Datan turvallisuus, yleistä tietojen luokittelusta I

Samankaltaiset tiedostot
Datan turvallisuus, yleistä tietojen luokittelusta I

Luku II: Kryptografian perusteita

Luku II: Kryptografian perusteita

Luku II: Kryptografian perusteita

Datan turvallisuus. Luku Yleistä tietojen luokittelusta

Tietoturva P 5 op

Salakirjoitusmenetelmiä

Ongelma 1: Miten tieto kannattaa koodata, jos sen halutaan olevan hyvin vaikeasti luettavaa?

Salaustekniikat. Kirja sivut: ( )

Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu

SALAUSMENETELMÄT. Osa 2. Etätehtävät

Modernien salausalgoritmien aikajana

VM 5/01/ Valtiovarainministeriö Hallinnon kehittämisosasto. Ministeriöille, virastoille ja laitoksille 1 LÄHTÖKOHDAT

Kryptologia Esitelmä

Tietoturvatekniikka Ursula Holmström

A TIETORAKENTEET JA ALGORITMIT

Lyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

Lyhyt oppimäärä mistä salauksessa on kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

Tietoturvan perusteet - Syksy SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

7.4 Sormenjälkitekniikka

Tietoliikenteen perusteet

Tietoliikenteen salaaminen Java-sovelluksen ja tietokannan välillä

Nimittäin, koska s k x a r mod (p 1), saadaan Fermat n pienen lauseen avulla

Luento 11: Tiedonsiirron turvallisuus: kryptografiaa ja salausavaimia. Syksy 2014, Tiina Niklander

myynti-insinööri Miikka Lintusaari Instrumentointi Oy

Enigmail-opas. Asennus. Avainten hallinta. Avainparin luominen

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Kvanttiavainjakelu (Kvantnyckeldistribution, Quantum Key Distribution, QKD)

Luento 3. Timo Savola. 7. huhtikuuta 2006

RSA-salakirjoitus. Simo K. Kivelä, Apufunktioita

Salaustekniikat. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2010

(d) 29 4 (mod 7) (e) ( ) 49 (mod 10) (f) (mod 9)

Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot

Pikaviestinnän tietoturva

RSA-salausmenetelmä LuK-tutkielma Tapani Sipola Op. nro Matemaattisten tieteiden laitos Oulun yliopisto Syksy 2017

5. SALAUS. Salakirjoituksen historiaa

Osa4: Julkisen avaimen salaukset: RSA ja Elliptisten käyrien salaus. Tiivistefunktiot ja HMAC, Digitaalinen allekirjoitus RSA

Koostanut Juulia Lahdenperä ja Rami Luisto. Salakirjoituksia

Diskreetin matematiikan perusteet Laskuharjoitus 2 / vko 9


SÄHKÖPOSTIN SALAUSPALVELU

Algoritmit 2. Luento 4 To Timo Männikkö

NÄIN TOIMII. alakirjoituksen historia ulottuu tuhansien

Algoritmit 2. Luento 3 Ti Timo Männikkö

Tehtävä 2: Tietoliikenneprotokolla

Tietoliikenteen salaustekniikat

Johdatus diskreettiin matematiikkaan Harjoitus 5, Ratkaise rekursioyhtälö

TKHJ:ssä on yleensä komento create index, jolla taululle voidaan luoda hakemisto

Datatähti 2019 loppu

Verkon värittämistä hajautetuilla algoritmeilla

Lineaariset kongruenssiyhtälöryhmät

Harjoitus 7: NCSS - Tilastollinen analyysi

Algoritmit 2. Luento 3 Ti Timo Männikkö

Tietoturvan Perusteet : Tiedon suojaaminen

Luku 6. Dynaaminen ohjelmointi. 6.1 Funktion muisti

MS-A0402 Diskreetin matematiikan perusteet

811312A Tietorakenteet ja algoritmit, , Harjoitus 5, Ratkaisu

Esimerkkejä vaativuusluokista

815338A Ohjelmointikielten periaatteet Harjoitus 3 vastaukset

Algoritmit 2. Luento 4 Ke Timo Männikkö

T Rinnakkaiset ja hajautetut digitaaliset järjestelmät Stokastinen analyysi

Sähköinen asiointi hallinnossa ja HST-järjestelmä. Joensuun yliopisto Tietojenkäsittelytieteen laitos Laudaturseminaari Tapani Reijonen 21.3.

3. Muuttujat ja operaatiot 3.1

etunimi, sukunimi ja opiskelijanumero ja näillä

811312A Tietorakenteet ja algoritmit, , Harjoitus 5, Ratkaisu

811120P Diskreetit rakenteet

1 Aritmeettiset ja geometriset jonot

Case VYVI-Turvaposti miten huolehditaan turvallisesta viestinnästä eri sidosryhmien kesken? Tommi Simula Tietoturvapäällikkö Valtori

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Rekursiolause. Laskennan teorian opintopiiri. Sebastian Björkqvist. 23. helmikuuta Tiivistelmä

Langattomien verkkojen tietosuojapalvelut

Luku 8. Aluekyselyt. 8.1 Summataulukko

ja λ 2 = 2x 1r 0 x 2 + 2x 1r 0 x 2

1. Osoita, että joukon X osajoukoille A ja B on voimassa toinen ns. de Morganin laki (A B) = A B.

VERKKOPANKKILINKKI. Turvallinen linkki verkkopankista pankin ulkopuoliseen palveluun. Palvelun kuvaus ja palveluntarjoajan

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Yhtälöryhmät 1/6 Sisältö ESITIEDOT: yhtälöt

811312A Tietorakenteet ja algoritmit Kertausta jälkiosasta

Kirjoita oma versio funktioista strcpy ja strcat, jotka saavat parametrinaan kaksi merkkiosoitinta.

Langattomat lähiverkot. Matti Puska

1 Kannat ja kannanvaihto

ELEC-C7241 Tietokoneverkot Multimedia, tietoturva, jne.

Taulukot. Jukka Harju, Jukka Juslin

Luento 2: Tiedostot ja tiedon varastointi

Sisällys. 3. Muuttujat ja operaatiot. Muuttujat ja operaatiot. Muuttujat. Operaatiot. Imperatiivinen laskenta. Muuttujat. Esimerkkejä: Operaattorit.

n! k!(n k)! n = Binomikerroin voidaan laskea pelkästään yhteenlaskun avulla käyttäen allaolevia ns. palautuskaavoja.

