home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / cud / cud530c.txt < prev    next >
Text File  |  1995-01-03  |  8KB  |  211 lines
  1. Date: Wed, 21 Apr 93 19:21:48 EDT
  2. From: denning@cs.cosc.georgetown.edu (Dorothy Denning)
  3. Subject: File 3--THE CLIPPER CHIP: A TECHNICAL SUMMARY
  4.  
  5. ((REPRINTED FROM RISKS DIGEST, #14.52))
  6.  
  7.                      THE CLIPPER CHIP: A TECHNICAL SUMMARY
  8.                                Dorothy Denning
  9.                            Revised, April 21, 1993
  10.  
  11. INTRODUCTION
  12.  
  13. On April 16, the President announced a new initiative that will
  14. bring
  15. together the Federal Government and industry in a voluntary program
  16. to
  17. provide secure communications while meeting the legitimate needs of
  18. law enforcement.  At the heart of the plan is a new tamper-proof
  19. encryption chip called the "Clipper Chip" together with a split-key
  20. approach to escrowing keys.  Two escrow agencies are used, and the
  21. key
  22. parts from both are needed to reconstruct a key.
  23.  
  24. CHIP CONTENTS
  25.  
  26. The Clipper Chip contains a classified single-key 64-bit block
  27. encryption algorithm called "Skipjack."  The algorithm uses 80 bit
  28. keys (compared with 56 for the DES) and has 32 rounds of scrambling
  29. (compared with 16 for the DES).  It supports all 4 DES modes of
  30. operation.  The algorithm takes 32 clock ticks, and in Electronic
  31. Codebook (ECB) mode runs at 12 Mbits per second.
  32.  
  33. Each chip includes the following components:
  34.  
  35.    the Skipjack encryption algorithm
  36.    F, an 80-bit family key that is common to all chips
  37.    N, a 30-bit serial number (this length is subject to change)
  38.    U, an 80-bit secret key that unlocks all messages encrypted with
  39. the chip
  40.  
  41. The chips are programmed by Mykotronx, Inc., which calls them the
  42. "MYK-78."  The silicon is supplied by VLSI Technology Inc.  They
  43. are
  44. implemented in 1 micron technology and will initially sell for
  45. about
  46. $30 each in quantities of 10,000 or more.  The price should drop as
  47. the
  48. technology is shrunk to .8 micron.
  49.  
  50. ENCRYPTING WITH THE CHIP
  51.  
  52. To see how the chip is used, imagine that it is embedded in the
  53. AT&T
  54. telephone security device (as it will be).  Suppose I call someone
  55. and
  56. we both have such a device.  After pushing a button to start a
  57. secure
  58. conversation, my security device will negotiate an 80-bit session
  59. key K
  60. with the device at the other end.  This key negotiation takes place
  61. without the Clipper Chip.  In general, any method of key exchange
  62. can
  63. be used such as the Diffie-Hellman public-key distribution method.
  64.  
  65. Once the session key K is established, the Clipper Chip is used to
  66. encrypt the conversation or message stream M (digitized voice). 
  67. The
  68. telephone security device feeds K and M into the chip to produce
  69. two
  70. values:
  71.  
  72.    E[M; K], the encrypted message stream, and
  73.    E[E[K; U] + N; F], a law enforcement field ,
  74.  
  75. which are transmitted over the telephone line.  The law enforcement
  76. field thus contains the session key K encrypted under the unit key
  77. U
  78. concatenated with the serial number N, all encrypted under the
  79. family
  80. key F.  The law enforcement field is decrypted by law enforcement
  81. after
  82. an authorized wiretap has been installed.
  83.  
  84. The ciphertext E[M; K] is decrypted by the receiver's device using
  85. the
  86. session key:
  87.  
  88.    D[E[M; K]; K] = M .
  89.  
  90. CHIP PROGRAMMING AND ESCROW
  91.  
  92. All Clipper Chips are programmed inside a SCIF (Secure
  93. Compartmented
  94. Information Facility), which is essentially a vault.  The SCIF
  95. contains
  96. a laptop computer and equipment to program the chips.  About 300
  97. chips
  98. are programmed during a single session.  The SCIF is located at
  99. Mykotronx.
  100.  
