Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Krzysztof Gaj Electrical and Computer Engineering George Mason University Mijający rok w kryptografii i kryptoanalizie -przegląd wydarzeń, nowości i tendencji.

Podobne prezentacje


Prezentacja na temat: "Krzysztof Gaj Electrical and Computer Engineering George Mason University Mijający rok w kryptografii i kryptoanalizie -przegląd wydarzeń, nowości i tendencji."— Zapis prezentacji:

1 Krzysztof Gaj Electrical and Computer Engineering George Mason University Mijający rok w kryptografii i kryptoanalizie -przegląd wydarzeń, nowości i tendencji

2 eSTREAM Funkcje skrótu Nowe Normy Nowe Ataki eBATS & CACE

3 eSTREAM Funkcje skrótu Nowe Normy Nowe Ataki eBATS & CACE

4 NESSIE: Zwycięzcy konkursu Szyfry Strumieniowe Wszystkie analizowane algorytmy odrzucone ze względu na wykryte słabości

5 eSTREAM – konkurs na szyfr strumieniowy (1) PROFIL 1 Szyfr strumieniowy dostosowany do implementacji programowych o dużej szybkości Długość klucza bitów Wektor inicjalizacyjny – 64 bity i 128 bitów PROFIL 2 Szyfr strumieniowy dostosowany do implementacji sprzętowych z ograniczona pojemnością pamięci, liczbą bramek lub poborem mocy Długość klucza - 80 bitów Wektor inicjalizacyjny – 32 bity i 64 bitów

6 Konkurs na szyfr strumieniowy (3) Planowany harmonogram XI.2004 Wezwanie do zgłaszania algorytmów 29.IV.2005 Termin nadsyłania zgłoszeń V.2005 Warsztaty w Aarchus, Dania III.2006 Koniec Fazy I VII.2006 Początek Fazy II 31.I.-01.II.2007 Warsztaty SASC w Bochum, Niemcy III Publikacja raportu z Fazy II IV Rozpoczęcie Fazy III II.2008 Warsztaty SASC w Lozannie, Szwajcaria 15.V.2008 Publikacja końcowego raportu czas

7 eSTREAM: Faza 1 IV III ABC CryptMT/Fubuki DICING DRAGON FrogbitA HC-256 Mir-1 Py SOSEMANUK F-FCSR Hermes8 LEX MAG NLS A Phelix A Polar Bear POMARANCH Rabbit SSS A TRBDK3 YAEA Yamb Salsa20 Achterbahn DECIM Edon-80 Grain MICKEY MOSQUITO SFINKS A Trivium TSC-3 VEST A WG Zk-Crypt Software HardwareSoftware & Hardware szyfry

8 eSTREAM: Faza 2 IV III DRAGON HC-128 (-256) LEX Py Salsa20 SOSEMANUK ABC v3 CryptMT v3 DICING (P2) NLS v2 A Phelix A Polar Bear v2 Rabbit Achterbahn-128/80 DECIM v2 Edon-80 F-FCSR-H (-16) Hermes8 LEX MICKEY v2 MOUSTIQUE NLS v2 A Polar Bear v2 POMARANCH v3 Rabbit Salsa20 TSC-4 VEST (P2) A WG (P2) Zk-Crypt (P2) A Software Hardware szyfry 6 czołowych (focus) 7 pozostałych Grain v1 MICKEY-128 v2 Phelix A Trivium 4 czołowych (focus) 17 pozostałych

9 eSTREAM: Faza 3 IV III CryptMT (CryptMT Version 3) Dragon HC (HC-128 and HC-256) LEX (LEX-128, LEX-192 and LEX-256) NLS (NLSv2, encryption-only) Rabbit Salsa20 SOSEMANUK DECIM (DECIM v2 and DECIM-128) Edon80 F-FCSR (F-FCSR-H v2 and F-FCSR-16) Grain (Grain v1 and Grain-128) MICKEY (MICKEY 2.0 and MICKEY ) Moustique Pomaranch (Pomaranch Version 3) Trivium Software Hardware szyfrów

