Wykład 1 – podstawowe pojęcia i definicje

Spis treści:
Wykład 1 – podstawowe pojęcia i definicje....................................................................... 1
Wykład 2 – Kryptografia, algorytmy historyczne.............................................................. 2
Wykład 3 i 4 – Elementy kryptoanalizy............................................................................. 4
Wykład 5 i 6 – Algorytmy blokowe................................................................................... 5
Wykład 7 i 8 – algorytmy strumieniowe............................................................................ 9
Wykład 9,10,11 – kryptografia asymetryczna ................................................................. 11
Wykład 12 - Jednokierunkowe funkcje skrótu i ich zastosowania .................................. 12
Wykład 1 – podstawowe pojęcia i definicje
1. Dwa aspekty bezpieczeństwa systemów informacyjnych
a. Safety – system nie stanowi zagroŜenia dla środowiska, w którym działa
b. Security – gromadzone, przetwarzane i przesyłane przez system dane oraz inne
zasoby nie mogą być wykorzystywane w sposób niezgodny z dedykowanym
przez właściciela im przeznaczeniem
2. Źródła zagroŜeń dla danych: heterogeniczność, wielodostępność systemów.
3. Główny cel ochrony – ochrona informacji gromadzonej, przetwarzanej i wysyłanej.
4. Rola systemów ochrony informacji wzrasta wraz ze zmianą modelu gospodarki (globalizacja,
zmiana zaleŜności pomiędzy podmiotami, zmiana typu pracownika, zwiększenie
się roli informacji w funkcjonowaniu organizacji) i ze zmianą wykorzystywanego
przez organizacje środowiska informatycznego (powszechne wykorzystanie sieci,
handel elektroniczny, biznes elektroniczny).
5. Ochrona informacji polega na ochronie następujących jej atrybutów:
a. Poufność (niedostępność treści danych dla wszystkich nieuprawnionych podmiotów;
mechanizmy wspierające: poziomy bezpieczeństwa, szyfrowanie danych;
mechanizmy wspierające aspekt poufności powinny równieŜ umoŜliwiać
identyfikację prób jego naruszenia)
b. Integralność (dane nie mogą być zmieniane w sposób nieuprawniony, przez
podmioty nieuprawnione – modyfikacja danych nie mui się wiązać z utratą poufności;
mechanizmy wspierające: funkcje skrótu, system korekcji błędów,
procedury uwierzytelniania; przyczyny utraty integralności: ingerencja nieupowaŜnionych
podmiotów, zaniedbania, błędy transmisji i przetwarzania;
system powinien być w stanie wykryć próbę naruszenia integralności danych;
integralność i poufność powinny być zapewnione zarówno w przypadku przechowywania
danych jak i ich przetwarzania i przesyłania).
c. Dostępność (moŜliwość korzystania z systemu w sposób zdefiniowany w polityce
przez uprawnionych uŜytkowników; przyczyny utraty dostępności: awaria
systemu przetwarzania, transmisji, składowania danych, błędy uŜytkowników,
celowy atak niektórych podmiotów; system powinien mieć moŜliwość wykrywania
prób naruszenia dostępności, bo atak na dostępność moŜe być pierwszym
etapem ataku na poufność i integralność; mechanizmy wspierające wła-
1

ściwie zaprojektowany system, monitorowanie stopnia zuŜycia zasobów systemowych,
monitorowanie ruchu w sieci)
d. Spójność (konieczność zapewnienia zgodności danych pomiędzy sobą gdy są
przechowywane w róŜnych miejscach oraz pomiędzy ich zapisem a stanem
rzeczywistym, dotyczy przewaŜnie baz danych; warunki statyczne – określają
zaleŜność pomiędzy danymi w kaŜdym stanie bazy danych, warunki dynamiczne
– określają reguły zmiany stanów; przyczyny utraty spójności: niepoprawne
operacje, niewłaściwa synchronizacja, awaria systemu; mechanizmy
wspierające spójność: właściwe zarządzanie transakcjami, odtwarzanie bazy w
przypadku awarii; integralność to nie jest to samo co spójność)
6. Zapewnienie bezpieczeństwa informacji jest: procesem ograniczenia ryzyka lub prawdopodobieństwa
utraty, problemem typu najsłabszego ogniwa, wymaga ustanowienia
kompromisu pomiędzy środkami, kosztami i łatwością wykorzystania.
7. Ochrona bezpieczeństwa wymaga zdefiniowania i wykorzystania mechanizmów dla
kaŜdego z następujących aspektów bezpieczeństwa:
a. Dostęp (określa metody uzyskiwania informacji, definiuje ścieŜki na których
występują dane)
b. Identyfikacja (zdolność do jednoznacznego rozróŜniania podmiotów, sama
identyfikacja nie daje pewności, Ŝe ten kto korzysta z danego identyfikatora
jest w rzeczywistości tym, za kogo się podaje – brak weryfikacji toŜsamości)
c. Uwierzytelnianie (zdolność do wykazania, Ŝe podmiot, za którego się podaje,
jest autentyczny)
d. Autoryzacja (zdolność do określenia zbioru dozwolonych operacji w systemie
dla danego identyfikatora podmiotu).
8. Dodatkowe aspekty bezpieczeństwa:
a. Rozliczalność (zdolność powiązania działań z tymi, którzy je wykonali, wiąŜe
się z koniecznością monitorowania procesów, umoŜliwia identyfikację podmiotów
w sposób niezaprzeczalny)
b. Uświadomienie (poziom zrozumienia procesów bezpieczeństwa i sposobów
ich stosowania, prezentowany przez społeczność uŜytkowników)
c. Administrowanie (proces zarządzania bezpieczeństwem systemu, który wpływa
na standardowe administrowanie systemem informacyjnym)
Wykład 2 – Kryptografia, algorytmy historyczne
1. Kryptografia – ogół wiedzy o metodach matematycznych związanych z takimi
aspektami bezpieczeństwa, jak poufność, integralność i uwierzytelnianie. Kryptoanaliza
– ogół wiedzy o metodach matematycznych przełamywania (osłabiania, pokonywania)
usług związanych z bezpieczeństwem informacji realizowanych metodami
kryptograficznymi. Kryptologia: kryptografia + Kryptoanaliza.
2

2. Zadania związane z kryptografią: poufność, integralność (pewność, Ŝe wiadomość nie
będzie modyfikowana przez nieuprawnione osoby), uwierzytelnianie (potwierdzenie
toŜsamości podmiotu), podpis cyfrowy, autoryzacja, walidacja, anonimowość (ukrywanie
toŜsamości podmiotu zaangaŜowanego w pewien proces), niezaprzeczalność
(zapobieganie odmowom pewnych ustaleń), znakowanie czasem, poświadczenie, certyfikacja.
