05 Criptografia Moderna

Capitolul 5 Criptografia modern
5. Criptografia modern
Momentul istoric n care criptografia a devenit tiinific ramur individualizat a
matematicii, a fost n anul 1949 cnd a fost pu!licat articolul "Communication #$eor% of &ecrec%
&%stems"' (ceast lucrare a pus !azele criptosistemelor simetrice'
)ezvoltarea societii informaionale, care a dus la o cretere impresionant a volumului
de informaie preponderent economic ve$iculat n reelele de calculatoare, a accelerat
dezvoltarea i mai ales utilizarea instrumentelor criptografiei moderne' *olul criptografiei
moderne este de a asigura prin mi+loace matematice specifice, att n teorie ct i n practic, cele
patru caracteristici fundamentale ale informaiei, confidenialitatea, integritatea, autenticitatea i
non-repudierea'
Criptografia modern utilizeaz n principiu aceeai algoritmi ca i criptografia
tradiional .transpoziia i su!stituia/, dar accentul cade pe comple0itatea algoritmilor'
1!iectivul criptografic din actuala perioad este de a concepe algoritmi de criptare att de
compleci i de ireversi!ili nct c$iar i n situaia n care atacatorul .sau criptanalistul/ avnd la
dispoziie cantiti mari de te0t criptat la alegerea sa, el s nu poat face nimic fr c$eia secret'
2n criptografia modern un sistem criptografic .criptosistem/ este definit ca o structur
cu cinci componente,
P = { t / t T
*
} care este spaiul te0telor n clar, scrise pentru un alfa!et nevid T .n mod
o!inuit T345,16/
K spaiul c$eilor de criptare, kK
7amilia funciilor de criptare dependent de c$ei i de un algoritm de criptare E
E
k
: P
C , E
k
3 4e
k
/ e
k
(t)=w i e
k
este in+ectiv6
7amilia funciilor de decriptare dependent de c$ei i de un algoritm de decriptare D
D
k
: C
P , D
k
= { d
k
/ d
k
(e
k
( t )) = t t P }
C spaiul mesa+elor cu te0t criptat unde,
C={ w / k K, aP, w = E
k
(a) }
89
:entru ca un sistem criptografic s fie ;!un< .principiile au fost enunate nc din
secolul =>?? de 7rancisc @acon/ el tre!uie s ndeplineasc urmtoarele condiii,
1' 7iind date e
k
i aP s fie uor de calculat e
k
(a)'
A' 7iind date d
k
i wC s fie uor de determinat d
k
(w)'
B' & fie imposi!il de determinat t din w, fr a cunoate d
k
'
4' #e0tul criptat s fie un te0t !anal fr suspiciuni'
)ac funcia e
k
este !i+ectiv atunci sistemul este simetric , iar dac funcia e
k
nu este
!i+ectiv atunci sistemul este asimetric.
C0ist dou tipuri de sisteme simetrice .cunoscute i su! denumirea de sisteme cu cheie
secret/, sisteme care se !azeaz pe algoritmi de tip !loc i sisteme care se !azeaz algoritmi de
tip ir' (lgoritmii de tip !loc acioneaz asupra !locurilor de te0t n clar i te0t cifrat' (lgoritmii
de tip ir se aplic irurilor de te0t n clar i te0t cifrat, la nivel de !it sau octet' Cele dou tipuri
de algoritmi vor fi descrise n su!capitolele 5'1 i 5'A'
&istemele criptografice asimetrice sunt cunoscute su! numele de sisteme cu chei publiceD
algoritmii care stau la !aza acestor sisteme vor fi descrii n su!capitolul 5'B'
5.1 Algoritmi simetrici de tip bloc
(lgoritmii de tip !loc cripteaz mesa+ul n !locuri de E4 sau 1A9 de !ii' &e aplic o
funcie matematic ntre un !loc de !ii ai mesa+ului n clar i c$eie .care poate varia ca mrime/,
rezultnd acelai numr de !ii pentru mesa+ul criptat' 7uncia de criptare este realizat astfel
nct s ndeplineasc urmtoarele cerine,
- tiind un !loc de !ii ai te0tului n clar i c$eia de criptare, sistemul s poat genera rapid
un !loc al te0tului criptatD
- tiind un !loc de !ii ai te0tului criptat i c$eia de criptareFdecriptare, sistemul s poat
genera rapid un !loc al te0tului n clarD
- tiind !locurile te0tului n clar i ale te0tului criptat, sistemului s-i fie dificil s genereze
c$eia'
(cest tip de algoritmi este foarte folosit n criptografia modernD de aceea n acest capitol
vom prezenta civa algoritmi care ;au fcut carier<, dup prezentarea modurilor criptografice
care stau la !aza funcionrii algoritmilor de tip !loc'
89
5.1.6 Algoritmul DES
(lgoritmul )C& .)ata Cncr%ption &tandard/ a fost dezvoltat pentru guvernul &tatelor Gnite
i pentru folosin pu!lic' Cl a fost dezvoltat plecnd de la algoritmul ;Hucifer< conceput n
Ha!oratoarele ?@M' 2n mai 198B, revista 7ederal *egister a sintetizat principiile care tre!uie s
stea la !aza proiectrii unui algoritm criptografic standard,
- algoritmul tre!uie s asigure un nalt nivel de securitateD
- algoritmul tre!uie s fie complet specificat i simplu de nelesD
- securitatea algoritmului tre!uie s fie asigurat de c$eie i nu tre!uie s depind de
pstrarea secret a algoritmuluiD
- algoritmul tre!uie s fie disponi!il tuturor utilizatorilorD
- algoritmul tre!uie s fie adapta!il pentru diverse aplicaiiD
- algoritmul tre!uie s fie implementa!il pe dispozitivele electroniceD
- algoritmul tre!uie s fie eficient n utilizareD
- algoritmul tre!uie s poat fi validatD
- algoritmul tre!uie s fie e0porta!il'
)C& a fost oficial adoptat ca standard federal n AB noiem!rie 198E, iar n 1988
specificaiile sale au fost fcute pu!lice'
Privire general asupra algoritmului
(lgoritmul )C& este o com!inaie comple0 folosind dou !locuri fundamentale n
criptografie, su!stituia i permutarea .transpoziia/' (cest cifru !loc accept un !loc de E4 de !ii
la intrare i genereaz un !loc cifrat de E4 de !ii' )C& este un algoritm simetric' (celai
algoritm i aceeai c$eie sunt folosii att la criptare ct i la decriptare'
(lgoritmul este constituit din 1E cicluri repetate ale !locurilor fundamentale' #e0tul iniial
este descompus n !locuri de E4 de !ii' C$eia este de E4 !ii din care doar 5E sunt efectivi,
ceilali fiind !ii de paritate' 7olosirea su!stituiei provoac confuzie prin sistematica su!stituire a
unor !ii cu alii' #ranspoziiile provoac difuzie prin re-ordonarea !iilor'
(lgoritmul folosete numai operaii clasice aritmetice i logice cu numr de pn la E4 de
!ii, ceea ce face relativ uor de implementat att softIare ct mai ales $ardIare, unul din
scopurile declarate ale algoritmului fiind uoara lui implementare $ardIare ntr-un cip
specializat'
95
:arcurgerea celor 1E cicluri, descris n J:fl99K are loc dup sc$ema din figura 5'1,
Fig. 5.1 Detalii pent! "#l#$iea alg#it%!l!i DE&
91
Intrare
permutare iniial
Substituie
Permutare
Cheia
Ciclul 1
Cheia
Substituie
Permutare
Substituie
Permutare
Cheia
Imaginea inversat a permutrii iniiale
Ieire
Ciclul 2
Ciclul 16
Ha intrarea datele sunt mprite n !locuri de E4 !ii, care sunt transformate folosind c$eia
de E4 de !ii' Cei E4 de !ii sunt permutai prin ;permutarea iniial<' 2n continuare, urmeaz
operaiile ce constituie un ciclu' @locul de E4 de !ii este separat n dou, ;+umtatea stng< i
;+umtatea dreapt<, fiecare de BA de !ii' C$eia este deplasat la stnga cu un numr de !ii i
permutat, ea se com!in cu ;partea dreapt< care apoi se com!in cu ;partea stng<D rezultatul
devine noua ;parte dreapt<D vec$ea ;parte dreapt< devine noua ;parte stng< .vezi fig' 5'A/'
Fig. 5.' (anip!laea )*eii +n alg#it%!l DE&
)up repetarea acestui ciclu de 1E ori se face permutarea final care este invers permutrii
iniiale'
:entru com!inarea unei secvene de BA !ii cu c$eia de E4 !ii se folosesc e0pandri de la
BA !ii la 49 !ii i reducerea c$eii de la E4 !ii la 49 !ii prin alegerea anumitor !ii, operaii ce le
numim ;permutare e0pandat< i ;permutare aleas< .fig' 5'B/'
Fig. 5., (anip!laea pe%!t-ii +n alg#it%!l DE&
9A
)ate permutate
Lumtatea stng
&
Lumtatea dreapt
C$eie
deplasat
C$eie
permutat
Moua +umtatea
stng .vec$ea
+umtate dreapt/
Moua +umtatea
dreapt
:ermutare :ermutare aleas
:ermutare e0pandat
2n fiecare ciclu practic au loc patru operaii separate' 2nti partea dreapt este e0pandat de
la BA la 49 !iiD apoi este com!inat cu o form a c$eiiD rezultatul este su!stituit i condensat n BA
!ii, cei BA !ii sunt permutai i apoi com!inai cu partea stng pentru a da o nou parte dreapt
.fig' 5'4/'

