Cùng với sự phát triển như vũ bão của công nghệ IoT thì mật mã nhẹ nói
chung và hàm băm nhẹ nói riêng sẽ được quan tâm rất nhiều trong những năm sắp
tới đây. Điều này đặt ra thách thức rất lớn cho lĩnh vực còn mới mẻ này là làm sao
để đảm nhiệm được sứ mệnh được giao? Tuy nhiên, nhìn sự phát triển 5 năm trở lại
đây thì ta có thể tin vào một tương lai cực kỳ rực rỡ.
Thách thức lớn nhất là làm sảo để đảm bảo được yếu tố bảo mật, đồng thời
chi phí thấp nhưng hiệu suất lại cao. Đây là ba yếu tố không thể đồng thời cùng đi
lên nên điều chúng ta cần làm là làm sao để cân bằng được 3 yếu tố này với thiết bị
cần áp dụng. Cũng chính vì thách thức lớn như vậy nên nó đồng thời lại là một mỏ
vàng lớn để những nhà mật mã học khai thác, để những nhà mật mã học thỏa sức
thể hiện tài năng của mình.
Trong luận văn này của mình, tác giả đề xuất phương án cải tiến S-Box để
tăng tính hỗn loạn. Điều này gây khó khăn trong việc giải mã của kẻ tấn công
nhưng lại không làm tăng độ phức tạp của thuật toán.
Hướng phát triển
- Cài đặt bảo mật trên các thiết bị Arduino và những thiết bị bị giới hạn.
Những thiết bị này được cài đặt các chương trình thu thập thông tin về thời
tiết như nhiệt độ và độ ẩm.
- Nghiên cứu mã khối 16 bit và 128 bit của hệ mật PRESENT để có thể áp
dụng vào bất cứ thiết bị nào được yêu cầu (thiết bị bị giới hạn hoặc là
không).
- Cài đặt PRESENT theo hai hướng: Hướng đàu tiên là tối ưu hóa tốc độ xử lý,
hướng thứ hai là tối ưu hóa không gian lưu trữ. Đưa ra đánh giá chi tiết về
hai hướng cài đặt này để cuối cùng có thể áp dụng vào các thiết bị cụ thể.
56 trang |
Chia sẻ: yenxoi77 | Lượt xem: 841 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Luận văn Hàm băm trong mật mã hạng nhẹ, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
một mạng lưới các vật tham gia kết nối
internet. Ở đó, các vật có thể thu thập thông tin và truyền tải dữ liệu. Đây cũng
chính là một điểm sáng rất lớn, là kỳ vọng cho lĩnh vực tự động hóa trong hầu hết
các ngành nghề.
Như tác giả đã trình bày ở phần mở đầu, triển vọng của IoT là rất lớn nhưng
kéo theo thách thức không hề nhỏ về mặt bảo mật. Do đó, khi mật mã nhẹ tham gia
vào mạng lưới này thì đây chính là cơ hội, là thách thức. Nhiệm vụ của những nhà
mật mã học là nghiên cứu để tìm ra các hệ mật mới phù hợp và cải tiến những hệ
mật đã có.
1.2.2 Công nghệ nhận dạng tần số sóng vô tuyến (RFID)
Như đã nhắc ở phần 1.2.1, ở phần này tôi sẽ trình bày kỹ hơn một chút về
công nghệ RFID [8]. Công nghệ nhận dạng (hay còn gọi là nhận diện dùng để đọc
dữ liệu từ chip, thẻ hoặc là thu lấy hình ảnh của đối tượng để mang về máy tính xử
lý) không tiếp xúc, sử dụng tần số sóng vô tuyến.
Hình 1.1: Cấu trúc của một thiết bị RFID
RFID là một công nghệ điển hình của nhận dạng không dây. Nếu như chỉ
lướt qua thôi thì ta rất khó phân biệt nó với các công nghệ khác như NFC hay là mã
T r a n g | 9
QR. Điểm khác nhau giữa các công nghệ này là hình thức nhận diện thiết bị. RFID
giao tiếp thông qua tần số sóng vô tuyến. NFC giao tiếp thong qua từ trường. Ưu
điểm của tần số sóng vô tuyến là có thể phát đi được rất xa, do đó triển vọng của
việc áp dụng trong thực tế của công nghệ này rất lớn. Tuy nhiên, thách thức mà
RFID đang gặp phải là khi phạm vi này càng lớn thì độ nhiễu sóng càng cao dẫn tới
kết quả nhận diện bị sai lệch nhiều hoặc có thể không còn chính xác nữa. Và một
điểm là phạm vi phủ sóng càng cao thì chi phí chi cho việc phát sóng càng lớn. Do
đó phải tính toán và cân nhắc thật kỹ khi áp dụng loại hình công nghệ này.
Hiện nay, RFID đang được nghiên cứu rất nhiều để áp dụng trong lĩnh vực tự
động hóa. Ví dụ như ô tô tự động hóa, tự động hóa trả phí đường bộ
1.2.3 Thiết bị gia dụng điện và TiVi thông minh
Khi nhắc tới thuật ngữ TiVi thông minh, chúng ta ám chỉ những TiVi có thể
cài đặt ứng dụng, kết nối internet và chạy trên một giao diện thân thiện, thông minh
với người dùng. Ngày nay để giảm thiểu chi phí khi sản xuất nên hầu hết các TiVi
được ra đời trong điều kiện CPU ở mức thấp [6]. Như vậy, nó vừa đảm nhiệm
nhiệm vụ của một chiếc TiVi thông thường, vừa đảm nhiệm chức năng của một
chiếc máy vi tính. Do đó, giống như hầu hết các thiết bị IoT thông thường, việc tích
hợp thêm bất cứ một chương trình nào lên TiVi thông minh là điều đáng cân nhắc,
làm sao để không làm nặng chương trình. Thông thường, người dùng rất khó để
nhận biết xem thiết bị này có bảo mật hơn thiết bị kia hay không nhưng rất dễ mẫn
cảm với sự chậm chạp của thiết bị. Như vậy, nếu chương trình gây chậm hệ thống
thì không một nhà sản xuất nào chấp nhận áp dụng. Tuy nhiên, do yêu cầu của việc
bảo mật nên các TiVi thông minh không tránh khỏi việc phải áp dụng. Làm sao để
vừa đảm bảo được tính năng bảo mật, vừa không gây chậm hệ thống, lại vừa không
ngốn tài nguyên. Đứng trước yêu cầu cấp thiết này, sự ra đời và phát triển của mật
mã nhẹ là rất kịp thời và đúng lúc. Vừa đảm bảo được yếu tố bảo mật, vừa đảm bảo
thêm các yếu tố về tài chính và hiệu suất.
T r a n g | 10
Trong thời gian sắp tới, nhiều thiết bị gia dụng sẽ tham gia mạng lưới này
giống như một phần của công nghệ IoT. Do đó, việc ta cần làm là làm sao để các
thiết bị này không bị truy cập trái phép, làm sao để sự riêng tư không bị xâm phạm?
Đây cũng chính là điểm thuận lợi để có thể triển khai mật mã nhẹ trong thực tế,
nhưng đồng thời cũng là thách thức vô cùng lớn.
1.2.4 Bộ cảm biến nông nghiệp thông minh
Trong nông nghiệp, để có được sản phẩm năng suất và chất lượng cao, điều
quan trọng nhất là thời tiết phải ổn định và điều hòa. Từ trước đến thời điểm hiện
tại, phần lớn người nông dân ở nước ta vẫn đang canh tác dựa trên kinh nghiệm.
Những năm mưa thuận, gió hòa năng suất của người dân ở mức ổn định và đáp ứng
được nhu cầu sống. Tuy nhiên, nước ta là nước nằm trong vành đai lửa thái bình
dương nên sẽ không tránh khỏi sự thất thường của thời tiết, từ việc lượng mưa và
nắng thất thường cho tới kiểu thời tiết khô hoặc bão. Do đó mà cuộc sống của người
nông dân bình thường đã ở mức thấp, thêm yếu tố phụ thuộc tự nhiên nên rất bấp
bênh.
Hiện nay, với sức mạnh của công nghệ thông tin, việc áp dụng công nghệ sẽ
điều hòa được “khí hậu” của vườn ươm và ruộng nuôi trồng. Khi cần ánh sáng ta có
thể tăng sáng, khi cần nhiệt ta có thể thay đổi nhiệt độ mà không phụ thuộc vào
yếu tố tự nhiên nữa.
Để điều hòa thời tiết trong vườn, ruộng ta cần thu thập các thông tin về thời
tiết ở địa điểm hiện tại để phân tích. Độ chính xác của việc phân tích dữ liệu tăng
lên cùng với độ phân giải của giám sát. Vì vậy, tốt hơn là chia một nông trại lớn
thành các phần và thu thập dữ liệu từ từng phần. Nông dân có thể mong đợi các
thiết bị giám sát có thể vận hành với một lượng lao động nhỏ với chi phí thấp trong
một thời gian dài. Để đáp ứng nhu cầu này, việc sử dụng các mạng lưới cảm biến
môi trường đang dần dần lan rộng.
