UNIVERSIT`A DEGLI STUDI DI PERUGIA Corso di laurea

Transcript

UNIVERSITÀ DEGLI STUDI DI PERUGIA
Facoltà di Scienze Matematiche, Fisiche e Naturali
Corso di laurea specialistica in Informatica
Appunti di Crittografia
Studente:
Professore:
Davide Tortoioli
Prof. Massimo Giulietti
Anno Accademico 2009/2010
Indice
1 Crittografia Classica
1.1
1.2
1.3
4
Block Cipher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
1.1.1
Shift Cipher (Cifrario di Cesare) . . . . . . . . . . . . . . . . . .
5
1.1.2
Substitution Cipher . . . . . . . . . . . . . . . . . . . . . . . . .
6
1.1.3
Affine Cipher . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
1.1.4
Vigenère Cipher . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
1.1.5
Hill Cipher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
1.1.6
Permutation Cipher . . . . . . . . . . . . . . . . . . . . . . . . .
12
Stream Cipher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
1.2.1
LFSR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
14
Crittoanalisi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17
1.3.1
Crittoanalisi del Substitution Cipher . . . . . . . . . . . . . . . .
17
1.3.2
Crittoanalisi dell’Affine Cipher . . . . . . . . . . . . . . . . . . .
18
1.3.3
Crittoanalisi di Vigenère . . . . . . . . . . . . . . . . . . . . . . .
20
1.3.4
Crittoanalisi di Hill . . . . . . . . . . . . . . . . . . . . . . . . . .
22
1.3.5
Crittoanalisi di LFSR . . . . . . . . . . . . . . . . . . . . . . . .
24
2 Teoria di Shannon
26
2.1
Introduzione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
2.2
Richiami di Probabilità . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
2.3
Segretezza Perfetta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
28
2.4
One-Time Pad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
2.5
Crittosistemi Prodotto . . . . . . . . . . . . . . . . . . . . . . . . . . . .
33
2.5.1
35
Crittosistemi Prodotto Idempotente . . . . . . . . . . . . . . . .
3 Crittografia Simmetrica
3.1
37
Substitution-Permutation Network (SPN) . . . . . . . . . . . . . . . . .
37
3.1.1
40
Considerazione sulle S-box . . . . . . . . . . . . . . . . . . . . . .
1
Indice
3.2
3.3
3.4
3.5
3.6
Indice
Crittoanalisi Lineare . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
41
3.2.1
Piling-Up Lemma
. . . . . . . . . . . . . . . . . . . . . . . . . .
42
3.2.2
Approssimazione lineare di un S-box . . . . . . . . . . . . . . . .
44
3.2.3
Attacco lineare ad un SPN . . . . . . . . . . . . . . . . . . . . .
46
Campi Finiti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
3.3.1
Costruzione di un campo finito . . . . . . . . . . . . . . . . . . .
52
DES (Data Encryption Standard) . . . . . . . . . . . . . . . . . . . . . .
56
3.4.1
Descrizione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
56
3.4.2
Analisi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
60
3.4.3
Varianti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
61
AES (Advanced Encryption Standard) . . . . . . . . . . . . . . . . . . .
63
3.5.1
Caratteristiche Generali . . . . . . . . . . . . . . . . . . . . . . .
63
3.5.2
Struttura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
64
3.5.3
Substitution Bytes . . . . . . . . . . . . . . . . . . . . . . . . . .
64
3.5.4
Shift Rows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
67
3.5.5
Mix Columns . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
67
3.5.6
Key Schedule . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
67
Modi Operativi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
69
4 Funzioni Hash Crittografiche
70
4.1
Funzioni Hash e Data Integrity . . . . . . . . . . . . . . . . . . . . . . .
70
4.2
Sicurezza di una funzione hash . . . . . . . . . . . . . . . . . . . . . . .
71
4.2.1
Random Oracle Model . . . . . . . . . . . . . . . . . . . . . . . .
72
4.2.2
Algoritmi nel Random Oracle Model . . . . . . . . . . . . . . . .
73
4.2.3
Comparazione dei criteri di sicurezza . . . . . . . . . . . . . . . .
76
Funzioni Hash Iterative . . . . . . . . . . . . . . . . . . . . . . . . . . .
78
4.3.1
Costruzione Merkle-Damgard (MD) . . . . . . . . . . . . . . . .
78
4.3.2
SHA-1 (Secure Hash Algorithm) . . . . . . . . . . . . . . . . . .
80
4.3.3
MAC (Message Authentication Codes) . . . . . . . . . . . . . . .
82
4.3.4
Un pò di storia . . . . . . . . . . . . . . . . . . . . . . . . . . . .
88
4.3
5 Crittografia Asimmetrica
89
5.1
Introduzione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
89
5.2
Ulteriore teoria dei numeri . . . . . . . . . . . . . . . . . . . . . . . . . .
93
5.2.1
Algoritmo Euclideo . . . . . . . . . . . . . . . . . . . . . . . . . .
93
5.2.2
Metodo dell’elemento primitivo . . . . . . . . . . . . . . . . . . .
97
5.2.3
Teorema Cinese dei Resti . . . . . . . . . . . . . . . . . . . . . . 100
2
Indice
Indice
5.2.4
5.3
5.4
Teorema di Eulero . . . . . . . . . . . . . . . . . . . . . . . . . . 102
RSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
5.3.1
Complessità . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
5.3.2
Test Probabilistici di primalità . . . . . . . . . . . . . . . . . . . 106
5.3.3
Algoritmi di Fattorizzazione . . . . . . . . . . . . . . . . . . . . . 110
Crittosistema ElGamal . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
5.4.1
Algoritmi di risoluzione del DL-Problem . . . . . . . . . . . . . . 123
6 Firma Digitale
129
6.1
Schema SHA1WithRSA . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
6.2
Schema Elgamal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
6.3
Schema SHA1WithDSA . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
6.4
Funzionamento Pratico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
7 Elliptic Curve Cryptography (ECC)
137
7.1
Curve Ellittiche nei Reali . . . . . . . . . . . . . . . . . . . . . . . . . . 137
7.2
Curve Ellittiche in Fp . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
7.3
Curve Ellittiche in F2m . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
7.4
Applicazione in Crittografia . . . . . . . . . . . . . . . . . . . . . . . . . 145
7.5
7.4.1
Generazione Chiavi . . . . . . . . . . . . . . . . . . . . . . . . . . 147
7.4.2
ECDSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
Vantaggi e Svantaggi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
7.5.1
Vantaggi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
7.5.2
Svantaggi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
3
Capitolo 1
Crittografia Classica
L’obiettivo fondamentale della crittografia è far si che due persone, comunemente
chiamate Alice e Bob, possano comunicare attraverso un canale insicuro, in un modo
tale da non permettere a Oscar (intruso o opponent) di capire ciò che i due si stanno
dicendo. Per fare questo Alice cifra, con una funzione, il messaggio, usando una chiave predeterminata, e trasmette il risultato attraverso il canale insicuro. Oscar può
ascoltare la comunicazione, quindi conosce il testo cifrato ma non deve essere in grado
di risalire, tramite di esso, al testo in chiaro. Quando Bob riceve il messaggio cifrato gli
applica una funzione di decodifica, utilizzando la stessa chiave, e ottiene il messaggio
in chiaro.
Quest’idea è formalmente descritta usando la seguente notazione matematica.
Definizione 1 (Crittosistema). Un crittosistema è una 5-tupla (P, C, K, E, D)
dove le seguenti condizioni sono soddisfatte:
1. P è un insieme finito dei possibili plain text
2. C è un insieme finito dei possibili cipher text
3. K è un insieme finito delle possibili chiavi
4. ∀k ∈ K c’è una funzione di cifratura ek ∈ E e una corrispondente funzione di de-cifratura dk ∈ D dove ek : P → C e dk : C → P e ∀x ∈ P si
ha che dk (ek (x)) = x
4
1.1. Block Cipher
Capitolo 1. Crittografia Classica
