Firme digitali. Firma Digitale. Firma Digitale. Elementi di Crittografia Equivalente alla firma convenzionale

Transcript

1 Eleenti di Crittografia Fire digitali Barbara Masucci Dipartiento di Inforatica Università di Salerno Fira Digitale fira Equivalente alla fira convenzionale 1 Fira Digitale fira Equivalente alla fira convenzionale Soluzione naive: incollare fira digitalizzata 2 1

2 Eleenti di Crittografia Fira Digitale fira Equivalente alla fira convenzionale Soluzione naive: incollare fira digitalizzata 3 Requisiti per la Fira Digitale La fira digitale deve poter essere facilente prodotta dal legittio firatario Nessun utente deve poter riprodurre la fira di altri Chiunque può facilente verificare una fira 4 Fira digitale chiave privata sk?? pk Devo firare 5 2

3 canale insicuro Eleenti di Crittografia chiave privata sk Fira digitale pk Fira di FIRMA (M, sk) 6 chiave privata sk Fira digitale pk (,) Bob 7 Verifica fira digitale pk Devo verificare se è una fira di per 8 3

4 Eleenti di Crittografia Verifica fira digitale pk Verifica fira di vera se VERIFICA (,,pk) = SI falsa altrienti 9 Schea di fire digitali E una tripla di algoriti ppt (Gen, Sign, Vrfy): Gen: algorito di generazione delle chiavi (pk,sk) ß Gen (1 n ) Sign: algorito di fira ß Sign sk () Vrfy: algorito di verifica (deterinistico) b ß Vrfy pk (,) (b=1: fira valida b=0: fira non valida) Correttezza: Vrfy pk (,Sign sk ()) = 1 Schea di fire per essaggi di lunghezza l(n) se lo spazio dei essaggi è {0, 1} l(n) 10 Sicurezza Cosa si intende per sicurezza di uno schea di fire digitali? Dobbiao definire Tipo di attacco Scopo dell attacco 11 4

5 Eleenti di Crittografia Tipo di attacco Key-only Attack Oscar conosce solo pk di Known Message Attack Oscar conosce pk di, una lista di essaggi e le relative fire di Adaptive Chosen Message Attack Oscar conosce pk di, sceglie (adattivaente) dei essaggi e chiede ad di firarli 12 Scopo dell attacco Total Break Deterinare sk di per poter firare qualsiasi essaggio Selective Forgery Dato un essaggio, deterinare la fira tale che Vrfy pk (,) = 1 Existential Forgery Deterinare una coppia (,) tale che Vrfy pk (,) = 1 13 Sicurezza di uno schea di fire Siano Π=(Gen, Sign, Vrfy) uno schea di fire un avversario Definiao l esperiento Sig-Forge,Π(n) 14 5

6 Eleenti di Crittografia Esperiento Sig-Forge,Π (n) (pk,sk)ßgen(1 n ) Su input pk ed accesso all oracolo Sign sk (), dà in output una coppia (,) Sia Q l insiee delle query fatte all oracolo L output dell esperiento è 1 se Vrfy pk (,)=1 AND Q 0 altrienti 15 Esperiento Sig-Forge,Π (n) ha successo se l output di Sig-Forge,Π(n) è 1 -crea una contraffazione Il vantaggio di è definito coe Adv,Π Sig-Forge (n) = Pr[Sig-Forge,Π(n) = 1] 16 Existential Unforgeability against Adaptive Chosen Message Attack Lo schea Π=(Gen, Sign, Vrfy) è sicuro se per ogni avversario polinoiale esiste una funzione trascurabile negl tale che Adv,Π Sig-Forge (n) negl(n) 17 6

7 Eleenti di Crittografia Fira digitale di essaggi grandi Se ha lunghezza aggiore di l(n), coe si fira? Pria soluzione lunghezza i < l(n) 1 2 Sign sk () (Sign sk ( 1 ), Sign sk ( 2 ), ) Problei Efficienza Perutazione/coposizione delle fire nuova fira 18 Paradiga Hash and Sign essaggi piccoli H() essaggi grandi H() Sign sk () (Sign sk (H()) Vantaggi Efficienza Integrità Sicurezza 19 Paradiga Hash and Sign Teorea 12.4 Se Π=(Gen,Sign,Vrfy) è uno schea di fire sicuro per essaggi di lunghezza l(n) e H è una funzione hash libera da collisioni, il paradiga Hash and Sign fornisce uno schea di fire sicuro per essaggi di lunghezza arbitraria 20 7