T Cryptography and Data Security

DNSSec. Turvallisen internetin puolesta

Matematiikan tukikurssi, kurssikerta 3

Yritysturvallisuuden perusteet

Tekijä Pitkä Matematiikka 11 ratkaisut luku 2

Matriisit, kertausta. Laskutoimitukset. Matriisikaavoja. Aiheet. Määritelmiä ja merkintöjä. Laskutoimitukset. Matriisikaavoja. Matriisin transpoosi

I. AES Rijndael. Rijndael - Internal Structure

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Algoritmit 1. Luento 11 Ti Timo Männikkö

A = a b B = c d. d e f. g h i determinantti on det(c) = a(ei fh) b(di fg) + c(dh eg). Matriisin determinanttia voi merkitä myös pystyviivojen avulla:

16. Ohjelmoinnin tekniikkaa 16.1

Osa1: Peruskäsitteitä, klassiset salakirjoitukset. Salausmenetelmät. Jouko Teeriaho LapinAMK

Ohjelmoinnin perusteet Y Python

BM20A5840 Usean muuttujan funktiot ja sarjat Harjoitus 7, Kevät 2018

Transkriptio:

Datan turvallisuus, yleistä tietojen luokittelusta I Organisaation tiedot on aiheellista luokitella. Olkoon OY yhtiö, joka valmistaa elektronisia tuotteita ja harjoittaa tuotekehitystä. OY:n tiedot voitaisiin jakaa luokkiin seuraavsti: Julkinen tieto on avoinna kaikille. Tämä luokka sisältää tuotteiden määrittelyt, hintatiedot, markkinointilehtisiä yms. mikä edesauttaa OY:tä myynnissä ilman, että tuotesalaisuuksia paljastetaan. Olemassaolevien tuotteiden kehityksessä tarvittava tieto on sisäistä tietoa. Se on avoinna sekä yhtiön lakimiehille ja virkailijoille että kehittäjille. Muilta se pidetään salassa. Uusien tuotteiden kehitystyössä tarvittava tieto on vain kehittäjien saatavissa. Yhtiötieto sisältää sopimustietoja ja tietoa yhtiön toiminnoista (kuten toimista, jotka vaikuttavat pörssiosakkeisiin). Vain virkailijat ja lakimiehet pääsevät käsiksi tähän tietoon. () 13. huhtikuuta 2010 1 / 43

Datan turvallisuus, yleistä tietojen luokittelusta II Asiakastieto on asiakkaisiin liittyvää tietoa. Muun muassa luottokorttitiedot kuuluvat tähän luokkaan. Yhtiö suojelee tätä tietoa yhtä vahvasti kuin omaa tietoaan. () 13. huhtikuuta 2010 2 / 43

Datan luokittelu liittyy yleensä kiinteästi henkilökunnan luokitteluun. On siis määriteltävä henkilöryhmät ja sen jälkeen säännöt, mikä ryhmä pääsee lukemaan tai muuttamaan mitäkin tietoja. On myös mahdollista asettaa lisäehtoja erityisen tärkeille tai sensitiivisille muutoksille. Esimerkiksi voidaan vaatia, että tietyn muutoksen voi tehdä vain kahden henkilön ryhmä niin, että kummankin osasuoritus vaaditaan, ennenkuin muutos astuu voimaan. Luottamuksellinen tieto täytyy usein salata. Salauksen lisäksi täytyy valvoa, ettei tietoa muuteta vahingossa tai laittomasti. Tarvitaan siis eheystarkistuksia. () 13. huhtikuuta 2010 3 / 43

Valtionhallinnon asiakirjojen luokittelu I Suomen valtionhallinnossa asiakirjat jaetaan julkisiin ja salassa pidettäviin asiakirjoihin. Jälkimmäiset jaetaan vielä turvaluokiteltaviin ja muihin tietoihin tai asiakirjoihin. Muut tiedot ovat esimerkiksi henkilötietoja tai liikesalaisuuksia, joita ei voida kätevästi luokitella. Turvaluokiteltavat tiedot ovat joko luottamuksellisia, salaisia tai erittäin salaisia. Näitä luokkia luonnehditaan seuraavasti ([?]): I turvaluokan asiakirja sisältää äärimmäisen arkaluonteista, salassa pidettävää tietoa. Tällainen asiakirja tulostetaan paperille, jonka poikki kulkee punainen vinoviiva ja sen jokaisen sivun ylälaitaan sijoitetaan leima tai merkintä Erittäin salainen. Leiman väri on punainen. Tällaisen asiakirjan vastaanottajana on aina henkilö/henkilöt, eivätkä sitä saa ilman aineiston omistajan lupaa käsitellä muut kuin vastaanottajiksi merkityt sekä tällaisen asiakirjan tekniseen (vastaanotto, arkistointi yms.) käsittelyyn vastaanottavassa () 13. huhtikuuta 2010 4 / 43

Valtionhallinnon asiakirjojen luokittelu II virastossa tai laitoksessa oikeutetut henkilöt. I turvaluokan asiakirjaa ei toistaiseksi saa lähettää sähköisissä tietojärjestelmissä. Manuaalilähetyksessä lähettäjän on aina varmistettava, että lähetys on saapunut vastaanottajaksi merkitylle henkilölle II turvaluokan asiakirja sisältää erittäin arkaluonteista, salassa pidettävää tietoa. Tällainen asiakirja tulostetaan paperille, jonka poikki kulkee punainen vinoviiva ja sen ensimmäisen sivun ylälaitaan sijoitetaan leima tai merkintä Salainen. Leiman väri on punainen. Tällainen asiakirja voidaan osoittaa henkilölle tai organisaatiolle ja sitä saavat käsitellä vain ne henkilöt, jotka on virastossa oikeutettu käsittelemään salassa pidettäviä asioita. II turvaluokan asiakirjan saa lähettää vastaanottajalle sähköisissä tietojärjestelmissä ainoastaan riittävän vahvasti salattuna. () 13. huhtikuuta 2010 5 / 43

Valtionhallinnon asiakirjojen luokittelu III III turvaluokan asiakirja sisältää salassa pidettävää tietoa. III turvaluokan asiakirja tulostetaan normaalille paperille ja sen ensimmäisen sivun ylälaitaan sijoitetaan leima tai merkintä Luottamuksellinen. Leiman väri on punainen. Tällainen asiakirja voidaan osoittaa henkilölle tai organisaatiolle ja sitä saavat käsitellä vain ne henkilöt, jotka tehtävässään tarvitsevat kyseisen asiakirjan sisältämiä tietoja. III turvaluokan asiakirjan saa lähettää vastaanottajalle sähköisissä tietojärjestelmissä riittävän vahvasti salattuna () 13. huhtikuuta 2010 6 / 43

