Il sistema di crittografia NTRU

Transcript

1 Il sistema di crittografia NTRU Stefano Vaccari Relazione per il corso di Sistemi Informativi II Tecnologie per la Sicurezza Luglio Crittografia a chiave pubblica Tra i sistemi di protezione delle informazioni, la crittografia a chiave pubblica (o a chiavi asimmetriche ) riveste un ruolo principale, in quanto è in grado di fornire alti livelli di sicurezza. Si distingue dalla crittografia simmetrica per il fatto che ad ogni utente è fornita una coppia di chiavi: quella privata, nota soltanto al proprietario, e quella pubblica, che può essere distribuita liberamente. La garanzia di protezione delle informazioni è data dalla sicurezza computazionale della chiave privata, ovvero dalla (presunta) impossibilità di risalire ad essa conoscendo la chiave pubblica: la funzione che associa il valore della chiave pubblica a quella privata deve essere pseudo-unidirezionale, permettendo l inversione della funzione soltanto a chi possiede uno o più parametri segreti. Sono state individuate diverse funzioni adatte allo scopo prendendo in considerazione problemi difficili posti dalla Teoria Dei Numeri e dall Aritmetica Modulare. I sistemi di crittografia realizzati fino ad oggi fanno uso di diverse funzioni unidirezionali, come mostrato in tabella: ALGORITMO RSA ElGamal Rabin Chor-Rivest PROBLEMA DIFFICILE fattorizzazione logaritmo discreto fattorizzazione, radice quadrata knapsack 1

2 Tra questi algoritmi, pochi si sono rivelati utili nella pratica, alcuni a causa della dimensione elevata della chiave pubblica necessaria per garantire una buona sicurezza, altri per limiti intrinseci del metodo (eccessiva espansione del messaggio originale, eccessiva lentezza). Una recente classe di problemi computazionalmente intrattabili considerata per la crittografia è quella dei problemi di riduzione del reticolo. Un reticolo è tipicamente rappresentato da un insieme di vettori che formano una base. Dato un reticolo, ci sono molte possibili basi, ed il problema di riduzione del reticolo consiste nel trovare una base dove i vettori sono di dimensione minima. Alcuni nuovi algoritmi (Goldreich-Goldwasser-Halevi, Ajtai-Dwork) fondano le proprie teorie sui reticoli; NTRU rappresenta un caso in cui i metodi più efficienti di crittanalisi si basano proprio sulla riduzione di un reticolo, isomorfo al problema. Sebbene ci siano stati progressi negli algoritmi per la riduzione sub-ottima del reticolo, è stato dimostrato 1 che in molti casi il problema della ricerca dei vettori più corti rimane intrattabile; questo risultato ha accresciuto l interesse per l uso di questo problema negli algoritmi di crittografia a chiave pubblica. 2 Il sistema NTRU Una direzione di ricerca nella crittografia a chiave pubblica è stata quella di trovare algoritmi sicuri ed efficienti computazionalmente. Attualmente per il più diffuso sistema asimmetrico, RSA, che si basa sul problema della fattorizzazione di grandi numeri primi, l operazione di decodifica di un messaggio viene svolta con complessità O(n 3 ); questo valore è molto oneroso se si considerano applicazioni che richiedono alta velocità o che lavorano su sistemi a bassa potenza di calcolo (ad esempio le smartcard). L algoritmo NTRU (di Hoffstein-Pipher-Silverman, 1996) presentato in questa relazione è stato studiato appositamente per garantire un alta velocità di codifica/decodifica, senza sacrificare l aspetto della sicurezza. NTRU appartiene inoltre alla classe dei crittosistemi probabilistici, il che significa che ogni messaggio ha più possibili codifiche differenti, rendendo ancora più complicata la crittanalisi. L idea alla base di NTRU per rendere l algoritmo molto performante è quella di lavorare con numeri piccoli: RSA ed altri sistemi al contrario eseguono esponenziazioni su grandi numeri, ed altre operazioni con elevato uso di risorse di calcolo. Le funzioni usate dall algoritmo si basano sull algebra polinomiale e sull aritmetica modulare, delle quali verrà dato un richiamo. 1 La sicurezza dei sistemi Goldreich-Goldwasser-Halevi e NTRU è più che altro euristica, mentre per Ajtai-Dwork la prova di sicurezza è dimostrata matematicamente. 2

