-
Translated by Robert Ylitalo
(KYBS2001 course assignment at JYU.FI)
-
♪ (38C3 intromusiikki) ♪
-
Seuraava puhujamme on Lukas Stennes.
-
Hän on tohtoriopiskelija Ruhrin yliopistossa Bochumissa.
-
Hänen tutkimuksensa keskittyy kryptonalyysiin.
-
Hän oli myös osa tiimiä, joka paljasti haavoittuvuuden GPRS:ssä.
-
Itse asiassa hän sai parhaan julkaisun palkinnon tästä tutkimuksesta, jonka hän esittelee nyt.
-
Eli laatu on taattu.
-
Lukas puhuu NATOn radioliikenteen salauksen murtamisesta ja esittelee hyökkäyksen Yhdysvaltain armeijan ja NATOn käyttämää korkean taajuuden radioviestinnän salausalgoritmia vastaan.
-
Tervetuloa, antakaa suuret aplodit!
-
NATO ja Yhdysvaltain armeija käyttävät turvatonta salausta nimeltä Half Loop 24.
-
Tässä esityksessä kerron, miten sen voi murtaa.
-
Aloitetaan kuitenkin aivan alusta.
-
Selitetään ensin, mitä symmetrinen salaus oikeastaan on.
-
Tarvitsemme siihen kaksi päähenkilöämme: Alicen ja Benjaminin.
-
Huomasitte varmaan vitsin, yleensä kryptografiassa puhumme Bobista, ei Benjaminista.
-
Mutta koska käytän norsuja selityksissä, nimesin hänet Benjaminiksi.
-
Ja jos ihmettelet, miksi käytän norsuja, ne eivät ole tavallisia norsuja, vaan Casa-fantteja.
-
Casa-fantit ovat CASA:n maskotteja. CASA tarkoittaa "Cyber Security in the Age of Large-Scale Adversaries".
-
Se on Ruhrin yliopiston huippuyksikkö kyberturvallisuuden tutkimuksessa.
-
Nyt Alice ja Benjamin haluavat kommunikoida turvattoman kanavan yli.
-
Ongelmana on kolmas osapuoli, pahantahtoinen Charlie, joka salakuuntelee heidän viestintäänsä.
-
Tietenkään Alice ja Benjamin eivät halua Charlien kuuntelevan heitä.
-
Metaforana voidaan ajatella, että he tekevät näin:
-
He laittavat viestin erittäin vahvaan laatikkoon.
-
Laatikon täytyy olla niin vahva, ettei Charlie pysty avaamaan sitä.
-
Sitten he laittavat laatikkoon lukon.
-
Lukon täytyy olla niin vahva, ettei kukaan, ei edes Charlie voi murtaa sitä.
-
Sen jälkeen he voivat lähettää laatikon toisilleen.
-
Heillä molemmilla on avain, jolla laatikon voi avata ja sulkea.
-
Näin he voivat viestiä keskenään ilman, että Charlie voi salakuunnella.
-
Tätä samaa halutaan saavuttaa digitaalisessa maailmassa symmetrisellä salauksella.
-
Symmetriseksi sitä kutsutaan siksi, että avain on molemmilla osapuolilla sama.
-
Jos on symmetrinen salaus, on olemassa myös epäsymmetrinen salaus, jota kutsutaan myös julkisen avaimen salaukseksi. Symmetristä kutsutaan joskus salaisen avaimen salaukseksi.
-
Epäsymmetrisellä salauksella luodaan avain molemmille puolille.
-
Tämän jälkeen käytetään symmetristä salausta varsinaiseen viestien salaamiseen.
-
Salausta käytetään nykyään lähes kaikkialla.
-
Puhelimellasi, kun kirjoitat viestin esimerkiksi Signaliin, viestit salataan.
-
Toinen hyvä esimerkki on HTTPS eli TLS.
-
Kun avaat verkkosivun, selaimen osoitepalkissa näkyy lukon kuva, ja siitä näet lisätiedot.
-
Siellä lukee esimerkiksi jotain tyyliin: TLS, AES ja muuta vastaavaa.
-
Symmetrisessä salauksessa meitä kiinnostaa erityisesti AES, koska se on lohkosalaus, ja ei mikä tahansa lohkosalaus, vaan se lohkosalaus.
-
AES tarkoittaa "Advanced Encryption Standard".
-
Se on todennäköisesti maailman käytetyin salausalgoritmi.
-
AES ottaa syötteenä 128-bittisen tekstin.
-
Tätä syötettä kutsutaan selkotekstiksi, ja AES muuntaa sen salatekstiksi.
-
Salateksti on myös 128-bittinen, ja muunnos perustuu salausavaimeen.
-
AES:n turvallisuustakuu on se, että jos hyökkääjällä (Charliella) ei ole tietoa salaisesta avaimesta, hän ei pysty palauttamaan salatekstiä alkuperäiseksi.
-
Eli ilman avainta Charlie ei voi purkaa viestiä.
-
Se on jo itsessään erittäin hyödyllistä, mutta todellisessa maailmassa...
-
haluamme salata enemmän kuin vain yhden lohkon.
-
Siksi tarvitaan jotain, mitä kutsutaan toimintatavaksi (mode of operation), joka määrittelee, miten käsitellään useita lohkoja.
-
Kuten sanoin, AES on kehittynyt salausstandardi.
-
Se on standardi, jonka NIST määritteli 2000-luvun alussa.
-
Kyseessä on siis Yhdysvaltain standardi, ja siitä lähtien sitä on käytetty laajasti.
-
AES:n turvallisuustakuu on käytännössä se, ettei kukaan voi purkaa salausta ilman avainta. Mutta miksi näin on?
-
Miksi olemme niin varmoja, ettei kukaan voi tehdä sitä?
-
Koska kukaan ei ole vielä löytänyt toimivaa hyökkäystä.
-
Ei ole olemassa matemaattista todistetta, joka osoittaisi AES:n turvallisuuden, mutta kaikille tunnetuille hyökkäyksille se on osoittautunut vastustuskykyiseksi.
-
Siksi luotamme AES:iin, koska se on selvinnyt yli kahden vuosikymmenen ajan tutkimuksista.
-
Valitettavasti meillä ei ole aikaa käydä tänään läpi kaikkia yksityiskohtia tästä huippukiinnostavasta algoritmista.
-
Jos haluat tietää lisää, Christoph Parrin luento YouTubessa on ilmaiseksi katsottavissa kaikille.
-
Christoph on professori Bochumissa, ja kyseessä on kryptografian johdantoluento, jonka kyberturvallisuuden opiskelijat käyvät siellä.
-
Pieni sivuhuomautus.
-
Christoph on nykyään Bochumin Max Planck -instituutin perustajajohtaja.
-
Ja hän on todella hyvä.
-
Tässä oli siis lyhyt johdanto symmetriseen salaukseen, mutta tuskin olette täällä vain sen vuoksi. Olette täällä kuulemassa sotilasradiosta, eikö?
-
Niinpä.
-
Aloitetaan siis sotilasradiosta.
-
Aloitetaanpa näyttämällä teille tämä kuva.
-
Ja nyt...
-
Annan hetken aikaa miettiä, mikä on tämän kuvan ja tämän puheen eli sotilasradion välinen yhteys.
-
Itse asiassa mitään todellista yhteyttä ei ole.
-
Ainoa yhteys on minä itse, sillä otin tämän kuvan noin kaksi ja puoli vuotta sitten Ateenassa.
-
Olin Ateenassa ensimmäisessä tieteellisessä konferenssissani.
-
Kyseessä oli FSE, eli Fast Software Encryption -konferenssi, joka on
-
merkittävin konferenssi symmetrisessä kryptografiassa.
-
Konferenssin aikaan vietettiin myös Kreikan kansallispäivää, jolloin kaduille tuotiin panssarivaunuja ja taivaalle hävittäjiä. Tunnelma oli kaoottinen, ja silloin otin tämän kuvan.
-
Siellä konferenssissa osallistuin esitykseen, jonka nimi oli: "Cryptoanalysis of the SODA Cipher for HF Radio Automatic Link Establishment".
-
Tämä esitys kiinnitti huomioni, ja haluan lyhyesti selittää otsikon merkityksen.
