Kriptográfia Első előadás A kriptográfiáról általában

Kriptográfia Első előadás A kriptográfiáról általában Dr. Németh N L. Zoltán SZTE, Számítástudom studomány Alapjai Tanszék 2008 ősz

Mi a kriptográfia? Kriptográfia: a szó görög g eredetű (kriptos = eltitkolt, elrejtett + graphein= írni) A 70-es évekig csak a üzenetek titkosításának módszereit értették k alatta. Mára jelentése kibővült: Az informáci cióvédelem algoritmikus (nem fizikai, ügyviteli stb.) oldala,, A kriptográfia azoknak a matematikai eljárásoknak, algoritmusoknak, biztonsági rendszabályoknak kutatását, t, alkalmazását t jelenti, amelyek elsődleges célja az informáci ciónak illetéktelenek előli li elrejtése.'' /IT biztonsági fogalomtár: ld. www.fogalomtar.hu / 2

Kriptoanalízis zis, kriptológia Kriptoanalízis zis: : kriptográfiai rendszerek elemzése, és s feltörésének kutatása. /Hagyományosan a titkosított tott üzenet megfejtése a kulcs ismerete nélkn lkül./ l./ Kriptológia gia: : kriptográfia + kriptoanalízis Más s besorolás s szerint: Kriptográfia : inform.. védelmi v alkalmazások Kriptológia : az elmélet let amin alapszik. 3

Informáci ció biztonság Az informáci ciónak illetéktelenek előli li elrejtése jelenti az az informáci ció titkos tovább bbítását az informáci ció titkos tárolt rolását Védelmet kell biztosítani tani a megsemmisülést stől az eltulajdonítást stól Ez a két k t védelmi v szempont egymással ellentétes: tes: egy példp ldányban sok példp ldányban tároljuk az adataikat? 4

Kriptográfia - szteganográfia Szteganográfia fia(adatrejtés, data hiding),,a szteganográfia üzenetek elrejtése, tipikusan az üzenetnél l nagyobb adathalmazban úgy, hogy az üzenetátadás s ténye t is rejtve marad a külsk lső megfigyelő számára.'' /fogalomtár/ - láthatatlan tintával - rabszolga fejbőrére re írva (hátr tránya meg kell várni, míg m g kinő a haja) - képben a színeket leíró bájtok alacsony helyiért rtékű bitjeiben (szemre nem láthatl tható) - szórt spektrumú adásban (fehér r zajként észleli a külsk lső megfigyelő) 5

Biztonsági célok c / szolgáltat ltatások bizalmasság (confidentiality, privacy, secrecy) Csak azok érhessék k el az informáci ciót, akik arra jogosultak. 1. bizalmass (security services) 2. sértetlenség (data integrity) Védelem az adatok jogosulatlan módosm dosítása sa ellen pl. beszúrás, s, törlt rlés, helyettesítés. s. 3. hitelesség (authenticity) a kommunikáci ció szereplőinek hitelesítése se (partner authentication) az üzenetek hitelesítése se (eredet, tartalom, küldk ldési idő, stb., message authentication) /Ez implicit módon m magába foglalja a sértetlenss rtetlenséget is: Ha az üzenet a küldk ldőtől l származik, nem módosm dosíthatták./ 6

Biztonsági célok c / szolgáltat ltatáson (security services) II 4. letagadhatatlanság (non-repudiation) Annak elérése, hogy valamelyik fél f l letagad- hassa korábbi kötelezettsk telezettségvállalását t vagy cselekedetét, t, mert a letagadhatatlanság alkalmazásakor az ilyen vitákat egy megbízhat zható harmadik fél f l (trusted( third party) helyesen el tudja dönteni. d Pl. "elektronikus aláí áírás s = az üzenet hitelesítése se + letagadhatatlansága" ga" 7

A kriptográfia alapvető feladatai rejtjelezés/megfejt s/megfejtés (encryption/decryption) elektronikus aláí áírások, időpecs pecsétek (digital signature, time stamp) hitelesítés (certification) partnerazonosítás identifikáci ció (identification) azonosító hitelesítése se autentikáci ció (authentication) jogosultságok gok kiosztása sa autorizálás,, tulajdonság birtoklás (authorization, attribute ownership) hozzáférés s szabályoz lyozás (access-control) titokmegosztás, s, titokszétv tvágás (secret sharing/spitting spitting) 8

Alkalmazási területek titkosított tott üzenetküldés (encryption) ez a klasszikus kriptográfia hozzáférés s szabályoz lyozás (acess control) pl. szoftverek, adatbázisok védelme, v pay per view TV csatornák banki tranzakciók elektronikus kereskedelem vevő+bank+bolt, mindenki csak a rár tartozó informáci ciókat lással elektronikus pénztp nztárca elektronikus szavazás (anonimitás s is kell!) elektronikus publikáci ció 9

