Wprowadzenie do zagadnie´ n bezpiecze ´ n´ stwa i kryptografii Patryk Czarnik Wydzial Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski Bezpiecze ´ nstwo sieci komputerowych – MSUI 2010/11 Patryk Czarnik (MIMUW) 01-02 – Wprowadzenie BSK 2010/11 1 / 54
106
Embed
Wprowadzenie do zagadnien bezpieczenstwa i kryptografiiczarnik/zajecia/bezp10/W01-wprowadzenie.pdf · Wprowadzenie do zagadnien bezpiecze´ n´stwa´ i kryptografii Patryk Czarnik
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Wprowadzenie do zagadnien bezpieczenstwai kryptografii
Patryk Czarnik
Wydział Matematyki, Informatyki i MechanikiUniwersytet Warszawski
Wprowadzenie do zagadnien bezpieczenstwa i kryptografii.Protokół IPSec.Protokół SSL.Protokół SSH.System Kerberos.Sciany ogniowe, maskarada, proxy.Bezpieczna poczta.SNMP.NIS, DHCP.
LiteraturaW. Stallings, „Ochrona danych w sieci i intersieci”, WNT 1997B. Schneier, „Bezpieczenstwo poczty elektronicznej”, WNT 1996J. Stoklosa, T. Bilski, T. Pankowski, „Bezpieczenstwo danych wsystemach informatycznych”, PWN, Warszawa, 2001. . .
WWWWikipedia.orgSpecyfikacje standardów, głównie RFC:http://www.rfc-editor.org/
Kryptografia i bezpieczne protokołyDaja wysoce skuteczne zabezpieczenia:
poufnoscuwierzytelnienie i integralnosc danych
Nie daja 100% gwarancji:trudnosc złamania algorytmów nie dowiedzionazdarzaja sie odkrycia metod łamania algorytmów kryptograficznych(przykłady: algorytm SHA-1, protokół WEP)ponadto zawsze mozliwy (acz kosztowny) atak brute force
Kryptografia i bezpieczne protokołyDaja wysoce skuteczne zabezpieczenia:
poufnoscuwierzytelnienie i integralnosc danych
Nie daja 100% gwarancji:trudnosc złamania algorytmów nie dowiedzionazdarzaja sie odkrycia metod łamania algorytmów kryptograficznych(przykłady: algorytm SHA-1, protokół WEP)ponadto zawsze mozliwy (acz kosztowny) atak brute force
Kryptografia i bezpieczne protokołyDaja wysoce skuteczne zabezpieczenia:
poufnoscuwierzytelnienie i integralnosc danych
Nie daja 100% gwarancji:trudnosc złamania algorytmów nie dowiedzionazdarzaja sie odkrycia metod łamania algorytmów kryptograficznych(przykłady: algorytm SHA-1, protokół WEP)ponadto zawsze mozliwy (acz kosztowny) atak brute force
Kryptografia i bezpieczne protokołyDaja wysoce skuteczne zabezpieczenia:
poufnoscuwierzytelnienie i integralnosc danych
Nie daja 100% gwarancji:trudnosc złamania algorytmów nie dowiedzionazdarzaja sie odkrycia metod łamania algorytmów kryptograficznych(przykłady: algorytm SHA-1, protokół WEP)ponadto zawsze mozliwy (acz kosztowny) atak brute force
Nauka o przekazywaniu informacji w sposób zabezpieczony przedniepowołanym dostepem
Podziałkryptografia tworzenie systemów zabezpieczen
kryptoanaliza łamanie systemów zabezpieczen
Niektóre załozenia kryptografii
złozonosc – pewne problemy sa trudno rozwiazywalneprawdopodobienstwo – losowosc dostepna w komputerachmechanika kwantowa – nie mozemy dokładnie okreslic stanuczastek elementarnych
Nauka o przekazywaniu informacji w sposób zabezpieczony przedniepowołanym dostepem
Podziałkryptografia tworzenie systemów zabezpieczen
kryptoanaliza łamanie systemów zabezpieczen
Niektóre załozenia kryptografii
złozonosc – pewne problemy sa trudno rozwiazywalneprawdopodobienstwo – losowosc dostepna w komputerachmechanika kwantowa – nie mozemy dokładnie okreslic stanuczastek elementarnych
Nauka o przekazywaniu informacji w sposób zabezpieczony przedniepowołanym dostepem
Podziałkryptografia tworzenie systemów zabezpieczen
kryptoanaliza łamanie systemów zabezpieczen
Niektóre załozenia kryptografii
złozonosc – pewne problemy sa trudno rozwiazywalneprawdopodobienstwo – losowosc dostepna w komputerachmechanika kwantowa – nie mozemy dokładnie okreslic stanuczastek elementarnych
Słabszymi własnosciami sa własnosci semantycznegobezpieczenstwa, zwykle definiowane jako nierozróznialnosc zewzgledu na atak okreslonego rodzaju.
