Kr

1
Krüptograafilised protokollid

• Sven Laur

2
Idetifitseerimine I

• Inimest on võimalik tuvastada kirjelduse järgi.
  Näiteks biomeetrilised omadused sõrmejäljed,
  DNA, võrkkesta muster jne.
• Kirjelduse järgi tuvastamine on keeruline, sest
  inimene muutub. Skeemid kontrollivad mustrile
  vastavust ja omavad eristusläve.
• On mugavad ning suhteliselt turvalised, kui
  tagatakse skeemi füüsiline turvalisus.

3
Identifitseerimine II

• Paljudel osapooltel puudub füüsiline kirjeldus
  või on selle kontrollimine raske.
• Osapooli on võimalik tuvastada ka selle teadmisi
  kontrollides. Peamine on kindlustada, et saladus
  oleks unikaalne.
• Teadmisi saab kontrollida kahel viisil ostseselt
  või ülesande-vastus(challenge-response) viisil.

4
Usaldatavad osapooled

• Definitsioon. Protokolli osapoolt, kelle võimalik
  väärkäitumine seab ohtu kogu protokolli
  turvalisuse või funktsionaalsuse nimetatakse
  usaldatavaks osapooleks(TP). Kui TP käitumisest
  sõltub kogu protokolli turvalisus ning
  funktsionaalsus, siis nimetatakse seda
  tingimusteta TP.
• Mida vähem tingimusteta TP seda parem.

5
Lihtne paroolkaitse
Alice

• Alice identifitseerib ennast parooli, PIN-i või
  millegi sarnasega.
• Bob kontrollib seda võrreldes parooli nimekirjas
  oleva parooliga.
• Bob on tingimusteta TP. Nimekirja lekkimisel kaob
  usaldusväärsus.
• Alice' peab olema veendunud, et teine osapool on
  Bob, sest pahalane võib mängida Bobi.

Anna parool!
parool
Bob
Paroolide nimekiri
6
Parandatud paroolkaitse
Alice

• Bob kontrollib Alice'i parooli x õigsust
  arvutates räsi f(x) ning võrreldes seda Alice'i
  tegeliku parooli räsiga.
• Bob on tingimusteta TP, st. Alice peab olema
  veendunud, et tegu on Bobiga.
• Kui paroolide räsi fail lekib, siis paroolide
  teada saamiseks tuleb esmalt leida f(x) järgi
  leida x' nii, et f(x')f(x), mis on "raske".

Anna parool!
parool
Bob
f
Paroolide räsi
7
Räsifunktsioonid (I)

• Definitsioon. Räsifunktsiooniks nimeta-takse
  funktsiooni f0,1?0,1k, mis suvalise
  pikkusega bitijadale seab vasta-vusse fikseeritud
  pikkusega k bitijada. Räsifunktsioon peab olema
  efektiivselt arvutatav.
• Iga räsifunktsiooni f korral tekivad
  kollisioonid, st. leidub f(x)f(y) ja x?y.

8
Räsifunktsioonid II

• Definitsioon. Räsifunktsioon f0,1?0,1k on
  raskestipöötatav, kui juhuslikult võetud y?0,1k
  korral on raske leida x nii, et f(x)y.
• Räsifunktsioon on nõrgalt kollisioonikindel, kui
  juhuslikult valitud x korral on raske leida x'? x
  nii, et f(x)f(x').
• Räsifunktsioon on kollisioonikindel, kui on raske
  leida x'?x nii, et f(x)f(x').

9
Räsifunktsioonide omadused

• Saab näidata, et raskestipööratavus ja nõrk
  kollisioonikindlus on kaks sõltumatut omadust.
  Kui räsifunktsioon rahuldab neid kahte omadust,
  siis nimetatakse seda ühesuunaliseks
  räsifunktsiooniks.
• Räsifunktsiooni turvalisuse määrab räsi pikkus,
  sest alati on võimalik proovida juhuslikke
  avatekste.

10
Näitekonstruktsioon

• Räsitav tekst jagatakse plokkideks X1...Xk.
  Alustatakse järjestikust krüpteerimist. Esimeseks
  võtmeks H0IV on kokkulepitud algväärtus.
• Lisaplokiks Xk1 võetakse teksti pikkus bittides.
  See raskendab avateksti muutmist plokkide
  lisamise või kaotamise abil.
• Plokkšifri turvalisus ei taga alati
  räsifunktsiooni turvalisust.

Väljund Hk1
11
Nõuded räsifunktsioonile

• Alati võib eeldada, et räsifunktsioon on teada.
• Et kindlustada turvalisus juhuks kui paroolide
  fail lekib, peab räsifunktsioon olema raskesti
  pööratav.
• Ründaja võib kasutada sõnastikrünnet. Kui
  kasutajate nimekiri on pikk näit. 10000, siis on
  õnnestumise tõenäosus palju suurem.

