هدافتهسا دروهم مه ) دامن( XOR د نام هداس یعباوت اهولاع هبce.sharif.edu/courses/94-95/1/ce442-1/resources/root/Slides/DataNetSec... · یتسو

امنیت داده و شبکه محمد صادق دوستی

صنعتی شریف دانشگاه آزمایشگاه امنیت داده و شبکه دانشکده مهندسی کامپیوتر

محمد صادق دوستی

http://dnsl.ce.sharif.edu

(مدرن)رمزنگاری متقارن

1 / 128

128 / 2 امنیت داده و شبکه محمد صادق دوستی

فهرست مطالب

رمزهای متقارن و قالبی•

ساختار رمزهای فایستل•

(DES)استاندارد رمزگذاری داده •

3DESو 2DESالگوریتمهای رمز •

(AES)استاندارد رمزگذاری پیشرفته •

رمزهای متقارن معروف•

سبک های کاری رمزهای متقارن•


رمزگذاری مدرن -رمزگذاری کالسیک

جانشههی ی و اَعمهها در روشهههای رمزگههذاری مههدرنا همزمههان ا

.استفاده می شود جایگشت

ساده مان د توابعیبه عالوهاXOR (نماد : ) هم مهورد اسهتفاده

.می گیردقرار

مجموعه اعما فوق طی مراحهل متهوالی روی مهتو اولیهه اعمها

.می شوند

روشهای رمزگذاری مهدرن الهام بخشچرخ ده ماشیو هایتک یک

.بوده است


های رمز متقارن الگوریتم

رمزهای قالبی یا قطعه ای(Block Cipher)

صورت قطعه به قطعه به پیغامهاپردا ش

بیت 256یا 128ا 64: اندا ه متعارف مورد استفاده برای قطعات.

رمزهای جریانی(Stream Cipher)

(بیت به بیت)به صورت پیوسته پیغام هاپردا ش


رمزهای قالبی

الگوریتم رمز گذاری

متو آشکار

b بیت

متو رمز

b بیت

کلید (K) الگوریتم رمز گشایی

متو رمز

b بیت

آشکارمتو

b بیت

کلید (K)


جریانیرمزهای

رمز گذاری

الگوریتم مولد بیت تصادفی

کلید (K)

ki

pi

ارشک

ن آمت

ci ن

متمز

ر رمز گشایی

الگوریتم مولد بیت تصادفی

کلید (K)

ki

ci pi

ارشک

ن آمت


رمز قالبی آرمانی

ا برگشت پذیر نگاشتهایتعدادb بیت بهb بیت:

(!b2 ) به نمای 2» فاکتوریل یعنی؛b»

یک کلید مت اظرهر نگاشت

نگاشتهالگاریتم تعداد :طول کلید رمز قالبی آرمانی

چ یو طو کلیدی قابل تحقق نیست!

(بیت)طول تقریبی کلید (بیت)اندازه قالب

64 1021

128 10404

256 10793











رمز جایگزین برای رمز قالبی آرمانی

نیا به کاهش طو کلید و ایجاد تقریبی ا رمز قالبی آرمانی

ایده رمز فایستل

فایستل هورسْت(Horst Feistel)

1915 1990الی

طراح رمز در –رمزنگار آلمانیIBM

مقاله«Cryptography and Computer Privacy»

مجلهScientific Amertican – 1973سا


فایستلرمز ساختار

ایده رمز محصولی(Product Cipher :)قطعه الگوریتم رمزا

. ورودی را در چ د مرحله ساده و متوالی پردا ش می ک د

می گوییم دوربه ایو مراحل.

و جانشهی ی همچهون ای سهاده اعمه ا مبت هی بهر ترکیه هر دور

.استوار است جایگشت


شبکه فایستل

ک د میفایستل هر قطعه ورودی را به دو نیمه تقسیم شبکه.

یک دور ا شبکه فایستل:

:رمزگذاری𝐿𝑛+1 ← 𝑅𝑛 𝑅𝑛+1 ← 𝐹 𝑅𝑛, 𝑘𝑛 ⊕𝐿𝑛

:رمزگشایی𝑅𝑛 ← 𝐿𝑛+1 𝐿𝑛 ← 𝐹 𝐿𝑛+1, 𝑘𝑛 ⊕𝑅𝑛+1


ساختار کامل شبکه فایستل

رمزگذاری

F : (ثابت است دورهادر تمام )تابع دور

0k تاkn : کلیدها یر

می شوندا کلید اصلی مشتق کلیدها یر.


عوامل مؤثر در ساخت رمزهای مبتنی بر شبکه فایستل

اندا ه قطعه

طو کلید

دورهاتعداد

(کلیدهای دور) یرکلیدهاالگوریتم تولید

تابع دور(F)

باشد برگشت پذیرال م نیست.

برگشت ناپذیری F می افزایدبر ام یت رمز!











