Capitolul 5 Criptografia modern

5. Criptografia modern
Momentul istoric n care criptografia a devenit tiinific ramur individualizat a matematicii, a fost n anul 1949 c nd a fost pu!licat articolul "Communication #$eor% of &ecrec% &%stems"' (ceast lucrare a pus !azele criptosistemelor simetrice' )ezvoltarea societii informaionale, care a dus la o cretere impresionant a volumului de informaie preponderent economic ve$iculat n reelele de calculatoare, a accelerat dezvoltarea i mai ales utilizarea instrumentelor criptografiei moderne' *olul criptografiei moderne este de a asigura prin mi+loace matematice specifice, at t n teorie c t i n practic, cele patru caracteristici fundamentale ale informaiei, confidenialitatea, integritatea, autenticitatea i non-repudierea' Criptografia modern utilizeaz n principiu aceeai algoritmi ca i criptografia tradiional .transpoziia i su!stituia/, dar accentul cade pe comple0itatea algoritmilor' 1!iectivul criptografic din actuala perioad este de a concepe algoritmi de criptare at t de compleci i de ireversi!ili nc t c$iar i n situaia n care atacatorul .sau criptanalistul/ av nd la dispoziie cantiti mari de te0t criptat la alegerea sa, el s nu poat face nimic fr c$eia secret' 2n criptografia modern un sistem criptografic .criptosistem/ este definit ca o structur cu cinci componente, P = { t / t T* } care este spaiul te0telor n clar, scrise pentru un alfa!et nevid T .n mod o!inuit T345,16/ K spaiul c$eilor de criptare, k K 7amilia funciilor de criptare dependent de c$ei i de un algoritm de criptare E Ek : P

C , Ek 3 4ek / ek(t)=w i ek este in+ectiv6

P , Dk = { dk / dk(ek( t )) = t t P }

7amilia funciilor de decriptare dependent de c$ei i de un algoritm de decriptare D Dk : C

C spaiul mesa+elor cu te0t criptat unde, C={ w / k K, a P, w = Ek(a) }

89

Capitolul 5 Criptografia modern :entru ca un sistem criptografic s fie ;!un< .principiile au fost enunate nc din secolul =>?? de 7rancisc @acon/ el tre!uie s ndeplineasc urmtoarele condiii, 1' 7iind date ek i a P s fie uor de calculat ek(a)' A' 7iind date dk i w C s fie uor de determinat dk (w)' B' & fie imposi!il de determinat t din w, fr a cunoate dk' 4' #e0tul criptat s fie un te0t !anal fr suspiciuni' )ac funcia ek este !i+ectiv atunci sistemul este simetric , iar dac funcia ek nu este !i+ectiv atunci sistemul este asimetric. C0ist dou tipuri de sisteme simetrice .cunoscute i su! denumirea de sisteme cu cheie secret/, sisteme care se !azeaz pe algoritmi de tip !loc i sisteme care se !azeaz algoritmi de tip ir' (lgoritmii de tip !loc acioneaz asupra !locurilor de te0t n clar i te0t cifrat' (lgoritmii de tip ir se aplic irurilor de te0t n clar i te0t cifrat, la nivel de !it sau octet' Cele dou tipuri de algoritmi vor fi descrise n su!capitolele 5'1 i 5'A' &istemele criptografice asimetrice sunt cunoscute su! numele de sisteme cu chei publiceD algoritmii care stau la !aza acestor sisteme vor fi descrii n su!capitolul 5'B'

5.1 Algoritmi simetrici de tip bloc

(lgoritmii de tip !loc cripteaz mesa+ul n !locuri de E4 sau 1A9 de !ii' &e aplic o funcie matematic ntre un !loc de !ii ai mesa+ului n clar i c$eie .care poate varia ca mrime/, rezult nd acelai numr de !ii pentru mesa+ul criptat' 7uncia de criptare este realizat astfel nc t s ndeplineasc urmtoarele cerine, - tiind un !loc de !ii ai te0tului n clar i c$eia de criptare, sistemul s poat genera rapid un !loc al te0tului criptatD - tiind un !loc de !ii ai te0tului criptat i c$eia de criptareFdecriptare, sistemul s poat genera rapid un !loc al te0tului n clarD - tiind !locurile te0tului n clar i ale te0tului criptat, sistemului s-i fie dificil s genereze c$eia' (cest tip de algoritmi este foarte folosit n criptografia modernD de aceea n acest capitol vom prezenta civa algoritmi care ;au fcut carier<, dup prezentarea modurilor criptografice care stau la !aza funcionrii algoritmilor de tip !loc' 89

Capitolul 5 Criptografia modern

5.1.6 Algoritmul DES (lgoritmul )C& .)ata Cncr%ption &tandard/ a fost dezvoltat pentru guvernul &tatelor Gnite i pentru folosin pu!lic' Cl a fost dezvoltat plec nd de la algoritmul ;Hucifer< conceput n Ha!oratoarele ?@M' 2n mai 198B, revista 7ederal *egister a sintetizat principiile care tre!uie s stea la !aza proiectrii unui algoritm criptografic standard, algoritmul tre!uie s asigure un nalt nivel de securitateD algoritmul tre!uie s fie complet specificat i simplu de nelesD securitatea algoritmului tre!uie s fie asigurat de c$eie i nu tre!uie s depind de pstrarea secret a algoritmuluiD algoritmul tre!uie s fie disponi!il tuturor utilizatorilorD algoritmul tre!uie s fie adapta!il pentru diverse aplicaiiD algoritmul tre!uie s fie implementa!il pe dispozitivele electroniceD algoritmul tre!uie s fie eficient n utilizareD algoritmul tre!uie s poat fi validatD algoritmul tre!uie s fie e0porta!il'

)C& a fost oficial adoptat ca standard federal n AB noiem!rie 198E, iar n 1988 specificaiile sale au fost fcute pu!lice' Privire general asupra algoritmului (lgoritmul )C& este o com!inaie comple0 folosind dou !locuri fundamentale n criptografie, su!stituia i permutarea .transpoziia/' (cest cifru !loc accept un !loc de E4 de !ii la intrare i genereaz un !loc cifrat de E4 de !ii' )C& este un algoritm simetric' (celai algoritm i aceeai c$eie sunt folosii at t la criptare c t i la decriptare' (lgoritmul este constituit din 1E cicluri repetate ale !locurilor fundamentale' #e0tul iniial este descompus n !locuri de E4 de !ii' C$eia este de E4 !ii din care doar 5E sunt efectivi, ceilali fiind !ii de paritate' 7olosirea su!stituiei provoac confuzie prin sistematica su!stituire a unor !ii cu alii' #ranspoziiile provoac difuzie prin re-ordonarea !iilor' (lgoritmul folosete numai operaii clasice aritmetice i logice cu numr de p n la E4 de !ii, ceea ce face relativ uor de implementat at t softIare c t mai ales $ardIare, unul din scopurile declarate ale algoritmului fiind uoara lui implementare $ardIare ntr-un cip specializat' 95

Capitolul 5 Criptografia modern :arcurgerea celor 1E cicluri, descris n J:fl99K are loc dup sc$ema din figura 5'1,
Intrare permutare iniial

Substituie Ciclul 1 Permutare

Cheia

Substituie Ciclul 2 Permutare

Cheia

Substituie Ciclul 16 Permutare

Cheia

Imaginea inversat a permutrii iniiale Ieire

Fig. 5.1 Detalii pent ! "#l#$i ea alg# it%!l!i DE& 91

Capitolul 5 Criptografia modern Ha intrarea datele sunt mprite n !locuri de E4 !ii, care sunt transformate folosind c$eia de E4 de !ii' Cei E4 de !ii sunt permutai prin ;permutarea iniial<' 2n continuare, urmeaz operaiile ce constituie un ciclu' @locul de E4 de !ii este separat n dou, ;+umtatea st ng< i ;+umtatea dreapt<, fiecare de BA de !ii' C$eia este deplasat la st nga cu un numr de !ii i permutat, ea se com!in cu ;partea dreapt< care apoi se com!in cu ;partea st ng<D rezultatul devine noua ;parte dreapt<D vec$ea ;parte dreapt< devine noua ;parte st ng< .vezi fig' 5'A/'
)ate permutate

Lumtatea st ng &

Lumtatea dreapt

C$eie deplasat

C$eie permutat

Moua +umtatea st ng .vec$ea +umtate dreapt/

Moua +umtatea dreapt

Fig. 5.' (anip!la ea )*eii +n alg# it%!l DE& )up repetarea acestui ciclu de 1E ori se face permutarea final care este invers permutrii iniiale' :entru com!inarea unei secvene de BA !ii cu c$eia de E4 !ii se folosesc e0pandri de la BA !ii la 49 !ii i reducerea c$eii de la E4 !ii la 49 !ii prin alegerea anumitor !ii, operaii ce le numim ;permutare e0pandat< i ;permutare aleas< .fig' 5'B/'

:ermutare

:ermutare aleas

:ermutare e0pandat

Fig. 5., (anip!la ea pe %!t- ii +n alg# it%!l DE&

9A

Capitolul 5 Criptografia modern 2n fiecare ciclu practic au loc patru operaii separate' 2nt i partea dreapt este e0pandat de la BA la 49 !iiD apoi este com!inat cu o form a c$eiiD rezultatul este su!stituit i condensat n BA !ii, cei BA !ii sunt permutai i apoi com!inai cu partea st ng pentru a da o nou parte dreapt .fig' 5'4/'
) BA !ii & BA !ii :ermutare e0pandat C$eia A9 !ii
)eplasare

A9 !ii
)eplasare

permutare aleasa de 59 !ii 49 !ii

5.. Ci)l!l +n alg# it%!l DE& :ermutarea e0pandat este definit n ta!elul ce urmeaz, @it se mut la @it se mut la @it se mut la @it se mut la 1 ',./ 2 1',1. 10 '.,'1 A , 13 15 1/ '0 B . 11 11 12 '/ 4 5,0 1' 10,12 '3 '2,,1 5 1,/ 1, 1/,'3 '1 ,3,,' E 2 1. '1 '' ,, 8 13 15 '' ', ,. 9 11,1, 11 ',,'5 '. ,5,,0

'5 ,1,,/

'1 ,2

'0 .3

'/ .1,.,

'2 .',..