12
Paroolide soolamine

• Et muuta vältida rünnaku paraleliseerimist
  kasutatakse paroolide soolamist.
• Failis on paaride (nimi, f(x) ) asemel kolmikud
  (nimi, r, f(rx)), kus r on iga kasutaja jaoks
  unikaalne bitijada.
• Harilikult võetakse r on juhuslikult.
• Räsifunktsioone ei ole mõtet ise leiutada!

13
Tuntumad räsifunktsioonid

• Plokkšifri konstruktsioonid MDC-2, MDC-4,
  Matyas-Meyer-Oseas DES.
• Spetsiaalsed räsifunktsioonid
  - 1991. Rivest MD4(krüptograafiliselt
  nõrk) - 1992. Rivest MD5(arvatavasti nõrk)
  - 1992. den Boer RIPEMD(parandatud)
  - 1993. SHA-1 USA valitsuse standard
  - 1996. MASH-1("mitte tunnustatud").
  

14
Lihtne küsimus-vastus skeem
Alice

• Alice' erineb teistest, sest ta oskab teksti
  krüpteerida.
• Bob valib juhuslikult x.
• Bob arvutab Ek(x) ja ja kontrollib, et see
  langeks kokku Alice' teatega y.
• Alice' jaoks pole Bob tingimusteta TP.
• Kogu süsteemi turvalisuse määrab ära võtmefaili
  turvalisus.

yEk(x)
x?
Bob
Võtmete fail
15
Skeemi analüüs

• Kui šiffer on turvaline valitud adaptiivse
  avateksti ründe vastu, mis kasutab k avateksti,
  siis saab Alice' ohuta vastata k küsimusele.
• Kui kõrvalseisja Carol suudab leida Bobi
  küsimustele õiged vastused, siis oskab ta
  krüpteerida teksti, enamike šifrite korral on see
  on samaväärne šifri murdmisele.

16
Parandatud skeem
Alice

• Et vältida sõltuvust võtmefaili turvalisusest,
  kasutame avaliku võtme krüptograafiat.
• Bob valib juhuslikult x ja arvutab Ek(x)
• Alice' suudab dekrüpteerida Ek(x) ja vastata nii,
  et yx.
• Kui x on juhuslikult valitud, siis ei saa Carol
  Alice'it teeselda.

Ek(x)
y
Bob
Avalike võtmete fail
17
Skeemi analüüs

• Kui a.võtme krüptosüsteem on turvaline adaptiivse
  valitud krüptogrammidega rünnaku vastu, mis
  kasutab k krüptogrammi, siis võib Alice vastata k
  küsimusele.
• Bob saab turvalisust suurendada, küsides Alice'lt
  mitu küsimust.
• Võtmete lekkimine ei kujuta ohtu, küll peab Bob
  olema kindel nende audetsuses.

18
Edukas rünne
Alice

• Carol saab kasutada ära Alice' kergusklikust ning
  esitada talle sama küsimuse, mille esitas talle
  Bob.
• Hoolimata sellest kui tugev on krüptosüsteem on
  rünnak läbi viidav.
• Teiseks saab Carol teha adaptiivset valitud
  krüptogrammidega rünnakut.
• Harilikult on see oluliselt tugevam kui teada
  olevate avatekst-krüptog. rünne.

Ek(x)
y
Carol
Ek(x)
y
Bob
19
Nullteadmus kui ideaal

• Identifitseerimisprotokoll oleks Alice' jaoks
  ideaalne, kui tema vastused ei oleks Bobile
  midagi uut, samas tahab Bob siiski Alice'i
  teadmisi kontrollida.
• Definitsioon. Identifitseerimisprotokoll on
  nullteadmusega, kui Bob suudab iseseisvalt
  efektiivselt genereerida juhuslikke korrektseid
  dialooge Alice'i ja Bobi vahel(dialoogi esinemise
  tõenäosus peab langema kokku tegelikkusega).

20
Schnorri identifitseerimisskeem

• Võtme genereerimiseks valib Alice algarvu q ning
  leiab jäägi g, mille astmed moodustavad kõik
  ülejäänud nullist erinevad jäägid(see on alati
  võimalik).
• Salajane võti on jääk w ning avalik võti on h ?
  gw mod q.
• Alice valib juhusliku jäägi r ning arvutab a ? gr
  mod q. Bob annab suvalise arvu c, millele Alice
  vastab z cw r.

21
Verifitseerimine

• Bob akseteerib Alice'i vastust, kui
• gz ? ahc mod q.
• Skeem töötab, sest
• gz ? gcwr ? (gw)cgr ? hca mod q.
• Skeemi murdmiseks peab Carol teadma mingit a nii,
  et ta suudab suure tõenäosusega vastata suvalise
  c korral. Muidu oleks Caroli edu võimalus tühine.