-
Esityksen piti Marco Stanzari, joka myöhemmin työskenteli kanssamme Half Loop -salauksen murtamisessa.
-
Otsikossa "cryptanalysis" tarkoittaa salauksen analysointia eli yritystä murtaa se tai arvioida sen turvallisuutta.
-
SoDark on vain salauksen nimi, ja "cipher" tarkoittaa salausta.
-
Haluan kuitenkin puhua hieman HF-radiosta ja automaattisesta linkinmuodostuksesta.
-
Aloitetaan HF-radiosta.
-
HF tarkoittaa high frequency eli korkeataajuus. Kyseessä on 3–30 MHz välinen taajuusalue, joka mahdollistaa ns. skywave-ilmiön.
-
Skywave-ilmiössä radiosignaali heijastuu ylemmän ilmakehän hiukkasista takaisin maahan, jolloin se voi kulkea erittäin pitkiä matkoja.
-
Signaali voi jatkaa heijastumista uudelleen ja uudelleen.
-
Tämän vuoksi signaali voi kulkea todella pitkälle.
-
Tämän ansiosta viestintä onnistuu suurien etäisyyksien yli ilman mitään infrastruktuuria.
-
Et tarvitse satelliitteja, tukiasemia tai mitään muuta.
-
Tarvitset vain radiolaitteet molemmissa päissä.
-
Ketkä sitten ovat kiinnostuneita tällaisesta teknologiasta?
-
Tietysti armeija.
-
Myös diplomaatit ja kriisinhallintaviranomaiset.
-
On selvää, että jos
-
tapahtuu esimerkiksi maanjäristys, joka tuhoaa kaikki tukiasemat, tarvitaan viestintäjärjestelmä, joka ei vaadi infrastruktuuria.
-
Se on tällaisessa tilanteessa erittäin hyödyllinen.
-
HF-radion sisällä käytettiin SoDark-salausta, jota Marco analysoi. Half Loop tuli sen tilalle ja sitä käytettiin käsienpuristussanomien salaamiseen.
-
Sen avulla pyrittiin varmistamaan viestinnän luottamuksellisuus ja aitous.
-
Puhutaanpa automaattisesta linkinmuodostuksesta, sillä kuten ehkä arvaat, HF-radio ei ole niin yksinkertainen.
-
Kyse ei ole vain siitä, että lähetät signaalin ja se toimii.
-
Todellisuudessa se on monimutkaista, ja vielä 80-luvun puoliväliin saakka tarvittiin erittäin taitavia operaattoreita molemmissa päissä, jotta yhteys saatiin muodostettua.
-
Tämän helpottamiseksi kehitettiin automaattinen linkinmuodostusprotokolla, lyhyesti ALE.
-
Ja siinä
-
Emme mene nyt yksityiskohtiin.
-
Yksinkertaistamme paljon.
-
Perusidea on, että alussa tapahtuu kolmivaiheinen kättely.
-
Tämä on hyvin yleistä viestinnässä.
-
Alice lähettää viestin, jossa hän sanoo "Hei, olen Alice"
-
ja haluan puhua Bobille.
-
Sitten Bob vastaa vastaavalla viestillä: "Olen Bob"
-
ja haluan viestiä Alicen kanssa.
-
Sitten Alice lähettää uudelleen viestin: "Olen Alice"
-
ja haluan viestiä kanssasi, Bob.
-
Tässä siis hyvin yksinkertaistettuna linkki muodostetaan ja viestintä alkaa.
-
Se voi olla ääntä, keskustelua tai dataa.
-
Esimerkiksi sähköposteja voidaan lähettää tämän kautta.
-
Viestintä jatkuu, ja lopuksi lähetetään lopetusviesti.
-
Alice sanoo: "Haluan lopettaa viestinnän nyt."
-
Kuten huomaat, tässä näkyy lukon kuva.
-
Tämä johtuu siitä, että nämä viestit
-
kättely- ja lopetusviestit salataan joko SoDark:lla tai Half Loopilla.
-
SoDark on Half Loopin edeltäjä.
-
Sitä käytettiin todennäköisesti vuoteen 2017 saakka, mutta nykyään viestit salataan Half Loopilla.
-
Miksi salaus tarvitaan tässä?
-
Kun kättelyviestit salataan vahvasti...
-
saadaan aikaan useita hyviä ominaisuuksia.
-
Ensinnäkin viestien luottamuksellisuus, eli kukaan ilman avainta ei tiedä, ketkä viestivät.
-
Kuten sanoin, viesti sisältää Alicen ja Bobin identiteetit.
-
Ilman salausta kuka tahansa näkisi, että Alice ja Bob viestivät keskenään.
-
Ja kyllä, tiedän että sanoin alussa että Bob on Benjamin, mutta ei se haittaa.
-
Toinen hyöty on
-
todennus. Jos Alice ja Bob käyttävät salaista avainta, vain he voivat purkaa viestin ja varmistaa, että se todella tuli toiselta osapuolelta.
-
Jos Benjamin purkaa viestin ja se sanoo "Hei, olen Alice", hän voi luottaa siihen, että viesti todella tuli Alicelta. Tämä on tärkeää HF-radiolle, kun linkki muodostetaan.
-
Et voi vain kuunnella toisia ja muodostaa yhteyttä mihin tahansa, joten todennus tukee myös saatavuutta.
-
Se auttaa varmistamaan viestinnän jatkuvuuden.
-
Teoriassa kuka tahansa, jolla on voimakas lähetin, voi häiritä taajuutta ja estää Alicea ja Benjaminia viestimästä.
-
Mutta jos sinulla on avain, voit lähettää tarvittavat kolme viestiä ja linkki muodostuu. Sitten Benjamin ei enää voi muodostaa yhteyttä Aliceen.
-
Tämäkin osoittaa, miksi salaus on tärkeää.
-
Lopuksi tällä dialla haluan korostaa, että Half Loop, eli salaus jonka aiomme murtaa seuraavaksi, käytetään vain kättely- ja lopetusviesteissä.
-
Kaikki mitä selitän koskee vain kättelyviestejä, ei varsinaista siirrettävää sisältöä kuten puhetta tai tiedostoja.
-
Mennään siis seuraavaksi itse Half Loop 24 -algoritmin yksityiskohtiin, eli algoritmiin, jonka me murtoimme.
-
Half Loop on itse asiassa...
-
määritelty jossain sotilasstandardissa.
-
Jos tunnet FIPS 197 -standardin, eli AES:n virallisen spesifikaation, tämä näyttää sinusta ehkä tutulta.
-
Tässä on useita vaiheita.
-
SubBytes, RotateRows, MixColumns ja AddRoundKey.
-
Nuo vaiheet ovat hyvin samankaltaisia kuin AES:ssä, koska Half Loop muistuttaa paljon AES:ää.
-
Ja jos mietit, onko tämä
-
dokumentti salainen tai jotain sellaista,
-
niin ei ole.
-
Se on julkinen.
-
Kuten mainitsin, olin Ateenassa, ja Marcos piti esityksen Half Loopin edeltäjästä.
-
Esityksen lopussa hän mainitsi, että nyt käytetään tätä Half Loop -salausta.
-
Kysyin, onko se julkinen?
-
Hän sanoi kyllä.
-
Sen voi vain etsiä Googlesta.
-
Sieltä löytyy Yhdysvaltain puolustusministeriön sivu, josta PDF:n voi ladata.
-
Täytyy vain selata alaspäin.
-
Ehkä noin 300 sivua.
-
Liitteessä G on Half Loopin spesifikaatio.
-
Annan nyt lisää yksityiskohtia. Half Loopista on kolme versiota: 24, 48 ja 96. Tässä tarkastellaan versiota 24. Tämä numero tarkoittaa lohkon kokoa.
-
Eli lohkon koko on 24 bittiä.
-
Muistathan, että AES:ssä sekä selkoteksti että salattu teksti olivat 128 bittiä. Half Loopissa ne ovat 24, 48 tai 96 bittiä. Nyt käsittelemme pienintä versiota.
-
muut versiot jätetään tämän esityksen ulkopuolelle.
-
Half Loop on niin sanottu "tweakable" lohkosalaus, ja tässä diassa kutsun sitä kirjaimella E, koska en halua kirjoittaa "Half Loop" joka paikkaan.
