Dalla firma digitale ai bitcoin: il potere nascosto della crittografia Prof. Marco Mezzalama

Transcript

1 Dalla firma digitale ai bitcoin: il potere nascosto della crittografia Prof. Marco Mezzalama Politecnico di Torino gennaio 2019

2 La storia della crittografia 4500 a.c. Cifrario di Cesare Leon Battista Alberti ( )

3 La storia della crittografia Alan Turing ( ) Enigma (1932)

4 Crittografia Il contesto applicativo: riservatezza autenticazione scambio chiavi segrete firma digitale

5 Crittografia Gli algoritmi crittografici possono essere classificati in tre categorie: algoritmi a chiave segreta (alg. simmetrici) algoritmi a chiave pubblica (alg. asimmetrici) algoritmi di hash (digest, impronta, firma digitale)

6 Testo in chiaro (plaintext, T) testo cifrato (ciphertext, C) coppia di chiavi k1 e k2 algoritmo di cifratura, E: C = E(T, K1) algoritmo di decifratura, D: T = D(C, K2) Segretezza: algoritmi, E e/o D chiavi k1 e/o k2 Crittografia

7 Crittografia k1 Mittente messaggio Destinatario messaggio k2 crittografia(e) decrittografia(d) messaggio cifrato

8 Il frullino crittografico La chiave di selezione del programma

9 Il frullino crittografico. simmetrico

10 Crittografia (cifrario di Atbash) Il libro di Geremia nella Bibbia usa un semplicissimo cifrario monoalfabetico per cifrare la parola Babele; la prima lettera dell'alfabeto ebraico (Aleph) viene cifrata con l'ultima (Taw), la seconda (Beth) viene cifrata con la penultima (Shin) e così via; da queste quattro lettere è derivato il nome di Atbash (A con T, B con SH) per questo codice.

11 Crittografia (cifrario di Cesare) Attenzione! Asterix ci ascolta!

12 Tecniche di sostituzione A D B E C F. W Z X A Y B Z C Ad ogni lettera si sostituisce quella che la segue spostata di un numero fisso di posizioni C = (lettera + 3)mod26 Chiave segreta

13 ATTACCO: DOMANI

14 DYYDFFR: GRPDQN K = 3

15 Tecniche di trasposizione Testo = MARCO MEZZALAMA. Algoritmo =prendo due simboli e li inverto con i successivi (chiave = 2,2) Testo = MA RC O ME ZZ AL AM A. Testo cifrato = RCMAMEO ALZZA.AM

16 Crittografia - DES tratta blocchi di dati da 64 bit operando trasposizioni (inversione posizione di gruppi di bit) sostituzione (EXOR con chiave) noto algoritmo (E=D) segreto: chiavi k1=k2 e a volte vettore di inizializzazione

17 Crittografia - DES tratta blocchi di dati da 64 bit operando trasposizioni (inversione posizione di gruppi di bit) sostituzione (EXOR con chiave) noto algoritmo (E=D) segreto: chiavi k1=k2 e a volte vettore di inizializzazione

18 Crittografia a chiave segreta DES Data Encryption Standard chiave a 56 bit TRIPLO DES 168 bit chiave T DES DES DES C K a K b K c

19 Lunghezza della chiavi crittografiche simm asimm bassa sicurezza alta sicurezza

20 Principali algoritmi di crittografia simmetrica Algoritmo Chiave Blocco Base Applicazione tipica DES Triplo DES 56 bit 112o168 bit 64 bit 64 bit Bancaria, networking, Internet (SSL, S/MIME) IDEA 128 bit 64 bit (PGP) RC bit 64 bit Internet (SSL, S/MIME) RC4 Ignota Stream Internet (SSL, S/MIME) RC bit bit WAP AES bit 128 bit applicazioni bancarie

21 BANCOMAT Prelievo dalla propria banca Prelievo da altra banca

22 BANCOMAT Sulla tessera magnetica è memorizzato il numero di conto corrente Il numero di conto corrente mediante cifratura DES o 3DES viene inviato al modulo crittografico HSM (Hardware Secure Module) che ricava il PIN e lo verifica con quello introdotto Se la verifica è positiva il bancomat viene abilitato Il DES o 3DES adopera una chiave segreta nota solo al ATM e HSM

23 Crittografia e vita comune Come tener segreto il numero di bancomat 1.Considerare il numero di bancomat: «12543» 2.Scegliere un numero che non dimentichiamo (il numero civico, la data di nascita,..): «13» 3.Sommare ad ogni cifra del bancomat il numero noto: «(13+1) (13+2) (13+5) (13+4) (13+3)» 4.Ottenere così la nuova sequenza: « » La nuova sequenza NON è più segreta!

24 Distribuzione delle chiavi chiave segreta condivisa

25 Distribuzione delle chiavi Come distribuisco la mia out-of-band in-band

26 Crittografia a chiavi asimmetriche Chiave pubblica/chiave privata Certificato Bailey Whitfield 'Whit' Diffie Martin Edward Hellman

27 Crittografia a chiavi asimmetriche RSA (1977) River, Shamir, Adelman (MIT)

28 Il frullino crittografico. asimmetrico

29 k1 k2 Crittografia a chiave pubblica K1 = Kpub = chiave pubblica K2 = Kpri = chiave privata algoritmi asimmetrici coppie di chiavi (pubblica e privata) ruolo delle chiavi interscambiabile alto carico computazionale

30 Crittografia a chiave pubblica si basa sulle funzioni unidirezionali: y = f(x) complessità bassa (P) x = f --1 (y) complessità molto alta (NP) Esempi: elevazione potenza: 3 4 = 3x3x3x3=81 ma, logaritmo: log 3 81 =? Fattorizzazione (scomposizione in fattori primi) di numeri grandi con fattori grandi (dato un numero intero positivo esiste una sola sequenza di numeri primi uguale al numero dato) Il tutto complicato nell operare in algebra mod n

31 Crittografia a chiave pubblica usato per distribuire chiavi segrete e per la firma elettronica RSA (Rivest - Shamir - Adleman) brevettato da RSA DSA (Digital Signature Algoritm) standard Diffie-Hellman scambio chiavi

32 Ognuno ha la sua coppia di chiavi asimmetriche.. Chiave privata di marco Chiave pubbliche di marco Chiave privata di giulia Chiave pubblica di giulia

33 Crittografia a chiavi asimmetriche chiave pubblica chiave privata

34 La serratura asimmetrica Se chiudo con la chiave Se chiudo con la chiave apro solo apro solo

35 Segretezza (la trasmissione della carta di credito) (messaggio da marco a giulia) testo testo Chiavi pubbliche di marco lella giulia francy Chiave privata di giulia

36 Autenticazione (la firma digitale) (di un messaggio da marco a giulia) testo testo Chiave privata di marco Chiavi pubbliche di giulia lella marco francy

37 Crittografia RSA algoritmo ideato da Rivest, Shamir e Adleman utilizza come base il calcolo della funzione: f = c k mod n la difficoltà di rompere il codice è paragonabile alla difficoltà di fattorizzare numeri interi molto grandi (n), prodotto di numeri primi Robustezza: RSA 129 (129 cifre) richiede 4600 MIPS-anni

38 Crittografia RSA 1. si scelgono a caso due numeri primi, p e q abbastanza grandi da garantire la sicurezza dell'algoritmo (ad esempio, il più grande numero RSA, RSA-2048, utilizza due numeri primi lunghi più di 300 cifre decimali) 2. si calcolano il loro prodotto n = pq, chiamato modulo (dato che tutta l'aritmetica seguente è modulo n), e il prodotto f(n) = (p-1)(q-1). Si considera che la fattorizzazione di n è segreta e solo chi sceglie i due numeri primi, p e q, la conosce

39 Crittografia RSA 3. si sceglie poi un numero e (chiamato esponente pubblico), coprimo (primi tra di loro) e più piccolo di f(n) 4. si calcola il numero d (chiamato esponente privato) tale che il suo prodotto con e sia congruo ad 1 modulo f(n) ovvero che e*d = 1 mod(f(n)) La chiave pubblica è (n, e), mentre la chiave privata è (n, d). I due numeri primi p e q possono essere distrutti La forza dell'algoritmo sta nel fatto che per calcolare d da e o viceversa, non basta la conoscenza di n, ma serve il numero f(n)=(p-1)(q-1) e che il suo calcolo richiede tempi molto elevati; infatti fattorizzare in numeri primi (cioè scomporre un numero nei suoi divisori primi) è un'operazione molto lenta.

40 Esempio 1. p=3 e q=11 2. n=p*q=3*11=33 e f(n)=(p-1)(q-1)=2*10=20 3. prendo e=7, dato che e<20 ed e è coprimo di 20 (non è necessario che e sia primo) 4. d=3, infatti ed=7*3=21 =1 mod(20) poiché 21/20=1 con resto 1 Quindi abbiamo la chiave privata (33,3) e la chiave pubblica (33,7) (il fatto che d sia uguale a p è puramente casuale)

41 Prendiamo ora in considerazione il messaggio m = 15 e cifriamolo per ottenere il messaggio cifrato c, ovviamente possiamo usare 33 e 7, ma non 3 che fa parte della chiave privata. c = m^e mod(n)=15^7 mod(33)=27 E ora decifriamo c = 27 per ottenere m ; qui utilizzeremo 3, componente essenziale della chiave privata. m=c^d mod(n)=27^3 mod(33)=15 Quindi alla fine abbiamo decrittato il messaggio.

42 Crittografia RSA Dato un testo T: Kpub = (e, n) = (5,119) Kpri = (d, n) = (77,119) C = T e (mod n) T = C d (mod n) La difficoltà crittografica consiste nel ricavare d, noti e ed n, in pratica nel fattorizzare n=p*q nei suoi fattori primi

43 Applicazioni crittografia asimmetrica Realizzazione canali sicuri (distribuzione chiavi segrete) firma digitale

44 Canale sicuro Mi serve il tuo numero di carta di credito

45 Canale sicuro 1. Kpub 2. n. VISA Kpub Kpri

46 Firma digitale Documenti digitali Contratti digitali Posta elettronica certificata (pec) Autenticazione siti web (https) Certificazione software (app)

47 Il Bignami digitale

48 Message digest (hash) è un riassunto del messaggio che si vuole proteggere allo scopo si usano algoritmi di hash: MD5, genera un digest di 128 bit SHA, genera un digest di 160 bit RIPEMD 160, genera un digest di 160 bit messaggio digest hash

49 Lunghezza del digest importante per evitare collisioni: md1 = H (testo 1) md2 = H (testo 2) se testo 1 testo 2 si vorrebbe avere md1 md2 probabilità di collisione: P ~ 1 / 2 Nbit occorrono quindi digest con molti bit (perchè si tratta di eventi statistici)

50 Message digest o IMPRONTA Campo applicazione: integrità/rivelazione errori autenticazione firma digitale

51 Autenticazione L autenticazione dei messaggi deve provare: messaggio provenga dal mittente dichiarato il contenuto non sia alterato la sequenza sia corretta il messaggio sia giunto al destinatario

52 Integrità messaggio digest messaggio digest In fase di ricezione si decifra il messaggio e lo si confronta

53 Message digest o IMPRONTA Per evitare che il messaggio venga alterato modificando contestualmente il digest, questo viene cifrato messaggio Digest cifrato

54 Applicazioni crittografia asimmetrica firma digitale

55 FIRMA DIGITALE Algoritmo per identità del soggetto Algoritmo per il non ripudio Algoritmo per la integrità del documento Algoritmo crittografia a chiave pubblica Algoritmo di hash Certificato a chiave pubblica

56 Mittente dati da firmare message digest Firma digitale chiave del mittente Destinatario dati ricevuti message digest md Kpri Kpub md R md F =? algoritmo asimmetrico algoritmo asimmetrico digital signature

57 Firma digitale testo Firma: f(testo),kpri(marco) Firma di A Controllo integrità del messaggio NON mi dà garanzia mittente

58 Il dilemma 1. Dove trovo la Kpub? 2. Chi mi garantisce che sia proprio lui?

59 Certificato a chiave pubblica La sola firma con una coppia di chiavi non mi garantisce la corrispondenza con un soggetto fisico marco Chi è Marco? Sarà proprio la firma di Marco?

60 Certificato a chiave pubblica È necessario un certificato d autenticità che garantisca in modo esplicito l identità del soggetto (SIGILLO marco Riconosco il timbro?

61 In God we trust.... All Other must submit an X.509 certificate Certifico che la seguente è la chiave pubblica di Mezzalama: Firmato: il presidente MATTARELLA

62 Certificato a chiave pubblica Una struttura dati per legare in modo sicuro una chiave pubblica ad alcuni attributi tipicamente lega una chiave ad un identità personale, ma anche informatica firmato in modo elettronico dall emettitore: una persona fidata o - meglio - l autorità di certificazione ( CA ) con scadenza temporale revocabile sia dall utente sia dall emettitore

63 Certificato a chiave pubblica Consegnate al messaggero 1000 ducati d argento marco testo Firma di A Certificato di marco Firmato: il re

64 Firma digitale testo Firma: f(testo),kpri(marco) Firma di A certificato CA Certificato: - nome - Kpub(MARCO) -CA

65 Firma digitale testo Firma: f(testo),kpri(marco) Firma di A certificato CA Certificato: - nome - Kpub(MARCO) -CA CA - Firma CA f(nome,kpub,ca),kpri(ca)

66 certificato X.509v3 1. versione algorit di firma RSA with MD2, issuer C = IT, O = Polito, OU=CA 4. validità 1/1/96-31/12/02 5. soggetto C = IT, O = Polito, CN = Marco Mezzalama 6. chiave pub. RSA, 1024, xxx... di Marco firma digitale impronta (1-6) firmata della CA con Kpri della CA

67 Autorità di certificazione Una autorità accreditata da un insieme di utenti per creare ed assegnare certificati a chiave pubblica Deve gestire una PKI (Public Key Infrastructure) Può essere riconosciuta ufficialmente o de-facto da una comunità di utenti problema: mutuo riconoscimento

68 Autorità di certificazione (1) Kpub, Barbara Certification Authority (1) Kpri (4) cert (Barbara,Kpub) (3) OK Registration Authority (2) barbara

69 BITCOIN Le origini di Bitcoin, per lo meno quelle a noi note, risalgono all agosto del 2008, quando viene registrato il dominio Bitcoin.org. Si tratta solo della prima mossa, volta ad anticipare la pubblicazione del Whitepaper di Bitcoin, firmato da Satoshi Nakamoto. Proprio il 31 Ottobre 2008 infatti, viene pubblicato un link ad un documento intitolato Bitcoin: A Peer-to-Peer Electronic Cash System.

70 BITCOIN

71 BITCOIN e BLOCKCHAIN Trasferire denaro digitale è diverso da inviare una foto su internet: la foto rimane anche sul computer del mittente il denaro deve passare! 1)

72 BITCOIN e BLOCKCHAIN Trasferire denaro digitale è diverso da inviare una foto su internet: la foto rimane anche sul computer del mittente il denaro deve passare! 2)

73 Sistemi centralizzati vs distribuiti Con o senza intermediari

74 Il registro (ledger =libro mastro) Nel registro i nomi sono sostituiti da sequenze alfanumeriche per garantire la privacy(una sorta di IBAN che identifica un conto ma non il possessore) Il registro è memorizzato in tutti i nodi della rete

75 Il registro distribuito

76 Il registro distribuito e immutabile hash hash Il registro è costituito da tanti blocchi, uno per ogni transazione. I blocchi sono tutti «legati» in modo indissolubile mediante vincoli interdipendenti che non permettono modifiche o riscritture Hash nuovo

77 La transazione Il messaggio che riporta la transazione è firmato con chiave privata e inviato con chiave pubblica a tutti i nodi

78 La transazione La transazione è inviata a tutti i nodi della rete che ne verificano la validità sulla base della firma

79 Il meccanismo di consenso I validatori che hanno ricevuto la transazione devono mettersi d accordo per garantire una unica, vera, autentica scrittura di un nuovo blocco uguale in tutte le copie del registro. I validatori votano se accettare o no la transazione mediante un opportuno protocollo di rete Per poter votare devono risolvere un problema matematico complesso risolvibile attraverso tentativi casuali: chi arriva primo vince e chi arriva primo è statisticamente casuale. Chi vince determina la transazione da scrivere nel registro di tutti e vince un premio.

80