Ripasso. Public Key cryptograhy. Message Authentication Codes (MAC) Firma digitale
|
|
- Bernardo Rocco
- 7 anni fa
- Visualizzazioni
Transcript
1 Ripasso Public Key cryptograhy Message Authentication Codes (MAC) Firma digitale
2 RSA Public Key Cryptosystem Sia N=pq il prodotto di due primi Scegli e tale che gcd(e,f(n))=1 Sia d tale che de 1 mod f(n) La chiave pubblica è (N,e) La chiave segreta è d Codifica di MŒZ N * : C=E(M)=M e mod N Decodifica di CŒZ N * : M=D(C)=C d mod N Il metodo proposto non deve essere confuso con la tecnica proposta da Diffie e Hellman per risolvere il problema della distribuzione delle chiavi (dall articolo RSA)
3 Il gruppo moltiplicativo Z pq * Siano p e q due primi grandi e sia N = pq il loro prodotto. Definizione Il gruppo moltiplicativo Z M * =Z pq * contiene tutti gli interi nell intervallo [1,pq-1] primi sia rispetto a p che a q La dimensione del gruppo Z pq * è f(pq) = (p-1) (q-1) = N - (p+q) + 1, quindi, per ogni x Œ Z pq *, x (p-1)(q-1) = 1.
4 RSA come One Way Trapdoor Function (OWF) easy x x e mod N hard Facile con trapdoor info ( d )
5 OWF e Trapdoor OWF Definizione: f:dær è one way function se è facile da calcolare difficile da invertire Definizione: f:dær è una trap-door one way function se esiste una trap-door s tale che Senza conoscenza di s, la funzione è one way Dato s, invertire f è facile
6 Cosa vuol dire difficile Classi di complessità Una classe di complessità è una classe di pbroblemi di decisione (linguaggi) che possono essere risolti con determinate risorse di calcolo P classe dei problemi risolubili in tempo polinomiale (algoritmi deterministici) NP classe dei problemi risolubili in tempo polinomiale (algoritmi NONdeterministici)
7 Classi di complessità probabilistiche Un algoritmo probabilistico è un algoritmo che effettua scelte casuali sullo stesso input può dare risposte diverse un algoritmo probabilistico può fare errori RP linguaggi L per cui esiste un alg. prob. A tale che x in L : Prob[ A(x) accetta] >.5 x non in L : Prob[ A(x) rifiuta] =0 PP linguaggi L per cui esiste un alg. prob. A tale che x in L : Prob[ A(x) accetta] >.5 x non in L : Prob[ A(x) rifiuta] >.5
8 OWF: definizione Definizione: f:dær è one way function se è facile da calcolare (tempo polinomiale con algoritmo probabilistico) difficile da invertire: Per ogni algoritmo polinomiale probabilistico A esiste una funzione trascurabile g(n) - n dimens. input, g(n) < 1/polin.(n) - tale che se si sceglie a caso x in D, con x di dimensione n Prob [A trovi z, tale che f(z) = f(x)] < g(n) (è poco probabile riuscire a invertire f) NB: non si richiede di trovare x
9 Trap-door OWF Definizione: f:dær è una trap-door one way function se esiste una trap-door s tale che Senza conoscenza di s, la funzione è one way Dato s, invertire f è facile Non è nota l esistenza di OWF. Si assume che RSA sia OWF. Si può provare che se RSA è OWF allora è anche trap-door OWF
10 Primality Testing Input: Un intero dispari M, 2 n-1 <M<2 n Problema di Decisione: M è composto? Problema di Decisione è in NP (prova esaustivamente tutti i possibili fattori & verifica). Problema di Ricerca: Trova i fattori primi di M. La fattorizzazione di interi è considerato un problema intrattabile.
11 Crittografia a chiave pubblica: Schema di base Uno schema crittografico a chiave pubblica include: Una chiave privata k Una chiave pubblica k Un metodo di codifica che sia una trap door OWF. La chiave privata rappresenta l informazione trap-door La chiave pubblica e distribuita (ognuno può codificare) La decodifca richiede la chiave privata
12 Proprietà di RSA Il requisito (e, f(n))=1 è importante per unicità codifica Trovare d, dati p e q è facile. Trovare d dati solo N e e è considerato difficile (assunzione di RSA) L esponente pubblico e può essere piccolo (tipicamente 3 ma meglio ) Ogni codifica richiede diverse operazioni modulari. Decodifica è più lunga.
13 RSA - Attacchi RSA è in generale difficile da attaccare per un attaccante passivo (richiede fattorizzare) alcuni numeri prodotto di due primi sono facili da fattorizzare alcuni messaggi sono facili da decifrare attacchi attivi
14 RSA - Attacchi Messaggi facili da decifrare se m= 0,1,n-1 allora RSA(m) = m: SOLUZ: rari, uso salt Se m è piccolo o se lo spazio dei possibili messaggi è piccolo si può procedere per enumerazione: SOLUZ. aggiungere salt alla fine del messaggio Se MCD(p-1,q-1) e d sono piccoli decrittare RSA(m) richiede di calcolare la radice di un numero piccolo: SOLUZ. scegliere d grande Se due utenti hanno chiavi con lo stesso n (ma e e d diversi) allora il sistema è debole: SOLUZ. ognuno si sceglie il proprio n
15 RSA - Attacchi Proprietà moltiplicativa di RSA: Se M =M1 M2 allora (M1 M2) e = M1 e M2 e Quindi Trudy può procedere per messaggi piccoli (attacco ciphertext) Generalizzabile se M= M1 M2...Mk Soluzione: padding su messaggi brevi
16 RSA - Attacchi Proprietà moltiplicativa di RSA Attacco chosen ciphertext: T conosce c = M e mod n e vuole conoscere M sceglie a caso X e calcola c = c X e mod n e chiede a A di decodificare c (cioè di firmare) A calcola (c ) d = c d (X e ) d = M X mod n Soluzione: imporre struttura sui messaggi da codificare (A rifiuta di codificare se M non verifica quanto richiesto) - Non firmare mai cose random e usare sempre hash!!
