Bilgisayar ve Ağ Güvenliği

Transkript

1 Bölüm 2. Simetrik Şifreleme ve Mesaj Gizliliği w3.gazi.edu.tr/~suatozdemir

2 Simetrik Şifreleme ve Mesaj Gizliliği Secret key shared by sender and recipient Secret key shared by sender and recipient K K X Transmitted ciphertext Y = E(K, X) X = D[K, Y] Plaintext input Encryption algorithm (e.g., AES) Decryption algorithm (reverse of encryption algorithm) Plaintext output Figure 2.1 Simplified M odel of Symmetric Encryption 2

3 Gereksinimler Simetrik şifrelemenin güvenli kullanımı için iki gereksinim vardır: Güçlü bir şifreleme algoritması Gönderici ve alıcı, gizli anahtarın kopyalarını güvenli bir şekilde elde etmiş olmalı ve anahtarın güvenliğini sağlamalıdır Simetrik şifreleme güvenliği anahtarın gizliliğine bağlıdır, algoritmanın gizliliğine değil Bu özellik yaygın şekilde kullanılmasını mümkün kılar Üreticiler veri şifreleme algoritmalarının düşük maliyetli yonga uygulamalarını yapabilir Bu yongalar yaygın olarak mevcuttur ve bir çok ürüne dahil edilmiştir. 3

4 Kriptografi Şifreleme sistemleri genel olarak üç bağımsız boyutta sınıflandırılır: Düz metinleri şifreli metin haline dönüştürmek için kullanılan işlem türleri Yerine koyma/ikame (substitution) Düz metindeki her öğe başka bir öğeye eşlenir Aktarma (Transportation) Düz metindeki öğeler yeniden düzenlenir Temel gereklilik hiçbir bilginin kaybolmamasıdır Bu iki yöntem genelde bir arada tekrarlı olarak kullanılır Aktarma ve yerine koyma işmleri birden çok defa yapılır 4

5 Kriptografi Kullanılan anahtarların sayısı Hem gönderici hem de alıcı aynı anahtarı kullanıyorsa, simetrik, tek anahtarlı, gizli anahtar veya geleneksel şifreleme olarak adlandırılır. Gönderen ve alıcı her biri farklı bir anahtar kullanıyorsa, asimetrik, iki anahtarlı veya açık anahtarlı şifreleme olarak adlandırılır. Düz metin işlenme şekli Blok şifreleme bir seferde bir blok elemanı işleyerek her giriş bloğu için bir çıktı bloğu üretir Akış şifreleme giriş elemanlarını sürekli olarak işleyerek, aynı anda birer çıktı üretir 5

6 Kriptoanaliz Düz metini veya anahtarı keşfetme süreci kriptoanaliz olarak bilinir. Bir şifreleme algoritması tarafından oluşturulan şifre metni aşağıdaki kriterlerden birine ya da her ikisine birden cevap veriyorsa, bir şifreleme algoritması hesaplama açısından güvenlidir: Algoritmanın kırılmasının maliyeti şifreli bilgilerin değerini aşıyorsa Algoritmanın kırılması için gereken süre elde edilen bilgilerin faydalı ömrünü aşıyorsa 6

7 Kriptografi Type of Attack Ciphertext only Known plaintext Chosen plaintext Chosen ciphertext Chosen text Encryption algorithm Ciphertext to be decoded Known to Cryptanalyst Encryption algorithm Ciphertext to be decoded One or more plaintext-ciphertext pairs formed with the secret key Encryption algorithm Ciphertext to be decoded Plaintext message chosen by cryptanalyst, together with its corresponding ciphertext generated with the secret key Encryption algorithm Ciphertext to be decoded Purported ciphertext chosen by cryptanalyst, together with its corresponding decrypted plaintext generated with the secret key Encryption algorithm Ciphertext to be decoded Plaintext message chosen by cryptanalyst, together with its corresponding ciphertext generated with the secret key Purported ciphertext chosen by cryptanalyst, together with its corresponding decrypted plaintext generated with the secret key Table 2.1 Types of Attacks on Encrypted Messages 7

