나의 정보보안 이야기

[ AES 암호의 특징과 구조 ]

cryptosecurity.tistory.com/29

AES Cipher 암호화, 복호화 파이썬으로 구현하기

1. Sbox, ISBox, RC 설정

2. 16byte를 4x4 행렬(state)로 변환하고 출력해주는 함수 구현하기

3. 유한체 GF(2^8) 상에서의 곱셈 함수 구현하기

4. 한 Column에 대한 MixColumns 연산, SBox 연산, Xor연산 함수 구현하기

5. SubBytes, ShiftRows, MixColums, AddRoundKey 함수 구현하기

6. 라운드 함수 구현하기

7. key schedule 함수 구현하기

[ AES key schedule에서만 사용되는 4바이트 변환함수 ]

    -  바이트 rotation -> Sbox 적용 -> RoundConstant 적용

[ AES Encrytion용 Key schedule ]

   - 입력: 암호키 (4x4 state)

   - 출력: 11개의 라운드키(4x4 state)

   - 출력 rkey = [ rkey[0], rkey[1], ... , rkey[10] ]

   - rkey[r] = [ [rk00, rk10, rk20, rk30], ... , [rk03, rk13, rk23, rk33] ]

8. AES 128 암호화 구현하기

9. 암호화 테스트

== 실행결과 ==

AES의 특징

1. 128비트 블록단위로 암호화하는 대칭 암호 알고리즘

2. 키의 비트 길이는 128, 192, 256비트

3. 10/12/14 라운드

4. SPN 구조

5. 바이트 단위의 연산 위주

AES의 구조

1. SubBytes

2. ShiftRows

3. MixColumns

4. AddRoundKey

- 마지막 라운드에는 MixColumns 수행하지 않음

- 구현 효율성과 암호화 / 복호화 대칭성에 유리하기 때문

SubBytes

Rijndaek field : GF(2^8) = GF(2)[X] / <m(x)>

M(x) = x^8+x^4+x^3+x+1

SubBytes 함수 : y = S(x) = Ax^(-1) + b

-> GF(2^8)에서 mod m(x) 상에서의 inverse계산

- >Affine 변환 적용(GF(2) 상)

AES의 S-Box

ShiftRows

각 행을 위로부터 0,1,2,3 만큼 왼쪽으로 회전

MixColumns 과 함께 확산효과를 위하여 사용

MixColumns

- 열 단위 확산함수

- 각 열을 GF(2^8) 상의 벡터로 간주한 선형 변환

- 각 열을 c(x) = 03x^3 + 01x^2 + 01x + 02와 mod x^4 + 1 상에서 곱한다.

- b(x) = c(x) * a(x) mod x^4 + 1

AES 라운드 함수의 테이블 구조 구현 1

- SubBytes, ShiftRows, MixColums

AES 라운드 함수의 테이블 구조 구현 2

- AddRoundKey

1. JEB 실행하기

1) JEB, APK 설치

2) JAVA 설치

3) JEB 실행

4) 파일 - 열기 - 앱 선택

5) Project Explore에서 앱 더블클릭 -> bytecode 더블클릭

6) classese.dex 파일 보여줌

2. JEB로 apk 분석

4) Q 눌러서 JAVA 코드로 변환

3. 의미있는 함수 찾기

3.1) AuthToken 구하기

• decryptCipher()

getAuthToken() 반환

• getAuthToken()

getAuthToken  =  [ RestKey : RestSecret ]

• getString()

ttkey01의 String 얻는 함수

RestKey  =  ttkey01의 String

• getSecureString()

RestSecret =  decrypt( ttkey02의 String )

• decrypt()

v0 = RestKey

• decrypt().a()

RestKey를 평문으로 받아 Secretkey 구하는 함수

• decrypt().a().c()

Secretkey = PBKDF2-SHA1 ( restkey, salt, iteration=1000, keylen = 256 )

• decrypt().a()

• decrypt().a().a()

