Firma Digitale. Firma Digitale. Firma digitale. Firma digitale. Firma Digitale. Equivalente alla firma convenzionale
|
|
- Franco Fantini
- 5 anni fa
- Visualizzazioni
Transcript
1 firma irma Digitale Equivalente alla firma convenzionale firma irma Digitale Equivalente alla firma convenzionale Soluzione naive: incollare firma digitalizzata irma Digitale 0 irma Digitale 1 Soluzione naive: irma Digitale incollare firma digitalizzata Equivalente alla firma convenzionale irma Digitale 2 Desiderata per la irma Digitale La firma digitale deve poter essere facilmente prodotta dal legittimo firmatario Nessun utente deve poter riprodurre la firma di altri Chiunque può facilmente verificare una firma irma Digitale 3 irma digitale irma digitale kpriv kpub kpriv kpub Devo firmare?? irma di IR (,kpriv) irma Digitale 4 irma Digitale 5
2 Verifica firma digitale Verifica firma digitale kpub kpub Devo verificare se è una firma di per irma Digitale 6 Verifica firma di vera se VERIIC (,,kpub) = SI falsa altrimenti irma Digitale 7 irme digitali che vedremo RS RS Proposto nel 1978 da Digital Signature Standard (DSS) Rivest Shamir dleman Sicurezza basata sulla difficoltà di fattorizzare irma Digitale 8 irma Digitale 9 Chiavi RS irma RS (n,d) (n,d) n = pq p,q primi ed = 1 mod (p-1)(q-1) Devo firmare?? irma Digitale 10 irma Digitale 11
3 irma RS Verifica firma RS (n,d) irma di irma (n.d) () = d mod n d mod n Devo verificare se è una firma di per irma Digitale 12 irma Digitale 13 Verifica firma RS Verifica firma di vera se = e mod n falsa altrimenti irma Digitale 14 Piccolo esempio: Chiavi RS (n=3337, d=1019) utente chiave pubblica (n (n = 3337, e = 79) 3337 = p = 47, q = 71 ed = = 1 mod 3220 (p-1)(q-1) = = 3220 irma Digitale 15 Piccolo esempio: irma RS Piccolo esempio: irma RS (n=3337, d=1019) (n (n = 3337, e = 79) (n=3337, d=1019) (n (n = 3337, e = 79) Devo firmare = ?? irma Digitale 16 irma di 1570 = mod 3337 = irma Digitale 17
4 Piccolo esempio: Verifica firma Correttezza verifica firma RS (n (n = 3337, e = 79) Verifica firma di = mod 3337 e mod n = ( d ) e mod n = ed mod n = mod n = ed = 1 mod (p-1)(q-1) x Z n * x (p-1)(q-1) =1 mod n irma Digitale 18 poichè 0 <n Prova per tutti gli gli x mediante il il teorema del resto cinese irma Digitale 19 Esercizio Svolgere piccolo esempio firma RS issato e = 3 Calcolo p, q Calcolo n Calcolo d Calcolo firma Verifica firma irma Digitale 20 irma digitale di messaggi grandi Se >n, come si firma? Prima soluzione i <n 1 2 irma() (irma( 1 ), ), irma( 2 ), ),) Problemi Efficienza Permutazione/composizione delle firme nuova firma irma Digitale 21 unzioni Hash irma digitale di messaggi grandi lunghezza arbitraria/finita unzione Hash b bit Il valore hash h() è una rappresentazione non ambigua e non falsificabile del messaggio Proprietà: comprime Soluzione facile da computare Sicurezza forte: computazionalmente difficile trovare 2 diversi Efficienza messaggi con lo stesso valore hash Vantaggi Integrità One-way: dato y è computazionalmente difficile trovare tale che y = h() irma Digitale 22 irma Digitale 23 h() irma() (irma(h())
5 Sicurezza firma RS Sicurezza firma RS Voglio falsificare la firma di da parte di Voglio generare messaggi e firme da parte di Devo calcolare d mod n Equivalente a rompere crittosistema RS?? irma Digitale Scelgo a caso 2. e mod n irma Digitale 25 irma RS con hash Verifica firma RS con hash (n,d) irma di irma (n.d) () = [h()] d mod n [h()] d mod n Devo verificare se è una firma di per irma Digitale 26 irma Digitale 27 Verifica firma RS Verifica firma di vera se h() = e mod n falsa altrimenti irma Digitale 28 Sicurezza firma RS Voglio generare messaggi e firme da parte di 1. Scelgo a caso 2. z e mod n 3. h -1 (z) Come faccio ad invertire h? h -1 (z) irma Digitale 29
6 irma digitale con hash messaggi piccoli h() h() irma() (irma(h()) Efficienza Vantaggi Integrità Sicurezza messaggi grandi irma Digitale 30 Digital Signature Standard (DSS) Proposto nell'agosto del 1991 dal National Institute of Standard and Technology (NIST) Digital Signature lgorithm (DS) Digital Signature Standard (DSS) Standard rivisto nel 1993, in risposta alle critiche odifica ingegnosa dello schema di El Gamal irme DSS sempre di 320 bit (buone per smart card) Sicurezza basata sulla difficoltà del logaritmo discreto irma Digitale 31 Chiavi DS Chiavi DS β=α s mod p p primo di 512,, 1024 bit α in Z p* di ordine q q primo di 160 bit, q (p-1) s numero casuale, s<q irma Digitale 32 irma Digitale 33 Chiavi DS ( piccolo esempio) irma DS (7879,101,170,75) utente chiave pubblica (7879,101,170,4567) p = 7879 primo 4567 = mod 7879 α = 170 Z * 7879 di ordine 101 q = 101 primo, p = 78q+1 s = 75 numero casuale irma Digitale 34 Devo firmare?? irma Digitale 35
