Accordo su chiavi. (key agreement) Alfredo De Santis. Marzo Dipartimento di Informatica Università di Salerno

Transcript

1 Accordo su chiavi (key agreement) Alfredo De Santis Dipartimento di Informatica Università di Salerno Marzo 2015

2 Accordo su una chiave Alice Bob?? K K

3 Accordo su chiavi: indice! Diffie-Hellman! Basato sull intrattabilità del problema del logaritmo discreto! Puzzle di Merkle! Non basato su alcuna assunzione computazionale

4 Diffie-Hellman [1976] Whitfield Diffie Martin Hellman Stanford University W. Diffie and M.E. Hellman, New directions in cryptography, IEEE Trans. on Inform. Theory 22 (1976),

5 Diffie-Hellman [1976] primo p, generatore g di Z p Alice Bob??

6 Generatori di Z p g è generatore di Z p se { g i 1 i p-1 } = Z p Esempio: g = 2 è un generatore di Z = 1024 = 1 mod = 2 mod = 256 = 3 mod = 4 mod = 16 = 5 mod = 512 = 6 mod = 128 = 7 mod = 8 mod = 64 = 9 mod = 32 = 10 mod 11

7 Generatori di Z n! Ordine di α Z n = il più piccolo intero positivo r tale che α r = 1 mod n! α è generatore di Z n se ha ordine φ(n) Teorema di Eulero x Z n x φ(n) =1 mod n

8 Generatori di Z n! Ordine di α Z n = il più piccolo intero positivo r tale che α r = 1 mod n! α è generatore di Z n se ha ordine φ(n) Teorema di Eulero x Z n x φ(n) =1 mod n! Z n ha un generatore n = 2,4,p k,2p k, con p primo e k 1! Se p è primo, allora Z p ha un generatore

9 Potenze in Z 19 a a 2 a 3 a 4 a 5 a 6 a 7 a 8 a 9 a 10 a 11 a 12 a 13 a 14 a 15 a 16 a 17 a

10 Generatori di Z n! Ordine di α Z n = il più piccolo intero positivo r tale che α r = 1 mod n! a è generatore di Z n se ha ordine φ(n)! Se α è un generatore di Z n, allora! Z n = {α i mod n 0 i φ(n)-1}! b = α i mod n è un generatore di Z n gcd(i,φ(n))=1 Esempio: 2 è un generatore in Z 19 3=2 13 mod 19 è un generatore perchè gcd(13,6)=1 13=2 5 mod 19 è un generatore perchè gcd(5,6)=1 5=2 16 mod 19 non è un generatore perchè gcd(16,6)=2

11 Potenze in Z 19 a a 2 a 3 a 4 a 5 a 6 a 7 a 8 a 9 a 10 a 11 a 12 a 13 a 14 a 15 a 16 a 17 a

12 Generatori di Z n! Il numero di generatori di Z n è φ(φ(n))! Se p è primo, il numero di generatori di Z p è φ(p-1)

13 Diffie-Hellman [1976] scelgo x Z p primo p, generatore g di Z p scelgo y Z p Alice?? Bob

14 Diffie-Hellman [1976] scelgo x Z p primo p, generatore g g x mod p scelgo y Z p Alice?? Bob

15 Diffie-Hellman [1976] scelgo x Z p primo p, generatore g g x mod p g y mod p scelgo y Z p Alice?? Bob

16 Diffie-Hellman [1976] scelgo x Z p primo p, generatore g g x mod p g y mod p scelgo y Z p Alice K = g xy mod p = (g y ) x mod p?? Bob K = g xy mod p = (g x ) y mod p

17 scelgo x=3 Diffie-Hellman: piccolo esempio primo 11, generatore 2 8 = 2 3 mod 11 5 = 2 4 mod 11 scelgo y=4 Alice K=4=(2 4 ) 3 mod 11?? Bob K=4=(2 3 ) 4 mod 11

18 scelgo x=3578 Diffie-Hellman: esempio primo 25307, generatore = mod = mod scelgo y=19956 Alice K=3694= ?? Bob K=3694=

19 Logaritmo discreto La sicurezza di molte tecniche crittografiche si basa sulla intrattabilità del logaritmo discreto:! Crittosistema ElGamal! Accordo su chiavi Diffie-Hellman! Firme digitali DSS Dati a,n,b calcolare x tale che a x = b mod n Esempio: 3 x = 7 mod 13 soluzione x = 6

20 Logaritmo discreto: Complessità algoritmi Dati a,n,b calcolare x tale che a x = b mod n Vari algoritmi:! Trial multiplication! Baby-step giant-step! Pollard s rho algorithm! Pohlig-Hellman algorithm! Index Calculus

21 Logaritmo discreto: Complessità algoritmi Dati a,n,b calcolare x tale che a x = b mod n Se n è primo, i migliori algoritmi hanno complessità L n [a,c] = O(e (c+o(1))(ln n)a (lnln n) 1-a ) con c > 0 ed 0 < a < 1 Miglior algoritmo: Number field sieve tempo medio euristico L n [1/3, 1.923]! # " 64 9 $ & % 1/3 =1,922999

22 Logaritmo discreto: record computazioni! Primo, 130-digit, 431-bit: giugno 2005, A. Joux e R. Lecier! 3 settimane, 1.15 GHz 16-processor HP AlphaServer GS1280! Primo, 160-digit, 530-bit: febbraio 2007, T. Kleinjung! Vari pc ed un cluster! GF(2 613 ), settembre 2005, A. Joux e R. Lercier! 17 giorni, 4 nodi 1.3GHz 16-processori di un Itanium 2-based Bull computer Teranova! GF(2 809 ), aprile 2013, R. Barbulescu, C. Bouvier,! GF(2 18"513 ), 9234-bit, gen 2014, R. Granger, T. Kleinjung, J. Zumbrägel! GF(3 6"71 ), 676-bit, 2010, T. Hayashi! GF(3 6"137 ), 1303-bit, 27 gen 2014, F. Rodríguez-Henríquez

23 Problema di Diffie-Hellman Input: primo p, generatore g, g x mod p, g y mod p Calcolare: g xy mod p Il miglior algoritmo conosciuto calcola prima il logaritmo discreto x log g,p (g x mod p)

24 Problema di Diffie-Hellman Input: primo p, generatore g, g x mod p, g y mod p Calcolare: g xy mod p Il miglior algoritmo conosciuto calcola prima il logaritmo discreto x log g,p (g x mod p) ma non si sa se sono equivalenti!

25 Scelta dei parametri! Come scegliere p e g?

26 Scelta di un generatore Scegli_Generatore_Naive (p) 1. Scegli a caso g in Z p 2. If {g i 1 i p-1} = Z p then trovato else goto 1.

27 Scelta di un generatore Scegli_Generatore_Naive (p) 1. Scegli a caso g in Z p 2. If {g i 1 i p-1} = Z p then trovato else goto 1. {g i 1 i p-1} = Z p? L unico algoritmo efficiente necessita dei fattori primi di p-1

28 Scelta di un generatore p primo, p-1 = p e 1 1 p2 e 2 pk e k g (p-1)/p 1 1 mod p g è un generatore di Z p... g (p-1)/p k 1 mod p

29 Scelta di un generatore p primo, p-1 = p e 1 1 p2 e 2 pk e k g (p-1)/p 1 1 mod p g è un generatore di Z p... g (p-1)/p k 1 mod p # 11 primo, p-1 = 10 = 2 5 Esempio # 2 è un generatore di Z 11 perché 2 (11-1)/2 = 2 5 = 10 1 mod 11 2 (11-1)/5 = 2 2 = 4 1 mod 11

30 Scelta di un generatore p primo, p-1 = p e 1 1 p2 e 2 pk e k g (p-1)/p 1 1 mod p g è un generatore di Z p... g (p-1)/p k 1 mod p # 11 primo, p-1 = 10 = 2 5 Esempio # 3 non è un generatore di Z 11 perché 3 (11-1)/2 = 3 5 = 243 = 1 mod 11 3 (11-1)/5 = 3 2 = 9 1 mod 11

31 Scelta di un generatore p primo, p-1 = p e 1 1 p2 e 2 pk e k g (p-1)/p 1 1 mod p g è un generatore di Z p... g (p-1)/p k 1 mod p Scegli_generatore ( p, (p 1,e 1,p 2,e 2,,p k,e k ) ) 1. g elemento scelto a caso in Z p 2. if (g (p-1)/p 1 1 mod p and and g (p-1)/p k 1 mod p) then esci else go to 1. trovato!

32 Probabilità successo singola iterazione! Numero di generatori modulo un primo p è φ(φ(p)) = φ(p-1) > (p-1) / (6 lnln(p-1)) per ogni intero n 5, φ(n) > n/(6lnln n)

33 Probabilità successo singola iterazione! Numero di generatori modulo un primo p è φ(φ(p)) = φ(p-1) > (p-1) / (6 lnln(p-1)) per ogni intero n 5, φ(n) > n/(6lnln n)! Probabilità che un elemento a caso in Z p sia generatore φ(φ(p)) p-1 1 = > = φ(p) φ(p) 6lnln(p -1) 6 lnln(p -1)

34 Analisi di Scegli_generatore Numero medio di iterazioni < 6 lnln(p -1) 512 bit 6 lnln(2 512 ) 35, bit 6 lnln( ) 39, bit 6 lnln( ) 43,54

35 Generazione chiavi Diffie-Hellman 1. Scegli a caso 2 numeri primi p 1 p 2 2. p 1 + 2p 1 p 2 3. Se p non è primo, go to g Scegli_generatore(p,(2,1,p 1,1,p 2,1))

36 Accordo su chiave Diffie-Hellman: sicurezza! E sicuro contro attaccanti passivi! Non è sicuro contro attacchi man-in-the-middle

37 Diffie-Hellman attacco man-in-the-middle scelgo x Z p primo p, generatore g di Z p scelgo z Zp scelgo y Z p g x mod p g z mod p g y mod p Alice g z mod p Bob K A = g xz mod p = (g z ) x mod p K A = g xz mod p = (g x ) z mod p K B = g zy mod p = (g y ) z mod p K B = g zy mod p = (g z ) y mod p

38 Accordo su chiave Diffie-Hellman: sicurezza! E sicuro contro attaccanti passivi! Non è sicuro contro attacchi man-in-the-middle! Occorre autenticazione

39 Crittografia a chiave pubbica con Diffie-Hellman! Possiamo usare Diffie-Hellman come cifrario asimmetrico?

40 Cifrari asimmetrici chiave privata kpriv file pubblico utente chiave pubblica Alice kpub Alice

41 Cifratura chiave privata kpriv file pubblico utente chiave pubblica Alice kpub Alice canale insicuro Devo cifrare il messaggio M ed inviarlo ad Alice Bob

42 Cifratura Alice chiave privata kpriv file pubblico utente chiave pubblica Alice C canale insicuro kpub Cifratura di M per Alice C CIFRA(kpub, M) Bob

43 Decifratura Devo decifrare il messaggio cifrato C utente chiave pubblica Alice kpub file pubblico?? C? Alice

44 Decifratura chiave privata kpriv utente chiave pubblica Alice kpub file pubblico Decifratura di C M DECIFRA (kpriv, C) Alice C

45 Chiavi DH chiave privata (p,g,a) file pubblico utente chiave pubblica Alice (p,g,g a mod p) Alice

46 Cifratura DH chiave privata (p,g,a) file pubblico utente chiave pubblica Alice (p,g,g a mod p) Alice canale insicuro Devo cifrare il messaggio M ed inviarlo ad Alice Bob

47 Cifratura DH chiave privata (p,g,a) file pubblico utente chiave pubblica Alice (p,g,g a mod p) Alice canale insicuro g b mod p, C Cifratura di M per Alice g b mod p k (g a mod p) b mod p C ENC(k,M) Bob

48 Decifratura DH Devo decifrare il messaggio cifrato (g b mod p,c) file pubblico utente chiave pubblica Alice (p,g,g a mod p)?? g b mod p, C C? Alice

49 Cifratura DH chiave privata (p,g,a) file pubblico utente chiave pubblica Alice (p,g,g a mod p) Alice Decifratura di g b mod p, C k (g b mod p) a mod p M DEC(k,C)

50 Crittografia a chiave pubbica RSA e Diffie-Hellman! RSA è il cifrario asimmetrico più diffuso! Motivazioni:! Storiche! Commerciali Verisign fondata come spin-off di RSA Security nel 1995! Algoritmi di firma digitale

51 Accordo su chiavi: indice! Diffie-Hellman! Basato sull intrattabilità del problema del logaritmo discreto! Puzzle di Merkle! Non basato su alcuna assunzione computazionale

52 Schema di Merkle Ralph C. Merkle Corso di Computer Security, UC Berkeley, autunno 1974: proposta per un progetto, rifiutata dal docente Ralph C. Merkle "Secure Communications over Insecure Channels Communications of the ACM, vol. 21, n. 4, April 1978, pp

53 Schema di Merkle! Non basato su assunzioni computazionali! Alice genera n chiavi distinte e nasconde ogni chiave in un puzzle! Il puzzle contiene informazioni per il calcolo della chiave! La soluzione di un puzzle richiede un tempo ragionevole! La soluzione di tutti i puzzle richiede un tempo elevato

54 Puzzle di Merkle! Puzzle la cui soluzione richiede t operazioni! Esempio: Puzzle (x, ID, S) Scegli una chiave k di 56 bit Computa y CBC-DES k (x, ID, S) return (y, primi 20 bit di k)! x è la soluzione del puzzle -Richiede 2 35 operazioni in media! ID è l identificativo del puzzle -Unico per ciascun puzzle! S è un valore noto -Serve per garantire l unicità della soluzione del puzzle -Esempio: 32 bit nulli

55 Puzzle di Merkle Scegli x 1,, x n, ID 1,, ID n Puzzle i Puzzle(x i,id i,s) Risolvi Puzzle j Ottieni (x j, ID j ) Puzzle 1,, Puzzle n ID j Alice x j?? Bob x j

56 Puzzle di Merkle Computazioni di :! Costruzione di n puzzle tempo θ(n) Computazioni di :! Risoluzione di un puzzle tempo θ(t) Computazioni di :! Risoluzione di n/2 puzzle in media tempo θ(t n)

57 Puzzle di Merkle Computazioni di : Se n = θ(t)! Costruzione di n puzzle tempo θ(n) Computazioni di :! Risoluzione di un puzzle tempo θ(n) Computazioni di :! Risoluzione di n/2 puzzle in media tempo θ(n 2 )

58 Puzzle di Merkle problema di sicurezza! Implementazione poco accorta potrebbe rendere insicuro lo schema! Esempio: Puzzle (x, ID, S) Scegli una chiave k di 56 bit Computa y DES k (x), DES k (ID), DES k (S) return (y, primi 20 bit di k)! x è la soluzione del puzzle -Richiede 2 35 operazioni in media! ID è l identificativo del puzzle -Unico per ciascun puzzle! S è un valore noto -Serve per garantire l unicità della soluzione del puzzle -Esempio: 32 bit nulli

59 Puzzle di Merkle Scegli x 1,, x n, ID 1,, ID n Puzzle i Puzzle(x i,id i,s) Risolvi Puzzle j Ottieni (x j, ID j ) Puzzle 1,, Puzzle n ID j Alice x j?? Bob x j

60 Puzzle di Merkle problema di sicurezza! Implementazione poco accorta potrebbe rendere insicuro lo schema! Esempio: Puzzle (x, ID, S) Scegli una chiave k di 56 bit θ(n) Computa y DES k (x), DES k (ID), DES k (S) return (y, primi 20 bit di k)! Dopo aver visto ID j! Cifra DES k (ID j ) con tutte le possibili chiavi k! Correla le cifrature con tutti i Puzzle visti! Trova il Puzzle con ID j! Decifra il corrispondente DES k (x)

61 Puzzle di Merkle problema di sicurezza! Implementazione poco accorta potrebbe rendere insicuro lo schema! Esempio: Puzzle (x, ID, S) Scegli una chiave k di 56 bit Computa y DES k (x), DES k (ID), DES k (S) return (y, primi 20 bit di k) NO Meglio:! DES k (x), DES k (ID x), DES k (S x) con S 0! DES k (x), DES x (ID), DES x (S)! AES k (x, ID, S)! Bene per x di 64 bit (con ID ed S di 32 bit)! Per x di 128 bit si può usare 2 volte lo schema

62 Bibliografia! Cryptography and Network Security by W. Stallings (2010)! cap. 1O! Tesina di Sicurezza su reti! Accordo su chiavi

63 Domande?