Andmeturve ja krüptoloogia, X Andmeturve ja krüptoloogia, X Krüptograafilised sõnumilühendid. Krüptograafilised sõnumilühendid. Krüptoprotokoll SSL Krüptoprotokoll SSL 5. november 2001 Valdo Praust [email protected]Loengukursus IT Kolledžis 2002. aasta sügissemestril
32
Embed
Andmeturve ja krüptoloogia, X Krüptograafilised sõnumilühendid. Krüptoprotokoll SSL
Andmeturve ja krüptoloogia, X Krüptograafilised sõnumilühendid. Krüptoprotokoll SSL. 5. november 2001 Valdo Praust [email protected] Loengukursus IT Kolled ž is 2002. aasta sügissemestril. Krüptograafiline sõnumilühend. - PowerPoint PPT Presentation
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Andmeturve ja krüptoloogia, XAndmeturve ja krüptoloogia, X
Krüprograafiline sõnumilühend (cryptographic message digest, hash, fingerprint) on ükskõik kui pikast sõnumist (failist) teatud matemaatiliste eeskirjade järgi arvutatav lühike (paarsada bitti) teabekogum
Krüprograafiline sõnumilühend (cryptographic message digest, hash, fingerprint) on ükskõik kui pikast sõnumist (failist) teatud matemaatiliste eeskirjade järgi arvutatav lühike (paarsada bitti) teabekogum
See seos on ühesuunaline (one-way): etteantud sõnumilühendi korral ei ole võimalik tuletada faili, millele see sõnumilühend vastab
Kui meil on olemas sõnum/sõnumilühend paar, kus sõnumilühend vastab failile, võime olla igal juhul kindlad, et lühend on arvutatud kindlasti sellest failist ega mitte millestki muust
Kui meil on olemas sõnum/sõnumilühend paar, kus sõnumilühend vastab failile, võime olla igal juhul kindlad, et lühend on arvutatud kindlasti sellest failist ega mitte millestki muust
Sõnumilühendite peamine kasutusala on autentimisel ja tervikluse tagamisel digitaalallkirja juures ja mujal
Räsifunktsioon ja sõnumilühendRäsifunktsioon ja sõnumilühendRäsifunktsioon ja sõnumilühendRäsifunktsioon ja sõnumilühend
Krüptograafiline sõnumilühend on mõeldud pikast sõnumist püsipikkusega lühikese bitijada, nn sõnumilühendi (message digest) tekitamiseks, millel oleksid teatud eriomadused
Sõnumilühend on täpsemini võtmeta räsifunktsiooni väljund, sõltudes vaid sõnumist
Algoritmi, mis sõnumilühendi tekitab, nimetatakse krüptograafilisteks räsifunktsiooniks (hash function)
Algoritmi, mis sõnumilühendi tekitab, nimetatakse krüptograafilisteks räsifunktsiooniks (hash function)
• MD5 – välja töötatud Ron Rivesti poolt. Leiab 128-bitise sõnumilühendi
• SHA-1 – konstrueeriti 1996. aastal MD4-l põhineva ideoloogia põhjal turvalisust tugevdades. Lühendi pikkus on 160 bitti (20 baiti)
• RIPEMD-160 – konstrueeriti 1990te algul, leiab 160-bitise lühendi
• MD2, MD4 – MD5 eellased, välja töötatud samuti Ron Rivesti poolt, leiab 128-bitise lühendi. NB! Ei ole kaasajal enam turvalised,on leitud kollisioone.
MD5: üldfakte ja kirjeldusMD5: üldfakte ja kirjeldusMD5: üldfakte ja kirjeldusMD5: üldfakte ja kirjeldus
• Sõnumilühendi pikkus on 128 bitti
• On koostatud 1991 Ron Rivesti poolt
• On omal ajal kuulutatud Interneti de facto standardiks RFC 1324
• Algoritm koosneb neljast üksteisest erinevast raundist (round), mille vältel sõnumit töödeldakse 512 biti kaupa
• Iga raundi alguses võetakse eelmise raundi lõpptulemus ja “segatakse” sellesse järgmised 512 bitti
MD5 konstandid ja funktsioonidMD5 konstandid ja funktsioonidMD5 konstandid ja funktsioonidMD5 konstandid ja funktsioonid
MD5 esimesed 2 raundiMD5 esimesed 2 raundiMD5 esimesed 2 raundiMD5 esimesed 2 raundi
MD5: 3. ja 4. raundMD5: 3. ja 4. raundMD5: 3. ja 4. raundMD5: 3. ja 4. raund
Ei peeta kõikidel kriitilistel juhtudel enam päris turvaliseks. Ei ole teada küll murdmisvõtteid, mis nõuaksid vähem kui
2128/2 = 264
variandi läbivaatamist, mida nõuab ammendav otsing, kuid seda on ikkagi vähe (vrd sümmeetriliste algoritmide 80 biti piir)
20 miljonit krooni maksev spetsiaalne riistvaraseade (arvuti) suudab MD5-l leida kollisiooni keskmiselt 24 päeva jooksul
20 miljonit krooni maksev spetsiaalne riistvaraseade (arvuti) suudab MD5-l leida kollisiooni keskmiselt 24 päeva jooksul
