Introduzione alla crittografia. Diffie-Hellman e RSA

Documenti analoghi
Introduzione alla crittografia. Il crittosistema RSA e la sua sicurezza

(G, ) un gruppo moltiplicativo di ordine n l ordine di un elemento g G, o(g), è il minimo intero positivo m tale che g m = 1

Crittografia a chiave pubblica

Elementi di Algebra e di Matematica Discreta Cenno di un applicazione alla crittografia

CRITTOGRAFIA 2014/15 Appello del 13 gennaio Nome: Cognome: Matricola:

Crittografia con Python

DIARIO DEL CORSO DI TEORIA DEI NUMERI E CRITTOGRAFIA. (41 ore complessive di lezione)

Introduzione alla Crittografia

CRITTOGRAFIA E NUMERI PRIMI TFA A059 ANNA NOBILI OTTAVIANO ROSI

La crittografia moderna e la sua applicazione

Firma digitale e PEC: aspetti crittografici e sicurezza

Crittografia a chiave pubblica

una possibile funzione unidirezionale

Elementi di Algebra e di Matematica Discreta Numeri interi, divisibilità, numerazione in base n

Sicurezza nelle applicazioni multimediali: lezione 4, crittografia asimmetrica. Crittografia asimmetrica (a chiave pubblica)

Aspetti crittografici dell online banking

CRITTOGRAFIA: introduzione

A.A CORSO DI ALGEBRA 1. PROFF. P. PIAZZA, E. SPINELLI. SOLUZIONE ESERCIZI FOGLIO 5.

Aritmetica modulare, numeri primi e crittografia

Università del Piemonte Orientale

Esercizi sull uso della crittologia a chiave asimmetrica o PKI (Public Key Infrastructured)

Crittografia a chiave pubblica

Piccolo teorema di Fermat

DIARIO DEL CORSO DI ALGEBRA A.A. 2010/11 DOCENTE: ANDREA CARANTI

4 0 = 4 2 = 4 4 = 4 6 = 0.

Cifratura a chiave pubblica Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009

Corso di Crittografia Prof. Dario Catalano. Firme Digitali

Corso di Crittografia Prof. Dario Catalano. Cifrari Asimmetrici: Il cifrario Paillier

NUMERI E CRITTOGRAFIA. Carlo Toffalori (Camerino) Scuola Estiva Mathesis Telese Terme, 28 luglio 2015

I Cifrari Perfetti. Alessio Nunzi Fabiola Genevois Federico Russo

Crittografia: dagli antichi codici di Cesare ai protocolli avanzati

Precorso di Matematica

Accordo su chiavi. (key agreement) Alfredo De Santis. Marzo Dipartimento di Informatica Università di Salerno

2 - Le successioni per ricorrenza

Matematica Discreta e Algebra Lineare (per Informatica)

la crittografia tratta delle "scritture nascoste", dei metodi per rendere un messaggio "offuscato"

M.P. Cavaliere ELEMENTI DI MATEMATICA E LOGICA MATEMATICA DISCRETA STRUTTURE ALGEBRICHE

E necessaria la chiave segreta? RSA. Funzioni One-way con Trapdoor. Un secondo protocollo

Metodo dei minimi quadrati e matrice pseudoinversa

II Esonero di Matematica Discreta - a.a. 06/07. Versione B

Un po di teoria dei numeri

RACCOLTA DI ALCUNI ESERCIZI TRATTI DA COMPITI D ESAME SUL SISTEMA CRITTOGRAFICO RSA

Protocollo di Yao. Secure Two-Party Computation. Prof. Paolo D Arco. Università degli Studi di Salerno

623 = , 413 = , 210 = , 203 =

Lezione 4. Problemi trattabili e soluzioni sempre più efficienti. Gianluca Rossi

! La crittoanalisi è invece la scienza che cerca di aggirare o superare le protezioni crittografiche, accedendo alle informazioni protette

Corso di Analisi Matematica Limiti di funzioni

Crittografia a chiave pubblica

Ancora sui criteri di divisibilità di Marco Bono

Crittografia da Whatsapp a Wikileakes, tra spie e segreti di stato

La crittografia a curve elittiche e applicazioni

APPUNTI DI ALGEBRA 1

Aritmetica modulare: un applicazione alla crittografia

A Analisi Matematica 1 (Corso di Laurea in Informatica e Bioinformatica) Simulazione compito d esame

ESPONENZIALI E LOGARITMI. chiameremo logaritmica (e si legge il logaritmo in base a di c è uguale a b ).

