Documente Academic
Documente Profesional
Documente Cultură
Cuprins
2
Criptografie si Securitate
2/8
Criptografia moderna
I
Criptografie si Securitate
3/8
Criptografie si Securitate
4/8
Raspuns corect:
I
Criptografie si Securitate
5/8
Trebuie sa cuprinda:
(a) ce inseamna a sparge o schema de criptare - vezi slide-ul
anterior
(b) de ce putere dispune adversarul:
ce actiuni are voie sa intreprinda + putere computationala
Definitie
O schema de criptare este sigura daca nici un adversar avand
puterea specificata nu poate sparge schema n modul specificat.
6
Criptografie si Securitate
6/8
Teorema
Constructia Y este sigura conform definitiei daca prezumptia X
este adevarata.
I
Criptografie si Securitate
7/8
Important de retinut!
8
Criptografie si Securitate
8/8
riptografie si Securitate
- Prelegerea 4 Securitate perfecta
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
Cuprins
1. Definitie
10
Criptografie si Securitate
2/10
Securitate perfecta
11
Criptografie si Securitate
3/10
Criptografie si Securitate
4/10
Criptografie si Securitate
5/10
Criptografie si Securitate
6/10
mesaj:
0
cheie:
1
text criptat: 1
1
0
1
1
1
0
0
1
1
0
0
0
1
0
1
1
1
0
1
1
0
1
0
1
15
Criptografie si Securitate
7/10
Teorema
Schema de criptare OTP este perfect sigura.
I
16
Criptografie si Securitate
8/10
Teorema
Fie (Enc, Dec) o schema de criptare perfect sigura peste un spatiu
al mesajelor M si un spatiu al cheilor K. Atunci |K| |M|.
Sau altfel spus:
Teorema
Nu exista nici o schema de criptare (Enc, Dec) perfect sigura n
care mesajele au lungimea n biti iar cheile au lungimea (cel mult)
n 1 biti.
17
Criptografie si Securitate
9/10
Important de retinut!
18
Criptografie si Securitate
10/10
riptografie si Securitate
- Prelegerea 5 Criptografie computationala
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
19
Cuprins
2. Criptografie computationala
20
Criptografie si Securitate
2/9
Criptografie si Securitate
3/9
22
Criptografie si Securitate
4/9
Securitate computationala
I
Definitie
O schema este sigura daca orice adversar care dispune de timp polinomial
n n (parametrul de securitate) efectueaza un atac cu succes numai cu o
probabilitate neglijabila.
23
Criptografie si Securitate
5/9
Neglijabil si ne-neglijabil
24
Criptografie si Securitate
6/9
Neglijabil si ne-neglijabil
25
Criptografie si Securitate
7/9
Neglijabil si ne-neglijabil
I
Raspuns:
I
8/9
Important de retinut!
27
Criptografie si Securitate
9/9
riptografie si Securitate
- Prelegerea 6 Sisteme fluide
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
28
Cuprins
1. Definitie
2. Securitate
3. Moduri de utilizare
4. Exemple
29
Criptografie si Securitate
2/22
Sisteme fluide
30
Criptografie si Securitate
3/22
Pseudoaleatorismul
I
Criptografie si Securitate
4/22
Pseudoaleatorismul
securitatea computational
a este o relaxare a securit
atii
perfecte
32
Criptografie si Securitate
5/22
Sisteme fluide
33
Criptografie si Securitate
6/22
Sisteme fluide
OTP (One Time Pad)
Sisteme fluide
34
Criptografie si Securitate
7/22
PRG
I
Criptografie si Securitate
8/22
PRG
Definitie
Fie l() un polinom si G un algoritm polinomial determinist a..
n {0, 1}n , G genereaza o secventa de lungime l(n).
G se numeste generator de numere pseudoaleatoare (PRG) daca se
satisfac 2 proprietati:
1. Expansiune: n, l(n) n
2. Pseudoaleatorism: algoritm PPT D, o funtie neglijabila
negl a..:
|Pr [D(r ) = 1] Pr [D(G (s)) = 1]| negl(n)
unde r R {0, 1}l(n) , s R {0, 1}n
l(n) se numeste factorul de expansiune al lui G
36
Criptografie si Securitate
9/22
Notatii
D = Distringuisher
In plus:
I
37
Criptografie si Securitate
10/22
Sisteme fluide
Definitie
Un sistem de criptare (Enc, Dec) definit peste (K, M, C) se
numeste sistem de criptare fluid daca:
1. Enc : K M C
c = Enck (m) = G (k) m
2. Dec : K C M
m = Deck (c) = G (k) c
unde G este un generator de numere pseudoaleatoare cu factorul
de expansiune l, k {0, 1}n , m {0, 1}l(n)
38
Criptografie si Securitate
11/22
Teorema
Daca G este PRG, atunci sistemul fluid definit anterior este un
sistem de criptare simetric de lungime fixa computational sigur
pentru un atacator pasiv care care poate intercepta un mesaj.
39
Criptografie si Securitate
12/22
Demonstratie intuitiva
40
Criptografie si Securitate
13/22
41
Criptografie si Securitate
14/22
Moduri de utilizare
Atentie!
PRG va necesita 2 intrari: cheia k si un vector de initializare IV .
42
Criptografie si Securitate
15/22
Modul sincronizat
43
Criptografie si Securitate
16/22
Modul nesincronizat
44
Criptografie si Securitate
17/22
Moduri de utilizare
Modul sincronizat
I
Modul nesincronizat
I
Criptografie si Securitate
18/22
s = seed
IV = Initialization Vector
46
Criptografie si Securitate
19/22
Exemple
47
Criptografie si Securitate
20/22
Exemple
I
A5/1:
I
I
I
I
Criptografie si Securitate
21/22
Important de retinut!
49
Criptografie si Securitate
22/22
riptografie si Securitate
- Prelegerea 6.1 RC4
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
50
Cuprins
1. Informatii generale
2. Descriere
3. Securitate
51
Criptografie si Securitate
2/10
Informatii generale
RC4 este:
I
52
Criptografie si Securitate
3/10
Descriere
I
53
Criptografie si Securitate
4/10
Descriere
I
2 faze:
I
Starea interna:
I
I
54
Criptografie si Securitate
5/10
Descriere
Faza 1. Initializare
I
I
55
Criptografie si Securitate
6/10
Descriere
Faza 2. Generarea cheii fluide
I
I
56
Criptografie si Securitate
7/10
Descriere
Detalii de implementare:
I
5 n 16 40 |k| 256;
57
Criptografie si Securitate
8/10
Securitate
RC4 pe 104 biti (utilizat pentru WEP pe 128 biti) a fost spart
n aprox. 1 min (algoritm al lui Tews, Weinmann, Pychkine
2001, bazat pe idea lui Klein 2005)
58
Criptografie si Securitate
9/10
Important de retinut!
59
Criptografie si Securitate
10/10
riptografie si Securitate
- Prelegerea 6.2 WEP
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
60
Cuprins
1. Informatii generale
2. Descriere
3. Securitate
61
Criptografie si Securitate
2/10
Informatii generale
WEP este:
I
62
Criptografie si Securitate
3/10
Descriere
I
I
I
63
Criptografie si Securitate
4/10
Descriere
Detalii de implementare:
I
|IV | = 24 (biti)
64
Criptografie si Securitate
5/10
Securitate - Problema 1
Problema 1: Utilizarea multipla a lui IV
I
Raspuns: NU!
c1 = m1 kf 1 , c2 = m2 kf 2 c1 c2 = m1 m2
Exemplu:
I
I
Criptografie si Securitate
6/10
Securitate - Problema 1
Raspuns: 224
66
Criptografie si Securitate
7/10
Securitate - Problema 2
Problema 2: Liniaritatea
I
Intrebare: Facand abstractie de CRC, A poate modifica
mesajul criptat transmis dupa bunul sau plac?
I R
aspuns: DA!
(m1 m2 ) kf = (m1 kf ) m2
Exemplu:
I
A intercepteaza c1 si l transforma n c2
67
Criptografie si Securitate
8/10
Securitate - Problema 2
68
Criptografie si Securitate
9/10
Important de retinut!
69
Criptografie si Securitate
10/10
riptografie si Securitate
- Prelegerea 7 Securitate semantica
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
70
Cuprins
71
Criptografie si Securitate
2/24
pentru k
I
K;
Incercam o relaxare:
m0 , m1 M cu |m0 | = |m1 | are loc
{Enck (m0 )} {Enck (m1 )}
(distributiile sunt indistinctibile computational)
pentru k R K;
Insa adversarul trebuie sa aleaga m0 si m1 explicit. 72
Criptografie si Securitate
3/24
73
Criptografie si Securitate
4/24
eav
Experimentul PrivA,
(n)
74
Criptografie si Securitate
5/24
eav
Experimentul PrivA,
(n)
75
Criptografie si Securitate
6/24
eav
Experimentul PrivA,
(n)
76
Criptografie si Securitate
7/24
eav
Experimentul PrivA,
(n)
77
Criptografie si Securitate
8/24
eav
Experimentul PrivA,
(n)
Criptografie si Securitate
9/24
Definitie
O schema de criptare = (Enc, Dec) este indistinctibila n
prezenta unui atacator pasiv daca pentru orice adversar A exista o
functie neglijabila negl asa ncat
eav (n) = 1]
Pr[PrivA,
1
2
+ negl(n).
