Információs rendszerek biztonságtechnikája. Vassányi István, Dávid Ákos, Smidla József, Süle Zoltán

Átírás

1 Információ rendzerek biztonágtechnikája Vaányi Itván, Dávid Áko, Smidla Józef, Süle Zoltán 2014

2 A tananyag a TÁMOP A/1-11/ A felőfokú informatikai oktatá minőégének fejleztée, modernizációja c. projekt keretében a Pannon Egyetem é a Szegedi Tudományegyetem együttműködéében kézült.

3 1. réz: Kriptográfia TARTALOM 1. Történeti áttekinté A modern kriptográfia alapjai Modern blokko kriptorendzerek Modern folyam-elvű kriptorendzerek Nyilváno kulcú kriptorendzerek é alkalmazáaik Üzenetpecétek A kriptográfia jövője Irodalom I.MELLÉKLET: AZ AES KRIPTOGRÁFIAI ALGORITMUS Bevezeté Matematikai alapok A kulc kiterjeztée Kódolá Dekódolá II. MELLÉKLET BLOKK KÓDOLÓK ÜZEMMÓDJAI Elektroniku kódkönyv (ECB) Titkoított blokkok láncoláa (CBC) Kimenet vizacatoláa (OFB) Kódolt üzenet vizacatoláa (CFB) Számláló mód (CTR) III. MELLÉKLET AZ RSA ALGORITMUS Matematikai alapok Az RSA algoritmua Az RSA alkalmazáa digitáli aláírára IV. MELLÉKLET A SZÜLETÉSNAP-TÁMADÁS MATEMATIKAI HÁTTERE V.MELLÉKLET AZ SHA-1 ÜZENETPECSÉT... 71

4 Alapműveletek Az SHA-1 működée VI. MELLÉKLET A GRAIN-128 FOLYAMTITKOSÍTÓ VII. MELLÉKLET A RABBIT FOLYAMTITKOSÍTÓ... 79

5 1. Történeti áttekinté A zteganográfia A kriptográfia nagyon régi tudomány, melynek alkalmazáai az ókorba nyúlnak viza. A legrégebbi időkben nem a ma megzokott, titko vagy nyilváno kulcokra alapozott kriptográfiai módzerek, hanem a zteganográfia, azaz a titkolni kívánt üzenet elrejtée vagy álcázáa volt haználatban. Néhány klaziku példa: az i.e. 480-ban lezajlott zalamizi cata, mely a perza hajóhad döntő vereégével végződött, illetve Xerxe egéz görög hadjárata i máképp végződhetett volna, ha a hadjárat előtt egy Perziába záműzött görög nem figyelmezteti honfitárait a közelgő támadára egy rejtett üzenettel, melyet egy viazal bevont, ürenek látzó írótáblán, a viazréteg alatt helyezett el. Az üre írótábla gond nélkül eljutott Perziából a címzettekhez. a diplomáciai levelezében alkalmazták a küldönc fejére írt, lábbelijébe rejtett tb. üzeneteket, melyekről maga a küldönc em tudott. elhalványuló, de valamilyen kezelére megjelenő tintával (pl. tej, citromlé, pitypang-nedv tb.), vagy nem látható helyekre (potabélyeg alá, kemény tojá héja alá tb.) írtak üzeneteket. A fenti zteganografiku módzerek közö jellemzője, hogy a feladónak é a címzettnek előzeteen é titokban meg kellett állapodni a rejté módjában, é ha ezt a támadó megtudta, akkor a rejtett üzenetet könnyen el tudta olvani, akár meg i tudta hamiítani. Mivel pedig a titko módzerek előbb-utóbb kitudódnak, ezért a zteganográfia alkalmazáa általában egyedi é erően korlátozott. Ennek ellenére még a II. világháborúban i alkalmazta pl. a francia ellenállá. Napjainkban pedig a különféle digitáli tartalmak, előorban kép- é hangfájlok, de akár telje reláció adatbáziok digitáli vízjelzéére (digital watermark) i alkalmazzák a zteganográfia elvét. A cél lehet a zerzői jogi információk elrejtée vagy a zajcökkenté i. A leggyakrabban azonban az üzenet elrejtéét nem önmagában, hanem valamilyen kriptográfiai módzerrel kombinálva alkalmazzák. A zteganográfia é a kriptográfia közötti átmenetre példa az üzenet betűinek özekeverée valamilyen előre megállapodott éma zerint. Néhány példa: A okzögletű pálca, melyet már az ókorban i alkalmaztak. A pálcára pirálian egy zíjat tekertek, majd az üzenetet a zíjra, a pálca oldalai mentén írták fel. Letekeré után a betűk özekeveredtek, pl. ötzög kereztmetzetű pálca eetén ötö coportokban. A címzettnek ugyanolyan pálcával kellett rendelkeznie, mint a feladónak, melyre a zíjat feltekerve az üzenet elolvahatóvá vált. A Cardano-rejtjelező egy rác, melyet a négyzetráco cellákra oztott titko üzenet fölé helyeztek, é a megjelölt cellák betűit olvaták öze. A rác 90 foko elforgatáával é imételt alkalmazáával akár hozabb zövegek betűit i öze lehet keverni. Az elő példában a okzögletű pálca, a máodikban a rác tekinthető egyfajta titko kulcnak, amely megkönnyíti az üzenetmegfejtéét. A betűk özekeveréének, permutáláának elvét P-doboz néven a modern kriptográfia i alkalmazza.

6 A klaziku kriptorendzerek A történelem megmutatta, hogy a támadó általában előbb-utóbb megimeri a titkoan kommunikáló felek által haznált módzert, őt általában a titko üzenet nyelvét é témáját i. Olyan módzert kellett tehát találni, melynek feltörééhez ezeken kívül még egy titko kulc i zükége. Előnyö, ha a kulcot nehéz kitalálni, é ha a felek időről időre új kulcokat alkalmaznak. Néhány klaziku példa: A Caear-kód: minden betű helyett az utána következő n-edik betűt írjuk. A lehetége kulcok záma így (26 jegyű ABC-t haználva) mindöze 26. A Római Birodalomban alkalmazták. Ennek továbbfejleztett változata minden betű ziztematiku helyetteítée egy máik betűvel. Így már 26! kulc lehetége, azonban a kulc egy táblázat, amit nehezebb titkoan kezelni. Ezt a műveletet S-doboz néven imeri a modern kriptográfia. A fenti módzert egyzerű monoalfabetiku (betűhelyetteítée) kódnak nevezzük. Ennek töréére a IX. zázadig kellett várni, amikor arab tudóok a Korán kéziratainak eredetiégét vizgálva feltalálták a betűgyakoriág-tatiztikákra alapozott elemzét. Az üzenet nyelvének é témájának imeretében a betűpárok könnyűzerrel felderíthetők a termézete nyelvek redundanciáját felhaználva, feltéve, hogy elegendően hozú üzenet áll rendelkezére 1. Ennek ellenére a monoalfabetiku kriptorendzereket, időnként a virágnyelvvel kombinálva, Európa-zerte alkalmazták (é rutinzerűen törték) a diplomáciában. A támadáok megnehezítéére a következő javítáokat alkalmazták: egye jelek betűket, máok zótagokat vagy egéz zavakat jelentettek má jelek nem jelentettek emmit (nullitáok), vagy duplázták, eetleg törölték az előttük álló jelet Így már olyan mértékben el lehetett bonyolítani a rendzert, hogy például az 1626 után XIII. é XIV. Lajo udvarában a Roignolok által tervezett, diplomáciai titkok lejegyzéére haznált Nagy Kód -ot cak 200 évvel kéőbb tudták megfejteni. Azonban nem mindig vizgázott a kód ilyen jól: egy haonló kódot, melyet a börtönben lévő Mária kót királynő haznált az angol királyné ellen özeeküvő katoliku angol nemeekkel való kapcolattartára, könnyedén feltört Erzébet angol királynő titoknoka, őt a levelezét meghamiítva még a lázadó urak neveit i kicalta. Valózínű, hogy a lázadók nem írták volna meg a neveket, ha nem hiznek vakon a kód biztonágában, tehát a kriptográfia alkalmazáa ebben az eetben kifejezetten káro, őt végzete volt a zámukra. Ez a jelenég zámtalanzor imétlődött már a történelem orán, é a korhadt kilátókorlát jelenég néven imerete. A gyenge kód Mária királynő é az angol nemeek kivégzééhez vezetett 1586-ban. Alább látható a titoknok által Mary leveléhez hamiított réz, melyben Mary kéri zövetégeeit, írják meg a nevüket (felül), alatta pedig a levelezéhez haznált betű- é zókódok. 1 lád

7 A monoalfabetiku kód legkomolyabb továbbfejleztée azonban a homofoniku kód feltaláláa volt: ebben a gyakori betűknek több jel felelt meg, melyek közül véletlenzerűen válaztottak. Ez i törhető tatiztikai elemzéel, azonban az elemzét a betűkapcolatokra kell kiterjezteni, tehát lényegeen nagyobb erőfezítét é hozabb titko üzenetet igényel a ikere támadá. Sikere homofoniku monoalfabetiku kódra példa a XVII. zázadi ún. Copiale-cipher, melyet modern informatikai módzerekkel i cak 2011-ben tudtak megfejteni 2. A kriptográfia következő nagy ugráa a polialfabetiku kód feltaláláa volt, ami Vigenére-kód, vagy a feltörhetetlen kód néven vált imertté. A or iróniája, hogy publikáláa éppen 1586-ra eik, tehát megmenthette volna Mária királyné életét. A módzer lényege, hogy nem egy, hanem több kód-abc-t (betűhelyetteítéi táblát) haználnak, melyek között betűnként váltanak. Ha például 5 táblánk van, akkor az 1., 6., 11. tb. betű helyetteítééhez haználjuk az elő táblát, a 2., 7., 12. tb. betűhöz a máodik táblát é így tovább. Az eredeti (legegyzerűbb) eetben a helyetteítéi táblák az eredeti ABC 2 lád

8 cikliku eltoltjai valahány pozícióval, például a 2-e zámú tábla a B-t D-re ceréli. Ebben az eetben a lehetége táblák záma: az eredeti ABC betűinek a záma - 1. A kulc a felhaznált táblák orzáma, pl. 21, 2, 5, 7, 2 egy öt hozú kulc eetén. A módzer továbbfejlezthető tetzőlege betű-özerendelét megengedő táblák haználatával, ami a lehetége táblák zámát jelentően megnöveli (44 jegyű ABC eetén 44!). Ekkor vizont a titko catornán előzeteen megoztandó titok i okkal nagyobb méretű lez, hizen meg kell állapodni az egye táblák tartalmában. Az egyzerű betűgyakoriág-tatiztikák alkalmazáa ennél a módzernél azért nem működik, mert az egye betűk pozíciójától függően változik a helyetteítéi zabály ig kellett várni, míg egy angol matematiku-filozófu, Charle Babbage, ikerrel járt. A töré alapgondolata az, hogy előzör a kulc hozát, tehát az alkalmazott táblák zámát kell megállapítani, utána az egye táblák tartalmát a zokáo betűgyakoriág-tatiztikai módzerrel ki lehet deríteni. Például ha a kulc hoza 6, akkor a máodik tábla felderítééhez cak a 2., 8., 14. tb. pozíciókon álló betűkből kézítünk tatiztikát. Termézeteen a támadónak hozabb (jelen eetben 6-zor olyan hozú) rejtett zövegre van zükége a ikerhez, mint az egyzerű monoalfabetiku eetben. A kulc hoza pedig abból határozható meg, hogy minden nyelvben vannak nagyon gyakori betű-kapcolatok, például az angolban ilyen a th. Ha két th távolága a nyílt zövegben éppen a kulc hoza, vagy annak egéz zámú többzöröe, akkor a rejtett zövegben i ugyanaz a két betű fog tartozni hozzájuk. Tehát a rejtett zövegben imétlődő betűcoportokat kereünk, ezek távolágainak pedig megkereük a legnagyobb közö oztóját. Valózínű, hogy ez lez a kulc hoza. A polialfabetiku kriptorendzerek további fejlődéének az I. é különöen a II. világháború adott nagy lendületet. A táblázatok váltogatáát írógép-zerű titkoítógépek végezték. Az I. világháború kimenetét alapvetően meghatározta a korábban németbarát külpolitikát folytató USA belépée Németorzág ellen, ami egy titkoított diplomáciai távirat (az ún. Zimmermann-féle távirat) ikere feltöréének volt közönhető az angol titkozolgálat rézéről. A II. világháborúra a németek kifejleztették az Enigmát, egy rotoro titkoítógépet, amelynek feltörhetetlenégében a német vezeté az intő jelek ellenére vakon hitt. Azonban az angol titkozolgálatnak A. Turing közreműködéével ikerült a töré, ezért a zövetégeek a németek tudta nélkül éveken kereztül meg tudták fejteni a német hadvezeté által kiadott parancok é egyéb üzenetek nagy rézét. Ez akkora előnyhöz juttatta a zövetégeeket, amely nélkül a világháború kimenetele egézen mámilyen i lehetett volna, de a történézek zerint legalábbi minimum 5-7 évvel tovább tartott volna a harc. Talán ez a legnagyobb történelmi jelentőégű példája a korhadt kilátókorlátba kapazkodá vezélyeinek. Az Enigma, Arthur Scherbiu találmánya, valóban tökélyre fejleztette a nagyon nagy zámú kód- ABC közötti váltogatát. Egymá után elhelyezett forgó tárcákon lévő huzal-darabok (a rotorok) egy áramkört zártak, amely a billentyűzeten leütött betűhöz a tárcák pillanatnyi álláa zerint meggyújtott egy lámpát valamelyik betűnél. Tehát a nyílt zöveg begépelée orán a lámpákról betűnként le lehetett olvani a rejtett zöveg betűit é vizont. A tárcák minden leüté után fordultak egyet, ezért a kód-abc gyakorlatilag minden betű eetén má volt, betűgyakoriág-elemzét tehát nem lehetett alkalmazni. A kulc a tárcák induló helyzetéből, orrendjéből é egy betűcerélő tábla (plugboard) beállítáából állott, ezekkel a lehetége kulcok záma több, mint volt. Az angolok rendelkeztek az Enigma egy példányával, azonban így i több évi erőfezíté é Alan Turing zenialitáa kellett hozzá, hogy a német

9 vezeté által naponta cerélt kulcot néhány óra alatt megtalálják egy peciáli gép egítégével, amely a Turing-bomba néven vált imertté. Az alábbi kép egy katonai célú Enigma berendezét mutat. Még 1918-ban zabadalmaztatták az Egyeült Államokban az ún. Vernam-titkoítót, amely one-time pad (eldobó kulcú titkoítá) néven i imert. Ez a módzer tömege adatcerére nem alkalma, de a diplomáciában a mai napig alkalmazzák, kéőbb rézleteen tárgyaljuk. Egyedi megoldáok A fent említett alapvető módzereken kívül még zámtalan egyedi megoldát haználtak a történelem orán, több-keveebb ikerrel. Néhány példa: a zótár-módzer: mindkét félnél van egy hozabb zöveg, például egy könyv (zótár) ugyanabban a kiadában. Az üzenet minden betűjéhez kerenek a könyvben i egy olyan betűt, az üzenetbe aztán azt írják le, hogy hányadik oldalon, hányadik orban, hányadik betűt kell venni. Ez a módzer termézeteen nem alkalma tömege kommunikációra, vizont a zótár nélkül gyakorlatilag megfejthetetlen, ezért gyakran alkalmazták a világháborúkban, őt, még egy 1820 körül elrejtett, húzmillió dollár értékű kinc rejtekhelyét i egy (feltehetőleg) ilyen módon titkoított irat őrzi, a modern kriptoanalitikuok nem ki bozúágára. a termézete nyelvek: köztudomáú, hogy egy imeretlen é teljeen idegen nyelvnek még a zavait, hangjait em tudjuk elkülöníteni egymától. Ez adta az ötletet, hogy az amerikai haderegben a II. világháborúban navaho indiánokat alkalmazzanak titkoítái célokra a távolkeleti hadzíntéren. A navaho kódbezélők egyzerűen elmondták a parancot navaho nyelven, amit cak egy máik navaho kódbezélő értett meg. Termézeteen baj lett volna, ha az ellenég i zert tez akár egyetlen navaho katonára, ez azonban nem történt meg, így mindmáig ez az egyetlen olyan, zéle körben alkalmazott kriptorendzer, amit oha em tudtak feltörni.

10 A kriptográfia története iránt mélyebben érdeklődő olvaóknak ajánljuk Simon Singh: Kódkönyv című, élvezete könyvét [1]. 2. A modern kriptográfia alapjai Alapfogalmak A modern kriptográfiában haznált, a korábbi gyakorlati eredményeket, módzereket rendzerező elmélet cak a XX. zázadban zületett meg, é jórézt C.E. Shannon érdeme. A kriptográfia cak egy eleme az adatbiztonágnak, ami nagyon tág problémakör. Felöleli a védendő információt tartalmazó é közvetítő berendezéek fizikai védelmét, a vállalat zervezeti felépítéét é emberi erőforráait, é az alkalmazott zámítógépe információ rendzerek, nem utoló orban a kriptorendzerek biztonágát. Bármelyik területen i van hiányoág, az adatbiztonág vezélybe kerül. Ezen problémakörök közül itt a kriptorendzerek minőégi jellemzőivel, lehetége megoldáaival foglalkozunk. A valóágban haznált kriptorendzerek tervezéének alapelvei: a rendzer feltöréének a költége legyen nagyobb, mint az információ aktuáli maximáli 3 piaci értéke, vagy a feltöréhez a jelenlegi ezközökkel zükége idő alatt a titok évüljön el (vezíte el az értékét). Zárt rendzerek védelme általában megfelelő fizikai, zervezeti é humán tervezéel megoldható. A kriptográfiát érdeklő probléma az, hogy a külvilággal kommunikáló, nyílt rendzert hogyan lehet a rozindulatú behatolá ellen megvédeni, illetve még inkább, hogy az ellenége (nem védett) catornán kereztül hogyan tud két fél, vagy két információ rendzer biztonágoan kommunikálni. Jó tervezé eetén a zervezeti, fizikai é informatikai rendzer-határ egybeeik. A kriptorendzerek alapémája zerint az üzenetnek egy feladótól (A) kell eljutnia a címzetthez (B): A Üzenet (nem védett catornán) B A kriptográfiai irodalomban zoká A-t Alice-nek, B-t Bobnak nevezni, a hallgatózó támadót pedig Evenek (az angol eavedropper kifejezé nyomán). Az üzenetet a catornán titkoított (rejtett) formában továbbítjuk. Az üzenetet eredeti formájában nyílt zövegnek nevezzük (jele X, plaintext), titkoítva rejtett zövegnek (jele Y, ciphertext). A rejtett zöveget a nyíltból a rejté (encryption, E) révén kapjuk meg, melynek a nyílt zövegen kívül általában egy K kulc i a paramétere. A vevőoldalon a fejté (decryption, D) állítja viza ugyanazon kulc é a rejtett zöveg alapján a nyílt zöveget. Özegezve: Y E X DK ( Y) Feltehető, hogy a támadó fél imeri az üzenet nyelvét é a titkoítá módját (E é D algoritmuát), de nem imeri az éppen haznált K kulcot, ezért nem tudja kitalálni X-et. Az ilyen alapémájú K ( X ) 3 maximáli alatt azt értjük, amennyit az információ a zámunkra legkellemetlenebb támadónak ér. Háborúban ez az ellenfél, az üzleti világban a konkurencia, má eetben egy napilap, vagy az adóhatóág.

