Ochrana dat Radim Farana Podklady pro výuku. Obsah Kryptografické systémy s tajným klíčem,  výměna tajných klíčů veřejným kanálem,  systémy s tajným.

Slides:



Advertisements
Podobné prezentace
Lineární klasifikátor
Advertisements

Vestavné mikropočítačové systémy
Projekt DIGIT – digitalizace výuky na ISŠTE Sokolov
Kryptografie Šifrování
SHA-1 Secure Hash Algorithm Martin Raichl. HASH  Hašovací funkce jsou silným nástrojem moderní kryptologie. Jsou jednou z klíčových kryptologických myšlenek.
jak to funguje ? MUDr.Zdeněk Hřib
Elektronický podpis.
Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.
Seznámení s asymetrickou kryptografií, díl 1.
Úvod do klasických a moderních metod šifrování Jaro 2008, 7. přednáška.
Asymetrická kryptografie
Bezpečnost mobilních telekomunikačních systémů Aleš Vincenc.
Základy informatiky přednášky Kódování.
Algoritmy I Cvičení č. 4.
Informatika pro ekonomy II přednáška 4
Základní číselné množiny
Základy informatiky přednášky Efektivní kódy.
Radek Horáček IZI425 – Teorie kódování a šifrování
Fakulta životního prostředí Katedra informatiky a geoinformatiky
REDUKCE DAT Díváme-li se na soubory jako na text, pak je tento text redundantní. Redundance vyplývá z:  některé fráze nebo slova se opakují  existuje.
M O R A V S K O S L E Z S K Ý K R A J 1 Zavedení hash algoritmů SHA - 2 V návaznosti na oznámení Ministerstva vnitra o změně v kryptografických algoritmech,
Bc. Jan Kotlařík. Pojmy  Naslouchání  Falšování  Napodobování – podvádění, zkreslení  Šifrování a dešifrování  Detekce falšování  Autentizace 
Šifrovaná elektronická pošta Petr Hruška
Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.
Operační mody blokových šifer a hašovací algoritmy
Radim Farana Podklady pro výuku
Fakulta životního prostředí Katedra informatiky a geoinformatiky
POČET PRAVDĚPODOBNOSTI
Hašovací funkce nové generace SNMAC Vlastimil Klíma Nezávislý kryptolog, v.klima (at) volny.czv.klima (at) volny.cz,
Úvod do klasických a moderních metod šifrování Jaro 2008, 9. přednáška.
Hillova šifra Lester S. Hill (1929) Polygrafická šifra Φ: Amx K  Bm
Šifrovací algoritmy EI4. DES – Data Encryption Standard  Soukromý klíč  56 bitů  Cca 7,2 x klíčů  Rozluštěn v roce 1997.
BIS Elektronický podpis Roman Danel VŠB – TU Ostrava.
Úvod do klasických a moderních metod šifrování
RSA šifra Ronald Rivest, Adi Shamir a Leonard Adlemann.
Teorie čísel Prvočíslo Eulerova funkce φ(n)
Elektronický podpis Ochrana Dat Jan Renner
Radim Farana Podklady pro výuku
Feistlovy kryptosystémy Posuvné registry Lucifer DES, AES Horst Feistel Německo, USA IBM.
Šifrování pomocí počítačů Colossus 1948 ENIAC.
Hybridní kryptosystémy
1. 2 Zabezpečená mobilní komunikace 3 Private Circle chrání Vaši komunikaci před odposlechem či narušením. Jedná se o komplexní řešení pro zabezpečení.
1 Hašovací funkce, MD5 a čínský útok Vlastimil Klíma Seminář Bezpečnost Informačních Systémů v praxi,
Josef Petr Obor vzdělání: M/01 Informační technologie INSPIROMAT PRO TECHNICKÉ OBORY 1. ČÁST – VÝUKOVÉ MATERIÁLY URČENÉ PRO SKUPINU OBORŮ 18 INFORMAČNÍ.
McEllisova šifra.
McEllisova šifra. James Ellis( ) Clifford Cocks, Malcolm Williamson Alice Bob zpráva šum Odstranění šumu.
Bezpečnost systémů 2. RSA šifra *1977 Ronald Rivest *1947 Adi Shamir *1952 Leonard Adelman *1945 University of Southern California, Los Angeles Protokol.
Symetrická šifra Šifrovací zobrazení y = φ(x,k) Dešifrovací zobrazení x = ψ(y,k)
Kódování a šifrování Monoalfabetické šifry Polyalfabetické šifry
ELEKTRONICKÝ PODPIS Jiří Suchomel tel.: Přihlášení na:Tester kraj Heslo:ecibudrap.
Informační bezpečnost VY_32_INOVACE _BEZP_16. SYMETRICKÉ ŠIFRY  Používající stejný šifrovací klíč jak pro zašifrování, tak pro dešifrování.  Výhoda.
Informační bezpečnost VY_32_INOVACE _BEZP_17.  obdoba klasického podpisu, jež má zaručit jednoznačnou identifikaci osoby v prostředí digitálního světa.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Složitost algoritmu Vybrané problémy: Při analýze složitosti jednotlivých algoritmů často narazíme na problém, jakým způsobem vzít v úvahu velikost vstupu.
Symetrická šifra Šifrovací zobrazení y = φ(x,k) Dešifrovací zobrazení x = ψ(y,k)
Stránkování MATĚJ JURIČIČ 2015/2016 EP1 SPŠ A VOŠ JANA PALACHA KLADNO.
Prezentace – X33BMI Petr PROCHÁZKA
Ing. Martin Kořínek eGoncentrum ORP Nový Bydžov
Definiční obor a obor hodnot
Operační program Vzdělávání pro konkurenceschopnost
ZAL – 3. cvičení 2016.
Feistlovy kryptosystémy
Úvod do klasických a moderních metod šifrování
Soustava lineárních nerovnic
Číselné soustavy Číselné soustavy reprezentují čísla, která jsou pro nás symbolem určitého množství – kvantity. Desítkovou soustavu se učíme již v první.
Úvod do klasických a moderních metod šifrování
Hybridní kryptosystémy
Bezpečnost systémů 2.
Elektronický (digitální) podpis
HASH.
Transkript prezentace:

