Crittografia. Why? Esiste un cifrario perfetto? Goals. Ozalp Babaoglu. Comunicazioni private in ambienti pubblici

Transcript

1 Why? Crittografia Ozalp Babaoglu Comunicazioni private in ambienti pubblici ALMA MATER STUDIORUM UNIVERSITA DI BOLOGNA Babaoglu Sicurezza 2 Goals Esiste un cifrario perfetto? Learn what problems can (and cannot) be addressed using cryptography Become convinced that: Designing a decent cryptosystem is extremely difficult Using cryptography requires building a substantial (but easily overlooked) infrastructure Wide-spread use of cryptography requires overcoming legal and social barriers Dobbiamo distinguere tra perfect secrecy: Confidenzialità sempre garantito computational secrecy: Confidenzialità garantito solo se le risorse dell avversario sono limitate Babaoglu Sicurezza 3 Babaoglu Sicurezza 4

2 Esiste un cifrario perfetto? Alcune Definizioni What does it mean to comunicate in perfect secrecy? As long as information is finite, impossible to attain One can always guess the contents of n bits that are communicated with finite (non-zero) probability 1 2 n Perfect secrecy has to be interpreted as: can information be communicated such that its contents are revealed with probability no better than guessing? Crittografia: progetto di cifrari sicuri ed efficienti Crittoanalisi: metodi, strumenti e tecniche per attaccare i cifrari (valutare la loro bontà) Crittologia: Crittografia + Crittoanalisi Babaoglu Sicurezza 5 Babaoglu Sicurezza 6 Mitt c X c Dest Lo Scenario Mitt = mittente del messaggio m in chiaro Dest = destinatario del crittogramma c X = l intruso che ascolta (crittoanalista) C e D = funzioni di cifratura e decifrazione Cifratura and Decifrazione: Terminologia plaintext: input alla funzione di cifratura ciphertext: output dalla funzione di cifratura secret key (symmetric) cryptography: Le chiavi di cifratura e decifrazione sono gli stessi Funzioni C e D sono spesso gli stessi public key (asymmetric) cryptography: Le chiavi di cifratura e decifrazione sono diversi Funzioni C e D sono diversi Babaoglu Sicurezza 7 Babaoglu Sicurezza 8

3 L intruso X Definizioni e Notazione Motivo: curiosità, spionaggio, malvagità, Ruolo Passivo: si limita ad ascoltare Attivo: può inserirsi nella comunicazione o modificarla Informazioni in suo possesso: Cipher-text attack: serie di crittogrammi c 1,..., c n Known plain-text attack: collezione di coppie (mi, ci) Chosen plain-text attack: collezione di coppie scelte Funzione di cifratura Ck(m) = c cifratura di m con chiave k Funzione di decifrazione Dk(c) = m decifrazione di c con chiave k Matematicamente Dk è l inversa di Ck: Dk(Ck(m)) = m Se Dk(Ck(m)) = Ck(Dk(m)) = m, allora commutativa Babaoglu Sicurezza 9 Babaoglu Sicurezza 10 Come realizzare C e D? Chiave Segreta: una metafora fisica Due grandi famiglie: Cifrari per uso ristretto: Utente A Uguali Utente B La sicurezza si basa sul fatto che C e D sono tenute nascoste quindi non è previsto l uso di una chiave segreta Cifrari per uso generale: C e D sono note a tutti La sicurezza si basa sull utilizzo di una chiave segreta nota solamente al mittente e al destinatario è necessario accordarsi sulla chiave prima dell uso!!! Babaoglu Sicurezza 11 Babaoglu Sicurezza 12