Atak kryptologiczny
Działanie majace na celu złamanie zabezpieczenkryptograficznych.W skrajnych przypadkach umozliwia poznanie tajnego klucza,odczytanie zaszyfrowanej informacji lub podszycie sie.Niepozadane jest jakiekolwiek osłabienie bezpieczenstwabezwarunkowego.
Słabszymi własnosciami sa własnosci semantycznegobezpieczenstwa, zwykle definiowane jako nierozróznialnosc zewzgledu na atak okreslonego rodzaju.
Atak kryptologiczny
Działanie majace na celu złamanie zabezpieczenkryptograficznych.W skrajnych przypadkach umozliwia poznanie tajnego klucza,odczytanie zaszyfrowanej informacji lub podszycie sie.Niepozadane jest jakiekolwiek osłabienie bezpieczenstwabezwarunkowego.
atak ze znanym szyfrogramem (oczywisty)atak siłowy (brute force),analiza statystyczna,
atak ze znanym tekstem jawnym(na ogół łatwy do przeprowadzenia),atak z wybranym tekstem jawnym (łatwy w przypadku kluczapublicznego)atak z wybranym szyfrogramem (wymaga dostepu do maszynydeszyfrujacej)
atak na hasło (słownikowy, „socjalny”),atak „człowiek w srodku”(dotyczy protokołów komunikacyjnych,a nie samych algorytmów kryptograficznych)
Atakujacy (Bartek) ma dostep do maszyny szyfrujacej, tj. mozewielokrotnie wybrac tekst jawny i poznac jego szyfrogram.Korzystajac z tego stara sie uzyskac informacje, które pozwola muobnizyc bezpieczenstwo mechanizmu (np. tajny klucz).Własnosc krytyczna dla mechanizmów opartych o klucz publiczny.
Po wykonaniu powyzszego ataku tak mozna sprawdzic własnoscnierozróznialnosci:
Alicja posiada maszyne szyfrujaca, Bartek nie posiada (juz) doniej dostepu.Bartek wysyła do Alicji dwie rózne wiadomosci m1 i m2.Alicja rzuca moneta. W zaleznosci od wyniku szyfruje wiadomoscm1 lub m2 i wysyła szyfrogram do Bartka.Bartek próbuje odgadnac szyfrogram której wiadomosci otrzymał.
Jesli Bartek nie jest w stanie odpowiedziec na to pytanie zprawdopodobienstwem znaczaco wiekszym od 1
Po wykonaniu powyzszego ataku tak mozna sprawdzic własnoscnierozróznialnosci:
Alicja posiada maszyne szyfrujaca, Bartek nie posiada (juz) doniej dostepu.Bartek wysyła do Alicji dwie rózne wiadomosci m1 i m2.Alicja rzuca moneta. W zaleznosci od wyniku szyfruje wiadomoscm1 lub m2 i wysyła szyfrogram do Bartka.Bartek próbuje odgadnac szyfrogram której wiadomosci otrzymał.
Jesli Bartek nie jest w stanie odpowiedziec na to pytanie zprawdopodobienstwem znaczaco wiekszym od 1
Atakujacy (Bartek) ma dostep do maszyny deszyfrujacej, tj. mozewielokrotnie wybrac szyfrogram i poznac odpowiadajacy mu tekstjawny.Korzystajac z tego stara sie uzyskac informacje, które pozwola muobnizyc bezpieczenstwo mechanizmu (np. tajny klucz).Atakiem tego rodzaju jest takze taki, gdy atakujacy mozeodszyfrowac tylko niektóre szyfrogramy.
