home *** CD-ROM | disk | FTP | other *** search

---

/ Ian & Stuart's Australian Mac: Not for Sale / Another.not.for.sale (Australia).iso / Dr. Doyle / The-Five-Great-Inventions-of-T

< prev

next >

Wrap

Text File  |  1994-09-24  |  25KB  |  555 lines

---

1. The Five Great Inventions of Twentieth Century Cryptography
2.  
3. By William Hugh Murray
4. Information System Security
5. Consultant to Deloitte & Touche
6. WHMurray@DOCKMASTER.NCSC.MIL
7. 203-761-3088 (Voice Mail)
8. 203-834-2200 (FAX)
9.  
10.  
11. Preface
12.  
13. [This talk was presented as the keynote address at the 1994 RSA Security 
14. Conference, Redwood City, CA]
15.  
16.  
17. Foreword
18.  
19. Two years ago I opened the first of these conferences.
20.  
21. Jim Bidzos invited me to "kick it off;" nothing so formal as a "keynote." 
22. While I wore this same suit, I just sort of got up here to shoot the breeze 
23. with a few of my friends and colleagues. No notes, just sort of "off-the-
24. cuff." He did not even tell me how long I could talk. As far as I know 
25. there were no reporters present; nothing that I said got me in trouble.
26.  
27. After the morning session was over, Jim hosted a lunch for some of the 
28. speakers and panelists. Whit Diffie sat beside me, with his notes, and 
29. began to quiz me on my sources and authorities for my comments. He even 
30. told me that some of my best stories were apocryphal (though he conceded me 
31. the points that I made with them).
32.  
33. Well, I see the same friends, but there are far more colleagues. The 
34. program is more formal, Diffie still has his pad and pencil, the press is 
35. here, my remarks are styled as a "keynote," they are sufficiently arguable 
36. that I need to choose my words very carefully, and I have a fixed time to 
37. end. Prudence suggests that I use notes.
38.  
39.  
40. Introduction
41.  
42. Cryptography, the art of secret communication, is almost as old as writing. 
43. Indeed, it has been suggested that, at least for a while, writing itself 
44. was a relative secret. Certainly it was esoteric and its use was reserved 
45. to an initiated elite.
46.  
47. Cryptography and recording and communicating technologies have played leap 
48. frog through the pages of history. It is my thesis that both have changed 
49. so radically during the nineteenth and twentieth centuries as to constitute 
50. a new era.
51.  
52. On the recording and communicating side we have photography, telegraphy, 
53. telephony, radio, phonography, cinema, television, and 
54. telecommunications.hy, telephony, radio, cinema, television, and the 
55. computer. Collectively, and even individually, these technologies 
56. constitute a dramatic change in our ability to make a mark across time and 
57. space.
58.  
59. We have seen a similar advance in our ability to conceal those records and 
60. messages from all but a chosen few.
61.  
62. Modern cryptography has its origins between the two great wars of the 
63. twentieth century. .It was driven as much by the use of radio on the 
64. battlefield as by any other single influence, but there are an infinite 
65. number of important recording and communicating applications that simply 
66. cannot be done in clear text.
67.  
68. While more sparingly used and less well known, the advances in cryptography 
69. have been no less dramatic than those in recording and communications.
70.  
71. I propose to consider five inventions of the twentieth century that have 
72. defined modern cryptography and that set it apart from ancient or 
73. traditional cryptography.
74.  
75. The impact of these technologies has been to simplify the use of codes, 
76. reduce their cost, and increase by orders of magnitude the cost to a 
77. cryptanalyst of recovering information protected by the codes.
78.  
79. What constitutes an invention or sets it apart from other inventions is 
80. somewhat arbitrary. Some of the inventions that I propose to discuss could 
81. be considered as a group of other inventions; the members of the group 
82. might or might not be significant by themselves.
83.  
84. I have limited myself to a discussion of inventions rather than 
85. accomplishments, and to cryptography rather than to cryptanalysis.
86.  
