Mijający rok w kryptografii i kryptoanalizie

Prezentacja na temat: "Mijający rok w kryptografii i kryptoanalizie"— Zapis prezentacji:

1 Mijający rok w kryptografii i kryptoanalizie
Krzysztof Gaj Electrical and Computer Engineering George Mason University Mijający rok w kryptografii i kryptoanalizie przegląd wydarzeń, nowości i tendencji

2 eSTREAM Funkcje skrótu eBATS & CACE Nowe Normy Nowe Ataki

3 eSTREAM Funkcje skrótu eBATS & CACE Nowe Normy Nowe Ataki

4 Wszystkie analizowane algorytmy odrzucone ze względu
NESSIE: Zwycięzcy konkursu Szyfry Strumieniowe Wszystkie analizowane algorytmy odrzucone ze względu na wykryte słabości

5 na szyfr strumieniowy (1)
eSTREAM – konkurs na szyfr strumieniowy (1) PROFIL 1 Szyfr strumieniowy dostosowany do implementacji programowych o dużej szybkości Długość klucza bitów Wektor inicjalizacyjny – 64 bity i 128 bitów PROFIL 2 Szyfr strumieniowy dostosowany do implementacji sprzętowych z ograniczona pojemnością pamięci, liczbą bramek lub poborem mocy Długość klucza - 80 bitów Wektor inicjalizacyjny – 32 bity i 64 bitów

6 Konkurs na szyfr strumieniowy (3)
Planowany harmonogram XI Wezwanie do zgłaszania algorytmów 29.IV Termin nadsyłania zgłoszeń 26-28.V Warsztaty w Aarchus, Dania III Koniec Fazy I VII Początek Fazy II 31.I.-01.II Warsztaty SASC w Bochum, Niemcy III Publikacja raportu z Fazy II IV Rozpoczęcie Fazy III 13-14.II Warsztaty SASC w Lozannie, Szwajcaria 15.V Publikacja końcowego raportu czas

7 eSTREAM: Faza 1 IV. 2005-III. 2006 34 szyfry 9 13 12 Software
Software & Hardware Hardware 9 13 12 ABC CryptMT/Fubuki DICING DRAGON Frogbit A HC-256 Mir-1 Py SOSEMANUK F-FCSR Hermes8 LEX MAG NLS A Phelix A Polar Bear POMARANCH Rabbit SSS A TRBDK3 YAEA Yamb Salsa20 Achterbahn DECIM Edon-80 Grain MICKEY MOSQUITO SFINKS A Trivium TSC-3 VEST A WG Zk-Crypt

8 eSTREAM: Faza 2 IV. 2006-III. 2007 34 szyfry 13 21 Software Hardware
17 pozostałych 13 21 Achterbahn-128/80 DECIM v2 Edon-80 F-FCSR-H (-16) Hermes8 LEX MICKEY v2 MOUSTIQUE NLS v2 A Polar Bear v2 POMARANCH v3 Rabbit Salsa20 TSC-4 VEST (P2) A WG (P2) Zk-Crypt (P2) A DRAGON HC-128 (-256) LEX Py Salsa20 SOSEMANUK ABC v3 CryptMT v3 DICING (P2) NLS v A Phelix A Polar Bear v2 Rabbit 6 czołowych (“focus”) 4 czołowych (“focus”) Grain v1 MICKEY-128 v2 Phelix A Trivium 7 pozostałych

9 eSTREAM: Faza 3 IV. 2007-III. 2008 16 szyfrów 8 8 Software Hardware
CryptMT (CryptMT Version 3) Dragon HC (HC-128 and HC-256) LEX (LEX-128, LEX-192 and LEX-256) NLS (NLSv2, encryption-only) Rabbit Salsa20 SOSEMANUK DECIM (DECIM v2 and DECIM-128) Edon80 F-FCSR (F-FCSR-H v2 and F-FCSR-16) Grain (Grain v1 and Grain-128) MICKEY (MICKEY 2.0 and MICKEY ) Moustique Pomaranch (Pomaranch Version 3) Trivium

