Confidenzialità e crittografia simmetrica. Contenuto. Scenario tipico. Corso di Sicurezza su Reti Uso della crittografia simmetrica

Transcript

1 Confidenzialità e crittografia simmetrica Barbara Masucci Dipartimento di Informatica ed Applicazioni Università di Salerno masucci@dia.unisa.it Contenuto Uso della crittografia simmetrica Dove, come e quando cifrare i dati? Distribuzione delle chiavi Generazione di numeri pseudocasuali Scenario tipico Server comunicazione Armadio di cablaggio Centralina società telefonica Rete locale Internet 1

2 Intercettazione dei dati Intrusi nella LAN Intrusi dall esterno Armadio di cablaggio Centralina società telefonica Server comunicazione Armadio di cablaggio Rete locale Internet Dove cifrare i dati? Due approcci differenti: Cifratura del collegamento Cifratura/decifratura alle due estremità del collegamento Cifratura end-to-end Cifratura/decifratura tra l host mittente e l host destinatario Due approcci differenti Cifratura end-to-end Cifratura del collegamento 2

3 Due approcci differenti Cifratura del collegamento I router devono decifrare per ricavare le informazioni di instradamento dei pacchetti Ogni coppia di nodi collegati deve condividere una chiave Cifratura end-to-end Il pacchetto non può essere cifrato completamente Informazioni di instradamento viaggiano in chiaro Analisi del traffico Consente di ottenere informazioni su Identità dei partner in comunicazione Frequenza delle comunicazioni Lunghezza dei messaggi Uso di canali nascosti Schemi di trasmissione Messaggi legittimi Corti rappresentano 0 Lunghi rappresentano 1 Traffic Padding Per evitare di rivelare informazioni grazie alla frequenza e lunghezza dei messaggi Testo in chiaro input discontinuo Testo cifrato output continuo Generatore continuo di dati casuali 3

4 Distribuzione delle chiavi Come fanno Alice e Bob a condividere una chiave comune? Uso di un canale privato - un corriere fidato - un incontro faccia a faccia in un posto segreto Uso di una terza parte fidata... - che stabilisce la chiave di sessione e la invia ad entrambi in modo sicuro... Distribuzione delle chiavi In una rete con n utenti ogni coppia di utenti deve condividere una chiave - Ogni utente deve memorizzare n-1 chiavi - Il numero totale delle chiavi segrete e ordine di n 2 Key Distribution Center (KDC) Condivide una chiave master con ciascun utente Stabilisce una chiave di sessione per la comunicazione tra due utenti Dopo la generazione, provvede alla distribuzione 4

5 Key Distribution Center (KDC) Key Distribution Center nonce (1) Richiesta N 1 (2) E Ka [ K s Richiesta N 1 E Kb (K s,id A )] A (3) E Kb (K s,id A ) (4) E Ks [N 2 ] B (5) E Ks [f(n 2) ] Nonce: identificatore univoco, per evitare attacchi di replay KDC gerarchici Per reti grandi, centri di distribuzione gerarchici In ogni rete locale un KDC Per comunicazioni interne coinvolto solo il KDC locale Per comunicazione fra due reti i KDC locali coinvolgono un KDC di livello superiore Limita i problemi legati a un guasto del KDC 5

6 Chiavi di sessione Quanto deve durare una chiave di sessione? Maggiore frequenza di distribuzione, maggiore sicurezza, più tempo necessario alla distribuzione Protocolli orientati alla connessione Una chiave di sessione per connessione Protocolli senza connessione Una chiave di sessione per un periodo di tempo fissato un per un numero fissato di pacchetti Numeri casuali Fondamentali per la crittografia Utilizzati per Schemi di autenticazione reciproca Generazione di chiavi crittografiche Difficili da generare Esempi di sorgenti naturali Generatori di rumori sorgenti radioattive condensatori non isolati Numeri casuali: caratteristiche Sequenza di numeri casuali Distribuzione uniforme Ogni numero possibile compare con la stessa frequenza Indipendenza Non è possibile determinare un numero sulla base degli altri numeri 6

