Методы и средства защиты информации ЛЕКЦИЯ 19: АСИММЕТРИЧНЫЙ АЛГОРИТМ ШИФРОВАНИЯ RSA Тейс Г.Н., 2013 RSA RSA (аббревиатура от фамилий Rivest, Shamir и Adleman) — криптографический алгоритм с открытым ключом, основывающийся на вычислительной сложности задачи факторизации больших целых чисел. Криптосистема RSA стала первой системой, пригодной и для шифрования, и для цифровой подписи. Алгоритм используется в большом числе криптографических приложений, включая PGP, S/MIME, TLS/SSL,IPSEC/IKE и других. 2 История [1] Опубликованная в ноябре 1976 года статья Уитфилда Диффи и Мартина Хеллмана «Новые направления в криптографии» перевернула представление о криптографических системах, заложив основы криптографии с открытым ключом. Разработанный впоследствии алгоритм Диффи — Хеллмана позволял двум сторонам получить общий секретный ключ, используя незащищенный канал связи. Однако этот алгоритм не решал проблему аутентификации. Без дополнительных средств пользователи не могли быть уверены, с кем именно они сгенерировали общий секретный ключ. 3 История [2] Изучив эту статью, трое учёных Рональд Ривест, Ади Шамир и Леонард Адлеман из Массачусетского технологического института приступили к поискам математической функции, которая бы позволяла реализовать сформулированную Уитфилдом Диффи и Мартином Хеллманом модель криптографической системы с открытым ключом. После работы над более чем 40 возможными вариантами, им удалось найти алгоритм, основанный на различии в том, насколько легко находить большие простые числа и насколько сложно раскладывать на множители произведение двух больших простых чисел, получивший впоследствии название RSA. Система была названа по первым буквам фамилий её создателей. 4 История [3] В августе 1977 года в колонке «Математические игры» Мартина Гарднера в журнале Scientific American, с разрешения Рональда Ривеста появилось первое описание криптосистемы RSA. Читателям также было предложено дешифровать английскую фразу, зашифрованную описанным алгоритмом: 5 История [4] В качестве открытых параметров системы были использованы числа n=1143816...6879541 (129 десятичных знаков, 425 бит, также известно как RSA-129 и e=9007. За расшифровку была обещана награда в 100 долларов США. По заявлению Ривеста, для факторизации числа потребовалось бы более 40 квадриллионов лет. Однако чуть более чем через 15 лет, 3 сентября 1993 года было объявлено о старте проекта распределённых вычислений с координацией через электронную почту по нахождению сомножителей числа RSA129 и решению головоломки. На протяжении полугода более 600 добровольцев из 20 стран жертвовали процессорное время 1600 машин (две из которых были факс-машинами). В результате были найдены простые множители и расшифровано исходное сообщение, которое представляет собой фразу «THE MAGIC WORDS ARE SQUEAMISH OSSIFRAGE» («Волшебные слова — это брезгливый ягнятник»). Полученную награду победители пожертвовали в фонд свободного программного обеспечения. 6 История [5] После публикации Мартина Гарднера полное описание новой криптосистемы любой желающий мог получить, выслав по почте запрос Рональду Ривесту, с приложенным конвертом с обратным адресом и марками на 35 центов. Полное описание новой криптосистемы было опубликовано в журнале «Communications of the ACM» в феврале 1978 года. Заявка на патент была подана 14 декабря 1977 года, в качестве владельца был указан MIT. Патент 4405829 был выдан 20 сентября 1983 года, а 21 сентября 2000 года срок его действия истёк. Однако за пределами США у изобретателей патента на алгоритм не было, так как в большинстве стран его необходимо было получить до первой публикации. 7 История [6] В 1982 году Ривест, Шамир и Адлеман организовали компанию RSA Data Security. В 1989 году RSA, вместе с симметричным шифром DES, упоминается в RFC 1115, тем самым начиная использование алгоритма в зарождающейся сети Internet В 1990 году министерство обороны США начинает использовать алгоритм. В ноябре 1993 года открыто публикуется версия 1.5 стандарта PKCS1, описывающего применение RSA для шифрования и создания электронной подписи. Последние версии стандарта также доступны в виде RFC (RFC 2313 — 1.5, 1993 год; RFC 2437 — 2.0, 1998 год; RFC 3447 — 2.1, 2002 год). 8 Описание алгоритма Введение [1] Криптографические системы с открытым ключом используют так называемые односторонние функции, которые обладают следующим свойством: Если известно x, то f(x) вычислить относительно просто Если известно y = f(x), то для вычисления x нет простого (эффективного) пути. Под односторонностью понимается не теоретическая однонаправленность, а практическая невозможность вычислить обратное значение, используя современные вычислительные средства, за обозримый интервал времени. 