Các cảm biến của các mạng như vậy có các yêu cầu sau [6]:
T r a n g | 11
- Tự điều khiển,
- Quy mô nhỏ,
- Tiêu thụ điện năng thấp, và
- Được sử dụng với số lượng lớn.
Đối với việc thu thập dữ liệu tốt, cần có nhiều bộ cảm biến, thuật toán trọng
lượng nhẹ chi phí thấp phù hợp với mục đích này.
Ngoài việc giám sát thời tiết, việc quan sát các chuyển động của vỏ trái đất
có thể góp phần dự đoán kịp thời các trận động đất, núi lửa phun trào và sạt lở đất.
Bộ cảm biến phục vụ các mục đích này thường được lắp đặt tại các địa điểm không
dễ tiếp cận được bởi người dân hoặc nơi không có nguồn điện. Hơn nữa, vì dữ liệu
về phòng ngừa thiên tai là rất quan trọng đối với an ninh của công dân, nên phải
ngăn chặn việc giả mạo, nghiêm trọng hơn nhiều so với nghe trộm. Nếu dữ liệu bị
giả mạo thì có thể đưa ra cảnh báo sai. Mật mã hóa nhẹ với xác thực là phù hợp để
ngăn chặn dữ liệu nhạy cảm không bị giả mạo.
1.2.5 Cảm biến y tế
Khi một người nhập viện, một số loại cảm biến có thể gắn liền với bệnh nhân
để đo điện tâm đồ, huyết áp, mạch, đường trong máu, và nồng độ trong máu và oxy.
Những cảm biến thường được kết nối với các đơn vị chính với cáp để mang dữ liệu
và nhận điện năng, mà ức chế chuyển động của bệnh nhân. Bệnh nhân được phép ra
khỏi bệnh viện có thể cần phải có các điều kiện theo dõi tại nhà và tại nơi làm việc
và cần phải có dụng cụ đo được cấy ghép vào cơ thể của họ. Các thiết bị bên ngoài
và nội bộ này được sử dụng để thường xuyên đo lường dữ liệu và xác định thời gian
dùng thuốc. Thiết bị cấy ghép thường được để lại trong cơ thể trong một thời gian
dài, do đó nó phải có khả năng truyền dữ liệu mà không cần dây và chạy trên pin
trong một khoảng thời gian dài. Ngay cả trong trường hợp các thiết bị gắn ngoài, kết
nối không dây cung cấp sự tự do di chuyển đòi hỏi bộ cảm biến chạy trong thời gian
dài trên pin.
T r a n g | 12
Những cảm biến thu thập rất nhiều dữ liệu cá nhân phải được che giấu để bảo
đảm tính riêng tư của người dùng. Hiện nay, đặc biệt trong lĩnh vực cảm biến cấy
ghép, các nhà nghiên cứu đang tiến hành nghiên cứu và phát triển quá trình thu nhỏ
cảm biến và các thiết bị (các thiết bị tính trên đơn vị nano mét đang được phát
triển). Do đó việc ta tích hợp mật mã cũng phải cải thiện để làm giảm chi phí nhưng
vẫn đảm bảo được bảo mật và hiệu suất.
Với sự tiến bộ của những năm gần đây đối với các thiết bị đeo, một khái
niệm mới gọi là "mHealth" đã nổi lên, là thuật ngữ viết tắt của "Mobile Health".
Thuật ngữ này hàm ý người dùng sẽ đeo thiết bị để thiết bị thu thập dữ liệu về sinh
học ví dụ như nhịp tim, hơi thở để đảm bảo sức khỏe của người đeo. Dữ liệu được
tích lũy hàng ngày và có thể được nộp trong quá trình kiểm tra vật lý hoặc khám sức
khoẻ tại bệnh viện. Không chỉ dữ liệu sinh học mà cả các hoạt động tiến hành cải
thiện sức khoẻ cũng được ghi lại. Ngày nay, các thiết bị quảng cáo y tế [6] thông
thường như máy đo bước chân có thể phát hiện thông tin cá nhân như vị trí của một
người từ GPS tích hợp sẵn.
Tùy thuộc vào việc sử dụng của nó, truyền dẫn không dây có thể được yêu
cầu đối với thiết bị liên tục thu thập dữ liệu được nhận, biên soạn và phân tích bởi
các thiết bị khác. Vì những dữ liệu này rất cá nhân nên chúng phải được che giấu
hoàn toàn để bảo vệ sự riêng tư của một người.
1.3 Chiến lược thiết kế cho mật mã nhẹ
Mật mã nhẹ là một nhánh nghiên cứu khá trẻ, là sự giao thoa giữa các ngành
kỹ thuật điện, mật mã học và khoa học máy tính. Nó tập trung vào việc nghiên cứu
ra những thiết kế mới, khả năng thích ứng và việc cài đặt hiệu quả. Đứng trước
thách thức bởi sự vô cùng hạn chế về chi phí và mô hình tấn công mạnh mẽ, đặc
biệt đáng chú ý là khả năng tấn công bởi các tác nhân vật lý. Như vậy, sự cải thiện
và tăng cường bảo mật mật mã nhẹ là vô cùng cần thiết trong những mô hình tính
toán phổ biến.
T r a n g | 13
Mỗi một chiến lược thiết kế mật mã nhẹ đều phải đối phó với sự đánh đổi
giữa bảo mật, chi phí và hiệu suất. Đối với mã khối thì chiều dài khóa là sự đánh
đổi lẫn nhau giữa độ bảo mật và chi phí. Trong khi số lượng vòng là sự hoán đổi lẫn
nhau giữa độ bảo mật và hiệu suất. Và kiến trúc phần cứng là sự hoán đổi giữa chi
phí và hiệu suất [10]. Ta hãy xem hình 1.2 bên dưới:
Hình 1.2: Thiết kế sự hoán đổi các yếu tố trong mật mã nhẹ
Luôn luôn, chúng ta chỉ có thể đạt được hai trong số ba chiến lược trong khi
thiết kế. Lựa chọn bảo mật tốt và chi phí thấp nhưng như vậy thì hiệu suất lại thấp.
Lựa chọn bảo mật tốt và hiệu suất cao thì lúc này chi phí của ta buộc phải cao. Hay
cuối cùng ta chọn chi phí thấp và hiệu suất cao thì sự bảo mật lại lỏng lẻo.
Như vậy, chúng ta có ba hướng tiếp cận để tối ưu hóa một hệ mật khi xây
dựng ứng dụng [10]:
- (1) Tối ưu hóa chi phí cài đặt trên phần cứng theo chuẩn và thuật toán tin
tưởng.
- (2) Sử đổi một chút theo một nghiên cứu tốt và mã tin tưởng.
- (3) Thiết kế các mã mới để đạt được chi phí cài đặt phần cứng thấp theo
yêu cầu thiết kế.
Ngày nay, phần lớn mã khối được thiết kế chủ yếu với thuộc tính cài đặt
phần mềm tốt. Và không cần quan tâm nhiều tới đặc điểm kỹ thuật của phần cứng.
Cách tiếp cận này là đúng đắn vì phần lớn các thuật toán được cài đặt vào phần
T r a n g | 14
mềm và chạy trên môi trường máy tính hoặc các thiết bị nhúng hay chạy trên các
thiết bị không tốn kém nhưng lại có hiệu suất rất cao. Bây giờ, khi IoT phát triển,
các thiết bị phần cứng bị giới hạn rất nhiều nên những thuật toán này không còn phù
hợp nữa. Do vậy, với cách tiếp cận thứ nhất chúng ta phải tối ưu hóa chi phí cài đặt
trên các thiết bị phần cứng để làm sao những thuật toán cũ hoạt động hiệu quả.
Ý tưởng chính là sử dụng một thuật toán đã được chứng minh về độ mật và
đang được sử dụng. Sau đó, ta sẽ tối ưu hóa việc cài đặt của hệ mật này trên phần
cứng hoặc tạo ra biến thể của hệ mật [10]. Các hướng bước của chiến lược này là:
- Sử dụng một cấu trúc phần cứng nối tiếp làm giảm sự phức tạp của cổng:
Với ý tưởng đầu tiên, nếu chúng ta áp dụng với thuật toán DES, chúng ta
phải đạt được cài đặt nhỏ hơn 35% cổng so với AES (thuật toán được biết tới với sự
hiệu quả cài đặt nhất).
