La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Cryptographic Hash Functions by Paolo Bernardi. Cosa sono? y = h(x) N → numero di possibili input M → numero di possibili output N >> M (di solito almeno.

PubblicatoFlaviano Riva Modificato 7 anni fa

Presentazioni simili

Presentazione sul tema: "Cryptographic Hash Functions by Paolo Bernardi. Cosa sono? y = h(x) N → numero di possibili input M → numero di possibili output N >> M (di solito almeno."— Transcript della presentazione:

1 Cryptographic Hash Functions by Paolo Bernardi

2 Cosa sono? y = h(x) N → numero di possibili input M → numero di possibili output N >> M (di solito almeno N > 2M) Input e output sono di lunghezza fissa

3 Perché “crittografiche”? ➔ Le funzioni hash sono usate anche per implementare strutture dati associative (HashMap, dizionari, etc...) ➔ Quando sono usate per scopi crittografici devono soddisfare requisiti più stringenti

4 Perché perderci tempo? “Much more than encryption algorithms, one-way hash functions are the workhorses of modern cryptography”

5 Perché perderci tempo? ➔ Tante applicazioni: ● Integrità dei dati ● Firma digitale ● Gestione delle password ● CSPRNG ●... ➔ Poco studiate rispetto alle altre funzioni crittografiche

6 Perché “crittografiche”? ● Difficile trovare una collisione ● h(x) = h(x'), x ≠ x' ● Difficile trovare la preimmagine ● h(x) → x

7 Perché “crittografiche”? ● Difficile, ma non impossibile, trovare una collisione: principio dei cassetti ● Difficile, ma non impossibile trovare la preimmagine: forza bruta

8 Il modello Random Oracle ● Hash crittografico ideale (ma non fattibile) ● Solo l'oracolo conosce la funzione hash ● Non si può ricostruire dai risultati

9 Random Oracle: collisioni ● Per trovare una collisione devo fare all'oracolo un numero di domande proporzionale alla radice quadrata di M ● Paradosso del compleanno: con 23 persone c'è il 51% di probabilità di averne due con lo stesso compleanno

10 Random Oracle: preimmagine ● Per trovare la preimmagine di un hash dato devo fare all'oracolo un numero di domande proporzionale ad M ● Resistenza alle collisioni implica resistenza alla preimmagine

11 Back to the real world ● N >> M, ma non è infinito! ● Data una funzione hash con dominio finito, come si può estenderla ad un dominio infinito?

12 Funzioni hash iterate Sia compress una funzione hash compress : {0, 1} m + t → {0, 1} m compress viene estesa in modo da accettare input di qualsiasi lunghezza.

13 Funzioni hash iterate Pre-processing: padding L'input viene allungato in modo da essere divisibile per t RICORDA: compress : {0, 1} m + t → {0, 1} m

14 Funzioni hash iterate Processing: the dirty work 1. l'input x è suddiviso in blocchi lunghi t 2. Vettore di inizializzazione (IV) lungo m RICORDA: compress : {0, 1} m + t → {0, 1} m

15 Funzioni hash iterate Processing: the dirty work 1. l'input x è suddiviso in blocchi lunghi t 2. IV è lungo m 3.z 0 = IV 4.z 1 = compress( z 0 | x 1 ) 5.(…) 6.z n = compress( z n - 1 | x n ) z 0 = IV z 1 = compress( z 0 | x 1 ) z 2 = compress( z 1 | x 2 ) (...)

16 Merkle-Damgård Funzione hash iterata che gode della seguente proprietà: compress sicura implica hash sicuro

17 Lo stato dell'arte: MD5 ➔ Hash di 128 bit ➔ Correzione di MD4, del quale si può trovare una collisione con 2 8 valutazioni (secondo RO dovrebbero essere 2 6 4 !!!) ➔ Ron Rivest

18 Attacchi: MD5 ➔ Prima è stata violata la compress ➔ Attualmente, collisioni in 2 3 3 passi (secondo RO dovrebbe essere 2 6 4 ) ➔ Collisioni usate per creare certificati di CA fasulle riconosciuti come validi dai browser

19 Lo stato dell'arte: SHA-1 ➔ Hash di 160 bit ➔ Correzione di SHA-0, subito ritirata per una vulnerabilità teorica notata dopo la pubblicazione ➔ NSA

20 Attacchi: SHA-1 ➔ Esiste un metodo per trovare collisioni in 2 6 9 passi (secondo RO dovrebbe essere 2 8 0 ) ➔ Esiste un rimpiazzo: la famiglia SHA-2 (SHA-256, SHA-512...)