)
BA !ii

&
BA !ii

:ermutare
e0pandat

C$eia

A9 !ii

A9 !ii

)eplasare )eplasare
permutare aleasa de
59 !ii

49 !ii

5.. Ci)l!l +n alg#it%!l DE&
:ermutarea e0pandat este definit n ta!elul ce urmeaz,
@it 1 A B 4 5 E 8 9
se mut la ',./ , . 5,0 1,/ 2 13 11,1,
@it 2 13 11 1' 1, 1. 15 11
se mut la 1',1. 15 11 10,12 1/,'3 '1 '' ',,'5
@it 10 1/ 12 '3 '1 '' ', '.
se mut la '.,'1 '0 '/ '2,,1 ,3,,' ,, ,. ,5,,0
@it '5 '1 '0 '/ '2 ,3 ,1 ,'
se mut la ,1,,/ ,2 .3 .1,., .',.. .5 .1 .0,1
Ta4el!l 5.1 De"iniea pe%!t-ii e5pandate +n DE&
C$eia este mprit cu dou pri de A9 !ii deplasate la stnga cu un numr de !ii apoi
reunite i 49 din cei 5E de !ii sunt permutai i folosii ca o c$eie de 49 de !ii de-a lungul
ciclului'
9B
C$eia dintr-un ciclu este com!inat printr-o funcie sau e0clusiv cu ;partea dreapt<
e0pandat' *ezultatul este operat n 9 ;cutii-&< care efectueaz su!stituia' 1 ;cutie-&< este o
ta!el n care E !ii de date sunt nlocuii de 4 !ii'
:ermutrile sunt efectuate de ta!ele numite ;cutii-:<'

Consideraii asupra algoritmului DES
Cu algoritmul )C& se poate face att codificarea ct i decodificarea unui mesa+'
*ezultatul este adevrat pentru c ciclul 6 deriv din ciclul .671/ astfel,
& D
6 6
=
1 .1/
/ , . / .
1 1 6 6 6 6
k D " & D

+ =
.A/
unde .N/ este operaia sau e0clusiv, " este funcia rezultat din operaiile dintr-un ciclu'
(ceste ecuaii arat c rezultatul fiecrui ciclu depinde numai de ciclul precedent'
)escriind ecuaiile pentru )
671
i &
671
avem ,
D &
6 6
=
1 .B/
i
/ , . / .
1 1 6 6 6 6
k D " D &

+ =
.4/
nlocuind .B/ n .4/ avem,
/ , . / .
1 6 6 6 6
k & " D & + =
.5/
Ccuaiile .B/ i .5/ arat c aceleai valori pot fi o!inute n cicluri ulterioare' (ceast
proprietate face algoritmul )C& reversi!il'
)eci putem face codificarea unor date i decodificarea lor folosind acelai algoritm fcnd
o!servaia c la decodificare c$eia se ia n ordine invers'
)atorit lungimii c$eii de lucru i a operaiilor elementare pe care le folosete algoritmul,
nu se ridic pro!leme deose!ite ntr-o implementare softIareD singura o!servaie este c, datorit
modulului de lucru .cu secvene de date, cu ta!ele/ practic algoritmul este lent ntr-o
implementare softIare' Modul de concepere l face ns perfect implementa!il $ard .ntr-un cip/
ceea ce s-a i realizat, e0istnd multiple variante de maini $ard de codificare'
Criptanaliza
)ei )C& a fost cel mai cele!ru algoritm al secolului == este considerat la aceast or
nesigur pentru multe aplicaii' :are parado0al, dar aceasta este consecina mririi considera!ile a
puterii de calcul de la confirmarea )C& ului ca un standard criptografic i pn in anul A555'
94
&l!iciunea pleac de la lungimea prea mic a c$eii de 5E de !ii' >arianta algoritmului
cunoscut ca triplu-)C& este cea care este considerat sigur i la aceast or'
?nsecuritatea )C&-ului pleac de la premiza c un atac ;n for< are anse de reuit n
condiiile puterii de calcul disponi!ile astzi . a se vedea atacurile C77
1
/D pn n A554 cel mai
eficient atac este datorat criptanalizei liniare care folosind A
4B
te0te cunoscute genereaz o
comple0itate temporal de A
B9-4B
.Lunod A551/D n condiiile unui atac cu te0t ales comple0itatea
poate fi redus de patru ori .Onudsen i Mat$iassen, A555/'
1 istorie cronologic a )C& ului este prezentat n urmtorul ta!el,
Data Anul Evenimentul
15 mai 198B M@& pu!lic prima cerere pentru un algoritm standard pentru criptare
A8 august 1984 M@& pu!lic a doua cerere pentru un algoritm standard pentru criptare
18 martie 1985 )C& este pu!licat n Fedeal 8egi$te
'
pentru comentarii
august 198E &e organizeaz primul IorPs$op despre )C&
septem!rie 198E (l doilea IorPs$op despre fundamentele matematice ale )C&-ului
noiem!rie 198E )C& este apro!at ca un standard
15 ianuarie 1988 )C& este pu!licat n 7?:& :G@ 4E
199B )C& este reconfirmat pentru prima dat
AA ianuarie 1999 )C& este reconfirmat pentru a doua oar ca 7?:& 4E-1
199A
@i$am i &$amir pu!lic primul atac teoretic cu o comple0itate mai mic
dect atacul
<n for !rut< , criptanaliza diferenial D metoda cerea un numr nerealist
.A
48
/