La proprietà più importante è la 4. Essa specifica che, se un plaintext x viene cifrato
tramite ek e il risultante ciphertext viene decifrato tramite dk , allora il risultato di dk
deve essere x.
Questo proprietà (formale), però, non basta noi vogliamo anche che:
1. Le funzioni ek e dk siano computazionalmente facili da calcolare
2. Sia computazionalmente difficile ricavare k da ek (m)
Alice e Bob devono seguire uno specifico protocollo per usare uno specifico crittosistema. Per prima cosa, devono scegliere in maniera random una chiave k ∈ K. Questo
viene fatto o quando entrambi sono nello stesso luogo e senza nessuno che li osserva, o
mediante l’utilizzo di un canale sicuro.
Successivamente supponiamo che Alice voglia inviare un messaggio a Bob. Il messaggio è rappresentato dalla stringa
x = x1 x2 .....xn
per ogni intero n ≥ 1, dove ogni simbolo in chiaro xi ∈ P con 1 ≤ i ≤ n. Ogni xi
viene cifrato ottenendo yi = ek (xi ) e il risultato
y = y1 y2 .....yn
viene inviato nel canale. Quando Bob riceve la stringa decifra ogni yi con la funzione
dk ottenendo xi = dk (yi ) con 1 ≤ i ≤ n.
1.1
Block Cipher
Sono quei tipi di cifrari per i quali la chiave di cifratura rimane costante nel tempo.
La lunghezza della chiave determina la lunghezza del blocco.
x1 → ek (x1 )
x2 → ek (x2 )
..
.
xm → ek (xm )
1.1.1
Shift Cipher (Cifrario di Cesare)
È un cifrario che si basa sull’aritmetica modulare.
5
1.1. Block Cipher
Definizione 2 (Congruenza). Siano a e b due interi e m un intero positivo.
Diciamo che a ≡ b (mod m) se m | b − a. Si dice quindi che a è congruo b
modulo m. Due interi sono congrui modulo m sse divisi per m danno lo stesso
resto.
Definizione 3 (Aritmetica Modulare). L’aritmetica modulare è definita dall’insieme Zm = {0, 1, 2, ...., m − 1} e dalle operazioni + e · che sono identiche
a quelle dell’aritmetica normale, quindi godono anche delle stesse proprietà,
con la differenza che il risultato viene ridotto modulo m.
Il cifrario è cosı̀ definito:
1. P = {A, B, C, D, ...., W, X, Y, Z} = {0, 1, 2, 3, 4, ...25} = Z26
2. C = Z26
3. K = Z26
4. ek (x) = x + k
(mod 26)
5. dk (y) = y − k
(mod 26)
La proprietà formale è soddisfatta, come la proprietà sulla complessità computazionale
ma la 2 no; infatti con un semplice attacco di forza bruta è possibile determinare la
chiave.
Il problema è dovuto al fatto che il numero delle chiavi è molto piccolo, e quindi in
poco tempo posso provarle tutte.
1.1.2
Substitution Cipher
Questo crittosistema risolve il problema dovuto al fatto di avere poche chiavi ma
comunque non garantisce la sicurezza. È cosı̀ definito:
1. P = {A, B, C, D, ...., W, X, Y, Z} = {0, 1, 2, 3, 4, ...25} = Z26
2. C = Z26
3. K = S26
4. ek (x) = eπ (x) = π(x) con π ∈ Sn
5. dk (y) = dπ (y) = π −1 (y)
6
1.1. Block Cipher
Definizione 4 (Sn ). È l’insieme delle funzioni biiettive.
Sn = {π : {1, 2, 3, ..., n} → {1, 2, 3, ..., n}| π BIIET T IV A}
La cardinalità è: |Sn | = n! perché il primo elemento del dominio posso di
associarlo a n elementi, il secondo a n − 1.... l’n-esimo a 1.
Nel nostro caso, quindi, |S26 | ∼ 4 · 1026 . Questo significa che un attacco di forza
bruta diventa difficile da portare a termine, ma il cifrario è comunque soggetto ad altri
attacchi di tipo statistico, ossia posso basarmi sulle frequenze delle lettere dell’alfabeto
o sulle doppie o sulle regole semantiche del linguaggio (esempio se c’è la q c’è anche la
u vicino).
Quindi non è sufficiente avere un gran numero di chiavi per essere sicuri.
1.1.3
Affine Cipher
È una generalizzazione dello Shift Cipher ed è cosı̀ definito:
1. P = {A, B, C, D, ...., W, X, Y, Z} = {0, 1, 2, 3, 4, ...25} = Z26
2. C = Z26
2 | gcd(a, 26) = 1}
3. K = {(a, b) ∈ Z26
a
4. ek (x) = e(a,b) (x) = ax + b (mod 26)
5. dk (y) = d(a,b) (y) = a−1 (y − b)
a
(mod 26)
gcd: Significa Greatest Common Divisor, ossia il massimo comune divisore
La funzione ek è detta funzione affine; con a = 1 otteniamo lo Shift Cipher.
Affinché questo sistema funzioni, però, bisogna garantire che ek sia INIETTIVA, cioè
due elementi del dominio devono avere due immagini diverse nel codominio altrimenti
la fase di decodifica è impossibile, perché non ho più la certezza di riottenere il testo in
chiaro.
Teorema 1 (F. INIETTIVA). Sia e(a,b) : Zm → Zm , x 7−→ ax + b (mod m).
e(a,b) IN IET T IV A ⇐⇒ gcd(a, m) = 1
Dimostrazione. =⇒
Supponiamo f INIETTIVA e mostriamo che gcd(a, m) = 1.
ASSURDO: gcd(a, m) = d > 1
a·
m
+ b ≡ b (mod m)
d
7
1.1. Block Cipher
Se d > 1 significa che divide a e quindi posso semplificare ottenendo
a0 · m + b ≡ b (mod m)
Poiché m ≡ 0
(mod m) l’espressione diventa
b ≡ b (mod m)
Questo significa che ho x = m
d e x = 0 che mi danno lo stesso risultato, quindi la funzione non è INIETTIVA ma poiché è stato supposto vero, si è arrivati alla
contraddizione e si è dimostrata l’implicazione.
⇐=
Supponiamo che gcd(a, m) = 1 e mostriamo che f è INIETTIVA .
ASSURDO: f NON INIETTIVA
ax + b ≡ ax0 + b (mod m) con x 6≡ x0
ax ≡ ax0
(mod m)
ax − ax0 ≡ 0
a(x − x0 ) ≡ 0
(mod m)
(mod m)
(mod m) ⇐⇒ m | a(x − x0 )
Siccome gcd(a, m) = 1 si ha che
m | (x − x0 )
e quindi
x ≡ x0
(mod m)
Definizione 5 (Inverso Moltiplicativo). L’inverso moltiplicativo è quell’elemento a−1 tale che a−1 a ≡ 1 (mod m). Si può calcolare sse f è
INIETTIVA.
La cardinalità di K è |K| = 12 · 26 dove 26 sono i valori che può assumere b e 12 i
valori plausibili per a (cioè quelli primi con m). Il numero di valori che può assumere
a dipende da m ed è definito da φ(m), la funzione di eulero.
Definizione 6 (Funzione Toziente di Eulero). Sia m ≥ 2, m ∈ Z
φ(m) = #{a | 1 ≤ a < m ∧ gcd(a, m) = 1}
8
1.1. Block Cipher
Teorema 2 (Funzione Toziente di Eulero). Fattorizziamo m con pi primi
distinti
m = P1r1 · P2r2 · ..... · Pnrn
φ(m) = Πni=1 (Piri − Piri −1 )
1.1.4
Vigenère Cipher
Sia nello Shift Cipher che nel Substitution Cipher ogni carattere viene mappato in
un unico carattere. Per questa ragione questi crittosistemi appartengono alla categoria
dei crittosistemi a sostituzione Mono alfabetica. Il cifrario di Vigenère invece adotta
una sostituzione Poli alfabetica ossia in punti diversi del testo, una stessa lettera può
essere associata a due lettere diverse.
Questo cifrario è cosı̀ definito:
m
1. P = Z26
x = (x1 , x2 , ....., xm )
m
2. C = Z26
y = (y1 , y2 , ....., ym )
m
3. K = Z26
k = (k1 , k2 , ....., km )
4. ek (x) = e(k1 ,k2 ,....,km ) (x1 , x2 , ....., xm ) = (x1 +k1
(mod 26), ......, xm +km
(mod 26))
5. dk (y) = d(k1 ,k2 ,....,km ) (y1 , y2 , ....., ym ) = (y1 − k1
(mod 26), ......, ym − km
(mod 26))
Il problema di questo cifrario è che la sostituzione dipende dalla posizione del plintext rispetto alla chiave, ossia se una lettera compare più volte nella stessa posizione
rispetto alla chiave, avrà la stessa codifica.
9
1.1. Block Cipher
1.1.5
Hill Cipher
Questo crittosistema è un’altro esempio di cifrario poli alfabetico. Esso è cosı̀
definito:
m
1. P = Z26
x = (x1 , x2 , ....., xm )
m
2. C = Z26
y = (y1 , y2 , ....., ym )
3. K = {K ∈ Mmxm | det(K) 6= 0 ∧ det(K) IN V ERT IBILE in Z26 }
4. eK (x) = (x1 , x2 , ....., xm ) · K
5. dK (y) = (y1 , y2 , ....., ym ) · K −1
(mod 26)
(mod 26)
Bisogna garantire l’iniettività di eK , affinché non sia possibile che due caratteri
ricevano la stessa codifica; questo è possibile verificando che la matrice K sia invertibile.
In R eK è invertibile o iniettiva se det(M ) 6= 0. In Zn questa condizione non è sufficiente.
Teorema 3 (Funzione Invertibile). eK è invertibile/iniettiva ⇐⇒ det(K) 6= 0
e è anche un elemento invertibile in Zn
Ossia la funzione è invertibile sse la matrice K è invertibile, cioè
KK −1 = K −1 K = In
Per la fase di decodifica bisogna calcolare la matrice inversa K −1 . Esistono due
metodi:
• Metodo della matrice dei cofattori
• Algoritmo Jordan-Gauss
Metodo della matrice dei cofattori
Sia A la matrice da invertire

x1,1 · · ·
 .
..

