Introducere în Criptografie Funcții Criptografice, Fundamente Matematice și Computaţionale

Transcription

1 Itroducere î Criptografie Fucții Criptografice, Fudamete Matematice și Computaţioale Bogda Groza

2 Prefaţă Prezeta lucrare, extide lucrarea autorului publicată î 007 sub titlul Itroducere î criptografia cu cheie publică 1. Această extesie, care refolosește o buă parte di textul aterior era ecesară di două motive: pe de o parte textul aterior cerea îmbuătățiri și actualizări, pe de altă parte o carte dedicată strict criptografiei cu cheie publică adresa o ișă petru care era greu de găsit o audieță potrivită (cel puţi î cadrul uiversităţii î care autorul își desfășoară activitatea didactică). Astfel, prezeta lucrare completează lucrarea aterioară cu detalii privitoare la criptografia cu cheie simetrică, fucţii hash, coduri de autetificare, oţiui de bază despre curbe eliptice, etc., oferid o imagie mult mai completă asupra criptografiei. Nu î ultimul râd, prezeta carte este văzută de autor ca fiid prima ditr-o serie de trei volume ce formează u compediu de criptografie şi securitatea iformaţiei. Volumul 1 este dedicat fucţiilor criptografice şi fudametelor matematice şi computaţioale, î timp ce volumul va fi dedicat protocoalelor criptografice şi aplicaţiilor practice iar volumul 3 uor cocepte avasate î criptografie. Orizotul de timp î care se doreşte publicarea celorlalte două volume este 5-10 ai. Trecâd mai bie de trei deceii de la itrarea criptografiei î domeiul academic, există multe cărţi de referiţă ale domeiului şi desigur e putem îtreba de ce este utilă îcă o carte, aceasta. Î cotextul actual u pare fezabil a preda criptografie după iciua di cărțile mari ale domeiului, î special la ivelul studiilor de liceţă. Poate acest lucru ar devei fezabil î câţiva ai, sau poate este parţial fezabil şi acum la ciclul master, dar di puctul de vedere al autorului este ecesară mult mai multă seriozitate di partea studeţilor care participă. Altfel riscăm a preda criptografie doar petru 5% di audieţă. Mijloace modere de predare (computerul și proiectorul) fac flexibilă predarea şi e oferă posibilitatea de a modela o programă de studii după cum dorim. Dar foliile de curs î format de proiectare coți doar iformație fragmetară, icompletă, puâd studetul la a rezolva u puzzle pri citirea lor. Desigur poate fi u puzzle mai greu sau mai simplu î fucție de priceperea autorului, la fel și cartea, dar î orice caz cartea oferă iformații mai fluete, mai uşor de iterpretat și este î geeral u istrumet de îvățare mai bu. 1 Bogda Groza, Itroducere i Criptografia cu Cheie Publica, Editura Politehica, 007.

3 Nu î ultimul râd, o carte oferă viziuea persoală a autorului asupra domeiului şi poate chiar modul î care autorul l-a îvățat. Cu riscul de a u fi cea mai buă cale, î lipsa uui criteriu petru aceasta, trebuie să e asumăm puterea de a spue ce avem de spus. Existeţa uor cărţi î limba româă, îtr-u momet î care limba ştiiţei la ivel modial este egleza, u poate fi justificată pri prisma oţiuii de cultură ştiiţifică aţioală, deoarece ştiiţa u are o aţie, ea este î cele di urmă a tuturor (matematica u diferă ître cotiete). Dar, existeţa uor cărţi î limba aţioală, devie peste ai dovada icotestabilă a existeţei uui îvățămât aţioal de tradiţie î acel domeiu. Petru a coserva partea pozitivă di idetitatea îvăţămâtului româesc, este bie să avem şi cărţi de studiu î limba româă. 3 Timişoara, 01

4 Cupris 1 INTRODUCERE SECURITATEA INFORMAŢIEI, DEFINIREA PROBLEMEI INCIDENTUL CA MOTIVAȚIE, EVOLUȚIA CAUZELOR INCIDENTELOR DE LA INTERNE LA EXTERNE CADRUL DE LUCRU ȘI ECUAȚIA DE BAZĂ (VULNERABILITATE + ADVERSAR = RISC DE SECURITATE) ADVERSARI (CU CINE NE CONFRUNTĂM) OBIECTIVE DE SECURITATE (ȚINTE ALE ADVERSARULUI) VULNERABILITĂȚI (CE EXPLOATEAZĂ ADVERSARUL) ATACURI ASUPRA CANALULUI DE COMUNICARE (CAPABILITĂȚI ALE ADVERSARULUI) CRIPTOGRAFIA ŞI ROLUL EI GARANȚIA OFERITĂ DE CRIPTOGRAFIE: NIVELUL DE SECURITATE SCURT ISTORIC AL CRIPTOGRAFIEI ISTORIA CRIPTOGRAFIEI CU CHEIE PUBLICĂ ÎN PARTICULAR O PRIVIRE DE ANSAMBLU ASUPRA FUNCŢIILOR CRIPTOGRAFICE DEZIDERATE ÎN SISTEMELE CRIPTOGRAFICE CONTEMPORANE LITERATURĂ RELEVANTĂ ÎN DOMENIU SĂ NU SUPRAEVALUĂM CRIPTOGRAFIA: SECURITATEA ESTE UN PROCES, NU UN PRODUS SCHEME DE CRIPTARE CU CHEIE SIMETRICĂ (CRIPTAREA CU CHEIE SECRETĂ) 40.1 DEFINIŢIE ŞI PROPRIETĂŢI CLASIFICARE: CODURI BLOC ȘI CODURI STREAM... 43

5 .3 PRINCIPII CONSTRUCTIVE: SUBTITUŢIA ŞI TRANSPOZIŢIA, CIFRU PRODUS MAŞINA ENIGMA REŢEAUA FEISTEL CRIPTOSISTEMUL DES DES CRIPTOSISTEMUL AES MODURI DE OPERARE A CRIPTĂRILOR SIMETRICE: ECB, CBC CM ŞI ALTELE TIPURI DE ATAC ASUPRA FUNCȚIILOR DE CRIPTARE FUNCŢII CRIPTOGRAFICE FĂRĂ CHEIE: FUNCŢII HASH DEFINIŢIE ŞI PROPRIETĂŢI FUNCŢII HASH FRECVENT UTILIZATE ÎN PRACTICĂ: MD5 ŞI FAMILIA SHA NOUA GENERAŢIE DE FUNCŢII HASH SHA CODURI DE AUTENTIFICARE A MESAJELOR (HASH-URI CU CHEIE) DEFINIŢIE ŞI PROPRIETĂŢI CODURI MAC ÎN PRACTICĂ: CBC-MAC ŞI H-MAC GENERATOARE DE NUMERE ALEATOARE ŞI PSEUDO-ALEATOARE GENERATORUL LINEAR CONGRUENŢIAL GENERATOARE LFSR (FIBONACCI ŞI GALOIS) GENERATORUL BLUM-BLUM-SHUB GENERATOARE HARDWARE SCHEME DE CRIPTARE CU CHEIE ASIMETRICĂ (CRIPTAREA CU CHEIE PUBLICĂ) DEFINIŢIE ŞI PROPRIETĂŢI TAXONOMIE A CRIPTOSISTEMELOR CU CHEIE PUBLICĂ SCHIMBUL DE CHEIE DIFFIE-HELLMAN-MERKLE SECURITATEA SCHIMBULUI DE CHEIE DIFFIE-HELLMAN-MERKLE

6 6.5 CRIPTAREA ASIMETRICĂ RSA SECURITATEA CRIPTOSISTEMULUI RSA CRIPTAREA ASIMETRICĂ RABIN SECURITATEA CRIPTOSISTEMULUI RABIN CRIPTAREA ASIMETRICĂ EL-GAMAL SECURITATEA CRIPTOSISTEMULUI ELGAMAL CRIPTOSISTEMUL GOLDWASSER-MICALI SCHIMBUL DE CHEIE DIFFIE-HELLMAN FOLOSIND CURBE ELIPTICE (ECDH) LIPSA SECURITĂŢII ÎN VARIANTELE TEXT-BOOK ALE ALGORITMILOR DE CRIPTARE VARIANTE CONTEMPORANE ALE CRIPTOSISTEMOR CLASICE DE CRIPTARE CU CHEIE PUBLICĂ (REZISTENŢA IND/NM-CCA) FUNCȚIA DE PADDING OAEP FUNCȚIA DE PADDING PKCS SCHEME DE SEMNARE DIGITALĂ PROPRIETĂȚI ȘI CLASIFICARE: SEMNĂTURI CU APENDICE ȘI CU RECUPERAREA MESAJULUI SEMNĂTURA DIGITALĂ RSA (VARIANTA TEXT-BOOK) VARIANTE SIGURE ÎN PRACTICĂ PENTRU SEMNĂTURĂ RSA: FDH, PSS, PKCS V SEMNĂTURA DIGITALĂ RABIN SEMNĂTURA BLIND BAZATĂ PE RSA SEMNĂTURA DIGITALĂ ELGAMAL SEMNĂTURA DIGITALĂ DSA SEMNĂTURA DIGITALĂ FOLOSIND CURBE ELIPTICE (ECDSA) TIPURI DE ATAC ASUPRA SEMNĂTURILOR DIGITALE FUNDAMENTE MATEMATICE ELEMENTE DE TEORIA PROBABILITĂŢILOR ELEMENTE DE ALGEBRĂ: GRUPURI, INELE ŞI CÂMPURI... 19

7 7 8.3 ELEMENTE DE TEORIA NUMERELOR Mulţimea de resturi Z Teorema Chieză a Resturilor Teoremele lui Fermat şi Euler Ordiul uui elemet şi geeratori î Z Cogrueţe poliomiale î Z Reziduuri cvadratice î Z Numărul de reziduuri cvadratice î Z Simbolurile Legedre şi Jacobi Utilizarea reziduurilor cvadratice î criptaaliză Curbe Eliptice FUNDAMENTE COMPUTAŢIONALE ELEMENTE DE TEORIA COMPLEXITĂŢII ELEMENTE DE TEORIA INFORMAŢIEI CALCULUL OPERAŢIILOR ELEMENTARE CALCULUL C.M.M.D.C. ŞI INVERSELOR MULTIPLICATIVE CALCULUL RĂDĂCINII DE ORDIN E CU RELATIV PRIM LA ORDINUL GRUPULUI CALCULUL RĂDĂCINII PĂTRATE CALCUL RĂDĂCINII PĂTRATE PENTRU MODULE BLUM VERIFICAREA APARTENENŢEI LA MULŢIMEA REZIDUURILOR CVADRATICE PROBLEMA FACTORIZĂRII ÎNTREGI (IFP) Algoritmi de factorizare clasici Algoritmi de factorizare dedicaţi Algoritmi de factorizare geerali PROBLEMA LOGARITMULUI DISCRET (DLP)

8 9.11 GENERAREA NUMERELOR PRIME MULTIPLICAREA UNUI PUNCT DE PE O CURBĂ ELIPTICĂ BIBLIOGRAFIE ANEXE

9 1 INTRODUCERE "Cryptography is commuicatio i the presece of adversaries" R. Rivest. Ce este securitatea iformaţiei şi care este rolul criptografiei, acestea sut două îtrebări la care dorim să răspudem. Evitâd o explicaţie tip dicţioar care u ar sluji scopului acestei cărţi, vom îcerca să coturăm u răspus mai larg î cadrul uui cotext geeral. Vom face aceasta î cadrul obiectivelor de securitate şi al adversarilor la adresa acestora, u cadru ce poate îcadra fucţiile criptografice ca obiecte ce au u scop precis. Cotiuăm apoi cu o scurtă privire istorică asupra criptografiei și o taxoomie a fucțiilor criptografice. Nu î ultimul râd, facem o trecere î revistă a literaturii relevate î domeiu. 1.1 SECURITATEA INFORMAŢIEI, DEFINIREA PROBLEMEI U istrumet trebuie văzut î primul râd î cadrul cotextului di care face parte, criptografia reprezită istrumetul de bază î domeiul mai larg al securității iformației. Îtr-u secol î care iformaţia este idispesabilă, asigurarea securităţii acesteia devie o preocupare de prim rag. Aceasta se datorează faptului că iformaţia este lipsită de valoare atâta timp cât atributele ei de securitate u sut asigurate. Î mare, securitate îseamă protecţie î faţa uei poteţiale ameiţări iar î ceea ce priveşte iformaţia ameiţările pot varia de la simpla alterare eiteţioată a acesteia pâă la accesarea de către persoae eautorizate sau distrugerea ei. Securitatea iformaţiei este domeiul care se ocupă de studiul mecaismelor de protecţie a iformaţiei, î scopul asigurării uui ivel de îcredere î iformație, şi este corect a spue că ivelul de îcredere î iformaţie depide de ivelul mecaismelor de securitate care îi garatează protecţia î fața riscurilor care apar asupra securităţii ei. Tehicile de asigurare a securităţii iformaţiei adresează iformaţie idiferet de atura ei şi este importat de remarcat că iformaţia are valoare î special atuci câd este subiect al schimbului sau procesării, deci tocmai atuci câd este vulerabilă î

10 10 Fucţii Criptografice, Fudamete Matematice şi Computaţioale faţa uor părţi ce u pot fi cosiderate de îcredere. Astfel, fără a exclude valoarea iformaţiei stocate, valoarea iformaţiei creşte evidet î acțiuea de schimb sau de procesare şi este evidet că o iformaţie complet izolată u coduce la riscuri de securitate foarte mari dar î acelaşi timp ici u poate aduce foarte multe beeficii avâd î geeral valoare scăzută. Î diverse materiale pot fi găsite umeroase defiiții și deumiri asociate domeiului mai larg al securității iformaţiei. Este relevată defiiția di glosarului lucrării [6] ude Securitatea Sistemelor Iformatice (INFOSEC Iformatio System Security) este defiită după cum urmează: Securitatea Sistemelor Iformatice (INFOSEC) îseamă protecţia sistemelor iformatice împotriva accesului eautorizat sau a modificării iformaţiei, fie stocată, procesată sau î trazit, şi împotriva refuzului de servicii către utilizatorii autorizaţi sau asigurării de servicii către utilizatorii eautorizaţi, icluzâd acele metode ecesare detectării, documetării şi respigerii acestor ameiţări. Securitatea iformaţiei este u domeiu care provoacă practicatul la u mod de a gâdi. Petru a defii specificaţiile de securitate ale uui sistem, trebuie să existe o imagie suficiet de clară asupra sistemului şi pericolelor ce plaează asupra sa. O imagie devie clară pe măsură ce apar cât mai multe îtrebări şi desigur răspusuri. Nu există ici u diagostic geeral şi ici o reţetă uiversală petru a face securitate. Există totuşi câteva îtrebări relevate î faţa cărora trebuie să dăm u răspus îaite de a proiecta o poteţială soluţie de securitate, iată câteva ditre acestea, coform lucrării [31]: cum ajuge adversarul la sistem? Care sut obiectivele de securitate ce trebuie asigurate î sistem? Care este ivelul de securitate la care trebuie să răspudă sistemul? Desigur perspectivele deschise de aceste îtrebări u sut ici pe departe exhaustive şi ici suficiet de detaliate. De exemplu, poate că fără a itroduce problematici oi, putem uaţa aceste trei îtrebări pri altele cum ar fi [3]: ce trebuie protejat? Care sut ameiţările şi vulerabilităţile? Care sut implicaţiile î cazul distrugerii sau pierderii echipametului? Care este valoarea echipametului petru orgaizaţie? Ce poate fi făcut petru a miimiza expuerea la pericole? O expuere succită a problemelor de evaluare a ameiţării şi riscurilor se găseşte î [3]. Este de remarcat că î cadrul răspusului la prima îtrebare putem distige două situaţii: situaţia î care adversarul ajuge persoal la sistem şi situaţia î care ajuge pe cale electroică la sistem. Petru prima situaţie soluţiile de tratare se îcadrează î categoria soluţiilor de securitate fizică. Petru cea de a doua situaţie vorbim de securitate electroică, tehicile criptografice joacă u rol fudametal î acest cotext. Este de remarcat că aceste două tipuri disticte de soluţii de securitate pot adesea să se cotopească, de exemplu u lacăt ataşat

11 1. Itroducere 11 uei uşi este u dispozitiv de securitate fizică, dar uui astfel de lacăt i se poate ataşa u dispozitiv de autetificare bazat pe tehici criptografice, cum ar fi de exemplu u smart-card. Acest ivel de detaliere este suficiet petru prezetul capitol, dar î practică u este ici pe departe complet deoarece î cazul securităţii electroice există de asemeea multe alte moduri î care adversarul poate ajuge la sistem şi problema se complică î cotiuare (de exemplu poate ajuge de pe u suport de date, sau pri itermediului uei reţele etc.). 1. INCIDENTUL CA MOTIVAȚIE, EVOLUȚIA CAUZELOR INCIDENTELOR DE LA INTERNE LA EXTERNE O caracteristică iteresată petru adoptarea practicilor bue de securitate (și a dezvoltării tehicilor criptografice î geeral) este faptul că aceasta este î geeral motivată de icidete, de cele mai multe ori icidete cu urmări egative. Îtr-adevăr, de cele mai multe ori, lumea evită să adopte măsuri de securitate sub pretexte de forma: așa ceva u se poate îtâmpla. Astfel, di comoditate, lumea evită de exemplu să istaleze u software de securitate pe u smart-phoe, software care ar permite î cazul furtului trimiterea uui simplu SMS ce ar pori u sistem de localizare sau ștergerea datelor ce au caracter persoal. Odată ce telefoul este furat, posesorul regretă acest lucru. Este evoie așadar de icidet petru a coștietiza riscul de securitate. Aici exemplele sut umeroase, multe lucruri sut aparet greu crezut, probabil și îaite de ziua eagră 9/11 puții ar fi crezut că u zgârie-ori ar putea fi lovit și doborât de u avio deturat de teroriști. Dacă î perioada exista u echilibru ître sursele icidetelor de securitate, aşa cum este sugerat î Figura 1.1 i), acestea proveid î eseţă di trei direcţii disticte: extere, itere, accidetale; î perioada pe lâgă faptul că umărul de atacuri creşte semificativ şi acest echilibru este pierdut, marea parte a problemelor de securitate îcepâd să fie datorate factorilor exteri, lucru sugerat î Figura 1.1 ii) [19]. Explicaţia acestui fapt vie exact di deschiderea aturală a sistemelor către utilizarea reţelelor publice şi utilizarea compoetelor stadard impuse de piaţă. Deschiderea sistemului (adversarul are acces la sistem) este datorată faptului că u mai există perimetre securizate î sesul de izolare iformatică. Chiar decoectarea de la Iteret u garatează acest lucru deoarece u USB drive ifectat odată itrodus poate ifecta sistemul izolat (aceasta pare să fi fost calea de itrare a viermelui Stuxet î cetralele de prelucrare a uraiului di Ira).

12 1 Fucţii Criptografice, Fudamete Matematice şi Computaţioale i) ii) FIGURA 1.1. CAUZELE INCIDENTELOR DE SECURITATE I) ÎN PERIOADA II) ÎN PERIOADA i) ii) FIGURA 1.. CĂDEREA DE ENERGIE ELECTRICĂ DIN AUGUST, 003: I) ÎNAINTE II) DUPĂ (COPYRIGHT: POZELE APARŢIN DOMENIULUI PUBLIC ŞI SUNT FĂCUTE DE U.S. NATIONAL OCEANIC AND ATHMOSPHERIC ADMINISTRATION )

13 1. Itroducere 13 Dispariția securității pri obscuritate este datorată stadardelor (adversarul cuoaște sistemul). Securitatea pri obscuritate u este o soluție deoarece ea expue sistemul î fața oameilor di iterior care pot fi ușor de corupt sau cumpărat (î cele di urma oameii di iterior sut agajați cu salarii modeste dar care cuosc detalii critice). Blackout-ul di August 003 (cădere de eergie electrică pe coasta de Est a cotietului america) cu toate că u este rezultatul direct al uui atac iformatic este u exemplu clar al pagubelor pe care u astfel de icidet poate să le aducă: o arie de km a fost afectată, 65 de cetrale electrice au fost afectate di care erau ucleare, 50 de milioae de oamei au fost afectaţi di care peste 1 milioae di New York. Figura 1. surpride imagiea di satelit asupra acestui icidet. Pierderile totale sut estimate la 6 miliarde de dolari. Ua ditre cauzele căderii a fost o problemă î sistemele iformatice care u au declaşat semalul de alarmă făcâd astfel ca luarea de măsuri petru a prevei căderea să îtârzie pâă câd a fost prea târziu. Desigur, este doar o problemă de timp pâă câd adversari, precum mişcările extremiste de exemplu, ar putea exploata vulerabilităţi de securitate criptografică petru a cauza pagube similare. Acest lucru este recuoscut î mod curet î special î Statele Uite î sectoarele de distribuţie a gazului şi electricităţii aşa cum arată lucrări de ultimă oră. 1.3 CADRUL DE LUCRU ȘI ECUAȚIA DE BAZĂ (VULNERABILITATE + ADVERSAR = RISC DE SECURITATE) Existeţa uei vulerabilităţi şi a uui poteţial adversar implică existeţa uui risc de securitate, aceasta este o lege escrisă a securităţii iformaţiei pe care datorită importaţei o vom scrie ca ecuaţie: Vulerabilitate + Adversar = Risc de Securitate Cadrul geeral de lucru este ilustrat î Figura 1.3. Etităţile participate la comuicare, umite simplu participaţi, î geeral otate cu A şi B, schimbă succesiv rolul de emiţător şi receptor. Se distige pe lâgă acestea prezeţa uui adversar, care obturează caale esigure de comuicare (pri acestea îţelegâd caale publice care pot fi accesate de către adversar), şi prezeţa uei părţi de îcredere, aceasta fiid utilă î special î sceariile cu chei secrete ude rolul părţii de îcredere este de a distribui chei de sesiue ître participaţi. De asemeea e raportăm la u cadru de timp. Este posibilă și prezeţa uor caale sigure de comuicare, pri acestea îţelegâd î geeral caale cu securitate

14 14 Fucţii Criptografice, Fudamete Matematice şi Computaţioale fizică dar petru a u îcărca figura le vom omite. Î pricipiu orice elemet al imagiii poate să lipsească, mai puţi u participat care este îtotdeaua ecesar şi adversarul î faţa căruia dorim să asigurăm diverse obiective de securitate. CANAL PUBLIC (NESIGUR) Adv A CANAL PUBLIC (NESIGUR) B Parte de icredere FIGURA 1.3. CADRUL DE LUCRU: CLIENȚI ONEȘTI (A,B), ADVERSAR (ADV), PARTE DE ÎNCREDERE ȘI TIMP. 1.4 ADVERSARI (CU CINE NE CONFRUNTĂM) Etitatea care comite u atac o vom umi î limbaj de securitate adversar (mai rar se foloseşte termeul de atacator, și mai rar cel de itrus). Lista poteţialilor adversari poate fi u puct de porire î evaluarea riscurilor. Cu privire la aceştia iteresează câteva coordoate cum ar fi: resursele de calcul, resursele fiaciare, resursele itelectuale, motivaţia, amploarea şi atura pagubelor care le pot cauza. Fără a face o eumerare exhaustivă a acestora şi fără

15 1. Itroducere 15 a isista pe detaliile cu privire la coordoatele aterior amitite, coform [7] aceasta ar fi o poteţială listă: i) Hackerii dispu de resurse de calcul şi fiaciare scăzute şi atacă sisteme î geeral doar motivaţi de doriţa de a brava sau petru amuzamet. ii) Clieţii uei reţele au putere de calcul limitată şi sut motivaţi de iterese ecoomice, de exemplu: fraudarea valorii facturate î reţeaua termoelectrică etc. iii) Comerciaţii dispu de putere de calcul modestă şi de resurse fiaciare apreciabile avâd iteres î aflarea sau maipularea secretelor petru câştigarea avatajelor fiaciare. iv) Crima orgaizată are putere de calcul modestă şi putere fiaciară ridicată avâd iteres î alterarea parametrilor la care fucţioează sistemele petru câştigarea uor avataje fiaciare. v) Teroriştii dispu de putere ridicată de calcul şi fiaciară fiid motivaţi de raţiui politico-religioase cu scopul de a răspâdii paică şi pagube de ordi fiaciar. vi) Guverele statelor adversare, dispu de putere de calcul şi fiaciară ridicată, şi mai mult, de operatori pricepuţi şi atreaţi cu experieţă î domeiu. Scopul acestora este î geeral de a afecta ifrastructurile î atacuri complexe de atură fizică sau electroică. vii) Oameii di sistem sut persoae care deţi iformaţii de detaliu şi au acces la elemetele cheie î fucţioare, sut motivaţi î geeral de iterese sau emulţumiri de ordi salarial/fiaciar. viii) O combiaţie a variatelor de mai sus este cel mai periculos tip de adversar; î practică este posibilă orice combiaţie şi aceasta are cele mai mari şase de succes îtr-u atac. 1.5 OBIECTIVE DE SECURITATE (ȚINTE ALE ADVERSARULUI) Î ceea ce priveşte obiectivele de securitate care trebuie asigurate î sistem acestea variază îtr-u diapazo destul de larg. Î ceea ce priveşte criptografia î geeral, şi u securitatea î asamblu, putem distige patru obiective majore de securitate care sut recuoscute de orice autor î domeiu: cofideţialitate, itegritate, auteticitate și o-repudiere. Cofideţialitatea îseamă asigurarea faptului că iformaţia rămâe accesibilă doar părţilor autorizate î acest ses. Acesta este cel mai vechi obiectiv al criptologiei. Î râdul ecuoscătorilor este îcă larg răspâdită opiia că oţiuea de criptografie este sioimă cu cea de cofideţialitate. Sigur opiia