Trong báo cáo về DES khi thực hiện cài đặt tối ưu hóa trên phần cứng, thông
số bề mặt phải hoán đổi cho thông lượng. Việc thực hiện cũng yêu cầu khoảng 86%
chu kỳ xung nhịp cho việc mã hóa một khối so với việc thực hiện AES tuần tự
(1032 chu kỳ so với 144) làm cho nó dễ dàng sử dụng hơn trong các giao thức
chuẩn RFID. Tuy nhiên, bảo mật cung cấp bị giới hạn bởi các khóa 56-bit. Do đó,
việc thực hiện này chỉ nên áp dụng trong trường hợp cần an ninh ngắn hạn, hoặc khi
các giá trị được bảo vệ tương đối thấp. Tuy nhiên, chúng ta có thể tưởng tượng rằng
trong một số ứng dụng chi phí thấp như vậy mức độ bảo mật là đủ.
Với cách tiếp cận thứ hai: để có một mã nghiên cứu tốt, thì thiết kế của nó
cũng phải thực thi tốt với phần cứng có chi phí rẻ. Một mã phổ biến nhưng lại đáp
ứng được yêu cầu này là DES (như đã đề cập ở phần trên). DES được thiết kế nửa
đầu những năm 1970 và mục tiêu là cài đặt trên môi trường phần cứng. Do đó, so
với tiêu chuẩn phần cứng ngày nay thì phần cứng những năm đó vô cùng hạn chế.
Đến những năm 2000 thì thuật toán này không được áp dụng nhiều nữa do công
nghệ phần cứng quá phát triển trên các thiết bị thời đó. Tuy nhiên, từ khi khái niệm
IoT ra đời, các thiết bị bị giới hạn đồng loạt bùng nổ thì thuật toán này lại tỏ ra hữu
T r a n g | 15
ích một lần nữa. Và vì thế, tuy DES không được sử dụng nhiều nữa trong các
chương trình trên vi tính hay những chương trình trên các thiết bị có năng lượng
tính toán và dung lượng lớn nhưng nó lại có đóng góp không nhỏ đối với những
thiết bị bị giới hạn nhiều mặt.
Hướng đi của ý tưởng này là:
- Tùy chọn áp dụng khóa trắng để làm cho các cuộc tấn công brute-force
không thể
- Tùy chọn thay thế cho 8 S-Box ban đầu bởi một thành phần đơn giản hơn
làm giảm hơn nữa mức độ phức tạp cổng.
Trong trường hợp đầu vào cần phải có mức độ bảo mật cao vừa phải chúng ta
cần khóa trắng, với DES ta xác định ở đây như sau, kí hiệu là DESX:
DESXk.k1.k2 (x) = k2 DESk (k1 x)
Việc thêm cổng XOR vào sẽ tăng số lượng cổng lên 14%. Sự tấn công tìm
kiếm khóa tốt nhất lựa chọn đánh đổi giữa thời gian và bộ nhớ yêu cầu 2120 lần và
264 địa chỉ bộ nhớ.
Với ý tưởng này, khi chúng ta cực kỳ cần một hệ mật nhẹ, ta có thể giảm đô
phức tạp của cổng của thuật toán xuống, giả sử với DES, ta thay thế tám cổng S-
Box nguyên thủy bởi một cổng mới đơn giản hơn. Như vậy, ta đã có một biến thể
của DES (hay với một hệ mật khác, ta đã có biến thể của hệ mật đó theo cách này)
Để tăng cường độ mạnh của hệ mật, khóa trắng có thể áp dụng với mật độ
DESXL. Câu hỏi quan trọng là sức mạnh của DESL và DESXL là gì đối với các
cuộc tấn công phân tích. Ta nhận thức rõ rằng bất kỳ thay đổi nào đối với mật mã
đều có thể mở ra cánh cửa để tấn công, ngay cả khi những thay đổi đã được thực
hiện rất cẩn thận và kiểm tra chống lại các cuộc tấn công đã biết. Tuy nhiên, trong
từng trường hợp cụ thể ta có thể lựa chọn để dùng.
Cách tiếp cận thứ 3 là thiết kế các mã mới để đạt được độ bảo mật và hiệu
suất phù hợp nhưng lại có chi phí cực kỳ rẻ. Cũng là lý do hàng loạt các hệ mật nhẹ
T r a n g | 16
ra đời. Trong luận văn này, tác giả sẽ trình bày chi tiết về hệ mật PRESENT, là một
mã mới được nghiên cứu bởi Bogdanov và các cộng sự của ông trong báo cáo [5].
1.4 Một số mật mã nhẹ
Trong những năm gần đây, số lượng và chất lượng mã nhẹ tăng lên rất đáng
kể. Rất nhiều nhà mật mã học tại nhiều quốc gia bắt tay vào nghiên cứu. Trong vài
năm trở lại đây nổi trội nhất là Nhật Bản và Mỹ. Rất nhiều mã đang dần trở nên bổ
biến như mã khối có: PRESENT, mCrypton, TEA, HIGHT, DESXL, AES Và
mã dòng có: Grain, Trivium, Những mã này có độ mật tương đối tốt nhưng chi
phí cho phần cứng lại thấp hơn rất nhiều so với các mã “nặng” truyền thống. Ta có
thể theo dõi bảng 1.1.
Các thông số thống kê trên tham khảo từ bảng 1 của tài liệu [12] và bảng 2.8
của tài liệu [13]. Qua đó ta có thể thấy, các mã “nặng” truyền thống yêu cầu phần
cứng lớn hơn rất nhiều so với các mã nhẹ. Ngay từ đơn vị của dùng để tính đã là
Gbps và kGE còn mã nhẹ đơn vị sử dụng là Kbps và GE. Ví dụ Keccack-1600 là
thuật toán dùng để cài đặt SHA3 có thông lượng yêu cầu 22 Gbps và bề mặt là 48
kGE, PRSENT-80 yêu cầu thông lượng là 11.4 Kbps và bề mặt là 1075 GE. Như
vậy, yêu cầu phần cứng của mã nhẹ thấp hơn rất nhiều so với các mã nặng.
Mã nhẹ Mã nặng truyền thống
Tên Thông lượng
(Kbps)
Bề mặt (GE) Tên Thông lượng
(Gbps)
Bề mặt (kGE)
PRESENT – 80 11.4 1075 Keccak-1600 22 48
DES 44.5 2309 BLAKE-512 18.8 79
mCrypton 492.3 2681 Skein-512 58 61
TEA 100 2355
Grain 100 1294
Trivium 100 2599
Bảng 1.1: Một số hệ mật nhẹ và một số hệ mật “nặng” truyền thống
Để biết rõ hơn thông tin về năng lượng tiêu thụ và các chi phí về phần cứng
của các hệ mật nhẹ, ta có thể theo dõi bảng 1.2 [6]. Nhìn vào những thông tin được
T r a n g | 17
liệt kê trong bảng, ta có thể nắm được phần nào về yêu cầu phần cứng. Từ đó, có
thể dùng những thông tin này để đưa ra quyết định lựa chọn một hệ mật sao cho phù
hợp với thiết bị nhẹ của mình.
Bảng 1.2: Thông tin về yêu cầu phần cứng của một vài hệ mật nhẹ
Để có một cái nhìn trực quan hơn về các thông số thống kê được, tác giả xin
được liệt kê một vài đồ thị tham khảo từ tài liệu [6].
Hình 1.3: Đồ thị so sánh theo thông số bề mặt của một số hàm băm nhẹ
T r a n g | 18
Hình 1.4: Đồ thị so sánh theo thông số thông lượng của một số hàm băm nhẹ
Hình 1.5: Đồ thị so sánh năng lượng sử dụng ở mức cao của một số hàm băm nhẹ
T r a n g | 19
Hình 1.6: Đồ thị so sánh năng lượng sử dụng ở mức thấp của một số hàm băm nhẹ
Như vậy, thông qua dữ liệu đã được chứng minh về các mật mã nhẹ, người
quản lý hệ thống hay thiết bị có thể lựa chọn hệ mật phù hợp với công việc của
mình. Cân đối giữa các yếu tố hiệu suất, yếu tố bảo mật và yếu tố chi phí. Hình 1.3,
1.4, 1.5 và 1.6 biểu diễn so sánh theo các hướng thông số bề mặt, thông số thông
lượng, thông số năng lượng tiêu thụ ở mức cao, thông số thông lượng tiêu thụ ở
mức thấp. Từ đó, ta có thể cân nhắc thêm với các yếu tố bảo mật để lựa chọn thiết
bị cho phù hợp.
T r a n g | 20
Chương 2: HỆ MẬT PRESENT VÀ CẢI TIẾN S-BOX
2.1 Hệ mật PRESENT
Trong phần này, tác giả sẽ trình bày hiểu biết của mình về hệ mật PRESENT
[5] đã được công bố trong bài báo “Present: An Ultra-Lightweight Block Cipher”
của A. Bogdanov và các cộng sự.