7 Numeri pseudo-casuali: caratteristiche Sembrano casuali anche se non lo sono Sono generati da algoritmi deterministici, a partire da un valore iniziale (seme) Non deve essere possibile dire quale è il prossimo elemento della sequenza In una sequenza veramente casuale il numero successivo è indipendente dai precedenti Generazione pseudo-casuale X 0 valore iniziale o seme Generazione deterministica della sequenza X i+1 = f ( i, X 0 X 1 X i ) X 1 X 2 X 3 X 4 i = 0,1,2, Generazione pseudo-casuale Cifratura di un contatore j-bit Output feedback ANSI X9.17 7

8 [Lehmer 1951] Ad oggi la tecnica più usata per la generazione pseudo-casuale X i+1 (a X i + c) mod m X 0 seme X i+1 (a X i + c) mod m X 0 seme X i+1 (a X i + c) mod m a = 1 c = 1 X i+1 = X i + 1 mod m 8

9 X i+1 (a X i + c) mod m a = 7 c = 0 X i+1 = 7 X i mod 32 m = 32 7, 17, 23, 1, 7, 17, 23, X 0 = 1 periodo 4 a = 5 c = 0 X i+1 = 5 X i mod 32 m = 32 5, 25, 29, 17, 21, 9, 13, 1, X 0 = 1 periodo 8 m molto grande Massimo intero rappresentabile sul computer Tipicamente prossimo a 2 32 o 2 64 La scelta dei parametri Deve generare l intero periodo (tutti i numeri) La sequenza deve sembrare casuale Deve superare vari test di casualità Si dimostra che Se m è primo e c=0 il periodo è m-1 e solo 0 non viene generato (per alcuni valori di a) X i X i mod = originalmente usato nella famiglia IBM 360 [1969] Numero primo Conveniente per aritmetica a 32 bit Genera tutti i numeri 1,2,, Molto usato per simulazione e statistica 9

10 X i X i mod = originalmente usato nella famiglia IBM 360 [1969] Numero primo Conveniente per aritmetica a 32 bit Genera tutti i numeri 1,2,, Molto usato per simulazione e statistica Buono per scopi crittografici? X i X i mod = originalmente usato nella famiglia IBM 360 [1969] Numero primo Conveniente per aritmetica a 32 bit Se conoscessi un solo X i potrei calcolare tutti i valori precedenti e successivi! X i+1 (a X i + c) mod m Dati X 0, X 1, X 2, X 3 si possono calcolare a, c, m X 1 = (a X 0 + c) mod m X 2 = (a X 1 + c) mod m X 3 = (a X 2 + c) mod m 10

11 Cifratura di un contatore c valore iniziale c diversi X i diversi Cifratura di un contatore c valore iniziale c diversi X i diversi L input potrebbe a sua volta essere prodotto da un generatore j-bit Output feedback Si inizia cifrando IV 11

12 Generatore ANSI X9.17 Utilizza 3DES (EDE) 2 chiavi di 56 bit ciascuna Input: 2 numeri pseudocasuli La data e l ora rappresentati con 64 bit Un seme a 64 bit Ouput: Un numero pseudocasuale a 64 bit Un nuovo seme da usare per la generazione successiva Generatore ANSI X9.17 Generatore ANSI X9.17 Molto robusto Chiave a 112 bit 9 crittografie DES 2 input pseudocasuali (orologio e seme) Conoscendo X i non si può conoscere V i+1 A meno di rompere 3DES 12

13 Generatore crittograficamente forte Deve passare i seguenti test: Test del prossimo bit Test statistici I due test sono equivalenti Test del prossimo bit Dati i primi r bit dell output nessun algoritmo efficiente può predire l (r+1)-esimo bit con probabilità significativamente migliore di 1/2 Test statistici Nessun algoritmo efficiente distingue tra l output di un generatore ed una sequenza realmente casuale con probabilità significativamente migliore di 1/2 13

14 Cryptography and Network Security by W. Stallings (2005) cap. 7 14