M firma. M firma. Firma Digitale. Firma Digitale. Firma digitale. Firma digitale. Firma Digitale. Equivalente alla firma convenzionale

Transcript

1 firma irma Digitale Equivalente alla firma convenzionale firma irma Digitale Equivalente alla firma convenzionale Soluzione naive: incollare firma digitalizzata irma Digitale 0 irma Digitale 1 firma irma Digitale Soluzione naive: incollare firma digitalizzata Equivalente alla firma convenzionale irma Digitale 2 Desiderata per la irma Digitale La firma digitale deve poter essere facilmente prodotta dal legittimo firmatario Nessun utente deve poter riprodurre la firma di altri Chiunque può facilmente verificare una firma irma Digitale 3 irma digitale irma digitale kpriv kpub kpriv kpub Devo firmare?? irma di IR (,kpriv) irma Digitale 4 irma Digitale 5

2 Verifica firma digitale Verifica firma digitale kpub kpub Devo verificare se è una firma di per Verifica firma di vera se VERIIC (,,kpub) = SI falsa altrimenti irma Digitale 6 irma Digitale 7 irme digitali che vedremo RS RS Proposto nel 1978 da Digital Signature Standard (DSS) Rivest Shamir dleman Sicurezza basata sulla difficoltà di fattorizzare irma Digitale 8 irma Digitale 9 Chiavi RS irma RS (n,d) (n,d) n = pq p,q primi ed = 1 mod (p-1)(q-1) Devo firmare?? irma Digitale 10 irma Digitale 11

3 irma RS Verifica firma RS (n,d) irma di irma (n.d) () = d mod n d mod n Devo verificare se è una firma di per irma Digitale 12 irma Digitale 13 Verifica firma RS Verifica firma di vera se = e mod n falsa altrimenti irma Digitale 14 Piccolo esempio: Chiavi RS (n=3337, d=1019) utente chiave pubblica (n (n = 3337, e = 79) 3337 = p = 47, q = 71 ed = = 1 mod 3220 (p-1)(q-1) = = 3220 irma Digitale 15 Piccolo esempio: irma RS Piccolo esempio: irma RS (n=3337, d=1019) (n (n = 3337, e = 79) (n=3337, d=1019) (n (n = 3337, e = 79) Devo firmare = ?? irma Digitale 16 irma di 1570 = mod 3337 = irma Digitale 17

4 Piccolo esempio: Verifica firma Correttezza verifica firma RS (n (n = 3337, e = 79) Verifica firma di = mod 3337 e mod n = ( d ) e mod n = ed mod n = mod n = ed = 1 mod (p-1)(q-1) x Z n * x (p-1)(q-1) =1 mod n irma Digitale 18 poichè 0 <n Prova per tutti gli gli x mediante il il teorema del resto cinese irma Digitale 19 Esercizio Svolgere piccolo esempio firma RS issato e = 3 Calcolo p, q Calcolo n Calcolo d Calcolo firma Verifica firma irma digitale di messaggi grandi Se >n, come si firma? Prima soluzione i <n 1 2 irma() (irma( 1 ), ), irma( 2 ), ),) Problemi Efficienza Permutazione/composizione delle firme nuova firma irma Digitale 20 irma Digitale 21 unzioni Hash irma digitale di messaggi grandi lunghezza arbitraria/finita unzione Hash b bit Il valore hash h() è una rappresentazione non ambigua e non falsificabile del messaggio Proprietà: comprime facile da computare Sicurezza forte: computazionalmente difficile trovare 2 diversi messaggi con lo stesso valore hash Soluzione h() irma() (irma(h()) Efficienza Vantaggi Integrità One-way way: dato y è computazionalmente difficile trovare tale che y = h() irma Digitale 22 irma Digitale 23

5 Sicurezza firma RS Sicurezza firma RS Voglio falsificare la firma di da parte di Voglio generare messaggi e firme da parte di Devo calcolare d mod n Equivalente a rompere crittosistema RS?? irma Digitale Scelgo a caso 2. e mod n irma Digitale 25 irma RS con hash Verifica firma RS con hash (n,d) irma di irma (n.d) () = [h()] d mod n [h()] d mod n Devo verificare se è una firma di per irma Digitale 26 irma Digitale 27 Verifica firma RS Verifica firma di vera se h() = e mod n falsa altrimenti irma Digitale 28 Sicurezza firma RS Voglio generare messaggi e firme da parte di 1. Scelgo a caso 2. z e mod n 3. h -1 (z) Come faccio ad invertire h? h -1 (z) irma Digitale 29

