Protocolli crittografici

Transcript

1 Protocolli crittografici Clemente Galdi Dipartimenti di Scienze Fisiche Università di Napoli Federico II

2 Protocolli crittografici Lancio di una moneta Poker Elezioni Moneta elettronica Condivisione di segreti certificata

3 Mental Poker Poker senza carte, con giocatori curiosi ma onesti Tre giocatori: Annarella, Biagio, Ciro Cifratura e decifratura commutative: D(E(x,k ),k 2 ) = E(D(x,k 2 ),k ) Esempio: RSA con lo stesso modulo Da implemetare con cura Stesso modulo -> stessi valori di p e q 2

4 Mental Poker: B ottiene 5 carte Cifro e permuto le 52 carte E(x,k A ),,E(x 52,k A ) E(x 4,k A ),,E(x 32,k A ) E(E(x 5,k A ),k B ),,E(E(x 2,k A ),k B ) Scelgo 5 carte e le cifro Decifro i 5 valori D(E(E(x 5,k A ),k B ) k A ),,D(E(E(x 2,k A ),k B ) k A ) 3

5 Mental Poker: B ottiene 5 carte Cifro e permuto le 52 carte E(x,k A ),,E(x 52,k A ) E(x 4,k A ),,E(x 32,k A ) E(E(x 5,k A ),k B ),,E(E(x 2,k A ),k B ) Scelgo 5 carte e le cifro Decifro i 5 valori E(x 5,k B ),,E(x 2,k B ) x 5,,x 2 4

6 Mental Poker: C ottiene 5 carte Invio Invio le le carte carte cifrate cifrate da da A E(x 4,k A ),,E(x 32,k A ) 47 carte 5

7 Mental Poker: C ottiene 5 carte Invio Invio le le carte carte cifrate cifrate da da A E(x 4,k A ),,E(x 32,k A ) Scelgo Scelgo 5 carte carte e e le le cifro cifro E(E(x 3,k A ),k C ),,E(E(x 50,k A ),k C ) 5 carte 6

8 Mental Poker: C ottiene 5 carte Invio Invio le le carte carte cifrate cifrate da da A E(x 4,k A ),,E(x 32,k A ) Scelgo Scelgo 5 carte carte e e le le cifro cifro Decifro Decifro i i 5 valori valori E(E(x 3,k A ),k C ),,E(E(x 50,k A ),k C ) D(E(E(x 3,k A ),k C ),k A ),,D(E(E(x 50,k A ),k C )k A ) 5 carte 7

9 Mental Poker: C ottiene 5 carte Invio Invio le le carte carte cifrate cifrate da da A E(x 4,k A ),,E(x 32,k A ) Scelgo Scelgo 5 carte carte e e le le cifro cifro Decifro Decifro i i 5 valori valori E(E(x 3,k A ),k C ),,E(E(x 50,k A ),k C ) E(x 3,k C ),,E(x 50,k C ) 5 carte 8

10 Mental Poker: C ottiene 5 carte Invio le le carte carte cifrate da da A Scelgo 5 carte carte e le le cifro cifro E(x 4,k A ),,E(x 32,k A ) Decifro i i 5 valori E(E(x 3,k A ),k C ),,E(E(x 50,k A ),k C ) E(x 3,k C ),,E(x 50,k C ) Decifro i i 5 valori x 3, 3,, x

11 Mental Poker: A ottiene 5 carte Scelgo ed ed invio 5 tra tra le le carte cifrate da da A E(x,k A ),,E(x 45,k A ) 5 carte Decifro i i 5 valori x,,x

12 Mental Poker Giocatori curiosi ma onesti Se non fossero onesti Uso di prove zero-knowledge Alla fine, tutti rivelano le chiavi utilizzate Alla fine, solo il vincitore rivela le chiavi utilizzate

13 Condivisione di segreti Un dealer vuole condividere un segreto S tra n partecipanti in modo che: k o più partecipanti possano ricostruire S k- o meno partecipanti non hanno alcuna informazione su S [Adi Shamir, 979] 2

14 Scenario Dealer Segreto S P P 2 P n 3

15 Distribuzione del segreto Dealer Segreto S Share Share n Share 2 P P 2 P n 4

16 Ricostruzione del segreto k partecipanti Il Il segreto è S Share Share 2 P P 2 P n 5

17 Ricostruzione del segreto Share k- partecipanti Non abbiamo alcuna informazione sul segreto Share 2 P P 2 P n 6

18 Condivisione di segreti Vedremo: Schema (n,n) Schema (k,n) 7

19 Inizializzazione schema (n,n) p numero primo primo a,, a 2,, 2,, a n- n- elementi in in Z p p Dealer P P 2 P n 8

20 a n n S-a S-a --a --a n- mod n- modp Calcolo share schema (n,n) p numero primo primo a,, a 2,, 2,, a n- n- elementi in in Z p p Dealer Segreto S in in Z p P P 2 P n 9