,3 .5

,1 .1

,' .0,1

Ta4el!l 5.1 De"ini ea pe %!t- ii e5pandate +n DE& C$eia este mprit cu dou pri de A9 !ii deplasate la st nga cu un numr de !ii apoi reunite i 49 din cei 5E de !ii sunt permutai i folosii ca o c$eie de 49 de !ii de-a lungul ciclului' 9B

Capitolul 5 Criptografia modern C$eia dintr-un ciclu este com!inat printr-o funcie sau e0clusiv cu ;partea dreapt< e0pandat' *ezultatul este operat n 9 ;cutii-&< care efectueaz su!stituia' 1 ;cutie-&< este o ta!el n care E !ii de date sunt nlocuii de 4 !ii' :ermutrile sunt efectuate de ta!ele numite ;cutii-:<' Consideraii asupra algoritmului DES Cu algoritmul )C& se poate face at t codificarea c t i decodificarea unui mesa+' *ezultatul este adevrat pentru c ciclul 6 deriv din ciclul .671/ astfel,
& 6 = D6 1
D 6 =& 6 / " .D 6 1 .+ 1 ,k 6 /

.1/ .A/

unde .N/ este operaia sau e0clusiv, " este funcia rezultat din operaiile dintr-un ciclu' (ceste ecuaii arat c rezultatul fiecrui ciclu depinde numai de ciclul precedent' )escriind ecuaiile pentru ) 671 i & 671 avem ,
D6 1 = & 6

.B/ .4/

& 6 / " .D 6 1 = D 6 .+ 1 ,k 6 /

nlocuind .B/ n .4/ avem,

& 6 / " . & 6 ,k 6 / 1 = D 6 .+

.5/

Ccuaiile .B/ i .5/ arat c aceleai valori pot fi o!inute n cicluri ulterioare' (ceast proprietate face algoritmul )C& reversi!il' )eci putem face codificarea unor date i decodificarea lor folosind acelai algoritm fc nd o!servaia c la decodificare c$eia se ia n ordine invers' )atorit lungimii c$eii de lucru i a operaiilor elementare pe care le folosete algoritmul, nu se ridic pro!leme deose!ite ntr-o implementare softIareD singura o!servaie este c, datorit modulului de lucru .cu secvene de date, cu ta!ele/ practic algoritmul este lent ntr-o implementare softIare' Modul de concepere l face ns perfect implementa!il $ard .ntr-un cip/ ceea ce s-a i realizat, e0ist nd multiple variante de maini $ard de codificare' Criptanaliza )ei )C& a fost cel mai cele!ru algoritm al secolului == este considerat la aceast or nesigur pentru multe aplicaii' :are parado0al, dar aceasta este consecina mririi considera!ile a puterii de calcul de la confirmarea )C& ului ca un standard criptografic i p n in anul A555'

94

Capitolul 5 Criptografia modern &l!iciunea pleac de la lungimea prea mic a c$eii de 5E de !ii' >arianta algoritmului cunoscut ca triplu-)C& este cea care este considerat sigur i la aceast or' ?nsecuritatea )C&-ului pleac de la premiza c un atac ;n for< are anse de reuit n condiiile puterii de calcul disponi!ile astzi . a se vedea atacurile C77 1 /D p n n A554 cel mai eficient atac este datorat criptanalizei liniare care folosind A4B te0te cunoscute genereaz o comple0itate temporal de AB9-4B .Lunod A551/D n condiiile unui atac cu te0t ales comple0itatea poate fi redus de patru ori .Onudsen i Mat$iassen, A555/' 1 istorie cronologic a )C& ului este prezentat n urmtorul ta!el, Data 15 mai A8 august 18 martie august septem!rie noiem!rie 15 ianuarie Anul Evenimentul

198B M@& pu!lic prima cerere pentru un algoritm standard pentru criptare 1984 M@& pu!lic a doua cerere pentru un algoritm standard pentru criptare 1985 )C& este pu!licat n Fede al 8egi$te
'

pentru comentarii

198E &e organizeaz primul IorPs$op despre )C& 198E (l doilea IorPs$op despre fundamentele matematice ale )C&-ului 198E )C& este apro!at ca un standard 1988 )C& este pu!licat n 7?:& :G@ 4E 199B )C& este reconfirmat pentru prima dat

AA ianuarie

1999 )C& este reconfirmat pentru a doua oar ca 7?:& 4E-1 @i$am i &$amir pu!lic primul atac teoretic cu o comple0itate mai mic dec t atacul 199A <n for !rut< , criptanaliza diferenial D metoda cerea un numr nerealist .A48/ de te0te alese

B5 decem!rie 199B )C& este reconfirmat pentru a treia oar ca 7?:& 4E-A 1994 iunie iulie ianuarie 1998 :rima criptanaliz e0perimental folosind criptanaliza liniar .Matsui, 1994/ :roiectul )C&CQ(HH sparge pentru prima dat n pu!lic un mesa+ criptat cu )C&

1999 C77 gsete o c$eie pentru )C& n 5E de ore 1999 C77 folosind putere de calcul distri!uit gsete o c$eie pentru )C& n AA de ore i 15 minute

A5 octom!rie 1999 )C& este reconfirmat pentru a patra oar ca 7?:& 4E-B cu specificaia
1 2

Clectronic 7rontier 7oundation :u!licaie a M?&# .Mational ?nstitute of &tandards and #ec$nolog%/

95

Capitolul 5 Criptografia modern preferinei pentru #riplu )C& AE noiem!rie A551 (C& este pu!licat n 7?:& 198 AE mai AE iulie A55A &tandardul (C& devine efectiv A554 *etragerea standardului 7?:& 4E-B .i a celor cone0e/ este propus n Fede al 8egi$te

Ta4el!l 5.' C #n#l#gia e9eni%entel# alg# it%!l!i DE&

5.1.7 ariante de DES DES multiplu Gnele implementri de )C& folosesc triplul-)C&' )eoarece )C& nu este un grup, te0tul cifrat rezultat este mult mai greu de spart folosind cutarea e0$austiv, A11A ncercri n loc de A5E ncercri' DES cu sub-chei independente 1 alt variant const n folosirea unei su!-c$ei diferite pentru fiecare trecere, n loc de a o genera dintr-o singur c$eie de 5E de !ii' )eoarece n fiecare din cele 1E treceri se folosete o c$eie de 49 de !ii, rezult c lungimea c$eii pentru aceast variant este de 8E9 !ii, ceea ce va crete semnificativ dificultatea unui atac n for mpotriva algoritmului, acesta av nd comple0itatea de A8E9' #otui, un atac de tip ;nt lnire la mi+loc< este posi!il, ceea ce reduce comple0itatea atacului la AB94D nc destul de lung pentru orice nevoie imagina!il de securitate' (ceast variant poate fi analizat folosind criptanaliza diferenial i poate fi spart cu A E1 te0te n clar date' &e pare c nici o modificare n planificarea c$eilor nu conduce la ntrirea semnificativ a algoritmului )C&' DESX )C&= este o variant )C& dezvoltat de *&( )ata &ecurit%, care a fost inclus nc din 19E9 n programul de securitate pentru pot electronic Mail&afe' )C&= folosete o te$nic numit al!ire, pentru a ascunde intrrile i ieirile )C&' 2n plus fa de c$eia )C& de 5E de !ii, )C&= are o c$eie suplimentar de al!ire de E4 de !ii' (ceti E4 de !ii sunt operai =1* cu te0tul n clar nainte de prima trecere )C&' E4 de !ii suplimentari, calculai ca o funcie !i+ectiv 9E

Capitolul 5 Criptografia modern de toi cei 1A5 de !ii ai c$eii )C&, sunt operai =1* cu te0tul cifrat naintea ultimei treceri' (l!irea l face pe )C&= mult mai puternic dec t )C& fa de un atac n forD atacul necesit .A1A5/Fn operaii cu n te0te n clar cunoscute' )e asemenea se m!untete securitatea mpotriva criptanalizei liniare i diferenialeD atacul necesit A E1 te0te n clar date i AE5 de te0te n clar cunoscute' CRYP !"# C*R:#.B/ este o variant de )C& nt lnit n sistemele GM?=' Cste folosit n mod o!inuit pentru parole, dar uneori i pentru criptare' )iferena ntre C*R:#.B/ i )C& este c C*R:#.B/ are o permutare de c$ei cu A 1A posi!iliti, astfel nc t s nu permit folosirea cipurilor )C& la construcia unui dispozitiv $ardIare de spart parole' DES generalizat )C&-ul generalizat .S)C&/ a fost proiectat s mreasc viteza )C&-ului i s ntreasc algoritmul' Mrimea total a !locului crete, n timp ce suma calculelor rm ne constant' S)C& opereaz pe !locuri de te0t n clar de lungime varia!il' @locurile criptate sunt mprite n : su!-!locuriD numrul e0act depinde de mrimea total a !locului' 2n general : este egal cu lungimea !locului mprit la BA' 7uncia " este calculat o dat la fiecare trecere, pe ultimul !loc din dreapta' *ezultatul este operat =1* cu toate celelalte pri, care sunt apoi rotite spre dreapta' S)C& are un numr varia!il de treceri, n' C0ista o mic modificare la ultima trecere, astfel nc t procesele de criptare i decriptare difer doar prin ordinea su!-c$eilor' )e fapt, pentru :3A i n31E se o!ine algoritmul )C&' @i$am i &$amir arat c, folosind criptanaliza diferenial, S)C& cu :39 i n31E este vulnera!il cu doar ase te0te n clar date' )ac se folosesc i su!-c$ei independente, sunt necesare 1E te0te n clar date' :entru :39 i n3E4, S)C& e mai sla! dec t )C&D sunt necesare A 49 te0te n clar date pentru a-l sparge' )e fapt, orice sc$em S)C& este mai rapid dec t )C&, dar este de asemenea mai puin sigur' RDES *)C& este o variant care nlocuiete sc$im!area st nga-dreapta de la sf ritul fiecrei treceri cu o sc$im!are dependent de c$eie' &c$im!rile sunt fi0e, depinz nd doar de c$eie'

