Cifratura Simmetrica

Transcript

1 Cifratura Simmetrica

2 Algoritmi e Proprietà ALGORITMO DI CIFRATURA E( ) c = E(k, m) Il messaggio cifrato c è ottenuto cifrando il messaggio in chiaro m con la chiave k ALGORITMO DI DECIFRATURA D() m = D(k, c) = D(k, E(k, m)) Il messaggio in chiaro m è ottenuto decifrando il messaggio cifrato c con la chiave k PROPRIETÀ di E() e D() I. Dato c è molto difficile ricavare m se non si conosce k e viceversa II. Dati m e c è molto difficile ricavare k (a meno che k non sia utilizzata una sola volta) 27-Nov-01 Cifratura simmetrica 1

3 Metafora: cassaforte k k m c c E() Network D() m Chiunque vuole aprire la cassaforte, per mettere o togliere valori, deve conoscere la combinazione 27-Nov-01 Cifratura simmetrica 2

4 Comunicazione Confidenziale Alice e Bob vogliono comunicare in segreto Ipotesi: Alice e Bob si fidano l uno dell altro Alice e Bob concordano E() e D() La chiave k è un segreto condiviso tra Alice e Bob network m E() c c D() m k k 27-Nov-01 Cifratura simmetrica 3

5 Considerazioni Quando Alice riceve c... c = DES(k, m) = f3 9e 8a 73 fc 76 2d 0f bd 85 c3 c9 89 d2 bf 96 b6 4f 34 b8 51 dd (multiplo di 8) lo decifra con k = 0x3dd04b6d14a437a9 (56 bit) ed ottiene m = DES(k, c) = Ci vediamo alle 20!...come fa ad essere sicura che m = D(k,c) è buono? Alice conosce m in anticipo Alice conosce in anticipo parte di m (Es.: ) Alice sa che m ha certe ridondanze strutturali (Es.: documento ASCII) 27-Nov-01 Cifratura simmetrica 4

6 Una piccola modifica al testo cifrato Qual è l effetto di una piccola modifica al testo cifrato? Modifica di un bit del testo cifrato Sia c[0] 7 = ~c[0] 7, M = e8 biö=}o alle 20:00! Modifica di un byte del testo cifrato Sia c[ciphertextlenght-1] = 0x00, m = Ci vediamo alle "}2gÀlõ È molto difficile per un avversario determinare c*, modificando c, in modo tale che c* produca un testo in chiaro m* scelto dall avversario 27-Nov-01 Cifratura simmetrica 5

7 Considerazioni Quando Alice riceve m è portata a credere che: Solo Bob ha vistoil messaggio m (confidenzialità) Il messaggio m proviene da Bob (provenienza) Il messaggio non è stato modificato (integrità) Cosa vuol dire che Alice e Bob si fidano l uno dell altro? Alice (Bob) non rivela m Alice (Bob) tiene segreta la chiave k Alice (Bob) è competente per quanto riguarda l amministrazione di sistema Alice (Bob) non rivela la chiave: Alice (Bob) non imbroglia 27-Nov-01 Cifratura simmetrica 6

8 Chiave compromessa Se l avversario viene a conoscenza della chiave k, allora la chiave si dice compromessa Se k è compromessa, allora L avversario può intercettare e leggere tutte le comunicazioni tra Alice e Bob (rilascio del contenuto dei messaggi) L avversario può inviare messaggi ad Alice fingendo di essere Bob e viceversa (masquerade) L avversario può intercettare e modificare i messaggi spediti da Alice a Bob e viceversa (modifica dei messaggi) 27-Nov-01 Cifratura simmetrica 7

9 Chiave non compromessa L avversario inserisce messaggi ma Alice se ne accorge e li scarta L avversario modifica messaggi ma Alice se ne accorge e li scarta (idem) L avversario può eliminare messaggi. La crittografia non aiuta; ci vuole ridondanza. L avversario può replicare messaggi La crittografia non aiuta; va previsto nel protocollo. Esempio: si inserisce un contatore cnt nel messaggio: E(k, (m, cnt)) L avversario tenta di crittanalizzare i messaggi 27-Nov-01 Cifratura simmetrica 8

