Cryptografie. Beveiliging van de digitale maatschappij. Gerard Tel. Instituut voor Informatica en Informatiekunde Universiteit Utrecht

Transcriptie

1 Cryptografie

2

3 Cryptografie Beveiliging van de digitale maatschappij Gerard Tel Instituut voor Informatica en Informatiekunde Universiteit Utrecht

4 Trefw: cryptografie, informatiebeveiliging, digitale handtekening, elektronisch geld c Copyright 2006 Gerard Tel. Alle rechten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen, of enige andere manier, zonder voorafgaande toestemming van de auteur. Voorzover het maken van kopieën uit deze uitgave is toegestaan op grond van artikel 16B Auteurswet 1912 j o het Besluit van 20 juni 1974, St.b. 351, zoals gewijzigd bij Besluit van 23 augustus 1985, St.b. 471 en artikel 17 Auteurswet 1912, dient men de daarvoor wettelijk verschuldigde vergoedingen te voldoen aan de Stichting Reprorecht. Voor het overnemen van gedeelte(n) uit deze uitgave in bloemlezingen, readers en andere compilatie- of andere werken (artikel 16 Auteurswet 1912), in welke vorm dan ook, dient men zich tot de auteur te wenden. Ondanks alle aan de samenstelling van dit boek bestede zorg kan noch de redactie, noch de auteur, noch de uitgever aansprakelijkheid aanvaarden voor schade die het gevolg is van enige fout in deze uitgave.

5 Inhoudsopgave Inhoudsopgave Voorwoord v viii 1 Inleiding tot symmetrische encryptie Symmetrische en asymmetrische cryptografie Eenvoudige voorbeelden en aanvallen Informatietheoretische veiligheid Kritieke lengte en computationele veiligheid Samenvatting en conclusies Opgaven bij hoofdstuk Data Encryption Standard De werking van DES DES breken met brutekracht Differentiële cryptanalyse Opkomst en ondergang van een standaard Samenvatting en conclusies Opgaven bij hoofdstuk Symmetrische encryptie: vervolg Hellmans cubic-rootaanval Productsystemen Stroomversleuteling Sleutelbeheer AES: Advanced Encryption Standard Samenvatting en conclusies Opgaven bij hoofdstuk Getallen: eigenschappen De gehele getallen Invoerblindering Modulaire aritmetiek Multiplicatieve groep: priemmodulus Modulaire ring: samengestelde modulus Samenvatting en conclusies Opgaven bij hoofdstuk v

6 vi Inhoudsopgave 5 Getallen en public-keycryptografie Berekenbare functies in modulaire groepen Niet-berekenbare functies in modulaire groepen Public-keycryptosystemen Samenvatting en conclusies Opgaven bij hoofdstuk Digitale handtekeningen Eisen en toepassingen Handtekeningschema s Hashfuncties Blinde handtekeningen Samenvatting en conclusies Opgaven bij hoofdstuk Identificatie Definities en aanvallen, voorbeelden Authenticatie op basis van cryptografie Zero-knowledge proof voor identificatie Meer over zero-knowledge proofs Biometrie Samenvatting en conclusies Opgaven bij hoofdstuk Verdeelschema s en groepscryptografie Inleiding: schema s en gebruik Een additief vetoschema Een drempelschema: Shamirs polynoomschema Samenvatting en conclusies Opgaven bij hoofdstuk Toepassingen Kerberos Universal Mobile Telecommunication System (UMTS) Secure Socket Layer Samenvatting en conclusies Opgaven bij hoofdstuk Regulering van cryptografie Totstandkoming van wetgeving Verkoop en export van cryptografie Regels rond geheimhouding Verdere wetgeving Samenvatting en conclusies Opgaven bij hoofdstuk

