TU Hamburg-Harburg Institut für Rechnertechnologie Theorie und Anwendungen von Tree Parity Machines für die Kryptographie Teil 2 Markus Volkmer markus.volkmer@tuhh.de TU Hamburg-Harburg Institut für Rechnertechnologie 1. Krypto-Wochenende Kloster Bronnbach 2006

1. Krypto-Wochenende Kloster Bronnbach 2006 Überblick Alternative kryptographische Primitive und Technologien ? Embedded Security, Ubiquitous Computing und Beschränkte Ressourcen Projekt TPMRA (TPM Rekeying Architecture) 2002-2006 Weitere kryptographische Funktionalitäten der TPM, Hardware-Realisierung(en) und Anwendungen 1. Krypto-Wochenende Kloster Bronnbach 2006 M. Volkmer

Embedded Security, UbiComp, ... Kryptographische Absicherung von Kommunikation bei begrenzten Ressourcen Geräte im Bereich RFID, Sensornetze, Nahfeldkommunikation, ... z. Teil erhebliche (und gekoppelte) Begrenzungen: verfügbare Logikfläche, Rechenkapazität, Energie/Stromverbrauch, ... Fehlende Infrastruktur (keine CA, Trust Center, ...) benachteiligt asymmetrische Ansätze 8-Bit MC, RFID-Tag (~ 1000 Gatter, kein MC): nur symmetrische Algorithmen und Stromchiffren anwendbar (Paar 2003) Praktisch oft Abwägung Sicherheitsniveau vs. Ressourcen (Kosten) Schlüsselaustausch kritisch und komplex ! 1. Krypto-Wochenende Kloster Bronnbach 2006 M. Volkmer

... und alternative kryptographische Verfahren Vermeidung komplexer Arithmetik auf großen Zahlen Beruhen oft auf (mehrfacher) Interaktion Challenge-und-Response-Protokolle (Authentifizierung) unter der Verwendung von Hash-Funktionen (e.g. Universal Hashing) „Secret key agreement by public discussion“ (U. Maurer, S. Wolf, ...) Lernverfahren für die Authentifizierung (Hopper and Blum Protokoll, „Learning Parties with Noise“), A. Juels , RSA Labs (Crypto’05) ... TPMs ... 1. Krypto-Wochenende Kloster Bronnbach 2006 M. Volkmer

Das Projekt TPMRA Seit 2002(-2006) insgesamt 11 Arbeiten (8 Studenten), davon 3 Diplomarbeiten „Implementierung und Untersuchung von echten Zufallszahlengeneratoren auf FPGAs für Eingebettete Systeme“ (Studienarbeit Karl Tyss) „Analysis of a Tree Parity Machine Stream Cipher“ (Studienarbeit Ingo Kopitzke) Anwendungsbetonte Arbeiten im Rahmen der Forschung S. Wallner / M. Volkmer 1. Krypto-Wochenende Kloster Bronnbach 2006 M. Volkmer

TPMRA ASIC-Implementation (IP-Core) Tree Parity Machine Rekeying Architectures (TPMRA) Volkmer / Wallner 2005 IP-Core Design Einfache und standardisierte Schnittstelle mit umgebendem System Niedrige HW-Komplexität, um 0.1 mm² Logik-Fläche Voll parametrisierbare HW-Struktur Bit-Paket-Lernen (Reduktion des Kommunikationsaufwandes) „Tree Parity Machine Rekeying Architectures - Designkriterien und Realisierung“ (Studienarbeit Sebastian Staiger) 1. Krypto-Wochenende Kloster Bronnbach 2006 M. Volkmer

TPMRA-Prototyp / FPGA-Demo-System „Hardware-Realisierung eines Schlüsselaustauschverfahrens mittels Tree Parity Machines“ (Studienarbeit Sascha Mühlbach) 1. Krypto-Wochenende Kloster Bronnbach 2006 M. Volkmer

TPMRA-Prototyp2 / WLAN-Demo-System „Realisierung eines Embedded Systems zur Integration eines Schlüsselaustauschverfahrens mittels Tree Parity Machines in Wireless LAN“ (Diplomarbeit Nazita Behroozi, 2. Krypto-Tag ) Software (PC) / Hardware (Altera FPGA „NIOS-Board“ + MC-Core for IP-Stack) Immediate Rekeying New key for each UDP packet (of 1500 byte) 1. Krypto-Wochenende Kloster Bronnbach 2006 M. Volkmer

Gemeinsamer Schlüssel für mehr als zwei Parteien / Gruppenkommunikation Synchrone TPMs haben identische interne Zustände und bleiben synchron Betrachte synchrone TPMs als eine einzige TPM Join- / Leave-Operation erfordert neuen Schlüssel Ein Gruppensender, alle anderen i.d. Gruppe empfangen nur Sequentielle oder parallele Interaktionsprozesse Sicherheit skaliert umgekehrt proportional zur Anzahl der Parteien TPM 2 TPM 1 TPM 1 TPM 2 TPM 3 TPM 4 TPM 3 1. Krypto-Wochenende Kloster Bronnbach 2006 M. Volkmer

