Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

ICZ a.s.1. Na kanálu se pracuje aneb O revolučním objevu v kryptoanalýze Vlastimil Klíma 1 a Tomáš Rosa 1,2 {vlastimil.klima, 1 ICZ,

ZveřejnilŠarlota Zemanová

Podobné prezentace

Prezentace na téma: "ICZ a.s.1. Na kanálu se pracuje aneb O revolučním objevu v kryptoanalýze Vlastimil Klíma 1 a Tomáš Rosa 1,2 {vlastimil.klima, 1 ICZ,"— Transkript prezentace:

1 ICZ a.s.1

2 Na kanálu se pracuje aneb O revolučním objevu v kryptoanalýze Vlastimil Klíma 1 a Tomáš Rosa 1,2 {vlastimil.klima, tomas.rosa}@i.cz 1 ICZ, a.s. 2 katedra počítačů, ČVUT – FEL

3 ICZ a.s.3 Obsah Proč postranní kanály ? Definice Ukázky jednotlivých typů PK a protiopatření

4 ICZ a.s.4 Proč zrovna postranní kanály? souboj kryptografů a kryptoanalytiků abstraktní model vs. praktická realizace kryptoanalytici prokázali mimořádnou virtuozitu ve využívání těch nejnicotnějších detailů z praktické realizace šifer, protokolů, programů, knihoven apod. týká se to všech operačních systémů, všech černých skříněk,... i těch nej nej Útočník využívající postranní kanál

5 ICZ a.s.5 To není povstání, to je revoluce Sire... technické hledisko (nové metody, kombinace znalostí, mnohaoborová záležitost) vysoká účinnost, nemající historickou obdobu zcela mění pohled na kryptografii zcela mění pohled na bezpečnost evokuje vznik nových směrů jak v kryptoanalýze, tak v kryptografii

6 ICZ a.s.6 Jak jsme k nim přišli? práce pro NBÚ - moduly CSP návrhy opatření proti PK jak je to jinde? OpenPGP, 2001 RSA-OAEP, 2002 RSA-KEM, 2002 CBC, 2002 PKCS#7, 2003 [6][6] [16] [15] [13] New

7 ICZ a.s.7 Závěr OW 2001 Stavební prvky Symetrické algoritmy (CAST, TripleDES, AES) Hašovací funkce (SHA-1, SHA-256, 384, 512) RNG (FIPS PUB 140-2) Asymetrické - podpis (RSA, DSA, ECDSA) Asymetrické - výměna klíčů (RSA, DH, ECC) Kryptografické aplikace důležité vědět, jak skládat jednotlivé stavební prvky know-how, standardy Závěr z OW 2001.... OW 2003: know-how a standardy se ve světle PK budou měnit [10]

8 ICZ a.s.8 Definice PK

9 ICZ a.s.9 jsou mezi námi....

10 ICZ a.s.10 Elektromagnetické PK Paradoxně „nejmladší“ zástupce postranních kanálů První veřejná zpráva: květen 2001 SSL akcelerátor na sběrnici PCI vyzařoval do vzdálenosti 12,192 m (40 ft) Ve vzdálenosti 4,572 m (15 ft) šlo rozeznat základní fáze výpočtu RSA AM, f c = 299 MHz,  f = 1 MHz [2][2]

11 ICZ a.s.11 Časový postranní kanál je typický PK, vzniká všude tam, kde implementace je taková, že průběh operace významným způsobem závisí na datech u asymetrických šifer: m d mod n (např. RSA, DSA, D-H) u symetrických šifer (DES, RC5, IDEA, AES...)

12 ICZ a.s.12 Časový postranní kanál Výpočet y = (m d mod n) algoritmem square and multiply d = d 0 d 1... d b-1 (nejvyšší bit d 0 = 1) R = m for i = 1 to b-1 { R = R 2 mod n if (d i == 1) then R = R*m mod n } return R Časová náročnost operace if then vyzařuje informaci o bitu klíče d i. [19] [7][7]

13 ICZ a.s.13 Proudový PK SPA – Simple Power Analysis DPA – Differential Power Analysis

14 ICZ a.s.14 SPA - SIM Ověřování PINu PIN OK PIN BAD

15 ICZ a.s.15 Chybové PK podmínky pro ně jsou ve skutečnosti připraveny v samém jádru šifrovacích algoritmů, protokolů a standardů příklady: symetrické šifry asymetrické šifry