7 irma DS irma di r numero casuale in [1,q-1] γ (α r mod p) mod q δ (SH()+sγ)r -1 mod q firma (p,q, α,s) (,r) = (γ,δ) (γ,δ) irma Digitale 36 Verifica firma DS (γ,δ) Devo verificare se (g,d) è una firma di per irma Digitale 37 Verifica firma DS (γ,δ) Verifica firma di e SH()δ -1 mod q e γδ -1 mod q vera se γ = (α e β e mod p) mod q falsa altrimenti irma Digitale 38 Efficienza firma DS irma_ds(,p,q,α,s) r numero casuale in in [1,q-1] γ (α r mod p) p) mod q δ (SH()+sγ)r -1-1 mod q output firma (,r) = (γ,δ) Lunghezza firma = 320 bit Computazioni off-line: r, sγ, r -1 mod q Computazioni on-line: SH(), +, irma Digitale 39 Verifica firma DS Verifica_firma_DS(,γ,δ,p,q,α,β) e e SH()δ -1-1 mod q e γδ -1-1 mod q vera se γ = (α e e β e e mod p) p) mod q ver (,γ,δ) = falsa altrimenti Output ver (,γ,δ) Correttezza verifica firma DS (α e β e mod p) mod q = (α SH()δ-1 mod q α sγδ- 1 mod q mod p) mod q = (α SH()δ-1 +sγδ -1 mod p) mod q = (α r mod p) mod q e = SH()δ -1 mod q e = γδ -1 mod q β = α s mod p α è di ordine q δ -1 (SH()+sγ) = r mod q = γ irma Digitale 40 irma Digitale 41
8 Efficienza delle computazioni Come effettuare le computazioni? Generazione numeri primi p e q Generazione di α (elemento di ordine q) Elevazione a potenza modulare Calcolo inverso r -1 mod q Generazione di p e q Scegli p Scegli q di 160 bit tale che q (p-1) irma Digitale 42 irma Digitale 43 Generazione di p e q Scegli p Scegli q di 160 bit tale che q (p-1) Generazione di p e q Scegli un primo q di 160 bit Scegli un primo p di 512/1024 bit tale che q (p-1) o Scegli X di 512 bit (oppure bit) o p X - ((X mod 2q)-1) o se p è primo e p esci altrimenti riprova 2q (p-1) irma Digitale 44 irma Digitale 45 Scelta di un elemento di ordine q Ordine di α Z n* = il più piccolo intero positivo r tale che α r =1 mod n p,q primi tali che q (p-1) Scegli_ordineq (p,q) 1. g elemento scelto a caso in in Z * p 2. α g (p-1)/q (p-1)/q mod p 3. if if α 1 then return α else go to 1. irma Digitale 46 Correttezza di Scegli_ordineq Scegli_ordineq (p,q) 1. g elemento scelto a caso in in Z * p 2. α g (p-1)/q (p-1)/q mod p 3. if if α 1 then return α else go to 1. α q (g (p-1)/q ) q g p-1 1 mod p q è il più piccolo intero tale che α q 1 mod n α è di ordine q dal dal Teorema di di Lagrange l ordine di di α divide q irma Digitale 47
9 Probabilità successo singola iterazione Chiavi globali ed individuali Se g è un generatore allora g (p-1)/q 1 mod p Probabilità successo Probabilità che g è generatore > 1/(6lnln(p-1)) Numero medio di iterazioni < 6lnln(p-1) 512 bit 6 lnln(2 512 ) 35, bit 6 lnln( ) 39, bit 6 lnln( ) 43,54 irma Digitale 48 Sicurezza basata sul valore privato s I valori p,q,a possono essere gli stessi per un gruppo di utenti Un autorità sceglie p,q,a Il singolo utente sceglie solo s,b irma Digitale 49 Chiavi globali ed individuali Sicurezza basata sul valore privato s I valori p,q,a possono essere gli stessi per un gruppo di utenti Un autorità sceglie p,q,a Il singolo utente sceglie solo s,b irma Digitale 50 Generazione di q Scegli a caso S di 160 bit S S+1 SH SH 160 bit Ripeti con un nuovo S finchè q è primo u 1 1 q S è un testimone della validità di q irma Digitale 51 Generazione di p (512 bit) S+2 S+3 S+4 S+5 Generazione di p (512 bit) S+2 S+3 S+4 S+5 SH SH SH SH SH SH SH SH 511 = V 0 V 1 V 2 V 3 V 0 V 1 V 2 V 3 X =512 X V 0 +V V (V 3 mod 2 31 ) p X - ((X mod 2q)-1) se p è primo e p esci altrimenti 2q (p-1) irma Digitale 52 irma Digitale 53
10 Generazione di p (512 bit) S+6 S+7 S+8 S+9 Generazione di p (512 bit) N 2,6,10,, (per 4096 volte) S+N S+N+1 S+N+2 S+N+3 SH SH SH SH 511 = SH SH SH SH 511 = V 0 V 1 V 2 V 3 X =512 V 0 V 1 V 2 V 3 X =512 X V 0 +V V (V 3 mod 2 31 ) p X - ((X mod 2q)-1) se p è primo e p esci altrimenti 2q (p-1) irma Digitale 54 X V 0 +V V (V 3 mod 2 31 ) p X - ((X mod 2q)-1) se p è primo e p esci altrimenti 2q (p-1) S,(N-2)/4 sono testimoni irma Digitale 55 Generazione di p e q Confronto tempi firme RS e DS Seleziona_pq(L) (1) (1) Computa interi n e b tali tali che che L-1=160n+b (2) (2) repeat (3) (3) repeat (4) (4) S sequenza casuale di di almeno bit bit (5) (5) g S DSS RS DSS con p,q,a comuni S (6) (6) U SH(S) SH((S+1) mod mod 2 g g ) precomputazioni 14 sec 4 sec (7) (7) orma orma q da da