8 Known attacks Known Ciphertext Attack Örnek: Eve steals a bunch of ciphertexts from Alice's handbag, but has no idea what they mean. Known Plaintext Attack Örnek: Eve overhears an encrypted communication from Bob to Alice, and later observes them meeting at Baker Street - Eve can now guess that the communication contained the word "baker street" somewhere, a form of known plaintext attack. 8

9 Chosen Plaintext Attack Saldırgan, herhangi bir düz metin seçebilir ve bilinen şifreleme metnini kullanarak ilgili şifreyi elde edebilir Örnek: A poorly designed file storage system uses the same key to encrypt everyone's files, and lets anyone see anyone's files (in encrypted form). Eve knows Bob uses the service, she registers as well and starts encrypting arbitrary files (which she can choose) and looks at the resulting ciphertext. From this she obtains the service's encryption key, and decrypts Bob's stuff. 9

10 Chosen Ciphertext Attack Saldırgan istediği herhangi bir şifreli metni seçebilir ve karşılık gelen düz metin elde edebilir Seçilen bir düz metin saldırısından daha güçlü bir saldırı modelidir Saldırganın şifreli metinleri inceleyerek çok sayıda cipher text/plain text çifti üretme ve text istatistik testi, tablosu veya frekans tablosu oluşturma şansı vardır. Örnek: Eve breaks into Bob's house while he is sleeping, and replaces the ciphertext he was going to send to Alice tomorrow with a new one of her choosing. She then eavesdrops on their communications the next day to try and work out what Alice read when she decrypted the fake ciphertext (variants of this involve Eve not just creating a new ciphertext, but modifying the existing one slightly). 10

11 Kaba kuvvet saldırısı Şifreli metni anlaşılır bir şekilde düz metin haline getirene kadar olası tüm anahtarları dener. Ortalama olarak, olası tüm anahtarların yarısı başarıyı elde etmek için denenmelidir. Gerçek düz metin sağlanmadığı sürece, analist düz metinleri düz metin olarak algılayabilmelidir Kaba kuvvet yaklaşımını tamamlamak için Beklenen düz metinle ilgili bir dereceye kadar bilgi gereklidir Düz metinleri anlamsız metinlerden otomatik olarak ayıran bazı araçlara da ihtiyaç duyulmaktadır 11

12 Key size (bits) Cipher Number of Alternative Keys Time Required at 10 9 decryptions/s Time Required at decryptions/s 56 DES ns = years 1 hour 128 AES ns = years years 168 Triple DES ns = years years 192 AES ns = years years 256 AES ns = years years 12

13 Feistel Şifreleme Yapısı 13

14 Feistel Şifreleme Yapısı Parçaları Blok boyutu Büyük blok boyutu -> daha iyi güvenlik Büyük blok boyutu -> daha uzun şifreleme/şifre çözme zamanı Anahtar boyutu Büyük anahtar boyutu -> daha iyi güvenlik Büyük anahtar boyutu -> daha uzun şifreleme/şifre çözme zamanı Tur sayısı Simetrik blok şifrelemin özü, tek bir turun yetersiz güvenlik sağladığı, ancak birden fazla turun artan güvenlik sağladığıdır. Alt-anahtar (subkey) oluşturma algoritması Bu algoritmadaki daha büyük karmaşıklık, kriptanalizin daha fazla zorlanmasına neden olmalıdır Tur algoritması Bu algoritmadaki daha büyük karmaşıklık, kriptanalizin daha fazla zorlanmasına neden olmalıdır 14

15 Simetrik Blok Şifreleme Algoritmaları Blok şifreleme En sık kullanılan simetrik şifreleme algoritmaları Düz metin girdisini sabit boyutlu bloklar halinde işler ve her bir düz metin bloğu için eşit boyutta bir şifreli metin bloğu üretir. Advanced Encryption Standard (AES) Data Encryption Standard (DES) En önemli üç blok şifreleme algoritması Triple DES (3DES) 15