Ochrana dat Radim Farana Podklady pro výuku

Obsah Kryptografické systémy s tajným klíčem,  výměna tajných klíčů veřejným kanálem,  systémy s tajným klíčem. Elektronický podpis. Certifikační autorita. Metody zabezpečení komunikace.

Výměna tajných klíčů ve veřejném kanálu Diffie-Hellman-Merkle Whitfield Diffie * New York Ralph C. Merkle Martin E. Hellman * *

Systémy s veřejným klíčem Ze šifrovacího klíče nelze učit klíč dešifrovací. Funkce k = f(k -1 ) je neinverzibilní. Jednocestná funkce (je možno snadno určit f(x) a „velmi nesnadno“ f -1 (x)). Základní principy: zavazadlový problém, faktorizace velkých čísel.

RSA 1.Převedeme alfanumerické vyjádření znaků na numerické (obvykle se používá ASCII kód). 2.Text rozdělíme na bloky stejné délky. Obsah jednoho bloku vyjádříme jako x. 3.Zvolíme číslo N, které je součinem dvou náhodně zvolených 100-místných prvočísel N = p  q. Číslo N má tedy 200 míst v dekadickém vyjádření. Přitom chceme, aby platilo 1  x < N. 4.Zvolíme šifrovací exponent s, tak aby byl nesoudělný s  (N), tedy aby platilo (s,  (N)) = (s, (p - 1)(q - 1)) = 1. 5.Každý účastník zveřejní čísla N a s spolu se svou adresou v telefonním seznamu. 6.Dále najde číslo t, aby vyhovovalo kongruenci t  s  1 mod  (N), respektive t  s  1 mod (p - 1)(q - 1). Protože platí (s,  (N)) = 1, má tato kongruence jediné řešení. 7.K šifrování bude použita transformace y = x s mod N a k dešifrování transformace x = y t mod N. 8.Šifrovaný text se přenáší běžným přenosovým kanálem. Ronald L. Rivest * San Francisco, USA Adi ShamirLeonard M. Adleman * *

RSA – příklad použití volíme p = 31, q = 37, odtud N = 1147 určíme  (N) = (p - 1)(q - 1) = 1080 = , zvolíme nesoudělný šifrovací exponent s = 7, určíme dešifrovací exponent t  7  1 mod 1080, neboli t.7 – 1 = i.1080 t = 463.

RSA - realizace Šifrujeme:100 7 mod 1147 = 803, Dešifrujeme: mod 1147 = 100, pro násobení v modulo N platí: x.x mod N = (x 1 N + x 2 )( x 1 N + x 2 ) mod N = = (x 1 2 N 2 + 2x 1 x 2 N + x 2 2 ) mod N = x 2 x 2 mod N, postupné násobení: ((x.x mod N).x mod N)...