U ponendo il il SB SB ed ed il il LSB LSB ad ad 1 (8) (8) until until q primo primo firma 0.3 sec 15 sec 0.3 sec (9) (9) C 0 verifica 16 sec 1.5 sec 10 sec (10) (10) N 2 (11) (11) repeat 1-5 sec Off Cards 1-3 sec Off Cards (12) (12) for fork=0 to to n do do V k k SH(S+N+k) mod mod 2 g (13) g (13) W V 0 +V 0 +V V n-1 2 n (n-1) 160(n-1) +(V +(V n mod n mod 2 b b ) 2 ) 2 160n (14) 160n (14) X W+2 W+2 L-1 (15) L-1 (15) p X-((X X-((X mod mod 2q)-1) (16) (16) until until (p (p primo) or or (p<2 (p<2 L-1 L-1 ) Implementazioni su smart card [1993] (17) (17) if ifp<2 L-1 (18) L-1 (18) then then C C+1 Computazioni Off Cards su a 33Hz C+1 (19) (19) N N+n+1 N+n+1 (20) (20) if if C<4096 then then goto goto step step (12) (12) (21) (21) else else Help Help falso falso (22) (22) else else Help Help vero vero (23) (23) until untilhelp (24) irma Digitale 56 (24) return p,q,s,c irma Digitale 57 Prestazioni algoritmi Prestazioni Celeron 850Hz, Windows 2000, Crypto++ millisecondi/operazione RS DS RS DS bit chiave , firma 1,92 1,77 5,50 irma con precomputazione 1,19 2,27 verifica 0,13 2,02 0,30 6,38 Pentium II 400 OpenSSL bit chiave firme/s RS DS RS DS RS DS verifiche/s irma Digitale 58 irma Digitale 59
M firma. M firma. Firma Digitale. Firma Digitale. Firma digitale. Firma digitale. Firma Digitale. Equivalente alla firma convenzionale
firma irma Digitale Equivalente alla firma convenzionale firma irma Digitale Equivalente alla firma convenzionale Soluzione naive: incollare firma digitalizzata irma Digitale 0 irma Digitale 1 firma irma
DettagliFirme digitali. Firma Digitale. Firma Digitale. Firma Digitale. Equivalente alla firma convenzionale. Equivalente alla firma convenzionale
irme digitali irma Digitale Barbara asucci Dipartimento di Informatica ed Applicazioni Università di Salerno firma Equivalente alla firma convenzionale masucci@dia.unisa.it http://www.dia.unisa.it/professori/masucci
DettagliFirme digitali. Firma Digitale. Firma Digitale. Firma Digitale. Equivalente alla firma convenzionale. Equivalente alla firma convenzionale
irme digitali irma Digitale Barbara asucci Dipartimento di Informatica ed Applicazioni Università di Salerno firma Equivalente alla firma convenzionale masucci@dia.unisa.it http://www.dia.unisa.it/professori/masucci
DettagliFirma Digitale. Firma Digitale. Firma digitale. Firma digitale. Firma Digitale A?? Equivalente alla firma convenzionale
firma irma Digitale Equivalente alla firma convenzionale firma irma Digitale Equivalente alla firma convenzionale Soluzione naive: incollare firma digitalizzata irma Digitale 0 irma Digitale 1 Soluzione
DettagliRSA. Chiavi RSA. Firma Digitale. Firma Digitale. Firma Digitale. Desiderata per la Firma Digitale. Corso di Sicurezza su Reti 1
firma Firma Digitale Equivalente alla firma convenzionale firma Firma Digitale Equivalente alla firma convenzionale Soluzione naive: incollare firma digitalizzata Firma Digitale 0 Firma Digitale 1 firma
DettagliFirme digitali. Firma Digitale. Firma Digitale. Firma Digitale. Equivalente alla firma convenzionale. Equivalente alla firma convenzionale
irme digitali lfredo De Santis Dipartimento di Informatica ed pplicazioni Università di Salerno arzo 2012 ads@dia.unisa.it http://www.dia.unisa.it/professori/ads firma irma Digitale Equivalente alla firma
DettagliFirme digitali. Firma Digitale. Firma Digitale. Corso di Sicurezza su Reti Lezione del 17 novembre 2009. Equivalente alla firma convenzionale
Firme digitali Barbara Masucci Dipartimento di Informatica ed Applicazioni Università di Salerno masucci@dia.unisa.it http://www.dia.unisa.it/professori/masucci Firma Digitale Equivalente alla firma convenzionale
DettagliGeneratori. Accordo su una chiave. Diffie-Hellman [1976] Diffie-Hellman [1976] Diffie-Hellman [1976] Potenze in Z 19. iagio nnarella. nnarella.
Accordo su una chiave Diffie-Hellman [] di Z p K K Diffie-Hellman 0 Diffie-Hellman Generatori a a a a a Potenze in Z a a a a a 0 a a a a a a a a g è generatore di di Z p se {g i p se {g i i p-} = Z p 0
DettagliAccordo su chiavi. Accordo su una chiave. Accordo su chiavi. Corso di Sicurezza su reti Vedremo due schemi: Diffie-Hellman
Accordo su chiavi Barbara Masucci Dipartimento di Informatica ed Applicazioni Università di Salerno masucci@dia.unisa.it http://www.dia.unisa.it/professori/masucci Accordo su una chiave 1 Accordo su chiavi
DettagliAccordo su chiavi. Accordo su una chiave. Diffie-Hellman [1976] Accordo su chiavi. Diffie-Hellman [1976] Diffie-Hellman [1976] ??