"A kriptográfia önmagában nem védelem" (Virrasztó Tamás) A kriptográfia csak a védelem v algoritmikus oldala. Nem tartoznak ide: - az implementáci ció részletei - az ügyviteli rendszabályok - a fizikai védelemv stb. A védelem v erőss ssége mindig a leggyengébb láncszemen múlik. m (Az emberi tényezt nyező?) 10

Szintén n nem lesz szó... általános üzemeltetési és biztonságtechnik gtechnikáról kockázatelemz zatelemzésről vírusvédelemről, l, tűzfalakrt zfalakról biztonsági résekrr sekről és s kihasználásukr sukról hackelési és crackelési technikákr król => computer security, network security (Persze ezek is használj lják k a kriptográfi fiát.) 11

A kriptográfia rendszerek hierarchiája kriptográfiai primitívek (algoritmusok) kulcsnélk lküli li (egyirány nyú fgv, hash fgv., véletlenszám generátorok) titkos kulcsú (egyirány nyú fgv,, blokk- és s folyamtitkosítók) k) nyilvános nos kulcsú (PKI titkosítók, k, kulcsegyeztetők, k, aláí áíró alg.) kriptográfiai sémák s (ezek vezérlik a primitívek összekapcsolását, azok kriptográfiai alkalmazásait) kriptográfiai protokollok = több t résztvevr sztvevős s algoritmusok, melyben a a részvevr szvevők k számításai sai és üzenetküldései egyértelm rtelműen en meghatározottak. kriptográfiai alkalmazások (pl. a GSM kriptográfiai alrendszere, SET elektronikus fizetés s védelmv delmére kidolgozott rendszer) 12

Titkosítási si alapfogalmak I nyílt szöveg (plaintext): az eredeti érthető üzenet, melyet védeni v szeretnénk nk titkosított tott (rejtjelezett) szöveg (ciphertext): a titkosítással ssal átalakított tott üzenet kulcs (key)) a titkosításhoz/megfejt shoz/megfejtéshez shez használt kritikus informáci ció. (A szimmetrikus kulcsú titkosítás s biztonsága azon alapszik, hogy a kulcsot csak a feladó és s a címzett c ismeri). 13

Titkosítási si alapfogalmak II titkosítás (enciphering, encryption): a nyílt szöveg ''olvashatatlanná tétele" tele" a kulcs segíts tségével. titkosító algoritmus (cipher) megfejtés (deciphering, description): a títkosítotttott szöveg visszaalakítása sa nyílt szövegg veggé a kulcs segíts tségével. feltörés (break): /első közelítésben/ a titkosított tott szövegb vegből l a nyílt szöveg rekonstruálása sa a kulcs ismerete nélkn lkül l (Részletesen lásd l később k a támadásfajták k ismertetésénél.) 14

Résztvevők A: (Al( Alíz, Alice) ) feladó (sender) B: (Bob, Béla) B címzett c (receiver( receiver) /estenként nt fordítva/ C, D : (Carol( Carol, Dave) további kommunikáló felek E: (Éva,( Eve) ) lehallgató (eavesdropper) /passív támadó/ M: (Máté, Malory) ) aktív v támadt madó (malicious active attacker) 15

Passzív támadás 16

Aktív v támadt madás 17

Titkosító rendszerek csoportosítása sa a kulcsok száma alapján: - szimmetrikus v. egykulcsú - aszimmetrikus v. két k t kulcsú v. nyilvános nos kulcsú - hibrid (a fenti kettőt ötvözi) a használt műveletek m szerint - helyettesítő - keverő - produkciós s (összetett( v. kompozíci ciós) a nyílt szöveg feldolgozása szerint - blokktitkosítók - folyamtitkosítók 18

A szimmetrikus titkosítás modellje 19

A nyilvános nos kulcsú titkosítás modellje 20

Kriptoanalízis a cél c l a kulcs megtalálása, nem csak az üzenet megfejtése általános megközel zelítésben lehet: - teljes kipróbálás (exhaustive search, brute-force force) az összes lehetséges kulcs kipróbálása - kriptoanalízisen alapuló támadás pl. betűgyakoris gyakoriságra gra v. más m s statisztikai jellemzőkre támaszkodvat 21

