Luentomateriaali

TLTP-3120
Tietoturva-algoritmit
3 op
Luennot Pekka Loula
Harjoitukset M. Monnonen ja H. Brandt
2010-2011 v.0.95
1

Kurssin suoritus
Vaatimukset
1) Harjoitustehtävät:
- RC4-salausalgoritmien toiminta
- PGP/VPN-, SSH-tunnelointityöt
- TrueCrypt-ohjelmiston käyttö tiedostojen, hakemistojen salauksessa
- Omatoiminen, vapaasti valittava tehtävä, joka esitetään
tunneilla esim.
a) teoreettinen esittely algoritmista ja sen toiminnasta,
b) algoritmin toteutukseen liittyvä ohjelmistokirjasto ja sen käyttö,
c) matlab-demonstraatio
Omatoiminen tehtävä tehdään 1-2-henkilön ryhmissä. Tehtävästä
palautetaan esitelmän yhteydessä kirjallinen dokumentti
luennoitsijalle
1) Tentti. Arvosanan korotus parhaille ryhmille (max 25% osallistujista)
2010-2011 v.0.95
2

Kurssikirjallisuus
Luentokalvot:
Kirjallisuus:
Wade Trappe, Lawrence Washington. Introduction to Cryptography
with Coding Theory, 2nd edition, Pearson, 2006
esim. Matlab-esimerkit http://www- users.math.umd.edu/~lcw/book.html
William Stallings: Network Security essentials; applications and
standards. Third edition, Prentice Hall, 2007
sekä tukimateriaalina
Charles P. Pfleeger, Shari L. Pfleeger: Security in Computing. Third
edition, Prentice Hall, 2003
2010-2011 v.0.95
3

Kurssin sisältö
TT-algoritmit
Ceasar, Playfair,
Hill, Vernam,
Enigma
Historialliset
menetelmät
Digitaalinen
allekirjoitus
Asymmetrinen
salaus
Symmetrinen
salaus
Avainten vaihto
Sanomien
autentikaatio
DH,
ISAKMP
X.509
Feistelsalausrakenne
SHA1
DSS, RSA
RSA
DES, AES
PGP
2010-2011 v.0.95
4

1 Johdanto
2010-2011 v.0.95
5

Tietoturvapalvelut
@ Luottamuksellisuus
(confidentiality)
@ Tunnistaminen*
(authentication)
@ Kiistämättömyys
(nonrepudiation)
@ Käytettävyys*
(availability)
@ Pääsyn valvonta*
(access control)
@ Eheys
(integrity)
2010-2011 v.0.95
6

Cryptografia:
Encryption (algorithm):
Decryption:
Cryptanalysis
Kryptografia
Kryptografia, salakirjoitustiede
Salakirjoitus, kryptaus, salaus
Salakirjoituksen purku eli tulkita
Salakirjoituksen murtaminen
Kaikki salausalgoritmit perustuvat kahteen periaatteeseen:
1) Korvaukseen, jossa jokainen alkuperäisen viestin, selväkielinen
sanoma/perustekstin (Plaintext) elementti (bitti, kirjain, ryhmä bittejä tai
kirjaimia ) kuvataan muiksi elementeiksi
2) Uudelleen sijoitteluun, jossa perustekstin elementit järjestellään
uudelleen.
Salausalgoritmi tuottaa salatun viestin/salakirjoituksen
(Ciphertex)
Salaus ei ole sama kuin tiedon kätkeminen, jossa perusteksti kätketään
salaamatta esim. toisen viestin sisään esim. näkymättömät musteet,
kirjaimien merkitseminen, vähiten merkitsevän bitin käyttö,
2010-2011 v.0.95
mikroskooppisen pieni teksti.
7

Kryptografia
Salakirjoitusavain (encryption key), parametri, joka määrää miten
salaus suoritetaan
Algoritmin tulee siten olla niin vahva, että sanoman salaisuus toteutuu
pelkästään avaimen salassapidon avulla
Salakirjoituksen tulkinta-avain (decryption key) määrää miten purku
tapahtuu
Tyypillisesti vihollinen tuntee kryptografisen järjestelmän algoritmin,
mutta sen tiedossa ei ole käytettyä salaista avainta
Kryptografian käytöllä saavutettu tietoturva voidaan murtaa -
salaisten avainten varastamisella
- algoritmin murtamisella tai
- löytämällä algoritmista virhe
2010-2011 v.0.95
8

Kryptografia
Hyökkääjien yleisiä lähestymistapoja:
1.Salakirjoitetun viestin murtaminen voimalla (Brute-force-attack):
Hyökkääjä käy läpi kaikki mahdolliset avaimet kokeilemalla niitä
2. Tunnetun selkokielisen tekstin hyödyntämiseen:
Hyökkääjä pyrkii käyttämään arvaamiaan selkokielisiä viestin osia ja
niiden salakirjoitettuja vastineita avaimen pysyessä samana. Hän voi esim.
tietää että salakirjoitettu viesti alkaa aina jollakin tunnetulla tavalla: Dear
Pekka, %!PS-Adobe-3.0,

Kryptografia
Cryptanalysis –hyökkääjien yleisiä lähestymistapoja:
3. Valitun selkokielisen salauksen kokeileminen:
Hyökkääjä kokeilee selkokielisiä viestejä ja niiden vastineita.
Hyökkääjä pääsee käsiksi salauslaitteeseen/-algoritmiin muttei saa
tietoonsa salausavainta. Tavoitteena on pienentää mahdollisten avaimien
määrää
4. Valitun salatun viestin purkamisen kokeileminen:
Esim. Lentokone lähettää satunnaisviestin havaitsemilleen
tuntemattomille lentokoneille. Jos kone vastaa asianmukaisesti salatulla
viestillä, jonka se laskee satunnaisviestistä salaisella avaimellaan, niin se on
oma lentokone, muuten se on vihollinen
Vihollinen voi kerätä suuren määrän vastauksia lähettämällä
satunnaisviestejä vastapuolen lentokoneille ja arvioimalla saatujen
vastausten perusteella mikä on mahdollinen avain
2010-2011 v.0.95
10

Kryptografia
Salaus voi olla symmetristä (symmetric), jolloin salaus ja purku
tapahtuvat samalla algoritmilla ja samalla avaimella (Secret key)
… TAI salaus voi olla asymmetristä (asymmetric), jolloin
käytetään yleisesti tunnettua avainta (public key) ja salaista
avainta (private key).
Istuntoavain (session key) on voimassa vain yhden istunnon ajan.
Isäntäavaimella (master key) on pitkäkestoinen avain, jonka avulla
luodaan istuntoavaimia.
Allekirjoitusavaimen (digital signature key) avulla käyttäjä voi
lisätä tekstiin oman koodin eli tiivisteen. Tiiviste takaa samalla
tiedon eheyden.
2010-2011 v.0.95
11

Kryptografia
Vaatimukset salausalgoritmilta:
• Salakirjoituksen purkukustannus ylittää kryptatun informaation
arvon
• Se aika, joka salauksen purkamiseen menee ylittää sen ajan,
jonka kuluessa salattu informaatio oli hyödyllinen
Salausalgoritmin sanotaan olevan laskennallisesti turvallinen jos edellä
mainitut kaksi kriteeriä täyttyvät. Hankaluus on siinä, että on erittäin
vaikea määritellä miten paljon työtä vaaditaan onnistuneeseen
koodinpurkuun
One-time-pad -menetelmää lukuun ottamatta ei tunneta mitään
ehdottomasti luotettavaa salausmenetelmää. One-time-padmenetelmässä
avain on vähintään yhtä pitkä kuin salattava teksti sekä
avain vaihdetaan erikseen jokaisen salauksen yhteydessä
2010-2011 v.0.95
12

Kryptografia
Hajauttaminen (Diffusion). Jokainen selväkielisen tekstin
bitti/merkki tulisi vaikuttaa mahdollisimman moneen salattavan
tekstin bittiin/merkkiin (ja visa-versa). Tällöin hyökkääjä ei voi
hyödyntää tilastollisia hyökkäystapoja
Epäjärjestys (Confusion). Jokainen salakirjoitetun viestin
bitti/merkki pitää olla riippuvainen selväkielisestä tekstistä sekä
avaimesta mahdollisimman mutkikkaasti. Salakirjoituksessa käytetty
avain ei saa myöskään olla yksinkertaisella menetelmällä
johdettavissa selväkielisestä tekstistä.
Algoritmit voidaan toteuttaa ns. Feistel – rakenteen mukaisesti,
jolloin salaukseen ja salauksen purkuun voidaan käyttää samaa
rakennetta
2010-2011 v.0.95
13

Kryptografia
Salaus voi tapahtua joko
1) Blokkilähtöisesti (Lohkokryptaus) Blokki lähdetekstiä tuottaa
blokin salakirjoitusta.
Edut:
Diffusion high. Ei ole riippuvainen syötevirran symboleista
Haitat:
Hidas. Salaus tapahtuu vasta kun on saatu koko blokki syötedataa.
Mahdollinen virhe salauksessa tai syöte-input:ssa tuhoaa koko
blokillisen dataa
2) Jatkuvana prosessina (Vuokryptaus) Syöte-elementtejä
prosessoidaan jatkuvasti, tuottaen tuloselementtejä
jatkuvasti.
Edut:
Nopeus. Ei niin herkkä virheelliselle datalle kuin blokkimenetelmä.
Haitat:
Diffusion low. Tulos on suoraan riippuvainen syöteinput:n
2010-2011 v.0.95
symbolista
14

2 Historialliset salakirjoitusmenetelmät
2010-2011 v.0.95
15

Klassisia salaustekniikoita
Salausta on käytetty aina
Korvaustekniikat
mm. spartalaisten käyttämä Scytalea käytettiin sotapäälliköiden väliseen
kommunikointiin
Siinä käytettiin kahta samankokoista esim. puusylinteriä, joista toinen oli
viestin lähettäjällä ja toinen vastaanottajalla. Viesti kirjoitettiin
nahkasuikaleelle, joka kiedottiin sylinterin ympärille
en.wikipedia.org
2010-2011 v.0.95
16

Klassisia salaustekniikoita
Korvaustekniikat
Caesarin salakirjoituksessa
kirjainmerkki korvattiin kirjaimella joka oli aakkosissa kolme
merkkiä myöhemmin kuin vastaava perustekstin merkki.
…a->d, b->e, …, x->a,y->b,z->c
perusteksti : MEET ME AFTER THE TOGA PARTY
salakirjoitus: PHHW PH DIWHU WKH WRJD SDUWB
C=E(p) = (p+k)mod(26), missä p on perustekstin kirjain, k on
siirros (caesar:lla k=3).
Salauksen purku on kohtalaisen helppoa. Testattavia avaimia on vain 25 kpl.
2010-2011 v.0.95
17

Klassisia salaustekniikoita
Moniaakkosellinen salaus
Mitä jos Caesar-menetelmä kehitettäisiin niin, että mikä tahansa
permutaatio 26 kirjaimesta olisi mahdollinen, silloin esim. 9-merkin
pituisella avaimella testattavia kombinaatiovaihtoehtoja on
3 814 697 265 625 kpl
Esim. Vigenere-salauksessa (1600-luvulta) siirroksen suuruus määritellään
avaimella (a=0, b=1, c=2, d=3, e=4, jne)
perusteksti
w e a r e d i s c o v e r e d
Avain:
d e c e p t i v e d e c e p t
salakirjoitus
z i c v t w q n g r z g v t w
2010-2011 v.0.95
18

