CRITTOGRAFIA CLASSICA PRINCIPI E CLASSIFICAZIONI

Transcript

1 CRITTOGRAFIA CLASSICA 1900 a.c. Egitto: geroglifici non standard 1500 a.c Mesopotaia: Forula con olte interpretazioni 500 a.c Israele: Codice ATBASH per il libro di Gereia 500 a.c. Plutarco: Scitale degli Spartani 50 a.c. Svetonio: Cifrario di Giulio Cesare 300 d.c. Kaa Sutra 725 d.c. Abu al Yahadi: sostituzione e trasposizione XV -XVI sec: sostituzione polialfabetica 1917 Macchina di Verna Macchine cifranti: Schrebius, Hagelin PRINCIPI E CLASSIFICAZIONI riservatezza Steganografia counicare senza che altri se ne accorgano Crittografia counicare senza che altri capiscano Erodoto Inchiostri invisibili Triteius Testo,Video, Audio Waterar Codice parole e frasi Cifrario caratteri Sostituzione Trasposizione

2 SOSTITUZIONE E TRASPOSIZIONE SOSTITUZIONE l ordine dei siboli riane inalterato quello che cabia sono i singoli siboli: ogni sibolo è sostituito da un altro, secondo una certa regola. TRASPOSIZIONE i singoli siboli riangono inalterati quello che cabia è l ordine dei siboli. L OPERAZIONE DI SOSTITUZIONE I due alfabeti con n siboli A B C D E.... T U V Z M A V O F.... B C G I Trasforazioni possibili: n.(n-1). (n-2).(n-3) n = 21 5,1. 10 T = n! 19 T = n j ( 1). j= 0 j! n = Nessuno uguale a se stesso! La chiave n! > (n-1)!

3 L OPERAZIONE DI TRASPOSIZIONE s 1 s 2 s 3 s 4 s 5 s 6 s 7 s 8 s 9 n lunghezza della stringa T = n! s 3 s 8 s 1 s 2 s 6 s 5 s 9 s 7 s 4 chiave Scitala Chiave: diaetro e lunghezza Θεµιστοκλεσ µεν ταυτα ενεγραφε Θ ε µ ι σ τ ο κ λ ε σ µ ε ν τ α υ τ α ε ν ε γ ρ α φ ε Θτσ αγεο τ ρµκµαεαιλευνφσεντεε ACCORGIMENTI UTILI i siboli della stringa che rappresenta un segreto devono essere olti e scelti a caso ai archiviare insiee testi cifrati e relativi testi decifrati ai lasciare incustodite acchine pronte a cifrare/decifrare ogni sibolo del blocco cifrato deve dipendere da tutti i siboli del blocco in chiaro (proprietà di DIFFUSIONE) il blocco cifrato deve dipendere in odo coplesso dal valore della chiave (proprietà di CONFUSIONE)

4 CONFUSIONE & DIFFUSIONE (SHANNON) La confusione nasconde la relazione esistente tra testo in chiaro e testo cifrato rende poco efficace lo studio del cifrato basato su statistiche e ridondanze del testo in chiaro. La sostituzione è il ezzo più seplice ed efficace per creare confusione. Cifrario coposto S&T iterate La diffusione nasconde la ridondanza del testo in chiaro spargendola all interno del testo cifrato. La trasposizione è il ezzo più seplice ed efficace per ottenere diffusione. SICUREZZA DI UN CIFRARIO (SHANNON) SEGRETEZZA PERFETTA Un Cifrario è detto PERFETTO, o assolutaente sicuro, se, dopo aver intercettatto un certo testo cifrato c, l incertezza a posteriori sul testo in chiaro è uguale all incertezza che si aveva a priori, cioè pria dell intercettazione. SICUREZZA Un Cifrario è detto sicuro se, dato un qualsiasi testo cifrato c, per chi non conosce E -1 e quindi è ipossibile trovare un tale che E () = c. SICUREZZA COMPUTAZIONALE Un Cifrario è detto coputazionalente sicuro se il calcolare da un c è possibile, a richiede una potenza di elaborazione superiore a quella a disposizione dell attaccante.