10 Crittanalisi Crittanalisi è la disciplina che si occupa di ricavare il testo in chiaro senza conoscere la chiave, oppure la chiave stessa Ipotesi 1. Il crittanalista ha accesso a tutti i dati cifrati 2. Il crittanalista conosce i dettagli dell algoritmo (Principio di Kerckhoff) Tecniche di crittanalisi 1. Ciphertext-only Attack 2. Known-Plaintext Attack 3. Chosen-Plaintext Attack 4. Chosen-Ciphertext Attack 27-Nov-01 Cifratura simmetrica 9

11 Ciphertext-only attack Il crittanalista dispone solo di testo cifrato ottenuto con l algoritmo E() e la chiave k Dato C i = E(k, T i ), 1 i n, determinare il testo in chiaro T 1, T 2,,T n oppure la chiave k, oppure un algoritmo per inferire T n+1 da C n+1 = E(k, T n+1 ) È l attacco più semplice da cui difendersi perché il crittanalista dispone della minima quantità di informazione Solamente algoritmi poco robusti non resistono ad un ciphertext-only attack 27-Nov-01 Cifratura simmetrica 10

12 Known-plaintext attack Il crittanalista dispone non solo di testo cifrato ma anche del corrispondente testo in chiaro Dati T i e C i = E(k, T i ), 1 i n, determinare la chiave k, oppure un algoritmo per inferire T n+1 da C n+1 = E(k, T n+1 ) 27-Nov-01 Cifratura simmetrica 11

13 Chosen-plaintext attack Il crittanalista dispone non solo del testo cifrato e del corrispondente testo in chiaro, ma è anche in grado di scegliere il testo in chiaro Dati P i e C i = E(k, T i ), 1 i n, dove i P i sono scelti dal crittanalista, determinare la chiave k, oppure un algoritmo per inferire T n+1 da C n+1 = E(k, T n+1 ) Attacco è molto potente: il crittanalista può scegliere ad arte dei testi in chiaro che, molto probabilmente, rivelino la struttura della chiave Gli algoritmi più diffusi sono stati progettati per resistere a questo attacco 27-Nov-01 Cifratura simmetrica 12

14 Chosen-ciphertext attack Il crittanalista sceglie il testo cifrato da crittanalizzare ed ha anche accesso al testo in chiaro corrispondente Dati C i e T i = D(k, C i ), 1 i n, dove i C i sono scelti dal crittanalista, determinare la chiave k Questo attacco è applicato principalmente ai crittosistemi a chiave pubblica Nei sistemi simmetrici, questo attacco ha la stessa complessità del chosen-plaintext attack 27-Nov-01 Cifratura simmetrica 13

15 Brute-force attack (I) La sicurezza di un algoritmo simmetrico dipende da: La forza dell algoritmo La lunghezza della chiave Brute-force attack: ricerca esaustiva nello spazio delle chiavi Se la chiave è su n bit, allora ci sono 2 n chiavi possibili sono necessari, in media, 2 n-1 tentativi Si ricorre ad un brute-force attack quando non c è altro modo per violare l algoritmo (algoritmo perfetto ) Brute-force attack è il limite superiore alla sicurezza di un algoritmo di cifratura 27-Nov-01 Cifratura simmetrica 14

16 Un esempio: sostituzione monoalfabetica Alfabeto in chiaro A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Chiave J U L I S C A E R T V W X Y Z B D F G H K M N O P Q La chiave è una permutazione dell alfabeto Cifratura: Ogni carattere in chiaro è sostituito dal carattere della chiave che ha la stessa posizione nell alfabeto Numero delle chiavi 26! (maggiore del numero di secondi che è trascorso dalla nascita dell universo) 27-Nov-01 Cifratura simmetrica 15

17 Un esempio (2) Esempio T = TWO HOUSEHOLDS, BOTH ALIKE IN DIGNITY, IN FAIR VERONA, WHERE WE LAY OUR SCENE ( Romeo and Juliet, Shakespeare) T = TWOHO USEHO LDSBO THALI KEIND IGNIT YINFA IRVER ONAWHEREWE LAYOU RSCEN E C = HNZEZ KGSEZ WIGUZ HEJWR VSRYI RAYRH PRYCJ RFMSF ZYJNE SFSNS WJPZK FGLSY S 27-Nov-01 Cifratura simmetrica 16