Kreckhoff követelmények Auguste Kerchoffs von Nieuwelhof holland nyelvészt sztől l (1883-ból!) 1. Ha egy rendszer elméletileg letileg nem feltörhetetlen, akkor a gyakorlatban legyen az. Egy rendszer elméletileg letileg biztonságos gos,, ha feltörésének valósz színűsége független a támadt madó számítási si kapacitásától és s a támadt madásra szánt időtől. gyakorlatilag biztonságos gos,, ha a feltöréséhez szüks kséges legjobb (ismert!) algoritmus idő vagy tárkorlt rkorlátja annak alkalmazását lehetetlenné teszi. nem biztonságos gos,, ha ismert feltöréséhez kielégítő tár és időkorl korlátos algoritmus. A teljes kipróbálás s lehetősége miatt legtöbbsz bbször r csak a "gyakorlatilag biztonságos" szint elérésére re törekedhett rekedhetünk. 22

Kreckhoff követelmények II 2. A rendszer egy részr szének (tipikusan a használt titkosító algoritmusnak) a kompromittálódása (kitudódása), ne okozza a rendszer egész szének kompromittálódását. t. Azaz a biztonság egyedül l a kulcsnak, és s ne magának az algoritmusnak a titkosságán n lapuljon. Kriptoanalízisben feltesszük, hogy a támadt madó a rendszert ismeri. Mert: - tömeges méretm retű alkalmazásokn soknál úgy sem lehetne az algoritmust titokban tartani - az algoritmus az implementáci ciókból l visszafejthető - a kriptográfia törtt rténete mind ezt igazolja - egy nyilvános, nos, tesztelt módszer m nagyobb bizalmat érdemel mint egy soha nem látott l,,szupertitkos Ez a Kerckhoff-elv elv. 23

Kreckhoff követelmények III 3. Az alkalmazott kulcsnak feljegyzések nélkül is könnyen megjegyezhetőnek és megváltoztathat ltoztathatónak kell lennie. 4. A titkosított tott szöveg táviratban is tovább bbítható legyen. 5. A titkosító rendszer legyen hordozható és egy személy által is üzemeltethető. 6. A rendszer legyen egyszerű,, könnyen k kezelhető,, ne igényelje listányi szabályok betartását. t. 24

Kriptoanalízis a cél c l a kulcs megtalálása, nem csak az üzenet megfejtése általános megközel zelítésben lehet: - teljes kipróbálás (exhaustive search, brute-force force) az összes lehetséges kulcs kipróbálása - kriptoanalízisen alapuló támadás pl. betűgyakoris gyakoriságra gra v. más m s statisztikai jellemzőkre támaszkodvat 25

Titkosítás s elleni támadt madások csak titkosított tott szöveg alapú (cipertext only) ismert nyílt szöveg alapó (known plaintext) választott nyílt szöveg alapú (choosen plaintext) választott titkos szöveg alapú (choosen cipertext) 26

Kriptorendszerek értékelési szempontjai a titkosság g mértm rtéke (level( of security) funkcionalitás s (functionality( functionality) működési módok m (modes( of operation) teljesítm tmény (performance( performance) a megvalósíthat thatóság g könnyk nnyűsége (ease( of implementation) 27

A biztonság g fogalma Feltétlen tlen biztonság (unconditional security, perfect secrecy) Függetlenül l a rendelkezésre álló titkos szöveg mennyiségétől, időtől és s számítási si kapacitást stól l a titkosítás nem törhett rhető fel,, mert a titkosított tott szöveg a kulcs ismerete nélkn lkül l nem hordoz elég g informáci ciót t a nyílt szöveg rekonstruálásához. (Csak az egyszeri hozzáad adásos módszer m /one/ one-time pad/ ilyen.) Kalkuláci ciós s biztonság (computational security) Adott korlátos számítási si kapacitás s mellett (pl. a szüks kséges idő több mint az univerzum életkora) a titkosítás nem törhett rhető fel a ma ismert(!) algoritmusokkal (pl. teljes kipróbálással (Brute( Force), vagy ismert faktorizáci ciós algoritmussal) 28

Mennyire biztonságos? A kriptográfiai algoritmus biztonsága függ f - a választott v algoritmus erőss sségétől - a kulcs hosszától Jó algoritmus esetén n a kulcshossz növeln velésével a biztonság g növelhetn velhető. Például ha egy algoritmus csak teljes kipróbálással (Brute Force) ) törhett rhető,, akkor plusz egy bit kétszeres k biztonságn gnövelést jelent. 29

