Sicherer Kanal: von Alice zu Bob Symmetrische versus asymmetrische Verfahren

Mittwoch: Gruppenaufgabe Ziel: Bearbeitung einer größeren Aufgabe in Gruppe Anforderungen an Thema: Theoretischer und praktischer Teil Vortrag 20-30 Minuten zum Semesterende in VL-Termin Vorstellung Konzept / Technik Bewertung der praktischen Umsetzung (gerne) Demo Take-home-message Dr. Wolf Müller

Mittwoch: Gruppenaufgabe 3-5 Mitglieder Enge Kommunikation, Zusammenarbeit (ideal) in einem Übungstermin {Mo,Mi} Ablauf: Themenvorstellung/-vergabe Mittwoch in VL Termin. Eigene Themenvorschläge sind willkommen. Vorbereitung in den Übungen: Vorstellung Konzept Diskussion, Beratung in Übungen 3 Min Appetizer (ähnlich Gong-Show) Dr. Wolf Müller

Mittwoch: Was bis dann überlegen? Mit wem möchte ich Gruppe bilden? Welches (gerne eigene) Thema finden wir spannend? Welches Thema nehmen wir? Welche Fragen sind noch offen? Themen/Ideenliste als Draft: (noch in Arbeit, bitte erst nach VL ansehen) https://www2.informatik.hu-berlin.de/sar/Itsec/uebung_ssl/themen_grp_draft.pdf Dr. Wolf Müller

Symmetrische (secret key) Verfahren Ver- und Entschlüsselungsschlüssel sind gleich oder leicht voneinander ableitbar. Bijektion f in unser Definition ist die Identität oder ein einfacher Zusammenhang zwischen KE und KD Kommunikationspartner müssen geheimen Schlüssel symmetrisch verwenden. Sicherheit symmetrischer Verfahren hängt folglich von der Stärke des kryptografischen Verfahrens und von der sicheren Aufbewahrung und Verwaltung der geheimen Schlüssel ab. Dr. Wolf Müller

Symmetrische Verfahren: Kommunikationsprotokoll Kommunikationspartner Alice und Bob vereinbaren gemeinsamen, geheimen Schlüssel KE = KD = KA,B Um Klartext M von Alice zu Bob zu schicken, verschlüsselt Alice den Text M mittels KA,B also C=E(M, KA,B) und sendet C an Bob. Bob entschlüsselt C mittels KA,B, also M=D(C, KA,B)=D(C=E(M, KA,B), KA,B) Problem: Verständigung über Schlüssel vor Beginn nötig! Dr. Wolf Müller

Asymmetrische Verfahren Jeder Kommunikationspartner bekommt Schlüsselpaar aus geheimen (private key) und öffentlich bekannten (public key) Schlüssel. Private Schlüssel müssen ebenfalls sicher verwaltet, jedoch nicht ausgetauscht werden. Dr. Wolf Müller

Asymmetrische Verfahren: Kommunikationsprotokoll Kommunikationspartner Alice und Bob erzeugen ihre eigenen Schlüsselpaare (KE,A, KD,A) und (KE,B, KD,B), wobei die Schlüssel KD,A und KD,B die jeweiligen privaten Schlüssel sind. Die Schlüssel KE,A und KE,B werden öffentlich bekannt gegeben. (Z.B. in öffentlicher Datenbank, oder öffentlich zugänglichem Schlüsselserver, PGP). Will Alice einen Klartext M, der für Bob bestimmt ist, verschlüsseln, so verwendet sie Bobs öffentlichen Schlüssel, also: C=E(M, KE,B) und sendet C an Bob. Bob entschlüsselt C mit seinem privaten Schlüssel, also E(C, KD,B)=M. Dr. Wolf Müller

Asymmetrische Verfahren: RSA RSA: Ronald Rivest, Adi Shamir, Leonard Adleman Ronald Rivest Leonard Adleman Adi Shamir In 1997 it was disclosed that the public key cryptography ideas, the Diffi-Hellman and RSA cryptosystems, where actually invented in the late 1960s and early 1970s by researchers working at the British intelligence agency GCHQ [Nielsen2000, page 11] Dr. Wolf Müller