Tác giả sẽ trình bày từ kế hoạch thiết kế cho tới việc thiết kế chi tiết hệ mật
này. Đây cũng là cách tiếp cận thứ 3 đã được đề cập ở mục 1.3 (chiến lược thiết kế
cho mật mã nhẹ) là thiết kế một hệ mật mới phù hợp với yêu cầu bảo mật của các
thiết bị bị giới hạn.
2.1.1 Ý tưởng thiết kế
Mục tiêu khi Bogdanov và các cộng sự thiết kế PRESENT là muốn xây dựng
một hệ mật thật đơn giản nhưng hiệu quả. Trong phần này, tác giả sẽ trình bày
quyết định thiết kế của những nhà mật mã học ấy.
Những ý tưởng ban đầu là thiết kế một mã khối phù hợp với các môi trường
cực kỳ hạn hẹp. Cân nhắc tới đặc điểm này, các tác giả của bài báo thấy rằng AES
đã đảm nhiệm rất tốt, do đó việc tạo ra một mã tương tự là điều không cần thiết.
Cuối cùng, nhóm Bogdanov đã đi đến quyết định, thiết kế mã mới và nhắm vào
những đặc điểm mà AES chưa đáp ứng được. Những đặc điểm này là:
- Mã hóa sẽ được thực hiện trong phần cứng.
- Các ứng dụng sẽ chỉ yêu cầu mức bảo mật vừa phải. Do đó, khóa 80 bit là
một khóa có độ dài phù hợp.
- Các ứng dụng sẽ không yêu cầu mã hóa một lượng lớn dữ liệu. Do đó, việc
thực hiện cài đặt có thể đạt được tối ưu cho hiệu suất hoặc bề mặt mà không bị tác
động bởi thực tế quá nhiều.
- Trong một số triển khai cài đặt cụ thể, có thể khóa sẽ được cố định vào thời
điểm sản xuất thiết bị. Những trường hợp như vậy, ta sẽ không cần phải yêu cầu
T r a n g | 21
thiết lập khóa từ phía người dùng, điều này cũng loại trừ được vô số các cuộc tấn
công không cần thiết.
- Sau khi đã xem xét yếu tố bảo mật thì yếu tố tiếp theo cần quan tâm là yếu
tố phần cứng và mức tiêu thụ năng lượng. Ta có thể tham khảo thêm các hình 1. 3:
Đồ thị so sánh theo thông số bề mặt của một số hàm băm nhẹ, hình 1.4: Đồ thị so
sánh theo thông số thông lượng của một số hàm băm nhẹ.
- Yếu tố thứ 3 được quan tâm sau bảo mật và năng lượng tiêu thụ là thời gian
thực thi. Ta có thể tham khảo hình 1.5 Đồ thị so sánh năng lượng sử dụng ở mức
cao của một số hàm băm nhẹ, hình 1.6: Đồ thị so sánh mức năng lượng sử dụng ở
mức thấp của một số hàm băm. Một chương trình cài đặt mã nhẹ không thể chấp
nhận một mã có độ trễ cao được.
Từ những phác thảo về quyết định thiết kế, Bogdanov và các cộng sự đã đề
xuất hệ mật PRESENT. Đặc điểm của hệ mật này là kích thước khối 64 bit, kích
thước khóa 80 bit. Tuy nhiên, tùy vào cài đặt cụ thể, các tác giả cũng đề xuất thêm
một PRESENT với 64 bit khối và 128 bit khóa.
PRESENT chịu ảnh hưởng bởi hầu hết các cuộc tấn công vào hệ mật nói
chung và các cuộc tấn công nhằm vào mã khối nói riêng. Điều này là không tránh
khỏi và cũng không phải là yếu tố quan trọng đáng lưu tâm.
2.1.2 Quá trình mã hóa
PRESENT là một ví dụ điển hình về mạng SP bao gồm 31 vòng mã hóa.
Chiều dài của khối là 64 bit và hai chiều dài khóa được đề xuất là 80 bit và 128 bit.
Nhóm nghiên cứu của PRESENT khuyến nghị nên sử dụng khóa 80 bit, vì việc
triển khai sẽ phù hợp với các thiết bị nhẹ, cân bằng yếu tố bảo mật và các yếu tố
khác. PRESENT rất thuận lợi để triển khai trên các thiết bị nhẹ như thẻ từ, thẻ chip.
Mỗi vòng trong số 31 vòng bao gồm một thao tác XOR để đưa ra một khóa tròn Ki
sao cho 1 ≤ i ≤ 32, trong đó K32 được sử dụng cho post-whitening, hoán vị bitwise
tuyến tính và một lớp thay thế không tuyến tính. Lớp phi tuyến tính sử dụng S-Box
T r a n g | 22
4 bit đơn, được áp dụng song song 16 lần trong mỗi vòng. Các vòng mã hóa được
mô tả trong hình 2.1 bao gồm các pha sinh khóa, addRoundKey, S-Box layer,
pLayer. Hoạt động của từng pha sẽ được trình bày ở các phần ngay bên dưới đây.
Hình 2.1: Quy trình mã hóa của PRESENT
Hàm addRoundKey
Giả sử ta có tập khóa Ki =k
. k
sao cho 1 <= i <= 32 và STATE hiện
tại là b63b0, hàm addRoundKey bao gồm vòng lặp từ 0 <= j <= 63 thỏa mãn: bj
bj k
Hàm sBoxLayer
Các tác giả của PRESENT sử dụng S-Box 4 bit tới S-Box 4 bit: F
F
.
Đây là kết quả trực tiếp của việc theo đuổi hiệu suất phần cứng, với việc thực hiện
cài đặt S-Box như vậy thì chi phí thường nhỏ hơn nhiều so với S-Box 8 bit. Nhóm
Bogdanov đưa ra một số điều kiện bổ sung trên S-Box. Chính xác hơn, S-Box cho
PRESENT phải thỏa mãn các điều kiện sau:
S
( ) = ∑ (−1) є
+
Đối với bất kỳ trường hợp cố định đầu vào khác 0,khác ∆I F
và bất kỳ
trường hợp cố định đầu ra khác 0 khác ∆O F
thì:
# {x єF
| S(x) + S (x + ∆I) = ∆O} <= 4
T r a n g | 23
Đối với bất kỳ trường hợp cố định đầu vào khác 0, khác ∆I € F
và bất kỳ
trường hợp cố định đầu ra khác ∆O F
sao cho wt(∆I) = wt(∆O) = 1thì:
# {x єF
| S(x) + S (x + ∆I) = ∆O} = ф
Đối với tất cả khác 0, a F
và tất cả khác 0, b F
giữ | S
(a)| ≤ 8
Đối với tất cả a F
và tất cả khác 0, b F
sao cho wt(a) = wt(b) = 1 nó
giữ |S
(a)| ≤ 4.
Như vậy, những điều kiện này sẽ đảm bảo rằng PRESENT là kháng đối với
các cuộc tấn công khác biệt và tuyến tính. Sử dụng phân loại tất cả các S-Box 4 bit
đáp ứng các điều kiện trên, Bogdanov và các cộng sự đã chọn một S-Box đặc biệt
phù hợp để thực hiện cài đặt trên phần cứng hiệu quả.
Hộp S-Box được sử dụng trong PRESENT là S-Box 4 bit đến S-Box 4 bit:
F
F
.
Cho x = (x3||x2||x1||x0) biểu thị cho 4 bit đầu vào.
Cho S(x) = (S3(x)||S2(x)||S1(x)||S0(x)) biểu thị 4 bit đầu ra.
Bằng cách sử dụng công cụ tối ưu hóa boolean espresso, ta thu được bốn bit
đầu ra kiểu boolean cho S-Box hiện tại:
Trong đó “·” biểu thị phép logic AND, “+” biểu thị phép logic OR. Bảng 2.1
là S-Box trong hệ thập lục phân:
x 0 1 2 3 4 5 6 7 8 9 A B C D E F
S[x] C 5 6 B 9 0 A D 3 E F 8 4 7 1 2
Bảng 2.1: Hộp S-Box 4 bit của hệ mật PRESENT trong hệ thập lục phân.
T r a n g | 24
Hàm pLayer
Khi chọn một lớp trộn, tập trung của nhóm tác giả Bogdanov là vào hiệu suất
phần cứng. Do đó, cần yêu cầu một lớp tuyến tính có thể thực hiện với một số lượng
tối thiểu các phần xử lý. Điều này dẫn đến việc sử dụng các hoán vị bit thông
thường trong thuật toán. Lợi ích của phương pháp này là làm cho thuật toán sáng
sủa, rõ ràng và dễ dàng phân tích. Sự hoán vị bit của PRESENT được cho bởi bảng
2.2, hoán vị bit sử dụng trong PRESENT.
Bảng 2.2: Hoán vị bit sử dụng trong PRESENT
Bit i của STATE được chuyển sang vị trí bit P (i).