Po wykonaniu ataku tak mozna sprawdzic własnosc nierozróznialnosci:
Alicja posiada maszyne deszyfrujaca, Bartek nie posiada (juz) doniej dostepu.Bartek wysyła do Alicji dwa rózne (poprawne) szyfrogramy s1 i s2.Alicja rzuca moneta. W zaleznosci od wyniku deszyfrujeszyfrogram s1 lub s2 i wysyła odszyfrowana wiadomosc do Bartka.Bartek próbuje odgadnac wiadomosc odpowiadajaca któremuszyfrogramowi otrzymał.
Jesli Bartek nie potrafi odpowiedziec na to pytanie zprawdopodobienstwem znaczaco wiekszym od 1
Po wykonaniu ataku tak mozna sprawdzic własnosc nierozróznialnosci:
Alicja posiada maszyne deszyfrujaca, Bartek nie posiada (juz) doniej dostepu.Bartek wysyła do Alicji dwa rózne (poprawne) szyfrogramy s1 i s2.Alicja rzuca moneta. W zaleznosci od wyniku deszyfrujeszyfrogram s1 lub s2 i wysyła odszyfrowana wiadomosc do Bartka.Bartek próbuje odgadnac wiadomosc odpowiadajaca któremuszyfrogramowi otrzymał.
Jesli Bartek nie potrafi odpowiedziec na to pytanie zprawdopodobienstwem znaczaco wiekszym od 1
Ten sam klucz uzywany do szyfrowania jak i deszyfrowania(ewentualnie istnieje łatwy sposób na otrzymanie kluczadeszyfrujacego z klucza szyfrujacego).Stosowane od bardzo dawna. Jako przykład jednego zpierwszych szyfrów podaje sie szyfr Cezara.Działaja na zasadzie jak najwiekszego zagmatwania.Sa efektywne:
szyfrowanie i deszyfrowanie przebiega bardzo szybko,uzywane klucze sa małe – aktualnie 128–256 bitów.
Szyfry symetryczne mozna podzielic na dwie kategorie:szyfry blokowe – szyfrowane sa bloki danych,szyfry strumieniowe – szyfrowanie nastepuje bit po bicie.
Schemat FeistelNajbardziej powszechny schemat budowy szyfru w oparciu o funkcjejednej „rundy”. Idea:
Na bloku do zaszyfrowania wykonywanych jest sukcesywnie wielerund tego samego przekształcenia, ale z róznymi kluczami.Runda składa sie ze złozenia prostych operacji, które same wsobie nie sa wystarczajaco bezpieczne (np. przekształcenialiniowe, translacje, podstawienia).Klucze dla poszczególnych rund sa generowane przez ekspansjeklucza głównego.
Tryby szyfrowaniaDodatkowo szyfrowania kolejnych bloków dokonuje sie w trybachECB, CBC, CFB, OFB itp.
Schemat FeistelNajbardziej powszechny schemat budowy szyfru w oparciu o funkcjejednej „rundy”. Idea:
Na bloku do zaszyfrowania wykonywanych jest sukcesywnie wielerund tego samego przekształcenia, ale z róznymi kluczami.Runda składa sie ze złozenia prostych operacji, które same wsobie nie sa wystarczajaco bezpieczne (np. przekształcenialiniowe, translacje, podstawienia).Klucze dla poszczególnych rund sa generowane przez ekspansjeklucza głównego.
Tryby szyfrowaniaDodatkowo szyfrowania kolejnych bloków dokonuje sie w trybachECB, CBC, CFB, OFB itp.
Na kazdym kolejnym bloku tekstu jawnego jest wykonywana operacjaXOR z poprzednio uzyskanym blokiem zaszyfrowanym i tak uzyskanywynik jest poddawany szyfrowaniu. Wymaga wektora inicjujacegostan.
Na kazdym kolejnym bloku tekstu jawnego jest wykonywana operacjaXOR z poprzednio uzyskanym blokiem zaszyfrowanym i tak uzyskanywynik jest poddawany szyfrowaniu. Wymaga wektora inicjujacegostan.
Z jednorazowym strumieniem kluczy – one time pad,Synchroniczne – strumien kluczy jest generowany niezaleznie odtekstu jawnego i szyfrogramu.Samosynchronizujace – strumien kluczy jest generowany jakofunkcja klucza głównego oraz pewnego fragmentu ostatniozaszyfrowanych/odszyfrowanych danych.
