US - Kriptologija I PDF

UNIVERZITET SINGIDUNUM
&
Ds
^
KRIPTOLOGIJA I
O s n o ve za a n a l i zu i s i ntezu
i fa rs k i h s i ste m a
W
Beograd, 2013.
KRIPTOLOG/:/Ksnove za analizu i sintezu ifarskih sistema

Autori:
Ds
^
Z
DD
<
:
/
UNIVERZITET SINGIDUNUM

D^
Lektura:
>D
d
^
Dizajn korica:
D
Godina izdanja:
2013.
d
400 primeraka
tampa:
D'
>
/^E

h^
/
Z
Fysis kriptesthai filei - priroda voli da se skriva

(Razumevanje prirode nikad nije lako, ali razumevanje je ipak mogue. Pomou
razumevanja se na osnovu postojeih znanja moe stvarati novo, odnosno ljudi koji
razumeju mogu preduzimati korisne aktivnosti zato to mogu stvoriti novo znanje
ili barem nove informacije na osnovu ve postojeeg znanja.)
Preuzeto iz predavanja Prof. dr Milana Milosavljevia, Univerzitet Singidunum, Beograd.
II
SADRAJ

1.1. Ciljevi i pravila ............................................................................................ 11

1.1.1. Simetrini modeli ........................................................................................... 14
1.1.2. Asimetrini modeli ......................................................................................... 17
1.1.3. Rezime ............................................................................................................ 19
1.2. Ostali kriptoloki ciljevi ............................................................................... 19
1.2.1. Generatori sluajnih i pseudosluajnih nizova ............................................... 20
1.2.2. Autorizacija .................................................................................................... 21
1.2.3. Protokoli autentifikacije ................................................................................. 21
1.3. Praktini kriptoloki problemi ..................................................................... 22
1.3.1. Protokoli, strane koje komuniciraju i protivnici ............................................. 22
1.3.2. Kriptologija i bezbednost raunara ................................................................ 23
1.3.3. Pravila igre...................................................................................................... 24
1.4. Pristupi izuavanju kriptologije ................................................................... 25
1.4.1. Faze u razvoju kriptologije ............................................................................. 25
1.4.2. Razvoj kriptologije kroz kriptoanalizu ............................................................ 25
1.4.3. enonova sigurnost simetrinog ifrovanja ................................................... 26
1.4.4. Teorija raunarske kompleksnosti ................................................................. 27
1.4.5. Jednosmerne funkcije .................................................................................... 28
,

2.1. ifre transpozicije ....................................................................................... 30

2.1.1. Transpozicija kolona ....................................................................................... 31
2.1.2. Kriptoanaliza transpozicija kolona ................................................................. 33
2.1.3. Dvostruka transpozicija kolona ...................................................................... 33
2.1.4. Kriptoanaliza dvostruke transpozicije ............................................................ 34
III
2.2. ifre zamene - supstitucije .......................................................................... 35

2.2.1. ifre proste zamene (monoalfabetske) .......................................................... 35
2.2.2. Kriptoanaliza Cezarove ifre ........................................................................... 37
2.2.3. Homofone ifre .............................................................................................. 39
2.2.4. Kriptoanaliza homofone ifre ......................................................................... 40
2.3. Poligramske ifre ............................................................................................ 41
2.3.1. Plejfer ifra ..................................................................................................... 41
2.3.2. Kriptoanaliza Plejfer ifre ............................................................................... 42
2.3.3. Hill-ova ifra ................................................................................................... 44
2.3.4. Kriptoanaliza Hilove ifre ............................................................................... 47
2.4. Polialfabetske zamene ................................................................................... 47
2.4.1. Kriptoanaliza Vinerove ifre ......................................................................... 49
2.5. Perfektne ifre................................................................................................ 52
2.5.1. One-time pad ................................................................................................. 56
2.6. Kodne knjige .................................................................................................. 59
,e
3.1. Sekvencijalne ifre.......................................................................................... 63

3.1.1. A5/1 ................................................................................................................ 69
3.1.2. RC4 ................................................................................................................. 73
3.2. Blokovske ifre ............................................................................................... 77
3.2.1. Fejstel ifra ..................................................................................................... 77
3.2.2. DES ................................................................................................................. 80
3.2.3. Trostruki DES .................................................................................................. 94
3.2.4. AES ................................................................................................................. 98
3.2.5. Jo tri blokovske ifre ................................................................................... 105
3.2.6. TEA ............................................................................................................... 106
3.3. Reimi rada blokovskih ifara ....................................................................... 108
IV
3.4. Integritet ...................................................................................................... 114

3.5. Kratak pregled.............................................................................................. 117
,e
4.1. Uloga javnog kljua u razmeni simetrinih kljueva ...................................... 120

4.2. Difi-Helman (Diffie-Hellman) ........................................................................ 122
4.3. RSA .............................................................................................................. 127
4.4. Primena asimetrinih ifarskih sistema ......................................................... 135
4.4.1. RSA ifrovanje i deifrovanje ........................................................................ 136
4.4.2. RSA digitalno potpisivanje............................................................................ 137
4.4.3. Tajnost i neporecivost .................................................................................. 140
4.4.4. Infrastruktura javnih kljueva ...................................................................... 142
4.4.5. Prednosti i nedostaci kriptografije sa javnim kljuevima............................. 146
e
5.1. Svojstva sigurnih he funkcija ....................................................................... 151

5.2. Roendanski problem .................................................................................. 154
5.3. Klasine sume nekriptografske he funkcije ............................................... 157
5.4. MD5 ............................................................................................................. 158
5.5. SHA .............................................................................................................. 161
5.6. He funkcija i integritet ................................................................................ 164

6.1. Lozinke ......................................................................................................... 169

6.1.1. Kljuevi ili lozinke ......................................................................................... 170
6.1.2. Izbor lozinke ................................................................................................. 171
6.1.3. Napadi preko lozinke ................................................................................... 172
6.1.4. Verifikacija lozinke ....................................................................................... 173
6.1.5. Drugi problemi sa lozinkama........................................................................ 174
6.2. Biometrija .................................................................................................... 175
6.2.1. Iris kao biometrijski podatak ........................................................................ 177
6.2.2. Biometrijska autentifikacija ......................................................................... 182
6.2.3. Nedostaci biometrijskih sistema .................................................................. 184
6.2.4. Zatita privatnost biometrijskih podataka ................................................... 186

7.1. Vizuelna kriptografija ................................................................................... 192

7.2. Steganografija .............................................................................................. 197
7.2.1. Istorijski osvrt na nastanak steganografije .................................................. 197
7.2.2. Moderna steganografija............................................................................... 198
7.2.3. Digitalni vodeni peat .................................................................................. 199
7.2.4. LSB supstitucija ............................................................................................ 201
7.3. Generisanje sluajnih brojeva....................................................................... 207
7.3.1. Vrste generatora .......................................................................................... 207
7.3.2. Razlika PRNG / TRNG.................................................................................... 209
7.3.3. Generatori sluajnih brojeva ........................................................................ 210
7.3.4. Naknadno procesiranje ekstrakta entropije izvora ...................................... 212

VI
~

,
VII
Predgovor
riptologija I je udbenik koji je namenjen studentima Fakulteta za

informatiku i raunarstvo Univerziteta Singidunum za pripremu ispita iz
predmeta Kriptologija 1, a moe se koristiti i za savladavanje gradiva iz predmeta u
kojima se koriste kriptoloki mehanizmi za zatitu podataka. Udbenik sadri uvodni
materijal u oblast informacione bezbednosti.
Kriptologija je nauka o zatiti podataka koja je dugo vremena bila orijentisana samo
na profesionalne sisteme za zatitu podataka (vojska, policija, bezbednosne agencije i
Ministarstvo spoljnih poslova). Od kada postoji komunikacija, postoji i potreba da se
podaci koji se prenose zatite od napadaa, tj. od onih kojima podaci nisu namenjeni.
Od vremena komercijalizacije Interneta, kada je on poeo da se koristi kao
infrastruktura za poslovanje, kriptologija je nala svoju primenu u svim aplikacijama
koje se odnose na elektronsko poslovanje: e-trgovina, e-bankarstvo, e-government i
sl. Isto se moe rei i za aplikacije za mobilne ureaje. Poverljivost (tj. tajnost)
podataka koji se prenose je samo jedan od servisa koji se zahteva. Slobodno se moe
rei da su danas jednako vani i servisi za autentifikaciju, integritet podataka,
dostupnost i neporecivost.
U udbeniku se razmatraju perfektni i primenjeni ifarski sistemi. Perfektni ili
apsolutno tajni ifarski sistemi se zasnivaju na ifrovanju primenom pravih sluajnih
nizova. Mana ovakvih sistema je u tome to se zahteva da duina sluajnog niza mora
da odgovara duini otvorene poruke koja se ifruje. U raunarskim aplikacijama,
naroito u onim koje su namenjene za rad u realnom vremenu, navedeni koncept nije
primenjiv u praksi. Zbog toga postoje raunarski sigurni sistemi koji se zasnivaju na
ifarskim algoritmima i ifarskim kljuevima. U njihovoj osnovi su generatori
pseudosluajnih nizova, koji obezbeuju dobra statistika svojstva niza za ifrovanje,
a koji se inicijalizuje na bazi kljueva relativno male duine.
Prvi deo udbenika se odnosi na istorijske ifre, tj. one koje danas imaju samo
istorijski znaaj, ali predstavljaju odlian uvod u moderne ifre. To su ifre zamene i
VIII
ifre premetanja koje su se razvijale i koristile do Drugog svetskog rata. Razmatranja

poinju sa Cezarovom ifrom, preko Vinerovih tablica, kodnih knjiga, pa sve do
elektromehanikih ureaja za ifrovanje. Najpoznatija maina za ifrovanje iz tog
vremena je dobro poznata Enigma, o kojoj su se potpunije informacije mogle
saznati sa distance od 30 do 40 godina.
Zatim se izuavaju simetrini i asimetrini ifarski sistemi sa stanovita moderne
kriptografije. Navedena podela se odnosi na kriptoloke kljueve. U simetrinim
sistemima se na obe strane komunikacije, pored algoritma ifrovanja, koristi i tajni
simetrini klju kojim se inicijalizuje algoritam. Tajnost simetrinih sistema se zasniva
na tajnosti kljua. Bez poznavanja tajnog kljua, najbolji mogui napad na ovakve
sisteme bi bila pretraga po svim moguim kljuevima. Najpoznatiji algoritmi iz ove
klase su DES, 3DES, AES. Asimetrini ifarski sistemi su mlai od simetrinih. Pojavili
su se sredinom sedamdesetih godina prolog veka. Nastali su kao odgovor na problem distribucije tajnih simetrinih kljueva. U asimetrinim sistemima jedan klju se
koristi za ifrovanje (javni klju), a drugi za deifrovanje (privatni klju). Ova dva kljua
su u jedinstvenoj vezi, ali se iz jednog ne moe odrediti drugi. Cela teorija poiva na
jednosmernim funkcijama koje se lako mogu izraunati u jednom smeru. Za inverznu
transformaciju su potrebni dodatni podaci. Tajnost ovakvih sistema poiva na
sloenosti izraunavanja nekih tekih matematikih problema. Najpoznatiji algoritam
iz ove klase je RSA. Asimetrini sistemi su pogodni za realizaciju dodatnih
funkcionalnosti kod savremenih aplikacija, a odnose se na servis za autentifikaciju,
integritet podataka i neporecivost. Za ove servise primenjuju se tehnike digitalnog
potpisivanja nad he vrednostima otvorenih poruka.
Teorijski materijali su podrani praktinim primerima koji su realizovani u
namenskom softverskom paketu CRYPTOOL. To je softver otvorenog koda preko koga
se mogu na efikasan nain proveriti svi koncepti iz kriptologije. U njemu postoje
gotove biblioteke ifarskih algoritama i dodatnih kriptoloki funkcija. Zapravo, ve
posle savladavanja radnog okruenja, mogue je realizovati jedan ifarski sistem.
Cilj ovog predmeta jeste da studenti savladaju koncepte modernih ifarskih sistema.
Ovi koncepti nalaze svoju primenu u savremenim IT tehnologijama: u softveru,
operativnim sistemima, raunarskim mreama, bazama podataka i Web aplikacijama,
IX
posebno u poslovnim sistemima. U praksi se standardno koriste vieslojna reenja

zatite. Na tritu postoji velika potreba za kadrovima sa znanjima iz kriptologije. To
nisu klasini informatiari, programeri, administratori, ve oni koji mogu da na
ispravan i potpun nain razumeju sve bezbednosne aspekte. Svaka organizacija ima
potrebu da brine o bezbednosti svojih podataka. U dananjim uslovima, upravo su
sistematska znanja iz zatite komparativna prednost i osnova za kvalitetnije
zapoljavanje.
Jedan od osnovnih problema pri uenju kriptologije predstavlja njena kompleksnost i
zasnovanost na sloenim matematikim principima i formulama. Najvei broj
bezbednosnih reenja danas ne zahteva detaljno poznavanje pomenutih
matematikih principa ve samo njihovo osnovno razumevanje i povezivanje sa
ulogom u praktinim reenjima. Prebacivanjem fokusa iz domena matematikih
osnova bezbednosnih reenja u domen praktine primene kod savremenih
informacionih i telekomunikacionih tehnologija znaajno se menja i profil studenata
u ovoj oblasti. Iz tog razloga je ovo preusmeravanje neophodno podrati
odgovarajuim edukacionim pristupima, materijalima i uslovima za uenje.
Naa iskustva sa korienjem tradicionalnog pristupa kod poduavanja kriptologije
ukazala su na potrebu za novim, interaktivnijim i kolaborativnijim nainima za
sticanje znanja iz ove oblasti. Umesto korienja bottom-up pristupa - kretanja od
potrebnih matematikih aparata ka njihovoj kriptografskoj primeni, odluili smo se za
top-down pristup: predstavljanje kriptolokih principa u kontekstu njihove praktine
primene u cilju izazivanja interesovanja za savladavanje njhovih prateih
matematikih principa.
Na kraju, zahvaljujemo se recenzentima na korisnim sugestijama koje su unete u
udbenik. Posebnu zahvalnost dugujemo redovnom profesoru dr Milanu
Milosavljeviu, osnivau moderne kriptologije na naim prostorima i ire, koji nam je
svojim iskustvom, savetima i prisustvom pomagao i bio inspiracija u toku pisanja ovog
udbenika. Ovo je prvo izdanje, te su sve kritike i sugestije itaoca dobro dole.
Beograd, 2013. godine
Autori
Kriptologija I - Osnove za analizu i sintezu ifarskih sistema

______________________________________________________________________________________
1. UVOD
roz istoriju je postojala potreba da se omogui komunikacija izmeu dve ili

vie strana, a da se zadri privatnost informacija koje se prenose, naroito u
sluaju kada postoji prislukivanje komunikacionog kanala. Sa tom potrebom je
nastala kriptografija (eng. Cryptography2). Dok je obezbeivanje privatnosti ostao
glavni cilj, polje kriptografije je proireno na niz drugih oblasti, ne samo u okviru
bezbednosti komunikacija, kao to su integritet i autentinost komunikacija, ve i na
mnoge druge sofisticiranije ciljeve.
Danas je primena kriptografije iroko rasprostranjena iako je nekada bila
primenjivana uglavnom u vojnim okvirima. Na primer, pri kupovini preko Interneta
upravo se kriptografija koristi da bi se osigurala privatnost broja platne kartice dok se
prenosi od korisnika do servera prodavnice. U elektronskom bankarstvu se
kriptografija koristi da bi se obezbedio pristup linim podacima i transakcijama.
Kriptografija se koristi skoro od kada je pisanje izmiljeno. Veim delom svoje istorije,
kriptografija je bila umetnost, igra matovitih reenja i napada. Iako je zadrala neke
od svojih starih ari, poslednjih tridesetak godina je donelo neto sasvim novo.
Umetnost kriptografije je spojena sa naukom, a danas govorimo o modernoj
kriptologiji. Danas je kriptologija temelj raunarske i komunikacione tehnologije.
Zasniva se na strogim matematikim principima i spaja oblasti kao to su teorija
brojeva, teorija raunarske kompleksnosti i teorija verovatnoe.
1.1.
CILJEVI I PRAVILA
Moderna kriptologija reava veliki broj problema. Najvaniji od svih problema i dalje
je ostvarivanje bezbedne komunikacije preko nesigurnih komunikacionih kanala. Da
bismo lake predstavili ovaj problem, definisaemo odreene pojmove: poiljaoc
(eng. Sender - S) i primaoc (eng. Receiver - R) koji ele da uspostave komunikaciju
Kriptografija (ili kriptologija); nastala od grke rei

- "skriveno, tajno"; i - "pisati", ili
- "nauka", respektivno)
11

______________________________________________________________________________________
meu sobom. esto emo nai u radovima iz kriptologije da se za likove u primerima

koriste imena Alisa i Bob. U kriptologiji se uvek razmatra i trea strana, a to je
protivnik (eng. Adversary - A). Protivnik predstavlja izvor pretnji. Zamiljamo ga kao
nekog ko ima pristup komunikacionom kanalu i eli da kompromituje bezbednost
strana koje komuniciraju. Zbog toga je u upotrebi i trei lik, Trudi. Ljudski likovi se
uvode zbog lakeg razumevanje problema, a i suvoparna razmatranja postaju
zabavnija. Meutim, to ne znai da su poiljalac i primalac samo ljudska bia, ve oni
mogu biti i neto drugo, kao na primer: mobilni telefon, raunar ili neki proces na
raunaru.
Slika 1.1 Kriptologija tei dostizanju idealnog komunikacionog kanala izmeu poiljaoca
primaoca
Idealni komunikacioni kanal. Zamislimo nae dve strane kako komuniciraju kroz
neprobojnu i zvuno nepropustivu cev, kroz koju poiljalac moe da apne poruku i
primalac da je uje. Niko drugi ne moe da uje njihov razgovor niti da izmeni bilo ta
u njemu. Ova cev predstavlja savreni komunikacioni kanal, dostupan samo
poiljaocu i primaocu, kao da su sami na svetu. Sa stanovita bezbednosti ovaj
komunikacioni kanal je savren. Na alost, u stvarnom ivotu ne postoje idealni
komunikacioni kanali izmeu strana koje bi elele da komuniciraju. Najee se takve
komunikacije obavljaju preko javnih mrea, kao to je Internet. Osnovni cilj
kriptologije jeste da omogui komunikaciju koja ima slina svojstva sa idealnim
komunikacionim kanalima.
Svi aspekti idealnog kanala se ne mogu dostii, tako da kriptolozi imaju jo neke
ciljeve kojima konstantno ele da se priblie. Prvi cilj je privatnost. Obezbediti
12

______________________________________________________________________________________
privatnost znai sakriti sadraj komunikacije od protivnika. Drugi cilj je autentinost i

integritet. elimo da primalac, nakon to primi poruku od poiljaoca, ima mogunost
da proveri da li je poruka zaista stigla od poiljaoca, a ne od protivnika i da niko nije
promenio poruku na njenom putu od poiljaoca do primaoca.
Protokoli. U cilju obezbeivanja servisa privatnosti i autentinosti, definisani su
odgovarajui kriptoloki protokoli. Protokol je skup pravila koja razumeju i potuju
strane u komunikaciji. Kriptolokim protokolima se vri izbor algoritama po kojima se
vri ifrovanje/deifrovanje, dogovaraju se kljuevi i usaglaavaju drugi kriptoloki
parametri. Nije teko zakljuiti da, u elji da osiguraju svoju komunikaciju, strane
moraju znati neto ili biti u stanju da urade neto to trea strana (napada) ne zna ili
nije u stanju da uradi. Zapravo, mora postojati odreena asimetrija izmeu situacija u
kojima se nalaze strane koje komuniciraju i situacije u kojoj se nalazi protivnik.
U tekstu e se koristiti izrazi koji su formalno definisani.
Pismo ili alfabet (eng. alphabet) je konaan skup. Obino koristimo grko slovo za
oznaavanje pisma. Na primer je pismo koje se sastoji od
deset karaktera, a je pismo koje se sastoji od dva karaktera i ono se zove
binarno pismo. Niz (eng. string) je konaan niz karaktera. Broj karaktera u nizu se
zove duina (eng. length) niza. Duina niza se oznaava sa . Znai da niz
ima duinu etiri i da je u binarnom pismu. Niz je
duine 14 i napisan je srpskim pismom. Niz duine nula se naziva prazan niz i
oznaava se sa . Ako su i nizovi, onda je njihov spoj koji se obeleava sa
jednak karakterima niza na koje se nadovezuju karakteri niza . Na primer,
. Skoro da se sve moe predstaviti nekim nizom. Ovo je
posebno bitno, zbog toga to se u raunarskim tehnologijama sve predstavlja
binarnim nizovima. Ako je broj a niz onda je neki niz koji kodira broj
i . Nije teko da ako imamo i , izraunamo . Obrnuto, ako imamo samo teko
se moe izraunati i . Jezik (eng. language) je grupa nizova koji svi nastaju iz
jednog pisma. Ako je pismo onda predstavlja sve nizove iji karakteri potiu iz .
Na primer .
Slika 1.2 Definicije nekih osnovnih pojmova
13

______________________________________________________________________________________
U kriptologiji postoje dva osnovna bezbednosna modela, a to su: simetrini (eng.

symmetric) ili model sa tajnim kljuevima i asimetrini (eng. asymmetric) ili model sa
javnim i privatnim kljuevima. Moderni kriptoloki sistemi su najee kombinovani
(hibridni) u cilju postizanja kompletne zatite, najee u vie nivoa.
1.1.1. SIMETRINI MODELI

U praksi, najjednostavniji i najei sluaj je kada poiljalac i primalac imaju jedan
klju koji protivnik nema. Ovaj model se naziva simetrini model. Cela teorija ovih
modela se zasniva na jednom kljuu koji protivnik ne sme da ima. Klju je uglavnom
sluajni niz duine bitova. Poiljalac i primalac moraju nekako da iskoriste klju da
bi zatitili svoju komunikaciju od protivnika. Problem razmene kriptolokih kljueva za
simetrine ifarske sisteme, kao i postupci za ugovaranje tajnog simetrinog kljua,
jesu predmet razmatranja u ovom udbeniku. U svim ifarskim sistemima, posebna
panja se posveuje generisanju i distribuciji kriptolokih kljueva, to zahteva
organizacione mere, tj. sprovoenje specifinih politika zatite. Uspenost
ifrovanja i deifrovanja zahteva sprovoenje postupaka za inicijalizovanje na
predajnoj i prijemnoj strani, koji se jednom reju zovu kriptoloka sinhronizacija.
U kriptologiji se pretpostavlja da je klju na sigurnom i da ga znaju samo strane koje
ele da komuniciraju. Ako je na primer klju uvan na nekom raunaru, pretpostavlja
se da je taj raunar zatien od domaaja napadaa, a zatita takvog sistema je posao
sistema za zatitu raunara. Zbog visokotehnolokih reenja hardvera, operativnih
sistema i samog Interneta, esto se izvlai zakljuak da su jedino sigurni izolovani
raunari, tj. raunari koji nisu povezani na javne mree.
Simetrini ifarski sistemi. Protokol koji se koristi u simetrinim sistemima se naziva
ema simetrinog ifrovanja. Ovakva ema se moe oznaiti sa . Sa
je oznaen algoritam ifrovanja (eng. encryption algorithm). Poruka koju poiljalac
eli da poalje se najee naziva otvoreni tekst (eng. plaintext). Poiljalac ifruje
(eng. encrypts) otvoreni tekst kombinovanjem kljua , algoritma ifrovanja i
otvorenog teksta . Tako nastali tekst naziva se ifrat (eng. ciphertext) . Algoritam
predstavlja algoritam deifrovanja (eng. decryption algorithm). Primalac primenjuje
algoritam sa kljuem na ifrat . Nakon uspenog deifrovanja dobija se
prvobitno ifrovana poruka , tj. otvoreni tekst. Najee, klju je sluajni niz
14

______________________________________________________________________________________
odgovarajue duine. Algoritmi ifrovanja su predmet standardizacije (DES, 3DES, AES

i sl.) i generiu se prema strogim matematikim principima.
Slika 1.3 Simetrino ifrovanje. Poiljalac i primalac imaju isti klju, . Protivnik nema klju.
je otvoreni tekst, a je ifrat.
ema simetrinog ifrovanja je dobro poznata. Napada moe da poznaje model

ifarskog sistema, da zna algoritam po kojem je vreno ifrovanje, ima na
raspolaganju ifrat, ali bez poznavanja kljua nije u stanju da otkrije poruku koja
se prenosi. Razlikovaemo apsolutno tajne simetrine ifarske sisteme u kojima ne
postoji mogunost deifrovanja ifrata i otkrivanja poruke . U praktinoj upotrebi
su raunarski sigurni simetrini ifarski sistemi kod kojih nije mogue u razumnom
vremenu doi do otvorene poruke , odnosno najbolji mogui put za deifrovanje je
isprobavanje svih moguih vrednosti kljua , to se danas smatra tekim
problemom za realizaciju u realnom vremenu, ukoliko je klju dovoljne duine.
ta je privatnost? Cilj eme simetrinog ifrovanja je da sprei protivnika, koji
poznaje ifrat da sazna otvoreni tekst. Dobijanje otvorenog teksta bi moglo da bude
ostvareno u pokuaja, to nije loe ako je neki mali broj. Ovo nam objanjava
jednu novu teoriju, da ema ifrovanja nije sigurna niti nesigurna, ve da postoji
odreena verovatnoa da ona bude razbijena.
Postoji jo faktora koji bi mogli uticati na sigurnost komunikacije. Na primer, da
protivnik ve zna neto o poruci i pre nego to je poslata. Recimo da Alisa i Bob ele
da kupe neke akcije, i da poruka koju ele da razmene moe biti kupi ili nemoj da
15

______________________________________________________________________________________
kupi, 1 ili 0. To znai da protivnik ima 50% ansi da pogodi poruku. Treba imati na
umu i ovakav sluaj.
Takoe, treba da budemo toga svesni da protivnik najee nije neko ko nema
dovoljno znanja i ne ulae dovoljno energije u napade. Uglavnom je protivnik neko ko
je veoma moan. Pored toga, u kriptologiji, preciznije u kriptoanalizi poznat je jedan
princip koji kae da e napada uloiti onoliko sredstava u napad, koliko vredi
informacija do koje eli da doe.
Autentinost i integritet poruke. Poruka poslata primaocu od strane poiljaoca esto
je poslata kroz nesigurni komunikacioni kanal (npr. kao to je Internet). elimo da
obezbedimo primaocu mogunost da sa sigurnou utvrdi da je poruka poslata od
strane poiljaoca, a ne od protivnika i da nije izmenjena prilikom prenosa. Najee
korieni nain za reavanje problema autentinosti poruke je primena koda za
autentinost poruke (eng. message authentcation code - MAC).
Slika 1.4 Kod autentinosti poruke. Dodatak se kombinuje sa otvorenim tekstom i

primalac na osnovu njega odluuje da li je poruka potekla od poiljaoca sa kojim deli klju
Kada poiljalac eli da poalje poruku , kreira se dodatak (eng. hash) koji se ifruje
odgovarajuim algoritmom i kljuem . Dobijeni ifrovani dodatak dodaje se
otvorenom tekstu i alje se poruka . Primalac dobija poruku koja moe biti
izmenjena zbog uticaja uma u komunikacionom kanalu . Verifikacija se
sprovodi nad dobijenom porukom primenom istog algoritma za deifrovanje i kljua
. Ako je izlaz verifikacionog algoritma 1, on prihvata poruku kao autentinu, a ako
nije, on poruku smatra kao prevaru. Njegova reakcija se moe ogledati u ignorisanju
16

______________________________________________________________________________________
poruke, preko obavetavanja poiljaoca o prevari, do prekidanja komunikacije.

Verifikaciona ema poiva na deljenom tajnom kljuu koga poseduju samo
poiljalac i primalac.
1.1.2. ASIMETRINI MODELI

Klju za koji znaju samo strane koje komuniciraju i njegova tajnost, nije jedini nain
uvanja privatnosti komunikacije. Asimetrini ifarski sistem, poznat i kao model sa
javnim kljuem, zasnovan je na postojanju dva kljua: javnog (eng. public key PK) i
tajnog kljua (eng. secret key - SK). Javni klju je poznat javnosti i moe biti objavljen.
Javno Privatno
PK_Bob SK_Bob
Slika 1.5 Primer asimetrinog modela.
Asimetrino ifrovanje. Asimetrino ifrovanje se zasniva na primeni specifinih

algoritama za ifrovanje i deifrovanje i primeni dva kljua koja su meusobno
povezana (javni i privatni klju). Pretpostavlja se da poiljalac ima kopiju
javnog kljua primaoca. Takoe, zbog njegove javnosti smatramo da i napada ima taj
isti klju. Da bi poslao tajnu poruku, poiljalac ifruje otvoreni tekst i pravi ifrat
na osnovu algoritma ifrovanja, . Takav ifrat se alje primaocu koji
ga deifruje uz pomo tajnog kljua, . Sutina asimetrinih ifarskih
sistema je u tome da se ifrovana poruka na bazi javnog kljua ne moe deifrovati na
bazi istog kljua. Potreban je drugi par ovog kljua privatni klju.
Ideja kriptografije sa javnim kljuem i sama mogunost ostvarivanja ovakvog cilja je
fantastina. Recimo da nikada nismo upoznali primaoca! Moemo mu poslati tajnu
17

______________________________________________________________________________________
poruku tako to emo potraiti neke informacije u javno dostupnoj bazi i ifrovati
poruku na nain tako da samo on moe da je deifruje. Tvorcima ideje o kriptografiji
sa javnim kljuem smatraju se Whitfield Diffie i Martin Hellman3.
Digitalni potpisi. Nain za potvrivanje autentinosti i integriteta poruke u
asimetrinom modelu jeste digitalni potpis (eng. Digital signature). U ovom sluaju,
poiljalac ima javni klju i odgovarajui tajni privatni klju .
Pretpostaviemo da primalac zna javni klju koji pripada poiljaocu, strani
koja potpisuje. Takoe, smatramo i da protivnik ima javni klju. Kada poiljalac eli da
poalje poruku , on njoj isto dodaje dodatne bitove, , koji se nazivaju potpis ( eng.
signature ) te poruke. Tanije, nastaje tako to se najpre izrauna saetak poruke
(hash), a zatim se saetak ifruje primenom asimetrinog algoritma na bazi privatnog
kljua. Na prijemu, primalac odreuje da li je poruka autentina na osnovu dobijenih
i i javnog kljua poiljaoca primenjujui ih na verifikacioni (eng. verification) algoritam. Ako je poruka prihvaena, primalac je smatra kao autentinu, ako
nije, smatra je kao pokuaj prevare.
Javno
Privatno
PK_Alisa SK_Alisa
Slika 1.6 ema digitalnog potpisivanja je odreena na osnovu algoritma za generisanje kljua,
algoritma potpisa i algoritma potvrde.
Whitfield Diffie i Martin Hellman, ameriki kriptolozi, jesu pioniri kriptografije sa javnim kljuem. U
naunom radu objavljenom 1976. godine New Directions in Cryptography uveli su potpuno novu
metodu za distribuciju kriptolokih kljueva.
18

______________________________________________________________________________________
Jedna od razlika izmeu MAC i digitalnog potpisa je neporecivost (eng. nonrepudiation). Sa MAC, svako ko moe da potvrdi autentinost poruke, kojoj je MAC
dodeljen, moe i da napravi takvu poruku. Na primer, tako zatiena poruka ne bi
mogla biti iskoriena na sudu. Meutim, sa digitalnim potpisom jedino strana koja
potpisuje moe da napravi poruku koja se moe verifikovati javnim kljuem PK . I to
se moe iskoristiti kao dokaz na sudu.
1.1.3. REZIME
U nastojanju da to bolje oponaamo osobine savrenog kanala, postavljamo dva
osnovna cilja: obezbeivanje privatnosti poruke i obezbeivanje autentinosti I
integriteta poruke. Dva osnovna naina za postizanje tih ciljeva jesu upravo simetrini
i asimetrini ifarski sistemi.
Tabela 1: Rezime osnovnih osobina simetrinog i asimetrinog modela.
1.2.
Simetrini model
Asimetrini model
Privatnost poruke
Simetrino ifrovanje
(tajni klju)
Asimetrino
ifrovanje (javni klju
strane primaoca)
Autentinost i
integritet poruke
Kod autentinosti
poruke (MAC)
ema digitalnog
potpisivanja (privatni
klju poiljaoca)
OSTALI KRIPTOLOKI CILJEVI
U kriptologiji postoji mnogo ciljeva. Neki se odnose na one koje smo ve opisali.
Osnova za sve ifarske sisteme jesu generatori sluajnih nizova. Za praktine sisteme
zatite, cilj kriptologa je sinteza kvalitetnih generatora pseudoslujanih nizova. Pri
realizaciji tei se ka jednoznanoj autentifikaciji strana u komunikaciji.
19

______________________________________________________________________________________
1.2.1. GENERATORI SLUAJNIH I PSEUDOSLUAJNIH NIZOVA

Sluajni impulsi se u stvarnosti javljaju samo u prirodnim pojavama i situacijama koje
je nemogue predvideti (na primer bacanje potpuno simetrinog novia). U primeni
se meutim upotrebljavaju hardverska i/ili programska reenja koja dovode do toga
da su dobijeni impulsi manje ili vie sluajni. U praksi se pri prouavanju sluajnosti
nekog niza impulsa koristi skup odabranih testova kojima se proverava posmatrani
niz impulsa (za koji elimo ustanoviti da li je sluajan). Zakljuak da je niz sluajan
zapravo znai da niz pokazuje neke karakteristike koje se oekuju od niza sluajnih
impulsa.4
Niz sluajnih impulsa generie se od strane generatora sluajnih impulsa (eng. random number generators-RNG). Generatore sluajnih impulsa moemo generalno
podeliti u dve kategorije: generatori istinski sluajnih impulsa (eng. true random
number generators-TRNG) i generatori pseudosluajnih impulsa (eng. pseudorandom
number generators-PRNG). TRNG meri neku prirodnu pojavu koja je sluajna, pa su i
rezultati njegovog rada stvarno sluajni impulsi. PRNG koristi raunarske algoritme
koji stvaraju niz prividno sluajnih impulsa, a koji su zapravo unapred odreeni i zato
se zovu pseudo-sluajni 5 . Jedna od najvanijih karakteristika pseudosluajnih
generatora je periodinost izlaznog niza. Zavisno od strukture algoritma i poetnog
stanja, perioda izlaznog niza je kraa ili dua, ali uvek konana.
Generalno, gde je prioritet sluajnost, hardverski generatori istinski sluajnih impulsa
su poeljniji od generatora pseudosluajnih impulsa.
Na Internetu postoji skup javno dostupnih testova za ocenu sluajnosti generatora sluajnih i
pseudosluajnih nizova. Najkompletniji testovi su se mogu nai kod NIST-a (National Institute of Standards and Technology) - Ameriki nacionalni institut za standarde i tehnologiju.
5
Generatori sluajnih impulsa koji se mogu pozvati iz nekog programskog jezika najee su
pseudosluajni generatori. Za istu ulaznu inicijalnu sekvencu (seed) dobija se isti izlaz iz generatora.
20

______________________________________________________________________________________
1.2.2. AUTORIZACIJA
Uobiajeno je da dve strane ele da uspostave bezbednu komunikaciju. Pod
bezbednom komunikacijom smatramo onu u kojoj su strane sigurne da komuniciraju
jedna sa drugom i da je njihova komunikacija sakrivena od bilo koje tree strane.
Jedan takav sluaj je, na primer, kada Alisa eli da se sa odreene udaljenosti prijavi
na svoj raunar. Ili komunikacija izmeu klijenta i servera u elektronskom bankarstvu,
gde klijent npr. ima mogunost da izvri elektronsko plaanje, tj. prenos sredstava sa
svog rauna na neki drugi raun. Po definiciji autorizacija se odnosi na dozvole
pristupa pojedinim resursima sistema i dozvole za odreene akcije nad resursima
kojima se pristupa. U principu, pun pristup svim resursima sistema se ne daje svim
korisnicima. Samo privilegovan korisnik, poput administratora, mogao bi dobiti
dozvolu da instalira softver. Autorizacija je skup postupaka i tehnika za ograniavanje
rada autentifikovanih korisnika.
1.2.3. PROTOKOLI AUTENTIFIKACIJE

Da bi se pristupilo veini Internet servisa, kao to su elektronska pota, Internet
bankarstvo, Internet kupovina i sl., potrebno je prvo dokazati da ste onaj za koga se
predstavljate. Ovaj proces, prilikom koga se utvruje identitet, poznat je kao
autentifikacija. Autentifikacija je proces utvrivanja da li korisniku (osoba, raunar,
maina, jednom reju entitet) treba dozvoliti pristup sistemu. Razlikuju se problemi
autentifikacije na lokalni ili udaljeni raunar. Kod lokalne autentifikacije podrazumeva
se da se u cilju potvrivanja identiteta koristi neto to znate (na primer lozinka),
neto to imate (na primer pametni telefon) ili neka jedinstvena osobina (na primer
skener mrenjae oka ili otisak prsta). Kod autentifikacije na udaljeni raunar, podaci
potrebni za autentifikaciju se prenose raunarskom mreom gde se primenjuju
bezbednosni protokoli u cilju otklanjanja mogunosti manipulacije.
Problem korienja samo lozinke prilikom autentifikacije je oigledan. U sluaju
kompromitacije lozinke, napada moe da ostvari neovlaeni pristup Internet
raunima i informacijama. Ako se koristi isto korisniko ime i lozinka za vie Internet
rauna, teta moe biti jo vea. U cilju bezbednije autentifikacije, danas se sve vie
uvode snanije metode koje zahtevaju korienje vie od jednog faktora
21

______________________________________________________________________________________
autentifikacije. Oigledan primer dvostruke autentifikacije predstavlja korienje

kreditne kartice prilikom podizanja novca sa bankomata. Da biste pristupili
bankomatu potrebno je da posedujete neto (svoju kreditnu karticu) i da neto znate
(svoj PIN). Ako neko ukrade vau karticu, ne moe je zloupotrebiti sem ukoliko ne zna
va PIN (upravo zbog toga je vano da ga nikad ne zapisujete na kartici).
Raunarski protokoli su namenjeni za ostvarivanje bezbedne autentifikacije, kada se
ona radi preko raunarske mree. U tu svrhu se koriste simetrini i asimetrini ifarski
sistemi i he funkcije. Dobro su poznati razliiti bezbednosni protokoli koji imaju svoju
namenu u slojevitoj arhitekturi raunarske komunikacije, SSL, IPSec, WEP, WPA i sl.
Sutina ovih protokola jeste da se spree napadi tipa: ponavljanje poruka,
modifikacija poruka na prenosnom putu ili potpuno preuzimanje komunikacije, npr. u
sluaju napada tipa ovek u sredini (eng. Man-in-the-middle-attack).
1.3.
PRAKTINI KRIPTOLOKI PROBLEMI
U nastavku se razmatra nekoliko tipinih kriptolokih problema iz prakse.
1.3.1. PROTOKOLI, STRANE KOJE KOMUNICIRAJU I PROTIVNICI

Kriptografija se bavi konstruisanjem i analizom protokola koji prevazilaze probleme
nastale pod uticajem protivnika. Do sada su navedeni primeri nekoliko problema sa
protokolima i nekoliko razliitih protokola.
Po pravilu mi se prema stranama kojima pruamo zatitu odnosimo kao prema
dobrim momcima i elimo da im obezbedimo postizanje njihovih ciljeva. To se radi
tako to se konstruiu protokoli koje e oni moi da koriste. Protokol postavlja pravila
ponaanja svake strane prilikom obavljanja komunikacije. Protokol je u sutini program.
Protokol moe biti takav da kada strana zavri komunikaciju, moe sauvati neke
informacije za sledei put (eng. stateful). Na primer, strana moe znati ovo je prvi
put da pokreem komunikaciju, ovo je drugi put da pokreem komunikaciju, itd.
22

______________________________________________________________________________________
Protokoli se razlikuju prema problemima koje reavaju. Nije isto reenje za protokole
za simetrino ifrovanje i za protokole kojima se vri autentifikacija strana u
komunikaciji.
Protivnik predstavlja izvor problema u kriptologiji. On nastoji da iskoristi potencijalne
slabosti protokola i da bez kriptoanalize doe do otvorene poruke najee
varanjem druge strane u komunikaciji. Nasuprot tome, protokol nastoji da odbije bilo
kakve napade protivnika. U sutini to je igra u kojoj pobeuje onaj ko je pametniji
poznavalac protokola.
Kriptografija je najvie fokusirana na protivnika. Prouavajui o tome ta on moe da
uradi, a ta ne. Ako se ne pronau adekvatni odgovori na ova pitanja dalji rad ne bi
dao neke znaajnije rezultate. Kao to smo rekli, protivnik bi mogla biti stvarna
osoba, ali takoe moe biti i samostalni program za napad, konkurentska kompanija,
kriminalna organizacija, vladina institucija, grupa hakera ili nekolicina nesrenih
okolnosti zajedno.
Ako zamislimo monog protivnika, mi zauzimamo pesimistian stav prema
dogaajima koji mogu krenuti loe. Trudimo se da uspemo iako neko eli da osujeti
nae planove. Moda niko to ne eli. U tom sluaju treba ostvariti bar visoku
pouzdanost u zatiti.
1.3.2. KRIPTOLOGIJA I BEZBEDNOST RAUNARA

Dobri protokoli su kljuni alati za konstruisanje bezbednih raunarskih sistema. Loi
protokoli predstavljaju slabu kariku preko koje se moe lako provaliti u raunarske
sisteme, izvriti napad na raun u banci, prislukivati telefonski razgovor itd.
Projektovanje dobrog protokola je veoma teko. Lako je potceniti problem i smisliti
protokol koji e se kasnije pokazati kao nefunkcionalan. Vreme i trud potrebni za
kvalitetno projektovanje protokola esto su potcenjeni. Da bi se posao obavio kako
treba, potrebni su znanje, trud i vreme.
Bezbednost ima puno aspekata. Da bi sistem bio bezbedan, potrebno je kombinovati
veliki broj faktora. Na primer, ne bi trebalo da postoji mogunost da hakeri probiju u
23

______________________________________________________________________________________
sistem i koriste na nalog, da uzmu nae podatke ili upropaste neki rad. Ovo su zadaci
bezbednosti sistema.
Kriptoloki protokol je samo deo slagalice. Ako je loe projektovan, protivnik e to
iskoristiti. Na primer, ako protokol alje vau ifru nezatienu, tako da je svako moe
razumeti, onda je to problem protokola, a ne sistema.
Bezbednost sistema je dobra onoliko koliko je jaka i njegova najslabija karika. Ovo je i
razlog zato je teko projektovati siguran sistem. Da bismo postigli bezbednost koja
nam je potrebna, neophodno je da se posvetimo svim problemima: kako da zatitimo
nae maine od napadaa, kako da projektujemo dobar protokol itd.
Obezbeivanje bezbednosti je teak zadatak. Takoe, razliiti sistemi zahtevaju
razliite vrste zatite, a time inei ovu oblast jo obimnijom. Jedini nain reavanja
ovih problema je deljenje problema sigurnosti na vie manjih, lake reivih problema.
1.3.3. PRAVILA IGRE

Kriptologija ima odreena pravila. Prvo pravilo je da protivnika moemo savladati
samo putem dobrih protokola. Danas se zatita podataka ne zasniva na posedovanju
naoruanja i sile, ve na primeni strogih matematikih principa. Kriptologija je danas
podrana matematiki preciznim garancijama, vremenskom dimenzijom i dostupnom
raunarskom tehnologijom za reavanje sloenih problema. Metode sile su moda
efikasne, ali to nije kriptologija.
Jo jedno pravilo na kome veina kriptologa insistira jeste da protokol bude javan. A
da tajni deo moe biti jedino klju. Kljuevi su tajni podaci, a ne algoritmi. Zato
insistiramo da nai protokoli budu javni? Postoji nekoliko razloga. Odluni napada e
ionako saznati kakav je to algoritam, poto po pravilu on mora biti ugraen u razliite
programe i raunare. Pokuaj da uinimo protokol tajnim je skoro nemogu. A i
skrivanje algoritma dovodi u pitanje da li mi elimo postii sigurnost ili zavaravanje.
Pored toga, nauni rad ne moe dovoljno napredovati ako je tajan, tako da skrivanje
kriptolokih metoda moe znaiti da metod ostane nedovoljno razvijen.
Vladine organizacije koje imaju veze sa kriptologijom esto svoje mehanizme ine
tajnim. Za njih je saznavanje kriptoloki mehanizama jo jedna prepreka koju
24

______________________________________________________________________________________
protivnik mora preskoiti. Zato ita otkrivati? Neke organizacije imaju druge razloge
zato ne ele da otkriju svoje mehanizme u koje se ubraja irenje kriptografskog
znanja, ili strah od razotkrivanja sposobnosti (ili nesposobnosti) same organizacije.
1.4.
PRISTUPI IZUAVANJU KRIPTOLOGIJE
Razmotrimo ukratko istoriju kriptologije i njena dva razvojna pravca. Razvoj kroz
kriptoanalizu i razvoj kroz dokaze.
1.4.1. FAZE U RAZVOJU KRIPTOLOGIJE

Istorijski razvoj kriptologije se moe grubo podeliti u tri faze. U prvoj, ranoj fazi,
algoritmi su morali da se prave uz pomo papira i mastila. Cezar je koristio
kriptograme. Njegov i ostali naini simetrinog ifrovanja su ukljuivali ifrovanje
zamenom. To znai ifrovanje nainom permutacije (zamena, slovo za
slovo u okviru jednog pisma). Simbol je ifrovan kao , a neki tekst je
ifrovan tako to se ifruje svaki simbol zasebno. Deifrovanje se sastoji od
primenjivanja . Ovakav nain ifrovanja danas ima samo istorijsku vrednost.
Druga faza razvoja je faza kriptografskih maina. Ova faza se vezuje za period Drugog
svetskog rata. Najpoznatija kriptografska maina tog vremena je bila nemaka Enigma.
Poslednja faza razvoja kriptografije je moderna kriptologija. Centralnu ulogu imaju
matematika i raunari. Raunari omoguavaju korienje kompleksnih algoritama, a
matematika omoguava njihovo projektovanje. Nauni period kriptografije datira od
1949. godine i radova Kloda enona.
1.4.2. RAZVOJ KRIPTOLOGIJE KROZ KRIPTOANALIZU

Tradicionalno, mehanizmi kriptologije su se razvijali fokusirani na konkretne napade i
naine kako da ih odbiju. To bi izgledalo, na primer, ovako:
1. Kriptografski cilj je odreen;
25

______________________________________________________________________________________
2. Ponueno je reenje;
3. Traganje za nainom napada na ponueno reenje;
4. Kada se pronae potencijalna slabost reenja, vraamo se na korak 2 i
ponavljamo proces.
Trei korak se naziva kriptoanaliza.
Po nekima, kriptografija se odnosi na kreiranje kriptografskih mehanizama,
kriptoanaliza se odnosi na napade na te mehanizme, a kriptologija obuhvata obe
pomenute. Mi smo esto koristili re kriptografija tamo gde bi re kriptologija bila
adekvatnija. Mnogi kriptolozi ne pridaju znaaja ovoj razlici, pa neemo ni mi.
Postoje neki problemi u razvoju kriptografije kroz kriptoanalizu. Oigledan problem je
to to se nikada ne zna da li je posao do kraja obavljen kako treba i kada je posao
zavren. Pomenuti proces bi trebalo da se ponavlja sve dok projektant ne oseti da je
proizvod adekvatan. Ali projektant mora da prihvati da greke mogu biti otkrivene u
bilo kom trenutku. Uz malo sree, napadi nee biti fatalni, mada se moe se desiti i da
budu. ak se moe desiti da projektant shvati da je popravka sistema teka ili ak
nemogua.
Kriptoanaliza zahteva visoku inteligenciju. Smatra se da kriptoanaliza ne moe biti
nauena, ve da dobar kriptoanalitiar mora imati jak oseaj za matematiku i
veoma razvijen intelekt. Iz tog razloga su kriptoanalitiari veoma cenjeni.
1.4.3. ENONOVA SIGURNOST SIMETRINOG IFROVANJA

Kriptografija sa simetrinim ifrovanjem, u kojoj dokazi i definicije igraju znaajnu
ulogu, poinje sa radom Kloda enona (Claude Shannon). enon ne samo da je bio
otac teorije informacija, ve se smatra da je i otac moderne kriptologije.
Sigurnost koju pominjemo znai poraziti protivnika, to znai da moramo da
definiemo ta protivnik hoe i ta zapravo tajnost predstavlja. Prema enonu,
savrena (perfektna, apsolutna) tajnost je ona po kojoj prilikom razbijanja ifrata
moemo sa istom verovatnoom dobiti bilo koje dve poruke i .
26

______________________________________________________________________________________
Da bismo imali apsolutnu tajnost simetrinog ifarskog sistema, duina kljua treba
da odgovara duini poruke koja se ifruje. Meutim, u praktinoj primeni
kriptografije, jedan klju esto se koristi za ifrovanje velikih koliina podataka koji se
prenose ogromnim brzinama. To znai da se u najveem broju dananjih praktinih
reenja za prenos ne moe postii enonova apsolutna tajnost. Zbog toga moramo da
prihvatimo sisteme koji nisu savreni, ali su ipak dovoljno dobri i odgovaraju za
raunarsku primenu.
1.4.4. TEORIJA RAUNARSKE KOMPLEKSNOSTI

Moderna kriptologija je povezana sa problemima koji se odnose na intenzitet
raunarske moi koja je protivniku na raspolaganju. Tajnost u raunarskim sigurnim
ifarskim sistemima zasnivamo na pretpostavci da protivnik nema dovoljno
raunarskog vremena. Teorijski posmatrano, praktine ifarske sisteme je mogue
probiti, ali se u realnom vremenu to ne moe desiti. Najee su ovakvi napadi
nedostini.
Ovo je radikalna promena posmatrana sa mnogih aspekata. Ono to prenosi
kriptografiju iz domena teorije informacija u domen raunarske tehnologije. I to
zapravo menja ono to moemo postii.
Mi elimo da dostignemo ovakve tvrdnje:
Pretpostavljamo da protivnik koriti ne vie od raunarskih ciklusa i verovatnoa da
on probije na metod je . Kao to smo primetili, ova tvrdnja je zasnovana na
verovatnoi. Skoro sve tvrdnje sa kojima emo se susreti e biti zasnovane na
verovatnoi.
Takoe, nismo ni govorili o tome kako protivnik radi. Koji algoritam ili tehniku koristi,
o tome nita ne znamo. A naa tvrdnja je vrsta i pored svega toga. To je ini veoma
snanom tvrdnjom.
Do sada nam je postalo jasno da tvrdnje kao ova pomenuta, u praksi predstavljaju
dovoljno dobru zatitu. Meutim, protivnik usavrava i unapreuje svoje
dekripterske mogunosti te je i mogunost probijanja date ifre sve vea. Kada bi
27

______________________________________________________________________________________
protivnik imao raunarsku snagu od ciklusa mi ne bismo imali nikakvu sigurnost.

