Formatbevarande kryptering

Format -bevarande kryptering ( FPE ) betyder kryptering där utdata ( chiffertext ) är i samma format som indata ( klartext ) . Innebörden av ordet "format" varierar. Vanligtvis menas endast ändliga mängder , till exempel:

Kryptera det 16-siffriga kreditkortsnumret så att chiffertexten också är ett 16-siffrigt nummer.
Kryptera det engelska ordet så att chiffertexten också är ett engelskt ord.
Kryptera ett n-bitars nummer så att chiffertexten är ett n-bitars nummer. (Detta är definitionen av n-bitars blockchiffer)

För sådana ändliga mängder, och för diskussionen nedan, är chifferet ekvivalent med en permutation av N heltal {0, ... , N −1 }, där N är storleken på området.

Varför du behöver FPE

Begränsade fältlängder eller format

Det första skälet till att använda FPE är problemen med att använda kryptering i befintliga applikationer med väldefinierade datamodeller. Ett typiskt exempel är ett kreditkortsnummer , till exempel 1234567812345670(16 byte, endast nummer).

Att lägga till kryptering till sådana applikationer kan vara svårt om datamodellen behöver ändras, eftersom det vanligtvis innebär ändringar av fältlängdsbegränsningen eller datatypen . Till exempel kommer blockkryptering av ett kreditkortsnummer att resultera i hexadecimala ( 0x96a45cbcf9c2a9425cde9e274948cb67, 34 byte, hexadecimala siffror) eller Base64 ( lqRcvPnCqUJc3p4nSUjLZw==, 24 byte, alfanumeriska och specialtecken). Detta kommer att bryta alla befintliga applikationer som förväntar sig ett 16-siffrigt kreditkortsnummer som inmatning.

Förutom enkla formateringsproblem, med AES-128-CBC, kan detta kreditkortsnummer kodas till ett hexadecimalt värde 0xde015724b081ea7003de4593d792fd8b695b39e095c98f3a220ff43522a2df02. Förutom problemet som orsakas av ogiltiga tecken eller storleksökning, ändrar data krypterad med CBC-läge värde när den dekrypteras och krypteras igen. Detta beror på att det slumpmässiga startvärdet , som används för att initiera krypteringsalgoritmen och ingår som det krypterade värdet, är olika för varje krypteringsoperation. Därför är det inte möjligt att använda data som har krypterats med CBC-läge som en unik nyckel för att identifiera en rad i en databas .

FPE är nödvändigt för att förenkla övergångsprocessen genom att bevara formateringen och längden på originaldata, vilket gör det möjligt att ersätta klartexten med dess kryptogram i de applikationer som används.

Generering av pseudoslumptal

Format Preserving Encryption (FPE) kan generera unika och icke-repeterbara nummer. Huvudsyftet med FPE är att kryptera en fil på ett sådant sätt att både originalfilen och den krypterade filen har samma format.

Till exempel, om en sekvens av nummer från 11111 till 88888 skapas, tar FPE det första värdet 11111 och krypterar det till ett annat 5-siffrigt nummer. Denna process fortsätter tills det sista värdet 88888 har lästs. Alla krypterade värden är unika och slumpmässiga. Dessa nummer används som serienyckel för produkten.

Jämförelse med verkligt slumpmässiga permutationer

Även om en verkligt slumpmässig permutation är ett idealiskt FPE-chiffer, är det för stora uppsättningar inte möjligt att förgenerera och komma ihåg en verkligt slumpmässig permutation. Så, FPE-problemet är att generera en pseudo-slumpmässig permutation från en hemlig nyckel på ett sådant sätt att beräkningstiden för ett värde är liten (helst konstant, men viktigast av allt, mindre än O (N)).

Jämförelse med blockkryptering

N -bitars blockchiffer (t.ex. AES) är tekniskt sett en FPE på uppsättningen {0, ..., 2n -1 }. Om FPE behövs på en av standarduppsättningarna (där n = 128, 192, 256), kan du använda blockkryptering av önskad storlek.

Emellertid, i standardanvändning, används blockkryptering i ett läge som tillåter godtyckligt långa meddelanden att krypteras, och med användning av en initialiseringsvektor som diskuterats ovan. I detta läge är blockchiffer inte FPE.

Säkerhetsdefinition för FPE

I kryptografilitteraturen (se länkar nedan) bestäms "godheten" hos en FPE av om en angripare kan skilja FPE från en verkligt slumpmässig permutation. Angripare skiljer sig åt beroende på om de har tillgång till oraklet eller om de känner till ett par med chiffertext/klartext.