10 eSTREAM: Kryteria oceny kandydatów w Fazie 3
Bezpieczeństwo Wyniki implementacji w porównaniu do szyfru AES i innych kandydatów Elastyczność Łatwość implementacji

11 Porównanie kandydatów w profilu programowym
Daniel Bernstein, The University of Illinois at Chicago Marzec 2008 Metodologia Pomiary dla: 10 różnych mikroprocesorow 6 różnych scenariuszy aplikacji “long”: Szyfrowanie jednego długiego strumienia danych “agility”: Szyfrowanie wielu równoległych strumieni danych z różnymi kluczami w 256 bajtowych blokach “1500”: Zmiana IV i szyfrowanie 1500-bajtowego pakietu “576”: Zmiana IV i szyfrowanie bajtowego pakietu “40”: Zmiana IV i szyfrowanie bajtowego pakietu “40k”: Zmiana klucza, zmiana IV i szyfrowanie 40-bajtowego pakietu

12 Typy mikroprocesorów używanych w pomiarach

13 Przykładowy arkusz wyników
D. Bernstein, III.2008

14 Wyniki Implementacji Programowych Intel Pentium M 1700 MHz
Salsa20/8 Salsa20/12

15 Porównanie kandydatów w profilu sprzętowym
George Mason University Metodologia implementacja i analiza wszystkich kandydatów w profilu sprzętowym zakwalifikowanych do Fazy 3, (łącznie 15 implementacji 8 szyfrów i ich wersji) szyfry zaimplementowane początkowo przez studentów w ramach regularnego przedmiotu, a następnie optymalizowane przez członków grupy badawczej układy FPGA serii Spartan 3 o małej powierzchni i niskim koszcie pewne optymalizacje specyficzne dla układów FPGA firmy Xilinx

16 Porównanie kandydatów w profilu sprzętowym Szybkość/Powierzchnia
FPGA: Xilinx Spartan 3 Kandydat Powierzchnia (CLB slices) Szybkość/Powierzchnia (Mbps/slices) Grain v1 44 Trivium (x64) 39.26 Grain 128 50 Grain 128 (x32) 7.97 Trivium Grain v1 (x16) 5.98 DECIM v2 80 4.80 DECIM 128 89 F-FCSR-16 4.53 MICKEY 2.0 115 4.45 MICKEY 176 3.92 Moustique 278 F-FCSR-H v2 3.23 342 2.03 Trivium (x64) 344 1.27 Grain v1 (x16) 348 0.81 473 0.58 534 0.49 Pomaranch 648 Edon80 0.10 1284 0.08

17 Porównanie kandydatów w profilu sprzętowym
T. Good and M. Benaissa, University of Sheffield, UK Metodologia implementacja i analiza wszystkich kandydatów w profilu sprzętowym zakwalifikowanych do Fazy 3, (łącznie 27 implementacji 8 szyfrów i ich wersji) implementacje w technologii ASIC zoptymalizowane dla następujących warunków/aplikacji: - maksymalna częstotliwość zegara lokalna sieć bezprzewodowa (WLAN, 10 Mbit/s) - bezprzewodowe sieci sensorowe i układy RFID (100 kHz) podstawowe zbiorcze kryterium iloczyn: moc*powierzchnia*czas dwa dodatkowe kryteria: elastyczność i łatwość implementacji

18 Porównanie kandydatów w profilu sprzętowym
ASICs: 0.13 m

19 eSTREAM: Ranking kandydatów przez uczestników warsztatów SASC 2008
Software Hardware 8 8

