Cryptografie: tot veilige betalingen. Cryptografie is overal. Geheime communicatie. De Hagelin C38. Ontcijferd (2001) Een Belgisch voorbeeld

Transcriptie

1 Cryptografie is overal Cryptografie: van discrete wiskunde tot veilige betalingen Prof. Dr. Ir. Bart Preneel Dept. Elektrotechniek-COSIC 1 2 Geheime communicatie? De Hagelin C Een Belgisch voorbeeld 14 januari u00 <AHQNE XVAZW IQFFR JENFV OUXBD LQWDB BXFRZ NJVYB QVGOZ KFYQV GEDBE HGMPS GAZJK RDJQC VJTEB XNZZH MEVGS ANLLB DQCGF PWCVR UOMWW LOGSO ZWVVV LDQNI YTZAA OIJDR UEAAV RWYXH PAWSV CHTYN HSUIY PKFPZ OSEAW SUZMY QDYEL FUVOA WLSSD ZVKPU ZSHKK PALWB SHXRR MLQOK AHQNE > Ontcijferd (2001) DOFGD VISWA WVISW JOSEP HWXXW TERTI OWMIS SIONW BOMBO KOWVO IRWTE LEXWC EWSUJ ETWAM BABEL GEWXX WJULE SWXXW BISEC TWTRE SECVX XWRWV WMWPR INTEX WXXWP RIMOW RIENW ENVOY EWRUS URWWX XWPOU VEZWR EGLER WXXWS ECUND OWREP RENDR EWDUR GENCE WPLAN WBRAZ ZAWWC 5 6 1

2 Ontcijferd en herschikt Advanced Encryption Standard (AES) TRESECV. R V M PRINTEX. PRIMO RIEN ENVOYE RUSUR. POUVEZ REGLER. SECUNDO REPRENDRE DURGENCE PLAN BRAZZA VIS A VIS JOSEP H. TERTIO MISSION BOMBOKO VOIR TELEX CE SUJET AMBABELGE. JULES. Belgisch algoritme Rijndael Opeenvolging van 10/12/14 ronden Elke ronde bevat Substituties sleutel Mengtransformaties Sleutel-afhankelijke operaties Sleutelexpan nsie ronde 1 ronde 2 ronde 3. Sleutel van 128, 192 of 256 bits ronde R 7 cijfertekst 8 Fundamenteel probleem van symmetrische cryptografie: hoe kunnen alle gebruikers met elkaar een sleutel afspreken? Publieke sleutel encryptie? 9 10 Publieke sleutel encryptie Vercijferen met RSA Publieke sleutel gebruikt voor encryptie zo wijd mogelijk bekend gemaakt Private sleutel gebruikt voor decryptie aan niemand bekend gemaakt Kies 2 grote priemgetallen p, q Bereken n = p x q Kies r met ggd(r, (p-1) x (q-1)) = 1 Bereken s zodat r x s = 1 mod ((p-1) x (q-1)) Publieke sleutel: (r,n) Private sleutel: (s,n) Encryptie: c = m r mod n Decryptie m = c s mod n

3 Veiligheid van RSA Hoe moeilijk is n te factoriseren? s mag niet eenvoudig volgen uit (r,n) s wordt berekend uit s x r = 1 mod ((p-1)x(q-1)) Vereist p, q Factoriseer n Moeilijk! (?) The obvious mathematical breakthrough would be development of an easy way to factor large prime numbers Gates, The Road Ahead, Factorisatie records 2009: 768 bits of 232 decimalen decimaal cijfer ~3.3 bits # cijfers 768 bits Picture of the lab 4-channel Varian spectrometer 11.7 T Oxford magnet, room temperature bore bits 15=5x grad students in sunny California Quantum computers 2001: 7-bit quantum computer factoriseert : twee nieuwe 7-bit quantum computers factoriseren : 143 wordt gefactoriseerd 2011: grote quantum computer kan men binnen 10 jaar verwachten Quantum Computing: An IBM Perspective [2011] Steffen, M.; DiVincenzo, D. P.; Chow, J. M.; Theis, T. N.; Ketchen, M. B. \. The implementation of a functioning quantum computer poses tremendous scientific and technological challenges, but current rates of progress suggest that these challenges will be substantively addressed over the next ten years. We provide a sketch of a quantum computing system based on superconducting circuits, which are the current focus of our research. A realistic vision emerges concerning the form of a future scalable fault-tolerant quantum computer. 17 In praktijk vaak r = 3. Waarom? AES (16 blokken = 1024 bytes) 1500 RSA 1024 (r=3) 1.2 miljoen Snelheid!!! miljoen RSA 1024 RSA 2048 RSA 2048 (r=3) RSA 4096 (r=3) 32 miljoen Haswell (306c3); 2013 Intel Core i5-4570s; 4 x 2900MHz RSA