3 2.1 La matematica di NTRU L aritmetica modulare consiste nell applicazione dell operazione di divisione intera ai risultati dei calcoli, scartando il quoziente e tenendo soltanto il resto. Ad esempio l espressione 172 (mod 17) dà come risultato 2, ovvero il resto della divisione intera 172/17. Si può da questo risultato ricavare un equazione, chiamata congruenza, scrivendo: (mod 17) e si legge 172 è congruo a 2 modulo 17. È possibile anche cercare un intero B tale che A B 1 (mod M) se A ed M non hanno fattori comuni; B si chiama inverso di A modulo M. Esiste un algoritmo, chiamato di Euclide, che può essere usato per calcolare se A ed M hanno fattori comuni e determinare B. I principali oggetti usati da NTRU sono i polinomi appartenenti all anello R = Z[x]/(x N 1) ovvero i polinomi troncati di grado N 1 con coefficienti interi. Inoltre i coefficienti sono ridotti modulo q, per cui si considera l anello R = Z q [x]/(x N 1). I polinomi in R vengono sommati come si farebbe normalmente, mentre per la moltiplicazione bisogna utilizzare la convoluzione: a(x) b(x) = N 1 k=0 ( i+j k (mod N) a i b j ) il che si traduce, per una moltiplicazione di normali polinomi, nel sostituire la potenza x N con 1, x N+1 con x e così via. Allo stesso modo degli interi, l inverso modulo q di un polinomio a(x) è un polinomio A(x) con la proprietà: a(x) A(x) 1 (mod q) Non tutti i polinomi hanno un inverso modulo q, ma è facile determinarne l esistenza e calcolarlo, se esiste. x k 3

4 2.2 Parametri dell algoritmo NTRU Oltre al numero N che specifica il grado dei polinomi, e quindi la lunghezza della chiave, il sistema NTRU richiede di stabilire un modulo grande q ed un modulo piccolo p, tali che MCD(p, q) = 1 e q > p. Nelle applicazioni commerciali dell algoritmo i valori usati più frequentemente sono: N q p Sicurezza moderata Sicurezza standard Sicurezza alta Sicurezza massima Nello spazio di R consideriamo ora quattro sottoinsiemi: l insieme dei messaggi in chiaro L m, gli insiemi delle chiavi private L f ed L g e l insieme ausiliario L r. Indicando con L(d 1, d 2 ) l insieme dei polinomi con d 1 coefficienti uguali a 1, d 2 coefficienti uguali a -1 e gli altri uguali a 0, si scelgono tre parametri interi d f, d g e d r e si pone: L f = L(d f, d f 1) L g = L(d g, d g ) L r = L(d r, d r ) Questi coefficienti serviranno per definire i polinomi usati nell algoritmo. Il valore di questi parametri è solitamente: N d f d g d r Generazione delle chiavi L utente che vuole creare una coppia di chiavi (pubblica e privata) deve per prima cosa scegliere due polinomi f L f e g L g ; questi polinomi devono essere mantenuti segreti, perché chiunque conosca i loro valori sarà capace di decifrare i messaggi spediti all utente proprietario. Il passo successivo consiste nel calcolare l inverso 2 di f modulo q e modulo p, ovvero: 2 Nel caso in cui i polinomi inversi per f non dovessero esistere, bisognerà scegliere un diverso polinomio di partenza. 4

5 f f q 1 (mod q) f f p 1 (mod p) La chiave privata è la coppia di polinomi f e f p, invece quella pubblica h è definita dal calcolo: 2.4 Codifica h = p f q g (mod q) Ipotizziamo uno scambio di messaggi tra due utenti, Alice e Bob. Alice vuole spedire delle informazioni a Bob utilizzando la sua chiave pubblica h. Prima di tutto Alice pone il messaggio nella forma di un polinomio m, i cui coefficienti sono scelti modulo p, diciamo tra p/2 e p/2; in questo modo p è un polinomio con piccoli coefficienti rispetto al modulo q. Dopodichè Alice sceglie casualmente un altro polinomio con piccoli coefficienti da L r e lo chiama r: questo elemento serve a mascherare la fase di codifica rendendo il metodo NTRU un crittosistema probabilistico (similmente ElGamal utilizza un valore random). Alice infine calcola e = r h + m (mod q) e spedisce a Bob il polinomio risultante e. 2.5 Decodifica Bob ha ricevuto il messaggio crittografato da Alice e vuole leggerne il contenuto. Allora inizia usando il suo polinomio privato f per calcolare a = f e (mod q) Siccome Bob sta calcolando a modulo q, può scegliere i coefficienti di a in un intervallo di lunghezza q, in particolare tra q/2 e q/2. Questo passo è necessario per la fase di decodifica: l intervallo scelto varia in base alla forma dei polinomi scelti. Successivamente viene calcolato b = a (mod p) riducendo così i coefficienti di a, infine con l altro polinomio privato trova c = f p b (mod p) che è il messaggio originale mandato da Alice. 5

