Cifratura Asimmetrica

Transcript

1 Cifratura Asimmetrica 0 Cifrari a chiave pubblica Algoritmo di Cifratura E() c = E(k 1, m) la cifratura del messaggio in chiaro m con la chiave k 1 produce il testo cifrato c Algoritmo di Decifratura D() m = D(k 2, c) = D(k 2, E(k 1, m)) la decifratura del messaggio cifrato c con la chiave k 2 (k 2 k 1 ) produce il testo in chiaro m Proprietà di E() e D() I. Dato c è molto difficile ricavare m se non si conosce k 2 II.Dati m e c è molto difficile ricavare k 1, a meno che k 1 non sia utilizzata una sola volta III.Anche se si conosce k 1 è molto difficile ricavare k 2 e viceversa 12/28/2009 Network security - Public Key Cryptography 1

2 Chiave Pubblica e Privata Ogni utente ha una coppia di chiavi (k 1, k 2 ) mantiene segreta una chiave rende pubblica l altra Ad esempio: PUB A : chiave pubblica di Alice PRIV A : chiave privata di Alice 12/28/2009 Network security - Public Key Cryptography 2 Segretezza Alice vuole inviare un messaggio segreto m a Bob Global DB Alice: PUB A Bob: PUB B PRIV A PRIV B 1. Alice si procura PUB B, la chiave pubblica di Bob 2. Alice calcola c = E(PUB B, m) 3. Alice invia C a Bob 4. Bob calcola m = D(PRIV B, c) 12/28/2009 Network security - Public Key Cryptography 3

3 Metafora: cassetta postale Alice vuole inviare un messaggio segreto M a Bob Global DB Alice: PUB A Bob: PUB B PRIV A PRIV B Chiunque può inserire un messaggio nella cassetta postale, ma solo chi ha la chiave (privata) può aprire la cassetta e prelevare il messaggio 12/28/2009 Network security - Public Key Cryptography 4 Cifratura Asimmetrica Sicurezza di un cifrario a chiave pubblica Non esistono cifrari perfettamente sicuri Avversario può montare facilmente un known-plaintext attack usando la chiave pubblica I cifrari a chiave pubblica sono sicuri dal punto di vista computazionale Ogni cifrario è legato ad un problema considerato complesso 12/28/2009 Network security - Public Key Cryptography 5

4 Cifrari a chiave pubblica più noti RSA (1978) probabilmente il più diffuso; la sua sicurezza non è stata provata Deve la sua sicurezza alla difficoltà di fattorizzare numeri interi grandi Knapsack (1978) violato più volte, non è considerato sicuro Rabin (1979) ElGamal (1985) Schnorr (1991) equivalenti al problema del logaritmo discreto 12/28/2009 Network security - Public Key Cryptography 6 Algoritmo di firma S() Firma Digitale s = S(PRIV A, m) costituisce la firma digitale del messaggio m con la chiave Priv A Algoritmo di verifica V() V(PUB A, [m], s) restituisce VERO se s è la firma digitale di m con PRIV A, FALSO altrimenti Alcuni algoritmi non richiedono m che, in tali casi, è uno dei risultati della verifica Proprietà di S() e V() I. Dato m è molto difficile produrre s se non si conosce PRIV A II.Dati m e s è molto difficile ricavare PRIV A, a meno che non sia utilizzata una sola volta III.Anche se si conosce PUB A è molto difficile ricavare PRIV A e viceversa 12/28/2009 Network security - Public Key Cryptography 7

