Cos è la crittografia?

Transcript

1 Crittografia 1

2 Crittografia La crittografia, ovvero la scienza dei messaggi segreti sicuri, nasce come raccolta di tecniche e sistemi per nascondere messaggi tra regnanti, imperatori, amanti, militari Gli usi odierni della crittografia sono parecchi, a partire dalla codificazione dei bancomat e delle carte di credito fino a giungere alla criptazione dei segnali televisivi dei canali a pagamento. I modi di crittografare sono antichissimi e si sono costantemente evoluti nel tempo, fino a giungere al codice RSA che si basa sul fatto che, mentre è relativamente semplice moltiplicare due numeri primi anche composti da centinaia di cifre, ben più difficile è farne la fattorizzazione, in quanto non sono stati scoperti algoritmi efficienti e non c è altro modo se non andare per tentativi 2

3 Cos è la crittografia? La crittografia (dal greco kryptos, nascosto, e graphein, scrivere) è la scienza che si occupa dello studio delle scritture segrete E nata come branca della matematica e dell informatica grazie all utilizzo di tecniche di teoria dei numeri e di teoria dell informazione Insieme delle tecniche che consentono di realizzare la cifratura di un testo e la decifrazione di un crittogramma Dizionario Garzanti (1972) 3

4 Origini storiche La crittografia è una scienza antichissima utilizzata nell antichità per nascondere messaggi tra regnanti, imperatori, nobili La scitala lacedemonica è un antico esempio di un sistema per cifrare messaggi tramite l utilizzo di un bastone cilindrico, cifrario a trasposizione (secondo gli scritti di Plutarco, in uso dai tempi di Licurgo, IX sec a.c.) Il periodo d oro della crittologia è relativo alla seconda guerra mondiale quando Alan Turing, il padre dell informatica teorica, insieme al gruppo di ricerca del Bletchley Park formalizzò la matematica necessaria per uno studio sistematico dei cifrari 4

5 Origini storiche Enigma è una delle macchine cifranti più famose della seconda guerra mondiale Claude Shannon, l ideatore della moderna teoria dell informazione, nel 1949 pubblicò un articolo rimasto nella storia Communication theory of secrecy systems Nasce nel 1943 in Inghilterra il primo elaboratore elettronico il Colossus utilizzato per decifrare le comunicazioni segrete dei nemici 5

6 La moderna crittografia Le basi teoriche della moderna crittografia, quella attualmente utilizzata, sono ancora più giovani e risalgono a circa 30 anni fa a partire dal 1969 con le prime ricerche di James Ellis del quartier generale governativo delle comunicazioni britanniche (GCHQ) Sviluppata ed affinata nel 1976 in America grazie al contributo di Whitfield Diffie e Martin Hellman con la nascita del termine crittografia a chiave pubblica Nasce nel 1977 il cifrario a chiave pubblica RSA da tre ricercatori del MIT (Massachusetts Institute of Technology), Ronald Rivest, Adi Shamir e Leonard Adleman Con il cifrario RSA si inizia a parlare di strong-encryption, crittografia forte 6

7 Cifratura e decifrazione Definiamo con Msg l insieme di tutti i messaggi e con Critto l insieme di tutti i crittogrammi Cifratura: operazione con cui si trasforma un generico messaggio in chiaro m in un crittogramma c applicando una funzione C: Msg -> Critto Decifrazione: operazione che permette di ricavare il messaggio in chiaro m a partire dal crittogramma c applicando una funzione D: Critto -> Msg Matematicamente D(C(m))=m le funzioni C e D sono una inversa dell altra e la funzione C deve essere iniettiva, ossia a messaggi diversi devono corrispondere crittogrammi diversi 7

8 Cifrari Un cifrario è un sistema, di qualsiasi tipo, in grado di trasformare un testo in chiaro (messaggio) in un testo inintellegibile (testo cifrato o crittogramma) testo in chiaro (messaggio) Cifrario testo cifrato (crittogramma) Per poter utilizzare un cifrario è necessario definire due operazioni: la cifratura del messaggio e la decifrazione del crittogramma 8

9 Cifrari Classici Sostituzione Trasposizione (Permutazioni) Cifrario di Vernam (One-Time Pad) Book o Running Key Cipher Un lungo testo (o un libro) è utilizzato come chiave e la sostituzione avviene utlizzando la tabula recta di Johannes Trithemius Algoritmi Steganografia Nasconedere un messaggio in un testo più lungo, sempre inventata da Johannes Trithemius 9

10 Esempio di cifrario Un primo esempio di cifrario: il cifrario di Cesare Consideriamo l alfabeto italiano, costruiamo un cifrario che sostituisce ad ogni lettera di questo alfabeto la lettera che si trova 3 posizioni in avanti Cifrario di Cesare a b c a b c d e f g h i l m n o p q r s t u v z d e f g h i l m n o p q r s t u v z a b c traslazione a sinistra di 3 posizioni reinserimento dei caratteri a,b,c in coda Ad esempio il testo in chiaro prova di trasmissione viene cifrato nel crittogramma surbd gn zudvpnvvnrqh 10

11 Crittografia simmetrica Introduciamo un parametro chiamato k (key = chiave) all interno delle funzioni di cifratura C(m,k) e decifrazione D(c,k) Si parla di crittografia simmetrica perché si utilizza la stessa chiave k per le operazioni di cifratura e decifrazione La robustezza del cifrario dipende, a differenza di prima, solo dalla segretezza della chiave k testo in chiaro (messaggio) Cifrario testo cifrato (crittogramma) chiave (key) 11

12 Il principio di Kerchkhoffs Uno dei principi fondamentali della crittografia, utilizzato ancora nei moderni sistemi crittografici è stato individuato nel lontano 1883 dal linguista franco-olandese August Kerckhoffs nel suo celebre articolo La cryptographie militaire apparso nel Journal des sciences militaires Principio di Kerckhoffs: La sicurezza di un sistema crittografico è basata esclusivamente sulla conoscenza della chiave, in pratica si presuppone noto a priori l algoritmo di cifratura e decifrazione Purtroppo alcuni sistemi crittografici proprietari moderni non rispettano questo essenziale principio di sicurezza 12