6 irma digitale con hash messaggi piccoli h() h() irma() (irma(h()) Vantaggi messaggi grandi Efficienza Integrità Sicurezza irma Digitale 30 Digital Signature Standard (DSS) Proposto nell'agosto del 1991 dal National Institute of Standard and Technology (NIST) Digital Signature lgorithm (DS) Digital Signature Standard (DSS) Standard rivisto nel 1993, in risposta alle critiche odifica ingegnosa dello schema di El Gamal irme DSS sempre di 320 bit (buone per smart card) Sicurezza basata sulla difficoltà del logaritmo discreto irma Digitale 31 Chiavi DS Chiavi DS p primo di 512,, 1024 bit β=α s mod p α in Z p* di ordine q q primo di 160 bit, q (p-1) s numero casuale, s<q irma Digitale 32 irma Digitale 33 Chiavi DS ( piccolo esempio) irma DS (7879,101,170,75) utente chiave pubblica (7879,101,170,4567) p = 7879 primo 4567 = mod 7879 α = 170 Z 7879* di ordine 101 q = 101 primo, p = 78q+1 s = 75 numero casuale irma Digitale 34 Devo firmare?? irma Digitale 35

7 irma DS irma di r numero casuale in [1,q-1] γ (α r mod p) mod q δ (SH()+sγ)r -1 mod q firma (,r) = (γ,δ) (γ,δ) irma Digitale 36 Verifica firma DS (γ,δ) Devo verificare se (γ,δ) è una firma di per irma Digitale 37 Verifica firma DS (γ,δ) Verifica firma di e SH()δ -1 mod q e γδ -1 mod q vera se γ = (α e β e mod p) mod q falsa altrimenti irma Digitale 38 Efficienza firma DS irma_ds(,p,q,α,s) r numero casuale in in [1,q-1] γ (α r mod p) p) mod q δ (SH()+sγ)r -1-1 mod q output firma (,r) = (γ,δ) Lunghezza firma = 320 bit Computazioni off-line: r, sγ, r -1 mod q Computazioni on-line: SH(), +, irma Digitale 39 Verifica firma DS Verifica_firma_DS(,γ,δ,p,q,α,β) e e SH()δ -1-1 mod q e γδ -1-1 mod q vera se γ = (α e e β e e mod p) p) mod q ver (,γ,δ) = falsa altrimenti Output ver (,γ,δ) Correttezza verifica firma DS (α e β e mod p) mod q = (α SH()δ-1 mod q α sγδ-1 mod q modp) modq = (α SH()δ-1 +sγδ -1 mod p) mod q = (α r modp) modq e = SH()δ -1 mod q e = γδ -1 mod q β = α s mod p α è di ordine q δ -1 (SH()+sγ) = r mod q = γ irma Digitale 40 irma Digitale 41

8 Generazione di p e q Generazione di p e q Scegli p Scegli q di 160 bit tale che q (p-1) Scegli p Scegli q di 160 bit tale che q (p-1) irma Digitale 42 irma Digitale 43 Generazione di p e q Scegli un primo q di 160 bit Scegli un primo p di 512/1024 bit tale che q (p-1) o Scegli X di 512 bit (oppure bit) o p X - ((X mod 2q)-1) o se p è primo e p esci altrimenti riprova 2q (p-1) Scelta di un elemento di ordine q Ordine di α Z n* = il più piccolo intero positivo r tale che α r =1 mod n p,q primi tali che q (p-1) Scegli_ordineq (p,q) 1. g elemento scelto a caso in in Z * p 2. α g (p-1)/q (p-1)/q mod p 3. if if α 1 then return α else go to 1. irma Digitale 44 irma Digitale 45 Correttezza di Scegli_ordineq Probabilità successo singola iterazione Scegli_ordineq (p,q) 1. g elemento scelto a caso in in Z * p 2. α g (p-1)/q (p-1)/q mod p 3. if if α 1 then return α else go to 1. α q (g (p-1)/q ) q g p-1 1 mod p q è il più piccolo intero tale che α q 1 mod n α è di ordine q dal dal Teorema di di Lagrange l ordine di di α divide q irma Digitale 46 Se g è un generatore allora g (p-1)/q 1 mod p Probabilità successo Probabilità che g è generatore > 1/(6lnln(p-1)) Numero medio di iterazioni < 6lnln(p-1) 512 bit 6 lnln(2 512 ) 35, bit 6 lnln( ) 39, bit 6 lnln( ) 43,54 irma Digitale 47

