Digital Signature Standard

Documenti analoghi
Digital Signature Standard. Corso di Sicurezza A.A. 2006/2007 Luca Palumbo

schema di firma definizione formale

Firme digitali. Firma Digitale. Firma Digitale. Firma Digitale. Equivalente alla firma convenzionale. Equivalente alla firma convenzionale

Introduzione alla FIRMA DIGITALE

logaritmo discreto come funzione unidirezionale

Firme digitali. Firma Digitale. Firma Digitale. Corso di Sicurezza su Reti Lezione del 17 novembre Equivalente alla firma convenzionale

Firme digitali. Firma Digitale. Firma Digitale. Elementi di Crittografia Equivalente alla firma convenzionale

M firma. M firma. Firma Digitale. Firma Digitale. Firma digitale. Firma digitale. Firma Digitale. Equivalente alla firma convenzionale

Cifrari asimmetrici. Cifratura. Cifratura. Crittosistema ElGamal. file pubblico utente chiave pubblica. Alice. file pubblico utente chiave pubblica

Corso di Crittografia Prof. Dario Catalano. Firme Digitali

Crittografia a chiave pubblica

Cifratura Asimmetrica

Accordo su chiavi (key agreement)

Crittografia a chiave pubblica

La firma digitale, o firma elettronica qualificata, basata sulla tecnologia della crittografia a chiavi asimmetriche, è un sistema di autenticazione d

LA CONSERVAZIONE SOSTITUTIVA. Erica Manzano - Udine, 17 maggio 2010

Identificazione, Autenticazione e Firma Digitale. Firma digitale...

!"### "$ " Applicazioni. Autenticità del messaggio M Integrità del messaggio M. Stelvio Cimato DTI Università di Milano, Polo di Crema

idea della crittografia a chiave pubblica

Funzioni di hash sicure: MD5 e SHA-1

Quando si inviano pacchetti da firewall a firewall si introduce un nuovo IP header. E necessario?

Crittografia a chiave pubblica

sia G un gruppo ciclico di ordine n, sia g un generatore di G

Firma elettronica, Certificati, Timestamps

Generatori. Accordo su una chiave. Diffie-Hellman [1976] Diffie-Hellman [1976] Diffie-Hellman [1976] Potenze in Z 19. iagio nnarella. nnarella.

Sicurezza nelle reti: protezione della comunicazione

da chi proviene un messaggio?

CRITTOGRAFIA 2014/15 Appello del 13 gennaio Nome: Cognome: Matricola:

maurizio pizzonia sicurezza dei sistemi informatici e delle reti. metodi crittografici

Crittografia per la sicurezza dei dati

Parte prima Cifrature asimmetriche 21

(G, ) un gruppo moltiplicativo di ordine n l ordine di un elemento g G, o(g), è il minimo intero positivo m tale che g m = 1

La crittografia al servizio delle telecomunicazioni NC PHONE. Created by

Privacy e firma digitale

Protocolli di Rete. Sabrina De Capitani di Vimercati. DEA - Università di Brescia. c Sabrina De Capitani di Vimercati p.

Sicurezza. Ingegneria del Software e sicurezza. Alice, Bob, e Trudy. Sicurezza non si caratterizza in modo semplice

La firma digitale e la posta elettronica certificata

Dicembre La Firma Digitale

Crittografia: Servizi richiesti

La crittografia moderna e la sua applicazione

Applicazioni. Cosa si intende per sicurezza di uno schema di un MAC? Dobbiamo definire. Autenticità del messaggio M Integrità del messaggio M

FIRMA ELETTRONICA. Il sistema di garanzia è stato individuato nella crittografia in quanto è in grado di assicurare:

idea della crittografia a chiave pubblica

Elementi di Sicurezza e Privatezza Lezione 20 PGP cont d - Esercizi

Message Authentication Code

Robustezza crittografica della PEC

Crittografia a chiave pubblica

Privacy e Firma Elettronica nell ambito del Fascicolo Sanitario Elettronico di Massimo Farina

Bibliografia. Berardi, L., Beutelspacher, A., Crittologia, Franco Angeli, Milano, 1996.