16 Data Encryption Standart (DES) En çok kullanılan şifreleme şeması Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından Federal Bilgi İşleme Standardı 46 (FIPS 46) olarak 1977'de çıkarılmıştır Algoritmanın kendisi Veri Şifreleme Algoritması (DEA) olarak adlandırılır Günümüze kadar bir zaafiyeti ortaya çıkartılamamıştır Anahtar kısalığı dışında 16

17 DES Algoritması Algoritmanın tanımı: Düz metin 64 bit uzunluğundadır Anahtarın uzunluğu 56 bittir Yapı, Feistel ağının küçük bir varyasyonudur 16 tur işleme var. Şifre çözme işlemi aslında şifreleme işlemi ile aynıdır DES'nin gücü: Endişeler iki kategoriye ayrılıyor Algoritmanın kendisi Kriptoanaliz algoritma özelliklerinden yararlanılarak mümkündür 56-bit anahtar kullanımı Ticari işlemcilerin hızı güvenliği tehdit ediyor 1988 DES Cracker 250 Bin $ 3 gün süren saldırı ile 56 bitlik anahtarı kırmıştır 17

18 Tüm anahtarların denenmesi için gerekli süre Key size (bits) Cipher Number of Alternative Keys Time Required at 10 9 decryptions/s Time Required at decryptions/s 56 DES ns = years 1 hour 128 AES ns = years years 168 Triple DES ns = years years 192 AES ns = years years 256 AES ns = years years 18

19 3DES (Triple DES) K 1 K 2 K 3 P A B E D E C (a) Encryption C K 3 K 2 K 1 D B E A D P (b) Decryption Figure 2.3 Triple DES 19

20 3DES FIPS PUB 46-3, FEDERAL INFORMATION PROCESSING STANDARDS PUBLICATION: DATA ENCRYPTION STANDARD (DES) (2005 de geçerliliğini yitirmiştir) FIPS 46-3, 3DES için aşağıdaki yönergeleri içerir: 3DES FIPS onaylı simetrik şifreleme algoritmasıdır Tek bir 56 bit anahtarı kullanan orijinal DES, yalnızca eski sistemlerin standartlarına göre izin verilir; yeni donanımlar 3DES'i desteklemelidir Eski DES sistemlerine sahip devlet kuruluşlarının 3DES'e geçmeleri teşvik edilir 3DES'in ve AES in FESO tarafından onaylanmış algoritmalar olarak bir arada bulunacağı ve AES'e kademeli bir geçiş yapmasına izin verileceği tahmin edilmektedir 20

21 Advanced Encryption Standart (AES) DES ve 3DES in 64 bitlik blok boyutu günümüzde yetersiz kalmıştır 1997'de NIST, yeni bir AES için teklif çağrısı açmıştır: 3DES'e eşit veya daha iyi bir güvenlik gücüne sahip olmalı ve önemli derecede geliştirilmiş etkinlik 128 bitlik bir blok uzunluğu ve 128, 192 ve 256 bitlik anahtar uzunluklarını destekleyen simetrik bir blok şifreleyici olmalıdır Değerlendirme ölçütleri güvenlik, hesaplama verimliliği, bellek gereksinimleri, donanım ve yazılım uygunluğu ve esneklik NIST önerilen AES algoritması olarak Rijndael'i seçmiştir FIPS KUB 197 olarak yayınlanmıştır Geliştiriciler Belçika'dan iki kriptografçıydı: Dr. Joan Daemen ve Dr. Vincent Rijmen 21

22 Sonlu alanlar (Finite Fields) aritmetiği Normal aritmetik işlemlerde,işlem sonucu sonucun uzunluğu değişebilmektedir. Örneğin çarpma veya toplama yapıldığında sonucun yazılacağı bit sayısı artar. Sabit anahtar ve blok uzunlukları nedeniyle kriptografide normal aritmetiği kullanılmaz. Bunun yerine sonlu alanlar aritmetiği kullanılır. Bu alanda,tüm işlemler yine aynı uzayda sonuçlar üretir. Yani sonucun uzunluğu değişmez.kriptografide kullanılan Galois Alanı sonlu uzayın bir alt kümesidir.

