6 장 . data encryption standard (des)
DESCRIPTION
6 장 . Data Encryption Standard (DES). 경일대학교 사이버보안학과 김 현 성 교수. 목차. 6.1 개요 6.2 DES 의 구조 6.3 DES 분석 6.4 다중 DES 6.5 DES 의 안전성. 6.1 개요. DES 대칭키 블록암호로 미국 국립기술표준원 (NIST, National Institute of Standards Technology) 에서 공표 이 절의 내용 역사 (History) 개요 ( Overview). 6.1 개요 – 역사. - PowerPoint PPT PresentationTRANSCRIPT
1
경일대학교 사이버보안학과 김 현 성 교수
2
목차6.1 개요6.2 DES 의 구조6.3 DES 분석6.4 다중 DES6.5 DES 의 안전성
3
6.1 개요DES
대칭키 블록암호로 미국 국립기술표준원 (NIST, National Institute of Standards Technology)에서 공표
이 절의 내용역사 (History)개요 (Overview)
4
6.1 개요 – 역사미국 국립기술표준원 (NIST)
1973 년 , 국가적으로 사용할 대칭키 암호시스템의 제안 요청서를 발표
Lucifer 프로젝트의 수정판인 IBM 의 제안이 DES 로 채택 루시퍼 암호 (Lucifer Cipher)
DES 의 바탕이 되었던 암호시스템 개발자는 IBM 의 호스트 파이스텔 (Horst Feistel)
1975 년 , 연방정보처리기준 (FIPS, Federal Information processing Standard) 의 초안 (draft) 로 공표
1977 년 , 연방관보에 FIPS 46 이란 이름으로 발표그 후 , DES 를 세 번 반복하는 삼중 DES 의 사용을 권고하는
새로운 표준 (FIPS 46-3) 발표
5
6.1 개요 – 역사 ( 계속 )DES 초안에 대한 비판
56 비트 키 사이즈 전수조사 공격에 대해 취약
DES 내부 구조 안에 감춰진 설계에 대한 염려 S- 박스에 트랩도어 (trapdoor) 가 숨겨져 있다고 생각
2000 년 , DES 를 대체하기 위한 최신 블록암호 표준 AES 를 제정
세계 최초로 표준화된 상용 암호
6
6.1 개요 – 개관[ 그림 6.1] DES 의 암호화와 복호화 과정
7
6.2 DES 의 구조암호화 과정
두 개의 치환 (P- 박스 ) 과 16 개의 Feistel 라운드 함수로 구성
이 절의 내용초기치환과 최종치환 (Initial and Final
Permutations)라운드 (Rounds)암호화와 복호화 (Cipher and Reverse Cipher)예 (Examples)
8
6.2 DES 의 구조 ( 계속 )[ 그림 6.2] DES 의 일반적인 구조
9
6.2 DES 의 구조 - 초기치환과 최종치환초기치환 (IP) 과 최종치환 (IP-1)
서로 역의 관계이며 , 키가 없는 단순 치환[ 그림 6.3] DES 에서 초기치환과 최종치환 단계
10
6.2 DES 의 구조 - 초기치환과 최종치환 ( 계속 )[ 표 6.1] 초기 /최종 치환 표
초기치환과 최종치환은 암호학적으로 중요하지 않음키와 관련 없는 이미 고정된 하나의 함수
11
6.2 DES 의 구조 - 초기치환과 최종치환 ( 계속 )[ 예제 6.1]
입력 값이 다음과 같은 16 진수일 때 초기치환에 의한 출력 값을 찾아라 .
0x0002 0000 0000 0001
[ 풀이 ] 입력 값은 최상위 비트 위치로부터 15 번째 비트와 64 번째 비트에만 1 의 값이 있기 때문에 64-비트 출력 값은 두 군데의 비트에만 1 의 값을 갖는다 .
0x0000 0080 0000 0002
12
6.2 DES 의 구조 - 초기치환과 최종치환 ( 계속 )[ 예제 6.2]
최종치환의 입력 값이 다음과 같을 경우 , 최종 치환의 출력 값을 찾음으로 두 치환이 서로 역의 관계임을 증명하여라 .
