UNIVERSITA DEGLI STUDI DI PARMA Dipartimento di Ingegneria dell Informazione. Sistemi Informativi/Sic_2 Gianni CONTE

Transcript

1 SISTEMI INFORMATIVI Lezione n. 2_Sicurezza Elementi di Crittografia 1/ 45

2 UN POCO DI STORIA Fino dall antichità sono stati pensati e utilizzati metodi per trasmettere informazioni in modo sicuro. Ci Crittografia : viene inviato i un messaggio cifrato che viene facilmente riconosciuto come tale. Steganografia : viene inviato un messaggio cifrato che non deve essere riconosciuto come tale. Esempio: all interno di una immagine utilizzo i bit meno significativi per nascondere un informazione. Il messaggio introduce solo rumore all interno dell immagine stessa. Crittologia: studio dei cifrari in generale Crittografia: l arte del cifrare Crittoanalisi: l arte del decifrare 2/ 45

3 STEGANOGRAFIA Dati e informazioni apparentemente insignificanti possono racchiudere informazioni significative. USA Today reported that Bin Laden and others "are hiding maps and photographs of terrorist targets and posting instructions for terrorist activities on sports chat rooms, pornographic bulletin boards and other websites, U.S. and foreign officials say." La stessa tecnica viene utilizzata per inserire all interno di immagini o dati multimediali informazioni di proprietà: Filigrana (watermark) Etichetta (fingerprinting) 3/ 45

4 Crittografia MITTENTE messaggio DESTINATARIO messaggio chiave-1 chiave-2 crittografia decrittografia messaggio cifrato 4/ 45

5 Crittoanalisi Le tecniche di crittanalisi si basano sulla conoscenza di informazioni di vario tipo sui dati trasmessi Ciphertext only algoritmo di crittografia testo cifrato Cerca di risalire ai testi in chiaro e alle chiavi Known plaintext t algoritmo di crittografia testo cifrato una o più coppie testo in chiaro / testo cifrato Cerca di decodificare difi altri testi ti cifrati e di risalire alle chiavi i Chosen plaintext algoritmo di crittografia testo cifrato messaggi in chiaro scelti dal criptoanalista con i corrispondenti messaggi cifrati Cerca di decodificare altri testi cifrati e di risalire alle chiavi 5/ 45

6 Crittoanalisi Chosen Ciphertext Testo cifrato scelto e corrispondente testo in chiaro Cerca di decodificare altri testi cifrati e di risalire alle chiavi 6/ 45

7 UN POCO DI STORIA Il cifrario di Giulio Cesare Si sostituisce ogni lettera con l ennesima lettera successiva nell alfabeto. La chiave del codice è N Se N = 3 : abcdefghilmnopqrstuvz defghilmnopqrstuvzabc Il testo in chiaro è: viva pancho Villa Il testo codificato è: bnbd sdqmr bnood La codifica è altamente insicura perché: Se si conosce l algoritmo di cifratura sono sufficienti un numero di tentativi pari al numero delle chiavi (numero delle lettere dell alfabeto) per decifrare il messaggio. 7/ 45

8 UN POCO DI STORIA Il cifrario monoalfabetico: Si genera un permutazione dell alfabeto a partire da una chiave. Le permutazioni possibili sono 26! Si sostituisce ogni lettera con quella corrispondente nella permutazione. La codifica monoalfabetica è altamente insicura perché: L analisi sulla frequenza con la quale ricorrono le lettere dell alfabeto nella lingua del messaggio consente di decifrare il messaggio e di ottenere la chiave di codifica molto semplicemente. 8/ 45

9 ANALISI FREQUENZA Italiano Inglese In ogni lingua la frequenza di E 11,79 E 12,31 apparizione di ogni lettera è statisticamente determinata. A 11,74 T 9,59 Quanto più lungo è il testo quanto più è facile riconoscere I 11,28 A 8,05 le lettere. O 9,83 O 7,94 Spesso testi anche corti hanno frequenze non molto diverse N 6,88 N 7,19 da quelle previste asintoticamente Soluzione: Cifrari polialfabetici La sostituzione delle lettere non è fissata a priori ma cambia continuamente 9/ 45