98

Capitolul 5 Criptografia modern (ceasta nseamn c cele 15 sc$im!ri dependente de c$eie se petrec cu A 15 posi!iliti i c aceast variant nu rezist la criptanaliza diferenial' 1 idee mai !un este ca sc$im!area s ai! loc doar n partea dreapt, la nceputul fiecrei treceri, iar sc$im!area s depind de datele de intrare i nu de c$eie' 2n *)C&-1 se practic o sc$im!are dependent de date de cuvinte pe 1E !ii la nceputul fiecrei treceri' 2n *)C&-A e0ist o sc$im!are de octei dependent de date la nceputul fiecrei treceri, dup o sc$im!are ca n *)C&-1' &e poate continua n acelai mod p n la *)C&-4' *)C&-1 este sigur at t fa de criptanaliza liniar c t i fa de cea diferenial' 5.1.! Algoritmul AES 2n ianuarie 1998, M?&#B a organizat un concurs de criptografie desc$is cercettorilor din ntreaga lume, av nd ca su!iect crearea unui nou standard, care urma s se numeasc (C& 4' *egulile concursului erau, - algoritmul s fie un cifru !loc simetricD - proiectul tre!uia s fie pu!licD - (C& tre!uia s suporte c$ei de 1A9, 19A i A5E !iiD - algoritmul tre!uia s se poat implementa at t $ardIare c t i softIareD - (C& tre!uia s fie un standard pu!lic sau oferit cu licen ne discriminatorie' 2n august 1999 M?&# a selectat cinci finaliti pe criterii de securitate, eficien, fle0i!ilitate i cerine de memorie' 7inalitii au fost, 1' *i+ndael .Loan )aemen i >incent *i+men, 9E de voturi/ A' &erpent .*oss (nderson, Cli @i$am, Hars Onudsen, 5E voturi/ B' #Iofis$ .ec$ipa condus de @ruce &c$neier, B1 voturi/ 4' *CE .*&( Ha!oratories, AB voturi/ 5' M(*& .?@M, 1B voturi/ 2n octom!rie A555 M?&# a sta!ilit c tigtorul' (cesta este algoritmul *i+ndael, dezvoltat de doi tineri cercettori !elgieni, Loan )aemen i >incent *i+men i care devine standard

B 4

Mational ?nstitute of &tandards and #ec$nolog% &G( (dvanced Cncr%ption &tandard &tandard de Criptare (vansat

99

Capitolul 5 Criptografia modern guvernamental al &G(' &e sper ca *+indael s devin standardul criptografic dominant n lume pentru urmtorii 15 ani' *i+ndael permite lungimi de c$ei i mrimi de !locuri de la 1A9 de !ii la A5E de !ii, n pai de c te BA de !ii' Hungimea c$eii i lungimea !locului pot fi alese n mod independent, dar n practic se vor folosi dou variante, !loc de 1A9 !ii cu c$eie de 1A9 !ii i !loc de 1A9 !ii cu c$eie de A5E !ii' &tandardul comercial va deveni cel mai pro!a!il varianta 1A9F1A9' 1 c$eie de 1A9 !ii permite un spaiu al c$eilor de A1A9 c$ei' "reliminarii matematice *i+ndael se !azeaz pe teoria c mpului Salois, n sensul c anumite operaiuni sunt definite la nivel de octet iar octeii reprezint elemente n c mpul finit S7.A9/' Cum toate reprezentrile c mpului finit S7.A9/ sunt izomorfe, se poate alege reprezentarea clasic polinomial, cu impact pozitiv asupra comple0itii implementrii' 1ctetul 4, format din !iii 40, 41, 45, 4., 4,, 4', 41 i 43, este considerat ca fiind un polinom de gradul 8 cu coeficieni 5 sau 1, 40 08 ; 41 0E ; 45 05 ; 4. 04 ; 4, 0B ; 4' 0A ; 41 0 N 43 1peraiunea de adunare este definit ca suma a dou polinoame n care coeficienii se adun modulo A i care corespunde operrii =1* a celor doi octei corespondeni' &unt ndeplinite a0iomele grupului a!elian, operaia este intern, asociativ, comutativ, e0ist element neutru i element invers 1peraiunea de nmulire corespunde produsului a dou polinoame modulo, un polinom ireducti!il de grad 9 i care pentru (C& este %(5) = 5/ ; 5. ; 5, ; 5 ; 1 2nmulirea este intern .rezultatul este un polinom de grad strict mai mic ca 9/, asociativ i e0ist element neutru' Clementul invers se determin cu algoritmul lui Cuclid, iar distri!utivitatea celor doua operaii se verific' Concluzia este c mulimea celor A5E de valori posi!ile ale unui octet, mpreun cu cele dou operaiuni definite mai sus formeaz un corp alge!ric finit, respectiv S7.A9/' "roiectarea AES 2n proiectarea (C& s-a inut cont de trei criterii, - rezistena mpotriva tuturor atacurilor cunoscuteD 99

Capitolul 5 Criptografia modern - viteza i compactitatea codului pe un mare numr de platformeD - simplicitatea proiectrii' Ca i )C&, (C& folosete su!stituie i permutri, ca i runde multiple' Mumrul de runde depinde de mrimea c$eii i de mrimea !locului, fiind 15 n cazul 1A9F1A9 i mrindu-se p n la 14 pentru cazul A5EF1A9' &pre deose!ire de )C&, toate operaiile sunt la nivel de octet, pentru a permite implementri eficient $ardIare i softIare' Descrierea AES 2n algoritmul (C& rezultatul cifrat intermediar este numit vector $tate, care poate fi reprezentat ca un ta!el cu patru linii i patru coloane, acestea fiind numerotate ncep nd de la 5' >ectorul $tate se iniializeaz cu !locul de 1A9 !ii de te0t n clar .n ordinea coloanelor, cu primii patru octei n coloana 5/ i va fi modificat la fiecare pas al calculului, prin su!stituii, permutri i alte transformri, rezult nd n final !locul de 1A9 !ii de te0t cifrat' C$eia de 1A9 de !ii este e0pandat n 11 ta!ele 404 notate k(3), k(1),...., k(13). C0pandarea este realizat prin rotiri repetate i operaii =1* asupra unor grupuri de !ii din c$eia original' 2nainte de a ncepe cele 15 runde, c$eia k(3) se opereaz =1* cu vectorul $tate. Calculul principal const n e0ecuia a 15 runde, folosind c$eia k(i) la iteraia i' 7iecare rund const n patru pai' :asul 1 realizeaz o su!stituie octet cu octet asupra vectorului $tate folosind o cutie &' :asul A rotete la st nga fiecare din cele 4 r nduri ale vectorului $tate, r ndul 5 este rotit cu 5 octei, r ndul 1 este rotit cu 1 octet, r ndul A este rotit cu A octei i r ndul B este rotit cu B octei, realiz nd difuzia datelor' :asul B amestec fiecare coloan din vectorul $tate independent de celelalte, prin nmulirea coloanei cu o matrice constant, multiplicarea fiind realizat folosind c mpul finit Salois S7.A9/' 2n fine, pasul 4 opereaz =1* c$eia k din runda respectiv cu vectorul $tate' )eoarece fiecare pas este reversi!il, decriptarea se poate realiza prin rularea algoritmului de la coad la cap, sau prin rularea algoritmului de criptare nemodificat, dar folosind ta!ele diferite' Avanta#e AES <9anta6ele <E& relativ la implementare sunt,

95

Capitolul 5 Criptografia modern (C& se poate implementa pe un procesor :entium :ro i va rula cu o vitez mai mare dec t orice alt cifru !locD (C& se poate implementa pe un dispozitiv &mart Card, folosind un spaiu redus de memorie *(M i un numr redus de cicluriD transformarea din cadrul unei runde este paralel prin proiectare, ceea ce constituie un avanta+ pentru viitoarele procesoareD (C& nu folosete operaiuni aritmetice, ci doar operaii la nivel de iruri de !ii'

&i%plitatea p #ie)t- ii <E&, (C& nu folosete componente criptografice e0terne, cum ar fi cutii &, !ii aleatori sau iruri de cifre din dezvoltarea numrului D (C& nu i !azeaz securitatea pe interaciuni o!scure sau greu de neles ntre operaiuni aritmeticeD proiectarea clar a (C& nu permite ascunderea unei ;trape<'

=!ngi%ea 9a ia4il- a 4l#)!l!i lungimile de !loc de 19A i A5E !ii permit construirea unei funcii $as$ iterative folosind (C& ca funcie de compresie' E5ten$ii: proiectarea permite specificarea de variante cu lungimi de !locuri i lungimi de c$ei aflate ntre 1A9 i A5E !ii, n pai de c te BA de !iiD dei numrul de runde n (C& este fi0at n specificaiile algoritmului, el poate modificat ca un parametru n cazul unor pro!leme de securitate' $imitrile AES =i%it- ile <E& sunt n legtur cu algoritmul de decriptare, - algoritmul de decriptare este mai puin preta!il la implementarea pe un dispozitiv &mart Card, deoarece necesit mai mult cod i mai multe cicluriD - implementarea softIare a (C& folosete cod iFsau ta!ele diferite pentru algoritmul de criptare, respectiv decriptareD