16 16 Fucţii Criptografice, Fudamete Matematice şi Computaţioale este eroată petru că criptografia se ocupă şi de asigurarea obiectivelor ce sut eumerate î cotiuare şi care u au ici o legătură cu păstrarea secretă a iformaţiei. Î ceea ce priveşte asigurarea acestui obiectiv pri tehici criptografice, el este îdepliit cu ajutorul fucţiilor de criptare. Î geeral datorită eficieţei se folosesc fucţii simetrice (cu cheie secretă), dar scearii practice coduc î geeral la orchestrarea acestora cu fucţii asimetrice (cu cheie publică). Itegritatea se referă la asigurarea faptului că iformaţia u a fost alterată pe parcursul trasmisiei sau de către u posibil adversar. Fucţiile criptografice utilizate î acest scop sut fucţiile hash care fac ca modificarea uui sigur bit de iformaţie să poată fi detectată. Meţioăm că î pricipiu este greşită utilizarea fucţiilor de criptare simetrice şi asimetrice î acest scop, istrumetul criptografic dedicat fiid fucţiile hash (şi codurile MAC sau semăturile digitale î cotextul mai larg al autetificării). Desigur, există și fucţii simetrice şi asimetrice de criptare care pot asigura şi itegritatea dar alegerea lor petru acest scop trebuie făcută cu precauţie. Autetificarea are două coordoate disticte: autetificarea etităţilor şi autetificarea iformaţiei. Autetificarea etităţilor se referă la existeţa uei garaţii cu privire la idetitatea uei aume etităţi. Autetificarea iformaţiei se referă la determiarea sursei de proveieţă a iformaţiei î mod implicit aceasta garatează şi itegritatea iformaţiei deoarece dacă iformaţia u mai are itegritate, deci u poteţial adversar a alterat-o, atuci ici sursa ei de proveieţă u mai este aceeaşi. Îsă doar itegritatea iformaţiei u implică şi auteticitatea ei deoarece u garatează idetitatea sursei de proveieță. Autetificarea se realizează î geeral pri protocoale care pot avea la bază îtreg arsealul de fucţii criptografice: fucţii hash, MAC, criptări simetrice şi asimetrice, semături digitale. Autetificarea iclude de cele mai multe ori și u factor temporal care implică o garaţie cu privire la mometul de timp la care etitatea de care este legată a depozitat-o (deoarece î abseța uei garații temporale, iformaţia putea fi replicată şi depusă de orice altă etitate pierzâduse astfel o valeță a autetificării). No-repudierea (sau erepudierea) previe o etitate î a ega o acţiue îtreprisă (acţiue materializată desigur î trasmisia uei iformaţii). Aceasta îseamă că dacă la u momet dat o etitate eagă ca ar fi emis o aume iformaţie, etitatea care a primit iformaţia respectivă poate demostra uei părţi eutre că iformaţia provie îtr-adevăr de la etitatea î cauză. Norepudierea se realizează pri utilizarea semăturilor digitale. Este util de spus, î special di cosiderete istorice î domeiu, că acum mai bie de 0 de ai î securitatea iformaţiei trei obiective au fost cosiderate

17 1. Itroducere 17 ca fiid fudametale, acestea formează aşa umita triadă CIA: cofideţialitate, itegritate, dispoibilitate ( CIA adică Cofidetiality, Itegrity, Availability). Recet îsă, î 00, Do Parker a propus extiderea acestora la şase obiective care poartă umele de Hexada Parkeriaă: Cofideţialitate, Posesie sau Cotrol, Itegritate, Auteticitate, Dispoibilitate, Utilitate (Cofidetiality, Possessio or Cotrol, Itegrity, Autheticity, Availability, ad Utility). De asemeea, la fel de bie cuoscută şi vehiculată este tetrada PAIN care provie de la Cofideţialitate, Dispoibilitate-Auteticitate, Itegritate, No-repudiere (Privacy, Availlability-Autheticatio, Itegrity, No-repudiatio). Desigur că aceste obiective u sut Triada CIA Tetrada PAIN o siteză completă a Hexada Parkeriaa obiectivelor de securitate existete î Secolul XX Secolul XXI practică. Există desigur şi alte obiective, ceva FIGURA 1.4. EVOLUŢIA OBIECTIVELOR DE SECURITATE mai particulare dar la fel de relevate, care trebuie să le amitim. Rămâe o problemă deschisă dacă obiectivele următoare pot sau u să fie derivate di cele amitite aterior, util petru această lucrare este să le eumerăm şi să le explicăm succit î cele ce urmează. Actualitatea iformaţiei se referă la asigurarea faptului că iformaţia primită este actuală (proaspătă). Acest aspect poate fi iterpretat î două moduri: pe de o parte se referă la faptul că iformaţia poate expira după o aumită perioadă de timp, pe de altă parte se referă la faptul că u posibil adversar ar putea schimba ordiea î care pachetele cu iformaţie ajug la destiaţie (diverse scearii pot fi imagiate). Se realizează î geeral pri utilizarea parametrilor variaţi î timp: amprete temporale (time stamps), umere aleatoare (oce), cotoare (couter), etc. Aoimitatea se referă la împiedicarea idetificării idetităţii uei etităţi care a solicitat u serviciu. Spre exemplu, poate fi extrem de util î trazacţii bacare câd u se doreşte idetificare persoaei care sau către care se face o plată, sau î servicii de petru păstrarea aoimităţii expeditorului, etc. Se realizează fie pri protocoale, fie pri fucţii criptografice adaptate acestui scop. De exemplu există u puteric segmet de cercetare î zoa fucţiilor de criptare cu reegare (deiable ecryptio), pri care se poate cripta iformaţie al cărei coţiut poate fi schimbat la decriptare, făcâd astfel reegabilă orice iformaţie criptată (u există petru aceasta soluţii eficiete pâă î prezet).

18 18 Fucţii Criptografice, Fudamete Matematice şi Computaţioale Autorizarea se referă la cotrolul accesului şi la preveirea itrării ageţilor eautorizaţi î sistem. Relaţia ître obiectivul autetificării etităţilor şi cotrolul accesului costă î aceea că cel di urmă obiectiv se costruieşte î geeral pe primul (e ormal să fie ecesară o metodă de a autetifica etitatea îaite de a-i permite accesul) dar obiectivele sut totuşi disticte. Aceasta deoarece autorizarea îseamă utilizarea uui mecaism de autetificare şi a uei politici de securitate petru a decide dreptul de acces al uor etităţi asupra uor resurse. Dispoibilitatea se referă la asigurarea faptului că u serviciu este accesibil atuci câd u utilizator legitim îl solicită. Asigurarea acestui obiectiv presupue că o etitate eautorizată u poate bloca accesul uei etităţi autorizate la serviciile sistemului. Î acest caz îsă u itră î discuţie problemele legate de autorizarea accesului, aterior amitite, ci cele de dispoibilitate a resursei î sie. Aceasta presupue a evita problemele de epuizare a resurselor sistemului di cauza utilizării elegitime a acestora. Atacurile asupra acestui obiectiv sut cele de tip Deial of Services (DoS) şi cauzează atât pagube ecoomice dar şi de siguraţă î fucţioare. Protecţia părţilor terţe se referă la evitarea trasmiterii pericolului asupra părţilor cu care există o legătură. De exemplu atacul asupra uei aume compoete IT u va defecta şi altă compoetă, sau di puct de vedere ecoomic: căderea uei compoete datorită uei erori de maipulare u va duce la discreditarea producătorului, etc. Revocarea se referă la posibilitatea de a revoca u drept oferit. Poate cel mai relevat exemplu î legătură cu criptografia este posibilitatea de a revoca u certificat de cheie publică de către etitatea care l-a emis. Trasabilitatea sau urmărirea uui sistem se referă la posibilitatea de a recostrui istoricul fucţioării sistemului pe baza îregistrărilor, de exemplu îregistrarea comezilor relevate, a persoaelor care le-au lasat etc. Obiectivul este relevat î determiarea cauzelor evetualelor problemelor de fucţioare, deci este utilizat î diagosticare. Nici această listă de obiective u este completă, aproape fiecare carte î domeiu prezită liste mai mult sau mai puţi complete, iar prezetarea lor exhaustivă poate fi î sie subiectul uei cărţi. Totuşi aceste obiective pot crea o imagie parţială asupra a ceea ce trebuie protejat î sisteme iformatice şi asupra modului î care criptografia cotribuie la aceasta.

19 1. Itroducere VULNERABILITĂȚI (CE EXPLOATEAZĂ ADVERSARUL) Vulerabilitatea este u puct slab al uui sistem care poate fi exploatat de u poteţial adversar. Vis-a-vis de vulerabilități, trebuie rețiută regula comu euțată î cărțile de securitate că u sistem u este mai sigur decât cea mai vulerabilă compoetă a sa. Vulerabilităţile uui sistem iformatic pot fi clasificate coform [31] î: vulerabilităţi de proiectare (de exemplu proiectarea greşită a uui protocol de comuicare), vulerabilităţi de implemetare (de exemplu overflow), vulerabilităţi fudametale (de exemplu alegerea uor parole slabe). Î [6] sut evideţiate câteva vulerabilităţi ce duc frecvet la căderea protocoalelor de securitate: vulerabilitatea uei primitive criptografice ce poate fi amplificată de protocolul de securitate (este importat de subliiat că multe fucţii criptografice au vulerabilităţi ascuse, iar pe de altă parte chiar şi folosirea celei mai solide fucţii criptografice î mod ecorespuzător poate duce la pierderea totală a securităţii), asumarea uor garaţii de securitate care sut supra-specificate sau prost îţelese (poate cea mai comuă astfel de eroare este utilizarea uei fucţii de criptare şi prezumţia faptului că aceasta va asigura şi faptul că datele u vor fi alterate), eateţia î aplicarea uor pricipii geerale aplicabile uei clase mai largi de primitive (de exemplu criptarea folosid u mecaism cu cheie publică a uei iformaţii de etropie scăzută care poate fi uşor aflată cu u atac de tip forward-search). Dacă luăm ca studiu de caz sistemele idustriale, sut relevat exemplele di lucrarea [7] ude ître deficieţele de securitate î sisteme SCADA se eumeră următoarele: lipsa defiiţiilor formale, lipsa uui buget de securitate icremetal, abseţa expertizei ecesare î domeiul securităţii, icapacitatea de a istala uşor tehologia ecesară, ecesitatea educaţiei cu privire la buele practici î vederea asigurării securităţii. Sigur toate aceste deficieţe u sut uşor de acoperit şi există şi recomadări cocrete î vederea asigurării securităţii. De exemplu lucrarea [88] idică 1 de paşi petru a asigura securitatea sistemelor SCADA, ître aceştia mulţi au la bază utilizarea uor tehici criptografice: de exemplu pasul 5 se referă la elimiarea protocoalelor persoalizate (custom) a căror securitate se bazează pe obscuritatea protocolului (sigura soluţie care u se bazează pe obscuritatea protocolului este criptografia) iar pasul 1 se referă la itroducerea uor politici de securitate şi cursuri petru ca persoalul să fie coştiet de protejarea iformaţiei sezitive (iclusiv parolele care sut u igrediet criptografic). Nu î ultimul râd există şi produse program destiate asigurării securităţii î sisteme SCADA precum ItruShield de la McAfee. Î topul primelor 10 deficieţe de securitate ale reţelelor SCADA lucrarea (McAfee, 007) eumeră: politici de securitate iadecvate, sisteme slabe de cotrol ale reţelelor,

20 0 Fucţii Criptografice, Fudamete Matematice şi Computaţioale proasta cofigurare a sistemelor, comuicare wireless eadecvată, autetificare eadecvată la comuicare, lipsa mecaismelor de detecţie şi restricţioare a drepturilor de acces la sisteme de cotrol, abseţa ueltelor petru detecţia şi raportarea activităţilor aormale, utilizarea reţelei petru trafic eautorizat, lipsa mecaismelor de detecţie a erorilor ce pot coduce la epuizarea bufferelor, lipsa mecaismelor de cotrol a schimbului de software. Multe ditre aceste ameiţări au ca soluţie utilizarea criptografiei, de exemplu ameiţările legate de auteticitatea comezilor şi de cotrolul accesului. Iar poteţialele atacuri îcep să se diversifice de la o aplicaţie la alta coducâd spre o paletă relativ largă de obiective de securitate ce trebuie asigurate. 1.7 ATACURI ASUPRA CANALULUI DE COMUNICARE (CAPABILITĂȚI ALE ADVERSARULUI) U atac este o agresiue asupra uui obiectiv de securitate. Există o gamă foarte largă de atacuri şi diverse clasificări ale acestora î fucţie de diverse criterii. De exemplu î [31] acestea sut clasificate î: atacuri edirecţioate ce costau î ifiltrări î sistem î scopul exploatării oricărei vulerabilităţi găsite şi atacuri direcţioate ce au u scop precis care costă î exploatarea uei aumite părţi a sistemului (de exemplu extragerea uei aumite iformaţii, furtul uei parole etc.). O clasificare ceva mai clasică a atacurilor, preferată de majoritatea cărţilor de securitate cum ar fi [80] este î: atacuri pasive și atacuri active. Atacurile pasive sut citirea mesajelor şi aaliza de trafic. Difereţa ître cele două atacuri este că la aaliza de trafic u este ecesară citirea efectivă a mesajelor trasmise ci doar observarea uor modele î comuicare, de exemplu ce atură are iformația trimisă, e vorba de u dowload petru u film, o covorbire telefoica pri Iteret, etc. Este importat de remarcat că aceste atacuri sut violări ale obiectivului umit cofideţialitate. Atacurile active sut cele de: modificarea iformaţiei vehiculate ître două etităţi care presupue alterarea detectabilă sau u a iformaţiei, impostura (impersoarea sau mascaradarea) care îseamă a pretide o altă idetitate decât cea reală, retrasmisie care îseamă a trasmite o iformaţie care a fost trasmisă aterior de u participat şi îtreruperea legăturii care îseamă efectiv tăierea caalului de comuicare (adică Deial Of Services - DoS). Este importat de remarcat, di puct de vedere al obiectivelor de securitate, că primele trei atacuri sut o agresiue a obiectivului de auteticitate iar ultimul o agresiue a dispoibilităţii.

21 1. Itroducere 1 Toate aceste atacuri se mai umesc şi atacuri asupra caalului de comuicare şi petru combaterea lor se folosesc cu succes î practică tehici criptografice. Figura 1.5 şi Figura 1.6 prezită aceste atacuri. ASDF ASDF ASDF ASDF ASDF ASDF CANAL PUBLIC (NESIGUR) Adv ASDF ASDF ASDF CANAL PUBLIC (NESIGUR) A INTERCEPTAREA CONVERSATIILOR B *-+# *-+# *-+# ASDF ASDF ASDF CANAL PUBLIC (NESIGUR) Adv ASDF ASDF ASDF CANAL PUBLIC (NESIGUR) A B ANALIZA DE TRAFIC FIGURA 1.5. ATACURI PASIVE ASUPRA CANALULUI DE COMUNICARE Desigur, există şi alte atacuri asupra securităţii uui sistem petru a căror cotracarare u se folosesc î geeral tehici criptografice, ele fiid cotracarate pri alte mijloace. Exemple de cauze ale uor astfel de atacuri sut: i) viruşi iformatici care duc î geeral la distrugerea software-ului pri ifiltrare î fişiere existete şi fac imposibilă fucţioarea sistemului pri execuţia uor acţiui dăuătoare, ii) programe tip Cal Troia sut programe folosite î scopul obţierii accesului la aumite iformaţii, de exemplu aflarea parolelor î sisteme de operare perimate ge Wi98, iii) programe tip Vierme care sut programe care se propagă automat fără cotrolul uui utilizator şi î geeral afectează rata de trasfer a reţelei (spre deosebire de viruşi u se ifiltrează î fişiere existete).

22 Fucţii Criptografice, Fudamete Matematice şi Computaţioale ASDF ASDF ASDF ASDF ASDF ASDF CANAL PUBLIC (NESIGUR) QWER QWER QWER Adv CANAL PUBLIC (NESIGUR) A MODIFICAREA B ASDF ASDF ASDF ASDF ASDF ASDF Adv CANAL PUBLIC (NESIGUR) A B IMPOSTURA ASDF ASDF ASDF ASDF ASDF ASDF CANAL PUBLIC (NESIGUR) Adv ASDF ASDF ASDF ASDF ASDF ASDF ASDF ASDF ASDF CANAL PUBLIC (NESIGUR) A RETRANSMISIA B ASDF ASDF ASDF ASDF ASDF ASDF CANAL PUBLIC (NESIGUR) Adv? CANAL PUBLIC (NESIGUR) B A BLOCAREA CANALULUI DE COMUNICARE FIGURA 1.6. ATACURI ACTIVE ASUPRA CANALULUI DE COMUNICARE

23 1. Itroducere 3 Trebuie îsă meţioat că şi împotriva acestor atacuri, aparet imue la măsuri criptografice, îcep să fie utilizate tehici criptografice. U bu exemplu de soluţie de ultimă oră î care fucţii criptografice sut utilizate împotriva viruşilor este utilizarea fucţiilor criptografice hash petru a costrui o ampretă a sistemului de operare (sau idividual petru fiecare fişier) şi verificare la bootarea de pe u dispozitiv exter dacă imagiea curetă a sistemului coicide cu imagiea stocată î scopul detectării uor poteţiale modificări făcute de viruşi. 1.8 CRIPTOGRAFIA ŞI ROLUL EI Cocluzia imediată a paragrafului aterior este aceea că riscurile de securitate există ca şi coseciţă a uor vulerabilităţi î sistem şi a uor poteţiali adversari acesta fiid u aspect atural şi ievitabil î practică. Riscurile de securitate, ca orice alte riscuri de altfel, trebuie acoperite cu garaţii de securitate. Atuci câd obiectul maipulat este iformaţia sigura, criptografia este ua di puțiele garaţii demostrabile. Deci rolul acesteia este de a oferi garaţii î faţa riscurilor de securitate ale iformației. Criptografia este comu utilizată îtr-o gamă largă de aplicaţii di zoa: istituţiilor medicale, publice, private, bacare şi chiar î cele mai comue aplicaţii pe care le folosim zi de zi: telefoie mobilă, servicii de , editoare de documete, etc. Coform lucrării de referiţă î domeiu [6] criptografia este defiită ca fiid studiul tehicilor matematice referitoare la aspecte de securitatea iformaţiei precum cofideţialitate, itegritate, autetificarea etităţilor, autetificarea proveieţei datelor. Totuşi o astfel de defiiţie u este completă. Pe de o parte deoarece criptografia u este î totalitate matematică (chiar dacă marea ei parte este), de exemplu criptarea cuatică face mai mult apel la cuoştiţe de fizică decât de matematică sau implemetarea criptografiei ţie mai mult de ştiiţa calculatoarelor decât de matematică. Pe de altă parte petru că u ţie cot de fodul problemei. Ro Rivest a făcut o remarcă pe cât de simplă pe atât de profudă î ceea ce priveşte criptografia şi această remarcă poate fi cosiderată o exceletă defiiţie a criptografiei: criptografia îseamă comuicare î prezeţa adversarilor. Orice cometariu la adresa remarcii lui Rivest este superfluu. Di păcate defiiţia di dicţioarul explicativ al limbii româe, DEX ediţia a II-a 1998, u poate fi utilizată petru clarificare deoarece este complet depăşită,

24 4 Fucţii Criptografice, Fudamete Matematice şi Computaţioale criptografia fiid defiită ca: scriere secretă cu ajutorul uui cod de seme coveţioale. Această descriere corespuzâd stadiului domeiului de acum câteva secole. Domeiul criptografiei se ocupă de costrucţia fucţiilor criptografice. Diverse fucţii criptografice vor fi descrise î capitolele următoare, iar pe momet putem să e formăm o imagie ituitivă asupra uei fucţii criptografice ca fiid o fucţie care depide de u parametru umit cheie şi se aplică uui mesaj ( plaitext ) petru a obţie u mesaj criptat umit criptotext ( ciphertext ) aceasta este ceea ce î pricipiu umim fucţie de criptare. Totodată obiectivul criptografiei este şi cel de a costrui iversa acestei fucţii cu ajutorul căreia di criptotext alături de cheie se poate recupera mesajul origial aceasta fiid ceea ce umim fucţie de decriptare. Toate acestea sut sugerate î Figura 1.7. Subliiem că această imagie este doar ituitivă deoarece u toate fucţiile criptografice au cheie, şi mai mult, u toate fucţiile criptografice admit o iversă. Domeiul care are ca obiectiv recuperarea di criptotext a mesajului şi a cheii se umeşte criptaaliză şi este ceea ce î limbaj comu umim spargerea fucţiilor criptografice care di puct de vedere ituitiv poate fi văzută ca iversarea acestora. Subliiem îsă că î geeral a sparge o fucţie criptografică presupue acţiui mult mai simple decât iversarea ei, imagiea creată avâd di ou doar valoare ituitivă. Criptografia şi criptaaliza sut cele două ramuri ale domeiului umit criptologie. k h@6k... m asdf asdf asdf asdf... ALGORITM DE CRIPTARE c 0gQ1 i7r1... k h@6k... ALGORITM DE DECRIPTARE m asdf asdf asdf asdf... FIGURA 1.7. IMAGINE INTUITIVĂ CU PRIVIRE LA CE ÎNSEAMNĂ CRIPTAREA ŞI DECRIPTAREA OBIECTIVE CONSTRUCTIVE ALE CRIPTOGRAFIEI. Evoluţia criptografiei, şi mai mult sau mai puţi a oricărui alt domeiu, poate fi văzută ca urmâd următorul drum: Teorie, Practică, Stadarde. Fără a

25 1. Itroducere 5 reduce rolul aplicaţiilor practice şi a stadardelor care e fac viaţa mai uşoară este de remarcat că stadardele acoperă doar probleme care sut implemetate practic, implemetările practice urmează doar probleme fudametate teoretic î prealabil iar teoria reprezită baza cea mai solidă şi cosistetă a domeiului. Mai mult, soluţiile de vârf ale domeiului se găsesc î teorie şi doar rar î implemetările practice, care tratează î geeral aspecte demult cuoscute (de exemplu curbele eliptice sut utilizate î practică doar î ultimii ai, î ciuda faptului că au fost propuse de Miller şi Kobliz îcă di 1985). 1.9 GARANȚIA OFERITĂ DE CRIPTOGRAFIE: NIVELUL DE SECURITATE Ître îtrebările di primul subcapitol euțam și o îtrebare cu privire la ivelul de securitate (ueori umit ivel de îcredere). Nivelul de securitate cuatifică efortul computațioal ecesar spargerii uei fucții criptografice. Aşa cum remarcă şi autorii di [31] ivelul de securitate al uei primitive criptografice este o fucţie care scade odată cu timpul, aceasta datorâdu-se atât creşterii ivelului tehologic cât şi descoperiri uor oi atacuri asupra fucției. De exemplu dacă o iformaţie criptată folosid algoritmul DES (stadard î criptarea simetrică îcepâd di 1976) putea oferi u ivel ridicat de îcredere î urmă cu 30 de ai, astăzi o astfel de iformaţie poate fi uşor recuperată pri spargerea codului î doar câteva zile pe o mașiă de calcul actuală. Cerițele curete sut î geeral defiite pri itermediul stadardelor. Î particular, petru cazul tehicilor criptografice, care sut frecvet folosite petru asigurarea obiectivelor de securitate aterior amitite, există stadarde petru marea parte a fucţiilor criptografice şi a dimesiuii cheilor petru acestea. De exemplu Guverul USA pri documetaţiile Federal Iformatio Processig Stadards (FIPS) impue stadarde petru fucţii hash, criptare simetrică, semătură digitală; totuşi aceste stadarde u acoperă ici pe departe toate mecaismele. Î Tabelul 1.1 sut prezetate dimesiuile de chei recomadate petru câţiva algoritmi frecvet utilizaţi î practică. Î Tabelul 1. sut prezetate recompesele oferite de RSA-Security petru spargerea uor chei de RSA. Pri comparaţie ître cele două tabele se poate observa că o cheie de RSA de 104 biţi este recomadată de primul tabel petru folosire pâă î 010, î timp ce RSA-Security oferă o recompesă de dolari petru spargerea uei astfel de chei (î realitate costurile de spargere ale uei astfel de chei fiid de sute sau mii de ori mai mari). Petru a forma o imagie mai clară asupra dimesiuii acestor umere, iată valoarea umărului RSA-640:

26 6 Fucţii Criptografice, Fudamete Matematice şi Computaţioale = Cei doi factori primi ai săi sut: p= , q= Nivelul de securitate al fucţiilor criptografice este frecvet clasificat după următoarele categorii: securitate ecodiţioată, securitate bazată pe complexitate, securitate demostrată. Această clasificare u se referă la o cuatificare umerică a ivelului de securitate ci la garaţia pe care acesta se bazează. Îcercăm să explicăm aceste trei oţiui. Securitate ecodiţioată au acele criptosisteme care u pot fi sparte, idiferet de puterea de calcul de care dispue adversarul (oe-time pad este u astfel de sistem). Discutăm de securitate bazată pe complexitate atuci câd ivelul de securitate este dat de complexitatea (timpul de calcul ilustrat î umăr de paşi) al uui algoritm care poate rezolva problema şi acest algoritm este cea mai buă cale de a rezolva problema. Noţiuea de securitate demostrabilă (provable security) se foloseşte cu privire la acele criptosisteme despre care se poate demostra că spargerea lor coduce la rezolvarea altei probleme care se ştie că este greu de rezolvat. Securitate la ivel de biţi AES (dimesiuea cheii) RSA (dimesiuea modulului) Curbe eliptice (valoarea ordiului bazei) Durata de utilizare recomadată 80 x Pâă î x Pâă î După x x TABELUL 1.1. NIVELE COMPARATIVE DE SECURITATE (CONFORM CU [64]).