79
Criptografie si Securitate
10/24
80
Criptografie si Securitate
11/24
mult
Experimentul PrivA,
(n)
81
Criptografie si Securitate
12/24
mult
Experimentul PrivA,
(n)
82
Criptografie si Securitate
13/24
mult
Experimentul PrivA,
(n)
83
Criptografie si Securitate
14/24
mult
Experimentul PrivA,
(n)
84
Criptografie si Securitate
15/24
mult
Experimentul PrivA,
(n)
I
I
Criptografie si Securitate
16/24
1
2
+ negl(n).
Teorema
O schema de criptare (Enc, Dec) unde functia Enc este
determinista nu are proprietatea de securitate la interceptare
multipla conform cu definitia de mai sus.
86
Criptografie si Securitate
17/24
Demonstratie
87
Criptografie si Securitate
18/24
Demonstratie
88
Criptografie si Securitate
19/24
Demonstratie
89
Criptografie si Securitate
20/24
Demonstratie
90
Criptografie si Securitate
21/24
Demonstratie
91
Criptografie si Securitate
22/24
Demonstratie
I
I
Criptografie si Securitate
23/24
Important de retinut!
93
Criptografie si Securitate
24/24
riptografie si Securitate
- Prelegerea 8 Sisteme de criptare bloc
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
94
Cuprins
1. Definitie
2. Constructie
3. Moduri de utilizare
4. Exemple
95
Criptografie si Securitate
2/37
Criptografia simetrica
I
Am studiat sisteme simetrice care cripteaza bit cu bit sisteme de criptare fluide;
96
Criptografie si Securitate
3/37
Criptografia simetrica
I
Am studiat sisteme simetrice care cripteaza bit cu bit sisteme de criptare fluide;
97
Criptografie si Securitate
3/37
Criptografia simetrica
I
Am studiat sisteme simetrice care cripteaza bit cu bit sisteme de criptare fluide;
98
Criptografie si Securitate
3/37
99
Criptografie si Securitate
4/37
Sisteme bloc
criptarea bitilor se
realizeaza individual
criptarea se realizeaza n
blocuri de cate n biti
100
Criptografie si Securitate
5/37
necesitati computationale
reduse
Sisteme bloc
I
necesitati computationale
mai avansate
utilizare: internet
Criptografie si Securitate
6/37
Sisteme bloc
102
Criptografie si Securitate
7/37
Sisteme bloc
103
Criptografie si Securitate
7/37
Sisteme bloc
104
Criptografie si Securitate
7/37
Sisteme bloc
Sisteme fluide
Sisteme bloc
105
Criptografie si Securitate
8/37
PRP
106
Criptografie si Securitate
9/37
PRP
a si bijectiv
a care pentru o
Acesta este o functie determinist
cheie fixata produce la iesire o permutare a intrarii ...
107
Criptografie si Securitate
9/37
PRP
a si bijectiv
a care pentru o
Acesta este o functie determinist
cheie fixata produce la iesire o permutare a intrarii ...
... indistinctibil
a fata de o permutare aleatoare;
108
Criptografie si Securitate
9/37
PRP
a si bijectiv
a care pentru o
Acesta este o functie determinist
cheie fixata produce la iesire o permutare a intrarii ...
... indistinctibil
a fata de o permutare aleatoare;
109
Criptografie si Securitate
9/37
PRP
Definitie
O permutare pseudoaleatoare definita peste (K, X ) este o functie
bijectiva
F :X K X
care satisface urmatoarele proprietati:
1. Eficienta: k K, x X , algoritmi deterministi PPT care
calculeaza Fk (x) si Fk1 (x)
2. Pseudoaleatorism: algoritm PPT D, o functie neglijabila
negl a..:
|Pr [D(r ) = 1] Pr [D(Fk ()) = 1]| negl(n)
unde r R Perm(X ), k R K
110
Criptografie si Securitate
10/37
Notatii
Fk (x) = F (k, x)
o cheie este n general (aleator) aleasa si apoi fixata
X = {0, 1}n
111
Criptografie si Securitate
11/37
PRF
112
Criptografie si Securitate
12/37
PRF
113
Criptografie si Securitate
PRF
114
Criptografie si Securitate
12/37
PRF
Definitie
O functie pseudoaleatoare definita peste (K, X , Y) este o functie
bijectiva
F :X K Y
care satisface urmatoarele proprietati:
1. Eficienta: k K, x X , algoritm PPT care calculeaza
Fk (x)
2. Pseudoaleatorism: algoritm PPT D, o functie neglijabila
negl a..:
|Pr [D(r ) = 1] Pr [D(Fk ()) = 1]| negl(n)
unde r R Func(X , Y ), k R K
115
Criptografie si Securitate
13/37
Notatii
Fk (x) = F (k, x)
o cheie este n general (aleator) aleasa si apoi fixata
116
Criptografie si Securitate
14/37
PRP PRF
117
Criptografie si Securitate
15/37
PRP PRF
118
Criptografie si Securitate
15/37
PRP PRF
119
Criptografie si Securitate
15/37
Constructii
I
PRF PRG
Pornind de la PRF se poate construi PRG
120
Criptografie si Securitate
16/37
Constructii
I
PRF PRG
Pornind de la PRF se poate construi PRG
PRG PRF
Pornind de la PRG se poate construi PRF
121
Criptografie si Securitate
16/37
Constructii
I
PRF PRG
Pornind de la PRF se poate construi PRG
PRG PRF
Pornind de la PRG se poate construi PRF
PRP PRF
Pornind de la PRP se poate construi PRF
122
Criptografie si Securitate
16/37
Constructii
I
PRF PRG
Pornind de la PRF se poate construi PRG
PRG PRF
Pornind de la PRG se poate construi PRF
PRP PRF
Pornind de la PRP se poate construi PRF
PRF PRP
Pornind de la PRF se poate construi PRP
123
Criptografie si Securitate
16/37
Constructii
I
PRF PRG
Pornind de la PRF se poate construi PRG
PRG PRF
Pornind de la PRG se poate construi PRF
PRP PRF
Pornind de la PRP se poate construi PRF
PRF PRP
Pornind de la PRF se poate construi PRP
16/37
Constructii
125
Criptografie si Securitate
17/37
Constructii
126
Criptografie si Securitate
17/37
Constructii
PRF PRG
Pornind de la PRF se poate construi PRG
PRG PRF
Pornind de la PRG se poate construi PRF
PRP PRF
Pornind de la PRP se poate construi PRF
PRF PRP
Pornind de la PRF se poate construi PRP
127
Criptografie si Securitate
18/37
PRF PRG
I
128
Criptografie si Securitate
19/37
PRF PRG
I
129
Criptografie si Securitate
19/37
PRF PRG
I
130
Criptografie si Securitate
19/37
PRF PRG
I
131
Criptografie si Securitate
19/37
PRF PRG
I
132
Criptografie si Securitate
19/37
PRF PRG
I
Criptografie si Securitate
19/37
Constructii
PRF PRG
Pornind de la PRF se poate construi PRG
PRG PRF
Pornind de la PRG se poate construi PRF
PRP PRF
Pornind de la PRP se poate construi PRF
PRF PRP
Pornind de la PRF se poate construi PRP
134
Criptografie si Securitate
20/37
PRG PRF
I
135
Criptografie si Securitate
21/37
PRG PRF
I
136
Criptografie si Securitate
21/37
PRG PRF
I
137
Criptografie si Securitate
21/37
PRG PRF
I
I
I
138
Criptografie si Securitate
21/37
PRG PRF
I
I
I
Criptografie si Securitate
21/37
PRG PRF
I
I
I
Criptografie si Securitate
21/37
PRG PRF
I
141
Criptografie si Securitate
22/37
PRG PRF
I
142
Criptografie si Securitate
23/37
PRG PRF
I
143
Criptografie si Securitate
24/37
PRG PRF
I
144
Criptografie si Securitate
24/37
PRG PRF
I
145
Criptografie si Securitate
24/37
PRG PRF
I
146
Criptografie si Securitate
24/37
PRG PRF
I
147
Criptografie si Securitate
24/37
PRG PRF
I
Criptografie si Securitate
24/37
Constructii
PRF PRG
Pornind de la PRF se poate construi PRG
PRG PRF
Pornind de la PRG se poate construi PRF
PRP PRF
Pornind de la PRP se poate construi PRF
PRF PRP
Pornind de la PRF se poate construi PRP
149
Criptografie si Securitate
25/37
PRF PRP
150
Criptografie si Securitate
26/37
PRF PRP
151
Criptografie si Securitate
26/37
Moduri de utilizare
I
152
Criptografie si Securitate
27/37
Moduri de utilizare
I
153
Criptografie si Securitate
27/37
Moduri de utilizare
I
154
Criptografie si Securitate
27/37
Moduri de utilizare
I
155
Criptografie si Securitate
27/37
Moduri de utilizare
I
156
Criptografie si Securitate
27/37
Moduri de utilizare
I
Criptografie si Securitate
27/37
158
Criptografie si Securitate
28/37
159
Criptografie si Securitate
29/37
a;
Pentru decriptare, Fk trebuie sa fie inversabli
160
Criptografie si Securitate
29/37
a;
Pentru decriptare, Fk trebuie sa fie inversabli
Este paralelizabil;
161
Criptografie si Securitate
29/37
a;
Pentru decriptare, Fk trebuie sa fie inversabli
Este paralelizabil;
162
Criptografie si Securitate
29/37
a;
Pentru decriptare, Fk trebuie sa fie inversabli
Este paralelizabil;
163
Criptografie si Securitate
29/37
a;
Pentru decriptare, Fk trebuie sa fie inversabli
Este paralelizabil;
164
Criptografie si Securitate
29/37
a;
Pentru decriptare, Fk trebuie sa fie inversabli
Este paralelizabil;
Criptografie si Securitate
29/37
166
Criptografie si Securitate
30/37
167
Criptografie si Securitate
31/37
168
Criptografie si Securitate
31/37
169
Criptografie si Securitate
31/37
170
Criptografie si Securitate
31/37
171
Criptografie si Securitate
32/37
172
Criptografie si Securitate
33/37
173
Criptografie si Securitate
33/37
174
Criptografie si Securitate
33/37
175
Criptografie si Securitate
33/37
176
Criptografie si Securitate
33/37
177
Criptografie si Securitate
34/37
178
Criptografie si Securitate
35/37
179
Criptografie si Securitate
35/37
180
Criptografie si Securitate
35/37
181
Criptografie si Securitate
35/37
Este paralelizabil;
182
Criptografie si Securitate
35/37
Este paralelizabil;
Criptografie si Securitate
35/37
Exemple
propus de IBM
adoptat ca standard NIST n 1976
(lungime cheie = 64 biti, lungime bloc = 64 biti)
spart prin cautare exhaustiva n 1997
184
Criptografie si Securitate
36/37
Exemple
propus de IBM
adoptat ca standard NIST n 1976
(lungime cheie = 64 biti, lungime bloc = 64 biti)
spart prin cautare exhaustiva n 1997
185
Criptografie si Securitate
36/37
Important de retinut!