11 kriptorendzereket titko kulcú rendzereknek nevezzük. A kriptorendzert támadó külő fél a következő alapvető módzereket haználhatja: Hallgatózá, vagy rejtett zöveg típuú támadá. A támadó a catorna forgalmának a figyeléével, az üzenet nyelvének, eetleg témájának az imeretében próbálja megfejteni az aktuáli üzenetet vagy kitalálni a K kulcot. Nyílt zöveg típuú támadá. A támadó imeri egy korábbi üzenet nyílt é rejtett formáját i, ebből próbálja kitalálni a kulcot, melyet kéőbbi üzenetek megfejtéére haználhat. Válaztott nyílt zöveg típuú támadá. C valahogyan rá tudta venni A-t, hogy egy általa válaztott nyílt zöveget rejten, é küldjön el B-nek. A nyílt é rejtett üzenet-párból könnyebb következtetni a kulcra. Válaztott rejtett zöveg típuú támadá. C valahogyan rá tudta venni A-t (például ideigleneen hozzáfért a fejtő berendezéhez), hogy egy általa kontruált rejtett zöveghez a nyílt zöveget állíta elő K haználatával, é ezt a nyílt zöveget i megzerezte. A rejtett zöveg ügye kontrukciójával a nyílt é rejtett üzenet-párból könnyebb következtetni a kulcra. Ezek a támadáok alapvetően a kulc megzerzéére irányulnak. A támadó azonban már akkor i jelentő kárt tud okozni, ha manipulálni tudja az A-t B-vel özekötő hálózati elemeket: Közbeékelődé ( man in the middle támadá). A valójában nem B-vel, hanem C-vel van özeköttetében., B valójában nem A-tól, hanem C-től kapja az üzenetet, de ezt A é B nem vezi ézre. Egy hozú üzenetváltá-orozat orán C hami identitáal mindvégig A é B közé ékelődik, minden üzenetet megfejt, é a megfelelő pillanatban leadja a zámára előnyö üzenetet. Haonló meterkedé okozta Mária királynő veztét 1586-ban. Átírá (forging). Az üzenet C-n kereztül halad, aki elfogja azt, é bár megfejteni nem tudja, egye rézeit megváltoztatja. Például korábban megfigyelt rejtett-nyílt üzenetpárok alapján egy korábbi rejtett üzenetből egy imert értelmű darabot betez egy rejtett üzenet megfelelő darabja helyére ( cut-and-pate támadá). Eetleg egy korábban megfigyelt imert tartalmú telje üzenetet küld el ( replay attack ), ami C-nek előnyö reakciót vált ki B-ből. A kriptográfia zempontjából az alapprobléma a rejtett zöveg típuú támadá. Lehet-e, é ha igen, hogyan, olyan tökélete kriptorendzert kézíteni, amelyben a kulc imerete nélkül lehetetlen a nyílt zöveg meghatározáa a rejtett zöveg megfigyeléével? A tökélete titkoítá Tökéletenek nevezzük azt a titkoítái rendzert, amelyben a rejtett zöveg átlagoan emmi információt nem árul el a nyílt zöveggel kapcolatban, vagyi amelyre I ( X, Y) 0 Megmutatható, hogy ez akkor é cak akkor teljeül, ha H( X Y) H( X ) p i j p i é p j i é p j H( Y X ) H( Y), azaz ha i, j re

12 Itt H(X Y) a nyílt zövegnek a rejtett zövegre vonatkozó feltétele entrópiája, p i j pedig az i-edik nyílt zöveg valózínűége, feltéve, hogy a catornán a j-edik rejtett zöveg lett elküldve. Ezerint egy adott rejtett zöveghez ugyanakkora eéllyel kell tartoznia bármelyik nyílt zövegnek (é fordítva). Mivel a kettőt a kulc válaztáa rendeli öze, é a lehetége rejtett zövegek zámának legalább akkorának kell lennie, mint a lehetége nyílt zövegek zámának, ezért a kölcönö információ hiányára vonatkozó elváráunkat úgy é cak úgy tudjuk teljeíteni, ha X Y K, tehát a lehetége kulcok, nyílt é rejtett zövegek záma egyenlő, é 1 P( K i), tehát a kulcok közül minden egye üzenet rejtéekor véletlenzerűen K válaztunk. Ezek nehezen teljeíthető elváráoknak tűnnek, azonban a már említett one-time pad (eldobó kulcú titkoítá) eetén teljeülnek. E módzer zerint a nyílt zöveget bitenként egy kétbemenetű XOR kapura vezetjük, a máik bemenetre pedig egy, a nyílt zöveg hozával egyező hozúágú véletlen bitorozatot vezetünk (ez a kulc). A rejtett zöveg a kapu kimenete. A vevőoldalon ugyanezt a műveletet hajtjuk végre a rejtett zöveggel é ugyanazzal a kulccal, így vizakapjuk a nyílt zöveget. Látható, hogy a fenti feltételek teljeülnek a orozatok egyenlő hozúága miatt. Azt, hogy ekkor ninc a nyílt é rejtett zöveg között kölcönö információ, a fenti tételtől függetlenül i könnyű belátni. Annak a valózínűége ugyani, hogy a rejtett zöveg egy bitje például 0, 1 P( Y 0) P( K 0) P( X 0) P( K 1) P( X 1) ( P( X 0) P( X 1)) 2 függetlenül a nyílt zövegtől, tehát az X é Y forráok függetlenek. Fonto vizont megjegyezni, hogy mihelyt egy már haznált kulcot még egyzer haználunk egy máik zöveg rejtéére, tökélete titkoítáunk igen ebezhetővé válik a nyílt zöveg típuú támadáal zemben, mivel a kulc meghatározáa egy rejtett-nyílt üzenetpárból triviáli. Tehát minden egye üzenethez egy, a rejtett zöveg méretével egyező méretű, új véletlen kulcot kell generálni, é azt biztonágoan eljuttatni a vevőhöz a kommunikáció kezdete előtt 4. Ez a gyakorlati probléma igen erően korlátozza a módzer haználhatóágát. Ezért cak különlege eetekben é előorban a diplomáciában alkalmazzák, mint például az amerikai é oroz elnököt özekötő telefonvonal, a forró drót. Általában véve, a titko kulcú kriptorendzerek egyik nagy problémája a titko kulcok biztonágo eljuttatáa az öze réztvevőhöz, amit kulckezeléi problémának (key management problem) neveznek. A gyakorlatban haznált kriptorendzerek ezért nem tökéleteek, hanem a fejezet 1 2, 4 Ha a kulcokat újra felhaználják, akkor a one-time pad már rejtett zöveg típuú támadáal i törhető tatiztikai módzerekkel. A zovjet nagykövetégek i elkövették ezt a hibát a hidegháború éveiben, ennek következtében ok diplomáciai üzenetet meg tudott fejteni az amerikai titkozolgálat. Az eredmény: zámo zovjet ügynököt lepleztek le az USA-ban, a Roenberg-házapárt pedig 1953-ban kivégezték az atomtitok zovjet kézre játzááért.

13 elején imertetett alapelvek zerint tervezik őket. A kriptográfiában az elv alkalmazáát a zámítái teljeítményre alapozott biztonágnak (computational ecrecy) nevezik. A nyer erő módzere A titko kulcú kriptorendzerek elleni legegyzerűbb támadá az öze lehetége kulc végigpróbálgatáa, amit a nyer erő (brute force) módzerének i neveznek. Például egy 3 zámjegyű bőrönd-zámzár eetén erre akár fél óra i elég lehet. A megfelelő kombinációnál kinyílik a bőrönd, illetve az üzenek nyelvének é témájának imeretében ézrevezük, hogy egy adott K kulc eetén a D K(Y) értelme üzenetet eredményez. A nyer erő alkalmazáa termézeteen nem praktiku, ha a lehetége kulcok záma túl nagy, illetve a kulcok zámától függetlenül értelmetlen, ha a one-time pad módzert alkalmazták. Ekkor ugyani az X Y K feltétel miatt a támadó az öze lehetége kulc végigpróbálgatáa orán az öze lehetége nyílt zöveget állítja elő, melyek mindegyike egyenlő valózínű, é termézeteen több értelme üzenet i van közöttük. Tehát ezek közül a támadó nem tud válaztani. Az alábbi példában a kulc1 é a kulc2 éppen ellentéte értelmű nyílt zövegeket produkál 5 : rejtett: PEFOGJ kulc1: PLMOEZ nyílt1: ATTACK PEFOGJ kulc2: MAAKTG nyílt2: DEFEND (mindkettő értelme!) Ezért állíthatjuk azt, hogy a one-time pad a rendelkezére álló zámítátechnikai erőforráoktól é időtől függetlenül i feltörhetetlen. A nyelvi entrópia Nem tökélete kriptorendzer alkalmazáa eetén, ha a nyílt é a rejtett zöveg, vagy kulc é a rejtett zöveg egye betűi között közvetlen kapcolat van, mint például az S-doboz vagy az eltolá eetén, akkor betűgyakoriág-tatiztikák alapján a támadó könnyen le tudja zűkíteni a valózínű kulcok körét. Sőt, nem i kell az öze valózínű kulcot végigpróbálni, hizen például az egyzerű monoalfabetiku kód eetén a kulc darabjait külön-külön i ki lehet találni. Ha például a levél elő zavából már megvan annyi, hogy ked*e, akkor a hiányzó betű valózínűleg v, ez alapján pedig a kulc negyedik betűje próbák nélkül i meghatározható. Ezekben a támadáokban a termézete nyelvek beépített redundanciáját lehet kihaználni. A termézete nyelvek ugyani nem tekinthetők emlékezet nélküli forrának, amennyiben egy forrázimbólumnak egy betűt tekintünk, mivel egy-egy betű (é zó) előfordulái valózínűége erően függ a környezetétől, tehát a zöveg távolról em véletlenzerű betűhalmaz. Ezt a jelenéget zámzerűen a nyelvi entrópiával, vagyi a végtelen mértékben kiterjeztett forrá eetén az egy betűre jutó átlago információmennyiéggel (entrópiával) lehet kifejezni: H L H( A, A2, lim n n 1 A n ) 5 A példában a rejtett zöveg minden betűje a nyílt zöveg é a kulc azono pozíción lévő betűjének mod 26 özege, a 26 karaktere angol ABC haználatával.

14 ahol H A, A, A ) az n-zereen kiterjeztett forrá, amelyben tehát egy betű-n-et tekintünk egy ( 1 2 n forrázimbólumnak. A termézete nyelvekre a zókézlet korlátozottága miatt mindig H( A1, A2, An ) n H( A). Például az angol nyelvre tatiztikai vizgálatokkal megállapított értékek: n 1 4 bit bit bit H A, A, A ) n ( 1 2 n A ténylege nyelvi entrópiát angolra 1.5 é 1 bit közé lehet tenni az egy angol betű által ténylegeen hordozott átlago információ tehát lényegeen keveebb, mint a betűnkénti feldolgozá alapján várnánk. Ennek az az oka, hogy a termézete nyelv zajo közegben való kommunikációra kézült, é nyelvbe épült redundanciát folyamatoan haználjuk a zaj által okozott hibák javítáára. A nyelvi entrópia alapján definiálhatjuk a nyelvi redundanciát: H L RL 1, log A amely az angol nyelvre 0.75-re adódik, vagyi a zöveg körülbelül 75%-a redundán. Ezt a redundanciát lehet a támadá orán kihaználni olyan módon, hogy egyzerre ok lehetége kulcot zárunk ki egyetlen próba orán, egy kulcrézlettel megfejtett üzenet-rézlet képtelenége alapján. Például zinte bizto, hogy az üzenet nem kezdődik három Q betűvel. Megmutatható, hogy a nyelvi redundancia miatt a lehetége kulcok záma 0-ra cökken, vagyi a titkoítá tatiztikai értelemben fel van törve, ha elegendően hozú rejtett zöveget van alkalmunk megfigyelni. A feltöréhez zükége betűk záma: log K n0, RL log A amely az egyzerű módzerek eetén meglepően alacony érték 6. A nyelvi redundanciára alapozott támadáokat termézeteen ki lehetne védeni forrákiterjeztéel, például n > 10 eetén már eléggé megközelíthető a nyelvi entrópia. A kiterjeztéel azonban a zimbólumok záma (a forrá-abc) é vele együtt a kulc mérete i kezelhetetlenül nagyra nő. Haonló okokból nem jó megoldá az em, hogy a nyelv zavait, eetleg zócoportjait tekintük forrázimbólumoknak. 3. Modern blokko kriptorendzerek Shannon javalata nyomán olyan titko kulcú kriptorendzereket terveztek, melyek ugyan nem tökéleteek, mivel K << X, de a rejtett zöveg é a kulc közti tatiztikai kapcolat elmoáának közönhetően az E K(X) függvény véletlenzerű leképezének tekinthető a kulc imerete nélkül, é ha cak egyetlen bit i hibá a kipróbált kulcban, a megfejtett zöveg tökéleteen értelmetlen lez. Ezáltal a támadónak nem marad má válaztáa, mint a nyer erő alkalmazáa, ami idő- é energiaigénye művelet. Ha pedig a lehetége kulcok zámát elegendően nagyra válaztjuk, akkor a kriptorendzer 6 angol nyelvre az egyzerű monoalfabetiku betűhelyetteítée kód eetén n0 = 25.

15 bár nem tökélete gyakorlatilag nem támadható, biztonágo. Ez a zámítái teljeítményre alapozott biztonág, a modern kriptográfia alapja. Kérdé azonban, hogy mekkora K -t válazunk? Ha a kulctér túl nagy, laú é drága lez a titkoítá, ha túl kici, vezélybe kerül a biztonág. Termézeteen mindig ki lehet indulni a technika mai álláából, a jövőt azonban nehéz megjóolni. A termodinamikai korlát A modern kriptográfia talán legimertebb módzerét, a DES-t (Data Encryption Standard) 1977-ben vezették be 7. A DES-re nem találtak érdemi algoritmiku törét, é úgy tűnt, hogy az 56 bite titko kulctér, mely 2 56 lehetége kulcot jelent, örök időkre védelmet jelent majd a nyer erő típuú támadáal zemben, legalábbi a polgári életben. A zámítátechnika azonban a Moore-zabály 8 zerint fejlődött, é 1998-ban egy mazívan párhuzamo, 210 ezer dollárból épített zámítógépen 9 maximum 186 óra alatt már az öze kulcot végig lehetett próbálni. Ma pedig a DES törééhez ninc zükég zuperzámítógépre. A DES tehát elavult. Ezért a kulctér nagyágának a megítélééhez a modern kriptográfia már nem a próbálgatá időzükégletét haználja, hizen ennek jövőbeli fejlődée imeretlen, hanem az energiazükégletből indul ki, mivel erre termodinamikai alapon aló korlátot tudunk adni. Ha egy kulc kipróbáláához akár egyetlen 0/1 átmenet elég i egy zuperzámítógépen, akkor i zükége ehhez az átmenethez legalább egy energia-kvantum 10. Ez alapján aló korlátot lehet adni a nyer erő alkalmazáának az energiazükégletére. Ha például a kulc 192 bite (a lehetége kulcok záma ), akkor a feltöréhez zükége energia nagyobb, mint a Nap által egy év alatt kiugárzott öze energia, 256 bit eetén nagyobb, mint a Nap telje élettartama alatt kiugárzott energia. Nem valózínű, hogy a támadónk ennyi energiával rendelkezik. A feltöréi energia aló korlátját termodinamikai korlátnak nevezzük. Blokko kriptorendzerek alapelvei A feladat tehát az, hogy a támadót rákényzerítük a kulcok próbálgatáára. A modern kriptorendzerek Shannon eredeti javalata alapján ezt a következőképpen érik el: 1. A nyílt zöveget egyenlő méretű blokkokra oztják. A blokk mérete a titko kulc méretének a nagyágrendjébe eik. 2. A rejtét a blokkokra külön-külön végzik el, ugyanazt a titko kulcot haználva 11. A vevőoldalon i blokkonként fejtik meg é rakják öze az üzenetet. Ezt a működéi elvet blokko kriptorendzernek nevezzük. Általában a rejtéi é a fejtéi algoritmu ugyanazt a kulcot 7 A kriptográfia a katonai é diplomáciai alkalmazáok miatt kevébé nyilváno tudomány, ennek ellenére léteznek zéle körben alkalmazott, zabványo algoritmuai é protokolljai. Ezek jó réze, köztük a DES, AES, RSA, SHA tb. az amerikai National Intitute of Standard and Technology (NIST) zabványa, azonban egyre erőebben jelentkeznek az EU ajánláai i, lád AWT Deep Crack, egy chipen 24 mag, 64x28 chip (43008 mag) 40 MHz-en, egy kulcot 16 óraciklu (0.4 μ) alatt vizgált meg, ezért maximum 186 óra (7.7 nap) alatt találta meg a kulcot. A kulc-tezt egyzerűen az elő 3 megfejtett byte-ot ellenőrizte: ha mind a 3 alfanumeriku volt, megtaláltuk a kulcot. 10 legalábbi akkor, ha a ma imert é működő digitáli zámítái architektúrákat vezük figyelembe. A kvantumzámítógéppel ez termézeteen változhat. 11 mivel ugyanazt a titko kulcot több nyíltzöveg-blokk rejté orán i felhaználják, ezért a titkoítá termézeteen nem tökélete.

16 haználja, é a rejtéi é fejtéi algoritmu i lényegében ugyanaz (tehát a kulc imételt alkalmazáa a fejté orán mintegy megzünteti a kulc hatáát), ezért a kriptorendzert zimmetrikunak 12 nevezzük. Ennek előnye, hogy a zükége hardver illetve kódméret fele a nem zimmetriku megoldáénak. 3. A rejtéi/fejtéi műveletet több iterációban végzik el. Egy iteráció lépé bemenete egy zövegblokk é egy iteráció kulc, kimenete egy zövegblokk. Az egye iterációkhoz haznált kulcokat az eredeti titko kulcból állítják elő különféle keveréi műveletekkel. A legelő iteráció zöveg-bemenete a nyíltzöveg-blokk, a további iterációk bemenete az előző iteráció kimenete. A legutoló iteráció kimenete pedig a rejtettzöveg-blokk. A közbülő zövegblokkokat gyakran állapotnak (tate) nevezik. 4. Egy iteráció tartalma eltolá é/vagy keveré (P-doboz) é nemlineári függvény alkalmazáa (ami általában helyetteíté, S-doboz) a bemeneti zövegblokkra az iteráció kulctól függetlenül, majd az iteráció kulccal való rejté (általában XOR művelet). Az ilyen émájú kriptorendzert gyakran produkció rendzernek (product cipher) i nevezik. A fenti elvű kriptorendzereket a DES alapjául zolgáló IBM Lucifer tervezője, Hort Feitel német zármazáú amerikai kriptográfu után Feitel-titkoítónak, vagy Feitel-hálózatnak i nevezik. A Feitel-titkoítóra jellemző, é a blokko kriptorendzerektől elvárt az ún. lavinahatá:, tehát hogy a bemeneti blokk vagy a kulc-blokk egy bitjének megváltoztatáa 50% valózínűéggel változtaon meg minden bitet a kimeneti blokkban. Bár jelenleg (2012-ben) még ok helyen alkalmazzák a DES-t, illetve ennek 2 vagy 3 kulccal működő, 112 bitere növelt kulcú változatát, a TDES-t, a titko kulcú kriptorendzerek területén az AES nevű, 2000-ben bevezetett rendzeré a jövő, mivel flexibiliebb é hatékonyabb zoftver/hardver megvalóítát tez lehetővé. A hatékonyágára jellemző, hogy x86-ra 457 byte-on i leprogramozták, é 700 Mbit/ feldolgozái ebeéget értek el 2 GHz-en. Az AES működéét é egyéb rézleteit lád az I. Mellékletben. Minden alap-üzemmódban dolgozó blokko titkoító támadható a rejtettzöveg-blokkok ceréjén alapuló kivágá-beilleztée (cut-and-pate) támadáal. Ennek kivédéére az egye blokkok rejtééhez felhaználják a korábbi rejtettzöveg-blokkokat i a titkoító láncolt üzemmódjában. A zabványo ECB, CBC, OFB, CTR üzemmódok leíráát lád a II. Mellékletben. A véletlen kulc A titko kulcú kriptorendzerek alapkérdée a jó minőégű, tehát valóban véletlenzerű titko kulc kézítée. Hiába elegendően nagy a kulctér é hiába véletlenzerű a támadó zemzögéből az E K(X) leképezé, ha a kulctérben egye kulcok valózínűbbek máoknál, vagy egyeneen kizárhatók a támadó zámára. A titko kulc tehát egy véletlen bitorozat. Igazi véletlen orozathoz azonban cak valamilyen termézeti folyamat mérée révén lehet hozzájutni, mint például a radioaktív ugárzá, az ellenálláon keletkező termiku zaj, a kozmiku háttérugárzá, a gerjedő ozcillátor, a turbulen áramlá 12 a zakirodalomban gyakran zimmetrikunak neveznek minden titko kulcú kriptorendzert, é azimmetrikunak minden nyilváno kulcú rendzert.