27 1. Itroducere 7 De asemeea, î ceea ce priveşte ivelul de securitate se face ueori o difereţiere ître două ivele de securitate disticte umite: securitate slabă este securitatea care răspude uor garaţii î faţa vulerabilităţilor ce pot fi exploatate de adversari eiteligeţi (cum ar fi erori itroduse de mediu care pot fi corectate pri mecaisme redudate precum codurile de corecţie a erorilor CRC) şi securitate puterică care răspude uor garaţii î faţa uor vulerabilităţi ce pot fi exploatate de adversari iteligeţi (precum omul, sau ageţii software iteligeţi). Securitatea puterică este î mare măsură asigurată de tehicile criptografice, dar u exclusiv, de exemplu viruşii iformatici pot fi cosideraţi ageţi iteligeţi care exploatează sisteme dar criptologia u oferă îcă soluţii prea bue î acest ses. RSA-576 RSA-640 RSA-704 RSA $ (factorizat î decembrie 003) 0.000$ (factorizat î oiembrie 005) $ $ RSA-896 RSA-104 RSA-1536 RSA $ $ $ $ TABELUL 1.. RECOMPENSE (EXPIRATE) PENTRU SPARGEREA UNOR CHEI RSA [71] SCURT ISTORIC AL CRIPTOGRAFIEI Î opiia autorului (deși poate u umai deoarece opiii apropiate traspar și di alte lucrări), î cotext istoric evoluția criptografiei poate fi sistematizată î cadrul a patru etape: i) perioada atichității, ii) perioada medievală, iii) perioada premergătoare primului război modial pâă după cel deal doilea război modial și iv) perioada criptografiei modere cu îcepere după cel de-al doilea război modial (poate mai exact î jurul ailor 70). Există o separare clară de metalitate ître cele 4 perioade așa cum vom îcerca pe scurt să creioăm î cele ce urmează. Prima ditre ele, atichitatea, este caracterizată de sisteme criptografice lipsite de fudamete matematice dar și de dorița vreuui automatism (adică o procedură de a crea u model automat, de exemplu mecaic al criptării). Di

28 8 Fucţii Criptografice, Fudamete Matematice şi Computaţioale această perioadă datează codul Cezar (o simplă permutare a literelor) și cilidrul grecesc skytale pe care era îfășurată o badă de hârtie pe care se scria textul (decriptarea ecesita desigur îfășurare pe u cilidru similar ca diametru). Îtradevăr aceste tehici sut î mică măsura legate de criptografia moderă. Cea de a doua perioadă, cea medievală, este distictă pri utilizarea tehicilor de substituție polialfabetică. Î acestea o literă este substituită cu orice altă literă fără repetiție evidetă, u doar de ua ca î cazul substituților simple, de exemplu permutarea di cadrul codului Cezar. Primul criptosistem polialfabetic a fost descoperit de Leo Battista Alberti ( ) și se umește codul lui Alberti, aceasta este cosiderată prima mare descoperire î criptografie de după vremea lui Cezar. Cel mai elocvet exemplu este sistemul Vigeѐre după umele lui Blaise de Vigeѐre ( ) deși el a fost descris prima dată de criptograful italia Giova Battista Bellaso (1505-?) î 1553 î timp ce Vigeѐre îl publica î Tot Bellaso este autorul tabelei de criptare cuoscută sub umele de tabela Porta publicată de Giambattista della Porta (1535? 1615) î 1563 fără a da credit lui Bellaso. Î aceeași perioadă desfășoară activități î criptografie și Gerolamo (Geroimo) Cardao ( ) al cărui ume este cuoscut î matematică petru formulele de rezolvare a ecuațiilor pătratice, cubice și cuartice; acesta itroduce u sistem de criptare umit grila lui Cardao î Mai multe detalii despre istoria criptografiei pot fi găsite î cartea lui Kah [53]. Cea de a treia perioadă, cea a războaielor modiale și perioada premergătoare, este remarcabilă pri apariția uor pricipii, precum legile lui Auguste Kerckhoffs ( ) care sut actuale chiar și azi și mai mult de atât a uor criptosisteme precum codul lui Gilbert Sadford Veram ( ) care pâă î ziua de azi rămâe sigurul cod cu securitate ecodițioată (cuoscut sub umele de codul Veram, şi î variata uşor modificată ca oetime-pad). Primele deziderate î costrucţia uui algoritm criptografic au fost euţate de către Kerckhoffs î secolul XIX. Pe lâgă importaţa istorică, acestea au relevaţă chiar şi î zilele de astăzi, iar î acest cotext cosiderăm utilă amitirea lor: i) Sistemul trebuie să fie, dacă u teoretic imposibil de spart, atuci imposibil de spart î practică. ii) Compromiterea detaliilor cu privire la sistemul criptografic u trebuie să creeze probleme corespodeţilor. iii) Cheia trebuie să fie uşor de memorat fără a fi otată şi să fie uşor de schimbat.

29 1. Itroducere 9 iv) Cifrul (mesajul criptat) trebuie să fie uşor de trasmis pri telegraf. v) Aparatul de criptare trebuie să fie uşor de purtat şi operabil de către o sigură persoaă. vi) Sistemul trebuie să fie simplu, fără să ecesite cuoaşterea uei liste lugi de reguli sau stres itelectual. (i) (ii) FIGURA 1.8. COMUNICAȚII WIRELESS (I) IERI (ÎN TIMPUL CELUI DE AL DOILEA RĂZBOI MONDIAL) ȘI AZI (II) (COPYRIGHT: POZELE DE LA I) AU FOST ALESE DIN DOMENIUL PUBLIC) Î perioada premergătoare celui de-al doilea război modial apare și mașia Eigma, u criptosistem despre care se poate spue că a jucat u rol decisiv î uul di cele mai importate eveimete di istoria omeirii: cel de-al doilea război modial. Această perioadă iclude cotribuțiile fudametale ale lui Ala Mathiso Turig ( ) costructor al mașiii care a spart Eigma (a

30 30 Fucţii Criptografice, Fudamete Matematice şi Computaţioale u se cofuda cu mașia Turig, o descoperire fudametală a acestuia care reprezită poate prima abstractizare a uei mașii de calcul modere). Ala Turig rămâe recuoscut ca părite al știiței calculatoarelor și iteligeței artificiale. (i) FIGURA 1.9. MAȘINI CRIPTOGRAFICE: (I) IERI (MAȘINA ENIGMA) ȘI (II) AZI (SMART- CARD) (ii) Î uele prezetări istorice se face o separare ître perioada premergătoare războiului (perioada lui Kerckhoffs și Veram) și perioada celui de-al doilea război modial. Aici am decis să le grupăm deoarece descoperirile di ambele par să joace la uiso î dezvoltarea criptografiei modere. Îtr-adevăr îsă există și rațiui petru a le separa, deoarece î mod cert descoperirile di perioada celui de-al doilea război modial au avut u impact semificativ asupra evoluției omeirii şi u doar a criptografiei. Nu este de mirare că cel de-al doilea

31 1. Itroducere 31 război modial a dus la dezvoltarea criptografiei, deoarece rolul de bază î soarta războiului a fost jucat de submarie și avioae, două arme care depid de comuicare wireless, comuicare ușor de făcut (fără să ecesite o ifrastructură petru mediul de trasmisie, u există cablu, ci doar aer) dar care este expusă adversarilor (oricie aude ce se vorbește). Î Figura 1.8 sugerăm evoluţia comuicaţilor wireless di mediul militar către cel al societăţii de cosum. Mediul wireless este uul ditre pricipalele motoare de dezvoltare a securităţii, evidet datorită fragilităţii mediului î faţa adversarilor. Criptografia moderă îcepe î opiia multora cu Claude Elwood Shao ( ) părite al domeiului teoriei iformației și care marchează itrarea criptografiei î era criptografiei matematice. Poate u alt îceput al criptografiei modere ar putea fi văzut î codul lui Horst Feistel și așterea criptografiei cu cheie publică datorată lui Diffie-Hellma-Merkle. Desigur îsă vorbim de u cotiuum, așa că u este ușor a trage o liie exactă acolo ude îcepe criptografia moderă și poate ici u este așa de relevat. Relevat este că odată cu descoperirea criptografiei cu cheie publică, criptografia trece ditr-u domeiu prepoderet militar, îtr-u domeiu academic, al uiversităților și grupurilor de cercetare ISTORIA CRIPTOGRAFIEI CU CHEIE PUBLICĂ ÎN PARTICULAR Cu certitudie istoria criptografiei cu cheie publică își merită propriul ei capitol. Aceasta deoarece, am spus şi subliiem, îceputul ei marchează trecerea criptografiei di domeiul prepoderet militar di care făcea parte aterior î domeiul public, academic. Criptografia cu cheie publică s-a ăscut ca domeiu di ecesitatea de a rezolva două probleme fudametale î securitate: i) trasmisia de iformaţie pe u caal esigur ître doi participaţi care u au u secret partajat prealabil și ii) semarea digitală a iformaţiei î scopul asigurării o-repudierii acesteia. Este foarte simplu de îţeles de ce criptarea cu cheie secretă, umită şi criptare simetrică, u poate fi folosită petru atigerea acestor deziderate. Aşa cum a fost sugerat î Figura 1.7 cu privire la criptarea cu cheie secretă se poate observa că aceeaşi cheie, umită cheie secretă, este folosită petru criptare şi decriptare. Astfel petru ca doi participaţi să poată comuica î codiţii de securitate este strict ecesar ca ei să fii schimbat î prealabil o cheie lucru care impue existeţa aterioară a uui caal sigur de comuicare. Dar î practică de cele mai multe ori iteracţiuile sut spotae şi avem de a face cu participaţi

32 3 Fucţii Criptografice, Fudamete Matematice şi Computaţioale care u au beeficiat î prealabil de u caal sigur de comuicare fiid astfel imposibilă existeţa uui secret partajat prealabil. Criptarea cu cheie publică, sau criptarea asimetrică, poate rezolva acest eajus. Aceasta deoarece îtr-u sistem de criptare cu cheie publică criptarea şi decriptarea se fac cu chei disticte, şi astfel cheia de criptare, umită şi cheie publică, poate fi trimisă pe u caal esigur deoarece itercepţia ei u poate duce la decriptarea uui mesaj criptat cu aceasta. Î acelaşi timp doar posesorul legitim al cheii de decriptare, umită şi cheie privată, este cel care poate recupera di criptotext mesajul origial. Î Figura 1.10 este sugerat mecaismul de criptare şi decriptare cu cheie asimetrică. pk pub!1c... m asdf asdf asdf asdf... ALGORITM DE CRIPTARE c 0gQ1 i7r1... ALGORITM DE DECRIPTARE m asdf asdf asdf asdf... sk pr1v@t3... FIGURA 1.10.CRIPTAREA CU CHEIE PUBLICĂ (CRIPTAREA ASIMETRICĂ). Coceptul de criptosistem cu cheie publică şi utilitatea lui î atigerea acestor obiective a fost publicat de Diffie şi Hellma î Î fapt îsă descoperirea coceptului de criptare cu cheie publică este descoperit de Ralph Merkle puţi îaite, dar aşa cum spue Hellma: Diffie, Rivest, Shamir, Adlema şi eu am avut orocul de a primi rapid recezii ale lucrărilor oastre, şi astfel au apărut îaitea cotribuţiilor fudametale ale lui Merkle (î prefaţa de la cartea lui Ya [87]). Diffie şi Hellma îsă eşuează î a propue o soluţie petru semătura digitală şi sigura lor propuere este schimbul de cheie Diffie-Hellma care poate fi utilizat î scopul criptării asimetrice petru rezolvarea criptării cu cheie publică. Doi ai mai târziu, î 1978, Rivest, Shamir şi Adlema descoperă criptosistemul deumit RSA, după umele autorilor, care poate fi utilizat petru rezolvarea ambelor probleme: criptare asimetrică şi semătură digitală. Î 1979 Rabi publică u criptosistem similar cu RSA care diferă doar la valoarea

33 1. Itroducere 33 expoetului utilizat şi care are securitatea echivaletă problemei factorizării îtregilor (pâă î prezet o astfel de echivaleţă u se poate demostra î ceea ce priveşte RSA-ul). Doar î 1983 ElGamal descoperă că iclusiv logaritmii discreţi pe a căror dificultate se baza securitatea schimbului de cheie propus de Diffie şi Hellma pot fi utilizaţi petru costrucţia uei scheme de semături digitale. Î 1985 Miller şi Koblitz propu utilizarea curbelor eliptice î criptosistemele lui Diffie-Hellma şi ElGamal, practic problema logaritmului discret peste grupuri de îtregi este traspusă î problema logaritmului discret peste curbe eliptice pricipiul criptosistemelor rămââd îsă acelaşi. Î 00, Hellma a propus ca schimbul de cheie descoperit î 1976 să fie umit Diffie- Hellma-Merkle (poate că ivetatorul criptografiei cu cheie publică este totuşi Ralph Merkle). Acestea ar fi cele mai semificative momete di istoria veche a criptografiei cu cheie publică. Relativ recet, î 1997, a fost făcută publică iformaţia că serviciile secrete britaice erau î posesia sistemului RSA cu 5 ai îaite ca el să fie descoperit şi publicat de Rivest et al., î 1973, autorul fiid Clifford Cocks agajat al UK Itelligece Agecy. Acelaşi lucru este valabil şi cu privire la schimbul de cheie Diffie-Hellma, descoperit î 1974 de serviciile secrete britaice şi aume de către Malcolm J. Williamso. Acestea sut îsă doar episoade di istoria ascusă a criptografiei, istorie care este lipsită de o ţiută ştiiţifică şi care u poate fi decât codamată avâd î vedere faptul că î eseţă s-a opus uui progres atural. Î prezet există o paletă largă de fucţii de criptare cu cheie publică, umită şi criptare asimetrică. Acestea pot fi împărţite î două mari categorii după cele două mari probleme pe care se bazează (această clasificare u este exhaustivă deoarece există şi alte probleme pe care se pot costrui criptosisteme cu cheie publică, doar că acestea u prezită eficieţa ecesară î practică): i) criptosisteme cu cheie publică bazate pe dificultatea factorizării îtregilor (au ca puct de plecare algoritmul RSA [67]) și ii) criptosisteme cu cheie publică bazate pe dificultatea logaritmului discret (au ca puct de plecare schimbul de cheie Diffie-Hellma [9] şi semătura digitală ElGamal [33] precum şi extesiile acestora peste grupurile formate de curbe eliptice propuse de Koblitz şi Miller [63]). Mai există desigur şi alte momete marcate î evoluţia criptografiei cu cheie publică care trebuie amitite deoarece vom discuta costrucţii legate de acestea î capitole următoare. Goldwasser şi Micali descriu ideea de securitate sematică î 198, Dolev, Dwork şi Naor descriu coceptul de o-maleabilitate î 1991, Bellare şi Rogaway itroduc modelul oracolelor aleatoare 1995, şi tehica de paddig OAEP petru a produce criptosisteme rezistete î faţa uor

34 34 Fucţii Criptografice, Fudamete Matematice şi Computaţioale adversari activi. Î 1998 Bellare, Desai, Poitcheval şi Rogaway trasează şi demostrează primele relaţii ître oţiuile de securitate petru criptosisteme cu cheie publică, Shoup demostrează î 001 că OAEP u are securitatea susţiută de Bellare şi Rogaway, Fujisaki, Okamoto, Poitcheval şi Ster arată că RSA-OAEP este sigur, Caeti, Goldreich şi Halevi arată că modelul ROM este esigur î 1996 (î 00 apare versiuea de jural a tezei) rămââd deschisă problema găsirii uui model mai bu. Lista umelor relevate î criptografia cu cheie publică u este ici pe departe completă şi rămâe desigur deschisă. Î secţiuile următoare urmează ca aceste realizări să fie explicate, aici a fost u bu prilej de a le pue succit îtr-u cadru istoric. 1.1 O PRIVIRE DE ANSAMBLU ASUPRA FUNCŢIILOR CRIPTOGRAFICE Nu este deloc simplu a fixa o termiologie î acest domeiu străi oarecum de limba româă. Vorbim de fucţii criptografice, de exemplu fucţii de criptare, fucţii de semare digitală, sau alterativ î loc de fucţie folosim termeul de algoritm, deci algoritm criptografic, algoritm de criptare, etc. Î geeral îsă petru a asigura operațiile ecesare avem evoie de perechi de fucţii (algoritmi), de exemplu avem evoie de o fucţie de criptare dar şi de ua de decriptare, mai mult chiar şi de o fucţie de geerare a cheii. Di acest motiv vorbim de sisteme criptografice, pri acestea desemâd o colecţie de ua sau mai multe fucţii. De exemplu u sistem criptografic cu cheie secretă este colecţie de trei fucţii: o fucţie de geerare a cheii, o fucţie de criptare şi o fucţie de decriptare. Î egleză îsă, mai frecvet decât termeul de sistem se foloseşte termeul scheme, de exemplu vorbim de symmetric ecryptio scheme desemâd colecţia de trei algoritmi aterior meţioaţi. La fel există asymmetric ecryptio scheme şi digital sigature scheme. Petru uiformitate cu termiologia î egleză, vom folosi termeul de schemă criptografică şi î particular schemă de criptare simetrică, schemă de criptare asimetrică şi schemă de semătură digitală petru a desema u sistem format di uul sau mai mulţi algoritmi care asigură fucţioalităţile ecesare (criptare, decriptare, semare, etc.). Se foloseşte de asemeea frecvet î criptografie oţiuea de fucţie oe-way petru a desema o fucţie care este greu (imposibil î limite rezoabile de timp) de iversat di puct de vedere computaţioal. U caz particular îl joacă fucţiile oe-way cu trapă, adică acele fucţii care devi eficiet de iversat dacă se cuoaşte o iformaţie suplimetară umită trapă. Î eseţă toate schemele criptografice se bazează pe fucţii oe-way, lucru uşor de dedus de altfel (de exemplu fucţiile oe-way cu trapă stau la baza oricărei scheme de criptare).

35 1. Itroducere 35 Defiiţii mai riguroase petru fucţiile oe-way cu sau fără trapă se găsesc î aexa acestui volum. Î geeral, o schemă criptografică şi echivalet u sistem criptografic, sau simplu criptosistem, este u asamblu format di trei algoritmi: u algoritm de geerare a cheilor (cheie de criptare şi cheie de decriptare), u algoritm de criptare şi u algoritm de decriptare alături de mulţimile di care provi itrările lor acest lucru este sugerat î Figura Noţiuea de criptosistem aşa cum a fost aterior defiită u este deloc rigidă ea putâd de fapt să surpridă toate primitivele criptografice ce vor fi descrise î cotiuare, fiid u simplu exerciţiu de imagiaţie a gâdi sceariile petru care algoritmul de geerare a cheii poate să lipsească sau algoritmii de criptare sau decriptare îdepliesc alte roluri decât criptarea sau decriptarea efectivă a iformaţiei, etc. Aşa cum am spus, se foloseşte frecvet, fără a pierde di semificaţii, termeul de fucţie î locul celui de algoritm, de exemplu spuem fucţie de criptare sau fucţie de decriptare cu referire la algoritmii de criptare şi decriptare. Totodată este folosită şi oţiuea de primitivă criptografică, aceasta avâd u ses larg, desemâd orice bloc costructiv. Parametru (ivel) de securitate Valoare aleatoare Algoritm de geerare a cheilor Mesaj Cheie de criptare Cheie de decriptare Criptotext Algoritm de criptare Algoritm de decriptare FIGURA SISTEM CRIPTOGRAFIC. Există o paletă largă de fucţii şi sisteme criptografice î literatura de specialitate, acestea pot fi clasificate ca aparţiâd la trei mari categorii: criptosisteme cu

36 36 Fucţii Criptografice, Fudamete Matematice şi Computaţioale cheie secretă (sau cheie simetrică), criptosisteme cu cheie publică (sau cheie asimetrică) şi criptosisteme fără cheie. Criptosistemele cu cheie simetrică utilizează aceeaşi cheie petru criptare şi decriptare; avatajul lor este că ecesită resurse de calcul reduse î timp ce dezavatajul este ecesitatea uei chei secrete cuoscute de participaţii la comuicare (deci u secret partajat). Criptosistemele cu cheie asimetrică presupu utilizarea de chei diferite petru criptare/decriptare; avatajul este posibilitatea de a efectua trasmisii pe caale esigure î abseţa uor secrete partajate iar dezavatajul este puterea de calcul relativ ridicată de care este evoie. Î pricipiu securitatea u se poate costrui decât î prezeţa fucţiilor di ambele categorii. Pe lâgă criptosistemele cu cheie simetrică şi asimetrică mai există şi criptosistemele fără cheie. O taxoomie a criptosistemelor este sugerată î Figura 1.1. Fuctii si sisteme (scheme) criptografice Fuctii (algoritmi) fara cheie Sisteme (scheme) cu cheie simetrica Sisteme (scheme) cu cheie asimetrica Geeratoare de umere aleatoare Fuctii hash criptografice Scheme de criptare cu cheie simetrica (Criptarea cu cheie secreta) Coduri de autetificare a mesajelor (MAC) Scheme de criptare cu cheie asimetrica (Criptarea cu cheie publica) Scheme de semare digitala FIGURA 1.1. PRIVIRE DE ANSAMBLU ASUPRA SISTEMELOR CRIPTOGRAFICE DEZIDERATE ÎN SISTEMELE CRIPTOGRAFICE CONTEMPORANE Este ecesară itroducerea uei astfel de secțiui, pe cât de scurtă pe atât de utilă. Î cei mai bie de 8 ai de câd desfășor activități î acest domeiu î cadrul Uiversității Politehica di Timișoara, am remarcat o clară dezorietare a

37 1. Itroducere 37 studeților (chiar masterazi sau doctorazi) î ceea ce privește dezideratele costructive ale sistemelor criptografice. Pe scurt spus, lumea crede că obiectivul este costrucția uor sisteme imposibil de spart și atât. Î realitate îsă scopul este costrucția uor sisteme imposibil de spart, dar totodată și eficiete computațioal. Mai mult, eficieța computațioală este u factor decisiv î alegerea uui sistem criptografic î practică. Fără o îţelegere adecvată a domeiului, mulţi etuziaşti u sut coştieţi că oricâd am putea costrui u sistem mai greu de spart (de exemplu criptarea multiplă) dar acesta u ar ajuta cu imic dacă u ar fi și eficiet. Codul Veram, sau oe-time-pad, este î cotiuare cel mai sigur criptosistem dar el u este folosit petru ca este ieficiet (ecesită chei de lugime egală cu mesajul). Deci pe scurt, î ceea ce privește fucțiile de criptare scopul ar fi costrucția uor fucții cât mai rapide și cu chei cât mai mici. Î prezet, î criptografie iteresul este î a găsi sisteme oi, eficiete și proprietăți oi de securitate precum și demostrații matematice că aceste proprietăți sut atise LITERATURĂ RELEVANTĂ ÎN DOMENIU Îcerc să fac o trecere î revistă a literaturii care poate fi de iteres petru cititorul eiiţiat î acest domeiu. Cărţi clasice despre criptografie. Există trei cărţi de bază î criptografia clasică: Meezes et al. [6], Stiso [81] şi Scheier [73]. Deumim aceste cărţi clasice deoarece, cu toate că ele sut actuale, u oferă iformaţii cu privire la tehici modere fără de care domeiul u mai poate fi coceput î zilele oastre (de exemplu reducţia de securitate sau curbe eliptice). Cartea lui Meezes et al. [6] este extrem de sitetică şi cosistetă di puct de vedere al matematicii, iar cartea lui Stiso [81] este de asemeea coeretă di puct de vedere matematic şi coţie formalisme destul de bue cu privire la criptosisteme. Cartea lui Scheier [73] este di puct de vedere al matematicii ceva mai slabă, expuerile fiid mai literare, o recomad î special celor care sut iteresaţi de securitate î geeral şi u eapărat de criptografie. Ateţie, toate aceste trei cărţi prezită soluţii îvechite, de exemplu u sut abordate oţiuile de IND-CCA şi NM-CCA vitale petru criptosistemele cu cheie publică cotemporae (vezi capitolul 6 al prezetei lucrări). Petru cititorul care u are mult timp de pierdut şi care trebuie să îşi formeze rapid o imagie despre criptografie recomad cartea recetă a lui Fergusso şi Scheeier [35] care are expueri simple şi de asamblu asupra domeiului.

