cripto

Segurança de Dados – Criptografia(novembro 2003)

Routo Teradawww.ime.usp.br/~rt

Depto. C. da Computação - USP

Segurança de Dados -RT

2

Livro: Segurança de Dados, R. Terada, Edit. Blücher, ano 2000,


3

Resumo

• Técnicas de proteção de informaçãosigilosa

• Autenticação do remetente e destinatáriode documentos eletrônicos: assinaturadigital/criptográfica

• Técnicas de identificação de usuários em redes de computador: proteção de senha

• Proteção de integridade de banco de dados


4

Breve histórico

• Algoritmos eram secretos até meados de 1970• Década de 1970: algoritmos DES e RSA públicos• Segurança baseada só no segredo da chave• Criptanálise dos algoritmos feita por especialistas• Aprimoramentos sucessivos em (1) segurança e

(2) velocidade

Seg. Guerra

Enigma Machine

DES e RSA Z.Knowl., IDEA,

smart cards, etc.

DSS,PGP, SSL, etc.

Curvas elípticas

AES, NESSIE

Quantum crypto

~1975 ~1985 ~1995 ~2000


5

ALICE origem

provedor

BETO

provedor

destino

linha de comunicação

Cenário geral


6

ALICE origem

provedor Intruso

BETO

provedor

destino


Objetivo: esconder info (como o número do seu cartão de crédito) de algum intruso na linha ou no provedor


7

CIFRA DE CÉSAR

legível A B C D E F G H I J K L M ilegível D E F G H I J K L M N O P

legível N O P Q R S T U V W X Y Z ilegível Q R S T U V W X Y Z A B C

legível S A T U R N O ilegível VV DD WW XX UU QQ RR

Total de 25 chaves, preserva freqüência das letras, fraco

Chave=33


8

Objetivo: VDWXUQR ilegível para o Intruso

Chave=3

ALICE

provedor

SATURNO

Intruso

VDWXUQR

SATURNO BETO

provedor

Chave=3

Cifra de César

Canal Seguro


9

chave

fK(x)=y

Alice

f-1K(y)=x-

Beto

chave

linha decomunicação

Κ Κ

yx x

legível legívelilegível

Problema importante: necessidade de combinarpreviamente a chave K de maneira totalmente segura

Formalmente tem-se uma função matemática e sua inversa

Canal Seguro


10

ENIGMA – máquina criptográfica alemã (II Guerra Mundial)


11

ENIGMA e a máquina BOMBE


12

Pontos importantes

• "insider" - maioria dos crimes eletrônicoscausados por "insiders"

• tecnologicamente, manter um passo à frentedos criminosos

• só senha - proteção fraca• insegurança eletrônica é invisível• muitos crimes não deixam rastros


13

Ataque de senhas (ATM)


14

1

2

16

DES


15

XOR Subchave

DES: chave de 56 bits, 16 iterações

32 bits 32 bits

x

f

x(xor)f

f DK jj( ) K j

jEesqMetade .

1. +jEesqMetade

jDdirMetade .

1. +jDdirMetade

DES


16

DES-Data Encryption Standard Quebrar DES?

• Chave de 40 bits = cerca de 1 trilhão de chaves possíveis• 18 minutos à razão de 1 bilhão de tentativas de chaves por

segundo, para achar a chave de 40 bits• Computador distribuído DeepCrack possui velocidade média de

90 bilhões de chaves por segundo• 4,5 dias para DeepCrack achar a chave de 56 bits• No seu pico de desempenho, DeepCrack conseguiu velocidade de

250 bilhões de chaves por segundo• Maiores detalhes do DeepCrack no web-site www.distributed.net

DES


17

Criptanálise Diferencial – 247 tentativasBiham, Shamir, 1990 (256/247=512)

Criptanálise Linear – 243 tentativasMatsui, 1994 (256/243=8.192)

Como descobrir uma chave DES?256 chaves possíveis

DES


18

3-DES de 3 chaves

DES inversoDES DES

x y

K1 K2 3K

bitsKKK )563(|||||| 321 ×=++

NÃO permite assinatura

DES


19

Outros algoritmos como o DES:• IDEA pg 57• SAFER pg 67• RC5 pg 71• RC6 pg 75• FEAL pg 81• AES à a seguir• etc.