5 LE BASI DELLA TEORIA dell'incertezza (Shannon) IDEA DI FONDO: considerare un essaggio coe una variabile aleatoria e studiare le relative trasforazioni con i ezzi della ateatica applicata. i essaggi sono rappresentati con nueri reali ogni essaggio ha una sua probabilità prefissata di essere scelto POSTULATO: l inforazione I() fornita dall arrivo di un essaggio è tanto più grande quanto più piccola è la probabilità del essaggio stesso per isurare l inforazione è stata scelta la funzione logarito: I() = log (1/p()) 2 = - log 2 p() l unità di isura è lo shannon (Sh); un tepo era il bit Per isurare l incertezza sull inforazione trasportata da un essaggio pria di riceverlo si definisce il concetto di Entropia e si costruisce una teoria su esso. IL CIFRARIO PERFETTO (1/2) SEGRETEZZA PERFETTA Un Cifrario è detto PERFETTO, o assolutaente sicuro, se, dopo aver intercettatto un certo testo cifrato c, l incertezza a posteriori sul testo in chiaro è uguale all incertezza che si aveva a priori, cioè pria dell intercettazione. Infatti, in queste condizioni non esistono correlazioni: non serve a niente disporre di un calcolatore con potenza illiitata si può solo tirare ad indovinare, a non si avranno confere. TEOREMA Condizione necessaria e sufficiente per la segretezza perfetta è p(c ) = p(c) per ogni e c Conseguenza: p(c ) deve essere indipendente da e soprattutto: il nuero di chiavi deve essere aleno pari al nuero di essaggi.

6 IL CIFRARIO PERFETTO (2/2) Requisito: il nuero di chiavi deve essere aleno pari al nuero di essaggi. Il caso più seplice è che il nuero di chiavi sia esattaente uguale al nuero di essaggi. TEOREMA un Cifrario con M = K = C è PERFETTO se e solo se c è esattaente una chiave che trasfora ciascun essaggio in ciascun crittograa c e se tutte le chiavi sono equiprobabili È LA CONSACRAZIONE dell ONE TIME PAD Classificazione delle Priitive Crittografiche

7 robusto Il cifrario sietrico efficiente veloce riservatezza efficace identificazione autenticazione A E c D B PRNG 1. A: calcola c = E AB () e trasette c 2. B: calcola D AB (c) = D AB (E AB ()) =

8 Cifrari sietrici Cifrario a flusso Cifrario a blocchi Cifrari a flusso ed a blocchi One tie pad Cifrario a flusso (strea cipher): trasfora, uno o pochi alla volta, i bit del testo da cifrare e da decifrare. Protezione dei singoli bit di una trasissione seriale WEP, GSM Cifrario poligrafico Cifrario coposto Cifrario a blocchi (bloc cipher): trasfora, una alla volta, blocchi di essaggio forati da olti bit. Protezione di pacchetti, di file e di strutture di dati IPSec, SFS

9 Cifrari a flusso flusso sincrono autosincronizzazione Il eccaniso per la sostituzione di un bit bit aleatorio bit di chiave 0 1 bit in chiaro bit aleatorio bit di testo

10 seed Strea Cipher seed FLUSSO DI CHIAVE lungo quanto il testo PRNG forato da bit pseudocasuali PRNG periodo lunghissio sequenza scelta in segreto e a caso sincroniso i i i c i c i i CIFRATURA c i = i i i= 1, 2, 3,.. DECIFRAZIONE c i i =( i i ) i = i i= 1, 2, 3,.. Segretezza e variabilità del see (WEP) vettore di inizializzazione IV Chiave seed IV seed Chiave PRBG PRBG testo in chiaro testo cifrato testo in chiaro

11 Generatori A flusso sincrono (RC4, SEAL, A5,..) G (next state) G (next state) seed Register seed Register F (output) F (output) i i p i c i c i p i Con autosincronizzazione (DES-CFB,..) Shift Shift seed F seed F i i p i c i c i p i Problei dei Cifrari sietrici a flusso ATTACCHI FLUSSO SINCRONO AUTOSINCR. Cancellazione di bit propagazione d errore transitorio perdita di sincronizzaz. non rilevabile Inserzione di bit propagazione d errore transitorio perdita di sincronizzaz. non rilevabile Replica di bit propagazione d errore transitorio perdita di sincronizzaz. non rilevabile Modifica di bit non propagazione transitorio non rilevabile rilevabile

12 Proprietà del PRNG (Golob, 1967) Registri a scorriento con retroazione lineare non lineare MONOBIT e RUN: "In un generatore di bit pseudocasuali di periodo p il nuero coplessivo di uni e di zeri deve essere circa uguale a p/2; il nuero coplessivo di stringhe di lunghezza l forate da tutti uni (o da tutti zeri),deve essere circa p/2 l. AUTOCORRELAZIONE: traslando di >p posizioni verso sinistra la stringa originaria e confrontando le due stringhe, la funzione di autocorrelazione fuori dalla sequenza deve avere lo stesso valore per ogni non diviso da p". GSM: il generatore di flusso di chiave Shift/ Hold Ex Or Ross Anderson: UMTS: Cifrario a blocchi Kasui

13 Il Cifrario a flusso RC4 See K: 5 32 byte K[0] K[L-1] SKA for i=0 to 255 S[i] = i Stato S: 256 byte S[0] S[i]. S[j] S[255] j=0 for i=0 to 255 j=(j+s[i]+k[i od L]od 256 scabia S[i] e S[j] PRGA S[0] S[i]. S[j] S[255] i=0, j=0 i=(i+1)od 256 j=(i+s[i])od 256 scabia S[i] e S[j] =S[(S[i] + S[j]) od 256] byte i byte byte c i Cifrari a blocchi Rete di Feistel DES TDEA AES-Rijndael

14 Bloc cipher B 1 B 2 B 3 B n E E E C 1 C 1 C 2 C 2 C 3 C 3 Sostituzione onoalfabetica CIFRATURA: C i = E(B i, ), i =1, 2, DECIFRAZIONE: t D(C i, ) = B i i =1, 2, D D D B 1 B 2 B 3 B n Tie to brea a code (10 6 decryptions/µs) n bit N chiavi = 4, = 7, = 3, = 3, = 6, p =2 -N T =2 N-1 /10 12 s Valutazione sicurezza a breve terine (1996) R28: 75 bit ( anni MIPS) +14 bit ogni vent anni

15 Diensione della chiave DES Cracer (1998): acchina parallela costata $ ha individuato in eno di 3 giorni una chiave di 56 bit. Con una chiave di 168 bit ipiegherebbe anni! FBI, CIA: esportazione solo di crittografia debole (40 bit) DES (56 bit di chiave e 64 bit di blocco): anni '80 e '90; TDES (112 o 168 bit di chiave e 64 bit di blocco): anni '90; AES ( da 128 a 256 bit di chiave con blocchi da 128 a 256 bit): Rijndael, prossii 30 anni "la chiave segreta deve essere scelta caso (R12) e frequenteente odificata (R24)". La rete di Feistel Round 1 L 0 Plaintext (2w bits) F R 0 1 Key L 1 R 1 L i =R i-1 R i =L i-1 F(R i-1, i ) Round i F i Subey generation algorith L i R i Round n F n L n R n Ciphertext (2w bits)

16 Reti di Feistel: Cifratura/Decifrazione L n-1 R n-1 Round n F n L n R n L 0 = R n = L n-1 F(R n-1, n ) R 0 = L n = R n-1 Round 1 L 0 Ciphertext (2w bits) F R 0 n L 1 R 1 L 1 = R 0 = R n-1 R 1 = L 0 F(R 0, n ) = [L n-1 F(R n-1, n )] F(R n-1, n ) = L n-1 Feistel Cipher Structure Bloc size: larger bloc sizes ean greater security Key Size: larger ey size eans greater security Nuber of rounds: ultiple rounds offer increasing security Subey generation algorith: greater coplexity will lead to greater difficulty of cryptanalysis. Fast software encryption/decryption: the speed of execution of the algorith becoes a concern

17 VLSI: 120 ilioni di byte al secondo SW: 100 ila byte al secondo NIST IBM DES round sul blocco round sulla chiave

18 I successori del DES Hw Sw K: B: IDEA TDES BLOWFISH CAST-128 ecc. Il Triplo DES E D E c D E D La versione con 168 bit di chiave E D E c D E D La versione con 112 bit di chiave

19 Modalità di cifratura dei blocchi Modalità di elaborazione a blocchi P i ECB: Electronic Code Boo CBC: Cipher bloc Chaining E CFB: Cipher Feedbac, OFB: Output Feedbac CTR: Counter C i blocchi identici di testo in chiaro producono blocchi identici di testo cifrato

20 Cipher Bloc Chaining B 1 B 2 B 3 IV E E E C 0 C 1 C 2 C 3 DECIFRAZIONE D(C i,) = B i C i-1 D(C i,) C i-1 = B i C i-1 C i-1 = B i t CFB (Chipher Feedbac) Shift (N bit) Shift (N bit) E E n <N i c i (n bit) (n bit) c i n <N i OFB (Output Feedbac) Shift (N bit) Shift (N bit) E E n <N i c i (n bit) (n bit) c i n <N i

21 CTR (Counter) seed Register seed Register E E i B i i C i C i B i PRNG X9.17 Obiettivo: chiavi e vettori di inizializzazione per il DES Meccaniso: TDES a due chiavi Chiave (112 bit) data/ora (64 bit) EDE EDE EDE S i+1 (64 bit) seed i (64 bit) R i (64 bit)

22 Integrità ed origine MAC HMAC Message Authentication origine&riservatezza E c N.B. La verifica può essere fatta solo da chi condivide il segreto sulla chiave H c origine&integrità

23 Autenticazione con E() AB AB A E c D c* B SCENARIO FAVOREVOLE PUNTI CRITICI docuento riservato un destinatario fiducia reciproca cifrario hash controllo del significato Efficienza Sicurezza orologio contatore docuento non riservato più destinatari ripudio e falsificazione significato incontrollabile attacco attivo ipossibile attacco attivo possibile replica, inserzione, disordine Autenticazione con E(* H(*)) Struttura di un essaggio autenticabile *= t n E c ordine integrità origine&riservatezza H data Controllo t,n H c* D =? S/N Problei aperti: ripudio falsificazione

24 Integrità ed origine di un testo in chiaro H c H c IPOTESI sulla H: 1. ipossibilità di inversione 2. ipossibilità di individuare collisioni Problei aperti: ripudio falsificazione MAC (hash with CBC encryption) HMAC (hashwithey) MAC (Message Authentication Code) B 1 B 2 B n IV E E E Trasissione: B 1 B 2 B n diensioni! MAC

25 Hash a 2 ingressi o con chiave A c H H AB B AB c =? Si/No Usando il segreto AB, A dichiara a B di essere l autore della prova di integrità c del essaggio HMAC H c H CFR SI / NO Standard Internet (RFC 2104) per dare sicurezza al livello IP 1: = 1 2 2: h1 = H(1 ) 3: h = H(2 h1) = HMAC( ) = HMAC () Funzione hash con chiave MD5 SHA RIPEMD H..

26 Integrità & Origine & Non ripudio Ripudio e Falsificazione da A A AB E AB ( H()) H AB () B AB da A La condivisione del segreto: problei di sicurezza 1: A ripudia, afferando che B l ha alterato o forgiato 2: B altera o forgia, afferando che l ha fatto A Fira digitale nel contesto della Crittografia sietrica

27 Fira digitale La fira digitale di un docuento inforatico deve: 1- consentire a chiunque di identificare univocaente il firatario, 2- non poter essere iitata da un ipostore, 3- non poter essere trasportata da un docuento ad un altro, 4- non poter essere ripudiata dall'autore, 5- rendere inalterabile il docuento in cui è stata apposta. Il principio della terza parte fidata T A B Protocolli resi sicuri dalla partecipazione di una terza parte: il notaio interviene durante lo svolgiento per ipedire scorrettezze il giudice interviene al terine per diriere dispute

28 Fira digitale con un Cifrario sietrico ricevuta T 1:deposito del docuento KA KB 3:verifica del docuento A 2:docuento & ricevuta B Registro Atti Privati M M A E KA A B KA D KA KA 1:A E KA (A M) 2:E KA (A T M E R (A T M)) 3:A T M E R (A T M) B 4:B A T M E R (A T M) D KB KB 5:E KB (A T M) D KA KA KA T E KA D R R E KB KB RNG E R R RAP DB.. A T M R Fira..

29 Problei risolti e nuovi problei Ripudio Falsificazione L'Autorità deve essere sepre on-line. L'Autorità non deve costituire un collo di bottiglia. L'Autorità non deve creare docuenti falsi. L'Autorità deve tenere le chiavi in una eoria sicura.