OSNOVE KRIPTOZAŠTITE

Skripta

Prof. Dr Milan Markovi

ć

Sadržaj

1. UVOD ... 3

2. PRIMENA KRIPTOGRAFSKIH METODA ZAŠTITE U INFORMACIONIM SISTEMIMA ... 4

2.1SIMETRIČNI KRIPTOGRAFSKI ALGORITMI ... 4

2.1.1 Blok šifarski sistemi ... 5

2.1.2 Kriptografski modovi blok šifarskih algoritama ... 18

2.1.3 Sekvencijalni šifarski sistemi ... 24

2.1.4 Komparativna analiza blok i sekvencijalnih šifarskih sistema ... 29

2.2ASIMETRIČNI KRIPTOGRAFSKI ALGORITMI ... 29

2.2.1 PKCS#1 standard ... 30

2.2.2 RSA algoritam ... 33

2.3MESSAGE DIGEST ALGORITMI ... 37

2.3.1 MD5 message digest algoritam ... 37

2.3.2 SHA-1 algoritam ... 39

1. UVOD

Ovaj dokument predstavlja skriptu za izvođ_{enje predmeta „Osnove kriptozaštite“ na} Fakultetu poslovne informatike Univerziteta Apeiron u Banja Luci.

U okviru ovog predmeta analiziraju se teorijski aspekti i praktič_{na primena} kriptografskih algoritama u savremenim rač_{unarskim mrežama i informacionim} sistemima.

Akcenat je stavljen na prikaz primera kriptografskih algoritama koji se danas koriste u praksi a prema sledeć_{im tipovima:}

• Simetirč_{ni kriptografski algoritmi}

• Asimetrič_{ni kriptografski algoritmi}

• Hash funkcije

Ova skripta služi radi lakšeg prać_{enja predavanja na predmetu Osnove kriptozaštite,} kao i za pripremanje za polaganje ispita. Materijal u skripti je komplementaran sa materijalom koji ć_{e biti prikazan na prezentacijama tako da skripta i prezentacije} zajedno č_{ine kompletan materijal za pripremu i polaganje ispita.}

2. PRIMENA KRIPTOGRAFSKIH METODA ZAŠTITE U

INFORMACIONIM SISTEMIMA

Kriptografski algoritmi koji se primenjuju u sistemima zaštite Internet/Intranet rač_{unarskih mreža dele se u tri velike grupe:}

• Simetrič_{ni kriptografski algoritmi,}

• Asimetrič_{ni kriptografski algoritmi.}

• Hash funkcije

Podela je izvedena na osnovu posedovanja informacija neophodnih za šifrovanje i dešifrovanje.

2.1 Simetri

č

_{ni kriptografski algoritmi}

Grupu simetrič_{nih kriptografskih algoritama predstavljaju algoritmi kod kojih je klju}č za šifrovanje identič_{an klju}č_{u za dešifrovanje, Slika 2.1. Algoritmi iz ove grupe se} takođ_{e nazivaju i algoritmi sa tajnim klju}č_{em jer je tajnost klju}č_{a koji se koristi i za} šifrovanje i za dešifrovanje esencijalna za bezbednost poruka u sistemu.

Slika 2.1: Simetrič_{ni kriptografski sistemi}

B Beezzbbeeddnniikkaannaall I Izzvvoorr k klljjuuččaa I Izzvvoorr p poorruukkee E EAA

X

X

Y

Y

_DDAA

X

X

OOddrreeddiiššttee K Krriippttooaannaalliittiiččaarr

K

K

Ovi sistemi predstavljaju osnovu tradicionalne kriptološke teorije i razvijaju se već veoma dugi niz godina. S obzirom da zaštita informacija težišnu primenu ima u poslovima vezanim za državne strukture (vojska, policija i diplomatija), ovi sistemi su bili isključ_{ivo tajni sistemi, namenski definisani i realizovani od strane nadležnih} državnih institucija.

Sa porastom intenziteta i primene elektronskih oblika komunikacija javila se potreba za definisanjem javnih simetrič_{nih kriptografskih algoritama pa je u poslednjih} desetak godina definisano više javnih simetrič_{nih kriptografskih algoritama za} primenu u aplikacijama u kojima za to postoji potreba.

Ovi algoritmi se uglavnom koriste u aplikacijama vezanim za sisteme poslovnih i finansijskih komunikacija. Imajuć_{i u vidu eksplozivni razvoj poslovnih i finansijskih} sistema u poslednje vreme, javni simetrič_{ni kriptografski algoritmi su postali} dominantni u pogledu korišć_enja.

Međ_{utim, nijedan od njih nije usvojen kao generalni standard ve}ć _{pomenuti sistemi} uglavnom koriste odgovarajuć_{e liste mogu}ć_{ih kriptografskih algoritama. Na taj na}č_in, kao parametar komunikacije, bira se i identifikator simetrič_{nog šifarskog algoritma koji} ć_{e se koristiti pri datoj transakciji.}

Iako je po masovnosti komercijalna upotreba simetrič_{nih kriptografskih algoritama} daleko prevazišla upotrebu u tajnom sektoru (vezanom za državne strukture), glavni teorijski rezultati se i dalje dešavaju u oblasti tajne kriptologije i tajnih sistema. Velika već_{ina država ima specijalizovane organizacije koje se bave dizajniranjem i analizom} raznih vrsta šifarskih sistema (npr. NSA u SAD). Stepeni dostignuć_{a u toj oblasti} najč_ešć_{e nisu javno poznati i nalaze se u sferi pretpostavki.}

Postoje dve osnovne vrste simetrič_{nih šifarskih sistema:}

• blok šifarski sistemi,

• sekvencijalni šifarski sistemi (stream cipher).

2.1.1 Blok šifarski sistemi

Blok šifarski sistemi procesiraju blokove nešifrovanog signala - otvorenog teksta (OT) i šifrovanog signala – šifrata (ST), obič_{no u blokovima} č_{ija je veli}č_{ina 64 bita ili više.} Sekvencijalni šifarski sistemi procesiraju nizove bita, bajtova ili reč_{i (16 ili 32 bita) OT} i ST.

Ako se u toku procesa šifrovanja jedne poruke nekim blok šifarskim sistemom više puta pojavljuje isti blok otvorenog teksta (OT) rezultat ć_{e biti uvek isti blok šifrata} (ST), što nije sluč_{aj kod sekvencijalnih šifarskih sistema.}

Kod sekvencijalnih šifarskih sistema verovatnoć_{a da isti niz bita, bajtova ili re}č_{i OT pri} svakom pojavljivanju u jednoj poruci proizvodi isti šifrat teži nuli ukoliko su niz za šifrovanje i otvoreni tekst nezavisni. Blok šifarski sistemi se veoma mnogo koriste u

sistemima poslovnih i finansijskih transakcija, ali su njihove bezbednosne osobine dosta slabije od sekvencijalnih šifarskih sistema.

I pored toga definisan je veliki broj javnih algoritama baziranih na blok šifarskim sistemima, kao što su DES, 3-DES, RC2, IDEA, i mnogi drugi koji su našli veoma široku primenu u savremenim informacionim sistemima.

U 2001. godini, NIST organizacija u SAD je usvojila novi standard AES (Advanced Encryption Standard). Kao primer jednog blok šifarskog algoritma, dać_{emo kratak} opis AES simetrič_{nog blok kriptografskog algoritma.}

2.1.1.1 DES (Data Encryption Standard)

DES je zvanič_{no objavljen 1976. godine. Iako se danas smatra nesigurnim za ve}ć_inu aplikacija zbog veoma kratkog ključ_{a (56 bita), on predstavlja teoretsku osnovu za} sve blok šifarske algoritme. Na osnovu njega su izgrađ_{eni i njegovi naslednici koji su} danas u upotrebi (AES, 3DES).

DES je simetrič_{ni blok šifarski algoritam koji za ulaz uzima string fiksne dužine i} serijom komplikovanih transformacija ga transformiše u šifrovani tekst iste dužine. Kod DES-a velič_{ina bloka je 64 bita.}

Pošto spada u simetrič_{ne algoritme, dekripcija se može izvršiti samo uz poznavanje} ključ_{a kojim je izvršeno enkritpovanje. Klju}č _{se sastoji od 64 bita, ali algoritam koristi} samo njih 56. Preostalih 8 se koristi samo za provjeru parnosti i zatim se odbacuju. Struktura algoritma

Sastoji se od 16 identič_{nih faza, koje se nazivaju rundama, slika 2.2. Osim njih} postoje i inicijalna i završna permutacija, koje su inverzne operacije. Međ_{utim, one} nemaju kriptografski znač_aj.