FPE-algoritmer

I de flesta av tillvägagångssätten som nämns ovan används ett välkänt blockchiffer (som AES ) som en idealisk slumpmässig funktion.

I ett sådant fall är det fördelaktigt enkelt att införa den hemliga nyckeln i algoritmen. Längre fram i texten kan vilket bra blockchiffer som helst användas istället för AES.

FPE-designer av Black and Rogaway

FPE-implementeringen som ligger till grund för blockchifferet användes först av kryptograferna John Black och Phillip Rogaway , [1] som beskrev tre sätt att göra detta. De har bevisat att var och en av dessa metoder är lika säker som blockchifferet som används för att konstruera dem. Detta innebär att en motståndare som kan dekryptera FPE-algoritmen också kan dekryptera AES-algoritmen. Därför, för pålitliga AES-algoritmer, är FPE-algoritmerna som bygger på dem också pålitliga. Härefter betecknar E AES-krypteringsoperationen, som används för att bygga FPE-algoritmen, och P betecknar FPE.

FPE baserat på prefixchiffer

Ett enkelt sätt att skapa en FPE-algoritm på uppsättningen {0,..., N -1} är att tilldela en pseudoslumpmässig vikt till varje heltal och sedan sortera efter vikt. Vikterna bestäms genom att tillämpa ett befintligt blockchiffer på varje heltal. Black och Rogoway kallar denna metod för "prefix chiffer".

Så för att skapa en FPE på uppsättningen {0,1,2,3} med en given nyckel K , tillämpa AES( K ) på varje heltal i vår uppsättning, till exempel,

weight(0) = 0x56c644080098fc5570f2b329323dbf62
weight(1) = 0x08ee98c0d05e3dad3eb3d6236f23e7b7
weight(2) = 0x47d2e1bf72264fa01fb274465e56ba20
weight(3) = 0x077de40941c93774857961a8a772650d

Att sortera [0,1,2,3] efter vikt ger [3,1,2,0], så chiffret ser ut så här:

F(0) = 3
F(1) = 1
F(2) = 2
F(3) = 0.

Denna metod används endast för små värden på N. För stora värden blir storleken på uppslagstabellen och det antal kodningar som krävs för att initiera tabellen för stora.

FPE från cykelgång

Om det finns en uppsättning M med giltiga värden inom den pseudo-slumpmässiga permutationsregionen P (till exempel kan P vara ett blockchiffer av typen AES), kan FPE-algoritmen genereras från blockchifferet genom att upprepade gånger tillämpa blockchifferet tills resultatet är ett av de giltiga värdena (inom M ).

CycleWalkingFPE(x) { om ''P''(x) är ett element av ''M'' returnera ''P''(x) annan return CycleWalkingFPE(''P''(x)) }

Cykeln kommer definitivt att ta slut. (Eftersom P går efter varandra och mängden är ändlig, bildar upprepad tillämpning av P en cykel, så från en punkt i M kommer cykeln att stanna i M. )

Fördelen med denna metod är att elementen i mängden M inte behöver mappas till elementen i sekvensen {0,..., N -1} av heltal. Nackdelen är ett stort antal iterationer för varje operation om M är mycket mindre än mängden P . Om P är ett blockchiffer av en given storlek, såsom AES, så finns det en hård begränsning på M under vilken denna metod är effektiv.

Till exempel måste en applikation kryptera ett 100-bitars AES-värde så att utdata är ett annat 100-bitarsvärde. Med denna teknik kan AES-128-ECB-kryptering tillämpas tills den når ett värde med 28 mest signifikanta bitar lika med 0, vilket tar i genomsnitt 228 iterationer.

FPE baserad på Feistel-nätverket

En annan metod för att skapa en FPE-algoritm är baserad på användningen av Feistel-nätverket . Feistel-nätverket behöver en källa till pseudo-slumpmässiga värden för nycklarna för varje omgång, och utdata från AES-algoritmen kan användas som dessa värden. Den resulterande Feistel-konstruktionen är robust om tillräckligt många rundor används. [2]

Ett sätt att implementera en FPE-algoritm baserad på ett Feistel-nätverk och AES är att använda antalet bitar i utdata från AES-algoritmen som skulle vara lika med längden på den vänstra eller högra halvan av Feistel-nätverket. Till exempel, om ett 24-bitars värde behövs för nyckeln, kan de sista 24 bitarna av utdata från AES-algoritmen användas.

Denna metod kanske inte bevarar formatet, men det är möjligt att återanvända Feistel-nätverket på samma sätt som cykel-gångsmetoden tills formatet bevaras. Genom att justera storleken på ingången till Feistel-nätverket kan slingan slutföras snabbt. Till exempel finns det 10 16 (10 16 = 2 53,1 ) möjliga 16-siffriga kreditkortsnummer. Med hjälp av ett 54-bitars brett Feistel-nätverk och cykelvandring är det möjligt att skapa en FPE-algoritm som krypterar ganska snabbt.