20 Komisja Ranking brany pod uwagę, ale ostateczna decyzja podjęta przez Komisję

21 (zwycięzcy konkursu, IV. 2008)
eSTREAM Portfolio (zwycięzcy konkursu, IV. 2008) 8 szyfrów Software Hardware 4 4 HC-128 Rabbit Salsa20/12 SOSEMANUK F-FCSR-H v2 Grain v1 MICKEY v2 Trivium 128 bitów klucza 80 bitów klucza

22 eSTREAM Portfolio PROFIL 1 - Oprogramowanie
HC Hongjun Wu COSIC, KU Leuven Belgia Rabbit - Martin Boesgaard, Mette Vesterager, Thomas Christensen and Erik Zenner CRYPTICO A/S Dania Salsa20/12 - Daniel Bernstein University of Illinois at Chicago USA SOSEMANUK - Come Berbain, Olivier Billet, Anne Canteaut, Nicolas Courtois, Henri Gilbert, Louis Goubin, Aline Gouget, Louis Granboulan, Cédric Lauradoux, Marine Minier, Thomas Pornin, Hervé Sibert Francja

23 eSTREAM Portfolio PROFIL 2 - Sprzęt
F-FCSR-H v2 - Thierry Berger, François Arnault and Cédric Lauradoux XLIM, Universite de Limoges, INRIA Francja Grain v1 - Martin Hell1, Thomas Johansson1 and Willi Meier2 Lund University, Szwecja & FH Aargau, Szwajcaria MICKEY v2 - Steve Babbage1 and Matthew Dodd2 1Vodafone Group R&D, 2niezalezny konsultant Wlk. Brytania Trivium - Christophe De Cannière and Bart Preneel COSIC, KU Leuven Belgia

24 Grain: Keystream Generator
zi keystream

25 LFSR = Linear Feedback Shift Register
przykład 5-stopniowego liniowego rejestru przesuwającego ze sprzężeniem zwrotnym si si+1 si+2 si+3 si+4 si+5 si+5 = si + si+1 + si+3 + oznacza XOR

26 NFSR = Nonlinear Feedback Shift Register
przyklad 5-stopniowego nieliniowego rejestru przesuwającego ze sprzężeniem zwrotnym bi bi+1 bi+2 bi+3 bi+4 bi+5 bi+5 = bibi+1 + bi+3 + oznacza XOR bmbn oznacza bm AND bn

27 Trivium – Schemat Blokowy
s286s287 s69 t3 t1 t2 s91s92 s264 s171 s175s176

28 Optymalizacja szybkości szyfrów opartych na rejestrach przesuwających
si+81 si+80 si+80 si si+79 si si+1 si+79 d=1 d=2 Si+80=si+62 + si+52 + si+38 + si+23 + si+13 + si Si+81=si+63 + si+53 + si+39 + si+24 + si+14 + si+1

29 Implementacja szyfrów eSTREAM w sprzęcie
FPGA: Xilinx Spartan 3 Przepustowość [Mbit/s] Legenda: T64 12000 G – Grain M – Mickey T – Trivium 10000 8000 T32 6000 4000 T16 G16 2000 G8 T8 G4 G2 G1 M T1-4 Powierzchnia [CLB slices] 50 100 150 200 250 300 350 400

30 Różnice pomiędzy konkursami eSTREAM i AES
Opracowanie normy w dziedzinie szyfrów blokowych Stymulacja badań w dziedzinie szyfrów strumieniowych Cel Szyfr efektywny w oprogramowaniu i w sprzęcie Osobne kategorie dla szyfrów efektywnych w oprogramowaniu i w sprzęcie Wymagania Portfolio 4 szyfrów w każdej z dwóch kategorii Rezultat 1 zwycięzca Tylko drobne poprawki akceptowane w trakcie konkursu Nowe wersje szyfrów akceptowane w trakcie konkursu Poprawki

31 eSTREAM: Wnioski Trudności w konstrukcji bezpiecznego szyfru samosynchronizującego. Wszystkie szyfry zakwalifikowane do portfolio to szyfry synchroniczne. Trudności z dodaniem funkcji uwierzytelniania do szyfru strumieniowego. Trudności w ocenie bezpieczeństwa kandydatów: - Ograniczona ilość czasu na badania. - Brak zgodności odnośnie znaczenia określonych ataków Część kandydatów (np. TPy) wyeliminowana w oparciu o rzekome ataki naruszające założenia sformułowane przez autorów szyfru.