91

Capitolul 5 Criptografia modern - implementarea $ardIare a (C& a algoritmului de decriptare refolosete doar parial circuitele care implementeaz algoritmul de criptare' 5.1.% Algoritmul $&C'(E) 2n 19E5, ?@M iniiaz un program de cercetare n criptografia computerizat numit Hucifer' (stfel se numete i algoritmul cifru !loc dezvoltat n cadrul acestui program n 1985' 2n realitate e0ist cel puin doi algoritmi cu acest nume' Hucifer este o reea de permutri i su!stituii, cu !locuri construite ntr-o manier asemntoare cu )C&' 2n )C&, ieirea funciei " este operat =1* cu intrarea fazei anterioare pentru a forma intrarea fazei curente' 2n cazul lui Hucifer, ;cutiile-&< au intrri i ieiri de 4 !iiD intrarea este o permutare a !iilor ieirii din faza anterioar, iar intrarea din prima faz este c$iar te0tul n clar' Gn !it c$eie este folosit pentru a alege ntre ;cutia-&< actual din dou posi!ile Hucifer implementeaz aceasta printr-o ;cutie-#< cu 9 !ii la intrare i 9 la ieire/' Hucifer are 1E faze, !locuri de 1A9 de !ii i o manipulare a c$eii mai simpl dec t )C&-ul' 7olosind criptografia diferenial mpotriva primei forme de Hucifer, @i$am i &$amir au artat c Hucifer cu 9 faze i BA de !ii poate fi spart cu 45 de te0te n clar alese i A A9 paiD acelai atac poate sparge Hucifer cu 9 faze i 1A9 !ii cu E5 de te0te n clar alese i A 5B pai' (ceste atacuri folosesc ;cutii-&< )C& tari' 7olosind criptografia diferenial mpotriva celei de a doua forme de Hucifer, s-a artat c ;cutiile-&< sunt mai sla!e dec t n )C&' (nalize ulterioare au artat c peste +umtate din c$ei nu sunt sigure, ceea ce conduce la posi!ilitatea de a sparge Hucifer cu 1A9 de !ii, cu orice numr de faze, cu A BB te0te n clar alese, sau cu AE5 te0te n clar cunoscute cu c$ei alese' 2n concluzie, a doua form de Hucifer este mai sla!' &entimentul c Hucifer este mai sigur dec t )C& datorit lungimii mai mari a c$eii i lipsei de rezultate pu!licate este ne+ustificat'

5.1.15 Algoritmul *lo+fis, @loIfis$ este un algoritm proiectat pentru a fi implementat pe procesoare puternice, care ncearc s respecte urmtoarele criterii,

9A

Capitolul 5 Criptografia modern 1' A' B' *apiditate @loIfis$ cripteaz date pe procesoare de BA de !ii la o rat de AE de tacturi pe octet' Compact @loIfis$ poate rula n mai puin de 5O de memorie' &implitate @loIfis$ folosete doar operaii simple, adunare, operare =1* i cutare n ta!el, cu operanzi de BA de !ii' (lgoritmul este uor de analizat, ceea ce evit erorile de implementare' 4' &ecuritate varia!il lungimea c$eii este varia!il, put nd crete p n la 449 de !ii' @loIfis$ este optimizat pentru aplicaii n care c$eia nu tre!uie s se sc$im!e des, cum ar fi legturi de comunicaie sau un criptor automat pentru fiiere' Cste semnificativ mai rapid dec t )C& c nd este implementat pe procesoare de BA de !ii dotate cu memorie cac$e mare, cum ar fi :entium' @loIfis$ nu este potrivit pentru comutarea de pac$ete, cu sc$im!ri dese de c$eie, ca funcie $as$ one-Ia% sau n aplicaii smart-card, unde memoria este insuficient' Descrierea algoritmului $lo%&ish @loIfis$ este un cifru !loc care opereaz cu !locuri de E4 de !ii si are c$eie de lungime varia!il' (lgoritmul const n dou pri, e0pandarea c$eii i criptarea datelor' C0pandarea c$eii convertete o c$eie de p n la 449 de !ii n mai multe matrice de su!-c$ei totaliz nd 41E9 de !ii' Criptarea datelor rezid ntr-o funcie simpl iterat de 1E ori' 7iecare ciclu este format dintr-o permutare dependent de c$eie i o su!stituie dependent i de c$eie i de date' #oate operaiile sunt adunri i operri =1* pe cuvinte de BA de !ii' &ingurele operaii suplimentare sunt patru cutri ntr-un ta!el inde0at, pe ciclu' @loIfis$ folosete un numr mare de su!-c$ei' (ceste su!-c$ei tre!uie precalculate nainte de orice criptare sau decriptare de date' #a!elul : este format din 1E c$ei de BA de !ii, P1, P', >, P1/ :atru ;cutii-&< de BA de !ii are A5E de intrri fiecare, &1,5, &1,1, T' , &1,A55 9B

Capitolul 5 Criptografia modern &A,5, &A,1, T' , &A,A55 &B,5, &B,1, T' , &B,A55 &4,5, &4,1, T' , &4,A55 @loIfis$ este o reea 7eistel cu 1E cicluri' ?ntrarea este 5, un element de E4 !ii de date' :entru criptare, &e mparte 5 n dou pri de c te BA de !ii, 5= i 58 7or i 3 1 to 1E, 5= 3 5= Pi 58 3 7.5=/ 58 se sc$im! 5= i 58 ntre ele Cnd for se sc$im! 5= i 58 ntre ele 58 3 58 P10 5= 3 5= P1/ se recom!in 5= i 58 7uncia 7 funcioneaz astfel, &e mparte 5= n patru sferturi a c te 9 !ii, a, 4, ), d 7.5=/ 3 ..&1,a N &',4 mod ABA/ &,,)/ N &.,d mod ABA )ecriptarea are loc similar cu criptarea, cu diferena c P1, P', >, P1/ sunt folosite n ordine invers' 1 implementare a algoritmului @loIfis$ care s asigure o cretere de vitez tre!uie s menin toate c$eile n memoria cac$e' &u!-c$eile sunt calculate folosind algoritmul @loIfis$, care const n urmtorii pai, 1' &e iniializeaz ta!elul : i cele patru ;cutii-&<, n ordine, cu un ir fi0' (cest ir este format din cifrele $e0azecimale ale lui ' 94

Capitolul 5 Criptografia modern A' &e opereaz =1* P1 cu primii BA de !ii ai c$eii, se opereaz P' cu urmtorii BA de !ii ai c$eii i tot aa p n la P1/, astfel nc t ntreg ta!elul P s fie operat =1* cu !iii din c$eie' B' 4' 5' E' 8' &e cripteaz un ir format din zerouri cu algoritmul @loIfis$, folosind su!-c$eile descrise n paii 1 i A' &e nlocuiesc P1 i P' cu ieirea din pasul B' &e cripteaz ieirea din pasul B folosind algoritmul @loIfis$ cu su!-c$eile modificate' &e nlocuiesc P, i P. cu ieirea din pasul 5' &e continu procesul, nlocuind toate elementele din ta!elul : i apoi cele patru ;cutii-&< n ordine, cu ieirea algoritmului @loIfis$' 2n total, 5A1 de iteraii sunt necesare pentru a genera toate su!-c$eile necesare' (plicaiile pot memora su!-c$eile pentru a nu tre!ui s le calculeze de fiecare dat' Securitatea algoritmului $lo%&ish 2n cazul algoritmului @loIfis$ cu ;cutii-&< cunoscute i cicluri, ta!elul : poate fi determinat cu A9rN1 te0te n clar alese' (tacul funcioneaz doar pe variantele cu un numr redus de cicluri i este complet ineficient n cazul algoritmului @loIfis$ cu 1E cicluri'

5.1.17 Dubla criptare Gn mod evident de m!untire a securitii algoritmilor !loc este criptarea unui !loc de dou ori, folosind dou c$ei diferite' Mai nt i se cripteaz !locul cu prima c$eie, apoi se cripteaz te0tul cifrat rezultat folosind a doua c$eie' )ecriptarea este procesul invers, C 3 EK' .EK1 .P// P 3 DK1 .DK' .C// )ac algoritmul !loc este un grup, e0ist ntotdeauna un K,, astfel nc t C 3 EK' .EK1 .P// 3 EK, .P/ 95

Capitolul 5 Criptografia modern

2n caz contrar, !locul de te0t cifrat rezultat dintr-o du!l criptare ar tre!ui s fie mult mai greu de decriptat folosind cutarea e0$austiv' 2n loc de A n ncercri .unde n este lungimea n !ii a c$eii/, vor fi necesare AAn ncercri' )ac algoritmul are c$ei de E4 de !ii, vor fi necesare A 1A9 ncercri pentru a gsi c$eia' 2n cazul atacului cu te0te n clar cunoscute, MerPle i Qellman au demonstrat c sc$ema cu du!l criptare poate fi spart n AnN1 criptri i nu n AAn' (tacul se numete ;nt lnire la mi+loc<D el funcioneaz prin criptarea de la un capt, decriptarea la captul cellalt i potrivirea rezultatelor n mi+locul te0tului criptat' 2n acest atac, criptanalistul cunoate :1, C1, :A i CA, astfel nc t C1 3 EK' .EK1 .P1// C' 3 EK' .EK1 .P'// :entru fiecare K posi!il, se calculeaz EK.P1/ i se memoreaz rezultatul' )up terminarea tuturor calculelor, se calculeaz DK.C1/ pentru fiecare K i se caut un rezultat identic n memorie' )ac se gsete un astfel de rezultat, fie K' c$eia curent i K1 c$eia folosit pentru rezultatul din memorie' &e cripteaz P' cu K1 i K'D dac se o!ine C' este aproape sigur .cu o pro!a!ilitate de 1 din AAm-An, unde % este mrimea !locului/, c cele dou c$ei sunt valide' )ac nu, se continu cutarea' Mumrul ma0im de cutri este A 0 An, adic AnN1' (cest atac necesit un spaiu mare de memorie, An !locuri' :entru un algoritm de 5E de !ii, aceasta nseamn A5E !locuri de E4 de !ii, adic 15 18 octei' Cste o cantitate considera!il de memorie, dar demonstreaz c du!la criptare nu duce la du!larea securitii' 2n cazul ns al unei c$ei de 1A9 de !ii, cantitatea de memorie necesar este de 15 B9 octei, ceea ce nseamn c un atac de tip ;nt lnire la mi+loc< nu este feza!il' 1 alt metod de du!l criptare, numit )avies-:rice, este o variant de C@C, Ci 3 EK1 .Pi EK'.Ci71// Pi 3 DK' .Ci / EK'.Ci71// care prezint aceeai vulnera!ilitate fa de un atac de tip ;nt lnire la mi+loc<' 5.1.1! -ripla criptare 9E