3. Szyfrowanie – tworzenie kryptogramu (tekstu zaszyfrowanego) na podstawie jawnego
tekstu źródłowego i klucza (kluczy) kryptograficznego. Deszyfrowanie – odtwarzanie
tekstu jawnego na podstawie klucza (kluczy) kryptograficznego przez podmiot
uprawniony do odbioru wiadomości. Klucz kryptograficzny – informacja wykorzystywana
w procesie szyfrowania (i / lub deszyfrowania) do utajniania / odtwarzania
wiadomości jawnej. Adwersarz – podmiot, który w dwustronnej wymianie informacji
nie jest ani odbiorcą, ani nadawcą, ale stara się bezpieczeństwo wymiany informacji
na róŜne sposoby. Kanał fizycznie bezpieczny – kanał, który nie jest fizycznie dostępny
dla adwersarza. Kanał niezabezpieczony – umoŜliwia adwersarzowi manipulowanie
przesyłaną informacją. Szyfr bezwarunkowo bezpieczny – niezaleŜnie od
ilości przechwyconej informacji gwarantuje ochronę tekstu jawnego. Szyfr bezpieczny
obliczeniowo – nie moŜna go przełamać przy zastosowaniu systematycznej analizy
z wykorzystaniem dostępnych zasobów.
4. Steganografia – dział wiedzy zajmujący się utajnianiem wiadomości przez ukrycie jej
w pewnych danych. Steganografię stosuje się zwykle w celu ukrycia samego faktu porozumiewania
się. Steganografia techniczna: stosowanie niewidzialnego atramentu,
nakłuwanie literek większego komunikatu szpilką (sekwencja kolejnych liter lub sylab
tworzy ukrytą wiadomość).
5. Zasada Kerckhoffsa – najprostsze z metod szyfrowania opierają swoją siłę na tajności
procedury szyfrowania. KaŜdy, kto pozna tę regułę moŜe bez trudu (w skończonym,
relatywnie krótkim czasie) odtworzyć wiadomość z kryptogramu. Szyfry najczęściej
spotykane współcześnie w systemach informatycznych opierają swoją siłę nie na
tajności algorytmu lecz na tajności klucza. Algorytm szyfrowania i deszyfrowania
jest jawny. Algorytm powinien być publicznie znany – ułatwia ocenę, dyskusję i
znajdowanie słabych punktów.
6. Algorytmy symetryczne (podstawieniowe) – dla kaŜdej pary kluczy (e, d) „obliczeniowo
łatwe” jest znalezienie na podstawie znajomości jednego z kluczy, drugiego
klucza.
a. Monoalfabetyczne: dla kaŜdego klucza definiuje się przekształcenie szyfrujące:
E=(e(m1), e(m2), …, e(mN)) = (c1, c2, …, cN). Kluczem deszyfrującym jest
takie przekształcenie d=e -1 , Ŝe:
D(c) = (d(c1), d(c2), …, d(cN)) = (m1, m2, …, mN).
b. Polialfabetyczne: dla kaŜdego klucza definiuje się przekształcenie szyfrujące:
E=(p1(m1), p2(m2), …, pN(mN)) = (c1, c2, …, cN).
Kluczem deszyfrującym jest takie przekształcenie d=e -1 , Ŝe:
D(c) = (p1 -1 (c1), p2 -1 (c2), …, pN -1 (cN)) = (m1, m2, …, mN).
c. Poligramowe: bloki o długości t znaków są przekształcane w bloki kryptogramu
tej samej długości za pomocą przekształcenia liniowego:
c1 = (m1k11 + m2k12 + … + mtk1t) mod n
c1 = (m1k21 + m2k22 + … + mtk2t) mod n
……………………………………
3

c1 = (m1k1t + m2kt2 + … + mtktt) mod n
W zapisie macierzowym: C = KM mod n
d. Homofoniczny szyfr podstawieniowy – zastępuje kaŜdy symbol wiadomości
jawnej losowo wybranym ciągiem c ze zbioru H(a), gdzie H(a) jest zbiorem
homofonów dla znaku a. Szyfry homofoniczne wyŜszych stopni – kryptogram
utworzony przy pomocy takiego szyfru moŜna odszyfrować do więcej niŜ jednego
sensownego tekstu jawnego, w zaleŜności od uŜytego klucza szyfrowania.
7. Algorytmy permutacyjne (przestawieniowe) – dla kaŜdego klucza e definiuje się
przekształcenie szyfrujące E=(m1, m2, …, mN) = (c1, c2, …, cN). Kluczem deszyfrującym
jest takie przekształcenie d=e -1 , Ŝe: D(c) = (c1, c2, …, cN) = m.
Wykład 3 i 4 – Elementy kryptoanalizy
1. Podstawowym zadaniem kryptografii jest utrzymanie w tajemnicy tekstu jawnego,
bądź klucza, bądź obu elementów jednocześnie przed atakującymi (przeciwnikami),
którzy chcą uzyskać dostęp do tekstów przesyłanych w kanale komunikacyjnym.
2. Kryptoanaliza jest nauką o odtwarzaniu tekstu jawnego bez znajomości klucza. Zajmuje
się równieŜ wyszukiwaniem słabych punktów systemów kryptograficznych oraz
punktów, które mogą pozwolić na znalezienie sposobu poznania tekstu jawnego lub
klucza.
3. Utrata tajności klucza w sposób inny niŜ przy pomocy metod krypto analitycznych jest
nazywana kompromitacją klucza.
4. Kryptoanaliza zakłada, Ŝe bezpieczeństwo algorytmu jest oparte na kluczu. Kryptoanalityk
zna wszystkie szczegóły algorytmu szyfrowania oraz jego implementację. ZałoŜenie
takie jest fałszywe w wielu realnych systemach/
5. Oznaczenia: Ci – ity kryptogram, Mi – ity tekst jawny, K – klucz, EK – operacja szyfrowania
za pomocą klucza K, DK – operacja deszyfrowania za pomocą klucza K.
6. WyróŜnia się główne metody łamania szyfrów:
a. Łamanie z kryptogramami – Kryptoanalityk dysponuje kryptogramami kilku
wiadomości, zaszyfrowanych z zastosowaniem tego samego algorytmu szyfrującego;
zadanie polega na odtworzeniu tekstu jawnego, moŜliwie wielu wiadomości
lub na poznaniu klucza zastosowanego do zaszyfrowania.
b. Łamanie ze znanym tekstem jawnym – Kryptoanalityk dysponuje nie tylko
kryptogramami kilku wiadomości lecz takŜe ich tekstami jawnymi. Zadanie
polega na znalezieniu klucza zastosowanego do szyfrowania lub teŜ wydedukowania
algorytmu do deszyfrowania kolejnych wiadomości zaszyfrowanych
tym kluczem. Najpopularniejsza metoda.
c. Łamanie z wybranym tekstem jawnym – Kryptoanalityk ma moŜliwość wybrania
tekstu jawnego i ma dostęp do jego kryptogramu. Zadaniem kryptoanalityka
jest wywnioskowanie klucza (kluczy) zastosowanego do zaszyfrowania
4

lub wydedukowaniu algorytmu do deszyfrowania kolejnych wiadomości zaszyfrowanych
tym samym kluczem.
d. Łamanie z adaptacyjnie wybranym tekstem jawnym – Kryptoanalityk moŜe
nie tylko wybrać dowolny tekst jawny do szyfrowania, ale takŜe wykonać kolejne
próby, dobierając tekst jawny zgodnie z wynikami poprzednich szyfrowań.