4 Chiave Segreta Cifrari simmetrici o a Chiave Privata Accordarsi sulla chiave Richiede uso di un canale out-of-band (una tantum) Posso usare canali costosi e disponibili poco frequentemente Posso ammortizzare il costo dello scambio Lo spazio delle chiavi deve essere grande: No brute-force attacks (visita esaustiva dello spazio) Prerequisito cruciale ma non sufficiente DES (Data Encryption Standard) 64 bits in/out, 56 bits key Computationally (in)secure. $1M tries all DES keys in 7 hrs using 1993 hardware cracking machine Triple-DES AES (Advanced Encryption Standard) Rijndael Variable block length & variable key length (128, 192, 256) IDEA (International Data Encryption Algorithm) 64 bits in/out, 128 bit key Computationally secure: at 1 billion key-tries/sec/processor, system of a billion processors requires years to try every possible key (1000x longer than age of the universe) Babaoglu Sicurezza 13 Babaoglu Sicurezza 14 Cifrari simmetrici Cifrari simmetrici Ruolo di Ck e Dk completamente interscambiabile Mittente ~ Destinatario: Conoscono la stessa chiave k Entrambi possono cifrare e decifrare Incontro segreto per accordarsi sulla chiave Segretezza della chiave dipende da entrambi Cifratura e decifrazione sono molto efficienti in pratica Quali sono i difetti di questi cifrari? Occorre scambiarsi la chiave Per O(n) utenti, abbiamo bisogno di O(n 2 ) chiavi segreti Troppe per essere memorizzate e scambiate segretamente Mitt 1 CK1j(m1j)=c1j Mitt n CKnj(mnj)=cnj c 1j c nj Destj DKij(cij)=mij Per n mittenti e n destinatari, numero di chiavi segreti, Kij, necessari è n n Babaoglu Sicurezza 15 Babaoglu Sicurezza 16

5 Cifrari Asimmetrici o a Chiave Pubblica Chiave Pubblica: una metafora fisica Is it possible to exchange information in secrecy without having to first agree on a key? Is it possible to exchange information in secrecy without having to first agree on a key? Anno 1976: punto di svolta! (Diffie-Hellman e Merkle) Passo in avanti sostanziale: Dal punto di vista teorico Dal punto di vista economico Destinatario (A) Mittente (B) Babaoglu Sicurezza 17 Babaoglu Sicurezza 18 Chiave Pubblica: una metafora fisica Cifrari Asimmetrici o a Chiave Pubblica Is it possible to exchange information in secrecy without having to first agree on a key? A has a private lock, Lock A, and its corresponding key K A A B: Send (a copy of) open Lock A to B B: Put the secret in a chest and secure with Lock A by closing it B A: Send chest to A A: Use K A to open Lock A, remove secret Obiettivo: rompere il legame tra Ck e Dk Chiunque sappia come cifrare non deve sapere come decifrare Chiave k scomposta in due parti k[priv], k[pub]: La chiave k viene creata da Dest k[priv] tenuta segreta da Dest e usata per ottenere D k[priv] k[pub] resa pubblica da Dest e usata da tutti per cifrare messaggi verso Dest Difficile andare da k[pub] a k[priv]!! Concetto funzione one-way trap-door : Difficile andare da Ck[pub] a Dk[priv] (senza k[priv])! Babaoglu Sicurezza 19 Babaoglu Sicurezza 20

6 Funzioni facili da calcolare, difficili da invertire, a meno che... non si conosca qualche informazione aggiuntiva... Lucchetto: è facile da chiudere è difficile da aprire se non si possiede la chiave Babaoglu Sicurezza 21 Babaoglu Sicurezza 22 Cassetta delle lettere: è facile imbucare una lettera è difficile estrarre una lettera se non si possiede la chiave p,q numeri primi: è facile calcolare n=pq è difficile trovare p (e q) dato n se non conosciamo q (p=n/q) Babaoglu Sicurezza 23 Babaoglu Sicurezza 24

7 Il Nuovo Scenario Proprietà di Crittografia U 1 U n c 1 c n Dest Per n mittenti e n destinatari, numero di chiavi segreti, K[priv], necessari è 2 n Esempi: RSA, El Gamal, (sono considerati oggi robusti) Confidenzialità è l unico requisito dei sistemi crittografici moderni? Oggigiorno se ne richiedono altri 3: Integrità: Deve essere possibile per Dest stabilire che il messaggio ricevuto non ha subito modifiche parziali o totali (sostituzione) Autenticazione: Deve essere possibile per Dest accertare che il messaggio ricevuto proviene proprio da Mitt Non-repudiation: Mitt non può sottrarsi dall ammettere che è stato lui a spedire il messaggio, e Dest può convincere una terza persona (giudice) che questo è il caso (ottenuta con l uso delle Firme Elettroniche) Babaoglu Sicurezza 25 Babaoglu Sicurezza 26