Bài giảng An toàn an ninh thông tin - Bài 2: Các hệ mật mã - Bùi Trọng Tùng

1BÀI 2. CÁC HỆ MẬT MÃ Bùi Trọng Tùng, Viện Công nghệ thông tin và Truyền thông, Đại học Bách khoa Hà Nội 1 Nội dung • Mật mã (cipher) là gì? • Nguyên tắc chung của các hệ mật mã • Hệ mật mã khóa đối xứng • Hệ mật mã khóa bất đối xứng 2 1 2 21. MẬT MÃ LÀ GÌ? Bùi Trọng Tùng, Viện Công nghệ thông tin và Truyền thông, Đại học Bách khoa Hà Nội 3 1.1. Khái niệm mật mã • Mã hóa (code): biến đổi cách thức biểu diễn thông tin • Mật mã (cipher): mã hóa để che giấu, giữ mật thông tin • Mật mã học (cryptography): ngành khoa học nghiên cứu các phương pháp toán học để mã hóa giữ mật thông tin • Thám mã (cryptoanalysis): nghiên cứu các phương pháp toán học để phá vỡ hệ mật mã • Là công cụ hiệu quả giải quyết bài toán AT-ANTT Nhưng không phải là công cụ vạn năng • Trong học phần này, chỉ đề cập đến khái niệm cơ bản và cách thức sử dụng các phương pháp mật mã 4 3 4 3Truyền tin bí mật • Bước 1: Trao đổi khóa • Bước 2: Mã hóa dữ liệu 5 Google Mail Lưu trữ thông tin mật 6 Alice Alice Thiết bị lưu trữ Alice “hôm nay” truyền tin bí mật cho Alice “ngày mai” 5 6 4Xây dựng mô hình (mật mã khóa đối xứng) • Alice và Bob đã chia sẻ thông tin bí mật k gọi là khóa • Alice cần gửi cho Bob một thông điệp m (bản rõ-plain text). Nội dung thông điệp cần giữ bí mật trước quan sát của Eve (kẻ tấn công, thám mã) Mã hóa: c = E(k, m) c: bản mã (cipher text) • Alice gửi bản mã lên kênh truyền. Bob và Eve đều thu được thông điệp này. Chỉ có Bob giải mã để thu được bản rõ Giải mã: m = D(k, c) • Mật mã khóa đối xứng: dùng khóa k trong cả hai quá trình mã hóa và giải mã 7 Alice Bob Eve Ứng dụng của mật mã • Giữ bí mật cho thông tin, • và không chỉ vậy • Chữ ký số(Digital Signature) • Liên lạc ẩn danh (Anonymous Communication) • Tiền ẩn danh (Anonymous digital cash) • Bầu cử điện tử (E-voting) 8 7 8 5Một ví dụ - Mật mã Caesar • Julius Caesar đưa ra vào thế kỷ thứ 1 trước CN, sử dụng trong quan sự • Ý tưởng: thay thế một ký tự (bản rõ) trong bảng chữ cái bằng ký tự (bản mật) đứng sau nó 3 (khóa) vị trí. Sử dụng bảng chữ cái vòng A  D, B  E, C  F,..., X  A, Y  B, Z  C • Mô hình hóa bằng toán học(Mã dịch vòng) Khóa 1 ≤ k ≤ 25 Mã hóa: c = (m + k) mod 26 Giải mã: m = (c − k) mod 26 • Dễ dàng bị phá ngay cả khi K thay đổi các giá trị khác 9 Gaius Julius Caesar Mật mã Caesar – Ví dụ • Bảng thay thế • Bản tin gốc (Plaintext – Bản rõ): PARIS • Bản mật (Ciphertext): sdulv • Bản tin gốc: NEWYORK 10 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z K L M N O P Q R S T U V W X Y Z A B C D E F G H I J 9 10 6Lịch sử của mật mã học(Đọc thêm) • Năm 300 TCN, Euclid phát hiện ra số nguyên tố, thuật toán tìm UCLN của 2 số • Mật mã Hy Lạp • Năm 1640 ra đời định lý Fermat nhỏ: = 1 ∀ à ố ê ố, 1 ≤ < và là 2 số nguyên tố cùng nhau 11 Lịch sử của mật mã học • Năm 1798, Gauss tiên đoán về sự quan trọng của việc phân tích hợp số thành các thừa số nguyên tố • Năm 1874, William Stanley Jevons (Anh) đưa ra lời thách thức phân tích hợp số 8616460799. Năm 1903 Derrick Lehmer (Mỹ) có đáp án 12 11 12 7Lịch sử của mật mã học • Năm 1917, Vernam cipher đưa ra ý tưởng mật mã one-time-pad sử dụng phép XOR nhưng chưa được chú ý • Chiến tranh TG lần 1: sử dụng các biện pháp can nhiễu sóng radio khi trao đổi thông tin • Chiến tranh thế giới lần 2: máy Enigma được quân phát xít sử dụng Bị phá mã bởi lực lượng đồng minh 13 Lịch sử của mật mã học • Năm 1945, Claude Shannon xuất bản sách “Communication Theory of Secrecy Systems” • Năm 1949, Claude Shannon công bố lý thuyết Shannon về mật mã hoàn hảo • Năm 1976 mật mã DES ra đời • Tháng 11/1976 Diffie và Hellman công bố bài báo “New Directions in