Introduzione. Crittografia: definizione, obiettivi, funzioni e strumenti. Crittografia e sicurezza, contesti applicativi

Transcript

1 Introduzione Crittografia: definizione, obiettivi, funzioni e strumenti Crittografia e sicurezza, contesti applicativi 1

2 Che cosa è la crittografia Letteralmente: una tecnica che consente di nascondere il significato di un messaggio Che cosa è la crittografia Nella accezione corrente: una tecnica di protezione dell informazione basata su trasformazioni logiche che, direttamente o indirettamente, fanno uso di informazioni segrete 2

3 Cosa ci possiamo aspettare dalla crittografia La crittografia è una forma di protezione logica: Consente di restringere e confinare le aree in cui è necessario ricorrere a metodi di protezione fisica dei dati; Non consente di eliminare la necessità di tecniche di protezione fisica dei dati; Consente di verificare l autenticità e l integrità dei dati; Non consente di impedire attacchi alla disponibilità dei dati. Crittografia e obiettivi della sicurezza dell informazione La crittografia è un strumento utile a conseguire alcuni degli obiettivi della sicurezza informatica: Confidenzialità Integrità Autenticità Non ripudiabilità Disponibilità 3

4 Funzioni della crittografia La crittografia consente di assolvere alle funzioni di: Cifratura Autenticazione dei messaggi e la verifica dell integrità dei dati Identificazione e autenticazione delle entità Firma numerica Strumenti della crittografia Gli strumenti che la crittografia mette a disposizione sono: Cifrari a sequenza (streamcipher) Cifrari a blocchi (block cipher) Cifrari a chiave pubblica Funzioni di impronta a una via (hash) Codici per l autenticazione dei messaggi Schemi di firma 4

5 Tecniche ed infrastrutture La realizzazione di sistemi basati sulla crittografia presuppone l esistenza di: Protocolli di generazione delle chiavi Protocolli di installazione e gestione delle chiavi Normative crittografiche Attacchi alla sicurezza dell informazione Osservazioni ed esempi 5

6 Attacchi attivi e passivi Passivi: l attaccante può solamente osservare il comportamento del sistema Attivi: l attaccante può intervenire sul comportamento del sistema. Ad esempio: inducendo l esecuzione di determinate azioni; prendendo possesso di una parte di sistema e tentandone la forzatura; inducendo l uso di un sistema o un sottosistema di cui detiene il controllo. Attacchi: i bersagli gli algoritmi: si usano tecniche crittanalitiche per invertire gli algoritmi; i protocolli e le modalità operative: si attacca il modo in cui gli algoritmi crittografici vengono utilizzati; i sistemi: viene attaccato l ambiente e le condizioni in cui operano algoritmi e protocolli (attacchi fisici a dispositivi, manomissione del SW, ecc.). Osservazione: la la robustezza degli algoritmi crittografici è solo un un aspetto della sicurezza dei dei sistemi. 6

7 Attacchi: riconoscimento delle occorrenze Scenario: il il messaggio presenta frequenti ripetizioni degli stessi blocchi e il il cifrario opera per per semplice sostituzione L attaccante può ricavare informazioni (ad es. mediante analisi statistica, analisi basate sulla conoscenza della struttura del messaggio, riconoscimento di immagini, ecc.) dal fatto che a blocchi uguali nel cifrato derivano blocchi uguali nel messaggio in chiaro Contromisure: aleatorizzazione e concatenazione del messaggio cifrato Attacchi: riconoscimento delle occorrenze, un esempio 7

8 Attacchi: sostituzione parziale di messaggio Scenario: l attaccante conosce la la struttura del del messaggio in in chiaro e il il cifrario opera per per semplice sostituzione L attaccante modifica alcune parti del messaggio cifrato senza conoscere necessariamente il contenuto in chiaro delle parti sostituite. Contromisure:concatenazione e autenticazione del del messaggio Attacchi: attacco con messaggio registrato Scenario: l attaccante dispone della registrazione di di uno o più più messaggi cifrati di di cui, in in qualche misura, conosce il il significato L attaccante riutilizza, totalmente o parzialmente, i messaggi registrati in un contesto a lui favorevole. Contromisure:marcatura temporale, concatenazione e autenticazione del del messaggio 8