8 Eleenti di Crittografia Paradiga Hash and Sign Teorea 12.4 La prova è essenzialente identica a quella del Teorea 5.6 (paradiga Hash and MAC) 21 Costruzioni Plain RSA RSA-FDH e PKCS #1 v2.1 Schea di Schnorr DSS ed ECDSA M fira 22 Plain RSA Proposto nel 1978 da Rivest Shair Adlean 23 8

9 Eleenti di Crittografia Plain RSA: Chiavi chiave privata (N,d) (N,e) N = pq p,q prii gcd(e, (p-1)(q-1))=1 ed = 1 od (p-1)(q-1) 24 Fira Plain RSA chiave privata (N,d) (N,e) Devo firare Z N *?? 25 Fira Plain RSA chiave privata (N,d) (N,e) Fira di Z N * d od N 26 9

10 Eleenti di Crittografia Verifica Fira Plain RSA (N,e) Devo verificare se Z N * è una fira di per 27 Verifica Fira Plain RSA (N,e) Verifica fira di vera se = e od N falsa altrienti 28 Correttezza verifica Fira Plain RSA e od N = ( d ) e od N = ed od N = 1+k(p-1)(q-1) od N = ( (p-1)(q-1) ) k = od N = Teorea di Eulero M Z N * (p-1)(q-1) =1 od N poichè 0 <N ed = 1 od (p-1)(q-1) 29 10

11 Eleenti di Crittografia Sicurezza Fira Plain RSA Voglio falsificare la fira di da parte di A (N,e) Selective forgery Key only attack Devo calcolare d od N Equivalente a ropere il crittosistea RSA??? 30 Sicurezza Fira Plain RSA L assunzione RSA Iplica la difficoltà di calcolare una fira per un essaggio unifore in Z N * Non dice nulla sul caso in cui l attaccante conosca la fira di altri essaggi Vediao due possibili attacchi No Message Attack Selective Forgery Chosen Message Attack 31 No Message Attack Voglio generare essaggi e fire da parte di A (N,e) 1. Scelgo unifore in Z N * 2. e od N 32 11

12 Eleenti di Crittografia Selective Forgery Chosen Message Attack Voglio falsificare la fira di da parte di A (N,e) Proprietà di ooorfiso 1 = d 1 od N 2 = d 2 od N ( 1 2 ) e od N = e 1 e 2 od N = 1 2 od N 1. Scelgo 1 e 2 tali che = 1 2 od N 2. Chiedo ad di firare 1 e 2 ottenendo 1 e od N è una fira valida per 33 Fira RSA con Hash chiave privata (N,d) (N,e) Fira di {0,1}* [H()] d od N 34 Verifica Fira RSA con Hash (N,e) Devo verificare se è una fira di per 35 12

13 Eleenti di Crittografia Verifica Fira RSA con Hash (N,e) Verifica fira di vera se H() = e od N falsa altrienti 36 No Message Attack Voglio generare essaggi e fire da parte di A (N,e) 1. Scelgo a caso 2. z e od N 3. H -1 (z) Coe faccio ad invertire H? H -1 (z) 37 Selective Forgery Chosen Message Attack Voglio falsificare la fira di da parte di A (N,e) 1. Scelgo 1 e 2 tali che H()=H( 1 ) H( 2 ) od N 2. Chiedo ad di firare 1 e 2 ottenendo 1 e od N è una fira valida per 38 13