Anforderungen Auguste Kerckhoff: Sicherheit eines kryptographischen Algorithmus soll nur auf der Geheimhaltung des Schlüssels beruhen und nicht auf der Geheimhaltung des Algorithmus selbst. Schlüssel darf auch mit Kenntnis der Ver- / Entschlüsselungsalgorithmen nicht (oder nur schwer) berechenbar sein. Schlüsselraum EK sollte sehr groß sein, damit er nicht mit vertretbarem Aufwand durchsucht werden kann Caesar-Chiffre: Schlüsselraumgröße=26 zu klein DES 56-Bit EK mit 256=720575940379279367*1016 Schlüsseln 1995 geknackt Heute mindestens Schlüssellängen von 128 Bit nötig, besser länger. Dr. Wolf Müller

Anforderungen: Schlüsselraum Caesar-Chiffre: Schlüsselraumgröße=26 zu klein DES 56-Bit EK mit 256 = 72057594037927936  7*1016 Wettbewerbe DES mit Brute-Force: DES-I 1997 Ende nach 96 Tagen DES-IIa 1998 Ende nach 41 Tagen DES-IIb 1998 Ende nach 56 Stunden DES-III 1999 nach 22 Stunden Seither gelten 56 Bits nicht mehr als sicher. Heute mindestens Schlüssellängen von 128 Bit nötig, besser länger. Dr. Wolf Müller

Schlüsselraum Bin Key Length # of keys time 106/s per key 16 bits 216 = 65536 33 ms 33 μs 32 bits 232 = 4.3*109 36 min 2 ms 56 bits 256 = 7.2*1016 1142 years 10 hours 64 bits 264 = 1.8*1019 292353 years 107 days 128 bits 2128 = 3.4*1038 5.4*1024 years 5.4*1018 years 256 bits 2256 = 1.2*1077 3.5*1063 years 3.5*1057 years 512 bits 2512 = 1.3*10154 2.1*10142 years 2.1*10136 years 1024 bits 21024 = 1.7*10308 2.7*10296 years 2.7*10290 years Textual keys 5 chars 365 = 6.1*107 30 s 30 μs 10 chars 3610 = 3.7*1015 58 years 30 min 15 chars 3615 = 2.2*1023 3.5*109 years 3500 years 20 chars 3620 = 1.3*1031 2.1*1017 years 2.1*1011 years Dr. Wolf Müller

Kryptoregulierung Staatliche Regulierung des Einsatzes von kryptografischer Technologie Umstrittenes Thema Treibende Kraft USA Wunsch Exportkontrollen und Inlandsmarkt (DES 40 Bit) Schlüsselhinterlegung (key escrow) Hauptargument: Verbrechensbekämpfung Andererseits Steganografie möglich Verschlüsselung ist Voraussetzung von E-Commerce, E-Business Basis für digitale Signaturen Anforderung: Besitzer ist der einzige der Zugriff auf privaten Schlüssel hat Problem bei Hinterlegung Keystore ist lohnendes Angriffsziel Deutschland: verfassungsrechtliche Bedenken gegen Kryptoregulierung Entfaltungsfreiheit, Vertraulichkeit der Kommunikation, informelle Selbstbestimmung Dr. Wolf Müller

Informationstheorie Stochastischer Kanal: Kanal mit zufälligen, nicht systematischen Störungen, die nicht prinzipiell beschrieben werden und nicht durch empfängerseitige Maßnahmen behoben werden können. Wahrscheinlichkeitsrechnung kann Aussagen über Charakteristik des Kanals machen. A priori Verteilung der Quelle: Mit welcher Wahrscheinlichkeit hat Quelle ein Signal geschickt. Z.B. Deutsch, häufige Buchstaben / Buchstabenkombinationen Dr. Wolf Müller

Maximum-Likelihood Methode Nachrichtenquelle Q, Nachrichten M1, … , Mn werden mit Wahrscheinlichkeit pi gesendet: C1, … , Cn Nachrichten, die empfangen werden. Bedingte Wahrscheinlichkeit pij = P(Cj|Mi), dass wenn gesendet Mi wurde empfangen Cj wird. Maximum-Likelihood Methode: Schätzung der Originalnachricht mit Hilfe von pi und pij . Maximum-Likelihood Funktion: P(Mi|Cj)=P(Cj|Mi) P(Mi) gesucht, Nachricht i=m, die mit größter Wahrscheinlichkeit : i: P(Mm|Cj) ≥ P(Mi|Cj), gesendet wurde. Dr. Wolf Müller