17 Problemi per uso effettivo Due parole: Key Exchange
18 Autentica di Messaggi - Scopo Garantire l integrità dei messaggi anche in presenza di un avversario attivo che manda i suoi messaggi (corretti) Alice (mittente) Bob (ricevente) Franco (falsificatore) Nota: Autenticazione è ortogonale alla segretezza spesso un sistema deve garantire ambedue
19 Definizioni Algoritmo di autenticazione - A Algoritmo di autenticazione - V ( accetta / rifiuta ) Chiave di autenticazione k Spazio dei messaggi (stringhe binarie): ogni messaggio fra Alice e Bob è una coppia (m, A k (m)) A k (m) è impronta (authentication tag) di m
20 Proprietà funzioni MAC Requisito di sicurezza avversario non può costruire una nuova coppia corretta (m, MAC k (m)) anche dopo aver visto (m i, MAC k (m i )) (i=1,2,,n) Output deve essere corto Funzioni MAC non sono 1-to-1
21 Efficienza Scopo avversario: Date n coppie legali (m 1, MAC k (m 1 )),, (m n, MAC k (m n )) trovare una nuova coppia legale (m, MAC k (m)) efficientemente e con probabilità non trascurabile. NOTA: Se n è grande abbastanza allora n coppie (m i, MAC k (m i )) determinano la chiave k unicamente (con alta prob.). Quindi una elaboratore nondeterministico può indovinare k e verificare. Eseguire questo deve essere un compito computazionalmente difficile.
22 MAC Usati in pratica Vediamo MAC basato su modalità codifica CBC usa codifica crittog. a blocchi lento, problemi esportazione fuori USA MAC basato su funzioni hash crittografiche veloce nessun problema esportazione
23 MACs con CBC Inizia con il seme di tutti zero. dato un messaggio di n blocchi M 1,M 2,,M n, applica CBC (usando la chiave segreta k) M 1 M 2 M n E k C 1 E k C E k C n Scarta i primi n-1 cipertext blocchi C 1,C 2,,, usa C n. Invia M 1,M 2,,M n & il tag di autenticazione MAC k (M)=C n.
24 Utilizzo di funzioni hash per Obiettivi il calcolo del MAC calcola Mac usando una funzione hash, il messaggio e una chiave segreta utilizzare una qualunque funzione hash Esempi MAC k (m)=h(k,m), MAC k (m)=h(m,k)
25 Paradosso del compleanno Se 23 persone sono scelte a caso la b che due due di esse abbiano lo stesso compleanno è maggiore di 0.5 In generale, sia h:dær una qualunque funzione. Se si sceglie 1.17 R 1/2 elementi di D a caso, la probabilità che due di essi diano lostesso valore della funzione è maggiore di 0.5.
26 Funzioni Hash Crittografiche Funzioni hash Crittografiche sono funzioni hash che sono strongly collision resistant. Nota: Non c è chiave segreta. Devono essere veloci da calcolare ma difficile trovare collisioni (impossibile se P diverso da NP). Di solito definite usando una funzione di compressione con dominio n bits (es. 512) e codominio di m bits (es. 160), m < n.
27 Secure Hash Algorithm (SHA-1) SHA progettato da NIST & NSA in 1993, rivisto nel SHA-1 US standard per uso con firma digitale con DSA standard FIPS , Internet RFC3174 nb. l algortimo è SHA, lo standard è SHS produce 160-bit hash valori Metodo più usato si basa usl progetto di un vecchio algortimo MD4
28 HMAC Riceve in input un messaggio m, una chiave k e una funzione hash h Calcola MAC come: HMAC k (m,h)= h(k opad, h(k ipad,m)) la chiave è riempita con zeri a sin. per ottenere che k = lungh. di un blocco opad: , ipad: , ripetuti k /8 volte Teorema [BCK]: HMAC può essere falsificato se e solo se può esserlo la funzione hash (si trovano collisioni).
29 HMAC - Attacchi Attaccante vuole trovare due messaggi m e m t.c. HMAC k (m,h)= HMAC k (m,h); conosce IV,H ma non conosce k Si applica il paradosso del compleanno (blocco lungo n implica collisione con 2 n/2+1 tentativi)? No: attaccante non conosce k e quindi non può generare messaggi autentici; deve quindi osservare 2 n/2+1 messaggi generati con la stessa chiave (es. n= 128 almeno 2 bit)
30 HMAC in Pratica SSL / TLS WTLS IPSec: AH, ESP
31 RSA e Data integrity:oaep Problema: inviare dati con RSA non modificabili (senza identificazione del mittente) codif. c= RSA[M 0 k1 exor G(r)] [H(RSA[M 0 k1 exor G(r)]) exor r] k0, k1 noti; G,H funzioni hash, note; r stringa casuale di k bit (scelta dal mittente); decod. cd= s t (con t di k0 bit); u=t exorh(s); v=s exor G(u); accetta se v = m 0 k1 ; altrimenti rifiuta OAEP è robusto anche nel caso di attacco chosen ciphertext (assumendo H e G buone funzioni hash)
32 Esercizi mostrare che il seguente metodo non è un buon metodo per calcolare l impronta di un testo indipendentemente dalla funzione usata: E k (M 1 M 2... M n ) oppure E k (M 1 ) M 2... M n
33 Firma digitale vs. MACs Supponi che A e B condividano una chiave segreta K. Allora M, MAC K (M) convince A che M è scritto da B. Ma in caso di disputa A non può convincere un giudice che M, MAC K (M) è stato inviato da B, poichè A potrenne generarlo lei stessa
34 Proprietà firma digitale Firma facile da verificare Difficile da falsificare. Hanno valore legale (convincere un aterza persona esempio un giudice).
