HAFİF SIKLET ALGORİTMALAR GÜVENLİKTE DE HAFİF SIKLET MİDİR? KRİPTO GÜNLERİ 2015 ÇAYIROVA HAFİF SIKLET ALGORİTMALAR GÜVENLİKTE DE HAFİF SIKLET MİDİR? Orhun Kara

Hafif Sıklet Kripto Algoritması Kısıtlı kaynakla belirlenmiş bilgi güvenliğini sağlayan algoritma Kısıtlı kaynak Alan Güç Tüketimi RFID etiketleri Enerji Tüketimi Mobil cihazlar Sensor ağlar Donanım ≈1000-2000 GE Yazılım 8 bit mikroişlemci 1-2 KB ROM ve RAM

Alan 1 mm2 de yaklaşık 10 milyon transistör 8 nm 2 girdili 1 NAND kapısı= 1 GE

Alan Yaklaşık 10.000 GE alan Güvenliğe 2.000 GE yer ayrılmış RFID Etiketi

Bazı kripto algoritmalarının kapladığı alanlar

Yazılımda alan

Güç tüketimi

Enerji tüketimi

Dizi şifreleme/Blok şifreleme Son 10 yılda blok şifreleme tasarımları Donanımda alan Güç tüketimi Blok şifrelemeler şampiyon!

Dizi Şifreleme/Blok Şifreleme Yıl Blok Şifreleme Dizi Şifreleme 2006 Hight, mCrypton Grain 2007 Clefia, PRESENT, DESL 2008 Mickey, Trivium 2009 Katan/Ktantan FCSR 2010 GOST revisited, PRINTCipher 2011 LBlock, Picolo, LED, TWINE 2012 Kanarya, Klein, PRINCE 2013 ITUBee, Simon, Speck, Zorro 2014 PRIDE 2015 Sprout

Blok Şifreleme/Dizi Şifreleme 0.13 ya da 0.18 µm Trivium 2600 GE Grain 1294 GE Mickey 3600 GE Neden insanoğlu blok şifrelemeleri daha kompakt tasarlayabiliyor? LED 966 GE Ktantan 462 GE Simon 763 GE PRINTCipher 503 GE ZHV Ödümleşim atakları: k bit güvenlik için en azından 12k GE yazmaç maliyeti 80 bit için 960 GE, 128 bit için 1536 GE: Daha kalem oynatmadan harcayacağınız maliyet!

Genel olarak zayıflıklar Kısa blok boyu 32/48 bit, kod kitabı Kısa anahtar boyu 40,48,64,80 bit anahtar boyları Ödümleşim atakları Hellman ve gökkuşağı tabloları İlintili anahtar atakları Tasarımcılar yok sayıyor Yan kanal atakları Hafifsıkletin baş belası Yapısal zayıflıklar Öğrenecek çok şey var

Anahtar Boyu: Kaba kuvvet atağı 80 bit kısa, 48 bit çok kısa! Hellman: - The first thing we'd like to hit is the key size of the proposed standard. We feel it's too small, both today - we feel it's vulnerable to attack by an agency such as NSA. If you have $20,000,000 to invest in a machine, you could break the proposed algorithm by exhaustive search in one day's time Art (NSA’dan): -Marty, Dana Grub, one of the engineers, made a study on produced figures that were quite at variance with yours, and instead of one day he gets something like 91 years. Stanford Ü. computer science araştırmacıları,NBS ve NSA, DES Tartışma Toplantısı, 1976. EFF DES Cracker, 250.000 $, 1998; 56 saat

Kısa Anahtar Boyu: Kaba kuvvet atağı Basit aritmetik: 80-56=24 24×1,5=36 1976+36=2012 Moore Yasasına göre 1976’da 56 biti kırmanın maliyeti ile 2012’de 80 biti kırmanın maliyeti aynı Üstelik hafifsıklet algoritmalar COPACOBANA gibi özel cihazlarda daha verimli: Az yer kaplıyorlar, anahtar şeması yok, blok boyu kısa, yüksek frekans! KLEIN AES ALAN 2500 20.000 FREKANS 500 MHz 300 MHz ÇEVRİM 12 10