7 Cryptografie vii 11 Smartcards Inleiding Aanvallen op smartcards Openen van smartcards Samenvatting en conclusies Opgaven bij hoofdstuk Elektronisch geld Geld en eisen op elektronisch geld E-muntsystemen: Ecash Registersystemen Samenvatting en conclusies Opgaven bij hoofdstuk Secure computing Inleiding Homomorfe encryptie Geheime verkiezingen Voorbij functie-evaluatie Samenvatting en conclusies Opgaven bij hoofdstuk De discrete logaritme Groepen en het logaritmeprobleem Groepen voor cryptografie Groepsalgoritmen De indexcalculus Samenvatting en conclusies Opgaven bij hoofdstuk A Kansrekening 300 A.1 Experimenten en verwachting A.2 Bernoullireeksen A.3 Botsingen en de verjaardagsstelling B Verantwoording van afbeeldingen 306 Bibliografie 308 Index 315

8 Voorwoord De cryptografie staat de laatste jaren sterk in de belangstelling, hetgeen zich uit in een groot aanbod van colleges, cursussen en leerboeken. Dit boek verschilt in een aantal aspecten van het gangbare aanbod, en daarom meen ik dat het tussen het bestaande materiaal bestaansrecht heeft. Veel boeken zijn erg wiskundig, behandelen getaltheorie en coderingen erg diepgaand, maar besteden dan weinig aandacht aan de berekeningsaspecten. Andere boeken behandelen juist wel berekeningen en protocollen, maar laten de wiskundige achtergronden onbesproken. Dit boek probeert een middenweg tussen een wiskundig en een informaticaboek te zoeken. In kaders, die los staan van de hoofdtekst, wordt steeds een link gelegd naar een toepassing of voorbeeld: soms historisch, soms modern, soms uit de praktijk, soms grappig bedoeld. Ik hoop hierdoor een breed lezerspubliek aan te spreken. De cryptografie en dit boek. De gangbare definities of omschrijvingen van cryptografie zijn te eng om de tegenwoordige veelzijdige toepassingen van deze tak van wetenschap te dekken. Daarom doe ik een nieuwe poging het werkterrein van dit boek af te bakenen: Definitie 0.1 De cryptografie is de kunst van beveiliging met behulp van informatie. In deze omschrijving wordt informatie aangehaald als middel ter beveiliging en niet als beveiligingsobject, al kan uiteraard ook informatie zelf cryptografisch worden beveiligd. Geheimhouding van informatie is de oudste toepassing van cryptografie en ook bij het publiek het best bekend. Daarnaast vindt de cryptografie toepassing bij toegangsbeveiliging (tot computersystemen zowel als gebouwen), digitale handtekeningen, elektronisch geld, en noem maar op. Wat staat er in dit boek. Dit boek is opgebouwd uit drie delen, die wel afhankelijk van elkaar zijn, maar niet elke lezer in gelijke mate of op dezelfde tijd zullen aanspreken. Deel I: Geheimhouding. Het eerste deel, de hoofdstukken 1 tot 5, behandelt geheimhouding: de basis van cryptografische algoritmen, zoals gebruikt voor de bescherming van informatie tegen uitlekken en afluisteren. Er wordt aandacht besteed aan symmetrische algoritmen (zoals DES en encryptie in gsm-telefoons), aanvallen op dit soort cryptografie en toepassingen ervan, en public-keycryptografie. Hoofdstuk 1 introduceert het versleutelen en ontsleutelen van informatie met een (gemeenschappelijke) sleutel. Informatietheorie wordt gebruikt om uit de verhouding tussen de sleutelgrootte en de hoeveelheid data grenzen op de veiligheid af te leiden. Hoofdstuk 2 behandelt het DES-algoritme, dat 25 jaar lang de standaard voor symmetrische encryptie is geweest. viii