38 38 Fucţii Criptografice, Fudamete Matematice şi Computaţioale Cărţi modere despre criptografie. Cărțile lui Mao [60] şi Katz şi Lidell [54] sut cărţi modere care coţi oţiui de securitate modere şi demostraţii (reducţii) de securitate actuale. Prima prezită o abordarea bazată pe soluţiile existete î lumea reală şi este cartea pe care o recomad î primul râd. Este exceletă ca lucrare de asamblu, suficiet de scurtă şi totuşi eciclopedică şi moderă, cursul ţiut la MIT de Bellare şi Goldwasser [4]. Acesta poate fi îsă greu de îţeles petru cititorul lipsit de o bază oarecare î domeiu şi este u material extrem de des. Cărţi solide petru fudamete ale criptografiei sut cele două volume publicate de Goldreich [4], [43]. Cărţi despre securitatea iformaţiei. Petru o vedere geerală asupra aplicaţiilor de securitate şi parţial a criptografiei este utilă cartea lui Aderso [1] deşi u are prea mult de a face cu igieria aşa cum titlul sugerează. Tot orietată spre practică este şi cartea lui Stalligs [80]. Cărţi despre Teoria Numerelor. Di puct de vedere al criptografiei cu cheie publică sut foarte relevate aspectele de teoria umerelor, petru acestea au deveit referiţă î domeiu cărţile lui Apostol [] şi a lui Hardy şi Wright [49]. Petru teoria probabilităţilor trebuie cosultată [34]. Abordări ale criptografiei pri prisma matematicii (î special algebră şi teoria umerelor) pot fi găsite î cartea lui Koblitz [56] şi cea a lui Cohe [3]. Este de asemeea o mare realizare î domeiu materialul oferit de Shoup [77] care se focalizează asupra elemetelor de calcul ecesare (pe Iteret este dispoibilă şi o bibliotecă de fucţii implemetate î C). Tot ca abordare di perspectiva teoriei umerelor recomad şi cartea lui Wagstaff [83]. Petru cei iteresaţi de criptografia pe curbe eliptice (extesie a criptosistemelor lui Diffie-Hellma şi ElGamal), care poate fi văzută î sie ca u domeiu, recomad î primul râd lucrarea lui Cohe et al. [4] apoi lista cotiuă cu lucrarea lui Washigto [84] şi lucrarea lui Hakerso et al. [48] care o recomad î special petru cei care vor să implemeteze, primele două cărţi le recomad celor iteresaţi de aspectele de matematică. Cele două cărţi publicate la Cambridge despre curbe eliptice avâd coautor pe Gadiel Seroussi sut călduros recomadate [10], [11], persoal u le-am cosultat dar am asistat la cursurile lui Serrousi pe această tema de la Bo, Germaia, î septembrie 007. Articole de specialitate. Î ceea ce priveşte articolele de specialitate di coferiţe şi jurale aici lista recomadărilor ar fi eormă. Am iclus la bibliografie doar câteva articole de referiţă. Î geeral sut recomadate lucrările publicate î coferiţele cetrale ale criptografiei, orgaizate de Iteratioal Associatio for Cryptologic Research (IACR) [5]: Crypto, Eurocrypt, Asiacrypt, Iteratioal Workshop o Practice ad Theory i Public Key Cryptography (PKC), Fast Software Ecryptio (FSE) şi mai recet Theory of

39 1. Itroducere 39 Cryptography Coferece (TCC). Juralul cetral î domeiu care este Joural of Cryptology publicat tot de IACR (detalii cu privire la toate acestea se găsesc pe pagia IACR Este de mețioat şi juralul Desig Codes ad Cryptography, jural cu tradiţie î acest domeiu. Desigur, mai există şi alte publicaţii bue decât cele eumerate aici, lista u este exhaustivă SĂ NU SUPRAEVALUĂM CRIPTOGRAFIA: SECURITATEA ESTE UN PROCES, NU UN PRODUS Este bie să îcheiem capitolul cu modestie. Bruce Scheier î prefața la lucrarea Secrets ad Lies își recuoaște greșeala di Apllied Cryptography de a supraevalua rolul criptografiei. Trebuie îțeles că criptografia este o piesă esețială î securitate, î opiia autorului cea mai importată, dar u e sigura. "Security is a process, ot a product" este o afirmație comuă î securitatea iformației. Trebuie îțeles că securitatea î sie u este u simplu produs pe care îl cumpărăm și apoi totul decurge de la sie. Cosiderăm cazul simplu al uui ativirus, îl cumpărăm și istalăm. Va fucțioa? Petru aceasta este ecesar și ca el să poată face update, și ca echipa care îl produce să lucreze la aceste update-uri, etc. Nu este vorba deci de o simplă cumpărare. Altfel, putem istala securitate de cel mai îalt ivel la u serviciu o-lie, putem costrâge utilizatorii să folosească parole de 14 caractere corect alese. Dar dacă utilizatorii își spu parola mai departe, este sistemul sigur? Astfel securitatea trebuie văzută ca u proces, ca u sistem î asamblu, î care fiecare compoetă joacă u rol. Nu putem avea securitatea persoală pri simpla cumpărare a uui produs, este ecesară și implicarea persoală care presupue î primul râd educarea utilizatorului. Di aceste motive securitatea u este simplu de asigurat î cadrul uui sistem.

40 SCHEME DE CRIPTARE CU CHEIE SIMETRICĂ (CRIPTAREA CU CHEIE SECRETĂ) Istoria criptografiei îcepe cu costrucţia fucțiilor de criptare cu cheie secretă. Îcepem cu expuerea uor procedee costructive de bază şi cotiuăm cu detalii despre criptosisteme cotemporae precum DES şi AES. Nu î ultimul râd discuţia se axează şi asupra modurilor de operare a acestor criptosisteme, moduri eseţiale petru securitate î practică..1 DEFINIŢIE ŞI PROPRIETĂŢI EK Criptarea simetrică a mesajului m cu cheia secretă K o vom ota cu m, ude E reprezită algoritmul (fucţia) de criptare şi este îtotdeaua cuoscut public. Securitatea criptosistemului (schemei de criptare simetrică) depide doar de păstrarea secretă a cheii K (î ici u caz de vreu detaliu al algoritmului care este public). A cripta îseamă a aplica algoritmul E asupra mesajului m petru a obţie criptotextul c E m iar a decripta îseamă a 1 aplica algoritmul E 1 K (adeseori otat şi D K de la decriptare sau E K simbolizâd iversa fucţiei de criptare) asupra criptotextului c petru a obţie mesajul m. U sistem criptografic simetric îl defiim după cum urmează. Defiiţia.1. (schemă de criptare cu cheie simetrică) O schemă (sistem) de criptare cu cheie simetrică (secretă) costă î trei algoritmi: algoritmul de K Sym. Ge 1 k care primeşte ca itrare ivelul de securitate k geerare a cheii şi returează cheia K, algoritmul de criptare EK m Sym. Ec m, K primeşte ca itrare mesajul m şi cheia k returâd mesajul criptat c EK m algoritmul de decriptare m Sym. Dec c, K criptotext c E m K K care K şi care primeşte ca itrare u şi cheia K şi returează mesajul aferet m. Toate acestea alături de spaţiile datelor de itrare asociate acestora care fără geeralitate le cosiderăm spaţii ale strigurilor biare. a pierde di Pri 1 k otăm pri coveţie striguri biare de k, biţi iar acest parametru al algoritmului de geerare are rolul de a fixa dimesiuea cheii.

41 . Scheme de criptare cu cheie simetrică 41 Petru algoritmii simetrici, pri coveţie, presupuem K K 1 pri aceasta îţelegâd că putem calcula uşor cheia de decriptare di cea de criptare. Subliiem faptul că aceasta u îseamă că aceste chei sut idetice (şi ici u sut î cele mai multe cazuri practice) ci doar că ua este uşor de dedus di cealaltă. Pri atiteză, petru algoritmii asimetrici ce vor fi itroduşi îtr-u capitol următor avem K K 1, ceea ce îseamă că u este fezabil a calcula cheia de decriptare di cea de criptare. Figurile.1 şi. sut ilustrative petru algoritmii de criptare şi decriptare iar î Figura.3 sut utilizaţi algoritmii di figurile.1 şi. petru a costrui schema de asamblu a uui sistem de criptare cu cheie simetrică. m * K ct., e. g., 18 E ( m) m K K Algoritm (fuctie) de criptare cu cheie secreta Sym.Ec(m,K) m c E m K FIGURA.1. SCHEMA BLOC A UNEI FUNCŢII DE CRIPTARE CU CHEIE SECRETĂ K c Algoritm (fuctie) de decriptare cu cheie secreta Sym.Dec(c,K) K 1 m E c FIGURA.. SCHEMA BLOC A UNEI FUNCŢII DE DECRIPTARE CU CHEIE SECRETĂ

42 4 Fucţii Criptografice, Fudamete Matematice şi Computaţioale 1 k valoare aleatoare (pseudo-aleatoare) Algoritm de geerare a cheilor k m Algoritm (fuctie) de criptare cu cheie simetrica (secreta) Algoritm (fuctie) de decriptare cu cheie simetrica (secreta) c E m k FIGURA.3. SCHEMA DE CRIPTARE CU CHEIE SIMETRICĂ. Două proprietăţi sut eseţial de subliiat î cazul schemelor simetrice: i) Fără cheia K di criptotextul c E m imic despre mesajul m. ii) Criptotextul c E m K u se poate afla K alături de orice iformaţie cu privire la mesajul m u aduce ici o iformaţie cu privire la K. Nu sut îsă icidecum sigurele proprietăţi ale uei scheme de criptare simetrică. Acestora li se pot asocia şi proprietăţi avasate, precum imposibilitatea adversarului de a modifica mesajul di iteriorul uui criptotext, adică fără cuoaşterea cheii K, chiar dacă m este cuoscut, u adversar u poate altera c E m fără ca receptorul mesajului să poată detecta acest lucru la mometul K decriptării. Această proprietate poartă umele de o-maleabilitate (omaleability). O altă proprietate este imposibilitatea adversarului de a distige dacă este criptat u bit de valoare 0 sau u bit de valoare 1. Adică, avâd c E K 0 şi c E K 1, fără cuoaşterea cheii K u adversar u poate spue

43 . Scheme de criptare cu cheie simetrică 43 care este criptarea lui 1 şi care a lui 0. Această proprietate se umeşte imperceptibilitatea sau edistigerea criptotextelor (idisiguishability of ecryptios). Avatajul algoritmilor simetrici costă î viteza ridicată de criptare şi decriptare. Î comparaţie cu cei asimetrici aceştia sut mai rapizi cu câteva ordie de magitudie, de 10, 100 sau chiar 1000 de ori. Î ceea ce priveşte deficieţele, prima deficieţă a algoritmilor simetrici este aceea că u permit efectuarea uei comuicări pe u caal esecurizat î prealabil (ecesită partajarea prealabilă a uui secret). Î acelaşi cotext, al cheilor partajate, deficieţa algoritmilor simetrici costă î faptul că odată cu creşterea umărului de participaţi la comuicare creşte şi umărul de chei secrete care trebuie cuoscute; de exemplu 1 / chei secrete. O petru comuicarea ître etităţi avem evoie de alterativă ar fi utilizarea uui server de autetificare (parte de îcredere) care stochează chei criptografice partajate cu fiecare etitate (aceste chei fiid valabile pe terme lug de ude şi deumirea de log-term key) şi le foloseşte petru a trasmite chei valabile pe terme scurt petru comuicarea ître etităţi care u au avut u cotact prealabil. Îtr-u astfel de sceariu umărul de chei este egal cu cel de participaţi.. CLASIFICARE: CODURI BLOC ȘI CODURI STREAM Codurile de criptare cu cheie simetrică pot fi împărţite î două mari categorii după modul î care prelucrează mesajul ce urmează a fi criptat: i) Coduri bloc: sut algoritmi de criptare care operează asupra mesajului ce trebuie criptat bloc cu bloc, fiecare bloc avâd dimesiue fixă (deci criptează u bloc la u momet dată). ii) Coduri stream: sut algoritmi de criptare care criptează bit cu bit (practic lugimea blocului este 1) şi trasformarea de criptare se poate modifica petru fiecare caracter î parte. Codurile stream sut î special utile câd există erori de trasmisie (deoarece u au erori de propagare) şi atuci câd datele trebuie procesate pe măsură ce ajug la destiaţie (u există spaţiu de stocare). Modurile de fucţioare ce urmează a fi discutate î acest capitol permit trasformarea uui cod bloc î cod stream. Î practică se folosesc cu precădere coduri bloc, dar u sut de eglijat ici cele stream, de exemplu î trasmisii wireless. Î geeral la codurile stream operaţia de criptare costă îtr-o operaţie simplă (de exemplu u

44 44 Fucţii Criptografice, Fudamete Matematice şi Computaţioale simplu XOR cu cheia curetă) iar geerarea cheii curete este mai itesă computaţioal..3 PRINCIPII CONSTRUCTIVE: SUBTITUŢIA ŞI TRANSPOZIŢIA, CIFRU PRODUS Î costrucţia fucţiilor criptografice simetrice există două operaţii uiversal utilizate: i) Substituţia îseamă îlocuirea uor simboluri sau grupuri de simboluri pri alte simboluri sau grupuri de simboluri şi creează cofuzie. ii) Traspoziţia (sau permutarea) îseamă permutarea (amestecarea) simbolurilor di cadrul uui bloc şi creează difuzie (umită ueori şi difuziue). Aceste două oţiui au fost itroduse petru prima dată de Claude Shao î 1949 şi reprezită cocepte fudametale î costrucţia schemelor modere de criptare simetrică. Toate schemele modere coţi casete de substituție S-Box şi permutare P-box petru a crea cofuzie şi difuzie. Se foloseşte termeul de cifru produs (product cipher) petru a desema u cifru obţiut di combiarea a două sau mai multe proceduri care coduc la u criptosistem mai sigur decât utilizarea idividuală a acestora. Astfel, o reţea de substituţii (S) şi permutări (P), deumită î geeral reţea-sp (SP-etwork), este uul ditre cele mai simple cazuri de cifruri produs..4 MAŞINA ENIGMA Maşia Eigma şi compoetele sale sut ilustrate î Figura.4. Textul ce urma a fi criptat era itrodus de la tastatură şi la fiecare tastă apăsată se apridea becul aferet criptotextului î tabela de becuri (rezultatul fiid otat pe hârtie de u operator). Au existat şi variate la care rezultatul era tipărit pe hârtie dar acestea au fost mai puţi frecvete (costuri suplimetare şi greutate). Variata stadard avea 3 rotoare alese ditru set de 5 şi o tabelă de ştechere ude maxim 13 ştechere se puteau folosi petru a lega câte litere. Variate mai evoluate au avut şi 4 rotoare sau mai mult. Pe scurt pricipiul de fucţioare era următorul: la apăsarea uei taste se îchidea u circuit ce permitea curetului electric să treacă pri tabela de ştechere (ude o literă putea fi sau u legată de altă literă) apoi

45 . Scheme de criptare cu cheie simetrică 45 FIGURA.4. COMPONENTELE MAŞINII ENIGMA: A) CELE 3 ROTOARE, B) TABELA CU BECURI, C) TASTATURA, D) TABELA DE ŞTECHERE pri cele 3 rotoare care aveau şi ele cablaje diferite iar di cel de-al patrulea rotor (umit reflector) curetul se îtorcea pri cele 3 rotoare, reveea î tabela de ştechere şi apridea uul di becurile di paou (care era rezultatul literei criptate). Pe scurt, cheia maşiii Eigma avea la bază următoarele setări: ordiea rotoarelor (alese ca 3 rotoare di 5 variate şi puse î orice ordie), poziţia iiţială a rotoarelor (fiecare are 6 de poziţii), setarea ielului (pe fiecare rotor era u iel care idica ude se acţioează mişcarea următorului rotor) şi setarea tabelului de ştechere (ude maxim 13 ştechere se puteau folosi petru a coecta cele 6 de itrări). Dacă cosiderăm doar cele 13 ştechere care leagă 6 de poziţii şi faptul că avem 3 rotoare di care fiecare poate fi pus î 6 de poziţii deja depăşim spaţiul de chei al DES-ului (aproape de ori!) deoarece avem: 3 6! variate de cheie. Aceasta u ţie cot de 13 13! setarea ielului pe fiecare rotor şi de ordiea rotoarelor şi tot este mai mult decât cei 56 de biţi de cheie ai DES, criptosistem care a fost sigur pâă la ivelul ailor 90. Astfel, spaţiul di care provie cheia este impresioat, mult mai mare decât al DES-ului şi chiar mai mare decât î cazul AES dacă Eigma este folosită la

46 46 Fucţii Criptografice, Fudamete Matematice şi Computaţioale puterea ei maximă. Dar ici această dimesiue a spaţiului di care provie cheia u este suficietă petru securitate, maşia Eigma realizează doar o simplă substituţie polialfabetică. Se poate observa o deficieţă costructivă chiar şi după această descriere sumară: pri apăsarea uei litere circuitul electric u se putea îchide sub acea literă şi deci o literă u se putea cripta î ea îsăşi. Acest lucru este o deficieţă majoră deoarece o buă parte di mesajele sursă pot fi elimiate di start (î special î război, variatele de mesaj sursă sut puţie deoarece î geeral reprezetau ordie militare scurte, etc.)..5 REŢEAUA FEISTEL Maşia Eigma este îcă u sistem fără prea multe legături cu sistemele cotemporae. Reţeaua Feistel, sau codul Feistel, este primul criptosistem simetric moder. Aceasta a fost costruită î aii 70 de către Horst Feistel şi a apărut î primul criptosistem comercial umit Lucipher costruit de Horst Feistel şi Do Coppersmith la IBM î Marea parte a criptosistemelor simetrice cotemporae urmează pricipiile codului Feistel. Schema de pricipiu a reţelei Feistel se găseşte î Figura.5. Î reţelele Feistel se aplică următoarele trasformări asupra mesajului: permutări (P-boxes) petru a crea difuzie, substituţii, petru a crea cofuzie (Sboxes) şi operaţii pe biţi (XOR). Î geeral este ecesar u miim de 16 rude petru securitate adecvată. Pricipii costructive geerale î reţeaua Feistel sut: cu cât dimesiuea blocului, a cheii şi umărul de rude creşte, creşte şi securitatea respectiv scade viteza de criptare/decriptare, iar dacă scad, scade şi securitatea respectiv creşte viteza de criptare/decriptare. Marele avataj este că criptarea şi decriptarea se fac parcurgâd aceeaşi reţea î ses ivers, deci este foarte eficietă ca şi cost de implemetare (î special hardware). Î Figura.5 de asemeea se pot distige cheile K0, K1,..., Kl 1 ale celor l rude de criptare şi fucţia F care este fucţia rudei de criptare. Î pricipiu această fucţie poate fi oricât de complexă şi u trebuie să fie o fucţie reversibilă. U bu exemplu petru utilizarea reţelei Feistel este criptosistemul DES ce îl discutăm î cotiuare.

47 . Scheme de criptare cu cheie simetrică 47 mesaj criptotext F F K 0 K l-1 F F K 1 K l- etc. etc. F F K l-1 K 0 criptotext mesaj FIGURA.5. REŢEA FEISTEL.6 CRIPTOSISTEMUL DES Stadardul î criptarea simetrică, valabil pâă î 001, a fost DES (Data Ecryptio Stadard) [36]. DES este u cod costruit pe o reţea Feistel cu 16 rude care trasformă mesaje de 64 de biţi î criptotext de 64 de biţi.

48 48 Fucţii Criptografice, Fudamete Matematice şi Computaţioale Cheia DES are îsă doar 56 de biţi şi u 64 (cofuzie comuă datorată poate faptului că la fiecare 7 biţi de cheie există 1 bit de paritate ceea ce duce la o dimesiue totală de 64 de biţi). Îaite de itrarea î reţeaua Feistel şi după ieşirea di aceasta, blocul de 64 de biţi este trecut pritr-o permutare respectiv pri iversa acesteia. Acest lucru este sugerat î Figura.6 (i). Rolul permutării este desigur de a crea difuzie. Permutarea, deumită IP (Iitial Permutatio), şi iversa acesteia sut ilustrate î Tabelul.1. Se observă (ca exemplu de permutare) pe poziţia 1 apare valoarea 58, adică bitul de pe poziţia 58 vie pe poziţia 1, iar î permutarea iversă, pe poziţia 58 apare valoarea 1, adică bitul de pe poziţia 58 vie pe poziţia 1, etc. Fucţia de rudă, aşa cum este descrisă î cadrul reţelei Feistel, are ca parametru de itrare blocul drept şi cheia de rudă. Dat fiid că blocul de itrare este de 64 de biţi, blocul drept (la fel ca şi cel stâg) are 3 de biţi. Acesta este îsă trecut pritr-o fucţie de expasiue E care îl aduce la 48 de biţi petru a face XOR cu cheia de rudă tot de 48 de biţi. Rezultatul este folosit ca itrare petru 8 casete de substituţie S-box. Fiecare casetă are la ieşire 4 biţi de ude rezultă u total de 3 de biţi care sut di ou trecuţi pritr-o permutare P. Fucţia de expasiue E şi permutarea P sut prezetate î Tabelul.1. Casetele de substituţie S-box lucrează î felul următor: sut 8 casete la itrarea fiecăreia veid cât 6 biţi di blocul de la itrare (6x8=48). Di cei 6 biţi 4 au rolul de a selecta coloaa şi de a selecta liia di S-box iar la ieşire oferă valoarea de pe poziţia respectivă. Deoarece la itrarea uui S-box sut 48 de biţi iar la ieşire 3, S-box este de fapt o compresie (e-bijectivă). Aceasta u iflueţează corectitudiea decriptării. Î Tabelul.1 sut ilustrate casetele S1 şi S, mai există 6 casete, care u le prezetăm deoarece u oferă iformaţii foarte relevate (stadardul poate fi cosultat petru valorile acestora). Rămâe de detaliat cum se calculează cheia de rudă. Aşa cum se observă î Figura.6 (iii) aceasta trece pritr-o permutare umită PC1 apoi la râdul ei este spartă î două blocuri care petru fiecare rudă sut shiftate la stâga. Permutarea PC1 este împărţită î două compoete, prim şi secud, fiecare corespuzâd la câte 8 de biţi de cheie (cheia e amitim are 56 de biţi). Numărul de shiftări este 1 petru rudele 1,, 9 şi 16, respective petru celelalte rude. La fial cheia de rudă trece pritr-o ouă permutare umită PC. Acest calcul di care provie cheia se mai umeşte şi program de cheie (key schedule).

49 . Scheme de criptare cu cheie simetrică IP IP E P S S PC1' PC1'' PC TABELUL.1. ELEMENTE CONSTRUCTIVE DES CONFORM FIPS46-: PERMUTAREA IP (INITIAL PERMUTATION) ŞI INVERSA EI, FUNCŢIA DE EXPANSIUNE E ŞI PERMUTAREA P, CASETELE DE SUBSTITUŢIE S1 ŞI S (MAI SUNT ÎNCĂ 6 CASETE), PERMUTĂRILE PENTRU PROGRAMUL DE CHEIE PC1 SI PC

50 50 Fucţii Criptografice, Fudamete Matematice şi Computaţioale RX (3 BITI) mesaj E PERMUTARE INITIALA 48 BITI KX (48 BITI) L0 R0 F K 1 S1 S S3 S4 S5 S6 S7 S8 L1 R1 F K P 3 BITI ii) L R mesaj etc. PERMUTARE 1 C0 D0 F LEFT SHIFT LEFT SHIFT K 16 C1 D1 R16 L16 etc. PERMUTARE K 1 PERMUTARE INITIALA INVERSA LEFT SHIFT LEFT SHIFT criptotext C16 D16 PERMUTARE K 16 i) iii) FIGURA.6. DETALII CU PRIVIRE LA DES: (I) CELE 16 RUNDE ALE DES, (II) FUNCŢIA DE RUNDĂ DES ŞI (III) GENERAREA CHEII DE RUNDĂ

51 . Scheme de criptare cu cheie simetrică DES De mulţi ai DES u mai oferă securitate corespuzătoare, putâd fi spart î câteva zile pe o maşiă de calcul dedicată (de exemplu COPACOBANA sparge DES î medie de 3.5 zile). DES supravieţuieşte îsă sub forma 3DES (recomadat îcă di 1999) oferid u ivel de securitate suficiet de bu î zilele de azi. Acesta costă î aplicarea trasformării DES de 3 ori după cum urmează:, c E D E m m D E D c K 3 K K1 K1 K K 3 Coform stadardului, există următoarele variate de utilizare a cheilor: opţiuea 1 cu 3 chei idepedete, opţiuea cu K 1 şi K idepedee iar K1 K3 şi opțiuea 3 cu o sigură cheie idepedetă K1 K K3. Astfel cheia de la 3DES poate fi pe 56, 11 şi 168 de biţi. Dat fiid că 3DES este mai let decât AES şi u oferă securitate mai buă, u există motive serioase petru a fi folosit î practică astăzi. Poate u motiv ar fi faptul că există implemetări hardware ce pot fi refolosite şi î acest fel se mai reduc di costuri, dar u există raţiui de securitate..8 CRIPTOSISTEMUL AES La ivelul ailor 001 DES u mai oferă securitatea ecesară (de fapt îcă di aii 90 sut cosemate atacuri de succes asupra DES), petru care, pe bază de cocurs se alege u ou stadard AES (Advaced Ecryptio Stadard). Stadardul curet este cadidatul la AES umit Rijdael [38] ales di cei 5 fialişti: Rijdael, Serpet, Twofish, RC6 şi MARS. AES este u cod bloc dispoibil î trei variate de dimesiui petru cheie 18, 19, 56. Chiar şi cheia de 18 de biţi este cosiderată destul de sigură petru ceriţele di ziua de azi. Necesită doar rude î fucţie de dimesiuea cheii, este sigur şi este cel mai rapid ditre cadidaţi. Deoarece AES este mai rapid decât alte coduri simetrice, chiar şi decât 3DES, şi oferă cel puţi acelaşi ivel de securitate u există ici u motiv de a utiliza altceva decât AES î arhitecturi de securitate cotemporae. AES u foloseşte structura Feistel, are meritul de a fi u criptosistem iovator. El procesează matrici de 4x4 bytes pri itermediul a 4 trasformări: - AddRoudKey se aduă cheia de rudă pritr-u simplu XOR,

52 5 Fucţii Criptografice, Fudamete Matematice şi Computaţioale - SubBytes se substituie fiecare byte pri itermediul uei tabele de look-up (substituţie eliiară), - ShiftRows se shiftează circular (rotire) fiecare liie astfel: prima liie e eatisă, a -a liie 1 la stâga, a 3-a cu la stâga şi a 4 cu 3 la stâga, - MixColums se amestecă coloaele pri aplicarea uei trasformări de această dată liiară şi reversibilă (de fapt este vorba de multiplicare matricială). Macrostructura rudei AES este sugerată î Figura.7. Fiecare rudă costă î aplicarea tuturor celor 4 trasformări şi există 10 rude la chei 18 de biţi, 1 la 19 şi 14 la 56. Ruda iiţială costă doar î adăugarea cheii de rudă iar cea fială u are trasformarea MixColums. Petru detalii poate fi cosultat FIPS-197. AES_Ecrypt_Roud(State, Key) { } SubBytes(State) ; ShiftRows(State); MixColums(State); AddRoudKey(State, Key); AES_Decrypt_Roud(State, Key) { } AddRoudKey -1 (State, Key); MixColums -1 (State); ShiftRows -1 (State); SubBytes -1 (State) ; FIGURA.7. STRUCTURAINTUITIVĂ A UNEI RUNDE DE CRIPTARE ŞI DECRIPTARE AES Totuşi trebuie să precizăm că sigura suspiciue cu privire la securitatea AES-ului este faptul că foloseşte u desig destul de o-coformist, spre deosebire de schemele simetrice clasice, care se costruiesc pe reţea Feistel. Acest desig u a fost sub ateţia comuităţii criptologilor decât î ultimii ai, de la propuerea AES-ului. Î mod spectaculos, trasformarea AES (Rijdael) este echivaletă cu o ecuaţie algebrică destul de simplă (comparativ cu alte coduri) faţă de care există suspiciuea că ar putea duce î viitor la o serie de atacuri. Pâă î prezet u a apărut îsă ici u atac spectaculos asupra acestui procedeu

53 . Scheme de criptare cu cheie simetrică 53 costructiv! Deci orice suspiciue u are u fudamet ştiiţific mometa. Pe de altă parte o reţea Feistel este o reţea bie studiată şi u cod costruit pe reţea Feistel este puţi probabil să aducă surprize î ceea ce priveşte securitatea. Ca alterativă la Rijdael, poate fi utilizat oricare alt cadidat la AES, dar sut ecesare motive serioase petru a utiliza altceva î practică. U bu cotracadidat este codul Serpet, care u este acoperit de ici u patet şi poate fi utilizat gratuit î soluţii cotemporae de securitate (desigur acesta este mai let decât AES) şi este costruit pe structură Feistel..9 MODURI DE OPERARE A CRIPTĂRILOR SIMETRICE: ECB, CBC CM ŞI ALTELE Simpla existeţă a uui cod bloc, oricât de sigur, u este o garaţie suficietă petru securitatea uui criptotext. Aici itră î discuţie modurile de fucţioare, adică cum se aplică trasformarea (codul bloc) asupra blocurilor de mesaj. Cel mai simplu mod de aplicare al criptării simetrice, umit electroic codebook (ECB), este esigur. Acesta costă aşa cum sugerează şi Figura.8 şi Figura.9 î extiderea mesajului pri paddig la u umăr de biţi multiplu de dimesiuea blocului de criptare şi pri aplicarea trasformării bloc cu bloc (cele trei careuri colorate ale ultimului bloc de mesaj sugerează paddigul). Chiar dacă fucţia de criptare a blocului este sigură, rezultatul poate fi î aumite cazuri o criptare esigură. Aceasta deoarece acelaşi bloc de text se va cripta îtotdeaua î acelaşi bloc de criptotext, rezultatul fiid aşadar predictibil. Petru a evita această problemă de securitate, modul de fucţioare cipher block chaiig (CBC) foloseşte ieşirea blocului aterior la itrarea blocului ce urmează a fi criptat făcâd u XOR cu acesta. Astfel, rezultatul fiecărui bloc se propagă şi iflueţează pâă la ultimul bloc rezultatul criptării. Avatajul este că criptotextul va arăta perfect aleator, fără repetiţii cauzate de repetarea itrării. Dezavatajul este că pierderea uui bloc duce la imposibilitatea de a decripta blocurile următoare, chiar dacă acestea sut corect recepţioate. Petru criptarea primului bloc se face XOR cu u vector de iiţializare IV (iitializatio vector) care este o valoare radom dar u secretă ce joacă rol de bloc criptat aterior primului bloc. Criptarea şi decriptarea CBC sut sugerate î Figurile.10 şi.11.

