MECCANISMI DI BASE: Generatori di bit casuali

Transcript

1 MECCANISMI DI BASE: Generatori di bit casuali

2 Random Number/Bit Generator RNG b 1 b 2 b 3 b i.. b n Proprietà di casualità dei bit: indipendenza statistica valori equiprobabili Test statistici (FIPS 140-2): χ2 Monobit: numero di 1 e di 0 Pocker: sequenze di M bit Run: block (1) e gap (0) Long Run: block più lungo Altri test statistici: Autocor.: differenze dopo shift TdF: distanza pattern ripetitivi Compressione LZ: lunghezza

3 True Random Number Generator Fenomeni fisici: Decadimento radioattivo, rumore termico, turbolenza di un fluido Segnali di apparati elettronici: Microfono, telecamera, oscillatore Programmi di estrazione di rumore dal funzionamento del computer Tastiera, Mouse, n di processi attivi, traffico di rete Bassa bit rate memorizzazione Polarizzazione deskewing TRNG H Non riproducibilità

4 Elaborazione del rumore

5 Pseudo Random Number Generator F U i Periodo > G S i+1 Congruenza lineare X i+1 = (a.x i +b) mod m m = , a = 7 5, b = 0 Casualità: SI Riproducibilità: SI Imprevedibilità: NO S i registro di stato S 0 U i = F(S i ) S i+1 = G(S i ) S 0 : seme (seed) X 1 = (a.x 0 +b) mod m X 2 = (a.x 1 +b) mod m X 3 = (a.x 2 +b) mod m

6 Cryptographically Secure PseudoRandom Bit Generator casualità dell uscita imprevedibilità dell uscita Test statistici Next-bit test: dati L bit della stringa d uscita non deve esistere un algoritmo polinomiale in grado di predire il bit L+1-esimo con probabilità > 0,5 indeducibilità del seed One-way function Crittografia simmetrica: verifica sperimentale alta velocità Crittografia asimmetrica: dimostrazione teorica bassa velocità

7 PRNG crittografico RFC:1750 RNG seme PRNG sequenza lunghissima casuale imprevedibile seed segreto casuale imprevedibile Output function One-way function Next-state function imprevedibilità verificabile dimostrabile Hash Cifratura sim. Cifratura asim.

8 Secure Random di Java next reseed +1 Contatore RES Random pool seed re-seed H 160 bit

9 PRNG con cifratura di un contatore seed enable load +1 LD Contatore 64/128 bit seed chiave segreta E

10 PRNG X9.17 Obiettivo: chiavi e vettori di inizializzazione per il DES Meccanismo: TDES a due chiavi Chiave k (112 bit) data/ora (64 bit) EDE EDE EDE S i+1 (64 bit) seed i (64 bit) R i (64 bit)

11 MECCANISMI DI BASE: Algoritmi di hash

12 messaggio Algoritmi di hash: proprietà m H h = H(m) impronta R18(efficienza: il calcolo di H(x) deve essere facile per ogni x R19 (robustezza debole alle collisioni): per ogni x deve essere infattibile trovare un y x tale che H(y) = H(x) R20 (robustezza forte alle collisioni): deve essere infattibile trovare una qualsiasi coppia y, x tale che H(y) = H(x) R21 (unidirezionalità): per ogni h deve essere infattibile trovare un x tale che H(x) = h

13 Efficienza: compressione iterata padding m 0 r bit m 1 m N IV = h 0 f f f n bit h 1 n bit h 2 h N+1 = H(m) t

14 Message Digest Generation Using SHA-1

15 SHA-1

16 Attacco con lenght extension A s H H(s m) m m =? H s B Si/No m 0 m 1 m N H(s m) f f f h 1 h 2 h N = H(s m m )

17 Attacco al segreto con una collisione A s H H (m s) H(m) = H(m ) =? H s B Si/No H(m s) = H(m s) per ogni s H(m s) autentica m!!!

18 Contromisura: impronta di un impronta m messaggio AB segreto condiviso da A e da B H(H(AB m)) m AB H H H(H(AB m) m) m AB H m H HMAC(AB, m) RFC(2104) a AB 512 bit b AB 512 bit m H H

19 Funzione Hash crittografica: dimensionamento dell impronta Quanti bit deve avere un impronta per essere sicura?

20 Complessità del calcolo di una collisione IPOTESI: una funzione hash sottoposta ad ingressi scelti a caso restituisce, con eguale probabilità, uno dei suoi 2 n valori d uscita. Problema: individuare un ingresso che fornisca un impronta assegnata un tentativo: probabilità di successo P 1 (2 n, 1) = 2 -n, probabilità di insuccesso 1-2 -n. k tentativi: probabilità di successo P 1 (2 n, k) = 1 (1-2 -n ) k n n Teorema binomiale: (b+a) n = Σ ( ) b i a n-i i=0 i (1-2 -n ) k =1- k 2 -n + k(k-1) 2-2n /2! k(k-1)(k-2) 2-3n /3! +.. P 1 (2 n, k) = k. 2 -n k.(k-1). 2-2n /2 + k.(k-1).(k-2). 2-3n /6 -.. ecc. k. 2 -n quando 2 -n è molto piccolo S: probabilità di successo desiderata S = P 1 (2 n, k) k = S.2 n O(exp(n))

21 Robustezza debole alle collisioni Tempo di esecuzione ( anni MIPS) Ricerca di una collisione > 80 bit Calcolo di un impronta Dimensione dell impronta (bit)

22 Il paradosso del giorno del compleanno Birthday paradox Nell ipotesi che le date di nascita siano equiprobabili, è sufficiente scegliere a caso 253 persone per avere una probabilità > 0,5 che una di queste compia gli anni in un dato giorno. Sono invece sufficienti 23 persone scelte a caso per avere una probabilità > 0,5 che due o più compiano gli anni nello stesso giorno.

23 Calcolo di due input in collisioni P 2 (2 n, k) probabilità di due uscite identiche con k 2 n ingressi scelti a caso sequenze d uscita possibili: (2 n ) k differenti sequenze con valori tutti diversi: 2 n! / (2 n -k)! tutti diversi tutti P 2 (2 n, k) = 1 (2 n! / (2 n -k)!)/(2 n ) k = 1 (2 n (2 n -1) (2 n -2)... (2 n -k+1))/2 n k = 1 (1-1/2 n )(1-2/2 n )... (1-(k-1)/ 2 n ) N.B. (1-x) e -x è valida per x 0, e -x è una buona approssimazione di (1-x) per x < 0,3 P 2 (2 n, k) 1-exp[-2 -n ( (k-1))] = 1 exp [- 2 -n (k(k-1)/ 2)] e per k grande 1 exp [- 2 -n (k 2 / 2)] IPOTESI: P 2 = ½ 1- ½ = exp[-2 -n (k 2 /2)] ln 2 = 2 -n (k 2 /2) k = [2 (ln 2) ] 1/2 2 n/2 = 1,18 2 n/2 Paradosso del compleanno: O(exp(n/2)) k = (2.ln(2)) 1/2.(365) 1/2 = 22,54.

24 Robustezza forte alle collisioni Tempo di esecuzione ( anni MIPS) Ricerca di una collisione Ricerca di due dati in collisione > 80 bit >160 Calcolo di un impronta Dimensione dell impronta (bit)

25 Birthday attack Nello schema di firma digitale, l intruso (anche chi firma o chi verifica) non deve poter individuare una coppia m, m in collisione (R20) L attaccante che vuole due messaggi con la stessa impronta 1. genera 2 n/2 piccole varianti del primo messaggio 2. calcola e memorizza gli hash 3. Modifica lievemente il secondo messaggio, calcola l hash e controlla se è in memoria; in caso contrario ripete O(exp(n/2)) spazi punteggiatura Programma di prova in Java sinonimi per hash di 40 bit S-vLab

26 Secure HASH functions Algoritmi di hash MD5 SHA-1 RIPEMD-160 più noti ed usati Digest length Basic unit of processing 128 bits 160 bits 512 bits 512 bits 160 bits 512 bits Number of steps 64 (4 rounds of 16) 80 (4 rounds of 20) 160 (5 paired rounds of 16) Maximum message size bits Tiger (1996) 192 bit NIST 2002: SHA-256 SHA-384 SHA-512 Whirlpool (2002) 512 bit SHA-3 (2011)?

27 Resistenza alle collisioni e firma digitale m S H s c v H D =? SS PS Si/No Quando valgono R19, R20 l impronta H(m) identifica m Con la firma di H(m) si ottiene: efficienza individuazione di modifiche a m e/o a c apportate dall intruso S non può sostenere di aver inviato m* e non m D non può sostenere di aver ricevuto da S un m* da lui inventato

28 R21: unidirezionalità (non invertibilità) Firma PRNG r V x H -1 r S SU (H(y)) = r y PU I messaggi firmati devono avere un formato prefissato Identificazione H -1 Segreto s H Impronta H(s) Hash: cifratura senza decifrazione!

29 Servizi d identificazione

30 Dimostrazione di conoscenza passiva (o debole) A B: segreto psw one-time psw attiva ( o forte) A B: F i (segreto) challenge/response zero knowledge identificazione passiva attiva unilaterale SI SI reciproca NO SI

31 Identificazione passiva

32 La password intruso Indovinare Intercettare Leggere Attacco con replica psw segreta A pswa? A pswa B pswb C pswc. Utente A S/N Macchina M

33 Difesa della password 1 - Scelta lunga stringa casuale utente, sistema, passphrase R22: almeno 8 simboli casuali L.196/ Memorizzazione File di password cifrate imparare a memoria 3-Comunicazione A prova d intercettazione eco, sportello, inaccessibilità fisica N.B. la cifratura è inutile!

34 Bancomat: identificazione del cliente PIN clienti E k D k mio? SI NO D k k B k B E k black list Identificazione: 1- conoscenza 2- possesso E k (PIN) E k k M D k Ek (ID) Banca Sistema interbancario PIN ID Sportello CFR SI/NO n tentativi D k k M E k

35 Difesa del file delle password R14bis: L accesso in scrittura al file delle psw deve essere consentito solo all amministratore del servizio R15bis: L accesso in lettura al file delle psw deve restituire all intruso dati non utilizzabili per farsi identificare come utente legittimo Hash della password: forma di cifratura per cui non esiste decifrazione!

36 hash delle password Utente Macchina IDX A H(PSWA) B H(PSWB) C H(PSWC)... PSWX H =? R21: hash one-way Attacco con dizionario

37 hash delle password e dei salt Utente X Macchina IDX A salta H(PSWA salta) B saltb H(PSWB saltb) C saltc H(PSWC saltc).... PSWX H =?

38 Identificazione unilaterale e reciproca A pswa A B pswb B A pswa A down I mascherato da B A pswa I mascherato da A B pswb B Solo l identificazione attiva può essere anche mutua

39 Identificazione attiva

40 La prova di conoscenza sempre diversa one-time psw attiva ( o forte) A B: F i (segreto) challenge/response zero knowledge R23: Il calcolo della prova d identità da fornire di volta in volta deve essere facile per chi conosce un informazione segreta, difficile per chi dispone solo delle prove inviate in precedenza

41 One-time password A F n (X) F n-1 (X) Utente A F n-2 (X) F i (X) F 1 (X) X F non invertibile o unidirezionale F =? A si Macchina M

42 Cifratura one-time S PSW e c d PSW D Session key One-time key

43 ID & password Home banking (1) identificazione & riservatezza Gestione: conto corrente titoli ecc. controllo d accesso e d SSL sopra il TCP Sicurezza in rete: IPSec,IPv6 HTTPS: Cilma & Multitel

44 Sfida/Risposta (Hash) 1: sfida nonce RB s s H A R21: hash one-way 2: risposta 1. B A: RB; 2. A B: ca = H(RB s). H CFR B SI / NO

45 Home banking (2) ID & password & token sfida/risposta: Unicredit, Sanpaolo,

46 GSM: identificazione e riservatezza IMSI digit Ki 128 bit HLR AUC IMSI Ki Ki IMSI ME tratta radio BTS rete fissa RAND RNG SIM cfr SRES H(A3) H(A3) Kc H(A8) H(A8) Df (A5) Ef (A5) Ef (A5) Df (A5) RAND 128 bit SRES 32 bit Kc 64 bit

47 Identificazione mutua 1. B A: RB; 2. A B: ca = RA H(RB s); 3. B A: cb = H(RA s). 1. B A: RB; 2. A B: ca = RA H(RA RB B s); 3. B A: cb = H(RA RB A s). Il problema del Gran Maestro di scacchi A vuole spacciarsi per un grande esperto di scacchi pur non conoscendo il gioco. A sfida due Gran Maestri B e C, che sistema, senza che se ne accorgano, in due camere contigue: a B assegna i bianchi, a C i neri. Preso nota della prima mossa di B, A corre nell altra stanza e la riproduce sulla scacchiera di C. Successivamente prende nota della contromossa di C e corre a riprodurla sulla scacchiera di B. Continuando così ottiene o due patte o un incredibile vittoria. Marca temporale (time stamp) Numero di sequenza

48 Identificando Il protocollo sfida/risposta (Cifrario,, Firma digitale) ID Verificatore Identificando ID Verificatore RNG r r RNG r Segreto d c r e Segreto s = 1: Tempo di risposta 2: Si/No Identificazione mutua c v = Si/No

49 Zero-knowledge protocols Principio: dare solo una testimonianza di saper risolvere facilmente un problema da tutti ritenuto difficile Ali Babà s Cave A 1.Testimonianza 2.Sfida B 3.Risposta door

50 Il calcolatore portatile e personale controllo d'accesso (PIN) dispositivi anti-intrusione risorse di elaborazione adeguate Telefoni cellulari Home banking Carta d identità Passaporto europeo. Registrazione esami

51 Smart card a contatto ROM PROM bottone RAM BUS P I/O chip architettura

52 Tipi e Standard a contatto senza contatto a prossimità ISO 7816 Microsoft Crypto API PKCS#11 PKCS#15 PC/SC Workgroup

53 Smart tag Supermecato: bancone e magazzino carrello e conto della spesa cassa automatica (occupazione?) Portafoglio (privacy?) Pascolo Maratona Automazione di fabbrica. IBM, HP RSA, Certicom Intel Electronic Product Code Sensor networks Autenticazione a chiave pubblica