Capitolul 5 Criptografia modern

ripla criptare cu dou chei 1 idee mai !un, propus de #uc$man, opereaz pe un !loc de trei ori folosind dou c$ei, se ncepe cu prima c$eie, se continu cu a doua c$eie i se termin folosind din nou prima c$eie, n sensul c e0peditorul cripteaz cu prima c$eie, decripteaz cu a doua c$eie i n final cripteaz cu prima c$eie' )estinatarul decripteaz cu prima c$eie, apoi cripteaz cu a doua c$eie i n final decripteaz cu prima c$eie, C 3 EK1 .DK'.EK1 .P/// P 3 DK1.EK' .DK1 .C/// (ceasta poart numele de mod EDE .en) ?pt7de) ?pt7en) ?pt/D dac algoritmul !loc are o c$eie de n !ii, aceast sc$em conduce la o c$eie de 'n !ii' (ceast form curioas de criptaredecriptare-criptare a fost proiectat de ?@M, pentru a pstra compati!ilitatea cu implementarea convenional a algoritmului, dac cele dou c$ei sunt identice, tripla criptare se reduce la o singur criptare cu o singur c$eie' K1 i K' alterneaz, pentru a preveni posi!ilitatea de a folosi un atac de tip ;nt lnire la mi+loc<' )ac C 3 EK' .EK1 .EK1 .P ///, atunci criptanalistul poate calcula EK1 .EK1 .P // pentru toate valorile K1 posi!ile, dup care pornete atacul' (r fi necesare doar AnNA criptri' #ripla criptare cu dou c$ei nu permite un atac de tip ;nt lnire la mi+loc< de genul celui nt lnit n cazul du!lei criptri, dar MerPle i Qellman au proiectat un alt gen de atac, care poate sparge tripla criptare cu dou c$ei n An-1 pai folosind An !locuri de memorie' :entru fiecare K' posi!il, se decripteaz 5 i se memoreaz' (poi, se decripteaz cu fiecare K1 posi!il, pentru a-l gsi pe P' &e cripteaz triplu P pentru a-l afla pe C, dup care se decripteaz C cu K1' )ac aceast decriptare este o decriptare a lui 5 folosind K' .din memorie/ atunci perec$ea K1, K' este o posi!il candidat' )ac aceast posi!ilitate nu se verific, se continu cutarea' (cesta este un atac cu te0te n clar alese, care necesit o mare cantitate de te0te n clar alese i anume Am, n timp ce memoria i durata sunt de ordinul A n' Mu este foarte practic, dar su!liniaz o sl!iciune a algoritmului' :aul van 1orsc$ot i Mic$ael Uiener au convertit aceasta la un atac cu A p te0te n clar cunoscute' C0emplul presupune modul C)C, 1' &e g$icete valoarea intermediar a. 98

Capitolul 5 Criptografia modern A' &e calculeaz i memoreaz pentru fiecare K1 posi!il, a doua valoare intermediar 4, c nd prima valoare intermediar este a, folosind te0tul n clar cunoscut, 4 3 DK1 .C/ B' &e caut n ta!elul memorat, pentru fiecare K' posi!il, elemente cu aceeai valoare intermediar 4, 4 3 EK' .a/ 4' :ro!a!ilitatea de succes este p/%, unde p este numrul de te0te n clar cunoscute i % este mrimea !locului' )ac nu se gsesc elementele cutate la pasul B, se alege o nou valoare pentru a i se reia de la pasul 1' (cest atac necesit AnNmFp timp operaional i p spaiu de memorie' :entru )C&, aceasta nseamn A1A5Fp' :entru p mai mare ca A5E, acest atac este mai rapid dec t cutarea e0$austiv' ripla criptare cu trei chei (ceast variant presupune o lungime total a c$eii mai mare, dar memorarea c$eii nu constituie o pro!lem' C 3 EK, .DK'.EK1 .P/// P 3 DK1.EK' .DK, .C/// Cel mai !un atac cere AAn pai i An !locuri de memorie si este de tip ;nt lnire la mi+loc<' #ripla criptare cu trei c$ei independente este ec$ivalent din punct de vedere al securitii, cu du!la criptare'

99

Capitolul 5 Criptografia modern

5.. Algoritmi simetrici de tip /ir

Cifrurile ir formeaz o clas important de algoritmi de criptareD ele pot fi cifruri cu c$ei simetrice sau cu c$ei pu!lice' Ceea ce le caracterizeaz i le difereniaz fa de cifrurile !loc este faptul c cifrurile ir proceseaz te0tul de criptat n uniti oric t de mici, c$iar !it cu !it, aplic nd funcia =1* ntre !iii c$eii i !iii de cifrat, iar funcia de criptare se poate modifica n cursul criptrii' Cifrurile ir sunt algoritmi cu memorie, n sensul c procesul de criptarea nu depinde doar de c$eie i de te0tul n clar, ci i de starea curent' 2n cazul n care pro!a!ilitatea erorilor de transmisie este mare, folosirea cifrurilor ir este avanta+oas deoarece au proprietatea de a nu propaga erorile' Cle se folosesc i n cazurile n care datele tre!uie procesate una c te una, datorit lipsei de spaiu de memorie' Clasificare (lgoritmii simetrici de tip ir se mpart n dou mari clase, 1. Ci" ! i @i $in) #ne. '. Ci" ! i @i a$in) #ne. 5...1 Cifruri /ir sincrone Gn cifru /ir sincron este unul care genereaz irul de c$ei independent de te0tul n clar i de te0tul cifrat' Criptarea n acest caz poate fi descris de urmtoarele ecuaii, &i;1 = & (&i, k), Ai = g (&i, k), )i = h (Ai, %i), unde &3 este starea iniial i se poate determina din c$eia k, & este funcia de stare, g este funcia care produce irul de c$ei A, iar h este funcia de ieire care com!in irul de c$ei cu te0tul n clar %i pentru a o!ine te0tul cifrat )i' "ropriet0ile cifrurilor /ir sincrone

99

Capitolul 5 Criptografia modern &in) #niAa ea at t e0peditorul c t i destinatarul tre!uie s fie sincronizai, n sensul de a folosi aceeai c$eie i a opera cu aceeai stare respectiv, astfel nc t s fie posi!il o decriptare corect' )ac sincronizarea se pierde prin inserarea sau lipsa unor !ii din te0tul cifrat transmis, atunci decriptarea eueaz i poate fi reluat doar prin te$nici suplimentare de re-sincronizare, adic re-iniializarea, plasarea de marPeri speciali sau dac te0tul n clar conine suficient redundan i se ncearc toate deplasrile posi!ile ale irului de c$ei' Bep #paga ea e # ii un !it de te0t cifrat care este modificat n timpul transmisiei nu tre!uie s afecteze decriptarea celorlali !ii cifrai' <ta)! i a)ti9e ca o consecin a sincronizrii, inserarea, tergerea sau retransmisia unor !ii de te0t cifrat de ctre un adversar activ va cauza o pierdere instantanee a sincronizrii i crete posi!ilitatea detectarii atacului de ctre decriptor' Ca o consecin a nepropagrii erorii, un atacator ar putea s modifice !ii alei din te0tul cifrat i s afle e0act ce efect au modificrile n te0tul n clar' #re!uie deci, s se foloseasc mecanisme suplimentare de autentificare a e0peditorului i de garantare a integritii datelor' 5.... Cifruri /ir asincrone Gn cifru /ir asincron sau autosincroniza!il este unul care genereaz irul de c$ei ca o funcie de c$eie i un numr de !ii din te0tul cifrat anterior' 7uncia de criptarea n acest caz poate fi descris de urmtoarele ecuaii, &i = ()i7t, )i7t;1, >, )i71), Ai = g (&i, k), )i = h (Ai, %i), unde &3 = ()7t, )7t;1, >, )71), este starea iniial .nesecret/, k este c$eia, g este funcia care produce irul de c$ei A, iar h este funcia de ieire care com!in irul de c$ei cu te0tul n clar %i pentru a o!ine te0tul cifrat )i' "ropriet0ile cifrurilor /ir asincrone <!t#7$in) #niAa ea este posi!il dac !ii din te0tul cifrat sunt terse sau adugate, deoarece decriptarea depinde doar de un numr determinat de !ii cifrai 155

Capitolul 5 Criptografia modern anterior' (stfel de cifruri sunt capa!ile s-i resta!ileasc automat procesul de decriptare corect dup pierderea sincronizrii' P #paga ea li%itat- a e # ii s presupunem c starea unui cifru ir asincron depinde de t !ii cifrai anteriori' )ac un singur !it cifrat este modificat, ters sau inserat n timpul transmisiei, atunci decriptarea a cel mult t !ii urmtori de te0t cifrat va fi incorect, dup care se reia decriptarea corect' <ta)! i a)ti9e limitarea propagrii erorii face ca orice modificare a te0tului cifrat de ctre un adversar activ s ai! ca i consecin decriptarea incorect a altor !ii cifrai, ceea ce poate mri posi!ilitatea ca atacul s fie o!servat de ctre decriptor' :e de alt parte, datorit auto-sincronizrii este mai dificil dec t n cazul cifrurilor ir sincrone s se detecteze inserarea, tergerea sau modificarea unor !ii n te0tul cifrat' #re!uie deci s se foloseasc mecanisme suplimentare de autentificare a e0peditorului i de garantare a integritii datelor' Di"!Aia $tati$ti)il# te5t!l!i +n )la C deoarece fiecare !it de te0t clar influeneaz toi !iii cifrai urmtori, proprietile statistice ale te0tului n clar sunt dispersate n te0tul cifrat' Ca o consecin, cifrurile ir asincrone tre!uie s fie mai rezistente dec t cifrurile ir sincrone fa de atacurile !azate pe redundana te0tului n clar' 5...1 "roiectarea /i anali2a cifrurilor /ir Ma+oritatea cifrurilor ir folosite n practic sunt proiectate folosind H7&*-uri 5, care sunt simplu de implementat softIare sau $ardIare' :ro!lema este c aceste implementri sunt ineficiente din punct de vedere al vitezei' :entru a rezista atacului de corelaie, funcia de feed!acP tre!uie s fie un polinom dens, ceea ce presupune multe calcule, care produc la ieire un singur !it, deci tre!uie repetate des' #otui, cele mai multe sisteme de criptare militare se !azeaz pe H7&*' "roiectarea cifrurilor /ir Construcia cifrurilor ir poate fi privit din perspective diferite J*ue9AK , (!ordarea sistemic este ncercarea de a crea o pro!lem dificil pentru criptanalist, folosind un set de principii i criterii fundamentale de proiectare'
5