A =  ..
.
xi,1 · · ·
la sua inversa è la seguente:
10

x1,j

..

.

xi,j
1.1. Block Cipher
T
cof (A, x1,j )

..

.

cof (A, xi,j)

A−1
cof (A, x1,1 ) · · ·
1 
..
 ...
=
.

det(A)
cof (A, xi,1 ) · · ·
dove la notazione det(A) indica il determinante di A e l’esponente T indica l’operazione di trasposizione. Il cofattore in posizione (i, j) è definito come:
cof (i, j) = (−1)i+j · det(minor(A, i, j))
dove minor(A, i, j) rappresenta la matrice ottenuta da A cancellando la riga i-esima
e la colonna j-esima.
Algoritmo Jordan-Gauss
Funziona nel modo seguente: sia A una matrice invertibile. Costruiamo la matrice
B = (A | I) con n righe e 2n colonne, costruita affiancando A e la matrice identità
I. A questo punto applichiamo l’algoritmo di Gauss-Jordan alla nuova B. Poiché A è
invertibile, le sue colonne sono indipendenti, e quindi conterranno tutte dei pivot alla
fine dell’algoritmo. Quindi il risultato sarà una matrice del tipo (I | C). Ebbene la
matrice C è proprio l’inversa di A.
L’esempio seguente mostra che l’inversa di A è C
!
1 2
A=
2 3
C=
(A | I) =
1 2k1 0
2 3k0 1
−2 −4k − 2 0
0
4k8
!
−4
=
2
−1
−2 −4k − 2 0
=
!
!
−3 2
2
3k0
−2 0k6 −4
0
4k8 −4
1
!
=
!
=
−2 −4k − 2 0
0
−1k − 2 1
1 0k − 3 2
0 1k − 2 1
!
=
!
= (I | C)
Nel primo passaggio si è moltiplicata la prima riga per -2 e la si è sommata alla
seconda riga. Nel secondo passaggio si è moltiplicata la seconda riga per -4 e la si è
sommata alla prima riga. Infine nell’ultimo passaggio si è divisa la prima riga per -2 e
la seconda per 4.
11
1.1. Block Cipher
1.1.6
Permutation Cipher
Il cifrario si basa sull’anagrammare le lettere di un blocco, seguendo una certa
funzione ∈ Sm . È possibile ridurlo ad un Hill Cipher.
m
1. P = Z26
x = (x1 , x2 , ....., xm )
m
2. C = Z26
y = (y1 , y2 , ....., ym )
3. K = Sm
4. ek (x) = eπ (x1 , x2 , ....., xm ) = (xπ(1) , xπ(2) , ....., xπ(m) )
5. dk (y) = dπ (y1 , y2 , ....., ym ) = (yπ−1 (1) , yπ−1 (2) , ....., yπ−1 (m) )
È un cifrario debole perché il numero di chiavi non è eccessivamente elevato: m!.
ESEMPIO:
Scegliamo m = 6
Vogliamo codificare OGGI È MARTEDI
Prendiamo la chiave k = (135624)
OGGIEM → IMOGGE
Riduzione all’Hill Cipher
Questa trasformazione può essere vista come una moltiplicazione tra il vettore e
un’opportuna matrice invertibile.






(14 6 6 8 4 12) · 





001000


000100 


000010 
 = (8 12 14 6 6 4)

100000 

000001 

010000
k = (135624)
La chiave k dipende dalle posizioni degli uno nelle colonne.
Una matrice cosı̀ fatta riduce enormemente il numero di chiavi, perché si usano solo
1 e 0 secondo un certo criterio mentre potrei scegliere da 0 a 25 in maniera del tutto
casuale, purché la funzione risulti una biiezione.
12
1.2. Stream Cipher
1.2
Stream Cipher
Gli Stream Cipher si differiscono dai Block Cipher per i fatto che la chiave cambia
nel tempo.
x1 → ez1 (x1 )
x2 → ez2 (x2 )
..
.
xm → ezm (xm )
Stream Cipher Sincroni: La successione z1 , z2 , ..., zn , che costituisce la chiave, non
dipende dai testi in chiaro ma soltanto da una “master key”. Esso è definito dalla
7-tupla (P, C, K, L, E, D, G) dove
• P: Insieme dei plaintext
• C: Insieme dei ciphertext
• K: Insieme delle possibili “master key”
• L: Insieme delle possibili chiavi “parziali”
• E: Insieme delle funzioni di cifratura
∀z ∈ L, ∃ez : P → C
• D: Insieme delle funzioni di de-cifratura
∀z ∈ L, ∃dz : C → P
• G: Insieme delle possibili successioni
g : K → LN
k 7−→ (z1 , z2 , ...., zn )
13
1.2. Stream Cipher
1.2.1
LFSR
L’acronimo sta per Linear Feedback Shift Register, ed è cosı̀ definito:
• P = C = L = Z2 = {0, 1}
• ez (x) = x + z
(mod 2) → x ⊗ z
• dz (y) = y + z
(mod 2) → y ⊗ z
• K = Z22m con m ∈ Z, m > 0
k = (k1 , k2 , ..., km | c0 , c1 , ..., cm−1 ) con c0 obbligatoriamente 1, altrimenti
non considero le m posizioni precedenti ma le m − 1.
• g : K → LN
(k1 , k2 , ..., km | c0 , c1 , ..., cm−1 ) 7−→ (z1 , z2 , ..., zm )
(
g=
se i ≤ m
z i = ki
zi+m =
Pm−1
j=0
(cj · zi+j )
(mod 2)
else
N.B.: Le funzioni ez ed dz sono di facile implementazione hardware. Per quanto
riguarda g la prima parte della chiave mi serve per inizializzare la successione.
ESEMPIO:
m=4
k = (1, 0, 0, 0 | 1, 1, 0, 0)
zi+4 = c0 · zi + c1 · z(i+1) + c2 · z(i+2) + c3 · z(i+3) → zi + z(i+1)


