Opgaven AES Security, 17 september 2018, Werkgroep.

Transcriptie

1 Opgaven AES Security, 17 september 2018, Werkgroep. Gebruik deze opgaven, naast die uit het boek, om de stof te oefenen op het werkcollege. Cijfer: Op een toets krijg je meestal zes tot acht opgaven. 1. Bescherming van DES: Je wilt data op een website versleutelen met beschermingsnivo 48 bits; dwz., je wilt dat een CipherText Only aanval minstens 2 48 stappen werk is. (a) Welk van de varianten: DES, 2DES of 3DES kan hier worden gebruikt? Motiveer! (b) Welke variant kun je gebruiken voor 96 bits veiligheid? Oplossing: (a) De sleutellengte van DES is 56 bits, dus een KPA is uitvoerbaar met 2 56 en/decrypties. DES is vrijwel zeker zo goed dat het niet met minder kan, dus je kunt deze data versleutelen met DES. (b) 2DES heeft sleutels van 112 bits, maar vanwege de Meet-in-the-middle aanval biedt het toch slechts de bescherming van een 57-bits sleutel tegen een KPA. Je moet daarom 3DES gebruiken, waarbij je wel 168 bits keys hebt, maar een KPA ongeveer operaties kost. Beoordeling/Toelichting: Max. 2 punten, 1 voor (a) en 1 voor (b). Bij alleen noemen 3DES zonder motivatie geen punten. Zonder noemen van rekentijd aanvallen max 1 punt.

2 2. De DES Miner: Je koopt een Bitcoin Miner van 2TH (TeraHash per seconde) en herprogrammeert deze om DES decrypties uit te voeren. Het rekenwerk van een decryptie blijkt ongeveer evenveel te zijn als de hashes waar de machine voor verkocht werd. (a) Hoeveel tijd kost het je om een gegeven cipher-block te decrypten met alle DES sleutels? (b) Door het beluisteren van Wifi-verkeer hoor je een text X en een antwoord Y, beide 32 Byte lang, waarbij Y = DES k (X). Hoe snel kan jouw machine k vinden? Oplossing: (a) Tera is dus de machine rekent 2T ofwel sleutels per seconde. Voor de keyspace van 2 56 bits heb je dus 36028sec nodig, 10h (en een halve minuut). (Als je met T = 2 40 rekent, officieel is dat TiBi ipv Tera, kom je op 9h06m.) (b) Je kunt per key de hele text decrypten en vergelijken, die bestaat uit 4 DES datablokken van 8 Bytes (64 bit), wat je dan 4 decrypties per key kost. Voor alle keys heb je dan 40 uur nodig. Maar: (1) Verwacht heb je halverwege succes dus na 20h. (2) Nog slimmer is om per key alleen het eerste blok van Y te decrypten, en alleen bij gelijkheid aan X met die key verder te gaan. Dan is het in 5 uur klaar. Beoordeling/Toelichting: Voor elke deelvraag een punt dus totaal 2. D = In plaats van Y Decrypten kun je ook X encrypten. E = Een beschouwing over Entropie hoort eigenlijk bij een COA thuis. Als X bekend is kun je de theorie wel toepassen, maar met een taal die alleen X bevat dus entropie 0 heeft. De kritieke lengte is dan gelijk aan de sleutellengte, waaruit blijkt dat decryptie van het eerste blok genoeg is. G = Geen van de twee genoemde verbeteringen opgemerkt, 1/2. H = Vraag (a) gaat over decryptie met alle keys; opmerking dat je verwacht na de Helft klaar bent, hoort dus niet bij (a) maar bij (b). L = Lengte van X en Y is niet zo belangrijk voor het aantal decrypties, want X en Y zijn bekend. M = Meet-in-the-Middle is tegen 2DES. R = Zelfs met een vergeten Rekenmachine kun je toch wel bedenken dat 2 56 /2 41 = 2 15 en dat dit ongeveer 9 uur is. T = Twee TH is niet hetzelfde als 1TH. V = De tekst bestaat uit Vier blokken, het antwoord uit (a) overnemen zonder verdere uitleg is daarom niet goed. Ook al doet de lengte van X en Y er uiteindelijk niet toe, je moet er wel iets over zeggen voor volle punten. Z = Werk Zorgvuldig! Een uur is niet hetzelfde als een dag of een minuut, de keylengte 56 is niet hetzelfde als 48 of 64, snelheid 2TH is niet hetzelfde als 1TH, en een T is (of eventueel 2 40 ) en niet hetzelfde als 10 9 of DES, 2DES en 3DES: De sleutellengte van DES is te klein om langdurig bescherming te bieden tegen een Known Plaintext Attack. Voor een bepaalde toepassing eisen we security level 80, wat wil zeggen dat een KPA de aanvaller tenminste 2 80 encrypties/decrypties moet kosten. Welk van de varianten: DES, 2DES of 3DES moet hier worden gebruikt? Motiveer! Oplossing: De sleutellengte van DES is 56 bits, dus een KPA is uitvoerbaar met 2 56 en/decrypties. 2DES heeft sleutels van 112 bits, maar vanwege de Meet-in-the-middle aanval biedt het toch slechts de bescherming van een 57-bits sleutel tegen een KPA. Je moet daarom 3DES gebruiken, waarbij je wel 168 bits keys hebt, maar een KPA ongeveer operaties kost. Beoordeling/Toelichting: Max. 2 punten. Bij alleen noemen 3DES zonder motivatie geen punten. Zonder noemen van rekentijd aanvallen max 1 punt.