DES - 1تاریخچه

ا مؤسسه استاندارد آمریکا 1972در سا(NBS ) نیا های ام یهت

.در دولت آمریکا را بررسی نمود رایانه ای

مشخص شد که دولت نیا به الگوریتم استانداردی دارد کهه بها آن

.را رمز نمایدحساس ولی شده طبقه ب دیغیر اطالعات

فراخوانی برای پیش هاد الگوریتم رمز داده شدا ولی 1973در سا

.ا پیش هادها م اس نبودند هیچ یک

فراخوان دیگری داده شدا و ایو بار 1974در ساIBM پیش هاد

.م اسبی ارائه کرد



پیش هادIBM لوسهیفر مبت ی بر الگهوریتم (Lucifer ) بهود کهه

.توسط فایستل ابداع شده بود

پیشه هاد لوسهیفر ا بهبهود تیمی ا افراد سرش اس پسIBM را

.تهیه کردند

ا پیش هاد 1975درIBM در مجله رسمی دولت آمریکا بهه چها

دو کارگههاه تخییههی بههرای بررسههی اسههتاندارد 1976رسههیدا و در

.پیش هادی برگزار شد



اسهتاندارد پیشه هادی کاهش طهو کلیهد برخی انتقاد داشت د که

آن نشان ا دخالت آژانس های مرمو S-Boxا و لوسیفرنسبت به

.در طراحی دارد( NSA)ام یت ملی

ایو بهدگمانی وجهود داشهت کههNSA بهه گونهه ای الگهوریتم را

بتوانهد پیامهها را ( دیگهر هیچ کسو نه )دستکاری کرده که خودش

.رمزگشایی نماید

!جواب برگشت و آنها کامالً تغییر کرده بودند. ها را به واش گتو فرستادیمS-Boxما

DES؛ از طراحان کُنهایمآلن



نتیجه کمیته ویژه اطالعاتی س ا در بررسهی مسههله ایهو بهود کهه

NSA اIBM را قانع کرده که طهو کلیهد کهاهش یافتهه کهافی

ها دخیل بهوده S-Boxدر طراحی به طور غیر مستقیم استا ولی

.است

مشخص شد که ( 1990در دهه )بعدهاIBM وNSA ا تک یک

ها S-Boxا و داشته انداطالع « تحلیل تفاضلی»تحلیل رمزی به نام

.را به گونه ای طراحی کردند که مانع ا ایو حمله شود

NSA اIBM خواسته بود که تک یک را مخفی نگه دارد.



ا پیش هاد 1976سرانجام در نوامبرIBM اسهتاندارد »تحت ع وان

DESیها ( Data Encryption Standard)« رمزگهذاری داده

.تیوی شد

با ع وان 1977استاندارد در ژانویهFIPS PUB 46 م تشر شد.

FIPS کوتهه نوشهتFederal Information Processing

Standards است.

در ایهو قاله ( شهامل رمزنگهاری )استانداردها پهردا ش اطالعهات

.می شوندم تشر


DESمشخصات عمومی

بیت 56 :طول کلید

بیت 64 :های ورودی و خروجیقطعه طول

دور 16 :تعداد دورها

آ مون جامع روی کلیدDES نهانو 1با فرض امتحان هر کلیهد در

.سا مان نیا دارد 2ثانیه به حدود

ایو مان را به طور معقولی کم کرد می توانبا اجرای موا ی.


DESچالشهای

شرکتRSA Security چالشههای »مسابقهDES » 1997را در

را بدست DESکلید می توانست هرکسبرگزار نمودا که در آن به

.می کرداهدا دالری 000,10آورد جایزه

1997: چههالشI توسههط گههروهDESCHALL رو 96طههی

.شکست

1998 : 1چهههالش-II توسهههطdistributed.net رو 39طهههی

جهانی و تو یع شهده بهرای شبکه ای: distributed.net. )شکست

.(هاGPUها و CPUاستفاده ا مان بیکاری

http://www.distributed.net/

http://www.distributed.net/


Deep Crackو DESچالشهای

1998 :EFF دالر طراحهی 000,250با هزی ه ویژه ایسخت افزار

.ساعت شکست 56را طی II-2کرد و چالش

1998 :distributed.net سخت افزاربا EFF توانست چالشIII

.ساعت بشک د 22/5را در پس ا


DESساختار فایستل رمز

اولیه جایگشت

F +

F +

F +

F +

…

نهایی جایگشت

(64)

(64)

(32) (32)

ن بند کلیدزما

(48)

(48)

(48)

(48)

(56)

K

k1

k2

k16

k3

متن آشکار

متن رمز


اولیه و نهایی جایگشت

تأثیری در رمز ندارند .

1970دهه افزارهای سختدر قطعه ها بارگذاریصرفاً جهت تسهیل در.

اولیه است جایگشتنهایی معکوس جایگشت :FP = IP-1.

IP (Initial Permutation)

FP (Final Permutation)


DESیک دور از

Ln Rn

F

Kn

Ln +1 Rn +1

کلیدزمان بند توسط .تولید میشود

بیت 32 بیت 32

کلید دور (بیت 48)

𝐿𝑛+1 ← 𝑅𝑛 𝑅𝑛+1 ← 𝐹 𝑅𝑛, 𝑘𝑛 ⊕𝐿𝑛


DESساختار داخلی تابع دور

Expansion

Box

Substitution

Box (S-Box)

Permutation

Box (P-Box)

بیت 48

بیت 6

بیت32 بیت 4

بیت32


(Expansion Box)جعبه توسعه

بیت با 48بیت به 32تبدیل تکرار برخی بیتها در خروجی


S-Box

عدد 8 استفاده ا S-Box ههر یهک بهر اسهاس یهک جهدو کهه

416تبدیل می ک دبیت خروجی 4را به بیت ورودی 6 ا.

