Mjukvarurealiserad bildtelefoni

Transkript

1 Mjukvarurealiserad bildtelefoni Examensarbete 20p, Umeå Universitet P-O Östberg

2 Abstract With the ever increasing popularity of the Internet a staggering increase in the number of computer users has followed the last five years. The daily lives and communication patterns of ordinary people have been forever altered by the presence of computers in the home as well as in the workplace. Today there are few people in the developed world who have not heard of the Internet or used it, the question is no longer if the internet will change the way we communicate but how it has changed it and how it in the future will change it. This thesis, which has been produced at Umeå University, attempts to provide a glimpse of the theories and techniques used in construction of image based communication tools for use on the Internet. The focus has been directed toward image based telephony systems and how these can be produced without the support of dedicated hardware. The thesis consists of three main parts: it starts off with a short introduction to the field of image based telephony, continues with a theoretical overview of (image) compression and cryptography respectively, and concludes with a model for a software realised image based telephony system. Hopefully it will serve as a comprehensive introduction to the field for the interested reader. 2

3 Innehållsförteckning Abstract 2 Innehållsförteckning 3 Inledning 4 Bildtelefoni 6 Komprimering och kryptering som företeelser 8 Kryptering 9 Symmetrisk kryptering 12 Asymmetrisk kryptering 15 Komprimering 21 Redundans 23 Förlustfri komprimering 24 Dataförstörande komprimering 26 Frekvensdomänanalys 30 Transformbaserad komprimering 33 Transformbaserad bildkompression med DCT 36 Trunkering av transformkoefficienter 39 Kvantifiering av transformkoefficienter 43 Modellbaserad komprimering 44 Spektral redundans 46 Temporal redundans 48 Ett bildtelefonisystem 51 Bildkälla 53 Komprimeringsmodul 57 Krypteringssystem 62 Kommunikationsstack 64 Implementation 66 Slutsatser 70 Ordlista 73 Källhänvisningar 75 Appendix A Systembeskrivning kompressionsmodul 77 Appendix B Interaktiva demonstrationer 86 Pad Demo 87 Block Demo 88 DCT Demo 89 Quantization Demo 90 Frame Compression Demo 91 Stream Compression Demo 93 Animated Stream Compression Demo 94 3

4 Inledning Detta examensarbete har utförts som en del av civilingenjörsutbildningen Teknisk Datavetenskap 180p vid Umeå Universitet och omfattar 20 högskolepoäng, motsvarandes en termins heltidsstudier. Ämnesområdet har valts av författaren själv, efter personligt intresse för de involverade teknikerna och inte på uppdrag av någon extern organisation eller intressegrupp. Mål Detta arbete studerar i första hand de olika delar som ingår i mjukvarurealiserade applikationer för bildtelefoni, med fördjupning mot ämnesområdena bildbehandling (framförallt bildkompression) samt säkerhet. Målet med detta arbete har varit att studera och öka studentens förståelse för några av de metoder och komponenter som vanligen ingår i dagens system för visuell kommunikation. Arbetets fokus har medvetet förlagts mot studier av teorierna snarare än produktionen av en prototyp för ett sådant system. Metod I tidsdispositionen för detta arbete har en stor del av arbetstiden förlagts gentemot studier av teorier och implementationsdetaljer hos bildkomprimeringsalgoritmer och symmetriska krypteringsalgoritmer. Detta speglas inte alltid på ett rättvist sätt i redovisningen av detta arbete men motiveras av att dessa två områden är oerhört komplexa och beräkningsintensiva. Dessa måste sålunda implementeras på ett så effektivt sätt som möjligt för att kunna användas i rena mjukvarulösningar. Den naturliga (eller snarare industriella) ansatsen av detta problem är att realisera dessa delar i dedikerad hårdvara eftersom detta dels kommer att avlasta systemet och dels kommer att resultera i en fysisk produkt som är lättare att föra ekonomiskt. Undvikandet av detta har varit ett medvetet val en av grundstenarna i detta examensarbete har hela tiden varit att undersöka vad som går att göra med endast de resurser som gemene datoranvändare har till sitt förfogande. Den praktiska delen av det här arbetet har bestått i att utveckla en modell för ett bildtelefonisystem samt att implementera delar av denna modell. Huvudsakligen har det gällt kompressionsdelarna, men även en symmetrisk krypteringsalgoritm (DES) samt en klient för bildanskaffning via TWAIN har implementerats. Andra implementationsdelar som studerats i detta arbete har varit alternativa metoder för bildanskaffning, överföring av bilddata på paketbaserade nät samt utbytesförhållanden mellan olika samverkande delar av arbetets mer komplicerade algoritmer. Det finns ett flertal naturliga förlängningar av detta arbete, exempelvis hur audiell information skulle inkorporeras i systemet eller hur systemet skulle kunna realiseras på en viss plattform. De verktyg som utvecklats i detta examensarbete har gjorts så i pedagogiskt syfte och står naturligtvis till andra studenter av ämnesområdets förfogande. Översikt Det här arbetet består huvudsakligen av tre delar, det inleds med en kortare introduktion till applikationsområdet bildtelefoni, där inledande definitioner och frågeställningar ställs upp. Efter detta följer en teoretisk genomgång av fälten kryptering och komprimering, var för sig och ur applikationsområdets synvinkel. Som tredje del finns sedan en diskussion av en modell för ett mjukvarurealiserat bildtelefonisystem, där vissa utbytesförhållanden demonstreras med hjälp av 4

5 programvara som tagits fram för pedagogisk effekt. Avslutningsvis finns en sammanfattning där arbetets mest påtagliga slutsatser och resultat redovisas. Arbetets upplägg har varit att skriva översiktligt för en målgrupp med teknisk bakgrund och med detaljdjup för läsaren med intresse för bildtelefoni. Förhoppningen är att materialet skall kunna fungera som en introduktion till ämnesområdet för den intresserade. 5