87. Many of the accomplishments of the century have been in cryptanalysis and 
88. may have been greater than the inventions in cryptography. However, 
89. greatness is in the eye of the beholder. Certainly all the inventions have 
90. not been limited to cryptography.
91.  
92. For example, if cryptanalysts did not invent the modern computer, they 
93. certainly gave it a major boost. They have lived to see the advantage that 
94. it provides shift, with its scale, from them to the cryptographer.
95.  
96.  
97. Automated Encoding and Decoding
98.  
99. Modern cryptography begins in 1917 with the invention by Gilbert S. Vernam, 
100. an employee of the American Telephone & Telegraph Company, of the Vernam 
101. System.
102.  
103. Vernam used two paper tape readers, one for the message and the other for 
104. the key. He added the two (bit-wise and modulo 2) to produce the 
105. ciphertext.
106.  
107. Moreover, he used the standard information technology of his day to 
108. automate the encoding and decoding of information.
109.  
110. Modern cryptography is automatic. Translation from plaintext to ciphertext 
111. and back again is performed automatically, that is by a machine or 
112. automaton.
113.  
114. While there may be a separate step, the conversion from one code to the 
115. other is done by a machine rather than by a person.
116.  
117. Today that conversion can be done by almost any single user computer. With 
118. appropriate controls and for some applications it can be done in a multi-
119. user computer.
120.  
121. Before computers, this encoding was done in special purpose machines. The 
122. Enigma and Purple machines were both early and famous examples of such 
123. machines.
124.  
125. The requirement to manually convert from natural language to secret codes 
126. has always been a limitation. It tended to limit both the amount of traffic 
127. encrypted and the complexity of the encoding schemes used.
128.  
129. Therefore, encryption machines of any kind increase the complexity and 
130. effectiveness of the codes available.
131.  
132. At one level, the modern computer can be viewed as a general purpose code 
133. conversion machine. That is, it converts information called input into a 
134. new representation called output.
135.  
136. The relationship between the input and the output can be simple or complex, 
137. obvious or obscure, public or secret, and reversible or irreversible.
138.  
139. If the conversion is complex, obscure, secret, and reversible, then the 
140. computer can be viewed as an encryption machine.
141.  
142. But for want of a small amount of readily available software, all of the 
143. hundred million general purpose computers in the world are encryption 
144. engines of immense power.
145.  
146. At some price in performance, the relationship between input and output can 
147. be arbitrarily complex and obscure and thus arbitrarily effective in 
148. concealing the meaning of the output.
149.  
150. The cost of computer performance has been falling steadily and rapidly for 
151. fifty years. It has now become so cheap that most capacity is not used for 
152. the convenience of having it ready when it is wanted. The result is that 
153. the use of secret codes can be viewed as almost free.
154.  
155. So cheap is automatic coding and encoding that some applications do it by 
156. default and globally, concealing it completely from the user. Since the 
157. difference in cost between public codes and secret codes is vanishing and 
158. can be paid in a currency, computer cycles, that might otherwise be wasted, 
159. secret codes can be used by default.
160.  
161.  
162. Independent Long Key Variable
163.  
164. The major weakness of Vernam's system was that it required so much key 
165. material. This was compensated for by Lyman Morehouse who used two key 
166. tapes of 1000 and 999 characters, about eight feet each in length, in 
167. combination to produce an effective key tape of 999,000 characters, 
168. effectively 8000 feet in length. Morehouse had used a long key.
169.  
170. Modern cryptography is tailored to a particular use by a key variable, or 
171. simply a key. The key is a large integer that tailors the behavior of the 
172. standard algorithm and makes it generate a cipher that is specific to that 
173. number.
174.  
175. The requirement for secrecy is limited to this number. The problem of 
176. protecting the data reduces to the simpler one of protecting the key.
177.  
178. Access to the cleartext requires access to the combination of the 
179. ciphertext, the base mechanism, usually a computer and a program, and the 
180. key.
181.  
182. Since the rest are readily available, the efficiency of any use depends 
183. upon the fact that it is more expensive or difficult to obtain the key than 
184. to obtain the protected data by other means.