17 tb. Ha gyakran é nagy mennyiégben van zükég új kulcokra, akkor az ilyen méréek költége túl nagy lehet (lád a zovjet titkozolgálat eetét a one-time paddel). Gyakran felhaználják a felhaználói interakciót (például a leütéek közti züneteket vagy az egérmozgát) é a különféle zámítátechnikai rendzerparaméterek (például a nyitott fájlok záma tb.) kombinációját i, bár ezek már kevébé véletlenzerűek. A leggyakrabban alkalmazott megoldá azonban a különféle véletlenzám-generátorok alkalmazáa. A generált orozat minőégének megítélééhez lényege, hogy a orozatról el tudjuk dönteni, mennyire véletlen. Erre a kriptográfiában gyakran alkalmazzák a Samuel W. Golomb-tól zármazó következő három kritériumot: 1. A orozatban az egyeek é nullák záma legyen közel egyenlő. 2. A homogén zakazok relatív gyakoriága exponenciálian cökkenjen a orozat hozával. Homogén zakaznak a cupa azono zimbólumból álló orozatot nevezzük, például a egy 4 hozú 1-e orozat, az pedig egy 3 hozú 0-á orozat. A kritérium azt írja elő, hogy az n hozú homogén zakazok záma az egéz álvéletlen bitorozatban körülbelül a fele legyen az n-1 hozú zakazok zámának. 3. A orozat autokorreláció-függvénye minden pontban közel legyen a nullához. Az autokorrelációfüggvényt az x pontban úgy képezzük, hogy a orozatot x pozícióval ciklikuan eltoljuk, majd az eredeti é eltolt orozat bitenkénti XOR függvényét képezzük. A XOR-olt orozat egy adott pozícióján pontoan akkor lez 1, ha az ezen a pozíción lévő bitek különböznek az eredeti é az eltolt orozatban. Az autokorreláció-függvény x-beli értéke a XOR-olt orozatban lévő 1-eek é 0-k zámának a különbége, oztva a orozat hozával. Ez a kritérium azt biztoítja, hogy az álvéletlen orozat egy rézletéből ne leheen következtetni a hiányzó rézekre. Ha ikerült egy titko kulcot minden réztvevőhöz eljuttatni, akkor azt cak korlátozott ideig lehet biztonágoan haználni. Szoftver é hardver hibák, víruok é egyéb támadáok vagy emberi korrupció mindenhol előfordul, ezért a titko kulcot le kell cerélni. A gyor kulc-cerélgeté nagyobb biztonágot, é ugyanakkor laabb működét eredményez. Az igazi titko kulcot nem lehet óránként fizikailag védett catornán (páncélautóval) eljuttatni a felekhez, vizont egy titko kulcból ok kulcot tud kézíteni minden réztvevő: a titko kulcot egy álvéletlen generátor magjaként (eed) alkalmazva a generátor kimenete kulcok gyakorlatilag végtelen orát adja. Álvéletlen generátorként haználható minden folyamé blokktitkoító i, utóbbiak az OFB üzemmódban (lád a II. Mellékletben). a titko kulcot lehet úgy i alkalmazni, hogy nem a valódi kommunikációra haználják, hanem cak arra, hogy az egyik fél által generált rövid életű, véletlen kulcot (eion key) átvigyék. Az ilyen módon haznált titko kulcot kulcrejtő kulcnak (key encrypting key, KEK) nevezik. 4. Modern folyam-elvű kriptorendzerek A folyam-titkoítók előnye a blokko titkoítókkal zemben a nagyobb működéi ebeég, alaconyabb ár é félvezető-felület, ugyanakkor a má működéi elv miatt mámilyen jellegű támadáokra érzékenyek. A folyam-titkoító lényegében egy álvéletlen generátor, melyet a titko kulccal, mint

18 maggal egyzer inicializálnak 13, utána pedig a kimeneti álvéletlen bitfolyamot úgy haználják fel, mint egy gyakorlatilag végtelen hozú one-time pad kulcot, tehát az adónál bitenként vagy byte-onként XORolják a nyílt zöveggel, a vevőnél pedig a kapott rejtett zöveggel. A blokkméret tehát itt 1 bit (vagy 1 byte), é a véletlenzám-generátornak van egy belő állapota (tate) i, amely a következő kimeneti bitet (byte-ot) é a következő állapotot i meghatározza. A folyamtitkoítókkal zemben támaztott 3 fő követelmény: 1. Nyílt zöveg típuú támadáal az álvéletlen bitfolyamot ne leheen vizafejteni a tate-re (vagy cak a kimerítő kereénél több művelettel). Ha a tate imert, akkor a támadó i tudja generálni az álvéletlen bitfolyamot. 2. A tate imeretében a titko kulcot ne leheen vizafejteni 3. A kimenetet ne leheen megkülönböztetni egy valódi véletlen orozattól (a Golombkritériumok zerint) Az 1. követelmény kielégítée é a tate méretezée zempontjából fonto az ún. Babbage-Golic támadá. A Babbage-Golic támadá A Babbage-Golic támadá a Hellman-féle általáno idő-tárhely ekvivalencia támadá 14 továbbfejleztett változata. A támadá alapfeltevée az, hogy egy adott tate után következő kimeneti bitfolyam a tate nem invertálható véletlenzerű függvénye. Legyen N a lehetége tate-ek záma. A támadá lépéei (dőlt betűvel a paraméterek): 1. a folyam-titkoító módzer imeretében előfeldolgozá: egy táblázatba feljegyzik M darab véletlenül válaztott tate-ből indított kimeneti bitfolyam elő b bitjét (b = log N). 2. nyílt zöveg típuú támadá, vagyi a rejtett é a nyílt zövegből meghatározzák az álvéletlen bitfolyam egy darabját, ez alapján próbálnak következtetni a tate-re. Legyen a megfigyelt bitfolyam hoza D+b-1, ekkor ugyani ez tartalmaz D darab b hozúágú réz-orozatot, melyek mindegyike egy máik tate-ből indult el. A töré ikere, ha ezen D tate közül valamelyiket ki 13 az inicializálához a titko kulcon kívül általában felhaználnak egy úgynevezett inicializáció vektort (IV) i. Ez a támadó zámára i imert lehet, gyakran egy véletlen érték, vagy például a rendzerparaméterek, rendzeridő függvénye. A célja az, hogy ugyanazzal a titko kulccal inicializálva ne kapjuk kétzer ugyanazt a tate-et. 14 Ezt az elvet alkalmazzák az üzenetpecétek elleni zivárványtáblá támadá orán i, lád kéőbb.

19 tudjuk találni. Ezért minden réz-orozatot megnézünk az előfeldolgozá orán kézített táblázatban. Kérdé, hogy M é D milyen értékei mellett találunk meg legalább 0.5 valózínűéggel egy orozatot a táblázatban? A zületénap-paradoxon zerint egy N elemű halmazból kivett A é B elemű rézhalmazoknak várhatóan lez közö eleme, ha AB N. N a lehetége tate-ek záma, tehát például 128 bite tate eetén N = 2 128, a rézhalmazok pedig legyenek a tate-ekhez tartozó b hozúágú bitorozatok. Várhatóan ikere a támadá, ha DM N. Jelölje T a próbálkozáok zámát, tehát a nyílt zöveg típuú támadá időzükégletét, é tegyük fel, hogy ugyanakkora energiát fordítunk az 1. é a 2. lépére i, vagyi T = M. Mivel a próbálkozáok záma megegyezik D-vel, ezért végül i azt kapjuk, hogy T 2 N. Tehát a fenti előfeldolgozá eetén például a 128 bite tate-tel rendelkező folyamtitkoító 2 64 lépében törhető. Ha ugyanennek a folyamtitkoítónak az inicializálá orán felhaznált titko kulca i 128 bite lenne, akkor a nyílt zöveg típuú támadá eetén a titko kulc telje kereéénél (ami lépé) lényegeen egyzerűbb a tate támadáa, tehát a tate mérete a titko kulchoz képet túl kici. Konklúzióképpen elmondható, hogy a folyamtitkoítók eetén a tate méretét legalább a titko kulc méretének kétzereére célzerű válaztani. Néhány elterjedt folyam-elvű kriptorendzer Az alábbiakban áttekintjük néhány zéle körben haznált folyamtitkoító jellemzőit. Az RC4 (1987) 1 byte-o blokkokkal dolgozik, tízzer gyorabb a DES-nél, az SSL egyik alapalgoritmua. A titko kulc a orozat egy permutációja, tehát K = 256!, ami egy 1680 bite titko kulcnak felel meg, a periódu nagyon hozú. Minden adatbyte-nál változik a zámokat tartalmazó kulc-tömb elemeinek a orrendje, majd kiválaztják belőle az aktuáli kulcbyte-ot. A kulcbyte-ot XOR-olják a nyíltzöveg byte-tal. Nem találtak érdemi törét hozzá. Nem publiku, de az RC4-gyel gyakorlatilag ekvivalen algoritmu hozzáférhető. A GSM rendzerek a bezélgetéek titkoítáára vizacatolt léptetőregizterekre (LFSR) alapozott folyamtitkoítókat alkalmaztak A5/1, kéőbb a túl könnyű (gyakorlatilag real time egy PC-n) törhetőég miatt továbbfejleztve A5/2 néven 15. A 128 bite titko kulc a SIM kártyán van tárolva, az ebből challenge-repone alapon generált 64 bite vizonykulcot az LFSR-ek inicializáláára haználják 16. Alább az A5/1 blokkvázlata a 19, 22 é 23 bite léptető regizterekkel. Ezekbe töltik indítákor a 64 bite titko kulcot. A kimeneti álvéletlen bitfolyam a 3 regizterből kilépő 3 bit XOR-függvénye. A regizterek középő bitjeinek (árgán árnyékolva) az órajelek kapuzáában van zerepe. 15 Ettől függetlenül még ma (2012-ben) i nagyon ok telefon alkalmazza a rendkívül gyenge A5/1-et. Az erőebb algoritmuok bevezetéét előorban politikai okok miatt gátolják, előorban az USA-ban. 16 Ez a fajta megoldá a key encrypting key (KEK) koncepciója.

20 A jövő ígérete folyamtitkoító algoritmuai az EU ECRYPT által ajánlott Rabbit é Grain. Rendkívül alacony hardver költég é energiafelhaználá, maga működéi ebeég, könnyű zoftver implementálhatóág é paraméterezhetőég, ugyanakkor megfelelő biztonág jellemzi őket. Ezek implementáció rézleteit lád az V. Mellékletben. 5. Nyilváno kulcú kriptorendzerek é alkalmazáaik Az internet térhódítáával zükégeé vált olyan módzerek kifejleztée, melyek nem igénylik titko kulcok védett leoztáát, mivel a kommunikációban réztvevők köre előre nem imert (például internete boltok, zolgáltatáok), vagy má ok miatt egyetlen egyzer em lehet védett catornát léteíteni köztük. A nyilváno kulcú rendzerek olyan módon kerülik meg a kulckezeléi problémát, hogy a kulc egy rézét olyan formában (úgynevezett egyirányú művelet, trap function alkalmazáával) hozzák nyilvánoágra, hogy abból a kulcra a jelenleg imert módzerekkel cak nagyon nagy zámítái teljeítmény felhaználáával lehet vizakövetkeztetni. Megmutatható, hogy bármilyen nyilváno kulcú kriptorendzerhez zükég van ilyen egyirányú művelet alkalmazáára. Többféle egyirányú műveletet haználnak, melyek hatáukban mind olyanok, mint Hamupipőke próbatétele az özekevert hamuval é lizttel: özekeverni nagyon könnyű, zétválaztani zinte lehetetlen. Néhány nevezete egyirányú művelet: A dizkrét logaritmu (DLP). Ha a, x, é p imert, akkor y = a x mod p nagyon gyoran zámítható, de a, y, é p imeretében x zámítáa nagy zámok eetén nagyon komplex, idő- é energiaigénye feladat. A Diffie-Hellman kulcmegoztái algoritmu é az Elgamal algoritmu alapja. Nagy prímzámok zorzatának faktorizáláa (PFP). Ha p é q nagy prímzámok, akkor n = pq zámítáa könnyen elvégezhető, de n-ből p é q meghatározáa nagyon komplex, idő- é energiaigénye feladat. Az RSA algoritmu alapja. Vége tetek felett definiált elliptiku görbék pontjainak zorzáa termézete zámmal (ECDLP), bővebben lád A kriptográfia jövője alfejezetben. Fonto megjegyezni, hogy az egyirányú műveletek inverzének zámítáa a matematika aktív kutatái területe, é elvileg bármikor zülethet olyan módzer, amely gyor invertálát tez lehetővé, miáltal az

21 erre épülő kriptográfiai algoritmuok értelmetlenné vagy legalábbi ebezhetővé válnak. A titko kulcú kriptorendzerek eetén okkal kevébé fenyeget ilyen vezély. A nyilváno kulcú kriptorendzerek máik hátránya a relatív laúáguk é nagy erőforrá-igényük. Ezen két probléma miatt a nyilváno kulcú rendzereket általában nem önmagukban, hanem titko kulcú rendzerekkel é üzenetpecétalgoritmuokkal kombinálva, különféle protokollokba ágyazottan alkalmazzák. Az ilyen kriptorendzert hibrid kriptorendzernek nevezik. A hibrid rendzerben a nyilváno kulcú kriptorendzer tipiku feladata az autentikáció é a véletlen vizonykulc megoztáa a réztvevők között. A ikere kulcmegoztá után a felek a kommunikáció érdemi rézét már egy titko kulcú kriptorendzer haználatával folytatják. Hibrid kriptorendzer a HTTPS mögött álló SSL (Secure Socket Layer) protokoll, melyben a felek a eion elején állapodnak meg abban, hogy melyik nyilváno é titko kulcú kriptorendzereket, milyen paraméterekkel fogják haználni a továbbiakban. Szintén TDES-RSA alapú hibrid rendzer a mobilbankzolgáltatáok alapja. A Diffie-Hellman kulcmegoztái protokoll Az elő nyilváno catornán működő nyilváno kulcú kulcmegoztái protokoll, a Diffie-Hellman protokoll 1976-ból zármazik. A két kommunikáló fél célja a kéőbbi kommunikáció orán haználandó titko vizonykulc biztonágo megoztáa. A protokoll lépéei: 1. Alice é Bob nyilvánoan megállapodnak egy nagy (több ezer bite) p prímzámban é egy ki g zámban, amely a p alapú vége tet elemeiből álló cikliku coport generátora, tehát x GF[p] re k: g k = x mod p 2. Alice válazt egy véletlen a < p rézkulcot, é elküldi Bobnak a k a = g a mod p zámot. Haonlóképpen Bob i válazt egy véletlen b < p rézkulcot, é elküldi Alice-nak a k b = g b mod p zámot a nyilváno catornán. A támadónak az a é b meghatározáához meg kell oldania a dizkrét logaritmu problémát. 3. Mindkét fél kizámítja a K = k b a mod p = k a b mod p = g ab mod p zámot. Ezt a továbbiakban egy titko kulcú rendzer kulcaként haználják. A Diffie-Helmann protokoll ki módoítáal alkalma üzenet-titkoítára i. Ez a megoldá a feltalálója után ElGamal kriptorendzer 17 néven vált imertté (1984). Az RSA kriptorendzer Az RSA a legelterjedtebben haznált nyilváno kulcú, azimmetriku kriptorendzer. Az azimmetriku jelleg azt jelenti, hogy Alice é Bob tevékenyége é az általuk haznált kulc i különbözik egy üzenet rejtéekor, illetve fejtéekor. A támadó zámára rendelkezére álló kulc-rézből, az ún. nyilváno kulcból a rejtett zöveg megfejtééhez zükége kulc-réz, az ún. privát kulc cak a PFP probléma megoldáával lehetége. A nyilváno kulc birtokában üzenetet rejteni bárki tud, fejteni azonban cak a publiku kulchoz tartozó privát kulccal lehet, melyet a címzett oha nem tez közzé. Az RSA rézlete 17 Az ElGamal pedig a DSA amerikai digitáli aláírá-zabvány alapja.

22 leíráa megtalálható a IV. Mellékletben, egy demo alkalmazá pedig a lapon. Az RSA már 1977 óta haználatban van, ezért zámo támadát dolgoztak ki ellene. Biztonágoan alkalmazni cak az ajánláok zigorú betartáával, é kellőképpen nagy kulcmérettel lehet. Az imert támadáok: alapvető aritmetikai alkalmazái hiba kihaználáa (n vagy x túl kici) egyéb rozul válaztott paraméterekből adódó algoritmiku gyengeégek kihaználáa válaztott rejtett zöveg típuú támadá (1998): megfigyelt Y alapján kontruált Y é az ehhez tartozó X alapján X. A címzettet (illetve annak zámítógépétí) egy RSA-t haználó protokoll hibáját kihaználva vették rá arra, hogy a kontruált Y -t dekódolja é az eredményt vizaküldje. A kriptográfiában az ilyen rejtett, előre tervezett, kikényzerített műveletet oracle ervice-nek hívják. időzítée támadá: a fejtéi művelet időzükéglete özefügg a privát kulccal, é a fejté időzükégletét egy protokoll gyengeégét kihaználva meg lehetett határozni. Ezáltal a támadó (az üzenet küldője) jelentően le tudta zűkíteni a lehetége privát kulcok körét. Beékelődée támadá nyilváno kulcú kriptorendzerek ellen Nemcak az RSA, hanem minden nyilváno kulcú kriptorendzer alapproblémája, hogy éppen mivel a felek ohaem találkoznak, ezért nehéz megbizonyoodniuk egymá kilétéről. A beékelődée (man in the middle) támadá jellemző lépéei az RSA eetén, ha B kíván titko üzenetet küldeni A-nak, é a támadónak (E-nek) módjában áll manipulálni az üzeneteket: 1. B elkéri A-tól A nyilváno kulcát 2. E elfogja ezt a kérét, elkéri A nyilváno kulcát, de nem ezt, hanem a aját nyilváno kulcát küldi viza B-nek 3. Ezután E minden B által írt üzenetet megfejt a aját titko kulcával, majd újra elrejti A nyilváno kulcával é elküldi A-nak. E-nek azon túl, hogy minden üzenetet el tud olvani, módja van az üzenetek átíráára, illetve B nevében írt hami üzenet kontruáláára i. A é B mindebből nem vez ézre emmit, őt éppen a ikereen megfejtett üzenetek győzik meg őket arról, hogy a kommunikáció titokban folyt le. Ez a támadá cak akkor védhető ki, ha A é B valamilyen külő egítéggel meg tud győződni egymá kilétéről, úgy ahogy a zemélyi igazolvány i igazolja az imeretlen tulajdono bizonyo adatait. Ilyen igazolát a kriptográfiában a külő hatóág vagy cég által digitálian aláírt digitáli tanúítványok (certificate, lád alább) tudnak nyújtani. A digitáli aláírá az RSA egítégével Az RSA, é má nyilváno kulcú kriptorendzerek i, haználhatók az üzenet-titkoítáo algoritmu megfordítáával i. Ekkor A, a privát kulc birtokoa a privát kulc haználatával előzör rejti az üzenetet, melyet aztán közzétez, é amelyet a nyilváno kulc haználatával bárki meg tud fejteni. Ennek gyakorlati értelme akkor van, ha nem az üzenet titkoágát, hanem annak letagadhatatlanágát é érthetetlenégét (Non-repudiation and integrity) zeretnénk a nyilváno kulcú rendzerrel biztoítani:

23 ha a rejtett üzenetet valaki megváltoztatja, utána már nem lez A nyilváno kulcával (értelmeen) megfejthető, tehát ha a fejté ikere, az üzenet nem érült mivel a nyilváno é a privát kulc egyedi párt alkot, ezért ha a fejté ikere, akkor azt biztoan A rejtette el vagy legalábbi az ő privát kulcát haználták a rejtéhez Hatékonyági megfontoláokból nem az egéz üzenetet, hanem cak egy abból kézített ki méretű ún. üzenetpecétet (hah) rejtenek el egy dokumentum digitáli aláíráa orán. A hah algoritmu biztoítja, hogy ha a dokumentum változik, akkor a belőle kézített hah érték (a pecét) i változzon. A digitáli aláírá gyakorlati alkalmazáának lépéei: 1. A elkézíti (vagy máoktól elfogadja) az aláírandó dokumentumot, válazt egy hah algoritmut, é ezzel kizámítja a dokumentum hah értékét 2. a hah értéket é az algoritmu nevét, paramétereit a privát kulcával rejti egy állományba, amit digitáli aláírának hívnak 3. a dokumentumot é az aláírát publikálja a aját nyilváno kulcával együtt 4. ha valaki meg akar győződni a dokumentum hiteléről, akkor a nyilváno kulccal előzör i megfejti a dokumentumhoz tartozó aláírát, majd 5. az aláírában található algoritmual é paraméterekkel kizámítja a dokumentum hah értékét 6. ha a kizámított érték egyezik az aláírában lévő hah értékkel, akkor a dokumentum nem érült (eredeti) é azt A privát kulcával írták alá. Magyarorzágon óta a digitáli aláírá egyenértékű a papír-alapú aláíráal (2001. évi XXXV. törvény). Digitáli tanúítványok é tanúítái rendzerek A digitáli aláírá technológiáját fel lehet haználni a beékelődée támadá kivédéére. Ehhez egy olyan dokumentumot az ún. digitáli tanúítványt zerkeztenek, mely A zemélyazonoágát é A nyilváno kulcát együtt tartalmazza, majd ezt egy olyan zervezet, az ún. certificate authority (CA) látja el digitáli aláíráal a aját privát kulca haználatával. A CA nyilváno kulca mindenki zámára elérhető kell, hogy legyen. Ezután, ha bárki meg akar győződni arról, hogy A-nak tényleg az-e a nyilváno kulca, ami a tanúítványon áll, akkor a CA nyilváno kulcával megfejti az aláírát, é ellenőrzi a dokumentum értetlenégét. A digitáli tanúítvány kötelező rézei az X509 zabvány zerint: a tanúítvány orzáma é verziója a kibocátó CA neve é egyéb adatai a tanúítvány időbeli érvényeége (a lejárt tanúítvány érvénytelen) a tulajdono neve é egyéb adatai a tulajdono nyilváno kulc algoritmua é a nyilváno kulc értéke az aláírához haznált algoritmu a fentiekhez, mint dokumentumhoz a CA által kézített digitáli aláírá

24 A tanúítvány haználatával elkerülhető a beékelődée támadá, mert a támadó hiába írja át a tanúítvány dokumentum rézében a nyilváno kulcot, a CA privát kulca nélkül az aláírát nem tudja átírni, ezért B ézrevezi a módoítát. Termézeteen felmerül a kérdé, hogy egy interneten kapott tanúítvány ellenőrzéekor hogyan zerezzük be a CA nyilváno kulcát. A beékelődée támadá elkerüléére ezt a CA aját tanúítványából kell kiolvanunk, melyet egy CA feletti hatóág vagy zervezet írt alá, é így tovább. Az egymára hivatkozó tanúítványok orozatát hierarchiku tanúítái láncnak (chain of trut) nevezzük. A lánc végén egy olyan zervezetnek kell állnia, melynek nyilváno kulca minden réztvevő (web-böngéző program, operáció rendzer) zámára eleve imert, beégetett. Az ilyen nyilváno kulc neve bizalmi horgony (trut anchor). A tanúítványokkal biztoított kommunikáció, például egy http protokollal elérhető weblap böngézée előtt a magát igazolni kívánó fél (jelen eetben a webzerver) a telje, horgonyig vezető tanúítái lánc öze tanúítványát elküldheti a máik félnek. Ha a láncot nem ikerül egy horgonyig követni, akkor a felhaználónak kell megítélnie, hogy elfogadja-e a tanúítványt, tehát belép-e a weblapra, vagy telepíti-e a bizonytalan eredetű zoftvert. Alább egy böngéző által adott ilyen témájú figyelmezteté. A tanúítványokkal i viza lehet élni. Ahogy a zemélyi igazolványt, vagy a bankkártyát, a privát kulcot i el lehet lopni, illetve a hatóág i bevonhatja például az eljárá alá vont cég tanúítványát. Ezért a bevont vagy a tulajdono kéréére érvénytelenített tanúítványokról erre zakoodott zolgáltatók bevonái litákat (certificate revocation lit, CRL) vezetnek, melyeket a tanúítvány véglege elfogadáa előtt célzerű ellenőrizni Például a Mozilla Firefox böngézőben a CRL-zerverek litája telepítékor üre, a felhaználónak kell konfigurálni.

