Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
ZveřejnilŠarlota Zemanová
1
ICZ a.s.1
2
Na kanálu se pracuje aneb O revolučním objevu v kryptoanalýze Vlastimil Klíma 1 a Tomáš Rosa 1,2 {vlastimil.klima, tomas.rosa}@i.cz 1 ICZ, a.s. 2 katedra počítačů, ČVUT – FEL
3
ICZ a.s.3 Obsah Proč postranní kanály ? Definice Ukázky jednotlivých typů PK a protiopatření
4
ICZ a.s.4 Proč zrovna postranní kanály? souboj kryptografů a kryptoanalytiků abstraktní model vs. praktická realizace kryptoanalytici prokázali mimořádnou virtuozitu ve využívání těch nejnicotnějších detailů z praktické realizace šifer, protokolů, programů, knihoven apod. týká se to všech operačních systémů, všech černých skříněk,... i těch nej nej Útočník využívající postranní kanál
5
ICZ a.s.5 To není povstání, to je revoluce Sire... technické hledisko (nové metody, kombinace znalostí, mnohaoborová záležitost) vysoká účinnost, nemající historickou obdobu zcela mění pohled na kryptografii zcela mění pohled na bezpečnost evokuje vznik nových směrů jak v kryptoanalýze, tak v kryptografii
6
ICZ a.s.6 Jak jsme k nim přišli? práce pro NBÚ - moduly CSP návrhy opatření proti PK jak je to jinde? OpenPGP, 2001 RSA-OAEP, 2002 RSA-KEM, 2002 CBC, 2002 PKCS#7, 2003 [6][6] [16] [15] [13] New
7
ICZ a.s.7 Závěr OW 2001 Stavební prvky Symetrické algoritmy (CAST, TripleDES, AES) Hašovací funkce (SHA-1, SHA-256, 384, 512) RNG (FIPS PUB 140-2) Asymetrické - podpis (RSA, DSA, ECDSA) Asymetrické - výměna klíčů (RSA, DH, ECC) Kryptografické aplikace důležité vědět, jak skládat jednotlivé stavební prvky know-how, standardy Závěr z OW 2001.... OW 2003: know-how a standardy se ve světle PK budou měnit [10]
8
ICZ a.s.8 Definice PK
9
ICZ a.s.9 jsou mezi námi....
10
ICZ a.s.10 Elektromagnetické PK Paradoxně „nejmladší“ zástupce postranních kanálů První veřejná zpráva: květen 2001 SSL akcelerátor na sběrnici PCI vyzařoval do vzdálenosti 12,192 m (40 ft) Ve vzdálenosti 4,572 m (15 ft) šlo rozeznat základní fáze výpočtu RSA AM, f c = 299 MHz, f = 1 MHz [2][2]
11
ICZ a.s.11 Časový postranní kanál je typický PK, vzniká všude tam, kde implementace je taková, že průběh operace významným způsobem závisí na datech u asymetrických šifer: m d mod n (např. RSA, DSA, D-H) u symetrických šifer (DES, RC5, IDEA, AES...)
12
ICZ a.s.12 Časový postranní kanál Výpočet y = (m d mod n) algoritmem square and multiply d = d 0 d 1... d b-1 (nejvyšší bit d 0 = 1) R = m for i = 1 to b-1 { R = R 2 mod n if (d i == 1) then R = R*m mod n } return R Časová náročnost operace if then vyzařuje informaci o bitu klíče d i. [19] [7][7]
13
ICZ a.s.13 Proudový PK SPA – Simple Power Analysis DPA – Differential Power Analysis
14
ICZ a.s.14 SPA - SIM Ověřování PINu PIN OK PIN BAD
15
ICZ a.s.15 Chybové PK podmínky pro ně jsou ve skutečnosti připraveny v samém jádru šifrovacích algoritmů, protokolů a standardů příklady: symetrické šifry asymetrické šifry
16
ICZ a.s.16 ECB - PK? způsob použití šifry,............ převeďte 1 0 0 0,- Kč........... 3tdszj34 j7čžuths bgžc4rš7 rg43č7řz...... úprava šifrového textu..... 3tdszj34 j7čžuths bgžc4rš7 bgžc4rš7 bgžc4rš7 rg43č7řz................. převeďte 1 0 0 0 0 0 0 0 0 0,- Kč........... 3tdszj34 j7čžuths bgžc4rš7 bgžc4rš7 bgžc4rš7 rg43č7řz...... "vyzařuje informaci" (pasivní útoky) umožňuje aktivní útoky
17
ICZ a.s.17 CBC
18