Tiedostojen poisto Kun tiedosto poistetaan, joko tiedoston tieto tai tiedoston nimi poistetaan. Näillä kahdella on oleellinen ero. Määritelmä Suora alias (direct alias, Unixissa kova linkki) on hakemistoalkio, joka osoittaa tiedostoon. Epäsuora alias (symbolinen linkki) on hakemistoalkio, joka osoittaa erityiseen tiedostoon, joka puolestaan sisältää kohdetiedoston nimen. Käyttöjärjestelmä tulkitsee epäsuoran aliaksen sijoittamalla erytyistiedostossa olevan nimen epäsuoran aliaksen hakemistoalkioon. Kaikki suorat, saman tiedoston nimeävät aliakset ovat samanarvoisia. Jokainen suora alias on saman tiedoston vaihtoehtoinen nimi. () 13. huhtikuuta 2010 7 / 43

Tiedostojen sijainti hakemistossa vaikuttaa turvallisuuteen. Jos jokaisella suoralla aliaksella on eri oikeudet, tiedoston omistajan täytyy muuttaa jokaisen aliaksen pääsyoikeudet. Välttääkseen tämän useimmat systeemit liittävät tiedostoattribuuttien sisältämän tiedon varsinaiseen dataan, jolloin hakemistoalkiot sisältävät osoittimen tiedostoattribuuttitauluun. Kun käyttäjä poistaa tiedoston, hakemistoalkio poistetaan. Systeemi ylläpitää tietoa tiedostoon liittyvistä tiedostoattribuuteista ja kun näiden lukumäärä tulee nollaksi, tiedoston varaama tila vapautetaan. Toisin sanoen tiedoston tuhoaminen ei takaa, etteikö tiedostoon voisi vielä päästä käsiksi. () 13. huhtikuuta 2010 8 / 43

Esimerkki I A käyttää Unix-pohjaista systeemiä. Hänellä on ohjelma runasa, jonka setuid kuuluu A:lle. A haluaa tuhota tiedoston niin, ettei kukaan voi enää lukea sitä. Jos hän käyttää komentoa rm runasa, tiedostoon liittyvä hakemistoalkio tuhotaan. Jos kenelläkään ei ole suoraa aliasta (kovaa linkkiä) tiedostoon, tiedosto poistetaan systeemistä. B on kuitenkin tehnyt suoran aliaksen tiedostoon. A on poistanut tiedoston, mutta yksi tiedostoon liittyvä hakemistoalkio on edelleen olemassa, joten tiedostoa ei poisteta. B voi edelleen ajaa ohjelmaa runasa. Koska ohjelman setuid on A, ohjelma käyttää A:n, ei B:n oikeuksia. Unixissa A voi tuhota B:n tiedostoja vain, jos B on antanut A:lle kirjoitusoikeudet hakemistoon. Jos A haluaa, ettei kukaan toinen voi ajaa hänen ohjelmaansa, hänen täytyy ensin muuttaa oikeuksia ja vasta sitten poistaa tiedosto eli () 13. huhtikuuta 2010 9 / 43

Esimerkki II chmod 000 runasa rm runasa Ensimmäinen komento poistaa kaikki oikeudet tiedostoon, mukaan lukien setuid-oikeuden. Toisen komennon jälkeen B säilyttää kylläkin hakemistoalkionsa, tiedosto on edelleen olemassa, mutta kukaan ei voi sitä käyttää. () 13. huhtikuuta 2010 10 / 43

Kun tiedosto poistetaan, sen varaama tila palautetaan käyttämättömien lohkojen joukkoon. Kuitenkin tieto jää lohkoihin ja jos hyökkääjä kykenee lukemaan noita lohkoja, hän pääsee käsiksi luottamuksellisiin tietoihin. Sen tähden arkaluonteiset tiedot on ensin pyyhittävä pois ennen tiedoston poistamista. Esimerkki. Monissa Windowsin ja Macintoshin systeemiohjelmissa on mekanismi, joka pyyhkii tiedoston ennen sen poistamista. Nämä mekanismit kirjoittavat tiedostoon vanhan tiedon päälle tietyn bittijonon. On mahdollista määrätä, mitä bittijonoja käytetään ja kuinka monta kertaa päälle kirjoitetaan. Joissakin Unixin rm-versioissa on sama ominaisuus. () 13. huhtikuuta 2010 11 / 43

Epäsuorat aliakset ja tiedoston poisto I Kolmas seikka, joka täytyy ottaa huomioon tiedostojen poistamisessa, on epärien aliasten olemassaolo. Kun tiedostoon liittyvä komento suoritetaan, vaikutus voi riippua siitä, onko komennon kohteena suora vai epäsuora alias. Pahimmassa tapauksessa käyttäjä uskoo, että tietty tieto on suojattu tai poistettu, vaikka suojaus tai poisto kohdistuukin epäsuoraan aliakseen eikä tietoon itseensä. Esimerkki. Oletetaan, että A lisää tiedoston lukuoikeuden L:lle. Jos hakemistoalkio on suora alias, L voi lukea tiedoston. Mutta entä jos hakemistoalkio on epäsuora alias? Vastaus riipuu systeemistä. Red Hat Linux 7.1:ssä chmod komento muutti epäsuoran aliaksen osoittaman tiedoston oikeuksia, kun taas rm poistaa epäsuoran aliaksen. () 13. huhtikuuta 2010 12 / 43

Tiedostojen kopiointi ja siirto I Tarkastellaan kahta esimerkkiä Esimerkki. Unixin komento cp xyzzy plugh kopioi ensimmäisen tiedoston toiseen. Jos plugh ei ole olemassa, komento luo sen ja asettaa uuden tiedoston oikeudet samaksi kuin xyzzy:n. Kuitenkin setuid- ja setgid-attribuutteja ei oteta huomioon. Jos plugh on jo olemassa, komento kopioi xyzzy:n myös siihen. Tämä voi olla turvallisuusongelma, jos xyzzy ei ole kaikkien luettavissa, mutta plugh on. Samanlaisia ongelmia voi syntyä mv-komennosta. Esimerkki. Tarkastellaan komentoa mv plugh /usr/ab/advent () 13. huhtikuuta 2010 13 / 43

Tiedostojen kopiointi ja siirto II Jos hakemistoalkio sijaitsee samassa tiedostosysteemissä, suora alias poistetaan nykyisestä hakemistostaan ja viedään hakemistoon usr/ab/advent Muussa tapauksessa mv tekee operaatiot cp plugh /usr/ab/advent/plugh rm plugh Ensimmäisessä tapauksessa plugh-tiedoston oikeudet säilyvät. Toisessa tapauksessa ne voivat muuttua, kuten edellisessä esimerkissä nähtiin. () 13. huhtikuuta 2010 14 / 43

