Professional Documents
Culture Documents
Milan Milosavljevi
Saa Adamovi
KRIPTO LO GIJA 2
Prvo izdanje
Beograd, 2014.
KRIPTOLOGIJA 2
Autori:
dr Milan Milosavljevi
dr Saa Adamovi
Recenzenti:
dr Mladen Veinovi
dr Branko Kovaevi
dr Dejan ivkovi
Izdava:
UNIVERZITET SINGIDUNUM
Beograd, Danijelova 32
www.singidunum.ac.rs
Za izdavaa:
dr Milovan Stanii
Tehnika obrada:
Saa Adamovi
Dizajn korica:
Aleksandar Mihajlovi
Godina izdanja:
2014.
Tira:
300 primeraka
tampa:
Mladost Grup
Loznica
ISBN: 978-86-7912-537-8
Copyright:
2014. Univerzitet Singidunum
Izdava zadrava sva prava.
Reprodukcija pojedinih delova ili celine ove publikacije nije dozvoljeno.
SADRAJ
UVOD............................................................................................................................ 9
1.1. Kratka istorija politike ifrovanja ........................................................... 10
1.2. Uloga fizike, pretpostavki i poverenja ................................................... 15
1.3. Ontologija domena zatite .......................................................................... 20
1.4. Praktina bezbednost .................................................................................. 27
1.4.1. Ekvivokacija kljua i taka jedinstvenosti ............................................ 28
1.4.2. Poveanje take jedinstvenosti ................................................................. 31
1.5. Verovatnosni model ifrovanja ................................................................ 33
2.
AUTENTIFIKACIJA ................................................................................................ 43
2.1. Jednostavni protokoli za autentifikaciju na raunaru ..................... 46
2.2. Jednostavni protokoli za autentifikaciju na mrei ............................ 49
2.3. Autentifikacija informaciono teorijska analiza ............................... 55
3.
66
4.
118
5.
6.
TAJNA RAZMENA KRIPTOLOKOG KLJUA JAVNIM KANALOM
BEZBEDNOST NA FIZIKOM SLOJU ....................................................................... 190
6.1. Razmena kljua 1: Satelitski scenario ................................................. 193
6.2. Razmena kljua 2: Wayner Wire-Tap kanal...................................... 201
6.3. Razmena kljua 3: Karte .......................................................................... 206
6.4. Jedan algoritam za razmenu kljueva u lokalnoj raunarskoj
mrei........................................................................................................................ 208
VI
PREDGOVOR
VII
Kriptologija 2
Autori
VIII
1. UVOD
Savremene informacione tehnologije i globalizacija dramatino su promenile
dananji svet raunarskih mrea, koje se odlikuju visokim stepenom integracije
razliitih elektronskih servisa. Obzirom da je broj Internet servisa i novih korisnika usluga svakodnevno u porastu, poveava se koliina i vrednost informacija
koje se razmenjuju. Informacije koje se razmenjuju putem mrea i skladite na
umreenim memorijskim lokacijama, mogu biti kompromitovane ukoliko nisu
adekvatno zatiene. U svim tipovima mrene komunikacije poseban izazov
predstavljaju mehanizmi za kontrolu pristupa. Njihova uloga je da zatite podatke
i informacije od neovlaenih pristupa putem dovoljno bezbednih postupaka za
proveru identiteta.
Procenjuje se da celokupna oblast zatite informacija u narednom periodu treba
da obezbedi radikalan kvalitativan skok i pomeranje osnovne paradigme raunarske sigurnosti ka paradigmi informaciono teorijske sigurnosti. Ovaj pomeraj
bi omoguio sintezu itave klase zatitnih mehanizama, ija kompromitacija vie
ne bi zavisila od raunarske snage napadaa.
Interesantno je zapaziti da preduslov za ovaj poduhvat lei u razvoju novih metoda digitalne obrade signala, koje na fizikom sloju savremenih raunarsko komunikacionih mrea treba da obezbede ekstrakciju dovoljne koliine isto sluajnih nizova pogodnih za primenu u novim protokolima uspostavljanja i razmene
kriptolokih kljueva maksimalne duine i neodreenosti.
U domenu pouzdane i za praksu prihvatljive autentifikacije, biometrija postaje
znaajan izvor kriptolokih parametara. Digitalna obrada izvornih biometrijskih
signala je od presudnog znaaja, kako za uspostavljanje tako i za ekstrakciju autentifikacionih kodova maksimalne entropije.
U domenu upravljanja autorskim pravima digitalnih sadraja, digitalna obrada
signala nosioca i utiskivanje digitalnih peata, vidljivih i nevidljivih, takoe predstavlja nezaobilazan gradivni element. Sve ovo ukazuje na novo mesto ove discipline u okviru opte teorije i prakse sinteze sistema za zatitu informacija. U
udbeniku se identifikuje, analizira i razvija klasa podsistema digitalne obrade
signala koje ispunjavaju nove zahteve proistekle iz ovih novih trendova u zatiti
informacija u savremenim raunarsko komunikacionim sistemima.
Kriptologija 2
Kriptologija 2
10
softveru za ifrovanje. Ove predloge je zastupao tadanji direktor centralne obavetajne slube, koji je direktno iznosio nove predloge predsedniku USA.
Skup proizvod koji vas titi od svih, ali ne i od NSA, to je iznenaujue, na tritu
je imao mali broj pritubi. Na kraju, Kliper nije dao odgovor na ovaj problem. Nova Klintonova administracija, u elji da kontrolie iroko rasprostranjenu Internet mreu, odluila je da formira dve grupe u Beloj kui za nadzor Interneta. Prva
grupa je imala nadzor nad servisima za elektronsku trgovinu, dok druga grupa
ima zadatak da vodi rauna o bezbednosti javnih mrea. Zadatak ovih radnih
grupa je bio da pronau nain za stvaranje bezbednosne politike na Internetu bez
oteenja ili sprovoenja zakona ili obavetajnih sposobnosti. Radna grupa je
potroila na ovaj zadatak preko etiri godine i dola do reenja u kom predlau
iroko rasprostranjenu upotrebu softvera za ifrovanje.
Tada je postalo jasno da e se koristiti softversko ifrovanje umesto hardverskog.
Komercijalna proizvodnja hardverskih ureaja za ifrovanje nije mogla da zaivi
za upotrebu u poslovnim okruenjima, na taj nain ne bi postojalo veliko trite
za ifarske proizvode. Grupa za bezbedne javne mree se usmerila na PKI infrastrukturu ili na infrastrukturu sa javnim kljuevima. PKI obezbeuje bezbedne
naine za razmenu kriptolokih kljueva, tako da samo ovlaena lica mogu pristupiti podacima, koji se skladite na raunarima ili putuju izmeu dva raunara.
Meutim, kao i svaki drugi sistem koji poseduje interakciju sa spoljnim svetom i
PKI je imao mnogo problema.
Prvo, FBI i NSA su hteli da poseduju kopije kljueva, kojima je mogue pristupiti
po sudskom nalogu. Traili su treu stranu od poverenja da raspolae sa kljuevima, ali shvatili su da nijedna kompanija ne eli da dozvoli pristup treoj strani
svojim vanim podacima. Ne postoji takva stvar kao to je trea strana od poverenja za istinski vredne podatke, ovo svi treba da imamo na umu.
Drugo, otkriveno je da kod veine komercijalno dostupnih softvera postoje
ozbiljni bezbednosni nedostaci. Godine 1999. NSA je pregledala 40 najboljih proizvoda koji su se prodavali za ifrovanje. Nijedan od njih nije bi bez mana. Neke
kompanije su tvrdile da koriste kljueve duine 56 bitova, ali po dizajnu ili grekom programi nisu koristili vie od 28 bitova kljua, ije su duine jo u to vreme bile izuzetno kratke. Kljuna komponenta ifarskih algoritama su generatori
sluajnih brojeva. Neke kompanije koriste neispravne generatore sluajnih broKriptologija 2
11
jeva. Drugi su odustali u potpunosti od generatora, koristili su listu predefinisanih brojeva, sa koje bi programi nasumino birali one koje e iskoristiti za ifrovanje. Neadekvatan generator sluajnih brojeva omoguava kriptoanalitiaru da
sa znaajno manje truda probije neki ifarski sistem, ovo svakako ne predstavlja
izazov za NSA-a i FBI-a.
Pisanje programa za ifrovanje predstavlja izuzetno teak posao. Posle tog izvetaja o stanju softvera na tritu, iz godine u godinu je softver napredovao, ali ne
toliko da i danas ne zadri bezbednosne propuste. Da je SAD pokuao da odri
softver na nekom nivou izvrsnosti, to bi sigurno ubilo trite, ba kada je pokuao
da odri automobile od 1920 po bezbednosnim standardima koje imamo i danas.
Ovo je upravo razlog zato je kriptologija kao vojna tehnologija dospela u civilnu
upotrebu, koja se sve vie kao ozbiljna nauka sa ogromnim potencijalom u budunosti izuava na mnogim svetskim univerzitetima. Zahvaljujui sve veem
broju strunjaka iz ove oblasti, nedostaci koji postoje e nestati, ali ne u skorije
vreme.
Problem bezbednosti na Internetu bio je toliko aktuelan da je eskalirao u predstavnikom odboru saveta za nacionalnu bezbednost, gde se zvaninici u toj administraciji sastaju samo u vezi najvanijih problema. ifrovanje i Internet bezbednost trai neminovno teke odluke. Ako SAD dozvoli kompanijama da prodaju
softver i hardver za ifrovanje, NSA e izgubiti velike mogunosti (ovo se nedavno
desilo, zbog promene u tehnologiji). Tanije, FBI bi mogao izgubiti sposobnosti da
prislukuje kriminalne komunikacije (estoka pomo za sprovoenje zakona i
zakona o patriotskom aktu, mere za ouvanje sposobnosti za prislukivanje bez
obzira na promene u tehnologiji, (podeavanje konteksta za sprovoenje zakona)). Tehnologija se menja najvie iz komercijalnih razloga, vladine agencije to
moraju ispratiti. Tekoa ovoga je preterana rutina, ali inteligentni signali i postojanje prislukivanja u dinaminim tehnolokim okruenjima, moraju biti jednako
prilagoeni dinaminim naporima da odri svoje operativne sposobnosti.
Izvor dinamizma u ovoj debati je bio veoma neoekivan, kad su upitanju albe na
bezbednost raunara i Internet-a. Tempo prilagoavanja premaio je oekivanja.
Tranja je bila nezasita. Nekoliko novih korisnika je znalo ili nije marilo zbog ranjivosti. Postoje oni koji su bili svesni, ali nisu mogli da kupuju amerike dovoljno
jake proizvode. Mnoge kompanije su napravile greku, jer su koristile besplatne
softver za kriptografsku zatitu. To je bio sluaj jedne amerike avio kompanije
Kriptologija 2
12
koja je preuzela sa Interneta PGP softver sa jednog sajta u Holandiji. Ovo je glavni
mamac stranih obavetajni slubi, oni nude besplatno ovakav softver da bi kasnije mogli da proitaju sve ifrovane poruke. Ovo je jedan jasan pokazatelj na
potrebu za razvojem sopstvenog kripto softvera, bez obzira na postojanje suptilnih nedostataka. Sve ovo je stvorilo komercijalne rizike koji su pretili amerikim
kompanijama uspon na tritu informacionih tehnologija.
Radana grupa koja je oformljena u Beloj kui za nadzor elektronskih Internet
servisa imala je velike sukobe sa FBI i NSA. Ideja da se nad ifrovanjem izgubi
kontrola nije bila nikako prihvatljiva za FBI i NSA. Razlozi su jasni, to bi smanjilo
sposobnost prikupljanja obavetajnih podataka. Meutim, radna grupa je predloila da se ona pobrine o bezbednosnoj Internet politici.
Razlozi za promenu politike bili su jasni. Iako postoji rizik za nemogunost prikupljanja obavetajnih podataka, radi zatite amerikih kompanija i potroaa.
Veliki komercijalni rizik amerikih kompanija je u dinaminom tritu u kom SAD
vie nee imati monopol nad ifrovanjem podataka. U budunosti emo videti
rairenu upotrebu ifrovanja na Internetu, da li e nam se dopasti ili ne. Bilo je
govora o zadnjim vratima" u softveru (softver koji je ponudila NSA), ali je to
odbaeno. Razlog tome su strani protivnici koji ele da iskoriste zadnja vrata.
Radna grupa je zadobila poverenje narodnih poslanika, da je mogue prevazii
probleme bez ogranienja i zadnjih vrata.
Ovo je iz mnogo razloga idealan ishod. Oni koji su doneli ideju o kontroli ifrovanja, mislili su da su pobedili. Do tada je bilo normalno da drava odluuje o svemu, odobrava prodaju kompanije ili pribavlja sve to moe da joj zatreba. Jedino
politika nije uspela u ovom sluaju, kada je re o zatiti raunarskih mree.
Klintonova administracija, kreirala je Internet politiku od ICANN (engl. Internet
Corporation for Assigned Names and Numbers) i zakona o elektronskoj trgovini
na kritinoj infrastrukturi - PDD63. Naalost i pored Internet politike, ifrovanje
je najmanje uspean deo Internet politike. Pretpostavka koja je dovela do nekontrolisanog ifrovanja u svetu je, da ako pustimo ifarske mehanizme izvan kontrole, ljudi e ih koristiti i Internet e biti bezbedan. Izgleda da je ova pretpostavka
bila pogrena.
Kriptologija 2
13
Kriptologija 2
14
Prvi problem se odnosi na prvu i drugu taku. Na primer, kada koristimo operacije koje se odnose na AES algoritam, mogue je detaljnom analizom kripto procesora na osnovu prosleenih instrukcija rekonstruisati kriptoloki klju. Ova mogunost nije vie samo pretpostavka, ona danas postoji i kao komercijalno reenje. Tako da je u dananje vreme, ukoliko se profesionalno bavimo sa kriptografijom, neophodno na neki od naina zatititi procesor raunara.
Drugi problem je kompromitujue elektromagnetno zraenje - KEM. Rad raunarskog procesora u spektralnom domenu emituje jedan vrlo bogat signala. Ukoliko napada poseduje iroko pojasni prijemnik, mogue je snimiti spektar na
osnovu koga napada dobija odreene informacije (demodulacijom signala mogue je rekonstruisati kljueve). Ne preduzimanjem odgovarajuih mera za spreavanje ove vrste problema, ostavljamo mogunost za lako kompromitovanje
kriptografskog ureaja.
Kriptologija 2
15
Kriptologija 2
16
tar ima neku svoju temperaturu kojom e izazvati promenu temperature vode.
Na ovaj nain, kriptograf e detektovati promenu temperature, a time i napad.
Do sada smo stekli utisak da se ova oblast razlikuje od drugih oblasti nauke i da
kaemo tehnike u irem smislu. U klasinoj nauci obino napadamo neke prirodne fenomene, trudimo se da napravimo neke modele pomou kojih emo to bolje
da razumemo i da ovladamo nekim zakonitostima. U zatiti informacija sa one
druge strane nemamo prirodu, ve imamo protivnika. Sa ovakvog stanovita
posmatranja postavljamo pitanje ta mi u takvoj sredini pretpostavljamo i ta su
to pretpostavke kada projektujemo neki sistem i na emu zasnivamo bezbednost
takvog sistema?
Bezbednost svakog kriptografskog sistema zavisi od odreenih pretpostavki.
Tanije, nemogue je izrei za jedan sistem da e ostvariti svoj proklamovani cilj,
a da pri tome ne navodite pod kojim uslovima. Pri projektovanju sistema postoje
opte implicitne pretpostavke.
Prva implicitna opta pretpostavka, koja esto nije eksplicitna, je egzistencija
sluajnosti kao takve, odnosno pretpostavka da na svet nije deterministiki,
predstavlja filozofsko pitanje. Drugim reima, mogli bismo ovako da kaemo, ako
bismo iveli u svetu u kome je sve deterministiko, tada kriptologija ne bi bila
onakva kakva je sad. Zapravo ne bismo mogli da raunamo na efekte sluajnosti
koji su na neki nain u srcu kriptolokih sistema. Prema tome, implicitna pretpostavka je da u prirodi postoji ista sluajnost, odnosno na svet nije deterministiki kako smo ve rekli. Ova prva pretpostavka je sama po sebi interesantna.
Druga implicitna pretpostavka je da sluajne veliine mogu biti nezavisne. Na
primer, kada govorimo o sluajnim veliinama, uzmimo scenario generisanja
kriptolokog kljua. Ne samo da pretpostavljamo da je upotrebljen prirodni izvor
informacije (sluajnosti), mi pretpostavljamo i da je svaki generisani bit kljua
nezavisan jedan od drugog.
Jedna opta pretpostavka, koja je gotovo uvek eksplicitna, je da imamo poverenja
u neke entitete ili komponente sistema kada projektujemo neki sistem. Nemogue je rei kada projektujemo kriptografski sistem, da ne postoji bar neka taka
sistema u koju smo delegirali poverenje. Na primer, ako uzmemo jedan profesionalni sistem kao to je One-Time pad, on obezbeuje komunikaciju izmeu dve
Kriptologija 2
17
take. ta je poverenje koje smo delegirali u ovom sistemu? Delegirali smo poverenje, tako to verujemo osobi koja je prenosila klju od Alise do Boba i pravila
kopiju, da nije napravila treu kopiju kljua. Drugi primer, kada koristimo neki
pseudo sluajni generator u obinim sistemima, mi verujemo prvo naem operativnom sistemu i aplikacijama koje su instalirane na njemu i verujemo njegovim
specifikacijama, to znai ako smo sauvali kljueve u neki deo za koji smatramo
da je pod naom kontrolom i da u specifikaciji pie da niko drugi ne moe tom
mestu pristupiti (ni operativni sistem), ili ako je pod nekim uslovima koje mi kontroliemo. Ovo je primer delegiranja poverenja u isporuioca softvera, koji je tvrdio da se to zaista tako ponaa.
Cilj profesionalne sinteze kriptografskog sistema je da sve pretpostavke, kako
implicitne tako i eksplicitne, uini to je mogue slabijim. Sada nakon ove diskusije moemo da zamislimo ta je idealan kriptografski sistem, kao i pitanje da li je
on mogu? Idealan sistem bi bio onaj u kome su svi servisi tajnosti zadovoljeni, a
da nigde nita nismo delegirali. Dakle, to znai da na sistem ne podrazumeva
odreene zavisnosti, ako bismo ovo mogli da postignemo, imali bismo jedan idealan sistem u kome nije delegirano nikakvo poverenje. Sa druge strane, kada poredimo dva kriptografska sistema u smislu koji je bolji, pod istim kriptolokim
uslovima proglasiemo boljim onaj sistem koji je najmanje delegirao poverenje
po nekim takama sistema. Meutim, ako bismo hteli da zamislimo kako izgleda
jedan idealan kriptografski sistem, verovatno bismo zamislili dve crne kutije u
dve take, u kojima nita nije delegirano kao poverenje, i koje nekako stalno rade
u pozadini.
U praktinom svetu teko je projektovati jedan idealni sistem. Obzirom da nije
mogue ili je jako teko izbei potrebu za delegiranjem poverenja, postoji ideja da
se projektuju nove komponente koje bi detektovale korumpiranost nekog entiteta kome je poverenje delegirano. Postojanje ovakvog sistema za detekciju pronevere poverenja dalo bi ovom kriptografskom sistemu prednost u odnosu na bilo
koji drugi.
Naveemo jedan interesantan primer iz oblasti mainskog uenja koji je dosta
aktuelan danas u svetu, a moe da nae primenu u kriptografskom sistemu. Re
je o jednom stranom projektu, gde je napravljen eksperiment u kome ispitanici za
raunarom, svojim mislima (modanim talasima) pomeraju kursor mia (gore,
dole, levo i desno). Sve ovo moe biti iskorieno u druge svrhe. Stvarno pitanje
Kriptologija 2
18
za ovakav sistem bi glasilo, da li je mogue detektovati da ispitanik svojim mislima kae hou levo, a zapravo misli da hoe desno. Upravo ova mogunost moe
biti jedna za sintezu sistema za detekciju pronevere delegiranog poverenja. Na
primer, ako onom kome delegiramo poverenje, ispiemo spisak bezbednosnih
procedura kojih se on mora striktno pridravati (politika o tajnosti kljueva itd.),
tada je jako bitno preko ovih sistema za detekciju utvrditi da li e postojati dvosmisleno ponaanje. Redukcija ovih pretpostavki i zahteva za poverenjem u cilju
postizanja zadatog nivoa bezbednosti je centralna tema svakog budueg razvoja
kriptografije.
Kriptologija 2
19
Servis tajnosti;
Servis za autentifikaciju;
Servis za obezbeenje integriteta;
Servis za obezbeenje neporecivosti.
Svi navedeni servisi su nametnuti kao aktuelni od strane Interneta kao globalne
IT infrastrukture. Meutim ako se paljivo analizira, svi ovi servisi su paljivo
razvijani i plod hladnog rata za kontrolu i upotrebu nuklearnog oruja.
Tajnost je nastala kao potreba za skrivanjem informacija. Na primer, ako se stvara velika presija izmeu dve drave, a krajnji rezultat potencijalno moe biti rat
izmeu njih, bitno je zatititi tajnost poruke koja u sebi sadri poruku Ispali prvu
raketu, predsednik!. U sluaju da druga drava proita poruku, tada bi ona prva
odreagovala i pokvarila planove.
Autentifikacija je jako bitna kao servis. Ostanimo na prethodnom primeru. Vojske
kao rukovaoca sa nuklearnim orujem mora da bude sigurna da je ba tu poruku
poslao predsednik drave.
Integritet podrazumeva u prethodnom primeru zatitu poruke od izmena. Pretpostavimo da je druga strana presrela poruku i izmenila je tako da glasi Nemojte
jo ispaljivati raketu!. U tom sluaju druga strana bi prva odreagovala.
I na kraju neporecivost, da onaj ko je primio naredbu (vojnik, vojna baza) ne
moe da kae da nije primio naredbu. Za ovaj servis neophodno je da postoji pisani trag o tome, dovoljan da moe da snosi konsekvence.
Meutim, ako govorimo o vrstama tehnologije, njihovoj bezbednosnoj osetljivosti
i rangu vanosti, zakljuujemo da naa tehnologija ima sva tri plusa. To znai da
Kriptologija 2
20
ona moe biti vojna, civilna, poseduje odreene stepene osetljivosti i ima rang
vanosti koji se u doktrinarnim dokumentima NATO pakta tretira kao nuklearno
oruje, slika (Slika 1.1).
Vrsta tehnologije
Vojna
Civilna
Bezbednosna
osetljivost
+
-
+/+/-
Rang
vanosti
A (Cyber +
nuklearno raketno oruje)
Kriptologija 2
21
Izneemo nekoliko naih zakljuaka o ovoj oblasti. Ovi sistemi koje mi koristimo i
o kojima priamo, nisu samo tehnoloki, oni su i socijalni, jer ih koriste i obini
ljudi. Sve ovo zajedno treba da generie jednu bezbednu IT infrastrukturu.
Poverenje u sistem bezbednosti zahteva kvantitativnu metodologiju. To ne moe
biti deskriptivna pria, ve to mora biti nauno zasnovana pria. Zahtevani su
dokazivi nivoi bezbednosti koji imaju ontoloku teinu prirodnih zakona.
Socijalno ekonomske i bezbednosne dimenzije zahtevaju reenje u kom sistemsko izuavanje bazinih teorijskih pristupa predstavlja nezaobilazan zahtev.
Tajnost
Autentinost
Dva kljua
Jedan klju
Be
zu
sl
ov
na
Preko slike (Slika 1.2) posmatraemo celu oblast - kriptologije. Ljubiasta boja
predstavlja cilj, zelena boja vrstu algoritma i uta tip bezbednosti. Ako nam je cilj
tajnost i autentinost, tada algoritmi sa kojima to moemo postii mogu biti sa
jednim kljuem ili sa dva kljua. Algoritmi sa jednim kljuem su simetrini algoritmi, a algoritmi sa dva kljua su asimetrini ifarski algoritmi. Tip bezbednosti
koju postiemo moe biti bezuslovna i raunarska. Na slici treba primetiti da je
polje bezuslovne sigurnosti vezano samo za jedan klju, dok je raunarska (ili
praktina) vezana za algoritme sa jednim i sa dva kljua.
Raunarska
Kriptologija 2
22
23
Predajna
strana
Prijemna
strana
Na slici (Slika 1.4) prikazan je prirodni informacioni izvor koji se koristi kao generator sluajnih nizova (kriptolokih kljueva). Najkvalitetnije generatore sluajnih nizova mogue je pronai u prirodnim okruenjima. Ujedno, dobijeni sluajni niz iz datog informacionog izvora predstavlja klju koji se koristiti za ifrovanje kod One-time pad ifarskog algoritma. Nain koji je prikazan na slici je isuvie zahtevan. Potrebno je obezbediti kopije nizova na obe strane, a oni e se
kasnije koristiti kao kljuevi. Drugi problem je to duina kljueva mora da bude
jednake duine kao i poruka.
Druga bezbednost koju je enon definisao je dokaziva raunarska bezbednost, to
znai da se za zadati kriptografski sistem moe rigorozno dokazati nominovana
bezbednost u odnosu na protivnika koji poseduje specifine vremenske i raunarske resurse. ifre koje najvie odgovaraju definiciji raunarske sigurnosti su iz
Kriptologija 2
24
Generator
pseudo
sluajnih nizova
Predajna
strana
Prijemna
strana
Na slici (Slika 1.5), prikazan je prirodni informacioni izvor koji ima ulogu generatora sluajnih nizova koji se koriste kao inicijalna stanja pseudo sluajnih generatora za generisanje pseudo sluajnih nizova. Na ovaj nain je iskoriena neodreenost prirodnog izvora u fiksnim dimenzijama, nezavisno od duine poruke. Na
primer, A5/1 sekvencijalna ifra u svoja tri registra smeta 64 bita unutranjeg
kljua, na osnovu koga kasnije generie radni klju za ifrovanje ogromnog broja
poruka. A5/1 se uglavnom koristi za zatitu govora (GSM), zbog svoje podobnosti
za hardversku realizaciju.
U ovom primeru moemo da pretpostavimo scenario u kome smo generisali niz
od 64 bita, koji smo zatim iskoristili kao unutranji klju A5/1, a pseudo generator sa slike je upravo sekvencijalni algoritam A5/1 koji generie radene kljueve
za proces ifrovanja.
