cs642 computer security
play

CS642: Computer Security Professor Ristenpart - PowerPoint PPT Presentation

Aug 13, 2022 •215 likes •494 views

Diffie-Hellman, Side-channels, RNGs CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University

  1. Diffie-­‑Hellman, ¡ Side-­‑channels, ¡ RNGs ¡ CS642: ¡ ¡ Computer ¡Security ¡ Professor ¡Ristenpart ¡ h9p://www.cs.wisc.edu/~rist/ ¡ rist ¡at ¡cs ¡dot ¡wisc ¡dot ¡edu ¡ University ¡of ¡Wisconsin ¡CS ¡642 ¡

  2. Diffie-­‑Hellman ¡math ¡ Let ¡p ¡be ¡a ¡large ¡prime ¡number ¡ Fix ¡the ¡group ¡G ¡ ¡= ¡ ¡ Z p ¡ ¡= ¡{1,2,3,…, ¡p-­‑1} ¡ * ¡ ¡ Then ¡G ¡ ¡is ¡ cyclic . ¡This ¡means ¡one ¡can ¡give ¡a ¡ ¡ member ¡g ¡ ¡ ¡ ¡G ¡ ¡, ¡called ¡the ¡generator, ¡such ¡that ¡ ¡ ¡ ∈ ¡ G ¡= ¡{ ¡g 0 , ¡g 1 , ¡ ¡g 2 , ¡… ¡, ¡g p-­‑1 ¡ } ¡ ¡ * ¡ Example: ¡ ¡p ¡= ¡7. ¡Is ¡2 ¡or ¡3 ¡a ¡generator ¡for ¡ Z 7 ¡ ¡ ? ¡ x ¡ 0 ¡ 1 ¡ 2 ¡ 3 ¡ 4 ¡ 5 ¡ 6 ¡ 2 x ¡mod ¡7 ¡ 1 ¡ 2 ¡ 4 ¡ 1 ¡ 2 ¡ 4 ¡ 1 ¡ 3 x ¡mod ¡7 ¡ 1 ¡ 3 ¡ 2 ¡ 6 ¡ 4 ¡ 5 ¡ 1 ¡

  3. Textbook ¡exponen^a^on ¡ Let ¡G ¡ ¡be ¡cyclic ¡group. ¡ ¡ How ¡do ¡we ¡compute ¡h x ¡ ¡for ¡any ¡ ¡h ¡ ¡ ¡ ¡G? ¡ ∈ ModExp(h,x) ¡ SqrAndMulExp(h,x) ¡ X’ ¡= ¡h ¡ b k ,…,b 0 ¡= ¡x ¡ For ¡i ¡= ¡2 ¡to ¡x ¡ ¡do ¡ f ¡= ¡1 ¡ ¡X’ ¡= ¡X’*h ¡ For ¡i ¡= ¡k ¡down ¡to ¡0 ¡do ¡ Return ¡X’ ¡ ¡f ¡= ¡f 2 ¡ ¡mod ¡N ¡ ¡If ¡b i ¡= ¡1 ¡then ¡ ¡ ¡f ¡= ¡f*h ¡ Requires ¡^me ¡O(|G|) ¡in ¡ ¡ Return ¡f ¡ worst ¡case. ¡ ¡ ¡ Requires ¡^me ¡O(k) ¡mul^plies ¡and ¡ ¡ squares ¡in ¡worst ¡case. ¡ ¡