6 Bildtelefoni Kommunikation människor emellan handlar mycket om information som oftast är svår att förmedla med begränsade media. Exempelvis tillför det visuella elementet mycket i mänsklig kommunikation, det underlättar processen att ta till sig information och tolka densamma. Människor lär sig redan under sin uppväxt att tolka andra människors ansiktsuttryck för att extrapolera ytterligare information utöver vad som ligger i det sagda ordet. En icke föraktlig del av information överförs också via förmågan att avläsa dolda meningar eller undertoner förmedlade med kroppsspråk och gester. Forskning inom fältet Människa Dator Interaktion konstaterar att en av de mest önskvärda egenskaper för kommunikationssystem är förmågan att förmedla en känsla av närvaro för de kommunicerande parterna. Det är viktigt att definiera kommunikation i termer av upplevelse snarare än i termer av de media som används. Tyvärr finns det dock kraftiga begränsningar i de tekniska möjligheter som står till hand för att implementera kommunikation och det är framförallt samtidens lösningar på dessa som detta arbete fokuserar på. Dagens bästa kompromisser (vilka givetvis utgörs av datorbaserade system) använder sig av kameror, mikrofoner och datornätverk för att förmedla olika former av koordinerade hypermedia (såsom data, audiell och videoinformation), oftast med ansatsen att erbjuda så fri och ohämmad kommunikation som möjligt. I detta arbete har den audiella biten medvetet valts bort, detta för att kunna bortse från svårigheterna involverade i att upprätthålla synkronisering av den presenterade informationen (vilket främst är en utmaning mellan audio och video). Givetvis ignoreras inte detta viktiga media, telefonen är förmodligen det mest utbredda distanskommunikationsverktyget i historien här antas dock helt enkelt att den audiella informationen överförs via en icke här definierad separat kanal vars bruk inte inverkar på de komponenter som tas upp i detta arbete. Vad är bildtelefoni? Bildtelefoni är med lite välvilja i sig en gammal tanke som omnämnts i litteratur sedan åtminstone första halvan av 1800 talet och demonstrerades praktiskt av Bell Telephone Laboratories redan i början på 1930 talet. Det som diskuterades då var telefoni med en visuell komponent, d.v.s. att det utöver en audiell tvåvägskommunikation även fanns en visuell presentation av sin motpart. Den definition av bildtelefoni som används i det här arbetet har av praktiska skäl utöver detta även lagt till en del detaljer såsom att kameran är fixt monterad, att det är begränsad rörlighet i bilden samt att slutanvändaren är mänsklig. Denna utökning gör området bildtelefoni till ett förhållandevis tacksamt område att arbeta med eftersom detta gör det möjligt att anta en hel del om hur bilderna genereras och vad de innehåller. Detta innebär i praktiken betydligt mer effektiv kompression än då en godtycklig videosignal skall bearbetas. Omfattande forskning har utförts på detta område då det naturligt finner ett mycket brett spektra av användningsområden kring mänsklig kommunikation över avstånd, inte minst bland de hörselskadade vilka inte kan förlita sig på enbart audiell information för kommunikation. Verktygen inom detta fält finner också användningar bland närbesläktade områden såsom automatisering, övervakning och underhållning. 6

7 Vad är ett bildtelefonisystem? Centralt i bildtelefonisystem är kommunikationsklienten, vilken utöver audiell och visuell information även också ofta erbjuder möjlighet att utbyta filer, textmeddelanden och att dela ett gemensamt ritblock. Ofta finns det även en eller flera former av katalogtjänster där användare av systemet kan presenteras sig själv, se vilka användare som använder systemet för tillfället samt gå med i diskussionskanaler orienterade efter ämnen. Vanligtvis fungerar kommunikationsklienten fristående från katalogtjänsters infrastruktur och går att använda fullt ut utan denna, men i en ständigt växande kommunikationsvärld är ofta dessa eller något motsvarande nödvändigt för att smidigt lokalisera ens kommunikationspart. Vad är säkerhet? Definitionen av säkerhet varierar stort från person till person, organisation till organisation samt (inte minst) från applikation till applikation. Det brukar sägas att säkerhet inte är en lösning utan ett pågående arbete, där hotbilder mot ens verksamhet kontinuerligt får identifieras och uppdateras. Viktigt är även att identifiera vilken nivå av säkerhet som är önskvärd i en värld där ledningar kan kapas, radiovågor avlyssnas och krypteringar knäckas är absolut säkerhet en utopi. Vad som istället bör eftersträvas är att etablera den nivå av säkerhet som är rimlig för den kostnad som kan accepteras. Idiomet Det finns inget system som är idiotsäkert så länge det är människor som använder det håller sant. Hur genialiskt ett system än är designat finns det alltid brister i det ofta faller system genom att det oavsiktligt används på fel sätt eller helt enkelt medvetet korrumperas av dess användare. Det är viktigt att vara medveten om behovet av flera olika lager av säkerhet ett företags virtuella privata nät (som krypterar kommunikationen mellan företagets kontor) skyddar exempelvis inte dess anställda mot arbetsgivarens egna försök att avlyssna dem. Varje enskild applikation bör utveckla sitt egna och självständiga säkerhetssystem då robust säkerhet eftersträvas. Vad är säkerhet inom bildtelefoni? Som i alla kommunikationssystem kan den information som överförs i bildtelefoni vara av privat eller i övrigt hemlig natur och bör skyddas mot de hot som finns vid överföring över Internet av idag. Exempel på dessa är avlyssning, identitetsförfalskning, sessionsövertagande med mycket mera. Det idag enda praktiska alternativet som erbjuder en lösning för de flesta av dessa problem består av en kombination av olika former av kryptering asymmetrisk kryptering för autenticering, signering och utväxling av sessionssnycklar samt symmetrisk kryptering för skydd av kommunikationskanalen. Kryptering bör i ett bildtelefonisystem implementeras så transparent för slutanvändaren som möjligt kommunikationsparternas identiteter är det enda som slutanvändaren behöver veta något om säkerhetsmässigt sätt. För de som har möjligheten och behovet av att göra så är det naturligtvis även möjligt att dra egna ledningar och skydda dessa mot dylika hot, men eftersom detta är en oerhört kostsam lösning så brukar detta endast göras då även bandbreddsbehoven kräver detta. Det är betydligt billigare att använda virtuella privata nät och andra krypteringslösningar för att undvika farorna med publika nät. Dras egna ledningar för att undvika avlyssning är för övrigt fiberledningar att föredra eftersom dessa är avsevärt svårare att avlyssna jämfört med vanliga kopparledningar (där ledningens inducerande magnetfält kan användas för avlyssning utan att störa datatrafiken eller på annat vis röja avlyssnaren). 7

