1 / 58

Κρυπτογραφία

Κρυπτογραφία. Εντροπία & Τυχαιότητα, Γεννήτορες (Ψευδο-)Τυχαιότητας. Κέρκυρα, 201 2 Δρ. Ε. Μάγκος. Syllabus. Η Εντροπία ως μέτρο πληροφορίας και ως μέτρο αβεβαιότητας Πλεονασμός φυσικής γλώσσας και Εντροπία Εντροπία και Ασφάλεια Κρυπτοσυστήματος

noble-conway
Télécharger la présentation

Κρυπτογραφία

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Κρυπτογραφία Εντροπία & Τυχαιότητα, Γεννήτορες (Ψευδο-)Τυχαιότητας Κέρκυρα, 2012 Δρ. Ε. Μάγκος

  2. Syllabus • Η Εντροπία ως μέτρο πληροφορίας και ως μέτρο αβεβαιότητας • Πλεονασμός φυσικής γλώσσας και Εντροπία • Εντροπία και Ασφάλεια Κρυπτοσυστήματος • Πού χρειαζόμαστε την Τυχαιότητα – Εφαρμοσμένη Τυχαιότητα • Γεννήτορες Τυχαιότητας και Ψευδοτυχαιότητας • Κρυπτογραφικώς Ασφαλείς Γεννήτορες Ψευδοτυχαιότητας

  3. Θεωρία Πληροφορίας και Κρυπτολογία Κρυπτανάλυση και πλεονασμός φυσικής γλώσσας Εντροπία και ασφάλεια κρυπτοσυστημάτων Θεωρία Πληροφορίας (Information Theory) Πώς οι μαθηματικοί νόμοι διέπουν τα συστήματα επικοινωνίας Θεωρία της Πληροφορίας και ΚρυπτολογίαClaude Shannon * * C.E. Shannon, “Communication Theory of Secrecy Systems”, Bell Systems Technical Journal,. Vol. 28, pp. 656–715, 1948. C.E. Shannon, "A Mathematical Theory of Communication", Bell System Technical Journal, vol. 27, pp. 379-423, 623-656, July, October, 1948

  4. Ποσότητα πληροφορίας (Amount of information) : O ελάχιστος αριθμός bit για την κωδικοποίηση όλων των πιθανών νοημάτων που μπορεί να έχει ένα μήνυμα Εντροπία Μηνύματος Μέτρο της ποσότητας πληροφορίας ενός μηνύματος Εντροπία = Αβεβαιότητα Πόσα είναι τα bit αβεβαιότητας του κρυπταναλυτή όταν το μήνυμα είναι κρυπτογραφημένο Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996. Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Ποσότητα Πληροφορίας, Εντροπία και Αβεβαιότητα n – o αριθμός των πιθανών τιμών του μηνύματος Μ Θεωρούμε ότι και οι nτιμές είναι ισοπίθανες

  5. John Hershey. Cryptography Demystified. McGraw-Hill Professional, 2003 Πλεονασμός, Εντροπία και Αβεβαιότητα Ένας γεννήτορας bit παράγει 60 bit πληροφορίας (από αριστερά προς δεξιά): Η παραπάνω συμβολοσειρά εμφανίζει πλεονασμό (redundancy). Μπορείτε να τον εντοπίσετε; Πόσα bit πραγματικής πληροφορίας (εντροπία) αντιπροσωπεύουν τα 60 bit της εικόνας;

  6. H Εντροπίαως μέτρο αβεβαιότητας Πείραμα: μια τυχαία μεταβλητή X παίρνει τιμές σύμφωνα με μια κατανομή πιθανότητας Ποια η ποσότητα πληροφορίας (σε bit) που κερδίζουμε παρατηρώντας την Χ; Αλλιώς: Πόσα (ελάχιστα) bit χρειαζόμαστε για να κωδικοποι-ήσουμε κάθε πιθανή τιμή της Χ; Αλλιώς: Ποια η αβεβαιότητα (σε bit)για την έξοδο του πειράματος (πριν το παρατηρήσουμε); Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Stinson, D. Cryptography: Theory and Practice. Third Edition, CRC, 2005 Πιθ(κορώνα) = ½ Πιθ(γράμματα) = ½ π.χ. Ρίξιμο νομίσματος Πληροφορία = 1 bit Πιθ(κορώνα) = ½ Πιθ(γράμματα) = ½ Ρίξιμο nνομίσμάτων Πληροφορία = nbit