Prednost pseudo ideala je velika u odnosu na enonov apsolutni ideal kada je re
o kriptografskim sistemima. Sada je potrebno distribuirati kopiju kljua od 64
Kriptologija 2
25
bita na drugu stranu, nakon ega moe da otpone ifrovanje velike koliine podataka.
U sluaju pseudo ideala sa One-Time pad ifrom, proces ifrovanja se svodi na
XOR operaciju nad bitovima otvorene poruke i bitovima pseudo sluajne sekvence (radnog kljua). Deifrovanje se vri identinim pseudo sluajnim nizom na
prijemu koji se XOR-uje sa dobijenim bitovima ifrata. Korienje pseudo sluajne
sekvence (engl. Keystream) je identino korienju kljua kod One-Time pad-a i
naziva se radni klju koji je generisan na osnovu kljua dobijenog preko prirodnog informacionog izvora. Kod sistema koji se odnose na enonov pseudo ideal,
upotrebom pseudo generatora rtvovana je apsolutna tajnost perfektna tajnost.
esto smo koristili termin nominovana bezbednost. Nominovana bezbednost
predstavlja paljiv i kompletan opis operacionog scenarija, u kome se egzaktno
daje:
Kriptologija 2
26
Kriptologija 2
27
Da bismo projektovali jedan sistem koji obezbeuje praktinu bezbednost, recimo jedan pseudo sluajni generator (AES, DES) i tvrdili ta je njegova praktina
bezbednost, morali bismo da uradimo nekoliko sledeih koraka.
Prvo moramo da kaemo da je reavanje problema kriptoanalize tog algoritma
ekvivalentno sa nekim matematikim problemom i da formuliemo o kom je matematikom problemu re. U sledeem koraku treba da se bavimo sa kompleksnosti tog matematikog problema i da pokuamo u njemu da naemo donju granicu. Donja granica tog problema oznaena je sa zelenom linijom i predstavlja cilj
projektanta tog sistema. Donja granica pretpostavlja neophodan raunarski resurs koji je potreban napadau za reavanje tog problema. Da bismo razumeli
znaaj donje granice, naveemo uslov koji ona treba da ispuni. Donja granica
uvek mora biti ispod granice napadaa. Da bi ovaj uslov bio ispunjen, projektant
sistema mora da zna kolika je raunarska snaga tog napadaa. Ako je raunarska
snaga napadaa vea od donjih granica, to znai da kriptoanalitiar koji napada
taj sistem, moe da rei taj problem koji je ekvivalentan matematikom problemu.
Ovakva teorija nam omoguava da podeavamo parametre ifarskog sistema.
Ukoliko bismo mogli da podignemo granicu napadaa iznad donje granice sistema, to bi praktino znailo da imamo bezbedan sistem nalik na onaj koji je apsolutno tajan. Da bismo mogli da uradimo ovako neto, neophodno je da posegnemo za nekom matematikom teorijom koja se bavi prouavanjem algoritamske
kompleksnosti. Meutim, moe se uiniti da takva teorija nije osmiljena za kriptologiju i iz tog razloga je treba izbegavati.
Kriptologija 2
28
Taka jedinstvenosti se definie kao najmanje za koje je (n) 0. Taka jedinstvenosti datog kripto sistema je najmanje za koje vai:
(|1 ) 0.
Po definiciji, taka jedinstvenosti je najmanja koliina ifrata kojom mora raspolagati kriptoanalitiar, da bi mogao da odredi klju jednoznano. Drugim reima to je najmanja koliina ifrata koja omoguava da sistem bude razbijen.
i su iste duine i pripadaju istom alfabetu. ifrovane poruke imaju priblino maksimalnu neodreenost:
H(Cn ) n log D,
to je kriterijum kome tee svi dizajneri kripto sistema.
Kljuevi i poruke su nezavisni
H(Mn , K) = H(Mn ) + H(K),
Kriptologija 2
29
u R(M)log D,
gde je () redundansa poruka koje se ifruju, definisana sa:
R(M) = 1
H (M)
.
log D
DOKAZ:
Pretpostavimo da je dovoljno veliko, tako da vai:
H(Mn ) n H (M),
( )
(| ) =
( ) ( | ) ( ) = ( ) ( )
= ( ) ( ) = ( ) + () ( )
= () + () log
Taka jedinstvenosti je definisana sa:
(| ) = 0,
odnosno:
( () log ) + () = 0,
odakle sledi:
=
()
()
=
.
log () () log
Na primer, posmatrajmo poruke pisane na engleskom jeziku sa 27 znakova ukljuujui razmake izmeu rei i ifrovane kljuem koji se sastoji od 20 nezavisnih
karaktera engleskog alfabeta.
Tada je
() = 20 log 27.
Kriptologija 2
30
()
20 log(27)
=
35
log log(27) 2
u .
PRIMER 1
Taka jedinstvenosti kripto sistema kojim se ifruju poruke iz alfabeta od 96 znakova, pri emu je entropija poruka 3 bita/po znaku, dok je entropija kljua 33 bita
je:
=
Kriptologija 2
33
= 9.2,
log 96 3
31
=1
3
= 54.4%.
log 96
PRIMER 2
Taka jedinstvenosti kripto sistema kojim se ifruju binarne poruke, redundanse
25%, dok su kljuevi duine 16 bita i uniformno su raspodeljeni je:
=
Kriptologija 2
16
= 64.
0.25 1
32
() ((, )),
{:()}
Kriptologija 2
33
Sada je mogue nai i uslovnu raspodelu verovatnoa (|), odnosno verovatnou da je otvoreni tekst, kada se zna da je ifrat, korienjem Bajesove teoreme:
(|) =
() (| )
()
() {:=(,)} ()
()={:()} () ((,))
1
,
2
(2 ) =
1
, (3 )
4
1
4
a
1
2
3
b
2
3
4
1 1 1
=
4 2 8
Kriptologija 2
34
3 1
3
=
4 4 16
Na slici (Slika 1.8) dat je graf ifarskog sistema, iz koga se vidi jasnije postupak
izraunavanja verovatnoa simbola ifrata na osnovu verovatnoa simbola otvorenog teksta i verovatnoa simbola kljueva.
Kriptologija 2
() (1|) () (1 )
=
= 1,
(1)
(1 ) ()
35
1 1
() (2|)
() (2 )
1
(|2) =
=
=4 4=
7
(2)
(2 ) () + (1 ) ()
7
16
1 1
() (3|)
() (3 )
1
(|3) =
=
=4 4=
1
(3)
(2 ) () + (3 ) ()
4
4
(|4) =
() (4|) () 0
=
= 0.
(4)
(4)
(|1) =
() (1|)
() 0
=
=0
(1)
(1 ) ()
3 1
() (2|)
() (1 )
6
(|2) =
=
=4 2=
7
(2)
(2 ) () + (1 ) ()
7
16
3 1
() (2 )
3
() (3|)
=
=4 4=
(|3) =
1
(2 ) () + (3 ) ()
4
(3)
4
(|4) =
() (4|) () (3 )
=
= 1.
(4)
(3 ) ()
1
4
(|2) =
1
1
() =
7
4
(|3) =
1
1
= () =
4
4
(|4) = 0 () =
1
4
(|1) = 0 () = 3
Kriptologija 2
36
(|2) =
6
3
() =
7
4
(|3) =
3
3
= () =
4
4
(|4) = 1 () =
3
4
( ) (| )
()
(1 |1) =
(1 ) (1|1 ) (1 ) ()
=
=1
(1)
(1 ) ()
1 3
(1 ) (2|1 )
(1 ) ()
6
(1 |2) =
=
=2 4=
7
(2)
(2 ) () + (1 ) ()
7
16
(1 |3) =
(1 ) (3|1 )
(1 ) 0
=
=0
(3)
(2 ) () + (3 ) ()
(1 |4) =
(1 ) (4|1 )
(1 ) 0
=
=0
(4)
(3 ) ()
(2 |1) =
(2 ) 0
(2 ) (1|2 )
=
=0
(1 ) ()
(1)
1 1
(2 ) (2|2 )
(2 ) ()
1
(2 |2) =
=
=4 4=
7
(2)
(2 ) () + (1 ) ()
7
16
1 3
(2 ) (3|2 )
(2 ) ()
3
(2 |3) =
=
=4 4=
1
(3)
(2 ) () + (3 ) ()
4
4
Kriptologija 2
37
(2 |4) =
(2 ) (4|2 )
(2 ) 0
=
=0
(4)
(3 ) ()
(3 |1) =
(3 ) (1|3 )
(3 ) 0
=
=0
(1)
(1 ) ()
(3 |2) =
(3 ) (2|3 )
(2)
(3 )0
(
)
2
()+ (1 ) ()
= 0T
1 1
(3 ) ()
1
(3 ) (3|3 )
=
=4 4=
(3 |3) =
1
(2 ) () + (3 ) ()
4
(3)
4
(3 |4) =
(3 ) (4|3 ) (3 ) ()
=
=1
(3 ) ()
(4)
Ekvivokacija kljueva
H(K|C) = H(K) + H(P) H(C)
Proverimo ovaj stav, prvo raunanjem svih komponenti pojedinano:
1
1 3
3
1
3
() = log 2 log 2 = (2) (log 2 3 2) = 0.8113
4
4 4
4
4
4
1
38
=1
=0
a=1
0
1
b=0
1
0
K2=0
a=0
K1=1
K1=1
K2=0
b=1
Kriptologija 2
39
( = 0|) ()
(2 ) ()
=
( = 0)
()(2 ) + ()(1 )
(| = 1) =
( = 1|) ()
(1 ) ()
=
( = 1)
()(1 ) + ()(2 )
(| = 0) =
( = 0|) ()
(1 ) ()
=
( = 0)
()(2 ) + ()(1 )
(| = 1) =
( = 1|) ()
(2 ) ()
=
( = 1)
()(1 ) + ()(2 )
Kriptologija 2
(1 |0) =
(1 ) (0|1 )
(1 ) ()
=
(0)
()(2 ) + ()(1 )
(1 |1) =
(1 ) ()
(1 ) (1|1 )
=
()(1 ) + ()(2 )
(1)
(2 |0) =
(2 ) (0|2 )
(2 ) ()
=
(0)
()(2 ) + ()(1 )
(2 |1) =
(2 ) (1|2 )
(2 ) ()
=
(1)
()(1 ) + ()(2 )
40
( = 0|) ()
()
=
= (),
( = 0)
() + ()
(| = 1) =
( = 1|) ()
()
=
= (),
( = 1)
() + ()
(| = 0) =
( = 0|) ()
()
=
= ()
( = 0)
() + ()
(| = 1) =
( = 1|) ()
()
=
= ()
( = 1)
() + ()
Kriptologija 2
41
Kriptologija 2
42
2. AUTENTIFIKACIJA
Protokol predstavlja skup pravila kojih se pridravamo u nekoj komunikaciji.
Dobar i jednostavan primer su ljudski protokoli u kojima postoje jasna pravila
kojih se pridravamo u komunikaciji sa drugim ljudima.
U praksi to moe biti razgovor izmeu studenta i profesora u momentu kada student eli da postavi pitanje profesoru. Tu komunikaciju moemo da predstavimo
kroz nekoliko koraka koji zajedno ine jedan ljudski protokol.
Na primer:
1.
2.
3.
4.
43
poglavlju baviemo se pojednostavljenim protokolima koji imaju zadatak da obezbede autentifikaciju. Na ovaj nain emo lake razumeti osnovne elemente
sigurnosti koji su implementirani kod ovih protokola. Kasnije kada budemo dublje ulazili u dizajn kriptografskih protokola dananjice, bie neophodno dobro
poznavanje gradiva iz udbenika Kriptologija 1.
U nastavku ovog teksta upoznaemo se sa osnovnim elementima bezbednosti koji
su vezani za poruke koje se alju preko mree za proveru identiteta uesnika komunikacije. Videemo primere poznatih vrsta napada na protokole i daemo neke
smernice za spreavanje tih potencijalnih napada.
Imajte u vidu da su svi primeri i analize u ovom udbeniku neformalni i intuitivni.
Primenom ovog principa moemo da pokrijemo sve osnovne koncepte veoma
brzo i sa minimalnom pozadinom znanja o protokolima.
Kod svake analize protokola treba imati na umu da su protokoli po prirodi vrlo
suptilni. Ovo znai da i najmanja promena dizajna protokola moe da utie na
pouzdanost samog protokola. Mnogi danas dobro poznati protokoli imaju ozbiljne nedostatke, ukljuujui IPSec, GSM i WEP. Problem ne nastaje samo kod dizajna protokola, naprotiv dizajn moe da bude proveren i dobar, ali esti su problemi na strani implementacije samog protokola. Na primer, pronaene su ozbiljne
greke u implementaciji SSL protokola u Internet pregledau IE.
Idealni bezbednosni protokoli moraju da zadovoljavaju zahteve sa aspekta:
1.
2.
3.
4.
Bezbednosti;
Efikasnosti;
Otpornosti;
Ergonominosti;
Kriptologija 2
44
Minimizacijom raunarskih zahteva pravimo kompromis sa minimizacijom kanjenja i propusnog opsega nekog komunikacionog sistema koji upotrebljava dizajnirani protokol.
Idealni bezbednosni protokol mora da bude otporan na napadaa, to znai da e
raditi i kada napada aktivno pokuava da ga prekine u radu. Drugi izazov je otpornost protokola. Protokol mora da ostane operativan ak i ako mu se promeni
radno okruenje. Mnogi protokoli su dizajnirani tako da promenom radnog okruenja njegove osvedoene osobine mogu biti naruene. Veina protokola je dizajnirana u prolosti za prijateljska Internet akademska okruenja, koja moda ne
odgovaraju stvarnosti modernog Interneta i zahtevanim Internet servisa dananjice.
Ergonominost je i te kako vaan aspekt kod dizajna idealnog protokola. Ergonominost garantuje jednostavnost korienja, jednostavnu implementaciju i
fleksibilnost za razliite platforme. Od jednostavnosti korienja zavisie njegova
iroka upotreba i zastupljenost u mnogim komunikacionim sistemima. Jednostavna implementacija e smanjiti broj potencijalnih greaka koje utiu na bezbednost protokola. Vano je napomenuti da je najvei broj uspenih napada
uspeo upravo zbog loe implementacije.
Nakon svih ovih zahteva koje smo naveli, moemo da zakljuimo da je jako teko
zadovoljiti sve ove zahteve, a ovom injenicom smo daleko od sinteze idealnog
bezbednosnog protokola, ali to ne znai da treba odustati od ideje o sintezi perfektnih bezbednosnih protokola.
Kriptologija 2
45
Kriptologija 2
46
Jednostavan primer IIF protokola prikazan je na (Slika 2.1). Ovaj protokol je prema nekim izvorima korien od strane junoafrikog vazduhoplovstva ili poznatijeg kao SAAF, kada su se borili u Angoli sredinom 1970-ih.
IIF protokol koji je prikazan na (Slika 2.1) radi na sledei nain. Kada SAAF radar
detektuje da se bazi pribliava neki nepoznat borbeni avion, radar generie neki
sluajan broj N i alje ga borbenom avionu u vidu izazova na koji avion mora brzo
dati odgovor. Svi SAAF-ovi avioni meusobno dele isti kriptoloki klju K koji se
koristi za ifrovanje simetrinim algoritmima. Avion nakon prijema Sluajne
vrednosti N, Vrednost N ifruje sa kljuem K i dobijeni ifrat kao odgovor na izazov alje SAAF radaru. Neprijateljski avioni kod sebe nemaju originalni klju K u
cilju potvrivanja pravog identiteta.
Na izgled ovaj protokol vrlo jednostavno daje mogunost radaru da utvrdi da li se
pribliava neprijateljski ili prijateljski avion.
2. E(
1. N
N, K)
Da li je stvarno ovaj bezbednosni protokol besprekoran za identifikaciju prijateljskog ili neprijateljskog aviona saznaemo u sledeem scenariju poznatim pod
nazivom Mig u sredini. Na osnovu ovog scenarija napraviemo uvod u aktivne i
pasivne napade na bezbednosni protokole. Konkretno scenario napada koji je
prikazan na slici (Slika 2.2) je aktivan napad napadaa u sredini.
Kriptologija 2
47
3. N
4. E(
N, K)
SAAF
Impala
2. N
Ruski
MiG
N, K)
(
E
.
5
6. E(
N, K)
Angola
1. N
Namibija
Slika 2.2 Napad na IIF, ovek u sredini
Kriptologija 2
48
49
Kod mrenih protokola pored pasivnih, mogui su i aktivni napadi preko kojih
napada moe da umetne novu poruku, da obrie celu poruku ili samo deo poruke ili da napravi neku promenu u sadraju poruke.
Na prvi pokuaj autentifikacije na mrei je prikazan na (Slika 2.3). Protokol je
jednostavan i moe biti u redu za autentifikaciju na zasebnom raunaru. Protokol
zahteva tri poruke izmeu Alise i Boba. Alisa ima ulogu klijentskog raunara, dok
Bob ima ulogu serverskog raunara. U prvoj poruci Alisa se predstavlja pred Bobom Ja sam Alisa, u drugoj poruci Bob trai od Alise da dokae da je ona zaista
Alisa. Alisa zna svoju lozinku Singidunum i alje je Bobu. Kod Boba se nalazi
baza podataka koja sadri lozinke svih svojih korisnika. Bob pretrauje Alisinu
lozinku i nakon toga potvruje Alisin identitet.
Ja sam Alisa
Dokai
lozinka = singidunum
Alisa
Bob
Slika 2.3 Primer jednostavne autentifikacije
Sada postavljamo pitanje da li je ovaj protokol nebezbedan u mrenom okruenju? Prvo, podloan je napadu zasnovanom na ponovnom reprodukovanju poruka. Drugo, Bob mora da zna ta je Alisina lozinka.
Na (Slika 2.4) prikazan je napad na autentifikaciju. Prvi put kada je Alisa koristila
ovaj protokol za autentifikaciju pred Bobom, Alisa je pasivno opservirala njihovu
komunikaciju. Alisa i Bob ne znaju da postoji u njihovom komunikacionom kanalu ovakva aktivnost od strane Trudi. Trudi je uspela da iz komunikacionog kanala
sazna ta je lozinka, a zatim da pokua napad sa ponovnim reprodukovanjem
poruka.
Kriptologija 2
50
Ja sam Alisa
Dokai
lozinka = singidunum
Alisa
Bob
Trudi
Slika 2.4 Napad na autentifikaciju prva faza
Na (Slika 2.5) prikazan je napad na autentifikaciju sa ponovnim reprodukovanjem poruka. U prvoj poruci, Trudi alje poruku Bobu Ja sam Alisa, u drugoj
poruci, Bob alje poruku dokai da si ti zaista Alisa. U poslednjoj, treoj poruci
Trudi alje lozinku Singidunum, nakon ega Bob proverava da li postoji lozinka
u bazi podataka i odobrava Alisi pristup ne znajui da se sa druge strane protokola nalazi Trudi.
Ja sam Alisa
Dokai
lozinka = singidunum
Trudi
Bob
Slika 2.5 Napad na autentifikaciju druga faza
Kriptologija 2
51
Ja sam Alisa,
lozinka =singidunum
Alisa
Bob
Slika 2.6 Efikasniji protokol za autentifikaciju
Ja sam Alisa
Dokai
H(singidunum)
Alisa
Bob
Slika 2.7 Poboljani protokol za autentifikaciju
Kriptologija 2
52
Kriptologija 2
53
Ja sam Alisa
Izazov
H(singidunum, izazov)
Alisa
Bob
Slika 2.8 Protokol za autentifikaciju, izazov - odgovor
Ja sam Alisa
Izazov
Neto to moe biti samo Alisino,
a da Bob moe da verifikuje
Alisa
Bob
Slika 2.9 Autentifikacioni protokol, izazov odgovor 2
Kriptologija 2
54
Kriptologija 2
55
= (, acc(C)|) = (, )()()
()() = (, )
,,(,)0
()()
()()
= [
]
(, )
(, )
odnosno:
log( ) = log [
()()
],
(,)
()()
]
(,)
[log
()()
]
(,)
= (; ),
odnosno:
2(;) ,
sa jednakou, ako i samo ako je
()()
konstantno
(,)
za sve (; ) (tako da je
Kriptologija 2
56
sledi da je:
(; ) = () (),
to implicira:
_ 2^(() () ) > 0.
Odavde sledi da bi apsolutno tajni kriptografski sistem morao da ima ekstremno
kompleksne kljueve () () da bi se istovremeno obezbedila pouzdana
autentifikacija.
Jedno mogue reenje je da vai (; ) 0, da bi se ostvarila autentifikacija, a
da se tajnost obezbedi algoritamski. Ovo je jedan od razloga zato su kriptografski sistemi zasnovani na algoritamskoj kompleksnosti danas u irokoj upotrebi.
Osnovna ideja je da se koristi digitalni potpis poruke. Ovim se obezbeuje da je
poiljalac poruke zaista i osoba koja tvrdi da je to ona, a da u sluaju neslaganja,
poiljalac koji je digitalno potpisao poruku ne moe da porekne da je on zaista
poslao tu poruku.
Kriptologija 2
57
Kriptologija 2
58
Ja sam Alisa
R
E(R, KAB)
Alisa, KAB
Bob, KAB
Kriptologija 2
59
4. Bob deifruje ifrat koji mu je Alisa poslala i verifikuje Alisu na osnovu izazova R koji je poslao u drugom koraku.
Ovaj metod je pouzdan jer je jasno da niko drugi osim Alise nije mogao da generie korektan ifrat na osnovu koga je Bob verifikovao Alisu. Oigledan nedostatak
kod ovog protokola je uzajamna autentifikacija. Pod uzajamnom autentifikacijom
podrazumevamo predstavljanje u oba smera Alisa > Bob, Bob -> Alisa.
U sledeem dizajnu protokola na slici (Slika 3.2) razmotriemo mogunost uzajamne autentifikacije uvoenjem drugog smera autentifikacije, oba smera zasnovana na simetrinim kljuevima.
Ja sam Alisa, R
E(R, KAB)
E(R, KAB)
Alisa, KAB
Bob, KAB
Objasniemo kako radi ovaj protokol za uzajamnu autentifikaciju na osnovu zajednikog kljua KAB.
1. Alisa se predstavlja Bobu Ja sam Alisa i generie sluajnu vrednost R
izazov, zatim alje Bobu.
2. Bob ifruje sa simetrinim algoritmom sluajnu vrednost R, kljuem KAB i
dobijeni ifrat alje Alisi.
3. Alisa preko primljenog ifrata verifikuje Boba i ponavlja identian korak kao i Bob. Alisa ifruje istu vrednost R kljuem KAB, zatim generisani
ifrat alje Bobu na osnovu koga Bob verifikuje Alisu.
Bob deifruje ifrat koji mu je Alisa poslala i verifikuje Alisu na osnovu izazova R
koji je poslao u drugom koraku. Ovde nastaje veliki problem, drugi korak je identian treem koraku, ovakva situacija omoguava da se Trudi predstavi kao Alisa
ili bilo ko drugi.
Kriptologija 2
60
Ja sam Alisa, RA
RB, E(RA,KAB)
E(RB, KAB)
Alisa, KAB
Bob, KAB
Objasniemo kako radi ovaj protokol za predloenu modifikaciju na osnovu zajednikog kljua KAB.
1. Alisa se predstavlja Bobu Ja sam Alisa i generie sluajnu vrednost RA
izazov, zatim alje Bobu.
2. Bob ifruje sa simetrinim algoritmom sluajnu vrednost RA kljuem KAB,
generie RB za Alisu, zatim dobijeni ifrat i vrednost RB alje Alisi.
3. Alisa preko primljenog ifrata verifikuje Bobov identitet. Alisa ifruje
vrednost RB kljuem KAB, zatim generisani ifrat alje Bobu na osnovu koga Bob verifikuje Alisin identitet.
Preko ovog dizajna protokola sa slike (Slika 3.3) omoguili smo uzajamnu autentifikaciju izmeu Alise i Boba na osnovu postojanja jednosmernog autentifikacionog protokola. Da li je ovaj protokol bezbedan za uzajamnu autentifikaciju? Videemo to na slici (Slika 3.4).
Objasniemo kako je Trudi uspela da nadmudri Boba i lano se predstavi pod
Alisinim identitetom. I dalje svi parametri ostaju u funkciji, kao to su klju KAB, KA
i KB.
Kriptologija 2
61
Bob
3. Ja sam Alisa, RB
4. RC, E(RB,KAB)
Trudi
Bob
Izgleda da na protokol za uzajamnu autentifikaciju nije bezbedan. Trudi je jednostavno uspela da se predstavi kao Alisa, a da Bob ne zna za to. Ovaj protokol jo
jednom potvruje injenicu da su protokoli veoma suptilni!
Kriptologija 2
62
Ja sam Alisa, RA
RB, E(Bob, RA, KAB)
E(Alisa, RB, KAB)
Alisa
Bob
Slika 3.5 Uzajamna autentifikacija, modifikovani protokol
Prva lekcija koju treba da zapamtimo iz ovoga odeljka je da dve strane koje komuniciraju (Alisa I Bob) ne smeju uraditi identine stvari, jer to moe otvoriti
vrata za napadaa. Druga lekcija je da male modifikacije mogu da dovedu do velikih promena sa aspekta bezbednosti, kako na bolje tako na loije. Oigledne stvari ne moraju biti bezbedne. Takoe, ukoliko se pretpostavke ili okolnosti promene, protokoli mogu i da ne rade. Ovo predstavlja zajedniki izvor bezbednosnih
propusta, dobar primer su Internet protokoli.
Kriptologija 2
63
Ja sam Alisa
{R}Alisa
R
Alisa
Bob
Slika 3.6 Autentifikacija sa javnim kljuem - ifrovanje
Objasniemo kako radi protokol sa slike (Slika 3.6) za jednosmernu autentifikaciju na osnovu javnog kljua - ifrovanje.
1. Alisa se predstavlja Bobu Ja sam Alisa.
2. Bob ifruje sa Alisinim javnim kljuem vrednost R (izazov) i dobijeni
ifrat alje Alisi.
3. Alisa u ovoj fazi koristi svoj privatni klju za deifrovanje poruke koju je
dobila od Boba u drugom koraku. Nakon deifrovanja Alisa dobija poruku
R koju alje u treem koraku Bobu na osnovu koga Bob verifikuje Alisu.
Jasno je da u ovom protokolu samo Alisa sa svojim privatnim kljuem moe da
deifruje poruku koju je Bob poslao kao izazov, jer je Bob za generisanje ifrata
koristio Alisin javni klju.
