Crittografia con OpenSSL crittografia asimmetrica

Transcript

1 Crittografia con OpenSSL crittografia asimmetrica Laboratorio del corso Sicurezza dei sistemi informatici (03GSD) Politecnico di Torino AA 2014/15 Prof. Antonio Lioy preparata da: Cataldo Basile Andrea Atzeni v (10/11/2014) Scopo dell esercitazione Scopo dell esercitazione è sperimentare le procedure e le problematiche associate all uso delle diverse primitive crittografiche. L esercitazione è basata sull uso estensivo di OpenSSL ( una libreria crittografica rilasciata come software open-source con licenza BSD e disponibile su un ampio insieme di piattaforme, inclusi Linux e Windows. L esercitazione è essenzialmente basata sull uso di programmi funzionanti da linea di comando. OpenSSL si possono invocare varie funzioni crittografiche attraverso la shell digitando: openssl Per usare OpenSSL bisogna rispettare la seguente sintassi: openssl command [ command opts ] [ command args ] Per il corretto svolgimento di questa esercitazione sarà necessario usare i comandi: genrsa rsa pkeyutl dgst rand enc Usando Vengono di seguito riportate alcune informazioni che illustrano l utilizzo di questi comandi. Per le opzioni di base dei comandi enc e dgst fate riferimento all esercitazione di laboratorio numero 2 ed alle relative soluzioni. Per la lista completa delle opzioni ed una descrizione dettagliata dei comandi visionare le relative pagine man. Eventuali file e programmi necessari allo svolgimento dei singoli esercizi sono disponibili scaricando l archivio lioy/03gsd/03gsd_1415_lab03_materiale.zip. openssl genrsa Innanzitutto sarà necessario generare delle chiavi RSA. Questo può essere fatto mediante il comando genrsa: openssl genrsa [-out file out] [numbits] in cui: -out file out, salva le chiavi generate (pubblica e privata) nel file file out; numbits, la lunghezza in bit del modulo. Nota: quando il man di OpenSSL parla di chiave privata, intende solitamente l insieme di chiave privata e chiave pubblica; sono infatti entrambe contenute nella stessa struttura dati. Volendo, le componenti private di una chiave RSA potrebbero essere conservate separatamente da quelle pubbliche, ma ciò non ha molto senso, è meno efficiente dal punto di vista computazionale e viene fatto raramente (cfr. lo standard PKCS#1). 1

2 openssl rsa Per gestire e manipolare chiavi RSA, si può usare il modulo rsa: openssl rsa [-in file input] [-out file out] [-text] [-pubin] [-pubout] [-noout] in cui: -in file input, specifica il file di input (contenente una chiave pubblica o privata); -out file out, salva in file out le chiavi (pubblica o privata) dopo aver svolto l operazione richiesta; -text, visualizza le chiavi in formato testuale, utile ai fini di visualizzazione. Le chiavi saranno visualizzate anche in formato Base64 a meno che non venga anche usato -noout; -pubin, flag che indica che la chiave passata in input (mediante il comando -in) è una chiave pubblica (se non specificato, rsa assume che sia una chiave privata); -pubout, serve a produrre in output la chiave pubblica, più precisamente, produce in output solo le componenti pubbliche (se non specificato, rsa produrrà la chiave privata, cioè tutto); -noout, blocca la produzione in output delle chiavi in formato Base64. openssl pkeyutl Il comando pkeyutl serve ad effettuare operazioni di cifratura, decifratura, firma, verifica e scambio di chiavi, mediante diversi algoritmi asimmetrici. Attualmente gli algoritmi supportati sono: RSA, per cifrare, decifrare, firmare e verificare, Diffie-Hellman (DH), per scambiare una chiave simmetrica, Elliptic Cryptography (EC) per firmare e verificare usando ECDSA e scambiare una chiave simmetrica con ECDH. openssl pkeyutl [-encrypt] [-decrypt] [-in file input] [-out file output] [-pubin] [-inkey file chiave] [-sign] [-verify] [-verifyrecover] in cui: -in file input, specifica il file di input (che contiene il messaggio da cifrare, decifrare, firmare o verificare); -out file out, salva in file out l output di pkeyutl; -inkey file chiave, specifica che il file file chiave contiene la chiave pubblica o privata; -encrypt/-decrypt, cifra con la chiave pubblica o decifra con la chiave privata il file di input (passato con -in); -pubin, flag che indica che la chiave passata in input (mediante il comando -inkey) è una chiave pubblica. Se non specificato, pkeyutl assume che sia una chiave privata; -sign, genera la firma applicata al file di input (passato con -in) usando la chiave passata con l opzione -inkey. È necessaria una chiave privata. Più precisamente, se si usa una chiave RSA, il file passato in input viene cifrato con la chiave privata; 2