3 4. Zwakte van DES en 3DES: Tegen de veiligheid van DES zijn meerdere bedenkingen ingebracht nl.: (I) Door de korte sleutel is de kritieke lengte te laag; (II) DES is kwetsbaar tegen differentiële analyse; (III) De NSA heeft mogelijk een achterdeurtje ingebouwd; (IV) Door de korte sleutel is DES kwetsbaar tegen een BFA. (a) Zeg van elk hoe relevant ze zijn (1 zin per bedenking). (b) Wat is de sleutellengte van 3DES en welk van de bezwaren geldt voor 3DES? Oplossing: (a) (I) De kritieke lengte is inderdaad laag, maar dat is bij alle praktische systemen zo, en om dat te gebruiken is een BFA nodig, dus niet direct erg. (II) DES is juist niet kwetsbaar maar erg goed beveiligd hiertegen. (III) Van een achterdeurtje is in 40 jaar niets gebleken, dus vrijwel zeker bestaat het niet. (IV) Inderdaad is 2 56 sleutels te weinig om BFA-bestand te zijn. (b) 3DES heeft sleutels van 168b (of 112b als je afhankelijk deelsleutels hebt). De eerste drie bezwaren waren al niet zo relevant, een BFA kost stappen dus erg veel, en dit is vermoed tot 2030 veilig. Beoordeling/Toelichting: Max 2pt, per deelvraag 1. A = De Achterdeurtheorie heeft onder cryptoexperts geen aanhangers meer. B = DES is juist Beregoed Beveiligd tegen DCA. D = Bij (a) krijg je al een punt voor drie dingen, en een halve voor twee. K = Sleutel van 56b is echt te Kort! N = Gaat Niet op het punt in. 5. AES: Bekijk de AES comic op (a) Op welke plaat staan de namen van de uitvinders en hoe luiden die? (b) Welke plaat behandelt Kerckhoffs Principe? (c) Welke drie cryptografische principes worden toegepast in de vier subronden van AES? Oplossing: (a) Zie Act 1 Scene 14 (1/14): Vincent Rijmen en Joan Daemen. (b) Zie 2/04, Secrecy is only in the key. (c) Confusion wordt toegepast in de Substitute Bytes stap. Diffusion zit in de Shift Rows en in de Mix Columns. Key secrecy zit in de Add Round Key. Beoordeling/Toelichting: Voor a en b en c elk 1pt, dus totaal 3.

4 6. AES contra Moore: De ontwerpers van AES verwachten dat AES nog zeker 50 jaar in gebruik blijft. Denk je dat het zo lang duurt tot een brutekracht-aanval op AES mogelijk is? Betrek in je antwoord de Wet van Moore, waarbij je een jaarlijkse verdubbeling van rekenkracht mag veronderstellen. Oplossing: De grootste supercomputers van nu komen in de buurt van de PetaFlop, operaties per seconde ofwel 3.2E22 per jaar. De optimistische Moore computer over 50 jaar haalt dan 2 50 keer zoveel, ofwel 3.6E37. Als je in dit tempo de keys van AES128 doorzoekt, ben je er na 10 jaar doorheen. Met AES128 wordt het dus rond die tijd oppassen, maar AES256 blijft nog zeker een eeuw langer onaantastbaar tegen BFA. Beoordeling/Toelichting: Voor het maken van realistische aannamen 1pt, rekenwerk/conclusie 1pt. A = Schatting van huidige rekenkracht op basis van de A5/1 kraak is heel zwak, dat was ook geen BFA en bekeek slechts kleine fractie van keys. D = Schatting van huidige rekenkracht op basis van DES-cracker is leuk idee, maar vergeet niet dat die al ruim15 jaar bestaat en dat dit een low budget privaat project was. E = Over een Efficientere aanval dan BFA (bv quantumcomputer) kun je niets zeggen, was de vraag ook niet. K = Keylengte van 256b kan ook. N = Wat is Nu mogelijk? Zeker meer dan 64b want 56b kon al in Schatting miljoen per seconde is gevaarlijk laag, miljard per seconde is laag, biljoen per seconde is realistisch voor kleine tegenstander (Bitcoin-miner), biljard is realistisch voor statelijke actor als NSA. Te laag inschatten geeft aftrek. P = DES cracker was Publiek project, de NSA kon waarschijnlijk veel meer! R = Rekenwerk klopt niet. W = Hoeveel Werk niet of fout berekend. 7. Rekenen in AES: In AES wordt gerekend in het Finite Field F = Z 2 [X]/X 8 + X 4 + X 3 + X + 1. Laat A = en B = (a) Hoeveel elementen heeft F? (b) Hoe wordt een som (de +) in F berekend en wat is de uitkomst van A + B? (c) Hoe wordt een product (de ) in F berekend en wat is de uitkomst van A B? Oplossing: (a) De elementen zijn waarde van een Byte, dus 8 bits; het zijn er 2 8 dus 256. (b) Optellen is de bitgewijze XOR dus A + B is (Je hoeft hieropvolgend nooit te reduceren, want het bitrijtje is hierna altijd 8 bits.) (c) Eerst vermenigvuldigen alsof het polynomen zijn (laatste bit van A onder elke 1 van B en XOR), als resultaat te hoge graad heeft (1 op pos 8 of hoger) veelvouden van M = eraf trekken. Vermenigvuldiging geeft XOR dus De graad is 9 dus XOR met X.M = geeft Beoordeling/Toelichting: Max 2, 1 voor a+b en 1 voor c. M = Als je voor M gebruikt, zoals in de handout, komt er uit. OK indien M vermeld.

5 8. Rekenen in AES: In AES wordt gerekend in het Finite Field F = Z 2 [X]/X 8 + X 4 + X 3 + X + 1. Laat A = en B = (a) Hoeveel elementen heeft F? (b) Hoe wordt een som (de +) in F berekend en wat is de uitkomst van A + B? (c) Hoe wordt een product (de ) in F berekend en wat is de uitkomst van A B? Oplossing: (a) De elementen zijn waarde van een Byte, dus 8 bits; het zijn er 2 8 dus 256. (b) Optellen is de bitgewijze XOR dus A + B is (Je hoeft hieropvolgend nooit te reduceren, want het bitrijtje is hierna altijd 8 bits.) (c) Eerst vermenigvuldigen alsof het polynomen zijn (laatste bit van A onder elke 1 van B en XOR), als resultaat te hoge graad heeft (1 op pos 8 of hoger) veelvouden van M = eraf trekken. Vermenigvuldiging geeft XOR dus De graad is 9 dus XOR met X.M = geeft Beoordeling/Toelichting: Max 2, voor a en c 1/2 en voor b 1. Behoorlijk wat mensen konden dit, inclusief de vermenigvuldiging. De som bevatte geen carry, dus er was geen check of je het negeren van de carries niet negeerde. Antwoorden 255, 8 en 283 zijn niet gelijk aan 256 en niet goed. M = Als je voor M gebruikt, zoals in de handout, komt er uit. OK indien M vermeld. R = Bij het optellen is nooit een Reductie nodig. Z = Als je deelesultaten Xort (vermenigvuldiging), de B zelf niet meexoren!