Mennyire biztonságos? II Alapkérd rdés: Mit, ki ellen, mennyi ideig kell védeni? v magántitok / üzleti titok / állam titok szomszéd d / vállalt v / állambiztonsági szervek 10 perc / 1 év v / 30 év A jövőbeli j hardver fejlődés és s a feltörő algoritmusok (pl. faktorizálásra sra) ) fejlődése jósolhatj solható. Bizonyos kockázat persze mindig marad. Azért ne lőjünk l verébre ágyúval (a sebesség jelentősen lassulhat a biztonság g pedig egy határon túl t l már m r kérdk rdéses, hogy növelhetn velhető-e). e). Érdemes követni k a kriptográfusok ajánl nlásait. 30

A teljes kipróbálás s (brute( force) ) a gyakorlatban megvalósíthatatlan lehet Számoljunk egy kicsit! 128 bites kulcs esetén 2 128 =340 282 366 920 938 463 463 374 607 431 768 211 456 lehetőséget kell kipróbálni Ha másodpercenkm sodpercenként nt milliárdszor milliárd, azaz 10 18 kulcsot próbálunk is ki, az kb. 10 13 évet igényel ami több mint az egész univerzum becsült életkora (1.3 10 10 év) és s egy 256 bites kulcs brute force feltörése ennél l 2 128 -szor több t időbe kerül! fizikai korlátok miatt nagyon valósz színűtlen, hogy a brute force ilyen kulcsméretek esetén kivitelezhető! 31

A hamis biztonság g csapdája Ha egy magas kilátó tetején n egy erősnek látszl tszó, ám m valójában korhadt korlát áll, akkor ott nagyobb veszélyben vagyunk, mintha nem lenne ott korlát. Ha a saját t magunk által kitalált lt és/vagy implementált lt "szuper" titkosítást st erősebbnek gondoljuk, mint amilyen az valójában, akkor szintén n veszélyes tévedt vedésben élünk. A kriptográfia nem kezdő programozók játékterepe. Válasszunk inkább megbízhat zható implementáci ciókat, cryptoapi-kat kat.. /pl. CAPICOM.DLL/ 32

Bizalmasság biztonság g? Tény: : A kriptográfia ellenséges hatalmak, bűnözők, b terroristák, crackerek stb. kezében veszélyt jelent. Erre hivatkozva a hatóságok (főleg USA) korlátozt tozták a maximális kulcshosszt (pl. szimmetrikusnál l 40 bit) a kriptográfiai termékek exportját Illetve kikötött tték, hogy csak az exportálhat titkosító technológi giát, aki a kulcsokat letétbe tbe helyezte az államnál l (key( escrow) Pl. 1993: Clipper chip minden chip egyedi kulcsáról volt egy "biztonsági" másolat m az államnál. l. 33

Bizalmasság biztonság g? II Polgárjogi mozgalmak a,,nagy testvér érzés'' ellen. A privát t kommunikáci ciót t védi v az alkotmány is => Erős s kriptográfi fiát t magánszem nszemélyeknek is. 1991: Philip Zimmermann (Pretty Good Privacy, PGP) 128 bites kulcsokkal is! a fegyverexport törvt rvény miatt három h évig zaklatták 96-98 98 óta a korlátoz tozások folyamatosan gyengültek ma már m r lehet 128 bites titkosítást st is exportálni az USA-ból 34

Bizalmasság biztonság g? III De ugyanez a helyzet "kicsiben" is: Engedélyezik lyezik-e e egy cégnc gnél l mindenkinek a titkosított tott levelezés s használat latát? t? A központi k vírusirtv rusirtó,, tűzfal, t spam-sz szűrés működését (általában a tartalomfigyelést) ez lehetetlenné teszi. A rendszergazda pedig felelős s a biztonságért... A nyilvános nos kulcsunkat ezért ne adjuk oda mindenkinek. 35

Felhasznált lt irodalom Virrasztó Tamás: Titkosítás és s adatrejtés: Biztonságos kommunikáci ció és s algoritmikus adatvédelem, delem, NetAcademia Kft., Budapest, 2004. Online elérhet rhető: http:// ://www.netacademia.net/book.aspx?id=1# (1. fejezet, 6.4, 6.5 és s 14.1 függelf ggelék) Papp Pál, Szabó Tamás: A kriptográfiai biztonság megközel zelítési módjai, m Alk. Mat.. Lapok, 23(2006) 207-294 294 William Stallings: Cryptography and Network Security,, 4th Edition, Prentice Hall, 2006. (Chapter( 1) Lawrie Brown előad adás s fólif liái i (Chapter( 1, Chapter 2) Alfred J. Menezes, Paul C. van Oorschot and Scott A. Vanstone : Handbook of Applied Cryptography,, CRC Press, 1996, online elérhet rhető: http:// ://www.cacr.math.uwaterloo.ca/hac/ (Chapter 1) KIKERES Fogalomtár 3.0 www.fogalomtar.hu 36