Kriptologija 2
64
Koliko je ovaj dizajn protokola siguran? Nije siguran, jer Trudi moe da natera
Alisu da deifruje bilo ta! Recimo neku ranije poslatu ifrovanu poruku {M}Alisa,
umesto {R}Alisa. Ovaj problem je mogue reiti upotrebom dva razliita para kljueva. Jedan par e biti upotrebljen za ifrovanje, a drugi za digitalno potpisivanje.
Prelazimo na drugi primer protokola u kome koristimo digitalni potpis. U ovom
protokolu Bob e pokuati da verifikuje Alisu na osnovu njenog potpisa. Na sledeoj slici (Slika 3.7) prikazan je protokol.
Ja sam Alisa
R
[R]Alisa
Alisa
Bob
Slika 3.7 Autentifikacija sa javnim kljuem - deifrovanje
Objasniemo kako radi protokol sa slike (Slika 3.7) za jednosmernu autentifikaciju na osnovu javnog kljua digitalno potpisivanje.
1. Alisa se predstavlja Bobu Ja sam Alisa.
2. Bob generie sluajnu vrednost R (izazov) i alje je Alisi.
3. Alisa u ovoj fazi koristi svoj privatni klju za potpisivanje poruke (vrednost R - izazov) koju je dobila od Boba, zatim alje potpisanu poruku R
Bobu, na osnovu koga Bob verifikuje Alisu.
Koliko je ovaj dizajn protokola siguran? Problem je slian kao i u prethodnom
protokolu, Trudi ponovo moe da natera Alisu da potpie bilo ta! Oigledan je
nedostatak kod oba protokola, moraju se imati dva razliita para kljueva, kao to
smo ve rekli jedan za ifrovanje, a drugi za potpis.
Podsetiemo se nekih elementarnih stvari iz kriptografije sa javnim kljuem kod
operacija za ifrovanje i potpisivanje. Pretpostavimo da Alisa i Bob komuniciraju
preko nekog komunikacionog kanala. Na svakoj strani se nalaze po dva para klju-
Kriptologija 2
65
eva. Jedan par se koristi za ifrovanje, a drugi za potpisivanje. Ukoliko Alisa eli
da poalje Bobu ifrovanu poruku, Alisa e saznati Bobov javni klju i njega upotrebiti za ifrovanje poruke koja je namenjena Bobu. Ovu ifrovanu poruku moe
samo Bob deifrovati sa svojim privatnim kljuem.
U drugom sluaju, Alisa eli da potpie poruku koju je namenila Bobu, Alisa koristi svoj privatni klju za ifrovanje i tako ifrovanu poruku alje Bobu. Bob na
drugoj strani verifikuje Alisin potpis tako to deifruje poruku sa Alisinim javnim
kljuem. Vidimo iz ovog primera da u sluaju ifrovanja i potpisivanja javni i privatni klju menjaju svoje uloge. Ostaje jo jedna napomena, a to je osnovno pravilo da se isti par kljueva ne sme koristiti za ifrovanje i za potpisivanje.
66
Ja sam Alisa, R
{R, K}Alisa
{R+1, K}Bob
Alisa
Bob
Slika 3.8 Protokol za autentifikaciju i uspostavu sesijskog kljua ifrovanje javnim kljuevima
Kriptologija 2
67
Ja sam Alisa, R
[R, K]Bob
[R+1, K]Alisa
Alisa
Bob
Protokol sa slike (Slika 3.9) je slian dizajnu protokola sa slike (Slika 3.8). Razlika
izmeu njih je jedino u operaciji sa javnim kljuevima. Ovaj protokol koristi operaciju digitalnog potpisivanja umesto ifrovanja. Da li je sada problem reen?
Postigli smo uzajamnu autentifikaciju izmeu Alise i Boba, ali ovaj protokol ima
jedan fatalan problem. Klju sesije K nije tajan. Svako ko opservira komunikaciju
izmeu njih moe da doe do kljua K preko javnog kljua Alise ili Boba.
Razmotrimo jo jednom sve pre nego to odbacimo i ovaj protokol. Protokol sa
slike (Slika 3.8) prua uzajamnu autentifikaciju, a protokol sa slike (Slika 3.9)
tajnost sesijskog kljua K. Sve ovo je stvorilo ideju o kombinovanju ova dva protokola. Upravo se tu i nalazi reenje pojedinanih problema oba protokola. Na
ovaj nain emo obezbediti bezbednu autentifikaciju i tajnost sesijskog kljua K.
Postoji nekoliko naina da ovo uradimo.
Kriptologija 2
68
Ja sam Alisa, R
{[R, K]Bob}Alisa
{[R+1, K]Alisa}Bob
Alisa
Bob
Prvi primer je prikazan na slici (Slika 3.10). U primeru obe strane prvo potpisuju
vrednost R i klju K sa privatnim kljuem, a zatim ifruju sa javnim kljuem druge
strane. Da li je sada protokol koji obezbeuje bezbednu autentifikaciju i razmenu
zajednikog sesijskog kljua siguran? Izgleda da je sada u redu, obezbeena je
autentifikacija i sigurna razmena sesijskog kljua.
Drugo pitanje je, da li ovaj protokol radi i u obrnutom sluaju? Na slici (Slika
3.11) prikazan je identian protokol u kome je redosled operacija sa javnim kljuem obrnut. Alisa i Bob u ovom dizajnu protokola prvo ifruju vrednost R i klju K
sa javnim kljuem druge strane, a zatim potpisuju generisani ifrat svojim privatnim kljuem.
Ja sam Alisa, R
[{R, K}Alisa]Bob
[{R+1, K}Bob]Alisa
Alisa
Bob
Ovaj dizajn protokola je takoe siguran, iako svako moe da vidi {R, K}Alisa i
{R+1,K}Bob. Ovo se postie skidanjem potpisa, operacija koju moe bilo ko da ura-
Kriptologija 2
69
Kriptologija 2
70
Upravo, na drugom uslovu nastaje problem. Kako Alisa i Bob ustanovljavaju klju
sesije KS i ostvaruju pogodnosti koje nudi PFS? Na sledeoj slici (Slika 3.12) prikazaemo jedan naivni protokol za ustanovljavanje kljua sesije.
E(KS,KAB)
E(poruke, KS)
Alisa, KAB
Bob, KAB
Slika 3.12 Naivna PFS metoda
Kriptologija 2
71
I dalje nam ostaje da odgovorimo na pitanje kako se perfektno moe implementirati PFS metoda, a da pri tome nae konstatacije i tvrdnje iz prethodnog pasusa
vae.
Difi-Helman protokol predloili su Vitfild Difi (Whitfield Diffie) i Martin Helman
(Martin Hellman)1. Difi i Helman su traili matematike funkcije za koje redosled
ifrovanja i deifrovanja nije bitan, na primer:
f ( g ( x)) g ( f ( x))
Ovakve funkcije postoje, veina ih je dvosmerna, odnosno mogu se lako izraunati ali je lako nai i njihovu inverznu vrednost. Primer dvosmernih funkcija:
f ( x) 2 x; f ( x) x 2
n log g ( x)
Ako je x g n (mod p) , n se takoe odreuje preko logaritma ali diskretnog (diskretni algoritam). U nastavku emo proi kroz matematike osnove DH algoritma.
Neka je veliki prost broj i g takvo da se za svako x {1, 2,..., p 1} moe nai n
tako da je:
Vitfild Difi roen je 1944. godine u Njujorku. 1965. diplomirao na Stanford Univerzitetu. Dostupno
vise na Veb sajtu: http://en.wikipedia.org/wiki/Whitfield.
Martin Helman roen je 1945. godine, u Bronksu. Doktorirao na Stanford Univerzitetu. Dostupno
vie na sajtu: http://en.wikipedia.org/wiki/MartinHellman.
2 Government Communications Headquarters GCHQ: Dems Elis, Kliford Koks, Malkom Vilijamson.
Stanford Univerzitet: Difi i Helman
1
Kriptologija 2
72
x g n (mod p)
Kriptologija 2
73
g a mod p
g b mod p
Alisa, a
Bob, b
E( g
mod p , KAB)
E( g
mod p , KAB)
Alisa, a
Bob, b
Slika 3.14 Pravilna implementacija PFS metoda
Kriptologija 2
74
ajan nain. Ovim smo dobili efemerni DH protokol u kojem ak ni Alisa ni Bob ne
mogu kasnije da rekonstruiu KS.
Da li postoji jo neki drugi pristup koji e omoguiti implementaciju PFS-a? Postoji jo jedan pristup, iji je dizajn u osnovi veine savremenih kriptografskih protokola dananjice. On objedinjava na jednom mestu protokol za uzajamnu autentifikaciju, klju sesije i PFS. Ovaj pristup dizajna kompletnog protokol kombinuje
protokol sa slike (Slika 3.10) i DH protokolom na slici (Slika 3.13).
Ja sam Alisa, RA
b
RB,[{RA, g mod p }Alisa]Bob
Bob, b
Slika 3.15 Protokol za uzajamnu autentifikaciju, razmeni sesijskog kljua sa PFS metodom
Sada smo stavili sve elemente protokola koje smo do sada razmatrali, zajedno u
dizajn protokola, ime smo omoguili uzajamnu autentifikaciju, razmenu kljua
sesije sa PFS-om. Sa slike (Slika 3.15) se jasno vidi da je to protokol potpii pa
ifruj, modifikovan sa DH protokolom. U ovom protokolu su Alisa i Bob autentifikovani, komunikacija u vidu sesija je bezbedna, obezbeen je PFS i na osnovu svih
ovih poboljanja zakljuujemo da nema oiglednih napada.
Kriptologija 2
75
Korienje vremenskog peata implicira da je vreme bezbednosno-kritian parametar. Zato bezbednosno kritian parametar? Zato to Trudi moe pokuati da
izvede napad na Alisin sat i tako uspe da reprodukuje poruku u dozvoljenim vremenskim okvirima koje nazivamo vremenska tolerancija. Dodatni problem je
injenica da vreme nije egzaktno jednako u dva odvojena trenutka, tako da se u
protokolima mora predvideti odreeno vremensko kanjenje ili vremenska tolerancija. Kolika je vremenska tolerancija dovoljna u protokolima? Za odreivanje
vremenske tolerancije neophodno je da znamo koliki je stepen sinhronizacije
izmeu Alise i Boba, zatim koliko su vremenski zahtevani odreeni procesi po
fazama protokola izmeu Alise i Boba.
U realnim protokolima, Alisa i Bob koriste NTP4 (engl. Network Time Protocol)
protokol za vremensku sinhronizaciju, sinhronizujui njihove raunare u svega
par milisekundi.
Da bi predstavili znaaj vremenskog peata u protokolu, razmotriemo dizajn
protokola sa slike (Slika 3.16). Ovaj protokol sa vremenskim peatom je u sutini
verzija protokola potpii pa ifruj, koji smo prikazali na slici (Slika 3.10). Uvodei
vremensku oznaku smanjili smo broj poruka, nemamo vie treeg koraka.
Alisa
Bob
Slika 3.16 Autentifikacija sa vremenskim peatom
Protokol na slici (Slika 3.16) koristi vremenski peat ili vremensku oznaku. Dizajn protokola sadri dva koraka:
Link: http://en.wikipedia.org/wiki/Network_Time_Protocol
Kriptologija 2
76
Alisa
Bob
Slika 3.17 ifruj pa potpii sa vremenskom oznakom
Razmotrimo sledei scenario, Alisa i Bob koriste skoro slian dizajn protokola, s
tim to je promenjen redosled operacija sa javnim kljuem. Sada umesto potpii
pa ifruj, primenili su pristup ifruj pa potpii, protokol na slici (Slika 3.17).
Trudi
Bob
Slika 3.18 Trudi napada pristup ifruj pa potpii
Kriptologija 2
77
Koliko je bezbedan ovaj dizajn protokola? Izgleda da Trudi moe da upotrebi Alisin javni klju u cilju nalaenja {T, K}Bob, a zatim da vrlo lako sazna ta je klju K.
Razmotrimo ovaj potencijalni napad koji je prikazan na slici (Slika 3.18).
Objasniemo detaljno, kako Trudi realizuje ovaj napad? Na protokolu sa slike
(Slika 3.17), Trudi je opservirala komunikaciju izmeu Alise i Boba. Preko Alisinog javnog kljua dola je do ifrata {T, K}Bob. Napominjemo da je cilj ovog napada
klju K. Od ovog momenta Trudi postaje aktivni napada. U naredna dva koraka
saznaje ta je klju K i deifruje sve ifrovane poruke koje su vezane za sesiju.
1. Trudi alje poruku koja sadri Alisin identitet Ja sam Alisa i potpisanu
vrednost {T, K}Bob.
2. U sledeem korak Bob odaje vrednost kljua K, tako to modifikuje vremensku oznaku sa T+1 i zajedno sa kljuem K ifruje sa javnim kljuem
od Trudi. Trudi sada vrlo lako koristei svoj privatni klju, saznaje vrednost kljua K.
Na ovaj scenario napada potrebno je staviti malu primedbu, Trudi mora delovati
u okviru vremenske tolerancija. Da li nebezbedni protokol sa slike (Slika 3.18)
moe da se popravi? Potrebne su manje modifikacije, nakon kojih bi ovaj protokol
postao bezbedan. Na primer, ne postoji potreba da Bob vraa klju K Alisi u drugoj poruci. Svrha druge poruke je da Alisa autentifikuje Boba. Vremenska oznaka
u poruci je u potpunosti dovoljna za autentifikaciju Boba. Napad koji Trudi izvodi
je fokusiran samo na klju K u drugoj poruci. Sada kada smo predloili sve modifikacije, videemo kako izgleda poboljana verzija prethodno nebezbednog protokola, prikazan na slici (Slika 3.19).
Trudi
Bob
Slika 3.19 Sigurna verzija protokola ifruj pa potpii
Kriptologija 2
78
Ovo je jo jedna potvrda teze da su protokoli vrlo suptilni i da bezbednosni problemi koji mogu da nastanu. ne moraju uvek biti oigledni. Koncept koji podrazumeva uvoenje vremenskih peata primenjen je u svim stvarnim protokolima
dananjice, o kojima e biti vie rei u sledeem poglavlju.
Kriptologija 2
79
SYN, SEQ a
SYN, ACK a+1, SEQ b
ACK b+1, podaci
Alisa
Bob
Slika 3.20 TCP faze rukovanja
80
3. U treem koraku, Alisa odgovara Bobu sa parametrom koji potvruje prijem Bobovog inicijalnog rednog broja b, tako to alje (ACK b+1) i SYN parametar postavlja na vrednost 0, ime je konekcija uspostavljena.
Napominjemo da inicijalni parametar SEQ a i SEQ b, moraju biti sluajni brojevi,
generisani na sluajan nain. Videemo kasnije, zato je ovo vano?
Pretpostavimo da Bob nakon uspostavljanja veze preko TCP protokola sa Alisom
veruje da data IP adresa pripada Alisi. U ovom sluaju Bob je koristio TCP protokol za autentifikaciju Alise. Obzirom da Bob alje SYN-ACK indikator potvrde na
Alisinu IP adresu, logino je da odgovarajui ACK mora da doe sa Alisine adrese.
Odnosno, ako Bob proveri ACK b+1 koji se pojavljuje u treoj poruci, on ima neki
razlog da veruje Alisi i njenoj IP adresi, preko koje je primila poruku i odgovorila.
Ne zaboravimo da druga poruka sadri SEQ b, i da niko drugi ne sme da zna b.
Ukoliko pretpostavimo da Trudi ne moe da vidi SYN-ACK paket u drugoj poruci,
time nee da zna vrednost b i nee moi lako da napadne ovaj protokol. Meutim,
u praktinom smislu to je veoma teko za Trudi. Tanije, da presretne poruku
koja sadri SEQ b, ako Trudi ne moe da sazna parametar b, tada je zakljuak da
je protokol bezbedan.
Da li je mogu u ovom sluaju neki drugi tip napada na TCP protokol. ak i ako
Trudi ne moe da sazna poetne vrednosti (SEQ b), ona moe biti u stanju da
napravi razumne pretpostavke. Ovaj primer napada je prikazan na slici (Slika
3.21).
U ovom napadu Trudi prvo alje obian zahtev Bobu za sinhronizaciju (SYN). Bob
odgovara sa potvrdom (SYN-ACK), na osnovu koje Trudi ispituje i saznaje Bobovu
inicijalnu vrednost SEQ b1 u paketu SYN-ACK.
Pretpostavimo sada da Trudi moe koristiti b1, na osnovu koje moe da predvidi
sledeu Bobovu inicijalnu vrednost SEQ b2. Tada Trudi moe poslati paket Bobu
sa lane IP adrese koja odgovara Alisinoj IP adresi. U nastavku, Bob e poslati
SYN-ACK na Alisinu IP adresu po pretpostavci, a koju Trudi ne moe da vidi. Ali,
ako Trudi moe da pogodi SEQ b2, ona e moi da kompletira uspostavljanje protokola tako to e poslati Bobu SYN-ACK b2+1.
Kriptologija 2
81
Trudi
Bob
EQ
=b
2
5.
AC
K=
t+
1,
S
5.
SY
N,
5.
4.
5.
Alisa
Rezultat ovog napada je da Bob veruje da su podaci koje dobija Trudi stvarno
otili Alisi. Ovaj napad je dobro poznat u stvarnosti, a krivica je na inicijalnim SEQ
brojevima koji treba da budu generisani na sluajan nain, ali njihove osobine
nisu u korelaciji sa sluajnim brojevima. Oekivano je da oni budu sluajni, ali oni
obino u praksi nisu ni malo sluajni. Na primeru slika (Slika 3.22), data je vizuelna komparacija oekivanog stepena sluajnosti i sluajnost SEQ broja generisanog preko ranih verzija operativnih sistema.
82
Ovo je samo potvrda da mnogi proizvoai softvera ne umeju da generiu sluajne brojeve i da mesto i nain generisanja sluajnih brojeva predstavlja jo jednu
kritinu taku celokupne sigurnost protokola.
TCP protokol e predstavljati lou ideju za obezbeivanje servisa autentifikacije,
ak i ako su inicijalni SEQ brojevi generisani na potpuno sluajan nain preko
prirodnih izvora informacija. Oigledno reenje je uvoenje jednog sloja iznad
TCP protokola, koji bi implementirao protokol za autentifikaciju nakon uspostavljanja TCP konekcije.
Ovo poboljanje bi bilo znaajno, ak i ako bismo uveli upotrebu lozinki, tada se
ne bi oslanjali samo na TCP protokol. Razlog zbog ega se TCP i dalje koristi u
praksi za autentifikaciju je zbog njegovog mesta u mrenim slojevima i njegova
jednostavnost koja obezbeuje manje brige korisnicima, ali ne mislimo na brigu o
bezbednosti TCP protokola. Zakljuak je da TCP nije dobar za autentifikaciju, ak i
ako se koriste informaciono kvalitetni SEQ brojevi.
Kriptologija 2
83
Q
R
84
Alisa tvrdi da zna tajnu re koja otvara put izmeu taaka R i S (Sezame otvori
se). Da li ona moe da uveri Boba da zna tajnu re bez njenog otkrivanja?
Razmotrimo sledei protokol u kom Alisa ulazi u Bobovu peinu, baca novi od
kog zavisi da li e dospeti na stranu R ili S. Bob tada ulazi u peinu i nastavlja do
pozicije Q (pozicija sa koje Bob postavlja pitanje Alisi ili Trudi). Pretpostavimo da
je Alisa dospela na stranu R. Ova situacija je prikazana na slici (Slika 3.24).
Q
R
Tada Bob baca novi i na sluajan nain odabira jednu stranu, koja predstavlja
korektnu stranu. Izabrana strana predstavlja pitanje na koje e Alisa sa velikom
verovatnoom tano odgovoriti, pod uslovom da zna tajnu. Na slici (Slika 3.24),
ako se dogodi da Bob izabere stranu R, Alisa e izabrati verovatno stranu R ili ako
se dogodi da Bob izabere stranu S, tada e Alisa dospeti na stranu S, sve pod uslovom da ona zna tajnu, Na kraju protokola, vrata izmeu R i S e se otvoriti.
Drugim reima ako Alisa ne zna tajnu, verovatnoa sa kojom ona moe da prevari
Boba je 1/2. Jasno je da u ovom sluaju Alisa ne zna tajnu preko koje moe da
uveri Boba da je to zaista ona. Ova injenica ne uliva mnogo poverenja u ovaj protokol, ali ukoliko se ovaj proces ponavlja iterativno puta, tada je verovatnoa da
Alisa prevariti Boba sa verovatnoom (1/2)2. Dakle, zakljuak je da Alisa i Bob
moraju da ponove protokol puta i da Alisa pogodi odgovor svaki put da bi Bob
poverovao da Alisa zna tajnu.
Kriptologija 2
85
x r 2 mod N
e {0,1}
y r * S e mod N
Alisina tajna S,
sluajno r
Bob
Kriptologija 2
86
87
88
Shamir dizajn protokola na protokol sa javnim kljuevima, Alisa ne bi znala Bobov javni klju i obrnuto. U protokolima sa javnim kljuevima vai pretpostavka
da Bob alje svoj digitalni sertifikat Alisi. Meutim, taj sertifikat identifikuje Boba
na osnovu koga Trudi zna da Bob uestvuje u komunikaciji. Moemo da zakljuimo da javni kljuevi onemoguavaju uesnicima da ostanu anonimni.
Potencijalna prednost protokola sa nultim znanjem je u postojanju anonimnosti u
autentifikaciji. U Fiat-Shamir protokolu obe strane moraju da znaju vrednosti
javnih parametara, ali nijedan parametar ne otkriva Alisin identitet i ne postoji
nikakva skrivena informacija u porukama koje se razmenjuju koje bi mogle otkriti Alisin identitet.
Mogunost anonimnosti u protokolu navela je Mikrosoft da ukljui protokol nultog znanja u svoj protokol NGSCB (engl. Next Generation Secure Computing Base),
koji se koristi za autentifikaciju softvera bez otkrivanja podataka za identifikovanje raunara. Na kraju zakljuimo da Fiat-Shamir protokol pored svoje teorijske
prednosti, ima i svoju praktinu vrednost, koja je potvrena od strane najveih
proizvoaa softvera.
Kriptologija 2
89
Kriptologija 2
90
Link: http://en.wikipedia.org/wiki/OpenID
Kriptologija 2
91
4.1. SSH
SSH protokol kreira bezbednosni tunel izmeu Alisinog i Bobovog raunara.
Pretpostavimo da se Alisa povezuje sa Bobom, metodom udaljenog pristupa
(engl. Remote control), gde SSH sesija obezbeuje tajnost i zatitu integriteta, ime se eliminie mogunost da Trudi doe do lozinke ili neke druge poverljive
informacije koja bi u drugom sluaju verovatno bila poslata nezatieno.
SSH protokol moe biti dizajniran tako da koristi javne kljueve, digitalne sertifikate ili lozinke. U nastavku odeljka pojasniemo rad protokola zasnovanog na
digitalnim sertifikatima.
Alisa, CP, RA
CS, RB
g a mod p
g b mod p, sertifikat_B, SB
Alisa
Bob
_ Alisin sertifikat
_ Bobov sertifikat
predloeni kripto parametri
izabrani kripto parametri
(, , , , RA, RB, mod , mod )
[]
mod
[, , _]
() he funkcija
Kriptologija 2
92
U nastavku emo razmotriti protokol sa slike (Slika 4.1), kroz razmenjene poruke.
1. U prvoj fazi protokola, Alisa alje prvu poruku sa sledeim parametrima:
Alisin identitet Alisa,
predloene kripto parametre (kripto algoritam, duinu kljua, protokol za razmenu kljueva, he funkciju itd),
Alisin parametar izazova (na osnovu koga eli da autentifikuje Boba).
2. U drugoj fazi protokola, Bob selektuje kripto parametre koje je Alisa predloila u prvoj poruci i odgovara sa sledeim parametrima:
izabrani kripto parametri (kripto algoritam, duinu kljua, protokol
za razmenu kljueva, he funkciju itd) ,
Bobov parametar izazova (na osnovu koga eli da autentifikuje Alisu).
3. U treoj fazi protokola, Alisa alje svoje parametre DH (engl. DiffieHalman) protokola:
vrednost mod (na osnovu koje e Bob izraunati simetrini klju
) .
4. U etvrtoj fazi protokola, Bob odgovara sa sledeim parametrima na Alisinu poruku iz tree faze:
vrednost mod (na osnovu koje e Alisa izraunati simetrini klju
),
_ (Bobov sertifikat),
digitalno potpisane sve poruke koje su razmenjene do tog moment .
5. U petoj fazi, Alisa ima sve parametre na osnovu kojih moe da izrauna
klju , i u poslednjoj poruci alje ifrovan blok koji sadri:
Alisin identitet Alisa,
_ (Alisin sertifikat),
digitalno potpisane sve poruke koje su razmenjene do tog moment ,
uspostavljeni klju .
Kriptologija 2
93
Zadatak digitalnog potpisa u protokolu koji smo razmatrali je da obezbedi uzajamnu autentifikaciju preko parametara koji predstavljaju izazov sa Alisine i Bobove strane. Podsetimo se uloge vrednosti koja predstavlja izazov. Ukoliko je
Bob poslao Alisi izazov , tada e samo Alisa moi tano da odgovori. Na taj nain Bob je uspeno autentifikovao Alisu i obrnuto. Protokol o kom smo diskutovali obezbeuje uzajamnu autentifikaciju i razmenu simetrinog kljua .
Kriptologija 2
94
4.2. SSL/TLS
U savremenom elektronskom poslovanju SSL (engl. Secure Sockets Layer) protokol se koristi za veinu bezbednih transakcija preko Interneta. SSL protokol se
nalazi izmeu aplikativnog i transportnog sloja u OSI modelu (Slika 4.2), obino je
smeten izmeu HTTP i TCP protokola.
SSL (Socket
layer)
Aplikativni
Transportni
Mreni
Veza
Fiziki
Na primer, ako Alisa eli kupiti neki proizvod preko eBay-a, verovatno e koristiti
PayPal za plaanje rauna (Slika 4.3).
95
va uloga je da Alisin novac na siguran nain dostavi Bobu preko Interneta. Pretpostavka je da Alisa i Bob veruju ovoj organizaciji, tada ova organizacija predstavlja treu stranu od poverenja.
Zato nam je ba ovaj primer interesantan? Zato to Alisa koristi SSl/TLS protokol
na osnovu koga autentifikuje PayPal organizaciju, a zatim ifrovano alje svoje
parametre (korisniko ime i lozinku) na osnovu ega Alisa potvruje svoj identitet.
Na slici (Slika 4.4) prikazane su osnovne informacije o protokolu i njegovim stanjima. Alisin Internet pregleda (Chrome) verifikuje ispravnost sertifikata, na
osnovu koga je potvren identitet organizacije PayPal-a na lokalitetu San Jose u
Kaliforniji US. Verifikacija je obavljena preko digitalnog potpisa koji pripada sertfikacionoj organizaciji VeriSign, u koju svi uesnici na Internetu imaju poverenje.
Nakon potvrenog vlasnitva, to govori o tome da sertifikat pripada organizaciji
PayPal, Alisin raunar stupa u bezbednu komunikaciju sa PayPal servisima. Nak-
Kriptologija 2
96
Podaci ifrovani sa K
Bob
Kriptologija 2
97
Kriptologija 2
98
Na ovaj nain koristimo razliite kljueve po smerovima komunikacije. Ovaj metod upravljanja sa kljuevima trebao bi da sprei odreene vrste napada. Paljivom analizom protokola sa slike (Slika 4.5), zakljuiemo da je (, , )
nepotrebno ifrovano, jer ne poveava bezbednost protokola. Ovaj sluaj moemo smatrati propustom, obzirom da je za to utroeno neko vreme i raunarski
resurs.
Kriptologija 2
99
U nastavku, razmotriemo sve mogunosti za potencijalni napad ovek u sredini. Jedna takav potencijalni napad prikazan je na slici (Slika 4.6).
RA
RB
Sertifikat_B, RB
Sertifikat_T, RB
{S2}Bob, E(X2,K2)
{S1}Trudi, E(X1,K1)
H(Y2, K2)
H(Y1, K1)
Alisa
E(podaci, K1)
Trudi
E(podaci, K2)
Bob
Da bi smo mogli da spreimo ovu vrstu napada, neophodno je prvo da pretpostavimo da sertifikate izdaje trea strana od poverenja (verisign, comodo i td).
Razmotrimo sada potencijalne scenarije. U prvom scenariju napada, Trudi e poslati Alisi svoj sertifikat, Alisa e veoma lako da utvrdi da sertifikat nije Bobov i
prekinuti SSL uspostavu veze.
U drugom scenariju, poslae Bobov sertifikat Alisi, nakon ega e Alisa verifikovati Boba i u poslednjoj fazi ifrovati sa Bobovim javnim kljuem, nakon ega Trudi
ispada iz igre.
U treem scenariju, generisae Bobov lani sertifikat, meutim standardna SSL
veza ostvaruje su uz pomo Internet pregledaa i njihova uloga u tome je vrlo
znaajna. Zapravo, po prijemu sertifikata njihov zadatak je da provere njihovu
validnost kod tree strane od poverenja. Citiramo sledeu poruku Chrome pregledaa, nakon to utvrdi neispravnost sertifikata.
Pokuali ste da kontaktirate www.Bob.rs, ali ste umesto toga kontaktirali server
koji se identifikovao kao www.Trudi.rs. Ovo moe da bude prouzrokovano pogrenom konfiguracijom na serveru ili neim jo ozbiljnijim. Mogue je da napada sa
vae mree pokuava da vas namami da posetite lanu (potencijalno tetnu) verziju
domena www.Bob.rs. ne bi trebalo da nastavite naroito ako nikada ranije niste
videli ovo upozorenje.
Kriptologija 2
100
Kriptologija 2
101
ifrovani podaci
Bob
Obzirom da je vrednost ve poznata Alisi i Bobu, dodatno je to obe strane moraju da pamte sesije, zatim raunaju klju za novu sesiju na osnovu =
(, , ). Iz priloenog vidimo da su izostavljene operacije PKI-a, a bezbednost metoda oslanja se na poznatu vrednost S.
Imajmo na umu da je SSL protokol u veini sluajeva implementiran u WEB pregledaima. Upravo je to razlog zbog ega je nastao i protokol za nove konekcije na
osnovu postojee sesije. Operacije sa javnim kljuevima su dosta zahtevne i mogu
izazvati odreene probleme u radu, ako bi svaki put od poetka koristili protokol
za uspostavu SSL konekcije. Umesto toga, razvijen je poseban protokol za upravljanje novim konekcijama. Ideja je vrlo jednostavna, SSL inicijalizuje novu konekciju na osnovu ve razmenjenog sesijskog kljua . Sesijski klju e biti upotrebljen kao materijal za generisanje novog sesijskog kljua, umesto skupih operacija sa javnim kljuevima. Na ovaj nain su unapreene performanse protokola.
Kriptologija 2
102
4.3. IPSEC
Na slici (Slika 4.8) je prikazana osnovna logika razlika izmeu SSL-a i IPSec-a,
SSL radi na soket sloju, dok IPSec radi na mrenom sloju i tako predstavlja deo
operativnog sistema.
SSL (Socket
layer)
Aplikativni
Transportni
IPSec
Mreni
Veza
Fiziki
Meutim, IPSec je vrlo sloen protokol, to se moda najbolje moe doarati ako
kaemo da je preprojektovan protokol. Glavna prednost IPSec-a u poreenju sa
SSL-om je da je u sutini transparentan za aplikacije, sa drug strane zahteva promene na operativnom sistemu. IPSec se najee koriti u VPN aplikacijama (engl.
Virtual Private Network) koje obezbeuju zatienu tunelovanu komunikaciju.
Oba protokola, SSL i IPSec naila su na otpor. SSL je naiao na otpor zbog potrebe
prilagoavanja aplikacija, a IPSec zbog svoje sloenosti i interoperabilnosti.
Uglavnom, krajnji rezultat je da je Internet manje bezbedan nego to treba da
bude!
IPSec poseduje mnogo sumnjivih i u sutini nepotrebnih funkcija, koje oteavaju
njegovu implementaciju. Pored svoje sloenosti, prisutni su i neki nedostaci,
verovatno kao direktni rezultat njegove sloenosti. U njemu postoje ozbiljni bezbednosni propusti, koji ga ine ranjivim. Pored toga, postoje i druga pitanja, kao
Kriptologija 2
103
to je pitanje interoperabilnosti (sloena dokumentacija), a to predstavlja ozbiljan problem, jer smanjuje mogunosti da postane standard. Dodatni faktor koji
komplikuje situaciju IPSec-a je dokumentacija, koja je podeljena u tri dela (RFC
2407, RFC 2408 i RFC 2409) i napisana od strane tri razliita autora koja su koristila razliitu terminologiju.
IPSec se sastoji od dva glavna dela:
1. IKE (engl. Internet Key Excange) protokol obezbeuje uzajamnu autentifikaciju i sesijske kljueve. IKE se sastoji od dve faze, slino kao i u SSL protokolu.
2. ESP/AH (engl. Encapsulating Security Payload and Authentication Header)
predstavlja deo koji obezbeuje ifrovanje i/ili zatitu integriteta IP paketa, dok se AH koristi samo za obezbeenje integriteta.
Tehniki gledano IKE je samostalni protokol koji bi mogao da opstane nezavisno
od ESP/AH protokola. Meutim, poto se primena IKE u realnom svetu jedino
dovodi u vezu sa IPSec-om, oba glavna dela su zavedena pod nazivom IPSec. Komentar da je IPSec preprojektovan, prvenstveno se odnosi na IKE protokol.
Programeri IKE protokola, oigledno su mislili da stvaraju vajcarski no bezbednosnih protokola, protokol koji e reiti sve probleme autentifikacije. Ovo objanjava zato su ugradili mnotvo opcija u vidu nepotrebnih funkcija ili funkcija
koje nisu relevantne za IPSec protokol.
Prvo emo razmotriti IKE, zatim ESP/AH. IKE je dosta sloeniji od ova dva. Sastoji
se od dve faze, faza 1 i faza 2. Prva faza je dosta sloenija od druge faze. Prva faza
je osnovna faza ili IKE SA (IKE bezbednosna asocijacija) koja je uporediva sa SSL
sesijom, dok je druga faza (IPSec bezbednosna asocijacija) ili IPSec SA, koja je
uporediva sa SSL konekcijom.
Ne postoji oigledna potreba za dve faze u IKE protokolu. Zakljuujemo na osnovu toga to nema viestrukih potreba za fazom 2 (u praksi ih nema), tada je skuplje imati dve faze. SSL protokol poseduje dve faze, ali kod SSL postoji evidentna
potreba za tim kada je HTTP protokol korien. Ovo je prvi primer preprojektovanja u IPSec-u.
U prvoj fazi IKE protokola, postoje etiri razliite opcije, kada je re o kljuevima.
Kriptologija 2
104
Za svaku od ovih opcija, postoje dva razliita reima rada, glavni i agresivni reim
rada. Kao dokaz da je IPSec preoptereen funkcionalnostima, postoji 8 razliitih
verzija prve faze IKE protokola.
Moda se pitate zato postoje javni klju za ifrovanje i digitalni potpis kao opcije
u prvoj fazi IKE. Odgovor na pitanje nije programersko preprojektovanje. Alisa
uvek zna svoj privatni klju, ali ona ne moe da zna (inicijalno) Bobov javni klju.
Sa verzijom potpisa u prvoj fazi IKE, Alisa ne mora da ima Bobov javni klju kod
sebe za poetak protokola. U svakom protokolu koji koristi kriptografiju javnog
kljua, Alisi e biti potreban Bobov javni klju da bi kompletirala protokol, ali u
reimu potpisa, ona istovremeno moe da zapone protokol i da trai od Boba
javni klju. Nasuprot tome, u reimima ifrovanja sa javnim kljuem, Alisi je
potreban Bobov klju odmah, zbog ega ona mora odloiti poetak protokola, dok
ne dobije Bobov javni klju. Dakle, ovom opcijom nije ostvarena dobit na polju
efikasnosti.
U nastavku razmotriemo 6 od 8 verzija prve faze IKE.
Kriptologija 2
105
IC, CP
IC, RC, CS
a
IC, RC, g mod p ,RA
b
IC, RC, g mod p , RB
Alisa
Bob
gde je:
Kriptologija 2
106
Bob
Slika 4.10 Digitalni potpis agresivni reim rada
107
Kriptologija 2
108
Bob
Agresivni reim rada sa simetrinim kljuem (Slika 4.11) u IPSec-u sledi isti format kao i digitalni potpis u agresivnom reimu na slici (Slika 4.10). Kao i kod verzije digitalnog potpisa, glavna razlika od glavnog reima je da agresivni reim ne
pokuava da sakrije identitet (ne eli da krije). Poto simetrini klju u glavnoj
verziji ne uspeva da sakrije identitet, problem nedostatka anonimnosti u agresivnom reimu vie nije ozbiljno ogranienje.
Kriptologija 2
109
IC, CP
IC, RC, CS
IC, RC, ga mod p ,{RA}Bob,{Alisa}Bob
b
IC, RC, g mod p ,{RB}Alisa,{Bob}Alisa
Alisa
Bob
110
Bob
Slika 4.13 Javni klju za ifrovanje agresivni reim rada
Trudi
kao Bob
injenica da Trudi moe da stvori lani razgovor (lanu konverzaciju) koji izgleda
kao da je izmeu Alise i Boba, predstavlja ozbiljan bezbednosni propust. Interesantno je primetiti da se u ovom reimu bezbednosna funkcija moe nazvati imeKriptologija 2
111
Uzajamnom autentifikacijom,
Deljeni simetrini klju,
IKE SA (engl. Security Association);
Prva faza u IKE protokolu je raunarski skupa, posebno u sluaju korienja javnih kljueva, a glavni reimi zahtevaju est razmenjenih poruka preko mree.
Programeri IKE protokola su pretpostavljali da e se IKE koristiti za mnoge druge
stvari, a ne samo u IPSec-u, to predstavlja razumno objanjenje za prekomerni
broj funkcionalnosti u IKE protokolu, ali na njihovu alost u praksi se ne koristi.
Druga faza je znaajno jeftinija i ona se realizuje nakon IKE SA (prve faze). Druga
faza je specifina, jer je zahtevana za svaku razliitu aplikaciju koja e koristiti
IKE-SA.
Druga faza IKE prokola koristi se za uspostavljanje tzv. IPSec-SA (IPSec bezbednosna asocijacija). U poreenju sa SSL protokolom, prva faza IKE protokola uporediva je sa SSL sesijom, dok je druga faza uporediva sa SSL konekcijom. Na ovaj
nain dizajneri i programeri IKE protokola su hteli da budu fleksibilniji, jer su
pretpostavljali da e se protokol koristiti i za mnoge druge stvari, ali osim kod
IPSeca u praksi se to nije dogodilo.
Kriptologija 2
112
Predlog (engl. Crypto proposal) ukljuuje ESP ili AH. Tanije, tada Alisa
i Bob odluuju da li e koristiti ESP ili AH.
SA je identifikator za IKE-SA koji je uspostavljen u prvoj fazi.
Numeracija he vrednosti zavisie od , , i IKE-SA iz prve faze.
Kljuevi koji su izvedeni = (, , , ""), smee
(engl. junk) je poznato svima ukljuujui i Trudi.
Vrednost zavisi od metoda u prvoj fazi IKE protokola.
Opciono, PFS moe da bude implementiran koristei efemerni DH protokol za razmenu kljua.
Bob
Slika 4.15 IKE druga faza
Vrednosti i sa slike (Slika 4.15) nisu isti kao oni sa iz prve faze IKE protokola. Kao rezultat, kljuevi generisani u drugoj fazi su razliiti od kljueva generisanih u prvoj fazi.
Nakon zavretka prve faze IKE protokola, uspostavljen je IKE-SA, a nakon zavretka druge faze IKE protokola, uspostavljen je IPSec-SA. Posle druge faze Alisa i
Bob su autentifikovani, dele zajedniki sesijski klju za upotrebu u trenutnoj sesiji.
Kriptologija 2
113
Podsetimo se da je u sluaju SSL protokola, nakon obavljene uzajamne autentifikacije i razmenjenog kljua sesije, protokol spreman za rad (razmenu ifrovanih
podataka). SSL protokol radi sa podacima na aplikativnom sloju, tada je ifrovanje i zatita integriteta uraena na standardan nain. Kod SSL protokola, mreni
sloj je transparentan za Alisu i Boba, jer je SSL protokol smeten u jednom delu
aplikativnog sloja (jedan deo aplikacije). Ova injenica predstavlja prednost u
radu sa podacima aplikativnog sloja.
Zatita podataka u IPSec-u nije toliko jednostavna. Pod pretpostavkom da je u
IPSec-u uspela autentifikacija i razmena sesijskog kljua, ostaje problem da se
zatite podaci u IP datogramima. Pre nego to nastavimo da se bavimo ovim problemom, treba da razmotrimo IP datagrame iz perspektive IPSec-a.
32 bita
Verzija
IHL
Tip servisa
Identifikacija
TTL
Ukupna duina
FF
Pomak fragmenta
Protokol
Suma zaglavlja
IP adresa izvorita
IP adresa odredita
Opcije
Kriptologija 2
114
Druga bitna stvar je vezana za prosleivanje paketa. Prosleivanje paketa e izazvati promenu vrednosti nekih polja u IP zaglavlju. Na primer, TTL (engl. Timeto-live) polje predstavlja vrednost koja se umanjuje na svakom ruteru. Obzirom
da klju sesije nije poznat, integritet nijednog polja zaglavlja ne moe da bude
zatien. U diskusiji koja se odnosi na IPSec, polja zaglavlja koja se menjaju u prenosu nazivaju se promenljivim poljima.
Dalje, razmatramo sadraj IP datagrama. Uzeemo za primer sesiju u toku WEB
pregledanja. Aplikativni sloj protokola za ovu vrstu saobraaja je HTTP, a transportni sloj je TCP. U ovom sluaju, IP enkapsulira TCP paket, koji enkapsulira
HTTP paket, koji je prikazan na slici (Slika 4.17) . Poenta je da iz perspektive IP-a,
podaci ukljuuju vie od aplikativnog sloja podataka. Konkretno u ovom primeru,
podaci ukljuuju TCP i HTTP zaglavlje, kao i podatke aplikativnog sloja. Videemo
zato je to relevantan ishod.
IP zaglavlje
Podaci
Podaci
Kao to je ranije pomenuto, IPSec koristi ESP ili AH za zatitu IP datagrama. Jedan
od ova dva metoda e biti izabran za zatitu IP datagrama (ESP zaglavlje ili AH
zaglavlje). Izabrani tipovi zaglavlja govorie primaocu da primljeni paket tretira
kao ESP ili AH paket, ne kao standardni IP datagram.
115
sportnog reima je to pasivni napada moe videti zaglavlje. Meutim, ako Trudi
primeti da je IPSec-om zatien razgovor izmeu Alise i Boba, u transportnom
reimu na osnovu zaglavlja Trudi e otkriti da Alisa i Bob komuniciraju.
IP zaglavlje
IP zaglavlje
Podaci
ESP/AH
Podaci
IPSec
Internet
Alisa
Bob
Slika 4.19 IPSec host-to-host
Kriptologija 2
116
Trudi bi mogla da zna da Alisin i Bobov zatitni zid komuniciraju, ali ona ne moe
da zna koji se nalazi iza host-a.
IP zaglavlje
Novo IP zaglavlje
ESP/AH
IP zaglavlje
Podaci
Podaci
Reim tunelovanja prvenstveno je dizajniran za komunikaciju filewall-tofirewall, na ovaj nain spreena je Trudi da sazna koji host-ovi komuniciraju.
IPSec
Internet
Alisin zid
Bobob zid
Alisa
Bob
Kriptologija 2
117
4.3.7. ESP I AH
Nakon to smo odluili da li da koristimo transportni reim ili reim tunelovanja,
tada dodatno moramo razmotriti i tip zatite koji emo da koristimo za zatitu IP
datagrama. Izbori su poverljivost, integritet ili oba. Takoe, trebamo uzeti u obzir
i zatitu koju emo primeniti nad zaglavljem. U IPSec-u, jedini izbori su ESP ili AH.
U nastavku emo razmotriti, koje tipove zatite svaki od njih prua?
AH (engl. Authentication Header) obezbeuje samo integritet, ali ne i ifrovanje.
AH zatita integriteta odnosi se na sve iznad IP zaglavlja i na neka polja u njemu.
Kao to smo malopre rekli, nije mogue tititi integritet svih polja u IP zaglavlju,
iz razloga to su neka polja promenljiva (primer sa TTL-om).
ESP (engl. Encapsulating Security Payload) obezbeuje integritet i poverljivost.
Oba tipa zatite su primenjena na sve izvan IP zaglavlja, to jest, na podatke iz perspektive IP-a. Nema zatitu koja se primenjuje na IP zaglavlje.
ifrovanje je potrebno u ESP-u. Meutim, postoji trik preko kojeg ESP moe da se
iskoristi samo za integritet. U ESP-u, Alisa i Bob pregovaraju za kripto algoritam
koji e koristiti. Jo jedna ifra mora da bud podrana, a to je ifra NULL, opisana
u RFC-u 2410.
Ovde su nabrojani neki neobini izvodi iz RFC-a koji se odnose na ifru NULL.
U ESP-u, ako je NULL ifra izabrana, tada se ifrovanje ne primenjuje, ali integritet
podataka je zatien. Ovaj sluaj izgleda sumnjivo, slino kao i sa AH.
Pokuaemo da odgovorimo na pitanje, zato AH postoji?
Kriptologija 2
118
Postoje tri razloga koja opravdavaju postojanje AH-a. Kao to je prethodno navedeno, IP zaglavlje ne moe da bude ifrovano, ve ruteri moraju da imaju pristup
zaglavlju paketa. Meutim, AH prua neto veu zatitu integriteta, nego ESP sa
NULL ifrom.
Drugi razlog postojanja AH je to ESP ifruje sve izvan IP zaglavlja, pod uslovom
da je izabrana ifra nonNULL. Ako je ESP korieno za ifrovanje paketa, zatitni
zid ne moe da pristupi unutranjosti paketa. Moda iznenaujue, ESP sa NULL
ifrovanjem ne reava ovaj problem, ESP ne titi IP zaglavlje uopte. Kada zatitni
zid detektuje ESP zaglavlje, tada e znati da se koristi ESP. Meutim, zaglavlje
nee otkriti informaciju zatitnom zidu da je korieno NULL ifrovanje, to je Alisin i Bobov dogovor koji nije ukljuen u zaglavlje. Dakle, kada zatitni zid otkrije
da je korien ESP, to ne znai da e otkriti da li je TCP zaglavlje ifrovano ili nije.
Nasuprot tome, kada zatitni zid otkrije da je korien AH, tada e odmah znati da
nita nije ifrovano.
Nijedan od navedenih razloga nije dovoljno dobar da opravda postojanje AH. Dizajneri AH/ESP mogli su napraviti neke manje modifikacije na protokolu i da tako
prevaziu ove nedostatke kod ESP-a. Sa druge strane, postoji uverljiv dokaz za
postojanje AH. Na jednom sastanku gde je IPSec standard razvijen neko iz Mikrosofta je odrao strastven govor o tome kako je AH bio beskoristan i svi prisutni
su gledali oko sebe i rekli. On je u pravu i mi mrzimo AH. Ali ako on nervira
Mikrosoft neka ostane, poto mi mrzimo vie Mikrosoft nego AH. Dakle, sada
moete i sami da pretpostavite ostatak prie.
Jo jednom emo dati osnovne razlike izmeu AH i ESP. AH obezbeuje zatitu
integriteta, ne i poverljivost. Zatita integriteta na sve izvan IP zaglavlja i na neka
polja zaglavlja koja nisu promenljiva. ESP obezbeuje integritet i poverljivost.
titi sve izvan IP zaglavlja. Zatita integriteta je obezbeena upotrebom samo
NULL ifre.
Kriptologija 2
119
4.4. KERBEROS
U Grkoj mitologiji, Kerberos je troglavi pas koji uva ulaz u Had. U svetu informacione bezbednosti Kerberos je autentifikacioni protokol koji je zasnovan na simetrinom kljuu i vremenskom peatu. Nastao je na MIT-u (Massachusetts Institute
of Technology), na radu Needham-a i Schroeder-a. SSL i IPSec protokoli su dizajnirani za korienje na Internetu, dok je Kerberos dizajniran za korienje u manjem radnom okruenju, kao to je lokalna mrea LAN u okviru neke kompanije.
Pretpostavimo da imamo N korisnika u mrei, gde svaki par mora meusobno da
se autentifikuje, jedno pred drugim. Ako bi se Kerberos protokol zasnivao na javnom kljuu, svaki korisnik bi morao da poseduje par javnihi/privatnih kljueva,
samim tim, bilo bi potrebno N parova kljua. Sa druge strane, ako Kerberos protokol obezbeuje servis autentifikacije sa simetrinim kljuevima, tada za N korisnika je potrebno oko 2 kljueva i svi korisnici moraju unapred meusobno
podeliti kljueve. Na osnovu ove injenice, autentifikacija sa korienjem simetrinih kljueva u Kerberos protokolu nee biti razmatrana. Meutim, Kerberos
protokol se zasniva na treoj strani od poverenja (engl. Trusted Third Party), na
ovaj nain je zahtevano samo N simetrinim kljuevima za N korisnika. Umesto
meusobne podele simetrinih kljueva izmeu svih korisnika protokola, svaki
korisnik deli jedan klju sa KDC-om. To znai da Alisa deli klju sa KDC-om,
Bob deli klju sa KDC-om itd. KDC (engl. Key Distrinution Center) ima ulogu
posrednika izmeu bilo koja dva korisnika, zapravo njegova uloga je da obezbedi
bezbednu komunikaciju izmeu korisnika, korienjem Kerberos simetrinog
kljua.
Kerberos TTP je kritina bezbednosna komponenta u protokolu, od koje zavisi
ukupna bezbednost sistema i iz tog razloga mora biti zatiena od napada. Ovo je
svakako bezbednosni problem, ali za razliku od PKI infrastrukture, nijedan javni
klju nije zahtevan. U sutini, Kerberos TTP igra slinu ulogu kao vrhovni CA u PKI
infrastrukturi. Kerberos je kao i TTP, centar za distribuciju kljueva, to znai da
je ceo sistem ugroen ako je on nezatien. Kao to smo ve gore naveli, KDC deli
simetrini klju sa Alisom i simetrini klju sa Bobom i td..
KDC Kerberos protokola poseduje glavni klju , koji je uglavnom poznat samo kao KDC. Iako ovo moe da zvui nelogino, da jedino KDC zna vrednost kljua
Kriptologija 2
120
, ali videemo da ovaj klju igra veoma vanu ulogu u Kerberos protokolu.
Vana bezbednosna karakteristika Kerberos protokola je to klju omoguava KDC-u da ostane nepoznat. Na ovaj nain je onemoguen DoS napad.
Kerberos se koristi za autentifikaciju i uspostavu sesijskog kljua, a koji se naknadno mogu koristiti za obezbeenje poverljivosti i integriteta. To znai da je
svaki simetrini kripto algoritam mogue koristiti sa Kerberos-om. Meutim, u
praksi je est sluaj da se koristi DES (engl. Data Encryption Standard).
U radu Kerberos kao protokol izdaje razliite vrste tiketa. Razumevanje ovih tiketa je od kljunog znaaja za razumevanje Kerberos-a. Tiket ili ulaznica (karta),
sadri kljueve i druge informacije koje su potrebne za pristup mrenim resursima. Dalje u nastavku emo koristiti re tiket kao sinonim za kartu ili propusnicu.
KDC svakom korisniku izdaje jedan poseban tiket TGT (engl. ticket-granting ticket). TGT je generisan i izdat u inicijalnoj fazi, kada se korisnik sistema prvi put
prijavio na sistem sa svojim pristupnim parametrima. Kasnije, TGT kao glavni
tiket se koristi za izdavanje obinih tiketa, koji omoguavaju pristupe pojedinanim mrenim resursima. Na primer, pretpostavimo da Alisa eli da pristupi
mrenom tampau i da joj je za to potrebno odobrenje, ali nije stvar samo u odobrenju, Alisa eli ifrovanu komunikaciju sa tampaom. U ovom sluaju KDC
e odigrati vanu ulogu, tako to e podeliti identian simetrian klju, izmeu
Alise i tampaa.
Svaki TGT sadri klju sesije, ID korisnika kom je izdat TGT i vreme trajanja. Zbog
jednostavnosti zanemariemo vremenski peat, ali bitno je napomenuti da TGT
ne traju veno. Svaki TGT je ifrovan kljuem . Ne zaboravite da samo KDC
zna klju . Kao rezultat tome, TGT moe biti itljiv samo KDC-u.