  4. SqrAndMulExp(h,x) ¡ X 2 i x = b k ,…,b 0 ¡= ¡x ¡ f ¡= ¡1 ¡ b i 6 =0 For ¡i ¡= ¡k ¡down ¡to ¡0 ¡do ¡ ¡f ¡= ¡f 2 ¡ ¡mod ¡N ¡ bi 6 =0 2 i = h 2 i P Y h x = h ¡If ¡b i ¡= ¡1 ¡then ¡ ¡ ¡f ¡= ¡f*h ¡ b i 6 =0 Return ¡f ¡ h 11 ¡= ¡ ¡ ¡h 8+2+1 ¡ ¡ = ¡h 8 ¡ ¡ Ÿ ¡h 2 ¡ Ÿ ¡h ¡ ¡ f 3 ¡= ¡1 ¡ Ÿ ¡h ¡ ¡ b 3 ¡= ¡1 ¡ b 2 ¡= ¡0 ¡ f 2 ¡= ¡h 2 ¡ ¡ ¡ f 1 ¡= ¡(h 2 ) 2 ¡ Ÿ ¡h ¡ ¡ b 1 ¡= ¡1 ¡ = ¡ ¡ ¡h 8 ¡ Ÿ ¡h 2 ¡ Ÿ ¡h ¡ ¡ f 0 ¡= ¡(h 4 ¡ Ÿ ¡h) 2 ¡ Ÿ ¡h ¡ ¡ b 1 ¡= ¡1 ¡

  5. The ¡discrete ¡log ¡problem ¡ Fix ¡a ¡cyclic ¡group ¡G ¡with ¡generator ¡g ¡ ¡ Pick ¡x ¡at ¡random ¡from ¡ Z |G| ¡ ¡ Give ¡adversary ¡g, ¡X ¡= ¡g x ¡. ¡Adversary’s ¡goal ¡is ¡to ¡compute ¡x ¡ easy ¡ x ¡ g x ¡ hard ¡

  6. The ¡discrete ¡log ¡problem ¡ Fix ¡a ¡cyclic ¡group ¡G ¡with ¡generator ¡g ¡ ¡ Pick ¡x ¡at ¡random ¡from ¡ Z |G| ¡ ¡ Give ¡adversary ¡g, ¡X ¡= ¡g x ¡. ¡Adversary’s ¡goal ¡is ¡to ¡compute ¡x ¡ Very ¡slow ¡for ¡large ¡groups! ¡ A (X): ¡ O (|G|) ¡ ¡ for ¡i ¡= ¡2 ¡, ¡… ¡, ¡ ¡|G|-­‑1 ¡do ¡ ¡ ¡if ¡X ¡ ¡= ¡g i ¡then ¡ ¡ Baby-­‑step ¡giant-­‑step ¡is ¡be9er: ¡ ¡ ¡Return ¡i ¡ O (|G| 0.5 ) ¡ Nothing ¡faster ¡is ¡known ¡for ¡some ¡ groups. ¡ ¡

  7. Diffie-­‑Hellman ¡Key ¡Exchange ¡ X ¡ Y ¡ Pick ¡random ¡x ¡from ¡ Z |G| ¡ Pick ¡random ¡y ¡from ¡ Z |G| ¡ X ¡= ¡g x ¡ Y ¡= ¡g y ¡ K ¡= ¡H(Y x ) ¡ K ¡= ¡H(X y ) ¡ Y x ¡ ¡ = ¡g yx ¡= ¡g xy ¡= ¡X y ¡ ¡ Get ¡the ¡same ¡key. ¡Why? ¡ ¡ ¡ ¡ What ¡type ¡of ¡security ¡does ¡this ¡protocol ¡provide? ¡

  8. Computa^onal ¡Diffie-­‑Hellman ¡Problem ¡ Fix ¡a ¡cyclic ¡group ¡G ¡with ¡generator ¡g ¡ ¡ Pick ¡x,y ¡both ¡at ¡random ¡ Z |G| ¡ ¡ Give ¡adversary ¡ ¡g, ¡X ¡= ¡g x ¡, ¡Y ¡= ¡g y . ¡ ¡ Adversary ¡must ¡compute ¡g xy ¡ For ¡most ¡groups, ¡best ¡known ¡algorithm ¡finds ¡ ¡ discrete ¡log ¡of ¡X ¡or ¡Y. ¡ ¡ But ¡we ¡have ¡no ¡proof ¡that ¡this ¡is ¡best ¡approach. ¡