z1 = 1






 z2 = 0
g=
z3 = 0




z4 = 0




zi+4 = zi + z(i+1)
(mod 2)
Successione: 1 0 0 0 1 0 0 1 1 0 1 0 1 1 1 | 1 0 0 0
Mi fermo nel costruire la successione quando ripeto la sequenza iniziale. Nel caso
preso in esempio ho trasformato una chiave da 8 in una da 15.
14
1.2. Stream Cipher
Osservazione 1. La sequenza iniziale z1 , z2 , ..., zm si ripete al più dopo 2m −1
passi, perché le possibili sequenze binarie lunghe m sono 2m ; il −1 indica la
chiave con tutti gli ci = 0, che non posso usare altrimenti la successione sarà
composta da tutti 0.
Per raggiungere il periodo massimo bisogna impostare adeguatamente gli ci .
Come si fa a capire quando una g è buona?
Definizione 7 (Polinomio caratteristico di un LFSR). Il POLINOMIO
CARATTERISTICO di un LFSR è cosı̀ definito:
f (x) = c0 + c1 · x + c2 · x2 + · · · + cm−1 · xm−1 + xm ∈ Z2 [X]
Teorema 4 (Polinomio Caratteristico). Se il Polinomio Caratteristico è irriducibile (cioè non si può scrivere come il prodotto di due o più polinomi)
allora la sequenza iniziale si ripete dopo i passi con i | 2m − 1
ESEMPIO:
m=4
k = (1, 0, 0, 1 | 1, 0, 1, 1)
Successione: 1 0 0 1 0 1 1 | 1 0 0 1 → PERIODO 7
7 6 | 24 − 1 → POLINOMIO RIDUCIBILE
f (x) = 1 + x2 + x3 + x4
———————–
m=4
k = (1, 0, 0, 1 | 1, 1, 1, 1)
Successione: 1 0 0 1 0 | 1 0 0 1 → PERIODO 5
5 | 24 − 1 → POLINOMIO IRRIDUCIBILE
f (x) = 1 + x + x2 + x3 + x4
Quando il periodo è il più lungo possibile?
Definizione 8 (Divisione fra Polinomi). Dati due polinomi f e g con g 6= 0
esistono e sono unici q e r tali che
f =g·q+r
con deg(r) < deg(g) .
15
1.2. Stream Cipher
ESEMPIO:
x4 + x2 + x x2 + 1
−x4 − x2
x2
x
x4
+
x2
+x≡x
(mod x2 + 1)
Definizione 9 (Polinomio Primitivo). Sia f (x) un polinomio a coefficienti
m
binari (Z2 [x]) se i monomi 1, x, x2 , x3 , · · · , x2 −2 sono distinti modulo f (x).
ESEMPIO: f (x) = 1 + x + x2 + x3 + x4 è primitivo?
1
(mod f (x)) = 1
x
(mod f (x)) = x
x2
(mod f (x)) = x2
x3
(mod f (x)) = x3
x4
(mod f (x)) = 1 + x2 + x3
x5
(mod f (x)) = 1
Questo polinomio non è primitivo, infatti come si può vedere, il periodo è minore
di 2m − 1
Teorema 5 (Periodo massimo). Il periodo di LFSR è 2m − 1 ⇐⇒ il suo
polinomio caratteristico è primitivo.
Teorema 6 (Esistenza Polinomio Primitivo). ∀m, ∃ almeno un polinomio
primitivo di grado m.
Semplificazione Hardware
È molto semplice costruire un dispositivo hardware che implementa tale cifrario.
Infatti basta utilizzare uno Shift Register e delle porte logiche XOR.
ESEMPIO:
k = (1, 0, 1, 0, 1, 1, 0 | 1, 0, 1, 0, 1, 0, 1)
Utilizzo uno shift register da 7 bit e 4 porte.
16
1.3. Crittoanalisi
1.3
Crittoanalisi
Con il termine crittoanalisi si intende lo studio dei metodi per ottenere il significato
di informazioni cifrate senza avere accesso all’informazione segreta che è di solito richiesta per effettuare l’operazione. Tipicamente si tratta di trovare una chiave segreta.
La crittoanalisi è la controparte della crittografia.
Definizione 10 (Principio di Kerkoffs). Un crittosistema deve essere sicuro
anche se il suo funzionamento è di pubblico dominio, con l’eccezione della
chiave. La sicurezza di un crittosistema dipende solo dalla segretezza della
chiave.
Esistono 4 tipologie di attacchi ad un crittosistema (attack model):
• Cipher Text Only: L’hacker dispone soltanto di ek (x)
• Known Plaintext: L’hacker dispone di x e di ek (x)
• Chosen Plaintext: L’hacker può inviare un messaggio cifrato a bob. Può quindi
scegliere x e ricavarne ek (x)
• Chosen Ciphertext: L’hacker può scegliere il testo cifrato y e ricavarne dk (y)
Se il sistema è sicuro per la soluzione più facile per l’hacker (Chosen Ciphertext) lo
sarà ancora di più per quelle più difficili.
1.3.1
Crittoanalisi del Substitution Cipher
Esso è fragile all’attacco Cipher Text Only.
Assumiamo che il testo in chiaro sia un testo in Inglese senza spazi. Molte tecniche
di crittoanalisi usano proprietà statistiche della lingua Inglese. Questo perché una
sostituzione mono alfabetica non altera queste proprietà che sono:
• Frequenze delle lettere
Le lettere possono essere divise, in base alle frequenza, in 5 gruppi:
1. E: La lettera con frequenza maggiore
2. T,A,O,I,N,S,H,R: Con frequenza compresa tra 0.06 e 0.09
3. D,L: Con frequenza intorno a 0.04
4. C,U,M,W,F,G,Y,P,B: Con frequenza compresa tra 0.015 e 0.028
17
1.3. Crittoanalisi
5. V,K,J,X,Q,Z : Che hanno frequenza minore di 0.01
• Digrams e Trigrams
Sono sequenze di 2-3 lettere, tipo TO, ON, THE, AND ecc...
Quando si riceve un testo si calcolano le frequenze delle lettere nel testo cifrato.
Poiché le frequenze non vengono alterate siamo sicuri che la lettera che compare con il
maggior numero di frequenze è sicuramente la E. Successivamente si cerca di trovare un
assegnamento per il secondo gruppo procedendo per tentativi. Si ripete il procedimento
fino alla fine.
Chiaramente una cosa del genere è possibile se il testo cifrato che riusciamo a
recuperare è ragionevolmente lungo; infatti se il testo è corto è possibile che le frequenze
risultino sballate.
Un’analisi del genere ci permette di ridurre di molto il tempo di decrittazione
ottenuto con un algoritmo di forza bruta.
1.3.2
Crittoanalisi dell’Affine Cipher
Esso, come il precedente, è fragile all’attacco Cipher Text Only, però l’Affine è più
fragile in quanto basta indovinare due lettere e si riesce a trovare la chiave.
Esso effettua una sostituzione mono alfabetica, quindi si presta bene anche ad un
attacco di tipo Cipher Text Only. In realtà è più facile rompere l’Affine piuttosto che il
Substitution; siccome la chiave è fatta di due incognite mi basta azzeccare due lettere
per avere un sistema di due equazione e due incognite e quindi anche una sua soluzione,
che sarà la chiave.
Supponiamo di voler decifrare il seguente testo
18
1.3. Crittoanalisi
F M XV EDKAP HF ERBN...
Per prima cosa calcoliamo le frequenze:

D=7



 E=5 




 H=5 


 K=5 


R=8
IPOTESI:
E → R cioè 4 → 17
T → D cioè 19 → 3
Quindi otteniamo il sistema seguente:
(
17 = 4a + b (mod 26)
3 = 19a + b (mod 26)
Dato che ho due uguaglianze per il momento tralascio b ed eseguo la differenza tra
le due
(
−14 = 15a
(mod 26)
(
−−−−−−−
(
a = 12 · 7
a = 12 · 15−1
(mod 26)
−−−−−−−
(mod 26) = 84
(mod 26) = 6
−−−−−−−
Il metodo per trovare l’inverso di un numero (a−1 ) verrà presentato più avanti.
a = 6 non è un valore accettabile perché deve essere primo con 26 (gcd(6, 26) 6= 1).
IPOTESI:
E → R cioè 4 → 17
T → K cioè 19 → 10
19
1.3. Crittoanalisi
Quindi otteniamo il sistema seguente:
(
17 = 4a + b (mod 26)
10 = 19a + b (mod 26)
Dato che ho due uguaglianze per il momento tralascio b ed eseguo la differenza tra
le due
(
−7 = 15a (mod 26)
− − −−
(
a = 19 · 7
(
a = 19 · 15−1
(mod 26)
−−−−−−−
(mod 26) = 133
(mod 26) = 3
−−−−−−−
a = 3 è accettabile quindi calcoliamo b per sostituzione da una delle due uguaglianze
17 = 4 · 3 + b → b = 5
Quindi si ha che
dk (y) = (y − 5) · 3−1 → (y − 5) · 9
1.3.3
Crittoanalisi di Vigenère
Anch’esso è fragile ad un attacco Cipher Text Only, ma poiché adotta una sostituzione poli alfabetica il procedimento di crittoanalisi e leggermente più complicato ma
comunque computazionalmente leggero.
La fragilità di vigenère è dovuta al fatto che se si riesce ad individuare m poi, il
problema, si riconduce ad una sostituzione mono alfabetica di tipo shift, cioè la più
semplice da rompere.
Osservazione 2 (Kasiski). Se nel testo cifrato compare più volte una stessa
sequenza di 3 o più lettere questo probabilmente non è casuale ma indica che
la sequenza occupa la stessa posizione nell’ambito del proprio blocco. Quindi
possiamo affermare che m divide la distanza tra le posizioni delle due sequenze
identiche.
Test di Kasiski: Si considerano nel ciphertext tutte le distanze δ1 , δ2 , · · · , δn fra
sequenze di lettere uguali e lunghe almeno 3. Si ipotizza che m = gcd(δ1 , δ2 , · · · , δn )
20
1.3. Crittoanalisi
Osservazione 3 (Friedman). Se m è la lunghezza della chiave allora le
sequenze cosı̀ ottenute
s1 = y1 , ym+1 , y2m+1 · · ·
s2 = y2 , ym+2 , y2m+2 · · ·
..
.
sm = ym , y2m , y3m · · ·
prese singolarmente sono il risultato di una sostituzione mono alfabetica, di
tipo shift, perché ad ogni posizione nella sequenza aggiungo sempre la stessa
quantità.
Ora bisogna capire quando una sostituzione è mono alfabetica.
Una sostituzione è mono alfabetica quando la distribuzione delle frequenze “somiglia” a quella del linguaggio naturale, oppure quando l’ indice di coincidenza del linguaggio naturale è molto vicino a quello del testo cifrato.
Indice di coincidenza: Probabilità che prese due lettere a caso, queste siano uguali
(dipende dal linguaggio).
Calcolo dell’indice per il linguaggio naturale
Ind.co. = P rob. 2 A + P rob. 2 B + · · · + P rob. 2 Z =
PA2 + PB2 + · · · + PZ2 =
(0, 082)2 + (0, 015)2 + · · · + (0, 001)2 = 0, 065
Calcolo dell’indice per il Ciphertext
Ricordiamo:
n
k
=
n!
k!·(n−k)!
n
2
e di conseguenza
=
n(n−1)
2
che indica il numero di
modi per scegliere due caratteri.
PA
2
n
2
PB
2
n
2
Ind.co. =
Ind.co. =
+
1
n(n−1)
2
+ ··· +
X
·
PZ
2
n
2
fx · (fx − 1)
x∈Z26
Se questo numero è molto vicino a 0.065 allora la sostituzione è mono alfabetica.
Test di Friedman: Si cerca m andando per tentativi. Si considerano le sequenze
21
1.3. Crittoanalisi
s1 , s2 , · · · , sm . Si calcola l’indice di coincidenza di ciascuna sequenza si . Se tale indice
∀i è vicino a 0,065 allora si accetta m come lunghezza della chiave.
A questo punto il gioco è fatto, perché in questo caso per rompere il cifrario basta
indovinare una sola lettera.
Sia α la lettera più frequente nella sequenza i-esima, allora ipotizzo
E→α
4 → nα
nα = 4 + ki
ki = nα − 4
Ripeto il procedimento ∀i cioè per ogni sequenza.
1.3.4
Crittoanalisi di Hill
Effettuare un attacco di tipo Cipher Text Only è impraticabile, in quanto questo
cifrario somiglia molto a Vigenère ma usa una trasformazione più complicata. È invece
vulnerabile ad un attacco Known Plaintext.
ESEMPIO:
m=2
f riday → P QCF KU
(5, 17, 8, 3, 0, 24) → (15, 16, 2, 5, 10, 20)
Conoscendo queste poche informazioni l’hacker può impostare un sistema di 4
equazioni e 4 incognite e risolvere il problema.
Sappiamo che:
(5, 17) ·
(8, 3) ·
ab
!
= (15, 16)
cd
ab
cd
Da qui costruiamo il seguente sistema:
22
!
= (2, 5)
1.3. Crittoanalisi