10 eSTREAM: Kryteria oceny kandydatów w Fazie 3 1.Bezpieczeństwo 2.Wyniki implementacji w porównaniu do szyfru AES i innych kandydatów 3.Elastyczność 4.Łatwość implementacji

11 Porównanie kandydatów w profilu programowym Daniel Bernstein, The University of Illinois at Chicago Marzec 2008 Metodologia Pomiary dla: 10 różnych mikroprocesorow 6 różnych scenariuszy aplikacji long: Szyfrowanie jednego długiego strumienia danych agility: Szyfrowanie wielu równoległych strumieni danych z różnymi kluczami w 256 bajtowych blokach 1500: Zmiana IV i szyfrowanie 1500-bajtowego pakietu 576: Zmiana IV i szyfrowanie 576-bajtowego pakietu 40: Zmiana IV i szyfrowanie 40-bajtowego pakietu 40k: Zmiana klucza, zmiana IV i szyfrowanie 40-bajtowego pakietu

12 Typy mikroprocesorów używanych w pomiarach

13 Przykładowy arkusz wyników D. Bernstein, III.2008

14 Wyniki Implementacji Programowych Intel Pentium M 1700 MHz Salsa20/12 Salsa20/8

15 Porównanie kandydatów w profilu sprzętowym implementacja i analiza wszystkich kandydatów w profilu sprzętowym zakwalifikowanych do Fazy 3, (łącznie 15 implementacji 8 szyfrów i ich wersji) szyfry zaimplementowane początkowo przez studentów w ramach regularnego przedmiotu, a następnie optymalizowane przez członków grupy badawczej układy FPGA serii Spartan 3 o małej powierzchni i niskim koszcie pewne optymalizacje specyficzne dla układów FPGA firmy Xilinx Metodologia George Mason University

16 KandydatPowierzchnia (CLB slices) KandydatSzybkość/Powierzchnia (Mbps/slices) Grain v144Trivium (x64)39.26 Grain 12850Grain 128 (x32)7.97 Trivium50Grain v1 (x16)5.98 DECIM v280Trivium4.80 DECIM 12889F-FCSR MICKEY Grain v14.45 MICKEY Grain Moustique278F-FCSR-H v23.23 F-FCSR-H v2342MICKEY Trivium (x64)344MICKEY Grain v1 (x16)348Moustique0.81 F-FCSR-16473DECIM v20.58 Grain 128 (x32)534DECIM Pomaranch648Edon Edon801284Pomaranch0.08 Porównanie kandydatów w profilu sprzętowym FPGA: Xilinx Spartan 3

17 Porównanie kandydatów w profilu sprzętowym implementacja i analiza wszystkich kandydatów w profilu sprzętowym zakwalifikowanych do Fazy 3, (łącznie 27 implementacji 8 szyfrów i ich wersji) implementacje w technologii ASIC zoptymalizowane dla następujących warunków/aplikacji: - maksymalna częstotliwość zegara - lokalna sieć bezprzewodowa (WLAN, 10 Mbit/s) - bezprzewodowe sieci sensorowe i układy RFID (100 kHz) podstawowe zbiorcze kryterium iloczyn: moc*powierzchnia*czas dwa dodatkowe kryteria: elastyczność i łatwość implementacji Metodologia T. Good and M. Benaissa, University of Sheffield, UK

18 Porównanie kandydatów w profilu sprzętowym ASICs: 0.13 m

19 eSTREAM: Ranking kandydatów przez uczestników warsztatów SASC 2008 Software Hardware 88

20 Komisja Ranking brany pod uwagę, ale ostateczna decyzja podjęta przez Komisję

21 eSTREAM Portfolio (zwycięzcy konkursu, IV. 2008) HC-128 Rabbit Salsa20/12 SOSEMANUK F-FCSR-H v2 Grain v1 MICKEY v2 Trivium Software Hardware 44 8 szyfrów 128 bitów klucza 80 bitów klucza