21 a n n S-a S-a --a --a n- mod n- modp Distribuzione share p numero primo primo a,, a 2,, 2,, a n- n- elementi in in Z p p a Dealer a n Segreto S in in Z p a 2 P P 2 P n 20

22 a mod mod7 3 Esempio schema (5,5) 2 Dealer p 7 a 3 3 a a 3 3 a P P P 5 2 P 3 2 P 4 4 Segreto S 5 2

23 Ricostruzione del segreto n partecipanti Il Il segreto è S Share Share 2 P P 2 Share nn P n S a ++a n- +a n- +a n mod n modp 22

24 Ricostruzione del segreto n- partecipanti Share Share 2 Non abbiamo alcuna informazione sul segreto P n P P ii 23

25 Esempio schema (5,5) P sa che 3 = a P 2 sa che 2 = a 2 P 3 sa che = a 3 P 5 sa che 4 = S-a -a 2 -a 3 a 4 mod 7 S a Il sistema ha 7 soluzioni:

26 Inizializzazione schema (k,n) p numero primo primo a,, a 2,, 2,, a k- k- elementi in in Z p p Dealer P P 2 P n 25

27 f(x) f(x) S+a S+a x++ a k- x k- k- k- for fori= to ton do doy i i f(i) f(i) Calcolo share schema (k,n) p numero primo primo a,, a 2,, 2,, a k- k- elementi in in Z p p Dealer Segreto S in in Z p P P 2 P n 26

28 f(x) f(x) S+a S+a x++ a k- x k- k- k- for fori= to ton do doy i i f(i) f(i) Distribuzione share p numero primo primo a,, a 2,, 2,, a k- k- elementi in in Z p p y Dealer y n Segreto S in in Z p y 2 P P 2 P n 27

29 f(x) f(x) 2+x+2x 2 2 for fori= to to5 do doy i i f(i) f(i) 6 Esempio schema (3,5) 4 Dealer p 9 9 a a P P P P 3 2 P 4 3 Segreto S 2 28

30 Ricostruzione del segreto k partecipanti Il Il segreto è S Share Share 2 P P 2 P n 29

31 Informazioni k partecipanti k equazioni: y i = S+a i++ a k- i k- per i=i, i 2, i k k incognite: S, a,, a k- Possono ricostruire il segreto! 30

32 Esempio schema (3,5) P sa che 6 = S + a + a 2 2 P 2 sa che 4 = S + a 2 + a P 4 sa che 2 = S + a 4 + a S 6 4 = a 4 6 a 2 2 det = (2-)(4-)(4-2) mod 9 = 6 Il sistema ha un unica soluzione: S=9 a = a 2 = 2 3

33 32 Informazioni k partecipanti Partecipanti P i, P i2,, P ik = k 3 2 i i i i k 2 k k 2 k k k k k 2 y y y y a a a S i i i i i i i i i i i i M M L M M M M L L L Il sistema ha un unica soluzione < = k t r r t p mod ) i (i det Matrice di Vandermonde

34 Calcolo del Segreto Calcolo polinomio f(x) Formula di interpolazione di Lagrange Grado k- f(i j ) = y ij f(x) Serve solo f(0) = S f(0) = = k t yi = j j t t k ij it j x i k t yi = j j t t k it ij j i 33

35 Ricostruzione del segreto Share k- partecipanti Non abbiamo alcuna informazione sul segreto Share 2 P P 2 P n 34

36 Informazioni k- partecipanti k- equazioni: y i = S+a i++ a k- i k- per i=i, i 2, i k- k incognite: S, a,, a k- Non possono ricostruire il segreto Ogni segreto è equamente possibile 35

37 Esempio schema (3,5) P sa che 6 = S + a + a 2 2 S 0 a 0 a 2 5 P 2 sa che 4 = S + a 2 + a S a a2 = Il sistema ha 9 soluzioni:

38 Ricostruzione del segreto Share k- partecipanti Non abbiamo alcuna informazione sul segreto Share 2 P P 2 P n 37

39 38 Informazioni k- partecipanti k- equazioni: y i = S+a i++ a k- i k- per i=i, i 2, i k- k incognite: S, a,, a k- Ipotizzando un valore per il segreto S y ik = F(i k ) = S+a 0++ a k- 0 k- Il sistema ha un unica soluzione < = k t r r t p mod ) i (i det Matrice di Vandermonde = k 3 2 i i i i k 2 k k 2 k k k k k 2 y y y y a a a S i i i i i i i i i i i i M M L M M M M L L L i k = 0