  7. H Εντροπίαως μέτρο αβεβαιότηταςΤυπικός Ορισμός Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Λογάριθμος: με βάση το 2*

  8. Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall,2003 H Εντροπίαως μέτρο αβεβαιότητας • Πλήρης Βεβαιότητα • Έστω ότι μια Πηγή Sπαράγει μια τιμή με πλήρη βεβαιότητα – πιθανότητα1 • Ποια η εντροπία της πηγής; • Εάν είμαστε βέβαιοι για ένα ενδεχόμενο, ποιο το νόημα να «ξοδέψουμε» bit για να το καταγράψουμε; • Πλήρης Αβεβαιότητα • Έστω ότι μια πηγή S παράγει μια τιμή με πλήρη αβεβαιότητα – (ομοιόμορφη κατανομή: κάθε τιμή έχει πιθανότητα1/n) • Ποια η εντροπία της πηγής; • Εάν είμαστε αβέβαιοι για ένα ενδεχόμενο, θα χρειαστούμε τόσα bits ώστε να καταγράψουμε κάθε πιθανή τιμή που θα προκύψει !

  9. Ποια είναι η εντροπία της “πηγής”Alice: Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Αν η Alice και ο Bob εκτελέσουν το παραπάνω πρωτόκολλο n φορές, μπορούν να συμφωνήσουν σε μια ακολουθία αυθεντικής τυχαιότητας μήκους n-bit ! (Γιατί;)

  10. Έστω επιλέγουμε ένα κρυπτογραφικό κλειδί n bit Αν τα κλειδιά είναι ισοπίθανα, (πιθανότητα 2-n)η εντροπία του πειράματος θα είναι μέγιστη: Εντροπία = μέτρο τυχαιότητας Τι θα γινόταν εάν κάποια κλειδιά ήταν «περισσότερο» πιθανά; Η εντροπία θα μειωνόταν ! Stinson, D. Cryptography: Theory and Practice. Third Edition, CRC, 2005 H Εντροπίαως μέτρο αβεβαιότητας • Έστω η Χ παίρνει τιμές στο σύνολο {x1,x2,x3, ..., x8} με πιθανότητες {1/2, 1/8,1/16,…, 1/16} αντίστοιχα. • Ποια είναι η πληροφορία (σε bit) στην έξοδο του πειράματος; • Ποια η μέγιστη εντροπία αν όλα τα xiείναι ισοπίθανα: Log28=3

  11. Stinson, D. Cryptography: Theory and Practice. CRC, 2005 Ιδιότητες Εντροπίας Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Η ποσότητα Η(Χ|Υ) αποδίδει το μέγεθος της αβεβαιότητας που απομένει για την Χ, μετά από την παρατήρηση της Υ ! (για απόλυτη ασφάλεια, η τιμή θα πρέπει να είναι η μέγιστη – γιατί;)

  12. H Εντροπίαως μέτρο αβεβαιότητας Stinson, D. Cryptography: Theory and Practice. Third Edition, CRC, 2005

  13. H Εντροπίαως μέτρο αβεβαιότητας Stinson, D. Cryptography: Theory and Practice. Third Edition, CRC, 2005 Τι παρατηρείτε;

  14. Κρυπτοσύστημα Μήνυμαm. Παίρνει τιμές από μια τυχαία μεταβλητή Μ(σύμφωνα με μια κατανομή πιθανότητας) Κλειδί k. Παίρνει τιμές από μια τυχαία μεταβλητή Κ(σύμφωνα με μια κατανομή πιθανότητας) Κρυπτογράφημαc. Τιμές από μια τυχαία μεταβλητή C (σύμφωνα με μια κατανομή πιθανότητας) Στο παράδειγμα μας: Ομοίως, υπολογίζουμε: Stinson, D. Cryptography: Theory and Practice. Third Edition, CRC, 2005 Εντροπία και Ασφάλεια Κρυπτοσυστήματος * Άρα μπορούμε να υπολογίσουμε την εντροπία τους!