186
Criptografie si Securitate
37/37
riptografie si Securitate
- Prelegerea 9 Constructii practice pentru PRP
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
187
Cuprins
3. Retele Feistel
188
Criptografie si Securitate
2/25
189
Criptografie si Securitate
3/25
190
Criptografie si Securitate
4/25
191
Criptografie si Securitate
5/25
Shannon propune
utilizarea mai multor
permutari de dimensiune
mai mica;
Criptografie si Securitate
6/25
Criptografie si Securitate
7/25
Raspuns: DA.
194
Criptografie si Securitate
8/25
Raspuns: NU.
Criptografie si Securitate
9/25
x 0 = Fk (x);
x1 se obtine prin reordonarea bitilor din x 0 ;
x10 = Fk (x1 );
x2 se obtine prin reordonarea bitilor din x10 .
196
Criptografie si Securitate
10/25
Criptografie si Securitate
11/25
198
Criptografie si Securitate
12/25
199
Criptografie si Securitate
13/25
Intr-o runda:
I
I
Criptografie si Securitate
14/25
Criptografie si Securitate
15/25
Criptografie si Securitate
16/25
Retele Feistel
Criptografie si Securitate
17/25
Structurile simetrice
utilizate n constructia
sistemelor bloc poarta
numele lui Feistel;
Munca sa de cercetare la
IBM a condus la sistemul
de criptare Lucifer si mai
tarziu la DES.
[Wikipedia]
204
Criptografie si Securitate
18/25
Retele Feistel
205
Criptografie si Securitate
19/25
Retele Feistel
I
Criptografie si Securitate
20/25
Retele Feistel
207
Criptografie si Securitate
21/25
Constructii
Am omis n cursurile anterioare ultima constructie:
I PRF PRG
Pornind de la PRF se poate construi PRG
I PRG PRF
Pornind de la PRG se poate construi PRF
I PRP PRF
Pornind de la PRP se poate construi PRF
I
PRF PRP
Pornind de la PRF se poate construi PRP
208
Criptografie si Securitate
22/25
PRF PRP
I
Criptografie si Securitate
23/25
PRF PRP
I
Raspuns: NU.
Criptografie si Securitate
24/25
Important de retinut!
Retele de substitutie-permutare
Retele Feistel
211
Criptografie si Securitate
25/25
riptografie si Securitate
- Prelegerea 9.1 Data Encryption Standard - DES
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
212
Cuprins
1. Scurt istoric
213
Criptografie si Securitate
2/32
Criptografie si Securitate
3/32
DES
215
Criptografie si Securitate
4/32
Descriere DES
I
Criptografie si Securitate
5/32
Functia f (ki , R)
217
Criptografie si Securitate
6/32
Functia f (ki , R)
I
Functia b
f este, n esenta, o retea de substitutie-permutare cu
doar o runda.
Criptografie si Securitate
7/32
Criptografie si Securitate
8/32
Efectul de avalansa
I
Criptografie si Securitate
9/32
Efectul de avalansa
I
Criptografie si Securitate
10/32
Efectul de avalansa
222
Criptografie si Securitate
11/32
223
Criptografie si Securitate
12/32
L1 = R0
R1 = L0 f1 (R0 )
De asemenea, f1 (R0 ) = R1 L0
224
Criptografie si Securitate
13/32
Criptografie si Securitate
14/32
226
Criptografie si Securitate
15/32
Criptografie si Securitate
16/32
Cu toate acestea....
I
Dupa 30 ani de studiu intens, cel mai bun atac practic ramane
doar o cautare exhaustiva pe spatiul cheilor;
Criptografie si Securitate
17/32
Criptografie si Securitate
18/32
Criptografie si Securitate
19/32
Criptografie si Securitate
20/32
Criptografie si Securitate
21/32
Criptanaliza avansata
I
Criptografie si Securitate
22/32
Criptanaliza diferentiala
I
I
I
Criptografie si Securitate
23/32
Criptanaliza diferentiala
235
Criptografie si Securitate
24/32
Criptanaliza liniara
I
Criptografie si Securitate
25/32
237
Criptografie si Securitate
26/32
Criptare dubla
238
Criptografie si Securitate
27/32
Atacul meet-in-the-middle
I
Criptografie si Securitate
239
28/32
Criptare tripla
I
Prima varianta are lungimea cheii 3n dar cel mai bun atac
necesita timp 22n (functioneaza atacul meet-in-the-middle);
Criptografie si Securitate
29/32
Triplu-DES (3DES)
I
Criptografie si Securitate
30/32
Triplu-DES (3DES)
DES-X este o varianta DES care rezista mai bine (decat DES)
la forta bruta;
242
Criptografie si Securitate
31/32
Important de retinut!
243
Criptografie si Securitate
32/32
riptografie si Securitate
- Prelegerea 9.2 Advanced Encryption Standard - AES
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
244
Cuprins
1. Scurt istoric
2. Constructie
245
Criptografie si Securitate
2/10
246
Criptografie si Securitate
3/10
[http://keccak.noekeon.org/team.html]
4/10
Descriere AES
I
128
10
192
12
256
14
Criptografie si Securitate
248
5/10
Descriere AES
I
[http://www.cryptool.org/en/]
249
Criptografie si Securitate
6/10
Descriere AES
I
250
Criptografie si Securitate
7/10
Descriere AES
251
Criptografie si Securitate
8/10
Criptografie si Securitate
9/10
Important de retinut!
253
Criptografie si Securitate
10/10
riptografie si Securitate
- Prelegerea 10 Securitate CPA si CCA
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
254
Cuprins
1. Scenarii de atac
2. Securitate CPA
3. Securitate CCA
255
Criptografie si Securitate
2/38
Scenarii de atac
I
Criptografie si Securitate
3/38
Scenarii de atac
257
Criptografie si Securitate
4/38
Notiuni de securitate
258
Criptografie si Securitate
5/38
Securitate CPA
259
Criptografie si Securitate
6/38
Securitate CPA
260
Criptografie si Securitate
7/38
cpa
Experimentul PrivA,
(n)
Criptografie si Securitate
13/38
cpa
Experimentul PrivA,
(n)
Definitie
O schema de criptare = (Enc, Dec) este CPA-sigura daca pentru
orice adversar PPT A exista o functie neglijabila negl asa ncat
cpa
Pr[PrivA,
(n) = 1]
1
2
+ negl(n).
