Algoritmi crittografici AES (Advanced Encryption Standard) Elennio Paolo

Argomenti Definizione di crittografia Definizione cifrario Perfetto Computazionalmente sicuri Condizionalmente sicuri Problema della standardizzazione AES Requisiti Criteri di valutazione Uso delle risorse Es. algoritmo simmetrico (RC6)

Argomenti Caratteristiche Espansione chiave Cifratura Decifratura Compatibilità (es CPU 8 bit) Implementazione dei comandi Modifiche per renderlo piu efficiente Versatilità implementativa Sicurezza e vari apetti Attacchi lineari Attacchi differenziali

Definizioni generali La crittografia è la tecnica con la quale, attraverso l’uso di determinati algoritmi, si cerca di codificare documenti (testo in chiaro) per renderli incomprensibili (testi cifrati) alle persone che non sono in possesso della chiave per decodificarli. Tali algoritmi si suddividono in 2 categorie: Algoritmi a chiave simmetrica (o a chiave privata); Algoritmi a chiave asimmetrica (o a chiave pubblica)

Definizioni generali Nel 1949 C. Shannon pubblicò un articolo che diede inizio a quella che oggi viene chiamata Teoria dell’informazione che unita a: Teoria della Probabilità Teoria della Complessità Teoria dei Numeri da origine alla Crittografia Moderna. Definizione: Un crittosistema è una quintupla (P,C,K,FC,FD) P : insieme finito di testi in chiaro C : insieme finito di testi cifrati K : insieme delle possibili chiavi FC : funzione di cifratura FD : funzione di decifratura

Definizioni generali Definizione: un cifrario si dice perfetto se  x*,y* si ha P(x=x*)=P(x=x*|y=y*) dove x è chiaro e y è cifrato. In altre parole la conoscenza del testo cifrato non aggiunge informazioni utili per risalire al testo in chiaro. I cifrari perfetti (dimostrabilmente sicuri) sono stati utilizzati per la protezione della hot-line USA-URSS durante la guerra fredda.

Definizioni generali In realtà esistono anche cifrari: Computazionalmente sicuri – La Teoria dell’informazione ci dice che non possono essere sicuri ma il problema crittoanalitico e’ intrattabile (soluzione necessita svariati anni); Condizionalmente sicuri – Sono cifrari di cui è stata dimostrata l’inattaccabilità a meno che si verifichino eventi probabilisticamente improbabili. I cifrari moderni appartengono alla 1° classe in quanto i secondi sono inutilizzabili perché necessitano di tabelle casuali sterminate (Ueli Mauer – Moon Cipher)

Definizioni generali Teorema di Shannon: in un sistema crittografico perfetto, la lunghezza della chiave deve essere almeno uguale a quella del testo in chiaro. Tale teorema va contro la necessità di ogni persona di avere una chiave piccola e mnemonica per cifrare i propri documenti di cui vuol mantenere la privacy. Perciò sono stati introdotti degli algoritmi che utilizzando come input, chiavi ridotte (pochi bit n), generano chiavi speudocasuali su dominio più ampio 2n con probabilità similare altrimenti sarebbero predicibili.

Standardizzazione Gli algoritmi di crittografia col passare del tempo diventano sempre più utilizzati per la comunicazione tra personal computer oltre che per codificare documenti per uso personale, per cui necessita una standardizzazione degli algoritmi con la conseguente pubblicazione degli stessi. Vantaggi: I criptoanalisti, inoltre, possono esaminare gli algoritmi e tentare di violarli valutandone così eventuali difetti dando la possibilità ai loro inventori di modificarli per renderli più sicuri. Maggior scambio di informazioni tra PC diversi, possibilità di sviluppare nuove applicazioni come E-commerce.

Standardizzazione Svantaggi: La pubblicazione degli algoritmi fa si che la loro sicurezza dipenda solo dalla chiave, cioè dal numero di combinazioni possibili che essa può assumere; La standardizzazione implica che gli algoritmi debbano essere compatibili con più macchine, ciò implica la possibilità di commettere più errori; Lo sforzo fatto per violare un algoritmo da parte dell’attaccante può essere utilizzato per venire a conoscenza di altri dati su altre macchine quindi più conveniente.