La funzione Hash. Garanzia dell integrità dei dati e autenticazione dei messaggi

Generatori di sequenze pseudocasuali. Manuela Aprile Maria Chiara Fumi

Ripasso. Public Key cryptograhy. Message Authentication Codes (MAC) Firma digitale

RETI DI CALCOLATORI. Crittografia. La crittografia

crittografia a chiave pubblica

Reti di Calcolatori. Crittografia & Java Cryptographic Architecture (JCA) A.A. 2010/2011 Reti di Calcolatori 1 (Es. 6)

RSA. Chiavi RSA. Firma Digitale. Firma Digitale. Firma Digitale. Desiderata per la Firma Digitale. Corso di Sicurezza su Reti 1

Firme digitali. Firma Digitale. Firma Digitale. Firma Digitale. Equivalente alla firma convenzionale. Equivalente alla firma convenzionale

Crittografia con Python

CRITTOGRAFIA: introduzione

ITC Mossotti - Novara. Verica di Informatica. Nome e Cognome:... 1) Nella cifratura convenzionale. 2) Nella crittograa a chiave pubblica

Corso di Crittografia Prof. Dario Catalano. Cifrari Asimmetrici (Terza Parte): RSA-OAEP e Cifrari basati sull identita

Corso di Sicurezza nelle reti a.a. 2009/2010. Raccolta di alcuni quesiti del corso da 5CFU e prima parte del corso da 9CFU

Capitolo 8 La sicurezza nelle reti

metodi crittografici maurizio pizzonia sicurezza dei sistemi informatici e delle reti

POLITECNICO DI BARI CORSO DI LAUREA MAGISTRALE IN INGEGNERIA ELETTRONICA

Generatori di Z p. Accordo su una chiave. Diffie-Hellman [1976] Accordo su chiavi ?? K. Potenze in Z 19 26/05/2005. Vedremo due schemi: Esempio: * a

CODICI SEGRETI: UN VIAGGIO NELLA CRITTOGRAFIA

Stream cipher. Cifrari simmetrici. Stream cipher. Stream cipher. I cifrari simmetrici possono essere:! Cifrari a blocchi: !

Firme elettroniche. Traccia. Aspetti tecnologici delle firme elettroniche Aspetti giuridici delle firme elettroniche.

Confidenzialità e crittografia simmetrica. Contenuto. Scenario tipico. Corso di Sicurezza su Reti Uso della crittografia simmetrica

FIRMA ELETTRONICA AVANZATA

Firma digitale aspetti tecnologici

Converte una chiave di al più 14 word a 32 bit (K-array) in un array di 18 sottochiavi a 32 bit (P-array) Genera 4 S-box, ognuna con 256 word a 32 bit

Crittografia. Una Panoramica

Elementi di Sicurezza e Privatezza Lezione 15 Sicurezza della posta elettronica

Disciplina: Sistemi e reti Classe: 5A Informatica A.S. 2015/16 Docente: Barbara Zannol ITP: Alessandro Solazzo

Firma elettronica: tecnologie e standard

Cormons, settembre ottobre La Firma digitale

Accordo su chiavi. (key agreement) Alfredo De Santis. Marzo Dipartimento di Informatica Università di Salerno

Firma Digitale. Firma Digitale. Firma digitale. Firma digitale. Firma Digitale A?? Equivalente alla firma convenzionale

I Cifrari Perfetti. Alessio Nunzi Fabiola Genevois Federico Russo

Sicurezza e Crittografia

Sicurezza nelle applicazioni multimediali: lezione 4, crittografia asimmetrica. Crittografia asimmetrica (a chiave pubblica)

Accordo su chiavi. Accordo su una chiave. Diffie-Hellman [1976] Accordo su chiavi. Diffie-Hellman [1976] Diffie-Hellman [1976] ??

da chi proviene un messaggio?