Fattorizzazione di interi e crittografia

Sviluppi e derivate delle funzioni elementari

Il nano sulle spalle del gigante

SISTEMI LINEARI. x y + 2t = 0 2x + y + z t = 0 x z t = 0 ; S 3 : ; S 5x 2y z = 1 4x 7y = 3

Aspetti Crittografici nel Cloud Computing

POLITECNICO DI BARI CORSO DI LAUREA MAGISTRALE IN INGEGNERIA ELETTRONICA

Crittografia e sicurezza delle reti

Corso di Informatica Generale (C. L. Economia e Commercio) Ing. Valerio Lacagnina Rappresentazione dei numeri relativi

Introduzione. Crittografia: definizione, obiettivi, funzioni e strumenti. Crittografia e sicurezza, contesti applicativi

La codifica digitale

153. Dai Numeri Primi alla Crittografia

Programma di Algebra 1

Corso di Matematica per la Chimica

1 Primitive e integrali indefiniti

1 Il polinomio minimo.

Calcolatori: Sistemi di Numerazione

Esercitazione di Calcolo Numerico 1 22 Aprile Determinare la fattorizzazione LU della matrice a 1 1 A = 3a 2 a 2a a a 2 A =

Disequazioni esponenziali e logaritmiche

NUMERI PRIMI E TEORMA FONDAMENTALE DELL ARITMETICA Definizione 1. Sia p Z, p ±1. Si dice che p è primo se

z =[a 4 a 3 a 2 a 1 a 0 ] 10

FIRMA ELETTRONICA. Il sistema di garanzia è stato individuato nella crittografia in quanto è in grado di assicurare:

Crittografia a chiave pubblica - Un invito a RSA

Calcolo integrale. Regole di integrazione

MATEMATICA DI BASE 1

Giuseppe Accascina. Note del corso di Geometria e Algebra

m = a k n k + + a 1 n + a 0 Tale scrittura si chiama rappresentazione del numero m in base n e si indica

Transcript:

Introduzione alla crittografia. Diffie-Hellman e RSA Daniele Giovannini Torino 2011, Crittografia a chiave pubblica: oltre RSA Università degli Studi di Trento, Lab di Matematica Industriale e Crittografia 13 maggio 2011

1 Introduzione 2 Il Logaritmo Discreto 3 L algoritmo RSA

1.INTRODUZIONE

Introduzione CRITTOGRAFIA = scienza/arte delle scritture segrete Obiettivo: consentire a due utenti di comunicare su un canale potenzialmente insicuro, senza permettere a una terza persona di comprendere il contenuto dei messaggi Alice Bob

Alcune definizioni... testo in chiaro > Sistema di cifratura: M = insieme di messaggi; C = insieme di testi cifrati; K = insieme di chiavi; ad ogni chiave K sono associate due funzioni: una che cifra (e K ) e una che decifra (d K ).

Due categorie di cifrari A CHIAVE PRIVATA (o SIMMETRICA) A CHIAVE PUBBLICA (o ASIMMETRICA)

Due categorie di cifrari Cifrari a CHIAVE PRIVATA un unica chiave privata K, sia per l operazione di cifratura che per quella di decifratura solo e conoscono K ( e K e d K ) è necessario che prima Alice e Bob scelgano K, utilizzando un canale sicuro ci sono 2 tipi di cifrari a chiave simmetrica: i Block Ciphers, generalmente più sicuri ma pesanti, e gli Stream Ciphers, meno pesanti ma più insicuri

Cifrari a CHIAVE PRIVATA L insieme dei messaggi da trasmettere M = F n, dove F = {0,1} Possiamo pensarlo come l insieme delle stringhe binarie lunghe n. Una funzione di crittazione è una mappa f : M M (bigettiva) che trasforma plaintext in ciphertext, in modo che a ciascun plaintext corrisponda un solo ciphertext e viceversa. F n F n