-
Kuten mainitsin, se korvasi SoDark-salauksen. Sivuhuomautuksena: SoDark käytti vain 56-bittisiä avaimia, ja jos tiedät jotain kryptografiasta, 56 bittiä ei riitä.
-
Sen pystyy helposti murtamaan brute forcella.
-
Ensisilmäyksellä on hyvä, että vuodesta 2017 alkaen Half Loop on ollut virallisesti määritelty, ja siinä käytetään 128-bittistä avainta.
-
Oikealla olevassa kuvassa näkyy 24-bittinen selkoteksti, 24-bittinen salattu teksti ja 128-bittinen avain.
-
Mutta toisin kuin AES:ssä, tässä on lisäsyöte nimeltä T, joka on niin sanottu tweak.
-
Tweak koostuu nykyisestä ajasta, sanalaskurista ja käytetystä radiotaajuudesta.
-
Puhumme tästä lisää hetken kuluttua, mitä se tarkoittaa ja miksi se on hyödyllinen ominaisuus.
-
Kuten sanoin, Half Loop on vahvasti inspiroitunut AES:stä. Aluksi se voi tuntua hyvältä asialta, mutta yksityiskohdilla on merkitystä.
-
Miksi voidaan sanoa, että se on vahvasti inspiroitunut AES:stä?
-
Koska se käyttää samoja komponentteja.
-
Hetken kuluttua käymme läpi Half Loopin tarkemmin ja näemme, että S-Box, eli substitution box, on otettu suoraan AES:stä. Se on lohkosalauksen keskeinen osa.
-
He käyttävät samaa S-Boxia, mikä on järkevää, koska AES:n S-Box on vahva.
-
He käyttävät myös lähes samaa avainlaajennusta eli key schedulea.
-
Jos et tiedä mitä key schedule tarkoittaa, ei hätää. Käymme sen läpi pian.
-
AES:ssä tila on 16 tavua eli 128 bittiä, kirjoitettuna yleensä 4x4-matriisina. Half Loopissa se on kutistettu 3x1-matriisiksi.
-
Jokainen matriisin kohta on 1 tavu eli elementti joukossa F2^8.
-
AES:ssä käytetään 10 kierrosta, ja sama pätee täällä.
-
Nyt meillä on tämä valmis.
-
Haluan kertoa lisää tästä tweakista.
-
Miksi tarvitsemme sen?
-
Tai miksi haluamme tweakattavan lohkosalauksen?
-
Katsotaanpa kuuluisaa ECB-Tux-esimerkkiä.
-
Mitä tapahtuu, jos salaamme kuvan käyttäen ECB-tilaa eli electronic codebook -tilaa?
-
Muistathan, että AES tai muut lohkosalaimet salaavat yhden lohkon kerrallaan.
-
Mutta yleensä kuva...
-
on useampaa lohkoa. Kuvitellaan esimerkin vuoksi, että yksi lohko vastaa yhtä pikseliä.
-
Jos salaat jokaisen pikselin samalla avaimella ja ilman yhteyttä lohkojen välillä, eli electronic codebook -tilassa, niin silloin...
-
Lyhyesti sanottuna, ECB:n kanssa salattu kuva näyttää tältä.
-
Ja tietenkään tämä ei ole turvallista salausta, eikö?
-
Turvallinen salaus tarkoittaa, että alkuperäisestä viestistä ei paljastu mitään tietoa.
-
Mutta tässä on selvästi nähtävissä, että kyseessä on Tux-kuva.
-
Yleensä käytetään jotain toimintatilaa, kuten GCM. Esimerkiksi HTTPS:ssä käytetään GCM:ää.
-
Mutta jos käytät tweakattavaa lohkosalausta, jossa on lisäsyöte, voit käyttää ECB:tä. Se on kätevää, koska ECB on yksinkertainen.
-
Jos käytät tweakattavaa lohkosalausta ECB-tilassa, saat...
-
halutun lopputuloksen.
-
Saat vain kohinaa, eikä mitään tietoa paljastu.
-
Tweak on lisäsyöte, joka muuttuu vaikka selkoteksti ei muuttuisi.
-
Jos meillä on valkoinen pikseli ja toinen samanlainen valkoinen pikseli, saadaan ilman tweakia sama salattu tulos.
-
Mutta jos lisätään pikselin sijainti eli x- ja y-koordinaatit lisäsyötteenä salaimeen, saadaan eri salattu tulos, vaikka sisältö oli sama.
-
Tällöin saadaan taas turvallinen ja hyödyllinen lopputulos.
-
Ja tulos on taas turvallinen.
-
Lisäksi kannattaa käyttää esimerkiksi laskuria, jotta kun salataan eri kuvia, samassa kohdassa olevat pikselit eivät tuota samaa salaustulosta.
-
Mutta se on vain sivuhuomautus.
-
Mennään nyt syvemmälle ja tarkastellaan teknisesti Half Loop 24:n kierrosfunktiota.
-
Nämä ovat operaatioita, jotka toistetaan uudelleen ja uudelleen. Half Loopissa niitä suoritetaan 10 kertaa.
-
Näiden jälkeen saadaan salattu tulos eli ciphertext.
-
Vasemmalla puolella on syöte, eli joko selkoteksti tai nykyinen tila, jos ei olla ensimmäisellä kierroksella.
-
Tämä on 24 bittiä, joka jaetaan kolmeen tavuun, eli 3 kertaa 8 bittiä.
-
Ensimmäinen vaihe on kierrosavaimen lisäys.
-
Kierrosavain johdetaan
-
128-bittisestä pääavaimesta, ja se yhdistetään tilaan XOR-operaatiolla, eli eksklusiivisella TAI-operaatiolla.
-
Tämä tehdään jokaiselle bitille.
-
Jos bitit ovat samat, tulos on nolla.
-
Jos bitit ovat eri, tilabitti ja avainbitti, tulos on yksi.
-
Seuraava vaihe on S-box, ja kuten sanoin, tässä käytetään AES:n S-boxia. Toteutuksessa se on vain taulukko, jossa tehdään haku.
-
Syöte on 8-bittinen, joten mahdollisia arvoja on 256.
-
Taulukossa on jokaiselle syötteelle oma ulostuloarvo.
-
Turvallisuuden kannalta taulukon sisältö on tärkeä, mutta meille se ei ole nyt oleellista.
-
Seuraava vaihe on lineaarikerros, joka koostuu kahdesta osasta.
-
Ensimmäinen on RotateRow, joka tekee
-
bittien kierron jokaisessa tavussa. Sitten MixedColumn, joka voidaan kuvata matriisikertolaskuna binäärisellä 24x24-matriisilla.
-
Koska toimimme biteillä, laskut ovat XOR-operaatioita.
-
Toisin sanoen, kaikki lasketaan modulo 2, eli jokaisen bitin lopputulos on joko 0 tai 1.
-
Lopputulos on taas 24 bittiä.
-
24-bittinen tulos.
-
Tehdään lyhyt esimerkki.
-
Syöte on 0x01, 0x02 ja 0x03 heksadesimaaleina.
-
0 tarkoittaa 8 nollabittiä, 1 on kolme nollabittiä ja yksi ykkönen lopussa.
-
Meillä on myös kierrosavain, ja ensimmäinen vaihe on kierrosavaimen lisäys.
-
Tässä on sen operaation tulos.
-
Jos meillä on 0x7F ja 0x01, vähiten merkitsevä bitti käännetään, jolloin tulokseksi tulee 0x7E.
-
Ja nyt
-
Tässä diassa en tietenkään näytä kaikkia 256 S-boxin arvoa, mutta 0x7E löytyy, ja katsotaan mitä saadaan.
-
Syöte on 0x7E, ja ulostulo on 0xF3.
-
Aika yksinkertaista, vai mitä?
-
Lineaarikerros voi olla hieman vaikeampi ymmärtää, mutta luota siihen, että matriisikertolaskun tuloksena saadaan tämä uusi tila.
-
Kun tehdään välivaiheet, näet täällä rotaation ja sen jälkeen MixedColumn-vaiheen.
-
MixedColumn on myös...
-
operaatio AES:ssä.
-
Tämän jälkeen saadaan tämä ulostulo.