5a + 17c = 15



 5b + 17d = 16

8a + 3c = 2




 8b + 3d = 5
Otteniamo due sistemi più piccoli:
(
(
5a + 17c = 15
5b + 17d = 16
8a + 3c = 2
8b + 3d = 5
Risolviamo il primo:
(
5a + 17c = 15
8a + 3c = 2
=
Poiché 26 ≡ 0
n
n
13a + 20c = 17 =
n
2 · (13a + 20c = 17) =
n
26a + 40c = 34
(mod 26)
40c = 34 =
n
n
14c = 8 =
7c = 4 =
n
c = 4 · 7−1 = 4 · 15 = 8
Quindi
(
(
c=8
=
5a + 17 · 8 = 15
(
c=8
=
5a = 9
(
c=8
a = 9 · 5−1 = 9 · 21
=
c=8
a=7
Risolviamo il secondo:
(
5b + 17d = 16
8b + 3d = 5
(
(
=
−−−−−−−
3d = 5 − 8b
5b + 17 · (45 − 72b) = 16
−−−−−
(
(
=
b = 19
(
=
−−−−−
d = (5 − 8b) · 9 = 45 − 72b
5b + 11 − 2b = 16
−−−−−
(
=
d = 45 − 72 · 19
(
=
3b = 5
−−−−−
b = 19
d=3
Ora conosciamo la matrice chiave e per verifica controlliamo che
(0, 24) ·
7 19
83
23
!
= (10, 20)
=
=
1.3. Crittoanalisi
1.3.5
Crittoanalisi di LFSR
Il cifrario è fragile ad un attacco di tipo Known Plaintext.
Supponiamo di intercettare il seguente testo cifrato
y = 101101011110010
Non esiste un metodo semplice per effettuare un attacco Cipher Text Only specialmente se il periodo è molto grande, mentre invece è molto semplice effettuare un
attacco Known Plaintext.
m=5
x = 011001111111000 ⊗
y = 101101011110010
z = 110100100001010
Già abbiamo recuperato metà chiave, infatti
k = (1, 1, 0, 1, 0 | c0 , c1 , c2 , c3 , c4 )
Poiché




(zm+1 , zm+2 , · · · , z2m ) = (c0 , c1 , · · · , cm−1 ) · 


z1 , z2 , · · · , zm

z2 , z2 , · · · , zm+1
..
.






zm , zm+1 , · · · , z2m
Applicato all’esempio diventa

11010

 101


(0, 1, 0, 0, 0) = (c0 , c1 , c2 , c3 , c4 ) ·  0 1 0

 100

001


00 


01 

10 

00
Per ricavare gli ci , ho troviamo la matrice inversa e la moltiplichiamo per il (0, 1, 0, 0, 0)
oppure risolviamo il seguente sistema:
24
1.3. Crittoanalisi


