Cifrari simmetrici. Crittografia a chiave pubblica. Problemi. Gestione delle chiavi

Transcript

1 Crittografia a chiave pubblica Cifrari simmetrici Alfredo De Santis Dipartimento di Informatica ed Applicazioni Università di Salerno ads@dia.unisa.it Marzo 2012 canale insicuro Bob 1 Uso di un canale privato Problemi Gestione delle chiavi In una rete con n utenti ogni coppia di utenti deve condividere una chiave - Ogni utente deve memorizzare n-1 chiavi - Il numero totale delle chiavi segrete e! # " n 2 $ & = n(n-1) % 2 - un corriere fidato a - un incontro faccia a faccia in un posto segreto Uso di una terza parte fidata... b e 10 chiavi segrete: tra (a,b), (a,c), (a,d), (a,e), (b,c), (b,d), (b,e), (c,d), (c,e), (d,e) - che stabilisce la chiave di sessione e la invia ad entrambi in modo sicuro... 2 c d 3

2 Gestione delle chiavi In una rete con n utenti ogni coppia di utenti deve condividere una chiave - Ogni utente deve memorizzare n-1 chiavi - Il numero totale delle chiavi segrete e L aggiunta di un nuovo utente alla rete implica la distribuzione della chiave a tutti i precedenti utenti... Soluzione: cifrari asimmetrici! # " n 2 $ & = n(n-1) % 2 Cifrari asimmetrici Usano una cassaforte con due lucchetti! Con una chiave (pubblica) chiudiamo la cassaforte! Con l altra chiave (privata) apriamo la cassaforte Public key Private key 4 5 Cifrari asimmetrici m chiave pubblica di Bob chiave privata di Bob m Cifrari asimmetrici kpriv kpub Bob 6 7

3 Cifratura Cifratura kpriv kpub canale insicuro kpriv kpub canale insicuro C Devo cifrare il messaggio M ed inviarlo ad Bob Cifratura di M per C CIFRA(kpub, M) Bob 8 9 Decifratura Decifratura Devo decifrare il messaggio cifrato C kpub?? C? kpriv kpub Decifratura di C M DECIFRA (kpriv, C) C 10 11

4 Cifrari asimmetrici! Chiunque può cifrare un messaggio per! Solo può decifrare un messaggio cifrato per lei! Non ci sono chiavi condivise tra gli utenti! Ogni utente genera da solo la propria coppia di chiavi (public key, private key) e rende pubblica la chiave pubblica! Ogni utente memorizza una sola chiave (privata) Cifrari simmetrici e asimmetrici Vantaggi della crittografia a chiave pubblica! Chiavi private mai trasmesse! Possibile la firma digitale Vantaggi della crittografia a! Molto più veloce (ad es., DES è 100 volte più veloce di RSA, in hardware tra e volte)! Sufficiente in diverse situazioni (ad esempio, applicazioni per singolo utente) kpriv Cifrari ibridi kpub kpriv Cifrari ibridi kpub canale insicuro C 1 C 2 Cifratura di M per k genera chiave sessione C 1 CIFRA (kpub, k) C 2 E (k, M) Bob Decifratura di C 1,C 2 k DECIFRA (kpriv, C 1 ) M D (k, C 2 ) C 1,C

5 Terminologia Documenti NIST: asymmetric-key-based key transport scheme! Key transport: A key establishment procedure whereby one party (the sender) selects a value for the secret keying material and then securely distributes that value to another party (the receiver). Contrast with key agreement. Cifrari asimmetrici Come realizzarli? Funzioni one-way Funzioni one-way Facili da calcolare e difficili da invertire Facili da calcolare e difficili da invertire Esistono in natura, ma in Informatica? 18 19

6 Funzioni one-way trapdoor RSA [1978] Facili da calcolare e difficili da invertire a meno che si conosca una trapdoor Shamir Rivest Adleman (n,d) Chiavi RSA (n,e) n = pq p,q primi Cifratura RSA (n,d) (n,e) canale insicuro gcd(e, (p-1)(q-1))=1 ed = 1 mod (p-1)(q-1) Devo cifrare il messaggio M ed inviarlo ad Bob 22 23

