CPRNG, inovovaná verze X9.17 – 1998 Xor Encryption Xor - mód blokové šifry používaný pro šifrování dat v prostředí paměťových médií (narrow block). eXclusive OR – výhradní shoda XEX-based Tweaked CodeBook – AES – algoritrmus pro šifrování dat v prostředí paměťových médií s nesoudělnou délkou bloku algoritmus pro šifrování dat v prostředí zálohovacíchj médií, jako jsou např.: pásky CPRNG zkonstruovaný R. Schneirem a dalšími