Tiedon eheyden käsite ja eheystekniikoita I On tärkeää, että tieto ei muutu tai että tietoa ei muuteta, jos sen on tarkoitus pysyä vakiona. Tiedon eheyteen joudutaan kiinnittämään huomiota erityisesti tietoliikenteessä, mutta myös muistissa olevan tiedon varmistaminen tulee joskus kysymykseen. Tavalliset tarkistussummat eivät riitä tietoturvatarkasteluissa, koska ne eivät suojaa tiedon tahalliselta muuttamiselta (hyökkääjä voi muuttaa myös tarkistussummaa). Tarvitaan menetelmä, joka paljastaa tahattomat ja tahallaan tehdyt muutokset. Usein eheyteen liitetään vielä todennus: tiedon vastaanottaja pystyy varmasti näkemään, kuka tiedon on lähettänyt. Hyvä todennus toteuttaa lisäksi ehdon, ettei vastaanottaja voi itse väärentää sanomaa ja väittää, että se on tullut toiselta osapuolelta. () 13. huhtikuuta 2010 15 / 43

Tarkastellaan seuraavia menetelmiä, joilla toteutetaan eheys ja todennus: salaus, tiivistefunktiot ja digitaalinen allekirjoitus, MAC-funktiot. () 13. huhtikuuta 2010 16 / 43

Tiedon salaus eheystekniikkana I Jos selvätekstiä sisältävä tieto salataan ja salattua tietoa muutetaan, salauksen purku tuottaa mielivaltaisen bittijonon, joka ei ole selvätekstin esitystä. Näin salauksen purku paljastaa muutoksen ja salaus toimii eheyden takaajana. Lisäksi salaus todentaa lähettäjän, jos salausavain on yhteisesti sovittu, eikä se ole vuotanut ulkopuolisille. Voi olla kuitenkin vaikeaa automaattisesti päätellä, onko salauksen purun lopputulos oikeanlaatuista, jos alkuperäinen tieto on esimerkiksi binäärikoodia, röntgenkuvia tms. Tällaisissa tilanteissa tietoon voidaan liittää tarkistussumma (esimerkiksi CRC) ja vasta sitten salata. Toinen mahdollisuus on strukturoida tieto siten, että struktuuri on helppo havaita automaattisesti. () 13. huhtikuuta 2010 17 / 43

Tiedon salaus eheystekniikkana II Salaus ei kuitenkaan estä vastaanottajaa väärentämästä sanomaa, salaamasta sitä ja väittämästä, että se on tullut toiselta. Usein tietokoneverkkosovelluksissa osapuolilla ei ole valmiina yhteisiä salaisia avaimia, vaan niistä pitää sopia aluksi. Tämä hankaloittaa salauksen käyttöä eheyden takaajana. Myöskään aina ei tarvita luottamuksellisuutta, vaan tieto voitaisiin lähettää selväkielisenä perille, jos vain se menisi vastaanottajalle ehyenä. Sen tähden on hyvä erottaa luottamuksellisuus ja eheys/todennus toisistaan ja käsitellä niitä eri proseduureilla. () 13. huhtikuuta 2010 18 / 43

Tiivistefunktiot I Tiivistefunktio (engl. hash function) on kuvaus h, joka laskee sanomasta M tarkistuskentän h(m). M voi yleensä olla vaihtuvamittainen, sen sijaan h(m) on kiinteämittainen. Normaalisti h(m):n pituus on paljon lyhyempi kuin M:n. Tiivistefunktion h arvon laskemisessa ei tarvita salaisia avaimia. Funktio on kuitenkin yksisuuntainen eli h 1 (X) on vaikea laskea, vaikka h ja X tunnetaan. Tiivistefunktioita voidaan käyttää eheyden ja todennuksen yhteydessä. Tyypillisesti sanomasta lasketaan ensin tiivistefunktiolla tiiviste. Sen jälkeen tiiviste allekirjoitetaan digitaalisesti. Lähtevä sanoma koostuu selväkielisestä sanomasta plus allekirjoituksesta. () 13. huhtikuuta 2010 19 / 43

Tiivistefunktiot II Vastaanottaja laskee sanomasta myös tiivisteen ja sen jälkeen verifioi allekirjoituksen. Verifiointi tarkoittaa yleensä sitä, että allekirjoituksesta lasketaan alkuperäinen tiiviste. Nyt voidaan verrata itse laskettua tiivistettä ja allekirjoituksesta saatua tiivistettä. Jos nämä ovat samoja, tieto on tullut eheänä perille ja allekirjoitus vielä vahvistaa lähettäjän. Myöskään vastaanottaja ei voi väärentää allekirjoitusta, joten lähettäjän ei tarvitse pelätä väärennöksiä. Mikäli luottamuksellisuutta ei tarvita, salausta yritetään välttää useista syistä: Salausohjelmat ovat hitaita. Piiritason AES- yms. toteutukset ovat melko tehokkaita, mutta näidenkin kustannukset tuntuvat, jos salausta tarvitaan kaikissa verkon solmuissa. Salauslaitteisto on optimoitu suurten datamäärien salaukseen. Jos salattavana on pieni lohko, suurin osa ajasta menee alustukseen. () 13. huhtikuuta 2010 20 / 43

Tiivistefunktiot III Salausalgoritmi voi olla patentoitu kuten oli RSA:n tapauksessa. Tämä lisää kustannuksia. Salausalgoritmen vientiä säädellään (nykyään paljon vähemmän kuin esim. 1980-luvulla). () 13. huhtikuuta 2010 21 / 43

Tiivistefunktioilta vaadittavat ominaisuudet I Seuraava luettelo listaa tiivistefunktioilta vaadittavat ominaisuudet: 1 h(m) voidaan laskea minkä pituiselle M tahansa. 2 h(m) on kiinteän pituinen. 3 h(m) on helppo laskea. 4 Jos annetaan y, ei ole helppoa löytää sellaista M:ää, että h(m) = y. Eli h on alkukuvaresistentti (h has preimage resistance). 5 Jos on annettu y ja M 1, ei ole helppoa löytää sellaista M 2 M 1, että h(m 1 ) = h(m 2 ). Eli h on injektiotyyppinen (h has second preimage resistance). 6 On vaikeaa löytää mitään paria (M,M ), jolle h(m) = h(m ). Eli h on törmäysresistentti (collision resistance). Käytännön tiivistefunktio toteutetaan samaan tapaan kuin symmetrinen salaus. Erona on, että lopputulosta ei tarvitse enää purkaa niinkuin salauksessa. Siten teksti jaetaan lohkoihin, lohkoja yhdistellään binäärioperaatioilla, välillä suoritetaan rekisterien sivuttaissiirtoja jne. () 13. huhtikuuta 2010 22 / 43

