Cursus Cryptografie MODERN

Vergelijkbare documenten
Cryptografie in Cyberspace

Wireshark. Open Source Vroeger Ethereal Wireless kan lastig zijn

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting

Datacommunicatie Cryptografie en netwerkbeveiliging

slides10.pdf December 5,

Cryptografie: de wetenschap van geheimen

Introductie in cryptografie

??? Peter Stevenhagen. 7 augustus 2008 Vierkant voor wiskunde

Digitale geldtransacties. Stefanie Romme Wiskunde, Bachelor Begeleider: Wieb Bosma

HOOFDSTUK 3: Architecturale aspecten van beveiliging

AANVALLEN OP WES3 + LEN SPEK & HIDDE WIERINGA

BWI-werkstuk geschreven door: Aart Valkhof Maart PGP: Pretty Good Privacy. Een overzicht.

Toepassing van cryptografische

Augustus 4/ De beveiliging van Wi-Fi-netwerken WEP Attack. Figuur 1: Ontwikkeling van de Wi-Fi-beveiliging

Cryptografie & geheimschrift: hoe computers en chips met elkaar praten

Hoe je het cryptosysteem RSA soms kunt kraken. Benne de Weger

Studie AES-implementaties

Informatie coderen en kraken

1. Maar het duurt wel twee miljard jaar. Inhoudsopgave. 2. 'Belgische' beveiligingsstandaard AES iets minder oersterk

Profielwerkstuk Informatica en Wiskunde Is RSA-cryptografie nu veilig genoeg en wat betekent dit voor de toekomst van digitale beveiliging?

volledig automatische back-up van uw bestanden uw bestanden worden uiterst veilig opgeslagen snel en gemakkelijk uw back-up instellen

College Cryptografie. Cursusjaar Analyse Hagelin cryptograaf. 4 maart 2003

De wiskunde en toepassing. van de cryptologie

Internet Banking/Shopping: De gevaren achter het hangslot

Eerste Deeltoets Security 22 mei 2015, , Beatrix 7e.

Netwerken. Beveiliging Cryptografie

Zwakke sleutels voor RSA

De geheimen van het Web. Motivatie

Cryptografische beveiliging op het Internet

MAN-IN-THE-MIDDLE AANVAL OP HET SSL PROTOCOL

Restsystemen 183 Oplossen van lineaire vergelijkingen 190 Structuren met één bewerking 192 Structuren met twee bewerkingen

Opgaven Getaltheorie en Cryptografie (deel 1) Inleverdatum: 28 februari 2002

Postkwantumcryptografie

Quantumcomputers en Cryptografie

Tentamen Computersystemen

STUDIEWIJZER CRYPTOGRAPHY BACHELOR IN DE TOEGEPASTE INFORM ATICA SEMESTER 5 ACADEMIEJAAR LECTOR JOHAN GALLE

Symmetrische versleuteling voor RFID-Tags

Download de software - U vindt deze op onze website:

Inleiding. Hoofdstuk 1

Sleutels kraken met een chronometer (E9)

Cryptografie Theorie in de Praktijk

Opgaven AES Security, 17 september 2018, Werkgroep.

Samenwerken met MKBackup

High Performance Computing

Optimalisatie van het energieverbruik bij encryptie en authenticatie op mobiele devices

WI1708TH Analyse 2. College 5 24 november Challenge the future

Priemfactoren. Grote getallen. Geavanceerde methoden. Hoe ontbind je een getal N in priemfactoren?

informatica. cryptografie. overzicht. hoe & wat methodes belang & toepassingen moderne cryptografie

ICT en de digitale handtekening. Door Peter Stolk

Security. Eerste tentamen

Smart cards en EMV. Joeri de Ruiter. Digital Security, Radboud University Nijmegen

BitLocker : Hoe werkt het en is het veilig?

RFID (in)security VUrORE. Jeroen van Beek VU AMSTERAM 18 april 2008

Bestands en schijfencryptie

Gebruikershandleiding Versie 1.07

Privacy versterkende applicatie voor smartphones

Encryptie RSA Carl Reinehr

Elliptische krommen en digitale handtekeningen in Bitcoin

Cursus Cryptografie. Hagelin

Cryptografie. Beveiliging van de digitale maatschappij. Gerard Tel. Instituut voor Informatica en Informatiekunde Universiteit Utrecht

Hoofdstuk 3: Processen: Beschrijving en Besturing. Wat is een proces? Waarom processen? Wat moet het OS ervoor doen? Is het OS zelf een proces?

informatica. hardware. overzicht. moederbord CPU RAM GPU architectuur (vwo)

Software Reverse Engineering. Jacco Krijnen

TrueCrypt: On-the-fly Schijfencryptie. 2 Schijfencryptiesoftware

Steganografische systemen gebaseerd op levende talen, met menselijke interactie

Opgaven Introductie Security Security, 2017, Werkgroep.