Cifrari a CHIAVE PRIVATA Un cifrario a blocchi, ϕ, è un insieme di funzioni di crittazione {ϕ K } K K Sym(M) dove ogni chiave K nello spazio delle chiavi K definisce l azione di una funzione di crittazione. ATTENZIONE: sappiamo calcolare ma non sappiamo ϕ K. x ϕ K (x)

Solitamente K = F k. Cifrari a CHIAVE PRIVATA Un buon cifrario non deve permettere di capire ϕ K da {(x,ϕ K (x)} x X per un piccolo X M. Tantomeno deve permettere di capire K. F n F n X

Cifrari a CHIAVE PRIVATA In particolare, l azione del cifrario deve apparire completamente casuale ad un osservatore esterno. 1 m 2? 3??......... Quindi l unico modo per rompere un cifrario ideale è provare tutte le chiavi ( brute force ), che costa 2 k cifrature elementari. La sicurezza di un cifrario qualunque si rapporta a quella di un cifrario ideale. Useremo k per confronto (per il caso ideale k=k, in generale k k)

Cifrari a CHIAVE PRIVATA Esempio Prendiamo un cifrario a blocchi in cui M = F 50 2 e K = F50 2. Quindi k = n = 50. Ovvero: k = 50 Sia K K la chiave segreta della funzione di crittazione: ϕ K : M M. Se questa funzione è lineare, allora ci bastano 50 crittazioni per poter ricostruire la funzione di crittazione. In questo caso: k = log 2 50 6

Due categorie di cifrari Cifrari a CHIAVE PUBBLICA Alice sceglie una chiave pubblica K p,a Bob sceglie una chiave pubblica K p,b Associata a ciascuna chiave pubblica, ci sono due chiavi private K s,a e K s,b con le chiavi pubbliche si cifra il messaggio, e Kp,a e e Kp,b ; con quelle private invece si decifra d Ks,a e d Ks,b

Due categorie di cifrari Cifrari a CHIAVE PUBBLICA (scambio di chiavi) I cifrari a chiave pubblica non hanno bisogno di un canale sicuro, come in quelli simmetrici. Quindi possono essere usati per scambiare o negoziare una chiave segreta K da usare nei cifrari a chiave privata.

Confronto fra Cifrari Cifrari a Chiave Privata: richiedono un canale sicuro per la comunicazione della chiave sono computazionalmente più leggeri anche quando si tiene alto il livello di sicurezza Cifrari a Chiave Pubblica: non serve un canale sicuro sono computazionalmente più pesanti in quanto devono fare uno sforzo maggiore di quelli simmetrici

In questa presentazione vedremo alcuni cifrari a chiave pubblica, la cui robustezza e sicurezza sfrutta le difficoltà di: calcolare il logaritmo discreto fattorizzare un numero intero

1. Crittografia con il LOGARITMO DISCRETO

Che cosa è il Logaritmo Discreto Il logaritmo discreto è in algebra astratta il corrispettivo del logaritmo logx (e logx = x). In maniera più rigorosa: Definizione Sia G un gruppo ciclico con N elementi. Sia g G tale che ogni elemento b G può essere scritto nella forma b = g h per un certo intero h. Chiamiamo h il logaritmo discreto di b, ovvero log g b.

Che cosa è il Logaritmo Discreto Dato un gruppo finito, anche non abeliano, ogni suo elemento g genera un gruppo ciclico finito G. Dato G, calcolare il logaritmo discreto di un suo elemento rispetto a g non è una cosa semplice. Questo è il motivo per cui è usato in Crittografia. Un metodo per calcolarlo, sarebbe la ricerca esaustiva, che però richiede un tempo di calcolo lineare rispetto a N e quindi esponenziale rispetto a n = log 2 N (il numero di cifre di N).

Calcolare il Logaritmo Discreto Alcuni metodi per il calcolo del logaritmo discreto su un gruppo qualunque: Baby-step Giant-step algoritmo ρ di Pollard algoritmo di Pohlig-Hellman... I primi due si applicano sempre ma hanno complessità esponenziale in n.