23 Sonlu alanlar (Finite Fields) AES GF(2 8 ) sonlu alanlar aritmetiğini kullanır b 7 x 7 + b 6 x 6 + b 5 x 5 + b 4 x 4 + b 3 x 3 + b 2 x 2 + b 1 x + b 0 {b 7, b 6, b 5, b 4, b 3, b 2, b 1, b 0 } Byte notasyonu: x 6 + x 5 + x + 1 { } binary {63} hex Kendi özgü işlemleri vardır Toplama Çarpma

24 Sonlu alanlar aritmetiği Toplama (XOR) (x 6 + x 4 + x 2 + x + 1) + (x 7 + x + 1) = x 7 + x 6 + x 4 + x 2 { } { } = { } {57} {83} = {d4} Çarpma biraz daha karışıktır Çarpma işlemi yapılırken, iki polinomun çarpımı 8.dereceden indirgenemez polinom ile modulo işlemine tabii tutulur Sonuç yine 8 bitlik saklayıcıya yazılır. 8. dereceden indirgenemez polinomun böleni tektir ve sadece kendisidir. m(x) = x 8 + x 4 + x 3 + x + 1

25 Çarpma ( ) (x 6 + x 4 + x 2 + x +1) (x 7 + x +1) = x 13 + x 11 + x 9 + x 8 + x 7 + x 7 + x 5 + x 3 + x 2 + x + x 6 + x 4 + x 2 + x +1 Birbirini götürür = x 13 + x 11 + x 9 + x 8 + x 6 + x 5 + x 4 + x 3 +1 ve x 13 + x 11 + x 9 + x 8 + x 6 + x 5 + x 4 + x 3 +1 modulo ( x 8 + x 4 + x 3 + x +1) = x 7 + x İndirgenemez polinom

26 Etkin ve kolay sonlu alan çarpması Kolay bir yol daha vardır xtime() Girdiyi {02} ile kolayca çarpan bir fonksiyon Daha yüksek üslü değerler tekrarlı olarak xtime() fonksiyonu kullanarak bulunabilir

27 Etkin ve kolay sonlu alan çarpması Örnek: {57} {13} {57} {02} = xtime({57}) = {ae} {57} {04} = xtime({ae}) = {47} {57} {08} = xtime({47}) = {8e} {57} {10} = xtime({8e}) = {07} {57} {13} = {57} ({01} {02} {10}) = ({57} {01}) ({57} {02}) ({57} {10}) = {57} {ae} {07} = {fe}

28 AES parameterleri Nb Number of columns in the State Nb = 4 Nk Number of 32-bit words in the Key Nk = 4, 6, or 8 Nr Number of rounds (function of Nb and Nk) Nr = 10, 12, or 14

29 AES işlemleri State array e aktarılır Her 128 bitlik girdi bloğu kare byte matrise çevrilir (4x4) Kolon bazında işlenir Anahtarda aynı şekilde byte matris halinde işlenir Dönüşümler (ve ters işlemler) AddRoundKey SubBytes ShiftRows MixColumns Anahtar genişletme

30 State Array e aktarma Girdi bloğu: S 0,0 S 0,1 S 0,2 S = 0,3 S ,0 S ,1 S 12 1,2 S 13 1, S 2,0 S 2,1 S 2,2 S 2, S 3,0 S 3,1 S 3,2 S 3,3