6 2.6 Come funziona Il messaggio criptato è nella forma e = r h + m (mod q) ma ovviamente Bob non conosce nè r nè m. Ricordando che la chiave pubblica h di Bob era stata ricavata da h = p f q g (mod q), possiamo scrivere: a = f e (mod q) = f (r h + m) (mod q) = f (r p f q g + m) (mod q) = p r g + f m (mod q) Consideriamo ora la grandezza dei coefficienti di r, g, f ed m: essi sono tutti piccoli rispetto a q (per come sono stati scelti) e lo saranno anche i coefficienti dei prodotti. Siccome anche il numero primo p è molto piccolo il polinomio risultante a avrà coefficienti già compresi nell intervallo ( q/2, q/2], quindi l operazione di modulo q non avrà effetto. Questa supposizione deve però essere verificata; nella pratica infatti si potrebbero avere due tipi di problemi, giunti a questo punto: se Max a i q/2 o Min a i q/2 abbiamo una wrapping-failure, mentre se (Maxa i Mina i ) q avremo una gap-failure. La soluzione al problema del wrapping si ha shiftando l intervallo dei coefficienti di a fino a rientrare nei limiti voluti. Per evitare le gap-failure si dovranno scegliere dei buoni parametri per l algoritmo, basandosi sugli studi effettuati 3 per ridurre la probabilità di decodifica errata. Proseguendo nelle operazioni di decodifica, si avrà: b = a (mod p) = p r g + f m (mod p) = f m (mod p) infine l ultimo passo porta a c = f p b (mod p) = f p f m (mod p) = m (mod p) [perché f p f = 1] Bob è così riuscito a ricavare il messaggio originale da quello cifrato spedito da Alice. 3 J.H. Silverman. Wraps, Gaps, and Lattice Constants, NTRU Technical Note #011, Marzo

7 2.7 Miglioramenti dell algoritmo Il sistema NTRU è stato pensato per applicazioni ad alta efficienza, ed esistono delle ottimizzazioni che migliorano sensibilmente la resa delle operazioni di codifica e decifrazione. - Scelta di f Come detto precedentemente, f deve avere le proprietà di invertibilità rispetto ai moduli p e q, e deve avere coefficienti piccoli rispetto a q. Scegliendo f nella forma f = 1 + pf dove F è un polinomio a piccoli coefficienti, si hanno i seguenti vantaggi: f è sempre invertibile modulo p (infatti f 1 = 1 (mod p)). Questo evita di calcolare l inversa esplicitamente nell operazione di decodifica, non è più necessaria la seconda moltiplicazione polinomiale (che include f p ); non serve nemmeno memorizzare f p = f 1 (mod p) come parte della chiave privata. - Prendere p = 2 + x Tutti i polinomi usati finora hanno coefficienti piccoli (rispetto a q), e da ciò dipende il successo della fase di decodifica, in quanto il polinomio a deve rimanere invariato dopo la riduzione modulo q. Chiaramente più i coefficienti di f, g, m ed r sono piccoli più lo saranno quelli di a. Quindi se si riduce la grandezza di p si riuscirà più facilmente a trovare dei parametri ottimali per una buona decodifica. La proprietà che deve essere rispettata nella scelta di p è che deve essere primo rispetto a q, nell anello R; se poniamo p = 2 + x, si può dimostrare che p e q sono ancora primi tra loro nell anello R. Con p in questa forma è più naturale lavorare con polinomi a coefficienti binari (0, 1) piuttosto che ternari (0, +1, -1), come nel caso di p = 3. Questo rende la codifica del messaggio originale molto più semplice, evitando la conversione. - Centratura del polinomio a Prendere m in forma binaria porta ad un altra conseguenza: i polinomi r, g ed m erano prima centrati attorno allo zero (essi avevano un ugual numero di +1 e -1 tra i loro coefficienti), ed anche f era quasi centrato (avendo d f +1 e d f 1-1 ). La decodifica funzionava perché tutti i coefficienti di p r g + f m erano nell intervallo ( q/2, q/2]; ora, con i polinomi binari ed f nella forma 1 + pf, i valori non sono più centrati attorno allo zero. Prima della riduzione a modulo p, si rende necessaria un ulteriore operazione, per assicurare la centratura. Poniamo: 7