9 Cryptografie ix Verdere technieken voor symmetrische encryptie komen in hoofdstuk 3 aan de orde. Hoofdstuk 4 is een excursie buiten de eigenlijke cryptografie: het behandelt de getaltheorie die aan de moderne cryptografische technieken ten grondslag ligt. Voor wiskundigen is veel hiervan bekend, terwijl de lezer met ICT-achtergrond er weinig zal tegenkomen over computers, bits en berekeningen. Er is naar gestreefd het materiaal zo duidelijk mogelijk te presenteren en te voorzien van voorbeelden die aantonen waarom deze theorie voor de cryptografie belangrijk is. Men kan ervoor kiezen dit hoofdstuk (of delen ervan) bij eerste lezing over te slaan en het als referentie te gebruiken wanneer de verdere tekst daar aanleiding toe geeft. In hoofdstuk 5 worden de wortels van de cryptografie blootgelegd. Onder andere wordt hier de vraag behandeld of het wel mogelijk is om informatie te gebruiken voor beveiliging. In dit hoofdstuk komen de wiskunde van getallen en de theorie van berekeningen bij elkaar. Een inleidend college in de cryptografie zal over het algemeen dit deel geheel omvatten, mogelijk met uitzondering van enkele delen van hoofdstuk 4. Deel II: Cryptografische protocollen. De hoofdstukken 6 tot 9 laten zien dat de cryptografie kan worden gebruikt voor zaken die verder gaan dan geheimhouding. Bijvoorbeeld het beschermen van (op zich bekende) informatie tegen oneigenlijk gebruik, maar ook toegangscontrole, digitaal geld en anonimiteit. Hoofdstuk 6 gaat over de digitale handtekening, hashfuncties en blindering. Hoofdstuk 7 behandelt identificatie, waarbij ook zero-knowledge proofs en biometrie aan de orde komen. In hoofdstuk 8 wordt het verdelen van informatie behandeld: hierbij krijgen verschillende partijen elk een aandeel in bijvoorbeeld een cryptografische sleutel, zodat ze die alleen samen kunnen gebruiken. In elk van deze drie hoofdstukken speelt de asymmetrische cryptografie de belangrijkste rol, maar ook met symmetrische cryptografie kunnen grootschalige systemen met hoge veiligheid worden gebouwd. De protocollen die rond symmetrische cryptogafie worden opgebouwd lenen zich echter minder goed voor een algemene behandeling, en daarom worden er in hoofdstuk 9 enkele specifieke systemen behandeld: Kerberos, UMTS en SSL. Voor een inleidend college in de cryptografie kan uit deze hoofdstukken een keuze worden gemaakt, afhankelijk van interesse van de docent of de studenten. Deel III: Vervolgstudie. De hoofdstukken 10 tot 14 behandelen uiteenlopende zaken, eigenlijk te divers om in een college te behandelen. Dit deel is bedoeld voor de geïnteresseerde lezer of als inleiding tot een verdere studie van het onderwerp. Het materiaal is dan ook in minder detail uitgewerkt dan in de eerdere hoofdstukken; delen van bewijzen en het leggen van verbanden worden meer aan de lezer overgelaten. De lezers met bedrijfskundige of financiële interesse kunnen de hoofdstukken 10 (over regelgeving rond cryptografie) en 12 (over elektronisch geld) bestuderen. Lezers met een ICTachtergrond zullen hoofdstuk 11 over de techniek van smartcards kunnen waarderen. Wie hoofdstuk 8 (over verdeelschema s) mooi vond, zal ook van hoofdstuk 13 (over multipartyberekeningen) kunnen genieten. De wiskundigen ten slotte worden in hoofdstuk 14 verwend met een verhandeling over groepentheorie en het berekenen van logaritmen. Voelt u zich door een van deze hoofdstukken niet aangesproken? Geen nood, zet het boek in de boekenkast en raadpleeg het als u later toch in een van deze onderwerpen belangstelling krijgt. Voor wie is dit boek bedoeld. Dit boek kan worden gebruikt voor colleges in de cryptografie aan universitaire opleidingen informatica en wiskunde. Qua niveau zal de stof daar