13 Metodo di Vernam e Principio di Kerckhoffs Il metodo di Vernam prende il nome dal suo ideatore, Gilbert Vernam, che lo utilizzò per la prime volta nel Si può dire che il metodo di Vernam sia uno dei cardini della crittografia moderna, ed è un esempio tipico di cifrario sequenziale sincrono La metodica originale era basata sull uso di due nastri perforati di uguale lunghezza, di cui uno costituiva il testo in chiaro e l altro la chiave, sui quali venva eseguito un OR esclusivo; un terzo nastro, sempre della stessa lunghezza, prodotto dall operazione, costituiva il testo cifrato. Poiché l OR esclusivo è un'operazione simmetrica, rieseguendo lo stesso XOR tra il testo cifrato e la chiave si otteneva nuovamente il testo in chiaro Il metodo di Vernam è considerato uno dei cardini della crittografia moderna poiché esso risulta teoricamente indecrittabile; infatti, se la chiave utilizzata è costituita da numeri casuali e possiede la stessa lunghezza del testo da cifrare, ogni informazione presente nel testo originario viene persa (poiché viene massimizzata l entropia), e quindi non possono venire usati i metodi di attacco che si avvalgono della ricerca di sequenze ripetute. l inviolabilità viene meno nel caso in cui la chiave dovesse venire usata in più occasioni Il metodo di Vernam soddisfa inoltre pienamente il principio di Kerckhoffs: la sicurezza di una metodica di criptazione deve poter essere assicurata dalla segretezza della sola chiave, e non da quella dell algoritmo usato. Il fatto di conoscere quale operazione sia stata effettuata per eseguire la cifratura non può così essere di nessun aiuto se non si conosce la chiave; la decrittazione di ogni byte richiederebbe infatti la risoluzione dell equivalente di un'equazione con due incognite ed un solo termine noto: un'operazione matematicamente impossibile Un aspetto negativo del metodo di Vernam è costituito dalla lunghezza della chiave; la sua lunghezza pari a quella del testo in chiaro raddoppia infatti il numero di dati che devono venire trasmessi o conservati. I metodi escogitati per ovviare a questo inconveniente consistono nella 'creazione' matematica di chiavi della lunghezza necessaria partendo da elementi molto più piccoli; in pratica si usano spesso due chiavi diverse, di lunghezza l 1 ed l 2, dove l 1 ed l 2 sono due numeri che non condividono MCD; sequenze analoghe nel worm (stringa del messaggio trasmessa) si ripresenteranno così con periodo l 1 x l 2 13

14 Il problema della trasmissione della chiave Volendo utilizzare un cifrario simmetrico per proteggere le informazioni tra due interlocutori come è possibile scambiare la chiave segreta? E necessario utilizzare una canale sicuro di comunicazione chiave canale sicuro di comunicazione msg. Cifra invio msg. cifrato Decifra msg. Ma tale canale sicuro esiste nella realtà? Forse solo in campo militare Per una comunicazione sicura tra n utenti si dovranno scambiare in tutto (n-1)*n/2 chiavi, ad esempio con 100 utenti occorreranno 4950 chiavi, il tutto per ogni comunicazione! 14

15 Crittografia a chiave segreta o simmetrica Stessa chiave utilizata per cifrare o decifrare il messaggio (o chiavi di cifratura e decifratura facilmente derivabili l una dall altra) Obiettivi: rendere la chiave segreta disponibile Sia al mittente che al destinatario Senza comprometterla IBM Lucifer Cryptographic System DES (Data Encryption System) in 1972 Claude Shannon, Father of Information Theory Confusion and Diffusion AES (Advanced Encryption System) 15

16 DES (Data Encryption Standard) Sviluppato dall IBM nel 1972 diventato standard nel 1976, derivandolo dall algoritmo Lucifer Algorithm, di Horst Feistel È utilizzato per scopi commerciali e nonclassificati È stato sostituito dall AES (Advanced Encryption System) Il 17 Luglio 1998, l EFF (Electronic Frontier Foundation) costruisce un sistema dedicato in grado di violare il DES in meno di tre giorni, tramite un attacco di tipo brute-force 16

17 64-bit 48-bit Input K1 Permutation Round 1 Round 2... Round 16 DES Top View Generate keys Initial Permutation 48-bit K1 48-bit K2 48-bit K16 56-bit Key Swap Permutation Swap 32-bit halves Final Permutation 64-bit Output 17

18 Permutazione di bit (1-to-1) Input: bit Output

19 Bits Expansion (1-to-m) Input: Output

20 Permutazioni iniziale e finale Initial permutation (IP) l input è trattato come una matrice M: 8-byte X 8-bit Trasforma M in M1 in due passi La riga x diventa la colonna (9-x), 0<x<9 Applica la permutazione di righe: La colonna y è trasformata nella riga y/2 La colonna di ordine dispari y, è trasformata nella riga (5+y/2) Final permutation FP = IP-1 20

21 Generazione delle chiavi ad ogni ciclo Initial Permutation of DES key C i-1 28 bits D i-1 28 bits Circular Left Shift Circular Left Shift One round 48 bits K i C i Permutation with Discard D i 28 bits 28 bits Round 1,2,9,16: single shift Others: two bits 21

22 Un ciclo DES 32 bits L n 32 bits R n E One Round Encryption Mangler Function 48 bits S-Boxes 48 bits K i P 32 bits 32 bits L n+1 32 bits R n+1 22

23 Decifratura Ad ogni ciclo, applica le stesse operazioni con la stessa chiave K i : Input: R n+1 L n+1 Per via dell operazione di swap Output: R n L n Lo swap finale genera il risultato corretto: L R 23

24 3DES DES ripetuto, chiavi di 112 bit Si utilizza la tecnica della codifica-decodificacodifica (EDE, Encrypt-Decrypt-Encrypt) utilizzando il cifrario DES testo in chiaro DES (encrypt) testo cifrato 1 DES (decrypt) testo cifrato 2 DES (encrypt) testo cifrato key 1 (56 bit) key 2 (56 bit) key 1 (56 bit) 3DES (key = key1+key2, 112 bit) 24

25 Blowfish Ideato nel 1993 da Bruce Schneier E' stato sviluppato come algoritmo di encryption: veloce, compatto, semplice da implementare e sicuro con chiavi di dimensioni variabili fino a 448 bit E' un cifrario a blocchi di 64 bit, basato sulle reti di Feistel Non si conoscono attacchi efficaci E' un algoritmo non patentato, utilizzato in molti sistemi open source (come ad esempio in OpenBSD) 25

26 Twofish Symmetric block cipher 128-bit block, 16 rounds Up 256-bit key F-box, S-box, then Pseudo-Hadamard Transform (PHT) D = (2 b 1 + b 2 ) mod 256 MDS Matrix, PHT, Key additions for diffusion 26

27 Rijndael Sviluppato Joan Daemen e Vincent Rijmen. Questo algoritmo ha vinto la selezione per l Advanced Encryption Standard (AES) il 2 Ottobre Ufficialmente il Rijndael è diventato lo standard per la cifratura del XXI secolo Il cifrario utilizza chiavi di lunghezza variabile 128, 192, 256 bit (gli autori hanno dimostrato come è possibile variare le dimensioni delle chiavi con multipli di 32 bit). Lo schema del Rijndael è stato influenzato dall algoritmo SQUARE 27