14 Eleenti di Crittografia Fira RSA con Hash Quindi per evitare gli attacchi visti pria H deve essere difficile da invertire Deve essere difficile trovare 1 e 2 tali che H()=H( 1 ) H( 2 ) od N Possibile provarne foralente la sicurezza? Si, se H è odellata coe un Rando Oracle Lo schea risultante viene detto RSA-FDH (Full Doain Hash) 39 Fira RSA-FDH Teorea 12.7 Se il problea RSA è difficile rispetto a GenRSA e H è odellata coe un RandoOracle, allora RSA-FDH è sicuro 40 Teorea 12.7 (Prova) Sia Π lo schea RSA-FDH Nell esperiento Sig-Forge A,Π (n), sia A un avversario ppt che effettua q=q(n) query 1 q al rando oracle H effettua query all oracolo Sign <N,d> () dà in output una contraffazione (,) per un essaggio non richiesto a Sign <N,d> () L output è 1 sse e =H() od N 41 14

15 Eleenti di Crittografia Teorea 12.7 (Prova) Definiao l esperiento Sig-Forge A,Π (n) in cui j è scelto a caso e unif. in {1,,q} Coe pria, A è un avversario ppt che effettua q query 1 q al rando oracle H effettua query all oracolo Sign <N,d> () dà in output una contraffazione (,) per un essaggio = i non richiesto a Sign <N,d> () L output è 1 sse e =H() od N AND j=i 42 Teorea 12.7 (Prova) Dato che j è scelto a caso e unif. in {1,,q}, Pr[Sig-Forge A,Π (n) = 1] = 1/q(n) Pr[Sig-Forge A,Π (n) = 1] 43 Teorea 12.7 (Prova) Definiao l esperiento Sig-Forge A,Π (n), che terina se A chiede la fira di j La probabilità che l esperiento dia in output 1 resta la stessa di pria Se A chiede la fira di j, non può dare in output una contraffazione di j! Pr[Sig-Forge A,Π (n) = 1] = = Pr[Sig-Forge A,Π (n) = 1] = 1/q(n) Pr[Sig-Forge A,Π (n) = 1] 44 15

16 Eleenti di Crittografia Teorea 12.7 (Prova) Costruiao un avversario A che risolve il problea RSA rispetto a GenRSA A utilizza A coe subroutine (N,e,y) A y d od N A 45 Teorea 12.7 (Prova) Su input (N,e,y), A Sceglie unif. j in {1,,q} e invoca A su pk=<n,e> Quando A fa la query i ad H: Risponde y se i=j Altrienti, sceglie unif. i in Z N *, calcola y i = e i od N e risponde y i Meorizza le triple ( i, i,y i ) in una tabella Quando A fa la query i a Sign <N,d> (): Se i=j, A terina Se i j, risponde i usando l entry ( i, i,y i ) nella tabella Quando A terina, dando in output (,), A dà in output se = j AND e =y od N 46 Teorea 12.7 (Prova) Il running-tie di A è polinoiale in n La vista di A, quando eseguito coe subroutine di A, è identica a quella che si ha nell esperiento Sig-Forge A,Π (n) Tutte le query fatte a Sign <N,d> () sono risposte correttaente Tutte le query fatte ad H sono risposte con un eleento unifore in Z N * 47 16

17 Eleenti di Crittografia Teorea 12.7 (Prova) Quando l output di Sig-Forge A,Π (n) è 1, A risolve correttaente l istanza (N,e,y) Adv RSA-inv A,GenRSA(n) = Pr[RSA-inv A,GenRSA (n) = 1] = Pr[Sig-Forge A,Π (n) = 1] = 1/q(n) Pr[Sig-Forge A,Π (n) = 1] = 1/q(n) Adv A,Π Sig-Forge (n) Essendo Adv RSA-inv A,GenRSA(n) trascurabile e q(n) polinoiale, anche Adv A,Π Sig-Forge (n) è trascurabile 48 RSA PKCS #1 v2.1 Include una variante di RSA-FDH La fira di un essaggio dipende da un valore di salt scelto dal firatario Funzione H scelta in odo tale che il suo codoinio sia olto vicino a Z N * Attacchi noti se l output di H è troppo piccolo, ad esepio 160 bit coe per SHA-1 Idea: costruire H usando applicazioni ripetute di funzioni tipo SHA-1 49 Bibliografia Ø Introduction to Modern Cryptography by J. Katz e Y. Lindell (2nd ed.) Ø cap. 12 (12.1, 12.2, 12.3, 12.4, , ) 50 17