Cursus Cryptografie. Breken polyalfabeet. gepermuteerd alfabet

Side-channel attack op AES core geïmplementeerd in een FPGA

HET HOE EN WAT VAN ONLINE DIENSTEN DOOR: STEVEN ADEMA EN ANNEJENT HOEKSTRA

Zorgeloos al uw bestanden veilig opbergen met TiC Online Backup.

Les D-05 Cryptografie

Hoofdstuk 7. Computerarchitectuur

De CPU in detail Hoe worden instruc4es uitgevoerd? Processoren 28 februari 2012

Cursus Programmeren en Dataverwerking.


Cryptografie. Ralph Broenink

Denit Backup instellen op een Linux server

Het RSA Algoritme. Erik Aarts - 1 -

Information Managing Day 2017 De rol van information management in een smart Curaçao. 12 mei Drs. ing. Elgeline Martis Hoofd CARICERT

Forum Standaardisatie. Expertadvies: Vervanging MD5 door SHA 2 op lijst met gangbare standaarden. Datum 5 augustus 2010

Datastructuren Uitwerking jan

Zorgeloos al uw bestanden veilig opbergen met TiC Online Backup.

Transcriptie:

Cursus Cryptografie MODERN 26-02-2017

Onderwerpen Blokgeheimschrift Feistel algoritme Data Encryption Standard Cryptoanalyse van DES Alternatieven voor DES Advanced Encryption Standard 2

Rekenen met Bits a b a b a b a b a XOR b a OR b a AND b 0 0 0 0 0 0 1 1 1 0 1 0 1 1 0 1 1 0 1 1 complement NOT 0 = 1 en NOT 1 = 0 XOR = exclusive or 3

Blokgeheimschrift Een n-bits klaartekst n-bits cijfertekst blok = n bits Een n-bits n-bits bijectieve afbeelding Maximaal 2 n! vercijfersleutels voor n-bits vercijfering Meestal minder 64-bits sleutel, 64 bits blok 2 64 << 2 64! blok n = 2 bits, 2 2 = 4 waarden, 4! = 4x3x2x1 = 24 sleutels klaar sleutel-1 sleutel-3 sleutel-4 sleutel-24!!!!!! 00 00 01 10 11 01 01 10 11 10 10 10 11 00 01 11 11 00 01 00 4

Blokgeheimschrift Periodiek bij herhaling M C C 2 C periode = M - fixed point E(M,K) = M - antifixed point E(M,K) = complement(m) - zwakke sleutel E(E(M,K),K) = M Maskeren door whitening M Win = M C Wuit = C Maskeren door Block Chaining 5

Electronic Code Book ECB Remedie tegen structuur: Cipher Block Chaining of Counter Mode 6

Cipher Block Chaining ECB M M M n CBC IV IV M C M C n M n C C C n 7

Feistel schema EM,K L,R = R,L FR,K L R L,R = R,L FR,K FR,K L,R = R,L FR,K R L DM,K L,R = R,L FR,K L,R = R,L FR,K FR,K L,R = R,L FR,K L R FR,K Voordelen Geen bijzondere eisen aan functie Meer stappen i.h.a. meer veiligheid R Gebalanceerd: #L = #R L 8

Data Encryption Standard 1973 Initiatief National Bureau of Standards (nu NIST) 1975 IBM enig inzender voor DES 1978 Hearings US Senate Committee on Intelligence 1980 Hellman Time Memory Tradeoff e.a. 1991 Biham en Shamir Differential Cryptanalysis 1993 Matsui Linear Cryptanalysis 1997 Software brute force NIST start AES op 1998 Hardware brute force 1999 DES voor het laatst verlengd als standaard 9

DES - schema Hoofdschema Rondetransformaties L R IP L = R L FR,K L = R L FR,K IP L = R R L R 10

Transformatie R i K S S S S 11

S-doos operatie 0 1 0 0 0 1 1 0 0 1 0000 1111 0001 0001 0010 0100 0011 1110 0100 0110 0101 1011 0110 0011 0111 0100 1000 1001 1001 0111 1010 0010 1011 1101 1100 1100 1101 0000 1110 0101 1111 1010 12

Sleutelschema 64 56 bits - pariteitsbits rotaties 1122222212222221 4 zwakke sleutels (00 )(11 ) M = E(E(M,K),K) K K 12 halfzwakke sleutels (0101 )(1010 ) M = E(E(M,K ),K) 13

Triple DES 56 bit DES niet langer veilig genoeg is 2-maal DES een 112 bits sleutel? 2-maal DES is niet 2x56 = 112 bits maar effectief slechts 57 bits reden meet in the middle aanval 3-maal DES met EDE schema Triple DES = EK3(DK2(EK1(M))) Triple DES mogelijkheden 1. K1 K2 K3 2. K1=K3 K2 3. K1=K2=K3 compatibility mode Meet in the Middle E1 D1 E2 = D6 D2 E3 D3 E4 D4 E5 D5 E6 E2 = D6 E7 D7 14

Cryptoanalyse van DES De DES controverse DES door NSA te breken? Brute force = uitputtend zoeken - software - hardware Fysische methoden (Side Channel Analyse) - foutinjectie - tijdsduur operaties - analyse stroomverbruik Time Memory Tradeoff Differentiële cryptoanalyse Lineaire cryptoanalyse 15

DES controverse National Security Agency is betrokken bij ontwikkeling DES Voorganger Lucifer 128 bits DES 56 verzwakt door NSA? Is 16 ronden Feistel wel genoeg? Ontwikkelcriteria i.h.b. van S-dozen zijn geheim verdacht? Structuur in S-dozen én ontwerp geheim valluik ingebouwd? Hardware brute force binnen capaciteit NSA? Onderzoek US Senate Committee on Intelligence in 1978: - DES is more than adequate for its intended applications - IBM invented and designed DES - NSA did not tamper with the design - NSA certified DES free of known statistical/mathematical weakness - overtuigend? 16

Brute Force Hardware Hoe een goede sleutel te herkennen? 1984: DES-chips met 256.000 encrypties per seconde 1998: Deep Tekst Crack gebouwd [a za Z0 9 ] voor $250.000 37.050 DES-chips ± 70 uit parallel 256 plausibel 2.500.000 encrypties per seconde alle sleutels in plm. 9 dagen ciphertext-only Unicity Distance DES 16 bytes (70/256) 16 x 2 56 Software 70.000.000 vals alarm 1997 Rocke Verser internet programma zoals SETI known-plaintext 78.000 deelnemers maximaal 14.000 machines tegelijk 18 feb 17 juni Eureka Unicity Distance DES 8 bytes 2 16 vals alarm 17

Side Channel Analyse Stroomverbruik toont processor acties Foutinjectie geeft verschillende uitkomsten Timing analyse door verschil in processor instructies 18

Time Memory Tradeoff Voorbereidingsfase M M M K K EM,K EM,C EM,C n K n C C C n E Analysefase C,i = n C C EM,C,i i K = E i M,K 19

Differentiële Cryptoanalyse Chosen-plaintext analyse van Biham en Shamir 1991 M = M M = constant C = EM,K C = EM,K R i K i R i K i = R i R i = R R i,ri R = constant S in = A,,A,EE, S,DD,! uit = B,,B 20

Statistische verschillen S 1 - niet alle verschillen zijn aanwezig - verschillen komen niet even vaak voor 21

Karakteristiek verschil 22

Resultaten Biham-Shamir Gegeven beste aanval is 16 ronden precies genoeg Permutatie minimaliseert kans op goede aanval Volgorde S-dozen S1S2S3S4S5S6S7S8 bijna optimaal Substituties binnen S-dozen optimaal Geen 4-substituties per S-doos verzwakt aanzienlijk Verwisselen expansie en subsleutel verzwakt Volledig onafhankelijke subsleutels maakt weinig uit verrassende conclusie DES optimaal beveiligd tegen differentiële cryptoanalyse vervolgens bevestigd door Coppersmith, lid IBM-team 23

Lineaire Cryptoanalyse Known-plaintext analyse van Matsui 1993 p Mm,m, Cc,c, = Kk,k, Mm,m, = ~ X M ~M ~ X M M R FR,K,, = K p = R FR,K = K p = R FR,K,,, = K p = p =, +! 24

DES alternatieven NEWDES Scott 1985 geen variant van DES SKIPJACK NSA 1985 escrowed encryption standard FEAL Shimizu en Miyaguchi 1987 Japan IDEA Lai en Massey 1990 ETH Zürich LOKI Brown, Pieprzyk, Seberry 1990 Australië GOST Gosudarstvennyi Standard Soyuza USSR BLOWFISH Schneier 1994 Counterpane Inc RC5 Rivest 1994 RSA Laboratories TEA Wheeler en Needham 1994 Cambridge University enzovoorts, enzovoorts 25

IDEA ingewikkeld X X X X Z Z X Y Z Z Z Z Z Z Z + Z Z Y Y Y Y 1990 Lai & Massey, ETH Zürich 16-bits architectuur 128 bits sleutel Cryptoanalyse tot 4-5 ronden Daemen 1993 groepen zwakke sleutels 2 23 2 51 2 63 26

RC5 eenvoudig 1990 Rivest, RSA laboratories Halve ronde RC5 RC5-w/r/b parametrisatie - blok 2w bits - aantal rondes r - sleutel b bits - bv RC5-32/12/16 Operaties - xor, plus/minus mod 2 2w - data afhankelijke rotaties Subsleutels K = b-bits S0 S2r+1 27

NSA = National Security Agency Opvolger afzonderlijke Army & Navy codebrekers 24-10-1952 president Truman NSA = No Such Agency 28

Skipjack w w w w k i k i+ k i+ w w w w k i+ Declassificatie NSA in 1998 Shamir e.a. 1999 impossible differentials 29

AES 12 september 1997 NIST start opvolging DES AES = Advanced Encryption Standard ongeclassificeerd en publiek algoritme overal zonder royalties beschikbaar symmetrisch 128 bits blokgeheimschrift gebruikerskeuze voor sleutel uit 128, 192, 256 bits efficiënte implementatie t.b.v. smartcards, e.d. In tegenstelling tot 70-jaren nu deelnemers uit alle delen van de wereld! 30

Deelnemers 1e ronde CAST-256 Entrust Technologies Inc Canada CRYPTON Future Systems Inc Korea DEAL Outerbridge, Knudsen Canada DEC Centre National Recherche Scientific Frankrijk E2 Nippon Telegraph and Telephone Corp Japan FROG TecApro Internacional SA Costa Rica HPC Schroeppel USA LOKI97 Brown, Pieprzyk, Seberry Australië MAGENTA Deutsche Telekom AG Duitsland MARS IBM USA RC6 RSA Laboratories USA RIJNDAEL Daemen, Rijmen België SAFER+ Cylink Corp USA SERPENT Anderson, Biham, Knudsen Internationaal TWOFISH Schneier, Kelsey USA finalisten tot winnaar uitgeroepen RIJNDAEL 2-10-2000 AES 31

Rijndael Heeft SQUARE geheimschrift als voorloper Geen Feistel-schema maar algebra als basis Keuze blok/sleutel uit 128/192/256 bits Whitening stap voorafgaand aan vercijfering Afhankelijk sleutellengte 10/12/14 ronden met - ByteSub - ShiftRow - MixColumn - AddRoundKey Snelle vercijfering smartcards met weinig geheugen Cryptoanalyse nog niet gelukt t/m 2015 32

Rijndael schema AddRoundKey Whitening stap startronden slotronde 1 ByteSub ByteSub 2 ShiftRow ShiftRow 3 MixColumn AddRoundKey 4 AddRoundKey ByteSub = S-doos substitutie ShiftRow en MixColumn = lineaire menglaag AddRoundKey = exclusive-or met veranderende subsleutels 33

Basisoperaties b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b b ByteSub ShiftRow MixColumn 34

Byte Substitutie 35

ByteSub B = abcdef gh GF ax + bx + cx + dx + ex + fx + gx + h {, } B + B = a + a x + b + b x B B = a x + a x + x + x + x + x + B! B M B + C SB = 36

ShiftRow 37

MixColumn 38

MixColumn 39

AddRoundKey 128 bits block/key + whitening 1408 subsleutelbytes nodig kettingberekening maakt on the fly generatie mogelijk rekenschema wi = wi-1 wvorige ronde elke ronde aanvullende rotatie plus ByteSub substitutie en combinatie met de rondeteller extra bewerkingen by 256 bit sleutel 40

Standaarden 41

Lichtgewicht cryptografie NIST sedert 2013 NISTIR 8114: Draft Report on Lightweight Cryptography workshops in 2015, 2016 cryptosystemen voor: RFID tags embedded systemen Bijvoorbeeld: DES met 1 i.p.v. 8 S-dozen TEA = Tiny Encryption Algorithm www.nist.gov/programs-projects/lightweight-cryptography 42

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback