ICZ a.s.1

Na kanálu se pracuje aneb O revolučním objevu v kryptoanalýze Vlastimil Klíma 1 a Tomáš Rosa 1,2 {vlastimil.klima, 1 ICZ, a.s. 2 katedra počítačů, ČVUT – FEL

ICZ a.s.3 Obsah Proč postranní kanály ? Definice Ukázky jednotlivých typů PK a protiopatření

ICZ a.s.4 Proč zrovna postranní kanály? souboj kryptografů a kryptoanalytiků abstraktní model vs. praktická realizace kryptoanalytici prokázali mimořádnou virtuozitu ve využívání těch nejnicotnějších detailů z praktické realizace šifer, protokolů, programů, knihoven apod. týká se to všech operačních systémů, všech černých skříněk,... i těch nej nej Útočník využívající postranní kanál

ICZ a.s.5 To není povstání, to je revoluce Sire... technické hledisko (nové metody, kombinace znalostí, mnohaoborová záležitost) vysoká účinnost, nemající historickou obdobu zcela mění pohled na kryptografii zcela mění pohled na bezpečnost evokuje vznik nových směrů jak v kryptoanalýze, tak v kryptografii

ICZ a.s.6 Jak jsme k nim přišli? práce pro NBÚ - moduly CSP návrhy opatření proti PK jak je to jinde? OpenPGP, 2001 RSA-OAEP, 2002 RSA-KEM, 2002 CBC, 2002 PKCS#7, 2003 [6][6] [16] [15] [13] New

ICZ a.s.7 Závěr OW 2001 Stavební prvky Symetrické algoritmy (CAST, TripleDES, AES) Hašovací funkce (SHA-1, SHA-256, 384, 512) RNG (FIPS PUB 140-2) Asymetrické - podpis (RSA, DSA, ECDSA) Asymetrické - výměna klíčů (RSA, DH, ECC) Kryptografické aplikace důležité vědět, jak skládat jednotlivé stavební prvky know-how, standardy Závěr z OW OW 2003: know-how a standardy se ve světle PK budou měnit [10]

ICZ a.s.8 Definice PK

ICZ a.s.9 jsou mezi námi....

ICZ a.s.10 Elektromagnetické PK Paradoxně „nejmladší“ zástupce postranních kanálů První veřejná zpráva: květen 2001 SSL akcelerátor na sběrnici PCI vyzařoval do vzdálenosti 12,192 m (40 ft) Ve vzdálenosti 4,572 m (15 ft) šlo rozeznat základní fáze výpočtu RSA AM, f c = 299 MHz,  f = 1 MHz [2][2]

ICZ a.s.11 Časový postranní kanál je typický PK, vzniká všude tam, kde implementace je taková, že průběh operace významným způsobem závisí na datech u asymetrických šifer: m d mod n (např. RSA, DSA, D-H) u symetrických šifer (DES, RC5, IDEA, AES...)

ICZ a.s.12 Časový postranní kanál Výpočet y = (m d mod n) algoritmem square and multiply d = d 0 d 1... d b-1 (nejvyšší bit d 0 = 1) R = m for i = 1 to b-1 { R = R 2 mod n if (d i == 1) then R = R*m mod n } return R Časová náročnost operace if then vyzařuje informaci o bitu klíče d i. [19] [7][7]

ICZ a.s.13 Proudový PK SPA – Simple Power Analysis DPA – Differential Power Analysis

ICZ a.s.14 SPA - SIM Ověřování PINu PIN OK PIN BAD

ICZ a.s.15 Chybové PK podmínky pro ně jsou ve skutečnosti připraveny v samém jádru šifrovacích algoritmů, protokolů a standardů příklady: symetrické šifry asymetrické šifry

ICZ a.s.16 ECB - PK? způsob použití šifry, převeďte ,- Kč tdszj34 j7čžuths bgžc4rš7 rg43č7řz úprava šifrového textu tdszj34 j7čžuths bgžc4rš7 bgžc4rš7 bgžc4rš7 rg43č7řz převeďte ,- Kč tdszj34 j7čžuths bgžc4rš7 bgžc4rš7 bgžc4rš7 rg43č7řz "vyzařuje informaci" (pasivní útoky) umožňuje aktivní útoky

