1 / 17

DES

DES. Antti Junttila. Horst Feistel. IBM:n tutkija Kehitti 1960-luvun lopussa Feistelin salaimen johon DES pohjautuu Elegantti ja nopea ratkaisu, koska salaus purkautuu ajamalla algoritmi takaperin. DESin historia.

ardice
Download Presentation

DES

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. DES Antti Junttila

  2. Horst Feistel • IBM:n tutkija • Kehitti 1960-luvun lopussa Feistelin salaimen johon DES pohjautuu • Elegantti ja nopea ratkaisu, koska salaus purkautuu ajamalla algoritmi takaperin

  3. DESin historia • IBM alkoi kehittää DSD-salausohjelmaa pankeille. Oli luonnollista, että sen pohjaksi otettiin talon oma 128-bittinen Lucifer. • Lucifer-nimi johtuu siitä, että kun Feistel kehitti DSDtä, hän antoi sille nimeksi demonstration. IBM:n keskuskone salli vain 5 merkin tiedostonimet -> nimeksi demon. • Feistel nimesi demoninsa Luciferiksi (1971).

  4. IBM ja NSA • IBM oli kehittämässä salainta pankkien käyttöön. Mikäli myöhemmin salauksessa havaittaisiin jokin heikkous, joka tekisi sen murtamisesta helppoa, IBM:n uskottavuus olisi jossain nollan lähimaastossa -> NSA avuksi. • NSA (National Security Agency) on sähköisen tiedustelun erikoislaitos USAssa (mm. Echelon)

  5. NSA:n sormet pelissä • IBM ja NSA tekivät salaisen sopimuksen: • NSA tarkistaa salaimen turvallisuuden parhaan taitonsa mukaan ja saa tehdä haluamansa muutokset • IBM sitoutui vaikenemaan kaikista keksinnöistä mitä sen tutkijat olivat DSD:n kehittämisen yhteydessä tehneet • NSA oli luultavimmin tehnyt samat havainnot jo aiemmin

  6. NSA hoitaa homman • DSD:n avainpituutta lyhennettiin 64 bit -> 56 bit • Selitys se, että joka 8. bitti varattiin synkronointiin huonojen datalinjojen yli. • Kylmä totuus: NSA luultavasti kykeni supertietokoneillaan murtamaan 56-bittisiä salauksia silloin, mutta 64-bit oli liikaa. • NSA sai takaportin salausten murtamiseen brute force:lla • 1977 DSD astui Yhdysvaltojen liittovaltion viralliseksi salausstandardiksi nimellä DES (Data Encryption Standard)

  7. Kriittiset mitat • Nimellinen avainpituus 64 bit • Tehollinen avainpituus 56 bit • Lohkon koko 64 bit • Kierrosten määrä 16 • Jokainen salattava 64 bit lohko ajetaan algoritmin läpi 16 kertaa. Jokaisella kerralla bittejä sekoittamassa on vaihtuva kierrosavain, joka johdetaan varsinaisesta salausavaimesta modifioimalla.

  8. Toiminnan pääkohdat • Aloituspermutaatio • Tarkoittaa sitä, että käsiteltävät bitit järjestetään uudestaan, 1->58, 2->50, 3->42, 4->34. • DESissä tarvitaan vain laitetason toteutuksen yksinkertaistamiseen

  9. Varsinainen temppu • 64-bit lohko pannaan puoliksi -> 32 bit R ja 32 bit L • Kukin 16 kierroksesta menee seuraavasti: • R-lohko syötetään funktiolle f kierroskohtaisen avaimen kanssa. Saatu tulos XOR yhteen L-lohkon kanssa jonka tuloksesta tulee seuraavan kierroksen R-lohko. Vanhasta R-lohkosta tulee puolestaan seuraavan kierroksen L-lohko ja kierros alkaa alusta.

  10. Samalla tehtävä salausavaimen käsittely • Jokaisen kierroksen aikana tehdään vastaava temppu salausavaimelle (56-bit -> 28 bit x 2 • Siirrellään bittejä avaimissa päistä toiseen jne. • Kun koko hommaa on pyöritetty 16 kierrosta, R- ja L-lohkot yhdistetään uudelleen peräkkäin ja yksi kokonainen lohko on saatu käsiteltyä.