32 eSTREAM: Wnioski TPy, Phelix – wyeliminowane w oparciu o rzekome ataki
Istnieją szyfry, które albo w ogóle nie startowały w konkursie (jak np. SNOW 2.0) lub też zostały wyeliminowane w trakcie konkursu, takie jak TPy, Phelix – wyeliminowane w oparciu o rzekome ataki Lex – szyfr oparty o AES Moustique – szyfr samosynchronizujący się, które w dalszym ciągu warte są dalszych badań i powinny być rozważane jako poważni kandydaci do przyszłych norm.

33 eSTREAM Funkcje skrótu eBATS & CACE Nowe Normy Nowe Ataki

34 Stan funkcji skrótu MD4 MD5 SHA-0 RIPEMD SHA-1 RIPEMD-160
złamana; Wang, Feng, Lai, Yu, Crypto 2004 (ręcznie, bez pomocy komputera) MD4 złamana; Wang, Feng, Lai, Yu, Crypto 2004 (ręcznie, bez pomocy komputera) MD5 atak z 240 operacji Crypto 2004 SHA-0 RIPEMD złamana; Wang, Feng, Lai, Yu Crypto 2004 (1 godz. na PC) atak z 263 operacji Wang, Yin, Yu, sierpień 2005 SHA-1 RIPEMD-160 SHA-256, SHA-384, SHA-512

35 Konkurs na nową funkcję skrótu
Kalendarium (1) 2007 Sprecyzowanie: minimalnych kryteriów akceptacji nowej funkcji skrótu wymagań na zgłoszenia kryteriów ewaluacji 29.X Wezwanie do zgłaszania kandydatów na konkurs 2008 31.X.2008 – termin nadsyłania zgłoszeń 2009 2 kwartał – pierwsza konferencja poświęcona prezentacji funkcji nadesłanych na konkurs

36 Konkurs na nowa funkcje skrótu
Kalendarium (2) 2010 2 kwartał – druga konferencja, poświęcona wynikom analizy funkcji nadesłanych na konkurs 3 kwartał - wybór finalistów i publikacja raportu z pierwszej rundy 4 kwartał - autorzy wybranych funkcji mają możliwość wprowadzenia drobnych poprawek do ich algorytmów 2012 1 kwartał – ostatnia konferencja konkursu dyskusja nad komentarzami nadesłanymi na temat finałowych algorytmów 2 kwartał – wybór zwycięzcy konkursu i publikacja końcowego raportu 3 kwartał – publikacja roboczej wersji normy 4 kwartał – publikacja finalnej wersji normy

37 Podstawowe wymagania na nową funkcję skrótu
Musi zapewniać skróty o długości 224, 256, 384 i 512 bitów Dostępna na całym świecie bez opłat licencyjnych Zdolna do ochrony wrażliwych informacji przez dziesiątki lat Odpowiednia do użycia w ramach - podpisów cyfrowych FIPS 186-2 - kodów uwierzytelniających wiadomość, HMAC, FIPS 198 - schematów uzgadniania kluczy, SP A - generatorów liczb losowych, SP Bezpieczeństwo co najmniej takie samo jak algorytmów rodziny SHA-2, przy znacznie poprawionej efektywności