Cũng có thể viết P-layer theo cách sau:
P(i) =
. 16 63, є {0, , 62 }
63, = 63
2.1.3 Quá trình giải mã
Ở phần trên, tác giả đã trình bày những tìm hiểu của mình đối với quá trình
mã hóa của PRESENT. Phần tiếp ngay sau đây, tác giả sẽ trình bày những tìm hiểu
của mình về quá trình giải mã PRESENT. Các pha giải mã của PRESENT thực chất
là việc làm ngược lại các pha mã hóa.
Hàm addRoundKey
Giả sử ta có tập khóa Ki =k
. k
sao cho 1 <= i <= 32 và STATE hiện tại
b63b0, hàm addRoundKey bao gồm vòng lặp từ 0 <= j <= 63 thỏa mãn: bj bj
k
T r a n g | 25
Hàm invSBoxlayer
Hộp S-Box được sử dụng trong giải mã của PRESENT là sự nghịch đảo của
S-Box 4 bit đến S-Box 4 bit: F
F
đã được mô tả trong phần 2.1.2. Tác động của
hộp S-Box ngược trong hệ lục phân được cho bởi bảng sau:
x 0 1 2 3 4 5 6 7 8 9 A B C D E F
S[x] 5 E F 8 C 1 2 D B 4 6 3 0 7 9 A
Bảng 2.3: Hộp S-Box 4 bit nghịch đảo của hệ mật PRESENT trong hệ thập lục phân
Đối với invSBoxLayer, STATE hiện tại b63 b0 được coi là 16 phần tử 4 bit
w15 w0 trong đó:
Wi = b4*i+3||b4*i+2||b4*i+1||b4*i với 0 <= i <= 15 và kết quả đầu ra S[wi] cung
cấp các giá trị cập nhật trạng thái.
invPLayer
Các hoán vị bit được sử dụng trong giải mã của PRESENT được cho trong
bảng 2.4 phía dưới đây. Bit i của STATE được chuyển sang vị trí bit P(i).
Bảng 2.4: Nghịch đảo việc hoán vị bit trong hệ mật PRESENT
2.1.4 Tính toán khóa
Như tác giả đã trình bày ở các phần trước, một khóa 80 bit là phù hợp với hệ
mật PRESENT để đảm bảo bảo mật cho các thiết bị IoT bị giới hạn. Tuy nhiên,
trong phần này tác giả cũng sẽ trình bày phần tìm hiểu của mình cả về cách tính
toán khóa 80 bit và 128 bit.
T r a n g | 26
Khóa của PRESENT có thể do người dùng cung cấp, có độ dài là 80 bit hoặc
128 bit tùy yêu cầu cài đặt. Tuy nhiên, trong một số lĩnh vực cụ thể hoặc trong một
số cài đặt cụ thể, người lý thiết bị hoặc quản trị hệ thống có thể tự cài đặt khóa cho
thiết bị hoặc hệ thống của mình. Điều này khá hữu ích vì nó giúp hệ thống hoặc
thiết bị tránh được khá nhiều các cuộc tấn công.
Tính toán khóa cho PRESENT-80
Khóa do người dùng cung cấp được lưu trữ lại trong thiết bị, ký hiệu là K và
được biểu diễn là k79k78 k0. Tại vòng i, khóa tròn 64 bit Ki = κ63κ62 κ0 bao
gồm 64 bit trái là nội dung hiện tại của K. Như vậy tại vòng i ta có:
Ki = κ63κ62 κ0 = k79k78 k16
Sau khi tách vòng khóa Ki, khóa K = k79k78 k0 được cập nhật như sau:
1. [k79k78 k1 k0] = [k18k17 k20k19]
2. [k79k78k77k76] = S [k79k78k77k76]
3. [k19k18k17k16k15] = [k19k18k17k16k15] round_counter
Hình 2.2: Tính toán khóa cho PRESENT-80
Ta có thể dễ dàng thấy, 61 bit phía bên trái sẽ dịch 19 bit về bên phải, còn 19
bit phía bên phải sẽ dịch 61 bit về phía bên trái. Sau đó 4 bit ngoài cùng phía bên
trái sẽ đi qua S-Box. Và các bit k19k18k17k16k15 sau phép dịch bit của K sẽ XOR trực
tiếp với vòng của nó. Để trực quan hơn, hình 2.2 mô tả rất rõ sự dịch chuyển này.
T r a n g | 27
Tính toán khóa cho PRESENT-128
Tính toán khóa cho 128 bit cũng tương tự như khóa 80 bit. Ban đầu, khóa do
người dùng cung cấp sẽ được lưu trữ lại, ký hiệu là K và và được biểu diễn dưới
dạng k127k126 k0. Tại vòng thứ i thì vòng khóa 64 bit Ki = κ63κ62 κ0 bao gồm
64 bit trái của khóa lưu trữ. Vì thế, tại vòng thứ i ta có:
Ki = κ63κ62 κ0 = k127k126 k64.
Sau khi tách vòng khóa Ki, khóa đăng ký K = k127k126 k0 được cập nhật
như sau:
1. [k127k126 k1k0] = [k66k65 k68k67]
2. [k127k126k125k124] = S[k127k126k125k124]
3. [k123k122k121k120] = S[k123k122k121k120]
4. [k66k65k64 k63k62] = [k66k65k64 k63k62] round_counter
Hình 2.3: Tính toán khóa cho PRESENT-128
Ta có thể dễ dàng thấy, 61 bit phía bên trái sẽ dịch 67 bit về bên phải, còn 67
bit phía bên phải sẽ dịch 61 bit về phía bên trái. Sau đó ta sẽ có 2 cặp 4 bit là 8 bit
ngoài cùng phía bên trái sẽ đi qua S-Box. Và các bit k66k65k64k63k62 sau phép dịch
bit của K sẽ XOR trực tiếp với vòng của nó. Để trực quan hơn, hình 2.3 mô tả rất rõ
sự dịch chuyển này.
T r a n g | 28
2.2 Cải tiến S-Box
Trong hội thảo quốc gia với chủ đề: “Một số vấn đề chọn lọc của công nghệ
thông tin và truyền thông” nhóm nghiên cứu và tác giả đã đề xuất phương án cải
tiến cho hệ mật Noekeon và LED [1]. Trong đó, tác giả đề xuất phương án cải tiến
S-Box. Nhằm nâng cao độ mật cho hệ mật nhưng không làm tăng độ phức tạp tính
toán. Cải tiến này có thể áp dụng cho tất cả các hệ mật nhẹ sử dụng S-Box.
S-Box của LED được liệt kê như trong bảng 2.5 (hệ thập lục phân). Sử dụng
một S-Box 4 bit của PRESENT.
10 11 12 13 14 15
x 0 1 2 3 4 5 6 7 8 9 A B C D E F
S[x] C 5 6 B 9 0 A D 3 E F 8 4 7 1 2
12 11 10 13 14 15
Pos 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
Bảng 2.5: S-Box và vị trí của từng thành phần trong S-Box
Quyết định cải tiến
LED là mã khối nhẹ có độ an toàn cao, do đó ta có thể tiến hành cải tiến LED
để áp dụng cho các thiết bị IoT có giới hạn lưu trữ và xử lý ở tầm trung cho đến tầm
cao. Và những thiết bị đó yêu cầu một thuật toán mã hóa có độ bảo mật tốt.
Để cải tiến LED ta nên đi theo hướng bù đắp các yếu điểm của thuật toán mã
hóa khối. Có 3 hướng chính là tăng kích thước khối hoặc khóa, tăng độ hỗn loạn,
tăng tính khuếch tán. Hiện tại độ dài khối và khóa của LED đang ở mức rất tốt là
64bit và 128bit do đó ta không nên phá vỡ cấu trúc này.
Ở bài báo này, chúng tôi lựa chọn phương pháp cải tiến là tăng độ hỗn loạn
và rắc rối để kẻ tấn công từ bỏ việc dịch ngược đoạn mã. Vị trí cải tiến là S-Box và
phương pháp cải tiến là áp dụng công thức của mã Caesar trong việc thay thế từng
thành phần trong S-Box.
Áp dụng vào S-Box ta có công thức mã hóa:
T r a n g | 29
Pos’ = (Pos+k) mod 16
Trong đó Pos là vị trí hiện tại của từng thành phần trong S-Box được đánh số
như hình 1. Pos’ là vị trí thay thế. Sau khi có Pos’ ta chuyển đổi trả lại về mã
Hecxa. k là số đơn vị dịch chuyển để thay thế.
Tương tự như vậy, ta có công thức giải mã:
Pos = (Pos’ – k) mod 16
Do LED sử dụng S-Box của PRESENT và cố định nên ta cũng nên cố định k
khi thiết kế. Mục đích tăng sự phức tạp khi có kẻ tấn công nhưng đồng thời không
làm phức tạp quá trình giải mã. Ở đây bài báo chọn k bằng 10 theo tỉ lệ vàng 16/10
của Toán học [3].
