DES e RSA a confronto: crittografia al servizio della sicurezza.

Slides:



Advertisements
Presentazioni simili
Elementi di Crittografia MAC e FUNZIONI HASH
Advertisements

I numeri primi ci sono noti sin da tempi antichi: un esempio ne è Euclide che li studiò attorno al 300a.c. I numeri primi.
Protocolli HB+ e HB# Lezione tenuta dal Presentazione realizzata da
Modulo 7 – Firma elettronica
Corso aggiornamento ASUR10
Seminario per il corso di Sistemi Operativi mod
Sicurezza II Prof. Dario Catalano Errori di Implementazione.
Sicurezza II Prof. Dario Catalano
Sicurezza II Prof. Dario Catalano Security Handshake Pitfalls.
Sicurezza II Prof. Dario Catalano Strong Password Protocols.
Autenticazione dei messaggi e funzioni hash
Time Sharing Il termine “Time Sharing” proviene dall'inglese e significa letteralmente “partizione di tempo”. Questa è una tecnica sviluppatasi negli.
I cifrari a chiave pubblica: Introduzione alle curve ellittiche
Dipartimento di Ingegneria dell’Informazione
RSA Monica Bianchini Dipartimento di Ingegneria dellInformazione Università di Siena.
Per crittografia si intende la protezione
Sistemi di elaborazione delle informazioni
CRITTOGRAFIA La crittografia, ovvero la scienza dei messaggi segreti sicuri, nasce come raccolta di tecniche e sistemi per nascondere messaggi tra regnanti,
Politecnico di Milano Algoritmi e Architetture per la Protezione dellInformazione Multichannel Adaptive Information Systems Paolo Maistri Dipartimento.
Algoritmi Paralleli e Distribuiti a.a. 2008/09 Lezione del 29/05/2009 Prof. ssa ROSSELLA PETRESCHI a cura del Dott. SAVERIO CAMINITI.
Testo consigliato Crittografia, P. Ferragina e F. Luccio, Ed. Bollati Boringhieri, € 16.
Testo consigliato Crittografia, P. Ferragina e F. Luccio, Ed. Bollati Boringhieri, € 16.
Secure Shell Giulia Carboni
DEI - Univ. Padova (Italia) Sicurezza delle informazioni Quando vengono mandati pacchetti di informazioni sui mezzi promiscui (ad es. rete Ethernet) chiunque.
SSL (Secure Socket Layer)
Breaking DES Corso di Sicurezza Reti Dott. Giovanni Ciraolo Anno Accademico
CryptoAnalisisServer(CAS) Reti di Calcolatori LS progetto di Carpenè Michele, Busacca Fulvio Servizio distribuito basato sul calcolo parallelo per operazioni.
Internet Keyed Payment Protocol Pietro Montanari & Cosimo Basile.
CORSO DI CRITTOGRAFIA Terzo incontro PROGETTO LAUREE SCIENTIFICHE
LA CRITTOGRAFIA QUANTISTICA
“ Firma Digitale “ Informatica e Teleradiologia
CORSO DI CRITTOGRAFIA Quinto incontro PROGETTO LAUREE SCIENTIFICHE
Radix-Sort(A,d) // A[i] = cd...c2c1
INFORMATICA MATTEO CRISTANI. INDICE CICLO DELLE LEZIONI LEZ. 1 INTRODUZIONE AL CORSO LEZ. 2 I CALCOLATORI ELETTRONICI LEZ. 3 ELEMENTI DI TEORIA DELL INFORMAZIONE.
CRITTOGRAFIA E FIRMA DIGITALE
Il processo per generare una Firma Digitale
Cenni di Crittografia Il procedimento di crittografia consiste nel rendere illeggibile un testo in chiaro mediante l’uso di un determinato algoritmo e.
06/12/2007 Progetto cedolini online di Lottomatica Automatizzare il processo di consegna dei cedolini delle buste paga.
Percorso didattico per l’apprendimento di Microsoft Access Modulo 5
Valutare la difficoltà dei problemi
RSA e questioni relative
Crittografia MITTENTE DESTINATARIO messaggio messaggio chiave-1
Analisi e sperimentazione di una Certification Authority
I Numeri primi Eratostene e la crittografia.
La sicurezza dei sistemi informatici. Il sistema deve soddisfare i seguenti requisiti di sicurezza (CIANA)  Confidenzialità (Riservatezza)  Integrità.
Implementazione di dizionari Problema del dizionario dinamico Scegliere una struttura dati in cui memorizzare dei record con un campo key e alcuni altri.
UNIVERSITÀ DEGLI STUDI DI PAVIA Anno accademico 2009/2010 Sicurezza e frodi informatiche in Internet: la Firma Digitale come garanzia di autenticità e.
Sicurezza informatica
PKI e loro implementazione Corso di Sisitemi Informativi Teledidattico A.A. 2006/07
27 marzo 2008 Dott. Ernesto Batteta.  Le minacce nello scambio dei documenti  Crittografia  Firma digitale.
Reti di calcolatori LS1 Service Middleware Reti di calcolatori LS progetto di Andrea Belardi Infrastruttura dedicata alla gestione di servizi disponibili.
Elgamal Corso di Sicurezza – A.A. 2006/07 Angeli Fabio29/05/2007.
1 Certificati a chiave pubblica strutture dati che legano una chiave pubblica ad alcuni attributi di una persona sono firmati elettronicamente dall’ente.
DES e RSA a confronto: crittografia al servizio della sicurezza Università degli studi di Camerino Marconi Marika.
Crittografia moderna: i principali algoritmi
Alex Marchetti Infrastruttura di supporto per l’accesso a un disco remoto Presentazione del progetto di: Reti di calcolatori L-S.
CRITTOGRAFIA QUANTISTICA di Davide D’Arenzo e Riccardo Minciarelli.
Informatica Lezione 10 Psicologia dello sviluppo e dell'educazione (laurea magistrale) Anno accademico:
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi.
La firma digitale. Che cosa é la firma digitale? La firma digitale è una informazione aggiunta ad un documento informatico al fine di garantirne integrità.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi Corso aggiornamento ASUR10.
Istituto Tecnico Industriale Don Orione Fano
Crittografia. Introduzione  La rete può essere utilizzata per diversi scopi: informazione, scambio dati, scambio messaggi, trasferimento denaro.  Nel.
POLITECNICO DI BARI I FACOLTA’ DI INGEGNERIA CORSO DI LAUREA SPECIALISTICA IN INGEGNERIA ELETTRONICA (N.O.)‏ Indirizzo S.E.M.A. (Sistemi Elettronici per.
Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.
FESR Trinacria Grid Virtual Laboratory La sicurezza dei dati in ambiente Trigrid Giordano Scuderi.
Un sistema di sicurezza dei dati.  La crittografia, il cui termine indica "nascosto", è la branca della crittologia che tratta delle "scritture nascoste",
Crittografia e crittoanalisi Crittografia: tecnica che consente di rendere visibili o utilizzabili le informazioni solo alle persone a cui sono destinate.
Sicurezza dei Sistemi Informatici L.S. in Ingegneria Informatica Docente: Prof. Giuseppe Mastronardi CRITTOGRAFIA E CRITTOANALISI ATTACCHI AI SISTEMI DI.
FESR Trinacria Grid Virtual Laboratory La sicurezza dei dati in ambiente Trigrid Giordano Scuderi.
Transcript della presentazione:

DES e RSA a confronto: crittografia al servizio della sicurezza

Scopi della crittografia moderna Disponibilità Riservatezza Integrità Autenticazione Non ripudiazione

Sigma COMPUTER CASSAFORTE HOST BANCARIO INTERFACCIA UTENTE DISPENSATORE INTRUSO SSD APPLICATIVO

Protocollo – Chiunque partecipi al protocollo deve conoscerlo. – Chiunque partecipi al protocollo deve accettare di seguirlo. – Il protocollo deve essere privo di ambiguità, ogni passo deve essere descritto con chiarezza e non ci devono essere possibilità di incomprensioni. – Il protocollo deve essere completo, quindi deve essere prevista un’azione per qualunque situazione. – Non deve fornire più informazioni di quelle per cui è stato concepito. Un protocollo è una serie di passi che coinvolge due o più parti e che serve a portare a termine un compito; deve inoltre avere le seguenti caratteristiche:

Protocollo 1.l’applicativo (challenger) invia una richiesta (challenge) all’SSD, 2.l’SSD invia una risposta in cui include un numero random RND all’applicativo, 3.l’applicativo cifra tale numero con l’algoritmo scelto (simmetrico o asimmetrico) ed invia E(RND) all’SSD, 4.l’SSD decifra il messaggio ricevuto effettuando D(E(RND)) e, se il numero è esatto, dà all’applicativo il permesso di procedere.

