RSA-systemets sårbarheter idag och i framtiden

(1)

Kandidatuppsats

IT-forensik och informationssäkerhet 180 hp

RSA-systemets sårbarheter idag och i framtiden

Digital forensik 15 hp

Halmstad 2019-07-02

(2)

(3)

RSA-systemets s˚ arbarheter idag och i framtiden

Kandidatuppsats V˚ arterminen 2019

F¨ orfattare: Julia G˚ ardlund Handledare: Eric J¨ arpe Examinator: Stefan Axelsson

Sektionen f¨or informationsvetenskap, data- och elektroteknik H¨ogskolan i Halmstad

Box 823, 301 18 HALMSTAD

(4)

Sektionen f¨or informationsvetenskap, data- och elektroteknik

(5)

Sammanfattning

Denna uppsats undersöker s˚arbarheter relaterade till ett av de äldsta och mest säkra krypteringssystemen som existerar idag; RSA. Med hjälp av primärt kvalitativa litteraturstudier förklaras RSA-algoritmen, i vilka sammanhang RSA implementeras, n˚agra av de mest kända attackerna samt vilka framtida utmaningar systemet st˚ar inför. M˚anga av attackerna har förklarats förut men syftet med denna studie är att bidra med mer lättförst˚aeliga exempel p˚a ett och samma ställe. De framtida hot som undersöks är relaterade till utvecklingen av kvantdatorer och dess potentiella förm˚aga att knäcka RSA. I och med att framtiden inte g˚ar att förutse baseras resultatet p˚a uppskattningar. En sammanställning av vad olika publikationer anser om kvantdatorers hot mot RSA samt vid vilken tidpunkt de i s˚adant fall kan skadliggöra RSA är genomförd och presenteras i denna uppsats.

Nyckelord: Kryptering, asymmetrisk, RSA, implementation, attack, faktorisering, s˚arbarhet, kvantdator, kvantbitar.

(6)

(7)

Inneh˚ all

Figurf¨orteckning vii

Tabellf¨orteckning ix

1 Introduktion 1

1.1 Problemdiskussion . . . 2

1.2 Problemformulering . . . 2

1.3 Problematisering av problemformulering . . . 3

1.4 Avgr¨ansningar . . . 3

1.5 Syfte och positionering av arbetet . . . 3

2 Metod 5 2.1 Teoridel . . . 5

2.2 Litteraturstudie . . . 5

2.2.1 Kartl¨aggning av k¨anda attacker mot RSA . . . 6

2.2.2 Estimering av kvantdatorhotet . . . 6

2.3 Metoddiskussion . . . 6

2.4 Datainsamling . . . 7

3 Teori 9 3.1 Asymmetrisk kryptering . . . 9

3.2 Hur fungerar RSA? . . . 10

3.3 Implementation av RSA . . . 12

4 Empiri 15 4.1 Kartl¨aggning av attacker mot RSA . . . 15

4.1.1 Grundl¨aggande attacker . . . 15

4.1.2 Attacker till f¨oljd av implementationsfel . . . 18

4.1.3 Sidokanalsattacker . . . 18

4.1.4 Framtida hot . . . 19

4.2 Estimering av kvantdatorhotet . . . 20

4.2.1 Genomg˚ang av material . . . 20

4.2.2 Sammanfattning av material . . . 23

5 Diskussion 27 5.1 Kartl¨aggning av k¨anda attacker mot RSA . . . 27

5.2 Estimering av kvantdatorhotet . . . 28

(8)

5.3 Sammanfattande diskussion . . . 29

6 Slutsats 31

7 F¨orslag till vidare forskning 33

Referenser 35

(9)

Figurf¨ orteckning

3.1 Asymmetrisk kryptering med Alice och Bob . . . 10 3.2 Digitala signaturer med Alice och Bob . . . 14 4.1 (Wo)man in the middle-attack med Alice, Bob och Eve . . . 17

(10)

(11)

Tabellf¨ orteckning

2.1 Mall för ifyllnad av litteraturstudiens resultat . . . 6 2.2 Antalet träffar p˚a sökorden ”rsa” och ”encryption” i olika databaser 7 2.3 Sökord och träffar i datainsamling till delen om kända attacker mot

RSA . . . 8 2.4 Sökord och träffar i datainsamling till delen om framtida hot mot RSA 8 4.1 Kvantbitregistrets möjliga värden och resultaten fr˚an steg 3 . . . . 20 4.2 Sammanfattning av studerat material . . . 24 5.1 Publikations˚ar för artiklar om attacker mot RSA . . . 28 5.2 Meta-information om studerad litteratur . . . 29

(12)

(13)

Kapitel 1

Introduktion

St˚ar vi inför en kryptopokalyps? Det p˚astod iSEC Partners p˚a konferensen Black Hat USA 2013 [1]. Presentationen syftade till att varna om att n˚agra av v˚ara mest kända krypteringssystem kan vara nära att knäckas och att vi behöver vidta

˚atgärder innan underg˚angen är ett faktum. Det är mot bakgrund av detta krissce- nario som denna uppsats skrivs.

Bakgrund

Begreppet kryptologi innebär läran om förvrängning av text eller data i syfte att förhindra att obehöriga personer kan läsa texten eller datan [2]. Kryptografi avser det operativa utförandet av kryptering eller dekryptering. Kryptoanalys innefattar i sin tur metoder för att forcera krypterade meddelanden, utan tillg˚ang till nyckeln, i syfte att omvandla dem till klartext.

De första dokumenterade fallen av kryptografi härstammar fr˚an Egypten s˚a tidigt som 1900 ˚ar före Kristus. Sedan dess har metoderna avancerats i takt med att kryptoanalyser gjort äldre metoder osäkra och obrukbara. De senaste 200 ˚aren har kryptografi spelat en viktig roll i de krig som förts i och med behovet av att skicka meddelanden som en fiende inte kan tyda.

Idag används kryptografi mer än n˚agonsin i och med att datorer och överföring av filer via olika nätverk har utvecklats i hög fart [3]. Eftersom datorer har en

¨

okad förm˚aga att utföra beräkningar har krypteringsmetoderna kunnat avanceras.

Metoderna utmanas konstant av kryptoanalys vilket ställer höga krav p˚a att kon- tinuerligt utveckla nya och mer säkra metoder.

RSA är en krypteringsmetod som utvecklades 1977 och används än idag. Den har f˚att sitt namn efter sina upphovsmän Ronald Rivest, Adi Shamir och Leonard Adleman. Tidigare hade enbart symmetriska krypteringssystem, där samma nyckel används för att kryptera och dekryptera, implementerats. RSA är en asymmetrisk krypteringsmetod vilket innebär att en publik nyckel används för att kryptera och en privat nyckel används för att dekryptera. Detta löste problematiken med symmetriska krypteringsmetoders nyckelöverföringssäkerhet. Säkerheten i RSA beror

(14)

av nyckelns längd, vilken kan variera fr˚an 1024 bitar (RSA-1024) till 2048 bitar (RSA-2048). Ju längre nyckellängd desto sv˚arare kryptoanalys. Samtidigt medför längre nycklar längre hanteringstider för den legitima kryptografiprocessen. Säkerheten i RSA bygger i huvudsak p˚a sv˚arigheten i att faktorisera stora tal. Det innebär att tv˚a tal som multipliceras med varandra och bildar en produkt inte kan ˚aterskapas om enbart produkten är känd för den som försöker.

RSA fungerar l˚angsamt i relation till andra krypteringsmetoder d˚a beräknings- komplexiteten är hög. Detta har lett till att RSA sällan används för att kryptera större datamängder. Istället används RSA som en del i ett större krypteringssammanhang. Ett exempel p˚a detta är Pretty Good Privacy (PGP) som ursprungligen konstruerades av Philip R. Zimmermann. PGP kombinerar snabbare symmetriska krypteringsmetoder med RSA som lösning p˚a nyckelöverföringen. Andra vanliga användningsomr˚aden är digitala signaturer eller för att styrka autenticiteten av ett meddelande. Styrkan i RSA-systemet har bidragit till dess överlevnad och därför

¨

ar RSA relevant i dagens informationsteknologiska samh¨alle.

1.1 Problemdiskussion

RSA är ett krypteringssystem som är brett implementerat p˚a m˚anga olika mark- nadsomr˚aden idag, exempelvis inom elektronisk handel (e-handel) [1]. I och med digitaliseringen av tjänster som e-handel och finansiella transaktioner är samhället enormt s˚arbart inför ett lyckat RSA-angrepp. Flertalet attacker har och fortsätter att utvecklas och framtidslösningar m˚aste formuleras. Datorer som bygger p˚a kvantmekanik är i full utveckling och anses vara det största framtida hotet mot RSA [15].

Kvantdatorer finns ännu bara i mindre skala i praktiken men teoretiskt sett är det bara en tidsfr˚aga innan de finns bland oss. Med hjälp av kvantdatorer kommer det att bli möjligt att faktorisera stora tal. Därför är kvantdatorernas utveckling direkt intressant i relation till framtida s˚arbarheter med RSA-systemet.