MD5 I MD5-tiivistealgoritmin on suunnitellut Ron Rivest MIT:ssä 1991. Se on muunnos MD4:stä, joka ilmestyi vuotta aikaisemmin. MD5 on Internetin RFC 1321 -standardi ja se on ollut eniten käytetty tiivistemenetelmä. Sitä on pidetty hieman liian lyhyenä, sillä tiivisteen pituus on 128 bittiä. Nämä aavistelut osoittautuvat todeksi, sillä 17.8.2004 Xiaoyun Wang, Dengguo Feng, Xuejia Lai ja Hongbo Yu julkistivat onnistuneen yrityksens, jossa saatiin aikaan yhteentörmäys käytettäessä täyttä MD5:ta (http://eprint.iacr.org/2004/199). Seuraavaksi Arjen Lenstra, Xiaoyun Wang ja Benne de Weger konstruoivat 1.3.2005 kaksi X.509 varmennetta, joissa oli eri julkiset avaimet, mutta sama MD5-tiiviste. Tämä oli hyvin konkreettinen osoitus, ettei MD5 ole törmäysvapaa. () 13. huhtikuuta 2010 23 / 43

MD5 II Muutamia päiviä myöhemmin Vlastimil Klima paransi algoritmia ja osoitti, että MD5-törmäyksiä voitiin generoida muutamassa tunnissa kämmenmikrolla (http://eprint.iacr.org/2005/075). Nämä hyökkäykset vaativat, että molemmat viestit konstruoidaan yhdessä törmäyksen aikaansaamiseksi. Menetelmät eivät sovellu siihen, että ensin on annettu yksi viesti ja sille yritetään etsiä pari, jonka aiheuttaa yhteentörmäyksen. Siten edelliset tulokset eivät suoraan romuta menetelmiä, joissa käytetään MD5:ta, mutta jatkossa MD5:tä tuskin tullaan enää käyttämään uusissa tuotteissa. () 13. huhtikuuta 2010 24 / 43

SHA I SHA (Secure Hash Algorithm) on toinen yleinen tiivistealgoritmi. Sen on kehittänyt NIST (National Institute of Standards and Technology) USA:ssa. Tiivisteen pituus 160 bittiä, joten se on MD5:tä turvallisempi. Rakenteeltaan sekä MD5 että SHA ovat läheistä sukua. SHA:sta on useita versioita. Alkuperäistä, vuonna 1993 esiteltyä tiivistefunktiota kutsutaan joko SHA:ksi tai SHA-0:ksi. Vuonna 1995 esiteltiin SHA-1 ja sen jälkeen SHA-224, SHA-256, SHA-384 ja SHA-512. Näitä jälkimmäisiä kutsutaan joskus kollektiivisella nimellä SHA-2. Vuonna 1998 ranskalaiset Chabaud ja Joux esittelivät hyökkäyksen, jossa löydettiin SHA-0:ssa törmäävä pari vaativuudella 2 61. Tämä oli oleellisesti vähemmän kuin odotusarvo 2 80. Vuosina 2004 ja 2005 tulosta on parannettu huomattavasti. () 13. huhtikuuta 2010 25 / 43

SHA II Paras tulos tähän asti on Xiaoyun Wangin, Yiqun, Lisa Yinin ja Hongbo Yun tulos helmikuulta 2005, jossa löydettiin SHA-0:ssa törmäävä pari käyttämällä 2 39 operaatiota. Viimeksi mainittu kolmikko löysi myös törmäävän parin SHA-1:ssä helmikuussa 2005 käyttämällä 2 69 operaatiota odotusarvon 2 80 sijasta. Tätä on vielä voitu tehostaa. Xiaoyun Wang, Andrew Yao ja Frances Yao esittelivät 17.8.2005 hyökkäyksen, jossa tuotettiin törmäävä pari 2 63 operaatiolla. Nämäkään hyökkäykset eivät vielä täysin romuta SHA-1:tä. Hyökkäykset ovat kuitenkin osoitus, että uusia tiivistefunktioita tarvitaan ja että tiivistefunktioiden konstruointi ei ole yksinkertaista. NIST on myös antanut suosituksen, ettei näitä murrettuja tiivistemenetelmiä käytetä pitkäkestoisen digitaalisen allekirjoituksen yhteydessä. () 13. huhtikuuta 2010 26 / 43

Ripemd I RIPEMD-160 on Euroopan unionin RIPE-projektissa 1996 kehitetty tiivistealgoritmi. Se on parannus alkuperäiseen RIPEMD-funktioon, joka tuotti 128 bitin tiivisteitä ja joka on todettu haavoittuvaksi. Uudella versiolla saadaan joko 128 bitin tai 160 bitin tiivisteitä. Menetelmää ei ole patentoitu. Se ei kuitenkaan ole ollut niin suosittu kuin SHA ja MD5. Sille on myös löydetty törmäävä pari (Xiaoyun Wang, Dengguo Feng, Xuejia Lai, Hongbo Yu, elokuu 2004), mutta tämä ei ole ollut niin hälyttävää kuin aikaisemmissa tapauksissa. () 13. huhtikuuta 2010 27 / 43

MAC-funktiot I MAC-koodi (Message Authentication Code) on tiiviste, joka liitetään sanomaan, jotta vastaanottaja voisi varmistaa alkuperäisen lähettäjän. Tiivisteen laskemisessa käytetään salaista parametria. Ensimmäiset MAC-koodit generoitiin salauksen avulla (CBC- tai CFC-moodia käyttäen). Tällöin vastaanottajalla ja lähettäjällä täytyi olla sama salainen avain. Salalohkot laskettiin vielä yhteen, joten lopputulos oli salalohkojen summa. Toinen tapa muodostaa MAC on käyttää hajautusta salaisen avaimen kanssa. Toisin sanoen sanomasta lasketaan tiiviste, mutta laskennassa käytetään myös salaista avainta pelkän sanoman lisäksi. Esimerkiksi MD5:ta ja SHA:ta on käytetty tällä tavoin MAC:in muodostamiseen. Sitten on vielä esimerkiksi MAA-algoritmi, joka on ISO-standardi 8731-2. Sen laskenta muistuttaa tiivisteen laskemista salaisen avaimen kera. () 13. huhtikuuta 2010 28 / 43