TDES E’ altamente improbabile che, per una coppia di chiavi (k, h) esista una chiave t tale che, per ogni testo in chiaro x Lo svantaggio è che risulta meno efficiente del DES singolo di un fattore 3. Coppersmith ha osservato però che un attacco di forza bruta per la ricerca della chiave è dell’ordine di = 5× Da questo risultato nasce l’algoritmo Triplo DES:

RSA Vediamo schematicamente come un utente A può mandare un messaggio segreto a B usando il metodo RSA., – due primi titanici p, q, calcola N = pq e – due naturali d ed e, l’uno inverso dell’altro modulo Innanzitutto B sceglie in modo casuale: Cioè tali che Poi rende noti N ed e: questo forma la sua chiave pubblica. Tiene invece gelosamente segreto d: la sua chiave privata.

RSA L’utente A per mandare un messaggio a B compie allora le seguenti operazioni: 1.eleva ogni unità del messaggio, a, ad e modulo N 2.invia a B ogni unità b così ottenuta. Per decodificare il messaggio B calcola

RSA Ciò che ottiene B è proprio M grazie ad un classico teorema di Fermat-Eulero, che in questo caso, afferma che: Infatti da si ha che da cui

Confronto Produzione Personalizzazione Fornitura Prima istallazione Manutenzione Utilizzo

Confronto: produzione e personalizzazione –Dopo la fase di produzione nella carta è presente soltanto il Pin Administrator di default. –In fase di personalizzazione viene inserito il Pin Administrator specifico del cliente. –Gli unici attacchi apportabili sono furto o modifica del Pin stesso. –Nella prima fase sono presenti il Pin di default e la PB di CA di default. –Nella seconda fase vengono inseriti il Pin e la PB di CA propri del cliente. –Gli unici attacchi sono furto o modifica Pin. TDESRSA

Confronto: fornitura –Viene fornita la carta, il Pin ed il tool per interagire con la carta. –A questo punto il client deve scegliere se usare una chiave unica o una diversa per ogni ATM. –Accorgimenti: memorizzare la chiave in un DB in modo sicuro e scegliere la chiave escludendo le weak key. –Viene fornita la carta, il Pin, la PB di CA ed il tool per interagire con la carta. –Due possibili soluzioni: CA autentica ogni ATM o CA autentica Client che autentica gli ATM. –Non ci sono attacchi significativi se non di tipo Impersonation. TDESRSA

Confronto: prima istallazione –Nel caso di chiave uguale si potrebbe cablarla già nella smartcard ed escludere ogni attacco. –Nel caso di chiave diversa l’unico attacco è di tipo “cipher-text only” per scoprire la chiave: è allora importante che la chiave non abbia un significato ma sia casuale. –In entrambi i casi non avvengono scambi di chiave e dunque non ci sono attacchi significativi. –Porre attenzione alla generazione delle chiavi: –n diverso per ogni ATM, –PRa non troppo piccola, –PBa non troppo piccola. TDESRSA

Confronto: manutenzione TDES –Guasto smartcard: sostituzione con una smartcard nuova con inserita la chiave. –Guasto ATM: ricaricamento chiave (può essere automatico). –Furto chiave: Ricaricamento chiave su tutte le smartcard e tutti gli ATM. Chiave unica Chiave diversa –Guasto smartcard: sostituzione con una smartcard nuova con inserita la stessa chiave o una chiave nuova. –Guasto ATM: ricaricamento chiave (deve viaggiare sicura). –Furto chiave: modifica chiave solo su smartcard e ATM interessati.

Confronto: manutenzione RSA –Guasto smartcard: sostituzione con una smartcard nuova. –Guasto ATM: si ripetono le procedure effettuate in fase di prima istallazione. –Furto chiave: si ripetono le procedure effettuate in fase di prima istallazione. CA/Client/ATMCA/ATM –Guasto smartcard: sostituzione con una smartcard nuova. –Guasto ATM: si ripetono le procedure effettuate in fase di prima istallazione (interviene la CA). –Furto chiave: si ripetono le procedure effettuate in fase di prima istallazione (interviene la CA).