H7&* - Hiniar 7eed!acP &$ift *egister au fost descrise n B'A

151

Capitolul 5 Criptografia modern (!ordarea informaional este orientat spre ascunderea fa de criptanalist a oricrei informaii despre te0tul n clar' 1ric t efort ar depune acesta, nu va a+unge niciodat la o soluie unic' (!ordarea pe !aza teoriei comple0itii ncearc s !azeze sistemul de criptare .sau s-l fac ec$ivalent/ pe o pro!lem cunoscut ca fiind dificil de rezolvat' (!ordarea aleatoare genereaz o pro!lem greu de gestionat, for nd criptanalistul s e0amineze o mare cantitate de date fr semnificaie' (!ordarea sistemic este folosit n proiectarea ma+oritii cifrurilor ir, conduc nd la generatoare care prezint proprieti de securitate care pot fi msurate, perioda, distri!uia !iilor, comple0itatea liniar' :roiectantul studiaz de asemenea te$nicile criptanalitice folosite mpotriva acestor generatori, pentru a fi sigur c generatorii sunt imuni la astfel de atacuri' 2n timp, a!ordarea sistemic a impus un set de criterii de proiectare a cifrurilor ir J*ue9AK, period lung, lipsa repetiiilorD comple0itate liniar mareD criterii statisticeD confuzia fiecare !it generat tre!uie s fie o transformare comple0 a !iilor c$eiiD difuzie redundanele din su!structuri tre!uie s fie disipate n statistici de rang nalt .long-range statistics/D criterii de nonliniaritate pentru funcii !ooleene cum ar fi imunitatea corelaiei de ordin %, distana la funciile liniare, criteriul avalanei' :ro!lema ma+or a acestor criptosisteme este c nu se poate demonstra nimic despre securitatea lorD nu s-a demonstrat c aceste criterii de proiectare sunt necesare iFsau suficiente pentru asigurarea securitii' (!ordarea informaional a proiectrii de cifruri ir presupune c criptanalistul dispune de un timp i o putere de calcul nelimitate' &ingurul cifru ir real care ofer securitate n aceste condiii este bloc notesE-ul sau ec$ivalent, banda cu unic folosin08, dou !enzi magnetice care conin aceeai c$eie format din !ii aleatori se folosete la criptare i la decriptare, prin operare =1* cu te0tul n clar i respectiv, cu te0tul cifrat' C$eia este de unic folosin' )eoarece !iii
E 8

A'B'B &u!stituia ;perfect< <one-time tape<

15A

Capitolul 5 Criptografia modern sunt aleatori, criptanalistul nu poate prezice c$eia' :rin distrugerea !enzilor dupa folosire se o!ine secretul perfect' 2n a!ordarea aleatoare a proiectrii cifrurilor ir, criptograful ncearc s se asigure c adversarul su, criptanalistul, va tre!ui s rezolve o pro!lem de foarte mari dimensiuni' 1!iectivul este creterea numrului de !ii pe care criptanalistul tre!uie s-i analizeze, simultan cu pstrarea c$eii secrete la dimensiuni mici' (cest lucru se poate o!ine prin folosirea unui ir pu!lic aleator de mari dimensiuni la criptare i decriptare' C$eia va specifica prile din irul pu!lic care sunt folosite la criptare i decriptare' Criptanalistul, care nu cunoate c$eia, va fi forat s dezvolte o cutare n for ;!rute-force searc$< asupra ntregului ir pu!lic' &ecuritatea acestui tip de cifru se poate e0prima n numrul mediu de !ii pe care un criptanalist tre!uie s-i e0amineze nainte ca ansele de a determina c$eia s fie mai mari dec t a o g$ici' (!ordarea pe !aza teoriei comple0itii conduce proiectantul s foloseasc teoria comple0itii n demersul su de a demonstra securitatea generatorului' Seneratorii tind s devin din ce n ce mai complicai, !azai pe pro!leme dificil de rezolvat, cum este cazul n criptografia cu c$ei pu!lice' Comple3itatea liniar 1 metric important folosit pentru a analiza generatoarele !azate pe H7&* este comple3itatea liniar, definit ca fiind lungimea n a celui mai scurt H7&* care poate produce ieirea generatorului' 1rice ir generat de o main de stare finit peste un c mp finit are o comple0itate liniar finit' JMas9EK' Comple0itatea liniar este important deoarece un algoritm simplu, *erle4amp56asse7, poate genera H7&*-ul de definiie e0amin nd doar An !ii din c$eie, ceea ce nsemn spargerea cifrului ir' Concluzia este c o comple0itate liniar ridicat nu nseamn neaprat un generator sigur, dar o comple0itate liniar sczut indic un generator fr securitate' Atacuri Criptografii ncearc s o!in o comple0itate liniar ridicat prin com!inarea ieirilor mai multor H7&*-uri ntr-un mod nonliniar' :ericolul este ca unul sau mai multe iruri generate interne de o!icei ieiri ale H7&*-urilor individuale s fie corelate cu irul com!inat, ceea ce permite un atac !azat pe alge!ra liniar numit atac de corela0ie' JMi$95K' #$omas &iegent$aler a artat c imunitatea de corelare poate fi precis definit i c e0ist o legtur ntre aceasta i comple0itatea liniar J&ie94K' ?deea de !az a atacului de corelaie este identificarea unor 15B

Capitolul 5 Criptografia modern corelaii ntre ieirea generatorului i ieirea uneia din componentele sale interne' (poi, o!serv nd irul de ieire, se pot o!ine informaii despre ieirea intern' 7olosind aceste informaii i alte corelaii se colecteaz informaii despre celelalte ieiri interne ale generatorului, p n c nd acesta este spart n totalitate'

Cifrul A5 (5 este un cifru ir folosit pentru a cripta flu0ul de date S&M .Sroup &pecial Mo!ile/, reprezent nd standardul non-american pentru telefonia mo!il celular' (5 cripteaz linia dintre telefon i celula de !az, restul legturii rm n nd necriptat' (5 este format din trei H7&*-uri, care au regitri de lungime 19, AA i respectiv AB' #oate polinoamele de feed!acP sunt cu un numr redus de coeficieni9' ?eirea este o!inut prin operarea =1* a celor trei H7&*-uri' (5 folosete un clocP control varia!il' 7iecare registru face un clocPing !azat pe !itul central, care este operat =1* cu inversa funciei prag .t$res$old function/ a !iilor de la mi+locul celor trei regitri' 2n mod normal, dou din H7&*-uri sunt clocP-ate la fiecare iteraie' C0ist un atac trivial care necesit A45 criptri, se g$icete coninutul primelor dou H7&*-uri, apoi se determin al treilea din irul generat' 2n ciuda acestui fapt, (5 este !ine proiectat i este e0trem de eficient' Cl trece cu succes toate testele statistice cunoscute i singura sa sl!iciune rezid n faptul c regitrii sunt scuri, ceea ce face posi!il o cutare e0$austiv' >ariantele (5 cu regitri lungi i polinoame feed!acP dense au un grad de siguran sporit'

5...5 8eneratori aditivi Seneratorii aditivi, cunoscui su! numele de generatori 7i!onacci leni .lagged/, sunt e0trem de eficieni deoarece ei produc cuvinte aleatoare n loc de !ii aleatori' Mu prezint securitate, dar se pot folosi la construcia unor generatoare sigure' &tarea iniial a generatorului este un vector de cuvinte de n !ii, unde n ia valorile 9, 1E, BA etc' notat D1, DA, DB, T, Dm' &tarea iniial este c$eia' Cuv ntul i al generatorului este, Di 3 .Di-a N Di-! N Di-c, ; > ;Di-m/ mod An
9

sparse .eng'/

154

Capitolul 5 Criptografia modern

)ac, coeficienii a, 4, ),T % sunt alei n mod corect, perioada generatorului este cel puin egal cu An 1' Gna din condiiile cerute pentru coeficieni este ca cel mai puin semnificativ !it s formeze un H7&* de lungime ma0im' Cifrul )C9 *C4 este un cifru ir cu c$eie de lungime varia!il, dezvoltat n 1998 de ctre *on *ivest pentru *&( )ata &ecurit%' 2n 1994 codul surs al algoritmului este fcut pu!lic pe ?nternet' *C4 este un algoritm simplu de descris, irul c$eie este independent de te0tul n clar' (re 9 0 9 ;cutii-&<, &3, &1, ''', &'55' ?ntrrile sunt permutri ale numerelor de la zero la A55, iar permutarea este o funcie de o c$eie de lungime varia!il' C0ist doi indici, i i 6, iniializai cu zero' :entru a genera un octet aleator se procedeaz astfel, i 3 .i N 1/ modulo A5E 6 3 .6 N &i/ modulo A5E T 3 &i &i 3 &6 &6 3 T t 3 .&i N &6/ modulo A5E K 3 &t 1ctetul K este operat =1* cu te0tul n clar pentru a produce te0t cifrat sau operat =1* cu te0tul cifrat pentru a o!ine te0tul n clar' Criptarea este aproape de 15 ori mai rapid dec t )C&-ul' ?niializarea ;cutiilor-&< este simpl' &e iniializeaz liniar, &3 3 5, &1 3 1, T, &'55 3 A55 i un alt vector de A5E de octei cu c$eia, repet nd c$eia, dac este necesar, pentru a completa vectorul cu componentele, K3, K1, T, K'55' 635 7or i 3 5 to A55, 6 3 .6 N &i N Ki/ modulo A5E 155