Meutim, niko nema toliku raunarsku snagu.
1.4.5. JEDNOSMERNE FUNKCIJE

Protokole na najniem nivou nazivamo osnovni protokoli. Protokoli vieg nivoa su
izgraeni nad ovim protokolima. U kriptologiji, protokoli se konstruiu na osnovu
kriptografskog problema sa kojim se susreemo. Kriptoloki protokoli objanjavaju
kako ifrovati, kako potvrditi identitet, kako distribuirati klju. Oni predstavljaju
nadogradnju osnovnih protokola. Osnovni protokoli su zasebni protokoli i oni su
jednostavniji od protokola vieg nivoa. Oni imaju odreenu sloenost i bezbednosna
svojstva, ali sami ne reavaju itav kriptografski problem. Oni se moraju pravilno
koristiti da bi se postigao eljeni rezultat. Ranije se nije pravila neka vea razlika
izmeu osnovnih i viih protokola. U nekim sluajevima razlika i ne postoji.
Raunarska priroda moderne kriptologije nalae da se reenja moraju zasnivati na
tekim problemima sa raunarskog aspekta. Teko je pronai odgovarajui metod koji
bi bio teko reiv ak i primenom monih raunara.
Jedno od odgovarajuih reenja bi mogle biti jednosmerne funkcije. To su funkcije,
, koje za zadato daju , za koje vae dva pravila:
(1) je lako izraunati, odnosno postoji efikasni algoritam koji za zadato ,
daje .
(2) Teko je izraunati inverznu vrednost funkcije. Protivniku koji ima je
veoma teko da izrauna tako da je . Ovo vai u sluaju
ograniene raunarske moi.
Da li je mogue napraviti funkcije sa takvim osobinama? Kae se da su primeri
jednosmernih funkcija veoma esti u stvarnom ivotu. Lake je razbiti stakleni tanjir,
nego sastaviti ga ponovo. Naravno, mi elimo da projektujemo matematiki model
koji moemo implementirati u sistem.
Jedan izvor primera proistie iz teorije brojeva i on pokazuje veliku povezanost
izmeu kriptografije i teorije brojeva. Veliki deo kriptografije je zasnovan na teoriji
28

______________________________________________________________________________________
brojeva. Jedna jednostavna jednosmerna funkcija zasnovana na teoriji brojeva je

mnoenje. Na primer funkcija uzima dva broja i i mnoi ih da bi dobila
. Ne postoji ni jedan poznati algoritam koji moe brzo i uvek da rei problem
tako to e iz proizvoljno dodeljenog da odredi i .
Isto tako jedna od jednosmernih funkcija je i diskretna eksponencijalna funkcija.
Inverzna funkcija eksponencijalnoj je diskretna logaritamska funkcija. Ispostavilo se
da ne postoji algoritam koji dovoljno brzo reava logaritamske funkcije. Recimo da je
za dovoljno veliku vrednost, raunanje diskretne logaritamske funkcije preveliki
zadatak i za najmonije raunare.
Koliko je neka jednosmerna funkcija u stvari dobra, ne moemo zasigurno znati. Mi
imamo neke modele sa kojima radimo, ali ne moemo da znamo da su zaista efikasni.
Odnosno, itava kriptografija je zasnovana na pretpostavci. Ako se ispostavi da je ta
pretpostavka loa, moe se desiti da mnoga reenja koja se oslanjaju na savremena
kriptoloka reenja (asimetrini ifarski sistemi) doive svoju propast.
29

______________________________________________________________________________________
2. KLASINA KRIPTOGRAFIJA
ovom poglavlju ukratko e biti razmotrene klasine ifre koje su dominirale u

dalekoj istoriji. One su izabrane zbog svog istorijskog znaenja i da bi se
prikazali osnovni principi koji postoje i danas kod modernih ifara. Slika 2.1,
napravljena je podela prema tipovima klasinih ifara.
Klasina
kriptografija
ifre
ifre
transpozicije
supstitucije
Transpozicija
kolona
Dvostruka
transpozicija
kolona
One-time pad
Kodne knjige
ifre proste
zamene
(monoalfabetske
ifre)
Poligramske
ifre
Polialfabetske
zamene
Slika 2.1 Podela klasine kriptografije na tipove ifri
2.1.
IFRE TRANSPOZICIJE
ifre transpozicije rade na principu skremblovanja otvorenog teksta, tj. slova

otvorenog teksta se meusobno premetaju. Rezultat ovog tipa ifre je skremblovani
tekst koji predstavlja ifrat. Klju predstavlja primenjenu transpoziciju. Nain rada
ovog tipa klasine ifre odgovara enonovom (Claude Shannon) principu difuzije.
30

______________________________________________________________________________________
Difuzija je definisana kao nain irenja statistike otvorenog teksta i ifrata. Ideja o
primeni principa difuzije nala je primenu i kod modernih ifara.
Prva ifra ovog tipa je Skitala. Koristili su je Spartanci (500 god.). Princip rada ifre je
jednostavan. Obavija se kona traka oko tapa, zatim se poruka pie na tako
dobijenom omotau du tapa. Kada je poruka napisana, kona traka se razmota i
dobije se ispremetan ili skremblovan tekst. Znakove je mogao proitati samo onaj ko
je imao tap jednake debljine. Sada moemo da zakljuimo da je kompletna tajnost
ove ifre odreena debljinom tapa, tj. klju je zapravo debljina tapa.
Slika 2.2, Alisa i Bob koriste Skitalu za ifrovanje poruke. Alisa generie otvoreni tekst i
odreuje klju (debljina tapa). Na drugoj strani Bob dobija ifrat, poseduje isti klju i
uspeno deifruje poruku.
Slika 2.2 ifrovanje i deifrovanje sa Skitalom
2.1.1. TRANSPOZICIJA KOLONA

Ukoliko bismo eleli da u dananje vreme realizujemo programski ifru Skitalu, uradili
bismo to na sledei nain. Otvoreni tekst poruke se postavi u redove jedne dvodimenzionalne matrice. Broj redova zavisi od duine otvorenog teksta. ifrat se dobija
iitavanjem kolona iste matrice. Efekat je isti kao kada bi se koristila Skitala, tj. klju
je broj kolona.
31

______________________________________________________________________________________
1. PRIMER:
Pretpostavimo da je matrica dimenzije [3 x 7]:
U N
D U N U M
Otvoreni tekst: UNIVERZITET SINGIDUNUM

ifrat: [UIG NTI IED VTU ESN RIU ZNM]
ifrat je dobijen iitavanjem kolona matrice, leva na desno.
Mogue je unapreenje transpozicije kolona pomou kljune rei. U ovom sluaju
kljuna re odreuje redosled transpozicija. Izabrana kljuna re se tumai po
abecednom redosledu. Duina kljune rei moe biti jednaka ili manja od broja
kolona. Ukoliko je manja, kljuna re se ponavlja.
2. PRIMER:
ifrovanje pomou kljune rei STUDENT .
S24 T26 U27 D6 E9 N19 T26
U

ifrat: [VTU ESN RIU UIG NTI ZNM IED]
ifrat je dobijen iitavanjem kolona prema redosledu pozicija od slova po alfabetu iz
kljune rei.
Klju: STUDENT
32

______________________________________________________________________________________
2.1.2. KRIPTOANALIZA TRANSPOZICIJA KOLONA

Posmatrajmo prethodni primer sa aspekta kriptoanalitiara. Neka Trudi ima na
raspolaganju ifrat: [VTU ESN RIU UIG NTI ZNM IED]. Matrica je dimenzija ,
za neko i . ifrat ima ukupno 21 slovo = . Trudi treba da pronae broj
moguih dimenzija za matricu . U ovom primeru postoje dve dimenzije
matrice, jedna matrica dimenzije [3 x 7] i druga [7 x 3]. U sledeem koraku Trudi e da
formira matrice sa ifratom koji poseduje. Zatim e da zapone potpunu pretragu
svih mogunosti, tako to e da menja redosled kolona sve dok ne dobije smislen
tekst.
3. PRIMER:
0
V E R U N Z I
U R I V N E Z
U N I V E R Z
T S I I T N E , I I E T T S N I T E T S I N
U N U G I M D
G U D U I N M
G I D U N U M
Iz ovog primera kriptoanalize vidimo da je jedino mogue reenje za Trudi potpuna
pretraga prostora kljueva. Ako Trudi izabere tanu matricu [3 x 7] i zapone potpunu
pretragu kljua, u nekom momentu e dobiti smisleni tekst ili poruku. Ako je prostor
kljua dovoljno veliki, takav napad ne moe da se zavri za prihvatljivo vreme. Tanije,
verovatnoa uspeha je veoma mala. Za sigurnost bilo koje ifre (kriptografskog
mehanizma) neophodan je veliki prostor kljueva, to i nije dovoljan uslov.
2.1.3. DVOSTRUKA TRANSPOZICIJA KOLONA

Dvostruka transpozicija predstavlja dalje unapreenje transpozicija kolona sa
kljunom rei. Izvodi se tako to se menja redosled kolona i redosled redova u
izabranoj dimenziji matrice . U ovom sluaju klju je dimenzija matrice i
permutacije po kolonama i redovima. U sledeem primeru pokazaemo realizaciju
dvostruke transpozicije na prethodnom primeru.
33

______________________________________________________________________________________
4. PRIMER:
ifrovanje dvostrukom transpozicijom.
kolone
red 0
red 1
red 2
U N I V E R Z
I T E T S I N >>>
G I D U N U M
kolone
red 1
red 0
red 2
T I N E S T I
N U Z I E V R
I G M D N U U
ifrat: [TINESTI NUZIEVR IGMDNUU]

ifrat je dobijen skremblovanjem rednih brojeva (od 0 do , -broj kolona ili
redova) kolona i redova. Zatim, su iitate vrednosti po redovima.
Klju: dimenzija matrice [3 x 5] i permutacije (1,0,6,2,4,3,5), (1,0,2)
2.1.4. KRIPTOANALIZA DVOSTRUKE TRANSPOZICIJE

Posmatrajmo prethodni primer sa aspekta kriptoanalitiara. Neka Trudi ima na
raspolaganju ifrat: [TINESTI NUZIEVR IGMDNUU]. Matrica je dimenzija , za
neko i . ifrat ima ukupno 21 slovo = . Trudi treba da pronae broj
moguih dimenzija za matricu . U ovom primeru postoje dve dimenzije
matrice, jedna matrica dimenzije [3 x 7] i druga [7 x 3], ali postoji veliki broj moguih
permutacija, koji definiemo kao:

Postavlja se pitanje da li postoji skraeni napad ili laki put, a to bi znailo da Trudi ne
mora da primeni kriptoanalitiki metod za potpunu pretragu celog prostora kljueva.
U prvom korak Trudi treba da pogodi odgovarajuu dimenziju matrice, a u drugom
koraku pokuava prvo da pogodi permutacije kolona. Na ovaj nain Trudi trai
smislenu re samo u koloni 0. Ova metoda skraenog napada na dvostruku
transpoziciju poznata je pod nazivom "podeli (zavadi) pa vladaj". To znai da Trudi
napada samo deo prostora kljueva, a ovo predstavlja vanu strategiju napada. Iz tog
34

______________________________________________________________________________________
razloga, sam dizajn algoritma za ifrovanje zahteva paljivu analizu od strane

kriptoanalitiara. Osnovni cilj kriptografa je da dizajniraju ifru koja je imuna na
ovakve tipove napada. Ova anomalija prisutna je i danas kod nekih ifara.
2.2.
IFRE ZAMENE - SUPSTITUCIJE
ifre zamene ili supstitucije mogu se porediti sa ifrom transpozicija. Kod ifre sa
transpozicijama, slovima otvorenog teksta se menja raspored, dok vrednosti
originalnih slova ostaju iste. Nasuprot tome, kod ifri sa zamenom, raspored slova
otvorenog teksta ostaje nepromenjen, ali slova teksta menjaju svoju vrednost, tj.
preslikavaju se u druga slova. Sa aspekta kriptoanalize pretpostavimo da napada
poznaje algoritam, ali ne zna klju. Koliko kljueva mora da isproba? Odgovor je 26!.
Ovo bi znailo da je potrebno 5 milijardi godina, ako svaka osoba na Zemlji troi jednu
sekundu za testiranje jednog kljua.
Postoji vie tipova ifara zamene. Monoalfabetska ifra koristi fiksnu zamenu tokom
cele poruke. Homofone ifre predstavljaju unapreenje ifre prostih zamena, uvodei
element sluajnosti. Poligramske ifre rade na principu zamena nad veim grupama
slova u otvorenom tekstu. Polialfabetske ifre koriste veliki broj zamena na razliitim
pozicijama u poruci, u kojoj se slovo iz otvorenog teksta preslikava u jednu od
nekoliko mogunosti u ifratu.
2.2.1. IFRE PROSTE ZAMENE (MONOALFABETSKE)

Cezarova ifra je primer ifre proste zamene. Julije Cezar je koristio ovu ifru 50-30.
god. u komunikaciji sa svojim prijateljima. ifrat se dobija tako to se svako slovo
otvorenog teksta od A do W zameni sa slovom koje je za 3 mesta dalje po abecednom
redu, a slova X, Y i Z se zamenjuju slovima A, B i C.
Cezarovu ifru moemo pregledno prikazati na sledei nain:
A B C D E F G H I J
D E F G H I
K L M N O P Q R S T
K L M N O P
U V W X Y Z
Q R S T U V W X Y Z
A B C
35

______________________________________________________________________________________
Prvi red u tabeli posmatramo kao otvoreni tekst, a drugi red kao ifrat za pomeranje
alfabeta otvorenog teksta za 3 pomeraja. Cezarova ifra funkcionie tako to se
svakom od 26 slova u alfabetu otvorenog teksta dodeli broj od 0 do 25. A je 0, B je 1,
C je 2, ..., Z je 25.
Cezarov algoritam za ifrovanje/deifrovanje:
x
ci
pi K E (mod 26)
pi
ci (26 K E )(mod 26)
pi i-to slovo otvorenog teksta
c i i-to slovo ifrata
K E je klju (pomeraj), u ovom primeru je 3
5. PRIMER:
Kriptografski sistem baziran na Cezarovoj ifri.
Alisa i Bob koriste Cezarovu ifru za ifrovanje poruke. Alisa generie otvoreni tekst i
odreuje klju 3. Na drugoj strani Bob dobija ifrat, poseduje isti klju i uspeno
deifruje poruku.
ifrovanje:
ci (U )
pi K E (mod 26)
X (primer ifrovanja za prvo slovo otvorenog teksta)
Deifrovanje:
pi ( X )
36
ci (26 K E )(mod 26)
U (primer deifrovanja za prvo slovo ifrata)

______________________________________________________________________________________
Slika 2.3 ifrovanje i deifrovanje sa Cezarovom ifrom
U Slika 2.3, moemo vidieti da su kljuevi za ifrovanje i deifrovanje isti, ali su

algoritmi razliiti. Kod ifrovanja imamo pomeraj u levo za 3 pozicije, a kod
deifrovanja pomeraj u desno za 3 pozicije.
2.2.2. KRIPTOANALIZA CEZAROVE IFRE

Cezarova ifra proste zamene sa pomerajem je dosta slaba i jednostavna za
kriptoanalitiara. ifra ima samo 26 moguih kljueva. Najjednostavnije je probati sve
kljueve, tj. primeniti metod potpune pretrage kljua. Iz ovog razloga potrebno je
napraviti neku izmenu u ovoj ifri zamene u cilju poveanja prostora kljueva. Klju
ne mora biti pomeraj za odreeni broj (3). Klju moe da bude bilo koja permutacija
slova. Misli se na broj permutacija od 26 slova u ifratu. U drugom redu tabele ispod,
prikazana je jedna izabrana permutacija koja predstavlja klju.
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
A B M C X Y Z H I J N O P
T U V Q K L D E F G R S W
Nakon napravljene izmene, prostor moguih kljueva moemo da definiemo na

sledei nain:
26! ! 288 |~ 4 1026
37

______________________________________________________________________________________
Trudi zna da je primenjena prosta zamena, ali nema mogunost da isproba svih 288
kljueva. U tom sluaju koristi statistiku ili statistiku strukturu srpskog jezika. Meri se
frekvencija pojavljivanja pojedinih slova u ifratu. Zatim poreenjem dobijenih
frekvencija iz ifrata, odreuje se koje slovo je sa kojim zamenjeno. Svaki svetski jezik
poseduje svoju jedinstvenu distribuciju slova u rei.
6. PRIMER:
Frekvencije slova u Srpskom jeziku.
Za sada nam je poznata samo injenica da su najfrekventnija slova u srpskom jeziku
A, I, O, E, N, R i T. Na osnovu izabranog uzorka teksta iz srpskog jezika, izraunaemo
frekvencije slova koje vae za srpski jezik. Slika 2.4. frekvencije slova u srpskom jeziku.
Slika 2.4 Frekvencije slova u srpskom jeziku
7. PRIMER:
Kriptoanaliza Cezarove ifre na osnovu frekvencije slova.
Alisa i Bob koriste Cezarovu ifru za ifrovanje poruke. Klju je jedna od permutacija
26 slova. Trudi je uspela da presretne ifrat i pokuava pomou statistike da deifruje
poruku, Slika 2.5 Frekvencije slova u ifratu na srpskom jeziku. Ne postoji drugi
povoljan nain, ukoliko Trudi zna na kom je jeziku napisan otvoreni tekst.
Pretpostavimo da je u ovom sluaju otvoreni tekst napisan na srpskom jeziku.
38

______________________________________________________________________________________
Slika 2.5 Frekvencije slova u ifratu na srpskom jeziku
Na osnovu dobijenih frekvencija, Trudi je uspela da deifruje poruku. Pronaeni klju

88
je permutacija od 26 slova iz skupa kljueva 2

U, V, Q, K, L, D, E, F, G, R, S, W].
, [A, B, M, C, X, Y, Z, H, I, J, N, O, P, T,
2.2.3. HOMOFONE IFRE

Homofona ifra predstavlja unapreenje ifre proste zamene. ifrat kod ove ifre
moe da sadri vie od 26 znakova. Pretpostavlja se da je otvoreni tekst definisan iz
skupa 26 slova. Veina slova iz otvorenog teksta se u ifratu zamenjuje jednoznano,
kao i prethodnim primerima. Neka slova otvorenog teksta mogu da u ifratu budu
predstavljena na dva ili vie naina. Razlog uvoenja dodatnih znakova jeste irenje
statistike ifrata.
Svako slovo otvorenog teksta ifruje sa brojevima od 00, 01, ..., 32. Uvedeno je 6
dodatnih brojeva. U ovom sluaju neko slovo e biti predstavljeno sa dva broja. Slova
su izabrana u odnosu na njihove frekvencije u srpskom jeziku. Obino su to slova sa
najveim frekvencijama. Na osnovu frekventnog teksta koji je uraen u prethodnim
primerima za srpski jezik, izabraemo slova: A, I, O, E, N i R, koja emo predstaviti na
dva naina (dva broja) u ifratu.
39

______________________________________________________________________________________
8. PRIMER:
ifrovanje homofonom ifrom.
A
04 05 08 01 02 06 11 12 13 14 15 07 03 09 10 16
N N O O P Q R R S
T U V W X Y Z
20 17 28 29 30 21 22 23 24 18 19 25 26 27 31 32
U datoj matrici slova predstavljaju otvoreni tekst. ifrovanjem otvorenog teksta svako
slovo otvorenog teksta se preslikava u izabrani broj. Dobijeni brojevi predstavljaju
ifrat homofone ifre.
Otvoreni tekst: UNIVERZITET SINGIDUNUM (slova N, E i I se ponavljaju)
ifrat je dobijen pojedinanom zamenom slova iz otvorenog teksta na osnovu brojeva
koji su odreeni za svako slovo alfabeta, prikazano u tabeli iznad.
ifrat: [19,20,15,25,06,22,32,07,18,11,18,24,15,17,13,07,02,19,20,19,16]
2.2.4. KRIPTOANALIZA HOMOFONE IFRE

Za pravilan rad homofone ifre bitan je izbor slova sa najveim frekvencijama. Zatim,
bitno je ustanoviti pravilo kada dodeliti jednu od dve brojne vrednosti za isto slovo
otvorenog teksta. Nakon izbora najfrekventnijih slova i dodelom duplih brojnih
vrednosti za izabrana slova, utiemo znaajno na sigurnost ifre. ifra postaje
otpornija na statistike napade, ali ipak ostaju ranjive na napade poznatog dela
otvorenog teksta.
Ipak, statistikom analizom mogue je doi do informacija o kljuu. ifrat generisan
na ovaj nain, trebao bi da prikrije statistike osobine otvorenog teksta. U tom
sluaju ifrat bi morao da ima osobine sluajnog niza. Postizanje sluajnosti je veoma
sloen proces, teko je precizno definisati sluajnost ili entropiju. Entropija u ovom
sluaju predstavlja maksimalnu neodreenost ifrata. Ukoliko bi ifrat posedovao
maksimalnu neodreenost (visoku entropiju), kriptoanalitiar bi imao minimalne
40

______________________________________________________________________________________
anse da doe do kljua ili otvorenog teksta na osnovu ifrata. Kriptografi ulau velike
napore da se uspeno bore sa napadima zasnovanim na statistikim metodama.
2.3. POLIGRAMSKE IFRE

Poligramske ifre predstavljaju jo jedno unapreenje supstitucionih ifara. Grupe
slova su ifrovane zajedno, a ne kao pojedinana slova. Primer: "ABA" se ifruje sa
"RTQ", "ABB" se ifruje sa "SLL", itd. Predstavnici ovog tipa ifara su plejfer ifra (eng.
Playfeir) i Hilova (eng. Hill) ifra. Neki ih nazivaju i preteama blokovskih ifara.
2.3.1. PLEJFER IFRA

Postupak ifrovanja sa plejfer ifrom zasniva se na zameni blokova od dva slova ili
simbola (bigrami). Ovaj postupak ifrovanja predloio je arls Vitston (Charles
Wheatstone) 1854. godine. Plejfer ifru su koristili Britanci u vreme Prvog svetskog
rata. Klju Plejfer ifre bila je matrica dimenzija [5 x 5] sa 25 slova, karakter J se nije
koristio ili je bio prisvojen nekom drugom slovu. Matrica se konstruie na osnovu
izabrane kljune rei. Par slova (bigram) otvorenog teksta m1 i m 2 ifruje se u skladu
sa sledeim pravilima:
x
Ako su m1 i m 2 u istom redu, tada su c1 i c 2 dva slova desno od m1 i m 2 ,
usvojeno je da je prva kolona susedna desna kolona poslednjoj koloni;

Ako su m1 i m 2 u istoj koloni, tada su c1 i c 2 dva slova ispod m1 i m 2 ,
usvojeno je da je prvi red susedni donji poslednjem redu;

Ako su m1 i m 2 u razliitim kolonama i redovima, tada su c1 i c 2 ostale dve
ivice (temena) pravougaonika koji sadri ivice m1 i m 2 , gde je c1 u istom
redu kao i m1 dok je c 2 u istom redu kao i m 2 ;
Ako je m1 = m 2 , tada se vri umetanjem neutralnog (null) karaktera (na primer, X ) izmeu m1 i m 2 ;
Ukoliko poruka otvorenog teksta ima neparan broj slova tada se na kraj
poruke dodaje neutralni (null) karakter.
41

______________________________________________________________________________________
9. PRIMER:
Postupak ifrovanja Plejfer ifrom.
Klju: Generisana matrica [5 x 5] za izabranu kljunu re SING;
S I N G A
B C D E F
H K L M O
P Q R T U
V W X Y Z
Otvoreni tekst:
ifrat:
SI
IN
NG
GA
ID
NC
UN
RA
UM
TO
U ovom primeru ifrovanja vidimo kako je dizajniran algoritam plejfer ifre za

postupak ifrovanja. Da bi postupak deifrovanja bio inverzan, primenjuje se
identian postupak kao i kod ifrovanja nad ifratom za inicijalnu matricu, generisanu
na osnovu kljune rei.
Plejfer ifra ima nekoliko znaajnih prednosti. Imajui u vidu da je ifra bigramska, u
ifratu se gube pojedinana slova koja dosta utiu na frekvenciju jednog svetskog
jezika. ifrovanjem bigrama, smanjuje se znaajan broj elemenata koji je dostupan
statistici, primenom metoda za analizu frekvencija. Meutim, broj bigrama je mnogo
vei od broja individualnih slova. Broj slova u srpskom jeziku je 30, a broj bigrama vie
od 600. Vrenjem analize frekvencija nad bigramima, dobili bismo potpuno
ujednaene frekvencije za razliku od frekvencija visoko frekventnih slova. Analiza
bigrama u srpskom jeziku za 30 visoko frekventnih bigrama prikazana je u tabeli
sledeeg poglavlja.
2.3.2. KRIPTOANALIZA PLEJFER IFRE

Sigurnost ove ifre zavisi od veliine otvorenog teksta koji se ifruje. Ukoliko je ifrat
dovoljno velik, mogue je primeniti analizu frekvencija nad bigramima. Tanije,
42

______________________________________________________________________________________
ukoliko je uzorak dovoljan, kriptoanalitiki metod na osnovu statistike e biti

uspeniji. Poznato je da i kod ove ifre jedan deo strukture jezika ostaje sauvan.
Slova u ifratu nisu uniformno rasporeena, tako da njihova raspodela odgovara
raspodeli nekog sluajnog niza. Zapravo, razlika koja postoji izmeu ovih raspodela
(raspodela slova u ifratu i u sluajnom nizu) predstavlja taj deo strukture jezika koji
e kasnije biti iskorien za kriptoanalizu plejfer ifre. Tabela 2. sadri analize
frekvencija za 30 najfrekventnijih bigrama u srpskom jeziku, kao i 30 najfrekventnijih
bigrama u ifratu koji je dobijen sa plejferovom ifrom na osnovu istog otvorenog
teksta.
Tabela 2 - Analiza frekvencije bigrama u srpskom jeziku i ifratu.
Uzorak:
Tekst sadri 15000 rei na srpskom jeziku
Analiza:
Visoko frekventni bigrami srpskog jezika

(otvoreni tekst)
R.B.
Bigrami
Frekvencija (%)
Broj
Visoko frekventni bigrami u ifratu

(plejfer ifrat)
Bigrami
Frekvencija (%)
Broj
ri
2.0836
1989
GC
2.3561
1449
je
1.9966
1906
NW
1.7138
1054
st
1.5933
1521
QN
1.7138
1054
na
1.5640
1493
NI
1.6699
1027
ko
1.5493
1479
GN
1.6569
1019
en
1.5190
1450
DG
1.6553
1018
an
1.5179
1449
SG
1.5789
971
ra
1.5085
1440
GS
1.3968
859
ti
1.3744
1312
NS
1.3350
821
10
ij
1.3283
1268
UN
1.3187
811
11
no
1.3053
1246
LH
1.3090
805
12
pr
1.2225
1167
GP
1.2764
785
13
om
1.2099
1155
QG
1.1903
732
14
me
1.2089
1154
KN
1.1138
685
15
ni
1.1953
1141
QT
1.0911
671
16
re
1.1314
1080
NG
1.0716
659
17
va
1.1282
1077
AL
1.0439
642
18
po
1.0559
1008
TM
0.9984
614
19
tr
1.0318
985
SN
0.9951
612
43

______________________________________________________________________________________
20
to
1.0308
984
TD
0.9659
594
21
ta
1.0277
981
LF
0.9285
571
22
ov
1.0235
977
HZ
0.9008
554
23
or
1.0088
963
AQ
0.8976
552
24
is
0.9983
953
HA
0.8829
543
25
te
0.9805
936
GU
0.8797
541
26
ja
0.9638
920
HO
0.8764
539
27
da
0.9491
906
GK
0.8748
538
28
od
0.9239
882
UT
0.8732
537
29
ma
0.9187
877
AK
0.8716
536
30
ne
0.9156
874
UM
0.8667
533
Ukoliko je dobijeni ifrat isuvie mali, analizom frekvencija nije mogue uraditi
kriptoanalizu datog ifrata kao to je to prikazano u prethodnom primeru. U ovakvim
sluajevima mogue je primeniti metod "poznata re ili verovatna re", koja je
sadrana u ifratu. Metod se sastoji u tome da se pretpostave rei ija je verovatnoa
visoka da e se pojaviti u ifratu. Primer: "Univerzitet", "Singidunum". Zatim se u
ifratu trai struktura koja odgovara pretpostavljenoj rei i na taj nain se postupno
rekonstruie matrica na osnovu koje je generisan ifrat.
2.3.3. HILL-OVA IFRA

ifru je kreirao Lester S. Hill 1929. Hilova ifra je jo jedan predstavnik poligramskih
ifara. Predstavlja ifru zamene koja radi na osnovu linearne algebre. Hilova ifra je
prva ifra koja praktino radi na grupi (bloku) od vie od tri slova otvorenog teksta.
Klju ove ifre je kvadratna matrica. Hill uvodi inverzne matrice i mnoenje matrica za
proces meanja otvorenog teksta. Veliina bloka otvorenog teksta odreuje
dimenzije matrice koja se koristi kao klju. Na primer, blok od 3 slova koristi matricu
[5 x 5], blok od 4 slova koristi matricu [4 x 4] itd... Sada moemo da zakljuimo na
osnovu dizajna algoritma da Hilova ifra sigurno predstavlja preteu savremenih blok
ifri. Dizajn algoritma koristi jednostavne linearne jednaine.
Hilova ifra sa matricom , ne sakriva samo frekvencije o pojedinanim
slovima, ve i frekvencije o bigramima. Iz tog razloga, Hilovu ifru moemo smatrati
potpuno sigurnu na napad na osnovu ifrata. Tanije, Hilovom ifrom u potpunosti je
44

______________________________________________________________________________________
prikrivena struktura jezika na kome je na otvoreni tekst. Meutim i ovo je jo jedna

ifra koja omoguava kriptoanalizu na osnovu napada "poznati otvoreni tekst", a jo
lake pomou napada "izabrani otvoreni tekst". Ovo je jedan od razloga zato ovaj
kriptografski algoritam nije bio praktino upotrebljavan.
Da bi se suprotstavio svakodnevnim optubama da je njegov sistem isuvie
komplikovan za svakodnevnu upotrebu, Hill je svojevremeno konstruisao mainu za
ifrovanje prema njegovom algoritmu. Maina je koristila serije lananih zupanika.
Meutim mainu nikada nije uspeo da proda.
Hillov veliki doprinos predstavlja upotreba matematike u cilju osmiljavanja i analize
kriptografskih mehanizama. Bitno je napomenuti da analiza ovog algoritma zahteva
primenu jedne grane matematike pod nazivom "Teorija brojeva".
10. PRIMER:
ifrovanje i deifrovanje sa Hilovom ifrom.
Primer e se oslanjati na linearnu algebru i teoriju brojeva. Prikazan je proces
ifrovanja i deifrovanja.
Postupak ifrovanja sa Hilovom ifrom:
Klju: matrica K [4 X 4];
10
03
20
17
13
03
16
02
23
03
21
02
13
01
21
01
Otvoreni tekst: STUDENTI
18
19
STUD blok1 = ,ENTIblok2 =
20

3
4
13
;
19

8
45

______________________________________________________________________________________
ifrat blok1: (K * OT_blok1) mod(26) = [AVXO]
10
03
20
17
13
03
16
02
23
03
21
02
13 18
01 19
u
21 20

01 3
826
174
1147
387
16
18
(mod 26)
3

23
Q
S

D

X
22
12
(mod 26)
23

10
W
M

X

K
ifrat blok2: (K * OT_blok2) mod(26) = [WMXK]
10
03
20
17
13
03
16
02
23
03
21
02
13 4
01 13
u
21 19

01 8
750
116
855
140
ifrat: [AVXOWMXK]
Proces deifrovanja sa Hilovom ifrom:
16
18
AVXOblok1 = ,WMXKblok2 =
3

23
Klju: inverzna matrica [4 X 4];
K 1
46
5
19
25
13 16 2
14 19 16
13 23 11
11 8 17
22
12
;
23

10

______________________________________________________________________________________
Otvoreni tekst blok1: (K-1 * ifrat_blok1) mod(26) = [STUD]
5
19
25
13 16 2 16
14 19 16 18
u
13 23 11 3

11 8 17 23
408
981
956
757
18
19
(mod 26)
20

3
S
T

U

D
Otvoreni tekst blok2: (K-1 * ifrat_blok2) mod(26) = [ENTI]
5
19
25
13 16 2 22
14 19 16 12
u
13 23 11 23

11 8 17 10
654
1183
1345
654
4
13
(mod 26)
19

8
E
N

T

I
Otvoreni tekst: STUDENTI
2.3.4. KRIPTOANALIZA HILOVE IFRE

Linerane ifre su dosta slabe. Linearnost sama po sebi uvodi odreene pravilnosti na
osnovu kojih je mogue konstruisati kriptoanalitiki metod, budui da se linearne
jednaine mogu lako reiti. Jake ifre moraju imati nelinearnost, ali linearne
komponente su korisne. ifra ne sme biti u potpunosti linearna. Kriptoanalitiari
pokuavaju da aproksimiraju nelinearne delove algoritma sa linearnim jednainama.
2.4. POLIALFABETSKE ZAMENE

Polialfabetska zamena predstavlja sistem za ifrovanje koji eliminie preslikavanje
originalnih frekvencija pojavljivanja slova u otvorenom tekstu u njihove supstitucione
zamene u ifratu, korienjem viestrukih supstitucija.
Vinerova ifra predstavlja polialfabetsku ifru zamene. Metod je prvobitno opisao
ovan Batista (Giovan Battista Bellaso) 1553 godine. Meutim ema algoritma je
kasnije pripisana Vineru (Blasie de Vigenere) u 19. veku i od tada je ifra poznata kao
47

______________________________________________________________________________________
"Vinerova ifra". ifra je imala veliku primenu kod klasinih ifarskih sistema.
Koriena je u Drugom svetskom ratu. Vinerova ifra predstavlja "Multi-Cezarovu"
ifru. U Vinerovoj ifri svako slovo otvorenog teksta se preslikava u jedno od n
moguih slova ( k -duina kljune rei) u zavisnosti od pozicije u tekstu.
Klju Vinerove ifre je u formi K
k0 , k1,..., kn1 gde
je svako slovo iz skupa
vrednosti ki ^0,1,2,..., 25` . Proces ifrovanja definisan je na sledei nain:
ci
pi ki (mod n) mod 26 , a proces deifrovanja: pi
ci ki (mod n) mod 26 .
Vinerov algoritam ifrovanja moemo interpretirati kao ponavljajuu sekvencu (sa

pomerajem k ) prostih zamena.
11. PRIMER:
ifrovanje i deifrovanje sa Vinerovom ifrom.
Klju: SINGI, klju je, K
18,8,13,6,8
Otvoreni tekst: [SINGIDUNUM]

ifrovanje:
S
18
+ S
18
10
K
I
8
I
8
16
Q
N
13
N
13
0
A
G
6
G
6
12
M
I
8
I
8
16
Q
D
3
S
18
21
V
U
20
I
8
2
C
N
13
N
13
0
A
U M
20 12
G I
6
8
mod(26)
0
20
A U
A
0
N
13
13
N
M
12
G
6
6
G
Q
16
I
8
8
I
V
21
S
18
3
D
C
2
I
8
20
U
A
0
N
13
13
N
A
0
G
6
20
U
ifrat: [KQAMQVCAAU]
Deifrovanje:
K
10
- S
18
18
S
48
Q
16
I
8
8
I
U
20
I
8 mod(26)
12
M

______________________________________________________________________________________
ifrovanje i deifrovaje sa Vinerovom ifrom mogue je obaviti i preko Vinerove

kvadratne matrice za isti otvoreni tekst i kljunu re, primer je dat na slici.
Slika 2.6 Vinerova kvadratna matrica za ifrovanje
2.4.1. KRIPTOANALIZA VINEROVE IFRE

Iz ovog prethodnog primera, Slika 2.6. za Vinerovu ifru, zakljuujemo da ifra
predstavlja samo niz od dve ifre prostih zamena. Kriptoanalitiar bi trebalo da izvede
samo k napada na prostu zamenu, preduslov je da poseduje dovoljno ifrata i da
odredi k (duinu kljua).
Za odreivanje duine kljune rei uveden je metod Indeks koincidencije. Ukoliko je
ifrat sainjen od engleskog alfabeta, imamo: n0 broj A-ova, n1 broj B-ova,..., n25
broj Z-etova u ifratu, a
n je jednako: n n0 n1 ... n25 . Indeks koincidencije
onda definiemo na sledei nain:
n0
2
n21 ,..., n225

n
2
25
1
ni ni 1
n n 1 i 0
49

______________________________________________________________________________________
ta ova veliina meri? Indeks koincidencije daje verovatnou da su dva sluajno

izabrana slova identina. Za otvoreni engleski tekst, verovatnoa da su dva slova ista
je jednaka:
p02 p12 .... p252 | 0.065

tog
,gde je pi verovatnoa i slova. Stoga je za ifrat koji je nastao prostom zamenom,
I | 0.065 . Ako bi slova bila sa ravnomernim verovatnoama, pi
1
26
, tada bi
p02 p12 .... p252 | 0.03846 . Ujedno I | 0.03846 vai za polialfabetske ifre
vrlo dugakih kljunih rei.
Sad kad imamo ove rezultate moemo da odredimo duinu kljune rei u Vinerovoj
ifri. Ako je duina kljune rei k, a duina poruke n , u tom sluaju upisujemo ifrat u
matricu sa k kolona i n / k redova. Selektujemo dva slova iz istih kolona,
ekvivalentno odabiru u sluaju proste zamene, zatim selektujemo dva slova iz
razliitih kolona, ekvivalentno odabiru sluajnih slova.
Kada pretpostavimo k kolona i n / k redova, odreujemo priblian broj poklopljenih
parova iz iste kolone i dva razliita reda:
n
0.065 k k
2
1 n n
0.065 1 k
2 k k
n n k
0.065
2k
Priblian broj poklopljenih parova iz dve razliite kolone i bilo koja dva reda, dat je
izrazom:
k n
0.03846
2 k
50
0.03846
n 2 k 1
2k

______________________________________________________________________________________
Priblina vrednost indeksa koincidencije, data je izrazom:
I|
0.03846
n 2 k 1
2k
0.065

n nk
2k
n

2
0.03846n k 1 0.065 n k
k n 1
Reenje po koloni k daje:
k|
0.2654n
0.065 I n I 0.03846
Uzima se n i I (poznato iz ifrata) u cilju aproksimacije duine kljune rei Vinerove

ifre. Kada je pronaen Indeks koincidencije (William F. Friedman, 1920),
predstavljao je revoluciju u kriptoanalizi. Vrlo koristan za kriptoanalizu klasinih ifara
iz doba Drugog svetskog rata. U statistici je test incidencija i koincidencija dobro
poznat, postoje i mnogi drugi korisni statistiki testovi.
Drugi metod za odreivanje duine kljune rei naziva se Kasiskijev test i uveo ga je
Fridrih Kasiski (Friedrich Kasiski) 1863. godine. Metod se zasniva na injenici da e dva
identina dela otvorenog teksta biti ifrovana na isti nain (istim delom kljune rei)
ukoliko se njihove poetne pozicije razlikuju za neki umnoak od k, gde je k duina
kljua. Obrnuto, ako uoimo dva identina dela u ifratu, duine minimum 3 slova,
tada je vrlo verovatno da oni odgovaraju identinim delovima otvorenog teksta.
Kasiskijevim testom u ifratu pronalazimo parove identinih delova duine od minimum 3 slova, ako postoje takvi parovi, odreujemo rastojanje izmeu poetnih
pozicija. Izraunaemo njihova rastojanja k1, k2, k3,..,ki , a potom pretpostaviti da k
deli bar veinu ki-ova. Kada smo odredili duinu kljune rei, dobili smo slinu
situaciju kao kod kriptoanalize Cezarove ifre. Ako posmatramo samo ona slova koja
su ifrovana pomakom za k1 slova, onda su ona ifrovana Cezarovom ifrom.
51

______________________________________________________________________________________
2.5. PERFEKTNE IFRE

Pojam perfektna ifara uveo je Klod enon (Claude Shannon) 1949. godine.
Perfektna ifra predstavlja kriptografski mehanizam kod koga ifrat ne daje nikakvu
informaciju o otvorenom tekstu, niti daje informaciju o kljuu koji je korien. Tanije,
pretpostavimo da se u prostoru otvorenih tekstova P , otvoreni tekst x pojavljuje sa
verovatnoom p( x) , u tom sluaju postoji klju koji preslikava svaku poruku u svaki
ifrat sa jednakom verovatnoom.
Slika 2.7 Ilustrovana definicija perfektnih ifara
enon koristi entropiju kao veliinu koja meri prosenu koliinu informacije sadrane
u porukama. Za optimalno ifrovanje poruka koje se alju preko komunikacionog
kanala vano je opisati i koliinu informacije koja je sadrana u pojedinanim
porukama. Koliina informacije koja je sadrana u pojedinanim porukama direktno
zavisi od verovatnoe. to je verovatnoa poruke vea, koliina informacije u poruci
je manja i to je verovatnoa poruke manja, koliina informacije u poruci je vea.
Funkcija koja zadovoljava oba zahteva je logaritam. U tom sluaju informacioni
sadraj neke poruke x se definie na sledei nain:
Ix log 2
1
px
log 2 px , px predstavlja verovatnou poruke x .
Primetiemo da se koristi binarni logaritam, logaritam sa osnovom dva, to znai da

koliina informacije koja je sadrana u poruci predstavlja broj bita koji su potrebni za
opis poruke. Jedinica mere za koliinu informacije u ovom sluaju je 1 bit.
52

______________________________________________________________________________________
Ukoliko imamo poruku P koja sadri xi nezavisnih simbola sa verovatnoama pi ,
i 0,...L 1 , entropiju onda moemo da definiemo kao prosenu koliinu

informacije koja je sadrana u pojedinanim porukama i data je izrazom:
L 1
pi log pi
i 0
12. PRIMER:
Poruka P sadri simbole verovatnosnog skupa simbola S
verovatnoe pxi
{x1, x2, x3} , ije su
{0.25,0.25,0.50} . Odrediti (1) pojedinanu koliinu informacije
sadranu u simbolima poruke P , (2) ukupnu koliinu informacije u poruci P i (3)

entropiju poruke P .
(1) Pojedinane koliine informacije
I x1 log 2(1/ px1 ) log 2(1/ 0.25) 2bita

I x 2 log 2(1/ px2 ) log 2(1/ 0.25) 2bita
I x3 log2(1/ px3 ) log2(1/ 0.50) 1bit
(2) Ukupna koliina informacije u poruci P
IP
I x1 I x2 I x3 2 2 1 5bitova
(3) Entropija poruke P
px1 log 2( px1 ) px 2 log 2( px 2 ) px 3 log 2( px 3 )

0.25log 2(0.25) 0.25log 2(0.25) 0.5log 2(0.5)
0.5 0.5 0.5 1.5bitova
Ukoliko imamo poruku P koja koja je u formi binarnog niz, tada entropija zavisi od
verovatnoe poruka 0 i 1. Ako je verovatnoa prve poruke jednaka p , onda je
53

______________________________________________________________________________________
verovatnoa druge poruke (1 p) . Entropija binarnih nizova je definisana sledeim

izrazom:
p log 2 p (1 p)log 2(1 p)
H
13. PRIMER:
(1) Odrediti entropije H za dva binarna niza ije su verovatnoe poruka
BN1 {0.25,0.75} i (2) BN2 {0.50,0.50}, duina nizova je 1000 bitova. Zatim
odrediti (3) ukupnu koliinu informacije sadrane u svakom nizu.
(1) Entropija prvog niza:
0.25log 2(0.25) (1 0.25) log 2(1 0.25)
H BN 1
0.8113bit
(2) Entropija drugog niza:
H BN 2
0.5log 2(0.5) (1 0.5) log 2(1 0.5)
1bit
(3) Ukupna koliina informacije za BN1 i BN2 :
I BN1 HBN1 1000 0.8113 1000 811,3

I BN 2
HBN 2 1000 1 1000 1000
Iz ovog primera moemo da zakljuimo da binarni niz BN1 od ukupno 1000 bitova,
sadri 811 bitova informacije i 189 bitova redudanse, dok niz BN2 identine duine,
sadri 1000 bitova informacije i 0 bitova redudanse. Binarni niz BN2 je informacijski
jai i njega emo verovatno koristiti za klju kod OTP ifre.
Ovaj primer predstavlja samo prvi korak analize sluajnosti kod binarnih nizova.
Pretpostavimo sluaj u kome niz BN2 sadri redom 500 bitova jedinica, a potom 500
bitova nula. Verovatnoe nula i jedinica e davati maksimalnu vrednost entropije
H | 1 . Da li je ovo sluajan niz? Naravno da nije, neophodno je proveriti uniformnost
ovog binarnog niza. Preimo na sledei primer.
54

______________________________________________________________________________________
14. PRIMER:
(1)Odrediti entropiju binarnog niza BN1 duine 50 bitova u odnosu na njegovu
uniformnu distribuciju. Niz je generisan na sluajan nain, a kao izvor korien je
atmosferski um.
BN1 =[10000110100011000111011000101010111110001010100010]
U prvom koraku, prebrojaemo sve parove sainjene od nula i jedinica. Ukupan broj
parova je 4. Parove emo tretirati kao poruke ovog verovatnosnog skupa
S {00,01,10,11} .
(1) Vrednosti koje smo predstavili sa psi su verovatnoe poruka S u binarnom
nizu.
pS00
0.24, pS01
0.12, pS10
0.48, pS11
0.16;
(1) Entropiju sada odreujemo na nain kao u primeru 13, zatim dobijenu
vrednost delimo sa dva da bismo dobili vrednost entropije za jedan bit.
ps00 log 2( ps00 ) ps01 log 2( ps01 ) ps10 log 2( ps10 ) ps11 log 2( ps11 )
0.24 log 2(0.24) 0.12 log 2(0.12) 0.48 log 2(0.48) 0.16 log 2(0.16)
1.7925 / 2 0.8962bit
Rezultat H od 0,8962 bita predstavlja koliinu informacije koja je sadrana po jednom
bit-u u datom binarnom nizu. Ako pomnoimo ukupan broj bita iz niza sa dobijenom
vrednosti entropije H=0,8962, dobiemo ukupno 44.81 bita informacije. Moemo da
zakljuimo da ovaj niz nije apsolutno sluajan, ako je jedinica mere za koliinu
informacije 1 bit.
Sada nam je moda malo jasnije zato je toliko teko pronai informacioni izvor koji
e generisati isto sluajne binarne nizove. U praksi je to uglavnom sluaj da se
koriste pseudo sluajni generatori. Pseudo generatori otklanjaju sva prirodna
nesavrenstva pravih sluajnih nizova. U tom sluaju dobijamo i pseudo sigurnost. Za
potvrdu ispravnosti pseudo generatora, neophodno je sprovesti niz testova koje je
predloio NIST, za proveru postojanja osbina sluajnih nizova.
55

______________________________________________________________________________________
Perfektni ifarski sistemi podrazumevaju bezuslovnu ili teorijsku sigurnost u odnosu

na protivnika koji raspolae neogranienim vremenom i raunarskim resursima.
Danas se ova sigurnost naziva informaciono-teorijska sigurnost.
Dokaziva bezuslovna sigurnost znai da se za zadati kriptografski sistem moe
dokazati nominovana sigurnost u odnosu na protivnika koji raspolae neogranienim
vremenskim i raunarskim resursima.
Nominovana sigurnost jeste paljiv i kompletan opis operacionog scenarija u kome se
egzaktno definie:
x
x
x
x
Od kakvih napada kriptografski sistem treba da obezbedi zatitu;

ta je poznato napadau;
ta je poznato korisnicima sistema;
Sve fizike pretpostavke, koje blie odreuju ta napada i korisnici sistema
mogu da urade.
2.5.1. ONE-TIME PAD

One-time pad (OTP) je jedina dokazano sigurna ifra. Niti jedna druga ifra koju emo
razmatrati nije dokazano sigurna. OTP je nepraktina za veinu situacija, ali ima svoju
primenu. OTP su uveli Gilber Vernam (Gilbert Vernam) i Dozef Mauborgn (Joseph
Mauborgne) 1917. godine. Upotrebom enonofih definicija koje vae za perfektne
ifarske sisteme, bilo je mogue potvrditi da se radi o savrenom kriptografskom
mehanizmu. Za razliku od dosadanjih ifara o kojima smo govorili, OTP radi direktno
nad binarnim podacima.
ifra radi na sledeem principu. ifrat se iz otvorenog teksta dobije tako to se
primeni operacija "ekskluzivno ili" (XOR) za otvoreni tekst i klju C P K , svi
podaci su u binarnom formatu. Postupak deifrovanja je identian postupku
ifrovanja: P C C .
56

______________________________________________________________________________________
15. PRIMER:
ifrovanje i deifrovanje sa OTP ifrom i kriptoanaliza.
ifrovanje: Otvoreni tekst (SINGIDUNUM) klju = ifrat (NGDUUMSIGD)
Otvoreni
tekst
Klju
ifrat
S
I
N
G
I
D
U
N
U
M
000 001 010 011 001 100 101 010 101 110
010 010 110 110 100 010 101 011 110 010
010 011 100 101 101 110 000 001 011 100
N
G
D
U
U
M
S
I
G
D
Deifrovanje: ifrat (NGDUUMSIGD) klju = otvoreni tekst (SINGIDUNUM)

ifrat
Klju (pravi)
Otvoreni
tekst
N
G
D
U
U
M
S
I
G
D
010 011 100 101 101 110 000 001 011 100
010 010 110 110 100 010 101 011 110 010
000 001 010 011 001 100 101 010 101 110
S
I
N
G
I
D
U
N
U
M
Deifrovanje: ifrat (NGDUUMSIGD) klju_X = otvoreni tekst (GINISUNISU).

Kriptoanaliza, isprobavanje sluajnih kljueva na osnovu renika.
ifrat
Klju (lani)
Otvoreni
tekst
N
G
D
U
U
M
S
I
G
D
010 011 100 101 101 110 000 001 011 100
001 010 110 100 101 011 010 000 011 001
011 001 010 001 000 101 010 001 000 101
G
I
N
I
S
U
N
I
S
U
Sigurnost OTP se zasniva na sluajnosti kljua, kao i na jednokratnoj upotrebi kljua,

U praksi je jako teko generisati isto sluajne nizove koji e biti kvalitativno
verifikovani sa aspekta teorijsko informacione analize. Sa kriptografskog stanovita,
zahtevano osnovno svojstvo binarnog sluajnog kljua odreuje sa entropijom H .
Kao to smo ve naveli, entropija kod binarnih sekvenci predstavlja informaciju po
57

______________________________________________________________________________________
jednom bitu. Poeljna vrednost entropije je H | 1 . Ova vrednost entropije vai za

verovatnoe pojavljivanja nula i jedinica p1/0{~ 0.5, ~ 0.5} . Naravno, sve ovo vai
pod uslovom da postoji uniformna distribucija unutar binarne sekvence.
OTP je dokazano bezbedna kada se koristi po definisanim pravilima:
x
x
x
x
x
x
ifrat ne daje nikakvu informaciju o otvorenom tekstu;

Svaki otvoreni tekst iste duine je podjednako verovatan;
Klju mora biti "sluajan", moe se koristiti samo jedanput;
Klju je poznat samo poiljaocu i primaocu;
Klju je iste duine kao i poruka;
Mehanizam integriteta ne postoji.
16. PRIMER:
Predstavljen je sluaj sa ponovljenim kljuem kod OTP-a. Kriptoanalitiar saznaje
otvoreni tekst druge poslate poruke na osnovu snimljenih ifrata za obe poruke i
poznatog otvorenog teksta prve poruke.
Projekat "VENONA" predstavlja One-time pad u realnom ivotu. Sovjetska pijunska

mrea formirana je na teritoriji SAD etrdesetih godina sredinom prolog veka. U
pitanju je bila nuklearna pijunaa. Za jednu ovakvu akciju neophodno je bilo
razmeniti na hiljade ifrovanih poruka. Meutim, sovjetski pijuni su uneli kljueve
58

______________________________________________________________________________________
prilikom ulaska u SAD. ifru su koristili na pravilan nain iz sigurnosnih razloga.