Accordo su chiavi Accordo su una chiave Barbara Masucci Dipartimento di Informatica ed Applicazioni Università di Salerno masucci@dia.unisa.it http://www.dia.unisa.it/professori/masucci K K 1 Accordo su
DettagliCrittografia a chiave pubblica
Crittografia a chiave pubblica Barbara Masucci Dipartimento di Informatica ed Applicazioni Università di Salerno masucci@dia.unisa.it http://www.dia.unisa.it/professori/masucci Cifrari simmetrici canale
DettagliGeneratori di Z p. Accordo su una chiave. Diffie-Hellman [1976] Accordo su chiavi ?? K. Potenze in Z 19 26/05/2005. Vedremo due schemi: Esempio: * a
/0/00 Accordo su chiavi Accordo su una chiave Diartimento di Tecnologie dell Informazione Università di Milano cimato@dti.unimi.it htt://www.dti.unimi.it/~cimato K K Accordo su chiavi Vedremo due schemi:
DettagliCifrari asimmetrici. Cifratura. Cifratura. Crittosistema ElGamal. file pubblico utente chiave pubblica. Alice. file pubblico utente chiave pubblica
Crittosistema ElGamal lfredo De Santis Dipartimento di Informatica ed pplicazioni Università di Salerno Marzo 2012 ads@dia.unisa.it http://www.dia.unisa.it/professori/ads Cifrari asimmetrici kpriv kpub
DettagliAccordo su chiavi (key agreement)
Accordo su chiavi (key agreement) Accordo su una chiave Alfredo De Santis Dipartimento di Informatica ed Applicazioni Università di Salerno ads@dia.unisa.it http://www.dia.unisa.it/professori/ads Marzo
Dettaglischema di firma definizione formale
schema di firma Alice firma un messaggio da mandare a Bob ci sono due componenti: un algoritmo sig per firmare e un algoritmo ver per verificare quello per firmare dev essere privato (solo Alice può firmare)
Dettaglifunzione φ di Eulero, o funzione toziente è definita sugli interi positivi φ(n) è il numero di interi positivi n che sono coprimi con n
ordine di un gruppo G un gruppo finito: ordine di G = o(g) = numero di elementi di G l insieme degli invertibili di Z n è un gruppo rispetto al prodotto (mod n) si denota con U(Z n ) e ha ordine φ(n) esempio:
Dettaglisia G un gruppo ciclico di ordine n, sia g un generatore di G
logaritmo discreto sia G un gruppo ciclico di ordine n, sia g un generatore di G dato y 1 G bisogna determinare l unico intero x con 1 x n 1 tale che g x = y ex: in U(Z 9 ) con g = 2, se y = 7 si ha x
Dettaglilogaritmo discreto come funzione unidirezionale
logaritmo discreto come funzione unidirezionale in generale, lavoreremo con il gruppo U(Z p ) = Z p dati g generatore di Z p e x tale che 1 x p 1, calcolare y = g x è computazionalmente facile (y g x (mod
Dettagliproblema del logaritmo discreto
problema del logaritmo discreto consideriamo il gruppo ciclico U(Z p ), p primo sia g un elemento primitivo modulo p sia y {1,..., p 1} = U(Z p ) il minimo intero positivo x con g x = y si dice il logaritmo
DettagliFunzioni hash. Funzioni Hash. Uso delle funzioni hash. Firme digitali e Funzioni hash. Funzione Hash. Firme digitali. Integrita dei dati
Funzioni hash Funzioni Hash lunghezza arbitraria/finita Funzione Hash b bit Barbara Masucci Dipartimento di Informatica ed Applicazioni Università di Salerno masucci@dia.unisa.it http://www.dia.unisa.it/professori/masucci
Dettaglisia G un gruppo ciclico di ordine n, sia g un generatore di G bisogna determinare l unico intero x con 1 x n 1 tale che g x = y
gruppi ciclici Definizione Un gruppo G con n elementi tale esiste un elemento g G con o(g) = n si dice ciclico, e g si dice un generatore del gruppo U(Z 9 ) è ciclico p. es. U(Z 8 ) non lo è i gruppi U(Z
DettagliTeoria dei numeri. Number Theory. Congruenze mod n. Teorema della divisione. Concetti preliminari per RSA
Number Theory Teoria dei numeri Concetti preliminari per RSA Barbara Masucci Dipartimento di Informatica ed Applicazioni Università di Salerno masucci@dia.unisa.it http://www.dia.unisa.it/professori/masucci
DettagliTeoria dei Numeri. Cifratura. Decifratura. Cifratura. Decifratura. Crittosistema a chiave pubblica. nnarella. iagio. nnarella.
Crittosistema a Cifratura kpriv kpub kpub Devo cifrare il messaggio M ed inviarlo ad Crittografia a Chiave Pubblica Crittografia a Chiave Pubblica Cifratura Decifratura C Cifratura di M per C CIFR (kpub,
DettagliNumber Theory. Teoria dei numeri. Teorema della divisione. Congruenze mod n
Number Theory Alfredo De Santis Dipartimento di Informatica ed Applicazioni Università di Salerno Marzo 2012 adsi@dia.unisa.it http://www.dia.unisa.it/professori/ads Teoria dei numeri Concetti preliminari
DettagliE necessaria la chiave segreta? RSA. Funzioni One-way con Trapdoor. Un secondo protocollo
E necessaria la chiave segreta? RSA Rivest, Shamir, Adelman A manda a B lo scrigno chiuso con il suo lucchetto. B chiude lo scrigno con un secondo lucchetto e lo rimanda ad A A toglie il suo lucchetto
DettagliCifratura. Decifratura. Cifratura. Decifratura. Crittografia a chiave pubblica ed a chiave privata. Corso di Sicurezza su Reti 1
Crittosistema a chiave pubblica Cifratura chiave privata kpriv kpub kpub Devo cifrare il messaggio M ed inviarlo ad Crittografia a Chiave Pubblica 0 iagio Crittografia a Chiave Pubblica 1 Cifratura Decifratura
DettagliCifrario di Rabin. Chiara Gasparri
Cifrario di Rabin Chiara Gasparri Simbolo di Legendre Sia p un numero primo dispari, definiamo il Simbolo di Legendre come 0 se p divide a a = 1 se a è un quadrato di Z p 1 se a non è quadrato Z p p Proprietà
DettagliDigital Signature Standard
Corso di Sicurezza 2008/2009 Golinucci Thomas Zoffoli Stefano Gruppo 11 Firme digitali 1. Introduzione. 2. Caso d uso e digitalizzazione. 3. Firme digitali e possibili attacchi. 4. Manuali vs Digitali.