6 9. Rekenen in AES: In AES wordt gerekend in het Finite Field F = Z 2 [X]/X 8 + X 4 + X 3 + X + 1. Neem A = (binaire notatie) en B = 0x1A (hexadecimale notatie). (a) Hoeveel elementen heeft F? Geef A in hex en geef B in Binaire notatie. (b) Hoe wordt een som in F berekend en wat is de uitkomst van A + B, binair en in hex? (c) Hoe wordt een product in F berekend en wat is de uitkomst van A B, binair en in hex? Oplossing: (a) De elementen zijn waarde van een Byte, dus 8 bits; het zijn er 2 8 dus 256. A is in hex 0x31 en B is binair (b) Optellen is de bitgewijze XOR dus A + B is ofwel 0x2B. (Je hoeft hieropvolgend nooit te reduceren, want het bitrijtje is hierna altijd 8 bits.) (c) Eerst vermenigvuldigen alsof het polynomen zijn (laatste bit van A onder elke 1 van B en XOR), als resultaat te hoge graad heeft (1 op pos 8 of hoger) veelvouden van M = eraf trekken. Vermenigvuldiging geeft XOR XOR dus De graad is 9 dus XOR met X.M = , dit geeft en dat is 0xCC. Beoordeling/Toelichting: Max 3, 1 elke deelvraag. A = Berekening uitvoeren op Ander getal geeft soms wel punten. Maar het kan ook problemen ontwijken, bv als je bij (b) de optelling gaat doen met getallen waarbij geen twee 1-en onder elkaar staan. Dan geen pt. C = Optellen met Carry geeft 0x4B bij (b) en dat is niet goed. H = Hex omrekenen hoefden wij niet te kennen! Omrekenen van Hex (en de waarde van Tera) zijn behandeld in Computerarchitectuur en Netwerken, behoren dus tot de veronderstelde voorkennis. Hex notatie en omrekenen worden weer uitgelegd in de handout over rekenen in AES. De AES Comic staat vol met hex-getallen in de voorbeelden. Op het hoorcollege is behandeld dat bytes 2 en 3 verschillen van de getallen 2 en 3 als en Je hebt als student zelf verantwoordelijkheid om dingen uit te zoeken die je niet kent wanneer er in de cursus veel over gesproken wordt. Zonder hex notatie te kennen, maar met gelukkig gekozen eigen getallen, kon je voor deze opgave nog 2,5 van de 3pt halen. M = Veel hadden de Methode goed maar het antwoord niet door Misrekenen. Zet de bits zorgvuldig recht onder elkaar! P = Als je voor modulo Polynoom M, gebruikt, zoals in de handout, komt er (0xC8) uit. OK indien M vermeld. R = Rekenfouten worden liefst maar 1x fout gerekend, maar vermijden van vervolgproblemen kan ook verderop punten kosten.

7 10. Rekenen in AES: In AES wordt gerekend in het Finite Field F = Z 2 [X]/(X 8 + X 4 + X 3 + X + 1). Neem A = (binaire notatie) en B = 0x2A (hexadecimale notatie). (a) Hoeveel elementen heeft F? Geef A in hexadecimaal en geef B in binaire notatie. (b) Hoe wordt een som in F berekend en wat is de uitkomst van A + B, binair en in hex? (c) Hoe wordt een product in F berekend en wat is de uitkomst van A B, binair en in hex? Oplossing: (a) De elementen zijn waarde van een Byte, dus 8 bits; het zijn er 2 8 dus 256. A is in hex 0x35 en B is binair (b) Optellen is de bitgewijze XOR dus A + B is ofwel 0x1F. (Je hoeft hieropvolgend nooit te reduceren, want het bitrijtje is hierna altijd 8 bits.) (c) Eerst vermenigvuldigen alsof het polynomen zijn (laatste bit van A onder elke 1 van B en XOR), als resultaat te hoge graad heeft (1 op pos 8 of hoger) veelvouden van M = eraf trekken. Vermenigvuldiging geeft XOR XOR dus De graad is 10 dus XOR met X 2.M = , dit geeft Die heeft graad 9 dus XOR met X.M is , dit geeft Die heeft graad 8 dus XOR met M. Resultaat is en dat is 0x23. Beoordeling/Toelichting: Max 3, 1 elke deelvraag. A = Berekening uitvoeren op Ander getal geeft soms wel punten. Maar het kan ook problemen ontwijken, bv als je bij (b) de optelling gaat doen met getallen waarbij geen twee 1-en onder elkaar staan. Dan geen pt. C = Optellen met Carry geeft 0x67 bij (b) en dat is niet goed. D = Tussen hex en bin rekenen met Decimale tussenstap is uiterst onslim. Niet doen! M = Veel hadden de Methode goed maar het antwoord niet door Misrekenen. Zet de bits zorgvuldig recht onder elkaar! P = Als je voor modulo Polynoom M, gebruikt, zoals in de handout, komt er iets anders uit. OK indien M vermeld. R = Rekenfouten worden liefst maar 1x fout gerekend, maar vermijden van vervolgproblemen kan ook verderop punten kosten.

