intruso Sicurezza dei dati Sistema informatico dati S & D impiegano una codifica dei dati non standard e/o ridondante

Transcript

1 intruso ittente destinatario Sicurezza dei dati Sistea inforatico I S dati D S & D ipiegano una codifica dei dati non standard e/o ridondante Funzioni software sicure Blocchi di hardware sicuro

2 Trasforazioni per la Sicurezza 1: algoriti S Ts Td D 2: protocolli A T1 Terza parte fidata: Arbitro o Giudice Partecipanti alintenzionati?.. può darsi! T2 B T4 T3 Meccanisi PROTOCOLLI 1: 2: 3:... 1: 2: 3:... A&B 1: 2: 3:... 1: 2: 3:... 1: 2: 3:... 1: 2: 3:... A A&B&C ALGORITMI RNG E S Z H PRNG D V Z -1

3 2.1 Che cos è la Crittografia? 2.2 Che cos è la Crittanalisi? 2.3 Quali sono i principi di difesa? Crittografia e Crittanalisi CRITTOLOGIA CRITTOGRAFIA CRITTANALISI efficienza trasforazione efficacia Algoriti e Protocolli per la sicurezza robustezza risorse tepo riservatezza autenticità integrità identità

4 Algoriti coplessi Crittografia classica Algoriti seplici Crittografia oderna Teoria degli algoriti Teoria dell inforazione Teoria dei nueri Teoria della probabilità I Principi della Difesa Ipossibilità di sapere intruso 1: Trasforazioni segrete 2: Calcoli ipossibili Ipossibilità di indovinare Ipossibilità di dedurre

5 Trasforazioni per la Sicurezza Ti S Ts difficoltàc facilità (entrabe) Td D segretezza (aleno una) Tutti gli algoriti corrispondenti ad azioni lecite devono essere facili Tutti gli algoriti corrispondenti ad azioni illecite devono essere difficili Trasforazioni per la sicurezza riservatezza

6 Elaborazioni per la Riservatezza di un Messaggio R2:"la sorgente trasfora la rappresentazione originaria delle inforazioni riservate in una rappresentazione che le renda apparenteente incoprensibili; la destinazione è l unica a saper eseguire la trasforazione inversa". S plaintext e encryption ciphertext 1: Flusso bidirezionale c 2: On line? Segreto d 3: S = D I decryption Sicurezza perfetta: da c non si ipara nulla di più di quello che si sapeva già R3: i calcoli per ettere in chiaro un testo cifrato senza conoscere l algorito di decifrazione? devono essere difficili D Trasforazioni per la sicurezza integrità

7 Minacce all integrità n bit b 1 b 2 b 3 b n Inserzione Cancellazione Spostaento Inversione di uno o più bit Integrità: rilevazione di attacchi intenzionali R6: la sorgente deve affiancare al docuento un riassunto che ne rappresenti in odo univoco il contenuto e l origine; la destinazione deve poter verificare l autenticità e la congruenza del riassunto Stringa di lunghezza arbitraria Funzione hash crittografica facile da eseguire risposta iprevedibile riassunto (digest) o ipronta (finger-print) di un docuento Stringa di lunghezza fissa H h = H() Hash seplice: facile trovare una collisione (codice di ridondanza) R7: i calcoli per costruire due essaggi con la stessa ipronta devono essere difficili da eseguire

8 Accertaento dell integrità h H canale sicuro H =? Si/No A B 1. P= H() 2. C=E(p) 3. P*=D(C*) =* H()* 4. H()= H()*?

9 Trasforazioni per la sicurezza autenticità Elaborazioni per l autenticazione di un essaggio R4:"la sorgente trasfora il docuento, aggiungendogli inforazioni atte ad attestare coe è fatta la sua rappresentazione originaria e chi l'ha predisposta; la destinazione esegue una trasforazione che ripristina la fora originaria del docuento dopo averne verificato gli attestati ". sign verify 1: On line? c S Segreto s 2: S = D v D? R5: i calcoli per costruire un essaggio apparenteente autentico senza conoscere la trasforazione della sorgente devono essere difficili I

10 Attestazione e verifica di integrità ed origine A H S c V H B Sono equivalenti? =? Si/No A H c S B S =? H Si/No Trasforazioni per la sicurezza identità

11 Anoniato/Identificazione Applicazioni Anoniato Voto elettronico Moneta elettronica Real-tie Identificazione efficienza Controllo d accesso Sicurezza Servizi a pagaento falsi positivi Identificazione utua falsi negativi Struenti di identificazione acchina conoscenza password, PIN, key token, banda agn., sart card possesso uoo conforità dato bioetrico fisiologico coportaentale

12 Il protocollo d identificazione identificando T 1.1 ID dato segreto 1: registrazione attacchi 1: dichiarazione verificatore terine di paragone T 1.2 T 2.2 2: interrogazione T 2.1 T 3.1 3: diostrazione R8: univocità del tepo e dell Entità R9: iitazione calcolo difficile furto e replica T 3.2 SI NO Diostrazione di conoscenza passiva (o debole) A B: segreto psw one-tie psw attiva ( o forte) A B: F i (segreto) challenge/response zero knowledge identificazione passiva attiva unilaterale SI SI reciproca NO SI

13 Trasforazioni per la sicurezza coplessità coputazionale Calcoli FACILI e Calcoli DIFFICILI Teoria della Coplessità coputazionale Indicatori di coplessità: tepo di esecuzione, eoria occupata dal prograa, stack, ecc. start dato n bit di ingresso Calcolatore Prograa Algorito passo operazione Tepo di esecuzione N: n di operazioni eseguite

14 Misura della coplessità di un algorito Tepo di esecuzione di un algorito: nuero di operazioni N che occorre eseguire per terinarlo quando il dato d ingresso è rappresentato da una stringa di n bit (n = log [valore del dato]) N = f(n) In generale, a parità di n, si hanno diversi valori di N. Tepo di esecuzione nel caso peggiore: nuero assio di operazioni N ax che occorre eseguire per qualsiasi dato d ingresso di n bit N ax = f(n) Si considera la odalità d increento di N ax al crescere senza liiti di n Andaento asintotico del tepo di esecuzione nel caso peggiore detto Ordine di grandezza del tepo di esecuzione: T = O(g(n)) ove g(n) è una funzione tale che 0 f(n) c.g(n) per n n 0 e c cost. La notazione del grande O T T = O(g(n)) c.g(n) f(n) n 0 Se è nota l espressione di f(n), si considera coe g(n) il terine di f(n) che cresce più rapidaente con n n

15 Classificazioni Classificazione degli algoriti 1. con tepo polinoiale: T = O(n t ) con t esponente più grande in g(n), 2. con tepo esponenziale: T = O(b n ), con b costante, o anche T = O(exp (n)) Classificazione dei problei 1. tipo P o facile se esiste un algorito polinoiale in grado di risolverlo su una acchina di Turing deterinistica, 2. tipo NP se è possibile, con una acchina di T. non deterinistica, verificare in tepo polinoiale che una congettura è una soluzione. N.B. I problei P sono anche NP, a non è vero il contrario. 2.1 difficile (NP hard), se non sono stati fino ad ora individuati algoriti che lo risolvono in tepo polinoiale 2.2 NP-copleto, se può essere trasforato (o ridotto) in ogni altro problea NP in tepo polinoiale. Coplessità e Sicurezza Caso peggiore e istanze facili Modalità di increento e valori di n R10: ogni algorito che consente di difendere una proprietà critica dell inforazione deve avere tepo polinoiale ESEMPI: O(1), O(n), O(n 3 ) R11: ogni algorito che consente di violare una proprietà critica della inforazione deve avere tepo esponenziale ESEMPI: O(exp (n)) o anche O(exp (n) 1/2 ) Algoriti sub-esponenziale: O(exp ((n) α (ln(n) 1-α )) con 0 < α < 1

16 Tepo di esecuzione e diensione del dato Tepo di esecuzione ( anni MIPS) algorito esponenziale Velocità del calcolatore di riferiento: algorito 1 MIPS MIPS : 10 6 operazioni al sub-esponenziale secondo Unità di isura del tepo di un algorito Soglia di attacco di sicurezza anno MIPS = anni MIPS = 3, operazioni Legge di Moore Calcolo parallelo algorito polinoiale Diensione del dato (bit) Priitive per le Trasforazioni per la sicurezza

17 Trasforazioni segrete Decifrazione Autenticazione Segretezza si, a di che cosa? Macchina Algorito Paraetro A Vulnerabilità delle acchine e degli algoriti segreti Ispezione Installazione Progetto Produzione Certificazione

18 Algorito pubblico e paraetro segreto Kerckhoffs : La criptogràphie ilitaire 1883 Responsabilità dell utente cassaforte Valutazione pubblica AES Software open e free Crypto++, JCE, JSSE Algoriti segreti e paraetri segreti VLSI Clipper GSM

19 Algorito con chiave k x T k y = T(k, x) y = T k (x) insiee delle trasforazioni: T = {t 1, t 2,, t N } spazio delle chiavi: K = {k 1, k 2,, k N } N grandissio! Trasforazioni per la sicurezza chiavi sietriche chiavi asietriche

20 La coppia di algoriti ks kd x c = Ts(ks, x) c Ts Td x = Td(kd, c) sorgente destinazione riservatezza ed autenticità riservatezza e autenticazione k s : chiave usata dalla sorgente I k d : chiave usata dalla destinazione A E k c D k B k s : chiave usata dalla sorgente I k d : chiave usata dalla destinazione A S k c V k S/N B

21 La relazioni tra le chiavi ks K kd K K K : ks = f(kd). Algorito a chiavi sietriche o sietrico: le chiavi ks, kd sono o uguali o facilente calcolabili una dall altra; la situazione usuale è ks = kd. Algorito a chiavi asietriche o asietrico: le chiavi ks, kd sono diverse ed una delle due è difficilente calcolabile dall altra Autenticazione Riservatezza kd = f(ks) facile! ks = f(kd) facile! ks = f -1 (kd) difficile! kd = f -1 (ks) difficile! Proprietà delle chiavi sietriche robustezza riservatezza autenticità integrità

22 Proprietà delle chiavi asietriche robustezza autenticità riservatezza One-way function integrità integrità Chiave pubblica PU Chiave privata SU Funzione unidirezionale (one way) Una funzione f è detta unidirezionale se è invertibile, facile da calcolare e se per quasi tutti gli x appartenenti al doinio di f è difficile risolvere per x il problea y = f (x)... Rossi Angelo, Rossi Antonio, Rossi Angelo, Rossi Antonio, Russo Russo Franco, Franco, N di X? Ricerca binaria: O(n) X di N? Ricerca esauriente: O(2 n ) Elenco telefonico

23 Trasforazioni per la sicurezza attacchi alla chiave segreta Chiave condivisa Chiave privata Prova d identità Dati segreti 1. Indovinare 2. Intercettare 3. Dedurre =? terine di paragone S k H =? c= S SU (H()) Bancoat: 3 tentativi

24 x 0 = 1 L attacco con forza bruta x i+1 = x i + 1 i = i + 1 =? NO terine di paragone Valore prevedibile SI: fine 1:cogn.no. 2:abbrev. 3:parenti 4:telefono 5:targa. i = i + 1 =? NO SI: fine terine di paragone Tirare ad indovinare R12: i siboli della stringa che rappresenta un segreto devono essere olti e scelti a caso RNG segreto Meoria sicura Valutazioni 1. Tirare a indovinare 2 -n > 20 bit 2. Provare e riprovare k.2 -n > 30 bit 3. Ricerca esauriente O(exp(n)) > 80 bit anni MIPS R13: un dato segreto deve essere frequenteente odificato

25 Meorizzazione ed uso di una chiave segreta MA E u (s) R14: solo il proprietario della chiave segreta deve avere accesso alla cella in cui è eorizzata. R15: la chiave segreta deve essere eorizzata in fora cifrata. x s T k y = T(k, x) P u: chiave che cifra chiavi 1. Indovinare 2. Intercettare 3. Dedurre R16: la fora cifrata deve essere antenuta anche nella counicazione della chiave dalla eoria ausiliaria al processore. R17: l unità di elaborazione deve decifrare la chiave, ipiegarla nell esecuzione dell algorito crittografico e cancellare poi accurataente il dato dalla sua eoria di lavoro. Meorizzazione ed uso della passphrase E u (s) M passphrase H D k u wiper s RNG x y = T(s, x) T k E k P

26 Deduzione di un segreto dal suo uso testo in chiaro chiave segreta testo cifrato 1. Indovinare 2. Intercettare 3. Dedurre ATTACCO con solo testo cifrato con testo in chiaro noto con testo in chiaro scelto con testo cifrato scelto CONOSCENZE DELL INTRUSO linguaggio e probabilità d occorrenza coppie di testo in chiaro e cifrato testi cifrati di testi in chiaro scelti testi in chiaro di testi cifrati scelti Controisura preventiva l uscita di un algorito crittografico deve apparire coe una variabile aleatoria che assue con eguale probabilità tutti i suoi possibili valori