9 Описание алгоритма 10 Введение [2] В основу криптографической системы с открытым ключом RSA положена сложность задачи факторизации произведения двух больших простых чисел. Для шифрования используется операция возведения в степень по модулю большого числа. Для дешифрования за разумное время (обратной операции) необходимо уметь вычислять функцию Эйлера от данного большого числа, для чего необходимо знать разложения числа на простые множители. В криптографической системе с открытым ключом каждый участник располагает как открытым ключом (public key), так и закрытым ключом (private key). В криптографической системе RSA каждый ключ состоит из пары целых чисел. Каждый участник создаёт свой открытый и закрытый ключ самостоятельно. Закрытый ключ каждый из них держит в секрете, а открытые ключи можно сообщать кому угодно или даже публиковать их. Открытый и закрытый ключи каждого участника обмена сообщениями в криптосистеме RSA образуют «согласованную пару» в том смысле, что они являются взаимно обратными, то есть: Описание алгоритма 11 Введение [3] ∀ сообщения m∈M, где M – множество допустимых сообщений ∀ допустимых открытого и закрытого ключа P и S ∃ соответствующие функции шифрования Ep(x) и расшифрования Ds(x), такие что m = Ds(Ep(m)) = Ep(Ds(m)) Создание открытого и секретного ключей [1] RSA-ключи генерируются следующим образом: Выбираются два различных случайных простых числа p и q заданного размера (напр, 1024 бита каждое) Вычисляется их произведение n = p∙q, которое называется модулем Вычисляется значение функции Эйлера от числа n: (n)=(p-1)(q-1) Выбирается целое число e (1<e< (n)), взаимно простое со значением функции (n). Обычно в качестве e берут простые числа, содержащие небольшое количество единичных бит в двоичной записи, например, простые числа Ферма 17, 257 или 65537. 12 Создание открытого и секретного ключей [2] Число e называется открытой экспонентой (public exponent) Время, необходимое для шифрования с использованием быстрого возведения в степень, пропорционально числу единичных бит в e Слишком малые значения (напр., 3) потенциально могут ослабить безопасность схемы RSA 13 Вычисляется число d мультипликативно обратное числу e по модулю (n), то есть число, удовлетворяющее условию: d∙e ≡ 1 mod (n) Число d называется секретной экспонентой. Обычно, оно вычисляется при помощи расширенного алгоритма Евклида. Создание открытого и секретного ключей [3] 14 Пара {e,n} публикуется в качестве открытого ключа RSA (RSA public key) Пара {d,n} играет роль закрытого ключа (RSA private key) и держится в секрете Шифрование и расшифрование [1] Предположим, Боб хочет послать Алисе сообщение m. Сообщениями являются целые числа в интервале от 0 до n-1. 15 Шифрование и расшифрование [2] Алгоритм шифрования: 1. Взять открытый ключ (e,n) Алисы 2. Взять открытый текст m 3. Зашифровать сообщение с использованием открытого ключа Алисы: c = E(m) = me mod n Алгоритм расшифрования: 1. Принять зашифрованное сообщение c 2. Взять свой закрытый ключ (d,n) 3. Применить закрытый ключ для расшифрования сообщения: m = D(c) = cd mod n 16 Шифрование и расшифрование [3] Наиболее используемым в настоящее время является смешанный алгоритм шифрования, в котором сначала шифруется сеансовый ключ, а потом уже с его помощью участники шифруют свои сообщения симметричными системами. После завершения сеанса сеансовый ключ как правило уничтожается. 17 Шифрование и расшифрование [4] Алгоритм шифрования сеансового ключа выглядит следующим образом: 18 Шифрование и расшифрование [5] 19 Алгоритм шифрования: 1. Взять открытый ключ (e,n) Алисы 2. Взять открытый текст m 3. Зашифровать сообщение с использованием открытого ключа Алисы: c = E(m) = me mod n 4. Расшифровать сообщение c с помощью сеансового ключа симметричным алгоритмом: MA = Dm(c) Алгоритм расшифрования: 1. Принять зашифрованное сообщение c 2. Взять свой закрытый ключ (d,n) 3. Применить закрытый ключ для расшифрования сообщения: m = D(c) = cd mod n 4. Зашифровать сообщение MA с помощью сеансового ключа симметричным алгоритмом: C = Em(MA) В случае, когда сеансовый ключ больше, чем модуль n сеансовый ключ разбивают на блоки нужной длины (в случае необходимости дополняют нулями) и шифруют каждый блок. Цифровая подпись [1] Система RSA может использоваться не только для шифрования, но и для цифровой подписи. Предположим, что Алисе (стороне A) нужно отправить Бобу (стороне B) сообщение m, подтверждённое электронной цифровой подписью. 