1.2 Problemformulering

För att först˚a vilka framtida utmaningar systemet st˚ar inför behövs en kartläggning kring hur RSA fungerar och i vilka sammanhang systemet implementeras idag. Det

¨

ar ocks˚a av stor vikt att kartlägga de befintliga attacker och hot som systemet kan utsättas för. Därför formuleras nedanst˚aende tre forskningsfr˚agor som adresserar dagens implementation av RSA-systemet, nutida kryptoanalytiska attacker samt en fr˚aga kring vilka framtida hot som kan leda till att RSA görs oanvändbart.

1. Hur och i vilka sammanhang implementeras RSA idag?

2. Vilka k¨anda attacker existerar mot RSA idag?

3. Vilka framtida utmaningar st˚ar RSA inf¨or?

(15)

1.3 Problematisering av problemformulering

RSA implementeras p˚a m˚anga olika sätt för olika verksamheter och tjänster. Därför kan en avgränsning i form av ett specifikt användningsomr˚ade för RSA vara nödvändig för att inte omfattningen ska bli för stor. Samma problematik, gällande omfattning, finns i den andra forskningsfr˚agan med avseende p˚a hur m˚anga kryptoanalytiska metoder som ska undersökas. I och med att RSA funnits i över 40 ˚ar kan det antas att det genomg˚att flertalet attackförsök och att alla dessa inte relevanta för dagens implementation av RSA.

Den tredje fr˚agan som behandlar framtida utmaningar kan vara sv˚ar att adressera beträffande dess tekniska komplexitet. Ett sätt att hantera detta är att redogöra för hur tidigare rapporter resonerar kring framtida attacker och alternativa lösningar utan att g˚a in för djupt p˚a exakt hur RSA kommer att knäckas.

1.4 Avgr¨ ansningar

Antalet attacker som kartläggs begränsas även för att den kartläggningen inte ska vara för omfattande. De delas bland annat in i fyra kategorier. Enklare, mer grundläggande, attacker presenteras mer ing˚aende. Mer avancerade nyutvecklade attacker sammanfattas i högre grad d˚a de generellt är av högre matematisk komplexitet vilket är utanför ramen för denna uppsats.

Ett frekvent omtalat framtida hot mot RSA är utvecklingen av kvantdatorer som kan faktorisera stora tal [14]. Därför besvaras den tredje forskningsfr˚agan om framtida utmaningar med fokus p˚a just kvantdatorer och dess förväntade inverkan p˚a RSA-systemet som vi känner det.

1.5 Syfte och positionering av arbetet

Kartläggningar av attacker mot RSA har presenterats i tidigare arbeten p˚a engelska och av mer komplex karaktär. Exempel p˚a s˚adana artiklar är ”Twenty Years of Attacks on the RSA Cryptosystem” [11] och ”Cryptanalytic Attacks on RSA” [12]. Arbeten som förklarar attacker p˚a ett enklare sätt p˚a svenska saknas.

Sökningar efter ”rsa” och ”kryptering” i de svenska databaserna Digitala Veten- skapliga Arkivet (DiVA) och uppsatser.se genererar tillsammans 10 unika resultat (7 resultat vardera varav 4 stycken är dubbletter). Inget av dessa arbeten fokuserar p˚a s˚arbarheter med RSA eller sammanställer olika attacker mot systemet. Denna uppsats syftar till att p˚a ett enkelt och pedagogiskt sätt förklara olika typer av attacker. Uppsatsen riktar sig till personer som vill fördjupa sig i just RSA-systemets s˚arbarheter utan att behöva sätta sig in i alltför sv˚ara experiment eller matematiska beräkningar. Den syftar ocks˚a till att upplysa kring framtida s˚arbarheter och hot kopplade till kvantdatorer.

(16)

(17)

Kapitel 2 Metod

I detta kapitel presenteras de metodval som gjorts med avseende p˚a de tre fr˚agor som uppsatsen syftar till att besvara. Det resoneras ¨aven kring eventuella problem med dessa metoder samt vilka alternativa metoder som valts bort.

För att kunna besvara de fr˚ageställningar som formulerats inledningsvis delas arbetet in i tre olika moment som besvarar en fr˚aga vardera. Det första momentet har som syfte att kartlägga de användningsomr˚aden där RSA tillämpas idag och hur de fungerar. Det andra momentet kartlägger nutida kryptoanalytiska attacker och s˚arbarheter med RSA idag. Det tredje och sista momentet undersöker vilka kom- mande tekniker som hotar det RSA som används idag och undersöker hur framtiden ser ut.

2.1 Teoridel

Den första forskningsfr˚agan som behandlar funktion och implementation av RSA besvaras i en inledande teoridel. Med stöd av vetenskapliga forskningsartiklar re- dogörs för hur RSA implementeras och inom vilka tillämpningsomr˚aden systemet används. Grundläggande begrepp som asymmetrisk kryptering och RSA-algoritmen förklaras. Tanken är att kapitlet bygger en bra kunskapsgrund inför läsning av resten av uppsatsen.

2.2 Litteraturstudie

Litteraturstudier är ett sätt att samla och kartlägga existerande kunskap inom ett omr˚ade utan att ta till n˚agra större ekonomiska resurser [4]. De kan delas in i b˚ade kvantitativa och kvalitativa studier. Kvantitativa studier presenterar data som kan mätas eller värderas numeriskt. Kvalitativ information är i sin tur löpande text eller annan icke-numerisk data. För att uppn˚a syftet med denna uppsats genomfördes en kvalitativ litteraturstudie samt en dels kvalitativ dels kvantitativ litteraturstudie.

Insamlingen av datan redog¨ors f¨or i avsnitt 2.4.

(18)

2.2.1 Kartl¨ aggning av k¨ anda attacker mot RSA

Det andra momentet som syftar till besvara forskningsfr˚agan ”vilka kända attacker existerar mot RSA idag?” kartlägger och sammanställer tidigare rapporters resultat gällande nutida kryptoanalytiska attacker. Detta görs med hjälp av en kvalitativ litteraturstudie baserad p˚a dokumentation kring tidigare utförda experiment och komplexa beräkningar. Attackerna delas in i olika kategorier; grundläggande attacker, attacker till följd av implementationsfel, sidokanalsattacker och framtida hot. Varje attack förklaras var för sig.

2.2.2 Estimering av kvantdatorhotet

Den tredje och sista delen av denna uppsats syftar till att blicka fram˚at och estimera framtiden för RSA-systemet. Detta görs med hjälp av en dels kvalitativ dels kvantitativ litteraturstudie som undersöker vad relevant forskning anser om det hot som specifikt kvantdatorn utgör mot asymmetriska krypteringsmetoder, däribland RSA. Ett urval bland artiklar och rapporter har gjorts efter en datainsamling i olika online databaser. Först presenteras relevanta delar fr˚an varje verk var för sig, därefter görs en sammanfattning. Resultatet baseras p˚a vad materialet anser om följande fyra omr˚aden: Hur m˚anga kvantbitar det krävs för en kvantdator att knäcka RSA, vilket ˚ar det kommer att ske, hur allvarligt problemet är samt vilka

˚atgärder som bör vidtas. Tabell 2.1 har skapats som mall för att presentera de resultat som genereras i litteraturstudien.

Tabell 2.1: Mall för ifyllnad av litteraturstudiens resultat Material Kvantbitar ˚Artal Allvarlighetsgrad ˚Atgärdsförslag Material #1

Material #2 ...

Material #k

2.3 Metoddiskussion

Tidigare rapporter inom ämnet, exempelvis [13] och [16], har utfört flertalet experiment av olika karaktär. Dessa experiment är tekniskt avancerade och har krävt stora resurser och hög spetskompetens. Denna rapport syftar till att, med hjälp av primärt kvalitativa litteraturstudier, kartlägga och sammanställa tidigare rapporters resultat utan att nödvändigtvis genomföra n˚agra nya avancerade experiment. Däremot kan enklare matematiska beräkningar vara nödvändiga för att korrekt kunna beskriva exempelvis RSA-algoritmen, nutida attacker samt framti- dens attacker.

En nackdel med att anv¨anda litteraturstudie som metod ¨ar att materialet som

(19)

och hur studierna har genomförts fr˚an början. Det är därför viktigt att kritiskt granska materialet med fokus vem som är avsändare, varför materialet framställts och vilken metod som använts.

Att studera implementation och s˚arbarheter med RSA med hj¨alp av litteratur- och forskningsstudier kan resultera i en allt f¨or generell slutsats. Risken med detta

¨

ar att resultatet inte blir intressant sett till om en enskild organisations implementation av RSA undersökts. Att undersöka en enskild organisation kunde förslagsvis genomförts med hjälp av en intervjustudie eller ett riktat penetrationstest.

En orsak till att ett penetrationstest inte anv¨ands som metod ¨ar att RSA ofta

¨

ar del av ett större system och att ett s˚adant penetrationstest behöver fler parame- trar än enbart RSA-algoritmen (vilken denna uppsats fokuserar p˚a). Försök att simulera olika matematiska attacker med hjälp av kod hittad p˚a internet initier- ades, men utfallet bedömdes inte relevant d˚a olika koder kunde variera stort i beräkningskomplexitet. Ingen standardiserad kod fanns tillgänglig att nyttja i syfte att genomföra en rättvis och korrekt jämförelse mellan exempelvis tv˚a olika attacker.