L Algoritmo Diffie-Hellman (DH) L algoritmo è particolarmente adatto per scambiarsi una chiave segreta attraverso un canale non sicuro. Alice e Bob vogliono negoziare una chiave segreta. Innanzitutto Alice sceglie un primo N e un intero g tale che 1 < g < N. (N,g) è la chiave pubblica K p,a.

Alice sceglie un numero segreto a e trasmette g a a Bob: A=g a Bob sceglie un numero segreto b e trasmette g b ad Alice: B=g b A questo punto Alice calcola B a = g a b ; Bob calcola A b = g a b. Quindi hanno ottenuto la stessa chiave segreta K s = g a b.

L Algoritmo Diffie-Hellman (DH) Se si riesce a risolvere il problema del logaritmo discreto (DLP), è anche possibile attaccare questo crittosistema. Infatti ad un attaccante basta calcolare il logaritmo di A o B per poi ricostruire la chiave segreta g a b. Risolvere DLP Attaccare DH Il viceversa non è noto: Attaccare DH Risolvere DLP? non sono noti al giorno d oggi algoritmi che risolvono DH senza calcolare il logaritmo discreto.

L Algoritmo Diffie-Hellman (DH) Esempio La chiave pubblica è data da N = 13 e g = 2. Questa è nota non solo ad Alice e a Bob, ma a qualunque terza parte in ascolto. Alice sceglie a = 5 che mantiene segreto, Bob sceglie b = 7 che mantiene segreto. A=g a =6 B=g b =11 Alice calcola la chiave segreta K s = g a b = B a = 11 5 7 mod 13. Bob calcola la chiave segreta K s = g a b = A b = 6 7 7 mod 13.

L Algoritmo El Gamal Questo è un altro crittosistema sempre basato sul logaritmo discreto. Il messaggio m che Alice vuole trasmettere a Bob è un numero compreso tra 0 e N, con N primo noto. Bob genera la chiave pubblica, prendendo g tale che 1 < g < N e un numero intero a segreto, 1 < a < N. Calcola β = g a e trasmette la chiave pubblica (β,g) ad Alice. (β,g)

L Algoritmo El Gamal Alice sceglie un intero segreto h, con 0 < h < N e critta m nel seguente modo: g h γ mod N mβ h δ mod N (γ,δ) Per decifrare il messaggio, ora Bob calcola: γ a δ g ah mβ h g ah mg ah m mod N

Esempio L Algoritmo El Gamal Riprendendo l esempio di DH, scegliamo N = 13. Bob sceglie g = 2 e a = 5 e trasmette la chiave pubblica ad Alice (β,g) = (g a,g) = (6,2). Alice vuole trasmettere il messaggio m = 9. Alice sceglie h = 7 e calcola: (g h,mβ h ) = (γ,δ) (11,7) mod N Bob decifra calcolando: (11,7) γ a δ 11 5 9 6 7 9 mod 13

Crittosistemi basati sul Logaritmo Discreto Abbiamo visto come funzionano DH e El Gamal sugli interi modulo un primo N. In realtà, per poter usare questi crittosistemi è sufficiente avere un qualsiasi gruppo finito e ciclico. Possiamo allora usare il logaritmo discreto in: 1 Crittografia su Campi Finiti F q 2 Crittografia con Curve Ellittiche (ECC) 3 Crittografia su Curve Iperellittiche (HCC) ECC e HCC verranno trattati nelle successive slide.

Crittografia su Campi Finiti F q Per costruire un crittosistema che sfrutta il DLP possiamo utilizzare un qualsiasi campo finito F q, dove q = p m, p primo e m intero positivo. Se togliamo lo 0 a F q otteniamo un gruppo finito F q, che è ciclico grazie al Teorema dell elemento primitivo. Allora in questo caso la chiave pubblica dell algoritmo è data da q e g che genera F q.

Crittografia su Campi Finiti F q Per costruire un campo finito con p m elementi, possiamo considerare l insieme dei polinomi a coefficienti in Z p = {1, 2, 3,..., p 1} e prendere i resti della divisione per f(x), polinomio irriducibile di grado m. F q = Z p [x]/f(x) = {h(x) Z p [x] degh(x) < m} (F q \{0}, ) è un gruppo moltiplicativo finito e ciclico su cui possiamo sfruttare le difficoltà di calcolo del logaritmo discreto.