0 = c0 + c1 + c3






 1 = c0 + c2
0 = c1 + c4




0 = c0 + c3




0 = c2


0 = c0 + c1 + c3






 1 = c0
0 = c1 + c4




0 = 1 + c3




0 = c2


0 = 1 + c1 + c3






 1 = c0
0 = c1 + c4




1 = c3




0 = c2


0 = 1 + c1 + 1






 1 = c0
0 = c1 + c4




1 = c3




0 = c2


0 = c1






 1 = c0
0 = c4




1 = c3




0 = c2
k = (1, 1, 0, 1, 0 | 1, 0, 0, 1, 0)
Teorema 7. Dato un LFSR di ordine m i valori z1 , z2 , · · · , z2m danno luogo
ad un sistema lineare in c0 , c1 , · · · , cm−1 avente un’unica soluzione.
25
Capitolo 2
Teoria di Shannon
2.1
Introduzione
Nel 1949, Claude Shannon pubblicò un articolo chiamato “Comunication Theory of
Secret System”. Questo articolo ebbe un’enorme influenza nel campo della crittografia.
In questo capitolo verranno presentate molte delle idee di Shannon. Per prima cosa
consideriamo alcuni approcci per valutare la sicurezza di un crittosistema. I criteri di
valutazioni più comuni sono:
Computational Security . Un crittosistema viene definito computazionalmente sicuro se il miglior algoritmo conosciuto, per rompere il crittosistema, richiede un
numero esponenziale di operazioni.
Provable Security . Un altro approccio è provare matematicamente la sicurezza utilizzando la tecnica della riduzione, che ci permette di accostare questo problema
ad un problema NP-Complete.
Unconditional Security . Un crittosistema è definito sicuro se non può essere rotto
con una quantità infinita di risorse.
Shift Cipher, Substitution Cipher e Vigenère sono computazionalmente sicuri contro
un attacco Ciphertext Only, ma sono insicuri contro un attacco Known Plaintext;
One-Time Pad è unconditional security..
2.2
Richiami di Probabilità
Variabile Aleatoria Discreta . È una coppia (X , p) tale che
• Dominio: X = {x1 , x2 , · · · , xn }
• Distribuzione di Probabilità: p : X → [0, 1] con
26
Pn
i=1 p(xi )
=1
2.2. Richiami di Probabilità
Capitolo 2. Teoria di Shannon
Prodotto di Var. Aleatorie Discrete : Date due variabili aleatorie X e Y il prodotto è
X · Y = {(xi , yj )} → prodotto cartesiano dei domini.
Ogni coppia ha una p(xi , yj ) che è il prodotto delle due prob. se le variabili sono
indipendenti.
Definizione 11 (Variabili Indipendenti). X e Y sono INDIPENDENTI se
p(X = xi ∧ Y = yi ) = p(X = xi ) · p(Y = yi )
ESEMPIO (Non Indipendenti):
X = {1, 2, 3, 4, 5, 6}
p(X = xi ) =
1
6
Y = {P ARI, DISP ARI}
p(Y = yi ) =
1
2
p(X = 2 ∧ Y = DISP ARI) = 0 6=
1
6
·
1
2
Probabilità Condizionata .
p(X = xi | Y = yi ) =
con p(Y = yi ) > 0
È l’intersezione
27
p(X = xi ∧ Y = yi )
p(Y = yi )
2.3. Segretezza Perfetta
Teorema di Bayes .
p(Y = yi ) · p(X = xi | Y = yi ) = p(X = xi ∧ Y = yi )
p(X = xi ) · p(Y = yi | X = xi ) = p(Y = yi ∧ X = xi )
Poiché le due quantità sono uguali otteniamo:
2.3
p(X = xi | Y = yi ) =
p(X = xi ) · p(Y = yi | X = xi )
p(Y = yi )
p(Y = yi | X = xi ) =
p(Y = yi ) · p(X = xi | Y = yi )
p(X = xi )
Segretezza Perfetta
Le variabili aleatorie di un crittosistema sono:
• X = {x1 , x2 , · · · , xn } → possibili testi in chiaro
• K = {k1 , k2 , · · · , kh } → possibili chiavi
• Y = {y1 , y2 , · · · , yn } → possibili testi cif rati
Chiaramente X e Y sono indipendenti tra loro, mentre Y è dipendente proprio da
X e Y.
p(Y = yi ) =
X
p(X = xj , K = kl ) =
(xj ,kl )|ekl (xj )=yi
X
p(X = xj ) · p(K = kl )
(xj ,kl )|ekl (xj )=yi
Definizione 12 (Segretezza Perfetta). Un crittosistema realizza segretezza
perfetta se ∀i, j
p(X = xi | Y = yj ) = p(X = xi )
Cioè la conoscenza del cipher text non mi da nessuna informazione aggiuntiva.
Conoscerla o meno è indifferente.
Introduciamo il concetto di Matrice di Codifica che ci servirà a trovare le probabilità.
28
Definizione 13 (Matrice di codifica). È una matrice le cui colonne corrispondono a testi in chiaro e le righe alle possibili chiavi. La cella (xi , kj ) contiene
la codifica ekj (xi ).
Osservazione 4 (Cardinalità di P e C). Su ogni riga una y ∈ Y può comparire
al massimo una volta, altrimenti ek non è invertibile/iniettiva. Ne consegue
che |P| ≤ |C|
Consideriamo
p1 = p(X = x1 )
p̄1 = p(K = k1 )
p1 = p(X = x2 )
..
.
p̄2 = p(K = k2 )
pn = p(X = xn )
p̄k = p(K = kh )
Sappiamo che :
p(X = xi | Y = yj ) = p(X = xi ) →
p(X = xi ∧ Y = yj )
= p(X = xi )
p(Y = yj )
p(X = xi ∧ Y = yj ) → N ella colonna di xi considero le caselle dove compare yj
e sommo le probabilita0 corrispondenti
p(Y = yj ) → Sommo le probabilita0 di tutte le caselle dove compare yj
ESEMPIO (Shift Cipher con alfabeto ∈ Z4 ):
p1 , p2 , p3 , p4 dipendono dal linguaggio
p̄1 , p̄2 , p̄3 , p̄4 =
1
4
p(X = 2 | Y = 3) =
p(X = 2 ∧ Y = 3)
=
p(Y = 3)
p1
4
p3
4
+
p2
4
+
p3 p4
4 4
=
p3
4
1
4
= p3 = p(X = 2)
Bisogna fare questo controlla ∀x, y; comunque lo shift cipher realizza la segretezza
perfetta. La Figura 2.3 mostra la matrice di codifica dell’esempio appena descritto.
ESEMPIO 2:
P = {0, 1}
K = {k1 , k2 , k3 }
C = {A, B, C, D}
Se vedo passare A o D capisco già qual è la chiave.
29
p(X = 0 | Y = A) =
p(X = 1 | Y = A) =
1
8
1
8
= 1 6= p(X = 0)
0
1
8
= 0 6= p(X = 1)
Questo cifrario non realizza la segretezza perfetta.
Osservazione 5. Se c’è segretezza perfetta allora:
• Ogni y ∈ C compare in ogni colonna almeno una volta. Se per assurdo
non comparisse mai si avrebbe
p(X = xi | Y = yi ) = 0
Ossia l’hacker in fase di decodifica può scartare la xi
• Ne segue che |C| ≤ |K|
Teorema 8 (Segretezza Perfetta). Per semplicità supporremo che |P| = |C| =
|K|.
SEGRET EZZA P ERF ET T A ⇐⇒

 p(K = kl ) =

30
1
|K|
∀x ∈ P, ∀y ∈ C ∃k ∈ K | y = ek (x)
La prima affermazione significa che le chiavi sono equiprobabili.
La seconda affermazione significa che ∀y ∈ C y compare esattamente una volta in
ogni colonna. Poiché |P| = |C| compare solo una volta anche su ogni riga.
Dimostrazione. ⇐=
Calcoliamo p(X = xi | Y = yj )
p(X = xi | Y = yj ) =
1
pi · |K|
p(X = xi ∧ Y = yj )
=
=
p(Y = yi )
p(Y = yj )
pi ·
1
|K|
1
|K|
pi ·
p1
|K|
+
p2
|K|
1
|K|
+ ··· +
pn
|K|
=
= pi = p(X = xi )
=⇒
Già sappiamo dall’Osservazione 5 che su ciascuna colonna ogni y compare almeno
una volta. In realtà compare esattamente una volta in quanto abbiamo supposto
|C| = |K|. Inoltre sappiamo dall’Osservazione 4 che ogni y ∈ C compare in ogni riga
esattamente una volta in quanto |P| = |C|. Quindi abbiamo già dimostrato la seconda
affermazione; ora mostriamo la seconda:
IPOTESI: p(X = xi | Y = yj ) = pi
p(X = xi | Y = yj ) = pi →
p(X = xi ∧ Y = yj )
pi · p̄l
= pi →
= pi
p(Y = yi )
p(Y = yj )
p̄l
= 1 → p̄l = p(Y = yj )
p(Y = yj )
Siamo arrivati ad una conclusione che non dipende da xi . Quindi p(Y = yj ) è
costante e ripartito per tutti gli elementi di |C|, cioè
p̄l =
1
1
=
|C|
|K|
perché abbiamo supposto |C| = |K|.
31
2.4. One-Time Pad
2.4
One-Time Pad
È un cifrario che realizza la segretezza perfetta. È identico a vigenère soltanto che
usa una chiave grande quanto il messaggio da inviare.
È cosı̀ definito:
• P = Z2M
• C = Z2M
• K = Z2M
• ek (x) = (x1 ⊗ k1 , · · · , xn ⊗ kn )
• dk (x) = (y1 ⊗ k1 , · · · , yn ⊗ kn )
Teorema 9. Il One-Time Pad realizza segretezza perfetta se ogni chiave
compare con la stessa probabilità, cioè
p̄l =
1
2M
Dimostrazione. Fisso X = (x1 , x2 , · · · , xM ) e Y = (y1 , y2 , · · · , yM ).
Mi chiedo, quante chiavi K = (k1 , k2 , ·, kM ) sono tali che ek (x) = y?


x1 ⊗ k1 = y1
k1 = y1 ⊗ x1






 x2 ⊗ k2 = y2
 k2 = y2 ⊗ x2
(x1 ⊗ k1 , · · · , xn ⊗ kn ) = (y1 , y2 , · · · , yM ) →
=
..
.

 ..
.