38 Pożądane własności nowej funkcji skrótu
Możliwość zrównoleglenia obliczeń Atak na SHA-2 nie powinien prowadzić do ataku na SHA-3 Elastyczny dla dużego zakresu aplikacji i typów implementacji Preferowana jedna rodzina dla wszystkich długości skrótu Wybieralny parametr bezpieczeństwa, taki jak liczba rund, z zaleceniami odnośnie właściwej wartości Złożoność ataku znajdującego Kolizje: n/2 Przeciwobrazy: 2n Drugie przeciwobrazy: 2n-k, dla wiadomości o długości mniejszej niż 2k

39 Międzynarodowe Warsztaty Quo vadis cryptology 2008 Hash Functions and Stream Ciphers
piątek, 30 maja, hotel LORD Zaproszeni wykładowcy: Prof. Vincent Rijmen, KU Leuven and Graz University of Technology Prof. Bart Preneel, KU Leuven Prof. Josef Pieprzyk, Macquarie University, Sydney, Australia  Dr Krystian Matusiewicz, Technical University of Denmark  Moderatorzy: Dr Krzysztof Gaj, George Mason University, USA  Dr Arkadiusz Orlowski, Instytut Fizyki PAN & Katedra Informatyki SGGW

40 eSTREAM Funkcje skrótu eBATS & CACE Nowe Normy Nowe Ataki

41 eBATS eCRYPT Benchmarking of AsymmeTric Systems ( BAT = nietoperz )
Nowy projekt w ramach eCRYPT, którego celem jest zmierzenie różnic pomiędzy szybkością różnych systemów asymetrycznych (publicznego klucza)

42 eBATS Pomysłodawcy: Daniel Bernstein - University of Illinois at Chicago, USA Tanja Lange Technische Universiteit Eindhoven, Holandia Początek: końcówka roku 2006 Strona www:

43 eBATS Cel: Pomiar czasu i ilości pamięci wymaganej przez
asymetryczne systemy podpisów cyfrowych szyfrowania / wymiany kluczy dzielenia sekretu

44 eBATS oparty jest o publiczne nadsyłanie
BATs - Benchmarkable Asymmetric Tools BAT to implementacja kryptosystemu publicznego klucza przy użyciu kilku funkcji ze standardowym interfejsem Na przykład: keypair() do generacji kluczy ciphertext() do szyfrowania plaintext() do deszyfrowania

45 BATMAN Benchmarking of Asymmetric Tools
on Multiple Architectures, Non-Interactively Pomiary czasu i zajętości pamięci wykonywane są automatycznie na wielu komputerach przy użyciu środowiska programowego o nazwie BATMAN BATMAN jest dostępny pod adresem

46 BATMAN Rezultaty pokazują,
który kryptosystem jest szybszy na danym komputerze która implementacja określonego kryptosystemu jest szybsza na danym komputerze który komputer jest szybszy dla danej implementacji określonego kryptosystemu BATMAN sam wybiera najlepszy kompilator najlepsze opcje kompilatora

47 eBATS eBATS umożliwia zgłaszanie i testowanie - nowego kryptosystemu
- nowej implementacji znanego kryptosystemu - nowego komputera do pomiarów wszystkich dotychczas zgłoszonych implementacji Implementacje mogą być zoptymalizowane - dla określonego typu procesora, komputera, i systemu operacyjnego - dla określonego rozmiaru klucza Wszystkie implementacje korzystają z tych samych - funkcji skrótu - generatora liczb pseudolosowych

48 eBATS Wybrane zgłoszenia Schematy podpisów: w sumie 110 przypadków
donald 1024 – 1024-bitowy DSA ecdonald ECDSA z różnymi krzywymi NIST ronald k k-bitowy RSA, k=1024, 2048, 4096 Sflashv podpis SFLASHv2 Rainbow podpis Rainbow bls krótkie podpisy BLS itd., itp. w sumie 110 przypadków

49 Warsztaty SPEED Software Performance Enhancement for Encryption and Decryption
11-12 czerwca 2007, Amsterdam, Holandia Zaproszeni wykładowcy: Daniel J. Bernstein (University of Illinois at Chicago, USA) Torbjörn Granlund (SWOX, Sweden) Dag Arne Osvik (EPFL, Switzerland) Daniel Page (University of Bristol, UK) Matt Robshaw (France Telecom R+D, France)

50 Projekt eBATS Końcowy raport oczekiwany w maju 2008 roku
Planowane rozszerzenia do pomiarów: - funkcji skrótu - kryptosystemow opartych na tożsamości (identity based cryptosystems), itp.