-
Kuten sanoin, Half Loopissa on 10 kierrosta.
-
Eli tämä kierrosfunktio suoritetaan 10 kertaa.
-
Ensimmäisessä kierroksessa lisätään kierrosavain 0, tehdään S-box, lineaarikerros ja siirrytään seuraavaan kierrokseen.
-
Lisätään kierrosavain 1, tehdään S-box, lineaarikerros ja niin edelleen.
-
Tämä toistetaan 10 kertaa, mutta
-
viimeinen kierros on hieman erilainen, koska lineaarikerros ei enää tuo lisäturvaa, joten se voidaan jättää pois.
-
Lisätään kuitenkin vielä yksi kierrosavain, muuten hyökkääjä voisi laskea takaisinpäin.
-
Tarvitaan siis avaimen lisäys aivan lopussa.
-
Siinä on koko Half Loop.
-
Tässä on koko algoritmi.
-
Syötetään selkoteksti vasemmalta, tehdään 10 kierrosta ja saadaan salattu teksti.
-
Mutta yksi asia puuttuu, en ole vielä selittänyt, miten kierrosavaimet saadaan, eikö niin?
-
Eli tietenkin...
-
Meillä on pääavain, mutta miten kierrosavaimet saadaan?
-
Tätä varten käytetään avainlaajennusta eli key schedulea.
-
Avainlaajennus on lainattu AES:stä pienin poikkeuksin, oikeastaan kahdella poikkeuksella.
-
Ensinnäkin kierrosavaimia tarvitaan vähemmän, joten määrä on pienempi.
-
Toiseksi meillä on tweak, joka XORataan alussa. Avain jaetaan kahteen osaan.
-
Ensimmäiset 64 bittiä ja loput 64 bittiä.
-
Ensimmäiseen 64 bittiin lisätään tweak T.
-
Tämä on siis
-
käytetty taajuus, aikaleima ja sanalaskuri.
-
Tämä XORataan avaimen ensimmäiseen osaan ja sitten suoritetaan AES-tyyppinen avainlaajennus.
-
AES:n key schedule on melko yksinkertainen.
-
Siinä käytetään XOR-operaatioita 32-bittisille sanoille, ja se on FISO-tyyppinen verkko.
-
Käytetään funktiota G.
-
Siitä ei tarvitse huolehtia, mutta siinä on lisää S-boxeja ja bittien uudelleenjärjestelyä.
-
Miten kierrosavaimet sitten saadaan?
-
Otetaan ensimmäiset 24 bittiä kierrosavaimeksi 0, seuraavat 24 bittiä kierrosavaimeksi 1 ja niin edelleen.
-
Lopulta jää yksi tavu jäljelle.
-
Sitten suoritetaan AES-avainlaajennus uudelleen.
-
Saadaan uusi tila.
-
Otetaan taas bitit käyttöön, jatketaan vain bittien käyttämistä.
-
Ja sitten ollaankin jo melkein valmiita.
-
Kierrosavain 10:stä on kasassa kaksi tavua.
-
Tarvitaan vielä yksi tavu.
-
Toistetaan funktio, mutta säilytetään vain ensimmäinen tavu ja hylätään loput.
-
Nyt meillä on kaikki 264 bittiä, eli 24 bittiä kertaa 11 kierrosta.
-
Nyt kun tiedämme, miten Half Loop toimii, katsotaan itse hyökkäystä.
-
Tämä hyökkäys perustuu kahteen tutkimusjulkaisuun.
-
Ensimmäinen artikkeli on "Breaking Half Loop 24", yhteistyössä Markus Dansarien kanssa, joka esitteli SoDarkin, Half Loopin edeltäjä, joka alun perin kiinnitti huomiomme.
-
Mukana oli myös Patrick Derbez Ranskasta ja ohjaajani Gregor Leander Bochumista.
-
Artikkelin lopputulos oli, että Half Loop 24 ei ole turvallinen. Meillä on toimiva hyökkäys, ja se on varsin vahva hyökkäys.
-
Sanotaanko näin...
-
Teoreettisesti katsoen, sanoimme että salaus voidaan murtaa, jos hyökkääjä voi salakuunnella 500 vuoden ajan.
-
Teoriassa tämä on erittäin vahva murtaminen, mutta käytännössä tuskin haittaa, jos hyökkääjän täytyy kerätä 500 vuoden viestintädataa.
-
Esitin tämän artikkelin viime vuonna Japanissa, FSE-konferenssissa, joka on Fast Software Encryption -konferenssi.
-
Kollegani Sharam, joka on nyt takaisin Bochumissa mutta tuolloin oli Nijmegenissä Alankomaissa, tuli luoksemme ja sanoi, että hyökkäystä voitaisiin ehkä parantaa.
-
Hyökkäystä voisi parantaa.
-
Panostimme siihen lisää aikaa.
-
Ja huomasimme, että sitä voi parantaa merkittävästi.
-
Tietenkin koska olemme akateemisessa maailmassa, kirjoitimme uuden artikkelin.
-
Esitin sen tänä vuonna FSE-konferenssissa Leuvenissa.
-
Saimme myös parhaimman paperin palkinnon.
-
Mikä oli tietysti meille todella hienoa.
-
Ennen kuin menemme yksityiskohtiin, haluan korostaa että kryptografiset hyökkäykset voivat tuntua oudoilta, koska hyökkääjät ovat todella voimakkaita.
-
Hyökkäyksissä hyökkääjällä, esimerkiksi Charliella, on usein oikeus pyytää Alicelta viestien salaamista, vaikka Alice säilyttää salaisen avaimen.
-
Charlie voi siis pyytää Alicea salaamaan jonkin selkotekstin.
-
Ja Alice tekee sen.
-
Tämä on tietysti hieman outoa, koska oikeassa elämässä näin ei pitäisi tapahtua.
-
Charlie ei voi vain mennä Alicen luo ja pyytää, että "salaisitko tämän puolestani".
-
Mutta se menee vielä oudommaksi: Charlie voi myös pyytää purkamaan salauksen.
-
Charlie voi sanoa "puratko tämän salatekstin C:n".
-
Alice vastaa selkotekstillä P, eli antaa alkuperäisen viestin.
-
Tätä jatketaan uudestaan ja uudestaan.
-
Lopulta Charlie yrittää ehkä selvittää salaisen avaimen.
-
Voisimme tehdä asiat vielä hullummiksi ja sanoa, että Charlie yrittää vain erottaa käyttikö Alice oikeaa salausta vai täysin satunnaista järjestelmää.
-
Mutta oletetaan, että Charlie yrittää selvittää avaimen.
-
Saatat miettiä, miksi hyökkääjät esitetään näin voimakkaina.
-
Syynä on se, että jos salaus kestää näin voimakkaita hyökkääjiä, voimme luottaa siihen entistä enemmän.
-
On monia esimerkkejä siitä, että tätä ei alun perin suunniteltu.
-
Esimerkiksi hyökkäyksissä, kuten Bleichenbacherin hyökkäyksessä, ei tarkoituksella anneta palautetta purkamisesta, mutta käytännössä saattaa paljastua esimerkiksi ensimmäinen bitti purusta.
-
Jos järjestelmäsi on turvallinen tällaisia hyökkäyksiä vastaan, olet hyvällä tiellä. Ja nyt viimeinen puuttuva palanen on differentiaalikryptoanalyysi.
-
Emme tietenkään mene tämän keskeisen menetelmän kaikkiin yksityiskohtiin. Se kehitettiin 1990-luvun alussa Bihamin ja Shamirin toimesta.
-
Muuten, Shamir-nimi voi kuulostaa tutulta, hän on sama henkilö kuin Shamirin salausjakojärjestelmässä ja RSA:ssa.
-
RSA:n S-kirjain tulee Shamirista.
-
Shamir oli erittäin aktiivinen ja arvostettu kryptografi.
-
He kehittivät differentiaalikryptoanalyysin.
-
Idea siinä on...
-
että ei katsota vain yhtä selkoteksti–salateksti-paria, vaan myös toista selkotekstiä.
-
Tässä on selkoteksti P ja toinen selkoteksti, joka on P XOR delta, niillä on siis tietty ero.
-
Eli kaksi selkotekstiä eroavat toisistaan tietyllä erotuksella delta.