Pre poč_{etka glavnih rundi blok se se dijeli na dve 32-bitne polovine koje se} procesiraju naizmenič_{no. Ovo ukrštanje se naziva Feistel-ova šema. Feistel-ova} struktura osigurava da su enkripcija i dekripcija vrlo slič_{ni procesi. Jedina razlika je da} se potključ_{evi primenjuju u obrnutom redosledu u dekripciji. Ostatak algoritma je} identič_{an. Ovo uveliko olakšava implementaciju DES-a jer nema potrebe za} razdvajanje enkripcionog i dekripcionog algoritma.

U svakoj od 16 rundi jedna polovina bloka prolazi kroz F funkciju koja šifruje tu polovinu pomoć_{u odgovaraju}ć_{eg potklju}č_{a. Izlaz iz F funkcije se tada kombinuje sa} drugom polovinom bloka pomoć_{u XOR operacije. Zatim polovine bloka zamene} mjesta prije poč_{etka sljede}ć_{e runde. Nakon završne runde polovine ne menjaju} mjesta.

Feistel-ova (F) funkcija

2. Miksanje sa ključ_{em – rezultat se kombinuje sa potklju}č_{em koriste}ć_{i XOR} operaciju. Šesnaest 48-bitnih potključ_{eva (po jedan za svaku rundu) se izvode} iz glavnog ključ_{a korištenjem algoritma key schedule.}

3. Supstitucija – nakon miksanja sa potključ_{em blok se dijeli u osam 6-bitnih} delova pre procesiranja u S-box-ovima. Svaki od 8 S-box-ova zamenjuje šest bita na ulazu sa č_{etiri bita na izlazu pomo}ć_{e nelinearne transformacije.} S-box-ovi predstavljaju jezgro sigurnosti DES-a. Bez njih bi algoritam bio linearan i samim tim bi njegovo razbijanje bilo trivijalno.

4. Permutacija – 32 bita izašlih iz S-box-ova se rearanžiraju pomoć_{u fiksne} permutacije – P-box-a.

Slika 2.3: Feistel-ova funkcija

2.1.1.2 3DES (Triple DES)

Triple DES je blok šifarski algoritam formiran korištenjem DES-a tri puta, slika 2.4. Kad je otkriveno da 56-bitni ključ _{DES-a nije dovoljan da se algoritam zaštiti od brute}

force napada, 3DES je izabran kao jednostavan nač_{in da se proširi klju}č _{bez potrebe} prebacivanja na novi algoritam. Korištenje tri koraka je esencijalno u spreč_avanju

meet-in-the-middle napada koji su efektni protiv duple DES enkripcije.

Bitna je č_{injenica da DES nije algebarska grupa. Da jeste, 3DES konstrukcija bi bila} ekvivalentna obič_{nom DES-u i ne bi bila sigurnija.}

Najjednostavnija varijanta 3DES-a ima sljedeć_{u šemu:} DES(k3;DES(k2;DES(k1;M))),

gde je M blok poruke koja se enkriptuje, a k1, k2, i k3 su DES ključevi. Ova varijanta

se popularno naziva EEE pošto su sve tri DES operacije enkripcije. Da bi se pojednostavnila interoperabilnost izmeđ_{u DES-a i 3DES-a srednji korak se obi}č_no zamenjuje dekripcijom (EDE mod):

Na taj nač_{in se jedna DES enkripcija sa klju}č_{em k predstavlja kao 3DES-EDE gdje je}

k1 = k2 = k3 = k. Izbor dekripcije kao srednjeg koraka ne utiče na sigurnost algoritma.

Slika 2.4: 3-DES algoritam

Uopšteno, 3DES sa tri različ_{ita klju}č_{a ima dužinu klju}č_{a od 168 bita - tri DES klju}č_a po 56 bita, ali zbog meet-in-the-middle napada efektivna dužina je samo 112 bita. 3DES lagano izlazi iz upotrebe i uveliko se zamijenjuje sa AES-om. Izuzetak je industriji elektronskog plać_{anja gdje se i dalje proizvode novi 3DES standardi. Ovo} garantuje da ć_{e 3DES ostati aktivan kriptografski standard još dugo vremena.}

Zbog samog dizajna DES, a samim tim i 3DES, su softverski spori. Na modernim procesorima AES je oko 6 puta brži. 3DES daje nešto bolje performanse u hardverskim implementacijama, ali i tu AES daje bolje rezultate. Konač_{no, AES nudi} već_{u sigurnost: ve}ć_{i blok i potencijalno duži klju}č_.

2.1.1.3 IDEA

Ovo je simetrič_{ni blok šifarski algoritam.} Č_injenice:

• enkriptuje blok velič_{ine 64 bita;}

• 52 potključ_{a dužine 16 bita;}

• koristi jedan par potključ_{eva po rundi;}

• koristi 8 unakrsnih runda (iteracije) kod enkriptovanja;

• dekripcija se vrši inverznom enkripcijom. Prednosti:

• do sada je izdržao 'napade' akademske zajednice

IDEA koristi 52 potključ_{a dužine 16 bitova i ima 8 rundi enkripcija poruke. Po dva} potključ_{a se koriste u svakoj rundi (16), zatim} č_{etiri potklju}č_{a se koriste pre svake} runde (32), a poslednja č_{etiri potklju}č_{a koriste se nakon zadnje runde (4) =} 16+32+4=52.

Potključ_{evi se dobijaju tako što se 128 bitni klju}č _{razdeli u prvih 8 potklju}č_{eva (K1-K8)} velič_{ine 16 bita. Zatim se slede}ć_{ih 8 potklju}č_{eva dobije tako što se 25 puta napravi} kružni pomeraj ulevo svakog od prethodno napravljenih potključ_{eva. Postupak se} ponavlja dok se ne kreiraju svi potključ_evi.

Iako je generisanje ključ_{eva pravilno, što bi ukazalo na slabost algoritma, do sada je} ovaj algoritam izdržao sva nastojanja akademskih ustanova na njegovom razbijanju.

2.1.1.4 AES algoritam

Kao što je već _reč_{eno, u toku 2001. godine, NIST (National Institute of Standards and} Technology) organizacija u SAD je objavila standard za simetrič_{ne kriptografske} algoritme AES (Advanced Encryption Standard) koji je trebalo da zameni prethodni standard DES (Data Encryption Standard).

Nakon duge selekcione procedure, za AES algoritam izabran je Rijndael algoritam koga su realizovali Belgijski istraživač_{i: Joan Daemen i Vincent Rijmen. Rijndael} predstavlja blok šifarski algoritam koji podržava promenljivu dužinu bloka informacije (128, 192 i 256 bita) kao i promenljivu dužinu ključ_{a (128, 192 i 256 bita).}

Naime, poruke šifrovane DES algoritmom su se, zbog nedostataka u samom algoritmu (bezbedonosni nedostaci u supstitucionim s-tabelama), male dužine ključ_a (56-bita) i poveć_{ane procesne mo}ć_{i ra}č_{unara, mogle dešifrovati za samo par} č_asova. Nakon selekcione procedure, za realizaciju AES standarda izabran je Rijndael algoritam koga su realizovali belgijski mateč_atič_{ari: Joan Daemen i Vincent Rijmen.} Rijndael je blok šifarski algoritam koji podržava promenljivu dužinu bloka otvorenog teksta (128, 192 i 256 bita) kao i promenljivu dužinu ključ_{a (128, 192 i 256 bita).} Rijndael algoritam je u odnosu na konkuretske algoritme (MARS, RC6, Serpent, Twofish) bio brži i zahtevao je manje operativne memorije u procesu šifrovanja i dešifrovanja poruka. Rijndael algoritam sa 128-bitnom dužinom ključ_{a je brži za oko} 2.5 puta u odnosu na 3-DES algoritam.

AES algoritam realizuje operacije šifrovanja i dešifrovanja bloka podataka u promenljivom broju ciklusa. Broj ciklusa zavisi od velič_{ine klju}č_{a i iznosi 10/12/14 za} velič_{inu klju}č_{a 128/192/256 bita, respektivno. Pre po}č_{etka šifrovanja ili dešifrovanja} vrši se ekspanzija ključ_a.

