Symmetrische versleuteling voor RFID-Tags

Maat: px
Weergave met pagina beginnen:

Download "Symmetrische versleuteling voor RFID-Tags"

Transcriptie

1 Faculteit Ingenieurswetenschappen Departement Elektrotechniek ESAT KATHOLIEKE UNIVERSITEIT LEUVEN Symmetrische versleuteling voor RFID-Tags Eindwerk voorgedragen tot het behalen van het diploma van Burgerlijk Elektrotechnisch Ingenieur, optie ICT-multimedia en signaalverwerking (Master in de ingenieurswetenschappen: elektrotechniek (ICT)) Gauthier Van Damme Promotors: Prof. dr. ir. Bart Preneel Prof. dr. ir. Ingrid Verbauwhede Dagelijkse begeleiding: dr. ir. Orr Dunkelman ir. Miroslav Knezevic ir. Roel Maes

2

3 c Copyright by K.U.Leuven Zonder voorafgaande schriftelijke toestemming van zowel de promotor(en) als de auteur(s) is overnemen, kopiëren, gebruiken of realiseren van deze uitgave of gedeelten ervan verboden. Voor aanvragen tot of informatie i.v.m. het overnemen en/of gebruik en/of realisatie van gedeelten uit deze publicatie, wendt U tot de K.U.Leuven, Departement Elektrotechniek ESAT, Kasteelpark Arenberg 10, B-3001 Heverlee (België). Telefoon & Fax of via info@esat.kuleuven.be. Voorafgaande schriftelijke toestemming van de promotor(en) is eveneens vereist voor het aanwenden van de in dit afstudeerwerk beschreven (originele) methoden, producten, schakelingen en programma s voor industrieel of commercieel nut en voor de inzending van deze publicatie ter deelname aan wetenschappelijke prijzen of wedstrijden. c Copyright by K.U.Leuven Without written permission of the promotor(s) and the author(s) it is forbidden to reproduce or adapt in any form or by any means any part of this publication. Requests for obtaining the right to reproduce or utilize parts of this publication should be addressed to K.U.Leuven, Departement Elektrotechniek ESAT, Kasteelpark Arenberg 10, B-3001 Heverlee (Belgium). Tel & Fax or by info@esat.kuleuven.be. A written permission of the promotor(s) is also required to use the methods, products, schematics and programs described in this work for industrial or commercial use, and for submitting this publication in scientific contests. i

4

5 Voorwoord Eerst en vooral wil ik mijn promotors, Prof. Preneel en Prof. Verbauwhede bedanken voor de kans die ze mij hebben gegeven om dit eindwerk te maken. Zonder hen had ik niet kunnen kennismaken met de wondere wereld van lichtgewicht cryptografie. Vervolgens wil ik Orr Dunkelman, Miroslav Knezevic en Roel Maes hartelijk danken voor hun beschikbaarheid. Ze stonden steeds voor mij klaar en zonder hen zou dit eindwerk nooit gelukt zijn. Langs deze weg zou ik ook mijn familie, waar het altijd thuiskomen is, willen bedanken voor de kansen die ze me gaven. En ondertussen zie ik mijn papa al fronsen... Dank je wel voor al je commentaar bij het lezen van mijn thesis, maar de vorige zin, hoe slecht ook geschreven, heb ik toch laten staan! Tenslotte bedank ik ook mijn vrienden om me te doen lachen en me van tijd tot tijd van het leven te doen genieten. Gauthier mei 2008 iii

6

7 Abstract De groei van het gebruik van lage-kost RFID-toepassingen gaat gepaard met een vraag naar zeer compacte beveiliging van dit type communicatie. Door de lage kost die de tags in RFIDtoepassingen moeten hebben, moet de beveiliging eveneens een lage kost hebben. Momenteel bestaat er nog geen algemeen gebruikt, symmetrisch cijfer, dat zeer compact in hardware en tegelijk veilig is. Er bestaan wel compacte implementaties van het AES-blokcijfer maar deze zijn nog steeds te groot om op lage-kost RFID-tags te worden gebruikt. Dit eindwerk stelt het symmetrisch blokcijfer EFES (Encryption Function for Embedded Systems) voor. Bij het ontwerp werden zowel hardware-efficiëntie als veiligheid binnen RFIDtoepassingen in acht genomen, om tot een zeer compacte cryptografische primitieve te komen. EFES gaat een 64 bit datablok in 64 klokcycli versleutelen aan de hand van een 80 bit geheime sleutel. Deze sleutel wordt door de lezer en de tag van de RFID-toepassing gedeeld zodat beide entiteiten kunnen communiceren zonder dat een buitenstaander de uitgewisselde data kan achterhalen. Er wordt aangenomen dat generische aanvallen de meest efficiënte aanvallen op EFES zijn. Differentiële en lineaire cryptanalyse werden gebruikt als het uitgangspunt voor de veiligheid van het cijfer. Dit zijn ook de meest voorkomende aanvallen op blokcijfers. Geen enkele differentiële of lineaire aanval kan het blokcijfer EFES vlugger kraken dan wanneer exhaustief naar de sleutel wordt gezocht. Met zijn hardware-implementatie in GE, is EFES het meest compacte blokcijfer tot nu toe gepubliceerd. Het is GE kleiner dan het kleinste blokcijfer (Present). Daarenboven moet EFES niet onderdoen voor stroomcijfers die tot nu toe, onterecht, als meestal compacter dan blokcijfers werden beschouwd. Het aantal GE dat de implementatie van EFES nodig heeft, is namelijk op een dertigtal GE na even klein als het kleinste stroomcijfer (Grain). Bovendien wordt aangetoond dat stroomcijfers geen veilige oplossing bieden voor gebruik binnen RFID-toepassingen. Het blokcijfer dat in dit eindwerk wordt voorgesteld voldoet dus aan de eisen van veiligheid en van zeer compacte hardware-implementatie en zou dus kunnen worden gebruikt bij de beveiliging van lage kost RFID-communicaties. Dit weliswaar pas na een grondige periode van analyse van het cijfer. v

8 Inhoudsopgave Voorwoord iii Abstract v Inhoudsopgave vi Lijst van symbolen viii Lijst van figuren x Lijst van tabellen xi 1 Inleiding RFID-communicaties en hun beveiliging Symmetrische cryptografie Stroomcijfers Blokcijfers De Structuur van het eindwerk De algemene structuur van het symmetrisch cijfer Keuze tussen stroom- of blokcijfer Oppervlaktegebruik Veiligheid Flexibiliteit van het cijfer Vermogenverbruik van het cijfer Keuze symmetrisch cijfer Keuze sleutellengte De bestaande onderzoeken De gewijzigde aanpak Toestands- en bloklengte De algemene structuur De invalshoek van het ontwerp Differentiële cryptanalyse Het principe van differentiële cryptanalyse De uitwerking van een differentiële aanval De efficiëntie van differentiële cryptanalyse Lineaire cryptanalyse Het principe van lineaire cryptanalyse De uitwerking van een lineaire aanval De efficiëntie van lineaire cryptanalyse De invalshoek Het blokcijfer EFES De Substitutie-boxen vi

9 4.2 De Mix-box De deelsleutel optelling De rotatie De key scheduling Motivatie van de ontwerpkeuzes De Substitutiefunctie De kans DP en de bias ε S-boxen veilig tegen differentiële en lineaire aanvallen De functie S 7 [X] De functie S 5 [X] Optimalisatie van het aantal actieve S-boxen Een permutatie gebruiken Het aantal rondes verhogen Efficiëntere S-boxen gebruiken Een lineaire combinatie gebruiken De Rotatie De key scheduling Related-key aanvallen Slide aanvallen Voorwaarden voor een veilige key scheduling De veiligheid van de key scheduling van EFES Veiligheid van het blokcijfer EFES Veiligheid tegen differentiële cryptanalyse De eerste ronde van EFES De eerste 7 rondes van EFES De veiligheid van EFES tegen differentiële aanvallen Het totaal aantal rondes van EFES Veiligheid tegen lineaire cryptanalyse Performantie van het blokcijfer EFES Oppervlaktegebruik van het blokcijfer EFES Vergelijking van de hardware-performantie van EFES met dat van andere symmetrische cijfers Vermogenverbruik van het blokcijfer EFES Besluit 57 Bibliografie 59 A Testvectoren 63 B De GEZEL implementatie van EFES 64 vii

10 Lijst van symbolen K f g n k r u en p K i P p i C y d x i y i X Y X Y DP S[X] Z z i K sub N d c X i Y i De modulo-2-optelling of exclusive or-poort De sleutel van een cijfer Een niet-lineaire functie Het aantal LFSR s in een stroomcijfer De lengte van een blok bij blokcijfers De sleutellengte van het blokcijfer Het aantal rondes van een blokcijfer Het aantal gebruikte S-boxen De deelsleutel van ronde i van een blokcijfer De ingang van het blokcijfer of klaartekst Een bit i van de klaartekst De uitgang van het blokcijfer of cijfertekst Het jaar tot wanneer het blokcijfer veilig moet zijn Het aantal bits waarover wordt geroteerd Een ingangsbit i van een functie Een uitgangsbit i van een functie Een ingangsvector van een functie Een uitgangsvector van een functie Een ingangsverschilwaarde Een uitgangsverschilwaarde De kans dat een differentieel optreedt De substitutiefunctie De inverse van de laatste ronde van het blokcijfer Een bit i van de inverse van de laatste ronde van het blokcijfer Een deelsleutelbitcombinatie van de laatste ronde van het blokcijfer Het aantal gekozen (klaartekst, cijfertekst)-paren nodig bij een differentiële aanval Een kleine constante Een boolean die duidt op het al dan niet aanwezig zijn van ingang i in de lineaire benadering Een boolean die duidt op het al dan niet aanwezig zijn van uitgang i in de lineaire benadering viii

11 ΓX Een vector van de verschillende ingangselementen uit de lineaire benadering ΓY Een vector van de verschillende uitgangselementen uit de lineaire benadering ε De bias waarmee een lineaire benadering afwijkt van een 50% kans van optreden P [F ] De kans dat een functie F juist is q Een kans tussen 0 en 1 N l Het aantal gekende (klaartekst, cijfertekst)-paren nodig bij een lineaire aanval m Het aantal bits die een S-box niet-lineair verandert S 5 [X] De substitutiefunctie van de 5 bit S-box S 7 [X] De substitutiefunctie van de 7 bit S-box b i Een willekeurige bit i M De matrixvoorstelling van de M-box kj i Bit j van de deelsleutel K i t i Bit i van de rondeteller l Een getal gebruikt bij het zoeken naar S-boxen C Een 5 bit vector gelijk aan [00110] met de rechtse bit de minst significante B De matrixvoorstelling van een binaire lineaire combinatie ix

12 Lijst van figuren 1.1 RFID-communicatie: in een eerste stap zal de lezer de tag ondervragen en mogelijk van vermogen voorzien(1). Daarna zal de tag hierop antwoorden(2) Stroomcijfer voorbeeld: de databits worden bit per bit opgeteld bij de sleutelstroom bekomen uit de sleutel K SP-netwerken: de datablokken ondergaan verschillende rondes van permutatie, substitutie en optelling van een deelsleutel K i De Feistel-structuur met 2 deelblokken: elke ronde wordt de permutatie, substitutie en de deelsleuteloptelling slechts op de helft van het blok toegepast SP-netwerk gebruik makend van multiplexers met twee ingangen om de grootte van de substitutie- en diffusiefuncties te halveren De algemene structuur van het te ontwerpen blokcijfer Het blokcijfer EFES De key scheduling van het blokcijfer EFES Evolutie van de bits (in grijs) die niet-lineair afhankelijk zijn van de oorspronkelijke sleutelbits over de rondes heen Evolutie van de potentieel actieve nibbles (in grijs) in functie van de keuze van de aanvaller over de rondes heen. De beschouwde nibbles worden genummerd van 0 tot en met x