Cryptography” đặt nền móng cho hệ mật mã khóa bất đối xứng • Năm 1977, Ron Rivest, Adi Shamir, Len Adleman giới thiệu mật mã RSA  Fun fact: Hai nhân vật Alice và Bob được giới thiệu 14 13 14 81.2. Một số nguyên lý chung của các hệ mật mã • Hệ mật mã gồm {k, E, D} • Làm cách nào để ngăn cản kẻ khác giải mã? • Định luật Kerckhoffs: “Một hệ mật mã cần an toàn ngay cả khi mọi thông tin về hệ, trừ khóa bí mật, là công khai” • Tại sao? 15 Hệ mật hoàn hảo • Định nghĩa: Hệ mật là hoàn hảo khi và chỉ khi ∀m và ∀c mà Pr(C = c) > 0: Pr(M = m | C = c) = Pr(M = m) • Bổ đề: ∀ cặp m0, m1 có độ dài như nhau, ∀c Pr(C = c | M = m0) = Pr(C = c | M = m1) • Bản mật hoàn toàn không chứa thông tin về bản rõ • Định lý: Một hệ mật mã là hoàn hảo thì ||K|| ≥ ||M|| 16 15 16 9Hệ mật hoàn hảo • Thử thách tấn công biết trước bản rõ(Known plaintext attack) 17 • Kẻ tấn công thắng nếu đoán đúng b’ = b • Hệ mật là hoàn hảo nếu với mọi thuật toán, xác suất kẻ tấn công đoán đúng là P = ½  không thể phân biệt được bản rõ nào đã được mã hóa Thử thách Sinh khóa k Chọn b ∈ {0, 1} c* = E(k, mb) Tấn công Sinh m0, m1 Đoán b’ ∈ {0, 1} m0, m1 c* Lý thuyết Shannon • Định lý: Một hệ mật có ||M|| = ||K|| = ||C|| là hoàn hảo khi và chỉ khi: 1. Xác suất xuất hiện của mọi giá trị khóa k là như nhau 2. Tồn tại duy nhất giá trị khóa k sao cho c = E(k, m) ∀m, ∀c • Có thể chứng minh được rằng định lý trên đưa ra 2 yêu cầu cần cho một hệ mật hoàn hảo: Kích thước khóa k bằng kích thước bản tin m Khóa k chỉ được dùng 1 lần 18 17 18 10 An toàn theo tính toán • Hệ mật hoàn hảo: Không có bất cứ thông tin về bản rõ (plaintext) nào bị lộ ngay cả khi kẻ tấn công có vô hạn tài nguyên tính toán. • Chi phí sử dụng hệ mật hoàn hảo là quá lớn hoặc không khả thi. • Thực tế, chỉ cần hệ mật mã yếu hơn, nhưng đủ mạnh để thỏa mãn đồng thời 2 điều kiện: Chống lại được các phương pháp tấn công trong khoảng thời gian nào đó Kẻ tấn công chỉ có thể thành công với xác suất không đáng kể  Hệ mật an toàn theo tính toán 19 An toàn theo tính toán • Định nghĩa 1: Hệ mật được gọi là an toàn theo tính toán với độ an toàn (t, ε) nếu kẻ tấn công thực hiện phá mã trong thời gian tối đa là t thì chỉ đạt được xác suất thành công tối đa là ε • Ví dụ: Khóa có kích thước n, kẻ tấn công cần phải giải mã thử với 2n giá trị khóa (Tấn công vét cạn). Giả sử rằng mỗi lần thử mất 1 chu kỳ CPU. Nếu t = 100 năm, ε = 2-60 CPU = 16 GHz  n = ? CPU = 16 x 106 GHz  n = ? • Tuy nhiên, ở góc độ lý thuyết, định nghĩa này không dùng cho chứng minh độ an toàn. 20 19 20 11 An toàn theo tính toán • Định nghĩa 2: Một hệ mật được gọi là an toàn theo tính toán nếu với mọi thuật toán tấn công hiệu quả (độ phức tạp tính toán đa thức) thì xác suất thành công là ε không đáng kể Thời gian tấn công: t = poly(n) Xác suất tấn công: ε = f(n) sao cho ε nhỏ tùy ý ∀n ≥ N. Thực tế, xác suất không đáng kể: ε ≤ 2-80 Xác suất đáng kể: ε ≥ 2-30 21 Lý thuyết Shannon (tiếp) • Độ dư thừa của ngôn ngữ: Sự xuất hiện của n ký tự cho phép đoán nhận đúng ký tự xuất hiện tiếp theo với xác xuất p nào đó. • Đối với thám mã: sử dụng phương pháp vét cạn, cần phải thu được tối thiểu u ký tự mật mã để tìm được chính xác khóa. u: khoảng cách unicity (unicity distance)  u càng lớn độ an toàn của hệ càng cao 22 21 22 12 Lý thuyết Shannon (tiếp) • Tính toán khoảng cách unicity = () − () : Kích thước khóa , , : entropy của ký tự. Ví dụ = − ∑ × 2(()): entropy của ký tự bản rõ : xác suất xuất hiện của ký tự trong không gian bản rõ • Nếu khóa và bản mật xuất hiện hoàn toàn ngẫu nhiên, và chung bảng chữ cái: = 2() 2() − () N: số ký tự của bảng chữ cái • Làm thế nào để tăng độ an toàn khi sử dụng mật mã? 23 Thông tin tham khảo – Kích thước khóa • Khóa có kích thước bao nhiêu?  