de te0te alese
B5 decem!rie 199B )C& este reconfirmat pentru a treia oar ca 7?:& 4E-A
1994
:rima criptanaliz e0perimental folosind criptanaliza liniar .Matsui,
1994/
iunie 1998
:roiectul )C&CQ(HH sparge pentru prima dat n pu!lic un mesa+ criptat
cu )C&
iulie 1999 C77 gsete o c$eie pentru )C& n 5E de ore
ianuarie 1999
C77 folosind putere de calcul distri!uit gsete o c$eie pentru )C& n AA
de ore i 15 minute
A5 octom!rie 1999 )C& este reconfirmat pentru a patra oar ca 7?:& 4E-B cu specificaia
1
Clectronic 7rontier 7oundation
2
:u!licaie a M?&# .Mational ?nstitute of &tandards and #ec$nolog%/
95
preferinei pentru #riplu )C&
AE noiem!rie A551 (C& este pu!licat n 7?:& 198
AE mai A55A &tandardul (C& devine efectiv
AE iulie A554
*etragerea standardului 7?:& 4E-B .i a celor cone0e/ este propus n
Fedeal 8egi$te
Ta4el!l 5.' C#n#l#gia e9eni%entel# alg#it%!l!i DE&
5.1.7 ariante de DES
DES multiplu
Gnele implementri de )C& folosesc triplul-)C&' )eoarece )C& nu este un grup, te0tul
cifrat rezultat este mult mai greu de spart folosind cutarea e0$austiv, A
11A
ncercri n loc de A
5E
ncercri'
DES cu sub-chei independente
1 alt variant const n folosirea unei su!-c$ei diferite pentru fiecare trecere, n loc de a o
genera dintr-o singur c$eie de 5E de !ii' )eoarece n fiecare din cele 1E treceri se folosete o
c$eie de 49 de !ii, rezult c lungimea c$eii pentru aceast variant este de 8E9 !ii, ceea ce va
crete semnificativ dificultatea unui atac n for mpotriva algoritmului, acesta avnd
comple0itatea de A
8E9
'
#otui, un atac de tip ;ntlnire la mi+loc< este posi!il, ceea ce reduce comple0itatea
atacului la A
B94
D nc destul de lung pentru orice nevoie imagina!il de securitate'
(ceast variant poate fi analizat folosind criptanaliza diferenial i poate fi spart cu A
E1
te0te n clar date' &e pare c nici o modificare n planificarea c$eilor nu conduce la ntrirea
semnificativ a algoritmului )C&'
DESX
)C&= este o variant )C& dezvoltat de *&( )ata &ecurit%, care a fost inclus nc din
19E9 n programul de securitate pentru pot electronic Mail&afe' )C&= folosete o te$nic
numit al!ire, pentru a ascunde intrrile i ieirile )C&' 2n plus fa de c$eia )C& de 5E de !ii,
)C&= are o c$eie suplimentar de al!ire de E4 de !ii' (ceti E4 de !ii sunt operai =1* cu
te0tul n clar nainte de prima trecere )C&' E4 de !ii suplimentari, calculai ca o funcie !i+ectiv
9E
de toi cei 1A5 de !ii ai c$eii )C&, sunt operai =1* cu te0tul cifrat naintea ultimei treceri'
(l!irea l face pe )C&= mult mai puternic dect )C& fa de un atac n forD atacul necesit
.A
1A5
/Fn operaii cu n te0te n clar cunoscute' )e asemenea se m!untete securitatea mpotriva
criptanalizei liniare i diferenialeD atacul necesit A
E1
te0te n clar date i A
E5
de te0te n clar
cunoscute'
CRYP!"#
C*R:#.B/ este o variant de )C& ntlnit n sistemele GM?=' Cste folosit n mod
o!inuit pentru parole, dar uneori i pentru criptare' )iferena ntre C*R:#.B/ i )C& este c
C*R:#.B/ are o permutare de c$ei cu A
1A
posi!iliti, astfel nct s nu permit folosirea cipurilor
)C& la construcia unui dispozitiv $ardIare de spart parole'
DES generalizat
)C&-ul generalizat .S)C&/ a fost proiectat s mreasc viteza )C&-ului i s ntreasc
algoritmul' Mrimea total a !locului crete, n timp ce suma calculelor rmne constant'
S)C& opereaz pe !locuri de te0t n clar de lungime varia!il' @locurile criptate sunt
mprite n : su!-!locuriD numrul e0act depinde de mrimea total a !locului' 2n general : este
egal cu lungimea !locului mprit la BA'
7uncia " este calculat o dat la fiecare trecere, pe ultimul !loc din dreapta' *ezultatul este
operat =1* cu toate celelalte pri, care sunt apoi rotite spre dreapta' S)C& are un numr
varia!il de treceri, n' C0ista o mic modificare la ultima trecere, astfel nct procesele de criptare
i decriptare difer doar prin ordinea su!-c$eilor' )e fapt, pentru :3A i n31E se o!ine
algoritmul )C&'
@i$am i &$amir arat c, folosind criptanaliza diferenial, S)C& cu :39 i n31E este
vulnera!il cu doar ase te0te n clar date' )ac se folosesc i su!-c$ei independente, sunt
necesare 1E te0te n clar date' :entru :39 i n3E4, S)C& e mai sla! dect )C&D sunt necesare A
49
te0te n clar date pentru a-l sparge' )e fapt, orice sc$em S)C& este mai rapid dect )C&, dar
este de asemenea mai puin sigur'
RDES
*)C& este o variant care nlocuiete sc$im!area stnga-dreapta de la sfritul fiecrei
treceri cu o sc$im!are dependent de c$eie' &c$im!rile sunt fi0e, depinznd doar de c$eie'
98
(ceasta nseamn c cele 15 sc$im!ri dependente de c$eie se petrec cu A
15
posi!iliti i c
aceast variant nu rezist la criptanaliza diferenial'
1 idee mai !un este ca sc$im!area s ai! loc doar n partea dreapt, la nceputul fiecrei
treceri, iar sc$im!area s depind de datele de intrare i nu de c$eie' 2n *)C&-1 se practic o
sc$im!are dependent de date de cuvinte pe 1E !ii la nceputul fiecrei treceri' 2n *)C&-A e0ist
o sc$im!are de octei dependent de date la nceputul fiecrei treceri, dup o sc$im!are ca n
*)C&-1' &e poate continua n acelai mod pn la *)C&-4' *)C&-1 este sigur att fa de
criptanaliza liniar ct i fa de cea diferenial'
5.1.! Algoritmul AES
2n ianuarie 1998, M?&#
B
a organizat un concurs de criptografie desc$is cercettorilor din
ntreaga lume, avnd ca su!iect crearea unui nou standard, care urma s se numeasc (C&
4
'
*egulile concursului erau,
- algoritmul s fie un cifru !loc simetricD
- proiectul tre!uia s fie pu!licD
- (C& tre!uia s suporte c$ei de 1A9, 19A i A5E !iiD
- algoritmul tre!uia s se poat implementa att $ardIare ct i softIareD
- (C& tre!uia s fie un standard pu!lic sau oferit cu licen ne discriminatorie'
2n august 1999 M?&# a selectat cinci finaliti pe criterii de securitate, eficien, fle0i!ilitate i
cerine de memorie' 7inalitii au fost,
1' *i+ndael .Loan )aemen i >incent *i+men, 9E de voturi/
A' &erpent .*oss (nderson, Cli @i$am, Hars Onudsen, 5E voturi/
B' #Iofis$ .ec$ipa condus de @ruce &c$neier, B1 voturi/
4' *CE .*&( Ha!oratories, AB voturi/
5' M(*& .?@M, 1B voturi/
2n octom!rie A555 M?&# a sta!ilit ctigtorul' (cesta este algoritmul *i+ndael, dezvoltat
de doi tineri cercettori !elgieni, Loan )aemen i >incent *i+men i care devine standard
B
Mational ?nstitute of &tandards and #ec$nolog% &G(
4
(dvanced Cncr%ption &tandard &tandard de Criptare (vansat
99
guvernamental al &G(' &e sper ca *+indael s devin standardul criptografic dominant n lume
pentru urmtorii 15 ani'
*i+ndael permite lungimi de c$ei i mrimi de !locuri de la 1A9 de !ii la A5E de !ii, n pai
de cte BA de !ii' Hungimea c$eii i lungimea !locului pot fi alese n mod independent, dar n
practic se vor folosi dou variante, !loc de 1A9 !ii cu c$eie de 1A9 !ii i !loc de 1A9 !ii cu
c$eie de A5E !ii' &tandardul comercial va deveni cel mai pro!a!il varianta 1A9F1A9' 1 c$eie de
1A9 !ii permite un spaiu al c$eilor de A
1A9
c$ei'
"reliminarii matematice
*i+ndael se !azeaz pe teoria cmpului Salois, n sensul c anumite operaiuni sunt definite
la nivel de octet iar octeii reprezint elemente n cmpul finit S7.A
9
/'
Cum toate reprezentrile cmpului finit S7.A
9
/ sunt izomorfe, se poate alege reprezentarea
clasic polinomial, cu impact pozitiv asupra comple0itii implementrii'
1ctetul 4, format din !iii 4
0
, 4
1
, 4
5
, 4
.
, 4
,
, 4
'
, 4
1
i 4
3
, este considerat ca fiind un polinom de
gradul 8 cu coeficieni 5 sau 1,
4
0
0
8
; 4
1
0
E
; 4
5
0
5
; 4
.
0
4
; 4
,
0
B
; 4
'
0
A
; 4
1
0 N 4
3
1peraiunea de adunare este definit ca suma a dou polinoame n care coeficienii se
adun modulo A i care corespunde operrii =1* a celor doi octei corespondeni' &unt
ndeplinite a0iomele grupului a!elian, operaia este intern, asociativ, comutativ, e0ist
element neutru i element invers
1peraiunea de nmulire corespunde produsului a dou polinoame modulo, un polinom
ireducti!il de grad 9 i care pentru (C& este
%(5) = 5
/
; 5
.
; 5
,
; 5 ; 1
2nmulirea este intern .rezultatul este un polinom de grad strict mai mic ca 9/, asociativ i
e0ist element neutru' Clementul invers se determin cu algoritmul lui Cuclid, iar distri!utivitatea
celor doua operaii se verific'
Concluzia este c mulimea celor A5E de valori posi!ile ale unui octet, mpreun cu cele
dou operaiuni definite mai sus formeaz un corp alge!ric finit, respectiv S7.A
9
/'
"roiectarea AES
2n proiectarea (C& s-a inut cont de trei criterii,
- rezistena mpotriva tuturor atacurilor cunoscuteD
99
- viteza i compactitatea codului pe un mare numr de platformeD
- simplicitatea proiectrii'
Ca i )C&, (C& folosete su!stituie i permutri, ca i runde multiple' Mumrul de runde
depinde de mrimea c$eii i de mrimea !locului, fiind 15 n cazul 1A9F1A9 i mrindu-se pn la
14 pentru cazul A5EF1A9' &pre deose!ire de )C&, toate operaiile sunt la nivel de octet, pentru a
permite implementri eficient $ardIare i softIare'
Descrierea AES
2n algoritmul (C& rezultatul cifrat intermediar este numit vector $tate, care poate fi
reprezentat ca un ta!el cu patru linii i patru coloane, acestea fiind numerotate ncepnd de la 5'
>ectorul $tate se iniializeaz cu !locul de 1A9 !ii de te0t n clar .n ordinea coloanelor, cu
primii patru octei n coloana 5/ i va fi modificat la fiecare pas al calculului, prin su!stituii,
permutri i alte transformri, rezultnd n final !locul de 1A9 !ii de te0t cifrat'
C$eia de 1A9 de !ii este e0pandat n 11 ta!ele 404 notate k(3), k(1),...., k(13).
C0pandarea este realizat prin rotiri repetate i operaii =1* asupra unor grupuri de !ii din c$eia
original'
2nainte de a ncepe cele 15 runde, c$eia k(3) se opereaz =1* cu vectorul $tate.
Calculul principal const n e0ecuia a 15 runde, folosind c$eia k(i) la iteraia i' 7iecare
rund const n patru pai'
:asul 1 realizeaz o su!stituie octet cu octet asupra vectorului $tate folosind o cutie &'
:asul A rotete la stnga fiecare din cele 4 rnduri ale vectorului $tate, rndul 5 este rotit cu
5 octei, rndul 1 este rotit cu 1 octet, rndul A este rotit cu A octei i rndul B este rotit cu B
octei, realiznd difuzia datelor'
:asul B amestec fiecare coloan din vectorul $tate independent de celelalte, prin nmulirea
coloanei cu o matrice constant, multiplicarea fiind realizat folosind cmpul finit Salois S7.A
9
/'
2n fine, pasul 4 opereaz =1* c$eia k din runda respectiv cu vectorul $tate'
)eoarece fiecare pas este reversi!il, decriptarea se poate realiza prin rularea algoritmului de
la coad la cap, sau prin rularea algoritmului de criptare nemodificat, dar folosind ta!ele diferite'
Avanta#e AES
<9anta6ele <E& relativ la implementare sunt,
95
- (C& se poate implementa pe un procesor :entium :ro i va rula cu o vitez mai
mare dect orice alt cifru !locD
- (C& se poate implementa pe un dispozitiv &mart Card, folosind un spaiu redus
de memorie *(M i un numr redus de cicluriD
- transformarea din cadrul unei runde este paralel prin proiectare, ceea ce
constituie un avanta+ pentru viitoarele procesoareD
- (C& nu folosete operaiuni aritmetice, ci doar operaii la nivel de iruri de !ii'
&i%plitatea p#ie)t-ii <E&,
- (C& nu folosete componente criptografice e0terne, cum ar fi cutii &, !ii aleatori
sau iruri de cifre din dezvoltarea numrului D
- (C& nu i !azeaz securitatea pe interaciuni o!scure sau greu de neles ntre
operaiuni aritmeticeD
- proiectarea clar a (C& nu permite ascunderea unei ;trape<'
=!ngi%ea 9aia4il- a 4l#)!l!i
- lungimile de !loc de 19A i A5E !ii permit construirea unei funcii $as$ iterative
folosind (C& ca funcie de compresie'
E5ten$ii:
- proiectarea permite specificarea de variante cu lungimi de !locuri i lungimi de
c$ei aflate ntre 1A9 i A5E !ii, n pai de cte BA de !iiD
- dei numrul de runde n (C& este fi0at n specificaiile algoritmului, el poate
modificat ca un parametru n cazul unor pro!leme de securitate'
$imitrile AES
=i%it-ile <E& sunt n legtur cu algoritmul de decriptare,
- algoritmul de decriptare este mai puin preta!il la implementarea pe un dispozitiv
&mart Card, deoarece necesit mai mult cod i mai multe cicluriD
- implementarea softIare a (C& folosete cod iFsau ta!ele diferite pentru
algoritmul de criptare, respectiv decriptareD
91
- implementarea $ardIare a (C& a algoritmului de decriptare refolosete doar
parial circuitele care implementeaz algoritmul de criptare'
5.1.% Algoritmul $&C'(E)
2n 19E5, ?@M iniiaz un program de cercetare n criptografia computerizat numit Hucifer'
(stfel se numete i algoritmul cifru !loc dezvoltat n cadrul acestui program n 1985' 2n realitate
e0ist cel puin doi algoritmi cu acest nume'
Hucifer este o reea de permutri i su!stituii, cu !locuri construite ntr-o manier
asemntoare cu )C&' 2n )C&, ieirea funciei " este operat =1* cu intrarea fazei anterioare
pentru a forma intrarea fazei curente' 2n cazul lui Hucifer, ;cutiile-&< au intrri i ieiri de 4 !iiD
intrarea este o permutare a !iilor ieirii din faza anterioar, iar intrarea din prima faz este c$iar
te0tul n clar' Gn !it c$eie este folosit pentru a alege ntre ;cutia-&< actual din dou posi!ile -
Hucifer implementeaz aceasta printr-o ;cutie-#< cu 9 !ii la intrare i 9 la ieire/' Hucifer are 1E
faze, !locuri de 1A9 de !ii i o manipulare a c$eii mai simpl dect )C&-ul'
7olosind criptografia diferenial mpotriva primei forme de Hucifer, @i$am i &$amir au
artat c Hucifer cu 9 faze i BA de !ii poate fi spart cu 45 de te0te n clar alese i A
A9
paiD acelai
atac poate sparge Hucifer cu 9 faze i 1A9 !ii cu E5 de te0te n clar alese i A
5B
pai' (ceste
atacuri folosesc ;cutii-&< )C& tari' 7olosind criptografia diferenial mpotriva celei de a doua
forme de Hucifer, s-a artat c ;cutiile-&< sunt mai sla!e dect n )C&' (nalize ulterioare au
artat c peste +umtate din c$ei nu sunt sigure, ceea ce conduce la posi!ilitatea de a sparge
Hucifer cu 1A9 de !ii, cu orice numr de faze, cu A
BB
te0te n clar alese, sau cu A
E5
te0te n clar
cunoscute cu c$ei alese' 2n concluzie, a doua form de Hucifer este mai sla!' &entimentul c
Hucifer este mai sigur dect )C& datorit lungimii mai mari a c$eii i lipsei de rezultate pu!licate
este ne+ustificat'
5.1.15 Algoritmul *lo+fis,
@loIfis$ este un algoritm proiectat pentru a fi implementat pe procesoare puternice, care
ncearc s respecte urmtoarele criterii,
9A
1' *apiditate @loIfis$ cripteaz date pe procesoare de BA de !ii la o rat de AE de
tacturi pe octet'
A' Compact @loIfis$ poate rula n mai puin de 5O de memorie'
B' &implitate @loIfis$ folosete doar operaii simple, adunare, operare =1* i
cutare n ta!el, cu operanzi de BA de !ii' (lgoritmul este uor de analizat, ceea
ce evit erorile de implementare'
4' &ecuritate varia!il lungimea c$eii este varia!il, putnd crete pn la 449 de
!ii'
@loIfis$ este optimizat pentru aplicaii n care c$eia nu tre!uie s se sc$im!e des, cum ar fi
legturi de comunicaie sau un criptor automat pentru fiiere' Cste semnificativ mai rapid dect
)C& cnd este implementat pe procesoare de BA de !ii dotate cu memorie cac$e mare, cum ar fi
:entium' @loIfis$ nu este potrivit pentru comutarea de pac$ete, cu sc$im!ri dese de c$eie, ca
funcie $as$ one-Ia% sau n aplicaii smart-card, unde memoria este insuficient'
Descrierea algoritmului $lo%&ish
@loIfis$ este un cifru !loc care opereaz cu !locuri de E4 de !ii si are c$eie de lungime
varia!il' (lgoritmul const n dou pri, e0pandarea c$eii i criptarea datelor' C0pandarea c$eii
convertete o c$eie de pn la 449 de !ii n mai multe matrice de su!-c$ei totaliznd 41E9 de
!ii'
Criptarea datelor rezid ntr-o funcie simpl iterat de 1E ori' 7iecare ciclu este format
dintr-o permutare dependent de c$eie i o su!stituie dependent i de c$eie i de date' #oate
operaiile sunt adunri i operri =1* pe cuvinte de BA de !ii' &ingurele operaii suplimentare
sunt patru cutri ntr-un ta!el inde0at, pe ciclu'
@loIfis$ folosete un numr mare de su!-c$ei' (ceste su!-c$ei tre!uie precalculate nainte
de orice criptare sau decriptare de date'
#a!elul : este format din 1E c$ei de BA de !ii,
P
1
, P
'
, >, P
1/
:atru ;cutii-&< de BA de !ii are A5E de intrri fiecare,
&
1,5
, &
1,1
, T' , &
1,A55
9B
&
A,5
, &
A,1
, T' , &
A,A55
&
B,5
, &
B,1
, T' , &
B,A55
&
4,5
, &
4,1
, T' , &
4,A55
@loIfis$ este o reea 7eistel cu 1E cicluri' ?ntrarea este 5, un element de E4 !ii de date'
:entru criptare,
&e mparte 5 n dou pri de cte BA de !ii, 5
=
i 5
8
7or i 3 1 to 1E,
5
=
3 5
=
P
i
5
8
3 7.5
=
/ 5
8
se sc$im! 5
=
i 5
8
ntre ele
Cnd for
se sc$im! 5
=
i 5
8
ntre ele
5
8
3 5
8
P
10
5
=
3 5
=
P
1/
se recom!in 5
=
i 5
8

