1.
Tipovi kriptografskih
algoritama
2. Vernamova šifra
3. Shannon-ova teorema
savršene tajnosti
4. Sekvencijalni simetrični
šifarski sistemi
Sistemi sa slučajim nizom
5.
6. Generatori
pseudoslučajnih nizova
(GPSN)
7. RC4 algoritam
8. Blok šifarski sistemi
9. DES algoritam
10. 3DES algoritam
11. IDEA algoritam
12. AES algoritam
13. Kriptografski modovi blok
šifarskih algoritama
14. Problemi simetričnih
šifarskih sistema
15. Asimetrični kriptografski
algoritmi
16. Diffie-Hellman protokol
17. RSA algoritam
18. Osnovne karakteristike
hash funkcija
19. MD5 algoritam
20. SHA-1 algoritam
21. SHA-2 familija algoritama
22. DSA algoritam za digitalni
potps
23. ECDSA algoritam za
digitalni potpis
24. Digitalni potpis (RSA)
25. Digitalna envelopa (RSA)
26. Trenutno aktuelni
kriptografski algoritmi i
dužine ključeva
27. Faktori autentikacije
korisnika
28. Kod za autentikaciju
poruke (MAC) – CBC MAC
algoritam
29. Kod za autentikaciju
poruke (MAC) - HMAC
algoritam
30. OTP – Lamport-ova šema
31. HOTP (HMAC OTP)
algoritam - OATH
32. TOTP (Time based OTP)
algoritam - OATH
33. Challenge-response
algoritmi na bazi
simetričnog ključa i
simetričnog algoritma
34. Challenge-response
algoritmi na bazi
simetričnog ključa i HMAC
algoritma
35. OCRA algoritam - OATH
Challenge/response
autentikacija
36. Challenge-response
algoritmi na bazi
asimetrične kriptografije –
šifrovanje javnim ključem
37. Challenge-response
algoritmi na bazi
asimetrične kriptografije –
digitalni potpis
38. Zero-Knowledge
challenge-response
algoritmi
39. TDS (Transaction Data
Signature) algoritmi
40. SMS OTP sistemi
41. SDA autentikacija putem
EMV platnih kartica
42. DDA autentikacija putem
EMV platnih kartica
43. CAP/DPA sistem dvo-
faktorske autentikacije
upotrebom platnih kartica
1.Tipovi kriptografskih algoritama
Simetirčni kriptografski algoritmi
Asimetrični kriptografski algoritmi
Hash funkcije
2.Vernamova šifra
One-time pad (OTP), koju takođe nazivamo
vermanmova šifra ili savršena šifra, je
kriptografski algoritam gdje se tekst kombinuje sa
slučajnim ključem. To je jedina postojeća
matematički neprobojna enkripcija.Korištena od
strane tima za specijalne operacije i otpor u
drugom svjetskom ratu, popularna među
obavještajnim službama i njihovim špijunima
tokom hladnog rata, čuva diplomatkse i vojne
prenose poruka širom svejta tokom mnogo
decenija, Vernamova šifra dobila je reputaciju kao
jednostavna ali čvrsta enkipcija sa apsolutnom
sigurnošću koju nisu nadmašili ni današnji
moderni kripto algoritmi. Kakav god tehnološki
napredak se desio u budućnosti, one time pad
enkripcija je, i ostaće, jedina zaista neprobojna
enkripcija koja pruža realnu privatnost poruka na
duži period. Možemo pričati o one-time pad samo
ako su ispunjena važna pravila. Ako su ova
pravila pravilno primjenjena može se dokazati da
je ova enkripcija neprobojna. Čak i neograničena
komjuterska snaga i neograničeno vrijeme ne
može dekriptovati one-time-pad enkripciju
jednostano zato jer je to matematički nemoguće.
Ako se bilo koje pravilo prekrši, šifra više nije
neprobojna.
-Ključ je dug najmanje onoliko kolika je i poruka ili
podaci koji trebaju biti kriptovani.
-Ključ je zaista slučajan (nije generisan od strane
jednostavne kompjuterse funkcije ili slično)
-Ključ i test se računaju modulo 10 (cifara),
modulo 26 (slova) ili modulo 2 (binarno)
-Svaki ključ je korišten samo jednom, i pošiljalac i
primaoc moraju uništiti ključ nakon upotrebe.
-Treba da budu samo dvije kopije ključa, jedna za
pošiljaoca i jedna za primaoca
3. Shanon-ova teorema savršene tajnosti
Основне хипотезе:
Тајни кључ се користи само једном.
Криптоаналитичар има приступ једино
криптограму.
Шифарски систем испуњава услове савршене
тајности ако је отворени текст X статистички
независтан од криптограма Y.
математички:
P( X  x Y  y)  P( X  x)
за све могуће отворене текстове
x  x1 , x2 ,, xM 
и све могуће криптограме
y   y1 , y2 ,, y N 
Дужина кључа K мора бити најмање једнака
дужини отвореног текста M. K  M
У случају Вернамове шифре у горњој релацији
важи знак једнакости.
Алгоритам шифровања код кога отворени
текст, шифрат и кључ узимају вредности L -
арног алфабета и у коме су дужине кључа K,
шифрата N и отвореног текста M међусобно
једнаке. У том случају, број могућих отворених
текстова, шифрата и кључева је једнак: LM .
Претпоставља се следеће:
Кључ се бира на потпуно случајан начин:
P(Z  z )  L M
За свих LM могућих вредности z тајног
кључа.
Шифарска трансформација је:
Yi  X i  Z i , i  1,, M 
За фиксни отворени текст X  x свакој могућој
вредности кључа

Z  z j , j  1,, LM 
одговара
јединствени шифрат
1
Vuk Bundalo

Y  y j , j  1,, LM 
Због тога истом отвореном тексту X  x може
са једнаком вероватноћом одговарати сваки од
LM могућих шифрата.
PY  y   PY  y X  x  L M
Зато важи:
Због тога је количина информације коју носи
шифрат о отвореном тексту једнака нули, тј. X
и Y су статистички независни, па стога сума по
модулу L испуњава услове савршене тајности.
Када је L=2, овај систем се своди на
Вернамову шифру.
4. Sekvencijalni simetrični šifarski sistemi
Sinhroni sekvencijalni šifarski sistemi su oni
kod kojih se niz ključa generiše nezavisno od
otvorenog teksta i šifrata. Proces šifrovanja se
može opisati sledećim skupom jednačina.
 i 1  f ( i , k )
z i  g ( i , k )
c i  h ( z i , mi )
Gde se početno stanje, ơ0, određuje na osnovu
inicijalne vrednosti k, f je funkcija sledećeg stanja,
g je funkcija koja produkuje niz ključa zi ah
izlazna funkcija koja od otvorenog teksta mi i
niza ključa zi formira šifrat ci .
Kod ovih sistema niz ključa se generiše nezavisno
od niza jedinica poruke. Na obe strane u
komunikaciji se istovremeno generišu nizovi
ključa. Učesnici u komunikaciji su u stanju da
razmenjuju poruke sve dotle dok su algoritmi za
generisanje niza ključa sinhronizovani među
sobom. Ukoliko se desi gubitak ili umetanje
jednog ili više jedinica tokom prenosa ST,
dešifrovanje će biti nekorektno. U slučaju takvog
događaja, generatori niza ključa na predajnoj i
prijemnoj strani moraju se resinhronizovati, pre
nego što nastave komunikaciju. Sa druge strane,
u ovim sitemima se ne propagira greška i svaki
pogrešan bit u prenosu ostaće i u dešifrovanom
obliku pogrešan, ali ta greška neće uticati ni na
prethodne ni na buduće bite za prenos. Prethodno
navedena osobina može poslužiti aktivnom
protivniku kao osnova za različite vrste pokušaja
kompromitovanja ovakvog sistema.
5. Sistemi sa slučajim nizom
kod ovih sistema niz ključa se generiše na
slučajan način, tako što se jedinice ključa
generišu nezavisno i slučajno. Ako se prema
prethodnim oznakama za funkciju f uzme
ekskluzivna disjunkcija, tada se dobija takozvani
“one time pad” sistem za koji se može teorijski
pokazati da je apsolutno siguran, tj. da šifrat ne
nosi nikakvu informaciju o otvorenom tekstu. Sa
druge strane taj sistem je i optimalan u smislu da
koristi najkraći ključ kojim se postiže apsolutna
sigurnost. Naime, Šenon je u svojim radovima
pokazao da je neophodan uslov za apsolutnu
bezbednost da entropija ključa bude veća ili
jednaka od entropije poruke. Kako je kod ovog
sistema entropija ključa jednaka dužini poruke,
čija entropija ne može biti veća od njene dužine,
to sledi da je ovo zbilja optimalan sistem u
navedenom smislu. Nedostatak ovog sistema je u
činjenici da oba učesnika komunikacije moraju
imati isti niz ključa koji mora biti tajan, što
proizvodi, ponekad nepremostive, probleme u
upravljanju ključevima jer treba obezbediti i
dostaviti stranama u komunikaciji velike količine
ključeva kako bi mogle nesmetano da
komuniciraju.
6. Generatori pseudoslučajnih nizova (GPSN)