DettagliTeoria dei Numeri. Cifratura. Decifratura. Cifratura. Decifratura. Crittosistema a chiave pubblica. nnarella. iagio. nnarella.
Crittosistema a Cifratura kpriv kpub kpub Devo cifrare il messaggio M ed inviarlo ad Crittografia a Chiave Pubblica iagio Crittografia a Chiave Pubblica 1 Cifratura Decifratura C Cifratura di M per C CIFR
DettagliISTRUZIONI A B K A, B, K A<B? SI A<B? SI A<B? SI
SECONDA PARTE 6. LA RIPETIZIONE while ISTRUZIONI A B K A, B, K 0 10 0 While A
DettagliFirme digitali. Firma Digitale. Firma Digitale. Elementi di Crittografia Equivalente alla firma convenzionale
Eleenti di Crittografia 26-05-2016 Fire digitali Barbara Masucci Dipartiento di Inforatica Università di Salerno basucci@unisa.it http://www.di.unisa.it/professori/asucci Fira Digitale fira Equivalente
DettagliCorso di Crittografia
Corso di Crittografia Prova in Itinere del 21 Giugno 2013 1. Si definisca formalmente il concetto di indistinguibilità ind-id-cpa per cifrari basati sull identità. 2. Si consideri il seguente problema
Dettagliuna possibile funzione unidirezionale
una possibile funzione unidirezionale moltiplicare due interi a n bit è facile (in O(n 2 ) con l algoritmo usuale) trovare un primo a n bit, e verificare che è primo, è facile (vedremo poi) fattorizzare
DettagliTeoria dei Numeri. Number Theory. Teoria dei numeri. Teorema della divisione. Cifrari asimmetrici più comuni basati sulla Teoria dei Numeri
Number Theory Teoria dei Numeri Cifrari asimmetrici più comuni basati sulla Teoria dei Numeri Barbara Masucci Dipartimento di Informatica ed Applicazioni Università di Salerno masucci@dia.unisa.it http://www.dia.unisa.it/professori/masucci
DettagliC Crittografia a Chiave Pubblica 4. Cifratura. Cifratura. Decifratura. Decifratura. Crittosistema a chiave pubblica
Crittosistema a chiave pubblica Cifratura chiave privata kpriv A kpub A kpub Devo cifrare il messaggio M ed inviarlo ad A ssuntina iagio Crittografia a Chiave Pubblica 0 Crittografia a Chiave Pubblica
DettagliSeminario sulla Crittografia. Corso: T.A.R.I Prof.: Giulio Concas Autore: Ivana Turnu
Seminario sulla Crittografia Corso: T.A.R.I Prof.: Giulio Concas Autore: Ivana Turnu Crittografia Cos è la crittografia Le tecniche più usate La firma digitale Cos è la crittografia Per garantire la riservatezza
Dettaglisi cerca di scegliere e non troppo grande e tale che nella scrittura binaria di e ci siano pochi 1 e piccolo = cifratura più veloce
crittosistema RSA Sia N = pq, p, q primi. Sia P = C = Z N. Lo spazio delle chiavi è K = {(N, p, q, d, e) de 1 (mod φ(n))}. Se k = (N, p, q, d, e) è una chiave, poniamo e k (x) = x e (mod N) N e e sono
Dettaglida chi proviene un messaggio?
da chi proviene un messaggio? in un crittosistema simmetrico solo Alice e Bob conoscono la chiave se Bob riceve un messaggio di Alice e la decifratura del messaggio ha senso, il messaggio proviene certamente
DettagliCorso di Crittografia Prof. Dario Catalano. Firme Digitali
Corso di Crittografia Prof. Dario Catalano Firme Digitali Introduzione n Una firma digitale e l equivalente informatico di una firma convenzionale. n Molto simile a MA, solo che qui abbiamo una struttura
Dettagliuna possibile funzione unidirezionale
una possibile funzione unidirezionale moltiplicare due interi a n bit è facile (in O(n 2 ) con l algoritmo usuale) trovare un primo a n bit, e verificare che è primo, è facile fattorizzare un numero a
DettagliIntroduzione alla FIRMA DIGITALE
Introduzione alla FIRMA DIGITALE 25 e 27 Novembre 2015 1 AGENDA Firma Digitale: cos è? Schemi di Firma Digitale: - DSA - El Gamal - RSA Cenni su possibili Attacchi Comparazione tra Firma Autografa e Firma
DettagliCrittografia Asimmetrica
Sicurezza nei Sistemi Informativi Crittografia Asimmetrica Ing. Orazio Tomarchio Orazio.Tomarchio@diit.unict.it Dipartimento di Ingegneria Informatica e delle Telecomunicazioni Università di Catania Crittografia
DettagliAccordo su chiavi. (key agreement) Alfredo De Santis. Marzo 2015. Dipartimento di Informatica Università di Salerno
Accordo su chiavi (key agreement) Alfredo De Santis Dipartimento di Informatica Università di Salerno ads@dia.unisa.it http://www.dia.unisa.it/professori/ads Marzo 2015 Accordo su una chiave Alice Bob??