18 Un esempio (3) Il cifrario a sostituzione monoalfabetica ha un grosso difetto: mantiene la distribuzione delle frequenze delle lettere La crittanalisi si può fare a mano Metodo di al-kindi (~secolo X) Ciphertext-only attack, Lingua nota (statistiche), Testo abbondante di argomento generale Costò la testa a Maria Stuart (Congiura di Babington, 1587) 27-Nov-01 Cifratura simmetrica 17

19 Brute-force attack (II) Key size (bit) Numero di chiavi T = µs = ms T = µs = 1142 anni = µs = anni 10 ore anni T1: Tempo necessario per brute-force a 10 6 decifrature/s (ragionevole con gli elaboratori odierni) T2: Tempo necessario per brute-force a decifrature/s (elaboratori a parallelismo massiccio) 27-Nov-01 Cifratura simmetrica 18

20 Brute-force attack (III) Numero di processori necessari per un brute-force attack Ogni processore è capace di eseguire 10 6 cifrature/s Key size (bit) 1 Year 1 Month 1 Week 1 Day , , , , Nov-01 Cifratura simmetrica 19

21 Brute-force attack (IV) Stima del costo medio di un elaboratore multiprocessore capace di eseguire un brute-force attack nei tempi dati Key size 1 Year 1 Month 1 Week 1 Day k$ 100 k$ 1 m$ 1 m$ $ $ $ $ I costi relativi a 56 bit sono alla portata dei budget dei militari 27-Nov-01 Cifratura simmetrica 20

22 Brute-force attack (V) Software Crackers: 1000 volte più lenti di un hardware cracker, ma gratis! Con 512 workstations si ha 1 probabilità su di violare una chiave di 56 bit in un giorno 1 probabilità su di violarla in un weekend. Sono probabilità migliori di quelle offerte da una lotteria! Chinese lottery 27-Nov-01 Cifratura simmetrica 21

23 PRINCIPALI ALGORITMI ALGORITMO DES Triple-DES IDEA Blowfish CAST CHIAVE (bit) CLOCKS/BYTE (PENTIUM) Nov-01 Cifratura simmetrica 22

24 Cifrario simmetrico k stessa chiave k m E() c c D() m A = alfabeto di definizione M= insieme dei messaggi in chiaro; m = m 1 m 2 m 3..., con m i ΠA M C = insieme dei messaggi cifrati c = c 1 c 2 c 3..., con c i ΠA C K = insieme delle chiavi 27-Nov-01 Cifratura simmetrica 23

25 Tipi di cifrari simmetrici Cifrario a blocchi (block cipher) Un cifrario a blocchi frammenta il messaggio in chiaro in ingresso in stringhe (blocchi) di lunghezza t fissa, e cifra un blocco alla volta Tipicamente t 64 Cifrario a carattere (stream cipher) Un cifrario a carattere è sostanzialmente un cifrario a (blocchi) a sostituzione in cui t = 1 in cui però la funzione di cifratura può cambiare per ogni carattere in in chiaro 27-Nov-01 Cifratura simmetrica 24

26 Cifrari a blocchi Cifrari semplici Cifrario a sostituzione: sostituisce simboli di un blocco (gruppi di simboli) con altri simboli (gruppi di simboli) Cifrario a sostituzione monoalfabetico Cifrario a sostituzione omofonico Cifrario a sostituzione polialfabetica Cifrario a trasposizione: permuta i simboli in un blocco I cifrari semplici non forniscono un livello di sicurezza molto elevato. Cifrari composti Ottenuti combinando insieme cifrari semplici 27-Nov-01 Cifratura simmetrica 25

27 SP-network plaintext ciphertext S S S S P S S S S P round S: sostituzione; P: permutazione, trasposizione 27-Nov-01 Cifratura simmetrica 26