7 Cifratura RSA (n,d) Decifratura RSA (n,e) canal Devo decifrare il messaggio cifrato C (n,e) C C e insi curo Cifratura di M per Bob e C M mod n?? C? 24 Piccolo esempio: Chiavi RSA Decifratura RSA (n,d) Decifratura di C M C d mod n (n,e) 25 (n=3337, d=1019) utente chiave pubblica (n = 3337, e = 79) 3337 = p = 47, q = 71 C 26 ed = = 1 mod 3220 (p-1)(q-1) = =

8 Piccolo esempio: Cifratura RSA 1570 (n = 3337, e = 79) Piccolo esempio: Decifratura RSA (n=3337, d=1019) (n = 3337, e = 79) Decifratura di C = mod 3337 Cifratura di M = 688 per mod 3337 Bob Piccolo esempio: RSA esempio: RSA Primi p e q di 512 bit p q n=pq 30 31

9 esempio: RSA Primi p e q di 512 bit esempio: cifratura RSA Messaggio THIS IS A TEST (codifica da 00 a 25, con 26= spazio ) (p-1)(q-1) M T H I S I S A T E S T e C=M e d esempio: decifratura RSA Messaggio THIS IS A TEST (codifica da 00 a 25, con 26= spazio ) T H I S I S A T E S T M C=M e C d 34 Correttezza decifratura RSA C d mod n = (M e ) d mod n = M ed mod n = M 1+k(p-1)(q-1) mod n = M (M (p-1)(q-1) ) k = M mod n = M poichè 0 M<n ed = 1 mod (p-1)(q-1) Teorema di Eulero M Z n * M (p-1)(q-1) =1 mod n 35

10 Correttezza decifratura RSA C d mod n = (M e ) d mod n = M ed mod n = M 1+k(p-1)(q-1) mod n = M (M (p-1)(q-1) ) k = M mod n = M Teorema di Eulero M Z n * M (p-1)(q-1) =1 mod n poichè 0 M<n ed = 1 mod (p-1)(q-1) Per M Z n /Z n * usa il teorema cinese del resto 36 Efficienza delle computazioni RSA utilizza le seguenti computazioni! Generazione numeri primi p e q generazione di e! Generazione e,d d e -1 mod (p-1)(q-1)! Elevazione a potenza modulare! Per cifratura e decifratura 37 Generazione chiavi 1. Input L (lunghezza modulo) 2. Genera 2 primi di lunghezza L/2 3. n p q 4. Scegli a caso e 5. If gcd ( e, (p-1)(q-1) ) = 1 then d e -1 mod (p-1)(q-1) else goto 4. Scelta esponente pubblico! Minimizzare operazioni per elevazione a potenza! e 3! e ! decimale ! binario

11 Generazione chiavi (comunemente usata in pratica) 1. Input L (lunghezza modulo) 2. e 3 oppure e (= ) 3. Genera 2 primi di lunghezza L/2 4. n p q 5. If gcd ( e, (p-1)(q-1) ) = 1 then d e -1 mod (p-1)(q-1) else goto 3. Prestazioni implementazioni AMD Opterom GHz, Linux, Crypto Benchmarks! routine assembly language per aritmetica su interi bit chiave cifratura decifratura RSA ,08 1,46 RSA ,16 6,08 millisecondi/operazione esponente pubblico RSA: 17 (marzo 2009) Sicurezza di RSA Sicurezza della generazione delle chiavi Sicurezza generazione chiavi di RSA Conoscendo la chiave pubblica (n,e) C Sicurezza della cifratura vuole calcolare la d=e -1 mod (p-1)(q-1) 42 43

