Professional Documents
Culture Documents
KSS - Predavanje 4 - Simetricni Blokovski Kriptografski Algoritmi. DES. AES
KSS - Predavanje 4 - Simetricni Blokovski Kriptografski Algoritmi. DES. AES
UNIVERZITET U SARAJEVU
Odsjek za telekomunikacije
MSc studij, I godina
akademska godina 2011/2012
PREDAVANJA 4
Simetrini blokovski kriptografski algoritmi. DES. AES.
Univerzitet u Sarajevu
Elektrotehniki fakultet
Odsjek za telekomunikacije
Univerzitet u Sarajevu
Elektrotehniki fakultet
Odsjek za telekomunikacije
3.
Univerzitet u Sarajevu
Elektrotehniki fakultet
Odsjek za telekomunikacije
Univerzitet u Sarajevu
Elektrotehniki fakultet
Odsjek za telekomunikacije
Univerzitet u Sarajevu
Elektrotehniki fakultet
Odsjek za telekomunikacije
bita od ulaznih bita brze iri (u kriptografiji je to poznato kao efekat lavine Avalanche Effect, a treba imati u vidu i da je DES projektovan s namjeraom da
se to prije postigne stanje u kojem svaki bit ifrata zavisi od svakog bita
izvornog teksta i svakog bita kljua).
Nakon provoenja XOR operacije, nad dva 48 bitna bloka, formira se 8
estobitnih grupa, koje se potom filtriraju kroz 8 S-kutija. S kutije se smatraju
najvrijednijim dijelom DES algoritma. One imaju formalni zadatak da
transformiu 8 estobitnih rasporeda u 8 etverobitnih rasporeda, Tih 8
etverobitnih rasporeda predstavljaju novi 32 blok, koji se ponovo permutuje
permutacijom P (permutacija P se naziva prava permutacija - Straight
Permutation), Tako se dobija funkcija f (R0, K1), koja se potom putem XOR
operacije, obrauje sa polublokom L0. Rezultat te operacije je opet 32 bitni
blok, ali koji se sada proglaava i za novu verziju desnog polubloka R 1. Nova
verzija lijevog bloka L1 izvodi se na osnovu relacije R0 = L1.
S obzirom da se oko dizajna S kutija mnogo pekuliralo, nakon to je
postupak diferencijalne kriptoanalize 1990. godine javnosti otkrio dio tajni ovog
dizajna, IBM je objavio osnovne kriterijume za prijektovanje S kutija.
1.
2.
3.
Ako fiksirate krajnji lijevi bit i krajnji desni bit S kutije i mijenjate
preostala etiri unutranja bita, svaki mogui 4-bitni izlaz dobije se tano
jednom.
4.
5.
Ako se dva ulaza S-kutije razlikuju u tano dva srednja bita, izlazi se
moraju razlikovati u najmanje dva bita.
6.
Ako se dva ulaza S-kutije razlikuju u prva dva bita, a posljednja dva
bita su identini, izlazi ne smiju biti isti.
7.
Za bilo koju 6-bitnu razliku izmeu ulaza, koja nije jednaka nuli, najvie
8 od 32 para ulaza s tom razlikom mogu da prpizvedu istu razliku ulaza.
8.
bitu, izlazi se
Univerzitet u Sarajevu
Elektrotehniki fakultet
Odsjek za telekomunikacije
etiri izlazna bita iz svake S kutije, utjeu, odnosno ine ulazne podatke
na est razliitih S kutija u iduoj rundi, a nikoja dva ne utiu na istu
kutiju.
2.
3.
0101010101010101
2.
1F1F1F1F1F1F1F1F
3.
4.
Univerzitet u Sarajevu
Elektrotehniki fakultet
Odsjek za telekomunikacije
b)
c)
Univerzitet u Sarajevu
Elektrotehniki fakultet
Odsjek za telekomunikacije
skup svih DES permutacija nije zatvoren, jer je pokazano da je red ove pogrupe
generirane svim DES permutacijama vei od 22499. Na osnovu ove injenice
zakljueno je da se viestrukom upotrebom DES-a moze poveati nivo njegove
sigurnosti. Posebno je popularan trostruki DES, koji ima tri koraka obinog
DES-a, ali svaki put sa razliitim kljuevima.
y = eM(dL(eK(x))),
x = dK(eL(dM(y)))
Klju kod trostrukog DES-a je duzine 168 bita. Pri verziji u kojoj je M = K
duzina kljua je 112 bita. Dvostruki DES ima izrazene slabosti pri napadu tipa
susret u sredini (Meet-in-the- Middle, opisao ga je Diffie ve 1977. godine),
kada pokazuje samo neznatno bolje karakteristike od obinog DES-a.
2.
3.
Mnozenje po modulu (216 +1), u algoritmu IDEA ima slinu ulogu, ulozi S
kutija u algoritmu DES.
Modul (216 +1), je odabran zbog efikasnije
implementacije modularnog mnozenja. Pobrojane tri operacije su inkopatibilne
u smislu da nikada dvije od njih ne udovoljavaju zakone asocijativnosti i
distributivnosti. IDEA ima osam rundi i zavrnu transformaciju. U tih osam
rundi koriste se 52, 16-bitna subukljua ((K1(r), K2(r),... K6(r)) tokom osam rundi
( r= 1,2,..,8) i etiri subkljua (K1(9), K2(9), K3(9), K4(9)) za zavrnu transformaciju)
koji se generiraju na osnovu polaznog 128 bitnog kljua. U prvoj iteraciji se
pravi 6 16- bitnih subkljueva ((K1(1), K2(1),... K6(1)) i prva dva subkljua druge
iteracije ((K1(2), K2(2)). Potom se bitovi polaznog 128 bitnog kljua K pomjeraju
za 25 mjesta ulijevo, ime se pravi novi 128 bitni raspored kao osnova za
9
Univerzitet u Sarajevu
Elektrotehniki fakultet
Odsjek za telekomunikacije
preostala etiri kljua druge iteracije ((K3(2), K4(2), K5(2), K6(2)) i prva etiri
kljua tree runde ((K1(3), K2(3), K3(3),K4(3)).