Kryptografischer Kanal = Kanal zur Übertragung von Kryptotexten Ähnlichkeit mit stochastischem Kanal: Angreifer  Empfänger eines stochastischen Kanals Angreifer versucht aus übermittelten Daten und Kenntnissen über Nachrichtenquelle ursprüngliche Nachricht zu ermitteln  Kryptoanalyse Störungen des krytografischen Kanals nicht zufällig sondern absichtlich (Sender verschlüsselt) Angreifer braucht möglichst viele Informationen, um Analyseaufwand zu reduzieren Entropie / Redundanz einer Quelle. Dr. Wolf Müller

Entropie Informationsgehalt von Nachrichten: I(M)=log2(1/pi) = -log2(pi) (gemessen in Bits/Zeichen) Informationsgehalt geringer, wenn Nachricht häufig auftritt. Entropie H einer Nachrichtenquelle:= mittlerer Informationsgehalt dieser Quelle Maß für Unbestimmtheit der Quelle Entropie misst Informationsgehalt, der im Durchschnitt bei Beobachtung der Quelle erhalten wird. Dr. Wolf Müller

Entropie (2) Wünschenswert: Angreifer bekommt möglichst wenig Informationen über die Quelle! Maximale Entropie wenn alle Nachrichten gleichverteilt gesendet werden: pi=1/n  Hmax=log(n) Bedingte Entropie: Mittelwert über MiM alle Klartextnachrichten unter der Bedingung, dass ein CiC aus der Menge aller Chiffretexte empfangen wurde. Wie unbestimmt ist eine Quelle nach Beobachtung einer Nachricht noch? Dr. Wolf Müller

Entropie / Redundanz Je weiter Entropie einer Quelle unter der max. Entropie liegt, desto leichter (für Angreifer) wahrscheinlichsten Klartext auszuwählen. Redundanz: Differenz zwischen maximaler und tatsächlicher Entropie D=Hmax-H Beispiel: Quelle mit lat. Buchstaben + Leerzeichen Hmax=log(27) ~ 4.75 Sinnvolle deutsche Texte  Entropie ~ 1.6 Redundanz von Deutsch etwa 3, also etwa 66% Dr. Wolf Müller

Sicherheit von Kryptosystemen (KS) Absolute Sicherheit 1948: C. E. Shannon. A mathematical theory of communication. Annahme: Angreifer kennt a priori Verteilung der Quelle (z.B. Deutsch) Angreifer versucht mit a postori Verteilung (Wahrscheinlichkeit, dass Ci empfangen, wenn Mi gesendet) relevante Information herzuleiten. Absolute Sicherheit (Shannon): Ein Kryptosystem ist absolut sicher, wenn die a priori Verteilung für jede Nachricht gleich ihrer a postori Verteilung ist, d.h. wenn: P(M) = P (M | C) Dr. Wolf Müller

Sicherheit KS: Absolute Sicherheit Definition  Angreifer kann keine Information aus Abhören des Kanals gewinnen. Maximum Likelihood Funktion maximieren  Nachricht mit größter a priori Wahrscheinlichkeit (da a priori & a postori Verteilung gleich sind) Ersetzt man P(M|C) P(M) so ist bedingte Entropie gleich der maximalen Entropie  Angreifer kann allein durch Beobachten der Quelle eines absolut sicheren KS keine Information über verwendeten Schlüssel gewinnen. Dr. Wolf Müller

Eigenschaften absolut sicherer KS P(M) = P (M | C)  für ein M und alle C: P (C | M) = P (C) > 0 Zu jedem beobachteten C muss es einen Schlüssel geben: M=D(C, K). Zuordnung MC eindeutig für gegeben Schlüssel K Mindestens so viele Schlüssel K wie Chiffretexte C Mindestens so viele Chiffretexte C wie Klartexte M (Injektivität) Mindestens so viele Schlüssel K wie Klartexte M In Praxis nur One-time-pad und Quantenkryptographie absolut sicheres KS! (Vorausgesetzt guter Zufallszahlengenerator) Dr. Wolf Müller