20

Algoritmo OrganizaçãoCAST-256 Entrust Technologies, Inc. (Carlisle Adams) CRYPTON Future Systems, Inc. (Chae Hoon Lim) DEAL Richard Outerbridge, Lars Knudsen DFC CNRS - Centre National pour la Recherche Scientifique - Ecole

Normale Superieure (Serge Vaudenay) E2 NTT - Nippon Telegraph and Telephone Corp. (Masayuki Kanda) FROG TecApro Internacional S.A. (Dianelos Georgoudis) HPC Rich SchroeppelLOKI97 Lawrie Brown, Josef Pieprzyk, Jennifer SeberryMAGENTA Deutsche Telekom AG (Dr. Klaus Huber) MARS * IBM (Nevenko Zunic) RC6 * RSA Laboratories (Burt Kaliski) RIJNDAEL * Joan Daemen, Vincent RijmenSAFER+ Cylink Corporation (Charles Williams) SERPENT * Ross Anderson, Eli Biham, Lars Knudsen TWOFISH * Bruce Schneier, John Kelsey, Doug Whiting, David Wagner,

Chris Hall, Niels Ferguson

(*) cinco finalistas na competição (New York -NY, Abril 13-14, 2000)

Advanced Encryption Standard

http://csrc.nist.gov/encryption/aes128 bits de chave

AES


21

AES - Advanced Encryption Standard* sucessor do DES a partir de 2002 *

• Competição internacional aberta desde 1997• Bloco de 128 bits na entrada e na saída• Chave de 128 ou 192 ou 256 bits• Segurança e velocidade igual ou superior a

Triple-DES• Deve ser implementável eficientemente em

soft/hard/smart-card• RIJNDAEL -Joan Daemen, Vincent Rijmen

NIST

AES


22

• Ataque de 7 rounds para chave de 128 bits• Ataque de 8, para chave de 192 bits• Ataque de 9, para chave de 256 bits

AES - Advanced Encryption Standard* criptanálise * (N. Ferguson et al., FSE2000, LNCS vol1978)

Com chave de 128 bits, autores mostraram:quebra de 6 rounds (J. Daemen V. Riejman)

AES


23

Entrada de Nb words de 32 bits(State)

Soma inicial de State com Roundkey[0]

Saída de Nb words de 32 bits(State)

ü Round 1:(1) ByteSub(State);(2) ShiftRow(State);(3) MixColumn(State);(4) AddRoundKey(State,RoundKey[1]);

ü Round 2:(1) ByteSub(State);(2) ShiftRow(State);(3) MixColumn(State);(4) AddRoundKey(State,RoundKey[2]);

ü Round Nr-1:(1) ByteSub(State);(2) ShiftRow(State);(3) MixColumn(State);(4) AddRoundKey(State,RoundKey[Nr-1]);

ü Tranformação Final:(1) ByteSub(State);(2) ShiftRow(State);(4) AddRoundKey(State,RoundKey[Nr]);

Inversa: AESSaída de Nb words de 32 bits

(State)Soma inicial de State com RoundKey[0]

Entrada de Nb words de 32 bits(State)

ü Round 1:(4) inv AddRoundKey(State,RoundKey[1]);(3) inv MixColumn(State);(2) inv ShiftRow(State);(1) inv ByteSub(State);

ü Round 2:(4) inv AddRoundKey(State,RoundKey[2]);(3) inv MixColumn(State);(2) inv ShiftRow(State);(1) inv ByteSub(State);

ü Round Nr-1:(4) inv AddRoundKey(State,RoundKey[Nr-1]);(3) inv MixColumn(State);(2) inv ShiftRow(State);(1) inv ByteSub(State);

ü Tranformação Final:(4) inv AddRoundKey(State,RoundKey[Nr]);(2) inv ShiftRow(State);(1) inv ByteSub(State);

1

2

Nr-1

Nr


24

Criptografia de Chave Pública• Modelo de Diffie e Hellman (Stanford)• Implementado no MIT por Rivest, Shamir e

Adleman – RSA• Outras implementações:

Rabin pg 117El Gamal pg 120Curvas Elípticas pg 130MH -- Merkle Hellman pg 142etc..