10 x Voorwoord passen in het tweede of derde leerjaar (de bachelorfase). Ook in het HBO zal dit boek nuttig kunnen zijn voor gespecialiseerde opleidingen. Dankbetuiging. Ik wil iedereen bedanken die aan de totstandkoming van dit boek heeft meegewerkt. De studenten van het college Cryptografie in het najaar van 2001 (met name Robbert Brak, Bart Groot en Alain Böhm) zijn erg behulpzaam geweest in het opsporen van typefouten. De volgende personen hebben een of meer hoofdstukken becommentarieerd. Dr. Marjan van den Akker (Hfst. 12 en bijlage A), Drs. Jan Brands (Hfst. 1 tot 4), Dr. Hans Bodlaender (Hfst. 1 tot 8 en 13), Mr. dr. Jaap Dijkstra (Hfst. 10), Dr. Rogier van Eijk (Hfst. 10), Dr. Jaap-Henk Hoepman (Hfst. 5, 8, 9 en 12), Dr. Han Hoogeveen (Hfst. 5), Dr. Bert-Jaap Koops (Hfst. 10), Drs. Sieuwert van Otterloo (Hfst. 14), Dr. Berry Schoenmakers (Hfst. 13). Bij de herziene versie van Oktober De eerste versie van het boek wordt sinds het voorjaar van 2006 niet meer geleverd door de uitgever. Daarom is, voor het college Cryptografie in het najaar van 2006 en later, deze uitgave gedrukt. Ten opzichte van de eerste uitgave zijn enkele typefouten verbeterd en een paar inhoudelijke aanvullingen gemaakt. Gerard Tel, Utrecht, oktober 2006.

11 Hoofdstuk 1 Inleiding tot symmetrische encryptie Cryptografie staat de laatste jaren sterk in de belangstelling en gezien de vele toepassingen is dat niet verwonderlijk. De opkomst van internet en zelfs internetwinkelen maken een goede beveiliging noodzakelijk, en in het dagelijks betalingsverkeer heeft de electronische portemonnee (chipknip) naast het oudere pinnen zijn intrede gedaan. In alle gevallen speelt cryptografie de hoofdrol bij de beveiliging. Tegenwoordig is de cryptografie een sterk wiskundig terrein, waar vooral getaltheorie een grote rol speelt; de moderne technieken zijn namelijk allemaal op het manipuleren van getallen gebaseerd. De klassieke technieken, de zogenaamde symmetrische algoritmen, maken hiervan geen gebruik en worden in dit boek het eerst behandeld. De bescherming van informatie berust op de geheimhouding van een doorgaans kleinere hoeveelheid informatie, de sleutel of key. Een cryptografisch algoritme zal zorgen voor een goede vermenging van de informatie en de sleutel, maar is zelf (meestal) niet geheim. Een belangrijk onderwerp in dit hoofdstuk is daarom een analyse van de mate van bescherming die met een sleutel van een zekere lengte mogelijk is. 1.1 Symmetrische en asymmetrische cryptografie Een eerste toepassing van de cryptografie is het versleutelen (ook vercijferen, Engels: encrypt) van informatie die vertrouwelijk moet blijven. Alice en Bob willen elkaar iets meedelen maar zij vrezen dat hun opponent Oscar hun communicatie beluistert. Ze gaan het afluisteren voor Oscar zinloos maken door elke boodschap voor het versturen te veranderen door toepassing van een functie E (voor encryptie). In plaats van de boodschap X zendt Alice dus Y = E(X); de oorspronkelijke boodschap X heet de klare tekst (plaintext), de versleutelde boodschap Y de cijfertekst (ciphertext). Natuurlijk moet Bob wel, maar Oscar niet over de inverse functie D (voor decryptie) beschikken om de boodschap te kunnen ontsleutelen (of ontcijferen, Engels: decrypt). De encryptie- en decryptieprogramma s (of machines) zijn altijd parametriseerbaar: dat betekent dat je ze kunt instellen op een element van een klasse van functies. De instelling noemen we de sleutel of key, weergegeven als k en de functies zijn dan E k en D k. Alice en Bob 1