MAC-funktiot II MAC-menetelmän avulla tiedon eheys voidaan varmistaa, sillä kukaan kuin salaisen avaimen omistajat eivät pysty laskemaan tiivistettä. Toisaalta MAC ei estä vastaanottajaa väärentämästä sanomaa ja MAC arvoa. Näyttääkin siltä, että digitaalinen allekirjoitus on suosituin menetelmä, joka samalla takaa eheyden, varmistaa lähettäjän ja estää myös vastaanottajan väärennökset. () 13. huhtikuuta 2010 29 / 43

Tiedon salaus I Tiedon luottamuksellisuus taataan usein salauksella. Tiedonvälityksessä julkisessa tietokoneverkossa se on ainoa mahdollisuus. Seuraavassa katsomme muutamia perusasioita salauksesta. Aloitetaan menetelmällä One time pad. One time pad tai Vernamin salaus on siitä harvinainen salausmenetelmä, että se on 100% varma murtamista vastaan. Siksi se on ollut käytössä mm. kuumalla linjalla Moskova-Washington 1980-luvun loppupuolelle asti. Menetelmällä on kuitenkin haittapuolia, josta syystä sitä ei enää käytetä sellaisenaan. Se on syytä kuitenkin pohjana monille nykyaikaisille salausmenetelmille. Olkoon selväteksti P koodattu bittijonoksi b 1 b 2 b n. Olkoon avain k saman pituinen satunnainen bittijono k 1 k 2 k n. () 13. huhtikuuta 2010 30 / 43

Tiedon salaus II Salateksti C = c 1 c 2 c n saadaan nyt salaamalla biteittäin c i = b i + k i, i = 1,,n, missä yhteenlasku tarkoittaa yhteenlaskua modulo 2 eli 0 + 0 = 0, 1 + 0 = 1 ja 1 + 1 = 0. Menetelmä on täysin varma, sillä jos k on tuntematon, jokainen selväteksti on yhtä todennäköinen. Menetelmällä on kuitenkin haittansa, sillä avaimen tulee olla yhtä pitkä kuin selväteksti ja avainta voi käyttää vain kerran. Avain on siis jaettava etukäteen ja aikoinaan käytettiinkin useita paperinauhoja avainten säilömiseen. Toisen maailmansodan aikana vakoilutuomioon riittikin se, että hallusta löytyi satunnaisia merkkijonoja sisältävää materiaalia. () 13. huhtikuuta 2010 31 / 43

Tiedon salaus III Vernamin salausta käytettiin yhteen aikaan venäläisten diplomaattien välisessä kommunikoinnissa. Yhdysvaltalaiset käynnistivät murtoprojektin tätä salausta vastaan 1943, mikä saattaa vaikuttaa omituiselta, koska menetelmä on periaatteessa murtamaton. Osoittautui kuitenkin, että venäläiset käyttivät samaa avainta kahteen kertaan. Tämä johtui aikapulasta, sillä useiden nauhojen valmistaminen oli tuohon aikaan hidasta. Jos c ja c ovat selvätekstien p ja p salauksia samalla avaimella k, niin c c = (p k) (p k) = (p p ) (k k) = p p. Salateksteistä saadaan siis selvätekstien summa selville. Jos selvätekstit on kirjoitettu luonnollisella kielellä, tämä summa ei ole tasaisesti jakautunut, joten voidaan päätellä, että salatekstit on kirjoitettu samalla avaimella. () 13. huhtikuuta 2010 32 / 43

Tiedon salaus IV Jos voidaan arvata tai ennustaa osia selväteksteistä, tekstien summasta saadaan selville suurin osa selväteksteistä. Käytännössä tilanne oli hankalampi, sillä selvätekstit käsiteltiin ensin salaisella menetelmällä ja henkilöistä käytettiin koodinimiä. Vuosien 1943 ja 1980 välillä 3000 sanomaa murrettiin kaikkiaan 25 000 sanomasta. Jotkut näistä sanomista sisälsivät arkaluonteista tietoa vakoojista. Tämä projekti tehtiin julkiseksi vasta vuonna 1995. () 13. huhtikuuta 2010 33 / 43

Tietokonesalaukselle täytyykin asettaa lisäehtoja: Avain on kohtuullisen kokoinen (< 250 bittiä kaupallisissa sovelluksissa, sotilaallisissa voi olla suurempikin). Avainta on voitava käyttää useaan kertaan. Salaus on nopeaa ja salauspiirit halpoja. Salauksella tulee olla hyvät diffuusio-ominaisuudet eli yksi selvätekstin bitti vaikuttaa moneen salatekstin bittiin niin, että selvätekstin tilastollinen rakenne häviää. Lisäksi salauksella tulee olla hyvät sekoitusominaisuudet eli on vaikeaa päätellä, miten salatekstin tilastollinen rakenne riippuu selvätekstin tilastollisesta rakenteesta. () 13. huhtikuuta 2010 34 / 43

Jonosalaajat I Additiiviset jonosalaajat ovat salausmenetelmiä, joissa salaus koostuu avaimen ja selvätekstin bittien yhteenlaskusta. Eli periaate on sama kuin Vernamin salauksessa, mutta satunnainen avain korvataan pseudosatunnaisella avaimella, joka on generoitu lyhyestä avaimesta. Jonosalaajat ovat olleet suosittuja 20. vuosisadalla. Niiden etuna on nopeus, sillä ne operoivat merkki merkiltä. Vuosina 1960-1990 LFSR-pohjaiset (Linear Feedback Shift Registers) jonosalaajat olivat suuressa suosiossa. Näitä salaajia voidaan soveltaa tilanteissa, joissa nopeus on tärkeämpää kuin salauksen luotettavuus. Esimerkiksi jonosalaajat A5/1 ja A5/2 ovat käytössä GSM-puheluissa. Näitä algoritmeja yritettiin pitää salassa, mutta ne paljastuivat tietenkin melko nopeasti ja osoittautuivat aika heikoiksi. () 13. huhtikuuta 2010 35 / 43

Jonosalaajat II Esimerkkinä LFSR-pohjaisesta salausavaimen generoinnista esitetään seuraava yksinkertainen tapaus. Eräs mielivaltaisen tuntuinen bittijono saadaan ottamalla käyttöön viisi muuttujaa ja antamalla niille alkuarvot x 1 = 0, x 2 = 1, x 3 = 0, x 4 = 0, x 5 = 0. Soveltamalla lineaarista rekursioyhtälöä x n+5 = x n + x n+2 ( mod 2) saadaan generoitua uusia bittejä, jotka alkavat toistua 31. kierroksen jälkeen. () 13. huhtikuuta 2010 36 / 43