  15. Εντροπία και Ασφάλεια Κρυπτοσυστήματος

  16. Πλεονασμός Φυσικής Γλώσσας και Εντροπία Απόλυτος ΡυθμόςΓλώσσας (Absolute Rate): Η εντροπία ανά χαρακτήρα (για ισοπίθανους χαρακτήρες). Για μια τυχαία γλώσσαLμε 26 χαρακτήρες, R ≈ 4.70 Για την Αγγλική γλώσσα, η εντροπία ανά χαρακτήρα ΡυθμόςΓλώσσας (Rate): Έστω μια πηγή εξάγει λέξεις μήκους n μιας φυσικής γλώσσας L Ρυθμός rτης L: Η εντροπία ανά χαρακτήρα της γλώσσας (λαμβάνοντας υπόψη συσχετίσεις και τον πλεονασμό της γλώσσας) π.χ. ο Shannon υπολόγισε: Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Stinson, D. Cryptography: Theory and Practice. Third Edition, CRC, 2005 Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996. χρησιμοποιώντας τον πίνακα: * 1.0 < r(αγγλικά)< 1.5 bit/γράμμα

  17. Πλεονασμός Γλώσσας (Redundancy) Ο αριθμός των bit ανά χαρακτήρα που «περισσεύουν» (δηλαδή, δεν συνεισφέρουν στην εντροπία) Πλεονασμός = Απόλυτος ρυθμός - Ρυθμός Στα Αγγλικά, και για r = 1.25: Ποσοστό πλεονασμού: 3.45/4.70 ≈ 75% Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Stinson, D. Cryptography: Theory and Practice. Third Edition, CRC, 2005 Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996. Πλεονασμός Φυσικής Γλώσσας και Εντροπία D = 4.70-1.25 = 3.45 bit/χαρακτήρα

  18. Πλεονασμός Φυσικής Γλώσσας Πλεονασμός (Redundancy) Σε ένα μήνυμα υπάρχουν περισσότερα σύμβολα από αυτά που πραγματικά χρειάζονται για τη μετάδοση της πληροφορίας Που οφείλεται ο πλεονασμός σε μια φυσική γλώσσα; Γραμματική, συντακτικό, φωνητική, ιδιώματα, ετυμολογία, κουλτούρα,... Η Αγγλική γλώσσα εμφανίζει πλεονασμό ≈ 75% David. Kahn. The Codebreakers. Scribner, 1996. “Officer present on active duty for an indefinite period” “Off pres on AD fr indef period” Παράδειγμα 1: Το γράμμα “u” που ακολουθεί το q είναι περιττό Παράδειγμα 2: Το “the” αυξάνει τονπλεονασμό του κειμένου

  19. Πλεονασμός Φυσικής Γλώσσας Κάθε φυσική γλώσσα εμφανίζει «πλεονασμό» (redundancy) Συχνότητες εμφάνισης χαρακτήρων Συχνότητες εμφάνισης διγράμμων, τριγράμμων Συχνότητες εμφάνισης λέξεων, εκφράσεων κλπ … John Hershey. Cryptography Demystified. McGraw-Hill Professional, 2003

  20. Πλεονασμός Φυσικής Γλώσσας Ποιο κείμενο εμφανίζει το μεγαλύτερο πλεονασμό; Όσο μικρότερος είναι ο πλεονασμός, τόσο πιο δύσκολη γίνεται η κρυπτανάλυση ενός κρυπτογράμματος Επομένως, τόσο μεγαλύτερη γίνεται η ποσότητα κρυπτογραφήματος που πρέπει να αποκτήσει ο κρυπταναλυτής(ciphertext-only) David. Kahn. The Codebreakers. Scribner, 1996. “End here. Us then. Finn, again! Take. Bussoftlee, mememormee! Till thousendsthee. Lps. The keys to. Given! A way a lone a last a loved a long the.” “ And the disciples were full of wonder at his words. But Jesus said to them again, Children, how hard it is for those who put faith in wealth to come into the kingdom of God”

  21. Πλεονασμός Φυσικής Γλώσσας David. Kahn. The Codebreakers. Scribner, 1996.