12 2 1 Inleiding tot symmetrische encryptie Kader 1.1: Informatiebeveiliging in laptops Bij het beveiligen van informatie wordt meestal als eerste gedacht aan informatie die via een netwerk wordt verzonden. Bestanden op een vaste schijf of diskette zijn echter ook verre van veilig, zelfs als de computer niet of alleen via een firewall aan het net is gekoppeld. Diskettes met gevoelige informatie kunnen gemakkelijk kwijtraken (bij diefstal van auto of tas bijvoorbeeld), en jaarlijks wisselen duizenden laptops onbedoeld van eigenaar. Niet alleen is dan de hardware verloren, maar de informatie in de laptop valt ook in andere handen en dit is in vele gevallen een nog grotere schadepost. Zelfs justitie kwam hierdoor enkele malen in opspraak. Het kan daarom verstandig zijn, alle vertrouwelijke informatie in versleutelde vorm op de disks op te slaan. Programma s als PGP bieden deze functionaliteit. moeten nu de sleutels zo kiezen, dat de ingestelde functies elkaar opheffen. We onderscheiden nu twee typen algoritmen, afhankelijk van hoe die omkeerbaarheid wordt bereikt. In een symmetrisch algoritme bestaat de encryptie uit een reeks omkeerbare stappen, zoals het optellen van een bepaald getal, het verwisselen van bepaalde bits, of het puntsgewijs XOR-en met een bitrij. Dit betekent dat kennis van het versleutelproces voldoende informatie inhoudt om de operaties in omgekeerde volgorde terug te rekenen en het origineel te herstellen. Daarom is bij deze systemen de encryptiesleutel en decryptiesleutel gelijk (al wordt hij soms anders toegepast). Bij asymmetrische algoritmen maken we gebruik van operaties die niet omkeerbaar zijn: denk bijvoorbeeld aan een reductie (deling met rest) modulo een groot getal n. Je kunt van een getal x gemakkelijk berekenen wat de rest is bij deling van x 2 door n, maar aan die rest kun je niet meer zien wat x 2 (of x) was en daarmee is deze stap niet direct omkeerbaar. Natuurlijk bestaat er wel een berekening die het origineel terug kan vinden, anders was het cryptosysteem onbruikbaar. Maar hoe de berekening van D verloopt, is aan de encryptiesleutel niet te zien. Omdat er twee verschillende sleutels worden gebruikt, noemen we deze klasse van algoritmen asymmetrisch, en omdat de encryptiesleutel niet geheimgehouden hoeft te worden (Oscar kan er immers toch niets mee beginnen) spreken we ook wel van public-keycryptografie. 1.2 Eenvoudige voorbeelden en aanvallen Omdat we voor getallen allerlei bewerkingen beschikbaar hebben, is het soms gemakkelijk de klare tekst op te vatten als een reeks getallen. We rekenen dan modulo m, vaak de grootte