22 eSTREAM Portfolio HC Hongjun Wu COSIC, KU Leuven Belgia Rabbit- Martin Boesgaard, Mette Vesterager, Thomas Christensen and Erik Zenner CRYPTICO A/S Dania Salsa20/12 - Daniel Bernstein University of Illinois at Chicago USA SOSEMANUK - Come Berbain, Olivier Billet, Anne Canteaut, Nicolas Courtois, Henri Gilbert, Louis Goubin, Aline Gouget, Louis Granboulan, Cédric Lauradoux, Marine Minier, Thomas Pornin, Hervé Sibert Francja PROFIL 1 - Oprogramowanie

23 eSTREAM Portfolio F-FCSR-H v2- Thierry Berger, François Arnault and Cédric Lauradoux XLIM, Universite de Limoges, INRIA Francja Grain v1- Martin Hell 1, Thomas Johansson 1 and Willi Meier 2 Lund University, Szwecja & FH Aargau, Szwajcaria MICKEY v2 - Steve Babbage 1 and Matthew Dodd 2 1 Vodafone Group R&D, 2 niezalezny konsultant Wlk. Brytania Trivium - Christophe De Cannière and Bart Preneel COSIC, KU Leuven Belgia PROFIL 2 - Sprzęt

24 Grain: Keystream Generator zizi keystream

25 LFSR = Linear Feedback Shift Register przykład 5-stopniowego liniowego rejestru przesuwającego ze sprzężeniem zwrotnym sisi s i+1 s i+2 s i+3 s i+4 s i+5 s i+5 = s i + s i+1 + s i+3 + oznacza XOR

26 bibi b i+1 b i+2 b i+3 b i+4 b i+5 b i+5 = b i b i+1 + b i+3 + oznacza XOR b m b n oznacza b m AND b n NFSR = Nonlinear Feedback Shift Register przyklad 5-stopniowego nieliniowego rejestru przesuwającego ze sprzężeniem zwrotnym

27 Trivium – Schemat Blokowy t3t3 t2t2 t1t1 s 91 s 92 s 171 s 175 s 176 s 264 s 286 s 287 s 69

28 Optymalizacja szybkości szyfrów opartych na rejestrach przesuwających d=1d=2 S i+80 =s i+62 + s i+52 + s i+38 + s i+23 + s i+13 + s i S i+81 =s i+63 + s i+53 + s i+39 + s i+24 + s i+14 + s i+1 sisi s i+79 s i+80 s i+81 sisi s i+1 s i+79

29 G1 G2 G4 G8 G16 M T64 T32 T16 T8 T1-4 G – Grain M – Mickey T – Trivium Legenda: Powierzchnia [CLB slices] Implementacja szyfrów eSTREAM w sprzęcie FPGA: Xilinx Spartan 3 Przepustowość [Mbit/s]

30 Różnice pomiędzy konkursami eSTREAM i AES AES eSTREAM Stymulacja badań w dziedzinie szyfrów strumieniowych Opracowanie normy w dziedzinie szyfrów blokowych 1 zwycięzca Portfolio 4 szyfrów w każdej z dwóch kategorii Szyfr efektywny w oprogramowaniu i w sprzęcie Osobne kategorie dla szyfrów efektywnych w oprogramowaniu i w sprzęcie Tylko drobne poprawki akceptowane w trakcie konkursu Nowe wersje szyfrów akceptowane w trakcie konkursu Cel Wymagania Rezultat Poprawki

31 eSTREAM: Wnioski Trudności w konstrukcji bezpiecznego szyfru samosynchronizującego. Wszystkie szyfry zakwalifikowane do portfolio to szyfry synchroniczne. Trudności z dodaniem funkcji uwierzytelniania do szyfru strumieniowego. Trudności w ocenie bezpieczeństwa kandydatów: - Ograniczona ilość czasu na badania. - Brak zgodności odnośnie znaczenia określonych ataków. Część kandydatów (np. TPy) wyeliminowana w oparciu o rzekome ataki naruszające założenia sformułowane przez autorów szyfru.