2.4 Datainsamling

Sökningar efter material har gjorts i databaserna ACM Digital Library, IEEE Xplore, LNCS/Springer Link samt ArXiv.org (Cornell University). Urvalet baser- ades p˚a de databaser som st˚ar angivna som mest populära p˚a Högskolan i Halm- stads hemsida och som utger sig för att inneh˚alla informationsteknologiskt material.

Inledningsvis gjordes en s¨okning p˚a ”rsa” och ”encryption” i samtliga databaser.

Detta gav en bild av vilka databaser som innehöll flest relevanta artiklar p˚a ämnet RSA-kryptering. Antalet träffar i denna sökning presenteras i tabell 2.2.

Tabell 2.2: Antalet träffar p˚a sökorden ”rsa” och ”encryption” i olika databaser Antal träffar Sökval utöver default

ACM Digital Library 4471 The ACM Full-Text Collection

IEEE Xplore 1105 Meta-data only

LNCS/Springer Link 11809 Exclude Preview-Only content, English

ArXiv.org 1941

Därefter genomfördes förfinade sökningar med sökord som fokuserade mer p˚a fr˚ageställningarna som formulerats. Inför datainsamlingen till delen där kända attackerna listas och

förklaras användes sökord som ”implementation”, ”attack”, ”break”, ”crack” och

”vulnerabilities”. Se resultatet av dessa s¨okningar i tabell 2.3 p˚a n¨asta sida. Efter genomg˚ang och borts˚allning av irrelevant material kvarstod artiklarna [10], [11], [12], [13], [14], [15] och [16].

(20)

Tabell 2.3: Sökord och träffar i datainsamling till delen om kända attacker mot RSA implementation attack break crack vulnerabilities ACM Digital

Library 158 136 21 3 31

IEEE Xplore 685 608 128 11 75

LNCS/Springer Link 9716 11253 8378 843 2442

ArXiv.org 49 47 10 1 8

I litteraturstudien som behandlar framtida utmaningar för RSA användes primärt sökorden “quantum”, ”post-quantum”, “factorization”, ”shor’s” och ”qubits”. Se tabell 2.4 för antalet träffar för respektive sökord. Efter att flertalet artiklar granskats togs [18] och [21] med i resultatet av litteraturstudien. För att finna mer information kring vad olika forskare ans˚ag om RSA-systemets framtid och kvantdatorns framsteg genomfördes även sökningar efter material via sökmotorn Google. Söksträngar som användes var av typen ”Will quantom computing break RSA?” och ”How many qubits are needed to break RSA?”. Detta resulterade i materialet [17], [19] och [20].

Tabell 2.4: S¨okord och tr¨affar i datainsamling till delen om framtida hot mot RSA quantum post-quantum factorization shor’s qubits ACM Digital

Library 18 21 59 1 0

IEEE Xplore 83 27 83 2 2

LNCS/Springer Link 1743 441 2516 227 182

ArXiv.org 31 6 45 8 4

(21)

Kapitel 3 Teori

Vid genomg˚ang av resultatet av denna studie kan kunskap kring asymmetriska krypteringssystem och hur just RSA fungerar vara nödvändig. Syftet med kom- mande kapitel är därför att, med hjälp av litteratur och forskningsstudier, presentera aktuell forskning inom omr˚adet.

3.1 Asymmetrisk kryptering

Krypteringsmetoder kan delas in i symmetriska och asymmetriska krypteringssystem [5]. Symmetrisk kryptering innebär att samma nyckel används för att b˚ade kryptera och dekryptera ett meddelande. Problemet med denna metod är att nyckeln behöver överföras mellan avsändare och mottagare via en annan, tidigare

¨

overenskommen och mer säker, förbindelse. Denna problematik gör överföringen mindre effektiv och särskilt sv˚ar i de fall d˚a de kommunicerande parterna inte haft tidigare kontakt.

˚Ar 1976 publicerades artikeln ”New Directions in Cryptography” av Whitfield Diffie och Martin E. Hellman där konceptet asymmetrisk kryptering presenteras. Prob- lematiken kring säker nyckelöverföring skulle enligt artikeln lösas med hjälp av publika och privata nycklar. Artikeln ledde dels fram till en metod för att generera samma hemliga krypteringsnyckel utan att dela den publikt mellan tv˚a parter (Diffie-Hellman-protokollet). Den la även grunden för fullständiga asymmetriska krypteringssystem där publika nycklar används för att kryptera och privata nycklar används för att dekryptera.

För att underlätta förklaringar kring hur kommunikationen mellan tv˚a parter sker används namnen ”Alice”, ”Bob” och ”Eve” fortsättningsvis. Alice och Bob motsvarar tv˚a användare av ett krypteringssystem. Eve motsvarar en tjuvlyssnande part med onda avsikter.

Principen inom asymmetrisk kryptering är att varje part erh˚aller ett nyckelpar, en publik nyckel och en privat nyckel [6]. Om Alice ska motta ett meddelande fr˚an Bob börjar hon med att skicka sin publika nyckel (E) till honom. Bob använder denna nyckel för att kryptera ett meddelande (M) och skickar det krypterade med-

(22)

delandet (C) till Alice. Alice dekrypterar slutligen sitt meddelande med sin privata nyckel (D) och kan l¨asa meddelandet i klartext. Denna process g˚ar att beskriva med nedanst˚aende variabler och formler.

E publik krypteringsnyckel D privat dekrypteringsnyckel M meddelandet i klartext C krypterat meddelande

C = E(M ) M = D(E(M ))

P˚a detta sätt kan samma förbindelse användas under hela kommunikationen mellan Alice och Bob. De privata krypteringsnycklarna utbytes aldrig och kan s˚aledes inte registreras av, Eve, en potentiell avlyssnare. En annan förklaringsmodell utg˚ar fr˚an att Alices publika nyckel liknas vid en l˚ada med ett öppet hängl˚as. Om Alice skickar

¨

over den öppna l˚adan till Bob, kan Bob lägga ner sitt meddelande i l˚adan och l˚asa hängl˚aset. Nyckeln till hängl˚aset motsvarar Alices privata nyckel. Därför kan ingen annan än Alice l˚asa upp l˚adan och läsa meddelandet. Detta scenario illustreras i figur 3.1.

Figur 3.1: Asymmetrisk kryptering med Alice och Bob

3.2 Hur fungerar RSA?

Det f¨orsta praktiska exemplet p˚a ett asymmetriskt krypteringssystem ¨ar RSA, som

(23)

Public-Key Cryptosystems” av R.L. Rivest, A. Shamir och L. Adleman [6]. Detta avsnitt syftar till att förklara hur RSA fungerar p˚a en grundläggande och ren matematisk niv˚a. Inledningsvis presenteras de definitioner och satser som ligger till grund för de matematiska beräkningar som genomförs i RSA-algoritmen.

Definition (Primtal). Ett heltal n > 1, som inte ¨ar delbart med n˚agra andra positiva heltal ¨an 1 och n kallas primtal.

Definition (Den st¨orsta gemensamma delaren). gcd(a, b), f¨or tv˚a heltal, a och b,

¨

ar produkten av alla primtalsfaktorer som ¨ar gemensamma i a och b.

Definition (Relativt prima). Heltalen a och b kallas relativt prima om gcd(a, b)= 1.

Definition (Modulor¨akning). a (mod d) motsvarar resten vid heltalsdivision av a med d. Talen a och b s¨ags vara kongruenta modulo d om och endast om d|(a − b), dvs om det finns ett heltal n s˚adant att a − b = dn. Detta betecknas: a ≡ b (mod d).

Sats (Fermats lilla sats). Om p är ett primtal gäller att a^p−1≡ 1 (mod p) för alla heltal a som inte är delbara med p.

Sats (Eulers sats). Om a och n är relativt prima är a^φ(n) ≡ 1 (mod n). Specialfallet n = p ger att φ(n) = p − 1. Vi f˚ar d˚a a^p−1≡ 1 (mod p) vilket är Fermats lilla sats.

Definition (Diskret multiplikativ invers). Den diskreta (multiplikativa) inversen till a mod n ¨ar det minsta positiva tal x, betecknat a⁻¹ (mod n), som satisfierar ax ≡ 1 (mod n).

Nyckelgenerering

• V¨alj tv˚a primtal, p och q.

• Multiplicera p och q f¨or att f˚a n.

• V¨alj d s˚adant att det ¨ar relativt prima med (p − 1) och (q − 1).

• Multiplicera (p − 1) och (q − 1) f¨or att f˚a φ(n).

• Ber¨akna e: den diskreta multiplikativa inversen till d (mod φ(n)).

Krypteringsnycklar: (e, n) Dekrypteringsnycklar: (d, n)

Kryptering och dekryptering

Kryptera meddelande M med hj¨alp av f¨oljande funktion:

M^e (mod n)

Dekryptera krypterat meddelande C med hj¨alp av f¨oljande funktion:

C^d (mod n)

(24)

Enkelt uttryckt ses e och n som publika v¨arden. Medan φ(n), p, q och d h˚alls hemliga. Diskreta multiplikativa inverser fungerar s˚adana att:

d⁻¹ (mod φ(n)) = e e⁻¹ (mod φ(n)) = d

Det som krävs för att beräkna dekrypteringsnyckeln d är allts˚a vetskap om dels e (som är publik) samt φ(n). φ(n) beräknas med hjälp av p och q. Värdet p˚a n, som

¨

ar publikt, är en produkt av dessa tv˚a tal. Hemligheten förvaras allts˚a s˚a länge p och q inte g˚ar att ta reda p˚a med hjälp av faktorisering av n.