25 A fenti tanúítái rendzerhez zükég van egy CA zervezetre, é különöen a magaabb biztonági fokozatú tanúítványok eetén egyzeri é éve költégek merülnek fel. Ez nem okoz problémát az üzleti é hivatalo világban, azonban a civil világnak ninc erre zükége. A hierarchiku tanúítái rendzer helyett elterjedt a hálózato tanúítá vagy bizalmi háló (web of trut), amely a zemélye imeretégre é bizalomra épül. Ilyen rendzerben működik a PGP (Pretty Good Privacy). Ki-ki elkézíti a aját privát-nyilváno kulcpárját, aztán az imerőeivel aláírják egymá tanúítványait. Egy tanúítványt többen i aláírhatnak, é minél többen írják alá, annál nagyobb a hitele egy új imerő zámára. A tanúítványokat nyilváno zerverekre töltik fel, mint amilyen a pgp.mit.edu. A tanúítványok tároláához, kezelééhez, terjeztééhez, ellenőrzééhez haznált hardver lé zoftver elemeket, beállítáokat, házirendeket é eljáráokat özefoglaló néven nyilváno kulcú infratruktúrának (public key infratructure, PKI) nevezzük. A jelenleg biztonágonak tekinthető PKI megoldá a kulctároló/titkoító célhardver alkalmazáa, melyből a privát kulc ohaem lép ki. Már egy olcó, USB-key formájú ezköz funkcionalitáa tartalmazza a kulcgenerálát (fizikai véletlenzámgenerálá) é kulctárolát, X509 tanúítványok tároláát, é az elterjedt titkoítái é aláírái algoritmuok végrehajtáát. 6. Üzenetpecétek Üzenetpecét (hah) algoritmuokon alapul a kriptográfiai adatintegritá-védelem. A hah függvény bemenete egy gyakorlatilag tetzőlegeen nagy méretű adatblokk, a kimenete pedig egy ki méretű, tipikuan néhány záz bite hah érték. A zámítá gyoraága nagyon fonto (lád az alábbi táblázatot). Módzer Relatív ebeég Értékelé Hah függvény (üzenetpecét) 3 Leggyorabb Folyamtitkoító 2 Gyorabb Blokk-titkoító 1 Gyor Nyílt kulcú titkoító 0.02 Nagyon laú A hah függvényektől elvárt tulajdonágok: Bármekkora x bemenetre alkalmazható legyen a függvény. A pecét kici, fix méretű legyen. A pecét zámoláa hatékonyan é könnyen megvalóítható legyen. Lavinahatá: a bemenet egy bitjének megváltoztatáa 50% valózínűéggel változtaon meg minden bitet a pecétben. Álljon ellen a támadáoknak: o egy adott pecétből egy ilyen pecétet adó üzenetet nehéz meghatározni (az erre irányuló kíérlet a preimage támadá) o egy adott üzenethez nehéz egy ugyanolyan pecétet adó máik üzenetet találni (econd preimage támadá)

26 o nehéz két, ugyanolyan pecétet adó üzenetet találni (ütközé, colliion támadá) A jelenleg zéle körben haznált algoritmuok az MD5, az SHA-1 é az SHA-2. Az MD5 gyakorlatilag törtnek tekinthető, alkalmazáa nem javaolt. Az SHA-1 algoritmu rézlete leíráát lád a III. Mellékletben. Mivel az SHA-1-ben 2005-ben ebezhetőégeket találtak, ezért SHA-2 néven továbbfejleztették. Ennek jellemzői: 224, 256, 384 vagy 512 bite hah méret a 256 bite változatban 64 iteráció a bemenet 512 bite blokkjain, melyeket 8 db. 32 bite tate regizterben tárolnak eddig nem találtak rá érdemi törét. A fenti ábrán az SHA-2 zerkezete látható. A kék hátterű dobozok AND, XOR, OR, rotálá é hiftelé műveleteket tartalmaznak, W t a bemenetből az adott iterációra kiterjeztett darab, K t az iterációhoz tartozó kontan. A zületénap-támadá Minden üzenetpecétre alapuló módzer támadható az ún. zületénap-támadáal, ami lényegében egy ütközée támadá. A digitáli aláírá elleni támadá alapgondolata az, hogy bár egy konkrét üzenetpecétet adó dokumentumot nagyon nehéz találni, ennél a zületénap-paradoxonnak közönhetően lényegeen könnyebb két azono üzenetpecétet adó dokumentumot találni. A zületénap-paradoxon matematikai hátterét lád a IV. Mellékletben. Tehát a támadó az aláírandó dokumentumnak, például egy zerződének eleve két példányát kézíti el: az egyik tartalma a zámára kedvezőbb. Ezután mindkét dokumentum-változaton lényegtelen változtatáokat hajt végre, mint

27 például a zóközök bezúráa üre orokba tb., é közben mindig kizámolja a két változat hah értékét. Ha a két hah egyezik, aláíratja a dokumentumot, majd leceréli a zámára kedvezőbb változatra. A hah egyezée (az ütközé) biztoítja az aláíráok egyezéét a két változatra. A zületénap-támadá kivédhető az elegendően nagy üzenetpecét-mérettel (ami 2012-ben 256 bit vagy annál több). De a fenti példában van egy egyzerűbb megoldá i: nyomjunk még egy zóközt aláírá előtt a dokumentum egy üre orába A zivárványtáblá támadá A zivárványtáblá támadá az általáno idő-tárhely ekvivalencia támadá hah függvényekre, különöen jelzó-hah vizafejtére kifejleztett változata. A támadá alapfeltevée, hogy a hah érték a jelzótring nem invertálható random függvénye. A támadá lépéei: 1. előfeldolgozá, a zivárványtáblák feltöltée. A támadó feltételez egy jelzóhozat é egy karakterkézletet, melyet a feltörni kívánt hah-hoz tartozó jelzó haznált. Ezután kézít egy olyan ún. redukció függvényt, mely egy hah értékből a megfelelő hozúágú é karakterkézletű tringet állít elő. Ezután egy véletlen jelzóból indulva kizámítja az ehhez tartozó hah értéket, majd a hah-re alkalmazza a redukció függvényt, ennek eredményére imét a hah értéket zámít é így tovább. A lánc hoza a tábla paramétere. A zivárványtábla egy rekordjába cak a lánc elő é utoló elemét menti el. 2. a zivárványtáblák kereée. A támadó mot betölti a táblát a memóriába, é a feltörni kívánt hah értékre alkalmazza a redukció függvényt, majd megnézi, zerepel-e az így kapott tring a tábla valamelyik rekordjában, mint utoló érték. Ha nem, alkalmazza a tringre a hah függvényt, majd a redukció függvényt, újra kere a táblában é így tovább. Ha megtalálja tringet, akkor az illető rekord feljegyzett elő elemétől indulva megtalálható az a jelzó, amely a kérdée hah értéket adja.

28 Mivel a ikere támadához zükége táblák mérete a jelzó hozával é a karakterkézlet zámoágával gyor ütemben nő, ezért a zivárványtáblá támadá ellen hatékonyan lehet védekezni a jelzó méretének megnöveléével. A jelzóhoz a hah zámítáa előtt hozzáfűznek egy felhaználópecifiku tringet, miáltal az előre elkézített táblák haználhatatlanná válnak. A műveletet ózának (alting) nevezik. 7. A kriptográfia jövője A tömege alkalmazáú kriptográfia gerincét jelenleg (2012-ben) az alábbi elemek alkotják: titko kulcú kommunikáció: AES (128 bite) kulcmegoztá é autentikáció: RSA dokumentum-integritá: SHA-2 Ezen algoritmuok, módzerek rézlete leíráa megtalálható a Mellékletekben. A kriptográfia jelentőége azonban az exponenciáli ütemben gyűlő információtömeggel egyre nő, é a jövőben új megoldáok elterjedée várható. Ebben a fejezetben néhány ilyen ígérete módzert mutatunk be. Az elliptiku görbékre alapuló kriptográfia (ECC) Mint említettük, a nyílt kulcú kriptorendzerek biztonága erően függ egyrézt az egyirányú függvény invertáláára irányuló gyor matematikai módzerek fejlődéétől, márézt a támadó zámára rendelkezére álló, egyre nagyobb zámítátechnikai kapacitától. Ennek gyakorlati következménye, hogy a például a leginkább elterjedt kulcmegoztái é autentikáció protokoll, az RSA évről évre egyre nagyobb kulcmérettel üzemeltethető cak, ha egy adott biztonági zintet meg kívánunk tartani. Az alábbi táblázat az ECRYPT 2010-e kulcméret-ajánláait tartalmazza. Blokko kriptorendzer kulcmérete Biztonági zint RSA kulcméret 72 Rövid idő alatt, egyzerű módzerekkel törhető elméletileg megfelelő ECC kulcméret

29 96 Az ajánlható abzolút minimum Az ajánlható megfelelő minimum Megfelelő, kivéve a zigorúan titko dokumentumokat 256 A zigorúan titko dokumentumok zámára i megfelelő Látható, hogy az RSA zámára ajánlott megfelelő minimum a több ezer bite kulcméret. Ennek támogatáa termézeteen nem jelent gondot egy aztali zámítógépnek, azonban egyre inkább terjednek azok a mart card (chipkártya) alapú alkalmazáok, melyek rendkívül korlátozott energiafelhaználáal é memóriával kénytelenek működni. Ezeken a növekvő kulcméret támogatáa egyre nagyobb nehézégekbe ütközik. Az RSA algoritmiku ebezhetőégei mellett ezért i lényege a kiebb kulccal dolgozó, gyengébb hardvert igénylő alternatívák kutatáa. Mint a fenti táblázatból látzik, az ECC ugyanazt a biztonági zintet lényegeen kiebb kulcmérettel tudja garantálni, ezért a jövőben valózínűleg le fogja váltani az RSA-t. Az elliptiku görbe azon pontok halmaza, melyek kielégítik az y 2 = x 3 + ax + b egyenletet, ahol a többzörö gyökök kizáráa érdekében feltezük, hogy 4a b 0. Az alábbi ábra két elliptiku görbét mutat. Az ellitiku görbe két pontjának özegét úgy definiáljuk, hogy megkereük azt a pontot a görbén, ahol a két pontot özekötő egyene metzi a görbét, majd ezt tükrözzük az x tengelyre. A tükörkép i a görbe pontja (1), hizen a görbe zimmetriku az x tengelyre. Termézeteen igaz, hogy P + Q = Q + P, tehát a művelet kommutatív (2). Bebizonyítható, hogy az özeadái művelet azociatív, tehát P + (Q + R) = (P + Q) + R fennáll (3). Jelöljük 0-val a görbe azon pontját, melyre y =. Bármely ponthoz ezt a 0-t adva, az özeadái zabály zerint P-be jutunk viza, tehát P +0 = 0 + P fennáll (4). Továbbá, a P + -P = 0 feltételt kielégítő P pont létezik: ez a P x tengelyre vett tükörképe, P additív inverze (5), mivel a két pontot özekötő egyene párhuzamo az y tengellyel. A fenti (1)-(5) öt tulajdonág megléte biztoítja, hogy a görbe pontjai az özeadá művelettel Abel-coportot alkotnak. Ha pedig a P pontot aját magával adjuk öze, akkor az egyene a P pontban húzott érintő. Egy pont többzöröeit tehát könnyen kizámíthatjuk imételt özeadáokkal, így értelmezhetjük kp-t, ahol k termézete zám.

30 A kriptográfiai alkalmazához az ellitpiku görbét dizkretizáljuk olyan módon, hogy a pontok koordinátái a való zámok helyett egy p prímzám alapú F p vége tet elemei (a p-nél kiebb termézete zámok) legyenek, az aritmetikai zámítáok megfelelő (modulo p) módoítáával. A vége tet feletti E görbét E(F p)-vel jelöljük. E(F p) pontjainak zámára imerete Hae eredménye (1933): p q card (E(F p )) p q Az E(F p) pontjai által alkotottt coport cikliku. Egy P pontot generátornak nevezünk, ha annak többzöröei (P, 2P, 3P, ) a görbe öze pontját előállítják. Az elliptiku görbe feletti dizkrét logaritmu problémát ekkor (ECDLP) úgy definiálhatjuk, mint a k zorzótényező meghatározáát a P é a Q = kp pontokból, egy adott dizkretizált E(F p) görbére. Ha p nagy, legalább 200 bite prímzám, akkor a feladat a dizkrét logaritmuhoz haonlóan nagyon komplex, idő- é energiaigénye. A Diffie-Hellman kulcmegoztái algoritmut könnyű úgy módoítani, hogy az ECDLP-t haználja: 1. A felek nyilvánoan megegyeznek egy E(F p) dizkretizált görbében, é a görbe egy P pontjában (ezekre például a NIST ajánláokat tez közzé). 2. Alice válazt egy véletlen k a rézkulcot (1 < k a < p-1), é elküldi Bobnak a k a P pont koordinátáit. Haonlóképpen Bob i válazt egy véletlen k b rézkulcot (1 < k b < p-1), é elküldi Alice-nak a k b P pont koordinátáit. 3. Mindketten kizámítják a k b k a P = k a k b P pont koordinátáit. A titko viznykulc ezen pont x koordinátája lez. Például a p = 61 feletti y 2 = x 3 + 2x + 4 görbe kizemelt pontja legyen a P = (7, 19). Ha k a = 14, akkor az Alice által küldött pont a (47, 22), a Bob által küldött pont pedig k b = 50 eetén a (8, 31). A közöen kizámított k b k a P = k a k b P pont a (23, 54), tehát a 23 lez a titko vizonykulc. Kvantum-kriptográfia A kvantum-kriptográfia kifejezét általában olyan módzerre értik, mellyel a catornát a kulcmegoztá idejére kvantumfizikai törvényeket kihaználva biztoítják, ezáltal elérik, hogy ne kelljen nyilváno kulcú kulcmegoztát alkalmazni (Quantum Key Ditribution Network, QKDN). A makrozkopiku világban, ha egy folyamatot elindítunk - például leejtünk egy követ -, akkor a klaziku fizika törvényei egítégével kizámíthatjuk, hogy melyik időpillanatban mi történik (milyen gyoran zuhan a kő, hol tart éppen), é ami nagyon fonto: a zuhanó kő helyét anélkül megállapíthatjuk, hogy megzavarnánk az eében. Mi történik az atomok zintjén? Képzeljünk el egy rézeckét, amiről tudjuk, hogy ézak-dél irányban rezeg. Ha meg akarjuk mérni, hogy a rézecke kelet-nyugati vagy ézak-dél irányban rezeg-e, akkor a méré eredménye az, hogy ézak-dél irányban. Mi van azonban, ha azt mérjük meg, hogy ézakkeletdélnyugat, vagy ézaknyugat-délkelet irányban rezeg-e? Azt várnánk, hogy a méré eredménye az, hogy egyik irányban em. Valójában, ha egymá utáni, kezdetben ézak-dél irányban rezgő rézeckéken

31 végeznénk el ezt a mérét, akkor az eetek felében azt kapjuk, hogy ézakkelet-délnyugat, mákor meg, hogy a máik irányban, méghozzá teljeen véletlenzerűen. Sőt, a méré után a rézecke valóban a mért irányban fog tovább rezegni! A kvantummechanika kimondja, hogy nem lehet megmérni egy fizikai mennyiéget anélkül, hogy hatáal ne lennénk a mérendő mennyiégre. A makrozkopiku mérénél i tapaztalunk haonló jelenéget (például áramerőég méréekor a mérőműzer beleavatkozik az áram folyáába), ám ez azért van, mert a műzereink nem ideáliak. A kvantummechanika zerint vizont, még akkor i beleavatkoznánk a fenti rézecke rezgéébe, ha ideáli műzerünk lenne: a rézecke ézrevezi, hogy őt mot mérik, ezért gyoran beállítja a rezgéét egyik, vagy a máik irányba. A kvantumkriptográfia ezt a furca vielkedét felhaználva elméletileg i feltörhetetlen titkoítái módzert ad a kezünkbe ben Charle Bennett é Gille Braard kidolgozták a BB84 protokollt, amely a kvantummechanikán alapulva megoldát nyújt a fenti problémára, vagyi hogy hogyan ceréljen egymá között két zemély, Alice é Bob titko kulcot anélkül, hogy az illetéktelen Eve kezébe jutna. A módzer mikrozkopiku rézeckéket haznál, a gyakorlatban a fotonok a legkönnyebben alkalmazhatóak. Képzeljünk el egy 3 dimenzió, derékzögű koordináta rendzert. A fotonok a Z tengely mentén haladnak, ám van egy, a haladá irányára merőlege rezgéük az XY íkban, amit polarizáltágnak hívnak. A hagyományo izzó mindenféle polarizáltágú fotont bocát ki magából. Polárzűrő egítégével azonban ki tudjuk válaztani, például az Y irányban polarizált fotonokat, hogy cak azokat küldjük tovább. Alice é Bob két fajta zűrőkézlettel rendelkezik: Az egyik a rektilineári, a máik a diagonáli. A rektilineári kézlet egy X é Y irányú zűrőből áll: é. A diagonáli kézlet zűrői ehhez képet 45 fokkal el vannak forgatva: é. A rektilineári zűrőkézlet jele +, míg a diagonálié. A binári 1- e a következőképpen polarizált fotonoknak felel meg: vagy. A 0 pedig: vagy. Alice véletlenzerűen küldi az 1-eeket é 0-kat jelképező fotonokat úgy, hogy a zűrőkézleteit i véletlenzerűen váltogatja. A máik oldalon Bob fogadja Alice fotonjait, é megpróbálja detektálni azok polarizáltágát: ő i véletlenzerűen haználja a zűrőkézletet. Akkor állapítja meg helyeen az érkező fotonok polarizáltágát, ha az adott fotont ugyanazzal a zűrőkézlettel méri meg, mint amit Alice haznált arra a fotonra. Ha rozat válazt, akkor ½ a valózínűége annak, hogy ugyanazt a bitet kapja, mint amit Alice küldött. Bob gondoan feljegyzi, hogy mikor milyen zűrőt alkalmazott, é milyen biteket kapott. Miután Alice elküldte a biteket, egy nyilváno catornán (amit bárki lehallgathat) közli Bobbal, hogy mikor milyen zűrőt haznált. Bob megnézi a feljegyzéeit, é ekkor már tudja, hogy azokat a biteket detektálta helyeen, ahol ő i azt a zűrőt haználta, amit Alice. A többi bitet eldobja. Ekkor Bob közli Alice-al zintén egy nyilváno catornán, hogy mely orzámú biteket találta el. Ennél a pontnál Alice tudja, hogy Bob mely biteket tartotta meg, é ezt a bitorozatot haználják a titko kulcként (lád az alábbi ábrát).

