Kriptologija 2

UNIVERZITET SINGIDUNUM
Fakultet za informatiku i raunarstvo
Milan Milosavljevi
Saa Adamovi
KRIPTO LO GIJA 2
Prvo izdanje
Beograd, 2014.
KRIPTOLOGIJA 2
Autori:
dr Milan Milosavljevi
dr Saa Adamovi
Recenzenti:
dr Mladen Veinovi
dr Branko Kovaevi
dr Dejan ivkovi
Izdava:
UNIVERZITET SINGIDUNUM
Beograd, Danijelova 32
www.singidunum.ac.rs
Za izdavaa:
dr Milovan Stanii
Tehnika obrada:
Saa Adamovi
Dizajn korica:
Aleksandar Mihajlovi
Godina izdanja:
2014.
Tira:
300 primeraka
tampa:
Mladost Grup
Loznica
ISBN: 978-86-7912-537-8
Copyright:
2014. Univerzitet Singidunum
Izdava zadrava sva prava.
Reprodukcija pojedinih delova ili celine ove publikacije nije dozvoljeno.
Mudrost postavlja granice i spoznaji."

Fridirh Nie
SADRAJ
PREDGOVOR ...................................................................................................................... VII

1.
UVOD............................................................................................................................ 9
1.1. Kratka istorija politike ifrovanja ........................................................... 10
1.2. Uloga fizike, pretpostavki i poverenja ................................................... 15
1.3. Ontologija domena zatite .......................................................................... 20
1.4. Praktina bezbednost .................................................................................. 27
1.4.1. Ekvivokacija kljua i taka jedinstvenosti ............................................ 28
1.4.2. Poveanje take jedinstvenosti ................................................................. 31
1.5. Verovatnosni model ifrovanja ................................................................ 33
2.
AUTENTIFIKACIJA ................................................................................................ 43
2.1. Jednostavni protokoli za autentifikaciju na raunaru ..................... 46
2.2. Jednostavni protokoli za autentifikaciju na mrei ............................ 49
2.3. Autentifikacija informaciono teorijska analiza ............................... 55
3.
OSNOVE KRIPTOGRAFSKIH PROTOKOLA .................................................. 58

3.1. Autentifikacija sa simetrinim kljuevima .......................................... 59
3.2. Autentifikacija sa javnim kljuevima ..................................................... 64
3.2.1. Sesijski klju
66
3.2.2. Perfektna tajnost unapred .......................................................................... 70

III
3.2.3. Vremenski peat .............................................................................................. 75

3.3. Autentifikacija zasnovana na TCP protokolu ...................................... 80
3.4. Dokazi sa nultim znanjem ZKP .............................................................. 84
3.5. Najbolji autentifikacioni protokoli ......................................................... 90
4.
SAVREMENI KRIPTOGRAFSKI PROTOKOLI ............................................... 91

4.1. SSH ....................................................................................................................... 92
4.2. SSL/TLS .............................................................................................................. 95
4.2.1. Arhitektura SSL protokola........................................................................... 97
4.2.2. Bezbednost SSL protokola ........................................................................... 99
4.2.3. Efikasni metodi u SSL protokolu............................................................. 101
4.3. IPSec................................................................................................................. 103
4.3.1. IKE prva faza: digitalni potpis.................................................................. 106
4.3.2. IKE prva faza: simetrini klju ................................................................. 108
4.3.3. IKE prva faza: javni klju za ifrovanje ................................................ 110
4.3.4. IKE druga faza 113
4.3.5. IP datagrami u IPSEC protokolu ............................................................. 114
4.3.6. Transport i reimi tunelovanja ............................................................... 115
4.3.7. ESP i AH
118
4.4. Kerberos ........................................................................................................ 120

4.4.1. Kerberos inicijalizacija ............................................................................... 122
4.4.2. Kerberos tiketi 123
4.4.3. Bezbednost Kerberos protokola ............................................................. 124
IV
4.5. WEP .................................................................................................................. 126

4.5.1. Autentifikacija u WEP protokolu ............................................................ 126
4.5.2. ifrovanje u WEP protokolu ..................................................................... 127
4.5.3. Problem integriteta u WEP protokolu.................................................. 129
4.5.4. Osnovne za bezbedno korienje beinih mrea ........................... 132
4.5.5. Saveti za bezbedno konfigurisanje beinih ureaja ..................... 134
4.6. GSM .................................................................................................................. 136
4.6.1. Arhitektura i bezbednost GSM protokola ........................................... 137
4.6.2. Trea generacija protokola 3GPP ....................................................... 141
5.
BIOMETRIJA ......................................................................................................... 142

5.1. Vrste biometrijskih podataka i njihova podela ............................... 143
5.2. Biometrijski servisi za autentifikaciju ................................................ 149
5.3. Biometrijski sistemi za generisanje kljueva ................................... 154
5.3.1. Biometrijska kriptografija ......................................................................... 155
5.3.2. Razvoj sistema zasnovanih na biometrijskoj kriptografiji .......... 158
5.3.3. Generisanje kljueva iz biometrije......................................................... 159
5.3.4. Generisanje kljueva na osnovu biometrije ....................................... 162
5.4. Jedan algoritam za generisanje kriptolokih kljueva na osnovu
biometrije .............................................................................................................. 170
5.4.1. Generika ema algoritma ......................................................................... 171
5.4.2. Postavka eksperimentalnog okruenja................................................ 174
5.4.3. Informaciona analiza teksture irisa ...................................................... 175
5.4.5. Izbor adekvatnog zatitnog koda ........................................................... 180
5.4.6. Motiv za uvoenje zatitnog koda i interlivera ................................ 184

5.4.7. Oblast primene i budui razvoj oblasti ................................................ 185
6.
TAJNA RAZMENA KRIPTOLOKOG KLJUA JAVNIM KANALOM
BEZBEDNOST NA FIZIKOM SLOJU ....................................................................... 190
6.1. Razmena kljua 1: Satelitski scenario ................................................. 193
6.2. Razmena kljua 2: Wayner Wire-Tap kanal...................................... 201
6.3. Razmena kljua 3: Karte .......................................................................... 206
6.4. Jedan algoritam za razmenu kljueva u lokalnoj raunarskoj
mrei........................................................................................................................ 208
LITERATURA ................................................................................................................... 214

DODATAK HRONOLOKI PREGLED OBJAVLJENIH INCIDENATA NA
INTERNETU U PERIODU OD 2006. DO 2012. GODINE.................................... 219
RENIK POJMOVA ......................................................................................................... 232
VI
PREDGOVOR
riptologija 2 je udbenik koji je namenjen studentima Fakulteta za

informatiku i raunarstvo Univerziteta Singidunum za pripremu ispita iz
predmeta Kriptologija 2, a mogu ga koristiti svi oni kojima je potrebna
kriptografska zatita podataka u savremenim komunikacionim
sistemima. Ovaj udbenik ima vie ciljeva, kao to je sticanje novih razmiljanja o
ovoj oblasti, znanja i ideja koje emo u budunosti koristiti, a sve to e nas
osposobiti da samostalno dizajniramo bezbednosne protokole za potrebe naih
buduih poslovnih okruenja, na mestima gde bezbednost podataka bude
zahtevana. U prvom, uvodnom delu udbenika dali smo kratak istorijski pregled
politike ifrovanja. Kroz ontologiju domena zatite prikazali smo osnovnu i
glavnu podelu ifarskih sitema na perfektne (apsolutno bezbedne) i neperfektne
sisteme (praktino bezbedne). Obzirom na neuporedivo veu zastupljenost
neperfektni ifarskih sistema ili sistema koji nude praktinu bezbednost,
diskutovaemo o kritinim takama ili kriptolokim kljuevima, preko tema koje
se bave ekvivokacijom kljua, take jedinstvenosti i mogunosti za poveenje
take jedinstvenosti.
U drugom i treem poglavlju govoriemo o nekoliko razliitih metoda za potvrdu
autentinost i nainima za uspostavljanje (ili razmenu) sesijskih kljueva preko
nebezbedne mree. Ovakve servise moemo realizovati upotrebom simetrinih
kljueva, javnih kljueva ili he funkcija u kombinaciji sa simetrinim kljuevima.
Takoe, nauemo kako da se ostvari perfektna tajnost unapred PFS,
razmotriemo uvoenje vremenskih peata, kako njegove prednosti tako i
nedostatke. Usput, prouiemo nekoliko bezbednosnih zamki koje nisu oigledne
i bolje razumeti suptilna pitanja koja se odnose na bezbednost kriptografskih
protokola. Sve ovo e biti osnova za razumevanje narednog poglavlja u kome
emo govoriti o savremenim bezbednosnim protokolima. Videemo da uprkos
obimnom razvoju i uloenom naporu velikog broja strunjaka, takvi protokoli
nisu imuni na neke bezbednosne propuste koje emo istai i razraditi u ovom
poglavlju.
U etvrtom poglavlju upoznaemo se sa nekoliko savremenih bezbednosnih
protokola (SSH, SSL/TLS, IPSec, Kerberos, WEP, GSM), koji su osnova velikog broja
Kriptologija 2
VII
Internet servisa u savremenom poslovnom svetu. Razumeemo njihov dizajn i

nain na koji obezbeuju servise autentifikacije, tajnosti, integriteta i
neporecivosti. Drugi cilj je da razumemo do sada sve prepoznate bezbednosne
probleme kod ovih protokola, kao i da razumemo modifikacije koje bi bilo
potrebno uraditi za prevazilaenje tih problema, a uspenost modifikacije
zavisie od naeg steenog znanja i iskustva.
U petom poglavlju govoriemo o biometriji i biometrijskim sistemima. Biometrija
ili bio-informacija se namee kao mogue reenje za obezbeenje vrste veze
izmeu autentifikatora i sistema za autentifikaciju. Re biometrija vodi poreklo
od grke imenice bios ivot i glagola metreo meriti. Biometrija je opti
termin za opis i merenje fizikih karakteristika koje mogu biti koriene za
autentifikaciju. U nastavku govorimo o biometrijskim sistemima za generisanje
kljueva i jednoj klasi sistema za generisanje kriptolokog kljua na osnovu
biometrije irisa. Nauiemo zato biometrija reava mnogo bezbednosnih
problema, ali i uvodi neka nova ogranienja.
U estom poglavlju govoriemo o sistemima za generisanje i distribuciju kriptolokih kljueva preko javnih komunikacionih kanala u savremenim raunarskim
mreama, kao i razvoj sopstvenog reenja na osnovu teorijskih radova. Protokoli
koji se danas koriste za razmenu kriptolokih kljueva preputaju bezbednost
kljueva reavanju problema faktorizacije. Najee korieni metodi za distribuciju kljueva su Diffie-Hellman protokol i zatita kljueva u javnim komunikacionim kanalima korienjem asimetrinih ifara RSA ili DSA. Prikazaemo osnove
protokola koji proizilaze iz kvantne kriptografije, a daju osnovu za dalji razvoj
protokola u klasinoj kriptografiji.
Na kraju je jedan dodatak u kome je hronoloki prikazana lista svih uspenih
napada u poslednjih sedam godina, a iz kategorije visokotehnolokog kriminala.
Zadatak ovog poglavlja je da zainteresuje itaoce, stavi do znanja svim onima koji
danas rade i radie u oblasti IT bezbednosti i da ukae na postojanje neprkidne
potrebe za kreiranjem novih kriptografskih mehanizama koje e nadjaavati
oruje napadaa, jer bitka izmeu dobrih i loih momaka se nastavalja
Beograd, Srbija 2014.
Kriptologija 2
Autori
VIII
1. UVOD
Savremene informacione tehnologije i globalizacija dramatino su promenile
dananji svet raunarskih mrea, koje se odlikuju visokim stepenom integracije
razliitih elektronskih servisa. Obzirom da je broj Internet servisa i novih korisnika usluga svakodnevno u porastu, poveava se koliina i vrednost informacija
koje se razmenjuju. Informacije koje se razmenjuju putem mrea i skladite na
umreenim memorijskim lokacijama, mogu biti kompromitovane ukoliko nisu
adekvatno zatiene. U svim tipovima mrene komunikacije poseban izazov
predstavljaju mehanizmi za kontrolu pristupa. Njihova uloga je da zatite podatke
i informacije od neovlaenih pristupa putem dovoljno bezbednih postupaka za
proveru identiteta.
Procenjuje se da celokupna oblast zatite informacija u narednom periodu treba
da obezbedi radikalan kvalitativan skok i pomeranje osnovne paradigme raunarske sigurnosti ka paradigmi informaciono teorijske sigurnosti. Ovaj pomeraj
bi omoguio sintezu itave klase zatitnih mehanizama, ija kompromitacija vie
ne bi zavisila od raunarske snage napadaa.
Interesantno je zapaziti da preduslov za ovaj poduhvat lei u razvoju novih metoda digitalne obrade signala, koje na fizikom sloju savremenih raunarsko komunikacionih mrea treba da obezbede ekstrakciju dovoljne koliine isto sluajnih nizova pogodnih za primenu u novim protokolima uspostavljanja i razmene
kriptolokih kljueva maksimalne duine i neodreenosti.
U domenu pouzdane i za praksu prihvatljive autentifikacije, biometrija postaje
znaajan izvor kriptolokih parametara. Digitalna obrada izvornih biometrijskih
signala je od presudnog znaaja, kako za uspostavljanje tako i za ekstrakciju autentifikacionih kodova maksimalne entropije.
U domenu upravljanja autorskim pravima digitalnih sadraja, digitalna obrada
signala nosioca i utiskivanje digitalnih peata, vidljivih i nevidljivih, takoe predstavlja nezaobilazan gradivni element. Sve ovo ukazuje na novo mesto ove discipline u okviru opte teorije i prakse sinteze sistema za zatitu informacija. U
udbeniku se identifikuje, analizira i razvija klasa podsistema digitalne obrade
signala koje ispunjavaju nove zahteve proistekle iz ovih novih trendova u zatiti
informacija u savremenim raunarsko komunikacionim sistemima.
Kriptologija 2
1.1. KRATKA ISTORIJA POLITIKE IFROVANJA

Alati koji implementiraju kriptografske mehanizme, omoguie kompanijama i
pojedincima da zatite svoje line podatke i privatnost. Sjedinjene Drave su nekada kontrolisale izvoz ifarskih mehanizama, sa istim tretmanom kao da se radi
o oruju. To je uinjeno zbog zatite NSA-a. To je bio period kada je ifrovanje bilo
ogranieno na mali broj korisnika, uglavnom vlade i banke. Tada je to ogranienje
imalo smisla. Takoe, bilo je lake da se kontrolie ifrovanje kada je to bio samo
komad hardvera (kao Enigma), nego danas kada je mogue pokrenuti softver na
bilo kom raunaru.
Internet je znaajno uticao na promenu svega oko nas. Raunari su bili bezbedni,
jer nisu bili povezani na mreu. Glavna procedura zatite podataka je bila zakljuavanje vrata od prostorije u kojoj se raunar nalazio. Meutim, sa pojavom
Interneta sve ove raunarske maine postale su nezatiene u nebezbednom
mrenom okruenju, tako da zatita od fizikog pristup vie nije dovoljna. Danas
je neuporedivo bitnije zatititi raunar od udaljenog pristupa preko Interneta,
koji danas predstavlja glavnu pretnju.
NSA-a koja je trenutno mnogo osporavana u svetu, uvidela je ovaj problem jo u
ranim 1990-im. NSA je tada imala dve misije. Prva je da se zatite podaci od amerikih dravnih i privatnih institucija od strane pijunae. Druga je, da sauva
sposobnost za prikupljanje obavetajnih podataka iz stranih zemalja. Amerika
politika je bila da se pronae reenje koje e uiniti Internet mnogo bezbednijim,
a sa druge strane da se sauva operativnost NSA-a. NSA je razvio elegantno i skupo reenje Kliper ip engl. Clipper chip". Kliper je hardversko reenje. Ideja je da
se ip ugrauje na svakom novom raunaru. To bi omoguilo ifrovanje podataka,
ali i mogunost itanja podataka od strane onih ovlaenih lica koji su imali klju
za ifrovanje. Jedan od problema sa ipom je dodatno vea cena za stotinak dolara na postojeu cenu svakog raunara i mobilnog telefona. Drugi problem se ticao
privatnosti sa aspekta sudskih organa, jer NSA bi znala klju i tako mogla da ita
bilo koju ifrovanu poruku.
Meutim, prema miljenju mnogih strunjaka iz ove oblasti, ovakva ideja nije
imala potencijala da zaivi. Umesto ipa dati su predlozi da se ljudima da pristup
Kriptologija 2
10
softveru za ifrovanje. Ove predloge je zastupao tadanji direktor centralne obavetajne slube, koji je direktno iznosio nove predloge predsedniku USA.
Skup proizvod koji vas titi od svih, ali ne i od NSA, to je iznenaujue, na tritu
je imao mali broj pritubi. Na kraju, Kliper nije dao odgovor na ovaj problem. Nova Klintonova administracija, u elji da kontrolie iroko rasprostranjenu Internet mreu, odluila je da formira dve grupe u Beloj kui za nadzor Interneta. Prva
grupa je imala nadzor nad servisima za elektronsku trgovinu, dok druga grupa
ima zadatak da vodi rauna o bezbednosti javnih mrea. Zadatak ovih radnih
grupa je bio da pronau nain za stvaranje bezbednosne politike na Internetu bez
oteenja ili sprovoenja zakona ili obavetajnih sposobnosti. Radna grupa je
potroila na ovaj zadatak preko etiri godine i dola do reenja u kom predlau
iroko rasprostranjenu upotrebu softvera za ifrovanje.
Tada je postalo jasno da e se koristiti softversko ifrovanje umesto hardverskog.
Komercijalna proizvodnja hardverskih ureaja za ifrovanje nije mogla da zaivi
za upotrebu u poslovnim okruenjima, na taj nain ne bi postojalo veliko trite
za ifarske proizvode. Grupa za bezbedne javne mree se usmerila na PKI infrastrukturu ili na infrastrukturu sa javnim kljuevima. PKI obezbeuje bezbedne
naine za razmenu kriptolokih kljueva, tako da samo ovlaena lica mogu pristupiti podacima, koji se skladite na raunarima ili putuju izmeu dva raunara.
Meutim, kao i svaki drugi sistem koji poseduje interakciju sa spoljnim svetom i
PKI je imao mnogo problema.
Prvo, FBI i NSA su hteli da poseduju kopije kljueva, kojima je mogue pristupiti
po sudskom nalogu. Traili su treu stranu od poverenja da raspolae sa kljuevima, ali shvatili su da nijedna kompanija ne eli da dozvoli pristup treoj strani
svojim vanim podacima. Ne postoji takva stvar kao to je trea strana od poverenja za istinski vredne podatke, ovo svi treba da imamo na umu.
Drugo, otkriveno je da kod veine komercijalno dostupnih softvera postoje
ozbiljni bezbednosni nedostaci. Godine 1999. NSA je pregledala 40 najboljih proizvoda koji su se prodavali za ifrovanje. Nijedan od njih nije bi bez mana. Neke
kompanije su tvrdile da koriste kljueve duine 56 bitova, ali po dizajnu ili grekom programi nisu koristili vie od 28 bitova kljua, ije su duine jo u to vreme bile izuzetno kratke. Kljuna komponenta ifarskih algoritama su generatori
sluajnih brojeva. Neke kompanije koriste neispravne generatore sluajnih broKriptologija 2
11
jeva. Drugi su odustali u potpunosti od generatora, koristili su listu predefinisanih brojeva, sa koje bi programi nasumino birali one koje e iskoristiti za ifrovanje. Neadekvatan generator sluajnih brojeva omoguava kriptoanalitiaru da
sa znaajno manje truda probije neki ifarski sistem, ovo svakako ne predstavlja
izazov za NSA-a i FBI-a.
Pisanje programa za ifrovanje predstavlja izuzetno teak posao. Posle tog izvetaja o stanju softvera na tritu, iz godine u godinu je softver napredovao, ali ne
toliko da i danas ne zadri bezbednosne propuste. Da je SAD pokuao da odri
softver na nekom nivou izvrsnosti, to bi sigurno ubilo trite, ba kada je pokuao
da odri automobile od 1920 po bezbednosnim standardima koje imamo i danas.
Ovo je upravo razlog zato je kriptologija kao vojna tehnologija dospela u civilnu
upotrebu, koja se sve vie kao ozbiljna nauka sa ogromnim potencijalom u budunosti izuava na mnogim svetskim univerzitetima. Zahvaljujui sve veem
broju strunjaka iz ove oblasti, nedostaci koji postoje e nestati, ali ne u skorije
vreme.
Problem bezbednosti na Internetu bio je toliko aktuelan da je eskalirao u predstavnikom odboru saveta za nacionalnu bezbednost, gde se zvaninici u toj administraciji sastaju samo u vezi najvanijih problema. ifrovanje i Internet bezbednost trai neminovno teke odluke. Ako SAD dozvoli kompanijama da prodaju
softver i hardver za ifrovanje, NSA e izgubiti velike mogunosti (ovo se nedavno
desilo, zbog promene u tehnologiji). Tanije, FBI bi mogao izgubiti sposobnosti da
prislukuje kriminalne komunikacije (estoka pomo za sprovoenje zakona i
zakona o patriotskom aktu, mere za ouvanje sposobnosti za prislukivanje bez
obzira na promene u tehnologiji, (podeavanje konteksta za sprovoenje zakona)). Tehnologija se menja najvie iz komercijalnih razloga, vladine agencije to
moraju ispratiti. Tekoa ovoga je preterana rutina, ali inteligentni signali i postojanje prislukivanja u dinaminim tehnolokim okruenjima, moraju biti jednako
prilagoeni dinaminim naporima da odri svoje operativne sposobnosti.
Izvor dinamizma u ovoj debati je bio veoma neoekivan, kad su upitanju albe na
bezbednost raunara i Internet-a. Tempo prilagoavanja premaio je oekivanja.
Tranja je bila nezasita. Nekoliko novih korisnika je znalo ili nije marilo zbog ranjivosti. Postoje oni koji su bili svesni, ali nisu mogli da kupuju amerike dovoljno
jake proizvode. Mnoge kompanije su napravile greku, jer su koristile besplatne
softver za kriptografsku zatitu. To je bio sluaj jedne amerike avio kompanije
Kriptologija 2
12
koja je preuzela sa Interneta PGP softver sa jednog sajta u Holandiji. Ovo je glavni
mamac stranih obavetajni slubi, oni nude besplatno ovakav softver da bi kasnije mogli da proitaju sve ifrovane poruke. Ovo je jedan jasan pokazatelj na
potrebu za razvojem sopstvenog kripto softvera, bez obzira na postojanje suptilnih nedostataka. Sve ovo je stvorilo komercijalne rizike koji su pretili amerikim
kompanijama uspon na tritu informacionih tehnologija.
Radana grupa koja je oformljena u Beloj kui za nadzor elektronskih Internet
servisa imala je velike sukobe sa FBI i NSA. Ideja da se nad ifrovanjem izgubi
kontrola nije bila nikako prihvatljiva za FBI i NSA. Razlozi su jasni, to bi smanjilo
sposobnost prikupljanja obavetajnih podataka. Meutim, radna grupa je predloila da se ona pobrine o bezbednosnoj Internet politici.
Razlozi za promenu politike bili su jasni. Iako postoji rizik za nemogunost prikupljanja obavetajnih podataka, radi zatite amerikih kompanija i potroaa.
Veliki komercijalni rizik amerikih kompanija je u dinaminom tritu u kom SAD
vie nee imati monopol nad ifrovanjem podataka. U budunosti emo videti
rairenu upotrebu ifrovanja na Internetu, da li e nam se dopasti ili ne. Bilo je
govora o zadnjim vratima" u softveru (softver koji je ponudila NSA), ali je to
odbaeno. Razlog tome su strani protivnici koji ele da iskoriste zadnja vrata.
Radna grupa je zadobila poverenje narodnih poslanika, da je mogue prevazii
probleme bez ogranienja i zadnjih vrata.
Ovo je iz mnogo razloga idealan ishod. Oni koji su doneli ideju o kontroli ifrovanja, mislili su da su pobedili. Do tada je bilo normalno da drava odluuje o svemu, odobrava prodaju kompanije ili pribavlja sve to moe da joj zatreba. Jedino
politika nije uspela u ovom sluaju, kada je re o zatiti raunarskih mree.
Klintonova administracija, kreirala je Internet politiku od ICANN (engl. Internet
Corporation for Assigned Names and Numbers) i zakona o elektronskoj trgovini
na kritinoj infrastrukturi - PDD63. Naalost i pored Internet politike, ifrovanje
je najmanje uspean deo Internet politike. Pretpostavka koja je dovela do nekontrolisanog ifrovanja u svetu je, da ako pustimo ifarske mehanizme izvan kontrole, ljudi e ih koristiti i Internet e biti bezbedan. Izgleda da je ova pretpostavka
bila pogrena.
Kriptologija 2
13
Veina ljudi ne koristi kriptografsku zatitu od kada je postala javno dostupna.

Ovo nije oekivan ishod. Oni su potencijalni rizik. Moda e sadanja otkria promeniti stvari. ifrovanje za obine ljude je bezveze, tako rei samo usporava
raunare i postaje dosadno. Moda e rast procesorske snage reiti ovaj problem.
ifrovanje je teko sprovesti i implementirati, ali ako to postane deo servisa u
oblacima (engl. cloud) koji ne zahteva korisniku aktivnost sa aspekta implementacije kriptografskog mehanizma, to ne mora vie da bude problem u praksi. Nova
istraivanja ukazuju da je jednostavnost korienja vanija od procene rizika u
odreivanju da li e ljudi koristiti ifarske algoritme, ali i promene u nainu upotrebe Interneta danas, dae ifarskim mehanizmima drugu ansu.
I dalje e biti problema. Prirodno je da razvoj hardvera generie nove probleme
na softverskoj strani. Softver e i dalje imati nedostatke, a implementacije e sigurno biti neujednaene. Drugi tip problema koji nastaje, jeste zbog ljudskih greaka. Ovo stvara mogunosti za uspean napad nekog sofisticiranog napadaa,
koji e to pokuati iskoristiti, ali to e biti sve tee i tee. Prevelika upotreba
ifrovanja e verovatno zahtevati mnogo vie od poslovnih podela na kojima je
zasnovana Internet trgovina. Problem privatnosti na Internetu i dalje ostaje kao
dovoljno nereen problem. Nismo jo sigurni ta re privatnost na Internetu
predstavlja. S druge strane, razvoj mobilnih ureaja, naroito pametnih (Android,
iOS), uvodi nove bezbednosne probleme. Postavlja se pitanje koliko smo sigurni,
ko je programirao programe koje preuzimamo sa Interneta i instaliramo na naim telefonima? Da li je moda i to jedan od naina da se pokupe kljuevi? U svakom sluaju ostaje u domenu mogueg da besplatan program krade kljueve.
Ovo nije potpuna pria. Nismo jo priali o naporima oko servisa za autentifikaciju ili proveru identiteta na Internetu ili kako NSA reava probleme na Internetu
(Snouden predstavlja iskrivljenu sliku). On istie, da je politika pola pogreno na
samom poetku Internet doba. ifrovanje nije srebrni metak, u kontekstu nije
nepobedivo, ali vea upotreba bi znaila znaajno vei nivo bezbednosti podataka
na mrei.
Kriptologija 2
14
1.2. ULOGA FIZIKE, PRETPOSTAVKI I POVERENJA

Algoritmi, kako za realizaciju, tako i za razbijanje kriptografskih mehanizama su
matematiki objekti i kao takvi idealizovani. Meutim, svi procesi u realnom svetu, ukljuujui raunanje i komunikacije, predstavljaju fizike procese, koji u sebe
ukljuuju umove, kvantne efekte, i ostale faktore neodreenosti. Ovi fiziki faktori mogu ii na ruku kriptografiji ili mogu da joj odmau.
Prvo emo razmotriti oteavajue faktore. Krenuemo od kvantnog raunara, koji
je mogue realizovati, a za sada ne postoje pretpostavke da nije mogue realizovati kvantni raunar. Postojanje jednog super kvantnog raunara potencijalno
obezvreuje sve asimetrine ifarske sisteme. Ako izuzmemo ovu mogunost,
postoji neto to je blie realnosti, a to su kanali bonih informacija (engl. Side
information channels) na dometu kriptoanalitiara, a koji postoje kao rezultat
neke fizike implementacije:
1.
2.
3.
4.
Vreme obavljanja pojedinih raunarskih operacija;

Potronja pri napajanju u zavisnosti ta se rauna;
Elektromagnetna zraenja;
Odziv ureaja na provocirane kvarove (neregularno napajanje, udari, zraenje);
Prvi problem se odnosi na prvu i drugu taku. Na primer, kada koristimo operacije koje se odnose na AES algoritam, mogue je detaljnom analizom kripto procesora na osnovu prosleenih instrukcija rekonstruisati kriptoloki klju. Ova mogunost nije vie samo pretpostavka, ona danas postoji i kao komercijalno reenje. Tako da je u dananje vreme, ukoliko se profesionalno bavimo sa kriptografijom, neophodno na neki od naina zatititi procesor raunara.
Drugi problem je kompromitujue elektromagnetno zraenje - KEM. Rad raunarskog procesora u spektralnom domenu emituje jedan vrlo bogat signala. Ukoliko napada poseduje iroko pojasni prijemnik, mogue je snimiti spektar na
osnovu koga napada dobija odreene informacije (demodulacijom signala mogue je rekonstruisati kljueve). Ne preduzimanjem odgovarajuih mera za spreavanje ove vrste problema, ostavljamo mogunost za lako kompromitovanje
kriptografskog ureaja.
Kriptologija 2
15
Postoji vie naina da se sprei kompromitovanje ureaja od elektromagnetnog

zraenja. Jedna nain je da se takav kripto ureaj postavi u Faradejev kavez. Zadatak Faradejevog kaveza je da sprei dovedeni otvoreni signal da izae van
oklopljenog provodnikog zatvorenog sistema u kripto procesoru.
Poslednji problem je odziv ureaja na provocirane kvarove. Postavlja se pitanje
kako e kriptografski ureaj (zamislimo neku crnu kutiju) reagovati na neregularno napajanje (jae ili slabije) i druga zraenja koja mogu da izazovu neplansku
pobudu kod ureaja i na taj nain otkrije neke informacije o stanjima kripto ureaja.
Sve ovo predstavlja multidisciplinarnost ove oblasti, moete da napiete idealan
matematiki algoritam (na primer, One-Time pad dokazivo bezbedan kriptografski sistem), ali njegova fizika realizacija ga stavlja u jednu neprijateljsku
sredinu koju smo predstavili ovim oteavajuim faktorima.
Nastavljamo ovaj odeljak sa diskusijom o olakavajuim faktorima. Fizika sama
po sebi daje nekakve neodreenosti i te neodreenosti su jako bitne u kriptologiji. Interesantno je zapaziti da u savremenim sistemima umovi koji postoje u komunikacionim kanalima, predstavljaju osnovu za razvoj novih oblasti za zatitu
informacija, ali da je drugaije verovatno ta oblast ne bi mogla da se razvija. Treba zapaziti da umovi predstavljaju drugu vrstu izvora neodreenosti, na osnovu
kojih je mogue generisati kriptoloki klju.
Drugi olakavajui faktori mogu biti predstavljeni na nain da kriptoanalitiar ne
moe da zna tano stanje fizikog sistema. Na primer, u kvantnoj kriptografiji,
kriptoanalitiar moe merenjem da dobije najvie 1 bit informacije o polarizaciji.
Apstraktno gledano, zahvaljujui fizici mogue je projektovati sistem koji i bez
implementacije kriptografskog algoritama obezbeuje zatitu podataka na visokom nivou.
Stanja fizikih sistema esto se nalaze na strani kriptografa i mogu posluiti za
dizajniranje sistema za detekciju upada. Na primer, pretpostavimo da imamo
au vode i da je za kriptoanalitiara informacija koju eli da otkrije, upravo temperatura vode u ai. Kriptoanalitiar e uzeti neki termometar, stavie u vodu i
izmeriti temperaturu vode. Ovaj upad e biti detektovan iz razloga to termome-
Kriptologija 2
16
tar ima neku svoju temperaturu kojom e izazvati promenu temperature vode.
Na ovaj nain, kriptograf e detektovati promenu temperature, a time i napad.
Do sada smo stekli utisak da se ova oblast razlikuje od drugih oblasti nauke i da
kaemo tehnike u irem smislu. U klasinoj nauci obino napadamo neke prirodne fenomene, trudimo se da napravimo neke modele pomou kojih emo to bolje
da razumemo i da ovladamo nekim zakonitostima. U zatiti informacija sa one
druge strane nemamo prirodu, ve imamo protivnika. Sa ovakvog stanovita
posmatranja postavljamo pitanje ta mi u takvoj sredini pretpostavljamo i ta su
to pretpostavke kada projektujemo neki sistem i na emu zasnivamo bezbednost
takvog sistema?
Bezbednost svakog kriptografskog sistema zavisi od odreenih pretpostavki.
Tanije, nemogue je izrei za jedan sistem da e ostvariti svoj proklamovani cilj,
a da pri tome ne navodite pod kojim uslovima. Pri projektovanju sistema postoje
opte implicitne pretpostavke.
Prva implicitna opta pretpostavka, koja esto nije eksplicitna, je egzistencija
sluajnosti kao takve, odnosno pretpostavka da na svet nije deterministiki,
predstavlja filozofsko pitanje. Drugim reima, mogli bismo ovako da kaemo, ako
bismo iveli u svetu u kome je sve deterministiko, tada kriptologija ne bi bila
onakva kakva je sad. Zapravo ne bismo mogli da raunamo na efekte sluajnosti
koji su na neki nain u srcu kriptolokih sistema. Prema tome, implicitna pretpostavka je da u prirodi postoji ista sluajnost, odnosno na svet nije deterministiki kako smo ve rekli. Ova prva pretpostavka je sama po sebi interesantna.
Druga implicitna pretpostavka je da sluajne veliine mogu biti nezavisne. Na
primer, kada govorimo o sluajnim veliinama, uzmimo scenario generisanja
kriptolokog kljua. Ne samo da pretpostavljamo da je upotrebljen prirodni izvor
informacije (sluajnosti), mi pretpostavljamo i da je svaki generisani bit kljua
nezavisan jedan od drugog.
Jedna opta pretpostavka, koja je gotovo uvek eksplicitna, je da imamo poverenja
u neke entitete ili komponente sistema kada projektujemo neki sistem. Nemogue je rei kada projektujemo kriptografski sistem, da ne postoji bar neka taka
sistema u koju smo delegirali poverenje. Na primer, ako uzmemo jedan profesionalni sistem kao to je One-Time pad, on obezbeuje komunikaciju izmeu dve
Kriptologija 2
17
take. ta je poverenje koje smo delegirali u ovom sistemu? Delegirali smo poverenje, tako to verujemo osobi koja je prenosila klju od Alise do Boba i pravila
kopiju, da nije napravila treu kopiju kljua. Drugi primer, kada koristimo neki
pseudo sluajni generator u obinim sistemima, mi verujemo prvo naem operativnom sistemu i aplikacijama koje su instalirane na njemu i verujemo njegovim
specifikacijama, to znai ako smo sauvali kljueve u neki deo za koji smatramo
da je pod naom kontrolom i da u specifikaciji pie da niko drugi ne moe tom
mestu pristupiti (ni operativni sistem), ili ako je pod nekim uslovima koje mi kontroliemo. Ovo je primer delegiranja poverenja u isporuioca softvera, koji je tvrdio da se to zaista tako ponaa.
Cilj profesionalne sinteze kriptografskog sistema je da sve pretpostavke, kako
implicitne tako i eksplicitne, uini to je mogue slabijim. Sada nakon ove diskusije moemo da zamislimo ta je idealan kriptografski sistem, kao i pitanje da li je
on mogu? Idealan sistem bi bio onaj u kome su svi servisi tajnosti zadovoljeni, a
da nigde nita nismo delegirali. Dakle, to znai da na sistem ne podrazumeva
odreene zavisnosti, ako bismo ovo mogli da postignemo, imali bismo jedan idealan sistem u kome nije delegirano nikakvo poverenje. Sa druge strane, kada poredimo dva kriptografska sistema u smislu koji je bolji, pod istim kriptolokim
uslovima proglasiemo boljim onaj sistem koji je najmanje delegirao poverenje
po nekim takama sistema. Meutim, ako bismo hteli da zamislimo kako izgleda
jedan idealan kriptografski sistem, verovatno bismo zamislili dve crne kutije u
dve take, u kojima nita nije delegirano kao poverenje, i koje nekako stalno rade
u pozadini.
U praktinom svetu teko je projektovati jedan idealni sistem. Obzirom da nije
mogue ili je jako teko izbei potrebu za delegiranjem poverenja, postoji ideja da
se projektuju nove komponente koje bi detektovale korumpiranost nekog entiteta kome je poverenje delegirano. Postojanje ovakvog sistema za detekciju pronevere poverenja dalo bi ovom kriptografskom sistemu prednost u odnosu na bilo
koji drugi.
Naveemo jedan interesantan primer iz oblasti mainskog uenja koji je dosta
aktuelan danas u svetu, a moe da nae primenu u kriptografskom sistemu. Re
je o jednom stranom projektu, gde je napravljen eksperiment u kome ispitanici za
raunarom, svojim mislima (modanim talasima) pomeraju kursor mia (gore,
dole, levo i desno). Sve ovo moe biti iskorieno u druge svrhe. Stvarno pitanje
Kriptologija 2
18
za ovakav sistem bi glasilo, da li je mogue detektovati da ispitanik svojim mislima kae hou levo, a zapravo misli da hoe desno. Upravo ova mogunost moe
biti jedna za sintezu sistema za detekciju pronevere delegiranog poverenja. Na
primer, ako onom kome delegiramo poverenje, ispiemo spisak bezbednosnih
procedura kojih se on mora striktno pridravati (politika o tajnosti kljueva itd.),
tada je jako bitno preko ovih sistema za detekciju utvrditi da li e postojati dvosmisleno ponaanje. Redukcija ovih pretpostavki i zahteva za poverenjem u cilju
postizanja zadatog nivoa bezbednosti je centralna tema svakog budueg razvoja
kriptografije.
Kriptologija 2
19
1.3. ONTOLOGIJA DOMENA ZATITE

Kriptologija predstavlja izvorno vojnu tehnologiju sa izuzetnom dravnom kontrolom. Moemo da kaemo da je ona igrom sluaja razvojem Interneta prela u
javni domet, ali bez obzira na sve i dalje je ostala dominantno vojna tehnologija.
Napomenuemo osnovne savremene servise zatite koji spadaju u ovu oblast.
Servis tajnosti;
Servis za autentifikaciju;
Servis za obezbeenje integriteta;
Servis za obezbeenje neporecivosti.
Svi navedeni servisi su nametnuti kao aktuelni od strane Interneta kao globalne
IT infrastrukture. Meutim ako se paljivo analizira, svi ovi servisi su paljivo
razvijani i plod hladnog rata za kontrolu i upotrebu nuklearnog oruja.
Tajnost je nastala kao potreba za skrivanjem informacija. Na primer, ako se stvara velika presija izmeu dve drave, a krajnji rezultat potencijalno moe biti rat
izmeu njih, bitno je zatititi tajnost poruke koja u sebi sadri poruku Ispali prvu
raketu, predsednik!. U sluaju da druga drava proita poruku, tada bi ona prva
odreagovala i pokvarila planove.
Autentifikacija je jako bitna kao servis. Ostanimo na prethodnom primeru. Vojske
kao rukovaoca sa nuklearnim orujem mora da bude sigurna da je ba tu poruku
poslao predsednik drave.
Integritet podrazumeva u prethodnom primeru zatitu poruke od izmena. Pretpostavimo da je druga strana presrela poruku i izmenila je tako da glasi Nemojte
jo ispaljivati raketu!. U tom sluaju druga strana bi prva odreagovala.
I na kraju neporecivost, da onaj ko je primio naredbu (vojnik, vojna baza) ne
moe da kae da nije primio naredbu. Za ovaj servis neophodno je da postoji pisani trag o tome, dovoljan da moe da snosi konsekvence.
Meutim, ako govorimo o vrstama tehnologije, njihovoj bezbednosnoj osetljivosti
i rangu vanosti, zakljuujemo da naa tehnologija ima sva tri plusa. To znai da
Kriptologija 2
20
ona moe biti vojna, civilna, poseduje odreene stepene osetljivosti i ima rang
vanosti koji se u doktrinarnim dokumentima NATO pakta tretira kao nuklearno
oruje, slika (Slika 1.1).
Vrsta tehnologije
Vojna
Civilna
Bezbednosna
osetljivost
+
-
+/+/-
Rang
vanosti
A (Cyber +
nuklearno raketno oruje)
Slika 1.1 Status tehnologije
Doktrinarni dokumenti za 21. vek podjednako tretiraju vanost svih kriptolokih

mehanizama za zatitu informacija i nuklearnog oruja na isti nain. Jedina dva
sluaja za koja se ne eka da se donose kolektivni dogovor u zapadnim dravama,
a pri tome treba odmah da se reaguje su nuklearni napad i sajber (engl. Cyber)
napad.
Doktrinarni dokumenti govore o tome kolika se vanost pridaje ovoj oblasti i
kako je ona u jednom velikom usponu na zapadu. Ameriki predsednik ima svoj
tim od 9 profesora iz ove oblasti sa poznatih amerikih univerziteta i oni predstavljaju stalni komitet koji mu daje godinji izvetaj o stanju u oblasti i ta treba
novo preduzeti u njoj.
Predstaviemo nekoliko interesantnih konstatacija iz jednog godinjeg izvetaja,
koji predstavlja zvanini izvetaj Bele kue:
Iako dananje stanje tehnike izlazi u susret neposrednim potrebama, jo

uvek ne obezbeuje odgovarajuu zatitu u raunarima i mreama.
Fundamentalno razliite arhitekture i tehnologije se oekuju i potrebne
su da bi IT infrastruktura bila bezbedna.
US akademske institucije danas imaju skoro 250 aktivnih profesionalaca
iz ove oblasti na koje se oni mogu osloniti.
U izvetaju pored konstatacija, date su i preporuke, od kojih smo izdvojili jednu:
Kriptologija 2
21
Prvo da se pojaa rad na univerzitetima u ovoj oblasti, tanije da se koliko

god je mogue da se ovi predmeti po studijskim predmetima uvode, kao i
da se otvaraju novi projekti.
Izneemo nekoliko naih zakljuaka o ovoj oblasti. Ovi sistemi koje mi koristimo i
o kojima priamo, nisu samo tehnoloki, oni su i socijalni, jer ih koriste i obini
ljudi. Sve ovo zajedno treba da generie jednu bezbednu IT infrastrukturu.
Poverenje u sistem bezbednosti zahteva kvantitativnu metodologiju. To ne moe
biti deskriptivna pria, ve to mora biti nauno zasnovana pria. Zahtevani su
dokazivi nivoi bezbednosti koji imaju ontoloku teinu prirodnih zakona.
Socijalno ekonomske i bezbednosne dimenzije zahtevaju reenje u kom sistemsko izuavanje bazinih teorijskih pristupa predstavlja nezaobilazan zahtev.
Tajnost
Autentinost
Dva kljua
Jedan klju
Be
zu
sl
ov
na
Preko slike (Slika 1.2) posmatraemo celu oblast - kriptologije. Ljubiasta boja
predstavlja cilj, zelena boja vrstu algoritma i uta tip bezbednosti. Ako nam je cilj
tajnost i autentinost, tada algoritmi sa kojima to moemo postii mogu biti sa
jednim kljuem ili sa dva kljua. Algoritmi sa jednim kljuem su simetrini algoritmi, a algoritmi sa dva kljua su asimetrini ifarski algoritmi. Tip bezbednosti
koju postiemo moe biti bezuslovna i raunarska. Na slici treba primetiti da je
polje bezuslovne sigurnosti vezano samo za jedan klju, dok je raunarska (ili
praktina) vezana za algoritme sa jednim i sa dva kljua.
Raunarska
Slika 1.2 Deskriptivni dijagram kriptologije kao oblasti
Kriptologija 2
22
U nastavku ovog odeljka diskutovaemo o tome kako je enon postavio teorijske

osnove analize ifarskih sistema, posebno kada je re o bezuslovnoj bezbednosti
koja je propagirana preko perfektnih ifarskih sistema, slika (Slika 1.3). Pre enonovih naunih radova, to nije imalo svoju matematiku postavku.
Slika 1.3 enonov model tajnog komuniciranja
Po enonu, Prvi korak u matematikoj analizi kriptografije zahteva idealizaciju

procesa komuniciranja na takav nain da omogui definiciju kriptografskog
sistema na matematiki prihvatljiv nain.
Njegova osnovna generika ema prikazana je na slici (Slika 1.3). Pretpostavimo
da imamo neki izvor poruka i generisane poruke emo oznaiti sa . U bloku
ifrovanje imamo jedan skup transformacija koje emo da oznaimo sa . Indeks
je vezan za kriptoloki klju. Klju je dobijen preko bloka izvor kljueva. Rezultat jedne iz skupa razliitih transformacija za zadatu poruku i klju , generisae ifrat . Druga strana ili prijemna strana da bi deifrovala poruku, mora da
primeni odgovarajuu inverznu transformaciju 1, nakon ega e generisati
poruku , koja e biti identina poruci na predajnoj strani. Ova ema predstavlja
neki osnovni koncept. Pored svih funkcionalnih blokova u emi, postoji i neko ko
napada ovaj sistem i ta taka je oznaena sa neprijateljski kriptoanalitiar .
Principijelna ideja cele kriptologije je da transformacije koje se koriste budu poznate i kriptografu i kriptoanalitiaru, a jedino to kriptoanalitiar ne zna su kljuevi (Kerkehofi principi). Ova ema je dizajnirana na osnovu simetrinih sisteKriptologija 2
23
mima sa javnim kljuem. Da bi smo bolje razumeli poeemo od enona koji je

definisao dva tipa bezbednosti. Prva je bezuslovna bezbednost, to znai da se za
zadati kriptografski sistem moe rigorozno dokazati nominovana bezbednost u
odnosu na protivnika koji raspolae neogranienim vremenskim i raunarskim
resursima. Danas se ova bezbednost naziva informaciono-teorijska bezbednost.
ifra koja odgovara datom opisu bezuslovne bezbednosti je One-time pad i predstavlja enonov ideal apsolutne bezbednosti (simetrina ifra).
Prirodni informacioni izvor

Generator sluajnih
nizova
Predajna
strana
Prijemna
strana
Slika 1.4 enonov ideal
Na slici (Slika 1.4) prikazan je prirodni informacioni izvor koji se koristi kao generator sluajnih nizova (kriptolokih kljueva). Najkvalitetnije generatore sluajnih nizova mogue je pronai u prirodnim okruenjima. Ujedno, dobijeni sluajni niz iz datog informacionog izvora predstavlja klju koji se koristiti za ifrovanje kod One-time pad ifarskog algoritma. Nain koji je prikazan na slici je isuvie zahtevan. Potrebno je obezbediti kopije nizova na obe strane, a oni e se
kasnije koristiti kao kljuevi. Drugi problem je to duina kljueva mora da bude
jednake duine kao i poruka.
Druga bezbednost koju je enon definisao je dokaziva raunarska bezbednost, to
znai da se za zadati kriptografski sistem moe rigorozno dokazati nominovana
bezbednost u odnosu na protivnika koji poseduje specifine vremenske i raunarske resurse. ifre koje najvie odgovaraju definiciji raunarske sigurnosti su iz
Kriptologija 2
24
kategorije simetrinih (sekvencijalne ifre) i asimetrinih (RSA) algoritama i po

enonu predstavljaju pseudo ideal raunarske sigurnosti.
Prirodni informacioni izvor

Generator sluajnih
nizova
Generator
pseudo
sluajnih nizova
Generator
pseudo
sluajnih nizova
Predajna
strana
Prijemna
strana
Slika 1.5 enonov pseudo ideal
Na slici (Slika 1.5), prikazan je prirodni informacioni izvor koji ima ulogu generatora sluajnih nizova koji se koriste kao inicijalna stanja pseudo sluajnih generatora za generisanje pseudo sluajnih nizova. Na ovaj nain je iskoriena neodreenost prirodnog izvora u fiksnim dimenzijama, nezavisno od duine poruke. Na
primer, A5/1 sekvencijalna ifra u svoja tri registra smeta 64 bita unutranjeg
kljua, na osnovu koga kasnije generie radni klju za ifrovanje ogromnog broja
poruka. A5/1 se uglavnom koristi za zatitu govora (GSM), zbog svoje podobnosti
za hardversku realizaciju.
U ovom primeru moemo da pretpostavimo scenario u kome smo generisali niz
od 64 bita, koji smo zatim iskoristili kao unutranji klju A5/1, a pseudo generator sa slike je upravo sekvencijalni algoritam A5/1 koji generie radene kljueve
za proces ifrovanja.
Prednost pseudo ideala je velika u odnosu na enonov apsolutni ideal kada je re
o kriptografskim sistemima. Sada je potrebno distribuirati kopiju kljua od 64
Kriptologija 2
25
bita na drugu stranu, nakon ega moe da otpone ifrovanje velike koliine podataka.
U sluaju pseudo ideala sa One-Time pad ifrom, proces ifrovanja se svodi na
XOR operaciju nad bitovima otvorene poruke i bitovima pseudo sluajne sekvence (radnog kljua). Deifrovanje se vri identinim pseudo sluajnim nizom na
prijemu koji se XOR-uje sa dobijenim bitovima ifrata. Korienje pseudo sluajne
sekvence (engl. Keystream) je identino korienju kljua kod One-Time pad-a i
naziva se radni klju koji je generisan na osnovu kljua dobijenog preko prirodnog informacionog izvora. Kod sistema koji se odnose na enonov pseudo ideal,
upotrebom pseudo generatora rtvovana je apsolutna tajnost perfektna tajnost.
esto smo koristili termin nominovana bezbednost. Nominovana bezbednost
predstavlja paljiv i kompletan opis operacionog scenarija, u kome se egzaktno
daje:
Od kakvih napada kriptografski sistem treba da obezbedi zatitu?

ta je poznato napadau?
ta je poznato korisnicima sistema?
Sve fizike pretpostavke, koje blie odreuju ta napada i korisnici
sistema mogu da urade?
Meutim, paradoks savremenog stanja stvari po pitanju dokazive bezbednosti je

neoekivan. Krajnji zakljuak je da dokaziva bezuslovna bezbednost predstavlja
REALNOST, dok dokaziva raunarska praktina bezbednost predstavlja MIT.
Kriptologija 2
26
1.4. PRAKTINA BEZBEDNOST

Razmotriemo malo detaljnije praktinu bezbednost. Ako koristimo kljueve koji
su nezavisni od poruka, ako koristimo kljueve koji su duine iste kao poruka i
ako se kljuevi ne ponavljaju, tada imamo apsolutno tajan sistem. Tanije, ukoliko
imamo napadaa koji napada na sistem pod ovim uslovima, tako to isprobava
sve mogue kljueve, dobijae sve smislene poruke na svetu. Napada kada dobije
sve smislene poruke shvatie i da nije morao to da radi, jer nee znati ta je prava
smislena poruka. Ovakav sistem nazivamo perfektnim ifarskim sistemima, ali u
ovom odeljku nije re o takvim sistemima ve o uslovno bezbednim ili praktino
bezbednim ifarskim sistemima.
Kod praktino bezbednih sistema kljuevi su rtvovani, tako to su znaajno krai
u odnosu na poruke. Ovim oni nude neku drugu vrstu tajnosti koju je enon definisao kao koliinu rada koju treba da sprovede kriptoanalitiar da bi doao do
pravog kljua. Pogledaemo ta zapravo praktina bezbednost predstavlja u matematikom smislu. Razmotrimo dijagram sa slike (Slika 1.6).
Slika 1.6 Praktina sigurnost
Kriptologija 2
27
Da bismo projektovali jedan sistem koji obezbeuje praktinu bezbednost, recimo jedan pseudo sluajni generator (AES, DES) i tvrdili ta je njegova praktina
bezbednost, morali bismo da uradimo nekoliko sledeih koraka.
Prvo moramo da kaemo da je reavanje problema kriptoanalize tog algoritma
ekvivalentno sa nekim matematikim problemom i da formuliemo o kom je matematikom problemu re. U sledeem koraku treba da se bavimo sa kompleksnosti tog matematikog problema i da pokuamo u njemu da naemo donju granicu. Donja granica tog problema oznaena je sa zelenom linijom i predstavlja cilj
projektanta tog sistema. Donja granica pretpostavlja neophodan raunarski resurs koji je potreban napadau za reavanje tog problema. Da bismo razumeli
znaaj donje granice, naveemo uslov koji ona treba da ispuni. Donja granica
uvek mora biti ispod granice napadaa. Da bi ovaj uslov bio ispunjen, projektant
sistema mora da zna kolika je raunarska snaga tog napadaa. Ako je raunarska
snaga napadaa vea od donjih granica, to znai da kriptoanalitiar koji napada
taj sistem, moe da rei taj problem koji je ekvivalentan matematikom problemu.
Ovakva teorija nam omoguava da podeavamo parametre ifarskog sistema.
Ukoliko bismo mogli da podignemo granicu napadaa iznad donje granice sistema, to bi praktino znailo da imamo bezbedan sistem nalik na onaj koji je apsolutno tajan. Da bismo mogli da uradimo ovako neto, neophodno je da posegnemo za nekom matematikom teorijom koja se bavi prouavanjem algoritamske
kompleksnosti. Meutim, moe se uiniti da takva teorija nije osmiljena za kriptologiju i iz tog razloga je treba izbegavati.
1.4.1. EKVIVOKACIJA KLJUA I TAKA JEDINSTVENOSTI

U praksi se esto odstupa od perfektnih ifara zbog kompromisa izmeu nivoa
potrebne tajnosti i cene uvoenja jednog ifarskog sistema. iroko je rasprostranjena klasa neperfektnih ifarskih sistema, iji je klju znatno manji od poruka i
koristi se veliki broj puta. enon je uveo tzv. ekvivokacionu funkciju, definisanu
na skupu prirodnih brojeva:
(n) = H(K|C1 Cn ).
Kriptologija 2
28
Intuitivno je jasno da to vie ifrata imamo na raspolaganju, sve e se vie

smanjivati neodreenost kljua . Formalno, to bi znailo:
lim (n) = 0
Taka jedinstvenosti se definie kao najmanje za koje je (n) 0. Taka jedinstvenosti datog kripto sistema je najmanje za koje vai:
(|1 ) 0.
Po definiciji, taka jedinstvenosti je najmanja koliina ifrata kojom mora raspolagati kriptoanalitiar, da bi mogao da odredi klju jednoznano. Drugim reima to je najmanja koliina ifrata koja omoguava da sistem bude razbijen.
Slika 1.7 Taka jedinstvenosti perfektne i neperfektne ifre
i su iste duine i pripadaju istom alfabetu. ifrovane poruke imaju priblino maksimalnu neodreenost:
H(Cn ) n log D,
to je kriterijum kome tee svi dizajneri kripto sistema.
Kljuevi i poruke su nezavisni
H(Mn , K) = H(Mn ) + H(K),
Kriptologija 2
29
to je uobiajeno i prirodno. Tada je taka jedinstvenosti aproksimativno jednaka

H(K)
u R(M)log D,
gde je () redundansa poruka koje se ifruju, definisana sa:
R(M) = 1
H (M)
.
log D
DOKAZ:
Pretpostavimo da je dovoljno veliko, tako da vai:
H(Mn ) n H (M),
( )
(| ) =
( ) ( | ) ( ) = ( ) ( )
= ( ) ( ) = ( ) + () ( )
= () + () log
Taka jedinstvenosti je definisana sa:
(| ) = 0,
odnosno:
( () log ) + () = 0,
odakle sledi:
=
()
()
=
.
log () () log
Na primer, posmatrajmo poruke pisane na engleskom jeziku sa 27 znakova ukljuujui razmake izmeu rei i ifrovane kljuem koji se sastoji od 20 nezavisnih
karaktera engleskog alfabeta.
Tada je
() = 20 log 27.
Kriptologija 2
30
Ako za engleski jezik usvojimo entropiju od 2 bita po znaku, redundansa poruka

je data sa () = 1 2/ 27 0.58. Taka jedinstvenosti ovog ifarskog
sistema je data sa:
=
()
20 log(27)
=
35
log log(27) 2
Ovaj rezultat znai da sa poznavanjem ifrata duine oko 35 karaktera, klju se

moe odrediti jednoznano.
Primetimo da je taka jedinstvenosti , principijelno, koliina ifrata dovoljna za
jednoznano odreivanje kljua. Meutim, o samom konkretnom nainu i sloenosti odreivanja kljua na osnovu poznavanja ifrata nema nijedne rei u enonovim radovima.
1.4.2. POVEANJE TAKE JEDINSTVENOSTI

Iz same definicije take jedinstvenosti vidimo da je jedan mogui nain za njeno
poveavanje, smanjivanje redundanse poruka koje se ifruju, odnosno poveanje
njihove entropije.
Stoga je na primer dobra ideja komprimovati poruke pre ifrovanja. Predlaemo
uvoenje nekog metoda za kompresiju. Na primer, Hafamanovo tzv. entropijsko
kodovanje.
I zaista za najbolje mogue komprimovanje:
H(Mn ) n log D, R(M) 0,
u .
PRIMER 1
Taka jedinstvenosti kripto sistema kojim se ifruju poruke iz alfabeta od 96 znakova, pri emu je entropija poruka 3 bita/po znaku, dok je entropija kljua 33 bita
je:
=
Kriptologija 2
33
= 9.2,
log 96 3
31
=1
3
= 54.4%.
log 96
PRIMER 2
Taka jedinstvenosti kripto sistema kojim se ifruju binarne poruke, redundanse
25%, dok su kljuevi duine 16 bita i uniformno su raspodeljeni je:
=
Kriptologija 2
16
= 64.
0.25 1
32
1.5. VEROVATNOSNI MODEL IFROVANJA

U ovom primeru verovatnosnog modela ifrovanja upotrebiemo samo jedan
klju i izvriti jedno ifrovanje. Neka postoji raspodela verovatnoe nad prostorom poruka P. Oznaimo apriornu verovatnou izbora otvorenog teksta x sa
().
Neka je klju izabran u skladu sa nekom fiksnom raspodelom verovatnoe. Najee se klju bira sluajno, tako da su svi kljuevi jednako verovatni, to u
optem sluaju ne mora biti tako.
Oznaimo ovu raspodelu kljueva sa (). Podsetimo se da se klju bira nezavisno od poruke, tako da su klju i poruka , dve nezavisne sluajne veliine.
Dve raspodele verovatnoa nad skupovima P i K indukuju (odreuju) raspodelu
verovatnoa nad skupom ifrata C. Naimo ovu raspodelu.
Za fiksno K , definiemo:
(K) = {(, ): },
odnosno (K) predstavlja skup moguih ifrata ako se upotrebi konkretni klju K.
Sa (, ) je oznaen ifrat koji se dobija ifrovanjem poruke x sa kljuem K.
Tada za svako imamo:
() =
() ((, )),
{:()}
gde je sa (, ) oznaen otvoren tekst dobijen na osnovu ifrata postupkom

deifrovanja (, ) sa kljuem K.
Za svako , moemo izraunati uslovnu raspodelu verovatnoe
(y|), odnosno verovatnou da je ifrat, pod uslovom da je otvoreni tekst
(|) = {:=(,)} ().
Kriptologija 2
33
Sada je mogue nai i uslovnu raspodelu verovatnoa (|), odnosno verovatnou da je otvoreni tekst, kada se zna da je ifrat, korienjem Bajesove teoreme:
(|) =
() (| )
()
() {:=(,)} ()
()={:()} () ((,))
Prosledimo raunanje ovih verovatnoa na jednom primeru.