16 ICZ a.s.16 ECB - PK? způsob použití šifry,............ převeďte 1 0 0 0,- Kč........... 3tdszj34 j7čžuths bgžc4rš7 rg43č7řz...... úprava šifrového textu..... 3tdszj34 j7čžuths bgžc4rš7 bgžc4rš7 bgžc4rš7 rg43č7řz................. převeďte 1 0 0 0 0 0 0 0 0 0,- Kč........... 3tdszj34 j7čžuths bgžc4rš7 bgžc4rš7 bgžc4rš7 rg43č7řz...... "vyzařuje informaci" (pasivní útoky) umožňuje aktivní útoky

17 ICZ a.s.17 CBC

18 ICZ a.s.18 Postranní kanál v modu CBC "Bezpečná zóna" Klient (E K ) šifrov ý text chybové hlášení dešifrovací zařízení D K (server) otevřen ý text útočník otevřený text !!! popis útoku Vaudenay 2002 složitost v průměru 128 krát počet bajtů zprávy výsledkem je celý otevřený text [29]

19 ICZ a.s.19 Jak to, že to nebylo objeveno dříve? Další útoky jsou už podstatně složitější

20 ICZ a.s.20 Protiopatření ve změně paddingu ? Black, J., and Urtubia, H.: Side-Channel Attacks on Symmetric Encryption Schemes: The Case for Authenticated Encryption, In Proc. of 11th USENIX Security Symposium, San Francisco 2002, pp. 327-338. ABYT-PAD: ~~...~~X Y...Y Y Y odstraní to PK?....postranní kanály "nevisí ve vzduchu", jsou vždy vztaženy ke konkrétní realizaci

21 ICZ a.s.21 ABYT-PAD v kombinaci s PKCS#7 Existuje stejně účinný útok jako při klasickém paddingu New Side Channel Attacks on CBC Encrypted Messages in the PKCS#7 Format Vlastimil Klíma and Tomáš Rosa NATO conference, Security and Protection of Information, Brno, April 30, 2003

22 ICZ a.s.22 Protiopatření organizační - formou doporučení (lze obcházet) kryptografická - aby PK neposkytoval dostatečnou informaci podstata: zpracovávat poslední blok kryptograficky odlišně - informace odtud plynoucí nemá "nic společného se šifrováním předchozích bloků" [13]

23 ICZ a.s.23 Postranní kanály u asymetrických šifer RSA: modul n, veřejný exponent e, privátní exponent d data - doplnění (formátování), poté zašifrování: c = m e mod n odšifrování: m = c d mod n, poté kontrola formátu, odstranění doplňků problém: co když nevyjdou kontroly chybové hlášení je zdrojem PK

24 ICZ a.s.24 PKCS#1 vs. postranní kanály příklad 1024bitového modulu n 11001110................. formátování PKCS#1 v.1.5 - postranní kanál: Bleichenbacher, 1998, cca 2 miliony dotazů 0000000000000010...???...00000000 Data formátování PKCS#1 v.2.0 - postranní kanál: Manger, 2001, cca 1024 dotazů 00000000...???... formátování PKCS#1 v.2.0 s opatřením proti Mangerovu útoku – napěťově-proudový postranní kanál: Klíma, Rosa, 2002, polynomiální složitost 00000000...???... formátování RSA-KEM - chybový postranní kanál: Klíma, Rosa, 2002, cca 1024 dotazů...???... [3][3] [20] [15]

25 ICZ a.s.25 pHash=Hash(P), délka hLen bajtů DB EM = EME-OAEP-ENCODE(M,P,k-1), k-1 oktetů seedMask seed, délka hLen bajtů M (vlastní data, která se mají šifrovat ) MG F maskedSeed PS (nulové bajty vyplňující blok) 01 (separát or) dbMask maskedDB MG F XO R OAEPOAEP m (k oktetů) = OS2IP(EM) 00 c = RSAEP(m) = m e mod n PKCS#1v2.0 - formátování při zašifrování

26 ICZ a.s.26 Dekódování u OAEP

27 ICZ a.s.27 Závěr:....PK je každý nežádoucí způsob výměny informací mezi kryptografickým modulem a jeho okolím

28 ICZ a.s.28 Útoky postranními kanály mají ve srovnání s klasickou kryptoanalýzou nebývale vysokou účinnost Existuje množství druhů PK, další budou jistě objeveny Závěr Protiopatření: navržena vždy pro konkrétní případy, (dosud) neexistuje obecný předpis jak se vyhnout postranním kanálům Jedná se o revoluční pokrok v kryptoanalýze

