Sicurezza dei Calcolatori e delle Reti. Introduzione alla crittografia Lez. 2. A.A. 2010/2011 Corso: Sicurezza 1 Danilo Bruschi

Transcript

1 Sicurezza dei Calcolatori e delle Reti Introduzione alla crittografia Lez. 2

2 Agenda Che cos è la crittografia I componenti di un protocollo crittografico Crittografia a chiave privata Crittografia a chiave pubblica I principali sistemi crittografici La criptanalisi

3 Che cos è la crittografia CRITTOGRAFIA: la scienza che si occupa di individuare dei metodi o protocolli crittografici per trasformare in modo reversibile un documento o un messaggio in modo da renderne il significato comprensibile solo a determinate persone CRIPTOANALISI: la scienza di rompere protocolli crittografici CRITTOLOGIA: Crittografia + Criptoanalisi

4 Crittografia e Sicurezza La crittografia può essere utilizzata con molto profitto nell ambito della Sicurezza Informatica e in questo ambito contribuisce al raggiungimento dei seguenti obiettivi: Confidenzialità Data integrity Authentication Non repudiabilità

5 Modello di riferimento Messaggio in chiaro (cleartext) Mittente (sender) Messaggio cifrato (ciphertext) canale Destinatario (receiver) Intruso (adversary)

6 Componenti Sia M un insieme di finito di messaggi, ogni elemento m di M, è detto plaintext message Sia C lo spazio dei ciphertext, che a sua volta è un insieme finito di messaggi Sia K un insieme finito di chiavi

7 Componenti Una funzione di codifica o cifratura (encryption) è una funzione biiettiva dallo spazio M x K à C Una funzione di decodifica o decifratura (decryption) è una funzione biiettiva C x K à M Uno schema di encryption è formato da un insieme di funzioni di cifratura E e dall insieme D delle corrispondenti funzioni di decifratura

8 Funzione di cifratura (codifica) La funzione di codifica trasforma un messaggio in chiaro (plaintext) P in un messaggio criptato C. L operazione di cifratura viene svolta usando un parametro K detto chiave chiave cifratura messaggio C = { P} k messaggio criptato

9 Funzione di decifratura La funzione di decodifica trasforma un messaggio criptato (ciphertext) C in un messaggio in chiaro P. Anche l operazione di decifratura viene svolta usando un parametro detto chiave di decifratura K -1 chiave decifratura ciphertext P = { C} K 1 messaggio in chiaro

10 Componenti In uno schema di cifratura può esistere anche una terza componente: la funzione di key escrow Il suo scopo è quello di consentire ad una terza parte estranea alla comunicazione e che sia in possesso di un messaggio criptato di poter risalire al contenuto del messaggio originale, anche senza conoscere direttamente la chiave di cifratura

11 Componenti I protocolli crittografici sono suddivisibili in due grandi classi: - A CHIAVE PRIVATA O SIMMETRICI - A CHIAVE PUBBLICA O ASIMMETRICI

12 Crittografia a chiave privata La crittografia a chiave privata usa protocolli in cui solitamente K = K -1 plaintext CHIAVE ciphertext cifratura decifratura ciphertext plaintext

13 Crittografia a chiave privata: esempio Il messaggio in chiaro: Encryption can make Unix more secure viene cifrato da DES (Data Encryption Standard) usando la chiave nosmis, nel seguente messaggio criptato: M-itM-@g^B^?^B?^NM-XM-vZIM-U_h^X^kM-^^sI^^Mf1M-^ZM-jM-gBM-6M->^@M- =^M-^JM 7M--M-^T

14 Crittografia a chiave privata Esempio (cont.) Se cerchiamo di decifrare il suddetto messaggio cifrato con una chiave diversa da nosmis, ad esempio gandalf otterremo il seguente messaggio: M-&u=:;M-X^G?M-MM^MM-M-,M-kM-?M-R8M-==pM-?^M^^Ml^ZM-IM-^U0M-D^KM-eM-hM-yM-^M-)M-mM-UM-^ZM-@^^N

15 Crittografia a chiave privata I principali protocolli crittografici a chiave privata attualmente usati sono: AES che usa chiavi a 128 bit DES, che usa chiavi a 56 bit, brevettato ma usabile Sono disponibili versioni di DES più efficaci quali double e triple DES IDEA, che usa chiavi a 128 bit, brevettato

16 AES Sistema di cifratura a blocchi (block cipher) Blocchi di dimensione 128 bit (16 byte) Electronic Code block (ECB) Ogni blocco è cifrato indipendentemente dall altro con la chiave Cipher block chaining (CBC), dove P n è il blocco da codificare e C n-1 il precedente blocco codificato: { P C } n n K C n 1

17 Crittografia a chiave privata: considerazioni + protocolli estremamente efficienti come tempi di esecuzione + dimensione delle chiavi contenuta -- gestione delle chiavi estremamente complicata, ogni utente deve possedere una chiave diversa per ogni utente con cui vuole comunicare