185.  
186. All other things being equal, the longer the key, the more secure the 
187. mechanism. Key length is a trade off against the complexity and the secrecy 
188. of the algorithm.
189.  
190. The longer the key, the simpler and more obvious can be the mechanism or 
191. algorithm.
192.  
193. If the key is as long as the message, statistically random in appearance, 
194. and used only once (one-time pad), then such a simple and obvious mechanism 
195. as modulo addition will still provide effective security.
196.  
197. For practical reasons, short keys and more complex mechanisms are 
198. preferred.
199.  
200. Complexity Based Cryptography (The Data Encryption Standard)
201.  
202. In May 1973 the US National Bureau of Standards advertised in the Federal 
203. Register for a proposal for an encryption mechanism to be employed as a 
204. standard mechanism for all of the needs of the civilian sectors of the 
205. government.
206.  
207. The ad stated that the successful proposal would be for a mechanism that 
208. would be secure for at least five years in spite of the fact that the 
209. mechanism would be public and published.
210.  
211. The resulting Data Encryption Standard was proposed by the IBM Corporation. 
212. It was invented by a team led by Walter Tuchman and was based upon a 
213. concept originated by Horst Feistel of IBM's Yorktown Research Laboratory.
214.  
215. This mechanism, which can be implemented on a chip and completely described 
216. in a few 8.5"X11'' pages, changed the nature of cryptography forever.
217.  
218. The security of modern encryption mechanisms like the DES is rooted in 
219. their complexity rather than in their secrecy.
220.  
221. While traditional encryption relied upon the secrecy of the mechanism to 
222. conceal the meaning of the message, these modern mechanisms employ standard 
223. and public algorithms.
224.  
225. These mechanisms are standard in the sense that they are of known strength 
226. or have a known cost of attack. However, the trade-off is that their 
227. effectiveness can not, must not, depend upon their secrecy.
228.  
229. Rather, it relies upon the complexity of the mechanism. The complexity of 
230. modern ciphers is such that they can be effective even though most of their 
231. mechanism is public.
232.  
233. The most well known, trusted, and widely used of all modern ciphers is the 
234. Data Encryption Standard. Because of the intended breadth and duration of 
235. the use of this cipher, the sponsors specified that it should be assumed to 
236. be public.
237.  
238. Its effectiveness should rely upon the secrecy only of the key (see the 
239. next section). It has been public for more than fifteen years, but its 
240. effectiveness is such that trying all possible keys with known plain and 
241. cipher text is still the cheapest practical attack.
242.  
243. [The DES belongs to a class of ciphers known as Feistel ciphers. These 
244. ciphers are also known as block product ciphers. They are called block 
245. ciphers because they operate on a fixed length block of bits or characters. 
246. They are called product ciphers because they employ both substitution and 
247. transposition.]
248.  
249.  
250. Automatic Key Management
251.  
252. The same key must exist at both ends of the communication. Historically, 
253. keys were distributed by a separate channel or path than the one by which 
254. the encrypted traffic passed.
255.  
256. The initial distribution and installation of the keys must be done in such 
257. a way as not to disclose them to the adversary.
258.  
259. When this is done manually, it represents a significant opportunity for the 
260. compromise of the system.
261.  
262. Because they were attempting to combine cryptography and computing in a 
263. novel manner, Tuchman and his team understood this problem very well.
264.  
265. The products that they based upon the DES algorithm addressed it, in part, 
266. by automating the generation, distribution, installation, storage, control, 
267. and timely changing of the keys.
268.  
269. Their elegant system is described in two papers published in the IBM 
270. Systems Journal Vol. 17(2) pp. 106-125 (1978) and covered by a number of 
271. fundamental patents based upon it. [While NSA had automated some key 
272. management operations, and while Rosenblum was awarded a patent for a "key 
273. distribution center," these were ad hoc. This work is the first that 
274. describes and implements a complete and integrated automatic system.]
275.  