  9. TLS ¡handshake ¡for ¡ Diffie-­‑Hellman ¡Key ¡Exchange ¡ Client ¡ Server ¡ ClientHello, ¡MaxVer, ¡Nc, ¡Ciphers/CompMethods ¡ Pick ¡random ¡Nc ¡ Pick ¡random ¡Ns ¡ Check ¡CERT ¡ ServerHello, ¡Ver, ¡Ns, ¡SessionID, ¡Cipher/CompMethod ¡ using ¡CA ¡public ¡ Pick ¡random ¡x ¡ CERT ¡= ¡(pk s ¡, ¡signature ¡over ¡it) ¡ verifica^on ¡key ¡ X ¡= ¡g x ¡ p ¡, ¡g ¡, ¡X ¡, ¡ ¡ ¡σ ¡ ¡= ¡Sign(sk s , ¡p ¡|| ¡g ¡|| ¡X) ¡ ¡ Check ¡σ ¡ Pick ¡random ¡y ¡ Y ¡ Y ¡= ¡g y ¡ PMS ¡= ¡g xy ¡ ChangeCipherSpec, ¡ ¡ PMS ¡= ¡g xy ¡ { ¡Finished, ¡PRF(MS, ¡“Client ¡finished” ¡|| ¡H(transcript)) ¡} ¡ ¡ ¡ ChangeCipherSpec, ¡ ¡ Bracket ¡nota^on ¡ { ¡Finished, ¡PRF(MS, ¡“Server ¡finished” ¡|| ¡H(transcript’)) ¡} ¡ ¡ ¡ means ¡contents ¡ ¡ encrypted ¡ MS ¡<-­‑ ¡PRF(PMS, ¡“master ¡secret” ¡|| ¡Nc ¡|| ¡Ns ¡) ¡

  10. Side-­‑channel ¡a9acks ¡ • Implementa^ons ¡might ¡leak ¡informa^on ¡ about ¡secret ¡internal ¡state ¡via ¡side-­‑channels: ¡ – power ¡consump^on ¡ – Electromagne^c ¡emana^ons ¡(Tempest) ¡ – ^ming ¡ – Shared ¡physical ¡resources ¡(CPU ¡cache) ¡

  11. PKCS ¡#1 ¡RSA ¡encryp^on ¡ Kg ¡outputs ¡(N,e),(N,d) ¡ ¡ ¡where ¡|N| 8 ¡= ¡n ¡ ¡ Let ¡B ¡= ¡{0,1} 8 ¡ / ¡{00} ¡ ¡be ¡set ¡of ¡all ¡bytes ¡except ¡00 ¡ Want ¡to ¡encrypt ¡messages ¡of ¡length ¡|M| 8 ¡= ¡m ¡ (N,e) ¡ Enc((N,e), ¡M, ¡R) ¡ pad ¡= ¡ ¡first ¡n ¡-­‑ ¡m ¡-­‑ ¡2 ¡bytes ¡from ¡R ¡that ¡ R ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡are ¡in ¡B ¡ Enc ¡ C ¡ Y ¡= ¡00 ¡|| ¡02 ¡|| ¡pad ¡|| ¡00 ¡|| ¡M ¡ M ¡ Return ¡Y e ¡mod ¡N ¡ Dec((N,d), ¡C ¡) ¡ (N,d) ¡ Y ¡= ¡C d ¡mod ¡N ¡ ¡ ¡ ¡; ¡ ¡aa||bb||w ¡= ¡Y ¡ If ¡(aa ¡≠ ¡00) ¡or ¡(bb ¡≠ ¡02) ¡or ¡(00 ¡ ¡ ¡w) ¡ / M ¡or ¡ ¡ ∈ C ¡ Dec ¡ ¡ ¡ ¡ ¡ ¡Return ¡error ¡ error ¡ pad ¡|| ¡00 ¡|| ¡M ¡= ¡w ¡ Return ¡M ¡