8 Komprimering och kryptering som företeelser Även om de vid första anblicken verkar vara två vitt skilda områden, så har komprimering och kryptering en hel del gemensamt. Båda är beräkningsintensiva, arbetar ofta på stora datamängder och strävar efter att reducera redundans i de datamängder de opererar på dock för skilda syften. En komprimering strävar efter att identifiera strukturer hos data i syfte att kunna beskära eller representera detsamma på ett mer effektivt vis och därigenom minska storleken hos representationen. En kryptering strävar efter att eliminera redundans hos datamängden i syftet att obfuscera data till oigenkännlighet, oftast utan att förändra storleken på det producerade resultatet. Ifall båda dessa komponenter existerar i ett system så bör alltid kompressionen appliceras före krypteringen! Motivationen för detta ligger i att komprimeringsprocessen är beroende av den inneboende dataredundansens struktur för att kunna erbjuda någon effektiv kompression, men noteras bör även att säkerheten i ett krypteringssystem kan öka genom att applicera en komprimering på data före krypteringen. Detta eftersom komprimering i sig en reducerar redundansen, vilket försvårar en av de första metoderna för en attack mot systemet baserat på kryptoanalys att försöka gissa sig till eller tolka innehållet i det skyddade materialet baserat på dess struktur. Som processer betraktat kan komprimering och kryptering båda ses som transformationer som översätter data mellan olika värdedomäner, men det ligger en viktig skillnad mellan de två även här. En kryptering måste per definition vara fullständigt reversibel 1, d.v.s. med inga andra verktyg än dekrypteringsalgoritmen (och dess eventuella parametrar) skall det vara möjligt att återskapa ursprungsdata utan avvikelser. Detsamma gäller inte för komprimering då det finns klasser av komprimeringsalgoritmer som arbetar enligt hypotesen att det i data finns irrelevanta portioner som kan beskäras utan att introducera alltför stora fel i återskapat data. Dessa inriktar sig istället på att resultera i en, för den aktuella applikationen, acceptabel approximation av ursprungsdata. Kompressionsalgoritmer brukar på detta vis klassificeras i de två undergrupperna förlustfria och dataförstörande kompressionsalgoritmer, där de förstnämnda är reversibla och de övriga inte. Relationsmässigt kan detta ses som att förlustfri komprimering har en 1 1 relation mellan ursprungsdata och komprimerat data, medan dataförstörande algortimer har en n 1 relation (flera datauppsättningar kan resultera i samma komprimerade data givet samma algoritm). Krypteringar har med samma resonemang också en 1 1 relation mellan indata och utdata. 1 Det finns en klass av krypteringsalgoritmer som kallas envägskrypteringar som inte är reversibla. Dessa är dock ämnade att användas som hashfunktioner och därför inte menade att kunna dekrypteras. 8

9 Kryptering Motiv för kryptering Dagens kommunikationsnätverk går mer och mer mot användandet av paketbaserade nät, där slutanvändaren inte har någon kontroll över (eller sällan ens information om) vilken väg paketen tar. Det naturliga exemplet på detta är Internet, vilket till majoriteten består av IP baserade nät, där avlyssning i olika former inte längre är en möjlighet utan snarare en realitet. Introduktionen av kryptering ger inte här enbart ett skydd mot avlyssning utan skapar även en hel rad andra funktioner såsom innehållsverifikation, användarautenticering och meddelandesignering. Dessa tekniska grundstenar möjliggör i sin tur förflyttandet av många av vardagliga mänskliga aktiviteter till det elektroniska mediet. Exempel på detta är kommunikation, handel, demokratiska val med mycket mer. De krypteringsmetoder som är allmänt tillgängliga idag erbjuder om än inte ett absolut skydd så väl garantin att den information som krypteras kommer att vara skyddad länge nog för att den skall hinna bli inaktuell innan någon knäcker din kryptering. Detta dessutom föresatt att den som vill knäcka en kryptering är intresserad nog av detta att lägga ner mycket pengar, tid och resurser på detta oftast utan någon slags garanti att lyckas. Naturligtvis förutsätter alla dessa resonemang att kryptering används på ett korrekt vis, något som tyvärr har visat sig vara eftersatt i många stora applikationer av idag. För en utförligare överblick över kryptering och dess användning se [15], [19], [21], [22] och [23]. [13] och [14] erbjuder en god introduktion till det praktiska användandet av kryptering (sett ur Java programmerarens perspektiv). Vad är en krypteringsalgoritm? Den definition av en krypteringsalgoritm som tidigare nämndes var en reversibel funktion som efter ett förbestämt mönster obfuscerade data och eliminerade redundans. Denna definition är dock på intet vis absolut och varierar ofta med tillämpningens krav på krypteringsalgoritmen. Några klassiska exempel på krypteringalgoritmer är Spartanernas scytales och romarnas Caesar skiffer, vilka användes i antiken av militärer för att kryptera meddelanden som skulle överföras med kurir. Spartanernas scytale var en träkäpp vilken konstruerades till identiska dimensioner i två exemplar en för avsändare och en för mottagare. Krypterade meddelanden skapades genom att en remsa lindades upp på käppen och meddelandet skrevs i käppens längdriktning (d.v.s. vinkelrätt mot remsans lindningsriktning med ett tecken per lindningsvarv och rad). När remsan sedan lindades av käppen så tedde den sig som en remsa med godtyckliga tecken och var oläslig utan mottagarens käpp. Scytalen är ett exempel på ett transpositionsschiffer, där tecknen i meddelandet ordnas om efter en i förväg given metod. Transpositionsschiffrens svaghet är att om metoden för hur meddelandet ordnats om röjs så röjs även meddelandet. Ett exempel på en liknande metod som kallas substitutionschiffer är romarnas Casear skiffer. Ett substitutioneschiffer obfuscerar ett meddelande genom att varje tecken bytes mot ett annat efter en i förväg uppgjord mall. Caesar skiffren skapade denna mall genom att cykliskt förskjuta bokstäverna i alfabetet ett visst antal steg. Exempelvis var Caesar +3 en kod som försköt dem tre steg a byttes ut mot d, b mot e osv. Svagheten hos substitutionsschiffer är att det inte är en oöverkommelig svårighet att gissa sig fram till vilket tecken som byts ut mot vilket. En metod för att göra detta baserar sig på att studera tecknens relativa förekomst i meddelandets språk, vilken bevaras även om tecknen i sig bytes ut. Även tecknens grupperingar i meddelandet kan ge led- 9