5 Provenienza di un messaggio Alice non vuole inviare un messaggio segreto a Bob ma vuole fornirgli una prova di provenienza Global DB Alice: PUB A Bob: PUB B PRIV A m, s PRIV B 1. Alice firma m, cioè calcola s = S(PRIV A, m) 2. Alice invia (m, s) a Bob 3. Bob si procura PUB A e verifica s, cioè 4. calcola v = D(PUB A, m, s) e verifica che v TRUE 12/28/2009 Network security - Public Key Cryptography 8 Metafora: firma Alice non vuole inviare un messaggio segreto a Bob ma vuole fornirgli una prova di provenienza Global DB Alice: PUB A Bob: PUB B PRIV A m, s PRIV B Solo chi ha la chiave privata può firmare un documento Tutti gli altri possono verificare la firma con la chiave pubblica 12/28/2009 Network security - Public Key Cryptography 9

6 Segretezza + Provenienza Alice vuole inviare un messaggio segreto m a Bob, fornendogli anche una prova di provenienza Global DB Alice: PUB A Bob: PUB B 1. Alice calcola s = E(PRIV A, m) 2. Alice si procura PUB B e calcola c = E(PUB B, (m, s)) 3. Alice invia c a Bob c 1. Bob calcola (m, s) = D(PRIV B, c) 2. Bob si procura PUB A, e PRIV A PRIV B 3. verifica che D(PUB A, m, s) = TRUE 12/28/2009 Network security - Public Key Cryptography 10 Sign and then encrypt Notation x A S(K A, x) {x} B E(K B, x) Drawbacks { } credit 1M$ B A { } credit 1M$ B We have only the proof that Alice saw the cryptogram The adversary can remove Alice s signature and replace it with his own These drawbacks disappear if signature and encryption operations are performed in a reverse order M 12/28/2009 Network security - Public Key Cryptography 11

7 RSA Algoritmi di Firma più Diffusi Lo stesso algoritmo si utilizza sia per firmare sia per cifrare ElGamal DSS Algoritmo per la sola firma digitale 12/28/2009 Network security - Public Key Cryptography 12 Centro Distribuzione Chiavi La crittografia a chiave pubblica non richiede segreti condivisi Quando necessario, basta solo (!!!) procurarsi la chiave pubblica del partner Centro Distribuzione Chiavi terza entità fidata che assicura l integrità del collegamento (utente chiave pubblica dell utente) Alice: PUB A Bob: PUB B 12/28/2009 Network security - Public Key Cryptography 13

8 Requisiti Centro Distribuzione Chiavi non deve mantenere alcuna informazione segreta, ma deve garantire l integrità del collegamento utente chiave pubblica dell utente Un avversario M che sostituisce (Alice, PUB A ) con (Alice, PUB M ) può leggere i messaggi segreti indirizzati ad Alice e firmare al posto di Alice 12/28/2009 Network security - Public Key Cryptography 14 Distribuzione delle Chiavi M1 T M2 M3 Alice vuole conoscere la chiave pubblica PUB B di Bob M1 A T: A, B M2 T A: T, B, PUB B Alice ritiene che PUB B sia la chiave pubblica di Bob Alice invia un messaggio segreto m a Bob M3 A B: A, E(PUB B, m) sembra tutto OK, ma 12/28/2009 Network security - Public Key Cryptography 15

9 L uomo nel mezzo è sempre in agguato M1 M4 M5 M2 M3 M6 T Alice vuol conoscere la chiave pubblica PUB B di Bob M1 A T[M]: A, B M2 M[A] T: A, B M3 T A[M]: T, B, PUB B M4 M[T] A: T, B, PUB M Alice ritiene che PUB M sia la chiave pubblica di Bob 12/28/2009 Network security - Public Key Cryptography 16 L uomo nel mezzo è sempre in agguato M1 M4 M5 M2 M3 M6 CDC Alice invia un messaggio segreto m a Bob M5 A B[M]: E(PUB M, m) M6 M B: E(PUB B, m) L avversario (l uomo-nel-mezzo) può leggere tutti i messaggi segreti che Alice invia a Bob Problema analogo quando Alice vuole procurarsi la chiave pubblica di Bob per verificare una firma digitale 12/28/2009 Network security - Public Key Cryptography 17