Mật mã được coi là an toàn khi phương pháp vét cạn (brute-force) là cách nhanh nhất để bẻ khóa Mục tiêu: giảm thiểu nguy cơ bị tấn công vét cạn (đạt độ an toàn theo tính toán) • Bạn nghe ở đâu đó, “dễ dàng” bẻ khóa mật mã DES có kích thước khóa 56 bit? Năm 1998, hệ thống phá mã EFF DES (trị giá 250K$) bẻ khóa DES trong khoảng 1 ngày Năm 2006, hệ thống phá mã COPACOBANA (trị giá 10K$) bẻ khóa DES trong 6,4 ngày Sử dụng định luật Moore để tính thời gian bẻ khóa trong năm 2020 với chi phí 10K$? 24 23 24 13 Thông tin tham khảo – Kích thước khóa • Chi phí để bẻ khóa DES (năm 2006) 56 bit: $10.000 87 bit: $100.000.000.000 (thời gian bẻ khóa không đổi) • Cần giữ thông tin mật trong bao lâu khi hệ thống phá mã là COPACOBANA? (năm 2006) 56 bit: 6.4 ngày 128 bit: ? • Tham khảo kích thước khóa nên sử dụng trong tương lai tại địa chỉ 25 Thông tin tham khảo – Kích thước khóa 26 25 26 14 2. Hệ mật mã khóa đối xứng • Symmetric cryptography, Secret-key cryptography: sử dụng cùng một khóa khi mã hóa và giải mã. • Được phát triển từ rất sớm • Thuật toán mã hóa: phối hợp các toán tử Thay thế Đổi chỗ (hoán vị) XOR • Tốc độ thực hiện các thuật toán nhanh, có thể thực hiện bằng dễ dàng bằng phần cứng • Một số hệ mật mã khóa đối xứng hiện đại: DES, 2DES, 3DES, AES, RC4, RC5 27 2.1. Sơ đồ nguyên lý Hệ mật mã gồm: • Bản rõ (plaintext-m): thông tin không được che dấu • Bản mật (ciphertext-c): thông tin được che dấu • Khóa (key- kS): giá trị đã được chia sẻ bí mật • Mã hóa (encrypt-E): c = E(kS, m)  E là hàm ngẫu nhiên • Giải mã (decrypt): m = D(kS, c) D là hàm xác định • Tính đúng đắn D(kS, E(kS, m)) = m 28 27 28 15 Sơ đồ chung 29 Mã hóa Giải mã Kênh truyền Thám mã m kS kS m c c m* kS* Người gửi Người nhận Kẻ tấn công Khóa mã hóa và giải mã giống nhau và được chia sẻ trước Yêu cầu với kS : - Ngẫu nhiên - Chia sẻ một cách bí mật Thám mã • Nhắc lại định luật Kerckhoffs “Một hệ mật mã cần an toàn ngay cả khi mọi thông tin về hệ, trừ khóa bí mật, là công khai” Kẻ thám mã đã biết giải thuật sinh khóa, mã hóa, giải mã • Tấn công chỉ biết bản mật: Kẻ thám mã có các bản mật (ciphertext-only attack) Phương pháp phá mã: thử tất cả các tổ hợp khóa có thể để tìm ra tổ hợp khóa thích hợp. Trong trường hợp không gian khóa lớn thì phương pháp này không thực hiện được. Đối phương cần phải phân tích văn bản mật, thực hiện các kiểm nghiệm thống kê để giảm số lượng trường hợp cần thử. 30 29 30 16 Tấn công biết trước bản rõ • Kẻ tấn công đã có các cặp bản tin (mi, ci) • Phương thức tấn công: Vét cạn Phân tích để đoán giá trị khóa 31 Thám mã (tiếp) • Tấn công biết trước bản rõ (KPA: Known-Plaintext Attack) 32 Thử thách Sinh khóa k Chọn b ∈ {0, 1} c* = E(k, mb) Tấn công Sinh m0, m1 Đoán b’ ∈ {0, 1} m0, m1 c* • Hệ mật chống lại được tấn công KPA (độ an toàn IND-KPA) nếu với mọi thuật toán tấn công hiệu quả thì P(b’ = b) ≤ ½ + ε 31 32 17 Tấn công chọn trước bản rõ • Kẻ tấn công có quyền truy cập không hạn chế vào hệ mã hóa. • Kẻ tấn công lựa chọn một số bản rõ (plaintext) theo ý muốn để mã hóa  nhận được các bản mã tương ứng • Dựa vào các bản mã nhận được thì kẻ tấn công đoán nhận bản tin gốc mà các bên truyền đi / hoặc đoán giá trị khóa 33 Thám mã (tiếp) • Tấn công chọn trước bản rõ (CPA: Chosen-Plaintext Attack) 34 Thử thách Sinh khóa k c = E(k, m) Chọn b ∈ {0, 1} c* = E(k, mb) c’ = E(k, m’) Tấn công Sinh m Sinh m0, m1 Sinh m’ Đoán b’ ∈ {0, 1} m0, m1 c* m c c’ m’ • Hệ mật chống lại được tấn công CPA (độ an toàn IND-CPA) nếu với mọi thuật toán tấn công hiệu quả thì P(b’ = b) ≤ ½ + ε 33 34 18 Tấn công chọn trước bản mật • Tương tự tấn công tấn công CPA, nhưng kẻ tấn công có nhiều quyền hơn • Kẻ tấn có thêm quyền truy cập