32 Nézzük meg, mi történik, ha Eve beiktat egy aját zűrőkézlet Alice é Bob közé. Ő i ugyanúgy tudja cak detektálni Alice fotonjait, ahogy Bob. Az eetek egy rézében ő i roz zűrőt haznál. Vizont, hogy ne kelten gyanút, a fotonokat továbbküldi Bob felé. Azonban, ha nem megfelelő zűrőt alkalmaz, például Alice -t küld, ami 0, é Eve a zűrőt haználja, akkor véletlenzerűen -t vagy -t mér, azaz 1-et vagy 0-t. Sajno nem tudja az eredeti, detektálá előtti fotont továbbküldeni, hanem a téveen detektáltat továbbítja Bobnak 19. Tehát a támadó az eetek ¼-ében elrontja az elküldött bitet. Ekkor, ha Bob ugyanazt a zűrőt haználja, mint amit Alice, akkor nem jól állapítja meg a foton polarizáltágát, vagyi a küldött bit értékét, hizen Eve cavart egyet a fotonon. Miután az adá végén Alice é Bob a nyilváno catornán egyeztetik a haznált zűrőket, é a Bob által elvileg jól detektált bitek orzámát, a kapott kulc egy rézét elküldik egymának zintén a nyílt catornán. Ha azt látják, hogy ez a ki rézlet nem egyezik, akkor tudják, hogy Eve hallgatózott (é ezzel elrontotta a kulcot). Ekkor átkapcolnak egy máik catornára. Ha az özehaonlítá után azt látják hogy nem volt hallgatózá, akkor a kulc maradék rézét fogják alkalmazni. Ebből adódik a módzer hátránya i: Ha nagy távolágra akarunk kulcot küldeni, akkor nem alkalmazhatunk jelerőítőket, hizen az olyan, mint mikor Eve hallgatózik. Az egye eeteket az alábbi táblázat foglalja öze. Alice véletlen bitorozata Alice véletlen zűrői Az Alice által küldött polarizációk Eve véletlen zűrői 19 tehát a fotont nem lehet máolni ( no cloning theorem )

33 Eve által mért é továbbküldott polarizációk Bob véletlen zűrői A Bob által mért polarizációk A zűrők nyilváno egyeztetée A megoztott titko kulc Hibák a kulcban Ha a felek n bitet egyeztetnek, akkor a hallgatózá felfedezéének a valózínűége P = 1 ( 3 4 )n, tetzőlegeen közelíthető 1-hez. Arra az eetre, ha a felek a felfedezett hallgatózá ellenére ezt a catornát haználják tovább, kidolgoztak olyan protokollokat, mellyel bit-blokkonként paritát zámolva nyilváno catornán tetzőlegeen ki mértékig cökkenthetik a két oldal titko kulca közti különbéget (information reconciliation). A QKDN elleni lehetége támadáok: Hallgatózá (ézrevehető, lád fent) Beékelődé. A megbízható, tanúítvány alapú autentikációt nem pótolja a kvantumkriptográfia em. Fotonhaítá. Ha a fotonforrá nem ideáli, cak átlagoan 1 fotont ad ki, időnként kettőt i, akkor a dupla foton egyik felét a támadó kvantum-memóriában tárolhatja. Hacking a véletlenzám-generátor é a protokoll hibái ellen DoS: elvágják a biztonágo optikai kábelt Számo helyen, több éve tabilan működnek QKDN rendzerek tól Auztriában Bécben é Sankt Pöltenben már ikerült létrehozni egy hat helyzínt özekötő hálózatot, 200 kilométernyi optikai kábellel é 69 km fizikai átmérővel, ami ezt a protokollt haználja. A zükége hardver azonban jelenleg (2012-ben) még rendkívül drága 20. Amennyiben ez a módzer bárki zámára elérhető lez, úgy biztoak lehetünk abban, hogy a két végpont között enki nem tudja majd lehallgatni a kommunikációt. 20 kvantumkritográfiai ezközökkel foglalkozik például a MagiQ é id Quantique:

34 Irodalom [1] Simon Singh: Kódkönyv. Park, [2] Virraztó Tamá: Titkoítá é adatrejté. Netacademia, [3] Richard B. Well: Applied Coding and Information Theory for Engineer, Prentice Hall, 1999 [4] R.E. Smith: Internet ecurity. Addion-Weley, [5] Andrew S. Tannenbaum: Számítógép-hálózatok, Panem, 2004

35 I.MELLÉKLET: AZ AES KRIPTOGRÁFIAI ALGORITMUS Bevezeté Korábban a DES (Data Encryption Standard) egy zabványo, 56 bite blokk kódoló algoritmu volt, amelyet az IBM-nél fejleztettek ki. Az algoritmut é változatait évtizedeken át alkalmazták, ám zámo kritika érte a ki kulcméret miatt, valamint okan bizalmatlanok i voltak vele zemben. Az amerikai kormányzati zervek nem zerették volna, ha olyan titkoítái módzer jut a lakoág é így a bűnözők kezébe, amelyet a hatóágok nem képeek megfejteni. Ám nyilván a civil zférának zükége volt egy biztonágo kódoló eljárára, előorban az üzleti életben. A kormányzat úgy döntött, hogy a DES 56 bite kulcokat haználhat, ugyani az akkori vélekedé zerint a civilek, bűnözők nem rendelkeztek olyan zámítái kapacitáal, amellyel egy ilyen kulccal kódolt üzenetet meg lehetett fejteni, vizont a hatóágok igen. Ez termézeteen az özeeküvé-elmélet gyártók zámára remek táptalajt adott. Továbbá a DES több -dobozt i alkalmazott, amelyeket az IBM zerint véletlenzerűen generáltak. Sokan feltételezték, hogy valójában valamilyen hátó ajtó van elrejtve ezekben az -dobozokban, így aki megfelelően haználja őket, az könnyen feltörhet bármilyen üzenetet. Eddig azonban még nem ikerült igazolni ezt a ejtét. A 90-e évek végére nyilvánvalóvá vált, hogy a DES elavult, így zükég van egy új titkoítái zabványra. Szerették volna azt i elkerülni, hogy a közvélemény bizalmatlan legyen a zabvánnyal ben az NIST (National Intitute of Standard and Technology) kiírt egy kriptográfiai verenyt, amelyben öt zempontnak megfelelő algoritmuokat vártak. A zempontok az alábbiak voltak: Szimmetriku blokk-kódoló legyen Az algoritmu minden rézlete nyilváno Támogaa a 128, 192 é 256 bite kulcokat Hardvereen é zoftvereen nagy hatékonyággal implementálható legyen Szabadon felhaználható legyen A verenyre zámo pályázat érkezett, a nyerte a belga zerzők által megalkotott Rijndael algoritmu lett. A módzer neve a zerzők nevéből zármazik: Joan Daemen é Vincent Rijmen. Az algoritmu mindegyik követelménynek kiválóan eleget tez, a harmadikon még túl i tett: Amellett, hogy alkalmazható 128, 160, 192, 224 é 256 bite kulcokkal, a kódolható blokk mérete zintén 128, 160, 192, 225 é 256 bit lehetett. A hivatalo zabványba vizont cak a 128 bite blokkméret, é a vereny követelményeinek megfelelő 128, 192 é 256 bite kulcok kerültek be. Az új zabvány neve AES lett, azaz Advanced Encryption Standard. Ettől fogva bizonyo forráok a DES rövidítét már Data Encryption Sytem-nek tüntetik fel. Az alábbiakban előzör imertetjük az algoritmuhoz zükége matematikai alapműveleteket, majd bemutatjuk a kódolá, illetve dekódolá rézleteit.

36 Matematikai alapok Mint a legtöbb modern kriptográfiai algoritmu, az AES i nagyban támazkodik a bitenkénti kizáró vagy, azaz XOR műveletre. A műveletnek eredménye akkor 1, ha a két operandu értéke eltér egymától, egyébként az eredmény 0, ahogy az 1. táblázat i mutatja. 1. táblázat Az XOR művelet igazágtáblája A B A XOR B A működééből adódik egy fonto tulajdonága, amely miatt a kriptográfiában előzeretettel alkalmazzák: (A XOR B) XOR B = A Ennek igazoláa látható a 2. táblázatban. Ezt a tulajdonágot arra haználják, hogy egy kulc bitorozat é egy kódolandó üzenetet-et az XOR művelettel adjanak öze. A dekódolákor pedig elég annyit tenni, hogy a korábban kapott kódolt üzenethez újra hozzáadjuk a kulcot az XOR egítégével, így előáll az eredeti üzenet. Ennek alkalmazáára a legegyzerűbb példa a korábban már bemutatott OTP algoritmu, de az AES egye iterációiban i elvégezzük ezt a műveletet. A B A XOR B = C C XOR B = A Az XOR művelet hardvereen rendkívül egyzerűen megvalóítható, akár két tranziztor i elég hozzá. Továbbá zinte minden mai általáno célú procezor támogatja. Az AES főbb lépéei polinomokkal való özeadára é zorzára épülnek. Előzör imertetjük az özeadát, majd arra alapozva bemutatjuk a zorzát. Özeadá Két polinomot a GF(2 8 ) algebra zerint adunk öze, valamint az özeadát az -al jelöljük. A polinomok együtthatói a {0,1} halmazból kerülnek ki. Amennyiben a két polinom i. tagjának együtthatója 1, az eredmény együtthatója 0 lez, é ez nincen hatáal az i 1. együtthatóra, ahogy ezt az alábbi példában láthatjuk: ( x x x 1) ( x x x x 1) x x x x x

37 Mivel a polinomok együtthatói a {0,1} halmazba tartoznak, ezért a polinomokat egyzerűen 6 4 ábrázolhatjuk bitorozatokkal. Az x x x 1 polinomot a bitorozat reprezentálja: Az i. bit megegyezik az i. együttható értékével. Ez alapján látható, hogy a művelet könnyen megvalóítható az XOR egítégével. A fenti példa tehát a következőképpen néz ki bitorozatokkal: x x x x x x x x x x x x Ennek közönhetően az özeadát egyetlen procezorutaítáal i elvégezhetjük. Megjegyezzük, hogy az AES eetében a kivoná művelet azono az özeadáal, erre a zorzánál lez zükégünk. Szorzá A zorzát zintén olyan polinomok között értelmezzük, mint az özeadánál, a művelet jele pedig:. Az eredmény polinomban továbbra i a 0, illetve 1 együtthatók zerepelhetnek. Fonto, hogy a műveletet modulo aritmetikával végezzük el, amelyhez a következő polinomot haználjuk: x x x x 1 Ennek következtében az eredménye az, hogy az eredmény polinom legfeljebb 7-ed fokú lehet, így az elfér egy byte-ban. A zorzá két fő lépéből áll: Előzör özezorozzuk a két polinomot, majd elvégezzük a maradéko oztát. A zorzá haonlóan működik, mint ahogy azt korábban megtanultuk: Az elő polinom minden tagját zorozzuk a máodik minden tagjával, így réz polinomokat kapunk. Ezeket a réz polinomokat a művelettel özeadjuk, ahogy az alábbi példában i láthatjuk: ( x x x 1) ( x x x x 1) [( x x x x ) ( x x x x )] 13 (x x^ [( x x x x ) ( x x x x)] ( x x x 1) x x x x ) ( x x x x x x) ( x x x 1) ( x x x x x x x x) ( x x x 1) x x x x x 1 A kapott polinomot maradékoan oztani kell a x x x x 1 polinommal, vagyi az oztá az ( x x x 1) ( x x x x 1) mod( x x x x 1) x x x x x x x x x 1mod( 1) művelet elvégzéét jelenti. A maradéko oztá ugyanazon az elven működik, mint zámok eetében, vizavezethető a kivonára: Addig vonjuk ki az oztandóból az oztót, amíg ez utóbbi nem kiebb, mint az oztandó. Ehhez az oztó polinomot meg kell zorozni x olyan hatványával, hogy a zorzat

38 legmagaabb fokú tagja megegyezzen az oztandó legmagaabb fokú tagjával. A kapott zorzatot é az oztandót pedig az művelettel özeadjuk. Ezt addig imételjük, amíg van az eredmény polinomban 7-nél magaabb fokú tag. Az algoritmut a fenti példán a következő módon hajtjuk végre: Az oztandó polinom: x x x x x 1 Az oztó polinom: x x x x 1 Az oztandó polinom legmagaabb fokú tagjának foka 13, ezért hozzáadjuk az oztandóhoz: 5 x -el bezorozzuk az oztót, majd ( x x x x x 1) ( x x x x x ) x x x x x x 1 Az eredmény legmagaabb fokú tagjának foka 9, tehát még nem végeztünk, legyen ez az oztandó. Az oztót mot x -el kell zoroznunk, majd a zorzatot hozzáadjuk az oztandóhoz: ( x x x x x x 1) ( x x x x x) x x x x x 1 A kapott eredményben már ninc olyan tag, amely foka nagyobb 7-nél, tehát megkaptuk a végeredményt. Ahogy az özeadát, úgy a zorzát i bitorozatokon végzett műveletek egítégével implementálják. i Vegyük ézre, hogy ha egy polinomot megzorzunk x -vel, akkor az azt reprezentáló bitorozatot balra toljuk i bittel, az új bitek pedig a 0 értéket vezik fel. Ezen felül még az XOR-ra lez zükégünk. Jelöljük a polinomokat reprezentáló bitorozatokat A-val é B-vel. A polinomoknál elő lépéként az egyik polinom minden tagjával megzoroztuk a máik polinomot, é így réz polinomokat kaptunk. Ezt bitekkel úgy végezzük el, hogy feljegyezzük, hogy B-ben mely 0i 7 pozícióiban van 1. Legyen ezen 1-e bitek záma n. Előállítunk n darab új bitorozatot úgy, hogy A-t rendre eltoljuk a feljegyzett i értékekkel. A kapott n orozatot pedig XOR egítégével özeadjuk, ahogy az alábbi példán láthatjuk: Számítuk ki a mod értékét. Legyen A = , valamint B = B-ben a következő pozíciókon van 1: 7, 5, 3, 1 é 0. Tehát ezen értékekkel kell A-t eltolnunk: Eltolva 7 bittel Eltolva 5 bittel Eltolva 3 bittel Eltolva 1 bittel Eltolva 0 bittel XOR A következő lépé pedig a maradéko oztá elvégzée, mivel a kapott eredményben a 13. pozíción 1-e bit található. Az oztó bitorozatot rendre eltoljuk annyira, hogy annak legmagaabb helyi értéken lévő 1-e bitje fedje az oztandó bitorozat legmagaabb helyi értékű 1-e bitjét. A két orozatot XOR-al

39 özeadjuk. Amennyiben az özegben van olyan 1-e bit, amely 7-nél magaabb pozíción található, úgy a fenti lépét megimételjük Oztandó bitorozat Oztó bitorozat eltolva 5 bittel XOR Legmagaabb 1-e bit: 9, folytatjuk Oztó bitorozat eltolva 1 bittel XOR Legmagaabb 1-e bit: 7, vége A kapott bitorozat pedig az x x x x x 1 polinomot reprezentálja. Multiplikatív inverz Az AES-ben multiplikatív egyég elemnek tekintjük a bitorozat által reprezentált polinomot. Egy A polinom multiplikatív inverze az az 1 A polinom, amivel megzorozva az egyég elemet kapjuk: 1 AA mod M, ahol M x x x x 1. Az S-doboz megalkotáához zükégünk lez minden lehetége polinom multiplikatív inverzére. Mivel özeen 256 polinomot haználunk, akár brute force módzerrel i megkerehetünk minden multiplikatív inverzet, majd azokat egy táblázatban eltárolhatjuk, de haználhatjuk akár a kiterjeztett euklidezi algoritmut (lád az RSA-nál). Vegyük ézre, hogy a bitorozatnak a fenti definíció zerint nem létezik a multiplikatív inverze, ezért ebben az eetben a t válaztjuk invernek. 2. táblázat Byte-ok multiplikatív inverzei az AES-ben x y a b c d e f D F6 CB 52 7B D1 E8 4F 29 C0 B0 E1 E5 C B4 AA 4B 99 2B 60 5F 58 3F FD CC FF 40 EE B2 2 3A 6E 5A F1 55 4D A8 C9 C1 0A A2 C2 3 2C C F F F 77 BB D FE D 31 F5 69 A7 64 AB E ED 5C 05 CA 4C BF 18 3E 22 F0 51 EC E AF D3 49 A F DF B 7 79 B B5 BA 3C B6 70 D0 06 A1 FA E 7F BE 56 9B 9E 95 D9 F7 02 B9 A4 9 DE 6A 32 6D D8 8A A 14 9F 88 F9 DC 89 9A a FB 7C 2E C3 8F B C8 12 4A CE E7 D2 62 b 0C E0 1F EF A5 8E 76 3D BD BC c 0B 28 2F A3 DA D4 E4 0F A B FC AC E6 d 7A 07 AE 63 C5 DB E2 EA 94 8B C4 D5 9D F8 90 6B e B1 0D D6 EB C6 0E CF AD 08 4E D7 E3 5D 50 1E B3 f 5B C DD 9C 7D A0 CD 1A 41 1C

40 A kulc kiterjeztée Az alábbiakban az AES 128 bite kulco változatát imertetjük. Az algoritmu a kódolandó blokkot előzör egy 4*4-e méretű állapot táblába máolja, majd több iteráción kereztül tranzformálja ezt, az állapotot. Egy tranzformáció egyik lépée az, hogy a kezdeti kulcból előállított byte-okat XOR művelettel hozzáadja az állapothoz. Ennek érdekében a 128 bite kulcot ki kell terjezteni, hogy minden tranzformáció lépében mát adhaunk hozzá az állapothoz. A kulc kiterjeztét elég akkor elvégezni, ha a kódolónknak, illetve dekódolónknak új kulcot adunk meg, azaz nem zükége ezt minden blokk kódoláánál végrehajtani. Jelöljük a kulc i. (0 i 15) byte-ját ki -vel. Ez alapján a kulc byte-okat egy 4*4-e táblázatba rendezzük az alábbi módon: w[0] w[1] w[2] w[3] k k 0 k 4 k 8 12 k 1 k 5 k 9 k 13 k 2 k 6 k 10 k 14 k 3 k 7 k 11 k 15 A táblázat ozlopait a w tömbben tároljuk, a tömb legkiebb indexe a 0. Ezt a táblázatot kell kiterjezteni 44 ozlopra az elő 4 alapján. Az új ozlopokat egymát követően zámítjuk ki az alábbi algoritmual: Ciklu i = 4-től 43-ig 1. Legyen temp = w[i 1] 2. Ha i oztható 4-el, akkor i. temp byte-jait forgatjuk: temp = [ w 0, w 1, w 2, w 3 ] [ w 1, w 2, w 3, w 0 ] ii. temp minden byte-ját kiceréljük az S-doboz alapján iii. temp új elő byte-jához hozzáadjuk az polinomot reprezentáló byte-ot 3. elágazá vége 4. w[i] = w[i 4] XOR temp Ciklu vége Kódolá i/ x x x x x mod( 1) A bemenet 16 byte-ját elő lépéként egy 4*4-e állapot táblázatba máoljuk, majd ezt az állapotot tranzformáljuk 10 iteráción kereztül. Jelöljük a bemenet i. (0 i 15) byte-ját ai -vel. Ez alapján a bemenet byte-okat egy 4*4-e táblázatba rendezzük az alábbi módon: a 0 a 4 a 8 a 12 a a 1 5 a a 9 13

41 a 2 a 6 a 10 a 14 a a 3 a 7 a Az állapot táblázaton 4 különböző tranzformációt hajthatunk végre: 1. Kulc hozzáadá 2. Byte helyetteíté 3. Sorforgatá 4. Ozlopkeveré Az alábbiakban orra imertetjük ezeket a lépéeket, majd bemutatjuk, hogy ezek egítégével hogyan történik a kódolá. Kulc hozzáadá Ebben a lépében az állapot táblázat minden byte-jához XOR művelettel hozzáadunk egy máik byte-ot a kiterjeztett kulc táblázatból. Az elő kulc hozzáadákor a táblázat elő 4 ozlopát haználjuk, a következő alkalommal pedig a következő 4 ozlopot. Az AES iteráció lépéei előtt előkézítéként elvégezzük ezt a műveletet, így az i. iterációban a kulc táblázat [4*i, (i+1) * 4 1] ozlopait haználjuk fel, ahol 1i 10. A műveletet az alábbi ábrán mutatjuk be: 0,0 0,1 0,2 0,3 w 0,i w0, i 1 w0, i 2 w0, i 3 1,0 1,1 1,2 1,3 2,0 2,1 2,2 2,3 w 1,i w1, i 1 w1, i 2 w1, i 3 w 2,i w2, i 1 w2, i 2 w2, i 3 = 3,0 3,1 3,2 3,3 3,i w w3, i 1 w3, i 2 w3, i 3 0,0 w0,i 0,1 w0, i 1 0,2 w0, i 2 0,3 w0, i 3 1,0 w1,i 1,1 w1, i 1 1,2 w1, i 2 1,3 w1, i 3 2,0 w2,i 2,1 w2, i 1 2,2 w2, i 2 2,3 w2, i 3 3,0 w3,i 3,1 w3, i 1 3,2 w3, i 2 3,3 w3, i 3 Byte behelyetteíté Az AES-ben kettő S-dobozt haználunk, az egyiket a kódolánál, a máikat a dekódolánál, ez utóbbi az elő inverze. A kódolánál alkalmazottra cak, mint S-dobozra hivatkozunk, a máikat inverz S-doboznak nevezzük. Egy xy alakú, hexadecimálian leírható byte-ot az S-doboz x. orában lévő y. cellában található értékre cerélünk ki. Ahogy a bevezetőben említettük, az S-doboz nem egy véletlenzerűen generált táblázat. Egy tetzőlege a byte helyetteítő eleme a következő módon zámolható ki: 1. Legyen b = az a byte multiplikatív inverze, amennyiben a 0, úgy b Jelölje b byte i. bitjét b i.