13 Lijst van tabellen 2.1 De eigenschappen van stroom- en blokcijfers De lookup table van de functie S 5 [X] De uitkomsten van de functie S 7 [X] De lookup table van de functie S 3 [X] Oppervlaktegebruik van het blokcijfer EFES in aantal GE Vergelijking tussen compacte symmetrische cijfers xi

14

15 Hoofdstuk 1 Inleiding Computers kunnen vandaag met nooit geziene en steeds groeiende rekenkracht problemen op een steeds efficiëntere en goedkopere manier oplossen. Deze evolutie is wellicht noodzakelijk maar daarom nog niet voldoende om voor bepaalde toepassingen een adequate oplossing te bieden. Zo bijvoorbeeld hebben ingebedde systemen zoals de veel besproken RFID tags of andere smart cards enorme potentiële voordelen en toepassingsmogelijkheden. Naargelang de toepassing stellen deze systemen echter specifieke, beperkende eisen wat betreft de grootte, de kost, de snelheid en het vermogenverbruik. Terwijl de belangstelling voor het gebruik van ingebedde systemen met de dag toeneemt, rijst ook de vraag naar hun beveiliging. Deze beveiliging zorgt voor bijkomende uitdagingen om deze eveneens op een zo compacte, goedkope, snelle en vermogen-efficiënte manier te implementeren op deze ingebedde systemen. Een voor de hand liggende keuze om te kunnen voldoen aan deze voorwaarden is het gebruik van symmetrische cryptografische cijfers. Deze bestaan namelijk uit een combinatie van bouwblokken die efficiënt in hardware kunnen worden geïmplementeerd en men kan ze derhalve zeer compact maken. In dit eindwerk wordt een compact en veilig symmetrisch cijfer gebouwd, specifiek voor RFIDtoepassingen, maar dat in het algemeen ook uitbreidbaar moet zijn voor gebruik bij allerhande andere ingebedde systemen. In deze inleiding worden in een eerste deel de basisbegrippen over RFID-communicaties en hun beveiliging besproken. Een tweede deel bevat uitleg over symmetrische cryptografie. Tenslotte beschrijft een laatste deel de structuur van dit eindwerk. 1.1 RFID-communicaties en hun beveiliging RFID staat voor Radio Frequency Identification en is een draadloze communicatie-techniek over kleine afstanden tussen aan de ene kant de radio frequency (RF)-tags of transponders en aan de andere kant RF-tag lezers of tranceivers. 1

16 1. Inleiding Figuur 1.1: RFID-communicatie: in een eerste stap zal de lezer de tag ondervragen en mogelijk van vermogen voorzien(1). Daarna zal de tag hierop antwoorden(2). De werking van RFID-communicatie De lezer zal de tag ondervragen door er een hoogfrequent signaal naar toe te sturen waarop de tag zal antwoorden met de gevraagde data die er in opgeslagen zitten (zie figuur 1.1). De afstand waarover dit kan gebeuren kan variëren van minder dan één meter tot enkele honderden meters, voornamelijk afhankelijk van de zendkracht van de tag en dus van zijn energiebron. De lezer wordt immers verondersteld een relatief onbeperkt vermogen ter beschikking te hebben. Zo zijn er de passieve RFID-tags die hun vermogen halen uit het uitgezonden signaal van de lezer. Hierdoor hebben deze tags slechts een beperkt vermogen ter beschikking en kunnen dus enkel op kortere afstanden met een lezer communiceren. Het voordeel van dit type RFID-tags is wel dat ze doorgaans goedkoper zijn. Actieve RFID-tags daarentegen bevatten een ingebouwde batterij en hebben zodoende een groter vermogen ter beschikking dan passieve tags. Hun bereik kan hierdoor worden vergroot tot enkele tientallen tot zelfs enkele honderden meters. Het inbouwen van een batterij leidt echter wel tot een aanzienlijke meerkost. In deze thesis wordt ervoor gekozen om enkel de passieve RFID-tags in beschouwing te nemen daar het minimaliseren van de algemene kost van een tag het uitgangspunt van het eindwerk is. De toepassingen van RFID-communicatie De toepassingsmogelijkheden van dit type tags zijn enorm groot. Door hun kleine kost kunnen ze voor allerhande producten gebruikt worden. Zo gebruikt de industrie al langer RFID-tags ter vervanging van de barcodes op producten. Bij barcodes onderscheiden producten van hetzelfde type zich niet. Door de invoering van RFID-tags kan élk product een unieke identiteit krijgen zoals bijvoorbeeld de Electronic Product Code (EPC) [49]. Deze overgang brengt enorme voordelen met zich mee. Zo wordt het beheren van opslagplaatsen of grootwarenhuizen veel efficiënter doordat de bewegingen van elk product op elk moment kunnen worden gevolgd. Ook in het openbaar vervoer en in andere publieke of private sectoren zoals bibliotheken, waar 2

17 RFID-communicaties en hun beveiliging de toegang tot de gebouwen of diensten vlug maar veilig moet kunnen gebeuren, hebben de RFID-tags hun diensten al bewezen [3]. De beveiliging van RFID-communicatie Het lijkt evident dat bij de net aangehaalde toepassingen de communicatie op een veilige manier moet gebeuren. Het moet een buitenstaander onmogelijk worden gemaakt om de echte identiteit van de tag te achterhalen of om de verzonden data te bemachtigen. Hiervoor wordt gebruik gemaakt van een cryptografische primitieve. Dit is een algoritme die de verstuurde data zal versleutelen zodat enkel bevoegde personen deze informatie kunnen achterhalen. Om bij RFID-tags de algemene kost laag te houden moet de beveiliging eveneens zeer goedkoop en dus compact gebeuren. Uit onderzoek blijkt dat wanneer men RFID-tags wil gebruiken op alle type producten en niet enkel op luxe-goederen met een hoge eenheidsprijs zoals schoonheidsproducten, de kost van de cryptografische primitieve op de tags niet veel groter mag zijn dan US$ 0.05 (e 0.03) [55, 50]. Tegenwoordig kost de beveiliging van dergelijke tag ruim US$ 0.50 (e 0.3) en kunnen RFID-tags nog steeds niet voor alle producten worden gebruikt. Een kost tussen US$ 0.05 en US$ 0.5 voor de beveiliging van een RFID-tag komt momenteel overeen met een cryptografisch cijfer met een oppervlaktegebruik van ongeveer 500 a 5000 Gate Equivalenten (GE). Deze GE worden gelijk gesteld aan NAND-poorten in CMOS-standaardcel-hardware. Een vraag die kan worden gesteld is of het wel nodig is om de tags in de goedkopere producten te beveiligen. Het antwoord hierop is ja. Ten eerste voorkomt een dergelijke beveiliging dat het product wordt gestolen of nagebootst (bijvoorbeeld bij gebruik van RFID-tags in het openbaar vervoer). Ten tweede zal de beveiliging van de RFID-tags de privacy van de gebruikers garanderen. Doordat de communicatie draadloos gebeurt kan namelijk, wanneer de tag niet beveiligd is, om het even wie de tag lezen en dus de identiteit ervan achterhalen. De privacy van de eigenaar van het object verbonden aan de tag komt hierdoor in gedrang. Een buitenstaander zou de identiteit van een persoon kunnen achterhalen aan de hand van de unieke verzameling van tags die hij met zich meedraagt. Zo kan hij het doen en laten van deze persoon volgen. Daarom is het belangrijk dat ook de RFID-tags bedoeld voor gebruik bij goedkopere producten worden beveiligd. De communicatie-protocollen van RFID-communicatie Om de zonet omschreven problemen te vermijden, moeten naast het beveiligen (versleutelen) van de verzonden informatie, zowel tag als lezer zich op een veilige manier wederzijds kunnen identificeren en authenticeren. Dit wil zeggen dat tag en lezer een reeks afspraken maken waardoor ze niet enkel op een veilige manier hun identiteit kunnen uitwisselen, maar ook kunnen aantonen dat de identiteit die ze beweren te hebben daadwerkelijk de hunne is. Dit is het authenticatie-proces. Op die manier is de lezer zeker dat hij met de juiste tag communiceert en omgekeerd is de tag zeker dat hij aan een bevoegde lezer zijn identiteit prijsgeeft. Hiervoor moeten veilige communicatie protocollen worden gekozen. Hierop wordt verder ingegaan in hoofdstuk

18 1. Inleiding Symmetrische cryptografie voor RFID-communicatie Wegens het grote belang om de kost van de RFID-tags laag te houden, kunnen niet alle cryptografische primitieven gebruikt worden ter beveiliging. Zo zal men moeten afstappen van publieke sleutel cryptografie zoals RSA [47]. Deze primitieven vergen te grote sleutels en te complexe berekeningen om met een beperkt aantal poorten geïmplementeerd te worden. Andere algoritmes zoals AES (Advanced Encryption Standaard) [16] zijn al beter geschikt voor dit type toepassingen maar zijn helaas niet specifiek ontworpen voor een zeer compacte implementatie waardoor het minimum aantal poorten die ze verbruiken relatief hoog blijft. Bij symmetrische cryptografie bestaat de mogelijkheid om compacte tot zeer compacte implementaties te bekomen. Met de groeiende populariteit van RFID-tags en de bijhorende nood aan beveiliging groeide ook het aantal al dan niet succesvolle voorstellen tot compacte symmetrische cijfers. Dit eindwerk gaat dus op zoek naar een symmetrisch cijfer dat voldoende veilig zowel als zeer compact is. 1.2 Symmetrische cryptografie Bij symmetrische cryptografie delen twee partijen eenzelfde sleutel. Beide partijen gebruiken deze sleutel om data (de klaartekst) te beveiligen door deze aan de hand van de cryptografische primitieve te encrypteren met de gedeelde sleutel. Omgekeerd kan de andere partij de geëncrypteerde data (de cijfertekst) lezen door deze te decrypteren met diezelfde sleutel aan de hand van de inverse van de cryptografische primitieve. Er bestaan twee types symmetrische cijfers: stroomcijfers en blokcijfers. Beide types worden besproken in de volgende secties Stroomcijfers Bij stroomcijfers [42] vercijfert het cijfer de klaartekst bit per bit door deze bits modulo-2 op te tellen met bits uit een sleutelstroom. Dit modulo 2 optellen komt overeen met een exclusive or (XOR) poort in hardware en wordt voorgesteld door het symbool. Er wordt getracht om aan de hand van een sleutel met vaste lengte een sleutelstroom met een grote periode te bekomen die als pseudo-willekeurig kan worden beschouwd. Hiermee benadert het cijfer de perfecte, onvoorwaardelijke veiligheid van een volledig willekeurige sleutelstroom of one time pad zoals beschreven door Shannon [51] zonder hiervoor een oneindig lange sleutel nodig te hebben. De Sleutelstroom De sleutelstroom wordt bekomen door een geheugen, bestaande uit flip-flops, elke klokslag te hernieuwen aan de hand van sommige waarden uit de vorige toestand en mogelijk ook vercijferde bits uit vorige klokslagen. Het type bouwblok dat hiervoor het meest gebruikt wordt is het Linear Feedback Shift Register (LFSR) dat goede periodieke eigenschappen heeft. Door de lineariteit van LFSR s moeten de resultaten ervan echter gecombineerd worden met een sterk niet-lineaire functie. Zoniet zou een aanvaller uit de sleutelstroom en de gekende structuur van het cijfer een stelsel van lineaire vergelijkingen kunnen oplossen om tot de sleutel te komen 4