Postoji odreeni razlog, zato KDC ifruje TGT sa kljuem koji je poznat samo
njemu? Druga alternativa KDC-a, bila bi da postoji baza podataka sa svim prijavljenim korisnicima i njihovim sesijskim kljuevima, to nije dovoljno dobro reenje. KDC ifrovanjem TGT-a prua jednostavan, efektivan i bezbedan nain za
distribuciju kljueva. Na primer, Alisa poalje svoj TGT KDC-u, tada KDC deifruje
TGT i tako dobije sve potrebne informacije o Alisi. U nastavku emo malo bolje
objasniti upotrebu TGT-a, jer TGT predstavlja izuzetno pametan dizajn Kerberosa.
Kriptologija 2
121
Alisa
zahteva
TGT
Alisina
lozinka
Raunar
KDC
Kriptologija 2
122
Na slici (Slika 4.23), KDC dobija zahtev od Alise, nakon ega sa kljuem SA proverava TGT i vremenski peat. Posle provere, odgovara sa kljuem KAB, koji e se
koristiti kao sesijski klju za sesiju izmeu Alise i Boba.
Alisin zahtev
Alisa zahteva vezu sa
Bobom
Odgovor
Alisa
Raunar
KDC
Kada je Alisa dobila tiket do Boba, tada ona moe da zapone bezbednu komunikaciju sa Bobom. Proces je prikazan na slici (Slika 4.24), gde je tiket do Boba,
zatien kao i gore (autentifikator = E(vremenski peat, KAB)).
Kriptologija 2
123
Treba da imamo na umu, da Bob deifruje tiket do Boba sa njegovim kljuem KB,
da bi dobio klju KAB. Klju KAB se koristi za zatitu poverljivosti i integriteta u
komunikaciji izmeu Alise i Boba.
Tiket do Boba,
autentifikator
E(vremenska oznaka+1, KAB)
Raunar
Bob
Komunikacija izmeu Alise i Boba je zatiena od ponovnog slanja, sve to zahvaljujui vremenskom peatu, na osnovu ega Kerberos smanjuje broj poruka koje
moraju biti poslate. Kao to smo spomenuli u prethodnim poglavljima, jedina
mana je to vremenski peat postaje kritian parametar bezbednosti. Glavni problem vremenskih peata je vremenska sinhronizacija satova, ne moemo nikad
oekivati perfektnu sinhronizaciju i iz tog razloga neophodna je vremenska tolerancija. U sluaju Kerberos-a, vremenska tolerancija moe da bude i par minuta,
to predstavalja venost u savremenim raunarskim mreama.
124
kljuem, dok sa druge KDC ne mora da zna ko upuuje zahtev, pre nego to moe
da deifruje TGT, jer su svi TGT tiketi ifrovani sa KKDC. Problem anonimnosti moe biti teko reiv problem. Videli smo problem anonimnosti u IPSec-u, ali taj
problem nije prisutan kod Kerberosa.
Primetimo da u Kerberos-u KDC prosleuje Alisi tiket do Boba, nakon ega Alisa
jednostavno prosleuje tiket Bobu. Razlog zato KDC nije uradio taj deo posla lei
u efikasnosti Kerberos protokola. Meutim, ako tiket stigne do Boba pre nego to
Alisa inicijalizuje komunikaciju, Bob e morati da klju KAB dri neko potrebno
vreme u raspoloivom stanju.
Na kraju, kako Kerberos spreava napad zasnovan na ponovnom slanju poruka?
Prevencija od ovog tipa napada se oslanja na vremenske peate, koji su sadrani
u autentifikatoru. Ali i dalje postoji pitanje koje se odnosi na mogunost postojanja ove vrste napada, zbog postojanja problema sa vremenskom sinhronizacijom
i vremenske tolerancije koja je zadata u Kerberos protokolu.
Postoje i neke alternative dizajna Kerberos protokola. Na primer, da li bi KDC mogao da pamti sesijski klju umesto to ga stavlja u TGT? Ukoliko bi postojala ovakva mogunost, tada bi TGT iz dizajna Kerberos-a bio uklonjen. Alternativni
pristup koji smo naveli, esto se koristi u aplikacijama, ali ne i u Kerberosu.
Kriptologija 2
125
4.5. WEP
WEP (engl. Wired Equivalent Privacy) je bezbednosni protokol koji je dizajniran
za zatitu lokalnih (LAN) beinih mrea. Proklamovani cilj WEP protokola je da
uini beini LAN jednako bezbednim kao i iani LAN.
Standard 802.11 propisuje bezbednosni protokol na nivou veze podataka. Protokol je nazvan WEP, ija je svrha da postigne jednaku bezbednost beine LAN
mree, koja postoji ve u ianoj LAN mrei. Budui da iani LAN ne implementira nikakve bezbednosne mehanizme, ovaj cilj se lako postie. U nastavku videemo kako je to uraeno kod WEP-a.
Zahtev za
autentifikaciju
R
E(R, K)
Alisa, K
Bob, K
Slika 4.25 WEP autentifikacija
Na koji nain Bob autentifikuje Alisu? U prvoj poruci Alisa alje zahtev za autentifikaciju. U drugoj poruci Bob alje izazov R. Na kraju, u treoj poruci Alisa ifruje
izazov R sa deljenim kljuem K. Bob verifikuje Alisu tako to deifruje ifrat E(R,
Kriptologija 2
126
Alisa, K
Bob, K
Slika 4.26 ifrovanje kod WEP-a
Glavni cilj je da se paketi ifruju sa razliitim kljuevima, poto ponovno korienje kljua kod RC4 ifarskog algoritma predstavlja lou ideju. Napominjemo da je
RC4 pseduo perfektna ifra, koja se smatra jakom ifrom uz pravilnu implementaciju. Meutim, postoji jedan mali propust, Trudi zna 3 bajta inicijalnog vektora
IV, ali ne zna i klju K. U ovom sluaju, klju za ifrovanje se menja i nije poznat
Trudi.
Inicijalni vektor IV je duine samo 3 bajta, klju K se retko menja, tako da je neminovno da e se klju KIV = (IV,K) esto ponavljati. Ova injenica je poznata za
Trudi, poto je IV vidljiv, a klju K se ne menja skoro nikako. Obzirom, da je RC4
sekvencijalna ifra, pa ponovno korienje kljua generisae ve korien radni
Kriptologija 2
127
klju, to predstavlja ozbiljan problem i veliku prednost na strani Trudi. Ponavljanjem istog IV, kriptoanalitiki posao za Trudi uinie jo lakim.
Broj ponovljenih kljueva K koji se koriste za ifrovanje mogue je smanjiti redovnom promenom kljua K. Naalost, klju K se dugo koristi i retko menja. Promena kljueva predstavlja runi proces koji je neizvodljiv za pristupne take, jer
u WEP-u ne postoji uraena procedura koja bi vodila rauna o stalnoj promeni
kljua.
Ovaj napad od strane Trudi je potpuno realan, jer kad Trudi uhvati ponovljeni
inicijalni vektor IV, tada moe da pretpostavi i rekonstruie radni klju RC4 ifarskog algoritma. Zbog duine inicijalnog vektora IV od samo 24 bita, ponavljanja
radnog kljua su relativno esta. Imajui na umu da je koriena pseudo perfektna ifra, ponovljeni radni klju je ozbiljan prekraj u implementaciji i dovodi do
ozbiljnih bezbednosnih problema.
Pored ovog problema, postoji jo jedan kriptoanalitiki napad, koji je mogue
realizovati i pod pretpostavkom da je RC4 implementiran na pravilan nain. Ovaj
napad se temelji na otkrivanju kljua na osnovu postojanja srodnih kljueva. Videli smo da i pored suptilnih propusta u WEP protokolu postoje i druge vrste
napada.
RC4 sekvencijalna ifra predstavlja pseudo perfektni ifru (engl. One-Time pad).
RC4 u WEP-u koristi klju veliine 40 bitova i 24 bita inicijalni vektor IV. Za pravilan i bezbedan rad RC4 algoritma, neophodno je odbaciti prvih 256 bajtova radnog kljua (engl. Key stream). Osnovni razloga je spreavanje curenja informacija
o unutranjem kljuu K, na osnovu poznavanja velike koliine ifrata. Meutim,
implementacija RC4 algoritma u WEP-u ne podrazumeva odbacivanje prvih 256
bajtova radnog kljua. U jednoj sesiji od nekoliko hiljada paketa, ponavlja se inicijalni vektor IV, dok se klju K skoro nikad ne menja. Sve ove injenice predstavljaju odlinu polaznu taku za kriptoanalitiara.
Kriptologija 2
128
Klijent
Inicijalni vektor
Klju
RC4
Radni klju
Beina
mrea
Otvoreni tekst
IV
ifrat
IV
Server
ifrat
IV
Klju
ifrat
RC4
Radni klju
+
ifrat
Otvoreni tekst
129
strani ne bude detektovan napad. Zatita od ove vrste napada zahteva upotrebu
drugih kriptografskih tehnika, kao to su MAC, HMAC ili digitalni potpis.
Ovaj problem provere integriteta je jo pogoran injenicom da su podaci ifrovani sekvencijalnom ifrom. Zbog upotrebe sekvencijalne ifre, WEP ifrovanje je
linearno i zbog toga dozvoljava Trudi da direktno promeni ifrat i izrauna nove
CRC vrednosti, tako da prijemnik nee detektovati promene. Za ovu vrstu napada
Trudi ne mora da zna klju ili otvoreni tekst da bi uspela da napravi izmenu u
podacima. Prema ovom scenariju, Trudi nee znati kakvu je promenu u podacima
napravila, ali poenta je da podaci budu oteeni na nain da ni Alisa ni Bobo ne
mogu detektovati.
Problemi se jo vie mogu pogorati ukoliko se desi da Trudi sazna neke delove
otvorenog teksta, tada e Trudi ciljno napraviti promenu u poruci. Na primer,
pretpostavimo da Trudi zna IP adresu odredita datog ifrovanog WEP paketa.
Tada bez poznavanja kljua, Trudi moe promeniti IP adresu odredita u adresu
po njenom izboru (na primer, njenu IP adresu) i CRC vrednosti za proveru integriteta, tako da njeni pokuaji ne budu otkriveni na pristupnoj taki. WEP saobraaj je ifrovan samo od korisnika do pristupne take i obrnuto, tako da ifrovani
paket sa promenjenom IP adresom stie do pristupne take, tu biva deifrovan, a
zatim i prosleen do Trudi na zadatu (zadatu od Trudi) IP adresu. Ovaj napad je
omoguen zbog nedostatka stvarne provere integriteta. Sutina je da WEP provera integriteta ne prua elemente kriptografske provere integriteta. Svi ovi veliki
problemi nastaju zbog naruavanja integriteta.
U WEP protokolu postoji mnogo problema, koji ga zajedno ine bezbednosno
ranjivim. Na primer, ako Trudi moe da poalje poruku preko beine mree i da
presretne ifrat, tada ona zna otvoreni tekst i odgovarajui ifrat koji e joj omoguiti da sazna radni klju koji se koristio za ifrovanje. Ovaj isti radni klju e se
koristiti za ifrovanje svih poruka koje koriste isti inicijalni vektor IV, pod uslovom da se klju K due vremena nije menjao, to je vrlo verovatno. Da li Trudi
potencijalno moe da sazna otvoreni tekst ifrovane i poslate poruke preko beine mree? Moda, Trudi moe da poalje e-poruku Alisi i da nju pita da je prosledi drugoj osobi. Ako Alisa uradi sve po scenariju koji je postavila Trudi, tada
Trudi moe da presretne ifrat poruke za koji poseduje odgovarajui ifrat i tako
otkrije radni klju koji je iskorien za ifrovanje. Nakon toga, trudi moe da deifruje svaki paket ifrata koji je nastao preko istog inicijalnog vektora IV. Sa druKriptologija 2
130
ge strane, ako Trudi moe ovaj scenario da ponovi vie puta, tada moe da deifruje poruke za mnoge razliite inicijalne vektore.
Razmotrimo bolje ovaj kriptoanalitiki napad. WEP podaci se ifruju sa algoritmom RC4. Klju paketa je inicijalni vektor IV i dugotrajni klju K. Inicijalni vektor
je 3-bajtni sufiks koji se dodaje na klju K, tako da je klju paketa (IV, K). Napomenimo da se inicijalni vektor alje otvoreno, dok se novi inicijalni vektor alje
novim paketom. Sada vidimo da Trudi uvek zna inicijalni vektor i ifrat, ali kako
Trudi moe da pronae klju K? Ukoliko oznaimo RC4 bajtove kljua sa K0, K1, K2,
K3, K4, K5, gde je IV = (K0, K1, K2), to Trudi zna, ali eli da pronae K = (K3, K4, K5).
Ukoliko trudi ima dovoljno inicijalnih vektora, moi e da pronae klju, bez obzira na duinu kljua. Preduslov je da Trudi zna prvi bajt niza kljueva za ifrovanje, ili napad na osnovu poznatog otvorenog teksta. Ovaj napad se moe osujetiti
ako se odbaci prvih 256 bajtova radnog kljua za ifrovanje. Na osnovu preporuke za spreavanje ove vrste napada, zakljuujemo da nisu potovana sva pravila
za implementaciju RC4 ifarskog algoritma.
Pored lozinke koja je zahtevana za autentifikaciju, postoji i parametar SSID (engl.
Service Set Identifier) koji pristupna taka emituje u svom dometu. SSID predstavlja slian parametar kao i korisniko ime koje korisnik treba da koristi u autentifikaciji. Jedna od WEP bezbednosnih funkcija omoguava konfigurisanje pristupne take, na takav nain da ne emituje SSID, ve da korisnik mora runo da unese
naziv (deluje kao lozinka, koju korisnici moraju da znaju da bi se autentifikovali).
Meutim, korisnici poalju SSID da bi kontaktirali pristupnu taku, tada Trudi
samo treba da presretne jedan paket i da otkrije odgovarajui SSID. U praksi
postoje alati koji e naterati korisnike da se nasilu odjave sa pristupne take, a
zatim ponovo autentifikuju na istoj uz ponovno slanje SSID naziva mree. Vidimo
da ni SSID ne predstavlja konano reenje, jer sve dok postoji bar jedan korisnik
na mrei, to e biti jednostavan proces u kom Trudi lako saznaje SSID. Svakako,
ova mogunost definitivno ne treba da bude bezbednosna opcija.
Teko je, a moda i nemogue videti u WEP-u neto drugo osim bezbednosne
katastrofe. Meutim, i pored svih svojih bezbednosnih problema, u nekim okolnostima mogue je napraviti od WEP-a umereno bezbedan protokol u praksi. Na
primer, pored lozinki i nepoznatog SSID, mogue je ukljuiti i opciju koja se odnosi na filtriranje saobraaja na osnovu MAC adrese (fizike adrese). Na ovaj nain
Kriptologija 2
131
bi iziskivali dodatni napor na strani napadaa koji se mora uloiti na prevazilaenje ove prepreke.
Na kraju, treba da imamo na umu da postoje i druge bezbednosne alternative
WEP protokolu. Na primer, WPA (engl. WiFi Protected Access) je znatno jai, ali on
je dizajniran da koristi isti hardver kao i WEP, i iz tog razloga su zahtevani odreeni bezbednosni kompromisi. Do danas postoji nekoliko tipova napada na WPA.
Osim WPA, tu je i WPA2 koji je neto jai od WPA, ali zahtevan je snaniji hardver.
Kao i za WPA, postoje i mogunosti napada na WPA2, ali ukoliko su izabrane izuzetno jake lozinke, ovi bezbednosni protokoli postaju praktino bezbedni.
Kriptologija 2
132
Kriptologija 2
133
Kriptologija 2
134
6. Ukoliko nije potreban naziv mree SSID, u tom sluaju mreu ne koristi
veliki broj korisnika, preporuuje se iskljuivanje opcije za emitovanje
SSID-a.
7. Smanjiti prostiranje (irenje) radio talasa izvan objekta u kome je postavljena pristupna taka. Korienjem usmerenih antena moe se usmeriti
irenje unutar sredine u kojoj se koristi beina mrea. Ovim se ne dobija
samo dobra optimizacija, ve i smanjenje mogunosti da napada locira
mreu.
8. Ukoliko nije oteavajue za korisnika ili administratora mree, preporuuje se korienje MAC adrese. Na ovaj nain ukljuen je filter koji nee
dozvoliti povezivanje neautorizovanim ureajima. Treba imati na umu da
neki ureaji dozvoljavaju promenu MAC adrese i da je ovo samo jo jedna
zahtevna prepreka postavljena pred napadaa.
9. Ukoliko mrea ne raspolae sa veim brojem korisnika, preporuuje se
iskljuivanje opcije DHCP. DHCP servis obezbeuje svim uesnicima dinamike IP adresi vodi rauna o mogunosti za postojanje duplih IP adresa u mrei. U ovom sluaju, oekuje se da na raunaru korisnika bude
postavljena statika IP adresa.
10. Pored ovih osnovnih preporuka, postoje mogunosti za izgradnju neto
sloenijih beinih mrea, koje predviaju upotrebu VLAN-ova. Za ovaj
poduhvat, neophodno je poznavati bolje savremene raunarske mree.
Ovaj scenario je obino poeljan kada u mrei postoji veliki broj raunara,
kada se beina mrea konfigurie kao poseban VLAN.
11. Kao poslednje, preporuuje se organizovanje strunih seminara, na kojima e lanovi organizacija stei elementarna znanja i vetine o bezbednosnim protokolima i bezbednosnoj politici organizacije. Na ovaj nain e
biti spremi na prave reakcije u kriznim situacijama, pa ak i kome da se
obrate u sluaju eventualnih incidenata.
Kriptologija 2
135
4.6. GSM
Mnogi beini protokoli, kao to je WEP, imaju loe rezultata po pitanju bezbednosti. U ovom odeljku ukratko emo diskutovati o bezbednosti GSM mobilnih
telefona. GSM (engl. Global System for Mobile Communications) prikazuje neke
jedinstvene bezbednosne probleme koji se javljaju u beinom okruenju. Predstavlja odlian primer za greke koje nastaju u fazi projektovanja, koje je kasnije
teko ispraviti. Pre nego to se ponemo baviti detaljima GSM bezbednosti, naveemo neke osnovne informacije o razvoju tehnologije mobilnih telefona.
Pre 1980. godine mobilni telefoni su bili skupi, potpuno nebezbedni i bili su fiziki dosta veliki. Prvi telefoni su bili analogni, ne digitalni, a bilo je nekoliko standarda ali nijedan se nije bavio sa bezbednosti.
Najvei bezbednosni problemi sa ranim mobilnim telefonima su postojanje mogunosti za kloniranje. Ovi mobilni telefoni prilikom slanja poziva alju i svoj identitet, preko koga su se naplaivali razgovori, jer je tako bilo mogue utvrditi
ko je poslao poziv. Poto je identitet javno, nezatieno poslat preko beine mree, svako moe da kopira i da napravi kopiju telefona. Ovo je omoguilo napadaima da besplatno telefoniraju. Kloniranje telefona je postao unosan posao, preko
lanih baznih stanica koje su se jednostavno pravile.
U tom haotinom okruenju pojavila se GSM mrea, koja je uvedena 1982, a 1986
postala globalni sistem za mobilne komunikacije. Osnivanje GSM obeleava zvanini poetak druge generacije tehnologije mobilnih telefona. Kasnije emo rei
neto vie o bezbednosti GSM.
Meutim, danas postoji i trea generacija mobilnih komunikacija ili 3GPP (engl.
Generation Partnership Project). Nakon bezbednosti GSM protokola koja je interesantan kolski primer, pomenuemo neke bezbednosne aspekte 3GPP-a.
Kriptologija 2
136
Mobilni
telefon
Bazna
stanica
VLR
AuC
Fiksna linija
PSTN
Kontroler baznih
stanica
HLR
Mreni operater
137
Svaki GSM mobilni telefon sadri modul pretplatnikog identiteta ili SIM, koja
predstavlja otpornu pametnu karticu (engl. Smartcard). SIM kartica sadri internacionalni mobilni pretplatniki ID ili IMSI (engl. International Mobile Subscriber
ID), koji se koristi za identifikaciju mobilnog. SIM kartica u sebi sadri 128 bitni
klju koji je poznat samo mobilnom ureaju i operateru.
Svrha upotrebe pametnih kartica za SIM je da obezbedi jeftinu formu hardvera,
otpornu na neovlaen pristup. SIM kartica obezbeuje dvo-faktorsku autentifikaciju, oslanjajui se na neto to imate i neto to znate u obliku PIN kod od
etiri cifre. PIN kod je naiao na otpor u upotrebi i obino se ne upotrebljava.
Podsetiemo se ukratko, poseena mrea je mrea u kojoj je mobilni telefon trenutno lociran. Bazna stanica je jedna elija mobilnog sistema, u kome kontroler
baznih stanica upravlja sa vie baznih stanica. VLR poseduje informacije o svim
mobilnom telefonima koji se trenutno nalaze u mrei na baznoj stanici odgovarajueg kontrolera.
Operater sadri najvanije informacije o mobilnim ureajima, kao to je IMSI i
128 bitni klju. Uloga IMSI i kljua je slina ulozi korisnikog imena i lozinke, koje
mobilni telefon koristi kada treba da uputi telefonski poziv. HLR prati trenutne
lokacije svih registrovanih mobilnih ureaja, dok AuC sadri bazu IMSIova i kljueva svih registrovanih mobilnih ureaja.
U nastavku ovog odeljka diskutovaemo ukratko o GSM bezbednosnoj arhitekturi.
Primarni ciljevi koji se odnose na bezbednost, propisani od strane dizajnera bili
su:
1. Napraviti GSM podjednako bezbedan kao obini telefon PSTN;
2. Spreiti kloniranje mobilnih telefona;
GSM nije dizajniran da se odupre aktivnom napadu. U to vreme aktivni napadi su
bili neizvodljivi i tako se smatralo, jer je potrebna oprema bila skupa. Meutim,
danas je cena takve opreme jednaka ceni mobilnog telefona, tako da je aktivni
napad ne samo mogu, nego i jednostavan. Dizajneri GSM au smatrali da je najbitnije reiti probleme koji su se odnosili na probleme sa obraunom potronje i
druge sline napada istog nivoa.
Kriptologija 2
138
GSM protokol pokuava da se bavi sa tri bezbednosna pitanja: anonimnost, autentifikacija i poverljivost. U GSM-u pitanje anonimnosti je trebalo da sprei presretanje saobraaja od identifikovanih korisnika (problem sa ID). Anonimnost nije
naroito bila vana za telefonske kompanije, osim u meri u kojoj je to vano za
kupca.
Autentifikacija sa druge strane je od najveeg znaaja za telefonske kompanije, iz
razloga to je neophodno obezbediti tanu potvrdu identiteta za pravilan obraun. Problem kloniranja koji je postojao moe da se posmatra kao jedan nedostatak autentifikacije. Kao i kod anonimnosti, poverljivost poziva preko beine
mree je vrlo vana klijentima, iz tog razloga ovo postaje vano i za telefonske
kompanije.
U razmatranju GSM protokola, u kratkim crtama emo diskutovati o dizajnu protokola koji obezbeuje anonimnost, autentifikaciju i poverljivost.
Prvo anonimnost, IMSI se koristi za inicijalnu identifikaciju korisnika koji poziva
(poziva) i alje se otvoreno na poetku poziva. Zatim se korisniku dodeljuje sluajno generisani TMSI (engl. Temporary Mobile Subscriber ID) koji na dalje slui
za identifikovanje pozivaa. TMSI se esto menja i ifruje svaki put kada se alje.
Ne postoji jaka forma anonimnosti. Ako napada uhvati poetak poziva, anonimnost u tom sluaju ne postoji, a ako propusti poetak, anonimnost je praktino
dobro zatiena. U veini primena ova tehnika je verovatno dovoljna, ali dizajneri
nisu previe vodili rauna o anonimnosti.
Drugo autentifikacija, u GSM protokolu autentifikacija nije uzajamna. Korisnik
mobilnog telefona se autentifikuje pred baznom stanicom, jer je to najbitnije za
telefonske kompanije zbog naplate. Ovo moe biti mesto napada, u kome napada
moe da iskoristi lane bazne stanice. Neemo detaljno obraivati notaciju autentifikacije u GSM protokolu, ali naveemo da je korien dizajn protokola izazovodgovor.
I na kraju, servis poverljivosti je obezbeen upotrebom sekvencijalne ifre. Stepen greke procenjuje se na oko 1/1000. Greka je suvie visoka za blokovske
ifre. Drugi razlog zato se ne koriste blokovske ifre je u bolja hardverska
implementacija sekvencijalnih ifara.
Kriptologija 2
139
Bitno je napomenuti da se saobraaj ifruje samo izmeu mobilnog ureaja i bazne stanice, ali se ne ifruje izmeu bazne stanice i kontrolera bazne stanice. Od
sekvencijalnih ifara, najveu zastupljenost je imala ifra A5/1. Ovu ifru mogue
je probiti za manje od dve sekunde na bazi otvorenog teksta.
Pored navedenih bezbednosnih problem, postoje i problemi sa SIM karticama.
Najpoznatiji napadi na kartice su:
Uz fiziko posedovanje SIM kartice, napada moe izvui klju za samo nekoliko
sekundi.
Jedan od moda najlakih scenarija napada je lana bazna stanica, preko koje je
mogue iskoristiti dve ranjivosti:
U sluaju ovog napada, raun trokova ide lanoj baznoj stanici. Lana bazna stanica moe sprovoditi napad izabranog otvorenog teksta bez posedovanja SIM
kartice. Osim ovih navedenih napada na GSM protokol, mogu je i DoS napad,
ometanjem signala i ovo je uvek prisutno u beinoj komunikaciji. Zatim, postoji
mogunost i za reemitovanje ili ponovno slanje poruka. GSM protokol nema zatitu od napada izazvanog ponovnim slanjem poruka.
Na kraju ovog odeljka moemo da zakljuimo da je GSM protokol dostigao svoje
ciljeve (eliminisao kloniranje, uinio pristupnu taku bezbednom, kao i PSTN) i da
je umereno bezbedan. Glavne ranjivosti GSM su slaba ifra, problem SIM kartice,
lana bazna stanica i ponovno slanje poruka. to se tie PSTN ranjivosti, mogue
je prislukivanje, razliiti aktivni i pasivni napadi.
Kriptologija 2
140
Kriptologija 2
141
5. BIOMETRIJA
Tradicionalni sistemi za proveru identiteta zasnovani su na neemu to znamo na primer lozinkama ili na neemu to posedujemo - smart karticama, tokenima, mobilnim telefonima Ovi ureaji ne mogu garantovati da se radi o legitimnim korisnicima, jer ne postoji jaka veza izmeu autentifikatora i servisa za autentifikaciju. Problem nastaje u sluaju njihovog kompromitovanja (kraa, gubljenje, kopiranje i sl.).