ICZ a.s.17 CBC

ICZ a.s.18 Postranní kanál v modu CBC "Bezpečná zóna" Klient (E K ) šifrov ý text chybové hlášení dešifrovací zařízení D K (server) otevřen ý text útočník otevřený text !!! popis útoku Vaudenay 2002 složitost v průměru 128 krát počet bajtů zprávy výsledkem je celý otevřený text [29]

ICZ a.s.19 Jak to, že to nebylo objeveno dříve? Další útoky jsou už podstatně složitější

ICZ a.s.20 Protiopatření ve změně paddingu ? Black, J., and Urtubia, H.: Side-Channel Attacks on Symmetric Encryption Schemes: The Case for Authenticated Encryption, In Proc. of 11th USENIX Security Symposium, San Francisco 2002, pp ABYT-PAD: ~~...~~X Y...Y Y Y odstraní to PK?....postranní kanály "nevisí ve vzduchu", jsou vždy vztaženy ke konkrétní realizaci

ICZ a.s.21 ABYT-PAD v kombinaci s PKCS#7 Existuje stejně účinný útok jako při klasickém paddingu New Side Channel Attacks on CBC Encrypted Messages in the PKCS#7 Format Vlastimil Klíma and Tomáš Rosa NATO conference, Security and Protection of Information, Brno, April 30, 2003

ICZ a.s.22 Protiopatření organizační - formou doporučení (lze obcházet) kryptografická - aby PK neposkytoval dostatečnou informaci podstata: zpracovávat poslední blok kryptograficky odlišně - informace odtud plynoucí nemá "nic společného se šifrováním předchozích bloků" [13]

ICZ a.s.23 Postranní kanály u asymetrických šifer RSA: modul n, veřejný exponent e, privátní exponent d data - doplnění (formátování), poté zašifrování: c = m e mod n odšifrování: m = c d mod n, poté kontrola formátu, odstranění doplňků problém: co když nevyjdou kontroly chybové hlášení je zdrojem PK

ICZ a.s.24 PKCS#1 vs. postranní kanály příklad 1024bitového modulu n formátování PKCS#1 v postranní kanál: Bleichenbacher, 1998, cca 2 miliony dotazů ??? Data formátování PKCS#1 v postranní kanál: Manger, 2001, cca 1024 dotazů ???... formátování PKCS#1 v.2.0 s opatřením proti Mangerovu útoku – napěťově-proudový postranní kanál: Klíma, Rosa, 2002, polynomiální složitost ???... formátování RSA-KEM - chybový postranní kanál: Klíma, Rosa, 2002, cca 1024 dotazů...???... [3][3] [20] [15]

ICZ a.s.25 pHash=Hash(P), délka hLen bajtů DB EM = EME-OAEP-ENCODE(M,P,k-1), k-1 oktetů seedMask seed, délka hLen bajtů M (vlastní data, která se mají šifrovat ) MG F maskedSeed PS (nulové bajty vyplňující blok) 01 (separát or) dbMask maskedDB MG F XO R OAEPOAEP m (k oktetů) = OS2IP(EM) 00 c = RSAEP(m) = m e mod n PKCS#1v2.0 - formátování při zašifrování

ICZ a.s.26 Dekódování u OAEP

ICZ a.s.27 Závěr:....PK je každý nežádoucí způsob výměny informací mezi kryptografickým modulem a jeho okolím

ICZ a.s.28 Útoky postranními kanály mají ve srovnání s klasickou kryptoanalýzou nebývale vysokou účinnost Existuje množství druhů PK, další budou jistě objeveny Závěr Protiopatření: navržena vždy pro konkrétní případy, (dosud) neexistuje obecný předpis jak se vyhnout postranním kanálům Jedná se o revoluční pokrok v kryptoanalýze

ICZ a.s.29 Doprovodné kresby (c) Pavel Kantorek..... je nutné přijmout rázná opatření....

ICZ a.s.30 Literatura a další zdroje Literatura: viz text příspěvku (30 položek) Archiv článků na téma kryptografie a bezpečnost Osobní stránky autorů (oznámení novinek, linky na články,..)