Introduzione - AES Fino ad oggi il DES, inventato dall’IBM e poi modificato dall’NSA, ha rappresentato lo standard per la cifratura e l’autenticazione di documenti. Il National Institute of Standard and Technology (NIST) lo scelse, fin dal lontano 1977, come standard ma la sua validità è scaduta nel 1998. Sin dagli inizi, il DES è stato oggetto di numerose critiche: in riferimento alla sicurezza dello schema a dispetto delle 256 chiavi necessarie per un attacco di forza bruta, perché la metà di esse, in media, ne permette la violazione → chiave troppo piccola (vedi grafico) In riferimento all’utilizzo delle S-box(1) nelle procedure di cifratura e decifratura molti sospettano che le strutture nascondano delle Trapdoor(2)

Introduzione - AES Note: (1) Le tecniche di sostituzione di bit vengono riprodotte attraverso circuiti elettronici noti come S-box, questi circuiti vengono in generale chiamati Product cipher. (2) Una funzione trapdoor è una funzione facile da computare, ma la cui inversa è di difficile calcolo (es. Moltiplicare due numeri primi è facile ma fattorizzare il risultato è difficile), tuttavia, possiede una scappatoia: se si conosce una parte dell’informazione diventa facile calcolarne l’inversa.

Introduzione - AES A conferma di quanto detto sulla chiave del DES (dimensioni ridotte) riporto una statistica effettuata nel 1998 (4 anni fa, tecnologicamente parlando si tratta di periodo molto lungo) sul tempo necessario per individuare la chiave. (fonte: Schneier, 1998) Tipo di Atttaccante Chiave a 40 bit 56 bit (Es. DES) 64 bit 80 bit 128 bit Hacker 5 h 37 anni 10000 700mila 1027 PMI 2 s 35 h 1 anno 70000 1019 Grossa Impresa 2 ms 2 m 9 gg 7000 1016 Intelligence Agency 13 s 9 h 7 1015

Caratteristiche AES Il NIST, a seguito delle numerose critiche mosse al DES, fu costretto a indire, nel 1997, un concorso per stabilire un nuovo algoritmo che potesse diventare un punto di riferimento per la sicurezza e che fosse in grado di sostituire il triplo-DES ritenuto abbastanza valido. Il NIST stabilì perciò i requisiti: cifrario a chiave simmetrica a blocchi; lunghezza della chiave tra 128 e 256 bit; lunghezza del testo in chiaro 128 (anche da 64 a 256 bit); permettere l’implementazione su smart-card; disponibile a livello mondiale senza limitazioni (royalty-free);

Criteri di valutazione: Sicurezza Inoltre il NIST nella valutazione degli algoritmi ha: confrontato la sicurezza del singolo algoritmo con tutti gli altri in gara; controllato che l’output (testo cifrato) non derivasse da una permutazione casuale del blocco in input; controllato che la sicurezza derivasse da una buona base matematica.

Criteri di valutazione: Utilizzo delle risorse Per stabilire il costo computazionale il NIST prese in considerazione: la grandezza del codice; la memoria utilizzata; il tempo di calcolo (efficienza); l’implementazione in modo sicuro ed efficiente in diversi ambienti.

Algoritmi finalisti Nome dell'algoritmo Proponente(i) MARS IBM RC6 Ron Rivest, RSA Laboratories RIJNDAEL Joan Daemen, Vincent Rijmen SERPENT Ross Anderson, Eli Biham, Lars Knudsen TWOFISH B. Schneider, J. Kelsey, D. Whiting, D. Wagner, C. Hall, N. Ferguson

Caratteristiche degli algoritmi: RC6 è un’algoritmo di dimensioni contenute e semplice; facile da implementare in modo compatto sia in software che in hardware; non utilizza tavole di sostituzione (s-box); la rotazione dei dati dipende dalla loro quantità; è veloce soprattutto sulle piattaforme che supportano efficientemente le operazioni di rotazione e moltiplicazione.

RC6 - Notazione E’ un cifrario a blocchi parametrico in cui si ha: w - Lunghezza in bit delle parole da cifrare, w>0 solitamente 32 r - Numero di iterazioni (o round) solitamente 20 b - Lunghezza della chiave in byte [0,32] Vengono usate come operazioni fondamentali le seguenti:  Moltiplicazione di interi mod 2w + Addizione di interi mod 2w (senza riporto).  XOR bitwise <<< Rotazione ciclica a sinistra. >>> Rotazione ciclica a destra. La parte non lineare del cifrario consiste in rotazioni data-depending

RC6 – Espansione chiave Fase 1- Espansione della chiave: Viene costruito un vettore di 2r+4 parole di w bit S[0,..,2r+3]. Nel fare ciò vengono usate due costanti “magiche”: Pw=Odd[(e-2)2w] Qw=Odd[(Φ-1)2w] dove: [e e Φ dipendono dalla lunghezza della chiave] Odd(x) è l’intero dispari più vicino a x, e è la base dei logaritmi naturali Φ è il numero aureo (1+√5)/2=1.618033988740… Nota: e =2.718281828459 Φ interviene nella Teoria del Caos, dove sembra essere il numero più caotico che esista. Φ è il rapporto fra la diagonale e il lato del pentagono regolare.