10 verm me ABCDEFGHILMNOPQRSTUVZ BCDEFGHILMNOPQRSTUVZA CDEFGHILMNOPQRSTUVZAB DEFGHILMNOPQRSTUVZABC EFGHILMNOPQRSTUVZABCD FGHILMNOPQRSTUVZABCDE GHILMNOPQRSTUVZABCDEF HILMNOPQRSTUVZABCDEFG ILMNOPQRSTUVZABCDEFGH LMNOPQRSTUVZABCDEFGHI MNOPQRSTUVZABCDEFGHIL NOPQRSTUVZABCDEFGHILM OPQRSTUVZABCDEFGHILMN PQRSTUVZABCDEFGHILMNO QRSTUVZABCDEFGHILMNOP RSTUVZABCDEFGHILMNOPQ STUVZABCDEFGHILMNOPQR TUVZABCDEFGHILMNOPQRS UVZABCDEFGHILMNOPQRST VZABCDEFGHILMNOPQRSTU ZABCDEFGHILMNOPQRSTUV CODICE DI VIGENERE Al fine di superare le intrinseche debolezze dei cifrari monoalfabetici che non modificano la struttura statistica del testo vennero introdotti cifrari polialfabetici. Il più noto fra questi è quello di Vigenère (1586). Testo chiaro Verme Testo cifrato A R R I V ANOIRINFORZI V E R M E VERMEVERMEVE V V L U C. 10 / 45

11 ENIGMA La macchina ENIGMA, utilizzata dall esercito tedesco nella seconda guerra mondiale utilizza un sistema di rotori che effettuano una sostituzione ione di caratteri a più stadi. Ogni rotore corrisponde ad una sostituzione monoalfabetica. Più rotori sono messi in cascata. Dopo la codifica di una lettera il rotore ruota di un passo cambiando la codifica. Dopo 26 passi ruota anche il rotore successivo. 11 / 45

12 CIFRARIO PERFETTO Il cifrario di Vernam (1917) Si considerino messaggi costruiti con un alfabeto di 26 caratteri Si costruisce in due sole coppie una chiave casuale (sequenza di caratteri) lunga almeno quanto il testo da cifrare. Chi invia codifica il testo utilizzando la chiave (somma modulo 26 del carattere in chiaro e della chiave) Chi riceve utilizza la stessa chiave per ottenere il testo in chiaro. Al termine entrambi eliminano la chiave. E possibile utilizzare la tecnica illustrata con messaggi formati da cifre binarie. Chi riceve utilizza la stessa chiave generando il messaggio cifrato con una somma modulo due (XOR) tra i bit corrispondenti del messaggio e della chiave. Si può dimostrare (Shannon) che se la chiave è una sequenza casuale anche il messaggio cifrato lo è. 12 / 45

13 CRITTOGRAFIA Il meccanismo generale della crittografia è un algoritmo che opera una trasformazione su di una sequenza di caratteri. La trasformazione del testo si basa su: Un algoritmo crittografico pubblico Fino dall origine la crittografia à sempre stata di interesse per i militari e le ricerche in questo settore erano spesso coperte da segreto. Recentemente la pubblicità degli algoritmi ha consentito una loro verifica molto più efficace ed estesa. Non è però assolutamente sicuro che le ricerche in ambito militare non siano più sviluppate. Una chiave segreta La generazione di chiavi si basa spesso sulla generazione di numeri casuali. Esistono tecniche per la generazione di numeri pseudocasuali su calcolatori che approssimano sequenze casuali. 13 / 45

14 Crittografia a chiave privata 14 / 45

15 Lunghezza delle chiavi private se l algoritmo l è ben progettato t l unico attacco possibile è quello esaustivo numero medio di tentativi richiesti: 2 N-1 con N = lunghezza della chiave tempi medi di attacco lungh. chiave tempo richiesto tempo richiesto (bit) a 1d decr/μs a 10 6 decr/μs μs = 1142 anni 10 ore μs ~ anni ~ anni μs ~ anni ~ anni 15 / 45

16 Principi di base Affinchè un algoritmo crittografico sia efficace deve introdurre nei dati principi di confusione e diffusione: si ottiene la confusione operando delle sostituzioni si ottiene la diffusione operando delle permutazioni solo l applicazione ripetuta di queste due tecniche consente di ottenere algoritmi sicuri (con sufficiente confusione e diffusione) Affinchè un algoritmo sia credibile deve essere semplice solo in questo modo possono essere provate le sue proprietà l algoritmo deve poter essere implementato in modo efficace sia in HW che in SW. 16 / 45

17 Principi di base CIFRATURA A FLUSSI La cifratura a flussi utilizza il principio di Shanon che consiste nell uso di un flusso aleatorio come chiave e che viene utilizzato una sola volta per codificare il messaggio. Il problema consiste nell avere due generatori di sequenze (o flussi) casuali sincronizzati presenti presso chi invia e chi riceve il messaggio. CIFRATURA A BLOCCHI La cifratura a blocchi consiste nel suddividere il messaggio in blocchi di dimensione opportuna. Ogni blocco viene sottoposto ad una trasformazione crittografica utilizzando una chiave di lunghezza adeguata. Il più noto sistema di cifratura a blocchi è il DES (Data Encryption Standard) 17 / 45