262
Criptografie si Securitate
14/38
Securitate CPA
263
Criptografie si Securitate
15/38
264
Criptografie si Securitate
16/38
cpa
Experimentul PrivA,
(n)
I
I
Criptografie si Securitate
21/38
Securitate CCA
I
Criptografie si Securitate
22/38
Securitate CCA
267
Criptografie si Securitate
23/38
cca
Experimentul PrivA,
(n)
Criptografie si Securitate
29/38
cca
Experimentul PrivA,
(n)
Definitie
O schema de criptare = (Enc, Dec) este CCA-sigura daca pentru
orice adversar PPT A exista o functie neglijabila negl asa ncat
cca (n) = 1]
Pr[PrivA,
1
2
+ negl(n).
269
Criptografie si Securitate
30/38
Securitate CCA
270
Criptografie si Securitate
31/38
271
Criptografie si Securitate
32/38
cca
Experimentul PrivA,
(n)
Criptografie si Securitate
36/38
cca
Experimentul PrivA,
(n)
Criptografie si Securitate
37/38
Important de retinut!
274
Criptografie si Securitate
38/38
riptografie si Securitate
- Prelegerea 11 Coduri de autentificare a mesajelor
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
275
Cuprins
1. Necesitatea autentificarii
2. Definitie MAC
3. Securitate MAC
4. CBC-MAC
276
Criptografie si Securitate
2/42
Criptografie si Securitate
3/42
Iata un exemplu:
Criptografie si Securitate
4/42
email, SMS
Criptografie si Securitate
5/42
280
Criptografie si Securitate
6/42
281
Criptografie si Securitate
7/42
(a) ECB
(c) OFB
Criptografie si Securitate
(b) CBC
(d) CTR
282
8/42
Criptografie si Securitate
9/42
Criptografie si Securitate
10/42
MAC - Definitie
Criptografie si Securitate
11/42
MAC - Definitie
286
Criptografie si Securitate
12/42
MAC - Definitie
Definitie
Un cod de autentificare a mesajelor (MAC) definit peste
(K, M, T ) este format dintr-o pereche de algoritmi polinomiali
(Mac, Vrfy) unde:
1. Mac : K M T este algoritmul de generare a tag-urilor
t Mack (m);
2. Vrfy : K M T {0, 1}
este algoritmul de verificare ce ntoarce un bit
b = Vrfyk (m, t) cu semnificatia ca:
I
I
b = 1 nseamna valid
b = 0 nseamna invalid
13/42
288
Criptografie si Securitate
14/42
289
Criptografie si Securitate
15/42
... desi poate obtine tag-uri pentru orice mesaj ales de el,
chiar adaptiv n timpul atacului.
290
Criptografie si Securitate
16/42
Experimentul Macforge
A, (n)
Criptografie si Securitate
22/42
Securitate MAC
Definitie
Un cod de autentificare al mesajelor = (Mac, Vrfy) este sigur (nu
poate fi falsificat printr-un atac cu mesaj ales) daca pentru orice
adversar polinomial A exista o functie neglijabila negl asa ncat
Pr[Macforge
A, (n) = 1] negl(n).
292
Criptografie si Securitate
23/42
Criptografie si Securitate
24/42
Criptografie si Securitate
25/42
Criptografie si Securitate
26/42
Criptografie si Securitate
27/42
Constructie
Fie F : {0, 1}n {0, 1}n {0, 1}n o PRF. Definim un MAC n
felul urmator:
I
Criptografie si Securitate
28/42
Teorema
Daca F este o functie aleatoare, constructia de mai sus reprezinta
un cod de autentificare a mesajelor sigur (nu poate fi falsificat prin
atacuri cu mesaj ales).
298
Criptografie si Securitate
29/42
Demonstratie intuitiva
I
Criptografie si Securitate
30/42
Criptografie si Securitate
300
31/42
301
Criptografie si Securitate
32/42
302
Criptografie si Securitate
33/42
Criptografie si Securitate
34/42
304
Criptografie si Securitate
35/42
CBC-MAC
I
Criptografie si Securitate
36/42
CBC-MAC
I
306
Criptografie si Securitate
37/42
CBC-MAC
Definitie
Fie F o functie pseudoaleatoare. Un CBC-MAC este format dintr-o
pereche de algoritmi polinomiali probabilisti (Mac, Vrfy):
1. Mac: pentru o cheie k {0, 1}n si un mesaj m de lungime l:
I
I
38/42
Securitatea CBC-MAC
Teorema
Daca F este o functie pseudoaleatoare, constructia de mai sus
reprezinta un cod de autentificare a mesajelor sigur (nu poate fi
falsificat prin atacuri cu mesaj ales) pentru mesaje de lungime l n.
I
308
Criptografie si Securitate
39/42
Criptografie si Securitate
CBC-MAC
I
41/42
Important de retinut!
311
Criptografie si Securitate
42/42
riptografie si Securitate
- Prelegerea 12 Scheme de criptare CCA sigure
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
312
Cuprins
313
Criptografie si Securitate
2/10
Securitate CCA
I
Criptografie si Securitate
3/10
cca
Experimentul PrivA,
(n)
Criptografie si Securitate
4/10
cca
Experimentul PrivA,
(n)
Definitie
O schema de criptare = (Enc, Dec) este CCA-sigura daca pentru
orice adversar PPT A exista o functie neglijabila negl asa ncat
cca (n) = 1]
Pr[PrivA,
1
2
+ negl(n).
316
Criptografie si Securitate
5/10
I
I
Criptografie si Securitate
6/10
Criptografie si Securitate
7/10
Teorema
Daca schema de criptare E este CPA-sigura si M este un MAC
sigur cu tag-uri unice, atunci constructia precedenta reprezinta o
schema de criptare CCA-sigura.
319
Criptografie si Securitate
8/10
Demonstratie intuitiva
I
Criptografie si Securitate
9/10
Important de retinut!
321
Criptografie si Securitate
10/10
riptografie si Securitate
- Prelegerea 13 Confidentialitate si autentificarea mesajelor
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
322
Cuprins
323
Criptografie si Securitate
2/17
Confidentialitate si integritate
324
Criptografie si Securitate
3/17
Confidentialitate si integritate
I
Criptografie si Securitate
4/17
Confidentialitate si integritate
3. Criptare-apoi-autentificare: ntai se cripteaza mesajul si apoi se
calculeaza tag-ul
c Enck1 (m) si t Mack2 (c)
La receptie, se verifica ntai t nainte de a decripta c; aceasta este
chiar constructia pentru schema CCA-sigura.
I
Criptografie si Securitate
5/17
Securitate
I
Criptografie si Securitate
6/17
Securitate
I
Criptografie si Securitate
7/17
Securitate
Definitie
O schema de transmitere a mesajelor 0 ofera comunicare
autentificata daca pentru orice adversar polinomial A exista o
functie neglijabila negl asa ncat
Pr[AuthA, (n) = 1] negl(n).
Definitie
O schema de transmitere a mesajelor 0 este sigura daca este o
schema de criptare CCA-sigura si ofera comunicare autentificata.
329
Criptografie si Securitate
8/17
Securitate Criptare-si-autentificare
I
1. Criptare-si-autentificare
Criptografie si Securitate
9/17
Securitate Autentificare-apoi-criptare
2. Autentificare-apoi-criptare
Criptografie si Securitate
10/17
Securitate Autentificare-apoi-criptare
Criptografie si Securitate
11/17
Securitate Autentificare-apoi-criptare
I
Intrebare: De ce?
333
Criptografie si Securitate
12/17
Securitate Autentificare-apoi-criptare
I
Criptografie si Securitate
13/17
335
Criptografie si Securitate
14/17
Securitate Criptare-apoi-autentificare
3. Criptare-apoi-autentificare
336
Criptografie si Securitate
15/17
hEnck (m), Mack (Enck (m))i = hFk (m||r ), Fk1 (Fk (m||r ))i =
hFk (m||r ), m||r i.
337
Criptografie si Securitate
16/17
Important de retinut!
338
Criptografie si Securitate
17/17
riptografie si Securitate
- Prelegerea 14 Functii hash
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
339
Cuprins
1. Definitie
4. Transformarea Merkle-Damg
ard
340
Criptografie si Securitate
2/32
Functii Hash
Sa luam un exemplu...
341
Criptografie si Securitate
3/32
Functii Hash
I
Criptografie si Securitate
4/32
Functii Hash
Adres
a
Batistei nr.17
Academiei nr.23
Tudor Arghezi nr.103
Nicolae B
alcescu nr.10
C.A.Rosetti nr.7
Hristo Botev nr.35
... ... ... ... ...
343
Criptografie si Securitate
5/32
Functii Hash
I
Adres
a
... ... ... ... ...
Academiei nr.23
... ... ... ... ...
Batistei nr.17
... ... ... ... ...
C.A.Rosetti nr.7
... ... ... ... ...
Hristo Botev nr.35
... ... ... ... ...
Nicolae B
alcescu nr.10
... ... ... ... ...