Dettagliuna possibile funzione unidirezionale
una possibile funzione unidirezionale moltiplicare due interi a n bit è facile (in O(n 2 ) con l algoritmo usuale) trovare un primo a n bit, e verificare che è primo, è facile (vedremo poi) fattorizzare
DettagliCrittografia a chiave pubblica
Crittografia a chiave pubblica Cifrari simmetrici Barbara Masucci Dipartimento di Informatica ed Applicazioni Università di Salerno masucci@dia.unisa.it http://www.dia.unisa.it/professori/masucci canale
DettagliCrittografia a chiave pubblica
Crittografia a chiave pubblica Barbara Masucci Dipartimento di Informatica Università di Salerno bmasucci@unisa.it http://www.di.unisa.it/professori/masucci Costruzioni Vedremo alcune costruzioni basate
DettagliIntroduzione alla crittografia. Diffie-Hellman e RSA
Introduzione alla crittografia. Diffie-Hellman e RSA Daniele Giovannini Torino 2011, Crittografia a chiave pubblica: oltre RSA Università degli Studi di Trento, Lab di Matematica Industriale e Crittografia
Dettagliin termini informali: un algoritmo è una sequenza ordinata di operazioni che risolve un problema specifico
Click to edit Algoritmo Master title style algoritmo: un insieme ordinato di operazioni non ambigue ed effettivamente computabili che, quando eseguito, produce un risultato e si arresta in un tempo finito
DettagliUna curva ellittica è una curva definita da un equazione in due incognite del tipo:
Lezione tenuta dal Prof. P. D Arco Presentazione di: Francesco Apicella Raffaele De Feo Ermanno Travaglino Una curva ellittica è una curva definita da un equazione in due incognite del tipo: y 2 = x 3
DettagliSHA %&'(& lunghezza arbitraria. 160 bit
%&'(&!"### "$ % SHS per Secure Hash Standard SHA per Secure Hash Algorithm Standard del Governo americano dal 1993 Modificato nel luglio 1994, denotato SHA-1 (unica differenza: aggiunta di uno shift nell
DettagliCRITTOGRAFIA 2014/15 Appello del 13 gennaio Nome: Cognome: Matricola:
CRITTOGRAFIA 2014/15 Appello del 13 gennaio 2015 Esercizio 1 Crittografia ellittica [9 punti] 1. Descrivere l algoritmo di Koblitz per trasformare un messaggio m, codificato come numero intero, in un punto
DettagliEsercitazione per la prova scritta
Esercitazione per la prova scritta x 2 Esercizio 1 x n k in ECB/CBC/CFB/OFB Barbara Masucci Dipartimento di Informatica ed Applicazioni Università di Salerno masucci@dia.unisa.it http://www.dia.unisa.it/professori/masucci
Dettagli10 STRUTTURE DI CONTROLLO REPEAT E WHILE. Strutture di controllo e variabili strutturate
LABORATORIO DI PROGRAMMAZIONE Corso di laurea in matematica 10 STRUTTURE DI CONTROLLO REPEAT E WHILE Marco Lapegna Dipartimento di Matematica e Applicazioni Universita degli Studi di Napoli Federico II
DettagliQuick Sort. PARTITION(A,p,r) risistema il sottoarray A[p...r] e riporta l indice q:
Quick Sort - Ordinamento in loco - Tempo di esecuzione nel caso peggiore: Θ(n 2 ) - Tempo di esecuzione nel caso medio: Θ(n lg n) - I fattori costanti nascosti nella notazione Θ sono abbastanza piccoli
DettagliFunzioni di hash sicure: MD5 e SHA-1
POLITECNICO DI MILANO Funzioni di hash sicure: MD5 e SHA-1 CEFRIEL - Politecnico di Milano cerri@cefriel.it http://www.cefriel.it/~cerri/ Funzioni di hash Una funzione di hash (o message digest) è una
DettagliDES. Struttura del DES. Data Encryption Standard. Lunghezza della Chiave. Permutazione Inversa IP -1. Permutazione Iniziale IP
Data Encryption Standard () Data Encryption Standard 15 maggio 1973, richiesta pubblica per uno standard della NBS, oggi NIST (27 agosto 1974, seconda richiesta) Modifica di Lucifer, sviluppato da IBM
DettagliPROGRAMMAZIONE: Le strutture di controllo
PROGRAMMAZIONE: Le strutture di controllo Prof. Enrico Terrone A. S: 2008/09 Le tre modalità La modalità basilare di esecuzione di un programma è la sequenza: le istruzioni vengono eseguite una dopo l
DettagliData Encryption Standard. Data Encryption Standard DES. Struttura del DES. Lunghezza della Chiave. Permutazione Iniziale IP
Data Encryption Standard Barbara Masucci Dipartimento di Informatica ed Applicazioni Università di Salerno masucci@dia.unisa.it http://www.dia.unisa.it/masucci.dir Data Encryption Standard () 15 maggio
Dettagliuna possibile funzione unidirezionale
una possibile funzione unidirezionale moltiplicare due interi a n bit è facile (in O(n 2 ) con l algoritmo usuale) trovare un primo a n bit, e verificare che è primo, è facile fattorizzare un numero a
DettagliLauree scientifiche Crittografia. RSA CRT
Lauree scientifiche Crittografia. RSA CRT Emanuele Cesena emanuele.cesena @ gmail.com Sommario RSA Complessità RSA CRT Crittoanalisi di RSA CRT RSA in pillole Chiave pubblica: intero n = p q di 1024 bit,
Dettagliidea della crittografia a chiave pubblica
idea della crittografia a chiave pubblica sviluppare un crittosistema in cui data la funzione di cifratura e k sia computazionalmente difficile determinare d k Bob rende pubblica la sua funzione di cifratura
DettagliCrittografia ed Aritmetica Modulare VI incontro
Crittografia ed Aritmetica Modulare VI incontro PLS - CAM Padova, 21 novembre 2014 1 Il Piccolo Teorema di Fermat Come si è osservato nella ATTIVITÀ 1.2. del IV incontro, in generale il comportamento delle
DettagliCrittografia simmetrica (a chiave condivisa)
Crittografia simmetrica (a chiave condivisa) Crittografia simmetrica (a chiave condivisa) Schema di trasmissione con chiave condivisa: Crittografia simmetrica (a chiave condivisa) Schema di trasmissione
DettagliFUNZIONI HASH ONE-WAY ITERATE
FUNZIONI HASH ONE-WAY ITERATE SNEFRU SHA-1 di Davide Gallo per Elementi di Crittografia 2004/2005 Prof.sa Rosaria Rota Funzioni Hash : contesto Oltre alla Segretezza i moderni sistemi di crittografia a
Dettagliidea della crittografia a chiave pubblica
idea della crittografia a chiave pubblica sviluppare un crittosistema in cui data la funzione di cifratura e k sia computazionalmente difficile determinare d k Bob rende pubblica la sua funzione di cifratura
DettagliFIRMA DIGITALE E ALGORITMO DSA
Alma Mater Studiorum Università di Bologna SCUOLA DI SCIENZE Corso di Laurea in Matematica FIRMA DIGITALE E ALGORITMO DSA Tesi di Laurea in Algoritmi della Teoria dei Numeri e Crittografia Relatore: Prof.