Przy łamaniu z wybranym tekstem jawnym łamiący moŜe wybrać do szyfrowania
jeden duŜy blok tekstu jawnego. Przy łamaniu z adaptacyjnie wybranym
tekstem jawnym moŜe wybrać mniejszy blok tekstu jawnego, potem wybrać
inny, biorąc pod uwagę skutki poprzedniego wyboru.
e. Łamanie z wybranym kryptogramem – Kryptoanalityk moŜe dobierać róŜne
kryptogramy do deszyfrowania i mieć dostęp do odszyfrowanego tekstu jawnego.
Gdy ma sprawdzoną metodę automatycznego deszyfrowania jego zadanie
sprowadza się do znalezienia klucza.
f. Łamanie z wybranym kluczem – Kryptoanalityk posiada pewną wiedzę o
powiązaniach między kluczami.
7. Całkowite złamanie szyfru – Kryptoanalityk znajduje taki klucz K, Ŝe DK(C) = M.
Ogólne wnioskowanie – Kryptoanalityk znajduje alternatywny algorytm, równowaŜny
z algorytmem DK(C), nie wymagającym poznania K. Lokalne wnioskowanie – Kryptoanalityk
znajduje tekst jawny przechwyconego kryptogramu. Częściowe wnioskowanie
– Kryptoanalityk zdobywa nieco informacji o kluczu i tekście jawnym. Informacją
tą moŜe być kilka bitów klucza lub informacja o formacie tekstu jawnego.
8. Tylko algorytmów z kluczem jednorazowym nie moŜna złamać dysponując nieograniczonymi
zasobami. Wszystkie inne systemy moŜna złamać podstawiając po kolei
wszystkie klucze i sprawdzając czy otrzymany tekst jest sensowny (brute force).
Kryptografia zajmuje się przede wszystkim systemami, których nie da się złamać obliczeniowo
9. ZłoŜoność metody łamania moŜna mierzyć kilkoma sposobami: złoŜoność danych,
złoŜoność przetwarzania, złoŜoność pamięciowa.
10. DuŜa przestrzeń klucz jest konieczna do złamania szyfru, ale nie jest wystarczająca.
Mogą występować tzw. Ataki skrócone. Prawie nigdy nie da się udowodnić, Ŝe taki
atak nie jest moŜliwy.
11. Jeśli przyjmiemy, Ŝe k to długość klucza, a T to czas wykonywania pojedynczej operacji
to maksymalny czas łamania szyfru wynosi 2 k T. Większość kluczy zostaje znalezionych
w połowie czasu, zatem czas ten wynosi 2 k-1 T.
12. Kryptoanaliza stosowana koncentruje się na atakach, które są w stanie uzyskać tekst
jawny. Kryptografia teoretyczna koncentruje się na pokazaniu słabości algorytmu.
Wykład 5 i 6 – Algorytmy blokowe
1. Szyfry blokowe dzielą tekst jawny na bloki o stałej długości i wynikowy kryptogram
ma taką samą długość. Algorytmy blokowe mogą pracować w róŜnych trybach. Przypominają
algorytmy podstawieniowe w duŜej skali. Większość symetrycznych algorytmów
blokowych opiera się o Strukturę Feistela.
5

2. Algorytmy blokowe propagują błędy w pewnym ograniczonym zakresie lecz ze
względu na swoją elastyczność i moŜliwość pracy w róŜnych trybach są najczęściej
wykorzystywane do ochrony róŜnych atrybutów danych. Własności atrybutów blokowych
są zaleŜne równieŜ od wybranego trybu pracy.
3. Algorytmy blokowe są współczesną wersją ksiąŜek kodowych. Algorytm jest zestawem
wielu ksiąŜek kodowych, wspólny klucz wymusza uŜycie jednej ksiąŜki, zmiana
klucza powoduje wybór innej ksiąŜki.
4. Dwie główne zasady szyfrowania: mieszanie (konfuzja) – oznacza rozmycie zaleŜności
pomiędzy tekstami jawnymi, a ich zaszyfrowanymi odpowiednikami; i rozpraszanie
(dyfuzja) – oznacza rozłoŜenie zawartych w tekście jawnym informacji w całym
tekście szyfrowanym.
5. Sieci Feistela – implementacja koncepcji Shanonna dotycząca przestawień i podstawień,
blok wejściowy dzielony na dwie części, przetwarzanie wielokrotnie w procesie
algorytmu rundy, podstawienie na lewej części danych, prawa część poddawana przestawieniom.
Części są ze sobą zamieniane po kaŜdej rundzie.
6. Efektem lawinowym nazywamy intensywniejszy niŜ dla rozpraszania proces rozmazania
tekstu jawnego w tekście tajnym. Jest spotykany dla szyfrowania blokowego.
KaŜdy bit zaszyfrowanego tekstu zaleŜy od wszystkich bitów w danym bloku. Dla
zmiany pojedynczego bitu tekstu jawnego lub klucza kaŜdy bit tekstu zaszyfrowanego
powinien zmienić swoją wartość z prawdopodobieństwem 0,5.
7. DES : dane są szyfrowane w 64 bitowych blokach, klucz ma długość 16 bitów, algorytm
produktowy (stosuje transpozycje w kolejnych etapach), szyfrowanie polega na
serii etapów przetwarzających 64 bitowe dane wejściowe w 64 bitowy wynik. Deszyfrując
wykonuje się te same etapy przy tym samym kluczu, ale w odwrotnej kolejności.
NajwaŜniejszym elementem są S-bloki.
8. Ataki czasowe – wykorzystanie znanych zaleŜności czasowych pomiędzy wejściem, a
wyjściem w kontekście zmiany tekstu jawnego i klucza. Ataki analityczne – wykorzystują
wiedzę z dostępnych kryptogramów, umoŜliwiają odtworzenie części lub całych
kluczy dla poszczególnych rund, pozostała część dostępna przez przegląd zupełny.
Ataki te wykorzystują pewne właściwości statystyczne.