Nadawca i odbiorca musza byc zsynchronizowani.Brak propagacji błedów – zmodyfikowanie fragmentu szyfrogramunie ma wpływu na wynik deszyfrowania pozostałych danych.Mozliwe sa ataki aktywne (wstawienie, usuwanie lub powtarzaniedanych) korzystajace z powyzszych własnosci.
Samosynchronizacja.Ograniczona propagacja błedów.Trudniejsze ataki aktywne – modyfikacja jednego bitu szyfrogramuma wpływ na pewna liczbe bitów tekstu po odszyfrowaniu.Rozpraszanie tekstu jawnego – kazdy bit tekstu jawnego mawpływ na to, jak zostana zaszyfrowane bity nastepujace po nim.
Szyfry bazujace na LFSR (Linear Feedback Shift Registers).SEAL (1993) – addytywny szyfr binarny bazujacy na funkcjipseudolosowej zaprojektowany do efektywnej implementacjisoftwarowej.
Wymyslone w latach 70-tychUzywaja dwóch róznych (ale „pasujacych do siebie”) kluczy doszyfrowania i deszyfrowaniaKlucza deszyfrujacego nie mozna otrzymac w efektywny sposób zklucza szyfrujacegoOpieraja sie na solidnych podstawach matematycznych (teorialiczb, teoria złozonosci obliczeniowej)Sa nieefektywne:
szyfrowanie i deszyfrowanie przebiega wolnoklucze musza byc duze – co najmniej 1000 bitów
Wymyslone w latach 70-tychUzywaja dwóch róznych (ale „pasujacych do siebie”) kluczy doszyfrowania i deszyfrowaniaKlucza deszyfrujacego nie mozna otrzymac w efektywny sposób zklucza szyfrujacegoOpieraja sie na solidnych podstawach matematycznych (teorialiczb, teoria złozonosci obliczeniowej)Sa nieefektywne:
szyfrowanie i deszyfrowanie przebiega wolnoklucze musza byc duze – co najmniej 1000 bitów
Wymyslone w latach 70-tychUzywaja dwóch róznych (ale „pasujacych do siebie”) kluczy doszyfrowania i deszyfrowaniaKlucza deszyfrujacego nie mozna otrzymac w efektywny sposób zklucza szyfrujacegoOpieraja sie na solidnych podstawach matematycznych (teorialiczb, teoria złozonosci obliczeniowej)Sa nieefektywne:
szyfrowanie i deszyfrowanie przebiega wolnoklucze musza byc duze – co najmniej 1000 bitów
Wymyslone w latach 70-tychUzywaja dwóch róznych (ale „pasujacych do siebie”) kluczy doszyfrowania i deszyfrowaniaKlucza deszyfrujacego nie mozna otrzymac w efektywny sposób zklucza szyfrujacegoOpieraja sie na solidnych podstawach matematycznych (teorialiczb, teoria złozonosci obliczeniowej)Sa nieefektywne:
szyfrowanie i deszyfrowanie przebiega wolnoklucze musza byc duze – co najmniej 1000 bitów
Wymyslone w latach 70-tychUzywaja dwóch róznych (ale „pasujacych do siebie”) kluczy doszyfrowania i deszyfrowaniaKlucza deszyfrujacego nie mozna otrzymac w efektywny sposób zklucza szyfrujacegoOpieraja sie na solidnych podstawach matematycznych (teorialiczb, teoria złozonosci obliczeniowej)Sa nieefektywne:
szyfrowanie i deszyfrowanie przebiega wolnoklucze musza byc duze – co najmniej 1000 bitów
Dyskretny problem plecakowyProblem NP-trudnyPrzy odpowiednim doborze wag(znowu teoria liczb) daje szyfrasymetrycznySzyfr plecakowy Chora-Rivesta
Problem logarytmu dyskretnegoPotegowanie modulo szybkieLogarytmowanie dyskretne(„modulo”) trudneAlgorytmy ElGamal, DSA
Log. d. na krzywych eliptycznychPotegowanie i logarytmowaniew grupach dyskretnychopartych o krzywe eliptyczneUmozliwia stosowanie krótszychkluczyAlgorytm ECC
