Bilgisayar ve Ağ Güvenliği

Transkript

1 Bölüm 3. Açık Anahtar Şifreleme ve Mesaj Doğrulama w3.gazi.edu.tr/~suatozdemir

2 Mesaj Doğrulama Şifreleme dinleme gibi pasif saldırılara karşı etkilidir Verinin (veya iletişimin) değiştirilmesini önlemek için farklı bir yönteme ihtiyaç vardır Bu tür saldırıları önlemek için mesaj doğrulama işlemi gerçekleştirilir Mesaj doğrulama iletişim halinde olan iki tarafın karşıdan gelen mesajların doğru olup olmadığını kontrol etmeleri işlemidir İki önemli amacı vardır Mesajı gönderenin kimliğinin doğru olması Mesajın içeriğinin değişmemiş olması 2

3 Mesaj Doğrulama Yaklaşımları Geleneksel şifreleme yöntemleri Tek başına şifreleme yöntemleri mesaj doğrulama için kullanılamaz Sadece gönderen ve alıcı şifreleme anahtarına sahip olmalıdır Mesaj bir sıra numarası ve hata bulma kodu içeriyorsa, alıcı mesajı doğru sırada ve değişim olmadan aldığını kabul edebilir Mesaj zaman damgası içeriyorsa, alıcı mesajı gecikme olmadan aldığını varsayabilir. Şifreleme olmadan Bir mesaj doğrulama etiketi hesaplanarak her mesajın sonuna eklenir Mesaj şifrelenmediği için alıcı tarafından mesaj doğrulama algoritmasından bağımsız olarak okunabilir Mesaj gizliliği sağlanmamış olur 3

4 Message K Transmit MAC algorithm Compare MAC algorithm MAC K Figure 3.1 M essage Authentication Using a M essage Authentication Code (M AC) 4

5 Tek-Yön Özet Fonksiyonları Değişken boyuttaki mesaj M i girdi olarak alır ve sabit boyuttaki mesaj özeti H(M) i çıktı olarak verir Girdi olarak gizli anahtara ihtiyaç duymaz Mesajı doğrulamak için mesaj özeti mesaj ile birlikte gönderilir 5

6 6

7 Güvenli Özet Fonksiyonları Sadece mesaj doğrulama için değil sayısal imzalar için de gereklidir Amaç mesajın veya veri bloğunun bir parmak izini çıkarmaktır 7

8 Güvenli Özet Fonksiyonları Mesaj doğrulamada kullanılabilmesi için bir özet fonksiyonunun aşağıdaki özellikleri taşıması gerekmektedir 1. H her boyuttaki veriye uygulanabilmelidir 2. H sabit boyutta bir çıktı üretebilmelidir 3. Herhangibir x değeri için H(x) i hesaplamak kolay olmalıdır 4. Verilen herhangi bir kod h için H(x)=h eşitliğini sağlayacak x değerini hesaplamak hesaplama açısından mümkün olmamalıdır. Preimage dayanıklı veya tek-yön. 5. Verilen herhangi bir y değeri için H(y)=H(x) eşitliğini sağlayacak x değerini hesaplamak hesaplama açısından mümkün olmamalıdır Çakışmaya dayanıklılığı zayıf. 6. H(y)=H(x) eşitliğini sağlayacak herhangi bir (x,y) çiftini bulmak hesaplama açısından mümkün olmamalıdır Çakışmaya dayanıklılığı güçlü. 8

9 Özet fonksiyonlarının güvenliği Güvenli özet fonksiyonlarına iki farklı yöntemle saldırılabilir Kriptoanaliz Kaba-kuvvet saldırısı Kriptoanaliz algoritmadaki matıksal hataları ortaya çıkartmaya çalışır Kaba kuvvet saldırısına karşı güvenli özet fonksiyonunun gücü özet kodunun uzunluğuna bağlıdır. 9

10 Özet fonksiyonları Tüm özet fonksiyonları inputu n-bitlik bloklar halinde görürür ve işler. Çıktı n bit uzunluğundadır. bit 1 bit 2 bit n block 1 b 11 b 21 b n1 block 2 b 12 b 22 b n2 block m b 1m b 2m b nm hash code C 1 C 2 C n Figure 3.3 Simple Hash Function Using Bitwise XOR 10