25

ALICE BETO

provedor provedor

info1234567

Objetivo: só Beto pode “abrir” a info.

Intruso

Modelo Diffie e Hellman (Stanford) 1976

PB SB

Chave pública do Beto Chave particular do Beto

info criptografada c3%)?>#

info1234567

DH


26

PB SB

Chavepúblicado Beto

Chaveparticulardo Beto

ALICE BETO

Intruso

(1) É computacionalmente inviável calcular SB a partir do conhecimento de PB(2) É computacionalmente inviável “abrir o envelope” sem conhecer SB, mas é

fácil “fechar o envelope” com a chave PB

DH


27

PB SB

Chavepúblicado Beto

Chaveparticulardo Beto

ALICE BETO

Intruso

Conseqüência das duas propriedades:Só Beto pode “abrir o envelope” pois só ele conhece a chave particular.Isto é, há garantia de autenticidade do destinatário.

DH


28

Observação importante:

não há mais necessidade de secombinar previamente a chave secreta, de maneira segura(como necessário nos casos DES e AES)pois a chave pública pode ser até publicadacomo em lista telefônica.

....

....Alice 821332001823410075....Beto 773955910200231821........

Lista de chaves públicas

Beto, por ex., calcula o seu par de chaves, guarda a particular no seu computadore publica a sua chave na Lista de chaves públicas.

Idéia:“cartórioeletrônico”

DH


29

Lista deChaves Públicas

de AliceJoão

PedroBeto

José

Textolegível

Textolegível

Algoritmo decriptografia

Algoritmo dedecriptografia

Texto ilegível

Chave Particularde Beto

Esquema de Esquema de Chave PúblicaChave Pública DH


30

Conceito: one-way trapdoor function(função unidirecional alçapão)

1234567

c3%)?>#

fácil

difícil (para quem desconhece a chave particular)

função “armadilha”

DH


31

SA PA

ChavepúblicadaAlice

Chaveparticularda Alice

ALICE BETO

Intruso

Propriedade adicional (terceira propriedade):(3) É possível aplicar “fechar o envelope”com a chave particular SA

e “abrir” com a chave pública PA

DH


32

SA PA



ALICE BETODH

Conseqüência importante:Beto sabe que só a Alice verdadeira pode ter enviado o envelope poisele o abriu com a chave pública da Alice: autenticação do remetenteÉ análogo a Alice ter “assinado” eletronicamente o envelope.

(observe que senha ou DES não autentica o remetente; por quê?)


33

Não-repúdio

SA PA



ALICE BETODH

Outra conseqüência importante (não-repúdio):Alice não pode negar que tenha enviado, pois Beto usou a chavepública da Alice para abrir: não-repúdio da informaçãoÉ análogo a Alice ter “assinado” um cheque.(observe que senha ou DES não possui esta propriedade; por quê?)


34

q, r primos

RSA- Rivest Shamir Adleman, 1978

Exemplo: q=5, r=11, n=55, s=17, p=33, 17×33=1 mod 40

)]1)(1mod[(1,1)]1)(1(,[, −−=×=−−×= rqpsrqsmdcrqn

Criptografia de chave pública

ynx p =mod xny s =modCriptografar x com chave pública p Decriptografar y com chave particular s

RSA

933mod 55=14 1417mod 55=9


35


Autenticação do destinatário (Beto)

ALICE BETO

provedor provedor

9 33(mod 55)

17

933mod 55=14

1417mod 55=9

Chaves do Beto: q=5, r=11, n=55, s=17, p=33, 17×33=1 mod 40

Observe: só Beto pode “abrir” 14 e obter 9

RSA)]1)(1mod[(1,1)]1)(1(,[, −−=×=−−×= rqpsrqsmdcrqn

info.


