Crittografia a chiave pubblica

Похожие документы
Crittografia a chiave pubblica

Firme digitali. Firma Digitale. Firma Digitale. Elementi di Crittografia Equivalente alla firma convenzionale

Crittografia a chiave pubblica

Crittografia a chiave pubblica

logaritmo discreto come funzione unidirezionale

Crittografia con Python

Crittografia per la sicurezza dei dati

Corso di Crittografia Prof. Dario Catalano. Cifrari Asimmetrici (Terza Parte): RSA-OAEP e Cifrari basati sull identita

Identificazione, Autenticazione e Firma Digitale. Firma digitale...

Corso di Crittografia Prof. Dario Catalano. Firme Digitali

Corso di Crittografia Prof. Dario Catalano. Cifrari Asimmetrici: Il cifrario Paillier

Protocollo di Yao. Secure Two-Party Computation. Prof. Paolo D Arco. Università degli Studi di Salerno

Privacy e firma digitale

Elementi di crittografia

crittografia a chiave pubblica

Converte una chiave di al più 14 word a 32 bit (K-array) in un array di 18 sottochiavi a 32 bit (P-array) Genera 4 S-box, ognuna con 256 word a 32 bit

Introduzione alla Crittografia Moderna

I Cifrari Perfetti. Alessio Nunzi Fabiola Genevois Federico Russo

RACCOLTA DI ALCUNI ESERCIZI TRATTI DA COMPITI D ESAME SUL SISTEMA CRITTOGRAFICO RSA

Crittografia: dagli antichi codici di Cesare ai protocolli avanzati

Introduzione alla crittografia. Diffie-Hellman e RSA

! La crittoanalisi è invece la scienza che cerca di aggirare o superare le protezioni crittografiche, accedendo alle informazioni protette

CRITTOGRAFIA: introduzione

Cifrari a blocchi. Esercizi con OpenSSL. Alfredo De Santis. Marzo Dipartimento di Informatica Università di Salerno

Funzioni di hash sicure: MD5 e SHA-1

Accordo su chiavi. (key agreement) Alfredo De Santis. Marzo Dipartimento di Informatica Università di Salerno

BLOWFISH. Introduzione Algoritmo. Prestazioni Cryptanalysis of Vaundenay. Egizio Raffaele

Capitolo 8 La sicurezza nelle reti

CRITTOGRAFIA 2014/15 Appello del 13 gennaio Nome: Cognome: Matricola:

Aspetti Crittografici nel Cloud Computing

Crittografia e sicurezza delle reti. Alberto Marchetti Spaccamela

Teoria dell informazione

Crittografia a chiave pubblica

Principi di crittografia Integrità dei messaggi Protocolli di autenticazione Sicurezza nella pila di protocolli di Internet: PGP, SSL, IPSec

SSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer

Crittografia con Python

Laboratorio di Crittografia I - PGP/GPG

FIRMA ELETTRONICA. Il sistema di garanzia è stato individuato nella crittografia in quanto è in grado di assicurare:

Appello di Fondamenti di Informatica 12/09/2017

idea della crittografia a chiave pubblica

Il cifrario di Vigenère. Bizzoni Stefano De Persiis Angela Freddi Giordana

Sicurezza nelle applicazioni multimediali: lezione 4, crittografia asimmetrica. Crittografia asimmetrica (a chiave pubblica)

Aritmetica modulare, numeri primi e crittografia

RSA in OpenSSL. Alfredo De Santis. Marzo Dipartimento di Informatica Università di Salerno.

Introduzione alla crittografia. Il crittosistema RSA e la sua sicurezza

Esercitazione 2 Certificati

Crittografia e Protocolli di Sicurezza

Ordinamenti per confronto: albero di decisione

Rappresentazioni ottale ed esadecimale Barbara Masucci

metodi crittografici maurizio pizzonia sicurezza dei sistemi informatici e delle reti

RC4 RC4. Davide Cerri. Davide Cerri CEFRIEL - Politecnico di Milano cerri@cefriel.it

Complementi ed Esercizi di Informatica Teorica II

Domande di verifica su crittografia e Firma Digitale Esercitazione 15 Novembre per esame 2014 IC DAC 1 / 15

Транскрипт:

Crittografia a chiave pubblica Barbara Masucci Dipartimento di Informatica Università di Salerno bmasucci@unisa.it http://www.di.unisa.it/professori/masucci Sicurezza CCA In un attacco CCA, è capace di ottenere la decifratura di cifrati (usando pk) di sua scelta Equivale all accesso ad un oracolo di decifratura Dec sk () Su input un cifrato c (query), l oracolo restituisce Dec sk (c) può accedere all oracolo quante volte vuole 1 Sicurezza CCA: Scenario 1 Alice fa login alla sua banca Invia c=enc pk-banca (pwd) La banca controlla se pwd corrisponde con quella memorizzata Se non è corretta, risponde Pwd scorretta monta un attacco CCA Invia un cifrato modificato c alla banca e vede che risposta ottiene In alcuni casi queste info possono consentirgli di determinare la pwd di Alice 2 1