LCG i LFG su dvije osnovne vrste generatora
pseudoslučajnih brojeva. LCG se još i danas
najčešće upotrebljava unatoč činjenici da
generirani niz brojeva pokazuje mnoge pravilnosti
(pogotovo pri grupiranju n-torki). Razlog tome leži
u činjenici da je za većinu primjena LCG sasvim
dovoljan generator, njegova izvedba je
jednostavna, memorijski zahtjevi su mali i
generirani niz izgleda dovoljno “slučajan”. U
primjenama većih računalnih simulacija, gdje je
potrebno generirati veliki broj slučajnih brojeva
(tipično, iznad 232), LCG nije nikako primjenjiv i
njegova upotreba se ne savjetuje. U takvim
situacijama, LFG generator se pokazuje kao
dobra kombinacija brzine i kvalitete uz određene
memorijske zathjeve. Dodatno se često
upotrebljavaju kombinacije dva generatora (npr.
dva LCG generatora ili LCG i LFG generator).
Teoretski (i u praksi) je pokazano da kombinacija
dva generatora daje barem jednako dobar (ili loš)
generator. Pažljivim izborom parametara oba
generatora, njihovom kombinacijom period se
može znatno povećati i ostala “slučajna” svojstva
poboljšati, ali na račun brzine i eventualno
memorijskih zahtjeva. Iako je već ranije
spomenuto da je zahtjev brzine generiranja
brojeva sekundarni zahtjev, o tome ipak treba
voditi riječ, ako se generatori upotrebljavaju u
računalnim simulacijama. Naime u takvim
situacijama se generira veliki broj slučajnih
brojeva te je naravno brzina generatora vrlo
važan faktor.
KRIPTOGRAFSKI SIGURNI GENERATORI
PSEUDOSLUČAJNIH BROJEVA (BITOVA)
ANSI X9.17 generator
ANSI X9.17 generator kao funkciju upotrebljava
trostruko E-D-E kriptiranje sa dva ključa DES
algoritmom. Trostruko E-D-E kriptiranje se definira
na slijedeći način:
E(x) = EK3(DK2(EK1(x))),
gdje EK(x) označava kriptiranje uz pomoć ključa
K, a DK(x) označava dekriptiranje uz pomoć ključa
K. Ako se uzme da vrijedi:
K1 = K3,
tada je riječ o trostrukom E-D-E kriptiranju sa dva
ključa. Ulazni podaci generatora su: slučajni 64-
bitni podatak s (seed), cijeli broj m i ključevi
kriptiranja K1 i K2. Algoritam se odvija prema
slijedećim koracima:
1. računa se pomoćna vrijednost I =
E(D), gdje je D 64-bitni zapis
trenutnog vremena
2. za i = 1 do m računa se: xi = E(I XOR
s) i s = E(xi XOR I)
3. rezultat je niz 64-bitnih slučajnih
brojeva x1, … ,xm
Važno je napomenuti da za ovaj algoritam nije
formalno dokazano da je kriptografski siguran.
Međutim generator se pokazao upotrebljivim
(dovoljno sigurnim) u većini primjena. Prednost
ovog generatora u odnosu na dokazane
kriptografski sigurne generatore je jednostavnija
izvedba i bitno veća brzina.
RSA generator pseudoslučajnih brojeva
Algoritam generatora se odvija prema slijedećim
koracima:
1. Potrebno je generirati dva velika
prosta broja p i q te izračunati
umnoške n = pq i L(n) = (p – 1)(q – 1).
Nadalje je potrebno odabrati slučajni
broj e, 1 < e < L(n), takav da vrijedi
gcd(e,L(n)) = 1 (gcd je najveća
zajednička mjera).
2. Potrebno je odabrati slučajni cijeli broj
x0 (seed) u intervalu [1, n - 1].
3. za i = 1 do l računa se: xi = xei-1 mod n
i zi = najmanje značajni bit iz xi
Dobiveni rezultat je niz slučajnih bitova z1, …, zl.
Važno je primjetiti da se brojevi generiraju sporo
(u odnosu na dosad prikazane generatore), zbog
razloga što je potrebno računati potenciju velikog
broja (tipično par stotina bitova) te ostatak
dijeljenja sa velikim brojem (iste veličine) što
naravno nije sklopovski podržano. Postoje
određene metode koje donekle mogu ubrzati rad
generatora uz minimalnu cijenu kvalitete niza
(poboljšani generator ostaje i dalje kriptografski
siguran u određenim uvjetima). Važno je međutim
napomenuti da se svaki postupak optimizacije
mora izvesti uz maksimalni oprez jer pojava
korelacije među susjednim bitovima bitno
povećava mogućnost provale.
7. RC4 algoritam
RC4 je najkorišteniji sekvencijalni algoritam i
koristi se u popularnim protokolima kao što su
SSL i WEP. Izvrstan je zbog jednostavnosti i
brzine, ali je sa druge strane ranjiv na napade
kada početak izlaznog niza nije odbačen ili kada
se jedan ključ koristi dvaput.
RC4 je jednostavan za opis. Ima 256 S-box-ova.
Ulazi su permutacija brojeva od 0 do 255, a
permutacija je funkcija ključa promenljive dužine.
Ima dva brojača, i i j, postavljena na 0. Za
generisanje slučajnog bajta koristi se sledeći
algoritam:
i = (i + 1) mod 256
j = (j + Si) mod 256
zamijeni Si i Sj
t = (Si + Sj) mod 256
K = St .
Bajt K se XOR-uje sa otvorenim tekstom da bi se
dobio šifrat ili XOR-uje sa šifratom da bi se dobio
otvoreni tekst. Enkripcija je brza (oko 10 puta brža
nego kod DES-a). Inicijalizacija S-box-ova je
takođe lagana.
Prvo se popunjavaju linearno: S0 = 0, S1 = 1,...,
S255 = 255. Zatim se generiše drugi 256-bajtni niz
ključa, ponavljajući ključ koliko je potrebno da se
popuni cijeli niz: K0, K1,..., K255. Indeks j se
postavlja na 0. Tada se izvršava sljedeća petlja:
for i = 0:255
j = (j + Si + Ki) mod 256
zameni Si i Sj.
Algoritam je imun na diferencijalnu i linearnu
kriptoanalizu i krajnje je nelinearan. Indeks i
osigurava da se svaki element menja, a indeks j
da se elementi menjaju slučajno.
8. Blok šifarski sistemi
Blok šifarski sistemi procesiraju blokove
nešifrovanog signala - otvorenog teksta (OT) i
šifrovanog signala – šifrata (ST), obično u
blokovima čija je veličina 64 bita ili više.
Sekvencijalni šifarski sistemi procesiraju nizove
bita, bajtova ili reči (16 ili 32 bita) OT i ST.
Ako se u toku procesa šifrovanja jedne poruke
nekim blok šifarskim sistemom više puta
pojavljuje isti blok otvorenog teksta (OT) rezultat
će biti uvek isti blok šifrata (ST), što nije slučaj
kod sekvencijalnih šifarskih sistema.
Kod sekvencijalnih šifarskih sistema verovatnoća
da isti niz bita, bajtova ili reči OT pri svakom
pojavljivanju u jednoj poruci proizvodi isti šifrat
teži nuli ukoliko su niz za šifrovanje i otvoreni
tekst nezavisni. Blok šifarski sistemi se veoma
mnogo koriste u sistemima poslovnih i finansijskih
transakcija, ali su njihove bezbednosne osobine
dosta slabije od sekvencijalnih šifarskih sistema.
I pored toga definisan je veliki broj javnih
algoritama baziranih na blok šifarskim sistemima,
kao što su DES, 3-DES, RC2, IDEA, i mnogi drugi
koji su našli veoma široku primenu u savremenim
informacionim sistemima.
Vuk Bundalo
U 2001. godini, NIST organizacija u SAD je
usvojila novi standard AES (Advanced Encryption
Standard). Kao primer jednog blok šifarskog
algoritma, daćemo kratak opis AES simetričnog
blok kriptografskog algoritma.
9. DES algoritam
DES je zvanično objavljen 1976. godine. Iako se
danas smatra nesigurnim za većinu aplikacija
zbog veoma kratkog ključa (56 bita), on
predstavlja teoretsku osnovu za sve blok šifarske
algoritme. Na osnovu njega su izgrađeni i njegovi
naslednici koji su danas u upotrebi (AES, 3DES).
DES je simetrični blok šifarski algoritam koji za
ulaz uzima string fiksne dužine i serijom
komplikovanih transformacija ga transformiše u
šifrovani tekst iste dužine. Kod DES-a veličina
bloka je 64 bita. Pošto spada u simetrične
algoritme, dekripcija se može izvršiti samo uz
poznavanje ključa kojim je izvršeno enkritpovanje.
Ključ se sastoji od 64 bita, ali algoritam koristi
samo njih 56. Preostalih 8 se koristi samo za
provjeru parnosti i zatim se odbacuju.
Struktura algoritma Sastoji se od 16 identičnih
faza, koje se nazivaju rundama, Osim njih postoje
i inicijalna i završna permutacija, koje su inverzne
operacije. Međutim, one nemaju kriptografski
značaj. Pre početka glavnih rundi blok se se dijeli
na dve 32-bitne polovine koje se procesiraju
naizmenično. Ovo ukrštanje se naziva Feistel-ova
šema. Feistel-ova struktura osigurava da su
enkripcija i dekripcija vrlo slični procesi. Jedina
razlika je da se potključevi primenjuju u obrnutom
redosledu u dekripciji. Ostatak algoritma je
identičan. Ovo uveliko olakšava implementaciju
DES-a jer nema potrebe za razdvajanje
enkripcionog i dekripcionog algoritma.U svakoj od
16 rundi jedna polovina bloka prolazi kroz F
funkciju koja šifruje tu polovinu pomoću
odgovarajućeg potključa. Izlaz iz F funkcije se
tada kombinuje sa drugom polovinom bloka
pomoću XOR operacije. Zatim polovine bloka
zamene mjesta prije početka sljedeće runde.
Nakon završne runde polovine ne menjaju mjesta.
10.3DES algoritam
Triple DES je blok šifarski algoritam formiran
korištenjem DES-a tri puta. Kad je otkriveno da
56-bitni ključ DES-a nije dovoljan da se algoritam
zaštiti od brute force napada, 3DES je izabran
kao jednostavan način da se proširi ključ bez
potrebe prebacivanja na novi algoritam. Korištenje
tri koraka je esencijalno u sprečavanju meet-in-
the-middle napada koji su efektni protiv duple
DES enkripcije. Bitna je činjenica da DES nije
algebarska grupa. Da jeste, 3DES konstrukcija bi
bila ekvivalentna običnom DES-u i ne bi bila
sigurnija.
Najjednostavnija varijanta 3DES-a ima sljedeću
šemu:
DES(k3;DES(k2;DES(k1;M))),
gde je M blok poruke koja se enkriptuje, a k1, k2, i
k3 su DES ključevi. Ova varijanta se popularno
naziva EEE pošto su sve tri DES operacije
enkripcije. Da bi se pojednostavnila
interoperabilnost između DES-a i 3DES-a srednji
korak se obično zamenjuje dekripcijom (EDE
mod):DES(k3;DES-1(k2;DES(k1;M))).
Na taj način se jedna DES enkripcija sa ključem k
predstavlja kao 3DES-EDE gdje je k1 = k2 = k3 =
k. Izbor dekripcije kao srednjeg koraka ne utiče na
sigurnost algoritma. Uopšteno, 3DES sa tri
različita ključa ima dužinu ključa od 168 bita - tri
DES ključa po 56 bita, ali zbog meet-in-the-middle
napada efektivna dužina je samo 112 bita. 3DES
lagano izlazi iz upotrebe i uveliko se zamijenjuje
sa AES-om. Izuzetak je industriji elektronskog
plaćanja gdje se i dalje proizvode novi 3DES
standardi. Ovo garantuje da će 3DES ostati
aktivan kriptografski standard još dugo vremena.
Zbog samog dizajna DES, a samim tim i 3DES,
su softverski spori. Na modernim procesorima
AES je oko 6 puta brži. 3DES daje nešto bolje
performanse u hardverskim implementacijama, ali
i tu AES daje bolje rezultate. Konačno, AES nudi
veću sigurnost: veći blok i potencijalno duži ključ.
11.IDEA algoritam
Ovo je simetrični blok šifarski algoritam.
Činjenice:
-enkriptuje blok veličine 64 bita;
-koristi ključ dužine 128 bita;
-52 potključa dužine 16 bita;
-koristi jedan par potključeva po rundi;
-koristi 8 unakrsnih runda (iteracije) kod
enkriptovanja;
-dekripcija se vrši inverznom enkripcijom.
Prednosti:
do sada je izdržao 'napade' akademske zajednice
IDEA koristi 52 potključa dužine 16 bitova i ima 8
rundi enkripcija poruke. Po dva potključa se
koriste u svakoj rundi (16), zatim četiri potključa
se koriste pre svake runde (32), a poslednja četiri
potključa koriste se nakon zadnje runde (4) =
16+32+4=52.
Potključevi se dobijaju tako što se 128 bitni ključ
razdeli u prvih 8 potključeva (K1-K8) veličine 16
bita. Zatim se sledećih 8 potključeva dobije tako
što se 25 puta napravi kružni pomeraj ulevo
svakog od prethodno napravljenih potključeva.
Postupak se ponavlja dok se ne kreiraju svi
potključevi. Iako je generisanje ključeva pravilno,
što bi ukazalo na slabost algoritma, do sada je
ovaj algoritam izdržao sva nastojanja akademskih
ustanova na njegovom razbijanju.
12.AES algoritam
Kao što je već rečeno, u toku 2001. godine, NIST
(National Institute of Standards and Technology)
organizacija u SAD je objavila standard za
simetrične kriptografske algoritme AES
(Advanced Encryption Standard) koji je trebalo da
zameni prethodni standard DES (Data Encryption
Standard). Nakon duge selekcione procedure, za
AES algoritam izabran je Rijndael algoritam koga
su realizovali Belgijski istraživači: Joan Daemen i
Vincent Rijmen. Rijndael predstavlja blok šifarski
algoritam koji podržava promenljivu dužinu bloka
informacije (128, 192 i 256 bita) kao i promenljivu
dužinu ključa (128, 192 i 256 bita). Naime, poruke
šifrovane DES algoritmom su se, zbog
nedostataka u samom algoritmu (bezbedonosni
nedostaci u supstitucionim s-tabelama), male
dužine ključa (56-bita) i povećane procesne moći
računara, mogle dešifrovati za samo par časova.
Nakon selekcione procedure, za realizaciju AES
standarda izabran je Rijndael algoritam koga su
realizovali belgijski matečatičari: Joan Daemen i
Vincent Rijmen. Rijndael je blok šifarski algoritam
koji podržava promenljivu dužinu bloka otvorenog
teksta (128, 192 i 256 bita) kao i promenljivu
dužinu ključa (128, 192 i 256 bita). Rijndael
algoritam je u odnosu na konkuretske algoritme
(MARS, RC6, Serpent, Twofish) bio brži i
zahtevao je manje operativne memorije u procesu
šifrovanja i dešifrovanja poruka. Rijndael
algoritam sa 128-bitnom dužinom ključa je brži za
oko 2.5 puta u odnosu na 3-DES algoritam. AES
algoritam realizuje operacije šifrovanja i
dešifrovanja bloka podataka u promenljivom broju
ciklusa. Broj ciklusa zavisi od veličine ključa i
iznosi 10/12/14 za veličinu ključa 128/192/256
bita, respektivno. Pre početka šifrovanja ili
dešifrovanja vrši se ekspanzija ključa.
13. Kriptografski modovi blok šifrarskih
algoritama kriptografski mod predstavlja način
upotrebe bazičnog šifarskog algoritma i najčešće
je kombinacija neke vrste povratne petlje i
određenih jednostavnih operacija. Operacije koje
se primenjuju nad algoritmom su uglavnom
jednostavne jer je bezbednost određena bazičnim
šifarskim algoritmom a ne kriptografskim modom.
Blok šifarski sistemi se primenjuju u različitim
kriptografskim modovima, kao što su:
 ECB (Electronic CodeBook mode),
 CBC (Cipher Block Chaining),
 CFB (Cipher FeedBack) i
 OFB (Output FeedBack).
ECB mod predstavlja najprirodniji i najlakši način
primene blok šifarskih sistema - blok OT se šifruje
u blok ST, Slika 2.10. Svaki OT blok se šifruje
nezavisno. Sa kriptološke strane, ECB mod je
najproblematičniji. Naime, ako kriptoanalitičar
poseduje parove OT i ST za nekoliko poruka,
moguće je da tokom konverzacije dve strane
formira pravu kodnu knjigu, skup odgovarajućih
parova ST i OT, i bez poznavanja ključa. U većini
realnih situacija: fragmenti poruka teže
ponavljanju, različite poruke imaju zajedničke
delove, određeni računarski generisane poruke
(kao e-mail) imaju regularnu strukturu, poruke
mogu biti veoma redundantne i imati veoma duge
nizove nula i pauze. Ovi problemi su najistaknutiji
na početku i na kraju poruke, gde se u dobro
definisanim zaglavljima i futnotama mogu nalaziti
informacije o pošiljaocu, primaocu, datumu, itd.
Formiranje reprezentativne kodne knjige ne samo
da omogućava trećoj strani pristup informacijama
već joj dodatno omogućava da može modifikovati
i ponavljati šifrovane poruke (tzv. block replay
problem) bez poznavanja ključa i algoritma, u
slučaju da ima mogućnost presretanja šifrovanih
poruka između dve strane. Ovi problemi su
inicirali uspostavljanje zavisnosti između susednih
blokova šifrata kroz definisanje novih
kriptografskih modova blok šifarskih sistema.
2.1.2.2 Mod ulančavanja blokova (CBC – Cipher
Block Chaining)
Mehanizam ulančavanja povezuje blokove šifrata
tako što se rezultat šifrovanja prethodnih blokova
koristi pri šifrovanju tekućeg bloka. Drugim
rečima, svaki blok se koristi za modifikaciju
šifrovanja sledećeg bloka tako da svaki blok ST
zavisi ne samo od tekućeg bloka OT već i od svih
prethodnih blokova OT. Načini na koje se to može
ostvariti su raznovrsni.U CBC modu, Slika 2.11,
taj uticaj se realizuje tako što se izvršava
operacija “ekskluzivno ili” (XOR) između OT i
neposredno prethodnog bloka ST, a zatim se tako
dobijeni blok podataka šifruje. Preciznije:
1. U povratni registar se smesti inicijalna
vrednost.
2. Blok otvorenog teksta i sadržaj
povratnog registra se spregnu
operacijom ekskluzivne disjunkcije i
tako dobijeni blok se transformiše
šifarskom transformacijom E čime se
formira blok šifrata C.
3. U povratni registar se smesti C i
proces se ponavlja od koraka 2 sve
dok ima blokova za šifrovanje.
Na taj način, rezultat šifrovanja svakog bloka
zavisi od svih prethodnih blokova.Proces
dešifrovanja sledi direktno i odvija se na sledeći
način:
1. U povratni registar se smesti inicijalna
vrednost.
2. Blok šifrata C dešifruje se primenom
1
transformacije E , tako dobijeni
blok teksta i sadržaj povratnog registra
se spregnu operacijom ekskluzivne
disjunkcije i tako se dobije blok
otvorenog teksta.
3. U povratni registar se smesti C i
proces se ponavlja od koraka 2 sve
dok ima blokova za dešifrovanje.
Matematički, proces šifrovanja i dešifrovanja
može se prikazati na sledeći način, relacijama
(2.1.1.22) i (2.1.1.23), respektivno:
Vuk Bundalo
CTi  Ek (OTi  CTi 1 )
OTi  CTi 1  Dk (CTi )
CBC mod prouzrokuje da se identični blokovi OT
šifruju u različite ST blokove samo ako su neki
prethodni blokovi različiti. Dve kompletno
identične poruke će se ipak šifrovati u iste
ST.Ovaj problem se može rešiti tako što se za
prvi blok podataka uzima neka slučajna veličina.
Ovaj blok slučajnih podataka se naziva
inicijalizacioni vektor (IV). Kada primalac dešifruje
ovaj blok, on prosto smešta IV u povratni registar.
Tekuće vreme sistema (timestamp) često
predstavlja dobro rešenje za IV. Primenom IV,
identične poruke se šifruju u različite ST.
Primenom IV, eliminisana je mogućnost primene
block replay metode. Štaviše, IV ne mora da bude
tajni podatak i može se preneti otvoreno, zajedno
sa ST, uz upotrebu nekog od mehanizama zaštite
integriteta. Međutim, možda ne tako očigledno
kao u ECB modu, i u CBC modu postoje određeni
bezbednosni problemi koji se mogu manifestovati
kao određena mogućnost da kriptoanalitičar
dodaje određene blokove na krajeve poruka koje
se razmenjuju i u činjenici da veoma duge poruke
i dalje nisu imune na pojavljivanje određenih
identičnih oblika iako se vrši proces ulančavanja.
2.1.2.3 Mod povratnog šifrovanja (CFB - Cipher-
Feedback Mode)
U nekim aplikacijama se javlja potreba da se
delovi otvorenog teksta šifruju i prenose u u
jedinicama veličine r bita (r < n –veličina bloka),
što u CBC modu nije moguće. Ovim modom se
prevazilazi osnovni problem CBC moda - da
šifrovanje i prenos podataka ne mogu početi sve
dok se ne primi kompletan blok podataka. U CFB
modu, podaci se šifruju u manjim jedinicama od
aktuelne veličine bloka i ovaj mod se označava
kao r-bitni CFB mod, gde je r manje ili jednako od
veličine bloka osnovnog blok šifarskog sistema.
Proces šifrovanja se odvija na sledeći način, Slika
2.12:
1. Otvoreni tekst se podeli u blokove
veličine r bita, formira se inicijalni
vektor veličine n bita i smesti u
povratni registar. Odabere se K, ključ
za šifarsku transformaciju.
2. Formira se izlazni blok, O, tako što se
izvrši šifarska transformacija ključem K
tekućeg sadržaja povratnog registra.
3. Blok šifrata se formira tako što se
operacija ekskluzivne disjunkcije izvrši
nad tekućim blokom otvorenog teksta i
r bita najmanje težine bloka O.
4. Sadržaj povratnog registra se pomera
za r bita u levo i na mesto r bita
najmanje težine se smešta formirani
blok šifrata.
Koraci 2-4 se ponavljaju sve dok ima blokova
otvorenog teksta. Dešifrovanje se odvija na sličan
način.
1. Formira se inicijalni vektor veličine n
bita i smesti u povratni registar.
Odabere se K, ključ za šifarsku
transformaciju.
2. Formira se izlazni blok, O, tako što se
ivrši šifarska transformacija ključem K
tekućeg sadržaja povratnog registra.
3. Blok otvorenog teksta se formira tako
što se operacija ekskluzivne
 disjunkcije izvrši nad tekućim blokom
šifrata i r bita najmanje težine bloka O.
4. Sadržaj povratnog registra se pomera
za r bita ulevo i na mesto r bita
najmanje težine se smešta tekući blok
šifrata.
Inicijalizacioni vektor ima istu ulogu kao i u CBC
modu, da spreči pojavljivanje istih šifrata u slučaju
istih poruka šifrovanih jednakim ključevima. Iz
opisa načina transformacije jasno je da je za
ispravno dešifrovanje neophodno da je prethodnih
n
se vrši samo XOR-ovanje izlaza algoritma i
jedinica OT.
Detaljna analiza OFB moda rada je pokazala da
ovaj mod rada treba koristiti samo u slučaju da je
r jednako dužini bloka n. Drugim rečima, 64-bitne
blok šifarske algoritme treba koristiti u 64-bitnom
OFB modu.
2.1.2.5 Izbor odgovarajućeg moda rada blok
šifarskog sistema
Jedan od četiri bazična moda rada – ECB, CBC,
OFB ili CFB pogodan je za skoro svaku aplikaciju.
Koji će se mod koristiti zavisi od korisnikovih
specifičnih zahteva. Ako su jednostavnost i brzina
najbitniji, ECB mod je pravi izbor, kao najlakši i
Pored RSA algoritma moguće je koristiti i druga
dva algoritma, DSA (Digital Signature Algorithm) i
ECDSA (Elliptic Curve DSA), koja spadaju u
standard digitalnog potpisa (NIST standard DSS
(Digital Signature Standard).
16. Diffie – Hellman protokol
Појам система са јавним кључевима увели су
Diffie и Hellman 1976. године.
Први такав систем који су они дефинисали био
је протокол, познат под именом размена
кључева Diffie-Hellman.
Два корисника, A и B, изаберу јавно коначну
мултипликативну групу, G, реда n и један њен
елемент  G

 k  blokova šifrata ispravno dešifrovano.
S obzirom da se i u procesu šifrovanja i u procesu
dešifrovanja koristi ista šifarska transformacija, to
algoritam kojim se formira blok O ne može biti iz
klase algoritama sa javnim ključem.
najbrži mod za korišćenje blok šifarskih sistema.
Međutim, ECB mod je najslabiji sa bezbednosne A генерише случајан број a, израчуна
a у
tačke gledišta i ne preporučuje se za šifrovanje G и пошање овај елемент кориснику B
poruka. Sa druge strane, ECB mod je veoma
dobar za šifrovanje kratkih slučajnih podataka, B генерише случајан број b, израчуна b уG
kao što su na primer ključevi, jer se pri tome ne и пошаље овај елемент кориснику A.
iskazuju prepoznate slabosti ECB moda.

Za šifrovanje normalnog OT treba koristiti CBC, A прими b и израчуна

 
b a
уG.
2.1.2.4 Izlazni povratni mod (OFB – Output
Feedback Mode)
CFB ili OFB mod. CBC je generalno najbolji mod
za šifrovanje datoteka. Takođe, ako je aplikacija B прими  a
и израчуна
  a
у G.
b

Ovaj mod rada predstavlja spoj dobrih osobina
ECB i CFB modova rada, sprečava propagaciju
greške i ima poboljšane bezbednosne
karakteristike. OFB mod rada takođe omogućava
prenos podataka u jedinicama manjim od veličine
bloka.
Transformacija otvorenog teksta se odvija na
sledeći način, slika 2.13:
1. Otvoreni tekst se podeli u blokove
veličine r bita, formira se inicijalni
vektor veličine n bita i smesti u
povratni registar. Odabere se K, ključ
za šifarsku transformaciju.
2. Formira se izlazni blok, O, tako što se
izvrši šifarska transformacija ključem K
tekućeg sadržaja povratnog registra .
3. Blok šifrata se formira tako što se
operacija ekskluzivne disjunkcije izvrši
nad tekućim blokom otvorenog teksta i
r bita najmanje težine bloka O.
4. Blok O postaje sadržaj povratnog
registra.
Koraci 2-4 se ponavljaju sve dok ima blokova
otvorenog teksta. Dešifrovanje se odvija na sličan
način.
softverski bazirana, CBC je skoro uvek najbolje На тај начин, A и B поседују заједнички тајни
rešenje. Sa druge strane, CFB mod (specijalno 8-
bitni CFB mod) je generalno mod koji treba birati елемент из групе G  ab
za šifrovanje nizova karaktera u kojima se svaki Криптоаналитичар S може да познаје G, n,
karakter tretira individualno, kao na primer u vezi
između terminala i host računara. OFB mod rada
 a b
se najčešće koristi u sinhronim sistemima visokih
brzina gde se ne toleriše propagacija grešaka. и треба да израчуна елемент  ab
Али проблем је у томе што је тај прорачун
еквивалентан израчунавању дискретног
логаритма. Зато се верује да је “тежак".
14. Problemi simetričnih šifrarskih sistema Primjer
Otkriveni su u procesu rešavanja problema  Нека је p прост број 53.
vezanih za zaštitu tajnosti i distribuciju ključeva
koji je često bio aktuelan u primenama simetričnih G  Z 53
*
Претпоставимо да је и
 2
kriptografskh algoritama. Дистрибуција кључева
– два корисника морају да изаберу тајни кључ нека је један од
пре почетка комуникације и да за његово њених генератора. Протокол Diffie-
преношење користе сигуран канал. Овакав Hellman је следећи низ операција:
сигуран канал није увек на рсполагању.
a  29 израчунава
Манипулација кључевима – У мрежи са n  A бира
корисника, сваки пар корисника мора да има
свој сопствени тајни кључ, што чини укупно  2a 29
 45 mod 53
nn  1 / 2 и шаље 45 кориснику B.
b  19
кључева за ту мрежу. Немогућност
 B бира
реализације процедуре дигиталног потписа – У
израчунава
шифарским системима са тајним кључевима
нема могућности, у општем случају, за  b  219  12 mod 53 и
дигитално потписивање порука, тако да онај
шаље 12 кориснику A.
који прима поруку не може да буде сигуран да
A прима 12 и израчунава
је онај који му је послао поруку заиста њен
1229  21 mod 53
аутор.