PRIMER 1
1
Neka je = {, }, pri emu je () = 4 , () = 4 . Neka je = {1 , 2 , 3 , } , sa

verovatnoama (1 ) =
1
,
2
(2 ) =
1
, (3 )
4
1
4
Neka je = {1,2,3,4} i pretpostavimo da je ifrovanje predstavljeno Tabelom 1:

Tabela 1.1 Matrica ifrovanja za kripto sistem iz Primera 1
a
1
2
3
b
2
3
4
Izraunajmo raspodelu verovatnoe:

(1) = (1 ) ((1 , 1)) = (1 ) () =
1 1 1
=
4 2 8
(2) = (2 ) ((2 , 2)) + (1 ) ((1 , 2))

7
1 1 3 1
= (2 ) () + (1 ) () = + =
4 4 4 2 16
(3) = (2 ) ((2 , 3)) + (3 ) ((3 , 3))

1 1 3 1 1
= (2 ) () + (3 ) () = + =
4 4 4 4 4
Kriptologija 2
34
(4) = (3 ) ((3 , 4)) = (3 ) () =
3 1
3
=
4 4 16
Na slici (Slika 1.8) dat je graf ifarskog sistema, iz koga se vidi jasnije postupak
izraunavanja verovatnoa simbola ifrata na osnovu verovatnoa simbola otvorenog teksta i verovatnoa simbola kljueva.
Slika 1.8 Graf ifarskog sistema
Graf ifarskog sistema iz Primera 1, sa odgovarajuim verovatnoama ifrata.

Nakon izraunavanja raspodele verovatnoa ifrata, moemo pristupiti raunanju
uslovnih verovatnoa otvorenog teksta, kada je kriptoanalitiaru dostupan odgovarajui ifrat.
(|1) =
Kriptologija 2
() (1|) () (1 )
=
= 1,
(1)
(1 ) ()
35
1 1
() (2|)
() (2 )
1
(|2) =
=
=4 4=
7
(2)
(2 ) () + (1 ) ()
7
16
1 1
() (3|)
() (3 )
1
(|3) =
=
=4 4=
1
(3)
(2 ) () + (3 ) ()
4
4
(|4) =
() (4|) () 0
=
= 0.
(4)
(4)
(|1) =
() (1|)
() 0
=
=0
(1)
(1 ) ()
3 1
() (2|)
() (1 )
6
(|2) =
=
=4 2=
7
(2)
(2 ) () + (1 ) ()
7
16
3 1
() (2 )
3
() (3|)
=
=4 4=
(|3) =
1
(2 ) () + (3 ) ()
4
(3)
4
(|4) =
() (4|) () (3 )
=
= 1.
(4)
(3 ) ()
Odavde vidimo da nisu zadovoljeni uslovi apsolutne tajnosti, budui da je:

(|1) = 1 () =
1
4
(|2) =
1
1
() =
7
4
(|3) =
1
1
= () =
4
4
(|4) = 0 () =
1
4
(|1) = 0 () = 3
Kriptologija 2
36
(|2) =
6
3
() =
7
4
(|3) =
3
3
= () =
4
4
(|4) = 1 () =
3
4
Izraunajmo sada uslovne raspodele verovatnoa ( |), 1 3, 1 4.

Primenjujui Bajsovu formulu dobijamo:
( |) =
( ) (| )
()
(1 |1) =
(1 ) (1|1 ) (1 ) ()
=
=1
(1)
(1 ) ()
1 3
(1 ) (2|1 )
(1 ) ()
6
(1 |2) =
=
=2 4=
7
(2)
(2 ) () + (1 ) ()
7
16
(1 |3) =
(1 ) (3|1 )
(1 ) 0
=
=0
(3)
(2 ) () + (3 ) ()
(1 |4) =
(1 ) (4|1 )
(1 ) 0
=
=0
(4)
(3 ) ()
(2 |1) =
(2 ) 0
(2 ) (1|2 )
=
=0
(1 ) ()
(1)
1 1
(2 ) (2|2 )
(2 ) ()
1
(2 |2) =
=
=4 4=
7
(2)
(2 ) () + (1 ) ()
7
16
1 3
(2 ) (3|2 )
(2 ) ()
3
(2 |3) =
=
=4 4=
1
(3)
(2 ) () + (3 ) ()
4
4
Kriptologija 2
37
(2 |4) =
(2 ) (4|2 )
(2 ) 0
=
=0
(4)
(3 ) ()
(3 |1) =
(3 ) (1|3 )
(3 ) 0
=
=0
(1)
(1 ) ()
(3 |2) =
(3 ) (2|3 )
(2)
(3 )0
(
)
2
()+ (1 ) ()
= 0T
1 1
(3 ) ()
1
(3 ) (3|3 )
=
=4 4=
(3 |3) =
1
(2 ) () + (3 ) ()
4
(3)
4
(3 |4) =
(3 ) (4|3 ) (3 ) ()
=
=1
(3 ) ()
(4)
Ekvivokacija kljueva
H(K|C) = H(K) + H(P) H(C)
Proverimo ovaj stav, prvo raunanjem svih komponenti pojedinano:
1
1 3
3
1
3
() = log 2 log 2 = (2) (log 2 3 2) = 0.8113
4
4 4
4
4
4
1
() = 8 log 2 8 16 log 2 16 4 log 2 4 16 log 2 16 =1.8496

1 1
1 1
1
1
() = log 2 log 2 log 2 = 1.5
2 4
4 4
4
2
Stoga je:
(|) = () + () () = 1.5 + 0.8113 1.8496 = 0.4617.
Direktnim raunanjem uslovne entropije (|) dobijamo:
(|) = () (|) log 2 (|) =
[(1 |1) log 2 (1 |1) (2 |1)

log 2 (2 |1) (3 |1) log 2 (3 |1)] (1)
Kriptologija 2
38
[(1 |2) log 2 (1 |2) (2 |2)

log 2 (2 |2) (3 |2) log 2 (3 |2)] (2)
[(1 |3) log 2 (1 |3) (2 |3)
log 2 (2 |3) (3 |3) log 2 (3 |3)] (3)
[(1 |4) log 2 (1 |4) (2 |4)
log 2 (2 |4) (3 |4) log 2 (3 |4)] (4) =
1
8
0 + 16 0.59 + 4 0.81 + 16 0 = 0.4617,
ime se uveravamo u identinost rezultata dobijenih direktnim raunanjem i na

osnovu enonove formule za ekvivokaciju kljua u odnosu na ifrat.
PRIMER 2 - OneTime pad
Tabela 1.2 Tabelarni prikaz ifarske transformacije
=1
=0
a=1
0
1
b=0
1
0
K2=0
a=0
K1=1
K1=1
K2=0
b=1
Slika 1.9 Grafovski prikaz ifarske transformacije

Verovatnoe simbola ifrata
(0) = ()(2 ) + ()(1 )
(1) = ()(1 ) + ()(2 )
Kriptologija 2
39
Uslovne verovatnoe simbola poruka za poznati ifrat

( = 0) =
( = 0|) ()
(2 ) ()
=
( = 0)
()(2 ) + ()(1 )
(| = 1) =
( = 1|) ()
(1 ) ()
=
( = 1)
()(1 ) + ()(2 )
(| = 0) =
( = 0|) ()
(1 ) ()
=
( = 0)
()(2 ) + ()(1 )
(| = 1) =
( = 1|) ()
(2 ) ()
=
( = 1)
()(1 ) + ()(2 )
Uslovne verovatnoe kljueva za poznat ifrat
Kriptologija 2
(1 |0) =
(1 ) (0|1 )
(1 ) ()
=
(0)
()(2 ) + ()(1 )
(1 |1) =
(1 ) ()
(1 ) (1|1 )
=
()(1 ) + ()(2 )
(1)
(2 |0) =
(2 ) (0|2 )
(2 ) ()
=
(0)
()(2 ) + ()(1 )
(2 |1) =
(2 ) (1|2 )
(2 ) ()
=
(1)
()(1 ) + ()(2 )
40
Neka je (1 ) = (2 ) = 0.5, tada je:

(0) = () 0.5 + () 0.5 = 0.5,
(1) = () 0.5 + () 0.5 = 0.5,
nezavisno od toga kolike su verovatnoe simbola izvora P(a) i P(b). Dalje je:
(| = 0) =
( = 0|) ()
()
=
= (),
( = 0)
() + ()
(| = 1) =
( = 1|) ()
()
=
= (),
( = 1)
() + ()
(| = 0) =
( = 0|) ()
()
=
= ()
( = 0)
() + ()
(| = 1) =
( = 1|) ()
()
=
= ()
( = 1)
() + ()
Odakle sledi da se iz ifrata nita ne moe saznati o porukama, budui da su

uslovne verovatnoe poruka, ako znamo ifrat, jednake bezuslovnim verovatnoama poruka.
H(K|C) = H(K) + H(P) H(C)
() = 0.5 log 2 0.5 0.5 log 2 0.5 = 1
() = () log 2 () () log 2 ()
Kriptologija 2
41
() = (1) log 2 (1) (0) log 2 (0) = ( ()(1 )

+ ()(2 )) log 2 ( ()(1 ) + ()(2 )) ( ()(1 )
+ ()(2 )) log 2 ( ()(1 ) + ()(2 ))
= 0.5 log 2 0.5 0.5 log 2 0.5 = 1
H(K|C) = H(K) + H(P) H(C) = H(P) = () log 2 () () log 2 ()
=const.
Kriptologija 2
42
2. AUTENTIFIKACIJA
Protokol predstavlja skup pravila kojih se pridravamo u nekoj komunikaciji.
Dobar i jednostavan primer su ljudski protokoli u kojima postoje jasna pravila
kojih se pridravamo u komunikaciji sa drugim ljudima.
U praksi to moe biti razgovor izmeu studenta i profesora u momentu kada student eli da postavi pitanje profesoru. Tu komunikaciju moemo da predstavimo
kroz nekoliko koraka koji zajedno ine jedan ljudski protokol.
Na primer:
1.
2.
3.
4.
Student podie dva prsta u vis.

Profesor mu daje mogunost da postavi pitanje.
Student postavlja pitanje.
Profesor odgovara na pitanje.
Svakako, ovo je primer jednostavnog ljudskog protokola. Postoji ogroman broj

ljudskih protokola od kojih neki mogu da budu vrlo sloeni i mogu da ukljuuju u
komunikaciju vie od jednog sagovornika.
Sada, u kontekstu umreavanja moemo da nastavimo priu u smeru mrenih
protokola koji predstavljaju skupove pravila u mrenim komunikacionim sistemima. U mrenim protokolima imamo hardver umesto oveka i algoritme koji
simuliraju komunikaciju, nalik na onu izmeu dva oveka u stvarnom ivotu.
Najpoznatiji mreni protokoli su: HTTP, FTP, UDP, TCP, PPP i mnogi drugi protokoli. Zapravo prouavanje raunarskih mrea u velikoj meri se odnosi na prouavanje mrenih protokola.
U nastavku prelazimo sa standardnih raunarskih protokola na bezbednosne
protokole ili kriptografske protokole koji primenjuju dodatne pod skupove pravila u cilju uspostavljanja bezbedne komunikacije izmeu uesnika u raunarskoj
mrei na mestima gde je to neophodno. Najpoznatiji kriptografski protokoli su:
SSL, SSH, IPsec, WEP i Kerberos.
Protokoli koje smo naveli, isuvie su sloeni da bismo mogli odmah da se bavimo
njihovim dizajnom i pravilima koja odlikuju njihov dizajn. Iz tog razloga u ovom
Kriptologija 2
43
poglavlju baviemo se pojednostavljenim protokolima koji imaju zadatak da obezbede autentifikaciju. Na ovaj nain emo lake razumeti osnovne elemente
sigurnosti koji su implementirani kod ovih protokola. Kasnije kada budemo dublje ulazili u dizajn kriptografskih protokola dananjice, bie neophodno dobro
poznavanje gradiva iz udbenika Kriptologija 1.
U nastavku ovog teksta upoznaemo se sa osnovnim elementima bezbednosti koji
su vezani za poruke koje se alju preko mree za proveru identiteta uesnika komunikacije. Videemo primere poznatih vrsta napada na protokole i daemo neke
smernice za spreavanje tih potencijalnih napada.
Imajte u vidu da su svi primeri i analize u ovom udbeniku neformalni i intuitivni.
Primenom ovog principa moemo da pokrijemo sve osnovne koncepte veoma
brzo i sa minimalnom pozadinom znanja o protokolima.
Kod svake analize protokola treba imati na umu da su protokoli po prirodi vrlo
suptilni. Ovo znai da i najmanja promena dizajna protokola moe da utie na
pouzdanost samog protokola. Mnogi danas dobro poznati protokoli imaju ozbiljne nedostatke, ukljuujui IPSec, GSM i WEP. Problem ne nastaje samo kod dizajna protokola, naprotiv dizajn moe da bude proveren i dobar, ali esti su problemi na strani implementacije samog protokola. Na primer, pronaene su ozbiljne
greke u implementaciji SSL protokola u Internet pregledau IE.
Idealni bezbednosni protokoli moraju da zadovoljavaju zahteve sa aspekta:
1.
2.
3.
4.
Bezbednosti;
Efikasnosti;
Otpornosti;
Ergonominosti;
Svi bezbednosni protokoli prvo moraju da zadovoljavaju bezbednosne zahteve.

Pretpostavka je da su svi zahtevi vrlo precizno definisani. Sa druge strane, neophodno je voditi rauna o efikasnosti protokola. Pogotovo kada je re o upotrebi
skupih operacija koje se uglavnom vezuju za javne kljueve ili asimetrinu kriptografiju, to iziskuje potrebu za minimizacijom raunarskih zahteva.
Kriptologija 2
44
Minimizacijom raunarskih zahteva pravimo kompromis sa minimizacijom kanjenja i propusnog opsega nekog komunikacionog sistema koji upotrebljava dizajnirani protokol.
Idealni bezbednosni protokol mora da bude otporan na napadaa, to znai da e
raditi i kada napada aktivno pokuava da ga prekine u radu. Drugi izazov je otpornost protokola. Protokol mora da ostane operativan ak i ako mu se promeni
radno okruenje. Mnogi protokoli su dizajnirani tako da promenom radnog okruenja njegove osvedoene osobine mogu biti naruene. Veina protokola je dizajnirana u prolosti za prijateljska Internet akademska okruenja, koja moda ne
odgovaraju stvarnosti modernog Interneta i zahtevanim Internet servisa dananjice.
Ergonominost je i te kako vaan aspekt kod dizajna idealnog protokola. Ergonominost garantuje jednostavnost korienja, jednostavnu implementaciju i
fleksibilnost za razliite platforme. Od jednostavnosti korienja zavisie njegova
iroka upotreba i zastupljenost u mnogim komunikacionim sistemima. Jednostavna implementacija e smanjiti broj potencijalnih greaka koje utiu na bezbednost protokola. Vano je napomenuti da je najvei broj uspenih napada
uspeo upravo zbog loe implementacije.
Nakon svih ovih zahteva koje smo naveli, moemo da zakljuimo da je jako teko
zadovoljiti sve ove zahteve, a ovom injenicom smo daleko od sinteze idealnog
bezbednosnog protokola, ali to ne znai da treba odustati od ideje o sintezi perfektnih bezbednosnih protokola.
Kriptologija 2
45
2.1. JEDNOSTAVNI PROTOKOLI ZA AUTENTIFIKACIJU NA RAUNARU

Prvi bezbednosni protokol o kom emo govoriti je protokol koji se koristi za kontrolu fizikog pristupa u ustanovama od izuzetne vanosti za jednu dravu. Pod
tim ustanovama podrazumevamo vojne objekte - nuklearna postrojenja, vojne
institute, policiju i industrijska postrojenja.
Za pristup ovakvim objektima zaposleni dobija identifikacionu karticu koju mora
da ima kod sebe u svakom trenutku dok boravi u objektu i kada dolazi u objekat.
Da bi zaposleni fiziki pristupio objektu neophodno je da ubaci identifikacionu
karticu u ita kartica i nakon toga da unese PIN kod koji je samo njemu poznat. U
nastavku emo opisati jedan ovakav protokol.
1. Zaposleni ubacuje karticu u ita kartica.
2. Zaposleni unosi PIN kod preko tastature.
3. Sistem proverava ispravnost PIN koda, nakon ega odobrava ulaz ili zabranjuje. Pogrean PIN moe da alarmira slubu obezbeenja da preduzme neke mere predostronosti.
Skoro slian protokol koristimo kada elimo da podignemo novac preko bankomata. Protokol je sa aspekta bezbednost identian, jedino je zavretak malo
drugaiji.
1. Korisnik ubacuje karticu u ita kartica.
2. Korisnik unosi PIN kod.
3. Sistem u bankomatu proverava ispravnost PIN koda, u zavisnosti od ishoda transakcija se odobrava ili bankomat guta karticu.
Meutim, protokoli koji se razvijaju u vojne svrhe su daleko specijalizovaniji.
Jedan primer takvog protokola je IFF (engl. Identify Friend or Foe) bezbednosni
protokol. IFF protokol se koristi u avijaciji. Njegov osnovni cilj je da se sprei
otvaranje vatre po prijateljskoj strani. Ovakve incidente u vreme rata je mogue
vrlo lako izazvati, a to je situacija kada borbeni avion otvori vatru na prijateljski
avion ili na prijateljsku vojsku.
Kriptologija 2
46
Jednostavan primer IIF protokola prikazan je na (Slika 2.1). Ovaj protokol je prema nekim izvorima korien od strane junoafrikog vazduhoplovstva ili poznatijeg kao SAAF, kada su se borili u Angoli sredinom 1970-ih.
IIF protokol koji je prikazan na (Slika 2.1) radi na sledei nain. Kada SAAF radar
detektuje da se bazi pribliava neki nepoznat borbeni avion, radar generie neki
sluajan broj N i alje ga borbenom avionu u vidu izazova na koji avion mora brzo
dati odgovor. Svi SAAF-ovi avioni meusobno dele isti kriptoloki klju K koji se
koristi za ifrovanje simetrinim algoritmima. Avion nakon prijema Sluajne
vrednosti N, Vrednost N ifruje sa kljuem K i dobijeni ifrat kao odgovor na izazov alje SAAF radaru. Neprijateljski avioni kod sebe nemaju originalni klju K u
cilju potvrivanja pravog identiteta.
Na izgled ovaj protokol vrlo jednostavno daje mogunost radaru da utvrdi da li se
pribliava neprijateljski ili prijateljski avion.
2. E(
1. N
N, K)
Slika 2.1 Radar sa IIF bezbednosnim protokolom
Da li je stvarno ovaj bezbednosni protokol besprekoran za identifikaciju prijateljskog ili neprijateljskog aviona saznaemo u sledeem scenariju poznatim pod
nazivom Mig u sredini. Na osnovu ovog scenarija napraviemo uvod u aktivne i
pasivne napade na bezbednosni protokole. Konkretno scenario napada koji je
prikazan na slici (Slika 2.2) je aktivan napad napadaa u sredini.
Kriptologija 2
47
Kao to je na slici prikazano, napad se realizuje preko est koraka.

1. U prvoj fazi ruski MiG se pribliava neprijateljskoj teritoriji u Namibiji.
Radar u Namibiji ga detektuje i generie sluajnu vrednost na osnovu
koje pokuava da utvrdi njegov identitet.
2. U drugoj fazi ruski MiG dobija sluajnu vrednost koju brzo alje prijateljskom radaru u Angoli.
3. U treoj fazi radar u Angoli detektuje neprijateljski avion od SAAF vojnih
snaga i alje mu izazov u vidu sluajne vrednosti koju je dostavio ruski
MiG.
4. U etvrtoj fazi avion SAAF-a ifruje sluajnu vrednost N sa kljuem koji je
poznat samo radarima iz Namibije. Zatim ifrat alje radaru u Angoli.
5. U petoj fazi radar iz Angole dostavlja ifrat ili odgovor na izazov ruskom
MiG-u.
6. U poslednjoj estoj fazi ruski MiG odgovara na izazov radaru iz Namibije,
nakon ega ruski avion uspeva da laira svoj identitet i uspeno izvede
vazdune napade u Namibiji.
3. N
4. E(
N, K)
SAAF
Impala
2. N
Ruski
MiG
N, K)
(
E
.
5
6. E(
N, K)
Angola
1. N
Namibija
Slika 2.2 Napad na IIF, ovek u sredini
Kriptologija 2
48
2.2. JEDNOSTAVNI PROTOKOLI ZA AUTENTIFIKACIJU NA MREI

Pretpostavimo da Alisa mora da dokae pred Bobom da je ona Alisa, u sluaju gde
Alisa i Bob komuniciraju preko mree. Treba imati na umu da Alisa moe biti ovek ili maina, isto vai i za Boba. U narednim scenarijima Alisa i Bob e skoro
uvek biti maine u protokolima koje budemo razmatrali.
U veini sluajeva je dovoljno da Alisa dokae svoj identitet u komunikaciji sa
Bobom, bez potrebe da Bob dokazuje svoj identitet u komunikaciji sa Alisom.
Ponekad u bezbednosnim protokolima uzajamna autentifikacija moe biti zahtevana, a to znai da Alisa i Bob u tom protokolu moraju da se predstave jedno pred
drugim. U tom scenariju isti protokol je mogue koristiti samo u drugom smeru.
Da li je uvek uzajamnu autentifikaciju mogue reiti uvoenjem drugog smera,
videemo da u bezbednosnim protokolima taj pristup nije uvek siguran.
Pored autentifikacije, sesijski klju je neminovno potreban za bezbednu komunikaciju. Sesijski klju je simetrini kriptoloki klju koji se u komunikaciji koristi
za zatitu poverljivosti ili integriteta postojee sesije, ali sve pod uslovom da je
autentifikacija izmeu Alise i Boba uspela. Na poetku emo ignorisati sesijske
kljueve, tako da emo fokus prebaciti samo na autentifikaciju.
U odreenim situacijama, mogu postojati drugi zahtevi prilikom dizajniranja bezbednosnog protokola, kao to su:
Upotreba samo javnog kljua;

Upotreba samo simetrinog kljua;
Upotreba zajedno javnog i simetrinog kljua;
Upotreba samo he funkcije;
Anonimnost, verodostojno odbijanje itd;
Autentifikacija na jednom zasebnom raunaru je relativno jednostavna. Osnovno

pitanje se odnosi na napade na softver za autentifikaciju. Dok je potvrda identiteta ili autentifikacija preko mree daleko kompleksnija, predstavlja svoj sopstveni
skup izazova. Napada Trudi moe pasivno da opservira poruke koje se razmenjuju izmeu Alise i Boba. U sluaju da napada pasivno opservira poruke, postoji
mogunost za ponovnu reprodukciju poruke.
Kriptologija 2
49
Kod mrenih protokola pored pasivnih, mogui su i aktivni napadi preko kojih
napada moe da umetne novu poruku, da obrie celu poruku ili samo deo poruke ili da napravi neku promenu u sadraju poruke.
Na prvi pokuaj autentifikacije na mrei je prikazan na (Slika 2.3). Protokol je
jednostavan i moe biti u redu za autentifikaciju na zasebnom raunaru. Protokol
zahteva tri poruke izmeu Alise i Boba. Alisa ima ulogu klijentskog raunara, dok
Bob ima ulogu serverskog raunara. U prvoj poruci Alisa se predstavlja pred Bobom Ja sam Alisa, u drugoj poruci Bob trai od Alise da dokae da je ona zaista
Alisa. Alisa zna svoju lozinku Singidunum i alje je Bobu. Kod Boba se nalazi
baza podataka koja sadri lozinke svih svojih korisnika. Bob pretrauje Alisinu
lozinku i nakon toga potvruje Alisin identitet.
Ja sam Alisa
Dokai
lozinka = singidunum
Alisa
Bob
Slika 2.3 Primer jednostavne autentifikacije
Sada postavljamo pitanje da li je ovaj protokol nebezbedan u mrenom okruenju? Prvo, podloan je napadu zasnovanom na ponovnom reprodukovanju poruka. Drugo, Bob mora da zna ta je Alisina lozinka.
Na (Slika 2.4) prikazan je napad na autentifikaciju. Prvi put kada je Alisa koristila
ovaj protokol za autentifikaciju pred Bobom, Alisa je pasivno opservirala njihovu
komunikaciju. Alisa i Bob ne znaju da postoji u njihovom komunikacionom kanalu ovakva aktivnost od strane Trudi. Trudi je uspela da iz komunikacionog kanala
sazna ta je lozinka, a zatim da pokua napad sa ponovnim reprodukovanjem
poruka.
Kriptologija 2
50
Ja sam Alisa
Dokai
Alisa
Bob
Trudi
Slika 2.4 Napad na autentifikaciju prva faza
Na (Slika 2.5) prikazan je napad na autentifikaciju sa ponovnim reprodukovanjem poruka. U prvoj poruci, Trudi alje poruku Bobu Ja sam Alisa, u drugoj
poruci, Bob alje poruku dokai da si ti zaista Alisa. U poslednjoj, treoj poruci
Trudi alje lozinku Singidunum, nakon ega Bob proverava da li postoji lozinka
u bazi podataka i odobrava Alisi pristup ne znajui da se sa druge strane protokola nalazi Trudi.
Ja sam Alisa
Dokai
Trudi
Bob
Slika 2.5 Napad na autentifikaciju druga faza
Kriptologija 2
51
Da li postoji nain da se sprei ovaj tip napada na protokol za autentifikaciju?

Moda postoji efikasniji nain koji je prikazana na (Slika 2.6), ali definitivno ostaju isti problemi kao u prethodnom dizajnu protokola. Trudi nita ne spreava da
na isti nain ponovi napad. Tanije, ovaj napad postaje efikasniji za Trudi od
prethodnog napada.
Ja sam Alisa,
lozinka =singidunum
Alisa
Bob
Slika 2.6 Efikasniji protokol za autentifikaciju
Na slici (Slika 2.7) prikazan je poboljani protokol za autentifikaciju koji moda

na izgled deluje kao bolje reenje od prethodne dve verzije. Komunikacija izmeu
Alise i Boba izgleda identino, osim u poslednjoj poruci kada Alisa alje Bobu poruku tako to rauna otisak poruke he od lozinku preko neke jednosmerne
funkcije, kao to su MD5, SHA1 i td. Na ovaj nain Alisa krije lozinku od Boba i
napadaa. Da objasnimo, Bob sada u svojoj bazi podataka uva samo Alisinu he
vrednost od lozinke, na osnovu koje na identian nain prihvata ili odbacuje Alisin identitet.
Ja sam Alisa
Dokai
H(singidunum)
Alisa
Bob
Slika 2.7 Poboljani protokol za autentifikaciju
Kriptologija 2
52
Meutim, i ova modifikacija protokola je jo uvek podlona napadu zasnovanom

na ponovnoj reprodukciji poruka. Trudi nita ne spreava da na identian nain
falsifikuje Alisin identitet.
esta je pojava da kod razvoja Internet servisa programeri budu voeni pogrenom logikom i da na ovaj nain kako je prikazano na slici (Slika 2.7) pokuavaju
da zatite lozinke korisnika. Tano je, da je lozinka nepoznata napadau kao i
administratoru servisa, meutim to ne spreava napadaa da ostvari legitiman
pristup. Zapravo, modifikacija je samo podrazumevala transformaciju lozinke
koja se nalazila u otvorenom tekstu.
Nastavljamo dalje i postavljamo pitanje da li je mogue neto uraditi u vidu nove
modifikacije protokola, a u cilju spreavanja napada zasnovanom na ponovnom
reprodukovanju poruka? Kao odgovor na ovaj problem, primenjuje se takozvani
izazov odgovor (engl. Challeng-response).
Da li je mogue uraditi ovakvu modifikaciju u sigurnosnom protokolu? Pretpostavimo da Bob eli da autentifikuje Alisu, u tom sluaju Bob alje izazov Alisi na
koji samo Alisa moe da odgovori korektno. Izazov se tako bira da nije mogue
ponovno reprodukovanje poruka.
Kako se ovo postie? Lozinka je vrednost koju samo Alisa treba da zna. Radi sveine lozinke, koristi se jednokratno jedan broj koga emo nazvati izazov (engl.
nonce). Izazov ili jednokratna vrednost je vrednost koju je generisao Bob, ova
vrednost ne sme da se ponovi vie u protokolu za autentifikaciju.
Na slici (Slika 2.8) je predstavljena nova modifikacija preko koje emo spreiti tip
napada ponovne reprodukcije poruka. Zapravo, u ovom protokolu izazov sada
predstavlja izazov na koji Alisa treba da odgovori. He vrednost koju je Alisa generisala predstavlja odgovor na Bobov izazov. U ovom dizajnu protokola izazov je
vrednost koja onemoguava ponovnu reprodukciju, obezbeujui stalnu sveinu
lozinke.
ta je sada promenjeno novim dizajnom protokola? Primetiemo da Bob mora da
zna ta je Alisina lozinka. Ovo nije dobro reenje iz vie razloga. Uvek postoji opasnost da lozinke budu kompromitovane na Bobovoj strani, pored protokola za
autentifikaciju koji bi prestao da radi izmeu Alise i Boba, postojala bi mogunost
Kriptologija 2
53
da Alisin identitet bude ugroen i na drugim protokolima ukoliko je Alisa koristila

istu lozinku.
Ja sam Alisa
Izazov
H(singidunum, izazov)
Alisa
Bob
Slika 2.8 Protokol za autentifikaciju, izazov - odgovor
ta treba da uradimo da bismo ovo ostvarili? Raunanje he vrednosti od lozinke

je jedno reenje. Osnovna ideja kod autentifikacije jeste ideja da Alisa koristi neto to moe biti samo Alisino, a da Bob sa duge strane komunikacionog kanala
moe da verifikuje.
Ja sam Alisa
Izazov
Neto to moe biti samo Alisino,
a da Bob moe da verifikuje
Alisa
Bob
Slika 2.9 Autentifikacioni protokol, izazov odgovor 2
Ovde emo istai da algoritmi koji se koriste za raunanje he vrednosti (MD5), ne

spadaju u grupu kriptografskih tehnika, iz tog razloga kaemo da je uvoenjem
kriptografskih tehnika mogue doi do jo boljih reenja koja e u velikoj meri
doprineti podizanju nivoa sigurnosti kod bezbednosnih protokola kriptografskih bezbednosnih protokola.
Kriptologija 2
54
2.3. AUTENTIFIKACIJA INFORMACIONO TEORIJSKA ANALIZA

U ovom odeljku razmatraemo teorijsku nekompatibilnost autentifikacije i tajnosti, kao i kako obezbediti autentifikaciju u praksi, u praktinim ifarskim sistemima. Servis autentifikacije se zasniva na odreenim procedurama. Primer
takvih procedura su protokol za razmenu kljueva DH (engl. Diffie-Hellman) i RSA
asimetrini ifarski algoritam.
Podsetiemo se ta je servis za autentifikaciju? Autentifikacija je servis bezbednosti kojim se osigurava da je poruka poslata od strane autorizovane osobe. Drugim reima, pitamo se da li je primljeni ifrat C validan (poslat od strane autorizovane osobe) ili je podmetnut od strane neke neautorizovane osobe (a samim
tim sa loim namerama). Podmetnuti ifrat moe biti modifikovani legalni ifrat C
ili potpuno zamenjen nekim drugim ifratom.
Autentifikacija se dugo vremena smatrala nerazluivom od tajnosti. Kriptolozi su
relativno nedavno otkrili da su ova dva servisa bezbednosti meusobno nezavisna i da su ak meusobno nekompatibilna u isto teorijskom smislu. Ovo znai
da kriptografski sistemi koji obezbeuju maksimalnu (apsolutnu) tajnost ne mogu obezbediti nikakvu autentinost. Sa ovim problemom emo se susresti u narednim poglavljima koji se odnose na perfektne ifarske sisteme.
Krenuemo od Sajmonove teoreme. Verovatnoa da je ifrat falsifikovan. odnosno prihvaen iako je poslat od neautorizovane osobe, je ograniena sa:
= 2(;) ,
gde je C ifrat, a K klju datog ifarskog sistema.
Neka je (, ) autentifikaciona funkacija:
1 ako | = (, )
(, ) = {
.
0 u ostali sluajevima
Verovatnoa da se ifrat C prihvati kao autentian je data sa:
(acc()|) = (, )(),
Kriptologija 2
55
odnosno verovatnoa falsifikovanja autentinosti je data sa:

(acc()|) = (, acc())
= (, acc(C)|) = (, )()()
()() = (, )
,,(,)0
()()
()()
= [
]
(, )
(, )
odnosno:
log( ) = log [
()()
],
(,)
korienjem Jensenove nejednakosti dobijamo:

log [
()()
]
(,)
[log
()()
]
(,)
= (; ),
odnosno:
2(;) ,
sa jednakou, ako i samo ako je
()()
konstantno
(,)
za sve (; ) (tako da je
(, ) > 0), tj. i su nezavisni.

Da bi smo garantovali autentifikaciju, verovatnoa mora biti mala, a to znai da
uzajamna informacija izmeu ifrata i kljua mora biti velika. S druge strane
znamo da bismo obezbedili apsolutnu tajnost mora vaiti (; ) = 0, to je
opreno zahtevu atentifikacije.
Sa stanovita informaciono teorijskog pristupa, autentifikacija i tajnost su opreni
zahtevi. Zaista,
(; ) = (; ) + () () (|, ),
ako stavimo:
(; ) = 0, (|, ) = 0,
Kriptologija 2
56
sledi da je:
(; ) = () (),
to implicira:
_ 2^(() () ) > 0.
Odavde sledi da bi apsolutno tajni kriptografski sistem morao da ima ekstremno
kompleksne kljueve () () da bi se istovremeno obezbedila pouzdana
autentifikacija.
Jedno mogue reenje je da vai (; ) 0, da bi se ostvarila autentifikacija, a
da se tajnost obezbedi algoritamski. Ovo je jedan od razloga zato su kriptografski sistemi zasnovani na algoritamskoj kompleksnosti danas u irokoj upotrebi.
Osnovna ideja je da se koristi digitalni potpis poruke. Ovim se obezbeuje da je
poiljalac poruke zaista i osoba koja tvrdi da je to ona, a da u sluaju neslaganja,
poiljalac koji je digitalno potpisao poruku ne moe da porekne da je on zaista
poslao tu poruku.
Kriptologija 2
57
3. OSNOVE KRIPTOGRAFSKIH PROTOKOLA

U ovom delu udbenika prelazimo sa protokola koji se zasnivaju na lozinkama na
nove kriptografske protokole. Pokuaemo da objasnimo dizajn protokola za
bezbednu autentifikaciju upotrebom nekih kriptografskih tehnika. Prvi izazov su
kriptografski protokoli koji koriste simetrine algoritme za ifrovanje ili se zasnivaju na simetrinim kriptolokim kljuevima.
Definisaemo prvo oznake koje emo koristiti za oznaavanje odreenih faza u
protokolu koji implementira simetrine algoritme.
ifrovanje otvorenog teksta sa kljuem :
= (, );
Deifrovanje ifrata sa kljuem :
= (, );
Oznaavanje odreenih faza u protokolu koji implementira asimetrine algoritme.
ifrovanje poruke sa Alisinim javnim kljuem:
{} ;
Potpisivanje poruke sa Alisinim privatnim kljuem:
[] ;
Uvek je vano da zapamtimo da u kriptografiji sa javnim kljuevima, bilo ko moe
koristiti javne kljueve za kriptografske operacije, dok samo Alisa moe koristiti
svoj privatni klju.
Sada se nae interesovanje izmeta ili usmerava na potencijalne napade na protokole, a ne direktno na kriptografske algoritme. Pretpostaviemo da je kriptografija sigurna i da ne trebamo razmatrati o kriptografskoj snazi algoritama koje
koristimo za dizajniranje autentifikacionih protokola.
Kriptologija 2
58
3.1. AUTENTIFIKACIJA SA SIMETRINIM KLJUEVIMA

Autentifikacija zasnovana na kriptografskim tehnikama koristi simetrine ili asimetrine algoritme. Krenuemo sa razmatranjem protokola koji koriste simetrine algoritme, ali pre nego to ponemo podsetiemo se da simetrina kriptografija podrazumeva prethodno razmenjen isti kriptoloki klju izmeu dve legitimne
strane koje treba da zaponu komunikaciju.
U ovom novom scenariju Alisa i Bob treba da dele zajedniki simetrini klju koji
emo oznaiti KAB. Pretpostavka je da klju KAB mora da bude poznat samo Alisi i
Bobu. Upravo, na osnovu ovog kljua se autentifikacija obavlja dokazom o poznavanju deljenog simetrinog kljua.
Kako se ovaj scenario dizajnira? Klju se ne sme otkriti i ne sme se omoguiti napad ponovnim reprodukovanjem poruka. Na slici (Slika 3.1) prikazan je jedan
bezbedan metod preko koga Bob autentifikuje Alisu, dok Alisa nema mogunost
da autentifikuje Boba.
Ja sam Alisa
R
E(R, KAB)
Alisa, KAB
Bob, KAB
Slika 3.1 Jednosmerna autentifikacija simetrinim kljuem
Objasniemo kako radi ovaj protokol na osnovu zajednikog kljua KAB.

1. Alisa se predstavlja Bobu Ja sam Alisa.
2. Bob generie sluajnu vrednost izazov, zatim alje Alisi.
3. Alisa ifruje sa simetrinim algoritmom sluajnu vrednost R, dobijeni
ifrat alje Bobu.
Kriptologija 2
59
4. Bob deifruje ifrat koji mu je Alisa poslala i verifikuje Alisu na osnovu izazova R koji je poslao u drugom koraku.
Ovaj metod je pouzdan jer je jasno da niko drugi osim Alise nije mogao da generie korektan ifrat na osnovu koga je Bob verifikovao Alisu. Oigledan nedostatak
kod ovog protokola je uzajamna autentifikacija. Pod uzajamnom autentifikacijom
podrazumevamo predstavljanje u oba smera Alisa > Bob, Bob -> Alisa.
U sledeem dizajnu protokola na slici (Slika 3.2) razmotriemo mogunost uzajamne autentifikacije uvoenjem drugog smera autentifikacije, oba smera zasnovana na simetrinim kljuevima.
Ja sam Alisa, R
E(R, KAB)
E(R, KAB)
Alisa, KAB
Bob, KAB
Slika 3.2 Uzajamna autentifikacija sa simetrinim kljuem, 1
Objasniemo kako radi ovaj protokol za uzajamnu autentifikaciju na osnovu zajednikog kljua KAB.
1. Alisa se predstavlja Bobu Ja sam Alisa i generie sluajnu vrednost R
izazov, zatim alje Bobu.
2. Bob ifruje sa simetrinim algoritmom sluajnu vrednost R, kljuem KAB i
dobijeni ifrat alje Alisi.
3. Alisa preko primljenog ifrata verifikuje Boba i ponavlja identian korak kao i Bob. Alisa ifruje istu vrednost R kljuem KAB, zatim generisani
ifrat alje Bobu na osnovu koga Bob verifikuje Alisu.
Bob deifruje ifrat koji mu je Alisa poslala i verifikuje Alisu na osnovu izazova R
koji je poslao u drugom koraku. Ovde nastaje veliki problem, drugi korak je identian treem koraku, ovakva situacija omoguava da se Trudi predstavi kao Alisa
ili bilo ko drugi.
Kriptologija 2
60
Predloiemo modifikaciju ovog protokola, tako emo spreiti mogunost da se

bilo ko predstavi kao Alisa.
U sledeem dizajnu protokola na slici (Slika 3.3) razmotriemo mogunost poboljanja protokola za uzajamnu autentifikaciju uvoenjem posebnih vrednosti R. U
ovom sluaju Alisa e generisati RA preko koga e autentifikovati Boba, A Bob e
generisati RB preko koga e autentifikovati Alisu.
Ja sam Alisa, RA
RB, E(RA,KAB)
E(RB, KAB)
Alisa, KAB
Bob, KAB
Slika 3.3 Uzajamna autentifikacija sa simetrinim kljuem, 2
Objasniemo kako radi ovaj protokol za predloenu modifikaciju na osnovu zajednikog kljua KAB.
1. Alisa se predstavlja Bobu Ja sam Alisa i generie sluajnu vrednost RA
2. Bob ifruje sa simetrinim algoritmom sluajnu vrednost RA kljuem KAB,
generie RB za Alisu, zatim dobijeni ifrat i vrednost RB alje Alisi.
3. Alisa preko primljenog ifrata verifikuje Bobov identitet. Alisa ifruje
vrednost RB kljuem KAB, zatim generisani ifrat alje Bobu na osnovu koga Bob verifikuje Alisin identitet.
Preko ovog dizajna protokola sa slike (Slika 3.3) omoguili smo uzajamnu autentifikaciju izmeu Alise i Boba na osnovu postojanja jednosmernog autentifikacionog protokola. Da li je ovaj protokol bezbedan za uzajamnu autentifikaciju? Videemo to na slici (Slika 3.4).
Objasniemo kako je Trudi uspela da nadmudri Boba i lano se predstavi pod
Alisinim identitetom. I dalje svi parametri ostaju u funkciji, kao to su klju KAB, KA
i KB.
Kriptologija 2
61
1. Trudi se predstavlja Bobu Ja sam Alisa i generie sluajnu vrednost RA

2. Bob ifruje sa simetrinim algoritmom sluajnu vrednost RA kljuem KAB,
generie RB za lanu Alisu-Trudi, zatim dobijeni ifrat i vrednost RB alje
ka Trudi.
3. Trudi paralelno zapoinje jo jednu autentifikaciju sa Bobom (donji deo
slike), predstavlja se Bobu Ja sam Alisa i prosleuje Bobu Bobovu RB
vrednost umesto RA.
4. Bob prelazi u drugu fazu paralelnog protokola, ifruje sa simetrinim
algoritmom sluajnu vrednost RB kljuem KAB, generie neko RC (koje nije
bitno u ovom scenariju) za Trudi, zatim dobijeni ifrat i vrednost RC alje
ka Trudi.
5. Trudi preko primljenog ifrata verifikuje Bobov identitet (to nije bitno u
ovom scenariju). Trudi alje ifrat Bobu koji je Bob generisao sa kljuem
KAB u paralelnom protokolu. Na kraju Bob potvruje Alisin identitet.
1. Ja sam Alisa, RA
2. RB, E(RA,KAB)
5. E(RB, KAB)
Trudi
Bob
3. Ja sam Alisa, RB
4. RC, E(RB,KAB)
Trudi
Bob
Slika 3.4 Napad na uzajamnu autentifikaciju sa simetrinim kljuem
Izgleda da na protokol za uzajamnu autentifikaciju nije bezbedan. Trudi je jednostavno uspela da se predstavi kao Alisa, a da Bob ne zna za to. Ovaj protokol jo
jednom potvruje injenicu da su protokoli veoma suptilni!
Kriptologija 2
62
Prvi zakljuak je da protokol za uzajamnu autentifikaciju ne moe biti bezbedan

za uzajamnu autentifikaciju. Drugi zakljuak je da protokoli (napadi na protokole) mogu biti suptilni. Jo jedan zakljuak je oigledan iz ovih primera, da izmene
ili modifikacije mogu da dovedu do neoekivanih bezbednosnih problema.
U nastavku imamo zadatak da pokuamo da otklonimo propust iz prethodnog
primera. Na slici (Slika 3.5) predstavljeno je reenje sa malom modifikacijom
protokola. Uveden je dodatni parametar sa obe strane, a to je identitet Alise i identitet Boba. Pored sluajne vrednosti RA ili RB u zavisnosti od strane, ifruje se i
Alisin i Bobov parametar koji odreuje identitet sa zajednikim kljuem KAB. Da li
ove nevane promene u protokolu pomau? Odgovor je DA! Na ovaj nain onemoguili smo Trudi da koristi odgovor od Boba za trei korak u protokolu. Ukoliko pokua Bob e odmah otkriti da je u pitanju napad.
Ja sam Alisa, RA
RB, E(Bob, RA, KAB)
E(Alisa, RB, KAB)
Alisa
Bob
Slika 3.5 Uzajamna autentifikacija, modifikovani protokol
Prva lekcija koju treba da zapamtimo iz ovoga odeljka je da dve strane koje komuniciraju (Alisa I Bob) ne smeju uraditi identine stvari, jer to moe otvoriti
vrata za napadaa. Druga lekcija je da male modifikacije mogu da dovedu do velikih promena sa aspekta bezbednosti, kako na bolje tako na loije. Oigledne stvari ne moraju biti bezbedne. Takoe, ukoliko se pretpostavke ili okolnosti promene, protokoli mogu i da ne rade. Ovo predstavlja zajedniki izvor bezbednosnih
propusta, dobar primer su Internet protokoli.
Kriptologija 2
63
3.2. AUTENTIFIKACIJA SA JAVNIM KLJUEVIMA

U prethodnom odeljku smo uspeli da dizajniramo protokol za uzajamnu autentifikaciju zasnovanu na simetrinim kljuevima. Da li moemo dizajnirati identian
protokol sa korienjem javnih kljueva?
Oznake koje su potrebne za razumevanje slika, nalazi se na poetku poglavlja.
Polazimo sa prvim primerom koji koristi kriptografiju sa javnim kljuem. Protokol na slici (Slika 3.6) omoguava Bobu da autentifikuje Alisu, jer samo ona moe
da uradi operaciju sa svojim privatnim kljuem i da prosledi korektan odgovor
vrednost (deifrovano R) u treem koraku.
Ja sam Alisa
{R}Alisa
R
Alisa
Bob
Slika 3.6 Autentifikacija sa javnim kljuem - ifrovanje
Objasniemo kako radi protokol sa slike (Slika 3.6) za jednosmernu autentifikaciju na osnovu javnog kljua - ifrovanje.
2. Bob ifruje sa Alisinim javnim kljuem vrednost R (izazov) i dobijeni
ifrat alje Alisi.
3. Alisa u ovoj fazi koristi svoj privatni klju za deifrovanje poruke koju je
dobila od Boba u drugom koraku. Nakon deifrovanja Alisa dobija poruku
R koju alje u treem koraku Bobu na osnovu koga Bob verifikuje Alisu.
Jasno je da u ovom protokolu samo Alisa sa svojim privatnim kljuem moe da
deifruje poruku koju je Bob poslao kao izazov, jer je Bob za generisanje ifrata
koristio Alisin javni klju.
Kriptologija 2
64
Koliko je ovaj dizajn protokola siguran? Nije siguran, jer Trudi moe da natera
Alisu da deifruje bilo ta! Recimo neku ranije poslatu ifrovanu poruku {M}Alisa,
umesto {R}Alisa. Ovaj problem je mogue reiti upotrebom dva razliita para kljueva. Jedan par e biti upotrebljen za ifrovanje, a drugi za digitalno potpisivanje.
Prelazimo na drugi primer protokola u kome koristimo digitalni potpis. U ovom
protokolu Bob e pokuati da verifikuje Alisu na osnovu njenog potpisa. Na sledeoj slici (Slika 3.7) prikazan je protokol.
Ja sam Alisa
R
[R]Alisa
Alisa
Bob
Slika 3.7 Autentifikacija sa javnim kljuem - deifrovanje
Objasniemo kako radi protokol sa slike (Slika 3.7) za jednosmernu autentifikaciju na osnovu javnog kljua digitalno potpisivanje.
2. Bob generie sluajnu vrednost R (izazov) i alje je Alisi.
3. Alisa u ovoj fazi koristi svoj privatni klju za potpisivanje poruke (vrednost R - izazov) koju je dobila od Boba, zatim alje potpisanu poruku R
Bobu, na osnovu koga Bob verifikuje Alisu.
Koliko je ovaj dizajn protokola siguran? Problem je slian kao i u prethodnom
protokolu, Trudi ponovo moe da natera Alisu da potpie bilo ta! Oigledan je
nedostatak kod oba protokola, moraju se imati dva razliita para kljueva, kao to
smo ve rekli jedan za ifrovanje, a drugi za potpis.
Podsetiemo se nekih elementarnih stvari iz kriptografije sa javnim kljuem kod
operacija za ifrovanje i potpisivanje. Pretpostavimo da Alisa i Bob komuniciraju
preko nekog komunikacionog kanala. Na svakoj strani se nalaze po dva para klju-
Kriptologija 2
65
eva. Jedan par se koristi za ifrovanje, a drugi za potpisivanje. Ukoliko Alisa eli
da poalje Bobu ifrovanu poruku, Alisa e saznati Bobov javni klju i njega upotrebiti za ifrovanje poruke koja je namenjena Bobu. Ovu ifrovanu poruku moe
samo Bob deifrovati sa svojim privatnim kljuem.
U drugom sluaju, Alisa eli da potpie poruku koju je namenila Bobu, Alisa koristi svoj privatni klju za ifrovanje i tako ifrovanu poruku alje Bobu. Bob na
drugoj strani verifikuje Alisin potpis tako to deifruje poruku sa Alisinim javnim
kljuem. Vidimo iz ovog primera da u sluaju ifrovanja i potpisivanja javni i privatni klju menjaju svoje uloge. Ostaje jo jedna napomena, a to je osnovno pravilo da se isti par kljueva ne sme koristiti za ifrovanje i za potpisivanje.
3.2.1. SESIJSKI KLJU

U veini kriptografskih protokola uz autentifikaciju zahtevan je sesijski klju.
Sesijski klju je simetrini klju koji je vezan za jednu sesiju. Ideja je da se u svakoj iteraciji (sesiji) razgovora koristi razliit sesijski klju za ifrovanje razmenjenih podataka u okviru jedne sesije.
Svrha sesijskog kljua je da se ogranii koliina ifrovanih podataka sa jednim
kljuem, a sa druge strane da se smanji teta ukoliko se kompromituje jedan sesijski klju. Ovo je dobro prvenstveno sa aspekta kriptoanalize. Pretpostavimo da
je Trudi kriptoanalitiar koji neko due vreme opservira saobraaj izmeu Alise i
Boba. Kada je skupila veu koliinu podataka moe da zapone odreene informacione analize na osnovu kojih moe da doe do poruke ili kljua. Meutim,
upotreba sesijskih kljueva stvorila je ogromnu koliinu nepovezanih podataka,
podataka izmeu kojih je uzajamna informacija jednaka nuli. Ova injenica e
pokuaje Trudi da uradi neto, u startu osuditi na neuspeh.
Implementacijom sesijskih kljueva u protokole obezbediemo poverljivost ili
zatitu integriteta razmenjenih poruka. Na ovaj nain istovremeno obavljamo
autentifikaciju i razmenjujemo zajedniki simetrini klju (sesijski klju). Razmenjeni klju moemo koristiti za servis tajnosti ili servis za proveru integriteta.
Stoga, kada se analiziraju ovakvi protokoli za autentifikaciju, neophodno je posebno razmotriti potencijalne napade na autentifikaciju, a posebno na sesijske kljueve.
Kriptologija 2
66
U nekim sluajevima koji se odnose na implementaciju sesijskih kljueva, zahteva

se i perfektna tajnost unapred (engl. Perfect Forward Secrecy - PFS). PFS predstavlja poseban dizajn protokola koji implementira DH (engl. Diffie-Hellman) protokol koji se koristi za razmenu simetrinih kljueva, ali diskusija na ovu temu
sledi neto kasnije.
Na sledei cilj u primerima koji slede jeste da dizajniramo protokol za proveru
verodostojnosti koji takoe prua mogunost za uspostavljanje zajednikog simetrinog kljua. Pokuaemo prvo kroz jedan jednostavan primer protokola za
autentifikaciju prikazan na slici (Slika 3.8), dodati fiziki klju sesije K.
Ja sam Alisa, R
{R, K}Alisa
{R+1, K}Bob
Alisa
Bob
Slika 3.8 Protokol za autentifikaciju i uspostavu sesijskog kljua ifrovanje javnim kljuevima
Objasniemo kako radi protokol sa slike (Slika 3.8) za autentifikaciju i razmenu

sesijskog kljua.
1. Alisa se predstavlja Bobu Ja sam Alisa, generie sluajnu vrednost R.
2. Bob ifruje sa Alisinim javnim kljuem vrednost R (izazov) i izabrani sesijski klju K, zatim dobijeni ifrat alje Alisi.
3. Alisa u ovoj fazi koristi svoj privatni klju za deifrovanje poruke koju je
dobila od Boba u drugom koraku. Nakon deifrovanja Alisa dobija vrednost R i klju K. Rauna inkrement vrednost R i sve to ifruje sa Bobovim
javnim kljuem, na osnovu ega Bob na kraju protokola verifikuje Alisu.
Koliko je ovaj dizajn protokola siguran? Pouzdan je kada su u pitanju kljuevi, ali
nema uzajamne autentifikacije. U ovom protokolu je Bob uspeo da autentifikuje
Kriptologija 2
67
Alisu na osnovu kljua K, u poslednjoj fazi protokola. Primetimo da K igra ulogu

Bobovog izazova. Meutim, Alisa nije uspela da autentifikuje Boba.
Da li moemo neto da uinimo da poboljamo protokol sa slike (Slika 3.8)? Moemo koristiti digitalno potpisivanje, umesto ifrovanja sa javnim kljuem. Ova
modifikacija je jednostavna, a novi modifikovani dizajn protokola prikazan je na
slici(Slika 3.9).
Ja sam Alisa, R
[R, K]Bob
[R+1, K]Alisa
Alisa
Bob
Slika 3.9 Protokol za autentifikaciju i uspostavu sesijskog kljua digitalno potpisivanje
Protokol sa slike (Slika 3.9) je slian dizajnu protokola sa slike (Slika 3.8). Razlika
izmeu njih je jedino u operaciji sa javnim kljuevima. Ovaj protokol koristi operaciju digitalnog potpisivanja umesto ifrovanja. Da li je sada problem reen?
Postigli smo uzajamnu autentifikaciju izmeu Alise i Boba, ali ovaj protokol ima
jedan fatalan problem. Klju sesije K nije tajan. Svako ko opservira komunikaciju
izmeu njih moe da doe do kljua K preko javnog kljua Alise ili Boba.
Razmotrimo jo jednom sve pre nego to odbacimo i ovaj protokol. Protokol sa
slike (Slika 3.8) prua uzajamnu autentifikaciju, a protokol sa slike (Slika 3.9)
tajnost sesijskog kljua K. Sve ovo je stvorilo ideju o kombinovanju ova dva protokola. Upravo se tu i nalazi reenje pojedinanih problema oba protokola. Na
ovaj nain emo obezbediti bezbednu autentifikaciju i tajnost sesijskog kljua K.
Postoji nekoliko naina da ovo uradimo.
Kriptologija 2
68
Ja sam Alisa, R
{[R, K]Bob}Alisa
{[R+1, K]Alisa}Bob
Alisa
Bob
Slika 3.10 Protokol za uzajamnu autentifikaciju i uspostavu sesijskog kljua potpisivanje

i ifrovanje javnim kljuem
Prvi primer je prikazan na slici (Slika 3.10). U primeru obe strane prvo potpisuju
vrednost R i klju K sa privatnim kljuem, a zatim ifruju sa javnim kljuem druge
strane. Da li je sada protokol koji obezbeuje bezbednu autentifikaciju i razmenu
zajednikog sesijskog kljua siguran? Izgleda da je sada u redu, obezbeena je
autentifikacija i sigurna razmena sesijskog kljua.
Drugo pitanje je, da li ovaj protokol radi i u obrnutom sluaju? Na slici (Slika
3.11) prikazan je identian protokol u kome je redosled operacija sa javnim kljuem obrnut. Alisa i Bob u ovom dizajnu protokola prvo ifruju vrednost R i klju K
sa javnim kljuem druge strane, a zatim potpisuju generisani ifrat svojim privatnim kljuem.
Ja sam Alisa, R
[{R, K}Alisa]Bob
[{R+1, K}Bob]Alisa
Alisa
Bob
Slika 3.11 Protokol za uzajamnu autentifikaciju i uspostavu sesijskog kljua ifrovanje

javnim kljuem i potpisivanje
Ovaj dizajn protokola je takoe siguran, iako svako moe da vidi {R, K}Alisa i
{R+1,K}Bob. Ovo se postie skidanjem potpisa, operacija koju moe bilo ko da ura-
Kriptologija 2
69
di sa javnim kljuem, ali tu se potencijalni napad zaustavlja obzirom da je ostao

ifrat koji je nastao preko kriptografskog algoritma za koga vai pretpostavka da
je bezbedan. Na kraju ovog odeljka moemo da izvedemo zakljuak da su oba
pristupa podjednako dobra, svakako pristup na slici (Slika 3.10) pored kljua K,
zadrava i potpis u tajnosti.
3.2.2. PERFEKTNA TAJNOST UNAPRED

Sada kada smo konano doli do pouzdanog dizajna protokola koji objedinjuje
autentifikaciju i razmenu sesijskih kljueva, a sve to zasnovano na kriptografiji
javnih kljueva, u cilju novog poboljanja protokola usmeriemo se na razmatranje PFS (engl. Perfect Forward Secrecy) metoda. PFS predstavlja metod koji garantuje perfektnu tajnost unapred. Pre nego to doemo do samih detalja, reci emo
ta to nije PFS i kakva bojazan postoji kod trenutnog protokola o kome je re.
Pretpostavimo da Alisa ifruje poruku sa zajednikim simetrinim kljuem K AB i
tako generisani ifrat alje Bobu. Trudi konstantno neko vreme snima komunikaciju izmeu Alise i Boba, tanije snima ifrate koje oni razmenjuju, a kasnije napada Alisin ili Bobov raunar u cilju pronalaenja KAB. Ukoliko bi trudi uspela da
pronae KAB, uspela bi da deifruje sve snimljene ifrate.
Scenario ovog napada je potpuno mogu u nekim radnim okruenjima. Trudi za
tako neto moe upotrebiti maliciozni softver ili potpuno fiziki pristupiti raunaru i uzeti raunar ili podatke sa raunara.
Potrebno je preduzeti neke meri i pronai metod kojim bi se i ovakva mogunost
napada mogla otkloniti. Perfektna tajnost unazad - PFS predstavlja metod koji
spreava Trudi da kasnije deifruje snimljene ifrate, ak i pod uslovom da Trudi
doe do kljua KAB ili nekih drugih naina.
Da li je PFS metoda mogua? Ako bi bila mogua to znai da moraju biti zadovoljeni sledei uslovi:
1. Alisa i Bob ne mogu vie da koriste KAB za ifrovanje podataka;
2. Moraju od sada da koriste poseban klju sesije KS koji se zaboravlja nakon
jednokratne upotrebe;
Kriptologija 2
70
Upravo, na drugom uslovu nastaje problem. Kako Alisa i Bob ustanovljavaju klju
sesije KS i ostvaruju pogodnosti koje nudi PFS? Na sledeoj slici (Slika 3.12) prikazaemo jedan naivni protokol za ustanovljavanje kljua sesije.
E(KS,KAB)
E(poruke, KS)
Alisa, KAB
Bob, KAB
Slika 3.12 Naivna PFS metoda
ta je problem kod ovog protokola? Pretpostavimo da su Alisa i Bob zavrili sa

prvom fazom protokola (autentifikacija i razmena kljua KAB) i da sada ele da
ustanove klju sesije KS.
U prvom koraku druge faze pre slanja privatnih poruka, Alisa ifruje generisani
klju sesije KS sa kljuem KAB. U drugom protokolu Bob ifruje neku privatnu poruku sa kljuem sesije KS i tako generisani ifrat alje Alisi. Alisa je uspeno deifrovala i proitala poruku.
U redu, ovaj protokol sada lii na protokol koji implementira PFS, a to znai da se
koristi jednokratan sesijski klju KS. Meutim, trudi bi mogla da snimi ifrat E(KS,
KAB) i da nakon nekog vremena doe do kljua KS pod uslovom da je uspela da
doe do KAB. Zakljuak je da ovaj protokol ima neke osobine PFS-a, ali i dalje se
bitno ne razlikuje od prethodnog protokola.
Odgovor na pitanje ta je PFS metoda i koje su prednosti ovog metoda, sam se
namee na osnovu mesta problema kod ovog naivnog PFS metoda sa slike (Slika
3.12). Cilj je upravo zatiti Alisin i Bobov raunar, tako da Trudi u budunosti sa
svim snimljenim ifratima ne moe da zna ta su bili sesijski kljuevi, ak i ako
poseduje Alisin i Bobov raunar. Takoe, ovo znai da su ifrati razmenjivani
izmeu Alise i Boba bili trenutno deifrabilni, a da u budunosti ni Alisa, ni Bob
ne mogu vie deifrovati ifrate koji se nalaze kod Trudi.
Kriptologija 2
71
I dalje nam ostaje da odgovorimo na pitanje kako se perfektno moe implementirati PFS metoda, a da pri tome nae konstatacije i tvrdnje iz prethodnog pasusa
vae.
Difi-Helman protokol predloili su Vitfild Difi (Whitfield Diffie) i Martin Helman
(Martin Hellman)1. Difi i Helman su traili matematike funkcije za koje redosled
ifrovanja i deifrovanja nije bitan, na primer:
f ( g ( x)) g ( f ( x))
Ovakve funkcije postoje, veina ih je dvosmerna, odnosno mogu se lako izraunati ali je lako nai i njihovu inverznu vrednost. Primer dvosmernih funkcija:
f ( x) 2 x; f ( x) x 2
Skraenicu DH uglavnom emo koristiti za Difi-Helman algoritam ili protokol za

razmenu kljua. Protokol je razvijen nezavisno na dva mesta2. Predstavlja algoritam za razmenu zajednikih simetrinih kljueva. Nije namenjen za ifrovanje ili
digitalno potpisivanje. Bezbednost DH algoritma zasniva se na raunski sloenom
raunanju (jednosmerne funkcije) diskretnog algoritma za zadate g , p i
g n mod p nai n . Za poznato g i x , gde je x g n , moe da se odredi n :
n log g ( x)
Ako je x g n (mod p) , n se takoe odreuje preko logaritma ali diskretnog (diskretni algoritam). U nastavku emo proi kroz matematike osnove DH algoritma.
Neka je veliki prost broj i g takvo da se za svako x {1, 2,..., p 1} moe nai n
tako da je:
Vitfild Difi roen je 1944. godine u Njujorku. 1965. diplomirao na Stanford Univerzitetu. Dostupno
vise na Veb sajtu: http://en.wikipedia.org/wiki/Whitfield.
Martin Helman roen je 1945. godine, u Bronksu. Doktorirao na Stanford Univerzitetu. Dostupno
vie na sajtu: http://en.wikipedia.org/wiki/MartinHellman.
2 Government Communications Headquarters GCHQ: Dems Elis, Kliford Koks, Malkom Vilijamson.
Stanford Univerzitet: Difi i Helman
1
Kriptologija 2
72
x g n (mod p)
Vrednosti p i g su javne. U komunikaciji izmeu Alise i Boba, ove parametre

moe da odredi bilo ko od njih, a zatim se parametri razmenjuju javnim kanalom.
Alisa bira svoju tajnu vrednost a . Bob bira svoju tajnu vrednost b . Ove vrednosti
predstavljaju velike sluajne proste brojeve.
U prvoj rundi, Alisa javno alje vrednost g a (mod p) Bobu. Bob javno alje vrednost g b (mod p) Alisi. U drugoj rundi, oboje na osnovu primljenih vrednost raunaju zajedniku tajnu vrednost g ab (mod p) . Dobijena zajednika tajna vrednost
moe da se koristi kao simetrini klju.
Pretpostavimo da Alisa i Bob koriste vrednost g ab (mod p) kao simetrini klju.
Trudi moe da sazna vrednosti g a (mod p) i g b (mod p ) jer su poslate javno,
kanalom veze. Meutim, Trudi ne moe na osnovu ovih vrednosti da sazna vrednost a ili b , a ako bi to mogla da uradi, sistem bi bio razbijen, a to bi znailo da je
reila problem diskretnog algoritma. Standardom PKSC #33, definisane su i preporuene vrednosti parametara a , b , g i p za generisanje i razmenu zajednikih
simetrinih kljueva. U praksi se za p vrednost koristi veliki broj koji je vei od
1024 bita. Nakon malog podsetnika na DH protokol, nastaviemo sa implementacijom PFS metoda ija osnova e upravo postati DH protokol za razmenu simetrinih kljueva. Na sledeoj slici (Slika 3.13) prikazan je dizajn DH protokola.
podsetimo se jo jednom, g i p su javni parametri, dok su a i b tajne vrednosti koje
su samo poznate Alisi i Bobu.
PKCS #3: Diffie-Hellman Key Agreement Standard.

Dostupno na Veb sajtu: http://www.rsa.com/rsalabs/node.asp?id=2126
3
Kriptologija 2
73
g a mod p
g b mod p
Alisa, a
Bob, b
Slika 3.13 DH protokol za razmenu simetrinih kljueva
Sada kada smo upoznati sa problemima autentifikacije, jasno moemo da vidimo

sa ove slike ne postoji autentifikacija izmeu Alise i Boba. To znai da Alisa nije
sigurna sa kim je razmenila zajedniki klju i obrnuto Bob nije siguran da je na
drugoj strani Alisa. Ovim je omoguen MiM napad ili ovek u sredini, a to dalje
znai da je DH protokol podloan ovoj vrsti napada.
Kako ostvariti PFS i istovremeno spreiti MiM napad? Odgovor je dat na sledeoj
slici (Slika 3.14).
E( g
mod p , KAB)
E( g
mod p , KAB)
Alisa, a
Bob, b
Slika 3.14 Pravilna implementacija PFS metoda
Ovo je interesantan pristup za implementaciju PFS metode koja ispunjava sve

postavljene zahteve. U ovoj realizaciji PFS-a, klju sesije KS se vie ne prenosi preko mree. Moemo da primetimo da se KS sada izraunava na Alisinoj i Bobovoj
strani, a nakon izraunavanja Alisa i Bob permanentno zaboravljaju (unitavaju
na siguran nain) tajne parametre a i b koji su iskorieni samo za odreeni klju
sesije. Za svaki novi klju sesije, parametri e nanovo biti generisani na neki slu-
Kriptologija 2
74
ajan nain. Ovim smo dobili efemerni DH protokol u kojem ak ni Alisa ni Bob ne
mogu kasnije da rekonstruiu KS.
Da li postoji jo neki drugi pristup koji e omoguiti implementaciju PFS-a? Postoji jo jedan pristup, iji je dizajn u osnovi veine savremenih kriptografskih protokola dananjice. On objedinjava na jednom mestu protokol za uzajamnu autentifikaciju, klju sesije i PFS. Ovaj pristup dizajna kompletnog protokol kombinuje
protokol sa slike (Slika 3.10) i DH protokolom na slici (Slika 3.13).
Ja sam Alisa, RA
b
RB,[{RA, g mod p }Alisa]Bob
[{RB, g a mod p }Bob]Alisa

Alisa, a
Bob, b
Slika 3.15 Protokol za uzajamnu autentifikaciju, razmeni sesijskog kljua sa PFS metodom
Sada smo stavili sve elemente protokola koje smo do sada razmatrali, zajedno u
dizajn protokola, ime smo omoguili uzajamnu autentifikaciju, razmenu kljua
sesije sa PFS-om. Sa slike (Slika 3.15) se jasno vidi da je to protokol potpii pa
ifruj, modifikovan sa DH protokolom. U ovom protokolu su Alisa i Bob autentifikovani, komunikacija u vidu sesija je bezbedna, obezbeen je PFS i na osnovu svih
ovih poboljanja zakljuujemo da nema oiglednih napada.
3.2.3. VREMENSKI PEAT

Vremenski peat predstavlja tekue vreme koje je obino predstavljeno u milisekundama. Kod raunara takvo vreme nazivamo vremenski peat (engl. Timestamp). Vremenski peat moe da bude korien u protokolima na mestu izazova (engl. Nonce), jer vremenski peat odrava sveinu parametara. Omoguava
nam beleenje trenutnog vremena u milisekundama, u momentu slanja ili prijema poruka. Ovakve vremenske oznake se koriste kod mnogih realnih bezbednosnih protokola, kao to su Kerberos, o kome emo govoriti u sledeem poglavlju.
Kriptologija 2
75
Korienje vremenskog peata implicira da je vreme bezbednosno-kritian parametar. Zato bezbednosno kritian parametar? Zato to Trudi moe pokuati da
izvede napad na Alisin sat i tako uspe da reprodukuje poruku u dozvoljenim vremenskim okvirima koje nazivamo vremenska tolerancija. Dodatni problem je
injenica da vreme nije egzaktno jednako u dva odvojena trenutka, tako da se u
protokolima mora predvideti odreeno vremensko kanjenje ili vremenska tolerancija. Kolika je vremenska tolerancija dovoljna u protokolima? Za odreivanje
vremenske tolerancije neophodno je da znamo koliki je stepen sinhronizacije
izmeu Alise i Boba, zatim koliko su vremenski zahtevani odreeni procesi po
fazama protokola izmeu Alise i Boba.
U realnim protokolima, Alisa i Bob koriste NTP4 (engl. Network Time Protocol)
protokol za vremensku sinhronizaciju, sinhronizujui njihove raunare u svega
par milisekundi.
Da bi predstavili znaaj vremenskog peata u protokolu, razmotriemo dizajn
protokola sa slike (Slika 3.16). Ovaj protokol sa vremenskim peatom je u sutini
verzija protokola potpii pa ifruj, koji smo prikazali na slici (Slika 3.10). Uvodei
vremensku oznaku smanjili smo broj poruka, nemamo vie treeg koraka.
Ja sam Alisa, {[T, K]Alisa}Bob

{[T+1, K]Bob}Alisa
Alisa
Bob
Slika 3.16 Autentifikacija sa vremenskim peatom
Protokol na slici (Slika 3.16) koristi vremenski peat ili vremensku oznaku. Dizajn protokola sadri dva koraka:
Link: http://en.wikipedia.org/wiki/Network_Time_Protocol
Kriptologija 2
76
1. Alisa alje poruku o svom identitetu Ja sam Alisa, vremensku oznaku T i

klju sesije K po principu potpii pa ifruj.
2. Bob deifruje poruku koja sadri vremensku oznaku T i klju sesije K, a
zatim verifikuje Alisin potpis (autentifikuje Alisu). U narednoj fazi rauna
novu vremensku oznaku T+1 i zajedno sa kljuem sesije K potpisuje i
ifruje vrednosti sa Alisinim javnim kljuem. Na kraju protokola, Alisa na
identian nain autentifikuje Boba.
Primenjenim pristupom potpii pa zatim ifruj, dobili smo dizajn protokola koji
izgleda da je potpuno bezbedan. Ne zaboravimo da Alisa i Bob sada komuniciraju
u okvirima neke zadate vremenske tolerancije.
Ja sam Alisa, [{T, K}Bob]Alisa

[{T+1, K}Alisa]Bob
Alisa
Bob
Slika 3.17 ifruj pa potpii sa vremenskom oznakom
Razmotrimo sledei scenario, Alisa i Bob koriste skoro slian dizajn protokola, s
tim to je promenjen redosled operacija sa javnim kljuem. Sada umesto potpii
pa ifruj, primenili su pristup ifruj pa potpii, protokol na slici (Slika 3.17).
Ja sam Alisa, [{T, K}Bob]Trudi

[{T+1, K}Trudi]Bob
Trudi
Bob
Slika 3.18 Trudi napada pristup ifruj pa potpii
Kriptologija 2
77
Koliko je bezbedan ovaj dizajn protokola? Izgleda da Trudi moe da upotrebi Alisin javni klju u cilju nalaenja {T, K}Bob, a zatim da vrlo lako sazna ta je klju K.
Razmotrimo ovaj potencijalni napad koji je prikazan na slici (Slika 3.18).
Objasniemo detaljno, kako Trudi realizuje ovaj napad? Na protokolu sa slike
(Slika 3.17), Trudi je opservirala komunikaciju izmeu Alise i Boba. Preko Alisinog javnog kljua dola je do ifrata {T, K}Bob. Napominjemo da je cilj ovog napada
klju K. Od ovog momenta Trudi postaje aktivni napada. U naredna dva koraka
saznaje ta je klju K i deifruje sve ifrovane poruke koje su vezane za sesiju.
1. Trudi alje poruku koja sadri Alisin identitet Ja sam Alisa i potpisanu
vrednost {T, K}Bob.
2. U sledeem korak Bob odaje vrednost kljua K, tako to modifikuje vremensku oznaku sa T+1 i zajedno sa kljuem K ifruje sa javnim kljuem
od Trudi. Trudi sada vrlo lako koristei svoj privatni klju, saznaje vrednost kljua K.
Na ovaj scenario napada potrebno je staviti malu primedbu, Trudi mora delovati
u okviru vremenske tolerancija. Da li nebezbedni protokol sa slike (Slika 3.18)
moe da se popravi? Potrebne su manje modifikacije, nakon kojih bi ovaj protokol
postao bezbedan. Na primer, ne postoji potreba da Bob vraa klju K Alisi u drugoj poruci. Svrha druge poruke je da Alisa autentifikuje Boba. Vremenska oznaka
u poruci je u potpunosti dovoljna za autentifikaciju Boba. Napad koji Trudi izvodi
je fokusiran samo na klju K u drugoj poruci. Sada kada smo predloili sve modifikacije, videemo kako izgleda poboljana verzija prethodno nebezbednog protokola, prikazan na slici (Slika 3.19).
Ja sam Alisa, [{T, K}Bob]Trudi

[T+1]Bob
Trudi
Bob
Slika 3.19 Sigurna verzija protokola ifruj pa potpii
Kriptologija 2
78
Ve na prvi pogled moemo da uoimo da klju vie ne postoji u drugoj poruci

koju je Bob poslao Alisi. Trudi vie ne moe da napadne ovaj protokol.
Nakon upoznavanja sa konceptom vremenskih oznaka (vremenskih peata), naveemo prvo bezbedne pristupe u dizajnu ovih protokola za autentifikaciju.
Potpisati i ifrovati sa izazov (vrednost R) - bezbedno;

ifrovati pa potpisati sa izazov (vrednost R) - bezbedno;
Potpisati i ifrovati sa vremenskim peatom - bezbedno;
ifrovati pa potpisati sa vremenskim peatom - nebezbedno;
Ovo je jo jedna potvrda teze da su protokoli vrlo suptilni i da bezbednosni problemi koji mogu da nastanu. ne moraju uvek biti oigledni. Koncept koji podrazumeva uvoenje vremenskih peata primenjen je u svim stvarnim protokolima
dananjice, o kojima e biti vie rei u sledeem poglavlju.
Kriptologija 2
79
3.3. AUTENTIFIKACIJA ZASNOVANA NA TCP PROTOKOLU

U ovom odelju ukratko emo razmotriti TCP (engl. Transmission Control Protocol)
protokol koji se ponekad moe koristiti za autentifikaciju. TCP protokol u osnovi
nije dizajniran da se upotrebljava za proveru identiteta i iz tog razloga ne treba
da nas udi to nije dovoljno bezbedan. Ali njegov dizajn ilustruje neka interesantna pitanja sa aspekta bezbednosti na mrei.
TCP u konekciji esto koristi IP adresu kao parametar za autentifikaciju. ak, jedan od naina rada IPSec-a koristi IP adresu za autentifikaciju, i iz tog razloga
moe da prouzrokuje bezbednosne probleme. Ukoliko bi scenario sa IP adresom
bio bezbedan, onda nam ne bi bili potrebni neki kompleksni elementi protokola
za autentifikaciju.
U nastavku emo dati primer TCP protokola koji se koristi za autentifikaciju, kao i
potencijalne napade na njega. Da bismo razumeli kako radi TCP protokol, moramo se prvo upoznati sa fazom rukovanja (engl. Handshake). Faza rukovanja je
implementirana kroz tri koraka (engl. three-way handshake), slika (Slika 3.20).
SYN, SEQ a
SYN, ACK a+1, SEQ b
ACK b+1, podaci
Alisa
Bob
Slika 3.20 TCP faze rukovanja
1. U prvom koraku, Alisa alje Bobu zahtev za sinhronizaciju. Ovaj korak ne

sadri podatke aplikativnog nivoa, ve sinhronizacioni bit - SYN, ija je
vrednost postavljena na 1 i inicijalni redni broj SEQ a.
2. U drugom koraku, Bob odgovara sa tri veoma vana parametra. Prvi parametar je SYN, takoe vrednost postavljena na 1, drugi potvruje inicijalni redni broj a, koji je Alisa generisala (ACK a+1) i trei predstavlja inicijalni redni broj koji generie Bob (SEQ b).
Kriptologija 2
80
3. U treem koraku, Alisa odgovara Bobu sa parametrom koji potvruje prijem Bobovog inicijalnog rednog broja b, tako to alje (ACK b+1) i SYN parametar postavlja na vrednost 0, ime je konekcija uspostavljena.
Napominjemo da inicijalni parametar SEQ a i SEQ b, moraju biti sluajni brojevi,
generisani na sluajan nain. Videemo kasnije, zato je ovo vano?
Pretpostavimo da Bob nakon uspostavljanja veze preko TCP protokola sa Alisom
veruje da data IP adresa pripada Alisi. U ovom sluaju Bob je koristio TCP protokol za autentifikaciju Alise. Obzirom da Bob alje SYN-ACK indikator potvrde na
Alisinu IP adresu, logino je da odgovarajui ACK mora da doe sa Alisine adrese.
Odnosno, ako Bob proveri ACK b+1 koji se pojavljuje u treoj poruci, on ima neki
razlog da veruje Alisi i njenoj IP adresi, preko koje je primila poruku i odgovorila.
Ne zaboravimo da druga poruka sadri SEQ b, i da niko drugi ne sme da zna b.
Ukoliko pretpostavimo da Trudi ne moe da vidi SYN-ACK paket u drugoj poruci,
time nee da zna vrednost b i nee moi lako da napadne ovaj protokol. Meutim,
u praktinom smislu to je veoma teko za Trudi. Tanije, da presretne poruku
koja sadri SEQ b, ako Trudi ne moe da sazna parametar b, tada je zakljuak da
je protokol bezbedan.
Da li je mogu u ovom sluaju neki drugi tip napada na TCP protokol. ak i ako
Trudi ne moe da sazna poetne vrednosti (SEQ b), ona moe biti u stanju da
napravi razumne pretpostavke. Ovaj primer napada je prikazan na slici (Slika
3.21).
U ovom napadu Trudi prvo alje obian zahtev Bobu za sinhronizaciju (SYN). Bob
odgovara sa potvrdom (SYN-ACK), na osnovu koje Trudi ispituje i saznaje Bobovu
inicijalnu vrednost SEQ b1 u paketu SYN-ACK.
Pretpostavimo sada da Trudi moe koristiti b1, na osnovu koje moe da predvidi
sledeu Bobovu inicijalnu vrednost SEQ b2. Tada Trudi moe poslati paket Bobu
sa lane IP adrese koja odgovara Alisinoj IP adresi. U nastavku, Bob e poslati
SYN-ACK na Alisinu IP adresu po pretpostavci, a koju Trudi ne moe da vidi. Ali,
ako Trudi moe da pogodi SEQ b2, ona e moi da kompletira uspostavljanje protokola tako to e poslati Bobu SYN-ACK b2+1.
Kriptologija 2
81
1. SYN, SEQ=t(kao Trudi)

2. SYN, ACK=t+1, SEQ=b1
3. SYN, SEQ=t (kao Alisa)
5. ACK=b2+1, podaci
Trudi
Bob
EQ
=b
2
5.
AC
K=
t+
1,
S
5.
SY
N,
5.
4.
5.
Alisa
Slika 3.21 Napad na TCP protokol
Rezultat ovog napada je da Bob veruje da su podaci koje dobija Trudi stvarno
otili Alisi. Ovaj napad je dobro poznat u stvarnosti, a krivica je na inicijalnim SEQ
brojevima koji treba da budu generisani na sluajan nain, ali njihove osobine
nisu u korelaciji sa sluajnim brojevima. Oekivano je da oni budu sluajni, ali oni
obino u praksi nisu ni malo sluajni. Na primeru slika (Slika 3.22), data je vizuelna komparacija oekivanog stepena sluajnosti i sluajnost SEQ broja generisanog preko ranih verzija operativnih sistema.
Sluajni kvalitetni SEQ

brojevi
Sluajni nekvalitetni SEQ

brojevi
Slika 3.22 Komparacija sluajnosti SEQ brojeva

Kriptologija 2
82
Ovo je samo potvrda da mnogi proizvoai softvera ne umeju da generiu sluajne brojeve i da mesto i nain generisanja sluajnih brojeva predstavlja jo jednu
kritinu taku celokupne sigurnost protokola.
TCP protokol e predstavljati lou ideju za obezbeivanje servisa autentifikacije,
ak i ako su inicijalni SEQ brojevi generisani na potpuno sluajan nain preko
prirodnih izvora informacija. Oigledno reenje je uvoenje jednog sloja iznad
TCP protokola, koji bi implementirao protokol za autentifikaciju nakon uspostavljanja TCP konekcije.
Ovo poboljanje bi bilo znaajno, ak i ako bismo uveli upotrebu lozinki, tada se
ne bi oslanjali samo na TCP protokol. Razlog zbog ega se TCP i dalje koristi u
praksi za autentifikaciju je zbog njegovog mesta u mrenim slojevima i njegova
jednostavnost koja obezbeuje manje brige korisnicima, ali ne mislimo na brigu o
bezbednosti TCP protokola. Zakljuak je da TCP nije dobar za autentifikaciju, ak i
ako se koriste informaciono kvalitetni SEQ brojevi.
Kriptologija 2
83
3.4. DOKAZI SA NULTIM ZNANJEM ZKP

Sistemi sa nultim znanjem se primenjuju u situacijama kada Alisa eli da Bobu
dokae neto, recimo da poseduje reenje nekog tekog problema, a pri tom ne
eli da oda samo reenje, jer predstavlja tajnu.
Kod ovog dokaza, Alisa e dokazati Bobu da je neka tvrdnja X tana, Bob e biti
potpuno uveren da je X tano, ali nee nauiti ba nita. Samim tim Bob e stei
nulto znanje. Dokaz nultog znanja se moe uporediti sa izazov-odgovor (engl.
challenge-response) protokolom.
Na prvi pogled ovakav dizajn protokola zvui nemogue. Meutim, zahvaljujui
jednom interaktivnom procesu koji se odvija izmeu Alise i Boba, Bob moe da
verifikuje da Alisa zna tajnu sa proizvoljno velikom verovatnoom. Ovaj tip protokola predstavlja sistem interaktivnog dokazivanja.
U autentifikacionom protokolu dokazi sa nultim znanjem (engl. Zero Knowledge
Proof), Alisa eli da dokae Bobu da ona zna tajnu bez otkrivanja bilo koje informacije o tajni pred Bobom ili pred Trudi. Bob mora da verifikuje da Alisa zna tajnu, iako ne dobija nikakvu informaciju o tajni.
Pre nego to objasnimo jedan takav protokol, prvo treba da zamislimo Bobovu
peinu, koja je prikazana na slici (Slika 3.23).
Q
R
Slika 3.23 Bobova peina

Kriptologija 2
84
Alisa tvrdi da zna tajnu re koja otvara put izmeu taaka R i S (Sezame otvori
se). Da li ona moe da uveri Boba da zna tajnu re bez njenog otkrivanja?
Razmotrimo sledei protokol u kom Alisa ulazi u Bobovu peinu, baca novi od
kog zavisi da li e dospeti na stranu R ili S. Bob tada ulazi u peinu i nastavlja do
pozicije Q (pozicija sa koje Bob postavlja pitanje Alisi ili Trudi). Pretpostavimo da
je Alisa dospela na stranu R. Ova situacija je prikazana na slici (Slika 3.24).
Q
R
Slika 3.24 Bobov peinski protokol
Tada Bob baca novi i na sluajan nain odabira jednu stranu, koja predstavlja
korektnu stranu. Izabrana strana predstavlja pitanje na koje e Alisa sa velikom
verovatnoom tano odgovoriti, pod uslovom da zna tajnu. Na slici (Slika 3.24),
ako se dogodi da Bob izabere stranu R, Alisa e izabrati verovatno stranu R ili ako
se dogodi da Bob izabere stranu S, tada e Alisa dospeti na stranu S, sve pod uslovom da ona zna tajnu, Na kraju protokola, vrata izmeu R i S e se otvoriti.
Drugim reima ako Alisa ne zna tajnu, verovatnoa sa kojom ona moe da prevari
Boba je 1/2. Jasno je da u ovom sluaju Alisa ne zna tajnu preko koje moe da
uveri Boba da je to zaista ona. Ova injenica ne uliva mnogo poverenja u ovaj protokol, ali ukoliko se ovaj proces ponavlja iterativno puta, tada je verovatnoa da
Alisa prevariti Boba sa verovatnoom (1/2)2. Dakle, zakljuak je da Alisa i Bob
moraju da ponove protokol puta i da Alisa pogodi odgovor svaki put da bi Bob
poverovao da Alisa zna tajnu.
Kriptologija 2
85
Treba imati na umu sledee, obzirom da se radi o protokolu koji je zasnovan na

verovatnoi, uvek postoji ansa da Alisa ili Trudi prevari Boba sa nekom verovatnoom. Meutim, Bob moe da kontrolie ovakvu mogunost, tako to e sam
odrediti broj iteracija . Na primer, za zadati broj iteracija = 20 verovatnoa
prevare je jedan u milion sluajeva, to je zaista mala verovatnoa, ali sa poveanjem broja iteracija ova verovatnoa moe da bude jo manja. Takoe, druga je
pretpostavka da Bob potpuno sluajno bira strane, jer ukoliko bi njegov odabir
bio predvidiv, definisan nekim pravilom, tada bi Trudi mogla da projektuje napad
na Boba.
Preko ovog apstraktnog primera protokola sa scenarijom peini Bob je dokazao
da je ovaj protokol po principu nultog znanja mogu, iako ovakvi protokoli nisu
naroito popularni.
Da li moemo u praksi postii peinski efekat, ali bez peine? Odgovor je da,
zahvaljujui Fiat-Shamir protokolu. U ovom odeljku razmatraemo jednu fascinantnu emu provere identiteta, koju je razvio Fiege, Fiat i Shamir. Ovaj protokol
je u strunoj literaturi poznat kao Fiat-Shamir protokol koji emo u nastavnu
ovog odeljka prouiti.
Poznato je da nalaenje kvadratnog korena po modulu N predstavlja teak problem, slino kao i faktorizacija velikih prostih brojeva. Upravo na tu injenicu se
oslanja Fiat-Shamir protokol. Neka je = , gde su i prosti brojevi. Alisa
poseduje neku tajnu , koja se podrazumevano mora drati u tajnosti. Brojevi i
= 2 su jani parametri. Alisa sada mora da uveri Boba da ona zna bez
otkrivanja bilo kakve informacije o vrednosti .
x r 2 mod N
e {0,1}
y r * S e mod N
Alisina tajna S,
sluajno r
Bob
Slika 3.25 Fiat-Shamir protokol
Kriptologija 2
86
Fiat-Shamir protokol prikazan je na slici (Slika 3.25). Alisa u prvo na sluajan

nain generie i rauna = 2 . Zatim, u prvoj poruci vrednost alje
Bobu. U drugoj poruci, Bob generie sluajnu vrednost {0, 1} , koju alje Alisi.
U narednom koraku Alisa za uzvrat izraunava = , koje alje Bobu.
Na kraju protokola, Bob mora da verifikuje da vai:
2 = ,
i ako su oboje pravilno sledili faze protokola, sledea tvrdnja mora da bude tana:
2 = 2 2 = 2 ( 2 )2 = .
U drugoj poruci protokola sa slike (Slika 3.25), Bob alje za vrednost broj 1 ili
broj 0. U nastavku emo odvojeno razraditi oba sluaja. Ako Bob poalje vrednost
= 1, tada Alisa odgovara sa = u treoj poruci, tada vai jednakost
2 = 2 = .
Imajte na umu da Alisa u ovom sluaju ne mora da zna tajnu . Ovo moe da deluje udno, ali to je upravo ekvivalentno situaciju u Bobovoj peini, gde Alisa ne
mora da otvori tajni prolaz da bi dospela na korektnu stranu. Ova situacija deluje
primamljivo, u kojoj Bob alje = 1. Meutim, videemo da u nekom trenutku to
ne bi bilo mudro.
Prva faza protokola je identina kao sa slike (Slika 3.25). Alisa ne mora da otkrije
, iz razloga to je pronalaenje kvadratnog korena po modulu veoma teko. druga poruka je faza izazova, u kojoj Bob izaziva Alisu da da taan odgvor. Trea poruka je faza odgovaranja na izazov koji je postavio Bob, u kojoj Alisa mora odgovoriti sa tanim odgovorom. Bob verifikuje Alisin odgovor koristei jednakost
2 = 2 2 = 2 ( 2 )2 = .
Ova faza Fiat-Shamir protokola odgovara treem koraku u Bobovoj peini.
Matematika osnova Fiat-Shamir protokola e raditi ispravno pod uslovom da svi
pravilno slede faze protokola. Bob moe da verifikuje 2 = , na osnovu
informacije koju on dobija na prijemu. Meutim to ne ini ovaj protokol sigurnim.
Da bismo ga uinili sigurnim, moramo se uveriti da li potencijalni napada Trudi
moe uveriti Boba da ona zna Alisinu tajnu i time ubedi Boba da je ona Alisa.
Kriptologija 2
87
Pretpostavimo sada da Trudi oekuje da Bob poalje za izazov vrednost = 0 u

drugoj poruci. Tada Trudi moe da poalje = 2 u prvoj poruci i =
u treoj poruci. U ovom sluaju Trudi jednostavno sledi faze protokola,
jer ona i ne treba da zna tajnu .
Sa druge strane, ako Trudi oekuje da Bob poalje = 1, tada ona moe poslati
= 2 1 u prvoj poruci i = u treoj poruci.Sledei protokol,
Bob e izraunati 2 = 2 i 2 = 2 1 = 2 i u tom sluaju pronai da vai
jednakost
2 = 2 2 = 2 ( 2 )2 = ,
i iz tog razloga Bob prihvata rezultat kao vaei.
Na osnovu ovoga to smo naveli, zakljuak je da Bob mora izabrati {0, 1} na
sluajan nain (engl. Random), jer tada Trudi moe da prevari Boba samo sa
verovatnoom = 1/2.
Iz svega ovoga zakljuujemo da Fiat-Shamir protokol zahteva od Boba da izazovi
koje generie budu nepredvidljivi za Trudi. Pored toga, Alisa u svakoj iteraciji
protokola mora generisati na sluajan nain, u protivnom njena tajna e biti
otkrivena.
Da li Fiat-Shamir protokol stvarno pripada grupi protokola poznatim kao dokaz
sa nultim znanjem? To jest, moe li Bob ili bilo ko drugi saznati neto o Alisinoj
tajni . Podsetimo se da su i javni parametri, gde je = 2 . Pored toga
Bob u ovoj poruci vidi 2 i pod pretpostavkom da je = 1, Bob u treoj
poruci vidi . Ako Bob moe da pronae od 2 , tada on moe da
pronae . Meutim, pronalaenje kvadratnog korena po modulu je raunarski
neizvodljivo. ak, iako nekako uspe da pronae takav kvadratni koren, on moe
da dobije tajno direktno iz javnog parametra bez maltretiranja sa protokolom.
Iako obo nije rigorozni dokaz da je Fiat-Shamir protokol sa nultim znanjem, to ne
ukazuje na to da ne postoji nita to je oigledno u samom protokolu to pomae
Bobu da se odredi Alisin tajni .
Da li imamo neke koristi od Fiat-Shamir protokola, ili je to samo zabavna igra
matematiara. Na primer, ako koristimo javne kljueve za autentifikaciju, tada
svaka strana mora da zna javni klju one druge. Sada, ako bismo primenili FiatKriptologija 2
88
Shamir dizajn protokola na protokol sa javnim kljuevima, Alisa ne bi znala Bobov javni klju i obrnuto. U protokolima sa javnim kljuevima vai pretpostavka
da Bob alje svoj digitalni sertifikat Alisi. Meutim, taj sertifikat identifikuje Boba
na osnovu koga Trudi zna da Bob uestvuje u komunikaciji. Moemo da zakljuimo da javni kljuevi onemoguavaju uesnicima da ostanu anonimni.
Potencijalna prednost protokola sa nultim znanjem je u postojanju anonimnosti u
autentifikaciji. U Fiat-Shamir protokolu obe strane moraju da znaju vrednosti
javnih parametara, ali nijedan parametar ne otkriva Alisin identitet i ne postoji
nikakva skrivena informacija u porukama koje se razmenjuju koje bi mogle otkriti Alisin identitet.
Mogunost anonimnosti u protokolu navela je Mikrosoft da ukljui protokol nultog znanja u svoj protokol NGSCB (engl. Next Generation Secure Computing Base),
koji se koristi za autentifikaciju softvera bez otkrivanja podataka za identifikovanje raunara. Na kraju zakljuimo da Fiat-Shamir protokol pored svoje teorijske
prednosti, ima i svoju praktinu vrednost, koja je potvrena od strane najveih
proizvoaa softvera.
Kriptologija 2
89
3.5. NAJBOLJI AUTENTIFIKACIONI PROTOKOLI

U realnom svetu ne postoji najbolji protokol za autentifikaciju. Teko je dizajnirati univerzalni protokol koji e biti toliko fleksibilan, a pored toga i sa aspekta bezbednosti najbolji. Upravo odgovor na pitanje ta je najbolje za odreenu situaciju
zavisie od mnogo faktora koji e uticati na stvaranje novog protokola namenskog dizajna, a koji e biti sposoban da odgovori na sve izazove nametnutog
okruenja. Za stvaranje ovakvih specijalizovanih protokola za autentifikaciju,
neophodno je razmotriti sledea pitanja.
Koliko je aplikacija osetljiva?

Koliko je kanjenje dozvoljeno?
Da li je cena prihvatljiva?
Koje su kriptografske tehnike podrane?
Da li je potrebna uzajamna autentifikacija?
Da li se zahteva sesijski klju?
Da li se zahteva PFS?
Da li se zahteva anonimnost korisnika?
U narednom poglavlju baviemo se vanim kriptografskim protokolima dananjice, kao to su:
SSH/SSL bezbednost na Veb-u;

IPSec bezbednost na IP sloju;
Kerberos distribucija simetrinih kljueva;
WEP bezbednost na beinim mreama;
GSM bezbednost mobilnih telefona;
Kriptologija 2
90
4. SAVREMENI KRIPTOGRAFSKI PROTOKOLI

U ovom poglavlju emo diskutovati o nekoliko protokola koji su pronali iroku
primenu u stvarnom svetu bezbednosnih protokola. Prvo polazimo od SSH (engl.
Secure shell) protokola koji se koristi u razne svrhe, zatim SSL-a (engl. Secure Socket Layer) koji se trenutno koristi najvie u protokolima za bezbednost Internet
transakcija, IPSec-a (engl. Internet Protocol Security) koji predstavlja jedan kompleksan protokol sa nekim znaajnim bezbednosnim problemima, Kreberos popularni protokol za proveru verodostojnosti na osnovu simetrinih kljueva i vremenskih peata. Danas veina savremenih centralizovanih servisa za autentifikaciju koristi u osnovi dizajn Kerberos protokola. Konkretan primer je danas dobro
poznati protokol OPEN-ID5.
Na kraju, zavravamo poglavlje sa WEP i GSM protokolom namenjenim za autentifikaciju na beinim mreama. Ova dva protokola poseduju ozbiljne nedostatke,
poprilino su zastareli, ali sa druge strane njihov je znaaj to predstavljaju i
dobre kolske primere zbog velikog broja razliitih dobro poznatih napada.
Link: http://en.wikipedia.org/wiki/OpenID
Kriptologija 2
91
4.1. SSH
SSH protokol kreira bezbednosni tunel izmeu Alisinog i Bobovog raunara.
Pretpostavimo da se Alisa povezuje sa Bobom, metodom udaljenog pristupa
(engl. Remote control), gde SSH sesija obezbeuje tajnost i zatitu integriteta, ime se eliminie mogunost da Trudi doe do lozinke ili neke druge poverljive
informacije koja bi u drugom sluaju verovatno bila poslata nezatieno.
SSH protokol moe biti dizajniran tako da koristi javne kljueve, digitalne sertifikate ili lozinke. U nastavku odeljka pojasniemo rad protokola zasnovanog na
digitalnim sertifikatima.
Alisa, CP, RA
CS, RB
g a mod p
g b mod p, sertifikat_B, SB
Alisa
E(Alisa, sertifikat_A, SA,K)
Bob
Slika 4.1 SSH jednostavan primer
Za SSH protokol prikazan na slici (Slika 4.1) koristiemo sledee oznake:
_ Alisin sertifikat
_ Bobov sertifikat
predloeni kripto parametri
izabrani kripto parametri
(, , , , RA, RB, mod , mod )
[]
mod
[, , _]
() he funkcija
Kriptologija 2
92
U nastavku emo razmotriti protokol sa slike (Slika 4.1), kroz razmenjene poruke.
1. U prvoj fazi protokola, Alisa alje prvu poruku sa sledeim parametrima:
Alisin identitet Alisa,
predloene kripto parametre (kripto algoritam, duinu kljua, protokol za razmenu kljueva, he funkciju itd),
Alisin parametar izazova (na osnovu koga eli da autentifikuje Boba).
2. U drugoj fazi protokola, Bob selektuje kripto parametre koje je Alisa predloila u prvoj poruci i odgovara sa sledeim parametrima:
izabrani kripto parametri (kripto algoritam, duinu kljua, protokol
za razmenu kljueva, he funkciju itd) ,
Bobov parametar izazova (na osnovu koga eli da autentifikuje Alisu).
3. U treoj fazi protokola, Alisa alje svoje parametre DH (engl. DiffieHalman) protokola:
vrednost mod (na osnovu koje e Bob izraunati simetrini klju
) .
4. U etvrtoj fazi protokola, Bob odgovara sa sledeim parametrima na Alisinu poruku iz tree faze:
vrednost mod (na osnovu koje e Alisa izraunati simetrini klju
),
_ (Bobov sertifikat),
digitalno potpisane sve poruke koje su razmenjene do tog moment .
5. U petoj fazi, Alisa ima sve parametre na osnovu kojih moe da izrauna
klju , i u poslednjoj poruci alje ifrovan blok koji sadri:
Alisin identitet Alisa,
_ (Alisin sertifikat),
digitalno potpisane sve poruke koje su razmenjene do tog moment ,
uspostavljeni klju .
Kriptologija 2
93
Zadatak digitalnog potpisa u protokolu koji smo razmatrali je da obezbedi uzajamnu autentifikaciju preko parametara koji predstavljaju izazov sa Alisine i Bobove strane. Podsetimo se uloge vrednosti koja predstavlja izazov. Ukoliko je
Bob poslao Alisi izazov , tada e samo Alisa moi tano da odgovori. Na taj nain Bob je uspeno autentifikovao Alisu i obrnuto. Protokol o kom smo diskutovali obezbeuje uzajamnu autentifikaciju i razmenu simetrinog kljua .
Kriptologija 2
94
4.2. SSL/TLS
U savremenom elektronskom poslovanju SSL (engl. Secure Sockets Layer) protokol se koristi za veinu bezbednih transakcija preko Interneta. SSL protokol se
nalazi izmeu aplikativnog i transportnog sloja u OSI modelu (Slika 4.2), obino je
smeten izmeu HTTP i TCP protokola.
SSL (Socket
layer)
Aplikativni
Transportni
Mreni
Veza
Fiziki
Slika 4.2 SSL u OSI modelu
Na primer, ako Alisa eli kupiti neki proizvod preko eBay-a, verovatno e koristiti
PayPal za plaanje rauna (Slika 4.3).
Slika 4.3 PayPal portal
U ovom sluaju, PayPal ima ulogu posrednika za finansijske transakcije izmeu

Alisine banke (i kreditne kartice) i Boba koji ima ulogu prodavca. Zapravo, njegoKriptologija 2
95
va uloga je da Alisin novac na siguran nain dostavi Bobu preko Interneta. Pretpostavka je da Alisa i Bob veruju ovoj organizaciji, tada ova organizacija predstavlja treu stranu od poverenja.
Slika 4.4 PayPal sertifikat
Zato nam je ba ovaj primer interesantan? Zato to Alisa koristi SSl/TLS protokol
na osnovu koga autentifikuje PayPal organizaciju, a zatim ifrovano alje svoje
parametre (korisniko ime i lozinku) na osnovu ega Alisa potvruje svoj identitet.
Na slici (Slika 4.4) prikazane su osnovne informacije o protokolu i njegovim stanjima. Alisin Internet pregleda (Chrome) verifikuje ispravnost sertifikata, na
osnovu koga je potvren identitet organizacije PayPal-a na lokalitetu San Jose u
Kaliforniji US. Verifikacija je obavljena preko digitalnog potpisa koji pripada sertfikacionoj organizaciji VeriSign, u koju svi uesnici na Internetu imaju poverenje.
Nakon potvrenog vlasnitva, to govori o tome da sertifikat pripada organizaciji
PayPal, Alisin raunar stupa u bezbednu komunikaciju sa PayPal servisima. Nak-
Kriptologija 2
96
nadno emo se baviti detaljima protokola koji se odnose na uspostavu veze, u

ovom momentu naveemo samo informacije koje se odnose na sigurnosne
aspekte protokola.
Za ifrovanje podataka, koristie AES_256_CBC algoritme (AES je algoritam za
ifrovanje, 256 bitova je duina kljua, a CBC reim ifrovanja koji se koristi za
ulanavanje blokova ifrata) sa SHA1 (he funkcija) za potvrdu identiteta poruke i
RSA algoritam za razmenu simetrinog kljua. Zahvaljujui ovom protokolu uspostavljena je bezbedna veze, preko koje e Alisa zapoeti transakciju sa Bobom. Na
ovaj nain obezbeena je autentifikacija i podaci sa kreditne kartice u prenosu su
zatieni (poverljivost i/ili integritet).
4.2.1. ARHITEKTURA SSL PROTOKOLA

U nastavku ovog odeljka, na slici (Slika 4.5) prikazali smo kompletnu osnovu SSL
protokola. Objasniemo sada oznake koje emo koristili u razmatranju dizajna
protokola.
tajna pre glavne vrednosti

(, , )
sve prethodne poruke
klijentska konstanta
serverska konstanta
gde je h he funkcija. SSL protokol je daleko kompleksniji nego to je prikazano na

slici (Slika 4.5).
Zdravo, kripto lista, RA
Sertifikat, kripto izbor, RB
{S}Bob, E(h(msg, CLNT, K),K)
h(msgs, SRVR, K)
Alisa
Podaci ifrovani sa K
Bob
Slika 4.5 Primer pojednostavljenog SSL protokola
Kriptologija 2
97
U tekstu koji sledi, diskutovaemo o svakoj fazi i poruci protokola.

1. U prvoj fazi protokola, Alisa alje prvu poruku preko koje obavetava Boba da eli da uspostavi SSL vezu, sa sledeim sadrajem u poruci:
listu kripto algoritama koje moe da podri (kripto algoritam, duinu
kljua, protokol za razmenu kljueva, he funkciju itd),
parametar izazova (na osnovu koga eli da autentifikuje Boba).
2. U drugoj fazi protokola, Bob je dobio prvu poruku od Alise i odgovara sa
sledeim sadrajem u poruci:
sertifikat (_)
izabrane kripto parametre (kripto algoritam, duinu kljua, protokol za
razmenu kljueva, he funkciju itd) ,
parametar izazova (na osnovu koga eli da autentifikuje Alisu).
3. U treoj fazi protokola, Alisa je dobila drugu poruku od Boba, zatim odgovara sa sledeim sadrajem u poruci:
digitalno potpisanu tajnu pre glavne vrednosti ({} )
ifrovanu vrednost ((, , ), ) (ifrovana vrednost sadri
he vrednost od svih razmenjenih poruka, klijentsku konstantu i simetrini klju )
4. U etvrtoj fazi protokola, Bob odgovara Alisi sa porukom sledeeg sadraja:
he vrednost (, , ), na osnovu koga Alisa verifikuje da je
Bob primio sve poruke korektno, jer samo Bob moe da deifruje i da
doe do simetrinog kljua .
Posle etvrte faze protokola, Alisa i Bob su uspostavili SSL vezu, preko koje mogu
komunicirati na bezbedan nain. Za zatitu tajnosti i integriteta koristie simetrini klju koji su razmenili u trenutku uspostave SSL protokola. Meutim, u
stvarnosti je vie od jednog kljua proisteklo iz he vrednosti (, , ), tanije
est kljueva je generisano iz navedene he vrednosti.
Dva kljua za ifrovanje, jedan za poruke poslate od klijenta ka serveru i

drugi za poruke poslate od servera ka klijentu.
Dva kljua za proveru integriteta, slino kao i prethodna dva, jedan za
slanje drugi za prijem poruka.
Kriptologija 2
98
Dva inicijalizaciona vektora, opet za slanje i prijem poruka.
Na ovaj nain koristimo razliite kljueve po smerovima komunikacije. Ovaj metod upravljanja sa kljuevima trebao bi da sprei odreene vrste napada. Paljivom analizom protokola sa slike (Slika 4.5), zakljuiemo da je (, , )
nepotrebno ifrovano, jer ne poveava bezbednost protokola. Ovaj sluaj moemo smatrati propustom, obzirom da je za to utroeno neko vreme i raunarski
resurs.
4.2.2. BEZBEDNOST SSL PROTOKOLA

Zapaamo u razmatranju ovog protokola da Alisa autentifikuje Boba, ali ne i obrnuto (nema uzajamne autentifikacije). Na koji nain je ovo uraeno? Bob je poslao Alisi u drugoj poruci svoj sertifikat na osnovu koga je Alisa autentifikovala
Boba. Meutim, Bob (server) nije autentifikovao Alisu (klijent), ovo je ve viena
situacija, posebno u elektronskoj trgovini. Ovaj nedostatak se uglavnom povrno
prevazilazi unoenjem korisnikog imena i lozinke na klijentskoj strani.
Pravo reenje za postizanje uzajamne autentifikacije zahtevalo bi upotrebu Alisinog sertifikata, gde bi Bob u nekom trenutku uspostave veze zahtevao od Alise
sertifikat, na ovaj nain bi to bilo reeno, a time bi bila obezbeena uzajamna
autentifikacija.
Zato je uzajamna autentifikacija izostavljena u SSL protokolu, ostaviemo svakom itaocu da pretpostavi na osnovu sledeih pitanja.
Da li je PKI infrastruktura previe kompleksna?

Da li je upravljanje sa sertifikatima na klijentskoj strani previe zahtevno?
Da li se pruaoci Internet usluga plae da ova dopuna moe dovesti do
smanjenja profita, smanjenjem obima Internet poslovanja iz vie razloga?
Da li je zahtevana dodatna procesorska snaga na klijentskoj/serverskoj
strani zbog operacija sa javnim kljuevima?
Da li trea strana od poverenja (izdavai sertifikata) ne moe da obezbedi
kvalitetnu uslugu velikom broju korisnika (izdavanje, opoziv, reizdavanje,
validacija itd)?
Da li je uzajamna autentifikacija u suprotnosti sa neijim interesima?
Kriptologija 2
99
U nastavku, razmotriemo sve mogunosti za potencijalni napad ovek u sredini. Jedna takav potencijalni napad prikazan je na slici (Slika 4.6).
RA
RB
Sertifikat_B, RB
Sertifikat_T, RB
{S2}Bob, E(X2,K2)
{S1}Trudi, E(X1,K1)
H(Y2, K2)
H(Y1, K1)
Alisa
E(podaci, K1)
Trudi
E(podaci, K2)
Bob
Slika 4.6 SSL - ovek u sredini
Da bi smo mogli da spreimo ovu vrstu napada, neophodno je prvo da pretpostavimo da sertifikate izdaje trea strana od poverenja (verisign, comodo i td).
Razmotrimo sada potencijalne scenarije. U prvom scenariju napada, Trudi e poslati Alisi svoj sertifikat, Alisa e veoma lako da utvrdi da sertifikat nije Bobov i
prekinuti SSL uspostavu veze.
U drugom scenariju, poslae Bobov sertifikat Alisi, nakon ega e Alisa verifikovati Boba i u poslednjoj fazi ifrovati sa Bobovim javnim kljuem, nakon ega Trudi
ispada iz igre.
U treem scenariju, generisae Bobov lani sertifikat, meutim standardna SSL
veza ostvaruje su uz pomo Internet pregledaa i njihova uloga u tome je vrlo
znaajna. Zapravo, po prijemu sertifikata njihov zadatak je da provere njihovu
validnost kod tree strane od poverenja. Citiramo sledeu poruku Chrome pregledaa, nakon to utvrdi neispravnost sertifikata.
Pokuali ste da kontaktirate www.Bob.rs, ali ste umesto toga kontaktirali server
koji se identifikovao kao www.Trudi.rs. Ovo moe da bude prouzrokovano pogrenom konfiguracijom na serveru ili neim jo ozbiljnijim. Mogue je da napada sa
vae mree pokuava da vas namami da posetite lanu (potencijalno tetnu) verziju
domena www.Bob.rs. ne bi trebalo da nastavite naroito ako nikada ranije niste
videli ovo upozorenje.
Kriptologija 2
100
U ovom sluaju, adresa navedena u sertifikatu se ne podudara sa adresom WEB

sajta na koju je pregleda pokuao da ode. Jedan od moguih razloga za ovo je da
poruke presree napada koji prikazuje sertifikat za drugi WEB sajt, to izaziva
nepodudaranje. Jo jedan od moguih razloga je da je server podeen za vraanje
istog sertifikata za vie WEB sajtova, ukljuujui onaj koji pokuavate da posetite,
iako taj sertifikat nije vaei za sve te WEB sajtove. U ovom sluaju pretraiva ne
moe da tvrdi da ste posetili www.trudi.rs, ali ne moe da potvrdi da je to isti sajt
kao i www.Bob.rs koji ste nameravali da posetite.
U ovom momentu, ako korisnik ipak nastavi i tako ignorie navedeno upozorenje,
pretraiva vie nee traiti nepodudaranje naziva i nee preuzeti odgovornost za
nastale posledice.
Pored svega navedenog, dodatno emo istai jo neke od bezbednosnih problema
SSL protokola. Prvo, naveli smo da je SSL protokol dosta sloeniji od pojednostavljene eme preko koje smo razmatrali protokol. U realnom protokolu opciono
postoji mogunost za uvoenje kompresije. Uvoenje kompresije predstavlja
skupu operaciju sa aspekta vremenskih performansi i procesorske snage. Kompresija podrazumeva kompresovanje svih poruka pre ifrovanja. Na alost 99%
implementacija SSL protokola iskljuuje mogunost kompresije. Nedostatak
kompresije predstavlja kritinu taku SSL protokola sa aspekta bezbednosti. Razlog za to su simetrini algoritmi za ifrovanje, koji na ulazu prihvataju fiksne blokove otvorenog teksta (64, 128, 192 ili 256 bitova). Otvoreni tekst se konvertuje
preko UTF8 standarda. Ova injenica ukazuje na postojanje redundantnih podataka u otvorenom tekstu. Ne zaboravimo da kompresija otvorenog teksta poveava taku jedinstvenosti. Kompresija zasnovana na entropijskom kodovanju, uklonila bi redundantne podatke i tako pojaala entropiju dobijenih ifrata. U drugom
sluaju, Trudi bi mogla da sa velikom verovatnoom pogodi do 50% bitova ifrovane poruke pod uslovom da je poruka sadrana od velikih i malih slova.
4.2.3. EFIKASNI METODI U SSL PROTOKOLU

U ovom odeljku govoriemo ukratko o efikasnom metodu kojeg koristi SSL za
otvaranje novih konekcija na osnovu postojee sesije (Slika 4.7) sa pretpostavkom da je prethodio protokol za uspostavu SSL konekcije.
Kriptologija 2
101
ID sesije, kripto lista, RA

ID sesije, kripto izbor, RB,
h(msgs, SRVR, K)
h(msgs, CLNT,K)
Alisa
ifrovani podaci
Bob
Slika 4.7 Protokol za nove SSL konekcije
Obzirom da je vrednost ve poznata Alisi i Bobu, dodatno je to obe strane moraju da pamte sesije, zatim raunaju klju za novu sesiju na osnovu =
(, , ). Iz priloenog vidimo da su izostavljene operacije PKI-a, a bezbednost metoda oslanja se na poznatu vrednost S.
Imajmo na umu da je SSL protokol u veini sluajeva implementiran u WEB pregledaima. Upravo je to razlog zbog ega je nastao i protokol za nove konekcije na
osnovu postojee sesije. Operacije sa javnim kljuevima su dosta zahtevne i mogu
izazvati odreene probleme u radu, ako bi svaki put od poetka koristili protokol
za uspostavu SSL konekcije. Umesto toga, razvijen je poseban protokol za upravljanje novim konekcijama. Ideja je vrlo jednostavna, SSL inicijalizuje novu konekciju na osnovu ve razmenjenog sesijskog kljua . Sesijski klju e biti upotrebljen kao materijal za generisanje novog sesijskog kljua, umesto skupih operacija sa javnim kljuevima. Na ovaj nain su unapreene performanse protokola.
Kriptologija 2
102
4.3. IPSEC
Na slici (Slika 4.8) je prikazana osnovna logika razlika izmeu SSL-a i IPSec-a,
SSL radi na soket sloju, dok IPSec radi na mrenom sloju i tako predstavlja deo
operativnog sistema.
SSL (Socket
layer)
Aplikativni
Transportni
IPSec
Mreni
Veza
Fiziki
Slika 4.8 IPSec
Meutim, IPSec je vrlo sloen protokol, to se moda najbolje moe doarati ako
kaemo da je preprojektovan protokol. Glavna prednost IPSec-a u poreenju sa
SSL-om je da je u sutini transparentan za aplikacije, sa drug strane zahteva promene na operativnom sistemu. IPSec se najee koriti u VPN aplikacijama (engl.
Virtual Private Network) koje obezbeuju zatienu tunelovanu komunikaciju.
Oba protokola, SSL i IPSec naila su na otpor. SSL je naiao na otpor zbog potrebe
prilagoavanja aplikacija, a IPSec zbog svoje sloenosti i interoperabilnosti.
Uglavnom, krajnji rezultat je da je Internet manje bezbedan nego to treba da
bude!
IPSec poseduje mnogo sumnjivih i u sutini nepotrebnih funkcija, koje oteavaju
njegovu implementaciju. Pored svoje sloenosti, prisutni su i neki nedostaci,
verovatno kao direktni rezultat njegove sloenosti. U njemu postoje ozbiljni bezbednosni propusti, koji ga ine ranjivim. Pored toga, postoje i druga pitanja, kao
Kriptologija 2
103
to je pitanje interoperabilnosti (sloena dokumentacija), a to predstavlja ozbiljan problem, jer smanjuje mogunosti da postane standard. Dodatni faktor koji
komplikuje situaciju IPSec-a je dokumentacija, koja je podeljena u tri dela (RFC
2407, RFC 2408 i RFC 2409) i napisana od strane tri razliita autora koja su koristila razliitu terminologiju.
IPSec se sastoji od dva glavna dela:
1. IKE (engl. Internet Key Excange) protokol obezbeuje uzajamnu autentifikaciju i sesijske kljueve. IKE se sastoji od dve faze, slino kao i u SSL protokolu.
2. ESP/AH (engl. Encapsulating Security Payload and Authentication Header)
predstavlja deo koji obezbeuje ifrovanje i/ili zatitu integriteta IP paketa, dok se AH koristi samo za obezbeenje integriteta.
Tehniki gledano IKE je samostalni protokol koji bi mogao da opstane nezavisno
od ESP/AH protokola. Meutim, poto se primena IKE u realnom svetu jedino
dovodi u vezu sa IPSec-om, oba glavna dela su zavedena pod nazivom IPSec. Komentar da je IPSec preprojektovan, prvenstveno se odnosi na IKE protokol.
Programeri IKE protokola, oigledno su mislili da stvaraju vajcarski no bezbednosnih protokola, protokol koji e reiti sve probleme autentifikacije. Ovo objanjava zato su ugradili mnotvo opcija u vidu nepotrebnih funkcija ili funkcija
koje nisu relevantne za IPSec protokol.
Prvo emo razmotriti IKE, zatim ESP/AH. IKE je dosta sloeniji od ova dva. Sastoji
se od dve faze, faza 1 i faza 2. Prva faza je dosta sloenija od druge faze. Prva faza
je osnovna faza ili IKE SA (IKE bezbednosna asocijacija) koja je uporediva sa SSL
sesijom, dok je druga faza (IPSec bezbednosna asocijacija) ili IPSec SA, koja je
uporediva sa SSL konekcijom.
Ne postoji oigledna potreba za dve faze u IKE protokolu. Zakljuujemo na osnovu toga to nema viestrukih potreba za fazom 2 (u praksi ih nema), tada je skuplje imati dve faze. SSL protokol poseduje dve faze, ali kod SSL postoji evidentna
potreba za tim kada je HTTP protokol korien. Ovo je prvi primer preprojektovanja u IPSec-u.
U prvoj fazi IKE protokola, postoje etiri razliite opcije, kada je re o kljuevima.
Kriptologija 2
104
Javni klju za ifrovanje (originalna verzija)

Javni klju za ifrovanje (poboljana verzija)
Digitalni potpis
Simetrini klju
Za svaku od ovih opcija, postoje dva razliita reima rada, glavni i agresivni reim
rada. Kao dokaz da je IPSec preoptereen funkcionalnostima, postoji 8 razliitih
verzija prve faze IKE protokola.
Moda se pitate zato postoje javni klju za ifrovanje i digitalni potpis kao opcije
u prvoj fazi IKE. Odgovor na pitanje nije programersko preprojektovanje. Alisa
uvek zna svoj privatni klju, ali ona ne moe da zna (inicijalno) Bobov javni klju.
Sa verzijom potpisa u prvoj fazi IKE, Alisa ne mora da ima Bobov javni klju kod
sebe za poetak protokola. U svakom protokolu koji koristi kriptografiju javnog
kljua, Alisi e biti potreban Bobov javni klju da bi kompletirala protokol, ali u
reimu potpisa, ona istovremeno moe da zapone protokol i da trai od Boba
javni klju. Nasuprot tome, u reimima ifrovanja sa javnim kljuem, Alisi je
potreban Bobov klju odmah, zbog ega ona mora odloiti poetak protokola, dok
ne dobije Bobov javni klju. Dakle, ovom opcijom nije ostvarena dobit na polju
efikasnosti.
U nastavku razmotriemo 6 od 8 verzija prve faze IKE.
Digitalni potpis (glavni i agresivni reim rada)

Simetrini klju (glavni i agresivni reim rada)
Javni klju za ifrovanje (glavni i agresivni reim rada)
Takoe, razmotriemo originalnu verziju sa javnim kljuem za ifrovanje, jer ova

verzija je jednostavnija, iako manje efikasna od poboljane verzije.
Svaka varijanta prve faze koristi efemerni DH protokol za razmenu ili uspostavu
sesijskog kljua. Prednost ovog pristupa je u tome to prua perfektnu tajnost u
napred (PFS). U razmatranju ovih verzija prve faze, za DH protokol koristiemo
standardne notacije. Alisin tajni parametar bie efemerni DH eksponent, Bobov
tajni parametar bie efemerni eksponet DH protokola, a i javni parametri.
Kriptologija 2
105
4.3.1. IKE PRVA FAZA: DIGITALNI POTPIS

U prvoj fazi IKE protokola razmatraemo verziju sa digitalnim potpisom u glavnom reimu rada. Ova verzija zahteva est poruka, prikazanih na slici (Slika 4.9),
IC, CP
IC, RC, CS
a
IC, RC, g mod p ,RA
b
IC, RC, g mod p , RB
Alisa
IC, RC, E(Alisa, prof_A, K)
Bob
IC, RC, E(Bob, prof_B, K)
Slika 4.9 Digitalni potpis glavni reim rada
gde je:
predloeni kripto parametri,

izabrani kripto parametri,
kolai (engl. cookie) inicijatora,
kolai odgovora,
(, , mod , , ),
- ( , , mod ),
dokaz = [(SKEYID, mod , mod , IC, RC, CP, "Alisa")] ,
predstavlja he funkciju i dokaz je analogno dokaz .

Paljivo emo razmotriti svaku od ovih est poruka sa slike (Slika 4.9).
1. U prvoj poruci, Alisa alje informacije o kripto parametrima koje ona
podrava, zajedno sa inicijalnim kolaiem;
2. U drugoj poruci, Bob bira na osnovu Alisinog predloga kripto parametre i
alje zajedno sa kolaiima, koji imaju ulogu kao identifikatori za ostale
poruke u protokolu;
Kriptologija 2
106
3. U treu poruku, Alisa ukljuuje parametar izazova , DH parametre i kolaie;

4. U etvrtoj poruci, Bob slino odgovara, ukljuuje svoj parametar izazova
, DH parametre i kolaie;
5. U petoj i estoj poruci, Alisa i Bob se meusobno autentifikuju koristei
digitalni potpis;
Podsetimo se da je napada Trudi pasivan napada, samo pod uslovom da moe
posmatrati poruke izmeu Alise i Boba. Nasuprot tome, ako Trudi ima ulogu aktivnog napadaa, ona takoe moe umetnuti poruku, izbrisati, izmeniti i reprodukovati poruku. Protokol koji razmatramo obezbeuje anonimnost, pod uslovom
da je Trudi pasivni napada. Ovo znai da Trudi posmatranjem poruka ne moe
razaznati Alisu i Boba. Meutim, ukoliko bi Trudi imala ulogu aktivnog napadaa,
verovatno bi situacija bila neto drugaija.
Svaka opcija za kljueve u IKE protokolu ima glavni i agresivni reim rada.
Osnovna uloga glavnog reima rada je da obezbedi anonimnost, dok to nije sluaj
kod upotrebe agresivnog reima. U glavnom reimu rada cena anonimnosti je
plaena sa est poruka, dok u agresivnom reimu postoje samo tri poruke. Agresivni reim rada digitalnog potpisa, prikazan je na slici (Slika 4.10). Moemo da
vidimo da ne postoji pokuaj da se sakrije Alisin i Bobov identitet, koji znaajno
pojednostavljuje protokol. Oznake koje koristimo u ovoj verziji protokola su identine kao i na prethodnoj slici.
a
IC, Alisa, g mod p , RA, CP
IC, RC, Bob, RB,

g mod p, CS, dokaz_B
b
IC, RC, dokaz_A

Alisa
Bob
Slika 4.10 Digitalni potpis agresivni reim rada
Glavna razlika izmeu glavnog i agresivnog reima rada sa digitalnim potpisom je

u anonimnosti i razmeni DH parametara i . Za razliku od glavnog reima, u
agresivnom reimu anonimnost nije obezbeena, tanije, identitet nije zatien. U
Kriptologija 2
107
agresivnom reimu nije mogue dogovarati DH parametre i kroz i , ve

se te vrednosti fiksiraju i alju u prvoj poruci.
Prema RFC preporukama, glavni reim mora biti implementiran, dok agresivni
reim treba da bude implementiran. Drugim reima, ako agresivni reim nije
implementiran treba sa se oseate krivim zbog toga- kako to tumae autori RFCa. Sve ovo moe otvoriti pitanje interoperabilnosti o kom smo govorili na poetku.
Pretpostavlja se da kolaii (engl. Cookies) oteavaju i smanjuju mogunost za
DoS napade. IKE kolaii nisu u vezi sa WEB kolaiima. U IKE protokolu, u glavnom reimu bez obzira na postojeih osam verzija, Bob (Bob mora uvati sva
stanja poruka, od prve poruke pa na dalje i ). Meutim, ovi kolaii nude
malu zatitu od DoS napada.
Na kraju zakljuujemo da u opciji kljua u prvoj fazi sa digitalnim potpisom, pasivni napada moe da zna identitet Alise i Boba u agresivnom modu, dok aktivni
napada moe odrediti identitet Alise i Boba u glavnom reimu.
4.3.2. IKE PRVA FAZA: SIMETRINI KLJU

U sledeoj verziji prve faze IKE protokola, razmatraemo o opciji simetrini
klju sa glavnim i agresivnim reimom rada. Kao i kod prethodne verzije, glavni
reim se sastoji od est poruka, gde je format formalno isti ka o na slici (Slika 4.9),
osim to se notacije tumae drugaije.
simetrini klju distribuiran unapred,
(IC, RC, mod , , , ),
SKEYID (, mod ),
dokaz (SKEYID, mod , mod , IC, RC, CP, Alisa).
Opet emo navesti prednost glavnog reima u odnosu na agresivni, iz razloga to
glavni reim obezbeuje anonimnost.
Kriptologija 2
108
Nailazimo odmah na probleme sa simetrinim kljuem u ovoj verziji prve faze

IKE. Pojasniemo, Alisa u petoj poruci alje svoj identitet ifrovan sa kljuem ,
ali Bob mora da koristi kljua da bi odredio klju . Dakle, imamo sluaj u
kome Bob mora da zna klju , pre nego to sazna sa kim razgovara. Pretpostavimo da Bob paralelno razgovara sa vie korisnika, i da Alisa nije jedina osoba
koja razgovara sa Bobom. Na koji nain Bob moe da zna koji klju da koristi,
ako to ne moe da sazna na osnovu informacija iz protokola?
Programeri IPSec-a su prepoznali ovaj potencijalni problem. Njihovo reenje je da
se Bob osloni na IP adresu i tako odredi koji klju da koristi. Dakle, Bob mora
da koristi IP adresu sa dolaznih paketa, da bi znao sa kim razgovara. Na ovaj nain, Alisin identitet je njena IP adresa.
Postoji nekoliko problema sa ovim pristupom. Prvo, Alisa mora posedovati statiku IP adresu, ali ta ukoliko je promeni. Pre svega, ovaj protokol sa est poruka
je veoma sloen, a pri tome ne uspeva da sakrije identitet, osim ako statika IP
adresa bude tajna. Sve ovo u glavnom reimu u verziji sa simetrinim kljuevima
izgleda besmisleno, umesto da se koristi jednostavniji i znaajno efikasniji agresivni reim rada, koji opisujemo u nastavku odeljka.
a
IC, Alisa, g mod p, RA, CP

IC, RC, Bob, RB,
gb mod p, CS, dokaz_B
Alisa
IC, RC, dokaz_A
Bob
Slika 4.11 Simetrini klju agresivni reim rada
Agresivni reim rada sa simetrinim kljuem (Slika 4.11) u IPSec-u sledi isti format kao i digitalni potpis u agresivnom reimu na slici (Slika 4.10). Kao i kod verzije digitalnog potpisa, glavna razlika od glavnog reima je da agresivni reim ne
pokuava da sakrije identitet (ne eli da krije). Poto simetrini klju u glavnoj
verziji ne uspeva da sakrije identitet, problem nedostatka anonimnosti u agresivnom reimu vie nije ozbiljno ogranienje.
Kriptologija 2
109
4.3.3. IKE PRVA FAZA: JAVNI KLJU ZA IFROVANJE

U sledeoj verziji prve faze IKE protokola, razmatraemo o opciji javni klju za
ifrovanje sa glavnim i agresivnim reimom rada. Do sada smo videli verziju sa
digitalnim potpisom. U glavnom modu za ifrovanje Alisa mora znati Bobov javni
klju unapred i obrnuto. Svakako, bilo bi logino da razmene sertifikate, ali to e
otkriti identitet Alise i Boba. Ovo bi oduzelo jednu jedinu prednost glavnog moda
sa est poruka. U ovoj verziji postoji pretpostavka da Alisa i Bob imaju siguran
nain za pristup sertifikatu druge strane, bez slanja preko mree.
Javni klju za ifrovanje u glavnom reimu prikazan je na slici (Slika 4.12),
IC, CP
IC, RC, CS
IC, RC, ga mod p ,{RA}Bob,{Alisa}Bob
b
IC, RC, g mod p ,{RB}Alisa,{Bob}Alisa
Alisa
IC, RC, E(dokaz_A, K)
Bob
IC, RC, E(dokaz_B, K)
Slika 4.12 Javni klju za ifrovanje glavni reim rada
gde je notacija, kao i u prethodnim reimima, osim:

(IC, RC, mod , , ),
SKEYID ( , , mod ),
dokazA (SKEYID, mod , mod , IC, RC, CP, "").
Primetiemo na slici (Slika 4.13), da je notacija kod agresivnog reima za ifrovanje sa javnim kljuem dosta slina notaciji u glavnom reimu. Zanimljivo je, za
razliku od drugih agresivnih reima, javni klju za ifrovanje u agresivnom reimu omoguava Alisi i Bobu da ostanu anonimni. Imajui na umu ovaj sluaj, pitamo se, imali agresivni reim neku prednost u odnosu na glavni reim?
Kriptologija 2
110
IC, CP,g mod p,

{Alisa}Bob, {RA}Bob
b
IC, RC, CS, g mod p,

{Bob}Alisa, {RB}Alisa, dokaz_B
IC, RC, dokaz_B
Alisa
Bob
Slika 4.13 Javni klju za ifrovanje agresivni reim rada
Zbog sigurnosti, u nastavku razmotriemo agresivni reim sa javnim kljuem za

ifrovanje. Pretpostavimo da trudi generie DH eksponente , i parametre izazova i . Tada Trudi uspeva da izrauna sve preostale vrednosti koje se pojavljuju u protokolu (K, SKEYID, dokaz , dokaz i mod ) na slici (Slika 4.13).
Razlog zbog kojeg Trudi uspeva ovo da uradi je zbog toga to je Alisin i Bobov
javni klju javan. Ovaj scenario napada vai i za glavni reim ifrovanja sa javnim
kljuem.
Na ovaj nain Trudi moe generisati poruke u razmeni koja izgleda kao da je vaea IPSec komunikacija izmeu Alise i Boba. Scenario napada ini se da vai za
jednog posmatraa, ukljuujui Alisu i/ili Boba (Slika 4.14).
a
IC, CP,g mod p

,
{Alisa}Bob, {RA}Bob
b
IC, RC, CS, g mod p,

{Bob}Alisa, {RB}Alisa, dokaz_B
Trudi
kao Alisa
IC, RC, dokaz_A
Trudi
kao Bob
Slika 4.14 Trudi napada agresivni reim ifrovanje sa javnim kljuem
injenica da Trudi moe da stvori lani razgovor (lanu konverzaciju) koji izgleda
kao da je izmeu Alise i Boba, predstavlja ozbiljan bezbednosni propust. Interesantno je primetiti da se u ovom reimu bezbednosna funkcija moe nazvati imeKriptologija 2
111
nom uverljive porecivosti. Protokol koji sadri funkciju uverljive porecivosti

(mogue odbijanje), omoguava Alisi i Bobu da poriu da se razgovor ikada dogodio, jer Trudi je mogla lairati bilo koji razgovor. U nekim situacijama to moe biti
poeljna osobina, ali sa druge strane u nekim situacijama moe predstavljati neki
tip ranjivosti. Na primer, ako Alisa kupi neto od Boba, ona moe kasnije to porei
sve dok digitalno ne potpie.
Bez obzira kojih od osam verzija se koristi u prvoj fazi IKE protokola, uspean
zavretak ove faze rezultira sa:
Uzajamnom autentifikacijom,
Deljeni simetrini klju,
IKE SA (engl. Security Association);
Prva faza u IKE protokolu je raunarski skupa, posebno u sluaju korienja javnih kljueva, a glavni reimi zahtevaju est razmenjenih poruka preko mree.
Programeri IKE protokola su pretpostavljali da e se IKE koristiti za mnoge druge
stvari, a ne samo u IPSec-u, to predstavlja razumno objanjenje za prekomerni
broj funkcionalnosti u IKE protokolu, ali na njihovu alost u praksi se ne koristi.
Druga faza je znaajno jeftinija i ona se realizuje nakon IKE SA (prve faze). Druga
faza je specifina, jer je zahtevana za svaku razliitu aplikaciju koja e koristiti
IKE-SA.
Druga faza IKE prokola koristi se za uspostavljanje tzv. IPSec-SA (IPSec bezbednosna asocijacija). U poreenju sa SSL protokolom, prva faza IKE protokola uporediva je sa SSL sesijom, dok je druga faza uporediva sa SSL konekcijom. Na ovaj
nain dizajneri i programeri IKE protokola su hteli da budu fleksibilniji, jer su
pretpostavljali da e se protokol koristiti i za mnoge druge stvari, ali osim kod
IPSeca u praksi se to nije dogodilo.
Kriptologija 2
112
4.3.4. IKE DRUGA FAZA

Druga faza IKE protokola je dosta jednostavnija u poreenju sa drugom fazom.
Pre zapoinjanja druge faze, neophodno je da bude kompletirana prva faza, u
kojoj su: sesijski klju K, IPSec kolaii ( i ) i IKE-SA poznati Alisi i Bobu. Ceo
sluaj IKE protokola za drugu fazu, prikazan je na slici (Slika 4.15), gde vai:
Predlog (engl. Crypto proposal) ukljuuje ESP ili AH. Tanije, tada Alisa
i Bob odluuju da li e koristiti ESP ili AH.
SA je identifikator za IKE-SA koji je uspostavljen u prvoj fazi.
Numeracija he vrednosti zavisie od , , i IKE-SA iz prve faze.
Kljuevi koji su izvedeni = (, , , ""), smee
(engl. junk) je poznato svima ukljuujui i Trudi.
Vrednost zavisi od metoda u prvoj fazi IKE protokola.
Opciono, PFS moe da bude implementiran koristei efemerni DH protokol za razmenu kljua.
IC, RC, CP, E(he_1, SA, RA, K)

IC, RC, CP, E(he_2, SA, RB, K)
IC, RC, E(he_3, K)
Alisa
Bob
Slika 4.15 IKE druga faza
Vrednosti i sa slike (Slika 4.15) nisu isti kao oni sa iz prve faze IKE protokola. Kao rezultat, kljuevi generisani u drugoj fazi su razliiti od kljueva generisanih u prvoj fazi.
Nakon zavretka prve faze IKE protokola, uspostavljen je IKE-SA, a nakon zavretka druge faze IKE protokola, uspostavljen je IPSec-SA. Posle druge faze Alisa i
Bob su autentifikovani, dele zajedniki sesijski klju za upotrebu u trenutnoj sesiji.
Kriptologija 2
113
Podsetimo se da je u sluaju SSL protokola, nakon obavljene uzajamne autentifikacije i razmenjenog kljua sesije, protokol spreman za rad (razmenu ifrovanih
podataka). SSL protokol radi sa podacima na aplikativnom sloju, tada je ifrovanje i zatita integriteta uraena na standardan nain. Kod SSL protokola, mreni
sloj je transparentan za Alisu i Boba, jer je SSL protokol smeten u jednom delu
aplikativnog sloja (jedan deo aplikacije). Ova injenica predstavlja prednost u
radu sa podacima aplikativnog sloja.
Zatita podataka u IPSec-u nije toliko jednostavna. Pod pretpostavkom da je u
IPSec-u uspela autentifikacija i razmena sesijskog kljua, ostaje problem da se
zatite podaci u IP datogramima. Pre nego to nastavimo da se bavimo ovim problemom, treba da razmotrimo IP datagrame iz perspektive IPSec-a.
4.3.5. IP DATAGRAMI U IPSEC PROTOKOLU

IP datagram se sastoji od zaglavlja i podataka. IP zaglavlje je ilustrovano ne slici (
Slika 4.16). Ukoliko je polje opcije prazno (kao to je to obino), tada IP zaglavlje se sastoji od 20 bajtova. Za potrebe IPSec-a, jedna bitna stvar je da ruteri imaju
pristup IP adresi odredita u IP zaglavlju, da bi mogli da rutiraju pakete. Ostala
polja hedera se takoe koriste u svrhu rutiranja paketa. Imajui u vidu da ruteri
nemaju pristup sesijskom kljuu, time ne postoji mogunost za ifrovanje paketa.
32 bita
Verzija
IHL
Tip servisa
Identifikacija
TTL
Ukupna duina
FF
Pomak fragmenta
Protokol
Suma zaglavlja
IP adresa izvorita
IP adresa odredita
Opcije
Slika 4.16 IP zaglavlje
Kriptologija 2
114
Druga bitna stvar je vezana za prosleivanje paketa. Prosleivanje paketa e izazvati promenu vrednosti nekih polja u IP zaglavlju. Na primer, TTL (engl. Timeto-live) polje predstavlja vrednost koja se umanjuje na svakom ruteru. Obzirom
da klju sesije nije poznat, integritet nijednog polja zaglavlja ne moe da bude
zatien. U diskusiji koja se odnosi na IPSec, polja zaglavlja koja se menjaju u prenosu nazivaju se promenljivim poljima.
Dalje, razmatramo sadraj IP datagrama. Uzeemo za primer sesiju u toku WEB
pregledanja. Aplikativni sloj protokola za ovu vrstu saobraaja je HTTP, a transportni sloj je TCP. U ovom sluaju, IP enkapsulira TCP paket, koji enkapsulira
HTTP paket, koji je prikazan na slici (Slika 4.17) . Poenta je da iz perspektive IP-a,
podaci ukljuuju vie od aplikativnog sloja podataka. Konkretno u ovom primeru,
podaci ukljuuju TCP i HTTP zaglavlje, kao i podatke aplikativnog sloja. Videemo
zato je to relevantan ishod.
IP zaglavlje
Podaci
IP zaglavlje TCP zaglav. HTTP zaglav.
Podaci
Slika 4.17 IP datagram
Kao to je ranije pomenuto, IPSec koristi ESP ili AH za zatitu IP datagrama. Jedan
od ova dva metoda e biti izabran za zatitu IP datagrama (ESP zaglavlje ili AH
zaglavlje). Izabrani tipovi zaglavlja govorie primaocu da primljeni paket tretira
kao ESP ili AH paket, ne kao standardni IP datagram.
4.3.6. TRANSPORT I REIMI TUNELOVANJA

Ne zavisno od toga koji je metod izabran za upotrebu, ESP ili AH, IPSec je aktivirao transportni reim i reim tunelovanja. U transportnom reimu, kao to je
prikazano na slici (Slika 4.18), novi tip zaglavlja - ESP/AH, nalazi se u sendviu
izmeu IP zaglavlja i podataka. Transportni reim je dosta efikasniji, iz razloga
to dodaje manju koliinu dodatnih informacija u zaglavlje. Bitna stvar je da u
transportnom reimu, originalno IP zaglavlje ostaje netaknuto. Loa strana tranKriptologija 2
115
sportnog reima je to pasivni napada moe videti zaglavlje. Meutim, ako Trudi
primeti da je IPSec-om zatien razgovor izmeu Alise i Boba, u transportnom
reimu na osnovu zaglavlja Trudi e otkriti da Alisa i Bob komuniciraju.
IP zaglavlje
IP zaglavlje
Podaci
ESP/AH
Podaci
Slika 4.18 IPsec transportni reim
Transportni reim je dizajniran prvenstveno za host-to-host komunikaciju, to

znai da Alisa i Bob razgovaraju direktno jedno sa drugim, koristei IPSec (Slika
4.19).
IPSec
Internet
Alisa
Bob
Slika 4.19 IPSec host-to-host
U reimu tunelovanja (Slika 4.20), ceo IP paket je enkapsuliran u novi IP paket.

Jedina prednost ovog pristupa je da IP zaglavlje vie nije vidljivo za napadaa pod
pretpostavkom da je ifrovano. Meutim, ako Alisa i Bob direktno komuniciraju,
novo IP zaglavlje e biti isto kao enkapsulirano IP zaglavlje, iz tog razloga kriti
originalno zaglavlje bilo bi besmisleno. IPSec je esto korien za komunikaciju
firewall-to-firewall. U ovom sluaju Alisin i Bobov zatitni zid (engl. Firewall)
komuniciraju preko IPSec-a, na ovaj nain je izbegnuta direktna komunikacija
izmeu Alise i Boba. Ako pretpostavimo da Alisa i Bob komuniciraju preko svojih
zatitnih zidova koristei reim tunelovanja, novo IP zaglavlje e otkriti da je paket poslat izmeu Alisinog i Bobovog zatitnog zida. Tanije, ako je paket ifrovan
Kriptologija 2
116
Trudi bi mogla da zna da Alisin i Bobov zatitni zid komuniciraju, ali ona ne moe
da zna koji se nalazi iza host-a.
IP zaglavlje
Novo IP zaglavlje
ESP/AH
IP zaglavlje
Podaci
Podaci
Slika 4.20 IPSec reim tunelovanja
Reim tunelovanja prvenstveno je dizajniran za komunikaciju filewall-tofirewall, na ovaj nain spreena je Trudi da sazna koji host-ovi komuniciraju.
IPSec
Internet
Alisin zid
Bobob zid
Alisa
Bob
Slika 4.21 Reim tunelovanja firewall-to-firewall

Tehniki, transportni reim nije neophodan, jer smo mogli enkapsulirati originalni IP paket u novi IPSec paket. ak i u komunikaciji host-to host. Za zatitu saobraaja u komunikaciju filewall-to-firewall, neophodno je koristiti reim tunelovanja, jer je bitno da se sauva originalno IP zaglavlje, tako da zatitni zid na
odreditu moe dalje rutirati pakete do host odredita. Na kraju zakljuujemo da
je transportni reim efikasniji, to ga ini boljom opcijom u komunikaciji host-tohost.
Kriptologija 2
117
4.3.7. ESP I AH
Nakon to smo odluili da li da koristimo transportni reim ili reim tunelovanja,
tada dodatno moramo razmotriti i tip zatite koji emo da koristimo za zatitu IP
datagrama. Izbori su poverljivost, integritet ili oba. Takoe, trebamo uzeti u obzir
i zatitu koju emo primeniti nad zaglavljem. U IPSec-u, jedini izbori su ESP ili AH.
U nastavku emo razmotriti, koje tipove zatite svaki od njih prua?
AH (engl. Authentication Header) obezbeuje samo integritet, ali ne i ifrovanje.
AH zatita integriteta odnosi se na sve iznad IP zaglavlja i na neka polja u njemu.
Kao to smo malopre rekli, nije mogue tititi integritet svih polja u IP zaglavlju,
iz razloga to su neka polja promenljiva (primer sa TTL-om).
ESP (engl. Encapsulating Security Payload) obezbeuje integritet i poverljivost.
Oba tipa zatite su primenjena na sve izvan IP zaglavlja, to jest, na podatke iz perspektive IP-a. Nema zatitu koja se primenjuje na IP zaglavlje.
ifrovanje je potrebno u ESP-u. Meutim, postoji trik preko kojeg ESP moe da se
iskoristi samo za integritet. U ESP-u, Alisa i Bob pregovaraju za kripto algoritam
koji e koristiti. Jo jedna ifra mora da bud podrana, a to je ifra NULL, opisana
u RFC-u 2410.
Ovde su nabrojani neki neobini izvodi iz RFC-a koji se odnose na ifru NULL.
ifra NULL je blokovska ifra, ije se poreklo gubi u antikom vremenu,

Ne postoje dokazi da je NSA inicirala objavljivanje ovog algoritma,
Dokazi ukazuju da je razvijen u rimsko doba, kao izvozna verzija Cezarove
ifre,
Algoritam omoguava upotrebu kljueva razliite duine,
Nije potreban IV (inicijalni vektor),
Metod ifrovanja je definisan kao (, ) = , za bilo koji otvoreni
tekst i bilo koji klju .
U ESP-u, ako je NULL ifra izabrana, tada se ifrovanje ne primenjuje, ali integritet
podataka je zatien. Ovaj sluaj izgleda sumnjivo, slino kao i sa AH.
Pokuaemo da odgovorimo na pitanje, zato AH postoji?
Kriptologija 2
118
Postoje tri razloga koja opravdavaju postojanje AH-a. Kao to je prethodno navedeno, IP zaglavlje ne moe da bude ifrovano, ve ruteri moraju da imaju pristup
zaglavlju paketa. Meutim, AH prua neto veu zatitu integriteta, nego ESP sa
NULL ifrom.
Drugi razlog postojanja AH je to ESP ifruje sve izvan IP zaglavlja, pod uslovom
da je izabrana ifra nonNULL. Ako je ESP korieno za ifrovanje paketa, zatitni
zid ne moe da pristupi unutranjosti paketa. Moda iznenaujue, ESP sa NULL
ifrovanjem ne reava ovaj problem, ESP ne titi IP zaglavlje uopte. Kada zatitni
zid detektuje ESP zaglavlje, tada e znati da se koristi ESP. Meutim, zaglavlje
nee otkriti informaciju zatitnom zidu da je korieno NULL ifrovanje, to je Alisin i Bobov dogovor koji nije ukljuen u zaglavlje. Dakle, kada zatitni zid otkrije
da je korien ESP, to ne znai da e otkriti da li je TCP zaglavlje ifrovano ili nije.
Nasuprot tome, kada zatitni zid otkrije da je korien AH, tada e odmah znati da
nita nije ifrovano.
Nijedan od navedenih razloga nije dovoljno dobar da opravda postojanje AH. Dizajneri AH/ESP mogli su napraviti neke manje modifikacije na protokolu i da tako
prevaziu ove nedostatke kod ESP-a. Sa druge strane, postoji uverljiv dokaz za
postojanje AH. Na jednom sastanku gde je IPSec standard razvijen neko iz Mikrosofta je odrao strastven govor o tome kako je AH bio beskoristan i svi prisutni
su gledali oko sebe i rekli. On je u pravu i mi mrzimo AH. Ali ako on nervira
Mikrosoft neka ostane, poto mi mrzimo vie Mikrosoft nego AH. Dakle, sada
moete i sami da pretpostavite ostatak prie.
Jo jednom emo dati osnovne razlike izmeu AH i ESP. AH obezbeuje zatitu
integriteta, ne i poverljivost. Zatita integriteta na sve izvan IP zaglavlja i na neka
polja zaglavlja koja nisu promenljiva. ESP obezbeuje integritet i poverljivost.
titi sve izvan IP zaglavlja. Zatita integriteta je obezbeena upotrebom samo
NULL ifre.
Kriptologija 2
119
4.4. KERBEROS
U Grkoj mitologiji, Kerberos je troglavi pas koji uva ulaz u Had. U svetu informacione bezbednosti Kerberos je autentifikacioni protokol koji je zasnovan na simetrinom kljuu i vremenskom peatu. Nastao je na MIT-u (Massachusetts Institute
of Technology), na radu Needham-a i Schroeder-a. SSL i IPSec protokoli su dizajnirani za korienje na Internetu, dok je Kerberos dizajniran za korienje u manjem radnom okruenju, kao to je lokalna mrea LAN u okviru neke kompanije.
Pretpostavimo da imamo N korisnika u mrei, gde svaki par mora meusobno da
se autentifikuje, jedno pred drugim. Ako bi se Kerberos protokol zasnivao na javnom kljuu, svaki korisnik bi morao da poseduje par javnihi/privatnih kljueva,
samim tim, bilo bi potrebno N parova kljua. Sa druge strane, ako Kerberos protokol obezbeuje servis autentifikacije sa simetrinim kljuevima, tada za N korisnika je potrebno oko 2 kljueva i svi korisnici moraju unapred meusobno
podeliti kljueve. Na osnovu ove injenice, autentifikacija sa korienjem simetrinih kljueva u Kerberos protokolu nee biti razmatrana. Meutim, Kerberos
protokol se zasniva na treoj strani od poverenja (engl. Trusted Third Party), na
ovaj nain je zahtevano samo N simetrinim kljuevima za N korisnika. Umesto
meusobne podele simetrinih kljueva izmeu svih korisnika protokola, svaki
korisnik deli jedan klju sa KDC-om. To znai da Alisa deli klju sa KDC-om,
Bob deli klju sa KDC-om itd. KDC (engl. Key Distrinution Center) ima ulogu
posrednika izmeu bilo koja dva korisnika, zapravo njegova uloga je da obezbedi
bezbednu komunikaciju izmeu korisnika, korienjem Kerberos simetrinog
kljua.
Kerberos TTP je kritina bezbednosna komponenta u protokolu, od koje zavisi
ukupna bezbednost sistema i iz tog razloga mora biti zatiena od napada. Ovo je
svakako bezbednosni problem, ali za razliku od PKI infrastrukture, nijedan javni
klju nije zahtevan. U sutini, Kerberos TTP igra slinu ulogu kao vrhovni CA u PKI
infrastrukturi. Kerberos je kao i TTP, centar za distribuciju kljueva, to znai da
je ceo sistem ugroen ako je on nezatien. Kao to smo ve gore naveli, KDC deli
simetrini klju sa Alisom i simetrini klju sa Bobom i td..
KDC Kerberos protokola poseduje glavni klju , koji je uglavnom poznat samo kao KDC. Iako ovo moe da zvui nelogino, da jedino KDC zna vrednost kljua
Kriptologija 2
120
, ali videemo da ovaj klju igra veoma vanu ulogu u Kerberos protokolu.
Vana bezbednosna karakteristika Kerberos protokola je to klju omoguava KDC-u da ostane nepoznat. Na ovaj nain je onemoguen DoS napad.
Kerberos se koristi za autentifikaciju i uspostavu sesijskog kljua, a koji se naknadno mogu koristiti za obezbeenje poverljivosti i integriteta. To znai da je
svaki simetrini kripto algoritam mogue koristiti sa Kerberos-om. Meutim, u
praksi je est sluaj da se koristi DES (engl. Data Encryption Standard).
U radu Kerberos kao protokol izdaje razliite vrste tiketa. Razumevanje ovih tiketa je od kljunog znaaja za razumevanje Kerberos-a. Tiket ili ulaznica (karta),
sadri kljueve i druge informacije koje su potrebne za pristup mrenim resursima. Dalje u nastavku emo koristiti re tiket kao sinonim za kartu ili propusnicu.
KDC svakom korisniku izdaje jedan poseban tiket TGT (engl. ticket-granting ticket). TGT je generisan i izdat u inicijalnoj fazi, kada se korisnik sistema prvi put
prijavio na sistem sa svojim pristupnim parametrima. Kasnije, TGT kao glavni
tiket se koristi za izdavanje obinih tiketa, koji omoguavaju pristupe pojedinanim mrenim resursima. Na primer, pretpostavimo da Alisa eli da pristupi
mrenom tampau i da joj je za to potrebno odobrenje, ali nije stvar samo u odobrenju, Alisa eli ifrovanu komunikaciju sa tampaom. U ovom sluaju KDC
e odigrati vanu ulogu, tako to e podeliti identian simetrian klju, izmeu
Alise i tampaa.
Svaki TGT sadri klju sesije, ID korisnika kom je izdat TGT i vreme trajanja. Zbog
jednostavnosti zanemariemo vremenski peat, ali bitno je napomenuti da TGT
ne traju veno. Svaki TGT je ifrovan kljuem . Ne zaboravite da samo KDC
zna klju . Kao rezultat tome, TGT moe biti itljiv samo KDC-u.
Postoji odreeni razlog, zato KDC ifruje TGT sa kljuem koji je poznat samo
njemu? Druga alternativa KDC-a, bila bi da postoji baza podataka sa svim prijavljenim korisnicima i njihovim sesijskim kljuevima, to nije dovoljno dobro reenje. KDC ifrovanjem TGT-a prua jednostavan, efektivan i bezbedan nain za
distribuciju kljueva. Na primer, Alisa poalje svoj TGT KDC-u, tada KDC deifruje
TGT i tako dobije sve potrebne informacije o Alisi. U nastavku emo malo bolje
objasniti upotrebu TGT-a, jer TGT predstavlja izuzetno pametan dizajn Kerberosa.
Kriptologija 2
121
4.4.1. KERBEROS INICIJALIZACIJA

Za razumevanje Kerberos protokola, neophodno je prvo razmotriti rad sistema za
prijavljivanje na sistem u kom je implementiran Kerberos protokol, tanije, proi
emo kroz sve korake, kroz koje prolazi Alisa kada se prijavljuje na sistem u kome se Kerberos koristi za autentifikaciju. Slino kao i u veini sistema, Alisa unosi
korisniko ime i lozinku. U Kerberos-u, Alisin raunar obavlja derivaciju kljua
iz lozinke (upotrebom neke he funkcije), a klju je klju koji Alisa unapred
deli sa KDC-om. Na osnovu kljua Alisa dobija glavni tiket (TGT) od KDC-a.
Alisa zatim moe da koristi svoj TGT za bezbedan pristup mrenim resursima.
Prijava na Kerberos je prikazan na slici (Slika 4.22), a koristili smo sledeu notaciju za razumevanje ove faze protokola.
Klju je generisan na osnovu Alisine lozinke kao he vrednost =

( ),
je sesijski klju koji kreira KDC,
Alisin raunar koristi za dobijanje i TGT-a. Nakon ega zaboravlja
,
TGT je vrednost = (, ; ).
Alisa
zahteva
TGT
Alisina
lozinka
E(SA, TGT, KA)

Alisa
Raunar
KDC
Slika 4.22 Prijava na Kerberos

U ovom sistemu za prijavljivanje na Kerberos, bezbednost je transparentna za
Alisu, dok KDC mora biti bezbedan i mora da mu se veruje.
Kriptologija 2
122
4.4.2. KERBEROS TIKETI

Kompletan Kerberos protokol, zasnovan je na tiketima. Alisa je nakon uspene
prijave na Kerberos, dobila glavni tiket TGT, koji e kasnije da koristi za odobrenje
pristupa mrenim resursima. Na primer, pretpostavimo sluaj u kome Alisa eli
da razgovara sa Bobom. Tada Alisin raunar dostavlja svoj glavni tiket (TGT)
KDC-u, zajedno sa autentifikatorom. Autentifikator je ifrovani vremenski peat
koji slui za spreavanja napada zasnovanog na ponovnom slanju poruka. Nakon
to je KDC proverio validnost autentifikatora, KDC odgovara sa drugim tiketom
koji Alisa direktno koristi u bezbednoj komunikaciji sa Bobovim raunarom. Proces izdavanja tiketa za komunikaciju sa Bobom (koji je Alisa inicijaliziovala) prikazan je na slici (Slika 4.23), a koristili smo sledeu notaciju za razumevanje procesa.
ZAHTEV = (TGT, autentifikator),

Autentifikator = E(vremenski peat, SA),
ODGOVOR = E(Bob, KAB, tiket do Boba; SA),
Diket do Boba = E(Alisa, KAB;KB).
Na slici (Slika 4.23), KDC dobija zahtev od Alise, nakon ega sa kljuem SA proverava TGT i vremenski peat. Posle provere, odgovara sa kljuem KAB, koji e se
koristiti kao sesijski klju za sesiju izmeu Alise i Boba.
Alisin zahtev
Alisa zahteva vezu sa
Bobom
Odgovor
Alisa
Raunar
KDC
Slika 4.23 Alisa dobija tiket za komunikaciju sa Bobom
Kada je Alisa dobila tiket do Boba, tada ona moe da zapone bezbednu komunikaciju sa Bobom. Proces je prikazan na slici (Slika 4.24), gde je tiket do Boba,
zatien kao i gore (autentifikator = E(vremenski peat, KAB)).
Kriptologija 2
123
Treba da imamo na umu, da Bob deifruje tiket do Boba sa njegovim kljuem KB,
da bi dobio klju KAB. Klju KAB se koristi za zatitu poverljivosti i integriteta u
komunikaciji izmeu Alise i Boba.
Tiket do Boba,
autentifikator
E(vremenska oznaka+1, KAB)
Raunar
Bob
Slika 4.24 Alisa uspostavlja komunikaciju sa Bobom
Komunikacija izmeu Alise i Boba je zatiena od ponovnog slanja, sve to zahvaljujui vremenskom peatu, na osnovu ega Kerberos smanjuje broj poruka koje
moraju biti poslate. Kao to smo spomenuli u prethodnim poglavljima, jedina
mana je to vremenski peat postaje kritian parametar bezbednosti. Glavni problem vremenskih peata je vremenska sinhronizacija satova, ne moemo nikad
oekivati perfektnu sinhronizaciju i iz tog razloga neophodna je vremenska tolerancija. U sluaju Kerberos-a, vremenska tolerancija moe da bude i par minuta,
to predstavalja venost u savremenim raunarskim mreama.
4.4.3. BEZBEDNOST KERBEROS PROTOKOLA

U ovom odeljku, razmotriemo neke bezbednosne elemente Kerberos protokola.
Na primer, kada se Alisa uspeno prijavi na sistem, KDC Alisi alje E(SA, TGT; KA),
gde je TGT =E(Alisa, SA; KKDC). Vidimo da je TGT ve ifrovan sa kljuem KKDC,
zato se TGT ifruje ponovo za kljuem KA? Ovo predstavlja manji propust u Kerberos-u, jer je to samo dodatni posao na koji se troe resursi, a ne prua dodatnu
bezbednost. Ako se desi da klju KKDC bude otkriven, ceo sistem e biti kompromitovan, iz ovog razloga ne postoji dodatna prednost ponovnog ifrovanja TGT-a,
nakon to je ve ifrovan sa KKDC.
Moemo da primetimo na slici (Slika 4.23), da Alisa ostaje anonimna u ZAHTEVU.
Ovo je dosta dobra bezbednosna osobina, injenicom da je TGT ifrovan sa KKDC
Kriptologija 2
124
kljuem, dok sa druge KDC ne mora da zna ko upuuje zahtev, pre nego to moe
da deifruje TGT, jer su svi TGT tiketi ifrovani sa KKDC. Problem anonimnosti moe biti teko reiv problem. Videli smo problem anonimnosti u IPSec-u, ali taj
problem nije prisutan kod Kerberosa.
Primetimo da u Kerberos-u KDC prosleuje Alisi tiket do Boba, nakon ega Alisa
jednostavno prosleuje tiket Bobu. Razlog zato KDC nije uradio taj deo posla lei
u efikasnosti Kerberos protokola. Meutim, ako tiket stigne do Boba pre nego to
Alisa inicijalizuje komunikaciju, Bob e morati da klju KAB dri neko potrebno
vreme u raspoloivom stanju.
Na kraju, kako Kerberos spreava napad zasnovan na ponovnom slanju poruka?
Prevencija od ovog tipa napada se oslanja na vremenske peate, koji su sadrani
u autentifikatoru. Ali i dalje postoji pitanje koje se odnosi na mogunost postojanja ove vrste napada, zbog postojanja problema sa vremenskom sinhronizacijom
i vremenske tolerancije koja je zadata u Kerberos protokolu.
Postoje i neke alternative dizajna Kerberos protokola. Na primer, da li bi KDC mogao da pamti sesijski klju umesto to ga stavlja u TGT? Ukoliko bi postojala ovakva mogunost, tada bi TGT iz dizajna Kerberos-a bio uklonjen. Alternativni
pristup koji smo naveli, esto se koristi u aplikacijama, ali ne i u Kerberosu.
Kriptologija 2
125
4.5. WEP
WEP (engl. Wired Equivalent Privacy) je bezbednosni protokol koji je dizajniran
za zatitu lokalnih (LAN) beinih mrea. Proklamovani cilj WEP protokola je da
uini beini LAN jednako bezbednim kao i iani LAN.
Standard 802.11 propisuje bezbednosni protokol na nivou veze podataka. Protokol je nazvan WEP, ija je svrha da postigne jednaku bezbednost beine LAN
mree, koja postoji ve u ianoj LAN mrei. Budui da iani LAN ne implementira nikakve bezbednosne mehanizme, ovaj cilj se lako postie. U nastavku videemo kako je to uraeno kod WEP-a.
4.5.1. AUTENTIFIKACIJA U WEP PROTOKOLU

Pretpostavimo sledei scenario u kome je Bob beina pristupna taka (engl.
wireless router). Simetrini klju K se deli izmeu Boba (pristupne take) i svih
korisnika. Ideja da se deli zajedniki simetrini klju, nije toliko dobra. U svakom
sluaju, autentifikacija kod WEP protokola je jednostavan primer protokola sa
izazov-odgovor, kao to je prikazano na slici (Slika 4.25), gde je Bob pristupna
beina taka, Alisa korisnik i K je deljeni simetrini klju koji se retko menja (ako
ne i nikako).
Zahtev za
autentifikaciju
R
E(R, K)
Alisa, K
Bob, K
Slika 4.25 WEP autentifikacija
Na koji nain Bob autentifikuje Alisu? U prvoj poruci Alisa alje zahtev za autentifikaciju. U drugoj poruci Bob alje izazov R. Na kraju, u treoj poruci Alisa ifruje
izazov R sa deljenim kljuem K. Bob verifikuje Alisu tako to deifruje ifrat E(R,
Kriptologija 2
126
K) i ukoliko je vrednost R dobijena nakon deifrovanja jednaka poslatoj vrednosti

R, Alisi je odobren pristup.
WEP poseduje mnoge bezbednosne problem, o kojim moda i ne treba previe
raspravljati, ako imamo na umu da protokol nije dizajniran sa osnovama stvarnih
bezbednosnih protokola.
4.5.2. IFROVANJE U WEP PROTOKOLU

Posle uspene autentifikacije, paketi koji se razmenjuju izmeu korisnika beine
mree su ifrovani sa RC4 sekvencijalnom ifrom. Svaki paket saobraaja je ifrovan sa kljuem KIV = (IV,K), gde IV predstavlja inicijalni vektor veliine 3 bajta, koji
je poslat nezatieno do autentifikovanog korisnika, a klju K je isti klju koji je
prethodno korien u autentifikaciji, prikazano na slici (Slika 4.26).
IV, E(paket, KIV)
Alisa, K
Bob, K
Slika 4.26 ifrovanje kod WEP-a
Glavni cilj je da se paketi ifruju sa razliitim kljuevima, poto ponovno korienje kljua kod RC4 ifarskog algoritma predstavlja lou ideju. Napominjemo da je
RC4 pseduo perfektna ifra, koja se smatra jakom ifrom uz pravilnu implementaciju. Meutim, postoji jedan mali propust, Trudi zna 3 bajta inicijalnog vektora
IV, ali ne zna i klju K. U ovom sluaju, klju za ifrovanje se menja i nije poznat
Trudi.
Inicijalni vektor IV je duine samo 3 bajta, klju K se retko menja, tako da je neminovno da e se klju KIV = (IV,K) esto ponavljati. Ova injenica je poznata za
Trudi, poto je IV vidljiv, a klju K se ne menja skoro nikako. Obzirom, da je RC4
sekvencijalna ifra, pa ponovno korienje kljua generisae ve korien radni
Kriptologija 2
127
klju, to predstavlja ozbiljan problem i veliku prednost na strani Trudi. Ponavljanjem istog IV, kriptoanalitiki posao za Trudi uinie jo lakim.
Broj ponovljenih kljueva K koji se koriste za ifrovanje mogue je smanjiti redovnom promenom kljua K. Naalost, klju K se dugo koristi i retko menja. Promena kljueva predstavlja runi proces koji je neizvodljiv za pristupne take, jer
u WEP-u ne postoji uraena procedura koja bi vodila rauna o stalnoj promeni
kljua.
Ovaj napad od strane Trudi je potpuno realan, jer kad Trudi uhvati ponovljeni
inicijalni vektor IV, tada moe da pretpostavi i rekonstruie radni klju RC4 ifarskog algoritma. Zbog duine inicijalnog vektora IV od samo 24 bita, ponavljanja
radnog kljua su relativno esta. Imajui na umu da je koriena pseudo perfektna ifra, ponovljeni radni klju je ozbiljan prekraj u implementaciji i dovodi do
ozbiljnih bezbednosnih problema.
Pored ovog problema, postoji jo jedan kriptoanalitiki napad, koji je mogue
realizovati i pod pretpostavkom da je RC4 implementiran na pravilan nain. Ovaj
napad se temelji na otkrivanju kljua na osnovu postojanja srodnih kljueva. Videli smo da i pored suptilnih propusta u WEP protokolu postoje i druge vrste
napada.
RC4 sekvencijalna ifra predstavlja pseudo perfektni ifru (engl. One-Time pad).
RC4 u WEP-u koristi klju veliine 40 bitova i 24 bita inicijalni vektor IV. Za pravilan i bezbedan rad RC4 algoritma, neophodno je odbaciti prvih 256 bajtova radnog kljua (engl. Key stream). Osnovni razloga je spreavanje curenja informacija
o unutranjem kljuu K, na osnovu poznavanja velike koliine ifrata. Meutim,
implementacija RC4 algoritma u WEP-u ne podrazumeva odbacivanje prvih 256
bajtova radnog kljua. U jednoj sesiji od nekoliko hiljada paketa, ponavlja se inicijalni vektor IV, dok se klju K skoro nikad ne menja. Sve ove injenice predstavljaju odlinu polaznu taku za kriptoanalitiara.
Kriptologija 2
128
Klijent
Inicijalni vektor
Klju
RC4
Radni klju
Beina
mrea
Otvoreni tekst
IV
ifrat
IV
Server
ifrat
IV
Klju
ifrat
RC4
Radni klju
+
ifrat
Otvoreni tekst
Slika 4.27 ifrovanje u WEP protokolu
4.5.3. PROBLEM INTEGRITETA U WEP PROTOKOLU