Klassisia salaustekniikoita
Moniaakkosellinen salaus ei kuitenkaan ratkaise ongelmaa sillä
perustekstin luonne tiedetään. Moniaakkosellinen salaus voidaan
ratkaista tutkimalla salatun tekstin tilastollisia ominaisuuksia
2010-2011 v.0.95
19

Klassisia salaustekniikoita
Vigenere-menetelmän murtaminen:
1. Avaimen pituuden määritys
Lasketaan salakirjoitetun testin ja yhdellä/kahdella/jne siirretyn
salakirjoitetun tekstin samojen kirjainten lukumäärä. Avaimen pituus on
luultavammin se siirros, joka tuottaa suurimman arvon
2. Avaimen selvittäminen
Hyödynnetään englanninkielen kirjainten esiintymistodennäköisyyttä
A j =[.0725, .0125, .035, …, .025] sekä salatun tekstin kirjainten
esiintymistiheyttä W= [ %-osuus(A) ,…, %-osuus (Z)] avainpituudella
jaotellussa tekstijonossa Kirjain{n, n+avainpituus, n+2*avainpituus, …}.
Avain K n n={1,.., avainpituus} saadaan laskemalla Aj:n ja W:n pistetulo j:n
arvoilla 0:sta 25:teen. Avain on se j:n arvo (a=0, b=1, jne) joka tuottaa
suurimman arvon.
Menetelmää toistetaan seuraavalle avainkirjaimelle
2010-2011 v.0.95
20

Klassisia salaustekniikoita
Playfair by Sir Charles Wheatstone v.1854 (Engl. 1 maailmansota):
2-kirjaimen salaus (avainsanalle MONARCHY)
M O N A R
C H Y B D
E F G I / J K
L P Q S T
U V W X Z
SÄÄNNÖT: rivisiirto: → esim ar-> rm
sarakesiirto: ↓ esim lu->um
kulmapisteet: esim hs->bp
esim. BALLOON jaksotetaan seuraavasti: BA , LX, LO, ON
-> IB SU PM NA
2010-2011 v.0.95
21

Klassisia salaustekniikoita
Playfairin murtaminen:
Jos tunnetaan pätkä perustekstiä, niin murtaminen helppoa
Jos avainsana on liian lyhyt niin on helppo arvata avainmatriisin
viimeiset kirjaimet. Varsinkin kun v-, w-, x- ja z–kirjainten
esiintymistodennäköisyys on englanninkielessä suhteellisen pieni
Playfair-salaus perustuu kahden kirjaimen blokkisalaukseen.
Englanninkielessä yleisesti esiintyviä kahden kirjaimen
kirjainkombinaatiota ovat esim th, he, an, in, er ja es.
Er:n lisäksi re on varsin yleinen joten mahdollinen 1. kokeiltava
kulmapistekirjainkombinaatio voisi olla juuri er/re
2010-2011 v.0.95
22

Klassisia salaustekniikoita
Hill (v.1929): Kolme lineaarista yhtälöä
C 1 = (k 11 p 1 + k 12 p 2 + k 13 p 3 ) mod 26
C 2 = (k 21 p 1 + k 22 p 2 + k 23 p 3 ) mod 26
C 3 = (k 31 p 1 + k 32 p 2 + k 33 p 3 ) mod 26, missä
p on perustekstin kirjain (a=0, b=1, jne) ja k on avainmatriisin arvo
Esim. "pay" (p 1 =15,p 2 =0,p 3 = 24) ja K = 17 17 5
21 18 21
2 2 19
17x15+17x0+5x24=375 -> C 1 = 375 mod 26= 11 (L)
C 2 =819 mod 26 =13 (N), C 3 =486 mod26 = 18 (S)
Vastaus on siis LNS
Dekryptaus tapahtuu hyödyntäen avainmatriisin (K) käänteismatriisia (K -1 ).
2010-2011 v.0.95
23

Klassisia salaustekniikoita
Weisnerin ja Hillin "Message Protector" patentti, US patent 1,845,947 v.1932
2010-2011 v.0.95
24

Klassisia salaustekniikoita
Hillin menetelmän murtaminen on helppoa esim. jos tunnetaan
selkokielinen teksti ja sitä vastaava salattu teksti sekä lineaaristen
yhtälöiden määrä esim 2 kpl
howareyoutoday
7 14 22 0 17 4 24 14 20 19 14 3 0 24
ZWSENIUSPLJVEU
25 22 18 4 13 8 20 18 15 11 9 21 4 20
AM=B
M=A -1 B
7 14 a b 25 22
20 19 c d 15 11
5 10 25 22 15 12
18 21 15 11 11 3
(mod 26),josta ratkaisemalla
(mod 26)
Jos ei tunneta selkokielistä tekstiä, niin hyökkääjä voi kokeilla erilaisia
kombinaatioita kunnes löytää oikean. Tilastolliset menetelmät eivät toimi Hillin
menetelmän kanssa
2010-2011 v.0.95
25

Klassisia salaustekniikoita
Vernamin (v. 1918) menetelmä.
C i
= p i
XOR k i,
missä
p i
= i:s bitti perustekstiä
k i
= i: s avainbitti
C i
=i:s salakirjoituksen bitti esim.
0 0 1 1
0 1 0 1
XOR----------
0 1 1 0
Koodin purku toiseen suuntaa sujuu myös tällä "XORauksella"
One time pad-menetelmä perustuu Vernamin-menetelmään
mutta käytettään satunnaista avainta, joka on koodin pituinen ja
jossa ei ole mitään toistoja
2010-2011 v.0.95
26

Klassisia salaustekniikoita
Enigma
Keksitty v. 1918
By Arthur Scherbius
Käyttö vv. 1939-1945
2010-2011 v.0.95
27

Klassisia salaustekniikoita
Enigma
Perusidea:
Kolme pyörivää
sylinteriä
2010-2011 v.0.95
28

Klassisia salaustekniikoita
Enigma
Käänteiskytkentäsylinteri ja pyörivät sylinterit
lamput
näppäimistö
Kytkentätaulu,
jonka avulla voidaan valita
10 merkkiparia, jotka kuvautuvat toisikseen.
Tavallisesti kytkettiin ristiin kuusi kirjainparia
2010-2011 v.0.95
29

Enigma
Enigman murtaminen:
Tiedettiin että
- kytkentätaulun asetuksia muutetaan päivittäin. Operaattoreille oli jaettu
koodikirja seuraavan kuukauden asetuksista
- useammasta sylinteristä (viidestä) valitaan kolme, jonka aloituskohtaa
muutetaan päivittäin (alustava sylintereiden asetus)
-salakirjoitettu kirjain ei koskaan sama kuin alkuperäinen koodattava kirjain
Havaittiin että saksalaiset lähettivät jokaisen viestin alussa kolmikirjaimisen
sekvenssin, joka määrää sylenterien aloituskohdat varsinaiselle viestille.
Asetusviesti toistettiin kahdesti (johtuen radiosignaalien häiriöistä) eli
merkit 1. ja 4., 2. ja 5 sekä 3. ja 6. olivat samat
Toiston avulla murtajat pystyivät hyödyntämään frekvenssianalyysiä saman
kirjaimen ’koodauspolkujen’ (x-> A ja x-> D sekä A -> D) analyysissä.
Saatujen vaihtoehtojen kokeiluun rakennettiin mm. oma elektroninen
purkulaite, nimeltään Bombe, joka pyrki tekemään selväkielisiä arvauksia
koodaukselle esim. säätiedotuksille (toistuivat aina samanlaisina)
2010-2011 v.0.95
30

3 Symmetrinen salakirjoitus
2010-2011 v.0.95
31

Symmetrinen salakirjoitus
Symmetrinen salakirjoitus = Perinteinen salakirjoitus
(tai yhden avaimen salakirjoitus) oli ainoa käytössä oleva
salakirjoituksen muoto ennen asymmetrisen järjestelmän
yleistymistä
Salausprosessi koostuu algoritmista ja salaisesta avaimesta
* Avain on perustekstistä riippumaton
* Salakirjoitus voidaan purkaa takaisin alkuperäiseksi
tekstiksi käyttäen samaa avainta, jolla teksti salattiinkin
2010-2011 v.0.95
32

Symmetrinen salaus
Tunnettuja symmetrisiä salausmenetelmiä ovat mm.:
• 3DES, Triple- Data Encryption Standard/algorithm
• IDEA , International Data Encryption Standard by Ascom,
(www.mediacrypt.com)
• Twofish, Blowfish, by Bruce Schneier
(www.schneier.com)
• RC2, RC4, RC5, RC6 by Ronald L. Rivest/RSA Security
(www.rsasecurity.com)
• CAST- 128, 256 by Carliesle Adams, Staffort Tavares/Entrust
(www.entrust.com)
• AES- 128, 192, 256 , NIST/Advanced Encryption Standard
(csrc.nist.gov)
2010-2011 v.0.95
33

Symmetrinen salaus
• Kun salausalgoritmin on riittävän vahva, niin salausta on
epäkäytännöllistä purkaa vain pelkän salakirjoituksen perusteella.
Symmetrinen (>= 128 bittiä) ja asymmetrinen (>= 1024 bittiä), tiiviste (>=160
bittiä)
•Salauksen turva riippuu avaimen salaisuudesta, ei algoritmin
salaisuudesta.
-> Ei tarvitse pitää salausalgoritmia salaisena, vaan ainoastaan
salausavain pitää olla kätketty.
-> Tämä piirre perinteisessä salauksessa tekee siitä
laajakäyttöisen.
-> Voidaan valmistaa ja on valmistettu halpoja mikropiirejä,
jotka tekevät salauksen
2010-2011 v.0.95
34

Symmetrinen salaus kaavoin
Perusteksti, X=[ X 1
,X 2
,....X M
] esim. aakkoset tai [0, 1]
Avain K = [ K 1
, K 2
, .... K J
]
Salakirjoitus Y=[ Y 1
,Y 2
,....Y N
]
Hyökkääjä
^
X, ^K
Salattava
viesti
X
Salausalgoritmi
Y
Salauksen
purku
X
salausavaimet
K
Suojattu kanava
2010-2011 v.0.95
35

Symmetrinen salaus kaavoin
Salaus on siten Y=E K
(X)
… eli Y muodostetaan käyttäen salausalgoritmia E ja salausavainta K
perustekstin X funktiona.
Salauksen purku tapahtuu purkualgoritmilla D seuraavasti X=D K
(Y).
Tyypillisesti avaimia käytetään salauksen purussa käänteisessä
järjestyksessä kuin salauksessa
Avain toimitetaan vastaanottajalle käyttäen turvallista kanavaa tai
luotettava kolmas taho toimittaa avaimen asianomaisille
Salakuuntelija, joka tuntee käytetyn algoritmin voi pyrkiä laatimaan
avainestimaatin K^ ja X^ perustekstiestimaatin
2010-2011 v.0.95
36