Jonosalaajat III Rekursioyhtälö x n+31 = x n + x n+3 puolestaan generoi bittijonon, jonka jakso on 2 31 1. Siten 62 bitin avaimesta saadaan generoitua yli kahden miljardin bitin pituinen avain, jota voidaan käyttää Vernamin salauksessa. Rekursioyhtälön mukaiset bittiarvot voidaan tehokkaasti laskea konekielitasolla käyttäen rekisterien sivuttaissiirtoja ja XOR-yhteenlaskua. Yllä olevia periaatteita noudattavat salausmenetelmät näyttävät olevan helpompia murtaa kuin myöhemmin esitettävät ns. lohkosalaajat. Ottamalla käyttöön epälineaarisia rekursioyhtälöitä, esimerkiksi x n+3 = x n+2 x n + x n+1, murtaminen tulee hankalammaksi. () 13. huhtikuuta 2010 37 / 43

Jonosalaajat IV Ron Rivest kehitti 1987 jonosalaajan RC4, joka perustuu täysin toisille periaatteille. RC4 suunniteltiin 8 bitin mikroprosessoreille ja se pidettiin aluksi salaisena. Menetelmä paljastui 1994 ja nykyään sitä käytetään paljon selaimissa (TLS-protokolla). Menetelmästä on löydetty useita tilastollisia heikkouksia, mutta varsinaista avainta hyökkäyksillä ei ole pystytty paljastamaan. Viime vuosina on esitelty lukuisia jonosalaajia, jotka on suunniteltu ohjelmointipohjaisiin sovelluksiin 32-bittisille prosessoreille ja joiden pitäisi olla melko turvallisia. Mikään ehdotus ei ole kuitenkaan edennyt stardardiksi tai de facto standardiksi. Silti nämä menetelmät ovat tärkeitä, kun prosessorissa on harvoja piirejä tai kun halutaan erittäin suurta nopeutta. Siitä syystä jonosalaajien kehittäminen on tärkeä tutkimusalue lähitulevaisuudessakin. () 13. huhtikuuta 2010 38 / 43

Lohkosalaajat I Lohkosalaajat eroavat jonosalaajista siinä, että selväteksti jaetaan lohkoihin, joiden pituus on tyypillisesti 64 tai 128 bittiä. Jokainen lohko salataan samalla tavalla. Lohkot lähetetään sitten vastaaottajalle, yleensä jollain tavalla ketjutettuna, jottei vastustaja pääse muuttamaan lohkojen järjestystä eikä kahdentamaan lohkoja. Nykyisin laajimman käytön on saanut AES eli Rijndael. Se oli yllätysvoittaja Yhdysvaltojen järjestämässä kilpailussa uudeksi salausstandardiksi. NIST:in järjestämä kilpailu alkoi tammikuussa 1997 ja Rijndael julistettiin voittajaksi huhtikuussa 2000. Voittajamenetelmän olivat suunnitelleet belgialaiset Joan Daemen ja Vincent Rijmen. Ensimmäiselle kierrokselle hyväksyttiin 15 ehdotusta, joissa oli mukana 11 eri maata. () 13. huhtikuuta 2010 39 / 43

Lohkosalaajat II Vuonna 1999 valittiin viisi finalistia, joita olivat Rijndael (BE), Serpent (UK-IL-DK), Twofish (USA), RC6 (USA), Mars (USA). Finalistien arvostelussa huomiota kiinnitettiin erityisesti software- ja hardware-tason implementointiin. Lopulta voittajaksi selviytyi Rijndael. Rijndael käyttää lohkosalausta. Tämä tarkoittaa, että selväteksti jaetaan tietyn pituisiin lohkoihin, jotka sitten salataan järjestyksessä. Lohkon koko voi vaihdella samoin kuin avaimen pituuskin. Lohkon ja avaimen pituus voi olla mikä tahansa 32:n monikerta, minimin ollessa 128 bittiä ja maksimin 256 bittiä. Menetelmä on kuvattu tarkasti lähteissä [?] ja [?]. AES:ää on pidetty turvallisena. Kilpailu oli avoin ja ehdokkaat altistettiin kansainväliselle vapaalle arvostelulle. Koska mitään selvää heikkoutta ei ole havaittu ja useita vuosia on jo kulunut, on todennäköistä, ettei menetelmä sisällä selviä heikkouksia. () 13. huhtikuuta 2010 40 / 43

Lohkosalaajat III On kuitenkin yksi menetelmä, jossa on tultu vaarallisen lähelle murtamista. Algebrallinen lähestymistapa on tekniikka, jossa muodostetaan yhtälöryhmä sen mukaan, miten salausmenetelmä toimii. Myös 128 bittisestä Rijndaelista on tehty algebrallinen analyysi ja tulokseksi on saatu yhtälöryhmä, jossa on 16 000 tuntematonta ja 8000 toisen asteen yhtälöä ([?]). Kysymyksessä on siis Diofantoksen yhtälö(ryhmä). Tällaisille yhtälöryhmille ei ole yleistä ratkaisumenetelmää kuten Ju. V. Matijasevits osoitti jo 1970 (ratkaistessaan tämän ns. Hilbertin 10. probleeman). Ei sen sijaan ole varmaa, etteikö jotain erikoistapausta voisi ratkaista. Itse asiassa hieman tekniikkoja muutellen saadaan erilaisia yhtälöryhmiä, jotka kaikki on johdettu AES:sta. () 13. huhtikuuta 2010 41 / 43

Lohkosalaajat IV Uuden salausstandardin AES:in turvallisuus siis riippuu näistä yhtälöryhmistä, jotka voidaan kenties ratkaista jonain päivänä. AES:ssä on kuitenkin yksi heikkous, joka olisi pitänyt huomata jo arvosteluvaiheessa. Nimittäin Daniel Bernstein löysi sivukanavahyökkäyksen. Seuraamalla tunnetun selvätekstin salaamiseen tietokoneelta kuluvaa aikaa yksityiskohtaisesti (välimuistin käyttöä laskennan aikana) voidaan avain paljastaa täydellisesti. Tämä hyökkäysmahdollisuus johtuu ennenkaikkea AES:n rakenteesta, eikä erityisestä ohjelmakirjastosta, jota käytetään. On erittäin hankalaa kirjoittaa yleiselle tietokoneelle ohjelmistoa, joka kuluttaisi vakioajan eri operaatioihin. () 13. huhtikuuta 2010 42 / 43