32 Istnieją szyfry, które albo w ogóle nie startowały w konkursie (jak np. SNOW 2.0) lub też zostały wyeliminowane w trakcie konkursu, takie jak – TPy, Phelix – wyeliminowane w oparciu o rzekome ataki – Lex – szyfr oparty o AES – Moustique – szyfr samosynchronizujący się, które w dalszym ciągu warte są dalszych badań i powinny być rozważane jako poważni kandydaci do przyszłych norm. eSTREAM: Wnioski

33 eSTREAM Funkcje skrótu Nowe Normy Nowe Ataki eBATS & CACE

34 MD4 MD5 SHA-0 SHA-1 RIPEMD RIPEMD-160 SHA-256, SHA-384, SHA-512 złamana; Wang, Feng, Lai, Yu Crypto 2004 (1 godz. na PC) atak z 2 40 operacji Crypto 2004 Stan funkcji skrótu złamana; Wang, Feng, Lai, Yu, Crypto 2004 (ręcznie, bez pomocy komputera) złamana; Wang, Feng, Lai, Yu, Crypto 2004 (ręcznie, bez pomocy komputera) atak z 2 63 operacji Wang, Yin, Yu, sierpień 2005

35 Konkurs na nową funkcję skrótu Kalendarium (1) 2007 Sprecyzowanie: minimalnych kryteriów akceptacji nowej funkcji skrótu wymagań na zgłoszenia kryteriów ewaluacji 29.X Wezwanie do zgłaszania kandydatów na konkurs X.2008 – termin nadsyłania zgłoszeń kwartał – pierwsza konferencja poświęcona prezentacji funkcji nadesłanych na konkurs

36 Konkurs na nowa funkcje skrótu Kalendarium (2) kwartał – druga konferencja, poświęcona wynikom analizy funkcji nadesłanych na konkurs 3 kwartał - wybór finalistów i publikacja raportu z pierwszej rundy 4 kwartał - autorzy wybranych funkcji mają możliwość wprowadzenia drobnych poprawek do ich algorytmów kwartał – ostatnia konferencja konkursu dyskusja nad komentarzami nadesłanymi na temat finałowych algorytmów 2 kwartał – wybór zwycięzcy konkursu i publikacja końcowego raportu 3 kwartał – publikacja roboczej wersji normy 4 kwartał – publikacja finalnej wersji normy

37 Podstawowe wymagania na nową funkcję skrótu Musi zapewniać skróty o długości 224, 256, 384 i 512 bitów Dostępna na całym świecie bez opłat licencyjnych Zdolna do ochrony wrażliwych informacji przez dziesiątki lat Odpowiednia do użycia w ramach - podpisów cyfrowych FIPS kodów uwierzytelniających wiadomość, HMAC, FIPS schematów uzgadniania kluczy, SP A - generatorów liczb losowych, SP Bezpieczeństwo co najmniej takie samo jak algorytmów rodziny SHA-2, przy znacznie poprawionej efektywności

38 Pożądane własności nowej funkcji skrótu Możliwość zrównoleglenia obliczeń Atak na SHA-2 nie powinien prowadzić do ataku na SHA-3 Elastyczny dla dużego zakresu aplikacji i typów implementacji Preferowana jedna rodzina dla wszystkich długości skrótu Wybieralny parametr bezpieczeństwa, taki jak liczba rund, z zaleceniami odnośnie właściwej wartości Złożoność ataku znajdującego -Kolizje: 2 n/2 -Przeciwobrazy:2 n -Drugie przeciwobrazy:2 n-k, dla wiadomości o długości mniejszej niż 2 k