Exempel med siffror

Välj primtalsvärden för p och q samt beräkna n.

p = 919, q = 619 n = 567324

V¨alj d s˚adant att gcd(919 − 1, 619 − 1, d) = 1 d = 5

Ber¨akna resterande variabler.

φ(n) = (919 − 1) · (619 − 1) = 567324 e = 113465

V¨alj ett meddelande och konvertera det till ASCII-kod.

Meddelande: ”RSA” −→ ASCII: 82 83 65 Kryptera M .

M : [82][83][65]

82¹¹³⁴⁶⁵ (mod 567324) = 519773 83¹¹³⁴⁶⁵ (mod 567324) = 266140 65¹¹³⁴⁶⁵ (mod 567324) = 382325 Dekryptera C.

C : [519773][266140][382325]

519773⁵ (mod 567324) = 82 266140⁵ (mod 567324) = 83 382325⁵ (mod 567324) = 65

3.3 Implementation av RSA

RSA används ofta i kombination med andra krypteringssystem eller som en del i en längre kedja av säkerhets˚atgärder. I denna del presenteras de omr˚aden där RSA implementeras i praktiken och utgör en viktig del av säkerheten för specifika tjänster.

(25)

Pretty Good Privacy

Pretty Good Privacy (PGP) ¨ar en hybridl¨osning som konstruerades av Philip R.

Zimmermann och erbjuder flera olika aspekter av informationssäkerhet för olika typer av tjänster [8]. E-mailkommunikation är ett vanligt förekommande användnings- omr˚ade för PGP.

Tv˚a säkerhetsdelar som RSA spelar en viktig roll i är autenticitet och konfidentialitet. Autenticitet uppfylls i form av digitala signaturer baserade p˚a RSA- algoritmen [9]. Konfidentialitet uppfylls d˚a PGP använder sig av RSA, asymmetrisk kryptering, för att kryptera nycklarna till det symmetriska krypteringssystem som sedan ska användas.

Digitala signaturer

Ett stort användningsomr˚ade för RSA är digitala signaturer [7]. Digitala signaturer bidrar till att styrka autenticiteten av ett meddelande. Genom att avsändaren krypterar en datamängd, exempelvis en hashsumma, med en privat nyckel kan mot- tagaren dekryptera hashsumman med hjälp av avsändarens publika nyckel och p˚a s˚a vis vara säker p˚a att meddelandet härstammar fr˚an korrekt avsändare.

För att exemplifiera detta används Alice som avsändare och Bob som mottagare i händelse av att Alice ska skicka en fil till Bob. Alice vill försäkra Bob om att den fil han kommer att motta verkligen är fr˚an henne och inte har förändrats inneh˚allsmässigt. Först skapar hon en hashsumma av filen. Denna hashsumma har enbart till syfte att bevisa att filens inneh˚all är oförändrat när den mottagits.

Hashsumman krypteras med Bobs publika nyckel och därefter med Alices privata nyckel. När Bob mottar meddelandet dekrypterar han det med sin privata nyckel och därefter med Alices publika nyckel. När detta är gjort ska hashsumman som mottagits stämma överens med en nygenererad hashsumma för den mottagna filen.

Om detta är fallet bevisar det att 1) inneh˚allet i filen inte har förändrats och 2) filen kommer fr˚an Alice. Principen i detta händelseförlopp illustreras i figur 3.2 p˚a nästa sida.

(26)

Figur 3.2: Digitala signaturer med Alice och Bob

Transport Layer Security/Secure Socket Layer

Transport Layer Security- och Secure Socket Layer-protokollet (TLS och SSL) används för att säkra kommunikationen mellan klient och server när en användare exempelvis surfar p˚a internet [7]. En SSL/TLS-session inleds alltid med ett s˚a kallat

”handshake” där server och klient kommer överens om vilken delad krypteringsnyckel som ska användas under sessionen. Detta initierande handslag sker ofta med hjälp av en RSA-baserad algoritm. RSA ligger allts˚a till grund för autentiseringen mellan servrar och klienter som deltar i dessa sessioner vilka kan inneh˚alla stora mängder känslig information. Inte minst vid internetköp där exempelvis kort- och bankuppgifter delas.

(27)

Kapitel 4 Empiri

I detta kapitel presenteras de resultat som arbetet har genererat. Inga vidare anal- yser eller diskussioner förs i detta kapitel. Resultatet är uppdelat i tv˚a delar; en första del som beskriver kända attacker och en andra del som bedömer de framtida hot RSA st˚ar inför.

4.1 Kartl¨ aggning av attacker mot RSA

Det finns en del olika sätt att attackera olika typer av s˚arbarheter med RSA. I detta avsnitt kartläggs n˚agra av de mest kända s˚arbarheterna och attackerna. De

¨

ar uppdelade fyra olika kategorier; grundl¨aggande attacker, attacker till f¨oljd av implementationsfel, sidokanalsattacker och framtida hot.

4.1.1 Grundl¨ aggande attacker

Faktorisering av modulo n: Den mest grundläggande säkerheten i RSA finns i sv˚arigheten att faktorisera stora tal [10]. Vi utg˚ar fr˚an att en person har tillg˚ang till det publika nyckelparet (n, e) och vill komma ˚at den privata dekrypteringsnyckeln d. Om talet n g˚ar att faktorisera blir φ(n) möjligt att beräkna. Därefter kan φ(n) och e användas för att beräkna värdet för d. Om detta sker är krypteringen oanvändbar. Att faktorisera n kan l˚ata trivialt men för tillräckligt stora tal finns

¨

annu ingen faktoriseringsmetod som gör detta möjligt. Begreppet ”tillräckligt stora tal” är godtyckligt och förändras över tid i takt med att nya faktoriseringsmetoder utvecklas. Stora tal för n innebär ocks˚a ökad beräkningskomplexitet och den dagen beräkningskomplexiteten för den legitima krypteringsprocessen överstiger komplexiteten i att faktorisera n kommer RSA inte att vara en lämplig metod längre.

Exempel p˚a n˚agra faktoriseringsmetoder ¨ar: Pollard’s p-1, Factorization via dif- ference of squares och, den hittills mest kraftfulla metoden, General number field sieve.

Gissning av M : De värden som är publika vid en meddelandeöverföring är krypteringsnyckeln e, modulo n och den krypterade texten C [12]. Om klartextmeddelandet M är tillräckligt litet kan Eve, med hjälp av dessa värden, utföra

(28)

en gissningsattack. Denna genomgörs genom att Eve testar olika värden för M (M₁, M₂, . . . , M_k) i beräkningen Mê (mod n) och ser vilket av svaren (C₁⁰, C₂⁰, . . . , C_k⁰) som stämmer överens med C.

(M₁)^e (mod n) ≡ C₁⁰ (M2)^e (mod n) ≡ C₂⁰

...

(M_k)ê (mod n) ≡ C_k⁰ När C_i⁰ = C är M = M_i.

Nedan beskrivs ett exempel med siffror. Detta exempel baseras p˚a de publika v¨ardena: e = 317, n = 1679 och C = 1452

1³¹⁷ (mod 1679) ≡ 1 2³¹⁷ (mod 1679) ≡ 3122

...

82³¹⁷ (mod 1679) ≡ 1452

När M₈₂ = 82 är C₈₂⁰ = C. Därför är klartextmeddelandet M = 82.

(Wo)man in the middle: En man in the middle-attack föreg˚as av att en tredje part, som kan kallas Eve, avlyssnar trafiken mellan Alice och Bob [11]. Eve kan b˚ade ta emot och skicka meddelanden via den legitima förbindelsen. I de fall d˚a Eve inte har tillg˚ang till Alices eller Bobs privata nycklar kan Eve inte avslöja ursprungsmeddelandet M . Däremot kan hon skicka egenkonstruerade meddelanden som benämns M⁰. Nedan beskrivs ett exempel som även illustreras i figur 4.1 p˚a nästa sida.

1. Bob skickar sin publika nyckel e_b till Alice.

2. Alice skickar sin publika nyckel e_a till Bob.

3. Eve tar emot och byter ut detta meddelande till sin publika nyckel e_e. 4. Bob mottar e_e och tror att detta ¨ar Alices publika nyckel.

5. Alice skickar M krypterat med Bobs publika nyckel e_b, och d¨arefter sin privata nyckel da (f¨or autenticitet).

6. Eve tar emot och byter ut meddelandet mot M⁰. M⁰ krypteras med Bobs publika nyckel e_b, och d¨arefter Eves privata nyckel d_e (f¨or autenticitet).

7. Bob tar emot detta meddelande och kan dekryptera med sin egen privata

(29)

8. Enligt Bob verkar M⁰ komma fr˚an Alice och inte ha modifierats n˚agot p˚a v¨agen.

Med hjälp av denna attack äventyrar Eve informationssäkerhetens hörnstenar autenticitet och integritet. Däremot kommer hon aldrig ˚at ursprungsmeddelandet, vilket innebär att konfidentialiteten bibeh˚alls.