7uncia 7 funcioneaz astfel,
&e mparte 5
=
n patru sferturi a cte 9 !ii,
a, 4, ), d
7.5
=
/ 3 ..&
1,a
N &
',4
mod A
BA
/ &
,,)
/ N &
.,d
mod A
BA
)ecriptarea are loc similar cu criptarea, cu diferena c P
1
, P
'
, >, P
1/
sunt folosite n
ordine invers'
1 implementare a algoritmului @loIfis$ care s asigure o cretere de vitez tre!uie s
menin toate c$eile n memoria cac$e'
&u!-c$eile sunt calculate folosind algoritmul @loIfis$, care const n urmtorii pai,
1' &e iniializeaz ta!elul : i cele patru ;cutii-&<, n ordine, cu un ir fi0' (cest ir
este format din cifrele $e0azecimale ale lui '
94
A' &e opereaz =1* P
1
cu primii BA de !ii ai c$eii, se opereaz P
'
cu urmtorii BA
de !ii ai c$eii i tot aa pn la P
1/
, astfel nct ntreg ta!elul P s fie operat =1*
cu !iii din c$eie'
B' &e cripteaz un ir format din zerouri cu algoritmul @loIfis$, folosind su!-c$eile
descrise n paii 1 i A'
4' &e nlocuiesc P
1
i P
'
cu ieirea din pasul B'
5' &e cripteaz ieirea din pasul B folosind algoritmul @loIfis$ cu su!-c$eile
modificate'
E' &e nlocuiesc P
,
i P
.
cu ieirea din pasul 5'
8' &e continu procesul, nlocuind toate elementele din ta!elul : i apoi cele patru
;cutii-&< n ordine, cu ieirea algoritmului @loIfis$'
2n total, 5A1 de iteraii sunt necesare pentru a genera toate su!-c$eile necesare' (plicaiile
pot memora su!-c$eile pentru a nu tre!ui s le calculeze de fiecare dat'
Securitatea algoritmului $lo%&ish
2n cazul algoritmului @loIfis$ cu ;cutii-&< cunoscute i cicluri, ta!elul : poate fi
determinat cu A
9rN1
te0te n clar alese' (tacul funcioneaz doar pe variantele cu un numr redus
de cicluri i este complet ineficient n cazul algoritmului @loIfis$ cu 1E cicluri'
5.1.17 Dubla criptare
Gn mod evident de m!untire a securitii algoritmilor !loc este criptarea unui !loc de
dou ori, folosind dou c$ei diferite' Mai nti se cripteaz !locul cu prima c$eie, apoi se
cripteaz te0tul cifrat rezultat folosind a doua c$eie' )ecriptarea este procesul invers,
C 3 E
K'
.E
K1
.P//
P 3 D
K1
.D
K'
.C//
)ac algoritmul !loc este un grup, e0ist ntotdeauna un K,, astfel nct
C 3 E
K'
.E
K1
.P// 3 E
K,
.P/
95
2n caz contrar, !locul de te0t cifrat rezultat dintr-o du!l criptare ar tre!ui s fie mult mai
greu de decriptat folosind cutarea e0$austiv' 2n loc de A
n
ncercri .unde n este lungimea n !ii
a c$eii/, vor fi necesare A
An
ncercri' )ac algoritmul are c$ei de E4 de !ii, vor fi necesare A
1A9
ncercri pentru a gsi c$eia'
2n cazul atacului cu te0te n clar cunoscute, MerPle i Qellman au demonstrat c sc$ema cu
du!l criptare poate fi spart n A
nN1
criptri i nu n A
An
' (tacul se numete ;ntlnire la mi+loc<D el
funcioneaz prin criptarea de la un capt, decriptarea la captul cellalt i potrivirea rezultatelor
n mi+locul te0tului criptat'
2n acest atac, criptanalistul cunoate :1, C1, :A i CA, astfel nct
C
1
3 E
K'
.E
K1
.P
1
//
C
'
3 E
K'
.E
K1
.P
'
//
:entru fiecare K posi!il, se calculeaz E
K
.P
1
/ i se memoreaz rezultatul' )up terminarea
tuturor calculelor, se calculeaz D
K
.C
1
/ pentru fiecare K i se caut un rezultat identic n
memorie' )ac se gsete un astfel de rezultat, fie K' c$eia curent i K1 c$eia folosit pentru
rezultatul din memorie' &e cripteaz P
'
cu K1 i K'D dac se o!ine C
'
este aproape sigur .cu o
pro!a!ilitate de 1 din A
Am-An
, unde % este mrimea !locului/, c cele dou c$ei sunt valide' )ac
nu, se continu cutarea' Mumrul ma0im de cutri este A 0 A
n
, adic A
nN1
'
(cest atac necesit un spaiu mare de memorie, A
n
!locuri' :entru un algoritm de 5E de !ii,
aceasta nseamn A
5E
!locuri de E4 de !ii, adic 15
18
octei' Cste o cantitate considera!il de
memorie, dar demonstreaz c du!la criptare nu duce la du!larea securitii' 2n cazul ns al unei
c$ei de 1A9 de !ii, cantitatea de memorie necesar este de 15
B9
octei, ceea ce nseamn c un
atac de tip ;ntlnire la mi+loc< nu este feza!il'
1 alt metod de du!l criptare, numit )avies-:rice, este o variant de C@C,
C
i
3 E
K1
.P
i
E
K'
.C
i71
//
P
i
3 D
K'
.C
i
/ E
K'
.C
i71
//
care prezint aceeai vulnera!ilitate fa de un atac de tip ;ntlnire la mi+loc<'
5.1.1! -ripla criptare
9E
ripla criptare cu dou chei
1 idee mai !un, propus de #uc$man, opereaz pe un !loc de trei ori folosind dou c$ei,
se ncepe cu prima c$eie, se continu cu a doua c$eie i se termin folosind din nou prima c$eie,
n sensul c e0peditorul cripteaz cu prima c$eie, decripteaz cu a doua c$eie i n final cripteaz
cu prima c$eie' )estinatarul decripteaz cu prima c$eie, apoi cripteaz cu a doua c$eie i n final
decripteaz cu prima c$eie,
C 3 E
K1
.D
K'
.E
K1
.P///
P 3 D
K1
.E
K'
.D
K1
.C///
(ceasta poart numele de mod EDE .en)?pt7de)?pt7en)?pt/D dac algoritmul !loc are o
c$eie de n !ii, aceast sc$em conduce la o c$eie de 'n !ii' (ceast form curioas de criptare-
decriptare-criptare a fost proiectat de ?@M, pentru a pstra compati!ilitatea cu implementarea
convenional a algoritmului, dac cele dou c$ei sunt identice, tripla criptare se reduce la o
singur criptare cu o singur c$eie'
K1 i K' alterneaz, pentru a preveni posi!ilitatea de a folosi un atac de tip ;ntlnire la
mi+loc<' )ac C 3 E
K'
.E
K1
.E
K1
.P

///, atunci criptanalistul poate calcula E
K1
.E
K1
.P

// pentru
toate valorile K1 posi!ile, dup care pornete atacul' (r fi necesare doar A
nNA
criptri'
#ripla criptare cu dou c$ei nu permite un atac de tip ;ntlnire la mi+loc< de genul celui
ntlnit n cazul du!lei criptri, dar MerPle i Qellman au proiectat un alt gen de atac, care poate
sparge tripla criptare cu dou c$ei n A
n-1
pai folosind A
n
!locuri de memorie'
:entru fiecare K' posi!il, se decripteaz 5 i se memoreaz' (poi, se decripteaz cu fiecare
K1 posi!il, pentru a-l gsi pe P' &e cripteaz triplu P pentru a-l afla pe C, dup care se
decripteaz C cu K1' )ac aceast decriptare este o decriptare a lui 5 folosind K' .din memorie/
atunci perec$ea K1, K' este o posi!il candidat' )ac aceast posi!ilitate nu se verific, se
continu cutarea'
(cesta este un atac cu te0te n clar alese, care necesit o mare cantitate de te0te n clar alese
i anume A
m
, n timp ce memoria i durata sunt de ordinul A
n
' Mu este foarte practic, dar
su!liniaz o sl!iciune a algoritmului'
:aul van 1orsc$ot i Mic$ael Uiener au convertit aceasta la un atac cu A
p
te0te n clar
cunoscute' C0emplul presupune modul C)C,
1' &e g$icete valoarea intermediar a.
98
A' &e calculeaz i memoreaz pentru fiecare K1 posi!il, a doua valoare
intermediar 4, cnd prima valoare intermediar este a, folosind te0tul n clar
cunoscut,
4 3 D
K1
.C/
B' &e caut n ta!elul memorat, pentru fiecare K' posi!il, elemente cu aceeai valoare
intermediar 4,
4 3 E
K'
.a/
4' :ro!a!ilitatea de succes este p/%, unde p este numrul de te0te n clar cunoscute i
% este mrimea !locului' )ac nu se gsesc elementele cutate la pasul B, se alege
o nou valoare pentru a i se reia de la pasul 1'
(cest atac necesit A
nNm
Fp timp operaional i p spaiu de memorie' :entru )C&, aceasta
nseamn A
1A5
Fp' :entru p mai mare ca A5E, acest atac este mai rapid dect cutarea e0$austiv'
ripla criptare cu trei chei
(ceast variant presupune o lungime total a c$eii mai mare, dar memorarea c$eii nu
constituie o pro!lem'
C 3 E
K,
.D
K'
.E
K1
.P///
P 3 D
K1
.E
K'
.D
K,
.C///
Cel mai !un atac cere A
An
pai i A
n
!locuri de memorie si este de tip ;ntlnire la mi+loc<'
#ripla criptare cu trei c$ei independente este ec$ivalent din punct de vedere al securitii,
cu du!la criptare'
99
5.. Algoritmi simetrici de tip /ir
Cifrurile ir formeaz o clas important de algoritmi de criptareD ele pot fi cifruri cu c$ei
simetrice sau cu c$ei pu!lice' Ceea ce le caracterizeaz i le difereniaz fa de cifrurile !loc este
faptul c cifrurile ir proceseaz te0tul de criptat n uniti orict de mici, c$iar !it cu !it, aplicnd
funcia =1* ntre !iii c$eii i !iii de cifrat, iar funcia de criptare se poate modifica n cursul
criptrii' Cifrurile ir sunt algoritmi cu memorie, n sensul c procesul de criptarea nu depinde
doar de c$eie i de te0tul n clar, ci i de starea curent' 2n cazul n care pro!a!ilitatea erorilor de
transmisie este mare, folosirea cifrurilor ir este avanta+oas deoarece au proprietatea de a nu
propaga erorile' Cle se folosesc i n cazurile n care datele tre!uie procesate una cte una,
datorit lipsei de spaiu de memorie'
Clasificare
(lgoritmii simetrici de tip ir se mpart n dou mari clase,
1. Ci"!i @i $in)#ne.
'. Ci"!i @i a$in)#ne.
5...1 Cifruri /ir sincrone
Gn cifru /ir sincron este unul care genereaz irul de c$ei independent de te0tul n clar i
de te0tul cifrat' Criptarea n acest caz poate fi descris de urmtoarele ecuaii,
&
i;1
= & (&
i
, k),
A
i
= g (&
i
, k),
)
i
= h (A
i
, %
i
),
unde &
3
este starea iniial i se poate determina din c$eia k, & este funcia de stare, g este funcia
care produce irul de c$ei A, iar h este funcia de ieire care com!in irul de c$ei cu te0tul n clar
%
i
pentru a o!ine te0tul cifrat )
i
'
"ropriet0ile cifrurilor /ir sincrone
99
- &in)#niAaea att e0peditorul ct i destinatarul tre!uie s fie sincronizai, n
sensul de a folosi aceeai c$eie i a opera cu aceeai stare respectiv, astfel nct s
fie posi!il o decriptare corect' )ac sincronizarea se pierde prin inserarea sau
lipsa unor !ii din te0tul cifrat transmis, atunci decriptarea eueaz i poate fi
reluat doar prin te$nici suplimentare de re-sincronizare, adic re-iniializarea,
plasarea de marPeri speciali sau dac te0tul n clar conine suficient redundan i
se ncearc toate deplasrile posi!ile ale irului de c$ei'
- Bep#pagaea e#ii un !it de te0t cifrat care este modificat n timpul transmisiei
nu tre!uie s afecteze decriptarea celorlali !ii cifrai'
- <ta)!i a)ti9e ca o consecin a sincronizrii, inserarea, tergerea sau
retransmisia unor !ii de te0t cifrat de ctre un adversar activ va cauza o pierdere
instantanee a sincronizrii i crete posi!ilitatea detectarii atacului de ctre
decriptor' Ca o consecin a nepropagrii erorii, un atacator ar putea s modifice
!ii alei din te0tul cifrat i s afle e0act ce efect au modificrile n te0tul n clar'
#re!uie deci, s se foloseasc mecanisme suplimentare de autentificare a
e0peditorului i de garantare a integritii datelor'
5.... Cifruri /ir asincrone
Gn cifru /ir asincron sau autosincroniza!il este unul care genereaz irul de c$ei ca o
funcie de c$eie i un numr de !ii din te0tul cifrat anterior' 7uncia de criptarea n acest caz
poate fi descris de urmtoarele ecuaii,
&
i
= ()
i7t
, )
i7t;1
, >, )
i71
),
A
i
= g (&
i
, k),
)
i
= h (A
i
, %
i
),
unde &
3
= ()
7t
, )
7t;1
, >, )
71
), este starea iniial .nesecret/, k este c$eia, g este funcia care produce
irul de c$ei A, iar h este funcia de ieire care com!in irul de c$ei cu te0tul n clar %
i
pentru a
o!ine te0tul cifrat )
i
'
"ropriet0ile cifrurilor /ir asincrone
- <!t#7$in)#niAaea este posi!il dac !ii din te0tul cifrat sunt terse sau
adugate, deoarece decriptarea depinde doar de un numr determinat de !ii cifrai
155
anterior' (stfel de cifruri sunt capa!ile s-i resta!ileasc automat procesul de
decriptare corect dup pierderea sincronizrii'
- P#pagaea li%itat- a e#ii s presupunem c starea unui cifru ir asincron
depinde de t !ii cifrai anteriori' )ac un singur !it cifrat este modificat, ters sau
inserat n timpul transmisiei, atunci decriptarea a cel mult t !ii urmtori de te0t
cifrat va fi incorect, dup care se reia decriptarea corect'
- <ta)!i a)ti9e limitarea propagrii erorii face ca orice modificare a te0tului cifrat
de ctre un adversar activ s ai! ca i consecin decriptarea incorect a altor !ii
cifrai, ceea ce poate mri posi!ilitatea ca atacul s fie o!servat de ctre decriptor'
:e de alt parte, datorit auto-sincronizrii este mai dificil dect n cazul cifrurilor
ir sincrone s se detecteze inserarea, tergerea sau modificarea unor !ii n te0tul
cifrat' #re!uie deci s se foloseasc mecanisme suplimentare de autentificare a
e0peditorului i de garantare a integritii datelor'
- Di"!Aia $tati$ti)il# te5t!l!i +n )la C deoarece fiecare !it de te0t clar influeneaz
toi !iii cifrai urmtori, proprietile statistice ale te0tului n clar sunt dispersate n
te0tul cifrat' Ca o consecin, cifrurile ir asincrone tre!uie s fie mai rezistente
dect cifrurile ir sincrone fa de atacurile !azate pe redundana te0tului n clar'
5...1 "roiectarea /i anali2a cifrurilor /ir
Ma+oritatea cifrurilor ir folosite n practic sunt proiectate folosind H7&*-uri
5
, care sunt
simplu de implementat softIare sau $ardIare' :ro!lema este c aceste implementri sunt
ineficiente din punct de vedere al vitezei' :entru a rezista atacului de corelaie, funcia de
feed!acP tre!uie s fie un polinom dens, ceea ce presupune multe calcule, care produc la ieire un
singur !it, deci tre!uie repetate des' #otui, cele mai multe sisteme de criptare militare se !azeaz
pe H7&*'
"roiectarea cifrurilor /ir
Construcia cifrurilor ir poate fi privit din perspective diferite J*ue9AK ,
- (!ordarea sistemic este ncercarea de a crea o pro!lem dificil pentru
criptanalist, folosind un set de principii i criterii fundamentale de proiectare'
5
H7&* - Hiniar 7eed!acP &$ift *egister au fost descrise n B'A
151
- (!ordarea informaional este orientat spre ascunderea fa de criptanalist a
oricrei informaii despre te0tul n clar' 1rict efort ar depune acesta, nu va a+unge
niciodat la o soluie unic'
- (!ordarea pe !aza teoriei comple0itii ncearc s !azeze sistemul de criptare
.sau s-l fac ec$ivalent/ pe o pro!lem cunoscut ca fiind dificil de rezolvat'
- (!ordarea aleatoare genereaz o pro!lem greu de gestionat, fornd criptanalistul
s e0amineze o mare cantitate de date fr semnificaie'
(!ordarea sistemic este folosit n proiectarea ma+oritii cifrurilor ir, conducnd la
generatoare care prezint proprieti de securitate care pot fi msurate, perioda, distri!uia !iilor,
comple0itatea liniar' :roiectantul studiaz de asemenea te$nicile criptanalitice folosite mpotriva
acestor generatori, pentru a fi sigur c generatorii sunt imuni la astfel de atacuri'
2n timp, a!ordarea sistemic a impus un set de criterii de proiectare a cifrurilor ir J*ue9AK,
