KRİPTO GÜNLERİ 2015
ÇAYIROVA
TÜBİTAK
HAFİF SIKLET ALGORİTMALAR
GÜVENLİKTE DE HAFİF SIKLET MİDİR?
Orhun Kara
Kripto Günleri 2015, ÇAYIROVA
Hafif Sıklet Kripto Algoritması
TÜBİTAK
Kısıtlı kaynakla belirlenmiş bilgi güvenliğini sağlayan algoritma
Kısıtlı kaynak
Alan
Donanım
≈1000-2000 GE
Güç Tüketimi
Enerji Tüketimi
RFID etiketleri
Mobil cihazlar
Sensor ağlar
Yazılım
8 bit mikroişlemci
1-2 KB ROM ve RAM
Kripto Günleri 2015, ÇAYIROVA
10
Alan
TÜBİTAK
1 mm2 de yaklaşık
10 milyon transistör
8 nm
2 girdili 1 NAND kapısı= 1 GE
Kripto Günleri 2015, ÇAYIROVA
3
Alan
TÜBİTAK
Yaklaşık 10.000 GE alan
Güvenliğe 2.000 GE yer ayrılmış
RFID Etiketi
Kripto Günleri 2015, ÇAYIROVA
4
Bazı kripto algoritmalarının kapladığı alanlar
TÜBİTAK
Alan ve Güvenlik
3500
3000
2500
2000
1500
1000
500
0
Güvenlik x 10
Donanımsal Alan GE
Kripto Günleri 2015, ÇAYIROVA
5
Yazılımda alan
TÜBİTAK
Yazılım
3500
3000
2500
2000
1500
1000
500
0
AES
Camellia
ITUBee
Güvenlik X 10
KATAN
ROM
DESL
PRESENT
Trivium
RAM
Kripto Günleri 2015, ÇAYIROVA
6
Güç tüketimi
TÜBİTAK
Güç Tüketimi µW
16
14
12
10
8
6
4
2
0
Güç Tüketimi
Kripto Günleri 2015, ÇAYIROVA
7
Enerji tüketimi
TÜBİTAK
Bit Başına Enerji Tüketimi pJ
300
250
200
150
100
50
0
Enerji Tüketimi pJ/bit
Kripto Günleri 2015, ÇAYIROVA
8
Dizi şifreleme/Blok şifreleme
TÜBİTAK
Son 10 yılda blok şifreleme tasarımları
Donanımda alan
Güç tüketimi
Blok şifrelemeler şampiyon!
Kripto Günleri 2015, ÇAYIROVA
9
Dizi Şifreleme/Blok Şifreleme
Yıl
Blok Şifreleme
2006
Hight, mCrypton
2007
Clefia, PRESENT, DESL
2008
Dizi Şifreleme
Grain
Mickey, Trivium
2009
Katan/Ktantan
2010
GOST revisited, PRINTCipher
2011
LBlock, Picolo, LED, TWINE
2012
Kanarya, Klein, PRINCE
2013
ITUBee, Simon, Speck, Zorro
2014
PRIDE
2015
TÜBİTAK
FCSR
Sprout
Kripto Günleri 2015, ÇAYIROVA
10
Blok Şifreleme/Dizi Şifreleme
TÜBİTAK
0.13 ya da 0.18 µm
Trivium
2600 GE
Grain
1294 GE
Mickey
3600 GE
Neden insanoğlu blok şifrelemeleri
daha kompakt tasarlayabiliyor?
Güç Tüketimi µW
LED
966 GE
Ktantan
462 GE
Simon
763 GE
10
PRINTCipher
503 GE
5
15
80 bit için 960 GE, 128 bit için 1536 GE: Daha
kalem oynatmadan
harcayacağınız maliyet!