19 Symmetrische cryptografie Figuur 1.2: Stroomcijfer voorbeeld: de databits worden bit per bit opgeteld bij de sleutelstroom bekomen uit de sleutel K. [42, 17]. Figuur 1.2 toont een voorbeeld van een stroomcijfer-structuur. Deze bestaat uit een reeks van g LFSR s waarvan de outputs worden gecombineerd met een niet-lineaire functie f. Compacte stroomcijfers Door de relatieve eenvoud van stroomcijfers gaat men er dikwijls van uit dat deze op een zeer compacte manier kunnen worden geïmplementeerd. Bestaande stroomcijfers bevestigen dit ook. Zo werd het A5/1-cijfer gebruikt op de SIM-kaarten van GSM s om de communicaties te beveiligen en had het hiervoor slechts 752 Gate Equivalenten (GE) nodig. Verder werd het E0-cijfer gebruikt in Bluetooth-communicaties en had het slechts 1637 GE nodig [9]. Achteraf is echter gebleken dat deze cijfers onvoldoende veiligheid bieden en werd een paar jaar geleden het estream project opgestart [2]. Dit project is een wedstrijd die onder andere op zoek gaat naar een standaard voor compacte symmetrische beveiliging, gebruik makend van stroomcijfers. Hieruit zijn al heel wat compacte stroomcijfers voortgekomen zoals Grain [25] of Trivium [15] met respectievelijk 1294 en 2599 GE [8]. Ook zijn er heel wat nieuwe invalshoeken voor het ontwerpen van stroomcijfers gevonden zoals het gebruik van onregelmatig klokken in de Mickey-familie van stroomcijfers [7], jump registers zoals in het Pomaranch-cijfer [33] of nog het gebruik van de quasigroepentheorie zoals in Edon80 [22]. Maar ook hier blijken de stroomcijfers dikwijls zwakheden in hun veiligheid te bevatten [41, 29] Blokcijfers Een blokcijfer [42] gaat de klaartekst opdelen in blokken van vaste lengte om deze dan blok per blok te vercijferen. Hiervoor maakt het cijfer gebruik van een sleutel met vaste lengte. De encryptie (en omgekeerd de decryptie) is een bijectie van een n bit klaartekstblok naar een n bit cijfertekstblok. Hierbij is de bijectie idealiter verschillend voor elke mogelijke sleutel. Om hieraan te voldoen moet er volgens Shannon [51] naast een onbekende, in de vorm van de sleutel, ook diffusie zijn van de originele klaartekst bits zodat elke cijfertekstbit afhankelijk is van alle klaartekstbits of omgekeerd dat het veranderen van één klaartekstbit alle cijfertekstbits met een kans 1 2 verandert. Verder zegt Shannon ook dat er confusie moet plaatsvinden. Deze confusie is een niet-lineaire functie die het lineariseren van het cijfer moet tegengaan. 5

20 1. Inleiding De structuur van blokcijfers De voorgaande voorwaarden worden geïmplementeerd door gebruik te maken van verschillende iteraties over een blok van n bits. Deze iteraties worden in de cryptografie rondes genoemd. In elke ronde wordt de toestand van een blok door een diffusie- en confusiestap gestuurd om daarna bit per bit, modulo-2, te worden opgeteld bij de sleutel van de ronde in kwestie, ook wel deelsleutel genoemd. De bekomen toestand wordt dan terug in het geheugen geschreven. Hierbij wordt meestal de oude toestand overschreven. Het totaal aantal rondes r dat nodig is zal afhangen van de kwaliteiten van de diffusie- en confusiestap en de veiligheid die het cijfer moet bieden. Na ronde r wordt het resultaat en dus de n bit cijfertekst weggeschreven naar de uitgang van het cijfer. De diffusie wordt meestal geïmplementeerd door een permutatie over de n bits van een blok. De substitutie gebeurt aan de hand van een niet-lineaire functie of substitutie die meestal wordt geïmplementeerd door een reeks kleinere parallel werkende functies, de Substitutie- of S-boxen genaamd. Deze u S-boxen gaan elk een deel van de n bits van een blok niet-lineair combineren. Eerst vindt altijd de confusiestap plaats, gevolgd door de diffusiestap en uiteindelijk de deelsleutel optelling. Enkel in het begin van de eerste ronde moet vóór de confusiestap al een deelsleutel worden opgeteld bij de data. Uit deze manier van werken zijn twee gelijkaardige structuren van blokcijfers gegroeid [48] die beiden gebruik maken van permutaties om te voldoen aan de diffusievoorwaarde en van substituties om te voldoen aan de confusievoorwaarde. Beide structuren maken ook gebruik van verschillende rondes waarbij telkens een deelsleutel, afgeleid uit de originele sleutel, wordt gebruikt. De volgende twee paragrafen lichten deze structuren nader toe. De SP-netwerken De eerste structuur, de Substitutie-Permutatie- of SP-netwerken gaan bij elke ronde i van de encryptie, de diffusie, de confusie en de optelling met de deelsleutel K i toepassen op de volledige bloklengte (zie figuur 1.3). Elke ronde of iteratie komt overeen met één klokcyclus. Voor de decryptie wordt gebruik gemaakt van de inverse van de permutatieen substitutiefuncties (voor de deelsleutel optelling is dit niet nodig daar er modulo-2 wordt gewerkt 1 ). De Feistel-structuren Feistel-structuren daarentegen gaan in elke ronde de verschillende stappen slechts op een deel van het blok toepassen. De meest voorkomende vorm is wanneer in elke ronde telkens de helft van een blok wordt gebruikt, maar men kan in principe het blok indelen in elke macht van twee. Ook hier komt elke ronde overeen met een klokcyclus (zie figuur 1.4). Het voordeel van dit type systeem is dat door de bewerkte helft elke ronde op te tellen bij de andere helft en daarna dit resultaat samen met de oorspronkelijke toestand door te sturen naar de volgende ronde, bij de decryptie de inverse van de substitutiefuncties niet nodig is. Stel f : GF (2 n/2 ) GF (2 n/2 ) de niet-lineaire functie die elke ronde optreedt, waarin de substitutie, de permutatie en optelling van de deelsleutel K i verwerkt zitten. Stel verder P l de linkerhelft en P r de rechterhelft van de input van een ronde dan heeft men voor een Feistel: 1 In GF (2) en dus bij modulo-2 optelling, is de inverse van de optelling gelijk aan de optelling zelf. 6

21 Symmetrische cryptografie Figuur 1.3: SP-netwerken: de datablokken ondergaan verschillende rondes van permutatie, substitutie en optelling van een deelsleutel K i. Figuur 1.4: De Feistel-structuur met 2 deelblokken: elke ronde wordt de permutatie, substitutie en de deelsleuteloptelling slechts op de helft van het blok toegepast. 7

22 1. Inleiding C l = P r (1.1) C r = P l f(p r ) (1.2) Waarbij P l en P r kunnen worden gevonden uit de outputs C l en C r van één ronde via: P l = C r f(c l ) (1.3) P r = C l Logischerwijs zijn er bij dit systeem voor eenzelfde veiligheid dan wel meer rondes nodig, aangezien in elke ronde maar een deel van de totale bloklengte verandert. (1.4) Compacte blokcijfers Door het historisch gegroeid belang van blokcijfers zijn deze, in tegenstelling tot stroomcijfers veel beter gestandaardiseerd en gekend. Het blokcijfer dat hiervoor verantwoordelijk is en tot voor kort algemeen werd gebruikt, is de Data Encryption Standard (DES) [42]. Dit cijfer wordt door zijn te kleine sleutellengte echter niet meer als veilig beschouwd en is ondertussen vervangen door het Advanced Encryption Algorithm (AES) [16], maar heeft er toe geleid dat de veiligheid van blokcijfers vandaag veel beter kan worden nagegaan. Beide algoritmes zijn hardware georiënteerde blokcijfers die relatief compact kunnen worden geïmplementeerd. Zo bestaat er een implementatie van AES die slechts 3400 GE nodig heeft [21]. Verder werd via lichte aanpassingen aan het DES-algoritme, het DESL-algoritme gedefinieerd dat met 1848 GE kan worden gebouwd [46]. Daarnaast zijn er ook nog enkele blokcijfers die specifiek voor ingebedde systemen zoals RFIDtags werden ontworpen en die trachten de zeer compacte resultaten van stroomcijfers zoals Grain (1294 GE) te verbeteren zonder de veiligheid in gedrang te brengen. Het cijfer dat hier het best in slaagt is Present met 1570 GE [4] maar er zijn nog veel andere blokcijfers die goede resultaten behalen op het vlak van oppervlaktegebruik zoals TEA [56], HIGHT [28], mcrypton [37], MISTY [40] en SEA [52]. 1.3 De Structuur van het eindwerk In hoofdstuk 2 worden de eerste, ontwerp-onafhankelijke keuzes gemaakt omtrent onder andere het type cijfer en de nodige sleutellengte. Daarna wordt in hoofdstuk 3 de invalshoek van de specifieke implementatie uitgelegd waarbij de veiligheid tegen de meest gekende aanvallen wordt besproken. Vervolgens wordt het blokcijfer EFES (Encryption Function for Embedded Systems) met al zijn deelblokken voorgesteld in hoofdstuk 4. In hoofdstuk 5 worden de ontwerpkeuzes van deze deelblokken en van het blokcijfer EFES in het algemeen gemotiveerd. In hoofdstuk 6 wordt de veiligheid van EFES tegen de aanvallen uit hoofdstuk 3 beschouwd. Vervolgens worden in hoofdstuk 7 de resultaten vergeleken met deze van andere compacte symmetrische cijfers. Tenslotte worden in een besluit de resultaten nog eens samengevat en worden een aantal denkpistes uitgestipt voor verder onderzoek. 8

23 Hoofdstuk 2 De algemene structuur van het symmetrisch cijfer Ondanks de verschillende voorstellen en mogelijkheden voor zowel stroom- als blokcijfers, is het nog niet duidelijk welk type cijfer het meest geschikt is voor toestellen met beperkte rekencapaciteit zoals RFID-tags. Op het eerste zicht lijken stroomcijfers net iets betere resultaten te boeken op vlak van het aantal Gate Equivalenten dat ze gebruiken. Wel blijkt dit type encryptie vaak problemen te vertonen die de veiligheid van het cijfer kunnen verzwakken. In een eerste deel van dit hoofdstuk wordt er dus gekeken naar welk type cijfer het meest geschikt is voor RFID-toepassingen. Elk blokcijfer bezit ook een sleutellengte. Hoe groter de lengte van de sleutel in bits, hoe veiliger het cijfer, maar hoe meer het kost om deze sleutel te bewaren. Er moet dus een goed afgewogen keuze worden gemaakt tussen de veiligheid die de toepassing vereist en de nood aan een compacte implementatie. Dit gebeurt in het tweede deel van dit hoofdstuk. Verder wordt bij symmetrische encryptie steeds gewerkt met een bepaald geheugen, de toestand van het cijfer genoemd. Dit geheugen wordt elke klokcyclus gewijzigd en ook voor de grootte van dit geheugen moet de ontwerper een beredeneerde keuze maken tussen de kost in hardware en de veiligheid die een bepaalde toestandslengte biedt. Uiteindelijk moet dan een beslissing worden genomen over de algemene structuur van het te ontwerpen cijfer, in functie van de noden bij de specifieke RFID-toepassingen en bijhorende communicatie tussen lezer en tag. 2.1 Keuze tussen stroom- of blokcijfer Na een literatuurstudie rond symmetrische cryptografie in het algemeen en voor toestellen met beperkte rekencapaciteit zoals RFID-tags in het bijzonder, is het niet meteen duidelijk of stroomcijfer dan wel blokcijfers de beste keuze zijn voor dit type applicaties. De voor- en nadelen van beide structuren ten opzichte van enkele belangrijke vereisten van RFID-tags worden nu verder beschouwd. 9