10 trådar till innehållets natur, exempelvis är ett tecken som förekommer två gånger efter varandra i det svenska språket med hög sannolikhet en konsonant. En lite mer modern ansats för att kryptera meddelanden som uppstod i slutet av första världskriget kallas engångsblock (One Time Pads), vilket får sitt namn från att ett block av samma storlek som meddelandet och innehållande en sträng av godtyckliga tecken tas fram och används för att kryptera varje meddelande. Detta schiffer baseras på Vignere schiffret (även känt som Le Chiffre Indechiffrable) och fungerar så att varje tecken i meddelandet bytes ut mot ett tecken som slås upp i en tabell med blocktecknets plats i alfabetet som tabellindex. Denna metod benämns ibland som den ideala krypteringen och är teoretiskt hållbar förbehållet att engångsblocken tagits fram fullständigt slumpmässigt! Detta (fullständig slumpmässighet) visar sig dock vara ett praktiskt problem eftersom det idag saknas matematiska metoder för att generera äkta slumptal idag används istället matematiska talserier för att generera s.k. pseudoslumptal. Det stora praktiska problemet med denna ansats är dock distributionen av de i förväg konstruerade engångsblocken, vilka måste vara minst lika stora som meddelandet (vars storlek kanske inte är känd i förväg). Kryptering och kryptoanalys Historiskt sett har det förekommit många metoder för kryptering och minst lika många metoder för kryptoanalys, d.v.s. knäckande av kryptering. Klassisk kryptoanalys var en mycket tidsödande verksamhet där alla genvägar som gick att ta utforskades en klassisk kryptoanalytiker studerade meddelandets avsändare, struktur, språk och krypteringsmetod för att få ledtrådar till meddelandets innehåll. Av denna och många andra anledningar använder sig därför dagens krypteringssystem av numeriska representationerna i det binära talsystemet av meddelanden, vilka krypteras på bitnivå istället för på teckennivå. Dessa metoder baserar sin säkerhet på matematiska egenskaper hos krypteringsalgoritmen snarare än försök att hemlighålla hur meddelandet framställts eller vad det innehåller. Kryptoanalys av idag består av försök att finna matematiska genvägar till dekryptering, vilket bedrivs som legitim akademisk och industriell forskning efter principen bevis genom avsaknaden av motbevis, samt av (massivt parallella) försök att testa samtliga möjliga permutationer av krypteringsnyckeln för dekryptering. Denna senare metod kallas exhaustive key search eller brute force och förenklas stort ifall en del av meddelandet är känt. Den är dock även möjlig att använda om så inte är fallet genom att undersöka dekrypterat data och se om det är av något format som kan förväntas likna det som krypterats. Krypteringsstyrka Det antal olika krypteringsnycklar som maximalt måste testas i en brute force attack av en kryptering är 2 n, där n är antalet bitar i den binära representationen av krypteringsnyckeln. Matematiska krypteringars styrka brukar av denna anledning mätas i antal bitar i krypteringsnyckeln. Här bör noteras att krypteringens styrka beror på utbytesförhållandet mellan algoritmens exekveringshastighet (vilken förändras över tid med teknisk utveckling) och antal bitar i nyckeln, varför antal bitar i sig inte generellt kan användas som ett mått på önskad krypteringsstyrka. 256 bitars XOR kryptering kommer att vara mycket svagare än 256 bitars AES kryptering ända till dess AES kan beräknas lika snabbt som XOR. I vissa fall kan även matematiska svagheter i krypteringsalgoritmen användas för att reducera det antal permutationer som behövs testas i en brute force attack. Detta sägs då sänka krypteringens styrka. Noterbart för den tidigare nämnda metoden med engångsblock är att även om den har en mycket låg beräkningsintensitet (en XOR operation per byte) så är en brute force attack värdelös här att testa varje möjlig permutation av krypteringsnyckel kommer att generera varje möjlig permutation av utdata eftersom nyckeln är fullständigt slumpmässig och lika lång som indata. 10

11 Egenskaper hos en krypteringsalgoritm En mycket önskvärd egenskap hos en krypteringsalgoritm är förmågan att kunna använda nycklar av olika storlek genom att förändra krypteringsnyckelns storlek kan en krypterings styrka anpassas för att förlänga dess livstid. Detta resonemang förutsätter dock att även algoritmens beräkningskomplexitet (läs exekveringshastighet) kan anpassas efter den hårdvara som finns tillgänglig när den skall användas. Beräkningsintensiteten hos en krypteringsalgoritm bör med andra ord (tillsammans med nyckelstorleken) vara anpassad sådan att den dels är så snabb att den går att använda transparent och dels ändå är så långsam att den tar opraktiskt lång tid att attackera med en brute force metod. På grund av detta (och andra matematiska anledningar) brukar krypteringsalgoritmer ibland designas till att vara mycket komplexa eftersom detta försvårar konstruktionen av specialiserad hårdvara som utför krypteringsoperationer i mycket hög hastighet (och därmed kan användas för attacker av algoritmen). I design av asymmetriska krypteringsalgoritmer kan ett liknande resonemang användas för att belysa ett annat utbytesförhållande. Där gäller att om krypteringsprocessen är (mycket) snabbare än dekrypteringsprocessen så ökas livslängden för algoritmen avsevärt av samma anledning. Viktigt att komma ihåg i de här resonemangen är att målet med en kryptering inte är att uppnå absolut säkerhet utan bara att fördröja när meddelandet blir känt tills dess det inte längre är av intresse för någon. En annan och mer matematisk egenskap som är önskvärd hos en krypteringsalgoritm är att den skall ha en hög lavineffekt. Med detta avses att förändring av ett litet antal bitar i indata skall ge en förändring av ett stort antal bitar i utdata för samma krypteringsnyckel. Idealiskt skall hälften av bitarna i utdata förändras när en av bitarna i indata ändras matematiskt uttryckt maximerar detta variansen för utdata (eller minimerar redundansen i indata). Grundantagandet för en matematisk krypteringsalgoritm är att det är den enda (eller åtminstone den enklaste eller snabbaste) algoritm som givet indata och krypteringsnyckel genererar utdata. 11