35 Problemi con il Paradigma di DH Puro Facile falsificare messaggi casuali anche senza conoscere D A : Bob sceglie R e calcola S=E A (R). La coppia (S,R) è una firma valida di Alice del messaggio S. Lo schema è soggetto a existential forgery. Cosa implica?
36 Problemi con il Paradigma di DH Puro Considera RSA. La proprietà moltiplicativa implica che D A (M 1 M 2 ) = D A (M 1 ) D A (M 2 ). Se M 2 = Devo a BOB $20 e M 1 = 100 allora per qualche codifica M 1 M 2 = Devo a BOB $2000
37 Soluzione Standard : Hash Sia D A la chiave segreta di Alice e E A la sua chiave pubblica Per firmare M, Alice calcola y= H(M) e z=d A (y) e invia (M,z) a Bob. Per verificare la firma di Alice, Bob calcola y = E A (z) e verifica che x=h(m) La funzione H deve essere collision resistent, per cui è difficile trovare M con H(M)=H(M ).
38 Meccanismo Generale Generazione di chiavi pubbliche e private (casuali). Firma (o deterministica o probabilistica) Verifiche (accept/reject) - deterministico.
39 Digital Signature Standard (DSS) NIST, FIPS PUB 186 DSS usa SHA come funzione hash e DSA come metodo di firma DSA simile a El Gamal Più veloce per che firma piuttosto che per chi verifica: smart cards
40 Digital Signature Algorithm (DSA) p primo, q primo, p-1 = 0 mod q, g = h (p-1)/q mod p (g generatore del gruppo di ordine q in Z p ) Chiave Privata : 1 x q-1 (casuale). Chiave Pubblica: (p, q, g, y = g x mod p) Firma del messaggio M: Scegli a caso 1 k q-1, segreto!! Part I: r = (( g k mod p) mod q Part II: s =(SHA (M)+ x r) /k mod q
41 Perchè DSS è sicuro Non si rivela la chiave segreta Non si può falsificare senza la chiave segreta Non esistono duplicati con la stessa firma Usa un numero segreto per messaggio (S m )! Se S m è noto allora si può calcolare S Due messaggi con lo stesso S m possono rivelare S m, e quindi S
42 DSS - Attacchi se attaccante conosce k allora conosce x se attaccante conosce due messaggi firmati con stesso k (anche ignoto) allora conosce x
43 Esercizi 1. verificare che firma RSA non va bene fornendo esempi concreti di firme falsificate 2. cosa succede in DSA quando la PART II della firma è 0?
Crittografia e sicurezza delle reti
Crittografia e sicurezza delle reti Integrità dei dati e loro autenticità Message Authentication Codes (MAC) Firma digitale Autenticazione messaggi Garantire l integrità dei messaggi anche in presenza
DettagliCrittografia e sicurezza delle reti. 1. Classi complessità probabilistiche e OWF 2. Test primalità
Crittografia e sicurezza delle reti 1. Classi complessità probabilistiche e OWF 2. Test primalità Classi di complessità Una classe di complessità è una classe di problemi di decisione (linguaggi) che possono
Dettagli!"### "$ " Applicazioni. Autenticità del messaggio M Integrità del messaggio M. Stelvio Cimato DTI Università di Milano, Polo di Crema
!"### "$ " %& Applicazioni Autenticità del messaggio M Integrità del messaggio M 1 2 ' Easy computation: dato un valore M e la chiave K, MAC(K,M) è facile da calcolare Compression: M di lunghezza finita,
DettagliFunzioni Hash. Impronta Digitale. L impronta digitale viene utilizzata per
Funzioni Hash Impronta Digitale Impronta digitale di un messaggio L impronta digitale deve essere facile da calcolare difficile da invertire unica L impronta digitale viene utilizzata per garantire l integrità
Dettaglischema di firma definizione formale
schema di firma Alice firma un messaggio da mandare a Bob ci sono due componenti: un algoritmo sig per firmare e un algoritmo ver per verificare quello per firmare dev essere privato (solo Alice può firmare)
DettagliApplicazioni. Cosa si intende per sicurezza di uno schema di un MAC? Dobbiamo definire. Autenticità del messaggio M Integrità del messaggio M
!"### "$ " %& Applicazioni Autenticità del messaggio M Integrità del messaggio M 1 ' 2 Easy computation: dato un valore M e la chiave K, MAC(K,M) è facile da calcolare Compression: M di lunghezza finita,
DettagliLa funzione Hash. Garanzia dell integrità dei dati e autenticazione dei messaggi
La funzione Hash Garanzia dell integrità dei dati e autenticazione dei messaggi Come funziona l Hash function Associa stringhe di bit di lunghezza arbitraria e finita stringhe di bit di lunghezza inferiore.