12 Se Attacco 1: fattorizzare n computare d 1. Fattorizza n potesse fattorizzare n, saprebbe 2. Computa ϕ(n)=(p-1)(q-1) 3. Computa d e -1 mod (p-1)(q-1) 44 Attacco 2: computare ϕ(n) Se potesse computare ϕ(n)=(p-1)(q-1), saprebbe fattorizzare n n = pq ϕ(n) = (p-1)(q-1) sostituendo p = n/q p 2 - (n-ϕ(n)+1)p + n = 0 (n φ +1)± (n ϕ(n)+1) 2 4 n 2 Due soluzioni: p,q 45 Attacco 2: computare ϕ(n) Se potesse computare ϕ(n) = (p-1)(q-1), Saprebbe fattorizzare n n = pq ϕ(n) = (p-1)(q-1) sostituendo p = n/q p 2 - (n-ϕ(n)+1)p + n = = pq p p = = (p-1)(q-1) radici: 9539 e Attacco 3: computare d Se fattorizzare n potesse computare d saprebbe Un algoritmo che computa d (con input n,e) può essere usato come oracolo in un algoritmo Las Vegas che fattorizza n con probabilità 1/2 47

13 (n,e) Algoritmo Las Vegas per fattorizzare Calcola inverso e d Sicurezza generazione chiavi di RSA Fattorizza n " Computa d Computa d " Fattorizza n (n,e) Fattorizza Calcola inverso e (p,q) nessuna risposta prob 1/2 prob 1/2 Computare d è equivalente a fattorizzare n Fattorizzazione! Dato n, calcolare due primi p,q >1 tali che n=pq! Per valori grandi di n è un problema ritenuto computazionalmente difficile! Complessità di tempo sub-esponenziale in media! Running time O(2 o(k) ), dove k è la taglia dell input f(n)! f(n)=o(g(n)) se lim = 0 n g(n) 50 Fattorizzazione: un semplice algoritmo Calcolo di un fattore primo: Per tutti i primi p in [2, ] Se p n allora p è fattore di n Esempio:! n=77, numeri primi in [2, 77 ] = 2,3,5,7! n=143, numeri primi in [2, 143 ] = 2,3,5,7,11 n 77=7#11 143=11#13 51

14 Fattorizzazione: un semplice algoritmo Calcolo di un fattore primo: Per tutti i primi p in [2, ] Se p n allora p è fattore di n Complessità caso peggiore Θ( ) = Θ(2 1/2 log n ) (esponenziale nella lunghezza dell input) Se n ha 1024 bit allora n n n Fattorizzazione: complessità algoritmi Complessità di tempo sub-esponenziale in media L q [a,c] = O(e (c+o(1))(ln q)a (lnln q) 1-a ) con c > 0 ed 0 < a < 1! Algoritmo basato su curve ellittiche: L n [ 1/2, 1]! Quadratic sieve: L n [ 1/2, 1]! General Number Field Sieve: L n [ 1/3, 1.923]! # " 64 9 $ & % 1/3 il più veloce = Funzione n: log n Funzione n: 0.5 log n Fattorizzazione: idea complessità algoritmi Quadratic sieve: log (e (ln n)1/2 (lnln n) 1/2 ) General number field sieve: log (e 1.923(ln n)1/3 (lnln n) 2/3 ) Equivalenza key size Come si stabilisce l equivalenza (per la sicurezza) tra le lunghezze delle chiavi pubbliche e simmetriche? sostituendo n=2 N N = log n 54 55