tùy ý vào hệ giải mã • Kẻ tấn công có thể lựa chọn không giới hạn bản mã c và nhận được bản rõ tương ứng 35 Thám mã (tiếp) • Tấn công chọn trước bản mật (CCA: Chosen-Ciphertext Attack) 36 Thử thách Sinh khóa k Chọn b ∈ {0, 1} c* = E(k, mb) Tấn công Sinh ci, mj Sinh m0, m1 Sinh c’i, m’j (c’i ≠ c*) Đoán b’ ∈ {0, 1} m0, m1 c* ci, mj c’i, m’j • Hệ mật chống lại được tấn công CCA (độ an toàn IND-CCA) nếu với mọi thuật toán tấn công hiệu quả thì P(b’ = b) ≤ ½ + ε mi = D(k, ci) cj = E(k, mj) mi, cj m’i, c’j m’i = D(k, c’i) c’j = E(k, m’j) 35 36 19 Tổng kết - Các phương pháp thám mã • COA < KPA < CPA < CCA 37 2.2. MẬT MÃ CỔ ĐIỂN 38 37 38 20 Mật mã thay thế(Substitution cipher) • Một/một mẫu ký tự được thay thế bằng một/một mẫu ký tự khác. • Mật mã Ceasar • Mật mã dịch vòng (Shift Cipher): mã từng ký tự Khóa: 1 ≤ k ≤ 25 Mã hóa: c = (m + k) mod 26 Giải mã: m = (c − k) mod 26 39 Mật mã thay thế(Substitution cipher) • Mật mã Vigener: mã 1 khối ký tự • Tổng quát: Mã hóa: c[i] = (m[i] + k[i mod lenk]) mod 26 Giải mã: m[i] = (c[i] - k[i mod lenk]) mod 26 lenk: Số ký tự của khóa 40 k = C R Y P T O C R Y P T O m = W H A T A N I C E D A Y T O D A Y C R Y P T (+ mod 26) c = Z Z Z J U C L U D T U N W G C Q S 39 40 21 Mật mã thay thế(Substitution cipher) • Máy rotor (Rotor machine) 41 A B C . . X Y Z K S T . . R N E E K S T . . R N N E K S T . . Rkey Hebern machine Mật mã thay thế(Substitution cipher) • Máy rotor (Rotor machine) 42 Enigma Số lượng khóa? 41 42 22 Phá mã hệ mật mã thay thế(Đọc thêm) • Chỉ có bản mã: Dựa trên phương pháp thống kê • Ví dụ: tiếng Anh 43 Thuộc tính thống kê của tiếng Anh • Phân nhóm ký tự theo tần suất I e II t,a,o,i,n,s,h,r III d,l IV c,u,m,w,f,g,y,p,b V v,k,j,x,q,z • Một vài mẫu ký tự có tần suất xuất hiện cao Bigrams: th, he, in, an, re, ed, on, es, st, en at, to Trigrams: the, ing, and, hex, ent, tha, nth, was, eth, for, dth 44 43 44 23 Ví dụ: Phá mã dịch vòng 45 YKHLBA JCZ SVIJ JZB TZVHI JCZ VHJ DR IZXKHLBA VSS RDHEI DR YVJV LBXSKYLBA YLALJVS IFZZXC CVI LEFHDNZY EVBLRDSY JCZ FHLEVHT HZVIDB RDH JCLI CVI WZZB JCZ VYNZBJ DR ELXHDZSZXJHDBLXI JCZ XDEFSZQLJT DR JCZ RKBXJLDBI JCVJ XVB BDP WZ FZHRDHEZY WT JCZ EVXCLBZ CVI HLIZB YHVEVJLXVSST VI V HXXIKSJ DR JCLI HZXZBJ YZNZXDFEZBJ LB JZXCBDSDAT EVBT DR JCZ XLFCZH ITIJZEIJCVJ PZHZ DBXZ XDBILYXHZYIZKHZ VHZBDP WHZVMVWSZ Ví dụ: Phá mã dịch vòng Ký tự: A B C D E F G Tần suất: 5 24 19 23 12 7 0 Ký tự: H I J K L M N Tần suất: 24 21 29 6 21 1 3 Ký tự: O P Q R S T U Tần suất: 0 3 1 11 14 8 0 Ký tự: V W X Y Z Tần suất: 27 5 17 12 45 46 Z  e fJ=29, fV = 27 fJCZ = 8 ’ the’ J  t, C  h V đứng riêng: V  a Nhóm: {J, V, B, H, D, I, L, C}  {t, a, o, i, n, s, h, r} t a h JZB  te? {teo, tei, ten, tes, ter}: B  n 45 46 24 Ví dụ: Phá mã dịch vòng (tiếp) 47 YKHLnA the SaIt ten TeaHI the aHt DR IeXKHLnA aSS RDHEI DR Yata LnXSKYLnA YLALtaS IFeeXh haI LEFHDNeY EanLRDSY the FHLEaHT HeaIDn RDH thLI haI Ween the aYNent DR ELXHDeSeXtHDnLXI the XDEFSeQLtT DR the RKnXtLDnI that Xan nDP We FeHRDHEeY WT the EaXhLne haI HLIen YHaEatLXaSST aI a HXXIKSt DR thLI HeXent YeNeXDFEent Ln teXhnDSDAT EanT DR the XLFheH ITIteEIthat PeHe DnXe XDnILYXHeYIeKHe aHenDP WHeaMaWSe Nhóm: {J, V, B, H, D, I, L, C}  {t, a, o, i, n, s, h, r} t a n h aI  a? {ao, ai, as, ar}: I  s Ví dụ: Phá mã dịch vòng (tiếp) 48 YKHLnA the Sast ten TeaHs the aHt DR seXKHLnA aSS RDHEs DR Yata LnXSKYLnA YLALtaS sFeeXh has LEFHDNeY EanLRDSY the FHLEaHT HeasDn RDH thLs has Ween the aYNent DR ELXHDeSeXtHDnLXs the XDEFSeQLtT DR the RKnXtLDns that Xan nDP We FeHRDHEeY WT the EaXhLne has HLsen YHaEatLXaSST as a HXXsKSt DR thLs HeXent YeNeXDFEent Ln teXhnDSDAT EanT DR the XLFheH sTsteEsthat PeHe DnXe XDnsLYXHeYseKHe aHenDP