28 Rijndael Block Cipher Dr. Joan Daemen, Dr. Vincent Rijmen Robustezza Resiste a tutti gli attacchi conosciuti Semplice e lineare nella progettazione Codice compatto e veloce 128-bit, 192-bit, 256-bit 3 Layer Non-linear layer Linear mixing layer Key addition layer 28

29 Advanced Encryption Standard AES NIST for new standard, MARS, RC6, Rijndael, Serpent, Twofish Rijndael Block Cipher (October 2, 2000) Dr. Joan Daemen, Dr. Vincent Rijmen 29

30 La crittografia a chiave pubblica Utilizza una coppia di chiavi per le operazioni di cifratura (encryption) e decifrazione (decryption) Una chiave detta pubblica (public key) viene utilizzata per le operazioni di encryption l altra chiave, detta privata (private key), viene utilizzata per le operazioni di decryption A differenza dei cifrari simmetrici non è più presente il problema della trasmissione delle chiavi Sono intrinsecamente sicuri poiché utilizzano tecniche di tipo matematico basate sulla teoria dei numeri, sulla teoria delle curve ellittiche, ecc. 30

31 La crittografia a chiave pubblica Esempio di encryption (trasmissione sicura): Msg. in chiaro Utente A Msg. Cifrato con K pu b Utente B Msg. in chiaro decifrato con K pr B K pu B = chiave pubblica dell utente B K pr B = chiave privata dell utente B 31

32 La crittografia a chiave pubblica Esempio di autenticazione: Msg. da autenticare Utente A Msg. autenticato con KprA Utente B Fase di autenticazione Msg. autenticato con KpuA KprA = chiave privata dell'utente A KpuA = chiave pubblica dell'utente A 32

33 La crittografia a chiave pubblica Esempio di encryption ed autenticazione: Msg. in chiaro Utente A Msg. autenticato con KprA e cifrato con KpuB Utente B Msg. in chiaro decifrato con KprB ed autenticato con KpuA KprA = chiave privata dell'utente A KpuA = chiave pubblica dell'utente A KprB = chiave privata dell'utente B KpuB = chiave pubblica dell'utente B 33

34 Crittografia a chiave pubblica Definiamo alcuni concetti di teoria dei numeri per poter analizzare il funzionamento di questa classe di cifrari: Un numero p > 1 si dice primo se è divisibile solo per ±1 e ±p Dati tre interi a,b 0 e n > 0, si dice che a è congruo a b modulo n se esiste un intero k per cui a = b + kn ( o equivalentemente se a mod n = b mod n, dove l operatore mod indica il resto della divisione intera tra a e n, b e n) e siscrive a = b (mod n) Per un intero n > 1 si definisce la funzione di Eulero Φ(n) come il numero di interi minori di n e relativamente primi con esso. Se n è un numero primo si ha che Φ(n) = n-1 34

35 Quando 2 x 2 = 0? Quest uguaglianza, ovviamente falsa nel campo dei numeri reali, è invece verificata in un eventualità Per comprendere in maniera migliore la crittografia dovremo infatti introdurre il concetto di classi di resto Per definizione la classe di resto modulo n associa ad ogni numero relativo il resto della sua divisione per n Quando due numeri relativi hanno la stessa classe di resto modulo n, si dice che sono congrui tra di loro modulo n. In altre parole, due numeri sono congrui tra di loro quando la loro differenza è un multiplo dello stesso n Per esempio, 11 è congruo a 2 modulo 3, in quanto entrambi i numeri divisi per 3 danno resto 2 e parimenti 11-2=9 che è multiplo di è congruo a 5 modulo 12 (29-5=24=12*2); 30 non è congruo a 10 modulo 12 (30-10=20 che non è multiplo di 12 e allo stesso modo 30 diviso 12 dà resto 6 mentre 10 diviso 12 dà resto 10) 35

36 Quando 2 x 2 = 0? Tra le classi di resto addizione e moltiplicazione si eseguono allo stesso modo, ovvero la congruenza modulo n di a+b è uguale alla congruenza modulo n di a sommata alla congruenza modulo n di b Parimenti la congruenza modulo n di a*b è il prodotto delle due congruenze A questo punto si spiega come sia possibile che 2x2=0: nell insieme delle classi di resto modulo 4, dal momento che valgono le regole di addizione e moltiplicazione, si ha [2] * [2] = [4], ma poiché sia 4 sia 0 divisi per 4 danno resto 0, in questa classe di resto si equivalgono e quindi possiamo scrivere che in Z 4 (con Z n si identifica l insieme delle classi di resto modulo n) [2] * [2] = [0] 36

37 La funzione di Eulero La funzione di Eulero ϕ(n) associa ad ogni numero intero positivo il numero di interi positivi minori di questo numero tali da essere coprimi con questo numero. Per esempio, ϕ(20) è uguale a 8, in quanto coprimi con 20 e minori di questo sono 1,3,7,9,11,13,17,19 ϕ(24) è uguale a 8 (1,5,7,11,13,17,19,23) ϕ(3) è uguale a 2 (1,2) Per n primo (che chiameremo p) la funzione di Eulero vale n-1. ϕ(p) = p-1 Per n potenza di un numero primo la funzione di Eulero vale (si può agilmente dimostrare): dove r è la potenza del numero primo ϕ(p r ) = p r -p r-1 = p r-1 *(p-1) 37

38 Il teorema di Eulero Dati due qualsiasi numeri m ed N primi tra di loro allora è: m Φ(N) = 1 (mod N) o anche m Φ(N) - 1 = 0 (mod N) Se poi N è primo allora Φ(N) = N - 1, e si ritrova il piccolo teorema di Fermat Questo teorema può considerarsi una conseguenza del teorema di Lagrange. Infatti se m è primo con N allora appartiene al gruppo moltiplicativo Z N che ha ordine Φ(N). Per il corollario del teorema di Lagrange l ordine di m è allora un divisore di Φ(N) e quindi mod (m) = 1 (mod N) e a maggior ragione mφ(n) = 1 (mod N). Piccolo teorema di Fernat: In un'aritmetica finita di ordine N con N primo è sempre per ogni x > 0 (e ovviamente < N): x (N - 1) = 1 mod N 38