15 Equivalenza key size Come si stabilisce l equivalenza (per la sicurezza) tra le lunghezze delle chiavi pubbliche e simmetriche? Equivalenza key size Complessità GNFS: O(e (c+o(1))(ln n)1/3 (lnln n) 2/3 ) Risolvere l equazione: 2 k = complessità GNFS (2 N ) Sicurezza cifrario a blocchi con chiave di k bit Sicurezza RSA per n di lunghezza N = log 2 n Equivalenza key size Complessità GNFS: O(e (c+o(1))(ln n)1/3 (lnln n) 2/3 ) quindi: Ae (c+o(1))(ln n)1/3 (lnln n) 2/3 Equivalenza key size Complessità GNFS: O(e (c+o(1))(ln n)1/3 (lnln n) 2/3 ) quindi: Ae (c+o(1))(ln n)1/3 (lnln n) 2/3 da determinare! c = 64 $ # & " 9 % 1/3 = =0 da determinare! c = # 64 $ & " 9 % k = log 2 Ae c (ln n)1/3 (lnln n) 2/3 = log 2 Ae c (ln 2N ) 1/3 (lnln 2 N ) 2/3 sostituendo n=2 N = log 2 A + (64/9) 1/3 log 2 (e) (N ln 2) 1/3 (ln (N ln 2)) 2/3 1/3 = =

16 Equivalenza key size Complessità GNFS: O(e (c+o(1))(ln n)1/3 (lnln n) 2/3 ) quindi: Ae (c+o(1))(ln n)1/3 (lnln n) 2/3 da determinare! c = # 64 $ & " 9 % k = log 2 Ae c (ln n)1/3 (lnln n) 2/3 = log 2 Ae c (ln 2N ) 1/3 (lnln 2 N ) 2/3 = log 2 A + (64/9) 1/3 log 2 (e) (N ln 2) 1/3 (ln (N ln 2)) 2/3 Come si determina la costante A? 1/3 = =0 60 Equivalenza key size 2 k = complessità GNFS (2 N ) k = log 2 A + (64/9) 1/3 log 2 (e) (N ln 2) 1/3 (ln (N ln 2)) 2/3 Determinazione di A: Per interi di 512 bit la complessità di GNFS è 4-6 bit meno di DES (56 bit). Assumiamo 50 bit (approccio più conservativo). k = (64/9) 1/3 log 2 (e) (N ln 2) 1/3 (ln (N ln 2)) 2/3-14 ECRYPT II Yearly Report on Algorithms and Keysizes ( ) Giugno k Equivalenza key size N 62 Fattorizzazione: sfide! Martin Gardner, Mathematical Games, Scientific American, 1977 In questo lavoro gli inventori di RSA pubblicarono questa sfida Decifrare: Chiave RSA: n e 9007 Chiave di 426 bit, premio 100 $ Stimarono il tempo richiesto: 40 quadrilioni di anni! Nel 1994: task force di Internet (1.600 pc, 600 volontari) ha reclamato il premio dopo 9 mesi di lavoro 63

17 Fattorizzazione: sfide! RSA factoring challange! Iniziata nel 1991, per incoraggiare la ricerca! Lista di prodotti di 2 primi! Prima RSA-YYY in decimale poi RSA-XXXX in bit! Dichiarata conclusa nel 2007! Premi in dollari, poi annullati! 64 RSA factoring challange Cifre decimali Cifre binarie Data fattorizzazione RSA Apr 1991 RSA Apr 1992 RSA Giu 1993 RSA Apr 1994 RSA Apr 1996 RSA Feb 1999 RSA Apr 2004 RSA Ago 1999 RSA Apr 2003 RSA Dic 2009 RSA Dic 2003 RSA Mag 2010 RSA Nov 2005 RSA Mag 2005 RSA Dic 2009 RSA-129 (Scientific American) 1600 computer per 8 mesi Premio $100 RSA-576 Premio $ RSA-640 Premio $ RSA-200 RSA-768! 200 cifre decimali! Fattorizzato 9 maggio 2005 da F. Bahr, M. Boehm, J. Franke, e T. Kleinjung! Tempo equivalente al lavoro di 75 anni di un singolo computer con processore 2.2 GHz AMD Opteron e 2 GB RAM RSA-200 = p q p q! 232 cifre decimali, ovvero 768 bit! Fattorizzato 12 dicembre 2009 da Thorsten Kleinjung, Kazumaro Aoki, Jens Franke, Arjen K. Lenstra, Emmanuel Thomé, Joppe W. Bos, Pierrick Gaudry, Alexander Kruppa, Peter L. Montgomery, Dag Arne Osvik, Herman te Riele, Andrey Timofeev, e Paul Zimmermann! Tempo equivalente al lavoro di anni di un singolo computer con processore 2.2 GHz AMD Opteron e 2 GB RAM RSA-768 =