0x0000 0080 0000 0002
[ 풀이 ] 25 번째와 63 번째 비트 값만 1 이고 , 나머지 비트 값들은 모두 0 이다 . 최종 치환에서 입력 값의 25 번째 비트는 출력 값의 64 번째 비트가 되고 , 입력 값의 63 번째 비트는 출력 값의 15 번째 비트가 된다 . 따라서 16 진수로 나타낸 결과는 다음과 같다 . 따라서 두 치환은 역의 관계임을 알 수 있다 .
0x0002 0000 0000 0001
13
6.2 DES 의 구조 - 라운드 함수16 번의 라운드 함수를 사용
각 라운드 함수는 Feistel 암호각 라운드
혼합기 (mixer) 와 스와퍼 (swapper) 로 구성 역 연산이 가능 스와퍼 : 절반 교환 혼합기 : 단순한 XOR 연산 그 외 비가역 요소 : 함수 f(RI-1, KI) 안에 모여 있음
14
6.2 DES 의 구조 - 라운드 함수 ( 계속 )[ 그림 6.4] DES 의 라운드함수 ( 암호화 과정 )
15
6.2 DES 의 구조 - 라운드 함수 ( 계속 )DES 의 핵심은 DES 함수
라운드 함수에 사용된 f(RI-1, KI ) 를 의미함 32- 비트 출력 값을 산출하기 위하여 오른쪽 32- 비트
(RI-1) 에 48- 비트 키를 적용
DES 함수의 구성확장 P- 박스키 XOR8 개의 S- 박스단순 P- 박스
16
6.2 DES 의 구조 - 라운드 함수 ( 계속 )[ 그림 6.5] DES 함수
17
6.2 DES 의 구조 - 라운드 함수 ( 계속 )확장 P- 박스 (Expansion P-box)
RI−1 는 32- 비트 입력 값이고 , KI 는 48- 비트 라운드 키이기 때문에 우선 32- 비트 RI−1 을 48- 비트 값으로 확장할 필요가 있음
[ 그림 6.6] 확장치환
18
6.2 DES 의 구조 - 라운드 함수 ( 계속 )[ 표 6.2] 확장 P- 박스 표
19
6.2 DES 의 구조 - 라운드 함수 ( 계속 )Whitener (XOR)
확장치환을 적용한 이후에 , 확장치환의 출력 값에 라운드 키를 XOR 연산
확장치환의 출력 값과 라운드 키 값 모두 48- 비트라운드 키는 이 연산에서만 사용
20
6.2 DES 의 구조 - 라운드 함수 ( 계속 )S-Boxes
실제로 섞어주는 역할을 수행즉 혼돈 (confusion) 역할 수행8 개의 S- 박스를 사용
각 6- 비트 입력 값과 4- 비트 출력 값을 갖음[ 그림 6.7] S- 박스
21
6.2 DES 의 구조 - 라운드 함수 ( 계속 )[ 그림 6.8] S- 박스 규칙
22
6.2 DES 의 구조 - 라운드 함수 ( 계속 )[ 표 6.3] S-box 1
23
6.2 DES 의 구조 - 라운드 함수 ( 계속 )[ 예제 6.3]
S- 박스 1 의 입력이 100011 이다 . 출력은 무엇인가 ?
[ 풀이 ] 첫 번째와 여섯 번째 비트를 합쳐서 쓰면 2진수로 11 을 얻는데 , 10 진수로 3 이다 . 남아있는 비트는 2 진수로 0001 을 얻는데 , 10 진수로 1 이다 . 표 6.3(S- 박스 1) 에서 3 행 1 열에 있는 값을 찾는다 . 그 결과는 10 진수로 12 인데 , 2 진수로 1100 이다 . 그래서 입력 100011 은 출력 1100 을 산출한다 .