9 Chiavi globali ed individuali Chiavi globali ed individuali Sicurezza basata sul valore privato s I valori p,q,α possono essere gli stessi per un gruppo di utenti Un autorità sceglie p,q,α Il singolo utente sceglie solo s,β Sicurezza basata sul valore privato s I valori p,q,α possono essere gli stessi per un gruppo di utenti Un autorità sceglie p,q,α Il singolo utente sceglie solo s,β irma Digitale 48 irma Digitale 49 Generazione di q Scegli a caso S di 160 bit S S+1 SH SH 160 bit Ripeti con un nuovo S finchè q è primo u 1 1 q Generazione di p (512 bit) S+2 S+3 S+4 S+5 SH SH SH SH V 0 V 1 V 2 V 3 S è un testimone della validità di q irma Digitale 50 irma Digitale 51 Generazione di p (512 bit) S+2 S+3 S+4 S+5 Generazione di p (512 bit) S+6 S+7 S+8 S+9 SH SH SH SH 511 = SH SH SH SH 511 = V 0 V 1 V 2 V 3 X =512 V 0 V 1 V 2 V 3 X =512 X V 0 +V V (V 3 mod 2 31 ) p X - ((X mod 2q)-1) se p è primo e p esci altrimenti 2q (p-1) X V 0 +V V (V 3 mod 2 31 ) p X - ((X mod 2q)-1) se p è primo e p esci altrimenti 2q (p-1) irma Digitale 52 irma Digitale 53

10 Generazione di p (512 bit) N 2,6,10,, (per 4096 volte) S+N S+N+1 S+N+2 S+N+3 SH SH SH SH V 0 V 1 V 2 V = X V 0 +V V (V 3 mod 2 31 ) p X - ((X mod 2q)-1) se p è primo e p esci altrimenti X =512 2q (p-1) S,(N-2)/4 sono testimoni irma Digitale 54 Generazione di p e q Seleziona_pq(L) (1) (1) Computa interi n e b tali tali che che L-1=160n+b (2) (2) repeat (3) (3) repeat (4) (4) S sequenza casuale di di almeno bit bit (5) (5) g S S (6) (6) U SH(S) SH((S+1) mod mod 2 g g ) (7) (7) orma orma q da da U ponendo il il SB SB ed ed il il LSB LSB ad ad 1 (8) (8) until until q primo primo (9) (9) C 0 (10) (10) N 2 (11) (11) repeat (12) (12) for for k=0 k=0 to to n do do V k k SH(S+N+k) mod mod 2 g (13) g (13) W V 0 +V 0 +V V n-1 2 n (n-1) 160(n-1) +(V +(V n mod n mod 2 b b ) 2 ) 2 160n (14) 160n (14) X W+2 W+2 L-1 (15) L-1 (15) p X-((X X-((X mod mod 2q)-1) (16) (16) until until (p (p primo) or or (p<2 (p<2 L-1 L-1 ) (17) (17) if if p<2 p<2 L-1 (18) L-1 (18) then then C C+1 C+1 (19) (19) N N+n+1 N+n+1 (20) (20) if if C<4096 then then goto goto step step (12) (12) (21) (21) else else Help Help falso falso (22) (22) else else Help Help vero vero (23) (23) until until Help Help (24) irma Digitale 55 (24) return p,q,s,c Confronto tempi firme RS e DS Prestazioni DSS RS DSS con p,q,a comuni precomputazioni 14 sec 4 sec firma 0.3 sec 15 sec 0.3 sec verifica 16 sec 1.5 sec 10 sec 1-5 sec Off Cards 1-3 sec Off Cards Implementazioni su smart card [1993] Computazioni Off Cards su a 33Hz Pentium II 400 OpenSSL RS DS RS DS RS DS bit chiave firme/s verifiche/s irma Digitale 56 irma Digitale 57