  101. At the beginning of a session, a trusted agent from each of the two
  102. key
  103. escrow agencies enters the vault.  Agent 1 enters a secret, random
  104. 80-bit value S1 into the laptop and agent 2 enters a secret, random
  105. 80-bit value S2. These random values serve as seeds to generate
  106. unit
  107. keys for a sequence of serial numbers.  Thus, the unit keys are a
  108. function of 160 secret, random bits, where each agent knows only
  109. 80.
  110.  
  111. To generate the unit key for a serial number N, the 30-bit value N
  112. is
  113. first padded with a fixed 34-bit block to produce a 64-bit block
  114. N1.
  115. S1 and S2 are then used as keys to triple-encrypt N1, producing a
  116. 64-bit block R1:
  117.  
  118.         R1 = E[D[E[N1; S1]; S2]; S1] .
  119.  
  120. Similarly, N is padded with two other 34-bit blocks to produce N2
  121. and
  122. N3, and two additional 64-bit blocks R2 and R3 are computed:
  123.  
  124.         R2 = E[D[E[N2; S1]; S2]; S1]
  125.         R3 = E[D[E[N3; S1]; S2]; S1] .
  126.  
  127. R1, R2, and R3 are then concatenated together, giving 192 bits. The
  128. first 80 bits are assigned to U1 and the second 80 bits to U2.  The
  129. rest are discarded.  The unit key U is the XOR of U1 and U2.  U1
  130. and U2
  131. are the key parts that are separately escrowed with the two escrow
  132. agencies.
  133.  
  134. As a sequence of values for U1, U2, and U are generated, they are
  135. written onto three separate floppy disks.  The first disk contains
  136. a
  137. file for each serial number that contains the corresponding key
  138. part
  139. U1.  The second disk is similar but contains the U2 values.  The
  140. third
  141. disk contains the unit keys U.  Agent 1 takes the first disk and
  142. agent
  143. 2 takes the second disk.  Thus each agent walks away knowing
  144. an 80-bit seed and the 80-bit key parts.  However, the agent does
  145. not
  146. know the other 80 bits used to generate the keys or the other
  147. 80-bit
  148. key parts.
  149.  
  150. The third disk is used to program the chips.  After the chips are
  151. programmed, all information is discarded from the vault and the
  152. agents
  153. leave.  The laptop may be destroyed for additional assurance that
  154. no
  155. information is left behind.
  156.  
  157. The protocol may be changed slightly so that four people are in the
  158. room instead of two.  The first two would provide the seeds S1 and
  159. S2,
  160. and the second two (the escrow agents) would take the disks back to
  161. the escrow agencies.
  162.  
  163. The escrow agencies have as yet to be determined, but they will not
  164. be the NSA, CIA, FBI, or any other law enforcement agency.  One or
  165. both may be independent from the government.
  166.  
  167. LAW ENFORCEMENT USE
  168.  
  169. When law enforcement has been authorized to tap an encrypted line,
  170. they
  171. will first take the warrant to the service provider in order to get
  172. access to the communications line.  Let us assume that the tap is
  173. in
  174. place and that they have determined that the line is encrypted with
  175. the
  176. Clipper Chip.  The law enforcement field is first decrypted with
  177. the
  178. family key F, giving E[K; U] + N.  Documentation certifying that a
  179. tap
  180. has been authorized for the party associated with serial number N
  181. is
  182. then sent (e.g., via secure FAX) to each of the key escrow agents,
  183. who
  184. return (e.g., also via secure FAX) U1 and U2.  U1 and U2 are XORed
  185. together to produce the unit key U, and E[K; U] is decrypted to get
  186. the
  187. session key K.  Finally the message stream is decrypted.  All this
  188. will
  189. be accomplished through a special black box decoder.
  190.  
  191.  
  192. CAPSTONE: THE NEXT GENERATION
  193.  
  194. A successor to the Clipper Chip, called "Capstone" by the
  195. government
  196. and "MYK-80" by Mykotronx, has already been developed.  It will
  197. include
  198. the Skipjack algorithm, the Digital Signature Standard (DSS), the
  199. Secure Hash Algorithm (SHA), a method of key exchange, a fast
  200. exponentiator, and a randomizer.  A prototoype will be available
  201. for
  202. testing on April 22, and the chips are expected to be ready for
  203. delivery in June or July.
  204.  
  205. ACKNOWLEDGMENT AND DISTRIBUTION NOTICE.  This article is based on
  206. information provided by NSA, NIST, FBI, and Mykotronx.  Permission
  207. to
  208. distribute this document is granted.
  209.  
  210. Downloaded From P-80 International Information Systems 304-744-2253
  211.