29 ICZ a.s.29 Doprovodné kresby (c) Pavel Kantorek..... je nutné přijmout rázná opatření....

30 ICZ a.s.30 Literatura a další zdroje Literatura: viz text příspěvku (30 položek) Archiv článků na téma kryptografie a bezpečnost http://www.decros.cz/bezpecnost/_kryptografie.html Osobní stránky autorů (oznámení novinek, linky na články,..) http://cryptography.hyperlink.cz http://crypto.hyperlink.cz

Stáhnout ppt "ICZ a.s.1. Na kanálu se pracuje aneb O revolučním objevu v kryptoanalýze Vlastimil Klíma 1 a Tomáš Rosa 1,2 {vlastimil.klima, 1 ICZ,"

Podobné prezentace

PLAYBOY Kalendar 2007.

PLAYBOY Kalendar 2007.
© 2000 VEMA počítače a projektování spol. s r. o..

© 2000 VEMA počítače a projektování spol. s r. o..
Nadpis Portál pro komunikaci s občany 1 Portál pro komunikaci s veřejností Portál pro komunikaci s veřejností DATRON, a.s. ing. Jaromír Látal projektový.

Nadpis Portál pro komunikaci s občany 1 Portál pro komunikaci s veřejností Portál pro komunikaci s veřejností DATRON, a.s. ing. Jaromír Látal projektový.
TEORIE ROZHODOVÁNÍ A TEORIE HER

TEORIE ROZHODOVÁNÍ A TEORIE HER
Sídliště Dukla - Pardubice

Sídliště Dukla - Pardubice
EPCB, generování výstupů Bc. Tomáš Milerski Střední škola, Havířov-Šumbark, Sýkorova 1/613, příspěvková organizace Tento výukový materiál byl zpracován.

EPCB, generování výstupů Bc. Tomáš Milerski Střední škola, Havířov-Šumbark, Sýkorova 1/613, příspěvková organizace Tento výukový materiál byl zpracován.
1. 2 +30 -43 +18 -5 -21 +31 -2 +1 -32 -17 -11 +8 +33 +23 +19 *Zdroj: Průzkum spotřebitelů Komise EU, ukazatel GfK. Ekonomická očekávání v Evropě Březen.

*Zdroj: Průzkum spotřebitelů Komise EU, ukazatel GfK. Ekonomická očekávání v Evropě Březen.
Seznámení s asymetrickou kryptografií, díl 1.

Seznámení s asymetrickou kryptografií, díl 1.
Úvod do klasických a moderních metod šifrování Jaro 2008, 7. přednáška.

Úvod do klasických a moderních metod šifrování Jaro 2008, 7. přednáška.
Asymetrická kryptografie

Asymetrická kryptografie
Magnetohydrodynamický (MHD) generátor

Magnetohydrodynamický (MHD) generátor
PROGRAM PRO VÝUKU T ČLÁNKU

PROGRAM PRO VÝUKU T ČLÁNKU
AutorMgr. Lenka Závrská Anotace Očekávaný přínos Tematická oblastOperace s reálnými čísly Téma PředmětMatematika RočníkPrvní Obor vzděláváníUčební obory.

AutorMgr. Lenka Závrská Anotace Očekávaný přínos Tematická oblastOperace s reálnými čísly Téma PředmětMatematika RočníkPrvní Obor vzděláváníUčební obory.
Téma 3 ODM, analýza prutové soustavy, řešení nosníků

Téma 3 ODM, analýza prutové soustavy, řešení nosníků
Kvalita elektrické energie z pohledu distributora

Kvalita elektrické energie z pohledu distributora
Dynamické rozvozní úlohy

Dynamické rozvozní úlohy
Násobíme . 4 = 8 . 4 = . 4 = 6 . 4 = . 4 = 10 . 4 = . 2 = 9 .

Násobíme . 4 = = . 4 = = . 4 = = . 2 = 9 .
Elektrický obvod a jeho části

Elektrický obvod a jeho části
Téma: SČÍTÁNÍ A ODČÍTÁNÍ CELÝCH ČÍSEL 2

Téma: SČÍTÁNÍ A ODČÍTÁNÍ CELÝCH ČÍSEL 2
Vizualizace projektu větrného parku Stříbro porovnání variant 13 VTE a menšího parku.

Vizualizace projektu větrného parku Stříbro porovnání variant 13 VTE a menšího parku.

Podobné prezentace

Reklamy Google