ICZ a.s.18 Postranní kanál v modu CBC "Bezpečná zóna" Klient (E K ) šifrov ý text chybové hlášení dešifrovací zařízení D K (server) otevřen ý text útočník otevřený text !!! popis útoku Vaudenay 2002 složitost v průměru 128 krát počet bajtů zprávy výsledkem je celý otevřený text [29]
19
ICZ a.s.19 Jak to, že to nebylo objeveno dříve? Další útoky jsou už podstatně složitější
20
ICZ a.s.20 Protiopatření ve změně paddingu ? Black, J., and Urtubia, H.: Side-Channel Attacks on Symmetric Encryption Schemes: The Case for Authenticated Encryption, In Proc. of 11th USENIX Security Symposium, San Francisco 2002, pp. 327-338. ABYT-PAD: ~~...~~X Y...Y Y Y odstraní to PK?....postranní kanály "nevisí ve vzduchu", jsou vždy vztaženy ke konkrétní realizaci
21
ICZ a.s.21 ABYT-PAD v kombinaci s PKCS#7 Existuje stejně účinný útok jako při klasickém paddingu New Side Channel Attacks on CBC Encrypted Messages in the PKCS#7 Format Vlastimil Klíma and Tomáš Rosa NATO conference, Security and Protection of Information, Brno, April 30, 2003
22
ICZ a.s.22 Protiopatření organizační - formou doporučení (lze obcházet) kryptografická - aby PK neposkytoval dostatečnou informaci podstata: zpracovávat poslední blok kryptograficky odlišně - informace odtud plynoucí nemá "nic společného se šifrováním předchozích bloků" [13]
23
ICZ a.s.23 Postranní kanály u asymetrických šifer RSA: modul n, veřejný exponent e, privátní exponent d data - doplnění (formátování), poté zašifrování: c = m e mod n odšifrování: m = c d mod n, poté kontrola formátu, odstranění doplňků problém: co když nevyjdou kontroly chybové hlášení je zdrojem PK
24
ICZ a.s.24 PKCS#1 vs. postranní kanály příklad 1024bitového modulu n 11001110................. formátování PKCS#1 v.1.5 - postranní kanál: Bleichenbacher, 1998, cca 2 miliony dotazů 0000000000000010...???...00000000 Data formátování PKCS#1 v.2.0 - postranní kanál: Manger, 2001, cca 1024 dotazů 00000000...???... formátování PKCS#1 v.2.0 s opatřením proti Mangerovu útoku – napěťově-proudový postranní kanál: Klíma, Rosa, 2002, polynomiální složitost 00000000...???... formátování RSA-KEM - chybový postranní kanál: Klíma, Rosa, 2002, cca 1024 dotazů...???... [3][3] [20] [15]
25
ICZ a.s.25 pHash=Hash(P), délka hLen bajtů DB EM = EME-OAEP-ENCODE(M,P,k-1), k-1 oktetů seedMask seed, délka hLen bajtů M (vlastní data, která se mají šifrovat ) MG F maskedSeed PS (nulové bajty vyplňující blok) 01 (separát or) dbMask maskedDB MG F XO R OAEPOAEP m (k oktetů) = OS2IP(EM) 00 c = RSAEP(m) = m e mod n PKCS#1v2.0 - formátování při zašifrování
26
ICZ a.s.26 Dekódování u OAEP
27
ICZ a.s.27 Závěr:....PK je každý nežádoucí způsob výměny informací mezi kryptografickým modulem a jeho okolím
28
ICZ a.s.28 Útoky postranními kanály mají ve srovnání s klasickou kryptoanalýzou nebývale vysokou účinnost Existuje množství druhů PK, další budou jistě objeveny Závěr Protiopatření: navržena vždy pro konkrétní případy, (dosud) neexistuje obecný předpis jak se vyhnout postranním kanálům Jedná se o revoluční pokrok v kryptoanalýze
29
ICZ a.s.29 Doprovodné kresby (c) Pavel Kantorek..... je nutné přijmout rázná opatření....
30
ICZ a.s.30 Literatura a další zdroje Literatura: viz text příspěvku (30 položek) Archiv článků na téma kryptografie a bezpečnost http://www.decros.cz/bezpecnost/_kryptografie.html Osobní stránky autorů (oznámení novinek, linky na články,..) http://cryptography.hyperlink.cz http://crypto.hyperlink.cz
Podobné prezentace
© 2024 SlidePlayer.cz Inc.
All rights reserved.