Figur 4.1: (Wo)man in the middle-attack med Alice, Bob och Eve

Blinding-attack: En blinding attack g˚ar ut p˚a att en förövare, Eve, försöker f˚a en annan part, Bob, att signera ett meddelande, M , s˚adant att meddelandet ser ut att komma fr˚an honom [11]. Detta ska ske utan att Bob f˚ar vetskap om vad M faktiskt

¨

ar. Det Eve vill ˚at är allts˚a att M ska krypteras med Bobs dekrypteringsnyckel d, vilket sedan kan dekrypteras med Bobs kryperingsnyckel e och p˚a s˚a vis styrka att meddelandet kom fr˚an Bob. Ett signerat meddelande g˚ar allts˚a att skriva som S ≡ M^d (mod n). Följande steg kan genomföras för att Eve ska f˚a tag p˚a S.

1. Välj ett tal r och beräkna M⁰ ≡ rêM

2. Be Bob att signera det nya meddelandet M⁰ och f˚a tillbaks S⁰ ≡ (M⁰)^d (mod n)

3. Ber¨akna signaturen S ≡ ^S_r⁰ (mod n)

(30)

4. Validera signaturen genom att ber¨akna:

S^e ≡ (S⁰

r )^e (mod n)

≡ (S⁰)^e

r^e (mod n)

≡ ((M⁰)^d)^e

r^e (mod n)

≡ M⁰

r^e (mod n)

≡ r^eM

r^e (mod n)

≡ M (mod n)

Med denna metod har Bob signerat ett meddelande som han inte har l¨ast eller vetat om sj¨alv.

4.1.2 Attacker till f¨ oljd av implementationsfel

Samma modulo (n): Det kan finnas en viss bekvämlighet i att använda samma värde för n = p·q för flera användare i en verksamhet [11]. En central administration skulle i ett s˚adant fall distribuera den publika krypteringsnyckeln e_i, den privata dekrypteringsnyckeln d_i och det konstanta värdet n för varje enskild användare i.

Detta är dock ett osäkert sätt att implementera RSA p˚a d˚a n g˚ar att faktorisera med hjälp av e_i och d_i. Om Bob erh˚aller nycklarna e_b och d_b, kan han med hjälp av dessa faktorisera n och beräkna φ(n). Därefter kan han använda Alices publika nyckel e_a tillsammans med φ(n) för att komma fram till hennes privata dekrypteringsnyckel d_a. Det är därför aldrig rekommenderat att använda samma n för flera användare.

L˚agt värde för dekrypteringsnyckeln d: Att välja ett l˚agt värde för dekrypteringsnyckeln d kan vara nödvändigt för att uppn˚a den effektivitet som önskas [11].

Däremot öppnar detta upp för s˚arbarheter som kan utnyttjas vid en attack. Michael J. Wiener visade ˚ar 1990 ett sätt att uppskatta värdet för d om d < ¹₃n^1/4. För att undvika denna typ av attack behöver d vara minst 256 bitar l˚ang (i en situation där n är 1024 bitar).

4.1.3 Sidokanalsattacker

Tidtagningsattack: ˚Ar 1995 introducerades begreppet timing attacks, tidtagningsattacker, av P. Kocher [13]. Denna typ av attack utnyttjar sambandet mellan körtiden för den kryptografiska processen och den privata nyckeln d. Genom att mäta körtiden för beräkningen av den privata nyckeln för flera meddelanden kan en angripare utvinna information om den privata dekrypteringsnyckeln d.

(31)

Elanalysattack: En uppföljare till tidtagningsattacker kom 1998 och kallas power analysis attack, elanalysattack. Denna attack övervakar den kryptografiska modu- lens elförbrukning. Elförbrukningen varierar beroende p˚a stadiet i krypteringsprocessen och p˚a s˚a vis kan hemlig information utvinnas.

4.1.4 Framtida hot

Kvantdatorn: ˚Ar 1982 presenterade Richard Feynman idén av en dator baserad p˚a kvantmekanik [14]. I en klassisk dator hanteras information binärt. Ett elek- troniskt minne, en bit, kan endast anta värdet ett eller noll. Skillnaden med en kvantdator är att den är uppbyggd av kvantbitar, qubits, som kan anta värdet ett, noll eller b˚ada tv˚a samtidigt. Det sistnämnda värdet kallas kvantmekanisk superposition. Om flera kvantbitar kopplas ihop ökar dess beräkningskapacitet ex- ponentiellt och kan beräkna mycket komplexa problem. Ett exempel p˚a ett s˚adant problem är faktorisering av stora tal, allts˚a den huvudsakliga säkerheten inom RSA.

Enligt en rapport som publicerades ˚ar 2016 av National Institute of Standards and Technology (NIST) bedöms en kvantdator, tillräckligt kraftfull för att knäcka 2000 bitars RSA, kunna byggas ˚ar 2030 [15].

Shors algoritm: ˚Ar 1994 publicerade Peter Shor en rapport som innehöll en metod för att faktorisera stora heltal med hjälp av en kvantdator [16]. Denna algoritm kom att kallas Shor’s Algorithm och utgör ett direkt hot gentemot RSA- systemet den dagen metoden kan praktiseras. För att algoritmen ska fungera behöver antalet kvantbitar i kvantbitregistret minst kunna anta värdet för talet som ska faktoriseras. Detta innebär att ju större tal som ska faktoriseras desto fler kvantbitar behövs.

För att enklare förklara denna algoritm exemplifieras härmed en faktorisering av talet 15 där svaret blir att 3 är en potentiell faktor. Antalet kvantbitar i kvantbitregistret m˚aste kunna anta värdet 15 eller högre. 4 bitar kan anta maxvärdet 1111 (binär form) vilket motsvarar värdet 15 (decimal form). Därför kan antalet kvantbitar i denna beräkning vara 4 och anta värdena 0-15.

1. V¨alj ett tal n som ska faktoriseras

n = 15

2. V¨alj ett slumpm¨assigt tal x s˚adant att 1 < x < n − 1 x = 2

3. Höj upp x till varje möjligt värde i kvantbitregistret (k_i) och beräkna modulu n (se resultaten i tabell 4.1 p˚a nästa sida)

2^kⁱ (mod 15)

4. Talet f motsvarar antalet olika svar som steg 3 resulterade i f = 4

(32)

5. Ber¨akna m¨ojlig faktor P med formeln P = x^{f /2}− 1 P = 2^4/2− 1 = 3

Tabell 4.1: Kvantbitregistrets m¨ojliga v¨arden och resultaten fr˚an steg 3

i 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

k_i 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

x^kⁱ (mod n) 1 2 4 8 1 2 4 8 1 2 4 8 1 2 4 8

4.2 Estimering av kvantdatorhotet

I detta avsnitt presenteras resultatet av den litteraturstudie som syftar till att undersöka framtida hot mot RSA. Syftet med detta avsnitt är att ta reda p˚a om och när en kvantdator kan utgöra ett hot mot RSA.

4.2.1 Genomg˚ ang av material

Först sammanfattas varje artikel var för sig, därefter följer en sammanfattning av resultatet.

”Cryptography in a Post-Quantum World”

Accenture publicerade ˚ar 2018 rapporten ”Cryptography in a Post-Quantum World”

där de informerar kring kvantdatorns utveckling och varnar läsaren för vad den kommer att innebära för dagens krypteringsmetoder [17]. Enligt rapporten kommer Shors algoritm att kunna utföra relevanta beräkningar, exempelvis primtalsfaktorisering av 2048 bitar stora tal, inom de närmsta ˚atta ˚aren. Detta lyfts fram som ett unikt p˚ast˚aende d˚a det hänvisas till att andra forskare uppskattar algoritmen som praktiskt användbar efter först 10 till 15 ˚ar.

Rapporten uppmanar till handling genom b˚ade kortsiktiga och l˚angsiktiga ˚atgärds- förslag. Kortsiktigt ska företag och organisationer granska sina egna system och se till att rekommendationer och standarder för traditionella krypteringssystem följs.

Därefter ska de förbereda sig och överg˚a till kvantsäkra krypteringsmetoder, detta bör ske runt 2025 i och med att det är detta ˚ar som rapporten uppskattar att kvantdatorerna kommer att kunna knäcka de traditionella systemen. En tidslinje presenteras även och visar att antalet kvantbitar som kvantdatorn arbetar med ˚ar 2025 uppskattas ha uppg˚att till 600. När det gäller kvantsäkra alternativ hänvisar rapporten till NISTs projekt kring standardisering av kvantsäkra krypteringsmetoder. Detta projekt beräknas vara klart ˚ar 2022-2024. Därför menar Accenture att läget är kritiskt och att organisationer m˚aste se till att ha hög resilliens och säkerhetstänk till dess att en ny kvantsäker krypteringsmetod är standardiserad

(33)

”Cybersecurity in an Era with Quantum Computers: Will We Be Ready?”

