Embed Size (px)
Citation preview
Facoltà di Giurisprudenza
Corso di Scienze Economiche
Università Mediterranea di Reggio Calabria
1
2
Le notizie più antiche risalgono alla
SCITALA LACEDEMONICA indicata da Plutarco in uso nel IX a.c., ma le informazioni più sicure risalgono “solo” al 400 a.C.
Tra il 360 e il 390 a.C. Enea il tattico descrive, nel XXIcapitolo del primo trattato di cifre, la codifica dei messaggi segreti e propone una codifica attraverso un disco ed un filo.
Dello stesso periodo sono alcuni semplici codici indiani ed ebraici e alcuni codici per sostituzione numerica.
3
Nella Bibbia il libro di Geremia riporta un semplice codice MONOALFABETICO (Atbash) per cifrare la parola Babele, in cui l’ordine posizionale dei caratteri è invertito.
Chiaro a b c d e f g h i j k l m n o p q r s t u v w x y z
Cifrato Z Y X W V U T S R Q P O N M L K J I H G F E D C B A
Reggio Calabria
ivttrlxzozyirz
4
Polibio (~200-118 a.C.), nelle sue Storie (libro X), descrive un codice, detto POLIGRAFICO, attribuendolo a Cleoxeno e Democleito.
I caratteri, cifrati da coppie di numeri tra 1 e 5, erano trasmessi con torce (in pratica un sistema di “telecomunicazioni”).
Nell’alfabeto greco esistono 24 caratteri (il 25 era usato per sincronizzare inizio e fine trasmissioni). Riportando il tutto all’alfabeto moderno si ha:
Reggio Calabria4215222224351311321112422411
5
# 1 2 3 4 5
1 a b c d e
2 f g h i j
3 k /q l m n o
4 p r s t u
5 v w x y z
“Nella vita dei dodici Cesari”, Svetonio narra che Cesare usava un semplice codice per sostituzione, in cui ogni lettera era sostituita da quella distante tre posizioni nell’alfabeto.
Chiaro a b c d e f g h i j k l m n o p q r s t u v w x y z
Cifrato D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
Reggio Calabria
uhjjlrfdodeuld
Si chiamano codici di Cesare tutti i codici che usano una codifica basata su di una generica traslazione di carattere.
6
A partire dal XIV° secolo vengono usate codifiche dette NOMENCLATURE, dove un certo numero di parole sono sostituite da simboli.
Un’altra tecnica è la sostituzione delle vocali reali con simboli e l’inserimento casuale nel testo codificato delle vocali, mentre le consonanti più frequenti (l, r, s, m, n) potevano essere scambiate con altre consonanti.
Nel 1378 l’antipapa Clemente VII° affidò a Gabriele Lavinde il compito di unificare i sistemi di cifratura. Il risultato fu una codifica in cui i caratteri dell’alfabeto sono cifrati da simboli e introdotto l’uso delle nulle e delle Nomenclature.
Successivamente, per evitare analisi statistiche, basate sulla frequenza dei simboli, si iniziarono ad usare più simboli per codificare lo stesso carattere.
7
Per i 3 secoli a seguire tutte le tecniche di cifratura useranno tecniche riconducibili alle Nomenclature.
Il Cardinale Richelieu usava codifiche con gruppi cifranti variabili (ben 11.125 gruppi cifranti diversi), ma questa codifica fu decriptata nel 1689 da Wallis.
Napoleone usava solo 200 gruppi cifranti diversi, ma codificava solo parte dei documenti.
Nel XVI° secolo i Papi usavano un nomenclatore di 300voci codificato con tre cifre.
8
Leon Battista Alberti propose per cifrare i messaggi un
disco combinatore in cui la parte esterna fissa
riportava i 20 caratteri latini con U=V più i numeri da
1 a 4, mentre la parte mobile interna riportava 24
caratteri minuscoli inseriti senza alcuno ordine.
Concordato il primo carattere, tutti gli altri venivano
cifrati di conseguenza. Per rendere il codice più
robusto, si poteva cambiare la chiave di codifica e in
genere ciò era indicato dall’uso di una cifra (il
carattere corrispondente alla cifra era la nuova
chiave). Le maiuscole non venivano usate per non
fornire aiuti.
Questa CIFRATURA POLIALFABETICA era una delle più
sicure dell’epoca ed una delle meno usate.9
G.B. Bellaso pubblicò un metodo polialfabetico basato sul generare diversi alfabeti tra loro disordinati sulla base di una parola chiave, si usano 20 caratteri dell’alfabeto latino (U=V).
Chiave = SENO
Si sceglie una parola o una frase p.es. “ascari”:
Verme a s ……….
Chiaro REGGIO CALABRIA
Cifrato HZQQTB PLALMFZL
10
S E A B C D F G H I
N O L M P Q R T U Z
S E A B C D F G H I
Z N O L M P Q R T U
S E A B C D F G H I
U Z N O L M P Q R T
S E A B C D F G H I
T U Z N O L M P Q R
S E A B C D F G H I
R T U Z N O L M P Q
G
H
I
A
B
C
T
U
Z
L
M
P
S D N Q
E F O R
Nel 1586 Blaise de Vigenere pubblicò il CODICE DI
SOSTITUZIONE POLIALFABETICA, più semplice dei due
precedenti, ma proprio per la sua semplicità più
debole. Fu molto famoso finché non fu rotto per primo
da Kasiski.