Symmetrinen salaus: purkuaika
Symmetrisen salauksen avaimien selvittäminen raa´alla voimalla
Avaimen Vaihtoehtoisten keskim.aika/ purku *
pituus
avaimien määrä
(bittiä)
32 4.3*10 9 35,8 minuuttia
56 7.2*10 16 1142 vuotta
128 3.4*10 38 5.4*10 24 vuotta
168 3.7*10 50 5.9*10 36 vuotta
*
CPU-suorituskyky = yksi avain / mikrosekunnissa
Vrt. 2*10 17 sekuntia aurinkokuntamme luonnista
2010-2011 v.0.95
37

Feistel-cipher
Lohkosalaus suunnitellaan yleensä Feistel-XOR-rakenteen mukaisesti.
Salaamaton teksti
Toistetaan
n-kierrosta
F K i
L i R i
XOR
Salattu teksti
L n
R n
R n
L n
2010-2011 v.0.95
38

Feistel-cipher
Salaus:
Esim. Salataan
yksinkertaisella
salausratkaisulla
teksti 1010 1100, kun
n=2,
F=OR,
K 1 =1010,
K 2 =0101
Selkokielinen
teksti
1
Salaus
1010 1100
OR
XOR
1100 0100
OR
1010 (K 1 )
0101 (K 2 )
2
XOR
0100 1001
Salattu teksti
1001 0100
2010-2011 v.0.95
39

Feistel-cipher
Salauksen purku:
Salauksen purku
1001 0100
Huom. rakenne on sama
muuten kuin avainten
käyttöjärjestys on
käänteinen
1
OR
XOR
0101 (K 2 )
0100 1100
OR
1010 (K 1 )
2
XOR
Selkokielinen
teksti
1100 1010
1010 1100
2010-2011 v.0.95
40

Data Encryption Standard (DES)
NIST (National Institute of Standards and Technology)
FIPS (Federal Information Processing Standard) nro 46 (v. 1977),
joka määrittelee 64 bitin lohkot ja 56 bitin avaimen
Perustuu symmetriseen lohkokoodaukseen
- Salaus ja purku voidaan tehdä samalla lohkolla
- Yhden piirin DES-ratkaisuja
Käytetään edelleen monessa järjestelmässä ns. perusmenetelmänä
2010-2011 v.0.95
41

DES avaimet
56-bitin avain
28-bittiä
28-bittiä
Uudelleenjärjestely 1
Kierroskohtaiset aliavaimet
Kierros 1
K 1
Uudelleenjärjestely 2
Siirto vasemmalle
Kierros 2
K 2
Uudelleenjärjestely 2
Siirto vasemmalle
Kierros 16
K 1
6
Uudelleenjärjestely 2
Siirto vasemmalle
Uudelleenjärjestely (permutaatio) tehdään taulukkojen avulla, jotka
määräävät bittien uudelleen sijoittelun.
• Käsitellään kahtena 28-bitin lohkona
• Muodostetaan 16 erillistä 48-bitin aliavainta ; K i :ta
Aliavaimet saadaan lohkoittain tapahtuva siirto vasemmalle (1-2 bitin) +
uudelleenjärjestely. Aliavainten muodostamisessa permutaatio on aina sama
jokaisella kierroksella.
2010-2011 v.0.95
42

Salattava teksti
64-bitin lohko
32-bittiä
32-bittiä
DES salaus
Alustava bittien
Uudelleenjärjestely
Kierros 1
Kierros 2
Kierroskohtaiset aliavaimet
K 1
K 2
Kierros 16
Vaihto
Käänteinen bittien
Uudelleenjärjestely
Salattu teksti
64-bitin lohko
K 1
6
Käänteinen uudelleenjärjestely palauttaa bitit
omille paikoilleen.
Data käsitellään kahtena 32-bitin lohkona
Vaiheet:
- uudelleenjärjestelty bittijono.
- 16 x uudelleenjärjestely+korvaus
- Vasemman ja oikean puolen (32-bitin) vaihto
- Käänteinen uudelleenjärjestely
2010-2011 v.0.95
43

DES-kierros
2010-2011 v.0.95
44

DES kierros
KIERROS
Lohko jaetaan kahdeksi 32-bitin lohkoksi, joista oikea lohko
siirtyy suoraan ennen käsittelyä seuraavan kierroksen
vasemmaksi lohkoksi.
Vasen lohko XOR:taan käsitellyn oikean lohkon kanssa
Oikean lohkon käsittelyvaiheet
- Bittien uudelleenjärjestely taulukon avulla -> laajennetaan
48 bittiin (monistetaan tietyt bitit)
-Suoritetaan bitti-XOR permutaation tulokselle ja aliavaimelle
-S-box-toiminto,
-S-box-toiminnon jälkeen tehdään vielä taulukkoperusteinen
permutaatio
2010-2011 v.0.95
45

DES:n S-lohkot
2010-2011 v.0.95
46

DES:n S-lohkot
S-box-toiminto jonka avulla 48-bitistä tulee 32-bittiä. S-
lohkoja on 8 kpl, joista jokainen hyväksyy 6-bittiä tuottaen
ulostuloon 4-bittiä.
Jokaisessa S-lohkossa (4x16 matriisi) on 4 riviä ja 16
saraketta. Matriisin alkiot ovat välillä 0-15 (vrt ulostulon 4-
bittiä). Alkio valitaan seuraavasti esim 011001; kaksi
ensimmäistä alkiota kertoo rivin 01 ja loput bitit määräävät
sarakkeen 1001, josta 4-bitin tulos luetaan
01
1001
DES:n epälineaarisuus saavutetaan S-box:in avulla.
2010-2011 v.0.95
47

DES esimerkki bitein: Avaimet
Teksti 8-bittiä:
10100 00010
10000 01100
Avain 10-bittiä:
Järjestely: P1

DES esimerkki bitein: Salaus
1111 0011
Teksti 8-bittiä:
Järjestely: P

DES:in murtaminen
Paul Kocher ja Cryptography research
rakensivat vuonna 1998 DES-algoritmin
murtamiseen suunnitellun ympäristön,
joka testasi 92 miljardia avainta /s.
Murtamiseen kuluu keskimäärin 4.5
päivää. 10 000$:n kilpailussa aikaa kului
56h.
Perustuu sieve-and-check-hakuun.
29 x 64 DES Cracker piiriä
Jokainen piiri sisälsi 24 hakuyksikköä, jotka itsenäisesti kävivät läpi avainavaruutta
verraten kahta eri salakirjoituslohkoa.
Jos molemmista salakirjoituslohkoista löytyi ymmärrettäviä ascii-merkkejä,
tai bittikuviota, niin ko. avain analysoitiin tarkemmin ohjaus-PC:n toimesta
http://www.cryptography.com/resources/whitepapers/DES.html
2010-2011 v.0.95
50

DES:in murtaminen
John Loughran, Tom Dowling. A Java implemented key collision attack on the data
encryption standard (DES) Proceedings of the 2nd international conference on
Principles and practice of programming in Java , Ireland, 2003,pp.155-157
1) Salatun tekstin alussa on jokin tunnettu sekvenssi esim. %!PS-Adobe-2.0.
2) Jos kohta 1 on tosi, niin avainjoukossa 2 28 löytyy avain, jolla salattu teksti
on suurella todennäköisyydellä sama kuin alkuperäinen salausavain ELI
vaihtoehtojenmäärä laskee 72,057,594,037,927,936 avainvaihtoehdosta
268,435,456 avainvaihtoehtoon.
Key collision attack by Biham, 2002
How to decrypt or even substitute DES-Encrypted messages in 2 28 steps. Information
Processing Letters Volume 84 , Issue 3 (November 2002) pp: 117 - 124
“We suggest key-collision attacks, which show that the theoretic strength
of a block cipher cannot exceed the square root of the size of the key
space. … Taking DES as our example, we show that one key of DES can be
recovered with complexity 2 28 , and one 168-bit key of (three-key) triple-
DES can be recovered with complexity 2 84 .”
2010-2011 v.0.95
51

Triple DES / 3DES
FIPS PUB 46-3
kolmella (tai kahdella K 3 =K 1 )avaimella
K 3
K 3
E= Enkoodaus/D=Dekoodaus
E/D/E - D/E/D-vuorottelu takaa yhteensopivuuden DES:in kanssa.
Käytetään edelleen monissa menetelmissä perusmenetelmänä lukuisissa
salausjärjestelmissä
2010-2011 v.0.95
52

3DES:in murtaminen
Merkle, Hellman. On the security of multiple encryption. Communications of the
ACM, 1981, Volume 24, Issue, Pages: 465
Merkle ja Hellman osoittivat että 2DES on altis meet-in-themiddle-attack-hyökkäykselle,
jossa hyödynnetään valittuja
selkokielisiä viestejä
Avaimen pituuden kasvattamiselle 56:sta bitistä 112-bittiin tai
168-bittiin ei paranneta algoritmin vahvuutta merkittävästi.
2DES:in vahvuus on vain 2 57 ja 3DES:in vahvuus on maksimissaan
2 112
2010-2011 v.0.95
53

Idea (International Data
Encryption Standard)
Alkuperäinen idea by X.Lai ja J.Massey
Ideassa on kahdeksan kierrosta.
Jokainen kierros käyttää kuutta 16-
bittistä aliavainta (Z), jotka valitaan
128-bittisestä avaimesta
Idea käsittelee dataa 64-bitin lohkoina,
joka jaetaan neljään 16-bittiseen
alilohkoon
Idealla on hyvät hajotus- ja
epäjärjestysominaisuudet
2010-2011 v.0.95
54

Idea
Kuvaus kierroksen operaatioista
1) bitti kerrallaan XOR
esim. X 00 01 10 11
Y 11 11 11 11
Tulos 11 10 01 00
2) summaus modulo 2 16
esim. X 00 01 10 11
Y 11 11 11 11
Tulos 11 00 01 10
3) kertolasku modulo (2 16 +1)
sekä on määritelty että arvo 0=2 16
esim. X 00 01 10 11
Y 11 11 11 11
Tulos 10 11 01 00
00=2 2 (eli 4)
12mod5, 3mod5 6mod5 9mod 5
2010-2011 v.0.95
55

Blowfish
- Datan käsittely 64-bittisissä lohkoissa, 16-kierrosta
Jokaisella kierroksella käsitellään koko dataa (ei vain puolta lohkoa).
- Helppo ja nopea toteuttaa. Toimii jopa 5K muistilla
- Salausaste riippuu avaimen bittimäärästä joka voidaan valita väliltä
32…448 bittiä
- S-lohkot riippuvat avaimista (päivittyvät)
- Sekä aliavaimet että S-lohkot saadaan itse algoritmia käyttämällä
- Blowfish:n on hyvä avalance–ominaisuus (pieni muutos selväkielisessä
tekstissä/avaimessa johtaa suureen muutokseen salatussa tekstissä)
- Ei sovellu sovelluksiin, jotka vaihtavat usein avaimia
2010-2011 v.0.95
56