Artikeln ”Cybersecurity in an Era with Quantum Computers: Will We Be Ready?”

skriven av Michele Mosca publicerades ˚ar 2018 [18]. Som titeln insinuerar un- dersöker Mosca huruvida vi kommer att vara redo för kvantdatorns framsteg med avseende p˚a v˚ara nutida krypteringsmetoder och v˚ar förm˚aga att bygga om dessa befintliga system. Nuläget beskrivs som kritiskt och artikeln konstaterar att ˚atgärder m˚aste vidtas omg˚aende d˚a kvantdatorns framtida roll i IT-säkerhetssammanhang

¨

ar ett faktum. Mosca anser att tre fr˚agor behöver besvaras för att en estimering av framtidsläget och hur l˚ang tid vi har kvar ska vara optimal.

x Hur länge behöver din skyddsvärda data h˚allas konfidentiell? Detta kan variera fr˚an ingen tid, för exempelvis realtidsapplikationer, till flera ˚ars tid, för exempelvis lagring av personuppgifter.

y Hur l˚ang tid kommer det att ta f¨or organisationen att implementera kvantdators¨akra system?

z Hur l˚ang tid kommer det att ta innan en kvantdator med framg˚ang kan attackera organisationens befintliga system?

Om x + y > z är läget kritiskt i och med att en kvantdator kommer att kunna angripa konfidentiell information innan organisationen hunnit implementera sky- ddslösningar. Den obekanta variabeln i den här ekvationen är z och den är, enligt artikeln, sv˚ar att tydligt bestämma. Moscas senaste uppskattning av vilken chans en kvantdator har att skadliggöra RSA-2048 i framtiden är 1/6 chans ˚ar 2027 och 1/2 chans 2032. Denna uppskattning baseras bland annat p˚a hur m˚anga fysiska kvantbitar som kommer att krävas och hur l˚angt forskningen hittills kommit gällande feltolerans och felkorrigering. När artikeln skrevs bedömdes tiotals miljoner till en miljard fysiska kvantbitar behövas.

I artikeln presenteras n˚agra, främst tv˚a, ˚atgärdsförslag. Det första innefattar implementation och överg˚ang till kvantsäkra krypteringsmetoder. Det bekväma med denna lösning är att ingen h˚ardvara behöver bytas ut. Lösningen innebär enbart att kvant-osäkra metoder byts ut mot nya beprövade krypteringsmetoder vars styrka inte ligger i matematiska problem som en kvantdator enkelt kan beräkna. Exempel p˚a ett s˚arbart matematiskt problem är primtalsfaktorisering, vilket ligger till grund för hela RSA-systemets styrka.

Det andra ˚atgärdsförslaget som presenteras är att utveckla och använda krypteringsmetoder som, liksom angreppen, ocks˚a bygger p˚a kvantmekanik. Dessa metoder faller inom ramen för begreppet kvantkryptering. Kvantkryptering är en mer l˚angsiktig lösning och det är möjligt att system som quantum-key distribution (QKD) kommer att fungera som ett komplement till annan traditionell (men kvantsäker) symmetrisk kryptering.

(34)

”Online security, cryptography, and quantum computing”

˚Ar 2015 hölls en föreläsning vid namn ”Online security, cryptography, and quantum computing” av Lynn Ziegler vid College of Saint Benedict och Saint John’s University [19]. Föreläsningsmaterialet är publicerat och inneh˚aller en introduktion till asymmetriska krypteringssystem med särskild inriktning p˚a RSA. Därefter introduceras kvantdatorn och Shors algoritm som det största framtida hotet mot RSA. Enligt Ziegler krävs det minst 10 000 kvantbitar för att en kvantdator ska kunna knäcka RSA-2048. Hon väljer att uttrycka det som att det är ”ett tag” kvar till dess att detta sker. Ingen tydlig tidsuppskattning presenteras.

”Quantum Computing and Cryptography: Their impact on cryptographic practice”

Entrust publicerade ˚ar 2009 rapporten ”Quantum Computing and Cryptography:

Their impact on cryptographic practice” [20]. Rapporten inleds med b˚ade en teoretisk och praktisk f¨orklaring till vad kvantmekanik och kvantdatorn inneb¨ar.

Kvantdatorerna kommer enligt rapporten inte att ersätta de traditionella datorer som används idag, men de kommer att kunna arbeta assisterande och lösa särskilda matematiska problem.

En kraftfull kvantdator kan utgöra ett visst hot mot symmetriska krypteringssystem, exempelvis 128 bitars Advanced Encryption Standard (AES-128). Lyckligtvis g˚ar detta hot att avvärja genom att öka nyckellängden. Förslagsvis kan en organisation implementera AES-256 istället och f˚a ett mer kvantsäkert skydd. Samma lösning finns inte för de asymmetriska krypteringssystemen, som exempelvis RSA.

RSA kommer inte att fungera i sitt grundutförande och samtidigt vara motst˚ands- kraftigt mot ett kvantdator-angrepp. RSA-2048 beräknas vara osäkert mot en kvantdator med 4000 kvantbitar och 100 miljoner operationer. En s˚adan kvantdator beräknas existera i praktiken inom 20 till 30 ˚ar. I rapporten beskrivs problemet som ett framtidsproblem. Den hänvisar till att kvantdatorn inte kommer att byggas p˚a en dag och att experter s˚aledes kommer att uppfinna lösningar innan hotet blir reellt.

Det finns alternativa asymmetriska krypteringslösningar som kan fungera p˚a ett kvantsäkert sätt. Däremot är dessa inte testade eller färdiga för implementation

¨

annu. En annan framtidslösning p˚a samma problematik är kvantkryptering, allts˚a krypteringsmetoder som implementeras med hjälp av kvantdatorer. I rapporten presenteras tv˚a olika typer av kvantkryptering. Dels quantum-key distribution (QKD) vilket är en nyckelöverföringsmetod som kommer att kunna kombineras med symmetriska krypteringsmetoder. Dels kan kvantmekaniken komma att bidra med bättre slumpgeneratorer. Att generera slumpmässiga tal är en viktig del i en krypteringsprocess för att en angripare inte ska kunna förutse vilka nycklar som kommer att genereras. Kvantdatorn kan, till skillnad fr˚an en traditionell dator, bidra med äkta slumpmässighet och det kommer att leda till säkrare system.

(35)

”Report on Post-Quantum Cryptography”

˚Ar 2016 publicerades rapporten ”Report on Post-Quantum Cryptography” av Na- tional Institute of Standards and Technology (NIST) [15]. Rapporten menar att b˚ade symmetriska och asymmetriska krypteringssystem st˚ar inf¨or framtida utmaningar.

Dels utmaningar orsakade av vanliga traditionella datorer, men framförallt utmaningar p˚a l˚ang sikt till följd av kvantdatorns utveckling. En tabell där olika krypteringssystem listas utifr˚an huruvida de är kvantsäkra eller inte presenteras.

Det är tydligt att symmetriska system som AES, samt hashfunktioner som SHA-2/3, bara behöver modifieras för att vara motst˚andskraftiga. RSA, och system baserade p˚a elliptiska kurvor, kommer däremot inte att vara säkert den dagen kvantdatorer av större storlek blir användbara.

NIST fastställer inte exakt när kvantdatorer kommer att vara tillräckligt utvecklade för att utgöra ett verkligt hot mot RSA. Däremot uppskattas det, med hänvisning till annan forskning, att 2 000 bitars RSA kommer att g˚a att primtalsfaktorisera vid ˚ar 2030. I detta fall skulle kostnaden uppg˚a till 2 miljarder amerikanska dollar.

I rapporten redogör NIST för sitt eget ansvar i standardiseringen av kvantsäkra krypteringssystem. Det beskrivs som viktigt och br˚adskande att, med hjälp av in- dustrin och akademier, komma fram till nya effektiva lösningar innan asymmetriska system görs oanvändbara. I och med att standarder och evalueringsmetoder saknas för att bedöma kvantsäkra krypteringsmetoder och attacker behöver detta växa fram och utvecklas. Mellan ˚ar 2016 och 2017 tar NIST emot förslag p˚a nya kvantsäkra krypteringsalternativ. Dessa ska sedan analyseras och bedömas innan ny standardisering sker. I rapporten uppmanas organisationer att kontrollera att deras befintliga lösningar uppfyller nutida krav. Därefter rekommenderar NIST att organisationer förbereder sig p˚a implementation av nya kvantsäkra lösningar, vilket kan behöva ske redan inom 10 ˚ar.

”Circuit for Shor’s algorithm using 2n + 3 qubits”

˚Ar 2003 presenterades artikeln ”Circuit for Shor’s algorithm using 2n+3 qubits”

skriven av Stéphane Beauregard [21]. Syftet med artikeln är att minimera antalet kvantbitar som en kvantdator behöver för att kunna faktorisera tal med hjälp av Shors algoritm. Resultatet leder fram till en implementation som behöver 2n + 3 kvantbitar för att faktorisera n. Det innebär att RSA-2048 g˚ar att faktorisera med hjälp av en kvantdator som har 4099 kvantbitar.

4.2.2 Sammanfattning av material

De artiklar och rapporter som granskats skiljer sig p˚a vissa punkter men har ocks˚a mycket gemensamt. En jämförelse finns presenterad i tabell 4.2 p˚a nästa sida och utvecklas ytterligare i efterföljande textstycken.

(36)

Tabell 4.2: Sammanfattning av studerat material Material Kvantbitar ˚Artal Allvarlighetsgrad ˚Atgärdsförslag Accenture [17] 600 2025 Mycket hög

1. Kontrollera att befintliga standarder f¨oljs.

2. Utbyte till kvants¨akra system.

3. Kvantkryptering

Mosca [18] 10 mn - 1 md 2032+ Mycket h¨og 1. Utbyte till kvants¨akra system.