18 Cifratura a Flussi Un cifratore a flussi è costituito da un generatore di sequenze pseudocasuali (keystream generator) che produce una sequenza di bit o di numeri usata come chiave. La cifratura avviene di solito combinando il messaggio e la chiave con una funzione di XOR. La decifratura avviene utilizzando lo stesso meccanismo con lo stesso generatore di chiavi sincronizzato. messaggio XOR messaggio cifrato RETE messaggio cifrato XOR messaggio Seme del generatore Generatore di Generatore di chiave chiave Canale sicuro 18 / 45

19 Generatori di chiavi Linear Feedback Shift Register (LFSR) LFSR sono i più comuni generatori di chiavi continue perché possono essere anche facilmente realizzati in HW. Il loro uso è però non sufficientemente sicuro e vengono spesso combinati utilizzando vari schemi. Per garantire la sicurezza il periodo della sequenza generata deve essere molto alto. 19 / 45

20 Esempi di cifratura a flussi RC4 - Algoritmo progettato da Ron Rivest nel Utilizzato commercialmente in molte applicazioni e per applicazioni sul WEB. Se utilizzato con chiavi a 40 bit è violabile con tecniche di forza bruta in meno di un ora. Con chiavi a 128 o 256 bit è maggiormente sicuro e fino a pochi anni fa il governo degli USA ne impediva in questa forma l esportazione. A5 - Utilizzato nella tratta radio della telefonia mobile (GSM e GPRS). Usa chiavi da 64 a 128 bit per generare con tecniche LFSR delle trame di bit (a blocchi di 114) che sono posti in XOR con i 114 bit della trama in chiaro. 20 / 45

21 Cifratura a blocchi La cifratura a blocchi a chiave simmetrica condivisa usa una singola chiave per cifrare a blocchi il testo in chiaro. La sicurezza del metodo si basa su: Riservatezza nella trasmissione della chiave condivisa Lunghezza della chiave Assenza di struttura del codice in chiaro messaggio Algoritmo RETE messaggio cifrato Algoritmo messaggio messaggio cifrato Chiave Canale sicuro Chiave 21 / 45

22 DES (Data Encryption Standard) Sviluppato da IBM (sotto il nome di Lucifer), adottato dal NIST nel 1977 come standard per le applicazioni governative e commerciali. E nato dall idea di un matematico tedesco Horst Feistel immigrato negli USA ( ). Chiave da 56 bit, blocco dati da 64 bit. Trasforma un blocco di 64 in un altro dei 2 64 possibili blocchi di 64 bit (sostituzione). Efficiente in hardware (implementato in VLSI). Molto studiato, non sono note debolezze, ma violato nel 1998 con attacco esaustivo, su macchina costruita appositamente, in meno di 3 giorni. Usato nei primi bancomat e sistema ufficiale di cifratura degli USA. 22 / 45

23 DES: schema complessivo I dati in ingresso vengono permutati e codificati in 16 successivi Round. Dalla chiave segreta (56 bit + 8 di parità) vengono generate 16 sottochiavi che sono di 48 bit che sono utilizzati nei Round successivi. L operazione di decifratura è analogo allo schema di cifratura con l ordine di utilizzo delle sottochiavi invertito. 23 / 45

24 DES: schema dell'i-ma iterazione I dati vengono suddivisi in due sottoblocchi di 32 bit. Ogni Round tratta un solo sottoblocco che viene esteso a 48 bit. Viene fatto l XOR di ogni sottoblocco con la sottochiave. Il dato ottenuto viene sostituito a blocchi utilizzando una tabella specificata (operazione non lineare). Il dato viene ancora permutato e posto in XOR con il sottoblocco non trattato nel presente Round. 24 / 45

25 DES: parte centrale dell algoritmo Regola di espansione da 32 bit a 48 bit Espansione a 48 bit / 45

26 DES: parte centrale dell algoritmo Tabelle di sostituzione (S1-S8) Sn sono delle look-up table che forniscono in uscita una sequenza di 4 bit per ogni 6 bit del blocco Il primo e l ultimo bit di ingresso individuano la riga mentre i 4 bit centrali individuano la colonna. I dati sono poi ulteriormente permutati. Espansione a 48 bit 26 / 45