-
Tässä käytän pientä delta-merkkiä kuvaamaan tätä arvoa.
-
Yleisesti käytämme isoa deltaa, kolmion muotoista merkkiä, osoittamaan että puhumme erotuksesta.
-
Delta P tarkoittaa P:n ja P XOR deltan välistä erotusta.
-
Koska kyseessä on XOR, P XOR P XOR delta antaa erotukseksi delta.
-
Differentiaalikryptoanalyysin idea on syöttää tietty ero sisään ja toivoa, että ulostulosta voi päätellä jotakin.
-
Merkintätavasta: emme näytä molempia salausajoja dioissa, vaan vain yhden ja sen erotuksen.
-
Näytämme vain sen erotuksen, joka kiinnostaa meitä.
-
Ja itse asiassa analyysiä ei tarvitse tehdä koko algoritmille, riittää, että se tehdään vain osalle algoritmista.
-
Nyt meillä on kaikki mitä tarvitsemme ja voimme siirtyä itse hyökkäykseen.
-
Mennään siis vielä teknisemmälle tasolle.
-
Tämän kuvan olet jo nähnyt.
-
Kyseessä on taas key scheluder.
-
Half Loopissa meillä on syötteenä paitsi selkoteksti myös tweak.
-
Oletetaan nyt, että hyökkääjä voi myös hallita tätä tweakia.
-
Käytännössä näin ei tietenkään ole.
-
Mutta oletetaan aluksi, että voimme hallita sitä täysin.
-
Katsotaan myöhemmin, miten tämä voidaan toteuttaa käytännössä.
-
Seuraavaksi asetamme eron tweak-arvoon.
-
Tässä kolmas tavu on se, jossa ero delta on.
-
Tweak on 64-bittinen ja kaikki muut tavut paitsi kolmas ovat nollia. Ero on siis vain kolmannessa tavussa.
-
Salaamme siis kaksi selkotekstiä, ja tweakit ovat samanlaisia paitsi kolmannen tavun kohdalla.
-
Nyt haluamme selvittää, mitä tapahtuu kierrosavaimille.
-
Tämä on itse asiassa melko yksinkertaista.
-
Jos ero on kolmannessa tavussa, myös ensimmäisen kierroksen avaimen kolmannessa tavussa on ero.
-
Eli ensimmäinen kierrosavain
-
on muuten sama, mutta kolmannessa tavussa on delta.
-
Kaikki muut ensimmäisen kierroksen bitit pysyvät samoina, koska ero on vain kolmannessa tavussa.
-
Seuraavaksi sovelletaan key scheluderin kierrosfunktiota.
-
Koska käytössä on XOR, ero jatkaa etenemistään.
-
Meillä on delta tässä, ja sitten delta myös tässä.
-
Eli ei eroa muissa kierrosavaimissa,
-
mutta kierrosavain 6:n ensimmäisessä tavussa ero ilmenee taas.
-
Eli jos salaamme P ja P-prime, joissa on eri tweakit, niin kierrosavaimen 6 ensimmäinen tavu eroaa näiden salausten välillä.
-
Ero etenee edelleen, joten myös kierrosavaimissa 7, 8 ja 9 on yhden tavun ero.
-
Ja jos ihmettelet,
-
Tämä data ei vaikuta muihin kohtiin, joten ne pysyvät samoina.
-
Nyt tarkastellaan Half Loopin koko rakennetta uudelleen.
-
Punaisella näkyvät ne kierrosavaimet, jotka eroavat näiden kahden salausajon välillä.
-
Voit jopa merkitä tarkat tavujen paikat.
-
Ero ilmestyy tänne, tänne, tänne, tänne ja tänne.
-
Hyökkäyksen tärkein vaihe on käyttää sellaista selkotekstiparia, jonka erotus vastaa tätä rakennetta.
-
Eli käytämme selkotekstejä, joiden kaksi ensimmäistä tavua ovat samat ja kolmas tavu eroaa delta-arvolla.
-
Delta voi olla mikä tahansa yhden tavun arvo, kunhan se ei ole nolla.
-
Kaikki paitsi nolla kelpaavat.
-
Erotukset kumoavat toisensa ja saamme tilan erotukseksi ison deltan nolla.
-
Tämä tarkoittaa, että ensimmäisen kierrosavaimen jälkeen salauksissa tila on sama, vaikka tweakit ja selkotekstit olivat eri.
-
Eli ensimmäisen kierrosavainvaiheen jälkeen tila on identtinen.
-
Jos syöte S-boxiin on sama, myös S-boxin ulostulo on sama.
-
Jos lineaarikerroksen syöte on sama, sen ulostulo on myös sama.
-
Jos syöte avaimenlisäykseen on sama ja kierrosavain on sama, myös tulos on sama.
-
Tämä toistuu kierrokseen 6 asti. Vasta silloin ero alkaa näkyä.
-
Ensimmäiset kuusi kierrosta voidaan käytännössä ohittaa ilmaiseksi.
-
Eli Half Loop 24 -algoritmissa, jossa on 10 kierrosta, voimme differentiaalihyökkäyksessä ohittaa 6 kierrosta.
-
Se ei tietenkään ole hyvä asia.
-
Meidän tarvitsee hyökätä vain jäljelle jääviä neljää kierrosta vastaan.
-
Kun tarkastelemme näitä neljää viimeistä kierrosta, tiedämme että näillä kahdella selkotekstillä ja eri tweak-arvoilla on erityinen yhteys.
-
Tässä kohdassa tiloissa ei ole vielä eroja.
-
Tilojen välillä ei ole eroja, joten ero on nolla.
-
Seuraavaksi ero tuodaan mukaan kierrosavainten avulla.
-
Täällä aivan lopussa ilmestyy viimeinen ero.
-
Ja oikealla puolella on lopullinen salattu teksti.
-
Koska voimme vaihtaa lineaarikerroksen ja kierrosavaimen lisäyksen paikkaa,
-
voimme ajatella, että sovelletaan ensin lineaarikerroksen käänteisfunktiota kierrosavaimeen ja sitten lisätään se.
-
Tällöin ero esiintyy tässä kohdassa.
-
Ja nyt voimme laskea.
-
Kuinka monta bittitietoa avaimesta tarvitaan, jotta voimme laskea salauksen takaisin ja saada selville tämän erotuksen?
-
Tarvitsemme selvästi kierrosavaimet 10, 9 ja 8.
-
Mutta kierrosavaimeen 7 tarvitaan vain ensimmäinen tavu, kun sovelletaan lineaarikerroksen käänteisfunktiota.
-
Tällä tavoin saamme tietoomme tämän erotuksen.
-
Kuinka monta bittiä tämä sitten on?
-
Kolme tavua täältä, kolme täältä, kolme täältä ja yksi täältä. Yhteensä siis 10 tavua eli 80 bittiä.
-
80 bittiä on paljon, jos haluaa tehdä brute force -hyökkäyksen, mutta vähemmän kuin 128 bittiä.
-
Joten tämä hyökkäys murtaa Half Loopin, ainakin teoreettisesti.
-
Hyökkäys toimii niin, että arvataan kaikki nämä 80 bittiä.
-
Symmetrisessä kryptografiassa arvaaminen tarkoittaa, että käydään kaikki mahdollisuudet läpi silmukassa.
-
Sitten lasketaan salaus takaisinpäin ja tarkistetaan, onko ero nolla.
-
Jos ero on nolla, avain on mahdollinen ehdokas, jota pitää tutkia lisää.
-
Jos ei ole, se hylätään.
-
Tällöin tiedämme, ettei kyseinen 80 bittiä ole oikea avain.
-
Sitten toistetaan prosessi.
-
Useilla selkoteksti–salateksti-pareilla lopulta löydämme oikean 80-bittisen avainyhdistelmän.
-
Eli hyökkäys toimii 2^80 laskennalla ja kuudella kyselyllä.
-
Kyselyt tarkoittavat viestejä, jotka Charlie lähettää Alicelle, selkoteksti ja salattu teksti.
-
Tämä on itse asiassa optimaalista.
-
Yksityiskohtiin menemättä on helppo osoittaa, että edes brute force -hyökkäys ei onnistu viidellä kyselyllä, koska vaihtoehtoja jää liikaa.