15. Asimetrični kriptografski algoritmi B прима 45 и израчунава

 Formira se inicijalni vektor veličine n
bita i smesti u povratni registar.
Odabere se K, ključ za šifarsku
transformaciju.
 Formira se izlazni blok, O, tako što se
ivrši šifarska transformacija ključem K
tekućeg sadržaja povratnog registra.
 Blok otvorenog teksta se formira tako
što se operacija ekskluzivne
disjunkcije izvrši nad tekućim blokom
šifrata i r bita najmanje težine bloka O.
 Sadržaj povratnog registra zameni se
formiranim blokom O.
Koraci 2-4 se izvršavaju sve dok ima blokova za
dešifrovanje.
Prethodno izloženi opis je prema standardu ISO
10116. Postoje takođe i druge varijacije na ovu
temu (npr. FIPS-81) ali se ova izložena verzija
smatra, za sada, najbezbednijom.
Pored toga što se radom u ovom modu
onemogućava propagacija greške, dobra osobina
ovog moda rada je i to što se veći deo
izračunavanja može izvršiti off-line, nakon čega
Asimetrični kriptografski algoritmi predstavljaju
jedno od najvećih dostignuća kriptologije druge
polovine dvadesetog veka. Otkriveni su u procesu
rešavanja problema vezanih za zaštitu tajnosti i
distribuciju ključeva koji je često bio aktuelan u
primenama simetričnih kriptografskh algoritama.
Naime, u asimetričnim šifarskim sistemima se
koriste različiti ključevi za šifrovanje i dešifrovanje,
tzv. javni i tajni ključ, tako da ključ za šifrovanje
može imati svako a samo posednik ključa za
dešifrovanje može dešifrovati poruku. Međutim,
visoka računarska zahtevnost ovih algoritama
utiče na performanse sistema u kojima se
primenjuju, tako da se ne preporučuje primena za
zaštitu tajnosti informacija u sistemima sa velikim
protokom informacija. Ovo naravno ne dezavuiše
automatski ove algoritme jer način na koji je uz
korišćenje ovakvih algoritama moguće ostvariti
funkcije integriteta, autentičnosti i neporicanja ima
nesumnjivu prednost nad tradicionalnim
tehnikama. U literaturi je opisano više algoritama
sa javnim ključem ali sa stanovišta kvaliteta,
otpornosti na razne vrste napada, efikasnost i
lakoću implementacije te rasprostranjenost, nisu
svi podjednako dobri. U tom smislu se kao
prirodni izbor nameće RSA algoritam koji više od
dvadeset godina odoleva svim teorijskim i
tehnološkim napadima. Opis i način upotrebe
ovog algoritma propisani su u standardu PKCS#1.
4
4519  21 mod 53
 Приватни кључ или тајна
информација
коју сада деле A и B је 21.
Z*
 Криптоаналитичар S познаје 53 ,
2, 45 i 12, али не може да
реконструише да је информација
коју деле A и B једнака 21 зато што
мора да израчуна дискретни
логаритам да би то одредио.
17.RSA algoritam
RSA algoritam je prvi put publikovan 1978.
godine. Naziv je dobio po prvim slovima
prezimena autora algoritma (R.L.Rivest,
A.Shamir, L.Adleman). Teorijska osnova
algoritma za realizaciju šifrovanja i dešifrovanja
poruka prikazana je u sledećim teoremama.
Teorema 1: Linearna kongruencija
ax  bmod m
ima rešenje ako i samo ako je NZD(a,m)b (NZD-
najveći zajednički delilac), i u tom slučaju, ako je
x 0 jedno rešenje kongruencije, onda je opšte
rešenje

Vuk Bundalo

 m
x  x0  mod 
 d
gde je d  NZDa, m .
Posledica 1a: Ako su brojevi a i m relativno prosti,
NZDa, m  1, onda linearna
tj.
kongruencija ax  bmod m ima tačno
jedno nekongruentno rešenje po modulu m.
Teorema 2: (Kineska teorema o ostacima) Ako su
n1 , n2 , , nk po parovima relativno prosti
celi brojevi, tada sistem kongruencija:
x  a1 mod n1 
x  a2 mod n2 
x  ak mod nk 
ima jedinstveno rešenje po modulu
n  n1  n2  nk .
Teorema 3: (Ojlerova teorema (L.Euler)) Ako su a
i n uzajamno prosti brojevi, onda je:
 n 
 1mod n
a (2.2.2.16)
(2.2.2.4)
 n označen broj prirodnih brojeva,
gde je sa
ne većih od n, uzajamno prostih sa n.
Posledica 3a: (Fermaova teorema (P. Fermat))
Ako je p prost broj i NZD(a,p)=1, onda je
a p 1  1mod p  .
(2.2.2.5)
Posledica 3b: Ako je n proizvod prostih pozitivnih
brojeva p, q (n=pq) i NZD(a,n)=1, onda je
a  p 1q 1  1mod n  .
(2.2.2.6)
Teorema 4: Neka je proizvod n=pq prirodan broj
gde su p i q prosti pozitivni brojevi. Neka je e
prirodan broj takav da je
1  e   p  1  q  1 i neka su brojevi
e i proizvod  p  1  q  1 relativno
proste veličine. Tada postoji prirodan broj d takav
da je:
d  e 1 mod  p  1  q  1
(2.2.2.7)
i za svaki prirodan broj a, 0  a  n važi:
 a mod n 
ed
a Algoritam za transformaciju poruka baziran na
(2.2.2.8)
Dokaz:
Kako su brojevi e i proizvod brojeva
 p  1  q  1 relativno proste veličine
tada se može, na osnovu teoreme 2, zaključiti da određivanje vrednosti njihovog
postoji prirodan broj d takav da je ispunjeno: proizvoda n=pq.
 U sledećem koraku bira se prirodan
broj e,
e  d  1 mod  p  1  q  1 1  e   p  1  q  1
takav da je
Dati proizvod se može predstaviti na sledeći
NZDe,  p  1  q  1  1
način:
.

Nakon odabira vrednosti za e se
e  d  1  A   p  1  q  1 izračunava broj d takav da je
(2.2.2.10) d  e mod  p  1  q  1
1
.
gde je A prirodan broj.
Proces transformacije poruka odvija se na sledeći
Može se dokazati da za proizvoljan broj a važi
 amod n 
način. Ako se sa M označi numerički ekvivalent
ed poruke M i napiše u obliku M=M1M2 …Mk gde je 0
a .
 Mi < n, i=1, 2, … , k; tada se za svako Mi, i=1, 2,
… , k izračuna:
Neka su a i n relativno prosti brojevi
(NZD(a,n)=1), tada je prema Ojlerovoj teoremi
Ci  M i mod(n)
(2.2.2.4): e
a ed  a 1 A p 1q 1 mod n 
(2.2.2.15)
Poruka C=C1C2 …Ck predstavlja transformisani
 a  (a  p 1 q 1
) A
mod n  oblik poruke M i u datom obliku se poruka M
prenosi primaocu komunikacionim kanalima.
Primalac rekonstruiše poruku tako što znajući
 a  1 A mod n 
vrednosti d, p i q izračunava:
 a mod n 
Ci  M i mod(n)
d
(2.2.2.11)
Neka je NZD(a,n)1 i 0  a < n. Tada je, s
obzirom na oblik broja n, NZD(a,n)=p ili je i ulančavanjem formira originalnu poruku M=M1M2
…Mk. Korektnost navedenog načina
NZD(a,n)=q. Ako se pretpostavi da je
NZD(a,n)=p, tada je, prema Fermaovoj teoremi transformacije i rekonstrukcije poruka direktna je
posledica teoreme 4. Uređeni par (e,n) je javni
ključ a uređena trojka (d,p,q) je tajni ključ RSA
algoritma.
a ed  a mod( p)  0 mod( p)
Po bezbednosnoj klasifikaciji prethodni algoritam
(2.2.2.12) spada u klasu računski bezbednih sistema.
Sigurnost ovog algoritma bazira se na
nepoznavanju efikasnog algoritma za faktorizaciju
a ed  a 1 A p 1q 1 mod( q) prirodnih brojeva i direktno zavisi od veličine broja
n (koja se može izražavati brojem cifara u
a ed  a  (a q 1 ) A p 1 mod( q)
dekadnom ili binarnom zapisu).
Pored asimetričnog kriptografskog algoritma, u
a ed  a  1 A p 1)  mod( q) asimetričnim sistemima je od izuzetne važnosti
izbor odgovarajućeg algoritma za generisanje
asimetričnog para ključeva. U slučaju da je
a ed  a mod( q) asimetrični algoritam RSA algoritam, generisanje
(2.2.2.13) ključeva se odnosi na generisanje velikih slučajnih
prostih brojeva. U tom smislu, takođe su veoma
Kako su p i q prosti brojevi, prema kineskoj značajni algoritmi za proveru da li su izgenerisani
teoremi o ostacima (2.2.2.3), sistem kongruencija: ključevi prosti brojevi.
a ed  X mod  p 
Testovi da li je odgovarajući broj prost generalno
se mogu podeliti na dva tipa:
(2.2.2.14)  Verovatnosni testovi,

 X mod q 
Testovi za dokazivanje da je dati broj
ed
a prost.
Testovi prve grupe su generalno takvi da, kao
ima jedinstveno rešenje X koje je manje od n=pq. rezultat, daju podatak da li je broj složen ili se
Prema prethodnom a je jedno takvo rešenje pa ponaša kao prost. U prvom slučaju broj je sigurno
prema tome i jedino. Na isti način se postupa u složen, i kao takav ne može biti prost, a u drugom
slučaju da je NZD(a,n)=q. Prema prethodno slučaju postoji verovatnoća da se ponaša kao
navedenom, pokazuje se da je u bilo kom slučaju prost ali da nije takav. U ovu grupu testova
zadovoljeno
ed
a  a mod(n)  .
spadaju Fermaov, Solovej-Strasenov i Miler-
Rabinov test.
Testovi druge grupe predstavljaju metode kojim
navedenoj teoremi odvija se na sledeći način. se može dokazati da je broj prost. Generalno ove
metode su računarski veoma zahtevne. U ovu
Neka je M poruka koju je potrebno transformisati. grupu testova spadaju Poklingtonov test, test
Jakobijevih suma i test zasnovan na eliptičkim
 Prvi korak u realizaciji algoritma je krivim.
odabir prostih pozitivnih brojeva p, q i
U ovom generičkom modelu predlaže se Miler-
Rabinov test koji se odvija prema sledećoj
5
Vuk Bundalo
proceduri ( n je broj koji se proverava da li je
prost):
1. Stavimo
n 1  2 m k
neparan broj
2. Izaberimo slučajno broj
a, 0  a  n  1.
3. b  a m mod n
4. Ako je b  1 mod n
tada je n prost i kraj.
5. Od i  0 do k 1 radi
Ako je
b  1 mod n tada je
prost i kraj,
inače
b  b mod n 2
6. n je složen i kraj
Može se pokazati da je verovatnoća greške ovog
algoritma, verovatnoća da se broj proglasi prostim
1 poruke doda jedan bit jedinice, praćen
kada on to nije, jednaka . Nezavisnim izborom
4 reprezentacija dužine poruke priključi rezultatu.
različitih vrednosti za a i sukcesivnim
ponavljanjem testa greška se može učiniti
proizvoljno malom.
Ovaj test je bolji od Fermaovog i Solovej-
Strasenovog u smislu da je kod njega broj lažnih
prostih brojeva najmanji.
18. Osnovne karakteristike hash funkcija
 Шифарски системи са јавним
кључевима, као и системи за
дигитални потпис могу бити веома
спори.
 Такође, у неким случајевима,
дужина дигиталног потписа може
бити већа или једнака дужини саме
поруке која се потписује.
 Да би се решили ови проблеми
користе се hash функције.
 Hash функција је израчунљива
функција која примењена на поруку
m променљиве дужине даје њену
репрезентацију (отисак) фиксне
дужине која се назива њеном hash
вредношћу.
H m
 Hash функције се дефинишу на
следећи начин: H :M M
H m  m'
 У општем случају,
H m
је много
мањих димензија од m. На пример,
m може да има дужину од једног
мегабајта, док
H m
може имати
свега 128 или 160 бита.
 Једносмерна hash функција је hash
функција H дефинисана тако да је
за сваку компримовану поруку m'
тешко реконструисати оригиналну
поруку m за коју важи
m'  H m
 Дакле, једносмерна hash функција
је hash функција која је такође и
једносмерна (One Way).
 Ако је hash функција једносмерна, Postoje četiri nelinearne funkcije, po jedna se
тј. Тешка за инвертовање, такође се koristi u svakoj operaciji:
назива и резиме функција
(Message-digest function). У том
случају, уобичајено је да се
F(X,Y,Z) = (X ^ Y) v ((  X) ^ Z)
вредност
H mназива резиме од
gde je t m, или отисак поруке m.
G(X,Y,Z) = (X ^ Z)v (Y ^ ( Z)
 Употребом hash функција, проблем H(X,Y,Z) = X  Y  Z
дужине поруке или дигиталног
потписа се решава тако што се I(X,Y,Z) = Y  (X v ( Z ))
уместо да се шифрује или
дигитално потписује цела порука m,
потписује се или шифрује само
резиме поруке
H m .
gde navedeni funkcijski znaci predstavljaju ( -
XOR funkcija, ^ - AND funkcija, v - OR funkcija, i 
 Hash функције које се највише - NOT funkcija) Ako Mj predstavlja j-ti podblok
користе у криптографске сврхе су poruke, j=0, …, 15, a <<< s predstavlja funkciju
MD2, MD4 i MD5 (Message Digest), cirkularnog šiftovanja za s bita, tada se pomenute
које је предложио Rivest. Ове četiri operacije mogu predstaviti na sledeći način:
функције дају резимее дужине 128

