Shannon Theory of Cryptology TU Eindhoven Dinsdag, 21 maart 2000 Prof.dr.ir. C.J.A. Jansen Philips Crypto B.V. / TUE-WIN-DW
Agenda Inleiding Cipher Systems Shannon s Cipher System Model Cryptografisch Dilemma, Equivocatie Grafieken Absolute Veiligheid ( perfect secrecy ) Info Theory of Stream Ciphers KSG Source Models, Uncertainty Profiles Unicity Distance & ISO 10126 Conclusies 15 Mar 2000 cja 2
Cipher Systems (Symmetric)? Eavesdropping M Encryption C C Decryption M Alice E K D K Bob K Key Generation & Distribution K 15 Mar 2000 cja 3
Cipher Systems Heuristics M,K C C,K M encryption decryption C / M C / K C,M / K ciphertext-only attack known-plaintext attack 15 Mar 2000 cja 4
Shannon s Cipher System Model C.E. Shannon, Communication Theory of Secrecy Systems, Bell Systems Technical Journal, vol. 28, October 1949. M T 2 T 1 C T 1 T 3 T p Boodschappen Ts Transformaties Cryptogrammen Sleutel: K T i 15 Mar 2000 cja 5
Secrecy Systems K M C = E K (M) M = D K (C) C,,,,, 1,,,,, 2,,,, 3 H K M C H K C H M K C H K C H K M C H K M H C K M H K M H K M C H M C H K M C 15 Mar 2000 cja 6
Cryptografisch Dilemma,,,,, 1,,,, 3 H K M C H K C H M K C H K C H K M C H M C H K M C Uit (1) en (3) volgt:,,, H K M C H K C H M C H ( C) H K C H ( C) H M C H M C H K C 15 Mar 2000 cja 7
Cryptografisch Dilemma, H K M C H K C H M C K: sleutel M: boodschap C: cryptogram Onzekerheid in sleutel bij known/chosen plaintext gaat ten koste van onzekerheid bij ciphertext-only 15 Mar 2000 cja 8
Equivocatie Grafieken De onzekerheid in de sleutel en de totale boodschap als functie van het aantal geobserveerde letters uit het cryptogram H K C L H M L C L L L L, L L H K M C H K C H M C als functie van L 15 Mar 2000 cja 9
Equivocatie Grafieken Unicity Distance 15 Mar 2000 cja 10
Absolute Veiligheid Perfect Secrecy : Consequentie: H M H M C H M H K Lengte sleutel tenminste gelijk aan lengte boodschap 15 Mar 2000 cja 11
Bewijs Absolute Veiligheid Cr. Dilemma: Dus:, H K C H M C H K M C H M C H M C H K C H K Zodat: 0 H M H M C H M H K 15 Mar 2000 cja 12
One-Time Pad Real Random Generator K = (..,k i,..) M = (..,m i,..) C = (..,c i,..) c i = m i + k i Perfect Secrecy Kanaal met capaciteit 0 (50% BER) t.o.v. afluisteraar Onpraktisch 15 Mar 2000 cja 13
15 Mar 2000 cja 14
Less than Perfect Secrecy Key (fixed length) Key Stream Cipher Pseudo Random Gen. Finite State Machine Key Stream Gen. Feedback Shift Register K = (..,k i,..) M = (..,m i,..) C = (..,c i,..) c i = m i + k i 15 Mar 2000 cja 15
Key Stream Source Models Depending on FSM construction the Key Stream sequence is: Pure Cyclic (Simple) Multiple Cyclic (Advanced) Composite Singular (Complex) 15 Mar 2000 cja 16
Simple KSG Source Model i ( i,, i+p-1 ) Secure Channel ( i,, i+p-1 ) k n p = sequence period m n c n I M, M ; C,, C 1 L 1 15 Mar 2000 cja 17 1,, L 1,, L 1, L,,,, 1 L 1 L H C C H C C M M H C C H K K L
UncertaintyProfiles H K 1,, K L 1 2 1 L 1,, L 1 H K H K K H K K K Uncertainty in next key stream character given all previous characters is called: Character Uncertainty Profile (CUP) Is this equal to Key Equivocation? No 15 Mar 2000 cja 18
Key Equivocation Key Equivocation for a Stream Cipher: H K,, K K,, K L 1 L1 For the Simple KSG source model this is equal to the uncertainty in the initial phase of the sequence: L,, 1,, L1 1,, L1 H K K K K H P K K Phase Uncertainty Profile (PUP) 15 Mar 2000 cja 19
Phase Uncertainty Profile Decreases monotonically to zero Reaches zero after c(s) characters, where c(s) is the (non-linear) shift register complexity (aka Maximum Order Complexity) of the sequence s Is perfect for DeBruijn sequences 15 Mar 2000 cja 20
Examples n PUP n 1 CUP n 1 n DeBruijn Sequence of order n 15 Mar 2000 cja 21
Unicity Distance Minimum aantal cryptotekst symbolen waarbij de sleutel uniek bepaald is De onzekerheid omtrent de gebruikte sleutel is nihil De sleutel is daarmee nog niet bekend (complexiteitsprobleem) 15 Mar 2000 cja 22
Unicity Distance cont d Kleinste L waarvoor: L Redundantie: Dus: H K R M L 0 H K C R M log M H M Grote sleutellengte Weinig redundantie in boodschap 15 Mar 2000 cja 23
Voorbeeld: ISO 10126 Gebruikt bij EDI in bancaire applicaties (Wholesale Banking) Berichten zijn opgebouwd m.b.v. letters uit een alfabet van 44 karakters Berichten beveiligd met DES: 8 karakters in ASCII representatie = 64 bits blok 56 bits (7/8 blok) sleutel ECB mode (mono-alfabet substitutie) 15 Mar 2000 cja 24
ISO 10126 (vervolg) Redundantie bij even waarschijnlijke klare tekst karakters: 8 1log 64 44 0.3176 2 Unicity Distance: 7 K R 8 0. 3176 2. 755 blokken = 22.05 bytes 15 Mar 2000 cja 25
Doing better than ISO 10126 is easy... Gebruik radixconversie om 11 karakters te converteren naar 64 bits blok 44 2 44 11 64 12 Redundantie: 11 1log 64 44 0.0617 2 Unicity Distance 7 K R 8 0. 0617 1419. blokken = 113.5 bytes 15 Mar 2000 cja 26
Doing better than ISO 10126, II is also easy... Radixconversie van 11 karakters + drie random bits padding 11 log2 44 60.054 Redundantie: 11 3 1 log 64 44 2 0.0148 2 Unicity Distance 7 K R 8 0. 0148 5918. blokken = 473.4 bytes 15 Mar 2000 cja 27
Conclusies Shannon s Informatietheorie verschaft inzicht in kwaliteit van cryptografisch systeem (richting voor verbetering) Op weg naar bewijsbaar veilige crypto systemen (geen complexiteitstheoretische benadering) 15 Mar 2000 cja 28