20 Цифровая подпись [2] Алгоритм передачи сообщения, подтвержденного ЦП: 1. Взять открытый текст m 2. Создать цифровую подпись с помощью своего секретного ключа {d,n}: s = SA(m) = md mod n 3. Передать пару {m,s}, состоящую из сообщения и подписи. Алгоритм расшифровки сообщения, подтверждённого ЦП: 1. Принять пару {m,s} 2. Взять открытый ключ {e,n} Алисы 3. Вычислить прообраз сообщения из подписи: m’ = PA(s) = se mod n 4. Проверить подлинность подписи (и неизменность сообщения), сравнив m и m’ 21 Цифровая подпись [3] Поскольку цифровая подпись обеспечивает как аутентификацию автора сообщения, так и подтверждение целостности содержимого подписанного сообщения, она служит аналогом подписи, сделанной от руки в конце рукописного документа. Важное свойство цифровой подписи заключается в том, что её может проверить каждый, кто имеет доступ к открытому ключу её автора. Один из участников обмена сообщениями после проверки подлинности цифровой подписи может передать подписанное сообщение ещё кому-то, кто тоже в состоянии проверить эту подпись. Например, сторона A может переслать стороне B электронный чек. После того как сторона B проверит подпись стороны A на чеке, она может передать его в свой банк, служащие которого также имеют возможность проверить подпись и осуществить соответствующую денежную операцию. 22 Цифровая подпись [4] Заметим, что подписанное сообщение m не зашифровано. Оно пересылается в исходном виде и его содержимое не защищено от нарушения конфиденциальности. Путём совместного применения представленных выше схем шифрования и цифровой подписи в системе RSA можно создавать сообщения, которые будут и зашифрованы, и содержать цифровую подпись. Для этого автор сначала должен добавить к сообщению свою цифровую подпись, а затем — зашифровать получившуюся в результате пару (состоящую из самого сообщения и подписи к нему) с помощью открытого ключа принадлежащего получателю. Получатель расшифровывает полученное сообщение с помощью своего секретного ключа. Если проводить аналогию с пересылкой обычных бумажных документов, то этот процесс похож на то, как если бы автор документа поставил под ним свою печать, а затем положил его в бумажный конверт и запечатал, с тем чтобы конверт был распечатан только тем человеком, кому адресовано сообщение. 23 Скорость работы алгоритма RSA [1] Поскольку генерация ключей происходит значительно реже операций, реализующих шифрование, расшифрование, а также создание и проверку цифровой подписи, задача вычисления a = bc mod n представляет основную вычислительную сложность. Эта задача может быть разрешена с помощью алгоритма быстрого возведения в степень. С использованием этого алгоритма для вычисления me mod n требуется O (ln e) операций умножения по модулю. 24 Скорость работы алгоритма RSA [2] Чтобы проанализировать время выполнения операций с открытым и закрытым ключами, предположим, что открытый ключ {e,n} и закрытый ключ {d,n} удовлетворяют соотношениям log2e = O(1), log2d ≤ β. Тогда в процессах их применения выполняется соответственно O(1) и O(β) умножений по модулю. Таким образом время выполнения операций растёт с увеличением количества ненулевых битов в двоичном представлении открытой экспоненты e. Чтобы увеличить скорость шифрования, значение e часто выбирают равным 17, 257 или 65537 — простым числам, двоичное представление которых содержит лишь две единицы: 1710=100012, 25710=1000000012, 6553710=100000000000000012 (простые числа Ферма). 25 Скорость работы алгоритма RSA [3] По эвристическим оценкам длина секретной экспоненты d, нетривиальным образом зависящей от открытой экспоненты e и модуля n, с большой вероятностью близка к длине n. Поэтому расшифрование данных идёт медленнее чем шифрование, а проверка подписи быстрее чем её создание. Алгоритм RSA намного медленнее, чем AES и другие алгоритмы симметричные блочные шифры. 26 Использование китайской теоремы об остатках для ускорения расшифрования При расшифровании или подписывании сообщения в алгоритме RSA показатель вычисляемой степени будет довольно большим числом (порядка 1000 бит). Поэтому требуется алгоритм, сокращающий количество операций. Так как числа p и q в разложении N=pq известны зашифровывающему, то можно вычислить: Поскольку p и q - числа порядка 2512 на эти действия потребуется два потенцирования с показателем 512 знаков по модулю 512-битового числа. Это существенно быстрее, чем одно потенцирование с 1024-битовым показателем по модулю числа с 1024 двоичными знаками. Далее осталось восстановить m по mp и mq что можно сделать с помощью китайской теоремы об остатках. 