aula07.criptografia.simetrica

5/14/2018 aula07.criptografia.simetrica - slidepdf.com

http://slidepdf.com/reader/full/aula07criptografiasimetrica 1/64

Prof. [email protected]



Agenda

Cifras de Bloco e Cifras de Feistel DES

DES Duplo e 3DES

AES Modos de Operação das Cifras Simétricas



Agenda


DES Duplo e 3DES




Cifras de Bloco Modernas

A maioria dos algoritmos de criptografia de blocosimétrico usados atualmente baseia-se em umaestrutura conhecida como cifra de bloco de Feistel.

criptografia

Provê segurança e serviços de autenticação



Cifras de Bloco x Fluxo

Cifras de bloco processam mensagem em blocos, cadaqual é então criptografado / decriptografado

Pode ser tratado como se fosse uma substituição em

caracteres em gran es 4- ts ou ma s Cifras de fluxo processam a mensagem bit a bit, ou

byte a byte enquanto criptografam e decriptografam

Muitas cifras atuais são cifras de blocos



Cifras de Bloco x Fluxo



Princípios da Cifra de Bloco Em geral, são baseados na estrutura da Cifra de Feistel

Opera sobre um bloco de texto claro de n bits para produzirum bloco de texto cifrado de n bits.

Existem 2n diferentes blocos de texto claro possíveis e, para

a criptografia ser reversível, cada um produz um únicobloco de texto cifrado.

Texto Claro Texto cifrado00 11

01 10

10 00

11 01

Texto Claro Texto cifrado00 11

01 10

10 01

11 01

Mapeamento reversível Mapeamento irreversível



Cifra de Bloco Ideal



Princípios da Cifra de Bloco Seriam necessários 264 entradas para um bloco de 64-bit Cifra de bloco ideal: é aquela que permite o número

máximo de mapeamentos de criptografia possíveis a partirdo bloco de texto claro.

Problema: se for usada em um tamanho de bloco pequeno,como n = 4, o sistema será equivalente a uma cifra desubstituição clássica.

Vimos: vulnerabilidades na análise estatística do texto Se n for suficiente grande, então as características

estatísticas do texto de origem serão mascaradas a tal pontoque esse tipo de criptoanálise será inviável.



Shannon e Cifras de Subsituição eTransposição

Shannon introduziu a idéia de redes desubstituição e transposição em 1949.

Formam a base de cifras de bloco modernas

Conceito de cifra de produto: execução de duasoperações simples em sequência, de tal forma queo resultado final seja mais forte.

SubstituiçãoPermutação

Provê confusão e difusão da mensagem e da chave



Confusão e Difusão As cifras precisam esconder por completo as

propriedades estatísticas da mensagem original A Cifra one-time pad faz isso ,

substituição e transposição para obter: difusão – busca tornar o relacionamento estatístico

entre o texto claro e cifrado o mais complexo possível

confusão – busca tornar o relacionamento entre asestatísticas do texto cifrado e o valor da chave decriptografia o mais complexo possível



Estrutura da Cifra de Feistel

Baseado no conceito da inversibilidade das cifras deproduto

Divide-se o bloco de entrada em duas metades

processa o por n ro a as que s o respons ve s por Realizar substituição na metade esquerda dos dados

Baseados na função rodada da metade direita e da sub-chave

Então é realizada a permutação, trocando-se as metades

Implementa o conceito de Shannon, que implementa oconceito de Substituição e Permutação (S-P)



Parâmetros de Projeto para a

Cifra de FeistelTamanho do bloco: Tamanhos maiores significam

maior segurança, mas reduzem a velocidade decriptografia/decriptografia para determinadoalgoritmo.

:significa maior segurança, mas pode diminuir a velocidade de criptografia/decriptografia paradeterminado algoritmo. A maior segurança éalcançada pela maior resistência a ataques de forçabruta e maior confusão.

Número de rodadas: A essência da cifra de Feistel éque uma única rodada oferece segurança inadequada,mas que várias rodadas oferecem maior segurança. Umtamanho típico são 16 rodadas.



Parâmetros de Projeto para aCifra de Feistel Algoritmo de geração da sub-chave: Maior

complexidade no algoritmo deverá levar a maiordificuldade de criptoanálise.

Função da rodada: Novamente, maior complexidade.

Criptografia/decriptografia rápida em software:Em muitos casos, a criptografia é embutida nasaplicações ou funções utilitárias de tal maneira queimpede uma implementação por hardware. Emconsequência, a velocidade torna-se uma preocupação.