Realizacija šifrovanja u AES algoritmu

U realizaciji šifarske transformacije bloka podataka otvorenog teksta se izvršavaju č_{etiri razli}č_{ita tipa funkcija koje se primenjuju nad elementima matrice me}đ_urezultata dimenzija 4×4 bajta:

• nelinearna zamena bajtova pomoć_{u supstitucione tabele (funkcija ByteSub),}

• promena mesta bajtova unutar istog reda (funkcija ShiftRow),

• transformacija bajtova unutar iste kolone (funkcija MixColumns),

• sabiranje po modulu dva sa odgovarajuć_{em delom klju}č_{a (funkcija} AddRoundKey).

U poslednjem ciklusu šifrovanja se ne obavlja transformacija bajtova unutar iste kolone (funkcija MixColumns).

U Rijndael algoritmu sve operacije sabiranja i množenja se vrše nad elementima konač_{nog polja (pored kona}č_{nih polja od r-elemenata (r-prost broj) postoje i kona}č_na polja od q=rm elemenata, gde je m prirodan broj; navedena konač_{na polja se nazivaju} i polja Galoa (Galois Field) u oznaci GF(rm), u č_{ast francuskog matemati}č_{ara Galoa} (E. Galois)) od 256 elemenata (u oznaci GF(28) ):

• pri sabiranju bajtova primenjuju se bitska operacija sabiranja po modulu dva,

• rezultat množenja dve vrednosti je proizvod po modulu vrednosti nerazloživog polinoma (polinom r(x) n-tog stepena je nesvodljiv ako nije deljiv ni sa jednim polinomom stepena m gde je 0 < m < n).

c(x)=a(x)*b(x) mod m(x) (2.1.1.1)

gde je vrednost nerazloživog polinoma:

m(x)=x8+x4+x3+x+1 (2.1.1.2)

Svaki elemenat konač_{nog polja, a(x), ima jednozna}č_{nu inverznu vrednost, ainv(x),} koja zadovoljava uslov:

a(x)*ainv(x) mod m(x)=1 (2.1.1.3)

Da bi se ubrzao proces množenja u skupu od 256 elemenata konač_{nog polja} formiraju se logaritamska i antilogaritamska tabela. Vrednost svakog elementa konač_{nog polja p može da se predstavi u obliku stepena prostog broja.}

U Rijndael algoritmu za kreiranje logaritamske i antilogaritamske tabele koristi se prost broj {03}. U logaritamskoj tabeli za svaki elemenat konač_{nog polja x postoji} odgovarajuć_{a vrednost L koja zadovoljava uslov {x}={03}}L_{. U antilogaritamskoj tabeli} za svaki elemenat konač_{nog polja x postoji odgovaraju}ć_{a vrednost E koja} zadovoljava uslov {E}={03}x.

U procesu množenja dva elementa konač_{nog polja a i b, pomo}ć_{u logaritamske tabele} se odrede koeficijenti α i β takvi da je a={03}α i b= {03}β. Množenjem vrednosti a i b dobija se vrednost a

⋅

b= {03}α+β. Traženi proizvod se dobija kada se iz antilogaritamske tabele iz ulaza x=α + β odredi vrednost E = a

⋅

b.

Logaritamska i antilogaritamska tabela se takođ_{e mogu koristiti za pronalaženje} inverznog elementa. Naime, iz logaritamske tabele se za dati elemenat a, odredi vrednost α, takva da zadovoljava uslov a= {03}α. Inverzna vrednost E=a-1, date velič_{ine, se dobija kada se iz antilogaritamske tabele iz ulaza x=255-}α _{, pro}č_ita vrednost E.

U procesu šifrovanja se realizuju sledeć_{e funkcije:}

1. Funkcija ByteSub vrši nelinearnu transformaciju bajta ulazne poruke pomoć_u supstitucione s-tabele (tkz. S-box tabele). Pri kreiranju supstitucione s-tabele, vrednost ulaza x (x=0…255) se dobija u dva koraka:

• određ_{ivanje inverzne vrednosti ulazne veli}č_ine = −1

x

x_inv pomoć_{u logaritamske} i antilogaritamske tabele, prema prethodno opisanom mehanizmu.

• vrednost datog ulaza supstitucione s-tabele se dobija određ_{ivanjem vrednosti} svakog bita i unutar bajta (0

≤

i

<

8):

_{( ) ( ) ( ) ( )} i 1 8 mod 7 i 1 8 mod 6 i 1 8 mod 5 i 1 8 mod 4 i 1 i 1 i x x x x x c x′− = − ⊕ −₊ ⊕ −₊ ⊕ −₊ ⊕ −₊ ⊕ , (2.1.1.4) gde je: c={63h},

Navedeni postupak se može prikazati i u matrič_{nom obliku:}

                          ⊕                                                     =                           ′ ′ ′ ′ ′ ′ ′ ′ − − − − − − − − − − − − − − − − 1 1 0 0 0 1 1 0 x x x x x x x x 1 0 0 0 1 1 1 1 1 1 0 0 0 1 1 1 1 1 1 0 0 0 1 1 1 1 1 1 0 0 0 1 1 1 1 1 1 0 0 0 0 1 1 1 1 1 0 0 0 0 1 1 1 1 1 0 0 0 0 1 1 1 1 1 x x x x x x x x 1 0 1 1 1 2 1 3 1 4 1 5 1 6 1 7 1 0 1 1 1 2 1 3 1 4 1 5 1 6 1 7 (2.1.1.5)

Nakon kreiranja s-tabele vrši se nelinearna transformacija ulazne poruke, Slika 2.5, koja je upisana u matrici dimenzija 4×4 bajta, tako što se svaki bajt ulazne poruke zameni sa vrednošć_{u iz odgovaraju}ć_{eg ulaza iz s-tabele.}

a0, 0 a0, 1 a0, 2 a0, 3 b0, 0 b0, 1 b0, 2 b0, 3

a1, 0 a1, 1 a1, 3 B1, 0 b1, 1 b1, 3

a2, 0 a2, 1 a2, 2 a2, 3 B2, 0 b2, 1 b2, 2 b2, 3

a3, 0 a3, 1 a3, 2 a3, 3 B3, 0 b3, 1 b3, 2 b3, 3

Slika 2.5: Grafič_{ki prikaz nelinearne transformacije poruke pomo}ć_{u s-tabele}

2. Funkcija ShiftRows obavlja operaciju nad elementima u redovima matrice podataka dobijene nakon nelinearne transformacije pomoć_{u s-tabele. Pravilo po} kome se vrši promena mesta bajta unutar istog reda matrice je prikazano sledeć_im izrazom:

dr,c = br,[c+h (r,Nc)] mod Nc (2.1.1.6)

gde je za AES usvojena varijanta Rijndael algoritma : Nc=4, 0

<

r

<

4 i h(r,Nc )=h(r).

Rotacija bajtova unutar istog reda matrice međ_{urezultata je prikazana na Slici 2.6.}

Slika 2.6: Grafič_{ki prikaz promene mesta bajtova u redu matrice me}đ_urezultata

3. Funkcija MixColumns vrši transformaciju elemenata kolone matrice međ_urezultata nakon realizacije funkcije ShiftRows. Elementi kolone matrice se posmatraju kao koeficijenti polinoma, pri č_{emu svaki koeficijent predstavlja elemenat kona}č_{nog polja}

GF(28). Zatim se, tako dobijeni polinomi, množe sa konstantnim polinomom n(x)='03'x3 + '01'x2 + '01'x + '02' po modulu x4 +1. Navedeno modularno množenje se

može prikazati i u matrič_{nom obliku:}

s-box

            ⋅             =             c c c c c c c c d d d d e e e e , 0 , 1 , 2 , 3 , 0 , 1 , 2 , 3 03 02 01 01 01 02 03 01 01 01 02 03 03 01 01 02 (2.1.1.7) gde je: 0≤c<4.