Si basa su una generalizzazione del codice di Cesare,
in cui il numero di posizioni da spostare è basato su
una parola chiave nota al mittente ed al destinatario.
Il testo cifrato si ricava spostando la lettera in chiaro
di un numero di caratteri pari al numero ordinale del
carattere del verme corrispondente. Per decifrare si
effettua l’operazione inversa.11
12
Chiaro
REGGIOCALABRIA
Verme
SENOSENOSENOSE
Cifrato
JITUASPODEOFAE
1 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
2 B C D E F G H I J K L M N O P Q R S T U V W X Y Z A
3 C D E F G H I J K L M N O P Q R S T U V W X Y Z A B
4 D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
5 E F G H I J K L M N O P Q R S T U V W X Y Z A B C D
6 F G H I J K L M N O P Q R S T U V W X Y Z A B C D E
7 G H I J K L M N O P Q R S T U V W X Y Z A B C D E F
8 H I J K L M N O P Q R S T U V W X Y Z A B C D E F G
9 I J K L M N O P Q R S T U V W X Y Z A B C D E F G H
10 J K L M N O P Q R S T U V W X Y Z A B C D E F G H I
11 K L M N O P Q R S T U V W X Y Z A B C D E F G H I J
12 L M N O P Q R S T U V W X Y Z A B C D E F G H I J K
13 M N O P Q R S T U V W X Y Z A B C D E F G H I J K L
14 N O P Q R S T U V W X Y Z A B C D E F G H I J K L M
15 O P Q R S T U V W X Y Z A B C D E F G H I J K L M N
16 P Q R S T U V W X Y Z A B C D E F G H I J K L M N O
17 Q R S T U V W X Y Z A B C D E F G H I J K L M N O P
18 R S T U V W X Y Z A B C D E F G H I J K L M N O P Q
19 S T U V W X Y Z A B C D E F G H I J K L M N O P Q R
20 T U V W X Y Z A B C D E F G H I J K L M N O P Q R S
21 U V W X Y Z A B C D E F G H I J K L M N O P Q R S T
22 V W X Y Z A B C D E F G H I J K L M N O P Q R S T U
23 W X Y Z A B C D E F G H I J K L M N O P Q R S T U V
24 X Y Z A B C D E F G H I J K L M N O P Q R S T U V W
25 Y Z A B C D E F G H I J K L M N O P Q R S T U V W X
26 Z A B C D E F G H I J K L M N O P Q R S T U V W X Y
Thomas Jefferson ideo un metodo di cifratura meccanico basato su di un cilindro lungo ~15 cm. e largo 4 cm. sezionato in 36 dischi uguali. Su ogni disco, differente da tutti gli altri, sono riportati i 26 caratteri dell’alfabeto disposti casualmente.
Il messaggio in chiaro viene cifrato in blocchi di 36 lettere (con eventualmente cifre nulle a completare l’ultimo blocco).
La chiave è un numero da 1 a 25 e la lettura viene effettuata dopo un numero di cifrature a cascata pari alla chiave.
Il problema di questa codifica (come per la macchina ENIGMA) è che in mano non desiderate svela la codifica.
13
Il Playfair Chiper è il primo metodo di cifratura a
biagrammi che usa una matrice 5x5 sostituendo la W
con la V. Similmente al metodo di Bellaso usa una
parola chiave (eliminando i caratteri ripetuti) per le
prime posizioni e quindi riempie la tabella con i
restanti caratteri secondo l’ordine naturale.
P.es. con la parola chiave ASCARO si ottiene:
14
A S C R O
B D E F G
H I J K L
M N P Q R
U V X Y Z
Si divide il testo in chiaro in gruppi di 2 lettere (Biagrammi) e si utilizzano le seguenti regole:
1. se le due lettere sono sulla stessa riga, si sostituiscono con le due lettere che seguono a destra proseguendo ciclicamente.
2. se le due lettere sono sulla stessa colonna, si sostituiscono con le due lettere che seguono a destra proseguendo ciclicamente.
3. se le due lettere sono su righe e colonne diverse, si prendono quelle che completano il rettangolo partendo da quella sulla stessa linea del primo carattere.
4. se i due caratteri sono uguali, se ne elimina uno o si inserisce un carattere raro.
15
Chiaro RE GY GI OC AL AB RI A
Cifrato CF FZ DL RA OH SD SK A
Il codice è pratico e veloce, ma non particolarmente robusto, anche ad una analisi statistica.
Sulla stessa matrice di codifica si basa anche il cifrario Bifido di Delastelle che effettua una prima codifica posizionale sugli indici di riga trasformando il messaggio in numerico cifrato, un’altra codifica sugli indici di colonna e quindi si trasforma in caratteri alfabetici raggruppando i numeri due a due.
Questi due metodi sono stati tra i più usati durante la prima guerra mondiale.
16
Durante la seconda guerra mondiale il matematico
Alan Turing partecipo al progetto Colossus che (forse)
portò a realizzare uno dei primi elaboratori utilizzato
per rompere i messaggi cifrati dei nazisti.
Se così fu, Colossus rimase segreto militare ben
custodito per molti anni dopo la fine della guerra e
pertanto non influì in alcun modo sullo sviluppo
dell’informatica se non per motivi storici.
17
18
19
La criptografia è essenziale per molte applicazioni.Ad esempio, i pagamenti via Internet.
Si distinguono 4 tipologie di attacco :
Ciphertext-only attack – basato sulla conoscenza dipiù testi cifrati con la stessa chiave.