Dyskretny problem plecakowyProblem NP-trudnyPrzy odpowiednim doborze wag(znowu teoria liczb) daje szyfrasymetrycznySzyfr plecakowy Chora-Rivesta
Problem logarytmu dyskretnegoPotegowanie modulo szybkieLogarytmowanie dyskretne(„modulo”) trudneAlgorytmy ElGamal, DSA
Log. d. na krzywych eliptycznychPotegowanie i logarytmowaniew grupach dyskretnychopartych o krzywe eliptyczneUmozliwia stosowanie krótszychkluczyAlgorytm ECC
Dyskretny problem plecakowyProblem NP-trudnyPrzy odpowiednim doborze wag(znowu teoria liczb) daje szyfrasymetrycznySzyfr plecakowy Chora-Rivesta
Problem logarytmu dyskretnegoPotegowanie modulo szybkieLogarytmowanie dyskretne(„modulo”) trudneAlgorytmy ElGamal, DSA
Log. d. na krzywych eliptycznychPotegowanie i logarytmowaniew grupach dyskretnychopartych o krzywe eliptyczneUmozliwia stosowanie krótszychkluczyAlgorytm ECC
Dyskretny problem plecakowyProblem NP-trudnyPrzy odpowiednim doborze wag(znowu teoria liczb) daje szyfrasymetrycznySzyfr plecakowy Chora-Rivesta
Problem logarytmu dyskretnegoPotegowanie modulo szybkieLogarytmowanie dyskretne(„modulo”) trudneAlgorytmy ElGamal, DSA
Log. d. na krzywych eliptycznychPotegowanie i logarytmowaniew grupach dyskretnychopartych o krzywe eliptyczneUmozliwia stosowanie krótszychkluczyAlgorytm ECC
Załozenie o wykorzystywaniu pary kluczy (prywatnego i publicznego)nie jest specyficzne tylko dla systemów szyfrujacych. Takze innepodstawowe mechanizmy kryptograficzne moga zyskac opierajacswoje działanie na takim załozeniu.Kryptografie wykorzystujaca dualnosc kluczy nazywamy kryptografiaklucza publicznego w odróznieniu od kryptografii kluczasekretnego.
protokół identyfikacji – sprawdzenie, ze uczestnicy protokołu satymi, za których sie podajaweryfikacja integralnosci danych – zapewnienie, ze danepochodza od własciwego uczestnika protokołu i nie zostały przeznikogo zmodyfikowane „po drodze”
W pierwszym przypadku wymagamy, aby uczestnik protokołu byłdostepny w momencie uwierzytelniania, natomiast w drugimprzypadku to wymaganie jest zbedne.
protokół identyfikacji – sprawdzenie, ze uczestnicy protokołu satymi, za których sie podajaweryfikacja integralnosci danych – zapewnienie, ze danepochodza od własciwego uczestnika protokołu i nie zostały przeznikogo zmodyfikowane „po drodze”
W pierwszym przypadku wymagamy, aby uczestnik protokołu byłdostepny w momencie uwierzytelniania, natomiast w drugimprzypadku to wymaganie jest zbedne.
Protokół identyfikacji to protokół miedzy dwoma uczestnikami:dowodzacym P i weryfikujacym V. Celem protokołu jest
sprawdzenie przez V czy P jest rzeczywiscie tym, za kogo sie podaje.
Oczekiwane własnoscipoprawnosc – jesli P jest rzeczywiscie tym, za kogo sie podaje,to protokół zakonczy działanie z wynikiem prawdatransferowalnosc – V nie moze wykorzystac informacji zdobytejpodczas wykonania protokołu do podszycia sie pod Pnie podszywanie sie – prawdopodobienstwo tego, ze przywykonaniu protokołu P uda sie podszyc za kogos innego jestzaniedbywalne
Protokół identyfikacji to protokół miedzy dwoma uczestnikami:dowodzacym P i weryfikujacym V. Celem protokołu jest
sprawdzenie przez V czy P jest rzeczywiscie tym, za kogo sie podaje.
