2

En status på kryptoalgoritmer- Forældede algoritmer og fremtidssikre nøgler

Jakob I. Pagter

Forsknings- og Innovationschef

Center for it-sikkerhed

Alexandra Instituttet A/S

3

Tak for idag…

Level Protection Symmetric Asymmetric Hash

1 Attacks in "real-time" by individualsOnly acceptable for authentication tag size

32 - -

2 Very short-term protection against small organizationsShould not be used for confidentiality in new systems

64 816 128

3 Short-term protection against medium organizations, medium-term protection against small organizations

72 1008 144

4 Very short-term protection against agencies, long-term protection against small organizationsSmallest general-purpose level, 2-key 3DES restricted to 240 plaintext/ciphertexts, protection from 2009 to 2012

80 1248 160

5 Legacy standard level2-key 3DES restricted to 106 plaintext/ciphertexts, protection from 2009 to 2020

96 1776 192

6 Medium-term protection3-key 3DES, protection from 2009 to 2030

112 2432 224

7 Long-term protectionGeneric application-independent recommendation, protection from 2009 to 2040

128 3248 256

8 "Foreseeable future"Good protection against quantum computers

256 15424 512

4

Alexandra Instituttet A/S

5

Center for it-sikkerhed

Kompetencer

· Secure Multiparty Computation

· Autentifikation

· Brugbarhed

· Sikker kommunikation

· Forretningsforståelse

Bagland

· Aarhus Universitet

· DTU Informatik

· IBM

· Logica

· Danske Bank

· Cryptomathic

· Århus Kommune

· KMD

6

CACE – Computer Aided Cryptographic Engineering (EU/FP7)

NaCl

· High-speed crypto library

· No license

· Primært TU/e + Dan Bernstein

· nacl.cace-project.eu

VIFF

· Secure Multiparty Computation

· GPL

· Primært AU, Alexandra, Haifa

· viff.dk

7

Planen

· Baggrund

· Algoritmer

· Nøgler

8

Baggrund: Egenskaber

9

Baggrund: One-time-pad

•Klartekst og nøgle er lige lange |m| = n og |k| = n

•Nøglen er n tilfældige bits.

•i’te bit af Ek(m) = mi ci

x 0 0 1 1

y 0 1 0 1

xy 0 1 1 0

m 1 0 1 0 0

k 0 0 1 1 0

c 1 0 0 1 0

10

Baggrund: Beregningsmæssig sikkerhed

•Genbrug af nøgler og beskeder som er meget længere en nøglen er ønskeligt i praksis

•Fundamentalt angreb: Exhaustive key search•Gennemløb alle mulige nøgler

11

Baggrund: Kerchoffs princip

Algoritmen (chifret) offentligt kendt

To angrebsvektorer•“class break” – chifret brudt

•“instance break” – instans dekrypteret

Stol aldrig på et chiffer hvor algoritmen er hemmelig (WEP, GSM)

12

Baggrund: Cæsar

•Substitionscifferet: ”læg k til højre” i alfabetet: k=3: a→d, b→e, …, æ→a

•Nøgle:=3, m=sikkerhed

•c = E3(sikkerhed) = vlnnhukhg

•D3(vlnnhukhg) = sikkerhed = m

13

Baggrund: Livscyklus for en kryptoalgoritme

14

Algoritmer: Symmetrisk krypto

Egenskaber

· Afsender og modtager deler nøgle

· God performance

· Block ciphers

· Stream ciphers

State-of-the-art

· 3DES

· Kasumi

· Blowfish

· AES*

· (RC4)

· Snow 2.0

· eStream· Eg. Salsa20

· www.ecrypt.eu.org/stream/* Måske har den første rust vist sig – Shamir et al. 2009

Block

Stream

15

Algoritmer: Brudte symmetriske chifre

· DES

· WEP

DES cracker (EFF)

16

Algoritmer: Asymmetrisk krypto

Egenskaber

· Modtager og afsender har hver sin nøgle – offentlig og privat

· Relativt dårlig performance

· Matematik struktur· Sikkerhed baseret på

antagelse om sværhed

· brute-force kan forbedres

State-of-the-art

· RSA

· RSA-OAEP

· Elliptic Curve

17

Algoritmer: Brudte asymmetriske chifre

· Knapsack

· NTRU

· Varianter af McEliece· Det oprindelige chiffer er ikke brudt, men ineffektivt

18

Algoritmer: Digital signatur – en reminder

· Baseret på asymmetrisk krypto· Fx RSA

· Uafviselighed

· Ineffektiv og usikker (hvis brugt direkte)

· Løsning: hashfunktioner

19

Algoritmer: Hashfunktioner

Egenskaber

· Vilkårlig inputstørrelse

· Fast størrelse output

· Effektiv

· Kollisioner svære at findex,y: h(x)=h(y)

State-of-the-art

· (RIPEMD-128)

· RIPEMD-160

· (SHA-1)

· SHA-224, SHA-256

· SHA-384, SHA-512

· Whirlpool

· SHA-3/NIST competion (2012)

input

output

x

y

h(x)

20

Algoritmer: Brudte hashfunktioner

· MD5

· SHA-0

· RIPEMD

21

Algoritmer: State-of-the-art-overblik

Symmetrisk Asymmetrisk Hash

3DES RSA RIPEMD-160

Kasumi RSA-OEAP SHA-224/256

Blowfish Elliptic Curve SHA-384/512

AES Whirlpool

Snow2.0 SHA-3 (2012)

eStream-porteføljen

22

Nøgler: Størrelse – hvordan

Parametre

· Hvor længe?

· Angriber-model

· Hardware-udvikling· Moores lov

· Krypt-analyse

Angriber-model· Hacker: €0

· Small org: €10.000

· Medium org: €300.000

· Large org: €10.000.000

· Intelligence agency: €300.000.000

ECRYPT2 Yearly Report on Algorithms and Keysizes (2008-2009); www.ecrypt.eu.org

23

Nøgler: Anbefalede størrelser

Level Protection Symmetric Asymmetric Hash

1 Attacks in "real-time" by individualsOnly acceptable for authentication tag size

32 - -

2 Very short-term protection against small organizationsShould not be used for confidentiality in new systems

64 816 128

3 Short-term protection against medium organizations, medium-term protection against small organizations

72 1008 144

4 Very short-term protection against agencies, long-term protection against small organizationsSmallest general-purpose level, 2-key 3DES restricted to 240 plaintext/ciphertexts, protection from 2009 to 2012

80 1248 160

5 Legacy standard level2-key 3DES restricted to 106 plaintext/ciphertexts, protection from 2009 to 2020

96 1776 192

6 Medium-term protection3-key 3DES, protection from 2009 to 2030

112 2432 224

7 Long-term protectionGeneric application-independent recommendation, protection from 2009 to 2040

128 3248 256

8 "Foreseeable future"Good protection against quantum computers

256 15424 512

Baseret på www.keylength.com

24

Nøgler: Schneiers hundehus