  22. Εντροπία και Ασφάλεια Κρυπτοσυστήματος Απόσταση Μοναδικότητας (Unicity Distance)

  23. Εντροπία και Ασφάλεια Κρυπτοσυστήματος Απόσταση Μοναδικότητας (Unicity Distance) Απόσταση Μοναδικότητας(U - unicity distance) Ποσότητα κρυπτογραφημένου κειμένουπου απαιτείται ώστε ένας κρυπταναλυτήςδοκιμάζοντας όλα τα πιθανά κλειδιά (brute force), να οδηγηθεί σε ένα μόνον αρχικό μήνυμα που να βγάζει νόημα Communication Theory of Secrecy Systems, Bell Systems Technical Journal,. Vol. 28, pp. 656–715, 1948. c Eli Biham Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996. • Ευθέως ανάλογη της εντροπίας Η(Κ) του κρυπτοσυστήματος… • Αντιστρόφως ανάλογη του πλεονασμούD (bit ανά χαρακτήρα) της γλώσσας…

  24. Εντροπία και Ασφάλεια Κρυπτοσυστήματος Απόσταση Μοναδικότητας (Unicity Distance) Ποια ηαπόσταση Uαλγόριθμου Αντιμετάθεσης(αγγλικό κείμενο) με περίοδο t = 12 Δηλαδή, θεωρητικά, ένα κρυπτο-κείμενο 9 χαρ. είναι αρκετό για να κρυπταναλυθεί (μοναδικά) Ποια είναι ηαπόσταση Uτου αλγορίθμου Αντικατάστασης (αγγλικό κείμενο); Δηλαδή, θεωρητικά, ένα κρυπτο-κείμενο 29 χαρ. είναι αρκετό για να κρυπταναλυθεί (μοναδικά) Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001

  25. Εντροπία και Ασφάλεια ΚρυπτοσυστήματοςΚρυπτογραφία και Συμπίεση Συμπίεση (Compression) Προσπαθεί να αφαιρέσει τον πλεονασμό (redundancy) από ένα μήνυμα Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996. Όσο μεγαλύτερος είναι ο πλεονασμός, τόσο μικρότερη είναι η ποσότητα που (θεωρητικά) χρειάζεται ο κρυπταναλυτής

  26. Εντροπία και Ασφάλεια ΚρυπτοσυστήματοςΣύγχυση και Διάχυση Σύγχυση (Confusion) Αποκρύπτουμε τη σχέση μεταξύ κρυπτογραφημένου κειμένου και κλειδιού π.χ. επαναλαμβανόμενες αντικαταταστάσεις & αναδιατάξεις Διάχυση (Diffusion) O πλεονασμός του αρχικού κειμένου κατανέμεται «ομοιόμορφα» στο κρυπτογραφημένο κείμενο Φαινόμενο Χιονοστιβάδας& αλγόριθμοι ομάδας (DES, AES) Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996. • Από μόνες τους, οι τεχνικές αντικατάστασης και αναδιάταξης εμφανίζουν (τις γνωστές) αδυναμίες. Ωστόσο, αν συνδυαστούν, μπορούν υπό προϋποθέσεις να οδηγήσουν στη δημιουργία «ισχυρών» συμμετρικών αλγορίθμων !!!