Ponavljanje kljua daje realnu mogunost za probijanje poruka.
2.6. KODNE KNJIGE

Kodna knjiga je renik koji uparuje rei (fraze) i kodne oznake. Preciznije reeno,
postoje dve kodne knjige, jedna se koristi za ifrovanje a druga za deifrovanje. Klju
ove ifre je kodna knjiga. Sigurnost ovog ifarskog sistema se zasniva na fizikoj
bezbednosti kodne knjige. Kodne knjige su imale veliku primenu u Drugom svetskom
ratu. Mnoge savremene ifre su zasnovane na ovom principu.
Cimermanov telegram je ifrovan kodnom knjigom. Cimermanov telegram je jedna
od najpoznatijih kodnih knjiga u istoriji. Deifrovanje Cimermanovog telegrama bio je
povod za ulazak SAD u Prvi svetski rat. Slika 2.8, prikazan je originalni ifrat i
deifrovana poruka.
Slika 2.8 Cimermanov telegram (ifrat i otvoreni tekst)
59

______________________________________________________________________________________
17. PRIMER:
ifarnik Cimermanovog telegrama. Za svaku re je bila odreena ifra.
Rei/ifre
Februar/13605
Fest/13732
Finanzielle/13850
Folgender/13918
Frieden/17142
Friedenschluus/17149
Britanci su uz pomo Rusa delom rekonstruisali kodnu knjigu, a zatim deifrovali
delove telegrama. Na slici ispod nalazi se jedan deo telegrama. Kodne knjige su
podlone statistikoj analizi. Slino kao i kod ifara zamene, ali je za napad potrebno
mnogo vie ifrata. U toku Drugog svetskog rata, kodne knjige su bile veoma
popularne. Problem je bila skupa zamena, a sa druge strane i teko izvodljiva. Da bi
ostale u upotrebi, uvedene su dodatne aditivne kodne knjige. Aditivna kodna knjiga je
dodatna knjiga koja sadri mnogo sluajnih brojeva. Sekvence sluajnih brojeva se
sabiraju sa kodnim reima i formiraju konani ifrat. Poetna pozicija iz aditivne
knjige treba da se dogovori izmeu poiljaoca i primaoca.
ifrovanje
Otvoreni
tekst
(Februar )
Kod iz kodne
knjige
(13605)
Kodna re
(13605)
Kodna re
(13605)
Kod iz
aditivne
knjige (500)
ifrat
(14105)
Slika 2.9 Primer ifrovanja sa aditivnom kodnom knjigom
Kod upotrebe aditivnih kodnih knjiga poetno mesto u kodnoj knjizi odreuje
poiljalac. Odreenom mestu alje se nezatieno "otvoreno" uz ifrat. Drugi naziv za
poetno mesto je indikator poruke. Za deifrovanje, pored kljua neophodan je i
indikator poruke. Savremeni izraz koji se koristi za indikator poruke kod modernih
ifara je "inicijalni vektor". Na ovaj nain se poveava sigurnost kodne knjige. Ako se
indikator poruke koristi samo jednom za jednu poruku, ifra postaje One-time pad.
60

______________________________________________________________________________________
3. SIMETRINI IFARSKI SISTEMI
klasinoj kriptografiji koriste se takozvani "papir olovka algoritmi". Koristio se

isti klju za ifrovanje i deifrovanje (simetrini klju). Otvoreni tekst i ifrat se
uglavnom predstavljao sa slovima. Krajem Drugog svetskog rata, uvedeni su raunari
u kriptoanalizu, to je dalje indukovalo i kod kriptografa upotrebu raunara za
ifrovanje i deifrovanje.
Moderni algoritmi podrazumevaju fazu kodovanja, otvoreni tekst se pre ifrovanja
prvo predstavi preko binarnih nizova ili bitova. Nain kodovanja nije tajna, koristi se
ASCII tabela. ASCII tabela je skraenica od Ameriki standardni kod za razmenu
podataka. Algoritmi za ifrovanje i deifrovanje sada rade na nizovima bita, a tako
smo dobili digitalno ifrovanje.
ifrovanje pomou raunara je u osnovi slino klasinim oblicima ifrovanja. I dalje se
koriste kombinacije transpozicije "premetanja" i supstitucije "zamene". Postoje
brojne prednosti moderne kriptografije u odnosu na klasinu kriptografiju od kojih
izdvajamo dve najbitnije. Prva prednost je u tome da je mogue realizovati daleko
sloenije ifre primenom raunara za razliku od onih koje se realizuju mehanikim
putem. Druga, elektronika je neuporedivo bra od mehanike to utie na brzinske
performanse algoritama za ifrovanje i deifrovanje.
U ovom poglavlju razmatraju se dve vrste simetrine kriptografije, sekvencijalni i
blokovski ifarski sistemi. Sekvencijalne ifre su sline One-time pad-u. Zasnivaju se
na generatorima pseudosluajnih nizova koji se inicijalizuju na bazi tajnog kljua
relativno male duine. Generisani pseudosluajni niz ima statistike karakteristike
koje su sline karakteristikama pravih sluajnih nizova. Jedina je razlika u tome to se
pseudosluajni nizovi ponavljaju posle odgovarajue periode dugog trajanja.
Blokovske ifre se mogu posmatrati kao moderni naslednici klasinih kodnih knjiga
gde klju odreuje kodnu knjigu. Unutranji rad algoritama savremenih blokovskih
ifara je kompleksan. Kod blokovskih ifara, otvoreni tekst se deli na blokove fiksne i
zadate duine (64, 128, 192, 256) u bitovima, zatim se svaki blok nezavisno ifruje.
Interno, blokovske ifre primenjuju i konfuziju i difuziju.
61

______________________________________________________________________________________
Razmotrimo principe rada dva poznata algoritma sekvencijalnih ifara: A5/1 i RC4.
Algoritam A5/1 korien je u mobilnoj telefoniji i predstavlja klasu sekvencijalnih
ifara zasnovanih na hardveru i takozvanim neuniformno taktovanim linearnim
pomerakim registrima. RC4 se koristi na mnogim mestima, ukljuujui SSL i WEP
protokole. RC4 je jedinstven meu sekvencijalnim iframa poto je dizajniran tako da
se efikasno implementira u softveru.
Kod blokovskih ifara razmotriemo DES jer je relativno jednostavan (po standardu
blokovskih ifri) i najstariji od svih, blokovska ifra sa kojom se sve ostale porede.
Takoe, razmotrie se nekoliko drugih popularnih blokovskih ifara. Na kraju emo
diskutovati o primeni blokovskih ifara za ostvarivanje poverljivosti i integriteta
podataka. Slika 3.1, data je osnovna podela moderne kriptografije, sa iframa koje
predstavljaju istaknute predstavnike odreenog tipa ifre.
Moderna
kriptografija
Asimetrina
kriptografija
Simetrina
kriptografija
Kriptografija sa
javnim kljuem
Sekvencijalne
ifre
Digitalni potpis
A5/1
DES
RC4
TDES
Blokovske ifre
AES
TEA
Slika 3.1 Podela modernih ifara
62

______________________________________________________________________________________
3.1. SEKVENCIJALNE IFRE

Sekvencijalne ifre uzimaju klju K , duine n bita i koriste ga za inicijalizaciju
generatora pseudosluajnih nizova. Dobijena pseudosluajna sekvenca je po svojim
statistikim osobinama slina pravom sluajnom nizu. U odnosu na njega razlikuje se
po tome to je periodina. Periodinost nekog generatora pseudosluajnih nizova
moemo najlake razumeti ako zamislimo da se kreemo krunom putanjom i u
jednom momentu emo se nai na poetku. Isto tako pseudosluajni generator e
poeti da generie vrednosti u nekom momentu ponovo iz poetka. Broj
pseudosluajnih vrednosti e zavisiti upravo od duine te krune putanje.
Neki autori sekvencijalne ifre nazivaju i pseudo-One-time pad ifre. Da bi smo bolje
razumeli poeemo od enona (Claude Shannon) koji je definisao dva tipa sigurnosti.
Prva je bezuslovna sigurnost, to znai da se za zadati kriptografski sistem moe
rigorozno dokazati nominovana sigurnost u odnosu na protivnika koji raspolae
neogranienim vremenskim i raunarskim resursima. ifra koja odgovara datom
opisu bezuslovne sigurnosti je One-time pad i predstavlja enonov ideal apsolutne
sigurnosti.
Slika 3.2 enonov ideal sigurnosti

63

______________________________________________________________________________________
Slika 3.2, prikazan je prirodni informacioni izvor koji se koristi kao generator sluajnih
nizova. Prave generatore sluajnih nizova mogue je pronai u prirodi. Ujedno,

dobijeni sluajni niz iz datog informacionog izvora predstavlja klju K koji se koristiti
za ifrovanje na nain koji je objanjen kod One-time pad ifre.
Druga sigurnost koju je definisao enon je dokaziva raunarska sigurnost, to znai da
se za zadati kriptografski sistem moe rigorozno dokazati nominovana sigurnost u
odnosu na protivnika koji poseduje specifine vremenske i raunarske resurse.
Upravo ifra koja najvie odgovara definiciji raunarske sigurnosti je simetrina
sekvencijalna ifra i po enonu predstavlja pseudoideal raunarske sigurnosti.
Slika 3.3, prikazan je prirodni informacioni izvor koji ima ulogu generatora sluajnih
nizova koji se koriste kao inicijalna stanja pseudosluajnih generatora za generisanje

pseudosluajnih nizova. Generisani pseudosluajni nizovi koriste se za klju K koji se
primenjuje za ifrovanje na nain koji je objanjen kod One-time pad ifre.
Slika 3.3 enonov pseudo ideal
Proces ifrovanja se svodi na XOR operaciju nad bitovima otvorenog teksta i bitovima
pseudosluajne sekvence (radnog kljua). Deifrovanje se vri identinim
pseudosluajnim nizom na prijemu koji se XOR-uje sa dobijenim ifratom C .
64

______________________________________________________________________________________
Korienje pseudosluajne sekvence (eng. keystream) je identino korienju kljua

kod One-time pad-a i naziva se radni klju koji je generisan na osnovu kljua K .
Funkcija sekvencijalne ifre SK moe se posmatrati kao:
SK ( K ) S
gde je K klju, a S predstavlja rezultujui pseudosluajni niz.
Za dati pseudosluajni niz S
generie se ifrat C
s0 s1 ... si i otvoreni tekst P
p0 p1 ... pi
c0 c1 ... ci . Primenom XOR operacije nad odgovarajuim
bitovima dobija se ifrat C :
C {c0
p0 s0 ; c1
p1 s1; ci
pi si };
U procesu deifrovanja ifrata C , pseudosluajna sekvenca S se ponovo koristi,

odnosno XOR-uje sa bitovima ifrata:
P { p0 c0 s0 ; p1 c1 s1; pi
ci si };
Poznato nam je da ifrat kod One-time pad-a nastaje tako to se primeni XOR
operacija nad otvorenim tekstom i kljuem. Iz ovoga vidimo da duina kljua K mora
biti ista duini otvorenog teksta. Osnovna ideja je bila da se zameniti sluajni niz ili
klju K sa pseudosluajnim nizom ili radnim kljuem (klju koji se koristi za
ifrovanje). Ovo zahteva projektovanje generatora pseudosluajnih brojeva (PRNG).
Dobijeno je vie reenja za projektovanje PRNG-a. Jedno od reenja je primena
linearnih pomerakih registara sa povratnom spregom (LPR).
Linearni pomeraki registri obuhvataju dve funkcije. Prva se odnosi na funkciju
pomerakog registra duine n bita koji se u svakom taktu pomera za jedno mesto u
desno. Druga funkcija je funkcija povratne sprege koja odreuje (na osnovu
odreenih bitova u registru) koji bit e se upisati na prvo mesto. Funkcija moe biti
linearna. Izlaz iz pomerakog registra je jedan bit, najee krajnji desno. Izlazni bit je
odreen na osnovu poetnog stanja i povratne sprege. Perioda pomerakog registra
je broj bita izlazne sekvence, pre nego to pone da se ponavlja.
65

______________________________________________________________________________________
Pomeraki registar duine n , moe da ima 2 1 razliitih poetnih stanja, jedino ne

mogu biti sve nule. Pravilnim odabirom povratne sprege moe se postii perioda
n
izlaznog niza od 2 1 bita. Generisani izlazni niz ima osobine pseudosluajnog niza
to znai da sadri osobinu periodinosti.
n
Naalost, sadri i osobine koje nisu prihvatljive, prvih
n bitova izlaza su jednaki
poetnom stanju. Na osnovu poznavanja svih 2 bita izlaza jednog generatora moe
se rekonstruisati generator. Sa aspekta kriptoanalize, uspeh kriptoanalitiara bio bi
zagarantovan.
18. PRIMER:
Primer jednog LPR za generisanje radnog kljua.
Klju K : n
3 o k0k1k2 100
Takt registra je odreen sa: t
k0 k2 , ki
ki1, k0 t , Slika 3.4. Dati takt je binarna
reprezentacija polinoma x x 1 .
3
Slika 3.4 Definicija jednog takta registra

Tabela 3 Vrednosti po taktu za stanje registra 100.
takt stanje Izlaz takt stanje izlaz takt stanje izlaz

0
100
1
4
101
0
8
110
1
1
110
1
5
010
0
9
111
0
2
111
0
6
001
1
10
011
1
3
011
1
7
100
1
11
: : :
:
66

______________________________________________________________________________________
Tabela 3, sadri stanja datog registra. Za svako stanje kao ulaz u naredni takt prikazan
je izlaz veliine 1 bit kao izlaz iz takta. Izlazi zajedno ine radni klju maksimalne
duine 2 1. Na osnovu vrednosti takta 7 za stanje 100 oznaeno crvenom bojom,
vidimo da je registar periodian. Njegova perioda je 7.
n
19. PRIMER:
Primer jednog LPR za generisanje radnog kljua sa loom povratnom spregom koja
prouzrokuje malu periodu.
Klju K : n
3 o k0k1k2 101
Takt registra je odreen sa: t
k0 k1, ki
ki1, k0 t ,Slika 3.5. Dati takt je binarna
reprezentacija polinoma x x 1.
2
Slika 3.5 Definicija jednog takta registra

Tabela 4 Vrednosti po taktu za stanje registra 101.
takt stanje izlaz takt stanje izlaz takt stanje izlaz

0
101
1
4
110
0
8
011
1
1
110
0
5
011
1
9
101
1
2
011
1
6
101
1
10
110
0
3
101
1
7
110
0
11
: : :
:
Tabela 4, prikazana su stanja datog registra. Slino kao i u prethodnom primeru, ali je
druga definicija povratne sprege. Na osnovu vrednosti takta 3, 6 i 9 za stanje 101
oznaeno crvenom bojom, vidimo da je registar periodian i da povratna sprega
odreuje njegovu periodu. Njegova perioda je 3.
67

______________________________________________________________________________________
Iz prethodnih primera videli smo da je izlaz LPR regstra periodian i da zavisi od

povratne sprege. Radni klju se ponavlja, moemo ga prihvatiti ako je perioda
dovoljno velika i koristi se samo unutar jedne periode. U praksi bi znailo da perioda
odreuje momenat promene inicijalnog stanja ili kljua K . Primenjeni statistiki
testovi dali su elemente pseudosluajnosti za ovako generisan radni klju.
Upotrebljivost LPR registra za generisanje radnog kljua zavisi od dizajna koji
kombinuje vie LPR registara. Uz uvoenje elemenata nelinearnosti mogu se prevazii
navedeni problemi. Prevazilaenje problema znailo bi moda raunarsku, ali ne i
bezuslovnu sigurnost.
Sa pretpostavkom da poiljalac i primalac imaju isti algoritam za generisanje
pseudosluajne sekvence i da oba koriste isti klju K koji se dostavlja posebnim
sigurnim kanalima (kurirskim kanalima), ovaj sistem omoguava praktinu
generalizaciju One-time pad-a. Meutim, dobijeni ifrat nema osobinu apsolutne
tajnosti i ne odgovara enonovom idealu sigurnosti, ve govorimo o raunarskoj
tajnosti, odnosno sistem nije dokazivo siguran.
Sledea tabela sadri povratnu spregu definisanu polinomima i njihovu binarnu
reprezentaciju za vrednost n 11 bitova.
Tabela 5 Polinom povratne sprege maksimalne periode za n=11.
Bitovi
n
3
4
5
6
7
8
9
10
11
68
Polinom povratne sprege

(takt)
x3 x 2 1
x 4 x3 1
x5 x3 1
x 6 x5 1
x7 x6 1
x8 x6 x5 x4 1
x9 x5 1
x10 x7 1
x11 x9 1
Binaran reprezentacija
Period
polinoma povratne sprege (takt) n 1
110
7
1100
15
10100
31
110000
63
1100000
127
10111000
255
100010000
511
1001000000
1023
10100000000
2047

______________________________________________________________________________________
20. PRIMER:
Konstruisati jedan linearni pomeraki registar (LPR) za n 8 bitova, sa maksimalnom
periodom. Povratna sprega za najveu periodu, odreena je sa polinomom
x8 x6 x5 x4 1 , tabela 5.
Slika 3.6 reenje problema u Cryptool edukativnom softveru
3.1.1. A5/1
Prva sekvencijalna ifra koja e se razmatrati je A5/1. ifra se koristi za kriptografsku
zatitu podataka kod GSM zatitnog protokola. Korien je za obezbeivanje sigurne
komunikacije izmeu telefona i bazne stanice. Algoritam je dran u tajnosti, ali je
spletom okolnosti dospeo u javnost. Kasnije se pokazalo da dizajn algoritma ima
69

______________________________________________________________________________________
ozbiljnih slabosti. Ovaj algoritam ima algebarski opis, ali takoe moe biti prikazan
kroz relativno jednostavan dijagram.
A5/1 koristi tri linearna pomeraka registra sa povratnom spregom (LPR), koje emo
mi nazvati X , Y i Z . Registar X se sastoji od 19 bitova, koje emo oznaiti sa
x0 x1...x18 . Registar Y se sastoji od 22 bita Y
sastoji od 23 bita Z
y0 y1... y22 i registar Z se
z0 z1...z23 . Primetiemo da su uglavnom kriptografske
vrednosti vezane za stepen broja 2, tako da nije sluajno da sva tri registra zajedno
imaju 64 bita.
Klju K je takoe duine 64 bita. Klju se koristi kao inicijalna vrednost koja se
smeta u ova tri registra. Odnosno, klju se koristi za postavljanje poetnog stanja u
sva tri registra. Klju K zbog svoje uloge u praksi naziva se unutranji klju. Kada je
klju postavljen u registre, linearni registri kreu u produkciju pseudosluajnih nizova.
Generisani pseudosluajni nizovi u praksi se nazivaju radni kljuevi.
Imajui u vidu da se radni klju generie na osnovu K upotrebom generatora radnog
kljua, generator radnog kljua mora zadovoljiti stroge kriptografske zahteve.
Zasnovanost generatora na matematikom aparatu zahteva detaljnu statistiku
analizu da bi se potvrdilo da su osobine dobijenog radnog kljua to slinije
osobinama nekog sluajnog niza K .
Projektovani pseudosluajni generator - PRNG (eng. pseudo random number generator), na osnovu sluajnog poetnog stanja K duine 64 bita, generie mnogo dui niz
pseudosluajnih bitova. Oekivana koliina sluajnih bitova je priblino | 2 za
duinu unutranjeg kljua K od 64 bita ili inicijalnog stanja pseudosluajnog
generatora. Od dizajna linearnog pomerakog registra sa povratnom spregom
zavisie duina radnog kljua ili veliina njegove periode.
19
Pre nego to opiemo kako se radni klju generie, rei emo neto vie o ovim
linearnim registrima X , Y i Z . Broj bita ili perioda radnog kljua koji se generie
na osnovu 64-bitnog kljua je veoma veliki. Kriptografski sistemi koji koriste
pomerake registre se najee realizuju hardverski. Softverska realizacija je mogua,
ali esto je manje efikasna. Savremeni procesori omoguavaju prihvatljivo reenje u
nekim sluajevima. Pomeraki registri su i danas osnova za realizaciju ifarskih
70

______________________________________________________________________________________
sistema, a sa njima se postie da generisana pseudosluajna sekvenca ima veliku

periodu.
Slika 3.7 Generisanje radnog kljua sa A5/1 algoritmom
U svakom koraku: m
Ako je x8
maj( x8 , y10 , z10 ) ,primer: maj (0,1,0) 0, maj (1,1,0) 1
m tada se rauna t i pomera X :

t x13 x16 x17 x18
xi
Ako je y10
xi1 za i 18,17,...,1 i x0 t
m tada se rauna t i pomera Y :

t
yi
Ako je Z10
y20 y21
yi 1 za i 21, 20,...,1i y0 t
m , tad se rauna t i pomera Z :

t
zi
z7 z20 z21 z22
zi 1 za i 22, 21,...,1i z0 t
Bit radnog kljua se rauna kao: x18 y21 z22 .

71

______________________________________________________________________________________
Vidimo da je svaka vrednost ( x8 , y10 , z10 ) jedan bit radnog kljua. Unutranji klju
odreuje poetno stanje registra. Pomeranje ili ifrovanje registra zavisi od vrednosti
( x8 , y10 , z10 ) . Bit radnog kljua se u svakom trenutku dobija XOR-om poslednjih
bitova registra x18 y21 z22 .
21. PRIMER:
Generisnaje jednog bit-a radnog kljua za m
maj( x8 , y10 , z10 ) maj(1,0,1) 1
Slika 3.8 Jedan takt registra A5/1 algoritma
U ovom primeru registar X se pomera, registar Y se ne pomera i registar Z se

pomera. Bit radnog kljua se rauna kao: s 0 1 0 1 . Dobijeni bit radnog kljua
se XOR-uje sa otvorenim tekstom (ifrovanje) ili XOR-uje sa ifratom (deifrovanje). I
tako ponavljamo ceo proces kako bi smo generisali onoliko bitova kljua koliko nam
je potrebno za proces ifrovanja ili deifrovanja.
Moemo da zapazimo da se stanje u registru menja tokom pomeranja bita. Posledica
toga je da se posle generisanja jedne sekvence bita, stanje najmanje dva registra
X , Y , Z promenilo, to rezultuje da su novi bitovi na pozicijama ( x8 , y10 , z10 ) . Zbog

toga moemo ponoviti ovaj proces i generisati novi radni klju.
Iako deluje komplikovano nain za generisanje jednog bita radnog kljua, A5/1 se
lako moe implementirati u hardver i generisati bitove brzinom koja je
proporcionalna brzini takta. Zapravo broj taktova odreuje i broj bita radnog kljua.
72

______________________________________________________________________________________
Takoe, broj bita radnog kljua koji moe biti generisan iz jednog unutranjeg kljua
od 64 bita je praktino neogranien, ali ono to je sigurno jeste da e se u jednom
momentu ponoviti.
A5/1 algoritam je predstavnik velike klase ifara koje su bazirane na pomerakim
registrima i imlementirane u hardver. Ovi sistemi su nekada bili kraljevi simetrinih
kriptografskih sistema, ali poslednjih godina su im blokovske ifre preuzele tu titulu.
Danas kad se sekvencijalne ifre koriste, koristi se RC4 algoritam o kome emo
govoriti u sledeem poglavlju.
Zato se tako masovno prelo sa sekvencijalnih ifara na blokovske ifre? U prolosti
sekvencijalne ifre bazirane na pomerakim registrima, bile su potrebne da bi se
drao korak sa bitskim brzinama podataka u razliitim komunikacionim kanalima.
Kada se sa zatite tekstualnih podataka prelo na zatitu kompleksnijih podataka
(npr. kao to su audio fajlovi) problem zatite podataka u realnom vremenu je postao
jo izraeniji. U telekomunikacijama su sve vie poele da se koriste reenja za prenos
podataka na visokim bitskim brzinama. U prolosti, softver baziran na kriptografskim
algoritmima nije mogao da generie bitove kljua dovoljno brzo za takve aplikacije.
Danas postoji samo nekoliko aplikacija za koje kriptografski baziran softver nije
odgovarajui. Kao dodatak, blokovske ifre je lako napraviti i one mogu da rade isto
to i sekvencijalne, ak i mnogo vie. Ovo su neki od glavnih razloga zato su
blokovske ifre sada dominantne.
3.1.2. RC4
RC4 je sekvencijalna ifra koja se u svojoj osnovi razlikuje od A5/1. Algoritam RC4 je
napravljen za softversku implementaciju, dok je A5/1 dizajniran za hardver. RC4
generie bajt radnog kljua u jednom taktu, dok A5/1 proizvodi u jednom taktu samo
jedan bit radnog kljua. Sa aspekta vremenskih performansi, generisanje bajta u
jednom taktu je mnogo bolje od generisanja jednog bita.
RC4 algoritam je veoma jednostavan zato to je njegova osnova tabela koja sadri
permutaciju svih moguih vrednosti od 0-255 bajtova. Sutina je u sledeem: svaki
put kada se generie bajt radnog kljua, tabela se modifikuje na takav nain da uvek
73

______________________________________________________________________________________
sadri permutaciju od {0,1,...,255} . Zbog ovog stalnog menjanja ili samomodifikovanja, tabela i sama ifra za kriptoanalitiara predstavlja pokretnu metu.
Kompletan dizajn RC4 algoritma radi nad bajtovima podataka. Prva faza algoritma
inicijalizuje tabelu koristei klju. Oznaiemo klju kao klju[i] za i
0,1,..., N 1 ,
gde je svaki klju[i] jedan bajt. Oznaiemo tabelu S[i] , gde je S[i] takoe bajt.
Pseudokod za inicijalizovanje permutacije S dat je u tabeli 1.
Jedna interesantna odlika RC4 algoritma jeste da klju moe biti bilo koje duine od 1
do 256 bajtova. Najea duina kljua je izmeu 5 i 40 bajta. Klju se koristi samo da
bi se inicijalizovala permutacija S . Moemo da zapazimo da se 256 bajt-ni niz K
dobija prosto ponavljajui klju dok se niz ne napuni.
Nakon faze inicijalizovanja, svaki bajt radnog kljua se generie na osnovu
pesudokoda, Tabela 6. Izlaz koji smo oznaili kao jedan bajt radnog kljua je bajt nad
kojim e se primeniti XOR sa bajtom otvorenog teksta ako je faza ifrovanja ili XOR sa
bajtom ifrata ako je faza deifrovanja.
Tabela 6 Faza ifrovanja
za i = 0 do 255
S[i] = i
K[i] = klju[i mod N]
sledei i
j = 0
zar i = 0 do 255
j = (j + S[i] + K[i]) mod 256
zamena_mesta(S[i],S[j])
sledei i
i = j = 0
RC4 algoritam se moe posmatrati kao samo-modifikujua tabela. Vrlo je sofisticirano
reen, jednostavan i softverski efikasan. Meutim, postoje napadi koji su izvodljivi, ali
samo pod nekim uslovima. Ukoliko je algoritam implementiran na adekvatan nain,
napad nee biti lako izvodljiv, a to znai da je prvih 256 bajtova radnog kljua
odbaeno.
74

______________________________________________________________________________________
Za pravilno inicijalizovanje RC4 algoritma, neophodno je odbaciti prvih 256 bajtova

radnog kljua. U protivnom, napada bi mogao da rekonstruie radni klju na osnovu
prvih 256 bajtova ifrata. Ovo moe biti postignuto dodavanjem 256 koraka u fazu
inicijalizovanja gde svaki dodatni korak generie i odbacuje bajt radnog kljua, pratei
algoritam, Tabela 7. Za pravilno funkcionisanje algoritma, Alisa i Bob zajedno
implementiraju ove dodatne korake, da bi mogli koristiti RC4 ifru za sigurnu
komunikaciju.
Tabela 7. Faza inicijalizovanja
i = (i + 1) mod 256
j = (j + S[i]) mod 256
zamena_mesta(S[i], S[j])
t = (S[i] + S[j]) mod 256
radni_klju = S[t]
RC4 se danas koristi u mnogim aplikacijama, ukljuujui zatitne protokole SSL i WEP.
Google danas koristi RC4 algoritam u TLS zatitnom protokolu za obezbeivanje
sigurne komunikacije izmeu klijenta i servera u servisu za elektronsku potu
(gmail.com). U dananje vreme, u pruanju ovakvih usluga je neophodno koristiti
kriptografsku zatitu. Ne zaboravimo da je i RC4 ifra pseudo-One-time pad ifra i da
su njene visoke performanse stvorile konkurentsku prednost nad ostalim modernim
iframa. Zbog ogromnog broja Internet korisnika i zahtevane brzine odziva, Google je
izabrao RC4 algoritam zbog svih svojih dobrih karakteristika.
Meutim, algoritam je veoma star i nije optimizovan za 32-bitnu arhitekturu
procesora. Moemo zakljuiti na osnovu izgleda njegovog dizajna da je prilagoen
starim 8-bitnim procesorima. Kako je ugraen u velikom broju savremenih
raunarskih protokola i aplikacija, jo uvek ima znaaj sa kriptografskog aspekta.
Sekvencijalne ifre su nekada bile primarne, ali su sada relativno retke u poreenju sa
blokovskim iframa. Neki su otili toliko daleko da su proglasili i njihovo ieznue i
kao dokaz naveli su da u poslednjih par godina nije bilo napora da se razvije ni jedna
nova sekvencijalna ifra. Ipak, danas se javlja povean broj znaajnih aplikacija za koje
su sekvencijalne ifre mnogo pogodnije nego blokovske. Primer za takve aplikacije su
beini ureaji (beine mree), ureaji sa ogranienom procesorskom snagom i
75

______________________________________________________________________________________
ureaji sa velikim protokom podataka (zatita videa i govora). Nesumnjivo, prie o

ieznuu blokovskih ifri su bile znaajno preuveliane.
Slika 3.9, prikazana je jedna jednostavna implementacija RC4 algoritma u Java
programskom jeziku. Korien je kriptografski paket klasa javax.crypto.* Klju ili

lozinka koju algoritam koristi za inicijalizovanje je niz karaktera SINGIDUNUM, a
otvoreni tekst ili poruka UNIVERZITET_SINGIDUNUM. Prikazane su obe faze, faza
ifrovanja i deifrovanja.
Slika 3.9 Implementacija RC4 algoritma u Javi
76

______________________________________________________________________________________
3.2. BLOKOVSKE IFRE

Ponavljajua blokovska ifra deli otvoreni tekst na blokove fiksne veliine i generie
blokove ifrata fiksne veliine. U mnogim sluajevima, ifrat se dobija iz otvorenog
teksta ponavljanjem funkcije F za odreeni broj rundi. Funkcija F , koja zavisi od
izlaza prethodne runde i kljua K , je poznata kao funkcija runde ne zbog svog oblika,
nego zbog toga to je primenjena preko vie rundi. Ulazni parametri za svaku rundu
su klju i izlaz iz prethodne runde.
Blokovske ifre kombinuju zajedno svojstvo difuzije, svojstvo konfuzije i
kompletnosti. Blok otvorenog teksta odrediemo sa Pi , a blok ifrata Ci . Difuzija
podrazumeva da poznavanje para Pi i Ci ne sme da omogui da se na osnovu C j
odredi odgovarajue Pj . Kod blokovskih ifara zahtevano je da male promene u
bloku otvorenog teksta (1 bit) treba da izazovu nepredvidive promene u datom bloku
ifrata. Svojstvo konfuzije podrazumeva da e svi kljuevi biti jednako verovatni u
sluaju napada potpunom pretragom kljueva. Na kraju, celovitost podrazumeva da
e svaki bit ifrata postati funkcija svakog bita kljua.
Ciljevi dizajna blokovskih ifri su sigurnost i efikasnost. Nije toliko teko razviti
razumno sigurnu blokovsku ifru ili efikasnu blokovsku ifru, ali dizajnirati neto to je
i sigurno i efikasno, zahteva visok stepen kriptografskog umea. Blokovske ifre se
najee realizuju softverski.
3.2.1. FEJSTEL IFRA

Feistel ifra je nazvana po Nemakom kriptografu Horstu Fejstelu (Horst Feistel), koji
je bio pionir u razvoju dizajna blokovskih ifara, radio je u IBM-u. Ovo su bila inicijalna
istraivanja koja su kulminirala razvojem DES (Data Encryption Standard) algoritma
1970. godine. Fejstel ifra predstavlja dizajn blokovske ifre, a ne posebnu ifru.
Principi rada Fejstel ifre. Kod Fejistel ifre, otvoreni tekst se deli na levu i desnu
polovinu:
77

______________________________________________________________________________________
P (LOT , DOT ) ,
i za svaku novu rundu i
{1, 2,..., n} , generie se nova leva i desna polovina,
odreena na osnovu pravila:
Li
Di 1 , Di
Li 1 F ( Di 1, Ki ) ,
gde je F funkcija runde, a Ki je podklju za rundu i . Podklju se dobija

kombinovanjem bitova kljua K . Na kraju, ifrat C je izlaz iz poslednje runde:
C (Ln , Dn ) .
78

______________________________________________________________________________________
22. PRIMER:
Fejstel, primer ifrovanja u tri runde.
U prvom koraku delimo neki otvoreni tekst u blokove fiksne duine od 64 bita. Zatim
uzimamo jedan blok otvorenog teksta i delimo ga na dva dela P0
(L0 , D0 ) . Nakon
toga, raunamo blok ifrata za tri runde Slika 3.10.
Slika 3.10 Fejstel ifra, primer ifrovanja u 3 runde
Na osnovu funkcije F za generisanje nove runde i podkljua Ki , primetiemo da je

nova leva polovina Li stara desna polovina Di , a nova desna polovina Di je stara
leva polovina Li .
79

______________________________________________________________________________________
Svakako, potrebno je sada deifrovati dobijeni blok ifrata. Lepota Fejstel ifre jeste
da mi moemo deifrovati ifrat, bez obzira na pojedinanu funkciju runde Fi . Da bi
to mogli uraditi, reava se jednaina:
Li
Di 1 , Di
Li 1 F ( Di 1, Ki )
za Di 1 i Li 1 , to nam dozvoljava da pokrenemo proces unazad. Za
i {1, 2,..., n} , pravilo za deifrovanje je:
Di1
Li , Li 1
Di F ( Di 1, Ki ) ,
gde je F funkcija runde, a Ki je podklju. Krajnji rezultat je originalni otvoreni tekst:
P (LOT , DOT ) .
Svaka funkcija runde F e raditi u Fejstel ifri ako izlaz funkcije F obezbeuje
ispravan broj bitova. Posebno je dobro to ne postoji potreba da funkcija F bude
inverzna. Meutim, Fejstel ifra nee biti kriptografski sigurna za neke funkcije F .
Primetiemo da se sva pitanja vezana za sigurnost Fejstel ifre svode na pitanja o
funkciji runde F i rasporedu podkljua Ki . Raspored kljua obino nije bitna stvar
tako da se najvei fokus daje analizi funkcije F .
3.2.2. DES
Data Encryption Standard, poznat kao DES je razvijen u mranom dobu
kompjuterske ere 1970-ih godina. Dizajn je baziran na takozvanoj Lucifer ifri,
Fejstel ifri razvijenoj od strane tima u IBM-u. DES je iznenaujue jednostavna
blokovska ifra, ali pria o tome kako je od Lucifer ifre nastao DES je sve, samo ne i
jednostavna.
Do sredine 1970-ih bilo je jasno ak i birokratama u amerikoj vladi da postoji
legitimna komercijalna potreba za sigurnom kriptografijom. U to vreme,
80

______________________________________________________________________________________
kompjuterska revolucija je bila u toku, a potreba za poverljivou digitalnih podataka

je ubrzano rasla.
Sredinom 1970-ih, kriptografija je bila veoma slabo poznata izvan vojnih i vladinih
krugova, a oni nisu o tome mnogo govorili i to je jo uvek tako. Prve kriptografske
konferencije pojavile su se tek posle 1980. godine. Posledica ove izolovanosti je bila
da preduzea nisu mogla da procene sigurnost koju nudi neki kriptografski proizvod.
Sigurnost koju je nudila veina takvih proizvoda, bila je veoma loa.
U ovom okruenju Nacionalni biro za standarde (eng. National Bureau of Standards)
ili NBS, a sada poznat kao NIST, izdao je zahtev za predlog novih ifara. Pobednik bi
postao standard amerike vlade i skoro sigurno de facto industrijski standard. Veoma
malo razumnih reenja je podneto i veoma brzo je postalo jasno da je IBM-ova Lucifer ifra jedini ozbiljan kandidat na tom konkursu.
U tom trenutku, NBS je imao problem. Bilo je veoma malo kriptografske strunosti u
NBS-u, tako da su se okrenuli vladinim strunjacima, super-tajnoj Nacionalnoj
sigurnosnoj agenciji (eng. National Security Agency) ili NSA. NSA dizajnira i pravi
kriptografske mehanizme koji se koriste u amerikoj vojsci i vladi za zatitu visoko
poverljivih informacija.
NSA se nerado umeala u priu sa DES-om, ali pod pritiskom su se na kraju sloili da
proue dizajn Lucifer ifre i iznesu neka miljenja, uz uslov da uloga NSA ostane u
tajnosti. Kada je ova informacija objavljena, (to je svakako bilo neizbeno u Americi)
mnogi su bili sumnjiavi da je NSA ostavila zadnja vrata (eng. backdoor) u DES-u,
tako da samo ona moe razbiti ifru. Sigurno, SIGNIT misija NSA i generalna klima
nepoverenja prema vladi, podsticala je takve strahove. U odbranu NSA, vredi
primetiti da se za 30 godina intenzivne kriptoanalize nije otkrio nijedan backdoor ili
propust u dizajnu DES-a. Ipak, ovo je zadralo sumnju na DES od samog poetka.
Lucifer je najzad postao DES, ali ne pre nego to je uinjeno nekoliko ne ba suptilnih
promena. Najoiglednija promena je smanjenje duine kljua sa 128 bitova na 64
bita. Meutim, nakon rigorozne informacione analize, otkriveno je da se 8 od 64 bita
kljua odbacuje, pa je stvarna duina kljua samo 56 bitova. Kao rezultat ovih
promena, oekivano vreme za napad potpunom pretragom kljueva je smanjeno sa
2127 na 255 . Prema tome, DES je za 272 laki za razbijanje od Lucifera.

81

______________________________________________________________________________________
Razumljivo, sumnja se da je NSA imala ulogu u namernom slabljenju DES-a. Meutim,

naknadne kriptoanalize DES algoritma su otkrile napade koji zahtevaju neznatno
55
manje vremena od isprobavanja 2 kljueva. Kao rezultat, DES je verovatno jak sa

kljuem od 56 bitova kao to bi bio i sa duim Lucifer kljuem.
Suptilne promene Lucifera ukljuile su i kutije zamene ili S-kutije koje su objanjene u
donjem delu teksta. Posebno su ove promene podsticale sumnju o ostavljenim
zadnjim vratima. Meutim, vremenom je postalo jasno da su promene S-kutija
ustvari ojaala algoritam nudei zatitu protiv kriptoanalitikih metoda koje nisu bile
poznate (barem ne izvan NSA i o tome se nije govorilo) sve do nekoliko godina
unazad. Nepobitna injenica je da, ko god da je modifikovao Lucifer algoritam (a to je
NSA), znao je ta radi i znaajno je ojaao algoritam.
Cilj dizajnera je bio da uvede princip konfuzije, to znai da ifrat treba da zavisi od
otvorenog teksta i kljua na sloen nain i princip difuzije, to znai da svaki bit ifrata
treba da je funkcija svih bitova otvorenog teksta i svih bitova kljua. Pored ova dva
principa zahtevan je i "lavinski efekat", a to bi znailo da male promene ulaza treba
da izazovu velike promene izlaza. Kod DES-a promena jednog bita kljua ili jednog
bita od ukupno 64 bita otvorenog teksta menja 50% bita bloka ifrata.
U nastavku emo navesti osnovnu numerologiju ili specifikaciju DES algoritma.
DES je Fejstel ifra sa sledeim funkcionalnim parametrima:
x
Duina bloka otvorenog teksta je 64 bita;

56
x Duine kljua je 56 bitova sa ukupno 2 moguih kljueva;

x Ima ukupno 16 rundi pre generisanja jednog bloka ifrata;
x Duina podkljua koji se koristi u svakoj rundi je 48 bitova;
Svaka runda je jednostavna prema standardu o kreiranju blokovskih ifri.
Slika 3.11, potvruje da je DES Fejstel ifra kao to je definisano u poglavlju Fejstel
ifra. Funkcija F runde je kompozicija proirene permutacije, zbira podkljua, Skutije i P-kutije, kao to je dato u navedenom poglavlju Fejstel ifre.
Poto je DES Fejstel ifra, ifrovanje prati pravila prikazana u jednaini:
82

______________________________________________________________________________________
F (Di1, Ki ) P kutija(S kutija( proirenje(Di1 Ki )))
Slika 3.11 Kompletna ema DES algoritma
ifrovanje:
x Svaki blok se transformie u 16 rundi zamena i permutacija;
x Permutacije unose difuziju u podatke, zamene konfuziju (enonovi principi);
x U svakoj rundi se koristi 48 bitova podkljua;
x Inicijalna i inverzna permutacija ne doprinose jaini ifre.
Deifrovanje:
x
Proces je identian procesu ifrovanja, samo se izvrava sa podkljuem u

obrnutom redosledu.
83

______________________________________________________________________________________
Na Slika 3.12. prikazana je ema izvrenja 16 rundi DES algoritma. Kao to je prikazano
u emi, izlaz iz svake runde XOR-uje se sa odgovarajuim podkljuem.
Slika 3.12 DES algoritam 16 rundi
E-kutija (ekspanziona permutacija)

E-kutija predstavlja ekspanzionu permutaciju koja proiruje svoj ulaz od 32 bita na 48
bita. Funkcija menja redosled bita, a neke ponavlja zbog potrebe za lavinskim
efektom. Slika 3.13, ilustruje nain na koji je to uraeno. Tano mapiranje odreuje se
ekspanzionom tabelom E, koja nije prikazana ovde. E( Di 1 )
Funkcija F ( Di 1 , Li ) , svaki blok od 32 bita Di 1 i Li 1 proiruje pre XOR-a sa
odgovarajuim 48-bitnim podkljuem Ki . To znai da e se neke vrednosti iz Di 1
morati udvostruiti.
84

______________________________________________________________________________________
Slika 3.13 Funkcija proirenja ekspanziona permutacija
S-kutije (funkcija supstitucije i kompresije)

S-kutije u DES-u su jedna od najvanijih sigurnosnih funkcija u kompletnom
algoritmu. Za razliku od drugih linearnih kutija, S-kutije su nelinearne i teke za
kriptoanalizu. Videemo da su S-kutije zajednika funkcija veini modernih blokovskih
ifri. U DES-u, svaka S-kutija preslikava 6 bitova u 4 bita. DES koristi osam S-kutija koje
zajedno preslikavaju 48 bitova u 32 bita. Zbog toga se svaka moe posmatrati kao niz
od 4 reda i 16 vrsta, sa jednom 4-bitnom vrednosti koja je smetena u bilo kojoj od 64
pozicije. Iste S-kutije se koriste za svaku rundu u DES-u.
Slika 3.14 prikazuje rad prve S-kutije. Ulaz u funkciju F koja predstavlja funkciju Skutija je veliine 48 bitova. Zatim, ulaz od 48 bitova je podeljen na 8 blokova jednakih
>@
duina. Svaki blok je oznaen sa indeksnim vrednostima B i , iz skupa vrednosti
i {1,2,...,8} . Duina svakog B >i @ bloka je 6 bitova. Indeksne vrednosti i , govore
>@
nam koja je od S-kutija primenjena na dati blok B i . S-kutije (supstitucione zamene)

su set od 8 matrica dimenzije [4 x 16] sa konstantnim vrednostima.
85

______________________________________________________________________________________
Slika 3.14 Jedna S-kutija DES-a
U sledeem koraku je potrebno odrediti osam Sn vrednosti za n {1, 2,...,8} , na
>@
osnovu pojedinane B i vrednosti za odgovarajuu S-kutiju. Za svaki Sn izdvaja se

prvi i poslednji bit. Izdvojeni bitovi konvertuju se u decimalnu vrednost koja
predstavlja indeks reda S-kutije. Unutranja etiri bita koja su preostala konvertuju se
takoe u decimalnu vrednost koja predstavlja indeks kolone. Sada kada imamo
vrednosti indeksa kolone i reda, uzimamo decimalnu vrednost iz prve S-kutije. Uzeta
>@
vrednost se deli sa brojem 2, a dobijeni ostatak predstavlja novi B i blok duine od

4 bita, gde zapravo konvertujemo decimalnu vrednost u binarnu.
23. PRIMER:
Slika 3.14, primer za rad prve S-kutije:
r
B >1@ 110110
k k kk
10 1 21 0 20
2;
1011 1 23 0 22 1 21 1 20 11;
S kutija[red ][kolona] [2][11] 7;
R1
86
0111

______________________________________________________________________________________
>@
Sve preostale B i vrednosti su zamenjene na isti nain. Vrednost Ri je rezultat i

transformacija funkcije F prve S-kutije. Krajnji rezultat je konkatenacija bitova svih
Ri vrednosti za i {1, 2,...,8} . Sada sledi jo jedna transformacija od R , a to je

permutacija na osnovu matrice zamena P .
Slika 3.15 Tabela zamena (permutacija 32 bita)

Slika 3.15, prikazana je permutaciona matrica
P i matrica R koja predstavlja izlaz S-
kutija. Matrica P sadri konstantne vrednosti, koje predstavljaju nove pozicije bitova
iz matrice R .
Iz ovog primera vidimo da funkcija F ima sopstvenu tabelu zamena. Na kraju,
funkcija F (funkcija S-kutije) na izlazu daje F (Di 1, Ki ) veliine 32 bita koja se XORuju sa levom polovinom Li .
S-kutije su originalno bile zatiene od objavljivanja iz ega proizilazi da je nesumnjiv
cilj bio da one ostanu tajna. Meutim, kao to se i moglo predvideti, S-kutije u DES-u
bile su reversno analizirane i postale su javno poznate skoro odmah.
P-kutije (Inicijalna permutacija)
DES P-kutija predstavlja niz permutacija nad 64-bitnim blokom otvorenog teksta. Pkutija doprinosi maloj sigurnosti ifre i njena prava svrha se izgubila u magli istorije.
Jedno od moguih objanjenja jeste da su dizajneri eleli da uine DES mnogo teim
87

______________________________________________________________________________________
za softversku implementaciju budui da je originalni predlog predviao hardversku

implementaciju. To je oigledno bila nada da e DES ostati realizovan samo na
hardverskim platformama ili moda zbog verovanja da e hardverska realizacija
omoguiti da algoritam ostane u tajnosti. Permutacija P-kutije je jedini znaajan deo
DES-a koji nam je ostao na strani otvorenog teksta, a kasnije i algoritam rasporeda
kljua koji se koristi za generisanje podkljua.
Slika 3.16 P-kutija

Slika 3.16. prikazan je jedan blok otvorenog teksta veliine 64 bita i permutaciona
matrica iste veliine. Ulazni bitovi otvorenog teksta se preureuju prema inicijalnoj
permutaciji. Zapravo, brojevi u permutacionoj matrici odreuju poloaj ulaznih bita,
tako da svaki bit bude na svom mestu. Krajnji rezultat P-kutije je permutovani ulaz.
K-kutija (kutija za generisanje podkljua)
DES K-kutije donekle predstavljaju kompleksan proces, ali konani rezultat je
generisan podklju Ki , duine 48 bitova, na osnovu kljua K ' , duine 56 bitova. Za
svaku rundu i od ukupno 16 rundi, bira se novi Ki za svako i
{1,...,16} . Detaljno
emo objasniti emu generisanja podkljueva jer su detalji najbitniji za sigurnost

blokovskih algoritama. Uglavnom su uspeni napadi na blokovske ifre bili plod
greaka u algoritmima za generisanje podkljueva.
88

______________________________________________________________________________________
Slika 3.17 K-kutija (prva faza)
Osnovna uloga K-kutije je generisanje podkljua Ki duine 48 bitova. Slika 3.17.

prikazana je prva faza K-kutije, od ukupno tri faze. U prvoj fazi, pre prve izabrane
permutacije, odbaciemo krajnje desne bitove kljua K (uokvireno crvenom bojom).
Klju K je sada skraen na 56 bitova. U sledeem koraku, dobijeni klju K ' duine 56
bitova, postaviemo u permutacionu matricu koju nazivamo permutacioni izbor 1
(PC1). Bitovi kljua K se preureuju onako kako je zadato u matrici inicijalne
permutacije (PC1). Dobijeni rezultat je novi klju K ' , koji predstavlja skraeni i
permutovani klju K .
U drugoj fazi K-kutije, Slika 3.18. predstavljen je proces generisanja 16 podkljueva
Ki za svako i {1,...,16} , ija je duina 48 bitova. To je proces koji od K ' generie

podkljueve Ki . Klju K ' je podeljen na dve polovine, na levu L i desnu D
polovinu. Tabela koja je navedena na slici definie broj bitova koji e se rotirati za
svaki klju Ki . Za prvi podklju K1 (uokvireno), u matrici K ' se rotiraju samo prvi
bitovi, kao i u drugoj polovini. Dobijeno novo K ' za odreeno i
{1,...,16} ,
predstavlja ulaz za poslednju fazu generisanja prvog podkljua K1 .
89

______________________________________________________________________________________
Slika 3.18 K-kutija (druga faza)

Slika 3.19, prikazan je poslednji korak ili trea faza za generisanje prvog podkljua. U
ovoj fazi koristi se izabrana permutacija (PC2). Matrica permutacije (PC2) sadri 48
pozicija. Za date pozicije izdvojiemo bitove iz kljua K ' (odreen u drugoj fazi).
Krajni rezultat je prvi podklju K1 . Druga i trea faza se ponavljaju za sve vrednosti i
definisane u tabeli Slika 3.18, a zavise od reda runde.
Slika 3.19 K-kutija (trea faza, generisanje prvog podkljua)

90

______________________________________________________________________________________
Slika 3.20, prikazana je jedna jednostavna realizacija DES algoritma u Cryptool-u za
ifrovanja otvorenog teksta.
Slika 3.20 Primer sa DES algoritmom u Cryptool-u
Sigurnost DES algoritma

Nekoliko rei o sigurnosti DES-a koje mogu biti korisne. Prvo, matematiari su veoma
dobri u reavanju linearnih jednaina, a jedini deo kod DES-a koji nije linearan su Skutije. Zbog matematikih zakonitosti, linearne ifre su inherentno slabe pa su Skutije presudne za sigurnost DES-a. Zapravo, proirena permutacija ima vanu
bezbednosnu ulogu, a u neto manjoj meri i raspored kljueva.
Uprkos zabrinutosti u vezi dizajna DES-a, posebno uloge NSA-a u celom procesu DES
je oigledno izdrao test vremena. Trideset godina intenzivne kriptoanalize nije
otkrilo nikakve propuste tipa back door. Danas, DES je ranjiv samo zbog male
duine kljua, a ne zato to postoji neki ozbiljniji skraeni napad. Iako su razvijeni neki
napadi koji teorijski zahtevaju neznatno manje posla u odnosu na potpunu pretragu
kljueva, svi dosad napravljeni programi za razbijanje DES-a jednostavno isprobavaju
91

______________________________________________________________________________________
sve kombinacije kljueva dok ne naiu na onu pravu, odnosno, primenjuju potpunu
pretragu kljueva.
56
Napad potpune pretrage kljueva podrazumevao bi da napada mora da isproba 2

kljueva, ali danas je napad potpunom pretragom kljueva izvodljiv. Godine 1993.
Majkl Viner (Michael Wiener) je pokazao da je mogue napraviti hardver kojim se
moe razbiti DES napadom tipa poznati otvoreni tekst:
x
x
x
za 35 sati sa budetom od 100.000 dolara;

za 3.5 sata sa budetom od 1 milion dolara;
za 21 minut sa budetom od 10 miliona dolara;
2006. je napravljena nova maina COPACABANA od strane tima sa Univerziteta

Bohumu i Kil u Nemakoj. Za razliku od drugih maina ova maina je komercijalno
dostupna. U 2008. godini razvijena je nova verzija, COPACABANA RIVYERA koja je
smanjila vreme potrebno za razbijanje DES-a na manje od jednog dana. Ona koristi
128 Spartan-3 5000 FPGA ipove. Trenutno SciEngines kompanija u Nemakoj
RIVYERA dri rekord u razbijanju DES-a metodom potpune pretrage kljueva. Jedan
od zanimljivijih aspekata projekta COPACABANA je koliina potrebnog novca za
izgradnju takvog hardvera. Jedna maina moe se napraviti za 10.000 dolara.
Slika 3.21 COPACABANA RIVYERA 2008
Neke institucije su tada verovatno ve posedovale takav hardver. Neizbean zakljuak
jeste da su DES dizajneri znali ta rade.
Istorijski znaaj DES-a je veliki. DES se moe posmatrati kao pokreta za razvoj
savremene kriptografije sa simetrinim kljuevima, tako da postoji doza ironije
budui da je NSA, dodue nevoljno, doprinela njegovom stvaranju. U nastavku,
objasniemo trostruki DES koji je korien za efikasno proirenje duine kljua kod
DES-a. Zatim e uslediti kratak pregled jo nekoliko blokovskih ifara. Na kraju e se
92

______________________________________________________________________________________
dati prikaz dananjeg standarda za blokovske ifre pod nazivom AES (eng. Advanced
Encryption Standard) koji se koristi u veini realizacija.
24. PRIMER:
Slika 3.22, Jo jedna realizacija DES algoritma u Java programskom jeziku.
Slika 3.22 Implementacija DES-a u Java programskom jeziku
93