40 Lancio di una moneta Alice Bob E E uscito testa/croce E E uscito testa/croce 39

41 Lancio di una moneta protocollo naive Alice testa Bob Lancio moneta E E uscito testa E E uscito testa 40

42 Lancio di una moneta Alice Scegli bit b Bob b b rivela b Scegli bit b E E uscito b b E E uscito b b 4

43 Lancio di una moneta Alice Scegli bit b x commitment(b) x b rivela b Bob Scegli bit b E E uscito b b E E uscito b b 42

44 Commitment x commitment(b) Equivalente digitale di una busta Facile da calcolare Dato x è difficile calcolare b Facile mostrare che x = commitment(b) Difficile mostrare che x = commitment(-b) 43

45 Commitment x commitment(b) b = predicato_difficile (x) Esempio parità n,e (C) = bit meno significativo di M half n,e (C) = 0 se M < n/2 se M > n/2 C = M e mod n 44

46 Blind Signature Voglio avere la la firma di di M da da parte di di B Alice Bob F è la la firma di di M da da parte di di B Non so so che cosa ho ho firmato 45

47 Blind Signature protocollo con busta Voglio avere la la firma di di M da da parte di di B Alice Bob M F M,F F 46

48 Blind Signature protocollo con RSA Voglio avere la la firma di di M da da parte di di B Alice t Bob M k valore casuale F t Mk e mod n F t d mod n M,F F F k - mod n F F 47

49 Blind Signature protocollo con RSA Voglio avere la la firma di di M da da parte di di B Alice t Bob M k valore casuale F t Mk e mod n F t d mod n M,F F F k - mod n F F F = F F k - - mod modn = tt d d k - - mod mod n = (Mk (Mk e e )) d d k - - mod modn = M d d k ed ed k - - mod modn = M d d mod modn 48

50 Moneta Elettronica Alice Banca Moneta elettronica Deposito Anonimia egoziante 49

51 Moneta Elettronica 0 Assegno $000 Alice Firma Banca (Assegno $000) La banca puo memorizzare importo-firma Problemi? 50

52 Moneta Elettronica I Assegno $000 Alice Firma Banca (Assegno $000) F F Assegno di $000? Problemi? 5

53 Moneta Elettronica II 00 Assegno $000 Assegno $000 Apri queste 99 buste Alice Firma Banca (Assegno $000) F Busta non aperta F 52

54 Moneta Elettronica II 00 Assegno $000 Assegno $000 Apri queste 99 buste Alice Problemi? Alice puo spendere l assegno piu volte!!! Firma Banca (Assegno $000) F Busta non aperta F 53

55 Moneta Elettronica III 00 Assegno $000, r Assegno $000, r 00 Apri queste 99 buste Alice r rappresenta un numero di serie per l assegno. Firma Banca (Assegno $000, r) F Busta non aperta F 54

56 Moneta Elettronica III r,, r n Alice Problemi? Firma Banca (Assegno $000, r) La banca puo identificare un assegno speso piu volte... Ma non puo identificare il truffatore Il cliente o il negoziante? Deposito Firma Banca (Assegno $000, r) egoziante 55

57 Moneta Elettronica IV 00 Assegno $000, r, I Assegno $000, r 00, I Apri queste 99 buste Alice Firma Banca (Assegno $000, r, I) F Busta non aperta F 56

58 Moneta Elettronica IV I x y x i y i = ID Alice x 2 y 2 Condivisione segreti (2,2) x n y n 57

59 Moneta Elettronica IV (r,i,b ),,(r n,i n,b n ) Deposito Firma Banca (Assegno $000, r, I) Firma Banca (Assegno $000, r, I) Apri queste n buste in I Buste aperte Alice Buste aperte egoziante 58

60 Moneta Elettronica IV x y ID N =0 x 2 y 2 x, y 2,, y n x n y n 59

61 Moneta Elettronica IV x y ID N = x 2 y 2 y, y 2,, y n x n y n 60

62 Moneta Elettronica IV Se la moneta viene spesa due volte da Alice la banca scopre ID Alice x i y i x i y i = ID Alice 6

63 Moneta Elettronica IV Commitment(x ) Commitment(x 2 ) Commitment(x n ) Commitment(y ) Commitment(Y 2 ) Commitment(y n ) 62

64 Elezioni: proprietà Solo i votanti autorizzati possono votare Nessuno può votare più di una volta Voto anonimo Non si può duplicare il voto di un altro Non si può cambiare il voto di altri Ognuno può verificare che il proprio voto è conteggiato 63