Việc sử dụng tỉ lệ vàng trong toán học sẽ tránh được các điểm đầu, cuối, giữa
là những điểm đặc biệt. Điều này giúp cho LED tránh được tối đa các cuộc tấn vét
cạn.
Sau khi thực hiện việc dịch chuyển, ta có Pos, Pos’ và S-Box’ được phân bố
theo bảng 2.6 phía bên dưới:
Pos 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
Pos’ 10 11 12 13 14 15 0 1 2 3 4 5 6 7 8 9
S[x]’ 15 8 4 7 1 2 12 5 6 11 9 0 10 13 3 14
F C B A D E
Bảng 2.6: S-Box sau khi thực hiện quá trình gây nhiễu theo công thức Caesar
T r a n g | 30
Chương 3: HÀM BĂM NHẸ
3.1 Khái niệm
Hàm băm nhẹ là một phần nhỏ trong nhánh nghiên cứu của mật mã nhẹ nên
nó cũng không có một ranh giới rõ ràng nào để phân biệt nhẹ hay không nhẹ [4].
Mục tiêu của hàm băm nhẹ hướng tới sự nhỏ gọn trong cài đặt để phù hợp với các
thiết bị bị giới hạn bởi dung lượng lưu trữ và năng lượng tiêu thụ.
3.1.1 Các yêu cầu cơ bản của hàm băm nhẹ
Tuy không có một khái niệm rõ ràng nào về hàm băm nhẹ, nhưng nó vẫn
phải tuẩn thủ những nguyên tắc cơ bản của một hàm băm thông thường. Ba yếu tố
dưới đây phải đảm bảo:
- Preimage resistant: Cho trước h việc tìm m sao cho h = hash(m) là rất khó.
Yêu cầu này để đảm bảo rằng việc dịch ngược hàm băm là rất khó. Khó đến mức
chi phí lớn hơn hoặc bằng chi phí thử sai thì hệ mật đó rất an toàn.
- Second preimage resistant: Cho thông điệp m1, việc tìm một thông
điệp m2 (khác m1) sao cho hash(m1) = hash(m2) là rất khó.
- Collision-resistant: Việc tìm 2 thông điệp khác nhau m1 và m2 sao cho
hash(m1) = hash(m2) là rất khó.
Hai điều kiện second preimage và collision resistant để đảm bảo rằng hai mã
băm của hai thông điệp không bị trùng nhau và cũng để hạn chế các cuộc tấn công
như tấn công ngày sinh nhật [2].
3.1.2 Động lực phát triển của hàm băm nhẹ
Hàm băm nhẹ là một nhánh nghiên cứu con trong mật mã nhẹ và là một
trong những nhánh quan trọng bậc nhất và cấp thiết nhất cho tới thời điểm hiện tại
bởi tính hữu dụng của nó.
Khi IoT phát triển, xung quanh ta có rất nhiều thiết bị muốn kết nối internet.
Từ những thiết bị gia dụng cho tới những phương tiện tham gia giao thông hay thẻ
T r a n g | 31
chip, thẻ từ. Để ý thấy, các thiết bị này đều là những thiết bị mang tính riêng tư, như
vậy ta cần bảo mật để không một ai khác ngoài chúng ta có thể kiểm soát. Mật khẩu
là một trong những cơ chế tốt nhất để bảo vệ tính cho tới thời điểm hiện tại. Mà mật
khẩu chính là một ứng dụng của hàm băm. Đặc điểm của phần lớn các thiết bị IoT
là bị giới hạn rất nhiều về nặng lượng tiêu thụ và khả năng tính toán, do đó đây
cũng chính là điểm mạnh của hàm băm nhẹ, là động lực thúc đẩy mật mã nhẹ nói
chung và hàm băm nhẹ nói riêng phát triển.
IoT có nghĩa là vạn vật kết nối với nhau và trao đổi thông tin. Làm sao để ta
có thể biết trong quá trình truyền tin của mình, tin tức không bị sửa đổi? Đây cũng
là một ứng dụng rất quan trọng của hàm băm là kiểm tra tính toàn vẹn của thông
điệp. Với IoT, hàm băm nhẹ tỏ ra hữu dụng hơn cả so với các hàm “nặng” truyền
thống trong việc kiểm tra tính toàn vẹn này.
Mặt khác, hàm băm nhẹ là một hàm băm nên có có đầy đủ tính chất của một
hàm băm. Đo đó, các ứng dụng của hàm băm thông thường thì hàm băm nhẹ đều có
thể áp dụng. Tuy nhiên, hàm băm nhẹ sẽ áp dụng cho các thiết bị bị giới hạn là chủ
yếu. Còn hàm băm truyền thống sẽ áp dụng cho các ứng dụng thông thường trên vi
tính hoặc điện thoại thông minh.
3.2 Ứng dụng của hàm băm nhẹ
Như tác giả đã trình bày ở phần triển vọng của hàm băm nhẹ, do hàm băm là
nhánh con của hàm băm nhẹ nên ứng dụng của nó cũng không ngoài ứng dụng của
hàm băm. Như vậy, ta có thể điểm qua một vài ứng dụng của hàm băm nhẹ như sau:
- Xác thực mật khẩu [2]: Đối với công nghệ IoT, mật khẩu là thứ không thể
tách rời. Mỗi người, mỗi vật đều có một định danh, một mật khẩu riêng khi tham
gia vào thế giới. Và với sự phát triển mạnh mẽ như hiện nay của công nghệ này thì
tương lai rất lớn của mật mã nhẹ là rất lớn. Và đặc biệt là hàm băm với ứng dụng
xác thực mật khẩu.
- Xác thực thông điệp [2]: Khi một thông điệp được gửi đi hay nhận về. Thật
khó khăn nếu như dữ liệu này vô cùng lớn và ta đem ra so sánh từng chữ một. Như
T r a n g | 32
vậy, việc ta sử dụng một hàm băm để băm rồi so sánh thì hiệu quả hơn gấp trăm vạn
lần. Chưa kể, còn có sai sót hoặc không thể tính được nếu như dữ liệu quá lớn và
năng lượng tiêu thụ của thiết bị lại bị giới hạn. Như vậy, ta cần tới hàm băm, tuy
nhiên lợi thế hơn rất nhiều khi ta dùng hàm băm nhẹ. Vì mục đích của ta chỉ đơn
giản là xác thực chứ không phải bảo mật nên hàm băm nhẹ hỗ trợ việc này tốt. Cộng
với việc hàm băm nhẹ thực hiện nhanh hơn hàm băm thông thường.
- Bảo vệ tính toàn vẹn của thông điệp [2]: khi gửi nhận trên mạng: Giống
như xác thực thông điệp thì việc bảo vệ tính toàn vẹn cần sự nhanh nhẹn khi băm và
khi so sánh. Do đó mà hàm băm nhẹ giúp ích vô cùng hiệu quả hơn các hàm băm
thông thường.
- Tạo và xác thực chữ ký điện tử [2]: Để biết ứng dụng của hàm băm nhẹ trong việc
tạo và xác thực chữ ký điện tử, ta có thể theo dõi hai hình ảnh phía bên dưới đây:
Hình 3.1: Tạo chữ ký điện tử
Hình 3.2: Xác thực chữ ký điện tử
T r a n g | 33
Qua hình 3.1 và 3.2 ta có thể thấy thông điệp được gửi đi sẽ kèm theo chữ ký điện
tử. Chữ ký này đại diện cho một người khi họ tham gia hoạt động nào đó như kí
nhận, gửi tin Thông thường, thông điệp gửi theo chữ ký cũng được mã hóa để
đảm bảo tính bí mật.
3.3 Thách thức của hàm băm nhẹ
Thách thức lớn nhất đối với hàm băm nhẹ nói riêng và mật mã nhẹ nói chung
là việc làm sao để đảm bảo chương trình nhẹ nhàng để cài đặt trên các thiết bị bị
giới hạn bởi năng lượng tiêu thụ và khả năng lưu trữ, đồng thời phải đảm bảo yếu tố
bảo mật và yếu tố hiệu suất.
Bởi xuất phát từ thực tế, các thiết bị cài đặt theo chuẩn của IoT phải rẻ để có
thể cài đặt ở mọi nơi, mọi vật. Nếu chi phí cài đặt cao so với chi phí thiết bị thì sẽ
không thiết bị nào dùng. Yếu tố hiệu suất cũng là một yếu tố được quan tâm không
kém so với chi phí, vì một thiết bị IoT mà khả năng chạy chương trình chậm thì việc
triển khai là bất khả thi. Vì phần lớn các thiết bị này không cần quá nhiều bảo mật,
và việc đưa bảo mật vào để giảm quá nhiều hiệu suất thì không thiết bị nào dùng
đến nữa. Và yếu tố cuối cùng là bảo mật. Mật mã nhẹ hay hàm băm nhẹ phải triển
khai được tính bảo mật thỏa mãn yêu cầu của thiết bị.