Praktische Sicherheit Sicherheit gegeben durch Aufwand den der Angreifer für Kryptoanalyse hat. Analyse einer einfachen Verschiebung im lat. Alphabet mit 26! Permutationen: Durchschnittlich 26!/2 > 2* 1026 Entschlüsselungsoperationen nötig, bei vollständiger Suche. Aber: Zusatzinformationen, Sprache mit typischer Wahrscheinlichkeitsverteilung, somit kann Schlüsselraum um Menge von Möglichkeiten reduziert werden. Bei Halbierung des Schlüsselraums pro Analyseschritt : Suchaufwand n  log n Schlüsselraum darf in als praktisch sicher geltenden KS nicht leicht partionierbar sein Dr. Wolf Müller

Praktische Sicherheit Partionierung: Schlüsselraum darf in als praktisch sicher geltenden KS nicht leicht partionierbar sein. Diffusion: Chiffretext sollte von möglichst vielen Klartextzeichen, sowie vom gesamten Schlüssel abhängen. Konfusion: Zusammenhang zwischen Klartext, Schlüssel und Chiffretext so komplex wie möglich. Konfusion und Diffusion sind essenziell für praktische Sicherheit von KS! Dr. Wolf Müller

►Praktische Sicherheit Ein kryptografisches Verfahren wird praktisch sicher genannt, wenn der Aufwand zur Durchführung der Kryptoanalyse die Möglichkeit jedes denkbaren Analysten übersteigt und die erforderlichen Kosten den erwarteten Gewinn bei weitem übertreffen. Damit ist praktische Sicherheit gebunden an: Angreifermodell Zeitpunkt Dr. Wolf Müller

Crypttool http://www.cryptool.org Dr. Wolf Müller

Komplexitätstheorie Effiziente und nichteffiziente Algorithmen Rechenaufwand von Algorithmen als Funktion der Länge der Eingabedaten In Kryptographie häufig Worst-Case Abschätzungen Edmund Landau (1877-1938) Symbol O-Notation Dr. Wolf Müller

►Landau Symbol O ► Gegeben zwei Funktionen f und g. f(n) = O ((g(n)) für n  1 , n2N . wenn es eine Konstante c > 0 und ein n02N gibt, so dass: 8 n > n0 : | f(n) |· c | g(n) | . f wächst bis auf konstanten Faktor c nicht schneller als g. Die Konstante hat bei sehr großen n nur geringen Einfluss. n=10 n=20 n=30 n=50 n=100 n 10 20 30 50 100 n2 400 900 2500 10000 n3 1000 8000 27000 1250000 1000000 2n 1024 1048576 109 1015 1030 Dr. Wolf Müller

Effiziente Algorithmen Effizienter Algorithmus: Laufzeit durch Polynom in der Eingabegröße beschränkt. Klasse P der mit polynomiellem Aufwand lösbaren Probleme. Funktion f wächst polynomiell: 9 k: f=O (nk). Zu P gehören Algorithmen mit: Konstanter (Einfügen / Löschen von Hashtabelleneinträgen) Logarithmischer Linearer Quadratischer (Doppelt verschachtelte Schleifen, Dijkstra) Laufzeit. Dr. Wolf Müller

Algorithmen (Klasse NP) Klasse NP: Klasse der nicht effizient lösbaren Probleme. Algorithmus f ist 2 NP, wenn korrekt geratene Lösung durch nicht-deterministische Turingmaschine in polynomieller Zeit als korrekt erkannt wird und die Maschine bei falschen Lösungen unter Umständen exponentiellen Rechenaufwand hat. NP-hart: Algorithmus f heißt NP-hart, wenn sich jedes Verfahren der Klasse NP in polynomieller Zeit auf f reduzieren lässt. NP-vollständig: f heißt NP-vollständig, wenn f NP-hart und f 2 NP. (travelling salesman) Bis heute unklar, ob P  NP. Für Kryptographie NP notwendig, aber nicht hinreichend, da nur „worst case“ betrachtet wird. Dr. Wolf Müller

Symmetrische Verfahren Symmetrische Verfahren: gemeinsame, geheime Schlüssel große praktische Bedeutung Ver- und Entschlüsselungsverfahren (Permutation, Substitution) basieren auf sehr einfachen Operationen Shifts XOR  Effizient in Hard- und Software implementierbar. Dr. Wolf Müller

Permutation Permutation von A (endliche Menge) ist bijektive Abbildung: f : A  A . Bitpermutation: A={0,1}n sei Menge aller Binärworte der Länge n. Sei ¼ Permutation der Menge {1, … ,n}: f : {0,1}n  {0,1}n , mit b1, … ,bn  b¼(1), … , b¼(n) . Bei einer Permutation=Transposition wird Anordnung der Klartextzeichen vertauscht. Permutationen häufig durch Tabellen realisiert. Z.B. in DES Dr. Wolf Müller