28 Proprietà di un cifrario Le principali proprietà di un cifrario sono (Shannon 1940): Confusione: Proprietà di rendere la relazione tra chiave e testo cifrato la più complessa possibile Diffusione: Proprietà di riorganizzare o distribuire i bit del messaggio in chiaro in modo che la ridondanza nel testo sia in chiaro sia distribuita su tutto il testo cifrato Un round dovrebbe aggiungere confusione e diffusione Sostituzione aggiunge confusione Trasposizione aggiunge diffusione 27-Nov-01 Cifratura simmetrica 27

29 Data Encryption Standard (DES) Testo in chiaro (64 bit) Initial Permutation (IP) Round 1 Round 2 K 1 K 2 key scheduler Chiave K (64 bit) Round 16 K 16 Scambio a 32 bit Final Permutation (IP -1 ) K in realtà è su 56 bit: i bit di posizione 8, 16,..., sono di parità Testo cifrato (64 bit) 27-Nov-01 Cifratura simmetrica 28

30 Data Encryption Standard (DES) Testo in chiaro (64 bit) IP L 0 R Round 1 K 1 48 L 1 R 1 Round 2 Round 16 K 2 K 16 R 16 L 16 key scheduler Chiave K (64 bit) IP -1 Testo cifrato (64 bit) 27-Nov-01 Cifratura simmetrica 29

31 DES: round i-esimo L i-1 R i F 48 k i R i L i L i = R i-1 ; R i = L i-1 F(R i-1, K i ) F: round function Nov-01 Cifratura simmetrica 30

32 Decifratura in DES L algoritmo di decifratura con chiave K è uguale all algoritmo di cifratura con chiave K, ma con le chiavi di round K i applicate in ordine inverso Dimostrazione (solo round 1) La permutazione IP -1 della cifratura è cancellata da IP della decifratura, si ottiene quindi (L 0d, R 0d ) (R 16, L 16 ) Round 1 con chiave di round K 16 L 1d = L 16; R 1d = R 16 F(L 16, K 16 ) essendo L 16 = R 15 e R 16 = L 15 F(R 15, K 16 ) L 1d = L 16 = R 15 R 1d = R 16 F(L 16, K 16 ) = L 15 F(R 15, K 16 ) F(R 15, K 16 ) = L 15 Il primo round della decifratura produce (L 1d, R 1d ) (R 15, L 15 ), inverte cioè il round 16 L inversione non dipende né da F né da K i 27-Nov-01 Cifratura simmetrica 31

33 Round function F R i-1 K i Espansione E 48 6 S 1 S 2 S 3 S 4 S 5 S 6 S 7 S bit 8 6 bit Sostituzione (S-box) P 32 Permutazione F(R i-1, K i ) = P(S(E(R i-1 ) K i ) Nov-01 Cifratura simmetrica 32

34 DATA ENCRYPTION STANDARD (DES) Permutazioni iniziale IP e finale IP -1 Sono l una l inversa dell altra Non sono rilevanti ai fini della sicurezza Alcune implementazioni SW le omettono Espansione E Effetto valanga Sostituzione S È una funzione non-lineare, che maggiormente contribuisce alla sicurezza di DES. È difficile da analizzare È progettata per massimizzare la diffusione Permutazione P Aggiunge diffusione 27-Nov-01 Cifratura simmetrica 33

35 K i : Chiave al round i K 64 PC1 Permutazione e selezione i R R Rotazione sinistra (1 o 2 bit in funzione del round) 56 PC2 Permutazione e selezione K i Nov-01 Cifratura simmetrica 34

36 DES: chiavi deboli e semi-deboli Chiavi deboli Una chiave K è debole se, x, E(K, E(K, x)) = x Una chiave debole K genera K i tutte uguali Chiavi semi-deboli Un paio di chiavi (K 1, K 2 ) sono semi-deboli se, x, E(K 1, E(K 2, x)) = x DES ha 4 chiavi deboli e 12 chiavi semi-deboli Le chiavi deboli e semi-deboli sono ben note, e possono essere scartate in fase di generazione 27-Nov-01 Cifratura simmetrica 35