______________________________________________________________________________________
3.2.3. TROSTRUKI DES

Pre nego to nastavimo da govorimo o drugim iframa, neophodno je da se prikae
popularna varijanta DES-a poznata kao trostruki DES ili 3DES. Ali pre toga, potrebno
nam je oznaavanje. Neka P bude blok otvorenog teksta, K je klju, C je
odgovarajui blok ifrata. Za DES, C i P su po 64 bita, dok je C 56 bitova, ali naa
notacija je uoptena. Obeleavanje koje emo prihvatiti za ifrovanje otvorenog
teksta P sa kljuem K je:
C E( P, K ) ,
a odgovarajue obeleavanje deifrovanja:
P D(C, K ) .
Primetiemo da su za isti klju, ifrovanje i deifrovanje inverzne operacije, odnosno:
D( E ( P, K ), K )
E ( D(C , K ), K )
Meutim, uopteno je da je:
P z D( E ( P, K1 ), K 2 )
C z E ( D(C , K1 ), K 2 )
kada je:
K1 z K2
U jednom trenutku, DES je bio sveprisutan, ali njegova duina kljua je danas
nedovoljna. Medjutim, postoji nain da se DES koristi sa veom duinom kljua.
Intuitivno, u prvom koraku se pretpostavlja da bi dvostruki DES bio dovoljan, pa sledi:
C E(E(P, K1 ), K2 ) .
94

______________________________________________________________________________________
Ovo bi nudilo pogodnosti kljua od 112 bitova (dva DES kljua po 56 bitova), ali jedina
mana bi bila gubitak efikasnosti zbog dve DES operacije.
Meutim, postoji napad tipa eng. meet-in-the- middle na dvostruki DES koji ga ini
manje-vie slinim sa obinim DES-om. Iako je ovaj napad nepraktian, veoma je blizu
da bismo se opustili. Ovo je napad izabranog otvorenog teksta gde se pretpostavlja
da napada uvek bira odreeni otvoreni tekst P i dobija odgovarajui ifrat C .
Pretpostavimo da e Trudi da izabere odreenu otvorenu poruku P i dobije
odgovarajui ifrat C , to je za dupli DES:
C E(E(P, K1 ), K2 ) .
Trudi ima cilj da pronae klju klju K1 i K 2 . Ona prvo preraunava tabelu veliine
256 koja sadri parove E ( P, K ) i K za sve mogue vrednosti kljua K . Trudi

sortira ovu tabelu na vrednosti E ( P, K ) . Sada na osnovu ove tabele i ifarskog
~
teksta C , Trudi deifruje C sa kljuem K dok ne naemo vrednosti X
D(C , K )
koji je u tabeli. Onda zbog naina na koji je napravljena tabela, imamo da je
E ( P, K ) za neke K , a Trudi sada ima:

~
D(C , K )
E ( P, K )
gde su K i K poznati. Da je trudi pronala 112-bitni klju moemo videti

ifrovanjem obe strane sa K , to daje:

~
E ( E ( P, K ), K ) .
Tada u datoj jednaini imamo, imamo:
K1 K i K 2
K.
95

______________________________________________________________________________________
Ovaj napad na dvostruki DES zahteva da Trudi prerauna, sortira i smesti ogromnu
56
tabelu od 2 elemenata. Ali raunanje tabele se radi samo jednom, a ako koristimo
tu tabelu vie puta (napadajui dvostruki DES), posao za raunanje tabele moe biti
amortizovan preko broja napada. Zanemarujui posao potreban za preraun tabele,
posao se sastoji od raunanja D(C, K ) dok ne pronaemo odgovarajue poklapanje
56
u tabeli. Ovo zahteva posao od 2 kao napad potpunom pretragom kljua na obian
DES. Tako da, uopteno govorei, dvostruki DES nije nita sigurniji od obinog DES-a.
Poto dvostruki DES nije siguran, da li e se trostruki DES pokazati bolje? Pre nego to
krenemo da razmatramo napade, moramo definisati trostruki DES. ini se da bi
logian pristup trostrukom DES-u bio:
C E(E(E(P, K1 ), K2 ), K3 ) ,
ali to nije nain na koji se to radi. Umesto toga, trostruki DES se definie kao:
C E(D(E(P, K1 ), K2 ), K1 ) .
Primetiete da trostruki DES koristi samo dva kljua za ifrovanje-deifrovanjeifrovanje ili EDE se koristi umesto ifru-ifruj-ifruj EEE. Razlog zato se koriste samo
dva kljua je taj to je 112 bitova dovoljno, ali zato EDE? Iznenaujue, odgovor je
povratna kompatibilnost.
Ako se 3DES koristi sa K1
K2 K onda se to pretvara u obini DES

E( D( E( P, K ), K ), K ) E( P, K )
ta onda da kaemo o napadu na trostruki DES? Moemo rei da je napad ovek u

sredini (eng. meet-in-the-middle) kao kod dvostrukog DES-a nepraktian jer je
predraun tabele neizvodljiv ili je rad po napadu neizvodljiv.
Trostruki DES ostaje popularan i danas, ali sa razvojem AES-a (Advanced Encryption
Standard) i jo nekih modernih alternativa trostruki DES e postepeno izlaziti iz
upotrebe.
96

______________________________________________________________________________________
Slika 3.23, prikazana je jedna jednostavna realizacija 3DES algoritma u Cryptool-u za
ifrovanja izabranog otvorenog teksta. Definisana su dva kljua K1 i K 2 . Ova

implementacija 3DES koristi EDE realizaciju, K1 za ifrovanje i K 2 za deifrovanje.
25. PRIMER:
Slika 3.23, realizacija 3DES algoritma sa DES algoritmom u Cryptool-u.
Slika 3.23 Primer sa 3DES algoritmom u Cryptool-u
97

______________________________________________________________________________________
3.2.4. AES
Tokom 1990-tih shvatili su svi, pa i amerika vlada da je DES nadiveo svoju korisnost.
Presudan problem sa DES-om jeste da je duina kljua od 56 bitova osetljiva na napad
potpunom pretragom kljua. Posebno razvijeni programi za razbijanje DES-a mogu da
otkriju DES kljueve za nekoliko sati, a i distribuirani napadi koristei raunare
dobrovoljnih uesnika na Internetu, uspeli su da pronau DES kljueve.
Poetkom 1990-ih, Nacionalni institut za standarde i tehnologiju (NIST) koji je danas
inkarnacija NBS-a, izdao je zahtev za kriptografski predlog algoritma (Advanced Encryption Standard) ili AES. Za razliku od zahteva za DES pre dvadeset godina, NIST je
bio preplavljen kvalitetnim predlozima. Broj kandidata se sveo na pregrt finalista i
algoritam poznat pod nazivom Rijndael (izgovara se neto slino kao eng. Rain doll)
je bio odmah izabran.
Slika 3.24 AES algoritam ifrovanje/deifrovanje

98

______________________________________________________________________________________
AES nadmetanje je voeno na fer nain i za razliku od DES nadmetanja, NSA je bila
javno prisutna kao jedan od sudija. Zbog toga, ne postoje verodostojne tvrdnje da su
neka "zadnja vrata" ubaena u AES. AES je visoko rangiran u kriptografskoj zajednici.
amir je izjavio da e AES sa kljuem od 256 bitova biti siguran zauvek bez obzira na
predstojee napretke u raunarskoj tehnologiji.
Kao i DES, AES je iterativna blokovska ifra. Ali za razliku od DES-a, AES algoritam nije
Fejstel ifra. Glavna posledica toga je da AES operacije moraju biti povratne da bi se
neto moglo deifrovati. Takoe, za razliku od DES-a, AES algoritam ima
komplikovanu matematiku strukturu. Mi emo dati krai opis algoritma. Velika je
koliina informacija o svim aspektima AES-a dostupna za itanje, ali mi emo zaobii
elegantnu matematiku strukturu. U svakom sluaju, nijedan algoritam u istoriji nije
bio vie ispitivan kao AES za relativno kratko vreme.
AES je otporan na poznate napade, veoma je brz, mogu je paralelni dizajn, kao i
implementacija na mnogim procesorima i pametnim karticama. Naveemo ukratko
osnovnu numerologiju ili specifikaciju AES algoritma.
AES je ifra sa sledeim funkcionalnim parametrima:
x
x
x
x
Duina bloka otvorenog teksta je 128, 192 i 256 bitova;

Duine kljua je 128, 192 i 256 bitova;
Ima ukupno od 10 do 16 rundi, zavisno od duine kljua;
U svakoj rundi koriste se 4 funkcije;
o Nelinearni sloj (ByteSub),
o Sloj lineranog meanja (ShiftRow),
o Nelinearni sloj (MixColumns),
o Dodatni sloj kljua (AddRoundKey).
Bitno je napomenuti za AES da je duina bloka otvorenog teksta u potpunosti

nezavisna od duine kljua. To znai da je mogue ifrovati blok otvorenog teksta
duine 128 bitova sa kljuem duine 256 bitova.
Sve operacije AES algoritma obavljaju se na dvodimenzionalnom nizu bitova, odnosno
matrici stanja. ifrovanje, odnosno deifrovanje se vri tako to se ulazni blok
podatka kopira u matricu stanja nad kojom se sprovode razne operacije. Zavrna
99

______________________________________________________________________________________
vrednost matrice ili stanje, kopira se u izlazni ifarski blok. AES ulazne podatke tretira
kao matrice dimenzije [4 x 4].
Nelinearni sloj (SubBytes)
Ulaz
19 a0 9a
3d f4 c6
e3 e2 8d
be 2b 2a
e9
f8
48
08
Izlaz
d4 e0 b8
27 bf b4
11 98 5d
ae f1 e5
1e
41
52
30
U tabeli je prikazan rezultat operacije SubBytes za dati ulaz. Ulaz je matrica dimenzije
[4 x 4] sa ukupno 16 bajtova. U taneli iznad, ilustrovan je rezultat funkcije SubBytes za
vrednost prvog bajta. Bajt 19, transformisan je u bajt d4.
Slika 3.25 S-kutija AES algoritma
SubBytes predstavlja AES-ov ekvivalent DES S-kutije i moe se posmatrati kao

nelinearna, ali invertibilna kompozicija dve matematike funkcije ili se moe
jednostavno posmatrati kao lookup tabela, Slika 3.25.
100

______________________________________________________________________________________
Linearni sloj pomeranje redova (ShiftRow)

Operacija pomeranja redova ili jednostavno ciklino pomeranje bajtova u poslednja
tri reda matrice dimenzije [4 x 4] je predstavljena ispod.
Ulaz
d4 e0 b8
27 bf b4
11 98 5d
ae f1 e5
1e
41
52
30
d4
bf
5d
30
1
2
3
Izlaz
e0 b8
b4 41
52 11
ae f1
1e
27
98
e5
Prvi red se ne pomera, drugi red se pomera za jedan bajt ulevo, trei red za 2 bajta
ulevo i poslednji red za 3 bajta u levo. Primetiemo da je ShiftRow invertovan prostim
pomeranjem u suprotnu stranu, a iz tog razloga spada u linearne funkcije.
Nelinearni sloj meanja kolona (MixColumns)
Operacija meanja kolona je primenjena za svaku kolonu matrice dimenzije [4 x 4],
kao to je prikazano u tabeli ispod.
Ulaz u funkciju za meanje kolona:
Ulaz
d4 e0 b8
bf b4 41
5d 52 11
30 ae f1
1e
27
98
e5
Izraunaemo izlaz za prvu kolonu ulaza:
02
01
01
03
Ulaz
03 01
02 03
01 02
01 01
K1
K1
01
d4
04
01 X bf 66
03
5d
81
02
30
e5
101

______________________________________________________________________________________
Rezultat funkcije meanja je:
04
66
81
e5
Izlaz
e0 48
cb f8
19 d3
9a 7a
28
06
26
43
Meanje kolona sastoji se od pomeranja i XOR operacije i najbolje je implementirana

kao lookup tabela. Sveobuhvatna operacija je nelinearna, ali invertibilna, kao i
SubBytes ima ulogu istu kao S-kutije kod DES-a. Miksovanje kolona (MixColumns) sa
pomeranjem redova (ShiftRow) u AES-u predstavlja osnovni izvor difuzije.
Dodavanje sloja kljua (AddRoundKey)
Dodavanje generisanog sloja kljua je jednostavna operacija. Kao kod DES-a,
algoritam rasporeda kljua je korien da bi se generisao podklju za svaku rundu.
Neka Kij bude [4 x 4] matrica podkljua za odreenu rundu. Onda se podklju XORuje sa trenutnom [4 x 4] matricom aij koja predstavlja ulaz kao to je prikazano dole:
04
66
81
e5
Ulaz
e0 48
cb f8
19 d3
9a 7a
28
06
26
43
XOR
a0
fa
fe
17
K-runda 1
88 23
54 a3
2c 39
b1 39
2a
6c
76
05
Izlaz
a4 68 6b
9c 9f 5b
7f 35 ea
f2 2b 43
02
6a
50
49
Zanemariemo AES raspored kljua, ali kao i kod svake blokovske ifre to je znaajan
deo sigurnosti algoritma. Na kraju, kao to smo napomenuli gore, svaka od etiri
funkcije SubBytes, ShiftRow, MixColumns i AddRoundKey su invertibilne. Rezultat, je
da je itav algoritam invertibilan i na osnovu toga AES se moe deifrovati kao to se
moe i ifrovati.
102

______________________________________________________________________________________
Slika 3.26 ifrovanje i deifrovanje sa AES algoritmom

Slika 3.26, prikazana je jedna jednostavna realizacija AES algoritma u Cryptool-u za
ifrovanja izabranog otvorenog teksta. Definisan je kljua K . Ova implementacija

AES-a sadri proces ifrovanja i deifrovanja.
103

______________________________________________________________________________________
26. PRIMER:
Slika 3.27, jo jedna realizacija AES algoritma u Java programskom jeziku.
Slika 3.27 Implementacija AES-a u Java programskom jeziku
104

______________________________________________________________________________________
3.2.5. JO TRI BLOKOVSKE IFRE

U ovom delu emo kratko obraditi tri dobro poznata blokovska algoritma, IDEA (International Data Encryption Algorithm), Blowfish, i RC6. Svaki od njih ima neke
specifinosti u svom dizajnu. U sledeem delu razmatra se TEA (Tiny Encryption Algorithm).
IDEA je delo Dejmsa L. Masija (James L. Massey) jednog od najveih kriptografa
modernog vremena. IDEA ima blok duine 64 bita i klju duine 128 bitova.
Najsavremenija odlika IDEA je to to koristi izmeanu modularnu aritmetiku.
16
Algoritam kombinuje sabiranje po modulu 2 ili XOR sa sabiranjem po modulu 2
16
Masejovo mnoenje koje je skoro mnoenje po modulu 2 . Ove operacije zajedno

proizvode potrebnu nelinearnost, a rezultat je da nije potrebna eksplicitna S-kutija.
Kao to vidimo, IDEA kombinuje razliite matematike operacije. Masi je oigledno
prvi koji je koristio ovaj pristup, koji je uobiajen danas.
Blowfish je jedan od Brus najerovih (Bruce Schneier) omiljenih kriptografskih
algoritama jer ga je on i dizajnirao. najer je poznati kriptograf i dobar pisac o svim
stvarima koje se tiu bezbednosti. Interesantna stvar kod Blowfisha jeste ta to koristi
S-kutije zavisne od veliine kljua, umesto fiksnih S-kutija. Blowfish generie S-kutije
zasnovane na kljuu. Moe se dokazati da su tipine Blowfish S-kutije dovoljno jake.
Blowfish ifruje 64-bitne blokove. Klju je primenjive duine, maksimalne veliine od
32 do 448 bitova. Po strukturi se skoro poklapa sa Fejstelovim dizajnom ifre.
Di
Li 1 Ki
Li
Di 1 F ( Li 1 Ki )
Funkcija F runde koristi 4 S-kutije. Svaka S-kutija preslikava 8 bitova u 32 bita.

RC6 je delo Ron Rivest (Ron Rivest) ija su kriptografska dostignua stvarno
zadivljujua, ukljuujui i sistem javnih kljueva RSA, prethodno spomenutu RC4
sekvencijalnu ifra, kao i jednu od najpoznatijih he funkcija MD5. Neobian aspekt
RC6 je to to koristi rotacije zavisne od podataka. RC6 ifruje blok veliine 128 bitova
podatka. Duine kljueva su 128, 192, 256 i vie bitova. Broj rundi je od 0 do 255.
Veoma je neobino da se oslanja na podatke kao na jedan od sutinskih delova
105

______________________________________________________________________________________
operacije kriptografskog algoritma. RC6 je bio jedan od AES finalista, iako je na kraju
izgubio od Rijindael. Ove tri ifre ilustruju mali uzorak mnogih varijacija korienih u
potrazi idealnog balansa izmeu sigurnosti i performansi u dizajnu blokovskih ifara.
3.2.6. TEA
Poslednja blokovska ifra o kojoj emo govoriti je Tiny Encryption Algorithm ili TEA.
Dijagrami koje smo prikazali do sada mogu uputiti na to da su blokovske ifre
potrebno kompleksne. TEA veoma lepo pokazuje da to nije sluaj.
TEA koristi blok duine 64 bita i klju duine 128 bitova. Algoritam podrazumeva
sabiraku aritmetiku sa 32 bita rei, tako da sve matematike operacije koriste
32
moduo 2 i svi bitovi preko 32 bita duine se automatski odsecaju. Broj rundi varira,
ali mora biti relativno veliki. Opte prihvaeno miljenje je da da su 32 runde sigurne.
Ipak, svaka runda TEA algoritma je otprilike kao dve runde Fejstelove ifre (slino
DES-u), pa je ovo grubo jednako kao 64 runde kod DES. To je relativno dosta rundi.
U dizajnu blokovskih ifara mora uvek da postoji kompromis izmeu kompleksnosti
svake runde i potrebnog broja rundi. ifre kao to je DES pokuavaju da pogode
balans izmeu ove dve stvari, dok AES redukuje broj rundi koliko god je to mogue,
ali o troku vee kompleksnosti funkcije runde. Na neki nain, TEA predstavlja
potpunu suprotnost AES-u poto TEA koristi veoma proste funkcije runde. Kao
posledica ovih prostih rundi, broj rundi mora biti veliki kako bi se postigao visok nivo
sigurnosti. Pseudokod za ifrovanje sa TEA algoritmom sa pretpostavkom da su
koriene 32 runde, Tabela 8, gde je simbol ''<<'' levo pomeranje (ne kruno,
iftovanje) i simbol ''>>'' desno pomeranje (ne kruno).
106

______________________________________________________________________________________
Tabela 8 ifrovanje sa TEA algoritmom
(K[0],K[1],K[2],K[3])=128 bitova klju

(L,D) = otvoreni_tekst
delta = 0x9e3779b9
suma = 0
za i = 1 do 32
suma = suma + delta
L
L+(((D<<4)+K[0])XOR(D+suma)XOR((D>>5)+K[1])
D
D+(((L<<4)+K[2])XOR(L+suma)XOR((L>>5)+K[3])
sledei i
ifrat = (L,D)
=
=
Jedna zanimljiva stvar koju treba primetiti kod TEA jeste da ona nije Fejstel ifra tako
da treba razdvojiti rutine ifrovanja i deifrovanja. Ipak, TEA je toliko blizu da bude
Fejstel ifra, ali opet dovoljno daleko da to ne bude TEA. TEA koristi sabiranje i
oduzimanje umesto XOR-ovanja. Meutim, potreba za razdvajanje rutina ifrovanja i
deifrovanja je najmanji problem kod TEA jer se koristi veoma malo koda, a i
algoritam je takoe razumno efikasan iako sadri veliki broj rundi. TEA algoritam za
deifrovanje sa 32 runde, Tabela 9.
Tabela 9 Deifrovanje sa TEA algoritmom
(K[0],K[1],K[2],K[3])=128 bitova klju

(L,D)= ifrat
delta = 0x9e3779b9
suma = delta<<5
za i = 1 do 32
D = D-(((L<<4)+K[2])XOR(L+suma)XOR((L>>5)+K[3])
L = L-(((D<<4)+K[0])XOR(D+suma)XOR((D>>5)+K[1])
suma = suma - delta
sledei i
otvoreni_tekst = (L,D)
Slika 3.28 TEA ifrovanje i deifrovanje, prikazana je jedna jednostavna realizacija TEA
algoritma u Cryptool-u. Definisan je kljua K . Klju je prosleen algoritmu u
107

______________________________________________________________________________________
heksadecimalnom format. Ova implementacija TEA ifre sadri proces ifrovanja i

deifrovanja.
Slika 3.28 TEA ifrovanje i deifrovanje
Mogu je napad na klju ili napad ''povezanim kljuem'' na TEA. Ako kriptoanalitiar
zna da su dve poruke ifrovane kljuevima koji su povezani na poseban nain onda
otvoreni tekst moe biti otkriven. Ovo je napad veoma male verovatnoe koji se u
veini sluajeva moe sigurno ignorisati. Ali ako ste kojim sluajem malo zabrinuti za
ovaj napad, postoji malo kompleksnija varijanta TEA, poznata kao proirena TEA ili
XTEA koja prevazilazi ovaj problem. Postoji i pojednostavljena verzija TEA poznata
kao STEA, koja je veoma slaba i omoguava da se ilustruju odreeni tipovi napada.
3.3. REIMI RADA BLOKOVSKIH IFARA

Korienje sekvencijalnih ifara je jednostavno. Generie se klju koji je iste duine
kao otvoreni tekst (ili ifrat) i XOR-uje se. Korienje blokovskih ifara je takoe
jednostavno, sve dok je na raspolaganju samo jedan blok za ifrovanje. Kako se moe
ifrovati vie blokova? Izgleda da ipak nije tako jednostavno kao to se ini.
108

______________________________________________________________________________________
Pretpostavimo da imamo niz blokova nekog otvorenog teksta, na primer:
P0 , P1, P2 ,...
Za izabrani fiksni klju K , blokovska ifra je kodna knjiga iz razloga to kreira
jednoznano preslikavanje izmeu blokova otvorenog teksta i blokova ifrata. Sledei
ideju kodne knjige, oigledna stvar koju treba uraditi je da se koristi blokovska ifra u
takozvanom reimu elektronske kodne knjige ili ECB reimu. U ECB reimu,
ifrujemo tako to koristimo formulu:
Ci
E(Pi , K ) za i 0,1, 2,... , na primer:

C0
E ( P0 , K )
C1
E ( P1 , K )
C2
E ( P2 , K ),...
Takoe, deifrujemo na osnovu sledee formule:
Pi D(Ci , K) za i 0,1, 2,... , na primer:

P0
D(C0 , K )
P1
D(C1 , K )
P2
D(C2 , K ),...
Ovaj pristup funkcionie, ali postoji nekoliko ozbiljnih sigurnosnih problema sa ECB
reimom. Kao rezultat istraivanja na temu sigurnosti, ECB reim ne bi trebalo da se
koristi u praksi.
Pretpostavimo da je ECB reim korien i da napada primeti da je Ci
toga napada sa sigurnou zna da je Pi
C j . Posle
Pj . Iako se ovo moe smatrati bezazlenim,
postoje sluajevi gde napada zna deo otvorenog teksta i svako podudaranje sa
poznatim blokom otkriva novi blok. ak i kada napada ne zna Pi ili Pj da su neke
informacije otkrivene, tanije da su ova dva bloka otvorenog teksta ista. Mi ne elimo
109

______________________________________________________________________________________
da kriptoanalitiaru odamo neto tako lako, pogotovo ako postoje jednostavni naini
da se takva anomalija izbegne.
Masi daje dramatinu ilustraciju posledica ove takozvane male slabosti. Dat je slian
primer (Slika 3.29.), koji prikazuje neifrovanu sliku logoa Univerziteta Singidunum,
pored slike koja je ifrovana u ECB reimu. Svaki blok na desnoj slici je ifrovan, ali
blokovi koji su isti na originalnoj slici, isti su i u ECB ifrovanoj poruci. Primetiemo da
nije bitno koja blokovska ifra je koriena, pomalo neoekivan rezultat Slika 3.29.,
jedino zavisi od injenice da je korien ECB reim, a ne od detalja algoritma. U ovom
sluaju nije teko za napadaa da pogodi otvoreni tekst iz dobijenog ifrata.
27. PRIMER:
Slika 3.29 ECB reim
Na sreu, postoji i bolji nain korienja blokovskih ifara, kojim se izbegava slabost
ECB reima. Sada emo govoriti o najee korienom metodu, a to je metod
ulanavanja blokova ifrata ili CBC reimu. U CBC reimu, ifrat od prethodnog bloka
otvorenog teksta koristi se za zamagljivanje otvorenog teksta sledeeg bloka, pre
nego to se primeni algoritam za ifrovanje.
Formula za ifrovanje u CBC reimu je:
Ci
110
E(Pi Ci 1, K ) za i 0,1, 2,... , na primer:

C0
E ( IV P0 , K )
C1
E (C0 P1 , K )
C2
E (C1 P2 , K ),...

______________________________________________________________________________________
Zatim, sledi deifrovanje na osnovu formule:
Pi D(Ci , K ) Ci1 za i 0,1, 2,... , na primer:

P0
IV D(C0 , K )
P1
C0 D(C1 , K )
P2
C1 D(C2 , K ),...
Prvi blok zahteva poseban nain voenja poto nema ifarskog bloka Ci 1 . IV
predstavlja inicijalni vector i poeljno je da bude generisan na isto sluajan nain.
Nije neophodno da bude tajan. Koristi se samo za generisanje prvog bloka ifrata.
Duina inicijalnog vektora IV je uvek jednaka veliini bloka date ifre.
Prednost CBC reima je u tome da identian otvoreni tekst nee odgovarati identino
ifratu. Ovo je ilustrovano poreenjem neifrovane slike logoa Univerziteta
Singidunum sa istom slikom koja je dobijena od ifrata, Slika 3.30.
28. PRIMER:
Slika 3.30 CBC reim
Zbog ulanavanja, mogua briga sa CBC reimom jeste nastanak greaka. Kada je
ifrat poslat kroz komunikacioni kanal, u toku prenosa mogu nastati greke. Nula
moe postati jedinica ili obrnuto. U tom sluaju jedna nastala greka na bloku ifrata
e uiniti otvoreni tekst nepopravljivim. Ako jedna prenesena greka uini otvoreni
tekst nepopravljivim, onda je CBC reim beskoristan u mnogim aplikacijama. To bi
znailo da je lanac pokidan na odreenim mestima. Svakako, u cilju umanjenja rizika
111

______________________________________________________________________________________
od nastanka greaka koriste se zatitni kodovi (eng. Error Corecting Codes) koji su
dobro poznati u teoriji komunikacija.
Pretpostavimo da je blok ifrata Ci oteen recimo u G z Ci . Onda je:
Pi z D(G, K ) Ci1 i Pi1 z D(Ci1, K ) G , ali

Pi2 z D(Ci2 , K ) Ci1 ,
i svi sledei blokovi su deifrovani pravilno. Tanije, svaki blok otvorenog teksta
jedino zavisi od dva uzastopna bloka ifrata tako da se greka ne nagomilava dalje od
dva bloka. Ipak, injenica da greka od jednog bita moe da prouzrokuje da dva itava
bloka budu neispravna, ozbiljna je briga u okruenju sa visokom verovatnoom
greke kao to je beini prenos podataka (WiFi). Sekvencijalne ifre nemaju ovaj
problem jer jedan pokvaren bit ifrata rezultuje jednim pokvarenim bit-om u
otvorenom tekstu i to je razlog zato se sekvencijalne ifre koriste kod beinih
aplikacija (GSM).
Jo jedna briga kod blokovskih ifara je iseci nalepi (eng. cut-paste) napad.
Pretpostavimo da imamo otvoreni tekst, napisan je u drugom redu, Tabela 10.
Tabela 10 Napad iseci nalepi A
Blok P0
Blok P1
Blok P2
1 N o v a c _ z a _ A l i s u _ j e _ 1 0 0 R S D
2 N o v a c _ z a _ T r u d i _ j e _ 0 5 0 R S D
Blok P3
Blok P4
Blok P5
Otvoreni tekst je podeljen na tri bloka. Karakter _ je prazno mesto. Zatim poruku
ifrujemo ifrom koja radi nad ulaznim blokovima otvorenog teksta podatka veliine
64 bita, pretpostavlja da svaki karakter koristi 8 bitova (npr. 8-bitni ASCII).
Pretpostavimo da je ifrat nastao u ECB reimu. Onda su blokovi ifrata izraunati
kao:
112

______________________________________________________________________________________
Ci
E(Pi , K ) za i 0,1,...3;
Sada pretpostavimo da Trudi zna da je korien ECB reim, poznaje generalnu

strukturu otvorenog teksta i zna da e ona primiti 50 RSD, ali ne zna koliko e Alisa
primiti. Ona pretpostavlja da je u pitanju duplo vei iznos od njenih 50 RSD. Trudi
sada moda moe reorganizovati blokove ifrata u:
C0 , C1, C5 , C3 , C4 , C2 ,
zatim e Bob ovo deifrovati kao, Tabela 11:
Tabela 11 Napad iseci nalepi B
Blok P0
Blok P1
Blok 3 P2
1 N o v a c _ z a _ A l i s u _ j e _ 0 5 0 R S D
2 N o v a c _ z a _ T r u d i _ j e _ 1 0 0 R S D
Blok P3
Blok P4
Blok P5
Meutim, pogreno je misliti da CBC reim moe eliminisati iseci nalepi napad.
Napad je mogu iako je malo tei za realizaciju i neki podaci mogu biti oteeni.
Takoe je mogue koristiti blokovske ifre za generisanje kriptolokih kljueva koji
mogu bit korieni kao kljuevi za sekvencijalne ifre. Postoji nekoliko prihvatljivih
naina da se ovo uradi, ali mi emo spomenuti samo jedan najpopularniji, a to je
reim brojaa ili CTR. Kao i CBC, CTR reim koristi inicijalni vektor IV . to se tie rada
CTR reima, IV se ifruje, a zatim XOR-uje sa blokom otvorenog teksta. Za svaki
naredni blok otvorenog teksta, vrednost IV se uveava za 1. Formula za ifrovanje u
CTR reimu je:
Ci
Pi E(IV i, K ) za i 0,1, 2,... , na primer:

C0
P0 E ( IV , K )
C1
P1 E ( IV 1, K )
C2
P2 E ( IV 2, K )
113

______________________________________________________________________________________
a za deifrovanje:
Pi Ci E(IV i, K ) za i 0,1, 2,... , na primer:

P0
C0 E ( IV , K )
P1
C1 E ( IV 1, K )
P2
C2 E ( IV 2, K ),...
CTR reim se esto koristi kada je potreban nasumian pristup. Dok se nasumini
pristup sasvim jednostavno koristi u CBC reimu, u nekim sluajevima u CBC reimu
nee biti poeljan nasumian pristup.
Pored ECB, CBC i CTR reima, postoje jo mnogi drugi reimi koji koriste blokovske
ifre. Dali smo opis onih koji se najvie koriste. Ipak, tri reima o kojima smo najvie
govorili sigurno su najzastupljeniji u odnosu na ostale.
Najzad, treba napomenuti da se bezbednost podataka najee odnosi na dva blago
razliita sluaja. Sa jedne strane, ifrujemo podatke da bi mogli da ih poaljemo preko
nesigurnog kanala. Sa druge strane, ifrujemo podatke koji se uvaju na nezatienim
medijima kao to je raunarski hard disk. Simetrine ifre mogu da se koriste da bi se
reio bilo koji od ova dva veoma slina problema. Simetrini klju moe da titi
integritet podatka kao to emo videti u narednom poglavlju.
3.4. INTEGRITET
Dok se tajnost bavi prevencijom neautorizovanog itanja, integritet se bavi
prevencijom neautorizovanog pisanja. Na primer, pretpostavimo da se vri
elektronski transfer sredstava sa jednog rauna na drugi. Vi ne elite da drugi znaju za
ovu transakciju i u tom sluaju e ifrovanje obezbediti eljenu poverljivost. Svejedno
da li postoji zabrinutost za poverljivost ili ne, mnogo je vaniji zahtev da se transakcija
obavi onako kako treba. U takvim sluajevima govorimo o integritetu podataka, tj. o
nemogunosti njihove neovlaene promene.
114

______________________________________________________________________________________
U prethodnom delu prouavali smo blokovske ifre i njihovo korienje vezano za

poverljivost. Ovde emo pokazati kako se blokovske ifre koriste kako bismo
obezbedili integritet podataka.
Vano je shvatiti da su tajnost i integritet dva razliita pojma. ifrovanje sa nekom
ifrom, od One-time pad-a do blokovskih ifri, ne titi podatke od malicioznih ili
nepaljivih promena. Ako Trudi promeni ifrat ili ako se dogodi greka tokom
prenosa, integritet podataka je naruen i mi elimo da znamo da je dolo do
promena. Pokazali smo nekoliko primera, a bie ih i jo koji pokazuju da ifrovanje ne
osigurava integritet.
Autentifikacioni kod poruke ili MAC koristi blokovsku ifru da osigura integritet
podatka. Procedura je jednostavno ifrovanje podataka u CBC reimu, odbacujui sve
ifarske blokove, osim poslednjeg. Ovaj poslednji blok ifrata, poznat kao CBC ostatak
slui kao MAC. Onda je formula za MAC, pretpostavljajui n blokova podataka,
P0 , P1, P2 ,..., Pn1 data kao:

C0
E ( P0 IV , K ),
C1
E ( P1 C0 , K ),
.......
Cn 1 E ( Pn 1 Cn 2 , K )
MAC
Primetiemo da se koristi IV i da je potrebno razmeniti zajedniki simetrini klju.

Da bismo uprostili, pretpostavimo da Alisa i Bob zahtevaju integritet, ali da nisu
zabrinuti za poverljivost. Zatim koristei klju K koji Alisa i Bob dele, Alisa rauna
MAC i alje otvoreni tekst, inicijalni vektor IV i MAC Bobu. Po prijemu poruke, Bob
rauna MAC koristei klju K i primljeni IV i otvoreni tekst. Ako je izraunati MAC
jednak primljenom MAC-u, onda je integritet podatka potvren. Ako se izraunati
MAC ne slae sa primljenim MAC-om, Bob zna da je neto nije u redu. Jo jednom,
kao i u CBC reimu, poiljalac i primalac moraju unapred razmeniti isti simetrini klju
K.
Zato se raunanje MAC-a radi? Pretpostavimo da Alisa poalje Bobu:
115

______________________________________________________________________________________
IV , P0 , P1, P2 , P3 , MAC'
Sada, ako Trudi promeni blok otvorenog teksta P1 u recimo X tokom prenosa, onda
kada Bob bude pokuao da verifikuje MAC on rauna:
C0
E(P0 IV , K ), C1 E( X C0 , K ), C2
E(P2 C1, K ),
C3 E(P3 C2 , K) MAC z MAC' .

Ovo radi zbog toga to se svaka promena u bloku otvorenog teksta prenosi kroz
sledee blokove u procesu izraunavanja MAC-a.
Prisetimo se da kod CBC reima deifrovanja, promena u bloku ifrata se manifestuje
samo na dva bloka otvorenog teksta. Nasuprot tome, MAC koristi injenicu da se kod
CBC ifrovanja bilo kakva promena na otvorenom tekstu skoro sigurno umnoava do
poslednjeg bloka. Ovo je kljuna osobina koja omoguava MAC-u da obezbedi
integritet.
esto su potrebni i poverljivost i integritet da bismo ovo postigli, mogli bismo da
raunamo MAC sa jednim kljuem, a onda da ifrujemo podatak sa drugim kljuem.
Meutim, to ima dvostruko vie posla nego to je potrebno za postizanje samo
integriteta ili pouzdanosti. Zbog efikasnosti bi bilo korisno da se postigne i tajnost i
integritet sa jednim CBC ifrovanjem podataka. Pretpostavimo da CBC reimom
ifrujemo podatak jednom, poaljemo dobijeni ifrat i izraunamo MAC. Onda bismo
slali ceo ifrat zajedno sa poslednjim blokom (ponovo). Poslednji blok bi bio dupliran i
poslat dva puta. Oigledno je da slanje iste stvari dva puta ne doprinosi dodatnoj
sigurnosti. Na nesreu, ne postoji primenljiv nain da se postigne i tajnost i integritet
sa jednim ifrovanjem podatka.
Raunanje MAC-a zasnovanog na CBC reimu ifrovanja nije jedini nain koji
obezbeuje integritet podatka. Heovan MAC ili HMAC je jo jedan standard pristupa
integritetu, a i digitalni potpis se nudi kao jo jedna opcija. Detaljnije karakteristike
HMAC-a i digitalno potpisivanje, razmatra se u kasnijim poglavljima.
116

______________________________________________________________________________________
3.5. KRATAK PREGLED

U ovom prethodnom poglavlju se nalazi dobar deo materijala o kriptografiji sa
simetrinim kljuevima. Postoje dva razliita tipa simetrinih ifri: sekvencijalne ifre i
blokovske ifre. Ukratko smo govorili o dve sekvencijalne ifre, A5/1 i RC4. Setite se
da su sekvencijalne ifre pseudo One-time pad ifre gde smo menjali dokazivu
sigurnost za praktinost.
Blokovske ifre, sa druge strane, mogu se smatrati kao elektronski ekvivalent
klasine kodne knjige. Govorili smo detaljno o DES blokovskoj ifri i spomenuli smo
ukratko nekoliko drugih blokovskih ifara. Takoe smo uzeli u obzir razliite reime
korienja blokovskih ifara, a istiemo ECB, CBC i CTR reime. Takoe smo pokazali
da blokovske ifre mogu biti koriene i za obezbeenje integriteta podataka.
U kasnijim poglavljima emo videti da su simetrine ifre takoe korisne u
protokolima za autentifikaciju. Interesantno je primetiti da su sekvencijalne ifre,
blokovske ifre i he funkcije (pokrivene u narednom poglavlju) ekvivalentne jedne
drugima na neki nain jer sve to moemo uraditi sa jednom, moemo postii i sa
ostale dve, mada u nekim sluajevima ne bi bilo prirodno da se stvarno uradi tako. Iz
tog razloga, sva tri se esto mogu proglasiti kriptografskim primitivcima.
Kriptografija simetrinih kljueva je jedna obimna oblast i ovde smo samo zagrebali
po povrini. Meutim, opremljeni sa znanjem iz ovog poglavlja biemo spremni da
se diskutujemo o bilo kojoj temi koja se tie asimetrinih ifara koje se javljaju u
kasnijim poglavljima.
117

______________________________________________________________________________________
4. ASIMETRINI IFARSKI SISTEMI
simetrini ifarski sistemi predstavljaju jedno od najveih dostignua

kriptologije sedamdesetih godina dvadesetog veka. Nastali su na osnovu
reavanja kljunih problema simetrinih ifarskih sistema koji se odnose na
distribuciju tajnih simetrinih kljueva. U literaturi se koriste i termini: kriptografija sa
javnim kljuevima (eng. Public Key Cryprography PKI) ili kriptografija sa dva kljua
(eng. two key cryptography).
U simetrinim ifarskim sistemima isti klju se koristi i za ifrovanje i za deifrovanje.
U asimetrinoj kriptografiji jedan klju se koristi za ifrovanje, a drugi za deifrovanje.
Sutina je u tome da klju za ifrovanje moe biti javan, a samo klju za deifrovanje
mora da bude tajan (privatan). Naravno, ova dva kljua su u jedinstvenoj vezi. ifarski
algoritmi u asimetrinim sistemima su takvi da se jedino primenom para kljueva
moe realizovati uspeno ifrovanje i deifrovanje. Deifrovanje nije mogue istim
kljuem kojim se vri ifrovanje. Navedenim principima eliminie se jedan od najveih
problema u simetrinim ifarskim sistemima koji se odnosi na distribuciju tajnih
simetrinih kljueva.
Asimetrini ifarski sistemi imaju takve osobine da na jednostavan nain obezbeuju
iri skup funkcija bezbednosti u odnosu na simetrine ifarske sisteme. Oni se
karakteristino koriste za efikasnu autentifikaciju, integritet poruka, neporicivost i sl.,
a retko kada se koriste za funkciju poverljivosti. Najee se kombinuju sa
simetrinim ifarskim sistemima. Na primer, jedna od popularnih primena PKI
sistema je uspostavljanje simetrinog kljua za ifrovanje i deifrovanje u
simetrinom ifarskom sistemu.
Javna kriptografija je relativno nova nauka poto je nastala kao rezultat rada
kriptologa kasnih 1960-ih i poetkom 1970-tih godina. Primena javne kriptografije je
na neki nain dovela do revolucije u kriptologiji koja se do tada hiljadama godina
oslanjala na simetrine ifarske sisteme. Visoka raunarska kompleksnost algoritama
u asimetrinoj kriptografiji utie na performanse u praktinoj primeni, te se stoga ne
preporuuje za ifrovanje velike koliine podataka. Meutim, u odnosu na ostale
bezbednosne zahteve ova tehnika ima evidentne prednosti u odnosu na simetrine
sisteme.
118

______________________________________________________________________________________
PKI sistemi se zasnivaju na matematikim jednosmernim funkcijama sa zamkom (eng.

trap door one-way function). To su funkcije koje se lako raunaju u jednom smeru, a
teko u drugom (raunarski, tj. praktino neizvodljivo). Zamka osigurava da napada
ne moe lako (direktno) da izrauna iz javnog kljua privatni klju. Faktorizacija je
relevantan primer za jednosmernu funkciju. Na osnovu dva prosta broja i lako je
izraunati njihov proizvod , ali je za dovoljno veliki broj , teko izraunati
faktore i .
Podsetimo da u simetrinoj kriptografiji, otvoreni tekst se obeleava sa P, a ifrat sa
C. U PKI sistemima tradicija je da se otvorena poruka koja se ifruje obeleava sa M.
Kada se koriste likovi iz kriptologije, tada i Alisa i Bob treba da imaju svoj par kljueva
(javni klju i odgovarajui privatni). Svako moe da ifruje poruku za Boba tako to e
koristiti njegov javni klju. Samo Bob moe da deifruje poruku, s obzirom da samo
on ima odgovarajui privatni klju. Pored navedenog, Bob moe da primeni digitalni
potpis na poruku M tako to e je ifrovati svojim privatnim kljuem. Svako ko ima
pristup Bobovom javnom kljuu moe verifikovati digitalni potpis njegovim
deifrovanjem. Navedena tehnika digitalnog potpisivanja je jedna od najkorisnijih
funkcionalnosti javne kriptografije. Digitalno potpisivanje elektronskih dokumenata
odgovara svojerunom potpisu na papiru, ali ima i niz drugih prednosti. Digitalni
potpis je sastavni deo dokumenta, dok se potpis na papiru moe dobiti njegovim
kopiranjem sa drugog dokumenta. Verifikaciju potpisa na papiru moe da potvrdi
samo obueni strunjak, dok je verifikacija digitalnog potpisa jednoznana i lako
izvodljiva za svakog ko ima pristup Bobovom javnom kljuu.
U nastavku e se razmotriti najpoznatiji algoritam koji se koristi u asimetrinoj
kriptografiji, a to je RSA. Dalje, razmatrae se Diffie-Helman ema za uspostavljanje
tajnog kljua koja ima znaajnu praktinu primenu. Poseban aspect predstavlja
kriptografija na bazi eliptinih krivi (eng. Elliptic Curve Cryptography - ECC) koja na
poseban nain primenjuje matematiku u javnoj kriptografiji. Osnovna prednost
eliptine kriptografije je efikasnost realizacije koja je opredeljuje za primenu u
sistemima sa ogranienim resursima (kao to su beini senzorski sistemi). Za
razumevanje navedenih koncepata, neophodno je praktino znanje iz osnova
modularne aritmetike.
119

______________________________________________________________________________________
4.1. ULOGA JAVNOG KLJUA U RAZMENI SIMETRINIH KLJUEVA

Nakon Drugog svetskog rata, primena raunara u kriptologiji bila je privilegija
dravnih slubi. Razvoj nauke i tehnike, doprineo je da raunari i njihova primena
postanu dostupni irim drutvenim slojevima.
x
x
x
x
x
1947.-tranzistor (Bell Laboratories);

1951. Ferranti, 1953. IBM komercijalni raunari;
1955.-programski jezik Fortran;
1959. prva integrisana kola;
1969. ARPAnet (pretea interneta) .
1960-tih godina, poslovni svet poinje sve vie da koristi raunare za ifrovanje
(transfer novca, pregovori). U tom momentu, cilj svake poslovne organizacije bio je
zatiena komunikacija izvan kompanije. Jedan od problema je problem
standardizacije, a kao reenje namee se DES, AES i drugi algoritmi.
Sledei problem je razmena kljua u simetrinim ifarskim sistemima i pronalaenje
sigurnog naina za razmenu simetrinih kljueva izmeu dve udaljene lokacije. Na
primer, banka treba da obavi zatienu transakciju sa klijentom, ali kako dostaviti
klju? Najbezbednije je da se dostava kljua obavi lino. Kod ovog naina dostavljanja
veliki problem predstavlja potrebno vreme za dostavu kljua. Manje bezbedno je
angaovanje kurirskih slubi u te svrhe. Postavlja se pitanje da li je to nezavisna
organizacija i da li je to slaba karika u sistemu?
Slian scenario jeste dostava kljua vojnim jedinicama u ratnim uslovima, dostava
kljua nuklearnim podmornicama koje se nalaze na 1000 kilometara od vojne baze.
Meutim, drava raspolae novcem, resursima i moe da se izbori sa ovakvim
problemima, ali za civilni sektor je ovo bio gotovo nereiv problem.
Razmotriemo sada jedan klasian problem. Alisa i Bob ele da imaju sigurnu
komunikaciju. Zna se ili pretpostavlja da Trudi prislukuje njihov komunikacioni kanal.
Alisa i Bob mogu povremeno da se lino sastaju i razmenjuju kljueve za naredni period komuniciranja. Ovo reenje je uglavnom teko izvodljivo u praksi, a moe da
bude i nemogue.
120

______________________________________________________________________________________
Na osnovu ovakvih injenica, postavlja se pitanje da li je mogue ostvariti sigurnu

komunikaciju bez uobiajene razmene kljua? Ili , da li je mogue tajno komunicirati
bez razmene simetrinog kljua? Odgovor na ovo pitanje indukovao bi reenje i
podigao sigurnost na vii nivo. Napomenuemo da kriptografski sistem nije bezbedan
ukoliko se klju prenosi preko komunikacionog kanala, makar bio i u formi ifrata.
Novo nastala ideja je ifrovanje bez razmene kljua. To bi znailo da sada Alisa i Bob
mogu da koriste isti komunikacioni kanal za dogovor o simetrinom kljuu,
razmenjujui parametre na osnovu kojih Trudi ne moe da izrauna tajni simetrini
klju, dok Alisa i Bob na osnovu istih parametara mogu da izraunaju klju.
Na primer, Alisa ostavlja poruku u metalni sandui koji zakljuava katancem A i
alje ga Bobu. Nakon prijema, Bob stavlja svoj katanac B i vraa poiljku sa dva
katanca Alisi. Alisa skida svoj katanac A i vraa poiljku Bobu na kojoj je jo uvek
katanac B . Bob sada moe da otvori poiljku, dok napada nije mogao to da uradi ni
u jednom trenutku njihove komunikacije to ne znai da ne postoje i bezbednosni
problemi druge vrste u ovoj komunikaciji izmeu Alise i Boba.
Slika 4.1 Razmena kljua javnim komunikacionim kanalom

Slika 4.1, prikazana je razmena simetrinog kljua izmeu Alise i Boba. U prvoj fazi
scenario, Alisa i Bob treba da generiu po jedan tajni (privatni) parametar A i B ije
vrednosti samo oni znaju. Alisa pored tajnog parametra generie i simetrini klju koji
e koristiti za ifrovanje u nekoj buduoj komunikaciji sa Bobom. Kao to je prikazano
u scenariju, nakon tri runde razgovora Bob dobija identian klju K koji je generisala
121

______________________________________________________________________________________
Alisa. Ako Trudi bude prislukivala komunikacioni kanal, nee biti u prilici da sazna
neku informaciju o kljuu K .
Uprkos opte prihvaenom miljenju da je ovaj problem nereiv, jedna grupa
entuzijasta je krajem 70-tih godina prolog veka ponudila reenje. Istraivanja u
ovom pravcu su ubrzo dovela do razvoja ifarskih sistema sa javnim kljuem. To je
bila revolucija u kriptografiji 20-tog veka i najvee otkrie od pojave monoalfabetske
ifre.
4.2. DIFI-HELMAN (DIFFIE-HELLMAN)

Difi-Helman protokol predloili su Vitfild Difi (Whitfield Diffie) i Martin Helman (Martin Hellman)6. Difi i Helman su traili matematike funkcije za koje redosled ifrovanja
i deifrovanja nije bitan, na primer:
f ( g ( x)) g ( f ( x))
Ovakve funkcije postoje, veina ih je dvosmerna, odnosno mogu se lako izraunati ali
je lako nai i njihovu inverznu vrednost. Primer dvosmernih funkcija:
f ( x)
2 x; f ( x )
x2
Primer za ovakvu funkciju je ukljuivanje ili iskljuivanje prekidaa. Meutim, ovakva

vrsta funkcija nije poeljna u kriptografiji. Od znaaja su jednosmerne funkcije (one
way), tanije neki oblici ovih funkcija.
Jednosmerne funkcije relativno lako mogu da se izraunaju, ali njihova inverzna
vrednost moe da se odredi samo izuzetno sloenim postupkom. Za dato x lako se
rauna f ( x) , ali je za dato f ( x) teko izraunati
x ili je potrebno ogromno vreme
Vitfild Difi roen je 1944. godine u Njujorku. 1965. diplomirao na Stanford Univerzitetu. Dostupno vise
na Veb sajtu: http://en.wikipedia.org/wiki/Whitfield.
Martin Helman roen je 1945. godine, u Bronksu. Doktorirao na Stanford Univerzitetu. Dostupno vie na
sajtu: http://en.wikipedia.org/wiki/MartinHellman.
122

______________________________________________________________________________________
uz neograniene resurse. Dobri primeri za jednosmernost su lomljenje ae ili

meanje boje. Njihov znaaj je u tome to poruka ifrovana jednosmernom funkcijom
ne moe da se deifruje. Posebno su od znaaja za kriptografiju sa javnim kljuem
jednosmerne funkcije sa zamkom (eng. trapdoor one way function).
Jednosmerne funkcije sa zamkom su poseban oblik jednosmernih funkcija. Lako ih je
izraunati u jednom (direktnom) smeru, ali teko im je izraunati inverznu vrednost.
Ako je poznata tajna vrednost (zamka), onda se lako moe izraunati i direktna i
inverzna vrednost.
Na primer, za dato x lako je izraunati f ( x) , teko je izraunati x iz f ( x) , ali ako
je poznata tajna vrednost, iz f ( x) lako se ponovo rauna x . Modularna aritmetika
podrazumeva prisustvo velikog broja takvih jednosmernih funkcija.
Pod pojmom teko podrazumevaju se problemi koji se ne mogu reiti u
prihvatljivom vremenskom periodu iako su na raspolaganju najbolji poznati algoritmi
i najbolja tehnologija.
Osnovni problem ovakvih funkcija je to nije dokazano da postoje jednosmerne
funkcije i jednosmerne funkcije sa zamkom, strogo matematiki gledano. Uprkos ovoj
tvrdnji, postoje dve funkcije koje se smatraju kandidatima za funkcije sa pomenutim
osobinama:
x
x
Diskretni eksponent ija je inverzna funkcija diskretni logaritam,

Proizvod celih brojeva ija je inverzna funkcija faktorizacija dobijenog broja.
Navedene dve funkcije su lake za izraunavanje, dok se veruje da to nije sluaj sa

njihovim inverznim funkcijama.
Skraeniucu DH uglavnom emo koristiti za Difi-Helman algoritam ili protokol za
razmenu kljua. Protokol je razvijen nezavisno na dva mesta7. Predstavlja algoritam
za razmenu zajednikih simetrinih kljueva. Nije namenjen za ifrovanje ili digitalno
Government Communications Headquarters GCHQ: Dems Elis, Kliford Koks, Malkom Vilijamson.
Stanford Univerzitet: Difi i Helman
123

______________________________________________________________________________________
potpisivanje. Sigurnost DH algoritma zasniva se na raunski sloenom raunanju

(jednosmerne funkcije) diskretnog algoritma za zadate g , p i g n mod p nai n . Za
poznato g i x , gde je x
g n , moe da se odredi n :
n log g ( x)
Ako je x
g n (mod p ) , n se takoe odreuje preko logaritma ali diskretnog
(diskretni algoritam). U nastavku emo proi kroz matematike osnove DH algoritma.

