Il cifrario simmetrico efficiente

Transcript

1 robusto Il cifrario sietrico efficiente veloce riservatezza efficace identificazione AB autenticazione AB c A E D B PRNG 1, 2,.., N c 1, c 2,.., c N 1. A: calcola c = E AB () e trasette c 2. B: calcola D AB (c) = D AB (E AB ()) =

2 Cifrari a flusso ed a blocchi One tie pad veloce Cifrario a flusso (strea cipher): trasfora, con una regola variabile al progredire del testo, uno o pochi bit alla volta del testo da cifrare e da decifrare. Protezione dei singoli bit di una trasissione seriale WEP, GSM Cifrario poligrafico Cifrario coposto sicuro Cifrario a blocchi (bloc cipher): trasfora, con una regola fissa ed uno alla volta, blocchi di essaggio forati da olti bit. Protezione di pacchetti, di file e di strutture di dati IPSec, SFS Cifrari a flusso

3 Il eccaniso per la sostituzione di un bit bit aleatorio bit di chiave 0 1 bit in chiaro bit cifrato bit di testo seed Strea Cipher seed FLUSSO DI CHIAVE lungo quanto il testo PRNG forato da bit pseudocasuali PRNG sequenza scelta in segreto e a caso all interno di un periodo lunghissio sincroniso i i i c i c i i CIFRATURA c i = i i i= 1, 2, 3,.. DECIFRAZIONE c i i =( i i ) i = i i= 1, 2, 3,..

4 Segretezza e variabilità del see (WEP) vettore di inizializzazione IV Chiave seed IV seed Chiave PRBG PRBG testo in chiaro testo cifrato testo in chiaro Strea ciphers A flusso sincrono (RC4, SEAL, A5, DES-CTR, DES-OFB..) G (next state) G (next state) seed Register seed Register F (output) F (output) i i p i c i c i p i Con auto-sincronizzazione (DES-CFB,..) Shift Shift seed F seed F i i p i c i c i p i

5 Problei dei Cifrari a flusso ATTACCHI FLUSSO SINCRONO AUTOSINCR. Cancellazione di bit perdita di sincroniso transitorio Inserzione di bit perdita di sincroniso transitorio Modifica di bit non propagazione transitorio più usati Proprietà del PRNG (Golob, 1967) Registri a scorriento con retroazione lineare non lineare MONOBIT e RUN: "In un generatore di bit pseudocasuali di periodo p il nuero coplessivo di uni e di zeri deve essere circa uguale a p/2; il nuero coplessivo di stringhe di lunghezza l forate da tutti uni (o da tutti zeri),deve essere circa p/2 l. AUTOCORRELAZIONE: traslando di >p posizioni verso sinistra la stringa originaria e confrontando le due stringhe, la funzione di autocorrelazione fuori dalla sequenza deve avere lo stesso valore per ogni non diviso da p".

6 GSM: il generatore di flusso di chiave polinoio priitivo: x 19 +x 5 +x 2 +x Shift/ Hold Ex Or Ross Anderson: UMTS: Cifrario a blocchi Kasui Il Cifrario a flusso RC4 (Rivest, 1984) See K: 5 32 byte K[0] K[L-1] SKA for i=0 to 255 S[i] = i Stato S: 256 byte S[0] S[i]. S[j] S[255] j=0 for i=0 to 255 j=(j+s[i]+k[i od L]od 256 scabia S[i] e S[j] PRGA S[0] S[i]. S[j] S[255] i=0, j=0 i=(i+1)od 256 j=(i+s[i])od 256 scabia S[i] e S[j] =S[(S[i] + S[j]) od 256] byte i byte byte c i

7 Cifrari a blocchi Bloc cipher (odalità ECB) Mittente: 1 2 N Destinatario: E E Sostituzione onoalfabetica CIFRATURA: cc 1i = E(B i, ), c 2 i =1, 2, DECIFRAZIONE: D(C i, ) = B i i =1, 2, c 1 c 2 E c N c N t D D D 1 2 N

8 Padding: standard PKCS#5 e #7 ultio blocco eof X 6 X 6 X 6 6X 6X X Tie to brea a code Spazio delle chiavi Forza bruta: T = 2 N-1 /10 12 s N bit 2 N chiavi = 4, = 7, = 3, = 3, = 6, p =2 -N Valutazione sicurezza a breve terine (1996) R28: 75 bit ( anni MIPS) +14 bit ogni vent anni 56 bit 10 ore

9 Diensioni della chiave e del blocco DES Cracer (1998): acchina parallela costata $ ha individuato in eno di 3 giorni una chiave di 56 bit. Con una chiave di 168 bit ipiegherebbe anni! FBI, CIA: esportazione solo di crittografia debole (40 bit) Attacchi con testo noto e scelto: diensione del blocco DES (56 bit di chiave e 64 bit di blocco): anni '80 e '90; TDES (112 o 168 bit di chiave e 64 bit di blocco): anni '90; AES ( da 128 a 256 bit di chiave con blocchi da 128 a 256 bit): Rijndael, prossii 30 anni "la chiave segreta deve essere scelta caso (R12) e frequenteente odificata (R24)". La rete di Feistel Round 1 L 0 Plaintext (2w bits) F R 0 1 Key L 1 R 1 L i =R i-1 R i =L i-1 F(R i-1, i ) Round i F i Subey generation algorith L i R i Round n F n L n R n Ciphertext (2w bits)

10 Reti di Feistel: Cifratura/Decifrazione L n-1 R n-1 Round n F n L n R n L 0 = R n = L n-1 F(R n-1, n ) R 0 = L n = R n-1 Round 1 L 0 Ciphertext (2w bits) F R 0 n L 1 R 1 L 1 = R 0 = R n-1 R 1 = L 0 F(R 0, n ) = [L n-1 F(R n-1, n )] F(R n-1, n ) = L n-1 VLSI: 120 ilioni di byte al secondo SW: 100 ila byte al secondo NIST IBM DES

11 round sul blocco round sulla chiave Crittanalisi differenziale e lineare Crittanalisi differenziale: cerca coppie di testo in chiaro scelto la cui differenza si riscontri identica anche sull uscita della F Crittanalisi lineare: cerca coppie con testo in chiaro noto con cui costruire una approssiazione lineare della F FEAL: rotto! F DES: 2 47 coppie F Invertendo un bit d ingresso SAC: i bit d uscita si odificano con p = 0,5 BIC: si odificano 2 bit d uscita non prevedibili GA: si odificano da 2 a 5 bit d uscita

12 I successori del DES Hw Sw K: B: IDEA TDES BLOWFISH CAST-128 ecc. opera su 3 gruppi: Soa odulo 2 su vettori di 16 bit Addizione tra interi odulo 2 16 Moltiplicazione tra interi odulo Il Triplo DES (TDEA, EDE) E D E c D E D La versione con 168 bit di chiave E D E c D E D La versione con 112 bit di chiave

13 Advanced Encryption Standard 5 finalisti su 16 candidati: MARS, RC6, Rijndael, Serpent, Twofish Valutazione di Rijndael eccellenti prestazioni su tutte le piattafore (dai ain frae alle sart card), buon argine di sicurezza a fronte di ogni attacco conosciuto, bassa richiesta di eoria, sia ROM che RAM, veloce procedura di ey setup, buone caratteristiche per l'esecuzione parallela delle istruzioni, chiavi e blocchi di lunghezza variabile per ultipli di 32 bit. Un round di Rijndael KEY: 128 bit INPUT: 128 bit in 4 blocchi da 32 Substitute bytes (sostituzione) Shift rows (perutazione) Mix coluns (sostituzione) da ripetere r volte (da 10 a 14) K i Add Round Key (sostituzione) OUTPUT: 128 bit in 4 blocchi da 32

14 Rijndael_ingles_2004.exe Modalità di cifratura

15 Modalità di elaborazione a blocchi i ECB: Electronic Code Boo CBC: Cipher bloc Chaining padding padding E CFB: Cipher Feedbac, OFB: Output Feedbac no padding no padding CTR: Counter no padding c i blocchi identici di testo in chiaro producono blocchi identici di testo cifrato Cipher Bloc Chaining IV E E E c 0 c 1 c 2 c 3 DECIFRAZIONE D(c i,) = i c i-1 D(c i,) c i-1 = i c i-1 c i-1 = i t

16 Shift (N bit) E n <N i c i (n bit) (n bit) CFB (Chipher Feedbac) IV CFB8 CFB32 CFB c i Shift (N bit) n <N E i OFB (Output Feedbac) Shift (N bit) Shift (N bit) E OFB8 OFB32 OFB n <N i c i (n bit) (n bit) c i n <N E i CTR (Counter) seed Register seed Register E E i i i c i c i i

17 Integrità ed origine di un essaggio Message Authentication Ipotesi:Uso della crittografia sietrica origine&riservatezza E c H c Hash con chiave origine&integrità