Andra FPE-designer

Flera andra FPE-konstruktioner förlitar sig på olika metoder för att lägga till utdata från en standardchiffermodul till data som ska krypteras. Att lägga till modulo n är en ganska uppenbar lösning på FPE-krypteringsproblemet.

Avsnitt 8 i FIPS 74, Federal Information Processing Standards Publication 1981 Guidelines for Implementing and Using the NBS Data Encryption Standard , [3] beskriver ett sätt att använda DES-krypteringsalgoritmen som bevarar dataformatet genom att lägga till modulo n. Denna standard togs bort den 19 maj 2005, så metoden är utfasad i termer av standarden.

En annan metod för formatbevarande kryptering var Peter Gutmans "Encrypting data with a restricted range of values", [4] som diskuterade en algoritm som också utförde modulo n addition med några justeringar.

Verket "Using Datatype-Preserving Encryption to Enhance Data Warehouse Security" [5] av Michael Brightwell och Harry Smith beskriver ett sätt att använda DES- krypteringsalgoritmen som bevarar klartextdataformatet. Denna metod använder inte modulo n addition.

Verket "Format-Preserving Encryption" [6] av Mihir Bellar och Thomas Ristenpart beskriver användningen av ett "nästan balanserat" Feistel-nätverk för att skapa en säker FPE-algoritm.

Ulf Mattssons Format Controlling Encryption Using Datatype Preserving Encryption [7] beskriver andra metoder för att implementera FPE-algoritmen.

Ett exempel på en FPE-algoritm är FNR ( Flexible Naor och Reingold ). [åtta]

Antagande av FPE-algoritmer enligt statliga standarder

NIST har publicerat Special Publication 800-38G, DRAFT Recommendation for Block Chipher Modes of Operation: Methods for Format-Preserving Encryption. [9] Denna publikation definierar tre metoder FF1, FF2 och FF3. Detaljer om dessa, samt information om patent och testkit, finns på webbplatsen NIST Block Cipher Modes Development. [tio]

FF1 är FFX "Formatbevarande Feistel-baserat krypteringsläge". Den skickades till NIST av Mihir Ballar från UC San Diego , Philip Rogaway från UC Davis och Terence Spice från Voltage Security Inc. Testsatsen medföljer och delar av den är patenterad.
FF2 är ett VAES3-schema för FFX: Ett tillägg till "The FFX Mode of Operation for Preserving Encryption." Det presenterades på NIST av Joachim Vance från VeriFone Systems Inc. En testsvit tillhandahålls inte, till skillnad från FF1, och delar av den är patenterad.
FF3 är en BPS uppkallad efter dess författare. Den presenterades på NIST av Eric Braer, Thomas Pyrin och Jacques Stern från Ingenico, Frankrike. Testkitet tillhandahålls inte eller patenterat.

Anteckningar

↑ John Black och Phillip Rogaway, Ciphers with Arbitrary Domains, Proceedings RSA-CT, 2002, s. 114-130. http://citeseer.ist.psu.edu/old/black00ciphers.html ( http://www.cs.ucdavis.edu/~rogaway/papers/subset.pdf )
↑ Jacques Patarin, Luby-Rackoff: 7 Rounds Are Enough for 2 n(1-epsilon) Security, Proceedings of CRYPTO 2003, Lecture Notes in Computer Science, Volym 2729, okt 2003, s. 513-529. http://www.iacr.org/archive/crypto2003/27290510/27290510.pdf ; även Jaques Patrin: Security of Random Feistel Schemes med 5 eller fler rundor. http://www.iacr.org/archive/crypto2004/31520105/Version%20courte%20Format%20Springer.pdf
↑ FIPS 74, Federal Information Processing Standards Publication 1981 Riktlinjer för implementering och användning av NBS Data Encryption Standard Arkiverad kopia (länk ej tillgänglig) . Hämtad 14 juni 2009. Arkiverad från originalet 3 januari 2014. (obestämd)
↑ Peter Gutmann, "Encrypting data with a restricted range of values", 23 januari 1997, http://groups.google.com/group/sci.crypt/browse_thread/thread/6caf26496782e359/e576d7196b6cdb48
↑ Michael Brightwell och Harry Smith, "Using Datatype-Preserving Encryption to Enhance Data Warehouse Security, Proceedings of the 1997 National Information Systems Security Conference Arkiverad kopia . Hämtad 7 juli 2009. Arkiverad från originalet den 19 juli 2011. (obestämd)
↑ Mihir Bellare och Thomas Ristenpart, Format-Preserving Encryption http://eprint.iacr.org/2009/251
↑ Ulf Mattsson, Format Controlling Encryption Using Datatype Preserving Encryption http://eprint.iacr.org/2009/257
↑ Sashank Dara, Scott Fluhrer. Flexibel Naor och Reingold . Cisco Systems Inc. (obestämd)
↑ Special Publication 800-38G, DRAFT Recommendation for Block Chipher Modes of Operations: Methods for Format-Preserving Encryption , < http://csrc.nist.gov/publications/PubsDrafts.html#SP-800-38-G >
↑ NIST Block Chiffer Modes Development , < http://csrc.nist.gov/groups/ST/toolkit/BCM/modes_development.html >