Know-plaintext attack – basato sulla conoscenza dipiù testi in chiaro e cifrati con la stessa chiave.
Chosen-plaintext attack – basato sulla conoscenzadi più testi cifrati con la stessa chiave e sullapossibilità di scegliere un testo in chiaro e di averlocifrato.
Brute Force – basato sulla prova di tutte le possibilicombinazioni.
20
Applicazioni:
ieri per esperti.
oggi per tutti.
Opportunità:
per i singoli navigazione, scambio messaggi, etc.
per le aziende mercato globale, riduzione costi.
21
Su Internet viaggiano dati riservati:
è necessario proteggerli.
Su Internet si stipulano accordi vincolanti:
è necessario qualificarsi.
è necessario impegnarsi.
22
Autenticazione
Autorizzazione
Confidenzialità dei dati
Integrità dei dati
Non ripudio
Fiducia
23
Autenticazione :
a vista (conoscenza diretta, carta di identità).
Autorizzazione:
attestato rilasciato da un’autorità (cert. di laurea)
attestata dall’aspetto esteriore (Prefettura).
Confidenzialità:
invio di una lettera in busta chiusa.
Integrità dei dati:
busta sigillata con ceralacca.
Non ripudio:
lettera firmata.
24
Non si è certi dell’identità dell’interlocutore.
Non si è certi della localizzazione spaziale
dell’interlocutore.
E’ possibile intercettare i dati in transito.
I dati in transito si possono duplicare.
Dati originali e dati copiati non sono distinguibili.
25
Per la loro natura i computer eseguono con relativa facilità operazioni molto complesse.
Le tecniche di codifica si dividono in :
a chiave semplice (o chiave simmetrica)
algoritmo DES
algoritmo IDEA
a chiave pubblica (o chiave assimmetrica)
algoritmo Diffie - Hellman.
algoritmo RSA.
26
Ogni soggetto coinvolto deve conoscere la chiave
segreta di trasmissione (verme).
Se il mittente deve corrisponde con soggetti diversi
probabilmente dovrà gestire una chiave segreta per
ogni soggetto coinvolto.
Il punto delicato e’ il passaggio della chiave segreta e
la custodia della stessa.
27
Il sistema richiede due chiavi complementari (una
privata nota solo al mittente e una pubblica nota al
resto del mondo).
Ciò che si codifica con una chiave si può decodificare
solo con l’altra chiave e viceversa.
Anche il mittente per decifrare il proprio messaggio
(codificato con la chiave privata) necessita della
chiave pubblica.
Il punto delicato e’ la custodia della chiave privata.
28
Divenne nel 1997 sistema ufficiale di cifratura del governo statunitense.
Fino al 1993 ne è stata certificata la sua affidabilità dal NIST.
Si compone di 16 cifrature a cascata tra trasposizioni e sostituzioni.
Mittente e destinatario debbono conoscere la stessa chiave (sistema simmetrico).
29
Il testo è suddiviso in blocchi di 64 bit.
Ogni blocco è trasposto sulla base di una chiave di 64 bit.
Si applica 16 volte una funzione cifrante.
Si effettua infine una trasposizione inversa a quella iniziale.
Le chiavi possibili sono pari alla 56° potenza di 2 (8 bit su 64 sono usati per controllo).
N.B. Negli stati uniti le chiavi possibili sono pari alla 90° potenza di 2
30
Input
Permutazione iniziale
SWAP 32 bit
Permutazione finale
Output
L0 R0
L1 =R0 R1=L0+f(k1,R0)+
fX16
k1
31
La chiave teoricamente è troppo corta.
Un tentativo di rottura attraverso un metodo noto come CRITTOANALISI LINEARE (Matsui) ha richiesto 9.735 computer per più di 50 giorni.
Nel 1996 un chip specifico generava 30 milioni di chiavi al secondo e rompeva il DES in media in 12 sec.
Come alternativa si può cambiare frequentemente la chiave.
Il DES si può ritenere sufficientemente sicuro con il vantaggio di essere veloci rispetto a metodi teoricamente più sicuri.
32
DES
Criptografia
DES
Decriptografia
DES
Criptografia
DES
Decriptografia
DES
Criptografia
DES
Decriptografia
K2 K3K1Testo in
Chiaro
Testo
Cifrato
33
International Data Encryption Algorithm (IDEA).
IDEA impiega chiavi a 128 bit che operano su blocchi
di 64 bit del messaggio in chiaro.
Effettua 8 principali iterazioni operando attraverso
operazioni di XOR, somme (ignorando gli overflow) e
moltiplicazioni (ignorando gli overflow).
La chiave è a 128 bit e il numero delle chiavi è di 2127
ed è tale da rendere non proponibile gli attacchi per
forza bruta.
34
Advanced Encryption Standard (AES).
Scelto dal NIST quale successore del DES a
medio/lungo termine.
Le chiavi possono avere 128, 192 e 256 bit, pertanto il
numero delle chiavi è rispettivamente di 2127 , 2191 e
2255.
35
Rivest Cipher – RC2, RC4, RC5 e RC6.
Codici di cifratura prodotti da Ron Rivest.
L’RC6 è l’ultimo della serie, ma differisce dai suoi
predecessori.
La chiave dell’RC6 possono arrivare fino a 2040 bit,
analogamente il numero delle chiavi può arrivare fino
a 22039.