RC6 – Costanti magiche In particolare nella seguente tabella vengono riportati i valori di Pw e Qw in esadecimale per w = 16, 32, 64 W 16 bit 32 bit 64 bit Pw B7 e1 b7 e1 51 63 b7 e1 51 62 8° ed 2a 6b Qw 9e 37 9e 37 79 b9 9e 37 79 b9 7f 4a 7c 15

RC6 – Espansione chiave 1. La chiave k[0…b-1] di b byte viene convertita in parole di w bit → L[0…c-1] dove c = 8b/w eventualmente L[c-1] contiene 0 [quante volte sta la chiave nel testo da cifrare] 2. Inizializzazione for i=b-i downto 0 do L[i/u]=(L[i/u]<<<8)+k[i] 3. Creazione di una tabella S (espansione vera e propria): s[0]=Pw for i=1 to 2r+3 do S[i]=S[i-1]+Qw [solitamente max (i) =43] i=j=A=B=0 v = 3  max(c,2r+4) [num dei round e num vedi sopra] for s=1 to v do [v = 132 con 2r+4=44] A=S[i]=(S[i]+A+B) <<< 3 [al primo ciclo s(0)=Pw] B=L[j]=(L[j]+A+B) <<< (A+B) [al primo passaggio B=0] i=(i+1) mod (2r+4) [tutti e due ricominciano almeno ] j=(j+1) mod c [3 volte da 0(il più grande)]

RC6 - Cifratura L’input consiste in quatto registri A,B,C,D di w bit, l’output consiste nei medesimi quattro registri. Cifratura: B = B+S[0] D = D+S[1] For i=1 to r do t = (B (2B+1)) <<< log w [=2B2+B] 6 addizioni u = (D (2D+1)) <<< log w [=2D2+D] 2 “” A = ( (A  t) <<< u ) + S[2*i] 2 “quadrati” C = ( (C  u) <<< t ) + S[2*i+1] 2 “<<< 5” (A,B,C,D) = (B,C,D,A) 2 “<<< variabile” A = A+S[2r+2] [2r+2=42] NB log232=5 C = C+S[2r+3] [2r+3=43]

RC6: Iterazione t u A B C D <<< f <<< f <<< 5 5 <<< <<< S[2i] S[2i+1] A B C D

Iniettività B*(2B+1) mod 2w Prova: per assurdo. Se B ≠ C ma B * (2B + 1) = C * (2C + 1) mod 2W allora (B - C) * (2B + 2C + 1)=0 (mod2w) Ma (B - C) è diverso da zero e (2B + 2C + 1) è dispari; per cui il loro prodotto non può essere zero!!

RC6 - Decifratura L’algoritmo di decifratura prende in input il testo cifrato memorizzato nei quatto registri A,B,C,D di w bit, l’output consiste nei medesimi quattro registri con memorizzato il testo in chiaro. Decifratura: C = C-S[2r+3] A = A-S[2r+2] For i=r downto 1 do (A,B,C,D)=(B,C,D,A) u = (D (2D+1)) <<< log w t = (B (2B+1)) <<< log w C = ( (C-S[2*i+1]) >>> t)  u A = ( (A-S[2*i]) >>> u)  t D = D-S[1] B = B-S[0]

Compatibilità RC6 (es. CPU a 8 bit) Le operazioni sopra esposte possono essere implementate su un processore a 8 bit come segue: L’addizione a 32 bit può essere computato con 4 addizioni a 8 bit con riporto (ADDC); L’ XOR a 32 bit può essere computato con 4 XOR a 8 bit (XRL); Un quadrato a 32 bit può essere computato mediante 6 moltiplicazioni (MUL) (a noi interessano solo i 32 bit meno significativi) di stringhe di 8 bit ed 11 addizioni con riporto (ADDC); Per quanto riguarda la rotazione ciclica a sinistra di 5 bit su stringa di 32 bit, può essere convertita in una rotazione a destra di 1 bit di una stringa di 32 bit, eseguita 3 volte e successivamente la permutazione dei byte risultanti (vedi figura). La rotazione a destra di 1 bit è implementata mediante 4 rotazioni ad 8 bit (RRC)

Implementazione “<<< 5” x1 x2 x3 x4 x5 x6 x7 x8 x9 x10 x11…….. x32 “<<5” x6 x7 x8 x9 x10 x11 x12 x13 x14 …….. x5 “>>3” x30 x31 x32 x1 x2 x3 x4 x5 x6 x7…….. x29 x30… x5 x6… x13 x14… x21 x22… x29 Permutazione byte x6… x13 x14… x21 x22… x29 x30… x5 x6 x7 x8 x9 x10 x11 x12 x13 x14 …….. x5