12 Symmetrisk kryptering Symmetrisk kryptering får sitt namn från att kryptering och dekryptering är symmetriska processer dekryptering är ofta inversen av kryptering och samma nyckel används i båda fall. Symmetrisk kryptering kallas även av denna anledning för hemlig nyckel kryptering eftersom den använda nyckeln hålls hemlig av de parter som delar den. De flesta av dagens symmetriska krypteringsalgoritmer består av komplexa blockschiffer som opererar på binärt data och itererar flera operationer designade att göra det så svårt som möjligt att (utan krypteringsnyckel) återskapa indata från utdata. Blockskiffer Ett blockskiffer är en krypteringsfunktion som översätter ett givet indatablock till ett krypterat utdatablock av samma storlek. Storleken på dessa datablock är oftast fix för algoritmen och därför brukar större datablock delas upp i flera mindre block av den rätta storleken. Krypteras ett datablock som är mindre än algoritmens blockstorlek brukar något slags paddningschema användas för att se till att få ett jämt antal bitar i blocket. Vid dekryption av blocket så antas detta paddningsschema vara känt och dessa extra bitar tas bort vid återskapande av ursprungsmeddelandet. Typiska storlekar på datablock för dagens blockskiffer är 64 eller 128 bitar. Symmetrisk kryptering med blockskiffer illustreras med där C = E(K, M) M = D(K, C) E står för encryption eller kryptering D står för decryption eller dekryptering C är ciphertext eller krypterat data M är meddelande eller okrypterat data K står för key eller krypteringsnyckel För att ytterligare höja säkerheten i blockskiffer kan även olika former av kedjekodning användas för att försvåra attacker på individuella block i meddelandet. Om exempelvis alla block logiskt kombineras (via XOR) med föregående blocks krypterade motsvarighet (och det första blocket kombineras med ett i förväg bestämt block kalla initialiseringsvektor) innan kryptering, så skapas en blockkedja av meddelandet. I denna blockkedja är alla block beroende av tidigare block. För att läsa den första meningen i detta meddelande måste därför alla block i meddelandet dekrypteras (samt initialiseringsvektorn vara känd), från sista till första. Vore de inte kedjade så skulle det räcka med att dekryptera det första blocket för att läsa den första meningen i meddelandet. Denna specifika metod av kedjning kallas Cipher Block Chaining mode (CBC) och används ofta tillsammans med exempelvis DES kryptering. Kryptering av block utan kedjning kallas Electronic Code Book mode (ECB). Det går även att till viss del att höja säkerheten i ett krypteringssystem genom att upprepa kryptering av samma block flera gånger med olika nycklar. Detta ger dock inte säkerhetsmässigt samma resultat som att använda samma algoritm med en tre gånger så lång nyckel och kan resultera i svagare kryptering om en s.k. svag nyckelkombination används. Det är heller inte alla blockskiffer som går att använda på detta vis. Ett exempel på denna ansats är trippel DES (eller 3DES), vilken använder tre stycken nycklar för att kryptera, dekryptera och sedan återigen kryptera samma block. 12

13 På samma vis illustreras detta med C = E(K 3, D(K 2, E(K 1,M))) M = D(K 1, E(K 2, D(K 3,C))) Där K 1, K 2 och K 3 är de tre krypteringsnycklar som används Strömskiffer Ett strömskiffer är ett skiffer som designats till att vara mycket snabbt och arbeta på små datamängder (grupper av bitar) åt gången som extraherats ur dataströmmar. Till skillnad från blockskiffer där samma datablock alltid krypteras till samma kryptoblock för en given nyckel så är strömskiffers krypterade data även beroende av när i dataströmmen det krypterats. Strömskiffer krypterar vanligen genom att generera en nyckelström och sedan logiskt kombinera denna med dataströmmen med XOR eller någon liknande (snabb) funktion. Strömskiffer illustreras på samma vis som blockskiffer C = E(K S, M) M = D(K S, C) Med skillnaden att K S betecknar den nyckelström som används för kryptering istället för en fast nyckel. Engångsblock i strömskifferform erbjuder teoretiskt ideal kryptering men används sällan eftersom den är omständlig att använda i praktiken nyckelströmmen skall genereras fullständigt slumpmässigt, vara lika lång som dataströmmen, användas endast en gång samt distribueras till alla mottagare fullständigt säkert. Dagens vanligaste strömskiffer är RC4 vilken erbjuder en mer praktisk lösning på dessa problem men samtidigt då tvingas göra avkall på säkerheten. Det finns även ett kedjekodningsschema kallat Cipher Feedback mode (CFB) vilket låter i stort vilket blockskiffer som helst att fungera som en nyckelgenerator för strömskiffer. Detta dock oftast utan den efterfrågade hastigheten i krypteringen. Data Encryption Standard (DES) ANSI standard nummer X9.32 (även känd som Federal Information Processing Standard (FIPS) 46 3) definierar en algoritm som vanligen benämns the Data Encryption Standard, eller DES. Detta är en av världens mest kända och använda krypteringsalgoritmer som finns representerad i ett flertal standarder. DES tillkom när amerikanska myndighetsorgan i början av 1970 talet vidareutvecklade en algoritm från IBM som hette Lucifer. DES är ett blockskiffer som använder sig av 64 bitars datablock och 56 bitars nyckel (egentligen 64 bitar där nyckelns paritetsbitar tagits bort). Innan kryptering påbörjas permuterar DES nyckeln till ett längre nyckelschema efter en algoritm bestående av rotationer och substitutionsboxar (vilka i dagligt tal kallas S boxar). Eftersom en cyklisk rotation går att uttrycka som en substitution går denna algoritm att förenkla till kombinationen av nyckeln och en enda S box per instans i nyckelschemat. Själva krypteringen i DES består av en initial permutation följd av 16 stycken iterationer av algoritmen nedan och avslutas sedan med en sista permutation (vilken är inversen av den initiala). 13

14 1) dela det 64 bitar långa datablocket i två lika stora delar 2) expandera den högra halvan av datablocket till 48 bitar 3) kombinera dessa 48 bitar med en del av nyckelschemat (via XOR) 4) dela in de 48 bitarna i 8 lika stora delar och applicera DES S boxarna på dem 5) konkatenera resultaten från S boxarna till en 32 bitars sträng 6) permutera dessa 32 bitar enligt ett givet schema 7) kombinera de resulterande 32 bitarna slutligen med den vänstra halvan från 1) 8) byt plats på högra och vänstra halvan av datablocket inför nästa permutation Dekryptering i DES går till på samma sätt som kryptering, med skillnaden att de 16 iterationerna utförs med nyckelschemat i omvänd ordning. DES säkerhet har under hela dess livstid debatterats och det har visats att DES är känslig för olika typer av matematiska attacker. Under januari 1999 bröts en generell DES baserad kryptering på 22 timmar med hjälp av exhaustive key search och DES betraktas nu som mer eller mindre föråldrad. För mer information om DES se [8], [19] och [22]. Advanced Encryption Standard (AES) 1997 utlyste ett amerikanskt myndighetsorgan kallat the National Institute of Standards and Technology (NIST) något som kallades the AES initiative. Detta var en form av tävling, där forskare och privatpersoner världen över inbjöds till att konstruera en krypteringsalgoritm designad för att ersätta DES. Kriterierna var (förenklat) att tävlingsbidragen skulle gå att använda på samma vis som DES, kryptera med 128, 192 respektive 256 bitars nycklar samt operera på 128 bitars datablock. Under 2000 utsågs algoritmen Rijndael (dubbad så efter dess belgiska skapare Joan Daemen och Vincent Rijmen) som vinnare och har sedan dess etablerats som en standard för blockskiffer. AES består av ett linjärt substitutionsnätverk vilket itereras 10, 12 eller 14 gånger beroende på nyckelns storlek. AES arbetar på 128 bitars datablock och kan använda nycklar av storlek 128, 192 eller 256 bitar. Ett datablock som skall krypteras med AES delas upp i byte baserade matriser vilka sedan behandlas parallellt. Den interna del av AES som itereras består av fyra lager en 8 8 S box, två lager där matrisens rader skiftas och kolumnerna blandas (genom en multiplikation med en konstantmatris) samt slutligen ett lager där matrisens element logiskt kombineras (via XOR) med cykliskt nyckeldata. Kolumnblandningen utförs ej under den sista iterationen. AES erbjuder för närvarande mycket god säkerhet med sina variabla nyckelstorlekar, är (ännu) inte känsliga för några matematiska attacker och är designad på ett vis som gör den lämplig för ett brett spektra av applikationer (vilka sträcker sig från generell datorbaserad kryptering till implementation på smartcards). AES kan använda, men är inte beroende av, alla DES operation modes. För mer information om AES se [7] och [19]. 14