Gruppenkommunikation am Beispiel von Laptops und WLAN Ad-hoc Modus “Secure Group Communication in WLAN Ad-Hoc Networks with Tree Parity Machines“ (Diplomarbeit Björn Saballus, 2. Krypto-Tag) Infrastrukturloses Netzwerk Sequentielle und parallele Interaktion (Software) Initialisierungsphase Join / Leave / Not Responding / Packet Loss 1. Krypto-Wochenende Kloster Bronnbach 2006 M. Volkmer

Trajektorie und TPM-Stromchiffre TPM im „Trajektorie-Modus“ ist eine synchrone Stromchiffre ! K dynamische nicht-lineare Filtergeneratoren Ausgaben = Schlüsselstrom Initialgewichte = Schlüssel LFSR Initialwert = IV + Identifikationsmechanismus OFB und CFB (Zustandsänderung) 1. Krypto-Wochenende Kloster Bronnbach 2006 M. Volkmer

Trajektorie / (Voll-)Parallele TPMRA / Hochgeschwindigkeitsbusse „Absicherung von Hochgeschwindigkeitsbussen mit TPMRAs am Beispiel des PCI Local Bus“ (Studienarbeit Michael Wild) Software (PC) / Hardware (FPGA Board mit PCI) Trajektorie Neuer 132-bit Schlüssel for jeden PCI Burst-Zugriff PCI Local Bus (Verwendung auf Motherboards) 33 MHz, 32 Bit => 133 Mbyte/s Vollparalleler Ansatz (Alle Gewichte lernen gleichzeitig) Alle Hidden Units arbeiten gleichzeitig Problem: große Addierer (Adder-Tree) Lösung: Pipelining Lernen Ein Takt pro Bit des Bitpaketes Berechnen Drei Takte pro Ausgangsbit Trajektorie Vier Takte für einen neuen Schlüssel 1. Krypto-Wochenende Kloster Bronnbach 2006 M. Volkmer

Identifikation via TPM Interaktion Inhärente Identifikation (entity authentication): Nur gemeinsame identische Eingaben führen zur Synchronisation „Authentication within Tree Parity Machine Rekeying“ (Studienarbeit André Schaumburg, 1.Krypto-Tag) Ziel: lerne die Ausgaben zu den gemeinsamen Eingaben Unmöglich bei unterschiedlichen Eingaben Gewichtsänderung in unterschiedliche Richtung Nutze Initialwert des deterministischen PZZG zur Authentifizierung Wehrt MITM-Angriff und Angriffe mit TPMs ab Abstand Iterationen 1. Krypto-Wochenende Kloster Bronnbach 2006 M. Volkmer

Authentifizierung, Multi-Party und Stromchiffre im ARM-Bussystem „Authentifizierte und verschlüsselte Kommunikation in Chip-to-Chip Bussystemen mittels Tree Parity Machines am Beispiel der AMBA Busspezifikation“ (Diplomarbeit, Sascha Mühlbach, 4. Krypto-Tag) AHB (AMBA Highspeed Bus) On-Chip Hochgeschwindigkeitsbus (Pipelining, Multi-Master etc.) APB (AMBA Peripheral Bus) On- und Off-Chip Bus mit einfachem Interface (Single-Master) geeignet für externe bzw. langsame interne Komponenten Bridge zwischen AHB und APB Verschlüsselung des APB Schlüsselstrom synchron in allen Komponenten AHB / APB Bridge enthält Schlüsselaustauschlogik Schlüssel für Hashfunktion Startwert für Stromchiffre Transparenz nicht sichtbar für Komponenten am Bus Anwendungen müssen nicht angepasst werden keine Änderung am Busprotokoll Multi-Master / Multi-Party Geschwindigkeit Durchsatz des Bussystems soll nicht verringert werden Stromchiffre -> latenzfreie Verschlüsselung Ressourcenbedarf in Hardware möglichst gering (deshalb Stromchiffre) skalierbare Parallelität ermöglicht Anpassung an Zielsystem Authentifizierung verhindert unzulässiges Austauschen von Komponenten 2 Probleme: aufeinander folgende Gewichte stark korreliert max. Änderung + 1 / - 1, nicht alle Hus werden adaptiert Gewichtswerte direkt als Schlüsselstrom „lecken“ Information über den inneren Zustand • Known-Plaintext-Attacke bei Stromchiffren Lösung: Hashfunktion Einwegeigenschaft verhindert Rückschlüsse aus dem Schlüsselstrom auf innere Zustände Zufälligkeit, Dekorrelation aufeinander folgender Eingabewerte 1. Krypto-Wochenende Kloster Bronnbach 2006 M. Volkmer

Symmetrischer Schlüsselaustausch mit Tree Parity Machines 1. Krypto-Wochenende Kloster Bronnbach 2006 M. Volkmer