Teoria dei Numeri. Cifratura. Decifratura. Cifratura. Decifratura. Crittosistema a chiave pubblica. nnarella. iagio. nnarella.

Transcript

1 Crittosistema a Cifratura kpriv kpub kpub Devo cifrare il messaggio M ed inviarlo ad Crittografia a Chiave Pubblica iagio Crittografia a Chiave Pubblica 1 Cifratura Decifratura C Cifratura di M per C CIFR (kpub, M) kpub iagio Devo decifrare il messaggio cifrato C kpub C?? C? Crittografia a Chiave Pubblica 2 Crittografia a Chiave Pubblica 3 kpriv Decifratura kpub Decifratura di C M DECIFR (kpriv, C) C Crittografia a Chiave Pubblica 4 Teoria dei Numeri Crittosistemi a più comuni basati sulla Teoria dei Numeri both Gauss and lesser mathematicians may be justified in rejoicing that there is one science at any rate, and that their own, whose very remoteness from ordinary human activities keep it gentle and clean. G. H. Hardy, Mathematician s pology, 194 Crittografia a Chiave Pubblica 5

2 RS 1978 RS nel 23 Shamir Rivest dleman Sicurezza basata sulla difficoltà di fattorizzare Crittografia a Chiave Pubblica 6 Crittografia a Chiave Pubblica 7 Chiavi RS Cifratura RS (n,d) (n,e) n = pq p,q primi ed = 1 mod (p-1)(q-1) Crittografia a Chiave Pubblica 8 Devo cifrare il messaggio M ed inviarlo ad (n,e) iagio Crittografia a Chiave Pubblica 9 Cifratura RS Decifratura RS C Cifratura di M per C M e mod n (n,e) iagio Crittografia a Chiave Pubblica 1 Devo decifrare il messaggio cifrato C (n,e) C?? C? Crittografia a Chiave Pubblica 11

3 Decifratura RS Piccolo esempio: Chiavi RS (n,d) (n,e) Decifratura di C M C d mod n C Crittografia a Chiave Pubblica 12 (n=3337, d=119) (n (n = 3337, e = 79) 3337 = p = 47, q = 71 ed = = 1 mod 322 (p-1)(q-1) = 46 7 = 322 Crittografia a Chiave Pubblica 13 Esempio: Cifratura RS Esempio: Decifratura RS 157 Cifratura di M = 688 per mod 3337 (n (n = 3337, e = 79) iagio Crittografia a Chiave Pubblica 14 (n=3337, d=119) (n (n = 3337, e = 79) Decifratura di C = mod Crittografia a Chiave Pubblica 15 Piccolo esempio: Chiavi RS Esempio: Cifratura RS (n=55, d=27) (n (n = 55, e = 3) 3) 15 (n (n = 55, e = 3) 3) 55 = 11 5 p = 11, q = 5 ed = 3 27 = 1 mod 4 (p-1)(q-1) = 1 4 = 4 Crittografia a Chiave Pubblica 16 Cifratura di M = 5 per mod 55 iagio Crittografia a Chiave Pubblica 17

4 Esempio: Decifratura RS Esempio: Cifratura RS (n=55, d=27) (n (n = 55, e = 3) 3) Decifratura di C = mod (n (n = 55, e = 3) 3) 15 Crittografia a Chiave Pubblica 18 Cifratura di M = 5718 per mod 55 iagio Crittografia a Chiave Pubblica 19 Esempio: Decifratura RS Esempio: Decifratura RS (n=55, d=27) (n (n = 55, e = 3) 3) Decifratura di C = mod 55 (n=55, d=27) (n (n = 55, e = 3) 3) Decifratura di C = mod Crittografia a Chiave Pubblica Crittografia a Chiave Pubblica 21 Esempio: Decifratura RS Esempio corretto (n=55, d=27) (n (n = 55, e = 3) 3) Decifratura di C = mod mod Crittografia a Chiave Pubblica 22 15,13, Cifratura di mod mod mod 55 (n (n = 55, e = 3) 3) 55= iagio Crittografia a Chiave Pubblica 23

5 Esempio corretto Esempio: Decifratura RS 15,13, Cifratura di M = 5718 per mod mod mod 55 (n (n = 55, e = 3) 3) iagio Crittografia a Chiave Pubblica 24 (n=55, d=27) (n (n = 55, e = 3) 3) Decifratura di C = 15,13, mod mod mod 55 15,13,2 Crittografia a Chiave Pubblica 25 Esercizio Svolgere altro piccolo esempio RS Calcolo p, q Calcolo n Calcolo e, d Calcolo cifratura Calcolo decifratura Crittografia a ed a Vantaggi della crittografia a Chiavi private mai trasmesse Possibile la firma digitale Vantaggi della crittografia a Molto più veloce (ad es., DES è 1 volte più veloce di RS, in hardware tra 1. e 1. volte) Sufficiente in diverse situazioni (ad esempio, applicazioni per singolo ) Crittografia a Chiave Pubblica 26 Crittografia a Chiave Pubblica 27 Digital Envelope C 1,C 2 Cifratura di M per k genera chiave sessione C 1 CIFR (kpub, k) C 2 E (k, M) kpub iagio Crittografia a Chiave Pubblica 28 Digital Envelope: Decifratura kpriv kpub Decifratura di C,C 1 2 k DECIFR (kpriv, C 1 ) M D (k, C 2 ) C 1,C 2 Crittografia a Chiave Pubblica 29

6 Digital Envelope: vantaggi Correttezza decifratura RS Chiave di sessione solo per uno o pochi messaggi Molto più veloce della sola crittografia a Crittografia a Chiave Pubblica 3 C d mod n = (M e ) d mod n ed = 1 mod (p-1)(q-1) = M de mod n = M 1+r(p-1)(q-1) mod n = M mod n Teorema di Eulero = M x Z * n x (p-1)(q-1) =1 mod n poichè M<n Prova per tutti gli gli x mediante il il teorema del resto cinese Crittografia a Chiave Pubblica 31 Funzione di Eulero φ(n) = cardinalità di Z * n = { x <x<n tali che gcd(x,n)=1} φ(p) = p-1 se p primo φ(pq) = (p-1)(q-1) se p,q primi φ(n) = n 1 1 L 1 p 1 p 2 p k e1 e fattorizzazione n = p 1 p 2 ek 2... p k, p i primo, e i Leonhard Euler Teorema di Eulero x Z n * x φ(n) = 1 mod n Crittografia a Chiave Pubblica 32 Efficienza delle computazioni Come effettuare le computazioni? generazione di e Generazione e,d d e -1 mod (p-1)(q-1) Generazione numeri primi Crittografia a Chiave Pubblica 33 Metodo naive Calcolo di x y mod z Potenza_Modulare_naive (x, y, z) a 1 for i = 1 to y do a (a x) mod z return a Metodo naive Calcolo di x y mod z Potenza_Modulare_naive (x, y, y, z) z) a 1 for i i = 1 to y do a (a (a x) mod z return a Se y è di 512 bit, occorrono» operazioni Crittografia a Chiave Pubblica 34 Crittografia a Chiave Pubblica 35

7 Metodo left-to-right Calcolo di x y mod z y = y 2 + y y t 2 t Idea: y = y +2(y 1 + 2(y (y t-1 +2y t ))))) Esempio: 4 = = + (2 ( + 2 ( + (2 (1 + 2 ( + 2 1)))))) Crittografia a Chiave Pubblica 36 Metodo left-to-right Calcolo di x y mod z y = y 2 + y y t 2 t Idea: y = y +2(y 1 + 2(y (y t-1 +2y t ))))) x y = x y +2(y 1 +2(y 2 ++2(y t-1 +2y t ))))) = x y x 2(y 1 +2(y 2 ++2(y t-1 +2y t ))))) = x y (x y 1 +2(y 2 ++2(y t-1 +2y t ))))) ) 2 = x y (x y 1(x y 2 ++2(y t-1 +2y t ))))) ) 2 ) 2 = x y (x y 1( (x y t-1(x y t) 2 ) 2 ) 2 Crittografia a Chiave Pubblica 37 Metodo left-to-right Calcolo di x y mod z y = y 2 + y y t 2 t Idea: y = y +2(y (y t-1 +2y t ))))) x y = x y ( (x y t-1(x y t) 2 ) 2 ) 2 Esempio: x 4 4 = = + (2 ( + 2 ( + (2 (1 + 2 ( + 2 1)))))) x 4 = x ( x (x (x 1 (x (x 1 ) 2 ) 2 ) 2 ) 2 ) 2 Crittografia a Chiave Pubblica 38 Metodo left-to-right Calcolo di x y mod z y = y 2 + y y t 2 t Idea: y = y +2(y (y t-1 +2y t ))))) x y = x y ( (x y t-1(x y t) 2 ) 2 ) 2 Potenza_Modulare (x, y, y, z) z) left-to-right a 1 for i i = t downto do a (a (a a) a) mod z if if y i i = 1 then a (a x) mod z return a Crittografia a Chiave Pubblica 39 Metodo right-to-left Calcolo di x y mod z Idea: x y = x 2 y +2 1 y 1 +2 t y t y = y 2 + y y t 2 t = x 2 y x 21 y 1 x 2t y t = (x 2 ) y (x 21 ) y 1 (x 2t ) y t Metodo right-to-left Calcolo di x y mod z Idea: Esempio: x 4 y = y 2 + y y t 2 t x y = (x 2 ) y (x 21 ) y 1 (x 2t ) y t 4 = x 4 = (x 1 ) (x 2 ) (x 4 ) (x 8 ) 1 (x 16 ) (x 32 ) 1 Crittografia a Chiave Pubblica 4 Crittografia a Chiave Pubblica 41

8 Metodo right-to-left Calcolo di x y mod z Idea: Esempio: x 4 y = y 2 + y y t 2 t x y = (x 2 ) y (x 21 ) y 1 (x 2t ) y t 4 = x 4 = (x 1 ) (x 2 ) (x 4 ) (x 8 ) 1 (x 16 ) (x 32 ) 1 =1 =1 =1 =1 x 1 x 2 x 4 x 8 x 16 x 32 Crittografia a Chiave Pubblica 42 Metodo right-to-left Calcolo di x y mod z Idea: Esempio: x 4 y = y 2 + y y t 2 t x y = (x 2 ) y (x 21 ) y 1 (x 2t ) y t 4 = x 4 = (x 1 ) (x 2 ) (x 4 ) (x 8 ) 1 (x 16 ) (x 32 ) 1 =1 =1 =1 =1 x 4 = x 8 x 32 Crittografia a Chiave Pubblica 43 Metodo right-to-left Potenza_Modulare (x, y, y, z) z) if if y = then return 1 X x; x; P 1 if if y = 1 then X x for i i = 1 to t do X X X mod z if if y i i =1 then P P X mod z return P mod 1234 i yi X P Crittografia a Chiave Pubblica 44 Scelta esponente pubblico Minimizzare operazioni per elevazione a potenza e 3 e decimale binario 11 Crittografia a Chiave Pubblica 45 RS Performance Celeron 85MHz, Windows 2, Crypto++, 512 bit 512 bit 124 bit 124 bit cifratura decifratura cifratura decifratura 248 bit cifratura 248 bit decifratura millisecondi / operazione,14 1,93,32 1,23,89 64,13 Crittografia a Chiave Pubblica 46 Efficienza delle computazioni Come effettuare le computazioni? generazione di e Generazione e,d d e -1 mod (p-1)(q-1) Generazione numeri primi Crittografia a Chiave Pubblica 47

9 lgoritmo di Euclide lgoritmo di Euclide: Esempi Descritto negli Elementi di Euclide (circa 3. C.) Euclide (a,b) if if b = then return a else return Euclide (b, (b, a mod b) b) Teorema della ricorsione del gcd Per tutti gli interi a e b > gcd(a,b) = gcd(b,a mod b) Crittografia a Chiave Pubblica 48 Euclide (3,21) = Euclide (21,9) = Euclide (9,3) = Euclide (3,) = 3 Euclide (4864,3458) = Euclide (3458,146) = Euclide (146,646) = Euclide (646,114) = Euclide (114,76) = Euclide (76,38) = Euclide (38,) = 38 Crittografia a Chiave Pubblica 49 lgoritmo di Euclide: complessità lgoritmo di Euclide Esteso ssumiamo a b l massimo log b chiamate Per ogni chiamata O( (log a) 2 ) operazioni su bit Totale: al massimo O( (log a) 3 ) operazioni su bit Euclide (a,b) richiede al massimo O( (log a) 2 ) operazioni su bit Euclide-esteso (a,b) if if b = then return (a, (a, 1, 1, ) ) (d, x, y ) Euclide-esteso (b, (b, a mod b) b) (d, (d, x, x, y) y) (d, y, x - a/b y ) return (d, (d, x, x, y) y) Computa interi d, x, y tali che d = gcd(a,b) = ax+by Stesso running time asintotico di Euclide (a,b) Crittografia a Chiave Pubblica 5 Crittografia a Chiave Pubblica 51 lgoritmo di Euclide (iterativo) Soluzione di ax b (mod m) Euclide_iterativo (a,b) while b do r a mod b; b; a b; b; b r; r; return a Esercizio: versione iterativa di Euclide-esteso (a,b) Crittografia a Chiave Pubblica 52 Dati a, b, m calcolare x Esempi: 3x 7 (mod 8) soluzione 5 2x 4 (mod 8) soluzione 2,6 4x 2 (mod 8) nessuna soluzione Crittografia a Chiave Pubblica 53

10 Soluzione di ax b (mod m) Soluzione di ax 1 (mod m) Ha soluzioni se e solo se g b g = gcd(a,m) Ha soluzioni se e solo se gcd(a,m) =1 Se g b ci sono esattamente g distinte soluzioni mod m: b m x' + i per i =,1,, g-1 g g dove g = ax +my (da Euclide-esteso (a,m) ) Se gcd(a,m) =1 l unica soluzione mod n è: x dove 1 = ax +my (da Euclide-esteso (a,m) ) Tale soluzione viene denotata con a -1 mod m Crittografia a Chiave Pubblica 54 Crittografia a Chiave Pubblica 55 Soluzione di ax 1 (mod 8) Ha soluzioni se e solo se gcd(a,8) =1 1 = 1-1 mod 8 3 = 3-1 mod 8 5 = 5-1 mod 8 7 = 7-1 mod Crittografia a Chiave Pubblica 56 Soluzione di ax 1 (mod 7) Ha soluzioni se e solo se gcd(a,7) =1 1 = 1-1 mod 7 4 = 2-1 mod 7 5 = 3-1 mod 7 2 = 4-1 mod 7 3 = 5-1 mod 7 6 = 6-1 mod Crittografia a Chiave Pubblica Esempio: calcolo di 5-1 mod 7 Euclide-esteso (a,b) if if b = then return (a, (a, 1, 1, ) ) (d, x, y ) Euclide-esteso (b, (b, a mod b) b) (d, (d, x, x, y) y) (d, y, x - a/b y ) return (d, (d, x, x, y) y) a b 7 5 d = x a + y b = = 5-1 mod 7 1 d x y Crittografia a Chiave Pubblica 58 Efficienza delle computazioni Come effettuare le computazioni? generazione di e Generazione e,d d e -1 mod (p-1)(q-1) Generazione numeri primi Crittografia a Chiave Pubblica 59

11 Generazione chiavi 1. Input L (lunghezza modulo) 2. Genera 2 primi di di lunghezza L/2 3. n p q q 4. Scegli a caso e 5. If gcd ( e, e, (p-1)(q-1) ) = 1 then d e -1-1 mod (p-1)(q-1) else goto 4. Generazione chiavi (comunemente usata in pratica) 1. Input L (lunghezza modulo) 2. e 3 oppure e (= (= ) 3. Genera 2 primi di di lunghezza L/2 4. n p q q 5. If gcd ( e, e, (p-1)(q-1) ) = 1 then d e -1-1 mod (p-1)(q-1) else goto 3. Crittografia a Chiave Pubblica 6 Crittografia a Chiave Pubblica 61 Generazione di un primo grande Genera a caso un un dispari p di di grandezza appropriata Testa se se p è primo Se Se p è composto, go go to to1. Generazione di un primo grande Genera a caso un un dispari p di di grandezza appropriata Testa se se p è primo Se Se p è composto, go go to to1. Variante con sequenza di di ricerca Genera a caso un un dispari p di di grandezza appropriata Testa se se p è primo Se Se p è composto, p p+2, go go to to2. Crittografia a Chiave Pubblica 62 Crittografia a Chiave Pubblica 63 Distribuzione dei numeri primi Scelta di un primo di 512 bit π(x) = numero di primi in [2,x] Teorema dei numeri primi: Esempio: π(1 1 ) = Per x /ln ,9 (4% in meno) x ln x <p (x) < lim p (x) = 1 x x/ln x x ln x Crittografia a Chiave Pubblica 64 Scelto un intero in [2,2 512 ] la probabilità che sia primo è circa 1 su ln (ln ,89) Numero medio di tentativi 354,89 Se si scelgono solo dispari dimezza 177,44 Se si scelgono dispari in [2 511,2 512 ] probabilità è ( ) ln bit scelti a caso 2 ln ,79 Crittografia a Chiave Pubblica 65

12 Scelta di un primo di 124 bit Test di primalità Scelto un intero in [2,2 124 ] la probabilità che sia primo è circa 1 su ln (ln ,78) Numero medio di tentativi 79,78 Se si scelgono solo dispari dimezza 354,89 Se si scelgono dispari in [2 123,2 124 ] probabilità ( ) ln ln ,23 dleman, Pomerance e Rumely [1983] Complessità (lg p) O(lg lg lg p) grawal, Kayal, Saxena [gosto 22] Complessità del caso peggiore (lg p) 12 poly((lglg p)) 122 bit scelti a caso Crittografia a Chiave Pubblica 66 Crittografia a Chiave Pubblica 67 Test di primalità probabilistici p Test Primalità primo composto Certamente! Insieme di witness W(p) dato a [, p-1] è facile verificare se a W(p) se p è primo allora W(p) è vuoto se p è composto allora W(p) p/2 Probabilmente! Scelgo a Diminuizione della probabilità di errore Probabilità di errore (n è composto ma viene dichiarato primo) di tale test 1/2 Se il test viene ripetuto indipendentemente t volte allora la probabilità di errore (1/2) t Crittografia a Chiave Pubblica 68 Crittografia a Chiave Pubblica 69 Test di primalità probabilistici Test di Solovay-Strassen Pubblicato nel 1977 Probabilità di errore (1/2) t Test di Miller-Rabin Il più usato in pratica Il più veloce Probabilità di errore (1/4) t Test di Solovay-Strassen (a n) simbolo di Jacobi Criterio di Eulero: Sia n un primo dispari. gcd(a,n) = 1 a (n-1)/2 = (a n) mod n Sia n un numero composto dispari. {a : gcd(a,n) = 1 and a (n-1)/2 = (a n) mod n} φ(n)/2 Insieme di witness di Eulero W E (n) = {a : gcd(a,n)>1 oppure a (n-1)/2 (a n) mod n} Crittografia a Chiave Pubblica 7 Crittografia a Chiave Pubblica 71

13 Simbolo di Jacobi (a n) = (a p 1 ) e 1 (a p 2 ) e 2... (a p k ) e k (a p) = se p divide a 1 se a è un quadrato mod p -1 se a non è un quadrato mod p Simbolo di Legendre p primo (a p) = a (p-1)/2 mod p fattorizzazione dispari n = p 1 e1 p 2 e2... p k ek, p i primo, e i Può essere computato con O((log n) 2 ) operazioni su bit (a n) = gcd(a,n) > 1 a = b mod n (a n) = (b n) (ab n) = (a n) (b n) (2 n) = (-1) (n2-1)/8 (m n) = (n m) (-1) (n-1)(m-1)/4 Crittografia a Chiave Pubblica 72 Simbolo di Jacobi Può essere computato con O((log n) 2 ) operazioni su bit a = b modn (a n) = (b n) (ab n) = (a n) (b n) (2 n) = (-1) (n2-1)/8 (m n) = (n m) (-1) (n-1)(m-1)/4 Esempio: ( ) = (2 235) (79 235) = (-1) (235 79) (-1) (78)(234)/4 (78)(234)/4 = (77 79) = (79 77) (-1) (76)(78)/4 (76)(78)/4 = (2 77) = -1-1 Crittografia a Chiave Pubblica 73 Test di Miller-Rabin Insieme di witness di Miller-Rabin W MR (n) = {a : a r n-1 = 2 s 1 mod n and s r r con r r dispari a 2jr -1 mod n per ogni j [,s-1]} Se n è un primo dispari W MR (n) è vuoto Se n è un numero composto dispari (n 9) W MR (n) (3/4) φ(n) Witness di Miller-Rabin n=91 Witness di Miller-Rabin W MR (91) = {a : a 45 1 mod 91 and a 2j 45-1 mod 91 per ogni j [,]} Se n è un numero composto dispari W MR (n) (3/4) φ(n) Strong liars: elementi in {1,2,,9} / W MR (91) {1,9,1,12,16,17,22,29,38,53,62,69,74,75,79,81,82,9} Sono 18 = φ(91)/4 elementi = = Crittografia a Chiave Pubblica 74 Crittografia a Chiave Pubblica 75 Witness di Miller-Rabin n=15 Witness di Miller-Rabin W MR (15) = {a : a 13 1 mod and = a 2j 13-1 mod 15 per ogni j [,2]} Strong liars: elementi in {1,2,,14} / W MR (15) {1,14} Sono solo 2 < 12 = φ(15)/4 elementi 15 = In genere strong liars molto meno di f(n)/4 Fattorizzazione Dato n calcolare l unica fattorizzazione n = p 1 e 1 p 2 e 2... p k e k con p i primo ed e i Splitting di n: calcolare due interi a,b >1 (fattori non-triviali) tali che n = a b Crittografia a Chiave Pubblica 76 Crittografia a Chiave Pubblica 77

14 Fattorizzazione: un semplice algoritmo Fattorizzazione: complessità algoritmi Calcolo di un fattore primo: Per tutti i primi p in [2, n ] Complessità caso peggiore Θ( n) (accade se n = pq) Se p n allora p è fattore di n Se n ha 512 bit allora n Crittografia a Chiave Pubblica 78 Complessità di tempo sub-esponenziale in media L q [a,c] = O(e (c+o(1))(ln q)a (lnln q) 1-a ) con c > ed < a < 1 lgoritmo basato su curve ellittiche: L n [ 1/2, 1] Quadratic sieve: L n [ 1/2, 1] General number field sieve: L n [ 1/3, 1.923] il più veloce Crittografia a Chiave Pubblica 79 Quadratic sieve in pratica Quadratic sieve è migliore dell algoritmo basato su curve ellittiche Implementazioni del Quadratic sieve anno numero digit mips per anno = 425 bit 1 mips per anno = 1 anno su VX 11/78» istruzioni RS computer per 8 mesi factoring by Crittografia a Chiave Pubblica 8 General Number field sieve in pratica General Number field sieve è migliore del Quadratic sieve solo per interi di almeno cifre decimali RS-13, fattorizzato nel 1996 con 5 mips per anno RS-14, fattorizzato il 2 febbraio 1999, elapsed time 9 settimane RS-155, fattorizzato il 22 agosto 1999, con 8. mips per anno, elapsed time 7,4 mesi MHz MHzSGI and and Sun Sunworkstations MHz MHzSGI Origin2 processors bit! MHzPentiumII PCs PCs MHz MHzDigital/Compaq boxes boxes Crittografia a Chiave Pubblica 81 Calcolo di fattori piccoli lgoritmi per calcolare un fattore p di n: lgoritmo Rho di Pollard: tempo medio O( p) lgoritmo basato su curve ellittiche: tempo medio L p [1/2, 2] = O(e ( 2+o(1))(ln q)1/2 (lnln q) 1/2 ) I numeri più difficili da fattorizzare sono del tipo n = pq con p,q primi della stessa lunghezza Crittografia a Chiave Pubblica 82 Una strategia generale per fattorizzare Cerca fattori piccoli Prova divisione per alcuni piccoli primi (2,3,5,7,) Prova algoritmo Rho di Pollard Prova algoritmo basato su curve ellittiche Cerca fattori grandi Prova Quadratic sieve oppure GeneralNumber field sieve Crittografia a Chiave Pubblica 83

15 Che modulo scegliere? d oggi, i numeri più difficili da fattorizzare sono del tipo n = p q con p,q primi della stessa lunghezza e di almeno (per essere tranquilli!) 768 bit ( = 23 digit) per uso personale 124 bit per le aziende 248 per chiavi importanti ad esempio utorità di Certificazione Crittografia a Chiave Pubblica 84 Intrattabilità della fattorizzazione La sicurezza di molte tecniche crittografiche si basa sulla intrattabilità della fattorizzazione: crittosistema RS, Rabin firme digitali RS Crittografia a Chiave Pubblica 85 Sicurezza di RS Se potesse fattorizzare 1. Fattorizza n 2. Computa (p-1)(q-1) 3. Computa d e -1-1 mod (p-1)(q-1) Sicurezza di RS Se potesse computare ϕ(n)=(p-1)(q-1) potrebbe calcolare d e -1 mod (p-1)(q-1) Crittografia a Chiave Pubblica 86 Crittografia a Chiave Pubblica 87 Sicurezza di RS Se potesse computare ϕ(n)=(p-1)(q-1), potrebbe calcolare d e -1 mod (p-1)(q-1) n = pq sostituendo p = n/q ϕ(n) = (p-1)(q-1) p 2 - (n-ϕ(n)+1)p + n = Due soluzioni: p,q Crittografia a Chiave Pubblica 88 Se potesse computare ϕ(n) = (p-1)(q-1), potrebbe calcolare d e -1 mod (p-1)(q-1) n = pq ϕ(n) = (p-1)(q-1) Sicurezza di RS sostituendo p = n/q p 2 - (n-ϕ(n)+1)p + n = = pq p p = = (p-1)(q-1) radici: 9539 e 8887 Crittografia a Chiave Pubblica 89

16 Sicurezza di RS Sicurezza di RS Se potesse computare d Se potesse computare d ma questo è computazionalmente equivalente a fattorizzare! Crittografia a Chiave Pubblica 9 Crittografia a Chiave Pubblica 91 Sicurezza di RS Sicurezza di RS Se potesse computare d ma questo è computazionalmente equivalente a fattorizzare! Se potesse computare d ma questo è computazionalmente equivalente a fattorizzare! Un algoritmo che computa d (con input n,e) può essere usato come oracolo in in un algoritmo Las Vegas che fattorizza n con probabilità 1/2 n, e, d lgoritmo Las Vegas fattorizzazione di n con probabilità 1/2 Crittografia a Chiave Pubblica 92 Crittografia a Chiave Pubblica 93 Modifica Chiavi RS E E stato scoperto d. d. file Cambio pubblico solo gli gli esponenti e,d e,d lasciando n (n,e) Piccoli messaggi Posso cifrare un solo digit,1,,9 con RS? C M e mod n Esempio: mod Crittografia a Chiave Pubblica 94 Crittografia a Chiave Pubblica 95

17 Piccoli messaggi Posso cifrare un solo digit,1,,9 con RS? C M e mod n Proprietà moltiplicativa di RS Proprietà di omomorfismo C 1 = M e 1 mod n (M 1 M 2 ) e = M e 1 M e 2 = C 1 C 2 mod n C 2 = M e 2 mod n Esempio: mod Se M < n 1/e allora uso di Digital Envelope salting del messaggio M Crittografia a Chiave Pubblica 96 Crittografia a Chiave Pubblica 97 Proprietà moltiplicativa di RS C 1 = M e 1 mod n (M 1 M 2 ) e = M e 1 M e 2 = C 1 C 2 mod n C 2 = M e 2 mod n Chosen-ciphertext attack adattivo Obiettivo: decifrare C (= M e mod n) Scelgo x a caso Decifrazione (d,n) C' C x e mod n M' (C') d mod n M' = (C') d =(C x e ) d = C d x mod n M M' x -1 mod n Crittografia a Chiave Pubblica 98 ttacchi ad RS Piccolo esponente pubblico (ad es., e = 3) Stesso messaggio inviato a più utenti ttacchi ad implementazioni: Timing ttack Random Faults ttacco di Bleichenbacher [1998 ] su PKCS 1 (vecchia versione): uso del Web browser come oracolo! 2 Random M 16 bit Crittografia a Chiave Pubblica 99 Informazioni parziali per RS Dato C potrebbero esserci informazioni parziali sul messaggio M facili da ottenere (senza dover decifrare C! ) e difficili? C = M e mod n hard bit : ultimi c loglog n bit Un bit facile per RS C = M e mod n E facile calcolare il simbolo di Jacobi del testo in chiaro (C n) = (M e n) = (M n) e = (M n) Crittografia a Chiave Pubblica 1 Crittografia a Chiave Pubblica 11

18 Un bit difficile per RS Un bit difficile per RS half n,e (C) = se M < n/2 1 se M > n/2 se M < n/2 half n,e (C) = 1 se M > n/2 Calcolare half n,e ( ) è computazionalmente equivalente ad invertire RS C Calcola half n,e n,e ( ) ( ) half n,e (C) C Decifra n,e n,e,e M Calcola half half n,e ( ) n,e ( ) Crittografia a Chiave Pubblica 12 Crittografia a Chiave Pubblica 13 Un bit difficile per RS half n,e (C) = se M < n/2 1 se M > n/2 half n,e (C) = 1 M n/2 n Crittografia a Chiave Pubblica 14 Un bit difficile per RS half n,e (C) = C C (2 e mod n) se M < n/2 1 se M > n/2 C = (2 M) e mod n half n,e (C ) = 1 1 M n/4 n/2 3n/4 n Crittografia a Chiave Pubblica 15 Un bit difficile per RS se M < n/2 half n,e (C) = 1 se M > n/2 C C (4 e mod n) C = (4 M) e mod n Un bit difficile per RS Ricerca binaria Dopo log n chiamate ad half n,e ( ) l intervallo consta di un solo valore half n,e (C ) = M n/8 n/4 3n/8 n/2 5n/8 3n/4 7n/8 n Crittografia a Chiave Pubblica 16 Crittografia a Chiave Pubblica 17

19 Predicato parità C = M e mod n parità n,e (C) = bit meno significativo di M I predicati parità n,e ( ) e half n,e ( ) sono computazionalmente equivalenti half n,e (M e mod n) = parità n,e ((2M) e mod n) half n,e n,e n,e (C) = parità n,e ( C (2 e mod n) mod n ) parità n,e n,e -1 n,e (C) = half n,e ( C ((2-1 ) e mod n) mod n ) Crittografia a Chiave Pubblica 18 Crittografia probabilistica Testo in chiaro Testo cifrato M = M 1 M 2 M 3 C = C 1 C 2 C 3 M i = predicato_difficile (C i ) Ora, un semplice esempio Crittografia a Chiave Pubblica 19 Piccolo esempio: Chiavi RS Crittografia probabilistica (n=55, d=27) (n (n = 55, e = 3) 3) 55 = 11 5 p = 11, q = 5 ed = 3 27 = 1 mod 4 (p-1)(q-1) = 1 4 = 4 Crittografia a Chiave Pubblica 11 Testo in chiaro M = 1 Testo cifrato C = 3 3 mod mod 55 M i = half 55,3 (C i ) half 55,3 (C) = se M < 55/2 1 se M > 55/2 Crittografia a Chiave Pubblica 111 lcuni Crittosistemi a RS [1977] (fattorizzazione) Merkle-Hellman [1978] (zaino -1) rotto! Molte varianti rotte! Resiste Chor-Rivest [1988] Rabin [1979] (fattorizzazione) McEliece [1978] (decodifica codici lineari) El-Gamal [1984] (logaritmo discreto) Uso di curve ellittiche [1985] curve iperellittiche [1989] automi cellulari [1985] Funzioni one-way Facili da calcolare e difficili da invertire Crittografia a Chiave Pubblica 112 Crittografia a Chiave Pubblica 113

20 Funzioni one-way trapdoor Facili da calcolare e difficili da invertire a meno che si conosca una trapdoor lcuni brevetti software (US) numero oggetto inventore scadenza DES Ehrsam ed al Diffie-Hellman Hellman, Diffie, Merkle Critt. Helman, Merkle Pohling-Hellman Hellman, Pohling 3 gen RS Rivest, Shamir, dleman 2 sett Shamir-Fiat Shamir, Fiat Vettori di controllo Matyas, Meyer, Bracht Guillou-Quisquater Guillou-Quisquater DS Kravitz IDE Massey-Lai Fair Cryptosystems Micali 211 Crittografia a Chiave Pubblica 114 Crittografia a Chiave Pubblica 115 Export dagli US International Traffic in rms Regulations (ITR) [1989] United States Munitions List Strong encryption RS lunghezza chiave 512 bit cifrari a blocco (DES, IDE, RC6,) lunghezza chiave 4 bit eccetto se limitato a non deve essere facilmente controllo accessi (ad es., TM) utilizzabile per cifrare! autenticazione dati (ad es., MC, firme) Permesso dal Department of Commerce, ad es. Cybercash, cifratura RS 768 bit per transazioni finanziarie Gennaio 2: export più facile eccetto verso Cuba, Iran, Iraq, Libia, Corea del Nord, Sudan, Siria Crittografia a Chiave Pubblica 116