24 2. De algemene structuur van het symmetrisch cijfer Oppervlaktegebruik Stroomcijfers blijken tot op heden, in het algemeen compacter gemaakt te kunnen worden. Zo is het kleinste cijfer van dit type, Grain [25], met zijn 1284 GE ook algemeen het kleinste symmetrisch cijfer dat tot nu toe gepubliceerd werd. Hier moet wel worden genoteerd dat er met zorg moet worden gehandeld wanneer het aantal Gate Equivalenten tussen verschillende cijfer-implementaties wordt vergeleken. Door gebruik te maken van verschillende bibliotheken kunnen elementen met dezelfde functie mogelijk met meer of minder logische poorten worden geïmplementeerd. Verder moet worden vermeld dat blokcijfers niet echt moeten onderdoen voor stroomcijfers. Zo is er bijvoorbeeld het blokcijfer Present [4] die met 1570 GE wordt geïmplementeerd en dus kleiner is dan veel compacte stroomcijfers Veiligheid In dit deel worden beide type symmetrische cijfers vergeleken op het vlak van de veiligheid die ze in het algemeen kunnen bieden. In een eerste deel gebeurt deze vergelijking op het vlak van hun interne structuur. In een tweede deel gebeurt de vergelijking ten opzichte van de manier waarop de data vercijferen en hoe dit gebruikt wordt in communicatie-protocollen. Veiligheid van het cijfer Het grootste probleem bij stroomcijfers is dat ze veel minder bestudeerd zijn dan blokcijfers. Hierdoor bezitten stroomcijfers een minder vaste structuur waardoor er na hun publicatie, dikwijls zwakke punten in hun veiligheid ontdekt worden [23]. Dit probleem is onder andere historisch gegroeid door het langdurig gebruik en dus ook de langdurige analyse van het blokcijfer DES als standaard voor symmetrische vercijfering. Dit zorgt er voor dat veel stroomcijfers de fase waar naar aanvallen op het cijfer wordt gezocht (de cryptanalyse fase) niet overleven. Doordat er veel minder gekend is over stroomcijfers en door de verscheidenheid aan architecturen ervan, hebben aanvallers potentieel veel meer mogelijkheden om in het cijferontwerp zwakheden te vinden. Deze aanvallen kunnen dan dikwijls de sleutel vlugger vinden dan wanneer alle mogelijke sleutels exhaustief worden nagegaan. Dit exhaustief zoeken wordt gezien als een trage aanval, de zogenaamde brute force-aanval 1. Zo zijn er al heel wat voorstellen van stroomcijfers voor het estream-project die zwakke punten vertoonden, waardoor de ontwerpers dikwijls hun cijfer hebben moeten aanpassen [2]. Bij blokcijfers is dit veel minder het geval door hun goed gedefinieerde structuur waarvan de mogelijkheden op het gebied van cryptanalyse beter gekend zijn. Veiligheid binnen de communicatie-protocollen Een groter probleem bij het gebruik van stroomcijfers bij RFID-toepassingen is de eenvoud waarmee delen van de sleutelstromen kunnen achterhaald worden. Bij stroomcijfers worden de boodschappen namelijk vercijferd door er bit per bit de sleutelstroom bij op te tellen. Wanneer 1 Hier moet worden vermeld dat om na te gaan of een bepaalde sleutel de juiste is, er uiteraard enkele (klaartekst, cijfertekst)-paren van de echte sleutel moeten gekend zijn. 10

25 Keuze tussen stroom- of blokcijfer delen van de vercijferde data gekend zijn, kunnen deze bits modulo-2 worden opgeteld bij de bijhorende cijferstroom om zo tot de sleutelstroom te komen. Afhankelijk van de gekozen communicatiemiddelen (zie deel 2.4), kan het vinden van verstuurde data al dan niet eenvoudig zijn. Afhankelijk van het cijfer kan het bekomen van delen van de sleutelstroom natuurlijk een gevaar vormen. Met delen van de sleutelstroom kan een aanvaller mogelijk de sleutel achterhalen. Door ditzelfde principe van modulo-2-optellen bestaat er nog een gevaar bij het gebruik van stroomcijfers. Bij elke communicatie zal namelijk dezelfde sleutelstroom worden gebruikt. Wanneer cijferstromen van twee communicaties worden opgeteld zal de sleutelstroom door het modulo-2-optellen wegvallen. Enkel de modulo-2 optelling van beide datastromen blijft dan over. Wanneer de data niet perfect willekeurig zijn kan een ervaren aanvaller zich hiermee informatie over beide datastromen verschaffen. Dit probleem kan deels worden weggewerkt door gebruik te maken van een IV (Initialisatie Vector)-uitwisselingsprotocol [42] die na elke communicatie een nieuwe IV geeft aan de tag. Deze IV wordt dan samen met de sleutel gebruikt bij het berekenen van een nieuwe sleutelstroom. Hierdoor zullen de sleutelstromen in elke communicatie verschillen. Het gebruik van een IV-uitwisselingsprotocol zorgt jammer genoeg wel dat de communicaties ingewikkelder worden en kan mogelijk zwakheden doen ontstaan in het systeem. Bij blokcijfers vormt dit probleem zich niet daar volledige blokken van bits tegelijk worden versleuteld en dus de uitgangsbits binnen elke blok geen eenduidig verband hebben met de oorspronkelijke data. Ook kan de gebruiker van een blokcijfer indien nodig kiezen tussen verschillende operatiemodes [42] zoals onder andere de Cipher-Block-Chaining-mode (CBCmode) die naast de bits ook de blokken onder elkaar afhankelijk kan maken waardoor het verband tussen de oorspronkelijke en de vercijferde data nog complexer wordt. Verder kan men zich zich hier afvragen of het voor stroomcijfers niet eenvoudiger en compacter is om een vaste sleutelstroom op te slaan in goedkoop ROM-geheugen. De sleutelstroom die bij elke nieuwe communicatie wordt gebruikt is namelijk steeds dezelfde. Voor korte communicaties zoals bij RFID-communicaties zou ROM-geheugen bijgevolg efficiënter kunnen zijn op het vlak van hardware kost. Een stroomcijfer werkt bij korte communicaties namelijk als een one time pad die voor eenzelfde sleutel in elke communicatie dezelfde is Flexibiliteit van het cijfer Het voordeel bij blokcijfers op het vlak van veiligheid, wordt wel een nadeel als het gaat om op een originele manier tot een nieuw ontwerp te komen. Door de minder vaste structuur van stroomcijfers kan men veel meer mogelijkheden beschouwen bij het zoeken naar een compact ontwerp. Dit werd in de inleiding al aangehaald en valt sterk op bij de kandidaat-stroomcijfers van het estream-project. Ook bestaan stroomcijfers dikwijls uit minder complexe bouwblokken die hierdoor minder oppervlakte gebruiken. Deze bouwblokken vallen dan ook beter te combineren tot een compact en flexibel cijfer. 11

26 2. De algemene structuur van het symmetrisch cijfer Vermogenverbruik van het cijfer Een probleem dat zich voordoet bij stroomcijfers is het grote vermogenverbruik dat deze met zich meebrengen. De LFSR s die worden gebruikt in stroomcijfers om pseudo-willekeurige bitstromen te bekomen verbruiken namelijk een groot vermogen [14]. Dit komt doordat de vele flip-flops van een LFSR sterk met elkaar verbonden zijn. Hierdoor ontstaat een grote parasitaire capaciteit in en tussen elke flip-flop. Deze capaciteit laadt of ontlaadt zich wanneer de waarde van de flip-flop verandert. Bij een LFSR gebeurt dit regelmatig, na elke klokcyclus, omdat de waarde van elke flip-flop in een LFSR dikwijls verandert. Hierdoor gaat veel energie verloren. Bij blokcijfers is dit niet het geval omdat de flip-flops van het geheugen niet rechtstreeks met elkaar verbonden zijn. Voor toepassingen als RFID waar de tag zijn vermogen uit een door de lezer uitgezonden signaal moet halen (zie hoofdstuk 1.1), is het van groot belang dat het vermogenverbruik beperkt blijft. Het gebruik van LFSR s is dus niet aangeraden. Er bestaan weliswaar LFSR s die vermogenbesparend werken maar deze zijn niet algemeen bruikbaar voor cryptografische doeleinden [9] Keuze symmetrisch cijfer Tabel 2.1 vat de verschillen tussen stroom- en blokcijfers samen. Hier worden de kwaliteiten van het type cijfer voor de verschillende eigenschappen aangeduid op een schaal gaande van tot ++. Eigenschap Stroomcijfer Blokcijfer Oppervlaktegebruik ++ + Veiligheid + Gebruik van modes n.v.t ++ Flexibiliteit + Complexiteit + Vermogenverbruik + Tabel 2.1: De eigenschappen van stroom- en blokcijfers. Voor RFID-toepassingen lijken de voordelen van stroomcijfers niet op te wegen tegen de nadelen met betrekking tot veiligheid en vermogenverbruik. Gezien de voordelen van blokcijfers op deze domeinen en het niet al te significant verschil in hardware verbruik tussen de twee types symmetrische cijfers, wordt daarom geöpteerd voor het ontwerpen van een blokcijfer. Hierbij kan, indien nodig, het blokcijfer via de Cipher-Feedback-mode (CFB-mode) [42] ook als stroomcijfer worden gebruikt. Het uitgangspunt van dit eindwerk is om een blokcijfer te vinden dat kan worden geïmplementeerd in minder Gate Equivalenten dan het blokcijfer Present, maar toch voldoende veiligheid biedt voor gebruik bij RFID-communicaties. Daarnaast zal ook worden gekeken naar het verschil met het stroomcijfer Grain dat van alle momenteel gepubliceerde stroomcijfers het minst GE gebruikt. 12

27 Keuze sleutellengte 2.2 Keuze sleutellengte Bij de keuze van de sleutellengte k van het blokcijfer moet een afweging plaatsvinden tussen aan de ene kant de hardwarekost van de implementatie van het cijfer en aan de andere kant de veiligheid van het cijfer voor de toepassingen waarvoor het ontworpen is. Deze veiligheid moet bovendien niet enkel vandaag kunnen gegarandeerd worden maar ook wanneer het cijfer wordt gebruikt in de toekomst. Hoe groter k, hoe veiliger het cijfer omdat een potentiële aanvaller dan veel meer mogelijk sleutels zal moeten nagaan, alvorens de juiste wordt gevonden. Dit is natuurlijk in de veronderstelling dat het cijfer niet vlugger kan worden gebroken dan wanneer exhaustief elke mogelijke sleutel wordt nagegaan. Maar een grote k zorgt er ook voor dat een groter aantal geheugenelementen of flip-flops nodig zijn om de toestand van de sleutel bij te houden. Eerst worden de resultaten van de bestaande onderzoeken naar veilige sleutellengtes uit de doeken gedaan om in een tweede deel de gewijzigde aanpak bij het zoeken naar de sleutellengte van het blokcijfer uit te leggen De bestaande onderzoeken In [36] en vooral in [35] gaan de auteurs, voor een bepaalde sleutellengte en stand van technologie, na hoe lang het zal duren om de juiste sleutel van een symmetrisch cijfer te vinden, wanneer alle sleutels exhaustief worden nagegaan. In functie van de snelheid waarmee één sleutel kan worden getest met de gekozen technologie, kan worden nagegaan hoe lang het zal duren om alle sleutels af te lopen en dus met zekerheid de juist sleutel te vinden. In zijn paper stelt Lenstra [35] dat met de technologie uit 1982 het toen veel gebruikte DES-cijfer met een effectieve sleutellengte van 56 bit, in dat jaar als veilig kon worden beschouwd. Om het concept veilig eenduidig te definiëren wordt de term dollardays geïntroduceerd. Deze eenheid wordt gedefinieerd als het product van de investering in hardware (in dollar) nodig om een sleutel te kraken en de tijd (in dagen) die deze hardware daarvoor nodig heeft. Voor volledig paralleliseerbare processoren is deze waarde een constante en kunnen er dus in functie van de middelen, dollars gespaard worden ten koste van tijd en omgekeerd. Er moet worden opgemerkt dat het kraken van één sleutel bij exhaustief zoeken, de taak om een volgende sleutel te kraken niet vereenvoudigt. Voor het DES-cijfer waren er in 1982, 40 miljoen dollardays nodig om één sleutel te kraken en deze waarde wordt in de paper van Lenstra als de norm voor veilig gebruikt. In diezelfde paper stelt Lenstra dat een sleutellengte van 80 bit een symmetrisch cijfer veilig zou moeten houden tot in het jaar Hiervoor maakt hij een schatting van de evolutie van de technologie over de jaren heen en dus van de investeringskost, door gebruik te maken van de wet van Moore. Deze wet voorspelt dat om de 18 maanden een verdubbeling van de rekenkracht (of halvering van de kost) van computers zal plaatsvinden De gewijzigde aanpak Omdat de paper van Lenstra wat achterhaald is wordt het model aangepast en hernieuwd. Zo moet de definitie van veiligheid afhankelijk zijn van de beoogde toepassing en moet de gebruikte technologie bij het zoeken van de sleutel aangepast worden aan wat vandaag beschikbaar is. 13