8 I = f q (1) (a(1) p(1) r(1) g(1)) (mod q) K = p(1) r(1) g(1) + I f(1) N l intervallo di coefficienti dovrà quindi essere normalizzato a ( K q 2, K + q ] 2 in modo da assicurare una corretta decifratura. - Polinomi a basso peso di Hamming Le operazioni computazionalmente più pesanti nell algoritmo NTRU sono le moltiplicazioni con convoluzione. Lavorando con due polinomi generici di grado N, sono necessarie N 2 moltiplicazioni e 2N somme per calcolare la convoluzione; ma se uno dei due polinomi è binario il calcolo si semplifica, poiché servono N addizioni di d i termini, dove d i rappresenta il numero di 1 presenti nel polinomio binario. In pratica meno 1 ci sono nei polinomi più è veloce l algoritmo, ma non possiamo semplicemente calare il numero di 1 perché crescerebbe di pari passo il rischio di un attacco di tipo brute-force alla chiave privata f; si può superare questo inconveniente e contemporaneamente velocizzare il calcolo utilizzando i polinomi a basso peso di Hamming 4 scomponendo i polinomi f ed r in questo modo: f = 1 + p F = 1 + p (F 1 F 2 + F 3 ) r = r 1 r 2 + r 3 e riducendo quindi il numero di addizioni da effettuare, velocizzando il processo di un fattore considerevole. 3 Analisi di sicurezza di NTRU Di fondamentale importanza è lo studio dei sistemi di crittografia in relazione ai possibili attacchi portati da un intruso, e il conseguente calcolo dei parametri adeguati a garantire un elevato margine di sicurezza. Nel seguito verrà analizzato il comportamento di NTRU rispetto alle varie tipologie di crittanalisi. 4 il peso di Hamming è definito come il numero di componenti diverso da zero. 8

9 3.1 Attacchi brute-force Un intruso può cercare di recuperare la chiave privata provando tutte le possibili f L f e testando se f h (mod q) ha piccoli coefficienti, o testando per tutti i g L g se g h 1 ha piccoli coefficienti. La cardinalità di L g è minore di quella di L f, per cui è la dimensione di L g che determina il livello di sicurezza. Il livello si riduce della radice quadrata se l attacco è portato con il metodo meet-in-the-middle (più efficiente ma oneroso in termini di memoria). La sicurezza della chiave privata è calcolabile in #Lg = 1 d g! N! (N 2d g )! La sicurezza del singolo messaggio è invece determinata dalla cardinalità di L r, perché un intruso può provare tutti gli r L r e testare se e r h (mod q) ha piccoli coefficienti. La sicurezza del messaggio è perciò data da #Lr = 1 d r! N! (N 2d r )! Per ottenere quindi una sicurezza di 2 80, bisogna scegliere f, g ed r da insiemi di almeno elementi. 3.2 Attacchi su trasmissioni multiple Se un singolo messaggio viene spedito varie volte codificandolo sempre con la stessa chiave pubblica, ma con diversi numeri casuali r, c è il rischio di una possibile decodifica da parte di un intruso. Supponiamo la trasmissione di un messaggio e i = r i h + m (mod q) per i = 1...k. L intruso può calcolare (e i e 1 ) h 1 (mod q) ricostruendo (r i r 1 ) (mod q): siccome i coefficienti di (r i r 1 ) sono piccoli, viene recuperato esattamente (r i r 1 ), e basteranno 4 o 5 ritrasmissioni per poter ricostruire il messaggio originale provando tramite brute-force i rimanenti valori di r 1. Questo tipo di attacco è ovviamente inefficace su trasmissioni singole. 3.3 Attacchi basati su riduzione del reticolo Fino ad ora non c è stata menzione dei reticoli nella descrizione del sistema NTRU. Però, considerando h come una mappa lineare (ovvero una matrice n n su Z q ) che agisce su r considerandolo come un vettore n-dimensionale in {0, 1} n Z n q, allora il processo di codifica può essere pensato come una perturbazione del punto h r (nel reticolo) della quantità m. Perciò dato 9

