Firma Digitale. Firma Digitale. Firma digitale. Firma digitale. Firma Digitale. Equivalente alla firma convenzionale

Transcript

1 firma irma Digitale Equivalente alla firma convenzionale firma irma Digitale Equivalente alla firma convenzionale Soluzione naive: incollare firma digitalizzata irma Digitale 0 irma Digitale 1 Soluzione naive: irma Digitale incollare firma digitalizzata Equivalente alla firma convenzionale irma Digitale 2 Desiderata per la irma Digitale La firma digitale deve poter essere facilmente prodotta dal legittimo firmatario Nessun utente deve poter riprodurre la firma di altri Chiunque può facilmente verificare una firma irma Digitale 3 irma digitale irma digitale kpriv kpub kpriv kpub Devo firmare?? irma di IR (,kpriv) irma Digitale 4 irma Digitale 5

2 Verifica firma digitale Verifica firma digitale kpub kpub Devo verificare se è una firma di per irma Digitale 6 Verifica firma di vera se VERIIC (,,kpub) = SI falsa altrimenti irma Digitale 7 irme digitali che vedremo RS RS Proposto nel 1978 da Digital Signature Standard (DSS) Rivest Shamir dleman Sicurezza basata sulla difficoltà di fattorizzare irma Digitale 8 irma Digitale 9 Chiavi RS irma RS (n,d) (n,d) n = pq p,q primi ed = 1 mod (p-1)(q-1) Devo firmare?? irma Digitale 10 irma Digitale 11

3 irma RS Verifica firma RS (n,d) irma di irma (n.d) () = d mod n d mod n Devo verificare se è una firma di per irma Digitale 12 irma Digitale 13 Verifica firma RS Verifica firma di vera se = e mod n falsa altrimenti irma Digitale 14 Piccolo esempio: Chiavi RS (n=3337, d=1019) utente chiave pubblica (n (n = 3337, e = 79) 3337 = p = 47, q = 71 ed = = 1 mod 3220 (p-1)(q-1) = = 3220 irma Digitale 15 Piccolo esempio: irma RS Piccolo esempio: irma RS (n=3337, d=1019) (n (n = 3337, e = 79) (n=3337, d=1019) (n (n = 3337, e = 79) Devo firmare = ?? irma Digitale 16 irma di 1570 = mod 3337 = irma Digitale 17

4 Piccolo esempio: Verifica firma Correttezza verifica firma RS (n (n = 3337, e = 79) Verifica firma di = mod 3337 e mod n = ( d ) e mod n = ed mod n = mod n = ed = 1 mod (p-1)(q-1) x Z n * x (p-1)(q-1) =1 mod n irma Digitale 18 poichè 0 <n Prova per tutti gli gli x mediante il il teorema del resto cinese irma Digitale 19 Esercizio Svolgere piccolo esempio firma RS issato e = 3 Calcolo p, q Calcolo n Calcolo d Calcolo firma Verifica firma irma Digitale 20 irma digitale di messaggi grandi Se >n, come si firma? Prima soluzione i <n 1 2 irma() (irma( 1 ), ), irma( 2 ), ),) Problemi Efficienza Permutazione/composizione delle firme nuova firma irma Digitale 21 unzioni Hash irma digitale di messaggi grandi lunghezza arbitraria/finita unzione Hash b bit Il valore hash h() è una rappresentazione non ambigua e non falsificabile del messaggio Proprietà: comprime Soluzione facile da computare Sicurezza forte: computazionalmente difficile trovare 2 diversi Efficienza messaggi con lo stesso valore hash Vantaggi Integrità One-way: dato y è computazionalmente difficile trovare tale che y = h() irma Digitale 22 irma Digitale 23 h() irma() (irma(h())

5 Sicurezza firma RS Sicurezza firma RS Voglio falsificare la firma di da parte di Voglio generare messaggi e firme da parte di Devo calcolare d mod n Equivalente a rompere crittosistema RS?? irma Digitale Scelgo a caso 2. e mod n irma Digitale 25 irma RS con hash Verifica firma RS con hash (n,d) irma di irma (n.d) () = [h()] d mod n [h()] d mod n Devo verificare se è una firma di per irma Digitale 26 irma Digitale 27 Verifica firma RS Verifica firma di vera se h() = e mod n falsa altrimenti irma Digitale 28 Sicurezza firma RS Voglio generare messaggi e firme da parte di 1. Scelgo a caso 2. z e mod n 3. h -1 (z) Come faccio ad invertire h? h -1 (z) irma Digitale 29