24
6.2 DES 의 구조 - 라운드 함수 ( 계속 )단순 치환 (Straight Permutation)
DES 함수에서 마지막 연산32- 비트 입력과 32- 비트 출력[ 표 6.11] 단순 치환표
25
6.2 DES 의 구조 - 암호 알고리즘과 복호 알고리즘혼합기 (mixer) 와 스와퍼 (swapper) 를
사용함으로써 16 라운드를 갖는 암호 알고리즘과 복호 알고리즘 (reverse cipher) 을 만들 수 있음
첫 번째 접근방법마지막 라운드 ( 라운드 16) 함수를 swapper 가
없고 mixer 만 존재하도록 만듦
26
6.2 DES 의 구조 - 암호 알고리즘과 복호 알고리즘 (계속 )[ 그림 6.9] 첫 번째 접근방법에의한 DES 암호 알고리즘과 복호 알고리즘
27
6.2 DES 의 구조 - 암호 알고리즘과 복호 알고리즘 (계속 )[ 알고리즘 6.1] DES 암호화 과정에 대한 의사코드
28
6.2 DES 의 구조 - 암호 알고리즘과 복호 알고리즘 (계속 )[ 알고리즘 6.1] ( 계속 )
29
6.2 DES 의 구조 - 암호 알고리즘과 복호 알고리즘 (계속 )[ 알고리즘 6.1] ( 계속 )
30
6.2 DES 의 구조 - 암호 알고리즘과 복호 알고리즘 (계속 )[ 알고리즘 6.1] ( 계속 )
31
6.2 DES 의 구조 - 암호 알고리즘과 복호 알고리즘 (계속 )두번째 접근 방법
동일한 라운드를 16 번 반복 사용한 후 , 마지막 라운드에 스와퍼를 추가하는 방법
마지막 라운드에는 두 개의 스와퍼가 연속 사용되므로 서로 상쇄 .
키 생성 (Key Generation)라운드 키 생성기 (round-key generator) 는 56-
비트 암호키로부터 16 개의 48- 비트 라운드 키를 만들어 낸다 .
32
6.2 DES 의 구조 - 암호 알고리즘과 복호 알고리즘 (계속 )[ 그림 6.10] 키 생성
33
6.2 DES 의 구조 - 암호 알고리즘과 복호 알고리즘 (계속 )[ 표 6.12] 패리티 비트 제거 표
[ 표 6.13] 순환 이동 비트 량
34
6.2 DES 의 구조 - 암호 알고리즘과 복호 알고리즘 (계속 )축소치환 (P- 박스 )
56- 비트를 48- 비트로 바꾸는 데 사용 48- 비트 출력은 한 라운드의 라운드 키로 사용 [ 표 6.14] 키 축소 표
35
6.2 DES 의 구조 - 암호 알고리즘과 복호 알고리즘 (계속 )[ 알고리즘 6.2] 라운드 키 생성을 위한 알고리즘
36
6.2 DES 의 구조 - 암호 알고리즘과 복호 알고리즘 (계속 )[ 알고리즘 6.2] 라운드 키 생성을 위한 알고리즘
( 계속 )
37
6.2 DES 의 구조 - 암호 알고리즘과 복호 알고리즘 (계속 )[ 예제 6.5]
평문 블록과 키를 랜덤하게 선택한 후 , 16 진수 형태의 암호문 블록 :
[ 표 6.15] 예제 6.5 의 데이터의 결과
38
6.2 DES 의 구조 - 암호 알고리즘과 복호 알고리즘 (계속 )[ 표 6.15] 예제 6.5 의 데이터의 결과 ( 계속 )
39
6.2 DES 의 구조 - 암호 알고리즘과 복호 알고리즘 (계속 )[ 예제 6.6]
수신자 (destination) 인 Bob 이 어떻게 동일한 키를 사용하는 Alice 로부터 받은 암호문을 해독할 수 있는지 보자 .
40
6.3 DES 분석이 절의 내용
성질 (Properties)설계 기준 (Design Criteria)DES 약점 (DES Weaknesses)
41
6.3 DES 분석 - 성질블록암호에서 요구되는 2 가지 성질
쇄도효과 (avalanche effect)완비성 효과 (completeness effect)
[ 예제 6.7]DES 에서 쇄도효과를 검사하기 위하여 , 1 비트만
다른 2 개의 평문 블록을 동일한 키를 가지고 암호화하고 , 각 라운드 출력 값들의 차이를 관찰하자 .
42
6.3 DES 분석 – 성질 ( 계속 )[ 예제 6.7 계속 ]
2 개의 평문 블록이 가장 오른쪽의 비트만 다를지라도 , 암호문은 29 비트가 다름을 알 수 있다 . 이것은 평문의 약 1.5 퍼센트가 변하는 것은 암호문에서 약 45 퍼센트의 변화를 만들어낼 수 있다는 것을 의미한다 . 표 6.17 은 각 라운드에서 발생하는 변화를 보여준다 . 그리고 세 번째 라운드에서 이미 상당한 변화들이 생김을 알 수 있다 .