Nač_{in na koji se vrši transformacija kolona matrice je prikazana na Slici 2.7.}

d0, 0 D0, 1 a0, 2 d0, 3 e0, 0 e0, 1 b0, 2 e0, 3 d1, 0 D1, 1 d1, 3 e1, 0 e1, 1 e1, 3 d2, 0 D2, 1 a2, 2 d2, 3 e2, 0 e2, 1 b2, 2 e2, 3 d3, 0 d3, 1 a3, 2 d3, 3 e3, 0 e3, 1 b3, 2 e3, 3

Slika 2.7: Grafič_{ki prikaz promene mesta bajtova u kolonama matrice me}đ_urezultata

4. Funkcija AddRoundKey vrši operaciju eksluzivne disjunkcije nad elemenata matrice, dobijene nakon izvršenja funkcije MixColumn, i matricom odgovarajuć_eg dela ekspandovanog ključ_{a, Slika 2.8.}

e0, 0 e0, 1 e0, 2 e0, 3 k0, 0 k0, 1 k0, 2 k0, 3 r0, 0 r0, 1 r0, 2 r0, 3 e1, 0 e1, 1 e1, 2 e1, 3 ⊕ k1, 0 k1, 1 k1, 2 k1, 3 ₌ r1, 0 r1, 1 r1, 2 r1, 3 e2, 0 e2, 1 e2, 2 e2, 3 k2, 0 k2, 1 k2, 2 k2, 3 r2, 0 r2, 1 r2, 2 r2, 3 e3, 0 e3, 1 e3, 2 e3, 3 k3, 0 k3, 1 k3, 2 k3, 3 r3, 0 r3, 1 r3, 2 r3, 3

Slika 2.8: Grafič_{ki prikaz funkcije AddRoundKey}

Optimizacija realizacije šifrovanja u AES algoritmu

Tranformacija kolone ulazne matrice kroz jedan ceo ciklus šifrovanja se može

d0, j d1, j d2, j d3, j e0, j e1, j e2, j e3, j ⊗ ⊗ ⊗ ⊗ c(x)

            ⊕             =             j j j j j j j j j j j j k k k k e e e e r r r r , 3 , 2 , 1 , 0 , 3 , 2 , 1 , 0 , 3 , 2 , 1 , 0 (funkcija AddRoundKey) (2.1.1.8)             ⋅             =             j j j j j j j j d d d d e e e e , 3 , 2 , 1 , 0 , 3 , 2 , 1 , 0 02 01 01 03 03 02 01 01 01 03 02 01 01 01 03 02 (funkcija MixColumns) (2.1.1.9)             =             − − − 3 , 3 2 , 2 1 , 1 , 0 , 3 , 2 , 1 , 0 j j j j j j j j b b b b d d d d (funkcija ShiftRows) (2.1.1.10)

[ ]

[ ]

[

]

[ ]

_































=

























− − − − − − 3 , 3 2 , 2 1 , 1 , 0 3 , 3 2 , 2 1 , 1 , 0 j j j j j j j j

a

s

a

s

a

s

a

s

b

b

b

b

(funkcija ByteSub) (2.1.1.11)

Sumarno se dobija sledeć_{i izraz koji opisuje proces transformacije j-te kolone}

(

0≤ j<4

)

ulaznog podataka u jednom ciklusu šifrovanja.

[ ]

[ ]

[

]

[ ]

           ⊕                 ⋅             =             − − − j j j j j j j j j j j j k k k k a s a s a s a s r r r r , 3 , 2 , 1 , 0 3 , 3 2 , 2 1 , 1 , 0 , 3 , 2 , 1 , 0 02 01 01 03 03 02 01 01 01 03 02 01 01 01 03 02 (2.1.1.12)

Množenje matrica može se prikazati i sledeć_{im izrazom:}

[ ]

[ ]

[

]

[

]

            ⊕             ⋅ ⊕             ⋅ ⊕             ⋅ ⊕             ⋅ =             − − − j j j j j j j j j j j j k k k k a s a s a s a s r r r r , 3 , 2 , 1 , 0 3 , 3 2 , 2 1 , 1 , 0 , 3 , 2 , 1 , 0 02 03 01 01 01 02 03 01 01 01 02 03 03 01 01 02 (2.1.1.13) Č_{inilac množenja s[} j i

a_, ] se dobija određ_{ivanjem vrednosti ulaza}

j i

a_, supstitucione s-tabele. Da bi se ubrzao proces množenja mogu se kreirati 4 tabele:

[ ]

[ ]

[ ]

[ ]

[ ]

[ ]

[ ]

[ ]

[ ]

[ ]

[ ]

[ ]

[ ]

[ ]

[ ]

[ ]

[ ]

[ ]

[ ]

[ ]

             ⋅ ⋅ =               ⋅ ⋅ =               ⋅ ⋅ =               ⋅ ⋅ = 2 3 3 2 2 3 3 2 2 2 1 0 a s a s a s a s a T a s a s a s a s a T a s a s a s a s a T a s a s a s a s a T (2.1.1.14)

Svaka od č_{etiri tabele sadrži 256} č_{etvorobajtnih re}č_{i, tako da je ukupan memorijski} prostor potreban za njihovo skladištenje 4KB. Primenom datih tabela, transformacija

j-te kolone ulaznog podatka u jednom ciklusu šifrovanja se može predstaviti izrazom:

r_j =T₀

[ ]

a_0,j ⊕ T₁

[ ]

a_1,j=1 ⊕ T₂

[

a_2,j−2

]

⊕ T₃

[ ]

a_3,j−3 ⊕ k_j (2.1.1.15) Definišimo funkciju RowByte(W) koja vrši rotaciju svakog bajta ulazne reč_{i za jedno} mesto udesno W=b3b2b1b0 (bi , i-ti bajt reči), tako da je izlazna reč oblika W=b2b1b0b3.

Veza izmeđ_{u tabela}

2 1 0, T, T

T i T₃ se može prikazati sledeć_{om relacijom:}

[ ]

[ ]

_      =RotByte T₋ a a T_{i i 1} (2.1.1.16) Transformacija j-te kolone matrice ulaznog podatka u jednom ciklusu šifrovanja se može predstaviti sledeć_{im izrazom:}

[ ]

[ ]

[

]

[

]

_                     ⊕ ⊕ ⊕ ⊕ = j 0 0,j 0 1,j₋1 0 2,j₋2 0 3,j₋3

j k T a RotByte T a RotByte T a RotByte T a

r (2.1.1.17)

Primenom ove formule umesto č_{etiri tabele sa ukupno 1024} č_{etvorobajtnih re}č_{i (4KB)} potrebno je kreirati jednu tabelu od 256 reč_{i (1KB), ali ciklus šifrovanja traje neznatno} duže, za tri dodatne operacije rotacije bajta unutar reč_{i (funkcija RotByte).}

Realizacija dešifrovanja u AES algoritmu

Proces dešifrovanja poruke je slič_{an procesu šifrovanja. U procesu dešifrovanja se} primenjuju č_{etiri razli}č_{ita tipa funkcija nad elementima matrice me}đ_urezultata dimenzija 4×4 bajta:

• nelinearna zamena bajtova pomoć_{u inverzne supstitucione tabele (funkcija}

InvByteSub),

• promena mesta bajtova unutar istog reda (funkcija InvShiftRow),

• transformacija bajtova unutar iste kolone (funkcija InvMixColumns),

• sabiranje po modulu dva sa odgovarajuć_{im delom klju}č_{a (funkcija}

U poslednjem ciklusu dešifrovanja se ne obavlja transformacija bajtova unutar iste kolone (funkcija InvMixColumns).

U procesu dešifrovanja se realizuju sledeć_{e funkcije:}

1. Nelinearna transformacija ulazne matrice dimenzija 4×4 bajta se vrši pomoć_u inverzne supstitucione s-tabele. U procesu kreiranja inverzne supstitucione s-tabele vrednost za svaki od ulaza x (x=0..255) se određ_{uje u dva koraka:}

• transformacija vrednosti ulaznog bajta x se realizuje određ_{ivanjem vrednosti} svakog bita i unutar bajta (0

≤

i

<

8):

x_i′ = x_{( )i+2 mod8}⊕x_{( )i+5 mod8}⊕x_{( )i+7 mod8}⊕d_i (2.1.1.18) gde je: d={05h},

• vrednost ulaza x u inverznoj supstitucionoj tabeli se dobija kao rezultat inverzne transformacije prethodno dobijene vrednosti b=

( )

x′ −1.

2. Funkcija InvShiftRows obavlja operacije nad elementima u redovima matrice međ_{urezultata, dobijenom nakon prethodno opisane transformacije. Pravilo po kome} se vrši promena mestu bajta unutar istog reda matrice se može prikazati sledeć_im izrazom:

d r, [c+h (r,Nc)] mod Nc br,c (2.1.1.19)

gde je za AES usvojena varijanta Rijndael algoritma : Nc=4, 0

<

r

<

4 i h(r,Nc )=h(r).