Symmetrinen salaus käytännössä: ECB I Yksinkertaisimillaan salausta käytetään siten, että selväteksti jaetaan esim. 128:n (AES) bitin lohkoihin, jokainen lohko salataan erikseen ja lohkot lähetetään vastaanottajalle. Kysymyksessä on ns. elektroninen koodikirja, ECB. Tällä menetelmällä on kuitenkin huonoja puolia: Säännöllisyydet saattavat näkyä salatekstissä. Esimerkiksi rahansiirrossa summa saattaa olla aina samalla paikalla. Suurista summista voi olla tietoa jne. Jotta esitetyiltä ongelmilta vältyttäisiin, pyritään salalohkot ketjuttamaan niin, että yksi salalohko vaikuttaa kaikkien muiden seuraavaksi tulevien koodaukseen. Näin sekoitusominaisuudet paranevat, eikä vakio-osia ole enää mahdollista paikantaa. Näitä ns. ketjutustekniikoita voidaan käyttää minkä tahansa symmetrisen lohkosalausmenetelmän kanssa. () 13. huhtikuuta 2010 43 / 43

Salalohkojen ketjutus I Salalohkojen ketjutuksessa (engl. cipher block chaining, CBC) selväteksti jaetaan lohkoiksi, joita ruvetaan salaamaan järjestyksessä. Nyt kuitenkin käytetään apuna yhteenlaskua modulo 2. Aina kun lohko on salattu, salattu lohko lasketaan yhteen modulo 2 seuraavan selvätekstilohkon kanssa, joka salataan vasta tämän jälkeen. Kaaviona salaus- ja purkuprosessi ovat seuraavan kuvan mukaisia (lohkon pituus kuvioissa 64, todellisuudessa esim. 128). () 13. huhtikuuta 2010 44 / 43

Salalohkojen ketjutus II 64 b varasto 64 bitin varasto C n 1 k k C n 1 P n E C n D Q n Kuva: CBC Vastaavasti kaavoina: () 13. huhtikuuta 2010 45 / 43

Salalohkojen ketjutus III C n = E K (P n C n 1 ), Q n = D K (C n ) C n 1, D K (C n ) = P n C n 1, Q n = P n C n 1 C n 1 = P n. Ensimmäisen ja viimeisen lohkon käsittely vaatii erikoiskäsittelyä. Otetaan käyttöön 64 bitin alustusmuuttuja I, jota käytetään ensimmäisen selvälohkon salauksessa: C 1 = E K (P 1 I), Q 1 = D K (C 1 ) I. Yleensä alustusmuuttuja I on salainen. Viimeinen selvälohko on täydennettävä 64-bittiseksi. Tämä voidaan tehdä lisäämällä nollia tai satunnainen bittijono. () 13. huhtikuuta 2010 46 / 43

Ketjutuksessa tiedonsiirtovirheet leviävät laajemmalle kuin elektronisen koodikirjan tapauksessa. Oletetaan, että n. salalohkossa tapahtuu yhden bitin tiedonsiirtovirhe. Merkitään C n virheetön salalohko, C n yhden bitin virheen sisältävä salalohko, Q n selvälohko purkamisen jälkeen, Q n täysin virheellinen lohko purkamisen jälkeen, Q n yhden bitin virheen sisältävä selvälohko. Nyt tiedonsiirtovirheen vaikutus selviä seuraavista kaavoista: D K (C n) C n 1 = Q n, D K (C n+1 ) C n = Q n+1, D K (C n+2 ) C n+1 = Q n+2. Eli yksi selvälohko tuhoutuu täysin ja yhdessä on yhden bitin virhe. Muut lohkot selviävät vaurioitta. () 13. huhtikuuta 2010 47 / 43

Salauksen takaisinkytkentä I Salauksen takaisinkytkentää (engl. cipher feedback chaining, CFC) käytetään, kun salaus tapahtuu merkki merkiltä tai bitti bitiltä. Oletetaan, että merkin pituus on m bittiä. Yleensä m = 8. Menetelmän idea käy selville seuraavasta kaaviosta. () 13. huhtikuuta 2010 48 / 43

Salauksen takaisinkytkentä II Siirtorekisteri Siirtorekisteri k 64 64 E E 8 8 64 64 k Valitse vasen oktetti Valitse vasen oktetti 8 8 8 8 8 8 Selvä Sala Selvä Kuva: CFC () 13. huhtikuuta 2010 49 / 43

Salauksen takaisinkytkentä III Ensimmäisen oktetin kohdalla käytetään alustusmuuttujaa I, jonka pituus on sama kuin salausjärjestelmän lohkon pituus. Alustusmuuttuja sijoitetaan valmiiksi siirtorekisteriin. Se on luonnollisesti vaihdettava tarpeeksi usein. Edellisten merkintöjen lisäksi merkitään: S n siirtorekisterin sisältö n. kierroksella, L n on E K (S n ):n m vasenta bittiä. Analysoidaan taas tiedonsiirtovirheen vaikutusta. Oletetaan, että n. kierroksella tapahtuu yhden bitin virhe salalohkossa. Tällöin kun M = 8: S n ja L n kunnossa, mutta C n L n = Q n eli selvälohkoon tulee n. kierroksella yhden bitin virhe; kierroksilla n + 1,,n + 8 tilanne on S i ja L i, i = n + 1,,n + 8; Siten i = n + 1,,n + 8; C i L i = Q i, () 13. huhtikuuta 2010 50 / 43

Salauksen takaisinkytkentä IV kierroksella n + 9 kaikki on kunnossa. Siis virhe vaikuttaa 9 oktettiin. () 13. huhtikuuta 2010 51 / 43

Laskurimoodi I Laskurimoodi eli CTR on saavuttanut suosiota viime aikoina, joskin se on vanha ehdotus. Salaus tapahtuu nyt muodossa missä P i on i.s selvälohko, C i = P i E(K,L i ), L i on laskurin arvo i. kierroksella, K on salainen, symmetrinen avain ja on XOR-operaatio. Tyypillisesti laskurilla on jokin sovittu alkuarvo, joka kasvatetaan joka kierroksella yhdellä. Mitään ketjutusta ei ole käytössä. Menetelmällä on etuja: Laitteistotason tehokkuus. () 13. huhtikuuta 2010 52 / 43

Laskurimoodi II Ohjelmallinen tehokkuus. Esiprosessointi mahdollista (salaus). Lohkot voidaan prosessoida satunnaisessa järjestyksessä. CTR:n voidaan näyttää olevan ainakin yhtä vahva kuin muut ketjutusmenetelmät, jotka ovat olleet esillä. Tarvitaan vain salauksen toteutus, ei purun toteutusta. () 13. huhtikuuta 2010 53 / 43

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute