Скачать презентацию DES ЛЕКЦИЯ 3 Криптография м стеганография D Скачать презентацию DES ЛЕКЦИЯ 3 Криптография м стеганография D

Лекция 3 DES.pptx

  • Количество слайдов: 39

DES ЛЕКЦИЯ 3 Криптография м стеганография DES ЛЕКЦИЯ 3 Криптография м стеганография

D ata E ncryption S tandart D ata E ncryption S tandart

Число раундов 16 Блоки 64 бит DES Ключ 56 бит Основа – сеть Фейстеля Число раундов 16 Блоки 64 бит DES Ключ 56 бит Основа – сеть Фейстеля

DES: история NBS (NIST) объявляет конкурс на стандарт США блокового шифрoвания 2010 1973 2011 DES: история NBS (NIST) объявляет конкурс на стандарт США блокового шифрoвания 2010 1973 2011 1974 2012 1975 1976 2014 1977 1990 2016 1993

Требования к стандарту Понятность Обеспечение высокого уровня безопасности Безопасность зависит только от ключа, а Требования к стандарту Понятность Обеспечение высокого уровня безопасности Безопасность зависит только от ключа, а не от сохранения в тайне алгоритма Разрешение на экспорт Легкая аппаратная реализация на существующей элементной базе Адаптация к различным применениям Быстрота

DES: история NBS (NIST) объявляет конкурс на стандарт США блокового шифрoвания 2010 1973 2011 DES: история NBS (NIST) объявляет конкурс на стандарт США блокового шифрoвания 2010 1973 2011 1974 2012 1975 ІВМ создает первую версию – алгоритм LUCIFER с 128 битовым ключом 1976 2014 1977 1990 2016 1993

DES: разработчики Алан Конх ейм Уолт Тачмен + Эдна Гроссман Линн Смит Билл Ноц DES: разработчики Алан Конх ейм Уолт Тачмен + Эдна Гроссман Линн Смит Билл Ноц Рой Адлер Дон Коп персми т Хорст Фейстель н райнт Такерма Б

DES: история NBS (NIST) объявляет конкурс на стандарт США блокового шифрoвания 2010 1973 АНБ DES: история NBS (NIST) объявляет конкурс на стандарт США блокового шифрoвания 2010 1973 АНБ вносит изменения в DES. Публикация алгоритма в открытой печати 2011 1974 2012 1975 ІВМ создает первую версию – алгоритм LUCIFER с 128 битовым ключом Официальный стандарт FIPS PUB 46, DES 1976 2014 1977 Два открытых симпозиума. DES утвержден как федеральный стандарт США Линейный криптоанализ, Мицуру Мацуи 1990 2016 1993 Дифференциальный криптоанализ, Али Бихам и Ади Шамир

DES: история NIST объявляет о намерении найти приемника DES Победителем конкурса становится шифр RIJNDAEL DES: история NIST объявляет о намерении найти приемника DES Победителем конкурса становится шифр RIJNDAEL 1993 2010 19972011 19982012 2000 Майкл Винер разработал принципы машины ($1 млн) для полного перебора ключей за 3, 5 часа Спец. компьютер DEЕР CRACK с 1536 крипточипами ($250 тыс. ) ломает DES за 56 час. EFF, Пауль Кочер Переход на 3 DES Облачные вычисления (Moxie Marlinspike и Дэвид Халтон, 24 часа, $200) 2014 2001 2012 Принят новый стандарт АES

Структура DES 64 бита открытого текста 64 бита шифротекста Начальная перестановка IP РАУНД 2 Структура DES 64 бита открытого текста 64 бита шифротекста Начальная перестановка IP РАУНД 2 . . . РАУНД 16 48 бит k 2 48 бит k 16 48 бит Конечная перестановка IP -1 64 бита шифротекста Генератор ключей раундов (ключ 56 бит) РАУНД 1 k 16 48 бит k 15 РАУНД 1 РАУНД 2 48 бит k 1 48 бит . . . РАУНД 16 Конечная перестановка IP -1 64 бита открытого текста

Начальная перестановка IP 58 50 42 34 26 18 10 2 60 52 44 Начальная перестановка IP 58 50 42 34 26 18 10 2 60 52 44 36 28 20 12 4 62 54 46 38 30 22 14 6 64 56 48 40 32 24 16 8 57 49 41 33 25 17 9 1 59 51 43 35 27 19 11 3 61 53 45 37 29 21 13 5 63 55 47 39 31 23 15 7 1 50 . . . 58 текст Х . . . 1 2 64 открытый IP(Х) 40 Не влияет на стойкость алгоритма Облегчает побайтовую загрузку открытого текста ?