9. Kryptoanaliza róŜnicowa – statystyczny atak na algorytmy oparte na sieci Feistel
Funkcja F daje rezultaty zaleŜne od wejścia i od klucza. Polega na porównywaniu rezultatów
dwóch szyfrowań wykonanych z uŜyciem określonej pary kluczy. Dla zadanego
wejścia otrzymujemy określone róŜnice na wyjściu z prawdopodobieństwem p.
Jeśli odnajdziemy przykłady dające wyŜsze prawdopodobieństwo moŜemy wnioskować
o wartości klucza rundy. Proces musimy powtarzać dla kaŜdej rundy. UmoŜliwia
atak na DES rzędu 2 47 operacji, z uŜyciem 2 47 tekstów jawnych. Atak przeszukania
zupełnego 2 55 jest bardziej praktyczny, bo nie wymaga dodatkowej analizy koniecznej
w przypadku analizy róŜnicowej.
10. Kryptoanaliza liniowa – oparta na próbie określenia liniowego przybliŜenia przekształcenia
deszyfrującego DES. UmoŜliwia skuteczny atak na DES przy uŜyciu 2 47
tekstów jawnych.
11. Kryptoanaliza algebraiczna – polega na przedstawieniu algorytmu w postaci zbioru
równań, a następnie ich rozwiązaniu. Jest skuteczny między innymi dla AES. Wykazano,
Ŝe liczba operacji wymagana do złamania klucza nie rośnie wykładniczo do ilo-
6

ści rund W ataku tym naleŜy uŜyć jednej pary: blok z tekstem jawnym – blok z tekstem
zaszyfrowanym. Metoda skuteczna równieŜ dla szyfrów strumieniowych.
12. Tryby pracy:
a. Elektroniczna ksiąŜka kodowa ECB – kaŜdy 64 bitowy blok jest kodowany
niezaleŜnie z zastosowaniem tego samego klucza; zastosowania – bezpieczna
transmisja pojedynczych wartości.
b. Wiązania bloków zaszyfrowanych CBC – dane wejściowe algorytmu szyfrującego
stanowią XOR następnych 64 bitów tekstu jawnego i poprzednich 64
bitów tekstu zaszyfrowanego; zastosowania – transmisja blokowa ogólnego
zastosowania, uwierzytelnianie.
c. Szyfrowanie ze sprzęŜeniem zwrotnym CFB – dane przetwarzane są po j bitów;
zastosowania – transmisja strumieniowa ogólnego zastosowania, uwierzytelnianie.
d. SprzęŜenie zwrotne wyjściowe OFB – transmisja strumieniowa przez kanał
naraŜony na zakłócenia
13. Podwójny DES – przy danym tekście jawnym i dwóch kluczach K1 i K2 tekst zaszyfrowany
jest generowany jako C=EK1(EK2(P)). Deszyfrowanie wymaga odwrócenia
kolejności kluczy P=DK1(DK2(C)).
14. Potrójny DES z dwoma kluczami - przy danym tekście jawnym i dwóch kluczach
K1 i K2 tekst zaszyfrowany jest generowany jako C=EK1(DK2(EK1(P))). Deszyfrowanie
wymaga odwrócenia kolejności kluczy P=DK1(EK2(DK1(C))).
15. Potrójny DES z trzema kluczami: C=EK1(EK2(EK3(P))), P=DK1(DK2(DK3(C))).
16. IDEA – szyfr blokowy, bloki mają po 64 bity. Klucz ma 128 bitów. Zastosowanie 16
bitowych podbloków, zastosowanie prostych operacji algebraicznych, podobieństwo
między szyfrowaniem, a deszyfrowaniem, regularna struktura ułatwiająca zastosowanie
w technice VLSI. Długość bloków powinna być duŜa, co utrudnia kryptoanalizę,
długość klucza powinna uniemoŜliwiać atak brute force. Mieszanie (konfuzja) – zaleŜność
tekstu zaszyfrowanego od jawnego powinna być skomplikowana. Rozpraszanie
(dyfuzja) – kaŜdy bit wejścia powinien wpływać na kaŜdy bit wyjścia (tekstu zaszyfrowanego).
17. W IDEA mieszanie uzyskuje się za pomocą trzech podstawowych operacji wykonywanych
na dwóch 16 bitowych blokach: XOR logiczny, dodawanie liczb całkowitych
modulo 216, mnoŜenie liczb całkowitych modulo 216+1.
18. Rozpraszanie jest osiągane za pomocą podstawowej jednostki algorytmu nazywanej
strukturą mnoŜenia / dodawania. Struktura ta produkuje dwa 16 bitowe wyniki z
dwóch 16 bitowych wartości tekstu jawnego i dwóch 16 bitowych podkluczy wyprowadzanych
z klucza. Wszystkie 52 podklucze są generowane na podstawie głównego
128 bitowego klucza. Pierwsze 8 podkluczy generowane bezpośrednio z klucza, następnie
cyklicznie przesuwamy klucz w lewo o 25 bitów i generujemy kolejne 8 podkluczy.
Procedurę powtarzamy do wygenerowania 52 podkluczy.
19. AES-Rijndael – blokowy algorytm szyfrowania z kluczem symetrycznym pozwalającym
na wykorzystanie klucza o długości 128, 192 lub 512 bitów. Charakteryzuje się
bardzo wysoką wydajnością zarówno w implementacji sprzętowej, jak i programowej,
uwzględniającej róŜne potrzeby środowiska i systemy operacyjne. Testy wykazały, Ŝe
7

nie wymaga duŜo pamięci operacyjnej, co sprawia, Ŝe moŜna go stosować w wielu
niedostępnych dla innych algorytmów miejscach.
20. Rijndael opis – proces szyfrowania podlega iteracjom, przy czym wyróŜnia się: rundę
wstępną, pewną ilość rund standardowych, z których kaŜda składa się z 4 transformacji
(ilość rund zaleŜy od klucza i wynosi odpowiednio 10, 12, 14), rundę końcową.
21. Spełnia trzy główne załoŜenia twórców – odporność na wszystkie znane ataki, szybkość
pracy, zwartość kodu na róŜnych platformach. Aktualny stan wiedzy nie pozwala
na atak na wiadomości szyfrowane tym algorytmem. Atak brutalny jest niewykonalny
ze względu na długość klucza, jest łatwy do implementacji sprzętowej i programowej.
22. Rijndael – szczegóły działania – podstawowe pojęcia: stan i runda. Runda to odpowiednik
standardowego etapu obliczeń, mający jako parametr tzw. Klucz rundy. Z reguły
runda jest superpozycją co najmniej dwóch bijekcji (podstawienia i permutacji).
Przekształcenia składające się na kaŜdą rundę operują na pewnej macierzy prostokątnej
stanowiącej wynik kolejnych obliczeń podczas realizacji algorytmu, nazywanej
stanem. Jest to macierz w zbiorze {0,1} 8 , czyli macierz, w której współczynniki to
bajty. Macierz bajtowa stanu ma 4 wiersze i Nb kolumn (Nb to długość bloku podzielona
przez 32), Nb={4, 6, 8}. Klucz szyfrujący jest równieŜ reprezentowany jako macierz
o 4 wierszach.