4 Hybride vercijfering Veilige communicatie naar een site met TLS Vercijfering met publieke sleutels (RSA) eenvoudig sleutelbeheer Klassieke vercijfering (AES) snel Prentje van https site Combinatie: 1. genereer een sleutel voor AES 2. vercijfer de (lange) boodschap met AES 3. vercijfer de AES-sleutel met RSA 4. verstuur alles Veilige communicatie naar een site met TLS Authenticatie van een (is het correct?) Authenticatie van een (is het correct?) Authenticatie van een (is het correct?)? Van wie zou dit zijn? Blijf maar gas kopen van Putin Blijf maar gas kopen van Putin handteken verifieer 23 Probleem in digitale wereld: Copiëren van handtekening Wijzigen van 24 4

5 Vereisten voor digitale handtekening Digitale handtekening Gemakkelijk verifieerbaar Uniek verbonden aan een persoon Niet overdraagbaar van een document op een ander Wordt ongeldig als document gewijzigd wordt handteken verifieer Digitale handtekening met RSA This is an input to a cryptographic hash function. The input is a very long string, that is reduced by the hash function to a string of fixed length. This is an input to a cryptographic hash function. The input is a very long string, that is reduced by the hash function to a string of fixed length. hash hash Private sleutel s y= h(m) s mod n Publieke sleutel r, n h(m)=y r mod n Ja Nee s=4f80dfd41a198fb3ca3459 s=4f80dfd41a198fb3ca Veilig inloggen op een website De elektronische identiteitskaart s, r, n Challenge response protocol willekeurig getal x [0,n-1] y= h(x) s mod n r, n Voor elke Belgische burger van 12 jaar en ouder RSA sleutelpaar 1 om en te handtekenen RSA sleutelpaar 2 om in te loggen op een website 1 2 veel veiliger dan een wachtwoord

6 Home pagina Hoe vind ik de publieke sleutel van een gebruiker? Certificaat Certificaat op je computer De heer Stefaan Vaes heeft publieke sleutel: D6AC A...56F82 Getekend: Luc Vanneste Rijksregister Inhoud: naam + publieke sleutel van burger digitale handtekening met private sleutel van rijksregister Verificatie met publieke sleutel van rijksregister hoe vind ik deze sleutel? Certificaten-boom: eid Hoe kan je de handtekening van het certificaat verifiëren? Certificaten-boom: kredietkaart Hoe kan je de handtekening van het certificaat verifiëren? Publieke sleutel zit in browser Publieke sleutel zit in elke betaalterminal Globalsign Visa Rijksregister Bank: KBC Stefaan Vaes Stefaan Vaes 6

7 EMV: Europay, MasterCard en Visa Elektronische betalingen sinds miljard kaarten (10% van alle bankkaarten) meer dan 20 miljoen terminals specificaties: meer dan 5000 blz EMV betaling (vereenvoudigd) Zeven manieren om EMV te breken s, r, n, # Verifieer PIN r, n, # Bedrag b=100 EUR. Enter PIN RSA(PIN) = (PIN) r mod n u r, n Sommige van de aanvallen hier beschreven hebben ooit gewerkt De meeste aanvallen worden verhinderd door bijkomende beveiligingsoplossingen Er zijn ook heel wat niet-cryptografische verdedigingsmechanismen, zoals het strafrecht PIN = 4321 PIN OK (9000) Don t try this at home y1= h(# b u) s mod n Transactie OK Verifieer handtekening Steel een kaart Je hebt ook de PIN nodig raad de PIN (1234, 0000, 1111) over de schouder meekijken micro camera aftappen van terminal 2. Steel een kaart geef een willekeurige PIN in onderschep de PIN voor ze de kaart bereikt stuur zelf een PIN OK de EMV kaarten van sommige banken merkten dit niet op