جدو سطر 4انتخاب یکی ا :ورودی 6و 1بیتهای

جدو ستون 16انتخاب یکی ا :ورودی 5تا 2بیتهای

به ع وان خروجیجدو برگرداندن عدد موجود در آن خانه ا

هشههتبیههت ورودی ا 48در مجمههوع S-Box مختلههع عبههور

.بیت برمی گردان د 32می ک د و


DESاز S-Boxیک

نخستیوS-Box درDES ( 1یع یS)

111000ورودی :مثال (1001) 9: خروجی

شماره ستون

شماره 0 ↓سطر

000

0001

0010

0011

0100

0101

011

0 0

111

1000

1001

1010

1011

1100

1101

1110

1111

00 14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7

01 0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 8

10 4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0

11 15 12 8 2 4 9 1 7 5 11 3 14 10 0 6 13


P-Box

P-Box آخریو گام ا تابعF درDES است.

درP-Box داده جایگشهت بیت خروجهی 32بیت ورودی به 32ا

.می شوند


چند نکته

E-Box اS-Box ههها وP-Box در تمههام دورهههایDES ثابههت

.هست د

ت ها چیزی که در هر دور تغییر می ک دا ورودی و کلید دور است.

E-Box وP-Box هست د برگشت پذیر.

ورودی را محاسبه نمود می توانا روی خروجی آنها.

S-Box نیست برگشت پذیر.

( 48)کمتر ا تعداد بیهت ورودی ( 32)چرا که تعداد بیت خروجی

.است


ترکیب خطی

Y 1ا ترکی خطی راx ا ...اxn 1چون اعدادیاگر می نامیمa ا ...ا

an وجود داشته باش د به قسمی که:

𝑌 = 𝑎𝑖𝑥𝑖𝑛

𝑖=1

تحقیهق کهرد کهه ت هها بخشهی ا تهابع می توانبه سادگیF کهه

.است S-Boxترکی خطی ا ورودی نیستا

اگرS-Box خطی ا متو آشکار شهده و تابعیها نبودندا متو رمز

.می شدبسیار آسان DESشکستو


کلید زمان بندی

شود دور استفاده می 16دور ا 14هر بیت کلید حدوداً در.

48 ∗ 16

56≈ 13.7

پذیرد میبیتی را به ع وان کلید 64 مان ب د کلیدا یک مقدار .

ک د میبیت مشخص ا آن را استفاده 56ولی فقط.

بقیه بیتها به ع وانparity می گیرندکلید مورد استفاده قرار.

بیت هشتم ا هر بایتاparity آن بایت است.


ساختار درونی زمان بند کلید

PC: Permuted Choice دادن و انتخاب برخی بیتها جایگشت: هدف

PC1 :بیت ورودی 64بیت ا 56و انتخاب جایگشت PC2 :ورودیبیت 56ا بیت 48و انتخاب جایگشت

Rotate)نماد چهرخش بهه چه •

Left )بیتها 1فقههط 16و 9ا 2ا 1در دورهههای •

بیت چرخش بیت چرخش 2 دورهادر سایر •


PC1 وPC2

PC1

PC2


(Avalanche Effect)اثر بهمنی

تغییهر ا متو آشکاریا کلیددر بیتهای تغییر کوچکبا :اثر بهمنی

.رخ دهدمتو رمز در بیتهای یادی

اثر بهمنی اکید (Strict Avalanche Criterion ) یاSAC:

صوری سا ی (Formalization )مفهوم فوق

باNOT کردن هر بیت در ورودیا هر یک ا بیتهای خروجهی بها

.شوند NOTدرصد 50احتما حدوداً


DESچرایی تعداد دور

چرا تعداد دورDES است؟ 16برابر

ا تمام بیتهای متو آشکار تابعیدورا هر بیت ا متو رمز 5بعد ا

.و تمام بیتهای کلید است

دورا خاصیت 8بعد اSAC برقرار است.

ثابت می شود که اگر تعداد دور ( اسالیدهای بعد)در حمله تفاضلی

حملهه مهتو را با یک DES می توانستیمبودا 15کمتر یا مساوی

.بشک یمحمله جامع ا سریعتر( KPA)آشکار معلوم

طراحانDES سالها قبل ا کشع حمله تفاضلی با آن آش ا بودند.


DESتحلیل تفاضلی علیه

تحلیل تفاضلی(Differential Cryptanalysis)

1990و اوایل 1980در اواخر « شامیر»و « بیهام»ابداع توسط

(حمله غیر قابل اجرا در عمل)ماهیت کامالً نظری

متو آشکار انتخابی»ا نوع »(CPA)

معلوممتو آشکار »قابل توسعه به »(KPA)

نشان دادن برخی ا شرایط در طراحی

DES

Adi Shamir Eli Biham


مفهوم تفاضل و حمله تفاضلی

یک وج متو آشکار𝑋, 𝑋′ با تفاضلΔ𝑋.

درDES مقیود ا تفاضل اXOR است :Δ𝑋 = 𝑋⊕ 𝑋′.

تعریع می شود مت اسباًدر سایر رمزها مفهوم تفاضل.

آشکاربا دادن متون 𝑋, 𝑋′ به الگوریتم رمهزا متهون رمهز شهده

𝑌, 𝑌′ به دست می آید که تفاضل آنΔ𝑌 است.

با توجه به مقدارΔ𝑌:

بیشتر ا بقیه است کلیدهااحتما برخی یر.