39 RSA In crittografia l acronimo RSA indica un algoritmo di crittografia asimmetrica, utilizzabile per cifrare o firmare informazioni. Nel 1976 Whitfield Diffie e Martin Hellman, crittologi americani, hanno ipotizzato la creazione di un cifrario "asimmetrico" composto da "chiavi pubbliche". Il sistema di crittografia si basa sull esistenza di due chiavi distinte, che vengono usate per cifrare e decifrare. Se la prima chiave viene usata per la cifratura, la seconda deve necessariamente essere utilizzata per la decifratura e viceversa. La questione fondamentale è che le due chiavi siano indipendenti l una dall altra, in modo che se anche si è a conoscenza di una delle due chiavi, non si possa risalire all altra, garantendo in questo modo l integrità della crittografia. Per poter realizzare con il cifrario asimmetrico un sistema crittografico pubblico è importante che un utente si crei autonomamente entrambe le chiavi, denominate "diretta" ed "inversa", e ne renda pubblica una soltanto. Così facendo si viene a creare una sorta di "elenco telefonico" a disposizione di tutti gli utenti, che raggruppa tutte le chiavi dirette, mentre quelle inverse saranno tenute segrete dagli utenti che le hanno create, ottenendo in questo modo i presupposti necessari alla sicurezza del sistema. È nel 1978 che questo sistema trova la sua applicazione reale. Infatti sono tre ricercatori del MIT (Ronald Rivest, Adi Shamir e Leonard Adleman) che hanno saputo implementare tale logica utilizzando particolari proprietà formali dei numeri primi con alcune centinaia di cifre. l algoritmo da loro inventato, denominato RSA per via delle iniziali dei loro cognomi, non è sicuro da un punto di vista matematico teorico, in quanto esiste la possibilità che tramite la conoscenza della chiave pubblica si possa decriptare un messaggio, ma l enorme mole di calcoli e l enorme dispendio in termini di tempo necessario per trovare la soluzione, fa di questo algoritmo un sistema di affidabilità pressoché assoluta. RSA è basato sull elevata complessità computazionale della fattorizzazione in numeri primi. 39

40 RSA Le chiavi pubbliche e private vengono determinate con il seguente algoritmo: Si scelgono due numeri primi p e q molto grandi e indipendenti, tali da garantire la sicurezza dell algoritmo Si calcola il loro prodotto, chiamato modulo, n= p*q, e la funzione di Eulero Φ(n)= (p-1)*(q-1) Si sceglie un intero d minore di Φ(n), chiamato esponente privato, e coprimo con esso (cioè non divisibile per Si calcola l intero e, chiamato esponente pubblico, inverso di d modulo Φ(n), ossia tale che e*d = 1 (mod Φ(n)), (cioè e*d = k*φ(n) + 1, con k numero intero) La chiave pubblica è costituita dalla coppia di valori (n,e), la chiave privata dai valori (n,d) 40

41 RSA La forza dell algoritmo sta nel fatto che per calcolare d da e o viceversa, non basta la conoscenza di n, ma serve il numero Φ(n) =(p-1)*(q-1), infatti fattorizzare (cioè scomporre un numero nei suoi divisori) è un'operazione molto lenta, ma soprattutto l operazione di modulo non è invertibile, dunque anche conoscendo n non si può risalire al prodotto modulo n di p e q Un messaggio M viene cifrato attraverso l operazione C = M e (mod n) mentre il messaggio C viene decifrato con M = C d (mod n) = M ed (mod n) = M 1 (mod n) Il procedimento funziona solo se la chiave e utilizzata per cifrare e la chiave d utilizzata per decifrare sono legate tra loro dalla relazione e*d = 1 (mod Φ(n)), e quindi quando un messaggio viene cifrato con una delle due chiavi può essere decifrato solo utilizzando l altra 41

42 RSA La sicurezza del sistema è basata sul fatto che è difficile fattorizzare un prodotto di due numeri primi di dimensioni elevate (allo stato attuale). La lunghezza delle chiavi è variabile: 512, 1024, 2048, 4096 bit ed oltre Tuttavia proprio qui si vede la debolezza dell algoritmo: si basa sull assunzione mai dimostrata (nota come assunzione RSA, o RSA assumption in inglese) che il problema di calcolare e c (mod n) con n numero composto di cui non si conoscono i fattori sia computazionalmente non trattabile l algoritmo RSA non è veloce, infatti viene utilizzato soprattutto nei sistemi crittografici ibridi che utilizzano contemporaneamente sia algoritmi simmetrici che algoritmi a chiave pubblica (come ad esempio nei software PGP e GNUPG) Il 6 Settembre 2000 l algoritmo RSA è diventato di dominio pubblico, prima era di proprietà dell omonima azienda RSA Security Inc. poi incorporata dalla Security Dynamics Inc. 42

43 Esempio di un sistema crittografico ibrido: il PGP PGP (Pretty Good Privacy) è un software di pubblico dominio creato da Phil Zimmermann nel 1991 E' un software per la privacy personale: protezione delle , dei files, firma digitale Utilizza gli algoritmi di crittografia a chiave pubblica RSA, Diffie-Hellman, DSA e gli algoritmi simmetrici IDEA, CAST, 3-DES E' basato su di un sistema di crittografia ibrido nel senso che utilizza crittografia simmetrica per le operazioni di encryption sui dati generando delle chiavi di sessione pseudo-casuali cifrate con un algoritmo a chiave pubblica. Attualmente il progetto PGP è morto, l ultima versione rilasciata dalla NAI è la

44 Il funzionamento del PGP 44

45 l algoritmo Diffie-Hellman per lo scambio delle chiavi Creato nel 1976 dai ricercatori W.Diffie e M.Hellman è il primo algoritmo a chiave pubblica della storia. Pubblicato nell articolo New Directions in Cryptography : Alice: Y a = g a mod p Bob : Y b = g b mod p Then exchange Y a and Y b, and further Alice and Bob to get (Y a ) b = (Y b ) a E' stato creato per eliminare il problema dello scambio delle chiavi di cifratura su di un canale insicuro di comunicazione l efficacia dell algoritmo Diffie-Hellman dipende dalla difficoltà di calcolare logaritmi discreti. Il sistema lavora su delle strutture algebriche particolari, i campi di Galois con prodotti e potenze di numeri interi 45

46 IDEA Cipher International Data Encryption Algorithm James Massey and Xuejia Lai, bit plaintext blocks, 128-bit key Confusion and Diffusion Pretty Good Privacy (PGP) encryption by Phil Zimmerman 46

47 RC5 Ronald Rivest in 1994 Block cipher of variable block length Encrypt through integer addition A bit-wise Exclusive OR (XOR) Typical Block size of 32, 64, or 128 bits Key size and Rounds are from 0 to 255 Key size from 0 to 2048 bits Patent by RSA Data Security in