31 AddRoundKey Anahtar ve state array byte bazında XOR işlemine tabii tutulur XOR S 0,1 S 0,0 S 0,1 S 0,2 S 0,3 S 1,1 S 1,0 S 1,1 S 1,2 S 1,3 R 0,1 S 2,0 2,1 S 2,2 S 2,3 S S 0,0S 0,1S 0,2S 0,3 2,1 R 0,0 R 0,1 R 0,2 R 0,3 S 3,0 S 3,1 S 3,2 S 3,3 S S 1,0 S 1,1 1,1 S 1,2 S 1,3 R S 1,0 R 1,1 1,1 R 1,2 R 1,3 3,1 S 2,0 S S 2,1 S 2,2 S 2,3 R 2,0 2,1 R 2,2 R 2,1 R 2,3 2,1 S 3,0 S 3,1 S 3,2 S 3,3 R 3,0 R 3,1 R 3,2 R 3,3 R 3,1 S 0,1 S 3,1

32 SubBytes state array de yer alan her byte S-Box da kendisine karşılık gelen değerle değiştirilir CC DD AA EE BB FF

33 ShiftRows Son üç sıra silindirik olarak kaydırılır S 0,0 S 0,1 S 0,2 S 0,3 S 1,0 S 1,0 S 1,1 S 1,2 S 1,3 S 2,0 S 2,1 S 2,0 S 2,1 S 2,2 S 2,3 S 3,0 S 3,1 S 3,2 S 3,0 S 3,1 S 3,2 S 3,3

34 MixColumns MixColumn dönüşüm fonksiyonu her kolona uygulanır S 0,1 S S 0,0 S 1,c = S 0,1 S 0,2 0,c ({02} S 1,c ) ({03} S 0,3 S 2,c ) S 0,0 S 3,c 0,1 S 0,2 S 0,3 S 1,1 S 0,c = ({02} SMixColumns() 0,c ) ({03} S 1,c ) S 2,c S 3,c S 0,1 S 1,1 S 1,0 S 1,1 S 2,c S 1,2 = S 1,3 0,c S 1,c ({02} S 2,c ) ({03} S 1,0 S S 1,1 3,c S ) 1,2 S 1,3 S 2,0 S 2,1 S 2,2 S 2,3 S 2,0 S 2,1 S 2,2 S 2,3 2,1 S S 2,1 3,c = ({03} S 0,c ) S 1,c S 2,c ({02} S 3,c S 3,0 S 3,1 S 3,2 S 3,3 S 3,0 S 3,1 S 3,2 S 3,3 S 3,1 S 3,1

35 Anahtar Genişletme Expands the key material so that each round uses a unique round key Nb(Nr+1) tane word üretilir 10 tur için 44 word Anahtarla doldurma Daha önceki anahtarlar kullanılar devam eder

36 Şifreleme byte state[4,nb] state = in AddRoundKey(state, keyschedule[0, Nb-1]) for round = 1 step 1 to Nr 1 { SubBytes(state) ShiftRows(state) MixColumns(state) AddRoundKey(state, keyschedule[round*nb, (round+1)*nb-1]) } SubBytes(state) ShiftRows(state) AddRoundKey(state, keyschedule[nr*nb, (Nr+1)*Nb-1]) out = state

37 AES 37

38 State SubBytes S S S S S S S S S S S S S S S S State ShiftRows State MixColumns M M M M State r 0 r 1 r 2 r 3 r 4 r 5 r 6 r 7 r 8 r 9 r 10 r 11 r 12 r 13 r 14 r 15 AddRoundKey State Figure 2.5 AES Encryption Round 38

39 Rastgele ve Sözde-Rastgele Kriptografiye dayanan birçok ağ güvenlik algoritması, rastgele sayılardan yararlanır Örnekler: RSA açık anahtar şifreleme algoritması ve diğer açık anahtar algoritmaları için anahtarların üretilmesi Geçici bir oturum anahtarı olarak kullanılmak üzere simetrik bir anahtar üretilmesi. Aktarım Katmanı Güvenliği, Wi-Fi, e-posta güvenliği ve IP güvenliği gibi birçok ağ uygulamasında kullanılır. Kerberos gibi birçok anahtar dağıtım senaryosunda, rastgele sayılar, replay saldırılarını önlemek için el sıkışması için kullanılır Rastgele sayı dizileri için gerekli şartlar : Rastgelelik Tahmin edilemezlik 39