Tudor Arghezi nr.103
... ... ... ... ...
Criptografie si Securitate
6/32
Functii Hash
I
Adres
a
... ... ... ... ...
Tudor Arghezi nr.103
... ... ... ... ...
Batistei nr.17
... ... ... ... ...
C.A.Rosetti nr.7
... ... ... ... ...
Academiei nr.23
... ... ... ... ...
Nicolae B
alcescu nr.10
... ... ... ... ...
Hristo Botev nr.35
... ... ... ... ...
Criptografie si Securitate
7/32
Functii Hash
I
In exemplul precedent:
I
I
I
autare, ad
augare,
Analizam, pe rand, cele 3 operatii: c
stergere;
Pentru c
autarea adresei Edgar Quinet nr.35, se calculeaza
H(Edgar Quinet nr.35);
Criptografie si Securitate
8/32
Functii Hash
347
Criptografie si Securitate
9/32
Functii Hash
I
Criptografie si Securitate
10/32
Functii Hash
349
Criptografie si Securitate
11/32
Functii Hash
350
Criptografie si Securitate
12/32
Functii Hash
351
Criptografie si Securitate
13/32
Functii Hash
352
Criptografie si Securitate
14/32
coll
Experimentul HashA,H
(n)
coll (n);
Consideram experimentul HashA,H
coll (n) = 0.
Altfel, HashA,H
353
Criptografie si Securitate
15/32
Rezistenta la coliziuni
Definitie
H : {0, 1} {0, 1}l(n) se numeste rezistenta la coliziuni
(collision-resistant) daca pentru orice adversar PPT A exista o
functie neglijabila negl asa ncat
coll (n) = 1] negl(n).
Pr[HashA,H
354
Criptografie si Securitate
16/32
Criptografie si Securitate
17/32
Rezistenta la coliziuni
356
Criptografie si Securitate
18/32
357
Criptografie si Securitate
19/32
Criptografie si Securitate
20/32
Atacuri n practica
{x} = documente originale
{x 0 } = documente false
cineva este de acord s
a semneze
electronic documentul original, ns
a
semn
atura devine valabil
a si pentru
un document fals
dac
a se cunoaste cheia de sesiune ki
calculat
a din cheia master k
x = H(k||i), atunci se determin
a
cheia k
359
Criptografie si Securitate
21/32
Criptografie si Securitate
22/32
Raspuns: 23!
361
Criptografie si Securitate
[Wikipedia]
23/32
Criptografie si Securitate
24/32
363
Criptografie si Securitate
25/32
Transformarea Merkle-Damg
ard
I
Criptografie si Securitate
26/32
Transformarea Merkle-Damg
ard
I
ard;
Pentru aceasta se aplica transformarea Merkle-Damg
365
Criptografie si Securitate
27/32
Notatii
IV = vector de initializare
366
Criptografie si Securitate
28/32
Transformarea Merkle-Damg
ard
Teorema
Daca h prezinta rezistenta la coliziuni, atunci si H prezinta
rezistenta la coliziuni.
I
367
Criptografie si Securitate
29/32
Transformarea Merkle-Damg
ard
I
Constructia Davies-Meyer:
Criptografie si Securitate
30/32
Exemple
369
Criptografie si Securitate
31/32
Important de retinut!
Transformarea Merkle-Damg
ard
370
Criptografie si Securitate
32/32
riptografie si Securitate
- Prelegerea 14.1 Stocarea parolelor
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
371
Cuprins
1. Stocarea parolelor
2. Atacuri
3. Salting
372
Criptografie si Securitate
2/15
Stocarea parolelor
I
Criptografie si Securitate
3/15
Stocarea parolelor
I
Criptografie si Securitate
4/15
Stocarea parolelor
I
Criptografie si Securitate
5/15
Stocarea parolelor
I
Criptografie si Securitate
6/15
7/15
Criptografie si Securitate
8/15
Rainbow tables
I
Criptografie si Securitate
9/15
Rainbow tables
380
Criptografie si Securitate
10/15
Salting
I
Criptografie si Securitate
381
11/15
Salting
I
Criptografie si Securitate
12/15
Criptografie si Securitate
383
13/15
Criptografie si Securitate
14/15
Important de retinut!
385
Criptografie si Securitate
15/15
riptografie si Securitate
- Prelegerea 14.2 Message Digest 5 - MD5
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
386
Cuprins
1. Informatii generale
2. Descriere
3. Securitate
387
Criptografie si Securitate
2/15
Informatii generale
MD5 este:
I
Criptografie si Securitate
3/15
Descriere
I
389
Criptografie si Securitate
4/15
Descriere
Presupune 5 pasi:
I
Pas 1: Padding
Pas 5: Iesirea
390
Criptografie si Securitate
5/15
Descriere
Pas 1. Padding
I
391
Criptografie si Securitate
6/15
Descriere
Pas 2. Concatenarea lungimii mesajului
I
392
Criptografie si Securitate
7/15
Descriere
Pas 3. Initializarea buffer-ului MD
I
=
=
=
=
01
89
fe
76
23
ab
dc
54
45
cd
ba
32
67
ef
98
10
393
Criptografie si Securitate
8/15
Descriere
Pas 4. Procesarea mesajului
I
394
Criptografie si Securitate
9/15
Descriere
Pas 4. Procesarea mesajului
I
395
Criptografie si Securitate
10/15
Descriere
Pas 4. Procesarea mesajului
I
396
Criptografie si Securitate
[RFC1321]
11/15
Descriere
Pas 5. Iesirea
I
397
Criptografie si Securitate
12/15
Securitate
398
Criptografie si Securitate
13/15
Securitate
I
S
i ntr-adevar, MD5 devine inutilizabil n practica...
Criptografie si Securitate
14/15
Important de retinut!
400
Criptografie si Securitate
15/15
riptografie si Securitate
- Prelegerea 14.3 SHA - 3
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
401
Cuprins
1. Competitia SHA-3
2. Keccak
402
Criptografie si Securitate
2/14
Competitia SHA-3
403
Criptografie si Securitate
3/14
Competitia SHA-3
404
Criptografie si Securitate
4/14
Cei 5 finalisti
BLAKE
Grstl
JH
Keccak
Skein
Criptografie si Securitate
5/14
Echipa Keccak
[http://keccak.noekeon.org/team.html]
406
Criptografie si Securitate
6/14
Criterii de selectie
I
Utilizare n HMAC;
Demonstratie de securitate;
Simplicitate, claritate.
407
Criptografie si Securitate
7/14
Motivatie
The NIST team praised the Keccak algorithm for its many admirable
qualities, including its elegant design and its ability to run well on many
different computing devices. The clarity of Keccaks construction lends
itself to easy analysis (during the competition all submitted algorithms
were made available for public examination and criticism), and Keccak
has higher performance in hardware implementations than SHA-2 or any
of the other finalists.
(NIST Selects Winner of Secure Hash Algorithm (SHA-3) Competition http://www.nist.gov/itl/csd/sha-100212.cfm)
One benefit that KECCAK offers as the SHA-3 winner is its difference
in design and implementation properties from that of SHA-2. It seems
very unlikely that a single new cryptanalytic attack or approach could
threaten both algorithms.
(SHA-3 Selection Announcement - http://csrc.nist.gov/groups/ST/hash/
sha-3/sha-3_selection_announcement.pdf) 408
Criptografie si Securitate
8/14
Keccak
I
Criptografie si Securitate
9/14
Keccak
I
Notatii:
I
I
I
I
r = bitrate
c = capacity
b = c + r = width
f = o permutare
Presupune 2 etape:
1. Absorbing phase: mesajul de intrare se sparge n blocuri de
lungime r care se XOR-eaza la prima parte a starii, alternand
cu aplicarea functiei f ;
2. Squeezing phase: partea superioara a starii este returnata la
iesire, alternand cu aplicarea functiei f ; numarul de iteratii
depinde de numarul de biti l necesari la iesire.
410
Criptografie si Securitate
10/14
Keccak
c 512
600 b 2400
r =bc
f = o functie non-liniara cu bune proprietati de difuzie;
SHA-3:
I
I
I
c = 512
b = 1600
r = b c = 1088
411
Criptografie si Securitate
11/14
Keccak
I
12/14
Keccak
413
Criptografie si Securitate
13/14
Important de retinut!
414
Criptografie si Securitate
14/14
riptografie si Securitate
- Prelegerea 15 HMAC
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
415
Cuprins
1. Revizuire - MAC
2. Hash MAC
416
Criptografie si Securitate
2/11
Revizuire: MAC-uri
I
Mac(k, m) : t = Fk (m);
Criptografie si Securitate
3/11
Revizuire: MAC-uri
I
418
Criptografie si Securitate
4/11
Revizuire: MAC-uri
419
Criptografie si Securitate
5/11
HMAC
I
420
Criptografie si Securitate
6/11
HMAC
I
Criptografie si Securitate
7/11
HMAC
I
Criptografie si Securitate
422
8/11
Notatii
423
Criptografie si Securitate
9/11
Securitate HMAC
I
Teorema
Daca G este PRG, h prezinta rezistenta la coliziuni si MAC-ul
h(k || m) contruit be baza ei este sigur (pentru mesaje de lungime
fixa), atunci HMAC este sigur (pentru mesaje de lungime
arbitrara) - nu poate fi falsificat printr-un atac cu mesaj ales.