39 Międzynarodowe Warsztaty Quo vadis cryptology 2008 Hash Functions and Stream Ciphers piątek, 30 maja, hotel LORD Zaproszeni wykładowcy: Prof. Vincent Rijmen, KU Leuven and Graz University of Technology Prof. Bart Preneel, KU Leuven Prof. Josef Pieprzyk, Macquarie University, Sydney, Australia Dr Krystian Matusiewicz, Technical University of Denmark Moderatorzy: Dr Krzysztof Gaj, George Mason University, USA Dr Arkadiusz Orlowski, Instytut Fizyki PAN & Katedra Informatyki SGGW Dr Krystian Matusiewicz, Technical University of Denmark

40 eSTREAM Funkcje skrótu Nowe Normy Nowe Ataki eBATS & CACE

41 eCRYPT Benchmarking of AsymmeTric Systems ( BAT = nietoperz ) Nowy projekt w ramach eCRYPT, którego celem jest zmierzenie różnic pomiędzy szybkością różnych systemów asymetrycznych (publicznego klucza) eBATS

42 Pomysłodawcy: Daniel Bernstein - University of Illinois at Chicago, USA Tanja Lange - Technische Universiteit Eindhoven, Holandia Strona www: Początek: końcówka roku 2006

43 Pomiar czasu i ilości pamięci wymaganej przez asymetryczne systemy podpisów cyfrowych szyfrowania / wymiany kluczy dzielenia sekretu Cel: eBATS

44 eBATS oparty jest o publiczne nadsyłanie BATs - Benchmarkable Asymmetric Tools BAT to implementacja kryptosystemu publicznego klucza przy użyciu kilku funkcji ze standardowym interfejsem Na przykład: keypair() - do generacji kluczy ciphertext() - do szyfrowania plaintext() - do deszyfrowania

45 Benchmarking of Asymmetric Tools on Multiple Architectures, Non-Interactively BATMAN Pomiary czasu i zajętości pamięci wykonywane są automatycznie na wielu komputerach przy użyciu środowiska programowego o nazwie BATMAN BATMAN jest dostępny pod adresem

46 BATMAN Rezultaty pokazują, który kryptosystem jest szybszy na danym komputerze która implementacja określonego kryptosystemu jest szybsza na danym komputerze który komputer jest szybszy dla danej implementacji określonego kryptosystemu BATMAN sam wybiera najlepszy kompilator najlepsze opcje kompilatora

47 eBATS eBATS umożliwia zgłaszanie i testowanie - nowego kryptosystemu - nowej implementacji znanego kryptosystemu - nowego komputera do pomiarów wszystkich dotychczas zgłoszonych implementacji Implementacje mogą być zoptymalizowane - dla określonego typu procesora, komputera, i systemu operacyjnego - dla określonego rozmiaru klucza Wszystkie implementacje korzystają z tych samych - funkcji skrótu - generatora liczb pseudolosowych

48 eBATS Schematy podpisów: donald 1024 – 1024-bitowy DSA ecdonald - ECDSA z różnymi krzywymi NIST ronald k - k-bitowy RSA, k=1024, 2048, 4096 Sflashv2 - podpis SFLASHv2 Rainbow - podpis Rainbow bls - krótkie podpisy BLS itd., itp. w sumie 110 przypadków Wybrane zgłoszenia

49 Warsztaty SPEED Software Performance Enhancement for Encryption and Decryption czerwca 2007, Amsterdam, Holandia Zaproszeni wykładowcy: Daniel J. Bernstein (University of Illinois at Chicago, USA) Torbjörn Granlund (SWOX, Sweden) Dag Arne Osvik (EPFL, Switzerland) Daniel Page (University of Bristol, UK) Matt Robshaw (France Telecom R+D, France)

50 Projekt eBATS Końcowy raport oczekiwany w maju 2008 roku Planowane rozszerzenia do pomiarów: - funkcji skrótu - kryptosystemow opartych na tożsamości (identity based cryptosystems), itp.