23. Liczbę kolumn tego klucza oznaczamy jako Nk. Nk wyliczane jest tak samo jak Nb.
Długość klucza i bloku (Nb i Nk) moŜemy zmieniać niezaleŜnie. Liczba rund Nr zale-
Ŝy od Nb i Nk.
24. Przekształcenie rundy jest bijekcją będącą superpozycją czterech bijekcji składowych.
Runda składa się z następujących czterech przekształceń operujących na macierzy stanu:
a. Przekształcenie ByteSub (operuje się na poszczególnych elementach macierzy
stanu, które są pojedynczymi bajtami. KaŜdy bajt przechodzi transformację i
jest wpisywany w to samo miejsce).
b. Przekształcenie ShiftRow (przesuwa cyklicznie kolejne wiersze macierzy stanu
o odpowiednią liczbę pozycji; wartości przesunięcia zaleŜą od wielkości
bloku i klucza; poniewaŜ takie przesunięcie sprowadza się jedynie do zmiany
uporządkowania danych w pamięci, nie jest złoŜone obliczeniowo).
c. Przekształcenie MixColumn (miesza wartości zawarte w jednej kolumnie,
⎡02
03 01 01⎤
⎢ ⎥
zmieniając jednocześnie ich wartości: B = CA, gdzie C= ⎢
01 02 03 01
⎥ )
⎢01
01 02 03⎥
⎢ ⎥
⎣03
01 01 02⎦
d. Do kaŜdej rundy dodawany jest z klucza pierwotnego specjalny klucz rundy,
który zostaje w tej transformacji połączony z macierzą danych za pomocą
XORa. Poszczególne komórki klucza są XORowane z odpowiednimi komórkami
macierzy stanu.
25. Operacje MixColumn i ShiftRow zapewniają silną dyfuzję (zamiana jednego bitu stanu
wpływa na wszystkie bity stanu w małej liczbie rund). Operacje ByteSub i dodawanie
klucza zapewniają silną konfuzję (zgubienie zaleŜności – na podstawie rezultatu
jednej rundy nie moŜna wywnioskować macierzy stanu na początku kolejnej rundy.
Aby przeprowadzić kryptoanalizę róŜnicową, między poszczególnymi rundami muszą
8

istnieć przewidywalne róŜnice. Udowodniono, Ŝe odpowiednie prawdopodobieństwa
wykorzystywane przy kryptoanalizie DESa w przypadku Rijndaela nie są wystarczające
do przeprowadzenia skutecznego ataku. Udowodniono, Ŝe zaleŜności danych pomiędzy
rundami dla Rijndaela są tak małe, Ŝe Kryptoanaliza liniowa jest nieskuteczna.
Istnieją ataki (ISL, Square), które są zdolne do złamania algorytmu Rijndaela, ale dla
liczby rund znacznie mniejszej niŜ to określone w standardzie.
Wykład 7 i 8 – algorytmy strumieniowe
1. Uogólnienie koncepcji szyfrowania z jednym kluczem one-time-pad. MoŜliwość szacowania
bezpieczeństwa i większa praktyczność niŜ OTP. Jest inicjowany przy pomocy
krótkiej tajnej wiadomości stanowiącej klucz. Klucz jest rozciągany do długiego
ciągu stanowiącego klucz szyfrowania.
2. Klucz szyfrowania jest wykorzystywany zgodnie z ideą klucza jednorazowego: TT =
TJ XOR Klucz. Podstawą jest generator ciągów pseudolosowych. Generowane są pojedyncze
bity lub bajty.
3. Algorytmy synchroniczne – są szyframi, w których strumień klucza jest generowany
niezaleŜnie od zawartości tekstu jawnego i szyfrogramu. Jest potrzebna pełna synchronizacja
pomiędzy nadawcą, a odbiorcą. Nie ma propagacji błędów – pojedynczy
błąd nie wpływa na kolejne porcje danych. Doskonale radzi sobie w sytuacjach o du-
Ŝym prawdopodobieństwie błędów transmisji. Jest podatny na taki zmiany bitów.
Zmiana bitu w szyfrogramie powoduje zmianę bitu w tekście jawnym. Podatność na
taki wstawiania i usuwania bitów / bajtów. Utrata synchronizacji.
4. Jeśli transformacja łącząca strumień klucza ze strumieniem tekstu jawnego jest funkcją
XOR, wówczas błędy bitowe w pewnych pozycjach szyfrogramu będą miały
wpływ tylko na odpowiednie fragmenty tekstu jawnego. Nie ma zatem propagacji błędów.
Wadą tego rozwiązania jest zapewnienie pełnej synchronizacji pomiędzy nadawcą,
a odbiorcą. W przypadku jej braku odtworzenie tekstu jawnego przez odbiorcę stanie
się niemoŜliwe. Dla zminimalizowania wpływu utraty synchronizacji stosuje się
np. sekwencje inicjujące, numeracje ramek, itp.
5. Algorytmy asynchroniczne – samo synchronizujące się szyfry strumieniowe – generowany
strumień klucza jest zaleŜny od wartości klucza oraz od wartości poprzednich
szyfrogramów. Liczba szyfrogramów wpływająca na wartość klucza musi być stała w
obszarze działania całego szyfru. Generator strumienia szyfrującego uŜywa kilku poprzednich
bitów szyfrogramu przy generowaniu kolejnych elementów ciągu. Pojedynczy
błąd rozprzestrzenia się na kilka kolejnych elementów szyfrogramu. Powrót do
poprawnego deszyfrowania po usunięciu lub wstawieniu bitów jest automatyczny z
ustaloną liczbą niemoŜliwych do odzyskania bitów wiadomości.
6. Algorytmy asynchroniczne są szyframi z pamięcią. Stanowi ją bufor dla szyfrogramów
ze stanów poprzednich. Implementując tego rodzaju szyfry pojawia się problem
polegający na wygenerowaniu strumienia klucza w pierwszych t-chwilach. Jedną z
technik rozwiązania tego problemu moŜe być uŜycie dla pierwszych t-chwil wektora
inicjalizującego IV.
7. Jedną z podstawowych własności tych szyfrów jest samosynchronizacja. Szyfry te po
utracie synchronizacji zdolne są do jej automatycznego przywrócenia, poniewaŜ pro-
9

ces deszyfrowania zaleŜy tylko od t stanów poprzednich, a nie od wszystkich, jak w
przypadku algorytmów synchronicznych. ZaleŜność ta korzystnie wpływa równieŜ na
propagację błędów, która jest w tym przypadku ograniczona do t szyfrogramów. Kolejną
zaletą są dobre właściwości statystyczne. PoniewaŜ kaŜdy bit tekstu jawnego
wpływa na wartość szyfrogramu, statystyczne własności tekstu jawnego ulegają rozrzuceniu
w obrębie wszystkich szyfrogramów, dlatego te szyfry są odporniejsze na
ataki bazujące na redundancji tekstu jawnego.