  27. Διάχυση - ΠαράδειγμαΕπαναλαμβανόμενοι Αλγόριθμοι Ομάδας – Δίκτυα SPN J. Katz, Y. Lindell. Introduction to Modern Cryptography. Chapman & Hall/CRC, 2008. Για να ισχύει το φαινόμενο της χιονοστιβάδας, θα πρέπει: Κάθε S-box σχεδιάζεται ώστε αλλάζοντας 1 bit εισόδου επηρεάζει τουλάχιστον 2 bit εξόδουτου S-box Οι αναδιατάξεις (mixes) σχεδιάζονται ώστε τα bit εξόδου κάθε S-box διαχέονται σε διαφορετικά S-box κατά τον επόμενο γύρο. Επιπλέον, θέλω όλα τα bit κλειδιού να επηρεάζουν όλα τα bit εξόδου !!! Stinson, D. Cryptography: Theory and Practice. Third Edition, CRC, 2005 Τυπικά λοιπόν, θα πρέπει να εκτελούνται τουλάχιστον 7 γύροι (rounds)

  28. π.χ. Η Eve για να «σπάσει» το πρωτόκολλο, αρκεί να «σπάσει» τον γεννήτορα τυχαιότητας Που χρειαζόμαστε τυχαιότητα; Δημιουργία κρυπτογραφικών κλειδιών: Κλειδί AES, DES κ.λπ Πρώτοι αριθμοί (π.χ. RSA) Κλειδιά ψηφιακής υπογραφής Αλγόριθμος One-time pad Τυχαιότητα σε πρωτόκολλα πρόκλησης-απάντησης (challenge-response) … N. Ferguson, B. Schneier. Practical Cryptography. Wiley, 2003. Εφαρμοσμένη ΤυχαιότηταΠαραγωγή τυχαιότητας για Κρυπτογραφικά Πρωτόκολλα

  29. Σενάριο: O Mallory, υποκλέπτει 2 εκτελέσεις, και μαντεύει την επόμενη «τυχαιότητα». Στη συνέχεια, Πλαστοπροσωπεί (με κάποιο τρόπο) τον Bob στην Alice, αποστέλει την πρόκληση C=2236067977499και λαμβάνει πίσω το EK(C) Αποδεικνύει στον Bob ότι είναι η Alice Οι αριθμοί σας φαίνονται τυχαίοι; Η. Mel, D. Baker. Cryptography Decrypted. Addison-Wesley, 2001 Εφαρμοσμένη ΤυχαιότηταΠαραγωγή τυχαιότητας για Κρυπτογραφικά Πρωτόκολλα 1.414213562373 ΕΚ[1.414213562373] Ένα πρωτόκολλο ταυτοποίησης της Alice (Challenge-Response)

  30. Κάθε λογισμικό κρυπτογράφησης χρειάζεται ένα κλειδί Κλειδί = σειρά αριθμών Πόσο τυχαίο μπορεί να θεωρηθεί αυτό το κλειδί; Μια επίθεση λεξικού δοκιμάζει αρχικά τα πλέον πιθανά κλειδιά Η. Mel, D. Baker. Cryptography Decrypted. Addison-Wesley, 2001 Εφαρμοσμένη ΤυχαιότηταΠαραγωγή Κλειδιού • Χρειαζόμαστε ένα κλειδί 128 bit • Δημιουργούμε το κλειδί πληκτρο-λογώντας 16 «τυχαίους» χαρακτήρες π.χ http://michelemiller.blogs.com/marketing_to_women/think_cartoon.gif

  31. Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Έστω χρειαζόμαστε ένα κλειδί 128 bit για τον αλγόριθμο AES Εάν το κλειδί επιλεγεί με έναν γεννήτορα (αληθινής) τυχαιότητας, τότε η Eve θα χρειαστεί κατά μέσο όρο 2127 υπολογισμούς για να το «σπάσει» Τι θα γίνει εάν ένα seed16-bit δοθεί ως είσοδος σε μια π.χ. συνάρτηση hash,δίνοντας στην έξοδο 128 bit «τυχαιότητας»; Εφαρμοσμένη ΤυχαιότηταΠαραγωγή Κλειδιού Περίπτωση Η Eve θα χρειαστεί κατά μέσο όρο 215υπολογισμούς !! Υποθέτουμε ότι ο αλγόριθμος hash είναι γνωστός