11 SHA Güveli özet fonksiyonu SHA NIST tarafından geliştirilmiştir ve 1993'te bir federal bilgi işleme standardı (FIPS 180) olarak yayınlanmıştır 1995 yılında SHA-1 olarak revize edilip ve FIPS olarak yayınlanmıştır. Gerçek standart belgesi "Güvenli Karma Standardı adındadır Tasarımı MD4 algortimasına dayalıdır 160 bitlik karma değerler üretir 2012 de SHA2 kullanılmaya başlanmıştır SHA2 224, 256, 384 or 512 bit çıktı üreten altı farklı özet fonksiyonu kullanır: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224, SHA-512/

12 Karşılaştırma Message Digest Size SH A-1 SHA-224 SH A-256 SHA-384 SHA Message Size < 2 64 < 2 64 < 2 64 < < Block Size Word Size Number of Steps

13 SHA İşlem Basamakları Padding Mesaj uzunluğu sonuna 128 bit eklendiğinde 1024 ün katı olacak şekilde padlenir eklenir Mesaj uzunluğu mesajın sonuna eklenir. Hash Buffer başlangıç değerine atanır. 512 bitilik buffer aşağıdaki 8 tane 64 bitlik register ile tanımlanır bitlik (128 word) blokların işlenmesi. Her bir blok 80 turluk bir işlemden geçirilir 512 bitlik çıktı elde edilir 13

14 L bits N 1024 bits 128 bits Message L 1024 bits 1024 bits 1024 bits M 1 M 2 M N F F F IV = H 0 H 1 H 2 H N 512 bits 512 bits 512 bits hash code + = word-by-word addition mod 2 64 Figure 3.4 M essage Digest Generation Using SHA

15 15

16 Message Schedule 16

17 HMAC SHA1 e dayalı bir MAC fonksiyonu üretmek için büyük bir istek vardır Özet fonksiyonları yazılımla oluşturulan şifreleme algoritmalarından çok daha hızlı çalışmaktadır Gizli bir anahtar kullanmadığından SHA1 yada başka bir özet fonksiyonu doğrudan MAC fonksiyonu olarak kullanılamaz Sıradan bir özet fonksiyonunu MAC fonksiyonu olarak kullnamak için bir çok öneri getirilmiştir En önemli çalışma HMAC RFC 2104 IP Securtiy de kullanımı zorunlu tutulmuştur Diğer birçok internet uygulamasında kullanılır: Transport Layer Security (TLS) and Secure Electronic Transaction (SET) 17

18 HMAC Tasarım Kuralları Hali hazırda var olan özet fonksiyonlarını kullanabilmeli Yeni geliştirilecek olan daha iyi özet fonksiyonlarının kullanımına düşük bir maliyetle izin vermeli Kullandığı özet fonksiyonunun performansını düşürmemeli Anahtarları kolay bir şekilde kullanmalı ve yönetebilmeli Kullandığı özet fonksiyoun taşıdığı güvenlik seviyesini koruyabilmeli 18

19 HMAC 19

20 HMAC K + ipad b bits b bits b bits S i Y 0 Y 1 Y L 1 IV n bits Hash K + opad n bits H(S i M) b bits pad to b bits S o IV n bits Hash n bits HMAC(K, M) Figure 3.6 HM AC Structure 20

21 Blok Şifreleyicilerle MAC Oluşturma Cipher-based Message Authentication Code (CMAC) AES ve DES kullanrak yapılabilir Şifrelenecek mesaj blok boyutunun tam katı olsun Mesaj, n bloğa bölünür (M 1, M 2,..., M n ). CMAC aşağıdaki gibi hesaplanır T: MAC, Tlen: T nin boyutu, MSB s (x): x nin e soldaki s biti Mesaj blok boyutunun tam katı değilse padlenir 21

