Firme digitali. Firma Digitale. Firma Digitale. Firma Digitale. Equivalente alla firma convenzionale. Equivalente alla firma convenzionale

Transcript

1 irme digitali lfredo De Santis Dipartimento di Informatica ed pplicazioni Università di Salerno arzo firma irma Digitale Equivalente alla firma convenzionale 1 irma Digitale irma Digitale Equivalente alla firma convenzionale Equivalente alla firma convenzionale firma firma Soluzione naive: Soluzione naive: incollare firma digitalizzata incollare firma digitalizzata 2 3

2 Requisiti per la irma Digitale irma digitale kpriv La firma digitale deve poter essere facilmente prodotta dal legittimo firmatario?? Nessun utente deve poter riprodurre la firma di altri kpub Chiunque può facilmente Devo firmare verificare una firma 4 5 irma digitale kpriv irma digitale kpriv kpub kpub (, canal e insi curo irma di IR (,kpriv) ) Bob 6 7

3 Verifica firma digitale Verifica firma digitale kpub kpub Devo verificare se è una firma di per Verifica firma di vera se VERIIC (,,kpub) = SI falsa altrimenti 8 9 Sicurezza! Cosa si intende per sicurezza di uno schema di firme digitali?! Dobbiamo definire! Tipo di attacco! Scopo dell attacco Tipo di attacco! Key-only ttack! Oscar conosce solo kpub di! Known essage ttack! Oscar conosce una lista di messaggi e le relative firme di! Chosen essage ttack! Oscar sceglie dei messaggi e chiede ad di firmarli 10 11

4 Scopo dell attacco! Total break! Determinare kpriv di per poter firmare qualsiasi messaggio! Selective forgery! Dato un messaggio, determinare la firma tale che VERIIC (,,kpub) = SI! Existential forgery! Determinare una coppia (,) tale che VERIIC (,,kpub) = SI irme digitali che vedremo! RS! ElGamal! Digital Signature Standard (DSS) firma RS Chiavi RS Proposto nel 1978 da (n,d) Rivest Shamir dleman Sicurezza basata sulla difficoltà di fattorizzare 14 15

5 Chiavi RS (n,d) irma RS (n,d) n = pq p,q primi Devo firmare ed = 1 mod (p-1)(q-1)?? 16 irma RS (n,d) Verifica irma RS irma di d mod n Devo verificare se è una firma di per 19

6 Piccolo esempio: Verifica irma RS Chiavi RS (n=3337, d=1019) utente chiave pubblica (n = 3337, e = 79) 3337 = p = 47, q = 71 Verifica firma di e vera se = mod n ed = = 1 mod 3220 (p-1)(q-1) = = 3220 falsa altrimenti Piccolo esempio: Piccolo esempio: Chiavi RS (n=3337, d=1019) utente (n=3337, d=1019) chiave pubblica (n = 3337, e = 79) Devo firmare =1570 generazione firma RS utente chiave pubblica (n = 3337, e = 79) irma di 1570 = mod 3337 =

7 Piccolo esempio: Verifica firma RS Correttezza verifica firma RS (n = 3337, e = 79) Verifica firma di = mod e mod n = ( d ) e mod n = ed mod n = 1+k(p-1)(q-1) mod n = ( (p-1)(q-1) ) k = mod n = Teorema di Eulero Z n * (p-1)(q-1) =1 mod n poichè 0 <n ed = 1 mod (p-1)(q-1) 25 Correttezza verifica firma RS Sicurezza firma RS e mod n = ( d ) e mod n = ed mod n = 1+k(p-1)(q-1) mod n = ( (p-1)(q-1) ) k = mod n = Teorema di Eulero Z n * (p-1)(q-1) =1 mod n poichè 0 <n ed = 1 mod (p-1)(q-1) Per Z n /Z n * usa il teorema cinese del resto 26 Voglio falsificare la firma di da parte di Selective forgery Key only attack?? 27

8 Sicurezza firma RS Voglio falsificare la firma di da parte di Sicurezza firma RS Voglio falsificare la firma di da parte di Devo calcolare Devo calcolare d mod n d mod n Equivalente a rompere il crittosistema RS?? Selective forgery Key only attack?? Selective forgery Key only attack 28 Sicurezza firma RS Voglio falsificare una firma da parte di Sicurezza firma RS Voglio falsificare la firma di da parte di 1. Scelgo a caso Existential forgery Key only attack e mod n Existential forgery Key only attack 30 31

9 Sicurezza firma RS Sicurezza firma RS Voglio generare messaggi e firme da parte di Voglio generare messaggi e firme da parte di Conosco le coppie (1,1) e (2,2) Proprietà di omomorfismo 1 = 1d mod n 2 = 2d mod n (12)e mod n = 1e 2e mod n = 12 mod n 12 mod n è una firma valida per 12 mod n Existential forgery Known message attack Existential forgery Known message attack 32 Sicurezza firma RS Voglio falsificare la firma di da parte di Sicurezza firma RS Voglio falsificare la firma 33 di da parte di 1. Scelgo 1 e 2 tali che =12 mod n 2. Chiedo ad di firmare 1 e 2 ottenendo 1 e mod n è una firma valida per Selective forgery Chosen message attack Selective forgery Chosen message attack 34 35

10 irma digitale di messaggi grandi unzioni Hash Se >n, come si firma? Prima soluzione i<n 1 2 lunghezza arbitraria/finita Efficienza Permutazione/composizione delle firme nuova firma 36 messaggi grandi h() h()! comprime! facile da computare! Sicurezza forte: computazionalmente difficile trovare 2 diversi messaggi con lo stesso valore hash! One-way: dato y è computazionalmente difficile trovare tale che y = h() 37 irma RS con hash irma digitale con hash messaggi piccoli (n,d) irma di irma() irma(h()) Vantaggi b bit Il valore hash h() è una rappresentazione non ambigua e non falsificabile del messaggio Proprietà: irma() (irma(1), irma(2), ) Problemi unzione Hash Efficienza Integrità Sicurezza [h()]d mod n 38 39

11 Verifica irma RS con hash Verifica irma RS Verifica firma di e vera se h() = mod n Devo verificare se è una firma di per falsa altrimenti 40 Sicurezza firma RS con hash Voglio generare messaggi e firme da parte di Sicurezza firma RS con hash e firme da parte di 1. Scelgo a caso 2. z e mod n 3. h-1(z) Come faccio ad invertire h? h-1(z) Existential forgery Key only attack Voglio generare messaggi Existential forgery Key only attack 43

12 PKCS #1 RSSS-PKCS1-v1_5! Public-Key Cryptography Standards (PKCS) #1: RS Cryptography Specifications, Version 2.1! Ver. 1.4, giugno 1991,, Ver. 2.1, giugno 2002 (= RC 3447 nel feb 2003)! Due schemi per la firma! RSSS-PKCS1-v1_5 Non ci sono prove di sicurezza, ma neanche attacchi! RSSS-PSS. Basato su Probabilistic Signature Scheme Hash del messaggio con salt casuale Signature Scheme with ppendix : si calcola subito un hash del messaggio e poi lo si firma. Bellare and P. Rogaway. The Exact Security of Digital Signatures - How to Sign with RS and Rabin, Eurocrypt 1996 Provable security in the random oracle model garantisce <n 02 cifratura 01 firma fine del padding Hash ff ff ff 00 HashID H irma() = ( ) d mod n RSSS-PSS Hash RSSS-PSS Hash Hash() salt Hash() salt salt data block DB G = mask generation function Hash H salt DB Hash(H 0) Hash(H 1)... Hash H DB G(H) H bc DB G(H) H bc irma() = ( ) d mod n 46 irma() = ( ) d mod n 47