2. Kvantkryptering.

Ziegler [19] 10 000 N/A Medell˚ag N/A

Entrust [20] 4000 2029+ Medell˚ag 1. Utbyte till kvants¨akra system.

2. Kvantkryptering.

NIST [15] N/A 2030 Mycket h¨og

Projekt f¨or standardisering av kvants¨akra system.

˚Atg¨arder beh¨over vidtas inom 10 ˚ar.

Beauregard [21] 4009 N/A N/A N/A

J¨amf¨orelsen har gjorts p˚a fyra olika omr˚aden och motsvarar svaren p˚a fr˚agorna:

• Hur m˚anga kvantbitar krävs för att en kvantdator ska kunna knäcka RSA- 2048?

• Vilket ˚ar kommer en kvantdator att kunna kn¨acka RSA-2048?

• Hur allvarligt ¨ar problemet?

• Vilka ˚atg¨arder b¨or vidtas?

Kvantbitar

Gällande antalet kvantbitar som behövs för att en kvantdator ska kunna knäcka RSA är meningsskiljaktigheterna stora. Accenture presenterar en estimering där 600 kvantbitar behövs medan Moscas artikel uppskattar antalet till över tiotals miljoner. Tv˚a rapporter, Entrust och Beauregard, l˚ag nära varandra i estimeringen av antal kvantbitar. De p˚astod att en kvantdator behöver 4000 respektive 4009 kvantbitar för att utgöra ett hot mot RSA-2048.

˚ Artal

Gällande vilket ˚artal kvantdatorn kommer att n˚a denna kapacitet görs den tidigaste tidsestimeringen av Accenture. De bedömer att kvantdatorn kommer att utgöra ett hot mot RSA-2048 ˚ar 2025. Resterande material presenterar uppskattningar fr˚an

˚ar 2029 och fram˚at. Ziegler anger inte n˚agot specifikt ˚artal men beskriver att det

¨

ar ”ett tag” kvar.

Allvarlighetsgrad

Alla artiklar f¨orutom den skriven av Beauregard behandlade fr˚agan om hur orolig

(37)

NISTs rapporter beskriver l¨aget som kritiskt och uppmanar till omedelbar handling.

Entrust och Ziegler uttrycker sig inte lika angel¨aget och beskriver hotet mot RSA som ett framtidsproblem med l¨osningar som kommer att hinna utvecklas i tid.

˚ Atg¨ ardsf¨ orslag

Fyra av artiklarna, skrivna av Accenture, Mosca, Entrust och NIST, redovisar även vilka ˚atgärder som bör vidtas. Sammanfattningsvis är de överens om att organisationer bör 1) Kontrollera sina befintliga system och se till att standarder och rekommendationer följs. 2) Invänta standardisering av kvantsäkra krypteringssystem och förbereda sig p˚a implementation av dessa. 3) G˚a över till kvantkryptering den dagen tekniken finns tillgänglig.

(38)

(39)

Kapitel 5 Diskussion

Syftet med denna uppsats var att undersöka RSA-systemets s˚arbarheter och vilka framtida hot det st˚ar inför. För att uppfylla detta syfte formulerades tre forskningsfr˚agor:

1. Hur och i vilka sammanhang implementeras RSA idag?

2. Vilka k¨anda attacker existerar mot RSA idag?

3. Vilka framtida utmaningar st˚ar RSA inf¨or?

I detta kapitel diskuteras alla delar av resultatet var för sig. Därefter förs en sammanfattande diskussion om hela uppsatsens resultat.

5.1 Kartl¨ aggning av k¨ anda attacker mot RSA

Resultatet av kartläggningen bidrar till en enklare och mer lättförst˚aelig sammanfattning av kryptoanalytiska attacker mot RSA. Tidigare sammanställningar, som

¨

ar p˚a engelska och mer matematiskt komplicerade, har anv¨ants som referenser.

Kartläggningen är den första av sitt slag med avseende p˚a antalet attacker som beskrivs, hur ing˚aende de förklaras och spr˚aket som används (svenska).

De vetenskapliga artiklar och studier som använts för att sammanställa resultatet anses vara lämpliga för syftet. Artiklarnas publikations˚ar, som visas i tabell 5.1 p˚a nästa sida, varierar mellan 1994 och 2018 vilket är anmärkningsvärt med tanke p˚a att forskning hela tiden utvecklas och att nyare resultat anses vara mer p˚alitliga.

Trots detta är bedömningen att attackerna är s˚a pass matematiska och teoretiska att äldre artiklar p˚a just detta ämne inte blir mindre relevanta med ˚aren.

Kartläggningen av kända attacker är övergripande och ger en kort introduktion till vissa attacker, exempelvis ”L˚agt värde för dekrypteringsnyckeln d”, och en längre förklaring av andra attacker, exempelvis ”(Wo)man in the middle”. Anledningen till detta är attackernas variation gällande komplexitet. Vissa attacker är för matematiskt avancerade i relation till omfattningen av denna uppsats. Därför förklaras dessa inte i lika stor utsträckning som andra mindre komplexa attacker.

(40)

Tabell 5.1: Publikations˚ar f¨or artiklar om attacker mot RSA

Material Publikations˚ar

Hoffsterin, Pipher & Silverman [10] 2008

Boneh [11] 1998

Yan [12] 2008

Kocher [13] 1996

Mavroeidis, Vishi, Zych & Josang [14] 2018

NIST [15] 2016

Shor [16] 1994

Med tanke p˚a att de attacker som beskrivs är kända för allmänheten kan det ifr˚agasättas huruvida resultatet är intressant och om det kommer att bidra med n˚agon nytta i en verklig situation. Idag finns exempelvis standarder och rekommendationer kring hur RSA ska implementeras och följs dessa är attackerna verkn- ingslösa [22]. Trots detta anses det vara motiverat att fortsätta informera och utforska redan kända attacker d˚a de kan ligga till grund för nya idéer och varianter som standarder inte har anpassats efter ännu.

Att utforska och sprida information om kryptoanalytiska attacker kan anses oetiskt med tanke p˚a att det kan inspirera eller indirekt leda till intr˚ang. Trots detta bedöms resultatet av denna uppsats harmlöst i den bemärkelsen. För att skydda organisationer mot attacker behövs kunskapen om attackerna och en strävan att alltid ligga steget före. Därför är denna typen av upplysning och informationssprid- ning inte negativ sett ur ett etiskt perspektiv.

5.2 Estimering av kvantdatorhotet

Resultatet av litteraturstudien som syftade till att estimera vilket ˚ar kvantdatorn kommer att skadliggöra RSA sammanställde vad olika forskare p˚astod och presenterade detta i en sammanfattning. Vid beräkning av medelvärdet av de uppskattningar som presenterades blir det estimerade ˚aret 2029. En parameter som hade bidragit till ett mer grundat utl˚atande vore om mer material undersökts. Anled- ningen till att detta inte skedde var att f˚a konkreta uppskattningar är gjorda p˚a

¨

amnet. Det är även värt att ha i beaktning vid analys av detta resultat att ingen av artiklarna utgav sig för att vara helt säker p˚a sin sak. Studien är baserad p˚a antagandet och kvalificerade gissningar vilket innebär att den inte kan besvara n˚agon fr˚aga med hundra procents säkerhet. Detta är ˚a andra sidan självklart d˚a det inte förväntas att n˚agon ska kunna bidra med en helt säker framtidsförutsägelse.

Artiklarnas publikations˚ar varierar mellan 2003 och 2018, se tabell 5.2 p˚a nästa sida, och kan s˚aledes influera de resultat som presenteras. De äldsta artiklarna, Beauregard (2003) och Entrust (2009), är de som framst˚ar som minst oroliga för

(41)

bero p˚a att den inte behandlar n˚agra subjektiva bedömningar alls. Ingen särskild bedömning av n˚agot nutid- eller framtidsläge görs över huvud taget d˚a artikeln snarare fokuserar p˚a matematik och teori kring kvantbitar. Däremot kan Entrusts p˚ast˚aende om att kvantdatorns hot mot RSA är ett ”framtidsproblem” vara ett tecken p˚a att deras rapport är skriven flera ˚ar tidigare och att det rimligtvis var ett framtidsproblem d˚a.

Vissa av upphovsmakarna, exempelvis Entrust och Accenture, är vinstdrivande företag vilket kan ha en viss inverkan p˚a datan som presenteras. Entrust är ett företag som arbetar med att utveckla och förvalta olika IT-säkerhetslösningar för andra organisationer och det kan därför ligga i deras intresse att f˚a omvärlden att betrakta kvantdatorn som ett hot. Ju större rädsla och behov av säkerhet en organisation har desto fler tjänster finns det för Entrust att sälja. Accenture arbetar p˚a liknande sätt med att hjälpa andra organisationer att förutse risker och vidta proaktiva säkerhets˚atgärder inom IT. Det behöver allts˚a inte vara en slump att Accentures rapport visade p˚a störst angelägenhet och att de uppskattar att RSA

¨

ar hotat redan ˚ar 2025.