Kripto Günleri 2015, ÇAYIROVA
Trivium
Trivium
Grain
Grain
PRINCE
DESXL
PRESENT
KTANTAN
ZHV Ödümleşim atakları:
k bit güvenlik için en azından 12k GE yazmaç
maliyeti
KATAN
0
Güç Tüketimi
11
Genel olarak zayıflıklar
TÜBİTAK
• Kısa blok boyu
32/48 bit, kod kitabı
• Kısa anahtar boyu
40,48,64,80 bit anahtar boyları
• Ödümleşim atakları
Hellman ve gökkuşağı tabloları
• İlintili anahtar atakları
Tasarımcılar yok sayıyor
• Yan kanal atakları
Hafifsıkletin baş belası
• Yapısal zayıflıklar
Öğrenecek çok şey var
Kripto Günleri 2015, ÇAYIROVA
12
Anahtar Boyu: Kaba kuvvet atağı
TÜBİTAK
• 80 bit kısa, 48 bit çok kısa!
Hellman:
- The first thing we'd like to hit is the key size of the proposed
standard. We feel it's too small, both today - we feel it's
vulnerable to attack by an agency such as NSA. If you have
$20,000,000 to invest in a machine, you could break the
proposed algorithm by exhaustive search in one day's time
Art (NSA’dan):
-Marty, Dana Grub, one of the engineers, made a study on
produced figures that were quite at variance with yours, and
instead of one day he gets something like 91 years.
Stanford Ü. computer science araştırmacıları,NBS ve
NSA, DES Tartışma Toplantısı, 1976.
EFF DES Cracker, 250.000 $, 1998; 56 saat
Kripto Günleri 2015, ÇAYIROVA
13
Kısa Anahtar Boyu: Kaba kuvvet atağı
TÜBİTAK
Basit aritmetik: 80-56=24
24×1,5=36
1976+36=2012
Moore Yasasına göre 1976’da 56 biti kırmanın maliyeti ile 2012’de 80 biti
kırmanın maliyeti aynı
Üstelik hafifsıklet algoritmalar COPACOBANA gibi özel cihazlarda daha verimli:
Az yer kaplıyorlar, anahtar şeması yok, blok boyu kısa, yüksek frekans!
KLEIN
AES
ALAN
2500
20.000
FREKANS
500 MHz
300 MHz
ÇEVRİM
12
10
Kripto Günleri 2015, ÇAYIROVA
14
ZHV Ödümleşim atakları ve blok şifreler
•
•
•
TÜBİTAK
İlk blok şifrelemeler ile başladı: Hellman tabloları DES, 1980
Dizi şifrelemeler: Golic ve Babbage, 1997
Dizi şifrelemelere Hellman tabloları: Biryukov, Shamir, 2000
Blok şifrelemeler zaten dizi şifreleme modunda şifreleme yapabiliyor: ÇGB ya da Sayaç modu.
Yani blok boyu en azından anahtar boyu kadar olmalı!
BV
Anahtar K
EK
BV
Kayan anahtar
Anahtar K
EK
32 bit blok boyu, 80 bit anahtar
(Örneğin KATAN)
m=248 , t=232 ; Tabloda 280 veri
3.5 PB Hafıza, bütün kod kitabı ve
264 şifreleme ile anahtar ele geçer.
Kayan anahtar
Kripto Günleri 2015, ÇAYIROVA
15
Hellman tablosu: Yaygın kullanım
TÜBİTAK
80 bit güvenli mi?
Tek tablo: m=248 , t=216 . Yani
2,5 PB hafıza
264 ön hesaplama
Anahtar başına 216 şifreleme ve
Her 232 şifrelemede bir anahtar (216 anahtardan birisi ele geçiyor!)
seçili açık metin atağı!