Symmetriska kryptosystem
Streama chiffer	A3 A5 A8 Decim F-FCSR Spannmål HC-256 KCipher-2 MICKEY MUGI GÄDDA Phelix RC4 Kanin TÄTA SNÖ SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Feistel nätverk	GOST 28147-89 (Magma) blåsfisk Kamelia CAST-128 CAST-256 CIFERUNICORN-A CIPHERUNICORN-E CLEFIA Kobra HANDLA DES DESX DFC E2 ENRUPT FEAL HPC ANING KASUMI Khafre Khufu LOKI97 MacGuffin MARS MASKA DIMMIG1 Ny DES NDS RC5 RC6 UTSÄDE Simon Sinople skipjack SM4 Fläck TE XTEA XXTEA Raiden RTEA Trippel DES Tvåfisk
SP nätverk	gräshoppa 3 sätt ABC ARIA AES (Rijndael) Akelarre Anubis BaseKing Bas Omatic Bälte CRYPTON Diamant2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna djävulen närvarande Regnbåge SÄKRARE HAJ FYRKANT Orm tre fiskar
Övrig	GRODA NUSH REDOC SC2000 SHACAL CS-Chiffer

Public key kryptosystem

Algoritmer

Faktorisering av heltal	Benalo kryptosystem Bluma - Goldwasser Cayley Purser Damgorda - Eureka GMR Goldwasser - Micali Nakasha - Stern betalare Rabin RSA Okamoto - Uchiyama Schmidt-Samoa
Diskret logaritm	BLS Cramer - Shoup Diffie-Hellman-protokollet DSA ECDH Kurva25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Krypterad nyckelutbyte Schema för ElGamal signaturschema MQV Schnorr-schema SPEKE SRP STS
Kryptografi på galler	NTRUEncrypt NTRUSign Inlärningsbaserat nyckelutbyte med fel Signaturbaserad träning med fel i ringen SALIGHET Nytt hopp
Övrig	AE CEILIDH EPOC Dolda fältekvationer IES Lamports signatur McEliece Merkle-Hellman ryggsäckskryptosystem Naccache–Stern ryggsäckskryptosystem Trestegsprotokoll XTR

Teori

Standarder

CRYPTREC
IEEE P1363
NESSIE
NSA Suite B
Postkvantkryptering

Ämnen

Elektronisk signatur
OAEP
Fingeravtryck
PKI
nät av förtroende
Nyckelstorlek
Identitetsbaserad kryptografi
Postkvantkryptografi
OpenPGP-kort

Hash-funktioner
generell mening	Adler-32 CRC Fletcher kontrollsumma FNV MurmurHash2 MurmurHash2A MurmurHash3 PJW-32 TTH - Hashträd jenkins hash hash summa
Kryptografisk	Stribog GOST R 34,11-94 Bälte BLAKE bmw CubeHash EKO edonkey2k FSB Fuga Grostl HAVAL Hamsi J H Kupyna LM hash Luffa MD2 MD4 MD5 MD6 N-hash RIPEMD-128 RIPEMD-160 RIPEMD-256 RIPEMD-320 SHA-1 SHA-2 Keccak (SHA-3) SHABAL SHAvite-3 SIMD SWIFFT Hud Snefru Tiger Bubbelpool
Nyckelgenereringsfunktioner	bcrypt PBKDF2 kryptera Argon 2 Lyra2
Kontrollnummer ( jämförelse )	Kontrollera summan Verhouffs algoritm Månen algoritm Jävla algoritm Streckkod bankkonton bankkort ÄR I SNILS OKPO TENN OKATO ISBN OGRN och OGRNIP VIN
Hashes	Jämförelse av checknummer Autentiseringsprotokoll Streckkodsjämförelse Kryptografi Magnet länk Merkle signatur ed2k URNA