Problem je reen uvoenjem jo jednog atributa neeg to jesmo. Biometrija ili
bio-informacija se namee kao mogue reenje za obezbeenje vrste veze izmeu autentifikatora i sistema za autentifikaciju.
Re biometrija vodi poreklo od grke imenice bios ivot i glagola metreo
meriti. Biometrija je opti termin za opis i merenje fizikih karakteristika koje
mogu biti koriene za autentifikaciju.
Biometrijski sistemi su bazirani na fizikim ili bihejvioralnim karakteristikama
ljudskih bia kao to je lice, glas, otisak prsta, iris i drugo. Biometrijski podaci
imaju potencijalnu prednost da budu jedinstveni identifikatori jedne osobe. U
zavisnosti od vrste biometrijskog izvora, mogu da sadre dovoljnu ili nedovoljnu
koliinu informacija za odreenu primenu. Za estimaciju maksimalne koliine
informacija neophodno je dobro poznavati osobine biometrijskih podataka okarakterisane prema zadatom tipu biometrijskog izvora, kao i tehnologije za precizno oitavanje i ekstraktovanje informacija. Obzirom na osobine koje poseduju
biometrijski podaci biometrija je postala ozbiljan kandidat za zamenu tradicionalnih metoda na polju autentifikacije i autorizacije pojedinaca.
Kasnije je nastala ideja o generisanju kriptolokih kljueva na osnovu biometrijskih izvora. Hardverska i softverska reenja za informacionu bezbednost, koja
uestvuju na direktan ili indirektan nain u skladitenju, obradi i prenosu podataka, moraju da koriste adekvatne kriptografske mehanizme koji obezbeuju
raunarsku ili praktinu sigurnost koja podrazumeva sigurnost u odnosu na protivnika koji ima specifine ograniene vremenske i raunarske resurse. Snaga
ovih kriptografskih mehanizama je odreena snagom kriptolokog kljua. Danas
mnoge zemlje razmatraju ili ve koriste biometrijske podatke za podizanje nivoa
bezbednosti u cilju zatite pojedinca od krae identiteta ili lanog predstavljanja.
Kriptologija 2
142
Lice;
Otisak prsta;
Otisak dlana;
Vene;
Retina;
Iris;
Glas;
143
Otisak prsta se danas najvie upotrebljava u forenzike svrhe, izdavanje biometrijskih linih dokumenata, daktiloskopija, kao i svakodnevna upotreba u ureajima za autentifikaciju. Danas veina laptop raunara sadri biometrijske itae
za otisak prsta, kao i pametni mobilni telefoni (iphone 5s).
Veliku upotrebu danas ima i otisak dlana (Slika 5.3), ali ga karakterie niska pouzdanost. Niska pouzdanost nastaje zbog male koliine informacionog sadraja i
zbog velike varijabilnosti. Mala koliina informacionog sadraja utie direktno na
Kriptologija 2
144
osobine jedinstvenosti i tako stvara mogunost za postojanje identinih biometrijskih obrazac kod vie razliitih ljudi.
Razvoj novih softverskih i hardverskih tehnologija omoguio je i razvoj i eksploataciju novih biometrisjkih izvora. Tako je nastao jedan pouzdan i precizan biometrijski izvor na osnovu ljudskih vena (Slika 5.4). Od ureaja za skeniranje ili pribavljanje ove vrste biometrije se koriste skeneri sa LED i monohromatskim diodama. Dobijeni biometrijski obrazac je predstavljen sa strukturom crnih linija
koje se razlikuju po debljini.
Kriptologija 2
145
146
Praksa je pokazala da je biometriju glasa najbolje koristiti u kombinaciji sa drugim biometrijama. Na primer, kombinacija irisa i glasa.
U ovom delu govoriemo o nekim osnovnim podelama kada je re o samom nainu upotrebe biometrijskih podataka u autentifikacionim servisima. Prva podela
odnosi se na aspekt trajnosti biometrijskih podataka. Sa ovog aspekta biometrija
moe da bude opoziva ili neopoziva. Opoziva upotreba biometrije omoguava
neogranienu ponovnu upotrebu biometrijskih obrazaca sa istih biometrijskih
izvora. Ova je postignuto razvojem novih algoritama koji uglavnom potiu iz nove
oblasti poznatije kao biometrijska kriptografija. U ovom sluaju biometrijski
obrasci dobijeni preko transformacija ovih algoritama, ne odaju originalne biometrijske podatke, a u servisima u kojima se koriste poseduju identine biometrijske osobine sa svim karakteristikama koje odgovaraju nekom pojedincu.
Suprotno ovome, neopoziva biometrija predstavlja upotrebu originalnih biometrijskih podataka u servisima za autentifikaciju. U ovom sluaju, kompromitovanjem biometrije ne bismo vie imali mogunost da koristimo isti biometrijski
izvor u servisu za autentifikaciju. Biometrijski izvor ne moe da se menja, on traje
ceo ivot.
Sa aspekta dimenzionalnosti moemo da napravimo podelu na:
Monomodalne;
Multimodalne;
Kriptologija 2
147
Multimodalana biometrija pretpostavlja upotrebu dve ili vie razliitih vrsta biometrija. Potreba za multimodalnom biometrijom je nastala zbog pojedinanih
nedostataka svih vrsta biometrija. Na ovaj nain se prevazilazi veina nedostataka. U praksi se obino spajaju dva obrasca ili vie. Multimodalna biometrija moe
biti opoziva ili neopoziva.
Sa aspekta primene biometrijskih podataka, biometrijski podaci mogu biti korieni u poslovne i isto bezbednosne svrhe. Pod poslovnim svrhama podrazumevamo primenu u bankama (savremeni bankomati, alteri), elektronska trgovina, kontrola pristupa u nekim poslovnim okruenjima. Pod bezbednosnim svrhama podrazumevamo primenu u okruenjima gde je nivo bezbednosti koji je
zahtevan izuzetno visok. Primer za to su nuklearna postrojenja, energetski kompleksi i vladine institucije.
I poslednji aspekt o kome emo navesti je podela prema nainu prikupljanja biometrijskih podataka, u zavisnosti od tehnologije:
Audio (glas);
Vizuelna (fotografija, snimci);
Termika (termogram);
Mikrobioloka (DNK);
Grafoloka (potpis);
Kriptologija 2
148
149
Autentifikacija ili provera legitimnosti korisnika je sastavni deo opte bezbednosti svih informacionih sistema. Tradicionalno, autorizacija korisnika znai uvoenje korisnikog imena i lozinke, a to je tehnika koja je u upotrebi ve decenijama.
Napravljene su mnoge inkrementalne promene na ovom polju, a izdvajamo samo
osnovne. Lozinke se vie ne alju u otvorenoj formi preko mree i postavljen je
zahtev se generisanje jaih lozinki, ali se i dalje, osnovni pristup, u sutini, nije
promenio. Slabosti ovog pristupa su dobro poznate i zbog njih su prisutni problemi na svakodnevnom nivou.
Za veinu poslovnih okruenja potencijalne pretnje ukljuuju:
150
151
152
Kriptologija 2
153
Problem istraivanja predstavlja kompleksan nain obrade biometrijskih podataka. Biometrijski podaci sadre um koji znatno poveava varijabilnost podataka i
tako utie na informacioni kvalitet jednog biometrijskog uzorka. Problemi ovakve
vrste mogu da se prevaziu upotrebom odgovarajuih tehnika za obradu signala i
kodova za ispravljanje greaka. Atraktivne osobine jedinstvenosti stavljaju biometriju na prvo mesto, ali sa druge strane pojavljuju se i brojne slabosti. Za razliku od lozinki, jednom izgubljena ili kompromitovana biometrija ne moe ponovo
da se koristi, niti zameni sa nekom drugom biometrijskom informacijom. Na
osnovu ovih injenica moe se zakljuiti da je biometrija ogranien resurs.
Kriptologija 2
154
Biometrijski sistemi moraju da odgovore na problem skladitenja i sigurne komunikacije izmeu aplikacija u kojima se biometrija koristi. Imajui u vidu navedene slabosti i zahtevane uslove korienja, potrebno je analizirati razliite scenarije generisanja kriptolokih kljueva iz biometrijskih uzoraka.
Postoje razliiti biometrijski izvori koji sadre jedinstvene informacije o linim
karakteristika jedne osobe. Iris kao biometrijski podatak sadri dovoljnu koliinu
informacija za razvoj jedne klase sistema za generisanje kriptolokih kljueva,
dovoljnih duina za potrebe dananjih kriptografskih mehanizama, sa visokim
stepenom bezbednosti.
Zakljuke koje moemo da izvedemo:
1. Biometrijski podaci su jedinstveni i predstavljaju dobru polaznu osnovu
za sintezu optimizovanog sistema za ekstrakciju kriptolokih kljueva visokog kvaliteta;
2. Uvoenjem informacionih mera, entropije, lokalne entropije i uzajamne
informacije, mogue je identifikovati segmente u biometriji irisa koji su
najpogodniji za proces generisanja kriptolokih kljueva;
3. Optimizacijom parametara odgovarajue transformacione funkcije, oekuje se vea entropija i manje uzajamne informacije u transformacionom
domenu, ime su postavljeni okviri za sintezu sistema za ekstrakciju isto
sluajnih nizova iz biometrije irisa;
4. Biometrija iz istih biometrijskih izvora se ne reprezentuje uvek na isti nain zbog prisustva uma u biometrijskim podacima, te je neophodno projektovati tolerantnu emu za nastale greke;
5. Biometrijski izvor i biometrijske podatke mogue je posmatrati i okarakterisati kao komunikacioni kanal sa umom, to uvodi u upotrebu iroku
paletu tehnika za obradu signala iz oblasti digitalnih komunikacija;
155
Kriptologija 2
156
Kriptologija 2
157
158
Kriptologija 2
159
nost kod ovih aplikacija obezbeuju beumni, sluajni, uniformni nizovi u ulozi
kriptolokih kljueva.
Kriptografija se tradicionalno oslanja na ravnomerno rasporeene i precizno
ponovljive sluajne nizove u ulozi tajne ili kriptolokog kljua. Realnost meutim
oteava generisanje, uvanje i pouzdano preuzimanje takvih sluajnih nizova.
Uglavnom ti nizovi nisu sa uniformnom ili ravnomernom raspodelom, a jo tee
su precizno ponovljivi, kada se to zahteva. Na primer, nizovi koji proizlaze iz
obraene zenice oka ili irisa, nisu sa uniformnom distribucijom, niti se precizno
oitavaju svaki put kada se iznova generie obrazac irisa.
Da bi ilustrovali upotrebu sluajnih nizova za autentifikaciju, na jednostavnom
primeru emo razmotriti upotrebu lozinke za svrhu autentifikacije. Korisnik eli
sa svojom lozinkom L da pristupi svom korisnikom nalogu. Servis koji autentifikuje korisnika, poseduje informaciju y = f(L). Kada korisnik priloi lozinku L, servis rauna f(L)=y. Ukoliko su vrednosti y i y' jednake, proces autentifikacije bie
uspean. U ovom sluaju pretpostaviemo da je ovo siguran nain za verifikaciju
korisnika. Sigurnost sistema je zasnovana na neinvertibilnosti funkcije f(L). Ovakve funkcije nazivaju se jednosmerne funkcije ili jednosmerne funkcije (engl.
one-way functions).
Naalost, ovo reenje poseduje nekoliko problema kada se koristi lozinka L u
realnom ivotu. Prvo, definicija jednosmernih funkcija podrazumeva da je L generisano na sluajan nain sa uniformnom distribucijom. U naem sluaju, biometrijski podaci u ulozi lozinke su daleko od uniformne distribucije. Drugo, tradicionalna lozinka je precizno ponovljiva svaki put kada se koristi za autentifikaciju,
dok to nije sluaj sa biometrijskim podacima. Sa druge strane, tradicionalna upotreba lozinki obezbeuje relativno nizak nivo sigurnosti, jer je ovek u stanju da
zapamti relativno kratke lozinke. Visok nivo sigurnosti mogue je jedino obezbediti sa upotrebom biometrijskih lozinki. Ove lozinke mogu biti generisane na
osnovu biometrijskih podataka kao to je biometrija prsta, irisa, glasa, geometrija
dlana ili jo bolje kombinacijom vie biometrijskih izvora podataka. Biometrijski
podaci sadre neuporedivo veu koliinu informacija nego tradicionalne lozinke
koje su predviene za pamenje. Osnovni problem biometrijskih podataka je varijabilnost koja postoji u signalima, nakon oitavanja biometrijskih podataka iz dva
identina biometrijska izvora. Drugim reima, potrebna je mogunost da se tole-
Kriptologija 2
160
Kriptologija 2
161
162
u referentni podatak. Ostvareni doprinos preko ove tehnike je od izuzetnog znaaja, iz razloga to je kriptografija konvencijalna nauka i zahteva istu tanost koja
postoji kod kriptolokih mehanizama.
Biometrijsko ifrovanje je adekvatan naziv ovog metoda koji predstavlja proces u
kome se vrsto vezuje kriptoloki klju za biometrijski obrazac (podatak). Sutinski, klju je ifrovan sa biometrijskim podatkom primenom logike operacije za
sabiranje (engl. XOR), a rezultat je biometrijski kodovani klju koji predstavlja
javnu informaciju ili pomoni podatak. Formom pomonog podatka obezbeena
je zatita privatnosti, kao i sigurnost ugraenih kriptolokih kljueva. Pomoni
podaci mogu da budu sauvani na nekom memorijskom prostoru, bez bezbednosnih rizika.
Kriptoloki klju mogue je ponoviti ili regenerisati ponovljenom operacijom
(XOR), na osnovu pomonog podatka sa odgovarajuim predloenim biometrijskim obrascem koji je generisan u fazi verifikacije (engl. Decommitted).
Proces ifrovanja i deifrovanja je prirodno konfuzan, iz razloga to je biometrijski podatak svaki put razliit, za razliku od konvencijalnih metoda u kriptografiji.
Imajui u vidu varijabilnosti u biometrijskim podacima, veliki je tehnoloki izazov
da klju bude svaki put precizno ponovljen ili identian. Na slici (Slika 5.9) predstavljena je generika ema visokog nivoa za generisanje biometrijskih kljueva.
Kriptologija 2
163
Posle procesa verifikacije ili oporavka kljua, klju se moe koristiti kod bilo kog
tipa kriptografskih aplikacija, gde se klju koristi kao lozinka ili moe da slui za
generisanje simetrinih ili asimetrinih kljueva. Bitno je istai da biometrijsko
ifrovanje nije samo po sebi kriptografski algoritam. Uloga biometrijskog ifrovanja je da zameni ili da osigura bezbednost kod postojeih ema za autentifikaciju,
koje su bazirane na tradicionalnim lozinkama.
Biometrijsko ifrovanje ne treba meati sa sistemima za ifrovanje biometrijskih
podataka ili sa zatitom biometrijskih obrazaca kriptografskim metodama za
potrebe skladitenja, ili sa nainima za skladitenje kriptolokih kljueva na
smart karticama ili drugim memorijskim tokenima, preko kojih je klju osloboen
nakon uspene verifikacije.
Meutim, metod za biometrijsko ifrovanje nalazi se u familijarnom odnosu sa
metodom poznatim pod nazivom (engl. Cancelable Biometrics). Ovaj metod predstavlja prvi metod koji obezbeuje opoziv biometrijskog obrasca, odnosno izdavanje novog ukoliko je postojei kompromitovan ili je potreban novi za upotrebu
u drugim aplikacijama. Priroda biometrijskih sistema nije takva da originalni
biometrijski podaci mogu biti promenjeni sa drugim biometrijskim podacima. Na
primer, ukoliko neko snimi biometriju naeg prsta, lica ili irisa, ne postoji mogunost generisanja nove biometrije.
Postoje dva osnovna pristupa za generisanje kriptolokih kljueva. U prvom sluaju, imamo potpuno nezavisno generisan klju koji se vrsto vezuje sa biometrijskim obrascem (engl. Data binding), a u drugom sluaju, kada ekstraktujemo
klju iz biometrijskog obrasca (engl. Fuzzy extractor). Kod oba pristupa su prisutni pomoni podaci koji moraju biti negde skladiteni i od njih ovaj sistem zavisi.
Pomoni podatak omoguava regenerisanje kriptolokog kljua u fazi verifikacije.
Faza verifikacije podrazumeva primenu logike operacije XOR izmeu tog generisanog biometrijskog obrasca i pomonog podatka. Veliina prostora kljueva na
pomonom podatku zavisi od stepena varijabilnosti biometrijskih obrazaca koji
na ovaj nain utiu na kapacitet kodova za ispravljanje greaka i na ukupnu koliinu neuzajmne informacije poreenjem razliitih biometrijskih obrazaca.
U reimu vezivanja biometrijskog obrasca sa kljuem, klju je sluajno i nezavisno generisan tako da ni korisnik niti bilo ko drugi zna neto o kljuu. Nezavi-
Kriptologija 2
164
165
166
167
stavlja pozadinske sluajne greke izazvane od strane CCD senzora kamere ili
distorzije irisa koja je prouzrokovana promenom osvetljenja. Kako god, nastale
greke nije mogue korigovati postojeim algoritmima za obradu signala. Druga
klasa greaka je u formi paketskih greaka i nastaje zbog loeg detektovanja trepavica, kapaka i refleksije. Osnovne ideje za primenu tehnika za kodovanje, predloene su u nekim ranijim radovima koje su koriene za ispravljanje greaka.
Meutim, navedene tehnike ne rade dobro i na iris podatku, jer viestruko skeniranje ne smanjuje koliinu greke. Utvreno je da na grupi slika od 70 korisnika
bez korienja maske za pojedinano skeniranje, stopa greke u proseku iznosi
13,69%, a nakon tri skeniranja stopa greke je smanjena na 10,68% i na 9,36%
posle pet skeniranja. Da bi se izborili sa ovim tipom greaka, autori u radu predlau upotrebu konkatentnih kodova za ispravljanje greaka. Za prvu klasu greaka primenjuju Hadamardove kodove, a zatim na drugu klasu greaka (paketske
greke) primenjuju Rid-Solomon kodove. Kao spoljanji sloj, koriste se Hadamardovi kodovi za ispravljanje sluajnih greaka u binarnom podatku irisa, a za unutranji sloj Rid-Solomon kodovi za ispravljanje paketskih greaka na blokovskom
nivou.
U predloenoj emi sa dva faktora klju zavisi od kombinacije biometrije i tokena.
Pretpostavlja se da napada, ukoliko uspe da doe u posed tokena, moe imati
potpuno znanje o podacima na njemu. Poetni dizajn imao je za cilj da pokae da
ukoliko jedan faktor eme bude kompromitovan, napada nee imati mogunost
da regenerie klju. Kasnije u radu je pokazana mogunost da se ema produi sa
treim faktorom, dodavanjem lozinke. ema predstavlja mogunost premoivanja nekompatabilnosti koja postoji izmeu varijabilnih biometrijskih podataka i
konvencionalne kriptografije.
U prvoj fazi, generie se nezavisno biometrijski klju k kao sluajna binarna
sekvenca. Klju k poseduje sve osobine kriptolokih kljueva. Klju k je tano
zadate duine. U sledeoj fazi klju k se koduje konkatentnim kodovima, ija je
duina na kraju faze kodovanja 2048 bitova. Kodovani klju sa konkatentnim
kodovima naziva se pseudoiris kod. Zatim kodovani klju k ili pseudoiris kod se
vrsto vezuje logikom operacijom XOR za biometriju irisa i tako dobijeni rezultat
predstavlja pomoni podatak koji se skladiti na nekom hardverskom tokenu
zajedno sa he vrednou kljua k.
Kriptologija 2
168
Nakon kompletnog procesa za upis ili generisanje biometrijskog kljua, neophodno je unititi klju na siguran nain. Faza dekodovanja je potpuno inverzna
fazi kodovanja. Korisnik podmee originalnu biometriju irisa da bi otkljuao pseudoiris kod iz pomonog podatka, preko ponovljene logike operacije XOR. Dalje
sledi faza dekodovanja sa istim konkatentnim kodovima, samo u suprotnom redosledu od kodovanja. Da bismo potvrdili uspenost itave operacije, za dobijeni
rezultat k' rauna se he vrednost preko koje se utvruje slinost sa he vrednou koja se nalazi na tokenu.
Cilj koji je postignut, zasniva se na detaljnoj analizi obrasca greke u obrascu irisa. Iris kodovi (obrasci) od jednog oka obino se razlikuju od 10 20 % bitova,
saopteno od autora. Sa druge strane, razlika izmeu dva irisa kod razliitih osoba ili dva irisa iste osobe, iznosi 40 60 % bitova. Hadamardov kod je izabran za
ispravljanje 25 % pogrenih bitova, koji precizno razdvaja ispravljanje greaka
na biometrijskom uzorku istog i razliitog oka.
Neki autori za spoljanji sloj koriste Hadamardove kodove za ispravljanje sluajnih greaka u biometrijskom obrascu irisa, a za unutranji sloj Rid-Solomon kodovi za ispravljanje paketskih greaka na blokovskom nivou. Napravljene su
odreene izmene u emi. Radi poveanja kapaciteta kodova za ispravljanje greaka, uvedeni su redundantni bitovi (nule), sa uniformnom distribucijom, ime je
duina iris koda poveana za 40%. Uveden je metod meanja iris obrasca za permutaciju koja je kontrolisana lozinkom, to je dalje uticalo na poveanje Hamingovog rastojanja izmeu razliitih irisa, kao i smanjenje rastojanja izmeu istih
irisa. Drugi doprinosi su izraeni preko poveanja entropije iris obrasca. Postignuta je duina kljua od 186 bitova sa stopom lanog odbacivanja FRR od 0,76% i
stopom lanog prihvatanja FAR od 0.096%. Sa aspekta bezbednosti, zakljuani
iris kod ne otkriva biometrijsku informaciju u sluaju kompromitovanja kriptolokog kljua, smart kartice i lozinke. Obezbeena je mogunost opoziva i mogunost ponovnog generisanja biometrijskog kljua.
Kriptologija 2
169
170
Na slici je predstavljena generika ema predloenog reenja sa svim svojim podsistemima. Kompletan sistem sastoji se od dva podsistema: podsistem za kodovanje iris biometrijskog izvora koji je zasnovan na algoritmima tradicionalnih
biometrijskih sistema i podsistemu za prenos poruka preko biometrijskog kanala
sa umom. U nastavku sledi detaljno objanjenje pojedinanih uloga svih navede-
Kriptologija 2
171
Kriptologija 2
172
Kriptologija 2
173
Kriptologija 2
174
user friendly) hardversku infrastrukturu za autentifikaciju korisnika. Drugi problem je iroka primena ovih sistema koja zahteva visok stepen integracije, indeksiranje i skladitenje biometrijskih podataka u bazama podataka. Sve ovo vodi do
problema skalabilnosti kod sistema za prepoznavanja korisnika na osnovu biometrije irisa. Do danas se pojavila i etvrta verzija baze podataka "CASIA-Iris V4"
koja je koriena za potrebe eksperimentalnog rada na ovoj disertaciji (Slika
5.11).
"CASIA-Iris V4" baza podataka u sebi sadri ukupno 54.601. sliku irisa sa vie od
1800. originalnih i 1000 virtuelnih subjekata. Sve slike irisa su 8-bitne u JPEG
formatu, prikupljene akvizicijom specijalnih kamera sa infra-crvenim osvetljenjem. Bazu podataka moe da koristi svako za potrebe istraivanja i edukativne
svrhe.
Kriptologija 2
175
Iako je prvi model dosta precizniji kada je upitanju lokalna entropija, drugi model
(Slika 5.13) je dobijen na osnovu veliine prozora [9 x 9] za odreivanje lokalne
entropiju. Smatramo da ovaj model daje konanu sliku o kvalitetu prvog segmenta u odnosu na kvalitet drugog segmenta. Na osnovu ovog modela moemo precizno da odredimo prostorne okvire prvog segmenta koji treba biti podvrgnut
daljim informacionim analizama.
Kriptologija 2
176
Kriptologija 2
177
Kriptologija 2
178
Kriptologija 2
179
uzrok;
vrednost;
trajanje.
180
Trajanje greaka moe da bude stalno, prolazno ili trenutno. U naem sluaju
imamo stalne greke za koje smo merenjem odredili pribline vrednosti koje su
stalne i ispoljavaju se sve dok ne preduzmemo odgovarajue zatitne mere ili
mere korekcije.
Pored ova tri navedena aspekta bitno je navesti i rasprostranjenost greaka koja
moe biti okarakterisana kao lokana ili globalna. Rasprostranjenost greaka u iris
biometrijskom kodu moe da bude lokalna i globalna.
Analiza ekvivalentnog kanala podrazumeva pronalaenje nekog klasinog komunikacionog kanala iz teorije komunikacija koji utvruje uslove pod kojima je mogu pouzdan prenos informacija, a odgovara po svim svojim karakteristikama
naem kanalu, ali sa razliitim sadrajem. Potrebno je utvrditi maksimalnu brzinu
pouzdanog prenosa po kanalu sa umom uz upotrebu kodova za ispravljanje greaka i maksimalnu koliinu greaka koja nastaje kada se informacija prenese veom brzinom od maksimalne.
Sada je jasno da ekvivalentni kanal predstavlja isti kanal koji je opisan na dva
razliita naina. na slici (Slika 5.16), sadri analizu dva ekvivalentna kanala. Gornji kanal na slici predstavlja ekvivalentni kanal koji se esto moe sresti u klasinim komunikacionim kanalima. ema kanala sadri enkoder, dekoder, interliver,
deinterliver i kanal sa umom. Poruka koja se prenosi ovim kanalom, izloena je
uticaju uma koji se ispoljava u vidu paketskih greaka u sadraju poruke. ObziKriptologija 2
181
182
izbegavanje greaka;
ispravljanje greaka;
smanjenje greaka;
183
C max I ( K ; K ') 1
184
1. Osnovni problem kod biometrijskih podataka je varijabilnost koja je prisutna svaki put u podacima nakon akvizicije biometrijskih podataka. Drugim reima, svaki novi biometrijski podatak generisan na istom biometrijskom izvoru se uvek razlikuje 10% - 20% od svih prethodnih, dok se
biometrijski podaci generisani na razliitim biometrijskim izvorima razlikuju od 40% do 60%.