27 Triplo DES Standardizzato per le applicazioni finanziarie nel 1985, dal 1999 incorporato nello standard DES Tre esecuzioni del DES secondo uno schema EDE (Encryption- Decription-Encryption) Stessa resistenza del DES alla crittoanalisi Tre chiavi da 56 bit equivalenti a una da 168 bit K 1 K 2 K 3 Codifica A B P E D E C K K K K 3 K 2 K 3 Decodifica C D B E A D P 27 / 45

28 AES (Advanced Encryption Standard) Call for proposal emessa dal NIST nel 1997 per sostituire il DES. Specifiche: sicurezza almeno pari a quella del Triplo DES maggiore efficienza e implementabile in HW e SW (deve poter essere implementata su smart card) blocco dati da 128 bit, chiavi da 128/192/256 bit Criteri di valutazione: sicurezza, efficienza, uso di risorse, adattabilità hw e sw, flessibilità Partecipano al concorso 15 progetti. Il vincitore è Rijndael proposto da due ricercatori belgi Standard finale pubblicato nel / 45

29 Altri algoritmi a chiave privata IDEA (International Data Encryption Algorithm) sviluppato nel 1991 blocco dati da 64 bit, chiave da 128 bit operazioni: XOR, addizione e moltiplicazione a 16 bit efficiente in software finora appare altamente resistente alla crittoanalisi usato nel PGP e in molti prodotti commerciali RC5 sviluppato da Ron Rivest (RC = Ron s code) algoritmo proprietario di RSA Data Security Inc. adatto sia per hw che per sw veloce (word oriented) parametrizzabile (dimensione word, numero di round, lunghezza chiave) adatto a smart card e dispositivi con ridotta memoria 29 / 45

30 Distribuzione delle chiavi per connection oriented protocol 1. Richiesta delle chiavi da parte dell Host che inizia la connessione 2. Distribuzione delle chiavi per la sessione 3. Comunicazione cifrata KDC KDC Key Distribution Center 2 HOST 1 HOST 3 30 / 45

31 Distribuzione delle chiavi sicura Proposta nel 1976 da Diffie e Hellman è una metodologia che permette a due utenti di ottenere e una chiave segreta et sicura. Qualche concetto di base: a è una radice primitiva del numero primo p se i numeri: a mod p, a 2 mod p, a 3 mod p,, a p-1 mod p sono tutti diversi e sono quindi tutti i numeri compresi fra 1 e p-1 in un qualche ordine. Per ogni intero b minore di p e per una primitiva a minore di p si può trovare un unico esponente i tale che: b = a i mod p i è detto logaritmo discreto o indice di b per la base a, mod p Sulla complessità del calcolo del logaritmo discreto si basano i principi più recenti e innovativi della crittografia. 31 / 45

32 Esempio Vogliamo verificare che 2 è una radice primitiva del numero primo 11. Calcolo di 2 n mod11 n n n mod Vogliamo verificare che 3 non è una radice primitiva del numero primo 11. Calcolo di 3nmod11 n n n mod / 45

33 Algoritmo di Diffie e Hellman A e B vogliono scambiarsi una chiave. Sono pubblici un numero primo p e una radice primitiva a. A sceglie un numero casuale segreto X a < p e calcola Y a=a Xa mod p B sceglie un numero casuale segreto X b < p e calcola Y b =a Xb mod p A invia Y a a B e B invia Y b ad A A genera la chiave K = (Y Xa b ) mod p B genera la chiave K = (Y a ) Xb mod p Si può dimostrare che i due passi generano la medesima chiave K Un potenziale attaccante conosce p, a, Y a e Y b e deve quindi ricavare X a dalla seguente relazione: Y a=a Xa mod p che corrisponde al calcolo del logaritmo discreto (quindi una operazione molto difficile) Conosciuto X a calcola la chiave K così come fatto da A 33 / 45

34 Dimostrazione Ricordiamo come sono generati Y a e Y b Y a =a Xa mod p Y =a Xb b mod p Per la proprietà dell operazione di modulo vale (Y mod p) ) X mod p = Y X mod p K = (Y Xa = Xb Xa = Xb Xa b ) mod p (a mod p) mod p (a ) mod p = a XbXa mod p = (a Xa ) Xb mod p = (a Xa mod p) Xb mod p = = (Y a ) Xb mod p 34 / 45

35 Diffie - Hellman: un esempio Si scelgono un numero primo p=71 e una sua radice primitiva a=7 A sceglie la chiave privata X A =5 e calcola la chiave pubblica Y A = 7 5 mod 71 = 51 B sceglie la chiave privata X B =12 e calcola l la chiave pubblica Y B = 7 12 mod 71 = 4 A e B si scambiano le chiavi pubbliche A calcola la chiave segreta K = 4 5 mod 71 = 30 B calcola la chiave segreta K = mod 71 = / 45