8 EMV betaling (vereenvoudigd) s, r, n, # r, n, # Bedrag b=100 EUR. Enter PIN r, n 3. Factoriseer de modulus n: vind p en q en dan s PIN ontcijferen handtekening vervalsen Verifieer PIN RSA(PIN) = (PIN) r mod n u Vandaag: bits PIN = 4321 PIN OK (9000) Wat als er een wiskundige doorbraak komt? alle EMV terminals vervangen duurt 5-10 jaar y1= h(# b u) s mod n Transactie OK Verifieer handtekening Intermezzo: RSA voor kleine getallen 4. Factoriseer de modulus n: vind p en q en dan s PIN ontcijferen handtekening vervalsen boodschap m=0 dan c = (0) r mod n =? boodschap m=1 dan c = (1) r mod n =? 0 1 Dit is gemakkelijk als p en q niet helemaal willekeurig zijn Verzamel groot aantal (10 miljoen) publieke sleutels n i Bereken ggd(n i,n k ) i, k Als je geluk hebt: n i = p i.q i en n k = p k.q k met q i = q k Dan geldt dat ggd(n i,n k ) = q i Dit probleem blijkt in praktijk helaas voor te komen 45 stel r=3 cijfertekst c = 8 = m 3 mod n; m =? cijfertekst c = 27 = m 3 mod n; m =? cijfertekst c = 125 = m 3 mod n; m =? Het berekenen van een 3 de wortel mod n is moeilijk, maar het berekenen van een 3 de wortel over de gehele getallen is vrij eenvoudig Implicaties op PIN encryptie Implicaties op PIN encryptie (2) 5. Vind de PIN zonder n te factoriseren Oplossing: RSA(PIN): ( PIN) r mod n Wat met (PIN) r mod n met r=3? PIN < 10 4 (PIN) r < dus als n>10 12 (40 bits) geldt dat (PIN) r mod n = (PIN) r Het is dus eenvoudig om de PIN terug te vinden Aanval: bereken een tabel met elementen PIN, RSA(PIN) dat duurt een paar seconden en vraagt 25Mb 2.5 Mbyte Je kan nu de PIN opzoeken in de tabel Oplossing: ( PIN) r mod n Nu geldt dat het argument groot is Is dit veilig? 47 Betere oplossing: ( u 00 PIN) r mod n Probleem in praktijk: sommige terminals genereren waarden van u die voorspelbaar zijn 48 8

9 Veiligheid RSA Bewezen is: Factoriseer(n) RSA gebroken Wat betekent RSA gebroken? RSA breken is het vinden van een een r-de machtswortel modulo n Wat met? belangrijk open probleem in de cryptografie De RSA-veronderstelling: het vinden van een r-de machtswortel van een getal willekeurig gekozen in [0,n-1] is moeilijk merk op dat het vinden van een r-de machtswortel voor kleine getallen gemakkelijk is maar als je een willekeurig getal kiest in [0,n-1] is de kans verwaarloosbaar dat het een heel klein getal is Vervang in de terminal de publieke sleutel van Visa door jouw publieke sleutel Je kan nu eigen kaarten maken met valse certicaten alle betalingen worden aanvaard Oplossing: het moet moeilijk zijn om de publieke sleutel van Visa in een terminal aan te passen Fysica Slotopmerking Informatie wordt de olie van de digitale maatschappij genoemd Enige mogelijke bescherming tegen massale verzameling en verwerking van informatie is cryptografie Cryptografie steunt in sterke mate op wiskunde maar ook computerwetenschappen, elektrotechniek