Attacchi ai protocolli Esaustione Know-Key attack Replay Man in the middle Impersonation

Attacchi alla cifratura Brute Force Cipher-text only Known-plaintext attack Chosen-plaintext attack Adaptive Chosen-plaintext attack Chosen Cipher-text Adaptive Chosen Cipher-text Timing

Confronto: utilizzo con TDES - forza bruta Dimensione della chiave espressa in bit Algoritmo che utilizza tale chiave Numero di possibili chiavi Tempo necessario 1crittografia/ms Tempo necessario 10 6 crittografi e/ms 56DES2 56 =7,2 x ms = 1142 anni10,01 ore 112 TDES con 2 chiavi =5,5 x ms = 7,9 x anni 5,4 x anni 128AES, IDEA2 128 =3,4 x ms = 5,4 x anni 5,4 x anni 168 TDES con 3 chiavi =3,7 x ms = 5,9 x anni 5,9 x anni

Confronto: utilizzo con TDES - forza bruta Il costo di un processore che computa 10 6 crittografie al microsecondo è però molto elevato: si stima intorno ai 5000 dollari il costo della forzatura della chiave a 56 bit (DES) mentre si stima intorno a 2 x dollari il costo della forzatura della chiave a 112 bit. Si presuppone però che tali costi possano scendere molto velocemente con il passare degli anni e lo sviluppo tecnologico che aumenta; ad esempio nel giro di 6 o 7 anni il costo della forzatura del DES potrebbe scendere a 50 dollari. Infine considerando che il TDES utilizza chiavi di 112 bit si può considerare questo attacco potenzialmente inefficace al momento.

Confronto: utilizzo con TDES - crittoanalisi Nel 1981 Merkle ed Hellman presentarono un attacco chosen- plaintex che forza il TDES avendo a disposizione 2 56 coppie di testo scelto (testo in chiaro e cifrato). L’idea fu migliorata per diventare un attacco known-plaintext: Se assumiamo che l’analista ha a disposizione 2 32 coppie RND e f(RND) e 25 macchine da usare in parallelo per un costo totale di 1 milione di dollari (dovuto alle risorse di memoria necessarie) si ha che il tempo necessario alla forzatura della chiave è 4 x 10 8 anni. A parità di risorse con un attacco a forza bruta si avrebbe una stima temporale di 2,5 x anni.

Confronto: utilizzo con RSA - forza bruta Forza bruta: corrisponde a fattorizzare n, al momento non ci sono metodi rapidi se si sceglie n sufficientemente grande. Per dare un’idea della complessità, per un crittosistema RSA, un numero di 256 bits è facilmente fattorizzato da chiunque disponga di un semplice home computer; chiavi da 384 bits possono essere violate da gruppi di ricerca universitari o da alcune compagnie; crittosistemi a 512 bits possono esser rotti dai maggiori governi; chiavi da 768 bits saranno probabilmente violate tra pochissimo; chiavi a 1024 sono per il momento considerate sicure a meno di vistosi progressi fatti nel campo della fattorizzazione, mentre le chiavi di 2048 bits possono esser ritenute sicure almeno per una decina di anni.

Confronto: utilizzo con RSA - crittoanalisi Se N è di 1024 bit d deve dunque essere almeno di 256 bit. Sia n=pq con q<p<2q. Dati n, e, siano d ed e primi fra loro modulo. Allora si può calcolare rapidamente d se Per facilitare le operazioni di cifratura (calcolo di f(RND)) da parte dell’applicativo si potrebbe scegliere una chiave privata piccola, il tempo di calcolo potrebbe diminuire anche di 10 volte ma esiste un attacco formulato da Wiener che rompe crittosistemi RSA con chiavi private piccole. Questo attacco si basa sul seguente risultato:

Confronto: utilizzo con RSA - Timing L’unico attacco interessante formulato al momento è di tipo Timing, Kocher ha infatti scoperto che misurando il tempo impiegato dalla macchina per effettuare f(RND) è possibile risalire alla chiave privata d. Lo stesso Kocher ha ultimamente formulato un attacco simile misurando stavolta il consumo di energia della macchina durante il calcolo della funzione cifrante; tale attacco è però ancora lontano dall’essere applicabile, specialmente in un sistema come l’SSD.

Conclusione Perché non ci sono attacchi al crittosistema? In conclusione RSA è più sicuro! E’ più sicuro in ogni fase, non avvengono mai scambi di chiave!! Non si ha bisogno di data base protetti e poi c’è uno scarico di responsabilità ad ogni livello di produzione e gestione.... Con il TDES c’è sempre qualcuno che conosce la chiave segreta... Dal punto di vista matematico la scelta è elementare! Ma a noi interessa il rapporto costi/sicurezza Un’implementazione con RSA comporta dei costi molto elevati sia economici che come Know-How. Il tempo di computazione delle cifrature e decifrature è decisamente più elevato rispetto al TDES. Anche se la sicurezza è minore rispetto all’RSA è comunque sufficiente al sistema SSD. E’ giusto: l’SSD se implementato correttamente non può subire attacchi significativi.

La Sigma ha scelto di implementare l’SSD con l’algoritmo TDES. Fine