Rotacija bajtova unutar istog reda matrice međ_{urezultata je prikazana na Slici 2.9.} 3. Funkcija InvMixColumns vrši transformaciju elemenata kolone matrice dobijene nakon izvršenja funkcije InvShiftRows. Elementi kolone matrice se posmatraju kao koeficijenti polinoma, pri č_{emu svaki koeficijent predstavlja elemenat kona}č_{nog polja}

GF(28). Zatim se, tako dobijeni polinomi, množe sa konstantnim polinomom p(x)='0B'x3 + '0D'x2 + '09'x + '0E' po modulu x4 +1. Navedeno modularno množenje

se može prikazati u matrič_{nom obliku:}

            ⋅             =             c c c c c c c c d d d d E B D E B D D E B B D E e e e e , 0 , 1 , 2 , 3 , 0 , 1 , 2 , 3 0 0 0 09 09 0 0 0 0 09 0 0 0 0 09 0 (2.1.1.20) gde je: 0≤c<4.

Slika 2.9: Grafič_{ki prikaz promene mesta bajtova u redu matrice me}đ_urezultata 4. Funkcija AddRoundKey vrši sabiranje po modulu dva elementa matrice, dobijena nakon izvršenja funkcije InvMixColumns, sa odgovarajuć_{im delom klju}č_{a za} dešifrovanje:             ⊕             =             c c c c c c c c c c c c k k k k e e e e r r r r , 0 , 1 , 2 , 3 , 0 , 1 , 2 , 3 , 0 , 1 , 2 , 3 (2.1.1.21)

2.1.2 Kriptografski modovi blok šifarskih algoritama

Kriptografski mod predstavlja nač_{in upotrebe bazi}č_{nog šifarskog algoritma i naj}č_ešć_e je kombinacija neke vrste povratne petlje i određ_{enih jednostavnih operacija.} Operacije koje se primenjuju nad algoritmom su uglavnom jednostavne jer je bezbednost određ_{ena bazi}č_{nim šifarskim algoritmom a ne kriptografskim modom.} Blok šifarski sistemi se primenjuju u različ_{itim kriptografskim modovima, kao što su:}

• ECB (Electronic CodeBook mode),

• CBC (Cipher Block Chaining),

• CFB (Cipher FeedBack) i

• OFB (Output FeedBack).

2.1.2.1 Mod elektronske kodne knjige (ECB – Electronic CodeBook).

ECB mod predstavlja najprirodniji i najlakši nač_{in primene blok šifarskih sistema -} blok OT se šifruje u blok ST, Slika 2.10. Svaki OT blok se šifruje nezavisno. Sa kriptološke strane, ECB mod je najproblematič_niji.

Naime, ako kriptoanalitič_{ar poseduje parove OT i ST za nekoliko poruka, mogu}ć_{e je} da tokom konverzacije dve strane formira pravu kodnu knjigu, skup odgovarajuć_ih parova ST i OT, i bez poznavanja ključ_a.

U već_{ini realnih situacija: fragmenti poruka teže ponavljanju, razli}č_{ite poruke imaju} zajednič_{ke delove, odre}đ_{eni ra}č_{unarski generisane poruke (kao e-mail) imaju} regularnu strukturu, poruke mogu biti veoma redundantne i imati veoma duge nizove nula i pauze. Ovi problemi su najistaknutiji na poč_{etku i na kraju poruke, gde se u} dobro definisanim zaglavljima i futnotama mogu nalaziti informacije o pošiljaocu, primaocu, datumu, itd.

Formiranje reprezentativne kodne knjige ne samo da omoguć_{ava tre}ć_{oj strani pristup} informacijama već _{joj dodatno omogu}ć_{ava da može modifikovati i ponavljati šifrovane} poruke (tzv. block replay problem) bez poznavanja ključ_{a i algoritma, u slu}č_{aju da} ima moguć_{nost presretanja šifrovanih poruka izme}đ_{u dve strane. Ovi problemi su} inicirali uspostavljanje zavisnosti izmeđ_{u susednih blokova šifrata kroz definisanje} novih kriptografskih modova blok šifarskih sistema.

Slika 2.10: Grafič_{ki prikaz rada u ECB modu}

2.1.2.2 Mod ulanč_{avanja blokova (CBC – Cipher Block Chaining)}

Mehanizam ulanč_{avanja povezuje blokove šifrata tako što se rezultat šifrovanja} prethodnih blokova koristi pri šifrovanju tekuć_{eg bloka.}

Drugim reč_{ima, svaki blok se koristi za modifikaciju šifrovanja slede}ć_{eg bloka tako da} svaki blok ST zavisi ne samo od tekuć_{eg bloka OT ve}ć _{i od svih prethodnih blokova} OT. Nač_{ini na koje se to može ostvariti su raznovrsni.}

Slika 2.11: Grafič_{ki prikaz rada u CBC modu}

U CBC modu, Slika 2.11, taj uticaj se realizuje tako što se izvršava operacija “ekskluzivno ili” (XOR) izmeđ_{u OT i neposredno prethodnog bloka ST, a zatim se} tako dobijeni blok podataka šifruje. Preciznije:

1. U povratni registar se smesti inicijalna vrednost.

2. Blok otvorenog teksta i sadržaj povratnog registra se spregnu operacijom ekskluzivne disjunkcije i tako dobijeni blok se transformiše šifarskom transformacijom E č_{ime se formira blok šifrata C.}

3. U povratni registar se smesti C i proces se ponavlja od koraka 2 sve dok ima blokova za šifrovanje.

Na taj nač_{in, rezultat šifrovanja svakog bloka zavisi od svih prethodnih blokova.} Proces dešifrovanja sledi direktno i odvija se na sledeć_{i na}č_in:

1. U povratni registar se smesti inicijalna vrednost.

2. Blok šifrata C dešifruje se primenom transformacije E−1, tako dobijeni blok

teksta i sadržaj povratnog registra se spregnu operacijom ekskluzivne disjunkcije i tako se dobije blok otvorenog teksta.

3. U povratni registar se smesti C i proces se ponavlja od koraka 2 sve dok ima blokova za dešifrovanje.

Matematič_{ki, proces šifrovanja i dešifrovanja može se prikazati na slede}ć_{i na}č_in, relacijama (2.1.1.22) i (2.1.1.23), respektivno:

CT_i =E_k(OT_i ⊕CT_i−1) (2.1.1.22) OT_i =CT_i−1⊕D_k(CT_i) (2.1.1.23) CBC mod prouzrokuje da se identič_{ni blokovi OT šifruju u razli}č_{ite ST blokove samo}

Ovaj problem se može rešiti tako što se za prvi blok podataka uzima neka sluč_ajna velič_{ina. Ovaj blok slu}č_{ajnih podataka se naziva inicijalizacioni vektor (IV). Kada} primalac dešifruje ovaj blok, on prosto smešta IV u povratni registar. Tekuć_{e vreme} sistema (timestamp) č_{esto predstavlja dobro rešenje za IV. Primenom IV, identi}č_ne poruke se šifruju u različ_{ite ST.}

Primenom IV, eliminisana je moguć_{nost primene block replay metode. Štaviše, IV ne} mora da bude tajni podatak i može se preneti otvoreno, zajedno sa ST, uz upotrebu nekog od mehanizama zaštite integriteta.

Međ_{utim, možda ne tako o}č_{igledno kao u ECB modu, i u CBC modu postoje} određ_{eni bezbednosni problemi koji se mogu manifestovati kao odre}đ_{ena mogu}ć_nost da kriptoanalitič_{ar dodaje odre}đ_{ene blokove na krajeve poruka koje se razmenjuju i u} č_{injenici da veoma duge poruke i dalje nisu imune na pojavljivanje odre}đ_enih identič_{nih oblika iako se vrši proces ulan}č_avanja.

2.1.2.3 Mod povratnog šifrovanja (CFB - Cipher-Feedback Mode)

U nekim aplikacijama se javlja potreba da se delovi otvorenog teksta šifruju i prenose u u jedinicama velič_{ine r bita (r < n –veli}č_{ina bloka), što u CBC modu nije mogu}ć_e. Ovim modom se prevazilazi osnovni problem CBC moda - da šifrovanje i prenos podataka ne mogu poč_{eti sve dok se ne primi kompletan blok podataka. U CFB} modu, podaci se šifruju u manjim jedinicama od aktuelne velič_{ine bloka i ovaj mod se} označ_{ava kao r-bitni CFB mod, gde je r manje ili jednako od veli}č_{ine bloka osnovnog} blok šifarskog sistema.