21 Lo stato dell'arte: RIPEMD-160 ➔ Hash di 160 bit ➔ Correzione di RIPEMD, del quale è stata trovata una collisione ➔ Creato da un gruppo di ricercatori europei ➔ Risposta della comunità scientifica a SHA ➔ Non ha vulnerabilità note

22 Lo stato dell'arte ➔ La situazione è tutt'altro che rosea (RICORDA: resistenza alle collisioni implica resistenza alla preimmagine) ➔ Algoritmi basati su operatori a 32bit e inerentemente sequenziali

23 Al fuoco! “It's time to walk, but not run, to the fire exits. You don't see smoke, but the fire alarms have gone off.” Jon Callas, PGP CTO

24 Back to the future: SHA-3 ➔ Competizione organizzata dal NIST ➔ Riprende il modello usato per AES ➔ 2007 / 2012 (revisione di FIPS 180-2) ➔ Attualmente siamo al 2° round

25 Back to the future: SHA-3 ➔ Focus su funzioni più sicure ➔ Focus su hardware moderno (64bit, multicore) ➔ es. Skein (Schneier, Ferguson et al.), 512bit, basata su Threefish ➔ Molti partecipanti basati su AES

26 Back to the future: SHA-3 ➔ Ritiro “eccellente”: MD6 di Ron Rivest ➔ Problemi di velocità ➔ Impossibilità di fornire una prova formale di sicurezza

27 That's all, folks!

Scaricare ppt "Cryptographic Hash Functions by Paolo Bernardi. Cosa sono? y = h(x) N → numero di possibili input M → numero di possibili output N >> M (di solito almeno."

Presentazioni simili

Elementi di Crittografia MAC e FUNZIONI HASH

Elementi di Crittografia MAC e FUNZIONI HASH
Lez. 13a1 Universita' di Ferrara Facolta' di Scienze Matematiche, Fisiche e Naturali Laurea Specialistica in Informatica Algoritmi Avanzati Funzioni Hash.

Lez. 13a1 Universita' di Ferrara Facolta' di Scienze Matematiche, Fisiche e Naturali Laurea Specialistica in Informatica Algoritmi Avanzati Funzioni Hash.
Autenticazione dei messaggi e funzioni hash

Autenticazione dei messaggi e funzioni hash
Capitolo 8 La sicurezza nelle reti

Capitolo 8 La sicurezza nelle reti
Crittografia MITTENTE DESTINATARIO messaggio messaggio chiave-1

Crittografia MITTENTE DESTINATARIO messaggio messaggio chiave-1
Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.

Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.
Crittografia e crittoanalisi Crittografia: tecnica che consente di rendere visibili o utilizzabili le informazioni solo alle persone a cui sono destinate.

Crittografia e crittoanalisi Crittografia: tecnica che consente di rendere visibili o utilizzabili le informazioni solo alle persone a cui sono destinate.
VETTORI: DEFINIZIONI Se ad una grandezza fisica G si associa una direzione ed un verso si parla di vettori: ✔ Le grandezze fisiche possono essere di due.

VETTORI: DEFINIZIONI Se ad una grandezza fisica G si associa una direzione ed un verso si parla di vettori: ✔ Le grandezze fisiche possono essere di due.
Introduzione alla Sicurezza Informatica ISIS ”C. Facchinetti” - Castellanza ( VA) 7 Maggio 2012.

Introduzione alla Sicurezza Informatica ISIS ”C. Facchinetti” - Castellanza ( VA) 7 Maggio 2012.
Sicurezza e crittografia asimmetrica ● Info su redsh.wordpress.com/corso-linux ●

Sicurezza e crittografia asimmetrica ● Info su redsh.wordpress.com/corso-linux ●
D. Masini – La privacy e le comunicazioni digitali Firenze, 9 Mag 2008 – e-privacy 2008 1 La privacy e le comunicazioni digitali Daniele Masini

D. Masini – La privacy e le comunicazioni digitali Firenze, 9 Mag 2008 – e-privacy La privacy e le comunicazioni digitali Daniele Masini
Bitcoin “What is a Bitcoin?”. What is a Bitcoin? Bitcoin The 4th most common research on Google in 2014.

Bitcoin “What is a Bitcoin?”. What is a Bitcoin? Bitcoin The 4th most common research on Google in 2014.
Sei bravo a………scuola calcio Come nella passata edizione le squadre si affronteranno in due momenti, che per questa stagione sportiva si sintetizzano.

Sei bravo a………scuola calcio Come nella passata edizione le squadre si affronteranno in due momenti, che per questa stagione sportiva si sintetizzano.
VO-Neural Project e GRID Giovanni d’Angelo Dipartimento di Scienze Fisiche Università degli Studi di Napoli Federico II Martina Franca 12 – 23 Novembre.

VO-Neural Project e GRID Giovanni d’Angelo Dipartimento di Scienze Fisiche Università degli Studi di Napoli Federico II Martina Franca 12 – 23 Novembre.
Product Quantization for Nearest Neighbor search.

Product Quantization for Nearest Neighbor search.
Agenda Chi è Farobit Fondamenti di sicurezza informatica: vulnerabilità, protezione e integrità fisica hardware, protezione e integrità logico-funzionale.

Agenda Chi è Farobit Fondamenti di sicurezza informatica: vulnerabilità, protezione e integrità fisica hardware, protezione e integrità logico-funzionale.
Sicurezza e Crittografia

Sicurezza e Crittografia
Archivi in Digitale: Firma Digitale

Archivi in Digitale: Firma Digitale
Linee guida corsi di formazione ECM

Linee guida corsi di formazione ECM
Licenze Creative Commons

Licenze Creative Commons

Presentazioni simili

Annunci Google