65 Elezioni I: protocollo naive Autorità fidata E Autorità (voto) Alice 64

66 Elezioni I: protocollo naive Autorità fidata Alice E Autorità (voto) Problemi? Votanti autorizzati? Più voti di un votante? 65

67 Elezioni II: protocollo naive Autorità fidata E Autorità (Firma Alice (voto)) Problemi? Alice Anonimia 66

68 00 (Voto,r ), (Voto 2,r ) (Voto,r 00 ), (Voto 2,r 00 ) Elezioni III Voto,r Voto 2,r Voto,r 00 Voto 2,r 00 Apri queste 99 coppie di buste Autorità fidata Alice F Firma Autorità ((Voto,r)) Firma Autorità ((Voto 2,r)) F Coppia buste non aperte F F 67

69 Elezioni III Corretto! Se l Autorita e FIDATA! Alice r,, r n E Autorità (Firma Autorità ((Voto i,r))) Autorità fidata Pubblicazione voti: Firma Firma Autorità ((Voto Autorità ((Voto i,r)) i,r)) 68

70 Elezioni III Problemi? Autorità (poco) ''fidata'' -Aggiungere voti -Modificare i voti Alice r,, r n E Autorità (Firma Autorità ((Voto i,r))) Autorità fidata Pubblicazione voti: Firma Firma Autorità ((Voto Autorità ((Voto i,r)) i,r)) 69

71 Posta elettronica L consente un rapido scambio di messaggi tra due utenti ma: L integrità e l autenticità del messaggio non sono garantite Non si può provare di aver spedito/ricevuto un messaggio Il canale di comunicazione è insicuro ? ? Mai Mai ricevuto ricevuto niente! niente! Alice Bob 70

72 Posta ordinaria La raccomandata con ricevuta di ritorno garantisce che Il mittente abbia una ricevuta di spedizione e una ricevuta di consegna Il ricevente ottenga il messaggio Le ricevute possano essere mostrate ad un giudice La ricevuta indica che è stato spedito qualcosa, ma non dipende dal contenuto del messaggio! 7

73 Certified Partecipanti: Alice (sender) Bob (receiver) Inoltre: Alice Terza parte fidata TTP Time Stamping Server TSS Bob 72

74 Il ruolo del TTP I protocolli di certified possono essere classificati in base al ruolo del TTP Protocolli In-Line TTP on-line e totalmente fidato Protocolli Ottimistici TTP interviene solo in caso di disputa tra le parti TTP 73

75 Protocolli di fair-exchange Ogni utente ha un segreto ed è interessato nel segreto dell altro utente Soluzione classica Scambio graduale di info tra le parti Fair exchange Entrambe le parti ottengono il segreto desiderato oppure Nessuna delle due ottiene alcuna informazione utile CEM basati su scambio graduale di info Richedono un canale di comunicazione real-time e interattivo I sistemi di sono asincroni e store-and-forward 74

76 Certified proprietà Fairness Ricevuta di spedizione Non ripudio dell origine Non ripudio della ricevuta Autenticità del messaggio Integrità Confidenzialità Timeliness Alice Autenticazione temporale del messaggio Bob 75

77 Protocollo inline Bahreman-Tygar 76 Ricevuta di M Ricevuta di: {Ricevuta di Ek (M); k} M E k (M) TTP k Ricevuta di E k (M) Alice Bob

78 Protocollo inline Bahreman-Tygar 77 M 3 =<Firma TTP ( E k (M) )> TTP M2=<FirmaTTP ( M )> M = <Firma A ( M ) > M 4 =Firma B ( E k (M) ) M 6 =<Firma TTP ( k )> M5= <FirmaTTP ( M 4, k )> Alice Bob

79 Protocollo in-line Riordan - Schneier <h(e k (M)), k> Prima del tempo T Terza Parte (server) (server) k E k (M) Ricevuta di E k (M) Alice Richiesta della chiave di sessione entro il tempo T Bob 78

80 Protocollo in-line Riordan - Schneier <h(e k (M)), k> Terza Parte (server) (server) k E k (M) Firma B (h(e k (M)), T) Alice Bob 79

81 Protocollo ottimistico Micali M =PK TP ( PK B (M) ) M 2 =Firma B ( M ) Alice M 3 = PK B (M) Bob PK PK TP ( TP ( M 3 ) 3 ) = = M -> -> Ok Ok 80

82 Protocollo ottimistico Micali Firma B ( M ) Firma TP ( PK B (M) ) Firma B ( M ) M =PK TP ( PK B (M) ) M 2 =Firma B ( M ) Alice M 3 = PK B (M) Bob PK PK TP ( TP ( M 3 ) 3 ) M oppure oppure M 3 non 3 non ricevuto ricevuto 8