RC5 (RFC 2040)
Määritellään kolmena muuttujana
• Sanan pituus bitteinä (16, 32, 64; käsittely:kaksi sanaa kerrallaan)
• Kierrosten lukumäärä (0…255)
• Avaimen pituus tavuina (0…255)
Käyttää prosessorien nopeita perusoperaatioita
Koodauksessa käytetään seuraavia operaatioita:
summa modulo 2 w
bitti kerrallaan XOR
rotaatio vasemmalle
Molempia lohkon puolia muunnellaan jokaisella kierroksella
Käytetään data-riippuvaisia rotaatioita. Tämä on RC5 algoritmin ainoa
epälineaarinen operaatio. mm. RSA Data security, Inc:n tuotteissa
RC6 on lohkosalausmenetelmä, jossa avaimenpituus voi olla 2040-bittiä
RC4 on jatkuvan bittivirran salaukseen suunniteltu nopea ja suosittu
(esim SSL, WLAN) salausmenetelmä. Tutustutaan labraharjoituksissa
2010-2011 v.0.95
57

Cast-128 (RFC 2144)
Avaimen pituus voi olla 40,48,56,.…,128 bittiä
Kierroksia on 16.
Jokaisella kierroksella käytetään yhtä 32-bittistä aliavainta ja
yhtä 5-bittistä aliavainta.
Algoritmi käyttää seuraavia operaatioita:
summa ja vähennys
bitti kerrallaan XOR
rotaatio vasemmalle
Kiinteät S-lohkot.Monimutkaisuus takaa hyvän salaustason.
CAST-128 algoritmin erikoispiirteenä on funktion F riippuvuus
kierroksesta.
2010-2011 v.0.95
58

AES
FIPS-197
1997 Julistettiin kansainvälinen kilpailu
1998 Valittiin 15 kandidaattia
1999 Jatkoon pääsi viisi parasta ehdokasta (Rijndael, RC6, Twofish,
Serpent, MARS)
Parhaaksi menetelmäksi valittiin
Rijndael by Vincent Rijmen and Joan Daemen.
Algoritmi nimettiin AES:ksi (Advanced Encryption Standard)
Nopea ja helposti implementoiva algoritmi, joka ei tarvitse paljon
muistia (James Nechvatal et al. Report on the Development of the
AES, NIST, October 2, 2000)
2001 U.S. government hyväksyi AES:n käytön
Avaimenpituus: Kierrosten lkm:
AES-128 10
AES-192 12
AES-256 14
2010-2011 v.0.95
59

AES
AES ei toteuta Feistel-rakennetta, vaan salauksen purku toteutetaan
käänteisratkaisulla
Hyödyntää äärellisen Galois’n kuntateorian (Galois Fields) erikoistapausta;
Binääristä Galois’n kuntaa (GF(2 8 )) esim. S-Box:ien arvojen määrittely
AES hyödyntää polynomien yhteen- ja kertolaskua
- Esim bittikuvio {01100011} voidaan esittää polynomina; x 6 + x 5 + x +1
- Perinteinen polynomien yhteenlasku
(x 6 + x 4 + x 2 + x +1) + (x 7 + x +1) = x 7 + x 6 + x 4 + x 2 + 2x +2
- AES:ssa polynomien yhteenlasku tapahtuu XOR-operaatiolla
(x 6 + x 4 + x 2 + x +1) + (x 7 + x +1) = x 7 + x 6 + x 4 + x 2
Sama yhteenlasku voidaan esittää myös binäärisenä, eli
{01010111} XOR {10000011} = {11010100}
2010-2011 v.0.95
60

AES
- Perinteinen polynomien kertolasku
(x 6 + x 4 + x 2 + x +1) (x 7 + x 5 +x+1) =
x 13 + 2x 11 + 2x 9 + x 8 + 3x 7 + 2x 6 + 2x 5 + x 4 + x 3 +2x 2 + 2x +1
- AES:ssa polynomien kertolasku tapahtuu XOR-operaatiolla
(x 6 + x 4 + x 2 + x +1) (x 7 + x 5 +x+1) =
x 13 + x 8 + x 7 + x 4 + x 3 +1
- AES:ssa kertolaskun skaalaus (8-bittiseksi) tapahtuu jakamalla tulos
jaottomalla polynomilla, eli modulo (x 8 + x 4 + x 3 + x +1), esim. perinteinen
jakolasku
*)
2010-2011 v.0.95
*) jaettava – (jakaja kertaa jaettavan ja jakajan
suurimpien exponentien erotus (x 13 -x 8 =x 5 ))
61

AES
Kun jakolasku tehdään XOR-operaationa, niin tulos on vastaavasti
x 7 + x 6 + x 3 +x 2 + x +1.
Lasku voidaan toteuttaa esim. yksinkertaisesti XOR-operaatioilla sekä
bittisiirroilla esim matlab-koodina (buchholz.hs-bremen.de/aes/AES.pdf)
x 13 +x 8 +x 7 +x 4 +x 3 +1 =
= x 8 +x 4 +x 3 +x+1
2010-2011 v.0.95
62

AES
AES-algoritmissa sarakkeiden sekoitus tapahtuu polynomin kertolaskulla.
Kertolaskussa suoritetaan käsiteltävän datan b(x) ja vakiopolynomin a(x) tulona
(tai salauksen dekoodauksessa käytetään a(x):n käänteisfunktiota a -1 (x)).
Tulos skaalataan jakamalla tulos polynomilla x 4 + 1
(a 3 x 3 + a 2 x 2 + a 1 x + a 0 ) (b 3 x 3 + b 2 x 2 + b 1 x + b 0 ) = d 3 x 3 + d 2 x 2 + d 1 x + d 0 ; jossa
a(x) = 3x 3 + x 2 + x + 2 (tai a -1 (x) = bx 3 + dx 2 + 9x + e) on vakio polynomi ja
b(x) on käsiteltävä data ( 4 kpl 8-asteen polynomia)
d(x) on skaalattu tulos
2010-2011 v.0.95
63

S-box ja sen käänteismatriisi
Esim.
{1,1} arvo 82 ja
{8,2} arvo 11
2010-2011 v.0.95
64

AES - SALAUS
8-bitin S 0,0 -lohkojen muodostaminen
sekä ”0-kierros”-avaimen käyttö
Kierrokset
10, 12 tai 14
S-Box-korvaus
S-lohkojen siirto
Polynominen kertolasku
Nb=4
Viimeisellä kierroksella ei toteuteta
Polynomista kertolaskua
Kierrosavaimet
2010-2011 v.0.95
Kierrosavaimet lisätään
yksinkertaisesti XOR -operaatiolla
65

AES – SALAUKSEN PURKU
8-bitin S 0,0 -lohkojen muodostaminen
sekä viimeisen kierrosavaimen käyttö
Kierrokset
10, 12 tai 14
S-lohkojen siirto
Polynominen kertolasku
Käänteinen S-Box-korvaus
Kierrosavaimet
Nb=4
Viimeisellä kierroksella ei toteuteta
Polynomista kertolaskua
2010-2011 v.0.95
66

AES
128-bittiä; 16 kpl 8-asteen polynomia, eli 8-bitin lohkoa
Korvaus (S-box)
Johdettu GF:n perusteella)
Lohkoittain tapahtuva
left circular shift-siirto
0, 1, 2,3 riviä vasemmalle
a 0 ,a 1 ,a 2 ,a 3
b
b
2
b
0
1
b
3
Polynominen kertolasku
d
0
d
1
d
2 d
3
2010-2011 v.0.95
Kierrosavaimet
(XOR-operaatio)
67

Kvanttisalaus
Kvanttimekaniikkaan perustuva salaus hyödyntää Heisenbergin
epätarkkuusperiaateelle, jonka mukaan kohdemittausta ei voi tehdä
ilman häiritsemättä kohdetta esim. jos mitataan hiukkasen paikkaa
ja liikemäärää, niin teoria määrittelee epätarkkuuden
x p h/(2x 2 ; missä
x on hiukkasen paikan epätarkkuus, p on hiukkasen
liikemäärän epätarkkuus (massan ja nopeuden tulo) ja h on Planckin
vakio (~6,6 x 10 -34 Js)
Eli epätarkkuusperiaate määrittelee fysikaaliset rajat, joilla
sähkömagnetismia voidaan hyödyntää.
Vastaava yhtälö on osoitettavissa hiukkasen energialle ja ajalle
2010-2011 v.0.95
68

Kvanttisalaus
Testiverkko:
Wienin yliopiston tutkijat osoittivat testiverkossa, että valokuidussa
kulkeva suojattu tieto häiriytyi, jos tietoa yritettiin salakuunnella.
Tällöin voidaan varmistaa, ettei ulkopuolinen kopioi itselleen esim.
salausavaimia (SECOQC-hanke: 41 organisaatiota/12 maasta,
http://www.secoqc.net/)
Testiverkko muodosti kuudesta solmusta ja sen pituus oli 85km
Varsinainen datan salaus toteutetaan perinteisillä salausmenetelmillä
2010-2011 v.0.95
69

Kvanttisalaus
BB84 (C. Bennettin ja G. Brassardin)
Menetelmässä yksittäisten fotonien polarisaatio
muutetaan vastaamaan nollia ja ykkösiä.
Koodaamisessa voidaan käyttää joko
vaaka-/pysty- tai ympyräpolarisaatiota
(oikealle tai vasemmalle).
1) Lähettäjä valikoi satunnaisesti käyttämänsä polarisaatiotavan, eli kannan (
+, x) jokaiselle lähetettävälle bitille erikseen
2) Vastaanottaja valikoi myös satunnaisesti kannan (50% tod.näk. valikoida
oikein)
3) Tämän jälkeen vastaanottaja kertoo lähettäjälle mitä kantoja hän käytti
(käyttäen perinteistä tietoliikenneyhteyttä) ja lähettäjä vahvistaa mitkä
olivat oikein. Avain muodostetaan niistä fotoniarvoista, joissa kanta oli
sama.
Jos hyökkääjä oli kuunnellut viestiä, niin lähetetty tila-arvo, eli kubitti, on
muuttunut ja vastaanottajalla on 50% tod.näk tulkita ko. kubitti väärin.
4) Vastaanottaja tarkistaa joidenkin satunnaisten kubittien arvon vielä
lähettäjältä, ettei kanavaa ole salakuunneltu
2010-2011 v.0.95
(http://physicsworld.com/cws/article/print/27161)
70

Kvanttisalaus
Muita algoritmeja
Ekert91, BBM92
Hyödyntää fotonipareja. Voidaan estää joitakin hyökkäystapoja mm photon
plitting-hyökkäys
SARG04
Voidaan toteuttaa hyödyntäen laser-pulsseja yksittäisten fotonien sijaan.
Yhden fotonin toteutus on sama kuin BB84
Linkkejä
Kvanttiuutiset: http://www.quantiki.org
Yritykset mm:
http:// www.idquantique.com
http://www.magiqtech.com
http://www.smartquantum.com
http://www.toshiba-europe.com/research/crl/qig/index.html
2010-2011 v.0.95
71

4 Julkisen avaimen eli
asymmetrinen salaus
Perustuu julkiseen ja salaiseen avaimeen
2010-2011 v.0.95
72

Salaus julkisella avaimella
KU a (Key pUblic), KR a (Key pRivate)
2010-2011 v.0.95
73

Autentikointi salaisella
avaimella
2010-2011 v.0.95
74

Julkisen avaimen sovellukset
- Salaus ja salauksen purku
Tunnetuin ja käytetyin menetelmä on R. Rivestin, A. Shamirin ja
L. Adlemanin kehittämä RSA-menetelmä (MIT, 1997).
- Digitaalinen allekirjoitus
Digital signature standard (DSS) ja RSA
- Avainten vaihto esim. kaksi osapuolta vaihtaa avaimia esim.
istuntoavaimia (tai muita salaisia avaimia). Avainten vaihtoon
tunnetuin menetelmä RSA:n lisäksi on Diffie-Hellman
2010-2011 v.0.95
75