276. The impact of this concept on the effectiveness, efficiency, and ease of 
277. application of modern cryptography is immense. However, it may also the 
278. least understood and appreciated.
279.  
280. For example, much of the analysis of the strength of the DES is made in the 
281. context of the primitive DES. However, the DES rarely appears as a 
282. primitive. Instead it appears in implementations which use it in such a way 
283. as to compensate for its inherent limitations.
284.  
285. For example, automatic generation of the keys avoids the use of weak or 
286. trivial keys. (the DES has four known weak keys and four semiweak keys.) 
287.  
288. Since automatic key management systems permit so many keys, they also 
289. reduce the exposure to "known plaintext" attacks.
290.  
291. History suggests that codes are most often broken because the user fails to 
292. apply them with the necessary rigor and discipline, particularly when 
293. choosing, distributing, and installing keys.
294.  
295. Automating of these steps provides much of the necessary discipline and 
296. rigor.
297.  
298. Automatic key distribution and installation increases the effectiveness by 
299. protecting the keys from disclosure during distribution, and by making the 
300. system resistant to the insertion of keys known to attackers.
301.  
302. When keys are installed manually they become known to the human agent who 
303. installs them. He is in a position to provide a copy of the key to others. 
304. To the extent that this agent is vulnerable to coercion or bribery, the 
305. system is weakened by this knowledge.
306.  
307. Therefore, the system may be strengthened by automatic mechanisms which 
308. provide the agent with beneficial use of the key without granting him 
309. knowledge of it.
310.  
311. For example, systems available from IBM and Motorola provide for the key to 
312. be distributed in smartcards and automatically installed in the target 
313. machine.
314.  
315. The key can be encrypted in the smartcard or destroyed by the installation 
316. process. In either case, the agent can use it, but cannot copy it or give 
317. it to another.
318.  
319. Just as the use of automata for encoding and decoding reduces the cost and 
320. inconvenience of using secret codes, the use of automata for key management 
321. reduces the cost and inconvenience of changing the keys frequently.
322.  
323. By changing the key frequently, e.g., for each, file, session, message, or 
324. transaction, the value to an adversary of obtaining a key is reduced, and 
325. the effectiveness of the mechanism is improved.
326.  
327. One way of looking at automated key management is that it increases the 
328. effective length of the key, or makes it approach the length of the data 
329. protected.
330.  
331.  
332. Asymmetric Key Cryptography
333.  
334. However, even though most of the key management can be automated, most such 
335. systems require some prearrangement. In any-to-any communications in a 
336. large open population, this requirement can quickly become overwhelming.
337.  
338. For example, in a population of two hundred people, the number of key pairs 
339. and secret exchanges would be in the thousands with many opportunities for 
340. keys to be compromised. Moreover, with traditional keys, the initial 
341. distribution of keys must be done in such a way as to maintain their 
342. secrecy, practically impossible in a large population.
343.  
344. These problems are addressed, in part, by public key, or asymmetric key, 
345. cryptography. This mechanism was proposed by Whitfield Diffee, Martin 
346. Hellman, and Ralph Merkle. It may be the single most innovative idea in 
347. modern cryptography.
348.  
349. The best known and most widely used implementation is the RSA algorithm 
350. invented by Ronald Rivest, Adi Shamir, and Leonard Adelman.
351.  
352. [In this mechanism the key has two parts, only one of which must be kept 
353. secret. The two parts have the special property that what is encrypted with 
354. one can only be decrypted with the other.
355.  
356. One half of the key-pair, called the private key, is kept secret and is 
357. used only by its owner.
358.  
359. The other half, called the public key, is published and is used by all 
360. parties that want to communicate with the private key owner. 
361.  
362. It can be published and does not need to be distributed secretly.
363.  
364. Since the public key, by definition, is available to anyone, then anyone 
365. can send a message to the owner that only he can read.]
366.  
367. With a minimum of pre-arrangement, this function provides the logical 
368. analog of an envelope that can only be opened by one person. The larger the 
369. communicating population, and the more hostile the environment, the greater 
370. is its advantage over symmetric key cryptography.
371.  
