en status på kryptoalgoritmer
DESCRIPTION
Foredrag fra konference Digital Signatur 2009.TRANSCRIPT
2
En status på kryptoalgoritmer- Forældede algoritmer og fremtidssikre nøgler
Jakob I. Pagter
Forsknings- og Innovationschef
Center for it-sikkerhed
Alexandra Instituttet A/S
3
Tak for idag…
Level Protection Symmetric Asymmetric Hash
1 Attacks in "real-time" by individualsOnly acceptable for authentication tag size
32 - -
2 Very short-term protection against small organizationsShould not be used for confidentiality in new systems
64 816 128
3 Short-term protection against medium organizations, medium-term protection against small organizations
72 1008 144
4 Very short-term protection against agencies, long-term protection against small organizationsSmallest general-purpose level, 2-key 3DES restricted to 240 plaintext/ciphertexts, protection from 2009 to 2012
80 1248 160
5 Legacy standard level2-key 3DES restricted to 106 plaintext/ciphertexts, protection from 2009 to 2020
96 1776 192
6 Medium-term protection3-key 3DES, protection from 2009 to 2030
112 2432 224
7 Long-term protectionGeneric application-independent recommendation, protection from 2009 to 2040
128 3248 256
8 "Foreseeable future"Good protection against quantum computers
256 15424 512
4
Alexandra Instituttet A/S
5
Center for it-sikkerhed
Kompetencer
· Secure Multiparty Computation
· Autentifikation
· Brugbarhed
· Sikker kommunikation
· Forretningsforståelse
Bagland
· Aarhus Universitet
· DTU Informatik
· IBM
· Logica
· Danske Bank
· Cryptomathic
· Århus Kommune
· KMD
6
CACE – Computer Aided Cryptographic Engineering (EU/FP7)
NaCl
· High-speed crypto library
· No license
· Primært TU/e + Dan Bernstein
· nacl.cace-project.eu
VIFF
· Secure Multiparty Computation
· GPL
· Primært AU, Alexandra, Haifa
· viff.dk
7
Planen
· Baggrund
· Algoritmer
· Nøgler
8
Baggrund: Egenskaber
9
Baggrund: One-time-pad
•Klartekst og nøgle er lige lange |m| = n og |k| = n
•Nøglen er n tilfældige bits.
•i’te bit af Ek(m) = mi ci
x 0 0 1 1
y 0 1 0 1
xy 0 1 1 0
m 1 0 1 0 0
k 0 0 1 1 0
c 1 0 0 1 0
10
Baggrund: Beregningsmæssig sikkerhed
•Genbrug af nøgler og beskeder som er meget længere en nøglen er ønskeligt i praksis
•Fundamentalt angreb: Exhaustive key search•Gennemløb alle mulige nøgler
11
Baggrund: Kerchoffs princip
Algoritmen (chifret) offentligt kendt
To angrebsvektorer•“class break” – chifret brudt
•“instance break” – instans dekrypteret
Stol aldrig på et chiffer hvor algoritmen er hemmelig (WEP, GSM)
12
Baggrund: Cæsar
•Substitionscifferet: ”læg k til højre” i alfabetet: k=3: a→d, b→e, …, æ→a
•Nøgle:=3, m=sikkerhed
•c = E3(sikkerhed) = vlnnhukhg
•D3(vlnnhukhg) = sikkerhed = m
13
Baggrund: Livscyklus for en kryptoalgoritme
14
Algoritmer: Symmetrisk krypto
Egenskaber
· Afsender og modtager deler nøgle
· God performance
· Block ciphers
· Stream ciphers
State-of-the-art
· 3DES
· Kasumi
· Blowfish
· AES*
· (RC4)
· Snow 2.0
· eStream· Eg. Salsa20
· www.ecrypt.eu.org/stream/* Måske har den første rust vist sig – Shamir et al. 2009
Block
Stream
15
Algoritmer: Brudte symmetriske chifre
· DES
· WEP
DES cracker (EFF)
16
Algoritmer: Asymmetrisk krypto
Egenskaber
· Modtager og afsender har hver sin nøgle – offentlig og privat
· Relativt dårlig performance
· Matematik struktur· Sikkerhed baseret på
antagelse om sværhed
· brute-force kan forbedres
State-of-the-art
· RSA
· RSA-OAEP
· Elliptic Curve
17
Algoritmer: Brudte asymmetriske chifre
· Knapsack
· NTRU
· Varianter af McEliece· Det oprindelige chiffer er ikke brudt, men ineffektivt
18
Algoritmer: Digital signatur – en reminder
· Baseret på asymmetrisk krypto· Fx RSA
· Uafviselighed
· Ineffektiv og usikker (hvis brugt direkte)
· Løsning: hashfunktioner
19
Algoritmer: Hashfunktioner
Egenskaber
· Vilkårlig inputstørrelse
· Fast størrelse output
· Effektiv
· Kollisioner svære at findex,y: h(x)=h(y)
State-of-the-art
· (RIPEMD-128)
· RIPEMD-160
· (SHA-1)
· SHA-224, SHA-256
· SHA-384, SHA-512
· Whirlpool
· SHA-3/NIST competion (2012)
input
output
x
y
h(x)
20
Algoritmer: Brudte hashfunktioner
· MD5
· SHA-0
· RIPEMD
21
Algoritmer: State-of-the-art-overblik
Symmetrisk Asymmetrisk Hash
3DES RSA RIPEMD-160
Kasumi RSA-OEAP SHA-224/256
Blowfish Elliptic Curve SHA-384/512
AES Whirlpool
Snow2.0 SHA-3 (2012)
eStream-porteføljen
22
Nøgler: Størrelse – hvordan
Parametre
· Hvor længe?
· Angriber-model
· Hardware-udvikling· Moores lov
· Krypt-analyse
Angriber-model· Hacker: €0
· Small org: €10.000
· Medium org: €300.000
· Large org: €10.000.000
· Intelligence agency: €300.000.000
ECRYPT2 Yearly Report on Algorithms and Keysizes (2008-2009); www.ecrypt.eu.org
23
Nøgler: Anbefalede størrelser
Level Protection Symmetric Asymmetric Hash
1 Attacks in "real-time" by individualsOnly acceptable for authentication tag size
32 - -
2 Very short-term protection against small organizationsShould not be used for confidentiality in new systems
64 816 128
3 Short-term protection against medium organizations, medium-term protection against small organizations
72 1008 144
4 Very short-term protection against agencies, long-term protection against small organizationsSmallest general-purpose level, 2-key 3DES restricted to 240 plaintext/ciphertexts, protection from 2009 to 2012
80 1248 160
5 Legacy standard level2-key 3DES restricted to 106 plaintext/ciphertexts, protection from 2009 to 2020
96 1776 192
6 Medium-term protection3-key 3DES, protection from 2009 to 2030
112 2432 224
7 Long-term protectionGeneric application-independent recommendation, protection from 2009 to 2040
128 3248 256
8 "Foreseeable future"Good protection against quantum computers
256 15424 512
Baseret på www.keylength.com
24
Nøgler: Schneiers hundehus