-
Tarvitaan siis vähintään kuusi kyselyä.
-
Mutta 2^80 on edelleen paljon.
-
Se vastaa suurin piirtein Bitcoin-verkon päivittäistä laskentatehoa.
-
Emme voi tehdä tätä yliopiston tietokoneella, mutta hyökkäystä voidaan parantaa.
-
Voidaan tehdä esilaskenta ja kokeilla vain kierrosavaimia 10 ja 9.
-
Tehdään etukäteen hakutaulukko, sitten haetaan sieltä ja tarkistetaan, toimiiko avain vai ei.
-
Tätä voi vielä parantaa, jos sallitaan kaksi lisäkyselyä, silloin tarvitsee vain 2^48 laskentaa.
-
2^48 on helposti suoritettavissa.
-
Me toteutimme hyökkäykset.
-
Selittämäni hyökkäykset ovat juuri nämä kaksi.
-
Tarvitset salauskyselyjä.
-
Eli voit pyytää Alicea salaamaan viestejä.
-
Mutta sinun ei tarvitse pyytää purkamaan mitään.
-
Jos saisit pyytää myös purkua, hyökkäyksestä tulisi paljon tehokkaampi.
-
Aikavaativuus tarkoittaa sitä, kuinka monta salausta tai purkua joudut itse suorittamaan. 2^10 on vain 1024.
-
Se on hyvin kevyt hyökkäys, mutta vaatii myös enemmän kyselyjä ja purkukyselyjä.
-
Se ei ole kovin realistinen hyökkäystilanne.
-
Mutta tässä tilanteessa, jossa tarvitsemme 2^56 tai 2^48 ja 5 gigatavua muistia, no, 5 Gt on mitätön määrä, helppo juttu.
-
Tämän voi oikeasti muuttaa käytännön hyökkäykseksi.
-
Tässä asetelmassa ei ole enää kyse teoriasta vaan ALE-protokollasta, eli automaattisesta linkinmuodostuksesta.
-
Tarvitaan jälleen 2^48, eli juuri tämä hyökkäys.
-
Lisäksi kahdeksan teoreettista kyselyä. Jos vain voimme pyytää Alicea salaamaan viestejä meille, se vastaa
-
kahden tunnin salakuuntelua Alicen ja Benjaminin välillä.
-
Seuraavaksi selitän, miten tämä toimii.
-
Mutta huomautetaan, että näiden kahden tunnin aikana pitää tietää myös selkotekstit.
-
Eli ei riitä, että sieppaat radioliikenteen, sinun täytyy salakuunnella tarkasti tiettyä asemaa.
-
Sinun täytyy tietää, mikä on viestinnän selkoteksti.
-
Tarkastellaan nyt hyökkäystä käytännössä.
-
Ensin täytyy ymmärtää, että ALE:ssa
-
kommunikoimassa ei ole vain kaksi osapuolta vaan koko verkko.
-
Kaikki verkon jäsenet jakavat saman symmetrisen avaimen.
-
Eli joukko käyttäjiä ja heillä on kaikilla sama avain.
-
Tavallisesti osapuolet ovat Alice ja Benjamin tai Bob.
-
Mutta tässä tapauksessa käytetään kutsutunnuksia, niin sanottuja call sign -koodeja.
-
Esimerkiksi Alice voi olla AAA.
-
Eli käytössä on kutsutunnukset.
-
Niitä voi verrata vaikka
-
lyhyisiin puhelinnumeroihin. Ne koostuvat kolmesta kirjaimesta, esimerkiksi AAA.
-
Zoomataan nyt kolmivaiheisen kättelyn ensimmäiseen viestiin, jonka Alice lähettää Benjaminille.
-
Meillä on Alice ja Benjamin, mutta nyt Alice on AAA ja Benjamin AQ. Ensimmäinen viesti, jonka AAA lähettää AQ:lle
-
ilmoittaa, että viesti on osoitettu AQ:lle. Se toistetaan ja lopussa sanotaan, että tämä on A. Kutsutunnukset ovat siis kolmikirjaimisia.
-
Jokainen kirjain on 7 bittiä, eli 3 x 7 = 21 bittiä. Jäljelle jää 3 bittiä, joita käytetään viestin tyypin "to" ja "this is" koodaukseen.
-
Muistat ehkä, että tweak T on 64-bittinen ja siihen koodataan aika, sanalaskuri ja käytetty taajuus.
-
Oletetaan, että käytetty taajuus pysyy samana ja aika on ajanhetki. Sanalaskuri kasvaa jokaiselle sanalle.
-
Ensimmäisessä sanassa laskuri on 1.
-
Toisessa 24-bittisessä sanassa laskuri on 2 ja luonnollisesti binaarimuodossa.
-
Kolmannessa sanassa laskuri on 3 eli binäärinä 11.
-
Oletetaan, että aikaa kuluu ja myöhemmin AAQ eli Benjamin lähettää saman viestin, koska hän haluaa muodostaa linkin AAA:n kanssa.
-
Tällöin viestit peilautuvat, 2AA, 2AA ja lähettäjänä AAQ.
-
Nyt kiinnostavaa on, mitä dataa on ennen tätä kohtaa.
-
Näemme, että selkoteksti on täysin sama.
-
Paitsi viimeinen tavu eroaa.
-
Ja tweakissä ero ilmenee kolmannessa tavussa. Siinä on neljä bittiä minuuteista ja neljä bittiä sekunneista.
-
Jos ero kutsutunnuksissa vastaa ajan eroa, saadaan sopiva pari, jossa on ero selkotekstissä ja tweakissa.
-
Silloin voimme suorittaa hyökkäyksemme.
-
Kerrataan, mitä viestityyppejä hyökkäys edellyttää.
-
Taajuuksien pitää olla samat, oletetaan ALE-verkon taajuuden pysyvän vakiona.
-
Sanalaskurien pitää olla samat, mutta tämä on helppoa koska molemmat aloittavat sanasta 1.
-
Kun vertaat kahta sanaa, laskuri on aina sama.
-
Lisäksi tarvitsemme sen, että
-
viestit lähetetään saman 60 minuutin aikaikkunan sisällä.
-
Eli minuutin ylemmät bitit ovat samat, ja ero on vain minuutin viimeisissä neljässä bitissä. Sekunneista kahden bitin täytyy myös täsmätä.
-
Oletetaan, että nämä arvot jakautuvat satunnaisesti, jolloin tämä osuu kohdalleen sattumalta.
-
Lisäksi tarvitsemme, että ero
-
ajan jäljellä olevissa 8 bitissä vastaa kutsutunnuksen erotusta.
-
Tämäkin tapahtuu lopulta sattumalta, jos verkko on riittävän suuri.
-
Näiden ehtojen ja lisäoletusten, kuten viestien määrän ALE-verkossa, perusteella voidaan laskea, että tarvitaan noin kaksi tuntia tiedonkeruuta.
-
Ja siinä se oikeastaan on.
-
Mutta ennen kuin mennään...
-
vastaan ensin muutamaan ilmeiseen kysymykseen. Ilmoitimmeko tästä Natolle? Kyllä ilmoitimme, mutta emme koskaan saaneet vastausta. Lähetimme heille paperin ennen julkaisua.
-
He eivät kuitenkaan koskaan palanneet asiaan, mikä tarkoittaa, että moni ilmeinen kysymys jäi vaille vastausta. Emme siis tiedä kaikkea.
-
Esimerkiksi emme tiedä, aikooko NATO korvata Half Loopin jollain toisella algoritmilla. Haluaisin tietää.
-
Valitettavasti emme tiedä.
-
Toinen ilmeinen kysymys on: miksi ei vain käytetä AES:ää?
-
AES on hyvin tutkittu salausalgoritmi.
-
Miksi ei siis AES?
-
Miksi kehitettiin uusi Half Loop -salaus, joka muistuttaa lähinnä AES:n supistettua versiota?
-
Taas kerran, hyvä kysymys.
-
En tiedä selkeää vastausta.
-
Sanotaan, että AES-lohkot ovat liian suuria.
-
Korkeataajuisessa radiossa kaistanleveys on rajallinen
-
eli voidaan lähettää vain pieniä lohkoja, ja siksi ehkä kehitettiin tämä pienimuotoinen versio. Tosin AES:ääkin voi käyttää pienille lohkoille, esimerkiksi counter-modessa.