3 -verifyrecover, verifica la firma passata tramite il file di input (passato con -in) usando la chiave passata con l opzione -inkey e visualizza i dati decifrati. È necessaria una chiave pubblica RSA (non funziona con DSA, DH o ECC). Questa opzione è disponibile solo se si usa una chiave RSA, in pratica, il file di input viene decifrato con la chiave pubblica; -verify, calcola la firma del file di input (passato con -in) usando la chiave pubblica passata con l opzione -inkey (è necessaria una chiave pubblica) e la confronta con un altra firma passata tramite l opzione -sigfile. Restituisce un valore Booleano (Signature Verified Successfully/Signature Verification Failure). Nota: al contrario di tutti gli altri comandi openssl, in pkeyutl l ordine in cui vengono passati i parametri è importante. Rispettate l ordine dei parametri presentato qui sopra oppure l esecuzione dei comandi fallirà. openssl dgst Il comando dgst può essere anche usato per calcolare e verificare una firma digitale, in pratica, è il modo migliore per farlo: openssl dgst [-md5 -md4 -md2 -sha1 -sha -mdc2 -ripemd160 -dss1] [-out filename] [-sign chiave privata] [-verify chiave pubblica] [-signature firma] [file da firmare] in cui: -sign chiave privata, calcola la firma del file da firmare usando l algoritmo di digest scelto e la chiave nel file chiave privata; -verify chiave pubblica, verifica la firma applicata al file da firmare usando l algoritmo di digest scelto e la chiave pubblica nel file chiave pubblica. È obbligatorio specificare il file dove è memorizzata la firma con l opzione -signature; -signature firma, indica il file dove è contenuta la firma da verificare. Usata con l opzione -verify. Il significato degli altri parametri è stato spiegato nell esercitazione 2. openssl rand Col seguente comando si possono generare nbyte casuali e salvarli nel file file name: openssl rand -out file name nbyte Altri comandi Nel corso dell esercitazione dovrete scambiarvi dati da un computer all altro col comando scp. Abilitate quindi il server ssh: /etc/init.d/ssh start 3

4 1 Operazioni crittografiche asimmetriche 1.1 Generazione di chiavi Scrivete la riga di comando per generare una coppia di chiavi RSA a 2048 bit, salvandola nel file rsa.key: Ora analizzate il contenuto di rsa.key lanciando: openssl rsa -in rsa.key -text Riuscite a riconoscere la natura e lo scopo dei parametri modulus, publicexponent, privateexponent, e prime*? Quali di questi costituiscono la chiave privata RSA e quali la chiave pubblica? Confrontate i parametri con quelli generati da un vostro collega: va ne sono in comune? Perché? Supponete di voler distribuire la vostra nuova chiave pubblica ai vostri colleghi: scrivete i comandi OpenSSL per estrarre la chiave pubblica nel file rsa.pubkey e visualizzarne il contenuto: 1.2 Operazioni di cifratura e decifratura Lo scopo di questo esercizio è usare la chiave RSA generata in precedenza per cifrare e decifrare. Create un breve messaggio di testo, ad esempio Un grandissimo segreto, e salvatelo in un file chiamato plain. Come potete usare la vostra nuova chiave RSA per proteggere la confidenzialità di plain? Quale chiave dovete usare? Scrivete il comando OpenSSL per cifrare plain e salvare il risultato nel file encrsa (suggerimento: usate il comando pkeyutl). Cosa fa il seguente comando? Quale chiave è stata usata? openssl pkeyutl -encrypt -in plain -inkey rsa.key -out encrsa Scrivete di seguito il comando per decifrare il messaggio precedentemente cifrato: 4