37 Chiavi deboli CHIAVE DEBOLE FEFE FEFE FEFE FEFE 1F1F 1F1F 1F1F 1F1F E0E0 E0E0 E0E0 E0E0 CHIAVE EFFETTIVA FFFFFFF FFFFFFF FFFFFFF FFFFFFF Nov-01 Cifratura simmetrica 36

38 Modalità d impiego Un cifrario a blocchi cifra un blocco di t-bit Se un messaggio è costituito da due o più blocchi, il cifrario viene impiegato secondo opportune modalità: Electronic Codebook (ECB) Cipher block chaining (CBC) Cipher feedback (CFB) Output Feedback (OFB) 27-Nov-01 Cifratura simmetrica 37

39 Electronic Codebook (ECB) Messaggio in chiaro di n blocchi: m = m 1 m 2...m n Messaggio cifrato di n blocchi: c = c 1 c 2...c n K c i = E(K, m i ), 1 i n m i E c i m i = D(K, c i ), 1 i n c i D m i Un errore in un blocco c i incide solo sul blocco m i Ogni blocco m i è cifrato indipendentemente dagli altri Due blocchi in chiaro uguali producono, a parità di chiave, due blocchi cifrati uguali ECB è soggetto a due attacchi: dictionary attack e block replay attack K 27-Nov-01 Cifratura simmetrica 38

40 Dictionary Attack L avversario può decifrare (parti di) un messaggio senza conoscere la chiave Known-plaintext attack Chiave k L avversario costruisce una tabella T k con le coppie (c i, m i ) Quando l avversario legge c k, cerca in T se esiste il m k corrispondente Questo attacco è efficace se la dimensione del blocco è piccola i messaggi contengono ridondanza la stessa chiave è utilizzata per cifrare grosse quantità di dati 27-Nov-01 Cifratura simmetrica 39

41 Block Replay L avversario può modificare un messaggio cifrato senza conoscere la chiave ESEMPIO: Transazione bancaria: utente U sposta denaro D da una bancab1 ad un altra B2 La Banca B1 addebita D all utente ed invia un messaggio di accredito, di parì entità, alla banca B2. Formatodel messaggio Nome Banca Mittente: M (12 byte) Nome Banca Ricevente: R (12 byte) Nome Cliente: C (48 byte) Numero Conto: N (16 byte) Ammontare Deposito: D (8 byte) Block size = 64 bit 27-Nov-01 Cifratura simmetrica 40

42 ESEMPIO Avversario esegue Block Replay un pagamento di 100$ c 1 un pagamento di 100$ c 2... un pagamento di 100$ c k Avversario cerca in rete i suoi messaggi: k messaggi cifrati uguali (k = 2 3) Una volta trovati, ne replica uno a suo piacimento Banca 1 Banca 2 27-Nov-01 Cifratura simmetrica 41

43 ESEMPIO (...continua) Block Replay La banca previene la replicazione dei messaggi aggiungendo un campo timestamp T (8 byte) in testa al messaggio... Tuttavia l avversario può eseguire un block replay attack L avversario identifica i suoi messaggi come prima intercetta un qualunque messaggio in transito e sostituisce i blocchi 5 12 con quelli di un suo messaggo La modalità CBC evita questo tipo di problemi Numero Blocco T M R C N D Campo messaggio 27-Nov-01 Cifratura simmetrica 42

44 Cipher Block Chaining (CBC) IV P 1 E C 1 = E(K, P 1 IV) P 2 E C 2 = E(K, P 2 C 1 ) P n E C n = E(K, P n C n-1 ) P i = D(K, C i ) C i-1 2 i n P 1 = D(K, C 1 ) IV 27-Nov-01 Cifratura simmetrica 43

45 CBC: osservazioni Testi in chiaro identici producono testi cifrati identici se e solo se cifrati con la stessa chiave K e lo stesso IV Si deve garantire l integrità di IV P i influsice su C i e tutti i blocchi cifrati successivi CBC non è adatto ad applicazioni che accedono dati cifrati in lettura/scrittura in modo random Propagazione dell errore Sia C i = (C i con un bit errato), allora P i completamente random P i+1 ha un solo bit errato nella stessa posizione del bit errato di C i P i+2 è corretto (se C i+1 è corretto): CBC è self-synchronizing CBC non è in grado di recuperare da errori dovuti a bit persi (Framing error) 27-Nov-01 Cifratura simmetrica 44

