Saturday, April 23, 2011

“Wij willen het kat-en-muisspel stoppen”




Dit artikel is gepubliceerd in NWO Hypothese, mei 2011

Criminelen liepen tot nu toe altijd een stap voor in het kraken van lichtgewicht cryptosystemen zoals bankpasjes, chipkaarten en andere mobiele apparaten. Krzysztof Pietrzak ontwikkelde samen met een collega het eerste theoretische model voor een inherent veilig, lichtgewicht cryptosysteem. Afgelopen november won de onderzoeker van het Centrum Wiskunde & Informatica een Europese subsidie van 1,1 miljoen euro om zijn onderzoek in de komende vijf jaar uit te bouwen. 



De interviewer legt zijn alledaagse pasjes open en bloot op tafel, voor de ogen van de crypto-onderzoeker: twee bankpasjes met elk een magneetstrip en een chip, een OV-chipkaart en een bibliotheekpasje. Kan de onderzoeker de zwakke punten aanwijzen? Crypto-onderzoeker Krzysztof Pietrzak van het Centrum Wiskunde & Informatica (CWI) kijkt bedachtzaam en zwijgt even. Wil hij de interviewer niet te bang maken? Per slot van rekening is hij degene die de drempel zo hoog mogelijk probeert te maken om zulke kaarten te kraken.

Waar ligt de gevoeligheid van dit soort beveiligde pasjes? 
“Cryptografen zoals ik gingen jarenlang uit van een black-box-model. Dat neemt aan dat een cryptosysteem zoals een pasje veilig is wanneer het theoretische model van het cryptosysteem maar bewezen veilig is. Bewezen veilig betekent dat de black box zijn berekeningen perfect verborgen houdt. In het black box-model kan een kwaadwillende alleen het invoer-uitvoergedrag van het cryptosysteem observeren, maar komt hij niets te weten over wat er in de black box gebeurt. De cryptografie die dit model gebruikte, is extreem succesvol geworden en ligt aan de basis van uiteenlopende toepassingen zoals internetbankieren en online winkelen. Met de black box-aanpak werd de cryptografie een echte wetenschap en kon ze bewijzen dat de gebruikte onderliggende wiskundige modellen veilig zijn.

“De aanname van dit model is dat de fysieke implementatie van de beveiliging er niet toe doet. De fysieke implementatie is bijvoorbeeld de chip, de magneetstrip of de identificatie met radiogolven via de radio-frequency identification tag ofwel RFID. Van dat laatste maakt onder andere de OV-chipkaart gebruik. De afgelopen jaren hebben we echter meer en meer voorbeelden gezien dat kwaadwillenden juist via lekken in die fysieke implementatie een systeem proberen te kraken.”

Welke fysieke informatie kan dan weglekken? 
“Een bekend voorbeeld is het kraken van het KeeLoq-systeem waarmee je de autodeur draadloos kunt openen met je autosleutel. Idealiter kan alleen iemand die deze sleutel heeft de deur openen. Maar in 2008 is aangetoond dat je uit een gedetailleerde analyse van het elektriciteitsverbruik van de chip, die zowel in de sleutel als in het slot zit, voldoende informatie kunt halen om de cryptosleutel te achterhalen. Tijdens het openen van de deur lekt er namelijk fysieke informatie over de cryptosleutel naar buiten.

“Een ander voorbeeld is het kraken van de zogeheten RSA-cryptografie, een van de meest succesvolle cryptotoepassingen. RSA gaat uit van een heel groot getal dat het product van twee priemgetallen is. Als dat getal maar groot genoeg is, is het volgens de wiskundige theorie zeer onwaarschijnlijk om uit te rekenen wat die twee priemgetallen zijn. En die twee priemgetallen zijn nodig om het systeem te kraken. Maar het cryptosysteem houdt niet op bij het wiskundige model voor RSA. Het blijkt dat het fysiek meten van de rekentijd van het cryptosysteem extra informatie oplevert waarmee RSA gemakkelijker is te kraken. Je valt het systeem dus niet aan via het hoofdkanaal, het onderliggende wiskundige model van RSA, maar via een zijkanaal: het lekken van informatie over de rekentijd.