  12. SqrAndMulExp(C,d,N) ¡ But: ¡ b k ,…,b 0 ¡= ¡d ¡ Squaring ¡and ¡mul^plying ¡take ¡ f ¡= ¡1 ¡ different ¡amounts ¡of: ¡ For ¡i ¡= ¡k ¡down ¡to ¡0 ¡do ¡ 1) power ¡ S ¡ ¡f ¡= ¡f 2 ¡ ¡mod ¡N ¡ 2) ^me ¡ ¡If ¡b i ¡= ¡1 ¡then ¡ M ¡ 3) instruc^on ¡cache ¡sets ¡ ¡ ¡f ¡= ¡f*C ¡mod ¡N ¡ Return ¡f ¡ S ¡M ¡S ¡S ¡M ¡S ¡M ¡ d ¡= ¡? ¡ ¡ ¡1 ¡ ¡ ¡ ¡0 ¡ ¡ ¡1 ¡ ¡ ¡ ¡ ¡ ¡1 ¡ d ¡= ¡11 ¡

  13. SqrAndMulExp(X,e,N) ¡ But: ¡ b k ,…,b 0 ¡= ¡e ¡ Squaring ¡and ¡mul^plying ¡take ¡ f ¡= ¡1 ¡ different ¡amounts ¡of: ¡ For ¡i ¡= ¡k ¡down ¡to ¡0 ¡do ¡ 1) power ¡ ¡f ¡= ¡f 2 ¡ ¡mod ¡N ¡ 2) ^me ¡ ¡If ¡b i ¡= ¡1 ¡then ¡ 3) instruc^on ¡cache ¡sets ¡ ¡ ¡f ¡= ¡f*X ¡mod ¡N ¡ Return ¡f ¡ From ¡Messerges ¡et ¡al. ¡1999: ¡ Exponentiation Power Signal: Multiplication Power Signal: Multiply Multiply Square . . . Square Square Cross-Correlation Signal: Fig. 2. Cross-Correlation of Multiplication and Exponentiation Power Signals The above signals were obtained using the power analysis equipment described in Section 4. The signals were averaged for 5,000 exponentiations using a constant input value. The results

  14. SqrAndMulExp(X,e,N) ¡ But: ¡ b k ,…,b 0 ¡= ¡e ¡ Squaring ¡and ¡mul^plying ¡take ¡ f ¡= ¡1 ¡ different ¡amounts ¡of: ¡ For ¡i ¡= ¡k ¡down ¡to ¡0 ¡do ¡ 1) power ¡ ¡f ¡= ¡f 2 ¡ ¡mod ¡N ¡ 2) ^me ¡ ¡If ¡b i ¡= ¡1 ¡then ¡ 3) instruc^on ¡cache ¡sets ¡ ¡ ¡f ¡= ¡f*X ¡mod ¡N ¡ Return ¡f ¡ Time: ¡ Remote ¡^ming ¡a9acks ¡against ¡TLS ¡ ¡(Boneh, ¡Brumley ¡2003) ¡ ¡ Chosen ¡ciphertexts ¡+ ¡^ming ¡= ¡key ¡extrac^on ¡ ¡ ~1 ¡million ¡queries ¡(though ¡highly ¡variable) ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from Mitchell, Boneh,

599 views • 36 slides
Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from Mitchell, Boneh,

578 views • 34 slides
CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From

CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From

X86 Review Process Layout, ISA, etc. CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From Last Week ACL-based permissions (UNIX style)

672 views • 28 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

933 views • 37 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

811 views • 54 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

576 views • 38 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

827 views • 39 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

636 views • 40 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

630 views • 51 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

985 views • 53 slides
CS642: Computer Security Professor Ristenpart

CS642: Computer Security Professor Ristenpart

Low-level soEware vulnerability protecGon mechanisms CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot

733 views • 55 slides
CS642: Computer Security Professor Ristenpart

CS642: Computer Security Professor Ristenpart

Low-level soEware vulnerability protecGon mechanisms CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot

919 views • 47 slides
Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS

603 views • 42 slides
Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS

606 views • 41 slides
TCP/IP security CS642: Computer Security Professor Ristenpart

TCP/IP security CS642: Computer Security Professor Ristenpart

TCP/IP security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

931 views • 56 slides
Cloud security CS642: Computer Security Professor Ristenpart