Neka je p veliki prost broj i g takvo da se za svako x {1, 2,..., p 1} moe nai n
tako da je:
g n (mod p )
Vrednosti p i g su javne. U komunikaciji izmeu Alise i Boba, ove parametre moe

da odredi bilo ko od njih, a zatim se parametri razmenjuju javnim kanalom. Alisa bira
svoju tajnu vrednost a . Bob bira svoju tajnu vrednost b . Ove vrednosti predstavljaju
velike sluajne proste brojeve.
U prvoj rundi, Alisa javno alje vrednost g a (mod p ) Bobu. Bob javno alje vrednost
g b (mod p ) Alisi. U drugoj rundi, oboje na osnovu primljenih vrednost raunaju

zajedniku tajnu vrednost g ab (mod p ) . Dobijena zajednika tajna vrednost moe da
se koristi kao simetrini klju.
Pretpostavimo da Alisa i Bob koriste vrednost g ab (mod p ) kao simetrini klju. Trudi
moe da sazna vrednosti g a (mod p ) i g b (mod p ) jer su poslate javno, kanalom
veze. Meutim, Trudi ne moe na osnovu ovih vrednosti da sazna vrednost a ili b , a
ako bi to mogla da uradi, sistem bi bio razbijen, a to bi znailo da je reila problem
diskretnog algoritma. Standardom PKSC #38, definisane su i preporuene vrednosti
PKCS #3: Diffie-Hellman Key Agreement Standard.

Dostupno na Veb sajtu: http://www.rsa.com/rsalabs/node.asp?id=2126
124

______________________________________________________________________________________
parametara a , b , g i p za generisanje i razmenu zajednikih simetrinih kljueva. U

praksi se za p vrednost koristi veliki broj koji je vei od 1024 bita.
U primeru ispod, prikazaemo jednu realizaciju DH protokola.
29. PRIMER:
Izbor javnih parametara p i g :
p 33, g 3
Izbor tajnih parametara
a i b:
a 11, b 9
Alisa alje vrednost Av Bobu:
Av
g a mod p 311 mod 33 3
Bob alje vrednost Bv Alisi:
Bv
g b mod p 39 mod 33 15
Alisa rauna klju K Alisa :
K Alisa
Bv a mod p 1511 mod 33 15
Bob rauna klju K Bob :
K Bob
Avb mod p 39 mod33 15
Rezultat K AB :
K Alisa
K Bob
15
125

______________________________________________________________________________________
U ovom primeru radi lakeg razumevanja DH protokola, koristili smo male vrednosti
za parametre algoritma.
Meutim, postoje ozbiljni problem i kod implementacije DH algoritma. DH algoritam
je osetljiv na napad tipa ovek u sredini (eng. Man-in-the-middle). Ovaj napad
moe da bude aktivan ili pasivan. Ukoliko se radi o aktivnom napadu, on bi mogao da
presretne poruku, izmeni je i prosledi dalje, dok je kod pasivnog napadaa mogue
jedino prislukivanje komunikacionog kanala. Pretpostavlja se da Trudi moe da ima
ulogu aktivnog napadaa u scenariju ovek u sredini. U ovom sluaju DH protokol
bi bio nebezbedan jer bi Trudi delila jedan simetrini klju K AT sa Alisom i jedan
simetrini klju K TB sa Bobom i tako postala posrednik u komunikaciji.
Slika 4.2 DH i ovek u sredini aktivni napad
Da bi se izbegli ovakvi problemi ili spreio dobro poznati napad ovek u sredini ,
Slika 4.2, koji je uvek prisutan u bilo kom scenariju komunikacije, potrebno je
obezbediti mehanizam autentifikacije. Ovaj mehanizam bi podrazumevao obostranu
autentifikaciju to znai da e Alisa i Bob biti sigurni u integritet razmenjenih poruka.
Zatita integriteta poruka podrazumeva da poruke u komunikacionim kanalima nisu
izmenjene od neautentifikovane strane. Bitno je imati svest o postojanju mogunosti
ovakvog napada, ne samo u DH protokolu ve i u drugim protokolima.
Asimetrini ifarski sistemi
Difi i Helman su prvi predloili primenu asimetrinog ifarskog sistema. Za ifrovanje i
deifrovanje koristio bi se razliit klju.
Na primer, Alisa ima jedan javni klju koji je svima dostupan i koristi se za ifrovanje
poruke. Bob je ifrovao poruku sa Alisinim javnim kljuem i poslao Alisi, a samo ona
126

______________________________________________________________________________________
ima tajni klju koji je neophodan za deifrovanje poruke. Ideja za ovakav ifarski
sistem je njihova, ali oni nisu predloili funkciju koja bi radila na ovaj nain.
Odlike kriptografije sa javnim kljuevima:
x
x
x
x
x
x
x
x
zasnovana je na matematikim funkcijama umesto na postupcima zamene ili

transpozicije;
koristi razliite kljueve za ifrovanje i deifrovanje;
jedan klju je privatni (tajan), drugi moe da bude potpuno javan;
privatni i javni klju su povezani odgovarajuim matematikim relacijama;
ima loije osobine od kriptografije sa simetrinim kljuevima;
do 1000 puta sporija od simetrinih sistema;
moe da se koristi za ifrovanje, autentifikaciju, digitalni potpis i razmenu
simetrinih kljueva;
nisu pogodni za ifrovanje vee koliine podataka.
Na osnovu navedenih odlika, predloena su tri naina upotrebe kriptografije sa

javnim kljuem:
x
x
x
ifrovanje i deifrovanje (poverljivost);

Digitalni potpis (autentifikacija, ..);
Razmena simetrinog kljua.
4.3. RSA
Najpoznatiji algoritam iz asimetrine kriptografije, RSA, dobio je naziv po poetnim
slovima njegovih autora (Rivest, amir i Adleman) 9 . Zasniva se na matematiki
sloenom postupku faktorizacije (rastavljanja) proizvoda dva velika prosta broja na
njegove faktore (inioce). Problem kod ovog pristupa je u tome to ne postoji vrsti
matematiki dokaz da ne postoji krai put za faktorizaciju.
RSA je skraenica od poetnih slova naunika Ron Rivest, Shamir Adi i Leonard Adleman, koji su prvi
javno opisali novi algoritam 1977. godine. Clifford Cocks, engleski matematiar, razvio je ekvivalentan
sistem 1973. godine, ali je on bio klasifikovan najveim stepenom tajnosti sve do 1997. godine.
127

______________________________________________________________________________________
Za ifrovanje kod asimetrinih sistema se koristi jednosmerna funkcija sa zamkom.

Sutina je u pronalaenju funkcije koja menja otvorenu poruku u ifrat , tj.
. Parameter se naziva javni klju i slui iskljuivo za ifrovanje. Ne
moe se upotrebiti za deifrovanje, tj. zbog toga to je jednosmerna
funkcija. Ukoliko je poruka namenjena za Boba, svako moe ifrovati poruku za njega
korienjem njegovog javnog kljua . Za deifrovanje Bob mora da upotrebi tajnu
vrednost (privatni klju) i da primeni inverznu funkciju kako bi se iz
ifrata dobila otvorena poruka . Uslov za uspeno ifrovanje i deifrovanje je
. Jasno je da je neophodna pogodna matematika funkcija koja
ima navedena svojstva, a pripada klasi jednosmernih funkcija sa zamkom. U
navedenom primeru privatni klju je zamka. Poznavanjem zamke proces
deifrovanja je jednostavan. Bez zamke, deifrovanje je praktino nemogue. Funkcija
koja zadovoljava navedene pretpostavke je oblika:
.
Uz odgovarajui izbor vrednosti i ova funkcija je jednosmerna. Uz poznavanje
tajne vrednosti (zamke) moe da se nae njena inverzna funkcija. Bez poznavanja
zamke, ona je praktino nereiva.
Da bi se generisao RSA javni i privatni par kljueva, izaberu se dva velika prosta broja
i i formira se njihov proizvod . Zatim se izabere broj , uzajamno prost
sa proizvodom i uz uslov . Konano, potrebno je
odrediti na osnovu sledeeg mod , tj. zadovoljeno je sledee
mod. Nadalje, faktori i se ne razmatraju.
Broj je modul, broj je eksponent za ifrovanje, a je eksponent za deifrovanje.
RSA par kljueva se sastoji iz delova:
Javni klju: ,
Privatni klju: .
Za operacije ifrovanja i deifrovanja primenjuje se funkcija modularnog eksponenta
na sledei nain:
128

______________________________________________________________________________________
ifrovanje: ,
Deifrovanje: .
Tajnost asimetrinog ifarskog sistema sa RSA algoritmom zasniva se na sloenosti
faktorizacije broja . Nakon to bi se izvrila faktorizacija broja (koji je javan) na
inioce i , bilo bi lako, korienjem javno dostupne vrednosti odrediti privatnu
vrednost iz uslova mod. Za dovoljno velike brojeve i , a samim
tim i , proces faktorizacije je dugotrajan posao. Uz dostupne raunarske resurse
moe se uporediti sa procesom totalne pretrage po prostoru svih kljueva kod
simetrinih ifarskih sistema (totalna pretraga). Ono to je problem kod asimetrinih
ifarskih sistema je nepostojanje vrstog matematikog dokaza da li je rastavljanje na
faktore jedini nain za razbijanje RSA.
Da li RSA zaista radi? S obzirom da je , potrebno je pokazati da je:
C d mod N
M ed mod N
30. PRIMER:
RSA generisanja tajnog kljua. Izabrati velike proste brojeve p i q :
p 11, q 3
Odrediti vrednost N i
M( N ) :
N
pq 11 33 33
M ( N ) ( p 1)(q 1) (11 1)(3 1) 20

Izabrati broj
e (uzajamno prost):
e
Pronai d takvo da je ed
1(mod 20) :
e 1 (mod M ( N ))
31 mod 20
129

______________________________________________________________________________________
Rezultat je javni ( N , e) i privatni klju d :
( N , e) (33,3)
d
Napomena:
Nakon izraunatog kljua d , parametri p i q se unitavaju na siguran nain, jer
sigurnost zavisi ba od ovih parametara.
31. PRIMER:
RSA ifrovanje i deifrovanje
Javni klju ( N , e) i privatni klju d :
( N , e) (33,3)
d
Izabrana poruka M :
ifrovanje, generisanje ifrata C :
M e (mod N )
C d (mod N ) 12 7 mod 20
83 mod 20 12
Deifrovanje ifrata C :
130

______________________________________________________________________________________
32. PRIMER:
Slika 4.3, Jedna realizacija ifrovanja i deifrovanja sa RSA algoritmom u Cryptool-u
Slika 4.3 Jedna realizacija ifrovanja i deifrovanja sa RSA algoritmom u Cryptool-u
Postupak ifrovanja i deifrovanja obuhvata celobrojne operacije sa porukom M .

Pre ifrovanja, karaktere poruke M prvo treba pretvoriti u broj. U praksi se za
pretvaranje karaktera u decimalnu vrednost koristi ASCII10 tabela.
10
ASCII je skraenica za Ameriki standardni kod za razmenu informacija. Raunari mogu razumeti sao
brojeve, tako da ASCII kod je brojana reprezentacija karaktera, kao to su A ili @.
Dostupno na Veb sajtu: http://www.asciitable.com/
131

______________________________________________________________________________________
Na primer, poruku UNIVERZITET SINGIDUNUM kada pretvorimo preko ASCII tabele,

dobijamo niz decimalnih vrednosti {85, 78, 73, 86, 69, 82, 90, 73, 84, 69, 84 83, 78,
73, 78, 71, 68, 85, 78, 85, 77}. Slika 4.4, prikazan je jedan fragment ASCII tabele.
Slika 4.4 Jedan deo ASCII tabele
Rauna se po modulu N . Potrebno je, da je N ! M , da bi proces ifrovanja bio

jednoznaan. Ukoliko se desi i pored izbora velikog N , M ! N , onda poruka M
treba da se rastavi na manje celine ili blokove.
33. PRIMER:
1024
Slika 4.5, Generisanje velikog prostog broja ( 2
) i primena Miler-Rabinovog testom.
Slika 4.5 Generisanje velikog prostog broja i test na prostost

132

______________________________________________________________________________________
Postoji problem pronalaenja velikih prostih brojeva. Za N
pq , p i q su veliki
prosti brojevi, N treba da je dovoljno veliko. Prostih brojeva ima beskonano, to

znai da postoji dovoljno prostih brojeva za ovakve potrebe. Koriste se razliiti
algoritmi za pronalaenje prostih brojeva od kojih su najefikasniji: Miler-Rabinov
test11, APR test i dr.
Pored bitnosti naina za izbor vrednosti N , postoji i problem izbora javnog kljua
e.
e mora da bude uzajamno prost sa ( p 1)(q 1) , pa se za e esto bira

prost broj. Zbog brzinskih performansi, postoji zahtev da e bude to manje, ali ta
odluka moe da narui snagu algoritma. Mnogi korisnici koriste isti eksponent e
Javni klju
unutar javnih kljueva. Obino je to vrednost e 65537 . Na ovaj nain se ne

kompromituje ifarski sistem, a omoguava se da proces ifrovanja bude znaajno
bri od deifrovanja.
Jo jedan problem je raunanje tajnog kljua d . Kao to smo ve videli, raunanje
privatnog kljua d , svodi se na reavanje jednaine:
ed 1(mod M ( N ))
Obzirom da je
e izabrano takvo da je:

gcd (e, M ( N )) 1 ,
Ova jednaina uvek moe da se rei. Jedna od mogunosti za reavanje ove jednaine
je pomou proirenog Euklidskog algoritma.
11
MillerRabin primality test.

Dostupno na Veb sajtu: http://en.wikipedia.org/wiki/MillerRabin_primality_test
133

______________________________________________________________________________________
34. PRIMER:
Slika 4.6, upotreba metoda Kvadratno Sito (eng. Quadratic Sieve)
Slika 4.6 Primer faktorizacije manjih prostih brojeva
to se tie bezbednosti RSA ifarskog algoritma, vrednosti C , e i N su za svakoga

javne. Postavlja se pitanje, moe li Trudi da rekonstruie poruku M ? Trenutno ne
postoji dokaz da Trudi moe efikasno da rekonstruie poruku M na osnovu
poznavanja ifrata C , javnih kljueva
e i N , a da pri tome ne zna M( N ) .
Dokazano je da problem pronalaenja
M( N ) podjednako sloen kao i faktorizacija
broja N . Veruje se, mada nije dokazano, da je problem faktorizacije velikih brojeva
praktino nereiv.
RSA Laboratories 12je objavila takmienje u kategoriji faktorizacije velikih prostih
brojeva koji se koriste u javnim kriptosistemima. Takmienje je zavreno 2007.
godine i tada su postignuti najbolji rezultati u ovoj kategoriji. Poslednji problem je bio
12
Dostupno na Veb sajtu: http://www.rsa.com/rsalabs/node.asp?id=2093
134

______________________________________________________________________________________
faktorizacija N duine 768 dekadskih cifara. Nakon toga nije bilo novih rezultata i
smatra se da je to trenutno najbolji rezultat koji je mogue danas postii. Potrebno
vreme je bilo neto malo manje od 3 kalendarske godine.
Poveanje granice bezbednosti zahteva poveanje duine kljua. Osnovni razlog je
konstantno unapreenje algoritama za faktorizaciju na polju kriptoanalize. Sa druge
strane, vreme potrebno za ifrovanje i deifrovanje je proporcionalno treem
stepenu duine kljua. Odluka da se povea granica bezbednosti poveanjem kljua
loe utie na brzinske performanse RSA algoritma. Osnovna primena RSA je za
ifrovanje kriptografskih kljueva i digitalni potpis. Simetrini ifarski sistemi se
koriste za zatitu podataka.
Merenjem performansi RSA algoritma, utvreno je da je RSA algoritam 1500 puta
sporiji od DES algoritma. Deo algoritma koji slui za raunanje eksponenta i modula u
najveoj meri doprinosi ovom loem rezultatu. Zatim, generisanje brojeva koji se
koriste u RSA algoritmu takoe zahtevaju neko vreme, kao i testiranje izabrane
vrednosti N u odnosu na poznate metode za faktorizaciju.
Na osnovu odreenih saznanja i takmienja u kojima su najbolji bili nagraeni
pozamanim sumama novca, preporuene duine za N su N ! 1000 bitova
(1024,2048,).
4.4. PRIMENA ASIMETRINIH IFARSKIH SISTEMA

Primenom kriptografije sa javnim kljuem moe da se postigne poverljivost.
Poverljivost podrazumeva siguran prenos podataka preko nebezbednih veza, kao i
skladitenje podataka na nebezbednim medijima. Zatim, autentifikaciju i digitalni
potpis koji obezbeuju integritet i neporecivost. Bitno je napomenuti da nema
sistema neporecivosti u sistemima sa simetrinim kljuevima.
135

______________________________________________________________________________________
4.4.1. RSA IFROVANJE I DEIFROVANJE

Javni klju oznaiemo sa ( N , e) , a privatni sa d . Ukoliko poruku oznaimo sa M ,
ifrat je C , iz toga sledi da je:
M e mod N ,
C d mod N
Prethodno u RSA poglavlju detaljno smo objasnili operaciju ifrovanja sa RSA

algoritmom. Bitno je napomenuti da sa RSA algoritmom moemo da ifrujemo dva
tipa ulaznih podataka. Prvi tip je tip podataka kao celobrojna vrednost za uslovom da
je N ! M ,a drugi tip podatka predstavlja neki niz karaktera ili tekstualne poruke.
Ukoliko se radi o tekstualnim porukama, neophodno je karaktere poruke pretvoriti u
decimalne vrednosti preko ASCII tabele. Obe realizacije pokazaemo u sledeim
Cryptool projektima.
35. PRIMER:
Slika 4.7 ifrovanje celobrojnih vrednosti sa RSA
136

______________________________________________________________________________________
36. PRIMER:
Slika 4.8 ifrovanje i deifrovanje tekstualnih poruka sa RSA
4.4.2. RSA DIGITALNO POTPISIVANJE

Kod asimetrinih ifarskih sistema javni klju je ( N , e) , a privatni d . Ukoliko poruku
oznaimo sa M , digitalni potpis sa S , onda je:
M d (mod N )
Kod RSA algoritma, deifrovanje i potpisivanje su iste operacije. Za raunanje

digitalnog potpisa S neophodno je poznavanje privatnog kljua d . Potvrda
ispravnosti ili verifikacija digitalnog potpisa na poruci M moe da se uradi na sledei
nain:
S e (mod N )
( M d ) e (mod N )
Moemo primetiti da je operacija ista kao i kod ifrovanja. Svako ko zna ( N , e) moe
da potvrdi ispravnost digitalnog potpisa.
137

______________________________________________________________________________________
Na primer, Alisa eli da poalje digitalno potpisanu poruku M Bobu. U ovom

momentu Alisi i Bobu nije bitna poverljivost. To znai da Trudi moe da proita
poruku M , ali ne moe da je promeni zbog postojanja digitalnog potpisa S poruke
M . Trudi je samo pasivan napada (moe da prislukuje). Vlasnik digitalnog potpisa
u ovom scenariu je Alisa. Na drugoj strani, Bob prima poruku M i digitalni potpis S
, a zatim koristi javni klju (N, e) da bi uspeno verifikovao digitalni potpis i bio
siguran da je primljeni sadraj poruke M nainila Alisa.
Slika 4.9 Digitalni potpis i verifikacija
138

______________________________________________________________________________________
Slika 4.9, prikazana je jedna standardna primene digitalnog potpisa. U scenariju, Alisa
potpisuje poruku i alje je Bobu. Bob prima digitalno potpisanu poruku i zapoinje
proceduru verifikacije digitalnog potpisa da bi se uverio u identitet poiljaoca Alise.
Prikazane su sve komponente koje su neophodne za digitalno potpisivanje i
verifikaciju digitalnog potpisa za izabrani dokument, kao i sam redosled izvravanja
svih nezaobilaznih procedura.
37. PRIMER:
Slika 4.10 Digitalno potpisivanje i verifikacija potpisa

Slika 4.10, jedna realna realizacija digitalnog potpisa sa pravim algoritmima i
vrednostima.
139

______________________________________________________________________________________
4.4.3. TAJNOST I NEPORECIVOST

Neporecivost je svojstvo koje spreava entitet da porekne postojae obaveze ili
izvrene akcije. Neporecivost osigurava da ugovori, transakcije i druge izvrene akcije
preko Interneta ne mogu biti kasnije opovrgnute od strane bilo koje ukljuene
stranke. Neporecivost znai da se moe potvrditi da su poiljalac i primaoc zaista
entiteti koji su poslali, odnosno primili poruku.
Neporecivost nije mogue obezbediti u sistemu sa simetrinim kljuem. Pokazaemo
to na sledeem primeru.
Alisa izdaje nalog za kupovinu 100 akcija svom brokeru Bobu. Alisa izrauna MAC
primenom simetrinog kljua K AB . Na ovaj nain obezbeen je servis integriteta.
Meutim, vrednost akcija smanjila se za 80%, Alisa tvrdi da nije izdala nalog za
kupovinu akcija. Postavlja se pitanje, da li moe Bob da dokae da je Alisa izdala nalog
za kupovinu akcija? Odgovor je NE iz razloga to Bob zna simetrini klju K AB i on je
mogao sam da napie poruku. Sada moemo da zakljuimo da Bob ne moe da
dokae da je Alisa izdala nalog za kupovinu.
Sada emo u sledeem primeru da vidimo kako izgleda ovaj isti scenario samo sa
primenom sistema sa javnim kljuevima.
Alisa izdaje nalog za kupovinu 100 akcija svom brokeru Bobu. Alisa digitalno potpisuje
nalog svojim privatnim kljuem. U ovom momentu obezbeen je servis integriteta.
Vrednost akcija se smanjuje za 80%, Alisa tvrdi da nije izdala nalog za kupovinu.
Postavlja se pitanje, da li moe Bob da dokae da je Alisa izdala nalog za kupovinu
akcija? Odgovor je DA, iz razloga to samo neko ko poseduje Alisin privatni klju je
mogao da digitalno potpie nalog. Svakako, podrazumeva se da Alisin privatni klju
nije ukraden.
Pre nego to napravimo vezu izmeu tajnosti i neporecivosti, upoznaemo se sa
notaciom operacija u sistemu javnih kljueva, radi lakeg razumevanja.
Notacija za tajnost:
Alisa alje Bobu ifrovane poruke sa Bobovim javnim kljuem (N, e) :
140

______________________________________________________________________________________
C {M }Bob
Bob deifruje poruku koju je primio od Alise sa svojim privatnim kljuem d :
{C}Bob
Notacija za neporecivost:
Alisa alje Bobu digitalno potpisanu poruku sa privatnim kljuem d :
[ M ] Alisa
Bob prima digitalnu poruku i verifikuje potpis sa Alisinim javnim kljuem (N, e) :
[ S ] Alisa
U poslednjem sluaju S je digitalno potpisana poruka i formalno se poklapa sa

deifrovanjem. Iz toga sledi:
{[ M ] Alisa }Alisa
[{M }Alisa ]Alisa
Sada pretpostavimo da je potrebno da se istovremeno ostvare servisi tajnosti i

neporecivosti. Postavlja se pitanje da li sistemi sa javnim kljuevima obezbeuju oba
zahteva? Pre nego to damo odgovor, imajmo na umu da postoje dva mogua
scenarija. U prvom Alisa prvo potpie poruku, a zatim ifruje to odgovara sluaju
{[ M ] Alisa }Bob , i drugi scenario u kom Alisa prvo ifruje poruku, a zatim potpisuje to
odgovara sluaju [{M }Bob ] Alisa .
Ne treba zaboraviti da je javni klju svima dostupan. Svako moe da izrauna
{M }Alisa . Privatni klju je tajan. Samo Alisa moe da izrauna [C ] Alisa ili [ M ] Alisa i da
digitalno potpie poruku svojim privatnim kljuem, ali svi mogu da provere ispravnost
potpisa ukoliko znaju javni klju. Sada moemo da kaemo da redosled ovih operacija
nije toliko bitan za bezbednost sistema.
141

______________________________________________________________________________________
4.4.4. INFRASTRUKTURA JAVNIH KLJUEVA

U ovom delu poglavlja, diskutovaemo o sertifikatima javnih kljueva i sertifikacionim
telima. Digitalni sertifikat (eng. certificate) je potpisan dokument koji omoguava
korisnicima i organizacijama proveru identiteta uesnika u komunikaciji. Sertifikat se
digitalno potpisuje da bi se utvrdila veza izmeu korisnika i javnog kljua. Javni klju,
korisniki identitet, informacije o vlasniku sertifikata i digitalni potpis su sastavni
delovi sertifikata. Upotrebom digitalnih sertifikata obezbeuju se sledei sigurnosni
elementi:
x
x
x
x
Identitet korisnika
Integritet poruke
Autorizacija
Neporicanje
Upotreba digitalnih sertifikata reava neke od kljunih problema bezbednosti

informacija. Ukoliko nam poruka stie od korisnika iji identitet utvrujemo potpisom
tree strane kojoj se veruje, nema razloga da sumnjamo da je takva poruka
kompromitovana, odnosno da je stigla od osobe koje je neovlateno presrela
komunikaciju.
CA je skraenica od Sertifikaciono telo (eng. Certification Authority). Sertifikaciono
telo CA je trea strana od poverenja TTP (eng. Trusted third party) koja izdaje i
potpisuje sertifikate. Time se obezbeuje integritet podataka, u ovom sluaju
integritet izdatog sertifikata. Potpis na sertifikatu moe se proveriti uz pomo javnog
kljua izdavaoca sertifikata CA.
Sertifikaciono telo predstavlja centralni deo infrastrukture javnih kljueva. CA
generie, izdaje i ponitava sertifikate. CA ima i ulogu potpisivanja sertifikata svojim
privatnim kljuem. Korienjem javnog kljua sertifikacionog centra, svako moe
proveriti integritet sertifikata. Zbog velike vanosti ove komponente, u sluaju
napada CA se brani metodom samounitenja.To podrazumeva unitenje svih
kljueva.
Na Windows serverskim operativnim sistemima mogue je instalirati poseban servis
koji bi predstavljao sertifikaciono telo. Pitanje koje se postavlja je ko bi verovao
142

______________________________________________________________________________________
takvom sertifikacionom telu. U realnom okruenju postoje kompanije koje izdaju

sertifikate, kojima se moe verovati i koji su podrani od strane Intenet pretraivaa.
Neke od najpoznatijih kompanija iz ove oblasti su: VeriSign, Entrust Authority i
Comodo inc.
Proverom potpisa na sertifikatu istovremeno se utvruje i identitet vlasnika
odgovarajueg javnog ili privatnog kljua. Meutim, na ovaj nain ne moe se utvrditi
identitet izdavaa sertifikata. Sertifikati su javni. Zajedniki format svih sertifikata,
definisan je sa standardom X.509.13
Format X.509 odreuje format zapisa i definie polja sertifikata. Ovaj standard takoe
predvia naine povlaenje sertifikata kao i algoritme za ifrovanje. Prvi PKI projekat
je podrazumevao upotrebu upravo X.509 standarda. Mnoge kompanije u svetu svoje
poslovanje temelje na ovom standardu. VISA i MasterCard kao u svojim elektronskim
transakcijama primenjuju X.509 standard. U nastavku poglavlja dajemo osnovne
strukture X.509 sertifikata verzje 3.
X.509 ver3: Standardni sertifikat, odobren od strane ITU14
Verzija
Verzija standarda X.509
Serijski broj
CA utvruje jedinstvenost sertifikata
Algoritam potpisivanja
Koji je algoritam
Davalac sertifikata
Ime CA po X.500
Period vaenja
Poetak i kraj
Ime korisnika sertifikata
Korisnik za iji klju se garantuje
Javni klju
Identifikator davaoca sertifikata
Neobavezno
Identifikator davaoca sertifikata
Neobavezno
Proirenja
Potpis
Uraen sa privatnim kljuem CA
CA predstavlja ovlaenu organizaciju za izdavanje sertifikata koja ne mora da bude
stalno prisutana na mrei. Osnovni zadatak je izdavanje sertifikata korisnicima. To
moe biti USB token, CD, pametna kartica i dr. CA za svaki generisani sertfikat rauna
13
14
Dostupno na Veb sajtu: http://en.wikipedia.org/wiki/X.509

Dostupno na Veb sajtu: http://www.itu.int/rec/T-REC-X.509
143

______________________________________________________________________________________
he vrednost, a zatim digitalno potpisuje sa svojim privatnim kljuem. Na svakom

sertifikatu dostupan je javni klju ovlaenog CA. Svaki CA15 naplauje svoje usluge.
Slika 4.11 Struktura digitalnog sertifikata izdatog od strane CA, verzije 3
Osnovni zadatak sertifikata je da povee javni klju sa podacima kao to su pojedinac,

preduzee, univerzitet itd (Slika 4.11). Sertifikati nisu tajni. Alisa i Bob u komunikaciji
mogu da naprave hiper vezu na matinim Veb stranama ka svojim sertifikatima.
Na primer, ako Trudi pokua da napadne komunikaciju izmeu Alise i Boba, jedino
moe da zameni Alisin i Bobov sertifikat svojim sertifikatom i da generie svoj javni
klju. Meutim, Alisi ili Bobu ve nakon prve poruke bie jasno da nije dobar potpis.
PKI je skraenica koju koristimo za infrastrukturu sistema sa javnim kljuevima (eng.
Public Key Infrastrusture). PKI infrastruktura sastoji se od:
x
x
15
Korisnika;
Ovlaenih CA organizacija;
Dostupno na Veb sajtu: http://www.comodo.com/
144

______________________________________________________________________________________
x
x
x
Sertifikata;
Kataloga;
Listi povuenih sertifikata.
Infrastruktura javnog kljua sa sastoji od svih podsistema koji nisu neophodni za

bezbednu upotrebu kriptografije sa javnim kljuevima:
x
x
x
Generisanje i upravljanje kljuevima;

Sertifikaciona tela CA;
Povlaenje sertifikata CRL;
Ne postoji opti standard za PKI. U nastavku emo razmotriti nekoliko modela

poverenja.
Monopolski model ini jedinstvena organizacija od poverenja sa jedno CA za sve
korisnike. Ovaj model je predloila VeriSign16 iz razumljivih razloga jer je najvee
komercijalno CA. Rizik je ako se takvo CA telo bilo kada kompromituje. Veliki problem
moe nastati ako se takvom CA ne veruje.
Oligarhijski model ini vie sertifikacionih tela. Kod ovog modela, korisnik sam bira i
odluuje kom sertifikacionom telu e ukazati poverenje, a kom ne. Ovaj pristup je
zastupljen kod savremenih Internet pretraivaa (Veb brauzera). Oni mogu da imaju
80 i vie razliitih sertifikata samo da bi se verifikovao jedan digitalni potpis.
Anarhijski model je dosta razliit od prethodna dva. U ovom modelu svako moe da
bude CA. Korisnik sam odluuje kome e verovati. Ovaj pristup se koristi u PGP17 (eng.
Pretty Good Privacy). Da bismo razumeli zato se ovaj model naziva anarhijski,
naveemo sledei primer. Pretpostavimo da je sertifikat potpisao Frank i da ga ne
poznajemo, ali verujemo Bobu koji kae da je Alisa od poverenja i da ona garantuje za
Franka. Meutim, pitamo se dalje se pitamo da li treba da verujemo Franku?
Postoje mnogi drugi modeli od poverenja na bazi arhitekture modula PKI sistema:
16
17
Dostupno na Veb sajtu: http://www.verisigninc.com/?cmp=SEMG02:01I

Dostupno na Veb sajtu: http://en.wikipedia.org/wiki/Pretty_Good_Privacy
145

______________________________________________________________________________________
x
x
x
Hijerarhijski model;
Reetkasti;
Tranzicioni (eng. Bridge) CA;
Hijerarhijski model arhitekture podrazumeva PKI sa jednim CA i dva ili tri nivo CA po
dubini kojima rut (jedan glavni za sve CA) CA izdaje sertifikate za rad. U ovom modelu
svi CA i korisnici mu veruju. Moemo da ga posmatramo kao jednosmerni put
poverenja.
Reetkasti model ukljuuje vie ravnopravnih CA koji veruju jedan drugome. Moemo
da ga posmatramo kao dvosmerni put poverenja.
Tranzicioni model CA predstavlja vie administrativno PKI sistem ili Dravu. U
njemu, organizacija CA PKI sistema ispod moe biti reetkasta.
4.4.5. PREDNOSTI I NEDOSTACI KRIPTOGRAFIJE SA JAVNIM KLJUEVIMA

Na samom poetku ovog poglavlja, naveemo nekoliko prednosti kriptografije sa
javnim kljuem. Prvo, poverljivost koja je obezbeena bez deljenja tajni. Ovo je
veoma bitno i korisno u dananjem komercijalnom svetu. Ne postoji problem sa
razmenom kljueva kao kod simetrinih ifarskih sistema.
Drugo, autentifikacija moe da se obavi bez deljenja tajni. Koristi se digitalni potpis
kao dokaz o poreklu poruke. Ne postoji potreba za sigurnom zatitom javnog kljua.
Jedino postoji potreba da se sa sigurnou zna da je Alisin javni klju zaista njen klju.
Sa druge strane, mane asimetrine, a prednosti simetrine kriptografije su brzina i ne
postoji potreba za PKI infrastrukturom. Algoritmi kod javne kriptografije su 2 do 3
puta sporiji iz razloga to je modularna (eksponencijalna) aritmetika raunarski
zahtevna.
Brzina kod sistema sa javnim kljuevima nije jedini problem, postoji problem i kod
duine kljua. Duina kljua kod RSA je 1024 ili 2048 bitova, a kod AES algoritma
128,192 ili 256 bitova. Drugi nedostaci su to se bezbednost zasniva na
pretpostavkama koje nisu dokazane. I dalje ostaje mogunost za reavanje problema
faktorizacije u budunosti.
146

______________________________________________________________________________________
Problem ove vrste reava se izgradnjom hibridnih sistema. Pod hibridnim sistemom
podrazumeva se kriptografski sistem u kome se sistem sa javnim kljuem koristi za
razmenu simetrinog ili sesijskog kljua, a za ifrovanje podataka koristi se sistemi sa
simetrinim kljuem. Tipina upotreba je IPsec i SSL.
Na sledeoj emi prikazan je model jednog hibridnog ifarskog sistema u praksi.
Uspostavljen je simetrini klju pomou sistema javnih kljueva, a ifrovanje
podataka obavlja se sa simetrinim kljuem. Za datu emu pokuaemo da utvrdimo
da li je Bob siguran da komunicira sa Alisom?
Slika 4.12 Hibridni sistem sa nedostacima

Slika 4.12, ako bolje pogledamo emu, primetiemo da je u prvoj rundi Alisa ifrovala
izabrani simetrini klju {K }Bob sa Bobovim javnim kljuem, a zatim poslala Bobu.
Sada moemo da zakljuimo da je sistem sa javnim kljuem korien samo za
ifrovanje, ali ne i za potpisivanje. Samim tim, Bob nije autentifikovao Alisu to znai
da na strani Alise moe da bude bilo ko pa ak i Trudi.
Slika 4.13 Prepravljeni hibridni sistem
147

______________________________________________________________________________________
Slika 4.13, predstavlja prepravljen hibridni ifarski sistem u odnosu na nedostatke koje
smo uoili na prethodnom protokolu.

Tek sada u ovom drugom modelu hibridnog ifarskog sistema postoji obostrana
autentifikacija i sigurna razmena simetrinog kljua. Alisa je sigurna da se na strani
Boba stvarno nalazi on i Bob je siguran da se na strani Alise stvarno nalazi Alisa.
Simetrini klju koji se razmenjuje nalazi se u ifrovanoj formi.
PKI infrastruktura danas ima iroku primenu u savremenim aplikacijama. Neke od
primena, Slika 4.14.
Slika 4.14 Primena PKI infrastrukture
Ukratko emo razmotriti zahteve za bezbednost elektronske pote (eng. e-Mail).

Osnovni zahtevi kod elektronske pote su:
x
x
148
Poverljivost, koja mora da obezbedi tajnost sadraja poruke za treu stranu;

Autentifikaciju, utvrivanje identiteta poiljaoca poruke;

______________________________________________________________________________________
x
x
Integritet, zatita od izmene sadraja od tree strane;

Neporecivost, nemogunost poricanja slanja, poiljalac ne moe naknadno da
tvrdi da poruku nije poslao;
Sistem koji se koristi za ispunjenje svih navedenih zahteva je PGP (eng. Pretty Good
Privacy). Razvio ga je Fil Cimerman (Phil Zimmerman). PGP je najbolji, integrisani,
dostupni kriptografski algoritam u jedan algoritam. Moe da se koristi na razliitim
platformama (Unix, Windows, Macintosh). Originalno je bio besplatan, ali sada
postoje i komercijalne verzije.
PGP objedinjuje dva servisa:
x
x
Servis za poruke;
Servis za distribuciju kljua;
Servis poruke integrie servise za:

x
x
x
x
Autentifikaciju;
Poverljivost;
Kompresiju;
kompatabilnost sa programima za e-potu;
Servis za distribuciju kljua integrie servise za:

x
x
Generisanje, distribuciju i povlaenje javnih i tajnih kljueva;

Generisanje i prenos simetrinih (sesijskih) kljueva ili IV (inicijalnih vektora);
Autentifikacija poruke je zasnovana na digitalnom potpisu, tanije na sistemima sa

javnim kljuem. U procesu autentifikacije Alisa kreira he vrednost od poruke. Zatim
he vrednost ifruje sa RSA algoritmom u kom koristi svoj privatni klju po sistemu
digitalnog potpisivanja. Na drugoj strani, Bob za tako primljenu poruku koristi Alisin
javni klju da bi deifrovao poruku po sistemu za digitalno potpisivanje ili verifikaciju
poslate he vrednosti. Zapravo, poredi dve he vrednosti (he vrednost koju je dobio i
he vrednost koju je izraunao). Ako se slau he vrednosti, Bob zakljuuje da jedino
onaj koji ima privatni klju moe da generie poruku.
149

______________________________________________________________________________________
Poverljivost poruke je zasnovana na ifrovanju sa simetrinim kljuem u CFB

ifarskom modu sa upotrebom sluajnog simetrinog kljua i IV (Inicijalnog vektora).
Simetrini klju i IV, generiu se sa javnim kljuem primaoca. Podrani simetrini
algoritmi su: CAST, IDEA i 3DES. Podrani asimetrini su: RSA i EIGamal18.
Poverljivost ukljuuje vie operacija. Na predajnoj strani generie sluajan broj koji se
koristi kao simetrini klju samo za slanje prve poruke. Prva poruka se ifruje sa
nekim od navedenih simetrinih blokovskih ifri. Korieni simetrini klju se ifruje sa
RSA algoritmom i javnim kljuem primaoca. Dobijeni ifrat koji sadri simetrini klju,
spaja se sa ifrovanom porukom. Prijemna strana koristi RSA algoritam i privatni klju
da bi dola do odgovarajueg simetrinog kljua. Dobijeni simetrini klju se koristi za
deifrovanje poruke.
Na osnovu ovog objanjenja ili sleda operacija, moemo da zakljuimo da su servis
poverljivosti i autentifikacije primenjeni nad jednom porukom.
U poslednjem koraku se koristi kompresija. Poruka se kompresuje posle potpisivanja,
ali svakako pre ifrovanja. Osnovni razlog je potreba da se omogui uvanje
nekompresovane poruke sa potpisom radi kasnije verifikacije. Obino se kao
algoritam kompresije korist ZIP19.
18
19
Dostupno na Veb sajtu: http://en.wikipedia.org/wiki/ElGamal_encryption

Dostupno na Veb sajtu: http://en.wikipedia.org/wiki/Zip_(file_format)
150

______________________________________________________________________________________
5. HE FUNKCIJE
e (eng. hash) funkcija u najosnovnijem obliku predstavlja sumu poruke. Na

primer, to moe biti suma heksadecimalnih vrednosti. Ako je data poruka
0x270 x280 x29 suma je 84. Problem u ovom sluaju je to se lako moe nai druga
kombinacija sadraja koja daje isti he (na primer, poruka: 0x250 x280 x31). Drugim
reima, isti he se moe dobiti za vie razliitih poruka. Kriptografski cilj je da jedan
he odgovara samo jednoj poruci. He funkcije se standardno primenjuju kod provere
integriteta dobijene poruke.
5.1. SVOJSTVA SIGURNIH HE FUNKCIJA

Proizvoljnu poruku gde je n broj bitova tj. duina poruke, he funkcija
kompresuje u oblik , gde je odreen broj bitova. He funkcije su funkcije kod
kojih se vri kompresija sa gubicima. Osnovna ideja je data na sledeoj slici gde su sa
leve strane prikazani nizovi proizvoljne duine, a sa desne strane je skup nizova fiksne
duine, Slika 5.1.
Slika 5.1 He funkcija vre kompresiju sa gubicima
Dobra he funkcija rasporeuje vrednosti uniformno. Dobijena he vrednost ima

osobinu sluajnosti. Verovatnoa da neka sluajna poruka da odreenu sumu je
He funkcije se ne koriste za ifrovanje. One imaju pogodna svojstva koja se koriste za

ostvarivanje kriptografskih funkcionalnosti koje se odnose na integritet prenesenih
podataka, autentifikaciju uesnika u komunikaciji, neporicivost transakcija i sl. Sutina
151

______________________________________________________________________________________
je u njihovoj jednosmernosti koja je posledica kompresije sa gubicima. Kod ifrovanja,

najee veliina ifrata odgovara veliini otvorene poruke. Kod he vrednosti, njena
duina je konstantna za izabranu he funkciju i ne zavisi od duine otvorenog teksta.
Kod ifrata mogue je deifrovanje ukoliko se poznaje klju za deifrovanje. Kod he
vrednosti ne postoji inverzna funkcija poto je he jednosmerna funkcija.
Slika 5.2 Razlika izmeu ifrovanja i he funkcija
Kriptografska he funkcija mora da poseduje sledea svojstva:
152

______________________________________________________________________________________
Kompresija Za proizvoljan broj bitova ulazne poruke , duina dobijene he

vrednosti je konana i najee manja od same ulazne poruke (na
primer 128, 160 bitova i sl.).
Efikasnost - he vrednost treba da se jednostavno izrauna za bilo koji
ulaz . Kompleksnost izraunavanja, naravno, zavisi od duine ulazne poruke,
ali ne znaajno.
Jednosmernost - he funkcije su jednosmerne funkcije. To znai da je
jednostavno izraunati he vrednost za datu poruku, ali je veoma teko
rekonstruisati poruku iz date he vrednosti, tj. praktino je nemogue.
Otpornost na kolizije - kod dobre he funkcije teko je nai sudar (koliziju).
Ako je data poruka ija je he vrednost teko je nai drugu poruku
tako da njihove sume budu jednake, tj. da je .
Lavinski efekat - promena samo jednog bita na ulazu treba da rezultuje u
promenu bar polovine bita dobijene he vrednosti.
Poto je ulaz proizvoljne duine koja znatno nadmauje izlaz (he vrednost), sigurno
je da postoji veliki broj kolizija. Na primer, pretpostavimo da he funkcija generie
128 bitni izlaz. Ako se za ulaz uzme poruka duine 160 bita, to je 32 bita due od
izlaza. Sledi da postoji jo moguih ponavljanja. Otpornost na
kolizije podrazumeva da je raunarski veoma kompleksno nai jednu od njih.
Jedna od najvanijih primena he funkcija postoji kod digitalnog potpisivanja. Kao to
je razmatrano u prethodnim poglavljima, Alisa potpisuje otvorenu poruku
ifrovanjem na bazi privatnog kljua , tj. . Dalje, Alisa alje otvorenu
poruku i potpis , a Bob verifikuje digitalni potpis ifrovanjem dobijenog potpisa
Alisinim javnim kljuem, tj. . Ukoliko je poruka velike duine javljaju se
dva problema. Prvi problem se odnosi na kompleksnost digitalnog potpisivanja i
verifikacije potpisa, tj. dua poruka se due obrauje, a poznato je da su algoritmi za
potpisivanje spori. Drugi problem se odnosi na dodatno optereivanje
komunikacionog kanala, tj. za odreeni propusni opseg potrebno je preneti dva puta
vie bita (i poruka i potpis).
Navedene slabosti se otklanjaju ako se primenjuje MAC (eng. message authentication
code). Pretpostavimo da Alisa poseduje he funkciju . Tada se moe
posmatrati kao otisak prsta (eng. fingerprint) poruke , je znaajno manje
153

______________________________________________________________________________________
od , ali identifikuje . U ovom sluaju Alisa prvo nalazi he vrednost poruke , a

zatim se rauna . Algoritam za izraunavanje he vrednosti je efikasan
u poreenju sa bilo kojim algoritmom za ifrovanje. Sa druge strane, digitalno se
potpisuje mali broj bitova (he je kratke duine) to dalje doprinosi efikasnosti
izraunavanja. Na prijemu Bob vri verifikaciju digitalnog potpisa, tj. potvruje se
. Treba zapaziti da je Alisa Bobu slala samo poruku i digitalni potpis
kratke duine, Slika 5.3.
Slika 5.3 Korektno digitalno potpisivanje
5.2. ROENDANSKI PROBLEM

Roendanski problem20 (eng. the birthday problem) je znaaja za razliit oblasti
kriptografije. Jednim delom se odnosi i na he funkcije.
Navedeni problem se odnosi na sledeu situaciju. Pretpostavimo da se u jednoj sobi
nalazi N osoba. Postavlja se pitanje koliko treba da je N pa da se u sobi nau osobe
koje imaju roendan istog dana. Sa stanovita verovatnoe znaajno je i sledee
pitanje. Koliko treba da bude N pa da se sa verovatnoom (50%) u sobi nae
osoba koja ima roendan istog dana. Ekvivalentno ovom pitanju je da se u zavisnosti
od broja N nae verovatnoa da u sobi ne postoje dve osobe koje su roene istog
20
U teoriji verovatnoe roendanski problem ili paradoks odnosi se na verovatnou da u skupu od N

sluajnih izabranih osoba neko ima roendan istog dana.
154

______________________________________________________________________________________
dana. Prethodna dva pitanja su komplementarna zbog toga to, ako se zna odgovor
na jedno pitanje zna se i na drugo (dobijena verovatnoa na jedno pitanje se oduzme
od 1). Sa verovatnoom od 100% dve osobe e imati roendan istog dana, ako je
N=367 (postoji 366 moguih roendana ukljuujui 29. februar). Meutim, ako se
zahteva 99% verovatnoe dovoljno je 57 osoba. Za verovatnou od 50% broj osoba je
23, Slika 5.4.
Slika 5.4 Roendanski problem
Gruba aproksimacija reenja roendanskog problema pokazuje da se do reenja

dolazi ako se nae . Dobijeni rezultat se moe
iskoristiti za analizu he funkcija. Pretpostavimo da he funkcija proizvodi
vrednost duine . To znai da postoji razliitih jednako verovatnih he vrednosti.
Na osnovu reenja roendanskog problema moe se tvrditi je za dobijanje kolizije
potrebno ispitati razliitih ulaza. Dobijeni rezultat ukazuje na sledee.
Ukoliko se primeni napad grubom silom (eng. brute force attak) potrebno je da se
ispita razliitih ulaza i pronai e se dva koja daju isti izlaz. Ovakav napad je
porediv sa napadom na simetrine kriptografske sisteme. Ukoliko je kod simetrinih
sistema koristi tajni klju duine N za napad grubom silom potrebno je ispitati
moguih kljueva. Pod pretpostavkom da ne postoje preice (tajna
155

______________________________________________________________________________________
vrata, slabosti i sl.) u kompletnim sistemima zatite gde se najee koriste vie
tehnika, potrebno je obezbediti sledee:
Za isti nivo bezbednosti, duina he vrednosti mora da bude barem dva puta vea
od duine tajnog kljua kod simetrinog ifarskog sistema.
Rezultat iz roendanskog problema moe da se koristi i za napad na ifarski sistem. U
engleskoj literaturi napad je poznat pod nazivom Birthday Attack. Podsetimo se, kada
Alisa eli da digitalno potpie poruku , ona vri ifrovanje i izraunava
i alje i Bobu. Pretpostavimo da he funkcija daje vrednost duine
bitova. Napada Trudi sprovodi sledee akcije zbog mogueg napada koji se odnosi
na roendanski problem:
x
x
Trudi generie poruku koja sadri nezgodne podatke za Alisu. Naravno,

sama Alisa nikada nee potpisati takvu poruku;
Trudi takoe generie jednu naivnu poruku , koja sadri rutinske podatke i
koju Alisa u nekom protoklu regularno potpisuje i sigurno joj ne moe naneti
tetu;
U nastavku, Trudi generie varijacija naivne poruke . Varijacije nastaju
nebitnim (minimalnim) izmenama polazne poruke . Oznaimo ih sa gde je
. Sve dobijene poruke imaju isti naivni smisao kao i
polazna, ali im se he vrednosti razlikuju;
156
Slino prethodnom, Trudi generie varijacija nezgodne poruke .

Varijacije nastaju nebitnim (minimalnim) izmenama polazne poruke .
Oznaimo ih sa gde je . Sve dobijene poruke imaju
isti nezgodan smisao kao i polazna, ali im se he vrednosti razlikuju;
Trudi sprovodi he funkciju nad svim porukama i . Poto joj je poznat
roendanski problem ona oekuje da pronae koliziju, tj. .
Ukoliko pronae koliziju, Trudi alje naivnu poruku ka Alisi i trai da je ona
potpie. Poto se radi o standardnoj i naivnoj poruci, Alisa je potpisuje i vraa
ka Trudi i . Poto je sledi da je
. Trudi je uspela je da dobije Alisin digitalni potpis na svoju
nezgodnu poruku X. Poruka bi mogla ak da bude npr. prebaciti sve pare sa
Alisinog bankovnog rauna na Trudin raun.

