La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Sperimentazioni di Sicurezza, A.A. 2009/2010 Speaker: Luca Maria Aiello, PhD student Università degli Studi di Torino, Computer Science Department Corso.

Presentazioni simili


Presentazione sul tema: "Sperimentazioni di Sicurezza, A.A. 2009/2010 Speaker: Luca Maria Aiello, PhD student Università degli Studi di Torino, Computer Science Department Corso."— Transcript della presentazione:

1 Sperimentazioni di Sicurezza, A.A. 2009/2010 Speaker: Luca Maria Aiello, PhD student Università degli Studi di Torino, Computer Science Department Corso Svizzera, 185 – 10149, Torino, Italy Sperimentazioni di Sicurezza, A.A Identity Based Cryptosystems 16/4/2010

2 Sperimentazioni di Sicurezza, A.A. 2009/2010 Introduzione oPanoramica su Identity Based Cryptosystems Encryption Signature SignCryption Key agreement oIdea di base In un contesto a chiave pubblica, evitare directory e certificati Un identificativo human readable sostituisce la chiave pubblica oStrumenti matematici Teoria dei gruppi Curve ellittiche Pairing 26/4/2010

3 Sperimentazioni di Sicurezza, A.A. 2009/2010 Sommario 1.Concetti di base 2.Shamir IBS 3.Teoria dei gruppi, curve ellittiche e pairing 4.Boneh e Franklin IBE 5.Sakai Ohgishi Kasahara IBS 6.Considerazioni ed estensioni 7.Conclusioni 36/4/2010

4 Sperimentazioni di Sicurezza, A.A. 2009/2010 Sommario 1.Concetti di base 2.Shamir IBS 3.Teoria dei gruppi, curve ellittiche e pairing 4.Boneh e Franklin IBE 5.Sakai Ohgishi Kasahara IBS 6.Considerazioni ed estensioni 7.Conclusioni 46/4/2010

5 Sperimentazioni di Sicurezza, A.A. 2009/2010 Crittosistemi a chiave pubblica vs IBC oNei PKC il legame tra una identità e una chiave è garantita dalla CA oProprietà fondamentali di un IBC La chiave pubblica di un utente risiede nel suo identificativo, ed è facilmente ricavabile da questo da qualsiasi altro utente Non è necessario un repository di chiavi pubbliche Le procedure di verifica di una firma o di cifratura di un messaggio richiedono soltanto rispettivamente lidentità del firmatario e del destinatario (oltre ad alcuni parametri globali di sistema) oLo scopo è di risparmiare il costo della PKI per il legame ID-chiave oPurtroppo, gli IBC hanno anche alcune caratteristiche negative, che vedremo più avanti… 56/4/2010

6 Sperimentazioni di Sicurezza, A.A. 2009/2010 Cifratura – chiave pubblica 66/4/2010

7 Sperimentazioni di Sicurezza, A.A. 2009/2010 Cifratura – identity based 76/4/2010

8 Sperimentazioni di Sicurezza, A.A. 2009/2010 Firma digitale – chiave pubblica 86/4/2010

9 Sperimentazioni di Sicurezza, A.A. 2009/2010 Firma digitale – identity based 96/4/2010

10 Sperimentazioni di Sicurezza, A.A. 2009/2010 Private Key Generator oLa chiave privata viene generata a partire dallID dellutente In teoria, dato un ID qualunque, ciascun utente potrebbe calcolare la chiave privata corrispondente Il crittosistema sarebbe così banalmente violato! oNecessità di una Trusted Third Party che generi chiavi private a partire dallID fornito e da una chiave segreta nota solo ad essa oIl Private Key Generator (PKG) ricopre questo ruolo in un IBC Ovviamente è necessario un canale sicuro tra lutente e il PKG per la trasmissione della chiave privata 106/4/2010