18 RSA factoring challange Cifre decimali Cifre binarie Premio (ritirato) Che modulo scegliere? RSA $ RSA RSA $ RSA RSA $ RSA RSA $ RSA RSA RSA $ ! Non ancora fattorizzati! Premi annullati 68! Ad oggi, i numeri più difficili da fattorizzare sono del tipo n = p q con p,q primi della stessa lunghezza! e di almeno (RSA Lab., Cryptobytes, 1995)! 768 bit per uso personale! 1024 bit per le aziende! 2048 per chiavi importanti -ad esempio Autorità di Certificazione 69 Che modulo scegliere? Che parametri scegliere? Bisogna tener conto dell expected security life! Maggio 2003! NIST SP , Recommendation for Key Management, Part 1: General (Revised), Marzo

19 Che parametri scegliere? Sicurezza cifratura RSA Bisogna tener conto dell expected security life Esempi:! Fatto nel 2005! Expected security life = 5 anni Conoscendo la chiave pubblica (n,e) e il messaggio cifrato C M e mod n! Fatto nel 2005! Expected security life = 6 anni vuole calcolare il messaggio M NIST SP , Recommendation for Key Management, Part 1: General (Revised), Marzo Sicurezza cifratura RSA Sicurezza cifratura RSA Se potesse fattorizzare n saprebbe computare M Se potesse computare M 1. Fattorizza n 2. Computa ϕ(n)=(p-1)(q-1) 3. Computa d e -1 mod (p-1)(q-1) 4. Ricava M decifrando C Importante problema aperto: non si sa se questo sia computazionalmente equivalente a fattorizzare! 74 75

20 Altri attacchi ad RSA! Attacchi non basati sul problema della fattorizzazione! Chosen ciphertext attack! Common modulus attack! Low exponent attack! Attacchi ad implementazioni Chosen ciphertext attack C 1 = M e 1 mod n C 2 = M e 2 mod n Obiettivo: decifrare C (= M e mod n) Decifrazione (d,n) (M 1 M 2 ) e = M 1e M 2 e = C 1 C 2 mod n Proprietà di omomorfismo C' C x e mod n M' (C') d mod n Scelgo x a caso M' = (C') d =(C x e ) d = C d x mod n M M' x -1 mod n Common Modulus Attack! Stesso modulo n per diverse chiavi pubbliche! Chiave : (n,e 1 ), chiave Bob: (n,e 2 )! gcd(e 1,e 2 )=1! Stesso messaggio M inviato ai vari utenti! Cifratura per : C 1 =M e1 mod n,! Cifratura per Bob: C 2 =M e2 mod n! E semplice risalire ad M! Usa Euclide esteso per calcolare x, y tali che 1=e 1 x+e 2 y! C 1x C 2 y mod n = (M e1 ) x (M e2 ) y = M e1x+e2y = M 78 Low Exponent Attack! Stesso e per diverse chiavi pubbliche! Chiave : (n 1,3), chiave Bob: (n 2,3), chiave Eva: (n 3,3)! gcd(n i,n j )=1, i j! Stesso messaggio M inviato ai vari utenti! Cifratura per : C 1 =M 3 mod n 1! Cifratura per Bob: C 2 =M 3 mod n 2! Cifratura per Eva: C 3 =M 3 mod n 3! E semplice risalire ad M! Usa Teorema cinese del resto per calcolare la soluzione di x C 1 mod n 1 x C 2 mod n 2 x C 3 mod n 3 x = M 3 mod n 1 n 2 n 3 poi calcola M = x 1/3 79