36


RSA, 1978 - Autenticação do destinatário (Beto)

ALICE BETO

provedor provedor

x=9 33(mod 55)

17

933mod 55=14=y

1417mod 55=9

A função xP mod n=y (933mod 55=14) é fácil de calcular, mas é difícilcalcular x (9 neste caso) mesmo conhecendo y (14 neste caso) sem conhecer a chave particular s (17 neste caso).

RSA

info.


37

Conceito: one-way trapdoor function(função unidirecional alçapão)

fácil

difícil para quem desconhece a chave particular

função “armadilha”

933mod 55=14

9

1417mod 55=917

chave pública

informação

33(mod 55)

RSA


38

ALICE BETO

provedor provedor

9

Propriedade (3): “fechar o envelope” com a chave particular

Intruso

Autenticacação do remetente (Alice)

7(mod 22)

3

Chave particular da Alice Chave pública da Alice

15 22 93 mod =

9 22 157 mod =

RSA

info.

Novo par de chaves da Alice


39

ALICE BETO

provedor provedor

x=9

Só a Alice conhece a sua chave particular (7 neste caso), e então sóela pode calcular y=15 a partir de x (9 neste caso). Por isso y é chamado Assinatura Digital da Alice, pois y não é falsificável.

Intruso

7(mod 22)

3

Chave particular da Alice Chave pública da Alice

15 22 93 mod =

9 22 157 mod =

RSA

info.

Assinatura

Novo par de chaves da Alice


40

info x info x’ x

assinatura y

≠

y’ y≠assinatura

Chaveparticular

da Alice

Quando x muda, assinatura y muda correspondentemente.

Exemplo a seguir

RSA


41

ALICE BETO

provedor provedor

x=14 3

Chave particular s da Alice Chave pública p da Alice

20 22 143 mod =

14 22 207 mod =

Exemplo: q=2, r=11, n=22, s=7, p=3, 7×3=1 mod 10

assinatura da Alice sobre 14

7(mod 22)info.

Integridade da informação RSA

Alice usa a chave particular para assinar informação x=14, distinta de 9, anterior. A assinatura y=20 é distinta de 15, anterior. Ou seja, quando x muda, y muda correspondentemente, e então a assinatura garante a integridade da informação x.


42

ALICE

Chave particular s da Alice

9

9 22 157 mod =

Autenticação do remetente e destinatário

Alice aplica 2 chaves

7(mod 22)

ALICE

Chave pública do Beto

33(mod 55)

1533 mod 55=20

envia para Betonão envia;é assinatura

RSA

info.


43

20(recebeu)

Autenticação do remetente e destinatário

Beto aplica 2 chaves

17(mod 55)

3(mod 22)

153 mod 22=9

recupera a assinatura

BETO

BETO

Chave particular do Beto

2017 mod 55=15

Chave pública p da Alice

RSA

info.


44

São Paulo, nn de dezembro de 1999.

Prezado Sr. Silva

Conforme … autorizo o pagamento de 10 milhõesde reais …

Cordialmente,

Alice Cabral

78E829301FA44BA71228D3753AB2

Assinatura criptográfica da Alice

(128 bits)

xQualquer seq. de bits

s é a chave particular da Alice

Hashing(x)

A7762BFF9201BDEEB115294A88D

Criação da assinatura, com a chave particular da Alice

Passo 1

Passo 2

Executável, imagem, etc.

f xs( )

RSA


45

São Paulo, nn de dezembro de 1999.