Substitution Gegeben 2 Alphabete A1, A2. Substitution: Abbildung: Substitutionschiffre ersetzt systematisch Klartextzeichen durch Chiffretextzeichen. Durch Kombination von Permutation und Substitution erhält man Produktchiffre. (Z.B. DES-Algorithmus) Dr. Wolf Müller

Block und Stromchiffren Zu verschlüsselnde Klartexte besitzen unterschiedliche Längen. Verschlüsselungsverfahren erwarten in der Regel feste Länge. Klartext wird in Einheiten (Blöcke oder Zeichen) fester Länge. aufgeteilt. Blockchiffre: Verwendung, wenn Klartext vor Beginn der Verschlüsselung vollständig vorliegt. (Email, File, Filesystem) Stromchiffre: Verwendung bei Anwendungen, wo es nicht praktikabel ist, zu warten, bis genug Zeichen für einen Block vorhanden sind (stromorientiert). (Verschlüsselung von Tastatureingaben, Sprachübertragung, wenn Latenz wichtig ist, ssh) Dr. Wolf Müller

Stromchiffre Sequentielle (lineare) Chiffren, die Folge von kleinen Klartexteinheiten mit einer variierenden Funktion verschlüsseln. Kleine Einheiten werden meist Zeichen genannt. Gängige Zeichengröße sind 1 Bit oder 1 Byte. Größte Sicherheit (absolut sicher), wenn Schlüsselzeichen zufällig gewählt sind und der Schlüssel die gleiche Länge wie der Klartext besitzt. One-time-Pad (Praxis ungeeignet) Quantenkryptografie Nahe liegend: Mechanismen, die One-time-pad approximieren. Verwendung von Pseudozufallsgeneratoren: Pseudozufallsfolge wird durch deterministischen Prozess unter Verwendung eines Initialisierungswerts generiert. Muss Eigenschaften einer echt zufälligen Folge aufweisen. Zufallsgeneratoren sollen Folgen so generieren, dass es keinen polynomiellen Algorithmus gibt, der ohne Kenntnis des Initialwertes aus einem Abschnitt der Folge das nächste Zeichen mit einer Trefferwahrscheinlichkeit größer als 0.5 vorhersagen kann. Dr. Wolf Müller

Stromchiffre (2) Sicherer Austausch Initialwert Initialwert Schlüssel- zeichen Klartext Chiffretext Schlüssel- zeichen Chiffretext Klartext Pseudozufalls- zahlengenerator Pseudozufalls- zahlengenerator unsicherer Kanal Sender Empfänger Kommunikationspartner müssen gleichen Pseudozufallsgenerator und gleichen Initialwert haben. Über Eigenschaften des Zufallsgenerators ist gesichert, dass Angreifer aus Beobachtung der Chiffretexte nicht darauf schließen kann, welches Zeichen als nächstes generiert wird. Aufwand zum Schlüsseltausch gering (nur den relativ kurzen Initialwert). Im Gegensatz zu Blockchiffren Verwendung sehr einfacher Verknüpfungen zum Ver- und Entschlüsseln, bei Binärfolgen Ver- und Entschlüsselung mit XOR, also Addition modulo 2. Für kryptografische Sicherheit ist der Generator ausschlaggebend. RC4 (WEP), A5-Algorithmus (GSM) Dr. Wolf Müller

Stromchiffre: Probleme Verwendung von Stromchiffren nicht einfach in der Praxis oft Probleme! Da bei Stromchiffren Klartexte mit XOR mit dem Schlüsselstrom verknüpft werden (C=M XOR Key), muss sichergestellt werden, dass für jede Nachricht ein neuer Schlüsselstrom Key generiert und verwendet wird. Sonst kann Angreifer auch ohne Kenntnis des Schlüssels Key Klartexte erhalten! C1 = M1 XOR Key und C2= M2 XOR Key Es gilt aber auch: C1 XOR C2 =M1 XOR Key XOR M2 XOR Key = M1 XOR M2 Angreifer kann aus Abhören der Chiffretexte C1 und C2 das XOR der zugehörigen Klartexte gewinnen. Falls er Teile der Klartexte (oder eigene Texte verschlüsseln lässt) kennt, kann er andere erschließen. Known-Plaintext-Angriffe Dr. Wolf Müller