28 2. De algemene structuur van het symmetrisch cijfer Definitie van veiligheid De veiligheid wordt nu gedefinieerd in functie van het aantal dollarday die een aanvaller maximaal zou willen investeren in tijd en hardware om een sleutel voor een bepaalde toepassing te bemachtigen, zodat hij er een zekere winst uit kan halen. Voor RFID-toepassingen waarvoor het cijfer zo compact en dus goedkoop mogelijk moet zijn neemt men als norm dat de waarde van een product dat door het cijfer en dus de sleutel moet worden beveiligd niet groter is dan US$ 3000 (of e 2000). Ook wordt een periode van maximaal twee jaar vastgelegd, waarin een product met eenzelfde sleutel beveiligd moet blijven. Wil men over langere periodes werken dan zal de sleutel op tijd moeten worden vervangen of dan zal de prijslimiet van de te beveiligen producten moeten verlagen. Analoog gaat een product met een waarde groter dan US$ 3000 minder lang als veilig kunnen worden beschouwd. Dit geeft dat de aanvaller maximaal US$ jaar 365 dagen/jaar = dollardays zal willen investeren per te kraken sleutel. De technologische referentie Voor de technologische referentie wordt op zoek gegaan naar hedendaagse technologie die gespecialiseerd is in het kraken van cryptografische cijfers. Er wordt gekozen voor de CAPACABANA multiprocessor [1], gespecialiseerd in het kraken van paralleliseerbare cijfers zoals blokcijfers. Op 15 maart 2007 vond deze processor in 6,4 dagen, voor een kostprijs van US$ , de 56 bit sleutel van een DES-cijfer. Dit geeft met deze technologie, een vaste investeringskost van dollardays per 56 bit sleutel. Het aangepast model Gebruik makend van de wet van Moore en van het feit dat per definitie bij elke extra bit die de sleutel langer wordt, het aantal berekeningen nodig om hem te vinden verdubbelt, wordt een formule afgeleid voor de nodige sleutellengte van het cijfer in functie van de gewenste levensduur. Dit geeft dat om in het jaar y een k bit sleutel te kraken, de nodige investering gelijk zal zijn aan: k (y 2007) 3 dollardays (2.1) Dit bedrag wordt gelijk gesteld aan de maximale investering die een aanvaller gaat willen maken om een sleutel van een door het cijfer beveiligd product te bekomen. Voor RFID-toepassingen waarvoor het te ontwerpen cijfer moet dienen is dit zoals vermeld dollardays. Uiteindelijk geeft dit de formule van de sleutellengte k in functie van de levensduur van het cijfer: 14

29 Keuze sleutellengte k = 56 + log (y 2007) (2.2) 3 = (y 2007) (2.3) 3 Wetende dat het enkele jaren kan duren eer een cijfer als veilig wordt beschouwd door de cryptologische gemeenschap en dat het cijfer toch enkele jaren bruikbaar moet zijn wordt er gekozen om een cijfer te ontwerpen dat tot in het jaar 2028 (20 jaar) veilig moet zijn. Als deze waarde dan in de formule wordt ingevuld, wordt een nodige sleutellengte k van 75 bit bekomen. Dit is een veel beter en meer accuraat resultaat dan de 82 bit sleutel die volgens Lenstra in zijn paper nodig zou zijn om een cijfer tot in 2028 te beveiligen. Dit komt doordat de gewenste veiligheid hier veel beter gedefinieerd is door deze toepassingsgericht te maken en doordat het technologisch referentiepunt veel actueler gekozen werd. De vereenvoudigingen in het model In formule (2.2) werd uiteraard niet alles in rekening gebracht. Er bestaan een hele reeks varianten op de brute force aanval waar exhaustief wordt gezocht naar de sleutel en deze worden generische aanvallen genoemd. Deze aanvallen zoals de Time- Memory data Trade-Off (TMTO) aanvallen gaan de nodige rekentijd om alle sleutels na te gaan verkleinen [26, 30]. Ze doen dit door op voorhand klaarteksten te vercijferen met verschillende sleutels en het resultaat vervolgens in een geheugen op te slaan. In functie van het aantal klaarteksten en het aantal sleutels die op deze manier worden opgeslaan, kan de rekentijd van het zoeken naar een welbepaalde sleutel al dan niet sterk worden verkleind. Bij het afleiden van vergelijking 2.2 werd enkel rekening gehouden met de brute force aanval. Er wordt aangenomen dat voor de gekozen maximale prijs van een te beveiligen product, de investering in snel geheugen om de rekentijd te verkleinen, niet rendabel kan zijn. Dit zou weliswaar in de toekomst verder kunnen worden onderzocht. Ook de inflatie werd bij het bekomen van de vorige resultaten niet in rekening gebracht. Er wordt wel aangenomen dat de inflatie weinig verschil zal maken: wanneer de prijs van de hardware stijgt, wordt aangenomen dat de prijs van de te beveiligen producten ongeveer evenredig zal stijgen. Verder werd geen rekening gehouden met de opportuniteitskost van de tijd. Wanneer een aanvaller namelijk een investering maakt in hardware en in tijd zal hij het geïnvesteerde geld in die tijd niet op een andere manier kunnen aanwenden. Het geld dat hij investeert in het breken van een sleutel zou hij bijvoorbeeld kunnen investeren op de beurs of beleggen in bankproducten. Hiermee zou hij mogelijk meer winst kunnen maken dan bij het kraken van een sleutel ter waarde van maximum US$ Dit brengt dus, bij de keuze van de sleutellengte, een extra veiligheidsmarge voor de ontwerper met zich mee. Ook zal, wanneer slechts één sleutel wordt gekraakt, de maximale investering gebruikt om de formule af te leiden kloppen. Maar bij het breken van een tweede sleutel zal de investering in hardware al gebeurd zijn. Hierbij zal dan enkel een vaste tijdskost plaats vinden. Formule (2.2) houdt hier geen rekening mee. Er wordt aangenomen dat dit geen probleem vormt, doordat 15

Non Diffuse Point Based Global Illumination

Non Diffuse Point Based Global Illumination Non Diffuse Point Based Global Illumination Karsten Daemen Thesis voorgedragen tot het behalen van de graad van Master of Science in de ingenieurswetenschappen: computerwetenschappen Promotor: Prof. dr.

Nadere informatie

Kunnen we IoT-elektronica wel beveiligen?

Kunnen we IoT-elektronica wel beveiligen? Editie juni 2017 Data science and data security, Internet of Things Kunnen we IoT-elektronica wel beveiligen? Onderzoekers van imec COSIC KU Leuven maakte een innovatieve cryptografiechip om zuinige IoT-sensoren

Nadere informatie

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting Telematica Hoofdstuk 20 4Passief: n Afluisteren Bedreigingen n Alleen gegevens (inclusief passwords) opgenomen n Geen gegevens gewijzigd of vernietigd n Op LAN kan elk station alle boodschappen ontvangen

Nadere informatie

Cryptografie: de wetenschap van geheimen

Cryptografie: de wetenschap van geheimen Cryptografie: de wetenschap van geheimen Benne de Weger b.m.m.d.weger@tue.nl augustus 2018 Cryptografie als Informatiebeveiliging 1 beveiliging: doe iets tegen risico s informatie-risico s en eisen: informatie

Nadere informatie

Profielwerkstuk Informatica en Wiskunde Is RSA-cryptografie nu veilig genoeg en wat betekent dit voor de toekomst van digitale beveiliging?

Profielwerkstuk Informatica en Wiskunde Is RSA-cryptografie nu veilig genoeg en wat betekent dit voor de toekomst van digitale beveiliging? Profielwerkstuk Informatica en Wiskunde Is RSA-cryptografie nu veilig genoeg en wat betekent dit voor de toekomst van digitale beveiliging? Door Nahom Tsehaie en Jun Feng Begeleiders: David Lans en Albert

Nadere informatie

AANVALLEN OP WES3 + LEN SPEK & HIDDE WIERINGA

AANVALLEN OP WES3 + LEN SPEK & HIDDE WIERINGA AANVALLEN OP WES3 + LEN SPEK & HIDDE WIERINGA Inleiding De uitdagende opdracht van het vak Algebra & Security luidde als volgt: Vind de sleutel die is gebruikt bij het encrypten van de gegeven plain-cyphertext

Nadere informatie

Quantum computing. Dirk Nuyens. dept. computerwetenschappen KULeuven. [dirk.nuyens@cs.kuleuven.ac.be]

Quantum computing. Dirk Nuyens. dept. computerwetenschappen KULeuven. [dirk.nuyens@cs.kuleuven.ac.be] Quantum computing Dirk Nuyens [dirk.nuyens@cs.kuleuven.ac.be] dept. computerwetenschappen KULeuven qc-sim-intro.tex Quantum computing Dirk Nuyens 18/12/2001 21:25 p.1 Mijn thesis plannen Proberen een zo

Nadere informatie

De digitale handtekening

De digitale handtekening De digitale handtekening De rol van de digitale handtekening bij de archivering van elektronische documenten Prof. dr. Jos Dumortier http://www.law.kuleuven.ac.be/icri Probleemstelling: «integriteit» Elektronisch

Nadere informatie

Taak 2.1.3 Versleutelen en dan weer terug... 1

Taak 2.1.3 Versleutelen en dan weer terug... 1 Taak 2.1.3 Versleutelen en dan weer terug Inhoud Taak 2.1.3 Versleutelen en dan weer terug... 1 Inhoud... 1 Inleiding... 2 Encryptie en Decryptie... 3 Symmetrisch... 3 Asymmetrisch... 3 Waarom Encryptie

Nadere informatie

RSA. F.A. Grootjen. 8 maart 2002

RSA. F.A. Grootjen. 8 maart 2002 RSA F.A. Grootjen 8 maart 2002 1 Delers Eerst wat terminologie over gehele getallen. We zeggen a deelt b (of a is een deler van b) als b = qa voor een of ander geheel getal q. In plaats van a deelt b schrijven

Nadere informatie

Numerieke aspecten van de vergelijking van Cantor. Opgedragen aan Th. J. Dekker. H. W. Lenstra, Jr.

Numerieke aspecten van de vergelijking van Cantor. Opgedragen aan Th. J. Dekker. H. W. Lenstra, Jr. Numerieke aspecten van de vergelijking van Cantor Opgedragen aan Th. J. Dekker H. W. Lenstra, Jr. Uit de lineaire algebra is bekend dat het aantal oplossingen van een systeem lineaire vergelijkingen gelijk

Nadere informatie

slides10.pdf December 5,

slides10.pdf December 5, Onderwerpen Inleiding Algemeen 10 Cryptografie Wat is cryptography? Waar wordt cryptografie voor gebruikt? Cryptographische algoritmen Cryptographische protocols Piet van Oostrum 5 dec 2001 INL/Alg-10

Nadere informatie

Postkwantumcryptografie

Postkwantumcryptografie 1 Bron: https://www.aivd.nl/publicaties/publicaties/2014/11/20/informatiebladover-quantumcomputers Postkwantumcryptografie Bescherm uw data vandaag tegen de dreiging van morgen Factsheet FS-2017-02 versie

Nadere informatie

Oefening 4.3. Zoek een positief natuurlijk getal zodanig dat de helft een kwadraat is, een derde is een derdemacht en een vijfde is een vijfdemacht.