“Beveiliging is altijd fysiek geïmplementeerd. Bij mobiele toepassingen lekt er altijd fysieke informatie naar de omgeving. Dat is niet alleen het elektriciteitsverbruik of de rekentijd, het kan ook straling zijn, informatie in het tijdelijke geheugen van een computer, of zelfs het geluid van iemand die op een toetsenbord tikt. Criminelen zijn steeds creatiever in het benutten van die fysieke lekken in beveiligde systemen. En omdat de toepassingen van lichtgewicht mobiele beveiligde systemen alleen maar toenemen, wordt het steeds aantrekkelijker die lekken te benutten. Fysieke lekken zijn inmiddels de zwakste schakel geworden. Iemand die je smartcard voor een paar minuten in hand heeft, kan zo’n passieve aanval gebruiken.”

Welke tegenmaatregelen zijn dan nodig voor een betere veiligheid? 
“Jarenlang bleef het bij ad-hoc oplossingen. Voor elk fysiek lek werd apart een oplossing bedacht. In het geval van het meten van de rekentijd van een chip, zoals bij RSA, bijvoorbeeld door te zorgen dat de rekentijd kunstmatig onafhankelijk werd gemaakt van cryptosleutel. In het geval van het meten van het elektriciteitsverbruik, zoals bij de autosleutel, door extra transistoren tussen de batterij en de chip te plaatsen. Daardoor vlakt de curve van het elektriciteitsverbruik af en kan een aanvaller er veel minder zinvolle infromatie uit halen. Door echter alleen ad-hoc-oplossingen te zoeken, bleef het een kat-en-muis-spel tussen de mensen die cryptosystemen ontwikkelen en zij die ze willen kraken. Wij willen dat kat-en-muis-spel stoppen. Hoe kun je een cryptosysteem inherent veilig maken? Dat is de hamvraag.”

Dat klinkt als een illusie. Hoe kun je een systeem tegen elke mogelijke aanval verdedigen? 
“In 2008 heb ik met een collega het eerste model ontwikkeld dat de veiligheid van een systeem analyseert tegen willekeurig welke passieve fysieke aanval. Het enige dat wij aannemen is dat er bij elke aanval een bepaald aantal bits naar buiten lekt. Welke informatie dat is en via welk kanaal het lekt, maakt niet uit. De vraag is dan hoe je je systeem moet ontwerpen zodanig dat het ondanks het naar buiten lekken van dat aantal bits nog steeds veilig blijft. Ons model was een eerste aanzet om een inherent veilig systeem te maken. Inmiddels heeft ons werk in zo’n honderd publicaties navolging gekregen en in 2010 werd het voor het eerst in een prototype geïmplementeerd. Maar voordat het zijn weg vindt in commerciële toepassingen zijn wel weer een aantal jaren verder.”

Waar ligt de uitdaging voor de komende jaren? 
“De eerste grote uitdaging is om een inherent veilig systeem ook rekenefficiënt te maken. Het probleem is dat die twee elkaar bijten. Hoe veiliger het cryptosysteem, hoe langer de rekentijd om die veiligheid te bereiken. In de praktijk wil je die tijd natuurlijk beperken omdat een bevoegde gebruiker van een pasje of een sleutel zo snel mogelijk toegang wil krijgen. Een deel van ons onderzoek van de komende jaren richt zich op het vinden van een optimum voor dit probleem.

“Een tweede grote uitdaging ligt in een heel ander soort aanval: geen passieve aanval zoals het meten van lekkende informatie, maar een actieve aanval. Criminelen kunnen de fysieke implementatie van een cryptosysteem bewust stuk maken om te kijken hoe het systeem zich dan gedraagt. Ze kunnen een smartcard in een magnetron stoppen of met een elektronenprobe verbindingen op een chip stuk maken. Het blijkt dat ze daar informatie uit kunnen halen die het gemakkelijker maakt het cryptosysteem te kraken. Voor dit soort actieve aanvallen hebben we nog helemaal geen theoretische modellen waarmee we een betere bescherming kunnen ontwikkelen. Daar ligt een belangrijk nieuw onderzoeksterrein.”