Facilidade de análise: Possibilita buscar por vulnerabilidades criptoanalíticas para desenvolver um

nível mais alto de garantia quanto à sua força.



Agenda


DES Duplo e 3DES




Data Encryption Standard (DES) Cifra de Bloco mais utilizada em todo o mundo Adotada em 1977 pela NBS (hoje NIST – National

Institute of Standards and Technology)

Standard 46) Criptografa 64-bits de dados utilizando uma chave de

56-bits.

É bastante utilizado Tem sido tema de muita controvérsia com relação à sua

segurança.



História do DES No final dos anos 60, a IBM criou a cifra de Lucifer

Liderado por Horst Feistel Blocos de dados de 64-bit com uma chave de 128-bit.

com orientação da NSA e outros em 1973 NBS ( National Bureau of Standards) emitiu

uma solicitação de propostas para um padrão de cifra

nacional IBM enviou o padrão Lucifer revisado, que foi aceito e

adotado como o DES



Críticas no Projeto do DES Antes da adoção como um padrão, o DES proposto esteve

sujeto a uma imensa crítica, que não diminuiu até hoje O projeto do DES foi bastante criticado nesses pontos:

Escolha do tamanho de chave de 56-bits (contra os 128-bits doalgoritmo Lucifer)

s cr t r os e pro eto para a estrutura nterna o , as ca xas- ,eram confidenciais.

Eventos subsequentes, principalmente trabalhos recentesde criptoanálise diferencial mostram que a estruturainterna do DES é muito forte

Uso do DES floresceu Especialmente em aplicações financeiras Ainda padronizada para aplicações legadas



Visão Geral do DES



Permutação Inicial (IP)Primeira etapa do processamento dos dados, são definidas

por tabelas.

Bits pares -> metade esqueda, bit ímpares metade direita.

Regular na estrutura (fácil implementar em software ehardware)IP(675a6967 5e5a6b5a) = (ffb2194d 004df6fb)

58 50 42 34 26 18 10 2

60 52 44 36 28 20 12 4

62 54 46 38 30 22 14 6

64 56 48 40 32 24 16 857 49 41 33 25 17 9 1

59 51 43 35 27 19 11 3

61 53 45 37 29 21 13 5

63 55 47 39 31 23 15 7

40 8 48 16 56 24 64 32

39 7 47 15 55 23 63 31

38 6 46 14 54 22 62 30

37 5 45 13 53 21 61 2936 4 44 12 52 20 60 28

35 3 43 11 51 19 59 27

34 2 42 10 50 18 58 26

33 1 41 9 49 17 57 25

Permutação Inicial (IP) Permutação Inicial Inversa (IP)-1



Estrutura de uma rodada - DES Usa 32-bits, metades Direita e Esquera Como toda cifra de Feistel, pode ser descrita como:

Li = Ri–1

i i–1 i–1, i

F usa os 32-bit da metade direita e 48-bit da sub-chave: Expandir metade direita para 48-bits usando tabela E Adicione a sub-chave utilizando XOR

Passar pelas 8 caixas-S para chegar ao resultado com 32-bit

Permutar então, usando a tabela P 32-bit



DES Round Structure



Caixas E e P

32 1 2 3 4 5

4 5 6 7 8 9

8 9 10 11 12 13

12 13 14 15 16 17

16 17 18 19 20 21

20 21 22 23 24 25

24 25 26 27 28 2928 29 30 31 32 1

16 7 20 21 29 12 28 17

1 15 23 26 5 18 31 10

2 8 24 14 32 27 3 9

19 13 30 6 22 11 4 25

Permutação de expansão (E)

Permutação de permutação (P)



Caixas de Substituição SPossuem oito caixas S que mapeiam 6 para 4 bitsNa verdade, cada caixa-S são 4 pequenas caixas de 4

bits.

para selecionar uma das quatro subsituições definidas.Os quatro bits do meio, selecionam uma das dezesseis

colunas.O valor decimal na célula selecionada pela linha e coluna

é então convertido em sua representação de 4 bits paraproduzir a saída.