11 Sperimentazioni di Sicurezza, A.A. 2009/2010 IBE – IBS: schema generale oEncryption: un messaggio m viene cifrato a partire dallidentità del destinatario (ID) oDecryption: il messaggio cifrato viene decifrato usando la chiave privata K ID oSignature generation: viene prodotta una firma σ da un messaggio m usando la chiave K ID oSignature verification: ricevuti σ e m, si verifica se la firma è valida usando lidentificativo del firmatario (ID) oIBE ed IBS necessitano di 4 fasi fondamentali, le primi due comuni oSetup: il PKG inizializza alcuni parametri di sistema, che sono resi pubblici; durante questa fase viene anche selezionata la Master Key (MK), ossia la chiave segreta del PKG oExtract: dato lID di un utente e la MK, il PKG ricava una chiave privata K ID IBE IBS 116/4/2010

12 Sperimentazioni di Sicurezza, A.A. 2009/2010 Sommario 1.Concetti di base 2.Shamir IBS 3.Teoria dei gruppi, curve ellittiche e pairing 4.Boneh e Franklin IBE 5.Sakai Ohgishi Kasahara IBS 6.Considerazioni ed estensioni 7.Conclusioni 126/4/2010

13 Sperimentazioni di Sicurezza, A.A. 2009/2010 Shamir IBS oLidea di IBC è da attribuirsi ad Abi Shamir oIn un articolo del 1984, Identity-based cryptosystems and signature schemes, introduce lidea di utilizzare lidentificativo di un utente (e.g. lindirizzo ) come chiave pubblica, al fine di evitare certificati e directory oPropone uno schema di IBS simile ad RSA oAuspica che un analogo schema di IBE possa essere costruito At this stage we have concrete implementation proposals only for identity based signature scheme but we conjecture that identity-based cryptosystems exists as well and we encourage the reader to look for such systems oIl primo schema di IBE sarà ideato 17 anni più tardi… 136/4/2010

14 Sperimentazioni di Sicurezza, A.A. 2009/2010 Shamir IBS: preliminari oFunzione totiente di Eulero φ(n) è definita, per ogni intero positivo n, come il numero degli interi positivi minori o uguali ad n tali che sono coprimi con n. Sia n=pq, p,q primi φ(n) = (p-1)(q-1) oTeorema di Eulero p,q primi, n=pq, 0

15 Sperimentazioni di Sicurezza, A.A. 2009/2010 Shamir IBS: schema oSetup(): il PKG genera dei parametri di sistema n prodotto di due primi p,q molto grandi e numero grande, primo con φ(n) = (p-1)(q-1) h funzione one-way oExtract(ID): ID = (k) e mod n - ID è il digest della stringa identificativa - oSignature generation(m, k): t = r e mod n, con r random s = kr h(t,m) mod n σ = oSignature verification(m, σ, ID): s e =?= IDt h(t,m) mod n 156/4/2010

16 Sperimentazioni di Sicurezza, A.A. 2009/2010 Shamir IBS: correttezza s e = (kr h(t,m) ) e = k e r eh(t,m) = k e t h(t,m) = IDt h(t,m) (mod n) 166/4/2010

17 Sperimentazioni di Sicurezza, A.A. 2009/2010 Shamir IBS: sicurezza ok può essere calcolato facilmente dal PKG perché conosce p e q oChi non conosce la fattorizzazione di n non può ricavare facilmente k, quindi lo schema è sicuro assumendo la difficoltà dell Integer Factorization Problem (IFP) oDalla firma non è possibile ricavare la chiave se si assume la difficoltà del Discrete Logartihm Problem (r e mod n) Dati: ID,e,n,p,qIncognite: k ID = k e mod n Vogliamo trovare un valore d t.c. k ed = k mod n k wφ(n)+1 = k mod n (per il teorema di Eulero) ed = wφ(n)+1 ed = 1 mod φ(n) d = 1/e mod φ(n) φ(n) = (p-1)(q-1) k = ID d mod n 176/4/2010

18 Sperimentazioni di Sicurezza, A.A. 2009/2010 Sommario 1.Concetti di base 2.Shamir IBS 3.Teoria dei gruppi, curve ellittiche e pairing 4.Boneh e Franklin IBE 5.Sakai Ohgishi Kasahara IBS 6.Considerazioni ed estensioni 7.Conclusioni 186/4/2010