372. This concealment from all but the intended recipient is the traditional use 
373. of cryptography. However, asymmetric key cryptography has another use.
374.  
375. A message encrypted using the private key can be read by anyone with access 
376. to the public key, but it could only have been encrypted by the owner of 
377. the corresponding private key. This use is analogous to a digital 
378. signature.
379.  
380. It provides confidence that the message originates where it appears to have 
381. originated. Since if even a bit of the message is changed it will not 
382. decrypt properly, this mechanism also provides confidence that the message 
383. has not been either maliciously or accidentally altered.
384.  
385. In part, this is also true as between the two parties to a message that is 
386. sent using symmetric key cryptography. That is, the recipient of the 
387. message knows with a high degree of confidence that it originated with the 
388. other holder of the key; he knows it, but he cannot prove it to another.
389.  
390. However, with asymmetric key cryptography, he can demonstrate it to a third 
391. party. If the owner of the key pair has acknowledged the public part of the 
392. key to the third party, then he cannot plausibly deny any message that can 
393. be decrypted with it.
394.  
395. [The concept of the digital signature is such a novel concept as to easily 
396. qualify as an invention on its own. However, it is so closely bound in 
397. origin and literature to asymmetric key cryptography that I elect to simply 
398. treat them as one.]
399.  
400. These two abstractions, the logical envelope and the logical signature, can 
401. be composed so as to synthesize any and all of the controls that we have 
402. ever been able to achieve by more traditional means.
403.  
404. They can be used for payments, contracts, testaments, and high integrity 
405. journals and logs.
406.  
407. They provide us with a higher degree of security in an electronic 
408. environment than we were ever able to achieve in a paper environment.
409.  
410. They provide protection in an open environment that is nearly as high as 
411. that which we can achieve in an open one. The Impact of the Great 
412. Inventions
413.  
414. The impact of these inventions is to provide us with secret codes that are 
415. cheap enough to be used by default, and arbitrarily strong.
416.  
417. Given assumptions about the quantity of data to be protected, the length of 
418. time that it must remain secret, its value to an adversary, and the 
419. resources available to the adversary, it is possible to apply modern 
420. cryptography in such a way as to be as strong as required.
421.  
422. While it is possible to state a problem in such a way as to defy such a 
423. solution, it is difficult to identify such a problem in the real world. 
424.  
425. That is, It is possible to specify so much data to be encrypted under a 
426. single key, of such high value and which must remain safe for such a long 
427. time that we cannot say with confidence that the mechanism can stand for 
428. that time and cost.
429.  
430. For example, we cannot say with confidence how to encrypt several hundred 
431. gigabytes worth several trillion dollars and keep it safe for a millennium. 
432. On the other hand, we are not aware of any real problems that meet such a 
433. specification.
434.  
435. Put another way, we can always ensure that the cost of obtaining the 
436. information by cryptanalysis is higher than the value of the data or the 
437. cost of obtaining it by alternative means.
438.  
439. While any code can be broken at some cost, modern codes are economically 
440. unbreakable, at least in the sense that the cost of doing so can be made to 
441. exceed the value of doing it.
442.  
443. A very small increase in the cost to the cryptographer can result in 
444. astronomical increases in the cost to a potential adversary.
445.  
446. Perhaps just as important, these mechanisms are now sufficiently convenient 
447. to use, that, within bounds, they can be widely and easily applied.
448.  
449. Given that the more data that is encrypted with a single mechanism, the 
450. greater the value in breaking it, the more compromising information is 
451. available to an adversary, and that the more a mechanism is used the 
452. greater the opportunity for a compromising error in its use, we should 
453. continue to apply cryptography only to data that can profit from its use.
454.  
455. On the other we need never again be inhibited from using it by issues of 
456. cost or convenience.
457.  
458.  
459. Cryptography and Government Policy
460.  
461. It should be obvious to a qualified observer that, announcements here to 
462. the contrary not withstanding, we are losing the battle for security and 
463. privacy in the computerized and networked world.
464.  