- period lung, lipsa repetiiilorD
- comple0itate liniar mareD
- criterii statisticeD
- confuzia fiecare !it generat tre!uie s fie o transformare comple0 a !iilor c$eiiD
- difuzie redundanele din su!structuri tre!uie s fie disipate n statistici de rang
nalt .long-range statistics/D
- criterii de nonliniaritate pentru funcii !ooleene cum ar fi imunitatea corelaiei de
ordin %, distana la funciile liniare, criteriul avalanei'
:ro!lema ma+or a acestor criptosisteme este c nu se poate demonstra nimic despre
securitatea lorD nu s-a demonstrat c aceste criterii de proiectare sunt necesare iFsau suficiente
pentru asigurarea securitii'
(!ordarea informaional a proiectrii de cifruri ir presupune c criptanalistul dispune de
un timp i o putere de calcul nelimitate' &ingurul cifru ir real care ofer securitate n aceste
condiii este bloc notes
E
-ul sau ec$ivalent, banda cu unic folosin0
8
, dou !enzi magnetice care
conin aceeai c$eie format din !ii aleatori se folosete la criptare i la decriptare, prin operare
=1* cu te0tul n clar i respectiv, cu te0tul cifrat' C$eia este de unic folosin' )eoarece !iii
E
A'B'B &u!stituia ;perfect<
8
<one-time tape<
15A
sunt aleatori, criptanalistul nu poate prezice c$eia' :rin distrugerea !enzilor dupa folosire se
o!ine secretul perfect'
2n a!ordarea aleatoare a proiectrii cifrurilor ir, criptograful ncearc s se asigure c
adversarul su, criptanalistul, va tre!ui s rezolve o pro!lem de foarte mari dimensiuni'
1!iectivul este creterea numrului de !ii pe care criptanalistul tre!uie s-i analizeze, simultan
cu pstrarea c$eii secrete la dimensiuni mici' (cest lucru se poate o!ine prin folosirea unui ir
pu!lic aleator de mari dimensiuni la criptare i decriptare' C$eia va specifica prile din irul
pu!lic care sunt folosite la criptare i decriptare' Criptanalistul, care nu cunoate c$eia, va fi
forat s dezvolte o cutare n for ;!rute-force searc$< asupra ntregului ir pu!lic' &ecuritatea
acestui tip de cifru se poate e0prima n numrul mediu de !ii pe care un criptanalist tre!uie s-i
e0amineze nainte ca ansele de a determina c$eia s fie mai mari dect a o g$ici'
(!ordarea pe !aza teoriei comple0itii conduce proiectantul s foloseasc teoria
comple0itii n demersul su de a demonstra securitatea generatorului' Seneratorii tind s devin
din ce n ce mai complicai, !azai pe pro!leme dificil de rezolvat, cum este cazul n criptografia
cu c$ei pu!lice'
Comple3itatea liniar
1 metric important folosit pentru a analiza generatoarele !azate pe H7&* este
comple3itatea liniar, definit ca fiind lungimea n a celui mai scurt H7&* care poate produce
ieirea generatorului' 1rice ir generat de o main de stare finit peste un cmp finit are o
comple0itate liniar finit' JMas9EK' Comple0itatea liniar este important deoarece un algoritm
simplu, *erle4amp56asse7, poate genera H7&*-ul de definiie e0aminnd doar An !ii din c$eie,
ceea ce nsemn spargerea cifrului ir'
Concluzia este c o comple0itate liniar ridicat nu nseamn neaprat un generator sigur,
dar o comple0itate liniar sczut indic un generator fr securitate'
Atacuri
Criptografii ncearc s o!in o comple0itate liniar ridicat prin com!inarea ieirilor mai
multor H7&*-uri ntr-un mod nonliniar' :ericolul este ca unul sau mai multe iruri generate
interne de o!icei ieiri ale H7&*-urilor individuale s fie corelate cu irul com!inat, ceea ce
permite un atac !azat pe alge!ra liniar numit atac de corela0ie' JMi$95K' #$omas &iegent$aler a
artat c imunitatea de corelare poate fi precis definit i c e0ist o legtur ntre aceasta i
comple0itatea liniar J&ie94K' ?deea de !az a atacului de corelaie este identificarea unor
15B
corelaii ntre ieirea generatorului i ieirea uneia din componentele sale interne' (poi,
o!servnd irul de ieire, se pot o!ine informaii despre ieirea intern' 7olosind aceste
informaii i alte corelaii se colecteaz informaii despre celelalte ieiri interne ale generatorului, pn
cnd acesta este spart n totalitate'
Cifrul A5
(5 este un cifru ir folosit pentru a cripta flu0ul de date S&M .Sroup &pecial Mo!ile/,
reprezentnd standardul non-american pentru telefonia mo!il celular' (5 cripteaz linia dintre
telefon i celula de !az, restul legturii rmnnd necriptat' (5 este format din trei H7&*-uri,
care au regitri de lungime 19, AA i respectiv AB' #oate polinoamele de feed!acP sunt cu un
numr redus de coeficieni
9
' ?eirea este o!inut prin operarea =1* a celor trei H7&*-uri' (5
folosete un clocP control varia!il' 7iecare registru face un clocPing !azat pe !itul central, care
este operat =1* cu inversa funciei prag .t$res$old function/ a !iilor de la mi+locul celor trei
regitri' 2n mod normal, dou din H7&*-uri sunt clocP-ate la fiecare iteraie'
C0ist un atac trivial care necesit A
45
criptri, se g$icete coninutul primelor dou
H7&*-uri, apoi se determin al treilea din irul generat' 2n ciuda acestui fapt, (5 este !ine
proiectat i este e0trem de eficient' Cl trece cu succes toate testele statistice cunoscute i singura
sa sl!iciune rezid n faptul c regitrii sunt scuri, ceea ce face posi!il o cutare e0$austiv'
>ariantele (5 cu regitri lungi i polinoame feed!acP dense au un grad de siguran sporit'
5...5 8eneratori aditivi
Seneratorii aditivi, cunoscui su! numele de generatori 7i!onacci leni .lagged/, sunt
e0trem de eficieni deoarece ei produc cuvinte aleatoare n loc de !ii aleatori' Mu prezint
securitate, dar se pot folosi la construcia unor generatoare sigure' &tarea iniial a generatorului
este un vector de cuvinte de n !ii, unde n ia valorile 9, 1E, BA etc' notat D
1
, D
A
, D
B
, T, D
m
' &tarea
iniial este c$eia' Cuvntul i al generatorului este,
D
i
3 .D
i-a
N D
i-!
N D
i-c
, ; > ;D
i-m
/ mod A
n
9
sparse .eng'/
154
)ac, coeficienii a, 4, ),T % sunt alei n mod corect, perioada generatorului este cel puin
egal cu A
n
1' Gna din condiiile cerute pentru coeficieni este ca cel mai puin semnificativ !it
s formeze un H7&* de lungime ma0im'
Cifrul )C9
*C4 este un cifru ir cu c$eie de lungime varia!il, dezvoltat n 1998 de ctre *on *ivest
pentru *&( )ata &ecurit%' 2n 1994 codul surs al algoritmului este fcut pu!lic pe ?nternet'
*C4 este un algoritm simplu de descris, irul c$eie este independent de te0tul n clar' (re 9
0 9 ;cutii-&<, &
3
, &
1
, ''', &
'55
' ?ntrrile sunt permutri ale numerelor de la zero la A55, iar
permutarea este o funcie de o c$eie de lungime varia!il' C0ist doi indici, i i 6, iniializai cu
zero'
:entru a genera un octet aleator se procedeaz astfel,
i 3 .i N 1/ modulo A5E
6 3 .6 N &
i
/ modulo A5E
T 3 &
i
&
i
3 &
6
&
6
3 T
t 3 .&
i
N &
6
/ modulo A5E
K 3 &
t
1ctetul K este operat =1* cu te0tul n clar pentru a produce te0t cifrat sau operat =1* cu
te0tul cifrat pentru a o!ine te0tul n clar' Criptarea este aproape de 15 ori mai rapid dect
)C&-ul'
?niializarea ;cutiilor-&< este simpl' &e iniializeaz liniar, &
3
3 5, &
1
3 1, T, &
'55
3 A55 i
un alt vector de A5E de octei cu c$eia, repetnd c$eia, dac este necesar, pentru a completa
vectorul cu componentele, K
3
, K
1
, T, K
'55
'
6 3 5
7or i 3 5 to A55,
6 3 .6 N &
i
N K
i
/ modulo A5E
155
se sc$im! &
i
cu &
6
ntre ele
Mu e0ist rezultate pu!lice ale criptanalizei' &e crede ca algoritmul este imun la analiza
diferenial i liniarD *C4 poate fi n apro0imativ A
1855
stri posi!ile' ;Cutiile-&< evolueaz lent
n timpul ntre!uinrii, i asigur c fiecare element se sc$im!, iar 6 c aceste sc$im!ri sunt
aleatoare'
*C4 are un statut special de e0port, acesta fiind permis doar pentru c$ei de pn la 45 de
octei' *C4 este implementat n multe produse comerciale, dintre care amintim Hotus Motes i
1racle &ecure &VH'
15E
5.1 Algoritmi cu c,ei publice
Conceptul de criptografie cu c$ei pu!lice a fost inventat de U$itfield )iffie i Martin
Qellman' Contri!uia lor const n propunerea de a folosi un nou criptosistem n care c$eile de
criptare i decriptare sunt diferite, iar c$eia de decriptare .care este secret/ nu poate fi dedus din
c$eia de criptare .care este pu!lic/' 2n anul 198E conceptul a fost prezentat n premier la
Conferina Maional
9
, iar cteva luni mai trziu lucrarea a fost pu!licat J)iQ8EK'
&istemele cu c$eie pu!lic au un mare avanta+ fa de sistemele cu c$ei secrete, oricine
poate transmite un mesa+ secret utilizatorului .cunoscndu-i c$eia pu!lic/, iar mesa+ul rmne
prote+at fa de interceptor' Cu un sistem cu c$eie convenional, o c$eie separat secret este
necesar pentru fiecare perec$e de utilizatori'
Gn canal este o cale pentru flu0ul de informaiiD ntr-un mediu privat, calea este prote+at
mpotriva accesului din e0terior' 2n general, un sistem cu n utilizatori necesit n*(n71)/' c$ei,
pentru ca oricare perec$e de utilizatori s poat comunica ntre ei i mesa+ele lor s rmn
secrete fa de ceilali utilizatori' Mumrul de c$ei crete rapid o dat cu numrul de utilizatoriD
generarea, distri!uirea i meninerea securitii c$eilor constituie o pro!lem datorit numrului