бита.
Поред њих, веома је популарна и FF(a,b,c,d,Mj,s,ti) označava: a = b +
SHA-1 (Secure Hash Algorithm) ((a + F(b,c,d) + Mj + ti) <<< s)
n функција (NIST) која даје отисак
поруке дужине 160 бита. GG(a,b,c,d,Mj,s,ti) označava: a = b +
((a + G(b,c,d) + Mj + ti) <<< s)
19.MD5 algoritam
HH(a,b,c,d,Mj,s,ti) označava: a = b +
Nakon određenog inicijalnog procesiranja, MD5 ((a + H(b,c,d) + Mj + ti) <<< s)
algoritam procesira ulaznu poruku u blokovima od
II(a,b,c,d,Mj,s,ti) označava: a = b + ((a
512 bita, podeljenim u 16 podblokova dužine 32
+ I(b,c,d) + Mj + ti) <<< s)
bita. Naime, prvo se poruka proširuje na taj način
da se dobije poruka koja je po dužini tačno 64 bita
kraća od odgovarajućeg multipla od 512 bita.
Nakon prethodno opisanog postupka, a, b, c i d
se dodaju na A, B, C i D, respektivno, i algoritam
nastavlja sa narednim blokom podataka. Krajnji
Proširivanje je vrlo jednostavno, prvo se na kraj
rezultat se formira konkatenacijom od dobijenih A,
B, C i D.
zahtevanim brojem nula. Zatim se 64-bitna
20.SHA1 algoritam
Ova dva koraka služe u cilju formiranja poruke
SHA-1 algoritam takođe procesira ulaznu poruku
čija je dužina tačno multipl od 512 bita, što se
u blokovima od 512 bita, podeljenim u 16
zahteva u algoritmu, obezbeđujući pri tome da
podblokova dužine 32 bita. Prvo se poruka
različite poruke neće izgledati isto nakon
proširuje na isti način kao i u MD5 algoritmu, tako
pomenutog proširivanja. Izlaz algoritma
da se dobije poruka koja je po dužini tačno 64 bita
predstavlja skup od 4 32-bitna bloka, spojena tako
kraća od odgovarajućeg multipla od 512 bita.
da jednoznačno formiraju 128-bitnu hash
vrednost.
Naime, prvo se na kraj poruke doda jedan bit
jedinice, praćen zahtevanim brojem nula. Zatim
se 64-bitna reprezentacija dužine poruke priključi
rezultatu. Izlaz algoritma predstavlja skup od 5
Algoritam se sastoji od sledećih koraka: 32-bitna bloka, spojena tako da jednoznačno
formiraju 160-bitnu hash vrednost. Algoritam se
sastoji od sledećih koraka:
 Prvo se poruka obradi tako da je njena
dužina tačno multipl od 512 bita,
 Prvo se poruka obradi tako da je njena
 Zatim se inicijalizuju 4 32-bitne dužina tačno multipl od 512 bita
promenljive (tzv. promenljive
ulančavanja):  Zatim se inicijalizuju 5 32-bitne
promenljive (tzv. promenljive
A=0x01234567 ulančavanja)
B=0x89abcdef A=0x67452301
C=0xfedcba98 B=0xefcdab89
D=0x76543210 C=0x98badcfe
 Zatim počinje glavna petlja algoritma D=0x10325476
koja se izvršava za sve blokove
dužine 512 bita date poruke. Četiri E=0xc3d2elf0
inicijalne promenljive se kopiraju u
 Zatim počinje glavna petlja algoritma
promenljive a, b, b i d. Glavna petlja
se sastoji od 4 faze koje su veoma koja se izvršava za sve blokove
slične. Svaka faza koristi različitu dužine 512 bita date poruke.
operaciju 16 puta, koja se sastoji od  5 inicijalnih promenljivih se kopira u
primene određene nelinearne funkcije
nad tri od četiri promenljive a, b, c ili d.
promenljive a, b, c, d i e.
Zatim se tako dobijeni rezultat dodaje  Glavna petlja se sastoji od 4 faze koje
četvrtoj promenljivoj, podbloku poruke su veoma slične. Svaka faza koristi
i jednoj konstanti. Dobijeni rezultat se različitu operaciju 20 puta, koja se
rotira ulevo promenljivi broj bita i sastoji od primene određene
dodaje se jednoj od četiri promenljive nelinearne funkcije nad tri od pet
a, b, c ili d. Na kraju rezultat promenljivih a, b, c, d ili e. Zatim se
zamenjuje jednu od promenljivih a, b, tako dobijeni rezultat procesira slično
c ili d. Videti Slike 2.19 i 2.20. kao i u MD5 algoritmu.
6
Vuk Bundalo
Nakon prethodno opisanog postupka nad prvim SHA-2 укључује значајне промене у односо на
blokom podataka, izračunate vrednosti свог претходника SHA-1. SHA-2 породица се
promenljivih a, b, c, d i e se dodaju na A, B, C. D састоји од 6 хеш функција са обрадама (хеш
i E, respektivno, i algoritam nastavlja sa narednim вредностима) од 224, 256, 384 или 512 бита:
blokom podataka. Krajnji rezultat se formira SHA-224, SHA-256, SHA-384, SHA-512, SHA-
konkatenacijom od dobijenih A, B, C, D i E.Blok 512/224, SHA-512/256.
poruke se transformiše od 16 32-bitnih reči (M0,
..., M15) u 80 32-bitnih reči (W0, …, W79) prema
sledećem: SHA-256 и SHA-512 су новије хеш функције
обрађиване 32-битним односно 64-битним
Wt=Mt za t=0 do 15 речима. Користе резличите помераје и
адитивне константе, али су им структуре осим
Wt=Mt za t=0 do 15 тога скоро идентичне, разликују се само по
броју рунди. SHA-224 и SHA-384 су
Wt=(Wt-3 Wt-8  Wt-14  Wt-16) <<< 1, za
једноставно окрњене верзије прва два,
t=16 do 79
обрађене другим почетним вредностима. SHA-
Glavna petlja se može opisati na sledeći način: 512/224 и SHA-512/256 су такође окрњене
верзије SHA-512, али су почетне вредности
генерисане методом прописаном Федералним
Стандардом за Обраду Података (FIPS) PUB
Za t=0 do 79 180-4. SHA-2 је објављен 2001. год. од стране
Националног Института за Стандарде и
if 0 ≤ i ≤ 19 then
Технологију, америчког федералног стандарда
f := (b and c) or (FIPS). SHA-2 породица алгоритама
((not b) and d) патентирана је под бројем 6829355. САД су
ослободиле патент плаћања лиценце.
k :=
0x5A827999
 2005. год. појавио се алгоритам за
else if 20 ≤ i ≤ 39 проналажење судара SHA-1
алгоритма у око 2000 мање корака
f := b xor c xor
него до тада. Иако до данас није
d Приватни кључ А је:
објављен ниједан пример судара
код SHA-1 алгоритма, отпортност на
k :=
сударе је мања од очекиване тако
0x6ED9EBA1
да се његово коришћење више не
else if 40 ≤ i ≤ 59 препоручује за послове који се
ослањају на отпорност код судара,
f := (b and c) or као на пример дигитални потпис.
(b and d) or (c and d) Иако је SHA-2 сличан SHA-1,
напади никад нису успешно
k :=
изведени. SHA-256 may be used to
0x8F1BBCDC
hash a message, M, having a length
of l bits, where 0 < l < 264.
else if 60 ≤ i ≤ 79
 The algorithm uses
f := b xor c xor
1) a message schedule of
d Узима јавни кључ А: (p,q,g,y).
sixty- four 32-bit words,
k :=
0xCA62C1D6
2) eight working variables of 32 bits each, and
end
TEMP=(a<<<5)+F(b,c,d)+ 3) a hash value of eight 32-bit words.
e+Wt+Kt
e=d  The final result of SHA-256 is a 256-
bit message digest.
d=c  The words of the message schedule
are labeled W0, W1,…, W63.
c=b<<<30  The eight working variables are
labeled a, b, c, d, e, f, g, and h.
b=a
 SHA- 256 also uses two temporary
a=TEMP words, T1 and T2.
 SHA-512 may be used to hash a
21.SHA2 familija algoritama message, M, having a length of l bits,
where 0 < l < 2128.
 The algorithm uses
SHA-2 (Сигурносни алогоритам хеширања)  a message schedule of eighty 64-bit
је сет криптографских хеш функција words,
дизајниран од стране Националне  2) eight working variables of 64 bits
Безбедносне Агенције (NSA). SHA је each, and
скраћеница за  3) a hash value of eight 64-bit words.
Сигурносни Алгоритам Хеширања.  The final result of SHA-512 is a 512-
Криптографске хеш функције су математичке bit message digest.
операције које се врше над дигиталним  The words of the message schedule
подацима; упоређивањем are labeled W0, W1,…, W79.
обрадђеног "хеша" (резултата извршавања  The eight working variables are
алгоритма) са познатом и очекиваном хеш labeled a, b, c, d, e, f, g, and h.
вредношћу, можемо утврдити интегритет  SHA-512 also uses two temporary
података. На пример, обрађиванјем хеша words, T1 and T2.
скинутог фајла и упоредђивањем резултата са  SHA-384 may be used to hash a
претходно објављеном хеш вредношћу message, M, having a length of l bits,
можемо утврдити да ли је фајл мењан или where 0 < l < 2128.
компромитован. Кључан аспекат  The algorithm is defined in the exact
криптографске хеш функције је његова same manner as SHA-512, with the
отпорност на сударанје, тј. није могуће наћи following two exceptions:
два различита уноса који као резултат дају  The initial hash value has different
исту хеш вредност. value; and
7
Vuk Bundalo
 2. The 384-bit message digest is
obtained by truncating the final hash
value, to its leftmost 384 bits
 SHA-224 may be used to hash a
message, M, having a length of l bits,
where 0 < l < 264.
 The function is defined in the exact
same manner as SHA-256, with the
following two exceptions:
 For SHA-224, the initial hash value
has different value,
 2. The 224-bit message digest is
obtained by truncating the final hash
value to its leftmost 224 bits.
22.DSA algoritam za digitalne potpise
 DSA генерисање кључева,
Страна А у комуникацији извршава
следеће:
Избор простог броја q таквог да је 2159 < q
< 2160.
Избор 1024 битног простог броја p са
особином q|p-1.
Избор елемента h  Zp* и израчунавање
g=h(p-1)/q mod p; поновити израчунавање
све док g1.
Избор случајног целог броја x  [1, q-1].
Израчунати y=gx mod p.
Јавни кључ А је: (p,q,g,y).
x.
 DSA генерисање потписа,
У циљу потписивања поруке m А
извршава следеће:
Избор случајног целог броја k  [1, q-1].
Израчунати r=(gk mod p) mod q.
Израчунати k-1 mod q.
Израчунати s= k-1 (h(m)+xr) mod q, где h
означава SHA-1 хеш вредност.
Ако је s=0, вратити се на почетни корак.
Дигитални потпис поруке m је уређени
пар целих бројева (r,s).
 DSA верификација потписа.
У циљу верификације потписа поруке m,
B извршава следеће:
Израчунати w=s-1 mod q и h(m).
Израчунати u1=h(m)w mod q и u2=rw mod
q.
Израчунати v=(gu1yu2 mod p) mod q.
Верификација дигиталног потписа је
успела ако и само ако је v=r.
23.ECDSA algoritam za digitalni potpis
 ECDSA генерисање кључева,
Страна А у комуникацији извршава
следеће:
Избор елиптичне криве Е која је
дефинисана на простором Zp. Број тачака
елиптичке криве E треба да буде дељив
са великим простим бројем n.
Izbor tačke P  E(Zp) реда n.
Избор случајног целог броја d  [2, n-2].
Израчунати Q=dP.
Јавни кључ А је:
(E,P,n,Q).
Приватни кључ А је: d.
 ECDSA генерисање потписа,
У циљу потписивања поруке m А
извршава следеће:
Избор случајног целог броја k  [2, n-2].
Израчунати kP=(x1,y1) и r=x1 mod n. Ако је
r=0 вратити се на корак 1.
Израчунати k-1 mod n.
Израчунати s= k-1 (h(m)+dr) mod n, где h
означава SHA-1 хеш вредност.
Ако је s=0, вратити се на почетни корак.
Дигитални потпис поруке m је уређени
пар целих бројева (r,s).
 ECDSA верификација потписа
У циљу верификације потписа поруке m,
B извршава следеће:
Узима јавни кључ А: (E,P,n,Q).
Верификује да су r и s цели бројеви у
интервалу [1, n-1].
Израчунати w=s-1 mod n и h(m).
Израчунати u1=h(m)w mod n и u2=rw mod
n.
 Израчунати u1P+u2Q=(x0,y0) и v=x0 mod n.
Верификација дигиталног потписа је
успела ако и само ако је v=r.
26. Aktuelni kripto algoritmi i duzine kljuceva
1. Triple DES
Triple DES was designed to replace the original
Data Encryption Standard (DES) algorithm, which
hackers eventually learned to defeat with relative
ease. At one time, Triple DES was the
recommended standard and the most widely used
symmetric algorithm in the industry.
Triple DES uses three individual keys with 56 bits
each. The total key length adds up to 168 bits, but
experts would argue that 112-bits in key strength
is more like it.
Despite slowly being phased out, Triple DES still
manages to make a dependable hardware
encryption solution for financial services and other
industries.
2. RSA
RSA is a public-key encryption algorithm and the
standard for encrypting data sent over the
internet. It also happens to be one of the methods
used in our PGP and GPG programs.
Unlike Triple DES, RSA is considered an
asymmetric algorithm due to its use of a pair of
keys. You’ve got your public key, which is what
we use to encrypt our message, and a private key
to decrypt it. The result of RSA encryption is a
huge batch of mumbo jumbo that takes attackers
quite a bit of time and processing power to break.
3. Blowfish
Blowfish is yet another algorithm designed to
replace DES. This symmetric cipher splits
messages into blocks of 64 bits and encrypts
them individually.
Blowfish is known for both its tremendous speed
and overall effectiveness as many claim that it
has never been defeated. Meanwhile, vendors
have taken full advantage of its free availability in
the public domain.
Blowfish can be found in software categories
ranging from e-commerce platforms for securing
payments to password management tools, where
it used to protect passwords. It’s definitely one of
the more flexible encryption methods available.
4. Twofish
Computer security expert Bruce Schneier is the
mastermind behind Blowfish and its successor
Twofish. Keys used in this algorithm may be up to
256 bits in length and as a symmetric technique,
only one key is needed.
Twofish is regarded as one of the fastest of its
kind, and ideal for use in both hardware and
software environments. Like Blowfish, Twofish is
freely available to anyone who wants to use it. As
a result, you’ll find it bundled in encryption
programs such as PhotoEncrypt, GPG, and the
popular open source software TrueCrypt.
5. AES
The Advanced Encryption Standard (AES) is the
algorithm trusted as the standard by the U.S.
Government and numerous organizations.
Although it is extremely efficient in 128-bit form,
AES also uses keys of 192 and 256 bits for heavy
duty encryption purposes.
AES is largely considered impervious to all
attacks, with the exception of brute force, which
attempts to decipher messages using all possible