Sicurezza CCA: Scenario 2 Alice manda una email cifrata a Bob Invia c=enc pk-bob (m) monta un attacco CCA Invia, a suo nome, una email cifrata modificata c a Bob Bob potrebbe rispondergli, quotando la decifratura m di c Bob agisce come un oracolo di decifratura per 3 Sicurezza CCA: Scenario 3 Bob fa un asta pubblica su un bene Alice invia la sua offerta c=enc pk-bob (m) Se lo schema di cifratura usato è malleabile (data la cifratura c di un messaggio ignoto m, è possibile calcolare la cifratura c di un messaggio m legato ad m), può vincere l asta Pur non conoscendo m, calcola c =Enc pk-bob (2m) e la invia a Bob 4 Esperimento PubK,Π cca (n) (pk,sk)ßgen(1 n ) Su input pk ed accesso all oracolo Dec sk (), dà in output due messaggi m 0,m 1 di ugual lunghezza Sia b un bit scelto a caso e cßenc pk (m b ) continua ad accedere a Dec sk (), a cui può fare qualsiasi query tranne c Su input (pk,c), dà in output un bit b L output dell esperimento è 1 se b =b 0 altrimenti 5 2

Sicurezza CCA ha successo se l output di PubK,Π cca (n) è 1 -determina quale dei due messaggi è stato cifrato Il vantaggio di è definito come Adv,Π PubK,cca (n) = Pr[PubK,Π cca (n) = 1]-1/2 6 Sicurezza CCA Lo schema Π=(Gen, Enc, Dec) è CCA-sicuro se per ogni avversario polinomiale esiste una funzione trascurabile negl tale che Adv,Π PubK,cca (n) negl(n) 7 Sicurezza CCA e cifrature multiple Se Π=(Gen, Enc, Dec) è CCA-sicuro allora fornisce cifrature multiple indistinguibili (rispetto a un attacco CCA) 8 3

Sicurezza CCA e non malleabilità Se Π=(Gen, Enc, Dec) è non malleabile allora è CCA-sicuro 9 Cifrari ibridi Utilizzano cifratura a chiave pubblica e cifratura simmetrica Sfruttano i vantaggi di entrambe le tecnologie Chiavi private mai trasmesse in chiaro Efficienza 10 chiave privata sk Cifrari ibridi file pubblico utente chiave pubblica Alice pk Alice canale insicuro C 1 C 2 Cifratura di m per Alice k genera chiave sessione C 1 CIFRA (pk, k) C 2 E (k, m) Bob 11 4

Cifrari ibridi chiave privata sk file pubblico utente chiave pubblica Alice pk Decifratura di C 1,C 2 k DECIFRA (sk, C 1 ) m D (k, C 2 ) Alice C 1,C 2 12 Key Encapsulation Mechanism (KEM) E una tripla di algoritmi ppt (Gen, Encaps, Decaps): Gen: algoritmo di generazione delle chiavi (pk,sk) ß Gen (1 n ) Encaps: algoritmo di incapsulamento (c,k) ß Encaps pk (1 n ), k {0,1} l(n) (con l(n) lungh. chiave) Decaps: algoritmo di decapsulamento (deterministico) k ß Decaps sk (c) Correttezza: Se (c,k) ß Encaps pk (1 n ), allora Decaps sk (c) = k 13 Cifrari ibridi con KEM chiave privata sk file pubblico utente chiave pubblica Alice pk Alice canale insicuro C 1 C 2 Cifratura di m per Alice (C 1, k) ENCAPS (pk, 1 n ) C 2 E (k, m) Bob 14 5

Cifrari ibridi con KEM chiave privata sk file pubblico utente chiave pubblica Alice pk Decifratura di C 1,C 2 k DECAPS (sk, C 1 ) m D (k, C 2 ) Alice C 1,C 2 15 Cifrari ibridi con KEM: Sicurezza Dipende dalle proprietà delle componenti usate KEM Cifratura simmetrica Vedremo varie definizioni per un KEM Sicurezza rispetto a Chosen Plaintext Attack (CPA) Sicurezza rispetto a Chosen Ciphertext Attack (CCA) 16 KEM: Sicurezza CPA Siano Π=(Gen, Encaps, Decaps) uno schema KEM un avversario passivo che intercetta un singolo testo cifrato ottenuto con Encaps Definiamo l esperimento KEM,Π cpa (n) 17 6

Esperimento KEM,Π cpa (n) (pk,sk)ßgen(1 n ) (c,k)ßencaps pk (1 n ), k {0,1} n Sia b un bit scelto a caso Se b=0, sia k =k Se b=1, sia k {0,1} n scelta a caso uniformemente Ø Su input (pk,c, k ), dà in output un bit b Ø L output dell esperimento è Ø 1 se b =b Ø 0 altrimenti 18 KEM: Sicurezza CPA ha successo se l output di KEM,Π cpa (n) è 1 -determina se k è la chiave reale o una chiave casuale Il vantaggio di è definito come Adv,Π KEM,cpa (n) = Pr[KEM,Π cpa (n) = 1]-1/2 19 KEM: Sicurezza CPA Lo schema Π=(Gen, Encaps, Decaps) è CPA-sicuro se per ogni avversario polinomiale esiste una funzione trascurabile negl tale che Adv,Π KEM,cpa (n) negl(n) 20 7