8 11. Verwachte tijd van BFA: Alice heeft haar harddisk versleuteld met een cryptosysteem waarvoor N keys bestaan en Oscar probeert haar bestanden te ontsleutelen door alle keys te proberen. Oscar onthoudt welke keys hij al heeft gehad, dus probeert elke key hoogstens een keer. Veel personen beweren dat zo n Brute Force Attack in het ongunstigste geval N pogingen, en in het gemiddelde geval N/2 pogingen kost. (a) Hoe groot is de kans p i dat Oscar exact i pogingen nodig heeft? (b) Bereken het verwachte aantal pogingen. (c) Kan Alice door een slimme keuze van haar key zorgen dat Oscar meer werk moet doen? Kan Oscar zijn verwachte werk verlagen door een slimme keuze van de volgorde waarin hij keys probeert? Oplossing: (a) Noem de volgorde waarin Oscar de keys probeert k 1, k 2,..., k N. Oscar probeert exact i keys uit als k i de key van Alice is. Als Alice haar key k A random en uniform gekozen heeft, is de kans dat k A = k i, gelijk aan 1/N. De kans dat Oscar i keys moet proberen is dan dus precies 1/N. (b) De verwachting van stochast X is gedefinieerd als sommatie over mogelijke waarden, vermenigvuldigd met kans. Dat is hier N i=1 i 1 N, een Rekenkundige Som met uitkomst (gebruik 1 2 A(E + L)-regel) 1 2 N( 1 N + N N ) = N+1 2 (wat wel ongeveer maar niet exact gelijk is aan N 2 ). (c) Nee. Welke key zij ook kiest, als Oscar de volgorde van zijn keys randomiseert (voldoende om elke key met kans 1 N+1 N op plek i te zetten) zal hij verwacht 2 pogingen gebruiken. Nee. Welke volgorde Oscar ook kiest, als Alice een uniform random key kiest, staat haar key met kans 1 N op plek i in zijn lijst. Beoordeling/Toelichting: Per deelvraag 1pt. 12. Korte berichten met AES: Alice en Bob communiceren met heel korte berichten (slechts 3 tot 5 bits elk) en willen die versturen met AES; een gedeelde key k hebben ze al. Omdat communicatie duur is, is het niet wenselijk om elk berichtje uit te breiden tot een AES blok. Hoe kunnen Alice en Bob met AES korte berichten uitwisselen zonder de hoeveelheid bits te laten toenemen? Oplossing: Je kunt AES gebruiken in een streaming mode. Voor het i de berichtje genereer je een stream blok S i, maar daarvan gebruik je alleen de eerste paar bits om die te XORen met het bericht. De standaard AES streaming mode maakt S i afhankelijk van het vorige blok (S i = E k (S i 1 )). Maar je kunt de berichtontsleuteling ook onafhankelijk maken met S i = E k (i). Beoordeling/Toelichting: Te verdienen 2pt. A = Gebruik A5/1; geen goed idee, dit is gekraakt, dus bij lange na niet zo veilig als AES. E = Enige toelichting is wel vereist voor volle punten, omdat toepassing van stroomversleutelen op meerdere manieren kan. G = Gedeelte van de key gebruiken maakt het meteen veel minder veilig. H = Nooit het gebruik van dezelfde bits Herhalen! H = Zegt niet hoe dit principe Heet. K = Kleine versie van AES maken, dit kan niet. S = Berichten opsparen en Samen nemen; dit vergroot de latency en bij interactie tussen A en B geeft het zelfs deadlock. Max 1/2. W = Bits Weglaten uit ciphertext; in theorie is de redundantie er, maar bits weglaten maakt decryptie onmogelijk.

9 13. AES Rondes: Uit welke vier stappen bestaat een ronde van AES? Hoeveel ronden worden er gebruikt? Oplossing: Een ronde bestaat uit Substitutie, Rijrotatie, Kolomvermenigvuldiging en Sleutelbijtelling (Subbytes, Shift Row, Mix Column, Add Key). Het aantal ronden is 10, 12 of 14. Beoordeling/Toelichting: 1 punt voor goede beantwoording. 14. AES Operationeel: (a) Uit welke vier deelstappen bestaat een ronde van AES versleuteling? Zeg van elk in 1 zin wat ze doen. (b) Welke keylengtes zijn toegestaan en hoeveel rondes worden gedaan? (c) Hoe werkt de ontsleuteling? Oplossing: (a) De data bestaat uit 128b (16B) en wordt gerepresenteerd als een blok van 4 bij 4 Bytes. Substitutie vervangt elk van de 16 waarden door een andere, volgens een vaste 256-naar-256 tabel, de S-Box. RijRotatie schuift de waarden in de i-de rij i plaatsen naar links. Kolomvermenigvuldiging vermenigvuldigt vier bovenelkaar liggende waarden met een vaste 4x4 matrix (berekening in GF 256 ). SleutelOptelling XORt alle data met 128 bits die uit de sleutel zijn afgeleid, dit is per ronde een andere rondesleutel. (b) De key mag 128,192 of 256 bits lang zijn en daar horen 10, 12 resp. 14 rondes bij (maar 192 wordt nauwelijks gebruikt). (c) Belangrijk is dat de rondesleutels in omgekeerde volgorde gebruikt worden! Je begint dus met de laatste rondekey van encryptie. ook de stappen worden in omgekeerde volgorde teruggedraaid. Dus eerst Steutelaftrekking wat gewoon weer XORen met de rondesleutel is. Voor de Kolomvermenigvuldiging heb je de inverse van de matrix nodig (een keer uitrekenen) en je vermenigvuldigt elke kolom (in GF 256 natuurlijk) met die inverse matrix. Doe een Rijrotatie maar nu met i posities naar rechts. Een Substitutie kun je omkeren met een andere substitutie, waarbij je de oorspronkelijke tabel omgekeerd gebruikt. Beoordeling/Toelichting: Een punt per deelvraag. Codes: K = Je moet wel noemen dat de volgorde van Round Keys andersom is. M = Je moet Meer zeggen dan alle stappen andersom uitvoeren ; dat is wel logisch en juist maar toont nog geen begrip aan. N = Noem de Namen van de stappen. S = Substitutie is niet het verplaatsen van bytes.