18 Autenticazione di con E() AB AB A E c D c B SCENARIO FAVOREVOLE PUNTI CRITICI docuento riservato un destinatario fiducia reciproca cifrario hash controllo del significato Efficienza Sicurezza orologio contatore docuento non riservato più destinatari ripudio e falsificazione significato incontrollabile attacco attivo ipossibile attacco attivo possibile replica, inserzione, disordine Autenticazione di con E(* H(*)) Struttura di un essaggio autenticabile *= t n E c ordine data e inoltre ittente forato... * integrità H Controllo t,n, ecc. origine&riservatezza H c* D =? H(*) S/N Problei aperti: ripudio falsificazione

19 Integrità ed origine di un testo in chiaro H c H c IPOTESI sulla H: 1. ipossibilità di inversione 2. ipossibilità di individuare collisioni Problei aperti: ripudio falsificazione MAC (hash with CBC encryption) HMAC (hash with ey) Hash a 2 ingressi o con chiave A c H H AB B AB c =? Si/No Usando il segreto AB, A dichiara a B di essere l autore della prova di integrità c del essaggio

20 RFC 2104: HMAC (hash con chiave ) AAB B AB HMAC c c CFR SI/NO HMAC Standard Internet per dare sicurezza al livello IP AB 64 byte, copletato con 00 H fino a 512 bit 1. 1 = AB a, a=36 H per 64 volte 2 = AB b, b=5c H per 64 volte 2. h1 = H(1 ) 3. h1 : h1 copletato con 00 H 4. h = H(2 h1 ) = HMAC(AB, ) AB a b H H h H con copressione iterata MAC (Message Authentication Code) 1 2 n 0 E E E Trasissione: 1 2 n diensioni! MAC

21 Integrità & Origine & Non ripudio Ripudio e Falsificazione da A A AB E AB ( H()) H AB () B AB da A La condivisione del segreto: problei di sicurezza 1: A ripudia, afferando che B l ha alterato o forgiato 2: B altera o forgia, afferando che l ha fatto A Fira digitale nel contesto della Crittografia sietrica

22 Fira digitale La fira digitale di un docuento inforatico deve: 1- consentire a chiunque di identificare univocaente il firatario, 2- non poter essere iitata da un ipostore, 3- non poter essere trasportata da un docuento ad un altro, 4- non poter essere ripudiata dall'autore, 5- rendere inalterabile il docuento in cui è stata apposta. Il principio della terza parte fidata T A B Protocolli resi sicuri dalla partecipazione di una terza parte: il notaio interviene durante lo svolgiento per ipedire scorrettezze il giudice interviene al terine per diriere dispute

23 Fira digitale con un Cifrario sietrico 1:deposito del docuento 2:ricevuta KA T Trust worload KB 4:SI/NO 4:verifica del docuento A 3:docuento & ricevuta B Registro Atti Privati M M A E KA A B KA D KA KA 1:A E KA (A M) 2:E KA (A T M E R (A T M)) 3:A T M E R (A T M) B 4:B A T M E R (A T M) D KB KB 5:E KB (A T M) D KA KA KA T E KA D R R E KB KB RNG E R R RAP DB.. A T M R Fira..

24 Problei risolti e nuovi problei Ripudio Falsificazione L'Autorità deve essere sepre on-line. L'Autorità non deve costituire un collo di bottiglia. L'Autorità non deve creare docuenti falsi. L'Autorità deve tenere le chiavi in una eoria sicura. Key Manageent

25 Accordo sulla chiave segreta uno a uno Incontro Corriere olti a olti odifica frequente Session ey One-tie ey Internet chiave che cifra chiavi CON PRECEDENTE KA Chiave in uso Master ey KDC SENZA PRECEDENTE KA Scabio di Diffie-Hellan Cifrario asietrico Master ey

26 La aster ey Mittente A Accordo Destinatario B session ey AB aster ey AB RNG E AB D AB E c1 c2 D La chiave AB cifra solo le chiavi e può avere una vita lunga La chiave cifra essaggi anche lunghi ed è usata una volta sola Key Distribution Center

27 Nuero di chiavi in circolazione Counità di utenti Non è scalabile! 1 2 Nc N c = N u.(n u -1)/ N c = N u Nu Obiettivo da perseguire: una chiave per utente Soluzione: ogni utente concorda la sua chiave con una terza parte L Autorità per la distribuzione chiavi T K AT Chiave di sessione One-tie ey K BT A E D D E B N c = N u

28 A sfida1 1:R A A B KDC T vita liitata R A B A D KA KA KA 2:E KA (R A B E KB (A )) E KA risposta1/sfida2 3:E KB (A ) risposta2 E KB replica KB B D KB non riuso KB R B D E 4:E (R B ) sfida3 5:E (R B -1) risposta3 E D R B Problei di KDC On-line Collo di bottiglia (n ax di utenti) Meoria sicura Ente degno di fiducia KryptoKnight, Kerberos, Distributed Coputing Environent, Windows 2000