Waarom ben je voor je onderzoek naar Nederland gekomen? 
“Toen ik nog aan de ETH in Zürich studeerde ben ik onderwijsassistent geweest van Ueli Maurer, een wereldtopper op het gebied van cryptografie. Hij gaf geweldige colleges en heeft me geïnteresseerd voor het vakgebied cryptografie. Ronald Cramer, die nu de groepsleider is van van de cryptogroep bij het Centrum Wiskunde & Informatica, is postdoc geweest bij Maurer. Ik kende Ronald dus al en ik wist dat hij een cryptogroep van wereldniveau heeft. Ronalds groep heeft gemiddeld zo’n tien onderzoekers en was tijdens de grote cryptoconferenties van de laatste jaren op het terrein van de theoretische cryptografie een van de productiefste van alle onderzoeksgroepen. Ook haalde de groep de helft van de Best Paper-awards bij de twee top-cryptoconferenties van de laatste vier jaar. Het is dus een aantrekkelijke groep om in te werken. Op mijn huidige onderzoekspositie heb ik gewoon gesolliciteerd. Qua onderzoeksstijl zie ik niet echt verschillen met Zürich en Parijs, waar ik eerder heb gewerkt. Op al deze drie plekken hebben onderzoekers veel vrijheid.”

Onderzoek naar cryptosystemen klinkt als iets spannends en geheimzinnigs. Iets wat mensen associëren met het kraken van de Duitse Enigmacodering tijdens de Tweede Wereldoorlog bijvoorbeeld. Is dat spannende ook wat je in je onderzoek aantrekt? 
“Nou nee. Ik ben toch vooral een wetenschapper die op een fundamenteel niveau over cryptosystemen nadenkt. Voor mij ligt de aantrekkingskracht in het multidisciplinaire karakter van mijn onderzoek. Beveiliging tegen fysieke lekken is een combinatie van informatica, wiskunde, natuurkunde en ingenieurskunde. Mijn eigen fascinatie ligt bij de wiskundige modellen die aan de theoretische basis van de beveiliging liggen. Daarbij vind ik het fijn dat de wiskundige technieken die wij gebruiken heel divers zijn en variëren van informatietheorie en complexiteitstheorie tot getaltheorie en algebra. Bij het zoeken naar welke techniek je gaat gebruiken kun je kiezen waar je goed in bent. Cryptografie is een heel beweeglijk veld.”

[kader:] CV Krzysztof Pietrzak 


Krzysztof Pietrzak (Poznan, 1977) werd geboren in Polen en verhuisde op zijn zesde met zijn ouders naar Zwitserland. Hij studeerde informatica aan de ETH in Zürich, waar hij promoveerde op het terrein van de cryptografie. Daarna vervolgde hij zijn loopbaan als postdoc voor een jaar aan de École Normale Supérieure in Parijs. In 2007 verhuisde hij naar Amsterdam om aan het Centrum Wiskunde & Informatica (CWI) onderzoek te doen in de groep Cryptology and Information Security van Ronald Cramer.

In november 2010 won Pietrzak een ERC-beurs van 1,1 miljoen euro van de Europese Unie voor onderzoek naar bewijsbare beveiliging tegen fysieke crypto-aanvallen. Met het geld van de ERC-beurs kan hij in de komende vijf jaar twee promovendi en twee postdocs aantrekken. De ERC-beurzen zijn bedoeld om jonge toponderzoekers baanbrekend onderzoek te laten doen. De beurzen maken deel uit van het Zevende Kaderprogramma voor wetenschappelijk onderzoek van de EU.

Internet
http://homepages.cwi.nl/~pietrzak/