Cifrari ibridi con KEM: Sicurezza Teorema 11.12 Se Π è uno schema KEM CPA-sicuro e Π è uno schema di cifratura simmetrico EAV-sicuro allora lo schema ibrido risultante Π hy è CPA-sicuro 21 Dato che Π=(Gen, Encaps, Decaps) è uno schema KEM CPA-sicuro, le due distribuzioni (pk, Encaps (1) pk(1 n ), Encaps (2) pk(1 n )) e (pk, Encaps (1) pk(1 n ), k ) sono indistinguibili 22 Dato che Π =(Gen,Enc,Dec ) è uno schema di cifratura simmetrico EAV-sicuro, le due distribuzioni Enc k (m 0 ) Enc k (m 1 ) sono indistinguibili 23 8

Mostriamo che lo schema ibrido Π hy è EAV-sicuro cioè che le due distribuzioni (pk, Encaps (1) pk (1n ), Enc k (m 0 )) e (pk, Encaps (1) pk (1n ), Enc k (m 1 )) sono indistinguibili Di conseguenza, Π hy è anche CPA-sicuro 24 La prova che le due distribuzioni (pk, Encaps (1) pk(1 n ), Enc k (m 0 )) e (pk, Encaps (1) pk(1 n ), Enc k (m 1 )) sono indistinguibili funziona in tre passi, usando due distribuzioni intermedie 25 Passo 1: Mostrare che le due distribuzioni (pk, Encaps (1) pk (1n ), Enc k (m 0 )) (pk, Encaps (1) pk (1n ), Enc k (m 0 )) sono indistinguibili (k output di Encaps (2) pk (1n ), k scelta a caso uniformemente) (segue dal fatto che Π è CPA-sicuro) 26 9

Passo 2: Mostrare che le due distribuzioni (pk, Encaps (1) pk (1n ), Enc k (m 0 )) (pk, Encaps (1) pk (1n ), Enc k (m 1 )) sono indistinguibili (k scelta a caso uniformemente) (segue dal fatto che Π è EAV-sicuro) 27 Passo 3: Mostrare che le due distribuzioni (pk, Encaps (1) pk(1 n ), Enc k (m 1 )) (pk, Encaps (1) pk(1 n ), Enc k (m 1 )) sono indistinguibili (k output di Encaps (2) pk(1 n ), k scelta a caso uniformemente) (segue dal fatto che Π è CPA-sicuro) 28 Per transitività, le due distribuzioni (pk, Encaps (1) pk (1n ), Enc k (m 0 )) e (pk, Encaps (1) pk (1n ), Enc k (m 1 )) sono indistinguibili Π hy è EAV-sicuro e quindi CPA-sicuro 29 10

Cifrari ibridi con KEM: Sicurezza Indipendentemente dalle proprietà di sicurezza dello schema KEM, se Π è uno schema di cifratura simmetrico non CPA-sicuro allora lo schema ibrido risultante non è CPA-sicuro 30 KEM: Sicurezza CCA In un attacco CCA, è capace di ottenere il decapsulamento di cifrati di sua scelta Equivale all accesso ad un oracolo di decapsulamento Decaps sk () Su input un cifrato c (query), l oracolo restituisce Decaps sk (c) può accedere all oracolo quante volte vuole 31 Esperimento KEM,Π cca (n) (pk,sk)ßgen(1 n ) (c,k)ßencaps pk (1 n ), k {0,1} n Sia b un bit scelto a caso Se b=0, sia k =k Se b=1, sia k {0,1} n scelta a caso uniformemente Su input (pk,c, k ) ed accesso all oracolo Decaps sk () (a cui può fare qualsiasi query, tranne c), dà in output un bit b L output dell esperimento è 1 se b =b 0 altrimenti 32 11

KEM: Sicurezza CCA ha successo se l output di KEM,Π cca (n) è 1 -determina se k è la chiave reale o una chiave casuale Il vantaggio di è definito come Adv,Π KEM,cca (n) = Pr[KEM,Π cca (n) = 1]-1/2 33 KEM: Sicurezza CCA Lo schema Π=(Gen, Encaps, Decaps) è CCA-sicuro se per ogni avversario polinomiale esiste una funzione trascurabile negl tale che Adv,Π KEM,cca (n) negl(n) 34 Cifrari ibridi con KEM: Sicurezza Teorema 11.14 Se Π è uno schema KEM CCA-sicuro e Π è uno schema di cifratura simmetrico CCA-sicuro allora lo schema ibrido risultante è CCA-sicuro 35 12

Bibliografia Introduction to Modern Cryptography by J. Katz e Y. Lindell (2nd ed.) cap. 11 (11.2.3, 11.3, 11.3.1, 11.3.2) 36 13

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back