Exemplo de uma Caixa S Caixa S

1

14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7

0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 8

Entrada 011001 nessa caixa S

Bits mais externos 01 - linha 1 Bits internos 1100 – coluna 12

Saída será 9 em binários, ou seja, 1001

4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0

15 12 8 2 4 9 1 7 5 11 3 14 10 0 6 13



Geração de ChaveForma cada sub-chave utilizada em cada rodadaPermutação inicial da chave que seleciona 56-bits em

duas metades de 28-bits

Rotacionar cada metade em 1 ou 2 bits dependendo da tabela

de rotação K

Os valores deslocados servem como entrada para a rodadaseguinte. Eles também servem como entrada para a EscolhaPermutada Dois, que produz uma saída de 48 bits, que servecomo entrada para a função F(R i-1,K)



Decriptografia DES

Usa o mesmo algoritmo de criptografia Usa as sub-chaves em ordem inversa (SK16 … SK1)

Permutação Inicial desfaz o que a Permutação Finaltin a feito

1a. Rodada com a chave SK16 desfaz a 16a. rodada

….

16a. Rodada com a chave SK1 desfaz a 1a. rodada

Então, a Permutação Final desfaz a Permutação Inicial

Recuperando os dados iniciais



Exemplo do DES



Efeito Avalanche no DES



Efeito Avalanche Uma mudança no texto claro ou na chave deve realizar

grandes mudanças no texto cifrado

A mudança em um bit deve modificar

Fazendo tentativas de advinhação de chaves quaseimpossíveis

DES mostra um grande efeito avalanche



Força do DES – Tamanho da

Chave 56-bit chaves significam 256 = 7.2 x 1016 possibilidades

Força bruta parece difícil

Avanços recentes mostraram que é possível

em 1997 – alguns meses em 1998 – alguns dias

em 1999 – 22 horas!

Ainda é necessário reconhecer o texto em claro Consideraremos alternativas ao DES



Força do DES – Ataque Analítico

Existem alguns ataques analíticos no DESUtilizam alguma estrutura específica da cifraBuscando informações sobre as encriptações

v

das sub-chaves Se necessário, realiza uma busca exaustiva no restante

Geralmente são ataques estatísticos chamados

Criptoanálise diferencialCriptoanálise linear Ataques relacionados a chaves



Força do DES – Ataques deTemporização

Ataque utilizando a implementação da cifra

Explora o fato de um algoritmo de criptografia /decriptografia normalmente exigir quantidades

entradas.Isso permite ter uma idéia de como é a chave

O DES se mostrou forte quanto a esse tipo de ataque



Agenda Cifras de Bloco e Cifras de Feistel

DES

DES Duplo e 3DES




DES e Criptografia Múltipla Dado a vulnerabilidade em potencial do DES a um

ataque por força bruta, tem havido um grandeinteresse na busca por uma alternativa

.

cifra AES entra nesse caso. Outra opção, que preservaria o investimento inicial

seria utilizar criptografia múltipla com DES e chaves

múltiplas. O DES Triplo (3DES) tem sido bastante aceito.



Duplo DES? Pode-se usar 2 criptografias DES simultâneas em cada

bloco, matematicamente mostrados abaixo. C = EK2(EK1(P))

Questão da redução a um único estágio. Existiria uma

forma de fazer com que? C = EK2(EK1(P)) = EK3(P)

Ao que tudo indica não há. Isso foi comprovado em

1992.



Duplo DES? Ataque “meet-in-the-middle”

Leve em consideração as equações abaixo Se -> C = EK2(EK1(P))

Então -> X = EK1(P) = DK2(C)

Dado um ar conhecido P C

Criptografe P para todos os 256 valores possíveis de K1

Armazene esses resultados em uma tabela e organize-ade acordo com todos os valores de X

Em seguida, decriptografe C usando todos os 256

valoresda chave K2. À medida que cada texto for gerado,compare com o valor da tabela anterior em busca dealguma correspondência.



Duplo DES Se houver uma correspondência, então compare as duas

chaves resultantes com um novo par de texto claro / textocifrado conhecido.

Se as duas cha es roduzirem o texto cifrado correto

aceite-as como sendo as chaves corretas. Logo: ataque de texto claro / texto cifrado conhecidos.

Possível quebrar o Duplo DES.

