Må krypterings- og dekrypteringsfunksjonene holdes hemmelige for at kryptografiprotokollen skal forbli sikker?

Sikkerhetsmodellen som ligger til grunn for moderne kryptografi er basert på flere veletablerte prinsipper, hvorav det fremste er Kerckhoffs' prinsipp. Dette prinsippet hevder at sikkerheten til en kryptografisk protokoll utelukkende skal avhenge av nøkkelens hemmelighold, ikke av algoritmene som brukes til kryptering eller dekryptering.

Derfor, for å besvare spørsmålet: Nei, krypterings- og dekrypteringsfunksjonene i seg selv trenger ikke å holdes hemmelige for at kryptografiprotokollen skal forbli sikker.

Teoretisk grunnlag

Kerckhoffs' prinsipp, formulert på 19-tallet, sier: «Et kryptosystem bør være sikkert selv om alt om systemet, bortsett fra nøkkelen, er offentlig kjent.» Dette konseptet gir en grunnleggende retningslinje for moderne kryptografisk praksis. Resonnementet er at hvis sikkerheten til en protokoll avhenger av algoritmenes uklarhet, blir systemet sårbart når disse algoritmene oppdages, analyseres eller reverskonstrueres. Hvis derimot bare nøkkelen må holdes hemmelig, forblir systemet sikkert selv om en motstander kjenner til alle detaljer i algoritmen.

Praktiske implikasjoner

Moderne kryptografiske protokoller, som de som brukes i Advanced Encryption Standard (AES), Rivest–Shamir–Adleman (RSA) og Elliptic Curve Cryptography (ECC), er alle utformet med offentlige algoritmer. Disse algoritmene er bredt publisert, gransket av det akademiske og profesjonelle miljøet, og utsatt for grundig analyse for å sikre at det ikke finnes noe gjennomførbart angrep, forutsatt at nøkkelen forblir hemmelig og tilstrekkelig sterk.

Åpen publisering av kryptografiske algoritmer tjener flere formål:

1. Fagfellevurdering og validering: Offentlige algoritmer drar nytte av omfattende fagfellevurdering, som bidrar til å identifisere og løse potensielle sårbarheter før bred adopsjon.
2. Interoperabilitet: Når algoritmer er offentlig tilgjengelige, kan ulike leverandører implementere kompatible systemer, noe som legger til rette for utbredt og sikker kommunikasjon.
3. Troverdighet: Åpne algoritmer lar brukere vurdere sikkerhetsegenskapene uavhengig, noe som reduserer risikoen for skjulte feil eller bevisste bakdører.

Historisk sammenheng

Historisk sett var noen kryptografiske systemer avhengige av algoritmens hemmelighold for sikkerhet (såkalt «sikkerhet gjennom obskuritet»). Et kjent eksempel er Enigma-maskinen som ble brukt av Tyskland under andre verdenskrig. Sikkerheten var ikke bare avhengig av nøkkelen (de daglige rotorinnstillingene), men også av hemmeligholdet til maskinens indre virkemåte. Da allierte kryptanalytikere rekonstruerte Enigmas mekanisme, ble systemets sikkerhet dramatisk svekket.

I moderne tid frarådes det sterkt å bruke hemmelige algoritmer. Proprietære eller udokumenterte algoritmer har større sannsynlighet for å inneholde uoppdagede sårbarheter og kan ikke dra nytte av den kollektive ekspertisen til kryptografimiljøet.

Symmetrisk vs. asymmetrisk kryptografi

Både symmetriske (f.eks. AES, DES) og asymmetriske (f.eks. RSA, ECC) kryptografiske systemer følger prinsippet om at algoritmen kan være offentlig kjent uten at det går på bekostning av sikkerheten. I symmetrisk kryptografi brukes den samme nøkkelen til både kryptering og dekryptering. I asymmetrisk kryptografi krypterer en offentlig nøkkel data, mens en privat nøkkel dekrypterer dem. Sikkerheten i begge tilfeller er basert på at det ikke er mulig å utlede nøkkelen (eller den private nøkkelen i det asymmetriske tilfellet) gitt algoritmen og krypteringsteksten.

For eksempel er spesifikasjonen for AES publisert som FIPS 197 av NIST. Hvem som helst kan laste ned standarden og implementere algoritmen. Sikkerheten til en AES-kryptert melding avhenger helt av nøkkelens hemmelighold og uforutsigbarhet, ikke av algoritmens hemmelighold.

Algoritmekonfidensialitet: Risikoer og begrensninger

Å holde krypterings- eller dekrypteringsfunksjonene hemmelige medfører flere risikoer:

- Mangel på åpenhet: Lukkede algoritmer kan ikke evalueres uavhengig for sikkerhet, noe som øker risikoen for uoppdagede sårbarheter eller bevisste svakheter.
- Omvendt konstruksjon: Med tilstrekkelig tilgang til krypterte og dekrypterte data kan en motstander ofte rekonstruere algoritmen, og dermed fjerne enhver fordel oppnådd ved hemmelighold.
- Kompleksiteten i nøkkelhåndtering: Hvis både algoritmen og nøkkelen må holdes hemmelige, blir logistikken for sikker distribusjon og lagring betydelig mer utfordrende.
- Foreldelse og ufleksibilitet: Hvis en hemmelig algoritme kompromitteres, kan det hende at hele systemet må byttes ut, mens nøkkelkompromittering i et offentlig algoritmesystem kan avhjelpes ved å utstede nye nøkler.