DettagliMental Poker. Protocolli Crittografici. Mental Poker: B ottiene 5 carte. Mental Poker: B ottiene 5 carte. Mental Poker: C ottiene 5 carte
Protocolli Crittografici Poker entale Condivisione di segreti Lancio di una moneta Blind Signature oneta Elettronica Elezioni Certified email Protocolli 1 ental Poker Poker senza carte, con giocatori curiosi
DettagliSicurezza della comunicazione tra due entità. Prof.ssa Gaia Maselli
Sicurezza della comunicazione tra due entità Prof.ssa Gaia Maselli maselli@di.uniroma1.it La sicurezza nelle reti Principi di crittografia Integrità dei messaggi Autenticazione end-to-end 2 Sicurezza nella
DettagliCrittografia. Crittosistemi a Chiave Pubblica. Corso di Laurea Specialistica. in Informatica
Crittografia Corso di Laurea Specialistica in Informatica Crittosistemi a Chiave Pubblica Alberto Leporati Dipartimento di Informatica, Sistemistica e Comunicazione Università degli Studi di Milano Bicocca
DettagliDue algoritmi di ordinamento. basati sulla tecnica Divide et Impera: Mergesort e Quicksort
Due algoritmi di ordinamento basati sulla tecnica Divide et Impera: Mergesort e Quicksort (13 ottobre 2009, 2 novembre 2010) Ordinamento INPUT: un insieme di n oggetti a 1, a 2,, a n presi da un dominio
DettagliNUMERI CASUALI E SIMULAZIONE
NUMERI CASUALI E SIMULAZIONE NUMERI CASUALI Usati in: statistica programmi di simulazione... Strumenti: - tabelle di numeri casuali - generatori hardware - generatori software DESCRIZIONE DEL PROBLEMA
DettagliProtocollo E-cash ed algoritmo RSA. Carlo Manasse Giulio Baldantoni. Corso di laurea in Informatica. May 10, 2012
Corso di laurea in Informatica May 10, 2012 Introduzione RSA è un algoritmo di crittografia asimmetrica. Fu introdotto nel 1978 da Rivest Ronald Shamir Adi Adleman Leonard Ancora oggi è uno degli algoritmi
Dettagli(G, ) un gruppo moltiplicativo di ordine n l ordine di un elemento g G, o(g), è il minimo intero positivo m tale che g m = 1
ordine di un gruppo G un gruppo finito: ordine di G = o(g) = numero di elementi di G l insieme degli invertibili di Z n è un gruppo rispetto al prodotto si denota con U(Z n ) e ha ordine φ(n) esempio:
Dettaglisia G un gruppo ciclico di ordine n, sia g un generatore di G
logaritmo discreto sia G un gruppo ciclico di ordine n, sia g un generatore di G dato y 1 G bisogna determinare l unico intero x con 1 x n 1 tale che g x = y ex: in U(Z 9 ) con g = 2, se y = 7 si ha x
DettagliLA METAFORA DELL UFFICIO
LA METAFORA DELL UFFICIO Lavagna di lavoro Lavagna di programma Sportello utenti Impiegato Capo Ufficio LAVAGNA DI LAVORO Chiamiamo variabili le posizioni sulla lavagna, identificate ognuna da un nome
DettagliM.C.D.(3522, 321) = 3 = ( 36) (395) 321
Capitolo 1 Congruenze Lineari 1.1 Prerequisiti Identita di Bezout: M.C.D.(a, b) = αa + βb con α e β opportuni interi. In altre parole il M.C.D.(a, b) é combinazione lineare di a e b. Quando la combinazione
DettagliCrittografia a chiave pubblica!
Crittografia a chiave pubblica! Hardy (sulla teoria dei numeri, 1940): Gauss e tutti i matematici possono rallegrarsi perché la loro scienza si mantiene amabile e incorrotta per la sua lontananza dalle
DettagliIl notaio digitale Quando è stato creato. il documento D? Firme digitali. Integrita dei dati. Certificazione del tempo.
%!"### "$ Idea alla base: il valore hash h(m) è ua rappresetazioe o ambigua e o falsificabile del messaggio M L output della fuzioe hash è detto figerprit o digest o hash Proprietà: comprime ed è facile
DettagliLa firma digitale, o firma elettronica qualificata, basata sulla tecnologia della crittografia a chiavi asimmetriche, è un sistema di autenticazione d
Definizione Sistemi per la creazione e la verifica di firme digitali Differenze tra firma digitale e firma convenzionale Valore giuridico della firma digitale in Italia Crittografia asimmetrica 11-01-2010
DettagliCrittografia. Firme Digitali e Funzioni di Hash. Corso di Laurea Specialistica. in Informatica
Crittografia Corso di Laurea Specialistica in Informatica Firme Digitali e Funzioni di Hash Alberto Leporati Dipartimento di Informatica, Sistemistica e Comunicazione Università degli Studi di Milano Bicocca
DettagliIdentificazione, Autenticazione e Firma Digitale. Firma digitale...