13 Provable security di PSS! Supponiamo ci sia un algoritmo che falsifica firme PSS senza usare dettagli di Hash e G! Chosen message attack, Existential forgery! Hash e G sono random oracles che possono essere interrogati! llora costruisco un algoritmo B che inverte RS in quasi lo stesso tempo usando come subroutine Provable security di PSS! L algoritmo di inversione B costruisce Hash ed G che appaiono random all algoritmo, ma con l embedding di una istanza da invertire! Quando riesce a falsificare, allora B riesce ad invertire RS RS challange B Inversa della RS challange! salt è random per una riduzione tight Se non fosse casuale la riduzione avrebbe valori più grandi! If RS is hard to invert, then PSS is secure against generic attacks Provable security di PSS Supponiamo che RS sia (t(k),ε(k))-sicuro Provable security di PSS Supponiamo che RS sia (t(k),ε(k))-sicuro Non solo RS PSS può usare una trapdoor f running time probabilità di successo running time probabilità di successo #query all oracle delle firme #query agli hash oracle llora per ogni q sig,q hash, PSS[k 0,k 1 ] è Esempio: k=1024, k 0 =k 1 =128 (t(k)-[q sig (k)+q hash (k)+1]k 0 Θ(k 3 ), q sig, q hash, ε(k)+3[q sig (k)+q hash (k)] 2 (2 -k 0+2 -k 1))-sicuro. #query all oracle delle firme #query agli hash oracle llora per ogni q sig,q hash, PSS[k 0,k 1 ] è Esempio: k=1024, k 0 =k 1 =128 (t(k)-[q sig (k)+q hash (k)+1]k 0 Θ(k 3 ), q sig, q hash, ε(k)+3[q sig (k)+q hash (k)] 2 (2 -k 0+2 -k 1))-sicuro. running time probabilità di calcolare una firma valida running time probabilità di calcolare una firma valida. Bellare and P. Rogaway. The Exact Security of Digital Signatures - How to Sign with RS and Rabin, Eurocrypt Bellare and P. Rogaway. The Exact Security of Digital Signatures - How to Sign with RS and Rabin, Eurocrypt

14 irme digitali che vedremo! RS! ElGamal! Digital Signature Standard (DSS) firma 52 irma digitale di ElGamal! Taher Elgamal! Sicurezza basata sull intrattabilità del problema del logaritmo discreto Taher El Gamal, Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms IEEE Transactions and Information Theory, vol. IT-31, No. 4, Jul irme digitali di ElGamal Chiavi ElGamal! Utilizza il concetto di generatore di Z p *! p primo! g è generatore di Z p * se {g i 1 i p-1} = Z p * (p,α,s) (p,α,β) 54 55

15 Chiavi ElGamal Chiavi ElGamal (p,g,s) ( piccolo esempio) utente (19,10,16) chiave pubblica (p,g,β) utente chiave pubblica (19,10,4) β=gs mod p p primo 4 = 1016 mod 19 p = 19 primo g generatore di Zp* α = 10 generatore di Z19* Generatori in Z19* = {2,3,10,13,14,15} s numero casuale, s<q s = 16 numero casuale 56 irma ElGamal (p,g,s) (p,g,s) chiave pubblica Devo firmare irma ElGamal utente 57 (p,g,β=gs) utente irma di?? 58 chiave pubblica (p,g,β=gs) r a caso in Zp* con gcd(r,p-1)=1 γ gr mod p δ (-sγ)r-1 mod p-1 firma(p,g,s)(,r) = (γ,δ) (γ,δ) 59