22 M 1 M 2 M n b K 1 k K Encrypt K Encrypt K Encrypt MSB(Tlen) T (a) M essage length is integer multiple of block size M 1 M 2 M n K 2 K Encrypt K Encrypt K Encrypt MSB(Tlen) T (b) M essage length is not integer multiple of block size Figure 3.7 Cipher-Based M essage Authentication Code (CM AC) 22

23 Counter with Cipher Block Chaining-MAC (CCM) NIST standart SP C Doğrulanmış şifreleme modu olarak adlandırılır. Doğrulanmış şifreleme iletişimlerin gizliliğini ve doğruluğunu aynı anda koruyan şifreleme sistemlerini tanımlamak için kullanılan bir terimdir Şifreleme ve doğrulama için tek bir anahtar kullanılır CTR mode of operation AES encryption algorithm CMAC authentication algorithm Temel Algoritmik Bileşenler 23

24 24

25 Açık Anahtar Şifreleme Yapısı İlk defa Diffie ve Hellman tarafından 1976'da önerilmiştir Bit dizilerindeki basit işlemlere değil, kompleks matematiksel fonksiyonlara dayanmaktadır. Asimetrik - iki ayrı anahtar kullanılmasını gerektiriyor Yanlış bilinenler Açık anahtar şifreleme geleneksel simetrik şifrelemeden daha güvenlidir Açık anahtar şifreleme, geleneksel şifrelemeyi eskimiş hale getiren genel amaçlı bir tekniktir Geleneksel simetrik şifreleme için gerekli olan hantal anahtar dağıtım merkezleriyle karşılaştırıldığında, açık anahtar şifrelemesini kullanırken anahtar dağıtımının önemsiz olduğu düşünülür 25

26 Bobs's public key ring Joy Mike Alice Ted PU a Alice's public key PR a Alice 's private key X Transmitted ciphertext Y = E[PU a, X] X = D[PR a, Y] Plaintext input Encryption algorithm (e.g., RSA) Decryption algorithm Plaintext output Bob (a) Encryption with public key Alice Alice's public key ring Joy Mike Bob Ted PR b Bob's private key PU b Bob's public key X Transmitted ciphertext Y = E[PR b, X] X = D[PU b, Y] Plaintext input Encryption algorithm (e.g., RSA) Decryption algorithm Plaintext output Bob (b) Encryption with private key Alice Figure 3.9 Public-Key Cryptography 26

27 Genel şifreleme işlemleri Her kullanıcı şifreleme/şifre çözme işlemi için bir anahtar çifti oluşturur Her kullanıcı açık anahtarını açık bir şekilde herkesin tarafından erişilmesi için ilan eder. Diğer anahtar gizli tutulur. Kullanıcılar diğer kişilerin açık anahtarlarını kendi anahtarlıklarında saklayabilirler Bob Alice gizli bir mesaj göndermek isterse, mesajı Alice in açık anahtarı ile şifreler ve gönderir Alice mesajı aldığında kendi gizli anahtarını kullanarak şifreyi çözer 27

28 Açık Anahtar Şifreleme Sistem Uygulamaları Açık anahtar sistemleri, biri gizli, diğeri açık olmak üzere iki anahtarlı bir şifreleme olarak karakterize edilebilir. Uygulamaya bağlı olarak, gönderen bazı şifreleme işlevlerini gerçekleştirmek için kendi özel anahtarını, alıcının ortak anahtarını veya her ikisini birden kullanır Üç temel kategori Şifreleme/şifre çözme Sayısal imza Alıcının açık anhtarı ile şifreleme Gönderen kendi gizli anahtarı ile imzalar Anahtar değişimi Iki anahtar da kullanılır 28

29 Açık Anahtar Şifreleme Sistem Uygulamaları Algorithm Encryption/Decryption Digital Signature Key Exchange RSA Yes Yes Yes Diffie-Hellman No No Yes DSS No Yes No Elliptic Curve Yes Yes Yes 29