WEP ima brojne bezbednosne probleme, ali jedan od najupeatljivijih je da koristi
CRC (engl. Cyclic Redundancy Check) za proveru kriptografskog integriteta. Ovaj
metod je preuzet iz oblasti kodovanja za ciklinu proveru integriteta kod zatitnih kodova u umnim komunikacionim kanalima. Podsetimo se da kriptografska
provera integriteta ima zadatak da otkrije maliciozno ponaanje, a ne samo greke u umnim komunikacionim kanalima. CRC metod koliko je dobar za otkrivanje greaka, toliko nije dobar za proveru kriptografskog integriteta, poto sofisticiran napada moe da promeni podatke i CRC vrednosti, tako da, na prijemnoj
Kriptologija 2
129
strani ne bude detektovan napad. Zatita od ove vrste napada zahteva upotrebu
drugih kriptografskih tehnika, kao to su MAC, HMAC ili digitalni potpis.
Ovaj problem provere integriteta je jo pogoran injenicom da su podaci ifrovani sekvencijalnom ifrom. Zbog upotrebe sekvencijalne ifre, WEP ifrovanje je
linearno i zbog toga dozvoljava Trudi da direktno promeni ifrat i izrauna nove
CRC vrednosti, tako da prijemnik nee detektovati promene. Za ovu vrstu napada
Trudi ne mora da zna klju ili otvoreni tekst da bi uspela da napravi izmenu u
podacima. Prema ovom scenariju, Trudi nee znati kakvu je promenu u podacima
napravila, ali poenta je da podaci budu oteeni na nain da ni Alisa ni Bobo ne
mogu detektovati.
Problemi se jo vie mogu pogorati ukoliko se desi da Trudi sazna neke delove
otvorenog teksta, tada e Trudi ciljno napraviti promenu u poruci. Na primer,
pretpostavimo da Trudi zna IP adresu odredita datog ifrovanog WEP paketa.
Tada bez poznavanja kljua, Trudi moe promeniti IP adresu odredita u adresu
po njenom izboru (na primer, njenu IP adresu) i CRC vrednosti za proveru integriteta, tako da njeni pokuaji ne budu otkriveni na pristupnoj taki. WEP saobraaj je ifrovan samo od korisnika do pristupne take i obrnuto, tako da ifrovani
paket sa promenjenom IP adresom stie do pristupne take, tu biva deifrovan, a
zatim i prosleen do Trudi na zadatu (zadatu od Trudi) IP adresu. Ovaj napad je
omoguen zbog nedostatka stvarne provere integriteta. Sutina je da WEP provera integriteta ne prua elemente kriptografske provere integriteta. Svi ovi veliki
problemi nastaju zbog naruavanja integriteta.
U WEP protokolu postoji mnogo problema, koji ga zajedno ine bezbednosno
ranjivim. Na primer, ako Trudi moe da poalje poruku preko beine mree i da
presretne ifrat, tada ona zna otvoreni tekst i odgovarajui ifrat koji e joj omoguiti da sazna radni klju koji se koristio za ifrovanje. Ovaj isti radni klju e se
koristiti za ifrovanje svih poruka koje koriste isti inicijalni vektor IV, pod uslovom da se klju K due vremena nije menjao, to je vrlo verovatno. Da li Trudi
potencijalno moe da sazna otvoreni tekst ifrovane i poslate poruke preko beine mree? Moda, Trudi moe da poalje e-poruku Alisi i da nju pita da je prosledi drugoj osobi. Ako Alisa uradi sve po scenariju koji je postavila Trudi, tada
Trudi moe da presretne ifrat poruke za koji poseduje odgovarajui ifrat i tako
otkrije radni klju koji je iskorien za ifrovanje. Nakon toga, trudi moe da deifruje svaki paket ifrata koji je nastao preko istog inicijalnog vektora IV. Sa druKriptologija 2
130
ge strane, ako Trudi moe ovaj scenario da ponovi vie puta, tada moe da deifruje poruke za mnoge razliite inicijalne vektore.
Razmotrimo bolje ovaj kriptoanalitiki napad. WEP podaci se ifruju sa algoritmom RC4. Klju paketa je inicijalni vektor IV i dugotrajni klju K. Inicijalni vektor
je 3-bajtni sufiks koji se dodaje na klju K, tako da je klju paketa (IV, K). Napomenimo da se inicijalni vektor alje otvoreno, dok se novi inicijalni vektor alje
novim paketom. Sada vidimo da Trudi uvek zna inicijalni vektor i ifrat, ali kako
Trudi moe da pronae klju K? Ukoliko oznaimo RC4 bajtove kljua sa K0, K1, K2,
K3, K4, K5, gde je IV = (K0, K1, K2), to Trudi zna, ali eli da pronae K = (K3, K4, K5).
Ukoliko trudi ima dovoljno inicijalnih vektora, moi e da pronae klju, bez obzira na duinu kljua. Preduslov je da Trudi zna prvi bajt niza kljueva za ifrovanje, ili napad na osnovu poznatog otvorenog teksta. Ovaj napad se moe osujetiti
ako se odbaci prvih 256 bajtova radnog kljua za ifrovanje. Na osnovu preporuke za spreavanje ove vrste napada, zakljuujemo da nisu potovana sva pravila
za implementaciju RC4 ifarskog algoritma.
Pored lozinke koja je zahtevana za autentifikaciju, postoji i parametar SSID (engl.
Service Set Identifier) koji pristupna taka emituje u svom dometu. SSID predstavlja slian parametar kao i korisniko ime koje korisnik treba da koristi u autentifikaciji. Jedna od WEP bezbednosnih funkcija omoguava konfigurisanje pristupne take, na takav nain da ne emituje SSID, ve da korisnik mora runo da unese
naziv (deluje kao lozinka, koju korisnici moraju da znaju da bi se autentifikovali).
Meutim, korisnici poalju SSID da bi kontaktirali pristupnu taku, tada Trudi
samo treba da presretne jedan paket i da otkrije odgovarajui SSID. U praksi
postoje alati koji e naterati korisnike da se nasilu odjave sa pristupne take, a
zatim ponovo autentifikuju na istoj uz ponovno slanje SSID naziva mree. Vidimo
da ni SSID ne predstavlja konano reenje, jer sve dok postoji bar jedan korisnik
na mrei, to e biti jednostavan proces u kom Trudi lako saznaje SSID. Svakako,
ova mogunost definitivno ne treba da bude bezbednosna opcija.
Teko je, a moda i nemogue videti u WEP-u neto drugo osim bezbednosne
katastrofe. Meutim, i pored svih svojih bezbednosnih problema, u nekim okolnostima mogue je napraviti od WEP-a umereno bezbedan protokol u praksi. Na
primer, pored lozinki i nepoznatog SSID, mogue je ukljuiti i opciju koja se odnosi na filtriranje saobraaja na osnovu MAC adrese (fizike adrese). Na ovaj nain
Kriptologija 2
131
bi iziskivali dodatni napor na strani napadaa koji se mora uloiti na prevazilaenje ove prepreke.
Na kraju, treba da imamo na umu da postoje i druge bezbednosne alternative
WEP protokolu. Na primer, WPA (engl. WiFi Protected Access) je znatno jai, ali on
je dizajniran da koristi isti hardver kao i WEP, i iz tog razloga su zahtevani odreeni bezbednosni kompromisi. Do danas postoji nekoliko tipova napada na WPA.
Osim WPA, tu je i WPA2 koji je neto jai od WPA, ali zahtevan je snaniji hardver.
Kao i za WPA, postoje i mogunosti napada na WPA2, ali ukoliko su izabrane izuzetno jake lozinke, ovi bezbednosni protokoli postaju praktino bezbedni.
4.5.4. OSNOVNE ZA BEZBEDNO KORIENJE BEINIH MREA

Krenuemo od nekih osnovnih karakteristika javnih WiFi beinih mrea. Da bismo bolje shvatili probleme koji postoje u ovom domenu, naveemo primer sa
slobodnim besplatnim beinim mreama. Na primer, jedan aerodrom u Vaingtonu obezbedio je svojim putnicima slobodan i besplatan pristup beinoj
mrei sa izlazom na Internet. Radi lakeg pruanja IT usluga, zanemareni su
zahtevni bezbednosni mehanizmi. Na ovaj nain lini podaci skoro svih putnika
su se nali u etru (u signalu beine mree) potpuno nezatieni. Procene su bile
da je priblino 97% putnika bilo u potpunosti ranjivo.
Nedostatak bezbednosti na beinim mreama je zajedniki problem svih korisnika istih. Logino je pretpostaviti da svako moe da pristupi podacima koji su
emitovani u etru, pregleda ih, promeni i poalje dalje. Sa druge strane, dozvoljen
je anoniman pristup mrei bilo kom korisniku. RF tehnologija omoguava bilo
kome da snima i obrauje signal koji je emitovan ili da emituje signal. Na ovaj
nain nikada ne moemo da budemo sigurni da ba osoba pored nas ne pokuava
da pristupi naim podacima.
Danas u svetu postoji veliki broj lanih beinih mrea, iji je glavni cilj da namame korisnike na korienje. esto u nazivu ove mree postoji Besplatan
internet i sl.
Pre povezivanja raunara na nepoznate beine mree, kod kojih je teku utvrditi
legitimitet, neophodno je prekonfigurisati lini raunar, u cilju spreavanja
Kriptologija 2
132
sistemskog kompromisa. To podrazumeva proveru zatitnog zida, antivirusa

(provera aurnosti definicije za otkrivanje virusa) i drugih programskih zakrpa
koje mogu da dovedu do ozbiljnih problema. Pored ovih osnovnih konfiguracija,
preporuuje se svim korisnicima da ifruju vane podatke ili da iskljue programe za razmenu podataka. Na ovaj nain mogue je izbei neovlaen pristup linim podacima. Tipian primer su servisi za uvanje podataka na Internetu
(dropbox, skydrive, itd), koji u momentu kada detektuju povezanost sa Internet
mreom zapoinju sinhronizaciju podataka. Pored ovih preporuka, neophodno je
onemoguiti linom raunaru automatsko povezivanje na mreu. U ovom sluaju
od korisnika se oekuje da redovno proveravaju status beinog adaptera. Preporuka je da adapter bude iskljuen ukoliko nije potrebno koristiti mrene resurse.
Druge preporuke se odnose na korisnike naloge u okviru operativnog sistema.
Preporuuje se upotreba korisnikog naloga bez posebnih privilegija (neadministratorski nalog), na osnovu kojih bi bilo mogue napraviti neke neeljene promene u operativnom sistemu.
Ukoliko nije apsolutno neophodno, preporuka je da se izbegava rad sa servisima
za elektronsko bankarstvo, elektronsku potu i druge vane servise. U sluaju da
je pristup ovim servisima neizbean, bitno je da proveravamo na strani Internet
pregledaa da je konekcija bezbedna (HTTPS), tanije da koristimo SSL/TLS bezbednosni protokol preko koga smo se prijavili na servis i sve podatke razmenili u
ifrovanoj formi. Pored ove preporuke, preporuuje se korienje i VPN protokola, ukoliko postoji kao opcija u momentu povezivanja na beinu mreu. napominjemo da VPN protokol obezbeuje ifrovanje podataka u posebno tunelovanoj
komunikaciji.
Ostavljanje linih raunara bez nadzora, takoe predstavlja ozbiljnu pretnju. U
ovim situacijama mogue su neeljene modifikacije na operativnom sistemu ili
jo gore, kraa raunara koja je uobiajena pojava. Kraa raunara danas predstavlja veliki problem. Sve je postalo mobilno (prenosivi raunari, pametni telefoni, IP tampai, IP kamere), tako da svi ovi ureaji ostavljeni bez nadzora mogu
da prouzrokuju ozbiljne bezbednosne probleme.
Kriptologija 2
133
4.5.5. SAVETI ZA BEZBEDNO KONFIGURISANJE BEINIH UREAJA

U ovom odeljku diskutovaemo o nekim najosnovnijim podeavanjima pristupnih
taaka za izgradnju sopstvene beine mree. Najnovija istraivanja pokazala su
da veliki broj korisnika koji sami postavljaju ove ureaje, ne poznaju dovoljno
materiju koja se odnosi na sprovoenje nekih bezbednosnih mera i iz tog razloga
ovi ureaju ostaju na najosnovnijim fabrikim podeavanjima. Slede koraci kroz
koje je neophodno pri:
1. Krenuemo od vrste protokola koji e se koristiti za pristup i zatitu u beinoj mrei. Preporuka je da se koristi protokol WPA2-PSK . Ovaj protokol koristi AES kriptografski algoritam za ifrovanje i implementira bezbedne protokole za razmenu kljueva. Svakako, WEP kao opciju nije preporueno koristiti osim zbog velikih bezbednosnih problema.
2. Svi ureaju za pristupne take poseduju neka fabrika podeavanja, koja
se upravo odnose na korisniko ime i lozinku (admin i 12345). Ukoliko korisnik ne promeni ove poetne parametre, postoji mogunost da napada potencijalno promeni i druge parametre pristupne take koji se
odnose na aktivirane bezbednosne opcije (napada moe postaviti WEP
kao protokol za autentifikaciju i sl.). Poetni parametri su javni i zavise od
proizvoaa opreme.
3. Nije preporuljivo koristiti lake lozinke. Zahtevana je upotreba jakih lozinki, koje kombinuju slova, brojeve i specijalne karaktere sa minimalnom
duinom od 10 karaktera. U svim drugim varijantama, mogui su hibridni
napadi zasnovani na renicima i argonskom govoru. Osim jake lozinke,
oekivana je promena lozinke bar na mesenom nivou.
4. Ukoliko je beina mrea postavljena za linu upotrebu, preporuka je da
naziv mree bude bez bilo kakvog posebnog znaenja ili asocijativnog
znaenja, na osnovu koga vlasnik moe da pretpostavi ko je vlasnik beine mree.
5. Ukoliko je beina mrea postavljena za linu upotrebu, a u sluaju putovanja na dui vremenski period (godinji odmor), preporuuje se gaenje
beine mree. Ukoliko se radi o sofisticiranom napadau, ovo moe omoguiti snimanje velike koliine saobraaja i sprovoenje drugih radnji
za uspean napad (vremenski zahtevan).
Kriptologija 2
134
6. Ukoliko nije potreban naziv mree SSID, u tom sluaju mreu ne koristi
veliki broj korisnika, preporuuje se iskljuivanje opcije za emitovanje
SSID-a.
7. Smanjiti prostiranje (irenje) radio talasa izvan objekta u kome je postavljena pristupna taka. Korienjem usmerenih antena moe se usmeriti
irenje unutar sredine u kojoj se koristi beina mrea. Ovim se ne dobija
samo dobra optimizacija, ve i smanjenje mogunosti da napada locira
mreu.
8. Ukoliko nije oteavajue za korisnika ili administratora mree, preporuuje se korienje MAC adrese. Na ovaj nain ukljuen je filter koji nee
dozvoliti povezivanje neautorizovanim ureajima. Treba imati na umu da
neki ureaji dozvoljavaju promenu MAC adrese i da je ovo samo jo jedna
zahtevna prepreka postavljena pred napadaa.
9. Ukoliko mrea ne raspolae sa veim brojem korisnika, preporuuje se
iskljuivanje opcije DHCP. DHCP servis obezbeuje svim uesnicima dinamike IP adresi vodi rauna o mogunosti za postojanje duplih IP adresa u mrei. U ovom sluaju, oekuje se da na raunaru korisnika bude
postavljena statika IP adresa.
10. Pored ovih osnovnih preporuka, postoje mogunosti za izgradnju neto
sloenijih beinih mrea, koje predviaju upotrebu VLAN-ova. Za ovaj
poduhvat, neophodno je poznavati bolje savremene raunarske mree.
Ovaj scenario je obino poeljan kada u mrei postoji veliki broj raunara,
kada se beina mrea konfigurie kao poseban VLAN.
11. Kao poslednje, preporuuje se organizovanje strunih seminara, na kojima e lanovi organizacija stei elementarna znanja i vetine o bezbednosnim protokolima i bezbednosnoj politici organizacije. Na ovaj nain e
biti spremi na prave reakcije u kriznim situacijama, pa ak i kome da se
obrate u sluaju eventualnih incidenata.
Kriptologija 2
135
4.6. GSM
Mnogi beini protokoli, kao to je WEP, imaju loe rezultata po pitanju bezbednosti. U ovom odeljku ukratko emo diskutovati o bezbednosti GSM mobilnih
telefona. GSM (engl. Global System for Mobile Communications) prikazuje neke
jedinstvene bezbednosne probleme koji se javljaju u beinom okruenju. Predstavlja odlian primer za greke koje nastaju u fazi projektovanja, koje je kasnije
teko ispraviti. Pre nego to se ponemo baviti detaljima GSM bezbednosti, naveemo neke osnovne informacije o razvoju tehnologije mobilnih telefona.
Pre 1980. godine mobilni telefoni su bili skupi, potpuno nebezbedni i bili su fiziki dosta veliki. Prvi telefoni su bili analogni, ne digitalni, a bilo je nekoliko standarda ali nijedan se nije bavio sa bezbednosti.
Najvei bezbednosni problemi sa ranim mobilnim telefonima su postojanje mogunosti za kloniranje. Ovi mobilni telefoni prilikom slanja poziva alju i svoj identitet, preko koga su se naplaivali razgovori, jer je tako bilo mogue utvrditi
ko je poslao poziv. Poto je identitet javno, nezatieno poslat preko beine mree, svako moe da kopira i da napravi kopiju telefona. Ovo je omoguilo napadaima da besplatno telefoniraju. Kloniranje telefona je postao unosan posao, preko
lanih baznih stanica koje su se jednostavno pravile.
U tom haotinom okruenju pojavila se GSM mrea, koja je uvedena 1982, a 1986
postala globalni sistem za mobilne komunikacije. Osnivanje GSM obeleava zvanini poetak druge generacije tehnologije mobilnih telefona. Kasnije emo rei
neto vie o bezbednosti GSM.
Meutim, danas postoji i trea generacija mobilnih komunikacija ili 3GPP (engl.
Generation Partnership Project). Nakon bezbednosti GSM protokola koja je interesantan kolski primer, pomenuemo neke bezbednosne aspekte 3GPP-a.
Kriptologija 2
136
4.6.1. ARHITEKTURA I BEZBEDNOST GSM PROTOKOLA

Opta arhitektura GSM-a je prikazana na slici (Slika 4.28), u razumevanju arhitekture koristiemo sledeu terminologiju.
Mobilni je mobilni telefon;

Pristupna taka je najblia bazna stanica kojoj telefon pristupa preko beine mree;
Poseena mrea je mrea koja je sainjena od vie baznih stanica i kontrolera baznih stanica, koji deluju kao vorite za povezivanje baznih stanica
sa ostatkom GSM mree.
Javna telefonska mrea ili PSTN, predstavlja obini telefonski sistem.
PSTN se ponekad naziva i "fiksna telefonija" da bi ga razlikovali od beine mree.
Mrea operatera (domaina) je mrea u kojoj je registrovan mobilni telefon. Svaki mobilni telefon je povezan sa jedinstvenim operaterom. Operaterova mrea sadri lokalni registar ili HLR (engl. Home Location Registar), koji vodi rauna o trenutnim lokacijama svih mobilnih telefona koji
su navedeni u HLR. Autentifikacioni centar ili AuC (engl. Authentication
Center), odrava informacije presudne za obraun svih mobilnih telefona
koji pripadaju odgovarajuem HLR-u.
Mobilni
telefon
Bazna
stanica
VLR
AuC
Fiksna linija
PSTN
Kontroler baznih
stanica
HLR
Mreni operater
Slika 4.28 GSM arhitektura

Kriptologija 2
137
Svaki GSM mobilni telefon sadri modul pretplatnikog identiteta ili SIM, koja
predstavlja otpornu pametnu karticu (engl. Smartcard). SIM kartica sadri internacionalni mobilni pretplatniki ID ili IMSI (engl. International Mobile Subscriber
ID), koji se koristi za identifikaciju mobilnog. SIM kartica u sebi sadri 128 bitni
klju koji je poznat samo mobilnom ureaju i operateru.
Svrha upotrebe pametnih kartica za SIM je da obezbedi jeftinu formu hardvera,
otpornu na neovlaen pristup. SIM kartica obezbeuje dvo-faktorsku autentifikaciju, oslanjajui se na neto to imate i neto to znate u obliku PIN kod od
etiri cifre. PIN kod je naiao na otpor u upotrebi i obino se ne upotrebljava.
Podsetiemo se ukratko, poseena mrea je mrea u kojoj je mobilni telefon trenutno lociran. Bazna stanica je jedna elija mobilnog sistema, u kome kontroler
baznih stanica upravlja sa vie baznih stanica. VLR poseduje informacije o svim
mobilnom telefonima koji se trenutno nalaze u mrei na baznoj stanici odgovarajueg kontrolera.
Operater sadri najvanije informacije o mobilnim ureajima, kao to je IMSI i
128 bitni klju. Uloga IMSI i kljua je slina ulozi korisnikog imena i lozinke, koje
mobilni telefon koristi kada treba da uputi telefonski poziv. HLR prati trenutne
lokacije svih registrovanih mobilnih ureaja, dok AuC sadri bazu IMSIova i kljueva svih registrovanih mobilnih ureaja.
U nastavku ovog odeljka diskutovaemo ukratko o GSM bezbednosnoj arhitekturi.
Primarni ciljevi koji se odnose na bezbednost, propisani od strane dizajnera bili
su:
1. Napraviti GSM podjednako bezbedan kao obini telefon PSTN;
2. Spreiti kloniranje mobilnih telefona;
GSM nije dizajniran da se odupre aktivnom napadu. U to vreme aktivni napadi su
bili neizvodljivi i tako se smatralo, jer je potrebna oprema bila skupa. Meutim,
danas je cena takve opreme jednaka ceni mobilnog telefona, tako da je aktivni
napad ne samo mogu, nego i jednostavan. Dizajneri GSM au smatrali da je najbitnije reiti probleme koji su se odnosili na probleme sa obraunom potronje i
druge sline napada istog nivoa.
Kriptologija 2
138
GSM protokol pokuava da se bavi sa tri bezbednosna pitanja: anonimnost, autentifikacija i poverljivost. U GSM-u pitanje anonimnosti je trebalo da sprei presretanje saobraaja od identifikovanih korisnika (problem sa ID). Anonimnost nije
naroito bila vana za telefonske kompanije, osim u meri u kojoj je to vano za
kupca.
Autentifikacija sa druge strane je od najveeg znaaja za telefonske kompanije, iz
razloga to je neophodno obezbediti tanu potvrdu identiteta za pravilan obraun. Problem kloniranja koji je postojao moe da se posmatra kao jedan nedostatak autentifikacije. Kao i kod anonimnosti, poverljivost poziva preko beine
mree je vrlo vana klijentima, iz tog razloga ovo postaje vano i za telefonske
kompanije.
U razmatranju GSM protokola, u kratkim crtama emo diskutovati o dizajnu protokola koji obezbeuje anonimnost, autentifikaciju i poverljivost.
Prvo anonimnost, IMSI se koristi za inicijalnu identifikaciju korisnika koji poziva
(poziva) i alje se otvoreno na poetku poziva. Zatim se korisniku dodeljuje sluajno generisani TMSI (engl. Temporary Mobile Subscriber ID) koji na dalje slui
za identifikovanje pozivaa. TMSI se esto menja i ifruje svaki put kada se alje.
Ne postoji jaka forma anonimnosti. Ako napada uhvati poetak poziva, anonimnost u tom sluaju ne postoji, a ako propusti poetak, anonimnost je praktino
dobro zatiena. U veini primena ova tehnika je verovatno dovoljna, ali dizajneri
nisu previe vodili rauna o anonimnosti.
Drugo autentifikacija, u GSM protokolu autentifikacija nije uzajamna. Korisnik
mobilnog telefona se autentifikuje pred baznom stanicom, jer je to najbitnije za
telefonske kompanije zbog naplate. Ovo moe biti mesto napada, u kome napada
moe da iskoristi lane bazne stanice. Neemo detaljno obraivati notaciju autentifikacije u GSM protokolu, ali naveemo da je korien dizajn protokola izazovodgovor.
I na kraju, servis poverljivosti je obezbeen upotrebom sekvencijalne ifre. Stepen greke procenjuje se na oko 1/1000. Greka je suvie visoka za blokovske
ifre. Drugi razlog zato se ne koriste blokovske ifre je u bolja hardverska
implementacija sekvencijalnih ifara.
Kriptologija 2
139
Bitno je napomenuti da se saobraaj ifruje samo izmeu mobilnog ureaja i bazne stanice, ali se ne ifruje izmeu bazne stanice i kontrolera bazne stanice. Od
sekvencijalnih ifara, najveu zastupljenost je imala ifra A5/1. Ovu ifru mogue
je probiti za manje od dve sekunde na bazi otvorenog teksta.
Pored navedenih bezbednosnih problem, postoje i problemi sa SIM karticama.
Najpoznatiji napadi na kartice su:
Optika indukcija greke (engl. Optical Fault Indution), napad omoguava

napadai izvlaenje 128 bitnog kljua;
Napad particionisanjem (engl. Partitioning Attacks), koristei vremensku
zavisnost troenja energije, mogue je izvui klju sa samo 8 adekvatno
izabranih otvorenih tekstova;
Uz fiziko posedovanje SIM kartice, napada moe izvui klju za samo nekoliko
sekundi.
Jedan od moda najlakih scenarija napada je lana bazna stanica, preko koje je
mogue iskoristiti dve ranjivosti:
ifrovanje nije automatizovani proces, to znai da bazna stanica odreuje

da li e biti ifrovanja ili nee, bez znanja korisnika mobilnog ureaja.
Bazna stanica nije autentifikovana od strane korisnika mobilnog ureaja,
tako da ovo potvruje jo jednom jednostavnost ovog napada.
U sluaju ovog napada, raun trokova ide lanoj baznoj stanici. Lana bazna stanica moe sprovoditi napad izabranog otvorenog teksta bez posedovanja SIM
kartice. Osim ovih navedenih napada na GSM protokol, mogu je i DoS napad,
ometanjem signala i ovo je uvek prisutno u beinoj komunikaciji. Zatim, postoji
mogunost i za reemitovanje ili ponovno slanje poruka. GSM protokol nema zatitu od napada izazvanog ponovnim slanjem poruka.
Na kraju ovog odeljka moemo da zakljuimo da je GSM protokol dostigao svoje
ciljeve (eliminisao kloniranje, uinio pristupnu taku bezbednom, kao i PSTN) i da
je umereno bezbedan. Glavne ranjivosti GSM su slaba ifra, problem SIM kartice,
lana bazna stanica i ponovno slanje poruka. to se tie PSTN ranjivosti, mogue
je prislukivanje, razliiti aktivni i pasivni napadi.
Kriptologija 2
140
4.6.2. TREA GENERACIJA PROTOKOLA 3GPP

Bezbednost tree generacije mobilnih telefona bila je predvoena sa 3GPP. Grupa
programera koja je radila na razvoju 3GPP-a, vodila je rauna vie o bezbednosti
nego programeri GSM-a. 3GPP bezbednosni model je izgraen na bezbednosnim
ranjivostima GSM-a. 3GPP programeri su paljivo zakrpili sve od poznatih ranjivosti GSM-a. Na primer, 3GPP ukljuuje uzajamnu autentifikaciju i zatitu integriteta (kao to je komanda zaponi ifrovanje) izmeu bazne stanice i mobilnog
ureaja. Ovo poboljanje eliminie napad umetanjem lanih baznih stanica. Takoe, kljuevi za ifrovanje se ne mogu ponovo koristiti. Ovime je spreeno ponovno emitovanje parametara. Slabi kriptografski algoritmi (A5/1, A5/2 i
COMP128) su zamenjeni sa jakim algoritmom po nazivu Kasumi, koji je proao
rigorozne provere. Pored toga, ifrovanje je produeno sa mobilnog pa sve do
kontrolera bazne stanice.
Istorija mobilnih telefona, od prve generacije kroz GSM i sada 3GPP, lepo govori o
evoluciji bezbednosti koja se esto javlja i u drugim sistemima. To je jedan krug, u
kome napadai razvijaju nove napade, branioci odgovaraju novim zatitama, koje
opet postaju izazovi za napadae. U idealnom sluaju, koji je u praksi skoro nemogu, potrebno je pre razvoja nekog sistema sprovesti rigorozne analize sa
aspekta bezbednosti i tako izbei sve probleme kasnije. Meutim, kao to smo
rekli, teko je predvideti budunost, smer tehnolokog razvoja da bi se svi problemi u startu izbegli. Na primer, napad lanom baznom stanicom je bio nemogu
na poetku razvoja GSM, ali danas je to mogue. Meutim, koliko god 3GPP bio u
prednosti u odnosu na GSM bezbednost, trka u razvoju novih mehanizama bezbednosti se nastavlja.
Kriptologija 2
141
5. BIOMETRIJA
Tradicionalni sistemi za proveru identiteta zasnovani su na neemu to znamo na primer lozinkama ili na neemu to posedujemo - smart karticama, tokenima, mobilnim telefonima Ovi ureaji ne mogu garantovati da se radi o legitimnim korisnicima, jer ne postoji jaka veza izmeu autentifikatora i servisa za autentifikaciju. Problem nastaje u sluaju njihovog kompromitovanja (kraa, gubljenje, kopiranje i sl.).
Problem je reen uvoenjem jo jednog atributa neeg to jesmo. Biometrija ili
bio-informacija se namee kao mogue reenje za obezbeenje vrste veze izmeu autentifikatora i sistema za autentifikaciju.
Re biometrija vodi poreklo od grke imenice bios ivot i glagola metreo
meriti. Biometrija je opti termin za opis i merenje fizikih karakteristika koje
mogu biti koriene za autentifikaciju.
Biometrijski sistemi su bazirani na fizikim ili bihejvioralnim karakteristikama
ljudskih bia kao to je lice, glas, otisak prsta, iris i drugo. Biometrijski podaci
imaju potencijalnu prednost da budu jedinstveni identifikatori jedne osobe. U
zavisnosti od vrste biometrijskog izvora, mogu da sadre dovoljnu ili nedovoljnu
koliinu informacija za odreenu primenu. Za estimaciju maksimalne koliine
informacija neophodno je dobro poznavati osobine biometrijskih podataka okarakterisane prema zadatom tipu biometrijskog izvora, kao i tehnologije za precizno oitavanje i ekstraktovanje informacija. Obzirom na osobine koje poseduju
biometrijski podaci biometrija je postala ozbiljan kandidat za zamenu tradicionalnih metoda na polju autentifikacije i autorizacije pojedinaca.
Kasnije je nastala ideja o generisanju kriptolokih kljueva na osnovu biometrijskih izvora. Hardverska i softverska reenja za informacionu bezbednost, koja
uestvuju na direktan ili indirektan nain u skladitenju, obradi i prenosu podataka, moraju da koriste adekvatne kriptografske mehanizme koji obezbeuju
raunarsku ili praktinu sigurnost koja podrazumeva sigurnost u odnosu na protivnika koji ima specifine ograniene vremenske i raunarske resurse. Snaga
ovih kriptografskih mehanizama je odreena snagom kriptolokog kljua. Danas
mnoge zemlje razmatraju ili ve koriste biometrijske podatke za podizanje nivoa
bezbednosti u cilju zatite pojedinca od krae identiteta ili lanog predstavljanja.
Kriptologija 2
142
5.1. VRSTE BIOMETRIJSKIH PODATAKA I NJIHOVA PODELA

U ovom odeljku naveemo skoro sve poznate vrste biometrije i njihovu podelu s
aspekta trajnosti, namene, dimenzionalnosti i naina oitavanja.
Najpoznatije biometrije koje se koriste u savremenim servisima za autentifikaciju
i druge kriptografske svrhe su:
Lice;
Otisak prsta;
Otisak dlana;
Vene;
Retina;
Iris;
Glas;
Slika 5.1 Biometrija lica
Za biometriju lica koristi se slika i video kao mediji za prikupljanje biometrijskih

karakteristika. Postoji vie razliitih algoritama za ekstrakciju informacionog
sadraja iz biometrijskih uzoraka. Pored 2D biometrije lica (Slika 5.1), danas je
popularna i 3D biometrija lica, koja ukljuuje i novu paletu algoritama za prepoznavanje.
Kriptologija 2
143
Otisak prsta predstavlja najstariju metodu koja je koriena za prepoznavanje i

autentifikaciju. Informacioni sadraji su ekstraktovani preko brazda na povrini
koe, u odnosu na koje se pozicioniraju take (minucije), koje poseduju osobine
jedinstvenosti (Slika 5.2).
Slika 5.2 Biometrija otiska prsta
Otisak prsta se danas najvie upotrebljava u forenzike svrhe, izdavanje biometrijskih linih dokumenata, daktiloskopija, kao i svakodnevna upotreba u ureajima za autentifikaciju. Danas veina laptop raunara sadri biometrijske itae
za otisak prsta, kao i pametni mobilni telefoni (iphone 5s).
Slika 5.3 Biometrija dlana
Veliku upotrebu danas ima i otisak dlana (Slika 5.3), ali ga karakterie niska pouzdanost. Niska pouzdanost nastaje zbog male koliine informacionog sadraja i
zbog velike varijabilnosti. Mala koliina informacionog sadraja utie direktno na
Kriptologija 2
144
osobine jedinstvenosti i tako stvara mogunost za postojanje identinih biometrijskih obrazac kod vie razliitih ljudi.
Razvoj novih softverskih i hardverskih tehnologija omoguio je i razvoj i eksploataciju novih biometrisjkih izvora. Tako je nastao jedan pouzdan i precizan biometrijski izvor na osnovu ljudskih vena (Slika 5.4). Od ureaja za skeniranje ili pribavljanje ove vrste biometrije se koriste skeneri sa LED i monohromatskim diodama. Dobijeni biometrijski obrazac je predstavljen sa strukturom crnih linija
koje se razlikuju po debljini.
Slika 5.4 Biometrija vena
Sledei biometrijski izvor je pozicioniran na retini ljudskog oka. Skeniranjem

mrenjae dobijamo raspored krvnih sudova u oku (Slika 5.5), to ujedno predstavlja i biometrijski obrazac preko koga se ekstraktuje informacioni sadraj.
Retina nije isto to i skeniranje irisa oka. Takoe, kao i kod dlana, niska preciznost karakterie ovaj biometrijski podatak.
Kriptologija 2
145
Slika 5.5 Biometrija retine
Iris biometrija predstavlja vrlo znaajan biometrijski izvor za nae kriptografske

potrebe, zbog veoma bogatog informacionog sadraja koji se moe koristiti pored
autentifikacije i za generisanje kriptolokih kljueva. Iris u oku je predstavljen
obojenom arom, prikazano na slici (Slika 5.6) kao region izmeu dve krunice.
Servisi zasnovani na biometriji irsa obezbeuju visoku preciznost i pouzdanost.
Tehnologija koja se koristi za procesiranje biometrijskih podataka kod irisa i dalje ima visoku cenu i iz tog razloga nije dostupna za iroku upotrebu.
Slika 5.6 Biometrija irisa
Biometrija glasa je takoe popularan biometrijski izvor koji se moe koristiti za

izdvajanje odreenih karakteristika (Slika 5.7) koje se kasnije mogu upotrebljavati u servisima za autentifikaciju. Biometrija glasa nije toliko pouzdana kao biometrija irisa. Postoji velika varijabilnost kod glasa kao biometrijskog podataka,
koja moe biti izazvana raznim umovima proizvedenim uticajima okoline i druge zavisnosti koje mogu biti uvedene. Na primer, prehlada i druge mutacije glasa.
Kriptologija 2
146
Praksa je pokazala da je biometriju glasa najbolje koristiti u kombinaciji sa drugim biometrijama. Na primer, kombinacija irisa i glasa.
Slika 5.7 Biometrija glasa
U ovom delu govoriemo o nekim osnovnim podelama kada je re o samom nainu upotrebe biometrijskih podataka u autentifikacionim servisima. Prva podela
odnosi se na aspekt trajnosti biometrijskih podataka. Sa ovog aspekta biometrija
moe da bude opoziva ili neopoziva. Opoziva upotreba biometrije omoguava
neogranienu ponovnu upotrebu biometrijskih obrazaca sa istih biometrijskih
izvora. Ova je postignuto razvojem novih algoritama koji uglavnom potiu iz nove
oblasti poznatije kao biometrijska kriptografija. U ovom sluaju biometrijski
obrasci dobijeni preko transformacija ovih algoritama, ne odaju originalne biometrijske podatke, a u servisima u kojima se koriste poseduju identine biometrijske osobine sa svim karakteristikama koje odgovaraju nekom pojedincu.
Suprotno ovome, neopoziva biometrija predstavlja upotrebu originalnih biometrijskih podataka u servisima za autentifikaciju. U ovom sluaju, kompromitovanjem biometrije ne bismo vie imali mogunost da koristimo isti biometrijski
izvor u servisu za autentifikaciju. Biometrijski izvor ne moe da se menja, on traje
ceo ivot.
Sa aspekta dimenzionalnosti moemo da napravimo podelu na:
Monomodalne;
Multimodalne;
Monomodalana biometrija pretpostavlja korienje samo jednog tipa biometrije.

Primer za monomodalnu biometriju je upotreba otiska prsta za autentifikaciju ili
irisa.
Kriptologija 2
147
Multimodalana biometrija pretpostavlja upotrebu dve ili vie razliitih vrsta biometrija. Potreba za multimodalnom biometrijom je nastala zbog pojedinanih
nedostataka svih vrsta biometrija. Na ovaj nain se prevazilazi veina nedostataka. U praksi se obino spajaju dva obrasca ili vie. Multimodalna biometrija moe
biti opoziva ili neopoziva.
Sa aspekta primene biometrijskih podataka, biometrijski podaci mogu biti korieni u poslovne i isto bezbednosne svrhe. Pod poslovnim svrhama podrazumevamo primenu u bankama (savremeni bankomati, alteri), elektronska trgovina, kontrola pristupa u nekim poslovnim okruenjima. Pod bezbednosnim svrhama podrazumevamo primenu u okruenjima gde je nivo bezbednosti koji je
zahtevan izuzetno visok. Primer za to su nuklearna postrojenja, energetski kompleksi i vladine institucije.
I poslednji aspekt o kome emo navesti je podela prema nainu prikupljanja biometrijskih podataka, u zavisnosti od tehnologije:
Audio (glas);
Vizuelna (fotografija, snimci);
Termika (termogram);
Mikrobioloka (DNK);
Grafoloka (potpis);
U nastavku ovog odeljka izveemo nekoliko zakljuaka koji mogu da budu od

velike koristi za razumevanje trenutnog stanja ove oblasti.
Biometrijske sisteme za autentifikaciju treba prouavati u kontekstu njihovih
drutvenih implikacija, a ne samo kroz pitanja tehnike izvodljivosti i promenljivosti. To podrazumeva multidisciplinarni pristup koji pre svega obuhvata etike,
informatike, pravne i socioloke discipline. Kriptografija, kao nauna disciplina
je dala odgovore na zahtev za privatnosti u nekom aspektu korienja biometrijskih podataka. Na alost, odgovori nisu sveobuhvatni. Distantna biometrija e
morati biti regulisana zakonski, kao i ukljuivanje drugih, novih tehnologija.
Kriptologija 2
148
5.2. BIOMETRIJSKI SERVISI ZA AUTENTIFIKACIJU

Konvencionalna kriptografija za ifrovanje koristi kriptoloke kljueve. Klju
predstavlja binarnu sekvencu tano odreene duine, obino 128, 192, 256 bitova ili vie. Ovi kljuevi mogu biti simetrini, javni ili privatni, i predstavljaju sutinski deo svakog kriptografskog sistema. Na primer, infrastruktura sa javnim
kljuevima - PKI. Kljuevi koji se koriste u javnoj kriptografiji su velike duine,
obino 1024 ili 2048 bitova. Ljudi ne mogu da pamte ovako duge kljueve, kao to
je to sluaj sa tradicionalnim lozinkama. Ovakvi kljuevi esto su zatieni lozinkama ili PIN-om koji se pamti. Upravljanje lozinkama je najslabija taka svakog
kripto sistema iz razloga to lozinka moe biti ukradena, izgubljena ili pogoena
primenom metoda za potpunu pretragu (engl. Brute force).
Biometrijski sistem za prepoznavanje uvek proizvodi jedan odgovor DA ili NE,
a to je samo jedan bit informacije. Dakle, oigledna je uloga biometrije u konvencionalnim kripto sistemima, a to je uloga upravljanja lozinkama. U procesu prepoznavanja, nakon faze verifikacije ukoliko je odgovor DA, sistem otkljuava
lozinku ili klju. Klju mora da se uva na sigurnom mestu ili ureaju od poverenja.
Interakcija izmeu biometrije i kriptografije predstavlja dve potencijalne komplementarne tehnologije. Postoje razliiti biometrijski izvori koji sadre jedinstvene informacije u vidu linih karakteristika jedne osobe. Na ovoj pretpostavci
moe biti izgraen napredni sistem za autentifikaciju pojedinca sa visokim stepenom sigurnosti. Na primer, vrstom kombinacijom biometrije i kriptografije
mogue je potencijalno ostvariti jaku vezu izmeu digitalnog potpisa i osobe koja
ga je sainila sa visokim stepenom sigurnosti.
Meutim, postoje neizostavni tehnoloki izazovi na koje je potrebno odgovoriti, a
to su tanost, pouzdanost, sigurnost podataka, prihvatljivost, cena, interoperabilnost, kao i izazovi vezani za obezbeenje efikasne zatite privatnosti. Sve ovo
predstavlja uobiajenu ranjivost odnosno nedostatak biometrijskih sistema sa
aspekta drutvene prihvatljivosti. Biometrijske tehnologije stavljene u kontekst
kriptografskih mehanizama, predstavljaju grupu povezanih tehnologija preko
kojih je mogue na potpuno siguran nain generisati kriptoloki klju na osnovu
biometrijskih podataka.
Kriptologija 2
149
Autentifikacija ili provera legitimnosti korisnika je sastavni deo opte bezbednosti svih informacionih sistema. Tradicionalno, autorizacija korisnika znai uvoenje korisnikog imena i lozinke, a to je tehnika koja je u upotrebi ve decenijama.
Napravljene su mnoge inkrementalne promene na ovom polju, a izdvajamo samo
osnovne. Lozinke se vie ne alju u otvorenoj formi preko mree i postavljen je
zahtev se generisanje jaih lozinki, ali se i dalje, osnovni pristup, u sutini, nije
promenio. Slabosti ovog pristupa su dobro poznate i zbog njih su prisutni problemi na svakodnevnom nivou.
Za veinu poslovnih okruenja potencijalne pretnje ukljuuju:
napad na privatnost, u kojem pojedinci neovlaeno pristupaju tuim privatnim podacima;

napad na poslovne tajne, nain na koji pojedinci kompromituju neku
organizaciju, tako to joj nanose ogromne finansijske gubitke;
napad sa ciljem zloupotrebe, u kojima pojedinac neovlaeno raspolae sa
tuim podacima, tj. lano se predstavlja (kraa identiteta);
Sa druge strane, kriptografski mehanizmi koji obezbeuju servis poverljivosti,

integriteta i neporecivosti zahtevaju kriptoloke kljueve veih duina zbog kontinualnog tehnolokog razvoja. Drugi problemi nastaju usled odabira sigurnog
mesta za uvanje kljueva i naina za distribuciju. Ovakve kljueve nije mogue
zapamtiti i neophodno je koristiti razliite hardverske tokene za skladitenje
kriptolokih kljueva. Takoe, slabosti ovog pristupa za skladitenje kljueva su
dobro poznate, ukoliko hardverski medijum bude kompromitovan na neki od
ovih naina.
Biometrija je ponudila nove i bolje pristupe za autentifikaciju korisnika, kao i
tehnike za obezbeenje mnogih servisa savremene informacione bezbednosti.
Obzirom da su tradicionalne lozinke najslabije karike u sistemu bezbednosti, biometrija predstavlja novu potencijalnu tehnologiju koja treba da bude brzo usvojena u cilju reavanja problema na svim nivoima bezbednosti.
Autentifikacija na bazi biometrije obezbeuje pogodnu i bezbednu proveru identiteta korisnika kako u lokalnom mrenom okruenju, tako i preko Veba. Ukoliko
je zahtevan vii nivo bezbednosti, na mrei je mogue koristiti biometriju samostalno ili u kombinaciji sa drugim akreditivima. Biometrijske sisteme je znaajno
Kriptologija 2
150
tee prevariti nego dosadanje tradicionalne sisteme na bazi lozinki. Imajui u

vidu raznolikost biometrijski izvora, mogue je izvriti njihovu podelu prema
kvalitetu, u odnosu na koliinu informacija koje sadre. U zavisnosti od koliine
informacija, mogue je generisati biometrijske kljueve za kriptografske potrebe.
Osim primene za generisanje kljueva, biometrija nudi reenja za uvanje i skladitenje kriptolokih kljueva, kao i njihovu distribuciju.
Razvojem biometrijskih sistema i njihovom prvom tradicionalnom primenom,
prepoznati su i prvi nedostaci. Nedostaci mogu biti razliito okarakterisani i moemo da ih podelimo u dve osnovne kategorije. Prvu kategoriju ine svi nedostaci
koji se odnose na lou zatitu privatnosti biometrijskih podataka, a koji su u direktnoj vezi sa osnovnim osobinama biometrijskih podataka (jedinstvenost, nezamenljivost, sadre um). Drugu kategoriju ine nedostaci koji su vezani za bezbednost sistema, kod kojih se biometrijski podaci koriste u svrhu autentifikacije.
Tradicionalni model primene biometrije irisa je praktino neprihvatljiv kada je u
pitanju zatita privatnosti i nije u skladu sa drugim aspektima bezbednosti. Iako
biometrijski obrasci mogu biti ifrovani, to nije dovoljno dobro reenje za bezbednost biometrijskih podataka. Jer, ukoliko se dogodi da baza podataka bude
kompromitovana, biometrijski podaci e biti izgubljeni zauvek. Sa druge strane,
biometrijski obrasci se ne nalaze uvek u ifrovanoj formi, zbog nemogunosti
obavljanja faze prepoznavanja u kojoj se vri provera stepena poklapanja dva
biometrijska obrasca. U momentu provere poklapanja, biometrijski podaci moraju da budu prisutni u deifrovanoj formi.
Ukoliko je napad u ovoj fazi uspeno realizovan, napada e posedovati odgovarajuu originalnu biometriju. Ponovljenim napadom, pristup sistemu je zagarantovan. Nastala situacija moe da postane jo tea, ukoliko je vlasnik izgubljene
biometrije koristio biometriju za pristup u vie razliitih i nepovezanih servisa.
Ovo predstavlja ozbiljan bezbednosni problem, a takoe moe biti problem koji
nosi odreene pravne konsekvence.
Izmeu biometrijskih podataka postoji velika varijabilnost, nezavisno od tipa
biometrijskog izvora. Varijabilnost biometrijskih podataka nastaje skoro u svim
fazama obrade biometrijskih podataka. Od momenta oitavanja, pa sve do faze za
generisanje biometrijskih obrazaca. Biometrijski podaci poseduju um zbog kojeg
nije mogue dva puta oitati potpuno identian biometrijski podatak, sa istog
Kriptologija 2
151
biometrijskog izvora. Na primer, tehnika za prepoznavanje identiteta korisnika

na osnovu biometrije lica sklona je visokom stepenu varijabilnosti zbog razliitih
spoljnih uticaja - osvetljenja i ugla pomeranja korisnika. Ovo je jedan od razloga
zbog koga smo zamoljeni da ne koristimo sliku sa osmehom u linim dokumentima. Slino ovome, brojni faktori utiu na neefikasno izdvajanje konzistentne
informacije i iz uzoraka biometrije prsta. Na osnovu analize osobina za razliite
tipove biometrija, utvreno je da iris oka sadri najveu koliinu informacija i
najmanju varijabilnost, a sa druge strane odlikuje ga i visok stepen pouzdanosti i
konzistentnosti.
Kao posledica varijabilnosti, svee generisani biometrijski obrasci mogu biti u
potpunoj suprotnosti sa uskladitenim referentnim biometrijskim obrascima.
Kod biometrijskih sistema nije mogue postii tanost poklapanja dve biometrije
od 100%. Kada biometrijski sistem nije u stanju da potvrdi visok stepen slinosti
u fazi prepoznavanja, prinuen je da odbaci legitimnog korisnika. Ovakav dogaaj
naziva se lano odbacivanje (engl. False Rejected Rate) od strane sistema u fazi
prepoznavanja. Ukoliko se dogodi ovakav sluaj, korisnik je prinuen da ponovi
postupak iz poetka.
Biometrijski sistemi za prepoznavanje mogu biti dizajnirani tako da se stopa lanog odbacivanja smanji i da prepoznavanje bude uspeno, to e omoguiti pravilno funkcionisanje sistema i obezbediti njegovu drutvenu prihvatljivost. Standardne metode za poboljanje rada sistema za prepoznavanje su dodatno kontrolisanje uslova u kojima se oitavaju izvori biometrijskih podataka, kao i optimizacija matematikih algoritama. Jedan od naina da se to uradi, jeste da se
smanji prag ili granica za prihvatanje - FRR. Postoje problemi sa ovim pristupom
jer direktno utiemo na stopu lanog prihvatanja (engl. False Acceptance Rate),
a taj dogaaj bi znaio da je sistem napravio greku kod identifikacije i prihvatio
pogrenu osobu na bazi tueg referentnog biometrijskog obrasca.
Imajui u vidu da je mogue smanjenje jednog parametra na raun drugog i obrnuto, neophodno je napraviti kompromis izmeu njih, tako da sistem bude prilagoen okruenju. Neka okruenja dozvoljavaju visok FRR, dok druga mogu tolerisati visok FAR.
Vrednosti parametara FAR i FRR koje su navedene od strane prodavca sistema za
prepoznavanje, na osnovu biometrijskih podataka, esto su nepouzdane. Iz tog
Kriptologija 2
152
razloga, neophodno je konsultovati nezavisne izvore informacija, kao to su javna

takmienja na polju biometrijskih istraivanja u organizaciji amerikog Nacionalnog instituta za standarde (NIST). Za veinu biometrijskih sistema, vrednost FRR
kree od 0.1 % do 20 %, to znai da e legitimni korisnik biti odbijen najmanje
jednom od 1000 puta. FAR kree od jednog prihvaenog u 100 (aplikacije niskog
stepena sigurnosti) i jednog prihvaenog u 10.000.000 (aplikacije visokog stepena sigurnosti). Drugi izazov kod biometrijskih sistema je brzina prepoznavanja.
Sistem mora da bude sposoban da napravi preciznu odluku u realnom vremenu.
Sa druge strane, najbitnija sposobnost biometrijskih sistema koju bi trebalo da
poseduju je otpornost na uestale napade.
Kriptologija 2
153
5.3. BIOMETRIJSKI SISTEMI ZA GENERISANJE KLJUEVA

Tehnoloki razvoj Interneta i globalnih komunikacionih mrea stavio je u prvi
plan pitanje sigurnosti i integritet prenesenih i memorisanih informacija. U istu
kategoriju spada i pitanje pouzdanih metoda autentifikacije uesnika globalne
mree. Mehanizmi zatite koji se baziraju na principu raunarske sloenosti
potrebne za njihovo probijanje, sve vie otvaraju prostor ka informacionoteorijskim kriterijumima sigurnosti koji jasno definiu potrebne i dovoljne uslove
za takozvanu bezuslovnu sigurnost. Sistemi sa ovim svojstvom su invarijantni na
raunarsku mo protivnika. Teorijski rezultati u poslednjih desetak godina ostvaruju solidnu osnovu za praktinu realizaciju pojedinih segmenata bezbednosnih
servisa, npr. tajnosti koji bi u dobroj meri posedovali ovo poeljno svojstvo.
Polazna taka istraivanja su teorijske osnove i enonov koncept savrenih ifarskih sistema. Teorijsko informaciona analiza biometrije, kao svojevrsnog informacionog izvora, davala bi konkretna reenja za sintezu kriptografskog sistema
sa teorijski garantovanim performansama. Performanse biometrijskih kripto
sistema zasnivaju se na nominovanoj sigurnosti koja zahteva paljiv i kompletan
opis operacionog scenarija u kome se egzaktno prouava:
Od kakvih napada kriptografski sistem treba da obezbedi zatitu?

ta je poznato napadau?
ta je poznato korisnicima sistema?
Koje su fizike pretpostavke koje blie odreuju ta napada i korisnici
mogu da urade?
Problem istraivanja predstavlja kompleksan nain obrade biometrijskih podataka. Biometrijski podaci sadre um koji znatno poveava varijabilnost podataka i
tako utie na informacioni kvalitet jednog biometrijskog uzorka. Problemi ovakve
vrste mogu da se prevaziu upotrebom odgovarajuih tehnika za obradu signala i
kodova za ispravljanje greaka. Atraktivne osobine jedinstvenosti stavljaju biometriju na prvo mesto, ali sa druge strane pojavljuju se i brojne slabosti. Za razliku od lozinki, jednom izgubljena ili kompromitovana biometrija ne moe ponovo
da se koristi, niti zameni sa nekom drugom biometrijskom informacijom. Na
osnovu ovih injenica moe se zakljuiti da je biometrija ogranien resurs.
Kriptologija 2
154
Biometrijski sistemi moraju da odgovore na problem skladitenja i sigurne komunikacije izmeu aplikacija u kojima se biometrija koristi. Imajui u vidu navedene slabosti i zahtevane uslove korienja, potrebno je analizirati razliite scenarije generisanja kriptolokih kljueva iz biometrijskih uzoraka.
Postoje razliiti biometrijski izvori koji sadre jedinstvene informacije o linim
karakteristika jedne osobe. Iris kao biometrijski podatak sadri dovoljnu koliinu
informacija za razvoj jedne klase sistema za generisanje kriptolokih kljueva,
dovoljnih duina za potrebe dananjih kriptografskih mehanizama, sa visokim
stepenom bezbednosti.
Zakljuke koje moemo da izvedemo:
1. Biometrijski podaci su jedinstveni i predstavljaju dobru polaznu osnovu
za sintezu optimizovanog sistema za ekstrakciju kriptolokih kljueva visokog kvaliteta;
2. Uvoenjem informacionih mera, entropije, lokalne entropije i uzajamne
informacije, mogue je identifikovati segmente u biometriji irisa koji su
najpogodniji za proces generisanja kriptolokih kljueva;
3. Optimizacijom parametara odgovarajue transformacione funkcije, oekuje se vea entropija i manje uzajamne informacije u transformacionom
domenu, ime su postavljeni okviri za sintezu sistema za ekstrakciju isto
sluajnih nizova iz biometrije irisa;
4. Biometrija iz istih biometrijskih izvora se ne reprezentuje uvek na isti nain zbog prisustva uma u biometrijskim podacima, te je neophodno projektovati tolerantnu emu za nastale greke;
5. Biometrijski izvor i biometrijske podatke mogue je posmatrati i okarakterisati kao komunikacioni kanal sa umom, to uvodi u upotrebu iroku
paletu tehnika za obradu signala iz oblasti digitalnih komunikacija;
5.3.1. BIOMETRIJSKA KRIPTOGRAFIJA

Originalni koncept biometrijske kriptografije je primenjen nad otiscima prstiju
1994. god. Pionir u ovoj oblasti bio je dr. Dord Tomko (dr. George Tomko), osniva (Mytec tehnologies) Toronto, Kanada. Od tada mnoge istraivake grupe su
uestvovale u razvoju ove oblasti kao i drugih srodnih tehnologija. Pored naziva
Kriptologija 2
155
biometrijska kriptografija (engl. Biometric Encryption), korieni su i drugi nazivi

za ovu tehnologiju, kao to su: biometrijski kripto sistemi (engl. biometric
cryptosystem), privatni obrasci (engl. private template), biometrijsko zakljuavanje (engl. biometric locking), sigurna skica (engl. secure sketch), biometrijsko vezivanje kljueva (engl. fuzzy commitment scheme, fuzzy vault), biometrijsko generisanje kljueva (engl. biometric key generation), virtuelni PIN (engl. virtual PIN),
biometrijski potpis (engl. biometric signature) i biometrijsko heovanje (engl.
bioHashing).
Slika 5.8 Izvor biometrijske kriptografije
Biometrijska kriptografija moe da se definie, u osnovi, kao proces koji koristi