xn ⊗ kn = yn
kn = yn ⊗ xn
Quindi k esiste ed è unica.
Vantaggio: Segretezza Perfetta
Svantaggio 1: Scambio della chiave di grande dimensione. Qui si crea un paradosso perché se io sono in grado di comunicare in modo sicuro la chiave tanto vale che
comunico il messaggio
Svantaggio 2: Una volta utilizzata la chiave deve essere cambiata in quanto la
lunghezza del testo è variabile e in più il cifrario è vulnerabile ad un attacco known
plaintext.
32
2.5. Crittosistemi Prodotto
Per questi motivi viene usato solo in ambito militare, ma non ha senso usarlo in ambito commerciale. La nuova frontiera della Crittografia Quantistica potrebbe risolvere
lo svantaggio 1.
2.5
Crittosistemi Prodotto
L’obiettivo è tentare di aumentare la sicurezza usando crittosistemi diversi o anche
sempre lo stesso e ripeterlo più volte.
Supponiamo |P| = |C| e siano S1 e S2 due crittosistemi cosı̀ definiti:
S1 = (P, P, K1 , E1 , D1 )
S2 = (P, P, K2 , E2 , D2 )
S1 xS2 = (P, P, K1 xK2 , E, D)
con
K1 xK2 = {(k1 , k2 ) | k1 ∈ K1 ∧ k2 ∈ K2 }
ek (x) = e(k1 ,k2 ) (x) = ek2 (ek1 (x))
dk (y) = d(k1 ,k2 ) (y) = dk1 (dk2 (y))
ESEMPIO:
S1 = Vigenère
S2 = Hill
m, Zm, Zm, E , D )
S1 = (Z26
1
26
26 1
con ek (x) = e(k1 ,···,km ) (x1 , · · · , xm ) = (x1 +k1
(mod 26), · · · , xm +km
(mod 26))
m , Z m , {K ∈ M
S2 = (Z26
mm | gcd(det(K), 26) = 1}, E1 , D2 )
26
con eK (x) = eK (x1 , · · · , xm ) = (x1 , · · · , xm ) · K
m , Z m , {(k, K) | k ∈ Z m ∧ K ∈ M
S1 xS2 = (Z26
mxm : gcd(det(K), 26) = 1}, E, D)
26
26
con ek (x) = e(k,K) (x1 , · · · , xm ) = (x1 + k1 , · · · , xm + km ) · K
33
Proprietà dei Crittosistemi Prodotto
• Associativa: (S1 xS2 )xS3 = S1 x(S2 xS3 )
• No Commutativa: S1 xS2 6= S2 xS1 come la composizione di funzioni
Definizione 14 (S n ). Dato un crittosistema S si pone
Sn = S
· S · S}
| · S{z
n volte
AES e DES sono di tipo S n . In generale può accadere che applicare n volte lo stesso
crittosistema non aumenti la sicurezza. Non è detto che prendendo un S qualunque S n
risulti più sicuro.
Definizione 15 (Crittosistema Idempotente). S si dice idempotente se S 2 =
S e quindi anche se S n = S.
Definizione 16 (Crittosistemi Uguali). Due crittosistemi si considerano
uguali se hanno uguali |P|, |C| e FUNZIONI DI CODIFICA e inoltre le probabilità su P e su C sono le stesse (cioè la probabilità che dato un testo in chiaro
x ∈ P si ottenga un determinato y ∈ C, e la probabilità che dato un testo
cifrato y ∈ C si ottenga un determinato x ∈ P, siano le stesse in entrambi i
crittosistemi ∀x ∈ P e ∀y ∈ C).
Teorema 10 (Cifrari Idempotenti). I cifrari Shift,
Permutazione e Sostituzione sono idempotenti.
Vigenère,
Hill,
Dimostrazione. Hill:
m
m
S 2 = (Z26
, Z26
, {(A, B) | A, B ∈ Mmxm ∧ gcd(det(A), 26) = 1 e gcd(det(B), 26) = 1}, E, D)
ek (x) = e(A,B) (x1 , · · · , xm ) = ((x1 , · · · , xm )·A)·B = (x1 , · · · , xm )·(AB) = (x1 , · · · , xm )·K
La funzione codifica si riduce ad una moltiplicazione di un vettore per una matrice.
Qual è la probabilità della funzione (y1 , · · · , ym ) → (x1 , · · · , xm ) · K?
P rob. =
|{A | gcd(det(A), 26) = 1|}
1
=
= p(K = k) in S
2
{|A | gcd(det(A), 26) = 1|}
{|A | gcd(det(A), 26) = 1|}
34
2.5.1
Crittosistemi Prodotto Idempotente
Molti dei block cipher moderni sono dei product cipher. Questi product cipher,
spesso, incorporano una sequenza di permutazioni e sostituzioni. Uno schema di uso
comune è l’iterated cipher, cioè la stessa sequenza di operazioni viene ripetuta un certo
numero di volte (round) con la possibilità di variare la round function e la chiave (key
schedule).
Il problema è: Come posso trovare S : S 6= S n ?
Provo ad utilizzare come S un crittosistemi prodotto S = S1 xS2 , in modo tale da
avere (S1 xS2 )2 6= S1 xS2 .
Osservazione 6 (Crittosistema Prodotto Idempotente). Un crittosistema
prodotto è idempotente se:
• Se S1 xS2 = S2 xS1
• Se S12 = S1 , S22 = S2
Perché in tal caso:
(S1 xS2 )2 = S1 xS2 xS1 xS2 = S1 xS1 xS2 xS2 = S12 xS22 = S1 xS2
Proposizione 1. Il prodotto di due crittosistemi idempotenti che commutano
fra di loro è anch’esso idempotente.
ESEMPIO:
S1 = VIGENÈRE
S2 =HILL
S1 xS2 è idempotente?
S1 e S2 sono idempotenti. Quindi devo controllare se commutano.
S1 xS2 :
x→x+k
(mod 26) → A · (x + k
S2 xS1 :
x → Ax → Ax + k
(mod 26)) = Ax + Ak
Anche se formalmente sono diversi bisognerà controllare le probabilità, e vedremmo
che in realtà le due funzioni di codifica sono uguali.
35
ESEMPIO DI CRITTOSISTEMI CHE NON COMMUTANO:
S1 = VIGENÈRE con m=2
S2 =PERMUTATION con chiave fissa (123) e m=3
Proviamo con le matrici di codifica che S1 xS2 6= S2 xS1 , prendendo in considerazione
solo parole lunghe 3 per questioni di tempo e spazio.
Come possiamo vedere i due cifrari hanno funzioni diverse quindi S1 xS2 non è
IDEMPOTENTE. Come controprova occorrerebbe costruire la matrice di codifica di
(S1 xS2 )2 e verificare effettivamente che è diversa da quella di S1 xS2 . La matrice è
composta da 16 chiavi che è il prodotto del numero di chiavi del primo cifrario per il
numero di chiavi del secondo:
(123), 00, (123), 00
(123), 01, (123), 00
(123), 10, (123), 00
..
.
(123), 11, (123), 11
Il trucco della permutazione a chiave fissa, che è apparentemente banale, è quello
che viene usato nei crittosistemi simmetrici moderni.
36
Capitolo 3
Crittografia Simmetrica
3.1
Substitution-Permutation Network (SPN)
Un SPN è uno speciale tipo di iterated cipher. L’idea che sta alla base dell’SPN è
quella di considerare un crittosistema di tipo S n dove S = S1 xS2 xS3 con
• S1 = VIGENÈRE
• S2 = SUBSTITUTION (a chiave fissa)
• S3 = PERMUTATION (a chiave fissa)
Supponiamo di lavorare con un alfabeto binario (Z2 ) e che i blocchi siano lunghi n
con n = lm dove n, l, m sono interi.
Un SPN è creato mediante due operazioni:
• πS : {0, 1}l → {0, 1}l
• πP : {1, 2, · · · , lm} → {1, 2, · · · , lm}
La permutazione πS viene anche detta S-box; la “S” indica che è una sostituzione e
per di più è a chiave fissa. Essa viene usata per sostituire l bit con un differente insieme
di l bit. πP è un’altra funzione usata per permutare lm bit.
Definizione 17 (Substitution-Permutation Network). Siano l, m e N r interi
positivi, sia πS : {0, 1}l → {0, 1}l una permutazione e sia πP : {1, 2, · · · , lm} →
{1, 2, · · · , lm} un’altra permutazione. Siano P = C = {0, 1}lm , e sia
K ⊆ ({0, 1}lm )N r+1 che consiste nei possibili key schedule che possono essere derivati da una chiave iniziale K usando un algoritmo per generare un
key schedule.
Data una stringa di lm bit x = (x1 , x2 , · · · , xlm ), può essere vista come una concatenazione di m stringhe di lunghezza l indicati con i simboli x<1> , · · · , x<m> dove
37
3.1. Substitution-Permutation Network (SPN)
Capitolo 3. Crittografia Simmetrica
x<i> = (x(i−1)l+1 , · · · , xil )
L’SPN consiste in N r round. In ogni round, eccetto per gli ultimi due vengono
effettuate m sostituzioni usando πS e una permutazione usando πP .