WHeaMaWSe Nhóm: {J, V, B, H, D, I, L, C}  {t, a, o, i, n, s, h, r} t a n s h Rút gọn: {H, D, L}  {o, i, r} thLs = th?s {thos, this, thrs}: L  i 47 48 25 Ví dụ: Phá mã dịch vòng (tiếp) 49 YKHinA the Sast ten TeaHs the aHt DR seXKHinA aSS RDHEs DR Yata inXSKYinA YiAitaS sFeeXh has iEFHDNeY EaniRDSY the FHiEaHT HeasDn RDH this has Ween the aYNent DR EiXHDeSeXtHDniXs the XDEFSeQitT DR the RKnXtiDns that Xan nDP We FeHRDHEeY WT the EaXhine has Hisen YHaEatiXaSST as a HXXsKSt DR this HeXent YeNeXDFEent in teXhnDSDAT EanT DR the XiFheH sTsteEsthat PeHe DnXe XDnsiYXHeYseKHe aHenDP WHeaMaWSe Nhóm: {H, D}  {o, r} aHt = a?t {aot, art}: H  r, D  o Ví dụ: Phá mã dịch vòng (tiếp) 50 YKrinA the Sast ten Tears the art oR seXKrinA aSS RorEs oR Yata inXSKYinA YiAitaS sFeeXh has iEFroNeY EaniRoSY the FriEarT reason Ror this has Ween the aYNent oR EiXroeSeXtroniXs the XoEFSeQitT oR the RKnXtions that Xan noP We FerRorEeY WT the EaXhine has risen YraEatiXaSST as a rXXsKSt oR this reXent YeNeXoFEent in teXhnoSoAT EanT oR the XiFher sTsteEsthat Pere onXe XonsiYXreYseKre arenoP WreaMaWSe reason Ror this has Ween reason for this has been this reXent  this recent R  f, W  b, X  c A B C D E F G H I J K L M N O P Q R S T U V W X Y Z n h o r s t i a e 49 50 26 Ví dụ: Phá mã dịch vòng (tiếp) 51 YKrinA the Sast ten Tears the art of secKrinA aSS forEs of Yata incSKYinA YiAitaS sFeech has iEFroNeY EanifoSY the FriEarT reason for this has been the aYNent of EicroeSectronics the coEFSeQitT of the fKnctions that can noP be FerforEeY bT the Eachine has risen YraEaticaSST as a rccsKSt of this recent YeNecoFEent in technoSoAT EanT of the ciFher sTsteEsthat Pere once consiYcreYseKre arenoP breaMabSe of the fKnctions  of the functions of the ciFher  of the cipher K  u, F  p A B C D E F G H I J K L M N O P Q R S T U V W X Y Z n h o r s t i f a b c e 2.3. MẬT MÃ HIỆN ĐẠI 52 51 52 27 Mật mã one-time-pad (OTP) 53 •Vernam (1917) • Kích thước của khóa bằng kích thước của bản rõ • Khóa chỉ dùng 1 lần • Shannon : mật mã OTP là hệ mật hoàn hảo. 0 1 0 1 1 1 0 0 01Key: 1 1 0 0 0 1 1 0 00Plaintext:  1 0 0 1 1 0 1 0 01Ciphertext: Mật mã OTP • Nếu khóa được dùng nhiều hơn 1 lần  mật mã two- time-pad không còn an toàn 54 c1  m1  k c2  m2  k Nếu kẻ tấn công có được bản mã: c1  c2  m1  m2 Nếu kích thước bản tin đủ dài m1  m2  m1 , m2 53 54 28 Tấn công vào tính toàn vẹn của OTP 55 m enc ( ⊕k ) m⊕k dec ( ⊕k ) m⊕p p (m⊕k)⊕p ⊕ From: Bob enc ( ⊕k ) From: Bob ⋯ From: Eve dec ( ⊕k ) From: Eve ⊕ Mật mã dòng (Stream Cipher) • Xử lý văn bản rõ theo dòng byte, thời gian thực RC4 (900 Mbps), SEAL (2400 Mbps), RC5(450 Mbps) • Phù hợp với các hệ thống truyền dữ liệu thời gian thực trên môi trường mạng máy tính • An toàn nếu khóa chỉ dùng 1 lần (one-time-pad) • Trên thực tế, sử dụng hàm sinh khóa giả ngẫu nhiên (PRG - Pseudo Random Generator) G: K  {0, 1}n (len(K) << n) Hàm PRG phải có tính không thể tiên đoán: 56 k G(k) m c ⊕ Với mọi thuật toán hiệu quả, nếu đã biết i bit đầu tiên thì xác suất đoán đúng bit thứ i + 1 là ≤ ½ + ε 55 56 29 Mã RC4 (Rivest Cipher 4) • Rivest Cipher 4: ra đời năm 1987 • Kích thước khóa: 40 hoặc 128 bit • Hoạt động: gồm 2 thuật toán chính Key-scheduling algorithm (KSA): mở rộng khóa mã hóa thành 1 giá trị S có kích thước 256 byte Pseudo-random generation algorithm (PRGA): lựa chọn 1 byte K từ S để XOR 1 byte thông điệp • Hiện không còn an toàn 57 Mã eStream • Phương pháp mật mã dòng mới nhất được thiết kế để thay thế cho các phương pháp mã dòng cũ • Hiện đang được phát triển, chưa công bố thành tiêu chuẩn • Hàm sinh khóa giả ngẫu nhiên: PRG: {0, 1}s × R ⟶ {0,1}n R: giá trị chỉ dùng 1 lần, không lặp lại • Mã hóa: E(k, m ; r) = m ⊕ PRG(k ; r) • Ví dụ: Salsa20 có s = 128 hoặc 256 bit, R có kích thước 64 bit 58 57 58 30 Mật mã khối (Block Cipher) • Xử lý khối dữ liệu có kích thước cố định • Khóa có kích thước cố định • Nguyên lý chung: sử dụng các hàm lặp R(ki, ∙) 59 key expansion key k1 key k2 key k3 key kn key k m R(k1, ∙) R(kn, ∙)R(k3, ∙)R(k2, ∙) cm m1 m2 m3 Mật mã DES - Data Encryption Standard • Kích thước khóa: 56 bit • Kích thước khối dữ liệu: 64 bit • Giải mã giống mã hóa nhưng đảo ngược thứ tự dùng khóa • Không còn an toàn để sử dụng 60 Reverse Initial Permutation Initial Permutation key expansion key k1 key k • • • 6 4 b its 6 4 b its IP-1IP R1 L1 R2 L2 R16 L16 R15 L15 f16 R0 L0 f1 ⊕ f2 • • • ⊕ ⊕ Mạng Fiestel có 16 vòng lặp 56 bits 48 bits key k2 key k16m c 59 60 31 Cải tiến DES • DES trở nên không an toàn do kích thước khóa ngắn • 2DES: Sử dụng 2 khóa DES (k1,k2) = 112 bit Tuy nhiên, 2DES không an toàn hơn đáng kể so với DES vì có thể bị tấn công meet-in-the-middle • 3DES: Sử dụng 2 khóa DES: Sử dụng 3 khóa DES: Sử dụng 3 khóa không an toàn hơn so với sử dụng 2 khóa 61 E(k1,.) E(k2,.) E(k1,.) D(k2,.) E(k1,.) E(k1,.) D(k2,.) E(k3,.) Mật mã AES – Advanced Encryption Standard • Kích thước khóa: 128, 192, 256 bit • Kích thước khối: 128 bit • Số vòng lặp: 10, 12, 14 theo kích thước khóa 62 input 4 4 10 rounds (1) ByteSub (2) ShiftRow (3) MixColumn ⨁ k2 ⋯ k9 ⨁ (1) ByteSub (2) ShiftRow (3) MixColumn ⨁ k1 ⨁ k0 (1) ByteSub (2) ShiftRow output 4 4 ⨁ k10key 16 bytes invertible key expansion: 16 bytes ⟶176 bytes 61 62 32 AES – Hàm lặp (Tham khảo) 63 • ByteSub: • ShiftRows: • MixColumns: Các chế độ mã khối • Electronic Code Book (ECB): Mã từ điển • Hạn chế: ECB không chống lại được tấn công KPA 64 Plain text: Cipher text: m1 m2 c1 c2 ECB 63 64 33 Chế độ CBC - Cipher Block Chaining • Chế độ mã móc xích 65 Mã hóa Mã hóa Mã hóa m[0] m[1] m[2] m[3]IV   Mã hóa  c[0] c[1] c[2] c[3]IV KS KS KS KS CBC chống lại được tấn công CPA nếu IV (Initial Vector) ngẫu nhiên CBC – So sánh với ECB 66 Ảnh gốc Mã hóa ở chế độ ECB Mã hóa ở chế độ CBC 65 66 34 Tấn công CPA khi đoán được IV 67 Thử thách Sinh khóa k c = [IV, E(k, IV)] Chọn b ∈ {0, 1} b = 0  c* = [IV*, E(k, IV)] b = 1  c* = [IV*, E(k, m1  IV*)] Tấn công Sinh m = 0 Sinh m0 = IV*  IV m1 ≠ m0 Nếu c* = c đoán b’ = 0 Ngược lại b’ = 1 m0, m1 c* m = 0 c • Giả sử kẻ tấn công đoán được giá trị IV* CBC – Giải mã 68 Giải mã Giải mã Giải mã c[0] c[1] c[2] c[3]IV   Giải mã  m[0] m[1] m[2] m[3]IV KS KS KS KS 67 68 35 CBC Padding • Khi kích thước bản tin gốc không chia hết cho một khối: r = Len(message) mod Len(block) Phần đệm có kích thước Len(block) – r • Khi kích thước bản tin gốc chia hết cho 1 khối: thêm phần đệm có kích thước là 1 khối • Giá trị phần đệm khác nhau với mỗi chuẩn Không dùng chuỗi bit 0 để làm phần đệm • Chuẩn PKCS#7: Nếu cần đệm n byte thì dùng phần đệm là chuỗi byte có giá trị mỗi byte là n 69 Khối cuối n n n Phần đệm: n byte Chế độ CTR – Counter Mode • Initial Vector: 2 phương pháp sử dụng Giá trị ngẫu nhiên Sử dụng giá trị dùng 1 lần (nonce): counter = 0 • Mã hóa 70 nonce n bits counter n/2 bits n/2 bits m[0] m[1] E(k,IV) E(k,IV+1) m[L] E(k,IV+L)  c[0] c[1] c[L] IV IV msg ciphertext Nếu IV lặp lại, chế độ CTR không an toàn 69 70 36 Độ an toàn của các chế độ mã • Khóa được dùng nhiều lần  giảm độ an toàn • Nếu gọi: q: số bản tin được mã hóa cùng với khóa không đổi L: số khối dữ liệu có trong bản tin dài nhất |X|: Số lượng giá trị có thể của 1 khối dữ liệu • Chế độ CBC an toàn trước tấn công CPA khi q2*L2 << |X| • Chế độ CTR an toàn trước tấn công CPA khi q2*L << |X| • Để xác suất tấn công là không đáng kể (≤ 2-80) thì sau bao nhiêu khối phải đổi khóa? • Tất cả các chế độ mã đã đề