51 Projekt CACE CACE = Computer Aided Cryptographic Engineering = Komputerowo Wspomagana Inżynieria Kryptograficzna Autorzy pomysłu: Dan Page, Andrew Moss, Manuel Barbosa, Nigel Smart, i inni University of Bristol, UK Cel: Stworzenie zestawu narzędzi (toolset) wspomagających tworzenie wysokiej jakości oprogramowania kryptograficznego

52 Projekt CACE Narzędzia zestawu powinny zapewniać w szczególności: istotne skrócenie czasu programowania poprzez –opis algorytmów, schematów i protokołów na wyższym poziomie abstrakcji –pełne wykorzystanie istniejących bibliotek –automatyczną generację zoptymalizowanego kodu –pełne wykorzystanie możliwości określonego mikroprocesora poprawienie przenośności oprogramowania i zdolności do jego rozwoju zwiększenie bezpieczeństwa implementacji np. poprzez –automatyczna generację kodu odpornego na ataki z kanałem pobocznym, np. ataki czasowe i ataki z wykorzystaniem pamięci podręcznej (cache) -automatyczna weryfikacje wygenerowanego kodu pod kątem odporności na znane ataki

53 Projekt CACE Niskiego poziomu: qhasm - - programowanie w wysokiego poziomu asemblerze - pozwala na proste opisanie operacji wektorowych i zmiennoprzecinkowych - wykorzystywany przy implementacji Salsa20, Poly1305 Średniego poziomu: CAO - - prosty opis schematów opartych na krzywych eliptycznych - automatyczna optymalizacja wygenerowanego kodu Istniejące narzędzia

54 Projekt CACE Wysokiego poziomu: Sokrates - Współpraca pomiędzy uniwersytetami w Bernie, Bochum, oraz firmą IBM. - wysokiego poziomu opis protokołów wiedzy zerowej - automatyczna generacja programów realizujących obie strony protokołu Istniejące narzędzia

55 eSTREAM Funkcje skrótu Nowe Normy Nowe Ataki eBATS & CACE

56 Nowe amerykańskie normy federalne FIPS FIPS Secure Hash Standard (SHS) wersja robocza, 12.VI.2007 FIPS The Keyed-Hash Message Authentication Code HMAC wersja robocza, 12.VI.2007 FIPS Security Requirements for Cryptographic Modules wersja robocza, 13.VII.2007 FIPS Dodatki na temat silnych liczb pierwszych w kryptosystemie RSA, wersja robocza, 28.XII.2007

57 Nowe amerykańskie specjalne publikacje NIST (niemal równoważne z normą FIPS) SP D Galois Counter Mode (Tryb pracy GCM) XI.2007 SP Guide to SSL VPNs wersja robocza, 2.VIII.2007 SP Recommendation for Key Derivation Using Pseudorandom Functions wersja robocza, 1.V.2008 SP Guide to General Server Security wersja robocza, 6.V i wiele innych dostępnych na stronie:

58 eSTREAM Funkcje skrótu Nowe Normy Nowe Ataki eBATS & CACE

59 Wybrane ataki odkryte w ciągu ostatniego roku Generator Liczb Losowych w wersji biblioteki OpenSSL Linuxowego Projektu z jawnym źródłem Debian Ataki kryptograficzne na protokół oparty o szyfr Crypto-1 stosowany w kartach elektronicznych Mifare Mini, 1K i 4K firmy NXP Semiconductors (dawniej Philips) … i wiele innych

60 Pytania??? Dziękuję!


Pobierz ppt "Krzysztof Gaj Electrical and Computer Engineering George Mason University Mijający rok w kryptografii i kryptoanalizie -przegląd wydarzeń, nowości i tendencji."

Podobne prezentacje


Reklamy Google