10 un messaggio cifrato e, il più vicino punto a e è alla distanza m dal testo cifrato. Il reticolo standard di NTRU, L NT, è il reticolo di dimensione 2N generato dalla matrice 2N 2N: λ h 0 h 1... h N 1 0 λ... 0 h N 1 h 0... h N λ h 1 h 2... h 0 L NT = q q q dove (h 0,..., h N 1 ) sono i coefficienti della chiave pubblica h, e la costante λ è una costante di bilanciamento scelta per massimizzare l efficienza della ricerca dei vettori piccoli nel reticolo. Lo scopo del metodo di riduzione del reticolo è infatti quello di trovare uno o più vettori piccoli in un dato reticolo; in teoria con una ricerca esaustiva si avrebbe certamente una soluzione, ma nella pratica ciò non è possibile per le alte dimensioni dello spazio di ricerca. Il più veloce algoritmo conosciuto è il Lenstra-Lenstra-Lovász (LLL) che riesce a trovare vettori relativamente piccoli in tempo polinomiale, fornendo un risultato approssimato. Gli esperimenti eseguiti dai creatori di NTRU su questo tipo di attacco hanno portato ai risultati seguenti: Sicurezza N q Tempo Moderata giorni Alta anni Massima anni Tempi su processore Pentium Pro TM 4 Prestazioni ed applicazioni 200 MHz. Il diretto concorrente per NTRU è l algoritmo RSA, rispetto al quale verranno analizzate le prestazioni in termini di velocità e sicurezza. Due sono le implementazioni pratiche di NTRU che possono essere confrontate con il sistema RSA: 10

11 sicurezza media comparata con RSA512 N = 167 p = 3 q = 128 L f = L(61, 60) L g = L(20, 20) L r = L(18, 18) chiave privata = 530 bit chiave pubblica = 1169 bit sicurezza chiave = sicurezza messaggio = (per attacchi meet-in-the-middle) sicurezza alta comparata con RSA1024 N = 263 p = 3 q = 128 L f = L(50, 49) L g = L(24, 24) L r = L(16, 16) chiave privata = 834 bit chiave pubblica = 1841 bit sicurezza chiave = sicurezza messaggio = (per attacchi meet-in-the-middle) Rapporto tra NTRU ed RSA nell applicazione a messaggi brevi: NTRU167/RSA512 NTRU263/RSA1024 Codifica Decodifica Creazione chiave Complessità degli algoritmi: NTRU RSA Codifica O(N 2 ) O(N 3 ) Decodifica O(N 2 ) O(N 3 ) Chiave pubblica O(N) O(N) Chiave privata O(N) O(N) Espansione log p q

12 La velocità è di almeno un ordine di grandezza superiore ad RSA; l unico svantaggio di NTRU è l eccessiva espansione del messaggio (circa 4 a 1): una particolare tecnica citata dagli autori di NTRU spiega però come ovviare a questo inconveniente codificando il polinomio r del blocco successivo sulla base del precedente, portando ad un rapporto 1-1 sulla lunghezza del messaggio dal secondo blocco in poi. 4.1 Applicazioni Grazie al fatto che le operazioni basilari di NTRU manipolano numeri piccoli, generalmente minori di 255, l algoritmo è realizzabile anche su processori di scarsa potenza e dotati di poca memoria. Inoltre la generazione delle chiavi è un operazione molto veloce, ampliando di fatto il campo di servizi adatto a NTRU: pay-tv: gli utenti ricevono il segnale televisivo via satellite in maniera criptata; l emittente televisiva può richiedere di cambiare settimanalmente la chiave, in questo caso il decoder (che sfrutta la tecnologia di NTRU) può generare la coppia di chiavi necessaria allo scopo. telefonia cellulare: nello scambio di brevi messaggi tra terminali mobili, la comunicazione può essere criptata con chiavi diverse ad ogni trasmissione; ciò non sarebbe conveniente con altri sistemi di crittografia più esigenti in termini di potenza di calcolo. smartcard: uno dei maggiori ostacoli nel realizzare un elevata sicurezza su dispositivi a basso costo è la limitata potenza dei processori, molti dei quali a 8 bit, non sufficiente ad implementare i tradizionali algoritmi a chiave pubblica. NTRU sorpassa questa limitazione, in più permette di svolgere la creazione delle chiavi nelle stesse smartcard. I creatori di NTRU hanno inoltre presentato alla RSA Conference 2003 NTRUSign, un algoritmo per la firma digitale basato su NTRU la cui licenza è già stata venduta alla Sony; incorporando NTRUSign ogni apparato wireless (PDA, mp3 player) potrà garantire sicurezza, integrità dei dati e autenticazione. 12

13 Contents 1 Crittografia a chiave pubblica 1 2 Il sistema NTRU La matematica di NTRU Parametri dell algoritmo NTRU Generazione delle chiavi Codifica Decodifica Come funziona Miglioramenti dell algoritmo Analisi di sicurezza di NTRU Attacchi brute-force Attacchi su trasmissioni multiple Attacchi basati su riduzione del reticolo Prestazioni ed applicazioni Applicazioni Per informazioni su questa relazione, scrivere a: sga@libero.it Made with L A TEX 2ε 13