15 Asymmetrisk kryptering Asymmetrisk kryptering får sitt namn från att kryptering och dekryptering är asymmetriska processer kryptering och dekryptering är matematiska funktioner och är inte besläktade annat än genom att dess resultat är varandras inverser. Man talar även om asymmetriska nycklar eller nyckelpar eftersom det inte är samma nyckel som används för dekryptering som för kryptering. Dessa nycklar benämns som publika / privata nyckelpar och krypteringen även därför som publik nyckel kryptering. Diffie Hellman 1976 lade Diffie och Hellman fram idén om att till skillnad från tidigare då en hemlig nyckel (som användes för både kryptering och dekryptering) istället ha en publik nyckel som sprids och en privat nyckel som hålls hemlig. Tanken var att båda nycklar skulle behövas i systemet, en för kryptering och den andra för dekryptering. Vad den här tankegången tillförde var två nya funktioner. Dels blev det nu möjligt att kryptera ett meddelande så att endast den tänkta mottagaren kunde läsa det och dels tillhandahölls en metod för att autenticera avsändaren genom att signera meddelandet! För att kryptera ett meddelande som endast mottagaren kan läsa så krypteras det med mottagarens publika nyckel. Endast mottagaren antas ha tillgång till sin privata nyckel och är därför ensam om att kunna dekryptera meddelandet. För att signera ett meddelande som endast kan ha skickats av avsändaren krypteras meddelandet med avsändarens privata nyckel. Meddelandet blir då endast läsbart om det dekrypteras med avsändarens publika nyckel, vilken alla mottagare antas ha tillgång till. För att verifiera en signatur behövs både meddelandets signatur och meddelandet själv detta sker genom att dekryptera signaturen och se att resultatet (verifikatet) överensstämmer med det ursprungliga meddelandet. Asymmetrisk kryptering illustreras med Där C = E(K P, M) M = D(K S, C) S = E(K S, M) V = D(K P, S) E står för encryption eller kryptering D står för decryption eller dekryptering C är ciphertext eller krypterat data M är meddelande eller okrypterat data S är signaturen för meddelandet M V är verifikatet av S, V = M om M är oförändrat K P står för public key eller publik krypteringsnyckel K S står för secret key eller hemlig krypteringsnyckel (K S, K P ) utgör tillsammans ett asymmetriskt nyckelpar Det är även möjligt att kombinera dessa funktioner för att skapa meddelanden som är både signerade och krypterade. Detta illustreras på motsvarande vis med C = E(K PB, E(K SA, M)) M = D(K SB, D(K PA, C)) 15

16 där K PA är part As publika krypteringsnyckel K SA är part As hemliga krypteringsnyckel K PB är part Bs publika krypteringsnyckel K SB är part Bs hemliga krypteringsnyckel Notera att om en signatur skall användas för att verifiera att ett meddelande inte har förändrats så bör meddelandet även översändas tillsammans med signaturen. Alternativt kan en kryptologisk checksumma användas för detta. För mer information om RSA se [18], [21] och [22]. Hybridsystem Viktigt att notera är att symmetrisk och asymmetrisk kryptering är menade att komplettera, inte ersätta varandra. Asymmetrisk kryptering tillför många praktiska funktioner till krypteringssystem men är också svåra att implementera effektivt nog att använda i många applikationer. Symmetrisk kryptering är dock jämförelsevis oftast mycket snabb och av denna anledning brukar dessa båda användas i kombination i hybridsystem. Det stora problemet med symmetrisk kryptering är att både avsändare och mottagare av hemliga meddelanden i förväg måste enas om den nyckel som krypteringen skall använda, något som är känt som nyckelspridningsproblemet. Med asymmetrisk kryptering kan denna problematik övervinnas eftersom både sändare och mottagare kan utnyttja asymmetriskt krypterade och signerade meddelanden för att utväxla en temporär sessionsnyckel att använda för symmetrisk kryptering av en kommunikationskanal. Man in the middle Nyckelspridningsproblemet är dock inte fullständigt löst med asymmetrisk kryptering det finns fortfarande risken att någon ställer sig mellan sändare och mottagare och inför båda utger sig att vara den andre. Detta kallas en man in the middle eller en proxy attack och är möjligt om avsändaren (som antas initiera kommunikationen) inte redan har mottagarens publika nyckel utan måste slå upp den i en publik katalog. Angriparen ser till att avsändaren då får angriparens publika nyckel istället för mottagarens och utger sig därefter för att vara mottagaren inför avsändaren. På samma vis, efter att ha dekrypterat, läst (möjligen ändrat) och krypterat om avsändarens meddelande, utger han sig sedan inför mottagaren att vara avsändaren. Eftersom angriparen har fullständig kontroll över kommunikationskanalen kan denna inte användas till att verifiera kommunikationspartens identitet. Man in the middle attacker kan användas till avlyssning, sessionsövertagande, förfalskade meddelanden och i förlängningen även till att utföra fler liknande attacker mot andra (där angriparen förfalskar ett intyg från avsändaren eller mottagaren att han är någon annan). Avsändare Angripare Mottagare Figur 1. Man in the middle attack 16