E’ stato un concorrente dell’AES
36
37
Gestisce l’accesso ai sistemi distribuiti usando varie
misure di sicurezza ed un unico sistema fidato (ma non
è immune da attacchi).
Si basa sull’ipotesi che solo poche macchine possono
essere veramente sicure.
Kerberos utilizza un’unica macchina sicura (server
fidato o trusted server) che controlla l’accesso a tutti
gli altri server della rete, mettendo a disposizione sei
tipi diversi di autorizzazioni (tickets).
L’area controllata prende il nome di realm e i suoi
utenti (client o server) prendono il nome di principal.
38
Un utente per accedere a qualsiasi risorsa nella rete
deve prima chiedere l’autorizzazione al server fidato
come segue:
L’utente firma con la propria chiave privata la richiesta di
accesso ad un servizio remoto, disponibile in rete, e poi
codifica il messaggio con la chiave pubblica del server (si
garantisce la provenienza e ci si assicura che solo il
server può leggere la richiesta) e la invia al server fidato.
Il server decodifica la richiesta con la propria chiave
privata e verifica l’identità del mittente, attraverso la
firma digitale, per controllare se l’utente è autorizzato a
usufruire del servizio richiesto.
Se il client ha accesso al servizio, il server fidato informa
di ciò la macchina che fornisce il servizio.
39
Il server fidato invia al client una chiave univoca
(ticket) che contiene le informazioni per l’accesso
al servizio e una chiave di sessione (a crittografia
semplice) da usare per contattare il fornitore. Il
tutto codificato con la chiave pubblica del client.
Il server fidato invia al fornitore di servizi lo stesso
ticket del client, ma codificato con la chiave
pubblica del fornitore.
40
Il client contatta il fornitore inviando la sua copia
del ticket crittografata con la chiave pubblica del
fornitore. Se le due copie dei ticket coincidono il
fornitore autorizza la connessione.
Finita la fornitura del servizio, le cui modalità
saranno contrattate da client e fornitore,
quest’ultimo informa il server fidato che distruggerà
il ticket (monouso).
41
1. Il client invia una richiesta in chiaro al server fidato (in genere richiede un ticket per la richiesta di ticket).
2. Il server verifica l’identità del client attraverso una chiave segreta condivisa (p.es una password) ed invia il ticket per la richiesta di ticket.
3. Il client userà questo ticket con il server fidato per ottenere un vero ticket ogni volta che nella sessione dovrà richiedere un servizio remoto.
4. Questa modalità è leggermente più sicura della precedente poiché il ticket per la richiesta di ticket ha una scadenza temporale.
42
Ogni server fidato gestisce il suo realm.
Si usano chiavi inter-realm definite dai rispettivi
server fidati. Solo attraverso le chiavi inter-realm
due realm possono comunicare.
E’ possibile che due client si connettano anche non
direttamente, ma attraverso un percorso che
interessi più realm e che quindi necessiti di più
chiavi inter-realm.
43
Il riconoscimento del client attraverso chiave segreta condivisa lo espone ad attacchi di tipo spoofing.
Se non si usano i timestamp nei ticket un hacker potrebbe riproporre i ticket.
E’ sempre possibile che un hacker violi il messaggio criptato inviato dal server fidato al client.
Kerberos non impedisce gli attacchi di tipo Denial of Service (DoS).
Kerberos è vulnerabile se la chiave segreta condivisa non è più segreta o se la password viene identificata.
44
45
Kc chiave di codifica.
Kd chiave di decodifica.
C funzione di codifica.
D funzione di decodifica.
M messaggio in chiaro.
X messaggio cifrato.
Kp chiave pubblica.
Ks chiave segreta.
46
X = C (Kc, M) ; M = D (Kd , X)
Il principio di funzionamento si basa sulla impossibilità
di risalire ad una delle due chiavi dalla conoscenza
dell’altra.
47
Diffie ed Hellman, Stanford 1976.
Hanno proposto un meccanismo per lo scambio di una chiave segreta sopra un canale insicuro.
Inizialmente proposto per risolvere l’avvio di un sistema a chiave simmetrica, ha posto le basi della crittografia a chiave pubblica.
Mittente e destinatario hanno due chiavi: a) una chiave privata nota solo al mittente; b) una chiave pubblica nota a tutti.
Non è possibile risalire dalla conoscenza di una chiave dall’altra.
Ciò che è cifrato con una chiave non viene decifrato con l’altra.
48
Il protocollo tra due utenti A e B può descriversi come
segue:
1. A e B scelgono pubblicamente un insieme di interi
G=[0, N-1] ed un suo elemento s.
2. A sceglie in modo casuale un elemento a di G e
calcola yA = sa mod N e lo invia a B.
3. B sceglie in modo casuale un elemento b di G e
calcola yB = sb mod N e lo invia ad A.
4. A, ricevuto sb calcola K = (yB)a mod N = (sb)a mod N.
5. B, ricevuto sa calcola K= (yA)b mod N = (sa)b mod N.
49
In tale modo sia A che B possiedono K, ma sopra il canale insicuro sono stati trasferiti solo (N, s, sa
mod N, sb mod N) che non consentono di risalire a K.
La determinazione di A noti s ed sa richiede la soluzione del problema del logaritmo discreto, ossia dell’intero che corrisponde al logaritmo in una base intera di un intero di cui è noto solo il resto della divisione rispetto al modulo N.