13 1.2 Eenvoudige voorbeelden en aanvallen 3 van het alfabet. In de volgende voorbeelden gaan we uit van een alfabet van 32 tekens, en rekenen derhalve in Z 32 (met de getallen 0 tot en met 31). De elementaire eenheid van informatie is een bit, waarvan de waarde alleen 0 of 1 kan zijn. Om meer verschillende waarden te representeren worden meer bits gebruikt, met drie bits kunnen bijvoorbeeld al de acht waarden 000, 001, 010, 011, 100, 101, 110 en 111 worden weergegeven. De vroegere telexmachines werkten met 5-bits tekens en gebruikten een alfabet met 32 tekens. De 0 is spatie, 1 tot en met 26 zijn a tot en met z, 27 en 28 zijn punt en komma, 29 en 30 zetten de speciale tekens aan en uit. De laatste code, 31, is een no-op: deze code drukt geen enkel teken af en werd gebruikt voor het corrigeren van fouten. Had men namelijk een verkeerd teken in een papierstrook geponst, dan kon men dit corrigeren door enkele plaatsen terug te gaan, op de foute plaatsen vijf gaatjes te ponsen, en daarna verder te gaan. Men laat de geschiedenis van de cryptografie meestal beginnen bij de Romeinse keizer Caesar, die van alle geheime berichten die hij verzond de letters over drie plaatsen in het alfabet liet verschuiven. Dus werd, in dit Caesariaans systeem, een A een D, een B een E et cetera. Deze conventie was bij de ontvanger bekend en kon gemakkelijk ongedaan worden gemaakt. Dit Caesariaanse systeem gebruikte dus slechts één encryptiefunctie en één bijbehorende decryptiefunctie en voldeed daarom niet aan de eigenschap van parametriseerbaarheid. Het nadeel hiervan is gemakkelijk in te zien: de methode als geheel moet geheim blijven, want als de encryptie-decryptiemethode eenmaal is uitgelekt dan is die vanaf dat moment waardeloos. Het is daarom beter om niet een geheime methode te gebruiken, maar een klasse van functies waaruit een geheime sleutel een bepaald element specificeert Drie primitieve systemen Het schuifsysteem (shift system, ook nog wel als Caesariaans aangeduid) is een generalisatie van Caesars methode doordat de verschuiving door het alfabet over een variabel aantal posities wordt gedaan. Het gebruikt een sleutel k Z 32 en verschuift alle tekens k posities op in het alfabet, dus: E k (x) = x + k. Een voorbeeld: met k = 3 zal de tekst APEKOP worden versleuteld tot DSHNRS en uiteraard zal Oscar de subtiliteit van deze mededeling van Alice ontgaan. Bob schuift na ontvangst de letters natuurlijk gewoon weer terug: D k (y) = y k. In de encryptie- en decryptiefunctie is te zien dat de zender en de ontvanger dezelfde geheime informatie k gebruiken, alleen op een andere manier (optellen, respectievelijk aftrekken). Anders gezegd, de encryptiefunctie en de decryptiefunctie zijn niet gelijk, maar kennis van de encryptiefunctie is wel gelijk aan kennis van de decryptiefunctie. Cryptografische algoritmen die hieraan voldoen noemen we symmetrische algoritmen. In het affiene systeem maken we het nog iets mooier door de optelling te vervangen door een algemene lineaire transformatie modulo m (eerder was m 32, maar het kan ook een ander getal zijn). De sleutel is een paar (a, b), waarbij a een multiplicatieve inverse heeft modulo m (dat wil zeggen, er bestaat een a waarvoor a a = 1 modulo m). E (a, b) (x) = a x + b, en D (a, b) (y) = a (y b).

14 4 1 Inleiding tot symmetrische encryptie Een voorbeeld: de sleutel (11, 8) voldoet aan de eis, want 11 heeft inverse 3, immers 3.11 = 1 (we rekenen immers in Z 32, dus modulo 32). Met deze sleutel is en E(A) = E(1) = = 19 = S, D(S) = D(19) = 3 (19 8) = 1 = A. Het schuif- en affiene systeem zijn speciale gevallen van het toepassen van een willekeurige permutatie op de letters van het alfabet. In het substitutiesysteem is de sleutel een willekeurige permutatie π S m, en E π (x) = π(x), en D π (y) = π 1 (y) Drie primitieve aanvallen Helaas zal Oscar zich niet neerleggen bij de ondoorgrondelijkheid van de verzonden mededelingen en proberen er, ondanks de versleuteling, wijs uit te worden. Een poging om een cryptografische beveiliging te doorbreken wordt steeds een aanval genoemd. Hier is het doel van de aanval, versleutelde berichten te kunnen lezen. Hoewel men zou kunnen denken dat Alice en Bob een extra veiligheid zouden genieten door ook de werking van hun systeem voor Oscar geheim te houden, gaan we hier nooit van uit: Aanname 1.1 (Kerckhoffs principe) Oscar kent het cryptosysteem dat door Alice en Bob wordt gebruikt; alleen de sleutel is hem onbekend. Motivaties voor deze aanname zijn: 1. Een sleutel is gemakkelijker te vernieuwen dan een methode. Bij het onverhoopt uitlekken van de sleutel kan daarom snel een nieuwe worden gekozen, maar bij het onverhoopt uitlekken van de methode is het niet gemakkelijk een nieuwe te kiezen. Je moet dan weer een echt nieuw idee krijgen en software en apparatuur vervangen. 2. Bij veel vormen van communicatie tussen veel partijen wordt gebruikgemaakt van gestandaardiseerde software in browsers en -programma s. In deze setting is het natuurlijk volstrekt onmogelijk om de standaarden geheim te houden. 3. Zeker een veelgebruikt algoritme is op de lange duur toch niet geheim te houden, zelfs niet als het alleen in hardware wordt aangeboden; zie kader 1.2. De kennis over het algoritme is sowieso bij de ontwerpers en bouwers van het systeem bekend, terwijl je als gebruiker niet wilt dat de ontwerpers je berichten kunnen lezen. 4. De veiligheid van communicatie berust op deze manier op de geheimhouding van zo weinig mogelijk informatie. En hoe minder informatie je geheim hoeft te houden, des te gemakkelijker dit is. 5. Als de methode bekend is, kunnen alle geschoolde cryptografen hun mening vormen over de veiligheid ervan, en deze kwestie publiekelijk bespreken. Omdat de sleutel k nu de enige informatie is waarvan we de geheimhouding aannemen, gaan we straks analyseren welke mate van bescherming de sleutel biedt. We kijken eerst naar de situatie waarin Oscar slechts een stukje cijfertekst heeft opgevangen: DSHNRS, maar over de sleutel en verdere teksten niets weet. We spreken dan van een cijfertekstaanval (Ciphertext-Only Attack (COA)). In het geval van het schuifsysteem zal Oscar de letters van de tekst steeds een positie terugschuiven door het alfabet en vindt hij in het gegeven voorbeeld achtereenvolgens:

15 1.2 Eenvoudige voorbeelden en aanvallen 5 DSHNRS CRGMQR BQFLPQ APEKOP In dit geval is de geheime boodschap na drie stappen al gevonden. Algemeen vindt Oscar natuurlijk een lijst van 32 (aantal mogelijke verschuivingen) van teksten, waaruit hij die tekst kiest die er als een echte boodschap uitziet. Oscar probeert in feite alle mogelijke verschuivingen uit. Een aanval waarbij alle mogelijke sleutels worden uitgeprobeerd noemen we een brutekrachtaanval (Brute Force Attack (BFA)). Bij het affiene systeem zijn er meer sleutels mogelijk, maar in ons geval ook niet meer dan 512; voor a zijn namelijk alleen oneven getallen mogelijk (dit wordt uitgelegd in hoofdstuk 4). Met computers ligt dit natuurlijk gemakkelijk binnen het bereik van een BFA maar we zullen hier een andere aanpak illustreren. Een klaretekstaanval (Known Plaintext Attack (KPA)) is een aanval waarbij de tegenstander beschikt over enkele bij elkaar passende paren (x, y) waarvoor E(x) = y. Behalve de cijfertekst is dus ook de klare tekst bij de aanvaller bekend, en hij kan nu proberen hieruit de sleutel te vinden of de klare tekst die bij volgende stukken cijfertekst hoort. Oscar kan tegen het affiene systeem een aanval lanceren op basis van twee zulke paren. Uit y 1 = a x 1 + b y 2 = a x 2 + b volgt namelijk (y 1 y 2 ) = a(x 1 x 2 ) en dus (mits x 1 x 2 een inverse heeft): a = (y 1 y 2 ) (x 1 x 2 ) 1 b = y 1 a x 1 Deze aanval is ook uit te voeren zonder klare tekst, namelijk door er een element van statistische analyse aan toe te voegen. Niet alle symbolen van het alfabet worden even vaak gebruikt: de spatie komt het vaakst voor (15 tot 25 procent), daarna zijn de E, A en T erg populair. Oscar kan in een cijfertekst van enkele woorden zoeken welk symbool (zeg y 1 ) het vaakst voorkomt en welk (zeg y 2 ) daarna. Hij probeert dan de aanval met x 1 een spatie en x 2 een E, en vindt vrij snel een sleutel waarmee de hele tekst leesbaar wordt. In het substitutiesysteem is het aantal mogelijke sleutels, 32! ofwel ongeveer , veel te groot om ze allemaal uit te proberen. Een brutekrachtaanval is hier dus niet mogelijk, toch is een cijfertekstaanval al snel succesvol, weer door statistische analyse. Het vaakst voorkomende symbool wordt op de spatie afgebeeld (et cetera) Drie minder elementaire systemen Omdat het breken van de behandelde codes zo eenvoudig is, wilde men natuurlijk systemen maken die nog iets ingewikkelder in elkaar zaten, maar het substitutiesysteem is het meest algemene dat met de afzonderlijke letters is uit te voeren. Daarom ging men, al eeuwen geleden, over op zogenaamde blokversleuteling (block cipher), waarin een reeks x 1 x 2... x b van b symbolen wordt gecombineerd en in één keer versleuteld. Het Vigenère-systeem uit de zestiende eeuw wisselde b verschillende verschuivingen af: de sleutel was dus een rijtje (b, k 1,..., k b ) en E(x 1 x 2... x b ) = (x 1 + k 1 x 2 + k 2... x b + k b ),