  11. Funktio f • Sisällä ovat: • Laajenus (E) • S-laatikko • Permutointi (P) • Laajennus pidentää sisääntulevan R-lohkon 32 bit -> 48 bit käyttämällä jotkut bitit kahteen kertaan (tässä on E-taulukko joka kertoo mitkä ne ovat) • Näin saatu 48-bit lohko XORataan kierrosavaimen kanssa ja viedään S-laatikon läpi • S-laatikkoja on 8, jokaiseen pudotetaan 6 bittiä 48-bit lohkosta siten, että 1-6 laatikkoon 1, 7-12 laatikkoon 2 jne. • S-laatikot ovat DESin tärkein osa. Ilman niitä salaus olisi helposti avattavissa.

  12. Miten S-laatikko toimii? • 32-bit lohko sisään • E-laatikossa lisää bittejä käyttämällä osa kahteen kertaan ->48 bit lohko • XORaus kierrosavaimella • Ripottelu 6 bittiä kerrallaan 8 laatikkoon • S-laatikoista monimutkaisten taulukoiden avulla ulos 4 bittiä • Viimeisenä tehdään käänteisesti alussa tehty permutaatio

  13. S-laatikon pimeä puoli • S-laatikon suunnitteluperusteet olivat salaisuus vuoteen 1992 asti. Arveltiin, että NSA tiesi ainoana jostain niihin piilotetusta takaovesta. • Kun IBM kehitti DESiä, NSA puuttui juuri S-laatikoiden rakenteeseen. Syynä ei kuitenkaan ilmeisesti ollut mikään tarve takaovelle, vaan se, että NSA tiesi jo tuolloin differentiaalisesta kryptoanalyysistä, joka virallisesti keksittiin vasta 1991. NSA:n tekemät numeromuutokset S-laatikoihin ainoastaan vahvistivat DESiä.

  14. Differentiaalinen kryptoanalyysi • Toimii siten, että muutellaan selvätekstiä ja katsotaan miten se vaikuttaa salatekstiin • Koetetaan tällä tavalla selvittää avain • DES avautuu jos voidaan kokeilla 2^47 erilaista valittua selvätekstiä • Käytännössä tällaisen aineiston hankkiminen on mahdotonta • -> DES aukeaa ainoastaan raa’alla voimalla

  15. DESin hyvät ja huonot puolet • Hajautus • Yhden bitin muutos 64-bit selvätekstilohkossa aiheuttaa 34 bitin muutoksen vastaavaan salatekstilohkoon. 1 bit muutos avaimessa muuttaa 35 bit salatekstilohkossa. • Heikot avaimet • 4 heikkoa avainta: • 01 01 01 01 01 01 01 01 • FE FE FE FE FE FE FE FE • 1F 1F 1F 1F 1F 1F 1F 1F • E0 E0 E0 E0 E0 E0 E0 E0 • Kierrosavaimen muodostusmekanismi tuottaa pelkkää ykköstä tai nollaa joten salattu teksti pysyy samana kuin alkuperäinen -> katastrofi • Puoliheikot avaimet • Tunnettuja on ainakin 12 • Niitä käytettäessä on olemassa toinenkin avain jolla sama viesti aukeaa • 4 heikkoa, 12 puoliheikkoa, 72 kvadriljoonaa avainta -> pieni mahdollisuus

  16. Kuinka turvallinen? • Avain 56-bit -> 2^56 mahdollisuutta • = 72 057 594 037 927 936 kappaletta • 1977 olisi maksanut 20 M$ rakentaa kone, joka olisi avannut DESin alle 24 h • 1993 muuan suunnitelmalla olisi 100 000 $ laitteilla saatu avattua DES puolessatoista vuorokaudessa • 1998 EFF rakensi koneen jossa oli 1536 kpl 40 MHz CPU -> DES challenge II-2 avautui 56 tunnissa • 1999 DES challenge III murtui 22:15:00 käyttämällä tavallisia Internet-PC-koneita (kuten Seti@Home) • NSA:lla ja muilla tiedusteluorganisaatioilla oletettavasti ollut DES-murtokelpoisia koneita jo vuosikaudet

  17. Parannetut versiot • Double-DES (kaksi kertaa peräkkäin -> 112 bit avain) • 3DES (3-kertainen ajo DESin läpi -> 168 bit avain, hidas) • DESX (käytetään kahta 64-bit lisäavainta, jossa ensimmäinen XORataan selvätekstiin ennen salausta ja toinen salatekstiin, käytetään Windows 2000 salatussa tiedostojärjestelmässä)

More Related