48 Altri algoritmi a chiave pubblica Sono sempre più lenti della crittografia a chiave segreta Diffie-Hellman key exchange protocol RAS El Gamal Knapsack Elliptic Curve 48

49 El Gamal Dr. T. El Gamal, ha esteso l algoritmo di Diffie- Hellman Scelto un numero primo, p, and the l intero, g, Alice usa la sua chiave privata, a, per computare la sua corrispondente chiave pubblica y = g a mod p Se Bob vuole inviare un messaggio M ad Alice: Bob genera un numero casuale #b < p Bob calcola y b = g b mod p e y m = M XOR y b = M XOR g ab mod p Quindi, M = y b a XOR y m = g ab mod p XOR M XOR g ab mod p 49

50 Merkle-Hellman Knapsack R. C. Merkle and M. Hellman Hiding Information and Signatures in Trapdoor Knapsacks,

51 Elliptic Curve (EC) Neal Koblitz Elliptic Curve Cryptosystems, 1987 V. S. Miller, Curva ellittica: y 2 = x 3 + ax + b l insieme delle soluzioni di questa equazione sono i punti che formano la curva (tutte le soluzioni dell equazioni con il punto all infinito formano un gruppo abeliano se si considera il punto all infinito come l elemento identico). Se le coordinate x e y sono scelte in un campo finito le soluzioni formano un gruppo abeliano finito. Il problema del logaritmo discreto utilizzato della crittografia a curva ellittica è molto più difficile del problema della fattorizzazione di numeri primi a parità di dimensione del campo e quindi a parità di sicurezza questa crittografia richiede chiavi pubbliche di dimensione inferiore a quelle utilizzate dal metodo RSA Una chiave di 160-bit è equivalente a quella di 1024-bit RSA 51

52 La firma digitale e le funzioni hash sicure Nasce come applicazione dei sistemi a chiave pubblica Viene utilizzata per autenticare la paternità di un documento informatico e la sua integrità Si utilizza un cifrario a chiave pubblica e si cifra un documento (file) con la propria chiave segreta. Chiunque può verificare la paternità del documento utilizzando la chiave pubblica dell utente firmatario Problema: per l autenticazione di un documento di grandi dimensioni con un algoritmo a chiave pubblica occorre molto tempo Soluzione: si può autenticare solo un riassunto del documento tramite l utilizzo di una funzione hash sicura 52

53 Le funzioni hash sicure Vengono utilizzate per generare un sorta di riassunto di un documento informatico (file) Una funzione hash accetta in ingresso un messaggio di lunghezza variabile M e produce in uscita un digest di messaggio H(M) di lunghezza fissa. Questo digest (impronta digitale, targa, riassunto) è strettamente legato al messaggio M, ogni messaggio M genera un H(M) univoco Anche considerando due messaggi M ed M' differenti solo per un carattere le loro funzioni hash H(M) e H(M') saranno diverse 53

54 Requisiti di una funzione hash sicura H(x) H può essere applicata a un blocco di dati di qualsiasi dimensione H produce in uscita un risultato di lunghezza fissa (ad esempio 160 bit) Per qualunque codice h il calcolo di x tale che H(x) = h deve avere una complessità computazionale improponibile Per qualunque blocco di dati x deve essere il calcolo di y x tale che H(x)=H(y) deve avere una complessità computazionale improponibile Ai fini pratici H(x) deve essere relativamente semplice da calcolare 54

55 Esempio di funzione hash Tutte le funzioni hash operano sulla base del seguente principio: i dati in ingresso sono considerati come una sequenza di blocchi di n bit, essi vengono elaborati un blocco alla volta iterativamente per produrre una funzione hash di n bit Una delle più semplici funzioni hash è quella che esegue lo XOR (+) bit a bit di ciascun blocco, ossia: C i =b i1 + b i b im Dove C i rappresenta l i-esimo bit del codice hash, m il numero di blocchi di n bit, b ij l i-esimo bit all interno del j-esimo blocco e l operatore + l operazione di XOR La probabilità che un errore nei dati produca lo stesso valore hash è 2 -n, con n=128 bit ,9387*

56 Esempio di firma digitale di un documento Documento da firmare M H Funzione hash H(M) Chiave privata dell'utente E encryption Documento firmato: Il ricevente può verificare la firma utilizzando la chiave pubblica dell'utente firmatario e riapplicando la funzione hash 56

57 Digital Signature Standard (DSS) e Secure Hash Standard (SHS) DSS utilizza RSA come algortimo di firma digitale o il Digital Signature Algorithm (DSA) DSA è una modifica della metodo di firma di El Gamal sviluppato da Clause Schnorr, 1989 Entrambi i metodi utilizzano il Secure Hash Algorithm (SHA-1) SHA-1 computa un messaggio di lunghezza fissa da uno in ingresso di lunghezza variabile Blocchi di 512-bit 57

58 MD5 Message Digest Algorithm Ronald Rivest nel 1991 Prende un messaggio di lunghezza arbitraria e genera una firma (message digest) di 128-bit Elabora blocchi di 512-bit in quattro distinte passate 58

59 Crittoanalisi Scienza che si occupa dell analisi e della validità degli algoritmi crittografici Analizzando il contenuto di un testo cifrato, attraverso tecniche statistico/matematiche si possono ottenere informazioni sul testo in chiaro Per fortuna ciò non è sempre possibile, la maggior parte dei cifrari moderni è ancora al sicuro da tecniche di crittoanalisi Tuttavia la storia ci insegna che non esistono cifrari inviolabili 59

60 Le basi della crittoanalisi l attacco ad un sistema crittografico ha l obiettivo di forzare il sistema, il metodo scelto e il suo livello di pericolosità dipendono dalle informazioni in possesso del crittoanalista Fondamentalmente esistono queste tipologie di attacchi: Cipher Text Attack (il crittoanalista è in possesso solo di alcuni crittogrammi) Known Plain-text Attack (il crittoanalista è venuto a conoscenza di una serie di testi in chiaro e di crittogrammi) Chosen Plain-Text Attack (il crittoanalista ha scelto una serie di testi in chiaro e di crittogrammi) 60

61 Attacchi crittografici 1. Brute Force 2. Known Plaintext 3. Chosen Plaintext 4. Adaptive Chosen Plaintext 5. Ciphertext Only 6. Chosen Ciphertext 7. Adaptive Chosen Ciphertext 61

62 Attacchi crittografici 8. Birthday Attack 9. Meet-in-the-Middle 10. Man-in-the-Middle 11. Differential Cryptoanalysis 12. Linear Cryptoanalysis 13. Differential Linear Cryptoanalysis 14. Factoring 15. Statistical 62

63 La crittoanalisi statistica Tramite l utilizzo di tecniche statistiche sulla frequenze dei caratteri o sottostringhe del testo cifrato si ottengono informazioni utili sul testo in chiaro 63

64 Crittoanalisi del cifrario di Cesare Il cifrario di Cesare, come la maggior parte dei cifrari storici basati tu trasposizioni e traslazioni, può essere facilmente violato utilizzando tecniche statistiche (crittoanalisi statistica) Si analizzano le frequenze relative dei caratteri nel testo cifrato e le si confrontano con quelle di una lingua conosciuta, ad esempio l italiano Le frequenze relative al testo cifrato surbd gn zudvpnvvnrqh risultano s (1/19), u (2/19), r (2/19), b (1/19), d (2/19), g (2/19), n (3/19), z (1/19), v (3/19), p (1/19), h (1/19) Si confrontano tali frequenze con quelle della lingua italiana: a (0,114), e (0,111), i (0,104), o (0,099), t (0,068), r (0,065),... Con queste informazioni si ottiene una prima approssimazione del testo in chiaro sroba gi zravpivvioqh ; si procede poi per tentativi ripetendo il procedimento 64

65 Tecniche di crittoanalisi Brute-force, ossia tramite il calcolo di tutte le possibili combinazioni di chiavi del cifrario. Con l aumento della potenza di calcolo degli elaboratori questa tecnica banale sta diventando sempre più efficace. Basti pensare al Cracking del DES a 56 bit con un computer multiprocessore costruito dall EFF in grado di violare l algoritmo in meno di 3 giorni di calcolo Crittoanalisi differenziale, tramite l analisi delle distanze numeriche dei caratteri presenti nel testo cifrato e l ausilio di sofisticate tecniche matematiche unite ad algoritmi sempre più veloci Man-in-the-middle, sfruttando il sistema delle infrastrutture PKI un eventuale intruso può posizionarsi tra un mittente ed un destinatario e scambiare le loro chiavi pubbliche e private con altre opportunamente modificate 65

66 DES Cracking Il 17 Luglio 1998 la Cryptography Research, l Advanced Wireless Technologies, e l EFF annunciano a tutto il mondo di aver costruito un computer in grado di violare l algoritmo DES in meno di 56 ore! Il DES a 56 bit genera un numero di chiavi possibili pari a 72'057'594'037'927'936 Cracking DES: 6 cabinet riciclati SUN-2, ognuno contenente 27 schede circuito contenenti 64 microchip, ogni microchip contiene 24 unità di ricerca delle chiavi, il tutto pilotato da un PC Performance: 92 bilioni di chiavi DES al secondo! Costo del progetto: < 250'000 $ 66

67 Quanto devono essere lunghe le chiavi? Bruce Schneier il 15 Aprile 2002 pubblica un articolo nella sua newsletter intitolato Is 1024 Bits Enough? dove suggerisce la lunghezza delle chiavi, per la sicurezza dei prossimi anni, con l utilizzo di algoritmi a chiave pubblica 67

68 La sicurezza della crittografia è nella trasparenza La sicurezza di un sistema crittografico è basato sulla robustezza degli algoritmi (complessità computazionale). Le tecniche di crittoanalisi diventano sempre più sofisticate grazie anche all aumento della potenza di calcolo dei computer Solo con la condivisione delle informazioni e delle specifiche tecniche degli algoritmi crittografici si può ottenere sicurezza La filosofia open source è di vitale importanza per il settore crittografico. La storia ci insegna che gli algoritmi segreti sono quelli più insicuri (es.: Clipper Chip) Gli algoritmi crittografici più importanti ed utilizzati da tutti devono essere di pubblico dominio, non ci possiamo fidare delle black box Sicurezza = Trasparenza 68

69 Approcci alla Key Escrow Escrowed Encryption Standard, NIST 1994 Dividere la chiave in due parti, e custodire le due porzioni presso due organizzazioni distinte fidate Le forze di polizia, dopo aver ottenuto un mandato dal giudice, possono recuperare la chiave di crittografia dalle due organizzazioni e decifrare il messaggio Un esempio è l U.S. Government Clipper Chip nel cosiddetto Tamper-proof hardware che utilizza l algoritmo Skipjack Secret Key per la crittografia Nel 1992 Sylvio Micali ha proposto un sistema basato sulla frammentazione della chiave privata tra molte organizzazioni fidate e la possibilità di recuperare la chiave segreta dalle varie parti 69

70 Clipper Chip Ogni Clipper Chip ha un numero di serie univoco e una 80-bit unique unit o chiave segreta La chiave segreta è divisa in due parti e conservata presso due distinte organizzazioni insieme al numero seriale che identifica quel particolare Clipper Chip Serial # 80-bit unit key Escrow 1 Escrow 2 80-bit family key Comune a tutti i Clipper Chips Skipjack Algorithm Simile al Diffie-Hellman o RSA key exchange 70

71 Il documento elettronico e la firma digitale Un messaggio cifrato con una chiave privata si ritiene firmato dal proprietario della chiave stessa, poiché egli è l unico che dispone di quella chiave privata. In questo modo la firma e la data sono matematicamente al riparo da falsificazione così come il documento stesso 71

72 Codifica della chiave Alice codifica un file per Bob La codifica provvede: al controllo sull accesso alla protezione dei dati pubblica Chiave pubblica di Bob Directory delle chiavi pubbliche Chiave privata di Bob Alice CODIFICA Ciphertext DECODIFICA Bob 72

73 Come funziona la codifica a chiave pubblica Processo di codifica File criptato con chiave simmetrica Processo di decodifica Estrazione della chiave simmetrica usando la chiave privata Codifica la chiave simmetrica per inviarla ai destinatari utilizzando la loro chiave pubblica Decodifica del file usando la chiave simmetrica + Combina l intestazione così ottenuta con il file contenete i dati da proteggere File originale 73

74 Chiave pubblica e Firma Digitale Alice firma il file Bob verifica la firma di Alice La firma digitale provvede: all integrità dei dati all autenticità dei dati alla non-repudiation Chiave privata di Alice Chiave pubblica di Alice Alice FIRMA Signed plaintext VERIFICA Bob 74

75 Come funziona la Firma Digitale Processo di firma Processo di verifica Calcolo della funzione hash Firma la funzione con la chiave privata Signed plaintext Calcolo della funzione hash Verifica la funzione hash originale con la chiave pubblica = Confronta la funzione ottenuta con la funzione hash prima calcolata 75

76 Tutto il processo Codifica Chiave pubblica di Bob Firma file transfer floppy Chiave privata di Alice Processo di verifica Chiave privata di Bob Chiave pubblica di Alice 76

77 Il contesto tecnologico Il problema dell identità della Firma Digitale Cifrare un file equivale ad averlo firmato ma la relazione esistente fra il proprietario e la sua chiave privata, sebbene univoca, non è sufficiente da sola a coprire tutti i rischi: infatti non dice nulla sull identità di colui che effettivamente usa la chiave 77

78 Il contesto tecnologico La Certificazione dell Identità La crittografia a chiave pubblica tutela chi riceve un documento elettronico: infatti il Certificatore dell Identità garantisce circa l identità della persona che firma con quella chiave crittografica Nel caso in cui il meccanismo della firma elettronica non funzionasse, ci si potrà rivalere sul Certificatore il quale, a sua volta, chiederà alla persona la cui chiave è stata compromessa il motivo per il quale non sia stato informato 78

79 Third - Party Trust trust Certification Authority trust Alice Third-party trust Bob 79

80 Cross Certification Certification Authority Cross Certify Certification Authority Alice Third-party trust CA Domain A Third-party trust Bob Carol Dave Third-party trust CA Domain B 80

81 Un modello di fiducia Nel modello di fiducia più noto nel cyberspace la fiducia ha le sue radici nel luogo più lontano dagli utenti CA2 CA1 ( Root ) CA3 CA4 CA5 CA6 CA7 U 1 U 2 U 3 U 4 U 5 U 6 U 7 U 8 U 9 81

82 General Trust Model The Real World CA1 CA2 Connessione di rete secondo il Certificatore dell Identità CA3 CA4 CA5 U1 U2 U3 U4 U5 U6 U7 Le radici della fiducia sono il più vicino possibile all utente 82

83 LDAP E un formato standard per accedere alle directory dei certificatori Le directory sono registrate su LDAP server in rete, al fine di distribuire le chiavi pubbliche e i certificati X.509 Le directory contengono i nomi, indirizzi, numeri di telefono, certificati a chiave pubblica, ecc. Garantiscono integrità e disponibilità 83

84 Security Obiettivi Non ripudio I messaggi devono essere letti solo dai rispettivi destinatari Integrità del messaggio Autenticazione del mittente Verifica della consegna Identificazione delle informazioni riservate Controllo accessi 84

85 Secure Multipurpose Internet Mail Extensions (S/MIME) Aggiunge i servizi di sicurezza a in formato MIME Garantisce l autenticazione tramite la firma digitale e la riservatezza con la crittografia Aderisce ai Public Key Cryptography Standard (PKCS) Utilizza lo standard X.509 per i suoi certificati digitali 85

86 Security S/MIME MIME Object Security Services (MOSS) Fornisce dei servizi di sicurezza flessibili poiché supporta modelli di fiducia diversi Dal 1995 MOSS garantisce autenticazione, integrità, riservatezza e non ripudio alla posta elettronica Utilizza MD2/MD5, RSA Public Key, a DES Permette inoltre l identificazione degli utenti al di là dello standard X

87 Security Privacy Enhanced Mail (PEM) Proposto da IETF al fine di essere aderente ai Public Key Cryptography Standard (PKCS) In consorzio comprende Microsoft, Novell, SUN Garantisce la crittografia e l autenticazione Triplo DES-EDE utilizzando una coppia di chiavi simmetriche Impiega l algoritmo Hash RSA Hash MD2 o MD5 per generare la firma digitale La crittografia a chiave pubblica RSA implementa la distribuzione delle firme digitali e delle chiavi in modo sicuro I certificati sono basati sullo standard 87

88 Internet Security Application Message Authentication Code (MAC) o il Financial Institution Message Authentication Standard (FIMAS) Il MAC (ANSI X9.9) è stato sviluppato al fine di proteggere contro le frodi nel trasferimento elettronico di fondi Utilizza la Cyclic Redundancy Check (CRC) 88

89 Secure Electronic Transaction (SET) Visa & MasterCard svilupparono il SET in 1997 come strumento per prevenire le frodi durante le operazioni di pagamento elettronico Garantisce la riservatezza degli acquisti crittografando le informazioni relative al pagamento Utilizza un sistema a chiave simmetrica DES per la codifica delle informazioni di pagamento Utilizza RSA per lo scambio delle chiavi simmetriche e le firme digitali Copre le transazioni end-to-end dal titolare della carta di credito all istituto finanziario 89

90 Secure Sockets Layer (SSL) Transaction Layer Security (TLS) Il protocollo SSL è stato sviluppato nel 1994 dalla Netscape per rendere sicure le transazioni in clientserver in Internet Autentica il server verso il client utilizzando la crittografia a chiave pubblica e i certificati digitali Supporta gli algoritmi RSA a chiave pubblica, IDEA, DES e 3DES a chiave segreta e la funziona hash MD5 90

91 SSL URL del tipo La versione SSL 3.0 e il suo protocollo successore Transport Layer Security (TLS) 1.0 Sono uno standard defacto Implementano riservatezza, integrità, autenticazione al di sopra del Transport Layer Si pongono tra l applicazione e lo strato TCP TLS, come anche SSL, sono utilizzati con i protocolli di Telnet, FTP, HTTP, Utilizza i certificati per la verifica della chiave pubblica basati sullo standard X

92 Internet Open Trading Protocol (IOTP) Transazioni Consumer-to-Business l obiettivo è quello di fornire all acquirente l opzione di scelta sul metodo di pagamento Supporta la crittografia a chiave pubblica e privata e può fare uso dei certificati digitali Progettato per essere flessibile e in grado di ospitare altri metodi di pagamento in futuro 92

93 MONDEX MONDEX International Corporation MONDEX payment system Applicazione Smart Cash Se smarrita, chi la ritrova la può utilizzare come contante 93

94 IPsec IPsec è l abbreviazione di IP Security ed è uno standard per ottenere connessioni basate su reti IP sicure. La sicurezza viene raggiunta attraverso la cifratura e l autenticazione dei pacchetti IP. La sicurezza viene fornita, quindi, a livello di rete. La capacità di fornire protezione a livello di rete rende questo protocollo trasparente al livello delle applicazioni che non devono essere modificate. IPsec è una collezione di protocolli formata da Protocolli che forniscono la cifratura del flusso di dati Protocolli che implementano lo scambio delle chiavi per realizzare il flusso crittografato. Per quanto riguarda il primo aspetto, esistono due protocolli: Authentication Header (AH) e Encapsulating Security Payload (ESP). ESP fornisce autenticazione, confidenzialità e controllo di integrità del messaggio ed è il protocollo IP 50. AH, invece, garantisce l autenticazione e l integrità del messaggio ma non offre la confidenzialità; per questo motivo ESP è molto più usato di AH. AH è il protocollo IP 51. Attualmente esiste un solo protocollo per lo scambio delle chiavi, il protocollo IKE. IPsec è parte integrante di IPv6, mentre è opzionale in IPv4. Di conseguenza, ci si aspetta che sarà maggiormente utilizzato quando IPv6 acquisterà popolarità. Il protocollo è definito negli RFC Dal 2004, sono in corso studi per l aggiornamento dei protocolli. IPsec è stato progettato per rendere sicure sia comunicazioni portal-to-portal sia comunicazioni end-to-end. Nella prima configurazione il traffico viene reso "sicuro" a diversi computer (in alcuni casi ad un'intera LAN); nella seconda solo i peer che stabiliscono la connessione scambiano pacchetti protetti. Tuttavia l uso predominante di IPsec è la creazione di VPN (virtual private network); per conseguire tale scopo possono essere utilizzati entrambi i metodi prima esposti 94

95 IPsec Standard con l obiettivo di fornire Crittografia, controllo accessi, non ripudio e autenticazione dei messaggi su IP Progettato per essere funzionalmente compatibile con IPv6 I due protocolli principali sono: (1) Authentication Header (AH) per l integrità, l autenticazione e il non ripudio, IP51 (2) Encapsulating Security Payload (ESP) per la crittografia e autenticazione limitata, IP50 95

96 Security Association (SA) Il concetto di Security Association (in breve SA) è alla base del funzionamento di IPsec. Una SA è un "contratto" fra le due entità coinvolte nella comunicazione; in essa vengono stabiliti i meccanismi di protezione e le chiavi da utilizzare durante il successivo trasferimento dei dati. Nell ambito di IPsec, stabilire le security association è compito del protocollo IKE, sebbene sia possibile anche impostarle manualmente; ovviamente la procedura manuale è sconsigliata in quanto può introdurre errori che indeboliscono il tunnel. Una peculiarità delle SA è che individuano una comunicazione unidirezionale; quindi durante la creazione della connessione le entità coinvolte creano e gestiscono una SA per ognuno dei versi della comunicazione, quindi 2 SA individuano un canale full-duplex. Al fine di semplificare la gestione delle SA, viene utilizzato un apposito database detto SAD (Security Association Database), dove viene tenuta traccia delle SA attive. Una SA è costituita dai seguenti parametri Gli indirizzi IP dei peer coinvolti nella comunicazione Il protocollo che verrà utilizzato per il tunnel (AH o ESP) le tecniche di cifratura utilizzate e le relative chiavi Un intero a 32 bit chiamato SPI, acronimo per Security Parameter Index 96

97 Security Association (SA) Dall esame dei parametri di una SA, si deduce che vi sono contenute le informazioni necessarie per stabilire in che modo il traffico debba essere protetto; il passo successivo è definire quale traffico debba essere protetto: di questo si occupa la Security Policy (in breve SP). Una SP è una regola che stabilisce che tipo di traffico deve essere instradato nel tunnel e quindi essere coperto da IPsec; in modo analogo alle SA, le SP sono contenute in un SPD (Security Policy Database). La security policy contiene: Indirizzo sorgente e indirizzo destinazione del pacchetto. Tale informazione è già contenuta nella SA e quindi può sembrare ridondante. In realtà questa informazione ha senso quando viene utilizzato il Tunnel mode. Il protocollo e la relativa porta da instradare nel tunnel. Questa opzione dipende dall implementazione del protocollo e non è sempre contemplata; nel caso non sia disponibile, tutto il traffico prodotto viene veicolato nel tunnel. Un identificativo della SA da utilizzare per processare i dati. Una volta stabilita la Security Association e la security policy, può cominciare la comunicazione che sfrutterà il protocollo AH o il protocollo ESP cui verrà passato il parametro SPI, che permetterà di risalire alle tecniche crittografiche da utilizzare per la trasmissione. 97

98 Security Association (SA) Security Association (SA) Il cuore di IPSec Una SA gestisce la comunicazione tra due entità per una connessione one-way (simplex) SA è composta da Un Security Parameter Index (SPI) Il Destination IP address Il tipo di protocollo di sicurezza (AH o ESP) Un numero identificativo di 32-bit 98

99 Security Association (SA) Una sola SA per una comunicazione monodirezionale (simplex) tra due entità Due SA per una comunicazione bidirezionale (full-duplex) tra due entità se è in uso il protocollo AH Quattro SA per una comunicazione bidirezionale tra due entità se sia il protocollo AH che ESP devono essere utilizzati 99

100 IKE IKE è un acronimo per Internet key exchange ed è il protocollo usato per stabilire una security association nella suite di protocolli IPsec. Questo protocollo è definito in RFC È un protocollo di livello applicazione e utilizza il protocollo UDP come protocollo di trasporto; la porta su cui viene stabilita la connessione è 500. l obiettivo di IKE è stabilire uno shared session secret, ossia una chiave condivisa corrispondente alla sessione da instaurare e a tal fine utilizza l algoritmo di Diffie-Hellman; dallo shared secret vengono successivamente derivate le chiavi crittografiche che verranno utilizzate per la successiva comunicazione. Al fine di autenticare le entità coinvolte nella comunicazione possono essere utilizzate tecniche a chiave simmetrica o, alternativamente, a chiave asimmetrica; in quest'ultimo caso si fa ricorso a infrastrutture a chiave pubblica (PKI) e all uso di certificati digitali. 100

101 IPsec in VPN Modalità Transport o Tunnel In modo Transport I dati nel packet sono crittografati, ma l header è in chiaro In modo Tunnel l header IP originale è crittografato e un nuovo header IP è aggiunto all inizio del packet Il nuovo header IP ha l indirizzo del gateway della VPN, mentre l header IP originale crittografato punta alla destinazione finale all interno della rete dietro il gateway HMAC-MD5 e HMAC-SHA-1 sono usati per l autenticazione el integrità Lo standard Ipsec consente l utilizzo dio molti sistemi a chiave simmetrica 101

102 Secure Hypertext Transfer Protocol (S-HTTP) Alternativa a SSL Utilizzato per garantire la sicurezza alle transazioni WWW al livello Application della pila ISO-OSI S-HTTP può essere utilizzato per proteggere singoli documenti WWW, mentre SSL serve per l intera sessione Assicura autenticazione, riservatezza, integrità e non ripudio Supporta vari algoritmi di crittografia 102

103 Secure Shell (SSH-2) Insieme di protocolli, principalmente utilizzato per l accesso remoto a una rete creando un tunnel crittografato tra il client SSH e il server SSH Può essere utilizzato per per autenticare il client al server, e per assicurare la riservatezza e l integrità Composto da: Transport Layer protocol User Authentication protocol Connection protocol 103