6 irma digitale con hash messaggi piccoli h() h() irma() (irma(h()) Efficienza Vantaggi Integrità Sicurezza messaggi grandi irma Digitale 30 Digital Signature Standard (DSS) Proposto nell'agosto del 1991 dal National Institute of Standard and Technology (NIST) Digital Signature lgorithm (DS) Digital Signature Standard (DSS) Standard rivisto nel 1993, in risposta alle critiche odifica ingegnosa dello schema di El Gamal irme DSS sempre di 320 bit (buone per smart card) Sicurezza basata sulla difficoltà del logaritmo discreto irma Digitale 31 Chiavi DS Chiavi DS β=α s mod p p primo di 512,, 1024 bit α in Z p* di ordine q q primo di 160 bit, q (p-1) s numero casuale, s<q irma Digitale 32 irma Digitale 33 Chiavi DS ( piccolo esempio) irma DS (7879,101,170,75) utente chiave pubblica (7879,101,170,4567) p = 7879 primo 4567 = mod 7879 α = 170 Z * 7879 di ordine 101 q = 101 primo, p = 78q+1 s = 75 numero casuale irma Digitale 34 Devo firmare?? irma Digitale 35

7 irma DS irma di r numero casuale in [1,q-1] γ (α r mod p) mod q δ (SH()+sγ)r -1 mod q firma (p,q, α,s) (,r) = (γ,δ) (γ,δ) irma Digitale 36 Verifica firma DS (γ,δ) Devo verificare se (g,d) è una firma di per irma Digitale 37 Verifica firma DS (γ,δ) Verifica firma di e SH()δ -1 mod q e γδ -1 mod q vera se γ = (α e β e mod p) mod q falsa altrimenti irma Digitale 38 Efficienza firma DS irma_ds(,p,q,α,s) r numero casuale in in [1,q-1] γ (α r mod p) p) mod q δ (SH()+sγ)r -1-1 mod q output firma (,r) = (γ,δ) Lunghezza firma = 320 bit Computazioni off-line: r, sγ, r -1 mod q Computazioni on-line: SH(), +, irma Digitale 39 Verifica firma DS Verifica_firma_DS(,γ,δ,p,q,α,β) e e SH()δ -1-1 mod q e γδ -1-1 mod q vera se γ = (α e e β e e mod p) p) mod q ver (,γ,δ) = falsa altrimenti Output ver (,γ,δ) Correttezza verifica firma DS (α e β e mod p) mod q = (α SH()δ-1 mod q α sγδ- 1 mod q mod p) mod q = (α SH()δ-1 +sγδ -1 mod p) mod q = (α r mod p) mod q e = SH()δ -1 mod q e = γδ -1 mod q β = α s mod p α è di ordine q δ -1 (SH()+sγ) = r mod q = γ irma Digitale 40 irma Digitale 41

8 Efficienza delle computazioni Come effettuare le computazioni? Generazione numeri primi p e q Generazione di α (elemento di ordine q) Elevazione a potenza modulare Calcolo inverso r -1 mod q Generazione di p e q Scegli p Scegli q di 160 bit tale che q (p-1) irma Digitale 42 irma Digitale 43 Generazione di p e q Scegli p Scegli q di 160 bit tale che q (p-1) Generazione di p e q Scegli un primo q di 160 bit Scegli un primo p di 512/1024 bit tale che q (p-1) o Scegli X di 512 bit (oppure bit) o p X - ((X mod 2q)-1) o se p è primo e p esci altrimenti riprova 2q (p-1) irma Digitale 44 irma Digitale 45 Scelta di un elemento di ordine q Ordine di α Z n* = il più piccolo intero positivo r tale che α r =1 mod n p,q primi tali che q (p-1) Scegli_ordineq (p,q) 1. g elemento scelto a caso in in Z * p 2. α g (p-1)/q (p-1)/q mod p 3. if if α 1 then return α else go to 1. irma Digitale 46 Correttezza di Scegli_ordineq Scegli_ordineq (p,q) 1. g elemento scelto a caso in in Z * p 2. α g (p-1)/q (p-1)/q mod p 3. if if α 1 then return α else go to 1. α q (g (p-1)/q ) q g p-1 1 mod p q è il più piccolo intero tale che α q 1 mod n α è di ordine q dal dal Teorema di di Lagrange l ordine di di α divide q irma Digitale 47