18 Diffie-Hellman Usato per scambio chiavi Usa aritmetica modulare (p numero primo grande) Siano A e B due soggetti che devono comunicare

19 Diffie-Hellman Concordano un numero 1<α< p (radice primitiva) Generano ciascuno un numero casuale R A e R B compreso tra 1 e β 2 A calcola α R a (mod p) e B calcola α R B (mod p), Ciascuno invia all altro il valore computato Ciascuno calcola il valore (! R A )R B (mod p) =! R AR B (mod p)

20 Diffie-Hellman src: matdonline.free.fr

21 Crittografia a chiave pubblica La crittografia a chiave pubblica fa ricorso a protocolli crittografici in cui le chiavi vengono generate a coppie: (chiave pubblica,chiave privata)

22 Crittografia a chiave pubblica La chiave pubblica viene utilizzata in fase di codifica, cioè per cifrare un messaggio La corrispondente chiave privata deve essere usata in fase di decodifica, ed è l unica chiave che può decifrare un messaggio cifrato con la chiave pubblica associata

23 Crittografia a chiave pubblica In un sistema in cui è stato adottato un protocollo crittografico a chiave pubblica: ogni utente A deve essere provvisto di una coppia di chiavi. A deve provvedere a rendere nota la propria chiave pubblica ogni utente che intende comunicare con A deve inviargli un messaggio cifrato con la chiave pubblica di A

24 Crittografia a chiave pubblica Ricevuto il messaggio cifrato, A e solo A può provvedere alla sua decifrazione, usando la propria chiave segreta, che non deve divulgare in alcun modo

25 Crittografia a chiave pubblica Maria (p M, s M ) Giovanni (p G, s G ) codifica msg con p G decodifica msg con s G decodifica msg con s M codifica msg con p M

26 Crittografia a chiave pubblica I protocolli crittografici a chiave pubblica attualmente più usati sono: RSA (basato sulla difficoltà della fattorizzazione), rilasciato il 6 Settembre 2000 El Gamal (basato sulla difficoltà del logaritmo discreto) DSA

27 RSA Dati due numeri primi grandi p e q calcolare n=pq Calcolo φ(n)=(p-1)(q-1) e scelgo un numero e relativamente primo a φ(n) Calcolo d tale che de = 1 mod φ(n) (ne esiste sempre uno perché e, è relativamente primo a φ(n)) (n,e) è la chiave pubblica e (n,d) la chiave privata

28 RSA Dato un messaggio m si procede nel seguente modo : c = m e modn e m = c d (modn) = m ed (modn) = m *1(modn) = m Attraverso l'applicazione del teorema di Eulero: i! (n) modn!1 quando i è relativamente primo a n

29 NOTA Il ruolo di e e d può essere invertito senza causare alcun problema

30 Esempio p = 7 q =11, n = 77 φ(n)=60 Scelgo e=17 da cui d*17 = k*60+1=53 Poiché n = 77 posso cifrare messaggi che numericamente sono minori di 77 e quindi 64, (8 bit) HELLO WORLD = mod 77 = 28

31 Applicazioni della crittografia Proteggere l informazione memorizzata sul proprio calcolatore da accessi non autorizzati (confidenzialità) Rilevare eventuali modifiche apportate al contenuto di un file in fase di trasmissione (integrità) Verificare se il mittente di un messaggio è davvero chi afferma di essere (autenticazione)

32 Applicazioni: confidenzialità Il proprietario di un file deve semplicemente codificare i dati che devono essere protetti utilizzando la propria chiave pubblica; solo chi possiede la corrispondente chiave segreta, e cioè se stesso, potrà risalire al contenuto originario del file

33 Applicazioni: integrità e autenticazione Per poter descrivere queste ulteriori applicazioni della crittografia dobbiamo introdurre la nozione di: firma digitale message digest o cryptographic checksum

34 Firma digitale Un protocollo a chiave pubblica può essere costruito facendo in modo che operi anche in modo inverso: un utente A cifra dei messaggi con la propria chiave segreta s A chiunque possiede la corrispondente chiave pubblica p A è in grado di risalire al contenuto originario del messaggio

35 Firma digitale Poiché chiunque può possedere la chiave pubblica di un utente, qual è l utilità di una simile procedura? Una chiave segreta identifica univocamente un utente, la procedura in questione garantisce inequivocabilmente la provenienza del messaggio

36 Firma digitale Con firma digitale si intende l operazione di cifratura di un messaggio da parte di un utente A con la propria chiave segreta { M} {{ M} } SA SA EB

37 Firma digitale Quando l utente B riceverà il messaggio firmatocifrato da A e provvederà alla sua decifratura potrà verificare che: il messaggio non è stato modificato l autenticità del mittente A per contro, non potrà negare di avere inviato il messaggio

38 Message digest I protocolli a chiave pubblica attualmente in uso richiedono una certa quantità di tempo di CPU per svolgere le funzioni di codifica/decodifica, la firma di un file di un megabyte può richiedere parecchie ore, si preferisce allora velocizzare la fase di firma ricorrendo alla nozione di message digest { { } } M, H( M) S A EB