Capitolul 5 Criptografia modern se sc$im! &i cu &6 ntre ele Mu e0ist rezultate pu!lice ale criptanalizei' &e crede ca algoritmul este imun la analiza diferenial i liniarD *C4 poate fi n apro0imativ A 1855 stri posi!ile' ;Cutiile-&< evolueaz lent n timpul ntre!uinrii, i asigur c fiecare element se sc$im!, iar 6 c aceste sc$im!ri sunt aleatoare' *C4 are un statut special de e0port, acesta fiind permis doar pentru c$ei de p n la 45 de octei' *C4 este implementat n multe produse comerciale, dintre care amintim Hotus Motes i 1racle &ecure &VH'

15E

Capitolul 5 Criptografia modern

5.1 Algoritmi cu c,ei publice

Conceptul de criptografie cu c$ei pu!lice a fost inventat de U$itfield )iffie i Martin Qellman' Contri!uia lor const n propunerea de a folosi un nou criptosistem n care c$eile de criptare i decriptare sunt diferite, iar c$eia de decriptare .care este secret/ nu poate fi dedus din c$eia de criptare .care este pu!lic/' 2n anul 198E conceptul a fost prezentat n premier la Conferina Maional9, iar cteva luni mai t rziu lucrarea a fost pu!licat J)iQ8EK' &istemele cu c$eie pu!lic au un mare avanta+ fa de sistemele cu c$ei secrete, oricine poate transmite un mesa+ secret utilizatorului .cunosc ndu-i c$eia pu!lic/, iar mesa+ul rm ne prote+at fa de interceptor' Cu un sistem cu c$eie convenional, o c$eie separat secret este necesar pentru fiecare perec$e de utilizatori' Gn canal este o cale pentru flu0ul de informaiiD ntr-un mediu privat, calea este prote+at mpotriva accesului din e0terior' 2n general, un sistem cu n utilizatori necesit n*(n71)/' c$ei, pentru ca oricare perec$e de utilizatori s poat comunica ntre ei i mesa+ele lor s rm n secrete fa de ceilali utilizatori' Mumrul de c$ei crete rapid o dat cu numrul de utilizatoriD generarea, distri!uirea i meninerea securitii c$eilor constituie o pro!lem datorit numrului lor mare' Caracteristici 2ntr-un sistem cu c$eie pu!lic, un utilizator deine dou c$ei, o c$eie pu!lic i o c$eie privat' Gtilizatorul i poate face cunoscut oricui c$eia pu!lic' 7ie kP8EF c$eia privat i kPGH c$eia pu!lic corespunztoare' (tunci, P=D(kP8EF, E(kPGH,P)) Gtilizatorul poate decripta cu c$eia privat ceea ce oricine altcineva a criptat cu c$eia pu!lic corespunztoare' Cu al doilea algoritm de criptare cu c$eie pu!lic P=D(kPGH, E(kP8EF,P)) utilizatorul poate cripta un mesa+ cu c$eia privat, iar mesa+ul poate fi decriptat doar cu c$eia pu!lic corespunztoare'

Mational Computer Conference &G(

158

Capitolul 5 Criptografia modern (ceste dou proprieti presupun c cele dou c$ei, pu!lic i privat, pot fi aplicate n orice ordine .sistemul *&( nu face distincie ntre c$eia pu!lic i c$eia privatD orice c$eie din perec$ea de c$ei poate fi folosit fie ca c$eie pu!lic, fie ca c$eie privat/' 5.1.1 Algoritmul 6er4le5:ellman MerPle i Qellman au dezvoltat un algoritm de criptare !azat pe pro!lema rucsacului pu!licat n anul 1989 JMeQ89K' :ro!lema rucsacului conine o mulime de ntregi pozitivi i o sum int i const n gsirea unei su!mulimi de ntregi a cror sum coincide cu suma int' :ro!lema rucsacului este M: complet, adic rezolvarea sa necesit un timp e0ponenial funcie de mrimea pro!lemei n acest caz, numrul de ntregi' 'ntroducere ?deea pe care se !azeaz sc$ema rucsacului MerPle-Qellman este codificarea unui mesa+ !inar ca o soluie la o pro!lem a rucsacului, reduc nd mesa+ul n te0t cifrat la suma int o!inut prin adunarea termenilor corespunztori valorilor de 1 din irul !inar' Gn rucsac este reprezentat ca un vector de numere ntregi n care ordinea termenilor este foarte important' C0ist dou tipuri de rucsacuri, unul simplu, pentru care e0ist un algoritm rapid .de timp liniar/ i unul complicat, o!inut din cel simplu prin modificarea elementelor sale' Modificarea este astfel proiectat nc t o soluie cu elementele oricrui rucsac este de asemenea soluie pentru cellalt' (ceast modificare se numete trap, permi nd utilizatorilor legitimi s rezolve pro!lema simplu' )eci, pro!lema general este M: complet, dar e0ist o versiune restr ns care are o soluie foarte rapid' (lgoritmul ncepe cu o mulime de ntregi n care fiecare element este mai mare dec t suma predecesorilor si' & presupunem c avem un ir n care fiecare element ak este mai mare dec t a1;a';...;ak71' )ac o sum este ntre ak i ak;1, tre!uie s-l conin pe ak, deoarece nici o com!inaie de termeni a1, a', ..., ak71 nu pot produce un total mai mare dec t ak' (nalog, dac o sum este mai mic dec t ak, evident nu l va conine ca termen pe ak' Modificarea algoritmului sc$im! elementele mulimii din pro!lema simpl a rucsacului, prin alterarea acestei proprieti de ordonare cresctoare ntr-un fel care pstreaz soluia' Modificarea se realizeaz prin nmulire cu o constant modulo n'

159

Capitolul 5 Criptografia modern

Detalii privind tehnica (er)le-*ellman :ro!lema rucsacului presupune un ir a1, a', ..., an de ntregi i o sum int T' :ro!lema este de a gsi un vector de valori 5 i 1 astfel nc t suma ntregilor asociai cu 1 s dea T' )eci, d ndu-se &=Ia1, a', ..., anJ, i T, s se gseasc un vector F cu valori 5 i 1 astfel nc t ,
n

a
i =1

9i = T

*ezolvarea se face consider nd fiecare ntreg din & ca particip nd la T i reduc nd pro!lema corespunztor' C nd o soluie nu produce suma int, se elimin ntregul ales iniial i se continu cu urmtorul' (cest !acP-traPing deterioreaz viteza soluiei' Rucsacuri supercresctoare & presupunem pro!lema rucsacului cu o restricie suplimentar, ntregii din & formeaz un /ir supercresctor, adic unul n care fiecare ntreg este strict mai mare dec t suma predecesorilor si' (tunci, orice ntreg ak satisface relaia
ak > a 6
6 =1 k 1

&oluia rucsacului supercresctor .numit i rucsacul simplu/ este uor de gsit' &e ncepe cu T, care se compar cu cel mai mare ntreg din &' )ac acesta este mai mare dec t T, nu este termen al sumei, deci valoarea corespunztoare din F este 5' )ac acest cel mai mare ntreg din & este mai mic sau egal cu T, el este termen al sumei, deci valoarea corespunztoare din F este 1' *elum algoritmul pentru T din care scdem sau nu termenul analizat .conform cu valoarea din F/ i pentru ntregii rmai' ehnica de criptare #e$nica de criptare MerPle-Qellman este un criptosistem cu c$eie pu!lic' 7iecare utilizator are o c$eie pu!lic, care poate fi distri!uit oricui i o c$eie privat, care se pstreaz secret' C$eia pu!lic este mulimea ntregilor din pro!lema rucsacului .nu unul supercresctor/D c$eia privat este rucsacul supercresctor corespondent' Contri!uia lui MerPle i Qellman a fost s proiecteze o te$nic de conversie a rucsacului supercresctor ntr-unul normal, prin sc$im!area numerelor de o manier reversi!il'

159

Capitolul 5 Criptografia modern 5.1.. Algoritmul )ivest5S,amir5Adelman ;)SA< Gn alt criptosistem !azat pe o pro!lem dificil este algoritmul *&(, numit astfel dup inventatorii si, *ivest, &$amir i (delman' ( fost pu!licat n 1989 J*&(89K i rm ne un algoritm foarte folosit i astzi, n ciuda eforturilor criptanalitilor de a-l sparge' 'ntroducere (lgoritmul de criptare *&( incorporeaz rezultate din teoria numerelor, com!inate cu dificultatea determinrii factorilor primi pentru un numr int' Ca n cazul algoritmului MerPleQellman i algoritmul *&( opereaz cu aritmetica modulo n' Gn !loc n te0t clar este tratat ca un ntreg, iar pentru criptare i decriptare se folosesc dou c$ei, e i d, care sunt intersc$im!a!ile' @locul de te0t clar : este criptat ca : e modulo n' )eoarece e0ponenierea este modulo n, este foarte dificil s se factorizeze :e pentru a descoperi te0tul original' :entru aceasta, c$eia de decriptare d este astfel aleas nc t .:e/d 3 : modulo n' (stfel : este regsit fr a fi necesar descompunerea n factori primi a lui :e' :ro!lema pe care se !azeaz algoritmul de criptare este cea a factorizrii numerelor mari' :ro!lema factorizrii nu se cunoate a fi M: completD cel mai rapid algoritm cunoscut este e0ponenial n timp' Descrierea detaliat Cu algoritmul *&(, mesa+ul n te0t clar : este criptat n, mesa+ul n te0t cifrat C prin intermediul c$eii de criptare e, C 3 :e modulo n Mesa+ul n te0t clar este regsit cu a+utorul c$eii de decriptare d, : 3 Cd modulo n )in cauza simetriei din aritmetica modular, criptarea i decriptarea sunt mutual inverse i comutative, : 3 Cd modulo n 3 .:e/d modulo n 3 .:d/e modulo n +legerea cheilor C$eia de criptare const n perec$ea de ntregi . e, n/, iar c$eia de decriptare este .d, n/' :unctul de plecare n gsirea c$eilor pentru acest algoritm este selectarea unei valori pentru n' >aloarea lui n tre!uie s fie suficient de mare, dat de un produs a dou numere prime p i :' (t t 115

