Crittografia a chiave pubblica

Transcript

1 Crittografia a chiave pubblica Ogni utente ha una chiave segreta SU Cifrari Generatori di bit pseudocasuali Schei di fira Protocolli d identificazione attiva..e rende pubblica una chiave PU Incontro Elenco e-ail Sito Database PLaschi: ldap://certserver.pgp.co

2 Le due chiavi ed il proprietario PU U SU Chiave di verifica o di cifratura Chiave di fira o di decifrazione Proprietà della chiave pubblica Robustezza Autenticità SU Segretezza PU U NO SI

3 Robustezza degli algoriti asietrici funzione unidirezionale funzione pseudounidirezionale problei difficili La relazione tra le chiavi Una funzione f è unidirezionale se è invertibile, se il suo calcolo è facile e se per quasi tutti gli x appartenenti al doinio di f è difficile risolvere per x il problea y = f (x). Proprietà delle chiavi asietriche robustezza autenticità riservatezza..e inoltre: cifra/decifra fira/verifica One-way function integrità integrità Chiave pubblica Chiave privata Problei difficili: Teoria dei nueri Aritetica odulare

4 Le due trasforazioni Una funzione f è pseudo-unidirezionale se appare coe unidirezionale per chiunque non sia in possesso di una particolare inforazione sulla sua costruzione. cifratura verifica c c decifrazione fira Trapdoor one-way function Allo stato attuale delle conoscenze la trasforazione segreta degli algoriti asietrici è facile da calcolare solo per chi ha la chiave privata. Probabilente un altro etodo facile non verrà ai trovato Il odello del Cifrario a chiave pubblica PU è la chiave pubblica del destinatario U K PU K K : PU = f (SU) Senso unico SU SU è la chiave privata del destinatario U M E PU K M C : c = E PU () C c Pseudo-senso unico K C M : = D SU (c) D SU

5 Il odello della Fira digitale a chiave pubblica PU è la chiave pubblica del firatario U K PU K K : PU = f (SU) Senso unico SU SU è la chiave privata del firatario U C c V PU K C M : si/no & = V PU (c) M Pseudo-senso unico K M C : c = S SU () S SU Problei difficili Assunzione: per certi problei della Teoria dei nueri non si troveranno ai algoriti con tepo polinoiale P: logarito discreto (gruppo ciclico o GF(p n )) Scabio DH, Cifrario ElGaal, Fira DSS Safe prie: p = 2q+ con q prio (SKIP) P2: radice e-esia - Dato un n prodotto di due prii, un e coprio con Φ(n) ed un eleento c Z n trovare un intero tale che e c Cifrario RSA Il problea è facile se si conoscono i fattori di n o se n è prio

6 P3: fattorizzazione P3: problea della fattorizzazione - Dato un intero positivo n, trovare i nueri prii p i ed i coefficienti interi e i tali che n = p e... p k ek (Crittografia asietrica: n= p p 2 ) Cifrario RSA Gauss e Ferat: 20 cifre deciali 970: 4 cifre deciali con un ain frae 977, Rivest: 25 cifre deciali è un calcolo ipossibile 994: 29 cifre deciali in 8 esi con.600 workstations 2000 (stia): 50 cifre deciali in un anno con una acchina parallela da 0 ilioni di dollari 2004 (prev.): 300 cifre deciali (024 bit) 204 (prev.): 450 cifre deciali (500 bit) Algoriti di fattorizzazione Trial division:. i= 2. individua p(i): i-esio prio 3. calcola n/p(i) se resto 0, i = i+ e goto 2 altrienti I fattore = quoziente I fattore < sqrt(n) O(exp (½ (log n)))..... General Nuber Field Sieve: O(exp (log n) /3. (log(log n)) 2/3 ) Rivest, 999 scelta casuale p, q strong pries : p-, p+, q, q+ con grandi fattori prii p-q > n / bit

7 Altri problei difficili P4: problea del fusto - Dato un insiee di n interi positivi {a, a 2,.., a n } ed un intero positivo s deterinare se esiste o eno un sottoinsiee di a j la cui soa è s. P5: problea della radice quadrata odulare - Dato un n coposto ed un eleento a Q n (insiee dei residui quadratici odulo n) trovare la sua radice quadrata odulo n, cioè un intero x Z* n tale che x 2 a (od n). P6: problea della residuosità quadratica - Dato un n coposto e dispari ed un eleento a J p (insiee degli interi con sibolo di Jacobi = ) deterinare se a è o eno un residuo quadratico odulo n. Logarito discreto su curva ellittica P7: problea del logarito discreto su una curva ellittica - Data la curva ellittica forata da punti le cui coordinate x,y soddisfano l'equazione y 2 = x 3 + ax + b od p, con p prio, e due suoi punti P, Q tali che Q = n P, deterinare n. Coplessità degli attuali algoriti di rottura O(exp (½ (log p))) bit ECC: Certico.co

8 Autenticità della chiave pubblica l attacco dell uoo in ezzo Chiavi e Proprietario U PU ALGORITMO SU R28: pria d ipiegare una chiave pubblica bisogna o essere certi dell identità del suo proprietario o poterla verificare

9 Attacco dell uoo in ezzo - Registrazione A PA DB PB B 2 - Intercettazione delle interrogazioni e falsificazione delle risposte A B? B PI DB A? A PI B 3 - Intercettazione, decifrazione, cifratura ed inoltro. A c = E PI (A) c = E PA (B) c = E PB (A) c = E PI (B) B Cifrari asietrici

10 Aspetti caratteristici PU SU E P D S c. Fraentazione del testo in chiaro 2. Aleatorietà del testo cifrato 3. Variabilità della trasforazione 4. Problea difficile su cui si basa la sicurezza 5. Modalità d ipiego - Fraentazione del testo in chiaro testo in chiaro intero < n intero < n ecc. ecc. n Operazioni aritetiche odulo n Operazioni aritetiche odulo n 000 bit testo cifrato Coplessità: O(n 3 ) Kb/s:000 volte più lento!

11 2 - Aleatorietà del testo cifrato Cifrari deterinistici e Cifrari probabilistici PU PU ci c E k Blocchi identici Prio blocco Attacco con testo noto c E k r PRNG cr cp cq Casualità: IV & CBC c = E( r) Ridondanza: c = E() E(r) 3 Variabilità della trasforazione Cifrari a blocchi e Cifrari a flusso PU.. i.. PU E k c.. ci.. b.. bi.. PRNG k c.. ci..

12 4 I problei difficili dei cifrari asietrici Cifrario Proprietà Tipo Sicurezza RSA deterinistico a blocchi P2, P3 ElGaal probabilistico a blocchi P Rabin deterinistico a blocchi P3, P5 Golwasser-Micali probabilistico a flusso P6 Blu-Goldwasser probabilistico a flusso P3, P5 Chor-Rivest deterinistico a blocchi P4 5 - Public Key Cryptography Standards interoperabilità PKCS # - The RSA encryption standard PKCS # 3 - The Diffie-Hellan key-agreeent standard PKCS # 5 - The password-based encryption standard (PBE) PKCS # 6 - The extended-certificate syntax standard (X509) PKCS # 7 - The cryptographic essage syntax standard PKCS # 8 - The private-key inforation syntax standard PKCS # 9 - This defines selected attribute types for use in other PKCS standards. PKCS # 0 - The certification request syntax standard PKCS # - The cryptographic token interface standard PKCS # 2 - The personal inforation exchange syntax standard. PKCS # 3 - The elliptic curve cryptography standard PKCS # 4 - This covers pseudo rando nuber generation (PRNG). PKCS # 5 - The cryptographic token inforation forat standard.

13 Il Cifrario RSA The RSA Algorith Encryption Plaintext: Ciphertext: Public key: {n,e} n = p q con p e q prii e coprio con Φ(n) M < n C = M e od n Decryption Ciphertext: Plaintext: Private key: {n,d} d = e - od Φ(n) C < n M = C d od n

14 The RSA Algorith (998) λ(n) = CM(p-, q-) = Φ(n)/MCD(p-, q-) Public key: {n,e} n = p.q con p e q prii e coprio con λ(n) Private key: {n,d} d = e - od λ(n) La decrittazione di un testo cifrato con RSA C = M e od n e_ M = C od n P2: noti C, e, n calcolare M Altri attacchi a RSA Fattorizzazione: noti p e q, P2 diventa facile NFS Twinkle Cycling attack: se (c e ) k = c, allora (c e ) k- = Tiing attack Message unconcealed: e =

15 La trapdoor di RSA d = e - od Φ(n) n = 3 e=3 Φ(n) = 20 y = 3x od 20 x: y: c= 3 od c 7 od c= 3 od c 7 od p,q segreti: per calcolare Φ(n) bisogna saper fattorizzare n Key Generation Select p,q p and q both prie Calculate n n = p x q Calculate Φ(n) Φ(n) = (p-)(q-) Select integer e gcd(φ(n),e) = ; <e<φ(n) Calculate d d = e - od Φ(n) Public Key k[pub] = {e,n} Private key k[priv] = {d,n}