16 Verifica firma ElGamal Verifica firma ElGamal (p,g,β) (γ,δ) (γ,δ) Devo verificare se (γ,δ) è una firma di per (p,g,β) irma di r numero casuale in [1,p-1] γ gr mod p δ (-sγ)r-1 mod p-1 firma(p,g,s)(,r) = (γ,δ) Verifica firma di vera se g = βγγδ mod p falsa altrimenti irma ElGamal ( piccolo esempio) Correttezza verifica firma ElGamal (19,10,16) β = gs mod p βγγδ mod p = gsγγδ mod p = -1 gsγgr(-sγ)r mod = gsγg-sγ mod p = g mod p utente γ = gr mod p = gsγgrδ mod p chiave pubblica (19,10,4) δ = (+sγ)r-1 mod p-1 irma di =14 r r-1 = 1 mod p-1 p 62 5 scelta in Z19*, gcd(5,18)= mod 19 5"11=1 mod 18 4 (14-16"3)11 mod 18 firma(19,10,16)(14,5) = (3,4) 14 (3,4) 63

17 Verifica firma ElGamal ( piccolo esempio) (3,4) Verifica firma di 14 g = β γ γ δ mod p = mod 19 (19,10,4) 14 (3,4) 64 irma ElGamal! Sicurezza basata sull intrattabilità del problema del logaritmo discreto in Z p *! Lunghezza della firma: 2 log p! DSS modifica lo schema:! Generatore g # α in Z p * di ordine q! lgebra esponenti modulo q! Lunghezza della firma DSS: 2 log q 65 irme digitali che vedremo Digital Signature Standard (DSS)! RS! ElGamal! Digital Signature Standard (DSS) firma 66! Proposto nell'agosto del 1991 dal NIST (IPS 186)! Digital Signature lgorithm (DS)! Digital Signature Standard (DSS)! Revisioni minori nel 1993 (IPS 186-1)! Rivisto nel 2000 (IPS 186-2) Specifica altri 2 metodi:! Elliptic Curve Digital Signature lgorithm (ECDS)! RS! Rivisto nel giugno 2009 (IPS 186-3) Incrementa lunghezza di DSS! U.S. Patent (26 lug 1991), David W. Kravitz, dato a The United States of merica as represented by the Secretary of Commerce, Washington, D.C., royalty-free 67

18 Digital Signature Standard (DSS)! odifica ingegnosa dello schema di firme El Gamal! Utilizza funzioni hash SH-1 e SH-224/256/384/512! Se più lunghe del necessario: troncate! SH-1 in IPS e IPS 186-2! irme DSS piccole (buone per smart card)! Sicurezza basata sull intrattabilità del problema del logaritmo discreto Digital Signature Standard (DSS)! Usa numeri primi p e q di lunghezza L ed N! Lunghezza SH N! Lunghezza della firma = 2q L= p N= q firma Unica scelta in IPS e ggiunti nel IPS Logaritmo discreto Dati a,n,b calcolare x tale che a x = b mod n Esempio: 3 x = 7 mod 13 soluzione x = 6 Se n è primo, i migliori algoritmi hanno complessità L n [a,c] = O(e (c+o(1))(ln n)a (lnln n) 1-a ) con c > 0 ed 0 < a < 1 iglior algoritmo: Number field sieve tempo medio euristico L n [1/3, 1.923] (p,q,α,s) Chiavi DS (p,q,α,β) 70 71

19 Chiavi DS ( piccolo esempio) Chiavi DS (p,q,α,s) utente (7879,101,170,75) chiave pubblica utente (p,q,α,β) chiave pubblica (7879,101,170,4567) β=αs mod p p primo di L bit 4567 = mod 7879 p = 7879 primo α in Zp* di ordine q α = 170 Z7879* di ordine 101 q primo di N bit, q (p-1) s numero casuale, s<q q = 101 primo, p = 78q+1 αq = 1 mod p s = 75 numero casuale = 1 mod irma DS irma DS (p,q,α,s) (p,q,α,s) (p,q,α,β) (p,q,α,β) irma di Devo firmare?? r-1 74 r numero casuale in [1,q-1] γ (αr mod p) mod q δ (SH()+sγ)r-1 mod q firma(p,q,α,s)(,r) = (γ,δ) mod q esiste perché r < q e q primo # gcd(q,r)=1 (γ,δ) 75