Stromchiffre: Vigenère Chiffre Vigenère Chiffre über lateinischem Alphabet Schlüssel ist Zeichenfolge, Schlüsselwort oder Schlüsselphrase Verschlüsselung: Addition modulo 26 Schlüsselfolge kürzer als Klartext, periodische Wiederholung Kurze Periode ist leicht angreibar. Dr. Wolf Müller

Blockchiffren Klartext M Verarbeitung von Eingabeblöcken fester Länge, wobei jeder Block mit der gleichen Funktion verschlüsselt wird. Typische Blockgröße 64-Bit Klartext M der Länge m wird in r Blöcke der Länge n zerlegt. Letzter Block hat Länge 1≤k≤n, wird mit Füllmuster aufgefüllt (Padding) Damit bei Entschlüsselung das Ende des originalen Klartextes im aufgefüllten Block erkennbar, muss Länge des Füllbereichs oder Länge des Klartextbereichs mit in diesen Block codiert werden. http://de.wikipedia.org/wiki/Padding Ver- / Entschlüsselung separat für jeden Block mit gleichem Schlüssel K bzw. K‘, mit f(K)= K‘. M1 M2 M3 … Mr Schlüssel K K Schlüssel K Verschlüsselung Verschlüsselung … Verschlüsselung … C1 C2 Cr Schlüssel K‘ K‘ Schlüssel K‘ Verschlüsselung Verschlüsselung … Verschlüsselung … M1 M2 Mr Klartext M Dr. Wolf Müller

Block Operation Modes: ECB Electronic Codebook (ECB) Ci=E(Mi,K), Mi=D(Ci,K) Sender: Encryption Empfänger: Decryption E K M1 C1 E K M2 C2 … D K C1 M1 D K C2 M2 … … … Time Dr. Wolf Müller

Demo #!/bin/bash CHIPHER=$1 BMP="xxx.bmp" ENC="enc-"$CHIPHER".bmp" rm -f $ENC tmp.enc #Längen LL=`ls -l $BMP | awk '{print $5}'` #Length HH=54 #Header BB=$(($LL-$HH)) #Body #Encryption openssl enc -$CHIPHER -e -in $BMP -out tmp.enc -k 0815 #BMP (Header + Encrypted Body without Padding) head -c $HH $BMP > $ENC tail -c $BB tmp.enc >> $ENC echo "$ENC written!" Dr. Wolf Müller

Ergebnisse: xxx.bmp des-cbc des-ecb aes-128-ecb aes-256-ecb Dr. Wolf Müller

Block Operation Modes: ECB Eigenschaften ECB Jeder Block ist unabhängig von anderen Blöcken. Verschlüsselung von gleichem Plaintext wird zu gleichem Ciffretext verschlüsselt. Fehlerfortpflanzung: Wenn ein Fehler in einem Chiffreblock vorkommt, ist nur der entsprechende Plaintextblock betroffen. Synchronisation: Wenn der Empfänger die Blockgrenzen nicht synchronisieren kann, ist eine Entschlüsselung unmöglich. Blöcke können unbemerkt dupliziert, hinzugefügt, vertauscht oder entfernt werden! Dr. Wolf Müller

Block Operation Modes: CBC Cipher Block Chaining (CBC) Ci=E(MiCi-1,K), Mi=D(Ci,K)Ci-1, C0=IV Initialisierungsvektor Sender: Encryption Empfänger: Decryption M1 M2 … C1 C2 … IV=C0 D D k k E E k k IV C1 C2 … M1 M2 … Dr. Wolf Müller

Block Operation Modes: CBC Eigenschaften von CBC Initialisierungsvektor IV muss angegeben werden. IV muss nicht geheim sein. Chiffreblock hängt ab von IV und allen Plaintextblöcken vor ihm. Identische Plaintextblöcke werden in verschiedene Chiffetextblöcke verschlüsselt. Reihenfolge der Blöcke ist signifikant. Wird sie verändert, ändert sich die Chiffrierung. Identische Plaintext-Sequenzen werden zu identischen Chiffre-Sequenzen verschlüsselt, es sollten also unterschiedliche Initialisierungsvektoren verwendet werden. Fehlerfortpflanzung: Wenn ein Fehler in einem Chiffreblock auftritt, kann dieser und der nächste Plaintextblock nicht entschlüsselt werden. Synchronisation: Wenn Synchronisation bei diesem Chiffreblock wiedergewonnen wird, können dieser und der nächste Plaintextblock entschlüsselt werden. Dr. Wolf Müller

