Aggiornamento sullo stato della crittografia nell'era post-snowden

Transcript

1 Aggiornamento sullo stato della crittografia nell'era post-snowden Andrea Pasquinucci A. Pasquinucci -- Crypto Post Snowden -- 21/11/ Pag. 1

2 Indice: Standard, Protocolli e Algoritmi Alcuni esempi pratici Sicurezza e Crittografia: di chi mi fido? La lezione di Snowden Conclusioni A. Pasquinucci -- Crypto Post Snowden -- 21/11/ Pag. 2

3 Standard, Protocolli, Algoritmi Fare Sicurezza IT in pratica vuol dire gestire aspetti Organizzativi Tecnici Gli aspetti Tecnici hanno sempre la prevalenza, anche se negli ultimi anni gli aspetti Organizzativi hanno ricevuto maggiore attenzione A. Pasquinucci -- Crypto Post Snowden -- 21/11/ Pag. 3

4 Standard, Protocolli, Algoritmi - 2 Per gestire gli aspetti Organizzativi ci affidiamo a Standard Internazionali quali ISO NIST SP che decliniamo nella nostra realtà lavorativa Poi in pratica abbiamo bisogno di strumenti tecnici che implementino la sicurezza IT Per questo acquistiamo da un fornitore strumenti HW / SW A. Pasquinucci -- Crypto Post Snowden -- 21/11/ Pag. 4

5 Standard, Protocolli, Algoritmi - 3 Per implementare la sicurezza IT, spesso alla base della pila tecnologica viene utilizzata la crittografia Il primo esempio è la sicurezza in Internet, ove la protezione nello scambio dei dati tra server e browser (fornitore ed utente del servizio) è fornita dalla crittografia A. Pasquinucci -- Crypto Post Snowden -- 21/11/ Pag. 5

6 Standard, Protocolli, Algoritmi - 4 Per utilizzare la crittografia abbiamo bisogno di Protocolli che indicano come dobbiamo utilizzare correttamente gli Algoritmi I protocolli specificano ad esempio come scambiare le chiavi segrete, quali algoritmi combinare ed in quale maniera per ottenere funzionalità complesse quali la firma digitale, il non-ripudio ecc. A. Pasquinucci -- Crypto Post Snowden -- 21/11/ Pag. 6

7 Ma... A. Pasquinucci -- Crypto Post Snowden -- 21/11/ Pag. 7

8 La storia di DES (1975) Algoritmo sviluppato da IBM Ma modificato su suggerimento della NSA ( National Security Agency USA) Aggiunta resistenza ad attacchi di Crittoanalisi Differenziale (già nota allora a NSA ma scoperta pubblicamente nel 1990) Diminuita resistenza ad attacchi di Forza Bruta (richiesta chiave di soli 48bit, da 64bit originali, accordo su chiave di 56bit) A. Pasquinucci -- Crypto Post Snowden -- 21/11/ Pag. 8

9 La storia di DES (1975) - 2 Selezionato da NBS ( National Bureau of Standards, ora chiamato NIST National Institute of Standards and Technology ) e pubblicato come FIPS ( Federal Information Processing Standard ) nel 1977 Il dibattito sul significato delle modifiche introdotte da NSA è durato almeno 20 anni... A. Pasquinucci -- Crypto Post Snowden -- 21/11/ Pag. 9

10 La storia di DES (1975) - 3 Nel 1997 DES rotto a causa della chiave troppo corta (56 bit) Nel 1999 DES è sostituito ufficialmente da Triple-DES (chiave di 112bit) Nel 2005 DES è ritirato completamente, viene pubblicato AES e NIST suggerisce l'utilizzo di AES anche al posto di Triple-DES A. Pasquinucci -- Crypto Post Snowden -- 21/11/ Pag. 10

11 Dual EC DRBG ( ) Dual EC DRBG è un generatore di numeri pseudo-casuali, genera le chiavi segrete utilizzate per cifrare i dati Standardizzato nel 2004 dal NIST, disegnato da NSA Era nota sin dall'inizio la possibilità di inserire una backdoor nell'algoritmo: tale backdoor avrebbe consentito di decifrare tutti i dati, ad esempio nel traffico Web (SSL/TLS), da una terza parte a conoscenza della backdoor A. Pasquinucci -- Crypto Post Snowden -- 21/11/ Pag. 11

12 Dual EC DRBG ( ) - 2 Nel 2006 viene dimostrata la presenza della backdoor in Dual EC DRBG Nel 2007 Bruce Schneier pubblica in Wired un articolo dal titolo Did NSA Put a Secret Backdoor in New Encryption Standard? Nel 2013 i documenti di Snowden mostrano che il programma Bullrun di NSA ha volontariamente introdotto la Backdoor in Dual EC DRBG A. Pasquinucci -- Crypto Post Snowden -- 21/11/ Pag. 12

13 Dual EC DRBG ( ) - 3 A fine 2013 RSA è accusata di aver ricevuto 10M$ da NSA per mettere come algoritmo di default nel suo prodotto BSAFE il Dual EC DRBG; RSA afferma di aver sempre implementato quanto indicato da NIST e NSA e nel caso di essere stata raggirata Il 21 Aprile 2014 NIST ritira il Dual EC DRBG e suggerisce il suo non utilizzo immediato A. Pasquinucci -- Crypto Post Snowden -- 21/11/ Pag. 13