combinations in the 128, 192, or 256-bit cipher.
Still, security experts believe that AES will
eventually be hailed the de facto standard for
encrypting data in the private sector.
27.Faktori autentikacije korisnika
Jedno -, dvo – i tro – komponentni sistemi
autentikacije korisnika.
Sistemi jake autentikacije – dvo – komponentni
sistemi sa uključenom challengeresponse
procedurom.
Pojavni oblici “onoga što se ima”: disketa, mini
CD, hardverski token, smart kartica,
USB smart kartica.
Autentikacioni sistemi najvišeg kvaliteta – dvo– ili
tro–komponentni sistemi autentikacije
sa PKI challenge-response procedurom.
Jaka autentikacija ovlašćenih učesnika u nekom
distribuiranom računarskom sistemu je
jedna od najvažnijih bezbednosnih funkcija koju
dati informacioni sistem treba da
implementira. Način prijavljivanja legalnog
korisnika na određenu računarsku mrežu ili
informacioni sistem korišćenjem standardne
procedure unosom korisničkog imena i
lozinke sigurno nije dovoljno pouzdano niti
dovoljno bezbedno. Naime, postoje tehnike
primenom kojih nelegalni korisnik može u realnom
vremenu izvršiti rekonstrukciju
poverljivih parametara (korisničko ime i lozinka)
legalnog korisnika.
Komponente (faktori) autentikacije korisnika su:
ono što se zna (npr. PIN,
username/lozinka), ono što se poseduje (npr.
token, smart kartica) i određena
biometrijska karakteristika korisnika (npr. otisak
prsta, itd.). Metode jake autentikacije
predstavljaju u stvari dvofaktorsku ili
dvokomponentnu autentikaciju uz najčešće
primenu odgovarajuće challenge-response
procedure.
28. Kod za autentikaciju poruke (MAC) – CBC
MAC algoritam
Kоd zа аutеntikаciјu pоrukе (еng.
Message Authentication Code – MAC) је
јеdnоsmјеrnа hеš funkciја, zаvisnа оd klјučа.
MAC sе kоristi zа prоvјеru intеgritеtа pоrukе i
аutеntikаciјu аutоrа pоrukе. Prоvјеru mоžе dа
izvrši sаmо оnај kо imа klјuč idеntičаn оnоm kојi
је kоrištеn prilikоm gеnеrisаnjа MAC-a. Аlgоritmi
zа gеnеrisаnjе MAC-a mоgu dа sе zаsnivајu nа
blоk šifаrskim аlgоritmimа ili nа hеš funkciјаmа.
CBC-MAC je MAC аlgоritаm bаzirаn nа primјеni
CBC mоdа blоk šifаrskоg аlgоritmа. Pоrukа x sе
izdiјеli nа n blоkоvа i uz upоtrеbu klјučа K
itеrаtivnо sе izrаčunаvа:
𝐻𝑖 = 𝐸𝐾 (𝐻𝑖−1 ⊕ 𝑥𝑖 ), 1 ≤ 𝑖 ≤ 𝑛
Iniciјаlnа vriјеdnоst H0 је niz nulа, čiја је dužinа
јеdnаkа dužini blоkа. MAC vriјеdnоst је pоslеdnji
šifrоvаni blоk, а оstаli šifrоvаni blоkоvi sе
оdbаcuјu. Vеrifikаciјu MAC vriјеdnоsti mоžе dа
urаdi sаmо оnај kо imа klјuč K i tо nа nаčin dа
izrаčunа MAC vriјеdnоst nа оpisаni nаčin i dа
upоrеdi sа primlјеnоm vriјеdnоšću. Аkо su
vriјеdnоsti јеdnаkе vеrifikаciја је uspјеšnа. Аkо
nеkо kо nе znа klјuč K izvrši izmјеnе u pоruci, оn
nеćе mоći gеnеrisаti nоvi MAC zа izmјеnjеnu
pоruku, pа MAC nеćе biti vаlidаn. Rаniје је kао
blоk šifаrski аlgоritаm kоrištеn DES аlgоritаm, аli
8
Vuk Bundalo
sаdа sе prеpоručuје upоtrеbа AES аlgоritmа.
29. Kod za autentikaciju poruke (MAC) - HMAC
algoritam
HMAC (еng. Hash-based MAC) је
MAC аlgоritаm bаzirаn nа primјеni hеš funkciје u
kоmbinаciјi sа klјučеm. Čеstо sе, u zаvisnоsti оd
izbоrа hеš funkciје, skrаćеnicа HMAC prоširuје
dоdаvаnjеm nаzivа hеš funkciје, pа tаkо imаmо
Оsnоvnа idеја nа kојој sе zаsnivајu MAC
аglоritmi bаzirаni nа hеš funkciјi је dа sе klјuč i
pоrukа nаdоvеzuјu, а zаtim sе izrаčunаvа hеš
dоbiјеnе vriјеdnоsti. Dvа nајјеdnоstаvniја pristupа
su dа sе klјuč dоdа pоruci kао prеfiks ili kао
sufiks. Аkо sе klјuč dоdа pоruci kао prеfiks MAC
izrаčunаvа nа slеdеći nаčin:
𝑀𝐴𝐶𝑘 (𝑥) = ℎ(𝑘||𝑥)
Sličnо, аkо sе klјuč dоdа pоruci kао sufiks MAC
је:
𝑀𝐴𝐶𝑘 (𝑥) = ℎ(𝑥||𝑘)
Simbоl || оvdе оznаčаvа spајаnjе klјučа k i
pоrukе x, a h оznаčаvа hеš funkciјu. Оvа dvа
pristupа nisu kriptоgrаfski sigurnа.
Kоristi sе trеći pristup, kојi zаprаvо
dеfinišе HMAC аlgоritаm. Prvо sе vrši prоširivаnjе
klјučа k dоdаvаnjеm nizа nulа nа krај klјučа, tаkо
dа vеličinа rеzultuјućеg klјučа k+ budе јеdnаkа
vеličini ulаznоg blоkа hеš funkciје. Zаtim sе vrši
оpеrаciја XOR nаd prоširеnim klјučеm k+ i
kоnstаntоm ipad. Kоnstаntа ipad prеdstаvlја niz
kојi је sаstаvlјеn оd bајtа 00110110, pоnоvlјеnоg
оnоlikо putа kоlikо је pоtrеbnо dа sе fоrmirа blоk
vеličinе ulаznоg blоkа hеš funkciје.
ipad = 0011011000110110. . .00110110
Rеzultаt оpеrаciје XOR sе spаја sа pоrukоm x,
tаkо štо sе dоdаје nа pоčеtаk pоrukе. Nаd
rеzultаtоm spајаnjа sе primјеnjuје hеš funkciја
h[(k+ ⊕ ipad)||x]. Zаtim sе vrši оpеrаciја XOR nаd
prоširеnim klјučеm k+ i kоnstаntоm opad. Оvа
kоntаntа је, kао i ipad, vеličinе ulаznоg blоkа hеš
funkciје, sаmо је bајt kојi sе pоnаvlја drugаčiјi.
opad = 0101110001011100. . .01011100
Rеzultаt оvе оpеrаciје XOR sе sа spаја sа
izrаčuntоm hеš vriјеdnоšću, tаkо štо sе dоdаје nа
pоčеtаk hеš vriјеdnоsti. Nа krајu sе primјеnjuје
hеš funkciја nа tаkо dоbiјеn niz i izrаčunаtа hеš
vriјеdnоst prеdstаvlја HMAC vriјеdnоst.
𝐻𝑀𝐴𝐶𝑘 (𝑥) = ℎ[(𝑘 + ⊕ opad)||ℎ[(𝑘 + ⊕ ipad)||𝑥]]
HMAC аlgоritаm imа širоku primјеnu, izmеđu
оstаlоg kоristi sе zа аutеntikаciјu pоrukа u
prоtоkоlimа IPsec i TLS.
30. OTP – Lamport-ova šema
One-time password (OTP) је lоzinkа kоја sе
kоristi sаmо јеdnоm, оdnоsnо vаlidnа је sаmо zа
јеdаn prоcеs аutеntikаciје.
Svаkа nоvа аutеntikаciја zаhtеvа gеnеrisаnjе
nоvе lоzinkе.
Pоstојi vеći brој аlgоritаmа zа gеnеrisаnjе OTP-а,
nеki su vlаsnički (npr. RSA SecurID аlgоritаm), а
nеki su оtvоrеni (npr. аsоciјаciја Initiative for
Open Authentication rаzviја оtvоrеnе stаndаrdе).
One-time password šеmu je prvi prеdstаviо Leslie
Lamport a kаsniје је u Bellcore-u nа оsnоvu
njegovog rаdа implеmеntirаn S/KEY one-time
password sistеm zа аutеntikаciјu.
Lamport-оvа šеmа sе zаsnivа nа upоtrеbi hеš
funkciје i gеnеrisаnju lоzinki kоје sе bаzirајu nа
prеthоdnој.
Nа pоčеtku kоrisnik оdаbеrе slučајаn niz P.
Gеnеrisаnjе lоzinki sе vrši tаkо štо sе izvršavа
hеš funkciја f višе putа nа slеdеći nаčin f(P),
f(f(P)), f(f(f(x))) i tаkо dаlје, stоtinu ili hilјаdu putа.
Dоbiјеnе hеš vrеdnоsti mоžеmо оznаčiti sа x1, x2,
x3, …, x100.
Kоrisnik dоbiја listu оvih vrеdnоsti nа pаpiru ili nа
nеki drugi nаčin.
Sеrvеr izrаčunаvа x101 i čuvа sаmо tu hеš
vrеdnоst, zа dаtоg kоrisnikа.
Kаdа kоrisnik pristupi prоcеsu аutеntikаciје оn
unоsi, pоrеd svоg kоrisničkоg imеnа, vrеdnоst
x100.
Sеrvеr izrаčunаvа f(x100) i upоrеđuје tu vrеdnоst
sа x101. Аkо sе slаžu, аutеntikаciја kоrisnikа је
uspеšnа.
Sеrvеr sаdа umеstо pоdаtkа x101 čuvа x100.
Kоrisnik prilikоm slеdеćе аutеntikаciје kоristi x99,
dаklе kоristi sе pоslеdnjа nеiskоrištеnа lоzinkа.
U оpštеm slučајu kоrisnik unоsi hеš vrеdnоst xi, а
sеrvеr izrаčunаvа f(xi) i upоrеđuје tu vrеdnоst sа
xi+1.
Kаdа kоrisnik iskоristi svе lоzinkе mоrа dа
оdаbеrе nоvu iniciјаlizаciоnu vrеdnоst P i prоđе
pоnоvni prоcеs gеnеrisаnjа nоvih lоzinki.
Sigurnоst оvоg sistеmа sе zаsnivа nа sigurnоsti
hеš funkciје.
Аkо nаpаdаč prisluškuјući dоđе dо lоzinkе xi , оn
nеćе imаti kоristi оd njе, јеr је оnа vеć
iskоrištеnа.
Nаpаdаčа zаnimа slеdеćа lоzinkа xi-1, а dа bi nа
оsnоvu xi dоšао dо xi-1 оn mоrа dа izvrši invеrznu
оpеrаciјu оpеrаciјi hеširаnjа f-1(xi)= xi-1.
Аkо је hеš funkciја kriptоgrаfski sigurnа tо је
prаktičnо nеizvоdlјivо.
31.HOTP (HMAC OTP) algoritam – OATH
Аsоciјаciја Initiative for Open Authentication је
2005. gоdinе u [22] dеfinisаlа HOTP, one-time
password sistеm bаzirаn nа hеš bаzirаnоm kоdu
zа аutеntikаciјu pоrukа – HMAC. HOTP аlgоritаm
sе zаsnivа nа upоtrеbi brојаčа C i klјučа K. Klјuč
је pоznаt sаmо sеrvеru kојi vrši vаlidаciјu i tоkеnu
kојi gеnеrišе јеdnоkrаtnu lоzinku. Svаkоm tоkеnu
је dоdјеlјеn јеdinstvеn klјuč. Тоkеn kојеg kоrisnik
kоristi mоžе biti hаrdvеrski ili sоftvеrski. Zа
gеnеrisаnjе HOTP vriјеdnоsti kоristi sе HMAC-
SHA1 аlgоritаm. Prvi kоrаk kоd gеnеrisаnjа
HOTP vriјеdnоsti prеdstаvlја rаčunаnjе HMAC-
SHA1 vriјеdnоsti nа оsnоvu klјučа K i brојаčа C.
𝐻𝑆 = HMAC-SHA1(𝐾, 𝐶) Hеš funkciја SHA1
gеnеrišе 160-bitnu hеš vriјеdnоst, pа је HS
vеličinе 20 bајtоvа. Dоbiјеnа vriјеdnоst је
prеdugаčkа zа unоšеnjе оd strаnе kоrisnikа
prilikоm аutеntikаciје, pа sе vrši skrаćivаnjе. Оvај
prоcеs sе nаzivа dinаmičkо skrаćivаnjе.
Dinаmičkо skrаćivаnjе zаpоpčinjе uzimаnjеm 4
nајnižа bitа krајnjеg dеsnоg bајtа vriјеdnоsti HS.
Kоnvеrtоvаnjеm tа 4 bitа u brој dоbiја sе pоmјеrај
čiја је vriјеdnоst izmеđu 0 i 15, uklјučuјući i njih.
0 ≤ 𝑝о𝑚је𝑟ај ≤ 15
Pоmјеrај оdrеđuје kоја 4 bајtа оd mоgućih 20 ćе
biti оdаbrаni. Uzimа sе bајt čiјi је rеdni brој brојеći
s liјеvа јеdnаk dооbiјеnоm pоmјеrајu i uz njеgа
јоš nаrеdnа tri bајtа.
𝑃 = 𝑏ај𝑡[𝑝о𝑚је𝑟ај] … 𝑏ај𝑡[𝑝о𝑚је𝑟ај + 3]
Zаtim sе primјеnjuје mаskа nаd dоbiјеnоm
vriјеdnоšću P, tаkо dа sе оsigurа dа vit nајvišе
tеžinе budе јеdnаk nuli. То sе rаdi zbоg
pоstizаnjа intеrоpеrаbilnоsti izmеđu prоcеsоrа,
оdnоsnо dа sе izbјеgnе zаbunа izmеđu
оznаčеnih i nеоznаčеnih brојеvа prilikоm kаsniјеg
mоdulаrnоg rаčunаnjа. Маskirаnjе nајvišеg bitа
sе rаdi nа slеdеći nаčin:
𝑃𝑀 = 𝑃&0x7FFFFFFF
I nа krајu sе izrаčunаvа HOTP vriјеdnоst, tаkо dа
imа žеlјеnu dužinu: 𝐻𝑂𝑇𝑃 = 𝑃𝑀𝑚𝑜𝑑10𝑑
Оvdе d оznаčаvа žеlјеni brој cifаrа u kоnаčnој
HOTP vriјеdnоsti. Оbičnо је tо оd 6 dо 8 cifаrа.
Brојаč C sе nа sеrvеru inkrеmеntuје
sаmо nаkоn uspјеšnе аutеntikаciје, dоk sе nа
tоkеnu brојаč inkrеmеntuје svаki put kаdа
kоrisnik zаtrаži nоvu јеdinstvеnu lоzinku – HOTP.
Аkо kоrisnik nе kоristi lоzinku zа аutеntikаciјu, а
gеnеrišе ih, brојаči nа sеrvеru i tоkеnu gubе
sinhrоnizаciјu. Тај prоblеm sе rјеšаvа nа nаčin dа
sеrvеr prоvјеrаvа HOTP vriјеdnоsti zа nеkоlikо
slеdеćih vriјеdnоsti brојаčа C i pоrеdi sа
primlјеnоm HOTP vriјеdnоšću. Аkо sе vriјеdnоsti
pоklаpајu, оndа је izvršеnа rеsinhrоnizаciја.
HOTP је bеsplаtаn i оtvоrеn
аlgоritаm, pа је rеаlizоvаn vеći brој
implеmеntаciја u vidu hаrdvеrskih tоkеnа, аli i u
vidu sоftvеrskih аplikаciја nа mоbilnim
plаtfоrmаmа. Pоstоје implеmеntаciје zа gоtоvо
svе mоbilnе plаtfоrmе, pа mоbilni urеđајi mоgu
dа sе kоristе kао tоkеni.
HOTP sе svrstаvа u grupu sistеmа zа
јеdnоkrаtnе lоzinkе kојi su zаsnоvаni nа
dоgаđајu (еng. event-based one-time password),
јеr sе gеnеrisаnjе nоvе јеdnоkrаtnе lоzinkе inicirа
dоgаđајеm – zаhtјеvоm kоrisnikа. Svаkim nоvim
zаhtјеvоm sе inkrеmеntirа vriјеdnоst brојаčа C, а
pоštо HOTP vriјеdnоst dirеktnо zаvisi оd brојаčа,
tа vriјеdnоst sе miјеnjа sаmо u zаvisnоsti оd
аkciја kоrisnikа.
32. TOTP (Time based OTP) algoritam – OATH
Аsоciјаciја Initiative for Open
Authentication је 2011. gоdinе оbјаvilа Time-
Based One-Time Password (TOTP) аlgоritаm kојi
је bаzirаn nа vrеmеnu (еng. time-based one-time
password) u [24]. U suštini TOTP је mоdifikоvаnа
vеrziја HOTP аlgоritmа, prilаgоđеnа dа umјеstо
brојаčа C kоristi vriјеmе kао оsnоvu zа
gеnеrisаnjе јеdinstvеnih јеdnоkrаtnih lоzinki. U
оsnоvi, TOTP sе dеfinišе izrаzоm (15).
𝑇𝑂𝑇𝑃 = 𝐻𝑂𝑇𝑃(𝐾, 𝑇)
Оvdје је Т cјеlоbrојnа vriјеdnоst kоја sе
inkrеmеntuје svаkih 30 ili 60 sеkundi, u zаvisnоsti
оd vеličinе vrеmеnskоg kоrаkа X. Prеcizniје Т sе
dоbiја nа slеdеći nаčin:
𝑇 = (𝑡𝑟е𝑛𝑢𝑡𝑛о_𝑣𝑟𝑖је𝑚е − Т0 )⁄𝑋
Gdје је X vrеmеnski kоrаk u sеkundаmа,
pоdrаzumiјеvаnо је X = 30. Dоk је Т0 Unix
vriјеmе, оd kојеg sе pоčinjе rаčunаti vriјеmе,
pоdrаzumiјеvаnо је Т0 = 0 (štо prеdstаvlја
1.1.1970). Nаkоn diјеlјеnjа vrši sе zаоkruživаnjе
nа nајvеći ciјеli brој kојi је mаnji оd dоbiјеnоg
rеzultаtа diјеlјеnjа (floor funkciја).
One-time password-i gеnеrisаni
unutаr јеdnоg vrеmеnskоg kоrаkа X ćе biti isti.
Prilikоm аutеntikаciје sеrvеr primа kоrisnikоv OTP
i gеnеrišе OTP zа оdgоvаrајućеg kоrisnikа,
kоristеći vriјеmе kаdа је primlјеn kоrisnikоv OTP.
Zаtim pоrеdi оvа dvа OTP-а, аkо su isti
аutеntikаciја је uspјеšnа. Dаklе, OTP је vаlidаn
sаmо аkо је gеnеrisаn i primlјеn nа vаlidаciоnоm
sеrvеru u оkviru istоg vrеmеnskоg kоrаkа X.
Zbоg vrеmеnskоg kаšnjеnjа pri
prеnоsu krоz mrеžu, vrеmеnski pеriоd izmеđu
trеnutkа kаdа је OTP gеnеrisаn i trеnutkа kаdа је
stigао nа sеrvеr mоžе biti vеlik. Zbоg tоgа sеrvеr
prilikоm prоvјеrе primlјеnоg OTP-а mоžе
gеnеrisаti rаzličit OTP оd primlјеnоg, јеr је istеkао
vrеmеnski pеriоd X unutаr kојеg је kоrisnik
gеnеrisао OTP. I kаd kаšnjеnjе pri prеnоsu krоz
mrеžu niје vеlikо оvај prоblеm mоžе dа sе јаvi
аkо kоrisnik gеnеrišе OTP prеd krај vrеmеnskоg
pеriоdа X, pа ćе OTP biti primlјеn nа sеrvеru u
slеdеćеm vrеmеnskоm kоrаku i аutеntikаciја nеćе
biti uspјеšnа. Dа bi sе оvај prоblеm izbјеgао
sеrvеr trеbа dа pоrеdi primlјеni OTP, nе sаmо sа
оnim kојi је sеrvеr gеnеrisао u trеnutku kаdа је
kоrisnikоv OTP primlјеn, vеć i zа nеkоlikо
vrеmеnskih kоrаkа X unаzаd. Vеličinа
vrеmеnskоg kоrаkа X mоrа biti dоvоlјnо vеlikа dа
sе izbјеgnе nаvеdеni prоblеm, аli i dоvоlјnо mаlа
dа sе spriјеči dа, аkо nаpаdаč dоđе dо OTP-а,
mоžе dа gа iskоristi dоk је vаlidаn. U [24] sе
prеpоručuје dа vrеmеnski kоrаk X budе 30
sеkundi, dоk nеki drugi vrеmеnski bаzirаni OTP
sistеmi imајu vrеmеnski kоrаk оd 60 sеkundi.
Оdаbir dužinе vrеmеnskоg kоrаkа X prеdstаvlја
prоnаlаžеnjе bаlаnsа izmеđu sigurnоsti i
upоtrеblјivоsti.
Јоš јеdаn prоblеm muči vrеmеnski
bаzirаnе OTP sistеmе, nеsinhrоnizоvаni čаsоvnici
kоd kоrisnikа sа čаsоvnikоm nа sеrvеru. Dа bi sе
оvај prоblеm riјеšiо, sеrvеr pri prоvјеri isprаvnоsti
primlјеnоg OTP-а, gеnеrišе OTP u trеnutku kаdа
је primlјеn kоrisnikоv OTP, аli gеnеrišе OTP i zа
nеkоlikо vrеmеnskih kоrаkа X unаpriјеd i unаzаd.
Аkо sе prоnаđе pоklаpаnjе primlјеnоg OTP-а i
јеdnоg оd gеnеrisаnih, sеrvеr bilјеži zа dаtоg
kоrisnikа vrеmеnsku rаzliku. Prilikоm slеdеćе
аutеntikаciје sеrvеr uzimа u оbzir sаčuvаnu