Il problema del logaritmo discreto è computazionalmente difficile.
50
Rivest, Shamir ed Adleman, MIT 1978.
Primo sistema di crittografia a chiavi pubbliche basato sui concetti proposti da Diffie ed Hellman.
Si basa sulla fattorizzazione di interi di grandi dimensioni e sulla difficoltà di determinare i fattori di un numero primo se questo è molto grande. La difficoltà di rottura cresce esponenzialmente con il numero di bit usati per la chiave.
Lavora con chiavi lunghe a piacere: sicuro con chiavi lunghe almeno 150 bit.
E’ difficile fattorizzare numeri grandi > 10100 : non è stato finora trovato un procedimento veloce. non è dimostrato che tale procedimento non esista.
Molto più gravoso del DES.
51
L’algoritmo RSA può descriversi come segue:
1. Scegliere due interi p e q che siano primi; il loro prodotto corrisponde al valore di N utilizzato nel calcolo del modulo nelle operazioni di codifica e decodifica.
2. Scegliere un intero E < N che sia primo rispetto a
T=(p-1)(q-1), da utilizzare quale chiave pubblica di codifica Kp.
3. Calcolare l’intero D per cui risulti E*D = 1 mod T, che verrà usato con N come chiave segreta di decodifica Ks
4. Rendere pubblici N e KP=T.
52
Il primo si basa sulla difficoltà di calcolare algoritmi
discreti in un campo finito generato da un numero
primo molto grande.
Il secondo si basa sulla difficoltà di trovare i fattori
primi di un intero molto grande.
I due algoritmi sono sufficientemente simili, anche se
il primo sembra essere leggermente superiore come
prestazioni.
53
ElGamal, 1985.
Più vicino all’algoritmo di Diffie ed Hellman rispetto all’algoritmo RSA.
Può essere assimilato ad un cifrario simmetrico, dove la chiave di codifica-decodifica è generata dinamicamente e comunicata sfruttando il protocollo di scambio Diffie-Hellman.
54
La cifratura è più complessa rispetto all’algoritmo RSA.
Scelti gli interi N ed s, con 0 < s < N, che sono resi pubblici; si indicano con e le chiavi segrete scelte da A e B, tali che Kp
A=s mod N e KpB=s mod N siano
le rispettive chiavi pubbliche. Se A vorrà inviare un messaggio a B dovrà operare nel seguente modo:
1. Scegliere un intero h < N e calcolare x1=sh mod N.
2. Calcolare K = (Kpb)h mod N.
3. Calcolare x2 = K M mod N.
4. Inviare come messaggio cifrato la coppia (x1, x2).
B riceve x1=sh mod N e possiede , calcola a sua volta K = (sh) e recupera M dividendo x2 per il valore di K appena ricavato.
55
La cifratura con un sistema simmetrico, generando
casualmente per ogni messaggio una nuova chiave,
cifrata con un sistema a chiavi pubbliche, allegata
al messaggio stesso, è usata per sopperire
all’intrinseca inefficienza dei cifrari assimmetrici e
consentire la cifratura in linea dei messaggi
scambiati con un sistema di comunicazione.
La sicurezza è analoga a quella dell’algoritmo
Diffie-Hellman.
56
Le curve ellittiche consentono varianti degli schemi crittografici esistenti.
Scegliendo opportunamente una curva si può ottenere una complessità matematica superiore a quella degli algoritmi già esaminati.
La variante a curva ellittica del problema del logaritmo discreto può essere risolta efficacemente solo da algoritmi esponenziali.
57
Le curve ellittiche possono essere viste come una
trasformazione sopra gli elementi di un insieme che
possiede la struttura di un gruppo algebrico. Ossia,
elementi più operazioni sugli elementi.
E’ pertanto possibile ottenere sistemi diversi con
diverse caratteristiche di sicurezza sostituendo
l’insieme di base.
Per esempio, si può utilizzare l’insieme di punti di
una curva ellittica definita su di un campo finito,
che costituisce un gruppo abeliano.
58
A parità di resistenza richiede una chiave molto più
piccola rispetto agli altri sistemi.
Chiavi più piccole vogliono dire algoritmi più veloci
ed efficienti a parità di sicurezza.
In futuro la cifratura a chiave ellittica avrà una
diffusione sempre maggiore.
59
60
La firma digitale è una informazione aggiunta ad un documento informatico al fine di garantirne integrità e provenienza.
Si basa sugli algoritmi di crittografia precedentemente esaminati.
Può avere impieghi diversi dalla sottoscrizione di documenti (p.es. l’aggiunta di firma digitali ai file conservati nella memoria centrale per contrastare l’attacco da parte di virus ed hacker).
61
La principale differenza tra firma autografa ed elettronica è che la prima è direttamente riconducibile alla persona che firma, mentre la seconda no.
I CERTIFICATI sopperiscono a questa mancanza, rendendo pubblico il legame tra la firma e chi la ha apposta.
La firma elettronica è intrinsecamente collegata al documento su cui è apposta e il loro legame non viene meno neanche separando fisicamente il documento dalla firma.
La firma è calcolata sulla base del contenuto del documento su cui è apposta.
62
La firma digitale assolve pertanto le seguenti
funzioni:
Indicativa, dato che consente di identificare
l’autore del documento.
Dichiarativa, perché permette l’assunzione di
paternità del documento.
Probatoria, in quanto garantisce l’autenticità
del documento.