424
Criptografie si Securitate
10/11
Important de retinut!
425
Criptografie si Securitate
11/11
riptografie si Securitate
- Prelegerea 15.1 Atacuri de timp pentru MAC-uri
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
426
Cuprins
1. Atacuri de timp
2. Solutii
427
Criptografie si Securitate
2/8
Atac de timp
I
Criptografie si Securitate
3/8
Atac de timp
I
Criptografie si Securitate
4/8
Atac de timp
Pasii atacului:
1. A trimite cerere catre server pentru m si un tag aleator
t = B1 B2 ...Bn (t este reprezentat pe octeti) si masoara
timpul pana server-ul raspunde;
2. A trimite cerere catre server pentru fiecare ti 0 = i B 02 ...B 0n
pentru i = 1, 2, 3... (B 02 , ..., B 0n sunt octeti arbitrari);
3. A se opreste cand timpul de verificare e putin mai mare decat
la pasul 1;
4. In acest caz, a gasit primul octet si continua atacul pentru
urmatorii octeti, pe rand, pana cand gaseste tag-ul valid.
430
Criptografie si Securitate
5/8
Solutii posibile
I
431
Criptografie si Securitate
6/8
Solutii posibile
432
Criptografie si Securitate
7/8
Important de retinut!
433
Criptografie si Securitate
8/8
riptografie si Securitate
- Prelegerea 16 Criptografia asimetrica
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
434
Cuprins
2. Criptografia asimetrica
435
Criptografie si Securitate
2/19
436
Criptografie si Securitate
3/19
437
Criptografie si Securitate
4/19
Criptografie si Securitate
5/19
Criptografie si Securitate
6/19
Criptografie si Securitate
7/19
Criptografie si Securitate
8/19
442
Criptografie si Securitate
9/19
Criptografia asimetrica
443
Criptografie si Securitate
10/19
Criptografia asimetrica
[http://cisac.stanford.
[http://www-ee.
edu/people/whitfield_
stanford.edu/~hellman/]
diffie/]
444
Criptografie si Securitate
11/19
445
Criptografie si Securitate
12/19
446
Criptografie si Securitate
13/19
447
Criptografie si Securitate
14/19
15/19
Terminologie
I
Criptografie si Securitate
16/19
Criptografia asimetric
a
pentru ca un utilizator sa
primeasca mesaje criptate
de la mai multi emitatori,
trebuie sa partajeze cu
fiecare cate o cheie
o pereche de chei
asimetrice permite oricui sa
transmita informatie
criptata catre entitatea
careia i corespunde
450
Criptografie si Securitate
17/19
Criptografia asimetrica
Avantaje
I
simplifica problema
distribuirii cheilor
Dezavantaje
I
necesita verificarea
autenticitatii cheii publice
(PKI rezolva aceasta
problema)
451
Criptografie si Securitate
18/19
Important de retinut!
452
Criptografie si Securitate
19/19
riptografie si Securitate
- Prelegerea 17 Prezumptii criptografice dificile
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
453
Cuprins
454
Criptografie si Securitate
2/29
Criptografie si Securitate
3/29
Criptografie si Securitate
4/29
Primalitate si factorizare
457
Criptografie si Securitate
5/29
Primalitate si factorizare
458
Criptografie si Securitate
6/29
459
Criptografie si Securitate
7/29
Teorema
Exista o constanta c asa ncat, pentru orice n > 1 numarul de
numere prime pe n biti este cel putin c 2n1 /n
I
Criptografie si Securitate
8/29
Testarea primalitatii
I
Criptografie si Securitate
9/29
Testarea primalitatii
Algorithm 1 Algoritmul Miller-Rabin
Input: N , t
Output: o decizie daca N este compus sau nu
1: if N este par sau N = N1 2 then
2:
return compus
3: end if
4: compute r 1
si u impar a.. N 1 = 2r u
5: for j = 1 to t do
6:
a {1, ..., N 1}
i
7:
if (gcd(a, N) 6= 1) or (au 6= 1 mod N and a2 u 6= 1 mod
N, pentru orice i {1, ..., r 1}) then
8:
return compus
9:
end if
10: end for
11: return prim
462
Criptografie si Securitate
10/29
Algoritmul Miller-Rabin
Teorema
Daca N este prim, atunci testul Miller-Rabin ntoarce mereu
prim. Daca N este compus, algoritmul ntoarce prim cu
probabilitate cel mult 2t (i.e. ntoarce rezultatul corect compus
cu probabilitate 1 2t )
463
Criptografie si Securitate
11/29
Algoritmul Miller-Rabin
464
Criptografie si Securitate
12/29
13/29
Algoritmi de factorizare
466
Criptografie si Securitate
14/29
Algoritmi de factorizare
I
rului
Metoda cea mai simpla este mpartirea num
ja
k N prin toate
numerele p impare din intervalul p = 3, ...,
N .
Criptografie si Securitate
15/29
Algoritmi de factorizare
I
Algoritmul sitei p
atratice - ruleaza n timp sub-exponential
n lungimea lui N.
Criptografie si Securitate
16/29
469
Criptografie si Securitate
17/29
18/29
Se poate
arata ca algoritmul optimizat ruleaza n timp
471
Criptografie si Securitate
19/29
Exemplu
I
Deci:
6202 = 172 23 mod N
Similar:
6212 = 24 17 29 mod N
6452 = 27 13 23 mod N
6552 = 23 13 27 29 mod N
Criptografie si Securitate
472
20/29
Exemplu
I
Obtinem:
6202 6212 6452 6552 = 214 132 174 232 292 mod N
[620 621 645 655 mod N]2 = [27 13 172 23 29 mod N]2 mod N
Criptografie si Securitate
21/29
RSA Challenge
I
Criptografie si Securitate
22/29
RSA Challenge
RSA-1024
13506641086599522334960321627880596993888147560566
70275244851438515265106048595338339402871505719094
41798207282164471551373680419703964191743046496589
27425623934102086438320211037295872576235850964311
05640735015081875106765946292055636855294752135008
52879416377328533906109750544334999811150056977236
890927563
[http://www.emc.com/emc-plus/rsa-labs/historical/
the-rsa-challenge-numbers.htm]
475
Criptografie si Securitate
23/29
RSA Challenge
I
RSA-2048
25195908475657893494027183240048398571429282126204
03202777713783604366202070759555626401852588078440
69182906412495150821892985591491761845028084891200
72844992687392807287776735971418347270261896375014
97182469116507761337985909570009733045974880842840
17974291006424586918171951187461215151726546322822
16869987549182422433637259085141865462043576798423
38718477444792073993423658482382428119816381501067
48104516603773060562016196762561338441436038339044
14952634432190114657544454178424020924616515723350
77870774981712577246796292638635637328991215483143
81678998850404453640235273819513786365643912120103
97122822120720357
[http://www.emc.com/emc-plus/rsa-labs/historical/
the-rsa-challenge-numbers.htm]
476
Criptografie si Securitate
24/29
Criptografie si Securitate
25/29
Definitie
Spunem ca problema logaritmului discret (DLP) este dificila daca
pentru orice algoritm PPT A exista o functie neglijabila negl asa
ncat
Pr [DLogA (n) = 1] negl(n)
478
Criptografie si Securitate
26/29
479
Criptografie si Securitate
27/29
Lucrul n Zp
I
Criptografie si Securitate
28/29
Important de retinut!
481
Criptografie si Securitate
29/29
riptografie si Securitate
- Prelegerea 18 Notiuni de securitate n criptografia asimetrica
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
482
Cuprins
1. Securitate perfecta
483
Criptografie si Securitate
2/26
Securitate perfecta
I
Definitie
O schema de criptare peste un spatiu al mesajelor M este perfect
sigura daca pentru orice probabilitate de distributie peste M,
pentru orice mesaj m M si orice text criptat c cu cheia publica
pk pentru care Pr [C = c] > 0, urmatoarea egalitate este
ndeplinita:
Pr [M = m|C = c] = Pr [M = m]
484
Criptografie si Securitate
3/26
Securitate perfecta
485
Criptografie si Securitate
4/26
Securitate semantica
486
Criptografie si Securitate
5/26
eav
Experimentul PubKA,
(n)
Criptografie si Securitate
11/26
Definitie
O schema de criptare = (Enc, Dec) este indistinctibila n
prezenta unui atacator pasiv daca pentru orice adversar A exista o
functie neglijabila negl asa ncat
eav (n) = 1]
Pr[PubKA,
1
2
+ negl(n).
488
Criptografie si Securitate
12/26
Criptografie si Securitate
13/26
Teorema
Nici o schema de criptare cu cheie publica determinista nu poate fi
semantic sigura pentru interceptarea simpla.