54 54 Fucţii Criptografice, Fudamete Matematice şi Computaţioale m0 m 1 m 1 k Fuctie Criptare Bloc k Fuctie Criptare Bloc k Fuctie Criptare Bloc c0 c 1 c 1 FIGURA.8.CRIPTAREA ÎN MODUL DE FUNCŢIONARE ELECTRONIC CODE BOOK (ECB) c0 c 1 c 1 k Fuctie Decriptare Bloc k Fuctie Decriptare Bloc k Fuctie Decriptare Bloc m0 m 1 m 1 FIGURA.9. DECRIPTAREA ÎN MODUL DE FUNCŢIONARE ELECTRONIC CODE BOOK (ECB) Există diverse variaţiui petru îlăţuirea blocurilor. Ditre acestea, cipher feed-back (CFB) criptează IV-ul î loc de bloc de mesaj cu care se face XOR şi se propagă rezultatul mai departe. Î mod similar lucrează output feedback (OFB) cu difereţa că se propagă mai departe doar rezultatul IV-ului criptat u rezultatul criptării î sie. Modurile CFB şi OFB au avatajul de a trasforma codul bloc îtr-u cod stream ude procesarea criptării se face bit cu bit pri operatorul XOR. Avatajul lui OFB faţă de CFB este faptul că permite procesarea stream-ului de cheie chiar dacă mesajul u este îcă dispoibil, deci permite

55 . Scheme de criptare cu cheie simetrică 55 procesarea î avas ceea ce oferă avataje computaţioale. OFB are şi avatajul că permite decriptarea chiar dacă se pierd di blocurile criptate. O altă variată este Propagatig Cipher Block Chaiig (PCBC) care propagă mai departe atât textul de la itrare cât şi criptotextul rezultat di fiecare bloc. Criptarea OFB şi CFB sut sugerate î Figurile.1 şi.13 iar criptarea şi decriptarea PCBC î Figurile.14 şi.15. Foarte îtâlit î practică şi cu u ivel de securitate crescut (fiid tolerat la pierderea blocurilor itermediare) este Couter Mode (CM) care foloseşte u couter, de obicei cocateat cu o valoare aleatoare umită salt. Couterul este criptat şi apoi se face XOR cu textul ce se doreşte criptat. Dezavatajul este ecesitatea de a păstra u couter sicro de partea celor care efectuează criptarea respectiv decriptarea. Criptarea î modul couter este sugerată î Figura.16. De amitit şi variata cipher-text stealig permite costruirea uui criptotext care are lugime egală cu mesajul criptat (cu codiţia ca acesta să ecesite miim blocuri). Această tehică este utilă deoarece de cele mai multe ori textul u are lugime multiplu de dimesiuea blocului criptat şi î uele medii este ecesară ecoomisirea pe cât se poate a volumului de date trasmis (de exemplu î reţele de sezori). m0 m 1 m 1 IV k Fuctie Criptare Bloc k Fuctie Criptare Bloc k Fuctie Criptare Bloc c0 c 1 c 1 FIGURA.10. CRIPTAREA ÎN MODUL DE FUNCŢIONARE CIPHER BLOCK CHAINING (CBC)

56 56 Fucţii Criptografice, Fudamete Matematice şi Computaţioale c0 c 1 c 1 k Fuctie Decriptare Bloc k Fuctie Decriptare Bloc k Fuctie Deriptare Bloc IV m0 m 1 m 1 FIGURA.11. DECRIPTAREA ÎN MODUL DE FUNCŢIONARE CIPHER BLOCK CHAINING (CBC) IV k Fuctie Criptare Bloc m0 1 k Fuctie Criptare Bloc m 1 k Fuctie Criptare Bloc m c c 0 1 c 1 FIGURA.1. CRIPTAREA ÎN MODUL DE OUTPUT FEEDBACK BLOCK CHAINING (OFB) IV k Fuctie Criptare Bloc m m 0 1 m 1 k Fuctie Criptare Bloc k Fuctie Criptare Bloc c c 0 1 c 1 FIGURA.13. CRIPTAREA ÎN MODUL DE FUNCŢIONARE CIPHER FEEDBACK (CFB)

57 . Scheme de criptare cu cheie simetrică 57 m0 m 1 m 1 IV k Fuctie Criptare Bloc k Fuctie Criptare Bloc k Fuctie Criptare Bloc c0 c c 1 1 FIGURA.14. CRIPTAREA ÎN MODUL DE FUNCŢIONARE PROPAGATING CIPHER BLOCK CHAINING (PCBC) c0 c c 1 1 k Fuctie Decriptare Bloc k Fuctie Decriptare Bloc k Fuctie Decriptare Bloc IV m0 m 1 m 1 FIGURA.15. DECRIPTAREA ÎN MODUL DE FUNCŢIONARE PROPAGATING CIPHER BLOCK CHAINING (PCBC) salt couter salt couter 1 salt couter k Fuctie Criptare Bloc m m 0 1 m 1 k Fuctie Criptare Bloc k Fuctie Criptare Bloc c c 0 1 c 1 FIGURA.16. CRIPTAREA ÎN MODUL DE FUNCŢIONARE COUNTER MODE (CM)

58 58 Fucţii Criptografice, Fudamete Matematice şi Computaţioale.10 TIPURI DE ATAC ASUPRA FUNCȚIILOR DE CRIPTARE Am stabilit că criptaaliza este domeiul care se ocupă de studiul atacurilor asupra fucţiilor criptografice. Î pricipiu atacul uei fucţii criptografice are la bază exploatarea uei vulerabilităţi ce se datorează î geeral uei proprietăţi matematice a codului care u a fost luată î calcul î procesul de proiectare. Este î geeral utilă remarca că pritr-u atac criptaalitic se urmăreşte fie recuperarea uui mesaj criptat fie a cheii utilizate (subliiem că algoritmul de criptare este bie cuoscut de adversar, î prezet iese di discuţie securitatea obţiută pri obscuritatea algoritmului). Această remarcă oferă îsă mai degrabă o perspectivă idealizată asupra uui atac criptaalitic. A recupera îtregul mesaj criptat este o codiţie mult prea restrictivă, î realitate criptosistemul poate fi spart mult mai uşor. Astfel, este uaim recuoscut că î cele mai multe cazuri practice recuperarea uui sigur bit di mesaj poate avea coseciţe dezastroase asupra securităţii. Î acest cotext este ecesară defiirea uor obiective de securitate şi atacuri avasate, mult mai complexe decât recuperarea uei chei sau a uui mesaj (acest lucru va fi făcut î relaţie cu criptosistemele asimetrice îtr-u capitol următor). Totodată atacurile trebuie gâdite ca fiid cauzate de adversari care au acces la maşia de criptare sau decriptare, deoarece î practică aceasta este situaţia geerală. De exemplu, î cazul criptosistemelor cu cheie publică oricie are acces la cheia de criptare (maşia de criptare fiid dispoibilă î mod erestrictiv) iar semarea digitală se face pe baza cheii secrete (astfel maşia de decriptare este expusă pri orice semătură efectuată). Lucrurile u stau diferit ici î cazul criptosistemelor simetrice, deoarece î cazul maşiii Eigma războiul a oferit prilejul de a captura maşii de criptare sau decriptare, accesul fiid astfel posibil. Coveim astfel să clasificăm atacurile după cum urmează î fucţie de accesul la maşia de criptare sau decriptare: i) Mesaj ales (chose-plaitext attack) adversarul are acces pe o perioadă fixă de timp la maşia de criptare care acceptă să cripteze orice mesaj (pâă la mometul la care primeşte u aume criptotext pe care trebuie să îl spargă). ii) Mesaj ales adaptiv (adaptive chose-plaitext) - adversarul are acces elimitat la maşia de criptare care acceptă să cripteze orice mesaj.

59 . Scheme de criptare cu cheie simetrică 59 iii) Criptotext ales (chose cipheretext) adversarul are acces pe o perioadă fixă de timp la maşia de decriptare care acceptă să de cripteze orice mesaj (pâă la mometul la care primeşte u aume criptotext pe care trebuie să îl spargă). iv) Criptotext ales adaptiv (Adaptive chose-chipertext) - adversarul are acces elimitat la maşia de decriptare care acceptă să cripteze orice mesaj. Î atacurile adaptive se presupue că adversarul are acces elimitat la maşia criptografică cu o sigură restricţie: atât adversarul cât şi maşia cuosc u aume criptotext ţită, iar maşia criptografică refuză să opereze asupra acestuia, î schimb este dispusă să lucreze petru adversar asupra oricărui alt criptotext. Atacurile î care adversarul u are acces la maşia de criptare/decriptare, sut şi ele de două tipuri: doar criptotext cuoscut (ciphertext oly), î care adversarul are la dispoziţie doar criptotextul, şi mesaj cuoscut (kowplaitext) î care adversarul cuoaşte şi criptotextul şi mesajul şi doreşte recuperarea cheii. Acestea sut cosiderate modele de atac îvechite deoarece î practică u adversar se bucură de premize mai bue de atât. Rezisteţa î faţa acestora este o ceriţă elemetară. Importaţa atacurilor cu acces la maşia de decriptare va fi scoasă î lumiă pri discuţiile cu privire la adversari activi ai criptosistemelor asimetrice îtr-u capitol următor.

60 3 FUNCŢII CRIPTOGRAFICE FĂRĂ CHEIE: FUNCŢII HASH Discutăm î acest capitol fucţiile hash, u obiect criptografic extrem de simplu şi totuşi greu de defiit şi costruit. Îtr-adevăr u demult acestea au fost umite gaura eagră a criptografiei deoarece u era foarte clar (şi poate ici u este îcă) ce proprietăţi trebuie să îdepliească şi cum se costruiesc corect. Trebuie spus că o buă parte di îgrijorarea cauzată de fucţiile hash a veit datorită atacurilor lui Wag asupra MD5 şi SHA1 [85]. 3.1 DEFINIŢIE ŞI PROPRIETĂŢI O fucţie hash este o fucţie care primeşte ca itrare mesaje de dimesiue variabilă şi returează u mesaj de lugime fixă di care mesajul iiţial u poate fi recuperat. Fucţiile hash u folosesc ici u fel de cheie, şi le vom ota cu Hm reprezetâd fucţia hash aplicată mesajului m. Figura 3.1 prezită schema bloc a uei fucţii hash. Ieşirea uei fucţii hash se mai umeşte şi etichetă (tag). m * H( m) ct., e. g., m Fuctie Hash Hm FIGURA 3.1SCHEMA BLOC A UNEI FUNCŢII HASH.

61 4. Fucţii criptografice fără cheie 61 O fucţie hash trebuie să răspudă la următoarele proprietăţi de securitate: i) rezisteţa imagiii (preimage resistace): avâd y o ieşire a fucţiei u se poate găsi x astfel îcât y H x, ii) rezisteţă secudară a imagiii (secodary preimage resistace) avâd x, H x u se poate găsi x ' astfel îcât H x H x' şi iii) rezisteţă la coliziue (collisio resistace) u se poate găsi o pereche xx, ' astfel îcât H x H x'. Di puct de vedere computaţioal, proprietatea de bază a uei fucţii hash este eficieţa. Scopul este de a costrui fucţii cât mai simplu de implemetat (cod compact) şi cât mai rapide. Î timp ce dimesiuea itrării poate fi oricât, la ieşire tagul are i geeral biţi, mai rar pâă î 51 biţi. 3. FUNCŢII HASH FRECVENT UTILIZATE ÎN PRACTICĂ: MD5 ŞI FAMILIA SHA Stadardul curet (îcă) şi probabil cea mai utilizată gamă de fucţii hash este familia SHA (Secure Hash Algorithm) [37] petru care dimesiuea ieşirii este 4, 56, 384, 51 biţi idiferet de dimesiuea datelor de itrare. Variata mai veche de fucţie di familia SHA, şi îcă folosită, este SHA-1. Trebuie spus că î practică este îcă foarte frecvetă fucţia MD5 (posibil chiar mai utilizată decât SHA). Meţioăm îsă faptul că fucţiile hash MD5 [68] şi SHA-1 u mai oferă rezisteţă secudară a imagiii şi sut deci esigure (î ciuda acestui fapt ele sut îcă folosite î multe aplicaţii datorită eficieţei î special). O discuţie relevată cu privire la ce implicaţii are pierderea rezisteţei secudare a imagiii poate fi găsită î [59]. De remarcat că u orice categorie de aplicaţii este pusă î pericol de aceasta şi utilizarea lor este îcă posibilă dar trebuie făcută cu precauţie. Atacuri asupra SHA au fost auţate petru prima oară î [85] două articole o-tehice ale lui Scheier cu privire la atacurile asupra fucţiilor hash sut î [74], [75]. Petru implemetări cotemporae se recomadă desigur folosirea SHA-56 şi icidecum a MD5 sau SHA-1.

62 6 Fucţii Criptografice, Fudamete Matematice şi Computaţioale Bloc mesaj 1 Bloc mesaj Bloc mesaj IV Fuctie de compresie Fuctie de compresie Fuctie de compresie H(m) FIGURA 3.. CONSTRUCTIA MERKLE-DAMGARD A UNEI FUNCTII HASH Î practică, petru costrucţia fucţiilor hash se foloseşte coceptul de fucţie hash iterată. Aceasta presupue spargerea itrării î blocuri de dimesiue fixă care sut trecute pritr-o fucţie de compresie î cadrul căreia se efectuează operaţii specifice. Ua ditre metodele specifice de costrucţie este costrucţia Merkle-Damgard (descrisă de Merkle î 1979) pe care o prezetăm î Figura 3.. MD5 a fost costruit de Ro Rivest î 1991 şi urmează costrucţia Merkle- Damgard. MD5 operează cu blocuri de mesaj de câte 51 biţi. Mesajul iiţial se cocateează cu u bit de 1 şi apoi cu umărul ecesar de 0-uri. Ultimii 64 de biţi di mesajul preprocesat reprezită lugimea mesajului iiţial. Algoritmul MD5 costă î 64 de iteraţii, grupate î 4 rude de câte 16 iteraţii, î fiecare rudă folosidu-se ua di 4 fucţii eliiare de mai jos (4x16=64). Figura 3.3 descrie această structură. Fiecare rudă se efectuează de 16 ori deoarece blocul procesat este de 51 biţi, î timp ce fucţia de rudă procesează 3 de biţi la u momet dat (16x3=51). Î figură se observă 4 blocuri de stare (A, B, C, D), acestea au câte 3 de biţi. Cele 4 costate predefiite de câte 3 de biţi joacă rol de vector de iiţializare (IV) şi sut: A= 0x , B= 0xefcdab89, C= 0x98badcfe, D= 0x Fucţia de rudă are la bază ua di cele 4 fucţii defiite după cum urmează:

63 4. Fucţii criptografice fără cheie 63 F( X, Y, Z) ( X Y) ( X Z), G( X, Y, Z) ( X Z) ( Y Z), H( X, Y, Z) X Y Z, I( X, Y, Z) Y ( X Z). Bloc mesaj (51 biti, procesat pe cuvite de 3 biti) A B C D b[ i],0 i 63 Ruda 1 (16 x) 0 i 15 Ruda (16 x) 16 i 31 Ruda 3 (16 x) 3 i 47 Ruda 4 (16 x) 48 i 63 FIGURA 3.3. STRUCTURA ITERATĂ A LUI MD5

64 64 Fucţii Criptografice, Fudamete Matematice şi Computaţioale Toate aceste fucţii sut eliiare şi se bazează pe operaţii simple la ivel de bit. Î cadrul fiecărei rude, folosid ua di cele 4 fucţii aterior defiite se efectuează aceeaşi operaţie de 16 ori, operaţie ce costă î: B (( A FR( B, C, D) M K) s) şi rezultatul se depue î B. Valorile de stare la sfârşitul fiecărei se iterschimbă după cum urmează: D C, C B,. B B (( A FR( B, C, D) M K) S), A D. Pri FR am desemat fucţia de rudă (care este F î ruda 1, G î ruda, H î ruda 3 şi I î ruda 4), M este u bloc de 3 de biţi al mesajului (observăm că fucţia de rudă e pe 3 de biţi) iar K şi S sut valori umerice predefiite (se poate cosulta RFC131 petru aceste valori, aici iteresează doar la ivel coceptual costrucţia lui MD5). Î Figura 3.4 se prezită câţiva vectori de test petru MD5 coform cu RFC 131 (se observă că rezultatul are îtotdeaua 18 de biţi). SHA este costruit pe pricipii similare. Î acest cazul există tot 4 fucţii eliiare cu 3 itrări, dar de data aceasta sut mai complexe şi se folosesc 8 blocuri de stare (A, B, C, D, E, F, G, H) de câte 3 de biţi. Î mod cocret, petru SHA-56 cele 4 fucţii eliiare sut: Ch( E, F, G) ( E F) ( E G), Ma( A, B, C) ( A B) ( AC) ( B C), ( A) ( A ) ( A 13) ( A ), 0 ( E) ( E 6) ( E 11) ( E 5). 1

65 4. Fucţii criptografice fără cheie 65 MD5 ("") = d41d8cd98f00b04e ecf847e MD5 ("a") = 0cc175b9c0f1b6a831c399e MD5 ("abc") = cd4fb0d6963f7d8e17f7 MD5 ("message digest") = f96b697d7cb7938d55af31aaf161d0 MD5 ("abcdefghijklmopqrstuvwxyz") = c3fcd3d7619e4007dfb496cca67e13b MD5 ("ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmopqrstuvwxyz ") = d174ab98d77d9f5a5611cc9f419d9f MD5 (" ") = 57edf4abe3c955ac49dae107b67a FIGURA 3.4. EXEMPLE DE VECTORI DE TEST PENTRU MD5 CONFORM RFC 131 SHA foloseşte 64 de rude î cazul lui SHA-56 şi SHA-4 şi 80 de rude î cazul lui SHA-384 şi SHA-51 (di acest motiv se poate observa experimetal că SHA-384 şi SHA-51 sut la fel rapide). Detaliile se găsesc î stadardul FIPS NOUA GENERAŢIE DE FUNCŢII HASH SHA3 Î aul 008 a fost deschis cocursul petru SHA3. Î prezet există 5 fialişti: BLAKE, Groestl, Skei, Keccak şi JH. Este greu de prezis câştigătorul, dar se pot face câteva remarci despre acestea. JH este deja subiect al uor atacuri şi deci u va avea şase de câştig. BLAKE este se pare cea mai eficietă computaţioal şi uşor de implemetat. Variata cu output de 56 biţi operează pe 3 de biţi iar cea cu output de 51 biţi pe 64. Permite ca output dimesiui de 4, 56, 384 sau 51 biţi la fel ca SHA. Groestl foloseşte aceeaşi casetă de substituţie (S-Box) ca şi AES. Are u output de 56 sau 51 biţi. Keccak pare să fie î implemetare hardware cel mai rapid ditre fialişti, ître desigeri este şi Joh Daeme (autor al AES). Aceleaşi dimesiui de output ca î cazul SHA sut valabile. Skei se bazează pe codul bloc Threefish şi permite dimesiue arbitrară la ieşire. Ître autorii lui Skei este şi Bruce Scheier.

66 4 CODURI DE AUTENTIFICARE A MESAJELOR (HASH- URI CU CHEIE) O gamă aparte de sisteme criptografice sut codurile de autetificare a mesajelor MAC. Partea iteresată vis-a-vis de acestea este că ele pot fi costruite atât folosid fucţii hash, opţiuea mai uzuală, dar şi folosid scheme de criptare simetrică. 4.1 DEFINIŢIE ŞI PROPRIETĂŢI Codurile de autetificare a mesajelor MAC (Message Autheticatio MAC m ceea ce îseamă cod de autetificare a mesajului Codes), le otăm cu K m calculat cu cheia K. Idiferet de dimesiuea mesajului dimesiuea ieşirii fucţiei este costată (de obicei dimesiuea cheii este egală cu dimesiuea ieşirii fucţiei). Codurile MAC se costruiesc pe baza uei fucţii hash, î geeral se foloseşte MD5 sau SHA1, cu toate că ambele au u ivel de securitate destul de scăzut. Rolul codurilor MAC este de a testa auteticitatea uei iformaţii, deci petru a verifica sursa de proveieţă a iformaţiei, implicâd astfel şi o garaţie asupra itegrităţii. Î practică se folosesc costrucţiile, uaim recuoscute ca eficieţă şi securitate, HMAC şi NMAC propuse de Mihir Bellare, Ra Caetti şi Hugo Krawczyk î lucrarea [8]. U cod de autetificare al mesajelor (MAC) îl defiim după cum urmează: Defiiţia 4.1. (Cod de autetificare a mesajelor MAC) U cod de autetificare a mesajelor MAC costă î trei algoritmi: algoritmul de geerare a cheii K MAC. Ge 1 k care primeşte ca itrare ivelul de securitate k şi returează cheia K, algoritmul de etichetare MAC K m MAC. Tag m, K care primeşte mesajul m şi cheia K returâd eticheta MAC K m şi algoritmul de verificare MACVer. m, K, care primeşte mesajul, cheia şi eticheta returâd o valoare biară care este 1 dacă şi umai dacă eticheta corespude perechii cheie-mesaj. Toate acestea alături de spaţiile di care provi datele de itrare ale acestora (care fără a pierde geeralitatea sut spaţii ale strigurilor biare).

67 4. Coduri de Autetificare a Mesajelor 67 Figura 4.1 ilustrează schema bloc a algoritmului de geerare a cheii care primeşte ca itrare parametrul de securitate 1 k (care reprezită de fapt dimesiuea cheii şi deci ivelul de securitate) şi o valoare aleatoare (sau pseudoaleatoare). Figura 4. ilustrează algoritmul de calcul petru valoarea codului MAC (eticheta) aferet mesajului, valoare otată cu eticheta, iar figura 4.3 ilustrează schema bloc a algoritmului de verificare a acestuia, verificarea făcâdu-se pri compararea etichetei cu codul ou geerat asupra mesajului MAC ( m ). Î Figura 4.4 sut utilizaţi algoritmii di figurile 4.1, 4. şi 4.3 petru a costrui schema uui sistem criptografic de autetificare a mesajelor. K valoare aleatoare (pseudo-aleatoare) Algoritm de geerarea a 1 k cheii MAC.Ge(1 k ) K FIGURA 4.1. SCHEMA BLOC A ALGORITMULUI DE GENERARE A CHEII PENTRU CODUL MAC. m * K ct., e. g.,18 MAC ( M ) ct., e. g.,18 56 K K Algoritm (fuctie) de calcul MAC MAC.Tag(m,K) m MAC m K FIGURA 4.. SCHEMA BLOC A UNUI ALGORITM DE CALCUL MAC.

68 68 Fucţii Criptografice, Fudamete Matematice şi Computaţioale K Algoritm de verificare MAC MAC.Ver(m,K,?) m Algoritm (fuctie) de calcul MAC MAC.Tag(m,K) MACK m = b0,1 FIGURA 4.3. SCHEMA BLOC A UNUI ALGORITM DE VERIFICARE MAC. 1 k valoare aleatoare (pseudo-aleatoare) Algoritm de geerare a cheilor K Algoritm de calcul (fuctie) MAC m MAC m K b 0,1 Algoritm de verificare MAC m FIGURA 4.4. SCHEMA BLOC A UNUI SISTEM DE CRIPTOGRAFIC DE AUTENTIFICARE A MESAJELOR.