cập không an toàn trước tấn công CCA 71 Tấn công vào mật mã khối • Tấn công vét cạn (Exhaustive Search): Kẻ tấn công thử mọi giá trị khóa k khi có được một vài cặp (mi, ci) DES: Với 2 cặp, xác suất tìm được đúng khóa k là ~ 1 – 1/271 với thời gian vét cạn 256 giá trị AES-128: Với 2 cặp, xác suất tìm được đúng khóa k là ~ 1 – 1/2128 với thời gian vét cạn 2128 giá trị Sử dụng tính toán lượng tử: thời gian vét cạn còn T1/2 sử dụng AES-256 72 1976 DES adopted as federal standard 1997 Distributed search 3 months 1998 EFF deep crack 3 days $250,000 1999 Distributed search 22 hours 2006 COPACOBANA (120 FPGAs) 7 days $10,000 71 72 37 Tấn công vào mật mã khối • Tấn công vét cạn (Exhaustive Search): Kẻ tấn công thử mọi giá trị khóa k khi có được một vài cặp (mi, ci) DES: Với 2 cặp, xác suất tìm được đúng khóa k là ~ 1 – 1/271 với thời gian vét cạn 256 giá trị AES-128: Với 2 cặp, xác suất tìm được đúng khóa k là ~ 1 – 1/2128 với thời gian vét cạn 2128 giá trị Sử dụng tính toán lượng tử: thời gian vét cạn còn T1/2 sử dụng AES-256 • Tấn công tuyến tính (Linear Attack): Kẻ tấn công tính toán khóa k khi có rất nhiều cặp (mi, ci) DES: Với 242 cặp có thể tìm thấy khóa K trong thời gian 243 AES-256: Với 299 cặp có thể tìm thấy khóa K trong thời gian 299 73 Tấn công vào mật mã khối • Tấn công kênh bên (side-channel attack): phán đoán giá trị các bit khóa bằng cách ước lượng thời gian, lượng điện năng tiêu thụ, bức xạ điện từ khi mã hóa, giải mã Ví dụ: phương pháp tấn công DES của Kocher và Jaffe năm 1998 • Tấn công dựa vào lỗi (Fault attacks): lỗi xảy ra ở vòng lặp cuối cùng sẽ làm lộ thông tin về khóa 74 73 74 38 2.4. Những hạn chế của mật mã khóa đối xứng • Cần kênh mật để chia sẻ khóa bí mật giữa các bên Làm sao để chia sẻ một cách an toàn cho lần đầu tiên • Quá trình trao đổi khóa, dữ liệu đòi hỏi cả 2 bên đều online Giải pháp sử dụng bên thứ 3 tin cậy (trusted 3rd party) có giải quyết được vấn đề? • Số lượng khóa lớn: n(n-1)/2 • Không dễ dàng để xác thực thông tin quảng bá (Chúng ta sẽ quay trở lại vấn đề này trong những bài sau) 75 3. Hệ mật mã khóa bất đối xứng • Asymmetric key cryptography, Public key cryptography • Sử dụng một cặp khóa: Khóa công khai kU: Công bố cho tất cả cùng biết Khóa cá nhân kR: Chỉ chủ sở hữu biết, giữ bí mật Mã hóa bằng khóa này thì giải mã bằng khóa còn lại. • Cơ sở an toàn: Dựa trên một số bài toán không có lời giải trong thời gian đa thức • Ví dụ: Phân tích một số thành thừa số nguyên tố • Các thuật toán dựa trên các hàm toán học • Một số hệ mật mã khóa công khai: RSA, El-Gamal, Eliptic Curve Cipher (ECC) 76 75 76 39 Sơ đồ nguyên lý 77 • Hệ mật mã gồm: Bản rõ (plaintext-m): thông tin không được che dấu Bản mật (ciphertext-c): thông tin được che dấu • Khóa: Bên nhận có 1 cặp khóa (kUB, kRB) • Mã hóa (encrypt-E): c = E(kUB, m) Là hàm ngẫu nhiên • Giải mã (decrypt): m = D(kRB, c) Là hàm xác định • Tính đúng đắn: D(kRB, E(kUB, m)) = m • Nếu hệ mật mã KCK an toàn trước tấn công KPA thì cũng an toàn trước tấn công CPA Sơ đồ nguyên lý (tiếp) 78 Mã hóa Giải mã Kênh truyền Thám mã m kUB kRB m c c m* k*RB Người nhận (B) Kẻ tấn công Người Gửi (A) Khóa mã hóa và giải mã khác nhau Làm thế nào để B gửi tin một cách bí mật cho A? 77 78 40 Một ví dụ - Hệ mật RSA • Sinh khóa: Chọn p,q là hai số nguyên tố Tính n = p  q , (n) = (p-1)(q-1) Chọn e sao cho UCLN((n), e) = 1 ;1< e < (n) Tính d sao cho (e  d) mod (n) =1; 1 < d < (n) Khóa công khai : kU = (e,n) Khóa riêng : kR = (d,n) • Mã hóa : c = me mod n • Giải mã: m = cd mod n 79 Một ví dụ - Hệ mật RSA • Sinh khóa:  Chọn p = 5, q = 11 Tính n = p × q = 55, (n) =(p-1)×(q-1) = 40 Chọn e sao cho UCLN((n), e) = 1 và 1 < e < (n) VD: e = 7  Tính d sao