Prezado Sr. Silva

Conforme … autorizo o pagamento de 10 milhõesde reais …

Cordialmente,

Alice Cabral

78E829301FA44BA71228D3753AB2


(128 bits)

Qualquer seq. de bits

p é a chave pública da Alice

Hashing(x)


Verificação da assinatura, sem a chaveparticular da Alice

Passo 1

Passo 2

x

f xp ( )

RSA


46

ALICE

provedor

FalsaAlice

BETO

provedor


Problema: Falsa Alice personifica a verdadeira perante Beto (i.e., sistema).

Solução: Alice assina criptograficamente a (senha+TimeStamp) com a suachave particular.

(1) grava (2) replay

senha senha

Ataque por replayRSA


47

ALICE

provedor

FalsaAlice

BETO

provedor


Problema: Falsa Alice envia info alterada como se fosse a verdadeira.

Solução: Alice assina criptograficamente a informação com a sua chaveparticular.

(1) lê (2) altera (3) injeta

info info alterada

Ataque por replay ativoRSA


48

ALICE

provedor

Falsa Alice

BETO

provedor

Dicionário de nomes e palavras

Problema: Falsa Alice personifica a verdadeira perante Beto (i.e., sistema).

Solução: Alice assina criptograficamente a (senha+TimeStamp) com a suachave particular.

senha

Ataque por dicionário

RSA


49

ALICE

provedor

Falsa Alice

BETO

provedor


Problema: Falsa Alice envia info para Beto como se fosse a verdadeira.

Solução: Alice assina criptograficamente a informação com a sua chaveparticular.

Personificação da autoraRSA


50

Banco de dados

ler gravar

Intruso

BETO

Objetivo 2: garantir integridade de info. Solução: assinatura criptográfica

Objetivo 1: garantir sigilo. Solução: criptografar

(por ex, loja virtual)

RSA


51

PKI - Public Key Infrastructure

CA - Certificate Authority ("cartório")

Pessoa jurídica ou física

(1) cadastramento (2) chave pública P(3) chave pública P assinada

pela CA, e a chave da CApara verificação da assina-tura

RSA


52

Serial Number: 102251Certificate for: Roberto CabralCompany: Oops Consultoria Ltda.Issued by: LeftSign CertificatesEmail address: [email protected]: 29/01/2002Expiration: 29/01/2005Policy: Gold, contract signingPublic key: a44ff100c5 628ab4481

1baa171792 51bafec123c441b182ab cc29123451b237628767 26bba177af

--------------------------------------------LeftSign’s digital signature:3a72b18aab c2c4f1ff19aa6366876 172563ba66 a6a66273 9471448ba 228dc6ca1 f1228ab233

Exemplo fictício de certificado

RSA


53

n 654321

14

12

10

8

6

4

2

0

Algoritmo NFS para fatoração de inteiro em primos

exponencial

Quebra do Algoritmo RSA

Chave RSA 428 bits -- 5 mil MIPS-anos

Atualmente: recomenda-se mínimo de 768 bits em N

Dificuldade de fatoração de n=q.r

3/23/1 )(ln)(ln92.1 nne

RSA


54

•quantum bit – qubit

•cada qubit pode estar simultaneamente no estado 0 ou no estado 1

•1 qubit -- representado por um átomo, estando emum estado ou outro, com uma probabilidade numérica

•2 qubits podem estar simultaneamente em 4 estados (22)

•n qubits podem estar simultaneamente em 2n estados

•tal fenômeno é chamado superposição de estados

•permite computação paralela de milhões de alternativas simultâneas,utilizando-se só um processador quântico

•Peter Shor publicou algoritmo em tempo polinomial para IFP e DLPSE computador quântico existisse (1994)

Computador quântico: quebra rápidaRSA


55

DES versus RSA

1. DES não permite assinatura criptográfica2. RSA é cerca de 70 vezes mais lento

Em geral:1. Cripto de chave secreta não permite assinatura criptográfica2. Cripto de chave pública é dezenas de vezes mais lento

Recomenda-se sistema híbrido como PGP (a seguir)

RSA


56

PGP – Pretty Good Privacy (Phil Zimmermann)