19 Sperimentazioni di Sicurezza, A.A. 2009/2010 Teoria dei gruppi: gruppo oInsieme di elementi g G affiancati dalloperatore binario oAssiomi di base: Chiusura Associatività Elemento identità Elemento inverso oGruppo abeliano Commutatitività oGruppo ciclico ( abeliano) Elemento generatore Tutti i gruppi ciclici finiti dello stesso ordine sono isomorfi Es. Il gruppo {N,+} è un gruppo ciclico di ordine infinito generato da 1 Gruppo {G,} 196/4/2010

20 Sperimentazioni di Sicurezza, A.A. 2009/2010 Teoria dei gruppi: anello oÈ un gruppo abeliano rispetto alloperatore + oProprietà rispetto alloperatore × Chiusura Associatività Distributività oUlteriori proprietà delloperatore × Commutatività Elemento identità No divisore 0 Anello {R,+,×} Anello commutativo Dominio integrale 206/4/2010 Lanello {Z,+,*} è un dominio integrale???

21 Sperimentazioni di Sicurezza, A.A. 2009/2010 Teoria dei gruppi: campo (1) Campo {F,+,×} oÈ un anello, con una proprietà addizionale per ×: Elemento inverso oUn campo è un insieme cui si possono eseguire le 4 operazioni fondamentali (+,-,×,/) Linsieme, con le 4 operazioni, è un esempio di campo oSe un campo F è finito il suo ordine deve essere pari a p n (|F| = p n ) p primo (caratteristica del campo), n intero positivo oI campi finiti sono detti campi di Galois (Évariste Galois: ) GF(p 1 ), GF(p 2 ), GF(p 3 ), … per ogni p primo 216/4/2010

22 Sperimentazioni di Sicurezza, A.A. 2009/2010 Teoria dei gruppi: campo (2) oCampi notevoli GF(p) = F p = Z p = {0,1, …, p-1} residui modulo p, p numero primo GF(2 n ) = F 2 n campi binari Insieme di stringhe di bit di lunghezza n Loperatore + è lo XOR ( ) tra bit Loperatore × è la moltiplicazione dei due polinomi binari che corrispondono ai due operandi. Il risultato deve essere ridotto calcolando il modulo rispetto al polinomio di grado più elevato esprimibile nel campo (implementazione con SHIFT e XOR) oI campi binari sono tra i più utilizzati in informatica perché le operazioni tra elementi sono eseguite più efficientemente da un calcolatore rispetto ad operazioni tra elementi di altri campi 226/4/2010

23 Sperimentazioni di Sicurezza, A.A. 2009/2010 Curve ellittiche: definizione oUna curva ellittica è definita tramite unequazione del tipo: oOppure, più semplicemente: oUna curva è definita su un gruppo G se i coefficienti e le variabili assumono valori in G oLa definizione di tali curve sullinsieme dei numeri reali R risulta intuitiva e facilmente rappresentabile geometricamente 236/4/2010

24 Sperimentazioni di Sicurezza, A.A. 2009/2010 Curve ellittiche: addizione tra punti oI punti di una curva ellittica costituiscono una varietà abeliana insieme degli zeri del polinomio in x e y che è anche un gruppo (e.g. {G,+}) oCalcolo di + su R Errori di arrotondamento Inefficienza oIn applicazioni crittografiche si usano Z p : curve prime GF(2 n ) : curve binarie e.g. Nel caso di Z p, la formulazione della curva diventa: 246/4/2010

25 Sperimentazioni di Sicurezza, A.A. 2009/2010 Curve ellittiche: moltiplicazione oSia P un punto sulla curva o2P = P + P oIn generale Q = nP = P + … + P (n volte) 256/4/2010