Dettaglilogaritmo discreto come funzione unidirezionale
logaritmo discreto come funzione unidirezionale in generale, lavoreremo con il gruppo U(Z p ) = Z p dati g generatore di Z p e x tale che 1 x p 1, calcolare y = g x è computazionalmente facile (y g x (mod
Dettaglida chi proviene un messaggio?
da chi proviene un messaggio? in un crittosistema simmetrico solo Alice e Bob conoscono la chiave se Bob riceve un messaggio di Alice e la decifratura del messaggio ha senso, il messaggio proviene certamente
DettagliSicurezza della comunicazione tra due entità. Prof.ssa Gaia Maselli
Sicurezza della comunicazione tra due entità Prof.ssa Gaia Maselli maselli@di.uniroma1.it La sicurezza nelle reti Principi di crittografia Integrità dei messaggi Autenticazione end-to-end 2 Sicurezza nella
Dettaglisi cerca di scegliere e non troppo grande e tale che nella scrittura binaria di e ci siano pochi 1 e piccolo = cifratura più veloce
crittosistema RSA Sia N = pq, p, q primi. Sia P = C = Z N. Lo spazio delle chiavi è K = {(N, p, q, d, e) de 1 (mod φ(n))}. Se k = (N, p, q, d, e) è una chiave, poniamo e k (x) = x e (mod N) N e e sono
Dettagliproblema del logaritmo discreto
problema del logaritmo discreto consideriamo il gruppo ciclico U(Z p ), p primo sia g un elemento primitivo modulo p sia y {1,..., p 1} = U(Z p ) il minimo intero positivo x con g x = y si dice il logaritmo
Dettagliuna possibile funzione unidirezionale
una possibile funzione unidirezionale moltiplicare due interi a n bit è facile (in O(n 2 ) con l algoritmo usuale) trovare un primo a n bit, e verificare che è primo, è facile fattorizzare un numero a
DettagliFunzioni Hash. Impronta Digitale. L impronta digitale viene utilizzata per
Funzioni Hash Impronta Digitale Impronta digitale di un messaggio L impronta digitale deve essere facile da calcolare difficile da invertire unica L impronta digitale viene utilizzata per garantire l integrità
DettagliIntroduzione alla FIRMA DIGITALE
Introduzione alla FIRMA DIGITALE 25 e 27 Novembre 2015 1 AGENDA Firma Digitale: cos è? Schemi di Firma Digitale: - DSA - El Gamal - RSA Cenni su possibili Attacchi Comparazione tra Firma Autografa e Firma
DettagliFunzioni di hash sicure: MD5 e SHA-1
POLITECNICO DI MILANO Funzioni di hash sicure: MD5 e SHA-1 CEFRIEL - Politecnico di Milano cerri@cefriel.it http://www.cefriel.it/~cerri/ Funzioni di hash Una funzione di hash (o message digest) è una
DettagliSeminario sulla Crittografia. Corso: T.A.R.I Prof.: Giulio Concas Autore: Ivana Turnu
Seminario sulla Crittografia Corso: T.A.R.I Prof.: Giulio Concas Autore: Ivana Turnu Crittografia Cos è la crittografia Le tecniche più usate La firma digitale Cos è la crittografia Per garantire la riservatezza
Dettagliidea della crittografia a chiave pubblica
idea della crittografia a chiave pubblica sviluppare un crittosistema in cui data la funzione di cifratura e k sia computazionalmente difficile determinare d k Bob rende pubblica la sua funzione di cifratura
Dettaglisia G un gruppo ciclico di ordine n, sia g un generatore di G bisogna determinare l unico intero x con 1 x n 1 tale che g x = y
gruppi ciclici Definizione Un gruppo G con n elementi tale esiste un elemento g G con o(g) = n si dice ciclico, e g si dice un generatore del gruppo U(Z 9 ) è ciclico p. es. U(Z 8 ) non lo è i gruppi U(Z
Dettaglisia G un gruppo ciclico di ordine n, sia g un generatore di G
logaritmo discreto sia G un gruppo ciclico di ordine n, sia g un generatore di G dato y 1 G bisogna determinare l unico intero x con 1 x n 1 tale che g x = y ex: in U(Z 9 ) con g = 2, se y = 7 si ha x
DettagliSicurezza nelle reti: protezione della comunicazione
Sicurezza nelle reti: protezione della comunicazione Gaia Maselli maselli@di.uniroma1.it Queste slide sono un adattamento delle slide fornite dal libro di testo e pertanto protette da copyright. All material
Dettagliuna possibile funzione unidirezionale
una possibile funzione unidirezionale moltiplicare due interi a n bit è facile (in O(n 2 ) con l algoritmo usuale) trovare un primo a n bit, e verificare che è primo, è facile (vedremo poi) fattorizzare
Dettaglida chi proviene un messaggio?
da chi proviene un messaggio? in un crittosistema simmetrico solo Alice e Bob conoscono la chiave se Bob riceve un messaggio di Alice e la decifratura del messaggio ha senso, il messaggio proviene certamente
DettagliCrittografia e sicurezza delle reti
Crittografia e sicurezza delle reti Crittografia a chiave pubblica 1. One way Trapdoor Functions 2. RSA Public Key CryptoSystem 3. Diffie-Hellman 4. El Gamal RSA: Frammenti dall articolo (1978) The era
DettagliCrittografia per la sicurezza dei dati
Crittografia per la sicurezza dei dati Esigenza di sicurezza in rete significa: -garanzia di riservatezza dei dati in rete (e-mail) -garanzia di transazioni sicure (e-commerce, home banking) La crittografia
DettagliQuando si inviano pacchetti da firewall a firewall si introduce un nuovo IP header. E necessario?