9 Attacchi: impersonificazione Scenario: una entità non è in in grado di di accertare l identità di di un altra entità del del sistema L attaccante assume l identità di un altra entità del sistema Contromisure:protocolli di di identificazione, terze parti fidate Attacchi: interposizione Scenario: l attaccante può intercettare modificare e ritrasmettere i i messaggi scambiati tra tra due entità A e B L attaccante si interpone tra A e B, e si fa identificare da A come B e da B come A. Contromisure:protocolli di di identificazione, terze parti fidate 9

10 Attacchi: ricerca esaustiva del messaggio Scenario: un entità cifra con una chiave pubblica un un messaggio che fa fa parte di di un un insieme abbastanza limitato di di messaggi possibili L attaccante prova a cifrare i possibili messaggi con la stessa chiave pubblica fino a trovare il messaggio che da luogo allo stesso cifrato Contromisure:aggiunta di di una quantità aleatoria di di riempimento (padding) al al messaggio da da cifrare Attacchi: attacco ai metodi di generazione delle chiavi Scenario: la la procedura di di generazione delle chiavi non è corretta L attaccante sfrutta informazioni relative alle procedure di generazione delle chiavi per semplificare la ricerca delle chiavi stesse Contromisure: uso di di sistemi di di generazione realmente aleatori 10

11 Attacchi: attacco alle parole di accesso Scenario: gli gli utenti usano parole di di accesso facilmente intuibili L attaccante usa la conoscenza di dati dell utente e/o un dizionario di parole probabili per effettuare la ricerca delle parole di accesso Contromisure: metodi per per la la generazione di di parole di di accesso difficili Attacchi: analisi del traffico Scenario: l attaccante può osservare il il traffico generato da da una o più più entità L attaccante registra gli andamenti del traffico e cerca eventuali correlazioni con eventi noti (precedenti o successivi). Contromisure:protezione del del traffico o generazione di di traffico fittizio 11

12 Algoritmi crittografici Classificazione, concetti generali ed esempi xx Che cosa è un algoritmo crittografico F k (x) k yy Funzioni Consente di effettuare una trasformazione che fa uso di una informazione segreta (chiave) xx xx yy ii yy Proprietà La trasformazione x -> y non può essere eseguita senza la conoscenza della chiave k La chiave k non può essere ottenuta dalla conoscenza di un qualsiasi numero di elementi x e y e di tutte le informazioni note (pubbliche) sull algoritmo e sulle (eventuali) proprietà della chiave 12

13 Che cosa è un algoritmo cifrante (cifrario) Un Un algoritmo di di cifratura (cifrario) è un un algoritmo crittografico dotato di di una funzione inversa: k E k D xx F ke (x) yy yy F kd (x) xx Consente di di effettuare una una trasformazione e la la sua sua inversa inversa mediante due due chiavi chiavi K E e E K D eventualmente D non non coincidenti Cosa intendiamo per algoritmo robusto Scenario: una entità A opera mediante un algoritmo crittografico F e una chiave segreta K A. Un avversario E conosce l algoritmo F ma non la chiave K A. L algoritmo può definirsi robusto se: E non è in grado di effettuare le operazioni che A effettua grazie alla conoscenza della chiave segreta; E non può ricavare la chiave K A dall osservazione delle operazioni eseguite da A (che eventualmente possono essere indotte da E). 13

14 Cosa intendiamo per algoritmo robusto (2) Un algoritmo crittografico ben progettato dovrebbe presentare una complessità di cifratura polinomiale e una complessità di forzatura esponenziale Osservazione: l aumento delle capacità di calcolo gioca a favore (e in modo definitivo) della robustezza complessità di calcolo forzatura cifratura lunghezza chiave Comprendere le crescite esponenziali Magnitudo Se Seco cond ndi i in in u n anno anno 3*10^7 se sec cond ondi i dalla dalla cre creaz azione d el el sist sistema so solare (an (anni) ni) 2*10^17 Cicl Cicli i d i i cl cloc ock/an k/anno no pe per r u n ccompu ompute ter r da da MHz MHz Numeri bin binari ari da da bit bit Numeri primi primi da da 7 5 cif cifre re dec decimali Ele Eletttron roni i ne nell un ive iverso 3,2*10^15 3,4*10^38 5,2*10^72 8,37*10^77 14