46 Cifratura multipla: 3DES Se si cifra più volte un messaggio, la sicurezza aumenta? E(K 1, E(K 2, m)) è meglio di E(K 3, m)? Si, perché DES non è un gruppo (dimostrato nel 1992) Se DES fosse un gruppo allora: m M, K 1, K 2 K, K 3 K tale che E(K 1,E(K 2, m)) = E(K 3, m) Triplo DES (3DES) T DES DES -1 DES C K 1 K 2 K 1 richiede tentativi Brute-force attack 27-Nov-01 Cifratura simmetrica 45

47 Cifrario a caratteri (stream cipher) Un cifrario a carattere è sostanzialmente un cifrario (a blocchi) a sostituzione in cui t = 1 in cui però la funzione di cifratura può cambiare per ogni carattere in in chiaro 27-Nov-01 Cifratura simmetrica 46

48 Cifrario di Vernam (One-time Padding) Sia m un messaggio di t bit Sia la chiave k una sequenza di t bit scelti a random Cifratura: c i = m i k i, 0 i t Decifratura: m i = c i k i, 0 i t One-time corrisponde alla definizione Ci sono due funzioni di cifratura E 0 (m i ) = m i se k i = 0 E 1 (m i ) = (m i +1) mod 2 se k i = 1 27-Nov-01 Cifratura simmetrica 47

49 One-Time Padding La chiave k deve essere utilizzata una sola volta (onetime) k può essere ricavata da m e c: k = m c Se la chiave è riutilizzata... Siano c = m k e c = m k, allora c c = m m La ridondanza in m m può facilitare la crittanalisi 27-Nov-01 Cifratura simmetrica 48

50 Sicurezza di One-time Padding One-time padding è perfettamente sicuro Se il crittanalista dispone solo di c e la chiave è stata usata una sola volta, allora il crittanalista può solo dedurre che il messaggio in chiaro m è costituito da t bit Qualunque messaggio m di t bit può essere generato a partire da c ESEMPIO. Per generare m* a partire da c, si può utilizzare la chiave k*= m* c Shannon ha provato che un sistema è perfettamente sicuro se: Ci sono tante chiavi quanti i testi in chiaro Ciascuna chiave è equiprobabile 27-Nov-01 Cifratura simmetrica 49

51 Esempio Algoritmo di Cifratura: c[i] = m[i] + k[i] mod 26 m = SUPPORT JAMES BOND m = S U P P O R T J A M E S B O N D k = W C L N B T D E F J A Z G U I R c = O W A C P K W N F V E R H I V U c = O W A C P K W N F V E R H I V U k' = M W L J V T S E F J A Z G U I R m = C A P T U R E J A M E S B O N D 27-Nov-01 Cifratura simmetrica 50

52 One-Time Padding: considerazioni pratiche La chiave k deve avere la stessa lunghezza del messaggio m: problemi di memorizzazione problemi di sincronizzazione nelle comunicazioni ma sono realmente un problema con la tecnologia corrente? Sembra che la linea Mosca-Washington fosse cifrata con one-time pad La chiave era trasportata da un corriere fidato 27-Nov-01 Cifratura simmetrica 51

53 Sistemi insicuri con componenti sicure m = D A R E C E N T O E U R O A B O B k = W C L N B T D E F J A Z G U I R X c = Z C C R D X Q X T N U Q U U J F Y ZCCRD... ZCCRN... c' = Z C C R N B O P J N U Q U U J F Y k = W C L N B T D E F J A Z G U I R X m = D A R E M I L L E E U R O A B O B 27-Nov-01 Cifratura simmetrica 52

54 Sistemi insicuri con componenti sicure (II) L algoritmo di cifratura non è stato violato......tuttavia il protocollo fallisce L algoritmo One-Time Pad garantisce sicurezza......ma non garantisce integrità Perché un protocollo fallisce Le proprietà di una primitiva crittografica non sono state capite o sono statesopravvalutate La primitiva ha delle debolezze ed il protocollo le amplifica 27-Nov-01 Cifratura simmetrica 53