ISTITUTO DI ISTRUZIONE SECONDARIA SUPERIORE GALILEO FERRARIS ISTITUTO TECNICO TECNOLOGICO GALILEO FERRARIS - C.M. BATF06401B

Prof. Pierantonio Oggioni

Indice generale. Nota dell editore... XIII. Prefazione alla prima edizione... XV. Ringraziamenti per la prima edizione...xviii

La firma digitale e le sue possibili applicazioni

FIRMA DIGITALE E POSTA ELETTRONICA CERTIFICATA. Syllabus Versione 2.0

SHA %&'(& lunghezza arbitraria. 160 bit

Distribuzione delle chiavi pubbliche. Gestione delle chiavi. Distribuzione delle chiavi pubbliche

Firma elettronica e firma digitale

Elementi di Crittografia

PROBLEMATICHE DI INTEGRITA' NEL TEMPO

! La crittoanalisi è invece la scienza che cerca di aggirare o superare le protezioni crittografiche, accedendo alle informazioni protette

Corso di Crittografia Prof. Dario Catalano. Primitive Asimmetriche

L e-government dell ateneo Federico II

Laboratorio di Crittografia I - PGP/GPG

Corso di Crittografia Prof. Dario Catalano. Advanced Encryption Standard

Transcript:

Corso di Sicurezza 2008/2009 Golinucci Thomas Zoffoli Stefano Gruppo 11

Firme digitali 1. Introduzione. 2. Caso d uso e digitalizzazione. 3. Firme digitali e possibili attacchi. 4. Manuali vs Digitali. 5. Schemi di firme. 6. Definizione e Sicurezza. 7. Cenni storici ElGamal, Schnorr. 8. Standardizzazione - DSS. 9. Fasi dell algortimo Generazione chiavi, Firma, Verifica. 10. Correttezza dell algortimo. 11. Pro e contro. 12. Revisioni e Varianti.

Introduzione Verità assoluta In molte circostanze che si presentano quotidianamente prelievo di soldi, firme di contratti, ecc una firma convenzionale viene apposta su un documento. Tale firma permette di specificare la persona responsabile del documento che è stato firmato.

Caso d uso M (M, Firma di M) Moggi Pairetto Qualsiasi riferimento a persone o cose è puramente casuale. Galliani

Digitalizzazione Idea! Trasformare la firma in una sequenza di bit e appenderla alla fine del documento da firmare. Documento Firma

Firme digitali La firma digitale, o firma elettronica qualificata, basata sulla tecnologia della crittografia a chiavi asimmettriche, è un sistema di autenticazione di dati digitali. Si basa sull uso di un certificato digitale memorizzato su di un dispositivo hardware. Le proprietà che una firma digitale deve vantare sono: 1 Facilmente producibile dal Impossibile da riprodurre da proprietario. 2 altri utenti. 3 Facilmente verificabile da chiunque. Esigenza di trovare schemi di firme sicuri da possibili attacchi.

Possibili attacchi La sicurezza di uno schema di firme deve essere testata a fronte dei seguenti tipi di attacchi: KEY-ONLY ATTACK l attaccante conosce solo la chiave pubblica KNOW-MESSAGE ATTACK l attaccante conosce la chiave pubblica più alcuni messaggi firmati CHOSEN-MESSAGE ATTACK l attaccante può scegliere messaggi di cui ottenere la firma TOTAL BREAK ottenere la chiave privata del firmatario SELECTIVE FORGERY generare da un messaggio una firma tale che una verifica dia esito positivo con la chiave pubblica di un altra persona EXISTISTENTIAL FORGERY generare una coppia (M, F) tale che una verifica dia esito positivo con la chiave pubblica di un altra persona

Firme manuali vs digitali CREAZIONE APPOSIZIONE VERIFICA DOCUMENTO COPIA VALIDITÀ TEMPORALE AUTOMAZIONE DEI PROCESSI FIRMA MANUALE Manuale Sul documento: la firma è parte integrante del documento Confronto con una firma autenticata: metodo insicuro Distinguibile Illimitata Non possibile FIRMA DIGITALE Mediante algoritmo di creazione Come allegato: il documento firmato è costituito dalla coppia (documento, firma) Mediante algoritmo di verifica: metodo sicuro Indistinguibile Limitata Possibile