Proces šifrovanja se odvija na sledeć_{i na}č_{in, Slika 2.12:}

1. Otvoreni tekst se podeli u blokove velič_{ine r bita, formira se inicijalni vektor} velič_{ine n bita i smesti u povratni registar. Odabere se K, klju}č _{za šifarsku} transformaciju.

2. Formira se izlazni blok, O, tako što se izvrši šifarska transformacija ključ_{em K} tekuć_{eg sadržaja povratnog registra.}

3. Blok šifrata se formira tako što se operacija ekskluzivne disjunkcije izvrši nad tekuć_{im blokom otvorenog teksta i r bita najmanje težine bloka O.}

4. Sadržaj povratnog registra se pomera za r bita u levo i na mesto r bita najmanje težine se smešta formirani blok šifrata.

Koraci 2-4 se ponavljaju sve dok ima blokova otvorenog teksta. Dešifrovanje se odvija na slič_{an na}č_in.

1. Formira se inicijalni vektor velič_{ine n bita i smesti u povratni registar. Odabere} se K, ključ _{za šifarsku transformaciju.}

2. Formira se izlazni blok, O, tako što se ivrši šifarska transformacija ključ_{em K} tekuć_{eg sadržaja povratnog registra.}

3. Blok otvorenog teksta se formira tako što se operacija ekskluzivne disjunkcije izvrši nad tekuć_{im blokom šifrata i r bita najmanje težine bloka O.}

4. Sadržaj povratnog registra se pomera za r bita ulevo i na mesto r bita najmanje težine se smešta tekuć_{i blok šifrata.}

Inicijalizacioni vektor ima istu ulogu kao i u CBC modu, da spreč_{i pojavljivanje istih} šifrata u sluč_{aju istih poruka šifrovanih jednakim klju}č_{evima. Iz opisa na}č_ina transformacije jasno je da je za ispravno dešifrovanje neophodno da je prethodnih

    k n

blokova šifrata ispravno dešifrovano.

S obzirom da se i u procesu šifrovanja i u procesu dešifrovanja koristi ista šifarska transformacija, to algoritam kojim se formira blok O ne može biti iz klase algoritama sa javnim ključ_em.

Slika 2.12: Grafič_{ki prikaz rada u CFB modu}

2.1.2.4 Izlazni povratni mod (OFB – Output Feedback Mode)

Ovaj mod rada predstavlja spoj dobrih osobina ECB i CFB modova rada, spreč_ava propagaciju greške i ima poboljšane bezbednosne karakteristike. OFB mod rada takođ_{e omogu}ć_{ava prenos podataka u jedinicama manjim od veli}č_{ine bloka.}

Transformacija otvorenog teksta se odvija na sledeć_{i na}č_{in, slika 2.13:}

1. Otvoreni tekst se podeli u blokove velič_{ine r bita, formira se inicijalni vektor} velič_{ine n bita i smesti u povratni registar. Odabere se K, klju}č _{za šifarsku}

2. Formira se izlazni blok, O, tako što se izvrši šifarska transformacija ključ_{em K} tekuć_{eg sadržaja povratnog registra .}

3. Blok šifrata se formira tako što se operacija ekskluzivne disjunkcije izvrši nad tekuć_{im blokom otvorenog teksta i r bita najmanje težine bloka O.}

4. Blok O postaje sadržaj povratnog registra.

Koraci 2-4 se ponavljaju sve dok ima blokova otvorenog teksta. Dešifrovanje se odvija na slič_{an na}č_in.

• Formira se inicijalni vektor velič_{ine n bita i smesti u povratni registar. Odabere} se K, ključ _{za šifarsku transformaciju.}

• Formira se izlazni blok, O, tako što se ivrši šifarska transformacija ključ_{em K} tekuć_{eg sadržaja povratnog registra.}

• Blok otvorenog teksta se formira tako što se operacija ekskluzivne disjunkcije izvrši nad tekuć_{im blokom šifrata i r bita najmanje težine bloka O.}

• Sadržaj povratnog registra zameni se formiranim blokom O.

Koraci 2-4 se izvršavaju sve dok ima blokova za dešifrovanje.

Prethodno izloženi opis je prema standardu ISO 10116. Postoje takođ_{e i druge} varijacije na ovu temu (npr. FIPS-81) ali se ova izložena verzija smatra, za sada, najbezbednijom.

Slika 2.13: Grafič_{ki prikaz rada u OFB modu}

Pored toga što se radom u ovom modu onemoguć_{ava propagacija greške, dobra} osobina ovog moda rada je i to što se već_{i deo izra}č_{unavanja može izvršiti off-line,} nakon č_{ega se vrši samo XOR-ovanje izlaza algoritma i jedinica OT.}

Detaljna analiza OFB moda rada je pokazala da ovaj mod rada treba koristiti samo u sluč_{aju da je r jednako dužini bloka n. Drugim re}č_{ima, 64-bitne blok šifarske} algoritme treba koristiti u 64-bitnom OFB modu.

2.1.2.5 Izbor odgovarajuć_{eg moda rada blok šifarskog sistema}

Jedan od č_{etiri bazi}č_{na moda rada – ECB, CBC, OFB ili CFB pogodan je za skoro} svaku aplikaciju. Koji ć_{e se mod koristiti zavisi od korisnikovih specifi}č_{nih zahteva.} Ako su jednostavnost i brzina najbitniji, ECB mod je pravi izbor, kao najlakši i najbrži mod za korišć_{enje blok šifarskih sistema. Me}đ_{utim, ECB mod je najslabiji sa} bezbednosne tač_{ke gledišta i ne preporu}č_{uje se za šifrovanje poruka. Sa druge} strane, ECB mod je veoma dobar za šifrovanje kratkih sluč_{ajnih podataka, kao što su} na primer ključ_{evi, jer se pri tome ne iskazuju prepoznate slabosti ECB moda.}

Za šifrovanje normalnog OT treba koristiti CBC, CFB ili OFB mod. CBC je generalno najbolji mod za šifrovanje datoteka. Takođ_{e, ako je aplikacija softverski bazirana,} CBC je skoro uvek najbolje rešenje. Sa druge strane, CFB mod (specijalno 8-bitni CFB mod) je generalno mod koji treba birati za šifrovanje nizova karaktera u kojima se svaki karakter tretira individualno, kao na primer u vezi izmeđ_{u terminala i host} rač_{unara. OFB mod rada se naj}č_ešć_{e koristi u sinhronim sistemima visokih brzina} gde se ne toleriše propagacija grešaka.

2.1.3 Sekvencijalni šifarski sistemi

Sekvencijalni šifarski sistemi predstavljaju vrlo važnu klasu šifarskih algoritama. Oni transformišu pojedinač_{ne karaktere (naj}č_ešć_{e bite i bajtove otvorenog teksta)} koristeć_{i transformaciju koja pored klju}č_{a zavisi na odre}đ_{eni na}č_{in i od vremenskog} trenutka u kojem se primenjuje, za razliku od blokovskih šifarskih sistema koji transformišu blokove otvorenog teksta nepromenljivom transformacijom tokom šifrovanja cele poruke.

Kao i obič_{no, u praksi, ova podela nije tako rigidna, postoje transformacije koje se} mogu po svojim osobinama svrstati i u jedne i u druge. Tako na primer CFB i OFB modovi blokovskih šifarskih sistema imaju neke karakteristike sekvencijalnih šifarskih sistema. Sa druge strane sekvencijalni šifarski sistemi se mogu smatrati blokovskim kod kojih je dužina bloka jedan karakter (bit, bajt ili mašinska reč _{(word) dužine 16,} 24 ili 32 bita).

Generalno govoreć_{i sekvencijalni šifarski sistem sastoji se od generatora niza klju}č_a (keystream generator) koji generiše niz jedinica ključ_{a k1, k2, …, ki, … i funkcije f koja} se primenjuje na niz jedinica OT: p1, p2, …, pi, proizvodeći niz jedinica ST: c1, c2, …,

ci, na bazi sledeće relacije:

c_i = f(k_i,p_i) (2.1.3.1) Na drugom kraju komunikacije, primenom inverzne funkcije na parove jedinica šifrata

p_i = f−1(k_i,c_i) (2.1.3.2) jer je funkcija f tako odabrana da je

pi f 1(ki, f(ki,pi)) −

= (2.1.3.3) Zbog jednostavnosti obrade za f se najč_ešć_{e koristi ekskluzivna disjunkcija (XOR} operacija). Bezbednost nizovnog šifarskog sistema primarno je određ_ena kriptološkim kvalitetom generatora niza ključ_a.