26 Sperimentazioni di Sicurezza, A.A. 2009/2010 Curve ellittiche: esempio su Z p oEsempio grafico dei punti di una curva ellittica su Z 23 oI punti sul piano sono le soluzioni dellequazione in modulo 23 oLapplicazione delloperatore + tra punti è definito in modo diverso rispetto a quello definito su R 266/4/2010

27 Sperimentazioni di Sicurezza, A.A. 2009/2010 Curve ellittiche: applicazioni oElliptic Curve Cryptography (ECC) La crittografia basata su curve ellittiche necessita di chiavi dalla lunghezza più limitata rispetto a tecniche crittografiche basate su campi finiti (160 vs 1024 bit) perché il problema dei logaritmi discreti (DLP) è di più difficile risoluzione nel contesto delle curve ellittiche Per campi finiti esistono algoritmi di risoluzione ottimizzati Per curve ellittiche è necessario usare algoritmi generici Ovviamente, in entrambi i contesti, non si conosce un algoritmo che risolva DLP in tempo polinomiale oPairing bilineari Sono strutture matematiche che costituiscono il fondamento delle moderne tecniche di IBS e IBE 276/4/2010

28 Sperimentazioni di Sicurezza, A.A. 2009/2010 Pairing bilineari: definizione oSiano G 1, G 2, G t gruppi ciclici dello stesso ordine oUna mappa bilineare è una funzione oUn pairing bilineare è una particolare formulazione di una mappa bilineare (specifica scelta di G 1, G 2, G t ) oIl termine deriva dal fatto che ad una coppia (pair) di elementi, ne viene associato un terzo o G 1, G 2, G t sono ciclici e dello stesso ordine, quindi sono isomorfi 286/4/2010

29 Sperimentazioni di Sicurezza, A.A. 2009/2010 Pairing bilineari: proprietà oUn pairing è detto ammissibile se soddisfa le seguenti proprietà Bilinearità Non-degenerazione Computabilità se e è facilmente calcolabile oI pairing ammissibili sono gli unici usati nella specifica dei meccanismi di IBC oI gruppi usati nella definizione dei pairing sono, solitamente Curve ellittiche Curve supersingolari Curve MNT … 296/4/2010

30 Sperimentazioni di Sicurezza, A.A. 2009/2010 Pairing bilineari: storia oI pairing di Weil e Tate-Lichtenbaum sono i pairing più usati in ambito IBC oI pairing furono inizialmente usati per violare sistemi ECC Menezes, Okamoto, and Vanstone 1993, MOV reduction Frey, Ruck 1994, FR reduction oLa prima applicazione buona fu il primo schema di IBE, di Boneh e Franklin (2001) Dan BonehMattew Franklin 306/4/2010

31 Sperimentazioni di Sicurezza, A.A. 2009/2010 Sommario 1.Concetti di base 2.Shamir IBS 3.Teoria dei gruppi, curve ellittiche e pairing 4.Boneh e Franklin IBE 5.Sakai Ohgishi Kasahara IBS 6.Considerazioni ed estensioni 7.Conclusioni 316/4/2010

32 Sperimentazioni di Sicurezza, A.A. 2009/2010 Boneh & Franklin IBE: preliminari oNel seguito considereremo pairing del tipo G 1 × G 1 G 2 oUseremo unoperazione di hash map-to-point così definita H : {0,1}* G oUseremo anche una funzione hash inversa H : G {0,1} n oI dettagli implementativi di H,H saranno omessi 326/4/2010

33 Sperimentazioni di Sicurezza, A.A. 2009/2010 Boneh & Franklin IBE: setup, extract oSetup(): il PKG genera dei parametri di sistema MK = s Z q P pub = sP, P punto in G 1 H 1 : {0,1}* G 1 H 2 : G 2 {0,1} n Parametri pubblici: Parametri privati: oExtract(ID): Q ID = H 1 (ID) - public key - S ID = sQ ID - secret key - 336/4/2010