Schemi di firme Un tipico schema di firma digitale è basato su tre algoritmi: 1. Un algoritmo per la generazione della chiave che produce una coppia di chiavi (Pk, Sk). (Pk, Sk) 2. Un algoritmo di firma SIG Sk che dato il documento da firmare M e la chiave Sk produce la firma digitale F = SIG Sk (M). SIG Sk 3. Un algoritmo di verifica VER Pk che data la coppia (M, F) e la chiave Pk risponde se la firma sia autentica o meno. VER Pk

Schemi di firme - Firma

Schemi di firme - Verifica

Schemi di firme - Definizione Uno schema di firme digitale è una quintupla (P, A, K, S, V) dove le seguenti condizioni sono soddisfatte: P è un insieme finito di possibili messaggi; A è un insieme finito di possibili firme; K, lo spazio delle chiavi, è un insieme finito di possibili chiavi; Per ogni k K c è un algoritmo di firma SIG Sk S e un corrispondente algoritmo di verifica VER Pk V. SIG Sk e VER Pk devono essere funzioni facili da calcolare per una maggiore efficienza della schema, mentre dovrebbe essere computazionalmente difficile per Galliani falsificare la firma di Moggi su di un messaggio M. Dato M, solo Moggi deve essere in grado di calcolare una firma F tale che VER Pk (M,F) = vero.

Schemi di firme - Sicurezza Uno schema di firme è detto incondizionatamente sicuro se, qualunque siano le risorse di Galliani (tempo e hardware), è impossibile falsificare firme. Uno schema non può essere incondizionatamente sicuro poiché un malintenzionato potrebbe testare tutte le possibili firme di un documento di un utente usando l algoritmo VER Pk fino a quando non trova la giusta firma. Naturalmente questo tipo di attacco risulta essere computazionalmente oneroso poiché si fa in modo che la cardinalità dell insieme di possibili firme sia enormemente elevata. Dato sufficiente tempo Galliani può sempre riuscire a falsificare la firma di Moggi, così il nostro scopo è di individuare schemi che sia computazionalmente sicuri.

DSS A cavallo del millennio Algoritmo di ElGamal: estensione dell algoritmo di Diffie- Hellman; cifratura asimmetrica con chiave di sessione generata dinamicamente e scambiata, come in D-H, insieme al messaggio. 1985 DSS: variante dell algoritmo di Schnorr; la funzione di hash ha come unico argomento il messaggio e quindi il suo valore non dipende dalla chiave di cifratura. 1993 Bozza 3 revisione DSS 2008 Time line. 1991 1996 2000 Algoritmo di Schnorr: analogo a ElGamal; introduce una funzione di hash che associa a ciascun messaggio e a ciascuna chiave un intero in un intervallo di ampiezza predefinita. 1 revisione DSS 2 revisione DSS

DSS NIST & FIPS Il NIST (National Institute of Standards and Technology) propose il DSA come standard FIPS (Federal Information Processing Standard). DSA = Digital Signature Algorithm DSS = NIST Agenzia del governo USA il cui compito è quello di sviluppare standard, tecnologie e metodologie che favoriscano la produzione e il commercio. Pubblica i FIPS, documenti governativi che descrivono lo standard che gli apparati e le agenzie del governo (escluse quelle militari) devono seguire. Sono spesso delle varianti rispetto a quelli ANSI, ISO, IEEE, ecc Esempi di standard FIPS: DES, AES, ecc

DSS Generazione delle Chiavi Il DSS si basa sull intrattabilità del logaritmo discreto. Numero primo di 160 bit. Divisore di p-1. y = g x mod p p = qz + 1 p - 1 = qz z = (p - 1) / q (p, q, g y) x) = Public key = Secret key Numero primo la cui lunghezza in bit è compresa nell intervallo [512, 1024], multipla di 64. g = h z mod p con h ]1, p-1[ e g > 1 Numero random ]0, q[

DSS Firma k viene generato per ogni Msg k ]0, q[ Numero random p q g r è indipendente da Msg (g k mod p) mod q r Msg SHA (k -1 (SHA(Msg) + xr)) mod q s q x La firma è (r,s)

DSS Verifica Msg (r, s ) Firma SHA IF 0 < r < q AND 0 < s < q True False Firma rifiutata w = s -1 mod q α = (SHA(Msg) w) mod q β = (r w) mod q v = (g α y β mod p) mod q IF v = r False True Firma verificata