lor mare'
Caracteristici
2ntr-un sistem cu c$eie pu!lic, un utilizator deine dou c$ei, o c$eie pu!lic i o c$eie
privat' Gtilizatorul i poate face cunoscut oricui c$eia pu!lic' 7ie k
P8EF
c$eia privat i k
PGH
c$eia pu!lic corespunztoare' (tunci,
P=D(k
P8EF
, E(k
PGH
,P))
Gtilizatorul poate decripta cu c$eia privat ceea ce oricine altcineva a criptat cu c$eia
pu!lic corespunztoare'
Cu al doilea algoritm de criptare cu c$eie pu!lic
P=D(k
PGH
, E(k
P8EF
,P))
utilizatorul poate cripta un mesa+ cu c$eia privat, iar mesa+ul poate fi decriptat doar cu c$eia
pu!lic corespunztoare'
9
Mational Computer Conference &G(
158
(ceste dou proprieti presupun c cele dou c$ei, pu!lic i privat, pot fi aplicate n
orice ordine .sistemul *&( nu face distincie ntre c$eia pu!lic i c$eia privatD orice c$eie din
perec$ea de c$ei poate fi folosit fie ca c$eie pu!lic, fie ca c$eie privat/'
5.1.1 Algoritmul 6er4le5:ellman
MerPle i Qellman au dezvoltat un algoritm de criptare !azat pe pro!lema rucsacului
pu!licat n anul 1989 JMeQ89K' :ro!lema rucsacului conine o mulime de ntregi pozitivi i o
sum int i const n gsirea unei su!mulimi de ntregi a cror sum coincide cu suma int'
:ro!lema rucsacului este M: complet, adic rezolvarea sa necesit un timp e0ponenial funcie
de mrimea pro!lemei n acest caz, numrul de ntregi'
'ntroducere
?deea pe care se !azeaz sc$ema rucsacului MerPle-Qellman este codificarea unui mesa+
!inar ca o soluie la o pro!lem a rucsacului, reducnd mesa+ul n te0t cifrat la suma int
o!inut prin adunarea termenilor corespunztori valorilor de 1 din irul !inar'
Gn rucsac este reprezentat ca un vector de numere ntregi n care ordinea termenilor este
foarte important' C0ist dou tipuri de rucsacuri, unul simplu, pentru care e0ist un algoritm
rapid .de timp liniar/ i unul complicat, o!inut din cel simplu prin modificarea elementelor sale'
Modificarea este astfel proiectat nct o soluie cu elementele oricrui rucsac este de asemenea
soluie pentru cellalt' (ceast modificare se numete trap, permind utilizatorilor legitimi s
rezolve pro!lema simplu' )eci, pro!lema general este M: complet, dar e0ist o versiune
restrns care are o soluie foarte rapid'
(lgoritmul ncepe cu o mulime de ntregi n care fiecare element este mai mare dect suma
predecesorilor si' & presupunem c avem un ir n care fiecare element a
k
este mai mare dect
a
1
;a
'
;...;a
k71
' )ac o sum este ntre a
k
i a
k;1
, tre!uie s-l conin pe a
k
, deoarece nici o
com!inaie de termeni a
1
, a
'
, ..., a
k71
nu pot produce un total mai mare dect a
k
' (nalog, dac o
sum este mai mic dect a
k
, evident nu l va conine ca termen pe a
k
'
Modificarea algoritmului sc$im! elementele mulimii din pro!lema simpl a rucsacului,
prin alterarea acestei proprieti de ordonare cresctoare ntr-un fel care pstreaz soluia'
Modificarea se realizeaz prin nmulire cu o constant modulo n'
159
Detalii privind tehnica (er)le-*ellman
:ro!lema rucsacului presupune un ir a
1
, a
'
, ..., a
n
de ntregi i o sum int T' :ro!lema
este de a gsi un vector de valori 5 i 1 astfel nct suma ntregilor asociai cu 1 s dea T'
)eci, dndu-se &=Ia
1
, a
'
, ..., a
n
J, i T, s se gseasc un vector F cu valori 5 i 1 astfel
nct ,
=
=
n
i
i i
T 9 a
1
*ezolvarea se face considernd fiecare ntreg din & ca participnd la T i reducnd
pro!lema corespunztor' Cnd o soluie nu produce suma int, se elimin ntregul ales iniial i
se continu cu urmtorul' (cest !acP-traPing deterioreaz viteza soluiei'
Rucsacuri supercresctoare
& presupunem pro!lema rucsacului cu o restricie suplimentar, ntregii din & formeaz un
/ir supercresctor, adic unul n care fiecare ntreg este strict mai mare dect suma
predecesorilor si' (tunci, orice ntreg a
k
satisface relaia
=
>
1
1
k
6
6 k
a a
&oluia rucsacului supercresctor .numit i rucsacul simplu/ este uor de gsit' &e ncepe
cu T, care se compar cu cel mai mare ntreg din &' )ac acesta este mai mare dect T, nu este
termen al sumei, deci valoarea corespunztoare din F este 5' )ac acest cel mai mare ntreg din &
este mai mic sau egal cu T, el este termen al sumei, deci valoarea corespunztoare din F este 1'
*elum algoritmul pentru T din care scdem sau nu termenul analizat .conform cu valoarea din
F/ i pentru ntregii rmai'
ehnica de criptare
#e$nica de criptare MerPle-Qellman este un criptosistem cu c$eie pu!lic' 7iecare
utilizator are o c$eie pu!lic, care poate fi distri!uit oricui i o c$eie privat, care se pstreaz
secret' C$eia pu!lic este mulimea ntregilor din pro!lema rucsacului .nu unul supercresctor/D
c$eia privat este rucsacul supercresctor corespondent' Contri!uia lui MerPle i Qellman a fost
s proiecteze o te$nic de conversie a rucsacului supercresctor ntr-unul normal, prin sc$im!area
numerelor de o manier reversi!il'
159
5.1.. Algoritmul )ivest5S,amir5Adelman ;)SA<
Gn alt criptosistem !azat pe o pro!lem dificil este algoritmul *&(, numit astfel dup
inventatorii si, *ivest, &$amir i (delman' ( fost pu!licat n 1989 J*&(89K i rmne un
algoritm foarte folosit i astzi, n ciuda eforturilor criptanalitilor de a-l sparge'
'ntroducere
(lgoritmul de criptare *&( incorporeaz rezultate din teoria numerelor, com!inate cu
dificultatea determinrii factorilor primi pentru un numr int' Ca n cazul algoritmului MerPle-
Qellman i algoritmul *&( opereaz cu aritmetica modulo n' Gn !loc n te0t clar este tratat ca un
ntreg, iar pentru criptare i decriptare se folosesc dou c$ei, e i d, care sunt intersc$im!a!ile'
@locul de te0t clar : este criptat ca :
e
modulo n' )eoarece e0ponenierea este modulo n, este
foarte dificil s se factorizeze :
e
pentru a descoperi te0tul original' :entru aceasta, c$eia de
decriptare d este astfel aleas nct .:
e
/
d
3 : modulo n' (stfel : este regsit fr a fi necesar
descompunerea n factori primi a lui :
e
'
:ro!lema pe care se !azeaz algoritmul de criptare este cea a factorizrii numerelor mari'
:ro!lema factorizrii nu se cunoate a fi M: completD cel mai rapid algoritm cunoscut este
e0ponenial n timp'
Descrierea detaliat
Cu algoritmul *&(, mesa+ul n te0t clar : este criptat n, mesa+ul n te0t cifrat C prin
intermediul c$eii de criptare e,
C 3 :
e
modulo n
Mesa+ul n te0t clar este regsit cu a+utorul c$eii de decriptare d,
: 3 C
d
modulo n
)in cauza simetriei din aritmetica modular, criptarea i decriptarea sunt mutual inverse i
comutative,
: 3 C
d
modulo n 3 .:
e
/
d
modulo n 3 .:
d
/
e
modulo n
+legerea cheilor
C$eia de criptare const n perec$ea de ntregi .e, n/, iar c$eia de decriptare este .d, n/'
:unctul de plecare n gsirea c$eilor pentru acest algoritm este selectarea unei valori pentru n'
>aloarea lui n tre!uie s fie suficient de mare, dat de un produs a dou numere prime p i :' (tt
115
p ct i : tre!uie s fie ele nsele suficient de mari' 2n mod o!inuit, p i : au apro0imativ 155 de
cifre fiecare, astfel nct n are apro0imativ A55 de cifre' (ceast lungime in$i! ncercarea de a
factoriza pe n, pentru a afla pe p i pe :'
2n continuare, se alege un ntreg e relativ mare, astfel nct e este relativ prim cu .p-1/.:-1/'
&atisfacerea acestei condiii se face alegndu-l pe e ca un numr prim mai mare dect p-1 i :-1'
2n final, se alege d astfel nct,
e d 1 modulo .p-1/.:-1/
,undamentele matematice ale algoritmului RS+
7uncia lui Culer .n/ este numrul ntregilor pozitivi mai mici dect n care sunt relativ
primi cu n' )ac p este prim, atunci,
.p/ 3 p-1
)ac n 3 p :, unde p i : sunt am!ele prime,
.n/ 3 .p/ W.:/ 3 .p-1/ .:-1/
?dentitatea Culer-7ermat afirm c ,
5
.n/
1 modulo n
pentru orice ntreg 5, dac n i 5 sunt relativ prime'
& presupunem c mesa+ul n te0t clar P este criptat cu algoritmul *&(, astfel nct
E(P)=P
e
' #re!uie s fim siguri c putem decripta mesa+ul' >aloarea e este astfel aleas nct
inversa sa d s poat fi gsit uor' )eoarece e i d sunt inverse modulo .n/,
e d 1 modulo .n/
sau
e d 3 k .n/ N 1
pentru anumii ntregi k'
'mplementarea practic a algoritmului
Gtilizatorul algoritmului *&( alege numerele prime p i :, din care se o!ine
n 3 p :' (poi alege e, relativ prim la .p-1/ .:-1/, de o!icei un numr prim mai mare dect p-1
i dect :-1' 2n final, d se calculeaz ca inversul lui e modulo .n/'
Gtilizatorul distri!uie e i n, i pstreaz c$eia d secretD p, : iW .n/ pot fi ignorate, dar nu
fcute pu!lice' C$iar dac se tie c n este produsul a dou numere prime, datorit mrimii sale
111
peste A55 de cifre, nu va fi posi!il s se determine factorii p i :, i nici c$eia privat, d din e' )e
asemenea, verificarea c p i : sunt prime, presupune luarea n considerare a 15
55
factori'
&olova% i &trassen au dezvoltat un algoritm euristic de calcul a pro!a!ilitii ca un numr
s fie prim, cu gradul de ncredere dorit'
1rice numr prim satisface dou teste' )ac p este un numr prim i orice numr mai mic
dect p,
cmmdc.p, /31
unde cmmdc este cel mai mare divizor comun, i
L., p/
(p71)/'
modulo p
unde L este funcia Laco!i, definit astfel,