Block Operation Modes: CFB Cipher Feedback (CFB) Ci=E(Ci-1,K)Mi, Mi=D(Ci-1,K)Ci, C0=IV Sender: Encryption Empfänger: Decryption Ci-1 Ci-1 D k E k Ci Mi Mi Ci Gleiche Eigenschaften, wie CBC. Nachrichten kürzerer als Blockgröße sind möglich. Dr. Wolf Müller

Block operation modes: OFB Output Feedback (OFB) zi=E(zi-1,K), Ci=ziMi, Mi=ziCi, z0=IV Sender: Encryption Empfänger: Decryption zi-1 Mi zi-1 Ci E k E k Ci Mi Nachrichten kürzerer als Blockgröße sind möglich. Dr. Wolf Müller

Block operation modes: OFB OFB Eigenschaften Zustandssequenz zi ist unabhängig vom Plaintext. Entspricht Verschlüsselung mit Pseudozufallszahlengenerator mit nichtlinearem Feedback. Fehlerfortpflanzung: keine. Synchronisation: Wenn Grenzsynchronisation verloren ist, muss das ganze System neu synchronisiert werden. Dr. Wolf Müller

Blockchiffre Algorithmen: DES 3DES AES Dr. Wolf Müller

DES: Historie Data Encryption Standard (kurz: DES) DES Geschichte: Entwickelt durch IBM 1974 publiziert 1977 Anerkennung von DES als Standard durch ‘National Bureau of Standards’, heute NIST 1981 Anerkennung von DES als Standard durch ‘American National Standards Institute’ (ANSI X3.92) Dr. Wolf Müller

DES Symmetrischer Algorithmus Blockchiffre: Message blocks von 64 Bits. Verschlüsselung in Chiffreblocks von 64 Bits. Schlüssel von 64 Bits. Signifikante Schlüssellänge 56 Bits, mit 8 Paritätsbits |K|=256 64 bits Mi 64 bits Mi DES Key K 64(56) bits DES-1 Encryption Decryption 64 bits Ci 64 bits Ci Dr. Wolf Müller

DES: Blockchiffre Seine Entstehungsgeschichte gab wegen der Beteiligung der NSA am Design des Algorithmus immer wieder Anlass zu Spekulationen über seine Sicherheit. Verschlüsselungstechniken: Bitpermutationen (Transpositionen) Substitutionen bitweise Addition modulo 2 Schlüssellänge für heutigen Stand der Technik unzureichend, durch AES abgelöst. Jedoch noch in viele kommerzielle Produkte integriert. Dr. Wolf Müller

Blockchiffre: Triple DES (3DES) DES Algorithmus ist kryptografisch stark, Wunsch, Schlüssellänge zu erhöhen. Lösung: Mehrfachverschlüsselung des Klartexts mit verschiedenen Schlüsseln DES-Verschlüsselungen bilden keine Gruppe, Verwendung verschiedener Schlüssel kann auf Vergrößerung des Schlüsselraumes führen. Aber: Zweifach Verschlüsselung liefert nicht Schlüsselraum von 2112. Mit Meet-in-the-middle Angriff werden nur 257 Ciffrier- und Dechiffriervorgänge gebraucht, um Schlüssel zu Brechen. Fortschritte durch Triple-DES (3 Schlüssel K1, K2, K3): Verschlüsselung: DES (DES-1(DES (X,K1), K2), K3) Entschlüsselung: DES-1(DES (DES-1 (X,K3), K2), K1) Effektive Schlüssellänge anstelle von 168 Bit nur 108 Bit, Schlüsselraum 2108, länger, aber auf lange Sicht nicht ausreichend! 3fache Verschlüsselung recht ineffizient Dr. Wolf Müller

AES-Wettbewerb Januar 1997: Wettbewerb für neue Verschlüsselungstechnik durch Nationales Institut für Standards und Technologie der USA (NIST) ausgerufen AES soll ein Federal Information Processing Standard (FIPS) werden Evaluierung von Sicherheit und Effizienz nicht durch nicht selbst, sondern offen. Anforderungen: symmetrischer Blockchiffre Blockgröße:128 Bit Schlüssellängen: 128, 192 und 256 Bit Resistenz gegen alle Methoden der Kryptoanalyse sehr effizient in Software und Hardware (auch auf 8 Bit-Prozessoren (Chipcards)) einfach zu implementierbar