8. Tradycyjne algorytmy strumieniowe wykorzystują rejestry przesuwne. Rejestr przesuwny
generuje serię stanów i towarzyszy mu sprzęŜenie zwrotne, na przykład rejestr
z liniowym sprzęŜeniem zwrotnym – linear feedback shift register (LFSR). Dwa podejścia
do wykorzystania LFSR na potrzeby szyfrowania: jeden LFSR z nieliniową
funkcją połączeń, kilka LFSR połączonych nieliniową funkcją. Kluczem jest początkujące
wypełnienie LFSR (ziarno). Ciąg szyfrujący stanowi wyjście rejestru (zestawu
rejestrów). Pojedynczy rejestr LFSR jest specjalnym przypadkiem złoŜonych rejestrów.
W celu przejścia od przypadku pojedynczego do przypadku wielokrotnego uŜycia:
niech LFSR0, …, LFSRn-1 będą identyczne; ziarno LFSR0 jest identyczne z ziarnem
LFSR; ziarno LFSR1 jest identyczne z ziarnem LFSR z kroku pierwszego, itd.
9. Algorytm Berlekampa-Masseya: dysponując częścią określonego strumienia moŜemy
znaleźć najkrótszy LFSR, który wygenerowałby taką sekwencję. Wymiar problemu
wynosi N 2 , gdzie N jest długością LFSR. Algorytm jest iteracyjny, potrzebuje jedynie
2N kolejnych bitów.
10. Sekwencja bitów: s=(s0, s1, s2, …, sn); liniowa złoŜoność: s jest najmniejszym rozmiarem
LFSR generującym s; niech L będzie liniową złoŜonością s; wtedy s jest wielomianem
definiującym połączenia rejestru o następującej postaci:
C(x)=c0+c1x+c2x 2 +…+cLx L . Algorytm pozwala określić C(x) i L.
11. Algorytm ten jest efektywną metodą określenia minimalnego LFSR do wygenerowania
sekwencji. Znany jest tekst jawny oraz wartości bitów generatora. MoŜe być uŜyty
do odnalezienia wszystkich bitów z wystarczająco długim ciągiem generatora. Wystarcza
2L bitów, gdzie L jest liniową złoŜonością generatora. Ciąg pseudolosowy musi
mieć duŜą złoŜoność liniową. Generowana sekwencja jest dobra, jeśli spełnia kryteria
pseudolosowości. Dobry generator musi być nieprzewidywalny.
12. Atak korelacji – intruz uzyskuje część ciągu wygenerowanego przez LFSR. Zgodnie
z zasadą Kerckhoffa moŜemy załoŜyć, Ŝe rejestr i funkcje są znane. Jedynie nie jest
znany klucz – ziarno. Celem jest odtworzenie początkowego stanu rejestru LFSR.
Znamy wszystkie połączenia dla wielomianu generującego i funkcji nieliniowej. Czasami
jest moŜliwe określenie początkowego ustalenia LFSR niezaleŜnie poprzez korelację
wyjścia LFSR z dostępnym ciągiem bitów lub poprzez typowy atak dziel i rządź.
13. Generator Blum Micali: w generatorze tym wykorzystuje się trudność w obliczaniu
logarytmu dyskretnego; wybieramy dwie liczby pierwsze a i p oraz x0 (zarodek), a następnie
obliczamy: xi+1=a xi (mod) p dla i=1,2,…. Pseudolosowy ciąg bitów tworzony
jest w następujący sposób: ki = 1 jeŜeli xi < (p-1)/2 lub 0 w przeciwnym przypadku.
14. Generator Blum-Blum-Shub: znajdujemy dwie duŜe liczby pierwsze p i q takie, Ŝe
p≡3 (mod 4) oraz q≡3 (mod 4); N=pq. Wybieramy losową liczbę x względnie pierwszą
z N, a następnie obliczamy x0=x 2 mod N; x0 stanowi zarodek dla generatora. Liczymy
xi+1=xi 2 mod N. Generowanym bitem jest najmłodszy bit xi+1.
15. Algorytm RC4 – długość klucza to 40 lub 128 bitów. Jest to algorytm strumieniowy,
w zaleŜności od długości klucza tworzony jest ciąg bajtów, który wykorzystuje się ja-
10

ko klucz jednorazowy. Daje moŜliwość stosowania kluczy róŜnej długości. Łatwa realizacja
sprzętowa dzięki prostocie algorytmu. Dwie fazy działania: tworzenie klucza
jednorazowego i szyfrowanie za pomocą XORa; klucz jednorazowy jest uŜywany tylko
raz w operacji XOR. Czas szyfrowania około 10 razy szybszy niŜ dla DES. MoŜliwa
Kryptoanaliza z wykorzystaniem pary: tekst jawny, tekst zaszyfrowany. Stosowany
w protokole WEP.
Wykład 9,10,11 – kryptografia asymetryczna
1. Motywacja: wzrost potrzeb związanych z bezpieczeństwem z powodu rozwoju sieci
komputerowych, potrzeba realizacji elektronicznych transakcji, operacji finansowych
z zapewnieniem uwierzytelniania, podpisu cyfrowego, niezaprzeczalności, trudna realizacja
podanych usług bezpieczeństwa stosując wyłącznie algorytmy symetryczne,
trudna realizacja usługi dystrybucji klucza w środowisku sieciowym z wieloma uŜytkownikami
stosując wyłącznie szyfrowanie symetryczne.
2. Algorytmy asymetryczne z kluczem jawnym opierają się na funkcjach matematycznych,
a nie na podstawianiu i permutacji. Szyfrowanie jest asymetryczne: wykorzystuje
się dwa klucze: publiczny i prywatny.
3. W szyfrowaniu symetrycznym ten sam algorytm jest stosowany zarówno do szyfrowania,
jak i deszyfrowania, a nadawca i odbiorca muszą znać taki sam algorytm i mieć
taki sam klucz. W szyfrowaniu asymetrycznym jeden algorytm jest wykorzystywany
do szyfrowania i deszyfracji z parą kluczy (prywatny, publiczny). Nadawca i odbiorca
muszą mieć jeden z pary kluczy.
4. W szyfrowaniu symetrycznym klucz nie moŜe być ujawniony, odszyfrowanie komunikatu
bez posiadania innych danych powinno być niemoŜliwe lub bardzo kosztowne,
a znajomość algorytmu oraz próbki tekstu zaszyfrowanego nie mogą być wystarczające
do odkrycia klucza.