17 Certifieringssystem Den mest spridda lösningen på den här problematiken är att använda certifieringssystem som består av pålitliga enheter kallade certifieringsenheter (Certificate Authority eller CA). Certifieringsenheter utfärdar certifikat som garanterar att en viss publik nyckel verkligen hör till en viss identitet. Dessa certifikat innehåller en kedja av publika nycklar, där varje nyckel är signerad av den föregående och den första i kedjan är certifieringsenhetens egna publika nyckel signerad av sig själv. Certifieringsenhetens publika nyckel antas vara känd av alla och i distribueras i praktiken med webläsare och andra programvarupaket för kommunikation. Denna lösning kräver dock att alla mottagare av sessionsinitieringar är kända hos någon certifieringsenhet, något som i praktiken ännu endast håller för större websiter och företag. Alternativa lösningar för spridning av publika nycklar som är populära hos privatpersoner inkluderar via signaturer i , publicering på websidor samt via elektroniska visitkort. Implementation av asymmetrisk kryptering När Diffie och Hellman lade fram idén och designade grundläggande protokoll för asymmetrisk kryptering så specificerade de bara systemet i det abstrakta de hade ingen färdig metod att implementera ett sådant system. System för asymmetrisk kryptering baserar sig på matematiska problem som är beräkningsmässigt svåra att lösa och har vissa specifika karaktäristika. Envägsfunktioner (one way functions) är funktioner som är lätta att lösa åt ena hållet men avsevärt mycket svårare att lösa åt det andra är önskvärda. En underklass till dessa funktioner är lönndörrsfunktioner (trapdoor one way functions), där det existerar en genväg (lönndörr) för lösningen från det svåra hållet givet viss information om problemet går det enkelt att lösa även från det svåra hållet. Dagens system för asymmetrisk kryptering baserar sig på sådana lönndörrsfunktioner, där själva lönndörren utgör den privata nyckeln. Kryptering och signaturverifikation använder sig av den publika nyckeln medan dekryptering och signaturgeneration använder sig av den privata nyckeln, och därmed är mycket svårt att utföra utan lönndörren. Värt att notera är att de system som idag används för asymmetrisk kryptering baserar sig på problem som antas vara mycket svåra att lösa utan tillgång till lönndörr, avsaknaden av en generell lönndörr har dock vare sig bevisats eller motbevisats för dessa problem. Skulle en sådan upptäckas för ett specifikt problem (d.v.s. om ett sätt att lösa problemet utan lönndörr skulle upptäckas) skulle de system som baseras på det problemet omedelbart bli värdelösa för krypteringsapplikationer. RSA Rivest, Shamir och Adleman skapade och gav 1977 namn åt RSA, vilket idag är i det närmaste en de facto standard när det gäller val av algoritm för asymmetrisk kryptering. Det svåra problem de använde i algoritmen var primtalsfaktorisering, d.v.s. att givet produkten av två stora primtal finna dessa primtal. Nyckelgeneration i RSA fungerar enligt följande Välj två stora primtal, p och q, och beräkna deras produkt n = p q. Välj sedan ett tal e som är mindre än n och relativt primt till (p 1) (q 1), (d.v.s. att gcd (e, (p 1) (q 1)) = 1). Finn nu ytterligare ett tal d så att (e d) 1 är jämnt delbart med (p 1) (q 1). Den publika nyckeln är nu talparet (n, e) och den privata nyckeln är talparet (n, d). När sedan en nyckel är genererad så används den för av systemet enligt följande modell 17

18 Kryptering: Dekryptering: Signering: Verifiering av signatur: c = m e mod n m = c d mod n s = m d mod n v = s e mod n Där m är ursprungsmeddelandet, c det krypterade meddelandet, s signaturen för meddelandet, v verifikatet för signaturen s samt mod och gcd de matematiska funktionerna modulo respektive största gemensamma nämnare. Givetvis i det signerade fallet måste avsändaren skicka både meddelandet och signaturen för meddelandet för att mottagaren skall kunna verifiera att signaturen stämmer (d.v.s. att meddelandet är oförändrat och verkligen kommer från avsändaren). Eftersom RSA använder sig av väldigt stora primtal (man brukar rekommendera primtal på åtminstone 512 bitar för p och q) så kan nyckelgeneration vara tidsödande. För att simulera en sannare slumpmässighet i denna process är det även brukligt att interaktivt låta användaren få bidra med ett fysiskt element, exempelvis genom att mäta rörelser och fördröjningar för datorns mus och använda dessa som initialvärden till slumpgeneratorn, för att assistera vid valet av dessa tal. Värt att nämna om RSA är också att det har rått viss debatt om huruvida speciell klass av primtal som kallas starka primtal exklusivt bör användas för nycklar. Dessa starka primtal är primtal som matematiskt är svårare att faktorisera än andra, men den rådande uppfattningen i litteraturen brukar vara att det är viktigare att använda en tillräckligt stor nyckel än att bekymra sig för detta. Det har även tidigare funnits en del kritik mot RSAs säkerhet eftersom det varit svårt att avgöra om de stora talen p och q verkligen är primtal men på senare tid har det framkommit nya metoder för detta. För mer information om RSA se [19], [22] och [23]. Elliptiska kurvor Det finns även en del andra ansatser till asymmetrisk kryptering än RSA såsom ElGamal, Merkl Hellman knapsack och LUC. De mest intressanta alternativen kallas dock elliptiska kurv system, efter den geometriska problemklass de använder sig av för krypteringsfunktionen. System för asymmetrisk kryptering baserade på elliptiska kurvor delas vanligen in i två kategorier efter de problemklasser de använder sig av, primtalsfaktorisering och diskreta logaritm problemet för elliptiska kurvor. Den förstnämnda av dessa använde sig av samma typ av problem som RSA och har i stort därför jämförbar prestanda med densamma. Den senare av dessa två baserar sig på diskreta logaritm problemet för elliptiska kurvor som formuleras som givet två punkter X och Y på en elliptisk kurva, finn k sådant att Y = k X. Dessa varianter har rönt mer och mer uppmärksamhet de senaste åren och framförallt då den andra kategorin eftersom den erbjuder samma nivå av säkerhet som likvärdiga system för asymmetrisk kryptering (läs RSA) för kortare nycklar. Det finns heller inte (ännu) någon mer effektiv attack på dessa system än brute force. System baserade på elliptiska kurvor är relativt nya och ännu inte lika etablerade som RSA. Kryptologiska funktioner Krypteringssystem av idag erbjuder betydligt mer än bara kryptering och dekryptering av data. 18