و تحلیل تفاضلی DESتابع دور

X

E

E (X ) ki

S-Box

P

Y

X

A

B = A

C

Y

:´Yو X ،X´ ،Yبا توجه به دانستن Y و C اB اA اXکلیه مقادیر

.برای ما مشخص است


1 -مثال از تحلیل تفاضلی

F

= L = 0

= 0 = 0

= L = 0

ki

1با احتما


2 -مثال از تحلیل تفاضلی

F

= L = X

= X = Y

= L Y = X

ki

X = 0x04000000

Y = 0x40080000

%25با احتما


(Characteristic)مشخصه

میهانی و تفاضهل تفاضهلهای ا تفاضهل ورودیا لیسهتی : مشخصه

.نهایی

می ده درخ احتما باالتریبا مشخیه هابرخی.

(.اسالید بعد)را می توان ترکی کرد مشخیه ها

با استفاده ا یک مشخیه با احتما یاد:

(.بیت 48)با احتما یاد بدست می آید 16 یر کلید دور

8 بیت دیگر کلید را می توان با جستجوی جامع محاسبه کرد.


DESدور از 2در مشخصه هاترکیب

X = 0x04000000

Y = 0x40080000

%25با احتما

F

= Y = X

= X = Y

ki

F = 0 = 0

ki +1 = 0 = X

= 0 = X


با تعداد دور مختلف DESنتایج حمله تفاضلی روی

بهتریو حمله تفاضلی رویDES دور 16با:

247 متو آشکار م تخ

( عمل 28)بیت کلید 8آ مون جامع روی به عالوه حمله255

متو آشکار معلوم 255قابل تبدیل به

17 دور 18یاDES معاد حمله آ مون جامع

19 یا بیشتر دورDES:

متو آشکار 264نیا به بیش ا

غیر ممکو طو قالبهایDES است 64برابر.


1 -حمله کلید مرتبط

مرتبط حمله کلید(Related Key :) نوعی حمله متو م تخ

یا متو رمز را انتخاب نمایدا و /مهاجم می تواند متو آشکار و...

کلیهدهایی مهاجم می تواند درخواست دهد که متون دلخواه خود با

.رمزگشایی شوند/ رمزگذاری مرتبط با کلید اصلی

کلید اصلی یا مقدار کلیدهای مرتبط را نمی داند مقدارمهاجم.

با کلید اصلی معلوم استکلیدهای مرتبط رابطهفقط.

بیت سمت راست کلید مرتبط و اصلی یکی 10که می دانیم: مثال

.است


2 -حمله کلید مرتبط

حمله مشابه حمله تفاضلی است؛ م تها بهه جهای بررسهی تفاضهل

.بررسی می شود کلیدهامتون آشکارا تفاضل

ا ممکهو اسهت مههاجم بتوانهد ضعیفدر یک پروتکل تباد کلید

.را بیو کلیدهای نشست ایجاد ک د رابطه ای

کلیهد سپس به الگوریتم رمز مورد استفاده در تباد پیهاما حملهه

.نمایدمرتبط


DESحمله کلید مرتبط به

مان ب د کلید در DES چرخش به چ دارد؛ به جز 2در هر دور

.چرخش به چ دارد 1که 16و 9ا 2ا 1دورهای

(:دور چرخش به چ 2همواره )اگر استث ای فوق وجود نداشت

حمله کلید مرتبط بهDES متو آشکار م تخ 217با.

حمله مستقل ا تعداد دورDES است.


(Linear)حمله خطی

ت ها بخش غیر خطیDES ا بخشS-Box است.

تالش در تقریS-Box هایDES با توابع خطی

ابداع توسطMitsuru Matsui 1994در

مهتو آشهکارا برخی بیتههای م ظور ا تقری ا روابطی خطی میان

یا 0متو رمز شده و کلید در هر دور است که با احتما نزدیک به

.برقرار است 1نزدیک به

متو آشکار معلوم برای 243نیا بهDES











جامعمقابل حمله آزمون در DES پذیری آسیبمسئله

راه حل:

استفاده ا الگوریتم های رمزنگاری دیگر

الگههوریتم پیچیههده کههردنDES طریههق اضههافه کههردن مراحههل ا

کلیدرمزنگاری و افزایش طو

چ د مرتبه تکرارDES با کلیدهای مستقل


(دز – دابل) 2DESالگوریتم

دو مرتبه رمزنگاری با دو کلید مستقل

بیت 112= طو کلید


(Meet-in-the-Middle)حمله مالقات در میانه

با داشتو یک وج(P, C)ا

P کلید ممکو برای 256را باK1 رمز و مقادیرX را ذخیره کو.

C برای ممکو کلید 256را باK2 رمز و مقادیر حاصهله بها مقهادیر

.ذخیره شده مقایسه کو

در صورت تطابقا درستی وج کلید یافت شده را چک کو.

حالت است 257معاد آ مون جامع برای . میالحه بیو مان و

(Time-Memory Tradeoff)حافظه

C = E(K2, E(K1,P)) E(K1,P) = X = D(K2,C)


با دو کلید 3DESالگوریتم

2حل مشکلDES با سه مرحله رمزگذاری باDES

بار 3گیری ا امکان بهرهDES با دو کلید به صورت یر:

C = E(K1, D(K2, E(K1, P)))

P = D(K1, E(K2, D(K1, C)))


با سه کلید 3DESالگوریتم

استفاده ا سه کلید مختلع

C = E(K3, D(K2, E(K1, P)))

بیت 168= طو کلید

3تا ک ون رویDES دو یا سه کلیدی حمله عملی گزارش نشهده

!ولی بسیار ک د است . است

استفاده ا ترتیEDE برای رمزگذاری:

با مساوی قرار دادن هر سه کلید به یکDES می رسیممعمولی.

.نمی فهم درا 3DESکه تجهیزاتیسا گاری با •











AESاستاندارد رمزگذاری پیشرفته

NIST ( مؤسسههه ملههی علههم و ف ههاوری آمریکهها ) 1997در سهها

ای برای طراحی استاندارد پیشرفته رمزنگهاری ای دو مرحله مسابقه

(Advanced Encryption Standard )برگزار کرد.

بر اساس اصو کامالً روشو انجام شوندباید طراحیهاتمام .

در طراحهی دخهالتی سا مانهای دولتهی آمریکها حهق ههیچ گونهه

.الگوریتم ندارند

رِیْ دا 2000در سا (Rijndael )به ع وان برنده اعالم شد.

ij Dutch pronunciation: [ɛi]


AESمعیارهای ارزیابی مسابقه

معیارهای اولیه:

ام یت

هزی ه محاسباتی

سا ی آن مشخیه های الگوریتم و پیاده

معیارهای نهایی:

ام یت عمومی

افزاری افزاری و سخت سا ی نرم سادگی پیاده

سا ی حمالت وارده به پیاده

(در رمزگذاری و رمزگشاییا کلید و غیره)پذیری انعطاف


AESفینالیست های مسابقه

5 (:به ترتی رأی)الگوریتم قرار گرفته در لیست نهایی

Rijndael ( توسطRijmen وDaemen)

Serpent ( توسطAnderson اBiham ا وKnudsen)

Twofish ( توسطSchneier)

RC6 ( ا آ مایشگاهRSA)

MARS ( اIBM)


AESمشخصات استاندارد

در الگوریتم اصلیRijndael و 192ا 128طو قطعه مهی توانهد

طهو آن FIPS PUB 197بیت باشدا ولی در استاندارد 256یا

.بیت محدود شده است128به

طو کلید 128 192 256

ورودی و خروجی قطعهطو 128 128 128

تعداد دور 10 12 14

دورطو کلید هر 128 128 128


AES-128مشخصات استاندارد

و کهل قطعهه داده پهردا ش نیستمبت ی بر ساختار رمز فایستل

.شود می

ا بهه یهک آرایهه (ای کلمهه 4)بیتی 128کلیدw ع یهر ا 44بها

. شود بیتی بسط داده می 32کلمات

است( بیت 128)ع یر ایو آرایه 4کلید هر دور.


AES-128نحوه کار

الگوریتم مان ب دی کلید نقش تهیه کلید برای هر دور بهر اسهاس

.کلید اصلی را بر عهده دارد

برخالفDES ال م بهر روی اَعمها و بسهیاری ا رمزههای دیگهرا

.انجام می شود نه بیتها بایتها

آید در می 4×4بیتی به شکل یک ماتریس حالت 128متو آشکار.

دهد هر درایه یک بایت ا متو آشکار را نشان می.

شود ایو ماتریس به صورت ستونی پر می.

ایو ماتریس در انتها شامل متو رمز خواهد بود.


AES-128نحوه کار

متو آشکار ورودی به صهورت سهتونی در مهاتریس حالهت ذخیهره

.شود می

Input = 32 43 f6 a8 88 5a 30 8d

31 31 98 a2 e0 37 07 34

32 88 31 e0

43 5a 31 37

f6 30 98 07

a8 8d a2 34


AES-128مراحل رمزگذاری

شود می اِعما روی ماتریس حالت پذیر برگشتعمل 4در هر دور.

ماتریس حالت با استفاده ا درایه هایجانشی ی : بایتهاجانشینی

S-Boxیک

ماتریس حالت سطرهایشیفت دورانی : شیفت سطری

حالت با استفاده ی ماتریس ترکی خطی ستونها :ترکیب ستونها

ماتریسیا ضرب

اضافه نمودن کلید دور :XOR ماتریس حالت با کلید دور


AES-128رمزگذاری در


AES-128رمزگذاری و رمزگشایی در


AESدر ( S-Box) بایتهاجانشینی

شود محسوب می غیرخطینوعی تابع

4توسط یک ماتریس4 شود سا ی می بایت پیاده.

{95}

9

5

{2A}


AESدر ( S-Box) بایتهاجانشینی

ورودی تابع سطر و ستون درایهه جهدو را معهیو کهرده و مقهدار

.ذخیره شده در ایو درایه خروجی تابع است

با داشتو یک ع یر ا ماتریس حالت

بیت سمت چ ع یر 4= سطر جدو

بیت سمت راست ع یر 4= ستون جدو

برای رمزگشایی ا جدو معکوس استفاده می شود.


AESجدول جانشینی در


AESجدول جانشینی معکوس در


AESدر شیفت سطری

که در آنشیفت چرخشی به چ:

سطر او بدون تغییر

سطر دوم یک بایت شیفت چرخشی به چ

سطر سوم دو بایت شیفت چرخشی به چ

سطر چهارم سه بایت شیفت چرخشی به چ

شود انجام میچرخشی به راست در رمزگشاییا شیفت.

ا آنجا که داده به صورت ستونی در ماتریس حالهت ذخیهره شهدها

.دهد بیو ستونها انجام می جایگشتلذا ایو مرحله یک


AESشیفت سطری در


AESترکیب ستونها در

هر ستون جداگانه پردا ش می شود.