63
Mittente ………………………………………. Charlie
Destinatario ……………………………….. Snoopy
Intruso (attivo o passivo) ………………. Lucy
64
Kc chiave di codifica.
Kd chiave di decodifica.
C funzione di codifica.
D funzione di decodifica.
M messaggio in chiaro.
X messaggio cifrato.
Kp chiave pubblica.
Ks chiave segreta.
65
Lucy
Intercetta i dati in transito, cercando di ottenere
vantaggi.
Studia come forzare il codice scoprendone eventuali
debolezze (crittoanalisi) o applicando al messaggio
cifrato tutte le possibili chiavi (forza bruta).
Replica i messaggi anche senza comprenderli.
66
InternetX X
M M
67
InternetX X
M MKs Kp
X = C (Kp , M)M = D (Ks , X)
a da
68
InternetX X
M MKs Kp
X = C (Ks , M) M = D (Kp , X)
ada
69
Il MESSAGE DIGEST (H) è un riassunto numerico, relativamente piccolo, del messaggio.
I più usati sono l’MD5 (lavora su blocchi da 512 bit e produce un message digest da 128 bit) e l’SHA (lavora su blocchi da 160 bit e produce un message digest da 160 bit) .
E’ impossibile risalire dal message digest al messaggio in chiaro (per tale motivo l’algoritmo che viene applicato viene anche chiamato HASH MONO-DIREZIONALE).
A differenza del CRC che è un checksum aritmetico, il message digest si ottiene da moltiplicazioni e divisioni ed è praticamente impossibile che volutamente due messaggi diversi producano lo stesso valore.
70
Come si genera:
1. Si applica la funzione hash mono-direzionale al
messaggio e si ottiene il riassunto numerico H
(Message Digest).
2. Si codifica H con la propria chiave privata.
A quali funzioni assolve:
1. Deve essere inviata al destinatario con il
messaggio M.
2. Garantisce l’autenticazione, l’integrità dei dati e
il non ripudio.
Internet
71
Al destinatario verrà fornita la chiave pubblica
C (Ks , H)H
M
MD F Firma di Charlie
Messaggio
Algoritmo
Message Digest
Message DigestCodifica con
la chiave
segreta
Messaggio
+ Firma
72
Il destinatario userà la chiave pubblica
Internet
D (Kp , F)H1=H2
M
MD F Firma di Charlie
Messaggio
Algoritmo
Message
Digest
Message
Digest
Decodifica con
la chiave
pubblica
Messaggio
+ Firma
?
73
InternetX X
M M
74
InternetM M
KpLucyKp
Charlie
Intercetta e blocca la
chiave pubblica di
Charlie
Passa a Snoopy
la propria chiave
spacciandola per
quella di Charlie
75
M M
Intercetta e blocca
il messaggio di
Charlie
Passa a Snoopy
il proprio messaggio
spacciandolo per
quello di Charlie
C (Ks , H)H
M
MD F
Messaggio
+ Firma
Messaggio
+ Firma
76
Se insieme al messaggio ed alla firma si spedisce
anche la chiave pubblica, ovviamente la sostituzione
della chiave e del messaggio possono avvenire
contemporaneamente.
Si pone dunque il problema di garantire che chi firma
un messaggio si proprio colui che dice di essere.
Serve pertanto qualcuno che attesti la genuinità della
firma e la sua validità.
77
E’ un documento digitale:
1. Appositi enti detti Certification Authority (CA)
rilasciano delle attestazioni di possesso della
chiave.
2. Un certificato per chiavi contiene il nome del
proprietario, un contrassegno cronologico
dell’istante di generazione della coppia di chiavi
e della chiave pubblica.
3. E’ garantito dalla firma digitale dell’ente
certificatore.
78
Alcuni enti privati e pubblici gestiscono degli archivi
per chiavi chiamati PUBLIC KEY-RING.
I public key-ring contengono i certificati delle chiavi
pubbliche.
Un public key-ring non è altro che un data-base
Possono esistere archivi anche delle chiavi segrete,
ovviamente non pubblici.
79
Chi riceve un documento con una firma digitale non farà altro che richiedere il corrispettivo certificato al competente public key-ring.
Alla richiesta di un certificato l’autorità verifica l’identità, la validità ed invia insieme a queste informazioni anche una copia della chiave pubblica. Il tutto codificato attraverso la chiave segreta dell’autorità.
Ricevuto il certificato dall’autorità competente, l’utente lo decifra con la chiave pubblica dell’ente e se il certificato è valido temporalmente, confronta la copia della chiave pubblica allegata con quella ricevuta nel messaggio (o separatamente).
Internet
FFirma di Charlie
Codifica con
la chiave
privata
M1+M2
+ Firma
C (Ks , H)
80
Il destinatario userà la chiave pubblica
M2
MD
Messaggi
Algoritmo
Message
Digest Message
Digests
M1
MD
MD
81
Il destinatario userà la chiave pubblica
InternetBusta
MD F
Firma di Charlie
Messaggio
Algoritmo
Message
Digest
Message
Digests Codifica con
la chiave
privata
M imbustato
+ FirmaM
C (Ks , H)
82
83
L’algoritmo di El Gamal (1985) per la firma digitale è alquanto diverso da quello destinato alla cifratura.
Per generare la firma si deve operare come segue:
1. Si genera casualmente un intero h [0, N-1] che sia primo ripetto a N-1.
2. Si calcola u = sh mod N.
3. Si risolve rispetto a v la relazione di congruenza M Ks u + h v mod (N-1).
4. La firma M è la coppia (u , v).
La verifica della firma è data dalla relazione: sM = Kp
u uv mod N.