19 Idag talas det om autenticering, certifiering och signering som naturliga delar av asymmetriska krypteringssystem eftersom dessa funktioner erbjuder systemets användare mycket mer än bara avlyssningsskydd. När man talar autenticering så talar man om möjligheten för användare av systemet att säkert kunna identifiera sig själva och andra kommunicerande parter. Involveras certifiering så innebär det att låta en (redan autenticerad) tredje part garantera identiteten för en annan användare. Signering innebär att en användare låter placera en digital signatur på en uppsättning data som visar att meddelandet verkligen kommer från den användaren och inte har förändrats. Dessa funktioner kan kombineras för att generera meddelanden som verkligen kommer från en viss avsändare, inte har förändrats och dessutom endast kan läsas av den tilltänkta mottagaren, samt givetvis att både avsändare och mottagare autenticerats av pålitliga tredje parter. Alla dessa funktioner skapar tillsammans en plattform för asymmetrisk kryptering som möjliggör en mängd tjänster för användare av systemet. Dessa tjänster är inte alltid beroende av en kring dem existerade infrastruktur, men de brukar storligen underlättas av det. Denna infrastruktur, som då består av servrar för certifierings och autenticeringssystem brukar generellt benämnas Public Key Infrastructure (PKI). Huvuduppgiften för denna infrastruktur är då att på ett säkert vis distribuera publika nycklar. En PKI sätts ofta upp av egna företag och organisationer och kan betraktas topologiskt på samma vis som dagens nätverk är uppbyggda som samverkande självständiga segment. Hashfunktioner Kryptologiska hashfunktioner (även kallade message digests) är funktioner som från en datamängd beräknar ett hashvärde vilket har egenskaperna att det är enkelt att beräkna, (betydligt) mindre än datamängden, är unikt för den speciella datauppsättningen samt att det inte går att återskapa den ursprungliga datamängden från hashvärdet. Inom kryptering brukar hashfunktioner ofta användas för signering av data eftersom det går mycket snabbare att beräkna en hashfunktion för en datamängd och signera hashvärdet än att istället signera hela datamängden. Vanligen använda exempel på kryptologiska hashfunktioner är MD5 och SHA1. En underklass till kryptologiska hashfunktioner är envägskrypteringar (one way encryption), vilket är en typ av kryptering som är icke reversibel, d.v.s. inte går att dekryptera. Dessa funktioner är istället tänkta att användas i situationer där det (exempelvis för verifikation) är nödvändigt att lagra känsligt data i en opålitlig miljö. Exempel på detta är lösenord i UNIX, vilka lagras krypterade med en envägskryptering som kort och gott kallas crypt. När en användare skall autenticeras så krypteras det av användaren tillhandahållna lösenordet med samma envägs kryptering och jämförs med det lagrade för verifiering. Message Authentication Codes (MACS) En Message Authentication Code (MAC) är en checksumma associerad med en krypteringsnyckel. Det finns fyra typer av MACs absolut säkra, hashfunktions baserade, strömskiffer baserade och blockskiffer baserade där namnen antyder hur checksumman är anskaffad 2. Eftersom checksumman i MACen är konstruerad med hjälp av den associerade krypteringsnyckeln så är det endast de som har tillgång till den nyckeln som kan skapa eller verifiera den, vilket erbjuder skydd mot att någon skulle förändra ett meddelande innan det når mottagaren. Ett exempel på en Message Authentication Code är DES CBC MAC vilken beräknar en kedjekodad DES kryptering på meddelandet med den associerade krypteringsnyckeln och spar det sista krypterade blocket i 2 Absolut säkra MACs använder engångsblock eller asymmetriska engångsnycklar för att generera checksummor 19

20 kedjan som checksumma. På samma vis kan för övrigt de flesta blockskiffer (inklusive AES) användas för att beräkna MACs. Lager av säkerhet Även om ett skyddande yttre lager av kryptering används för att omsluta protokolltrafik är det inte alltid önskvärt att i klartext översända autenticeringsdata (såsom par av användarnamn och lösenord eller fingeravtrycksavläsningar) över nätverk. Skulle en eventuell angripare lyckas kringgå, exempelvis genom att scanna av internminnet på måldatorn eller lyssna av nätverkstrafiken innanför ett virtuellt privat nätverk (VPN), knäcka eller på annat vis forcera det yttre krypteringslagret så skulle denna person då ha direkt tillgång till all information som krävs för att skaffa sig tillträde till systemet. Även om det är svårt att uppnå i vissa fall bör ett robust säkerhetssystem inte vara designat på ett vis som gör att systemet sammantagna säkerhet fullständigt kollapsar om en del av det gör så. Detta brukar benämnas av varandra oberoende lager av säkerhet och visualiseras ofta som lager av skal på en lök. Eftersom de antal olika attacker som finns är minst lika många som de olika former av säkerhetsscenarios som implementerats är det viktigt att i sammanhanget komma ihåg att olika lager skyddar mot olika saker och behöver kombineras för att uppnå högsta möjliga säkerhet. Challenge Response Ett sätt att skydda delat data består av att använda envägskrypteringar för känslig information. Detta innebär i lagringsfallet att data är oläsbart för en utomstående betraktare, men i överföringsfallet erbjuder en sådan lösning möjligheter för repetitionsattacker (där attacken består av att repetera tidigare inspelad information i syfte att återetablera en session). Ett bättre vis att skydda känsligt data vid autenticeringar över nätverk är då att implementera ett Challenge Response scenario i protokollet. Detta antar att systemet är uppbyggd så att användare av systemet autenticeras av en hemlig kod (lösenord, fingeravtrycksavläsning eller liknande) som kombineras med en användaridentitet för access till systemet. Scenariot initieras genom att klienten kontaktar servern och översänder data som unikt identifierar användaridentiteten (vanligen ett användarnamn) som skall användas. Servern svarar med en slumpmässigt framtagen datamängd (kallad challenge eller utmaning) vilken klienten konkatenerar med den hemliga koden och beräknar en kryptologisk hashsumma på (kallad response eller svar). När klienten överför denna hashsumma till servern så utför servern samma beräkning på den hemliga kod som den har lagrad. När de två hashsummorna sedan jämförs kan användaren autenticeras eller refuseras överensstämmer hashsummorna så har klienten och servern samma hemliga kod associerad med det angivna användarnamnet. Eftersom den kryptologiska hashfunktionen per definition är unik och inte går att reversera för att ta fram ursprungsdata så har användaren autenticerats utan att känslig information överförts över nätverket. Det är även vanligt att på något vis kombinera en tidstämpel med utmaningen eller svaret för att på så vis ytterligare undvika upprepningsattacker, detta är dock i teorin onödigt ifall utmaningen är framtagen slumpmässigt. Sammanfattningsvis om kryptering Sammanfattningsvis om kryptering kan sägas att det största motivet för bruket av kryptering idag är att det är det flexibla alternativet för säkerhet. Bruket av kryptering är sällan beroende av någon speciell infrastruktur eller specialiserad hårdvara (även om sådana ofta används för att minska svarstider och höja säkerhet), kryptering kan implementeras som transparenta lager i de flesta system och krypteringens styrka kan skalas efter behov hos applikationer. Idag bör säkerhet i form av kryptering alltid vara en naturlig del vid design av en ny applikation eller ett nytt protokoll för kommunikation. 20