Sicurezza di RSA. La decrittazione di un testo cifrato con RSA

Transcript

1 Sicurezza di RSA La decrittazione di un testo cifrato con RSA c = e od n e_ = c od n P2: noti c, e, n calcolare Altri attacchi a RSA Fattorizzazione: noti p e q, P2 diventa facile Trial division, NFS, Twinkle Cycling attack: se ((c e ) e ) e..) e ) e = c, allora ((c e ) e ) e..) e = Tiing attack: T della exp = k n di uni in e Message unconcealed: e =

2 Efficienza di RSA Provvedienti x < n x e od n e con solo due uni x d od n CRT

3 La scelta di e N.B. Se il nuero binario e contiene pochi uni il calcolo di e è più efficiente! e = 3 e = e = n e n e T14 (Teorea cinese dei resti): Se gli interi n 1,n 2,..,n k sono a due a due coprii, allora il sistea di congruenze x a 1 (od n 1 ), x a 2 (od n 2 ),, x a k (od n k ) ha un unica soluzione odulo n = n 1 n 2. n k. Conseguenze (nel caso n 1 = p, n 2 = q con p,q prii): x v 1 (od p), x v 2 (od q), Ogni intero x < n = p.q ha un unica rappresentazione odulare v(x) = (v 1,v 2 ) = (x od p, x od q) Soe e oltiplicazioni odulari possono essere fatte vantaggiosaente sulla rappresentazione odulare degli operandi Esistono algoriti facili (Gauss, Garner) per ripristinare la rappresentazione originaria dell intero

4 Decifrazione con CRT 1. Rappresentazione odulare di c : v(c) = (c od p, c od q) 2. Calcolo della rappresentazione odulare di c d od n: v d (c) = ((c od p) d od p, (c od q) d od q) N.B: nueri di diensione più piccola (½ log n) 3. Ripristino della rappresentazione usuale di (Gauss): = c d od n = {a [(c od p) d od p] + b [(c od q) d od q]} od n Per T14 a, b devono soddisfare le congruenze a 1 (od p) b 0 (od p) a 0 (od q) b 1 (od q) Circa quattro volte più veloce Ancora più efficiente se n è il prodotto di più di due prii (PKCS#1v2) Sia p = 3, q = 11 e n = 33. Esepio Per c = 17 si ha v(17) = (17 od 3, 17 od 11) = (2,6) Verifica: a = 22, b = 12 soddisfano le congruenze a 1 (od p) b 0 (od p) a 0 (od q) b 1 (od q) 22 od 3 = 1, 12 od 3 = 0 22 od 11 = 0, 12 od 11 = 1. e consentono di passare da (2,6) a 17: = {a (c od p) + b (c od q)} od n ( ) od 33 = 116 od 33 = 17

5 Algorito e Forula di Garner x < n = p.q v(x) = (x od p, x od q) = (v1, v2 ) 1: C = p -1 od q 3: x = v1 + u p Esepio: p=3, q=11, x=17 v1=2, v2=6 1: C=4; infatti 4 3 od 11=1 2: u=(6-2) 4 od 11=5 3: x=2+5 3=17 2: u = ((v2 v1) C) od q Esponenziazione con n=1024? circa da uno a quattro; perché? circa da uno a otto; perché?

6 Randoizzazione di RSA RSA esegue una sostituzione seplice di blocchi ed è deterinistico: 1- identici generano c identici 2 - per certi si ha c = Standard PKCS#1v1 PRNG lg <lg n bit PU E k 0x00 0x02 r 0x00 88 bit Standard PKCS#1v2 OAEP: Optial Asyetric Encription Padding 0x00 askedseed askeddb n bit

7 Optial Asyetric Encryption Padding a seed DB = lash PS M 00 MGF MGF EM = 00 askedseed askeddb Ferguson-Schneier (chiave di sessione) e,n d,n PRNG r<n RSA c RSA k k

8 Il Cifrario di ElGaal Il Cifrario di ElGaal (1985) Opera su un gruppo oltiplicativo ciclico (caso più seplice: Z* p ) La sicurezza si basa sulla difficoltà di calcolo del logarito discreto E probabilistico Chiavi - Ogni utente U ha una chiave privata SU = <u> con 1 u p-2 scelto a caso una chiave pubblica PU = <g u od p> con <p,g> noti e couni, o indicati nel certificato di U Cifratura - Chi deve andare a U un essaggio Z p dopo aver scelto a caso r, con 1 r p-2, calcola: R = g r od p S = [ (PU) r ] od p E PU () = c = R S Decifrazione - U riette in chiaro c calcolando: PU -r (N.B. è l unico a poterlo fare avendo SU) D SU (c) = PU -r S od p = Il testo in chiaro viene espanso di un fattore due

9 r Il Cifrario di ElGaal g r od p R u, p, g chiavi del destinatario PU r =(g u ) r od p g u od p p, g log g R PU p-1-r od p R p-1-u od p R p-1-u od p = R -u od p = (g r ) -u od p = (g u ) -r od p = PU -r od p PU r od p S S PU -r od p circa da due a uno; perché?