cho (e × d) mod (n) = 1, 1 < d < (n) d = 23 Cặp khóa : kU = (7,55), kR = (23,55) • Mã hóa: m = 6  c = me mod n = 67 mod 55 = 41 • Giải mã: c = 41  m = cd mod n = 4123 mod 55 = 6 80 Nếu kẻ tấn công có kU, làm thế nào để tính kR? 79 80 41 Những vấn đề của mật mã RSA • Bản tin gốc m có kích thước nhỏ  kẻ tấn công có thể thực hiện kiểm tra vét cạn để xác định bản tin gốc. m ≤ n1/e với e đủ nhỏ • Giá trị e nhỏ cho phép kẻ tấn công xác định được các bản tin gốc nếu chúng có liên quan với nhau • Giá trị e nhỏ cho phép kẻ tấn công đoán nhận được bản tin gốc nếu bản tin đó được mã hóa và gửi tới nhiều đích 81 RSA-OEAP (Chuẩn PKCS#1 v2.0) • Nếu bản tin m được mã 2 lần với cùng khóa k thì nội dung bản mã không thay đổi  không chống được tấn công KPA  không an toàn • RSA-OEAP: sử dụng thêm khối đệm(padding) và giá trị ngẫu nhiên trong quá trình mã hóa • Chống lại được tấn công CCA • Xử lý bản m trước khi mã hóa: r: giá trị ngẫu nhiên G, H: hàm băm • Mã hóa: X = (m || padding) XOR G(r) Y = H(X) XOR r Mã hóa (X||Y) || : Phép nối 82 81 82 42 Độ an toàn của RSA 83 Tấn công vào RSA • Tấn công kênh bên: quan sát quá trình giải mã Phân tích thời gian [Kocher et al. 1997]: quá trình giải mã có thể lộ thông tin về khóa riêng Phân tích mức độ tiêu thụ năng lượng [Kocher et al. 1999] Phân tích tiếng ồn phát ra từ CPU [Daniel Genkin et al. 2013] • Tấn công dựa vào lỗi tính toán • Tấn công do sinh khóa không ngẫu nhiên: Giả sử quá trình sinh khóa sử dụng p1 = p2 nhưng q1 ≠ q2  UCLN(N1, N2) = p Thực tế: 0.4% số lần sinh khóa ra trong giao thức HTTPS gặp lỗi trên 84 x = C for j = 1 to n x = mod(x2, N) if dj == 1 then x = mod(xC, N) end if return x 83 84 43 3.3. Kết hợp mật mã khóa công khai và mật mã khóa đối xứng • Ưu điểm của mật mã khóa công khai:  Không cần chia sẻ khóa mã hóa kUB một cách bí mật  Khóa giải mã kRB chỉ có B biết: An toàn hơn Có thể sử dụng kRB để xác thực nguồn gốc thông tin (Chúng ta sẽ quay lại vấn đề này trong bài sau)  Số lượng khóa để mã mật tỉ lệ tuyến tính với số phần tử (n phần tử  n cặp khóa) • Nhưng... 85 3.3. Kết hợp mật mã khóa công khai và mật mã khóa đối xứng • Hạn chế của mật mã khóa công khai so với mật mã khóa đối xứng:  Kém hiệu quả hơn: khóa có kích thước lớn hơn, chi phí tính toán cao hơn Có thể bị tấn công toán học  Kết hợp 2 hệ mật mã 86 85 86 44 Sơ đồ “lai” 87 Mã hóa KĐX Thông điệp (bản rõ) Mã hóa KCKkS Khóa được mã hóa Thông điệp được mã hóa B ả n m ã kUB Nguồn khóa bí mật • Phía gửi Tự suy luận cách thức xử lý của phía nhận như là một bài tập! Những sai lầm khi sử dụng mật mã • Lỗ hổng trên HĐH Android được phát hiện vào năm 2013 cho thấy quá trình sinh khóa không đủ ngẫu nhiên Các ứng dụng sử dụng cơ chế mã hóa bị ảnh hưởng, trong đó có các ứng dụng sử dụng Bitcoin để thanh toán • Lỗ hổng trên Chromebooks: sinh giá trị ngẫu nhiên chỉ có 32 bit thay vì 256 bit • Coi mật mã là giải pháp vạn năng (những bài sau chúng ta sẽ phân tích kỹ hơn) • Sửa đổi/Thêm một vài yếu tố bí mật vào giải thuật, hệ mật mã sẽ an toàn hơn • Sử dụng các hàm ngẫu nhiên của ngôn ngữ lập trình 88 87 88 45 Những sai lầm khi sử dụng mật mã • Không thay đổi giá trị IV(Initial Vector) • Sử dụng chế độ mã từ điển (ECB) • Case study: Lỗi sử dụng mật mã trong các ứng dụng Android (2013) Phân tích 11.748 ứng dụng 89 Một số lưu ý khác • Chỉ sử dụng thuật toán chuẩn và các thư viện lập trình được phê chuẩn: OpenSSL, Bouncy Castle, Libgcrypt, RSA BSAFE, wolfCrypt • Nếu có thể, sử dụng các thuật toán mạnh nhất • Nếu phải sinh khóa từ một giá trị cho trước, sử dụng hàm PBKDF2() • Sử dụng mật mã theo tiêu chuẩn. Ví dụ: PKCS, FIPS • Cẩn trọng khi không gian bản gốc là hẹp và chúng có sự khác biệt về kích thước 90 89 90