10 15. AES Modes: Je wilt met AES een hele disk versleutelen en je wilt niet dat een herhaald blok op de disk (X i = X j ) ook een herhaling van een ciphertext blok geeft. Maar als je blok voor blok apart versleutelt (Y i = E k (X i ) gebeurt dat wel. (a) Beschrijf hoe je voorkomt dat herhalingen in de plaintext leiden tot herhalingen in de ciphertext. (b) Je wilt delen van de disk los kunnen bekijken, zonder ook naar ander blokken op de disk te moeten kijken. Ken je een AES mode die dit mogelijk maakt? Oplossing: (a) Er zijn verschillende chaining modes waarmee een cipherblok niet alleen afhangt van het plaintext blok op die positie, maar ook van de tekst die ervoor staat. Bij de meest gebruikte cipher block chaining wordt het plaintext blok gexord met het vorige cipherblok voor encryptie: Y i = E k (X i Y i 1 ) (bij het eerste blok wordt een initialisatievektor gebruikt). Maar je kunt ook het plainblok xoren met het gecrypte cipherblok, als Y i = E(Y i 1 ) X i. Een herhaald plainblok (X i = X j ) zal niet leiden tot een herhaald cipherblok vanwege de verschillende geschiedenis van de twee blokken. (b) Je kunt AES gebruiken in Counter Mode, Y i = X i E k (i). Beoordeling/Toelichting: Voor (a) 2pt; als het allemaal een beetje wordt verteld in tekst 1, en voor volle punten moet de formule en/of naam erbij. Voor (b) 1pt. B = Je wilt niet per blok extra informatie opslaan. Een verschillende key per block is zeker onzinnig omdat je naast je versleutelde disk nog twee disks met keys nodig hebt (AES256). D = Xoren met vorig plain block (als Y i = E k (X i 1 X i )) geeft nog steeds herhaling als er langere patronen herhaald zijn. Encryptie is namelijk niet afhankelijk van de complete geschiedenis van het blok. E = ECB modus (afzonderlijke blokken encrypten) geeft weer propagatie van herhalingen. F = Voor volle punten moet bij (a) de Formule en/of naam van de modus staan. K = Wisselen van Key wordt eigenlijk nooit gedaan (al ken ik geen principiële reden dat het niet zou kunnen). S = Serienummer meecrypten (a) kost extra ruimte of leidt tot andere botsingen, 1/2. T = Standaard streaming (output feedback mode) berekent S i uit S i 1 als S i = E k (S i 1 ). Als je nu beschikt over het eenmiljoenste cipherblok, kun je deze wel decrypten zonder de eerdere cipherblokken te zien, maar het kost je wel een miljoen AES stappen! De Streaming mode is dus alleen geschikt als je echt alleen de hele reeks blokken wilt decrypten. 16. Herhaling in AES plaintext: AES versleutelt blokken van 128 bits data en is deterministisch. Het is onwenselijk dat een herhaald patroon in de plaintext ook een herhaling van een ciphertext blok geeft. Beschrijf (in ongeveer 8 regels) hoe herhalingen in de plaintext worden vermeden in de ciphertext. Oplossing: Er zijn verschillende chaining modes waarmee een cipherblok niet alleen afhangt van het plaintext blok op die positie, maar ook van de tekst die ervoor staat. Bij de meest gebruikte cipher block chaining wordt het plaintext blok gexord met het vorige cipherblok voor encryptie: Y i = E(X i Y i 1 ) (bij het eerste blok wordt een initialisatievektor gebruikt). Maar je kunt ook het plainblok xoren met het gecrypte cipherblok, als Y i = E(Y i 1 ) X i. Een herhaald plainblok (X i = X j ) zal niet leiden tot een herhaald cipherblok vanwege de verschillende geschiedenis van de twee blokken. Beoordeling/Toelichting: Voor goede uitleg 2pt.

11 17. 3DES en AES: Hoewel 3DES niet direct onveilig was, is DES/3DES vervangen door AES. (a) Wat zijn de sleutellengtes van DES, 3DES en AES? (b) Hoewel 3DES een vrij langere sleutel heeft, bestaat er een KPA tegen 3DES met een complexiteit van Beschrijf (kort) deze aanval. (c) Wat is het geheugengebruik van die aanval, en is deze in de praktijk een probleem voor 3DES? Oplossing: (a) DES heeft sleutels van 56b, 3DES heeft drie keer zoveel ofwel 168b, bij AES kun je kiezen tussen 128, 192 of 256b. (b) Het is de meet-in-the-middle aanval waarbij je deellijsten aanlegt van alle combinaties van (k 1, k 2 ) (2 112 lang) en k 3. Encryptie van X met een combinatie uit de eerste lijst moet je matchen met decrypties van Y uit de tweede lijst. (c) De tijdcomplexiteit is 2 112, het kan in 2 56 geheugen als je de eerste lijst niet expliciet opslaat. Dit is minder dan (tijd BFA tegen 128b AES) maar nog altijd zoveel dat dit bij lange na niet mogelijk is. Beoordeling/Toelichting: Max 3pt, 1 voor elke deelvraag. C = Zegt: Differentiële Cryptanalyse tegen 3DES; kan niet, DES is hiertegen uiterst goed beveiligd. D = Zegt: lijsten bij middle-aanval Dunnen niet uit omdat je 64-bits waarden zoekt in een lijst van lang. Leuk bedacht, maar je lange lijst dunt natuurlijk wel uit omdat je de 64-bits waarden daarin zoekt in een lijst van 2 56 lang. L = Lineaire kosten, zegt: 2DES kraken kost twee keer DES, en 3DES drie keer; fout, moet zijn kwadratisch resp. kubisch. P = Teveel Paren nodig in MitM; nee, niet juist. T = Tabelaanval; niet goed, dit is geen KPA maar CPA, en de precomputatie van is out of reason. U = Moet iets Uitgebreider. V = Te Vaag.