5. W szyfrowaniu asymetrycznym jeden z dwóch kluczy nie moŜe być ujawniony, odszyfrowanie
komunikatu bez posiadania innych danych musi być niemoŜliwe lub bardzo
kosztowne, a znajomość algorytmu, jednego klucza lub próbki tekstu zaszyfrowanego
nie mogą być wystarczające do odkrycia drugiego klucza.
6. Wymagania dla systemów szyfrowania z kluczem jawnym: strona B moŜe łatwo na
drodze obliczeń wygenerować swój klucz prywatny i publiczny, nadawca A znając
klucz publiczny B i tekst jawny wygenerować tekst zaszyfrowany, odbiorca B moŜe
łatwo otrzymać tekst jawny z tekstu zaszyfrowanego znając swój klucz prywatny, dla
przeciwnika znającego klucz jawny B, określenie klucza prywatnego B powinno być
niewykonalne, dla przeciwnika znającego klucz jawny B i tekst zaszyfrowany, określenie
tekstu jawnego powinno być niewykonalne, funkcje szyfrowania i deszyfrowania
mogą być stosowane w dowolnej kolejności.
7. Kryptoanaliza algorytmów asymetrycznych: atak brute force, atak na podstawie
klucza jawnego: próba wyliczenia klucza prywatnego, atak prawdopodobnego komunikatu
– wszystkie moŜliwe komunikaty są szyfrowane kluczem jawnym i porównywane
z tekstem zaszyfrowanym. Większość algorytmów asymetrycznych umoŜliwia
szyfrowanie, podpis elektroniczny, etc. Niektóre słuŜą jedynie wymianie kluczy, inne
jedynie stosowane są do podpisów elektronicznych.
11

8. Algorytm plecakowy Merkle-Hellman – wygeneruj ciąg superrosnący, przekształć
do postaci ogólnego plecaka, klucz publiczny – ogólny plecak (OP), klucz prywatny
(CS) – ciąg superrosnący + przekształcenie. Łatwo szyfrować OP, CS umoŜliwia proste
deszyfrowanie.
9. Wymiana kluczy, algorytm Diffie-Hellman (DH) – niech p będzie liczbą pierwszą,
g – generatorem. Dla dowolnego x={1, 2, …, p-1} istnieje takie n, Ŝe x = g n (mod p).
Alicja wybiera tajną wartość a, Bob wybiera tajną wartość b. Alicja wysyła g a (mod p)
do Boba, Bob wysyła g b (mod p) do Alicji. Oboje obliczają wspólną wartość g ab (mod
p). Wartość ta moŜe stanowić symetryczny tajny klucz. Jeśli intruz będzie w stanie
znaleźć a oraz b, system będzie złamany (rozwiązanie problemu dyskretnego logarytmu).
Strategia Man in the Middle (MiM): intruz ma wspólny sekret g at (mod p) z Alicją
i g tb (mod p) z Bobem, ale Alicja ani Bob nie wiedzą o istnieniu intruza. Aby
uchronić się przed atakiem MiM naleŜy stosować wymianę DH szyfrem symetrycznym,
szyfrować wymianę DH szyfrem publicznym, podpisywać wartości DH kluczem
prywatnym.
10. RSA – niech p i q będą duŜymi liczbami pierwszymi, N=pq. Niech e będzie względnie
pierwsze do (p-1)(q-1). Znajdujemy takie d, Ŝe ed=1 mod (p-1)(q-1). Klucz publiczny
(N, e). Klucz prywatny: d. Szyfrowanie C = M e (mod N), deszyfrowanie: M = C d
(mod N). N oraz e są publiczne, dlatego jeśli intruz znajdzie rozkład N to moŜe łatwo
znaleźć d, poniewaŜ ed = 1 mod (p-1)(q-1). Łatwa faktoryzacja jest zagroŜeniem dla
RSA. Jest złotym standardem dla kryptografii klucza publicznego, umoŜliwia szyfrowanie
i podpisywanie, a takŜe przetrwało próbę czasu.
11. Podpis elektroniczny pozwala uwierzytelnić źródło treści wiadomości w sposób porównywalny
z wykorzystaniem trzeciej strony. Nadawca nie moŜe wyprzeć się faktu
nadania wiadomości – niezaprzeczalność (ograniczona moŜliwościami technicznymi –
autentyczność klucza, moŜliwości prawne – kradzieŜ klucza lub kompromitacja). W
podpisie wymagana jest obecność trzeciej osoby, która w przypadku sporu sprawdza
poprawność nadsyłanych komunikatów przez nadawców.
12. Nigdy nie naleŜy podpisywać losowych dokumentów , zawsze podpisywać skrót, a nie
sam dokument. W przeciwnym wypadku właściwości podpisu RSA mogą zostać uŜyte
przeciwko podpisującemu. Najpierw naleŜy podpisywać, a potem szyfrować. Zmiana
klucza publicznego moŜe bowiem ułatwić fałszerstwo.
13. Algorytm Rabina – problem faktoryzacji (podobnie jak w RSA), moŜna pokazać, Ŝe
złamanie algorytmu Rabina jest równoznaczne z rozwiązaniem problemu faktoryzacji,
a co za tym idzie, ze złamaniem RSA. Schemat: wybieramy p, q – liczby pierwsze,
N=pq. Szyfrowanie C = M 2 mod N. Deszyfrowanie: dane p i q, musimy odnaleźć
pierwiastek z C modulo N (wykorzystanie Chińskiego Twierdzenia o Resztach).
Wykład 12 - Jednokierunkowe funkcje skrótu i ich zastosowania
1. Stworzenie praktycznego systemu szyfrowania asymetrycznego z kluczem jawnym
wymaga uŜycia funkcji jednokierunkowej z bocznym wejściem (przekształcenie dziedziny
na przedział w taki sposób, Ŝe kaŜda wartość funkcji ma tylko jedną odwrotność,
z tym, Ŝe obliczenie funkcji jest łatwe, a obliczenie odwrotności niewykonalne.
12

2. Funkcja haszująca z danych o zmiennym rozmiarze wylicza pewien wynik H(m) o
stałym rozmiarze, zwany wyciągnikiem lub skrótem komunikatu. Wynik haszowania
jest funkcją wszystkich bitów i zapewnia wykrywanie błędów oraz uwierzytelnianie.
3. Wymagania dla funkcji haszującej: moŜna zastosować dla dowolnej wielkości bloku
danych, tworzy dane wyjściowe o ustalonej długości, H(x) jest łatwo obliczyć dla
kaŜdego x co ułatwia implementację sprzętową i programową, dla kaŜdego kodu m
znalezienie takiego x, Ŝe H(x) = m nie jest wykonywalne na drodze obliczeń, dla kaŜdego
danego bloku x, znalezienie takiego y róŜnego od x, Ŝe H(y)=H(x) jest niewykonalne
na drodze obliczeń, znalezienie pary (x, y), takiej, Ŝe H(x)=H(y) jest niewykonalne
na drodze obliczeń.