Oefening 4.3. Zoek een positief natuurlijk getal zodanig dat de helft een kwadraat is, een derde is een derdemacht en een vijfde is een vijfdemacht. 4 Modulair rekenen Oefening 4.1. Merk op dat 2 5 9 2 = 2592. Bestaat er een ander getal van de vorm 25ab dat gelijk is aan 2 5 a b? (Met 25ab bedoelen we een getal waarvan a het cijfer voor de tientallen

Nadere informatie

2 n 1. OPGAVEN 1 Hoeveel cijfers heeft het grootste bekende Mersenne-priemgetal? Met dit getal vult men 320 krantenpagina s.

2 n 1. OPGAVEN 1 Hoeveel cijfers heeft het grootste bekende Mersenne-priemgetal? Met dit getal vult men 320 krantenpagina s. Hoofdstuk 1 Getallenleer 1.1 Priemgetallen 1.1.1 Definitie en eigenschappen Een priemgetal is een natuurlijk getal groter dan 1 dat slechts deelbaar is door 1 en door zichzelf. Om technische redenen wordt

Nadere informatie

Getallenleer Inleiding op codeertheorie. Cursus voor de vrije ruimte

Getallenleer Inleiding op codeertheorie. Cursus voor de vrije ruimte Getallenleer Inleiding op codeertheorie Liliane Van Maldeghem Hendrik Van Maldeghem Cursus voor de vrije ruimte 2 Hoofdstuk 1 Getallenleer 1.1 Priemgetallen 1.1.1 Definitie en eigenschappen Een priemgetal

Nadere informatie

http://www.playgarden.com/ Inleiding 8

http://www.playgarden.com/ Inleiding 8 http://www.playgarden.com/ Inleiding 8. Inleiding.. Wat is zippen? Regelmatig moet je grote bestanden van de ene computer naar de andere doorgegeven. Dit doe je dan via het internet, via een netwerk, met

Nadere informatie

De rol van de digitale handtekening bij de archivering van elektronische documenten

De rol van de digitale handtekening bij de archivering van elektronische documenten De rol van de digitale handtekening bij de archivering van elektronische documenten De toenemende digitalisering heeft verregaande gevolgen voor de archiefwereld. Bijna alle documenten worden momenteel

Nadere informatie

2 Elementaire bewerkingen

2 Elementaire bewerkingen Hoofdstuk 2 Elementaire bewerkingen 19 2 Elementaire bewerkingen 1 BINAIRE GETALLEN In het vorige hoofdstuk heb je gezien dat rijen bits worden gebruikt om lettertekens, getallen, kleuren, geluid en video

Nadere informatie

1 Rekenen in eindige precisie

1 Rekenen in eindige precisie Rekenen in eindige precisie Een computer rekent per definitie met een eindige deelverzameling van getallen. In dit hoofdstuk bekijken we hoe dit binnen een computer is ingericht, en wat daarvan de gevolgen

Nadere informatie

Algoritmes in ons dagelijks leven. Leve de Wiskunde! 7 April 2017 Jacobien Carstens

Algoritmes in ons dagelijks leven. Leve de Wiskunde! 7 April 2017 Jacobien Carstens Algoritmes in ons dagelijks leven Leve de Wiskunde! 7 April 2017 Jacobien Carstens Wat is een algoritme? Een algoritme is een eindige reeks instructies die vanuit een gegeven begintoestand naar een beoogd

Nadere informatie

??? Peter Stevenhagen. 7 augustus 2008 Vierkant voor wiskunde

??? Peter Stevenhagen. 7 augustus 2008 Vierkant voor wiskunde 1 ??? Peter Stevenhagen 7 augustus 2008 Vierkant voor wiskunde 2 Wiskunde en cryptografie Peter Stevenhagen 7 augustus 2008 Vierkant voor wiskunde 3 Crypto is voor iedereen Peter Stevenhagen 7 augustus

Nadere informatie

Datacommunicatie Cryptografie en netwerkbeveiliging

Datacommunicatie Cryptografie en netwerkbeveiliging Datacommunicatie Cryptografie en netwerkbeveiliging ir. Patrick Colleman Inhoud Voorwoord 1 1. Inleiding Wat 2 2. Model 5 3. Systemen 5 3.1 Substitutiesystemen 6 3.1.1 Caesar 6 3.1.2 Monoalfabetische vercijfering

Nadere informatie

Cover Page. The handle holds various files of this Leiden University dissertation

Cover Page. The handle  holds various files of this Leiden University dissertation Cover Page The handle http://hdl.handle.net/1887/28464 holds various files of this Leiden University dissertation Author: Jeroen Bédorf Title: The gravitational billion body problem / Het miljard deeltjes

Nadere informatie

Oefeningen Digitale Elektronica (I), deel 4

Oefeningen Digitale Elektronica (I), deel 4 Oefeningen Digitale Elektronica (I), deel 4 Oefeningen op min en maxtermen, decoders, demultiplexers en multiplexers (hoofdstuk 3, 3.6 3.7) Wat moet ik kunnen na deze oefeningen? Ik kan de minterm en maxtermrealisatie

Nadere informatie

Betrouwbaarheid en levensduur

Betrouwbaarheid en levensduur Kansrekening voor Informatiekunde, 26 Les 7 Betrouwbaarheid en levensduur 7.1 Betrouwbaarheid van systemen Als een systeem of netwerk uit verschillende componenten bestaat, kan men zich de vraag stellen

Nadere informatie

Vakgroep CW KAHO Sint-Lieven

Vakgroep CW KAHO Sint-Lieven Vakgroep CW KAHO Sint-Lieven Objecten Programmeren voor de Sport: Een inleiding tot JAVA objecten Wetenschapsweek 20 November 2012 Tony Wauters en Tim Vermeulen tony.wauters@kahosl.be en tim.vermeulen@kahosl.be

Nadere informatie

Ontmanteling contactloze chipkaart

Ontmanteling contactloze chipkaart Persverklaring, Digital Security, Radboud Universiteit Nijmegen, 12 maart 2008 Ontmanteling contactloze chipkaart Samenvatting Vrijdag 7 maart 2008 hebben onderzoekers en studenten van de onderzoeksgroep

Nadere informatie

De overgang van een gelineariseerde schakeling naar signaalverwerkingsblok

De overgang van een gelineariseerde schakeling naar signaalverwerkingsblok De overgang van een gelineariseerde schakeling naar signaalverwerkingsblok Stefan Cosemans (stefan.cosemans@esat.kuleuven.be) http://homes.esat.kuleuven.be/~scoseman/basisschakelingen/ Voorwoord In deze

Nadere informatie

Samenvatting Field programmabale gate arrays (FPGA s) Dynamische herconfiguratie.

Samenvatting Field programmabale gate arrays (FPGA s) Dynamische herconfiguratie. Samenvatting Field programmabale gate arrays (FPGA s) zijn heel aantrekkelijk als ontwerpplatform voor digitale systemen. FPGA s zijn geïntegreerde schakelingen die geprogrammeerd of geconfigureerd kunnen

Nadere informatie

Concept. Inleiding. Advies. Agendapunt: 04 Bijlagen: - College Standaardisatie

Concept. Inleiding. Advies. Agendapunt: 04 Bijlagen: - College Standaardisatie Forum Standaardisatie Wilhelmina v Pruisenweg 104 2595 AN Den Haag Postbus 84011 2508 AA Den Haag www.forumstandaardisatie.nl COLLEGE STANDAARDISATIE Concept CS07-05-04I Agendapunt: 04 Bijlagen: - Aan:

Nadere informatie

Kiezen voor een eigen Dark Fiber. 10 Redenen waarom eigen Dark Fiber verstandig is

Kiezen voor een eigen Dark Fiber. 10 Redenen waarom eigen Dark Fiber verstandig is Kiezen voor een eigen Dark Fiber 10 Redenen waarom eigen Dark Fiber verstandig is Waarom eigen Dark Fiber verstandig is 1. Goedkoper 2. Meerdere parallelle en onafhankelijke verbindingen naast elkaar 3.

Nadere informatie

Groepen, ringen en velden

Groepen, ringen en velden Groepen, ringen en velden Groep Een groep G is een verzameling van elementen en een binaire operator met volgende eigenschappen: 1. closure (gesloten): als a en b tot G behoren, doet a b dat ook. 2. associativiteit:

Nadere informatie

Oefening 4.3. Zoek een positief natuurlijk getal zodanig dat de helft een kwadraat is, een derde is een derdemacht en een vijfde is een vijfdemacht.

Oefening 4.3. Zoek een positief natuurlijk getal zodanig dat de helft een kwadraat is, een derde is een derdemacht en een vijfde is een vijfdemacht. 4 Modulair rekenen Oefening 4.1. Merk op dat 2 5 9 2 2592. Bestaat er een ander getal van de vorm 25ab dat gelijk is aan 2 5 a b? (Met 25ab bedoelen we een getal waarvan a het cijfer voor de tientallen

Nadere informatie

Het EPCglobal-netwerk: Wereldwijd paspoort voor RFID

Het EPCglobal-netwerk: Wereldwijd paspoort voor RFID Het EPCglobal-netwerk: Wereldwijd paspoort voor RFID Het EPCglobal-netwerk: Wereldwijd paspoort voor RFID U heeft te maken met eisen op het gebied van tracking & tracing. U wilt uw concurrenten voor blijven

Nadere informatie

Tevens hebben wij onderzocht of het automatiseren van een dergelijk afluisterproces eenvoudig te produceren is en wat er vervolgens mogelijk is.

Tevens hebben wij onderzocht of het automatiseren van een dergelijk afluisterproces eenvoudig te produceren is en wat er vervolgens mogelijk is. Wi-Fi Sniffing De mogelijkheden van het afluisteren van Wi-Fi Abstract Wegens verontrustende berichten over winkels die continu Wi-Fi signalen opvangen om klanten te meten, hebben wij besloten te onderzoeken

Nadere informatie

Combinatorische Algoritmen: Binary Decision Diagrams, Deel III

Combinatorische Algoritmen: Binary Decision Diagrams, Deel III Combinatorische Algoritmen: Binary Decision Diagrams, Deel III Sjoerd van Egmond LIACS, Leiden University, The Netherlands svegmond@liacs.nl 2 juni 2010 Samenvatting Deze notitie beschrijft een nederlandse

Nadere informatie

Shared Data Store. Tom Demeyer, tom@waag.org Taco van Dijk, taco@waag.org

Shared Data Store. Tom Demeyer, tom@waag.org Taco van Dijk, taco@waag.org Shared Data Store Tom Demeyer, tom@waag.org Taco van Dijk, taco@waag.org Shared Data Store (SDS) De afgelopen jaren is de hoeveelheid slimme applicaties en de gebruikers die er toegang toe hebben enorm

Nadere informatie

Cryptografie met krommen. Reinier Bröker. Universiteit Leiden

Cryptografie met krommen. Reinier Bröker. Universiteit Leiden Cryptografie met krommen Reinier Bröker Universiteit Leiden Nationale Wiskundedagen Februari 2006 Cryptografie Cryptografie gaat over geheimschriften en het versleutelen van informatie. Voorbeelden. Klassieke

Nadere informatie

informatica. cryptografie. overzicht. hoe & wat methodes belang & toepassingen moderne cryptografie

informatica. cryptografie. overzicht. hoe & wat methodes belang & toepassingen moderne cryptografie informatica cryptografie overzicht hoe & wat methodes belang & toepassingen moderne cryptografie 1 SE is op papier hoe & wat vragen komen uit methode en verwijzingen die in de methode staan in mappen RSA

Nadere informatie

Aanvullingen bij Hoofdstuk 6

Aanvullingen bij Hoofdstuk 6 Aanvullingen bij Hoofdstuk 6 We veralgemenen eerst Stelling 6.4 tot een willekeurige lineaire transformatie tussen twee vectorruimten en de overgang naar twee nieuwe basissen. Stelling 6.4. Zij A : V W

Nadere informatie

Inleiding Digitale Techniek

Inleiding Digitale Techniek Inleiding Digitale Techniek Week 4 Binaire optellers, tellen, vermenigvuldigen, delen Jesse op den Brouw INLDIG/25-26 Optellen Optellen is één van meest gebruikte rekenkundige operatie in digitale systemen.