______________________________________________________________________________________
Ovde treba zapaziti da je napada Trudi uspela da dobije Alisin digitalni potpis na
svoju poruku, bez napada na ifarski sistem koji se koristi za digitalno potpisivanje niti
na odgovarajui privatni klju. Razmatrani napad je napad tipa grube sile na
korienu he vrednost koja se digitalno potpisuje. Za prevenciju od ovog napada, u
ifarskim sistemima treba koristiti he funkcije koje daju due he vrednosti kako bi
se onemoguilo da potencijalni napada izraunava razliitih he vrednosti u
razumnom vremenu. Razmatrani problem dodatno ukazuje na kriptoloke sisteme sa
praktinom tj. raunarski sigurnom tajnou.
5.3. KLASINE SUME NEKRIPTOGRAFSKE HE FUNKCIJE

Postoji veliki broj he funkcija koje su u primeni, ali nisu pogodne za kriptografsku
primenu. Neka je skup polaznih podataka duine
,
gde je bajt. Jedna mogua he funkcija definie se sa
.
Ovakva funkcija ima osobinu kompresije zato to za ulaz bilo koje duine daje 8-bitni
izlaz. Za ovakvu he funkciju lako je pronai koliziju. Na osnovu roendanskog
problema jasno je da je posle samo pokuaja mogue nai ulaz koji daje istu
he vrednost. Pored toga, jo jednostavnije je direktno konstruisati kolizije. Na primer, zamenom dva bajta u ulaznim podacima uvek se dobija kolizija.
.
Treba zapaziti da u razmatranoj funkciji ne samo da je izlaz kratke duine, ve je
algebarska struktura koja je u osnovi ove funkcije isuvie jednostavna.
Neka je definisana druga he funkcija na sledei nain
.
157

______________________________________________________________________________________
Postavlja se pitanje da li je ovo dobra he funkcija. Ona je bolja od prethodne, ali jo

uvek ne zadovoljava sve zahteve. Bolja je od prethodne zbog toga to kada se izmeni
redosled bajtova na ulazu dobija se razliit rezultat, tj.
.
Meutim, i dalje se na osnovu roendanskog problema brzo mogu nai kolizije.
Pored toga, i dalje je lako konstruisati kolizije. Na primer:
.
Jedna od najpoznatijih funkcija koja je u upotrebi je ciklina redundantna provera
CRC (eng. cyclic radundancy check). Najee se koristi kao kod za detekciju greke
kod prenosa podataka u raunarskim mreama ili na ureajima za memorisanje i
uvanje podataka. I kod ove funkcije lako je pronai kolizije ili konstruisati kolizije za
svaki CRC. Meutim, postoje primeri gde je CRC korien kao kriptografska he
funkcija, to je apsolutno pogreno. Na primer, kod WEP21 protokola u beinim
raunarskim mreama CRC se koristi kao kriptografska funkcija za ouvanje
integriteta podataka koji se prenose. Inteligentni napada e bez problema promeniti
same podatke, a da se CRC ne promeni. Navedeni problem je tako postao osnova za
razliite vrste napada na WEP protokol.
5.4. MD5
MD5 (eng. Message-Digest algorithm 5) he funkcija predstavlja primer prave
kriptografske he funkcije koja se najee koristila. Danas se zna da ova he funkcija
ima slabosti i da je neotporna na kriptografske napade, tako da se ree primenjuje u
kriptografiji. Jo uvek ima svoju namenu u proveri integriteta veih fajlova (pre svega
zbog svoje brzine rada). Duina dobijene he vrednosti (saetka, sume) je 128 bitova.
Tipino se predstavlja sa 32 heksadecimalne cifre.
21
Wired Equivalent Privacy (WEP) je ifarski protokol u IEEE 802.11 beinim raunarskim mreama.
Definisan je sa ciljem da se obezbedi servis poverljivosti kod beinih mrea koji je uporediv sa
tradicionalnim ianim raunarskim mreama.
158

______________________________________________________________________________________
MD5 algoritam je razvio Ronald Rivest 1991. godine. Baziran je na prethodnom MD4
algoritmu i neto je sporiji od njega. Danas se zna da je podloan na brute force
birthday attack. Jedan takav projekat pod imenom MD5CRK je pokrenut 1. marta
2004. godine sa namerom da dokae slabost MD5 algoritma. Nedugo zatim, 17.
avgusta 2004. godine, objavljeno je da su Ksiaoun Vang, Denguo Feng, Ksuejia Lai i
Ksongbo Ju uspeno razbili algoritam odnosno da su pronali koliziju na algoritmu. Za
razbijanje ovog algoritma bio im je potreban samo jedan sat na IBM p690 klasteru.
2005. godine Arjen Lenstra, Ksiaoun Vang, i Bene de Veger su demonstrirali su
kreiranje dva X.509 sertifikata sa razliitim javnim kljuevima i istom MD5 he
vrednosti. Nekoliko dana potom Vlastimil Klima je kreirao unapreeni algoritam koji
je u stanju da na obinom PC raunaru za nekoliko sati kreira koliziju MD5 algoritma.
Danas je to mogue uraditi za jedan minut.
MD5 algoritam (Slika 5.5) kao ulaz koristi -bitnu poruku (niz bitova)
. Poruka se mora dopuniti bitovima kako bi njena ukupna
duina odgovarala broju 448. Poruka se proiruje tako da joj nedostaju 64 bita, da
njena ukupna duina u bitovima bude deljiva sa 512. Najei nain proirivanja
poruke je da se poruci prvo doda jedan bit sa vrednosti 1, a zatim slede bitovi sa
vrednou 0. Tako e se poruci dodati ili samo jedan bit ili u najgorem sluaju 512
bitova. Nakon proirenja poruke, poruci je potrebno dodati 64-bitnu reprezentaciju
broja ( je duina izvorne poruke pre njenog proirenja). U sluaju da se duina
poruke ne moe prikazati pomou 64 bita, poruci se dodaju samo niih 64 bita. Bitovi
reprezentacije broja se dodaju poruci kao dve 32-bitne rei, pri emu je re manje
teine prva pridodata.
159

______________________________________________________________________________________
Slika 5.5 Jedna MD5 operacija
Nakon to je poruka pripremljena za MD5 algoritam, potrebno je inicijalizovati 128bitni MD bafer. MD bafer se sastoji od etiri 32-bitnih rei A, B, C i D. Kao inicijalne
vrednosti rei u heksadecimalnom sistemu se koriste: A=67452301, B=EFCDAB89,
C=98BADCFE i D=10325467. Posle inicijalizovanja pokree se MD5 algoritam koji se
ponovo izvodi za svakih sledeih 512 bitova poruke. Samo jezgro algoritma
predstavlja funkcija za kompresiju koja se sastoji od etiri ciklusa. Svaki od etiri
ciklusa ima slinu strukturu, ali svaki koristi drugaiju primitivnu logiku funkciju F, G,
H ili I. Konaan rezultat predstavljaju vrednosti u registrima A, B, C i D koje se sabiraju
sa njihovim inicijalnim vrednostima. Svaki od tih etiri registara predstavlja jednu
etvrtinu dobijene he vrednosti ulazne poruke.
160

______________________________________________________________________________________
38. PRIMER:
Slika 5.6, Upotreba MD5 funkcije u Cryptool-u.
Slika 5.6 Primer MD5 he funkcije
Primetiemo, Slika 5.6, da poruka 2 sadri na kraju rei dva slova M i to je jedina
razlika u odnosu na poruku 1, dok su he vrednosti potpuno razliite.
5.5. SHA
SHA (eng. Secure Hash Algorithm) je klasa kriptografskih funkcija za saimanje. U ovoj
grupi kriptografskih funkcija najee koriena funkcija je SHA-1 koja je nala
primenu u velikom broju kriptografskih protokola kao to su TLS, SSL, PGP, SSH,
S/MIME i IPSec. SHA-1 se moe smatrati naslednikom MD5 algoritma. SHA algoritmi
su kreirani od strane amerike agencije za bezbednost (NSA) i publikovani kao
zvanini standard vlade SAD. He vrednost je duine 160 bitova.
161

______________________________________________________________________________________
Prvi lan grupe SHA algoritama, publikovan je 1993. godine, i zvanino nazvan SHA,
ali se on esto u literaturi naziva SHA-0, da bi se spreila zabuna sa njegovim kasnijim
naslednicima. Dve godine kasnije nastaje SHA-1, prvi naslednik SHA. Jo etiri
varijante ovog algoritma su publikovane i to SHA-224, SHA-256, SHA-384 i SHA-512 i
oni se jednim imenom nazivaju SHA-2, a razlikuje ih samo duina saetka koji
proizilazi iz njih. Algoritmi SHA-256, SHA-384 i SHA-512 objavljeni su 2002. godine
dok je varijanta SHA-224 objavljena 2004. godine. Ove due varijante su znatno
sigurnije u odnosu na SHA-0 i SHA-1, prvenstveno zbog duine saetka i odreenih
promena u algoritmu. Nove verzije SHA algoritma koriste druge vrednosti pomeranja
kao i dodatne konstante, ali u sutini nema znaajnih promena u odnosu na
prethodnike. I pored vee sigurnosti oni se i danas manje koriste u odnosu na SHA-1
koji predstavlja industrijski standard u kriptografiji.
SHA-0 i SHA-1 algoritmi se danas ne mogu smatrati bezbednim zato to postoje
kriptografski napadi koji su sposobni da pronau koliziju za relativno kratko vreme.
Tabela 12 Poreenje he algoritama
Algoritam
SHA-0
SHA-a
SHA-224
SHA-256
SHA-384
SHA-512
162
Veliina saetka u
bitovima
160
160
224
256
384
512
Inicijalna veliina u
bitovima
Veliina bloka u
bajtovima
160
256
256
512
512
64
64
64
128
128

______________________________________________________________________________________
39. PRIMER:
Slika 5.7, potreba razliitih verzija SHA funkcije u Cryptool-u.
Slika 5.7 Primeri SHA he funkcije
163

______________________________________________________________________________________
5.6. HE FUNKCIJA I INTEGRITET

Za obezbeivanje funkcije integriteta poruke koja se prenosi primenjuje se kod za
autentifikaciju poruke MAC (eng. message authentication code). U poglavlju o
blokovskim iframa razmatrana je jedna tehnika za generisanje MAC-a gde se blok
ifra koristi u CBC reimu rada. Kako he funkcija predstavlja saetak poruke (eng.
message digest) mogue je da se ova vrednost iskoristi za verifikaciju integriteta
poruke. Ovakav pristup se oznaava sa HMAC (eng. hashed MAC).
Za obezbeivanje funkcionalnosti integriteta poruke , Alisa izraunava he vrednost
i alje ka Bobu i i . Ukoliko se na prenosnom putu desi promena poruke
iz u Bob e jednostavno konstatovati da se to ne slae sa dobijenom he
vrednosti . Meutim, razmatrani koncept nije dovoljan. Napada Trudi moe da
zameni originalnu poruku sa svojom porukom , a da zatim izrauna i da zameni
sa . Na ovaj nain Bob ne bi mogao da detektuje promenu podataka. Da
bi se ovo izbeglo neophodno je da se he vrednost ifruje. Mogue je da se koristi
simetrian ifarski sistem sa tajnim deljenim kljuem izmeu Alise i Boba,
. Drugi nain je da se koristi asimetrian ifarski sistem, tj. u ovom sluaju
.
Umesto ifrovanja koje je standardno kompleksan proces za realizaciju, mogue je
koristiti HMAC bez ifrovanja. Kod ovog pristupa tajni deljeni klju se direktno
dodaje poruci pre izraunavanja he vrednosti. Mogua su dva pristupa. Klju se
moe dodati na poetak ili na kraj poruke. Nakon toga se sprovodi ili
, respektivno. Princip korienja deljene tajne vrednosti, izraunavanja i
korienja HMAC, prikazano Slika 5.8.
Slika 5.8 HMAC bez ifrovanja

164

______________________________________________________________________________________
Oba predloena postupka za HMAC imaju svoje slabosti i omoguavaju napad na

dobijeni HMAC, tj. napada moe promeniti poruku u bez poznavanja tajnog
deljenog kljua . Problem je u tome to veina kriptografskih he funkcija rade
blokovski. Na primer, MD5 ili SHA1 se izraunavaju nad blokovima duine 512 bitova.
Dalje, izraunavanje se vri u vie rundi gde je izlaz jedne runde ulaz u drugu rundu, a
za transformaciju nad blokovima se koriste poznate funkcije. Pretpostavimo da se
izraunava HMAC po principu . Poto he algoritam radi nad blokovima tada
se poruka moe predstaviti kao . Neka je poetna inicijalna vrednost
za prvu rundu , a koristi se poznata funkcija . Tada se moe pisati:
.
40. PRIMER:
Slika 5.9, raunanje HMAC vrednosti za izabranu poruku u Cryptool-u.
Slika 5.9 Raunanje HMAC vrednosti
Trudi moe na osnovnu poruku da dopie deo i da generie svoju poruku na

nain da je . Nadalje Trudi moe bez poznavanja kljua da pronae
na osnovu na osnovu sledeeg:
.
165

______________________________________________________________________________________
41. PRIMER:
Slika 5.10, realizacija HMAC algoritma u Cryptool-u za RFC 2104.
Slika 5.10 Realizacija HMAC algoritma u Cryptool-u
166

______________________________________________________________________________________
Slina situacija nastaje i kada se radi sa . Navedeni problemi su posledica

jednostavnog dodavanja kljua na poetak ili na kraj poruke. Reenje koje se koristi
u praksi na sofisticiraniji nain promea tajni deljeni klju sa porukom , a zatim se
izraunava he vrednost.
HMAC algoritam u RFC dokumentu 210422, definisan je izrazom:
HMAC(K , m) H ((K opad ) || H ((K ipad )) || M )

H - kriptografska he funkcija,
K - tajni klju,
M- poruka koja e biti autentifikovana,
|| - simbol za konkatenaciju (nadovezivanje, spajanje),

- XOR ili ekskluzivno ili,
opad - spoljna dopuna (jedan heksadecimalni blok konstantne duine),

ipad - unutranja dopuna (heksadecimalni blok konstantne duine)
Snaga HMAC vrednosti zavisi od veliine tajnog kljua koji je korien za raunanje
vrednost. Najpoznatiji napad je napad sa potpunom pretragom tajnog kljua ili
isprobavanjem svih mogunosti. HMAC je znatno manje izloen napadu sudaranja
za razliku od osnovnih he funkcija. HMAC-MD5 ne pati od istih nedostataka koji su
pronaeni u MD5.
Vrednosti ipad i opad nisu kritine za bezbednost algoritma, ali poeljno je da budu
generisane na takav nain da njihova Hemingova23 distanca bude velika. Ovim se
postie manja zajednika informacija izmeu unutranjih i spoljanjih delova.
22
RFC-2104. Dostupno na Veb sajtu: http://tools.ietf.org/html/rfc2104

Hamingovom distancom odreuje se stepen razliitosti dve binarne sekvence. Oekivana Hamingova
distanca za dva sluajna niza iznosi 0,5.
23
167

______________________________________________________________________________________
6. AUTENTIFIKACIJA
ermin kontrola pristupa (eng. access control) se koristi za sve bezbednosne

probleme koji se odnose na pristup resursima sistema. U ovoj iroj definiciji
postoje dva podruja koja su od primarnog znaaja, autentifikacija i autorizacija
(odobravanje). Autentifikacija (eng. authentication) je proces utvrivanja da li
korisniku (osoba, raunar, maina, jednom reju entitet) treba dozvoliti pristup
sistemu. Na ovo mestu razmotriemo metode koje se koriste da bi se izvrila
autentifikacija osobe na lokalni raunar. Posebna vrsta problema postoji kada
informacija o autentifikaciji mora da proe kroz mreu. Iako deluje kao da su ove dve
vrste problema blisko povezane one su, zapravo, potpuno razliite. Kada su
raunarske mree u pitanju, autentifikacija je skoro u potpunosti problem vezan za
bezbednosne protokole.

Slika 6.1 Autentifikacija je postupak za pouzdano predstavljanje
Po definiciji, autentifikovanim korisnicima je dozvoljen pristup resursima sistema. U

principu, pun pristup svim resursima sistema se ne daje svim korisnicima. Na primer,
samo privilegovan korisnik, poput administratora, mogao bi dobiti dozvolu da
instalira softver. Autorizacija je skup postupaka i tehnika za ograniavanje rada
autentifikovanih korisnika. Treba zapaziti da je autentifikacija binarna odluka
pristup je ili odobren ili nije, dok se autorizacija odnosi na vie pravila o pristupanju
razliitim sistemskim resursima. U polju bezbednosti, terminologija je daleko od toga
da bude standardizovana. U svakodnevnoj upotrebi, kontrola pristupa ima iru
168

______________________________________________________________________________________
definiciju u koju spadaju i oblasti autentifikacije i autorizacije. Ove dve oblasti

kontrole pristupe se mogu saeto predstaviti na sledei nain:
x
x
Autentifikacija: Da li ste onaj za koga se predstavljate?

Autorizacija: Da li imate dozvolu da uradite odreenu akciju?
U nastavku e se razmotriti razliite metode koje se uglavnom koriste da bi se

autentifikovala osoba od strane lokalnog raunara. U sutini, treba ubediti raunar
da je korisnik zaista onaj za koga se predstavlja. Naravno, poeljno je da se ovo obavi
na najsigurniji mogui nain. Raunar moe autentifikovati osobu na osnovu
sledeeg:
x
x
x
neto to znate;
neto to imate;
neto to jeste.
Lozinka je primer neega to znate. One su esto najslabija karika u mnogim

savremenim bezbednosnim sistemima. Primer neega to imate jeste npr. platna
kartica, mobilni telefon i sl. Kategorija neto to jeste se odnosi na biometriju. Danas
se, na primer, najavljivanje za rad na laptop raunaru (logovanje) moe uraditi preko
skenera prsta. Pouzdaniji mehanizmi mogu da kombinuju vie navedenih tehnika.
6.1. LOZINKE
Idealna lozinka je neto to znate, neto to raunar moe da proveri da znate i neto
to niko drugi ne moe da pogodi ak ni sa pristupom neogranienim raunarskim
resursima. U praksi je veoma teko stvoriti takvu idealnu lozinku.
Danas je skoro nemogue koristiti raunar bez korienja velikog broja lozinki. Mnogi
korisnici se loguju na svoj raunar tako to ukucaju korisniko ime i lozinku. Pored
toga, koriste se i drugi podaci koji se ne smatraju lozinkama, ali funkcioniu na isti
nain. Na primer, PIN broj koji se koristi kod platnih kartica je, zapravo, lozinka.
Ukoliko neko zaboravi lozinku, postoje opcije autentifikovanja preko broja line karte,
matinog broja, datuma roenja, ili nekog drugog linog podatka. U tom sluaju, te
informacije slue kao lozinka. Problem sa ovim vrstama lozinke je to najee nisu
169

______________________________________________________________________________________
tajne. Korisnici esto biraju loe lozinke to potencijalnim napadaima

pojednostavljuje otkivanje (razbijanje) lozinke (eng. password cracking). Postoje
matematiki dokazi koliko je teko bezbednost nekog sistema zasnivati na lozinkama.
Sa bezbednosnog stanovita, reenje za probleme sa lozinkama bi bilo da se umesto
njih koriste sluajno generisani kriptografski kljuevi. Tada bi pokuaj razbijanja
lozinke bio ekvivalentan sa problemom pretrage po svim moguim realizacijama
datog kriptografskog kljua. Problem sa takvim pristupom je to ljudi moraju da
pamte svoje lozinke, a nije lako pamtiti sluajne binarne cifre. Treba spomenuti i
popularnost lozinke. Mnogo je ekonominije i jednostavnije bazirati autentifikaciju na
neemu to nam je poznato, pre svega na neemu to znamo. Poseban problem
predstavlja potreba za korienjem razliitih lozinki za razliite sisteme koje
koristimo. Takoe, lozinke su besplatne, za razliku od kartica i biometrijskih ureaja.
6.1.1. KLJUEVI ILI LOZINKE

Pretpostavimo da je umesto lozinke u upotrebi kriptografski klju duine 64 bita. Broj
moguih kljueva u ovom sluaju je . Pretpostavimo da su kljuevi potpuno
sluajni i da ne postoji napad skraenim postupkom (ne postoji slabost u realizaciji
preica). Za razbijanje ovakve lozinke bilo bi potrebno u proseku da se ispita
kljueva kako bi napad bio uspean.
Sa druge strane, kada bi neko pokuao da razbije lozinku od 8 ASCII karaktera, gde je
svaki karakter kodiran sa 8 bitova ( moguih vrednosti za jedan karakter),
imao bi moguih lozinki. Na prvi pogled, razbijanje lozinki deluje
podjednako kompleksno kao razbijanje kljueva. Meutim, korisnici uglavnom ne
biraju lozinke potpuno sluajno zato to moraju da ih zapamte. Na taj nain, bilo ko
ko pokua da razbije lozinku reavao bi laki problem. Broj kombinacija koje treba
ispitati kod lozinke je sigurno manji od .
Za razbijanje lozinki u upotrebi su renici dobro poznatih lozinki. Na primer, ako je
lozinka duine 8 karaktera za njeno razbijanje se moe koristiti renik unapred
spremljenih lozinki veliine rei. Sa ovakvim renikom postojala bi
velika verovatnoa da se otkrije lozinka. Nasuprot ovome, ako bi napada pokuavao
da razbije klju duine 64 bita sa renikom od unapred spremljenih kljueva,
170

______________________________________________________________________________________
ansa da to uradi bi iznosila to priblino iznosi 1 od 17 triliona.

Sutina problema sa lozinkama je u tome to nisu sluajne. Poseban problem su
korisnici koji veoma esto biraju jednostavne lozinke koje se lako pamte npr: password, lozinka, admin, 123456, bojan i sl.
6.1.2. IZBOR LOZINKE

Ne stvaraju se sve lozinke na isti nain. Na primer, lozinke sa linim imenima i
datumima roenja su slabe lozinke koje se lako mogu razbiti. S obzirom na to da
bezbednost informacija i sistema esto zavisi od jaine lozinke, potrebno je da
korisnik odabere lozinku koju nije lako razbiti, ali koja moe lako da se pamti. Mogue
je argumentovati jainu sledeih lozinki:
x
Kd8$6g)0l!25mV6%
52987160028731
POkemON
P10Di7god
Prva lozinka, Kd8$6g)0l!25mV6% je preteka za napadaa, ali je takoe preteka i

za Alisu poto mora da je pamti. Druga lozinka na listi ima previe cifara da bi bilo ko
od korisnika mogao da je zapamti. Lozinku POkemON je moda teko pogoditi s
obzirom na to da nije standardna re iz renika, a koristi se kombinacija velikih i malih
slova. Problem nastaje ako neko poznaje korisnika i njegova interesovanja te bi ova
lozinka, u tom sluaju, bila relativno laka za razbijanje. Poslednja lozinka na spisku
P10Di7god, moda na prvi pogled deluje kao da spada u kategoriju lozinki koje je
teko i pogoditi i zapamtiti. S obzirom na to da je ova lozinka zapravo skraena fraza
(pre 10 dana i 7 godina), korisniku bi bilo lako da je zapamti, a bilo bi teko nekome
ko nije korisnik da je pogodi.
Prema mnogim istraivanjima najbolja opcija su lozinke koje se zasnivaju na
skraenim frazama zato to ih je lako zapamtiti, a teko ih je razbijati. Pored toga,
dobro je poznato da je teko postii poslunost korisnika. U nekim situacijama je
lake korisniku obezbediti lozinku, mada korisnik tee pamti lozinku koja mu je data
171

______________________________________________________________________________________
od one koju sam smisli. Da bi se testirala jaina lozinke, najbolje je da administratori

koriste program za razbijanje lozinki kao test jaine. esto se predlae da se lozinka
menja na odreeno vreme, a u nekim sluajevima je to i obaveza korisnika. Korisnik
bi ovo mogao da izbegne ukucavanjem iste lozinke ili korienjem par istih lozinki vie
puta. Problemi sa korisnicima i lozinkama je to ih nije lako naterati da izaberu
relativno jau i komplikovaniju lozinku (eng. strong password).
6.1.3. NAPADI PREKO LOZINKE

Posmatrajmo napadaa Trudi koja nema pristup (nalog za rad) odreenom
raunarskom sistemu. Tipina putanja za napad bi bila:
napada okorisnik o administrator
Standardno napada pokuava da dobije pristup nalogu bilo kog korisnika, a zatim
pokuava da povea nivo svojih privilegija na sistemu. U ovom sluaju, jedna slaba
lozinka u sistemu (ili jedna slaba lozinka na celoj mrei) bi bila sasvim dovoljna da se
uspeno ostvari prvi korak napadaa.
Jo jedan problem se javlja kada su u pitanju pokuaji razbijanja lozinke. Na primer,
esto je pravilo da sistem zakljua nalog korisnika posle tri neuspena pokuaja.
Postavlja se pitanje koliko dugo sistem tada treba da nalog dri zakljuanim. Vreme
zakljuavanja moe da bude vremenski ogranieno ili administrator moe runo da
ponovo pokrene ovaj servis. Ukoliko je vreme zakljuavanja predugako, napada
moe isti napad da sprovede sa nalozima svih ostalih korisnika. Nakon ponovnog
pokretanja ovog servisa napada takoe moe da ponovi slian napad sa drugim
lozinkama. Navedena razmatranja ukazuju na to da postoji mogunost da napada
sprovede napad tipa odbijanja servisa - DOS (eng. denial of service). Reenje za ovaj
problem je u kompromisu koji administrator sprovodi podeavajui vreme
zakljuavanja naloga od minimalnog do maksimalnog. Kratko vreme zakljuavanja
omoguava cikline napade, a dugo vreme zakljuavanja otvara mogunost DOS
napada.
172

______________________________________________________________________________________
6.1.4. VERIFIKACIJA LOZINKE

Verifikacija lozinke se odnosi na proveru tanosti unete lozinke. Da bi raunar utvrdio
validnost lozinke, mora postojati neto sa im je moe uporediti. Odnosno, raunar
mora imati pristup tanoj lozinci u nekom obliku. Najloije reenje je smetanje
sirove lozinke u neku datoteku na disku raunara poto bi ona tada postala laka meta
za napadaa. Kao i u mnogim drugim problemima koji se javljaju na polju zatite
podataka, reenje se sastoji u primeni kriptografije. ifrovanje lozinke npr.
simetrinim ifarskim sistemom nije od velike pomoi u ovom sluaju, zato to bi
deifrovanje lozinke zahtevalo prvo pristup simetrinom kljuu za deifrovanje. Na
ovaj nain se dolazi do identinog problema. Najsigurniji nain je da se umesto samih
lozinki na hard disku raunara uvaju njene he vrednosti. Prednost ovog postupka je
to napada direktnim putem moe doi samo do he vrednosti, ali ne i do same
lozinke. Kao to smo razmatrali u poglavlju o he vrednostima, sve ovo je posledica
toga to je he funkcija jednosmerna. Na primer, ako bi neka lozinka bila
, na hard disku bi se nalazila njena he vrednost

gde je kriptografska he funkcija. Kada korisnik eli da se uloguje na sistem, unosi
lozinku , ona se preraunava u he vrednost i uporeuje sa koje je smeteno na
hard disku raunara. Ukoliko je pretpostavlja se da je lozinka tana i
korisniku bi bio odobren pristup.
Naravno, ukoliko bi napada znao vrednost , mogao bi da pogaa sve mogue
lozinke dok ne pronae za koje je (eng. forward search attack) i tada
bi lozinka bila razbijena. Pretpostavimo da napada ima renik koji sadri
najverovatnijih lozinki, na primer
.
U tom sluaju bi mogao da unapred izrauna he za svaku lozinku u reniku, tj.
.
Ukoliko napada uspe da na raunaru dobije pristup datoteci koja sadri he
vrednosti lozinki, on samo treba da izvri poreenje sa svojim unapred izraunatim
173

______________________________________________________________________________________
he vrednostima. Takoe, napada moe da objavi svoj renik uobiajenih lozinki i

odgovarajue he vrednosti na Internetu, to znatno olakava posao svakom
narednom napadau. Dakle, i u ovom sluaju je mogu napad sa renikom (eng. dictionary attack).
Razmatrani napad preko unapred izraunatih he vrednosti za uobiajene lozinke se
moe oteati. U tu svrhu se, pre izraunavanja he vrednosti, lozinki dodaju sluajni
brojevi kriptografska so (eng. salt). Dodatak ne mora da bude tajna. Praktino ovaj
dodatak se moe posmatrati kao inicijalizacioni vektor (IV) kod blokovskih ifarskih
sistema u CBC reimu rada. IV vektorom se postie da se isti blokovi otvorenog teksta
ifruju na razliit nain. Analogno tome, primenom salt vrednosti identine lozinke se
transformiu u razliite he vrednosti.
Neka je nova, tek uneta lozinka. Generie se sluajna vrednost i zatim se
izraunava . U fajlu sa lozinkama se uva par . Vrednost dodatka
nije nita tajnija od same he vrednosti. Nakon toga, da bi se verifikovala uneta
lozinka , izdvaja se par iz datoteke sa lozinkama, izrauna se i zatim se
rezultati porede sa sauvanom vrednou . Verifikacija lozinke sa dodatom salt
vrednou je podjednako laka kao u sluaju gde nema upotrebe salt-a. Meutim,
posao napadaa je u ovom sluaju znatno otean. Pretpostavimo da je, na primer,
lozinka jednog korisnika kombinovana sa vrednou , a lozinka drugog sa
vrednou . Da bi pogodio lozinku prvog korisnika uz pomo renika, napada bi
morao da izrauna he svake rei u reniku sa vrednou . Meutim, da bi napao
lozinku drugog korisnika, morao bi da ponovo izrauna sve he vrednosti sa
dodatkom . Za fajl sa lozinkama u kojima je broj korisnika , posao napadaa se
povean puta. Na taj nain, datoteka sa unapred izraunatim he vrednostima
postaje beskorisna.
6.1.5. DRUGI PROBLEMI SA LOZINKAMA

Mogunost razbijanja lozinke jeste jedan od najveih problema u radu sa lozinkama.
Meutim, ima i drugih problema. Danas mnogi korisnici imaju potrebu da koriste vei
broj lozinki to dovodi do problema pamenja tih lozinki. Zbog ovog esto se deava
da se korisnici vraaju na neku prethodnu lozinku ili da imaju istu lozinku koju koriste
za vie namena. To dovodi do toga da je lozinka onoliko bezbedna koliko i
174

______________________________________________________________________________________
najnebezbednije mesto na kojem se koristi. Ukoliko bi se pronala lozinka nekog

korisnika, napada bi mogao da je isproba i na drugim mestima gde dati korisnik ima
pristup.
Socijalni inenjering je, takoe, jedna od glavnih briga koje dolaze sa korienjem
lozinki. Na primer, putem mejlova se esto dobijaju poruke kojima se neko
predstavlja kao administrator i kome je navodno potrebna vaa lozinka da bi se
ispravio problem sa raunarom ili softverom na raunaru. Po statistici, preko 30%
korisnika bi dalo svoju lozinku na ovaj nain. Razni hardverski i softverski dodaci (eng.
keyboard logger), pijunski softver (eng. spyware) i druge vrste tetnog softvera su
takoe ozbiljna pretnja sigurnosnim sistemima koji se zasnivaju na lozinkama.
Jo jedan od glavnih bezbednosnih problema jeste to mnogi korisnici ne menjaju
privremene lozinke koje su dobijene od administratora (eng. default password).
Organizacije sa dobrom bezbednosnom politikom korisnicima nameu pravila
upotrebe jakih lozinki. Postoje mnogi popularni softverski alati za razbijanje lozinki
koji su dostupni hakerima. S obzirom na to da je jako malo vetine potrebno za
korienje ovih alata, gotovo svako moe danas da razbija lozinke. Bezbednosni problem sa lozinkama su meu vodeim bezbednosnim problemima u svetu. U nastavku
se razmatra primena biometrije u cilju prevazilaenja problema u radu sa lozinkama.
6.2. BIOMETRIJA
Savremene informacione tehnologije i globalizacija dramatino su promenili dananji
svet raunarskih mrea, koje se odlikuju visokim stepenom integracije razliitih
elektronskih servisa. Obzirom da je broj Internet servisa i novih korisnika usluga na
Internetu svakodnevno u porastu, poveava se koliina i vrednost razmenjenih
informacija preko Interneta. Informacije koje se razmenjuju u mrei i memoriu mogu
biti kompromitovane ili ukradene ukoliko nisu adekvatno obezbeene.
U svim tipovima mrene komunikacije poseban izazov predstavljaju servisi za
kontrolu pristupa. Njihova uloga je da zatite podatke i informacije od neovlaenog
pristupa preko dovoljno sigurnih procedura za proveru identiteta. Tradicionalni
sistemi za proveru identiteta baziraju se na lozinkama koje pamtimo ili neemu to
nosimo sa sobom. Obino su to pametne kartice, USB tokeni, mobilni telefoni i td. Ovi
175

______________________________________________________________________________________
ureaji ne mogu garantovati da se radi o legitimnim korisnicima, jer ne postoji jaka

veza izmeu autentifikatora i servisa za autentifikaciju. Problem nastaje usled
njihovog kompromitovanja (krae, gubljenja, kopiranja).
Problem je reen uvoenjem jo jednog atributa, a to je neto to jesmo.
Biometrija ili bio-informacija se namee kao mogue reenje za obezbeenje vrste
veze izmeu autentifikatora i servisa za autentifikaciju. Biometrijski sistemi su
bazirani na fizikim ili bihevioralnim karakteristikama ljudskih bia kao to je lice, glas,
otisak prsta i iris.
Biometrijski podaci imaju potencijalnu prednost da budu jedinstveni identifikatori
jedne osobe. U zavisnosti od vrste biometrijskog izvora, mogu da sadre dovoljnu ili
nedovoljnu koliinu informacije za odreenu primenu u kriptografiji. Za izdvajanje
maksimalne koliine informacija neophodno je dobro poznavati osobine
biometrijskih podataka, okarakterisane prema osobinama i vrsti biometrijskog izvora,
kao i tehnologije za precizno oitavanje i izdvajanje konzistentne informacije.
Obzirom na osobine koje poseduju biometrijski podaci, biometrija je postala ozbiljan
kandidat za zamenu tradicionalnih metoda na polju autentifikacije i autorizacije
pojedinaca. Danas mnoge zemlje razmatraju ili ve koriste biometrijske podatke za
podizanja sigurnosti u cilju zatite pojedinca od krae identiteta ili lanog
predstavljanja.
Ove sisteme je mogue videti u razvijenim zemljama na aerodromskim terminalima.
U vreme kada terorizam predstavlja ozbiljnu pretnju u avionskom saobraaju, mnogi
aerodromi su opremljeni sa biometrijskim ureajem za oitavanje biometrije irisa. U
bazi tog sistema nalaze se biometrijske informacije o osobama koje se nalaze na
crnim listama i kojima je zabranjeno letenje zbog sumnji da mogu izazvati teroristiki
napad. Kako god, ovo je realnost u dananjem informacionom drutvu, ali dobro je
to ova tehnologija pronalazi primenu u spaavanju ljudskih ivota.
Upravljanje lozinkama je najslabija taka svakog kriptografskog sistema, iz razloga to
lozinka moe biti ukradena, izgubljena i pogoena, primenom nekih metoda za
potpunu pretragu (eng. Brute force) lozinki. Imajui u vidu da biometrijski sistem uvek
proizvodi odgovor DA ili NE, a to je samo jedan bit informacije. Dakle, oigledna
je uloga biometrije u konvencionalnom kriptografskom sistemu, a to je samo
176

______________________________________________________________________________________
menadment za upravljanje lozinkama. Nakon faze verifikacije, ukoliko je odgovor

DA, sistem otkljuava ili oslobaa lozinku ili klju. Klju mora de se uva na sigurnom
mestu ili ureaju od poverenja.
Interakcija izmeu biometrije i kriptografije predstavlja dve potencijalne
komplementarne tehnologije. Postoje razliiti biometrijski izvori koji sadre
jedinstvene informacije u vidu linih karakteristika jedne osobe. Na ovoj pretpostavci
moe biti izgraen napredni sistem za autentifikaciju za prepoznavanje pojedinca sa
visokim stepenom sigurnosti.
Primera radi, vrstom kombinacijom biometrije i kriptografije mogue je imati
potencijalno jaku vezu izmeu digitalnog potpisa i osobe koja ga je sainila sa visokim
stepenom sigurnosti. Postoje znaajni tehnoloki izazovi, kao to su tanost,
pouzdanost, sigurnost podataka, prihvatljivost, cena, interoperabilnost, kao i izazovi
vezani za obezbeenje efikasne zatite privatnosti. Sve ovo predstavlja uobiajene
ranjivosti biometrijskih sistema sa aspekta bezbednosti.
6.2.1. IRIS KAO BIOMETRIJSKI PODATAK

ara irisa (Slika 6.2) ili obojeni deo oka je prilino haotina (neodreena) - sluajna.
Prisutan je mali ili gotovo nikakav uticaj genetike. Irisi kod identinih blizanaca su
potpuno razliiti. Stanje irisa je stabilno kroz celokupan ivotni vek, dok to nije sluaj i
sa drugim biometrijskim izvorima (biometrijama).
Slika 6.2 Iris oka
U ovom delu analiziramo sve procese na putu od slike oka do iris koda (biometrijskog
templejta) u momentu autentifikacije. Kompletan sistem sadri sledee faze:
177

______________________________________________________________________________________
x
x
x
x
Segmentaciju;
Normalizaciju;
Kodovanje;
Prepoznavanje.
Faza segmentacije predstavlja izolaciju iris regiona na slici oka. Iris region
posmatramo kroz dva kruga, spoljni krug do kapaka i unutranji krug do zenice.
Spoljanji krug uglavnom je jednim delom prekriven kapcima i trepavicama. Potrebna
je takva tehnika koja e da izoluje ili izuzme ovakve objekte i precizno prepozna
kruni deo irisa.
Uspeno prepoznavanje zavisi od kvaliteta slika. Slike u CASIA 24 bazi podataka su
visokog kvaliteta, jer nema refleksije zbog upotrebe infra-crvene svetlosti za
osvetljavanje. Problem mogu da prave osobe sa tamnim pigmentom, poto tada
imamo smanjenje kontrasta, to prepoznavanje ini teim i nepreciznijim. Faza
segmentacije je kritina za uspeh jednog sistema za prepoznavanje, jer lo rezultat se
dalje prenosi na ostale faze sistema.
Tehnika koju koristimo za pravilno izdvajanje irisa je Hafov algoritam ili Hafova
transformacija. Hafova transformacija predstavlja algoritam koji je dosta primenjiv u
kompjuterskoj grafici za prepoznavanje jednostavnih geometrijskih oblika kao to su
linije i krugovi. Za ovu potrebu koriena je kruna Hafova transformacija za
automatsku segmentaciju irisa, Slika 6.3.
Slika 6.3 Faza segmentacije
24
Standardizovana baza podataka koja sadri veliki broj slika oiju, baza je namenjena za istraivanja kod
biometrijskih sistema. Dostupno na Veb sajtu: http://biometrics.idealtest.org/dbDetailForUser.do?id=4
178

______________________________________________________________________________________
Faza normalizacije ima ulogu transformacije iris regiona u zadate fiksne dimenzije
koje su odreene unapred za sledeu fazu. Varijacija u dimenziji obino nastaje zbog
istezanja zenice prouzrokovano promenom nivoa osvetljenja. Postoje i drugi razlozi, a
to su: udaljenost izmeu kamere i oka, rotacija kamere, rotacija oka u onoj duplji.
Procesom normalizacije dobija se iris region koji ima fiksne dimenzije u cilju
postizanja karakteristinih funkcija za isto oko na vie slika koje su kreirane u
razliitim uslovima. Pored navedenih problema koje reava proces normalizacije
bitno je i napomenuti da iris nije uvek koncentrian ili prestenastog oblika a jako je
bitno da ima stalan radijus.
Model koji se koristi je Daugmanov Rubber sheet model, koji ima za cilj da ponovo
mapira sve take unutar iris regiona na par polarnih koordinata (r,T ) , gde je r na
intervalu od [0,1] i T je ugao [0, 2S ] .
Slika 6.4 Daugmanov Rubber sheet model
Centar oka predstavlja referentnu taku i radijalni vektori koji prolaze kroz region
irisa, Slika 6.4. Broj taaka koji je izabran radijalnim linijama definisan je kao radijalna
rezolucija. Broj radijalnih linija definisan je kao ugaona rezolucija. Imajui u vidu da
krugovi irisa mogu biti nekoncentrini, potrebno je primeniti metod konfiguracije nad
ponovnim mapiranjem taaka u iris regionu.
179

______________________________________________________________________________________
Slika 6.5 Faza normalizacije
Normalizacija obezbeuje kvalitetnije rezultate, ali nismo potpuno u mogunosti da

oporavimo iris regione zbog veih varijacije zenice, Slika 6.5.
Faza kodovanja irisa ima za cilj da obezbedi najkonzistentnije informacije prisutne u
regionu irisa za precizno prepoznavanje pojedinca. Samo vane karakteristike irisa
moraju biti kodovane da bi bilo mogue uspeno prepoznati odreenu osobu u fazi
prepoznavanja. Veina sistema za ove potrebe koristi vejvlet transformacije za
ekstraktovanje ili izdvajanje jedinstvenih karakteristika za generisanje digitalnog
biometrijskog templejta.
Biometrijski templejt irisa koji se generie u fazi kodovanja morae da poseduje
mernu jedinice podudaranja koja daje meru slinosti izmeu dva irisa. Ovakva vrsta
metrike treba da daje jedan opseg vrednosti kada se porede isti irisi i drugi opseg
vrednosti kada se porede razliiti irisi. Poeljno je da ne postoji poklapanje izmeu
ova dva opsega vrednosti tako da moemo sa sigurnou da kaemo da li su dva iris
templejta potekla od istog ili razliitog irisa.
Vejvlet transformacija se koristi za razlaganje podataka u komponentama koje se
pojavljuju na razliitim rezolucijama unutar iris regiona. Vejvleti imaju znaajnu
prednost u odnosu na Furijeovu transformaciju kod koje je frekvencija podataka
lokalizovana.
Broj vejvlet filtera ili kako se naziva drugaije banka filtera je primenjena nad 2D iris
regionom. Izlaz primenjene vejvlet funkcije za kodovanje je jedinstvena informacija
koja predstavlja stepen neodreenosti nekog pojedinca u odnosu na druge osobe.
180

______________________________________________________________________________________
Sliku je programski gledano, lake posmatrati i obraivati u frekventnom domeu gde

lako moemo detektovati nebitne informacije i odstraniti ih iz signala. Za ove potrebe
koristi se Gaborov filter koji zbog svojih svojstava precizno razlikuje konzistentne
informacije u slici irisa koja sadri druge umne podatke. Za odbacivanje uma iz
podataka Gaborov filter je idealan.
Gabor filteri su u stanju da obezbede optimalne zastupljenosti informacije u podatku
unutar jednog signala u prostoru i prostorne frekvencije. Jezgro Gaborovog filtera je
dvodimenzionalna funkcija koju ini kompleksni sinusoidni talas modelovan
Gausovom funkcijom.
Realni deo moe se opisati sa funkcijom:
g ( x, y; O , T ,\ , V , J )
x2 J 2 y2
x
exp
cos 2S \
2
O
2V
a imaginarni deo:
g ( x, y; O , T ,\ , V , J )
x2 J 2 y2
exp
2V 2
sin 2S \
O
gde su:
x x cosT y sinT
y x cosT y sin T
Slika 6.6 Realni i imaginarni deo impulsivnog odziva

181

______________________________________________________________________________________
Slika 6.7 Biometrijski templejt irisa
Kao rezultat faze kodovanja (informacioni ekstrakt iz are irisa), dobija se 256 bajtova
iris koda (2048 bitova), Slika 6.7.
Faza prepoznavanja je merenje slinosti dva irisa koje se zasniva na merenju
Hamingovog rastojanja. Rauna se d ( x, y) na 2048-bitovskom iris kodu. Perfektno
poklapanje, to nije realna situacija u praksi, daje rastojanje d ( x, y)
0 . Za identian
iris, oekivano rastojanje je 0.08. Poklapanje se prihvata ako je rastojanje manje od

0.32.
6.2.2. BIOMETRIJSKA AUTENTIFIKACIJA

Autentifikacija ili provera korisnika je sastavni deo opte bezbednosti svih
informacionih sistema. Tradicionalno, autorizacija korisnika znai uvoenje
korisnikog imena i lozinke, tehnika koja je u upotrebi ve decenijama. Napravljene
su mnoge inkrementalne promene, izdvajamo neke osnovne: lozinke se vie ne alju
u otvorenom tekstu preko mree i zahtevaju se jae lozinke, ali i dalje, osnovni
pristup se nije promenio. Slabosti ovog pristupa su dobro poznate i zbog njih su
prisutni problemi na dnevnom nivou.
Za veinu poslovnih okruenja, potencijalne pretnje ukljuuju:
x
182
napadi na privatnost, u kojima napadai neovlaeno pristupaju tuim

privatnim informacijama;

______________________________________________________________________________________
napadi ili kraa poslovne tajne, u kojima pojedinci kompromituju neku

organizaciju, u ovakvim sluajevima organizacije mogu da budu
izloene ogromnim finansijskim gubicima;
napadi u cilju zloupotrebe, u kojima pojedinac neovlaeno manipulie
sa tuim podacima (est problem koji se javljaju u bankarskim
sistemima, preusmeravanje transakcija na druge raune);
Sa druge strane, kriptografski mehanizmi namenjeni za zatitu poverljivosti,

integriteta podataka, zbog kontinualnog tehnolokog razvoja zahtevaju kriptoloke
kljueve veih duina koje je potrebno uvati na sigurnim mestima. Ovakve
informacije nije mogue zapamtiti i neophodno je koristiti razliite hardverske
ureaje za skladitenje kriptolokih kljueva. Takoe, slabosti i ovog pristupa su
poznate, ukoliko hardverski medijumi bude kompromitovan jednim od mnogih
naina. Biometrija nudi nove, bolje pristupe kod autentifikacije korisnika. Obzirom da
su tradicionalne lozinke najslabija karika u mrei i sistemu bezbednosti, biometrija
predstavlja novu potencijalnu tehnologiju koja treba da bude brzo usvojena u cilju
reavanja problema na ovim poljima.
Slika 6.8 Primena biometrije
183

______________________________________________________________________________________
Autentifikacija na bazi biometrije obezbeuje pogodnu i sigurnu proveru identiteta

korisnika kako u lokalnom mrenom okruenju tako i preko Interneta. U koliko je
zahtevan vii nivo bezbednosti na mrei, mogue je koristiti biometriju samostalno ili
u kombinaciji sa drugim akreditivima, Slika 6.8.
U ovoj eri informacionih tehnologija, popularnost raste za sisteme koji koriste
biometrijsku tehnologiju zbog njihovog napretka, praktinosti i preciznosti u
pouzdanom odreivanju identiteta korisnika u odnosu na tradicionalne metode.
Biometrijski sistemi mogu de se koriste u svrhe provere verodostojnosti, a to
ukljuuje sigurnosne sisteme za kontrolu pristupa kod finansijskih servisa (ATM i
banke), vladine institucije, digitalna forenzika i sprovoenje zakona, granina
kontrola pristupa i Internet bezbednost koja dalje ukljuuje sve segmente
kriptografske bezbednosti.
Biometrijske sisteme je znaajno tee prevariti, nego dosadanje tradicionalne
sisteme na bazi lozinki. Imajui u vidu raznolikost biometrijski izvora, mogue je
izvriti njihovu podelu prema kvalitetu i koliini informacije koju mogu da sadre, na
osnovu koje je mogue kasnije generisati biometrijske kljueve za kriptografske
svrhe, kao i za bezbednu autentifikaciju.
6.2.3. NEDOSTACI BIOMETRIJSKIH SISTEMA

Razvojem biometrijskih sistema i njihovom prvom tradicionalnom primenom,
prepoznati su i prvi nedostaci. Nedostaci su razliitog tipa i moemo da ih podelimo u
dve osnovne kategorije. Prvu kategoriju ine svi nedostaci koji se odnose na zatitu
privatnosti biometrijskih podataka koji su u direktnoj vezi sa nepromenljivim
osobinama biometrijskih podataka (jedinstvenost, nezamenjivost, sadre um), dok
drugu kategoriju ine nedostaci koji su vezani za sigurnosti sistema kod kojih se
biometrijski podaci koriste za autentifikaciju.
Tradicionalni model primene iris biometrije je veoma slab u odnosu na zatitu
privatnosti i nije u skladu sa drugim aspektima bezbednosti. Iako biometrijski
templejti mogu biti ifrovani, to nije dovoljno dobro reenje za bezbednost
biometrijskih podataka. Jer, ukoliko su kriptoloki kljuevi iz nekog razloga
kompromitovani, biometrijski podaci su izgubljeni za uvek. Sa druge strane
184

______________________________________________________________________________________
biometrijski templejti se ne nalaze uvek u ifrovanoj formi zbog faze prepoznavanja u

kojoj se vri provera poklapanja dva biometrijska templejta. U momentu provere
poklapanja biometrijski podaci su prisutni u neifrovanoj formi.
Ukoliko je napad u ovoj fazi uspeno realizovan, napada e posedovati odgovarajuu
originalnu biometriju. Ponovljenim napadom, pristup sistemu je zagarantovan.
Nastala situacija moe da postane jo tea ukoliko je vlasnik izgubljene biometrije
koristio biometriju za pristup u vie razliitih i nepovezanih servisa. Ovo predstavlja
ozbiljan bezbednosni problem, a takoe moe biti problem zbog pozivanja na
odgovornost odgovornih lica.
Vano je imati na umu da postoji velika varijabilnost kod svih tipova biometrijskih
izvora. Varijabilnost biometrijskih podataka nastaje u svim fazama obrade
biometrijskih podataka. Od momenta oitavanja do generisanja biometrijskih
templejta za fazu prepoznavanja. Biometrijski podaci poseduju takve osobine zbog
kojih nije mogue dva puta oitati iste biometrijske podatke sa zajednikog
biometrijskog izvora. Tehnika za prepoznavanje identiteta na osnovu lica, sklona je
visokom stepenu varijabilnosti zbog razliitih uticaja osvetljenja i ugla pomeranja
subjekta. To je jedan od razloga zbog koga smo zamoljeni da ne koristimo sliku sa
naim osmehom u dokumentima. Slino tome, brojni faktori utiu na izdvajanje
konzistentnih i pouzdanih uzoraka otiska prsta. Na osnovu analize osobina razliitih
biometrija, utvreno je da iris oka sadri najveu koliinu informacije i najmanju
varijabilnost, sa druge strane odlikuje ga i visok stepen pouzdanosti i konzistentnosti.
Kao posledica varijabilnosti, ivi biometrijski uzorci mogu biti u potpunoj suprotnosti
sa uskladitenim referentnim podacima. Kod biometrijskih sistema nije mogue
postii tanost od 100 %. Kada biometrijski sistem nije u stanju da potvrdi visok
stepen slinosti u fazi prepoznavanja, prinuen je da odbaci legitimnog korisnika.
Ovakav dogaaj nazvan je lano odbacivanje od strane sistema (eng. False Rejected
Rate-FRR). U ovom sluaju korisnik je prinuen da ponovi postupak iz poetka.
Biometrijski sistemi za prepoznavanje mogu biti dizajnirani tako da se smanji stopa
lanog odbacivanja i da prepoznavanje bude uspeno, to e omoguiti pravilno
funkcionisanje sistema. Standardne metode za poboljanje su kontrolisanja uslova u
kojima se oitavaju izvori biometrijskih uzoraka i poboljavaju matematiki algoritmi.
Jedan od naina da se to uradi, jeste da se smanji prag ili granica za prepoznavanje.
185

______________________________________________________________________________________
Postoje problemi sa ovim pristupom jer direktno utiemo na stopu lanog prihvatanja
(eng. False Acceptance Rate- FAR), a taj dogaaj bi znaio da je sistem napravio
greku kod identifikacije i prihvatio pogrenu osobu na bazi tueg referentnog
biometrijskog podatka.
Imajui u vidu da je mogue smanjenje jednog parametra na raun drugog i obrnuto,
neophodno je napraviti kompromis izmeu njih tako da sistem bude prilagoen
okruenju. Neka okruenja dozvoljavaju visok FRR, a druga mogu tolerisati visok FAR.
Vrednosti parametara FAR i FRR koje su navedene od strane prodavca sistema esto
su nepouzdane. Iz tog razloga neophodno je konsultovati nezavisne izvore
informacija, kao to su, biometrijska takmienja u organizaciji amerikog Nacionalnog
instituta za standarde (NIST). Za veinu biometrijskih sistema vrednost FRR kree od
0.1 % do 20 %, to znai da e legitimni korisnik biti odbijen najmanje jednom od
1000 puta. FAR kree od jednog prihvaenog u 100 (aplikacije niskog stepena
sigurnosti), i jednog prihvaenog u 10.000.000 (aplikacije visokog stepena sigurnosti).
Ostali izazovi za biometrijske sisteme su brzina. Sistem mora da bude sposoban da
napravi preciznu odluku u realnom vremenu. Sa druge strane kao jedna najbitnija
sposobnost biometrijskih sistema je da budu otporni na napade.
6.2.4. ZATITA PRIVATNOST BIOMETRIJSKIH PODATAKA

Zatita privatnosti podrazumeva da se prava biometrija nikako ne uva originalno u
bazama podataka. Da bi se izbeglo uvanje originalne biometrije, iris digitalni kod ili
biometrijski templejt jedne osobe bi bio memorisan u formi rezultata neke
neinvertibilne funkcije. Na ovaj nain originalna biometrija u vidu slike ili digitalnog
biometrijskog templejta nebi bila memorisana u bazama podataka ili na drugim
medijima za uvanje podataka.
Opisana metodologija o kojoj emo govoriti u nastavku poglavlja obezbeuje
mogunost generisanja vie biometrijskih templejta na osnovu originalnog iris koda, a
ti kodovi meusobno nisu korelisani. Generisani templejti mogu biti sauvani na istim
ili razliitim mestima za skladitenje, iako pripadaju jednoj osobi.
186

______________________________________________________________________________________
Primenom eme za zatitu privatnosti biometrije sa moguim opozivom biometrije