36 Diffie - Hellman: aspetti critici non protegge da attacchi di tipo replay possibile attacco man-in-the-middle Y A Y M A M B Y M Y B richiede pre-autenticazione A Y A, firma A(Y A ) Y B, firma B(Y B ) B 36 / 45

37 Crittografia a chiave pubblica Proposta nel 1976 da Diffie e Hellman e usata per distribuire chiavi segrete e per la firma digitale Alice Bob 37 / 45

38 Requirements deve essere computazionalmente semplice per un utente B generare una coppia di chiavi KU b (pubblica), KR b (privata) deve essere computazionalmente semplice per un mittente A ottenere il testo cifrato C = E KUb (M) deve essere computazionalmente semplice per il ricevente B recuperare il testo originale M = D KRb (C) deve essere computazionalmente complesso per un impostore determinare KR b da KU b deve essere computazionalmente complesso per un impostore ricavare M da KU b e C le chiavi KU b e KR b devono avere funzionalità reciproche 38 / 45

39 RSA (Rivest - Shamir - Adleman) sviluppato nel 1977 da Rivest, Shamir, Adleman algoritmo a chiave pubblica più diffuso Encryption Decryption Plaintext: M<n Ciphertext: C Ciphertext: C = M e mod n Plaintext: M = C d mod n Key Generation Select p, q pand q both prime Calculate Calculate n = p * q φ(n) = (p-1)(q-1) Select integer e gcd(φ(n), e)=1; 1< e < φ(n) Calculate d (d * e)mod φ(n) = 1 Public key KU = [e, n] Private key KR =[d [d, n] 39 / 45

40 RSA: un esempio Si scelgono due numeri primi p=7, q=17 si calcola n = pq = 7 x 17 = 119 si calcola φ(n) = (p-1)(q-1) = 6x16 =96 si sceglie e < φ(n), relativamente primo con φ(n), e = 5 si determina d tale che de mod 96 = 1 e d<96, d = 77 (infatti 77x5 = 385 = 96x4+1) 40 / 45

41 Sicurezza di RSA Possibile attacco esaustivo: nella scelta di e e d trade-off tra sicurezza e prestazioni Crittoanalisi: fattorizzazione di n 1977: sfida degli inventori su un testo criptato con una chiave pubblica n di 129 cifre decimali (circa 428 bit) 1994: sfida vinta su Internet con 1600 calcolatori in otto mesi di lavoro attualmente chiavi di 1024 bit sono considerate sufficientemente sicure 41 / 45

42 Uso della crittografia a chiave pubblica per l'autenticazione Bob Alice 42 / 45

43 Firma digitale Garantisce che: il messaggio è autentico il messaggio è integro il mittente non può disconoscere il messaggio 43 / 45

44 Funzione di hash Hash (corned beef hash => pasticcio di carne lessa) indica un composto eterogeneo con una forma incerta: "To make a hash of something" vuol dire fare casino con qualche cosa. In informatica, l'hash è una funzione univoca operante in un solo senso che trasforma un testo qualsiasi in una stringa di lunghezza fissa. La stringa diventa una specie di "impronta digitale" del testo di partenza, e viene detta hash o message digest (riassunto). La funzione di hash è quindi indicata come h = H(x) del messaggio x. 44 / 45

45 Funzione di hash La funzione di hash deve possedere le seguenti proprietà: p accetta un messaggio di dimensione variabile ma finita produce un digest di lunghezza fissa è veloce da calcolare sia in HW che in SW è molto difficilmente invertibile: dato un risultato h deve essere infattibile risalire al messaggio x tale che H(X)=h è estremamente improbabile che messaggi diversi generino lo stesso digest cioè: Dato un messaggio x deve essere infattibile trovare un messaggio y x tale che H(x) = H(y) Deve esser infattible trovare una copia (x,y) tale che H(x) = H(y) 45 / 45

46 Esempi di funzioni di hash MD5 (Message Digest 5) sviluppata da Ron Rivest digest da 128 bit era la più usata, ora non più considerata sicura SHA (Secure Hash Algorithm) sviluppata dal NIST nel 1993, SHA-1 versione rivista i nel 1995 ogni bit del digest è funzione di tutto l'input Opera su messaggi di lunghezza < 2 64 bits (per SHA-1 e SHA- 256) o < bits (per SHA-384 e SHA-512). La lunghezza del messaggio generato varia da 160 to 512 bits, 46 / 45