30 Gereksinimler Şekil 3.9'da gösterilen şifreleme sistemi iki anahtarlı bir şifreleme algoritmasına bağlıdır Diffie ve Hellman aşağıdaki koşullar sağlandığınıda bu sistemin çalıştığını göstermiştir: Bir anahtar çifti oluşturmak hesaplama açısından kolay olmalı Açık anahtar ve mesaj bilindiğinde A göndereni için şifreli metni hesaplamak kolay olmalı Gizli anahtar ve şifreli mesaj bilindiğinde B alıcısı için açık metni hesaplamak kolay olmalı Bir açık anahtardan yola çıkarak ilişkili gizili anahtarı elde etmek hesaplama açısından mümkün olmamalı Bir açık anahtar ve şifreli metinden yola çıkarak açık metni elde etmek hesaplama açısından mümkün olmamalı 30

31 Açık Anahtar Şifreleme Algoritmaları - RSA En çok kullanılan iki açık anahtar algoritması RSA ve Diffie- Hellman dır. İlk halka açık anahtar programlarından biri olan RSA 1977 yılında MIT'de Ron Rivest, Adi Shamir ve Len Adleman tarafından geliştirilmiştir RSA bir blok şifreleyicidir Açık metin ve şifreli metin 0 ile n-1 arasındaki tamsayılardır. Şifreleme ve şifre çözme aşağıdaki şekildedir Hem gönderen hem de alıcı, n ve e değerlerini bilmeli yalnızca alıcı d değerini bilmelidir. Açık anahtar KU={e,n} Gizli anahtar KR={d,n} 31

32 Açık Anahtar Şifreleme Algoritmaları - RSA RSA için aşağıdaki koşulların sağlanması gerekmektedir n den küçük tüm M değerleri için M ed mod n = M şartını sağlayacak e,d,n değerleri bulunabilmeli n den küçük tüm M değerleri için M e ve C d değerleri kolay hesaplanabilmeli e ve n verildiğinde d yi hesaplamak mümkün olmamalı İlk iki gereklilik kolayca karşılanmaktadır. Üçüncü şart e ve n'nin büyük değerleri için karşılanabilir. 32

33 RSA 33

34 Örnek - RSA 1. İki asal sayı, p=17 ve q=11'i seçilir. 2. n = pq = 17 x 11 = 187'yi hesaplanır. 3. ϕ(n)=(p-1) (q-1)=16 x 10=160 hesaplanır. 4. e, ϕ(n)=160 için görece asal ve ϕ(n)'den daha küçük olacak şekilde seçilir: e=7 olsun. 5. de mod 160=1 ve d <160 olacak şekilde d belirlenir. d=23 olur, çünkü 23 7=161=(1 160)+1. Buna göre elde edilen anahtarlar PU={7,187} ve PR={23,187} olur. Aşağıdaki örnek M=88 olan bir düz metin girdisi için bu anahtarların kullanımını göstermektedir. 34

35 Örnek - RSA Encryption Decryption plaintext mod 187 = 11 ciphertext mod 187 = 88 plaintext 88 PU = 7, 187 PR = 23, 187 Figure 3.11 Example of RSA Algorithm 35

36 Örnek - RSA 36

37 RSA için Güvenlik Endişeleri Anahtar uzunluğu nedeniyle kaba kuvvet saldırısı mümkün değildir RSA'nın şifreleme analizi ile ilgili çoğu tartışma, n değerini iki asal çarpanlarına ayrıştırmaya (factoring) yöneliktir. Büyük asal çarpanları olan büyük bir n için factoring zor 428 bit artık güvenli değil 1024 bit önerilen 37

38 Diffie-Hellman Anahtar Değişimi İlk yayınlanan açık anahtar algoritması Bir çok ticari ürün bu anahtar değişim tekniğini kullanmaktadır Algoritmanın amacı, iki kullanıcının gizli anahtarlarını güvenli bir şekilde değiştirmesini sağlamaktır; mesajların şifrelenmesi için de kullanılabilir Algoritmanın kendisi anahtarların değişimi ile sınırlıdır Güvenliği ayrık logaritmaların hesaplanmasının zorluğu üzerine bağlıdır 38