Oczekiwane własnoscipoprawnosc – jesli P jest rzeczywiscie tym, za kogo sie podaje,to protokół zakonczy działanie z wynikiem prawdatransferowalnosc – V nie moze wykorzystac informacji zdobytejpodczas wykonania protokołu do podszycia sie pod Pnie podszywanie sie – prawdopodobienstwo tego, ze przywykonaniu protokołu P uda sie podszyc za kogos innego jestzaniedbywalne
Obecnie istniejace protokoły identyfikacji mozna podzielic nanastepujace kategorie:
słabe uwierzytelnianie (hasła, PIN itp.),raz podsłuchane hasło moze byc pózniej uzyte,nawet jesli wysyłane jest w postaci zaszyfrowanej!
protokoły typu wyzwanie – odpowiedz (challenge—response):pytanie o losowa informacje z duzego zbioru (małeprawdopodobienstwo powtórzen),hasła jednorazowe,
Obecnie istniejace protokoły identyfikacji mozna podzielic nanastepujace kategorie:
słabe uwierzytelnianie (hasła, PIN itp.),raz podsłuchane hasło moze byc pózniej uzyte,nawet jesli wysyłane jest w postaci zaszyfrowanej!
protokoły typu wyzwanie – odpowiedz (challenge—response):pytanie o losowa informacje z duzego zbioru (małeprawdopodobienstwo powtórzen),hasła jednorazowe,
Obecnie istniejace protokoły identyfikacji mozna podzielic nanastepujace kategorie:
słabe uwierzytelnianie (hasła, PIN itp.),raz podsłuchane hasło moze byc pózniej uzyte,nawet jesli wysyłane jest w postaci zaszyfrowanej!
protokoły typu wyzwanie – odpowiedz (challenge—response):pytanie o losowa informacje z duzego zbioru (małeprawdopodobienstwo powtórzen),hasła jednorazowe,
Protokół z wiedza zerowa to protokół pomiedzy para graczy P i V.P próbuje przekonac V, ze posiada pewien sekret s, ale w taki sposób,aby nie ujawnic zadnej informacji o s.
Protokół z wiedza zerowa to protokół pomiedzy para graczy P i V.P próbuje przekonac V, ze posiada pewien sekret s, ale w taki sposób,aby nie ujawnic zadnej informacji o s.
Protokół z wiedza zerowa to protokół pomiedzy para graczy P i V.P próbuje przekonac V, ze posiada pewien sekret s, ale w taki sposób,aby nie ujawnic zadnej informacji o s.
Protokół z wiedza zerowa to protokół pomiedzy para graczy P i V.P próbuje przekonac V, ze posiada pewien sekret s, ale w taki sposób,aby nie ujawnic zadnej informacji o s.
Podział teoretyczny:idealny protokół z wiedza zerowa,statystyczny protokół z wiedza zerowa,obliczeniowy protokół z wiedza zerowa.
Najbardziej znane protokoły z wiedza zerowa:Fiata-Shamira i Feige-Fiata-Shamira (oparty o faktoryzacje liczbzłozonych i dyskretny pierwiastek kwadratowy),Schnorra (oparty o logarytm dyskretny),GQ (Guillou-Quisquater).
W (prawie?) wszystkich protokołach tego typu wykorzystywane salosowe liczby, generowane na potrzeby jednej sesji.W omawianych na przyszłych wykładach protokołach bezpiecznejkomunikacji zwykle wystepuje unikalna/losowa wartosc wysyłanana poczatku komunikacji.
Podział teoretyczny:idealny protokół z wiedza zerowa,statystyczny protokół z wiedza zerowa,obliczeniowy protokół z wiedza zerowa.
Najbardziej znane protokoły z wiedza zerowa:Fiata-Shamira i Feige-Fiata-Shamira (oparty o faktoryzacje liczbzłozonych i dyskretny pierwiastek kwadratowy),Schnorra (oparty o logarytm dyskretny),GQ (Guillou-Quisquater).
W (prawie?) wszystkich protokołach tego typu wykorzystywane salosowe liczby, generowane na potrzeby jednej sesji.W omawianych na przyszłych wykładach protokołach bezpiecznejkomunikacji zwykle wystepuje unikalna/losowa wartosc wysyłanana poczatku komunikacji.
Podział teoretyczny:idealny protokół z wiedza zerowa,statystyczny protokół z wiedza zerowa,obliczeniowy protokół z wiedza zerowa.
Najbardziej znane protokoły z wiedza zerowa:Fiata-Shamira i Feige-Fiata-Shamira (oparty o faktoryzacje liczbzłozonych i dyskretny pierwiastek kwadratowy),Schnorra (oparty o logarytm dyskretny),GQ (Guillou-Quisquater).