22
Turvaanalüüs

• Seega ründaja peaks teadma a nii, et vähemalt
  kahe c ja c' korral oskaks ta anda õiged vastused
  z ja z'. Kuid siis
• w
• teab Carol juba Alice' salajast võtit.
• Kui Carol leiaks kuidagi zi järgi w, siis teab
  ta, mis on loggai ri, mis on üldiselt raske
  ülesanne, kuna Alice' avalis ri juhuslikult.

cwr-c'w-r c-c
z-z c-c
(c-c')w c-c
23
Nullteadmuse analüüs

• Kui Bob on aus, siis ei saa ta teada midagi uut,
  sest ta võib ise valida z ja c ning seejärel
  arvutada a ? gz h-c mod q võib rahumeelselt ise
  protokolli läbi viia. Kusjuures sellisel juhul
  võtab Bob r z-cw jaotusega, mis on väga
  lähedane ühtlasele jaotusele st. Alice'i valitud
  r jaotusele.
• Protokoll ei ole täieliku nullteadmusega.

24
Identifitseerimisskeemide omadused I

• Ideaalis peaks iga identifitseerimissüsteem omama
  järgmisi omadusi
• Skeem on korrektne -- kui Alice ja Bob käituvad
  korrektselt, siis Bob tuvastab Alice'i.
• Skeem on tugev -- kui Carolil õnnestub Alice'it
  mängida, siis oskab ta ka efektiivselt Alice
  saladust leida.

25
Identifitseerimisskeemide omadused II

• Skeemi võti on turvaline -- Carol ei suuda
  polünomiaalses ajas leida võtit. Kui skeem on
  tugev, siis järeldub sellest skeemi turvalisus.
• Skeem on nullteadmusega -- ründaja Carol ei saa
  Alice'iga suheldes teada midagi uut.
• Skeem on efektiivne -- arvutuste maht ja sõnumite
  edastamine on hästi realiseeritav.

26
Samaegse tuvastamise probleem

• Mõnikord on vaja turvaeesmärkide saavuta-miseks
  tuvastada mõlemad osapooled.
• Näiteks interneti kohvik. Klient peab olema
  veendunud, et ta ei oleks vaenulikus võrgus.
  Teenusepakkuja peab teadma, kes on võrgus, et
  esitada arvet.
• Skeemi saab asendada kahe järjestikuse
  identifitseerimisega.

27
Võtmevahetuse probleemid

• Oletame, et Alice ja Bob tahavad vahetada
  võtmeid, kuid ei soovi selleks kohtuda ning neil
  puudub turvaline kanal.
• Praktikas esineb see näiteks SSH ja SSL korral.
  Iga arvuti peab olema võimeline vahetama võtmeid
  teistega üle interneti.
• Seda saab lahendada tingimusteta TP, kes jagab
  soovijatele võtmepaare.

28
Kerberose idee

• Igal osapoolel jagab TP võtmepaari.
• Kui kaks poolt tahavad suhelda, siis saadavad
  nad päringu.
• TP saadab neile ja lisa-info, mis võimaldab
  osapooltel veenduda, et uus võti on genereeritud
  just TP poolt

29
Diffie-Hellmanni võtmevahetus

• Üldiselt on kokkulepitud algarv p ja genereeriv
  jääk g .
• Alice valib suvalise arvu 1lt r lt p-1 ja arvutab
  a ? gr mod p.
• Bob valib suvalise arvu 1lt s lt p-1 ja arvutab b
  ? gs mod p.
• Bob ja Alice saavad nüüd iseseisvalt arvutada
  võtme
• K ? grs ? (gr)s ? (gs)r mod p.

30
Turvaanalüüs

• Kui õnnestuks efektiivselt leida r logg a või s
  logg b, siis oleks protokoll murtav.
• Tegelikult on ründajal tarvis lahendada probleem
  antud g, gr, gs leida grs.
• Selle probleemi keerukus pole teada ning pole
  teada ka selle seos DL probleemiga.
• Tõestatud on vaid, et pole üldist algoritmi, mis
  lahendaks seda igas rühmas efektiivselt.

31
Jagatud võtme motivatsioon

• Vahel on tarvis, et otsust autoriseeriks mitu
  isikut. Näiteks tuumasõja alustamine.
• Enamasti tahetakse, siis et otsust ei peaks
  autoriseerima kõik vaid piisav osa inimes-test.
  Nii välditakse süsteemi lihtsat nõrgen-damist
  inimeste elimineerimise teel.
• Võti jagatakse nii laiali, et kui n osapoolest k
  tahavad, siis saavad nad võtme taastada.

32
Võtme reetmine

• Paljudel juhtude pole võtme omanikud huvitatud
  võtme hoidmisest. Näiteks tarkvara võtmed,
  TV-koodrid jne.
• Et selliseid probleeme lahendada, siis esiteks
  peab olema võimalik kindlaks teha, et millised
  võtmed on reedetud ning teiseks peaks olema
  võimalus need võtmed teistele tüli tegemata ümber
  vahetada.

33
Vastukäivad turvaeesmärgid

• Mõnel juhul on turvaeesmärgid omavahel vastuolus.
  Näiteks e-valimiste korral
• Iga valija peab olema identifitseeritav
• Iga antud hääl ei tohi olla identifitseeritav.
• Iga võltsitud hääl peab olema tuvastatav.
• Iga võltsija peab olema tuvastatav.
• Teine selline asi on e-raha.