20 Verifica firma DS Verifica firma DS (p,q,α,β) (p,q,α,β) (γ,δ) (γ,δ) Verifica firma di Devo verificare se (γ,δ) è una firma di per 76 Verifica firma DS e+ SH()δ-1 mod q e, γδ-1 mod q vera se γ = (αe+βe, mod p) mod q falsa altrimenti 77 Efficienza firma DS irma_ds(,p,q,α,s) Verifica_firma_DS(,γ,δ,p,q,α,β) e+ SH()δ-1 mod q e, γδ-1 mod q vera se γ = (αe+βe, mod p) mod q ver(p,q,α,β)(,γ,δ) = falsa altrimenti Output ver(p,q,α,β)(,γ,δ) r numero casuale in [1,q-1] γ (αr mod p) mod q δ (SH()+sγ)r-1 mod q output firma(p,q,α,s)(,r) = (γ,δ)! Lunghezza firma = 2N bit! Computazioni off-line: r, sγ, r-1 mod q! Computazioni on-line: SH(), +, 78 79

21 Ordine di un elemento! Ordine di α Z p * = il più piccolo intero positivo r tale che α r = 1 mod p! Sia α Z p * e sia q = ord(α)! α s mod q mod p = α s mod p Correttezza verifica firma DS (α e+ β e, mod p) mod q = (α SH()δ-1 mod q α sγδ-1 mod q mod p) mod q = (α SH()δ-1 +sγδ -1 mod p) mod q = (α r mod p) mod q e+ = SH()δ -1 mod q e, = γδ -1 mod q β = α s mod p α è di ordine q δ -1 (SH()+sγ) = r mod q = γ Efficienza delle computazioni Come effettuare le computazioni?! Generazione numeri primi p e q! Generazione di α (elemento di ordine q) Generazione di p e q Scegli p di L bit Scegli q di N bit tale che q (p-1) 82 83

22 Generazione di p e q Generazione di p e q! Scegli un primo q di N bit Scegli p di L bit Scegli q di N bit tale che q (p-1)! Scegli un primo p di L bit tale che q (p-1)! Scegli X di L bit! p X - ((X mod 2q)-1) 2q (p-1)! se p è primo e p 2 L esci altrimenti riprova Scelta di un elemento di ordine q Scelta di un elemento di ordine q! Ordine di α Z n * = il più piccolo intero positivo r tale che α r = 1 mod n! p,q primi tali che q (p-1) Scegli_ordineq (p,q) 1. g elemento scelto a caso in Z p * 2. α g (p-1)/q mod p 3. if α 1 then return α else go to 1. Scegli_ordineq (p,q) 1. g elemento scelto a caso in Z p * 2. α g (p-1)/q mod p 3. if α 1 then return α else go to 1.! α q (g (p-1)/q ) q g p-1 1 mod p! q è il più piccolo intero tale che α q 1 mod n! α è di ordine q dal Teorema di Lagrange l ordine di α divide q 86 87

23 Sicurezza firma DS Probabilità successo singola iterazione (p-1)/q! Se g è un generatore allora g! Probabilità successo! > 1/(6lnln(p-1)) Numero medio di iterazioni < 6lnln(p-1) 512 bit 1024 bit 2048 bit 3072 bit Voglio falsificare la 1 mod p firma di da parte di Probabilità che g è generatore Sicurezza firma DS Devo calcolare s=logαβ mod p Total break Key only attack?? Total break Key only attack Voglio falsificare la firma di da parte di 89 Sicurezza firma DS (p,q,α,β) 88 firma di da parte di 6 lnln(2512) 35,23 6 lnln(21024) 39,38 6 lnln(22048) 43,54 6 lnln(23072) 45,98 Voglio falsificare la (p,q,α,β) (p,q,α,β)?? Selective forgery Key only attack 90 91