PIN, lozinku ili kriptoloki klju u kombinaciji sa biometrijskim podacima, na takav nain da originalni biometrijski podaci, niti klju ne mogu biti otkriveni ili
regenerisani na osnovu referentnog podatka koji je predvien za skladitenje.
Ovo bi znailo da je mogue sa posebno dizajniranim algoritmima ponoviti ili
regenerisati originalni klju sa novim biometrijskim obrascem bez skladitenja
prvog generisanog biometrijskog obrasca u poetnoj fazi generisanja biometrijskog kljua. Dva biometrijska obrasca ne moraju da budu identina. Vano je da
oba obrasca potiu od istog biometrijskog izvora da bi bilo mogue regenerisati
klju. Korienjem ove tehnike mogue je napraviti odreen kompromis izmeu
biometrijske varijabilnosti i zahtevane kriptografske preciznosti (Slika 5.8).
Kriptologija 2
156
Biometrijska kriptografija i srodne tehnologije su stvorile interesovanje glavnih

akademskih istraivakih centara specijalizovanih za biometriju poput dravnog
Univerziteta Miigen, Univerziteta u Virdiniji, Univerziteta Karnegi Melon u
Kembridu (Velika Britanija) i Univerziteta u Bolonji (Italija). Meu sadanjim
liderima u industriji nalaze se IBM (T.J. Watson Research Center), (RSA Laboratories), (Lucent Technologies), (Sandia National Laboratories) i (Philips Research).
Primenom tehnologije za biometrijsku kriptografiju postignut je ogroman potencijal za poboljanje privatnosti i informacione bezbednosti. Kljune prednosti,
kao i znaaj ove tehnologije su navedene u nastavku.
Kod biometrijskih sistema strogo je zabranjeno uvanje biometrijskih obrazaca u
bazama podataka. Ovo je regulisano zakonima za zatitu privatnosti kod upotrebe biometrijskih sistema. Zahtevana je minimizacija podataka, preko koje se
smanjuje koliina linih podataka. Ovo je postignuto generisanjem nezavisnih
referentnih podataka koji ne odaju originalne biometrijske podatke. Bezbednosni
problemi vie su prisutni na strani baza podataka za skladitenje biometrije, zbog
straha od zloupotrebe (kraa, presretanje, zamene i drugo).
Biometrijska kriptografija omoguava korisnicima viestruku upotrebu biometrijskih obrazaca. Ukoliko je jedan nalog kompromitovan, znaajno su smanjene
anse za kompromitovanje drugih naloga za pristup drugim servisima. Sa druge
strane, obezbeena je mogunost ponovnog generisanja na osnovu originalne
biometrije, kao i povlaenje referentnih podataka iz upotrebe. Tradicionalni biometrijski sistemi ne poseduju navedene mogunosti.
Poveana je bezbednost kod servisa autentifikacije, tako to je ostvarena vrsta
veza izmeu autentifikatora (korisnika) i korisnikog naloga za pristup odreenom servisu. Obezbeena je zatita lozinki i kljueva kreiranjem referentnih podataka. U momentu predstavljanja lozinke ili kljua, zahtevana je originalna biometrija i referentni podatak. Napada nema mogunost da dobije klju na osnovu
referentnog podatka, kao ni informaciju o biometriji korisnika servisa.
Biometrijska kriptografija poveava bezbednost linih podataka i komunikacija.
Korisnici sistema za biometrijsku kriptografiju mogu da iskoriste pogodnost i
jednostavnost date tehnologije za kriptografsku zatitu linih podataka. Obzirom
Kriptologija 2
157
da je priroda izvora kljua lina i na strani pojedinca, ova injenica predstavlja

moan alat za iroku primenu kriptografske zatite.
Biometrijskom kriptografijom se stie javno poverenje koje je neophodno za
uspeh svakog biometrijskog sistema. Politika upravljanja podacima i procedure
mogu da idu daleko onoliko koliko se neguje poverenje u javnosti. Biometrijski
sistem mora da obezbedi elemente privatnosti, poverenja i bezbednosti. Ovo su
kljuni elementi koji utiu na njegovu prihvatljivost. To znai da biometrijski podaci moraju da budu stavljeni pod iskljuivu kontrolom pojedinca, kao i da je
obezbeen visok nivo zatite privatnosti i podataka.
5.3.2. RAZVOJ SISTEMA ZASNOVANIH NA BIOMETRIJSKOJ KRIPTOGRAFIJI

Praktino sve vrste biometrija (otisak prsta, iris, lice, dinamika kucanja, glas, svojeruni potpis i druge) su testirane preko tehnike za generisanje kljua, na osnovu biometrije (zakljuavanje kljua biometrijskim obrascem) ili tehnikom koja
obezbeuje generisanje kljua iz biometrijskih podataka (primena ekstraktorskih
funkcija). Najbolji rezultat, takorei najperspektivniji rezultat postignut je sa iris
biometrijom sa FRR parametrom od 0,47% i FAR parametrom od 0% za generisanje kriptolokog kljua duine 140 bitova. Ove greke su neznatno vee kod
konvencionalnih biometrijskih sistema za prepoznavanje. Upotreba otiska prsta
je takoe mogua u pogledu tanosti za biometrijsku kriptografiju sa FRR parametrom veim od 10%, ali za razliku od irisa postoji primetna degradacija tanosti biometrijskog sistema za otiske prstiju.
Trea biometrija, posle irisa i otiska prsta, jeste lice. Poslednjih godina napravljena su primetna poboljanja kod biometrijskih sistema za prepoznavanje, na
osnovu lica sa aspekta performansi sistema. Oekivani FRR parametar je 3,5%,
parametar FAR je 0. Ovim sistemom mogue je generisati klju duine 56 bitova.
Postignut je dovoljno dobar rezultat koji omoguava izbacivanje tradicionalnih
lozinki iz upotrebe.
Nije poznato da li drugi biometrijski izvori poseduju dovoljnu koliinu informacija za generisanje kljua minimalne duine od 128 bitova. U ovom sluaju, entropija je mera koja se koristi za postavljanje teorijskih okvira za duinu kriptolokih
Kriptologija 2
158
kljueva. Entropiju moemo definisati kao neredundantnu informaciju koja je

sadrana u biometrijskim izvorima. Ova mera je od velike vanosti jer su na njoj
zasnovani kriptografski principi koji garantuju nivo bezbednosti kriptografskih
mehanizama. Teorijski sada moemo da kaemo da duina kljua ne sme da prelazi ukupnu koliinu informacija koju poseduje biometrijski izvor, a predstavljeno
je preko entropije, gde se za jedinicu informacije koristi 1 bit.
Radovi koji su objavljivani od 2001. godine daju optu teorijsku osnovu za tehnologije biometrijske kriptografije, sa kriptografske take gledita. U njima se dokazuje da sistem moe biti tako dizajniran da bude otporan na kriptoanalitike metode, ak i na metod potpune pretrage. U ovom sluaju napada mora da isproba
sve mogue kombinacije, kako bi uspeo da otkrije klju ili biometrijski obrazac,
ime bi sistem bio bezbedan u odnosu na dostupnu tehnologiju. U ovom dokazu
se pretpostavlja, isto kao kod konvencionalne kriptografije, da je algoritam javan,
a da napada kod sebe moe posedovati biometrijski obrazac koji nije odgovarajui sa nijednim referentnim podatkom u bazi podataka.
Meutim, napada bi mogao da pokua da izvede sofisticiranije napade, tako to
bi iskoristio nasledne slabosti. Nasledne slabosti moemo tumaiti kao uzajamnu
informaciju ili zavisnost koja postoji izmeu dva biometrijska podataka ili izmeu dva referentna biometrijska podatka koja u sebi sadre zakljuan klju i originalni biometrijski obrazac. Istraivanje na polju informacione analize je u velikoj
meri zanemareno. Ako bi ovakav napad bio uspean, efikasna sigurnost sistema
sa 140 bitova, bila bi smanjena na 70 ili 50 bitova. U cilju odreivanja efikasnije
sigurnosti sistema, smatramo da je neophodno sprovesti detaljnu informacionu
analizu nad podacima koji uestvuju u emi za tehnologije biometrijske kriptografije.
5.3.3. GENERISANJE KLJUEVA IZ BIOMETRIJE

U ovom delu rada napraviemo pregled prvih tehnika za generisanje kriptolokih
kljueva iz biometrijskih podataka. Tehnika obezbeuje zatitu privatnosti biometrijskih podataka, opoziv, kao i mogunost ponovnog generisanja javnih biometrijskih podataka za primenu kod sistema za autentifikaciju, kriptografsku
zatitu podataka, digitalno potpisivanje i druge kriptografske aplikacije. Sigur-
Kriptologija 2
159
nost kod ovih aplikacija obezbeuju beumni, sluajni, uniformni nizovi u ulozi
kriptolokih kljueva.
Kriptografija se tradicionalno oslanja na ravnomerno rasporeene i precizno
ponovljive sluajne nizove u ulozi tajne ili kriptolokog kljua. Realnost meutim
oteava generisanje, uvanje i pouzdano preuzimanje takvih sluajnih nizova.
Uglavnom ti nizovi nisu sa uniformnom ili ravnomernom raspodelom, a jo tee
su precizno ponovljivi, kada se to zahteva. Na primer, nizovi koji proizlaze iz
obraene zenice oka ili irisa, nisu sa uniformnom distribucijom, niti se precizno
oitavaju svaki put kada se iznova generie obrazac irisa.
Da bi ilustrovali upotrebu sluajnih nizova za autentifikaciju, na jednostavnom
primeru emo razmotriti upotrebu lozinke za svrhu autentifikacije. Korisnik eli
sa svojom lozinkom L da pristupi svom korisnikom nalogu. Servis koji autentifikuje korisnika, poseduje informaciju y = f(L). Kada korisnik priloi lozinku L, servis rauna f(L)=y. Ukoliko su vrednosti y i y' jednake, proces autentifikacije bie
uspean. U ovom sluaju pretpostaviemo da je ovo siguran nain za verifikaciju
korisnika. Sigurnost sistema je zasnovana na neinvertibilnosti funkcije f(L). Ovakve funkcije nazivaju se jednosmerne funkcije ili jednosmerne funkcije (engl.
one-way functions).
Naalost, ovo reenje poseduje nekoliko problema kada se koristi lozinka L u
realnom ivotu. Prvo, definicija jednosmernih funkcija podrazumeva da je L generisano na sluajan nain sa uniformnom distribucijom. U naem sluaju, biometrijski podaci u ulozi lozinke su daleko od uniformne distribucije. Drugo, tradicionalna lozinka je precizno ponovljiva svaki put kada se koristi za autentifikaciju,
dok to nije sluaj sa biometrijskim podacima. Sa druge strane, tradicionalna upotreba lozinki obezbeuje relativno nizak nivo sigurnosti, jer je ovek u stanju da
zapamti relativno kratke lozinke. Visok nivo sigurnosti mogue je jedino obezbediti sa upotrebom biometrijskih lozinki. Ove lozinke mogu biti generisane na
osnovu biometrijskih podataka kao to je biometrija prsta, irisa, glasa, geometrija
dlana ili jo bolje kombinacijom vie biometrijskih izvora podataka. Biometrijski
podaci sadre neuporedivo veu koliinu informacija nego tradicionalne lozinke
koje su predviene za pamenje. Osnovni problem biometrijskih podataka je varijabilnost koja postoji u signalima, nakon oitavanja biometrijskih podataka iz dva
identina biometrijska izvora. Drugim reima, potrebna je mogunost da se tole-
Kriptologija 2
160
rie ogranien broj greaka, zadravajui sigurnost na visokom nivou, za razliku

od nivoa sigurnosti koji je postignut upotrebom kratkih lozinki.
Autentifikacija lozinkama, o kojoj smo ve diskutovali, je jedan jednostavan primer kriptografske aplikacije gde se postavljaju pitanja uniformnosti i tolerancije
na greku kod biometrijskih podataka. Ostali primeri primene ukljuuju mnoge
kriptografske aplikacije, algoritme za ifrovanje i deifrovanje, digitalni potpis ili
identifikaciju, gde kriptoloki klju koji se koristi potie ili proizilazi iz neuniformnih signala sa umom.
Vaan i opti problem je proces konvertovanja neuniformnih biometrijskih podataka sa umom u isto sluajne uniformne nizove sa maksimalnom entropijom.
Entropiju koju navodimo, odnosi se na entropiju binarnih informacionih izvora
koju definiemo kao meru neodreenosti nekog sistema ili kao prosenu koliinu
informacije koja je sadrana u jednom bitu. Opta ideja je zasnovana na dva koraka. Ekstraktujua funkcija konvertuje biometrijske podatke u sluajne nizove sa
uniformnom distribucijom koje je mogue koristiti u razliitim kriptografskim
aplikacijama za zatitu podataka. U poslednjem koraku funkcija generie javnu
informaciju (engl. Secure sketch) koja se koristi za rekonstrukciju potpuno istih
privatnih (tajnih) nizova u prisustvu biometrijskih obrazaca, dovoljno blizu
aproksimacije originalnih biometrijskih podataka.
Predloena je funkciju pod nazivom Fuzzy extractors. Funkcija ima osnovni zadatak da pretvara neuniformni sluajni podatak minimalne entropije u sluajni
podatak sa uniformnom distribucijom i visokom entropijom.
Zatim predloeno su eme koje obezbeuje generisanje vie kljueva za primenu
u razliitim aplikacijama. Modifikovana je postojea Fuzzy extractor ema, tako
to je koriena fiksna i jedinstvena permutacija nad obrascem irisa u fazi generisanja kljua. Kompromitovanjem jednog kljua koji je generisan iz biometrije
jednog pojedinca, nee dovesti u pitanje ostale kljueve koji su izvedeni iz biometrije od istog pojedinca. U revidiranom dizajnu predloene eme, ostaje pretpostavka da originalni biometrijski podaci ostaju tajna ili da nee biti kompromitovani.
Takoe, drugi teorijski radovi se bave ekstraktovanjem kljua iz biometrijskih
podataka sa umom. U datom predlogu, autori primenjuju kodove za ispravljanje
Kriptologija 2
161
greaka za ulazni signal, a zatim i he funkcije. Dokazano je da je koliina curenja

informacija o ulaznim podacima zanemarljiva u odnosu na analizu izlaznih podataka. Ova vrsta pristupa moe biti korisna samo ako se biometrijski podaci sa
umom uvaju u tajnosti. Meutim, problem biometrijskih podataka je to ih ljudi
ostavljaju svuda oko sebe ili mogu biti ukradeni. U ovom sluaju, biometrijski
podatak u rukama napadaa otkrio bi mnogo o entropiji kljua.
Kasnije su identifikovane potencijalne ranjivosti kod postojeih biometrijskih
sistema na bazi Fuzzy ekstraktora. Predstavili su emu za zatitu glavnog biometrijskog obrasca, kao i naine kako da se obezbedi zatita biometrijskih obrazaca
u odnosu na glavne karakteristike Fuzzy ekstraktor eme za dati iris obrazac.
Definicije koje smo naveli do sada su formalne, kao i efikasne tehnike za pretvaranje biometrijskih podataka u kvalitetnu informaciju koja bi obezbedila pouzdanu i bezbednu autentifikaciju na osnovu biometrijskih podataka, kao i primenu
kod bilo koje kriptografske aplikacije. Opisana tehnika nije ograniena samo na
primenu nad biometrijskim podacima, ve moe biti upotrebljena i za druge podatke koji su namenjeni za generisanje kriptolokih kljueva. Na osnovu bezbednosnih analiza koje su sprovedene u vie preglednih radova, potencijalno je mogua dokazana sigurnost za predloenu emu, samo ukoliko postoji pretpostavka
da originalni biometrijski podaci ostaju tajna ili da nee biti ukradeni ili kompromitovani. U svim drugim sluajevima, napada bi mogao da ima neke informacije o kljuu, a to dalje ukazuje na postojanu mogunost curenja informacija iz
javnih podataka koji su predloeni ovom emom.
5.3.4. GENERISANJE KLJUEVA NA OSNOVU BIOMETRIJE

U ovom odeljku napravljen je pregled tehnika za generisanje kriptolokih kljueva na osnovu biometrijskih podataka. Za razliku od prethodne tehnike koja je
navedena, kriptoloki kljuevi se generiu iz biometrijskih podataka. Ova nova
tehnika takoe obezbeuje zatitu privatnosti biometrijskih podataka, opoziv,
kao i mogunost ponovnog generisanja kriptolokih kljueva za autentifikaciju,
kriptografsku zatitu podataka, digitalno potpisivanje i druge kriptografske aplikacije. Neki autori radova su pokuali da unutar biometrijskih podataka ugrade
jedinstvene i ponovljive binarne nizove koji dalje imaju ulogu kriptolokog kljua.
Ova tehnika omoguava ponovno regenerisanje kljua koji je u fazi upisa ugraen
Kriptologija 2
162
u referentni podatak. Ostvareni doprinos preko ove tehnike je od izuzetnog znaaja, iz razloga to je kriptografija konvencijalna nauka i zahteva istu tanost koja
postoji kod kriptolokih mehanizama.
Biometrijsko ifrovanje je adekvatan naziv ovog metoda koji predstavlja proces u
kome se vrsto vezuje kriptoloki klju za biometrijski obrazac (podatak). Sutinski, klju je ifrovan sa biometrijskim podatkom primenom logike operacije za
sabiranje (engl. XOR), a rezultat je biometrijski kodovani klju koji predstavlja
javnu informaciju ili pomoni podatak. Formom pomonog podatka obezbeena
je zatita privatnosti, kao i sigurnost ugraenih kriptolokih kljueva. Pomoni
podaci mogu da budu sauvani na nekom memorijskom prostoru, bez bezbednosnih rizika.
Kriptoloki klju mogue je ponoviti ili regenerisati ponovljenom operacijom
(XOR), na osnovu pomonog podatka sa odgovarajuim predloenim biometrijskim obrascem koji je generisan u fazi verifikacije (engl. Decommitted).
Proces ifrovanja i deifrovanja je prirodno konfuzan, iz razloga to je biometrijski podatak svaki put razliit, za razliku od konvencijalnih metoda u kriptografiji.
Imajui u vidu varijabilnosti u biometrijskim podacima, veliki je tehnoloki izazov
da klju bude svaki put precizno ponovljen ili identian. Na slici (Slika 5.9) predstavljena je generika ema visokog nivoa za generisanje biometrijskih kljueva.
Slika 5.9 ema za generisanje biometrijskog kljua
Kriptologija 2
163
Posle procesa verifikacije ili oporavka kljua, klju se moe koristiti kod bilo kog
tipa kriptografskih aplikacija, gde se klju koristi kao lozinka ili moe da slui za
generisanje simetrinih ili asimetrinih kljueva. Bitno je istai da biometrijsko
ifrovanje nije samo po sebi kriptografski algoritam. Uloga biometrijskog ifrovanja je da zameni ili da osigura bezbednost kod postojeih ema za autentifikaciju,
koje su bazirane na tradicionalnim lozinkama.
Biometrijsko ifrovanje ne treba meati sa sistemima za ifrovanje biometrijskih
podataka ili sa zatitom biometrijskih obrazaca kriptografskim metodama za
potrebe skladitenja, ili sa nainima za skladitenje kriptolokih kljueva na
smart karticama ili drugim memorijskim tokenima, preko kojih je klju osloboen
nakon uspene verifikacije.
Meutim, metod za biometrijsko ifrovanje nalazi se u familijarnom odnosu sa
metodom poznatim pod nazivom (engl. Cancelable Biometrics). Ovaj metod predstavlja prvi metod koji obezbeuje opoziv biometrijskog obrasca, odnosno izdavanje novog ukoliko je postojei kompromitovan ili je potreban novi za upotrebu
u drugim aplikacijama. Priroda biometrijskih sistema nije takva da originalni
biometrijski podaci mogu biti promenjeni sa drugim biometrijskim podacima. Na
primer, ukoliko neko snimi biometriju naeg prsta, lica ili irisa, ne postoji mogunost generisanja nove biometrije.
Postoje dva osnovna pristupa za generisanje kriptolokih kljueva. U prvom sluaju, imamo potpuno nezavisno generisan klju koji se vrsto vezuje sa biometrijskim obrascem (engl. Data binding), a u drugom sluaju, kada ekstraktujemo
klju iz biometrijskog obrasca (engl. Fuzzy extractor). Kod oba pristupa su prisutni pomoni podaci koji moraju biti negde skladiteni i od njih ovaj sistem zavisi.
Pomoni podatak omoguava regenerisanje kriptolokog kljua u fazi verifikacije.
Faza verifikacije podrazumeva primenu logike operacije XOR izmeu tog generisanog biometrijskog obrasca i pomonog podatka. Veliina prostora kljueva na
pomonom podatku zavisi od stepena varijabilnosti biometrijskih obrazaca koji
na ovaj nain utiu na kapacitet kodova za ispravljanje greaka i na ukupnu koliinu neuzajmne informacije poreenjem razliitih biometrijskih obrazaca.
U reimu vezivanja biometrijskog obrasca sa kljuem, klju je sluajno i nezavisno generisan tako da ni korisnik niti bilo ko drugi zna neto o kljuu. Nezavi-
Kriptologija 2
164
snost kljua od biometrijskog podatka omoguava izmenu ukoliko je potrebno.

Nakon generisanja biometrijskog podatka, algoritam na siguran nain vezuje biometriju sa kljuem i tako generie biometrijski ifrovan klju. Dobijeni pomoni
podaci obezbeuju zatitu privatnosti i mogu biti sauvani u bazi podataka ili
lokalno na smart karticama, raunarima, tokenu ili mobilnom telefonu. Na kraju
kompletne procedure (kada je generisan pomoni podatak), klju i biometrijski
obrazac su uniteni na siguran nain.
Osnovni metod je tako dizajniran da bude prihvatljiv za odreenu koliinu uma
kod ulaznih biometrijskih podataka. Ukoliko neko na nelegitiman nain pokua
da regenerie klju, tako to koristi razliit biometrijski obrazac od originalnog,
algoritam nee biti u mogunosti da ponovi isti klju. Mnoge eme za biometrijsko ifrovanje uvaju he vrednosti kljueva na mestima gde se dati kljuevi skladite.
Nakon uspene verifikacije, algoritam za dobijeni klju rauna he vrednost na
osnovu koje se proverava identinost dobijenog kljua u isto vreme. U praksi,
aplikacije koriste he vrednosti za derivaciju kljueva. U ovom sluaju to nije mogue jer se originalna he vrednost uva na tokenu. Sa ovakvom arhitekturom
obezbeenja, napada ne moe da dobije originalni klju izvan domena metoda za
biometrijsko ifrovanje. U praktinoj primeni biometrijska slika ne treba da bude
poslata preko komunikacionog kanala do servera, ve je verifikaciju bitno realizovati lokalno.
Neki autori predlau novu emu poznatu pod nazivom Fuzzy commitment scheme". Ova ema predstavlja metod za prikrivanje (engl. Concealing) biometrijskih
podataka i emu za uvezivanje podataka (engl. Binding). U konvencionalnoj emi
za otkljuavanje ovog tipa nastalog podatka neophodan je jedinstven identifikator, slian kao to je kriptoloki klju kod algoritma za deifrovanje. Karakteristike predloene eme su vrlo primenjive kod aplikacija kao to su biometrijski
sistemi za autentifikaciju, kod kojih biometrijski podaci sadre um. ema je tolerantna na nastale greke, sposobna da zatiti biometrijske podatke slino kao
kriptografski mehanizmi zatite, ili kao jednosmerne funkcije koje se koriste za
zatitu alfanumerikih lozinki.
Neki autori predlau sistem baziran na otisku prsta. Oni su prvi koji su komercijalizovali ovu tehnologiju u proizvod (www.biocrypt.com). Fazna informacija se
Kriptologija 2
165
ekstraktuje sa slike otiska prsta, koristei Furijeovu transformaciju i kodove za

ispravljanje greaka, da bi smanjili varijabilnost u biometrijskom signalu. Umesto
da generiu klju iz biometrijskih podataka, oni uvode metod biometrijskog zakljuavanja. Zapravo, unapred odreeni sluajni klju se zakljuava sa dobijenom
faznom informacijom (biometrijski obrazac). Dobijeni rezultat mogue je jedino
otkljuati sa originalnom biometrijom. U ovom radu prikazana je obeavajua
ideja o biometrijskom zakljuavanju jer je klju sada mogue definisati nasumino i nezavisno od sistema. Performanse predloenog sistema nisu date.
Neki autori u svom radu koriste svojeruni potpis. Definisali su 43 karakteristike
koje mogu da ekstraktuju iz takve dinamine informacije, kao to su brzina, pritisak, nadmorska visina i azimut (pravac odreen uglom u horizontalnoj ravni). Na
osnovu svih pribavljenih vrednosti navedenih parametara, generie se jedan
konkatentni niz iz koga se funkcijom ekstraktuje informacija i rezultat je jedan
binarni niz. Na ovaj nain generisan je klju sa entropijom od 40 bitova sa stopom
lanog odbacivanja FRR od 28% i stopom lanog prihvatanja FAR negde oko
1,2%.
Neki autori kombinuju sline tehnike koje su gore navedene, projektuju sistem
baziran na biometriji lica. Usvajaju metod biometrijskog zakljuavanja. Uspeli su
da regeneriu klju sa entropijom od 80 bitova sa stopom lanog odbacivanja FRR
od 0,93%. Dobijene vrednosti parametara FRR predstavljaju najpriblinije oekivane vrednosti za praktinu primenu sistema. Sistem je testiran na slikama lica.
Slike su dobijene preko kontinualnog video signala, a ne na osnovu slika iz baze
podataka. Postoje odreene sumnje kod evaluacije ovog rada, iz razloga to u
kontinualnom video signalu postoji neto manja varijacija, nego to je u slikama
iz baze podataka.
Neki autori predlau emu pod nazivom virtuelni PIN. Korien je Gabor filter za
ekstrakciju informacionih sadraja. Autori predlau korienje (engl. Low Density
Parity Check) zatitnih kodova za ispravljanje greaka. Evaluacija predloenog
reenja je uraena na neutvrenoj bazi podataka.
Veoma slian, ali vie praktian pristup je realizovan na biometriji otiska prsta,
gde je za ekstrakciju informacionih sadraja korien fazni Gaborov filtr. Neki
autori izdvajaju konzistentne i pouzdane bitove informacija iz biometrije prsta
koristei BCH kodove za ispravljanje nastalih greaka. Sprovedenom evaluacijom
Kriptologija 2
166
u radu dobijaju sledee rezultate, vrednost parametra FRR od 5,4% do 9,9% za

klju duine 49 bitova i 85 bitova. Meutim, parametar FAR od 3,2% do 2,5% je
relativno visoka vrednost u odnosu na postignutu duinu kljua.
Neki autori su predstavili emu za biometrijsku kriptografiju na osnovu biometrije lica. Generika ema je zasnovana na emi vrstog vezivanja biometrije sa nezavisno generisanim kljuem. Sa ciljem poboljanja tanosti algoritma, autori
ekstraktuju pouzdane i konzistentne bitove informacija iz biometrijskih uzoraka i
primenjuju BCH kodove za ispravljanje greaka. Rezultat koji su dobili relativno
je dobar sa FRR parametrom od 3,5% za standardizovanu bazu podataka sa
niskim i srednjim nivoom varijabilnosti kod slika i parametrom FAR od 0% u oba
sluaja. Algoritam je kasnije implementiran u Philips sistem koji je nazvan "privIDTM".
Neki autori su predstavili bimodalni biometrijski sistem za generisanje kriptolokog kljua na osnovu biometrije glasa i signala elektrokardiograma - EKG. Jedinstveni informacioni sadraj iz oba biometrijska izvora je ekstraktovan preko
transformacione funkcije. Rad je zasnovan na jedinstvenom i kvazi stacionarnom
ponaanju EKG signala i govornog signala koji predstavlja bihejvioralnu osobinu
pojedinca. Sprovedenom evaluacijom u radu dobijeni su sledei rezultati: vrednost parametra FAR od 1,27%, i vrednost parametra FRR od 10,62%.
Navedeni primeri predloenih ema generiu kljueve relativno manjih duina i
veina njih ima visoku stopu lanog odbacivanja FAR, to se negativno odraava
na drutvenu prihvatljivost nekih reenja. Na osnovu uvida u postignute rezultate, neki autori predlau generiku emu za generisanje kljueva na osnovu biometrije irisa preko koje su postigli dobre performanse koje obezbeuju praktinu
primenu njihovog reenja.
Iz tog razloga, u nastavku emo detaljno proi kroz kompletnu emu algoritma
predloenu u njihovom radu. Pre dizajniranja eme za ispravljanje greaka, prvo
je uraena karakterizacija prisutnih greaka u iris podatku. Nakon uraene analize, dobili su rezultate na osnovu kojih su izabrali adekvatne zatitne kodove i
optimizovali iste u odnosu na maksimalni dozvoljeni kapacitet za ispravljanje
greaka. Njihov algoritam prvo izdvaja 256 bajtova fazne informacije upotrebom
2D Gabor filtera. Uoeno je da postoje razliiti tipovi greaka u iris podatku. Klasifikacija je napravljena prema dva osnovna tipa greaka. Prva klasa greaka, predKriptologija 2
167
stavlja pozadinske sluajne greke izazvane od strane CCD senzora kamere ili
distorzije irisa koja je prouzrokovana promenom osvetljenja. Kako god, nastale
greke nije mogue korigovati postojeim algoritmima za obradu signala. Druga
klasa greaka je u formi paketskih greaka i nastaje zbog loeg detektovanja trepavica, kapaka i refleksije. Osnovne ideje za primenu tehnika za kodovanje, predloene su u nekim ranijim radovima koje su koriene za ispravljanje greaka.
Meutim, navedene tehnike ne rade dobro i na iris podatku, jer viestruko skeniranje ne smanjuje koliinu greke. Utvreno je da na grupi slika od 70 korisnika
bez korienja maske za pojedinano skeniranje, stopa greke u proseku iznosi
13,69%, a nakon tri skeniranja stopa greke je smanjena na 10,68% i na 9,36%
posle pet skeniranja. Da bi se izborili sa ovim tipom greaka, autori u radu predlau upotrebu konkatentnih kodova za ispravljanje greaka. Za prvu klasu greaka primenjuju Hadamardove kodove, a zatim na drugu klasu greaka (paketske
greke) primenjuju Rid-Solomon kodove. Kao spoljanji sloj, koriste se Hadamardovi kodovi za ispravljanje sluajnih greaka u binarnom podatku irisa, a za unutranji sloj Rid-Solomon kodovi za ispravljanje paketskih greaka na blokovskom
nivou.
U predloenoj emi sa dva faktora klju zavisi od kombinacije biometrije i tokena.
Pretpostavlja se da napada, ukoliko uspe da doe u posed tokena, moe imati
potpuno znanje o podacima na njemu. Poetni dizajn imao je za cilj da pokae da
ukoliko jedan faktor eme bude kompromitovan, napada nee imati mogunost
da regenerie klju. Kasnije u radu je pokazana mogunost da se ema produi sa
treim faktorom, dodavanjem lozinke. ema predstavlja mogunost premoivanja nekompatabilnosti koja postoji izmeu varijabilnih biometrijskih podataka i
konvencionalne kriptografije.
U prvoj fazi, generie se nezavisno biometrijski klju k kao sluajna binarna
sekvenca. Klju k poseduje sve osobine kriptolokih kljueva. Klju k je tano
zadate duine. U sledeoj fazi klju k se koduje konkatentnim kodovima, ija je
duina na kraju faze kodovanja 2048 bitova. Kodovani klju sa konkatentnim
kodovima naziva se pseudoiris kod. Zatim kodovani klju k ili pseudoiris kod se
vrsto vezuje logikom operacijom XOR za biometriju irisa i tako dobijeni rezultat
predstavlja pomoni podatak koji se skladiti na nekom hardverskom tokenu
zajedno sa he vrednou kljua k.
Kriptologija 2
168
Nakon kompletnog procesa za upis ili generisanje biometrijskog kljua, neophodno je unititi klju na siguran nain. Faza dekodovanja je potpuno inverzna
fazi kodovanja. Korisnik podmee originalnu biometriju irisa da bi otkljuao pseudoiris kod iz pomonog podatka, preko ponovljene logike operacije XOR. Dalje
sledi faza dekodovanja sa istim konkatentnim kodovima, samo u suprotnom redosledu od kodovanja. Da bismo potvrdili uspenost itave operacije, za dobijeni
rezultat k' rauna se he vrednost preko koje se utvruje slinost sa he vrednou koja se nalazi na tokenu.
Cilj koji je postignut, zasniva se na detaljnoj analizi obrasca greke u obrascu irisa. Iris kodovi (obrasci) od jednog oka obino se razlikuju od 10 20 % bitova,
saopteno od autora. Sa druge strane, razlika izmeu dva irisa kod razliitih osoba ili dva irisa iste osobe, iznosi 40 60 % bitova. Hadamardov kod je izabran za
ispravljanje 25 % pogrenih bitova, koji precizno razdvaja ispravljanje greaka
na biometrijskom uzorku istog i razliitog oka.
Neki autori za spoljanji sloj koriste Hadamardove kodove za ispravljanje sluajnih greaka u biometrijskom obrascu irisa, a za unutranji sloj Rid-Solomon kodovi za ispravljanje paketskih greaka na blokovskom nivou. Napravljene su
odreene izmene u emi. Radi poveanja kapaciteta kodova za ispravljanje greaka, uvedeni su redundantni bitovi (nule), sa uniformnom distribucijom, ime je
duina iris koda poveana za 40%. Uveden je metod meanja iris obrasca za permutaciju koja je kontrolisana lozinkom, to je dalje uticalo na poveanje Hamingovog rastojanja izmeu razliitih irisa, kao i smanjenje rastojanja izmeu istih
irisa. Drugi doprinosi su izraeni preko poveanja entropije iris obrasca. Postignuta je duina kljua od 186 bitova sa stopom lanog odbacivanja FRR od 0,76% i
stopom lanog prihvatanja FAR od 0.096%. Sa aspekta bezbednosti, zakljuani
iris kod ne otkriva biometrijsku informaciju u sluaju kompromitovanja kriptolokog kljua, smart kartice i lozinke. Obezbeena je mogunost opoziva i mogunost ponovnog generisanja biometrijskog kljua.
Kriptologija 2
169
5.4. JEDAN ALGORITAM ZA GENERISANJE KRIPTOLOKIH KLJUEVA

NA OSNOVU BIOMETRIJE
U ovom odeljku data su uvodna razmatranja vezana za razliite aspekte razvoja
novog sistema za generisanje kriptolokih kljueva na osnovu biometrije irisa,
kao i kompletan proces njegovog razvoja i integracije u standardne biometrijske
sisteme. U poglavlju su date i komponente tradicionalnog biometrijskog sistema
za prepoznavanje na osnovu irisa u kog e na sistem biti integrisan, kao i izbor
noseih tehnologija napravljen na osnovu analize trenutnog stanja na polju biometrijske kriptografije i bezbednosti.
Na poetku istraivanja, u ovom radu, imali smo utisak da su dostignuti maksimumi kod postojeih sistema za generisanje kljueva na osnovu biometrije, kao i
da su dostignuti odreeni nivoi stabilnosti i bezbednosti, koja je neophodna za
njihovo korienje sa aspekta drutvene prihvatljivosti. Meutim, nakon odreenih testiranja aktuelnih reenja, javila se sumnja da je teorijski maksimum ipak
iznad postignutih praktinih rezultata.
Daljim radom, potvrene su sumnje i postavljeni su vrsti ciljevi istraivanja da
se podigne granica efikasnosti blizu teorijske granice. Nakon uvida u rezultate
teorijsko-informacione analize, postavljeni su novi teorijski okviri sistema za
sintezu kriptolokih kljueva, na osnovu biometrijskih podataka.
Osnovna motivacija ovog istraivanja, bila je potreba da se omogui razvoj profesionalne klase sistema za generisanje kljueva velikih duina, tako da zadovolji
potrebe savremenih kripto sistema, korienjem postojeih komponenata za kodovanje biometrijskih izvora koji obuhvataju kompletan proces, od izbora biometrije, preko slike do biometrijskih obrazaca.
U skladu sa tim, kao osnovni cilj postavljen je razvoj sopstvene klase sistema za
generisanje kriptolokih kljueva na osnovu biometrije irisa. Za uspeno ostvarivanje ovog cilja bilo je neophodno sprovesti razne kontrole, kao i uraditi rigorozne informacione analize nad svim komponentama sistema u skladu sa kriptografskim pravilima i principima koje je bilo bitno ispotovati. Kompleksnost savremenih kripto sistema, kao i potreba za kriptolokim kljuevima veih duina,
uinile su rad na ovoj ideji izuzetno sloenim i zahtevnim.
Kriptologija 2
170
5.4.1. GENERIKA EMA ALGORITMA

Za sintezu jednog kompleksnog sistema neophodno je napraviti generiku emu
sa detaljnim opisima svih komponenti koje na direktan ili indirektan nain uestvuju u svojstvu gradivnih komponenti ovog novog predloenog reenja (Slika
5.10).
Slika 5.10 Generika ema predloenog reenja
Na slici je predstavljena generika ema predloenog reenja sa svim svojim podsistemima. Kompletan sistem sastoji se od dva podsistema: podsistem za kodovanje iris biometrijskog izvora koji je zasnovan na algoritmima tradicionalnih
biometrijskih sistema i podsistemu za prenos poruka preko biometrijskog kanala
sa umom. U nastavku sledi detaljno objanjenje pojedinanih uloga svih navede-
Kriptologija 2
171
nih komponenti koje su sadrane u ovom dijagramu procesa. Komponente su

numerisane brojevima od 1 do 10.
Komponenta 1 - predstavlja proces u kom se generie kriptoloki klju zadate
veliine. Preporueno je da klju bude generisan na sluajan nain preko informacionih izvora koje je mogue pronai u prirodnim okruenjima. U drugom
sluaju koji nije toliko popularan, mogue je klju generisati i nekim pseudosluajnim generatorom. Ovakav nain generisanja kljua moe da narui bezbednost
jednog simetrinog kripto sistema.
Komponenta 2 - predstavlja proces zatitnog kodovanja za korekciju greaka u
kome se koriste Rid-Solomon kodovi. U ovom procesu kriptoloki klju K je kodovan Rid-Solomon koderom. Uloga ovog procesa je od sutinske vanosti za
sistem, zapravo tehnika preuzeta iz polja komunikacija, na osnovu koje je nastala
i itava ideja o potpuno jednom novom naunom istraivakom polju pod nazivom biometrijska kriptografija.
Komponenta 3 predstavlja proces generisanja iris koda koji pripada podsistemu za kodovanje iris biometrijskog izvora. U naem sluaju specifian proces koji
u sebi sadri dva podprocesa. Prvi podproces se odnosi na standardnu proceduru
za generisanje biometrijskog obrasca koji je opisan u poglavlju 3. Drugim reima,
moemo da kaemo da je ovo jedan sloen proces za formiranje iris informacionog izvora na osnovu koga je kasnije uraena sinteza kompletnog reenja o kome
je re. Drugi podproces predstavlja jo jedan sloen proces koji uvodi informacione mere i na osnovu rezultata dobijenih preko teorijsko-informacione analize
koduje informacioni izvor u cilju izdvajanja najkonzistentnijih informacija.
Napomenuemo da je ovo kritina taka u ovom sistemu, gde se dobijen lo rezultat prenosi domino efektom na preostale komponente. Zapravo, performanse
itavog sistema zavise od kvaliteta procesa kodovanja iris informacionog izvora.
Iz tog razloga sproveli smo detaljnu i rigoroznu teorijsko-informacionu analizu o
kojoj emo kasnije govoriti u ovom poglavlju.
Komponenta 4 predstavlja jo jednu tehniku preuzetu iz teorije komunikacija.
Interliver ima znaajnu uloga u sistemu. Koristi se za rasprivanje paketskih greaka i smanjenje uzajamne informacije izmeu razliitih irisa. Uticaj interlivera
na uzajamne informacije. U predloenom reenju koristili smo sluajni interliver
Kriptologija 2
172
(engl. Random interliver). Tehniku interlivinga primeniemo nad kodovanim iris

kodom.
Komponenta 5 - predstavlja logiku operaciju XOR u kojoj se bodovan kriptoloki klju vrsto vezuje za originalni iris kod nad kojim je primenjena tehnika za
interliving. Imajui u vidu da su oba podatka sluajna, dobijamo sistem koji po
svim svojim osobinama, dosta podsea na One-time pad perfektni tajni kripto
sistem.
Komponenta 6 - predstavlja podatak koji je rezultat XOR operacije. Dobijeni
podatak u sebi uva zakljuanu originalnu biometriju i sluajno generisani klju.
Na osnovu ovog podatka nije mogue otkriti originalnu biometriju ili klju. Ovaj
podatak zadovoljava formu podatka za skladitenje sa aspekta zatite privatnosti
biometrijskih podataka.
Komponenta 7 - predstavlja proces u kome se zapoinje sa procedurom u kojoj
regularni korisnik eli da na osnovu originalne iris biometrije regenerie klju
koji je zakljuan vrstom vezom originalne iris biometrije i kljua. Ovaj proces je
identian procesima u komponenti 3.
Komponenta 8 - predstavlja proces koji je identian procesu u komponenti 4.
Tehnika interlivinga je primenjena i nad originalnom iris biometrijom koja slui
za regenerisanje kljua K. Napominjemo da u oba sluaja interliver radi samo u
jednom smeru bez inverznog reima. Tanije, u ovom ekvivalentnom kanalu ne
postoji potreba za invertibilnosti.
Komponente 9 i 10 - predstavljaju dva poslednja procesa u dijagramu procesa,
preko kojih se regenerie klju koji je zakljuan vrstom vezom u komponenti 5
na dijagramu. Zatim, ponovo se primenjuje logika operacija XOR nad kodovanim iris kodom i podatkom koji u sebi uva klju. Zatim se primenjuje RidSolomon dekoder koji koriguje sve nastale greke. Ukoliko je dobijeni rezultat
posle dekodera jednak kljuu koji je generisan u procesu (1), to znai da je kompletna procedura realizovana uspeno i da smo napravili sistem koji ima mogunost da na osnovu istog iris biometrijskog podataka generie kriptoloke kljueve.
Kriptologija 2
173
5.4.2. POSTAVKA EKSPERIMENTALNOG OKRUENJA

Pored detaljno izloene generike eme potrebno je obezbediti i kvalitetno
eksperimentalno-razvojno okruenje koje je standardizovano za oblast u kojoj je
predmet istraivanja, kao i u odnosu na koga se moe kasnije uraditi evaluacija
predloenog sistema sa ve postojeim sistemima sline namene. Osnovni cilj
standardizacije u ovom sluaju je da nam omogui preciznije sagledavanje veliine doprinosa u ovom istraivakom radu.
Eksperimentalno okruenje sastoji se iz dve komplementarne celine:
programskog razvojnog okruenja;

baze podataka sa eksperimentalnim podacima.
Za programsko-razvojno okruenje u ovom istraivakom radu je izabran

Matlab programski paket. Matlab je nastao kao skraenica za "MATrix LABaratory" ("laboratorija za matrice"). Izumeo ga je 1970-ih Kliv Moler (Cleve Moler),
ef katedre za informatiku na Univerzitetu "Novi Meksiko". Omoguava pristup
brzog razvoja aplikacija (eng. RAD-rapid application development) u cilju brzog
generisanja eksperimentalnih rezultata. Matlab je RAD okruenje i obezbeuje
odlino radno okruenje sa alatima za obradu podataka, vizualizaciju podataka i
standardizovane algoritme koji se primenjuju u svim visoko-tehnolokim poljima.
Pored mnogobrojnih algoritama nudi programiranje na visokom nivou.
Eksperimentalne podatke koje smo koristili, dobili smo besplatno iz CASIA baze
podataka. CASIA - baza podataka sadri slike irisa, a tvorci ove baze su kineska
istraivaka grupa sa Instituta za biometrijska istraivanja. Vie verzija baze podataka je besplatno ponueno meunarodnoj zajednici za potrebe biometrijskih
istraivanja. Vie od 3000 korisnika iz 70 zemalja preuzelo je CASIA bazu podataka sa slikama irisa i mnogo odlinih istraivaki radova koji su priznati od meunarodne naune zajednice su takoe nastali na osnovu slika ove baze podataka.
Od 1990-tih zabeleen je visok rast interesovanja na polju tehnologija namenjenih za prepoznavanja pojedinca na osnovu biometrije. Osnovni problem ili izazov
je upotrebljivost i skalabilnost. Upotrebljivost je najvee usko grlo kod prepoznavanja na osnovu biometrije irisa. Prvi problem je realizovati jednostavnu (eng.
Kriptologija 2
174
user friendly) hardversku infrastrukturu za autentifikaciju korisnika. Drugi problem je iroka primena ovih sistema koja zahteva visok stepen integracije, indeksiranje i skladitenje biometrijskih podataka u bazama podataka. Sve ovo vodi do
problema skalabilnosti kod sistema za prepoznavanja korisnika na osnovu biometrije irisa. Do danas se pojavila i etvrta verzija baze podataka "CASIA-Iris V4"
koja je koriena za potrebe eksperimentalnog rada na ovoj disertaciji (Slika
5.11).
Slika 5.11 Primeri slika irisa iz CASIA-Iris V4 baze podataka
"CASIA-Iris V4" baza podataka u sebi sadri ukupno 54.601. sliku irisa sa vie od
1800. originalnih i 1000 virtuelnih subjekata. Sve slike irisa su 8-bitne u JPEG
formatu, prikupljene akvizicijom specijalnih kamera sa infra-crvenim osvetljenjem. Bazu podataka moe da koristi svako za potrebe istraivanja i edukativne
svrhe.
5.4.3. INFORMACIONA ANALIZA TEKSTURE IRISA

Pravljenje 3D modela lokalne entropijske vrednosti je od velikog znaaja za
razumevanje informacionog kvaliteta povrine irisa. Struan naziv za ovaj prikaz
rezultata je 3D kolor mapa (eng. Heatmap).
Prvi model predstavlja rigorozniju analizu jer je koriena veliina prozora [3 x
3] i moe da se tretira kao model na osnovu minimalnih entropijskih vrednosti,
Kriptologija 2
175
dok drugi model je manje rigorozan i modelovan na osnovu maksimalne

entropije koja je zabeleena na teksturi slike irisa.
Na 3D entropijskom plotu (Slika 5.12), vidimo da prvi kruni segment irisa do
zenice poseduje veu lokalnu entropiju od drugog krunog segmneta irisa koji se
granii sa beonjaom. Posmatrajmo levu stranu na Y osi i videemo da lokalna
entropija nakon vrednosti 10 na osi Z naglo opada. Ovoj momenat je bio polazna
osnova za dalju informacionu analizu teksture irisa i njihovih meusobnih
odnosa.
Slika 5.12 3D informacioni model lokalne entropije
Iako je prvi model dosta precizniji kada je upitanju lokalna entropija, drugi model
(Slika 5.13) je dobijen na osnovu veliine prozora [9 x 9] za odreivanje lokalne
entropiju. Smatramo da ovaj model daje konanu sliku o kvalitetu prvog segmenta u odnosu na kvalitet drugog segmenta. Na osnovu ovog modela moemo precizno da odredimo prostorne okvire prvog segmenta koji treba biti podvrgnut
daljim informacionim analizama.
Kriptologija 2
176
Slika 5.13 3D informacioni model lokalne entropije
Na 3D entropijskom plotu (Slika 5.13), vidimo da je prethodna konstatacija tana

i da prvi kruni segment irisa do zenice poseduje veu lokalnu entropiju, to se
jasno vidi na levoj strani na Y osi. Ovaj 3D model je dosta ilustrativan iz razloga
to sada jasno vidimo segment irisa koji je znaajn za nas. Ovu konstataciju
potvrujemo sa konturom koja se jasno ocrtava u dvo-dimnzionalnom prostoru
(X, Z). Kontura oznaena jakom crvenom bojom ocrtava informaciono
najkvalitetniji segment irisa, koji e kasnije biti ekstraktovan i korien u
informacionoj analizi u cilju postavljanja teorijskih okvira ovog sistema za
generisanje kriptolokih kljueva. Sa desne strane plota na osnovu toplotne skale
moemo da se uverimo da su u tom segmentu zabeleene maksimalne vrednosti.
Ovo saznanje je polazna osnova za nastavak informacione analize teksture irisa i
njihovih meusobnih odnosa. U narednim analizama posebno su tretirani
segmenti na osnovu podele koju smo do sada napravili (Slika 5.14). Prvi segment
irisa predstavlja informativno najkvalitetniji segment, dok je u drugom delu
zabeleen pad kvaliteta posmatran kroz rezultate dobijene preko lokalne
entropije. Na kvalitet drugog segmenta dobrim delom utie automatska faza
Kriptologija 2
177
segmentacije koja ne ispunjava uslov od 100% tanosti. Iz tog razloga smatramo

da ovaj segment ne moe da predstavlja materijal za generisanje kljueva.
Slika 5.14 Vrednosti lokalne entropije po segmentima
Estimacijom entropije, lokalne entropije i uzajamne informacije, identifikovani su

segmenti irisa koji su najpogodniji za ove potrebe. Izvrena je optimizacija parametara odgovarajue vejvlet transformacije u cilju dobijanja to vee entropije i
to nie uzajamne informacije u transformacionom domenu. Koristimo sledeu
notaciju:
() - entropija kljua ili veliina kljua;
(; ) informacija izmeu irisa iste osobe;
(; ) - informacija izmeu irisa razliitih osoba;
() - entropija iris koda;
(, ) - entropija dva iris koda razliitih osoba;
(, ) - entropija dva iris koda iste osobe;
() maksimalna veliina kljua.
Kriptologija 2
178
H ( IRIS X ) H ( IRIS Y ) H ( IRIS Y ') 3940;

I ( X ; Y ) 511;
I (Y ; Y ') 997;
H ( X , Y ) 7281;
H (Y , Y ') 6709;
I (Y ; Y ' | X ) 788;
H ( K ) I (Y ; Y ' | X ) 788;
I ( X ; Y ; Y ') I (Y ; Y ') I (Y , Y ' | X ) 997 788 209;
Maksimalna entropija kljua iznosi () = 788 bitova, ime su postavljeni okviri
za sintezu sistema za ekstrakciju isto sluajnih nizova iz iris biometrije.
Slika 5.15 Grafika prezentacija prostora biometrijskog kljua
Maksimalna veliina kriptolokog kljua je odreena izrazom:
H(K )max I(Y ;Y '| X );
Kriptologija 2
179
Na slici (Slika 5.15) je predstavlja grafiku prezentaciju pozicije biometrijskog

kljua. Dijagram na slici sadri tri sluajne promenljive , . Vano je napomenuti da je uzajamna informacija (; ; ) simetrina ukoliko su ove tri promenljive jednako nezavisne. Imajui u vidu da u ovom dijagramu postoji vea
zavisnost izmeu promenljive i time je uzajamna informacija (; ) vea.
Na osnovu ove injenice i informacija (; |) je vea. U ovom sluaju pojedinane uzajamne informacije (; ) i (; ) su se smanjile, dok se zajednika
informacija (; |) i (; |) poveala. Na dijagramu koji sledi pokuali smo
da prikaemo vrednosti u zadatoj proporciji.
5.4.5. IZBOR ADEKVATNOG ZATITNOG KODA

Na poetku izbora adekvatnog zatitnog koda, potrebno je napraviti analizu greaka u procesu projektovanja sistema koji je otporan na nastale greke. Kod ovakvih sistema greke mogu da budu uzrok otkaza.
Greku moemo tretirati kao meru za odstupanje od tanosti. Na primer, ukoliko
je vrednost greke izuzetno visoka u sistemu za generisanje kljua na osnovu dva
biometrijska podatka, onda to moe da utie na smanjenje koliine uzajamne
informacije izmeu biometrijskih podataka to dovodi do otkaza sistema ili u
drugom sluaju prouzrokuje pogrean rezultat koji je u ovoj klasi sistema nepopustljiv. Dakle, vidimo da ak i ako postoji greka, ne mora da se ispoljava preko
otkaza sistema, ve moe da daje loe rezultate.
Karakteristike greaka moemo posmatrati sa sledea tri aspekta:
uzrok;
vrednost;
trajanje.
Uzrok greke moe da nastane zbog problema u realizaciji na hardverskoj ili

softverskoj platformi zbog loeg izbora funkcionalnih komponenti.
Vrednost greaka generalno moe da bude odreena ili neodreena. Vrednost
greke je odreena ukoliko se ta vrednost ne menja bez spoljanjeg uticaja. Greka koja ima neodreenu vrednost, njena vrednost se menja u razliitim vremenskim trenucima.
Kriptologija 2
180
Trajanje greaka moe da bude stalno, prolazno ili trenutno. U naem sluaju
imamo stalne greke za koje smo merenjem odredili pribline vrednosti koje su
stalne i ispoljavaju se sve dok ne preduzmemo odgovarajue zatitne mere ili
mere korekcije.
Pored ova tri navedena aspekta bitno je navesti i rasprostranjenost greaka koja
moe biti okarakterisana kao lokana ili globalna. Rasprostranjenost greaka u iris
biometrijskom kodu moe da bude lokalna i globalna.
Analiza ekvivalentnog kanala podrazumeva pronalaenje nekog klasinog komunikacionog kanala iz teorije komunikacija koji utvruje uslove pod kojima je mogu pouzdan prenos informacija, a odgovara po svim svojim karakteristikama
naem kanalu, ali sa razliitim sadrajem. Potrebno je utvrditi maksimalnu brzinu
pouzdanog prenosa po kanalu sa umom uz upotrebu kodova za ispravljanje greaka i maksimalnu koliinu greaka koja nastaje kada se informacija prenese veom brzinom od maksimalne.
Slika 5.16 Analiza ekvivalentnog kanala
Sada je jasno da ekvivalentni kanal predstavlja isti kanal koji je opisan na dva
razliita naina. na slici (Slika 5.16), sadri analizu dva ekvivalentna kanala. Gornji kanal na slici predstavlja ekvivalentni kanal koji se esto moe sresti u klasinim komunikacionim kanalima. ema kanala sadri enkoder, dekoder, interliver,
deinterliver i kanal sa umom. Poruka koja se prenosi ovim kanalom, izloena je
uticaju uma koji se ispoljava u vidu paketskih greaka u sadraju poruke. ObziKriptologija 2
181
rom da se radi o veim paketskim grekama na predajnoj strani, primenjen je