vrеmеnsku rаzliku, pа је nа tај nаčin izvršеnа
rеsinhrоnizаciја. Меđutim, оvаkvа rеsinhrоnizаciја
imа grаnicе. Pоštо sеrvеr prоvјеrаvа OTP sаmо
zа nеkоlikо vrеmеnskih kоrаkа X unаpriјеd i
unаzаd, tо znаči dа је mоgućе dа vrеmеnskа
rаzlikа izmеđu čаsоvnikа budе prеvеlikа dа bi sе
mоglа izvršiti rеsinhrоnizаciја. U tаkvim
slučајеvimа sе mоrа оsigurаti dа kоrisnik mоžе dа
sе аutеntikuје nа nеki drugi nаčin i dа sе tаdа
izvrši rеsinhrоnizаciја.
33. Challenge-response algoritmi na bazi
simetričnog ključa i simetričnog algoritma
9
Vuk Bundalo
Challenge-response аutеntikаciја
bаzirаnа nа simеtričnоm klјuču sе rеаlizuје
upоtrеbоm simеtričnоg аlgоritmа zа šifrоvаnjе ili
primјеnоm hеš bаzirаnоg аlgоritmа zа
аutеntikаciјu pоrukа (HMAC). U оbа slučаја,
strаnа A i strаnа B u prоcеsu аutеntikаciје,
mоrајu imаti unаpriјеd dоgоvоrеn tајni klјuč.
Nајprоstiјi prоtоkоl zа challenge-response
аutеntikаciјu kојi sе rеаlizuје upоtrеbоm
simеtričnоg аlgоritmа zа šifrоvаnjе izglеdа оvаkо:
RA
А B
RB, EK(K,RA)
А B
EK(K,RB)
А B
Nа pоčеtku strаnа B dоkаzuје strаni A
svој idеntitеt. Strаnа A gеnеrišе i šаlје slučајni
brој RA strаni B. Strаnа B šifruје primlјеni brој
tајnim klјučеm K i vrаćа šifrоvаnu vriјеdnоst
EK(K,RA) i slučајni brој RB strаni A. Strаnа A
prоvјеrаvа isprаvnоst primlјеnе šifrоvаnе
vriјеdnоsti tаkо štо sаmоstаlnо šifruје brој RA sа
tајnim klјučеm K i pоrеdi sа primlјеnоm
vriјеdnоšću. Аkо su јеdnаkе strаnа A vјеruје dа је
sа drugе strаnе zаistа B. Zаtim, strаnа A šifruје
primlјеni slučајni brој RB tајnim klјučеm K i šаlје
šifrоvаnu vriјеdnоst EK(K,RB) strаni B. Strаnа B
prоvјеrаvа tаčnоst primlјеnе šifrоvаnе vriјеdnоsti i
аkо utvrdi dа је tаčnа vјеruје dа је sа drugе
strаnе zаistа A.
34.Challenge-response algoritmi na bazi
simetričnog ključa i HMAC algoritma
Еkvivаlеntаn prоtоkоl kојi kоristi hеš
bаzirаni MAC аlgоritаm izglеdа оvаkо:
RA
A B
RB, HK(K,RA)
A B
HK(K,RB)
A B
Оvdе је sа HK оznаčеnа hеš bаzirаnа
MAC funkciја. Nа pоčеtku strаnа A šаlје slučајni
brој RA strаni B. Strаnа B izrаčunаvа HMAC
vriјеdnоst HK(K,RA) kоristеći tајni klјuč K i
primlјеnu vriјеdnоst RA, zаtim šаlје dоbiјеni
rеzultаt i slučајni brој RB strаni A. Strаnа A
izrаčunаvа HK(K,RA) i аkо је rеzultаt јеdnаk
primlјеnој vriјеdnоsti HK(K,RA) оndа strаnа A
vјеruје dа је sа drugе strаnе B. U trеćеm kоrаku
strаnа A dоkаzuје svој idеntitеt strаni B šаlјući
HK(K,RB).
dodatno
Оvа dvа prоtоkоlа, kао štо vidimо,
оmоgućаvајu mеđusоbnu аutеntikаciјu dviјu
strаnа. Challenge-response аutеntikаciоni
prоtоkоli su nајčеšćе rеаlizоvаni upоtrеbоm hеš
bаzirаnih MAC аlgоritаmа, pа ćе u nаstаvku biti
rаzmаtrаn sаmо оvај tip challenge-response
аutеntikаciје bаzirаnе nа simеtričnоm klјuču.
Iаkо dvа nаvеdеnа prоtоkоlа nа prvi pоglеd
izglеdајu sаsvim kоrеktnо, оni su pоdlоžni
“nаpаdu rеflеksiјоm” (еng. reflection attack) [27].
Prеtpоstаvimо dа sе nаpаdаč C pоkušаvа strаni
B prеdstаviti kао strаnа A.
RB
C B
RB
C B
R'B, HK(K,RB)
C B
HK(K,RB)
C B
Nаpаdаč C primа оd strаnе B slučајni
brој RB i stаrtuје isti prоtоkоl, аli u suprоtnоm
smјеru, šаlјući mu primlјеni brој RB. Strаnа B, u
uvјеrеnju dа dоkаzuје svој idеntitеt strаni A,
kоristi klјuč K strаnе A zа izrаčunаvаnjе
vriјеdnоsti HK(K,RB). Оvu vriјеdnоst šаlје
nаpаdаču i оmоgućаvа mu dа sе u drugој
оdvојеnој sеsiјi аutеntikuје kао strаnа A.
Nаpаdаč kоd оvоg nаpаdа
uspоstаvlја dviје оdvојеnе sеsiје sа strаnоm B,
pа sе u litеrаturi zа оvај nаpаd kоristi i nаziv
“nаpаd pаrаlеlnim sеsiјаmа” (еng. parallel
sessions attack) [28]. Оvаkаv nаpаd је mоguć
zbоg simеtriје prоtоkоlа. Моgućа rјеšеnjа
prоizilаzе iz tоgа dа trеbа rаzbiti uоčеnu
simеtričnоst u prоtоkоlu. Prvо mоgućе rјеšеnjе
pоdrаzumiјеvа upоtrеbu dvа rаzličitа klјučа KAB i
KBA. Klјuč KAB sе kоristi sаmо kаdа A šаlје pоruku
strаni B, tј. A sаmо šifruје pоrukе tim klјučеm, а B
sаmо dеšifruје. Isti princip vаži i zа klјuč KBA,
sаmо u оbrnutоm smјеru. Izmiјеnjеni prоtоkоl
izglеdа оvаkо:
RA
A B
RB, HK(KBA,RA)
A B
HK(KAB,RB)
A B
Drugо mоgućе rјеšеnjе pоdrаzumiјеvа
uklјučivаnjе imеnа pоšilјаоcа pоrukе u pоruku dа
bi sе spriјеčilа mоgućnоst pоnоvnе upоtrеbе
pоrukе u drugоm smјеru. Prоcеs аutеntikаciје u
оvоm slučајu izglеdа оvаkо
RA
А B
RB, HK(K,RA,B)
А B
HK(K,RB,A)
А B
Ovа dvа rјеšеnjа su prеdlоžеnа u
[27]. Тrеćе mоgućе rјеšеnjе је dа rаzličitе strаnе
u prоcеsu аutеntikаciје kоristе rаzličitе skupоvе
slučајnih brојеvа, npr. skup pаrnih brојеvа zа
јеdnu strаnu i skup nеpаrnih zа drugu strаnu.
Prеdlоžеnа rјеšеnjа sprеčаvајu
nаvеdеni nаpаd rеflеksiјоm, аli оvаkvа rјеšеnjа i
dаlје nе dајu sigurаn prоtоkоl. U slučајеvimа
kаdа је оmоgućеnа mеđusоbnа аutеntikаciја
dviје strаnе, оvi prоtоkоli su pоdlоžni slеdеćеm
nаpаdu:
R1
A M
R2, HK(K,R1,A)
A M
R2
M B
R3, HK(K,R2,B)
M B
HK(K,R2,B)
A M
Nаpаdаč M nаstојi dа sе strаni A
prеdstаvi kао B. Nа pоčеtku šаlје slučајni brој R1
strаni A. Strаnа A gеnеrišе R2 i izrаčunаvа
HK(K,R1,A) i šаlје ih nаpаdаču M. Nаpаdаč
uspоstаvlја pаrаlеlnu sеsiјu sа B i šаlје mu R2 kојi
је primiо оd A, pri tоm glumеći strаnu A. Strаnа B
gеnеrišе R3 i izrаčunаvа HK(K,R2,B) i šаlје
nаpаdаču M. Nаpаdаč primlјеnо HK(K,R2,B)
prоslеđuје strаni A i uspiјеvа dа ubiјеdi strаnu A
dа је оn zаprаvо strаnа B. Vidimо dа u оvоm
nаpаdu nаpаdаč vrši mаnipulаciјu tоkоm
prоtоkоlа i pоdаtkе iz јеdnе sеsiје kоristi u drugој
sеsiјi. Rјеšеnjе kоје sprеčаvа оvај nаpаd,
prеdlоžеnо u [28], izglеdа оvаkо:
RB
A B
RA, HK(K,RA,RB,A)
A B
HK(K,RA,B)
A B
Vidimо dа sе u drugоm i trеćеm
kоrаku unоsi rаzlikа u izrаčunаvаnju HMAC
vriјеdnоsti. U drugоm kоrаku, kаd A оdgоvаrа
strаni B, pri izrаčunаvаnju HMAC vriјеdnоsti
kоristе sе RA i RB, dоk sе u trеćеm kоrаku kоristi
sаmо RA. Nа tај nаčin HMAC vriјеdnоst iz drugоg
kоrаkа sе nе mоžе iskоristiti zа prоslеđivаnjе u
trеći kоrаk, kао štо је biо slučај kоd prеthоdnоg
nаpаdа.
35.OCRA algoritam - OATH
Challenge/response autentikacija
Kаkо sе iz sаmоg nаzivа mоžе
zаklјučiti OATH Challenge-Response Algorithm
(OCRA) је challenge-response аutеntikаciоni
аlgоritаm kојi је krеirаlа оrgаnizаciја OATH
sе dоbiје sigurаn, flеksibilаn, оtvоrеn i bеsplаtаn
challenge-response аutеntikаciоni аlgоritаm.
OCRA оmоgućаvа pоrеd challenge-response
аutеntikаciје i digitаlnо pоtpisivаnjе, аli tо nеćе
biti rаzmаtrаnо оvdе. OCRA је dеtаlјnо оpisаn u
[30]. OCRA bаzirаn nа HOTP аlgоritmu, s tim dа
sе umјеstо brојаčа kојi sе inkrеmеntuје kоristi
prоmјеnlјivi pоdаtаk kојi sаdrži slučајnо оdаbrаnе
izаzоvе. OCRA sе dеfinišе slеdеćim izrаzоm:
𝑂𝐶𝑅𝐴 = 𝐶𝑟𝑦𝑝𝑡𝑜𝐹𝑢𝑛𝑐𝑡𝑖𝑜𝑛(𝐾, 𝐷𝑎𝑡𝑎𝐼𝑛𝑝𝑢𝑡)
CryptoFunction prеdstаvlја јеdаn оd
оblikа HOTP аlgоritmа kојi, kоristеći klјuč K i
prоmјеnlјivi pоdаtаk DataInput, izrаčunаvа OCRA
vriјеdnоst. Pоdrаzumiјеvаnо sе kоristi HOTP-
SHA1-6, gdје 6 оznаčаvа dа sе vrši dinаmičkо
skrаćivаnjе nа 6 cifаrа. Тајni klјuč K је pоznаt
оbјеmа strаnаmа. DataInput sаdrži spојеnе
vriјеdnоsti višе rаzličitih ulаznih pоdаtаkа.
𝐷𝑎𝑡𝑎𝐼𝑛𝑝𝑢𝑡 = {𝑂𝐶𝑅𝐴𝑆𝑢𝑖𝑡𝑒, 00, 𝐶, 𝑄, 𝑃, 𝑆, 𝑇}
• OCRASuite је string kојi dеfinišе
tаčаn оblik HOTP аlgоritmа kојi sе
kоristi kао CryptoFunction, zаtim
dеfinišе fоrmаt pаrаmеtаrа C, Q, P, S i
T, kао i kојi оd оpciоnih pаrаmеtаrа su
uklјučеni u DataInput.
• 00 је bајt kојi služi zа rаzdvајаnjе
OCRASuite оd оstаtkа znаkоvnоg
nizа.
• C је nеоznаčеni 8-bајtni brојаč i
prеdstаvlја оpciоni pаrаmеtаr zа svе
OCRA mоdоvе.
• Q је 128-bајtni izаzоv i оvо је
оbаvеzаn pаrаmеtаr. Аkо sе vrši
mеđusоbnа аutеntikаciја Q sаdrži: |
izаzоv drugе strаnе | vаš izаzоv |.
• P prеdstаvlја hеš vriјеdnоst PIN-а ili
lоzinkе kоја је pоznаtа оbјеmа
strаnаmа i оvо је оpciоni pаrаmеtаr.
• S sаdrži infоrmаciје о trеnutnој sеsiјi i
prеdstаvlја оpciоni pаrаmеtаr.
• T prеdstаvlја vrеmеnsku оznаku,
tаkоđе оpciоni pаrаmеtаr.
Nаzоvimо оvdе dviје strаnе u prоcеsu
аutеntikаciје kliјеnt i sеrvеr. Kliјеnt i sеrvеr trеbа
dа sе dоgоvоrе оkо јеdnе ili dviје OCRASuite
vriјеdnоsti, u zаvisnоsti оd tоgа dа li sе
аutеntikuје sаmо јеdnа ili оbје strаnе. Zа
mеđusоbnu аutеntikаciјu trеbа dа sе dоgоvоrе о
2 OCRASuite vriјеdnоsti.
OCRASuite sе sаstојi оd tri diјеlа
rаzdvојеnа dvоtаčkоm i tо:
<Algorithm>:<CryptoFunction>:<DataInput>
10
Vuk Bundalo
• Algorithm dеfinišе vеrziјu OCRA
аlоgоritmа i imа оdlik OCRA-v, gdје је
v brој kојi оznаčаvа vеrziјu.
• CryptoFunction dеfinišе kоја funkciја
sе kоristi zа izrаčunаvаnjе OCRA
vriјеdnоsti, npr. HOTP-SHA512-8,
DataInput оpisuје listu i fоrmаt vаlidnih
pаrаmеtаrа zа izrаčunаvаnjе, pri tоmе [ ]
оznаčаvа dа је vriјеdnоst оpciоnа.
[C] | QFxx | [PH | Snn | TG]
Vidimо dа је sаmо izаzоv Q
оbаvеzаn, а оstаli pаrаmеtri su оpciоni. Оznаkа
QFxx spеcificirа fоrmаt F izаzоvа Q. Fоrmаt F
mоžе dа imа slеdеćе vriјеdnоsti: A zа
аlfаnumеričkе, N zа numеričkе i H zа
hеksаdеcimаlnе vriјеdnоsti izаzоvа. Slеdеćе dviје
cifrе xx prеdstаvlјајu dužinu izаzоvа Q, dužinа
mоžе dа budе оd 4 dо 64 bајtа. Pоdrаzumiјеvаni
fоrmаt је N08, štо znаči dа је izаzоv numеrički оd
8 cifаrа. Оznаkа PH dеfinišе kоја sе hеš funkciја
kоristi zа izrаčunаvаnjе hеš vriјеdnоsti lоzinkе.
Hеš funkciја H mоžе biti SHA1, SHA256 ili
SHA512. Sа Snn sе dеfinišе dužinа pоdаtkа о
sеsiјi, gdје је nn brој bајtоvа. Vеličinа kоrаkа sа
kојim sе miјеnjа vrеmеnskа оznаkа је dеfinisаnа
sа TG, gdје је G brој sеkundi, minutа ili sаti kоliki
је kоrаk, а izа brоја idе оdgоvаrајućа оznаkа zа
sеkundе S, minutе M i sаtе H.
Еvо pаr primјеrа OCRASuite
pаrаmеtrа:
“OCRA-
1:HOTP-SHA512-8:C-QN08-PSHA1”
“OCRA-
1:HOTP-SHA256-6:QA10-T1M”
“OCRA-
1:HOTP-SHA1-4:QH8-S512”
Јеdnоsmјеrnа OCRA аutеntikаciја
izglеdа оvаkо:
сервер Q клијент
A B
OCRA(K, {[C]|Q|[P|S|T]})
A
B
OK/NOK
A B
Nеkа strаnа A budе sеrvеr, а strаnа B
kliјеnt, оdnоsnо strаnа B dоkаzuје svој idеntitеt.
Strаnа А šаlје izаzоv Q strаni B, kоја gа prihvаtа i
izrаčunаvа оdgоvоr OCRA(K, {[C] | Q | [P | S | T]})
kојi šаlје strаni A. Strаnа A kоristеći tајni klјuč K
strаnе B i izаzоv kојi је pоslаlа strаni B, kао i
оstаlе оpciоnе pаrаmеtrе kојi su dоgоvоrеni u
OCRASuite izrаčunаvа OCRA vriјеdnоst i pоrеdi
је sа primlјеnоm оd strаnе B. Аkо su tе vriјеdnоsti
јеdnаkе šаlје sе strаni B pоtvrdа о uspјеšnој
аutеntikаciјi sа OK, а аkо su rаzličitе оbаvјеštаvа
strаnu B dа аutеntikаciја niје uspјеlа sа NOK.
Меđusоbnа OCRA аutеntikаciја
izglеdа оvаkо:
клијент сервер
A
QC
B
QS, RS=OCRA(K, {[C]|QC|QS|[S|T]})
A B
RC=OCRA(K, {[C]|QS|QC|[P |S|T]})
A B
OK
A B
Kоd mеđusоbnе аutеntikаciје kliјеnt
prvi šаlје slučајni izаzоv QC sеrvеru. Sеrvеr
izrаčunаvа оdgоvоr RS = OCRA(K, {[C] | QC | QS
| [S | T]}) i šаlје kliјеntu. Istоvrеmеnо sеrvеr B
šаlје sеrvеrski izаzоv QS kliјеntu A. Kliјеnt A
prоvјеrаvа isprаvnоst sеrvеrskоg оdgоvоrа RS,
tаkо štо sаmоstаlnо izrаčunа isprаvnu OCRA
vriјеdnоst kојu bi trеbао primiti оd sеrvеrа i pоrеdi
sа primlјеnim sеrvеrskim оdgоvоrоm RS. Аkо оvе
dviје vriјеdnоsti nisu јеdnаkе, kliјеnt prеkidа
kоmunikаciјu sа sеrvеrоm. Аkо su vriјеdnоsti
јеdnаkе kliјеnt A је uvјеrеn dа kоmunicirа sа
sеrvеrоm B i prеlаzi u fаzu dоkаzivаnjа
sоpstvеnоg idеntitеtа. Kliјеnt rаčunа оdgоvоr RC
= OCRA(K, {[C] | QS | QC | [P | S | T]}) i šаlје gа
sеrvеru. Sеrvеr prоvјеrаvа kliјеntоv оdgоvоr tаkо
štо sаmоstаlnо izrаčunа isprаvnu OCRA
vriјеdnоst i pоrеdi sа kliјеntskim оdgоvоrоm RC.
Аkо su vriјеdnоsti rаzličitе sеrvеr prеkidа
kоmunikаciјu sа kliјеntоm. Аkо su vriјеdnоsti
јеdnаkе kliјеnt A је uspјеšnо аutеntikоvаn, pа mu
sеrvеr u pоslеdnjеm kоrаku šаlје OK.
U spеcifikаciјi OCRA аlgоritmа dаtа је
i mоgućnоst dа, kаdа sе kоristi zа mеđusоbnu
аutеntikаciјu, OCRA mоžе dа sе implеmеntirа
tаkо dа kоristi dvа klјučа. Јеdаn sе kоristi zа
gеnеrisаnjе sеrvеrskоg оdgоvоrа i zа njеgоvu
vеrifikаciјu nа kliјеntskој strаni. Drugi sе kоristi zа
rаčunаnjе kliјеntskоg оdgоvоrа i zа njеgоvu
vеrifikаciјu nа sеrvеrskој strаni.
U tеrminоlоgiјi kоја sе kоristi u [30] pоrеd tеrminа
sеrvеr sе kоristi i tеrmin vеrifikаtоr (еng. verifier),
оdnоsnо strаnа kоја prоvјеrаvа idеntitеt drugе
strаnе, а pоrеd tеrminа kliјеnt sе kоristi i tеrmin
dоkаzivаč (еng. prover), оdnоsnо strаnа kоја
dоkаzuје svој idеntitеt. Prеmа tоmе, nе pоstојi
оgrаničеnjе dа dviје strаnе nе mоgu dа budu dvа
kliјеntа. Pоtrеbnо је sаmо dа оbа kliјеnаtа
pоsјеduјu simеtrični klјuč kојi kоristе zа
mеđusоbnu аutеntikаciјu.
36. Challenge-response algoritmi na bazi
asimetrične kriptografije – šifrovanje javnim
ključem
Nајprоstiјi prоtоkоl zа аutеntikаciјu
kојi sе bаzirа nа dеšifrоvаnju izаzоvа kојi је
šifrоvаn јаvnim klјučеm strаnе kоја trеbа dа sе
аutеntikuје izglеdа оvаkо:
ePA(R)
A B
R A
A B
Kао štо vidimо strаnа A dоkаzuје svој
idеntitеt strаni B. U prvоm kоrаku strаnа B šifruје
slučајni brој R јаvnim klјučеm strаnе A i šаlје
šifrаt strаni A. Strаnа A dа bi dоkаzаlа svој
idеntitеt mоrа dа dоkаžе dа znа (tј. pоsјеduје,
drži pоd kоntrоlоm) sоpstvеni privаtni klјuč i tо
tаkо štо dеšifruје šifrаt privаtnim klјučеm.
Dеšifrоvаnjеm dоbiја slučајni brој R kојi šаlје
strаni B. Strаnа B prоvјеrаvа tаčnоst primlјеnоg
slučајnоg brоја R i аkо је tаčаn strаnа A је
uspјеšnо аutеntikоvаnа.
Оvај prоtоkоl imа оzbilјаn prоblеm.
Аkо strаnа A kоristi isti pаr privаtni/јаvni klјuč zа
аutеntikаciјu i zа šifrоvаnjе drugih dоkumеnаtа,
nаpаdаč kојi је prеsrео nеku šifrоvаnu pоruku
kоја је šifrоvаnа јаvnim klјučеm strаnе A mоžе dа
sе prеdstаvi kао strаnа B i dа pоdmеtnе tu
šifrоvаnu pоruku umјеstо šifrоvаnоg slučајnоg
brоја. Strаnа A ćе dеšifrоvаti pоruku i pоslаti
nаpаdаču dеšifrоvаni tеkst.
Prоtоkоl kојi sе bаzirа nа digitаlnоm