84
La determinazione di una coppia di valori (u, v) che
soddisfi la precedente equazione richiede la
soluzione del logaritmo discreto nel caso in cui si
fissi u e si cerchi di determinare v di conseguenza.
Nel caso opposto si ricade in una equazione di
congruenza esponenziale mista per la quale non
sono noti algoritmi efficienti.
85
L’algoritmo di Schorr (1991) è analogo a quello di El Gamal da cui si differenzia sostanzialmente per l’introduzione di una funzione hash (H) che associa a ciascun messaggio e a ciascuna chiave un intero in un intervallo di ampiezza predefinita T.
La procedura per generare la firma è la seguente:
1. Si genera casualmente un intero h [0, N-1].
2. Si calcola u = sh mod N.
3. Si calcola il valore della funzione H corrispondente al messaggio M e ad u, ossia e = H (M , u).
4. Si calcola v = Ks e + h mod N.
5. La firma di M è la coppia (u , v).
86
La sicurezza dell’algoritmo di Schorr come in quello
di El Gamal e nella soluzione del problema del
logaritmo discreto.
Il vantaggio di questo algoritmo è che scegliendo
opportunamente l’ampiezza T del codominio della
funzione di hash, si può di conseguenza scegliere la
dimensione della firma.
87
Il 30 Agosto 1991 il NIST (National Institute of
Standard and Technology) ha proposto uno standard
per la firma digitale il DSS (Digital Signature
Standard), obbligatorio per agenzie federali
americane.
Lo standard DSS è stato per la maggior parte
sviluppato dall’agenzia NSA (National Security
Agency).
In seguito il NIST ha modificato autonomamente il
DSS, ora chiamato FIPS (Federal Information
Processing Standard).
88
Il FIPS/DSS usa un algoritmo DSA (Digital Signature
Algorithm) nel calcolo e nella verifica delle firme
digitali.
Il FIPS/DSS usa come funzione di hash monodirezionale
l’algoritmo SHA (Secure Hash Standard) considerato
uno dei più robusti algoritmi di hashing.
Per generare e verificare le firme digitali il FIPS/DSS
utilizza il FIPS 180-1.
89
Il DSS è sostanzialmente una variante dell’algoritmo di Schorr in cui la funzione di hash H ha come unico argomento il messaggio e quindi il suo valore non dipende dalla chiave di cifratura.
Il metodo prevede preliminarmente la generazione delle chiavi dopodiché si può procedere alla generazione della firma per il messaggio M.
Analogamente all’algoritmo di Schorr, la sua robustezza si basa sulla complessità del problema del calcolo del logaritmo discreto.
E’ criticato per la predifinizione dei limiti di variabilità dei parametri di base.
90
Per generare le chiavi si deve operare come segue:
1. Si sceglie un intero primo P [2511 , 2512] da usare
nelle operazioni di modulo.
2. Si sceglie un intero Q [2159 , 2160], divisore primo
di P-1.
3. Si sceglie un intero G [0 , P-1].
4. Si sceglie un intero x (0 , Q) che è la chiave
privata Ks.
5. Si calcola l’intero y = Gx utilizzato come chiave
pubblica Kp.
91
Ottenute le chiavi la generazione della firma per un
messaggio M si ottiene come segue:
1. Si sceglie casualmente un intero h (0 , Q).
2. Si calcola l’intero u = (Gh mod P) mod Q.
3. Si determina v risolvendo la relazione
H(M) = Ks u + h v mod Q.
4. La firma di M è la coppia (u , v).
92
La verifica è condotta mediante la seguente
procedura:
1. Si calcola w : w v = 1 mod Q.
2. Si calcola i = H(M) w mod Q.
3. Si calcola j = u w mod Q.
4. Si calcola r = ((Gj Kp) mod P) mod Q.
5. Deve risultare che r =u
Il D.P.R. n.445/2000, relativamente al documento informatico, recita all’art. 1. punto b) “la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”.
Si evince che il documento informatico ha una identificazione concettuale che prescinde dal mezzo fisico utilizzato per dagli forma ed quindi è identificabile in base al solo contenuto informativo.
E’ chiaro che non è possibile trasferire nel mondo virtuale i principi codicistici dettati in tema di sottoscrizione di un documento.
La comunicazione digitale ha reso indifferibile l’urgenza di una normativa ad hoc.
L’art. 1. punto n) del D.P.R. n.445/2000 definisce la firma digitale come il risultato della procedura informatica (validazione) basata su un sistema di chiavi assimmetriche che consente alle parti di rendere manifesta o verificare la provenienza e l’integrità di un documento o insieme di documenti.
In altre parole la firma digitale non è altro che il risultato di un calcolo matematico applicato al contenuto informativo.
E’ perciò l’informazione aggiunta ad un documento informativo che consente di garantirne l’ascrivibilità,
l’autenticità e l’integrità del documento stesso.
Autenticazione della provenienza dati:
l’art. 23, comma 3, D.P.R 445/2000 recita “la firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all’insieme di documenti cui è apposta o associata”.
Integrità del messaggio:
la modifica di un solo bit nel documento non farà combaciare il Message Digest ed indicherà una alterazione rispetto all’originale inviato.