Конечная перестановка IP -1 40 8 48 16 56 24 64 32 39 7 Конечная перестановка IP -1 40 8 48 16 56 24 64 32 39 7 47 15 55 23 63 31 38 6 46 14 54 22 62 30 37 5 45 13 53 21 61 29 36 4 44 12 52 20 60 28 35 3 43 11 51 19 59 27 34 2 42 10 50 18 58 26 33 1 41 IP -1 9 49 17 57 25 ( IP ( X )) =X

L i -1 R i -1 ki i - ый раунд шифрования FDES Li L i -1 R i -1 ki i - ый раунд шифрования FDES Li Ri Петля Фейстеля

Схема работы функции F DES Ri-1 , 32 бита Расширяющая перестановка Е , 48 Схема работы функции F DES Ri-1 , 32 бита Расширяющая перестановка Е , 48 бит ki , 48 бит b 1, b 2, b 3 , b 4, b 5, b 6, b 7 , b 8 (по 6 бит) b 1 S 1 b 2 S 2 b 3 S 3 b 4 S 4 b 5 S 5 b 6 S 6 b 7 S 7 a 1, a 2, a 3 , a 4, a 5, a 6, a 7, a 8 (по 4 бита) P-бокс (перестановка, 32 бита) FDES(Ri-1 , ki ) b 8 S 8

Расширяющая перестановка 1 2 3 4 5 6 7 8 9 10 11 12 Расширяющая перестановка 1 2 3 4 5 6 7 8 9 10 11 12 Е 13 32 . . . 48 1 2 3 4 5 6 7 8 9 10 11 12 1314151617. . . 32 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 1 Увеличение размера полублока до размера ключа для дальнейшего выполнения операции XOR Обеспечение лавинного эффекта

Подстановка с помощью S- боксов 48 -битовый вход S 1 S 2 S 3 Подстановка с помощью S- боксов 48 -битовый вход S 1 S 2 S 3 S 4 S 5 S 6 S 7 32 -битовый выход S- бокс – таблица 4 х16 S 8

Как найти шифрообозначение в S- боксах? S 2 - бокс 0 1 2 3 Как найти шифрообозначение в S- боксах? S 2 - бокс 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 0 15 1 8 14 6 11 3 4 9 7 2 13 12 0 5 10 1 3 13 4 7 15 2 8 14 12 0 1 10 6 9 11 5 2 0 14 7 11 10 4 13 1 5 8 12 6 9 3 2 15 3 13 8 10 1 15 4 2 11 6 7 12 0 5 14 9 3 ( х 1 х 6 ) 2 = m 10 – cтрока S(х1 х2 х3 х4 х5 х6 ) ( х 2 х 3 х 4 х 5 ) 2 = l 10 – cтолбец S ( х 1 х 2 х 3 х 4 х 5 х 6 )=( a ml ) 10 = a 2 ПРИМЕР: S 2(110111)=? m =11 2 =3 10 ; a ml = a 3, 11 =12 10 =1100 l =1011 2 =11 10 ; S 2(110111)=1100

Принципы построения S- боксов Строки S-боксов – перестановки чисел {0, 1, …, 15} Нелинейная Принципы построения S- боксов Строки S-боксов – перестановки чисел {0, 1, …, 15} Нелинейная зависимость выходных битов от входных !!! Изменение хотя бы одного бита на входе в S-бокс влечет изменение хотя бы двух битов на его выходе (эта зависимость также неаффинная) Если y = x+(001100), то S(x) и S(y) отличаются хотя бы двумя битами S(x) ≠S(х+11 bc 00) где b, c – любые биты

Р - бокс (прямой) 16 7 20 21 29 12 28 17 1 2 Р - бокс (прямой) 16 7 20 21 29 12 28 17 1 2 8 24 14 32 27 19 13 30 3 9 15 23 26 5 6 18 31 10 22 11 4 Каждый входной бит перемещается в другую позицию Ни один бит не используется дважды и не отбрасывается 25

оксы б о S- лее к толь и бо DES ейны в В оро оксы б о S- лее к толь и бо DES ейны в В оро ин л ат – не х опер т руги чиваю д ь еспе б кост о стой