2. Kao odgovor na pomenuti problem varijabilnosti u biometriji irisa, nastala je ideja o ekvivalenciji sa drugim komunikacionim kanalima. Ova ideja
je uvela primenu zatitnih kodova za ispravljanje greaka (engl. error correcting code), a tehnika je preuzeta iz oblasti komunikacija.
3. Kapacitet koda za ispravljanje greaka u ovom sluaju performanse dekodera, moraju biti takve da odvajaju originalnog korisnika od lanog. Na
primer, biometrijski kanal indukovan sa dva iris koda sa istog biometrijskog izvora, mogu biti u stanju da prenesu poruku bez greaka u naem
sluaju klju , dok kanal indukovan sa dva iris kod sa razliitih biometrijskih izvora, ne sme da prenese klju , ak ta vie poeljno je da klju
bude uniten, tako da je uzajamna informacija (; ) = 0.
4. Postizanjem pomenutih performansi, uspeh bi predstavili sa rezultatom
== , dok se koristi kao kriptoloki klju.
5. Pravljenjem kompromisa izmeu ukupne koliine informacije iris koda
i njihove uzajamne informacije izmeu istih i razliitih kodova irisa, dobijamo okvire za maksimalnu veliinu kljua .
6. Interliver je tehnika koja se koristi za rasprivanje paketskih greaka. Analizom je utvreno da iris kod sadri paketske greke. Ova tehnika se
kod klasinih komunikacionih kanala koristi za podizanje performansi
zatitnih kodova ili kodova za ispravljanje greaka.
Sada moemo da zakljuimo da sve ove injenice nezaustavno utiu na stvaranje jedne
nove oblasti, koja opravdano nosi ime biometrijska kriptografija.
185
korisnika lozinka (PIN), biometrijski uzorak i token (smart kartica, USB,..). Arhitektura predloenog biometrijskog sistema omoguava proveru identiteta i generisanje kljueva u off-line reimu rada. Na ovaj nain se izbegava centralizovana
baza podataka, to doprinosi stvaranju pozitivnih utisaka za socijalno prihvatanje
sistema. Na sledeoj slici (Slika 5.18), prikazana je jedna univerzalna ema za
implementaciju predloenog reenja u off-line reimu rada.
Na slici su oznaene faze u sistemu sa brojevima od 1 do 5. U prvoj (1) fazi korisnik sistema prilae smart karticu koja na sebi sadri pseudokod i he vrednost
od zakljuanog kljua u pseudokodu. Nakon unosa ispravne korisnike lozinke,
podaci sa smart kartice se prosleuju sistemu za regenerisanje kljua (4). U drugoj (2) fazi, oitava se i prosleuje korisnikova originalna biometrija irisa preko
biometrijskih skenera. U treoj (3) fazi primenjuje se sistem za generisanje iris
koda (biometrijskog obrasca). Zatim, generisani iris kod se prosleuje sistemu za
regenerisanje kljua. U etvrtoj (4) fazi, prelazi se u fazu regenerisanja kljua sa
naim novopredloenim reenjem u disertaciji. Uspenost ove faze potvruje se
sa identinom he vrednosti koja je dobijena sa smart kartice, a rezultat ove faze
je biometrijski klju koji se moe koristiti u razne kriptografske svrhe.
Kriptologija 2
186
Biometrija
Duina
kljua
(bit)
Stopa lanog
odbacivanja (FRR)
Glas
46
20%
Svojeruni
potpis
40
28%
1,2%
69
30%
49 i 85
5,4% - 9,9%
3,2% - 2,5%
0,93%
58
3,5%
0%
140
0,47%
0%
186
0,76%
0,096%
400
4,75%
0%
240
1.27%
10.62%
Otisak
prsta
Lice
Iris
EKG i Glas
Kriptologija 2
187
Kada je zahtevano vie faktora u autentifikaciji. Iris LG 4000 je izuzetno fleksibilan sa ugraenim itaem smart kartica vodeih svetskih proizvoaa. Vie faktorska autentifikacija je podrana preko numerike tastature za unos lozinke ili
PIN koda u zavisnosti od modela ureaja.
188
Kriptologija 2
189
190
Kriptologija 2
191
Kriptologija 2
192
193
nu, pravi satelit bi bio idealno reenje, ali ipak ne deluje mogue izvesti tako neto. Potrebno je reiti ovaj problem protokola kako bi protokol bio primenljiv u
praktinim mrenim sistemima za komunikaciju. Na primer, bezbedna komunikacija izmeu dva raunara u istoj mrei.
Osim toga to ovaj protokol omoguava razmenu simetrinog kljua bez ikakvih
unapred poznatih parametara, ovaj protokol takoe teorijski ne ograniava duinu kljua koji e biti ustanovljen. Dakle, mogue je koristiti ovaj protokol za uspostavljanje kljueva veih duina, to otvara mogunosti za sintezu perfektne bezbednost. Implementacijom ovog protokola bi se reio problem nedokazivo bezbednih ifara i uvelo korienje dokazivo bezbedne ifre OneTime pad.
Deo protokola koji se bavi ispravljanjem greaka u korelisanim nizovima tj. procesom usaglaavanja nizova, sastoji se od tri faze. Prva faza je destilacija prednosti (engl. Advantage Distillation), druga faza je usaglaavanje informacija (engl.
Information Reconciliation) i trea faza je pojaavanje privatnosti (engl. Privacy
Amplification). Detaljno e biti razmotrene i informaciono slikovito prikazane sve
tri faze ovog protokola.
Kriptologija 2
194
Kriptologija 2
195
Kriptologija 2
196
0 1 0 0 1 0 0 1 1 0 1 1
Alisa
XOR
XOR
XOR
XOR
XOR
XOR
XOR
XOR
0
1
1 0 1 0 1 0 0 0 1 0 1 1
Bob
XOR
XOR
1
XOR
XOR
XOR
XOR
XOR
XOR
Kriptologija 2
197
Takoe, faza usaglaavanje se obavlja iz vie rundi, pa sve dok se ne isprave sve
greke. Broj rundi e zavisiti od optimalne veliine blokova, dok e veliina blokova po rundama zavisiti od osobine uma koji je bio prisutan u kanalu na poetku ovog protokola ili u momentu kada su signali emitovani sa satelita na zemlju.
Veliina blokova je takoe promenljiva zbog postojanja rafalnih greaka engl.
burst-error koje se mogu javiti u nizu koji se ispravlja. Menjanjem veliine blokova se dobija slian efekat kao kada se primeni interliver nad nizovima.
Na slici (Slika 6.6) prikazan je proces usaglaavanja informacija, nad nizovima
koji su preostali nakon destilacije prednosti. Nizovi koji preostanu nakon faze
usaglaavanja, predstavljaju materijal za klju koji e Alisa i Bob iskoristiti za
generisanje zajednikog simetrinog kljua.
Kriptologija 2
198
Alisa
1 1 0 1 1 0 0 0 1 0 1 1
=0
1 1 0 1 1 0 0 0 1 0 1 1
=0
=1
1 1 0 1 1 0
1 1 0
=0
=0
= 0 =0
1 1 0
1 1
=0
=1 =1
XOR
XOR
XOR
XOR
XOR
XOR
XOR
XOR
XOR
XOR
1 1 0 1 0 0 0 0 1 0 1 1
=1
1 1 0 1 0 0 0 0 1 0 1 1
=1
=1
1 1 0 1 0 0
1 0 0
=1
=0
= 1 =0
1 0 0
1 0
=1
=1 =0
XOR
Bob
XOR
XOR
XOR
XOR
XOR
XOR
XOR
XOR
XOR
Kriptologija 2
199
Kriptologija 2
200
Pored navedenih razlika, Viner je predloio novu definiciju tajnosti. Umesto ekvivokacije napadaa, gde vai pretpostavka da neodreenost napadaa treba da
bude jednaka entropiji poruke, sada razmatramo o ekvivacionoj stopi:
(1/)(| ),
Kriptologija 2
201
koja moe biti proizvoljno blizu stopi entropije poruke (1/)() za dovoljno
velike duine ifrata .
Alisa
M
Bob
Enkoder
Xn
Kanal
Yn
Kanal
Dekoder
Zn
Trudi
202
(; ) (; ),
a ako je kapacitet tajnosti jednak 0, tada je napadaev (Trudi) kanal bolji od kanala izmeu legitimnih strana i tada je komunikacija nebezbedna.
U 70-im i 80-im godinama, uticaj Vinerovih rezultata bio je ogranien zbog nekoliko vanih prepreka. Prvo, praktini kodovi za realizaciju ovog kanala nisu bili
dostupni. Drugo, model kanala sa prislukivanjem podrazumeva da napada prima zaumljene verzije signala legitimnog prijemnika je prilino nerealna. Pored
toga, pre nego to se pojavio pojam kapacitet tajnosti, teorijsko informaciona
bezbednost se nala u senci Diffie-Hellman protokola koji je razvijen na osnovama
kriptografije sa javnim kljuem, koja se oslanja na matematike funkcije za koje
se veruje da su teko izraunive i od tada dominira u oblasti bezbednosnih istraivanja.
Iako su dosadanji rezultati zasnovani na kapacitetu tajnosti, dokazali postojanje
sposobnih kodova koji garantuju pouzdanu komunikaciju pod uslovom da je zadovoljen uslov tajnosti, ali i dalje nije jasno kako mogu takvi kodovi da budu konstruisani praksi. U nastavku razmatraemo konstrukciju kanalnog kodovanja za
postizanje tajnosti.
Alisa
M
Bob
Xn
Enkoder
0
1
Dekoder
0
?
1
Zn
Trudi
Razmislite o modelu prikazanom slici (Slika 6.10), u kom Alisa eli da poalje
jedan bit informacije Bobu preko kanala bez uma, dok je kanal koji koristi Trudi
binarni kanal sa brisanjem BEC (engl. Binary erasure channel), koji brie poneki
Kriptologija 2
203
204
Kriptologija 2
205
Osoba od poverenja mea karte i deli redom Alisi, Bobu i Trudi. Alisa i Bob sprovode jednu od sledeih sluajeva, koji zavise od podeljenih karata:
A. Alisa i Bob javnim kanalom otkrivaju boje svojih karata;
B. Ako je boja identina i kod Boba i kod Alise, tada se slau oko bita tajnog
kljua 0, ako Alisa ima kralja (to implicira da Bob ima kraljicu), odnosno oko bita tajnog kljua 1, ukoliko Alisa ima kraljicu (to implicira da
Bob ima kralja);
C. Ako su boje karata Alise i Boba u tekuoj podeli razliite, odustaju od
uspostavljanja zajednikog bita tajnog kljua u ovoj rundi;
Kriptologija 2
206
U sluaju B. sa slike (Slika 6.12), poto se boje slau i Bob ima kralja, Alisa u tom
sluaju mora da ima kraljicu. Prema pravilima protokola, Alisa i Bob se slau oko
bita tajnog kljua 1.
U sluaju B. sa slike (Slika 6.13), Trudi zna da Alisa i Bob imaju istu boju, ali ne
zna ko ima kralja a ko kraljicu, pa stoga da li je bit tajnog kljua oko koga su se
sloili 0 ili 1.
U sluaju C. sa slike (Slika 6.14), Bob ima kralja srce i zna da Alisa ima pik, ali ne
zna da li je to kralj pik ili dama pik. U ovom sluaju Alisa i Bob odustaju od uspostavljanja zajednikog tajnog kljua i prelaze na novu rundu deljenja. Broj rundi
zavisie od eljene duine tajnog kljua izmeu Alise i Boba.
Kriptologija 2
207
Kriptologija 2
208
Sve faze protokola se odvijaju kroz javnu diskusiju. U inicijalnoj fazi protokola svi
korisnici dobijaju binarne nizove koji su meusobno korelisani. Ovi nizovi su
emitovani iz informacionog izvora koji je zajedniki za sve uesnike i predstavljaju lou kopiju originalnog niza na izvoru koji nikome od uesnika nije poznat.
Ovaj protokol je zasnovan na zajednikoj informaciji izmeu bilo koja dva uesnika, preko koje se kroz naredne faze protokola vri estimacija simetrinog kriptolokog kljua. Pored navedenih mogunosti protokola, jedino ogranienje je nemogunost realizacije protokola u komunikacionom kanalu bez uma. Za potrebe
rada e biti programski razvijene sve faze protokola i definisana implementacija
jedne ekvivalentne eme koja po svojim karakteristikama odgovara Mauerovom
Satelitskom scenariju.
Protokol o kome diskutujemo predstavlja jedan pokuaj implementacije Mauerovog protokola Satelitski scenario. Predstavljeno je reenje u kome je satelit zamenjen jednim generatorom sluajnih brojeva i na taj nain je protokol implementiran u savremenu raunarsku mreu. Potrebno je uvesti generator (generator e imati ulogu satelita) u raunarsku mreu, takav da minimalno remeti ve
postojeu infrastrukturu mree i koristi ve postavljene provodnike. Satelit je
hardverski generator uma, zasnovan na termikom umu diode. Generator proizvodi um u frekventnom opsegu koji se moe uti i mogue je korienjem
zvune kartice snimiti um i daljim procesiranjem ga konvertovati u nizove bitova. Koliina bitova koja se moe dobiti iz jedne sekunde snimljenog materijala
zavisi od brzine semplovanja signala i preciznosti semplovanja. Ako se um sempluje brzinom od 8000 semplova u sekundi (8000 Hz) i preciznou od 16 bita, za
jednu sekundu se dobija: 8000*16= 128000 bitova.
Generisan um se moe prenositi do svakog raunara u mrei preko neiskorienih provodnika u kablu korienim za umreavanje. U ovom sluaju potrebno je
modifikovati konektor UTP kabla tako da je mogue bez oteenja provodnika
preuzeti audio signal i usmeriti ga u ulaz zvune kartice raunara. Drugi nain za
prenos uma do raunara je postavljanje dodatnih kablova koji bi sluili samo u
te svrhe. Dovoenjem signala do svakog raunara napravljena je situacija koja se
moe poistovetiti sa situacijom u teorijskim radovima Ueli Maurera, gde je u ovom sluaju generator uma satelit (Slika 6.16). U narednim koracima potrebno
je da korisnici koji ele da razmene zajedniki klju, snime signale, zatim predsta-
Kriptologija 2
209
ve snimljeni signal u obliku niza bitova kako bi bilo mogue ostvariti korake
objanjene u nastavku ovog odeljka.
Eksperimentalni rad obavljen je unutar elektronske uionice gde je na raspolaganju bilo preko 100 umreenih raunara. Distribucija zvunog signala uma obavljena je korienjem posebnih kablova koji direktno spajaju generator i ulaze
zvunih kartica raunara. Karakteristike raunara, mrene opreme i zvunih kartica koje poseduju su predstavljene u tabeli (Tabela 6.1).
Raunar 1:
Raunar 2:
Zvuna kartica 1:
Zvuna kartica 2:
ALC262 /Realtek
Switch:
Kriptologija 2
210
Kriptologija 2
211
Bez Sinhronizacije
Sa Sinhronizacijom
Trajanje snimanja
3 sekunde.
3 sekunde.
Generisani bitovi
417.791 bitova.
407.999 bitova.
214.540 bitova.
143.307 bitova.
Greka
51.3 %
35.1 %
U tabeli su prikazani eksperimentalni rezultati. Iz rezultata vidimo da su vrednosti uma idealni kod sinhronizovanog snimanja signala, jer na taj nain dobijamo
idealne vrednosti koje su zahtevane u ovom protokolu. Posle snimanja signala,
dva korisnika treba da zaponu preostale faze protokola (destilacija prednosti i
usaglaavanje informacija). U tabeli (Tabela 6.3) prikazani su rezultati implementiranog protokola. Primenom metoda za destilaciju prednosti i usaglaavanja
informacija, mogue je ustanoviti klju duine do 1544 bita, samo na osnovu 3
sekunde snimljenog signala.
Brzina kljua kod prikazanog eksperimenta dostie 1.544 bitova za vreme od 5
sekunde. Za potrebe eksperimenta snimanje je trajalo tano 3 sekunde sa poetnih 407.000 bitova, kako bi se nakon faze destilacije prednosti i usaglaavanja
informacija, izvuklo 1.544 bita zajednike informacije izmeu dva korisnika u
mrei. Prikazano je 6 koraka destilacije prednosti i 2 koraka usaglaavanja
informacija za koje je potrebno ukupno 2 sekunde preko algoritma napisanog u
Java programskom jeziku. Na kraju protokola potrebno je uraditi i poslednji korak, a to je pojaavanje privatnosti na nain na koji je opisan u ovom poglavlju.
Rezultati ove implementacije jasno pokazuju da se radi o potpuno ekvivalentnom
scenariju u odnosu na vrednosti uma u emitovanom signalu i da teorijski okviri
postavljeni od strane Maurera i dalje vae. Brzinu kljua koju smo postigli je 308
Kriptologija 2
212
bitova/s. Sa ovom brzinom kljua obezbedili smo razmenu kljueva velikih duina koji u potpunosti zadovoljavaju potrebe dananjih kriptografskih algoritama.
Tabela 6.3 Dobijeni rezultati na kraju protokola
Ukupno
bitova
Razliitih
bitova
Greka
Poetno stanje
407.999
143.307
35.1%
Destilacija prednosti 1
137.545
41.233
29.9%
Destilacija prednosti 2
46.717
10.864
23.2%
Destilacija prednosti 3
16.232
2.001
12.3%
Destilacija prednosti 4
6.723
295
4.3%
Destilacija prednosti 5
3.136
39
1.2%
Destilacija prednosti 6
1.544
0.3%
Usaglaavanje
Info.
Veliina bloka = 5
1 1.544
0.06%
Usaglaavanje
Info.
Veliina bloka = 4
2 1.544
0%
Kriptologija 2
213
LITERATURA
A. Burnett, F. Byrne, T. Dowling, and A. Duffy. A Biometric Identity Based
Signature Scheme. [Radovi] // Applied Cryptography and Network Security
Conference. - New York : [s.n.], 2005.
A. Goh, D.C. L. Ngo Computation of Cryptographic Keys from Face Biometrics
[Radovi] // Proc. Intl Federation for Information Processing 2003. - 2003. - str.
1-13.
A. J. Viterbi and J. K. Omura. Principles of Digital Communication and Coding.
[Knjiga]. - New York : McGraw-Hill, 1979.
Agaian S.S. Hadamard Matrix and Their Applications [Radovi]. - [s.l.] : Springer
Verlag, 1985.
Aiden A. Bruen, Mario A. Forcinito Cryptography, information tehory, and
error-correction [Knjiga]. - New Jersey : A John Wiley & Sons, 2005.
Ari Juels, Martin Wattenberg A fuzzy commitment scheme [Radovi] // CCS '99
Proceedings of the 6th ACM conference on Computer and communications
security. - New York : ACM, 1999. - str. 28-36.
Bennet C. H., Bessette F. / Brassard G. Experimental Quantum Cryptography
[Nauni radovi]. - [s.l.] : Journal of Cryptology Vol.5, 1992.
Blahut, Richard E. Theory and Practice of Error Control Codes [Knjiga]. - [s.l.] :
Addison-Wesley, 1983.
Boneh Dan, Dunworth Christopher / Lipton Richard J. Breaking DES Using a
Molecular Computer [Nauni radovi]. - Princeton : Princeton, NJ 08544.
C. Soutar, D. Roberge, A. Stoianov, R. Gilroy, and B.V.K. Vijaya Kumar
Biometric Encryption [Radovi] // ICSA Guide to Cryptography,McGraw-Hill. 1999.
Daugman J. The Importance of Being Random: Statistical Principles of Iris
Recognition [asopis] // Pattern Recognition. - 2003. - str. 279-291.
Kriptologija 2
214
215
216
N. M. Abramson. Information Theory and Coding. [Knjiga]. - New York : McGrawHill, 1963.
Nagarajan Rajagopal / Papanikolaou Nikolaos Classical Security Protocols for
QKD Systems [Nauni radovi]. - [s.l.] : Department of Computer Science, The
University of Warwick.
P. Tuyls, A. H. M. Akkermans, T. A. M. Kevenaar, G.-J. Schrijen, A. M. Bazen,
and R. N.J. Veldhuis. Practical Biometric Authentication with Template
Protection [Radovi] // 5th International Conference, AVBPA. - Newyork : [s.n.],
2005. - str. 20-22.
R. Adler. Ergodic and mixing properties of infinite memory channels [Radovi]. [s.l.] : Proc. Amer. Math. Soc, 1961. - 12:924-930.
R.L. Rivest A. Shamir, and L. Adleman* A Method for Obtaining Digital
Signatures and Public-Key Cryptosystems [Nauni radovi]. - New York, NY :
Communications of the ACM, 1978. - 10.1145/359340.359342.
Raymond W Yueng A new Outlook on Shannon Information Measures
[Radovi] // IEEE Transactions on IT. - 1991. - T. 37.
Sanjay K, Danielle C, Emine K, Dijana P.D, and Bernadette D. Three Factor
Scheme for Biometric-Based Cryptographic Key Regeneration Using Iris
[Radovi]. - France : TELECOM & Management SudParisEvry, 2008.
SciEngines Break DES in less than a single day [Na mrei]. - SciEngines, 2009. 23 April 2013. - http://www.sciengines.com/company/news-a-events/74-desin-1-day.html.
Shannon C. E. A mathematical theory of communication [asopis] // Bell System
Tehnical Journal. - 1948. - str. 379-423.
Shannon Claude Communication Theory of Secrecy Systems [Nauni radovi]. [s.l.] : Bell System Technical Journal 28, 1949. - 656715.
Simmons G. J. Authentication theory/coding theory, in Advances in Cryptology
[Knjiga]. - [s.l.] : CRYPTO '84, 1985. - T. Lecture Notes in Computer Science 196 .
Kriptologija 2
217
Stamp Mark Information security [Knjiga]. - [s.l.] : A John Wiley & Sons, INC.,
Publiciation, 2005. - T. Second Edition.
T.C. Clancy, N. Kiyavash, D.J. Lin Secure Smart Card-Based Fingerprint
Authentication [Radovi] // Proc. 2003 ACM SIGMM Workshop Biometrics
Methods and Application (WBMA). - 2003.
Timothy I. Calver Captain, USAF AN EMPIRICAL ANALYSIS OF THE CASCADE
SECRET KEY RECONCILIATION PROTOCOL FOR QUANTUM KEY DISTRIBUTION
[Nauni radovi]. - [s.l.] : AIR FORCE INSTITUTE OF TECHNOLOGY, 2011. AFIT/GIR/ENV/11-S01.
U. Martini, S. Beinlich. Virtual PIN: Biometric Encryption Using Coding Theory.
BIOSIG: Biometric and Electronic Signatures [Radovi] // the 1st Conference on
Biometrics and Electronic Signatures of the GI Working Group BIOSIG. Darmstadt : [s.n.], 2003. - str. 9199.
Van Lint, J. H. Introduction to Coding Theory [Knjiga]. - [s.l.] : Springer-Verlag,
1982.
Xavier Boyen, Voltage Security, Palo Alto Reusable Cryptographic Fuzzy
Extractors [Radovi] // In 11th ACM Conference on Computer and
Communications Security (CCS 2004). - New York : ACM Press, 2004. - str. 82-91.
Y. Dodis, L. Reyzin, A. Smith Fuzzy Extractors: How to Generate Strong Keys
from Biometrics and Other Noisy Data [Radovi] // Eurocrypt 2004. - [s.l.] :
Eurocrypt 2004, 2008. - str. 523-540.
Kriptologija 2
218
219
napad je okarakterisan kao visoko tehnoloki napad, ne samo kao napad onesposobljavanja nekih servisa. Estonci su odgovorili veoma dobro. Meutim, stvorili
su talas straha u cyber zavisnim zemljama poput U.S.
Jun 2007. Sekretar odbrane je preko naloga elektronske pote bio rtva hakerskog napada, nepoznatih napadaa, kao i deo veeg niza napada za pristup i iskorienje ranjivosti mree.
Avgust 2007. Britanska sluba bezbednosti, Kancelarija francuskog predsednika
i nemake kancelarke Angele Merkel, bila je rtva hakerskih napada, koji su prepoznati kao napadi iz Kine. Merkelova je ak uputila zvanino pitanje predsedniku Kine.
Septembar 2007. Izrael je prekinuo rad sirijske mree za vazdunu odbranu,
navodno tokom bombardovanja sirijskog nuklearnog postrojenja.
Septembar 2007. Frensis Delon, generalni sekretar za narodnu odbranu u Francuskoj, izjavio je da su se u francuske informacione sisteme infiltrirale grupe iz
Kine.
Septembar 2007. Britanske vlast saoptile sa da su hakeri, za koje veruju da
dolaze iz Kineske Narodnooslobodilake armije, prodrle u mreu spoljnih poslova
i drugih kljunih odeljenja.
Oktobar 2007. Kinesko ministarstvo dravne bezbednosti dalo je izjavu da su
strani hakeri, 45% iz Tajvana i 25% iz SAD-a, pribavljali informacije iz kineskih
kljunih oblasti. U 2006, Kina je saoptila da su u mreama CASIC-a (engl. China
Aerospace Science & Industry Corporation) pronaeni pijunski softveri tajnih
slubi i korporativnih lidera.
Oktobar 2007. Vie od hiljadu zaposlenih u ORNL-u (engl. Oak Ridge National
Labs) dobilo je elektronsku potu sa prilogom koji kada se otvori, prua mogunost nepoznatom napadau da pristupi njihovim bazama podataka.
Novembar 2007. Donatan Evans, ef britanske slube bezbednosti (MI5), upozorio je 300 poslovnih firmi o poveanju Internet pretnji iz ruskih i kineskih
dravnih organizacija, govorei, veliki broj zemalja izvaja dosta vremena i energije da pribavi nae vane informacije o civilnim i vojnim projektima, na ovaj na-
Kriptologija 2
220
in dolaze do politike i vojne inteligencije na na raun. Oni e u budunosti razvijati sve vie sofisticiranih visoko tehnolokih napada, koristei Internet za upad
u mree".
Januar 2008. Zvaninik CIA je izjavio, da agencija pouzdano zna za etiri incidenta u inostranstvu, gde su hakeri izazvali ili mogli da ometaju elektro napajanje za
etiri grada.
Mart 2008. Junokorejski zvaninici tvrde da je Kina pokuala da upadne u korejske ambasade i vojne mree.
Mart 2008. Ameriki zvaninici izjavili da su amerike, evropske i japanske
kompanije doivele znaajne gubitke intelektualne svojine i poslovnih informacija preko napada u vidu industrijske pijunae u cyber prostoru.