PGP Pretty Good Privacy 1991 první freeware verze. Tři roky vyšetřování pro narušení zákona o zákazu vývozu kryptografického software RSA a/nebo DH systém pro šifrování náhodného tajného klíče IDEA (International Data Encryption Algorithm) Řešení elektronického podpisu Phil Zimmermann * Camden, NJ, USA

Elektronický podpis Zpráva Podpis kBkB kBkB kAkA kBkB Zpráva kAkA kBkB Podpis hash Podpis hash Podpis ????????

Certifikační autorita Sdílení důvěry věří Ověření veřejného klíče věří Certifikace autorit vzájemně Certifikační autorita

Hašovací funkce Zpočátku byla jako hašovací funkce označována funkce, která libovolně velkému vstupu přiřazovala krátký hašovací kód o pevně určené délce. V současné době se označení hašovací funkce používá v kryptografii pro kryptografickou hašovací funkci, která má oproti původní definici ještě navíc vlastnosti jednosměrnosti (one-way) a bezkoliznosti (collission-free).

Jednosměrnost Jednosměrnost znamená, že z M je možno snadno vypočítat h(M), ale obráceně to je pro náhodně zadaný hašovací kód H výpočetně nezvládnutelné.

Bezkoliznost Bezkoliznost prvního řádu vyžaduje, aby bylo výpočetně nezvládnutelné nalezení libovolných dvou různých zpráv M a M‘ tak, že h(M) = h(M‘). Pokud se toto stane, nalezli jsme kolizi. Tato vlastnost je důležitá u elektronických podpisů. Umožňuje nám podepisovat pouze hašovací kód (zkráceně haš) a nikoliv celou zprávu, která může být značně dlouhá (u MD5/SHA-1/SHA-256 prakticky až do délky bitů).

Bezkoliznost Bezkoliznost druhého řádu nebo také odolnost proti nalezení druhého vzoru požaduje, aby pro daný náhodný vzor x bylo výpočetně nezvládnutelné nalezení druhého vzoru pro které platí.

Kolize při použití hašovací funkce Je třeba si uvědomit, že existuje velmi mnoho různých zpráv ( ) pro maximální délku zprávy D. Naproti tomu existuje jen málo hašovacích kódů (u algoritmu MD-5 je to jen ). Nutně tedy existuje velké množství kolizí (v průměru je to kolem 2 D-127 ). Jde tedy o to, aby nebyly nalezitelné v dostupném čase.

Kolize při použití hašovací funkce M M‘M‘ Množina vzorů Množina obrazů Hašovací funkce h(M) = h(M‘)

Náhodné orákulum Jako orákulum označujeme libovolný stroj, který na vstup odpovídá nějakým výstupem, a to na stejný vstup vždy stejným výstupem. Jako náhodné orákulum pak označujeme orákulum, které novému vstupu přiřadí náhodnou hodnotu výstupu a zapamatuje si ji pro příští použití. Jakmile je orákulu předložen stejný vstup, odpoví opět stejným výstupem. Je tedy zřejmé, že bychom byli rádi, kdyby se hašovací funkce chovala jako náhodné orákulum. V takovém případě by složitost nalezení vzoru (zprávy) ke známému obrazu (hašovacímu kódu) byla rovna 2 n, kde n – počet bitů obrazu.

Pravděpodobnost nalezení kolize Jak velká musí být množina náhodných zpráv, aby se v ní s významnou pravděpodobností vyskytovaly alespoň dvě zprávy se stejným hašovacím kódem? Pro 50% pravděpodobnost výskytu kolize očekáváme, že pro n-bitovou hašovací funkci to bude množina vzorů. Známý narozeninový paradox však říká, že pro n-bitovou hašovací funkci nastává kolize se zhruba 50% pravděpodobností již v množině vzorů. Pro 160bitový hašovací kód bychom očekávali ale bude to pouze. Dostupné hašovací funkce jsou náchylné na kolize prvního druhu, ale nikoliv druhého druhu.

Konstrukce hašovacích funkcí Zpráva zpracovávaná hašovací funkcí může být velmi dlouhá (např. ), takže ji musíme zpracovávat po blocích. Doplníme zarovnání zprávy na délku danou celistvým násobkem délky bloku. Nejčastěji je proto zarovnání definováno jako jednička a řada nul, za kterými následuje délka původní zprávy - Damgard-Merklovo zesílení, Ivan Bjerre Damgård *

Iterativní hašovací funkce Hašovací funkce používají Damgard-Merklův (DM) princip iterativní hašovací funkce s využitím kompresní funkce. Kompresní funkce f zpracovává blok m i zprávy a produkuje výsledek, označovaný jako kontext H i postupně pro i = 1, 2, …, N. Hodnota kontextu je pak vstupem do dalšího iteračního kroku. Na počátku musí být kontext H 0 nastaven na inicializační hodnotu (IV – initial value), která je určena jako konstanta v definici hašovací funkce.