51 Projekt CACE CACE = Computer Aided Cryptographic Engineering = Komputerowo Wspomagana Inżynieria Kryptograficzna Autorzy pomysłu: Dan Page, Andrew Moss, Manuel Barbosa, Nigel Smart, i inni University of Bristol, UK Cel: Stworzenie zestawu narzędzi (toolset) wspomagających tworzenie wysokiej jakości oprogramowania kryptograficznego

52 Projekt CACE Narzędzia zestawu powinny zapewniać w szczególności:
istotne skrócenie czasu programowania poprzez opis algorytmów, schematów i protokołów na wyższym poziomie abstrakcji pełne wykorzystanie istniejących bibliotek automatyczną generację zoptymalizowanego kodu pełne wykorzystanie możliwości określonego mikroprocesora poprawienie przenośności oprogramowania i zdolności do jego rozwoju zwiększenie bezpieczeństwa implementacji np. poprzez automatyczna generację kodu odpornego na ataki z kanałem pobocznym, np. ataki czasowe i ataki z wykorzystaniem pamięci podręcznej (cache) automatyczna weryfikacje wygenerowanego kodu pod kątem odporności na znane ataki

53 Projekt CACE Istniejące narzędzia Niskiego poziomu:
qhasm - - programowanie w wysokiego poziomu asemblerze - pozwala na proste opisanie operacji wektorowych i zmiennoprzecinkowych - wykorzystywany przy implementacji Salsa20, Poly1305 Średniego poziomu: CAO - - prosty opis schematów opartych na krzywych eliptycznych - automatyczna optymalizacja wygenerowanego kodu

54 Projekt CACE Istniejące narzędzia Wysokiego poziomu:
Sokrates - Współpraca pomiędzy uniwersytetami w Bernie, Bochum, oraz firmą IBM. - wysokiego poziomu opis protokołów wiedzy zerowej - automatyczna generacja programów realizujących obie strony protokołu

55 eSTREAM Funkcje skrótu eBATS & CACE Nowe Normy Nowe Ataki

56 Nowe amerykańskie normy federalne FIPS
FIPS Secure Hash Standard (SHS) wersja robocza, 12.VI.2007 FIPS The Keyed-Hash Message Authentication Code HMAC FIPS Security Requirements for Cryptographic Modules wersja robocza, 13.VII.2007 FIPS Dodatki na temat silnych liczb pierwszych w kryptosystemie RSA, wersja robocza, 28.XII.2007

57 Nowe amerykańskie specjalne publikacje NIST (niemal równoważne z normą FIPS)
SP D Galois Counter Mode (Tryb pracy GCM) XI.2007 SP Guide to SSL VPNs wersja robocza, 2.VIII.2007 SP Recommendation for Key Derivation Using Pseudorandom Functions wersja robocza, 1.V.2008 SP Guide to General Server Security wersja robocza, 6.V.2008 i wiele innych dostępnych na stronie:

58 eSTREAM Funkcje skrótu eBATS & CACE Nowe Normy Nowe Ataki

59 Wybrane ataki odkryte w ciągu ostatniego roku
Generator Liczb Losowych w wersji biblioteki OpenSSL Linuxowego Projektu z jawnym źródłem Debian Ataki kryptograficzne na protokół oparty o szyfr Crypto-1 stosowany w kartach elektronicznych Mifare Mini, 1K i 4K firmy NXP Semiconductors (dawniej Philips) … i wiele innych

60 Dziękuję! Pytania???