12 18. Stroomversleuteling: GSM telefonie gebruikt A5, een vorm van stroomversleuteling. (a) Wat is de sleutellengte? (b) Noem enkele voordelen van stroomversleuteling ten opzichte van blokversleuteling. (c) Verklaar hoe deze voordelen van toepassing zijn op GSM. (d) Noem een nadeel van stroomversleuteling. Oplossing: (a) 64 bit. (b) [1] Het is snel in de betekenis van: lage latency omdat de stroom onafhankelijk van de data berekend kan worden, en elke bit kan verwerkt worden zodra hij bekend is. [2] Het is simpel. [3] Het geeft goede bescherming tegen transmissiefouten omdat een verminkte bit in de ciphertext slecht 1 bit in de plaintext verminkt. [4] Je kunt strings van willekeurige lengte versleutelen naar ciphertexts van dezelfde lengte (dus zonder padden). (c) [1] is belangrijk omdat een gesprek realtime is, dus je wilt niet de latency die je krijgt als je ene heel blok moet opsparen voordat je met encryptie/decryptie begint. [3] is belangrijk omdat er in de radio-overdracht veel transmissiefouten optreden. [2] was prettig op de beperkte processoren waarvoor A5 is ontwikkeld. (d) Omdat elke bit in de ciphertext overeenkomt met 1 bit in de plaintext, is een bericht muteerbaar. Beoordeling/Toelichting: (a) Reken 1pt voor het goede aantal 64. (b+c) Tenminste de latency en de transmissiefouten moeten worden genoemd voor twee punten; als een van de twee wordt genoemd bij (b) en goed toegepast bij (c), samen 1pt. (d) Stroomversleuteling is niet per definitie onveiliger dan blokversleuteling. Het kan erg veilig zijn, bv. als je AES-Counter Mode gebruikt. Dus dat A5 te kraken is, kun je niet als nadeel van strromversleuteling opvoeren. A = Bij vraag (d) niet een Algemeen, maar A5-specifiek nadeel. H = Herhaling van plain werkt door in cipher genoemd bij (b). K = Noemt Kraakbaar als nadeel van stroomversleuteling. L = Latency voordeel niet of onjuist genoemd. T = Bescherming Transmissiefouten niet of onjuist. 19. Stroomversleuteling en A5: (a) Waarin verschilt stroomversleuteling van One-Time Pad? (b) Hoeveel schuifregisters gebruikt de sleutelgenerator van A5 en wat is hun grootte? (c) Hoe beïnvloeden de schuifregisters elkaar? Oplossing: (a) In beide gevallen wordt de klaretekst gexord met een even lange bitrij; terwijl het OneTime Pad een sleutel van deze lengte gebruikt (allemaal onafhankelijke random bits) gebruikt stroomversleuteling een bitrij die middels een generator is afgeleid uit een kortere sleutel. (b) Er zijn drie registers van lengte 19, 22 en 23. (c) Een positie binnen elk register is aangewezen als klokpositie. Het register schuift alleen wanneer tenminste een ander register dezelfde waarde in het klokbit heeft. Beoordeling/Toelichting: Voor (a) 1pt, (b) en (c) elk 1pt. A = Legt verschil uit met A5 ipv met stroomversleuteling. H = Stroom gaat zichzelf Herhalen; niet direct onjuist, maar je kunt het ook niet als het relevante verschil zien. X = Het XORen van de drie outputs is geen vorm van beïnvloeding.

13 20. Linear Feedback: Deze opgave gaat over een Linear Feedback Shift Register van vijf bits, met taps op bit 2, 3 en 4. Het register begint in toestand (a) Wat zijn de volgende vijf toestanden? (b) Vanaf stap 6 wordt aan het register de invoer 1100 gegeven. Wat zijn de volgende vier toestanden? Oplossing: (a) In stap 1 staan alledrie de taps op 0, de feedback is dus ook 0, dit wordt de rechterbit en je krijgt dus In stap 2 staan alledrie de taps op 0, de feedback is dus ook 0, dit wordt de rechterbit en je krijgt dus In stap 3 staat een van de taps op 1, de feedback is dus 1, dit wordt de rechterbit en je krijgt dus In stap 4 staat een van de taps op 1, de feedback is dus 1, dit wordt de rechterbit en je krijgt dus In stap 5 staat een van de taps op 1, de feedback is dus 1, dit wordt de rechterbit en je krijgt dus (b) In stap 6 staat een van de taps op 1, de feedback is dus 1 en de invoer 1, samen 0 dus de volgende toestand wordt In stap 7 staan twee van de taps op 1, de feedback is dus 0 en de invoer 1, samen 1 dus de volgende toestand wordt In stap 8 staan drie taps op 1, de feedback is dus 1 en de invoer 0, samen 1 dus de volgende toestand wordt In stap 9 staan twee taps op 1, de feedback is dus 0 en de invoer 0, samen 0 dus de volgende toestand wordt Beoordeling/Toelichting: Dingen die mis kunnen gaan: B = De invoer wordt Bit voor bit opgeteld bij de feedback, dus niet alles in een keer. F = De invoer wordt opgeteld bij de Feedback dus niet in plaats van! N = Let erop dat de nummering begint bij Nul; de taps zitten dus op de drie linkse posities. R = Let erop dat de bits genummerd zijn van Rechts naar links. T = De meest linkse bit van een LFSR is vrijwel altijd een Tap. Zou deze niet meegetapt zijn, dan gedraagt het register zich als eentje met een bit minder maar een vertraagde uitvoer. De cycle-lengte is dus kleiner! V = Let er ook op dat voor de nieuwe toestand, de taps worden opgeteld in de Vorige toestand.