21 RSA: Attacchi ad implementazioni! Timing Attack [Kocher, 97]! Ricava i bit di d uno alla volta, analizzando il tempo richiesto per l esponenziazione modulare (decifratura)! Power Attack [Kocher, 99]! Ricava d analizzando la potenza consumata da una smartcard durante la decifratura! Contromisure! Ritardo costante (tutte le esponenziazioni richiedono lo stesso tempo)! Ritardo casuale (introduce rumore per confondere l avversario)! Blinding (moltiplica il cifrato per un numero casuale prima di decifrare) PKCS #1! Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications, Version 2.1! Ver. 1.4, giugno 1991,, Ver. 2.1, giugno 2002 (= RFC 3447 nel feb 2003)! Due schemi per la cifratura! RSAES-PKCS1-v1_5 Problemi di sicurezza! RSAES-OAEP. (Optimal Asymmetric Encryption Padding) Rende casuale il messaggio da cifrare M. Bellare and P. Rogaway. Optimal Asymmetric Encryption - How to Encrypt with RSA, Eurocrypt 1994 Provable security in the random oracle model RSAES-PKCS1-v1_5 Un attacco a PKCS1 usato in SSL Bleichenbacher [Crypto 1998], chosen ciphertext attack garantisce <n 02 cifratura 01 firma byte casuali 00 #byte 8 fine del padding E PKCS1? 02 d Web Server C i SI: continua NO: errore I primi 2 byte di C i sono 02? random 00 dato da cifrare Cifratura(dato da cifrare) = ( ) e mod n 82 Per decifrare un testo cifrato C=(PKCS1(M)) e mod n:! Scegliere a caso r Z n.! C i = r ie C = (r i PKCS1(M)) e mod n! Invia C al server web ed annota la risposta! Se è accettato allora i primi 2 byte di r PKCS1(M) mod n sono =02 altrimenti sono 02 83

22 Optimal Asymmetric Encryption Padding Optimal Asymmetric Encryption Padding OAEP " Cifratura! s = (M 00) G(r)! t = r H(s)! C = Enc(s t) padding cifratura M 00 r G H OAEP " Cifratura! s = (M 00) G(r)! t = r H(s)! C = Enc(s t) padding cifratura M 00 r G H Struttura simile ad un cifrario Feistel G H s t funzioni hash (random oracle) 84 Decifratura " OAEP! (s,t) = Dec(C )! r = t H(s)! M 00 = s G(r) decifratura padding s t M 00 r G H s t Controllare RSA Encryption with RSA-OAEP Padding L (empty string) Hash RSA Encryption with RSA-OAEP Padding P (optionale) Hash seed M seed M MGF = mask generation function MGF = mask generation function data block DB MGF(x) = Hash(x 0) Hash(x 1)... MGF = mask generation function MGF = mask generation function DB 00 masked seed masked DB 00 masked seed masked DB C = ( ) e mod n 86 C = ( ) e mod n 87

23 Cifrari asimmetrici Crittografia a chiave pubblica! RSA [1977] (fattorizzazione) rotto!! Merkle-Hellman [1978] (zaino 0-1) - Molte varianti rotte! Resiste Chor-Rivest [1988]! Rabin [1979] (fattorizzazione)! McEliece [1978] (decodifica codici lineari)! El-Gamal [1984] (logaritmo discreto)! Uso di curve ellittiche [1985] - curve iperellittiche [1989] - automi cellulari [1985] 88 Nel 1997 è stato rivelato che è stata sviluppata da! James H. Ellis, Clifford Cocks e Malcolm Williamson! Government Communications Headquarters (GCHQ), UK nel 1973! Scoperta indipendente di accordo su chiavi Diffie-Hellman e caso speciale di RSA 89 Bibliografia! Cryptography and Network Security by W. Stallings, 2010! cap. 9 (Public-Key Cryptography and RSA) Domande?! Cryptography: Theory and Practice (I ed.) by D.R. Stinson (1995)! cap 5 (The RSA System and Factoring) 90 91