15 Comprendere le crescite esponenziali (2) Se un foglio di carta (circa 0,1 mm di spessore) potesse essere piegato su se stesso per 10 volte, il suo spessore arriverebbe a circa 1m, dopo 30 volte, a circa 100km e, dopo 42 volte, supererebbe la distanza tra la terra e la luna 0,1 mm Km (42 ripiegature) (bin) Da cosa dipende la robustezza di un algoritmo crittografico Difficoltà di trovare la chiave mediante ricerca esaustiva Difficoltà di trovare la chiave mediante inversione dell algoritmo Difficoltà di invertire l algoritmo senza conoscere la chiave 15

16 Valutazione della robustezza crittografica di un algoritmo (1) La robustezza di un algoritmo è quasi sempre indimostrabile. L adozione di un algoritmo viene effettuata dopo un attento esame suffragato dai seguenti fatti e valutazioni: Valutazione della robustezza crittografica di un algoritmo (2) La dimensione della chiave ne impedisce la ricerca esaustiva; L algoritmo resiste agli attacchi crittanalitici conosciuti; Il miglior metodo di inversione (se esiste) presenta complessità esponenziale; William Wolfowicz 16

17 Valutazione della robustezza crittografica di un algoritmo (4) Si stima che non verranno trovati metodi di inversione sostanzialmente più efficienti in quanto: il problema è riconducibile a un problema equivalente del quale è possibile provare la complessità; il problema è riconducibile a un problema ben studiato (es. la fattorizzazione) per il quale si ritiene che non si verificheranno progressi sostanziali; il problema non si presenta adatto ad essere affrontato con nessuna delle metodologie conosciute (generalmente questo accade perché l algoritmo è stato progettato a questo scopo). Classificazione funzionale degli algoritmi cifranti a sequenza a blocchi simmetrici (a chiave segreta) asimmetrici (a chiave pubblica) 17

18 L operatore binario XOR x 0 x y 1 x x x x Cifrari a sequenza (stream( ciphers) K K Generatore di sequenza L e i+1, e i, e i 1,L Generatore di sequenza L e i+1, e i, e i 1,L L m i+1, m i, m i 1,L L c i+1, c i, c i 1,L L m i+1, m i, m i 1,L 18

19 Cifrari a blocchi (block ciphers) LM i L K E Cifratura E K E ( M i ) = C i D K D Decifratura ( ) = M i C i K D LC i L LM il Crittografia a chiave simmetrica (segreta) In un algoritmo crittografico simmetrico la chiave di cifratura e quella di decifratura coincidono o sono immediatamente ricavabili una dall altra. Le due chiavi devono essere mantenute segrete. 19

20 Crittografia a chiave asimmetrica (pubblica) In un algoritmo crittografico asimmetrico la chiave di cifratura e quella di decifratura non coincidono e non possono essere ricavate una dall altra senza la conoscenza di una informazione segreta. Una delle due chiavi può essere resa pubblica. Modalità di impiego degli algoritmi asimmetrici M A cifratura E B (M) B decifratura D B (E B (M))=M E B D B modalità cifratura M A cifratura D A (M) B decifratura E A (D A (M))=M D A E A modalità autenticazione (firma) E X chiave pubblica di X M documento in chiaro D X chiave segreta di X 20

21 Alcune pietre miliari nella crittografia moderna primi anni 70: Feistel (IBM) introduce una tecnica che permette di costruire una funzione invertibile a partire da una qualsiasi funzione non invertibile. Con questa tecnica vengono costruiti numerosi algoritmi a blocchi tra cui il ben noto Data Encryption Standard (DES) del : Diffie ed Hellman in un articolo pubblicato su New direction in Cryptography introducono il concetto di crittografia a chiave pubblica 1978: Rivest, Shamir e Adleman trovano il primo metodo di cifratura e firma a chiave pubblica (RSA) Cifrari a blocchi a schema di Feistel diretta/inversa M H k 1 k 2 k 2 k 1 M H f 1 f 2 f 2 f 1 M L M L Cifratura diretta/inversa Decifratura 21

22 L algoritmo RSA Origini USA (1977) Brevettato fino al 2000 Diffusissimo Basato sulla complessità della fattorizzazione Generazione delle chiavi: ricerca di grandi numeri primi Cifratura e decifratura: esponenziazioni modulari L algoritmo RSA: generazione delle chiavi Ogni utente: genera due due grandi numeri primi p e q casuali e segreti calcola il il modulo RSA: N = p q calcola F (N) (N) = (p (p--1)(q --1) 1) (funzione di di Eulero) genera l esponente pubblico 1<e 1<e < F (N) (N) primo rispetto a F (N) (N) genera l esponente privato d tale tale che che e d =1 =1 mod F (N) (N) Chiave pubblica (N, e) Chiave privata d Mantenere segreti: p, p, q, q, F (N) (N) e d 22