[ 표 6.17] 예 6.7 에 대한 비트 차이의 개수
43
6.3 DES 분석 – 성질 ( 계속 )쇄도효과 (Avalanche effect)
평문 ( 또는 키 ) 에서 작은 변화가 암호문에서는 상당한 변화를 야기하는것을 의미
완비성 효과 (Completeness effect)암호문의 각 비트는 평문의 많은 비트들에 의존할
필요가 있다는 것을 의미DES 에서 P- 박스와 S- 박스에 의해 야기된 확산
(diffusion) 과 혼돈 (confusion) 은 매우 강한 완비성 효과를 보여줌
44
6.3 DES 분석 – 성질 ( 계속 )S- 박스
각 라운드로부터 그 다음 라운드까지 혼돈과 확산 성질을 만족하게끔 설계
P- 박스P- 박스는 비트들을 확산 (diffusion) 시킴
라운드 수DES 는 각 라운드가 Feistel 암호인 16 개의 라운드로
구성8 라운드 이후에는 각 암호문이 모든 평문 비트와 키 비트의
함수임이 증명즉 평문을 입력으로 받아 암호문을 출력하는 랜덤 함수
45
6.3 DES 분석 – DES 의 취약성분석가들은 DES 에서 몇 가지 취약성을 찾아냄 암호 설계에서의 취약점
1. S-box 의 취약점2. P-box 의 취약점3. Key 의 취약점 – 키크기 , 취약키 , 준 취약키 , 가능한 취약
키 . [ 표 6.18] Weak keys
46
6.3 DES 분석 – DES 의 취약성 ( 계속 )표 6.18 에 있는 첫 번째 취약키를 가지고 두 번
암호화하면 본래의 평문 블록이 만들어짐
47
6.3 DES 분석 – DES 의 취약성 ( 계속 )[ 그림 6.11] 취약키를 가진 2 중 암호화와 복호화
48
6.3 DES 분석 – DES 의 취약성 ( 계속 )[ 표 6.19] 준 취약키
준 취약키라 불리는 6개의 키 쌍이 있음준 취약키는 오직 두 가지 다른 형태의 라운드 키만을 생성각 라운드 키는 8 번씩 반복됨하나의 쌍으로 묶인 두 개의 준 취약키는 순서만 다를 뿐 동일한
라운드 키를 생성
49
6.3 DES 분석 – DES 의 취약성 ( 계속 )첫번째 준 취약키 쌍으로 라운드 키들을 생성
50
6.3 DES 분석 – DES 의 취약성 ( 계속 )[ 그림 6.12] 암호화 및 복호화에서의 준 취약키 쌍
51
6.3 DES 분석 – DES 의 취약성 ( 계속 )[ 예제 6.9]
취약키 , 준 취약키 또는 가능한 취약키를 임의로 선택할 확률은 얼마인가 ?
( 풀이 ) DES 는 256 개의 원소로 이루어진 키 집합을 갖는다 . 취약키 , 준 취약키 또는 가능한 취약키의 총 개수는 64 (4 + 12 + 48) 이다 . 이런 키들이 선택될 확률은 8.8 × 10−16 이기 때문에 , 위의 키들이 선택되는 것은 불가능함을 알 수 있다 .