Vaatimukset julkisen avaimen
salaukselle
1. Jokainen päätelaite voi generoida itse salaisen ja julkisen
avainparinsa
2. Avainpari pitää olla laskennallisesti helppo toteuttaa
3. Salaus ja salauksen purku pitää tapahtua helposti
C = E KUb
(M) ,missä M on perusteksti ja C on salakirjoitus
M = D KRb
(C ) = D KRb
[E KUb
(M)]
4. On laskennallisesti mahdotonta päätellä purkausavainta jos
tiedetään vain algoritmi ja salausavain
5. Julkiset avaimet voidaan levittää vapaasti (julkiset rekisterit)
2010-2011 v.0.95
76

RSA
RSA perustuu Eulerin teoreemaan (Fermaatin pienen lauseen yleistys)
-Hyödyntää eksponenttien käyttämistä
Salaus:
C = M e mod n
Salauksen purku: M = C d mod n = (M e ) d mod n , missä
M on selväkielinen sanoma binääriarvona
C on salattu sanoma
KU = {e,n} on julkinen avain
KR ={d,n} on salainen avain
Lauseke C = M e mod n helppo laskea kun on annettuna M,e ja n.
D:n määrittäminen (yhtälössä M = C d mod n), kun tiedetään C, M
ja n on hyvin hankalaa. Vaatii diskreetin logaritmin laskemista
Salaus tapahtuu lohkoittain. Lohkon koko on yleensä kahden potenssi,
2 k+1 bittiä. N valitaan väliltä 2 k

RSA
Avaimien muodostus:
1) Valitaan kaksi alkulukua p:ksi ja q:ksi.
2) Lasketaan n=pq
3) Lasketaan (n) = (p-1)(q-1)
4) Valitaan suhteellinen alkuluku e= suurin_yhteinen_tekijä
syt( (n),e)=1 ; 1

RSA
Esimerkki avaimien laskennasta ja käytöstä:
1) p=7 ja q=17
2) n=7*17=119
3) (n) =(7-1)(17-1)=96
4) SYT(96,e)=1 -> e = {5, 7, 11, 13, 17, 19, … }; Valitaan e=5
5) (5d-1) mod 96= 0 -> d={77, 173,…}; d=77
KU= {e,n} = {5,119} ja KR= ={d,n}={77,119}
Selväkielinen sanoma 19
M e mod n
19 5 mod 119 = 2476009 mod 119
= 66
Salattu
teksti
66
C d mod n
66 77 mod 119 =
1,2731601500271272502499682382745 140 mod
119 = 19
2010-2011 v.0.95
Selväkielinen sanoma 19
79

RSA
Pohdintaa:
Jos lukualue suuri niin on löydettävissä suuri määrä alkulukuja esim.
lukualue on 100 merkkiä, niin on löydettävissä 3.9x10 97 alkulukua
Alkuluvut
Suurin tunnettu alkuluku on 2 25 964 951 –1 (18.2.2005)
Ko. luku on Mersennan alkuluku eli muotoa 2 n -1
Alkulukujen löytämiseksi on algoritmeja esim.
a) Laske tutkittavasta luvusta neliöjuuri esim. √131=11.44
b) Hae neliöjuurta pienemmät alkuluvut esim. 2,3,5,7,11
c) Tutki onko luku jaettavissa ko. alkuluvuilla esim. ei ole -> 131 on
alkuluku
2010-2011 v.0.95
80

Pohdintaa:
RSA
On olemassa keinoja modulolaskennan jakojäännösten tehokkaaseen
laskentaan suurilla eksponenttiarvoilla
Esim. Määritä 2 1234 (mod 789) jakojäännös Voidaan laskea jakojäännökset:
2 4 (mod 789) = 16
2 8 (mod 789) = 256
2 16 (mod 789) = 49
2 32 (mod 789) = 34
2 64 (mod 789) = 367
2 128 (mod 789) = 559
2 256 (mod 789) = 37
2 512 (mod 789) = 580
2 1024 (mod 789) = 286
Jakojäännös voidaan laskea osatermiensä (1234=1024+128+64+16+2)
jakojäännöksien tulojen avulla eli, 2 1234 (mod 789) voidaan laskea
286x559x356x49x4 (mod 789) = 481
2010-2011 v.0.95
81

Pohdintaa:
RSA
Syt voidaan ratkaista ns. Euklideen algoritmilla :
Jaetaan joka askeleella jäljellä oleva luku jakojäännöksellä. Kun lopputulos on
0, niin jakojäännös on syt
esim. luvut 300 ja 18; 300= 16x18+12
class SytCalc {
18=1x12+6
12=2x6+0 -> syt =6
static long syt(long number1, long number2) {
}
long r = number1 % number2;
if (r==0) return number2;
else return syt(number2,r);
C-kielessä %-operaatio
on jakojäännös
Laajennetun Euklideen algoritmin avulla voidaan ratkaista d
yhtälöstä (ed) mod (n) = 1
2010-2011 v.0.95
82

RSA:n murtaminen
Oikein toteutettuna RSA on murtovarma, mutta RSA-algoritmin
toteutuksessa on huomioitava mm.
• Ettei pidä käyttää salauksessa liian pientä eksponenttiarvoa. Yhtälö n=pq on
purettavissa jos e=3, tai jos hyökkääjä tuntee m/4 bittiä p:stä
(ensimmäiset tai viimeiset bitit), M on n:n bittien lukumäärä
• Jos hyökkääjä tuntee d:stä vähintään m/4 bittiä, niin d voidaan ratkaista
ajassa joka lineaarisesti verrannollinen e:n arvoon elog 2 e
• Jos salattava sanoma on lyhyt (RSA pitää toteuttaa ns. plaintextaware
encryption –metodilla, joka satunnaistaa lohkon bittien arvot
• Hyökkääjä voi tarkkailla RSA-algoritmin salaukseen kuluttumaa aikaa, jonka
perusteella hän voi määritellä salauksen purussa käytetyn d:n arvon
2010-2011 v.0.95
83

Elliptic-curve cryptography (ECC)
IEEE P1363 ja FIPS 186-2/3
• Kehitetty 1980-luvulla Millerin, Koblitzin ja Lenstran toimesta
• Luottamuksellisuudeltaan RSA:han verrattavissa oleva menetelmä
vähäisemmällä bitti-määrällä: 4096-bittiä supistuu 313-bittiin
• Perustuu elliptisiin käyriin:
y 2 = x 3 + ax 2 + bx +c ; missä a, b ja c ovat vakioita
• ECC:ssä hyödynnetään yhtälöä:
y 2 x 3 + ax +b (mod p) ; missä p on alkuluku
Ratkaistaan Pk=Q; missä P ja Q ovat pisteitä
elliptisellä käyrällä ja k on pistepeilausten lukumäärä,
joka tarvitaan ennen kuin päästään P-pisteestä
pisteeseen Q R-R-pistepeilausmenetelmän avulla.
Q= julkinen avain, P on peruspiste ja
k on salainen avain
2010-2011 v.0.95
http://www.certicom.com/index.php/10-introduction
84

Digitaalinen allekirjoitus: RSA
Digitaalinen allekirjoitus toteutetaan hyödyntämällä julkisen
avaimen menetelmää. Jos lähettäjä on salannut viestin omalla
salaisella avaimella, niin vastaanottaja tietää ettei kukaan muu
ole kirjoittanut viestiä.
Allekirjoitus julkisen avaimen menetelmällä:
2010-2011 v.0.95
85

Digitaalinen allekirjoitus: RSA
Ongelma: Julkisen avaimen menetelmä on hidas
Ratkaisu: Allekirjoitetaan vain viestistä laskettu tiiviste
Autentikaatio ja allekirjoitus
2010-2011 v.0.95
86

Digitaalinen allekirjoitus: RSA
Ongelma: Viestin luottamuksellisuus
Ratkaisu: Salataan viesti symmetrisellä salauksella
Luottamuksellisuus, autentikaatio ja allekirjoitus
2010-2011 v.0.95
87

5 Sanomien autentikaatio
Perustuu tiivistearvon laskemiseen ja
lisäämiseen sanomaan
2010-2011 v.0.95
88

Sanomien autentikaatio
Vaatimukset:
1) Viesti on peräisin väitetystä lähteestä / lähettäjältä
2) Viestin sisältö ei ole muuttunut
3) Viestiä ei ole viivästetty tai nauhoitettu
Menetelmä:
Kullekin sanomalle lasketaan tiiviste (Message
Authentication Code (MAC)), joka lisätään alkuperäisen
sanoman perään.
Tarjoaa suojan aktiivisia hyökkäyksiä vastaan
Voidaan toteuttaa ilman salausta tai salauksen yhteydessä
2010-2011 v.0.95
89

Sanomien autentikaatio
Sanoma
Sanoma+MAC
Siirto
MAC
algoritmi
K
MAC
MAC
MAC
VERTAA
MAC
algoritmi
K
2010-2011 v.0.95
90

Sanomien autentikaatio
2010-2011 v.0.95
91

Sanomien autentikaatio
Koska salaus-algoritmien käyttö on hidasta, niin sanomien
autentikaatioratkaisut ilman salausta ovat kiinnostavia
Yhteinen salainen arvo
2010-2011 v.0.95
92

Sanomien autenkaatio
Tiivisteen, MAC:in, laskemiseen käytetään ns. Hash-funktiota
Hash-funktiolta H(x) vaaditut ominaisuudet:
- H(x) voidaan laskea kaiken pituisille datalohkoille
- H(x) tuottaa vakiopituisen tiivisteen
- H(x) on helppo laskea
- H(x):ää ei voi ratkaista tuloskoodin perusteella
- X:ää on mahdoton ratkaista tunnetun sanoman y
ja sen H-funktion H(y) avulla, kun H(y)=H(x)
- On mahdoton löytää paria x, y ettei x=y, jos H(x)=H(y)
2010-2011 v.0.95
93

Sanomien autenkaatio
Tiivisteen, MAC:in, laskemiseen käytetään ns. Hash-funktiota
Hash-funktiolta H(x) vaaditut ominaisuudet:
- H(x) voidaan laskea kaiken pituisille datalohkoille
- H(x) tuottaa vakiopituisen tiivisteen
- H(x) on helppo laskea
- H(x):ää ei voi ratkaista tuloskoodin perusteella
- X:ää on mahdoton ratkaista tunnetun sanoman y
ja sen H-funktion H(y) avulla, kun H(y)=H(x)
- On mahdoton löytää paria x, y ettei x=y, jos H(x)=H(y)
2010-2011 v.0.95
94

Yksinkertainen Hash-funktio
2010-2011 v.0.95
95

Secure Hash Algorithm (SHA-1)
FIPS pub 180-1 v.1995
32-bitin välirekisterit
A=67452301, B=EFCDAB89,
C=98BADCFE, D=10325476, E=C3D2E1F0
2010-2011 v.0.95
96