27 Криптоанализ RSA [1] Стойкость алгоритма основывается на сложности вычисления обратной функции к функции шифрования c = E(m) = me mod n. Для вычисления m по известным c,e,n нужно найти такой d, чтобы e∙d ≡ 1 (mod φ(n)) то есть d ≡ e-1 (mod φ(n)) 28 Криптоанализ RSA [2] Вычисление обратного элемента по модулю не является сложной задачей, однако злоумышленнику неизвестно значение φ(n). Для вычисления функции Эйлера от известного числа n необходимо знать разложение этого числа на простые множители. Нахождение таких множителей и является сложной задачей, а знание этих множителей — «потайной дверцей» (backdoor), которая используется для вычисления d владельцем ключа. Существует множество алгоритмов для нахождения простых сомножителей, так называемой факторизации, самый быстрый из которых на сегодняшний день — общий метод решета числового поля, скорость которого для k-битного целого числа составляет exp((c+o(1))k1/3 log2/3k для некоторого c<2. 29 Криптоанализ RSA [3] В 2010 году группе учёных из Швейцарии, Японии, Франции, Нидерландов, Германии и США удалось успешно вычислить данные, зашифрованные при помощи криптографического ключа стандарта RSA длиной 768 бит. Нахождение простых сомножителей осуществлялось общим методом решета числового поля. По словам исследователей, после их работы в качестве надежной системы шифрования можно рассматривать только RSAключи длиной 1024 бита и более. Причём от шифрования ключом длиной в 1024 бит стоит отказаться в ближайшие три-четыре года. С 31 декабря 2013 года браузеры Mozilla перестанут поддерживать сертификаты удостоверяющих центров с ключами RSA меньше 2048 бит. Кроме того, при неправильной или неоптимальной реализации или использовании алгоритма возможны специальные криптографические атаки, такие как атаки на схемы с малой секретной экспонентой или на схемы с общим выбранным значением модуля. 30 Атака Винера на RSA [1] В некоторых приложениях требуется ускорить процесс расшифровывания в алгоритме RSA. Поэтому выбирается небольшая расшифровывающая экспонента. В случае когда расшифровывающая экспонента d < N1/4 можно определить d за полиномиальное время с помощью атаки Винера, опирающейся на непрерывные дроби. 31 Атака Винера на RSA [2] Поскольку НОД(k,d)=1 то k/d подходящая дробь в разложении дроби E/N в непрерывную. Таким образом, можно узнать расшифровывающую экспоненту, поочерёдно подставляя знаменатели подходящих дробей в выражение: (ME)d = M mod N для некоторого случайного числа M. Получив равенство, найдём d. Общее число подходящих дробей, которое придётся проверить оценивается как O (ln N) 32 Обобщённая атака Винера Атака Винера, описанная выше, возможна лишь в том случае, когда атакующему известно о неравенстве где d — секретная экспонента, а N — модуль RSA. Бонех и Дерфи, используя двумерный аналог теоремы Копперсмита, смогли обобщить атаку Винера на случай, когда 33 Применение RSA Система RSA используется для защиты программного обеспечения и в схемах цифровой подписи. Также она используется в открытой системе шифрования PGP и иных системах шифрования (к примеру, DarkCryptTC и формат xdc) в сочетании с симметричными алгоритмами. Из-за низкой скорости шифрования (около 30 кбит/с при 512 битном ключе на процессоре 2 ГГц), сообщения обычно шифруют с помощью более производительных симметричных алгоритмов со случайным ключом (сеансовый ключ), а с помощью RSA шифруют лишь этот ключ, таким образом реализуется гибридная криптосистема. Такой механизм имеет потенциальные уязвимости ввиду необходимости использовать криптостойкий генератор случайных чисел для формирования случайного сеансового ключа симметричного шифрования и эффективно противостоящий атакам симметричный криптоалгоритм (в данное время широкое применение находят AES, IDEA, Serpent, Twofish). 34 Алгоритм шифрования сеансового ключа [1] Алгоритм шифрования сеансового ключа выглядит следующим образом: 35 Алгоритм шифрования сеансового ключа [2] Алгоритм шифрования сеансового ключа: 1. Взять открытый ключ (e,n) Алисы 2. Создать случайный сеансовый ключ m 3. Зашифровать сеансовый ключ с использованием открытого ключа Алисы: c = E(m) = me mod n Алгоритм расшифрования сеансового ключа: 1. Принять зашифрованный сеансовый ключ Боба c 2. Взять свой закрытый ключ (d,n) 3. Применить закрытый ключ для расшифрования сеансового ключа: m = D(c) = cd mod n Далее оба участника шифруют свои сообщения с помощью одного сеансового ключа. 36 Ваши вопросы 37