DSS Correttezza (1) g è di ordine q? z = (p 1) / q con p e q primi g = h z mod p dato piccolo teorema di Fermat dato g q mod p = h qz mod p = h p-1 mod p = 1 mod p g q mod p = 1 mod p con h ]1, p-1[ m mod q = n mod q g m mod p = g n+kq mod p = (g n g kq ) mod p = ((g n mod p) (g q mod p) k ) mod p = g n mod p

DSS Correttezza (2) r = v? w = s -1 mod q s = (k -1 (SHA(Msg) + xr )) mod q dato k = (SHA(Msg)s -1 + xr s -1 ) mod q = (SHA(Msg)w + xr w) mod q r = vedi formula y = g x mod p dato g k mod p mod q = g SHA(Msg)w g xr w mod p mod q = g SHA(Msg)w y r w mod p mod q α = (SHA(Msg) w) mod q β = (r w) mod q g SHA(Msg)w y r w mod p mod q = g α y β mod p mod q = v

DSS Sicurezza 1) Total Break con Key-only Attack è impossibile. Risalire ad x richiede la risoluzione del logaritmo discreto. 2) Selective Forgery con Key-only Attack è impossibile. Data Msg e scelto a caso r, bisogna calcolarsi s; tuttavia non essendo noto x quest operazione equivale a risolvere anch essa un logaritmo discreto. 3) Existential Forgery con Key-only Attack è impossibile. Anche generando a caso la firma, per risalire al messaggio corrispondente bisognerebbe invertire una funzione hash.

DSS Critiche 1) DSS non può essere usato per cifrare o per distribuire chiavi. 2) La misura del modulo p è troppo piccola. 3) La scelta della tripla (p, q, g) può essere causa di vulnerabilità. 4) DSS è più lento di RSA. 5) DSS ha test of time inferiore a RSA.

DSS Revisioni FIPS 186-1: E' la revisione del protocollo DSS avvenuta nel 1996. L'unica modifica è che impone l'utilizzo di SHA-1 anziché SHA. FIPS 186-2: E' la revisione del protocollo DSS avvenuta nel 2000. Propone l'utilizzo di ECDSA oltre a DSA. Impone la lunghezza in bit di p pari a 1024. Corregge gli algoritmi per il calcolo di x e k. FIPS 186-3 (bozza): E una bozza della nuova revisione proposta nel Novembre 2008. Impone l utilizzo di SHA-224/256/384/512. Aumenta la lunghezza in bit di q a 224, con lunghezza in bit di p pari a 2048, oppure a 256, con lunghezza in bit di p pari a 3072.

DSS Varianti ECDSA (Elliptic Curve DSA): Opera su gruppi di curve ellittiche. Ha lo stesso tempo di esecuzione di DSA producendo firme di lunghezze identiche ma con parametri di sicurezza più alti. Una firma DSA ottenuta con p di 1024 bit e q di 160 bit è equivalente ad una firma ECDSA con parametro principale a 160 bit. GoSt R DSA (Gosudarstvennyi Standard of Russian Federation): Nato nel 1995 presso la federazione Russa. Imposta la chiave q a 256 bit al posto di 160. Cambia l equazione di verifica della firma digitale.

Bibliografia FIPS PUB 186 DIGITAL SIGNATURE STANDARD (DSS), NIST, http://www.itl.nist.gov/fipspubs/fip186.htm; Network Security PRIVATE Communication in a PUBLIC World, Charlie Kaufman, Radia Perlman, Mike Speciner, Prentice Hall Editions; Internet Security Reti e dati a prova di hacker, Maurizio Cinotti, Hoepli Informatica; Crittografia Principi, Algoritmi, Applicazioni, Paolo Ferragina, Fabrizio Luccio, Bollati Boringhieri; Sicurezza dei sistemi informatici, Mariagrazia Fugini, Fabrizio Maio, Pierluigi Plebani, Apogeo; Sicurezza in informatica, C. Pfleeger, S. Pfleeger, Pearson Italia; http://en.wikipedia.org.

Corso di Sicurezza 2008/2009 Golinucci Thomas Zoffoli Stefano Gruppo 11

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back