AES, ECB, PKCS5패딩, KEY=secretkey로 복호화를 정의하는 함수

• decrypt()

decrypt(ttkey02)

1. ttkey02로 restkey 생성

2. restkey로 pbkdf-sha1 이용해서 secretkey 생성

3. 복호화  ->  AES, ECB, PKCS5, secretkey

4.  UTF-8로 디코딩해서 출력

• getAuthToken()

Authtoken = [RestKey : RestSecret] = [ ttkey01의 String  : decrypt ( ttkey02의 String) ]

3.2 ) AuthToken을 이용해서 Secretkey 2 얻기

• decryptCipher()

• decryptCipher().c()

Secretkey2 = PBKDF2-SHA1 ( AuthToken, salt, iteration = 1000, keylen = 256 )

3.3) decryptCipher 구하기

• decryptCipher()

• decryptCipher().a()

• decryptCipher()

4. tigerconnect.apk의 decrypt 구조화하기

[ FBE(File-Based Encryption)의 동작 과정 ]

• 파일 시스템 수준에서 수행
• ext4 파일 시스템 암호화

1. FDE와 유사하게 User key와 salt를 이용해서 KDF를 이용해 KEK, IV를 생성

 KEK는 TEE에 안전하게 보관된다.

2. KEK와 IV를 사용하여 AES-256-GCM으로 DEK를 암호화

     - DEK : dev/urandom에서 읽은 64byte 난수

     - 상위 32byte는 파일 내용 암호화하는데 사용

     - 하위 32byte는 파일 이름 암호화하는데 사용

      TEE에서 KEK를 가져오려면 3가지 요구사항을 충족해야 한다.

      (1) 확장된 사용자 자격증명

               :  KDF(scrypt)로 사용자 인증을 확장

      (2) Secdiscardable hash (사용자 SID)

               :  임의의 16KB 파일로 이루어진 512bit 해시

      (3) 인증 토큰

               :  사용자가 정상적으로 로그인했을 때 게이트키퍼에 의해

                  생성되는 암호화방식으로 인증된 토큰

3. DEK와 nonce를 사용하여 AES-ECB-128로 암호화해서 각 파일별 키 생성 

• 각 파일에는 연결된 16byte nonce가 dentry에 저장
• dentry는 ext4 파일 시스템 구조에 inode항목에 연결하는 데이터 구조

• DEK 상위 32byte -> AES-ECB-128 -> 파일 이름 암호화 키 생성
• DEK 하위 32byte -> AES-ECB-128 -> 파일 내용 암호화 키 생성

4.  파일 이름은 각 파일별 키와 IV를 사용하여                                                                                                          AES-256-CBC-CTS로 암호화 된다.

• IV는 0으로 채워진다.
• 결과 암호문은 base62 인코딩을 사용하여 인코딩 된다.
• 암호화된 파일 이름은 dentry에 저장된다.

5. 파일 내용은 각 파일별 키를 사용하여                                                                                                                    AES-256-XTS로 암호화된다.

• 암호화된 파일 내용은 inode에 저장된다.

6.  Key Store

‘crypto footer’ 유추  ->  /data/misc/vold/user_keys 디렉터리

‘de’와 ‘ce’ 두 개의 하위 디렉터리로 나뉜다.