-
Lisäksi voidaan lisätä erillinen autentikointi, mutta he tekivät näin. Tässä on vielä muutamia kuvia, jotka ehkä herättävät kysymyksiä, jos et halua kysyä nyt.
-
jos katsot tätä tallenteena myöhemmin, voit myös ottaa yhteyttä.
-
Jos katselet tallennetta tai jotain muuta, ole rohkeasti yhteydessä.
-
Keskustelen mielelläni. Kiitos, se oli siinä.
-
Kiitos.
-
Kiitos, Lukas.
-
Jos haluat esittää kysymyksen ja olet paikan päällä, mene mikrofonin luo.
-
Jos olet verkossa, laita kysymys IRC:n tallennekanavaan.
-
Ensimmäinen kysymys tulee netistä, Signal Angelin kautta.
-
Hei ja kiitos todella mielenkiintoisesta esityksestä.
-
Meillä on kysymys internetin kautta.
-
Näytätte onnistuneen käyttämään tunnettuja menetelmiä nykyistä sotilassalausta vastaan.
-
Tiedättekö, käyttääkö armeija vertaisarviointia vahvistaakseen algoritmejaan?
-
Huomasin myös, että yksi kirjoittajista vaikutti olevan sotilasyliopistosta.
-
Voisitteko sanoa, että siviili- ja sotilastutkijat tekevät nyt enemmän yhteistyötä kuin 20 vuotta sitten?
-
Tämä oli varmaan useampi kysymys.
-
Ensimmäinen taisi olla, onko vertaisarviointia käytössä. No, riippuu miten vertaisarviointi määritellään, mutta akateemisessa maailmassa se on itsestään selvää.
-
Juuri näin toimitaan.
-
Jos haluat suunnitella uuden salauksen, lähetät sen konferenssiin tai lehteen ja saat palautetta muilta tutkijoilta.
-
Mutta tässä tapauksessa en usko, että mitään vertaisarviointia on ollut.
-
Tämä standardi vain on olemassa.
-
En tiedä, onko sisäistä arviointia tehty.
-
Toivon, että olisi, mutta jos olisi, toivon että he olisivat huomanneet heikkouden.
-
Toivottavasti.
-
Mutta toisaalta, olisi myös toivonut, että he olisivat löytäneet haavoittuvuuden itse.
-
Selvä.
-
Sitten unohdinkin jo seuraavan kysymyksen.
-
Olisiko ollut kyse yhteistyöstä sotilas- ja siviilisektorin välillä?
-
Kyllä, kysymys oli, onko yhteistyö sotilaan ja siviilin välillä lisääntynyt?
-
No siis...
-
En oikeastaan osaa sanoa. Kuten sanoin, me ilmoitimme heille, mutta emme saaneet vastausta.
-
Ehkä se tarkoittaa enemmän ei kuin kyllä, mutta en voi sanoa mitä muualla tapahtuu.
-
Kuten aiemmin sanoin, viimeinen kysymys olikin miksei käytetä suoraan AES:ää.
-
Väittäisin, ettei kryptografiassa ole tarvetta käyttää erillisiä salauksia, koska yleisesti käytettävän salauksen tulisi olla niin turvallinen, että armeijakin voi käyttää sitä.
-
Sen pitäisi olla niin turvallinen, että myös sotilaskäyttö onnistuu huoletta.
-
Kiitos.
-
Mikrofoni täällä edessä.
-
Hei, kiitos esityksestä.
-
Halusin kysyä, onko todellisessa hyökkäyksessä tweak tiedossa vai ei?
-
Kyllä, ehkä voin palata tähän kalvoon.
-
Tässä näkyy tweak, kyllä?
-
T on tweak, ja se koostuu pääasiassa aikaleimasta.
-
Ja totta kai aika on tiedossa.
-
Voit katsoa kellosta.
-
Tiedät kellonajan.
-
Sanalaskuri alkaa ykkösestä ja kasvaa siitä ylöspäin.
-
Käytetty taajuuskin on tiedossa, koska sitä kuunnellaan radiosignaalina.
-
Kiitos.
-
Täällä seuraava.
-
Ensinnäkin, kiitos erittäin kiinnostavasta esityksestä.
-
Mainitsit, että tarvitaan noin 120 minuuttia dataa.
-
Ymmärtääkseni Half Loopia käytetään vain kädenpuristuksen salaamiseen.
-
Kuinka todennäköistä on, että oikeasti saadaan kasaan kaksi tuntia kädenpuristuksia?
-
Niin, kaksi tuntia on oletus. Oletetaan, että viesti lähetetään aina
-
unohdin tarkalleen, ehkä kymmenen sekunnin välein.
-
Sitten voidaan keskustella, kuinka monta viestiä oikeasti lähetetään.
-
Mutta tuo kymmenen sekuntia per viesti on yksi arvio.
-
Riippuu toki siitä, kuinka paljon liikennettä on.
-
Mutta nuo kaksi tuntia eivät tarkoita kahden tunnin viestimäärää.
-
Se tarkoittaa vain sitä, että joudut odottamaan kaksi tuntia, jotta tarvittavat viestit sattuvat kohdalleen.
-
Eli...
-
Sanot siis, että nämä viestit löytyvät kahden tunnin kuluessa?
-
Kahdessa tunnissa, kyllä.
-
Selvä, kiitos.
-
Kiitos.
-
Meillä on vielä yksi kysymys tuolla.
-
Tiedän, että AES:ää vastaan on hyökkäyksiä, jos sinulla on käytössä siihen liittyviä avaimia.
-
Joten kysyisin ensin, liittyykö tämä hyökkäys sellaiseen tapaukseen?
-
Tämä on itse asiassa hyvin samankaltainen. Kun hyökkääjällä on käytössään liittyviä tweakeja, se vastaa liittyviä avaimia.
-
Ja nyt, mitä tapahtuu... vaihdetaanpa kalvo nopeasti...
-
Tässä kalvossa, tai hetkinen, väärä kalvo.
-
Tässä siis lisätään tweak osaksi avainta.
-
Ja tämä on itse asiassa todella huono idea.
-
Ensimmäisessä tweakable block cipher -julkaisussa sanotaan selvästi: älä tee näin.
-
Jos teet näin, saat turvallisuutta vain suunnilleen puolet bittimäärästä.
-
Tämä johtaa geneeriseen hyökkäykseen, joka toimii, koska tweak on lisätty avaimen osaksi.
-
Kuten sanoit, tämä muistuttaa liittyvien avainten hyökkäystä, ja niissä hyökkäykset voivat olla erittäin tehokkaita. AES:ää vastaan on tiedettyjä liittyvien avainten hyökkäyksiä.
-
Näitä on dokumentoitu.
-
Luultavasti vain suuremmissa AES-versioissa, mutta kyllä, liittyvät tweakit ovat mahdollisia ja hyökkäykset muistuttavat niitä.
-
Jos saan, vielä yksi pieni lisäkysymys.
-
Kyllä.
-
Miksi he suunnittelivat salauksen tällä tavalla?
-
Ymmärtääkseni tämä oli jo tiedossa, kun Half Loop otettiin käyttöön.
-
Niin, sitäkin.
-
Se on yksi niistä kysymyksistä, joihin haluaisin vastauksen, mutta minulla ei ole sitä.
-
Ehkä he eivät vain tienneet siitä.
-
Tweakin lisääminen avaimeen on helppo tehdä, jos ei tiedä että se on huono idea.
-
Jos ei tiedä, että se ei ole hyvä ratkaisu.
-
Se saattaa näyttää hyvältä idealta ensisilmäyksellä, mutta ei se ole.
-
Täällä oli jatkokysymys.
-
Kiitos.
-
Eli...
-
Vaikka sanoit ettet käsittelisi 48- ja 96-versioita, niin mikä olisi arviosi siitä, kuinka paljon työtä tarvitaan niiden murtamiseen?
-
No, ensinnäkin, kuten sanoin, koska tweak XORataan avaimeen, se pätee myös Halfloop 48- ja 96-versioihin, mikä mahdollistaa geneerisen hyökkäyksen.