69 4. Coduri de Autetificare a Mesajelor CODURI MAC ÎN PRACTICĂ: CBC-MAC ŞI H-MAC Două costrucţii de coduri MAC sut de mare relevaţă practică. CBC-MAC permite costruirea uui MAC folosid u simplu cod bloc. H-MAC se bazează pe o fucţie hash şi se remarcă pri simplitate şi eficieţă, lucru petru care este cel mai comu î practică. CBC-MAC se costruieşte î maieră similară cu criptarea î modul CBC (Cipher Block Chaiig) cu următoarele modificări: vectorul de iiţializare IV este setat pe 0 şi sigura ieşire este blocul fial al criptării (u există ieşire petru fiecare bloc de plai-text ca î cazul criptării). Figura 4.5 ilustrează această costrucţie. De remarcat că aceasta costrucţie este sigură doar petru mesaje de dimesiue fixă. Petru a remedia acest lucru şi a face schema sigură petru mesaje de orice dimesiue, o soluţie este ca la îceputul mesajului să fie cocateată dimesiuea sa, deci m m m. IV 0 k Fuctie Criptare Bloc k Fuctie Criptare Bloc k Fuctie Criptare Bloc MACk m FIGURA 4.5. STRUCTURA CBC MAC H-MAC costă î aplicarea de două ori a uei fucţii hash folosid de fiecare dată alt paddig. Primul paddig se umeşte ipad (ier-paddig) şi cel de-al doilea opad (outer-paddig) şi reprezită valori umerice predefiite de dimesiuea blocului care îl procesează. Mai exact ipad este repetarea lui 0x36 şi opad a lui 0x5C de B-ori, ude B este dimesiuea î bytes a blocului procesat (de exemplu B=64 î cazul lui MD5 deoarece MD5 procesează blocuri de 51 biţi aşa cum am discutat aterior). Practic HMAC costă î următoarea trasformare: HMAC( K, m) H(( K opad) H(( K ipad) m)).

70 70 Fucţii Criptografice, Fudamete Matematice şi Computaţioale O trasformare simplă, frumoasă şi sigură. De remarcat faptul că ituiţia de a costrui u cod MAC folosid u simplu hash cu cheie adică utilizarea H ( K m ) coduce la o problemă de securitate datorată modului de calculare a hashului. Dacă este u hash iterat, aşa cum se îtâmplă cu mai toate costrucţiile practice, se pot falsifica MAC-uri pri cocatearea la mesajul iiţial de valori arbitrare (acest atac di ou u fucţioează dacă toate mesajele are avea aceeaşi lugime). Fucţia hash di cadrul H-MAC poate fi orice fucţie hash di practică. Di acest motiv î mediul de programare.net ude avem fucţiile de hash SHA-56, SHA-384 şi SHA-51, vom avea şi fucţiile H-MAC aferete H-MAC-SHA-56, H- MAC-SHA-384 şi H-MAC-SHA-51, etc. Desigur, mai există şi alte costrucţii. De exemplu N-MAC (Nested MAC) care este la fel de eficiet ca şi HMAC dar ecesită modificarea IV-ului petru fucţia hash, lucru care, deşi u costisitor, îl face totuşi mai complicat decât H- MAC şi deci mai puţi frecvet î practică.

71 5 GENERATOARE DE NUMERE ALEATOARE ŞI PSEUDO-ALEATOARE Geeratoarele de umere aleatoare sut u bloc costructiv idispesabil petru criptografie deoarece securitatea uui criptosistem depide î primul râd de calitatea cheilor cu care se efectuează criptarea (chei alese îtotdeaua plecâd de la valori aleatoare). U geerator de umere aleatoare este u dispozitiv hard sau soft care geerează o secveţă de umere care u urmează ici u fel de model şi deci u pot fi prezise. Î această secţiue u dorim o prezetare de detaliu a uor astfel de fucţii, dar îcercăm să prezetăm câteva alterative costructive. Geeratoare de umere pseudo-aleatoare se găsesc implemetate î orice mediu de programare dar ele trebuie atet alese petru a asigura u ivel de securitate real petru criptosistemele implemetate. Dacă geeratorul de umere aleatoare este slab, idiferet de rezisteţa teoretică a criptosistemului care utilizează cheile acesta va putea fi cu uşuriţă spart î practică (u caz tipic este geeratorul utilizat de Netscape î primele variate de SSL). Dificultatea practică u stă eapărat î costrucţia uor astfel de geeratoare (se cuosc alterative eficiete şi sigure) ci mai degrabă î a defii ce proprietăţi trebuie să îdepliească acestea. Mai exact, avâd u black-box care geerează umere, cum putem stabili dacă acesta este sau u u geerator de umere aleatoare. De exemplu, avâd secveţele 1, 7, 3 şi 3, 3, 3 care di cele două secveţe este mai aleatoare? Ei bie, dacă î grabă cieva ar putea zice că prima este mai aleatoare ca a doua, de fapt, la ieşirea uui geerator de umere aleatoare ambele pot fi obţiute iar o catalogare după doar 3 ieşiri este lipsită de fudamet. Amitim î acest cotext şi paradoxul umit eroarea jucătorului (gambler's fallacy). Acesta poate fi ilustrat pri următoarea îtrebare: dacă u jucător a dat cu zarul de 3 ori cosecutiv 6, probabilitatea ca a 4-a oara să dea 6 este 1/6 sau mai mică? Răspusul corect este 1/6 deoarece eveimetul celei de a 4-a arucări cu zarul este idepedet de celelalte şi deci are tot probabilitatea 1/6. Sut mulţi îsă cei care cred că probabilitatea este mai mică a patra oară. Există teste implemetate petru stabilirea calităţii uui geerator de umere aleatoare. Cea mai cuoscută suită este DieHarder ( Petru a stabili calitatea uui geerator sut ecesare fişiere de zeci, sute de mega-bytes sau chiar mai mult. Problema reală este îsă faptul că este posibil a costrui u

72 7 Fucţii Criptografice, Fudamete Matematice şi Computaţioale geerator de umere aleatoare care să treacă orice test şi totuşi să poată fi predictibil! Există două tipuri de geeratoare: hard şi soft. Geeratoarele hard se umesc î geeral geeratoare de umere aleatoare iar cele soft se umesc pseudo-aleatoare. Cele hardware se bazează pe dificultatea modelării (sau ecuoaşterea exactă a modelului) procesului fizic di dispozitivul hard, ceea ce face ca ieşirea să u poată fi prezisă. Cele software, sut programe care pe baza uei valori de iiţializare (umită seed ) produc secveţe de umere aparet aleatoare. Petru scopuri practice, u geerator software poate fi la fel de bu ca uul hardware! Î geeral cele software sut ieftie şi rapide, iar cele hardware mai lete dar mai sigure. Di puct de vedere algoritmic, dezideratul costructiv este de a costrui u geerator de umere aleatoare astfel îcât să u existe ici u algoritm î timp poliomial care avâd ieşirile geeratorului de umere pseudo-aleatoare şi u geerator de umere aleatoare să poată decide care este geeratorul de umere pseudo-aleatoare cu probabilitate mai mare de ½ ( proprietate care umeşte computatioal idistiguishability ). 5.1 GENERATORUL LINEAR CONGRUENŢIAL Cel mai simplu şi eficiet geerator de umere aleatoare este geeratorul liear cogrueţial (liear cogruetial geerator). Acesta se bazează pe geerarea şirului recuret: X i 1 ax i cmod Ude a, c,, sut parametrii fixaţi şi X 0 este valoarea de iiţializare (seed). Acest geerator este simplu de implemetat dar u este sigur di puct de vedere criptografic! Adică, pri calcule matematice pot fi aflaţi parametrii, avâd la dispoziţie suficiete valori de ieşire. Este îsă u geerator suficiet de bu petru scopuri o-criptografice. Perioada maximă a acestuia este. U caz particular se obţie pri setarea lui c 0 ceea ce duce la Xi 1 ax imod. Acest geerator se umeşte geeratorul Lehmer (ueori referit şi ca geeratorul Park-Miller). Alegeri uzuale petru sut umere prime de forma k 1 deoarece acestea coduc la o perioadă maximă (desigur dacă şi

73 5. Geeratorare de umere aleatoare şi pseudoaleatoare 73 ceilalţi parametrii sut bie aleşi). Kuth oferă o aaliză detaliată a acestui geerator î [55]. 5. GENERATOARE LFSR (FIBONACCI ŞI GALOIS) Registrele de deplasare liiară LFSR (Liear Feedback Shift Register) reprezită ua ditre cele mai eficiete metode de geerare a uor secveţe pseudo-aleatoare. Ateţie, ici acestea u sut destul de sigure petru scopuri criptografice. Dar, sut simplu de implemetat şi utile î diverse alte aplicaţii. Două exemple sut codurile CRC şi, î criptografie, codurile de criptare stream. Există două tipuri de registre: LFSR stadard (umite şi Fiboacci) ude valorile di registre se îsumează modulo (XOR) petru a obţie feed-backul şi LFSR Galois ude valorile se îsumează modulo (XOR) succesiv petru a obţie valoarea di fiecare registru î parte. Figura 5.1 ilustrează cele două tipuri de registru. Cele două costrucţii sut echivalete, dar variata Galois are avatajul că poate fi paralelizată deoarece se execută XOR idepedet la fiecare registru î timp ce î celălalt caz se execută XOR asupra tuturor valorilor. FIGURA 5.1. IMPLEMENTARE LFSR FIBONACCI (SUS) ŞI GALOIS (JOS) A 6 5 POLINOMULUI X X 1

74 74 Fucţii Criptografice, Fudamete Matematice şi Computaţioale Aceste registre lucrează de fapt î câmpul fiit F (câmp Galois, a se vedea capitolul de fudamete matematice) iar operaţiile efectuate pot fi iterpretate ca operaţii biare asupra coeficieţilor uui poliom. Coeficieţii poliomului sut 1 acolo ude există cablaj către XOR şi 0 altfel, vezi de exemplu 6 5 Figura 5.1. petru poliomul x x 1. Uşor de imagiat, dacă mai exista u 3 terme î x de exemplu mai apărea u XOR la două blocuri după cel aferet 5 termeului î x. Î mod clar perioada maximă a uui astfel de geerator este 1 şi această perioadă este atisă petru aumite polioame umite polioame primitive (polioame ale căror rădăcii sut geeratori ai câmpului) idiferet de valoarea de iiţializare cu codiţia ca ea să fie eulă. De exemplu petru x x 1 perioada este 15 iar petru x x 1 perioada este 511, etc. Aşa cum am spus, LFSR reprezită o soluţie esigură di puct de vedere criptografic. Aceasta deoarece sut algoritmi care pot afla coeficieţii poliomului pe baza ieşirii registrului şi deci pot î acest fel sparge geeratorul RNG. O soluţie eficietă petru aflarea coeficieţilor este algoritmul Berlekamp- Massey. 5.3 GENERATORUL BLUM-BLUM-SHUB Cum am spus, geeratorul aterior u este sigur di puct de vedere criptografic. Î mod clar utilizarea lui petru chei criptografice coduce la sisteme esigure. U deziderat costructiv este costruirea uui geerator cu privire la care să se poată demostra că prezicerea iformaţiei de la ieşire este echivaletă cu rezolvarea uei probleme despre care se ştie că este imposibil de rezolvat î practică (adică care să deţiă securitate demostrabilă î sesul descris î capitolul itroductiv). U exemplu ilustrativ î acest ses, şi totodată ilustrativ petru utilizarea fucţiilor criptografice î costrucţia de geeratoare pseudo-aleatoare, este geeratorul Blum-Blum-Shub (BBS) [14], [15] a cărui securitate este echivaletă cu dificultatea problemei factorizării îtregilor, şi care utilizează fucţia ridicare la pătrat utilizată î multe criptosisteme cu cheie publică (de exemplu Rabi, vezi şi [46], [69] petru aplicaţii). Geeratorul BBS se bazează pe calcularea şirului recuret:

75 5. Geeratorare de umere aleatoare şi pseudoaleatoare 75 X X, i mod i1 Aici p q este u îtreg suficiet de mare astfel îcât factorizarea lui să u poate fi uşor calculată şi X 0 este o valoarea de iiţializare aleasă aleator. La ieşirea geeratorului u se returează valoarea X i ci bitul de paritate al acesteia. Ca exemplu artificial, cu umere foarte mici, petru , X0 100 avem X1 55, X 15, X3 10, etc., ieşirea geeratorului BBS este paritate X, paritate X, paritate X, paritate X, 3 0 etc. Acest geerator este let dar este suficiet de sigur petru a fi utilizabil î scopuri criptografice. 5.4 GENERATOARE HARDWARE Există suficiet de multe surse hardware di care se pot extrage secveţe aleatoare. Exemple relevate costituie: zgomotul uei diode, drift-ul oscilatoarelor, zgomotul termic, zgomotul atmosferic, etc. Uşor de implemetat sut primele două alterative, cea bazată pe zgomotul uui diode şi cea bazată pe drift-ul a două oscilatoare. Alterativa preferată de practică este zgomotul diodei deoarece coduce la performaţe mai bue. Î prezeta carte sutem iteresaţi de probleme fudametale şi deci detaliile costructive ale uor astfel de geeratoare u prezită iteres, le-am amitit doar petru a aduce o imagie completă î faţa cititorului.

76 6 SCHEME DE CRIPTARE CU CHEIE ASIMETRICĂ (CRIPTAREA CU CHEIE PUBLICĂ) A private coversatio ca therefore be held betwee ay two idividuals regardless of whether they have ever commuicated before. Each oe seds messages to the other eciphered i the receiver public ecipherig key ad deciphers the messages he receives usig his ow secret decipherig key. We propose some techiques for developig public key cryptosystems, but the problem is still largely ope ( ) We ote that either public cryptosystems or oe-way autheticatio systems ca ucoditioally secure because the public iformatio always determies the secret iformatio uiquely amog members of a fiite set. With ulimited computatio, problem could therefore be solved by a straightforward touch. W. Diffie & M. Hellma. Discutăm acum schemele de criptare cu cheie publică. Aceste costrucţii au jucat rolul fudametal î apariţia criptografiei modere, bazată pe o comuitate academică activă şi stadarde deschise publicului larg. Î cotiuare vom discuta cele mai relevate criptosisteme de la schimbul de cheie Diffie- Hellma şi RSA pâă la criptarea folosid curbe eliptice. Nu î ultimul râd discutăm şi atacuri ale adversarilor activi precum şi tehici modere de paddig ce pot fi folosite petru a spori securitatea acestor criptosisteme. 6.1 DEFINIŢIE ŞI PROPRIETĂŢI Î itroducere a fost prezetat u scurt istoric al criptosistemelor cu cheie publică. Dorim acum să itroducem formalismul ecesar descrierii uui astfel de criptosistem. Criptarea asimetrică, o otăm similar cu cea simetrică, petru Di lucrarea care lasează criptografia cu cheie publică New directios i cryptography.

77 6. Scheme de criptare cu cheie asimetrică 77 claritate îsă schimbăm cheia k cu PK (Public Key), astfel avem c E m (aceasta semificâd criptarea cu cheia PK a mesajului. Decriptarea se face folosid cheia privată ca m D c (î geeral se foloseşte oţiuea de cheie SK privată şi u secretă dar petru a evita redudaţa otaţiei vom scrie SK care trimite către Secret Key). Criptarea cu cheie publică comparativ cu cea cu cheie secretă are ca dezavataj viteza şi prezită două avataje majore: i) u ecesită schimbul prealabil de chei secrete, deci comuicaţia poate fi efectuată şi pe u caal esigur fără să existe secrete partajate şi ii) umărul de chei partajate la comuicarea ître etităţi este miim (o cheie publică şi o cheie privată petru fiecare etitate). U criptosistem cu cheie publică îl defiim după cum urmează: Defiiţia 6.1. (Schemă de criptare cu cheie publică). O schemă de criptare cu cheie publică (criptosistem cu cheie publică) costă î trei algoritmi: PK, SK PKE. Ge 1 k care primeşte ca algoritmul de geerare a cheilor parametru ivelul de securitate k şi returează perechea cheie publică-privată, PKE. Ec m, PK care primeşte mesajul m şi PK SK, algoritmul de criptare cheia publică PK şi returează criptotextul c EPK m și algoritmul de decriptare PKE. Dec c, SK care primeşte criptotextul c şi cheia privată SK şi returează mesajul m. Toate acestea alături de spaţiile di care provi datele de itrare ale acestora (care fără a pierde geeralitatea sut spații ale strigurilor biare). Petru corectitudiea criptosistemului, se impue ca petru fiecare PK, SK PKE. Ge 1 k şi petru orice mesaj pereche cheie publică-privată m, decriptarea aplicată criptării coduce tot timpul la mesajul origial, adică m PKE. Dec PKE. Ec m, PK, SK. Aceasta e asigură că criptosistemul furizează rezultate corecte şi îtotdeaua decriptarea criptării uui mesaj returează acelaşi mesaj. Algoritmul de geerare a cheii diferă de cel de la primitivele cu cheie simetrică pri faptul că returează două chei disticte, acest lucru este sugerat î Figura 6.1. Figura 6. şi Figura 6.3 sut ilustrative petru algoritmii de criptare şi decriptare iar î Figura 6.4 sut utilizaţi algoritmii di Figura 6.1, Figura 6. şi Figura 6.3 petru a costrui schema uui sistem de criptare cu cheie asimetrică. PK

78 78 Fucţii Criptografice, Fudamete Matematice şi Computaţioale valoare aleatoare (pseudo-aleatoare) Algoritm de geerarea a cheii PKE.Ge(1 k ) 1 k PK SK FIGURA 6.1. SCHEMA BLOC A ALGORITMULUI DE GENERARE A CHEII PENTRU CRIPTAREA ASIMETRICĂ. Uzual: m PK PK ct., e. g., (ECC de la 160) E m PK PK PK Algoritm (fuctie) de criptare cu cheie publica PKE.Ec(m,PK) m c E m PK FIGURA 6.. SCHEMA BLOC A UNEI FUNCŢII DE CRIPTARE CU CHEIE ASIMETRICĂ. SK c Algoritm (fuctie) de decriptare cu cheie asimetrica PKE.Dec(c,SK) SK m D c FIGURA 6.3. SCHEMA BLOC A UNEI FUNCŢII DE DECRIPTARE CU CHEIE ASIMETRICĂ.

79 6. Scheme de criptare cu cheie asimetrică 79 1 k valoare aleatoare (pseudo-aleatoare) Algoritm de geerare a cheilor PK SK m Algoritm (fuctie) de criptare cu cheie asimetrica (foloseste cheia publica) Algoritm (fuctie) de decriptare cu cheie asimetrica (foloseste cheia privata) PK c E m FIGURA 6.4. SCHEMA DE PRINCIPIU A UNUI SISTEM DE CRIPTARE CU CHEIE ASIMETRICĂ. 6. TAXONOMIE A CRIPTOSISTEMELOR CU CHEIE PUBLICĂ Îaite de a trece la descrierea celor mai eseţiale criptosisteme cu cheie publică, î scopul creării uei imagii de asamblu, cosiderăm utilă prezetarea uei taxoomii simplificate a acestora î Figura 6.5. Sistemele au fost clasificate î fucţie de problema de teoria umerelor pe baza căreia au fost dezvoltate. Subliiem că deşi criptografia cu cheie publică are mai bie de 30 de ai de existeţă, toate criptosistemele cu cheie publică relevate î practică se bazează fie pe problema factorizării îtregilor fie pe problema logaritmului discret. Sigura outate este că aceasta di urmă a îceput să fie mai frecvet utilizată î ultimul deceiu pe grupurile curbelor eliptice. Î taxoomia di Figura 6.5 liia cotiuă semifică echivaleţa problemei cu problema de bază (factorizare sau logaritm discret) iar liia puctată semifică faptul că o astfel de echivaleţă u există sau u a fost îcă demostrată.

80 80 Fucţii Criptografice, Fudamete Matematice şi Computaţioale Îtr-adevăr, există şi alte probleme pe care se pot costrui criptosisteme cu cheie publică. Ua ditre acestea, relevată di puct de vedere istoric, este problema de optimizare combiatorică cuoscută sub umele de suma uei submulţimi (kapsack problem) sau problema rucsacului. U criptosistem costruit di aceasta a existat îcă di 1978 fiid propus de Merkle şi Hellma, dar criptosistemul a fost prea ieficiet petru a avea iteres practic. Î ultimul deceiu, par a fi promiţătoare criptosistemele bazate pe latici. Sut probleme pe care laticile le pot rezolva mai eficiet decât alte costrucţii, precum criptarea complet homomorfică (fully homomorphic ecryptio). Este posibil ca laticile să ofere criptosistemele viitorului. Mometa îsă peisajul este domiat de criptosistemele bazate pe factorizare şi logaritmi discreţi. Problema Logaritmului Discret Problema Factorizarii Îtregilor Calculul radaciilor patrate i Z Calculul radaciii de ordi e î Z (cu expoet relativ prim la ordiul lui Z) Ipoteza reziduurilor cvadratice î Z Diffie-Hellma, 1976 Rivest-Shamir-Adlema, 1978 Rabi, 1979 Williams, 1980 ElGamal, 1983 Miller-Koblitz, 1985 (Diffie-Hellma si ElGamal pe curbe eliptice) Goldwasser-Micali (algoritmi asimetrici o-determiisti, 1984) FIGURA 6.5. O TAXONOMIE A ALGORITMILOR DE CRIPTARE CU CHEIE PUBLICĂ.

81 6. Scheme de criptare cu cheie asimetrică SCHIMBUL DE CHEIE DIFFIE-HELLMAN-MERKLE Schimbul de cheie Diffie-Hellma marchează îceputul criptografiei cu cheie publică. Pri schimbarea bazată pe iformaţii asimetrice a uei chei secrete care poate fi apoi utilizată petru criptarea uei iformaţii, se realizează î eseţă fucţioalitatea uui criptosistem cu cheie publică. De fapt criptosistemul ElGamal foloseşte exact paşii acestui schimb, aceeaşi idee urmâd să apară sub formă de criptosistem î schema ElGamal discutată îtr-o secţiue următoare. De asemeea am adăugat umele lui Merkle î titlu, coform recomadării lui Hellma, bazat pe faptul că ideile lui Merkle ca pioier al criptografiei cu cheie publică au dus la costrucţia acestui protocol. Ideea pe care se bazează este faptul că operaţia de ridicare la putere î y z este comutativă, i.e. mod z y x x p, î timp ce extragerea logaritmului y discret (care presupue găsirea lui y astfel îcât x amod p ) u este rezolvabilă eficiet petru elemete ale grupului de ordi foarte mare. Ce îseamă ordiului uui elemet vom discuta detaliat î capitolul de fudamete matematice. Petru momet, trebuie să ştim doar că ordiul uui elemet x t este cel mai mic umăr t petru care x mod p 1. Î plus, spuem că x este geerator al lui Z p dacă ordiul său este p 1. Cosiderăm petru sceariul ostru doi participaţi A şi B care aleg u umăr prim p şi u geerator g al grupului Z, ambele iformaţii fiid publice. Totodată A alege u umăr aleator a pe care îl păstrează ca iformaţie privată (fără să îl auţe pe B ) respectiv B face acelaşi lucru alegâd u umăr aleator b. Schimbul de cheie costă î paşii ilustraţi î Protocolul 6-1. La sfârşitul celor două sesiui ambii participaţi pot calcula valoarea lui ab b g mod p. Î mod evidet A foloseşte valoarea lui g mod p primită de la B şi valoarea lui a pe care o cuoaşte deoarece el a ales-o şi calculează a b a g mod p mod p. Similar, B foloseşte g mod p, b şi calculează b a g mod p mod p. Di momet ce logaritmul discret u poate fi extras, u poteţial adversar u poate calcula ici pe a şi ici pe b fiid î imposibilitatea ab de a extrage cheia comuă g mod p. Subliiem că această cheie este aşadar secretă şi a fost obţiută doar pe baza uui schimb de iformaţie publică. Ulterior * p Z p

82 8 Fucţii Criptografice, Fudamete Matematice şi Computaţioale cheia secretă poate fi utilizată petru orice altă operaţie criptografică, de exemplu petru criptarea simetrică. DH. Setup 1 k : Fixează u umăr prim p de k biţi şi u DH. Exchage : geerator g al grupului ai protocolului. A : alege u umăr aleator a şi trimite a 1. A B : g mod p B : alege u umăr aleator b şi trimite b. B A: g mod p A şi B : calculează cheia comuă ca * Z p ca parametri publici ab g mod p PROTOCOLUL 6-1. SCHIMBUL DE CHEIE DIFFIE-HELLMAN 6.4 SECURITATEA SCHIMBULUI DE CHEIE DIFFIE-HELLMAN- MERKLE Pe lâgă problema logaritmului discret amitită aterior mai există două probleme relevate î strâsă legătură cu aceasta şi cu securitatea schimbului de cheie Diffie-Hellma. Le amitim î cele ce urmează. Defiiţia 6.. (DDH - Decisioal Diffie-Hellma). Problema decizioală Diffie-Hellma îtreabă următoarele: avâd u umăr prim p, u geerator g al

83 6. Scheme de criptare cu cheie asimetrică 83 grupului * Z p şi valorile dacă r este sau u chiar a b g mod p, g mod p respectiv u umăr r să se decidă ab g mod p. Defiiţia 6.3. (CDH Computatioal Diffie-Hellma). Problema computaţioală Diffie-Hellma îtreabă următoarele: avâd u umăr prim p u geerator g al grupului calculeze ab g mod p. * Z p şi valorile a b g mod p respectiv g mod p să se Şi problema decizioală (DDH) şi cea computaţioală Diffie-Hellma (CDH) pot fi geeralizate la fel ca problema logaritmului discret (DLP) itrodusă pe diverse grupuri. Relaţia ître cele trei probleme este următoarea: Pri P DDH CDH DLP P P Q otăm faptul că problema P se reduce la Q î timp poliomial, adică, dacă avem u algoritm care rezolvă P putem rezolva şi Q. Aşa cum se observă, problemele u sut echivalete. Problema echivaleţei ître cele trei probleme rămâe î cotiuare deschisă (pe uele grupuri este demostrată). Î ceea ce priveşte securitatea schimbului de cheie Diffie-Hellma aceasta este echivaletă cu problema computaţioală CDH şi u cu cea a logaritmului discret. Subliiem faptul că acest schimb de cheie este eautetificat şi u adversar poate itervei î schimb itroducâd alte valori. Aşadar, acest schimb u este rezistet î faţa uui atac de tip ma-i-the-middle (î care u adversar se iterpue ître cei doi participaţi) aşa cum se poate uşor observa î protocolul următor: P a 1. A : g mod p adv 1. Adversarul iterceptează şi trimite lui B g mod b. B : g mod p adv. Adversarul iterceptează şi trimite lui A g mod p p

84 84 Fucţii Criptografice, Fudamete Matematice şi Computaţioale La fialul protocolului A a schimbat cu adversarul cheia g adva mod p iar B advb a schimbat cu adversarul cheia g mod p. Î realitate deci, ître A şi B u este partajată ici u fel de cheie secretă. Astfel, utilizarea directă a acestui schimb de cheie u oferă u caal sigur î practică. 6.5 CRIPTAREA ASIMETRICĂ RSA RSA este prima realizare cocretă de algoritm de criptare asimetrică şi semătura digitală. Acest algoritm se bazează pe utilizarea petru criptare a fucţiei f x x mod ude este u îtreg compozit produs a două umere prime iar este u expoet îtreg care respectă c. m. m. d. c., 1. Această fucţie este o bijecţie şi admite ca iversă fucţia f 1 x x mod care va fi utilizată la decriptare, este u îtreg care satisface relaţia 1mod. Desigur că iversarea acestei fucţii este posibilă dacă se cuoaşte factorizarea lui. Schema de pricipiu este ilustrată î Figura 6.6. iar Sistemul 6-1 este descrierea acestui criptosistem.corectitudiea algoritmului poate fi uşor demostrată observâd că 1mod implică k 1k k c m mmod, deoarece m m 1mod. PK, m f x x mod RSA c m mod SK, c 1 RSA f x x mod m c mod FIGURA 6.6. CRIPTAREA ŞI DECRIPTAREA RSA.