Kripto Günleri 2015, ÇAYIROVA
16
Yan kanal
TÜBİTAK
45 nm CMOS
Seri Gerçekleme
Maskeli Seri
Gerçekleme
FIDES 80
1244 GE
4696 GE
FIDES 96
1584 GE
7541 GE
Kripto Günleri 2015, ÇAYIROVA
17
Endüstrinin karnesi kötü! GSM
Kripto Günleri 2015, ÇAYIROVA
TÜBİTAK
18
Endüstrinin karnesi kötü! GSM
•
A5/1, A5/2:
–
–
–
–
•
TÜBİTAK
GSM telsiz haberleşmede gizlilik
64 (81) bit yazmaç, 64 bit anahtar
A5/2 böl-ve-fethet ile PC’de kırılıyor
A5/1 ZHV ödümleşim
Comp128
– GSM kimlik doğrulama ve oturum
anahtarı oluşturma
– Çakışma atağı: 130K sorgu
Kripto Günleri 2015, ÇAYIROVA
19
Endüstrinin karnesi kötü! II
•
Keeloq
–
–
–
–
•
TÜBİTAK
32 bit blok 64 bit anahtar
Kilit/alarm
216 seçili açık metin ile pratik atak Eurocrypt
2008 İstanbul
Yan kanal atağı, güç analizi: birkaç dakikada
anahtar, bir günde fabrika anahtarı; Ruhr
Üniversitesi Bochum
Hitag2
–
–
–
–
–
Immobilizer güvenliği
48 bit dizi şifreleme
COPACOBANA ile 2 saat
SATSolver PC’de 7 saat
Gone in 360 seconds: 235 işlem; USENİX’12
Kripto Günleri 2015, ÇAYIROVA
20
Endüstrinin karnesi kötü! III
•
Crypto-1
–
–
–
•
TÜBİTAK
Mifare, temassız akıllı kart
48 bit anahtar, LFSR filtresi
Cebirsel atak: PC’de 200 sn. ‘’The security of
this cipher is therefore close to zero’’ Courtois
DST40
–
Immobilizer güvenliği, ExxonMobil Speedpass ödeme sistemi
– 40 bit anahtar, dengelenmemiş Feistel
– Information Security Institute: Tersine
mühendislik ve FPGA ile kaba kuvvet
atağı 11 saat,
John Hopkins Üniversitesi 2005
– COPACOBANA 9 dk.
Kripto Günleri 2015, ÇAYIROVA
21
Endüstrinin karnesi kötü! IV
•
OMA Metin Asıllama Kodu
–
–
–
•
TÜBİTAK
Open Smart Grid Protocol (OSGP),
Energy Service Network Association
(ESNA), ETSI standardı
96 bit anahtar, şifreleme ile ortak
4 sorgu ve 225 işlem ile anahtar
bulunuyor; FSE 2015 İstanbul
E0
–
–
Bluetooth, 128 bit anahtar, kombine
LFSR
Şartlı ilinti atağı 223 çerçeve ve 238 işlem,
Crypto 2005
Kripto Günleri 2015, ÇAYIROVA
22
Ktantan
TÜBİTAK
• 32/48/64 bit blok boyları
• 80 bit anahtar, 254 çevrim
• İlk 111 çevrimde 6 bit
anahtar ve son 131
çevrimde başka 6 bit etkisiz
• 3-altkümeli ortada buluşma
atağı 275 Bogdanov ve
Rechberger
Kripto Günleri 2015, ÇAYIROVA
23
Sprout
TÜBİTAK
• 80 bit anahtar, 80 bit
yazmaç
• ZHV ödümleşime dayanıklı!
• Grain’den esinlenmiş
• FSE 2015 İstanbul
• 320 TB hafıza ve 240 bit
kayan anahtar ile 233
işlemde anahtarı ele
geçirmek mümkün
• Anahtarın yazmaçla
bağlantısı koparılabiliyor
Kripto Günleri 2015, ÇAYIROVA
24
Sonuç olarak…
• Anahtar boyu
en azından
TÜBİTAK
64 bit
80 bit
96 bit
• Yapısal analizler ve güvenlik varsayımları önemli
• Yan kanal çözümleri gerekli
• Blok boyu güvenliğin parçası
Kripto Günleri 2015, ÇAYIROVA
25
Sorular?
TÜBİTAK
Teşekkürler..
Kripto Günleri 2015, ÇAYIROVA
Download

B*LGEM Tan*t*m* - TÜBİTAK BİLGEM MCS Labs