Vaiheet:
SHA-1
- Lisää täyte: 1000...0. 64-bittiä vähemmän kuin tasa 512 monikerta
- Lisää sanoman pituus täytteen jälkeen: 64-bittiä (unsigned int)
- Jaa sanoma 512 bitin kokoisiin lohkoihin (Y). Max sanoman koko 2 64
esim. 40-bittinen sanoma
Täyte: 1000…
1a7fd53b 4c800000 00000000 00000000
00000000 00000000 00000000 00000000
00000000 00000000 00000000 00000000
00000000 00000000 00000000 00000028
2010-2011 v.0.95
Sanoman pituus: esim 28H = 40 bittiä
97

SHA-1
CV-laskenta:
Kussakin CV:ssä 4 kierrosta ja
jokaisessa kierroksessa on 20
askelta
Jokainen askel päivittää ABCDErekistereitä
W on 32-bitin sana, joka on johdettu
viestistä eli Y:stä
K on summautuva vakio
f on looginen funktio, joka käyttää B,C,Drekistereitä
+ = Summaus Mod 2 32
2010-2011 v.0.95
98

A = S 5 (A)+f t
(B,C,D)+E+ W t
+ K t
B = A
C = S 30 (B)
D = C
E = D
S i =i-bitin siirto vasemmalle
SHA-1 askel
+ = Summaus Mod 2 32 Askeleet t=[0:19]
f t = (B AND C) OR ((NOT B) AND D)
K t
= 5A827999
t=[20:39]
f t = B XOR C XOR D
K t
= 6ED9EBA1
t=[40:59]
f t = (B AND C) OR (B AND D) OR (C AND D)
K t
= 8F1BBCDC
t=[60:79]
f t = B XOR C XOR D
K t
= CA62C1D6
t=[0:15]
Wt = Yq [32*t:32*(t+1)]
t=[16:79]
Wt = S1(Wt-3 XOR Wt-8 XOR Wt- 14 XOR Wt-16)
2010-2011 v.0.95
99

SHA-1
Esimerkkejä tiivisteistä:
"The quick brown fox jumps over the lazy dog" =
2fd4e1c67a2d28fced849ee1bb76e7391b93eb12
"The quick brown fox jumps over the lazy cog" =
de9f2c7fd25e1b3afad3e85a0bd17d9b100db4b3
"" =
da39a3ee5e6b4b0d3255bfef95601890afd80709
"abc" =
a9993e364706816aba3e25717850c26c9cd0d89d
"abcdbcdecdefdefgefghfghighijhijkijkljklmklmnlmnomnopnopq" =
84983e441c3bd26ebaae4aa1f95129e5e54670f1
2010-2011 v.0.95
100

SHA-1
"abc"= 0110 0001 0110 0010 0110 0011 = 616263
W[0] = 61626380 W[1] = 00000000 W[2] = 00000000 W[3] = 00000000
W[4] = 00000000 W[5] = 00000000 W[6] = 00000000 W[7] = 00000000
W[8] = 00000000 W[9] = 00000000 W[10] = 00000000 W[11] = 00000000
W[12] = 00000000 W[13] = 00000000 W[14] = 00000000 W[15] = 00000018
A B C D E
t = 0: 0116FC33 67452301 7BF36AE2 98BADCFE 10325476
t = 1: 8990536D 0116FC33 59D148C0 7BF36AE2 98BADCFE
t = 2: A1390F08 8990536D C045BF0C 59D148C0 7BF36AE2
t = 3: CDD8E11B A1390F08 626414DB C045BF0C 59D148C0
t = 4: CFD499DE CDD8E11B 284E43C2 626414DB C045BF0C
. . .
t = 78: 5738D5E1 860D21CC 681E6DF6 D8FDF6AD D7B9DA25
t = 79: 42541B35 5738D5E1 21834873 681E6DF6 D8FDF6AD
A = 67452301 + 42541B35 = A9993E36
B = EFCDAB89 + 5738D5E1 = 4706816A
C = 98BADCFE + 21834873 = BA3E2571
D = 10325476 + 681E6DF6 = 7850C26C
E = C3D2E1F0 + D8FDF6AD = 9CD0D89D
2010-2011 v.0.95
Tiiviste
101

SHA-1, MD-5, RIPEMD-160
SHA-1
MD5
RIPEMD-160
Tiivisteen pituus
160 bits
128 bits
160 bits
Käsiteltävän lohkon
pituus
512 bits
512 bits
512 bits
Askelten lkm
80 (4 kier. x 20)
64 (4 x 16)
160 (2x 5 x16)
Maximum sanoman koko
2 64 -1 bits
Vakioiden k-määrä 4 64 9
Nopeus (Pentium 266) 14.4 Mb/s 32.4 Mb/s 13.6 Mb/s
MD5 on R. Rivestin kehittämä menetelmä (RFC 1321), jonka tiivisteen pituutta
pidetään liian lyhyenä
RIPEMD-160 on EU/RIPE-projektin esittämä rakenne MD4/5-menetelmien
kehittämiseksi (muistuttaa SHA-1:stä)
SHA-2 määrittelee seuraavat tiivisteen pituudet: SHA-256, SHA-384, SHA-512
2010-2011 v.0.95
102

SHA-3
Elokuussa 22-23.2010 pidettiin kansainvälinen kilpailu Crypto2010-
konferenssin yhteydessä, jossa valitaan kandidaatti uudeksi SHA3-
algoritmi (v. 2012)
Mukana on 14 ehdokasta:
BLAKE, Blue Midnight Wish, CubeHash, ECHO, Fugue,
Grøstl, Hamsi, JH, Keccak, Luffa, Shabal, SHAvite-3,
SIMD ja Skein
Ehdotus uudeksi SHA3-algoritmiksi on:
2010-2011 v.0.95
103

HMAC RFC 2104
Menetelmä yhteisesti sovitun salaisen arvon käytöstä
- Hash-funktiot ovat nopeampi suorittaa kuin esim. symmetrinen lohkosalaus
- Kirjastofunktioita on laajalti saatavilla
Suunnittelun periaatteita:
- Mahdollistaa olemassa-olevien hash-funktioiden käytön
- Hash-funktio on tarvittaessa korvattavissa
- Hash-funktion suorituskyky on tallella
- Yksinkertainen avaintenhallinta
- Hyvä know-how salauksen vahvuuksista
Pakollinen mm. IP security:ssä (IPSec), Transport Layer Security:ssä
(TLS) ja Secure Electronic Transactions:ssa (SET)
2010-2011 v.0.95
104

HMAC
-rakenne
Täytetään nollilla lohkon pituuteen b asti
00110110 –bittien toistoa b/8
XOR
Hyökkääjä ei voi tuottaa uutta
tiivistelukua tuntematta avainta
K.
Suositeltava että avaimen
K:n pituus ≥ tiivisteen pituus n
Alustusvektorit
01011100….
Kaksi pseudosatunnaisesti
generoitua avainta K:sta (ipad ja
opad)
Hash-funktio , esim SHA-1, on
vaihdettavissa oleva ’ musta
laatikko’
2010-2011 v.0.95
105

Digitaalinen allekirjoitus: DSS
Digital signature standard (DSS) NIST/FIPS Pub 186
- Suunniteltu vain allekirjoitukseen (ei salaukseen)
- Ei sisällä mekanismia salaukselle tai avainten vaihdolle
- Käyttää SHA-1:stä hash-funktiona
- Allekirjoitus tapahtuu Digital Signature Algorithm:lla (DSA),
jonka toimintaperiaatteet perustuvat ElGamal:iin
- Fips pub 186-1 (v.1998), 186-2 (v.2001), 186-3 (v.2009)*
FIPS Pub 186-3 (2009) määrittelee mm. DSA- , RSA- ja
Elliptic Curve DSA - allekirjoitustavat
2010-2011 v.0.95
106

DSA
M
KU G KR a
s
r
M
H
KU G KU a
Ver
Vertaa
H
Sig
SHA-1
K
Autentikaatio ja allekirjoitus
KU G = Globaali julkinen avain
p on alkuluku 2 L-1

DSA
Lopputuloksena tasot r ja s, jotka liitetään sanoman perään
-Huom. r ei riipu itse sanomasta M. Voidaan laskea etukäteen
k -1 ja (s -1 ) käänteislukujen laskenta tapahtuu ratkaisemalla yhtälö
2010-2011 v.0.95
1= (k -1 k) mod q; 0< k -1 < q
108

Sähköisen allekirjoituksen murtaminen
Birthday-attack.
Esim. Todennäköisyys sille että 23:lla satunnaisella henkilöllä on eri
syntymäpäivä voidaan laskea
(1- 1/365) (1-2/365) … (1-22/365) = 0.493
eli tod.näk. samalle syntymäpäivälle on 0.507
Esim. tiiviste on 50-bittiä (2 50 vaihtoehtoa; 10 15 ).
Allekirjoituksen murtaminen:
1) hyökkääjä tekee 2 30 kpl variaatiota alkuperäisestä sopimuksesta (pienin
muutoksin; 30 muutettua kohtaa esim. välilyöntiä)
2) hyökkääjä laskee tiivisteet ja tallentaa ne talteen
3) hyökkääjä tekee 2 30 kpl väärennettyjä sopimuksia (€ tmv), Laskee
tiivisteet ja tallentaa ne
4) hyökkääjä hakee josko löytyy kaksi samaa tiivistettä. Luultavasti löytyy
koska todennäköisyys on 1-e -1024 , eli lähes 1
5) hyökkääjä pyytää hyökkäyksen kohdetta allekirjoittamaan sen variaation
sopimuksesta, josta hänellä on olemassa väärennös (eli tiivisteet samat)
6) hyökkääjä korvaa sopimuksen väärennöksellä ja lisää asianmukaisen
allekirjoituksen
2010-2011 v.0.95
109

Case-esimerkki:
PGP sanoman salaus ja
allekirjoitus
web of trust
2010-2011 v.0.95
110

PGP
Allekirjoitus: Tiivistefunktio lasketaan SHA-1:llä.
Tiivistefunktion salaus joko RSA:lla tai DSS:llä.
Sanoman salaus AES:lla CAST:lla, IDEA:lla tai 3DES:llä
käyttäen istuntoavainta. Istuntoavain välitetään RSA:lla tai
Diffie-Hellman:illa (tai oikeastaan ElGamalla).
Kompressio. Zip
E-mail yhteensopivuus taataan konvertoimalla salattu sanoma
ascii-merkeiksi radix-64-menetelmällä
Jos sanoman koko suurempi kuin 50.000 oktettia, niin se
pilkotaan
2010-2011 v.0.95
111

PGP
Pelkkä sanoman allekirjoitus
EP=Encryption Public
-Toteutetaan digitaalisella allekirjoituksella = muodostetaan
funktiolla lähetettävästä sanomasta 160-bitin tiivistelmä, joka
salakirjoitetaan lähettäjän salaisella avaimella
- Allekirjoitus voidaan lähettää sanomasta erillään, jolloin
esimerkiksi useampi osapuoli voi allekirjoittaa saman sanoman
2010-2011 v.0.95
112

PGP
Pelkkä sanoman salakirjoitus
128-bit rnd number
EC=Encryption Conventional
- Lähetettävä sanoma salakirjoitetaan sanomakohtaisella 128-bittisellä
avaimella käyttäen perinteistä (symmetristä) salakirjoitusta
- Istuntokohtainen avain salataan julkisella salakirjoituksella ja
lähetetään vastaanottajalla sanoman mukana
- Näin koska julkinen salakirjoitus hidasta
2010-2011 v.0.95
113