"eng. Cancelable iris biometric" , originalna biometrija nee biti sauvana na
klijentskim raunarima, u bazama podataka ili drugim mestima sline namene. Posle
neophodnog preprocsiranja biometrije, kao to je proces segmentacije, normalizacije
i kodovanja, originalni iris kod bie uniten ili transformisan izabranom
neinvertibilnom funkcijom. Dobar primer za neinvertibilnu funkciju je lomljenje
staklene ase na stotinu delia, koju nije mogue ponovo sastaviti.
Rezultat ovakve transformacije predstavlja novu lou kopiju iris koda koji je potpuno
siguran jer ne postoji mogunost za otkrivanje originalne iris biometrije. Naziv ove
eme za primenu biometrije sada je potpuno opravdan jer vrlo lako je mogue
generisati novi potpuno drugaiji iris templejt promenom inicijalnih parametara date
transformacije. Na ovaj nain stekla se mogunost za generisanje hiljade razliitih
biometrijskih templejta na osnovu jednog ili dva irisa od jedne osobe. U nastavku
ovog poglavlja dat je pregled od nekoliko radova u kojima su predloena slina
reenja za obezbeenje privatnosti biometrijskih podataka.
U nastavku ovog poglavlja govoriemo o predlozima i reenjima za zatitu privatnosti
koji su navedeni u naunim radovima irom sveta.
U radu, (1998), analizirani su metodi za zatitu privatnosti iris biometrije i metodi za
poveanje stepena tanosti algoritama za prepoznavanje ili poreenje dva iris koda.
Koriste se jednosmerne funkcije (eng. One-way function) za zatitu originalnih
biometrijskih podataka i drugih autorizacionih informacija. Ove jednosmerne funkcije
nisu kao he funkcije o kojima je bilo rei u prethodnim poglavljima. Dobra stvar kod
ovih funkcija je to podaci i dalje uvaju odreene karakteristike koje mogu
odgovarati samo jednoj osobi, ukoliko je re o biometrijskim podacima. Autori ovog
rada polaze od pretpostavke da je za razvoj sigurnih aplikacija i sistema neophodno
predvideti u dizajnu i implementirati sigurnu korisniku autentifikaciju. Prvo je
razmatrana "Of-line", a kasnije On-line korisnika autentifikacija bazirana na
biometrijskim sistemima gde se mera za tanost prepoznavanja identiteta koristi
Hamingovo rastojanje (eng. Hamming distance).
Prvi model koji je predstavljen u radu, koristi se za poveanje tanosti algoritama za
identifikaciju i autorizaciju u sigurnim aplikacijama tako to vrsto vezuje (eng. Binding data) biometrijski templejt sa autorizacionim informacijama i smeta ih na
187

______________________________________________________________________________________
pametne kartice. U ovom sluaju dobijamo sistem sa visokim performansama, jer

sistem u momentu verifikacije proverava originalnu biometriju sa podacima na
pametnoj kartici.
Drugi model u istom radu, specijalno je dizajniran i koristi se za zatitu privatnosti
biometrijskih podataka. Biometrijski podaci su enkapsulirani u autorizacionim
informacijama i ne zahtevaju sigurne hardverske tokene. Kompletno istraivanje je
sprovedeno u cilju olakavanja praktine primene biometrijskih sistema u sigurnim
aplikacijama. Administrator sistema za autentifikaciju generie javni i privatni klju.
Javni klju je smeten u biometrijskom itau. Na pametnoj kartici nalaze se
informacije: ime osobe, osnovne informacije o izdavau ATM-a, kao i digitalni potpis
uvezanih biometrijskih podataka sa sluajnom binarnom sekvencom. Za proces
autentifikacije neophodno je da osoba priloi pametnu karticu, nakon toga
biometrijski templejt se generie nezavisno od korisnika. Zatim se konstrukcijom
kodova za ispravljanje greaka (eng. Error-Correcting-Code) dobija ispravna
biometrija i u poslednjoj fazi vri se verifikacija. Digitalni potpis je verifikovan javnim
kljuem sistem administratora. Autori u radu na ovaj nain reavaju pitanje
privatnosti. U predloenom reenju neophodno je koristiti jednosmerne funkcije
(eng. Hash) ako nismo sigurni da dolazi do curenja informacija i potpisane
autentifikacione podatke koji su inkorporirani sa sluajnom bitnom sekvencom koja
je kasnije kodovana i uvezana sa biometrijom.
U radu (1999) autori predlau novu emu poznatu pod nazivom "eng. Fuzzy commitment scheme". Ova ema podrazumeva dva metoda, metod za prikrivanje (eng. Concealing) i metod za uvezivanje podataka (eng. Binding). U odnosu na konvencionalnu
kriptografiju, za otkljuavanje ovakvog tipa nastalog podatka neophodan je
jedinstven identifikator, slino kao kriptoloki klju za deifrovanje. Karakteristike
predloene eme su vrlo primenjive kod aplikacija kao to su biometrijski sistemi za
autentifikaciju, iji su podaci izloeni dejstvu razliitih umova. Predloena ema od
autora (Ari Juels, Martin Wattenberg, 1999 str. 4, 5) je tolerantna na nastale greke.
Sposobna da zatiti biometrijske podatke na slian nain kao i konvencionalna
kriptografija, ili kao jednosmerne funkcije koje se koriste za zatitu alfanumerikih
lozinki.
188

______________________________________________________________________________________
U radu (2001), analizirane su prednosti biometrije sa aspekta novo predloenog

reenja kod kontrole pristupa sa naprednim sistemima za autentifikaciju.
Identifikovane su slabosti kod tradicionalnih biometrijskih sistema i predstavljeno je
novo reenje kojim bi se eliminisale neke od ovih slabosti. Za ilustraciju autori (N. K.
Ratha, J. H. Connell, R. M. Bolle, 2001) koriste otisak prsta kao biometrijski podatak.
Analiza je obuhvatila i druge biometrijske metode. Osnovni problem tradicionalnih
biometrijskih sistema je nemogunost zamene originalne biometrije sa novom,
ukoliko doe do kompromitovanja biometrijskih podataka.
U cilju ublaavanja ovog problema autori (N. K. Ratha, J. H. Connell, R. M. Bolle, 2001
str. 629) predlau koncept pod nazivom (eng. Cancelable biometrics). On se sastoji od
namerne, ali ponovljive distorzije (izoblienja) biometrijskog signala na osnovu
izabrane transformacije. Na ovaj nain biometrijski signal je izoblien u svim sferama
primene, za upis u sistem i svaku proveru identiteta. Sa ovim pristupom svaka nova
instanca moe koristiti razliitu transformaciju, inei kros-podudaranje nemoguim.
Osim toga ako jedna instanca biometrijskog templejta bude kompromitovana, vrlo
lako se moe kreirati nova sa transformacionom funkcijom, slino kao kada imamo
potpuno novu osobu. Za proces distorzije izabrana je jedna neinvertibilna funkcija. Na
ovaj nain, ak i ako je napadau poznat dizajn algoritma transformacione funkcije i
transformisani biometrijski podatak, napada nije u mogunosti da rekonstruie
originalnu biometriju. Metod distorzije, kao transformacione funkcije je mogue
primeniti u domenu bilo kog signala. Biometrijski signal se moe direktno
transformisati posle akvizicije ili kao i obino posle procesa ekstrakcije iris koda. U
idealnom sluaju neinvertibilna funkcija treba da bude takva da ak i sa poznavanjem
originalne biometrije nije mogue povratiti jednu ili vie biometrijskih instanci.
Primeri su dati od strane autora (N. K. Ratha, J. H. Connell, R. M. Bolle str. 629-630). U
prvom primeru za biometriju lica (eng. Face biometric) primenjena je distorzija nad
originalnom slikom nakon ega se distorzovana slika nije podudarala sa originalnom.
U drugom primeru za biometriju prsta (eng. Fingerprint biometrics) korien je jedan
od metoda za skremblovanje signala ime je postignut identian rezultat kao i u
prethodnom primeru. Metod koji je korien za distorziju signala opisan je u radu
(1992).
Pored neinvertibilnih funkcija u transfomecionom domenu, mogu biti primenjene i
ifarske funkcije (eng. Encryption) za zatitu privatnosti biometrijskih podataka.
189

______________________________________________________________________________________
Tehnika koju predlau autori u ovom radu, drugaija je od ifarskih funkcija, jer
ukoliko budu kompromitovani neki parametri sistema, kao to je kriptoloki klju,
biometrija je izgubljena zauvek. Dok ova mogunost ne postoji kod neinvertibilnih
funkcija. Razlika je to transformisani signal zadrava iste osobine koje su bitne za
sisteme autentivikacije, dok te osobine nisu sadrane u ifrovanim biometrijskim
podacima. Parametar distorzije u transformacionom domenu mogue je kontrolisati
od strane servisa ili jo bolje od strane osobe koja se identifikuje. U cilju podizanja
najvieg stepena privatnosti, predloeno je uvanje parametra transformacije (eng.
State) na pametnim karticama koje su dodatno zatiene sa PIN kodom. Ukoliko
osoba izgubi pametnu karticu ili kartica bude ukradena, to nee bitno uticati na
privatnost korisnika i bezbednost sistema. Na ovaj nain je ublaena zabrinutost za
krenje privatnosti upotrebom sistema za autentifikaciju na bazi biometrijskih
podataka.
U radu (2008), autori predlau novi metod za zatitu privatnosti kod iris biometrije.
Za ekstrakciju iris koda ili generisanje biometrijskog templejta koriste 1D log-Gabor
filter, slino implementaciji (Libor Masek, 2003). U prvom koraku koriste razmotanu
sliku irisa kojoj dodaju eksternu sluajno generisanu informaciju za proces distorzije
signala. Transformaciju koju koriste je neinvertibilna i opoziva.
U radu (2009), autori u cilju prevazilaenja problema neopozivosti biometrijskih
podataka tj. zatite privatnosti biometrijskih podataka, predloili su emu sa dva
faktora zatite koristei iris biometriju i lozinku. U ovoj emi, svakom korisniku se
odreuje zaseban klju za meanje iris koda koji predstavlja jedinstvenu permutaciju.
Drugi faktor ove eme predstavlja uvoenje kodova za detekciju i ispravljanje greaka
(eng. Error-Correcting-Code) u cilju smanjenja varijabilnosti u biometrijskim
podacima. ema meanja kod razliitih irisa u fazi poreenja poveava Hamingovo
rastojanje ostavljajui originalno rastojanje nepromenjeno, dok ECC smanjuje
Hamingovo rastojanje u fazi poreenja istih irisa u veoj meri nego u fazi poreenja
razliitih irisa. Primenom eme meanja postignuti su bolji rezultati koji se
manifestuju kroz Hamingovo rastojanje u poreenju istih i razliitih irisa. Klju koji se
koristi za meanje, zatien je lozinkom koja ovaj sistem ini biometrijski opozivovim.
Na ovaj nain biometrijski podaci su u zatienoj formi koja titi privatnost
biometrijskih podataka.
190

______________________________________________________________________________________
U radu iz 2010. godine., autori su predstavili novu emu za zatitu iris biometrije.
Slino kao i u drugim postojeim radovima, predloena transformacija za iris kod je
neinvertibilna, ak i ako je poznata napadau. Predloeni metod sadri tri faze. U
prvom koraku generisan je iris kod, u drugom koraku ekstraktovani su konzistentni
bitovi irisa i u treem koraku primenjen je algoritam koji prua zatitu privatnosti i
opoziv iris biometrije.
Na osnovu navoda povezanih radova sa ovom oblasti, koji se bave pronalaenjem
reenja za probleme na polju zatite privatnosti biometrijskih podataka ili (eng. Cancelable Biometric), moemo da izvedemo sledee zakljuke:
Veina autora u radu predlae jednosmerne funkcije ili transformacije. Poseduju
osobinu neinvertibilnosti preko koje je obezbeena mogunost opoziva biometrijskih
podataka kao i ponovno generisanje biometrijskih podataka u svrhu autentifikacije.
Na ovaj nain su zamenjeni tradicionalni biometrijski sistemi.
Pojedine transformacione funkcije zadravaju u podacima osnovne karakteristike
biometrijskih podataka, koje pozitivno utiu na Hamingovo rastojanje, metod koji
koristimo za prepoznavanja ili poreenje biometrijskih podataka.
Prepoznate su odreene slabosti kod transformacija sa lozinkama, koje predstavljaju
jedinstvenu permutaciju. Problem je poistoveen sa kompromitovanjem
kriptolokog kljua u kriptografiji.
Pored primene transformacija, odreeni autori poistoveuju biometrijske podatke sa
komunikacionim kanalima sa umom. Ovakva ideja uvodi primenu kodova za
ispravljanje greaka (eng. Error-Correcting-Code), metod preuzet iz oblasti
telekomunikacija.
191

______________________________________________________________________________________
7. VIZUELNA KRIPTOGRAFIJA I SKRIVANJE INFORMACIJA
o jedna od srodnih kriptografskih tema koje se ne uklapaju direktno u do

sada pomenuta poglavlja. Prvo emo razmotriti jedan od sistema za deljenje
tajni. To je konceptualno jednostavna procedura koja moe da bude od koristi kada je
potrebno podeliti tajnu izmeu korisnika. Na kraju poglavlja, ukratko emo izloiti
temu informatikog skrivanja, gde je osnovni cilj sakrivanje informacija u drugim
podacima, kao to je ugraivanje neke informacije u sliku. Ako samo poiljalac i
primalac znaju da su informacije skrivene u podacima, drugi uesnici mogu samo da
sumnjaju da je dolo do komunikacije.
Skrivanje informacija je velika oblast i savremeni, nain komunikacije za uspeno
izbegavanje napada ovek u sredini. Postoje prie da teroristike organizacije
primenjuju ovaj nain komunikacije za pripremu teroristikih napada u svetu.
7.1. VIZUELNA KRIPTOGRAFIJA

Vizuelna kriptografija je specijalna tehnika ifrovanja koja omoguava skrivanje
informacija (tajnih poruka) u slici na takav nain da je ovek moe deifrovati bez
upotrebe raunara ili bilo kakvih drugih izraunavanja, ako se koristi ispravan klju.
Ovu tehniku su predloili Noni Noar i Adi Shamir (RSA) 1994. godine na EUROCRYPT25
konferenciji posveenoj kriptografskim istraivanjima. Ova tehnika ima takve
karakteristike koje je ine poeljnom za upotrebu u finansijskim transakcijama preko
Interneta.
Za predajnu i prijemnu stranu koja treba da ifruje i deifruje skrivenu poruku,
vizuelna kriptografija predstavlja jednostavnu tehniku i siguran sistem, nalik na Onetime pad. Vizuelna kriptografija nala je svoju primenu u domenu Vodenih peata,
ija je osnovna uloga zatita autorskih prava. U nekim dravama ova tehnika se
25
Godinja meunarodna konferencija o teoriji i primeni kriptografskih tehnika. Dostupno na Veb sajtu:
http://www.iacr.org/conferences/eurocrypt2013/
192

______________________________________________________________________________________
koristila za proveru glasakih listia u cilju zatite od falsifikovanih glasakih listia. U

drugim situacijama koristili su je za proveru obveznica.
U primeru Slika 7.1, moete posmatrati dva sloja, koja kad se pravilno poklope ili
poravnaju, generiu skrivenu tajnu informaciju (poruku).
Odtampajte ovaj primer na transparentnoj foliji ili ukoliko ste veti da pokuate u
nekom od programa za obradu fotografije. Ukoliko ste pravilno postupali sa ovom
tehnikom dobiete skrivenu poruku "Univerzitet Singidunum".
42. PRIMER:
Slika 7.1, vizuelna kriptografija sa dva sloja.
Slika 7.1 Primer sa vizuelnom kriptografijom

Slika 7.1, oba sloja su iste rezolucije i poravnanjem jedne preko druge, jasno se moe
proitati skrivena informacija. Vizuelna kriptografija radi sa slojevima identinih ili

dodatnih komplementarnih piksela i predstavlja vizuelnu varijantu XOR-ovanja.
193

______________________________________________________________________________________
Obzirom da se radi o sluajnom generisanju vrednosti sa kojima su predstavljeni

pikseli na slici, ova tehnika se moe posmatrati kao One-time-pad ifra. Vizuelna
kriptografija nasleuje sigurnosne osobine One-time-pad ifre. Osnovno je da ne
postoji mogunost otkrivanja skrivene informacije iz slike, ime je obezbeena
perfektna sigurnost.
Vizuelna kriptografija koristi dve transparentne slike, gde svaka slika predstavlja
zaseban sloj. Jedna slika sadri sluajno generisane vrednosti piksela (Gausov beli
um) i ta slika predstavlja klju, dok druga slika sadri skrivenu informaciju. Obe slike
su iste rezolucije i poravnanjem jedne preko druge jasno se moe proitati skrivena
informacija.
Slika 7.2 Princip rada algoritma za vizuelnu kriptografiju
Svaki piksel se deli na manje blokove, Slika 7.2. Uvek postoji isti broj belih
(transparentnih) i crnih blokova. Deljenjem piksela na dva dela dobijamo jedan beli i
jedan crni blok, a deljenjem na etiri jednaka dela dobijamo dva bela i dva crna bloka.
Slika 7.3, pikseli koji su podeljeni na etiri dela mogu se nalaziti u est razliitih stanja.
Piksel na sloju 1 ima odreeno stanje, a piksel u sloju dva moe da ima isto ili
suprotno stanje. Ako je piksel na sloju 2 isti kao na sloju 1, preklapanjem e se dobiti
pola belih i pola crnih piksela. Ali, ako je on suprotan od piksela na sloju 1,
preklapanjem e se dobiti crni piksel koji predstavlja informaciju (informaciju o tajnoj
poruci).
194

______________________________________________________________________________________
Slika 7.3 Podela piksela
Sloj 1 poseduje piksele ije su vrednosti odreene na sluajan nain, slino nainu za
generisanje kljua kod One-time-pad ifre i moe da ima jedno od est moguih
stanja. Sloj 2 je isti kao i sloj 1, iskljuivo sadri fiksne crne piksele koji su nosioci
informacije u fazi preklapanja. Oni imaju uvek stanje razliito od stanja na sloju 1.
Primena ove tehnike skrivanja informacija moe da se koristi u svrhu deljenja tajni,
konkretno u bankarstvu (kad je zahtevano deljenje informacije o kljuu na vie
korisnika ili vie manjih kljueva koji sami ne mogu da otkljuaju sef) i u protokolima
za autentifikaciju u cilju zatite biometrijskih podataka.
Na primer, Alisa, Bob i Trudi su zaposleni u istoj banci. Nije poeljno da Trudi sama
pristupa sefu. Svi troje poseduju delove informacije o kljuu sa kojim mogu da
regeneriu klju sa kojim otkljuavaju sef. Sistem je konfigurisan tako da zahteva sva
tri dela informacije o kljuu. U momentu otkljuavanja sefa Alisa, Bob i Trudi prilau
delove kljua, nakon toga sistem generie jedan glavni klju sa kojim moe da se
otkljua sef. Prednost ove tehnike je to omoguava podelu kljua na vie zaposlenih
u banci, to podie bezbednost celokupnog sistema.
195

______________________________________________________________________________________
43. PRIMER:
Slika 7.4, Primer za vizuelnu kriptografiju sa tri sloja.
Slika 7.4 Primena vizuelne kriptografije u bankarstvu

Slika 7.4, dat je primer deljenja glavnog kljua na tri informativna dela koja poseduju
tri korisnika. (Alisa, Bob i Trudi).

Tehnika za vizuelnu kriptografiju nala je svoju primenu u sigurnim komunikacijama.
Na primer, Alisa e Bobu unapred poslati 1 ili 2 sloja generisana na sluajan nain.
Kada Alisa bude imala poruku za Boba, generisae sloj 2 na osnovu sloja 1 i poslati
Bobu. Bob ima sloj 1 koji je Alisa unapred poslala, preklopie ili poravnati ova dva
sloja bez upotrebe raunara i otkriti tajnu poruku od Alise. Ukoliko je Trudi presrela
sloj koji sadri informaciju, za nju e biti nemogue da otkrije poruku.
196

______________________________________________________________________________________
7.2. STEGANOGRAFIJA
Steganografija je tehnika skrivanja tajnih poruka na takav nain da niko osim
predajne i prijemne strane nije svestan postojanja komunikacije. Skrivanje poruka se
temelji na preruavanju poruke unutar slike, filmova i teksta. Osnovna prednost
steganografije u odnosu na kriptografiju je injenica da poruke ne privlae panju na
sebe. Moemo da kaemo da je steganografijom mogue izbei napad ovek u
sredini, obzirom da napada nije svestan postojanja komunikacije u nekom
komunikacionom kanalu.
Steganografija ima prednost u zemljama u kojima su kriptografske tehnike za
ifrovanje poruka zabranjene. Kriptografskom zatitom zatiene su samo poruke,
dok se za steganografiju moe rei da titi i poruke i strane koje uestvuju u
komunikaciji. Steganografija podrazumeva i skrivanje poruka unutar raunarskih
fajlova i tokova podataka. Ukoliko se radi o digitalnoj steganografiji, poruka moe biti
skrivena unutar dokumenata, slike ili filma. Film je multimedijalna datoteka i kao
takva zbog svoje veliine je idealna za steganografsku komunikaciju. Njihova veliina
im daje prednost kada je u pitanju osetljivost na suptilne promene.
Primena steganografije danas u svetu je raznolika. Spajanjem slike sa tekstualnim
datotekama moemo obezbediti poverljivost vanih informacija, uvajui ih od
sabotae, krae ili neovlaenog gledanja. Naalost, steganografija ima i nelegalnu
svrhu u pijuniranju i u terorizmu (BBC je u vie navrata navodio da su teroristi za
sigurnu i tajnu komunikaciju koristili neke od steganografskih tehnika). Najznaajnija i
najea upotreba je u digitalnim vodenim peatima koji se koriste za zatitu
autorskih prava.
7.2.1. ISTORIJSKI OSVRT NA NASTANAK STEGANOGRAFIJE

Upotreba steganografije potie od davnina (440 g. PNE), Herodot je naveo dva
primera steganografije u svom delu Herodotova istorija. U delu je navedeno kako je
Demaratus poslao upozorenje o predstojeem napadu na Grku zapisivanjem poruke
na drveni kalup votane ploe za pisanje, pre izlivanja voska. Votane ploe su se
dosta koristile kao papir jer je bila omoguena ponovna upotreba povrine za pisanje.
197

______________________________________________________________________________________
Drugi drevni primer upotrebe steganografije je pria o Histaeusu i njegovom vernom

robu na iju glavu je Histiaeus ispisao poruku i saekao da mu kosa izraste. Kasnije je
rob tu poruku neprimeeno preneo kako bi pokrenuo ustanak protiv Persijanaca.
7.2.2. MODERNA STEGANOGRAFIJA

Moderna steganorafija razvija se od 1985. godine nastankom personalnih raunara i
sa primenom raunara na do tada poznate klasine steganografske tehnike. Poetni
razvoj je bio spor, ali sa vremenom razvile su se mnoge aplikacije za steganografiju.
Digitalna (moderna) kriptografija primenjuje sledee tehnike:
x
x
x
x
x
x
Skrivanje poruka u najmanje znaajnim bitima slike;

Skrivanje poruke u postojeem ifratu. Ideja je da prvo ifrujemo poruku, a
zatim njen sadraj rasporedimo i zamenimo sa blokovima nekog drugog
ifrata;
Preslikavanje statistikih osobina jedne datoteke na drugu datoteku, kako bi
prva liila na drugu datoteku;
Namerno, neprimetno usporavanje raunarske mree, u kojoj vreme moe
predstavljati simboliku za prenos neke poruke;
Namerna promena redosleda paketa unutar raunarske mree;
Blog steganografija koristi izdeljene poruke, gde delove poruke ostavlja kao
komentare na raznim blog stranicama.
Danas postoje razliiti programi koji implementiraju mnoge steganografske tehnike

za skrivanje informacija, poput: SteganPEG, StegFS, OpenPuff, MP3Stego, Hcovert,
VoVoIP i drugi. Sa druge strane razvijeno je i mnogo programa za stegoanalizu, iji je
zadatak da prepoznaju steganografiju u komunikaciji i da unite poruku.
SteganPEG omoguava skrivanje bilo kog digitalnog sadraja unutar JPEG formata.
Na primer, mogue je sakriti jednu ili vie slike unutar druge slike. Prednost ovog
programa je to koristi vrlo popularan i rasprostranjen JPEG format za uvanje slika.
198

______________________________________________________________________________________
StegFS je visoko-sofisticirani alat razvijen za Liniux operativni sistem koji uz ifrovanje

poruka koristi i steganografske metode. Skrivanje vri na takav nain na nije mogue
dokazati postojanje drugih poruka.
OpenPuff je steganografski alat koji omoguava skrivanje poruka nad vie fajlova
unutar jednog direktorijuma (Foldera), ime je praktino omogueno skrivanje velike
koliine poruka. Slui se kriptografskim metodama, oponaa razne umove, to
oteava posao stegoanalizi.
mp3stego program koji koristi steganografsku tehniku za skrivanje poruke u mp3
formatu u toku kompresije. Skrivene poruke su ifrovane i u toj formi skrivene.
Hcovert je moda najinteresantniji steganografski program koji koristi GET zahteve
HTTP protokola za slanje skrivenih poruka odreenom serveru. Tehniku je mogue
primeniti u fazi slanja i fazi primanja poruke.
VoVoIP je eksperimentalni alat koji demonstrira novu pretnju u VoIP komunikaciji i to
u obliku tajnog komunikacionog kanala. Dodatni kanal je postignut kompresijom
tajnih podataka u klasinu govornu komunikaciju, baziran na PCM-u. Prednost ove
tehnike je nemogunost prislukivanja i otkrivanja.
7.2.3. DIGITALNI VODENI PEAT

Prelaskom iz analognog u digitalni domen, kao i obrada podataka na digitalnom
domenu dovela je do nemogunosti razlikovanja originalnih sadraja od kopija. Sve
ovo je otealo zatitu autorskih prava i vlasnitva. Nastala je potreba za mogunou
razlikovanja originalnog ili izvornog podatka od lanih kopija istog. U ovom momentu
na scenu je stupila tehnika za digitalno oznaavanje podataka. Digitalno oznaavanje
podataka je pojam koji predstavlja tehniku ubacivanja digitalnog peata u digitalni
dokument sa namerom kasnijeg detektovanja ili ponovnog uzimanja iga.
Podruje digitalnih vodenih peata je jo uvek slabo istraeno, iako danas postoje
algoritmi za zatitu bilo koje vrste digitalnog sadraja (dokumenti, slike, audio i video
materijali, mape i raunarski programi).
199

______________________________________________________________________________________
Moda interesantan primer za digitalni vodeni peat jeste dogaaj iz 2012. godine
iako ne postoje vrsti dokazi, da je na ovaj nain Google zatitio svoje mape od
kopiranja. Prema tvrdnjama australijskih naunika, ostrvo na Junom Pacifiku, koje se
moe nai na mapama Google Earth-a ne postoji. Na tom mestu dubina vode je
prema brodskim sondama 1.400 metara. U pitanju je veliki komad zemlje koji se na
Google-ovim mapama naziva Peskovitim ostrvom, a nalazi se izmeu Australije i Nove
Kaledonije. Naunici sa Univerziteta u Sidneju koji su otili na koordinate gde bi
trebalo da se nalazi ostrvo nisu pronali nita osim okeana. Ovu greku prijavili su
Google-u, ali za sada nije izvrena prepravka na mapama, Slika 7.5.
Slika 7.5 Nepostojee ostrvo na Google mapi
Digitalni vodeni peat moe se ubaciti uz pomo algoritma za kodovanje u neki

digitalni sadraj ili sa istim algoritmom izvaditi iz oznaenog sadraja i na taj nai se
jednoznano odreuje vlasnik i integritet digitalnog sadraja.
Prema vizuelnoj percepciji razlikuju se etiri tipa vodenih peata. Prvi vrsta je vidljivi
vodeni peat, obino je to jasno vidljiv logo neke oznake. Ovo moemo esto videti
na digitalnim PDF formularima neke ustanove. Druga vrsta je robusni i vizuelno
nevidljiv, ali ga dekoder vrlo lako detektuje i uklanja, sa druge strane otporan je na
napade. Ova vrsta peata se koristi za zatitu autorskih prava multimedijalnih
sadraja. Trea vrsta je lomljivi vodeni peat koji je vizuelno nevidljiv, ali moe se
detektovati i nije otporan na napade. etvrta vrsta je dvostruki vodeni peat koji
predstavlja kombinaciju vidljivog i nevidljivog vodenog peata.
Digitalni vodeni peati imaju primenu u dokazivanju autentinosti podataka. Za ovu
svrhu se najee koriste lomljivi vodeni peati. Vrlo znaajna uloga digitalnih
200

______________________________________________________________________________________
vodenih peata je pri praenju emitovanog programa na televiziji, radiju i slinim

ureajima.
Na primer, agencije za marketing koriste algoritme za merenje duine trajanja
reklamnih programa na televiziji. Imajmo na umu da je cena jedne sekunde reklame
malo bogatstvo u vreme nekog velikog sportskog dogaaja i da je jako bitno imati
informaciju o duini trajanja reklamnog programa. U ovom sluaju vodeni peat je
utisnut u sadraj reklamnog materijala, dekoder treba da detektuje vodeni peat i
tako odredi vreme trajanja reklame na televiziji ili radiju. Na ovaj nain oglaivai su
sigurni da su platili svaku sekundu emitovane reklame.
Postoje odreene primene u kojima dodatna informacija o digitalnom sadraju treba
da sadri informacije o krajnjem korisniku, a ne o vlasniku sadraja. Problem
identifikacije curenja informacija moe se reiti sa distribucijom loih kopija na
osnovu originala, gde izmeu svih kopija postoje neznatne razlike.
Na primer, ovakva upotreba digitalnog vodenog peata nala je primenu u filmskoj
industriji kod distribucije filmova razliitim bioskopima. Svaki bioskop dobija svoju
kopiju filma i ako se na tritu pojavi piratska verzija filma, lako se moe otkriti iz kog
je bioskopa potekla.
Sigurnost vodenih peata govori koliko su oni otporni na razliite spoljne napade.
Napadi mogu biti razliite prirode, a neki od njih su JPEG kompresija, razne
geometrijske transformacije (menjanje veliine, odrezivanje, rotacije) za podizanje
kvaliteta slike.
7.2.4. LSB SUPSTITUCIJA

LSB (eng. least significant bit) je supstitucija jedne od najee korienih
steganografskih tehnika. Ova tehnika ima dobre performanse kad se primenjuje na
slikama. Veliku koliinu informacija mogue je sakriti zanemarljivim uticajem na
datoteku nosioca skrivene informacije.
LSB supstitucija (Slika 7.6) uzima najmanje znaajne bitove iz izabrane datoteke i
menja ih sa bitovima tajne poruke. Dakle, ovi bitovi se menjaju bitovima tajne
201

______________________________________________________________________________________
poruke. LSB supstitucija se lako primjenjuje na slike velike rezolucije sa mnogo

detalja. Za metodu zamene bitova koriti se sekvencijalni algoritam (RC4).
Slika 7.6 LSB steganografska ema
x
x
x
x
x
x
E - steganografska funkcija za ugraivanja poruke

D - steganografska funkcija za izdvajanje poruke
Nosilac - medijum unutar koga se skriva tajna poruka
Poruka - tajna poruka koja treba biti skrivena
Klju - steganografski klju, parametra funkcije E i D
Stego steganografska datoteka
Da bi prijemna strana uspeno rekonstruisala poruku, primalac mora da zna poskup

najmanje znaajnih bitova u koje je poruka skrivena. Tehnikom obrnutom od
ugraivanja tajne poruke, izdvajaju se najmanje znaajni bitovi, slau se
odgovarajuim redosledom i tako se dobija poruka. Kada bismo tajnu poruku ovom
metodom skrivali u 2 ili 3 najmanje znaajna bita elemenata prikrivene datoteke, jo
uvek bi ljudsko oko teko moglo primetiti razliku u odnosu na original.
Ukoliko koristimo 24-bitni BMP format slike dobijamo dovoljno prostora za skrivanje
podataka. Svaki piksel ili boja piksela je predstavljena kao kombinacija crvene, zelene
i plave boje. Svaka od ovih boja predstavljena je jednim bajtom. Kombinacija jednog
bajta crvene, zelene i plave daje 3 bajta (24 bita) koji predstavljaju 1 piksel. Svaki
piksel moe uzeti jednu od 256 nijansi.
202

______________________________________________________________________________________
LSB je najjednostavnija metoda iako ne prua mnogo sigurnosti. LSB metoda se

odlikuje sa velikim kapacitetom koji se moe iskoristiti za skrivanje poruke ili
ugraivanje digitalnog vodenog peata.
Negativna strana steganografije lei u injenici da je za skrivanje poruke potrebno
koristiti objekat nosilac koji uglavnom nosi veu koliinu podataka nego sama tajna
poruka. Tehnike stegoanalize nastoje da otkriju postojanje skrivene poruke unutar
nekorisne informacije. Posebno su od znaaja tehnike stegoanalize koje kao podlogu
koriste statistike testove. Takve tehnike, osim uloge detektovanja skrivene poruke,
esto mogu da odrede priblinu veliinu poruke.
44. PRIMER:
U sledeem primeru koristiemo LSB steganografsku tehniku u Cryptool projektu. Za
podatak nosilac izabrana je, Slika 7.7.
Slika 7.7 Podatak nosilac
U objekat podatak nosilac (slika u ovom sluaju) ugradiemo sledeu tajnu poruku:
The Singidunum Scientific Journal is published twice a year (in April and in October)
and it is devoted to publishing scientific research in the following areas: Economy,
Management, Tourism and hospitality, Computer science, Law. The mission of the
Journal is to assist researchers from all regions of the world in communicating their
achievements in the global scientific community., Slika 7.8.
203

______________________________________________________________________________________
Slika 7.8 LSB supstitucija (kreiranje stego objekta)
Rezultat steganografski objekat (Slika 7.9):
Slika 7.9 Stego podatak koji sadri tajnu poruku
204

______________________________________________________________________________________
45. PRIMER:
Slika 7.10, u sledeem primeru dekodovali smo steganografski podatak i uspeli da
vratimo tajnu poruku.
Slika 7.10 LSB supstitucija (izdvajanje tajne poruke iz stego objekta)
Primera radi u sledeem primeru smo odredili histogram originalne slike (Slika 7.11) i
stego slike (Slika 7.12). Dobijeni rezultati su prikazani ispod. Izmeu ova dva
histograma primetna je neznatna razlika koju je mogue odrediti tek ukoliko
posedujemo originalnu sliku ili podatak nosilac.
205

______________________________________________________________________________________
Slika 7.11 Histogram originalne slike
Slika 7.12 Histogram stego slike
206

______________________________________________________________________________________
7.3. GENERISANJE SLUAJNIH BROJEVA

Potreba za sluajnim i pseudosluajnim brojevima javila se zbog velike primene u
kriptografskim sistemima. Zajedniko za sve kriptografske sisteme je potreba za
kriptolokim kljuem koji je generisan na sluajan nain. Mnogi kriptografski
protokoli, protokoli za autentifikaciju, RSA algoritmi za generisanje digitalnog potpisa
koriste na ulazu sluajne ili pseudosluajne vrednosti.
Za dizajn generatora potrebno je razmotriti sve parametre izvora sluajnosti koji
kvalitativno utiu na generatore potpuno sluajnih vrednosti koje direktno imaju
uticaj na sigurnost kriptografskih sistema, kao i sisteme za modelovanje i simulacije
razliitih aplikacija.
Sluajna binarna sekvenca moe se tumaiti kao rezultat bacanja novia koji je
oznaen sa pismo ili glava gde je verovatnoa ishoda (0 i 1) priblino 0,5. Bacanje
novia predstavlja savren generator sluajnih vrednosti jer 1 i 0 e biti
nasumino raspodeljene (ujednaena raspodela). Svi elementi sekvenci generiu se
nezavisno jedna od druge (statistika nezavisnost), a vrednosti sledeih sekvenci se
ne mogu predvideti, bez obzira koliko je elemenata prethodno generisano.
7.3.1. VRSTE GENERATORA

Postoje dva osnovna pristupa za generisanje sluajnih brojeva korienjem raunara.
Pseudosluajni generatori brojeva PRNG (eng. Pseudorandom Number Generators) i
pravi sluajni generatori brojeva TRNG (eng. True Random Number Generator). Svaki
od navedenih pristupa za generisanje sluajnih brojeva ima svoje prednosti i mane.
Karakteristike TRNG su poprilino drugaije od PRNG, TRNG su neefikasni u odnosu
na PRNG. Potrebno im je znatno vie vremena da proizvedu potrebnu koliinu
sluajnih brojeva. Sluajni brojevi dobijeni preko TRNG su potpuno nedeterministiki,
to znai da dati niz sluajnih brojeva nije mogue reprodukovati. Bitna karakteristika
ovih generatora sluajnosti je izbegnuta perioda datih sluajnih nizova.
Pseudosluajni generatori su algoritmi koji na osnovu poetnih (inicijalnih) stanja daju
izlazni niz pseudosluajnih brojeva. Poetni uslov je zadovoljen ukoliko je ulaz u gen-
207

______________________________________________________________________________________
erator istinski sluajan. Poetni istinski sluajan niz se dobija primenom

generatora istinski sluajnih brojeva TRNG i predstavlja klju k odnosno inicijalno
stanje. Generisane pseudosluajne sekvence su znatno due od kljua i smatraju se
pouzdanim ukoliko zadovoljavaju odreene statistike testove. Deterministike
karakteristike generatora se ogledaju u mogunosti predvianja brojeva u nizu,
odakle i sami generatori nose naziv pseudosluajnih. Reprodukovanje izlaznih nizova
je mogue samo uz poznavanje poetnih vrednosti, odnosno poetnih uslova.
Zanimljivo je da se pseudosluajnih brojevi ponekad pokazuju uspenijim od sluajnih
brojeva dobijenih iz fizikih izvora. Pesudorandom generatori PRNG pokazuju dobre
karakteristike uz veoma oprezan odabir poetnih stanja to dovodi do prikrivanja
deterministikih osobina koje se mogu upotrebiti za kriptoanalizu.
Generatori pseudosluajnih brojeva su bri i lako ostvarivi. Kada je re o kriptografiji,
velika panja se poklanja odabiru samog generatora, njegovim osobinama i
potencijalnim statistikim slabostima koje se mogu upotrebiti prilikom
kriptoanalitikih napada. Kada je re o statistikim testovima pomou kojih se
utvruju osobine generisanog niza brojeva, nijedan generator ne poseduje
stoprocentno zadovoljavajue parametre. Loi generatori padaju na prostim
testovima, kao to dobri generatori padaju na komplikovanim testovima. Poto ne
postoji univerzalna kolekcija testova iji prolaz garantuje da je dati generator
potpuno pouzdan, generatori pseudosluajnih brojeva se konstruiu na osnovu
ozbiljne matematike analize njihovih strukturalnih osobina.
U nastavku poglavlja daje se opis poeljnih statistikih svojstava koja se oekuju od
generisanog niza brojeva:
x
x
x
208
verovatnoa pojave jednog broja treba biti jednaka za sve brojeve u prostoru
u kome se generiu sluajni brojevi. Ova osobina se odnosi na ceo generisani
niz, ali i za njegov podniz;
korelacija izmeu generisanih brojeva pod niza ne sme da postoji, odnosno
ne sme da postoji zavisnost izmeu podnizova;
generator je dobro konstruisan ukoliko je broj stanja kroz koja on prolazi
prilino velik. Ukoliko se generator u jednom trenutku nae u stanju u kojem
je ve bio, dolazi do ponavljanja nekog ve generisanog podniza. Perioda
dobro konfigurisanog generatora mora biti to vea.

______________________________________________________________________________________
U nastavku rada bie opisani neki od generatora pseudosluajnih brojeva i metoda za

testiranje koji se najee koriste.
7.3.2. RAZLIKA PRNG / TRNG

Navedene karakteristike ine TRNG podobnijim za vei skup aplikacija u odnosu na
PRNG koji je nepodoban za aplikacije kao to su kriptografski sistemi za ifrovanje
podataka i igre na sreu. Nasuprot tome, loa efikasnost i nedeterministika priroda
TRNG ini ih manje pogodnim za simulacije i modelovanje aplikacija koje esto
zahtevaju vie podataka nego to je mogue proizvesti sa TRNG.
Tabela 13 Karakteristike dva tipa proizvoljnog broja generatora.
Karakteristike
Efikasnost
Determinizam
Periodinost
PING
da
da
da
TRNG
ne
ne
ne
Slika 7.13 Vizuelna uporedna analiza rezultata TRNG (slika levo) i PRNG (slika desno)
209

______________________________________________________________________________________
7.3.3. GENERATORI SLUAJNIH BROJEVA

Entropija izvora obino se sastoji od neke fizike veliine, kao to su um, vreme
izvravanja korisnikih procesa (npr. taster mia ili tastature) ili kvantni efekti u
poluprovodniku. Pri generisanju sluajnih sekvenci razne kombinacije ovih ulaza se
mogu koristiti. Rezultat TRNG generatora moe se koristiti kao sluajan broj ili moe
predstavljati stanje pseudosluajnih generatora PRNG.
Da bi se rezultat koristio direktno (bez dalje obrade), izlaz iz TRNG mora da zadovolji
stroge kriterijume sluajnosti merene statistikim testovima kako bi se utvrdilo da se
fiziki izvori TRNG ulaza pojavljuju nasumino. Na primer, fiziki izvor kao to je
elektronski um moe da sadri superpozicije redovne strukture, kao to su talasi ili
druge periodine pojave, koji mogu biti sluajni, ali primenom statistikih testova oni
nisu posledica sluajnosti.
Za kriptografske svrhe, izlaz TRNG-a treba da bude nepredvidiv. Meutim, neki fiziki
izvori kao to je vremenski vektor mogu biti prilino predvidivi. Ovakvi problemi
reavaju se kombinovanjem razliitih izvora i dobijeni rezultat se daje na ulaz TRNG-a.
Meutim postoji mogunost da dobijeni rezultati TRNG-a ne mogu proi neke od
statistikih testova. Za ispitivanje kvaliteta generisanog niza koristi se mnotvo
testova. Meutim ne postoji jedan univerzalni test na osnovu koga se moe tvrditi da
je odreeni niz generisanih brojeva potpuno sluajan i da poseduje sve osobine
sluajnosti. Na osnovu rezultata testova je mogue zakljuiti da li niz pokazuje neke
od osobina koje bi pokazivao niz generisan od strane idealnog generatora (prirodne
pojave). Nasuprot tome, na osnovu rezultata se moe sigurno zakljuiti da neki niz
brojeva nije sluajan, odnosno da generator radi loe.
Prilikom ispitivanja sluajnih nizova potrebno je odrediti statistiku vrednost pomou
koje se odreeni rezultat prihvata ili odbacuje. Takoe je potrebno odrediti kritinu
vrednost za koju se ne oekuje da e biti promaena. Kritina vrednost bi
predstavljala veoma malu verovatnou realizacije odreenog dogaaja. Na osnovu
pomenutih vrednosti se odreuju granice preko kojih se ne sme ii ili ispod kojih se
dobijena statistika vrednost ne sme sputati. U skladu sa tim generisani nizovi se
smatraju sluajnim ili suprotno generatori se smatraju neispravnim. Mera sigurnosti
sa kojom se generator prihvata ili ne, naziva se nivo znaaja. Prevelika odnosno,
210

______________________________________________________________________________________
premala vrednost ovog parametra moe dovesti do odbacivanja niza. Svaki ispit za
odreivanje kvaliteta generatora meri neku od poeljnih karakteristika sluajnih
brojeva.
Nakon serije ispitivanja mogue je zakljuiti da ispitivani generator poseduje eljena
svojstva i da bi kao takav mogao biti dobar generator. Sa druge strane, mogue je
zakljuiti da ispitivani generator nije odgovarajui. Ovakve zakljune tvrdnje mogue
je donositi sa 99% sigurnou. Obino se u ispitima upotrebljavaju dve osnovne
raspodele:
x
x
Oekivana raspodela posmatranih vrednosti u nekom prostoru

Oekivana raspodela uestalosti pojave nekih dogaaja
U nastavku poglavlja naveemo nekoliko testova za generatore pseudosluajnih

brojeva koje preporuuje NIST (National Institute of Standards and Technology):
x
x
x
Maurerov univerzalni statistiki test Ispituje mogunosti kompresije niza

bez gubitka informacije. Za niz koji se moe znaajno kompresovati smatra se
da nije niz sluajnih bitova zbog injenice da je kompresija niza efikasnija
ukoliko niz pokazuje periodina svojstva.
Ispitivanje preklapajuih uzoraka posmatrana karakteristika u ovom testu je
uestalost pojave svih moguih n-bitnih uzoraka uz preklapanje u celom
ispitivanom nizu. Test bi trebalo da otkrije da li je broj pojava preklapajui
uzoraka priblino jednak broju koji se oekuje za niz sluajnih brojeva.
Ispitivanje pribline entropije u ovom testu posmatra se takoe uestalost
pojave svih moguih preklapajui n-bitnih uzoraka u nizu. Cilj je poreenje
uestalosti preklapajui blokova sa oekivanim rezultatima.
Ispitivanje uestalosti u nizu u ovom testu ispituje se odnos jedinica i nula u
nizu bitova. Cilj je uoavanje jednakosti pojavljivanja ove dve vrednosti.
Ispitivanje uestalosti u bloku posmatra se odnos jedinica i nula u n-bitnim
blokovima. Cilj predstavlja uoavanje jednakosti broja jedinica i nula u
svakom n-bitnom bloku.
Ispitivanje uzastopnih ponavljanja istih bitova u nizu posmatrana
karakteristika u ovom testu je ukupan broj uzastopnih ponavljanja jednog
broja u nizu.
211

______________________________________________________________________________________
Ispitivanje najdueg uzastopnog ponavljanja jedinica u bloku u ovom testu

posmatra se najdue uzastopno ponavljanje jedinica u n-bitnim blokovima.
Svrha je odreivanje da li se duina najdueg uzastopnog ponavljanja poklapa
sa duinom koja bi se oekivala u nizu sluajnih brojeva.
7.3.4. NAKNADNO PROCESIRANJE EKSTRAKTA ENTROPIJE IZVORA

Metoda kombinovanja razliitih izvora (entropija izvora) i post digitalne obrade,
rezultuje sa binarnim sekvencama koje poseduju osobine nepredvidivosti, ak iako
izvor bitova poseduje male verovatnoe nepredvidivosti.
Postdigitalna obrada je proces stvaranja pouzdano nepredvidivih sekvenci iz
nepouzdano nepredvidivog izvora sekvenci ili predstavlja poboljanje entropije izvora
po bitu. Sam proces je neophodan zbog nemogunosti kontinualne analize izvora i
dobijenih sekvenci u realnom vremenu. Na ovaj nain ispravljamo loe osobine
TRNG-a.
Jedan od glavnih metoda u procesu destilacije je statistiko uklanjanje greaka koje
se bazira na algoritmu mapiranja prelaza (eng. transition mapping). Analiziraju se po
dva bita zajedno i u sluaju da postoji prelaz izmeu dva bita (01 - 10) samo jedan od
njih prihvata se kao sluajni. Ako nema prelaza (00 - 11) bitovi se odbacuju kao
nesluajni. Von Njiuman (Von Neumann) je osmislio kompletan algoritam i on u
potpunosti uklanja pojavu dugih nizova 0 ili 1.
Drugi nain je paritet niza (eng. stream parity) koji se realizuje na sledei nain. Nizovi
se dele na parove zatim se odreuje paritet svakog para. Parovi kod kojih je paritet
razliit odbacuje se, a kod kojih je isti zadrava se samo prvi bit. Bitovi koji nisu
odbaeni ine niz koji ulazi u sledei korak. U zavisnosti od kvaliteta dobijene
kompresije entropije izvora odreuje se stopa eksponencijalnog skraenja polaznog
niza.
Upotrebom procesa postdigitalne obrade, poboljava se entropija izvora to moe
biti dobra polazna taka za bolje sluajne ili pseudosluajne sekvence. Ovakvom
vrstom digitalne post obrade podataka obezbeujemo uniformnost, izlaz prevazilazi
odreene korelacije ili statistiku zavisnost izazvanu od hardverskog izvora isto
212

______________________________________________________________________________________
sluajnih podataka. Na ovaj nain obezbeujemo i analiziramo bezbedne, efikasne i

jedinstvene primere sluajnih brojeva.
U dananjem svetu savremeni raunari i razna bezbednosna reenja oslanjaju se na
kriptografske mehanizme. Generisanje visokog kvaliteta sluajnosti je vitalni (a
moda i najtei) korak mnogih kriptografskih operacija koji imaju veliki uticaj na
sigurnost i zbog toga je naglaena potreba za paljivim dizajnom generatora
sluajnosti. Navedeni su svi osnovni bezbednosni aspekti distribuiranih sluajnih
sekvenci. Upotrebom procesa postdigitalne obrade, poveavamo entropiju izvora to
moe biti dobra polazna taka za bolje sluajne ili pseudosluajne sekvence.
Proces generisanja isto sluajnih podataka u deterministikom okruenju
raunarskih sistema ili u jednom ipu je izuzetno teko i sporo, tj. mogue je samo
malu koliinu podataka generisati u razumnom vremenskom periodu. Teorija
sluajnosti donosi zanimljive ideje i reenja u oblasti ekstrakcije (post procesiranja
podataka) isto sluajnih podataka. Sva reenja se znaajno razlikuju i imaju svoje
prednosti i mane koje treba paljivo razmotriti pre njihove praktine primene.
213

______________________________________________________________________________________
8. BIBLIOGRAFIJA
Aiden A. Bruen Cryptography, information theory, and error-correction [Book]. - San
Diego : WILEY-INTERSCIENCE , 2005.
Alexander W. Dent, Chris J. Mitchell Users Guide to Cryptography and Standards,
Computer Security Series [Book]. - Boston : Artech House, 2005.
Alfred J. Menezes, Paul C. van Oorschot, Scot A. Vanstone Handbook of Applied
Cryptography [Book]. - New Jersey : CRC Press, 2001.
Ari Juels, Martin Wattenberg A fuzzy commitment scheme [Conference] // CCS '99
Proceedings of the 6th ACM conference on Computer and communications security. New York : ACM, 1999. - pp. 28-36.
CrypTool [Online] // http://www.cryptool.org/en/. - 2013.
Davida, G.I., Yair Frankel, Brian J. Matt On Enabling Secure Applications Through Offline Biometric Identification [Conference]. - Oakland, CA : Security and Privacy, 1998.
Proceedings. 1998 IEEE Symposium on, 1998. - p. 148.
Dragan Pleskonji Sigurnost raunarskih sistema i mrea [Book]. - 2007 : Mikro
Knjiga, Beograd.
Fred Piper and Sean Murphy Cryptography: A Very Short Introduction [Book]. London : Oxford University Press, 2002.
Jinyu Zuo, Nalini K. Ratha, and Jonathan H. Connell Cancelable Iris Biometric
[Conference] // In proceeding of: Pattern Recognition.. - [s.l.] : ICPR 2008. 19th
International Conference, 2008.
Libor Masek Peter Kovesi MATLAB Source Code for a Biometric Identification System
Based on Iris Patterns [Conference]. - 2003.
Milan Milosavljevi, Saa Adamovi, Irina Branovi, Dejan ivkovi Teaching
interactive cryptography: the case for CrypTool [Conference] // Communication and
Energy Systems and Technologies - ICEST. - [s.l.] : ICEST, 2011. - p. 46.
214

______________________________________________________________________________________
Mladen Veinovi, Aleksandar Jevremovi Raunarske mree [Book]. - Beograd :

Univerzitet Singidunum, 2010.
Moni Naor and Adi Shamir Visual Cryptography [Conference]. - [s.l.] : EUROCRYPT ,
1994.
N. K. Ratha, J. H. Connell, R. M. Bolle Enhancing security and privacy in biometricsbased authentication systems [Journal]. - [s.l.] : IBM SYSTEMS JOURNAL, 2001. - 3 :
Vol. 40. - 0018-8670.
Niels Ferguson, Bruce Schneier, Tadayoshi Kohno Cryptography Engineering, Design,
Principles and Practical Application [Book]. - Canada : John Wiley & Soons, 2010.
Osama Ouda, Norimichi Tsumura, Toshiya Nakaguchi Tokenless Cancelable
Biometrics Scheme for Protecting IrisCodes [Conference] // Pattern Recognition
(ICPR), 2010 20th International Conference on. - Istanbul : 2010 International
Conference on Pattern Recognition, 2010. - pp. 882- 885.
Sanjay Kanade, Dijana Petrovska-Delacretaz, Bernadette Dorizzi Cancelable Iris
Biometrics and Using Error Correcting Codes to Reduce [Conference]. - Miami, FL :
Computer Vision and Pattern Recognition, 2009. CVPR 2009. IEEE Conference on,
2009. - pp. 120-127. - 978-1-4244-3991-1.
Schneier Bruce Applied Cryptography: Protocols, Algorithms, and Source Code in C
[Book]. - Canada : John Wiley & Soons, 1996. - 2nd Edition.
Stamp Mark Information Security [Book]. - New Jersey : John Wiley & Soons, 2011. 2nd Edition.
T. Beier, S. Neely Feature-Based Image Metamorphosis [Conference]. - New York :
[s.n.], 1992. - pp. 3542.
215

______________________________________________________________________________________
DODATAK A MODULARNA ARITMETIKA
avremena kriptografija je zasnovana prvenstveno na upotrebi matematikih

sistema (alata) koji pripadaju teoriji brojeva, tj. delu matematike iji je
primarni cilj prouavanje svojstava prirodnih i celih brojeva. Pod prirodnim brojevima
mislimo na skup pozitivnih celih brojeva:
N {1,2,3,4,..} ,
a pod celim brojevima skup elemenata:
N {0, 1, 2, 3,...} .