  32. Τυχαιότητα και ΨευδοτυχαιότηταΠαράδειγμα: Πηγή Δεδομένων Bernoulli Τυχαιότητα Πηγής - Συνίσταται στα εξής: Ισοπίθανα bit (Balanced) Η πιθανότητα ένα bit να είναι 0 (ή 1) είναι ½ ΑμνήμοναΠηγή: (memoryless) Η γνώση των bit έως τον χρόνο t, δεν βοηθά τον κρυπταναλυτή να προβλέψει το bit στον χρόνο t+1 Παράδειγμα Η Ρουλέτα στο Καζίνο John Hershey. Cryptography Demystified. McGraw-Hill Professional, 2003 Πόσο τυχαία σας φαίνεται η ακολουθία : Πόσο τυχαία σας φαίνεται η συμβολοσειρά :

  33. Τυχαιότητα και ΨευδοτυχαιότηταΠαράδειγμα: Πηγή Δεδομένων Bernoulli Οι ακολουθίες 3-bit δεν φαίνονται και τόσο τυχαίες… John Hershey. Cryptography Demystified. McGraw-Hill Professional, 2003 Πόσο τυχαία σας φαίνεται η συμβολοσειρά;

  34. Δυσκολία-Αδυναμία παραγωγής τυχαιότητας από έναν Η/Υ Πεπερασμένος αριθμός καταστάσεων στις οποίες μπορεί να βρεθεί ένας Η/Υ Μεγάλος αριθμός μεν, πεπερασμένος δε. Οι Η/Υ είναι ντετερμινιστικά όντα π.χ. Όλοι οι γεννήτορες αριθμών είναι περιοδικοί Ο,τιδήποτε είναι περιοδικό, είναι προβλέψιμο ( = μη τυχαίο) ! Ένας γεννήτορας τυχαίων αριθμών απαιτεί τυχαία είσοδο (random input) Ένας Η/Υ δεν (?) μπορεί να δημιουργήσει τυχαία δεδομένα… Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996 Γεννήτορες Τυχαιότητας “Anyone who considers arithmetical methods of producing random digits is, ofcourse, in a state of sin“ Donald Knuth

  35. Α. Γεννήτορες τυχαιότητας (HW) Συσκευές που αξιοποιούν την μη προβλεψιμότητα φυσικών φαινομέ-νων για παραγωγή bit τυχαιότητας Ραδιενεργός διάσπαση (radioactive decay), Θερμικός θόρυβος (thermal noise) από ημιαγωγό ή αντίσταση, Χρόνος πρόσβασης στο σκληρό δίσκο … Συχνά, τα bit που εξάγονται από φυσικά φαινόμενα ενδέχεται να: Είναι πολωμένα (biased) π.χ. H πιθανότητα η πηγή να εξάγει 1 δεν είναι ½ Αυτοσυσχετιζόμενα (correlated) π.χ. H πιθανότητα η πηγή να εξάγει 1 εξαρτάται από την τιμή προηγούμενου (-ων) bit Συχνά, τα bit που εξάγονται από φυσικές πηγές υποβάλλονται σε Τεχνικές διόρθωσης (de-skewing) Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Γεννητόρες ΤυχαιότηταςΚατηγοριοποιήσεις *

  36. B. Γεννήτορες τυχαιότητας (SW) O γεννήτορας σχεδιάζεται εξ’ ολοκλήρου σε λογισμικό και εξάγει εντροπία από (π.χ.): Το ρολόι συστήματος Χρόνος-ταχύτητα πληκτρολόγησης και κίνηση ποντικιού Περιεχόμενα θέσεων μνήμης και I/O buffers Είσοδος από τον χρήστη Παράμετροι Λ.Σ. π.χ. φόρτος διεργασιών, δεδομένα δικτύου κ.λ.π Οι γεννήτορες αυτής της κατηγορίας θεωρούνται χαμηλής εντροπίας Μπορούν να επηρεαστούν από παράγοντες όπως π.χ. η υπολογιστική πλατφόρμα Ο εχθρός μπορεί να επιδράσει ή να παρατηρήσει τις διεργασίες… Πολλές τέτοιες πηγές μπορούν να συνδυαστούν (pooling). Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Γεννητόρες ΤυχαιότηταςΚατηγοριοποιήσεις