16 Exaple 8.5 (da [6], pag.7) Chiave pubblica di B (destinatario) p = 97; g = 2; cb = 82; N.B. cb equivale al g u precedente Chiave privata di B B = ; N.B. B equivale al u precedente Cifratura (eseguita dal ittente) r = Rando[Integer, {0, p-2}] = 9 = 23 eleento di {0,,,p-} R = PowerMod[g, r, p] = 7 S = Mod[PowerMod[cB, r, p], p] = 75 Decifrazione (eseguita dal destinatario: S R -B od p) Mod[S PowerMod[PowerMod[R, B, p], -, p], p] = 23 Generatori pseudocasuali il generatore RSA il generatore BBS il cifrario asietrico a flusso

17 RSA pseudorando bit generator. Si sceglie a caso due grandi prii p e q 2. Si calcola 2. n = pq 2.2 Φ = (p-)(q-) 2.3 e tale che MCD(e,Φ) = 3. Si sceglie a caso un see x 0 < n- (N.B. Intel generator consigliato) 4. Si itera quanto serve 4. x i = x i-e od n, 4.2 b i = x i od 2 (N.B. b i è il bit eno significativo di (x i ) 2 #define MAX_LUNGHEZZA 256 void RSAGenerator(intero z[max_lunghezza],intero l){ intero n,p,q; intero phi; intero x[max_lunghezza]; p=prie(000,5000); q=prie(000,5000); n=p*q; phi = (p-)*(q-); intero e = rando(,phi); while(cd(e,phi)!=) e = rando(,phi); x[0]=rando(,n-); //see for (intero i=;i<=l;i++) { x[i]=powerod(x[i-],e,n); z[i-]=x[i]%2; printf("%d",x[i]%2); } } Fira digitale Sicurezza Valore legale Algoriti con recupero Algoriti con etichetta

18 Fira digitale La fira digitale di un docuento inforatico deve: - consentire a chiunque di identificare univocaente il firatario, 2- non poter essere iitata da un ipostore, 3- non poter essere trasportata da un docuento ad un altro, 4- non poter essere ripudiata dall'autore, 5- rendere inalterabile il docuento in cui è stata apposta. sensori Centro di ascolto USA Servizi segreti Autenticazione: quale? spie CS: MAC: FD: spie Servizi segreti URSS Centro di ascolto sensori La scelta della soluzione ottia dipende dal contesto

19 Sicurezza della fira digitale SU PU S S c c V P vero/ falso Per ogni SU, per ogni e per c = S SU (), deve essere V PU (c) =, vero Per chi non ha SU e per ogni di sua invenzione deve essere infattibile costruire un c tale che V PU (c) =, vero diostrazione d esistenza diostrazione sul capo X dice: U è l autore di Falsificazione e non ripudio giudice c PU U dice: non sono l autore di V P =? vero/ falso Valore legale della fira digitale 989: USA e poi ONU 997: ITALIA 999: Counità Europea

20 Algoriti di fira a chiave pubblica Noe Tipo Anno RSA ricupero 978 Rabin ricupero 979 ElGaal appendice 984 DSA appendice 99 Schorr appendice 99 Nyberg-Rueppel ricupero 993 Algoriti di fira con appendice Messaggi di lunghezza arbitraria Appendice: S(H(),k[privA]) H S A k[priv] s V A k[pub] SI / NO H

21 Algoriti di fira con recupero Messaggi corti : < odulo Funzione di ridondanza R k[priv] k[pub] S A V A R s R R - CFR NO H H N.B. - Gli algoriti con ricupero possono essere ipiegati anche in uno schea con appendice Fira digitale Algorito RSA Fira a occhi chiusi

22 Proprietà di reversibilità di RSA Reversibilità delle chiavi (ipiego di SU al posto di PU e viceversa: E SU () = c = SU od n essaggio non riservato D PU (c) = ( SU ) PU od n = a con origine verificabile Schea di fira con recupero Schea di fira con appendice:. FIRMA S SU (H()) = (H()) SU od n S SU (H()) inefficiente se > n log 2 n bit di etichetta autenticazione del essaggio counicazione del essaggio 2: VERIFICA calcolo di H() calcolo di (S SU (H()) PU od n confronto Fira con RSA U H h d od n c c e od n H X =? d,n e,n U CA Si/No