24 Sicurezza firma DS Voglio falsificare la firma di da parte di Voglio generare messaggi e firme da parte di (p,q,α,β) 1. Scelgo γ a caso 2. Determino δ tale che δ$(sh()+sγ)r-1 mod q Selective forgery Key only attack Sicurezza firma DS 1. Scelgo γ,δ a caso 2. Calcolo z tale che αz = γδ β-γ Devo calcolare δ=logγ (αsh().βγ) (p,q,α,β) Existential forgery Key only attack Devo calcolare z = logα (γδ β-γ) $SH-1(z) 92 Chiavi globali ed individuali (p,q,α,s) utente 93 Chiavi globali ed individuali (p,q,α,s) chiave pubblica (p,q,α,β) utente! Sicurezza basata sul valore privato s! I valori p,q,α possono essere gli stessi per un gruppo di utenti! Un autorità sceglie p,q,α! Il singolo utente sceglie solo s e calcola β 94 chiave pubblica (p,q,α,β)! Sicurezza basata sul valore privato s! I valori p,q,α possono essere gli stessi per un gruppo di utenti! Un autorità sceglie p,q,α! Il singolo utente sceglie solo s e calcola β 95

25 Costruzione e validazione dei parametri IPS 186-1, e Costruzione e validazione dei parametri IPS 186-1, e valore casuale procedura deterministica SH primo q primo p generatore g valore casuale procedura deterministica SH primo q primo p generatore g valore casuale è un testimone della validità dei parametri valore casuale è un testimone della validità dei parametri 96 Vediamo un esempio: scelta di q 97 Generazione e validazione di q IPS e Generazione e validazione di q IPS 186-3! Scegli a caso S di 160 bit S S+1 SH SH 160 bit! Ripeti con un nuovo S finchè q è primo u 1 1 q! Scegli a caso S di N bit! U = SH(S) mod 2 N 1 1 1! q = 2 N 1 + U + 1 ( U mod 2) q! Ripeti con un nuovo S finchè q è primo S è un testimone della validità di q u S è un testimone della validità di q

26 Confronto tempi firme RS e DS DS RS DS con p,q,α comuni precomputazioni 14 sec 4 sec firma 0.3 sec 15 sec 0.3 sec verifica 16 sec 1.5 sec 10 sec 1-5 sec Off Cards 1-3 sec Off Cards! Implementazioni su smart card [1993]! Computazioni Off Cards su a 33Hz Prestazioni implementazioni D Opterom GHz, Linux, Crypto Benchmarks! routine assembly language per aritmetica su interi bit chiave firma irma con precomputazione verifica RS ,48 0,07 DS ,45 0,42 0,52 RS ,05 0,16 millisecondi/operazione esponente pubblico RS: 17 (marzo 2009) Prestazioni implementazioni Che parametri scegliere? OpenSSL openssl speed (giugno 2009) thlon X Ghz Ubuntu sign verify sign/s verify/s rsa 512 bits s s rsa 1024 bits s s rsa 2048 bits s s rsa 4096 bits s s sign verify sign/s verify/s dsa 512 bits s s dsa 1024 bits s s dsa 2048 bits s s md X bit Ubuntu sign verify sign/s verify/s rsa 512 bits s s rsa 1024 bits s s rsa 2048 bits s s rsa 4096 bits s s sign verify sign/s verify/s dsa 512 bits s s dsa 1024 bits s s dsa 2048 bits s s Bisogna tener conto dell expected security life 102 NIST SP , Recommendation for Key anagement, Part 1: General (Revised), arzo

27 Che parametri scegliere? Bibliografia Bisogna tener conto dell expected security life Esempi:! atto nel 2005! Expected security life = 5 anni! atto nel 2005! Expected security life = 6 anni! Cryptography and Network Security by W. Stallings, 2010! cap. 13 (DSS)! Tesina di Sicurezza su reti! irme digitali! Cryptography: Theory and Practice, by D. Stinson (2005) NIST SP , Recommendation for Key anagement, Part 1: General (Revised), arzo Domande? 106