39 Ayrık logaritma Ayrık logaritma daha çok soyut matematik alanında kullanılan bir işlemdir. Döngüsel gruplar (sonlu alanlar) üzerinde tanımlı bir işlemdir b i = a (mod p) eşitliğini sağlayacak i değerini bulma problemi ayrık logaritma problemi olarak bilinir. Bunun için öncelikle p sayısının ilkel kökü (primitive root) olan a sayısı seçilir a eğer p nin ilkel kökü ise a mod p, a 2 mod p,., a p-1 mod p değerleri 1 ve p-1 arasında yer alan tam sayılardır. O halde p den küçük bir b değeri için b=a i mod p (0 i (p-1)) eşitliğini sağlayacak bir i değeri bulunabilir i değeri a mod p tabanında b nin ayrık logatirması olarak adlandırılır 39

40 Diffie-Hellman Anahtar Değişimi Alice ve Bob g alanında tanımlı bir asal (prime) sayı p üzerinde anlaşırlar. Alice gizli bir a sayısı seçer ve Bob a (g a mod p) değerini gönderir. Bob gizli bir b sayısı seçer ve Alice e (g b mod p) değerini gönderir. Alice ((g b mod p) a mod p) değerini hesaplar. Bob ((g a mod p) b mod p) değerini hesaplar. Her ikisi de aynı değeri elde eder. Alice ve Bob, bu değeri kendi anahtarı olarak kullanabilirler. p ve g'nin korunması gerekmediğine dikkat edin. 40

41 Örnek Alice ve Bob p = 23 ve g = 5 olacak şekilde anlaşır. Alice a = 6 seçer ve 5 6 mod 23 = 8 değerini gönderir. Bob b = 15 seçer ve 5 15 mod 23 = 19 değerini gönderir. Alice 19 6 mod 23 = 2 değerini hesaplar. Bob 8 15 mod 23 = 2 değerini hesaplar. 2 değeri gizli anahtar olarak belirlenmiş olur. a, b, p değerlerinin büyük seçilmesi gerek. Saldırgan p ve g bilse ve her bir mesajı elde etse bile bu değeri keşfedemezler. 41

42 42

43 Alice Darth Bob Private key X A public key Y A = X A mod q Y A Y D2 Private keys X D1, X D2 public keys Y D1 = X D1 mod q Y D2 = X D2 mod q Y D1 Secret key K2 = (Y D2 ) X A mod q Secret key K2 = (Y A ) X D2 mod q Private key X B public key Y B = X B mod q Y B Secret key K1 = (Y B ) X D1 mod q Secret key K1 = (Y D1 ) X B mod q Alice and Darth share K2 Bob and Darth share K1 Figure 3.14 M an-in-the-m iddle Attack 43

44 Digital Signature Standard (DSS) FIPS PUB 186 SHA-1'i kullanır ve yeni bir dijital imza tekniği olan Dijital İmza Algoritması'nı (DSA) Başlangıçta 1991'de önerilmiştir ve 1993 ve 1996 da revize edilmiştir Yalnızca dijital imza işlevi sağlamak üzere tasarlanmış bir algoritma kullanır. RSA'nın aksine, şifreleme veya anahtar değişimi için kullanılamaz. 44

45 Digital Signature Sayısal İmza/Digital Signature bir fonksiyonun sonucu olarak veriye bağlı bir bit dizisidir Veri: dosya, mesaj, veri bloğu FIPS aşağıdaki sayısal imza algortimalarından birisini kullanmayı önerir Digital signature algorithm (DSA) RSA digital signature algorithm Elliptic curve digital signature algorithm (ECDSA) 45

46 Elliptic-Curve Cryptography (ECC) Eliptik eğriler üzerine kurulu bir yöntemdir RSA e karşı en büyük avantajı aynı seviyedeki güvenliği daha küçük bir anahtar ile sağlayabilmesidir 46

47 Bob Alice Message M Message M S Cryptographic hash function Cryptographic hash function h Bob s private key h Bob s public key Digital signature generation algorithm Digital signature verification algorithm Message M S Bob s signature for M (a) Bob signs a message Return signature valid or not valid (b) Alice verifies the signature Figure 3.15 Simplified Depiction of Essential Elements of Digital Signature Process 47