10 Fira digitale Fira con RSA U h d od n c c e od n X =? d,n e,n U CA Si/No

11 Padding deterinistico PKCS#1: 0x00 0x01 0xFF...0xFF 0x00 () FD: (c 0.) (c 1.) (c 2.)... probabilistico PKCS#1v2: PPS (Probabilistic Signature Schee) Practical cryptography Probabilistic Signature Schee a M ash M = padding 1 ash salt DB = padding 2 salt ash MGF EM = askeddb bc

12 Ferguson-Schneier seed PRNG r<n d,n RSA c c e,n RSA seed PRNG Fira a occhi chiusi

13 Proprietà oltiplicativa di RSA Sia = 1 2 < nu Fira di da parte di U: c = du od nu = ( 1 2 ) du od nu = (( 1 du od nu) ( 2 du od nu)) od nu Proprietà oltiplicativa dell algorito RSA: il testo cifrato (con chiave pubblica o con chiave privata) del prodotto di due testi in chiaro è congruo (od n) al prodotto dei due testi cifrati Autenticazione di un essaggio oscurato X vuole farsi autenticare da T un essaggio senza che T possa conoscerne il contenuto Autorizzazioni per voto elettronico, coercio elettronico, ecc. Autenticazione a occhi chiusi di un essaggio 1. X sceglie a caso un nuero r 2. invia a T il testo cifrato c1 = r et od nt 3. T fira c1 e restituisce a X c2 = dt r et dt od nt = ( dt r) od nt 4. X oltiplica c2 per r -1 c3 = ( dt r r -1 ) od nt = dt od nu 5. Il destinatario di può verificare che è autenticato da T = (c3) et od nt =

14 Attacchi alla fira RSA Attacco con cifratura di un nuero a caso S SU () r e od n PRNG r r e od n PU PU autentico, a incoprensibile! r e od n r e PRNG r od n -1 () PU PU essaggi strutturati!

15 Attacco ai ultipli di p e di q robustezza della fira su Z n e di Z* n Z* Z n (n Φ(n))/n = 1- (p-1)(q-1)/pq = (p+q -1)/pq Ipotesi: n rappresentato da k bit p,q rappresentati da k/2 bit < 2 1+k/2 / 2 k-1 = k/2 Pochissii e iprobabili! Attacco con la proprietà oltiplicativa Chosen essage attack: si può ottenere la fira di qualsiasi essaggio ad esclusione di quello che interessa all attaccante 1 = r 2 = r -1 c1 = ( r) d od n c2 = (r -1 ) d od n c = c1 c2 = () d od n R30: la chiave usata per apporre fire a occhi chiusi non deve essere ipiegata in contesti diversi

16 Attacco con la proprietà oltiplicativa c = E PT () T ST I BS S BS R31: chi ipiega RSA per firare e per decifrare deve utilizzare due differenti coppie di chiavi ElGaal e DSS

17 ElGaal, Kravitz e NIST (DSS) algorito probabilistico con appendice problea del logarito discreto ElGaal (1985) Kravitz (1991) NIST (1994) L algorito di fira di ElGaal a chiave privata y = g a od p chiave pubblica h = () ipronta del essaggio k nuero a caso coprio con p-1: (k, p-1) =1 Th: se (a,c)=1, esiste ed è unica la soluzione dell equazione congruenziale ax b (od c) R = g k od p etichetta S etichetta tale che g h od p = y R R S od p equazione congruenziale di fira g h od p = g ar g ks od p g h-ar-ks od p = 1 h-ar-ks p-1 (od p) h-ar-ks 0 (od p-1) ks h-ar (od p-1) S = k -1 (h-ar) od p-1

18 L algorito di fira di ElGaal RNG U p,g g a od p 1 a p-2 SU = {a} chiavi PU = {p, g, g a } 1 k p-2 RNG AE MCD(k, p-1)=1 g k od p R p-1 AEE k -1 od p-1 etichette di log p bit k -1 (() a R) od (p-1) S L algorito di verifica di ElGaal X y,p,g Solo per un essaggio firato da U si ha: R k S () a R (od (p-1)) () a R + k S (od (p-1)) etichette S (y R R S ) od p v1 =? g () g ar + ks (od p) g () y R R S (od p) g () od p v2

19 Digital Signature Algorith: key generation Paraetri (anche di doinio pubblico e couni a più utenti): p : nuero prio nell intervallo lunghezza: n 64 bit q : fattore prio di (p-1) 160 bit g > 1 : generatore del solo gruppo ciclico di ordine q in Z* p tale che g = h (p-1)/q od p, con 1 < h < p-1 Algorito G: a: intero scelto a caso con 1 a q-1 y = g a od p Chiave pubblica: PU = (p, q, g, y) 1024,160,1024,1024 bit Chiave privata: SU = a 160 bit DSS: fira e verifica Algorito S: Input: (p, q, g, a), M 1. scegli a caso intero k < q 2. calcola R = (g k od p) od q 3. calcola (M) con : SA-1 4. calcola S = k -1 ((M) + a R) od q Algorito V: Input: (p, q, g, y) (, R, S) 1. calcola w S -1 (od q) 2. calcola u 1 = [() w] od q 3. calcola u 2 = [R w] od q 4. calcola v = [(g u1 y u2 ) od p] od q Output: M,R,S Appendice: (R,S) bit Se (v = R) allora la fira è OK

20 Fira con DSS U R,S R S V=R? Si/No X p,q,g,a p,q, g,y U CA