Rid-Solomonov kod i interliver iji je zadatak da raspri simbole kodovane poruke, a zatim se poruka alje preko kanala. U toku prenosa poruka je izloena uticaju uma koji utiskuje u sadraj poruke paketske greke. Kada poruka stigne na
prijemnu stranu, primenjuje se deinterliver koji simbole kodovane poruke vraa
na iste indeksne pozicije koje su bile nakon kodovanja na predajnoj strani. Pakateske greke koje su nastale sada su razbijene i ujednaeno rasporeene preko
celog sadraja poruke. U poslednjoj fazi, primenom Rid-Solomon dekodera koriguju se sve nastale greke.
Donji kanal na slici predstavlja biometrijski kanal sa prisustvom uma. ema kanala sadri enkoder, dekoder, interliver i komunikacioni kanal. U ovom kanalu
poruka je klju K koji se prenosi preko umnog kanal koji je indukovan sa dva
irisa. um koji je prisutan u kanalu, ispoljava se preko paketskih greaka. U cilju
postizanja visokih performansi na strani dekodera, primenjujemo interliver nad
oba irisa (jedan na predajnoj, a drugi na prijemnoj strani) koja zajedno indukuju
komunikacioni kanal sa umom. Zatim, klju K kodujemo sa Rid-Solomo enkoderom i aljemo kroz takav komunikacioni kanal nad kojim sada imamo kontrolu za
odreen opseg vrednosti paketskih greaka. Poruka na prijemu ili klju K se dekoduje Rid-Solomon dekoderom i dobijena poruka predstavlja klju K koji je
jednak kljuu K na predajnoj strani.
Moemo sad da zakljuimo da smo analizom ekvivalentnog kanala sami modelovali ovaj novi kanal, preko koga ostvarujemo prenos poruka sa maksimalnim kapacitetom. Ovaj kanal ima osobine binarnog simetrinog kanala sa umom i na
ovaj nain smo potvrdili enonovu teoremu, koja je bila veliko iznenaenje u njegovom radu, u kome se tvrdi da ako izaberemo odgovarajui nain kodovanja
informacije za zadati kanal, moe se postii po elji mala greka dekodovanja,
odnosno prenosa informacija. U poglavlju 3. dato je vie detalja vezanih za ovu
teoremu.
Imajui u vidu da projektovani sistem pripada biometrijskoj kriptografiji, glavni
izazov je integritet podataka. Greke koje nastaju nije mogue u potpunosti eliminisati, ali ih je mogue znatno smanjiti. U zavisnosti od stepena integracije,
verovatnoa nastanka greke je vea ili manja. Sa aspekta projektovanja sistema,
odnosno za postizanje visoke pouzdanosti u radu sistema koriste se tri osnovna
pristupa:
Kriptologija 2
182
izbegavanje greaka;
ispravljanje greaka;
smanjenje greaka;
Izbegavanje greaka podrazumeva spreavanje nastanka greaka nastalih na

hardverskoj ili softverskoj platformi. Ovakve tehnike se odnose na izbor kvalitetnog hardvera (iris kamera) koji uestvuju u procesu akvizicije slike irisa, kao i
adekvatan izbor algoritama koji uestvuju u obradi signala (kodovanje irisa).
Izbegavanje greaka podrazumeva i faze u kojima se vre testiranja gde se preispituju pojedine komponente sistema.
Ispravljanje greaka je tehnika koja ne spreava nastanak greke. Ova tehnika
uspeno detektuje i ispravlja nastale greke. Moemo da kaemo da ova tehnika
ima mogunost transformacione invertiblnosti nad podatkom sa grekom, u cilju
dobijanja istog podatka bez greke. Jedna od vanijih komponenti ovog sistema
su zatitni kodovi koje primenjujemo nad podatkom (klju K), koji je u toku prenosa izloen grekama. Na ovaj nain je omoguen prenos u kritinim situacijama
za zadati stepen tolerancije.
U projektovanju sistema korieni je Rid-Solomon kod. Ovaj kod ispravlja greke
na nivou simbola, a ne na nivou bitova, pogodni su za ispravljanje koncentrisanih
paketskih (engl. burst) greaka. Oni imaju iroku primenu u sistemima digitalnih
komunikacija i sistemima za uvanje podataka. Rid-Solomon kodovi su podgrupa
BCH kodova i klasa linearnih, nebinarnih ciklinih kodova. Rid-Solomon kod je
blok kod koji se predstavlja kao RS (n, k , t ) preko polja Galoa GF (2n ) .
Rid-Solomon kod uvodi veliku redundantnu informaciju (preko polinomske
strukture) i tako postie visoke performanse za detekciju i ispravljanje greaka.
Da bi se ova cena platila neophodno je koristiti samo konzistentnu informaciju
(jedinstvene karakteristike). Iz ovog razloga su uraene rigorozne informacione
analize nad teksturom irisa, sa ciljem izbora upravo takvih segmenata koji e da
sadre veinom konzistentnu informaciju.
Smanjenje greaka je uglavnom jedna od tehnika koja utie na smanjenje nastalih greaka koje nije mogue ispraviti. U naem sluajnu izabrali smo za ovu vrstu
tehnike interliver. Interliveri koriste metodu preplitanja vrednosti u iris kodu.
Metod za preplitanje moe da bude raznovrsan. Mi koristimo sluaju permutaciju
Kriptologija 2
183
koja je zadata sa nekom inicijalnom vrednou koja predstavlja poetno stanje

pesudogeneratora. Ovakvi interliveri uvode element sluajnosti u neki dizajn
koda bez poveanja kompleksnosti, pretpostavljajui korienje iterativnog dekodovanja dva interlivovana koda.
5.4.6. MOTIV ZA UVOENJE ZATITNOG KODA I INTERLIVERA

Primena zatitnih kodova i interlivera nad irisom je stavila biometriju u paralelu
sa klasinim komunikacionim kanalima. Jedan od naih ciljeva je bio da pronaemo ekvivalentni kanal koji ima zajednike osobine sa biometrijskim komunikacionim kanalom. Pronalazak ekvivalentnog kanala, davao bi garantovano dobre
performanse celokupnog sistema koji je krajnji cilj.
Na slici (Slika 5.17) predstavlja deo sistema u kome je biometrija poistoveena sa
klasinim komunikacionim kanalom sa prisustvom uma. U ovom primeru dva
irisa indukuju biometrijski komunikacioni kanal preko koga imamo cilj da prenesemo klju . Vrednosti greke u ovom kanalu variraju u zavisnosti od toga da li
dva irisa pripadaju jednoj osobi ili su od razliitih osoba. U ovom apstraktnom
modelu biometrijskog kanala, na zadataka je da klju prenesemo preko kanala
bez greaka. Tanije, cilj je projektovati komunikacioni kanal iji je maksimalni
kapacitet definisan izrazom:
C max I ( K ; K ') 1
Slika 5.17 Biometrijski komunikacioni kanal sa umom
Razlozi za nastanak ovakvog motiva obrazloen je kroz sledee injenice:

Kriptologija 2
184
1. Osnovni problem kod biometrijskih podataka je varijabilnost koja je prisutna svaki put u podacima nakon akvizicije biometrijskih podataka. Drugim reima, svaki novi biometrijski podatak generisan na istom biometrijskom izvoru se uvek razlikuje 10% - 20% od svih prethodnih, dok se
biometrijski podaci generisani na razliitim biometrijskim izvorima razlikuju od 40% do 60%.
2. Kao odgovor na pomenuti problem varijabilnosti u biometriji irisa, nastala je ideja o ekvivalenciji sa drugim komunikacionim kanalima. Ova ideja
je uvela primenu zatitnih kodova za ispravljanje greaka (engl. error correcting code), a tehnika je preuzeta iz oblasti komunikacija.
3. Kapacitet koda za ispravljanje greaka u ovom sluaju performanse dekodera, moraju biti takve da odvajaju originalnog korisnika od lanog. Na
primer, biometrijski kanal indukovan sa dva iris koda sa istog biometrijskog izvora, mogu biti u stanju da prenesu poruku bez greaka u naem
sluaju klju , dok kanal indukovan sa dva iris kod sa razliitih biometrijskih izvora, ne sme da prenese klju , ak ta vie poeljno je da klju
bude uniten, tako da je uzajamna informacija (; ) = 0.
4. Postizanjem pomenutih performansi, uspeh bi predstavili sa rezultatom
== , dok se koristi kao kriptoloki klju.
5. Pravljenjem kompromisa izmeu ukupne koliine informacije iris koda
i njihove uzajamne informacije izmeu istih i razliitih kodova irisa, dobijamo okvire za maksimalnu veliinu kljua .
6. Interliver je tehnika koja se koristi za rasprivanje paketskih greaka. Analizom je utvreno da iris kod sadri paketske greke. Ova tehnika se
kod klasinih komunikacionih kanala koristi za podizanje performansi
zatitnih kodova ili kodova za ispravljanje greaka.
Sada moemo da zakljuimo da sve ove injenice nezaustavno utiu na stvaranje jedne
nove oblasti, koja opravdano nosi ime biometrijska kriptografija.
5.4.7. OBLAST PRIMENE I BUDUI RAZVOJ OBLASTI

Osnovna primena predloenog i razvijenog reenja je u domenu kriptografskih
potreba. Dobijeni kljuevi mogu biti korieni u kriptografske svrhe, kao i kod
sistema za bezbednu autentifikaciju korisnika na bazi he vrednosti kljua K.
Arhitektura predloenog sistema zasniva se na tri bezbednosna faktora, a to su,
Kriptologija 2
185
korisnika lozinka (PIN), biometrijski uzorak i token (smart kartica, USB,..). Arhitektura predloenog biometrijskog sistema omoguava proveru identiteta i generisanje kljueva u off-line reimu rada. Na ovaj nain se izbegava centralizovana
baza podataka, to doprinosi stvaranju pozitivnih utisaka za socijalno prihvatanje
sistema. Na sledeoj slici (Slika 5.18), prikazana je jedna univerzalna ema za
implementaciju predloenog reenja u off-line reimu rada.
Slika 5.18 Jedna ema primene sistema
Na slici su oznaene faze u sistemu sa brojevima od 1 do 5. U prvoj (1) fazi korisnik sistema prilae smart karticu koja na sebi sadri pseudokod i he vrednost
od zakljuanog kljua u pseudokodu. Nakon unosa ispravne korisnike lozinke,
podaci sa smart kartice se prosleuju sistemu za regenerisanje kljua (4). U drugoj (2) fazi, oitava se i prosleuje korisnikova originalna biometrija irisa preko
biometrijskih skenera. U treoj (3) fazi primenjuje se sistem za generisanje iris
koda (biometrijskog obrasca). Zatim, generisani iris kod se prosleuje sistemu za
regenerisanje kljua. U etvrtoj (4) fazi, prelazi se u fazu regenerisanja kljua sa
naim novopredloenim reenjem u disertaciji. Uspenost ove faze potvruje se
sa identinom he vrednosti koja je dobijena sa smart kartice, a rezultat ove faze
je biometrijski klju koji se moe koristiti u razne kriptografske svrhe.
Kriptologija 2
186
Tabela 5.1 Poreenje sa postojeim rezultatima u ovoj oblasti
Biometrija
Duina
kljua
(bit)
Stopa lanog
odbacivanja (FRR)
Stopa lanog prihvatanja (FAR)
Glas
46
20%
Svojeruni
potpis
40
28%
1,2%
69
30%
49 i 85
5,4% - 9,9%
3,2% - 2,5%
0,93%
58
3,5%
0%
140
0,47%
0%
186
0,76%
0,096%
400
4,75%
0%
240
1.27%
10.62%
Otisak
prsta
Lice
Iris
EKG i Glas
U toku rada su uoene sledee mogunosti i pravci daljeg razvoja:

1. prototip za predloeno reenje;
2. bimodalni biometrijski sistema;
3. biometrijske PKI infrastrukture.
Kriptologija 2
187
Kada je zahtevano vie faktora u autentifikaciji. Iris LG 4000 je izuzetno fleksibilan sa ugraenim itaem smart kartica vodeih svetskih proizvoaa. Vie faktorska autentifikacija je podrana preko numerike tastature za unos lozinke ili
PIN koda u zavisnosti od modela ureaja.
Slika 5.19 LG Iris 4000 skener irisa
Kao mogunost za dalji rad je razvoj bimodalnih biometrijskih sistema. Bimodalni

sistemi kombinuju dva biometrijska signala. Ovo podrazumeva kombinovanje
razliitih biometrija. Na primer, kombinovanje EKG signala i govora, irisa i govora
ili EKG signala i irisa.
Slika 5.20 Bimodalni biometrijski sistem
Takoe, i u ovom sluaju se koriste transformacione funkcije za ekstrakciju iste

informacije iz navedenih biometrija. Reavanjem apstraktnih pojmova u domenu
biometrijskih podataka, kao to je uzajamna informacija iz oblasti teorijskoinformacione analize, biemo u mogunosti da razvijemo algoritme za estimaciju
Kriptologija 2
188
uzajamnih informacija izmeu dve ili vie biometrija. Ekstraktovana informacija

koristie se kao osnova za sintezu sistema za generisanje jo kvalitetnijih kriptolokih kljueva veih duina u odnosu na teorijski postavljene okvire.
Pod razvojem biometrijske PKI infrastrukture, podrazumevamo razvoj novog
sistema sa javnim kljuevima koji e biti ekvivalentan postojeoj PKI infrastrukturi. Ovaj sistem je direktno zasnovan na biometrijskim podacima. Zbog zahtevanih veih duina kljueva, razvoj ovog reenja zavisie od uspeha razvoja bimodalnih sistema. Ova ideja trenutno postoji samo na apstraktnom nivou. Prvi zadatak je pronalazak ekvivalentne eme sa svim funkcionalnim komponentama koje
postoje u tradicionalnoj emi PKI infrastrukture.
Ideja o biometrijskoj PKI infrastrukturi ima veliki potencijal u dananjem informacionom drutvu. Postoji vie problema sa tradicionalnom PKI infrastrukturom
u elektronskim servisima koji obezbeuju tajnost, integritet i neporecivost. Glavni nedostatak je zahtev u poverenje u treu strani od poverenja, koja je zaduena
za izdavanje i potpisivanje privatnih kljueva. Postavlja se onda pitanje koliko
moemo da verujemo jednom ovakvom sistemu, ukoliko se radi o primeni u institucijama od velikog znaaja (vojska, diplomatija, policija)? Drugi problem je robusna infrastruktura koja onemoguava uzajamnu autentifikaciju u elektronskim
servisima. Na primer, najvei prodavac knjiga u svetu je Amazon. Elektronski
servis za plaanje kod Amazona podrava samo jednosmernu autentifikaciju u
smeru Amazon korisnik. Na ovaj nain, korisnik moe da se uveri u legitimitet
Amazon elektronskog servisa, ali Amazon ne vri proveru da li se radi o legitimnom vlasniku kreditne kartice. Moemo da zakljuimo da je, uglavnom, krajnji
korisnik nezatien. Ovakvih sluajeva ima mnotvo i u bankarskim elektronskim
servisima za Internet plaanja.
Razvoj ovog sistema omoguava jednostavnije generisanje i distribuciju kriptolokih kljueva, s druge strane, bilo bi omogueno da svaki korisnik ili uesnik neke
online transakcije bude maksimalno bezbedan, tako to svako za sebe u komunikaciji predstavlja sopstveno sertifikaciono telo koje ima mogunost da generie i
verifikuje sopstveni sertifikat, kao i da opozove sertifikat u sluaju da je bezbednost naruena.
Kriptologija 2
189
6. TAJNA RAZMENA KRIPTOLOKOG KLJUA JAVNIM KANALOM

BEZBEDNOST NA FIZIKOM SLOJU
U savremenim informacionim sistemima, zatita podataka predstavlja nezaobilazan proces. Bilo da se radi o zatiti podataka u bazama podataka ili u komunikacionim kanalima pri prenosu podataka, kriptologija kao nauka obezbeuje mnogobrojna kriptografska reenja. Reenja koja proizilaze korienjem kriptologije
mogu se svrstati u dve grupe reenja koja pruaju teorijski dokazivu bezbednost i reenja koja se zasnivaju na teko reivim matematikim problemima
praktina bezbednost.
Postoje mnoge fundamentalne razlike izmeu klasine kriptografije koriene na
visokim slojevima protokola i bezbednosti na fizikom sloju koja je zasnovana na
teorijsko informacionoj analizi. Zbog toga je vano razumeti ta su te razlike i
kako one utiu na izbor tehnologije u praktinom scenariju. U ovom odeljku kada
kaemo klasina kriptografija, ne mislimo na klasinu istorijsku kriptografiju
(klasine istorijske ifre), ve na kriptografske mehanizme koji su danas dostupni
u praktinoj bezbednosti.
Klasina raunarska bezbednost se zasniva na javnim kljuevima za autentifikaciju i distribuciju kljueva za zatitu podataka u prenosu sa simetrinim kripto mehanizmima. Najea kombinacija algoritama koja se primenjuje u dananjoj
praksi je kombinacija RSA i AES, koja se smatra bezbednom za veliki broj aplikacija, jer do sada nema poznatih efikasnih napada na sisteme sa javnim kljuevima.
Mnoge simetrine ifre su razbijene u prolosti, ali one koje su bile razbijene su
dosledno zamenjene novim algoritmima, ija je kriptoanaliza zahtevnija i zahteva
velika raunarska izraunavanja. Pod pretpostavkom da napada ne moe da
razbije jake klasine kriptografske mehanizme, mogue je dizajnirati sistem koji
je bezbedan sa verovatnoom 1. Tehnologija je lako dostupna i jeftina.
Reenja iz praktine bezbednosti su uglavnom zastupljena i koriste algoritme za
ifrovanje podataka poput AES, DES ili algoritama kao to su RSA i DSA. Algoritmi
AES i DES nemaju dokazanih propusta koji bi omoguili pronalaenje otvorenog
teksta na osnovu ifrata za relativno kratko vreme od vremena potrebnog za potpunu pretragu kljueva. Sa druge strane RSA i DSA algoritmi zavise od teine reavanja matematikog problema faktorizacija velikih brojeva. Algoritmi za faktorizaciju napreduju iz dana u dan, iz tog razloga je krae vreme potrebno za fakKriptologija 2
190
torizaciju, odnosno pronalazak privatnog kljua nekog od ova dva algoritma na

osnovu poznavanja javnog kljua.
Danas procesorske snage raunara rastu neverovatnom brzinom, i postoji veoma
veliki broj monih komercijalnih proizvoda, tako da bezbednost algoritama sa
duinama kljua do 64 bita zavisi iskljuivo od protivnikove reenosti da doe do
otvorenog teksta, odnosno od njegovih finansijskih mogunosti koje bi upotrebio
za razbijanje nekog kripto sistema. Na osnovu ovih injenica dolazi se do zakljuka da je potrebno prei na algoritme koji koriste due kljueve ili na kriptografska reenja iz perfektne bezbednosti.
Meutim postoje i mane u raunarskom modelu. Bezbednost kriptografije sa javnim kljuevima zasniva se na pretpostavci da za odreene jednosmerne funkcije
ne postoji drugi smer, opet nedokazano sa matematike take gledita. Raunarske snage nastavljaju da narastaju brzim tempom, tako da napad sa potpunom
pretragom koji se nekada smatrao neizvodljivim, danas je na dohvat ruke. ta
vie, ne postoji precizna metrika za uporeivanje prednosti razliitih ifara na
rigorozan nain. U principu, bezbednost kriptografskih protokola se meri preivljavanjem niza napada ili ne. Iz dela enona (Shannon) i Vinera (Wyner), jedan
zakljuuje da vladajua kriptografska paradigma nikada ne moe pruiti teorijsko
informacionu bezbednost, zato to je komunikacioni kanal izmeu dve prijateljske strane i napadaa beuman, kao i kapacitet bezbednosti jednak nuli. ta vie,
postojei sistemi za distribuciju kljueva su zasnovani na raunarskom modelu i
zahtevaju treu stranu od poverenja, kao i sloene protokole i sistemske arhitekture. Ako je potrebno generisati vie kljueva, nekad je to bolje uraditi samo na
osnovu jedne deljenje tajne i po cenu smanjenja nivo zatite podataka.
Glavne prednosti bezbednosti na fizikom sloju pod teorijsko informacionim
bezbednosnim modelom su injenice da nema raunarskih ogranienja i da precizno moemo govoriti o koliini iscurile informacije do koje moe da doe napada, a ujedno ta koliina informacije predstavlja funkciju kvaliteta tog komunikacionog kanal. bezbednost na fizikom sloju je ve realizovana u praksi preko
kvantnih protokola za distribuciju kljueva. U teoriji, na ovaj nain je mogue doi
eksponencijalno blizu sistema perfektne tajnosti. Sistemska arhitektura bezbednosti u osnovi je ista kao i ona za komunikaciju. Umesto klasine distribucije kljueva, na fizikom sloju je mogue generisati u sekundi potreban broj kljueva.
Kriptologija 2
191
Meutim, mi moramo prihvatiti neke nedostatke. Prvo i najvanije, teorijsko

informaciona analiza ove vrste bezbednosti se oslanja na prosenim informacionim merama. Sistem moe biti podeen i dizajniran do odreenog nivo bezbednosti, tvrdei sa velikom verovatnoom, da e sistem biti bezbedan. Takoe smo
primorani na korienje pretpostavki o kanalima koje moda nisu tane u praksi.
U veini sluajeva, postoji i jedna vrlo konzervativna pretpostavka o kanalima, to
je verovatno da e dovesti do niskog kapaciteta tajnost u ovom kontekstu ili na
kraju generisati nekvalitetan klju. Do danas, nekoliko sistema je ve razvijeno,
pre svega mislimo na optiku komunikaciju, ali tehnologija nije iroko dostupna i
dalje je cena dosta visoka.
Na osnovu navedenih poreenja, vrlo je verovatno da e fiziki sloj bezbednosti
postati deo reenja bezbednosnog protokola sa slojevitim dizajnom, u kojem je
obezbeen servis poverljivosti i autentifikacije od strane drugih slojeva, a svaki
sa svojom specifinom ulogom. Ovaj modularni pristup je slian dizajnu skoro
svih praktinih sistemima koji danas postoje, ali bitno je imati na umu da fiziki
sloj prua dodatni sloj bezbednosti koji jo uvek ne postoji u komunikacionim
mreama.
Glavni cilj ovog poglavlja je upoznavanje za teorijskim osnovama bezbednosti na
fizikom sloju i pruanju nekih osnovnih metoda koje e omoguiti razvoj aplikacija i alata za sprovoenje ove ideje u realne sisteme. Preko scenarija koje su predloili Maurer i Viner, upoznaemo se sa sutinskim teorijama i matematikim
modelima za procenu bezbednosti fizikog sloja i njegovu karakterizaciju osnovnih ogranienja, kodne eme za podatke na fizikom sloju i drugim sistemskim
aspektima bezbednosti na fizikom sloju.
Kriptologija 2
192
6.1. RAZMENA KLJUA 1: SATELITSKI SCENARIO

Protokoli koji se danas koriste za razmenu kriptolokih kljueva preputaju bezbednost kljueva reavanju matematikih problema - faktorizacija. Najee korieni metodi za distribuciju kljueva su Diffie-Hellman protokol i zatita kljueva korienjem asimetrinih ifara RSA ili DSA. Protokoli koji proizilaze iz kvantne kriptografije daju osnovu za dalji razvoj protokola u klasinoj kriptografiji.
Ueli Maurer je uvideo mogunosti drugog dela BB84 protokola i teorijski prikazao
novi protokol, poznat pod nazivom Satelitski Scenario. Prvi deo protokola BB84
koji zahteva jednosmerni kvantni kanal zamenio satelitom koji slabom snagom
konstantno emituje sluajne signale. Emitovani signali predstavljaju lou kopiju
signala koji je na satelitu. Ba iz razloga to je signal slab, svaki uesnik u protokolu e dobiti korelisan niz u odnosu na drugog uesnika, ali sa grekama na razliitim mestima dakle isto to proizilazi iz prvog dela BB84 protokola.
Jedan od najznaajnijih protokola iz protokola u kvantnoj kriptografiji je BB84.
BB84 zahteva dva komunikaciona kanala, jedan je jednosmerni kvantni kanal
optika veza izmeu dva uesnika koja omoguava prenos svetlosti (fotona), dok
je drugi dvosmerni javni kanal. Nakon prvog dela protokola u kome se koristi
jednosmerni kvantni kanal, dva uesnika imaju korelisane (sadre zajedniku
informaciju) ali razliite sekvence bitova koje je potrebno u drugom delu protokola ujednaiti kako bi dobijeni nizovi bili iskorieni kao materijal za klju. Drugi
deo BB84 protokola, deo u kome se dva razliita niza ujednaavaju, predstavlja
takozvani kaskadni protokol ili mogunost za polaznu taku daljeg razvoja.
U narednim delovima rada bie prikazana detaljna analiza protokola za ispravljanje greaka na korelisanim nizovima koje je delom razvio Ueli Maurer, a koje delom proizilaze iz kaskadnog protokola, kao i razvoj ovakvog protokola i jedne
nae implementacija u savremenim raunarskim mreama.
Satelitski scenario je predstavljen tako da zahteva nekakav centralni izvor sluajno generisanih nizova (satelit) sa obaveznim uslovom da svaki uesnik, koji bi
sluao ono to satelit emituje, dobija signal sa grekama na razliitim mestima u
odnosu na originalni emitovani signal. Moemo pretpostaviti da razliiti faktori
mogu da uzrokuju pojavu uma u tom komunikacionom kanalu. Za ovakvu nameKriptologija 2
193
nu, pravi satelit bi bio idealno reenje, ali ipak ne deluje mogue izvesti tako neto. Potrebno je reiti ovaj problem protokola kako bi protokol bio primenljiv u
praktinim mrenim sistemima za komunikaciju. Na primer, bezbedna komunikacija izmeu dva raunara u istoj mrei.
Osim toga to ovaj protokol omoguava razmenu simetrinog kljua bez ikakvih
unapred poznatih parametara, ovaj protokol takoe teorijski ne ograniava duinu kljua koji e biti ustanovljen. Dakle, mogue je koristiti ovaj protokol za uspostavljanje kljueva veih duina, to otvara mogunosti za sintezu perfektne bezbednost. Implementacijom ovog protokola bi se reio problem nedokazivo bezbednih ifara i uvelo korienje dokazivo bezbedne ifre OneTime pad.
Slika 6.1 Apstraktna ema protokola Satelitski scenario
Deo protokola koji se bavi ispravljanjem greaka u korelisanim nizovima tj. procesom usaglaavanja nizova, sastoji se od tri faze. Prva faza je destilacija prednosti (engl. Advantage Distillation), druga faza je usaglaavanje informacija (engl.
Information Reconciliation) i trea faza je pojaavanje privatnosti (engl. Privacy
Amplification). Detaljno e biti razmotrene i informaciono slikovito prikazane sve
tri faze ovog protokola.
Kriptologija 2
194
Slika 6.2 Dijagram poetnih stanja, informaciona analiza
Nakon emitovanja sluajnih nizova, dijagram poetnog stanja koji predstavlja

informacione mere je prikazan na slici (Slika 6.2). Pretpostavka je da su sve tri
strane dobile podjednako sline ili razliite nizove sa zamiljenog satelita u ovom
teorijskom scenariju. Vidimo sa slike prostor u kome se nalazi materijal koji e
kasnije Alisa i Bob iskoristiti za generisanje zajednikog kljua. Taj prostor je
oznaen sa I(K1;K2|N).
Sledea faza je destilacija prednosti. Pretpostavlja se da emitovani signal satelita
nikada ne sluaju samo legitimni korisnici protokola ve i trea strana koja za nas
predstavlja napadaa. Destilacija prednosti se svodi na smanjivanje uzajamnih
informacija izmeu Alise i Boba, u ovom scenariju dve prijateljske strane koje
ele da uspostave zajedniki klju, a sa druge strane ova faza protokola smanjuje
uzajamnu informaciju izmeu Alise i napadaa i Boba i napadaa (Trudi). Ova
faza se direktno oslanja na model postavljen od strane teorijsko informacione
analize. Dijagram novih stanja izmeu Alise i Boba je predstavljen na slici (Slika
6.3). Vizuelno moemo da primetimo da je prostor materijala za budui kriptoloki klju znaajno porastao, zapravo uzajamna informacija izmeu Alise i Boba se
poveala, dok je uzajamna informacija sa napadaem smanjena na minimalnu
koliinu informacija.
Kriptologija 2
195
Slika 6.3 Stanja dijagrama posle destilacije prednosti
Destilacija prednosti ili invertovanje kanala poinje tako to legitimni korisnici

(Alisa i Bob) u meusobnoj javnoj diskusiji govore jedno drugome parne bitove
raunate za svaki par bitova iz originalnog niza. Dakle, originalni niz se deli na
parove od po 2 bita, za svaki par se rauna parnost, i ako su bitovi parnosti isti
kod oba korisnika, korisnici zadravaju prvi ili levi bit para. Ako se bitovi parnosti
razlikuju, korisnici ne zadravaju nijedan bit iz izdvojenog para i taj par se odbacuje iz protokola.
Ova faza protokola moe sadrati nekolike runde. Teorijski model koji je Maurer
izneo, pretpostavlja tri runde ove faze protokola. Broj rundi moe u praksi zavisiti od toga, kolika je pretpostavljena greka izmeu legitimnih korisnika.
Na slici (Slika 6.4) prikazan je metod faze za destilaciju prednosti. U prvom redu,
12 bitova pripada Alisi, dok drugih 12 bitova u drugom redu pripada Bobu. Oni ih
dele na parove i raunaju njihovu parnost. Za prva dva bita kod Alise (0 i 1) parnost 1, a kod Boba (0 i 1) parnost je takoe 1. U tom sluaju Alisa zadrava 0, a
Bob zadrava 1 i td. Parovi kod kojih je parnost razliita su precrtani i odbaeni.
Kriptologija 2
196
0 1 0 0 1 0 0 1 1 0 1 1
Alisa
XOR
XOR
XOR
XOR
XOR
XOR
XOR
XOR
0
1
1 0 1 0 1 0 0 0 1 0 1 1
Bob
XOR
XOR
1
XOR
XOR
XOR
XOR
XOR
XOR
Slika 6.4 Proces destilacije prednosti
Sledea faza je usaglaavanje informacija. Ova faza predstavlja proces u kome se

dva niza u potpunosti izjednaavaju. Posmatra se niz jednog korisnika u odnosu
na niz drugog, na nain gde jedan niz predstavlja originalnu sekvencu, dok drugi
niz kod drugog korisnika predstavlja isti taj niz ali sa grekama. Shodno tome,
usaglaavanje informacija predstavlja proces ispravljanja greaka u nizu kod jednog od korisnika. Ovaj proces je nalik na tehnike iz teorije o zatitnom kodovanju
u kanalima sa prisustvom uma.
Proces usaglaavanja informacija poinje tako to se nizovi kod u ovom sluaju
Alise i Boba, podele u blokove unapred odreene duine, zatim se za svaki blok
rauna bit parnosti. Ako se na bloku istog indeksa (npr. na drugom bloku u
sekvenci i jednog i drugog korisnika) bit provere parnosti razlikuje, to znai da
postoji razlika u tom bloku ili greka kod kod Boba, ukoliko posmatrao Alisin niz
kao originalni u toj fazi protokola. Treba napomenuti da ovakva provera moe da
detektuje samo neparan broj greaka u bloku jer ako postoje dve greke u bloku, bit parnosti e biti 0, a to e kod ove tehnike znaiti da ne postoje greke. Iz
tog razloga bitno je u zavisnosti od mesta primene proceniti optimalan broj rundi
u fazi koju Maurer naziva destilacija prednosti.
Kriptologija 2
197
Slika 6.5 Stanja dijagrama nakon usaglaavanja informacija
Takoe, faza usaglaavanje se obavlja iz vie rundi, pa sve dok se ne isprave sve
greke. Broj rundi e zavisiti od optimalne veliine blokova, dok e veliina blokova po rundama zavisiti od osobine uma koji je bio prisutan u kanalu na poetku ovog protokola ili u momentu kada su signali emitovani sa satelita na zemlju.
Veliina blokova je takoe promenljiva zbog postojanja rafalnih greaka engl.
burst-error koje se mogu javiti u nizu koji se ispravlja. Menjanjem veliine blokova se dobija slian efekat kao kada se primeni interliver nad nizovima.
Na slici (Slika 6.6) prikazan je proces usaglaavanja informacija, nad nizovima
koji su preostali nakon destilacije prednosti. Nizovi koji preostanu nakon faze
usaglaavanja, predstavljaju materijal za klju koji e Alisa i Bob iskoristiti za
generisanje zajednikog simetrinog kljua.
Kriptologija 2
198
Alisa
1 1 0 1 1 0 0 0 1 0 1 1
=0
1 1 0 1 1 0 0 0 1 0 1 1
=0
=1
1 1 0 1 1 0
1 1 0
=0
=0
= 0 =0
1 1 0
1 1
=0
=1 =1
XOR
XOR
XOR
XOR
XOR
XOR
XOR
XOR
XOR
XOR
1 1 0 1 0 0 0 0 1 0 1 1
=1
1 1 0 1 0 0 0 0 1 0 1 1
=1
=1
1 1 0 1 0 0
1 0 0
=1
=0
= 1 =0
1 0 0
1 0
=1
=1 =0
XOR
Bob
XOR
XOR
XOR
XOR
XOR
XOR
XOR
XOR
XOR
Slika 6.6 Proces usaglaavanja informacija
Dolazimo do faze za pojaavanje privatnosti. Moemo da kaemo da je ova faza

poslednja faza protokola. Ova faza predstavlja metod za potpuno izbacivanje napadaeve (Trudi) uzajamne informacije sa nizovima legitimnih strana (Alisa i
Bob). Ovo je postignuto primenom sluajno izabrane funkcije nad oba niza legitimnih strana. Funkcije koje se primenjuju u ovoj fazi, pripadaju zatvorenom skupu univerzalnih he funkcija, iji rezultat predstavlja krajnji klju koji e se koristiti u kriptografskim mehanizmima za ifrovanje.
Ukratko emo objasniti korake ove faze. Prvi korisnik bira funkciju koja e se
primeniti na sluajan nain. Nakon toga, prvi korisnik alje opis funkcije drugom
korisniku kako bi na strani drugog korisnika bila primenjena ista funkcija. Opis je
unapred dogovoren, moe predstavljati nekakav parametar ili broj koji odreuje
tanu funkciju iz zatvorenog skupa funkcija.
Kriptologija 2
199
Slika 6.7 Dijagram stanja posle pojaavanja privatnosti
Ovaj protokol je apstraktni i iz tog razloga je i teorijski protokol, koji je u svetu

nauke poznat pod imenom Satelitski scenario. Autor ovog perfektnog protokola
ili bezuslovno bezbednog protokola je naunik Ueli Maurer, koji je protokol prikazao samo na teorijskim osnovama i projektovanim teorijskim ogranienjima
koje zajedno ine glavne teorijske okvire ovog protokola. Na osnovu naeg iskustva u oblasti bezbednosti na fizikom sloju, prikazaemo u poslednjem odeljku
ovog poglavlja jednu nau praktinu implementaciju ovog protokola u lokalnoj
raunarskoj mrei. Na ovaj nain smatramo da smo pronali adekvatnu ekvivalentnu emu protokola Satelitski scenarijo, na osnovu dobijenih rezultata i rigoroznih teorijsko informacionih analiza koje su bile neizostavne za taj rad.
Kriptologija 2
200
6.2. RAZMENA KLJUA 2: WAYNER WIRE-TAP KANAL

Da bismo reili problem distribucije kljueva na bezbedan nain kod One-Time
pad, mogli bismo doi u iskuenju da generiemo duge pseudo sluajne nizove
koristei isto sluajna inicijalna stanja ija je duina u odnosu na proizvod generatora neuporedivo manja. Meutim, teorija informacija pokazuje da je neodreenost napadaa (Trudi) odreena sa brojem sluajnih bitova u kljuu. Ukoliko je
klju manji (posmatrano u kontekstu informacionih bitova), vea je verovatnoa
da e napada uspeti da izdvoji neke informacije iz kodnih rei - ifrata. U tom
sluaju, jedina prepreka sa kojom je napada susretnut je raunarska kompleksnost, koja vodi direktno do koncepta raunarske bezbednosti. Dobro poznata
pravila za bezbedan rad One-Time pad ifre su verovatno odgovorna za skepticizam kod kriptografskih praktiara, zbog ega odustaju od teorijsko informacione
bezbednosti. Ve sada se vidi na prvi pogled, da je model One-Time pad ifre podobno komunikaciono bezbednosno reenje, mogue i za iru primenu. Za iru
primenu ove perfektne ifre neophodno je razmotriti nove metode za teorijsko
informacionu distribuciju kljueva na fizikom sloju bezbednosti. Prelazimo na
sledei primer.
Kao to je pomenuto ranije, sluajni um je sastavni element skoro svih komunikacionih kanala. U nastojanju da razume ulogu uma u kontekstu bezbednih komunikacija, Viner (Wayner) je predstavio model kanala sa prislukivanjem na
slici (Slika 6.8). Osnovne razlike izmeu ovog pristupa i enonovog originalnog
perfektnog sistema su:
legitimni predajnik koduje poruku u kodne rei koja se sastoji od n

simbola, koji se alju preko kanala sa umom do legitimnog prijemnika.
prislukiva uzima poruku sa umom, oznaenu sa , koja je jednaka sa
signalom koja se dostupna na prijemniku.
Pored navedenih razlika, Viner je predloio novu definiciju tajnosti. Umesto ekvivokacije napadaa, gde vai pretpostavka da neodreenost napadaa treba da
bude jednaka entropiji poruke, sada razmatramo o ekvivacionoj stopi:
(1/)(| ),
Kriptologija 2
201
koja moe biti proizvoljno blizu stopi entropije poruke (1/)() za dovoljno
velike duine ifrata .
Alisa
M
Bob
Enkoder
Xn
Kanal
Yn
Kanal
Dekoder
Zn
Trudi
Slika 6.8 Vinerov model kanala
Sa ovim blaim bezbednosnim ogranienjem, tada moe da se pokae da postoje

takvi kanalni kodovi koji garantuju asimptotski oboma proizvoljno malu verovatnou greke na strani prijemnika i tajnosti. Takvi kodovi su kolokvijalno poznati
kao kodovi prislukivanja (engl. Wiretap). Maksimalna brzina prenosa koja se
moe postii pod ovom pretpostavkom zove se kapacitet tajnosti, a moe da se
pokae da onoga ko prislukuje, sadri vie greaka od na prijemniku.
Slika 6.9 Kapacitet tajnosti
Kapacitet tajnosti kanala je definisan sledeim izrazom:

Kriptologija 2
202
(; ) (; ),
a ako je kapacitet tajnosti jednak 0, tada je napadaev (Trudi) kanal bolji od kanala izmeu legitimnih strana i tada je komunikacija nebezbedna.
U 70-im i 80-im godinama, uticaj Vinerovih rezultata bio je ogranien zbog nekoliko vanih prepreka. Prvo, praktini kodovi za realizaciju ovog kanala nisu bili
dostupni. Drugo, model kanala sa prislukivanjem podrazumeva da napada prima zaumljene verzije signala legitimnog prijemnika je prilino nerealna. Pored
toga, pre nego to se pojavio pojam kapacitet tajnosti, teorijsko informaciona
bezbednost se nala u senci Diffie-Hellman protokola koji je razvijen na osnovama
kriptografije sa javnim kljuem, koja se oslanja na matematike funkcije za koje
se veruje da su teko izraunive i od tada dominira u oblasti bezbednosnih istraivanja.
Iako su dosadanji rezultati zasnovani na kapacitetu tajnosti, dokazali postojanje
sposobnih kodova koji garantuju pouzdanu komunikaciju pod uslovom da je zadovoljen uslov tajnosti, ali i dalje nije jasno kako mogu takvi kodovi da budu konstruisani praksi. U nastavku razmatraemo konstrukciju kanalnog kodovanja za
postizanje tajnosti.
Alisa
M
Bob
Xn
Enkoder
0
1
Dekoder
0
?
1
Zn
Trudi
Slika 6.10 Komunikacija preko binarnog kanala sa brisanjem
Razmislite o modelu prikazanom slici (Slika 6.10), u kom Alisa eli da poalje
jedan bit informacije Bobu preko kanala bez uma, dok je kanal koji koristi Trudi
binarni kanal sa brisanjem BEC (engl. Binary erasure channel), koji brie poneki
Kriptologija 2
203
ulazni simbol sa nekom verovatnoom . BEC kanal je uobiajeni komunikacioni

model kanala korien u teoriji kodovanja i teoriji informacija za razliite analize.
U ovom modelu, predajnik alje bit (0 ili 1), a prijemnik prima bit ili dobija poruku da bit nije primljen ili "izbrisan".
Razmotrimo sada ovaj model kanala. Ako Alisa poalje nekodovani bit poruke,
tada je Trudi sposobna da primi isti sa verovatnoom 1 , to dovodi do ekvivokacije jednake sa . Sledi da, ukoliko je = 1, tada je Trudi u stanju da dobije
netrivijalnu koliinu informacije.
Alternativno, Alisa moe koristiti neki koder koji dodeljuje jednu ili vie kodnih
rei svakoj od dve mogue poruke, 0 ili 1. Pretpostavimo da ona uzima sve binarne sekvence duine i mapira ih na takav nain da onima sa parnim paritetom
odgovara = 0 , a onima sa neparnim paritetom odgovara = 1. Ako Bob primi
jednu od ovih kodnih rei preko kanala bez uma, on moe da dobije tanu vrednost poruke odreivanjem pariteta primljene kodne rei. Trudi, s druge strane,
ostaje sa nekim prosekom od brisanja. im se jedan ili vie bitova briu, Eva
gubi svoju sposobnost da odredi paritet binarne sekvence u prenosu. Ovaj dogaaj se deava sa verovatnoom 1 (1 ) i to moe da se pokae kao:
(| ) 1 (1 ) ,
gde tei beskonanosti. Drugim reima, za dovoljno velike duine kodnih rei,
dobijamo ekvivokaciju koja je proizvoljno blizu entropije poruke. Nedostatak ove
kodne eme je brzina prenosa od 1/ koje tei nuli asimptotski sa , to je dobro.
Alisa i Bob mogu bezbedno da komuniciraju generisanjem vie kodnih rei za istu
poruku, ali tajnost koja je postignuta plaa cenu u brzini prenosa.
Intuicija koja je razvijena na javnom kanalu sa brisanjem, treba biti prenoena na
vie optih kanala. Ako Bobov kanal indukuje manje greaka od Trudi, Bob i dalje
treba da bude u stanju da oporavi poruke koristei kanalne kodove, nasuprot
tome, Trudi treba da ostane sa vie moguih kodnih rei i poruka. Naalost, do
dananjeg dana, praktina konstrukcija javnog kanala je poznata samo za nekoliko specifinih kanala.
Do sada smo pretpostavljali da je Trudi pasivan napada, koji eli da izvue to je
vie mogue informacija iz kanala. Meutim, pored pasivnog napada, Trudi ima
irok spektar aktivnih napada na raspolaganju. Trudi moe da imitira Alisu ili da
Kriptologija 2
204
kod Boba izazove dodatnu konfuziju, tako to e presretnuti saobraaj, izmeniti

poruke koje su poslate preko kanala sa umom ili samo jednostavno ometati Alisu i Boba u komunikaciji.
Autentifikacija poiljaoca je preutna pretpostavka u veini doprinosa teorijsko
informacione bezbednosti. Osim u posebnim i retkim sluajevima, uspostavljeni
klju izmeu Alise i Boba zahteva potvrdu autentinosti sa obe strane. Potrebno
je obezbediti autentifikaciju. Na primer, ako Alisa i Bob koriste beine mree,
prijemnik moe da povee odreeni kanal sa impulsnim odzivom sa odreenim
predajnikom i da je praktino nemogue da se protivnik nalazi na drugoj poziciji
da bi mogao da generie sline impulsne odzive na prijemniku. Sa autentifikacijom na ovaj nain napada ne moe da imitira legitimne strane komunikacije i da
falsifikuje poruke.
Meutim, napada moe da odlui da ometa komunikaciju nekim metodama za
ometanje signala. Treba istai da ometanje signala nije ogranieno samo na aktivnog napadaa. Zdrueno ometanje, kod koga jedan ili vie legitimnih korisnika
alje kodovane poruke, poveava konfuziju kod napadaa, to efikasno utie na
poveanje kapaciteta tajnosti. Sofisticirana obrada signala, pre svega kroz upotrebu viestrukih antena, takoe moe dodatno poboljati bezbednosne prednosti.
Kriptologija 2
205
6.3. RAZMENA KLJUA 3: KARTE

U ovom jednostavnom protokolu za uspostavljanje tajnog kljua pretpostavimo
da postoje samo etiri karte.
Slika 6.11 etiri karte koje se koriste za ovaj jednostavni protokol
Osoba od poverenja mea karte i deli redom Alisi, Bobu i Trudi. Alisa i Bob sprovode jednu od sledeih sluajeva, koji zavise od podeljenih karata:
A. Alisa i Bob javnim kanalom otkrivaju boje svojih karata;
B. Ako je boja identina i kod Boba i kod Alise, tada se slau oko bita tajnog
kljua 0, ako Alisa ima kralja (to implicira da Bob ima kraljicu), odnosno oko bita tajnog kljua 1, ukoliko Alisa ima kraljicu (to implicira da
Bob ima kralja);
C. Ako su boje karata Alise i Boba u tekuoj podeli razliite, odustaju od
uspostavljanja zajednikog bita tajnog kljua u ovoj rundi;
Slika 6.12 Karte - sluaj A.
Kriptologija 2
206
U sluaju B. sa slike (Slika 6.12), poto se boje slau i Bob ima kralja, Alisa u tom
sluaju mora da ima kraljicu. Prema pravilima protokola, Alisa i Bob se slau oko
bita tajnog kljua 1.
Slika 6.13 Karte - sluaj B.
U sluaju B. sa slike (Slika 6.13), Trudi zna da Alisa i Bob imaju istu boju, ali ne
zna ko ima kralja a ko kraljicu, pa stoga da li je bit tajnog kljua oko koga su se
sloili 0 ili 1.
Slika 6.14 Karte - sluaj C.
U sluaju C. sa slike (Slika 6.14), Bob ima kralja srce i zna da Alisa ima pik, ali ne
zna da li je to kralj pik ili dama pik. U ovom sluaju Alisa i Bob odustaju od uspostavljanja zajednikog tajnog kljua i prelaze na novu rundu deljenja. Broj rundi
zavisie od eljene duine tajnog kljua izmeu Alise i Boba.
Kriptologija 2
207
6.4. JEDAN ALGORITAM ZA RAZMENU KLJUEVA U LOKALNOJ RAUNARSKOJ MREI

U ovom odeljku bavimo se implementacijom teorijskog protokola za distribuciju
kriptolokih kljueva preko javnog komunikacionog kanala. Polazei od teorijskih
osnova i pregleda aktuelnog stanja u oblasti istraivanja, predloiemo jednu
realnu implementaciju protokola pod nazivom Satelitski scenario. Realizacija
protokol trenutno postoji samo na teorijskoj osnovi. Protokol o kome je re
podrazumeva razmenu kriptolokog kljua izmeu bilo koja dva korisnika bez
poznavanja poetnih parametara. Ovo je jedan realan praktini primer vezan za
bezbednost na fizikom sloju.
Osnovni ideja je generisanje i distribucija kriptolokih kljueva preko javnih komunikacionih kanala u savremenim raunarskim mreama, kao i razvoj sopstvenog reenja na osnovu jasno definisanih teorijskih osnova. Iz navedenog zakljuujemo da je jedini dobar bezbedan nain, upotreba kljueva veih duina u algoritmima perfektnih kripto sistema ili u algoritmima koji nude praktinu bezbednost, za koje je potrebno generisati i distribuirati kljueve 128 ili 256 bitova. Iz
tog razloga potrebno je razvijati protokole koji obezbeuju distribuciju takvih
kljueva.
Slika 6.15 Apstraktna ema protokola
Kriptologija 2
208
Sve faze protokola se odvijaju kroz javnu diskusiju. U inicijalnoj fazi protokola svi
korisnici dobijaju binarne nizove koji su meusobno korelisani. Ovi nizovi su
emitovani iz informacionog izvora koji je zajedniki za sve uesnike i predstavljaju lou kopiju originalnog niza na izvoru koji nikome od uesnika nije poznat.
Ovaj protokol je zasnovan na zajednikoj informaciji izmeu bilo koja dva uesnika, preko koje se kroz naredne faze protokola vri estimacija simetrinog kriptolokog kljua. Pored navedenih mogunosti protokola, jedino ogranienje je nemogunost realizacije protokola u komunikacionom kanalu bez uma. Za potrebe
rada e biti programski razvijene sve faze protokola i definisana implementacija
jedne ekvivalentne eme koja po svojim karakteristikama odgovara Mauerovom
Satelitskom scenariju.
Protokol o kome diskutujemo predstavlja jedan pokuaj implementacije Mauerovog protokola Satelitski scenario. Predstavljeno je reenje u kome je satelit zamenjen jednim generatorom sluajnih brojeva i na taj nain je protokol implementiran u savremenu raunarsku mreu. Potrebno je uvesti generator (generator e imati ulogu satelita) u raunarsku mreu, takav da minimalno remeti ve
postojeu infrastrukturu mree i koristi ve postavljene provodnike. Satelit je
hardverski generator uma, zasnovan na termikom umu diode. Generator proizvodi um u frekventnom opsegu koji se moe uti i mogue je korienjem
zvune kartice snimiti um i daljim procesiranjem ga konvertovati u nizove bitova. Koliina bitova koja se moe dobiti iz jedne sekunde snimljenog materijala
zavisi od brzine semplovanja signala i preciznosti semplovanja. Ako se um sempluje brzinom od 8000 semplova u sekundi (8000 Hz) i preciznou od 16 bita, za
jednu sekundu se dobija: 8000*16= 128000 bitova.
Generisan um se moe prenositi do svakog raunara u mrei preko neiskorienih provodnika u kablu korienim za umreavanje. U ovom sluaju potrebno je
modifikovati konektor UTP kabla tako da je mogue bez oteenja provodnika
preuzeti audio signal i usmeriti ga u ulaz zvune kartice raunara. Drugi nain za
prenos uma do raunara je postavljanje dodatnih kablova koji bi sluili samo u
te svrhe. Dovoenjem signala do svakog raunara napravljena je situacija koja se
moe poistovetiti sa situacijom u teorijskim radovima Ueli Maurera, gde je u ovom sluaju generator uma satelit (Slika 6.16). U narednim koracima potrebno
je da korisnici koji ele da razmene zajedniki klju, snime signale, zatim predsta-
Kriptologija 2
209
ve snimljeni signal u obliku niza bitova kako bi bilo mogue ostvariti korake
objanjene u nastavku ovog odeljka.
Eksperimentalni rad obavljen je unutar elektronske uionice gde je na raspolaganju bilo preko 100 umreenih raunara. Distribucija zvunog signala uma obavljena je korienjem posebnih kablova koji direktno spajaju generator i ulaze
zvunih kartica raunara. Karakteristike raunara, mrene opreme i zvunih kartica koje poseduju su predstavljene u tabeli (Tabela 6.1).
Slika 6.16 Predloena ema protokola

Tabela 6.1 Eksperimentalni raunarski sklop
Raunar 1:
HP Pro, Intel i3-2120 @ 3.30GHz, 4GB

Ram
Raunar 2:
Fujitsu Siemens ESPRIMO 5925 EPA
Zvuna kartica 1:
Realtek High Definition Audio
Zvuna kartica 2:
ALC262 /Realtek
Switch:
Cisco small bussiness SRW2052
Kriptologija 2
210
Iz tabele se moe zakljuiti da su sve komponente kao i raunari korieni u

eksperimentalnom radu standardnih karakteristika i nisu potrebne dodatne
izmene. Nakon povezivanja raunara i generatora, potrebno je snimiti umni signal. U svrhe eksperimentalnog rada, signal je sniman korienjem softvera za
obradu zvuka pod nazivom (engl. Sound Forge).
Problem koji nastaje kod snimanja signala je sinhronizacija. Naime, potrebno je
sinhronizovati poetak snimanja na dva raunara koja treba da razmene zajedniki klju. Kod snimanja bez vremenske sinhronizacije, gde korisnici usmeno
vre sinhronizaciju, moe doi do situacije u kojoj su dva snimljena niza razliita
do 50%. U takvim uslovima nije mogue uspeno realizovati protokol do kraja.
Problem sinhronizacije je reen preko softvera koji je iskorien za snimanje emitovanog signala. Pre svega potrebno je sinhronizovati vreme na svim raunarima
koji uestvuju u protokolu to je jednostavno reivo na operativnim sistemima,
sinhronizacijom vremena preko zajednikog servera za vremensku sinhronizaciju. Ovakva sinhronizacija se oslanja na NTP (engl. Network Time Protocol) i omoguava preciznost sinhronizacije do hiljaditog dela sekunde. Nakon uspene sinhronizacije za zadatu vremensku toleranciju, softver snima emitovani signal sa
generatora, ali zbog uticaja vie spoljnih faktora, nijedan raunar u mrei ne dobija identine sekvence.
U teorijski prikazanom satelitskom scenariju, greke izmeu sekvenci razliitih
korisnika moraju biti u opsegu od 0% do 50%, pri emu je kod 0% nemogue
izdvojiti zajedniku informaciju izmeu dva korisnika jer svi korisnici imaju identine sekvence, a kod 50% je nemogue izdvojiti zajedniku informaciju jer su sve
sekvence potpuno razliite. Idealna greka, odnosno razlika izmeu dve sekvence
korisnika je od 20% do 30%.
Snimanja signala bez vremenske sinhronizacije raunara, greke izmeu sekvenci
se pribliavaju 50%, a u tom sluaju nije mogue izvui bilo kakvu zajedniku
informaciju. Kada se signal snima sinhronizovano sa softverom, greka izmeu
sekvenci je oko 35%. U narednoj tabeli bie prikazan broj emitovanih bitova i
broj zajednikih bitova na kraju protokola.
Kriptologija 2
211
Tabela 6.2 Prikaz greaka sa i bez sinhronizacije
Bez Sinhronizacije
Sa Sinhronizacijom
Trajanje snimanja
3 sekunde.
3 sekunde.
Generisani bitovi
417.791 bitova.
407.999 bitova.
Broj razliitih bitova.
214.540 bitova.
143.307 bitova.
Greka
51.3 %
35.1 %
U tabeli su prikazani eksperimentalni rezultati. Iz rezultata vidimo da su vrednosti uma idealni kod sinhronizovanog snimanja signala, jer na taj nain dobijamo
idealne vrednosti koje su zahtevane u ovom protokolu. Posle snimanja signala,
dva korisnika treba da zaponu preostale faze protokola (destilacija prednosti i
usaglaavanje informacija). U tabeli (Tabela 6.3) prikazani su rezultati implementiranog protokola. Primenom metoda za destilaciju prednosti i usaglaavanja
informacija, mogue je ustanoviti klju duine do 1544 bita, samo na osnovu 3
sekunde snimljenog signala.
Brzina kljua kod prikazanog eksperimenta dostie 1.544 bitova za vreme od 5
sekunde. Za potrebe eksperimenta snimanje je trajalo tano 3 sekunde sa poetnih 407.000 bitova, kako bi se nakon faze destilacije prednosti i usaglaavanja
informacija, izvuklo 1.544 bita zajednike informacije izmeu dva korisnika u
mrei. Prikazano je 6 koraka destilacije prednosti i 2 koraka usaglaavanja
informacija za koje je potrebno ukupno 2 sekunde preko algoritma napisanog u
Java programskom jeziku. Na kraju protokola potrebno je uraditi i poslednji korak, a to je pojaavanje privatnosti na nain na koji je opisan u ovom poglavlju.
Rezultati ove implementacije jasno pokazuju da se radi o potpuno ekvivalentnom
scenariju u odnosu na vrednosti uma u emitovanom signalu i da teorijski okviri
postavljeni od strane Maurera i dalje vae. Brzinu kljua koju smo postigli je 308
Kriptologija 2
212
bitova/s. Sa ovom brzinom kljua obezbedili smo razmenu kljueva velikih duina koji u potpunosti zadovoljavaju potrebe dananjih kriptografskih algoritama.
Tabela 6.3 Dobijeni rezultati na kraju protokola
Ukupno
bitova
Razliitih
bitova
Greka
Poetno stanje
407.999
143.307
35.1%
Destilacija prednosti 1
137.545
41.233
29.9%
46.717
10.864
23.2%
16.232
2.001
12.3%
6.723
295
4.3%
3.136
39
1.2%
1.544
0.3%
Usaglaavanje
Info.
Veliina bloka = 5
1 1.544
0.06%
Usaglaavanje
Info.
Veliina bloka = 4
2 1.544
0%
Servis autentifikacije u ovoj realizaciji protokola nije dostupan. Kombinacijom

servisa sa viih slojeva, mogue je razviti jedan dovoljno pouzdan i bezbedan
protokol zasnovan na teorijsko informacionoj i praktinoj bezbednosti.
Kriptologija 2
213
LITERATURA
A. Burnett, F. Byrne, T. Dowling, and A. Duffy. A Biometric Identity Based
Signature Scheme. [Radovi] // Applied Cryptography and Network Security
Conference. - New York : [s.n.], 2005.
A. Goh, D.C. L. Ngo Computation of Cryptographic Keys from Face Biometrics
[Radovi] // Proc. Intl Federation for Information Processing 2003. - 2003. - str.
1-13.
A. J. Viterbi and J. K. Omura. Principles of Digital Communication and Coding.
[Knjiga]. - New York : McGraw-Hill, 1979.
Agaian S.S. Hadamard Matrix and Their Applications [Radovi]. - [s.l.] : Springer
Verlag, 1985.
Aiden A. Bruen, Mario A. Forcinito Cryptography, information tehory, and
error-correction [Knjiga]. - New Jersey : A John Wiley & Sons, 2005.
Ari Juels, Martin Wattenberg A fuzzy commitment scheme [Radovi] // CCS '99
Proceedings of the 6th ACM conference on Computer and communications
security. - New York : ACM, 1999. - str. 28-36.
Bennet C. H., Bessette F. / Brassard G. Experimental Quantum Cryptography
[Nauni radovi]. - [s.l.] : Journal of Cryptology Vol.5, 1992.
Blahut, Richard E. Theory and Practice of Error Control Codes [Knjiga]. - [s.l.] :
Addison-Wesley, 1983.
Boneh Dan, Dunworth Christopher / Lipton Richard J. Breaking DES Using a
Molecular Computer [Nauni radovi]. - Princeton : Princeton, NJ 08544.
C. Soutar, D. Roberge, A. Stoianov, R. Gilroy, and B.V.K. Vijaya Kumar
Biometric Encryption [Radovi] // ICSA Guide to Cryptography,McGraw-Hill. 1999.
Daugman J. The Importance of Being Random: Statistical Principles of Iris
Recognition [asopis] // Pattern Recognition. - 2003. - str. 279-291.
Kriptologija 2
214
Diffie Whitfield / Hellman Martin E. New Directions in Cryptography