-
Se tarkoittaa, että hyökkäys toimii myös niissä.
-
Kryptografian näkökulmasta tämä tarkoittaa jo, että akateemisesti algoritmi katsotaan murretuksi.
-
Mutta hyökkäys, jonka datakompleksisuus on 2^64, ei ole kovin käytännöllinen, koska niin paljon dataa ei koskaan tulla salaamaan Halfloopilla.
-
Toisessa paperissamme käsittelemme näitä suurempia versioita ja joitain niin sanottuja "middle meet" -hyökkäyksiä.
-
Mutta nekään eivät ole käytännöllisiä.
-
Vaikea sanoa, kuinka paljon työtä tarvittaisiin.
-
Mutta yleisesti sanoisin: älä luota niihin, vaikka niitä ei ole vielä murrettu yhtä pahasti kuin Halfloop24, mutta parempi olla käyttämättä.
-
Kiitos.
-
Seuraava kysymys verkosta.
-
Signal Angelilta.
-
Kiitos.
-
Seuraava kysymys on: mitä tapahtuu, jos salaus tapahtuu ajassa 11.03.03.998 ja purkuajassa 11.03.04.001?
-
Eli sekunnit ovat eri.
-
Rehellisesti sanottuna, en tiedä, koska en tunne radioviestintää kovin hyvin.
-
Mutta pahimmassa tapauksessa kokeillaan molemmat.
-
Tarkoitan...
-
Halfloopin purku on todella nopeaa, ja koska selväteksti on hyvin rakenteellista...
-
Jos katsotaan tätä esimerkkiä, tunnisteet ovat täällä ja niiden täytyy täsmätä. Pahimmassa tapauksessa kokeillaan molempia sekuntiarvoja ja katsotaan tuleeko roskaa vai oikea arvo.
-
Mutta kannattaa olla varovainen. Jos tekee sen vain kerran tai kahdesti, ei se haittaa.
-
Mutta jos alat purkaa tuhansia viestejä eri tweak-arvoilla, se ei ole hyvä idea.
-
Silloin hyökkääjäkin saa tietoa ilmaiseksi, mikä ei ole hyvä juttu.
-
Hän saa ilmaiseksi jotain hyödyllistä.
-
Kiitos.
-
Täällä seuraava kysymys.
-
Voiko tämän algoritmin korjata, vai pitäisikö vain käyttää AES:ää?
-
Se riippuu siitä, miten "korjattava" määritellään.
-
Yksi ratkaisu olisi lisätä huomattavasti enemmän kierroksia.
-
Se kyllä estäisi tämän hyökkäyksen, mutta geneerinen ongelma on se, että tweak lisätään avaimeen. Se täytyisi korjata, ja siihen on olemassa ratkaisuja.
-
Tweakable block cipherien kohdalla kirjallisuudessa tiedetään, miten tämä tulisi tehdä. Esimerkiksi three key -viitekehys voisi auttaa.
-
Mutta onko sen korjaaminen vaivan arvoista? En tiedä. Yleisesti ottaen Halfloopin suunnittelu...
-
AES:n S-boksin käyttö on hyvä juttu.
-
Siirrot ovat vähän omituisia, ne voisi siirtää mix column -operaatioon.
-
Mutta yleisesti komponentit ovat vahvoja.
-
Eli meillä on vahva lineaarinen kerros ja vahva S-boksi.
-
Mutta yksityiskohdilla on väliä.
-
Jos todella haluat, sen voisi korjata.
-
Mutta en usko, että siinä olisi hirveästi järkeä.
-
Kiitos.
-
Takarivissä on joku mikrofonilla.
-
On olemassa hyökkäyksiä, jotka kohdistuvat lohkon kokoon eikä avaimen kokoon, kuten esimerkiksi Sweet32 triple DES:llä.
-
Tässä algoritmissa on pieni lohkokoko.
-
Luuletko, että se on haavoittuva tällaisille hyökkäyksille?
-
Kyllä, juuri niin.
-
Pienien lohkokokojen kanssa täytyy olla erittäin varovainen.
-
Selvätekstissä ei ehkä ole tarpeeksi materiaalia, mutta täällä on tweak, eli...
-
Siinä on kuitenkin jotain vaihtelua.
-
Eli jos teet sen oikein...
-
Saat vaihtelua, mutta silti täytyy olla tarkkana.
-
Mainitsit aiemmin differentiaalikryptanalyysin ja tällöin tutkitaan miten erot leviävät, myös ei-deterministisissä tilanteissa.
-
Yleensä ei voida sanoa kovin paljoa, mutta 24 bitin tapauksessa voidaan todennäköisesti laskea koko DDT-taulukko.
-
Se on siis ero-jakaumataulukko, mikä on hieman kiusallista, koska yleensä symmetrisessä kryptossa sitä ei voida tehdä koko salaukselle.
-
Mutta tässä se saattaa olla mahdollista.
-
Jos siis todella haluat tarkastella turvallisuutta tai korjata salauksen, se ei ole mitätöntä.
-
Tarvitaan kunnon analyysiä, jotta nähdään pysyykö se turvallisena vai ei.
-
Kiitos.
-
Tiedetäänkö mitään algoritmin suunnittelijoista?
-
Voiko se olla NSA:n lahjoittama?
-
Ja käsittääkseni, vaikka minulla ei ole lähteitä, tämä tuli enemmän...
-
Korkeataajuusradioyhteisöltä tämä suunnittelu.
-
Eli...
-
Sanotaan näin...
-
Tarkoitan...
-
Se ei ollut edes vitsi.
-
Tiedän, että lahjoituksia on tehty paljon...
-
Kyllä, kyllä, tiedän.
-
Mutta halusin sanoa, että...
-
On olemassa Schneierin laki.
-
Jokainen voi suunnitella salauksen, joka ei ole turvallinen.
-
Ei turvallinen, mutta jonka suunnittelija itse luulee olevan.
-
En siis syyttäisi suunnittelijoita, vaan niitä jotka standardisoivat tämän ilman kunnollista analyysiä. Heitä minä syyttäisin.
-
Selvä. Takarivin mikrofoni taas.
-
Hei, kiitos hyvästä esityksestä.
-
Onko sinulla käsitystä miksi he yhä käyttävät ECB:tä eivätkä jotain muuta tilaa?
-
Ehkä.
-
Missä se nyt olikaan...
-
ECB:n käyttö on itse asiassa ok, koska kyseessä on tweakable block cipher.
-
Ja koska tweak muuttuu jokaisella...
-
Koska tweak sisältää sanalaskurin ja aikaleiman, ECB:n käyttö on ihan hyväksyttävää.
-
Se ei siis ole haavoittuvuus.
-
Se tekee siitä jopa aika yksinkertaisen.
-
Selvä, täällä eturivissä.
-
Onko sinulla proof of concept tästä hyökkäyksestä, vai onko se juridisesti ongelmallista?
-
Meillä on toteutus.
-
Julkaisussa on linkki GitHubiin, ja siellä on toteutus.
-
Me teimme sen.
-
Emme tietenkään salakuunnelleet HF-radiota, vaan teimme tämän laboratoriossa.
-
Generoimme selvätekstit itse ja sitten ajoimme hyökkäyksen.
-
Hyökkäyksessä on käytännössä kaksi vaihetta.
-
Ensimmäinen on oikeastaan juuri se, mitä näytin.
-
Eli selvitetään...
-
viimeisten kierrosten avainbitit ja tämä vei jotain kahden viikon verran CPU-klusterilla. Ei mikään uusi kone, mutta jos haluat ja sijoitat rahaa, saat tämän puristettua ehkä tuntiin.
-
Kun sinulla on tämä osa, joudut brute forcaamaan loput avaimet ja se on hieman yksinkertaisempaa, koska kyse on vain suorasta brutepakko-hyökkäyksestä.
-
Tämän voi ajaa GPU:lla ja se vie ehkä kahdeksan tuntia lisää ja sitten se on siinä.
-
Selvä, tarkistetaan vielä.
-
Ei enää kysymyksiä salissa.
-
Joten suuret kiitokset loistavasta esityksestä Lukas Stennisille.
-
♪ (38C3 outromusiikki) ♪
-
Translated by Robert Ylitalo
(KYBS2001 course assignment at JYU.FI)