2.1.3.1 Klasifikacija sekvencijalnih šifarskih sistema

Klasifikacija sekvencijalnih šifarskih sistema se može vršiti po različ_{itim kriterijumima,} po nač_{inu na koji se generiše niz klju}č_{a, po tipu primenjenog algoritma (sa javnim ili} tajnim ključ_{em), itd. Osnovna je podela po na}č_{inu na koji se generiše niz klju}č_{a. U} tom smislu postoje sistemi sa sluč_{ajnim i pseudo-slu}č_{ajnim nizom.}

Sistemi sa sluč_{ajnim nizom – kod ovih sistema niz klju}č_{a se generiše na slu}č_ajan nač_{in, tako što se jedinice klju}č_{a generišu nezavisno i slu}č_{ajno. Ako se prema} prethodnim oznakama za funkciju f uzme ekskluzivna disjunkcija, tada se dobija takozvani “one time pad” sistem za koji se može teorijski pokazati da je apsolutno siguran, tj. da šifrat ne nosi nikakvu informaciju o otvorenom tekstu.

Sa druge strane taj sistem je i optimalan u smislu da koristi najkrać_{i klju}č _{kojim se} postiže apsolutna sigurnost. Naime, Šenon je u svojim radovima pokazao da je neophodan uslov za apsolutnu bezbednost da entropija ključ_{a bude ve}ć_{a ili jednaka} od entropije poruke. Kako je kod ovog sistema entropija ključ_{a jednaka dužini poruke,} č_{ija entropija ne može biti ve}ć_{a od njene dužine, to sledi da je ovo zbilja optimalan} sistem u navedenom smislu.

Nedostatak ovog sistema je u č_{injenici da oba u}č_{esnika komunikacije moraju imati} isti niz ključ_{a koji mora biti tajan, što proizvodi, ponekad nepremostive, probleme u} upravljanju ključ_{evima jer treba obezbediti i dostaviti stranama u komunikaciji velike} količ_{ine klju}č_{eva kako bi mogle nesmetano da komuniciraju.}

Sistemi sa pseudosluč_{ajnim nizom – kod ovih sistema se na osnovu inicijalne}

vrednosti i dogovorenog algoritma generiše niz jedinica ključ_{a. Posedovanjem} identič_{ne inicijalne vrednosti, obe strane u komunikaciji su u stanju da produkuju isti} niz jedinica ključ_{a i da ostvare bezbednu komunikaciju. Kako je generisanje jedinica} ključ_{a deterministi}č_{ko, niz klju}č_{a je u potpunosti definisan sa:}

• Poč_{etnim unutrašnjim stanjem – inicijalna vrednost kojom se definiše po}č_etno stanje generatora ključ_a,

• Funkcijom narednog stanja – koja na bazi prethodnog unutrašnjeg stanja generiše novo unutrašnje stanje,

• Izlaznom funkcijom – koja na osnovu unutrašnjeg stanja generiše izlaznu jedinicu ključ_a.

Posledica č_{injenice da je niz klju}č_{a deterministi}č_{ki je da je on nužno periodi}č_{an. Iako} su ovo na izgled č_{injenice koje ovakve sisteme zna}č_{ajno dezavuišu, stvari ne stoje} tako loše, i ti problemi se mogu sasvim uspešno prevazić_{i. Naime, bezbednost} ovakvih sistema direktno zavisi od velič_{ine inicijalnih podataka i kvaliteta} dogovorenog algoritma. Dobro dizajnirani algoritmi ovog tipa pružaju zaštitu koja je po kvalitetu vrlo blizu apsolutno bezbednim sistemima.

Sekvencijalni šifarski sistemi sa pseudosluč_{ajnim nizom se dele u dve velike grupe:}

• Sinhroni sekvencijalni šifarski sistemi

• Samosinhronišuć_{i sekvencijalni šifarski sistemi}

Sinhroni sekvencijalni šifarski sistemi su oni kod kojih se niz ključ_{a generiše} nezavisno od otvorenog teksta i šifrata, slika 2.14.

Proces šifrovanja se može opisati sledeć_{im skupom jedna}č_ina:

) , ( ) , ( ) , ( 1 i i i i i i i m z h c k g z k f = = = +

σ

σ

σ

(2.1.3.4)

Gde se poč_{etno stanje,} ơ_{0, odre}đ_{uje na osnovu inicijalne vrednosti k, f je funkcija} sledeć_{eg stanja, g je funkcija koja produkuje niz klju}č_a

i

z a h izlazna funkcija koja od otvorenog teksta mii niza ključa zi formira šifrat ci.

Kod ovih sistema niz ključ_{a se generiše nezavisno od niza jedinica poruke. Na obe} strane u komunikaciji se istovremeno generišu nizovi ključ_{a. U}č_{esnici u komunikaciji} su u stanju da razmenjuju poruke sve dotle dok su algoritmi za generisanje niza ključ_{a sinhronizovani me}đ_{u sobom.}

Ukoliko se desi gubitak ili umetanje jednog ili više jedinica tokom prenosa ST, dešifrovanje ć_{e biti nekorektno. U slu}č_{aju takvog doga}đ_{aja, generatori niza klju}č_{a na} predajnoj i prijemnoj strani moraju se resinhronizovati, pre nego što nastave komunikaciju.

Sa druge strane, u ovim sitemima se ne propagira greška i svaki pogrešan bit u prenosu ostać_{e i u dešifrovanom obliku pogrešan, ali ta greška ne}ć_{e uticati ni na} prethodne ni na buduć_{e bite za prenos.}

Prethodno navedena osobina može poslužiti aktivnom protivniku kao osnova za različ_{ite vrste pokušaja kompromitovanja ovakvog sistema.}

Slika 2.14: Grafič_{ki prikaz rada sinhronih sekvencijalnih šifarskih sistema}

Samosinhronišuć_{i asinhroni sistemi su oni kod kojih je niz klju}č_{a dobija u funkciji} inicijalne vrednosti, dogovorenog algoritma i izvesnog konstantnog broja prethodnih jedinica šifrata, Slika 3.15. Proces šifrovanja se opisuje sledeć_{im skupom jedna}č_ina:

) , ( ) , ( ) , ( _{1, , 1} i i i i i i t i t i i m z h c k g z c c c = = = _{− −− −}

σ

σ

K (2.1.3.5)

Gde je

σ

₀ =(c_−t,K,c₋₁)_{inicijalno stanje, po}č_{etno stanje odre}đ_{uje se na osnovu} inicijalne vrednosti k, f je funkcija sledeć_{eg stanja, g je funkcija koja produkuje niz} ključ_a

i

z a h izlazna funkcija koja od otvorenog teksta mii niza ključa zi formira šifrat i

c . Kod ovih sistema moguć_{e je ostvariti samosinhronizaciju zato što dešifrovanje} zavisi samo od fiksnog broja prethodnih jedinica šifrata, tako da je moguć_e sinhronizaciju ponovo uspostaviti vrać_{anjem na odre}đ_{eni broj dobro primljenih} znakova šifrata.

Slika 2.15: Grafič_{ki prikaz rada samosinhronišu}ć_{ih sistema sa pseudo-slu}č_ajnim nizom

Kod ovih sistema propagacija greške je takođ_{e ograni}č_{ena na fiksiran broj} uzastopnih jedinica a posle toga se preostale jedinice šifrata mogu ispravno dešifrovati.

Sekvencijalni šifarski sistemi imaju veliku ulogu u zaštiti masovnih podataka zato što obezbeđ_{uju kvalitetnu zaštitu a pri realizaciji obezbe}đ_{uju veliku brzinu obrade.}

Teorija analize i sinteze sekvencijalnih šifarskih sistema sa pseudosluč_{ajnim nizom je} veoma razvijena i u glavnom jedna podstič_{e drugu na razvoj.}

2.1.3.2 RC4 algoritam

RC4 je najkorišteniji sekvencijalni algoritam i koristi se u popularnim protokolima kao što su SSL i WEP. Izvrstan je zbog jednostavnosti i brzine, ali je sa druge strane ranjiv na napade kada poč_{etak izlaznog niza nije odba}č_{en ili kada se jedan klju}č koristi dvaput.