Imajui u vidu predmet ispitivanja, tj skup prirodnih i celih brojeva sa kojima se ovek
susreo jo u drevnim vremenima, teorija brojeva predstavlja jednu od najstarijih
matematikih disciplina. Jo u antikom dobu su bili poznati pojmovi i znanje koje se i
dan danas koristi u osnovnim i srednjim kolama. Neki algoritmi otkriveni u tom
periodu se i danas smatraju efikasnim raunarskim algoritmima koji su takoe
prisutni u modernoj kriptografiji i kriptografskim algoritmima. Dela Leonarda Ojlera
(1707-1783) a posebno uvoenje pojma kongruencije Karl Fridrih Gaus (1777-1855)
postavili su temelje moderne teorije brojeva i srodne matematike discipline algebre.
U sledeem odeljku emo ukljuiti osnovne informacije iz oblasti teorije brojeva koje
se koriste u oblasti primenjene kriptografije. Iako spada u manje popularne discipline
matematike, poeljno je napomenuti da uspeno upravljanje ovim sistemom
omoguava razumevanje i korienje praktinih algoritama. Tipian, ali ne i jedini
primer jeste generisanje prostih brojeva koji su osnovni gradivni elementi savremenih
kriptografskih algoritama i protokola, kao sto su digitalni potpis, ifrovanje javnim
kljuem itd.
Modularna aritmetika
Modularna aritmetika je aritmetiki sistem za cele brojeve gde se brojevi vraaju u
krug nakon to dostignu odreenu vrednost modulo. Modularnost za brojeve uveo
216

______________________________________________________________________________________
je Karl Fridrih Gaus u uvenom delu Rasprava o Aritmetici (Disquisitiones

Arithmeticae), objavljenom 1801 godine.
Opte poznata primena modularne aritmetike sastoji se u 24-asovnom merenju
vremena: dan traje od ponoi do sledee ponoi i podeljen je na 24 asa, od 0 do
23h. Ako je u odreenom trenutku 21:00h (devet uvee), etiri sata kasnije vreme ne
iznosi 25:00h (kao kod uobiajenog sabiranja: 21 + 4 = 25), ve je tada 01:00h
(narednog dana).
Ako kaemo da emo se sa nekim sresti u 11 asova, to moe znaiti i 23 sata. Ako
koristimo samo 12-asovni interval, onda su 11 i 23 ekvivalentni po modulu 12 i to
zapisujemo u obliku:
23 11(mod 12) .
Uopteno, ako je a { b(mod n) , onda je a
b kn pri emu je k ceo broj, tj razlika
a b je deljiva brojem n . Ako je a pozitivan broj i b broj izmeu 0 i n 1 , tada se

broj b moe posmatrati kao ostatak deljenja broja a brojem n . Kae se da je a
kongurentan (identian) sa brojem b po modulu n (simbol oznaava kongruenciju,
a broj n modul kongruencije)
Primer za inverzije:
6(mod 5) 1 ili 6 1(mod 5)

45(mod 6) 3 ili 46 3(mod 6)
40(mod 10) 0 ili 40 0(mod 10)
Operacija a mod n daje ostatak a koji se nalazi u intervalu od 0 do n 1 . Takva
operacija se naziva modularna redukcija. Modularna aritmetika je u mnogim
aspektima slina kao i normalna aritmetika. Mogu se koristiti operacije
komutativnosti, atributivnosti i distributivnosti.
x
a { a mod n za svako a Z
217

______________________________________________________________________________________
x
x
ako a { b mod n tada je b { a mod n
ako je a { b mod n i b { c mod n , tada je a { c mod n

ako1 je a { b mod n i istovremeno c { d
mod n
, tada je
ako je a { b mod n i istovremeno c { d
mod n
, tada je
c { b d mod n
c { b d (mod n)
ako je a c { (b c) mod n a brojevi c , n su nedeljivi, tada je
a { b mod n
Operacije sa modulima
Operacija sabiranja:
(a(mod N ) b(mod N ))(mod N ) (a b)(mod N )

Primeri:
4 8 mod 5
4 4 mod 8
8 mod 8
8 13 mod 5
21 mod 5
0
1
Operacija oduzimanja:

Primeri:
218
10
5 mod 3
10
5 mod 5

______________________________________________________________________________________
12 6 mod 6
6 mod 6
22 8 mod 6
14 mod 6
Operacija mnoenja:

Primeri:
2 5 mod 5
3 4 mod 5
5 5 mod 5
25 mod 5
6 5 mod 4
30 mod 4
Operacija stepenovanja:
a(mod N ) b a k (mod N ) b k (mod N )

Primeri:
6 mod 4
62 mod 4
36 mod 4
63 mod 4
216 mod 4
Prosti brojevi
Prosti brojevi su pozitivni celi brojevi koji su deljivi samo sa samim sobom i jedinicom.
Ostali brojevi, koji pored sebe i jedinice imaju i druge delioce su sloeni. Iako se broj 1
219

______________________________________________________________________________________
smatra prostim brojem, mnoge definicije podrazumevaju da su prosti brojevi vei ili
jednaki od 2. Moemo primetiti da je broj 2 jedini paran prost broj.
Osobine prostih brojeva - Da bismo nastavili sa radom, razmotriemo neke od
vanijih osobina prostih brojeva:
x
Funkcija koja daje broj svih prostih brojeva koji su manji od broja n oznaava
se sa M ( n ) i naziva se "Ojlerova fi funkcija". Prema teoremi o prostim
brojevima, za prost broj n vai M( n )
n 1.
Svaki pozitivan celi broj se na jedinstven nain moe predstaviti kao proizvod
prostih brojeva. Svaki celi broj n t 2 ima faktorizaciju koja se sastoji od
proizvoda potencija prostih brojeva u obliku: n
p1e1 p2 e2 }.. pk ek gde su
pi uzajamno prosti ei t 1
x
Broj prostih brojeva je beskonaan.
Marsenovi prosti brojevi imaju oblik 2 p 1 . Znaajni su zbog toga to se, u

odnosu na brojeve koji nisu ovog oblika, na raunaru ,moe lako proveriti da
li su prosti. Najvei poznati prosti brojevi esto imaju upravo ovaj oblik.
Prosti brojevi blizanci su prosti brojevi p i p 2 tj. susedni prosti brojevi

ija je razlika 2.
Prost broj p je jak prost broj ako: p 1 ima veliki prost faktor r , p 1 ima
veliki prost faktor i ako r 1 ima veliki prost faktor.
Podruje upotrebe prostih brojeva u kriptografiji - Proste brojeve koristimo u gotovo

svim kriptolokim sistemima za generisanje privatnih i javnih kljueva. Efikasno
generisanje parametara kojima se generiu kljuevi je osnovni preduslov za
kriptoloke sisteme sa javnim kljuem. Kao jedan od primera upotrebe prostih
brojeva, moe se navesti generisanje para kljueva za RSA algoritam pomou prostih
brojeva p i q . Oni moraju biti dovoljno veliki i sluajni, u smislu da je verovatnoa
da bilo koji od njih bude pogoen dovoljno mala, tako da napada ne moe stei
prednost kroz optimizaciju strategije pretrage na osnovu tih verovatnoa. Prosti
brojevi se mogu upotrebiti kako bi se neke njihove dodatne osobine iskoristile protiv
nekih specijalizovanih napada.
220

______________________________________________________________________________________
Znaaj jakih prostih brojeva za asimetrinu kriptografiju - U literaturi koja se odnosi

na RSA algoritme, esto se predlae da se u izboru para kljueva koriste jaki prosti
brojevi p i q za generisanje n . Jaki prosti brojevi imaju odreene osobine koje ine
proizvod n teko faktorizovanim. Razlog ovakvog izbora je to to su neke od metoda
faktorizacije kao to su Polardove p 1 i p 1 metode, naroito pogodne za proste
brojeve p za koje p 1 ili p 1 imaju samo male proste faktore. Jaki prosti brojevi
su otporni na ovakve napade. Napredak u faktorizaciji tokom poslednjih deset godina
pokazuje opravdanost upotrebe jakih prostih brojeva. Za generisanje kljueva u RSA
algoritmu, preporuuje se upotreba velikih prostih brojeva reda veliine 100
decimalnih cifara i vie. Poznato nam je da se generisanje kljueva za RSA algoritam
odvija tako da se izaberu dva velika broja p i q iz kojih raunamo n
p q, a
zatim odaberemo e i d uz potovanje odreenih uslova. Postoji dobar razlog zbog
ega n ima tano dva prosta faktora. Prvi razlog je jednostavnost formule za
raunanje
M(n)
p 1 (q 1) , a drugi je tea faktorizacija n , jer je poznato da je
faktorizaciju tee izvriti ukoliko broj ima manje prostih faktora.

Brzi algoritmi za modularnu eksponenciju
k
Osnovni problem je pronai ostatak pri deljenju celog broja a sa n , tj. pronai
ak mod n . U obzir treba uzeti da i a i k mogu biti veoma veliki brojevi. Oigledna,
ali u veini sluajeva neizvodljiva metoda, sastojala bi se u potenciranju a
eksponentom k , a zatim deljenjem sa n i pronalaenjem ostatka. Kako u pojedinim
kriptografskim operacijama broj a moe imati stotinu i vie decimalnih cifara, ovakav
metod nije mogue izvesti ni na modernim raunarima.
Testovi za ispitivanje da li je broj prost
Generalni model izbora prostog broja - Za kriptografe je generisanje velikih prostih
brojeva uvek predstavljalo problem. Generalan metod za generisanje prostih brojeva
jeste da se generie broj n odgovarajue duine, a da se zatim proverava da li je on
prost. Trivijalnija provera da li je broj prost, bila bi da se proveri da li je on deljiv sa
bilo kojim prostim brojem manjim od n . Uopteni algoritam bi se sastojao u
sledeem:
221

______________________________________________________________________________________
x
x
x
Generisati neparan broj n koji je kandidat za prost broj;

Proveriti da li je n prost;
Ako n nije prost broj vratiti se na prvi korak.
Neznatna unapreenja se mogu postii nainom izbora sledeeg broja koji je

kandidat za prost broj tokom povratka na prvi korak. Najprostiji nain je provera
upotrebom sekvence n 2, n 4, n 6, ...
Testovi za ispitivanje da li je broj prost - Prethodan metod je neefikasan jer zahteva
dosta vremena za proveru i znatne raunarske resurse. Umesto provere da li su svi
brojevi manji od posmatranog broja n , njegovi delioci se koriste kao testovi za
ispitivanje da li je broj prost. Postoje dve grupe testova za ispitivanje da li je broj
prost:
x
x
"stvarni testovi" iji je rezultat podatak da li je broj-kandidat prost ili nije

prost i
"probabilistiki testovi" koji nam govore da je broj-kandidat ili "verovatno
prost" ili je sloen.
Probabilistiki testovi deklariu celi broj n kao kandidata za prost broj sa nekom
verovatnoom, dok stvarni testovi obezbeuju matematiki dokaz da je broj prost ili
sloen. Probabilistiki testovi generalno zahtevaju manje raunskih resursa i
izvravaju se za krae vreme od stvarnih testova.
Probabilistiki testovi - Probabilistiki testovi se najee koriste za ispitivanje da li je
broj prost. Pored testiranog broja n , koriste i sluajno odabrane brojeve a. Ovakvim
testovima se za prost broj nikada ne moe dobiti rezultat da je sloen, ali je mogue
da sloen broj testom bude prepoznat kao prost. Redukovanje ove greke moe se
postii ukoliko se test ponavlja sa nekoliko sluajno odabranih vrednosti a . Za dva
najee koritena testa, Fermaov i Miler-Rabinov, za bilo koji sloeni broj n
najmanje polovina brojeva koje je mogue birati za a detektuju da je n sloen. Ovo
k
znai da k ponavljanja smanjuje greku verovatnoe za najvie 2

proizvoljno malom poveavanjem broja pokuaja k .
Osnovni algoritam svakog probabilistikog testa bio bi:
222
i moe se uiniti

______________________________________________________________________________________
x
x
x
x
sluajno biramo broj a ;

proveravamo odreene jednakosti (u zavisnosti od odabranog testa) koje
ukljuuju brojeve a i n ;
ako jednakosti ne vae test se prekida i broj a je "svedok sloenosti" broja n
ako jednakosti vae vraamo se na prvi korak i ponavljamo postupak dok ne
postignemo potrebnu sigurnost.
Ako nakon odreenog broja ciklusa ustanovimo da n nije sloen broj, onda ga
moemo proglasiti "verovatno prostim".
Fermaov test - Fermaov test bazira se na jednoj od osobina prostih brojeva iskazanoj
kroz Fermaovu teoremu. Prema Fermanovoj teoremi, ako je n prost broj onda za
svaki celi broj, a takav da je 1 d a d n 1 i uzajamno prost sa n vai:
an1 { 1 mod n ili an1 1 { 0 mod n .

Pronalaenje barem jednog broja a iz intervala 1 d a d n 1 koji je uzajamno
prost sa n za koje ne vrede a
n1
1 { 0 mod n garantuje da je n sloen broj.
Takav broj a se naziva "Fermanov svedok sloenosti" broja n . ak i ako za svako a
vredi prethodna jednakost, to nije dovoljno da bi se tvrdilo da je n prost. Ako je n
sloen broj i postoji broj a , 1 d a d n 1 , takvo da je a
n1
{ 1 mod n , onda je
broj a "Fermanov laov" da je broj n prost, a broj n je pseudoprost za bazu a .

Fermanovi pseudoprosti brojevi mogu zadovoljiti Fermanov test. Primer za ovu
tvrdnju je sloen broj 341 11 31 koji je pseudoprost za bazu 2 tj.
2340 1 mod 341 . "Karmajklov broj" je celi sloen broj, takav da za sve cele
>
brojeve a iz opsega 1, n 1 koji su uzajamno prosti sa n , tj. NZD a, n 1 vai
an1 { 1 mod n . Najmanji Karmajklov broj je 561 3 11 17 . Ovih brojeva u

opsegu 110 ima 105.212 , a u opsegu 110 oko 1.400.000 , odnosno priblino
jedan u 700 milijardi brojeva. Svaki Karmajklov broj ima najmanje tri prosta faktora.
Nedostatak Fermanovog testa se ogleda u sledeem: ako je n Karmajklov broj, tada
15
18
su jedini svedoci oni brojevi a 1 d a d n 1 koji nisu uzajamno prosti sa n , a ovo

znai da ako su svi prosti faktori broja n veliki, ak i Fermanov test sa velikim brojem
223

______________________________________________________________________________________
iteracija t moe dati rezultat da je n prost broj. Neefikasnost Fermanovog testa je

otklonjena u Solovej-trasenovom i Miler-Rabinovom testu koji poivaju na stroim
kriterijumima.
Solovej-trasenov test - Solovej-trasenov test je postao popularan pojavom
asimetrinih ifarskih sistema, a posebno pojavom RSA. On koristi Jakobijev simbol
J a, n za ispitivanje da li je n prost broj, a zasnovan je na Ojlerovom kriterijumu.

Prema Ojlerovom kriterijumu, ako je n prost broj onda za svaki celi broj a takav da
je 1 d a d n 1 i koji je uzajamno prost sa n vai:
a n1 / 2 { J a, n mod n .
Sloen broj n koji je uzajamno prost sa a i zadovoljava a
n 1 / 2
{ J a, n mod n
kaemo da je "Ojlerov pseudoprost broj za bazu a ", a broj a je "Ojlerov laov". Ako
a nije uzajamno prost sa n ili ako je a
n 1 / 2
z J a, n mod n , kaemo da je a
"svedok" sloenosti broja n .

Primer:
91
7 13 je Ojlerov pseudoprost broj za bazu 9 jer je 9 { 1 mod 91 i

45
J 9,91 1 .
Ponavljanjem testa t puta sa razliitim vrednostima a , verovatnoa da sloeni broj
t
n proe svih t testova nije vea od 1/ 2 . Broj a koji dokazuje da je n prost broj je
svedok. Verovatnoa da sluajan broj a bude svedok nije manja od 50%.
Lemanov test - Lemanov test je neto jednostavniji od Solovej-trasenovog testa jer
se ne rauna Jakobijan. Kao i kod Solovej-trasenovog testa verovatnoa da je broj a
svedok sloenosti broja n nije manja od 50%. Test treba ponoviti t puta za razliite
vrednosti broja a . Ako je u svih t koraka vrednost a n 1 / 2 1 ili 1 , ali nije uvek
1, p je verovatno prost broj sa mogunou greke od 1 / 2t .
224

______________________________________________________________________________________
Miler-Rabinov test - Miler-Rabinov test je efikasniji, a podjednako je korektan kao i

Solovej-trasenov, pa ga je u potpunosti i zamenio. Zbog svoje jednostavnosti ovo je
najee korien probabilistiki test za ispitivanje da li je broj prost. Naziva se jo i
"jaki pseudoprosti test" jer se zasniva na nekim osobinama jakih pseudoprostih
brojeva.
Predstavimo broj n u obliku n 1
2s r gde je s najvei stepen broja 2 koji deli

n 1 . Jasno je da je r neparan broj. Jak pseudoprost broj za bazu a je neparan
sloeni broj n , ako postoji broj j, 0 d j d s 1 , takav da vai ili a { 1 mod n ili
r
a2 j*r { n 1 mod n . Broj a se naziva "jakim laovom" da je broj n prost. Ako je

ipak a z 1 mod n i a
r
2 j*r
z n 1 mod n za sve j , 0 d j d s 1 , onda je a
"jak svedok" da je n sloen broj.

Verovatnoa da neki sloen broj proe test, bre opada u ovom testu nego u ostalim i
t
iznosi 1/ 4 , gde je t broj ciklusa. Tri etvrtine moguih vrednosti a sigurno su

svedoci. Za veinu sluajnih brojeva, oko 99,9% moguih vrednost a su svedoci.
Faktorizacija brojeva
Faktorizacija brojeva jedan je od znaajnijih problema u teoriji brojeva, ali i u
kriptografiji jer se sigurnost popularnog RSA kriptografskog algoritama zasniva na
nemogunosti napadaa da faktorizira velike brojeve u prihvatljivom vremenu.
Sledea tvrdnja je takodje poznata i kao osnovna teorema aritmetike. Svaki pozitivan
ceo broj N ! 1 moe da se predstavi kao proizvod jednog ili vie prostih brojeva u
sledeem obliku:
N p1 1 p2 2 ... pn
e
en
gde su p1... pn razliiti prosti brojevi, dok su e1...en prirodni brojevi. Ovaj postupak
naziva se faktorizacija broja n . Faktorizacija broja je jedinstvena.
Najvei zajedniki delilac
225

______________________________________________________________________________________
U matematici, najvei zajedniki delilac (NZD) dva cela broja razliita od nule je
najvei pozitivan ceo broj koji deli oba broja bez ostatka.
Najvei zajedniki delilac brojeva a i b se oznaava kao NZD a,b ili ponekad
jednostavnije kao a, b .
Na
primer,
NZD 12, 18 6, NZD 4,14 2 i NZD 5, 0 5 .
Dva
broja
su uzajamno prosta ako im je najvei zajedniki delilac jednak 1. Na primer, 9 i 28 su

uzajamno prosti.
Najvei zajedniki delilac se naelno moe izraunati razlaganjem dva broja na proste
inioce i uporeivanjem inilaca, kao u sledeem primeru: da bismo nali
NZD 18, 84 , nalazimo proste inioce od 18 232 i 84 22 37 , primeujemo

da je preklapanje dva izraza 23 ; pa je NZD 18, 84 6 . U praksi, ovaj metod je
izvodljiv samo za jako male brojeve; razlaganje na proste inioce naelno moe da
bude vrlo komplikovano. Mnogo efikasniji metod je Euklidov algoritam.
Euklidov algoritam - Euklidov algoritam je zasnovan na principu da se najvei
zajedniki delilac dva broja ne menja ukoliko se manji broj oduzme od veeg, pa se
zatim odredi NZD novodobijenog broja i manjeg od prethodna dva. Na primer, 21 je
NZD za 252 i 105 252 21 12; 105 21 5 ; poto je 252 105 1 47 , NZD za
147 i 105 je takoe 21. Kako je vei od dva polazna broja na ovaj nain smanjen,
ponavljanjem postupka dobijae se sve manji brojevi, dok se jedan od njih ne svede
na nulu.
Euklidov algoritam je iterativne prirode, to znai da se krajnji rezultat dobija u nizu
koraka, dok se meurezultat proizvoljnog koraka koristi u prvom narednom. Ukoliko
je k ceo broj kojim su oznaeni koraci algoritma poevi od nule, prvom koraku
odgovara jednakost k 0 , drugom k 1 , i tako dalje.
Svaki korak poinje sa dva pozitivna ostatka rk 1 i rk 2 . Kako algoritam osigurava da
se ostaci svakim korakom neprekidno smanjuju, rk 1
226
je manje od svog

______________________________________________________________________________________
prethodnika rk 2 . Cilj k-tog koraka je da se odrede kolinik qk i ostatak rk takvi da

vai jednakost
rk 2 qk rk 1 rk
gde je rk rk 1 . Drugim reima, umnoci manjeg broja rk 1 se oduzimaju od veeg
broja rk 2 sve dok je dobijeni ostatak manji od rk 1 .
U prvom koraku k 0 , ostaci r2 i r1 su jednaki a i b respektivno, a to su upravo
brojevi za koje se trai NZD. U sledeem koraku k 1 , ostaci postaju jednaki b i
ostatku poetnog koraka r0 ... Na osnovu toga, algoritam se moe predstaviti nizom
jednakosti:
a q0 b r0
b q1 r0 r1
r0 q2 r1 r2
r1 q3 r2 r3
Ukoliko je a manje od b , u prvom koraku algoritma treba zameniti brojeve,

odnosno, za a b , poetni kolinik q0 je jednak nuli, a ostatak r0 je jednak a . Na taj
nain, rk je manji od svog prethodnika rk 1 za sve k t 0 .
Kako se ostaci smanjuju u svakom koraku i kako ne mogu biti negativni, ostatak rN u
nekom trenutku mora postati jednak nuli pa se tada algoritam zaustavlja. Poslednji
ostatak rN 1 koji je razliit od nule je najvei zajedniki delilac brojeva a i b .
Broj N ne moe biti beskonaan poto izmeu nule i prvog ostatka r0 postoji konaan
broj pozitivnih celih brojeva.
227

______________________________________________________________________________________
Promenljive a i b se smenjuju u uvanju prethodnih ostataka rk 1 i rk 2 . Ukoliko je

na poetku iteracije a vee od b , onda a dobija vrednost rk 2 , poto je rk 2 ! rk 1 . U
toku izvravanja petlje a se smanjuje oduzimanjem prethodnog ostatka b sve
dok a ne postane manje od b . Tada je a sledei ostatak rk. Zatim se b smanjuje
oduzimanjem a dok ne postane manje od njega i tada postaje jednako rk 1 . Proces
se nastavlja dok b ne postane jednako nuli.
Modularna inverzija
Postoji aditivna inverzija i multiplikativna.
Aditivna inverzija x po modu N je broj koji treba sabrati sa x da bi mod tog zbira
bio jednak 0. Oznaava se sa - x . To nije negativan broj nego samo oznaka.
Primer:
Kolika je aditivna inverzija 4 mod 5
Odgovor: 1
1 mod 5
4 jer je 1 4 mod 5
Multiplikativna inverzija x po modu n je broj koji treba pomnoiti sa x da bi mod

1
tog proizvoda bio jednak 1, a onzaava se sa x . To nije broj manji od 1 ve samo
oznaka.
Primer:
Kolika je multiplikativna inverzija 4 mod 5 ?
Odgovor:
x 4(mod5) 1; 4 4(mod5) 1; x 4 ili
228

______________________________________________________________________________________
41 (mod 5)
4,
jer je:
(4 4)(mod5) 1
Ojlerova funkcija
Ojlerova funkcija je dobila ime po vajcarskom matematiaru Leonardu Ojleru(17071783). Ojlerova M funkcija je vana uglavnom zbog toga to daje veliinu
multiplikativnih grupa celih brojeva po modulu n.
M n je broj iz skupa pozitivnih celih brojeva manjih od n koji su uzajamno prosti u

odnosu na n .
Primeri:
Ako je p prost broj onda je:
M( p)
p 1
Ako je p prost broj onda je:
M( pn)
pn p n1
Ako su m i n uzajamno prosti brojevi onda je:
M ( mn )
M ( m )M ( n )
Ako su p i q prosti onda je:
M( pq)
M( p)M( q)
p 1 q 1
Za svaki pozitivan broj n i svako x koje je uzajamno prosto sa n vazi:
xM (n)
1 mod n
xM ( n) mod n
229

______________________________________________________________________________________
Kvadratni ostatak
Neka je a, m
1. Ako kongruencija x 2 { a mod m ima reenja, onda kaemo
da je a kvadratni ostatak modula m .

Primer:
Kvadratni ostaci modula 6 su 1,3, 4, a nedostaci su 2 i 5.
Teorema:
Neka je p P neparan prosti broj. Redukovani sistem ostataka modula p sastoji se
od p 1/ 2 kvadratnih ostataka i p 1/ 2 kvadratnih neostataka.
Kineska teorema o kvadratnom ostatku - Sledee tvrenje poznato je po kineskom
matematiaru SunTseu iz prvog veke nove ere, pa je poznato pod nazivom
kineska teorema o ostacima. Neka su m1; m2... mk po parovima uzajamno prosti
pozitivni celi brojevi. Tada sistem linearnih kongruencija:
x { c1 mod m1 ; x { c2 mod m2 ;...; x { ck mod mk

ima reenje za sve c1 ; c2 ...; ck Z i pri tome skup svih reenja ini jednu klasu
ostatka po modulu m1m2 mk .
Dokaz izvodimo indukcijom po k , broju jednaina koje ine sistem. Pretpostavimo da
je k ! 2 i da svaki sistem tipa x { c1 mod m1 , x { ck mod mk koji se
sastoji od k 1 jednaine ima reenje, pri emu skup svih reenja ini jednu klasu
ostatka po modulu proizvoda datih modula. Zbog toga je sistem:
x { c1 mod m1 ; x { c2 mod m2 ; : : : ; x { ck 1 mod mk 1

ekvivalentan uslovu x { c mod m1m2 mk 1 , za pravilno odabrano c Z .
230

______________________________________________________________________________________
Diskretni logaritmi
Modularno stepenovanje u obliku:
y { a x mod n
pripada takozvanim jednosmernim funkcijama koje se u modernoj kriptologiji esto
koriste.
Kvantifikacija prethodnog izraza je jednostavna. Inverzan (suprotan) problem za
modularno stepenovanje je pronai diskretan logaritam broja, tj. nai brojeve x tako
da vai:
a x { y mod n i a x mod n { c
Ovaj problem je vremenski zahtevan i smatra se tekim. Nije poznato da li postoji
efikasan algoritam za reavanje problema diskretnog logaritma.
Modularna aritmetika ima puno korisnih primena u dananjem svetu. Mnogi misle da
je matematika bespotrebna nauka, ali to nije tano. Osim teorije brojeva i
kriptografije iju smo primenu videli u ovom radu, modularna aritmetika ima primenu
i u raunarstvu, vizuelnoj umetnosti, pa ak i muzici.
231

______________________________________________________________________________________
DODATAK B EDUKATIVNO RAZVOJNO OKRUENJE CRYPTOOL
rypTool je interaktivna kriptografska laboratorija razvijena kao open

source projekat. Laboratorija nudi vizualizaciju pojmova, podataka i
fundamentalnih kriptografskih objekata i metoda. Ukljuuje popularne algoritme i
protokole za ifrovanje kao i vie metoda za kriptoanalizu. Mogue je modelovati
metode za kriptoanalizu (Frekventni test, Fridmenov test, Kaziskijev test), kao i
kriptoanalizu klasinih i modernih ifara na teorijskoj i praktinoj osnovi
modelovanjem eksperimentalnog okruenja sa simulacijom u realnom vremenu. Ovaj
knjiga opisuje na nastavni model i iskustvo, kao i pozitivne povratne informacije
dobijene od strane studenata su potvrdile i bolji kvalitet usvojenih pristupa (Slika 0.1).
Slika 0.1 Izgled razvojnog okruenja CrypTool 2
232

______________________________________________________________________________________
Instalacija razvojnog okruenja - Na zvaninoj stranici CrypTool-a dostupne su 32bitne i 64-bitne verzije programa za Windows platformu.
http://www.cryptool.org/en/ct2-download-en
Pre pokretanja instalacije CrypTool-a, neophodno je instalirati Microsoft .NET framework. Instalaciju je mogue preuzeti sa linka:
http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=17718
Na naem YouTube kanalu moete da pratite video materijale koji prate sadraj ove
knjige. Pored materijala za predmet kriptologija 1, dostupni su i materijali za
kriptologiju 2 i osnove teorije informacija i kodovanja.
http://www.youtube.com/user/salerc
Moderni Plug-in-Play interfejs za vizuelno programiranje CrypTool 2 prua
grafiki korisniki interfejs za vizuelno programiranje. Dakle, sa okruenjem je lako
upravljati, podaci mogu lako da se kontroliu, vizuelizuju i na taj nain je ostvarena
jednostavna interakcija sa kriptografskim funkcijama. Vektorski orjentisano grafiko
okruenje u Windows-ovom stilu daje korisnicima mogunost dobrog trenutnog
pregleda. CrypTool 2 sledi Microsoft Office 2007 korisniki interfejs smernica koji
obezbeuje dosledan i bogat korisniki doivljaj, Slika 0.2.
Slika 0.2 Cryptool 2 Plug-in-Play interfejs
Vizuelizacija algoritama Mnoge komponente mogu da se koriste za vizualizaciju

toka programa (algoritma) i na taj nain mogu demonstrirati svoj unutranji rad. Ovo
je vrlo znaajno za korisnika jer mu omoguava da shvati sve detalje kriptografskog
algoritma, onako kako se dati algoritam koristi u realnom scenariju, Slika 0.3.
233

______________________________________________________________________________________
Slika 0.3 Vizuelizacija algoritama
Sveobuhvatne funkcije za kriptoanalizu CrypTool 2 prua razliite kriptoanalitike

alate (metode) za analizu, dok sa nekim mogu ak neke klasine i moderne ifre da se
razbiju. Mnogo drugih funkcija za kriptoanalizu je na raspolaganju, kao to su testovi
frekvencija za analizu strukture prirodnih jezika.
Open source - CrypTool je uvek bio open source projekat. CrypTool je licenciran od
strane Apache Open Source Licence 2.0.
Sa CrypTool-om, moderni algoritmi su implementirani u skladu sa internacionalnim
standardima predloenim od strane NIST-a. Autori Cryptool-a nisu implementirali
funkcionalnosti tamo gde su bili dostupni dobri besplatni programi na Internetu:
Tako, npr. reniki napadi na datoteke sa lozinkama (pogledajte John-the-Ripper) jo
uvek nisu deo CrypTool-a. Ipak, CrypTool poseduje metod za proveru kvaliteta vaih
lozinki.
RSA kriptosistem je sveobuhvatno pokriven i implementiran za razliita kodovanja.
RSA moe da se generie iz prostih brojeva odabranih od strane korisnika.
Generisanje kljua, ifrovanje i deifrovanje mogu biti ispraeni korak-po-korak.
Faktorizacija brojeva ima takoe znaajnu primenu u kriptografiji. Jednostavni RSA
kriptosistemi mogu biti sa lakoom razbijeni upotrebom algoritama za razlaganje
predstavljenih u CrypTool-u.
234

______________________________________________________________________________________
Ove interaktivne demonstracije (vizualizacije) su od pomoi za bolje razumevanje

sledeih tema:
x
x
x
x
x
x
x
x
x
x
x
x
x
x
kreiranje elektronskog potpisa;

procesiranje hibridnog ifrovanja kako promene na dokumentu mogu da
promene he vrednost;
osetljivost he algoritama;
generisanje kolizija he vrednosti (paradoks roendana);
Diffie-Hellman razmena kljueva;
napad na sporedne kanale;
protokoli za autentikaciju;
steganografske tehnike (LSB);
deljenje tajne korienjem Kineske Teoreme Ostatka;
vizualizacije nekih algoritama (npr. Viner, AES, Enigma);
drevne teoreme teorije brojeva (kineska teorema ostatka) mogu da se
primene (npr. kada su sve planete naeg Sunevog sistema poreane u jednu
liniju);
3D vizualizacija velikih skupova nasuminih brojeva;
raunarski zasnovano uenje teorije brojeva;
dodavanje taaka na eliptinoj krivoj.
Kriptologija je zahtevna i teka nauna disciplina koja zahteva jaku matematiku

pozadinu zbog bezbednosti ifarskih sistema koja se zasniva na nesposobnosti
reavanja raznih algebarskih problema, problema iz teorije brojeva i kombinatorike.
Zbog navedene kompleksnosti CrypTool open-source laboratorija nam je omoguila
da na praktian nain koristimo sve dostupne algoritme za modelovanje naeg
ifarskog sistema ili za modelovanje raznih kriptoanalitikih metoda. Laboratorija
koristi originalne algoritme izraene po NIST-ovom (eng. National Institute of Standards and Technology) standardu. Prikazani kriptoanalitiki modeli su uspeno
realizovani to je potvreno dobijenim rezultatima. U ovom udbeniku, Cryptool je
predstavljen kao moan alat za kombinovanje teorije i prakse u kriptologiji.
235

______________________________________________________________________________________
Jedan od osnovnih problema pri uenju kriptologije predstavlja njena kompleksnost i

zasnovanost na sloenim matematikim principima i formulama. Najvei broj
bezbednosnih reenja danas ne zahteva detaljno poznavanje pomenutih
matematikih principa ve samo njihovo osnovno razumevanje i povezivanje sa
ulogom u praktinim reenjima. Prebacivanjem fokusa iz domena matematikih
osnova bezbednosnih reenja u domen praktine primene kod savremenih
informacionih i telekomunikacionih tehnologija znaajno se menja i profil studenata
u ovoj oblasti. Iz tog razloga je ovo preusmeravanje neophodno podrati
odgovarajuim edukacionim pristupima, materijalima i uslovima za uenje.
Naa iskustva sa korienjem tradicionalnog pristupa kod poduavanja kriptologije
ukazala su na potrebu za novim, interaktivnijim i kolaborativnijim nainima za
sticanje znanja iz ove oblasti. Umesto korienja bottom-up pristupa - kretanja od
potrebnih matematikih aparata ka njihovoj kriptografskoj primeni - odluili smo se
za top-down pristup: predstavljanje kriptolokih principa u kontekstu njihove
praktine primene u cilju izazivanja interesovanja za savladavanje njhovih noseih
matematikih principa. Za realizaciju navedenog pristupa javila se potreba za
softverskim edukacionim okruenjima koja nude odgovarajui nivo apstrakcije pri
reavanju problema.
Ovom prilikom se zahvaljujemo svim uesnicima projekta CrypTool, kao i
sponzorima projekta koji su nam omoguili da na jedan interesantan i interaktivan
nain savladamo gradivo iz kriptologije.
236

______________________________________________________________________________________
RENIK POJMOVA
A
AES - Advanced Encryption Standard. Blokovska ifra sa simetrinim kljuem,
standardizovana od strane NIST-a. Pripada grupi modernih ifara. Duina kljua je
128, 192, i 256 bitova.
ASCII - ameriki kodni standard za razmenu informacija. Ove kodove koristi veliki broj
raunarskih sistema za prevoenje karaktera u binarne brojeve.
Algoritam - opis za reavanje nekog problema.
B
Biometrija - tehnika za autentifikaciju koja koristi jedinstvene fizike karakteristike
nekog pojedinca. Postoje razliiti tipovi biometrije.
Biometrijski templejt - digitalizovana fizika karakteristika nekog pojedinca za
odreeni biometrijski izvor koji se koristi za autentifikaciju date osobe.
Binarna sekvenca - niz karaktera (jedinica i nula) ili binarni niz.
V
VOIP - protokol koji se koristi za digitalizaciju govora, pakovanje i slanje preko TCP/IP
veze.
Vizuelna kriptografija - specijalna tehnika ifrovanja koja omoguava skrivanje
informacija na slici, na takav nain da se moe deifrovati ljudskim okom bez
upotrebe raunara.
Venona - predstavlja One-time pad u realnosti. Koristila ga je sovjetska pijunska
mrea koja je formirana na teritoriji SAD 1940-tih.
237

______________________________________________________________________________________
G
GSM - globalni sistem za telekomunikacije. Internacionalni standard za satelitske
telefone.
D
DES - Data Encryption Standard. Blokovska ifra sa simetrinim kljuem usvojena od
strane NIST-a. Pripada grupi modernih ifara. Duina kljua je 56 bitova, prevazien je
od strane AES-a.
Digitalni potpis - protokol koji koristi primalac poruke da bi verifikovao poiljaoca
poruke. Za verifikaciju se koristi javni klju poiljaoca. Obezbeuje servis
neporecivosti.
Deifrovanje - proces transformacije ifrata u otvoreni tekst.
Digitalni vodeni peat - tehnika za zatitu autorskih prava digitalnih sadraja.
Difi-Helman - protokol namenjen za razmenu simetrinih kljueva preko javnih
komunikacionih kanala.
E
Enigma - maina za ifrovanje iz familije mehanikih rotor maina. Koristile je
nemake snage za vreme Drugog svetskog rata.
Entropija - mera za koliinu neodreenosti ili prosena koliina informacije koju
sadre generisane poruke nekog informacionog izvora.
ECB - reim za ifrovanje kod blokovskih ifara u kom je svaki blok ifrata potpuno
nezavisan. Ovaj reim moe da bude nebezbedan.
238

______________________________________________________________________________________
I
Iris - ara irisa ili obojeni deo oka koji je prilino haotian (neodreen) ili sluajan.
Predstavlja biometrijski izvor sa visokim performansama.
Integritet - prevencija od neautorizovane izmene sadraja (poruke).
J
Javni klju - element sistema sa javnim kljuem ili javni klju nekog korisnika koji je
dostupan svim korisnicima u mrei. Koristi se u fazi ifrovanja.
Jednosmerna funkcija - sam naziv kae da je funkcija neinvertibilna, ako je y
f ( x)
, tada je x z f ( y) . He funkcije su vrsta jednosmernih funkcija.
K
Kriptoanaliza - umetnost i nauka o razbijanju ifrovanih poruka.
Kriptoloki klju - binarna sekvenca vee duine, poseduje osobine sluajnih nizova.
Koristi se kao poetno stanje algoritma u fazi ifrovanja i deifrovanja.
Kriptograf - lice koje dizajnira ifre.
Kriptoanalitiar - lice koje dizajnira metode za razbijanje ifara.
Kriptografija - nauka o pravljenju algoritama za ifrovanje.
Kriptoanaliza - nauka o razbijanju algoritama za ifrovanje.
L
LAN - lokalna mrea.
239

______________________________________________________________________________________
LFSR - linearni pomeraki registar sa povratnom spregom. Njegova uloga se sastoji u

generisanju pseudosluajnih sekvenci. Ima periodu (ponavlja se nakon izvesnog
vremena).
LSB - steganografska tehnika za ugraivanje tajnih poruka u podatak nosilac po
principu zamene bitova sa najmanjim znaajem.
Lozinka - tajni akreditiv (string od proseno 8 karaktera) koji se koristi za
autenitfikaciju kod tradicionalnih sistema za autentifikaciju. Korisnik je u stanju da
zapamti vise lozinki, dok kriptoloke kljueve nije mogue zapamtiti.
M
MAC - kod za proveru autentinosti poruke.
N
NIST - amerika federalna agencija za standarde i tehnologiju.
NSA - Nacionalna agencija za bezbednost. Amerika agencija koja je odgovorna za
bezbednost i kriptoanalizu elektronskih komunikacija.
O
One-time pad - perfektna ifra koja pripada grupi ifara sa simetrinim kljuem. Klju
je generisan na sluajan nain i ima jednaku duinu kao i poruka. Klju ne sme nikad
da se ponavlja.
Otvoreni tekst - poruka u fazi ifrovanja ili rezultat funkcije za deifrovanje.
P
PGP - program za sigurnu elektronsku potu koji objedinjuje servise za kriptografsku
zatitu podataka i digitalno potpisivanje. Razvijen od strane Fila Cimermana.
240

______________________________________________________________________________________
PKI - infrastruktura sa javnim kljuevima. Sadri bazu javnih kljueva preko kojih
obezbeuje autentifikaciju u srednjim i velikim mreama.
Privatni klju - element sistema sa javnim kljuem ili tajna koju uva svaki korisnik.
Koristi se u fazi deifrovanja.
PRNG - generator za generisanje pseudosluajnih brojeva na osnovu inicijalnog stanja
koje je odreeno na sluajan nain.
Poruka - podatak koji se razmenjuje preko mree izmeu predajne i prijemne strane.
Moe da bude u ifrovanoj formi.
Protokol - protokol je skup pravila koje razumeju i potuju strane u komunikaciji.
R
RSA - kriptografski sistem sa javnim kljuem, patentiran od strane Rivesta, amira i
Adlemana 1976. Sigurnost RSA zasniva se na sloenosti faktorizacije velikih brojeva.
Ima iroku primenu, implementiran je u PGP i SSL-u.
RC4 - sekvencijalna ifra sa simetrinim kljuem. Pripada grupi modernih ifara.
Duina kljua jednaka je poruci. Neki je nazivaju pseudoperfektna ifra. Za
generisanje kljua koristi se generator za pseudosluajne brojeve. Pravila
implementacije su skoro ista kao i kod perfektnih ifara.
S
Sertifikat - elektronski fajl, obino sadri javni klju koji je digitalno potpisan od
Sertifikacionog tela. Sertifikati se koriste za autentifikaciju na Internetu.
Sertifikaciono telo - trea strana od poverenja koja potpisuje i distribuira sertifikate.
SSL - iroko primenjeni zatitni protokol za autentivikaciju na Internetu (Internet
transakcije)
Simetrini klju - kriptoloki klju koji je identian na predajnoj i prijemnoj strani.
241

______________________________________________________________________________________
Steganografija - nauka o skrivanju informacija u drugim bezazlenim podacima. est

primer je skrivanje tekstualnog sadraja u neku sliku.
T
TCP/IP - protokol koji se koristi za prenos informacija u raunarskim mreama. TCP/IP
je postao standard za sve mree povezane sa Internetom.
TDES - blokovska ifra sa simetrinim kljuem, usvojena od strane NIST-a. Bazirana na
sukcesivnoj aplikaciji tri DES algoritma sa razliitim kljuevima. Predstavlja ojaanje
klasinog DES-a.
TRNG - generator sluajnih brojeva; ovakve generatore je mogue konstruisati u
prirodnim informacionim izvorima.
F
Faktorizacija - rastavljanje velikih prostih brojeva na inioce iz skupa prostih brojeva.
Fejstel ifra - nazvana po nemakom kriptografu Horstu Fejstelu (Horst Feistel) koji
je pionir u razvoju dizajna blokovskih ifara, radio je u IBM-u. Ovo su bila inicijalna
istraivanja koja su kulminirala razvoju DES (Data Encryption Standard) algoritma
1970. godine. Fejstel ifra predstavlja dizajn blokovske ifre, a ne posebnu ifru.
H
Haker originalno se termin koristi za kreativnog programera koji razvija programe
za ilegalan pristup raunarskim mreama u cilju krae ili unitenja informacija. Dobar
haker treba da poseduje dobre kriptoanalitike vetine.
Hamingovo rastojanje - koristi se za odreivanje razlike izmeu dva niza jednake
duine.
242

______________________________________________________________________________________
He funkcije - funkcija koja generie skraenu verziju poruke. U kriptografskim

aplikacijama he funkcije moraju da budu jednosmerne sa malom verovatnoom da
dve razliite poruke mogu da daju isti rezultat.
C
CRC - Cyclic Redudancy Check. Kod iroke primene, koristi se za detektovanje
greaka. Obino pre deifrovanja, CRC se proverava.
CBC - reim za ifrovanje kod blokovskih ifara. Radi na principu ulanavanja blokova
ifrata.
ifra - algoritam za ifrovanje. Mogu da postoje razliiti tipovi ifara. Osnovne podele
su na klasine i moderne, simetrine i asimetrine, apsolutno i praktino tajne.
ifrat - rezultat funkcije za ifrovanje ili transformacija otvorene poruke koja je
inverzna uz posedovanje pravog kljua.
ifrovanje - proces transformacije otvorenog teksta u ifrat.
243

______________________________________________________________________________________
244
Na osnovu lana 23. stav 2. taka 7. Zakona o porezu na dodatu vrednost (Slubeni
glasnik RS, br. 84/2004, 86/2004 (ispr.), 61/2005, 61/2007 i 93/2012), Odlukom Senata Univerziteta Singidunum, Beograd, broj 260/07 od 8. juna 2007. godine, ova knjiga
je odobrena kao osnovni udbenik na Univerzitetu.
CIP -
,
003.26(075.8)
004.056.55(075.8)
, , 1962Kriptologija I : osnove za analizu i

sintezu ifarskih sistema / Mladen Veinovi,
Saa Adamovi. - 1. izd. - Beograd :
Univerzitet Singidunum, 2013 (Loznica :
Mladost grup). - 247 str. : ilustr. ; 25 cm
Na vrhu nasl. str.: Fakultet za informatiku i
raunarstvo. - Tira 400. - Renik pojmova:
str. 237-243. - Napomene i bibliografske
reference uz tekst. - Bibliografija: str.
214-215.
ISBN 978-86-7912-469-2
1. , , 1985- []
a) b)
COBISS.SR-ID 196766732
2013.
Sva prava zadrana. Nijedan deo ove publikacije ne moe biti reprodukovan u bilo
kom vidu i putem bilo kog medija, u delovima ili celini bez prethodne pismene saglasnosti izdavaa.

US - Kriptologija I PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

US - Kriptologija I PDF

Uploaded by

Copyright:

Available Formats

UNIVERZITET SINGIDUNUM

KRIPTOLOG/:/Ksnove za analizu i sintezu ifarskih sistema

Fysis kriptesthai filei - priroda voli da se skriva

Preuzeto iz predavanja Prof. dr Milana Milosavljevia, Univerzitet Singidunum, Beograd.

1.1. Ciljevi i pravila ............................................................................................ 11

 , 

2.1. ifre transpozicije ....................................................................................... 30

2.2. ifre zamene - supstitucije .......................................................................... 35

  , e   

3.1. Sekvencijalne ifre.......................................................................................... 63

3.4. Integritet ...................................................................................................... 114

  , e   

4.1. Uloga javnog kljua u razmeni simetrinih kljueva ...................................... 120

e  

5.1. Svojstva sigurnih he funkcija ....................................................................... 151

 

6.1. Lozinke ......................................................................................................... 169

7.1. Vizuelna kriptografija ................................................................................... 192

  

  ~ 

riptologija I je udbenik koji je namenjen studentima Fakulteta za

ifre premetanja koje su se razvijale i koristile do Drugog svetskog rata. Razmatranja

posebno u poslovnim sistemima. U praksi se standardno koriste vieslojna reenja

Beograd, 2013. godine

Kriptologija I - Osnove za analizu i sintezu ifarskih sistema

roz istoriju je postojala potreba da se omogui komunikacija izmeu dve ili

Kriptografija (ili kriptologija); nastala od grke rei 

Kriptologija I - Osnove za analizu i sintezu ifarskih sistema

meu sobom. esto emo nai u radovima iz kriptologije da se za likove u primerima

Kriptologija I - Osnove za analizu i sintezu ifarskih sistema

privatnost znai sakriti sadraj komunikacije od protivnika. Drugi cilj je autentinost i

Kriptologija I - Osnove za analizu i sintezu ifarskih sistema

U kriptologiji postoje dva osnovna bezbednosna modela, a to su: simetrini (eng.

1.1.1. SIMETRINI MODELI

Kriptologija I - Osnove za analizu i sintezu ifarskih sistema

odgovarajue duine. Algoritmi ifrovanja su predmet standardizacije (DES, 3DES, AES

ema simetrinog ifrovanja je dobro poznata. Napada moe da poznaje model

Kriptologija I - Osnove za analizu i sintezu ifarskih sistema

Slika 1.4 Kod autentinosti poruke. Dodatak se kombinuje sa otvorenim tekstom i

Kriptologija I - Osnove za analizu i sintezu ifarskih sistema

poruke, preko obavetavanja poiljaoca o prevari, do prekidanja komunikacije.

1.1.2. ASIMETRINI MODELI

Asimetrino ifrovanje. Asimetrino ifrovanje se zasniva na primeni specifinih

Kriptologija I - Osnove za analizu i sintezu ifarskih sistema

Kriptologija I - Osnove za analizu i sintezu ifarskih sistema

OSTALI KRIPTOLOKI CILJEVI

Kriptologija I - Osnove za analizu i sintezu ifarskih sistema

1.2.1. GENERATORI SLUAJNIH I PSEUDOSLUAJNIH NIZOVA

Kriptologija I - Osnove za analizu i sintezu ifarskih sistema

1.2.3. PROTOKOLI AUTENTIFIKACIJE

Kriptologija I - Osnove za analizu i sintezu ifarskih sistema

autentifikacije. Oigledan primer dvostruke autentifikacije predstavlja korienje

PRAKTINI KRIPTOLOKI PROBLEMI

U nastavku se razmatra nekoliko tipinih kriptolokih problema iz prakse.

1.3.1. PROTOKOLI, STRANE KOJE KOMUNICIRAJU I PROTIVNICI

Kriptologija I - Osnove za analizu i sintezu ifarskih sistema

1.3.2. KRIPTOLOGIJA I BEZBEDNOST RAUNARA

Kriptologija I - Osnove za analizu i sintezu ifarskih sistema

1.3.3. PRAVILA IGRE

Kriptologija I - Osnove za analizu i sintezu ifarskih sistema

PRISTUPI IZUAVANJU KRIPTOLOGIJE

1.4.1. FAZE U RAZVOJU KRIPTOLOGIJE

1.4.2. RAZVOJ KRIPTOLOGIJE KROZ KRIPTOANALIZU

,

,e

,e

e

~

Kriptografija (ili kriptologija); nastala od grke rei

meu sobom. esto emo nai u radovima iz kriptologije da se za likove u primerima

1.1.1. SIMETRINI MODELI

1.1.2. ASIMETRINI MODELI

1.2.1. GENERATORI SLUAJNIH I PSEUDOSLUAJNIH NIZOVA

PRAKTINI KRIPTOLOKI PROBLEMI

1.3.2. KRIPTOLOGIJA I BEZBEDNOST RAUNARA

PRISTUPI IZUAVANJU KRIPTOLOGIJE

1.4.3. ENONOVA SIGURNOST SIMETRINOG IFROVANJA

1.4.4. TEORIJA RAUNARSKE KOMPLEKSNOSTI

ci (26 K E )(mod 26)

ci (26 K E )(mod 26)