Eksempler

1. AES (Advanced Encryption Standard): Algoritmen er offentlig, fagfellevurdert og bredt implementert. Sikkerheten ligger utelukkende i nøkkelens hemmelighold.
2. RSA (Rivest–Shamir–Adleman): Algoritmen for kryptering og dekryptering er offentlig. Den private nøkkelen må forbli hemmelig; den offentlige nøkkelen og algoritmen er åpne.
3. Cæsar-kryptering: En av de enkleste klassiske chifferene, hvor funksjonen (skiftende bokstaver) er lett å oppdage. Sikkerheten var avhengig av skiftmengden, men i praksis blir slike chiffere trivielt ødelagt når funksjonen er kjent på grunn av deres svake design.
4. Proprietære algoritmer (f.eks. DVD Content Scramble System – CSS): CSS forsøkte å holde algoritmen hemmelig, men den ble omvendt konstruert. Så snart algoritmen ble kjent, ble sikkerhetssvakhetene raskt utnyttet.

Didaktisk verdi

Å lære å forstå prinsippet om at kryptografisk sikkerhet utelukkende bør avhenge av nøkkelen, snarere enn algoritmehemmelighet, gir flere pedagogiske fordeler:

- Fremmer robust design: Studenter og praktikere utvikler systemer som er motstandsdyktige mot eksponering, noe som reduserer avhengigheten av uklarhet.
- Oppmuntrer til åpenhet: Det støtter den vitenskapelige prosessen, der åpen diskusjon og analyse styrker sikkerhetspåstander.
- Utvikler motstridende tenkning: Elevene forstår at motstandere ofte har betydelige ressurser og kan innhente algoritmedetaljer, så systemer må konstrueres deretter.
- Fremhever viktigheten av nøkkelhåndtering: Effektiv sikkerhetsopplæring fokuserer på riktig nøkkelgenerering, distribusjon og lagring, som er de faktiske svake punktene i mange systemer i den virkelige verden.

Moteksempler og avklaringer

Det finnes situasjoner der proprietære eller hemmelige algoritmer brukes, ofte i applikasjoner der kryptografi er innebygd i maskinvare eller i begrensede miljøer der det gjelder lisens- eller regulatoriske hensyn. Slike systemer anses imidlertid generelt som mindre sikre enn de som bruker velprøvde offentlige algoritmer. Sikkerhet gjennom obskuritet kan gi en midlertidig fordel, men den kan ikke erstatte god kryptografisk design.

I noen militære eller etterretningsmessige sammenhenger kan proprietære algoritmer brukes til å forsinke motstandere, men dette er vanligvis et ekstra lag snarere enn grunnlaget for sikkerhet.

Algoritmehemmelighetens rolle i sikkerhet

Selv om standardpraksis og anbefalt praksis er å anta at algoritmer vil bli kjent, kan det være operative grunner til å holde visse detaljer private i en begrenset periode (f.eks. nye kryptografiske konstruksjoner som ennå ikke er standardiserte). Å stole på langsiktig hemmelighold av algoritmer er imidlertid i strid med beste praksis innen kryptografi.

Når man underviser i eller designer kryptografiske systemer, er det best å anta at motstandere har full kunnskap om krypterings- og dekrypteringsprosessene. Denne tankegangen sikrer at bare hemmeligholdet til nøkkelen står mellom et sikkert system og kompromiss, i samsvar med Kerckhoffs' prinsipp og moderne sikkerhetsbegreper.

Kryptografisk sikkerhet bør ikke, og er i praksis ikke, avhengig av hemmeligholdet til krypterings- og dekrypteringsfunksjonene. Styrken til en kryptografisk protokoll måles ved dens evne til å motstå angrep selv når algoritmene er fullt ut avslørt og tilgjengelige for analyse av alle. Ved å følge dette prinsippet oppnår kryptografiske systemer høyere nivåer av sikkerhet, tillit og robusthet.

Andre nyere spørsmål og svar vedr Grunnleggende om EITC/IS/CCF klassisk kryptografi:

• Ble offentlig nøkkelkryptografi introdusert for bruk i kryptering?
• Refereres settet med alle mulige nøkler i en bestemt kryptografisk protokoll til som nøkkelrommet i kryptografi?
• I en skiftchiffer, erstattes bokstavene på slutten av alfabetet med bokstaver fra begynnelsen av alfabetet i henhold til modulær aritmetikk?
• Hva bør en blokkchiffer inneholde ifølge Shannon?
• Ble DES-protokollen introdusert for å forbedre sikkerheten til AES-kryptosystemer?
• Avhenger sikkerheten til blokkchiffer av å kombinere forvirrings- og diffusjonsoperasjoner mange ganger?
• Kan kryptanalyse brukes til å kommunisere sikkert over en usikker kommunikasjonskanal?
• Tilhører internett, GSM og trådløse nettverk de usikre kommunikasjonskanalene?
• Er et uttømmende nøkkelsøk effektivt mot substitusjonschiffere?
• Inkluderer AES MixColumn-underlaget en ikke-lineær transformasjon som kan representeres av en 4×4-matrisemultiplikasjon?

Se flere spørsmål og svar i EITC/IS/CCF Classical Cryptography Fundamentals

Flere spørsmål og svar:

• Field: Cybersecurity
• program: Grunnleggende om EITC/IS/CCF klassisk kryptografi (gå til sertifiseringsprogrammet)
• Lekse: Introduksjon (gå til relatert leksjon)
• Emne: Introduksjon til kryptografi (gå til relatert emne)