42 b b b b b b c, ahol c = Ezt a Legyen i i ( i4)mod8 ( i5)mod8 ( i6)mod8 ( i7)mod8 i lépét mátrixo alakban i felírhatjuk: b b0 1 b b 1 1 b b 2 0 b b 3 0 b b 4 0 b b b 6 1 b b 0 7 b 7 A 2. lépére a zakirodalomban mint affin-tranzformációra i hivatkoznak. A 3. táblázatban megjelenítettük az így generálható helyetteítő byte-okat hexadecimáli formában. 3. táblázat Az AES-ben haznált S-doboz x y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

43 Sorforgatá A orforgatát é az azt követő ozlopkeverét együtteen diffúzió rétegnek i nevezik. Céljuk az, hogy e két lépé egítégével a bemenet minden byte-ja hatáal legyen a kimenet minden byte-jára. A forgatá orán az i. or elemeit ( 0i 3) i -vel balra forgatjuk, ahogy azt az 1. ábra Sorforgatá a kódolánálábrán láthatjuk: 1. ábra Sorforgatá a kódolánál 0,0 0,1 0,2 0,3 1,0 1,1 1,2 1,3 2,0 2,1 2,2 2,3 0,0 0,1 0,2 0,3 1,1 1,2 1,3 1,0 2,2 2,3 2,0 2,1 3,0 3,1 3,2 3,3 3,3 3,0 3,1 3,3 Ozlopkeveré Ez a tranzformáció az állapot tábla ozlopain belül keveri meg a byte-okat. Az ozlopok között nincen kapcolat, minden ozlopra ugyanazt a műveletort végezzük el, a többitől függetlenül: Kiválaztunk egy ozlopot, ennek indexe legyen c, majd az ozlopon belüli cellákat a következő képletek alapján változtatjuk meg: (0x02 ) (0x03 ) 0, c 0, c 1, c 2, c 3, c (0x02 ) (0x03 ) 1, c 0, c 1, c 2, c 3, c (0x02 ) (0x03 ) 2, c 0, c 1, c 2, c 3, c (0x03 ) (0x02 ) 3, c 0, c 1, c 2, c 2, c A kizámolt byte-okat pedig vizaírjuk az állapot táblázatba: 0,0 0,1 0,2 0,3 1,0 1,1 1,2 1,3 2,0 2,1 2,2 2,3 0,0 0,1 0,2 0,3 1,0 1,1 1,2 1,3 2,0 2,1 2,2 2,3 3,0 3,1 3,2 3,3 3,0 3,1 3,2 3,3 Az ozlopon belüli keverét a orok eltoláa után hajtjuk végre. A or eltolát é ozlopkeverét háromzor egymá után elvégezve elérhetjük, hogy minden bemeneti byte hatáal legyen a kimenet minden byte-jára. Az AES eetében ez okozza a lavinahatát: A bemenet egy bitjének megváltoztatáa 50% valózínűéggel változtat meg minden bitet a kimenetben.

44 Kódoló iterációk Feltételezzük, hogy a bemenetről beolvatuk a kódolandó üzenetet az állapot táblázatba. Innentől a kódolá menete a következő: 1. Az állapothoz hozzáadjuk a kulc táblázat [0,3] intervallumba eő ozlopait. 2. Ciklu i := 1-től 9-ig: a. Byte cere b. Sorok forgatáa c. Ozlopok keverée d. Az állapothoz hozzáadjuk a kulc táblázat [i*4, (i+1)*4-1] ozlopait 3. Byte cere 4. Sorok forgatáa 5. Az állapothoz hozzáadjuk a kulc táblázat [40, 43] ozlopait Az utoló iterációban tehát elhagyjuk az ozlopok keveréét. Az eljárá kimenete pedig az állapot táblázat tartalma, ahol a byte-okat ozlop folytonoan kell kiolvani. Dekódolá A dekódolái folyamat a kódolá imeretében roppant egyzerű, cupán vizafele kell cinálni minden lépét, amelyet a kódolá orán végrehajtottunk. A dekódolandó üzenetet beolvauk az állapot táblázatba, haonlóan, mint a kódolákor. Tudjuk, hogy a kódolá utoló lépée az volt, hogy az állapothoz hozzáadtuk a kulc tábla [40-43]-a ozlopait. Ezt a lépét emlegeíthetjük ennek a lépének a megimétléével, hizen tudjuk, hogy ha XOR-al kétzer adunk hozzá egy kulcot valamilyen értékhez, akkor vizakapjuk az eredeti értéket. A kódolá többi lépéét i vizavonhatjuk, ha az egye műveletek inverzeit alkalmazzuk, így az eljárá végén megkaphatjuk az eredeti üzenetet. Az alábbiakban bemutatjuk az egye inverz műveleteket. Inverz byte helyetteíté Ebben a lépében az eredeti S-doboz inverzét haználjuk. A 4. táblázatban megfigyelhető, hogy az inverz S-doboz x. orában é y. ozlopában olyan ij érték zerepel, hogy az S-doboz i. orában é y. ozlopában xy található. Az inverz S-dobozt előre eltárolhatjuk, vagy menet közben i kizámíthatjuk az egye byteok helyetteítő értékeit az alábbi módon: 1. Az S-doboz előállítáánál haznált affin-tranzformáció inverzét alkalmazzuk. A B byte bitjeit a következő módon tranzformáljuk:

45 b b b b d i ( i2)mod8 ( i5)mod8 ( i7)mod8 i b b0 1 b b 1 0 b b 2 1 b b 3 0 b b 4 0 b b b 6 0 b b 0 7 b 7 2. A kapott B értéknek megkereük a multiplikatív inverzét, az eredmény lez a B helyetteítő értéke. 4. táblázat Az AES-ben haznált inverz S-doboz x y A B C D E F A D A5 38 BF 40 A3 9E 81 F3 D7 FB 1 7C E B 2F FF E C4 DE E9 CB B A6 C2 23 3D EE 4C 95 0B 42 FA C3 4E E A D9 24 B2 76 5B A2 49 6D 8B D F8 F D4 A4 5C CC 5D 65 B C FD ED B9 DA 5E A7 8D 9D D8 AB 00 8C BC D3 0A F7 E B8 B D0 2C 1E 8F CA 3F 0F 02 C1 AF BD A 6B 8 3A F 67 DC EA 97 F2 CF CE F0 B4 E AC E7 AD E2 F9 37 E8 1C 75 DF 6E A 47 F1 1A 71 1D 29 C5 89 6F B7 62 0E AA 18 BE 1B B FC 56 3E 4B C6 D A DB C0 FE 78 CD 5A F4 C 1F DD A C7 31 B EC 5F D F A9 19 B5 4A 0D 2D E5 7A 9F 93 C9 9C EF E A0 E0 3B 4D AE 2A F5 B0 C8 EB BB 3C F 17 2B 04 7E BA 77 D6 26 E C 7D

46 Inverz orforgatá A kódolánál balra forgattuk a orokat, ennek az inverze pedig a jobbra forgatá, ahogy azt a 2. ábra láthatjuk. Minden orban annyi pozícióval kell forgatni, amennyivel a kódolánál i, cupán az irány változik. 0,0 0,1 0,2 0,3 1,0 1,1 1,2 1,3 2,0 2,1 2,2 2,3 2. ábra Sorforgatá a dekódolánál 0,0 0,1 0,2 0,3 1,3 1,0 1,1 1,2 2,2 2,3 2,0 2,1 3,0 3,1 3,2 3,3 3,1 3,2 3,3 3,0 Inverz ozlopkeveré Ebben a lépében minden egye ozlopra elvégzünk egy tranzformációt. Az eljárá működéi elve haonló a kódolá ozlopkeverééhez, cupán az egye zorzatok zorzói különböznek: (0x0E ) (0x0B ) (0x0D ) (0x09 ) 0, c 0, c 1, c 2, c 3, c (0x09 ) (0x0E ) (0x0B ) (0x0D ) 1, c 0, c 1, c 2, c 3, c (0x0D ) (0x09 ) (0x0E ) (0x0B ) 2, c 0, c 1, c 2, c 3, c (0x0B ) (0x0D ) (0x09 ) (0x0E ) 3, c 0, c 1, c 2, c 3, c 0,0 0,1 0,2 0,3 1,0 1,1 1,2 1,3 2,0 2,1 2,2 2,3 0,0 0,1 0,2 0,3 1,0 1,1 1,2 1,3 2,0 2,1 2,2 2,3 3,0 3,1 3,2 3,3 3,0 3,1 3,2 3,3 Dekódoló iterációk Feltételezzük, hogy a bemenetről beolvatuk a dekódolandó üzenetet az állapot táblázatba. Innentől a dekódolá menete a következő: 1. Az állapothoz hozzáadjuk a kulc táblázat [40,43] intervallumba eő ozlopait. 2. Ciklu i := 9-től 1-ig: a. Inverz orforgatá b. Inverz byte-cere c. Az állapothoz hozzáadjuk a kulc táblázat [i*4, (i+1)*4-1] ozlopait d. Inverz ozlopkeveré 3. Inverz orforgatá 4. Inverz byte-cere

47 5. Az állapothoz hozzáadjuk a kulc táblázat [0, 3] ozlopait Az utoló iterációban tehát elhagyjuk az ozlopok inverz keveréét. Az eljárá kimenete pedig az állapot táblázat tartalma, ahol a byte-okat ozlop folytonoan kell kiolvani.

48 II. MELLÉKLET BLOKK KÓDOLÓK ÜZEMMÓDJAI Elektroniku kódkönyv (ECB) Az elektroniku kódkönyv üzemmód (Electronic Code Book, azaz ECB) a blokk kódolók legegyzerűbb felhaználái módja. A következő jelöléeket fogjuk haználni: X : Kódolatlan zöveg Y : Kódolt zöveg K : Kulc Y E ( X ), azaz E k függvény végzi el a kódolát a K kulc alapján. K X DK ( Y), azaz D k függvény végzi el a dekódolát a K kulc alapján. A kódolandó bemenetet azono bithozúágú blokkokra bontjuk, majd azokat egyenként kódoljuk. A kódolt blokkokat elküldjük a fogadó oldalra, ahol azokat dekódolják, é a beérkezett, majd megfejtett blokkokból özerakják a telje üzenetet. A lényeg tehát az, hogy a blokkokat egymától függetlenül kódoljuk, illetve dekódoljuk, ahogy azt a 3. ábra i mutatja. 3. ábra Elektroniku kódkönyv üzemmód működée Ennek az üzemmódnak több előnye i van. Egyrézt ez a legegyzerűbb. Amennyiben nagy adatmennyiéget zeretnénk kódolni, úgy egyzerűen párhuzamoíthatunk. Végül, ha az üzenet átvitele orán egy blokk érül, akkor a dekódolákor zintén cak egy blokkot kapunk viza hibáan, a többi helye marad. Itt azonban ki i merülnek az előnyök, láuk, milyen problémák adódnak. Tegyük fel, hogy Alice-nak é Bobnak van 1-1 aját bankjuk. A két bank időnként pénzt utal át egymának, méghozzá valamilyen zámítógépe hálózaton kereztül. Egy átutalát a következő zerkezetű adatcomag átküldéével bonyolítanak le:

49 Küldő bank Küldő Fogadó bank Fogadó Pénzözeg azonoítója bankzámlazám azonoítója bankzámlazám Termézeteen ezt az adatcomagot valamilyen blokk kódoló egítégével titkoítják, é úgy küldik el a hálózaton. Tegyük fel, hogy az adatcomag egye zeletei akkorák, amekkorák az általunk haznált blokk kódoló által igényelt blokkméret. Továbbá a Alice é Bob bankjai cupán hetente változtatják meg a felhaznált kulcot. Eve pedig ezt kihaználva úgy dönt, hogy megpróbál a rendzer gyengeégeit kihaználva gyoran meggazdagodni. Az üzeneteket nem képe vizafejteni, vizont má módja i van célja eléréének. Eve a következőt fogja tenni: Előzör nyit magának 1-1 bankzámlát Alice-nál é Bobnál. A következő lépében cekély özegeket utal magának Alice bankjából Bob bankjába. Eközben figyeli, hogy a bankok között milyen adatcomagok mozognak. Ézrevezi, hogy van 5 blokk, amelyek imétlődnek az utaláoknál. Lementi az é 4. blokkot, hogy ezeket kéőbb majd felhaználja. Sejti, hogy az 1. blokk jelöli a bank azonoítóját, a 3. tartalmazza azt a bankot, ahová a pénz megy, é végül a 4. blokk tárolja azt a zámlazámot, ahol a pénzt el kell helyezni. Ezek után figyeli, hogy a gyanútlan ügyfelek utaláai hatáára milyen adatcomagok indulnak meg a hálózaton. Eve zámára azok a comagok érdekeek, amelyek arról zólnak, hogy Alice-éból Bob bankjába kell pénzt küldeni. Ezeket Eve könnyen kizűrheti, ugyani rendelkezik olyan kódolt blokkokkal, amely biztoan Alice, illetve Bob bankjának azonoítóját jelöli. Tehát amelyik elfogott comag 1. é 3. blokkjában a megfelelő értéket látja, abban kiceréli a 4. blokkot arra, amit ő korábban elmentett. Ugyani a behelyetteített blokk Eve zámlazámának azonoítóját tartalmazza. A cere után Eve tovább küldi az üzenetet, amely hatáára Bob bankjában Eve zámlájára íródik valamekkora pénzözeg. Mivel a bankok között rendkívül gyakran utaznak ilyen adatcomagok, Eve zámláján hamar igen nagymennyiégű pénzözeg halmozódik fel. Egy máik példában fogtunk egy 32 bite zínmélyégű tömörítetlen bitképet, é a fejléc kivételével egy 128 bite kulcot haználó AES-el tikoítottuk a tartalmát. Az eredeti képet a 4. ábra, a kódolt változatot pedig az 5. ábra ábrázolja. Látható, hogy a titkoított képen még mindig jól felimerhető az eredeti ábra. A problémán az e egít, ha erőebb kulcot haználunk. A bemutatott két probléma oka az, hogy az ECB üzemmód determiniztiku. Azaz ha egy adott blokkot többzör egymá után kódolva ugyanazt az eredményt kapjuk. Azaz lényegében egy behelyetteítő kódolát kapunk, amelyről közimert, hogy rendkívül egyzerűen feltörhető. Az üzemmód innen i kapta a nevét: elektroniku kódkönyv. Régen gyakran haználtak un. kódkönyveket, ahol minden zimbólumhoz leírtak 1-1 helyetteítő zimbólumot. A kéőbb imertetére kerülő üzemmódok ezt a gyengeéget védik ki má-má megközelítéel.

50 4. ábra Az eredeti, kódolatlan kép Titkoított blokkok láncoláa (CBC) 5. ábra 128 bite AES kulccal, ECB módban titkoított kép Az ECB gyengeégének kijavítáára alkalmazhatjuk azt a módzert, hogy a kódolá kimenetére nem cak a kódolandó blokk van hatáal, hanem az előzőleg kódolt blokk i. Mivel az elő kódolandó blokk előtt

51 nem volt emmi, ezért zükégünk van egy IV-vel jelölt inicializáló vektorra. Az üzemmód működéét a 6. ábra láthatjuk. 6. ábra A CBC mód működée Az elő blokk kódoláa előtt bitenkénti XOR művelettel hozzáadjuk az IV-t, majd az így módoított blokkot kódoljuk. Az eredményt tovább küldjük a fogadó oldalra, valamint a kódolá helyén betöltjük egy regizterbe. A következő blokkhoz már az ebbe a regizterbe betöltött adatort adjuk hozzá. A fogadó oldalon az elő blokk fogadáakor elvégezzük a dekódolát, majd az eredményhez újra hozzáadjuk az IVt. Az XOR tulajdonágainak közönhetően ekkor vizakapjuk az eredeti blokkot. A fogadó oldalon a dekódolá előtt elmentjük a beérkezett titkoított blokkot egy regizterbe, hogy azt felhaználhauk a következő blokk dekódoláához. Tehát az egye blokkokat egymára láncoljuk, innen jön az üzemmód neve i: Cipher Block Chaining, azaz CBC. Fonto, hogy az inicializáló vektor azono legyen mindkét oldalon. Formálian a következőképpen néz ki a folyamat: Elő blokk kódoláa: Y1 E ( ) K IV X1 Elő blokk dekódoláa: X1 D ( ) K Y1 IV Következő ( i.) blokkok kódoláa: Yi EK ( Yi 1 Xi) Következő ( i.) blokkok dekódoláa: Xi DK ( Yi ) Yi 1 Gondoljuk végig, hogy az ECB-nél imertetett banko problémát megoldja-e a CBC. Amennyiben üzenetenként má IV vektort haználnak, Eve nem képe mintákat felfedezni az üzenetekben. Továbbá, ha az egymá utáni üzeneteket folyamatoan egymá után láncolják, akkor zintén megoldódik a probléma. Tegyük fel azonban, hogy üzenetenként újra inicializáljuk a fogadó é küldő oldalt, azaz minden üzenet elején újra elővezük ugyanazt az IV vektort. Ekkor Eve újra elfogja az egye üzeneteket, majd kiceréli a 4. blokkot é az üzenetet tovább küldi. A vevő fogadja az üzenetet é vizafejti azt. Eve pechére a fogadó bank rozul dekódolja a 4. é 5. blokkot. Ugyani a 4. blokkra hatáal van az elő három i, ahol a 2. blokk üzenetenként má é má. Mivel a fogadó oldalon téveen dekódolják a 4. é 5.