Possível mostrar que levaO(256)

passos



Triplo-DES com Duas Chaves Usa-se então 3 estágios;

Seria necessário então utilizar 3 chaves diferentes

Foi mostrado que poderia-se utilizar 2 chavesutilizando a função na sequência criptografar –decriptografar e criptografar novamente.

atemat camente: C = EK1(DK2(EK1(P)))

Padrões de gerenciamento de chaves: ANSI X9.17 & ISO8732

Não existem ataques praticáveis atualmente Alguns ataques impraticáveis foram propostos, podem

se tornar base de ataques futuros



Triplo DES com Três Chaves Apesar de não existirem ataques praticáveis com o

Triplo DES de duas chaves, existem alguns indícios Pode-se utilizar o Triplo DES com Três Chaves, para

, C = EK3(DK2(EK1(P)))

Vem sendo adotado por algumas aplicações dainternet. Ex: PGP, S/MIME




DES

DES Duplo e 3DES




Algoritmo AES

AES – Advanced Encryption Standard Padrão relativamente novo (nov/2001) do NIST para chaves

simétricas, substituindo o DES, pois a chave criptográficado DES e 3DES estavam sendo consideradas muitopequenas

Processa dados em blocos de 128 bits As chaves criptográficas possuem tamanho variável, e

podem possuir comprimento de 128, 192, ou 256 bits



Algoritmo AESBlocos de

Cifragem

Tamanho da

chave

Número de

iterações

128 bits 128 bits 10

198 bits 12

256 bits 14



Algoritmo AES – chave de 128 bits

Compressão e Criptografia de Dados



Algoritmo AES A principal diferença do AES não está no algoritmo em si,

porém no processo de geração das chaves para o processo

No DES e 3DES, a geração das sub-chaves utiliza umprocesso muito curto, no AES este processo écomputacionalmente bem mais complexo




DES

DES Duplo e 3DES




Modos de Operação Os algoritmos de criptografia simétrica foram descritos

para implementar uma forma segura

Porém, visando melhorar a condição de uso da criptografiasimétrica, surgiram modos de operação que aplicam outrasoperações aos algoritmos de criptografia padronizados,melhorando o nível de segurança da informação



Modos de Operação Os modos de operação existentes:

ECB – Eletronic CodeBook CBC – Cipher Block Chaining

CFB – Cipher Feedback OFB – Output Feedback CTR - Counter



Modos de Operação – ECB O modo ECB (electronic code book) é o modo

onde o algoritmo de criptografia é utilizadopuramente, como ele foi definido

criptografados, e nenhuma operação prévia serárealizada com estes blocos antes do algoritmo decriptografia ser processado

Ideal para pequena quantidade de dados. Para textos

longos, pode não ser seguro pois: Um mesmo bloco de texto claro de tamanho b gerará um

mesmo texto cifrado de tamanho b. O próximo slide apresenta um diagrama do ECB



Modos de Operação – ECB



Modos de Operação – CBC No modo CBC (cipher block chaining), o texto em

claro é dividido em blocos, porém antes doalgoritmo de criptografia processar o bloco, o blocosofre uma adi ão com os bits do bloco anterior

Esta operação aumenta a complexidade do algoritmo decriptografia, pois além de aplicar o algoritmo, eletambém utiliza operações intermediárias nos blocos

Apropriado para criptografar mensagens de tamanho

maiores que b bits. Necessita do uso de um Vetor de Inicialização “IV” que

precisa ser conhecido pela origem / destino O próximo slide apresenta um diagrama do CBC



Modos de Operação – CBC

54



Modos de Operação – CBC



Modos de Operação – CFB No modo CFB (cipher feedback), ao contrário do

CBC, não é o bloco anterior completo que altera obloco posterior, mas sim uma sequência de r bits,

ue ode ser de tamanho 2 ou 8

Permite fazer com que uma cifra de bloco funcione comouma cifra de fluxo Este Modo de Operação surgiu para processar blocos de

texto menores que o tamanho de bloco padrão do

algoritmo de criptografia O próximo slide apresenta um diagrama do CFB



Modos de Operação – CFB



Modos de Operação – OFB No modo OFB (output feedback), ao contrário dos

modos anteriores, o pré-processamento aoalgoritmo de criptografia não é feito bloco a bloco,mas sim bit a bit

O OFB evita que erros ocorridos na transmissão deblocos anteriores se propaguem para os próximos blocos,o que não é evitados nos modos CFB e CBC

Ele é mais vulnerável a um ataque por modificação de

fluxo de mensagem que o CFB O próximo slide apresenta um diagrama do OFB



Modos de Operação – OFB



Modos de Operação – CNT No modo CNT (counter), usa-se um contador para

geração de valores de tamanho igual àquele dobloco de texto claro.

deve ser diferente para cada bloco de texto clarocriptografado. Normalmente, o contador é inicializado com um valor e

incrementado em 1 (módulo 2b)

O próximo slide mostra como é o modo de operaçãoCounter.



Modos de Operação – CNT

aula07.criptografia.simetrica

Documents