April Oktobar 2008. WikiLeaks izvestio da su hakeri uspeno ukrali 50 megabajta elektronske poto sa priloenom dokumentacijom, kao i kompletan spisak
korisnikih imena i lozinki iz neutvrene vladine organizacije. Pretpostavlja se da
neki od napada potie iz angaja, sedite hakerske grupe povezane sa PLATD (Peoples Liberation Armys Third Department).
Maj 2008. Indijski vesnik izvestio da je indijski zvaninik optuio Kinu za hakerisanje vladinih raunara. Zvaninik je izjavio da je jezgro kineskih napada skeniranje i mapiranje slubenih mrea Indije za pristup sadraju kako bi se planirale
mogunosti za spreavanje rada mree tokom sukoba.
Jun 2008. Mrea nekoliko kongresnih kancelarija je hakovana od strane nepoznatih stranih uljeza. Neke infiltracije ukljuuju i kancelarije koje se bave interesima ljudskih prava na Tibetu.
Leto 2008. Baze podataka, Demokratske i Republikanske predsednike kampanje su hakovane i preuzete od strane stranih nepoznatih uljeza.
Leto 2008. Marathon Oil, ExxonMobil i ConocoPhillips su hakovane. Kompanije su
izgubile poslovne podatke o vrednosti i lokacijama naftnih polja irom sveta. teta je bila ogromna, procenjuje se na milione dolara.
Avgust 2008. Raunarske mree u Gruziji su hakovane od strane nepoznatih
uljeza, najverovatnije po nalogu ruske vlade. Ispisani su brojni grafiti po gruzijKriptologija 2
221
skim sajtovima. Dolo je do prekida usluga kod razliitih servisa, ovo je bio pritisak na gruzijsku vladu, koordinisan sa ruskim vojnim akcijama.
Oktobar 2008. Policija otkrila visoko sofisticirani napad na lanac snabdevanja sa
itaima kreditnih kartica napravljenim u Kini, koji su korieni u Velikoj Britaniji
u supermarketima, a u sebi su imali beine ureaje. Ureaj pravi kopije kreditnih kartica, skladite podatke i prenosi podatke jednom dnevno preko beine
mree do Lahorea u Pakistanu. Gubitak je bio 50 miliona dolara, a moda i vie.
Ureaj je mogao biti podeen da prikuplja podatke samo sa odreene vrste kartica, kao to su zlatne kartice.
Novembar 2008. Hakeru upali u mree Kraljevske banke u kotskoj. Uspeli su da
kloniraju 100 kartica za bankomate i tako povuku sa rauna u banci preko 9 miliona dolara, iz 49 gradova irom sveta.
Novembar 2008. Klasifikovane mree DOD i CENTCOM bile su hakovane od nepoznatih stranih uljeza. Da bude jo gore, bilo je potrebno nekoliko dana da izbaci
uljeza i ponovo obezbedi mree.
Decembar 2008. Maloprodaja giganta TJX je hakovana. Jedan haker je uhvaen i
osuen, kasnije je izjavio da su stekli 11 miliona dolara hakerskim radom.
Decembar 2008. ak i mali CSIS (CSIS.org) je hakovan od strane nepoznatih uljeza. eleli su da pristupe elektronskoj poti zaposlenih i tako da itaju vesti unapred.
2008. Britanski poslanici su upozoreni na elektronsku potu koju dobijaju od
Evropskog parlamenta, zbog strahovanja da bi mogli da se iskoriste od strane
kineskih hakera, koji bi mogli da ugrade u potu viruse.
Januar 2009. Hakeri napali Internet infrastrukturu u Izraelu tokom vojne ofanzive u pojasu Gaze u januaru 2009. Napad je fokusiran na vladine sajtove, sa najmanje 5.000.000 raunara. Izraelski zvaninici su verovali da je napad sprovela
kriminalna organizacija iz biveg Sovjetskog Saveza, a plaa Hamas ili Hezbolah.
Januar 2009. Indijski zvaninici su upozorili da su pakistanski hakeri umetali
malvere na popularnim sajtovima za preuzimanje muzike.
Kriptologija 2
222
Februar 2009. FAA (Federal Aviation Administration's) raunarski sistem je hakovan. Poveana upotreba FAA mree, takoe poveava rizik od namernog prekida komercijalnog vazdunog napada..
Februar 2009. 600 raunara u Ministarstvu spoljnih poslova Indije je hakovano.
Februar 2009. Francuski mornarica je otkrila da su baze podataka na nosaima
aviona bile zaraene virusom confickr". Zvaninici mornarice su otkrili da je neko koristio zaraen USB.
Mart 2009. Nemaka vlada je upozorila da su hakeri nude besplatnu verziju
Mikrosoftovog operativnog sistema koji instalira trojance.
Mart 2009. Kanadski istraivai pronali pijunski raunarski sistem za koji oni
veruju da Kina implementira na dravnim mreama u 103 zemlje sveta.
Mart 2009. Izvetaji u tampi objavili planove marinaca (Marine Corp 1.), novog
predsednikog helikoptera (amerikog predsednika), na Iranskim mreama za
deljenje podataka.
April 2009. Vol Strit asopis je izloio sve veu ugroenost elektrine mree u
SAD, zbog visoko sofisticiranih napada. Takoe, je obelodanio upade u F-35 baze
podataka od strane nepoznatih napadaa.
April 2009. Premijer Ben iabao je izjavio da je haker iz Tajvana pristupio raunarima kineskog Nacionalnog saveta, koji poseduje nacrte njegovog izvetaja o
ljudima Nacionalnog Kongresa.
April 2009. Kineski hakeri navodno se infiltrirali u Ministarstvo finansija June
Koreje, preko virusa u elektronskoj poti koji su doli od osoba od poverenja.
Maj 2009. U maju 2009., Merik banka (Merrick Bank), vodei izdava kreditnih
kartica, tvrdi da je ona izgubila 16 miliona dolara, nakon kompromitovanja ak
40 miliona kreditnih kartica i rauna.
Maj 2009. HSIN (Homeland Security Information Network) je hakovana od strane
nepoznatih uljeza. Hakeri su dobili pristup podacima i veina podataka je preuzeta.
Kriptologija 2
223
Jun 2009. Don Hopkins Univerzitet za primenjenu fiziku, na kome se vode istraivanja za Ministarstvo odbrane i NASA, bilo je primorano na nekoliko svojih
mrea privremeno ugasi.
Jun 2009. Nemaki ministar unutranjih poslova Volfgang ojble istakao, prilikom predstavljanja bezbednosnog izvetaja 2008, Kina i Rusija su poveale pijunske napore i Internet napade nad nemakim kompanijama.
Jul 2009. Ponovo visoko sofisticirani napadi na sajtove SAD i june Koreje, ukljuujui i jedan broj vladinih sajtova, pokrenuti od strane nepoznatih hakera. Juna
Koreja optuila Severnu Koreju da stoji iza DoS napada. DoS napadi ne remete
ozbiljno slubu, ve traju nekoliko dana i privlae veliku medijsku panju.
Avgust 2009. Albert Gonzales je optuen da je izmeu 2006 i 2008, on i neidentifikovani ruski ili ukrajinski kolega, ukrali vie od 130 miliona kreditnih i debitnih
kartica, hakovanjem 5 sistema velikih kompanija. To je bio najvei hakerski napad u istoriji krae identiteta u SAD.
Avgust 2009. Ehud Tenenbaum je osuen za krau 10 miliona dolara iz amerikih banaka. Tenengaum je poznat po hakovanju DOD-ovih raunara u 1998, to je
rezultiralo osudom izreenom u jednoj reenici od est meseci drutveno korisnog rada iz izraelskog suda.
Novembar 2009. Jean-Pascal Impersele, potpredsednik Meuvladinog panela
Ujedinjenih nacija o klimatskim promenama, pripisuje hakerisanje i oslobaanje
hiljade mejlova sa Univerziteta za klimatska istraivanja Rusiji kao deo zavere da
se podriju razgovori u Kopenhagenu o klimatskim promenama.
Decembar 2009. Vol Strit asopis objavio da je veliki broj amerikih banaka hakovan, i da se tako gube desetine miliona dolara.
Decembar 2009. Amerike bespilotne letilice hakovane od strane irakih pobunjenika, ostvarili upad u prikupljene materijale nakon misije.
Januar 2010. U Velikoj Britaniji MI5 sluba bezbednosti je upozorila tajne obavetajne oficire iz Narodnooslobodilake vojske i Ministarstva javne bezbednosti
da ne uzimaju sa privrednikih sajmova poklone u vidu kamera i memorijskih
Kriptologija 2
224
medija, koji sadre malver koji prua kinezima udaljeni pristup raunarima korisnika.
Januar 2010. Upad u google mreu, kao i u 30 drugih amerikih kompanija. Cilj
prodora, koji se pripisuje Kini, bio je prikupljanje informacija o tehnologiji, pristup elektronskoj poti GMAIL i sistemima za upravljanje lozinkama.
Januar 2010. Morgan Stanley globalna firma za pruanje finansijskih usluga,
doivela je vrlo osetljiv upad u svoje mree od strane istih kineskih hakera koji su
napali google raunare u decembru 2009, na osnovu procurele elektronske pote
bezbednosnih kompanija koje rade za banku.
Januar 2010. Naraianan (M. K. Narayanan), savetnik za nacionalnu bezbednost
Indije, rekao je da njegova kancelarija i drugih vladinih odeljenja napadnuta od
strane kineza 15. decembra. Naraianan je rekao da to nije prvi pokuaj da se prodre u raunare Indijske vlade.
Januar 2010. Grupa pod nazivom "Iranian Cyber Army" onesposobila popularni
kineski pretraiva Baidu. Korisnici su preusmereni na stranicu koja prikazuje
iransku politiku poruku. Ranije, iste napadai su upali u Twitter u decembru i sa
slinom porukom.
Januar 2010. Intel objavio da je pretrpeo napad, otprilike u isto vreme kad i Google, Adobe i drugi. Hakeri su iskoristili ranjivost u softveru Internet Explorer. Intel
je objavio da nije imao gubitke u vidu intelektualne svojine ili novca.
Mart 2010. NATO i EU upozorila da se broj napada protiv njihovih mrea znaajno poveao u proteklih 12 meseci. Proglasili su Kinu i Rusiju za najvee protivnike.
Mart 2010. Google je objavio da je pronaao malver usmeren na vijetnamske
korisnike raunara. Google navodi da nije bio zlonameran, ve korien za pijunau. Malver je ugraen u dodatak operativnog sistema za Vijetnamski jezik.
Mart 2010. Australijske vlasti objavile da je bilo vie od 200 pokuaja za upad u
mreu pravnog tima za Rio Tinto. Cilj je bio pribavljanje dokumentacije o strategiji odbrane na suenju.
Kriptologija 2
225
April 2010. Kineski hakeri provalili u navodno tajni dosije Indijskog Ministarstva
odbrane i indijske ambasade irom sveta, a u cilju pristupa indijskim raketama i
oruanim sistemima.
Mart 2010. Nepoznati hakeri objavili stvarne prihode Litvanskih vladinih zvaninika, preko pristupa sistemu poreske evidencije.
April 2010. Kineska telekomunikaciona kompanija sluajno emituje pogrene
informacije za oko 37,000 mrea, uzrokujui Internet saobraaj koji se pogreno
prosledio kroz Kinu. Incident je trajao 20 minuta, a saobraaj je izloen na 8,000
amerikih mrea, 8,500 kineskih mrea, 1,100 australijskih mrea i 230 francuskih mrea.
Maj 2010. Kanadska sluba bezbednosti upozorila na moguu pijunau na svim
nivoima drave (Vlada Kanade, kanadski univerziteti, privatne kompanije i individualne mree klijenata).
Juli 2010. Ruski obavetajni agent (Aleksej Karetnikov), uhapen je i deportovan
nakon devet meseci rada u Microsoft odeljenju za testiranje softvera.
Oktobar 2010. Otkriven paket zlonamernih programa (Stuxnet) u Iranu, Indoneziji i na drugim mestima, dizajniran da ometa simensovo industrijsko postrojenje.
Sve je na kraju dovedeno u vezu sa kontrolom iranskog nuklearnog programa.
Oktobar 2010. Vol Strit u svom asopisu objavio da hakeri koriste Zevs malver,
dostupan u visoko tehnolokim kriminalnim krugovima crnog trita za oko 1200
dolara. Sa tim programom bili su u stanju da ukradu vie od 12 miliona dolara od
pet banaka u SAD i UK. Zevs koristi hiper linkove iz elektronske pote za krau
informacija o raunu, a kasnije ih koristili za transfer novca na bankovne raune.
Kasnije je uhapena grupa kriminalaca koja je otvarala lane raune u bankama
preko kojih su krali novac.
Oktobar 2010. Ministarstvo Odbrane Australije prijavilo ogroman porast napada
na vojsku. Australijski ministar odbrane, Don Fokner otkriva da je bilo 2400
incidenata na mrei u 2009-toj i 5551 incident izmeu januara i avgusta 2010.
Kriptologija 2
226
Decembar 2010. Britanski ministar spoljnih poslova Vilijam Hejg prijavio napade strane sile na ministarstva spoljnih poslova, odbrane i drugih institucija od
velikog znaaja, kao i teku odbranu zbog pretvaranja da dolaze iz Bele kue.
Decembar 2010. Indijski Centralni istrani biro (CBI) sajt (cbi.nic.in), hakovan je
tako to su podaci izbrisani. Indija optuuje pakistanske hakere. Meutim vani
podaci CBI-a bili su uskladiteni na raunarima bez Internet pristupa.
Januar 2011. Hakeri upali berzu Evropske unije, omoguili kupovinu i prodaju
akcija i tako uspeli da ukradu vie od 7 miliona dolara. Trite je bilo primorano
na privremeno zatvaranje.
Januar 2011. Hakeri izvukli 6,7 miliona dolara iz June Afrike banke preko novogodinjih praznika.
Januar 2011. Kanadska vlada prijavila veliki napad na svoje organe. Napad fokusiran na Ministarstvo finansija i trezor. Privremeno su prekinute veze sa Internetom u cilju spreavanja tete prouzrokovane napadom. Kanadski izvori pripisuju
napad na Kinu.
Mart 2011. Hakeri upali u Francusku raunarsku mreu vlade, u potrazi za poverljivim informacijama o predstojeim sastancima grupe G-20.
Mart-April 2011. Izmeu marta 2010 i aprila 2011, FBI je identifikovao 20 incidenata u kojima su onlajn bankarski akreditivi malih i srednjih preduzea u U.S.
kompromitovani i korieni za inicijalni transfer u kinesku ekonomiju preko
trgovakih kompanija. Od aprila 2011 ukupan pokuaj prevare iznosi oko 20 miliona dolara, stvarni gubici su 11 miliona dolara.
Mart-April 2011. Hakeri koriste tehnike pecanja u pokuaju da dobiju podatke
ako bi kompromitovali RSA "Secure ID", tehnologiju za autentifikaciju. Zabeleeni
sluajevi prodora u kompanijske mree na osnovu prethodno pribavljenih podataka.
April 2011. Google prijavio napad tehnikom pecanja, koji je doveo do kompromitovanja stotine gmail lozinki istaknutih ljudi, ukljuujui i visoke amerike zvaninike. Google pripisuje napad Kini.
Kriptologija 2
227
228
Kriptologija 2
229
Kriptologija 2
230
Juli 2012. Trojanac zvani Mahdi" otkriven u vie od 800 inenjerskih firmi, vladinih
agencija, finansijskih kua i akademija irom Bliskog istoka i ire, uglavnom u Izraelu i
Iranu. Virus je sadrao sekvence na persijskom jeziku.
Juli 2012. Indijski zvaninici su potvrdili postojanje virusa koji prikuplja podatke iz
vanih raunarskih sistema u tabu Istone pomorske komande. Podaci su prosleeni
na kineske IP adrese. Virus je kako se navodi dospeo preko zaraenih USB memorija,
koji su korieni za prenos podataka sa raunara na kojima su se nalazili vani podaci.
Juli 2012. Direktor NSA, izjavio je da je dolo do poveanja za vie od 17 puta, broja
napada na amerikim infrastrukturnim preduzeima izmeu 2009 i 2011.
Juli 2012., Preko 10,000 adresa elektronske pote indijskih zvaninika sa vrha vlasti je
bilo ugroeno, ukljuujui i zvaninike u Kancelariji premijera, odbrane, spoljnih
poslova i finansija, kao i obavetajnih agencija.
Avgust 2012. Malver zvani Gauss zarazio 2.500 sistema irom sveta. Gauss je imao
za cilj da ugrozi libanske banke. Ovaj virus sadri kod koji jo nije poznat, jer ifra jo
nije razbijena (napadai nepoznati).
Avgust 2012. Grupa nazvana Cutting Sword of Justice povezana sa Iranom koristi
Shamoon virus za napad na Aramaco (glavni snabdeva saudijske nafte), obrisani su
podaci na preko 30,000 raunara i zarazi kontrolne sisteme (bez izazivanja tete).
Napad je takoe uticao i na katarske kompanije RasGas. Verovatno su zaraene i
druge naftne kompanije.
Septembar 2012. Izz ad-Din al-Qassam, hakerska grupa povezana sa Iranom, pokrenula operaciju Ababil ciljajui na bakarske sajtove i druge U.S. finansijske institucije.
Oktobar 2012. Upotrebom malvera od 2007 hakeri prikupljaju informacije o ciljevima
u Istonoj Evropi, bivem SSSR-u i Centralnoj Aziji, zajedno sa ciljevima u Zapadnoj
Evropi i Severnoj Americi. Informacije se prikupljaju najvie iz ambasada, istraivakih
firmi, vojnih infrastruktura, energetskih, nuklearnih i dugih kritinih infrastruktura.
Kriptologija 2
231
RENIK POJMOVA
A
AES - Advanced Encryption Standard. Blokovska ifra sa simetrinim kljuem, standardizovana od strane NIST-a. Pripada grupi modernih ifara. Duina kljua je 128, 192, i 256 bitova.
ASCII - ameriki kodni standard za razmenu informacija. Ove kodove koristi veliki broj raunarskih sistema za prevoenje karaktera u binarne brojeve.
Algoritam - opis za reavanje nekog problema.
Asimetrini ifarski sistemi sistemi sa javnim i privanim kljuem. Primer ovog tipa algoritama je RSA koji se koristi za ifrovanje i digitalno potpisivanje.
B
Biometrija - tehnika za autentifikaciju koja koristi jedinstvene fizike karakteristike nekog pojedinca. Postoje razliiti tipovi biometrije.
Biometrijski templejt - digitalizovana fizika karakteristika nekog pojedinca za odreeni biometrijski izvor koji se koristi za autentifikaciju date
osobe.
Binarna sekvenca - niz karaktera (jedinica i nula) ili binarni niz.
Blok kod neprazan skup rei koje su iste duine, predstavlja strukturu
red.
Kriptologija 2
232
V
VOIP - protokol koji se koristi za digitalizaciju govora, pakovanje i slanje
preko TCP/IP veze.
Vizuelna kriptografija - specijalna tehnika ifrovanja koja omoguava
skrivanje informacija na slici, na takav nain da se moe deifrovati ljudskim okom bez upotrebe raunara.
Venona - predstavlja One-time pad u realnosti. Koristila ga je sovjetska pijunska mrea koja je formirana na teritoriji SAD 1940-tih.
G
GSM - globalni sistem za telekomunikacije. Internacionalni standard za satelitske telefone.
D
DES - Data Encryption Standard. Blokovska ifra sa simetrinim kljuem
usvojena od strane NIST-a. Pripada grupi modernih ifara. Duina kljua je
56 bitova, prevazien je od strane AES-a.
Digitalni potpis - protokol koji koristi primalac poruke da bi verifikovao
poiljaoca poruke. Za verifikaciju se koristi javni klju poiljaoca. Obezbeuje servis neporecivosti.
Deifrovanje - proces transformacije ifrata u otvoreni tekst.
Digitalni vodeni peat - tehnika za zatitu autorskih prava digitalnih sadraja.
Difi-Helman - protokol namenjen za razmenu simetrinih kljueva preko
javnih komunikacionih kanala.
Kriptologija 2
233
E
Enigma - maina za ifrovanje iz familije mehanikih rotor maina. Koristile je nemake snage za vreme Drugog svetskog rata.
Entropija - mera za koliinu neodreenosti ili prosena koliina informacije koju sadre generisane poruke nekog informacionog izvora.
ECB - reim za ifrovanje kod blokovskih ifara u kom je svaki blok ifrata
potpuno nezavisan. Ovaj reim moe da bude nebezbedan.
I
Iris - ara irisa ili obojeni deo oka koji je prilino haotian (neodreen) ili
sluajan. Predstavlja biometrijski izvor sa visokim performansama.
Integritet - prevencija od neautorizovane izmene sadraja (poruke).
Informacioni izvor generator sekvence simbola koji predstavljaju poruke.
J
Javni klju - element sistema sa javnim kljuem ili javni klju nekog korisnika koji je dostupan svim korisnicima u mrei. Koristi se u fazi ifrovanja.
Jednosmerna funkcija - sam naziv kae da je funkcija neinvertibilna, ako
je
K
Kapacitet kanala - maksimalna prosena koliina informacija na izlazu
kanala koja je jednaka koliini informacije na ulazu.
Kriptologija 2
234
L
LAN - lokalna mrea.
LFSR - linearni pomeraki registar sa povratnom spregom. Njegova uloga
se sastoji u generisanju pseudosluajnih sekvenci. Ima periodu (ponavlja se
nakon izvesnog vremena).
LSB - steganografska tehnika za ugraivanje tajnih poruka u podatak nosilac po principu zamene bitova sa najmanjim znaajem.
Lozinka - tajni akreditiv (string od proseno 8 karaktera) koji se koristi za
autenitfikaciju kod tradicionalnih sistema za autentifikaciju. Korisnik je u
Kriptologija 2
235
stanju da zapamti vise lozinki, dok kriptoloke kljueve nije mogue zapamtiti.
M
MAC - kod za proveru autentinosti poruke.
N
NIST - amerika federalna agencija za standarde i tehnologiju.
NSA - nacionalna agencija za bezbednost. Amerika agencija koja je odgovorna za bezbednost i kriptoanalizu elektronskih komunikacija.
O
One-time pad - perfektna ifra koja pripada grupi ifara sa simetrinim
kljuem. Klju je generisan na sluajan nain i ima jednaku duinu kao i poruka. Klju ne sme nikad da se ponavlja.
Otvoreni tekst - poruka u fazi ifrovanja ili rezultat funkcije za deifrovanje.
P
PGP - program za bezbednu elektronsku potu koji objedinjuje servise za
kriptografsku zatitu podataka i digitalno potpisivanje. Razvijen od strane
Fila Cimermana.
PKI - infrastruktura sa javnim kljuevima. Sadri bazu javnih kljueva preko kojih obezbeuje autentifikaciju u srednjim i velikim mreama.
Privatni klju - element sistema sa javnim kljuem ili tajna koju uva svaki
korisnik. Koristi se u fazi deifrovanja.
Kriptologija 2
236
R
RSA - kriptografski sistem sa javnim kljuem, patentiran od strane Rivesta,
amira i Adlemana 1976. Sigurnost RSA zasniva se na sloenosti faktorizacije velikih brojeva. Ima iroku primenu, implementiran je u PGP i SSL-u.
RC4 - sekvencijalna ifra sa simetrinim kljuem. Pripada grupi modernih
ifara. Duina kljua jednaka je poruci. Neki je nazivaju pseudoperfektna
ifra. Za generisanje kljua koristi se generator za pseudosluajne brojeve.
Pravila implementacije su skoro ista kao i kod perfektnih ifara.
S
Sertifikat - elektronski fajl, obino sadri javni klju koji je digitalno potpisan od Sertifikacionog tela. Sertifikati se koriste za autentifikaciju na Internetu.
Sertifikaciono telo - trea strana od poverenja koja potpisuje i distribuira
sertifikate.
SSL - iroko primenjeni zatitni protokol za autentivikaciju na Internetu
(Internet transakcije)
Simetrini klju - kriptoloki klju koji je identian na predajnoj i prijemnoj strani.
Kriptologija 2
237
Steganografija - nauka o skrivanju informacija u drugim bezazlenim podacima. est primer je skrivanje tekstualnog sadraja u neku sliku.
Stacionarni izvor informacioni izvor ija statistika ne zavisi od vremena.
Sesijski klju simetrini klju za jednokratnu upotrebu.
T
TCP/IP - protokol koji se koristi za prenos informacija u raunarskim mreama. TCP/IP je postao standard za sve mree povezane sa Internetom.
TDES - blokovska ifra sa simetrinim kljuem, usvojena od strane NIST-a.
Bazirana na sukcesivnoj aplikaciji tri DES algoritma sa razliitim kljuevima. Predstavlja ojaanje klasinog DES-a.
TRNG - generator sluajnih brojeva; ovakve generatore je mogue konstruisati u prirodnim informacionim izvorima.
F
Faktorizacija - rastavljanje velikih prostih brojeva na inioce iz skupa
prostih brojeva.
Fejstel ifra - nazvana po nemakom kriptografu Horstu Fejstelu (Horst
Feistel) koji je pionir u razvoju dizajna blokovskih ifara, radio je u IBM-u.
Ovo su bila inicijalna istraivanja koja su kulminirala razvoju DES (Data
Encryption Standard) algoritma 1970. godine. Fejstel ifra predstavlja dizajn blokovske ifre, a ne posebnu ifru.
H
Haker originalno se termin koristi za kreativnog programera koji razvija
programe za ilegalan pristup raunarskim mreama u cilju krae ili unitenja informacija. Dobar haker treba da poseduje dobre kriptoanalitike vetine.
Kriptologija 2
238
C
CRC - Cyclic Redudancy Check. Kod iroke primene, koristi se za detektovanje greaka. Obino pre deifrovanja, CRC se proverava.
CBC - reim za ifrovanje kod blokovskih ifara. Radi na principu ulanavanja blokova ifrata.
Kriptologija 2
239
Na osnovu lana 23. stav 2. taka 7. Zakona o porezu na dodatu vrednost (Slubeni
glasnik RS, br. 84/2004, 86/2004 (ispr.), 61/2005, 61/2007 i 93/2012), Odlukom Senata Univerziteta Singidunum, Beograd, broj 260/07 od 8. juna 2007. godine, ova knjiga
je odobrena kao osnovni udbenik na Univerzitetu.
CIP -
,
003.26(075.8)
004.056.55(075.8)
2014.
Sva prava zadrana. Nijedan deo ove publikacije ne moe biti reprodukovan u bilo
kom vidu i putem bilo kog medija, u delovima ili celini bez prethodne pismene saglasnosti izdavaa.