9 Probabilità successo singola iterazione Chiavi globali ed individuali Se g è un generatore allora g (p-1)/q 1 mod p Probabilità successo Probabilità che g è generatore > 1/(6lnln(p-1)) Numero medio di iterazioni < 6lnln(p-1) 512 bit 6 lnln(2 512 ) 35, bit 6 lnln( ) 39, bit 6 lnln( ) 43,54 irma Digitale 48 Sicurezza basata sul valore privato s I valori p,q,a possono essere gli stessi per un gruppo di utenti Un autorità sceglie p,q,a Il singolo utente sceglie solo s,b irma Digitale 49 Chiavi globali ed individuali Sicurezza basata sul valore privato s I valori p,q,a possono essere gli stessi per un gruppo di utenti Un autorità sceglie p,q,a Il singolo utente sceglie solo s,b irma Digitale 50 Generazione di q Scegli a caso S di 160 bit S S+1 SH SH 160 bit Ripeti con un nuovo S finchè q è primo u 1 1 q S è un testimone della validità di q irma Digitale 51 Generazione di p (512 bit) S+2 S+3 S+4 S+5 Generazione di p (512 bit) S+2 S+3 S+4 S+5 SH SH SH SH SH SH SH SH 511 = V 0 V 1 V 2 V 3 V 0 V 1 V 2 V 3 X =512 X V 0 +V V (V 3 mod 2 31 ) p X - ((X mod 2q)-1) se p è primo e p esci altrimenti 2q (p-1) irma Digitale 52 irma Digitale 53

10 Generazione di p (512 bit) S+6 S+7 S+8 S+9 Generazione di p (512 bit) N 2,6,10,, (per 4096 volte) S+N S+N+1 S+N+2 S+N+3 SH SH SH SH 511 = SH SH SH SH 511 = V 0 V 1 V 2 V 3 X =512 V 0 V 1 V 2 V 3 X =512 X V 0 +V V (V 3 mod 2 31 ) p X - ((X mod 2q)-1) se p è primo e p esci altrimenti 2q (p-1) irma Digitale 54 X V 0 +V V (V 3 mod 2 31 ) p X - ((X mod 2q)-1) se p è primo e p esci altrimenti 2q (p-1) S,(N-2)/4 sono testimoni irma Digitale 55 Generazione di p e q Confronto tempi firme RS e DS Seleziona_pq(L) (1) (1) Computa interi n e b tali tali che che L-1=160n+b (2) (2) repeat (3) (3) repeat (4) (4) S sequenza casuale di di almeno bit bit (5) (5) g S DSS RS DSS con p,q,a comuni S (6) (6) U SH(S) SH((S+1) mod mod 2 g g ) precomputazioni 14 sec 4 sec (7) (7) orma orma q da da U ponendo il il SB SB ed ed il il LSB LSB ad ad 1 (8) (8) until until q primo primo firma 0.3 sec 15 sec 0.3 sec (9) (9) C 0 verifica 16 sec 1.5 sec 10 sec (10) (10) N 2 (11) (11) repeat 1-5 sec Off Cards 1-3 sec Off Cards (12) (12) for fork=0 to to n do do V k k SH(S+N+k) mod mod 2 g (13) g (13) W V 0 +V 0 +V V n-1 2 n (n-1) 160(n-1) +(V +(V n mod n mod 2 b b ) 2 ) 2 160n (14) 160n (14) X W+2 W+2 L-1 (15) L-1 (15) p X-((X X-((X mod mod 2q)-1) (16) (16) until until (p (p primo) or or (p<2 (p<2 L-1 L-1 ) Implementazioni su smart card [1993] (17) (17) if ifp<2 L-1 (18) L-1 (18) then then C C+1 Computazioni Off Cards su a 33Hz C+1 (19) (19) N N+n+1 N+n+1 (20) (20) if if C<4096 then then goto goto step step (12) (12) (21) (21) else else Help Help falso falso (22) (22) else else Help Help vero vero (23) (23) until untilhelp (24) irma Digitale 56 (24) return p,q,s,c irma Digitale 57 Prestazioni algoritmi Prestazioni Celeron 850Hz, Windows 2000, Crypto++ millisecondi/operazione RS DS RS DS bit chiave , firma 1,92 1,77 5,50 irma con precomputazione 1,19 2,27 verifica 0,13 2,02 0,30 6,38 Pentium II 400 OpenSSL bit chiave firme/s RS DS RS DS RS DS verifiche/s irma Digitale 58 irma Digitale 59