• Sarnaneb väga paljus MD5ga
• On koostatud 1996. aastal MD5 eelkäijat MD4 eeskujuks võtteks, kuid turvalisemaks tehes
• Sõnumilühendi pikkus on suurem, 160 bitti
• Muudes detailides sarnaneb suurelt osalt MD5ga – neli raundi, iga raundi alguses võetakse eelmise raundi lõpptulemus ja “segatakse” sellesse järgmine osa, spetsiaalsed teisendusfunktsioonid
SHA-1: üldfakte ja kirjeldusSHA-1: üldfakte ja kirjeldusSHA-1: üldfakte ja kirjeldusSHA-1: üldfakte ja kirjeldus
• On palju turvalisem kui MD5 ja palju laiemalt kasutuses
• Masin, mis maksab 1 miljard krooni, leiab SHA1 kollisiooni mitte kiiremini kui tuhandete aastatega
• On ANSI X.90 standardi osa
• Väikeste muudatustega on SHSi (Secure Hash Standard) osa, mis on spetsifitseeritud USA standardis FIPS PUB 180
SHA-1: turvalisus ja kasutatavusSHA-1: turvalisus ja kasutatavusSHA-1: turvalisus ja kasutatavusSHA-1: turvalisus ja kasutatavus
• On koostatud 1990te algul Hans Dobbertini, Antoon Bosselaersi ja Bart Preneeli poolt
• Lühendi pikkus on 160 bitti
• Muus osas on enam-vähem sarnased MD5 ja SHA-1ga (raundide arv on suurem, 5)
• On olemas modifikatsioonid RIPEMD-128 (see oli RIPEMD-160 eellane), RIPEMD-256 ja RIPEMD-320, vastavalt 128, 256 ja 320 bitilise lühendi tarbeks
• RIPEMD-128 ei peeta enam turvaliseks. 1994 koostasid Paul van Oorschot ja Mike Wiener 10 miljonit dollarit maksva masina plaani, mis murraks selle ammendava otsinguga kuuga
• Praegu kuluks sellise masina ehitamisele veidi üle poole miljoni dollari (Moore’i reegel: protsessori hind kahaneb pooleteise aastaga kaks korda)
• RIPEMD-160 arvatakse olevat veel vähemalt 10 aastat turvaline, ei ole leitud efekti andvaid krüptoanalüütilisi võtteid
• On kasutatavad peamiselt tervikluse tagamisel, kus nad on väga olulised mehhanismid
• Nende väga suur kasutusala on digitaalsignatuuride ja ajatemplite juures
Me ei pea hoolitsema enam mahuka andmekogu, programmi vm volitamata muutmiste eest, vaid võime leida sõnumilühendi ja hoolitseda selle muutumatuse eest (mida saame edaspidi alati vajadusel suure kogumiga võrrelda)
Me ei pea hoolitsema enam mahuka andmekogu, programmi vm volitamata muutmiste eest, vaid võime leida sõnumilühendi ja hoolitseda selle muutumatuse eest (mida saame edaspidi alati vajadusel suure kogumiga võrrelda)
• A genereerib seansi võtme ja krüpteerib selle sümmeetrilist krüptoalgoritmi kasutades, misjärel saadab ta selle B-le
• B teeb oma primaarvõtmega seansi võtme lahti
• Seejärel saavad A ja B suvalist teavet seansi võtme abil krüpteeritult omavahel turvaliselt vahetada
Eeldus: A ja B hakkavad suhtlema ja veenduvad, et nad on autentimisfaasi juba läbinud ja vastav teave on neil olemas ja varem talletatud
SSL: turvalisus ja probleemidSSL: turvalisus ja probleemidSSL: turvalisus ja probleemidSSL: turvalisus ja probleemid• Kui A on B-le oma avaliku võtme ja sellele vastava
privaatvõtmega signeeritud teabe saatnud, võib olla sellest hetkest kindel, et keegi ei suuda B-le enam hiljem A-d teeselda (tal ei ole A privaatvõtit)
• Keegi ei saa hiljem liine pealt kuulates ega sinna sekkudes A ja B vahelist teavet ka pealt kuulata (ta ei tea primaarvõtit)
• Jääb aga probleem: kui B-ga hakkas algusest peale suhtlema A nime all keegi teine, siis ei suuda B seda avastada
Seda probleemi ei ole võimalik lahendada ära ainuüksi SSL protokolli sees
Seda probleemi ei ole võimalik lahendada ära ainuüksi SSL protokolli sees
SSL suudab ilma sertifikaatide ja seda toetava infrastruktuurita vaid tõestada, et järgmise ühenduse tegija oli sama, kes tegi eelmise ühenduse
Et midagi lisaks nõuda, peab olema lisateavet (nt sertifikaate, paroole jm)
SSLi võimalused ja rakendatavusSSLi võimalused ja rakendatavusSSLi võimalused ja rakendatavusSSLi võimalused ja rakendatavus
Hetkel on suurimad ja kasutatavaimad SSL-rakendused Eestis on telepanganduseteenused (https protokoll)
Hetkel on suurimad ja kasutatavaimad SSL-rakendused Eestis on telepanganduseteenused (https protokoll)