Nadere informatie

Hoe je het cryptosysteem RSA soms kunt kraken. Benne de Weger

Hoe je het cryptosysteem RSA soms kunt kraken. Benne de Weger Hoe je het cryptosysteem RSA soms kunt kraken Benne de Weger 28 aug. / 4 sept. RSA 1/38 asymmetrisch cryptosysteem versleutelen met de publieke sleutel ontsleutelen met de bijbehorende privé-sleutel gebaseerd

Nadere informatie

1. Maar het duurt wel twee miljard jaar. Inhoudsopgave. 2. 'Belgische' beveiligingsstandaard AES iets minder oersterk

1. Maar het duurt wel twee miljard jaar. Inhoudsopgave. 2. 'Belgische' beveiligingsstandaard AES iets minder oersterk 1. Maar het duurt wel twee miljard jaar Inhoudsopgave 2. 'Belgische' beveiligingsstandaard AES iets minder oersterk Maar het duurt wel twee miljard jaar,, Aan Gent gebonden, Antwerpen, Brugge-Oostkust,

Nadere informatie

Sequentiële Logica. Processoren 24 november 2014

Sequentiële Logica. Processoren 24 november 2014 Sequentiële Logica Processoren 24 november 2014 Inhoud Eindige automaten Schakelingen met geheugen Realisatie van eindige automaten Registers, schuifregisters, tellers, etc. Geheugen Herinnering van week

Nadere informatie

Rekenen met vercijferde data

Rekenen met vercijferde data Auteur: Thijs Veugen, senior scientist information security, TNO; en senior researcher, TU Delft Verschenen in: Informatiebeveiliging (privacy special) Rekenen met vercijferde data Een nieuwe techniek

Nadere informatie

Beveiliging van persoonlijke bestanden door middel van encryptie een tutorial door Nick heazk Vannieuwenhoven

Beveiliging van persoonlijke bestanden door middel van encryptie een tutorial door Nick heazk Vannieuwenhoven Beveiliging van persoonlijke bestanden door middel van encryptie een tutorial door Nick heazk Vannieuwenhoven Ten Geleide Voor het beveiligen van onze persoonlijke bestanden zullen we gebruik maken van

Nadere informatie

Draadloze netwerken in een schoolomgeving

Draadloze netwerken in een schoolomgeving Arteveldehogeschool Katholiek Hoger Onderwijs Gent Opleiding Leraar secundair onderwijs Campus Kattenberg Kattenberg 9, BE-9000 Gent Draadloze netwerken in een schoolomgeving Promotor: Mevrouw Ilse De

Nadere informatie

en-splitsingen: een aantal alternatieven worden parallel toegepast, of-splitsingen: van een aantal alternatieven wordt er één toegepast,

en-splitsingen: een aantal alternatieven worden parallel toegepast, of-splitsingen: van een aantal alternatieven wordt er één toegepast, Kansrekening voor Informatiekunde, 25 Les 8 Proces analyse Veel processen laten zich door netwerken beschrijven, waarin knopen acties aangeven en opdrachten langs verbindingen tussen de knopen verwerkt

Nadere informatie

vingerafdrukken en hersenen

vingerafdrukken en hersenen Internet of Things, Heterogeneous integration Visie: Technologie optimaliseren voor IoTsystemen, een verhaal van vingerafdrukken en hersenen Intro Het Internet of Things, of IoT, groeit snel uit tot een

Nadere informatie

Uitleg van de Hough transformatie

Uitleg van de Hough transformatie Uitleg van de Hough transformatie Maarten M. Fokkinga, Joeri van Ruth Database groep, Fac. EWI, Universiteit Twente Versie van 17 mei 2005, 10:59 De Hough transformatie is een wiskundige techniek om een

Nadere informatie

Forum Standaardisatie. Expertadvies: Vervanging MD5 door SHA 2 op lijst met gangbare standaarden. Datum 5 augustus 2010

Forum Standaardisatie. Expertadvies: Vervanging MD5 door SHA 2 op lijst met gangbare standaarden. Datum 5 augustus 2010 Forum Standaardisatie Expertadvies: Vervanging MD5 door SHA 2 op lijst met gangbare standaarden Datum 5 augustus 2010 Colofon Projectnaam Versienummer Locatie Organisatie Expertadvies: Vervanging MD5 door

Nadere informatie

Bijzondere kettingbreuken

Bijzondere kettingbreuken Hoofdstuk 15 Bijzondere kettingbreuken 15.1 Kwadratische getallen In het vorige hoofdstuk hebben we gezien dat 2 = 1, 2, 2, 2, 2, 2, 2,.... Men kan zich afvragen waarom we vanaf zeker moment alleen maar

Nadere informatie

Bijlages bij masterproef Studie naar toepasbaarheid van herstelmortels en scheurinjectiesystemen in de wegenbouw

Bijlages bij masterproef Studie naar toepasbaarheid van herstelmortels en scheurinjectiesystemen in de wegenbouw FACULTEIT INDUSTRIELE INGENIEURSWETENSCHAPPEN CAMPUS GENT Bijlages bij masterproef Studie naar toepasbaarheid van herstelmortels en scheurinjectiesystemen in de wegenbouw Jens Breynaert & Michaël Godaert

Nadere informatie

Faculteit Elektrotechniek - Capaciteitsgroep ICS Tentamen Schakeltechniek. Vakcodes 5A010/5A050, 26 november 2003, 14:00u-17:00u

Faculteit Elektrotechniek - Capaciteitsgroep ICS Tentamen Schakeltechniek. Vakcodes 5A010/5A050, 26 november 2003, 14:00u-17:00u Faculteit Elektrotechniek - Capaciteitsgroep ICS Tentamen Schakeltechniek Vakcodes 5A010/5A050, 26 november 2003, 14:00u-17:00u achternaam : voorletters : identiteitsnummer : opleiding : Tijdens dit tentamen

Nadere informatie

te vermenigvuldigen, waarbij N het aantal geslagen Nederlandse munten en B het aantal geslagen buitenlandse munten zijn. Het resultaat is de vector

te vermenigvuldigen, waarbij N het aantal geslagen Nederlandse munten en B het aantal geslagen buitenlandse munten zijn. Het resultaat is de vector Les 3 Matrix product We hebben gezien hoe we matrices kunnen gebruiken om lineaire afbeeldingen te beschrijven. Om het beeld van een vector onder een afbeelding te bepalen hebben we al een soort product

Nadere informatie

Encryptie deel III; Windows 2000 EFS

Encryptie deel III; Windows 2000 EFS Encryptie deel III; Windows 2000 EFS Auteur Leon Kuunders is als security consultant en managing partner werkzaam bij NedSecure Consulting. E-mail leon.kuunders@nedsecure.nl Inleiding In het eerste artikel

Nadere informatie

Hoofdstuk 3. Equivalentierelaties. 3.1 Modulo Rekenen

Hoofdstuk 3. Equivalentierelaties. 3.1 Modulo Rekenen Hoofdstuk 3 Equivalentierelaties SCHAUM 2.8: Equivalence Relations Twee belangrijke voorbeelden van equivalentierelaties in de informatica: resten (modulo rekenen) en cardinaliteit (aftelbaarheid). 3.1

Nadere informatie

1 Transportproblemen. 1.1 Het standaard transportprobleem

1 Transportproblemen. 1.1 Het standaard transportprobleem 1 Transportproblemen 1.1 Het standaard transportprobleem Dit is het eenvoudigste logistieke model voor ruimtelijk gescheiden vraag en aanbod. Een goed is beschikbaar in gekende hoeveelheden op verscheidene

Nadere informatie

Veilig e-mailen. Waarom e-mailen via een beveiligde verbinding? U vertrouwt de verbinding met de e-mailserver van InterNLnet niet

Veilig e-mailen. Waarom e-mailen via een beveiligde verbinding? U vertrouwt de verbinding met de e-mailserver van InterNLnet niet Veilig e-mailen E-mail heeft zich inmiddels ruimschoots bewezen als communicatiemiddel. Het is een snelle en goedkope manier om met anderen waar ook ter wereld te communiceren. Als gevolg hiervan vindt

Nadere informatie

BeCloud. Belgacom. Cloud. Services.

BeCloud. Belgacom. Cloud. Services. Cloud Computing Steven Dewinter Steven.Dewinter@belgacom.be February 13 th, 2012 Cloud computing is niet nieuw. Het is een evolutie, geen revolutie! Personal Computer, Tekstverwerker, Rekenblad, MS DOS,..

Nadere informatie

We beginnen met de eigenschappen van de gehele getallen.

We beginnen met de eigenschappen van de gehele getallen. II.2 Gehele getallen We beginnen met de eigenschappen van de gehele getallen. Axioma s voor Z De gegevens zijn: (a) een verzameling Z; (b) elementen 0 en 1 in Z; (c) een afbeelding +: Z Z Z, de optelling;

Nadere informatie

Faculteit Elektrotechniek - Capaciteitsgroep ICS Tentamen Schakeltechniek. Vakcodes 5A010/5A050, 19 januari 2004, 9:00u-12:00u

Faculteit Elektrotechniek - Capaciteitsgroep ICS Tentamen Schakeltechniek. Vakcodes 5A010/5A050, 19 januari 2004, 9:00u-12:00u Faculteit Elektrotechniek - Capaciteitsgroep ICS Tentamen Schakeltechniek Vakcodes 5A010/5A050, 19 januari 2004, 9:00u-12:00u achternaam : voorletters : identiteitsnummer : opleiding : Tijdens dit tentamen

Nadere informatie

Vraag 1 (2 punten) (iii) Een lees-opdracht van virtueel adres 2148 seg 0, offset 2148 - idem

Vraag 1 (2 punten) (iii) Een lees-opdracht van virtueel adres 2148 seg 0, offset 2148 - idem Tentamen A2 (deel b) 24-06-2004 Geef (liefst beknopte en heldere) motivatie bij je antwoorden; dus niet enkel ja of nee antwoorden, maar ook waarom. Geef van berekeningen niet alleen het eindresultaat,

Nadere informatie

Normering en schaallengte

Normering en schaallengte Bron: www.citogroep.nl Welk cijfer krijg ik met mijn score? Als je weet welke score je ongeveer hebt gehaald, weet je nog niet welk cijfer je hebt. Voor het merendeel van de scores wordt het cijfer bepaald

Nadere informatie

Wat doet de NFC chip? Coen Visser 1580081

Wat doet de NFC chip? Coen Visser 1580081 Wat doet de NFC chip? Coen Visser 1580081 1 Inhoudsopgave Steeds vaker maak ik gebruik van de NFC chip in mijn bankpas. Steeds vaker zie ik commercials voorbij komen van ticket systemen die rechtstreeks

Nadere informatie

Scan-pad technieken. Zet elk register om in een scan-pad register (twee opeenvolgende D-latches: master-slave):

Scan-pad technieken. Zet elk register om in een scan-pad register (twee opeenvolgende D-latches: master-slave): Zet elk register om in een scan-pad register (twee opeenvolgende D-latches: master-slave): D is de normale data ingang C is de normale fase 1 klok I is de data ingang van het shift-regiester A is de klok

Nadere informatie

Referentieniveaus uitgelegd. 1S - rekenen Vaardigheden referentieniveau 1S rekenen. 1F - rekenen Vaardigheden referentieniveau 1F rekenen

Referentieniveaus uitgelegd. 1S - rekenen Vaardigheden referentieniveau 1S rekenen. 1F - rekenen Vaardigheden referentieniveau 1F rekenen Referentieniveaus uitgelegd De beschrijvingen zijn gebaseerd op het Referentiekader taal en rekenen'. In 'Referentieniveaus uitgelegd' zijn de niveaus voor de verschillende sectoren goed zichtbaar. Door

Nadere informatie

Ezcorp Inc. TIP 2: Verenigde Staten. Ticker Symbol. Credit Services

Ezcorp Inc. TIP 2: Verenigde Staten. Ticker Symbol. Credit Services TIP 2: Ezcorp Inc. Beurs Land Ticker Symbol ISIN Code Sector Nasdaq Verenigde Staten EZPW US3023011063 Credit Services Ezcorp (EZPW) is een bedrijf dat leningen verstrekt en daarnaast tweedehands spullen

Nadere informatie

Zomercursus Wiskunde. Katholieke Universiteit Leuven Groep Wetenschap & Technologie. September 2008

Zomercursus Wiskunde. Katholieke Universiteit Leuven Groep Wetenschap & Technologie. September 2008 Katholieke Universiteit Leuven September 008 Algebraïsch rekenen (versie 7 juni 008) Inleiding In deze module worden een aantal basisrekentechnieken herhaald. De nadruk ligt vooral op het symbolisch rekenen.