Kompresní funkce Kontextem bývá obvykle několik 16bitových nebo 32bitových slov, u MD5 jsou to čtyři slova A, B, C, D (celkem 128 bitů). f kompresní funkce HiHi H i-1 mimi

Bezkoliznost kompresní funkce Pokud je hašovací funkce bezkolizní, bude bezkolizní také kompresní funkce. Opačně je situace složitější. Pro Damgard-Merklovu konstrukci hašovací funkce bylo dokázáno, že pokud je bezkolizní kompresní funkce, je bezkolizní také hašovací funkce.

Princip doplňování, kompresní funkce a iterativní hašovací funkce

Konstrukce kompresní funkce Ta musí být velmi robustní, musí zajistit dobré promíchání bitů zprávy a jednocestnost. Můžeme je konstruovat např. na základě známých jednocestných funkcí a použít znalosti z oblasti blokových šifer: kde je E – kvalitní bloková šifra Davies-Meyerova konstrukce kompresní funkce pak zesiluje vlastnost jednocestnosti ještě přičtením vzoru před výstupem:

Kompresní a hašovací funkce MD5

Bezpečnost MD-5 Algoritmus MD5 se stal předmětem rozsáhlých útoků. Bylo nalezeno několik postupů nalezení kolizí prvního řádu. Útočník umí najít dvě různé (náhodné) zprávy se stejným hašovacím kódem. Ale není schopen stejně snadno nalézt kolizi druhého řádu, tedy najít druhý vzor (zprávu) se stejným hašovacím kódem. Obdobně byly prezentovány útoky schopné se složitostí 2 33 hašovacích operací pokořit algoritmus SHA-0 a se složitostí 2 69 hašovacích operací algoritmus SHA-1 (narozeninový paradox očekává 2 80 operací). To je sice stále velké číslo, ale vzhledem ke stálému růstu výkonu počítačů (v souladu s Mooreovým zákonem) nelze tuto skutečnost podceňovat. Jsou dokumentovány postupy, jak může útočník oklamat certifikační autoritu a získat certifikát na dva různé šifrovací klíče

Třída hašovacích funkcí SHA-2 od 1. února 2003 k dispozici nová trojice hašovacích funkcí (Secure Hash Algorithm) SHA-256, SHA-384 a SHA-512 (souhrnně označované jako SHA-2) a od února 2004 SHA-224 (dodatek SHA-2). Tyto funkce zvětšuji délky hašovacího kódu na 256, 384 a 512 bitů (SHA-224 má 224 bitový hašovací kód), což odpovídá složitosti 2 128, a pro nalezení kolizí narozeninovým paradoxem.

Třída hašovacích funkcí SHA-3 V roce 2012 byla po pěti letech ukončena soutěž pro nový standard SHA-3 a přitom byl ve stejné době vydán další standard, který používá již známý standard SHA512, s výhodou využívající 64bitové operace na 64bitových procesorech. Jeho výstup je pak zkrácen na potřebnou délku t. Tak vznikají algoritmy SHA-512/t, neboli SHA- 512/224, SHA-512/256, SHA-512/384 a SHA-512/512.

Platební karta

Elektronická peněženka

Elektronické peníze

Základní požadavky nepadělatelnost možnost ověření platnosti bankovky přenositelnost z osoby na osobu (fax, ,...) anonymita plateb (neidentifikovatelnost) nízké náklady na výrobu dělitelnost problém dvojí úhrady

Zabezpečení mobilní komunikace Mobile Station Mobile Terminal Subscriber Identification Module Authentication Centre GSM Net Žádost o login 1 2 Žádost o autentizaci 3 RNGKlíč A Šifrovací klíč pro A5 6 Přístup povolen ano SRES’=SRES ne SRES = A3(RAND, Klíč) Kc = A8(RAND, Klíč) SRESKc A38(RAND, Klíč)

Vlastní komunikace 114 b uplink 114 b downlink Data burst (114 b + synchronizace) (časový slot 576,9 μs) Časové sdílení kanálu: Time Division Multiple Access 64 b22 b KcČíslo TDMA rámce A5 + + Opakování čísla TDMA rámce cca po 3,5 hod. komunikace 017 Časový slot TDMA rámec … Princip A5 Posuvný registr s lineární zpětnou vazbou (LSFR - linear feedback shift register) LSFR R1 LSFR R2 LSFR R3 + bit hesla C R1, 10 R2, 12 R3, 12 Nelineární řízení krokování (clock-controlled) LSFR