Như vậy, thách thức đối với mật mã nhẹ nói chung và hàm băm nhẹ nói riêng
là rất lớn, làm sao để tối đa bảo mật, tối đa hiệu suất nhưng lại giảm chi phí. Thách
thức lớn đồng thời cũng là một mỏ vàng để các nhà mật mã học khai thác.
3.4 Một số hàm băm nhẹ
Hàm băm Kích
thước
khối
Preimage Second
preimage
Collisions Công
nghệ sử
dụng
Bề mặt
(GE)
Thông
lượng
(Kb/s @
100kHz)
Năng
lượng
tiêu thụ
(µW)
ARMADILLO 80 280 280 240 0.18 µm 4030/2923 109/27
128 2128 2128 264 6025/4353 1000/250
PHOTON 80 264 240 240 0.18 µm 85/1168 2.82/15.15
QUARK 136 2128 264 264 0.18 µm 1379/2392 1.47/11.76 2.44/4.07
T r a n g | 34
SPONGENT 80 280 240 240 0.13 µm 738/1127 0.81/17.78 1.57/2.31
Bảng 3.1: Một số hàm băm nhẹ
Thông qua bảng 3.1 (các thông sô tham khảo từ tài liệu [8]) ta có thể thấy
được một số hàm băm nhẹ và các thông số đi kèm của nó. Dễ thấy, những hàm băm
này có độ bảo mật rất khá thể hiện qua các thông số “cryptographic properties”. Ví
dụ với hệ mật Armadillo, khối băm là 80 bit thì thông số preimage và second
preimage là 280 và collission là 240. Kế đến, ta có thể tham khảo thông số bề mặt và
thông lượng của hàm này tương ứng là 4030/2923 GE và 109/27 Kb/s tại 100 kHz
để biết được yêu cầu cài đặt không lớn do đó việc áp dụng vào các thiết bị IoT là rất
khả thi.
3.5 Hàm Băm của hệ mật PRESENT
Có rất nhiều lựa chọn để xây dựng một hàm băm 64 bit từ mã khối 64 bit.
Trong phần này, chúng ta tìm hiểu dựa trên công thức Davies-Mayer. Trong một vài
tài liệu sẽ lấy tiền tố DM- đặt trước hàm PRESENT và gọi là DM-PRESENT ám
chỉ hàm băm của hệ mật PRESENT sử dụng Davies-Mayer.
Công thức tính toán của chúng ta là:
H
= E (Hi, M) Hi
Trong đó H
là chuỗi băm đầu ra, E là hàm mã hóa, Hi là chuỗi đầu vào, là
khóa.
Trong phần này, tác giả sẽ trình bày những tìm hiểu của mình về DM-
PRESENT-80, tức là hàm băm của hệ mật PRESENT với khóa 80 bit. Hàm băm với
khóa 128 bit sẽ tương tự.
Qua hình 3.3 ta có thể thấy được chuỗi đầu vào và khóa đi qua khối “Block
cipher encryption” chính là đi qua PRESENT để thực hiện quá trình mã hóa. Kết
quả thu được ta tiếp tục đem XOR với chuỗi đầu vào để thu được một chuỗi băm.
T r a n g | 35
Hình 3.3 cho chúng ta thấy một cái nhìn trực quan hơn về kiến trúc của hàm
băm của hệ mật PRESENT theo cấu trúc Davies Mayer. Đầu vào là 64 bit, khóa 80
bit và đầu ra là 64 bit.
Hình 3.3: Cấu trúc băm sử dụng công thức Davies-Mayer
Để có cái nhìn trực quan hơn về kiến trúc băm của hàm băm của PRESENT,
ta có thể theo dõi hình 3.4: Kiến trúc của hàm băm PRESENT theo cấu trúc Davies
Mayer với đầu vào 64 bit và khóa 80 bit và hình 3.6 Sơ đồ tuần tự hàm băm của hệ
mật PRESENT theo công thức DaviesMayer và cấu trúc Merkle Damgard.
Trong trường hợp đầu vào có kích thước nhỏ hơn 64 bit, ta phải thực hiện
một thao tác đó là nối chiều dài vào đầu vào sao cho kích thước của khối sau cùng
là 64 bit. Giả sử thông điệp H có chiều dài là len(H) < 64 khi đó ta sẽ thực hiện
thêm 1 bit 1 vào sau cùng của chuỗi và 64 – 1 – len (H) bit 0 ngay sau bit 1 vừa
thêm vào.
T r a n g | 36
Hình 3.4: Kiến trúc của hàm băm PRESENT theo cấu trúc Davies Mayer với đầu
vào 64 bit và khóa 80 bit
Trong trường hợp đầu vào có kích thước lớn hơn 64 bit, ta phải sử dụng thêm
một cấu trúc rất phổ biến là Merkle Damgard để tóm tắt thông điệp.
Hình 3.5: Cấu trúc Merkle Damgard
Qua hình 3.5 ta có thể thấy, thông điệp đầu vào sẽ được chia thành các thông
điệp nhỏ hơn có chiều dài 64 bit. Nếu thông điệp cuối cùng có chiều dài nhỏ hơn 64
bit thì nó sẽ được gắn thêm một chuỗi bit vào đằng sau như trường hợp đầu tiên
phía bên trên. IV chính là vector khởi tạo, là khóa do người dùng cung cấp. Sau
vòng mã hóa đầu tiên, IV sẽ được cập nhật là 64 bit đầu ra gắn liền phía sau là 16
bit cuối cùng của khóa. Cứ như vậy thực hiện băm đến hết chiều dài của chuỗi đầu
vào, ta sẽ thu được chuỗi băm đầu ra có kích thước 64 bit.
Ví dụ: Băm chuỗi x = “NguyenKhacHung”
T r a n g | 37
DM-PRESENT (x) = 0011 0001 0011 1111 1000 1001 1010 0011 0101 0111
1011 1000 0100 1011 1001 1110
Trong hệ thập lục phân sẽ là DM-PRESENT (x) = 313f89a357b84b9e
Với hàm PRESENT 80 bit khóa, khối 64 bit thì số vòng trên mỗi khối là 32.
Cài đặt trên phần cứng tính toán được là: thông lượng: 200 Kbps tại 100KHz, sử
dụng công nghệ 0.18 micromet và số vòng đạt được 1570 [5]. Như vậy hàm
PRESENT rất thuận lợi để cài đặt trên phần cứng của các thiết bị IoT bị giới hạn
nhiều bởi lượng tiêu thụ và khả năng lưu trữ. Với độ bảo mật hiện tại đại diện là
preimage và second preimage của hàm nén PRESENT là 264 thì việc áp dụng hàm
này vào thực tế rất khả thi.
T r a n g | 38
Hình 3.6: Sơ đồ tuần tự hàm băm của hệ mật PRESENT theo công thức
DaviesMayer và cấu trúc Merkle Damgard
T r a n g | 39
Chương 4: THỰC NGHIỆM
Ở chương 4, tác giả tiến hành cài đặt thuật toán băm PRESENT theo cấu trúc
Merkle Damgard sau đó ứng dụng vào xác thực mật khẩu trên các app di động nền
tảng Android.
4.1 Mục đích thực nghiệm
Cài đặt và ứng dụng chương trình băm PRESENT vào các app di động.
Tương lai có thể áp dụng vào các thiết bị bị giới hạn bởi năng lượng tiêu thụ và khả
năng lưu trữ như Arduino.
4.2 Tiến hành thực nghiệm
4.2.1 Xây dựng chương trình băm PRESENT
Chương trình PRESENT bao gồm các pha tính toán khóa, addRoundKey,
như mã nguồn bên dưới. Chương trình tham khảo tại [15]. Ngoài ra, trên trang
lightweightcrypto.org còn chứa các mã nguồn khác của PRESENT theo các hướng
cài đặt tối ưu trên phần cứng với khóa 64 bit, 128 bit (có cả mã nguồn bổ sung của
S-Box 8 bit).