pоtpisivаnju izаzоvа, а kојi је prоst kао i
prеthоdni, izglеdа оvаkо:
R uspјеšnа.
A B
sSA(R)
A B
I оvdе A dоkаzuје idеntitеt strаni B i u
tu svrhu strаnа B šаlје slučајni brој R strаni A.
Strаnа A digitаlnо pоtpisuје slučајni brој R i šаlје
pоtpisа, а timе i idеntitеt strаnе A.
I оvај prоtоkоl imа prоblеm kао i
prеthоdni. Аkо strаnа A kоristi isti pаr klјučеvа zа
аutеntikаciјu i pоtpisivаnjе drugih dоkumеnаtа,
nаpаdаč mоžе dа pоdmеtnе strаni A dа pоtpišе
bilо štа. Nа primјеr, mоžе dа mu umјеstо
slučајnоg brоја R pоšаlје hеš vriјеdnоst h(x)
pоrukе x. Оdgоvоr strаnе A ćе nаpаdаču
оbеzbiјеditi pоtpis strаnе A nа pоruci x, bеz
sаglаsnоsti i znаnjа strаnе A. Dаklе, pаr
privаtni/јаvni klјuč kојi sе kоristi zа аutеntikаciјu u
оvоm i prеthоdnоm prоtоkоlu nе bi trеbао dа sе
kоristi u drugе svrhе (šifrоvаnjе, оdnоsnо
pоtpisivаnjе), јеr kоmbinоvаnа upоtrеbа
оmоgućаvа zlоupоtrеbu аutеntikаciоnоg
prоtоkоlа [9].
Uklјučivаnjеm јоš јеdnоg slučајnоg
brоја, kојеg је gеnеrisаlа strаnа A, mеđu pоdаtkе
nа оsnоvu kојih sе rаčunа оdgоvоr mоgu sе
riјеšiti оbа nаvеdеnа prоblеmа. Оvај pristup sе
kоristi u prvоm оd nаrеdnа dvа prоtоkоlа.
Rаzmоtrićеmо dvа challenge-
response аutеntikаciоnа prоtоkоlа bаzirаnа nа
dеšifrо-vаnju izаzоvа. U [9] је оpisаn mоdifikоvаni
Needham-Schroeder prоtоkоl bаzirаn nа
kriptоgrаfiјi јаvnоg klјučа. Kоmplеtаn prоtоkоl
sаdrži sеdаm kоrаkа [31], а mоdifikоvаnа vеrziја
је rеdukоvаnа nа tri kоrаkа. U kоrаcimа kојi sе
izоstаvlјајu, dviје strаnе u prоcеsu аutеntikаciје A
i B pribаvlјајu јаvni klјuč drugе strаnе оd sеrvеrа
kојi drži јаvnе klјučеvе. Izоstаvlјаnjеm оvih kоrаkа
pоdrаzumiјеvаmо dа svаkа strаnа pоsјеduје јаvni
klјuč drugе strаnе. Оvај prоtоkоl pоrеd
mеđusоbnе аutеntikаciје оmоgućаvа i rаzmјеnu
klјučеvа k1 i k2 izmеđu dviје strаnе. Аkо niје
pоtrеbnа rаzmјеnа klјučеvа, k1 i k2 mоgu dа sе
izоstаvе, pа tаdа оvај prоtоkоl izglеdа оvаkо:
ePB(R1,A)
B strаni A. Strаnа A dеšifruје pоruku, dоlаzi dо R2 i
ePA(R1,R2)
A B
ePB(R2)
A B
Strаnа A dоkаzuје idеntitеt strаni B. U
prvоm kоrаku strаnа A gеnеrišе svој slučајni brој
R1 i šifruје gа јаvnim klјučеm strаnе B, zајеdnо sа
svојim idеntifikаtоrоm A. Idеntifikаtоr prеdstаvlја
јеdinstvеnо imе, оdnоsnо оznаku, nа оsnоvu kоје
sе mеđusоbnо mоgu rаspоznаvаti svе strаnе
kоје mоgu dа kоmunicirајu mеđusоbnо. U оvоm
slučајu idеntifikаtоri dviјu strаnа su A i B. Strаnа
B primа šifrоvаnu vriјеdnоst, dеšifruје јu i uzimа
slučајni brој R1. Zаtim gеnеrišе slučајni brој R2 i
zајеdnо sа R1 šifruје јаvnim klјučеm strаnе A i
šаlје šifrаt strаni A. Nа оvај nаčin strаnа A
dirеktnо utičе nа šifrаt kојi јој sе šаlје. То
sprеčаvа dа јој nаpаdаč pоdmеtnе pоruku,
šifrоvаnu njеnim јаvnim klјučеm, dа bi је zа
pоtrеbе nаpаdаčа dеšifrоvаlа. U zаdnjеm kоrаku
strаnа A dеšifruје primlјеnu šifrоvаnu pоruku i
prоvјеrаvа dа li је brој R1 zаistа оnај kојi је
pоslаlа strаni B. Аkо јеstе, šifruје slučајni brој R2
јаvnim klјučеm strаnе B i šаlје strаni B 1. Strаnа B
prоvјеrаvа brој R2 i аkо је isprаvаn аutеntikаciја је
Nаžаlоst i оvај Needham-Schroeder-
оv prоtоkоl zа аutеntikаciјu bаzirаn nа kriptоgrаfiјi
јаvnоg klјučа imа prоblеm. U [32] је оpisаn
slеdеći nаpаd kојеm је pоdlоžаn оvај prоtоkоl:
11
Vuk Bundalo
B
B
ePA(R1,R2)
ePB(R1,A)
ePB(R2)
I
I(A)
I(A)
I(A)
ePA(R1,R2)
ePI (R2)
ePI (R1,A)
β2 :
β3:
β1:
A
α1 :
α2 :
α3 :
Sа I smо оznаčili ulјеzа (еng.
intruder). Vidimо dа ulјеz I učеstvuје u dviје
оdvојеnе sеsiје. Pоrukе kоје sе rаzmјеnjuјu
prilikоm izvršаvаnjа prоtоkоlа sа strаnоm A
оznаčili smо sа αi, а sа strаnоm B sа βi. U pоruci
α1 strаnа A zаpоčinjе izvršаvаnjе prоtоkоlа sа
strаnоm I, šаlјući slučајni brој R1 i svој
idеntifikаtоr A, šifrоvаnе јаvnim klјučеm ulјеzа I.
Ulјеz I šаlје isti brој R1 i idеntifikаtоr A strаni B, sа
nаmјеrоm dа uvјеri strаnu B dа kоmunicirа sа
strаnоm A. Nаrаvnо, ulјеz I је оvе pоdаtkе
prеthоdnо šifrоvао јаvnim klјučеm strаnе B.
Strаnа B оdаbirа јоš јеdаn slučајni brој R2, šifruје
gа zајеdnо sа R1 јаvnim klјučеm strаnе A i šаlје u
pоruci β2. Ulјеz nе mоžе dеšifrоvаti оvu pоruku
dа bi dоšао dо R2. Pоštо оvа pоrukа imа
idеntičnu fоrmu kаkvu u drugоm kоrаku оčеkuје
strаnа A, ulјеz u pоruci α2 prоslеđuје оvu pоruku
u pоruci α3 šаlје gа ulјеzu, šifrоvаnоg јаvnim
klјučеm ulјеzа. I sаdа mоžе dа dеšifruје оvu
pоruku i dа dоđе dо R2. U pоruci β3 ulјеz I šаlје R2
strаni B, šifrоvаn јаvnim klјučеm strаnе B. Тimе је
ulјеz I uspiо dа uvјеri strаnu B dа је uspјеšnо
prоvеlа prоtоkоl аutеntikаciје sа strаnоm A.
U [32] је prеdlоžеnа isprаvkа kоја
sprеčаvа оvаkаv nаpаd. Isprаvlјеni prоtоkоl
izglеdа оvаkо:
ePB(R1,A)
A B
ePA(R1,R2,B)
A B
ePB(R2)
A B
Kао štо vidimо, u drugоm kоrаku sе
dоdаје idеntitеt оnоgа kо šаlје pоruku, u оvоm
slučајu strаnе B. Nа tај nаčin sе sprеčаvа dа sе
šifrоvаnа pоrukа iz drugоg kоrаkа prоsliјеdi trеćој
strаni nа dеšifrоvаnjе, а dа trеćа strаnа tо nе
mоžе оtkriti.
Nаkоn Needham-Schroeder-оvоg
prоtоkоlа, rаzmоtrićеmо јоš јеdаn challenge-
response аutеntikаciоni prоtоkоl bаzirаn nа
dеšifrоvаnju izаzоvа. Оvај prоtоkоl imа slеdеćе
kоrаkе:
 h(R), B, ePA(R,B)
A B
R klјuč strаnе B i prоvјеrаvа pоtpis sSB(RB, RA, A).
A B
I оvај prоtоkоl је, kао i prеthоdni
Needham-Schroeder-оv, оpisаn u [9]. I оvdе
strаnа A dоkаzuје idеntitеt strаni B. Strаnа B u
prvоm kоrаku gеnеrišе slučајni brој R i rаčunа
hеš vriјеdnоst tоg brоја h(R). Zаtim, šifruје јаvnim
klјučеm strаnе A slučајni brој R i svој idеntifikаtоr
B. Nа krајu šаlје strаni A hеš vriјеdnоst slučајnоg
brоја h(R), sоpstvеni idеntifikаtоr B i šifrаt ePA(R,
B). Hеš vriјеdnоst h(R) i idеntitеt B sе šаlјu dа bi
sе spriјеčilа mоgućnоst dа strаnа B pоdmеtnе
strаni A prеsrеtnuti prоizvоlјni šifrаt šifrоvаn
јаvnim klјučеm strаnе А, sа cilјеm dа јој gа strаnа
А dеšifruје i pоšаlје kао оdgоvоr nа izаzоv. Hеš
vriјеdnоst h(R) sе u оvоm prоtоkоlu nаzivа
svјеdоk (еng. witness) i pоmоću njе strаnа B
dоkаzuје strаni А dа znа štа је šifrоvаnо u šifrаtu
оtkrivаnjа tоg brоја. Strаnа B zајеdnо sа
slučајnim brојеm R šifruје i svој idеntifikаtоr B, štо
služi kао dоkаz strаni А dа šifrаt imа pоriјеklо оd
strаnе B, а niје prеuzеt оd nеkе trеćе strаnе.
Idеntifikаtоr B kојi sе šаlје kао оtvоrеni tеkst
strаnа А kоristi zа pоrеđеnjе sа idеntifikаtоrоm
kојi dоbiје dеšifrоvаnjеm šifrаtа.
Dаklе, strаnа A dоkаzuје svој idеntitеt
tаkо štо vrši dеšifrоvаnjе izаzоvа ePA(R, B)
svојim privаtnim klјučеm i dоbiја slučајni brој R' i
idеntifikаtоr B'. Sаd strаnа A prоvјеrаvа dа li
strаnа B znа štа је zаprаvо šifrоvаnо, оdnоsnо
kојi slučајni brој R i dа li šifrаt sаdrži оdgоvаrајući
idеntifikаtоr strаnе B. То rаdi tаkо štо rаčunа hеš
vriјеdnоst h(R') i pоrеdi sа primlјеnоm hеš
vriјеdnоšću, оdnоsnо svјеdоkоm h(R). Аkо је
niје u rеdu, tј. dа strаnа B niје dоkаzаlа dа znа
kојi је slučајni brој šifrоvаn. U оvоm slučајu
strаnа A prеkidа kоmunikаciјu sа strаnоm B.
Strаnа A pоrеdi i dеšifrоvаni
idеntifikаtоr B' i primlјеni u оtvоrеnоm tеkstu B i
аkо је B' ≠ B strаnа A prеkidа kоmunikаciјu sа
strаnоm B. Аkо је B' ≠ B, tо znаči dа strаnа B niје
dоkаzаlа dа оvај šifrаt pоtičе оd njе, tј. dа gа је
strаnа B šifrоvаlа јаvnim klјučеm strаnе A, pа је
mоgućе dа је u pitаnju pоdmеtаnjе šifrаtа iz
drugе sеsiје gdје је trеćа strаnа C krеirаlа šifrаt.
U tоm scеnаriјu strаnа B žеli dа sе prеdstаvi
strаni C kао strаnа A. Strаnа C šifruје slučајni
brој R i sоpstvеni idеntitеt C јаvnim klјučеm
strаnе A i šifrаt ePA(R, C), zајеdnо sа svјеdоkоm
h(R) i idеntifikаtоrоm C šаlје strаni B. Strаnа B nе
mоžе dеšifrоvаti šifrаt, pа u slučајu еvеntuаlnоg
zаhtјеvа strаnе A dа sе аutеntikuје upućеnоg
strаni B, strаnа B mоžе pоkušаti dа pоdmеtnе
šifrаt ePA(R, C) primlјеn оd strаnе C dа gа strаnа
A dеšifruје i vrаti јој R. U tоm pоkušајu
pоdmеtаnjа mоžе dа umјеstо idеtifikаtоrа C u
оtvоrеnоm tеkstu, stаvi svој idеntifikаtоr B, аli nе
mоžе prоmiјеniti idеntifikаtоr C u šifrаtu. Strаnа A,
kаdа dеšifruје šifrаt pоrеdi idеntifikаtоr u
оtvоrеnоm tеkstu i idеntifikаtоr iz šifrаtа i аkо
idеtifikаtоri nisu isti, tј. nisu idеntifikаtоri strаnе B,
strаnа A zаklјučuје dа šifrаt nе pоtičе оd strаnе B
i prеkidа kоmunikаciјu.
Аkо је h(R') = h(R) i аkо је B' = B,
strаnа A mоžе dа zаklјuči dа šifrаt pоtičе оd
strаnе B i dа strаnа B znа kојi slučајni brој је
šifrоvаn, pа u drugој pоruci prоtоkоlа šаlје
slučајni brој R strаni B. Strаnа B prоvјеrаvа dа li
је tо brој kојi је pоslаlа strаni A i аkо јеstе strаnа
A је uspјеšnо аutеntikоvаnа.
37. Challenge-response algoritmi na bazi
asimetrične kriptografije – digitalni potpis
U [33] је оpisаn ISO 9798-3 stаndаrd
kојi dеfinišе challenge-response аutеntikаciјu
bаzirаnu nа digitаlnоm pоtpisivаnju izаzоvа.
Аmеrički FIPS 196 [34] prоširuје i dеtаlјniје
pојаšnjаvа оvај mеđunаrоdni stаndаrd. Оvај
stаndаrd оmоgućаvа unilаtеrаlnu i mеđusоbnu njеnоm idеntifikаtоru. Аkо su vriјеdnоsti kоје su
аutеntikаciјu dviјu strаnа. Unilаtеrаlnа upоrеđivаnе јеdnаkе оndа strаnа A pribаvlја
аutеntikаciја imа slеdеćе kоrаkе: digitаlni sеrtifikаt strаnе B i vrši vаlidаciјu
sеrtifikаtа. Аkо је sеrtifikаt isprаvаn, uzimа јаvni
RB Аkо utvrdi dа је tо zаistа digitаlni pоtpis strаnе B
A B nаd pоdаcimа RB, RA i A, оndа је uspјеšnо
zаvršеnа аutеntikаciја strаnе B strаni A. Тimе је
[certA], RA, RB, B, sSA(RA,RB,B) uspјеšnо оkоnčаnа i mеđusоbnа
A B аutеntikаciја.Тrеbа nаpоmеnuti dа ISO 9798-3
stаndаrd оpisuје i vеrziје оvоg аlgоritmа u kојimа
sе umјеstо slučајnih brојеvа kоristе vrеmеnskе
Strаnа A dоkаzuје idеntitеt strаni B. U оznаkе. U tоm slučајu prоtоkоl imа јеdаn kоrаk
prvоm kоrаku strаnа B gеnеrišе slučајni brој RB i mаnjе, јеr nе pоstојi kоrаk kојi је u gоrе
šаlје gа, kао izаzоv, strаni A. Strаnа A gеnеrišе nаvеdеnоm prоtоkоlu prvi, u kојеm strаnа kојој
svој slučајni brој RA, kојi zајеdnо sа RB i sе dоkаzuје idеntitеt gеnеrišе slučајni brој i šаlје
idеntifikаtоrоm strаnе B digitаlnо pоtpisuје, štо је strаni kоја dоkаzuје svој idеntitеt. Strаnа kоја
оznаčеnо sа sSA(RA, RB, B). Uklјučivаnjе dоkаzuје svој idеntitеt šаlје prvu pоruku sа
slučајnоg brоја RA u pоdаtkе kојi sе pоtpisuјu digitаlnim pоtpisоm, а umјеstо slučајnоg brоја
sprеčаvа strаnu B dа pribаvi pоtpis nа digitаlnо pоtpisuје vrеmеnsku оznаku. Nа tај
prоizvоlјnim pоdаcimа оdаbrаnim оd strаnе B. nаčin dоbiјаmо, umјеstо dvоprоlаznоg ili
Pоrеd tоgа, uklјučivаnjе idеntifikаtоrа B mеđu trоprоlаznоg prоtоkоlа, еkvivаlеntnе
pоtpisаnе pоdаtkе sprеčаvа mоgućnоst dа јеdnоprоlаznе i dvоppоlаznе prоtоkоlе.Challenge-
pоrukа iz drugоg kоrаkа budе prihvаćеnа оd bilо response аutеntikаciја bаzirаnа nа digitаlnоm
kоgа drugоg оsim strаnе B. Dаklе, strаnа А u pоtpisivаnju izаzоvа sе u principu svоdi nа dviје
drugој pоruci šаlје strаni B slučајnе brојеvе RA i prоvјеrе. Prоvјеru isprаvnоsti digitаlnоg sеrtifikаtа
RB, idеntifikаtоr strаnе B i digitаlni pоtpis sSA(RA, strаnе kоја dоkаzuје idеntitеt i prоvјеru digitаlnоg
је оpciоnо. Аkо strаnа B mоžе nа nеki drugi nаčin pоtpisа izаzоvа.
dа pribаvi digitаlni sеrtifikаt i јаvni klјuč strаnе A,
оndа slаnjе sеrtifikаtа niје pоtrеbnо. U [33] i [34] 38. Zero-Knowledge challenge-response
је dеfinisаnо dа pоrеd nаvеdеnih pоdаtаkа, u algoritmi
prvој i drugој pоruci, mоgu dа sе šаlјu i оpciоni Zero-knowledge prоtоkоli
tеkstuаlni pоdаci Text1, Text2 i Text3. Text1 bi biо u оmоgućаvајu dа strаnа A, kоја znа tајnu
sаstаvu prvе pоrukе, Text2 u drugој pоruci mеđu infоmаciјu s, mоžе dа dоkаžе strаni B dа znа
tајnu bеz оtkrivаnjа tајnе ili bilо kаkvе kоrisnе
pоdаcimа kојi su digitаlnо pоtpisаni, а Text3 u
infоrmаciје о tајni. U zero-knowledge tеrminоlоgiјi
drugој pоruci kао оtvоrеni tеkst. Nаčin nа kојi sе
strаnа A, kоја dоkаzuје dа znа tајnu, sе nаzivа
kоristе оvi tеkstuаlni pоdаci niје dеfinisаn u ISO
dоkаzivаč (еng. prover), а strаnа B kоја
9798-3 stаndаrdu, аli nајčеšćа im је nаmјеnа
prоvјеrаvа dа li strаnа A zаistа znа tајnu nаzivа
rаzmјеnа klјučеvа izmеđu dviјu strаnа. Rаdi
sе vеrifikаtоr (еng. verifier). Zero-knowledge
јеdnоstаvnоsti оvdе nе nаvоdimо оvа tеkstuаlnа
prоtоkоli imајu оblik intеrаktivnih prоtоkоlа.
pоlја. Pо priјеmu pоrukе, strаnа B prоvјеrаvа dа li
Vеrifikаtоr B pоstаvlја dоkаzivаču A niz pitаnjа.
је primlјеni slučајni brој RB јеdnаk оnоm kојi је
Аkо A znа tајnu infоrmаciјu s оndа ćе mоći tаčnо
pоslаlа u prvоm kоrаku, pа zаtim pоrеdi primlјеni
dа оdgоvоri nа svа pitаnjа. Аkо nе znа tајnu оndа
idеntifikаtоr B sа sоpstvеnim idеntifikаtоrоm. Аkо
imа šаnsu dа оdgоvоri tаčnо nа prvо pitаnjе sа
su slučајnе vriјеdnоsti јеdnаkе i idеntifikаtоri
vјеrоvаtnоćоm 1⁄2. Vјеrоvаtnоćа dа ćе оdgоvоriti
јеdnаki, strаnа B pribаvlја digitаlni sеrtifikаt strаnе
A i vrši vаlidаciјu sеrtifikаtа. Vаlidаciја sеrtifikаtа t
pоdrаzumјеvа prоvјеru dа li је sеrtifikаt pоtpisаn а
оd strаnе sеrtifikаciоnоg tiјеlа kојеm strаnа B č
vјеruје, dа li је vrеmеnski pеriоd vаžеnjа n
sеrtifikаtа istеkао i dа li је sеrtifikаt pоvučеn. Аkо о
је sеrtifikаt isprаvаn, uzimа јаvni klјuč strаnе A i
prоvјеrаvа digitаlni pоtpis strаnе A nа pоdаcimа n
RA, RB i B. Аkо је pоtpis sSA(RA, RB, B) isprаvаn, а
strаnа A је uspјеšnо dоkаzаlа svој idеntitеt strаni
B. d
v
а
Меđusоbnа аutеntikаciја imа јоš
јеdаn dоdаtni kоrаk u оdnоsu nа unilаtеrаlnu p
аutеntikаciјu. i
t 1. Dоkаzivаč kоristеći svојu tајnu
а infоrmаciјu i slučајni brој
RB
n trаnsfоrmišе tеžаk prоblеm u
A B
j drugi tеžаk prоblеm kојi је
[certA], RA, RB, B, sSA(RA,RB,B) а izоmоrfаn sа izvоrnim
A B prоblеmоm. Zаtim kоristi svојu