Cloud security CS642: Computer Security Professor Ristenpart

Cloud security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

354 views • 33 slides
Privacy-Invasive Software and Preventive Mechanisms Martin Boldt School of Engineering Blekinge

Privacy-Invasive Software and Preventive Mechanisms Martin Boldt School of Engineering Blekinge

Privacy-Invasive Software and Preventive Mechanisms Martin Boldt School of Engineering Blekinge Institute of Technology S-372 25 Ronneby Sweden martin.boldt@bth.se The Spyware Problem (i) According to Earthlink (an American ISP) 55% of

298 views • 18 slides
WRITING MULTI - PLATFORM SPYWARE *DISCLAIMER* this talk is about techniques, not actions. You and

WRITING MULTI - PLATFORM SPYWARE *DISCLAIMER* this talk is about techniques, not actions. You and

WRITING MULTI - PLATFORM SPYWARE *DISCLAIMER* this talk is about techniques, not actions. You and ONLY you are responsible for what you do. MISSION: the job of spy ware, is to spy, the goal of the spy ware operator is to spy on humans... the

579 views • 33 slides
!&quot;#$%&amp;'%()*+,*-*)./0*'$ /'0&amp;1',2# !&quot;#$&quot;%&amp;&amp;' (##&quot;)*+%,#&quot;-

!&quot;#$%&amp;'%()*+,*-*)./0*'$ /'0&amp;1',2# !&quot;#$&quot;%&amp;&amp;' (##&quot;)*+%,#&quot;-

!&quot;#$%&quot;$&amp;'%(&amp;)(*&quot;'+#,%&amp;-,. !&quot;#$%&amp;'%()*+,*-*)./0*'$ /'0&amp;1',2# !&quot;#$&quot;%&amp;&amp;' (##&quot;)*+%,#&quot;- !&quot;#$%&amp;'()$*+,)#-.$&amp;/$0+1#2+#3 !&quot;#$%&amp;'%()'$#&amp;*#+,-%.-/-,012-*$3

1.09k views • 51 slides
Better Stream Processing with Python Taking the Hipster out of Streaming Andreas Heider, Robert

Better Stream Processing with Python Taking the Hipster out of Streaming Andreas Heider, Robert

Better Stream Processing with Python Taking the Hipster out of Streaming Andreas Heider, Robert Wall 12.07.2017 EuroPython Who are we? Developers at Winton Winton is a global investment management and data science company, founded in

219 views • 20 slides
Introduction CMSC 414: Computer and Network Security Spring 2016 What is computer &amp; network

Introduction CMSC 414: Computer and Network Security Spring 2016 What is computer &amp; network

Introduction CMSC 414: Computer and Network Security Spring 2016 What is computer &amp; network security? Normally, we are concerned with correctness Does the software achieve the desired behavior? Security is a form of correctness

682 views • 47 slides
Do not track as a driver for transparency of social networking advertisement practices?

Do not track as a driver for transparency of social networking advertisement practices?

Do not track as a driver for transparency of social networking advertisement practices? Jens Grossklags The Pennsylvania State University W3C Do-Not-Track 1 What information is made available? Details of the offer Information

497 views • 5 slides
All your family secrets belong to us - Worrisome security issues in tracker apps Siegfried

All your family secrets belong to us - Worrisome security issues in tracker apps Siegfried

All your family secrets belong to us - Worrisome security issues in tracker apps Siegfried Rasthofer | Fraunhofer SIT, Germany Stephan Huber | Fraunhofer SIT, Germany DefCon26, August 11 th 2018 Who are we? Stephan Siegfried Security

1.84k views • 155 slides
Runtime verification meets Android security Gil Vegliach Joint work with Andreas Bauer and

Runtime verification meets Android security Gil Vegliach Joint work with Andreas Bauer and

Runtime verification meets Android security Gil Vegliach Joint work with Andreas Bauer and Jan-Christoph K uster Background, what Android is Developed by Android Inc. (acquired by Google in 2005) Open Handset Alliance (founded in 2007)

161 views • 15 slides

More recommend