52 blokkot, ezért a pénz nem fog megérkezni Eve zámlájára. A beavatkozá ézlelée egy máik probléma, ezzel rézleteebben foglalkozunk majd a digitáli aláírá témakörén belül. Nézzük, hogy ha a korábban bemutatott képet CBC módban kódoljuk, akkor milyen ábrát kapunk. Az eredményt a 7. ábra láthatjuk. Ezen már felimerhetetlen az eredeti kép, úgy tűnik, mintha egy véletlenzerűen generált ábrát látnánk. 7. ábra 128 bite AES-el kódolt kép CBC üzemmódban Látható tehát, hogy a CBC megzűnteti az ECB determiniztikuágát, így kivédi annak a gyengeégét. Az IV vektorban valamilyen módon meg kell egyezniük a kommunikáló feleknek, ezt akár zimmetriku kódolóval i megtehetik. Az üzemmódnak van azonban egy komoly hátránya: Amennyiben nem garantálható, hogy minden blokk hibamenteen átjut a hálózaton, akkor ha cak egy blokknak egyetlen bitje hibá lez, akkor a lavina hatá miatt az öze ezt követő blokk hibáan lez dekódolva. A következő üzemmód ezt küzöböli ki. Kimenet vizacatoláa (OFB) Ennél az üzemmódnál zintén zükégünk van egy IV vektorra. Itt a kódoló nem kapja meg magát az X blokkot. Az elő blokk elküldéekor a kódoló egy K kulccal titkoítja az IV vektort. Az eredményt egyrézt elmenti egy S regizterbe, márézt XOR-al hozzáadja a titkoítandó X blokkhoz. Az eredményt pedig elküldi a fogadó oldalra, ahol zintén egy kódolóval é az IV vektorral előállítunk egy bitorozatot, azt XOR-al hozzáadjuk a beérkező üzenethez, é megkapjuk az eredetit. A következő blokk elküldée előtt már nem az IV-t, hanem az S regizter tartalmát kell kódolni. A küldő é fogadó oldalon tehát pontoan ugyanzt kell végrehajtani. Mivel itt a kódoló kimenetét catoljuk viza annak a

53 bemenetére, az üzemmódot Output Feedback-nek, azaz OFB-nek nevezzük. A módzer működéének vázlatát a 8. ábra láthatjuk. 8. ábra Az OFB mód működée Formálian a következő módon írhatjuk fel a módzer működéét: Elő blokk kódoláa: S1 EK ( IV ), Y1 X1 S1 Elő blokk dekódoláa: S1 EK ( IV ), X1 Y1 S1 Következő ( i.) blokkok kódoláa: Si EK ( Si 1), Yi Xi Si Következő ( i.) blokkok dekódoláa: Si EK ( Si 1), Xi Yi Si A kódoló kimenete tehát teljeen független a titkoítandó zövegtől. A kódoló kimenetét kulcfolyamnak i nevezhetjük, ezt akár előre i kizámolhatjuk. Az átviteli hibákra ez a módzer a legkevébé érzékeny, ugyani ha a hálózaton átvitt üzenetben 1 bit érül meg, akkor az eredményben i cak 1 bit hiba keletkezik. Fonto, hogy a vevő oldalon i kódolót kell alklamazni a kulcfolyam előállítáára! Azonban oda kell figyelnünk arra, hogy a kulc folyamot ne imételjük meg. Tegyük fel, hogy a P 1 é P 2 zöveget ugyanazzal a K kulcfolyammal titkoítjuk. Ekkor a keletkezett kódolt üzenetek: C1 P1 K é C2 P2 K. Eve elfogja C1 -et é C2 -t, majd XOR-al özeadja őket: C C ( P K) ( P K) P P

54 Amennyiben Eve imeri P1 -et, vagy P2 -t, úgy a máik egy XOR egítégével könnyen meghatározható. Ellenkező eetben pedig P1 P2 gyakoriágelemzéel törhető, ugyani az egye zimbólumpároknak megfeleltethető egy helyetteítő zimbólum. Kódolt üzenet vizacatoláa (CFB) Az alábbi üzemmódban zintén kódolót haználunk a küldő é fogadó oldalon. A módzer annyiban különbözik az OFB-től, hogy a kódolóra nem annak kimenetét, hanem magát a kódolt üzenetet catoljuk viza, ezért ennek a neve Cipher Feedback, azaz CFB. Formálian a következőképpen néz ki az algoritmu: Elő blokk kódoláa: Y1 X1 E ( IV ) Elő blokk kódoláa: X1 Y1 E ( IV ) 9. ábra A CFB mód működée Következő ( i.) blokkok kódoláa: Yi Xi EK ( Yi 1) Következő ( i.) blokkok dekódoláa: Xi Yi EK ( Yi 1) K K Eddig látzólag ez a módzer nem nagy előrelépé az előzőekhez képet. Tegyük fel azonban, hogy olyan üzeneteket kell kódolni, amelyek jóval rövidebbek, mint a blokk kódolónk által igényelt blokk méret. Például ha a felhaználó gépel, akkor lehet, hogy a zoftvernek ninc ideje megvárni, míg özegyűlik a megfelelő mennyiégű karakter, hogy azokat majd egyben kódolva elküldje. Az egyik megoldá az lehet, hogy az egye karaktereket kiegézítjük a megfelelő blokk méretre, majd elvégezzük a kódolát. Könnyen látható, hogy ekkor azonban pazarlóan bánunk a hálózat ávzéleégével. A megoldá a CFB mód megfelelő haználatában rejlik.

55 Tegyük fel, hogy a kódolók bemenetére egy hift-regiztert kötünk. A regizterbe betölthetünk egy új byte-ot, ennek hatáára a regizterben lévő legrégebbi byte kieik. A regizter kezdetben az IV byte-jait tartalmazza. Az új üzenet küldéekor a hift-regiztert kódoljuk. Az elküldendő byte-ot XOR-al özeadjuk a kódoló kimenetének meghatározott indexű byte-jával, majd az eredmény byte-ot vizatöltjük a hiftregizterbe, valamint elküldjük a hálózaton kereztül a fogadónak. A fogadó oldalon a küldőhöz haonlóan előállítanak egy kulcot, amelynek a megfelelő byte-jával XOR kapcolatba hozzák a beérkező byte-ot, é megkapják a dekódolt byte-ot. Továbbá, a hálózaton érkező kódolt byte-ot betöltik a hiftregizterbe. A 10. ábra é 11. ábra látható, ahogy az újabb elküldött, illetve fogadott byte-ok hatáára a hift-regizterek tartalma változik. A módzer hátránya i ebből fakad: Amennyiben az egyik byte átvitele orán hiba lép fel, akkor amíg a hibá byte a fogadó oldal hift-regizterében van, addig a beérkező byteokat hibáan dekódolják. 10. ábra A hift-regizterek tartalma a 8. byte küldéekor 11. ábra A hift-regizterek tartalma a 9. byte küldéekor

56 Számláló mód (CTR) A CBC, OFB é CFB üzemmódok nagy hátránya az, hogy ha rendelkezünk egy nagy mennyiégű kódolt adathalmazzal, például egy merevlemez tartalmával, é zeretnénk ezen adathalmaz egy adott zakazához hozzáférni, akkor az előtte lévő kódolt adatokat i fel kell dolgozni. Tehát mivel az egymá utáni blokkok zoro kapcolatban állnak egymáal, a direkt hozzáféré meglehetően problémá lehet. Ennek a megoldáára dolgozták ki a zámláló módot (Counter mode, azaz CTR). Itt i kódolót alkalmaznak a küldő é fogadó oldalon. A kódolók bemenetét úgy kapjuk meg, hogy özefűzünk egy inicializáló vektort é egy zámlálót. A zámláló értéke kezdetben nulla. Az elő blokk elküldéekor az IV-t é a zámlálót özefűzve kódoljuk, majd az eredményt XOR-al hozzáadjuk a küldendő blokkhoz. A fogadó oldalon haonlóképpen celekzünk a kódolóval, majd annak kimenetével megfejtjük a hálózaton beérkezett titkoított üzenetet. Az üzenet elküldée illetve fogadáa után mindkét oldalon 1-el növeljük a zámlálót. Lényegében újfent egy kulcfolyamot állítunk elő, amelyre nincenek hatáal em a múltban elküldött blokkok, em a múltban generált kulcfolyam-zeletek. 12. ábra A CTR mód működée Formálian a következő módon működik a CTR mód, ha zámlálóját: CTR e jelöli a küldő, CTR d a fogadó Kezdetben CTRe CTRd. Az i. blokk kódoláa: Yi Xi EK ( IV CTRe ), majd CTRe -t 1-el megnöveljük. Az i. blokk dekódoláa: Xi Yi EK ( IV CTRd ), majd CTRd -t 1-el megnöveljük. Ez az üzemmód kifejezetten hazno többek között merevlemezek titkoítáakor. Ekkor a zámláló jelölheti az aktuáli merevlemez zektor orzámát.

57 III. MELLÉKLET AZ RSA ALGORITMUS Az RSA zó a fejleztőinek neveiből zármazik: Ron Rivet, Adi Shamir é Len Adleman. Az algoritmut 1976-ban publikálták ben nyilvánoágra hozták, hogy Clifford Cock 1973-ban már kidolgozta az eljárát, a brit GCHQ (Government Communication Headquarter) nevű zervezetnél, ám több mint két évtizedig nem engedélyezték, hogy ezt publikálja. Matematikai alapok Az RSA zámelméleti eredményeken alapul, ezért előzör ezeket imertetjük. A bemutatára kerülő zámelméleti tételek helyeégének bizonyítáától eltekintünk. Legnagyobb közö oztó Definíció: Egy A é B egéz zám legnagyobb közö oztójának nevezzük azt a legnagyobb egéz zámot, amely A-nak é B-nek i oztója. A jegyzetben A é B legnagyobb közö oztóját lnko(a, B)-vel jelöljük. Kizámítáára több módzer i van, próbáljuk meghatározni lnko(84, 30)-at. Bontuk a két zámot prímtényezőkre: 84 = 2 * 2 * 3 * 7 é 30 = 2 * 3 * 5 A két zám oztói közül a 2 é 3 a közö, tehát lnko(84, 30) = 2 * 3 = 6. Ki zámoknak nem okoz nehézéget az előbbi módzer, ám nagy zámoknál ez az algoritmu haználhatatlanná válik. Szerencére létezik ennél jóval gyorabb módzer i, mégpedig az euklidezi algoritmu. A bemenet az A é B egéz zámok, tegyük fel, hogy A > B. 1. R := A mod B 2. Ha R = 0 akkor végeztünk, a legnagyobb közö oztó := B 3. A := B 4. B := R 5. Viza az 1. pontra A fenti algoritmuban a mod a maradéko oztát jelöli. Az lnko(84, 30) a következő módon zámolható ezzel az algoritmual: Lépé A B R Multiplikatív inverz Az RSA-ban modulári aritmetikát haználunk, ezért definiáljuk a multiplikatív inverzet:

58 Definíció: Egy A egéz zám multiplikatív inverze az a B zám modulo M-ben, amire igaz, hogy: AB 1(mod M) Például legyen A = 23, M = 120. Ekkor, ha B-t 47-nek válaztjuk, akkor AB mod Tehát 23 multiplikatív inverze modulo 120 eetén 47. Mivel az RSA kulcválaztái lépéében multiplikatív inverzet i kell zámolni, ezért zükégünk van egy hatékony algoritmura ennek a meghatározáához. Erre alkalma a kiterjeztett euklidezi algoritmu. A kiterjeztett euklidezi algoritmu a következő egyenlet megoldáát tezi lehetővé: ax by lnko( a, b), ahol a é b egézek adottak, x é y egézeket kell meghatározni. Tegyük fel, hogy x az a multiplikatív inverze modulo m-ben: ax 1( mod m) Tehát m oztója ax 1-nek, az oztá eredményét jelöljük q-val: Ezt átrendezve azt kapjuk, hogy ax 1 qm ax qm 1 Amennyiben lnko(a, m) = 1, é a kiterjeztett euklidezi algoritmual meghatározzuk x-et é q-t, akkor x lez a kereett multiplikatív inverz. Az lnko(a, m) = 1 feltétel az RSA-hoz elegendő, hizen ott erre az eetre lez cak zükégünk. Ahogy a neve i utal rá, az algoritmu haonlóan működik, mint az euklidezi algoritmu, cupán azt kell kiegézíteni néhány utaítáal. A könnyebb tárgyalhatóág kedvéért határozzuk meg az lnko(a = 120, b = 23)-at: Oztandó Oztó Hányado (q) Maradék (r) A maradékokat jelöljük ri -vel. Az algoritmut az ax + by = lnko(a, b) egyenlet megoldáára haználjuk, tehát az imeretleneket x-el é y-al jelöljük. Fejezzük ki az r i-t a é b alapján:

59 ri axi byi A táblázat alapján könnyen látzik, hogy a táblázat egy orában lévő maradék értéke 1 orral lejjebb zintén megjelenik, mint oztó, 2 orral lejjebb, pedig mint oztandó. Tehát ha i > 2 akkor: r r q r i i2 i i1 Az előző kettő özefüggéből a következőt kapjuk: r ( ax by ) q ( ax by ) i i2 i2 i i1 i1 Emeljük ki a -t é b -t: r a( x q x ) b( y q y ) i i2 i i1 i2 i i1 Az algoritmu orán az imeretlen x é y értékét fokozatoan megközelítjük. Tegyük fel, hogy x1 1, y1 0 é x2 0, y2 1 Valamint, ha i > 2, akkor x x q x i i2 i i1 y y q y i i2 i i1 Definiáljuk továbbá r 1 -et é r2 -t: r1 ax1 by1 a r2 ax2 by2 b A fentiek alapján az algoritmu a következő: 1. r 1 a, r 2 b 2. x1 1, y1 0, x2 0, y i : 3 q : r / r 4. i i2 i1 r : r mod r 5. i i2 i1 6. Ha ri 1 akkor vége x : x q x 7. i i2 i i1 y : y q y 8. i i2 i i1

60 9. i: i Ugrá a 4. pontra A fenti algoritmuban az euklidezi algoritmual ellentétben akkor állunk meg, ha a maradék 1. Mivel nekünk az RSA miatt van zükégünk erre az algoritmura, a fenti megközelíté elegendő lez. Az alábbi példában megkereük x é y értékét, ha a = 120 é b = 23. Korábban meghatároztuk, hogy lnko(120, 23) = 1. i q i r i x i r ax by y i i i i *1 23* *0 23* * 1 23*( 5) *( 4) 23* *5 23*( 26) *( 9) 23*47 Tehát 1 = 120 * (-9) + 23 * 47, azaz x = -9 é y = 47. A korábbi megállapítáok alapján az alábbi egyenleteket írhatjuk fel: 47*23 1 ( mod 120) 120*( 9) 26*38 1 ( mod 47) 120*( 9) 14*5 1 ( mod 23) Azaz 47 é 23 egymá multiplikatív inverzei modulo 120, vagy 26 é 38 egymá modulo inverzei modulo 47, továbbá ugyanez igaz 14-re é 5-re modulo 23-ban. Euler-függvény Az Euler-függvény definíciójához előzör zükégünk van a relatív prímek fogalmára: Definíció: A é B egéz zámok relatív prímek, ha lnko(a, B) = 1. Ez alapján az Euler-függvény definíciója: ( m) { a : lnko( m, a) 1 é a m} Azaz az Euler-függvény egy adott m pozitív egéz zám eetén megadja, hogy hány darab m-nél kiebb é m-el relatív prím létezik. Számoljuk ki (6) értékét! lnko(6, 1) = 1

61 lnko(6, 2) = 2 lnko(6, 3) = 3 lnko(6, 4) = 2 lnko(6, 5) = 1 Tehát (6) 2. Bár egy zámpárra az euklidezi algoritmual hatékonyan tudjuk ellenőrizni a relatív prím definíciójának való megfelelét, egy nagy m zámra m 1 ellenőrzére van zükég, ami elfogadhatatlan mennyiégű zámítát tez zükégeé. Amennyiben imerjük m prímtényező felbontáát, úgy (m) értékét hatékonyan meghatározhatjuk. Legyen e1 e2 en m p1 p2 p n, ahol p i prímzámok. Ez alapján az Euler-függvény értékét így határozhatjuk meg: n ei ei1 ( m) ( pi pi ) i1 Határozzuk meg (240) értékét a fenti képlet alapján! m 16*15 2 *3 *5 p p p, n e1 e2 e (240) (2 2 )(3 3 )(5 5 ) 8*2*4 64 Ennek a módzernek előnye a hatékonyág, hátránya vizont az, hogy imerni kell hozzá m prímtényező felbontáát. Nagy zámoknál ehhez rengeteg zámítára van zükég, vizont az RSA-nál ezt a tulajdonágot haználjuk ki. Vegyük ézre, hogy ha m két prímzám, nevezeteen p é q zorzata, akkor ( m) ( p 1)( q 1) A ki Fermat-tétel A következő özefüggé Pierre de Fermat-tól zármazik, bár ő ezt cupán ejtéként fogalmazta meg. A ki jelzőt azért kapta, hogy megkülönbözteük a nagy Fermat-tételtől, amely hozú évzázadokig, egézen 1994-ig cupán ejté volt. A ki Fermat-ejtét Fermat 1636-ban fogalmazta meg, é Leibniz vizonylag hamar, 1683-ban közölte, hogy ő már imert egy bizonyítát rá. A tétel a következőt mondja ki: Legyen p prímzám, továbbá a bármely egéz zám, ekkor igaz az, hogy p a a (mod p)

62 Az RSA megértééhez a fenti özefüggének egy máik változatára lez zükégünk. Legyen p továbbra i prímzám, ám a olyan egéz, amely p -hez relatív prím. Ekkor igaz a következő: Legyen a = 34, p = 37. Ekkor a p 1 1 (mod p) mod A tétel igaz akkor i, ha p < a, legyen a = 34 é p = 7. Az RSA algoritmua (mod 7) Az RSA azt haználja ki, hogy két nagy prímzámot könnyen özezorozhatunk, vizont puztán a zorzat imeretében jelenlegi tudáunk zerint nem tudjuk elfogadható időn belül vizafejteni a prímzámokat. Az algoritmu előkézítő lépéében mindenki generál magának privát é publiku kulcokat, majd a publiku kulcokat nyilvánoágra hozzák. A kulcgenerálá lépéei a következők: 1. Legyen p é q elegendően nagy prímzámok, é p q 2. N pq 3. ( N) ( p 1)( q 1) 4. Legyen e olyan zám, amelyre igaz, hogy lnko( e, ( N)) 1 é e 3 5. Legye d olyan zám, amelyre igaz, hogy ed 1 (mod ( N)) 6. A nyilváno kulc legyen: ( Ne, ), a privát kulc pedig d A nyilváno kulcból e -t az euklidezi algoritmual kereük meg. Ez a zám lehet kici i, így az i megfelelő, ha 3-tól kezdve egyeével tezteljük az egéz zámokat, hogy megfelelőek-e. Rendzerint 11- nél tovább ritkán kell elmenni. A d meghatározáához pedig a kiterjeztett euklidezi algoritmura van zükég. Jelöljük x -el a kódolandó üzenetet, y -al pedig a kódolt változatát. Ekkor a kódolá a következő módon zajlik: e y x (mod N) A dekódolá menete pedig a következő: d x y (mod N)

63 A támadónak zükége van d értékére ahhoz, hogy az üzenetet meg tudja fejteni. Ehhez a nyilváno e mellett zükége van ( N) értékére i, amit elvileg a zintén nyilváno N -nől meg lehet határozni. Korábban vizont láttuk, hogy egy megfelelően nagy zám eetén annak prímtényező felbontáa túl zámítáigénye, gyakorlatilag kivitelezhetetlen, így a támadó N alapján nem képe ( N) -t, é így d -t meghatározni. Az alábbiakban bemutatjuk az RSA működéét egy egyzerű példán. 1. Legyen p 73 é q N pq ( N) ( p 1)( q 1) e legyen 11, mert lnko(10800,11) 1 5. d értéke 5891, mert ed 1 (mod 10800) 6. A nyilváno kulc tehát: (11023, 11), míg a privát kulc Titkoítuk az x 17 üzenetet! (mod11023) Dekódolá: (mod 11023) 17 Az ajánláokban általában minimum 1024 bite kulcméret zerepel, de katonai alkalmazáoknál 2048, vagy ennél nagyobb kulcméretek i előfordulnak. A tapaztalatok azt mutatják, hogy az RSA, haonlóan a többi nyilváno kulcú kódoló eljárához, nagyágrendekkel laabb, mint a blokk-kódolók. Emiatt az RSA-t az üzenetváltának cupán bizonyo lépéeinél, például a kulc megoztánál alkalmazzák. Az alábbiakban megmutatjuk, hogy az RSA helyeen működik, azaz bizonyítuk az alábbi állítát: ( e d x ) x (mod N) Tudjuk, hogy d az e -nek mod ( N) -ben multiplikatív inverze, azaz ed 1 (mod ( N)) Tehát ez azt jelenti, hogy ed egy olyan egéz zám, amit ( N) -el eloztva 1-et kapunk maradékul, az oztá egéz rézét pedig jelöljük v -vel: Az eredeti állítát a következő módon írhatjuk át: ed v ( N) 1 v ( N) 1 x x N (mod ) Az állítá igazoláához előzör egy egédállítát kell belátnunk. Bizonyítuk be, hogy tetzőlege x é értékek, é tetzőlege u prímzám eetén igaz a következő:

64 u ( 1) 1 x x u (mod ) Két eetet kell megvizgálnunk, az elő az, mikor x -et nem oztja u, ekkor a ki Fermat-tétel egítégével az állítá belátható: u1 u1 u1 x u x u x x x u 1 (mod ) ( ) 1 (mod ) ( ) (mod ) A máik eet vizont az, mikor x -et oztja u. Ekkor u é x nyilván nem relatív prímek, tehát ekkor a ki Fermat-tételt nem alkalmazhatjuk, tehát az előző eet bizonyítáa ide nem jó. Mivel x -et oztja u, ezért az oztá maradéka 0, azaz: x x x u u ( 1) 1 0 (mod ) Tehát a egédállítáunk igaz. Ezek után már minden adott az eredeti állítá bizonyítáához. Ezt zeretnénk belátni: Tudjuk, hogy ha u prím. Valamint v ( N) 1 x x N (mod ) u ( 1) 1 x x u (mod ), ed v ( N) 1 v( p 1)( q 1) 1. Legyen 1 v( p 1), é 2 v( q 1). Ezek alapján igazak a következők: 1 ( q x 1) 1 x (mod q) 2 ( p x 1) 1 x (mod p) 1 Vagyi q oztja ( q x 1) 1 2 x-et é p oztja ( p x 1) 1 x-et, tehát pq N oztja Ebből következik, hogy v ( N) 1 x x N (mod ), ami pedig az eredeti állítáal ekvivalen. x x v ( N) 1 -et. Ez alapján igaz az i, hogy ( d e x ) x (mod N), erre majd az üzenethiteleíténél lez zükégünk. Az RSA alkalmazáa digitáli aláírára Tegyük fel, hogy Bob az x üzenetet zeretné elküldeni Alice-nak. Bob privát kulca legyen kpr d, nyilváno kulca pedig k ( n, e). Bob eljuttatja ( ne, ) -t Alice-nak. Az üzenet elküldée előtt Bob pub kizámolja x -re a digitáli aláírát: d x mod n. Bob elküldi Alice-nak ( x, ) -t. Alice fogadja az