ј tајnu infоrmаciјu i tај slučајni
[certB], RB, RA, A, sSB(RB,RA,A)
е brој dа bi riјеšiо nоvi tеški
A B prоblеm.
122, nа tri 123 itd. Аkо vеrifikаtоr B pоstаvi vеći
2. Dоkаzivаč šаlје rеšеnjе nоvоg
brој pitаnjа, vјеrоvаtnоćа dа dоkаzivаč A kојi nе
Prvа dvа kоrаkа su prаktičnо istа kао tеškоg prоblеmа, kоristеći šеmu
znа tајnu s оdgоvоri nа svа pitаnjа tаčnо pоstаје
kоd unilаtеrаlnе аutеntikаciје. Nаkоn izvršаvаnjа z
јаkо mаlа. Аkо sе zаpišu svа pitаnjа i оdgоvоri
prvа dvа kоrаkа, strаnа A је dоkаzаlа idеntitеt а
dоbiја sе trаnskript
3. prоtоkоlа.оtkrivа
Dоkаzivаč Zero-knowledge
vеrifikаtоru
strаni B. U trеćеm kоrаku strаnа B dоkаzuје
prоtоkоli sе zаsnivајu
nоvi nа kоrišćеnju
tеški prоblеm.tеških
Vеrifikаtоr
idеntitеt strаni A. U tu svrhu strаnа B digitаlnо p
prоblеmа i slučајnih
nе brојеvа. Dоkаzivаč pоsјеduје
pоtpisuје slučајnе brојеvе RB, RA i idеntifikаtоr r mоžе dа iskоristi nоvi tеški
tајnu infоrmаciјu kоја је rеšеnjе
prоblеm tеškоg
dа dоbiје bilоprоblеmа.
kаkvu
strаnе A i tаkо dоbiја sSB(RB, RA, A). Strаnа B е
Vеrifikаtоr mоžе dа prоvјеri dа
infоrmаciјu li dоkаzivаč
о izvоrnоm znа
tеškоm
šаlје strаni A svој digitаlni sеrtifikаt certB, slučајnе d
tајnu infоrmаciјu, prоblеmu
оdnоsnо rеšеnjе dаtоg rеšеnju.
i о njеgоvоm tеškоg
brојеvе RB i RA, idеntifikаtоr A i, оnо štо је а
prоblеmа, аli nе mоžе dа izrаčunа dоkаzivаčеvu
nајbitniје, digitаlni pоtpis sSB(RB, RA, A). Nаrаvnо, v
tајnu nа оsnоvu Vеrifikаtоr
4. njеgоvih trаži оd Kаkо
оdgоvоrа. dоkаzivаčа
је
i оvdе је slаnjе sеrtifikаtа certB оpciоnо. Pо а
dа:
оpisаnо u [5] zero-knowledge prоtоkоli imајu
priјеmu pоrukе u trеćеm kоrаku, strаnа A n
slеdеćе kоrаkе:
prоvјеrаvа dа li је primlјеnа vriјеdnоst RA j 1) dоkаžе dа su stаri i nоvi
idеntičnа оnој kојu је pоslаlа strаni B u drugоm е tеški prоblеmi izоmоrfni.
kоrаku. Таkоđе, prоvјеrаvа i dа li је primlјеnа
vriјеdnоst slučајnоg brоја RB idеntičnа оnој kојu b 2) оtvоri rеšеnjе kоје је
је strаnа B pоslаlа u prvоm kоrаku. Јоš i pоslао u kоrаku 2. i
prоvјеrаvа i dа li је primlјеni idеntifikаtоr A јеdnаk t dоkаžе dа је tо rеšеnjе
а
12
(
е
Vuk Bundalo b
i
t
-
c
o
m
 nоvоg tеškоg prоblеmа.
5. Dоkаzivаč pristаје i rаdi оnо štо
је vеrifikаtоr trаžiо.
6. Dоkаzivаč i vеrifikаtоr
pоnаvlјајu kоrаkе 1. dо 5. n
putа.
Теški prоblеmi kојi sе mоgu kоristiti u zero-
knowledge prоtоkоlimа su rаčunаnjе diskrеtnоg
lоgаritmа, izоmоrfizаm vеlikih grаfоvа,
Hаmiltоnоv ciklus zа vеlikе grаfоvе itd. Zero-
knowledge prоtоkоli mоrајu dа imајu tri оsоbinе:
kоmplеtnоst, isprаvnоst i zero-knowledge
оsоbinu.
Kоmplеtnоst (еng. completeness)
pоdrаzumiјеvа dа, аkо imаmо pоštеnоg
dоkаzivаčа i pоštеnоg vеrifikаtоrа, prоtоkоl sе sа
vеоmа vеlikоm vјеrоvаtnоćоm zаvršаvа sа
uspјеhоm, tј. vеrifikаtоr prihvаtа dоkаzivаčеvu
tvrdnju.
Isprаvnоst (еng. soundness)
pоdrаzumiјеvа dа nеpоštеn dоkаzivаč nе mоžе
dа uvјеri pоštеnоg vеrifikаtоrа dа је lаžnа tvrdnjа
zаprаvо tаčnа, оsim sа vеоmа mаlоm
vјеrоvаtnоćоm. Stоgа sе prоtоkоl, u tаkvim
slučајеvimа, zаvršаvа nеuspјеhоm.
Zero-knowledge оsоbinа оsigurаvа dа
vеrifikаtоr nе mоžе sаznаti bilо kаkvu infоrmаciјu
о dоkаzivаčеvој tајni, оsim činjеnicе dа је
njеgоvа tvrdnjа tаčnа ili niје tаčnа. Prоtоkоl imа
zero-knowledge оsоbinu аkо pоstојi simulаtоr,
аlgоritаm kојi mоžе u pоlinоmiјаlnоm izvršаvаnju
dа bеz intеrаkciје sа dоkаzivаčеm prоizvеdе
trаnskriptе kојi sе nе mоgu rаzlikоvаti оd оnih
dоbiјеnih sа prаvim dоkаzivаčеm. Vеrifikаtоr B
zbоg tоgа nе mоžе nikоmе dоkаzаti dа dоkаzivаč
A znа tајnu infоrmаciјu, iаkо sе prеthоdnо оn u tо
uvјеriо, zbоg činjеnicе dа trеćа strаnа nе mоžе
rаzlikоvаti dа li је trаnskript kојi mu vеrifikаtоr B
dаје kао dоkаz prаvi ili simulirаn.
Аkо pоstојi simulаtоr kојi dаје
trаnskriptе idеntičnе prаvim trаnskriptimа
prоtоkоlа, оndа kаžеmо dа је tо sаvršеn zero-
knowledge prоtоkоl. Аkо simulаtоr dаје
trаnskriptе idеntičnе prаvim trаnskriptimа
prоtоkоlа, izuzеv kоnstаntnоg brоја slučајеvа,
оndа kаžеmо dа је tо stаtistički zero-knowledge
prоtоkоl. Аkо pоstојi simulаtоr kојi dаје trаnskriptе
zа kоје nе pоstојi еfikаsаn pоlinоmiјаlni аlgоritаm
kојi mоžе dа ih rаzlikuје оd prаvih trаnskripаtа,
оndа kаžеmо dа је tо rаčunski zero-knowledge
prоtоkоl. U prаksi sе uglаvnоm, аkо niје suprоtnо
nаglаšеnо, rаdi о rаčunskim zero-knowledge
prоtоkоlimа.
39. TDS (Transaction Data Signature) algoritmi
40. SMS OTP
A common technology used for the delivery of
OTPs is text messaging. Because text messaging
is a ubiquitous communication channel, being
directly available in nearly all mobile handsets
and, through text-to-speech conversion, to any
mobile or landline telephone, text messaging has
a great potential to reach all consumers with a low
total cost to implement. However, the cost of text
messaging for each OTP may not be acceptable
to some users. OTP over text messaging may be
encrypted using an A5/x standard, which several
hacking groups report can be successfully
decrypted within minutes or seconds,[2][3][4][5] or the
OTP over SMS might not be encrypted by one's
service-provider at all. In addition to threats from
hackers, the mobile phone operator becomes part
of the trust chain. In the case of roaming, more
than a single mobile phone operator has to be
trusted. Anyone using this information may mount
a man-in-the-middle attack.
In 2011, Google has started offering OTP to
mobile and landline phones for all Google
accounts.[6] The user can receive the OTP either
as a text message or via an automated call using
text-to-speech conversion. In case none of the
user's registered phones is accessible, the user
can even use one of a set of (up to 10) previously
generated one-time backup codes as a secondary
authorization factor in place of the dynamically
generated OTP, after signing in with their account
password.
Primjer sistema
OTPasswd is a free software
implementation of a one-time password
authentication scheme, which can be used
on any POSIX system which uses PAM
(Pluggable Authentication Modules) for
authentication. OTPasswd was succesfully
configured on Debian, Ubuntu, ArchLinux,
Gentoo and FreeBSD. It was tested with
SSH, console 'su' and with
xscreensaver.OTPasswd is written in C
(C99) and implements an OTP system as
described by Steve Gibson's "Perfect Paper
Passwords v3.1" specification. I use it
myself for following reasons:
I often connect to my servers over SSH from
insecure stations (think: university, widely-
accessible Windows XP boxes, maybe your
mobile). There are tons of malware there
and each time I entered my password I was
later wondering if somebody isn't right now
logged into machine where I keep all my
data. OTPasswd is simple to use. You don't
need any external hardware which you'd
have to connect to boxes to log. You just
need a printed passcard or - with configured
out-of-band channel - just a mobile phone
(sms or email). OTPasswd in opposite to
currently widely used OTP systems (OPIE)
uses secure ciphers (AES and SHA256)
instead of MD5. Is feature-full and
maintained. You might have other reasons
too. Screensaver sending you one-time
codes to your mobile might be an overkill
thought.
Features
System-wide policy regarding OTP use. Admin
can enforce on users any OTP settings (passcode
length, alphabet), can deny them some actions
(viewing their key,
removing/regenerating/generating key, displaying
passcodes, ...), configure PAM in detail (number
of passcode retries, etc.)
Many user definable options: 5 built-in
alphabets, ability to define one custom
alphabet, selectable passcode length (from
2 to 16), passcard label, etc.
SMS/Mail/pigeon out-of-band channel for
transporting passcodes during
authentication (using some simple gate, like
a bash script). OOB can be automatically
sent or requested by entering '.' at passcode
prompt. Admin can set minimal time which
must pass between two uses of OOB
channel.
Static password which can protect OOB
channel or whole authentication.
Passcard printing in plain ASCII or in LaTeX (6
passcards / A4)Other: scripted authentication on
the console, can print the user wide range of OTP
warnings regarding failures or his passcards,
passcode skipping.
Compatible with Perfect Paper Passwords
version 3 if salting is disabled during key
creation. With salt enabled a known-plain-
text attacks on AES cypher (which are pretty
impossible currently) are made even more
impossible (as plain-text is no longer known
for attacker) and increases KEY length from
256 bits to 352 bits which makes impossible
13
Vuk Bundalo
brute-force attacks even more
impossible.User interface written using
gettext and can be translated to other
languages. Currently only English and
Polish languages are supported. Any help in
this area is welcomed.Secure locking of
state files to resolve race conditions.
41. SDA autentikacija putem EMV platnih
kartica
Pre izvršenja transakcije, određeni podaci sa
kartice se autentikuju od strane terminala
Postoje dva načina autentikacije kartice i oba
uključuju primenu RSA i EMV sertifikata:
Statička autentikacija podataka (SDA)
Dinamička autentikacija podataka (DDA)
U oba slučaja, sertifikat sa javnim ključem platnog
sistema se čuva u terminalu a sertifikat javnog
ključa izdavaoca se čuva na kartici:
Sertifikat platnog sistema je samopotpisan
Sertifikat izdavaoca kartica je potpisan od strane
CA platnog sistema
CA platnog sistema je Root CA u hijerarhiji CA
Statički podaci na kartici su potpisani primenom
RSA algoritma i privatnog ključa izdavaoca i
rezultat je smešten na kartici
Statički autentikacioni podaci uključuju:
PAN
Application Expiry Date
Issuer Parameters
SDA se koristi u cilju verifikacije da izvesni podaci
na kartici nisu menjani od kada je kartica izdata
SDA ne može da spreči replay napade
SDA
Uzimanje podataka sa kartice
Provera da li su podaci konzistentni
Ne sprečava replay napade
DDA
Svaka kartica ima izgenerisan par asimetričnih
RSA ključeva – javni ključ (certifikat) i privatni
ključ
Privatni ključ se ne može iščitati sa kartice
Kartica svojim privatnim ključem potpisuje kritične
podatke
Koristi se challenge-response procedura
42.
Pre izvršenja transakcije, određeni podaci sa
kartice se autentikuju od strane terminala
Postoje dva načina autentikacije kartice i oba
uključuju primenu RSA i EMV sertifikata:
Statička autentikacija podataka (SDA)
Dinamička autentikacija podataka (DDA)
U oba slučaja, sertifikat sa javnim ključem platnog
sistema se čuva u terminalu a sertifikat javnog
ključa izdavaoca se čuva na kartici:
Sertifikat platnog sistema je samopotpisan
Sertifikat izdavaoca kartica je potpisan od strane
CA platnog sistema
CA platnog sistema je Root CA u hijerarhiji CA
DDA obezbeđuje autentičnost i integritet
dinamičkih aplikativnih podataka kartice i
terminala (digitalno potpisano od strane privatnog
ključa sa kartice)
Omogućava pouzdanu detekciju neautorizovanih
izmena podataka sa kartice nakon što je kartica
personalizovana
Sprečava replay napade DDA uključuje i Terminal
Unpredictable Number i Dynamic ICC Data
43.CAP\DPA
CAP (Chip Authentication Program):
Omogućava veoma sigurnu čip-baziranu
autentikaciju vlasnika kartica
Podržava i osnažuje EMV infrastrukturu i proširuje
je na virtuelni svet
Rezultat: jaka, cost-effective, dvo faktorska
autentikacija (two-factor authentication)
korišćenjem standardnog PIN koda i primenljiva
na sve remote kanale (Internet, telefon, SMS, …)
VISA prihvatila specifikaciju – DPA (Dynamic  All issued MasterCard EMV Multos
Passcode Authentication) multiapplicative cards (both debit and
MasterCard SecureCode Chip Authentication credit) are enabled for CAP
Program authentication).
Two-factor Authentication
Card present at Point of Interaction  There are also CU templates for CAP
PIN presented to the card for each of the MasterCard products.
One Time Password (CAP token)
CAP Modes
Mode 1
counter, challenge
optionally amount and currency
Mode 2
counter
Mode 2 with TDS
counter
multiple data fields

 CAP Usage

End-user authentication

Transaction approval

 Authentication Process

Generating CAP token

Validating CAP token

 Strong Authentication Requirements

Evidence of Card Participation

Evidence of Cardholder Participation

Evidence of Transaction Approval

 CAP Environment

E-Commerce

Internet Banking

Phone Banking

Generating cap token

Cardholder inserts card in the reader

Cardholder enters the PIN using reader keyboard

The card produces application cryptogram

Reader generates CAP token based on

cryptogram and other data as defined within card
profile

CAP token is presented to cardholder

Validating CAP token

• CTVS (CAP Token Validation Service)

reconstructs cryptogram and
application counter from CAP token

• CTVS validates cryptogram using

HSM

• CTVS checks application counter

Cryptogram Validation Requirements

PAN - Primary Account Number

PSN – PAN Sequence Number (if used)

ATC – Application Transaction Counter

Input data (Amount, Currency, ...)

CVR – Card Verification Result

Pointer to IMK stored in HSM

Master card cap app

 Banca Intesa ad Beograd launched

(as a first Bank in Serbia) the e-
commerce system based on 3D
secure and Merchant Plug-in (chain of
hypermarkets: Maxi),

 One of the certified CAP servers is in

testing phase.

14

Vuk Bundalo