  37. Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996 Γεννητόρες ΤυχαιότηταςΑπόσταξη Τυχαιότητας (Distilling Randomness) • Συλλογή και Εξαγωγή τυχαιότητας (distilling randomness) • Καταγραφή πολλών «τυχαίων» γεγονότων, και εξαγωγή bit τυχαιότητας • Διατήρηση των bit σε μια δεξαμενή τυχαιότητας (randomness pool) • Χρήση μιας συνάρτησης one-way hash για την εξαγωγή των bit τυχαιότητας που τελικά θα χρησιμοποιηθούν

  38. Συνδυάζοντας πολλές πηγές τυχαιότητας Σε κάθε πηγή μπορούν να εφαρμοστούν τεχνικές διόρθωσης Στη συνέχεια όλες οι ακολουθίες γίνονται XOR A. Young, M. Yung. Malicious Cryptography – Exploring CryptoVirology. Wiley, 2004 Γεννητόρες ΤυχαιότηταςΑπόσταξη Τυχαιότητας (Distilling Randomness)

  39. Γεννητόρες ΤυχαιότηταςΑπόσταξη Τυχαιότητας (Distilling Randomness)

  40. Γεννήτορες Τυχαιότητας... στην πράξη: ένας τρόπος να παράξεις το αρχικό seed Η. Mel, D. Baker. Cryptography Decrypted. Addison-Wesley, 2001

  41. John Hershey. Cryptography Demystified. McGraw-Hill Professional, 2003 Γεννητόρες ΤυχαιότηταςΑπόσταξη Τυχαιότητας (Distilling Randomness)

  42. A. Young, M. Yung. Malicious Cryptography – Exploring CryptoVirology. Wiley, 2004 1 2 Γεννήτορες ΤυχαιότηταςΤεχνικές Διόρθωσης (de-skewing, unbiasing, entropy extractors) • Έστω έχουμε στη διάθεση μας ένα «πολωμένο» (biased) νόμισμα • Μπορώ από ένα «πολωμένο» νόμισμα να πάρω μια ακολουθία τυχαίων bit; • Ο αλγόριθμος του Von Neumann • Πιθανότητα [Κορώνα] = 5/8 • Πιθανότητα [Γράμματα] = 3/8 P1=P2

  43. Ιδανικά, η τυχαιότητα που δίνεται ως είσοδοςσε κρυπτογραφικούς αλγορίθμους είναι αληθινή Σε αυτή την περίπτωση & εφόσον τηρούνται “τα πρέποντα”, π.χ.: |K|=|M| Όχι επαναχρησιμοποίηση κλειδιού … έχω απόλυτη ασφάλεια έναντι εχθρού με “άπειρους υπολογιστικούς πόρους” Σχετιζόμενοι όροι: Perfect Secrecy, Unconditional security, information-theoreticsecurity Στην πράξη, σε έναν κρυπτογραφικό αλγόριθμο δίνεται ως είσοδος μια ψευδο-τυχαία ακολουθία “Μοιάζει” να είναι τυχαία & Επειδή δε τηρούνται τα “πρέποντα”: |Κ|<<|Μ| Επαναχρησιμοποίηση κλειδιών .. θέλω υπολογιστική ασφάλεια έναντι ενός πολυωνυμικού εχθρού Στην πράξη, ο εχθρός έχει μικρή (αμελητέα) πιθανότητα επιτυχίας Μετά από “αρκετό χρόνο”, το σχήμα θα σπάσει οπωσδήποτε (π.χ. Brute force σε επίθεση known-plaintext) Ωστόσο ο χρόνος είναι “πολύς” ! J. Katz, Y. Lindell. Introduction to Modern Cryptography. Chapman & Hall/CRC, 2008. Τυχαιότητα vsΨευδοτυχαιότητα