4. Notacja klucza publicznego: podpis Alicji dla wiadomości M prywatnym kluczem
[M]Alicja, szyfrowanie wiadomości M kluczem publicznym {M}Alicja, wtedy
{[M]Alicja}Alicja = M, [{M}Alicja]Alicja = M.
5. Przypuśćmy, Ŝe Alicja podpisała M, Alicja wysyła M oraz S = [M]Alicja do Boba. Bob
weryfikuje, Ŝe M = {S}Alicja. JeŜeli M jest duŜe, [M]Alicja jest kosztowne obliczeniowo.
Przypuśćmy natomiast, Ŝe Alicja podpisuje h(M), gdzie h(M) jest mniejsze od M: Alicja
wysyła M oraz S=[h(M)]Alicja do Boba. Bob sprawdza, czy h(M) = {S}Alicja.
6. MAC – Message Authentication Code – kod słuŜący uwierzytelnianiu danych, argumentami
funkcji uwierzytelniającej są tajny klucz oraz wiadomość. Wartością wyjściową
funkcji jest kod MAC.
7. HMAC – keyed-Hash Message Authentication Code – MAC z kluczem tajnym zapewniający
zarówno ochronę integralności jak i autentyczność danych. Standardowy
kod MAC zapewnia ochronę integralności, ale moŜe podlegać sfałszowaniu jeśli nie
jest zabezpieczony dodatkowym mechanizmem chroniącym jego autentyczność (np.
podpisem cyfrowym).
8. Podpis elektroniczny zapewnia ochronę integralności. Alicja wysyła M oraz
S=[h(M)]Alicja do Boba. JeŜeli M będzie zmienione na M` lub S zmienione na S`
(przypadkowo lub celowo), to Bob to wykryje: h(M’) ≠{S}Alicja, h(M) ≠{S`}Alicja,
h(M`) ≠{S`}Alicja.
9. Podpis elektroniczny zapewnia niezaprzeczalność. Alicja wysyła M oraz
S=[h(M)]Alicja do Boba. Alicja nie moŜe wyprzeć się podpisu. Udowodnienie niezaprzeczalności
dla podpisu elektronicznego, w przeciwieństwie do niezaprzeczalności
dla Mac, jest moŜliwe, bowiem w przypadku MAC Alicja stosuje algorytm symetryczny,
który Bob mógł znać, a zatem mógł sfałszować komunikat. W przypadku
podpisu, Bob nie ma dostępu do takich informacji – tylko ktoś kto zna klucz prywatny
Alicji mógł przesłać komunikat (sama Alicja lub ktoś kto jej ów klucz ukradł).
10. Alicja podpisuje h(M), wysyła M oraz S=[h(M)]Alicja do Boba. Bob weryfikuje, Ŝe
h(M) = {S}Alicja. Bezpieczeństwo zaleŜy od bezpieczeństwa kryptosystemu klucza publicznego
i funkcji skrótu. Niech intruz znajdzie kolizję M`≠M taką, Ŝe h(M`) ≠ h(M).
Wtedy intruz moŜe zmienić M na M` i schemat podpisu jest złamany.
11. Projekt kryptograficznej funkcji skrótu – poŜądana własność: efekt lawinowy,
zmiana dowolnego bitu spowoduje zmianę duŜej liczby bitów skrótu; kryptograficzne
funkcje skrótu składają się z wielu rund; potrzebne bezpieczeństwo i prędkość realizacji.
Dane wejściowe są rozbijane na bloki, kompresja stosowana względem bloków,
wartość bloku zaleŜna od obecnej i od wyjścia z poprzedniej rundy. Wyjście z ostat-
13

niej rundy jest wartością skrótu. Dla funkcji skrótu rozwaŜamy rozmiar bloku 512 bitów,
kompresja bloku wyjściowego – 128 bitów.
12. Trzy podejścia obliczania HMAC: h(M, K), h(K, M)
a. h(K, M) – niech M`=(M, X), wtedy h(K, M`) = F(h(K, M), M`) – intruz moŜe
obliczyć HMAC z M` bez znajomości klucza K – kompromitacja klucza
b. h(M, K) – niech h(M`) = h(M), wtedy: h(M, K) = F(h(M), K) = F(h(M`), K) =
h(M`, K) – w tym przypadku intruz nie moŜe obliczyć h(M, K) bez znajomości
K; lepsze podejście, choć jeszcze nie najlepsze
c. właściwy sposób na HMAC: niech B będzie długością w bajtach funkcji skrótu
(dla popularnych funkcji B=64); definiujemy ipad=0x36 (00110110) powtarzany
B razy, opad=0x5C (01011100) powtarzany B razy; wtedy HMAC(M,
K) = H(K XOR opad, H(K XOR ipad, M))
13. Algorytm MD5 – z wejściowego komunikatu o dowolnej długości generuje 128 bitowy
skrót; dane wejściowe przetwarzane są w 512 bitowych blokach; komunikat jest
dopełniany tak, aby jego długość w bitach przystawała do 448 modulo 412, czyli długość
komunikatu musi być o 64 bity mniejsza niŜ całkowita wielokrotność 512 bitów.
Dopełnienie dodaje się zawsze, nawet gdy komunikat ma Ŝądaną wartość. Dopełnienie
składa się z bitu 1, po którym następuje odpowiednia ilość bitów 0.
14. Do komunikatu uzupełnionego o dopełnienie dodaje się 64 bitową reprezentację długości
pierwotnego komunikatu w bitach (przed dopełnieniem). JeŜeli komunikat jest
dłuŜszy niŜ 2 64 to uŜywa się tylko młodszych 64 bitów długości. Oznacza to, Ŝe pole
długości zawiera długość początkowego komunikatu modulo 2 64 . Następnie cały komunikat
wraz z dopełnieniem i długością jest przetwarzany w blokach Y0, Y1, …, YL-1
o długości 512 bitów.
15. Do przechowywania pośrednich i końcowych wartości funkcji haszujących stosuje się
bufor 128 bitowy. Bufor ten moŜna zapisać jako cztery 32 bitowy rejestry A, B, C, D,
które na początku są inicjowane następująco: A=01234567, B=89ABCDEF,
C=FEDCBA98, D=76543210. Wszystkie cztery etapy mają podobną strukturę lecz
kaŜdy korzysta z innej elementarnej funkcji logicznej. W kaŜdym etapie jest przetwarzany
aktualny blok oraz bufor ABCD. Dodatkowo w kaŜdym etapie korzysta się z
kolejnych części tablicy T=[1, 2, …, 64] skonstruowanej na podstawie funkcji sinus.
KaŜdy z kroków wykonywanych 64 razy dla kaŜdego bloku ma postać:
A