با ضرب یک ماتریس در کل ستون

ضرب و جمعا ضرب و جمع عادی نیست د.

مشابه ضهرب و جمهع : 28ضرب و جمع در میدان مت اهی با اندا ه

جمله ای هاچ د

بودن برگشت پذیر :هدف

شود میبرای رمزگشایی ا ماتریس دیگری در ضرب استفاده.


AESترکیب ستونها در


AESافزودن کلید دور در

ماتریس حالت با کلید دورXOR شود می.

شود به صورت ستونی انجام می.

شود برای رمزگشایی نیز همیو عمل انجام می.


AESدیدگاه کلی از یک دور

AESیک دور الگوریتم •


AES-128بسط کلید در

ک هد و آن را بهه یهک دریافت می( بایتی 16)بیتی 128یک کلید

.دهد بسط می( بیتی 32ا کلمات ) ع یره 44آرایه

او آرایه( کلمه)ع یر 4کپی کلید در : شروع

تولید هر ع یر : تکرار( کلمهw[i] ) بر اساسw[i-1] وw[i-4]

با تابع پیچیهده 4ع اصر موجود در درایه های مضربg محاسهبه

.شوند می


AESبسط کلید در


AESبسط کلید در

تابع پیچیدهg یر است یرتوابعشامل :

(RotWord )شیفت چرخشی به چ به اندا ه یک بایت

(SubWord ) جانشی ی هر بایت بر اساس جدوS-Box مهورد

استفاده در رمزگذاری

ترکیXOR بها مقهدار ثابهت 2و 1 اَعما مقدار حاصل ا انجام

Rcon[i/4]

Rcon[i/4] = (RC[i/4], 0, 0, 0)

j 1 2 3 4 5 6 7 8 9 10

RC[j] 01 02 04 08 10 20 40 80 1B 36


AESامنیت

بهتریو حمله بهAES-128 دارد 2126.1پیچیدگی.

عمالً معاد آ مون جامع

ا لحاظ مقایسه باDES:

فرض ک ید ماشی ی وجود دارد که کلیدDES را ا طریق آ مون

کلیهد را 256ا یع ی در ههر ثانیهه ک د میجامع در یک ثانیه با یابی

سها 10141/5را در AESایهو ماشهیو کلیهد . ک هد میامتحان

.نماید میبا یابی


AESسازی های پیاده جنبه

بیتی 8های سا ی روی پردا نده قابلیت پیاده

بیتی 32های سا ی کارا روی پردا نده قابلیت پیاده

همه اَعمها بها شهیفتاXOR و اسهتفاده ا یهک سهری جهداو

look-up قابل انجام است.

سها ی بسهیار کهارای آن باعه به اعتقاد طراحان آنا قابلیت پیاده

.انتخاب آن شده است


AES دستورالعملمجموعه

مجموعههه دسههتورالعملهای 2008در سهها ای تههلAES را بههه

CPU های خود افزود افزایش چشمگیر سرعتAES

معماری ههای مشابهی برای سایر دستورالعمل هایمجموعه CPU

.وجود دارد ARMنظیر

توصیف دستورالعمل

AESENC اجرای یک دور عادی ا رمزگذاریAES

AESENCLAST اجرای دور آخر ا رمزگذاریAES

AESDEC اجرای یک دور عادی ا رمزگشاییAES

AESDECLAST اجرای دور آخر ا رمزگشاییAES

AESKEYGENASSIST کمک در تولید کلید دورAES

AESIMC کمک در عملیاتInverse Mix Columns

PCLMULQDQ (عملیات در میدانهای مت اهی) نقلیضرب بدون رقم











فایستل کالسیک –انواع شبکه فایستل


نامتوازنفایستل –انواع شبکه فایستل


عددی نامتوازنفایستل –انواع شبکه فایستل


فایستل متناوب –انواع شبکه فایستل


فایستل متناوب عددی –انواع شبکه فایستل


1فایستل نوع –انواع شبکه فایستل






GOST

GOST 28147-89 : دههه )رمز مورد استفاده در شوروی سهابق

70)

1990در محرمانهبه بسیار محرمانهتغییر وضعیت ا

پس ا فروپاشی شوروی 1994در محرمانه سا یغیر

ساختار مشابهDES (شبکه فایستل)

بیت 256: طول کلید

بیت 64 :طول قالب

32 :تعداد دور

: GOSTپیچیدگی بهتریو حمله به 2101


FEAL

Fast data Encipherment ALgorithm

توسط پژوهشگران 1987طراحی درNTT ژاپو

به ع وان جایگزیو سریعی برایDES

شبکه فایستل :ساختار

بیت 64: طول کلید



بسیار ضعیع؛ به سادگی شکست.

بهه )اما سب پیشهرفت رمزنگهاری (.ویژه حمله تفاضلی شد

نسههخه هههای FEAL-N/NX درارائه شهد کهه بها ههم 1990سا

.شکست


IDEA

International Data Encryption Algorithm

توسطشده ابداع Lai و Massey 1990سا در

بیشتر نسبت به بسیار سرعتDES (در پیاده سا ی نرم افزاری)

Xuejia Lai

(1954 – ) James Massey

(1934 – 2013)


IDEAی ویژگیها

شبکهLai-Massey

مشابه شبکه فایستل

بیت 128 :کلیدطول

بیت 64 :طول بالک

دور 8/5 :تعداد دورها

خروجیدور برای تبدیل نیم

بیتی 16انجام عملیات روی عملوندهای


IDEAاستفاده از – IDEAتحلیل

می ک دبیتی حمله آ مون جامع را غیرممکو 128طو کلید.