Identificazione, Autenticazione e Firma Digitale In origine crittografia = confidenzialità Diffusione delle reti: nuove funzionalità. Identificazione Autenticazione Firma digitale Identificazione: un sistema
DettagliNUMERI PRIMI E CRITTOGRAFIA
NUMERI PRIMI E CRITTOGRAFIA Parte I. Crittografia a chiave simmetrica dall antichità all era del computer Parte II. Note della Teoria dei Numeri concetti ed algoritmi a supporto della Crittografia Parte
Dettagliuna possibile funzione unidirezionale
una possibile funzione unidirezionale moltiplicare due interi a n bit è facile (in O(n 2 ) con l algoritmo usuale) trovare un primo a n bit, e verificare che è primo, è facile (vedremo poi) fattorizzare
DettagliQUICKSORT. Basato sul paradigma divide-et-impera (come MERGE-SORT)
QUICKSORT Basato sul paradigma divide-et-impera (come MERGE-SORT) Divide: stabilisce un valore di q tale da dividere l array A[p.. r] in due sottoarray non vuoti A[p.. q] e A[q+1.. r], dove ogni elemento
Dettaglimaggiore velocità per cifratura/decifratura l uso di chiavi più corte comporta: memorizzazione efficiente Alberto Leporati Corso di Crittografia 2
Crittografia Corso di Laurea Specialistica in Informatica Crittosistemi basati sulle Curve Ellittiche Alberto Leporati Dipartimento di Informatica, Sistemistica e Comunicazione Università degli Studi di
DettagliCaratteristiche di un calcolatore elettronico
Prof. Emanuele Papotto Caratteristiche di un calcolatore elettronico È una macchina, costituita da circuiti elettronici digitali e da componenti elettromeccaniche, ottiche e magnetiche. È velocissimo,
DettagliMeccanismi con sicurezza basata sul problema del logaritmo discreto
Meccanisi con sicurezza basata sul problea del logarito discreto Scabio di Diffie-ellan Cifrario di ElGaal Fira di ElGaal Digital Signature Standard Algoriti di fira con appendice Messaggi di lunghezza
DettagliDIARIO DEL CORSO DI TEORIA DEI NUMERI E CRITTOGRAFIA. (41 ore complessive di lezione)
DIARIO DEL CORSO DI TEORIA DEI NUMERI E CRITTOGRAFIA DOCENTE: SANDRO MATTAREI (41 ore complessive di lezione) Prima settimana. Lezione di martedí 22 febbraio 2011 (due ore) Rappresentazione di numeri interi
DettagliAlgoritmi e Strutture di Dati I 1. Algoritmi e Strutture di Dati I Massimo Franceschet
Algoritmi e Strutture di Dati I 1 Algoritmi e Strutture di Dati I Massimo Franceschet Algoritmi e Strutture di Dati I 2 Problemi Un problema specifica in termini generali una relazione che intercorrere
DettagliRappresentazione degli algoritmi
Rappresentazione degli algoritmi Universitá di Ferrara Ultima Modifica: 21 ottobre 2014 1 1 Diagramma di flusso Utilizzare il diagramma di flusso per rappresentare gli algoritmi che risolvono i seguenti
DettagliINFORMATICA. Strutture iterative
INFORMATICA Strutture iterative Strutture iterative Si dice ciclo (loop) una sequenza di istruzioni che deve essere ripetuta più volte consecutivamente. Si consideri ad esempio il calcolo del fattoriale
DettagliProcessi random in natura
Processi random in natura Esistono in natura processi naturalmente random decadimento radiativo agitazione termica moto di particelle in sospensione Per descrivere questi fenomeni bisogna spesso ricorrere
DettagliCifrari simmetrici. Crittografia a chiave pubblica. Problemi. Gestione delle chiavi
Crittografia a chiave pubblica Cifrari simmetrici Alfredo De Santis Dipartimento di Informatica ed Applicazioni Università di Salerno ads@dia.unisa.it http://www.dia.unisa.it/professori/ads Marzo 2012
DettagliElementi di Informatica e Programmazione
Università degli Studi di Brescia Elementi di Informatica e Programmazione Concetto di Algoritmo Docente: Marco Sechi E mail: marco.sechi@unibs.it Vers. 21/08/2016.A050917* Dipartimento di Ingegneria Meccanica
DettagliCamil Demetrescu, Irene Finocchi, Giuseppe F. Italiano. Usa la tecnica del divide et impera:
MergeSort Usa la tecnica del divide et impera: 1 Divide: dividi l array a metà 2 Risolvi i due sottoproblemi ricorsivamente 3 Impera: fondi le due sottosequenze ordinate 1 Esempio di esecuzione 7 2 4 5
DettagliEfficienza: esempi. Nella lezione precedente. Fondamenti di Informatica. Ferdinando Cicalese. ! Qualche problema computazionale
Efficienza: esempi Fondamenti di Informatica Ferdinando Cicalese Nella lezione precedente! Qualche problema computazionale " Trova min " Selection sort! Pseudocodice per descrivere algoritmi " Variabili
DettagliCorso di Crittografia Prof. Dario Catalano. Primitive Asimmetriche
Corso di Crittografia Prof. Dario Catalano Primitive Asimmetriche Introduzione n Oggi discuteremo le primitive sulla base delle quali costruire sistemi asimmetrici affidabili. n Nel caso della crittografia
DettagliPseudo codice. Paolo Bison. Fondamenti di Informatica 1 A.A. 2003/04 Università di Padova. Pseudo codice, Paolo Bison, A.A , p.
Pseudo codice Paolo Bison Fondamenti di Informatica 1 A.A. 2003/04 Università di Padova Pseudo codice, Paolo Bison, A.A. 2003-04, 2003-09-30 p.1/38 Pseudo codice linguaggio testuale mix di linguaggio naturale
DettagliProtocolli a conoscenza zero. Carlo De Vittoria
Protocolli a conoscenza zero Carlo De Vittoria PROBLEMI Dati A, l utente che si vuole autenticare, e B il sistema di autenticazione Con le precedenti autenticazioni abbiamo riscontrato i seguenti problemi:
DettagliCifrari a blocchi: Data Encryption Standard
Cifrari a blocchi: Data Encryption Standard Barbara Masucci Dipartimento di Informatica ed Applicazioni Università di Salerno masucci@dia.unisa.it http://www.dia.unisa.it/professori/masucci Cifrari simmetrici
Dettagli