W (prawie?) wszystkich protokołach tego typu wykorzystywane salosowe liczby, generowane na potrzeby jednej sesji.W omawianych na przyszłych wykładach protokołach bezpiecznejkomunikacji zwykle wystepuje unikalna/losowa wartosc wysyłanana poczatku komunikacji.
Podział teoretyczny:idealny protokół z wiedza zerowa,statystyczny protokół z wiedza zerowa,obliczeniowy protokół z wiedza zerowa.
Najbardziej znane protokoły z wiedza zerowa:Fiata-Shamira i Feige-Fiata-Shamira (oparty o faktoryzacje liczbzłozonych i dyskretny pierwiastek kwadratowy),Schnorra (oparty o logarytm dyskretny),GQ (Guillou-Quisquater).
W (prawie?) wszystkich protokołach tego typu wykorzystywane salosowe liczby, generowane na potrzeby jednej sesji.W omawianych na przyszłych wykładach protokołach bezpiecznejkomunikacji zwykle wystepuje unikalna/losowa wartosc wysyłanana poczatku komunikacji.
taka, ze trudne („obliczeniowo niewykonalne”) jest:dla ustalonego c ∈ {0,1}n znalezienie takiego m, ze h(m) = c(„funkcja jednokierunkowa”),znalezienie dwóch ciagów m1 i m2 takich, ze h(m1) = h(m2).
Oba rodzaje bezpiecznych funkcji haszujacych nalezy odróznic od:sum kontrolnych – które nie musza spełniac warunkówbezpieczenstwa (MDC jest suma kontrolna, ale nie kazda sumakontrolna jest MDC),podpisów cyfrowych opartych o klucz publiczny – w MAC jestjeden tajny klucz.
Szyfr blokowy moze zostac wykorzystany do stworzeniabezpiecznej funkcji haszujacej.Warunek: kazdy ciag bitów długosci K jest dobrym kluczem.Popularny schemat na poziomie ciagu bloków:
Merkle-DamgårdPopularne schematy na poziomie pojedynczych bloków:
Algorytmy MDC:MDC-2 (hasz 128 bitów, IBM 1987),MDC-4 (hasz 128 bitów),MD4 (hasz 128 bitów, MIT 1990, obecnie bardzo słaba),MD5 (hasz 128 bitów, 1991, słaba),RIPEMD-160 (hasz 160 bitów, europejski),SHA-1 (hasz 160 bitów, pokazano schemat ataku oczasochłonnosci 263),SHA-2 (hasz 224/256/384/512 bitów, na razie uznawana zabezpieczna).
Schematy budowy MAC:HMAC – z funkcji haszujacej, np. HMAC-MD5, HMAC-SHA1CMAC – z szyfru blokowego,CBC-MAC – z szyfru blokowego,np. Data Authentication Algorithm (oparty o DES, standard ANSI),UMAC – z wielu szyfrów blokowych.
W sieciach komputerowych pojawiaja sie zagadnienia, dla którychtrudno jest znalezc satysfakcjonujace z praktycznego punktu widzeniarozwiazanie kryptograficzne. Naleza do nich:
ataki typu DOS (uniemozliwienie swiadczenia usług),niechciana poczta (spam),wirusy i robaki komputerowe.
Zaproponowane w ich przypadku rozwiazania wymagaja zbyt duzychzmian w istniejacej architekturze sieciowej.Czesto w takim przypadku bardziej efektywne okazuje siezdroworozsadkowe rozwiazanie praktyczne. Jako przykład takiegopodejscia mozna podac kwestie odrózniania człowieka odsymulujacego jego zachowanie programu komputerowego.
Inne zagadnienia dotyczace bezpieczenstwa w sieci Złozone protokoły kryptograficzne
Inne zagadnienia dotyczace bezpieczenstwa w sieci
Przykładowe dodatkowe własnosci protokołu elektronicznej gotówki.Niektóre z nich moga byc ze soba, lub z podstawowymi wymaganiami,sprzeczne.
Utrudnianie „prania brudnych pieniedzy”.Mozliwosc opodatkowania transakcji dokonywanych elektronicznagotówka.Mozliwosc dokonywania płatnosci nawet w przypadku, gdy stronynie maja dostepu do sieci.Mozliwosc identyfikacji i ewentualnie uniewaznienia pieniedzypochodzacych z przestepstwa.