5 Estraete infine i file rsaplain* e provate a cifrarli. Quali difficoltà avete incontrato? Perché? Nota: RSA permette in teoria di cifrare tutti i messaggi che, interpretati come numero binario, siano minori del modulo. Tuttavia, lo standard PKCS#1 impone delle limitazioni aggiuntive dovute all imbustamento, in particolare al padding. Se avete una chiave RSA lunga N byte, perché le operazioni di cifratura con OpenSSL possano essere svolte correttamente, i dati in chiaro non devono essere più lunghi di N 11 byte. 1.3 Operazioni di firma e verifica Il comando pkeyutl permette non solo di cifrare/decifrare blocchi di dati, ma anche di firmarli/verificarli. Qual è la differenza a livello di operazioni RSA? Scrivete i comandi OpenSSL per firmare plain salvando la firma nel file sig, e successivamente per verificare la firma stessa. Quali chiavi dovete usare per ognuna delle operazioni? 2 Applicazioni della crittografia asimmetrica 2.1 Chiavi di sessione Supponete che Alessandro e Beatrice vogliano scambiare messaggi cifrati con AES, ma non abbiano una chiave condivisa. Formate delle coppie: riuscite a progettare e mettere in pratica una soluzione basata sugli strumenti visti finora che permetta ad Alessandro di inviare rsaplain2 cifrato a Beatrice, e a Beatrice di decifrarlo correttamente? Supponete che Alessandro proceda in questo modo: esegue echo chiave > aeskey openssl enc -e -aes-128-cbc -in rsaplain2 -out msg.enc -kfile aeskey -iv 0 openssl pkeyutl -encrypt -in aeskey -inkey rsa.key -out aeskey.enc invia msg.enc e aeskey.enc a Beatrice invia rsa.key a Beatrice Quali errori ha commesso l inesperto Alessandro? (ce ne sono almeno due!) 5

6 Scrivete la sequenza di operazioni completa e corretta che Alessandro e Beatrice devono seguire: Quale attacco può compiere Caterina per intercettare il messaggio scambiato? problema? Come potreste risolvere il Quale altro algoritmo asimmetrico potrebbero usare Alessandro e Beatrice al posto di RSA per generare la chiave AES? Quali modifiche bisogna apportare alla sequenza di operazioni? 2.2 Firma digitale Supponete che Alessandro sia ora interessato a proteggere l integrità dei messaggi inviati a Beatrice piuttosto che la sua confidenzialità. Formate delle coppie: progettate e mettete in pratica una procedura che permetta ad Alessandro di firmare rsaplain2 e a Beatrice di verificare la firma in ricezione. Scrivete la sequenza di operazioni completa e corretta (usando dgst e pkeyutl): 6

7 Cosa succede se Caterina modifica uno dei diversi blocchi di dati inviati da Alessandro a Beatrice? Provate. Notate che, oltre al comando pkeyutl, potete usare direttamente dgst per eseguire operazioni di firma digitale e verifica. Ad esempio, potete costruire una firma digitale del file msg con: openssl dgst -sha1 -sign chiaversa -out msg.sig msg Scrivete di seguito la riga di comando per verificare la firma: Quali differenze notate nell uso dei comandi pkeyutl e dgst? 2.3 Autenticazione Provate ad usare le primitive crittografiche RSA (comando pkeyutl) per realizzare un protocollo di autenticazione a sfida. Lavorate in coppia (Alessandro e Beatrice) e procedete nel seguente modo: Alessandro invia a Beatrice la propria chiave pubblica Beatrice genera una stringa casuale nel file random e la cifra con la chiave pubblica di Alessandro, creando il file challenge Beatrice invia ad Alessandro il file challenge Alessandro decifra la sfida nel file response ed invia la risposta a Beatrice Beatrice verifica che la risposta alla sfida sia corretta (potete usare il comando diff -b) Assumendo che le chiavi siano autentiche, a quale rischio è soggetto il protocollo che abbiamo realizzato? Come si potrebbe ovviare? (almeno due soluzioni!) 2.4 Certificati digitali Le procedure costruite e sperimentate negli esercizi 2.1, 2.2, 2.3 sono soggette a una comune vulnerabilità: un attaccante in grado di intercettare e modificare lo scambio delle chiavi pubbliche può comprometterne tutte le proprietà di sicurezza. L obiettivo è sempre lo stesso: Alessandro e Beatrice vogliono scambiare messaggi in totale sicurezza. Supponete che abbiano un amico comune, Carlo. Carlo conosce le chiavi pubbliche di Alessandro e Beatrice, e loro conoscono la chiave pubblica di Carlo. 7