2012سا : بهتریو حمله

عمالً معاد آ مون جامع – 2126.1: پیچیدگی

تا همیو اواخراIDEA یک نام تجاری بوده و اسهتفاده تجهاری ا

.آن ممکو نبود

آخریوpatent م قضی شد 2012در سا.

اک ونIDEA استفاده کرد مجاناًرا می توان.


Blowfish

اش ایرتوسط 1993طراحی شده در سا ؛بادکنکیماهی

رمز مبت ی بر شبکه فایستل

تابع دور:

Bruce Schneier

(1963 – )


Blowfish یویژگیها

دور 16 :دورهاتعداد

بیت 448تا 32 :طول کلید متغیر

S-Box کلیدوابسته به های

بیت 64 :قطعهطول

با توجه به طو قطعه کوچکا استفاده ا آن برای فایلهای بزرگتهر

.توصیه نمی شود Gb 4ا

بهتر است اTwofish یاThreefish استفاده شود.


Twofish


ا 128 :طووول کلیوود

بیت 256ا یا 192



فی الیستAES ( 1998سا)


Threefish

2008 :طراحی

غیر فایستلی :ساختار

ا 256 :طوووول کلیووود

بیت1024یا ا 512

مثل طهو :طول قالب

کلید

80) 72 :تعوووداد دور

(بیتی 1024برای قال


RCخانواده رمزهای

رایوستطراحی شده توسط ( طراحیRSA اMD5 ا...)

RC کوته نوشتRivest Cipher یاRon’s Code

شامل رمزهای یر:

RC1 :هرگز م تشر نشد.

RC2 : 1987 –رمز قالبی

RC3 :حیو طراحی شکسته شد!

RC4 :رمز جریانی معروف

RC5 : 1994 –رمز قالبی

RC6 : 1998 –رمز قالبی ( فی الیستAES)

Ronald Linn Rivest

(1947 – )


RC5


(128: توصیه)بیت 2040تا 0 :طول کلید

(64: توصیه) 128ا یا 64ا 32 :طول قالب

(12: توصیه) 255تا 1 :تعداد دور

Patent شده توسطRSA Security

(:مطابق پارامترهای توصیه)بهتریو حمله

متو آشکار م تخ 244حمله تفاضلی با ( نیم دوردو )یک دور RC5از


RC6

شههبکه فایسههتل :سوواختار

(2نوع )

ا 192ا 128 :طول کلید

بیت 256یا



RC6تابع دور Patent شده توسطRSA Security

مان دRC5 نیز داشته باشد دلخواهیپارامترهای ا می شود.


CAST-128

1996در سا تاوار و آدامزابداع توسط

استاندارد شده توسط دولت کانادا برای ارتباطات امو


بیت 128تا 40 :طول کلید


16یا 12 :تعداد دور

نوع پیشرفته :CAST-256

1فایستل نوع Carlisle M.

Adams

Stafford E. Tavares


MARS

ابداع توسط تیمی درIBM 1998در سا

ا ا طراحان اصلی اسمی کاپرتیم شاملDES (در ک ار فایستل)

فی الیستAES

3فایستل نوع شبکه :ساختار

بیت 256ا یا 192ا 128 :طول کلید

بیت128 :طول قالب

32 :دورتعداد

Don Coppersmith

(1950 – )


Serpent

1998در سا ک ودسوو بیهاما اندرسونابداع توسط

فی الیستAES

جایگشتی -جانشی یشبکه :ساختار



32 :دورتعداد


Camellia

و میتسوبیشیتوسط 2000طراحی در ساNTT ژاپو

پروژهCRYPTREC در ژاپو

پروژهNESSIE اتحادیه اروپا

ساختار فایستل



24یا 18 :تعداد دور

بخشی ا پشته رمز پروتکلTLS (RFC 4132)

Patent دارد؛ ولی استفاده ا آن مجانی است.


...سایر رمزهای قالبی

https://en.wikipedia.org/wiki/Block_cipher


(CBCسبک – BestCrypt)مقایسه سرعت الگوریتمها

Algorithm Encrypt (MB/s) Decrypt (MB/s)

AES (Rijndael) Hardware 1638.4 1638.4

RC6 806.5 1024

IDEA 806.5 806.5

BLOWFISH-448 641 641

TWOFISH 641 641

BLOWFISH-128 531.9 531.9

AES (Rijndael) 531.9 485.4

CAST 458.7 458.7

SERPENT 290.7 295.9

DES 267.4 266

GOST 245.1 246.3

3DES 96.9 94











انگیزه

؟(بزرگتر ا اندا ه قال )رمزنگاری یک پیام طوالنی

پیاما و رمزنگاری هر قال به طور مستقل قال ب دی.

نتیجه:

رمز خوب !رمز بد پیام


(Modes of Operation)کاری سبک های

شوند امرو ه سبک های کاری با توجه به ام یت قابل اثبات طراحی می.

استفاده ک ددلخواه توان د ا رمزهای قالبی سبک های کاری می.