// ******************************************************************************
for(int round=0;round<32;round++){
subkey[round] = keyhigh; //61-bit shift trái
temp = keyhigh;
keyhigh <<= 61;
keyhigh |= (keylow<<45);
keyhigh |= (temp>>19);
keylow = (temp>>3)&0xFFFF;
temp = keyhigh>>60; //S-Box
keyhigh &= 0x0FFFFFFFFFFFFFFF;
temp = sBox4[temp];
keyhigh |= temp<<60;
keylow ^= ( ( (round+1) & 0x01 ) << 15 );
keyhigh ^= ( (round+1) >> 1 );
}
// ****************** Kết thúc pha tính toán khóa *************************************
T r a n g | 40
// ****************** Mã hóa *****************************************************
for(i=0;i<31;i++){
// ****************** Pha addRoundkey *********************************************
state ^= subkey[i];
// ****************** Kết thúc pha addRoundkey *************************************
// ****************** Pha sBoxLayer ***********************************************
for(sBoxNr=0; sBoxNr < 16; sBoxNr++){
sBoxValue = state & 0xF;
state &= 0xFFFFFFFFFFFFFFF0;
state |=sBox4[sBoxValue];
state = rotate4l_64(state);
}
// ****************** Kết thúc pha sBoxLayer ****************************************
// ****************** Pha pLayer **************************************************
temp = 0;
for(int k=0;k<64;k++){
int position = (16*k) % 63; // Hoán vị bit của p-Layer
if(k == 63) //Exception cho bit 63
position = 63;
temp |= ((state>>k) & 0x1) << position; //result writing
}
state=temp;
// ****************** Kết thúc pha pLayer *******************************************
}
// ****************** Hàm addRoundkey vòng thứ 32 **********************************
state ^= subkey[31];
// ******************************************************************************
// ****************** Băm chuỗi có độ dài nhỏ hơn 64 bit ******************************
if (len (H) < 64){
H = appendBit (H, len(H));
hashMess = hash (H, K);
} else if (len (H) > 64){ // Băm chuỗi có độ dài lớn hơn 64 bit, sử dụng Merkle Damgard
IteratorH = Merkle (H);
numOfH = len (H) % 64;
for (int i = 0; i < numOfH-1; i ++){
temp = hash (IteratorH[i], &K);
newKey = makeNewKey(temp, K);
T r a n g | 41
K = newKey;
hashMess = temp;
}
if (len (IteratorH[numOfH-1]) < 64)
{
H = appendBit (H, len(H));
}
hashMess = hash((IteratorH[numOfH-1]), K);
} else
{
hashMess = hash (H, K);
}
// ****************************** Kết thúc băm ************************************
4.2.2 Tích hợp vào app di động
Build hàm băm PRESENT theo dạng thư viện tĩnh sau đó thông qua Jni để
sử dụng như một thư viện của Java/Android. IDE sử dụng Android Studio ver 3.0.
Cấu trúc sử dụng như hình 4.1 bên dưới:
Hình 4.1: Sử dụng Jni như cầu nối để gọi qua lại giữa Java và C/C++
4.3 Kết quả thực nghiệm
Xây dựng chương trình Bom Báo. Chương trình này cho phép người dùng
lưu lại thời gian sự kiện cần nhắc nhở. Sau đó đến thời điểm đã được đặt sẵn,
chương trình sẽ thông báo cho người dùng. Chương trình băm PRESENT đảm bảo
chức năng bảo mật cho mã bảo vệ, giúp thông tin của người dùng không bị xâm
phạm. Chương trình Bom Báo, phần cài đặt mật khẩu và yêu cầu xác thực mật khẩu
thể hiện như hình 4.4: Sơ đồ tuần tự phần mật khẩu của chương trình Bom Báo.
T r a n g | 42
Chương trình được cài đặt như hình 4. 2 và 4.3:
Hình 4.2: Cài đặt chương trình bảo mật của hàm PRESENT
Hình 4.3: Cài đặt chương trình bảo mật của hàm PRESENT
T r a n g | 43
Hình 4.4: Sơ đồ tuần tự phần mật khẩu của chương trình Bom Báo
T r a n g | 44
KẾT LUẬN
Cùng với sự phát triển như vũ bão của công nghệ IoT thì mật mã nhẹ nói
chung và hàm băm nhẹ nói riêng sẽ được quan tâm rất nhiều trong những năm sắp
tới đây. Điều này đặt ra thách thức rất lớn cho lĩnh vực còn mới mẻ này là làm sao
để đảm nhiệm được sứ mệnh được giao? Tuy nhiên, nhìn sự phát triển 5 năm trở lại
đây thì ta có thể tin vào một tương lai cực kỳ rực rỡ.
Thách thức lớn nhất là làm sảo để đảm bảo được yếu tố bảo mật, đồng thời
chi phí thấp nhưng hiệu suất lại cao. Đây là ba yếu tố không thể đồng thời cùng đi
lên nên điều chúng ta cần làm là làm sao để cân bằng được 3 yếu tố này với thiết bị
cần áp dụng. Cũng chính vì thách thức lớn như vậy nên nó đồng thời lại là một mỏ
vàng lớn để những nhà mật mã học khai thác, để những nhà mật mã học thỏa sức
thể hiện tài năng của mình.
Trong luận văn này của mình, tác giả đề xuất phương án cải tiến S-Box để
tăng tính hỗn loạn. Điều này gây khó khăn trong việc giải mã của kẻ tấn công
nhưng lại không làm tăng độ phức tạp của thuật toán.
Hướng phát triển
- Cài đặt bảo mật trên các thiết bị Arduino và những thiết bị bị giới hạn.
Những thiết bị này được cài đặt các chương trình thu thập thông tin về thời
tiết như nhiệt độ và độ ẩm.
- Nghiên cứu mã khối 16 bit và 128 bit của hệ mật PRESENT để có thể áp
dụng vào bất cứ thiết bị nào được yêu cầu (thiết bị bị giới hạn hoặc là
không).
- Cài đặt PRESENT theo hai hướng: Hướng đàu tiên là tối ưu hóa tốc độ xử lý,
hướng thứ hai là tối ưu hóa không gian lưu trữ. Đưa ra đánh giá chi tiết về
hai hướng cài đặt này để cuối cùng có thể áp dụng vào các thiết bị cụ thể.
T r a n g | 45
CÔNG TRÌNH ĐÃ CÔNG BỐ
[1] Lê Phê Đô, Mai Mạnh Trừng, Nguyễn Khắc Hưng, Trần Văn Mạnh, Lê
Trung Thực, Lê Thị Len và Nguyễn Thị Hằng, Cải tiến mã khối hạng nhẹ họ LED
và Neokeon, Hội thảo quốc gia lần thứ XX, 11 – 2017, trang 41 - 48.
[2] Lê Phê Đô, Mai Mạnh Trừng, Lê Trung Thực, Nguyễn Thị Hằng, Vương
Thị Hạnh, Nguyễn Khắc Hưng, Đinh Thị Thúy và Lê Thị Len, Nghiên cứu một số
hệ mật mã nhẹ và ứng dụng trong IoT, Đặc san an toàn thông tin, 5 - 2017.
T r a n g | 46
TÀI LIỆU THAM KHẢO
Tài liệu tiếng việt
[1] Lê Phê Đô, Mai Mạnh Trừng, Nguyễn Khắc Hưng, Trần Văn Mạnh, Lê Trung
Thực, Lê Thị Len và Nguyễn Thị Hằng, Cải tiến mã khối hạng nhẹ họ LED và
Neokeon, Hội thảo quốc gia lần thứ XX, 11 – 2017, trang 41 - 48.
Tài liệu tiếng anh
[2] Joseph Sterling Grah, Hash Functions in Cryptography, 2008.
[3] Medha A. Bodas, Fibonacci sequences and the golden section, 2001.
[4] Wenling Wu and Shuang Wu and Lei Zhang and Jian Zou and Le Dong, LHash:
A Lightweight Hash Function.
[5] A. Bogdanov and L.R. Knudsen and G. Leander and C. Paar and A. Poschmann
and M.J.B. Robshaw and Y. Seurin and C. Vikkelsoe, Present: An Ultra-
Lightweight Block Cipher.
[6] Naofumi Homma and WG members, Cryptrec Cryptographic Technology
Guideline (Lightweight Cryptography), Mar – 2017.
[7] Jen Clark, IoT and the telecommunications industry, Sep 13 – 2016.
[8] https://www.cryptolux.org/index.php/Lightweight_Hash_Functions
[9] https://vi.wikipedia.org/wiki/Internet_V%E1%BA%A1n_V%E1%BA%ADt
[10] Axel York Poschmann, Cryptographic Engineering for Pervasive World, Feb
– 2009.
[11] Kerry A. McKay and Larry Bassham and Meltem Sonmez Turan and Nicky
Mouha, Report on Lightweight Cryptography, March 2017.
[12] Bogdanov, G. Leander, C. Paar and A. Poschmann and M.J.B Robshaw and Y.
Seurin, Hash Function and RFID Tag: Mind the Gap 2008.
T r a n g | 47
[13] Zhijie Shi and Chujiao Ma and Jordan Cote and Bing Wang, Hardware
implementation of hash function, 2013.
[14] https://en.oxforddictionaries.com/definition/internet_of_things
[15]
T r a n g | 48
PHỤ LỤC
Các file đính kèm theo tài liệu này:
- luan_van_ham_bam_trong_mat_ma_hang_nhe.pdf