=
=

1 r si impar este r daca / 1 . r/ r, modulo .

par este r daca / 1 . / , A F .
1 r daca 1
/ , .
4 F / 1 . / 1 .
9 F / 1 .
A
p
p
p K
p K p K
)ac un numr pare a fi prim, dar nu trece unul din aceste teste, n mod sigur nu este prim'
)ac ns satisface cele dou teste, numrul este prim cu o pro!a!ilitate de cel puin 1FA'
:ro!lema n algoritmul *&( este de a gsi dou numere prime mari, p i :' :entru a folosi
metoda de mai sus, se alege un posi!il numr mare prim, p' &e genereaz aleator un numr i se
calculeaz cmmdc.p,/ i L.,p/' )ac una din cele dou condiii nu este ndeplinit, p nu este
numr prim' )ac am!ele teste se verific, pro!a!ilitatea ca p s nu fie prim este cel mult 1FA'
:rocesul se repet pentru noi valori ale lui alese aleator' )ac al doilea verific am!ele teste,
pro!a!ilitatea ca p s nu fie prim este cel mult 1F4' )up repetarea procesului de P ori astfel nct
cele dou teste sunt verificate, pro!a!ilitatea ca p s nu fie prim este cel mult 1FA
P
'
Criptanaliza metodei RS+
#eoretic sunt trei posi!iliti de a!ordare a unui atac n cazul algoritmului *&(, atacul n
for, atacul !azat pe metode matematice .ncercarea factorizrii produsului a dou numere prime
mari/ i atacul temporal' (naliza acestor atacuri duce la concluzia c nici unul nu are sori de
iz!nd'
2n pofida unor intense cercetri, au fost identificate doar pro!leme minore n comparaie cu
cele din cazul algoritmului rucsacului a lui MerPle i Qellman'
11A
5.9 Conclu2ii
Criptografia cu c$ei simetrice i cea cu c$ei pu!lice prezint diverse avanta+e i dezavanta+e
pe care le prezentm n continuare,
!i# +vanta-e ale criptogra&iei cu chei simetrice
1' (lgoritmii folosii permit gestionarea unor volume mari de date, cu vitez relativ
!un' 2n special atunci cnd este vor!a de implementri $ard'
A' C$eile folosite pentru algoritmii simetrici sunt relativ scurte'
B' (lgoritmii simetrici pot fi folosii ca primitive pentru a construi soluii criptografice
incluznd generatoarele de numere pseudo-aleatoare i funciile $as$'
4' (lgoritmii cu c$ei simetrice se pot compune pentru a produce algoritmi mai
puternici'
!ii# Dezavanta-ele criptogra&iei cu chei simetrice
1' 2ntr-o comunicaie c$eia tre!uie s rmn secret n am!ele capete'
A' 2ntr-o reea cu muli utilizatori numrul c$eilor care tre!uie gestionate devine o
pro!lem ma+or'
B' :entru o comunicaie ntre dou pri, practica criptografic impune sc$im!ul
c$eilor frecvent, uneori c$iar la fiecare sesiune, ceea ce n condiiile unui canal
nesigur de comunicaie este o alt pro!lem'

!iii# +vanta-ele criptogra&iei cu chei publice
1' )intre cele dou c$ei folosite n algoritmii cu c$ei pu!lice doar una tre!uie inut
secret'
11B
A' (dministrarea c$eilor ntr-o reea poate fi fcut cu un singur administrator ;de
ncredere<'
B' 2n general perec$ile de c$ei pu!liceFsecrete pot fi folosite pe o perioada lung de
timp fr a fi sc$im!ate'
4' 2ntr-o reea de dimensiuni mari numrul de c$ei necesare este considera!il mai mic
dect n cazul criptografiei simetrice'
!iv# Dezavanta-ele criptogra&iei cu chei publice
1' >iteza algoritmilor cu c$ei pu!lice .c$iar i a celor mai performani/ este de cteva
ori mai mic dect a celor cu c$ei secrete'
A' )imensiunea c$eilor folosite este mai mare .15A4 pentru *&( n comparaie cu E4
sau 1A9 n cazul algorimilor de tip !loc/'
B' :entru nici un algoritm cu c$ei pu!lice nu s-a demonstrat c ar fi ;sigur<D securitatea
lor se !azeaz prezumia de dificultate a unui set de pro!leme de teoria numerelor'
4' ?storia criptografiei cu c$ei pu!lice este relativ scurt .din 1985/ '
.tilizarea algoritmilor /n sisteme de criptare disponibile /n 'nternet
(plicaiile i protocoalele folosite n ?nternet au nevoi diferite de securitate, n funcie de
care se utilizeaz diverse sisteme criptografice' &e o!serv c nu e0ist un algoritm unic !un
pentru orice situaie n funcie de noile rezultate o!inute n proiectarea criptografic, dar i n
criptanaliz, se renun la unii algoritmi sau se dezvolt variante m!untite din punct de vedere
al securitii'
2n ?nternet, sistemele criptografice pot fi grupate n dou mari categorii, protocoale de reea
i programeFprotocoale folosite pentru criptarea mesa+elor trimise prin pota electronic
.ta!elul 5'B/'
114
=r. Sistem Caracteristici
"rincipalii
algoritmi
1
:C# .:rivate
Communications
#ec$nolog%/
:rotocol criptare transmisii
#C:F?:
*&(
*C4
M)5
A
&&H .&ecure &ocPet
Ha%er/
#C:F?:
*&(
*C4
M)5
B
&-Q##: &ecure-
Q%per#e0t #ransfer
:rotocol
:rotocol pentru criptarea cererilor i
rspunsurilor Q#MH
*&(
)C&
4
&C# .&ecure Clectronic
#ransaction/
:rotocol criptare transmisii de
instruciuni de platX prin ?nternet
*&(
M)5
*CA
5 C%!erCas$
instruciuni de platX prin ?nternet
*&(
M)5
*CA
E ?psec, ?pv5
:rotocol de nivel scXzut pentru criptarea
pac$etelor ?:
)iffie-
Qellman
8
)M&&CC .)omain Mame
&%stem &ecurit%/
&istem pentru securizarea
)M&
*&(
M)5
9 Oer!eros
&ecuritate n reea pentru aplicaiile de
nivel nalt
)C&
9 &&Q .&ecure &$ell/
:rotecie pentru #elnet la
transferul de fiiere
*&(
)iffie-
Qellman
)es
#riple )C&
15
&FM?MC &ecure
Multipurpose ?nternet Mail
C0tension
7ormat pentru criptarea potei
electronice
&pecificaii
utilizator
11
:S: .:rett% Sood
:rivac%/
(plicaie pentru criptarea potei
electronice
M)5
?)C(
*&(
Ta4el!l 5., <lg#it%i de )iptae !tiliAaLi +n apli)aLiile din Entenet
115

05 Criptografia Moderna

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

05 Criptografia Moderna

Încărcat de

Drepturi de autor:

Formate disponibile

Capitolul 5 Criptografia modern

1 r si impar este r daca / 1 . r/ r, modulo .

S-ar putea să vă placă și