Implementazione “<<<Z” Generalizzando, si può procedere nello stesso modo con qualunque scorrimento a sinistra (quelli non predicibili data-depending), usando però la seguente notazione: Calcolare z’ = (ultimi 5 bit di z) mod 8 Se z’ = 1,2,3,4 → z’ volte “<<<1” Se z’ = 5,6,7 → 8 - z’ volte “>>>1” Poi, eseguire la “permutazione byte” in genere < 2 shift N.B. Ogni permutazione puo essere controllata mediante i salti (JB)

Implementazione “<<<Z” Motivazione: - Se z è multiplo di 8 è possibile effettuare una rotazione ciclica a sinistra di z bit con la sola permutazione dei 4 bytes quindi non occorrono operazioni di “<<<” - Se z non è multiplo di 8 allora si può scrivere così: z =8k+z’ con k ≥ 0 e 1 ≤ z’ ≤ 7 Il valore z’ è l’equivalente decimale di 3 bit meno significativi di z. E’ necessario eseguire k rotazioni cicliche sui 4 byte per ottenere la sequenza giusta su cui effettuare la rotazione ciclica a sinistra di z’ bit per concludere l’operazione.

Velocità di calcolo Meno di due clocks per bit del testo in chiaro !

Sicurezza RC6 La sua forza crittografica dipende dal pesante utilizzo delle rotazioni dipendenti dai dati, le quali non permettono di collezionare statistiche ed evitano attacchi di crittoanalisi sia differenziale che lineare, l’unico consentito è la ricerca esaustiva (forza bruta) il quale comporta un numero di operazioni pari a MIN(28b,21408) Nota: Differenziale : Il metodo si basa sull'analisi delle differenze tra due testi in chiaro cifrati con la stessa chiave. L'utilizzo di questa tecnica ha portato gli studiosi Biham e Shamir al successo nella forzatura dell'algoritmo DES. Lineare : è un attacco che usa testi in chiaro conosciuti. Permette di conoscere bit della chiave essendo noti sia il testo in chiaro che crittogramma corrispondente usando un’approssimazione lineare.

Sicurezza: Attacchi lineari Una stima fatta da Rivest sul numero di coppie di testi in chiaro / testi cifrati occorrenti per un attacco lineare. (Solo 2128 di tali coppie sono disponibili.) Rounds Coppie 8 247 12 283 16 2119 20 RC6 2155 24 2191 Irrealizzabile

Sicurezza: Attacchi differenziali Una stima fatta da Rivest sul numero di coppie di testi in chiaro occorrenti per un attacco differenziale. (Solo 2128 di tali coppie sono disponibili.) Rounds Coppie 8 256 12 297 16 2190 20 RC6 2238 24 2299 Irrealizzabile

Esempio di cifratura Testo in chiaro 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Chiave usata Testo cifrato 8f c3 a5 36 56 b1 f7 78 c1 29 df 4e 98 48 a4 1e 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 6c d6 1b cb 19 0b 30 38 4e 8a 3f 16 86 90 ae 82 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 8f 5f bd 05 10 d1 5f a8 93 fa 3f da 6e 85 7e c2

Valutazione esempio Si può notare nella figura sopra esposta 2 importanti rilievi: La possibilità di inserire la chiave nulla, cioè, quella chiave il cui valore per ogni suo bit è 0, non sempre possibile in altri algoritmi; La cifratura, quindi il testo cifrato, dipende anche dalla lunghezza della chiave infatti come si può vedere a “parita” di chiavi nulle il testo cifrato cambia.

RC6 Vs DES In conclusione possiamo riassumere le caratteristiche più significative che l’RC6 ha in più rispetto al DES: Il N° delle chiavi è di gran lunga maggiore; Non usa s-box quindi non nasconde trapdoor; Usa rotazioni data-depending; Resiste ad attacchi lineari e differenziali; Si basa su versioni precendenti ampiamente criptoanalizzate.

Bibliografia Una trattazione a carattere algoritmico può essere trovata in: →Cryptographic Hardware and Embedded Systems – CHES 2001 – Cetin K. Koc, David Naccache, Christof Paar →Applied Cryptography – Bruce Schneier – John wiley e Son Fra i siti in cui trovare informazioni cito → http://theory.lcs.mit.edu/ Ed inparticolare: → http://theory.lcs.mit.edu/~rivest In cui è possibile trovare un’enorme pagina di link.