10 Il problema: autenticità di una chiave Il problema nasce dal messaggio M4 M4 M[T] A: T, B, PUB M Alice attribuisce (erroneamente) M4 a T non c è nessuna prova che M4 effettivamente provenga da T È un problema di autenticità e non di segretezza: M4 non trasporta alcuna informazione segreta 12/28/2009 Network security - Public Key Cryptography 18 La soluzione: i certificati Il centro distribuzione chiavi T rilascia un certificato: Certificato C(CA, A) = Alice, PUB A, S(PRIV CA, (A, PUB A )) = Alice, PUB A, A, PUB A CA Un messaggio firmato da una Certification Authority (CA) che stabilisce un collegamento indissolubile tra un identificatore ed una chiave (identificatore chiave pubblica dell utente) 12/28/2009 Network security - Public Key Cryptography 19

11 Certification Authority CA è una terza entità fidata che garantisce l integrita del collegamento (identificatore chiave pubblica) la corrispondenza tra l identificatore ed un soggetto (identificazione) il possesso della chiave pubblica da parte del soggetto (autenticazione) 12/28/2009 Network security - Public Key Cryptography 20 Distribuzione Chiavi con Certificato M1 M2 Alice: C(CA, A) Bob: C(CA, B) M3 Alice vuole sapere la chiave pubblica PUB B di Bob M1 A T: B M2 T A: C(CA, B) Alice verifica la firma della CA e si convince che PUB B è la chiave pubblica di Bob C(CA, B) = B, PUB B, S(PRIV CA, (B, PUB B )) 12/28/2009 Network security - Public Key Cryptography 21

12 Problema: Chi certifica una CA? Per verificare la firma sul certificato, Alice si deve procurare PUB CA, la chiave pubblica di CA Come fa Alice ad essere sicura che PUB CA è autenntica? Metodi off-line Face-to-face CA pubblica PUB CA sui quotidiani più importanti La chiave di CA è certificata da un altra CA Certification Hierarchy (X.509) Certification Web (PGP) Every problem in Computer Science can be solved by another level of indirection (D. Wheeler) 12/28/2009 Network security - Public Key Cryptography 22 Significato di un certificato C(CA, B) Alice riceve C(CA, B) Alice può concludere che PUB B appartiene a Bob Se Alice si fida di CA Alice non può concludere che sta parlando con Bob Un certificato non dà alcuna garanzia sull identità del partner della comunicazione 12/28/2009 Network security - Public Key Cryptography 23

13 Identificazione: challenge response M1: B M2: r M3: s = E(PRIV B,r) PUB CA, C(CA, B) Alice vuole identificare Bob Alice invia una challenge a Bob (M2) che la ritorna firmata con Priv B (M3) La challenge deve essere imprevedibile Dopo aver ricevuto M3 e verificato s, Alice può concludere che sta parlando con Bob 12/28/2009 Network security - Public Key Cryptography 24 Diffie-Hellmann + Firma Digitale Alice e Bob vogliono condividere un segreto, la chiave K AB C(CA, B) C(CA, A) a K AB? b C(CA, A) C(CA, B) Alice: C(CA, A) Bob: C(CA, B) 12/28/2009 Network security - Public Key Cryptography 25

14 Diffie-Hellmann + Firma Digitale Alice sceglie un numero random a (segreto) M1 A B: g a mod p Bob sceglie un numero random b (segreto), calcola K AB = (g a ) b mod p = g ab mod p M2 B A: g b mod p, E(K AB, S(PRIV B, (g b mod p, g a mod p))) Alice calcola K AB = (g a ) b mod p = g ab mod p M3 A B: E(K AB, S(PRIV A, (g b mod p, g a mod p))) Alice (Bob) conclude che K AB è la chiave per comunicare ora con Bob (Alice) e che Bob (Alice) dispone di tale chiave. 12/28/2009 Network security - Public Key Cryptography 26