Secret key systemy (systemy s tajnym klicem)

stejny klic je pouzit pro sifrovani i desifrovani
Mnoho z dnes pouzivanych systemu jsou Feistelovy sifry.

Obecny tvar jednoho cyklu Feistelovy sifry:
Obrazek Obecneho tvaru jednoho cyklu Feistelovy sifry

Kryptosystem DES

Vyvinula firma IBM na zakazku NBS pocatkem 70. let. Puvodni nazev DEA, v USA DEA 1. Jako standard prijat 23. 11. 1976
Dodnes pouzivan v komercni sfere, pro vojenske ucely neni certifikovan ani pro ochranu neklasifikovanych informaci. Patrne nejrozsahleji pouzivany sifrovaci algoritmus vsech dob.

Norma ANSI X3.92
Sifruje 64 bitove bloky otevreneho textu na na stejne dlouhe bloky vystupni, delka klic 64 bitu, z toho nezavislych bitu je 56.

Pozadavky zadavatele

Algoritmus musi poskytovat vysoky stupen ochrany
Musi byt formalne popsatelny a snadno pochopitelny
Bezpecnost algoritmu nesmi zaviset na znalosti ci neznalosti samotneho algoritmu.
Musi byt dostupny pro nejsirsi verejnost.
Musi byt pouzitelny v nejruznejsich aplikacich.
Musi byt efektivni.
Musi byt overitelny.
Musi byt exportovatelny.

Rezimy cinnosti

ECB (electronic code book) - pouze sifrovani klicu C = E(K, P)
CBC (cipher block chaining) - vhodny pro sifrovani zprav C_n = E(K, P_n xor C_n-1)
CFB (cipher feed back) - pro sifrovani podobne proudovym sifram C_n = P_n xor E(K, shl(Reg, k) + left(C_n-1, k))
OFB (output feed back) - pro aplikace, kdy je treba eliminovat sireni prenosovych chyb, vysokokapacitni spoje s velkou redundanci (rec, video) H_n = E(K, shl(Reg, k) + left(H_n-1, k)) C_n = P_n xor H_n

Analyza

uvodni permutace nema prakticky zadny vliv
prilis kratky klic (efektivne pouze 56ti bitovy)
komplementarnost
existence slabych (weak) klicu E(K) = D(K) a poloslabych klicu E(K₁)E(K₂) = Id
nevhodny navrh S-boxu

Mozne zpusoby zvyseni bezpecnosti

vicenasobne sifrovani - nestaci dvojnasobne ke skutecnemu zvyseni bezpocnosti nutno sifrovat C = E(K₁)D(K₂)E(K₁)
zvyseni delky hesla na 768 bitu (neprilis ucinne)

Sifrovani

Uvodni permutace:
Schema uvodni permutace

Vlastni sifrovani: Schema sifrovani DESem

System Blowfish

Opet Feistelova sifra, delka bloku 64 bitu, promenna delka klice az 448 bitu

Subklice

predpocitavaji se pred kazdym sifrovanim

P-pole = 32 bitove klice
pole S-boxu. kazdy 256 32bitovych polozek

Nereverzibilni funkce F

F(x_L) = ((S_1,a + S_2,b mod 2³²) xor S_3,c) + S_4,d mod 2³² x_L = a|b|c|d

Generovani podklicu

Inicializujeme P-pole a vsechny S-boxy pevnym retezcem
xor P₁ s prvnimi 32 bity klice, xor P₂ s dalsimi 32 bity klice atd.
Zasifrujeme nulovy retezec
P₁ a P₂ nahradime vystupem predchoziho kroku
Zasifrujeme vystup kroku 3
P₃ a P₄ nahradime vystupem predchoziho kroku
Stejne pro ostatni polozky P-pole a vsechny S-boxy

Algoritmus provadi 16 cyklu nad vstupem delky 64 bitu. Pro ucely analyzy byly navrzeny jeho zmensene varianty (MiniBlowfish) pracujici nad vstupem 32 resp. 16 bitu.