39 Funzione di hash Una particolare funzione matematica che riceve in input un file di qualunque dimensione e restituisce in output una stringa di dimensione fissa (solitamente bit) chiamata valore di hash. Keyed Hash: H [ M, K ]

40 Crittografia a chiave pubblica: considerazioni + gestione delle chiavi molto semplice, ogni utente deve conservare solo la propria chiave privata - molto delicata la diffusione delle chiavi pubbliche -- protocolli estremamente inefficienti come tempi di esecuzione

41 Di fatto si invia { } SA K { K}, M, { H( M) } E B

42 L Autorità di Certificazione Il problema principale derivante dall uso di crittografia a chiave pubblica è la diffusione e l individuazione delle chiavi pubbliche delle persone con cui si vuole comunicare Nulla vieta ad un intrusore di modificare le chiavi pubbliche degli utenti

43 L Autorità di Certificazione L autorità di certificazione è un ente fidato il cui compito è quello di rilasciare certificati, cioè messaggi firmati con la propria chiave segreta contenenti il nome di un utente e la sua chiave pubblica

44 L autorità di certificazione Tutti gli utenti dovranno possedere la chiave pubblica della AC per poter verificare la firma apposta sui certificati

45 La criptoanalisi Parallelamente alla crittografia si è sviluppata un altra disciplina il cui scopo è quello di individuare delle tecniche (attacchi) per scoprire (rompere) il contenuto di messaggi cifrati senza conoscerne la chiave di cifratura. Tale disciplina è nota come criptoanalisi

46 La criptoanalisi La capacità di un protocollo crittografico di resistere agli attacchi viene definita robustezza: più un protocollo è robusto, più sofisticati sono gli attacchi a cui deve essere sottoposto per essere compromesso

47 La criptoanalisi Due sono i parametri fondamentali che caratterizzano la robustezza di un protocollo crittografico: - La dimensione della chiave - La difficoltà di invertire l algoritmo di codifica

48 La criptoanalisi Il primo attacco che viene considerato per valutare la robustezza di un protocollo crittografico è basato sulla ricerca esaustiva nello spazio delle chiavi

49 La criptoanalisi L attacco viene portato assumendo di conoscere l algoritmo di decodifica e il codice cifrato Elenco chiavi messaggio cifrato decodifica messaggio decodificato

50 La criptoanalisi Questo attacco consente di rompere tutti i protocolli crittografici che usano chiavi la cui lunghezza è intorno ai 40 bit In questo caso la spazio delle chiavi miliardi di elementi diversi contiene

51 La criptoanalisi Il 17 luglio 1995 veniva annunciato che utilizzando il metodo della ricerca esaustiva era stato rotto il protocollo crittografico RC4 con chiave a 40 bit adottato da SSL Il protocollo è stato rotto utilizzando 120 workstations e due calcolatori paralleli, in otto giorni

52 La robustezza di DES Nel 1994 il ricercatore giapponese Mitsuru Matsui ha reso noto di aver rotto DES in 50 giorni usando 12 wks usando una tecnica avanzata Lo spazio delle chiavi di DES è formato da miliardi di elementi, sono attualmente necessari 2 anni (circa) per rompere DES con ricerca esaustiva

53 La robustezza di RSA La struttura con cui RSA è costruito impone che il protocollo, per fornire garanzie di robustezza comparabili a quelle dei protocolli a chiave privata, debba operare con chiavi di lunghezza superiore rispetto a questi ultimi

54 La robustezza di RSA Chiave Privata Chiave pubblica 56 bit corrispondono a 384 bit 64 bit 512 bit 80 bit 768 bit 112 bit 1792 bit 128 bit 2304 bit

55 La robustezza di RSA La robustezza di RSA è basata sulla difficoltà di fattorizzare un numero sufficientemente grande Il più grande numero sinora fattorizzato ha 129 cifre (circa 430 bit) ed è stato fattorizzato usando 1600 workstations per 8 mesi

56 La robustezza di RSA RSA viene attualmente usato con chiavi a 1024 bit, per romperlo bisogna quindi saper fattorizzare numeri di 1024 bit L algoritmo più veloce di fattorizzazione attualmente noto, impiega anni per fattorizzare un numero di 665 bit

57 La criptoanalisi: riassunto Durata del segreto decine di minuti/ora giorni/settimane qualche anno decade più di 40 anni Lung. min. chiave privata 40 bit 56 bit 64 bit 112 bit 128 bit

58 Crittografia e sicurezza SECURITY IS ABOUT PEOPLE, CRYPTOGRAPHY IS ABOUT MATHEMATICS B. Schneier

59 Altre fonti di informazione Bruce Schneier. Applied Cryptography: Protocols, Algorithms and source code in C. II Edition, John Wiley & Son, 1998 Andrew Hodges. Alan Turing: The Enigma. Adelphi, 1992