Crittografia su Campi Finiti F q I più veloci algoritmi per calcolare il logaritmo discreto su un campo finito sono quelli di tipo index calculus, che sono subesponenziali in n. In particolare: 1 algoritmo di Coppersmith, se siamo su F 2 m con 2 m fino a 2 613 (n = m) 2 NFS (number fields sieve), se siamo su F p, con p primo minore di 2 530 (n = log 2 (p)) 3 FFS (function fields sieve), se siamo su un generico campo finito con p m elementi, con p piccolo e p m dell ordine minore di 2 673 (n = m)

2. L ALGORITMO RSA

L algoritmo RSA L RSA è un cifrario a chiave pubblica che permette di cifrare un messaggio sfruttando alcune proprietà elementari dei numeri primi. Questo cifrario prende il nome dalle iniziali dei matematici che nel 1976 lo crearono: Rivest, Shamir e Adleman. La loro idea fu quella di sfruttare la difficoltà di fattorizzare un numero intero. Di fatti la chiave pubblica è un numero N ottenuto moltiplicando due numeri primi molto grandi che restano segreti.

Descrizione di RSA Per capire come funziona l RSA abbiamo bisogno innanzitutto di due risultati dovuti a Eulero e Fermat. Definizione (Funzione di Eulero ϕ) La funzione di Eulero associa a un intero N il numero degli interi primi con N e minori di N (compreso 1). ϕ(n) = {m N gcd(n,m) = 1, 1 m < N}

Descrizione di RSA Teorema (Teorema di Fermat-Eulero) Dati due interi qualsiasi N e m, con gcd(n,m) = 1: m ϕ(n) 1 mod (N) Corollario (Piccolo Teorema di Fermat) Se N è primo e m tale che 1 < m < N: m N 1 1 mod (N)

Descrizione di RSA Possiamo così passare a descrivere il cifrario. Alice vuole trasmettere il messagio m a Bob. Bob deve creare una chiave pubblica K p,b = (N,e) ed una privata K s,b = (N,d) stando attento a non divulgare d Bob trasmette (N,e) ad Alice

Descrizione di RSA Come crea Bob la chiave pubblica e privata? Bob sceglie due numeri primi p e q, p q, molto grandi e li moltiplica N = p q. Quindi ϕ(n) = (p 1)(q 1) Bob sceglie un numero e, coprimo con ϕ(n) e 3 < e < ϕ(n) Bob calcola d tale che e d 1 mod (p 1) (q 1) d è l inverso moltiplicativo di e solo Bob pubblica conosce la chiave segreta (N,d) mentre (N,e) è

Descrizione di RSA Come avviene la cifratura e decifratura? Alice calcola c = m e mod N, scegliendo m coprimo con N Alice trasmette c a Bob Bob riceve c e lo decritta calcolando: c d m mod N Infatti: c d m e d m 1+h ϕ(n) m 1 (m ϕ(n) ) h m mod N (N,e) c

Descrizione di RSA La forza di questo algoritmo sta nel fatto che calcolare d, conoscendo la chiave (N, e), è un problema difficile. Questo non esclude che ci sia un modo semplice di calcolarlo, ma al momento non si conosce. Nella sezione relativa alla sicurezza di RSA approfondiremo quest aspetto.

Attacchi ad RSA Come si può ricavare la chiave privata da quella pubblica? Apparentemente ci sono 3 alternative: 1 fattorizzare N 2 calcolare ϕ(n) 3 ricavare il valore d direttamente dalla chiave pubblica (N, e) Si può facilmente dimostrare che questi tre metodi sono equivalenti: (1) (2) (3)

Descrizione di RSA Esempio Bob sceglie p = 3 e q = 11. Allora N = p q = 33 e ϕ(n) = 20. Bob sceglie e = 7 che è coprimo con 20 e calcola d tale che d e 1 mod ϕ(n), ovvero d = 3. La chiave pubblica è (33,7), quella privata (33,3). Se Alice vuole trasmettere il messaggio m = 17: A questo punto Bob calcola: c=m e 17 7 8 c d (17 7 ) 3 17 21 17 1+20 17 m mod 33

Grazie per l attenzione

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back