Esercizi Quando si inviano pacchetti da firewall a firewall si introduce un nuovo IP header. E necessario? si: perche ogni Security association definisce le proprie chiavi; se A manda a B un messaggio
Dettagliuna possibile funzione unidirezionale
una possibile funzione unidirezionale moltiplicare due interi a n bit è facile (in O(n 2 ) con l algoritmo usuale) trovare un primo a n bit, e verificare che è primo, è facile fattorizzare un numero a
Dettaglicrittografia a chiave pubblica
crittografia a chiave pubblica Whitfield Diffie Martin Hellman New Directions in Cryptography We stand today on the brink of a revolution in cryptography. The development of cheap digital hardware... has
DettagliSicurezza nelle applicazioni multimediali: lezione 5, funzioni di hash. Funzioni crittografiche di hash
Funzioni crittografiche di hash Codici di checksum Un codice di checksum è una firma di dimensione fissa (ad es. 32 bit) calcolata a partire da un messaggio (*) di lunghezza variabile. Ogni messaggio ha
DettagliCrittografia a chiave pubblica
Crittografia a chiave pubblica Barbara Masucci Dipartimento di Informatica Università di Salerno bmasucci@unisa.it http://www.di.unisa.it/professori/masucci Costruzioni Vedremo alcune costruzioni basate
DettagliIdentificazione, Autenticazione e Firma Digitale. Firma digitale...
Identificazione, Autenticazione e Firma Digitale In origine crittografia = confidenzialità Diffusione delle reti: nuove funzionalità. Identificazione Autenticazione Firma digitale Identificazione: un sistema
DettagliMessage Authentication Code
Message Authentication Code Message Authentication Code (MAC) messaggio M Alfredo De Santis Dipartimento di Informatica ed Applicazioni Università di Salerno ads@dia.unisa.it http://www.dia.unisa.it/professori/ads
DettagliCorso di Qualità del Servizio e Sicurezza nelle reti A.A. 2014/2015. Lezione del 11 Maggio 2015
Corso di Qualità del Servizio e Sicurezza nelle reti A.A. 2014/2015 Lezione del 11 Maggio 2015 1 Crittografia Scienza antichissima: codificare e decodificare informazione Tracce risalenti all epoca di
Dettaglicrittografia a chiave pubblica
crittografia a chiave pubblica Whitfield Diffie Martin Hellman New Directions in Cryptography We stand today on the brink of a revolution in cryptography. The development of cheap digital hardware... has
DettagliFirme digitali. Firma Digitale. Firma Digitale. Firma Digitale. Equivalente alla firma convenzionale. Equivalente alla firma convenzionale
irme digitali irma Digitale Barbara asucci Dipartimento di Informatica ed Applicazioni Università di Salerno firma Equivalente alla firma convenzionale masucci@dia.unisa.it http://www.dia.unisa.it/professori/masucci
Dettaglisia G un gruppo ciclico di ordine n, sia g un generatore di G
logaritmo discreto sia G un gruppo ciclico di ordine n, sia g un generatore di G dato y 1 G bisogna determinare l unico intero x con 1 x n 1 tale che g x = y ex: in U(Z 9 ) con g = 2, se y = 7 si ha x
DettagliCrittografia Asimmetrica
Sicurezza nei Sistemi Informativi Crittografia Asimmetrica Ing. Orazio Tomarchio Orazio.Tomarchio@diit.unict.it Dipartimento di Ingegneria Informatica e delle Telecomunicazioni Università di Catania Crittografia
DettagliCrittografia a chiave pubblica
Crittografia a chiave pubblica Barbara Masucci Dipartimento di Informatica ed Applicazioni Università di Salerno masucci@dia.unisa.it http://www.dia.unisa.it/professori/masucci Cifrari simmetrici canale
Dettaglida chi proviene un messaggio?
da chi proviene un messaggio? in un crittosistema simmetrico solo Alice e Bob conoscono la chiave se Bob riceve un messaggio di Alice e la decifratura del messaggio ha senso, il messaggio proviene certamente
DettagliParte prima Cifrature asimmetriche 21
Indice Prefazione XIII Capitolo 1 Introduzione 1 1.1 Servizi, meccanismi e attacchi 3 Servizi 3 Meccanismi 4 Attacchi 5 1.2 L architettura di sicurezza OSI 5 Servizi di sicurezza 7 Autenticazione 7 Meccanismi
DettagliLivello Applicazioni Elementi di Crittografia
Laboratorio di Reti di Calcolatori Livello Applicazioni Elementi di Crittografia Carlo Mastroianni Servizi Crittografia: Servizi richiesti SEGRETEZZA: evitare che i dati inviati da un soggetto A a un soggetto
DettagliNUMERI PRIMI E CRITTOGRAFIA
NUMERI PRIMI E CRITTOGRAFIA Parte I. Crittografia a chiave simmetrica dall antichità all era del computer Parte II. Note della Teoria dei Numeri concetti ed algoritmi a supporto della Crittografia Parte
DettagliDigital Signature Standard
Corso di Sicurezza 2008/2009 Golinucci Thomas Zoffoli Stefano Gruppo 11 Firme digitali 1. Introduzione. 2. Caso d uso e digitalizzazione. 3. Firme digitali e possibili attacchi. 4. Manuali vs Digitali.
