Departamento de Computación

Los Esquemas de Cifrado Tweakable (TES, por sus siglas en inglés) son un modo de operación de los cifradores por bloque. Este tipo de esquemas han sido propuestos para ser utilizados en las aplicaciones de cifrado de disco. Durante los ultimos años se ha visto una gran actividad en el diseño y seguridad de los TES. La IEEE ha elaborado un estandar (IEEE Std 1619.2-2010) que especifica dos TES para ser utilizados en el cifrado de dispositivos de almacenamiento. Esta tesis cubre dos aspectos relacionados con la seguridad de los TES. El primer aspecto se relaciona con el análisis de seguridad de un TES conocido como XCB, y el segundo aspecto está relacionado con la noción de seguridad conocida como Mensajes que Dependen de la Llave. El modo de operación XCB es uno de los dos esquemas que ha sido estandarizado por la IEEE para el cifrado de dispositivos de almacenamiento. Existen dos versiones de XCB, la primera versión (la cual llamaremos XCBv1) fue propuesta en 2004 y la segunda versión (la cual llamaremos XCBv2) fue propuesta en 2007. XCBv2 es una pequeña modicacion a XCBv1. A pesar de que XCBv1 fue declarado un esquema de cifrado seguro no cuenta con una prueba de seguridad. En el caso de XCBv2 los autores proporcionaron una prueba de seguridad del esquema. XCBv2 fue adaptado en el estándar 1619.2-2010. En este trabajo exponemos dos fallas en XCBv2 las cuales ponen en duda su seguridad. La primera falla se debe a modicaciones en su estructura. Estas modicaciones hacen a XCBv2 inseguro para mensajes de longitud arbitraria. Restringiendo la longitud del mensaje se puede solventar este problema. Sin embargo, señalamos que incluso tomando en consideración esta restricción el análisis de seguridad de XCBv2 provisto por sus autores es erróneo. Presentamos un nuevo análisis de la seguridad de XCBv2 y también por primera vez presentamos una prueba de seguridad para XCBv1. Por otro lado, analizamos la seguridad de los TES bajo una nueva noción de seguridad conocida como Mensajes que Dependen de la Llave (KDM, por sus siglas en inglés). KDM es una noción de seguridad más fuerte que la noción estándar de seguridad de los TES. Damos dos ejemplos de esquemas de cifrado que han sido probados seguros en el modelo estándar, pero que resultan inseguros en la noción de KDM. Para solucionar lo anterior proponemos una transformación para convertir los TES en esquemas seguros bajo la noción de KDM. Nuestra transformación resulta mas eficiente y general que la existente en la literatura.

Abstract

Tweakable Enciphering Schemes (TES) are a block cipher mode of operation which can be suitable used for the application of in-place disk encryption. There have been lot of activities in designing secure TES in the last few years. IEEE has also formulated a standard (IEEE Std 1619.2-2010) which specifies two TES for the application of block oriented storage media. In this thesis we deal with two problems related to security of TES. The first is related with the security analysis of the Extended Codebook mode of operation and the second is related with the notion of security called as Key Dependent Messages. The Extended Codebook (XCB) mode of operation has been standardized by the IEEE for wide block encryption for shared storage media. There are two versions of XCB, the first version (which we call XCBv1) was proposed in 2004 and a later version (which we call XCBv2) was proposed in 2007. XCBv2 is a minor modication of XCBv1. Though XCBv1 was claimed to be a secure TES, the authors neither provided a security bound nor a security proof. For XCBv2 the authors claimed a concrete security bound and provided its proof. XCBv2 was adapted in the standard 1619.2- 2010. In this work we expose two flaws in XCBv2 which put in doubt its security. The first flaw is due to modications in its structure. These modications make XCBv2 insecure for arbitrary length messages. Restricting the length of the input messages can fix this glitch. However, we point out that even with this restriction the security analysis of XCBv2 as stated by its authors is wrong. We present a new analysis for the security of XCBv2 and as a consequence we state a new bound for its security. Also, for the first time we give a detailed security analysis for the original proposal of XCB (i.e. XCBv1). On the other hand we analyze the security of TES under the notion of Key Dependent Messages (KDM). KDM is stronger than the standard security notion of TES. We give examples of well proved secure TES in the standard model which fail to be secure under KDM. We propose a transformation to secure an arbitrary TES under KDM. Our transformation turns out to be faster and more general than the other one existing in the literature.