=================================================

“encrypted_key”   :  암호화된 DEK 포함

“keymaster_key_blob”   :  암호화된 RSA-2048 개인키 포함

“salt”   :  DEK를 복호화할 때 사용자 인증과 결합하여 사용

                   -> de 디렉터리는 사용자 입력이 필요하지 않으므로 salt 없음

“secdiscardable”   :  임의의 16KB 파일의 512bit 해시 값

“stretching”   :   KDF에 사용되는 매개변수 포함

                   -> “scrypt X : Y : Z” 형식

                   ->  N = 2^X,  r = 2^Y,  p = 2^Z

1. FBE(File-Based Encryption)란?

• 여러 키를 사용하여 여러 파일을 암호화 가능
• 안드로이드 7.0부터 FBE 추가
• 직접 부팅(Direct Boot) 기능 추가
  • 인증하지 않은 상태에서 바로 부팅 가능
  • 그러나 중요한 데이터는 복호화되지 않음
• DE와 CE로 나눠서 각각 암호화하고 각각의 접근 범위를 설정한다.
  • CE(Credential Encrypted) storage  :  기본 저장공간, 사용자 인증 이후로만 사용 가능한 저장소
  • DE(Device Encrypted) storage  :  사용자 인증과 상관없이 사용 가능한 저장소(직접 부팅, 인증 이후 모두 가능)
• 접근성이 설정된다면?
  • DE영역만 접근하도록 하여 데이터 보호 -> 암호화 무력화 문제 해결

2. FBE Decryption

• 파일 수준에서 암,복호화

• 기본 ext4 파일 시스템이 지원하는 fscrypt 암호화를 사용.

• 별도의 암호화된 두 가지 스토리지 영역

    - DE : 사용자 인증 전에 사용 가능.

    - CE : 사용자 인증 후에만 사용 가능.

1. 먼저 KEK를 생성하는데, FDE와 비슷한 방식으로 생성.

2. AES-256-GCM을 이용하여 CE, DE 별도의 마스터키가 생성.

3. AES-128-ECB와 128bit nonce를 이용하여 file key를 생성.

4. AES-256-CTS를 사용하여 파일 이름 복호화, AES-256-XTS를 사용하여 파일 내용 복호화.

[ FDE(Full-Disk Encryption)의 동작 과정 ]

1. user key와 salt를 scrypt 입력값으로 사용하여 32byte 중간 키 IK1을 생성

• user key : pin/password/pattern
• salt : dev/urandom에서 읽은 32byte 난수

*  Scrypt란?

    구조 :  PBKDF2 - SMIX - PBKDF2 

IK1 = scrypt(password, salt, N, r, p, dklen)

[input]

password

salt

N : CPU/memory cost (2의 배수)

r : blocksize parameter

p : 병렬화 (p <= (2^32)*hlen/MFLen)

dklen : 원하는 키 값 (dklen <= (2^32-1)*hlen)

[output]

IK1

2. IK1을 256byte(2048bit)까지 zero padding

00 || IK1 || 00 || 00 ... 00 || 00

( '00' 1byte || 'IK1' 32byte || '00' 223byte )  => 256byte

3.  패딩된 IK1에 HBK(hardware bound key)를 이용해 데이터를 서명해서 256byte IK2를 생성.

Android 5.0부터 Keymaster라는 하드웨어 지원 키 저장 기능 지원

- 암호화 키를 보호하기 위해 안전한 TEE 영역에서 구현

- dm-crypt는 FDE 수행을 담당하는 모듈

(1)  TEE 영역에서 Keymaster Key가 생성되면 HBK키를 사용하여 암호화됨.

           ->  ‘Key blob’ 암호화된 키 생성

           ->  안드로이드로 반환 

                    : 암호화되지 않은 영역인 ‘Crypto Footer’에 저장

(2) 안드로이드가 키를 사용하여 작업을 수행하려는 경우 ‘Key blob’를 keyMaster에 제공

(3) ‘key blob’를 HBK로 복호화

(4) 그 후 그 안에 포함된 RSA-2048 개인키로 데이터(패딩 된 IK1)를 서명

(5) 안드로이드로 반환  ->  IK2 생성 완료

4. 256byte IK2와 salt를 scrypt 입력값으로 사용해 32byte 중간키 IK3를 생성

처음 16byte를 KEK로 사용

마지막 16byte를 IV로 사용

5. 키 KEK와 초기화 벡터 IV를 사용하여 AES-CBC-128로 DEK를 암호화.

  - DEK : dev/urandom에서 읽은 32byte 난수

  - 암호화된 DEK는 “Crypto Footer”라는 암호화되지 않은 영역에 저장.

6. 암호화된 DEK로 DB를 암호화

    복호화하려면 암호화된 DEK를 복호화한 값으로 암호화된 DB를 복호화