85 6. Scheme de criptare cu cheie asimetrică 85 RSAGe. 1 k : Geerează două umere prime aleatoare p, q şi calculează pq p 1 q 1 (presupuem că umerele p şi q au fost geerate î aşa fel îcât are k biţi). Geerează u îtreg astfel îcât respectiv c. m. m. d. c., 1, calculează astfel îcât 1mod( ). Cheia publică este PK, iar cea privată este SK,. PK, şi se reprezită mesajul ca îtreg î itervalul 1,. Se calculează criptotextul ca RSA. Ec m, PK : Se obţie cheia publică a etităţii aferete c m mod. RSA. Dec c, SK : Decriptează mesajul ca m c mod. SISTEMUL 6-1. SCHEMA DE CRIPTARE CU CHEIE PUBLICĂ RSA 6.6 SECURITATEA CRIPTOSISTEMULUI RSA Sigura cale cuoscută de a sparge complet sistemul RSA este factorizarea modulului, reamitim îsă că u există ici o demostraţie că aceasta este sigura metodă de a sparge complet RSA-ul. Adică, u există ici o demostraţie cu privire la echivaleţa ditre RSA şi problema factorizării îtregilor IFP. Mai mult, recet s-a istalat mult scepticism cu privire la echivaleţa ître securitatea RSA şi problema factorizării îtregilor odată cu apariţia articolului lui Boeh şi Vekatesa [16].

86 86 Fucţii Criptografice, Fudamete Matematice şi Computaţioale Este îsă demostrat că a calcula o pereche de chei RSA (cheie publică şi cheie privată) este echivalet cu problema factorizării îtregilor. Î acest ses următoarele două relaţii sut relevate cu privire la securitatea RSA-ului: RSA Dec. P IFP RSAGe. PFI Prima relaţie ilustrează faptul că decriptarea RSA se reduce poliomial la factorizare (desemată ca PFI de la Problema Factorizării Îtregi) şi este evidetă, calculul cheii de decriptare RSA făcâdu-se pe baza factorilor modulului. Cea de-a doua relaţie ilustrează faptul că a calcula o pereche de chei RSA este o problemă echivaletă factorizării şi poate fi demostrată după cum urmează. Î mod evidet dacă cuoaştem factorizarea modulului putem calcula perechea de chei, rămâe deci de arătat doar că o pereche de chei poate fi utilizată petru a factoriza modulul. Presupuem că se cuosc şi astfel îcât 1mod ( ), pq şi dorim aflarea lui p şi q. Eumerăm două metode care pot fi folosite î acest scop: i) 3 Se observă că 1mod ( ) 1 k p 1q 1 1 k 1 p q deoarece discutăm î cotextul criptografiei cu cheie publică şi umărul are o magitudie foarte mare raportat la ceilalţi membrii ai 1 ecuaţiei î mod cert vom avea k. Folosid această valoare petru k avem 1 p q Di momet ce cuoaştem atât suma factorilor cât şi produsul, care este chiar valoarea lui, putem extrage cele două umere ca rădăcii ale uei ecuaţii de gradul. Calculul este baal î cotiuare şi u are ses să fie detaliat. 3 Metoda este preluată de la cursul de Security reductios for asymmetric systems susţiut de Pascal Paillier la Bo, Germaia î septembrie 007

87 6. Scheme de criptare cu cheie asimetrică 87 ii) 4 Se observă de asemeea că petru x avem x 1 x mod x 1mod şi pri împărţire succesivă a expoetului la i 1 vom ajuge la u momet dat la x i1 i 1 x 1mod care implică i 1 1 1mod î timp ce x 1 x 1 0mod ceea ce îseamă că membrii produsului di partea stâgă a ecuaţiei ascud factori disticţi ai lui şi aceştia pot fi extraşi uşor cu de calcul al celui mai mare divizor comu (vezi secţiuile de fudamete matematice şi computaţioale). Alegerea corectă a parametrilor di stadiul de iiţializare a cheii este extrem de importată. Petru a evita atacuri pri factorizarea modului se recomadă utilizarea uui modul de biţi petru o securitate pe terme lug (vezi tabelul di secţiuea itroductivă). Alegerea celor două umere prime p şi q este critică petru securitate. Este recomadabil ca umerele să fie alese astfel îcât să aibă acelaşi umăr de biţi iar p q să fie suficiet de mare petru a prevei u atac exhaustiv pri căutarea uui factor mai mic decât. Petru 1 respectarea primei codiţii umerele sut alese aleator ca avâd fiecare log biţi iar o alegere aleatoare garatează şi respectarea celei de-a doua codiţii cu o probabilitate suficiet de mare. Petru a spori rezisteţa î faţa atacurilor pri factorizare a fost propusă şi variata RSA ebalasat î care factorii u au umăr egal de biţi. Aceasta este mult mai rezistetă la factorizare dar are o vulerabilitate fatală î faţa uui atac de tip criptotext ales care v-a fi discutată mai jos. De asemeea expoetul public poate fi ales ca avâd forme speciale petru a face criptarea mai eficietă. Sut preferaţi expoeţii care au cât mai puţii biţi de 1, aceasta datorită algoritmului de expoeţiere care cosumă mai mult timp câd bitul expoetului este 1. Di acest motiv ître expoeţii preferaţi petru criptarea RSA sut umerele 3, 17 şi Î mod cert RSA este criptosistemul cu cheie publică cel mai ites studiat (u î ultimul râd acest lucru se datorează simplităţii sale). Astfel, de-a lugul timpului o gamă relativ largă de atacuri şi vulerabilităţi ale RSA au fost publicate. Î primul râd sut relevate atacurile pasive, care au ca sursă u adversar care îcearcă off-lie să spargă criptosistemul, ditre acestea amitim: 4 Metoda este preluată di cartea lui Meezes et al. [6].

88 88 Fucţii Criptografice, Fudamete Matematice şi Computaţioale - Atacul pri factorizare presupue factorizarea îtregului - cu ajutorul algoritmilor cuoscuţi. Î prezet acest lucru u este posibil petru valori suficiet de mari ale lui. - Atacul pri căutarea directă a mesajului (forward-search) este u atac geeral, fezabil asupra oricărui criptosistem cu cheie publică. Deoarece cheia publică este pri defiiţie publică u adversar, avâd u criptotext capturat, poate face o căutare exhaustivă î cazul î care spaţiul mesajului este redus. Petru a evita acest lucru se folosesc tehici de paddig precum OAEP sau PKCS prezetate la sfârşitul acestui capitol (acestea fac atacul imposibil î ses practic). Î al doilea râd şi mult mai periculoase sut atacurile active petru cazul î care u adversar are acces la maşia de decriptare (fiid criptare cu cheie publică accesul la maşia de criptare este evidet). Ditre acestea amitim: - Atacul pri temporizare. Î mod cert catitatea de timp ecesară decriptării poate coduce la iformaţii suplimetare despre expoetul utilizat. Paul Kocher este cel care a adus î discuţie acest tip de atac. O abordare temeiică asupra uui astfel de atac împotriva OpeSSL este î lucrarea [18] cocluzia lucrării este că astfel de atacuri sut posibile şi deci trebuie cotracarate. Soluţia împotriva acestor atacuri este fie de a fixa u timp fix de calcul idiferet de dimesiuea expoetului, fie de a efectua operaţii suplimetare î mod aleator petru a deruta adversarul, detalii se găsesc î lucrarea [18]. - Adaptive chose chipertext-attack se discută î cotextul adversarilor activi la sfârşitul acestui capitol. Există câteva vulerabilităţi ale RSA-ului comu cuoscute şi care sut ecesare de amitit, î practică astfel de scearii trebuid evitate cu orice preţ: - Expoeţii de criptare sau decriptare relativ mici. Atacurile asupra expoeţilor mici de criptare au fost itroduse de [50] iar cele asupra expoeţilor mici de decriptare de Wieer. Atacul asupra uui expoet mic de criptare presupue existeţa uei relaţii ître mesajele criptate şi se cotracarează pri extiderea mesajului cu biţi aleatori. Expoeţii mici de decriptare trebuie evitaţi î practică (evitarea decurge î mod atural deoarece î practică se utilizează expoeţi de criptare mici sau cu forme speciale şi aceştia fac ca expoeţii de decriptare să fie mari). Tot î categoria expoeţilor de criptare mici itră şi atacul bazat pe teorema chieză a resturilor (vezi secţiuea de fudamete matematice) deoarece î cazul criptării cu expoet mic a aceluiaşi mesaj folosid mai multe module diferite, mesajul ar putea fi extras ca rădăciă reală a

89 6. Scheme de criptare cu cheie asimetrică 89 criptotextului (calculul rădăciii reale este fezabil î timp poliomial, a se vedea capitolul de fudamete matematice petru teorema chieză a resturilor). - Problema modulului comu. Utilizarea aceluiaşi modul de către mai mulţi participaţi u este posibilă deoarece cuoaşterea uei perechi de chei publică-privată duce imiet la factorizarea modulului şi pierderea securităţii ître participaţi. Alte scheme asimetrice precum ElGamal permit utilizarea uui modul comu fără a avea această deficieţă. - RSA balasat şi RSA ebalasat. Variata de RSA î care cele două umere prime sut alese ca avâd aproximativ aceeaşi dimesiue poartă umele de RSA balasat şi este variata recomadată şi utilizată î practică. Shamir a propus şi utilizarea uei variate de RSA umite RSA ebalasat care are rezisteţă mult mai mare decât RSA balasat împotriva factorizării şi are aceeaşi viteză de criptare/decriptare [4, p. 76]. Aceasta presupue utilizarea uui umăr prim p relativ mic (câteva sute de biţi) şi a uui umăr prim q relativ mare (câteva mii de biţi) iar apoi decriptarea se va face modulo p petru a câştiga timp (evidet petru mesaje mai mici decât p ). Această schemă are îsă u dezavataj major u rezistă î faţa uui atac de tip criptotext ales. Explicaţia este următoarea: presupuem că u adversar criptează u mesaj m' p iar valoarea criptată este c ' m' mod dacă maşia de decriptare oferă ca răspus m'' c' mod p î mod evidet m'' m' şi totodată deci..... '' ', m'' m'mod p c m m d c m m p. Şi u î ultimul râd câteva proprietăţi ale criptării RSA sut bie de meţioat cu specificaţia că aceste proprietăţi s-au dovedit de-a lugul timpului a fi pe de o parte avatajoase petru că au permis dezvoltarea uor soluţii de securitate exotice (precum semătura blid itrodusă de Chaum ce va fi discutată î capitolul următor) şi pe de altă parte dezavatajoase deoarece au fost sursa uor oi atacuri asupra RSA: - Ciclicitatea criptării. Fucţiile defiite pe mulţimi fiite coduc la cicluri pri compoziţia lor succesivă. Astfel dacă avem u mesaj criptat c m e mod şi cotiuăm să îl criptăm de u umăr fiit de ori se va e ajuge ca după k rude sa obţiem c k c mod. Î cele di urmă acest atac devie chiar o metodă de factorizare (vezi metodele bazate pe coliziui di capitolul de fudamete matematice). Cum factorizarea u este fezabilă, ciclicitatea criptării u reprezită u dezavataj î practică.

90 90 Fucţii Criptografice, Fudamete Matematice şi Computaţioale - Criptarea idetică se poate remarca că există şi mesaje care î urma criptării rămâ eschimbate. Aceste mesaje sut acele umere care satisfac ecuaţia m m mod m 1 1mod. Ne propuem să determiăm umărul de mesaje care satisfac această codiţie. Datorită izomorfismului descris de teorema chieză a resturilor este suficiet să lucrăm modulo p şi modulo q. Astfel î Z ecuaţia m 1 1mod p are exact c. m. m. d. c. 1, p 1 c. m. m. d. c. 1, q 1 rădăcii. Aalog există soluţii ale ecuaţiei î Z q iar di teorema chieză a resturilor rezultă că î p * Z există c. m. m. d. c. 1, p 1 c. m. m. d. c. 1, q 1 soluţii. Numărul de mesaje care verifică această ecuaţie este deci redus şi u poate afecta securitatea schemei de criptare RSA. - Proprietatea multiplicativă costă î faptul că petru două mesaje criptate c m mod 1 1 şi c m mod 1 1 mod c c m m. avem Această proprietate a dus la multe costrucţii iteresate bazate pe RSA dar di efericire şi la atacul de tip criptotext ales adaptiv care va fi prezetat la sfârşitul capitolului. 6.7 CRIPTAREA ASIMETRICĂ RABIN Se bazează pe utilizarea fucţiei f x x mod ude pq este u îtreg compozit produs a două umere prime exact ca la RSA. Evidet schema Rabi u este u caz particular al RSA deoarece RSA pretide ca c. m. m. d. c., 1 c. m. m. d. c.,. Mai mult, fucţia x î timp ce f x mod u este o permutare a elemetelor di Z ca î cazul RSA fiid * p 1 q 1 clar că aceasta trasformă Z î Q şi Q (se va cosulta 4 capitolul de fudamete matematice petru a lămuri de ce este aşa). Petru cazul î care este îtreg Blum (adică p q 3mod 4 ) şi domeiul de defiiţie se schimbă î f : Q Q, fucţia Rabi devie o permutare, deoarece fiecare reziduu cvadratic are exact patru rădăcii di care exact ua este reziduu cvadratic. Criptosistemul este ilustrat î Figura 6.7 iar descrierea sa formală este î Sistemul 6-.

91 6. Scheme de criptare cu cheie asimetrică 91 Rabi. Ge 1 k : Geerează două umere prime aleatoare p, q şi calculează pq (presupuem că umerele p şi q au fost geerate î aşa fel îcât are k biţi). Cheia publică este SK p, q. PK iar cea privată este PK şi se reprezită mesajul ca îtreg î itervalul 1,. Se calculează criptotextul ca Rabi. Ec m, PK : Se obţie cheia publică a etităţii aferete c m mod. Rabi. Dec c, SK : Decriptează mesajul ca m c mod (calculul rădăciii pătrate este descris î capitolul de fudamete matematice). SISTEMUL 6-. SCHEMA DE CRIPTARE CU CHEIE PUBLICĂ RABIN Se observă că este ecesară prezeţa uui elemet de redudaţă petru a putea distige ître mesajul origial şi celelalte trei rădăcii (reamitim că fiecare reziduu cvadratic are exact 4 rădăcii dacă pq ). Î practică, itroducerea uui astfel de elemet de redudaţă u este o problemă - fiid suficietă setarea îtr-o formă prestabilită a câtorva biţi sau trasmisia pe lâgă mesajul criptat a câtorva biţi redudaţi. Di ou, tehicile de paddig ce vor fi discutate la fialul acestui capitol rezolvă şi această problemă, pe lâgă atacurile active la care răspud.

92 9 Fucţii Criptografice, Fudamete Matematice şi Computaţioale PK m f x x mod Rabi c m mod SK Factorizare Calculul radaciii patrate (vezi sectiuea 4.4.) si alegerea mesajului i baza uui mecaism de redudata c m c mod FIGURA 6.7. CRIPTAREA ŞI DECRIPTAREA RABIN. 6.8 SECURITATEA CRIPTOSISTEMULUI RABIN Ne propuem să eumerăm câteva atacuri clasice asupra algoritmului Rabi. Atacul de tip criptotext ales este probabil cauza care a dus la margializarea acestui algoritm de criptare. Posibilitatea de a găsi toate rădăciile ecuaţiei x amod duce uşor la factorizarea îtregului. Î acest cotext dacă u adversar are acces la maşia de decriptare şi poate obţie decriptarea uui mesaj ales arbitrar cu o probabilitate de 50% acesta va reuşi să factorizeze îtregul. Folosirea riguroasă a redudaţei poate duce la evitarea acestui tip de atac. Atacul pri căutarea directă a mesajului este valid î acelaşi cotext ca la RSA petru orice criptosistem cu cheie publică determiist. Atacul bazat pe teorema chieză a este posibil şi aici de această dată expoetul de criptare fiid. Spre deosebire de RSA, î cazul căruia u există ici o demostraţie că securitatea sa este echivaletă cu factorizarea, petru algoritmul Rabi o astfel de

93 6. Scheme de criptare cu cheie asimetrică 93 demostraţie este uşor de făcut. De fapt demostraţia este directă deoarece posibilitatea de a calcula reziduuri cvadratice coduce la factorizare aşa cum poate fi uşor despris di secţiuea de fudamete matematice. Următoarea echivaleţă este adevărată cu privire la schema Rabi: Rabi. Dec PFI 6.9 CRIPTAREA ASIMETRICĂ EL-GAMAL Lucrarea lui Diffie şi Hellma [9] propuea ideea de criptare asimetrică şi u protocol de schimb de cheie asimetric. Şapte ai mai târziu, El-Gamal utilizează ideile propuse de Diffie-Hellma petru a costrui u algoritm de criptare asimetrică şi o semătură digitală [33]. a PK, mod p, p a c m mod p 1 m c c, c k c mod p k 1 SK a a c m c c1mod p m FIGURA 6.8. CRIPTAREA ŞI DECRIPTAREA ELGAMAL. Pricipiul de fucţioare al criptării asimetrice este idetic cu cel al protocolului de schimb de cheie Diffie-Hellma cu meţiuea că cheia simetrică este apoi utilizată petru criptarea uui mesaj pri efectuarea uei multiplicări modulare ître aceasta şi mesajul propriu-zis. Sistemul 6-3 oferă descrierea schemei ElGamal, la fel şi Figura 6.8.

94 94 Fucţii Criptografice, Fudamete Matematice şi Computaţioale ElGamal. Ge 1 k : Geerează u umăr prim p de k biţi şi alege u geerator g al grupului aleator a 1, p Z p. Geerează u îtreg a şi calculează g mod p. Cheia publică este PK, a mod p, p este a SK. iar cea privată ElGamal. Ec m, PK : Se obţie cheia publică a etităţii a PK, mod p, p şi se reprezită mesajul ca îtreg î itervalul 1, p. Se geerează u îtreg aleator 1 k p, se calculează criptotextul ca k a k c mod p, m ( ) mod p. ElGamal. Dec c, SK : Decriptează mesajul ca a m mod p. SISTEMUL 6-3. SCHEMA DE CRIPTARE CU CHEIE PUBLICĂ ELGAMAL Se observă că dimesiuea mesajului trasmis este dublă î cazul criptării ElGamal deoarece trebuie trasmisă perechea, SECURITATEA CRIPTOSISTEMULUI ELGAMAL Algoritmul El-Gamal este u algoritm de criptare o-determiist datorită alegerii parametrului aleator k. Adică, u mesaj va rezulta î criptări diferite la fiecare rulare a schemei. Se observă că utilizarea aceluiaşi expoet k u este posibilă, deoarece dacă acelaşi k este utilizat petru a cripta mesaje diferite atuci este valabilă egalitatea 1 m m 1 ce duce la posibilitatea de a calcula m 1 ca fucţie de m şi reciproc (deci algoritmul u rezistă î faţa uui atac de tip criptotext ales).

95 6. Scheme de criptare cu cheie asimetrică 95 Primul studiu serios asupra securităţii criptosistemului ElGamal se găseşte î [8]. Securitatea criptosistemului ElGamal este echivaletă cu problema computaţioală Diffie-Hellma (CDH) şi deci impue ca şi problema logaritmului discret (DLP) să u poată fi eficiet rezolvată petru a fi sigur. Următoarea relaţie este adevărată: ElGamal. Dec CDH 6.11 CRIPTOSISTEMUL GOLDWASSER-MICALI Criptosistemele RSA şi Rabi aşa cum au fost aterior prezetate sut criptosisteme determiiste. Marele dezavataj al criptării determiiste este că u aume mesaj corespude aceleiaşi valori de criptotext îtotdeaua, lucru care face dificilă trasmiterea aceluiaşi mesaj către o aume etitate, deoarece u adversar poate observa cel puţi repetiţia aceleiaşi iformaţii şi deci obţie o iformaţie parţială cu privire la mesajele vehiculate. U alt dezavataj este şi acela că uele mecaisme de criptare determiiste permit recuperarea uor biţi idividuali de iformaţie di criptotext (îtr-u exemplu di secţiuea de fudametare teoretică arătăm că simbolul Jacobi al mesajului poate fi recuperat di criptotextul RSA). Tehicile de paddig discutate la fialul capitolului rezolvă acest eajus, dar ele au veit la mai bie de u deceiu după schemele iiţiale. Criptosistemul Goldwasser-Micali a apărut mult mai devreme fiid revoluţioar petru vremea la care a apărut şi rezolvâd această problemă. Acesta este avagardist ca procedeu costructiv şi pricipii itroduse î securitate, dar u ca şi eficieţă (el este ieficiet di puct de vedere computaţioal şi abset î practică). Sistemul este u sistem criptografic o-determiist, ceea ce îseamă că rezultatul are o valoare radomizată (acelaşi mesaj criptat de mai multe ori va rezulta î criptotexte diferite). Pricipiul pe care se bazează criptosistemul este imposibilitatea de a distige reziduurile cvadratice de pseudo-reziduurile cvadratice di Z fără a cuoaşte factorizarea lui - acest lucru mai se umeşte şi problema reziduurilor cvadratice (QRP Quadratic Residuosity Problem). Ce trebuie să ştim despre aceasta îaite de a citi capitolul de fudamete matematice, este că reziduurile cvadratice sut umerele pătrate perfecte di * * Z iar pseudoreziduurile sut umere care u sut pătrate perfecte dar u se cuosc algoritmi care pot face difereţa ditre acestea şi pătratele perfecte (decât dacă se cuoaşte

96 96 Fucţii Criptografice, Fudamete Matematice şi Computaţioale factorizarea lui ). Sistemul 6-4 este descrierea schemei de criptare asimetrică Goldwasser-Micali. GM. Ge 1 k : Geerează două umere prime aleatoare p, q şi calculează pq. Alege u pseudo-reziduu cvadratic, i.e. * y Z astfel îcât y este y Q (vezi Defiiţia 9.44). Cheia publică este PK, y cea privată este SK p, q. iar GM. Ec m, PK : Se obţie cheia publică a etităţii aferete PK, y şi se reprezită mesajul m î biar ca m m m m.... Petru i 1, t alege u îtreg 0 1 m t * aleator x Z dacă m i 1 atuci c i yx mod altfel x mod. Mesajul criptat este c c c... c i 0 1 c t. c GM. Dec c, SK : Petru i 1, t calculează simbolul Legedre i p c şi dacă i 1 atuci m i 0 altfel m i 1. p Decriptează mesajul ca m c mod. SISTEMUL 6-4. SCHEMA DE CRIPTARE CU CHEIE PUBLICĂ GOLDWASSER-MICALI Aşa cum se observă, etitatea care geerează cheia cuoaşte şi factorizarea lui şi astfel poate face difereţa ître reziduuri şi pseudo-reziduuri. Petru criptare, fiecare bit este criptat îtr-u reziduu sau pseudo-reziduu după cum este 1 sau 0 folosid u pseudo-reziduu publicat de cel care a geerat cheia. Evidet pri îmulţirea a uui reziduu cu u pseudo-reziduu se obţie tot u pseudo-reziduu, astfel yx mod este u pseudo-reziduu petru că y este c i pseudo-reziduu î timp ce c i x mod este u reziduu.