52
6.3 DES 분석 – DES 의 취약성 ( 계속 )키 보수 (Key Complement)
사이즈가 256 인 키 집합에서 원소들 중의 반은 나머지 반의 보수(complement) 로 표현됨
키의 보수는 키에서 각 비트를 거꾸로 함 (0 을 1 로 바꾸거나 1을 0 으로 바꾸는 것 ) 으로서 만들어짐
키 보수는 암호해독의 작업을 간단하게 하는가 ? 그렇다 . Eve 는 키의 전수조사 공격을 수행하기 위해서 가능한
후보키들 중의 절반 (255 가지 ) 만을 이용하면 됨 이는 다음과 같은 이유 때문
즉 , 키와 평문에 모두 보수를 취하여 암호화하면 , 원래의 암호문의 보수인 암호문을 얻게 됨
Eve 는 모든 256 개의 가능한 키들을 모두 검사하지 않고 , 절반만 검사하고 , 나머지 키에 대해서는 보수 성질을 이용하여 값을 얻음
),( ),( PKECPKEC
53
6.3 DES 분석 – DES 의 취약성 ( 계속 )[ 예제 6.10]
보수 키들에 대한 성질을 조사해 보자 . 먼저 임의의 키와 평문을 사용하여 대응되는 암호문을
얻는다 . 그러고 나서 만약 키와 평문에 보수를 취하면 , 이전에 얻은
암호문에 대한 보수를 얻게 된다 . [ 표 6.20] 예제 6.10 의 결과
54
6.4 다중 DESDES 에 대한 주요 비판
키 길이현재 이용 가능한 기술력과 병렬 처리 기능을 이용하면 ,
DES 에 대한 전수조사 공격이 실행 가능해결책
DES 를 폐기하고 새로운 알고리즘을 설계 여러 개의 키를 가지고 DES 를 여러 번 암호화
이 절의 내용다중 DES (Double DES)삼중 DES (Triple DES)
55
6.4 다중 DES ( 계속 )[ 그림 6.13] 함수의 합성
56
6.4 다중 DES - 이중 DES (계속 )이중 DES
두 번 암호화 , 두 번 복호화각 암호화에 대해 서로 다른 두 개의 키 사용다음과 같은 기지 평문 공격에 취약
중간일치 공격 (Meet-in-the-Middle Attack)얼핏 보기에 , 이중 DES 는 키를 탐색하기 위한 탐색 횟수가 256 번 ( 하나의 DES 에 대응 ) 에서 2112 번 ( 두 개의 DES 에 대응 ) 으로 증가하는 것처럼 보임
그러나 중간일치공격과 같은 기지평문공격을 사용하면 2112 가 아닌 257 으로 약간의 향상만이 있을 뿐임을 증명할 수 있음
57
6.4 다중 DES - 이중 DES (계속 )[ 그림 6.14] 이중 DES 에 대한 중간일치 공격
58
6.4 다중 DES - 이중 DES (계속 )[ 그림 6.15] 중간일치 공격에 대한 표
59
6.4 다중 DES - 삼중 DES[ 그림 6.16] 2 개의 키를 갖는 삼중 DES
60
6.4 다중 DES - 삼중 DES (계속 )2 개의 키를 갖는 삼중 DES
기지 평문 공격에 역시 취약할지라도 2 중 DES 보다는 훨씬 강함
은행과 같은 금융기관에 채택
61
6.4 다중 DES - 삼중 DES (계속 )3 개의 키를 갖는 삼중 DES
2 개의 키를 갖는 삼중 DES 에 대한 기지평문공격의 가능성 때문에 어떤 응용프로그램은 3 개의 키 (k1, k2, k3) 를 갖는 삼중 DES 를 사용 암호화 : EDE 복호화 : DED
PGP 와 같은 많은 응용 프로그램에서 사용되고 있음 16 장을 참고
62
6.5 DES 의 안전성이 절의 내용
전수조사 공격 (Brute-Force Attack)차분 공격 (Differential Cryptanalysis)선형 분석 (Linear Cryptanalysis)
63
6.5 DES 의 안전성 - 전수조사 공격DES 는 짧은 암호키를 사용한다는 취약성이 있음 키 보수 성질과 같은 취약성을 이용하면 , 255 번의
DES 암호화 과정을 통해서 키를 찾을 수 있음
64
6.5 DES 의 안전성 - 차분 공격DES 에 대한 차분 공격
DES 의 설계자들은 차분공격에 대하여 이미 알고 있는 상태에서 S- 박스를 설계했음
DES 가 이런 종류의 공격에 특히 안전성을 갖도록 라운드 수를 16 으로 선택했다는 것이 후에 밝혀졌음
247 개의 선택 평문 또는 255 개의 기지 평문이 있다면 성공할 수 있음
그러나 , 이것은 비현실적즉 , DES 는 차분 공격에 대한 저항성이 있음부록 N 에서 DES 차분 공격의 예제를 보여줌
65
6.5 DES 의 안전성 - 선형 공격DES 에 대한 선형 공격
선형공격은 차분공격보다 나중에 개발되었음선형공격은 DES 의 설계자들에게 알려지지 않았기
때문에 DES 는 선형공격에 더 취약 S- 박스는 선형공격에 대해 좋은 저항성을 갖지 않음 DES 를 243 개의 기지 평문 쌍을 가지고 깰 수 있음 하지만 , 실제적인 관점에서 그렇게 많은 평문 쌍을 얻는 것은 비현실적임
부록 N 에서 DES 선형 공격의 예제를 보여줌