34 Sperimentazioni di Sicurezza, A.A. 2009/2010 Boneh & Franklin IBE: encrypt/decrypt oEncrypt(m, ID): Q ID = H 1 (ID) r Z q g ID = e(Q ID, P pub ) c = - G 1 × {0,1} n - oDecrypt(c = ) m = V H 2 (e(S ID, U)) 346/4/2010

35 Sperimentazioni di Sicurezza, A.A. 2009/2010 Boneh & Franklin IBE: proprietà (1) oCorrettezza V H 2 (e(S ID, U)) m e(S ID, U) = e(sQ ID, rP) = e(Q ID, P) sr = e(Q ID, sP) r = e(Q ID, P pub ) r = g ID r V = m H 2 (g ID r ) m H 2 (g ID r ) H 2 (g ID r ) = m 356/4/2010

36 Sperimentazioni di Sicurezza, A.A. 2009/2010 Boneh & Franklin IBE: proprietà (2) oSicurezza: complicata da provare… È stata provata nellambito del Random Oracle Model, un modello largamente accettato in crittografia ma delicato… Si suppone che le funzioni H 1 e H 2 siano dei ROM Sostituendo una funzione reale al ROM, alcuni algoritmi non garantiscono più le proprietà di sicurezza dimostrate nel ROM! Schemi successivi di IBE sono stati provati nello Standard Model, che suppone luso di funzioni reali Ad oggi, esistono molti schemi di IBE diversi, tutti basati su pairing 366/4/2010

37 Sperimentazioni di Sicurezza, A.A. 2009/2010 Sommario 1.Concetti di base 2.Shamir IBS 3.Teoria dei gruppi, curve ellittiche e pairing 4.Boneh e Franklin IBE 5.Sakai Ohgishi Kasahara IBS 6.Considerazioni ed estensioni 7.Conclusioni 376/4/2010

38 Sperimentazioni di Sicurezza, A.A. 2009/2010 SOK IBS: setup, extract oSetup(): MK = s Z q P pub = sP, P punto in G 1 H 1 : {0,1}* G 1 Parametri pubblici: Parametri privati: oExtract(ID): Q ID = H 1 (ID) - public key - S ID = sQ ID - secret key - 386/4/2010

39 Sperimentazioni di Sicurezza, A.A. 2009/2010 SOK IBS: sign/verify oSignature generation(m): r Z q S 1 = S ID + rH 1 (m) S 2 = rP σ = - G 1 × G 1 - oSignature verification(m,σ,ID) Q ID = H 1 (ID) e(Q ID,P pub ) e(H 1 (m),S 2 ) =?= e(s 1,P) 396/4/2010

40 Sperimentazioni di Sicurezza, A.A. 2009/2010 SOK IBS: proprietà oOmesse… 406/4/2010

41 Sperimentazioni di Sicurezza, A.A. 2009/2010 Sommario 1.Concetti di base 2.Shamir IBS 3.Teoria dei gruppi, curve ellittiche e pairing 4.Boneh e Franklin IBE 5.Sakai Ohgishi Kasahara IBS 6.Considerazioni ed estensioni 7.Conclusioni 416/4/2010

42 Sperimentazioni di Sicurezza, A.A. 2009/2010 Problemi degli IBC oIl primo problema concerne lefficienza degli algoritmi di IBE/IBS RSA è circa 10 volte più veloce nella generazione delle firme e addirittura 150 volte più veloce in fase di verifica I test sono condotti su un Intel Quad-Core Xeon 2.5 GHz, 4GB di RAM e si riferiscono allo schema IBS di Hess (millisecondi) Libreria C: Operation RSAIBS μσμσ Generate Verify /4/2010

43 Sperimentazioni di Sicurezza, A.A. 2009/2010 Problemi degli IBC oIl problema più grave inerente agli IBC è quello del key escrow oSe il PKG viene attaccato e la sua chiave privata violata, lattaccante può produrre firme valide a nome di un qualunque altro utente di cui conosca il nome (luser ID) oQuesto non accade in sistemi classici a chiave pubblica, dove se la chiave della CA è violata, lattaccante può produrre certificati a nome della CA ma non può firmare per conto di altri oIl key escrow è il più grande ostacolo alla diffusione degli IBC 436/4/2010