465. We could have secret codes imbedded in all software of interest for free. 
466. This assertion assumes only that all such software is produced by those 
467. represented here, who have already paid for licenses and absorbed much of 
468. the necessary development cost, and that the cost of a marginal cycle on 
469. the desktop approaches zero.
470.  
471. That we do not, is the result of ambivalent government policy. While one 
472. agency of government has sponsored the use of standard cryptography, 
473. another has tried to undermine confidence in those standards.
474.  
475. While one agency has asserted that public standards are essential, another 
476. has sponsored secret ones, and a third has used public funds to further 
477. such secret standards.
478.  
479. While one agency has insisted that trusted codes are essential to world 
480. prosperity, another has imposed restrictions on their export and undermined 
481. confidence in those that are exported.
482.  
483. While one agency recognizes that national security depends upon world 
484. prosperity, another believes that signals intelligence is more important. 
485. Those of you who have seen my comments in Risks, sci.crypt , and the 
486. Communications of the ACM, know my position.
487.  
488. It is that the prime mover behind all of these initiatives is NSA, that 
489. their motive is the preservation of their jobs and power by protecting the 
490. efficiency of signals intelligence, that their strategy is to discourage by 
491. every means that they can get away with all private and most commercial use 
492. of cryptography. That they have infiltrated the departments of State and 
493. Commerce and the White House staff, and that they are using the Department 
494. of Justice.
495.  
496. While they know that they cannot be fully successful, they also know that 
497. they do not have to be.
498.  
499. Nor is this simply paranoia on my part. It is the only explanation that 
500. accounts for all of the government's actions. It also meets the tests 
501. proposed by Machiavelli, Willie Sutton and "Deep Throat."
502.  
503. While most of the government confesses that cryptography is essential to 
504. personal privacy in the modern era, the administration is not prepared to 
505. admit that even the current sparse use is consistent with the government's 
506. responsibility to preserve public order.
507.  
508. Let me stress that the problem is government policy, not public policy and 
509. not administration or congressional policy. This policy has been made in 
510. secret and has been resistant to public input.
511.  
512. It is the policy of the bureaucracy and not of any individuals. I know most 
513. of the players in the development of this policy. I know none that are 
514. pursuing a personal agenda, like the results, or are proud of their roles 
515. in it.
516.  
517. They are simply doing the best that they know how in the face of agency 
518. momentum, administration consent, and the absence of congressional 
519. guidance. However, the momentum behind these policies is such that the good 
520. intentions and professionalism of the individuals is not sufficient to 
521. resist it.
522.  
523. While the administration has aligned itself with the initiatives, it is not 
524. their author. While the initiatives have sponsors within the 
525. administration, they were here before the administration and they expect to 
526. be here when it is gone.
527.  
528. They believe that the policy is important and that the administration is 
529. not.
530.  
531. While some committees of the congress have held hearings on the issues and 
532. even decried the arbitrary actions of the bureaucracy, their hearings 
533. always conclude with executive sessions with the NSA and no legislative 
534. initiatives to curb the excesses.
535.  
536. Forgive me a closing political observation not intended to be partisan. 
537. This government is too large, over-zealous and under-effective. It is 
538. committed to nothing so much as its own survival.
539.  
540. It may be too late to influence it, but if it is not influenced, not only 
541. will we not enjoy the fruits of modern cryptography, but we may not enjoy 
542. those of telecommunications, trade, our labors, or even those of freedom.
543.  
544.  
545. Bibliography
546.  
547. Ehrsam, W. F., Matyas, S. M., Meyer, C. H., and Tuchman, W. L., "A 
548. Cryptographic Key Management System for Implementing the Data Encryption 
549. Standard," IBM Systems Journal Vol. 17(2) pp. 106-125 (1978).
550.  
551. Kahn, D., The Codebreakers, Macmillan Co., New York (1967).
552.  
553. Matyas, S. M., Meyer, C. H., "Generation, Distribution, and Installation of 
554. Cryptographic Keys," IBM Systems Journal Vol. 17(2) pp. 126-137 (1978).
555.