Nadere informatie

Uitgebreid eindwerkvoorstel Lokaliseren van personen en objecten met behulp van camera s

Uitgebreid eindwerkvoorstel Lokaliseren van personen en objecten met behulp van camera s Uitgebreid eindwerkvoorstel Lokaliseren van personen en objecten met behulp van camera s Sofie De Cooman 21 December 2006 Stagebedrijf: Interne begeleider: Externe begeleider: BarcoView Koen Van De Wiele

Nadere informatie

Hoofdstuk 6: Digitale signalen

Hoofdstuk 6: Digitale signalen Hoofdstuk 6: Digitale signalen 6. Algemeenheden Het decimale talstelsel is het meest gebruikte talstelsel om getallen voor te stellen. Hierin worden symbolen gebruikt ( t.e.m. 9 ) die ondubbelzinning de

Nadere informatie

Incore Solutions Learning By Doing

Incore Solutions Learning By Doing Incore Solutions Learning By Doing Incore Solutions Gestart in November 2007 Consultants zijn ervaren met bedrijfsprocessen en met Business Intelligence Alle expertise onder 1 dak voor een succesvolle

Nadere informatie

math inside Model orde reductie

math inside Model orde reductie math inside Model orde reductie Model orde reductie Met het voortschrijden van de rekenkracht van computers en numerieke algoritmen is het mogelijk om steeds complexere problemen op te lossen. Was het

Nadere informatie

Hardware-software Co-design

Hardware-software Co-design Jan Genoe KHLim Versie: maandag 10 juli 2000 Pagina 1 Wat is HW/SW Co-design Traditioneel design: De verdeling tussen de HW en de SW gebeurt bij het begin en beiden worden onafhankelijk ontwikkeld Verweven

Nadere informatie

FAQ - Veelgestelde Vragen. Over het incident

FAQ - Veelgestelde Vragen. Over het incident FAQ - Veelgestelde Vragen Over het incident 1. Ik heb gehoord dat een onbevoegde partij toegang heeft gehad tot de de Explor@ Park database - kunnen jullie bevestigen of dit waar is? We kunnen bevestigen

Nadere informatie

Shannon Theory of Cryptology

Shannon Theory of Cryptology Shannon Theory of Cryptology TU Eindhoven Dinsdag, 21 maart 2000 Prof.dr.ir. C.J.A. Jansen Philips Crypto B.V. / TUE-WIN-DW Agenda Inleiding Cipher Systems Shannon s Cipher System Model Cryptografisch

Nadere informatie

Lessen over Cosmografie

Lessen over Cosmografie Lessen over Cosmografie Les 1 : Geografische coördinaten Meridianen en parallellen Orthodromen of grootcirkels Geografische lengte en breedte Afstand gemeten langs meridiaan en parallel Orthodromische

Nadere informatie

Projectieve Vlakken en Codes

Projectieve Vlakken en Codes Projectieve Vlakken en Codes 1. De Fanocode Foutdetecterende en foutverbeterende codes. Anna en Bart doen mee aan een spelprogramma voor koppels. De ene helft van de deelnemers krijgt elk een kaart waarop

Nadere informatie

Verbanden en functies

Verbanden en functies Verbanden en functies 0. voorkennis Stelsels vergelijkingen Je kunt een stelsel van twee lineaire vergelijkingen met twee variabelen oplossen. De oplossing van het stelsel is het snijpunt van twee lijnen.

Nadere informatie

Project 4 - Centrale Bank. Rick van Vonderen TI1C

Project 4 - Centrale Bank. Rick van Vonderen TI1C Project 4 - Centrale Bank Rick van Vonderen 0945444 TI1C 23 mei 2018 Inhoudsopgave 1 Inleiding 2 2 Beheren 3 2.1 Git...................................................... 3 2.2 Risicolog...................................................

Nadere informatie

SPRINT 3. The Bank. ----------------------------------------------------------------------- Maarten Vermeulen Peter Smaal Jelle van Hengel

SPRINT 3. The Bank. ----------------------------------------------------------------------- Maarten Vermeulen Peter Smaal Jelle van Hengel SPRINT 3 The Bank ----------------------------------------------------------------------- Maarten Vermeulen Peter Smaal Jelle van Hengel Table of Contents Sprint Planning... 3 User Stories:... 3 Eisen:...

Nadere informatie

Gaap, ja, nog een keer. In één variabele hebben we deze formule nu al een paar keer gezien:

Gaap, ja, nog een keer. In één variabele hebben we deze formule nu al een paar keer gezien: Van de opgaven met een letter en dus zonder nummer staat het antwoord achterin. De vragen met een nummer behoren tot het huiswerk. Spieken achterin helpt je niets in het beter snappen... 1 Stelling van

Nadere informatie

INDUSTRIËLE ENERGIE AUDITS, DE OPLOSSING OF NUTTELOOS? Mijn Statement paper. April 2015. Tom Pasteyns Supervisor: Jeroen Buijs

INDUSTRIËLE ENERGIE AUDITS, DE OPLOSSING OF NUTTELOOS? Mijn Statement paper. April 2015. Tom Pasteyns Supervisor: Jeroen Buijs INDUSTRIËLE ENERGIE AUDITS, DE OPLOSSING OF NUTTELOOS? Mijn Statement paper April 2015 Tom Pasteyns Supervisor: Jeroen Buijs INHOUD Inleiding... 2 Hoe energie audits uitvoeren?... 2 De ESCO types... 3

Nadere informatie

Uitwerking tentamen Analyse van Algoritmen, 29 januari

Uitwerking tentamen Analyse van Algoritmen, 29 januari Uitwerking tentamen Analyse van Algoritmen, 29 januari 2007. (a) De buitenste for-lus kent N = 5 iteraties. Na iedere iteratie ziet de rij getallen er als volgt uit: i rij na i e iteratie 2 5 4 6 2 2 4

Nadere informatie

Tweede Huiswerk Security 26 of 28 oktober, 11.00, Nabespreken op Werkcollege.

Tweede Huiswerk Security 26 of 28 oktober, 11.00, Nabespreken op Werkcollege. Tweede Huiswerk Security 26 of 28 oktober, 11.00, Nabespreken op Werkcollege. Kijk het huiswerk van je collega s na en schrijf de namen van de nakijkers linksboven en het totaalcijfer rechts onder de namen

Nadere informatie

Lights Out. 1 Inleiding

Lights Out. 1 Inleiding Lights Out 1 Inleiding Het spel Lights Out is een elektronisch spel dat gelanceerd werd in 1995 door Tiger Electronics. Het originele spel heeft een bord met 25 lampjes in een rooster van 5 rijen en 5

Nadere informatie

MOTIVES, VALUES, PREFERENCES INVENTORY OVERZICHT

MOTIVES, VALUES, PREFERENCES INVENTORY OVERZICHT MOTIVES, VALUES, PREFERENCES INVENTORY OVERZICHT INTRODUCTIE De Motives, Values, Preferences Inventory () is een persoonlijkheidstest die de kernwaarden, doelen en interesses van een persoon in kaart brengt.

Nadere informatie

Zoek- en sorteeralgoritmen en hashing

Zoek- en sorteeralgoritmen en hashing Zoek- en sorteeralgoritmen en hashing Femke Berendsen (3689301) en Merel van Schieveen (3510190) 9 april 2013 1 Inhoudsopgave 1 Inleiding 3 2 Zoek- en sorteeralgoritmen 3 2.1 Grote O notatie..........................

Nadere informatie

Harmonischen: een virus op het net? FOCUS

Harmonischen: een virus op het net? FOCUS Amplitude Harmonischen: een virus op het net? FOCUS In het kader van rationale energieverbruik (REG) wordt steeds gezocht om verbruikers energie efficiënter te maken. Hierdoor gaan verbruikers steeds meer

Nadere informatie

Cryptografische beveiliging op het Internet

Cryptografische beveiliging op het Internet Cryptografische beveiliging op het Internet Benne de Weger b.m.m.d.weger@tue.nl augustus 2018 hybride cryptografie 1 klare symmetrische versleuteling geheimschrift versturen geheimschrift symmetrische

Nadere informatie

Geheugenbeheer. ICT Infrastructuren 2 december 2013

Geheugenbeheer. ICT Infrastructuren 2 december 2013 Geheugenbeheer ICT Infrastructuren 2 december 2013 Doelen van geheugenbeheer Reloca>e (flexibel gebruik van geheugen) Bescherming Gedeeld/gemeenschappelijk geheugen Logische indeling van procesonderdelen

Nadere informatie

Hoofdstuk 9. Hashing

Hoofdstuk 9. Hashing Hoofdstuk 9 Hashing Het zoeken in een verzameling van één object is in deze cursus al verschillende malen aan bod gekomen. In hoofdstuk 2 werd uitgelegd hoe men een object kan zoeken in een array die veel

Nadere informatie

III.2 De ordening op R en ongelijkheden

III.2 De ordening op R en ongelijkheden III.2 De ordening op R en ongelijkheden In de vorige paragraaf hebben we axioma s gegeven voor de optelling en vermenigvuldiging in R, maar om R vast te leggen moeten we ook ongelijkheden in R beschouwen.

Nadere informatie

Random-Getallen. Tristan Demont en Mark van der Boor en

Random-Getallen. Tristan Demont en Mark van der Boor en Random-Getallen Tristan Demont en Mark van der Boor 0768931 en 0772942 18 januari 2013 Begeleider: Relinde Jurrius Opdrachtgever: Berry Schoenmakers Modelleren B, 2WH02 Technische Universiteit Eindhoven

Nadere informatie

To refer to or to cite this work, please use the citation to the published version:

To refer to or to cite this work, please use the citation to the published version: biblio.ugent.be The UGent Institutional Repository is the electronic archiving and dissemination platform for all UGent research publications. Ghent University has implemented a mandate stipulating that

Nadere informatie

1 De essentie van escience is dat breed toepasbare ICT-systemen ontwikkeld en ingezet worden voor onderzoek in sterk verschillende vakgebieden en dat hiermee ook samenwerking binnen en tussen vakgebieden

Nadere informatie

Cover Page. The handle holds various files of this Leiden University dissertation.

Cover Page. The handle  holds various files of this Leiden University dissertation. Cover Page The handle http://hdl.handle.net/1887/29764 holds various files of this Leiden University dissertation. Author: Takes, Frank Willem Title: Algorithms for analyzing and mining real-world graphs

Nadere informatie

HOOFDSTUK 3: Netwerkanalyse

HOOFDSTUK 3: Netwerkanalyse HOOFDSTUK 3: Netwerkanalyse 1. Netwerkanalyse situering analyseren van het netwerk = achterhalen van werking, gegeven de opbouw 2 methoden manuele methode = reductie tot Thévenin- of Norton-circuit zeer

Nadere informatie

Begrenzing van het aantal iteraties in het max-flow algoritme

Begrenzing van het aantal iteraties in het max-flow algoritme Begrenzing van het aantal iteraties in het max-flow algoritme Het oplossen van het maximum stroom probleem met behulp van stroomvermeerderende paden werkt, maar het aantal iteraties kan aardig de spuigaten

Nadere informatie