97 6. Scheme de criptare cu cheie asimetrică 97 Securitatea schemei este echivaletă cu problema calculului aparteeţei la mulţimea reziduurilor cvadratice, deci: GM. Dec QRP Nu securitatea sau eficieţa acestei scheme este partea care o face relevată, ci faptul că această schemă atige u obiectiv importat de securitate (imperceptibilitatea criptotextelor) care va fi discutat îtr-u capitol următor. 6.1 SCHIMBUL DE CHEIE DIFFIE-HELLMAN FOLOSIND CURBE ELIPTICE (ECDH) Curbele eliptice erau cuoscute de criptografi îcă di aii 80. Cu toate acestea, ele au apărut î practică doar după aii 000. Ditre motivele îtârzierii, cel puţi două par clare: faptul că sut mai dificil de implemetat şi faptul că matematica pe care se bazează este mai complexă (u toate proprietăţile curbelor sut perfect îţelese). Deloc surprizător, schimbul de cheie Diffie-Hellma poate fi implemetat şi folosid curbe eliptice. Îtr-o secţiue următoare discutăm ce sut acestea, petru momet ele pot fi iterpretate ca u simplu obiect matematic. Această implemetare este comu referită î practică ca ECDH adică Elliptical-Curve Diffie-Hellma. Poate ar fi corect, la fel cum protocolul Diffie-Hellma a fost propus să se umească Diffie-Hellma-Merkle, ca acest protocol să se umească Koblitz-Miller-Diffie-Hellma-Merkle (KMDHM) deoarece Koblitz şi Miller au fost pioierii curbelor eliptice î criptografie. Spre deosebire de criptosisteme precum RSA, ude parametrii erau geeraţi aleator şi păstraţi secret, aici parametrii curbei sut publici şi pot fi (re)folosiţi de oricâte ori. Mai mult NIST recomadă aumite curbe î FIPS care sut larg folosite de toate implemetările practice. Curbele recomadate de NIST folosesc uul di cele 5 câmpuri prime geerate de umere prime p de 19, 4, 56, 384 şi 51 biţi sau uul di cele 5 câmpuri biare de 163, 33, 83, 409 sau 571 biţi. Petru acestea di urmă sut recomadate atât o curbă simplă cât şi o curbă Koblitz (care permite cu uşuriţă calcularea umărului de pucte), deci î

98 98 Fucţii Criptografice, Fudamete Matematice şi Computaţioale total sut 5 curbe î câmpuri prime şi 10 curbe î câmpuri biare recomadate de NIST. Protocolul 6- descrie schimbul de cheie ECDH. ECDH. Ge 1 k ECDH. Exchage : : Alege u umăr prim p de k biţi, coeficieţii a şi 3 b ai uei curbe eliptice E : y x ax bmod p şi u geerator P. Toţi aceşti parametrii sut publici. A : alege u umăr aleator a şi trimite 1. A B : ap B : alege u umăr aleator b şi trimite. B A: bp A şi B : calculează cheia comuă ca abp PROTOCOLUL 6-. SCHIMBUL DE CHEIE DIFFIE-HELLMAN FOLOSIND CURBE ELIPTICE

99 6. Scheme de criptare cu cheie asimetrică LIPSA SECURITĂŢII ÎN VARIANTELE TEXT-BOOK ALE ALGORITMILOR DE CRIPTARE "Of cocer with both of these schemes is that there is o compellig reaso to believe that x is as hard to compute from f(rx) as rx is hard to compute from f(rx) let aloe that all iterestig properties of x are well-hidde by f(rx). Ideed whether or ot [, 15] "work" depeds o aspects of f beyod its beig oe-way, isofar as it is easy to show that if there exists a trapdoor permutatio the there exists oe for which ecryptio as above is completely isecure." M. Bellare & P. Rogaway 5. Î trecut criptosistemele cu cheie publică erau costruite petru a atige obiective de securitate rudimetare sau chiar vag defiite, de exemplu u adversar să u poată afla mesajul criptat ceea ce era uzual asimilat cu iversarea totală a fucţiei oe-way pe care se baza criptosistemul. U astfel de deziderat de securitate este îsă ieficiet î practică şi este evidet că folosirea schemelor criptografice î variată text-book face posibilă aflarea uor iformaţii parţiale despre textul criptat. De exemplu criptarea RSA u modifică simbolul Jacobi al mesajului criptat, astfel, u adversar poate oricâd face disticţie ître criptările a două mesaje cu simboluri Jacobi diferite. Totodată, î trecut securitatea era gâdită î faţa uor adversari pasivi care î pricipiu aalizau criptotextul î vederea găsirii mesajului sau a cheii. Î lumea reală adversarii u sut pasivi ci activi, avâd acces la maşiile de criptare şi decriptare. Î faţa atacurilor active sistemele î variată text-book aterior prezetate sut esigure. Petru claritatea expuerii vom cosidera u simplu atac de tip criptotext ales adaptiv asupra schemei RSA. U atac de tip criptotext ales adaptiv (CCA) 5 Di lucrarea Optimal asymmetric ecryptio - How to ecrypt with RSA.

100 100 Fucţii Criptografice, Fudamete Matematice şi Computaţioale presupue u adversar care u cuoaşte cheia privată dar are acces la maşia de decriptare, la fel ca cel sugerat î Figura 6.9, iar faptul că criptotextul este ales adaptiv îseamă că alegerea criptotextelor de către adversar se face pe baza uui criptotext ţită care adversarul vrea să îl decripteze, maşia de decriptare fiid dispusă să decripteze orice criptotext mai puţi criptotextul ţită. Adversarul cu acces adaptiv este sugerat î Figura c=m e mod m=c d mod Adversar Masia de decriptare FIGURA 6.9. ADVERSAR CU ACCES LA MAŞINA DE DECRIPTARE. Criptotext tita c 1 Restrictie c 1!=c c =m e mod m =c d mod Adversar Masia de decriptare FIGURA ADVERSAR CU ACCES ADAPTIV LA MAŞINA DE DECRIPTARE.

101 6. Scheme de criptare cu cheie asimetrică 101 Î acest sceariu este simplu de observat că adversarul poate ascude iteţia de a decripta u mesaj c m mod 1 1 calculâd c c m mod 1 petru o valoare oarecare m, iar apoi obţie de la maşia de decriptare m c de ude poate calcula m m m. Atacul, sugerat şi î ' mod 1 ' 1 mod Figura 6.1, este pe cât de simplu pe atât de fatal (criptotextul fiid spart). Subliiem că toate criptosistemele aterior itroduse sut vulerabile î faţa uui astfel de atac. Petru a îlătura această limitare vom itroduce î paragraful următor câteva obiective modere de securitate şi câteva coversii petru a costrui criptosisteme rezistete î faţa uor astfel de adversari. Adversarul vrea sa sparga criptotextul c 1 Restrictie c 1!=c c =c 1 m e mod m =c d =m 1 m mod Adversar Masia de decriptare Criptotextul este spart deoarece m 1 =m m -1 mod FIGURA ATAC ADAPTIV ASUPRA MAŞINII DE DECRIPTARE RSA FINALIZAT CU SUCCES. Nici criptosistemul ElGamal u este rezistet î faţa uui atac CCA. Di ou, u adversar, avâd u criptotext ţită k1 a k1 c mod p, m ( ) mod p poate altera a doua valoare di criptotext pri îmulţirea ei cu o valoare arbitrară şi obţie m mod p 1. Acum criptotextul ou creat c, 1 este oferit maşiii de decriptare şi

102 10 Fucţii Criptografice, Fudamete Matematice şi Computaţioale a răspusul acesteia m " 1 mod p poate fi folosit petru a sparge 1 criptotextul iiţial petru că îtr-adevăr m m " m mod p. Atacul este sugerat şi î Figura Adversarul vrea sa sparga criptotextul k1 a k1 c mod p, m ( ) mod p Restrictie c 1!=c c k1 1 mod p, m 1 mod p m " mod p a 1 Adversar Masia de decriptare Criptotextul este spart deoarece m 1 =m m -1 mod FIGURA 6.1. ATAC ADAPTIV ASUPRA MAŞINII DE DECRIPTARE ELGAMAL FINALIZAT CU SUCCES VARIANTE CONTEMPORANE ALE CRIPTOSISTEMOR CLASICE DE CRIPTARE CU CHEIE PUBLICĂ (REZISTENŢA IND/NM-CCA) Datorită ivelului slab de securitate oferit de oţiuea de securitate de tip totul sau imic, criptosistemele cu cheie publică cotemporae trebuie să atigă obiective de securitate avasate precum e-distigerea sau imperceptibilitatea criptotextelor IND (idistiguishability of ecryptios) şi o-maleabilitatea criptotextelor NM (o-malleability). Pri IND, oţiue

103 6. Scheme de criptare cu cheie asimetrică 103 itrodusă de Goldwasser şi Micali [44], se îţelege faptul că u adversar u poate afla ici u fel de iformaţie cu privire la u mesaj avâd doar valoarea criptotextului aferet î mod ideal aceasta îseamă că ceea ce u adversar ştie avâd criptotextul, ştie şi fără criptotext. Pri NM, oţiue itrodusă î [30], se îţelege faptul că u adversar u poate costrui u criptotext avâd u criptotext dat la care u cuoaşte mesajul aferet astfel îcât ître mesajele aferete să existe o legătura cuoscută de către adversar. Noţiuea de IND a apărut sub diverse forme î literatura de specialitate, ditre acestea amitim: securitate sematică şi securitate poliomială (toate oţiuile au aceeaşi semificaţie î securitate). Mai mult, toate aceste obiective trebuie să fie atise î prezeţa uor adversari activi care pot fi împărţiţi î trei categorii: i) CPA (chose plaitext attack) desemează adversari care au acces la maşia de criptare. Este evidet că orice criptosistem cu cheie publică trebuie să fie rezistet CPA deoarece orice adversar are acces la maşia de criptare cheia de criptare fiid î mod evidet publică. Î acest ses u se discută iciodată de rezisteţa CPA a uui criptosistem cu cheie publică, aceasta fiid o ceriţă mai mult decât evidetă. ii) CCA1 (o-adaptive chose ciphertext attack) desemează adversari care au acces eadaptiv la maşia de decriptare. Mai exact adversarul are acces la maşia de decriptare pâă la mometul la care primeşte valoarea criptotextului care trebuie atacat, momet la care pierde accesul la maşia de decriptare. iii) CCA (adaptive chose ciphertext attack) desemează adversarii care au acces adaptiv la maşia de decriptare, adică accesul la maşiă rămâe valabil chiar şi după primirea valorii criptotextului care trebuie atacat. Deoarece atacul CCA1 este cosiderat oarecum perimat, adeseori î literatura de specialitate se vorbeşte doar de atac CCA pri acesta îţelegâdu-se de fapt atacul de tip CCA. Grupâd cele 3 obiective de securitate {IND, NM} cu cele 3 tipuri de adversari {CPA, CCA1, CCA} obţiem 6 oţiui de securitate î cazul criptosistemelor cu cheie publică, acestea sut:

104 104 Fucţii Criptografice, Fudamete Matematice şi Computaţioale IND-CPA, IND-CCA1, IND-CCA, NM-CPA, NM-CCA1, NM-CCA Lucrarea [9] este cea care a oferit prima abordare uitară a acestor oţiui de securitate defiid legăturile ître ele. Î Figura 6.13 sut sitetizate aceste legături, figura este uaim acceptată î domeiu. NM-CPA NM-CCA1 NM-CCA IND-CPA IND-CCA1 IND-CCA FIGURA RELAŢII ÎNTRE NOŢIUNI DE SECURITATE PENTRU CRIPTOSISTEME CU CHEIE PUBLICĂ (DEMONSTRATE ÎN [9]). Cel mai eseţial aspect î aceste relaţii este echivaleţa IND CCA NM CCA care îseamă că u criptosistem petru care u adversar cu acces adaptiv la maşia de criptare u poate asocia u criptotext uui mesaj, chiar dacă i se oferă mesajul origial şi u alt mesaj, cu o probabilitate mai mare de ½ atuci acest criptosistem este şi o-maleabil, adică u adversar avâd u criptotext u poate costrui u alt criptotext astfel îcât mesajele aferete să aibă vreo legătură cuoscută de adversar. Di puct de vedere formal rezisteţa IND-CCA poate fi defiită după cum urmează (preluăm defiiţia origială di lucrarea î care au fost demostrate aceste oţiui [9]):

105 6. Scheme de criptare cu cheie asimetrică 105 Defiiţia 6.1. (Rezisteţa IND-CPA, IND-CCA1, IND-CCA) Fie K, E, D, u adversar al criptosistemului criptosistemul, 1 at cpa, cca1, cca şi k u parametru de securitate. Defiim avatajul IND al adversarului împotriva criptosistemului ca fiid: Adv id atl, k k O 1 pk, sk K 1, x0, x1, s 1 pk, Pr 1 O b 0,1, y Epk xb : x0, x1, s, y b Avâd următoarele istaţe petru at, O 1 şi O : Dacă at cpa atuci O şi Dacă at cca1 Dacă at cca 1 O atuci O D şi O 1 sk atuci O D şi O D 1 sk sk Î paragraful următor, dedicat criptosistemelor cu cheie publică rezistete CCA vom lucra cu cazul at cca. Lucrarea de faţă edoridu-se a fi exhaustivă, u itroducem defiiţia petru proprietatea NM datorită echivaleţei IND CCA NM CCA (practic petru criptosistemele următoare odată demostrată rezisteţa IND-CCA aceasta implică şi rezisteţă NM-CCA) FUNCȚIA DE PADDING OAEP Propuerile geerice ale lui Bellare si Rogaway sut primele propueri cu securitate demostrată. Aceste propueri, pe lâgă importaţa istorică, fiid primele propueri cu securitate demostrată, sut eseţiale deoarece şi propueri ulterioare (de exemplu RSA-KEM di [79]) chiar dacă mult mai elaborate şi aparet mai complicate sut extrem de apropiate ca tehică costructivă de mecaismele iiţiale propuse de Bellare şi Rogaway.

106 106 Fucţii Criptografice, Fudamete Matematice şi Computaţioale Î [5] a fost itrodusă prima euristică î baza căreia se poate demostra securitatea î faţa adversarilor activi. Metoda are la bază utilizarea uui model umit modelul oracolului aleatoare ROM (Radom Oracle Model) şi are ca bază simularea comportametului fucţiilor hash ca fucţii perfect aleatoare (altfel spus modelul presupue că u poteţial adversar u poate face difereţa ître ieşirea uei fucţii aleatoare şi ieşirea uei fucţii hash). Modelul ROM a adus şi criticism di partea uor ume puterice î domeiu [0] dar î cele di urmă este sigura metodă la mometul actual de a demostra securitatea uui criptosistem. Criticismul are la bază faptul că desigur, î cele di urmă, o fucţie hash u este o fucţie aleatoare, deci Oracole Aleatoare u există î lumea reală, dar î cele di urmă modelul este acceptat ca fiid cel puţi u compromis şi reprezită cel puţi u test ecesar petru criptosisteme. U criptosistem care u este sigur î ROM u trebuie pus sub ici o formă î practică î timp ce u criptosistem care rezistă î ROM are şase bue ca şi î practică să u poată fi eficiet atacat. Totuşi trebuie meţioat că există criptosisteme care pot fi demostrate ca fiid sigure î ROM şi totuşi pot fi sparte deci problema de bază a modelului ROM este icompletitudiea. Două tehici de criptare sut itroduse î [6]: Criptarea CCA1. E x f r G r x are securitate IND î faţa adversarilor Criptarea E x f r Gr x H rx are securitate IND şi NM î faţa adversarilor CCA (la data publicării lucrării echivaleţa IND CCA NM CCA u era îcă demostrată aşa că î [6] se găsesc demostraţii separate petru cele două proprietăţi de securitate). Î criptosistemele de mai sus G este u geerator de umere aleatoare, H este o fucţie hash, iar f este o fucţie de criptare oarecare (î practică G şi H pot fi istaţiate cu o fucţie hash datorită comportametului fucţiilor hash similar cu fucţiile aleatoare). Nu este de mirare, că tot Bellare şi Rogaway itroduc prima tehică de criptare pe bază de RSA care este rezistetă CCA. Aceasta este biecuoscuta tehică de formatare (paddig) a mesajului OAEP (Optimal Asymmetric Ecryptio Paddig) folosită sub fucţia RSA, asamblu cuoscut sub umele de RSA-OAEP [6]. Î primul râd sut importate câteva meţiui istorice cu privire la OAEP. Bellare şi Rogaway au itrodus OAEP î [6] susţiâd că OAEP este o

107 6. Scheme de criptare cu cheie asimetrică 107 tehică de paddig care fucţioează petru orice fucţie oe-way trapdoor făcâd-o rezistetă î faţa atacurilor CCA. Ulterior Shoup [78] demostrează că OAEP u poate să garateze acest lucru petru orice fucţie, aducâd u cotraexemplu cu o fucţie XOR-maleabilă. Deficieţa descoperită de Shoup ridică mari seme de îtrebare cu privire la RSA-OAEP şi sut Fujisaki, Okamoto, Poitcheval şi Ster [40] cei care reuşesc să demostreze că RSA-OAEP este rezistetă CCA. Î cocluzie RSA-OAEP este u mecaism eficiet şi sigur de criptare folosid RSA. Cotiuăm cu descrierea acestui criptosistem. Fucţia de criptare f-oaep defieşte criptarea ca: E x f x Gr r H x G r. Se poate uşor observa că este vorba de icluderea uei reţele Feistel sub o fucţie oe-way cu trapă şi acest lucru se observă uşor î deseul di Figura OAEP este deci o tehică de paddig a cărei securitate este demostrată la ivelul utilizării fucţiei cu trapă RSA. Desigur există îsă şi alte fucţii cu trapă decât RSA-ul. Î acest cotext dezvoltarea uor metode cât mai variate de paddig a deveit ecesară. Probabil cea mai buă propuere este cea a lui Fujisaki si Okamoto. Pe scurt propuerea acestora este următoarea: criptarea E x E x r H x, r, ude r este o valoare aleatoare, H este o fucţie pk hash. Î modelul ROM Fujisaki şi Okamoto au demostrat că o astfel de criptare este rezistetă IND-CCA cu codiţia ca fucţia de criptare să fie sigură IND-CPA. Ître exemplele oferite de autori se află aplicarea uui astfel de paddig asupra schemelor Blum-Goldwasser, El-Gamal şi Okamoto-Uchiyama [39]. Această schemă de paddig mai este cuoscută şi sub umele de Ehaced Probabilistic Ecryptio. Îaite de a îcheia trebuie amitite şi criptosistemele de criptare hibridă rezistete IND/NM-CCA itroduse de Shoup şi Cramer î [7]. O soluţie aaloagă petru costrucţia de criptosisteme hibride rezistete CCA este î [57] (ulterior, [51] arată că o compoetă a criptosistemului di [54] u este rezistetă CCA). Este simplu de verificat şi rămâe ca exerciţiu petru cititor că folosid aceste tehici de paddig atacurile aterior arătate u mai fucţioează. Desigur prezetarea di acest capitol u este completă di două motive: primul este că u a fost prezetată ici o demostraţie formală cu privire la rezisteţa acestor criptosisteme şi al doilea este că u au fost oferite detalii complete cu privire la parametrii de securitate care trebui utilizaţi î practică (dimesiuile cheilor, ale valorilor aleatoare etc.). Tot ce am dorit î acest capitol a fost să trasăm ideea de rezisteţă IND/NM-CCA şi să schiţăm câteva soluţii petru aceasta, studiul î cotiuare rămââd deschis petru cititor. Î mediile de programare modere,

108 108 Fucţii Criptografice, Fudamete Matematice şi Computaţioale de exemplu.net, schema de criptare RSA este dispoibilă alături de paddigul OAEP (de altfel î.net ici u este posibilă folosirea ei fără paddig). f 0 k 1 m r G H 0 k 1 m G r 0 k 1 r H m G r FIGURA SCHEMA BLOC A FUNCŢIEI F-OAEP 6.16 FUNCȚIA DE PADDING PKCS Deşi u oferă u ivel de securitate la fel de bu ca OAEP, stadardele oferite de RSA Laboratories prescriu o schemă de paddig cuoscută şi sub umele de PKCS paddig. Aceasta apare î diverse implemetări practice, de exemplu î.net. Coform PKCS#1 (Public-Key Cryptography Stadards) [70] acest paddig costă î cocatearea uui octet cu valoarea 0, urmat de u octet cu valoarea, urmat de u umăr aleator de kd 3 bytes (ude d este dimesiuea mesajului) urmat de u octet cu valoarea 0. Astfel criptarea se e efectuează ca: radom m mod. Utilizarea acestui paddig este sigură î faţa atacurilor asupra variatei text-book idicate aterior şi permite recuperarea e-ambiguă a mesajului criptat (totuşi, acest paddig u are o demostraţie de securitate î faţa uui adversar activ CCA aşa cum are OAEP deci trebuie cosiderat mai slab ca securitate).

109 7 SCHEME DE SEMNARE DIGITALĂ Semăturile digitale reprezită echivaletul electroic al semăturilor de mâă, acest cocept fiid itrodus ca fucţioalitate adiţioală a criptosistemelor cu cheie publică de către Diffie şi Hellma î 1976 dar î abseţa uei scheme criptografice petru acest scop. Obiectivul pricipal de securitate pe care îl asigură semăturile digitale îl reprezită o-repudierea, şi aume faptul că o etitate odată ce a semat o iformaţie u poate ega că a emis acea iformaţie şi orice altă etitate eutră poate verifica acest lucru. 7.1 PROPRIETĂȚI ȘI CLASIFICARE: SEMNĂTURI CU APENDICE ȘI CU RECUPERAREA MESAJULUI Semăturile digitale reprezită deci o valoare umerică care leagă coţiutul uui mesaj de idetitatea uei etităţi (mai exact de o cheie privată cu care s-a efectuat semătura). Î cele mai multe cazuri, orice algoritm asimetric poate fi utilizat petru crearea uei semături digitale pri iversarea rolului cheii publice cu cea privată, iar primele propueri de semături digitale se găsesc î lucrările lui Rivest, Rabi şi ElGamal [67], [65], [33]. Subliiem că şi folosid algoritmi simetrici se pot crea semături digitale (umite semături oe-time [1], [13], [3], [61]) dar acestea sut rar utilizate î practică şi u sut relevate î cotextul prezetei lucrări. Defiiţia uei scheme de semătură digitală este următoarea: Defiiţia 7.1 (Schemă de semătură digitală). O schemă de semătură digitală costă îtr-u triplet de algoritmi: algoritmul geerare a cheii PK, SK Sig. Ge 1 k care primeşte ca parametru ivelul de securitate k şi returează perechea cheie publică-privată PK, SK, algoritmul de semare SigSK m Sig. Sig m, SK returează semătura sig SigSK m.,, care primeşte mesajul m şi cheia privată SK şi și algoritmul de verificare SigVer sig m PK care primeşte semătura sig, cheia privată SK şi mesajul m şi returează 1 doar dacă semătura este validă. Toate acestea alături de spaţiile di care provi datele de itrare ale acestora (care fără a pierde geeralitatea sut spaţii ale strigurilor biare).

110 110 Fucţii Criptografice, Fudamete Matematice şi Computaţioale Petru o semătură digitală folosim î geeral otaţia Sig A m pri aceasta îţelegâd semătura etităţii A asupra mesajului m. Semătură se efectuează îtotdeaua folosid cheia privată, di acest motiv putem folosi Sig m cu sau fără omializare etităţii dacă u este ecesară otaţia SK A (ueori se foloseşte chiar şi otaţia E SK A m, adică criptare cu cheia secretă). Î Figura 7.1 se prezită schema bloc a uei fucţii de semătură digitală. Câteva proprietăţi computaţioale ale semăturilor digitale trebuie amitite: i) trebuie să fie uşor de produs doar de către cel care semează mesajul (fucţia de semare trebuie să fie uşor de calculat), ii) trebuie să fie uşor de verificat de către oricie (fucţia de verificare trebuie să fie uşor de calculat), iii) trebuie să deţiă o durată de viaţă corespuzătoare (adică semătura să u poată fi falsificată pâă câd u mai este ecesară scopului î care a fost creată). Există două mari categorii disticte de semături digitale: i) Semături digitale cu recuperarea mesajului mesajul poate fi recuperat direct di semătura digitală. Cel mai simplu exemplu de costrucţie este pri iversarea rolului cheii publice şi private î cazul schemei RSA [67]. Petru a evita fraudarea lor este obligatorie folosirea uei fucţii de redudaţă asupra mesajului după care semătura propriuzisă se aplică asupra mesajului redudat. Acest lucru este sugerat î Figura 7.. ii) Semături digitale cu apedice (sau cu aexă) semături digitale di care mesajul u poate fi recuperat, drept care este trimis adiţioal ca aexă la semătura digitală. Se pot costrui uşor pri aplicarea uei fucţii hash asupra mesajului şi semarea hash-ului obţiut, vezi Figura 7.3. Datorită eficieţei computaţioale î semarea mesajelor de dimesiui mari (deoarece se semează efectiv doar hash-ul mesajului care are î jur de o sută, două sute de biţi idiferet de lugimea mesajului), aceste semături sut cele mai utilizate î practică. Totodată orice schemă de semătură digitală cu recuperarea mesajului poate fi uşor covertită î semătură cu apedice.

111 8. Scheme de Semare Digitală 111 SK m Fuctie de sematura Sig digitala eitate m m * SK ct., e. g., (ECC de la 160) Sig ( m) SK., e. g., A FIGURA 7.1. SCHEMA BLOC A UNEI FUNCŢII DE SEMNĂTURĂ DIGITALĂ CU ANEXĂ. De asemeea semăturile digitale pot fi clasificate î semături determiiste respectiv semături radomizate (o-determiiste) după cum algoritmul de semare foloseşte valori aleatoare şi returează sau u aceeaşi semătură petru acelaşi mesaj de fiecare dată. m R m Sig R m Rx Sig x m R(m) Sig(R(m)) A) Mecaismul de semare cu recuperarea mesajului Sig(R(m)) Sig 1 x R(m) R 1 x m B) Mecaismul de verificare a uei sematuri cu recuperarea mesajului (mesajul este recuperat di sematura si petru validitatea sematurii se verifica daca mesajul cotie bitii corespuzatori fuctiei de redudata ) FIGURA 7.. SCHEMA DE PRINCIPIU A UNEI SEMNĂTURI CU RECUPERAREA MESAJULUI.

112 11 Fucţii Criptografice, Fudamete Matematice şi Computaţioale O altă clasificare a algoritmilor de semătură mai poate fi î scheme de semătură de uică folosiţă (oe-time) sau petru folosire multiplă (multiple-time). Meţioăm că toţi algoritmii prezetaţi î acest capitol sut algoritmi cu folosire multiplă, cei petru semături de uică folosiţă efiid prezetaţi î cadrul acestei lucrări î special datorită abseţei lor î practică. FIGURA 7.3. SCHEMA DE PRINCIPIU A UNEI SEMNĂTURI CU ANEXĂ (APENDICE). 7. SEMNĂTURA DIGITALĂ RSA (VARIANTA TEXT-BOOK) Pricipiul costructiv care stă la baza semăturii digitale RSA este iversarea rolului cheii publice şi private petru a trasforma algoritmul de criptare î algoritm de semătură digitală.