Ключевое расписание DES • Длина ключа DES – 56 бит • Длина раундового ключа Ключевое расписание DES • Длина ключа DES – 56 бит • Длина раундового ключа – 48 бит Биты проверки четности Ключ шифра 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17. . . Нечетное число « 1» Зачем? Для выявления ошибок при обмене и хранении ключа

Ключевое расписание DES 64 бита ключа шифра Сжимающая перестановка 56 бит С 0 D Ключевое расписание DES 64 бита ключа шифра Сжимающая перестановка 56 бит С 0 D 0 28 бит Левый сдвиг 1 С 1 D 1 28 бит Левый сдвиг 2 Левый сдвиг 16 С 16 56 бит 28 бит Сжимающая перестановка 48 бит k 1 Левый сдвиг 2 . . . Левый сдвиг 16 D 16 56 бит Сжимающая перестановка 48 бит k 16

Ключевое расписание DES Сжимающая перестановка (с удалением проверочных битов) 57 49 41 33 25 Ключевое расписание DES Сжимающая перестановка (с удалением проверочных битов) 57 49 41 33 25 17 10 2 9 6 58 50 42 34 26 18 59 51 43 35 27 19 11 63 55 47 39 31 23 15 14 1 7 3 60 52 44 36 62 54 46 38 30 22 61 53 45 37 29 21 13 5 28 20 12 4 С 0 D 0

Ключевое расписание DES Величина левого циклического сдвига (в битах) Раунд 1 2 3 4 Ключевое расписание DES Величина левого циклического сдвига (в битах) Раунд 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 Сдвиг 1 1 2 2 2 1

Ключевое расписание DES Сжимающя перестановка 56 бит 48 бит 14 17 11 24 1 Ключевое расписание DES Сжимающя перестановка 56 бит 48 бит 14 17 11 24 1 26 27 20 13 8 16 7 5 3 28 15 2 6 21 10 23 19 12 4 41 52 31 37 47 55 30 40 51 45 33 48 44 49 39 56 34 53 46 42 50 36 29 32 Результат перестановки – раундовый ключ

Криптографические характеристики алгоритма DES Это зависимость всех выходных битов от каждого входного бита открытого Криптографические характеристики алгоритма DES Это зависимость всех выходных битов от каждого входного бита открытого текста Алгоритм удовлетворяет лавинному критерию, если изменение одного входного бита влечет изменение половины выходных ЛАВИННЫЙ ЭФФЕКТ Алгоритм удовлетворяет строгому лавинному критерию, если изменение одного входного бита влечет измение каждого выходного бита с вероятностью 1/2

Открытый текст 2 Открытый текст 1 00000000 ЛАВИННЫЙ ЭФФЕКТ 000000001 Ключ: 22234512987 ABB 23 Открытый текст 2 Открытый текст 1 00000000 ЛАВИННЫЙ ЭФФЕКТ 000000001 Ключ: 22234512987 ABB 23 DES 4789 FD 476 E 82 A 5 F 1 OA 4 ED 5 C 15 A 63 FEA 3 Отличие в 29 битах = 45% Раунд 1 Число изменен. 1 бит 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 6 20 29 30 33 32 29 32 39 33 28 30 31 30 29 4 -ый раунд

Криптографические характеристики алгоритма DES Это зависимость каждого бита шифротекста от всех битов открытого текста Криптографические характеристики алгоритма DES Это зависимость каждого бита шифротекста от всех битов открытого текста ЭФФЕКТ ПОЛНОТЫ Рассеивание и перемешивание информации в P- и S-боксах приводят к сильному эффекту DES менее чем с 16 раундами уязвим после 8 раундов каждый бит шифротекста зависит от всех битов открытого текста и ключа).