Izvorni tekst se prikazuje u obliku X = (X1, X2, X3, X4) pri emu su Xi 16
bitni podblokovi. Na slici broj 2.3.1 prikazan je blok dijagram algoritma IDEA.
2.
3.
Univerzitet u Sarajevu
Elektrotehniki fakultet
Odsjek za telekomunikacije
4.
5.
6.
7.
Pomnozi rezultate koraka (5) i peti subklju K5(1) , po modulu (216 +1).
8.
9.
10.
11.
12.
13.
14.
Izlaz tekue runde su uvijek etiri podbloka, koji su rezultati koraka broj
(11), (12), (13) i (14). Nakon toga, treba jo da meusobno zamjene i vlastita
mjesta, dva unutranja bloka (ovo se ne radi , jedino u posljednjoj rundi), te da
se dobije ulaz za slijedeu rundu (64 bita).
Algoritam IDEA, za razliku od algoritma DES nastao je iskljuivo u
akademskom ambijentu (dakle bez uplitanja institucija tipa NSA), pa su sumnje
u postojanje zadnjih vrata (Backdoor) znatno manje. IDEA je i patentirana,
vlasnik njenog patenta je firma Ascom - Tech AG Switzerland. Za njenu
komercijalnu upotrebu treba stoga pribaviti i odgovarajuu licencu. Ipak za
nekomercijalnu upotrebu, licenca jo uvijek nije potrebna.
Algoritam IDEA je efikasan i na 16 - bitnim procesorima. Softverska
realizacija algoritma IDEA, ve u startu svoje implementacije, pokazala je da je
dva puta brza od softverske realizacije algoritma DES.
Ovaj algoritam, koristi se recimo i kod PGP paketa, kao jedno od
moguih rijeenja za simetrinu enkripciju. (Pretty Good Privacy Philip R.
Zimmermann (Philip R. "Phil" Zimmermann Jr. Algoritam IDEA pokazao se
otpornim, i na linearnu kriptoanalizu i na difrencijalnu kriptoanalizu. Kako je
prostor kljueva koje treba testirati tokom napada metodom potpunog
pretrazivanja, reda 2128, to se ovaj algoritam smatra zasada neranjivim.
11
Univerzitet u Sarajevu
Elektrotehniki fakultet
Odsjek za telekomunikacije
2.
3.
Univerzitet u Sarajevu
Elektrotehniki fakultet
Odsjek za telekomunikacije
3.
13
Univerzitet u Sarajevu
Elektrotehniki fakultet
Odsjek za telekomunikacije
Univerzitet u Sarajevu
Elektrotehniki fakultet
Odsjek za telekomunikacije
ali kod takvih polinoma koeficijenti ci , nisu vie elementi skupa GF(2), nego su
elementi skupa GF(28). Zato se kaze da su takvi polinomi odreeni
etverobajtnim vektorom, odnosno kao 32 bitna rje. Sabiranje takvih vektora
vri se putem sabiranja po modelu ekskluzivnog ILI odgovarajuih
(homolognih) koeficijenata polinoma koji se sabiru. Da bi se pri mnozenju
takvih polinoma, dobio ponovo strukturno analogan polinom stepena manjeg od
etiri, za redukciju dobijenog rezultata stepena etiri, ili veeg od etiri, koristi
se polinom p(x) , pri emu je : p(x) = X4 + 1, uz uslov p() = 0, GF(28).
Primjer Pomnoziti dva polinoma treeg stepena a(x) i c(x), iji su koeficijenti iz
skupa GF(28), pa dobijeni rezultat ponovo svesti na polinom treeg stepena d(x),
koristei za redukciju polinom ( X4 + 1) .
d(x) = (a(x) c(x)) mod (x4+1) = d3X3 +d2 X2 + d1 X + d0
d0 = ( a0 b0 ) + ( a3 b1 ) + ( a2 b2 ) + ( a1 b3)
d1 = ( a1 b0 ) + ( a0 b1 ) + ( a0 b2 ) + ( a3 b3)
d2 = ( a2 b0 ) + ( a1 b1 ) + ( a0 b2 ) + ( a3 b3)
d3 = ( a3 b0 ) + ( a2 b1 ) + ( a1 b2 ) + ( a0 b3)
Univerzitet u Sarajevu
Elektrotehniki fakultet
Odsjek za telekomunikacije
16
Univerzitet u Sarajevu
Elektrotehniki fakultet
Odsjek za telekomunikacije
17
Univerzitet u Sarajevu
Elektrotehniki fakultet
Odsjek za telekomunikacije
C3=3
Za Nb = 6: C1=1; C2=2;
C3=3
Za Nb = 8: C1=1; C2=3;
C3=4
18
Univerzitet u Sarajevu
Elektrotehniki fakultet
Odsjek za telekomunikacije
19
Univerzitet u Sarajevu
Elektrotehniki fakultet
Odsjek za telekomunikacije
20