Capitolul 5 Criptografia modern p c t i : tre!uie s fie ele nsele suficient de mari' 2n mod o!inuit, p i : au apro0imativ 155 de cifre fiecare, astfel nc t n are apro0imativ A55 de cifre' (ceast lungime in$i! ncercarea de a factoriza pe n, pentru a afla pe p i pe :' 2n continuare, se alege un ntreg e relativ mare, astfel nc t e este relativ prim cu .p-1/.:-1/' &atisfacerea acestei condiii se face aleg ndu-l pe e ca un numr prim mai mare dec t p-1 i :-1' 2n final, se alege d astfel nc t, e d 1 modulo .p-1/.:-1/ ,undamentele matematice ale algoritmului RS+ 7uncia lui Culer .n/ este numrul ntregilor pozitivi mai mici dec t n care sunt relativ primi cu n' )ac p este prim, atunci, .p/ 3 p-1 )ac n 3 p :, unde p i : sunt am!ele prime, .n/ 3 .p/ W.:/ 3 .p-1/ .:-1/ ?dentitatea Culer-7ermat afirm c , 5 .n/ 1 modulo n pentru orice ntreg 5, dac n i 5 sunt relativ prime' & presupunem c mesa+ul n te0t clar P este criptat cu algoritmul *&(, astfel nc t E(P)=Pe' #re!uie s fim siguri c putem decripta mesa+ul' >aloarea e este astfel aleas nc t inversa sa d s poat fi gsit uor' )eoarece e i d sunt inverse modulo .n/, e d 1 modulo .n/ sau e d 3 k .n/ N 1 pentru anumii ntregi k' 'mplementarea practic a algoritmului Gtilizatorul algoritmului *&( alege numerele prime p i :, din care se o!ine n 3 p :' (poi alege e, relativ prim la .p-1/ .:-1/, de o!icei un numr prim mai mare dec t p-1 i dec t :-1' 2n final, d se calculeaz ca inversul lui e modulo .n/' Gtilizatorul distri!uie e i n, i pstreaz c$eia d secretD p, : iW .n/ pot fi ignorate, dar nu fcute pu!lice' C$iar dac se tie c n este produsul a dou numere prime, datorit mrimii sale 111

Capitolul 5 Criptografia modern peste A55 de cifre, nu va fi posi!il s se determine factorii p i :, i nici c$eia privat, d din e' )e asemenea, verificarea c p i : sunt prime, presupune luarea n considerare a 1555 factori' &olova% i &trassen au dezvoltat un algoritm euristic de calcul a pro!a!ilitii ca un numr s fie prim, cu gradul de ncredere dorit' 1rice numr prim satisface dou teste' )ac p este un numr prim i orice numr mai mic dec t p, cmmdc.p, /31 unde cmmdc este cel mai mare divizor comun, i L. , p/
(p71)/'

modulo p

unde L este funcia Laco!i, definit astfel,

1 A K . , p/ = K . F A, p/ . 1/ . p 1/ F 9 K . p modulo r, r/ . 1/ . 1/ . p 1/ F 4

daca r = 1 daca r este par daca r este impar si r 1

)ac un numr pare a fi prim, dar nu trece unul din aceste teste, n mod sigur nu este prim' )ac ns satisface cele dou teste, numrul este prim cu o pro!a!ilitate de cel puin 1FA' :ro!lema n algoritmul *&( este de a gsi dou numere prime mari, p i :' :entru a folosi metoda de mai sus, se alege un posi!il numr mare prim, p' &e genereaz aleator un numr i se calculeaz cmmdc.p, / i L. ,p/' )ac una din cele dou condiii nu este ndeplinit, p nu este numr prim' )ac am!ele teste se verific, pro!a!ilitatea ca p s nu fie prim este cel mult 1FA' :rocesul se repet pentru noi valori ale lui alese aleator' )ac al doilea verific am!ele teste, pro!a!ilitatea ca p s nu fie prim este cel mult 1F4' )up repetarea procesului de P ori astfel nc t cele dou teste sunt verificate, pro!a!ilitatea ca p s nu fie prim este cel mult 1FAP' Criptanaliza metodei RS+ #eoretic sunt trei posi!iliti de a!ordare a unui atac n cazul algoritmului *&(, atacul n for, atacul !azat pe metode matematice .ncercarea factorizrii produsului a dou numere prime mari/ i atacul temporal' (naliza acestor atacuri duce la concluzia c nici unul nu are sori de iz! nd' 2n pofida unor intense cercetri, au fost identificate doar pro!leme minore n comparaie cu cele din cazul algoritmului rucsacului a lui MerPle i Qellman'

11A

Capitolul 5 Criptografia modern

5.9 Conclu2ii
Criptografia cu c$ei simetrice i cea cu c$ei pu!lice prezint diverse avanta+e i dezavanta+e pe care le prezentm n continuare, !i# +vanta-e ale criptogra&iei cu chei simetrice 1' (lgoritmii folosii permit gestionarea unor volume mari de date, cu vitez relativ !un' 2n special atunci c nd este vor!a de implementri $ard' A' B' C$eile folosite pentru algoritmii simetrici sunt relativ scurte' (lgoritmii simetrici pot fi folosii ca primitive pentru a construi soluii criptografice incluznd generatoarele de numere pseudo-aleatoare i funciile $as$' 4' (lgoritmii cu c$ei simetrice se pot compune pentru a produce algoritmi mai puternici' !ii# Dezavanta-ele criptogra&iei cu chei simetrice 1' A' 2ntr-o comunicaie c$eia tre!uie s rmn secret n am!ele capete' 2ntr-o reea cu muli utilizatori numrul c$eilor care tre!uie gestionate devine o pro!lem ma+or' B' :entru o comunicaie ntre dou pri, practica criptografic impune sc$im!ul c$eilor frecvent, uneori c$iar la fiecare sesiune, ceea ce n condiiile unui canal nesigur de comunicaie este o alt pro!lem' !iii# +vanta-ele criptogra&iei cu chei publice 1' )intre cele dou c$ei folosite n algoritmii cu c$ei pu!lice doar una tre!uie inut secret'

11B

Capitolul 5 Criptografia modern A' (dministrarea c$eilor ntr-o reea poate fi fcut cu un singur administrator ;de ncredere<' B' 2n general perec$ile de c$ei pu!liceFsecrete pot fi folosite pe o perioada lung de timp fr a fi sc$im!ate' 4' 2ntr-o reea de dimensiuni mari numrul de c$ei necesare este considera!il mai mic dect n cazul criptografiei simetrice' !iv# Dezavanta-ele criptogra&iei cu chei publice

1'

>iteza algoritmilor cu c$ei pu!lice .c$iar i a celor mai performani/ este de c teva ori mai mic dec t a celor cu c$ei secrete'

A'

)imensiunea c$eilor folosite este mai mare .15A4 pentru *&( n comparaie cu E4 sau 1A9 n cazul algorimilor de tip !loc/'

B'

:entru nici un algoritm cu c$ei pu!lice nu s-a demonstrat c ar fi ;sigur<D securitatea lor se !azeaz prezumia de dificultate a unui set de pro!leme de teoria numerelor'

4'

?storia criptografiei cu c$ei pu!lice este relativ scurt .din 1985/ '

.tilizarea algoritmilor /n sisteme de criptare disponibile /n 'nternet (plicaiile i protocoalele folosite n ?nternet au nevoi diferite de securitate, n funcie de care se utilizeaz diverse sisteme criptografice' &e o!serv c nu e0ist un algoritm unic !un pentru orice situaie n funcie de noile rezultate o!inute n proiectarea criptografic, dar i n criptanaliz, se renun la unii algoritmi sau se dezvolt variante m!untite din punct de vedere al securitii' 2n ?nternet, sistemele criptografice pot fi grupate n dou mari categorii, protocoale de reea i programeFprotocoale folosite pentru criptarea mesa+elor trimise prin pota electronic .ta!elul 5'B/'

114

Capitolul 5 Criptografia modern "rincipalii algoritmi *&( *C4 M)5 *&( *C4 M)5 *&( )C& *&( M)5 *CA *&( M)5 *CA )iffieQellman *&( M)5 )C& *&( )iffieQellman )es #riple )C& &pecificaii utilizator M)5 ?)C( *&(

=r. Sistem 1 :C# .:rivate Communications #ec$nolog%/ &&H .&ecure &ocPet Ha%er/ &-Q##: &ecureQ%per#e0t #ransfer :rotocol &C# .&ecure Clectronic #ransaction/ C%!erCas$ ?psec, ?pv5 )M&&CC .)omain Mame &%stem &ecurit%/ Oer!eros

Caracteristici :rotocol criptare transmisii #C:F?: :rotocol criptare transmisii #C:F?: :rotocol pentru criptarea cererilor i rspunsurilor Q#MH :rotocol criptare transmisii de instruciuni de platX prin ?nternet :rotocol criptare transmisii instruciuni de platX prin ?nternet :rotocol de nivel scXzut pentru criptarea pac$etelor ?: &istem pentru securizarea )M& &ecuritate n reea pentru aplicaiile de nivel nalt :rotecie pentru #elnet la transferul de fiiere 7ormat pentru criptarea potei electronice (plicaie pentru criptarea potei electronice

A B 4 5 E 8 9

&&Q .&ecure &$ell/ &FM?MC &ecure Multipurpose ?nternet Mail C0tension :S: .:rett% Sood :rivac%/

15 11

Ta4el!l 5., <lg# it%i de ) ipta e !tiliAaLi +n apli)aLiile din Ente net

115