Tabell 5.2: Meta-information om studerad litteratur Material Publikations˚ar Position

Accenture [17] 2018 Privat IT-f¨oretag

Mosca [18] 2018 Grundare av Quantum Computing at the University of Waterloo Ziegler [19] 2015 Forskare vid College of Saint Benedict and Saint John’s University Entrust [20] 2009 Privat IT-f¨oretag

NIST [15] 2016 En del av USA:s handelsdepartement

Beauregard [21] 2003 Forskare vid Département de physique - Université de Montréal

N˚agot som inte tagits med i resultatet av denna uppsats är det tvivel som finns mot kvantdatorns utveckling och framtida förm˚aga. Det finns forskare som anser att kvantdatorn inte utgör ett hot mot kryptering över huvud taget. Att det material som analyserats, i viss bemärkelse, är entydigt kring att kvantdatorn är ett hot kan bero p˚a hur datainsamlingen har genomförts. Det är möjligt att de forskare som inte anser att kvantdatorhotet är av betydelse i mindre utsträckning har valt att publicera material som berör ämnet. Därför har s˚adan information inte dykt upp i sökningar p˚a vissa nyckelord och s˚aledes inte tagits med i litteraturstudien.

5.3 Sammanfattande diskussion

Den första forskningsfr˚agan som avser hur och i vilka sammanhang RSA implementeras är besvarad i kapitel 3. Där förklaras asymmetrisk kryptering vilket är den samling krypteringssystem som RSA är en del av. RSA-algoritmen beskrivs därefter p˚a ett enkelt och pedagogiskt vis för att skapa en grundkunskap inför kom- mande avsnitt om matematiska attacker. N˚agra konkreta exempel p˚a vart RSA

(42)

implementeras idag tas även upp för att f˚a en bild av hur RSA praktiseras i verk- ligheten. All denna teori refererar till relevant forskning p˚a omr˚adet och vetenskapliga artiklar. Att ta reda p˚a mer exakt hur en viss organisation implementerar RSA hade kunnat vara ett intressant komplement till teorikapitlet. Det hade kunnat genomföras med hjälp av intervjuer med en specifik organisation men bedömdes inte relevant med hänvisning till tids˚atg˚ang och vilken nytta resultatet skulle bidra med till resten av uppsatsen.

Fr˚agan ”vilka kända attacker existerar mot RSA idag” är besvarad i avsnitt 4.1 där flera kända attacker kategoriseras och förklaras. I slutet av denna del beskrivs

¨

aven kvantdatorn och Shors algoritm. Detta bryggar överg˚angen till nästa del där estimeringen av kvantdatorhotet görs. Dessa delar besvarar s˚aledes b˚ade fr˚agan om vilka befintliga attacker som finns och vilka framtida utmaningar RSA st˚ar inför.

Det sammantagna resultatet av denna uppsats bed¨oms vara relevant d˚a ingen tidigare utforskat och beskrivit s˚arbarheter med RSA p˚a svenska och p˚a denna kom- plexitetsniv˚a. Att positionera sig p˚a detta vis bland andra arbeten har varit m˚alet under arbetets g˚ang och detta har n˚atts. Uppsatsens syfte anses vara uppfyllt och fr˚agest¨allningarna besvarade.

(43)

Kapitel 6 Slutsats

Hur och i vilka sammanhang implementeras RSA idag?

I denna uppsats undersöks hur och i vilka sammanhang krypteringssystemet RSA implementeras idag. RSA-systemet har använts sedan 40 ˚ar tillbaka och anses vara ett av de säkraste och bredast implementerade krypteringssystemen idag. Sys- temet bygger p˚a asymmetrisk kryptering vilket innebär att olika nycklar används för kryptering respektive dekryptering. Den huvudsakliga styrkan i RSA-systemet grundas i sv˚arigheten att faktorisera stora tal. Det innebär att tv˚a tal som multipliceras med varandra och bildar en produkt inte kan ˚aterskapas om enbart produkten är känd för den som försöker. Vanliga användsomr˚aden är säker e-mailkommunikation och elektronisk handel (e-handel) där stora mängder känslig information hanteras. RSA används ofta som en del eller som ett komplement i ett större krypteringssammanhang. N˚agra protokoll som RSA ing˚ar i är Pretty Good Privacy (PGP), Transport Layer Security (TLS) samt Secure Socket Layer (SSL).

Vilka k¨ anda attacker mot RSA existerar mot RSA idag?

I den andra delen av denna uppsats görs en kartläggning där flertalet kända attacker mot RSA beskrivs p˚a ett strukturerat och pedagogiskt sätt. Attackerna förklaras och exemplifieras och delas upp i fyra kategorier; grundläggande attacker, attacker till följd av implementationsfel, sidokanalsattacker och framtida hot. Först ut är grundläggande attacker som faktoriseringsattacker, gissningsattacker och man in the middle-attacker. Nästa kategori av attacker är enbart genomförbara om RSA har implementeras p˚a ett inkorrekt sätt, exempelvis om för korta nycklar väljs.

Sidokanalsattacker innefattar attacker som g˚ar ut p˚a att skadliggöra RSA genom att mäta elkonsumtion eller ta tid p˚a de beräkningar som h˚ardvaran utför.

Vilka framtida utmaningar st˚ ar RSA inf¨ or?

Ett framtida hot mot RSA är datorer baserade p˚a kvantmekanik, även kallade kvantdatorer. Dessa datorer är ännu bara i ett utvecklingsstadie men om utvecklingen fortsätter att g˚a fram˚at kan de eventuellt med hjälp av Shors algoritm, en faktoriseringsalgoritm för kvantdatorer, faktorisera de tal som RSA förlitar sig

(44)

p˚a att ingen kan faktorisera. En litteraturstudie har genomförts i syfte att estimera detta hot mot RSA och resultatet sammanställer olika uppskattningar. Sam- manställningen visar att en kvantdator uppskattas att vara tillräckligt kraftfull, för att utgöra ett reellt hot mot 2048 bitars RSA, runt ˚ar 2029. De ˚atgärder som föresl˚as

¨

ar att dels se över befintliga system och följa de standarder som finns tillgängliga.

Därefter invänta nya standardiserade kvantdatorsäkra krypteringssystem, dessa är under utveckling och analys i skrivande stund. Slutligen kan det, i förlängningen, bli aktuellt att g˚a över till krypteringsmetoder som redan fr˚an början är baserade p˚a kvantmekanik. Dessa metoder faller under begreppet kvantkryptering.

(45)

Kapitel 7

F¨ orslag till vidare forskning

En fr˚aga som dykt upp under arbetet med denna uppsats är: hur kommer världen att reagera och förändras om, eller när, kvantdatorn knäcker RSA? Att utforska vad som konkret kommer att ske i ett s˚adant scenario vore intressant. Vilka

˚atgärdsplaner finns och hur stor p˚averkan kommer det att f˚a inom olika specifika omr˚aden? Kommer all e-handel att st˚a helt still, eller kanske bara fungera l˚angsamt till följd av att längre nyckellängder implementeras?

Fortsatt utveckling och evaluering av kvantsäkra krypteringsmetoder är ocks˚a ett intressant ämne att forska vidare i. Vilka system kommer att st˚a emot och samtidigt vara effektiva? Hur kommer dessa system att skilja sig fr˚an de tidigare använda?

Förhoppningsvis är detta n˚agot som NISTs projekt kring evaluering och standardisering av kvantsäkra metoder kommer att ge svar p˚a.

(46)

(47)

Referenser

[1] Samuel, J. (2014). The factoring dead: Preparing for the Cryptopoca- lypse. San Fransisco: iSEC Partners. H¨amtad fr˚an nccgroup: https:

//www.nccgroup.trust/globalassets/our-research/us/whitepapers/

cryptopocalypse_reference_paper.pdf.

[2] Kahn, D. (1996). The codebreakers: the story of secret writing. (Rev. and up- dated ed.). New York: Scribner.

[3] Singh, S. (2000). The code book: the secret history of codes and codebreaking.

(Paperback ed.) London: Fourth estate.

[4] Bj¨orklund, M. & Paulsson, U. (2013). Seminarieboken att skriva, presentera och opponera. Johanneshov: MTM.

[5] Diffie, W. & Hellman, M. (1976). New Directions in Cryptography. Information Theory. IEEE Transactions on Information Theory, Volume 22, Number 6, Pages 644-654, November 1976.

[6] Rivest, R. L., Shamir, A. & Adleman, L. (1978). A method for obtaining digital signatures and public-key cryptosystems. Communications of the ACM, Volume 21, Issue 2, Pages 120-126, February 1978.

[7] Galla, L. K., Koganti, V. S. & Nuthalapati, N. (2016). Implementation of RSA.

2016 International Conference on Control, Instrumentation, Communication and Computational Technologies (ICCICCT), Kumaracoil, pages 81-87.

[8] Al-Slamy, Dr. Nada M. A. (2008). E-Commerce security. IJCSNS International Journal of Computer Science and Network Security, Volume 8, Number 5, May 2008.

[9] Yasin, S., Haseeb, K. & Qureshi, R. J. (2012). Cryptography Based E-Commerce Security: A Review. IJCSI International Journal of Computer Science Issues, Volume 9, Issue 2, Number 1, March 2012.

[10] Hoffstein, J., Pipher, J.C. & Silverman, J.H. (2014). An introduction to mathematical cryptography. (2. ed.) New York: Springer.

[11] Boneh, D. (1998). Twenty Years of Attacks on the RSA Cryptosystem. Notices of the American Mathematical Society (AMS), Volume 46, Number 2, pages 203-213.