65 e üzenetet, é ellenőrzi a kapott aláírát, mégpedig úgy, hogy dekódolja -t: x mod n. Amennyiben Alice azt tapaztalja, hogy x x, akkor bizto lehet vele, hogy az aláírát Bob privát kulcával kézítették, tehát az aláírá helye. Mivel cak Bob imeri d értékét, ezért má nem képe a megfelelő -t előállítani, tehát bizto, hogy Bob küldte az üzenetet. Abban az eetben, ha Eve elfogja az ( x, ) párot, megváltoztatja x -et, a megfelelő -t i ki kellene zámolnia, de erre nem képe, hizen nem rendelkezik Bob privát kulcával. Láunk erre egy konkrét zám példát! Legyen az elküldendő üzenet x 4. Generáljunk megfelelő RSA privát é publiku kulcot, ahol a lépéek a következők: 1. Legyen p 3 é q n pg ( n) (31)(11 1) Legyen e 3 5. d 1 e 7 mod 20 Bob elküldi Alice-nak a aját nyilváno kulcát, mégpedig a (33,3) -at. Az üzenet elküldéekkor pedig kizámolja az x 4 üzenet digitáli aláíráát: d 7 x 4 16 mod 33 Bob ezek után elküldi ( x, ) (4,16) -ot Alice-nak. Alice ellenőrzi az üzenet hiteleégét, kizámolja x - et: Mivel x x, ezért bizto, hogy az aláírá helye. x e mod 33. Ez a módzer egyzerű, ám van egy hátránya: RSA eetében könnyen látható, hogy az x nem lehet nagyobb, mint n. Sajno haonló korlátozá érvénye má nyilváno kulcú kódolóra i, ezért bonyolultabb aláírái módzert kell alkalmazni. Bontuk az x üzenetet n darab zeletre, ahol minden módzerrel állítuk elő a privát kulc egítégével minden x i (1 I n) zeletre igaz, hogy xi x i zelet aláíráát: n. A fenti d x mod n. A kapott i -et pedig özefűzve megkapjuk a telje x üzenet digitáli aláíráát. i i

66 13. ábra Naiv módzer a digitáli aláírá előállítáára Az aláírát továbbá em képe má reprodukálni. A módzer azonban egyrézt nem hatékony, márézt nem i biztonágo. A nyilváno kulcú kódolók közimerten laúak, tehát nagy üzenet eetén rendkívül okáig tartana előállítani az egye üzenetpecét zeleteket. A máik hátrány, hogy a kapott aláírá mérete nagyágrendileg akkora, mint az eredeti üzenet, tehát az elküldendő adatmennyiég közel megkétzereződik, ez pedig elfogadhatatlan tárolá, illetve hálózati átvitel zempontjából. A legúlyoabb ellenérv pedig a módzer támadhatóága: Eve a nélkül átrendezheti a továbbítandó ( x, ) párokat, hogy arról Alice vagy Bob tudomát zerezne. i i A gyakorlatban ténylegeen alkalmazott megoldá az, hogy előzör zámoljunk ki egy rövid hah-t a telje üzenetre, ezt kéőbb h-val jelöljük, majd cupán ez utóbbit kódoljuk nyilváno kulcú kódolóval. 14. ábra A helye aláírá generálá Ez a módzer kijavítja az előző hibáit. A hah függvényt úgy kell megadni, hogy annak kimenetére alkalmazható legyen az nyilváno kulcú kódoló. Mivel cak egy rövid bitorozatra alkalmazzuk a kódolát, ezért a kapott aláírá mérete kici lez, valamint az gyoran i zámolható. Továbbá a támadó nem tud mit átrendezni az elküldött ( x, ) -ben anélkül, hogy ez a fogadónak fel ne tűnne. Láuk

67 formálian, hogyan néz ki a fenti módzer. Az elküldendő üzenet továbbra i x. Bob nyílt kulca: privát pedig k pr. 1. Bob előzör kizámolja az x -re a hah-t: z h( x) 2. Bob z-ből kizámolja a digitáli aláírát: ig ( z) k pr k pub, a 3. Bob elküldi ( x, ) -t Alice-nak, aki elvégzi az ellenőrzét. Ő i kizámolja a hah függvény értékét: z h( x). Végül ellenőrzi, hogy ha dekódolja -t, akkor ugyanazt a hah értéket kapja-e, mint amit ő kizámolt. Tehát, ha z k (), akkor a digitáli aláírá helye, egyébként pedig pub helytelen. Mot láuk, hogy Eve hogyan támadhatja a digitáli aláírát. Nyilván Eve, ahogy bárki má, Bobnak cak a nyilváno kulcát imeri, a privátat nem. Eve elfogja Bob üzenetét, é megváltoztatja az x üzenetet x -re. Ekkor nyilván új digitáli aláírát kell mellékelni a megváltoztatott üzenethez, ha ez ikerülne, akkor Alice nem venné ézre, hogy átveré áldozata lett. Eve x hah értékét nyilván ki tudja zámolni: z h( x). A következő lépé pedig az, hogy Bob privát kulcával kódolja z -t, ám erre nem képe, hizen nem rendelkezik a megfelelő kulccal.

68 IV. MELLÉKLET A SZÜLETÉSNAP-TÁMADÁS MATEMATIKAI HÁTTERE Az alábbi feladat a zületénap paradoxon nevet vieli. A kérdé az, hogy hány embernek kell lennie egy zobában ahhoz, hogy legalább 0.5 legyen annak a valózínűége, hogy van két ember, akiknek azono napon van a zületénapjuk? Tegyük fel, hogy nincenek a zobában ikrek é zökőév incen. Jellemzően az elő válaz, ami az eetek többégében elhangzik, az, hogy 365 / 2 emberre van zükég, holott valójában elég cupán 23. A feladat maga tehát nem paradoxon, cupán azért alkalmazzák rá ezt a megjelölét, mert elő hallára talán furcának hangzik a helye megfejté. Ahhoz, hogy megértük, miért elég 23 ember, vegyük ézre, hogy a feladat nem azt kérdezi, hogy egy kiválaztott zemélyhez találunk-e olyan párt, akinek ugyanazon a napon van a zületénapja. Itt 23 23*22 tetzőlege párokat kereünk. 23 zemély eetén pedig 253 pár alkotható. Annak a 2 2 valózínűége, hogy mindenki máik napon zületett: n 1 P(mindenki máik napon zületett) Ennek ellenkezőjének valózínűége pedig: n 1 P(legalább két embernek azono napon van a zületénapja) Ez utóbbi valózínűég n 23 eetben pedig Ezt a gondolatmenetet alkalmazhatjuk az üzenetpecétekre i. Határozzuk meg, hogy ha 0.5 valózínűéggel lehet találni két olyan hah függvény bemenetet, amelyekre a kimenet azono, akkor egy n bite kimenettel rendelkező hah függvénynél mennyi próbálkozára van zükég? A fenti valózínűég képletet az alábbi módon írhatjuk át: t1 1 2 t1 i P(ninc ütközé) n n n n i1 2 Itt a t jelöli azt, hogy mennyizer érdeme próbálkozni, míg megfelelő bemeneteket találunk. A folytatához zükégünk lez egye közelítő képletre. Az 15. ábra láthatjuk piroal az 1 x, kékkel pedig az x e függvényt. Látható, hogy amennyiben x nagyon közel van az 1-hez, akkor x e 1 x. Mivel i e n rendkívül közel van 0-hoz, ezért a fenti közelítét alkalmazhatjuk a valózínűég kizámítáára:

69 t1 i 123 t1 n n 2 2 P(ninc ütközé) e e i1 15. ábra Az x e é az 1 x függvények A képlet jobb oldalán látható zámlálót helyetteíthetjük az alábbi módon: tt ( 1) t 1 2 Ezt felhaználva a valózínűég képletét a következő módon közelíthetjük: t( t1) t( t1) n n1 2*2 2 P(ninc ütközé) e e Ahogy korábban i írtuk, jelöli annak a valózínűégét, hogy legalább egy ütköző bemenetpárt találunk: 1 e tt ( 1) n1 2 Mivel arra vagyunk kívánciak, hogy mennyi t próbálkozára van zükég ahhoz, hogy valózínűéggel ütközét találjunk, rendezzük a fenti egyenletet t -re: tt ( 1) ln(1 ) 1 2 n tt ( 1) 2 ln 1 n 1 1 Mivel t egy elegendően nagy zám, ezért a fenti egyenlet bal oldalát így közelíthetjük: t( t 1) t 2

70 Ezek után az egyenlet a következőképpen rendezhető: t n1 ( n1)/2 2 ln 2 ln A fenti képlet imeretében határozzuk meg, hogy n = 80 bite hah függvény kimenetnél mennyire érdeme t-t, válaztani, azaz mennyi próbálkozára van zükég ahhoz, hogy 0.5 valózínűéggel találjunk ütközét: 1 t 2 ln / A fenti eredmény imerete nélkül azt gondolnánk, hogy ha egy hah algoritmu kimenete 80 bite, akkor a támadónak 2 üzenetet kell átnéznie, mire megfelelőt talál. Ám valójában elég 2 darabot átnéznie, ez pedig a ma haználato zámítógépek teljeítményét figyelembe véve rendkívül kici mennyiég, akár egy egyzerű laptop egítégével i találhatunk egyező kimenettel rendelkező bemeneteket.

71 V.MELLÉKLET AZ SHA-1 ÜZENETPECSÉT Alapműveletek Mielőtt belemerülnénk az SHA-1 algoritmu rézleteibe, bemutatjuk a felhaznált alapműveleteket. Bitenkénti XOR A művelet megegyezik az AES kódolónál imertetettel, azaz a művelet két operandua 1-1 bitorozat, az eredmény bitorozatban azon a helyiértéken van 1, ahol a két operanduban a bitek különböztek egymától, formálian, ha A é B bitorozatok: Példa: = AB C, ahol Ci 1 akkor é cak akkor, ha Ai Bi. Bitenkénti AND A bitenkénti AND, vagy ÉS műveletben a kimenet i. bitje akkor é cak akkor 1, ha a bemenetek i. bitjei zintén 1-ek: Példa: = AB C, ahol C 1 akkor é cak akkor, ha A B 1. i Bitenkénti OR A bitenkénti AND, vagy ÉS műveletben a kimenet i. bitje akkor é cak akkor 1, ha a bemenetek i. bitjei közül legalább az egyik 1. Példa: = AB C, ahol C 1 akkor é cak akkor, ha A 1 vagy B 1. Balra_forgatá Adott egy x bitorozat, ezt balra forgatjuk n pozícióval, é feltételezzük, hogy n kiebb, mint x hoza. A forgatá orán n -el balra toljuk a biteket, é az eredeti orozat n darab legmagaabb helyiértéken lévő bitet a orozat végéhez illeztjük. Példa: balra_forgatá(110010, 2) = i Özeadá mod ben Adottak A é B 32 bite előjel nélküli egéz változók. Az özeadát az alábbi módon végezzük el: AB C 32 mod 2 Példa: adjunk öze két zámot, amelyeket hexadecimáli formában írunk fel: i i i i

72 0xCA62C1D6 + 0x8F1BBCDC 0x597EEB2 mod 0x Megjegyezzük, hogy ezt a műveletet C/C++-ban rendkívül egyzerűen implementálhatjuk, ugyani ezen nyelvekben a 32 bite előjel nélküli típuok özeadá művelete pontoan így működik. Az SHA-1 működée A legtöbb hah függvény úgy működik, hogy valamilyen előkézítő lépé után azono hozúágú blokkokra bontja a bemenetet. Ezen blokkokon egyenként végrehajt valamilyen tömörítő eljárát, azaz az l bit hozú blokkot leképezi egy rövidebb, m bite blokkra. A tömörítőnek kettő bemenete van, az egyik az előzőleg leképezett m bite blokk, a máik pedig a következő blokk. Miután elfogytak az l bite blokkok, a tömörítő legutoló kimenete lez a hah függvény kimenete i, ezt a működéi folyamatot reprezentálja a 16. ábra. Az SHA-1 függvény kimenete 160 bite, é a bemenetet 512 bit hozúágú blokkokra bontja. x = x 1 x 2 x n 512 H 0 tömörítő függvény H i ábra Az SHA-1 működée A fent vázolt algoritmu előtt azonban ki kell egézíteni a bemenetet, ugyani nem bizto, hogy a bemenet hoza oztható 512-vel. Elő lépéként a bemenetet ki kell egézíteni egy 64 bite információval, amely leírja, hogy az eredeti bemenet hány bit hozú. Amennyiben zükége, kiegézítő 0 biteket fűzűnk a 64 bite információ elé, hogy kijöjjenek az 512 bit hozú blokkok. A lépéek a következők: 1. Az x bitorozat után egy darab 1-e bitet fűzűnk. 2. Kizámoljuk, hogy hány darab 0-val kell kibővíteni a orozatot: k l 448 ( l 1) mod 512

73 3. Az 1-e bit után fűzünk k darab 0-t az x bitorozatban. 4. Végül az x-hez hozzáfűzzük a 64 bite előjel nélküli egéz értéket, mégpedig úgy, hogy ez l-t, azaz x eredeti bithozát tárolja. Fonto, hogy ez a 64 bite érték big endian kódolában kerüljön a orozat végére! Ebből látzik, hogy az SHA-1 algoritmu legfeljebb bit hozúágú adathalmazt képe feldolgozni. Láunk egy példát a bemenet kiegézítéére: Legyen a bemenet a következő tring: x = abc a b c Az üzenet után egy 1-e bitet fűzünk, ekkor a következő orozatot kapjuk: Tudjuk, hogy l = 24, ezért k = 448-(24+1) mod 512 = 423 darab 0-t i a orozat végére kell fűznünk: Végül az l = 24-et egy 64 bite zámként a orozat végéhez illeztjük: db db bite egéz A blokkok feldolgozáa Az alábbiakban bemutatjuk, hogy milyen tranzformációkat végez a tömörítő függvény egy blokkon. Az egyzerűég kedvéért ezek után jelöljük x -el magát a blokkot. Az SHA-1 rendelkezik 5 darab 32 bite belő változóval, amelyek végül a kimenetet tárolják majd, ám ezeknek a legelő blokk feldolgozáa előtt beállítunk bizonyo kezdőértékeket (a többi blokk előtt már nem): H0 0x H1 0xEFCDAB89 H2 0x98BADCFE H3 0x H4 0xC3D2E1F0 A blokk feldolgozáa két főbb lépéből áll. Előzör fel kell töltenünk egy 80 elemű, w nevű tömböt, amely 32 bite egézeket tárol. A tömböt 0-tól kezdjük indexelni. Az x -et, vagyi a blokkot pedig 16 darab 32 bite zóra bontjuk: x = x0, x1,, x15. A w tömböt a következő módon töltjük ki: Ha 0 i 15, akkor w[i] = x i Egyébként w[i] = balra_forgatá(w[i-3] w[i-8] w[i-14] w[i-16], 1).

74 A blokk feldolgozáához zükégünk lez 5 darab 32 bite ideiglene változóra i, ezeket jelöljük A, B, C, D, E-vel. A blokk feldolgozáa előtt inicializáljuk ezeket a változókat: 1. A = H 0 2. B = H 1 3. C = H 2 4. D = H 3 5. E = H 4 A tömörítő eljárá 4*20 iterációt hajt végre ezeken az ideiglene változókon, majd ezen iterációk után elvégezzük az alábbi műveleteket: H H H H H 32 0 A H0 (mod 2 ) 32 1 B H1 (mod 2 ) 32 2 C H2 (mod 2 ) 32 3 D H3 (mod 2 ) 32 4 E H4 (mod 2 ) A következő blokk feldolgozáakor pedig ezen iteráció, amit az A, B, C, D é E változókon végre kell hajtani: 1. Ciklu i := 0-tól 79-ig a. TEMP = balra_forgatá(a, 5) + f(b, C, D) + E + K + w[i] b. E = D c. D = C d. C = balra_forgatá(b, 30) e. B = A f. A = TEMP 2. Ciklu vége H i értékekből indulunk ki. Végül láuk, miből áll a 80 Az alábbi ábra a fenti blokk-feldolgozá lépéeit mutatja, az F-doboz a fenti f műveletet jelöli.

75 A fenti algoritmuban zereplő K kontan é f függvény az i cikluváltozó függvénye, ezt tartalmazza az 5 táblázat. 5. táblázat Az SHA-1 tömörítő algoritmua által haznált kontanok é függvények i f K 0 i 19 f = D ( B ( C D ) ) 0x5A i 39 f = B C D 0x6ED9EBA1 40 i 59 f = (B C) (B D) (C D) 0x8F1BBCDC 60 i 79 f = B C D 0xCA62C1D6 Az SHA-1 tehát képe 512 bitnél rövidebb bemenetre i kimenetet zámolni. Jól imert teztmondat a következő: The quick brown fox jump over the lazy dog. Az SHA-1 a következő hexadecimáli kimenetet adja erre a mondatra: 2FD4E1C6 7A2D28FC ED849EE1 BB76E739 1B93EB12. Haonlóan értelmezhető az üre tring i mint bemenet, ennek a kimenete: DA39A3EE 5E6B4B0D 3255BFEF AFD80709.

76 VI. MELLÉKLET A GRAIN-128 FOLYAMTITKOSÍTÓ Jellemzők: Svéd-vájci tervezé 128 bite titko kulc + 96 bite IV LFSR alapú Nagyon alacony hardver igény Kevé pluz hardverrel gyorítható, akár 32x eddig ellenáll a támadának Áttekinté: egy lineárian é egy nemlineárian vizacatolt léptető regizter (LFSR é NFSR) kombinációja. A vizacatoláok egyenletei: ahol A = {2, 15, 36, 45, 64, 73, 89}

77 Inicializálá: Az inicializálá lépéei: Titko kulc (128 bit) >> NFSR IV (96 bit) >> LFSR alja (teteje 1-eekkel) 256 órajelig járatva Gyorítá a vizacatoláok többzörözéével lehetége. A lényeg, hogy a legnagyobb területet elfoglaló léptetőregiztereket nem kell többzörözni: A Grain hardver igénye (gate count) különböző gyorítáok eetén, ha a NAND2=1 kapu, NAND3=1.5 kapu, XOR2=2.5 kapu, a D-FF pedig 8 kapu:

78

79 VII. MELLÉKLET A RABBIT FOLYAMTITKOSÍTÓ Jellemzők: Dán tervezé 128 bite titko kulc, 64 bite IV 8 db. 32 bite állapot regizter, 8 db. 32 bite zámláló é egy carry bit: özeen 513 bite tate Az állapotváltozók nemlineárian függnek egymától (ninc S-doboz é LFSR!!) Gyor zoftver megvalóítá: byte-orientált, é az egéz tate elfér a regizterekben eddig ellenáll a támadának Áttekinté: Az x 0,i a 0-dik állapotregiztert, a c 0,i a 0-dik zámlálót jelöli az i-edik ütemben. A <<< művelet a megadott zámú rotálát jelenti.

80 Az állapotregizterek zámítáának módja: A >> művelet a jobbra hiftelét jelenti a megadott zámú pozícióval. Látható, hogy az alkalmazott nemlineári művelet a négyzetre emelé. A hatékonyágot növeli, hogy a byte-o eltoláok megvalóíthatók egyzerű byte-cerével a regizteren belül. A zámlálók léptetéének egyenletei: A carry bit:, az a i kontanok:

81 Az álvéletlen bitfolyamot 128 bite darabokban állítják elő az állapotregizterekből, az alábbi egyenletekkel: A tate inicializáláához az alábbi kezdő állapotot állítják be (K a 128 bite titko kulc, k 0 = K [15..0], k 1 = K [31..16], tb): Ezzez a kezdő állapottal 4 cikluig járatják a titkoítót, majd a 64 bite IV-t i belekombinálják (XOR művelettel) a zámlálók állapotába. A Rabbit teljeítménye zoftver megvalóítá eetén, 8 KB adat titkoítáakor az alábbi táblázatban látható, különféle (gyenge) procezorokra. Az elő ozlop az órajelcikluok záma, a máodik a kód mérete byte-okban, a harmadik pedig a felhaznált memória, zintén byte-okban. A mezőkben lévő 3 érték a rejtéi iteráció / kulcinicializálá / IV inicializálá adatát mutatja. Az 513 bite tate egy 68 byteo truktúrában van tárolva. Célhardvere megvalóítá eetén 0.18 um-e CMOS technológiával 4100 kapuval valóítható meg a Rabbit, mm 2 felületen, é ezzel 500 MBit/ működéi ebeég érhető el. Ez a ebeég több hardver felhaználáával növelhető, a 32 bite négyzetre emelé pipeline-o gyorítáával (3 db 16*16 bite zorzá é egy özeadá). Az elérhető ebeégek:

82