Confidenzialità e crittografia simmetrica. Contenuto. Scenario tipico. Intercettazione dei dati. Uso della crittografia simmetrica

Transcript

1 Confidenzialità e crittografia simmetrica Contenuto Uso della crittografia simmetrica Dove, come e quando cifrare i dati? Barbara Masucci Dipartimento di Informatica ed Applicazioni Università di Salerno masucci@dia.unisa.it Distribuzione delle chiavi Generazione di numeri pseudocasuali 1 Scenario tipico Intercettazione dei dati Server comunicazione Centralina società telefonica Intrusi nella LAN Intrusi dall esterno Armadio di cablaggio Centralina società telefonica Armadio di cablaggio Server comunicazione Rete locale Internet Rete locale Armadio di cablaggio Internet 2 3

2 Dove cifrare i dati? Due approcci differenti Cifratura end-to-end Due approcci differenti: Cifratura del collegamento Cifratura/decifratura alle due estremità del collegamento Cifratura end-to-end Cifratura/decifratura tra l host mittente e l host destinatario 4 Cifratura del collegamento 5 Due approcci differenti Cifratura del collegamento I router devono decifrare per ricavare le informazioni di instradamento dei pacchetti Ogni coppia di nodi collegati deve condividere una chiave Cifratura end-to-end Il pacchetto non può essere cifrato completamente Informazioni di instradamento viaggiano in chiaro Analisi del traffico Consente di ottenere informazioni su Identità dei partner in comunicazione Frequenza delle comunicazioni Lunghezza dei messaggi Uso di canali nascosti Schemi di trasmissione Messaggi legittimi Corti rappresentano 0 Lunghi rappresentano 1 6 7

3 Traffic Padding Per evitare di rivelare informazioni grazie alla frequenza e lunghezza dei messaggi Distribuzione delle chiavi Come fanno Alice e Bob a condividere una chiave comune? Testo in chiaro input discontinuo Generatore continuo di dati casuali Testo cifrato output continuo 8 Uso di un canale privato - un corriere fidato - un incontro faccia a faccia in un posto segreto Uso di una terza parte fidata... - che stabilisce la chiave di sessione e la invia ad entrambi in modo sicuro... 9 Distribuzione delle chiavi In una rete con n utenti ogni coppia di utenti deve condividere una chiave - Ogni utente deve memorizzare n-1 chiavi Key Distribution Center (KDC) Condivide una chiave master con ciascun utente Stabilisce una chiave di sessione per la comunicazione tra due utenti Dopo la generazione, provvede alla distribuzione - Il numero totale delle chiavi segrete e ordine di n

4 Key Distribution Center (KDC) Key Distribution Center nonce nonce (1) Richiesta N 1 (2) E Ka [ K s Richiesta N 1 E Kb (K s,id A )] A (3) E Kb (K s,id A ) (4) E Ks [N 2 ] B (5) E Ks [f(n 2) ] Nonce: identificatore univoco, per evitare attacchi di replay KDC gerarchici Chiavi di sessione Per reti grandi, centri di distribuzione gerarchici In ogni rete locale un KDC Per comunicazioni interne coinvolto solo il KDC locale Per comunicazione fra due reti i KDC locali coinvolgono un KDC di livello superiore Limita i problemi legati a un guasto del KDC Quanto deve durare una chiave di sessione? Maggiore frequenza di distribuzione, maggiore sicurezza, più tempo necessario alla distribuzione Protocolli orientati alla connessione Una chiave di sessione per connessione Protocolli senza connessione Una chiave di sessione per un periodo di tempo fissato un per un numero fissato di pacchetti 14 15

5 Numeri casuali Numeri casuali: caratteristiche Fondamentali per la crittografia Utilizzati per Schemi di autenticazione reciproca Generazione di chiavi crittografiche Difficili da generare Esempi di sorgenti naturali Generatori di rumori sorgenti radioattive condensatori non isolati Sequenza di numeri casuali Distribuzione uniforme Ogni numero possibile compare con la stessa frequenza Indipendenza Non è possibile determinare un numero sulla base degli altri numeri Numeri pseudo-casuali: caratteristiche Generazione pseudo-casuale Sembrano casuali anche se non lo sono Sono generati da algoritmi deterministici, a partire da un valore iniziale (seme) Non deve essere possibile dire quale è il prossimo elemento della sequenza In una sequenza veramente casuale il numero successivo è indipendente dai precedenti X 0 valore iniziale o seme Generazione deterministica della sequenza X i+1 = f ( i, X 0 X 1 X i ) i = 0,1,2, X 1 X 2 X 3 X

6 Generazione pseudo-casuale Cifratura di un contatore j-bit Output feedback ANSI X9.17 [Lehmer 1951] Ad oggi la tecnica più usata per la generazione pseudo-casuale X 0 seme X i+1 i+1 (a X i i + c) mod m X i+1 i+1 (a X i i + c) mod m X i+1 i+1 (a X i i + c) mod m X 0 seme a = 1 X i+1 = X i + 1 mod m c = 1 Che valori scegliere per a, c, m? 22 23

7 X i+1 i+1 (a X i i + c) mod m a = 7 c = 0 X i+1 = 7 X i mod 32 m = 32 7, 17, 23, 1, 7, 17, 23, X 0 = 1 periodo 4 a = 5 c = 0 X i+1 = 5 X i mod 32 m = 32 5, 25, 29, 17, 21, 9, 13, 1, X 0 = 1 periodo 8 24 m molto grande Massimo intero rappresentabile sul computer Tipicamente prossimo a 2 32 o 2 64 La scelta dei parametri Deve generare l intero periodo (tutti i numeri) La sequenza deve sembrare casuale Deve superare vari test di casualità Si dimostra che Se m è primo e c=0 il periodo è m-1 e solo 0 non viene generato 25 X i+1 i 31 i X i mod X i+1 i 31 i X i mod = originalmente usato nella famiglia IBM 360 [1969] Numero primo Conveniente per aritmetica a 32 bit 7 5 = originalmente usato nella famiglia IBM 360 [1969] Numero primo Conveniente per aritmetica a 32 bit Genera tutti i numeri 1,2,, Molto usato per simulazione e statistica Genera tutti i numeri 1,2,, Molto usato per simulazione e statistica Buono per scopi crittografici? 26 27

8 7 5 = originalmente usato nella famiglia IBM 360 [1969] X i+1 i 31 i X i mod Se conoscessi un solo X i potrei calcolare tutti i valori precedenti e successivi! Numero primo Conveniente per aritmetica a 32 bit X i+1 i+1 (a X i i + c) mod m Dati X 0, X 1, X 2, X si possono calcolare 3 a, c, m X 1 = (a X 0 + c) mod m X 2 = (a X 1 + c) mod m X 3 = (a X 2 + c) mod m Cifratura di un contatore Cifratura di un contatore c valore iniziale c valore iniziale c c + 1 c diversi X i diversi c c + 1 c diversi X i diversi chiave (seme) E X i chiave (seme) E X i L input potrebbe a sua volta essere prodotto da un generatore 30 31

9 j-bit Output feedback shift di j bit Si inizia cifrando IV k X i output di 64 bit 64-j bit j bit DES j bit 64-j bit Generatore ANSI X9.17 Utilizza 3DES (EDE) 2 chiavi di 56 bit ciascuna Input: 2 numeri pseudocasuli La data e l ora rappresentati con 64 bit Un seme a 64 bit Ouput: Un numero pseudocasuale a 64 bit Un nuovo seme da usare per la generazione successiva Generatore ANSI X9.17 Generatore ANSI X9.17 data data ed ed ora ora corrente DT i EDE k,k Molto robusto Chiave a 112 bit 9 crittografie DES seme seme EDE V i+1 2 input pseudocasuali (orologio e seme) V i EDE Conoscendo X i non si può conoscere V i+1 A meno di rompere 3DES X i output 34 35

10 Generatore crittograficamente forte Deve passare i seguenti test: Test del prossimo bit Test statistici I due test sono equivalenti Test del prossimo bit Dati i primi r bit dell output nessun algoritmo efficiente può predire l (r+1)-esimo bit con probabilità significativamente migliore di 1/2 Questi sono i i primi r bit: Qual è il il prossimo? Test statistici Bibliografia Nessun algoritmo efficiente distingue tra l output di un generatore ed una sequenza realmente casuale con probabilità significativamente migliore di 1/2 Cryptography and Network Security by W. Stallings (2003) cap. 7 Ecco r bit: Casuale o pseudo-casuale? 38 39