DettagliCorso di Crittografia Prof. Dario Catalano. Primitive Asimmetriche
Corso di Crittografia Prof. Dario Catalano Primitive Asimmetriche Introduzione n Oggi discuteremo le primitive sulla base delle quali costruire sistemi asimmetrici affidabili. n Nel caso della crittografia
Dettagliidea della crittografia a chiave pubblica
idea della crittografia a chiave pubblica sviluppare un crittosistema in cui data la funzione di cifratura e k sia computazionalmente difficile determinare d k Bob rende pubblica la sua funzione di cifratura
Dettaglicrittografia a chiave pubblica
crittografia a chiave pubblica Whitfield Diffie Martin Hellman New Directions in Cryptography We stand today on the brink of a revolution in cryptography. The development of cheap digital hardware... has
DettagliIl Ricevente comunica pubblicamente una chiave e. Il Mittente codifica il messaggio usando la funzione f(m, e) = C e
Crittografia a chiave pubblica. Il problema della crittografia è semplice da enunciare: vi sono due persone, il Mittente e il Ricevente, che vogliono comunicare fra loro senza che nessun altro possa leggere
DettagliFirme digitali. Firma Digitale. Firma Digitale. Firma Digitale. Equivalente alla firma convenzionale. Equivalente alla firma convenzionale
irme digitali irma Digitale Barbara asucci Dipartimento di Informatica ed Applicazioni Università di Salerno firma Equivalente alla firma convenzionale masucci@dia.unisa.it http://www.dia.unisa.it/professori/masucci
Dettaglimaurizio pizzonia sicurezza dei sistemi informatici e delle reti. metodi crittografici
metodi crittografici 1 sommario richiami di crittografia e applicazioni hash crittografici crittografia simmetrica crittografia asimmetrica attacchi e contromisure birthday rainbow key rollover generatori
Dettagli(G, ) un gruppo moltiplicativo di ordine n l ordine di un elemento g G, o(g), è il minimo intero positivo m tale che g m = 1
ordine di un gruppo G un gruppo finito: ordine di G = o(g) = numero di elementi di G l insieme degli invertibili di Z n è un gruppo rispetto al prodotto si denota con U(Z n ) e ha ordine φ(n) esempio:
Dettaglimaurizio pizzonia sicurezza dei sistemi informatici e delle reti. tecniche crittografiche e protocolli
tecniche crittografiche e protocolli 1 obiettivi autenticazione one-way e mutua scambio di chiavi di sessione scambio dei dati integrità confidenzialità 2 autenticazione one-way con shared secret (s1)
DettagliCrittografia con Python
Crittografia con Python Corso introduttivo Marzo 2015 Con materiale adattato dal libro Hacking Secret Cypher With Python di Al Sweigart (http://inventwithpython.com/hacking/index.html) Ci eravamo lasciati
Dettaglimaurizio pizzonia sicurezza dei sistemi informatici e delle reti. metodi crittografici
metodi crittografici 1 sommario richiami di crittografia e applicazioni hash crittografici crittografia simmetrica crittografia asimmetrica attacchi e contromisure birthday rainbow key rollover generatori
DettagliCrittografia simmetrica (a chiave condivisa)
Crittografia simmetrica (a chiave condivisa) Crittografia simmetrica (a chiave condivisa) Schema di trasmissione con chiave condivisa: Crittografia simmetrica (a chiave condivisa) Schema di trasmissione
DettagliCorso di Crittografia
Corso di Crittografia Esercizi Addizionali su Cifrari Simmetrici e MAC 1. Sia F : {0, 1} k {0, 1}`! {0, 1} L una funzione pseudocasuale sicura e si consideri il seguente cifrario simmetrico. Lo spazio
DettagliCrittografia: Servizi richiesti
Reti di Calcolatori Elementi di Crittografia Servizi Crittografia: Servizi richiesti SEGRETEZZA: evitare che i dati inviati da un soggetto A a un soggetto B vengano intercettati da un terzo soggetto C.
DettagliCorso di Crittografia Prof. Dario Catalano. Firme Digitali
Corso di Crittografia Prof. Dario Catalano Firme Digitali Introduzione n Una firma digitale e l equivalente informatico di una firma convenzionale. n Molto simile a MA, solo che qui abbiamo una struttura
Dettagliuna possibile funzione unidirezionale
una possibile funzione unidirezionale moltiplicare due interi a n bit è facile (in O(n 2 ) con l algoritmo usuale) trovare un primo a n bit, e verificare che è primo, è facile (vedremo poi) fattorizzare
DettagliProtocolli di Rete. Sabrina De Capitani di Vimercati. DEA - Università di Brescia. c Sabrina De Capitani di Vimercati p.