8 Come può Carlo aiutare gli amici? Suggerimento: Carlo dovrà usare l autorità che gli deriva dalla conoscenza (reciproca) delle chiavi. Supponete che Carlo proceda come segue modifica il file contenente la chiave pubblica di Alessandro: echo "Questa e la chiave pubblica di Alessandro, parola di Carlo" >> ale.pubkey firma il file modificato (usate openssl dgst) invia ad Alessandro il file modificato e la firma generata e segua poi la stessa procedura con Beatrice. Riuscite a riadattare i protocolli descritti negli esercizi 2.1, 2.2 e 2.3 in modo da sfruttare i file creati da Carlo? Cosa avete modificato? Formate gruppi di tre (Alessandro, Beatrice, Carlo), scegliete uno dei protocolli modificati ed eseguitelo. 2.5 Prestazioni Utilizzate il comando openssl speed per effettuare i seguenti confronti di prestazione tra: RSA a 512, 1024, 2048 e 4096 bit. Come diminuiscono le prestazioni? Perché le due operazioni RSA si comportano in modo radicalmente diverso? algoritmi di firma digitale: RSA a 1024 bit, DSA a 1024 bit, ECDSA a 160 bit (ecdsap160). Che differenze notate? algoritmi ad alta sicurezza: RSA a 2048 bit, DSA a 2048 bit, ECDSA a 256 bit (ecdsap256). Nota: in realtà la crittografia su curve ellittiche a 256 bit garantisce una sicurezza pari a RSA/DSA con chiavi a 3072 bit, quindi il confronto è leggermente a sfavore degli algoritmi che usano curve ellittiche. Che differenze notate con i risultati del passo precedente? crittografia asimmetrica, simmetrica e digest: RSA 2048 bit, DSA 2048 bit, AES a 128 bit, SHA-256. Nota: come sopra, AES a 128 bit garantisce una sicurezza pari a RSA/DSA a 3072 bit. Come confrontate i risultati ottenuti? Quale rapporto di massima esiste tra i costi della crittografia simmetrica e asimmetrica? 8

9 3 Mettendo tutto assieme Considerando ciò che avete appreso sulla crittografia simmetrica e asimmetrica, affrontate i seguenti progetti. 3.1 Protezione di messaggio Supponete che Alessandro sia in possesso di una chiave pubblica RSA di Beatrice e la voglia usare per inviarle, via mail, un file proteggendone confidenzialità e integrità. Identificate i diversi blocchi di dati che Alessandro deve creare, definite un formato per imbustare i diversi blocchi di dati in un unica mail, e create la busta. Suggerimenti: per il formato di imbustamento potete ispirarvi al formato PEM, lo stesso usato da OpenSSL ad esempio per salvare le chiavi RSA. PEM usa dei separatori testuali e rappresenta i dati binari in forma testuale attraverso la codifica base64. La codifica base64 può essere eseguita con il comando enc di OpenSSL. quali blocchi di dati devono essere cifrati? quali blocchi di dati devono essere firmati? ci sono differenze in termini di proprietà di sicurezza tra (1) cifrare il messaggio e poi firmare il messaggio cifrato, oppure (2) firmare il messaggio in chiaro e poi cifrare messaggio più firma? 3.2 Protezione di canale Sempre supponendo che Alessandro sia in possesso di una chiave pubblica RSA di Beatrice, progettate ora un protocollo che permetta a Alessandro e Beatrice di scambiare messaggi attraverso un canale che garantisca confidenzialità e integrità. Alessandro e Beatrice hanno bisogno di confidenzialità quando si scambiano i dati (cioè il canale deve essere confidenziale): quanti dati dovranno scambiarsi? i metodi visti (a lezione, in laboratorio), sono tutti compatibili con le vostre ipotesi sulla quantità dei dati? Tra le applicazioni della crittografia, scrivete quella che vi sembra più appropriata: Data la soluzione scelta in precedenza: quale problema rimane aperto? quale informazione in possesso di Alessandro può essere usata per risolverlo? 9

10 Scrivete di seguito il metodo che pensate sia più opportuno: Alessandro e Beatrice hanno bisogno della garanzia che i dati scambiati siano integri: quali metodi hanno a disposizione? si può fare di meglio? cioè, si riesce ad aggiungere anche l autenticazione dei dati? Scrivete il metodo che pensate sia più opportuno: A questo punto mettere insieme le risposte e provate a progettare un metodo per rendere sicuro il canale. 10