44 Sperimentazioni di Sicurezza, A.A. 2009/2010 Contromisure possibili (1) oContro il key escrow Lo schema di IBS di Cheng, Zhang e Kim attenua il problema del key escrow, permettendo di tracciare eventuali truffe attuate dal PKG e da chi ne rubi la master key Gestione gerarchica dei PKG. HIBC, Hierarchical ID-based Cryptosystem. Un root PKG distribuisce a diversi PKG secondari la responsabilità di gestire le richieste di generazione di chiavi per specifici sottodomini di utenza. Il root PKG genera le chiavi per i PKG di dominio. Per comunicare tra loro, due utenti devono conoscere soltanto i parametri dei rispettivi root PKG per comunicare. Il vantaggio di unarchitettura gerarchica è, oltre che la distribuzione del carico, la proprietà di damage control: la violazione di un PKG di dominio non compromette i segreti dei PKG di più alto livello. Ovviamente si perde in parte il vantaggio di evitare una PKI complessa 446/4/2010

45 Sperimentazioni di Sicurezza, A.A. 2009/2010 Contromisure possibili (2) oPer migliorare lefficienza Firme aggregate e verifiche batch Firme aggregate: Dati n oggetti con altrettante firme distinte, tali firme possono essere aggregate in una sola (risparmio di spazio). È da notare comunque che le firme IBS sono più piccole rispetto alle firme RSA per pari livello di sicurezza. Verifiche batch: Date n firme di altrettanti oggetti distinti, ununica procedura di verifica, in tempo sublineare in n, può essere effettuata … 456/4/2010

46 Sperimentazioni di Sicurezza, A.A. 2009/2010 Sommario 1.Concetti di base 2.Shamir IBS 3.Teoria dei gruppi, curve ellittiche e pairing 4.Boneh e Franklin IBE 5.Sakai Ohgishi Kasahara IBS 6.Considerazioni ed estensioni 7.Conclusioni 466/4/2010

47 Sperimentazioni di Sicurezza, A.A. 2009/2010 Conclusioni Gli IBC hanno lo scopo fondere i concetti di chiave pubblica ed identità, che molto spesso sono appaiati Si evitano certificati Non è necessaria una PKI complessa (risparmio di denaro) Sono schemi molto sicuri e relativamente efficienti La proprietà inerente del key-escrow ne ostacola la diffusione I concetti matematici su cui si basano sono piuttosto complessi La ricerca nellambito degli IBC è molto attiva Si auspica che, nel prossimo futuro, i problemi di IBC siano risolti o mitigati 476/4/2010

48 Sperimentazioni di Sicurezza, A.A. 2009/2010 Contatti oÈ disponibile una vasta letteratura su IBC oEsistono alcuni survey introduttivi molto completi oLa libreria C di Stanford è una delle poche librerie sui pairing disponibile Ne esistono altre in Java, ma decisamente meno efficienti oPer qualunque informazione, richiesta di chiarimento o di materiale aggiuntivo, contattatemi 486/4/2010

49 Sperimentazioni di Sicurezza, A.A. 2009/2010 Identity based Cryptosystems Grazie per lattenzione! Speaker: Luca Maria Aiello, PhD student Università degli Studi di Torino, Computer Science Department Corso Svizzera, 185 – 10149, Torino, Italy Sperimentazioni di Sicurezza, A.A /4/2010

50 Sperimentazioni di Sicurezza, A.A. 2009/2010 © 2009 by Luca Maria Aiello. Permission to make digital or hard copies of part or all of this material is currently granted without fee provided that copies are made only for personal or classroom use, are not distributed for profit or commercial advantage, and that new copies bear this notice and the full citation. 506/4/2010


Scaricare ppt "Sperimentazioni di Sicurezza, A.A. 2009/2010 Speaker: Luca Maria Aiello, PhD student Università degli Studi di Torino, Computer Science Department Corso."

Presentazioni simili


Annunci Google