Protocolli di Rete Sabrina De Capitani di Vimercati decapita@ing.unibs.it. DEA - Università di Brescia c Sabrina De Capitani di Vimercati p.1/45 Ultimi Mattoni: La Firma Digitale A cosa serve? Il destinatario
DettagliProgetto Lauree Scientifiche Crittografia V incontro
Progetto Lauree Scientifiche Crittografia V incontro Giovanna Carnovale 13 marzo 2006 Sommario Durante questo incontro analizzeremo la sicurezza del sistema crittografico RSA e parleremo di come trasformare
Dettaglifunzione φ di Eulero, o funzione toziente è definita sugli interi positivi φ(n) è il numero di interi positivi n che sono coprimi con n
ordine di un gruppo G un gruppo finito: ordine di G = o(g) = numero di elementi di G l insieme degli invertibili di Z n è un gruppo rispetto al prodotto (mod n) si denota con U(Z n ) e ha ordine φ(n) esempio:
DettagliE necessaria la chiave segreta? RSA. Funzioni One-way con Trapdoor. Un secondo protocollo
E necessaria la chiave segreta? RSA Rivest, Shamir, Adelman A manda a B lo scrigno chiuso con il suo lucchetto. B chiude lo scrigno con un secondo lucchetto e lo rimanda ad A A toglie il suo lucchetto
DettagliFirma Digitale. Firma Digitale. Firma digitale. Firma digitale. Firma Digitale. Equivalente alla firma convenzionale
firma irma Digitale Equivalente alla firma convenzionale firma irma Digitale Equivalente alla firma convenzionale Soluzione naive: incollare firma digitalizzata irma Digitale 0 irma Digitale 1 Soluzione
DettagliLa firma digitale, o firma elettronica qualificata, basata sulla tecnologia della crittografia a chiavi asimmetriche, è un sistema di autenticazione d
Definizione Sistemi per la creazione e la verifica di firme digitali Differenze tra firma digitale e firma convenzionale Valore giuridico della firma digitale in Italia Crittografia asimmetrica 11-01-2010
Dettagliuna possibile funzione unidirezionale
una possibile funzione unidirezionale moltiplicare due interi a n bit è facile (in O(n 2 ) con l algoritmo usuale) trovare un primo a n bit, e verificare che è primo, è facile fattorizzare un numero a
DettagliSicurezza nella comunicazione in rete: integrità dei messaggi, firma elettronica, protocolli di autenticazione
Reti di Calcolatori I Prof. Roberto Canonico Dipartimento di Ingegneria Elettrica e delle Tecnologie dell Informazione Corso di Laurea in Ingegneria Informatica A.A. 2018-2019 Sicurezza nella comunicazione
DettagliITC Mossotti - Novara. Verica di Informatica. Nome e Cognome:... 1) Nella cifratura convenzionale. 2) Nella crittograa a chiave pubblica
ITC Mossotti - Novara II Segmento - progetto POLIS Verica di Informatica Nome e Cognome:... Data e Ora:... 1) Nella cifratura convenzionale uso la chiave privata per cifrare l'impronta del messaggio uso
DettagliCrittografia e sicurezza delle reti
Crittografia e sicurezza delle reti IPSEC Scambio di chiavi (Diffie Hellman) SSL/TLS SET Architettura di sicurezza Applicaz. (SHTTP) SSL/TLS TCP IPSEC IP applicazioni sicure (ad es. PGP, SHTTP, SFTP, ecc.)
Dettagliidea della crittografia a chiave pubblica
idea della crittografia a chiave pubblica sviluppare un crittosistema in cui data la funzione di cifratura e k sia computazionalmente difficile determinare d k Bob rende pubblica la sua funzione di cifratura
DettagliCifrario di Rabin. Chiara Gasparri
Cifrario di Rabin Chiara Gasparri Simbolo di Legendre Sia p un numero primo dispari, definiamo il Simbolo di Legendre come 0 se p divide a a = 1 se a è un quadrato di Z p 1 se a non è quadrato Z p p Proprietà
DettagliCrittografia e firma digitale. Prof. Giuseppe Chiumeo
Crittografia e firma digitale Prof. Giuseppe Chiumeo giuseppe.chiumeo@libero.it INTRODUZIONE Lo sviluppo dell e-business oggi ha bisogno di garanzie per quanto riguarda l inviolabilità dei dati trasmessi.
Dettaglisia G un gruppo ciclico di ordine n, sia g un generatore di G bisogna determinare l unico intero x con 1 x n 1 tale che g x = y
gruppi ciclici Definizione Un gruppo G con n elementi tale esiste un elemento g G con o(g) = n si dice ciclico, e g si dice un generatore del gruppo U(Z 9 ) è ciclico p. es. U(Z 8 ) non lo è i gruppi U(Z
DettagliEsercitazione per la prova scritta
Esercitazione per la prova scritta x 2 Esercizio 1 x n k in ECB/CBC/CFB/OFB Barbara Masucci Dipartimento di Informatica ed Applicazioni Università di Salerno masucci@dia.unisa.it http://www.dia.unisa.it/professori/masucci
DettagliIntegrità dei messaggi. Funzioni di Hash e codici MAC. Message digest. Message digest e funzioni di hash
Sicurezza nei Sistemi Informativi Integrità dei messaggi Funzioni di Hash e codici MAC una persona che intercetti una comunicazione cifrata non può leggerla...... ma può modificarla in modo imprevedibile!
DettagliAutenticazione dei messaggi e funzioni hash
Autenticazione dei messaggi e funzioni hash Autenticazione L autenticazione serve a: Proteggere l integrità del messaggio Validare l identità del mittente Garantire la non ripudiabilità In generale, tre
DettagliCrittografia a chiave pubblica
Crittografia a chiave pubblica Barbara Masucci Dipartimento di Informatica Università di Salerno bmasucci@unisa.it http://www.di.unisa.it/professori/masucci Cifrari simmetrici canale insicuro Bob 1 Distribuzione
DettagliA cosa serve la crittografia? La crittografia serve ad aiutare due utenti, Alice e Bob, a comunicare in modo sicuro...