14 21. Een LFSR: Een zes bits LFSR A heeft twee taps, namelijk op posities 5 en 3, en begint met inhoud (a) Wat zijn de volgende vier toestanden van A? (b) Stel dat vanaf de beginstand , de invoer 1010 wordt gegeven. Wat zijn dan de volgende vier toestanden? (c) Wat is de maximale lengte van een cykel voor een zes bits LSFR? Oplossing: (a) De feedback is in de eerste vier slagen 1, 1, 1, 1 en de vier toestanden zijn , , en (b) De feedback is net als bij (a) 1, 1, 1 en 1, maar dit wordt nu gexord met 1, 0, 1, 0 zodat in het register geschoven wordt 0, 1, 0, 1 en de vier toestanden zijn , , en (c) Voor een n bits register is dit 2 n 1, hier 63. De toestand 0 wordt altijd op zichzelf afgebeeld en is dus geen onderdeel van een langere cykel. De overige 2 n 1 toestanden kunnen een cykel vormen (al is dit afhankelijk van de keuze van de taps). Beoordeling/Toelichting: Per deelvraag een punt. Codes: B = De invoer wordt Bit voor Bit erin geschoven, dus niet in een keer over meerdere posities meegexord. E = Min Eén vergeten kost halve punt. F = Invoer wordt ook nog met Feedback gecombineerd. Als een register dit niet zou doen, zou de toestand na invoer alleen van de laatste zes bits van die invoer afhangen. N = Nummer de posities vanaf 0. Met nummering vanaf 1 doet in het voorbeeld de laatste bit niet mee, wat heel onlogisch is voor een LFSR. 22. Stroomversleuteling: GSM telefonie gebruikt stroomversleuteling. (a) Wat is de sleutellengte en hoe heet dit algoritme? (b) Welke (drie) voordelen van stroomversleuteling zijn belangrijk bij mobiele telefonie? (c) Hoe is berichtmanipulatie mogelijk bij stroomversleuteling? Oplossing: (a) 64 bit, het heet A5. (Of A5/1 naast de 40 bits A5/2 variant.) (b) 1e, Het is snel in de betekenis van: lage latency omdat de stroom onafhankelijk van de data berekend kan worden, en elke bit kan verwerkt worden zodra hij bekend is. 2e, Het is simpel dus te doen met weinig hardware/batterijverbruik. 3e, Het geeft goede bescherming tegen transmissiefouten, die komen nogal veel voor in GSM verkeer. (c) Bits in cipher en plaintext corresponderen 1 op 1, dus een aanvaller kan gericht bits in de ontcijferde tekst omklappen door de corresponderende cipherbits te inverteren. Beoordeling/Toelichting: Totaal 3, voor elke deelvraag 1. Stroomversleuteling is niet per definitie onveiliger dan blokversleuteling. Het kan erg veilig zijn, bv. als je AES-Counter Mode gebruikt. Dat A5 te kraken is, kun je niet als nadeel van stroomversleuteling opvoeren. A = Bij vraag (c) niet een Algemeen, maar A5-specifiek nadeel. H = Herhaling van plain werkt door in cipher genoemd bij (b). K = Noemt Kraakbaar als nadeel van stroomversleuteling. L = Latency voordeel niet of onjuist genoemd. T = Bescherming Transmissiefouten niet of onjuist.

15 23. Stroomversleuteling: GSM telefonie gebruikt het A5 algoritme, een vorm van stroomversleuteling. (a) Waarin komen stroomversleuteling en het One Time Pad overeen, en waarin verschillen ze? (b) Noem enkele (bv vier) voor- en nadelen van stroomversleuteling ten opzichte van blokversleuteling. (c) Waarom is stroomversleuteling zo geschikt voor telefonie? Oplossing: (a) In beide gevallen wordt de klaretekst gexord met een even lange bitrij; terwijl het OneTime Pad een sleutel van deze lengte gebruikt (allemaal onafhankelijke random bits) gebruikt stroomversleuteling een bitrij die middels een generator is afgeleid uit een kortere sleutel. (b) Voordelen zijn: lage latency (omdat de stroom onafhankelijk van de data berekend kan worden) en grote snelheid, goede bescherming tegen transmissiefouten (verminkte bit in de ciphertext verminkt slecht 1 bit in de plaintext), en je kunt strings van willekeurige lengte (als bij Reduced Domain encryption) versleutelen zonder padden. Nadeel: Omdat elke bit in de ciphertext overeenkomt met 1 bit in de plaintext, is een bericht muteerbaar. (c) Omdat een gesprek realtime is, is de lage latency interessant. Omdat er in de radiooverdracht veel transmissiefouten optreden, is de bescherming tegen transmissiefouten interessant. Beoordeling/Toelichting: Max 3, per deelvraag 1pt. Bij (a) moet je wel iets zeggen over de keylengte, alleen iets over perfecte veiligheid is niet genoeg. A = Bedenk wel dat A5 alleen een voorbeeld is van stroomversleuteling, je mag niet eigenschappen van A5 noemen als algemeen voor SV. Bijvoorbeeld: Stroomversleuteling is gekraakt is niet goed. B = OTP te kraken met BFA; kan niet! H = Herhaling van data geeft herhaling in ciphertekst, klopt niet vanwege chaining bij blokversleuteling. S = Niets over Snelheid bij b, max 1/2.

16 24. Het A5 algoritme voor GSM: Mobiele telefoongesprekken worden beveiligd tegen afluisteren met het A5/1 algoritme. (a) Wat is de key-lengte van A5/1? Wat zijn de groottes van de drie schuifregisters? (b) Warom kan een key K maximaal ongeveer 5 uur worden gebruikt? (c) Telefoonmaatschappijen zijn verplicht om op verzoek telefoontaps te plaatsen wanneer iemand verdacht wordt van een misdrijf. Hoe hebben de telefoonmaatschappijen toegang tot een GSM-gesprek? Oplossing: (a) De key-lengte is 64 bits en de registers hebben 19, 22 en 23 bits. (b) Er wordt een stroomblok afgeleid uit K en een sequencenummer i van 22 bits. Omdat er elke 4.6ms een blok is, komen de sn weer bij 0 na ms, dat is ruim 5 uur. Zou je langer dan 5 uur achtereen bellen, dan moet de key worden ververst (praktijk is dat dit elke 15 minuten ongeveer gebeurt). (c) De versleuteling werkt niet end-to-end, maar alleen op de verbinding tussen telefoon en GSM-mast. Dus A5 verhindert geen toegang voor de providers tot alle informatie die over hun netwerk loopt. Beoordeling/Toelichting: Per deelvraag 1pt dus totaal 3. B = Na vijf uur is de key te Berekenen (met Brute Force of Biryukov). Geen goed argument, want een aanvaller kan een korte conversatie opslaan en vijf uur na afloop decrypten. Zie ook V. C = Omdat de registers Cyclisch werken en zich herhalen. De registers worden steeds opnieuw geseed voor een nieuw blok dus draaien nooit 5 uur achtereen. Zie V. H = Omdat de keystream dan Herhaalt, zonder te zeggen waarom die herhaalt, is net te vaag, halve punt. K = Bij (c): Maatschappij heeft toegang tot Key, onjuist. Ze hebben dat wel, maar de key is niet nodig. De key en encryptie wordt alleen op de radio-interface gebruikt. V = Dit is een argument tegen de Veiligheid van A5, maar is niet voldoende kwantitatief om de genoemde vijf uur te verklaren.