23 L algoritmo RSA: un cenno ai principi Gli esponenti e e d sono scelti in modo tale che: e d = 1 mod Φ(N), ossia esiste un numero intero k tale che: e d = 1 + k Φ(N). D altra parte il teorema di Eulero si ha che per ogni k e per ogni X minore di N: Quindi in definitiva: X 1 + k Φ(N) mod N = X. (X e ) d mod N = X ed mod N = X 1 + k Φ(N) mod N = X. Analogamente: (X d ) e mod N = X. L algoritmo RSA: osservazioni sulla generazione delle chiavi Il Il ruolo di di esponente pubblico e privato può essere assegnato arbitrariamente: la la sola condizione che gli gli esponenti devono rispettare è che sia: e d =1 =1 mod Φ(N). Quindi si si può indifferentemente: generare e e ricavare d = e -1-1 mod modf(n) generare d e ricavare e = d -1-1 modf(n) I I due due esponenti non non devono necessariamente avere avere la la stessa stessa lunghezza del del modulo N: N: l esponente che che viene viene generato per per primo primo può può avere avere una una lunghezza prefissata (l altro (l altro risulterà generalmente della della stessa stessa lunghezza di di F (N)). (N)). Nella Nella pratica, pratica, esponenti pubblici corti corti vengono utilizzati frequentemente. L uso L uso di di esponenti privati privati corti corti è invece invece sconsigliabile a causa causa dell esistenza di di algoritmi che che ne ne possono consentire la la forzatura. 23

24 L algoritmo RSA:trasformazioni dirette e inverse La La trasformazione RSA RSA consiste in in una una operazione di di esponenziazione modulare nella quale l esponente pubblico e quello privato consentono di di ottenere reciprocamente dall uno la la funzione inversa ottenuta mediante l altro X X {e, d} mod N Y Y {e, d} mod N X Infatti Infatti X ed ed = X de de per per cui cui l algoritmo può può essere essere usato usato in: in: modalità cifratura: modalità firma: firma: X e e mod modn fifi Y ;; Y d d mod modn = (X (X e e )) d d = X ed ed = X X d d mod modn fifi Y ;; Y e e mod modn = (X (X d d )) e e = X de de = X Robustezza della cifratura RSA Se si fattorizza il modulo di un utente, è possibile calcolare la chiave privata di questo a partire dalla chiave pubblica corrispondente. La complessità dell operazione di fattorizzazione dipende dalla dimensione del modulo. Si stima che attualmente la fattorizzazione di un modulo di 1024 bit richiederebbe circa 300 miliardi di anni (con potenza di calcolo disponibile pari a 10^6 istruzioni/sec) 24

25 Modalità operative degli algoritmi a blocchi: Electronic Codebook (ECB) X i C i E E -1 X i Proprietà: La La cifratura avviene blocco blocco a blocco blocco (senza (senza concatenazione). A blocchi blocchi uguali uguali del del messaggio in in chiaro chiaro corrispondono blocchi blocchi uguali uguali nel nel cifrato. cifrato. Modalità operative degli algoritmi a blocchi: Cipher- block Chaining (CBC) X i X i C i - 1 C i X E E -1 i C i - 1 X i?? C i - 1 C i - 1 Proprietà: I I blocchi blocchi del del cifrato cifrato sono sono concatenati. Il Il cifrato cifrato dipende dallo dallo stato stato iniziale iniziale C 0 (lo 0 (lo stesso stesso messaggio dà dà luogo luogo a messaggi diversi diversi a seconda dello dello stato stato iniziale). La La dimensione del del blocco blocco è la la stessa stessa del del cifrario cifrario E utilizzato. 25

26 Modalità operative degli algoritmi a blocchi: Cipher Feedback (CFB) r bit shift E r bit shift?? n n E n n r r r r r Proprietà: Concatenazione e dipendenza dallo dallo stato stato iniziale iniziale come come nel nel modo modo CBC. CBC. La La dimensione del del blocco blocco è r r = n (n (ndimensione del del blocco blocco del del cifrario cifrario E). E). 26