عبارت د ا پر اهمیت برخی سبک های کاری:

ECB: Electronic Codebook

CBC: Cipher Block Chaining

CTR: Counter Mode

CFB: Cipher Feed Back

OFB: Output Feed Back


ECBسبک کاری

رمزگذاری:

رمزگشایی:

E

P1

C1

K E

P2

C2

K E

PN

CN

K

D

C1

P1

K D

C2

P2

K D

CN

PN

K


ECBسبک کاری بررسی

هر متو آشکار به ا اء کلید ثابت همیشه به یهک :اشکال اساسی

. شود متو رمز شده نگاشته می

اند های یکسان ارسا شده تواند دریابد که پیام دشمو می.

شود حتی اگر ا یک رمز قهالبی قهوی نمیمحسوب ایو سبک امو

.استفاده ک یم

ECB بهرداری ا ع اصهر رغهم بههره مثالی ا مواردی است که علی

.مرغوبا کیفیت نهایی دلخواه نیست


CBCسبک کاری

E

P1

C1

K

+

E

P2

C2

K

+

E

P3

C3

K

+

E

PN

CN

K

+ IV CN-1

…

D

C1

P1

K

+

D

C2

P2

K

+

D

C3

P3

K

+

D

CN

PN

K

+ CN-1 IV

…

رمزگذاری:

رمزگشایی:


CBCسبک کاری

یک ایو سبک اInitialization Vector (IV )گیرد بهره می.

مقدارIV ک د تغییر میبه صورت تیادفی در هر بار رمزگذاری.

IV شود همراه با متو رمز شده ارسا می.

ارساIV درس نظریهه ) نمهی کاههد به صهورت آشهکار ا ام یهت

!(رمزنگاری

کلید ثابت هر بار بهه یهک مهتو رمهز شهده ا ای متو آشکار به هر

(. نماید تغییر می IV یرا مقدار )شود متفاوت نگاشته می


CBCسبک کاری بررسی

ملزومات ام یتی :

IV بی ی باشد باید کامالً غیر قابل پیش.

رمزگذاری:

نیستسا ی عملیات رمزگذاری قابل موا ی.

مقدارIV و متو آشکار باید در دسترس باش د.

رمزگشایی:

سا ی است عملیات رمزگشایی قابل موا ی.

مقدارIV باید در دسترس باش د رمزشدهو متو.


رمزگذاری - CFBسبک کاری


رمزگشایی - CFBسبک کاری


رمزگذاری - OFBسبک کاری


رمزگشایی - OFBسبک کاری


OFBو CFBمقایسه

موارد استفادهCFB وOFB

رمز جریانی

درنگ کاربردهای بی( مثلSSH)

عیCFB : انتشار خطای انتقا

OFB ک د ایو عی را برطرف می.


CTRسبک کاری

گذاریرمز

با طو قطعه شمارنده ای(b بیت ) تیادف انتخاب می شودبه.

یک واحد اضافه می شود شمارندهبرای هر قطعه به( 2پیمانه درb)

E

Pi Ci

K

+

(b)

(b)

(b)

counter + i

(b)

رمزگذاری

E

Ci Pi

K

+

(b)

(b)

(b)

counter + i

(b)

رمزگشایی


CTRسبک کاری بررسی

ملزومات ام یتی :

مقادیر شمارندها در با ه طو عمر کلیدا باید مجزا باش د.

رمزگذاری:

عملیات رمزگذاری قابل موا ی سا ی است.

برای عملیات رمزگذاری نیا ی به متو آشکار نیست.


CTRسبک کاری بررسی

رمزگشایی:

عملیات رمزگشایی قابل موا ی سا ی است.

برای عملیات رمزگشایی نیا ی به متو رمز شده نیست.

سا ی پیاده:

افزاری شود افزاری و نرم سا ی سخت تواند پیاده به شکل کارایی می.

توان در آن استفاده کرد ا پردا ش موا ی می.


مقایسه کاربرد انواع سبک های کاری

سبک کاری کاربرد

ECB سا مقادیر کوچک مان د کلیدار

(Electronic Code Book)

گرای هر گونه داده-قطعه ارسا صحتتیدیق

CBC

(Cipher Block Chaining)

جریانی هر گونه داده ارسا صحتتیدیق

CFB

(Cipher Feed Back)

مان د ارتباطات )بر روی کانا نویزی ارسا جریانی (ای ماهواره

OFB

(Output Feed Back)

گرای هر گونه داده-قطعه ارسا م اس برای ارسا با سرعت باال

CTR

(Counter)


سایر سبک های کاری

امرو ه تعداد یادی سبک کاری برای اهداف مختلع ابداع شده اند.

رمزنگاری دیسک سخت

رمزنگاری تیدیق صحت شده(Authenticated Encryption)

...

برخی سبک های رمزنگاری معروف:

CBC, CCM, CFB, CMC, CTR, CWC, EAX,

ECB, EME, GCM, IACBC, IAPM, LRW, OCB,

OFB, XCBC, XEX, XTS

امنیت داده و شبکه محمد صادق دوستی

پایان

:صفحه درس

/1-442/ce1/95-94http://ce.sharif.edu/courses/

16الی 15 ش به ها :مراجعه حضوری جهت رفع اشکال

(ج آسانسور شیشه ایطبقه پ جم دانشکدها درب )

یا در زمانهای دیگر با قرار قبلی

dousti@ce :یا به وسیله رایانامه

128 / 128

http://ce.sharif.edu/courses/94-95/1/ce442-1/











Documents

هدافتهسا دروهم مه ) دامن( XOR د نام هداس یعباوت اهولاع هبce.sharif.edu/courses/94-95/1/ce442-1/resources/root/Slides/DataNetSec... · یتسو