Слабые ключи DES Ключ k – слабый, если Ek(Ek(X))=X Cлабые ключи DES До удаления Слабые ключи DES Ключ k – слабый, если Ek(Ek(X))=X Cлабые ключи DES До удаления проверочных бит 010116 FEFE 16 E 0 E 016 1 F 1 F 16 С 0 [0]28 [1]28 [0]28 D 0 [0]28 [1]28 Свойства слабых ключей: легко распознаются при дешифровании; 16 одинаковых раундовых ключей; двойное последовательное зашифрование дает открытый текст

Полуслабые ключи DES Пара полуслабых ключей k 1, k 2 , если Ek (X))=X Полуслабые ключи DES Пара полуслабых ключей k 1, k 2 , если Ek (X))=X 1 2 Первый ключ пары 01 FE Второй ключ пары FE 01 1 FEO OEF 1 E 01 F F 10 E 01 E 0 01 E 1 01 F 1 E 001 F 101 1 FFE OEFE FE 1 F FEOE 011 F 010 E 1 F 01 0 E 01 E 0 FE FIFE FEE 0 FEF 1 Создают только 2 различных раундовых ключа и повторяют их 8 раз 12 полуслабых ключей

Возможно слабые ключи DES Создают только 4 различных раундовых ключа и далее их повторяют Возможно слабые ключи DES Создают только 4 различных раундовых ключа и далее их повторяют У DES 48 возможно слабых ключей вероятность случайного выбора слабого, полуслабого или возможно слабого ключа 4 слабых+12 полуслабых+48 возможно слабых 256 =8, 8. 10 -16

Комплементарные ключи DES присуще свойство дополнительности: EK(X)=Y EK (X)=Y K, K – комплементарные ключи Комплементарные ключи DES присуще свойство дополнительности: EK(X)=Y EK (X)=Y K, K – комплементарные ключи Очевидно, Есть XOR 256 у шифра есть дополнительность Для полного перебора надо проверять 255 ключей

Длина ключа DES Мощность ключевого пространства DES – 256=72 057 594 037 027 936 Длина ключа DES Мощность ключевого пространства DES – 256=72 057 594 037 027 936 « 72 квинтиллиона – большое количество, но не большое число» У. Диффи

Проблема короткого ключа DES 1970 -е 1993 1997 Полный перебор – 1000 лет Майкл Проблема короткого ключа DES 1970 -е 1993 1997 Полный перебор – 1000 лет Майкл Винер разработал принципы машины (стоимость $1 млн) для полного перебора ключей за 3, 5 часа Проект по взлому DES с помощью сети Internet. Ключ найден за 90 дней (14000 – 78000 компьютеров).

1998 Пауль Кочер, главный разработчик Американская группа EFF инвестировала $250 тыс. на создание спецкомпьютера 1998 Пауль Кочер, главный разработчик Американская группа EFF инвестировала $250 тыс. на создание спецкомпьютера DEЕР CRACK с 1536 крипточипами, который находит ключ за 56 час.

2012 Мокси Марлинскайп свел взлом шифрования РРТР протокола с помощью программ Сhap. Crack и 2012 Мокси Марлинскайп свел взлом шифрования РРТР протокола с помощью программ Сhap. Crack и Сloud. Cracker к простому перебору ключей DES. Расчеты выполнены на суперкомпьютере, чипы для которого создал Дэвид Халтон (Pico Computing) Мокси Марлинспайк (Moxie Marlinspike, никнейм) – белый хакер. Разработка инструментов шифрования и резервного копировании, обеспечение безопасности сетевых соединений , основатель Whisper Systems. Дэвид Халтон (David Hulton)) – известный сотрудник компании Pico Computing, занимающейся разработкой высокопродуктивных компьютеров.

 « DES стойко выдержал 20 лет массового всемирного криптоанализа» Никола Куртуа ДИФФЕРЕНЦИАЛЬНЫЙ КРИПТОАНАЛИЗ « DES стойко выдержал 20 лет массового всемирного криптоанализа» Никола Куртуа ДИФФЕРЕНЦИАЛЬНЫЙ КРИПТОАНАЛИЗ 19901991 Известных открытых текстов – 255; количество операций – 255 ИЛИ выбранных открытых текстов – 247 ; количество операций – 247 Ади Шамир (иврит – )שמיר עדי патриарх израильской криптографии 1952 г. р. Эли Бихам (иврит – אלי ביהם израильский криптограф и криптоаналитик

 « DES стойко выдержал 20 лет массового всемирного криптоанализа» Никола Куртуа 19931994 ЛИНЕЙНЫЙ « DES стойко выдержал 20 лет массового всемирного криптоанализа» Никола Куртуа 19931994 ЛИНЕЙНЫЙ КРИПТОАНАЛИЗ Известных открытых текстов – 243; количество операций – 243 Мицуру Мацуи (яп. 松井, англ. Mitsuru Matsui) – японский криптограф. В 1994 г. линейный анализ DES выполнил за 50 дней, используя 20 компьютеров