14 Sicurezza Online Intercettare comunicazioni non cifrate su linee geografiche è facile (vedi Google 2013) Intercettare traffico Web cifrato è poco più difficile: I servizi segreti possono farsi rilasciare un certificato da una CA (Certification Authority) per impersonare qualunque sito E' possibile abusare dei certificati deboli delle CA e creare propri certificati per impersonare qualunque sito A. Pasquinucci -- Crypto Post Snowden -- 21/11/ Pag. 14

15 Sicurezza Online - 2 Esempi: Studio di Facebook & Carnegie Mellon: 0,2% delle connessioni Web cifrate (SSL/TLS) con certificati Falsi (Forged), 40% con certificati con errori Malware Darkhotel: utilizza certificati Falsi (Forged) creati rompendo (vecchi) certificati di CA con md5/rsa 512bit, ancora accettati da alcuni browser, sistemi operativi, applicazioni ecc. Navigo su un sito che sembra quello giusto, ha un certificato valido secondo il mio browser, ma in realtà è un Phishing con certificato falso! A. Pasquinucci -- Crypto Post Snowden -- 21/11/ Pag. 15

16 Di chi mi fido? Quando acquistiamo HW/SW di chi ci possiamo fidare per gli aspetti di Sicurezza? Recentemente i Servizi Segreti Tedeschi hanno chiesto al governo un finanziamento per acquistare sul mercato nero degli exploit 0-day NSA ha dichiarato che renderà pubblici tutti o quasi tutti gli exploit 0-day di cui verrà a conoscenza NIST ha dichiarato che non capiteranno più casi come quello di Dual EC DRBG... È sufficiente? A. Pasquinucci -- Crypto Post Snowden -- 21/11/ Pag. 16

17 Stato Algoritmi Crittografici Algoritmi Simmetrici AES: OK ma meglio se 256bit HASH Md5, SHA1: KO SHA2: per il momento OK (disegnati da NSA) SHA3: (Keccak) in corso di pubblicazione come standard FIPS da NIST (con alcune controversie) Algoritmi Asimmetrici RSA tradizionale: OK con chiavi da almeno 2048bit in corso adozione nuovi algoritmi (Curve Ellittiche) A. Pasquinucci -- Crypto Post Snowden -- 21/11/ Pag. 17

18 Crittografia Post Snowden A pensar male si fa peccato, ma quasi sempre si indovina. (G. Andreotti) Le Major americane stanno rivedendo i propri criteri per l'adozione delle procedure di sicurezza, dei protocolli ed algoritmi crittografici Recenti annunci e decisioni di Google, Microsoft, Mozilla ecc. ad esempio su SSL3 (Poodle) o il supporto a OpenSSL per Heartbleed Cifratura di tutte le comunicazioni, esterne ed interne! A. Pasquinucci -- Crypto Post Snowden -- 21/11/ Pag. 18

19 Crittografia Post Snowden - 2 IETF / IRTF (RFC) sta prendendo un maggior ruolo come ente promotore di standard aperti, il suo Crypto Forum sta valutando l'adozione di nuovi algoritmi e protocolli, con l'aiuto dei principali crittografi universitari Grande dibattito nella comunità Crittografica su Openess, partecipano anche crittografi di Microsoft, Cisco, Google etc. (esempio: Cryptography ML) A. Pasquinucci -- Crypto Post Snowden -- 21/11/ Pag. 19

20 Crittografia Post Snowden - 3 Proposta: per la crittografia (e sicurezza IT in generale) accettare ed utilizzare solo Standard pubblici, aperti e concordati sia nel mondo accademico che tra i principali produttori Esempio: competizioni pubbliche di NIST per AES e SHA3, senza però le modifiche di NSA aggiunte agli algoritmi senza alcuna spiegazione Farsi carico direttamente delle scelte sull'adozione di crittografia e sicurezza IT, senza affidarsi ciecamente a NIST o simili A. Pasquinucci -- Crypto Post Snowden -- 21/11/ Pag. 20

21 Conclusioni Dopo Snowden il mondo della crittografia è cambiato: Non si fa più riferimento a NIST e NSA Bisogna trovare chi li sostituisca ed il modo per gestire lo sviluppo e l'approvazione dei nuovi standard Sarà comunque necessaria una maggiore consapevolezza e partecipazione A. Pasquinucci -- Crypto Post Snowden -- 21/11/ Pag. 21

22 Riferimenti Kaspersky, DarkHotel: a spy campaign in luxury Asian hotels, Huang, Rice, Ellingsen, Jackson, Analyzing Forged SSL Certificates in the Wild, Carnegie Mellon, Facebook, 2014 A. Pasquinucci -- Crypto Post Snowden -- 21/11/ Pag. 22

23 Copyright e Licenza Queste slide sono copyright Andrea Pasquinucci Queste slide sono distribuite sotto la licenza Creative Commons by-nc-nd 2.5: attribuzione, non-commerciale, non-opere-derivate A. Pasquinucci -- Crypto Post Snowden -- 21/11/ Pag. 23

24 Grazie Andrea Pasquinucci pasquinucci-at-ucci.it A. Pasquinucci -- Crypto Post Snowden -- 21/11/ Pag. 24