Non ripudiabilità :
se apposta con una chiave non scaduta il titolare della chiave segreta non potrà ripudiare il documento
inviato.
Il tallone d’Achille del sistema a chiave pubblica è il
mantenimento della riservatezza della chiave segreta.
Il D.P.R. 513/1997 prima e il D.P.R. 445/2000 poi
creano la figura del certificatore (D.P.R. 445/2000,
art. 22, 27, 28). Terzo rispetto alle parti,
l’equivalente di un Ufficio Anagrafe, che garantisce
nei confronti di terzi l’autenticità della chiave
pubblica, ossia la connessione tra la firma apposta e il
soggetto che la ha apposta.
La firma digitale è stata introdotta nell’ordinamento
italiano con il D.P.R. 31/10/1997 n. 513, emanato in
attuazione dell’art. 15, comma 2, della L. 15 marzo
1997 n. 59 (c.d. L. Bassanini).
E’ stata la prima norma ad attestare la validità
giuridica della firma digitale prevedendo
testualmente: “ gli atti e i documenti formati dalla
Pubblica Amministrazione e dai privati con strumenti
informatici o telematici, i contratti stipulati nelle
medesime forma, nonché la loro archiviazione e
trasmissione con strumenti informatici, sono validi e
rilevanti a tutti gli effetti di legge”.
Le necessarie regole tecniche (D.P.C.M. 8 febbraio 1999) hanno permesso all’Italia di essere formalmente all’avanguardia in Europa (direttiva UE n. 99/93).
La materia è stata successivamente riordinata dal T.U. delle disposizioni legislative e regolamentari in materia di documentazione amministrativa approvato con D.P.R. 28 dicembre 2000 n. 445, che ha disposto l’abrogazione del D.P.R. 513/1997 art. 77 ed il mantenimento in vigore, fino alla loro sostituzione, delle regole tecniche già predisposte (art. 78).
Infine il D.Lgs. 23 gennaio 2002 n.10 ha introdotto
modifiche all’impianto normativo attuale.
L’art.23. punto 2 del T.U. (D.P.R. n. 445/2000) ha sancito l’equivalenza tra sottoscrizione tradizionale autentica e la firma digitale disponendo che: “l’apposizione o l’associazione della firma digitale al documento informatico equivale alla sottoscrizione prevista per gli atti e i documenti in forma scritta su supporto cartaceo”
La firma digitale è pertanto equiparata, per gli aspetti che ci interessano, alla firma autografa. L’art. 2702 c.c. recita: “La scrittura privata fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne disconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta”.
La circolare ISVAP n. 339/D del 17 gennaio 2000 impone, per la sottoscrizione di polizze assicurative on-line, che l’utente sia dotato della firma digitale, poiché integra gli estremi della forma scritta ed ha l’efficacia probatoria della scrittura privata ex art. 2702 c.c.
Inoltre la marca temporale, con le modalità degli art. 52-60 delle regole tecniche, consentirà di dare certezza alla data e all’ora di conclusione di un accordo con efficacia opponibile a terzi.
Recentemente l’art. 10 del D.Lgs. N.10/2002 ha riqualificato la firma digitale come “scrittura privata legalmente riconosciuta”.
L’art.10. del D.P.R. n. 445/2000 riporta “Il documento informatico, quando è sottoscritto con firma digitale o altro tipo di firma elettronica avanzata, e la firma è basata su un certificato qualificato ed è generata mediante un dispositivo per la creazione di una firma sicura, fa inoltre piena prova, fino a querela di falso, della provenienza delle dichiarazioni di chi l’ha sottoscritto”.
Non vi è più il riferimento all’art. 2702 c.c. e pertanto fino a querela di falso la firma digitale è pienamente valida senza la necessità che del riconoscimento o dell’autentica. Ne deriva che il documento sottoscritto con la firma digitale è effettivamente paragonato alla “scrittura privata legalmente riconosciuta”.
Distingue tre firme ognuna con una specifica efficacia
probatoria:
Firma elettronica debole. Ossia “l’insieme dei dati in
forma elettronica, allegati oppure connessi tramite
associazione logica ad altri dati elettronici, utilizzati
come metodo di autenticazione informatica” (art.2
lett. a).
P.es. una password o uno username.
Firma elettronica avanzata. Ossia, “la firma
elettronica ottenuta attraverso una procedura
informatica che garantisce la connessione univoca al
firmatario e alla sua univoca identificazione, creata
con mezzi sui quali il firmatario può conservare un
controllo esclusivo e collegata ai dati ai quali si
riferisce in modo da consentire di rilevare se i dati
stessi siano stati successivamente modificati”.
Firma elettronica avanzata basata su un certificato
qualificato e generata attraverso un dispositivo di
firma sicura (art. 10, comma 3, D.P.R. 445/2000, così
come introdotto dall’art. 6 D.Lgs. 10/2002).
All’ultimo tipo di firma corrisponde la firma adottata in Italia adottata dai vari D.P.R. 513/1997, D.P.R. 445/2000, D.Lgs. 10/2002.
Da ricordare che l’art. 6 del D.Lgs. 10/2002 sostituisca completamente l’art. 10 del D.P.R. 445/2000.
La nuova formulazione della norma al comma 1 riconosce al documento informatico l’efficacia probatoria prevista dall’art. 2712 c.c. (“le riproduzioni fotografiche o cinematografiche e, in genere, ogni altra rappresentazione meccanica di fatti e di cose formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime”.).