ZHV Ödümleşim atakları ve blok şifreler İlk blok şifrelemeler ile başladı: Hellman tabloları DES, 1980 Dizi şifrelemeler: Golic ve Babbage, 1997 Dizi şifrelemelere Hellman tabloları: Biryukov, Shamir, 2000 Blok şifrelemeler zaten dizi şifreleme modunda şifreleme yapabiliyor: ÇGB ya da Sayaç modu. Yani blok boyu en azından anahtar boyu kadar olmalı! BV Anahtar K 32 bit blok boyu, 80 bit anahtar (Örneğin KATAN) m=248 , t=232 ; Tabloda 280 veri 3.5 PB Hafıza, bütün kod kitabı ve 264 şifreleme ile anahtar ele geçer. EK BV Kayan anahtar Anahtar K EK Kayan anahtar

Hellman tablosu: Yaygın kullanım 80 bit güvenli mi? Tek tablo: m=248 , t=216 . Yani 2,5 PB hafıza 264 ön hesaplama Anahtar başına 216 şifreleme ve Her 232 şifrelemede bir anahtar (216 anahtardan birisi ele geçiyor!) seçili açık metin atağı!

Yan kanal 45 nm CMOS Seri Gerçekleme Maskeli Seri Gerçekleme FIDES 80

Endüstrinin karnesi kötü! GSM

Endüstrinin karnesi kötü! GSM A5/1, A5/2: GSM telsiz haberleşmede gizlilik 64 (81) bit yazmaç, 64 bit anahtar A5/2 böl-ve-fethet ile PC’de kırılıyor A5/1 ZHV ödümleşim Comp128 GSM kimlik doğrulama ve oturum anahtarı oluşturma Çakışma atağı: 130K sorgu

Endüstrinin karnesi kötü! II Keeloq 32 bit blok 64 bit anahtar Kilit/alarm 216 seçili açık metin ile pratik atak Eurocrypt 2008 İstanbul Yan kanal atağı, güç analizi: birkaç dakikada anahtar, bir günde fabrika anahtarı; Ruhr Üniversitesi Bochum Hitag2 Immobilizer güvenliği 48 bit dizi şifreleme COPACOBANA ile 2 saat SATSolver PC’de 7 saat Gone in 360 seconds: 235 işlem; USENİX’12

Endüstrinin karnesi kötü! III Crypto-1 Mifare, temassız akıllı kart 48 bit anahtar, LFSR filtresi Cebirsel atak: PC’de 200 sn. ‘’The security of this cipher is therefore close to zero’’ Courtois DST40 Immobilizer güvenliği,  Exxon-Mobil Speedpass ödeme sistemi 40 bit anahtar, dengelenmemiş Feistel Information Security Institute: Tersine mühendislik ve FPGA ile kaba kuvvet atağı 11 saat, John Hopkins Üniversitesi 2005 COPACOBANA 9 dk.

Endüstrinin karnesi kötü! IV OMA Metin Asıllama Kodu Open Smart Grid Protocol (OSGP), Energy Service Network Association (ESNA), ETSI standardı 96 bit anahtar, şifreleme ile ortak 4 sorgu ve 225 işlem ile anahtar bulunuyor; FSE 2015 İstanbul E0 Bluetooth, 128 bit anahtar, kombine LFSR Şartlı ilinti atağı 223 çerçeve ve 238 işlem, Crypto 2005

Ktantan 32/48/64 bit blok boyları 80 bit anahtar, 254 çevrim İlk 111 çevrimde 6 bit anahtar ve son 131 çevrimde başka 6 bit etkisiz 3-altkümeli ortada buluşma atağı 275 Bogdanov ve Rechberger

Sprout 80 bit anahtar, 80 bit yazmaç ZHV ödümleşime dayanıklı! Grain’den esinlenmiş FSE 2015 İstanbul 320 TB hafıza ve 240 bit kayan anahtar ile 233 işlemde anahtarı ele geçirmek mümkün Anahtarın yazmaçla bağlantısı koparılabiliyor

Sonuç olarak… 80 bit en azından 96 bit Anahtar boyu 64 bit Yapısal analizler ve güvenlik varsayımları önemli Yan kanal çözümleri gerekli Blok boyu güvenliğin parçası

Sorular? Teşekkürler..