40 Rastgelelik Bir sayı dizisinin rasgele olduğunu doğrulamak için aşağıdaki ölçütler kullanılır: Eşit dağılım Dizideki bit dağılımı eşit olmalıdır Bir ve sıfırların oluşma sıklığı yaklaşık olarak aynı olmalıdır Bağımsızlık Dizideki hiçbir alt dizin diğerlerinden çıkartılamaz Bağımsızlığı "ispatlamak" için hiçbir test yoktur. 40

41 Tahmin edilememezlik Karşılıklı kimlik doğrulama ve oturum anahtarı oluşturma gibi uygulamalarda, sayı sırasının istatistiksel olarak rastgele olması gerekmez, ancak sıranın ardışık üyelerinin önceden tahmin edilemez olması gerekir Gerçek rasgele dizilerle, her sayı sıradaki diğer sayılardan istatistiksel olarak bağımsızdır ve bu nedenle tahmin edilemezdir Dikkat edilmesi gereken şey, önceki değerler temelinde dizinin gelecekteki değerlerinin tahmin edilememesidir 41

42 42

43 Algoritma Tasarımı Amaca yönelik algoritmalar Özel olarak ve yalnızca sözde rastgele bit akışları üretmek amacıyla tasarlanmıştır. Örneğin RC4 için kullanılan algoritma Mevcut şifreleme algoritmalarına dayanan algoritmalar Şifreleme algoritmaları girişi rastgele çıktı üretme etkisi gösterir PRNG'lerin çekirdeği olarak hizmet edebilir PRNG'leri oluşturmak için yaygın olarak üç kriptografik algoritma kategorisi kullanılır: Simetrik blok şifreleme Asimetrik şifreleme Özet fonksiyonları ve mesaj doğrulama kodları 43

44 Akış şifreleyici 44

45 Akış şifreleyici tasarım kuralları Şifreleme sırası büyük bir periyoda sahip olmalıdır Tekrarlama süresi ne kadar uzun olursa, kriptoanaliz yapmak o kadar zor olur Anahtar akışı gerçek bir rastgele sayı akışının özelliklerine mümkün olduğunca yakın olmalıdır Anahtar dizisi rastgeleye ne kadar yakınsa, şifreli metin o kadar rastgele olur ve kriptanalizi daha zor hale getirir Sözde rastgele sayı üreteci, giriş anahtarının değerine bağlıdır Kaba kuvvet saldırılarına karşı koruma sağlamak için anahtarın yeterince uzun olması gerekir Mevcut teknoloji ile, en az 128 bitlik bir anahtar uzunluğu istenir 45

46 RC4 Algoritması Ron Rivest tarafından 1987'de tasarlanan bir akış şifreleme algoritmasıdır Bayt odaklı işlemlerle değişken büyük boy bir akış şifresidir Algoritma, rastgele bir permütasyonun Web tarayıcıları ve sunucular arasındaki iletişim için tanımlanan Güvenli Yuva Katmanı / Aktarım Katmanı Güvenliği (SSL / TLS) standartlarında kullanılır Ayrıca Kabloluya Eşdeğer Gizlilik (WEP) protokolünde ve IEEE kablosuz yerel ağ standardının bir parçası olan daha yeni WiFi Korumalı Erişim (WPA) protokolünde de kullanılır 46

47 S K keylen T (a) Initial state of S and T T T[i] S j = j + S[i] + T[i] S[i] S[j] i Swap (b) Initial permutation of S j = j + S[i] S S[i] S[j] S[t] i Swap t = S[i] + S[j] (c) Stream Generation k Döngü olarak değerleri arasında çalışır Figure 2.8 RC4 k değeri girdi dizisi ile XOR lanır 47