2010-2011 v.0.95
114

PGP
Sekä allekirjoitus että salakirjoitus
- Lähetyspäässä ensin digitaalinen allekirjoitus ja sitten sanoman
salaus
- Lähettäjä: allekirjoittaa sanoman ensin omalla yksityisellä
avaimella, sen jälkeen salakirjoittaa sanoman sanomakohtaisella
symmetrisellä avaimella, lopuksi symmetrinen avain salataan
vastaanottaja julkisella avaimella
2010-2011 v.0.95
115

PGP
Radix-64 esim 001000 (8) -> 01001001 (I)
110101 (53) -> 00110001 (1)
Kirjan taulukko 5.9
2010-2011 v.0.95
116

PGP
2010-2011 v.0.95
117

PGP
väh.merkitsevät 64-bittiä avaimesta (tilansäästö!)
Sanoman muoto
2 oktetettia tuloksesta, jotta
vastaanottaja voi tarkistaa onko
hän käyttänyt oikeaa avainta
2010-2011 v.0.95
118

PGP avaimista
Julkisen avaimen salakirjoitukseen liittyvien avainten hallintaan
päätelaitteella käytössä kaksi tietokantaa, joihin avaintiedot on
tallennettu siten, että yksityinen (private) avain on tallennettu
tietokantaan salakirjoitettuna ja salasanalla suojattuna
Sanomakohtaisen avaimen salaisuus varmistetaan käyttäjältä
saatavalla satunnaisluvulla, jonka muodostumiseen vaikuttavat
sekä merkit että näppäilyvälit
Tietyllä hetkellä käytössä saattaa olla useita private-publicavainpareja
-->avainparien tunnistamiseen käytetään KeyID:tä,
joka muodostuu julkisen avaimen 64:stä vähiten merkitsevästä
bitistä
2010-2011 v.0.95
119

PGP-yrityksiä ja yhteisöjä
PGP Corporation
(www.pgp.com): Kaupallisia ohjelmia
www.pgpi.org; PGP Corporation:in ilmaisia ohjelmia mm.
PGP Freeware. Viestin salaus. Ohjelmasta on poistettu mm.
MS outlook plug-in ja kovalevyn partition salaus (+50$).
Windows- ja Macintosh-käyttöjärjestelmät
GNU Privacy Guard . Ohjelma, joka mahdollistaa datan
salakirjoituksen. Komentorivipohjainen ilmainen avoimen
lähdekoodin ohjelma Unix-,Windows- ja Macintosh
käyttöjärjestelmät.
PGPfone. Salaa puhelinyhteyden PGPfone-päätteiden välillä.
Veridis (www.veridis.com)
FileCrypt. Kaupallinen viestien salaukseen ja datan
salaukseen suunniteltu komentorivipohjainen ohjelma. Unix-
,Windows- ja Macintosh-käyttöjärjestelmät.
2010-2011 v.0.95
120

PGP sertifikaatit
PGP:n kanssa ei tarvitse käyttää sertifikaatteja, vaan voidaan
käyttää julkista lyhyttä tiivistettä (fingerprint), jolla varmennetaan
julkisen avaimen oikeellisuus. Esim E2 71 A3 jne
Jos käytetään sertifikaatteja, niin ne voidaan tallentaa
sertifikaattipalvelimelle. Sertifikaatin luoja voi purkaa/perua sertifikaatin
PGP sertifikaatit eroavat X.509-sertifikaateista. PGP-sertifikaatissa
voi olla useita tunnistetietoja, jotka ovat varmennettu allekirjoituksella
Versio, aika, voimassaolo, avaintyyppi (esim RSA), AVAIN
UserID, E KRa/ca [todiste siitä että userID:lle kuuluu ko. avain,
versio,tiivistealgoritmi, tiiviste, allekirjID ]
…
Käyttäjät itse määrittelevät sertifikaattien luottamus- (complete,
marginal, untrusted ) ja kelpoisuustason (valid, marginally, invalid)
2010-2011 v.0.95
121

PGP keyring
2010-2011 v.0.95
* marginaalisesti kelpaamaton
avain tai käyttäjä
122

PGP keyring
DH julkinen ja salainen avainpari
RSA julkinen ja salainen avainpari
DH julkinen avain
RSA julkinen avain
Käytöstä poistettu avain
Mitätöity avain
Vanhentunut avain
Avaimen lisätietona
Kuka on taannut avaimen aitouden
-”- sekä tieto tilasta : Mitätöity (red), huono (himmeä), siirrettävä (blue)
X.509 sertifikaatti
Vanhentunut X.509 sertifikaatti
Mitätöity X.509 sertifikaatti
PhotoID
Kelpaamaton tai * avain
Validi ei-oma avain
Validi oma avain
2010-2011 v.0.95
123

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: PGPfreeware 7.0.3 for non-commercial use
mQGiBDwHy/QRBADRL005I0Q2wqM0OFxj0Rw592UWVoWY7FlceeLt0qGZcFNHoPQSYnDS48G
u3Se5dJj35Kl1OEQ1DlcOzoGaYxLUxFRCyJYXwwUBRYeLtiIxuUX8Jp2ybMHMV894CTIN5z
2MbdNAPq7VRtbkwUv6CM/laETL3oH3yvsSBNbUCIAQ9QCg/wAphlNfaCULs9Tq35LIdg7vt
J0D/01QXudl95H+aoHVsbcPmjPXGTO2QBRA2aVqzT4y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y3wB
2010-2011 v.0.95
-----END PGP PUBLIC KEY BLOCK-----
124

Sanoma allekirj. ja salattuna
-----BEGIN PGP MESSAGE-----
Version: PGPfreeware 7.0.3 for non-commercial use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=9klh
2010-2011 v.0.95
-----END PGP MESSAGE-----
125

Sanoma selkokielellä
*** PGP Signature Status: good
*** Signer: Loula Pekka
*** Signed: 3.12.2001 10:42:28
*** Verified: 3.12.2001 11:35:37
*** BEGIN PGP DECRYPTED/VERIFIED MESSAGE ***
TÄMÄ ON KOEYHTEYS PGP:llä salatulle viestille !!
*** END PGP DECRYPTED/VERIFIED MESSAGE ***
-
2010-2011 v.0.95
126

6 Avainten vaihto
2010-2011 v.0.95
127

Symmetrisen avaimen vaihto
1) Avaimen jaetaan suojaamattomasti 1. kerralla, tai toimitetaan ei
sähköisesti
2) Jos A ja B ovat aiemmin välittäneet avaimen, niin uusi avain
voidaan välittää kryptattuna hyödyntäen edellistä istuntoavainta
([E KSOld [K SNew ] ] ) tai osapuolten julkisia avaimia (kuva)
1) E KUb [ N 1 || ID A ]
2) E KUa [ N 1 || N 2 || ID B ]
KU a (Key pUblic)
KR a (Key pRivate)
A
3) E KUb [N 2 ]
B
N 1 (Nonce)
Aikaleimat
4) E KUb [E KRa [K S ] ]
2010-2011 v.0.95
128

Symmetrisen avaimen vaihto
3) Kolmas luotettu osapuoli (KDC) välittää avaimet A:lle ja B:lle
Avaimien jako kryptattuna (kuva)
1) E KU KDC [E KRa [ N 1 || ID A || ID B ]]
Key distr. center
(KDC)
4)
A
2) E KUa [ N 1 || ID KDC || E KRKDC [K S ] ]
5)
3) ID A , E K S [ID A || N 2 || DATA]
B
Front End Processor
2010-2011 v.0.95
129

Asymmetrisen avaimen vaihto
- Julkiset avaimet ovat todella julkisia ja kuka tahansa voi
julistautua CA:ksi, eli avainten välittäjäksi
- Kuka tahansa voi väittää olevansa A ja tarjota A:n julkista avainta
välittäjille
- Käyttäjien ja palvelimien tunnistus oleellisen tärkeää. Käytä esim
RSA-perusteista haaste-vaste-menetelmää tmv.
2010-2011 v.0.95
130

Symmetrisen avaimen vaihto
4) Molemmat osapuolet laskevat itsenäisesti avaimen K S ilman,että
sitä välitetään verkossa esim. Diffie-Hellman-menetelmä
By Whitfield Diffie ja Martin Hellman (1976)
Y A
Y B
A
Valitse oma salainen arvo
ja laske julkinen avain Y A
B
Valitse oma salainen arvo
ja laske julkinen avain Y B
Laske K S oman salaisen arvon
ja B:n julkisen avaimen
perusteella
Laske K S oman salaisen arvon
ja A:n julkisen avaimen
perusteella
2010-2011 v.0.95
131

Diffie-Hellman
Valitaan alkuluku esim q=97. Lasketaan q:n
kantajuuri a (b=a i mod q) -> a=5
(a on q:n kantajuuri jos b saa kaikki arvot 1 ja q-
1:n välillä kun i saa arvot 1…q-1)
Valitaan salainen arvo x A = 36 ja x B = 58
Lasketaan julkinen avain:
Y A = 5 36 mod 97= 50
Y B = 5 58 mod 97= 44
Lasketaan salainen avain K, A:n toimesta
K = (Y B ) X A mod 97 = 44 36 mod 97= 75
B:n toimesta
K = (Y A ) X B mod 97 = 50 58 mod 97= 75
Parista {50,44} hyökkääjän on vaikea laskea
tulosta 75.
2010-2011 v.0.95
132

Diffie-Hellman
Perustelu miksi avain on sama kummasakin tapauksessa !
Salainen avain K = (Y B ) X A mod q
= (a X B mod q) X A mod q
= (a X B) X A mod q
= a X A X B mod q
= (a X A) X B mod q
= (a X A mod q) X B mod q
= (Y A ) X B mod q
2010-2011 v.0.95
133

Avainten vaihto Diffie-Hellmanissa
q (ja a) pitää välittää etukäteen, hakea yhteisestä luetetusta
tietokannasta tai välittää Y A :n yhteydessä
2010-2011 v.0.95
134

D-H Man-in-the-middle-hyökkäys
A kuvittelee keskustelevansa B:n kanssa (ja B A:n kanssa), mutta
todellisuudessa hyökkääjä C on napannut A:n Y A -sanoman ja
tarjoaa A:lle ja B:lle omaa julkista avainta,Y B :tä. A-Bkommunikaatiossa
C-välittää kaikki viestit, mutta pystyy
purkamaan ne. IP-osoitteet pitää luonnollisesti väärentää sekä
a/q-arvot pitää kaapata.
Y A = a X A mod q
A
Y A
C
Y C = a X C mod q
K 1 =(Y A ) X C mod q
Y B = a X C2 mod q
K 2 =(Y D ) X C2 mod q
B
K 1 =(Y C ) X A mod q
Y C
E K 1[Data]
Y B
Y D
E K 2[Data]
Y D = a X B mod q
K 2 =(Y B ) X B mod q
2010-2011 v.0.95
135

D-H
Diffie-Hellman:in heikkoudet:
-Ei tarjoa osallistujien identifikaatiota
-Man-in-the-middle hyökkäys.
-Työasemaa voidaan kuormittaa turhalla laskennalla pyytämällä
toistuvilla Y C -sanomilla laskemaan turhia sessioavaimia
2010-2011 v.0.95
136