Sifrovani systemem Blowfish:
Schema sifrovani systemem Blowfish

Jedna F transformace:
Schema jedne F transformace systemu Blowfish

Kryptosystem VINO

blokova sifra, blok 64bitu, klic 128 bitu

Veta(Vinogradov):
Necht m, n jsou cela cisla. Uvazujme poslouonist 1, 2, ..., n, n, n-1, ..., 2, 1, 2, ..., n, n-1, ... Z teto posloupnosti postupne vybirame 1., (m+1), (2m+1), ... prvek az ziskame n cisel. Popsanou operaci opakujeme se ziskanymi cisly.
Vysledkem k-teho opakovani bude puvodni retezec cisel prave kdyz

vybiranim uvedenym postupem s krokem m z posloupnosti P_n ziskame posloupnost P'_n.
inverzni postup spociva ve vybirani z posloupnosti P'_n s krokem m_k-1

Popsany postup muze byt pouzit k permutaci retezce, celkovy pocet takto ziskanych permutaci je n.
Zlepseni:
oznacme P - sekvenci, kterou chceme permutovat a K klic
K rozdelime na ctyri casti a provedeme nasledujici postup:

vybime z P s krokem m, kde m je rovno prvni casti K. Ziskame P'
provedeme cyklicky posuv P' rizeny druhou casti K. Ziskame P''
krok 1. opakujeme pro P'' a treti ca K, ziskame P'''
krok 2. opakujeme pro P''' a ctvrtou ca K, ziskame P'''

Popsany postup oznacujeme V-permutace

Schema cyklu

oznacme

bitove xor a znamenko + ve ctverecku

scitani celych cisel modulo 2ⁿ. Vstup cyklu podrobime V-permutaci, vysledek rozdelime na ctyri bloky po 16ti bitech.
Vypocet probiha v souladu s nasledujicim obrazkem:
Schema cyklu sifry VINO

Tvorba podklicu

V prvnim cyklu je podklic cyklu K₁ roven klici K. Dalsi klice jsou ziskany nasledujicim zpusobem:

provedeme V-permutaci klice K_j-1 rizenou klicem K_j-1, ziskame K'_j-1
ucinime posuv K_j-1 o jeden bit vlevo, zprava doplnime 0 a invertujeme sude bity , ziskame K''_j-1
K_j = K'_j-1 K''_j-1.

Celkove schema

Algoritmus nejprve nad vstupni zpravou provede t cyklu a na zaver jeste jednu V-permutaci rizenou klicem K_t. Pro rozumnou miru bezpecnosti staci t = 4.

Analyza

Algoritmus byl publikovan v roce 1993, dosud neni znama analyza.

Proudove sifry

zpracovavaji otevreny text po jednotlivych bitech

System Fish

proudova sifra zalozena na Fibonacciho generatoru pseudonahodnych cisel

Vypoustejici generatory (shrinking generators)

predp. dva generatory pseudonahodnych cisel A a S.
A generuje posloupnost a₀, a₁, ... prvku GF(2)^n_A
S obdobne posloupnost s₀, s₁, ... prvku GF(2)^n_S
dale budeme pouzivat funkci d: GF(2)^n_S -> GF(2)
Vypoustejici procedura ponecha k dalsimu zpracovani prvky a_i a s_i pokud d(s_i)=1
aplikaci vypousteci procedury ziskame posloupnosti z₀, z₁, ... z a₀, a₁, ... h₀, h₁, ... resp. z s₀, s₁, ...

Popis algoritmu Fish

zvolime n_A, n_S rovno 32
jako A i S budeme pouzivat uzavreny Fibonacciho generator
a_i = a_i-55 + a_i-24 mod 2³²
s_i = s_i-52 + s_i-19 mod 2³²
Samozrejme prvky a_-55, a_-54, ..., a_-1 musi byt vhodnym zpusobem odvozeny z klice. Obdobne pro posloupnost s_i.
Funkce d mapuje 32-bitovy vektor na jeho nejmene vyznacny bit.

Neni bezpecne pouzivat k sifrovani poimo posloupnost z₀, z₁, ... : s pravdepodobnosti 1/8 totiz trojice a_i, a_i-55, a_i-24 projde cela do posloupnosti {z_i}

rozdelime posloupnost z₀, z₁, ... na pary (z_2i, z_2i+1), h₀, h₁, ... na pary (h_2i, h_2i+1) a vypocitame vysledne hodnoty r_2i, r_2i+1:

c_2i = z_2i znamenko + v krouzku

(h_2i

h_2i+1)
d_2i = h_2i+1 striska

(c_2i

z_2i+1)
r_2i = c_2i znamenko + v krouzku

d_2i
r_2i+1 = z_2i+1 znamenko + v krouzku

d_2i
Jako tradicne znamenko + v krouzku

znaci xor, striska

oznacuje bitove and.
Protoze h_2i, h_2i+1 maji nejnizsi bit jednickovy, je vhodne nastavovat nejnizsi bit z_2i, z_2i+1 v zavislosti na hodnote r_2i, r_2i+1.

Sifrovani se provadi napr. xorovanim vysledne posloupnosti s otevrenym textem.

Analyza

Algoritmus byl publikovan koncem roku 1993, dodnes neni znama analyza.

Tuto stranku shledlo jiz

zvedavcu ...