490
Criptografie si Securitate
14/26
491
Criptografie si Securitate
15/26
Criptare multipla
492
Criptografie si Securitate
16/26
mult
Experimentul PubKA,
(n)
Criptografie si Securitate
22/26
Definitie
O schema de criptare = (Enc, Dec) este indistinctibila n
prezenta unui adversar (este semantic sigura) daca pentru orice
adversar A exista o functie neglijabila negl asa ncat
mult (n) = 1]
Pr[PrivA,
1
2
+ negl(n).
Teorema
Daca o schema de criptare cu cheie publica este sigura la
interceptare simpla, atunci ea este sigura si la interceptare multipla.
494
Criptografie si Securitate
23/26
Criptografie si Securitate
24/26
Securitate CCA
I
Criptografie si Securitate
25/26
Important de retinut!
497
Criptografie si Securitate
26/26
riptografie si Securitate
- Prelegerea 18 Criptarea hibrida
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
498
Cuprins
1. Definitie
2. Securitate
499
Criptografie si Securitate
2/8
Criptarea hibrida
I
Criptografie si Securitate
3/8
Criptarea hibrida
I
501
Criptografie si Securitate
4/8
Criptare hibrida
I
Criptografie si Securitate
5/8
Criptare hibrida
503
Criptografie si Securitate
6/8
Securitate
Teorema
Daca este o schema de criptare cu cheie publica CPA-sigura iar
0 este o schema de criptare cu cheie secreta sigura semantic,
atunci constructia hibrida hyb este o schema de criptare cu cheie
publica CPA-sigura.
I
Criptografie si Securitate
7/8
Important de retinut!
505
Criptografie si Securitate
8/8
riptografie si Securitate
- Prelegerea 20 Permutari cu trapa secreta
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
506
Cuprins
1. Definitie
2. Problema rucsacului
507
Criptografie si Securitate
2/15
Criptografie si Securitate
3/15
509
Criptografie si Securitate
4/15
1
Notatii: F (pk, ) = Fpk (), F 1 (sk, ) = Fsk
().
Criptografie si Securitate
510
5/15
Problema rucsacului
I
Criptografie si Securitate
6/15
Problema rucsacului
I
Criptografie si Securitate
512
7/15
Problema rucsacului
I
Criptografie si Securitate
8/15
Problema rucsacului
I
Se obtine:
k = 58 < 87 87 nu apare n suma
k = 58 > 44 44 apare n suma si k = 58 44 = 14
k = 14 < 21 21 nu apare n suma
k = 14 > 11 11 apare n suma si k = 14 11 = 3
k = 3 < 5 5 nu apare n suma
k = 3 = 3 3 apare n suma si k = 3 3 = 0
Criptografie si Securitate
9/15
Problema rucsacului
515
Criptografie si Securitate
10/15
Problema rucsacului
I
Criptografie si Securitate
11/15
Criptografie si Securitate
12/15
Constructie
Fie (Gen, F , F 1 ) TDP cu F : X Y, (Enc, Dec) un sistem de
criptare simetric sigur cu autentificarea mesajelor definit peste
(X , Y) si H : X K o functie hash. Definim un sistem de criptare
asimetrica peste (K, X , Y) n felul urmator:
I
518
Criptografie si Securitate
13/15
Exemple
Merkle-Hellman
I
I
I
RSA
I
I
I
519
Criptografie si Securitate
14/15
Important de retinut!
520
Criptografie si Securitate
15/15
riptografie si Securitate
- Prelegerea 20.1 RSA
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
521
Cuprins
1. Scurt istoric
2. Problema RSA
3. Textbook RSA
522
Criptografie si Securitate
2/18
RSA
523
Criptografie si Securitate
3/18
RSA
The era of electronic mail may soon be upon us; we must ensure that
two important properties of the current paper mail system are preserved:
(a) messages are private, and (b) messages can be signed. We
demonstrate in this paper how to build these capabilities into an
electronic mail system.
At the heart of our proposal is a new encryption method. This method
provides an implementation of a public-key cryptosystem, an elegant
concept invented by Diffie and Hellman. Their article motivated our
research, since they presented the concept but not any practical
implementation of such a system...
(R.Rivest, A.Shamir, L.Adleman: A Method for Obtaining Digital Signatures
and Public-Key Cryptosystems - introduction)
524
Criptografie si Securitate
4/18
RSA
[http://people.csail.mit.edu/rivest/]
525
5/18
Problema RSA
I
Problema RSA
Fiind dat N, un ntreg e > 0 care satisface (e, (N)) = 1, si un
element y ZN , se cere sa se gaseasca x a.. x e = y mod N.
I
Criptografie si Securitate
6/18
Definitie
Spunem ca problema RSA este dificila cu privire la GenRSA daca
pentru orice algoritm PPT A exista o functie neglijabila negl asa
ncat
Pr [RSA invA,GenRSA(n) = 1] negl(n)
Criptografie si Securitate
527
7/18
GenRSA
I
Algorithm 3 GenRSA
Input: n
Output: N, e, d
si q
1: print N cu factorii p
2: (N) = (p 1)(q 1)
3: gase
ste e a.. gcd(e, (N)) = 1
4: calculeaz
a d := e 1 mod (N)
5: return N, e, d
528
Criptografie si Securitate
8/18
GenRSA
I
Criptografie si Securitate
9/18
GenRSA
Cheia public
a este: (N, e);
Cheia privat
a este (N, d);
530
Criptografie si Securitate
10/18
Implementarea RSA
531
Criptografie si Securitate
11/18
Implementarea RSA
Algorithm 4 Exponentiere rapida
Input: N, x, c
Output: x c mod N
Pn1 i
1: descompune c n binar: c =
i=0 ci 2
2: z 1
3: for i = n 1 to 0 do
4:
z z 2 mod N
5:
if ci = 1 then
6:
z z x mod N
7:
end if
8: end for
9: return z
532
Criptografie si Securitate
12/18
Securitate - Problema 1
Problema 1: Determinismul
533
Criptografie si Securitate
13/18
Securitate - Problema 2
Problema 2: Coeficient de criptare mic
I
mod N = me
mod N
534
Criptografie si Securitate
14/18
Securitate - Problema 3
Problema 3: Atac cu text criptat ales
I
Atunci:
c1 c2 mod N = m1e m2e mod N = (m1 m2 )e mod N
Criptografie si Securitate
15/18
Securitate - Problema 4
Problema 4: Utilizarea multipla a modulului
I
Criptografie si Securitate
16/18
Constructie
Fie (Enc, Dec) un sistem de criptare simetric sigur cu autentificarea
mesajelor definit peste ZN si H : ZN K o functie hash. Definim
un sistem de criptare asimetrica peste n felul urmator:
I
537
Criptografie si Securitate
17/18
Important de retinut!
538
Criptografie si Securitate
18/18
riptografie si Securitate
- Prelegerea 20.2 PKCS
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
539
Cuprins
1. Padded RSA
2. PKCS #1 v1.5
540
Criptografie si Securitate
2/13
Padded RSA
541
Criptografie si Securitate
3/13
Padded RSA
542
Criptografie si Securitate
4/13
Padded RSA
Pentru l(n) foarte mare, atunci este posibil un atac prin forta
bruta care verifica toate valorile posibile pentru r ;
Teorema
Daca problema RSA este dificila, atunci Padded RSA cu
l(n) = O(log n) este CPA-sigura.
543
Criptografie si Securitate
5/13
PKCS #1 v1.5
544
Criptografie si Securitate
6/13
PKCS #1 v1.5
mod N
545
Criptografie si Securitate
7/13
Criptografie si Securitate
546
8/13
OAEP
547
Criptografie si Securitate
9/13
OAEP
I
mod N)
548
Criptografie si Securitate
10/13
OAEP
I
549
Criptografie si Securitate
11/13
Notatii
G , H = functii hash
r R {0, 1}n
550
Criptografie si Securitate
12/13
Important de retinut!
551
Criptografie si Securitate
13/13
riptografie si Securitate
- Prelegerea 21 Despre problema logaritmului discret
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
552
Cuprins
553
Criptografie si Securitate
2/20
Reamintim PLD:
554
Criptografie si Securitate
3/20
555
Criptografie si Securitate
4/20
O( q (log q)c );
Criptografie si Securitate
5/20
557
Criptografie si Securitate
6/20
Criptografie si Securitate
7/20
sau
xi = ei,1 logg p1 ei,2 logg p2 ei,k logg pk mod p 1
559
Criptografie si Securitate
8/20
sau
560
9/20
561
Criptografie si Securitate
10/20
Exemplu
I
Prin urmare:
10 = log3 5 + log3 13 mod 100
12 = 4 log3 2 + log3 5 mod 100
14 = log3 13 mod 100
Criptografie si Securitate
562
11/20
563
Criptografie si Securitate
12/20
564
Criptografie si Securitate
13/20
565
Criptografie si Securitate
14/20
Criptografie si Securitate
15/20
Demonstratie
567
Criptografie si Securitate
16/20
Demonstratie
I
Criptografie si Securitate
17/20
Demonstratie
I
g x1 x 1 = hx 2 x2
I
Notam = x 02 x2 .