Oakley RFC 2412
(DH:n kehittyneempi versio)
Turhien istuntoavaimien laskemisen esto
A lähettää (Y A -sanoman yhteydessä) evästeen. Ennen kuin käynnistetään
istuntoavaimen laskeminen, niin B kuittaa evästeen lähdeosoitteeseen.
Jos evästeelle ei tule kuittausta, niin osoite oli huijaus. Evästeen
luomisessa otetaan huomioon IP-ja porttiosoitteet. Sama evästekäytäntö
vaaditaan myös viestille Y B
Viestien nauhoituksen väärinkäytön esto
- Nonce arvon lisääminen sanomaan
- Autentikaatio
Identifikaatit
Molemmat osapuolet lisäävät viestiin allekirjoituksen
Muita välitettäviä tietoja mm.
Sanoma sisältää julkisen avaimen sekä tiedot käytetystä avainten muodostamistavasta
(DH, elliptinen) ja tiiviste-ja autentikaatiomenetelmistä
2010-2011 v.0.95
137

Asymmetrisen avaimen vaihto
1) Keskitetty avaintenjakomenettely:
Ongelmat: Julkinen avain pitää hakea aina Auth:lta
Request+Time 1 OK- se on todella Auth
N 1 OK- se on todella B
2010-2011 v.0.95
N 2 OK- se on todella A
138

Asymmetrisen avaimen vaihto
2) Julkisen avaimen sertifikaattimenettely:
Sertifikaatti (Varmenne) = ID A || K U A || E KRCA [H(ID A || K U A )]
CA (certificate authority) = luotettu kolmas osapuoli esim.
väestörekisterikeskus
K UA = A:n julkinen avain
ID A = A:n liittyvää tunnistetietoa
Käyttäjä esittää oman julkisen avaimensa CA:n allekirjoituksella
vahvistettuna. Tunnetuin varmennemuoto on X.509 (käytetään mm.
IPSec, SSL, SET, S/MIME)
CA
A
ID A
K U A
B
• Tarkista onko viesti eheä käyttäen
CA:n julkista avainta K U CA
• Käytä varmenteessa olevaa julkista
avainta
2010-2011 v.0.95
139

Asymmetrisen avaimen vaihto
OK - C A -tehty CA:n toimesta
ja se on A:n sertifikaatti
2010-2011 v.0.95
140

Sertifikaatit
Tärkein sertifikaattimuoto on
ITU-T X.509 v. 3.x vuodelta 1995
2010-2011 v.0.95
141

X.509
Määrittelee hakemistopalvelun, jotka ylläpitävät
käyttäjätietokantaa (sertifikaatit)
- Suojaamattomasta tietokannasta löytyy myös kaikista käyttäjistä
CA:n varmentamat sertifikaatit (mm. käyttäjien julkiset avaimet)
-Perustuu julkisen avaimen autentikaatiomenetelmiin.
Algoritmeista suositellaan RSA:ta. Allekirjoitus esim DSAalgoritmilla.
Ei määritä mitään erityistä Hash-funktiota (esim SHA-
1)
-Käytetään mm S/MIME:ssä, IPSec:ssä, SSL/TLS:ssä ja SET:ssä
2010-2011 v.0.95
142

X.509
-Kaikki, joilla on CA:n julkinen avain voivat lukea
käyttäjien sertifioidut julkiset avaimet esim
- hankitaan omalta CA:lta CA B :n julkinen avain
– hankitaan CA B :ltä B:n julkinen avain - kumppani tekee
vastaavasti
- Kukaan muu kuin CA ei voi muuttaa sertifikaattia
- CA:n julkinen avain pitää saada luotettavasti
KR CA
KU CA
2010-2011 v.0.95
143

X.509 sertifikaatit
2010-2011 v.0.95
144

X.509
•Sertifikaatin elementit ovat:
1. Versio nro
2. Yksiselitteinen sertifikaatin sarjanumero (int)
3. Allekirjoituksen identifiointi (käytetty algoritmi)
4. Sertifikaatin luoneen CA:n nimi (Issuer name)
5. Käyttäjänimi (subject name)
6. Voimassaoloaika (alku ja loppu pvä)
7. Käyttäjän julkisen avaimen tiedot (algoritmi+avain)
8. CA:n yksilöllinen tunniste. Voidaan käyttää samoja nimiä
9. Käyttäjän yksilöllinen tunniste -”-
10. Laajennus
11. Allekirjoitus E KRca (H(M))
2010-2011 v.0.95
145

X.509 Sertifikaatti esim
Version:
Serial number:
V3
65F2
Signature algorithm:sha1RSA
Issuer:
CN = FINSIGN CA for Citizen, O = VRK-FINSIGN Gov. CA,
C = FI
Valid from: 24. elokuuta 2001 1:59:59
Valid to: 23. elokuuta 2004 1:59:59
Subject:
Serial Number = 100101568, CN = BRANDT HARRI
100101568, G = HARRI, SN = BRANDT, C = FI
Public key:
3081 8902 8181 …
.... 0301 0001
Authority Key Identifier: KeyID=4649 4E43 414B 3031
Subject Key Identifier: 30
CRL Distribution Points: [1] CRL Distribution Point, Distribution Point Name:
Full Name:URL=ldap://193.229.0.210:389/…
Certificate Policies: [1] Certificate Policy: PolicyIdentifier=1.2.246.517.1.1
Key Usage
Digital Signature , Key Encipherment , Data
Encipherment(B0)
Thumbprint algorithm: Sha1
Thumbprint:
1E13 437A 2010-2011 1AD8 v.0.95 7F48 43A1 4285 01CC
146
6E27 BCB3 026A

X.509
Kunkin CA:n on pidettävä kirjaa kumotuista
sertifikaateista (Certificate Revocation List; CRL)
– Allekirjoitusalgoritmin identifikaatio
– Listan tekijä
– Listan päivityshetki
– Seuraavan päivityksen aika
– Kumottujen sertifikaattien tiedot (sarjanumero ja pvm)
– Allekirjoitus
Sertifikaattien peruminen tilanteissa, kun
- Käyttäjän salainen avaimen turvallisuus ei ole taattu
- Käyttäjä ei ole enää CA:n takaama
- CA:n sertifikaattimenettely ei ole taattu
2010-2011 v.0.95
147

Esim. X.509-sertifikaatin käyttö SSL-yhteydessä
Certificate-viestissä:
Palvelin lähettää clientille vaaditut X.509-sertifikaatit (ainoastaan DH
ilman autentikaatiota ei vaadi näitä)
Client tarkistaa:
1. Onko sertifikaatti
ajallisesti validi
2. Löytyykö sertifikaatin
tarjoaja luotettujen CA:den
listalta. Jos ei niin informoi
käyttäjää
3. Onko sertifikaatti allekirjoitettu serverin
salaisella avaimella. Client käyttää kohdassa 2
todennettua palvelimen julkista avainta
4. Onko palvelin samassa osoitteessa kuin sen
on väitetty sertifikaatissa olevan 2010-2011 v.0.95
148

X.500 hakemistorakenne suunniteltiin X.509-
varmenteiden säilytykseen
ITU-t X.500/ISO 9594-1:1998, The directory: overview of concepts,
models, services
Pääsyprotokollana määriteltiin Directory Access Protocol, DAP, joka
myöhemmin korvautui kevyemmällä TCP/IP-protokollaa hyödyntävällä
Lightweight Directory Access Protokollalla, LDAPilla, RFC 1777.
Eli LDAP määrittelee pääsyprotokollan X.500-tyyppisiin
hakemistoihin.
LDAP on toimittajariippumaton standardi, joka tarjoaa
sovelluskehittäjille mm. avoimen API-ohjelmointirajapinnan (LDAPv3;
RFC 4510-4519).
Eri toimittajat hyödyntävät API-rajapintaa esim.
• Microsoftin Active directory sercices interface (kokoelma korkeatason COMohjelmointirajapintoja)
mahdostaa mm. perusmetodit GetInfo ja SetInfo
2010-2011 v.0.95
• Sun Microsystemsin Java Naming and directory services
149

X.500 hakemistorakenne
Hierarkkisen LDAP-hakemiston-objekti koostuu attribuutista ja sen
arvosta esim. käyttäjäobjekti
dn: uid=Pekka, ou=people, o=tut.fi, sn: Pekka, cn: Pekka Loula,
objectClass: top, objectClass: person, objectClass:
organizationalPerson, objectClass: inetOrgPerson
top
person
Org.person
InetOrgPerson
InetOrgPerson on yleiskäyttöinen objektiluokka, joka sisältää
käyttäjään liittyviä attribuutteja mm.
userCertificate, userMIMECertificate, userPKCS12,
userPassword, name, x121Address, X500UniqueIdentifier, uid,
title, displayName, employeeNumber, postalAddress, mail,
telephoneNumber, jpegPhoto, preferredLanguage, labelledURI
2010-2011 v.0.95
150

X.500 -hakemistorakenne
Jos halutaan julkaista sertifikaatteja ldap-hakemiston avulla, niin
esim. OpenLDAP2.0-server –konfiguroinnin yhteydessä otetaan
käyttöön objektiluokat:
inetOrgPerson ja certificationAuthority, joka määrittelee
mm. listan kumotuista sertifikaateista ja CA-sertifikaatit
Microsoftin Actice directory (AD) –hakemisto on LDAP-standardiin
perustuva skaalautuva hakemistopalveluratkaisu, joka
mahdollistaa mm. keskitetyn käyttäjähallinnon, palvelimien
välisen synkronisoinnin, datana keskitetyn hallinnan, single-signon-käyttäjätunnistuksen,
kerberos-lippujen käytön valtuutuksina
sekä DNS- nimipalvelun hyödyntämisen.
2010-2011 v.0.95
151

X.500 ristiinvarmennus
Entäpä luottamuksen laajentaminen X.500-hakemistopalvelussa
A:n tuntema varmennetaho W ei tiedä KU b :ta
Jos CA:t (esim W ja V) ovat sertifioineet toisensa, niin
1) A hakee oman CA:nsa, W:n, allekirjoittaman
sertifikaatin V:n julkisesta avaimesta (KU v ).
Hänellä on W:n julkinen avain (KU w ) ja todentaa
sillä, että V:n julkinen avain KU v on aito
2) A hakee V:n palveluhakemistosta B:n julkisen
avaimen (KUb:n) ja todentaa sen aitouden V:n
allekirjoituksen avulla
3) A lähettää salattua tietoa B:lle
2010-2011 v.0.95
E CAw [KU v ] E CAv [KU b ]
W V
1) 2)
A
3)
B
152

X.500 ristiinvarmennus
Palvelinrakenne voidaan
järjestetään hierarkkisesti.
CA X tietää, että B:n sertifikaatti
löytyy CA Z :ltä / CA Y :ltä (esim
tunnistepolun perusteella vrt.
nimipalvelinrakenne)
A voi kertoa viestissään polun B:lle
miten hänen julkinen
avaimensa haetaan
E CAv [KU x ]
E CAx [KU z ]
V
X
U
Z
E CAz [KU Y ]
E CAw [KU v ]
W
Y
E CAY [KU b ]
A
2010-2011 v.0.95
B
153

Kiitokset
Lisätietoja: pekka.loula@tut.fi
2010-2011 v.0.95
154