48 Blok Şifreleme Çalışma Modları Simetrik bir blok şifresi bir kerede bir veri bloğu işler DES ve 3DES durumunda, blok uzunluğu b = 64 bittir AES için blok uzunluğu b = 128 Daha uzun miktarda düz metin için, düz metinleri b-bitlik bloklara bölmek, gerekirse son bloğu doldurmak gerekir NIST tarafından beş çalışma modu tanımlanmıştır. Bir blok şifrenin kullanılabileceği muhtemel şifreleme uygulamalarının hemen hemen tümünü kapsayacak şekilde tasarlanmıştır. 3DES ve AES de dahil olmak üzere herhangi bir simetrik blok şifre ile kullanılmak üzere tasarlanmıştır. 48

49 Elektronik Kod Defteri Modu (ECB) Düz metin bir seferde b bit olarak işlenir ve her bir düz metin bloğu aynı anahtarı kullanarak şifrelenir "Kod Defteri" terimi kullanılır, çünkü belirli bir anahtar için, düz metinlerin her b-bitlik bloğu için benzersiz bir şifreli metin vardır Karşılık gelen şifre metnini gösteren olası her bir b-bit düz metin kalıbı için bir girdi olan bir dev kod defteri olarak düşünebilir ECB ile, aynı b-bitlik normal metin bloğu mesajda birden fazla görünürse, her zaman aynı şifre metni üretilir Bu nedenle, uzun mesajlar için ECB modu güvenli olmayabilir Mesaj oldukça yapılandırılmışsa, bir kriptanalistin bu düzenliliklerden yararlanması mümkün olabilir 49

50 Cipher Block Chaining (CBC) Mode IV P 1 P 2 P N C N 1 K K K Encrypt Encrypt Encrypt C 1 C 2 C N (a) Encryption C 1 C 2 C N K K K Decrypt Decrypt Decrypt IV C N 1 P 1 P 2 P N (b) Decryption Figure 2.9 Cipher Block Chaining (CBC) M ode 50

51 Cipher Feedback Mode C N 1 K IV K shift register b s bits s bits K shift register b s bits s bits Encrypt Encrypt Encrypt s bits P 1 Select s bits Discard b s bits s bits P 2 Select s bits Discard b s bits s bits P N Select s bits Discard b s bits C 1 s bits C 2 s bits (a) Encryption C N s bits C N 1 K IV K shift register b s bits s bits K shift register b s bits s bits Encrypt Encrypt Encrypt Select s bits Discard b s bits Select s bits Discard b s bits Select s bits Discard b s bits C 1 s bits C 2 s bits C N s bits P 1 s bits P 2 s bits (b) Decryption P N s bits Figure 2.10 s-bit Cipher Feedback (CFB) M ode 51

52 Counter Mode Counter 1 Counter 2 Counter N K K K Encrypt Encrypt Encrypt P 1 P 2 P N C 1 C 2 C N (a) Encryption Counter 1 Counter 2 Counter N K K K Encrypt Encrypt Encrypt C 1 C 2 C N P 1 P 2 P N (b) Decryption Figure 2.11 Counter (CTR) M ode 52

53 CTR modunun avantajları Donanım verimliliği Şifreleme / şifre çözme, birden fazla blok düz metin veya şifreli metin üzerinde paralel olarak yapılabilir İşleme elde edilen paralellik miktarı ile sınırlıdır Yazılım etkinliği Paralel yürütme fırsatları nedeniyle paralel özellikleri destekleyen işlemciler etkin bir şekilde kullanılabilir Ön İşleme Altta yatan şifreleme algoritmasının uygulanması, düz metin veya şifre metninin girdisine bağımlı değildir --- düz metin veya şifre girişi sunulduğunda, tek hesaplama, bir seri XOR'dur ve işi büyük ölçüde arttırır 53

54 CTR modunun avantajları Rasgele erişim Düz metin veya şifre metninin i. bloğu rastgele erişimli biçimde işlenebilir İspatlanabilir güvenlik CTR'nun, bu bölümde tartışılan diğer modlardan en azından kadar emniyetli olduğu gösterilebilir Basitlik Yalnızca şifreleme algoritmasının uygulanmasını gerektirir ve şifre çözme algoritmasını gerektirmez 54