RC4 je jednostavan za opis. Ima 256 S-box-ova. Ulazi su permutacija brojeva od 0 do 255, a permutacija je funkcija ključ_{a promenljive dužine. Ima dva broja}č_{a, i i j,} postavljena na 0. Za generisanje sluč_{ajnog bajta koristi se slede}ć_{i algoritam:}

i = (i + 1) mod 256 j = (j + Si) mod 256

zamijeni Si i Sj

t = (Si + Sj) mod 256

K = St.

Bajt K se XOR-uje sa otvorenim tekstom da bi se dobio šifrat ili XOR-uje sa šifratom da bi se dobio otvoreni tekst. Enkripcija je brza (oko 10 puta brža nego kod DES-a). Inicijalizacija S-box-ova je takođ_{e lagana.}

Prvo se popunjavaju linearno: S0 = 0, S1 = 1,..., S255 = 255.

Zatim se generiše drugi 256-bajtni niz ključ_{a, ponavljaju}ć_{i klju}č _{koliko je potrebno da} se popuni cijeli niz: K0, K1,..., K255. Indeks j se postavlja na 0. Tada se izvršava

sljedeć_{a petlja:}

for i = 0:255

j = (j + Si + Ki) mod 256

zameni Si iSj.

2.1.4 Komparativna analiza blok i sekvencijalnih šifarskih sistema

Iako su blok i sekvencijalni šifarski sistemi veoma različ_{iti, blok sistemi se mogu} implementirati kao sekvencijalni sistemi i obrnuto. Razlike se najviše iskazuju u implementaciji ovih sistema. Naime, sekvencijalni šifarski sistemi koji šifruju i dešifruju svaku jedinicu OT nisu previše pogodni za softverske implementacije. Oni su pogodni za šifrovanje i dešifrovanje podataka u realnom vremenu, i to posebno ako su realizovani u hardveru.

Sa druge strane, blok šifarski sistemi su lakši za implementaciju u softveru zato što č_{esto izbegavaju vremenski zahtevne bitske manipulacije i zato što rade nad} podacima u rač_{unarski podeljenim blokovima. Postoje neki specifi}č_{ni momenti gde} šifrovanje jedinica OT može biti od interesa i u rač_{unarskim sistemima, kao na primer} šifrovanje veze izmeđ_{u tastature i procesora, ali i u tom slu}č_{aju blok koji se šifruje} treba da bude najmanje širine magistrale podataka.

U savremenom razvoju kriptologije svedoci smo sve intenzivnijeg korišć_{enja kako} blok tako i sekvencijalnih šifarskih sistema. Savremene aplikacije finansijskih i poslovnih transakcija su prouzrokovale eksplozivan rast primena pomenutih šifarskih sistema i to: DEA, 3-DES, RC2, IDEA, AES, itd. kao blok šifarskih sistema, i RC4, i drugih, kao sekvencijalnih šifarskih sistema.

U savremenim softverskim i hardverskim proizvodima za zaštitu finansijskih, poslovnih i državnih rač_{unarskih mreža uglavnom se podržava} č_{itav skup najviše} korišć_{enih blok i sekvencijalnih algoritama (de facto standardnih algoritama).}

2.2 Asimetri

č

_{ni kriptografski algoritmi}

Asimetrič_{ni kriptografski algoritmi predstavljaju jedno od najve}ć_{ih dostignu}ć_a kriptologije druge polovine dvadesetog veka. Otkriveni su u procesu rešavanja problema vezanih za zaštitu tajnosti i distribuciju ključ_{eva koji je} č_{esto bio aktuelan u} primenama simetrič_{nih kriptografskh algoritama.}

Naime, u asimetrič_{nim šifarskim sistemima se koriste razli}č_{iti klju}č_{evi za šifrovanje i} dešifrovanje, tzv. javni i tajni ključ_{, tako da klju}č _{za šifrovanje može imati svako a} samo posednik ključ_{a za dešifrovanje može dešifrovati poruku.}

Međ_{utim, visoka ra}č_{unarska zahtevnost ovih algoritama uti}č_{e na performanse} sistema u kojima se primenjuju, tako da se ne preporuč_{uje primena za zaštitu tajnosti} informacija u sistemima sa velikim protokom informacija.

Ovo naravno ne dezavuiše automatski ove algoritme jer nač_{in na koji je uz koriš}ć_enje ovakvih algoritama moguć_{e ostvariti funkcije integriteta, autenti}č_{nosti i neporicanja} ima nesumnjivu prednost nad tradicionalnim tehnikama.

U literaturi je opisano više algoritama sa javnim ključ_{em ali sa stanovišta kvaliteta,} otpornosti na razne vrste napada, efikasnost i lakoć_{u implementacije te}

rasprostranjenost, nisu svi podjednako dobri. U tom smislu se kao prirodni izbor nameć_{e RSA algoritam koji više od dvadeset godina odoleva svim teorijskim i} tehnološkim napadima.

Opis i nač_{in upotrebe ovog algoritma propisani su u standardu PKCS#1. Pored RSA} algoritma moguć_{e je koristiti i druga dva algoritma, DSA (Digital Signature Algorithm)} i ECDSA (Elliptic Curve DSA), koja spadaju u standard digitalnog potpisa (NIST standard DSS (Digital Signature Standard).

2.2.1 PKCS#1 standard

PKCS#1 standard opisuje metode šifrovanja podataka korišć_{enjem RSA} asimetrič_{nog algoritma i naj}č_ešć_{e se koristi za konstrukciju digitalnog koverta i} digitalnog potpisa.

U sluč_{aju digitalnog koverta, sadržaj poruke se prvo šifruje odre}đ_{enim simetri}č_nim algoritmom (kao što su DES, 3-DES, RC2, RC4, IDEA, AES, ili neki namenski privatni algoritmi). Zatim se tajni ključ _{primenjenog simetri}č_{nog algoritma koji je} upotrebljen za šifrovanje date poruke šifruje RSA algoritmom upotrebom javnog ključ_{a korisnika kome je data poruka namenjena (RSA public key operacija).}

Tako šifrovan sadržaj poruke i tajni ključ _{kojim je ta poruka šifrovana zajedno} predstavljaju digitalni koverat.

Postupak šifrovanja i dešifrovanja putem tehnologije digitalnog koverta je prikazan na slikama 2.16 i 2.17, respektivno.

Slika 2.17: Digitalna envelopa – dešifrovanje

U sluč_{aju digitalnog potpisa, Slika 2.18, sadržaj koji treba da se potpiše, poruka M,} prvo se redukuje u otisak poruke (message digest), H, primenom nekog od metoda za kreiranje otiska poruke, message-digest algoritma (kao što su na primer MD5 ili SHA-1 algoritmi), a zatim se dobijeni otisak poruke šifruje primenom, na primer, RSA algoritma koristeć_{i privatni klju}č _{potpisnika poruke (RSA private key operacija), klju}č A. Šifrovani otisak poruke predstavlja digitalni potpis date poruke, S, i postaje njen pridruženi deo.

Kada ovakva poruka stigne do primaoca kojem je namenjena izvršava se postupak verifikacije digitalnog potpisa. Ovaj postupak se sastoji od dešifrovanja otiska dobijene poruke primenom RSA algoritma uz upotrebu javnog ključ_{a pošiljaoca} poruke, ključ _{B. Po dešifrovanju digitalnog potpisa primalac poruke izvrši isti} message digest postupak nad dobijenom porukom, M1.

Ako je dobijeni otisak poruke, H1, identič_{an sa dešifrovanom vrednoš}ć_{u otiska,} verifikacija je uspela, u protivnom verifikacija je negativna.

Ukoliko je verifikacija uspela, primalac poruke je siguran u sledeć_e:

• Autentič_{nost pošiljaoca – jer je uspešno dešifrovao otisak poruke primenom} RSA algoritma sa javnim ključ_{em datog pošiljaoca,}

• Integritet poslate poruke – ako su izrač_{unati i dešifrovani otisci date poruke} identič_{ni zaklju}č_{uje se da poruka na prenosnom putu nije menjana, i}

• Nemoguć_{nost da pošiljalac naknadno porekne da je tu poruku poslao jer je} njegov digitalni potpis uspešno verifikovan i ukoliko je potpisnik koristio privatni ključ _{generisan na smart kartici.}