  44. PRNG:αλγόριθμος που παράγει ακολουθίες αριθμών που «μοιάζουν» τυχαίες Indistinguishability: «δύσκολο» να διακρίνει κάποιος μια τυχαία από μια ψευδοτυχαίασυμβολοσειρά Ωστόσο, ο αλγόριθμος είναι ντετερμινιστικός Αν δώσουμε την ίδια είσοδο, ο αλγόριθμος δίνει ίδιο αποτέλεσμα ! Στην είσοδο δέχεται μια (αληθινά) τυχαία ακολουθία bit μήκους k Το «seed» (σπόρος) του αλγορίθμου Στην έξοδο, δίνει μια «ψευδο-τυχαία» ακολουθία bit μήκους L >> k Η. Mel, D. Baker. Cryptography Decrypted. Addison-Wesley, 2001 Γεννήτορες Ψευδο-Τυχαιότητας(Pseudo-RandomNumber Generator - PRNG)

  45. O. Goldreigh. Foundations of Cryptography, Vol I Basic Tools, CUP, 2004. Γεννήτορες Ψευδο-Τυχαιότητας(Pseudo-RandomNumber Generator - PRNG)

  46. Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996 Συνέπεια του Β: Ο γεννήτορας εμφανίζει «μεγάλη» περίοδο π.χ. Αν απαιτούμε 1 δισ. bit, μια ακολουθία με περίοδο 16 χιλ. bit δεν είναι ασφαλής ! π.χ περίοδος 2128 Ιδιότητες ακολουθίας ασφαλών Γεννητόρων PRNG «Μοιάζει» να είναι τυχαία Δηλαδή, οι ακολουθίες που παράγει περνούν με επιτυχία όλα τα στατιστικά τεστ τυχαιότητας Μη προβλεψιμότητα Υπολογιστικά αδύνατο για την Eve να προβλέψει (με πιθανότητα μη αμελητέα) το επόμενο bit Γεννήτορες Ψευδο-ΤυχαιότηταςΑσφάλεια Γεννητόρων PRNG

  47. Στατιστικά τεστ «αξιολόγησης» (ψευδο-) τυχαιότητας «περίπου» ίδιος αριθμός 0 και 1 «περίπου» οι μισές εκτελέσεις ακολουθούνται από διαφορετικό bit (π.χ. 0,1ή 1,0) Κάθε πιθανή ακολουθία δύο bit θα πρέπει να εμφανίζεται στο ¼ περίπου των εκτελέσεων Κάθε πιθανή ακολουθία τριών bit θα πρέπει να εμφανίζεται στο 1/8 περίπου των εκτελέσεων Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996 Γεννήτορες Ψευδο-ΤυχαιότηταςΑ. Στατιστικοί Έλεγχοι

  48. Η. Mel, D. Baker. Cryptography Decrypted. Addison-Wesley, 2001 Γεννήτορες Ψευδο-ΤυχαιότηταςΑ. Στατιστικοί Έλεγχοι Πόσο τυχαία μπορεί να είναι η ακολουθία:

  49. Έστω ο γεννήτορας (ψευδο) τυχαιότητας που ορίζεται από τη σχέση: Ο γεννήτορας αυτός έχει πολύ μικρή περίοδο (18) Δεν είναι ασφαλής !!! John Hershey. Cryptography Demystified. McGraw-Hill Professional, 2003 Γεννήτορες Ψευδο-ΤυχαιότηταςΑ. Στατιστικοί Έλεγχοι

  50. Η ποιότητα ενός γεννήτορα μπορεί να αξιολογηθεί με στατιστικά τεστ Τα τεστ εντοπίζουν αν μια ακολουθία έχει χαρακτηριστικά που συναντώνται σε ακολουθίες (αληθινά) τυχαίων αριθμών Ένα τεστ μπορεί να αποφανθεί εάν η συγκεκριμένη ακολουθία «μοιάζει» τυχαία … Κανένα τεστ ωστόσο δεν μπορεί να αποδείξει ότι μια ακολουθία είναι τυχαία !! Η διεξαγωγή στατιστικών τεστ είναι λοιπόν αναγκαία αλλά όχι και ικανή συνθήκη για την ασφάλεια ενός γεννήτορα ψευδοτυχαιότητας Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Γεννήτορες Ψευδο-ΤυχαιότηταςΑ. Στατιστικοί Έλεγχοι

More Related