Criptografie si Securitate
18/20
Demonstratie
I
Deci
0
0
1
1
1
g (x1 x 1 ) = (hx 2 x2 ) mod q = h mod q = h
rezulta ca
logg h = [(x1 x 01 )1 mod q] = [(x1 x 01 )(x2 x 02 )1 mod q]
Criptografie si Securitate
19/20
Important de retinut!
571
Criptografie si Securitate
20/20
riptografie si Securitate
- Prelegerea 21.1 Schimbul de chei Diffie-Hellman
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
572
Cuprins
1. Definitie
3. Securitate
573
Criptografie si Securitate
2/16
574
Criptografie si Securitate
3/16
Schimb de chei
575
Criptografie si Securitate
4/16
Schimb de chei
I
Criptografie si Securitate
5/16
577
Criptografie si Securitate
6/16
Criptografie si Securitate
7/16
579
Criptografie si Securitate
8/16
Securitate
O conditie minimal
a pentru ca protocolul sa fie sigur este ca
DLP sa fie dificila n G;
580
Criptografie si Securitate
9/16
Criptografie si Securitate
10/16
Definitie
Spunem ca problema decizionala Diffie-Hellman (DDH) este dificila
(relativ la G), daca pentru orice algoritm PPT A exista o functie
neglijabila negl asa ncat:
|Pr [A(G, q, g , g x , g y , g z ) = 1] Pr [A(G, q, g , g x , g y , g xy ) = 1]| negl(n),
unde x, y , z R Zq
Criptografie si Securitate
582
11/16
Atacul Man-in-the-Middle
583
Criptografie si Securitate
12/16
Atacul Man-in-the-Middle
584
Criptografie si Securitate
13/16
Atacul Man-in-the-Middle
I
Criptografie si Securitate
585
14/16
Atacul Man-in-the-Middle
586
Criptografie si Securitate
15/16
Important de retinut!
587
Criptografie si Securitate
16/16
riptografie si Securitate
- Prelegerea 21.2 Sistemul de criptare ElGamal
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
588
Cuprins
1. Scurt istoric
3. Securitate
589
Criptografie si Securitate
2/19
590
Criptografie si Securitate
3/19
Observatie
Fie G un grup finit si m R G. Daca g R G, atunci g 0 = m g
ramane aleator n G:
Pr [m g = g 0 ] = 1/|G|
unde probabilitatea este data de alegerea aleatoare a lui g .
591
Criptografie si Securitate
4/19
Receptorul decripteaza:
m = g 0 g 1
Criptografie si Securitate
5/19
593
Criptografie si Securitate
6/19
Cheia public
a este: (G, q, g , h);
Cheia privat
a este (G, q, g , x);
7/19
Securitate - Problema 1
Problema 1: Determinismul
I
Criptografie si Securitate
8/19
Securitate - Problema 2
596
Criptografie si Securitate
9/19
Securitate - Problema 3
Problema 3: Proprietatea de homomorfism
I
Atunci:
c1 c2 = (c11 c21 , c12 c22 ) = (g y1 g y2 , m1 hy1 m2 hy2 )
Criptografie si Securitate
10/19
Securitate - Problema 4
Problema 4: Utilizarea multipla a parametrilor publici
I
Criptografie si Securitate
11/19
Securitate - teorema
Teorema
Daca problema decizionala Diffie-Hellman (DDH) este dificila n
grupul G, atunci schema de criptare ElGamal este CPA-sigura.
I
12/19
Demonstratie
Criptografie si Securitate
600
13/19
Demonstratie
I
este un element
A doua componenta a textului criptat din
uniform distribuit din G si independent de m;
1
2
Criptografie si Securitate
14/19
Demonstratie
I
Criptografie si Securitate
15/19
Demonstratie
I
Criptografie si Securitate
16/19
Demonstratie
eav
Pr [D(G, q, g , g x , g y , g z ) = 1] = Pr [PubKA,
(n) = 1] =
1
2
Criptografie si Securitate
17/19
Demonstratie
I
Adica (n)
Criptografie si Securitate
1
2
+ negl(n)
605
.
18/19
Important de retinut!
Proprietatea de homomorfism
606
Criptografie si Securitate
19/19
riptografie si Securitate
- Prelegerea 22 Criptografia bazata pe curbe eliptice
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
607
Cuprins
608
Criptografie si Securitate
2/16
Criptografie si Securitate
3/16
Curbe eliptice
Definitie
O curba eliptica peste Zp , p > 3 prim, este multimea perechilor
(x, y ) cu x, y Zp asa ncat
y 2 = x 3 + Ax + B mod p
mpreuna cu punctul la infinit O unde
A, B Zp sunt constante care respecta 4A3 + 27B 2 6= 0 mod p
I
610
Criptografie si Securitate
4/16
Curbe eliptice
O curba eliptica peste spatiul numerelor reale R
E (R) : y 2 = x 3 x + 1
611
Criptografie si Securitate
5/16
daca x1 = x2 si y2 = y1 , P + Q = O
612
Criptografie si Securitate
6/16
y2 y1
6 Q
x2 x1 mod p daca P =
m=
613
Criptografie si Securitate
7/16
614
Criptografie si Securitate
8/16
Criptografie si Securitate
9/16
Notatie: P
+ ... + P} = sP.
| + P {z
s ori
616
Criptografie si Securitate
10/16
ECDLP - Securitate
I
Criptografie si Securitate
11/16
ECDLP - Securitate
618
Criptografie si Securitate
12/16
Criptografie si Securitate
13/16
Criptografie si Securitate
14/16
Chei criptografia
simetrica
80
112
128
192
256
Chei RSA
Chei ECC
1024
2048
3072
7680
15360
160
224
256
384
521
621
Criptografie si Securitate
15/16
Important de retinut!
622
Criptografie si Securitate
16/16
riptografie si Securitate
- Prelegerea 22.1 Schimbul de chei Diffie-Hellman pe curbe eliptice
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
623
Cuprins
2. Securitate
624
Criptografie si Securitate
2/14
625
Criptografie si Securitate
3/14
626
Criptografie si Securitate
4/14
Criptografie si Securitate
5/14
628
Criptografie si Securitate
6/14
Securitate
O conditie minimal
a pentru ca protocolul sa fie sigur este ca
ECDLP sa fie dificila n G;
629
Criptografie si Securitate
7/14
Criptografie si Securitate
8/14
Definitie
Spunem ca problema decizionala Diffie-Hellman (ECDDH) este
dificila (relativ la curba eliptica E (Zq )), daca pentru orice algoritm
PPT A exista o functie neglijabila negl asa ncat:
|Pr [A(E (Zq ), P, xP, yP, zP) = 1] - Pr [A(E (Zq ), P, xP, yP, xyP) = 1]|
negl(n), unde x, y , z R Zq
631
Criptografie si Securitate
9/14
Atacul Man-in-the-Middle
632
Criptografie si Securitate
10/14
Atacul Man-in-the-Middle
633
Criptografie si Securitate
11/14
Atacul Man-in-the-Middle
I
Criptografie si Securitate
12/14
Atacul Man-in-the-Middle
635
Criptografie si Securitate
13/14
Important de retinut!
636
Criptografie si Securitate
14/14
riptografie si Securitate
- Prelegerea 22.2 Sistemul de criptare ElGamal pe curbe eliptice
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
637
Cuprins
2. Securitate
638
Criptografie si Securitate
2/6
639
Criptografie si Securitate
3/6
4/6
Securitate
641
Criptografie si Securitate
5/6
Important de retinut!
642
Criptografie si Securitate
6/6
riptografie si Securitate
- Prelegerea 23 Semnaturi digitale
Adela Georgescu, Ruxandra F. Olimid
Facultatea de Matematic
a si Informatic
a
Universitatea din Bucuresti
643
Cuprins
644
Criptografie si Securitate
2/15
Criptografie si Securitate
3/15
Criptografie si Securitate
4/15
...ceea ce nseamna ca semnaturile digitale sunt transferabile o terta parte poate verifica legitimitatea unei semnaturi si
poate face o copie pentru a convinge pe altcineva ca aceea
este o semnatura valida pentru m;
Criptografie si Securitate
5/15
Criptografie si Securitate
6/15
Certificate si PKI
649
Criptografie si Securitate
7/15
Certificate si PKI
I
Criptografie si Securitate
8/15
Certificate si PKI
651
Criptografie si Securitate
9/15
652
Criptografie si Securitate
10/15
Criptografie si Securitate
11/15
Criptografie si Securitate
12/15
Criptografie si Securitate
13/15
Invalidarea certificatelor
I
Criptografie si Securitate
14/15
Important de retinut!
Semnaturi electronice
Certificate digitale
657
Criptografie si Securitate
15/15