16 6 1 Inleiding tot symmetrische encryptie Kader 1.2: Versleuteling bij mobiele telefonie Geen infrastructuur is zo open voor afluisteren als de vrije ether; radiosignalen verspreiden zich onafhankelijk van de bedoelde bestemming en kunnen door iedereen in het bestreken gebied met een ontvanger worden beluisterd. In sommige landen (Duitsland, de Verenigde Staten) genieten bellers een wettelijke bescherming tegen het beluisteren van gesprekken, maar echte gangsters (en de politie!) trekken zich hiervan weinig aan. In Nederland is het beluisteren van alle ethercommunicatie toegestaan; het kwetsbaarst zijn gebruikers van analoge draadloze telefoons in de 31MHz- en 46MHz-band. De modernere DECT-telefoons werken digitaal en eenvoudige scanners (foto) zijn niet met een DAomzetter uitgerust. Door de scanner aan een pc te koppelen kan echter ook digitale communicatie worden afgetapt. De DECT-standaard ondersteunt versleuteling, maar of dit ook daadwerkelijk is gebruikt verschilt per fabrikant. Het Europese gsm-systeem voor mobiele telefonie is niet alleen volledig digitaal, maar voorziet ook in encryptie tussen de mobiele telefoon en het basisstation. Het gebruikte algoritme, A5/1, is lang door de ontwerpers onder de pet gehouden, maar de werking werd achterhaald via reverse engineering van gsm-telefoons; zie sectie 3.3. Bij het ontwerp van de volgende generatie mobiele communicatie, het UMTS netwerk, is besloten te werken volgens Kerckhoffs principe: het ontwerp is geheel openbaar en de veiligheid berust alleen op geheimhouding van de sleutels. het blok (x b+1... x 2b ) gaat eender. Als variant op dit systeem kun je ook b affiene of zelfs substitutieversleutelingen gebruiken; we krijgen dan een polyalfabetisch systeem. Een transpositiesysteem verandert de letters niet, maar plaatst ze door elkaar. De sleutel is een permutatie over de indices van 1 tot b, en E(x 1 x 2... x b ) = (x π(1) x π(2)... x π(b) ). Polyalfabetische substitutie en transpositie kunnen naar hartelust worden gecombineerd. Een generalisatie van het affiene systeem is het Hill-systeem, met als sleutel een (inverteerbare) matrix K over Z m, en E K (x 1 x 2... x b ) = K x. Alle genoemde systemen hebben een bruikbare periode gehad, maar die is reeds lang geleden. De Vigenère-systemen zijn als de shift- en substitutiemethoden te breken zodra de blokgrootte b bekend is, en die is er met een statistisch filter gemakkelijk uit te zeven. Het systeem van Hill is gemakkelijk te breken met een bekende plaintext van b 2 tekens: de coefficiënten van K zijn dan uit een lineair stelsel oplosbaar. Een nog gecompliceerdere vorm van versleuteling is de stroomversleuteling, waarbij met een bepaald proces een zeer lange reeks sleutels wordt gegenereerd. Een mooi voorbeeld waren