[asopis] // IEEE Transactions on Information Theory. - 1976. - 6 : Tom. VOL. IT22.
Duan B. Draji, Predrag N. Ivani Uvod u teoriju informacija i kodovanje
[Knjiga]. - Beograd : Akademska misao Beograd, 2009.
F. Bavaud, J.-C. Chappelier, J. Kohlas An Introduction to Information Theory
and Applications [Knjiga]. - 2005 : [s.n.].
F. Hao, C.W. Chan Private Key Generation from On-Line Handwritten Signatures
[asopis] // Information Management & Computer Security. - 2002. - str. 159164.
F. Hernandez Alvarez, L. Hernandez Encinas, C. Sanchez Avila Biometric
Fuzzy Extractor Scheme [Radovi] // The 2009 International Conference on
Security and Management (SAM'09). - Las Vegas : WORLDCOMP'09, 2009. - str.
563-569.
F. Monrose, M.K. Reiter, Q. Li, S. Wetzel Cryptographic Key Generation from
Voice [Radovi] // Proc. 2001 IEEE Symp. Security and Privacy, May 2001. - 2001.
F. Monrose, M.K. Reiter, R. Wetzel Password Hardening Based on Keystroke
Dynamics [Radovi] // Proc. Sixth ACM Conf. Computer and Comm. Security
(CCCS). - 1999.
Feng Hao, Ross Anderson, John Daugman Combining Crypto with Biometrics
Effectively [Radovi] // IEEE TRANSACTIONS ON COMPUTERS. - [s.l.] : IEEE
Computer Society, 2006. - str. 1081-1088.
FIPS DATA ENCRYPTION STANDARD (DES) [Nauni radovi]. - [s.l.] : Federal
Information Processing Standards Publication 46-2, 1993.
FPIS ADVANCED ENCRYPTION STANDARD (AES) [Nauni radovi]. - [s.l.] : Federal
Information Processing Standards Publication 197, 2001.
G.I. Davida, Y. Frankel, B.J. Matt, and R. Peralta On the Relation of Error
Correction and Cryptography to an Off Line Biometrics Based Identification
Scheme [Radovi] // Proc. Workshop Coding and Cryptography. - 1999.
Kriptologija 2
215
H. A. Garcia-Baleon, V. Alarcon-Aquino,O. Starostenko, J. F. Ramirez-Cruz

Bimodal Biometric System for Cryptographic Key Generation UsingWavelet
[Radovi] // 2009 Mexican International Conference on Computer Science. 2009. - str. 186-196.
http://csis.org/ [Na mrei] // http://csis.org/. - CSIS Center for Strategic and
International Studies, 2014.
Lang, Serge. Algebra [Knjiga]. - [s.l.] : Addison-Wesley, 1993. - T. Third Edition.
Lewis James Andrew [Na mrei]. - Center for Strategic and International
Studies, 2014. - www.csis.org.
Lin, Shu and Daniel J. Costello, Jr. Error Control Coding: Fundamentals and
Applications. Englewood Cliffs [Knjiga]. - [s.l.] : Prentice-Hall, 1983.
M. van der Veen, T. Kevenaar, G.-J. Schrijen, T. H. Akkermans, and Fei Zuo
Face Biometrics with Renewable Templates [Radovi] // Proceedings of SPIE,
Volume 6072: Security, Steganography, and Watermarking of Multimedia
Contents VIII, Edward J. Delp III, Ping Wah Wong, Editors, 60720J. - San Jose :
[s.n.], 2006.
Matthieu Bloch, Joa o Barros Physical-Layer Security [Knjiga]. - Cambridge :
United States of America by Cambridge University Press, New York, 2011. - T. 1.
Maurer Ueli M. Secret Key Agreement by Public Discussion [Nauni radovi]. [s.l.] : IEEE TRANSACTIONS ON INFORMATION THEORY, VOL. 39, NO. 3, 1993.
Maurer Ueli M. Secret Key Agreement by Public Discussion [asopis]. - [s.l.] :
IEEE TRANSACTIONS ON INFORMATION THEORY, 1993. - 3 : T. 39.
Milan Milosavljevi, Jovan Jovanovi, Saa Adamovi, Marko arac,
Aleksandar Jevremovi i Vladislav Mikovi Protokol za generisanje i razmenu
apsolutno tajnih kriptolokih kljueva putem javnih kanala u savremenim
raunarskim mreama [Radovi] // 57 konferencija ETRAN 2013. - Zlatibor 0307 : [s.n.], 2013.
Mladen Veinovi, Saa Adamovi Kriptologija 1 [Knjiga]. - Beograd : Univerzitet
Singidunum, 2013. - T. 1.
Kriptologija 2
216
N. M. Abramson. Information Theory and Coding. [Knjiga]. - New York : McGrawHill, 1963.
Nagarajan Rajagopal / Papanikolaou Nikolaos Classical Security Protocols for
QKD Systems [Nauni radovi]. - [s.l.] : Department of Computer Science, The
University of Warwick.
P. Tuyls, A. H. M. Akkermans, T. A. M. Kevenaar, G.-J. Schrijen, A. M. Bazen,
and R. N.J. Veldhuis. Practical Biometric Authentication with Template
Protection [Radovi] // 5th International Conference, AVBPA. - Newyork : [s.n.],
2005. - str. 20-22.
R. Adler. Ergodic and mixing properties of infinite memory channels [Radovi]. [s.l.] : Proc. Amer. Math. Soc, 1961. - 12:924-930.
R.L. Rivest A. Shamir, and L. Adleman* A Method for Obtaining Digital
Signatures and Public-Key Cryptosystems [Nauni radovi]. - New York, NY :
Communications of the ACM, 1978. - 10.1145/359340.359342.
Raymond W Yueng A new Outlook on Shannon Information Measures
[Radovi] // IEEE Transactions on IT. - 1991. - T. 37.
Sanjay K, Danielle C, Emine K, Dijana P.D, and Bernadette D. Three Factor
Scheme for Biometric-Based Cryptographic Key Regeneration Using Iris
[Radovi]. - France : TELECOM & Management SudParisEvry, 2008.
SciEngines Break DES in less than a single day [Na mrei]. - SciEngines, 2009. 23 April 2013. - http://www.sciengines.com/company/news-a-events/74-desin-1-day.html.
Shannon C. E. A mathematical theory of communication [asopis] // Bell System
Tehnical Journal. - 1948. - str. 379-423.
Shannon Claude Communication Theory of Secrecy Systems [Nauni radovi]. [s.l.] : Bell System Technical Journal 28, 1949. - 656715.
Simmons G. J. Authentication theory/coding theory, in Advances in Cryptology
[Knjiga]. - [s.l.] : CRYPTO '84, 1985. - T. Lecture Notes in Computer Science 196 .
Kriptologija 2
217
Stamp Mark Information security [Knjiga]. - [s.l.] : A John Wiley & Sons, INC.,
Publiciation, 2005. - T. Second Edition.
T.C. Clancy, N. Kiyavash, D.J. Lin Secure Smart Card-Based Fingerprint
Authentication [Radovi] // Proc. 2003 ACM SIGMM Workshop Biometrics
Methods and Application (WBMA). - 2003.
Timothy I. Calver Captain, USAF AN EMPIRICAL ANALYSIS OF THE CASCADE
SECRET KEY RECONCILIATION PROTOCOL FOR QUANTUM KEY DISTRIBUTION
[Nauni radovi]. - [s.l.] : AIR FORCE INSTITUTE OF TECHNOLOGY, 2011. AFIT/GIR/ENV/11-S01.
U. Martini, S. Beinlich. Virtual PIN: Biometric Encryption Using Coding Theory.
BIOSIG: Biometric and Electronic Signatures [Radovi] // the 1st Conference on
Biometrics and Electronic Signatures of the GI Working Group BIOSIG. Darmstadt : [s.n.], 2003. - str. 9199.
Van Lint, J. H. Introduction to Coding Theory [Knjiga]. - [s.l.] : Springer-Verlag,
1982.
Xavier Boyen, Voltage Security, Palo Alto Reusable Cryptographic Fuzzy
Extractors [Radovi] // In 11th ACM Conference on Computer and
Communications Security (CCS 2004). - New York : ACM Press, 2004. - str. 82-91.
Y. Dodis, L. Reyzin, A. Smith Fuzzy Extractors: How to Generate Strong Keys
from Biometrics and Other Noisy Data [Radovi] // Eurocrypt 2004. - [s.l.] :
Eurocrypt 2004, 2008. - str. 523-540.
Kriptologija 2
218
DODATAK HRONOLOKI PREGLED OBJAVLJENIH INCIDENATA NA

INTERNETU U PERIODU OD 2006. DO 2012. GODINE.
U ovom poglavlju prikazaemo hronoloki najvee i najuspenije napade na vladine institucije i visoko tehnoloke kompanije. Ove napade moemo okarakterisati kao visoko tehnoloki kriminal koji dovodi do gubitka vie stotina miliona
dolara. Svakako, ovim izvetajem nisu obuhvaeni svi incidenti, neki napadi ostanu tajna velikih kompanija, koje tako ele da zatite svoj ugled na tritu.
Maj 2006. Mrea dravnog sektora je hakovana, re je o nepoznatim stranim
uljezima, koji su preuzeli terabajte podataka. Kineski ili ruski pijuni su fiziki
pristupili dravnom sektoru, onesposobili uvare, pristupili kabinetima sa fajlovima. Ovakav akt ima sve inove rata. Ovaj dogaaj vezan je za cyber prostor i
teko se moe detektovati.
Avgust 2006. Vii slubenik vazduhoplovstva javno je izjavio Kina je preuzela
10 do 20 terabajta podataka iz NIPRNet (ne klasifikovana vojna mrea)".
Novembar 2006. Haker pokuao da prodre u ameriku vojnu mreu, to je dovelo do zatvaranja institucije na dve nedelje, a zaraene maine su obnovljene.
Decembar 2006. NASA je bila primorana da blokira emajlove sa prilozima pre
lansiranja svemirskog broda, zbog straha da e biti hakovan lansirni centar. Kasnije, mediji su objavili da su planovi o najnovijim amerikim svemirskim letilicama bili dostupni nepoznatim stranim uljezima.
April 2007. Ministarstvo trgovine je moralo da angauje biro za industrijsku
bezbednost u oflajn mreama na nekoliko meseci, jer je mrea hakovana os strane nepoznatih stranih uljeza. Biro za bezbednost je uradio reviziju poverljivih
informacija i naina za raspolaganje sa njima.
Maj 2007. Univerzitet nacionalne odbrane je morao da obustavi rad sistema elektronske pote, zbog hakerskog napada od strane nepoznatih hakera, koji su
uspeli da postave pijunske softvere..
Maj 2007. Estonske vladine mree su bile onemoguene u pruanju usluga od
strane nepoznatih uljeza, najverovatnije po nalogu ruske vlade. Neki vladini
Internet servisi su bili privremeno obustavljeni, kao i Internet bankarstvo. Ovaj
Kriptologija 2
219
napad je okarakterisan kao visoko tehnoloki napad, ne samo kao napad onesposobljavanja nekih servisa. Estonci su odgovorili veoma dobro. Meutim, stvorili
su talas straha u cyber zavisnim zemljama poput U.S.
Jun 2007. Sekretar odbrane je preko naloga elektronske pote bio rtva hakerskog napada, nepoznatih napadaa, kao i deo veeg niza napada za pristup i iskorienje ranjivosti mree.
Avgust 2007. Britanska sluba bezbednosti, Kancelarija francuskog predsednika
i nemake kancelarke Angele Merkel, bila je rtva hakerskih napada, koji su prepoznati kao napadi iz Kine. Merkelova je ak uputila zvanino pitanje predsedniku Kine.
Septembar 2007. Izrael je prekinuo rad sirijske mree za vazdunu odbranu,
navodno tokom bombardovanja sirijskog nuklearnog postrojenja.
Septembar 2007. Frensis Delon, generalni sekretar za narodnu odbranu u Francuskoj, izjavio je da su se u francuske informacione sisteme infiltrirale grupe iz
Kine.
Septembar 2007. Britanske vlast saoptile sa da su hakeri, za koje veruju da
dolaze iz Kineske Narodnooslobodilake armije, prodrle u mreu spoljnih poslova
i drugih kljunih odeljenja.
Oktobar 2007. Kinesko ministarstvo dravne bezbednosti dalo je izjavu da su
strani hakeri, 45% iz Tajvana i 25% iz SAD-a, pribavljali informacije iz kineskih
kljunih oblasti. U 2006, Kina je saoptila da su u mreama CASIC-a (engl. China
Aerospace Science & Industry Corporation) pronaeni pijunski softveri tajnih
slubi i korporativnih lidera.
Oktobar 2007. Vie od hiljadu zaposlenih u ORNL-u (engl. Oak Ridge National
Labs) dobilo je elektronsku potu sa prilogom koji kada se otvori, prua mogunost nepoznatom napadau da pristupi njihovim bazama podataka.
Novembar 2007. Donatan Evans, ef britanske slube bezbednosti (MI5), upozorio je 300 poslovnih firmi o poveanju Internet pretnji iz ruskih i kineskih
dravnih organizacija, govorei, veliki broj zemalja izvaja dosta vremena i energije da pribavi nae vane informacije o civilnim i vojnim projektima, na ovaj na-
Kriptologija 2
220
in dolaze do politike i vojne inteligencije na na raun. Oni e u budunosti razvijati sve vie sofisticiranih visoko tehnolokih napada, koristei Internet za upad
u mree".
Januar 2008. Zvaninik CIA je izjavio, da agencija pouzdano zna za etiri incidenta u inostranstvu, gde su hakeri izazvali ili mogli da ometaju elektro napajanje za
etiri grada.
Mart 2008. Junokorejski zvaninici tvrde da je Kina pokuala da upadne u korejske ambasade i vojne mree.
Mart 2008. Ameriki zvaninici izjavili da su amerike, evropske i japanske
kompanije doivele znaajne gubitke intelektualne svojine i poslovnih informacija preko napada u vidu industrijske pijunae u cyber prostoru.
April Oktobar 2008. WikiLeaks izvestio da su hakeri uspeno ukrali 50 megabajta elektronske poto sa priloenom dokumentacijom, kao i kompletan spisak
korisnikih imena i lozinki iz neutvrene vladine organizacije. Pretpostavlja se da
neki od napada potie iz angaja, sedite hakerske grupe povezane sa PLATD (Peoples Liberation Armys Third Department).
Maj 2008. Indijski vesnik izvestio da je indijski zvaninik optuio Kinu za hakerisanje vladinih raunara. Zvaninik je izjavio da je jezgro kineskih napada skeniranje i mapiranje slubenih mrea Indije za pristup sadraju kako bi se planirale
mogunosti za spreavanje rada mree tokom sukoba.
Jun 2008. Mrea nekoliko kongresnih kancelarija je hakovana od strane nepoznatih stranih uljeza. Neke infiltracije ukljuuju i kancelarije koje se bave interesima ljudskih prava na Tibetu.
Leto 2008. Baze podataka, Demokratske i Republikanske predsednike kampanje su hakovane i preuzete od strane stranih nepoznatih uljeza.
Leto 2008. Marathon Oil, ExxonMobil i ConocoPhillips su hakovane. Kompanije su
izgubile poslovne podatke o vrednosti i lokacijama naftnih polja irom sveta. teta je bila ogromna, procenjuje se na milione dolara.
Avgust 2008. Raunarske mree u Gruziji su hakovane od strane nepoznatih
uljeza, najverovatnije po nalogu ruske vlade. Ispisani su brojni grafiti po gruzijKriptologija 2
221
skim sajtovima. Dolo je do prekida usluga kod razliitih servisa, ovo je bio pritisak na gruzijsku vladu, koordinisan sa ruskim vojnim akcijama.
Oktobar 2008. Policija otkrila visoko sofisticirani napad na lanac snabdevanja sa
itaima kreditnih kartica napravljenim u Kini, koji su korieni u Velikoj Britaniji
u supermarketima, a u sebi su imali beine ureaje. Ureaj pravi kopije kreditnih kartica, skladite podatke i prenosi podatke jednom dnevno preko beine
mree do Lahorea u Pakistanu. Gubitak je bio 50 miliona dolara, a moda i vie.
Ureaj je mogao biti podeen da prikuplja podatke samo sa odreene vrste kartica, kao to su zlatne kartice.
Novembar 2008. Hakeru upali u mree Kraljevske banke u kotskoj. Uspeli su da
kloniraju 100 kartica za bankomate i tako povuku sa rauna u banci preko 9 miliona dolara, iz 49 gradova irom sveta.
Novembar 2008. Klasifikovane mree DOD i CENTCOM bile su hakovane od nepoznatih stranih uljeza. Da bude jo gore, bilo je potrebno nekoliko dana da izbaci
uljeza i ponovo obezbedi mree.
Decembar 2008. Maloprodaja giganta TJX je hakovana. Jedan haker je uhvaen i
osuen, kasnije je izjavio da su stekli 11 miliona dolara hakerskim radom.
Decembar 2008. ak i mali CSIS (CSIS.org) je hakovan od strane nepoznatih uljeza. eleli su da pristupe elektronskoj poti zaposlenih i tako da itaju vesti unapred.
2008. Britanski poslanici su upozoreni na elektronsku potu koju dobijaju od
Evropskog parlamenta, zbog strahovanja da bi mogli da se iskoriste od strane
kineskih hakera, koji bi mogli da ugrade u potu viruse.
Januar 2009. Hakeri napali Internet infrastrukturu u Izraelu tokom vojne ofanzive u pojasu Gaze u januaru 2009. Napad je fokusiran na vladine sajtove, sa najmanje 5.000.000 raunara. Izraelski zvaninici su verovali da je napad sprovela
kriminalna organizacija iz biveg Sovjetskog Saveza, a plaa Hamas ili Hezbolah.
Januar 2009. Indijski zvaninici su upozorili da su pakistanski hakeri umetali
malvere na popularnim sajtovima za preuzimanje muzike.
Kriptologija 2
222
Februar 2009. FAA (Federal Aviation Administration's) raunarski sistem je hakovan. Poveana upotreba FAA mree, takoe poveava rizik od namernog prekida komercijalnog vazdunog napada..
Februar 2009. 600 raunara u Ministarstvu spoljnih poslova Indije je hakovano.
Februar 2009. Francuski mornarica je otkrila da su baze podataka na nosaima
aviona bile zaraene virusom confickr". Zvaninici mornarice su otkrili da je neko koristio zaraen USB.
Mart 2009. Nemaka vlada je upozorila da su hakeri nude besplatnu verziju
Mikrosoftovog operativnog sistema koji instalira trojance.
Mart 2009. Kanadski istraivai pronali pijunski raunarski sistem za koji oni
veruju da Kina implementira na dravnim mreama u 103 zemlje sveta.
Mart 2009. Izvetaji u tampi objavili planove marinaca (Marine Corp 1.), novog
predsednikog helikoptera (amerikog predsednika), na Iranskim mreama za
deljenje podataka.
April 2009. Vol Strit asopis je izloio sve veu ugroenost elektrine mree u
SAD, zbog visoko sofisticiranih napada. Takoe, je obelodanio upade u F-35 baze
podataka od strane nepoznatih napadaa.
April 2009. Premijer Ben iabao je izjavio da je haker iz Tajvana pristupio raunarima kineskog Nacionalnog saveta, koji poseduje nacrte njegovog izvetaja o
ljudima Nacionalnog Kongresa.
April 2009. Kineski hakeri navodno se infiltrirali u Ministarstvo finansija June
Koreje, preko virusa u elektronskoj poti koji su doli od osoba od poverenja.
Maj 2009. U maju 2009., Merik banka (Merrick Bank), vodei izdava kreditnih
kartica, tvrdi da je ona izgubila 16 miliona dolara, nakon kompromitovanja ak
40 miliona kreditnih kartica i rauna.
Maj 2009. HSIN (Homeland Security Information Network) je hakovana od strane
nepoznatih uljeza. Hakeri su dobili pristup podacima i veina podataka je preuzeta.
Kriptologija 2
223
Jun 2009. Don Hopkins Univerzitet za primenjenu fiziku, na kome se vode istraivanja za Ministarstvo odbrane i NASA, bilo je primorano na nekoliko svojih
mrea privremeno ugasi.
Jun 2009. Nemaki ministar unutranjih poslova Volfgang ojble istakao, prilikom predstavljanja bezbednosnog izvetaja 2008, Kina i Rusija su poveale pijunske napore i Internet napade nad nemakim kompanijama.
Jul 2009. Ponovo visoko sofisticirani napadi na sajtove SAD i june Koreje, ukljuujui i jedan broj vladinih sajtova, pokrenuti od strane nepoznatih hakera. Juna
Koreja optuila Severnu Koreju da stoji iza DoS napada. DoS napadi ne remete
ozbiljno slubu, ve traju nekoliko dana i privlae veliku medijsku panju.
Avgust 2009. Albert Gonzales je optuen da je izmeu 2006 i 2008, on i neidentifikovani ruski ili ukrajinski kolega, ukrali vie od 130 miliona kreditnih i debitnih
kartica, hakovanjem 5 sistema velikih kompanija. To je bio najvei hakerski napad u istoriji krae identiteta u SAD.
Avgust 2009. Ehud Tenenbaum je osuen za krau 10 miliona dolara iz amerikih banaka. Tenengaum je poznat po hakovanju DOD-ovih raunara u 1998, to je
rezultiralo osudom izreenom u jednoj reenici od est meseci drutveno korisnog rada iz izraelskog suda.
Novembar 2009. Jean-Pascal Impersele, potpredsednik Meuvladinog panela
Ujedinjenih nacija o klimatskim promenama, pripisuje hakerisanje i oslobaanje
hiljade mejlova sa Univerziteta za klimatska istraivanja Rusiji kao deo zavere da
se podriju razgovori u Kopenhagenu o klimatskim promenama.
Decembar 2009. Vol Strit asopis objavio da je veliki broj amerikih banaka hakovan, i da se tako gube desetine miliona dolara.
Decembar 2009. Amerike bespilotne letilice hakovane od strane irakih pobunjenika, ostvarili upad u prikupljene materijale nakon misije.
Januar 2010. U Velikoj Britaniji MI5 sluba bezbednosti je upozorila tajne obavetajne oficire iz Narodnooslobodilake vojske i Ministarstva javne bezbednosti
da ne uzimaju sa privrednikih sajmova poklone u vidu kamera i memorijskih
Kriptologija 2
224
medija, koji sadre malver koji prua kinezima udaljeni pristup raunarima korisnika.
Januar 2010. Upad u google mreu, kao i u 30 drugih amerikih kompanija. Cilj
prodora, koji se pripisuje Kini, bio je prikupljanje informacija o tehnologiji, pristup elektronskoj poti GMAIL i sistemima za upravljanje lozinkama.
Januar 2010. Morgan Stanley globalna firma za pruanje finansijskih usluga,
doivela je vrlo osetljiv upad u svoje mree od strane istih kineskih hakera koji su
napali google raunare u decembru 2009, na osnovu procurele elektronske pote
bezbednosnih kompanija koje rade za banku.
Januar 2010. Naraianan (M. K. Narayanan), savetnik za nacionalnu bezbednost
Indije, rekao je da njegova kancelarija i drugih vladinih odeljenja napadnuta od
strane kineza 15. decembra. Naraianan je rekao da to nije prvi pokuaj da se prodre u raunare Indijske vlade.
Januar 2010. Grupa pod nazivom "Iranian Cyber Army" onesposobila popularni
kineski pretraiva Baidu. Korisnici su preusmereni na stranicu koja prikazuje
iransku politiku poruku. Ranije, iste napadai su upali u Twitter u decembru i sa
slinom porukom.
Januar 2010. Intel objavio da je pretrpeo napad, otprilike u isto vreme kad i Google, Adobe i drugi. Hakeri su iskoristili ranjivost u softveru Internet Explorer. Intel
je objavio da nije imao gubitke u vidu intelektualne svojine ili novca.
Mart 2010. NATO i EU upozorila da se broj napada protiv njihovih mrea znaajno poveao u proteklih 12 meseci. Proglasili su Kinu i Rusiju za najvee protivnike.
Mart 2010. Google je objavio da je pronaao malver usmeren na vijetnamske
korisnike raunara. Google navodi da nije bio zlonameran, ve korien za pijunau. Malver je ugraen u dodatak operativnog sistema za Vijetnamski jezik.
Mart 2010. Australijske vlasti objavile da je bilo vie od 200 pokuaja za upad u
mreu pravnog tima za Rio Tinto. Cilj je bio pribavljanje dokumentacije o strategiji odbrane na suenju.
Kriptologija 2
225
April 2010. Kineski hakeri provalili u navodno tajni dosije Indijskog Ministarstva
odbrane i indijske ambasade irom sveta, a u cilju pristupa indijskim raketama i
oruanim sistemima.
Mart 2010. Nepoznati hakeri objavili stvarne prihode Litvanskih vladinih zvaninika, preko pristupa sistemu poreske evidencije.
April 2010. Kineska telekomunikaciona kompanija sluajno emituje pogrene
informacije za oko 37,000 mrea, uzrokujui Internet saobraaj koji se pogreno
prosledio kroz Kinu. Incident je trajao 20 minuta, a saobraaj je izloen na 8,000
amerikih mrea, 8,500 kineskih mrea, 1,100 australijskih mrea i 230 francuskih mrea.
Maj 2010. Kanadska sluba bezbednosti upozorila na moguu pijunau na svim
nivoima drave (Vlada Kanade, kanadski univerziteti, privatne kompanije i individualne mree klijenata).
Juli 2010. Ruski obavetajni agent (Aleksej Karetnikov), uhapen je i deportovan
nakon devet meseci rada u Microsoft odeljenju za testiranje softvera.
Oktobar 2010. Otkriven paket zlonamernih programa (Stuxnet) u Iranu, Indoneziji i na drugim mestima, dizajniran da ometa simensovo industrijsko postrojenje.
Sve je na kraju dovedeno u vezu sa kontrolom iranskog nuklearnog programa.
Oktobar 2010. Vol Strit u svom asopisu objavio da hakeri koriste Zevs malver,
dostupan u visoko tehnolokim kriminalnim krugovima crnog trita za oko 1200
dolara. Sa tim programom bili su u stanju da ukradu vie od 12 miliona dolara od
pet banaka u SAD i UK. Zevs koristi hiper linkove iz elektronske pote za krau
informacija o raunu, a kasnije ih koristili za transfer novca na bankovne raune.
Kasnije je uhapena grupa kriminalaca koja je otvarala lane raune u bankama
preko kojih su krali novac.
Oktobar 2010. Ministarstvo Odbrane Australije prijavilo ogroman porast napada
na vojsku. Australijski ministar odbrane, Don Fokner otkriva da je bilo 2400
incidenata na mrei u 2009-toj i 5551 incident izmeu januara i avgusta 2010.
Kriptologija 2
226
Decembar 2010. Britanski ministar spoljnih poslova Vilijam Hejg prijavio napade strane sile na ministarstva spoljnih poslova, odbrane i drugih institucija od
velikog znaaja, kao i teku odbranu zbog pretvaranja da dolaze iz Bele kue.
Decembar 2010. Indijski Centralni istrani biro (CBI) sajt (cbi.nic.in), hakovan je
tako to su podaci izbrisani. Indija optuuje pakistanske hakere. Meutim vani
podaci CBI-a bili su uskladiteni na raunarima bez Internet pristupa.
Januar 2011. Hakeri upali berzu Evropske unije, omoguili kupovinu i prodaju
akcija i tako uspeli da ukradu vie od 7 miliona dolara. Trite je bilo primorano
na privremeno zatvaranje.
Januar 2011. Hakeri izvukli 6,7 miliona dolara iz June Afrike banke preko novogodinjih praznika.
Januar 2011. Kanadska vlada prijavila veliki napad na svoje organe. Napad fokusiran na Ministarstvo finansija i trezor. Privremeno su prekinute veze sa Internetom u cilju spreavanja tete prouzrokovane napadom. Kanadski izvori pripisuju
napad na Kinu.
Mart 2011. Hakeri upali u Francusku raunarsku mreu vlade, u potrazi za poverljivim informacijama o predstojeim sastancima grupe G-20.
Mart-April 2011. Izmeu marta 2010 i aprila 2011, FBI je identifikovao 20 incidenata u kojima su onlajn bankarski akreditivi malih i srednjih preduzea u U.S.
kompromitovani i korieni za inicijalni transfer u kinesku ekonomiju preko
trgovakih kompanija. Od aprila 2011 ukupan pokuaj prevare iznosi oko 20 miliona dolara, stvarni gubici su 11 miliona dolara.
Mart-April 2011. Hakeri koriste tehnike pecanja u pokuaju da dobiju podatke
ako bi kompromitovali RSA "Secure ID", tehnologiju za autentifikaciju. Zabeleeni
sluajevi prodora u kompanijske mree na osnovu prethodno pribavljenih podataka.
April 2011. Google prijavio napad tehnikom pecanja, koji je doveo do kompromitovanja stotine gmail lozinki istaknutih ljudi, ukljuujui i visoke amerike zvaninike. Google pripisuje napad Kini.
Kriptologija 2
227
April 2011. Zaposleni u nacionalnoj laboratoriji (Oak ridge National Laboratory)

primili su lanu elektronsku potu sa zlonamernim prilozima. Dve maine su inficirane i nekoliko megabajta podataka je preuzeto pre nego to su raunari laboratorije iskljueni sa mree.
Maj 2011. Hakeri maskirani kao lanovi grupe anonimus prodrli u mreu
PlayStation. Soni je izjavio da je kompromitovano podataka za vie od 80 miliona
korisnika ili iskazano u novcu 170 miliona dolara.
Juni 2011. Mree IMF-a su bile ugroene od stranih vlada. Napadai su koristili
lanu elektronsku potu sa zlonamernim prilozima i tako dobavili ogromnu koliinu podataka.
Juni 2011. Citibank izvestila da su podaci kreditnih kartica od svojih 360000
klijenata preuzeti koristei relativno jednostavnu manipulaciju sa URL-ovima.
Juli 2011. Zamenik sekretara Ministarstva odbrane za strategiju protiv visoko
tehnolokog kriminala, saoptio je da je ministarstvo hakovano i da je preuzeto
28000 fajlova.
Juli 2011. Nemaka Federalna policija zajedno sa Saveznom carinskom slubom
je otkrilo da su hakeri upali na servere GPS sistema koji se koriste za lociranje
ozbiljnih kriminalaca i osumnjienih za terorizam. Serveri su morali da se privremeno ugase kako bi se spreilo dalje gubljenje podataka.
Juli 2011. Juna Koreja objavila da su hakeri iz Kine prodrli preko Internet portala i ostvarili pristup telefonskim brojevima, adresama elektronske pote i drugim
podacima za 35 miliona Korejaca.
Avgust 2011. Prema izvorima japanske vlade, na udaru su se nale velike visoko
tehnoloke kompanije. Cilj je bio izvlaenje poverljivih informacija. Upad je
ostvaren preko zlonamernih priloga elektronske pote.
Avgust 2011. Kineski hakeri su preko trojanaca hakovali 480 lanova japanskog
zakonodavnog tela.
Septembar 2011. Nepoznati napadai hakovali holandsko CA (engl. Certificate
Authority), to im je omoguilo da izdaju vie od 500 lanih sertifikata velikih
kompanija i vladinih agencija. Sertifikati se koriste za proveru originalnosti sajta.
Kriptologija 2
228
Izdavanjem lanog sertifikata, napada moe da pretenduje da bude bezbedan

njegov sajt, preko koga moe da preuzme elektronsku potu ili instalira zlonamerni program. Ovo je drugi pokuaj u 2011 godini da je hakovan CA.
Septembar 2011. Australijska uprava za odbranu izjavila je da su mree odbrane napadnute vie od 30 puta dnevno, uz poveanje napada za vie od 350% do
2009. godine.
Septembar 2011. Raunarski virus iz nepoznatog izvora uveden na teren kontrolnih stanica U.S. vazdunih snaga. Prema izvetajima zaraena je mrea vazduhoplovne baze u Nevadi. SAD nije izgubio kontrolu nad letilicama, niti je nestao
neki podataka, ali je bilo vie zlonamernih pokuaja.
Oktobar 2011. Mree od 48 kompanija iz hemijske industrije su hakovane sa
ciljem pribavljanja intelektualne svojine. Proizvoai antivirusa (Symantec) su
napade vezali za Kinu.
2011. Norveka agencija za nacionalnu bezbednost (NSM), izvetava da je hakovano najmanje 10 energetskih kompanija. Napadi su posebno skrojeni za svaku
kompaniju, koristei tehnike pecanja preko elektronske pote. NSM je rekao da su
napadi doli u vreme kada su se vodili pregovori oko velikih ugovora. Hakeri su
pristupili poverljivim dokumentima, industrijskim podacima, korisnikim imenima i lozinkama.
Decembar 2011. Hakeri su potpuno prodrli vie od godinu dana u mreu Amerike privrednu komoru. Hakeri su imali pristup svemu u Privrednoj komori, raunarima i informacijama o industrijskoj poziciji U.S.
Mart 2012. Generalni inspektor NASE izvestio da je napad APT (Advanced persistent threat) uspeno kompromitovao NASA raunare u 2011. u jednom napadu
uljezi su akreditive od 150 korisnika, koje su mogli da koriste za neovlaen pristup sistemima NASA.
Mart 2012. BBC izvestio o visoko tehnolokom napadu koji je imao cilj da onesposobi BBC. Generalni direktor BBC okrivio je Iran za incident.
Kriptologija 2
229
Mart 2012. Indijski ministar za komunikacije i informacione tehnologije otkrio u

pisanom odgovoru na poslaniko pitanje, kojih je 112 vladinih sajtova bilo ugroeno od decembra 2011 do februara 2012. Veina incidenata potie iz Pakistana.
Mart 2012. U.S. Ministarstvo za nacionalnu bezbednost izdalo je upozorenje o
napadima na amerike gasovode.
April 2012. Iran bio primoran da iskljui kljuna naftna postrojenja nakon hakerskog napada na interne kompjuterske sisteme. Malver je pronaen unutar
kontrolnih sistema Kharg Island - Glavni iranski terminal za izvoz nafte. Svi raunarski sistemi su bili iskljueni zbog napada, kao mera predostronosti Iran je
izvestio da napad nije uticao na proizvodnju nafte.
Maj 2012. Zvaninici UK rekli za novine da je bilo nekoliko manjih upada u njihove
slubene mree.
Maj 2012. pijunski program pod nazivom "plamen", otkriven je na raunarima iranskog Ministarstva za energetiku, kao i u drugim zemljama bliskog istoka, ukljuujui
Izrael, Siriju, Sudan i druge zemlje irom sveta.
Maj 2012. Istraivai na Univerzitetu u Torontu izvestili o verziji softvera Simurgh,
koga anonimne mree koriste, a popularan je u zemljama kao to su Iran i Sirija u cilju
izbegavanja vladine kontrole Interneta. Takoe, instalira program za pijunau koji
pribavlja korisnika imena i lozinke.
Juni 2012. Akcija pecanja na Internetu usmerena na U.S. strunjake avio industrije
koji su prisustvovali 2013. na IEEE konferenciji za vazduhoplovstvo.
Juni 2012. Organizovana prevara na svetskom nivou upotrebom verzija programa
SpyEye i Zeus Trojans. Na udaru su bili lini podaci, korporativni nalozi za pristup
sistemima i zaobilaenje dvo-faktorske autentifikacije..
Juni 2012. ef britanske slube bezbednosti izjavio da je jedna londonska kompanija
izgubila na proceni 1,2 milijarde dolara, kao rezultat Internet napada.
Juli 2012. Grupa iz angaja povezana sa narodno oslobodilakom vojskom (PLA) uspela je da pribavi podatke od predsednika Evropskog saveta, UK firme za odbrambena
istraivanja (Qinetiq) i drugih komercijalnih entiteta u USA, Evropi i Indiji.
Kriptologija 2
230
Juli 2012. Trojanac zvani Mahdi" otkriven u vie od 800 inenjerskih firmi, vladinih
agencija, finansijskih kua i akademija irom Bliskog istoka i ire, uglavnom u Izraelu i
Iranu. Virus je sadrao sekvence na persijskom jeziku.
Juli 2012. Indijski zvaninici su potvrdili postojanje virusa koji prikuplja podatke iz
vanih raunarskih sistema u tabu Istone pomorske komande. Podaci su prosleeni
na kineske IP adrese. Virus je kako se navodi dospeo preko zaraenih USB memorija,
koji su korieni za prenos podataka sa raunara na kojima su se nalazili vani podaci.
Juli 2012. Direktor NSA, izjavio je da je dolo do poveanja za vie od 17 puta, broja
napada na amerikim infrastrukturnim preduzeima izmeu 2009 i 2011.
Juli 2012., Preko 10,000 adresa elektronske pote indijskih zvaninika sa vrha vlasti je
bilo ugroeno, ukljuujui i zvaninike u Kancelariji premijera, odbrane, spoljnih
poslova i finansija, kao i obavetajnih agencija.
Avgust 2012. Malver zvani Gauss zarazio 2.500 sistema irom sveta. Gauss je imao
za cilj da ugrozi libanske banke. Ovaj virus sadri kod koji jo nije poznat, jer ifra jo
nije razbijena (napadai nepoznati).
Avgust 2012. Grupa nazvana Cutting Sword of Justice povezana sa Iranom koristi
Shamoon virus za napad na Aramaco (glavni snabdeva saudijske nafte), obrisani su
podaci na preko 30,000 raunara i zarazi kontrolne sisteme (bez izazivanja tete).
Napad je takoe uticao i na katarske kompanije RasGas. Verovatno su zaraene i
druge naftne kompanije.
Septembar 2012. Izz ad-Din al-Qassam, hakerska grupa povezana sa Iranom, pokrenula operaciju Ababil ciljajui na bakarske sajtove i druge U.S. finansijske institucije.
Oktobar 2012. Upotrebom malvera od 2007 hakeri prikupljaju informacije o ciljevima
u Istonoj Evropi, bivem SSSR-u i Centralnoj Aziji, zajedno sa ciljevima u Zapadnoj
Evropi i Severnoj Americi. Informacije se prikupljaju najvie iz ambasada, istraivakih
firmi, vojnih infrastruktura, energetskih, nuklearnih i dugih kritinih infrastruktura.
Kriptologija 2
231
RENIK POJMOVA
A
AES - Advanced Encryption Standard. Blokovska ifra sa simetrinim kljuem, standardizovana od strane NIST-a. Pripada grupi modernih ifara. Duina kljua je 128, 192, i 256 bitova.
ASCII - ameriki kodni standard za razmenu informacija. Ove kodove koristi veliki broj raunarskih sistema za prevoenje karaktera u binarne brojeve.
Algoritam - opis za reavanje nekog problema.
Asimetrini ifarski sistemi sistemi sa javnim i privanim kljuem. Primer ovog tipa algoritama je RSA koji se koristi za ifrovanje i digitalno potpisivanje.
B
Biometrija - tehnika za autentifikaciju koja koristi jedinstvene fizike karakteristike nekog pojedinca. Postoje razliiti tipovi biometrije.
Biometrijski templejt - digitalizovana fizika karakteristika nekog pojedinca za odreeni biometrijski izvor koji se koristi za autentifikaciju date
osobe.
Binarna sekvenca - niz karaktera (jedinica i nula) ili binarni niz.
Blok kod neprazan skup rei koje su iste duine, predstavlja strukturu
red.
Kriptologija 2
232
V
VOIP - protokol koji se koristi za digitalizaciju govora, pakovanje i slanje
preko TCP/IP veze.
Vizuelna kriptografija - specijalna tehnika ifrovanja koja omoguava
skrivanje informacija na slici, na takav nain da se moe deifrovati ljudskim okom bez upotrebe raunara.
Venona - predstavlja One-time pad u realnosti. Koristila ga je sovjetska pijunska mrea koja je formirana na teritoriji SAD 1940-tih.
G
GSM - globalni sistem za telekomunikacije. Internacionalni standard za satelitske telefone.
D
DES - Data Encryption Standard. Blokovska ifra sa simetrinim kljuem
usvojena od strane NIST-a. Pripada grupi modernih ifara. Duina kljua je
56 bitova, prevazien je od strane AES-a.
Digitalni potpis - protokol koji koristi primalac poruke da bi verifikovao
poiljaoca poruke. Za verifikaciju se koristi javni klju poiljaoca. Obezbeuje servis neporecivosti.
Deifrovanje - proces transformacije ifrata u otvoreni tekst.
Digitalni vodeni peat - tehnika za zatitu autorskih prava digitalnih sadraja.
Difi-Helman - protokol namenjen za razmenu simetrinih kljueva preko
javnih komunikacionih kanala.
Kriptologija 2
233
E
Enigma - maina za ifrovanje iz familije mehanikih rotor maina. Koristile je nemake snage za vreme Drugog svetskog rata.
Entropija - mera za koliinu neodreenosti ili prosena koliina informacije koju sadre generisane poruke nekog informacionog izvora.
ECB - reim za ifrovanje kod blokovskih ifara u kom je svaki blok ifrata
potpuno nezavisan. Ovaj reim moe da bude nebezbedan.
I
Iris - ara irisa ili obojeni deo oka koji je prilino haotian (neodreen) ili
sluajan. Predstavlja biometrijski izvor sa visokim performansama.
Integritet - prevencija od neautorizovane izmene sadraja (poruke).
Informacioni izvor generator sekvence simbola koji predstavljaju poruke.
J
Javni klju - element sistema sa javnim kljuem ili javni klju nekog korisnika koji je dostupan svim korisnicima u mrei. Koristi se u fazi ifrovanja.
Jednosmerna funkcija - sam naziv kae da je funkcija neinvertibilna, ako
je
y f ( x) , tada je x f ( y) . He funkcije su vrsta jednosmernih funkcija.
K
Kapacitet kanala - maksimalna prosena koliina informacija na izlazu
kanala koja je jednaka koliini informacije na ulazu.
Kriptologija 2
234
Kodna re - binarna sekvenca kojom je predstavljen simbol izvorne poruke.

Kriptoanaliza - umetnost i nauka o razbijanju ifrovanih poruka.
Komunikacioni kanal - formalizacija ta se deava u prenetoj poruci
izmeu predajne i prijemne strane.
Kompletan kod - prefiksni kod ije kodno stablo ne sadri nekoriene
listove.
Kodovanje - transformacija simbola poruke u kodne rei.
Kriptoloki klju - binarna sekvenca vee duine, poseduje osobine sluajnih nizova. Koristi se kao poetno stanje algoritma u fazi ifrovanja i deifrovanja.
Kriptograf - lice koje dizajnira ifre.
Kriptoanalitiar - lice koje dizajnira metode za razbijanje ifara.
Kriptografija - nauka o pravljenju algoritama za ifrovanje.
Kriptoanaliza - nauka o razbijanju algoritama za ifrovanje.
L
LAN - lokalna mrea.
LFSR - linearni pomeraki registar sa povratnom spregom. Njegova uloga
se sastoji u generisanju pseudosluajnih sekvenci. Ima periodu (ponavlja se
nakon izvesnog vremena).
LSB - steganografska tehnika za ugraivanje tajnih poruka u podatak nosilac po principu zamene bitova sa najmanjim znaajem.
Lozinka - tajni akreditiv (string od proseno 8 karaktera) koji se koristi za
autenitfikaciju kod tradicionalnih sistema za autentifikaciju. Korisnik je u
Kriptologija 2
235
stanju da zapamti vise lozinki, dok kriptoloke kljueve nije mogue zapamtiti.
M
MAC - kod za proveru autentinosti poruke.
N
NIST - amerika federalna agencija za standarde i tehnologiju.
NSA - nacionalna agencija za bezbednost. Amerika agencija koja je odgovorna za bezbednost i kriptoanalizu elektronskih komunikacija.
O
One-time pad - perfektna ifra koja pripada grupi ifara sa simetrinim
kljuem. Klju je generisan na sluajan nain i ima jednaku duinu kao i poruka. Klju ne sme nikad da se ponavlja.
Otvoreni tekst - poruka u fazi ifrovanja ili rezultat funkcije za deifrovanje.
P
PGP - program za bezbednu elektronsku potu koji objedinjuje servise za
kriptografsku zatitu podataka i digitalno potpisivanje. Razvijen od strane
Fila Cimermana.
PKI - infrastruktura sa javnim kljuevima. Sadri bazu javnih kljueva preko kojih obezbeuje autentifikaciju u srednjim i velikim mreama.
Privatni klju - element sistema sa javnim kljuem ili tajna koju uva svaki
korisnik. Koristi se u fazi deifrovanja.
Kriptologija 2
236
Protokol - protokol je skup pravila koje razumeju i potuju strane u komunikaciji.

Poruka - podatak koji se razmenjuje preko komunikasionog kanala izmeu
predajne i prijemne strane. Moe da bude kodovana i u ifrovanoj formi.
Perfektna tajnost teorijski dokazan kriptografski mehanizam koji ne zavisi od raunarske snage.
PRNG - generator za generisanje pseudosluajnih brojeva na osnovu inicijalnog stanja koje je odreeno na sluajan nain.
R
RSA - kriptografski sistem sa javnim kljuem, patentiran od strane Rivesta,
amira i Adlemana 1976. Sigurnost RSA zasniva se na sloenosti faktorizacije velikih brojeva. Ima iroku primenu, implementiran je u PGP i SSL-u.
RC4 - sekvencijalna ifra sa simetrinim kljuem. Pripada grupi modernih
ifara. Duina kljua jednaka je poruci. Neki je nazivaju pseudoperfektna
ifra. Za generisanje kljua koristi se generator za pseudosluajne brojeve.
Pravila implementacije su skoro ista kao i kod perfektnih ifara.
S
Sertifikat - elektronski fajl, obino sadri javni klju koji je digitalno potpisan od Sertifikacionog tela. Sertifikati se koriste za autentifikaciju na Internetu.
Sertifikaciono telo - trea strana od poverenja koja potpisuje i distribuira
sertifikate.
SSL - iroko primenjeni zatitni protokol za autentivikaciju na Internetu
(Internet transakcije)
Simetrini klju - kriptoloki klju koji je identian na predajnoj i prijemnoj strani.
Kriptologija 2
237
Steganografija - nauka o skrivanju informacija u drugim bezazlenim podacima. est primer je skrivanje tekstualnog sadraja u neku sliku.
Stacionarni izvor informacioni izvor ija statistika ne zavisi od vremena.
Sesijski klju simetrini klju za jednokratnu upotrebu.
T
TCP/IP - protokol koji se koristi za prenos informacija u raunarskim mreama. TCP/IP je postao standard za sve mree povezane sa Internetom.
TDES - blokovska ifra sa simetrinim kljuem, usvojena od strane NIST-a.
Bazirana na sukcesivnoj aplikaciji tri DES algoritma sa razliitim kljuevima. Predstavlja ojaanje klasinog DES-a.
TRNG - generator sluajnih brojeva; ovakve generatore je mogue konstruisati u prirodnim informacionim izvorima.
F
Faktorizacija - rastavljanje velikih prostih brojeva na inioce iz skupa
prostih brojeva.
Fejstel ifra - nazvana po nemakom kriptografu Horstu Fejstelu (Horst
Feistel) koji je pionir u razvoju dizajna blokovskih ifara, radio je u IBM-u.
Ovo su bila inicijalna istraivanja koja su kulminirala razvoju DES (Data
Encryption Standard) algoritma 1970. godine. Fejstel ifra predstavlja dizajn blokovske ifre, a ne posebnu ifru.
H
Haker originalno se termin koristi za kreativnog programera koji razvija
programe za ilegalan pristup raunarskim mreama u cilju krae ili unitenja informacija. Dobar haker treba da poseduje dobre kriptoanalitike vetine.
Kriptologija 2
238
Hamingovo rastojanje - koristi se za odreivanje razlike izmeu dva niza

jednake duine.
He funkcije - funkcija koja generie skraenu verziju poruke. U kriptografskim aplikacijama he funkcije moraju da budu jednosmerne sa malom
verovatnoom da dve razliite poruke mogu da daju isti rezultat.
C
CRC - Cyclic Redudancy Check. Kod iroke primene, koristi se za detektovanje greaka. Obino pre deifrovanja, CRC se proverava.
CBC - reim za ifrovanje kod blokovskih ifara. Radi na principu ulanavanja blokova ifrata.
ifra - algoritam za ifrovanje. Mogu da postoje razliiti tipovi ifara.

Osnovne podele su na klasine i moderne, simetrine i asimetrine, apsolutno i praktino tajne.
ifrat - rezultat funkcije za ifrovanje ili transformacija otvorene poruke
koja je inverzna uz posedovanje pravog kljua.
ifrovanje - proces transformacije otvorenog teksta u ifrat.
Kriptologija 2
239
Na osnovu lana 23. stav 2. taka 7. Zakona o porezu na dodatu vrednost (Slubeni
glasnik RS, br. 84/2004, 86/2004 (ispr.), 61/2005, 61/2007 i 93/2012), Odlukom Senata Univerziteta Singidunum, Beograd, broj 260/07 od 8. juna 2007. godine, ova knjiga
je odobrena kao osnovni udbenik na Univerzitetu.
CIP -
,
003.26(075.8)
004.056.55(075.8)
, , 1952Kriptologija 2 / Milan Milosavljevi,

Saa Adamovi. - 1. izd. - Beograd :
Univerzitet Singidunum, 2014 (Loznica :
Mladost grup). - 239 str. : ilustr. ; 24 cm
Na vrhu nasl. str.: Fakultet za informatiku i

raunarstvo. - Tira 300. - Renik pojmova:
str. 232-239. - Bibliografija: str. 214-218.
ISBN 978-86-7912-537-8
1. , , 1985- []
a) b)
COBISS.SR-ID 205455116
2014.
Sva prava zadrana. Nijedan deo ove publikacije ne moe biti reprodukovan u bilo
kom vidu i putem bilo kog medija, u delovima ili celini bez prethodne pismene saglasnosti izdavaa.

Kriptologija 2

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Kriptologija 2

Uploaded by

Copyright:

Available Formats

UNIVERZITET SINGIDUNUM

Fakultet za informatiku i raunarstvo

Mudrost postavlja granice i spoznaji."

PREDGOVOR ...................................................................................................................... VII

OSNOVE KRIPTOGRAFSKIH PROTOKOLA .................................................. 58

3.2.2. Perfektna tajnost unapred .......................................................................... 70

3.2.3. Vremenski peat .............................................................................................. 75

SAVREMENI KRIPTOGRAFSKI PROTOKOLI ............................................... 91

4.4. Kerberos ........................................................................................................ 120

4.5. WEP .................................................................................................................. 126

BIOMETRIJA ......................................................................................................... 142

5.4.6. Motiv za uvoenje zatitnog koda i interlivera ................................ 184

LITERATURA ................................................................................................................... 214

riptologija 2 je udbenik koji je namenjen studentima Fakulteta za

Internet servisa u savremenom poslovnom svetu. Razumeemo njihov dizajn i

1.1. KRATKA ISTORIJA POLITIKE IFROVANJA

Veina ljudi ne koristi kriptografsku zatitu od kada je postala javno dostupna.

1.2. ULOGA FIZIKE, PRETPOSTAVKI I POVERENJA

Vreme obavljanja pojedinih raunarskih operacija;

Postoji vie naina da se sprei kompromitovanje ureaja od elektromagnetnog

1.3. ONTOLOGIJA DOMENA ZATITE

Slika 1.1 Status tehnologije

Doktrinarni dokumenti za 21. vek podjednako tretiraju vanost svih kriptolokih

Iako dananje stanje tehnike izlazi u susret neposrednim potrebama, jo

U izvetaju pored konstatacija, date su i preporuke, od kojih smo izdvojili jednu:

Prvo da se pojaa rad na univerzitetima u ovoj oblasti, tanije da se koliko

Slika 1.2 Deskriptivni dijagram kriptologije kao oblasti

U nastavku ovog odeljka diskutovaemo o tome kako je enon postavio teorijske

Slika 1.3 enonov model tajnog komuniciranja

Po enonu, Prvi korak u matematikoj analizi kriptografije zahteva idealizaciju

mima sa javnim kljuem. Da bi smo bolje razumeli poeemo od enona koji je

Prirodni informacioni izvor

Slika 1.4 enonov ideal

kategorije simetrinih (sekvencijalne ifre) i asimetrinih (RSA) algoritama i po

Prirodni informacioni izvor

Slika 1.5 enonov pseudo ideal

Od kakvih napada kriptografski sistem treba da obezbedi zatitu?

Meutim, paradoks savremenog stanja stvari po pitanju dokazive bezbednosti je

1.4. PRAKTINA BEZBEDNOST

Slika 1.6 Praktina sigurnost

1.4.1. EKVIVOKACIJA KLJUA I TAKA JEDINSTVENOSTI

Intuitivno je jasno da to vie ifrata imamo na raspolaganju, sve e se vie

Slika 1.7 Taka jedinstvenosti perfektne i neperfektne ifre

to je uobiajeno i prirodno. Tada je taka jedinstvenosti aproksimativno jednaka

Ako za engleski jezik usvojimo entropiju od 2 bita po znaku, redundansa poruka

Ovaj rezultat znai da sa poznavanjem ifrata duine oko 35 karaktera, klju se

1.4.2. POVEANJE TAKE JEDINSTVENOSTI

1.5. VEROVATNOSNI MODEL IFROVANJA

gde je sa (, ) oznaen otvoren tekst dobijen na osnovu ifrata postupkom

Prosledimo raunanje ovih verovatnoa na jednom primeru.

Neka je = {, }, pri emu je () = 4 , () = 4 . Neka je = {1 , 2 , 3 , } , sa

Neka je = {1,2,3,4} i pretpostavimo da je ifrovanje predstavljeno Tabelom 1:

Izraunajmo raspodelu verovatnoe:

(2) = (2 ) ((2 , 2)) + (1 ) ((1 , 2))

(3) = (2 ) ((2 , 3)) + (3 ) ((3 , 3))

(4) = (3 ) ((3 , 4)) = (3 ) () =

Slika 1.8 Graf ifarskog sistema

Graf ifarskog sistema iz Primera 1, sa odgovarajuim verovatnoama ifrata.

Odavde vidimo da nisu zadovoljeni uslovi apsolutne tajnosti, budui da je:

Izraunajmo sada uslovne raspodele verovatnoa ( |), 1 3, 1 4.

() = 8 log 2 8 16 log 2 16 4 log 2 4 16 log 2 16 =1.8496

[(1 |1) log 2 (1 |1) (2 |1)

[(1 |2) log 2 (1 |2) (2 |2)

0 + 16 0.59 + 4 0.81 + 16 0 = 0.4617,