AESx y

K RSA K’ invRSA

K’

yinvAES x

K

Alice Beto

Chave pública do BetoChave particular do Beto

Sistema híbrido

1. Chave K é gerada p/ Alice2. x é criptografado por IDEA, com K, e y é enviado3. K é criptografado por RSA com chave pública do

Beto (retirado do certificado do Beto) e K’ éenviado também

4. Beto decriptografa K’ com sua chave particular5. Com K, Beto decriptografa y’ por IDEA

PGP


57

0

0,2

0,4

0,6

0,8

1

1,2 COMPARAÇÃO DOS NÍVEIS DE SEGURANÇAECC, RSA, E DSA

0

1000

2000

3000

4000

5000

6000

10000 100000000 1E+12 1E+20 1E+36

Tempo p/ Quebra da Chave (Anos MIPS)

Co

mp

r. c

hav

e(B

its) ECC

RSA &DSA

Nível atual aceitável desegurança (1012 anos MIPS)

C.El.


58

RSA com 1024 bits = =segurança= = ECC com 160 bits

RSA com 2048 bits << segurança muito menor << ECC com 300 bits

COMPARAÇÃO

C.El.


59

Vírus

Programasmal-intencionados

Necessita programa"hospedeiro" Independente

Trapdoor(porta-

armadilha)

BombaLógica

Cavalo-de-tróia Vírus Bacteria Worm

Multiplicam-se rapidamente


60

worm

worm

worm

computador 1

internet

internet

internet

computador 2

computador 3

worm

worm

worm

worm

wormVírus


61

X

X

X

CPU

e-mailou.EXE

Vírus: vírus “infecta” um programa X modificando X; esta modificaçãoinclui uma cópia do vírus em X; quando X é executado, o vírus infectaum outro programa, e assim por diante.Assim como um vírus biológico, o vírus eletrônico necessita de um“hospedeiro” X, que seja executado pelo CPU.

Vírus


62

Vírus

Deteção de vírus

0110010101110101000111001010101000101010111110010101010010100101000011101000100010101010010111110101011111111111110000010101010101010101010000000101110101000100010101111010000100101010100100010011010101010101001010000000101010010010100010101010010101001001011110100100011110001000101010010100001010011111010010101001001010100010101010101001110010010000100010010000000101010010010010010010010100100000


(128 bits)

x

s é a chave particular da Alice


Criação da assinatura, com a chaveparticular da Alice

código executável

f xs( )

“vacinar”, “inocular”, etc..


63

Vírus


(128 bits)

p é a chave pública da Alice


Verificação da assinatura, sem a chaveparticular da Alice

x

f xp ( )

0110010101110101000111001010101000101010111110010101010010100101000011101000100010101010010111110101011111111111110000010101010101010101010000000101110101000100010101111010000100101010100100010011010101010101001010000000101010010010100010101010010101001001011110100100011110001000101010010100001010011111010010101001001010100010101010101001110010010000100010010000000101010010010010010010010100100000

código executável

Deteção de vírus:se assinatura OK,não há vírus em x

“vacinado”, “inoculado”, etc..


64

Cavalo-de-tróia (Trojan Horse): é um programa “escondido” dentro de outro programa; é um tipo de ataque “invisível” para ganhar acesso não autorizado. Não se multiplica.

www.amazon.com

internet

browser(IExplorer)

cavalo de tróia

provedorIntruso insereinternet

dados sigilosos´(por ex. senha)

Vírus


65

http://www.iacr.org/International Association for Cryptologic Research

Electronic Proceedings of the Eurocrypt and Crypto Conferences1981-1997, Kevin S. McCurley and Claus Dieter Ziegler, Editors,Springer-Verlag 1998

http://www.iacr.org/cd/

Bibliografia

1. Douglas Stinson: Cryptography, CRC-Press 19952. Al Menezes et al.: Applied Cryptography, CRC-Press,19973. R. T., Segurança de dados em rede de computadores, Ed. E. Blucher, 2000

Livros

cripto

Documents

Transcript of cripto