Crittografia A cosa serve la crittografia? La crittografia serve ad aiutare due utenti, Alice e Bob, a comunicare in modo sicuro... Mister X...anche in presenza di Mister X, un avversario che ascolta la
DettagliCorso di Crittografia Prof. Dario Catalano. Introduzione alla crittografia asimmetrica
Corso di Crittografia Prof. Dario Catalano Introduzione alla crittografia asimmetrica Introduzione n La crittografia simmetrica parte dal presupposto che Alice e Bob condividano una chiave segreta. n In
Dettaglicrittografia a chiave pubblica
crittografia a chiave pubblica Whitfield Diffie Martin Hellman New Directions in Cryptography We stand today on the brink of a revolution in cryptography. The development of cheap digital hardware... has
Dettaglifunzione φ di Eulero, o funzione toziente è definita sugli interi positivi φ(n) è il numero di interi positivi n che sono coprimi con n
ordine di un gruppo G un gruppo finito: ordine di G = o(g) = numero di elementi di G l insieme degli invertibili di Z n è un gruppo rispetto al prodotto (mod n) si denota con U(Z n ) e ha ordine φ(n) esempio:
DettagliCrittografia. Firme Digitali e Funzioni di Hash. Corso di Laurea Specialistica. in Informatica
Crittografia Corso di Laurea Specialistica in Informatica Firme Digitali e Funzioni di Hash Alberto Leporati Dipartimento di Informatica, Sistemistica e Comunicazione Università degli Studi di Milano Bicocca
DettagliCorso di Sicurezza nelle reti a.a. 2009/2010. Raccolta di alcuni quesiti del corso da 5CFU e prima parte del corso da 9CFU
Università degli Studi di Parma - Facoltà di Ingegneria Corso di Sicurezza nelle reti a.a. 2009/2010 Raccolta di alcuni quesiti del corso da 5CFU e prima parte del corso da 9CFU 1) Si consideri un semplice
DettagliSicurezza nella comunicazione in rete: integrità dei messaggi, firma elettronica, protocolli di autenticazione
Reti di Calcolatori I Prof. Roberto Canonico Dipartimento di Ingegneria Elettrica e delle Tecnologie dell Informazione Corso di Laurea in Ingegneria delle Telecomunicazioni Corso di Laurea in Ingegneria
DettagliCrittografia avanzata Lezione del 21 Marzo 2011
Crittografia avanzata Lezione del 21 Marzo 2011 Attacchi alle funzioni hash Collisioni: trovare due messaggi M1 e M2 tali che H(M1) = H(M2) in meno di 2^(L/2) tentativi L è la lunghezza dell'hash Mezzi
DettagliConfidenzialità e crittografia simmetrica. Contenuto. Scenario tipico. Intercettazione dei dati. Uso della crittografia simmetrica
Confidenzialità e crittografia simmetrica Contenuto Uso della crittografia simmetrica Dove, come e quando cifrare i dati? Barbara Masucci Dipartimento di Informatica ed Applicazioni Università di Salerno
DettagliCrittografia. Corso di Laurea Specialistica. in Informatica. Generatori di Numeri PseudoCasuali
Crittografia Corso di Laurea Specialistica in Informatica Generatori di Numeri PseudoCasuali Alberto Leporati Dipartimento di Informatica, Sistemistica e Comunicazione Università degli Studi di Milano
DettagliPrivacy e firma digitale
WORKSHOP Connessione in rete: sicurezza informatica e riservatezza Privacy e firma digitale C. Giustozzi Privacy e firma digitale Corrado Giustozzi (c.giustozzi@iet.it) 1 Le comunicazioni elettroniche
Dettaglida chi proviene un messaggio?
da chi proviene un messaggio? in un crittosistema simmetrico solo Alice e Bob conoscono la chiave se Bob riceve un messaggio di Alice e la decifratura del messaggio ha senso, il messaggio proviene certamente
Dettagliuna possibile funzione unidirezionale
una possibile funzione unidirezionale moltiplicare due interi a n bit è facile (in O(n 2 ) con l algoritmo usuale) trovare un primo a n bit, e verificare che è primo, è facile (vedremo poi) fattorizzare
DettagliCrittografia Moderna. Segretezza Perfetta: nozioni
Crittografia Moderna Segretezza Perfetta: nozioni Segretezza perfetta Ci occuperemo di schemi di cifratura perfettamente sicuri Avversari di potere computazionale illimitato confidenzialità / riservatezza
DettagliConfidenzialità e crittografia simmetrica. Contenuto. Scenario tipico. Corso di Sicurezza su Reti Uso della crittografia simmetrica
Confidenzialità e crittografia simmetrica Barbara Masucci Dipartimento di Informatica ed Applicazioni Università di Salerno masucci@dia.unisa.it http://www.dia.unisa.it/professori/masucci Contenuto Uso
DettagliConfidenzialità e crittografia simmetrica. Contenuto. Scenario tipico. Sicurezza su reti Uso della crittografia simmetrica
Confidenzialità e crittografia simmetrica Barbara Masucci Dipartimento di Informatica Università di Salerno masucci@dia.unisa.it http://www.dia.unisa.it/professori/masucci Contenuto Uso della crittografia
DettagliFUNZIONI HASH ONE-WAY ITERATE
FUNZIONI HASH ONE-WAY ITERATE SNEFRU SHA-1 di Davide Gallo per Elementi di Crittografia 2004/2005 Prof.sa Rosaria Rota Funzioni Hash : contesto Oltre alla Segretezza i moderni sistemi di crittografia a
DettagliFirme digitali. Firma Digitale. Firma Digitale. Corso di Sicurezza su Reti Lezione del 17 novembre 2009. Equivalente alla firma convenzionale
Firme digitali Barbara Masucci Dipartimento di Informatica ed Applicazioni Università di Salerno masucci@dia.unisa.it http://www.dia.unisa.it/professori/masucci Firma Digitale Equivalente alla firma convenzionale
DettagliI Cifrari Perfetti. Alessio Nunzi Fabiola Genevois Federico Russo
I Cifrari Perfetti Alessio Nunzi Fabiola Genevois Federico Russo Fabiola Genevois Strategie d attacco Sicurezza dei sistemi crittografici Il cifrario Perfetto Enunciato di Shannon Il cifrario di Vernam
DettagliProtocolli a conoscenza zero. Carlo De Vittoria
Protocolli a conoscenza zero Carlo De Vittoria PROBLEMI Dati A, l utente che si vuole autenticare, e B il sistema di autenticazione Con le precedenti autenticazioni abbiamo riscontrato i seguenti problemi:
Dettagli