AES: The Winner is? Rijndael Oktober 2002 : Rijndael Autoren: Joan Daemen, Vincent Rijmen (Belgien) Algorithmus hat sehr gute Performance in Hardware und Software Algorithmus ist sehr einfach Rijndael verschlüsselt mit 8 und 32 Bit Operationen 8 Bit = 1 Byte und 32 Bit = 4 Byte = 1 Wort Blockgröße nicht zwingend 128 Bit (AES), sondern jedes Vielfache von 32 zwischen 128 und 256 Bit möglich. * 1970 * 1965 In puncto Sicherheit gab es auch einige Kandidaten, welche Rijndael gleichwertig waren

Rijndael GF(2) |8 Byte b7…b0 als Koeffizienten eines Polynoms darstellbar: b(x) = b7x7 + b6x6+ … + b2x2 + b1x + b0 Beispiel: 01010011  x6 + x4 + x + 1 b(x) repräsentiert Elemente des endlichen Körpers GF(2)|8 Alle möglichen Bytes sind genau die Elemente von GF(2)|8 Endlicher Körper <F, Å, Ä >: <F, Å> und <F\{0}, Ä> sind abelsche Gruppen Å und Ä sind distributiv Å ist Addition der Komponenten modulo 2, auf Byte-Ebene entspricht Å der Operation XOR Ä ist Multiplikation von Bytes modulo m(x)= x8 + x4 + x3 + x + 1 (irreduzibles Polynom, 8ten Grades) Multiplikation von Worten: wie mit Bytes, mit irreduziblem Polynom m(x) = x4 +1

AES Verschlüsselungs-Runde Datablock di-1: 128 bits/16 Bytes AES Key: 128/192/256 Bit Transformationen basierend auf Byte-Operationen - Substitution - Permutation - Intermix Rundenschlüssel abgeleitet vom AES Key 10/12/14 mal, abhängig von Schlüsselgröße Data block di: 128 bits/16 bytes Keine Transformationsbox in Anfangsrunde Kein Intermix in letzter Runde Dr. Wolf Müller

AES Verschlüsselungs-Runde (2) Transformationen: Substitution Jedes Byte durch sein multiplikativ-inversen Wert ersetzt. Bytes werden verwendet, um Polynome von einem Grad kleiner 8 darzustellen, wegen der Reduktion auf irreduzible Polynome modulo 8 Bytes werden als Elemente eines endlichen Körpers interpretiert. Addition und Multiplikation sind definiert, unterscheiden sich aber von der von normalen Zahlen. Permutation Positionstausch der Bytes Intermix Matrix Multiplikation der Bytes in dem „internen Zustand“ Dr. Wolf Müller

AES Verschlüsselungs-Runde (3) Schlüsselableitung: Mit Schlüssellänge 128 Bit, jede Runde erfordert 128 Bit. Schlüssel wird in 4 Worte zu je Byte aufgeteilt. wi=wi-1 XOR wi-4 Wenn i mod 4=0, wird Schlüsseltransformation (KT) angewendet. KT beinhaltet Byte- Verschiebungen, Substitutionen und die Addition einer „Runden- konstanten“, Quadrierung im Raum der irreduziblen Polynome in GF(28). KT w0 w1 w2 w3 w4 w5 w6 w7 … AES Key =Schlüssel für Runde 0 Schlüssel für Runde 1 Dr. Wolf Müller

Rijndael: Kryptoanalyse & Verwendung resistent gegen lineare und differentielle Kryptoanalyse saturation attack chosen-plaintext + Ausnutzung der byte-orientierten Struktur  nur für rundenreduzierte (7 Runden) Version möglich implementation attacks timing attack power analysis Verwendung: Wireless LAN WPA2 SSH, IPsec Skype, 7-Zip,PGP Implementation attacks: man muss den Verschlüsselungsvorgang des verschlüsselnden Rechners analysieren Timing attack: von Ausführungszeit können Rückschlüsse auf Schlüssel gezogen werden Power analysis: Ressourcenverbrauch während der Verschlüsselung wird analysiert

Demo in Crypttool http://www.cryptool.de/ Dr. Wolf Müller