17 25. Aanmelden bij Router: Een Wifi-router A mag een connectie met mobiel station B alleen accepteren wanneer B dezelfde WPA sleutel k kent als aanwezig in A. Om dit te controleren, kiest de router een random x, stuurt die naar het mobiele station, en verwacht E k (x) terug. (a) Waarom eist A niet gewoon dat B de waarde k opstuurt? (b) Leg uit, hoe dit mechanisme het encryptie-algoritme E blootstelt aan een CPA. (c) Welke maatregel wordt genomen om het risiko van een CPA te verkleinen? Oplossing: (a) Alle radioverbindingen rond A kunnen worden afgeluisterd door spionnen en aanvallers, en deze zouden dan ook k kunnen opvangen en dan zelf inloggen. (b) Een aanvaller kan zich voordoen (spoofen) als router, zelf een waarde x kiezen en opsturen, en ontvangt dan y. De aanvaller beschikt dan in no sweat over een (x, y) paar met gekozen x (Chosen Plaintext). (c) De standaard wifi-protocollen voegen een salt toe, een random getal dat meegestuurd wordt en meegenomen wordt in de encryptie. Dit beschermt tegen een bepaald type van CPA, namelijk de tabelaanval. Is je E echt zwak tegen CPA dan helpt een salt niet! Beoordeling/Toelichting: Totaal 3pt, 1 per deelvraag. De meeste deelnemers hadden 2pt, het deel (c) wisten erg weinig mensen. B = Brute Forcen kan altijd. Daar helpt geen salt tegen. C = 3DES en AES zijn zelf heel goed beveiligd tegen CPA. Het gebruik van deze algoritmen als E kun je niet echt een maatregel in het protocol noemen. 1/2pt. K = Het afluisteren van paren is een KPA, ook als je uit de ontvangen x-waarden een keuze maakt. L = Je moet Lange wachtwoorden gebruiken; moeilijk af te dwingen omdat gebruikers zelf hun WPA kiezen, vaak makkelijk in te typen voor bezoekers. R = Challenge x wordt Random gekozen door A; dit zal je niet helpen, want een spoof trekt zich van de normale werking van A niets aan en doet gewoon zijn ding. S = Spoofen is bij (a) niet nodig! Station B stuurt het wachtwoord niet naar A, maar in het rond (radio) dus is het voor iedereen te zien. T = Tweezijdige authenticatie wordt inderdaad toegepast, maar komt te laat om CPA s te voorkomen! Tweezijdige authenticatie voorkomt dat B gaat werken via een spoof. Maar je kunt niet (op een simpele manier) eerst authenticeren om te voorkomen dat je alleen authenticeert bij een echt station. hiervoor geen punt. W = Vaak Wisselen van sleutel is niet wenselijk bij een wifi router, omdat na het veranderen van k niemand meer kan aanmelden.

18 26. Cryptografische sleutels: (a) Alice stuurt een bericht aan Bob en versleutelt dit met asymmetrische cryptografie. Gebruikt zij dan (i) de publieke sleutel van Alice; (ii) de geheime sleutel van Alice; (iii) de publieke sleutel van Bob; of (iv) de geheime sleutel van Bob? (b) In een groep van 24 personen moet iedereen vertrouwelijk met elk ander kunnen communiceren. Hoeveel sleutels zijn nodig als zij dit willen doen met symmetrische cryptografie? (c) Naar schatting kunnen alle Bitcoin-miners ter wereld samen ongeveer 2 80 decrypties per seconde uitvoeren. Schat de rekentijd die een Known-Plaintext Attack tegen 3DES kost als je al die miners een poosje mag gebruiken. Oplossing: (a) Het is (iii) want versleuteling gebruikt altijd het keypaar van de ontvanger en Alice kent daarvan alleen ( ) het publieke deel. n (b) De formule keys = is hier van toepassing en je vindt ofwel 276. (c) De complexiteit van die aanval (Meet-in-the-Middle met bekende (X, Y ) paren) is decrypties, je hebt dus ongeveer 2 32 secondes nodig. Er zitten 2 25 secondes in een jaar, dus dit is ongeveer 2 7 jaar, ruim een eeuw. Beoordeling/Toelichting: Tot 3pt, een per deelvraag. K = De DH Key exchange gebruikt wel de ene private en de andere public key, maar voor bericht-encryptie is dit niet nodig. M = Antwoord 2 62 jaar negeert MitM-attack. S = (Bij c) In plaats van een eeuw op oude Spullen door te rekenen, kun je beter zeven jaar wachten, totdat alle miners samen (Wet van Moore) 2 87 decrypties per seconde doen. Dan is het in 2 25 seconden, ofwel een jaar klaar. T = Per (k 2, k 3 )-paar doe je Twee DES-decrypties; maar zie V. U = De Uitvoering van de 3DES aanval levert nog wat praktische bezwaren op: (1) Je hebt de miners wel iets langer nodig dan een poosje. (2) Je moet een lijst van 2 56 tussenwaarden berekenen (dit kost je onder een microseconde op de miners) en beschikbaar maken op alle miners. (3) Als de eigenaars van de miners jou de stroomrekening sturen doet de aanval een behoorlijk beroep op je portemonnee (en op het milieu ook!). V = De Verwachte tijd van de aanval: bij het doorlopen van alle (k 2, k 3 ) paren heb je verwacht na de helft succes, dus bekijk je maar de helft van de paren; zie T.