La Figura 3.1 mostra lo pseudo-codice del crittosistema.
Figura 3.1: SPN Didattico - pseudo-codice
La Figura 3.2 mostra lo schema di un SPN didattico con n = 16, m = 4, l =
4, N r = 5 la cui funzione πS è mostrata in Figura 3.3:
Come si può notare l’SPN non è esattamente un cifrario di tipo S n perché:
1. Gli ultimi due round sono diversi dai precedenti
• Nel penultimo manca la permutazione
• L’ultimo è solo l’applicazione di Vigenère
Il motivo è semplice se ci fossero gli altri passaggi, essendo a chiave fissa, l’hacker li
conosce è potrebbe invertirli facilmente, mentre l’ultimo è ricavato solo in funzione
della chiave che è l’unica cosa che l’hacker non conosce.
Il penultimo è cosı̀ perché si vuole avere simmetria tra l’inizio e la fine, in modo
tale da poter utilizzare lo stesso algoritmo sia per la codifica che per la decodifica.
2. Le chiavi dei vari round nella pratica non sono completamente indipendenti perché
se n = 128 e N r = 16 significa che dovranno essere inviati 128 · 16 bit di chiave,
che sono troppi. È per questo che si utilizza un algoritmo apposito che genera un
key schedule a partire da una chiave di 16 bit. Si fa una cosa simile all’LFSR.
38
Figura 3.2: SPN Didattico
39
Figura 3.3: Funzione S-box
3.1.1
Considerazione sulle S-box
Il fatto che vengano prese l S-box da m bit piuttosto che una sola da n bit è dovuto
ad un problema implementativo.
Supponiamo che il sistema cifri blocchi di 128 bit e che si voglia usare una sola
S-box. La S-box è implementata tramite una tabella affinché sia una funzione molto
irregolare e non identificabile tramite una formula precisa. Questo vale a dire che la
tabella è composta da 2128 righe e 2 · 128 colonne, il che implica un enorme impiego di
memoria e una ricerca molto inefficiente.
Se invece si utilizzano, per esempio 4 S-box (l = 4) che operano su 4 bit ciascuna
(m = 4) io avrò tabelle composte da 24 righe e 8 colonne. Poiché avrò 4 tabelle della
stessa grandezza la quantità di memoria occupata è sempre la stessa ma la ricerca
diventa molto più efficiente.
Questo appena descritto è il meccanismo che usa DES mentre AES utilizza sempre
la stessa S-box quindi è anche meno oneroso in termini di spazio.
40
3.2. Crittoanalisi Lineare
3.2
Crittoanalisi Lineare
La crittoanalisi lineare si basa su una osservazione del tutto generale ossia:
Osservazione 7. Si consideri un cifrario a blocchi binario dove x =
(x1 , x2 , · · · , xn ), k = (k1 , k2 , · · · , ks ) e y = (y1 , y2 , · · · , yn ).
Se ∀x si ha che sommando alcuni bit di x, alcuni di y e alcuni di k il risultato
è sempre 1 o sempre 0
xi1 ⊗ · · · ⊗ xik ⊗ yj1 ⊗ · · · ⊗ yjl ⊗ kt1 ⊗ · · · ⊗ ktv = 1/0
allora con una sola coppia (x, y) si ricostruisce la somma di alcuni bit di
chiave. L’hacker si trova di fronte un sistema lineare con una sola soluzione,
che è molto semplice da risolvere.
Chiaramente questo è il caso più semplice per l’hacker in quanto il 100% delle volte
viene 0 o 1, ma in realtà anche una percentuale 60-40 è rischiosa.
Supponiamo che
p(xi1 ⊗ · · · ⊗ xik ⊗ yj1 ⊗ · · · ⊗ yjl ⊗ kt1 ⊗ · · · ⊗ ktv = 1/0) LON T AN A DA
1
2
allora con molte coppie (x, y) è possibile ricostruire informazioni sulla chiave.
ESEMPIO:
10000 coppie (x, y)
p = 70%
Si effettua una ricerca esaustiva sui bit di chiave:
∀k = (k̄t1 , · · · , k̄tv ) conto per quante delle 10000 coppie (x, y) vale
xi1 ⊗ · · · ⊗ xik ⊗ yj1 ⊗ · · · ⊗ yjl ⊗ k̄t1 ⊗ · · · ⊗ k̄tv = 0
e per quante
xi1 ⊗ · · · ⊗ xik ⊗ yj1 ⊗ · · · ⊗ yjl ⊗ k̄t1 ⊗ · · · ⊗ k̄tv = 1
Se la distribuzione di probabilità dei due valori è molto vicina a 50-50 allora posso
dire che la chiave che ho supposto non è quella che lega x a y, mentre se la distribuzione
è circa 70-30 posso ragionevolmente assumere che quella ipotizzata sia la parte di chiave
reale.
41
Può anche succedere che ho più k = (k̄t1 ⊗ · · · ⊗ k̄tv ) che mi danno una percentuale
favorevole, in tal caso proseguo per tentativi nell’individuazione della chiave.
Quando si utilizza un SPN la cosa è leggermente diversa. Si cercano relazioni del
tipo:
r−1
r−1
⊗ · · · ⊗ uN
= 0/1
xi1 ⊗ · · · ⊗ xik ⊗ uN
j1
jl
Supponiamo che
r−1
r−1
⊗ · · · ⊗ uN
= 0/1) LON T AN A DA
p(xi1 ⊗ · · · ⊗ xik ⊗ uN
j1
jl
1
2
Supponiamo di avere a disposizione molte coppie (x, y).
Per ogni possibile k̄ N r effettuo l’operazione inversa ottenendo ūN r−1 . Conto quante
volte il risultato è 0 e quante è 1 ottenendo una certa distribuzione di probabilità;
ritengo quindi di avere ottenuto l’uN r−1 esatto se la probabilità che ho ottenuto è
molto lontana da 12 .
Ora il problema è: Lontana quanto? Come ottenere la probabilità di cui si parla?
3.2.1
Piling-Up Lemma
Definizione 18 (Polarizzazione o Bias). Sia X una variabile aleatoria discreta
binaria. Si dice polarizzazione il valore
(x) = p0 −
Se (x) è vicina a − 12 o
1
2
1
con p0 = p(X = 0)
2
si dice che la variabile è polarizzata.
Osservazione 8. Poiché 0 ≤ p ≤ 1 =⇒ − 12 ≤ (x) ≤
1
2
=⇒ |(x)| ≤
1
2
Definizione 19 (Piling-Up Lemma - lemma del tamponamento a catena). Siano Z1 , Z2 , · · · , Zn variabili aleatorie binarie indipendenti, e siano
1 , 2 , · · · , m le rispettive polarizzazioni =⇒
(Z1 ⊗ Z2 ⊗ · · · ⊗ Zn ) = 2n−1 · Πni=1 i
Dimostrazione. Dimostriamolo per n = 2. Abbiamo quindi due variabili aleatorie
binarie indipendenti Z1 , Z2 e
p0 = p(Z1 = 0)
p1 = p(Z1 = 1) = 1 − p0
42
q0 = p(Z2 = 0)
q1 = p(Z2 = 1) = 1 − q0
quindi
1
2
1
(Z2 ) = q0 −
2
(Z1 ) = p0 −
Ora calcoliamo la probabilità che Z1 ⊗ Z2 = 0
p(Z1 ⊗ Z2 = 0) = p0 q0 + (1 − p0 )(1 − q0 )
(Z1 ⊗Z2 ) = p0 q0 +(1−p0 )(1−q0 )−
1
1
1
= p0 q0 +(1−q0 −p0 +p0 q0 )− = 2p0 q0 −q0 −p0 +
2
2
2
Dobbiamo mostrare che questa quantità sia uguale a 2n−1 · Πni=1 i , quindi
1
1
1
1
1
1
2n−1 ·Πni=1 i = 21 ·1 ·2 = 2(p0 − )(q0 − ) = 2(p0 q0 − q0 − p0 + ) = 2p0 q0 −q0 −p0 +
2
2
2
2
4
2
Dimostrazione. È indispensabili che le variabili siano indipendenti.
ESEMPIO:
Z1 , Z2 , Z3 IN DIP EN DEN T I con (Z1 ) = (Z2 ) = (Z3 ) =
u1 = Z2 ⊗ Z3
u2 = Z1 ⊗ Z3
u3 = Z1 ⊗ Z2
Si ha quindi
(u1 ) = 2 ·
(u2 ) = 2 ·
1
4
1
4
·
·
1
4
1
4
=
=
1
8
1
8
43
1
4
(u3 ) = 2 ·
1
4
·
1
4
=
1
8
Poiché però u3 = u1 ⊗ u2
(u3 ) = 2 ·
3.2.2
1
1 1
· =
6
8 8
8
Approssimazione lineare di un S-box
Osservazione 9 (Problema S-box lineare). Se la funzione fosse lineare, cioè
i risultati fossero, somme dei bit in ingresso, non ci sarebbe bisogno di rappresentarla tramite una tabella. Una funzione lineare ci permette di ottenere
polarizzazione massima per le variabili aleatorie che consideriamo; questa
situazione è particolarmente vantaggiosa per l’hacker.
ESEMPIO: Supponiamo che
y1 = x1 ⊗ x3 ⊗ x4
y2 = x1 ⊗ x4
y3 = x2 ⊗ x3
y4 = x3 ⊗ x4
Succederebbe:
p(x1 ⊗ x3 ⊗ x4 ⊗ y1 = 0) = 1
cioè polarizzazione massima; significa che è molto facile da invertire. Serve che la
funzione sia il meno lineare possibile.
Per misurare il grado di linearità di una S-box si calcola la polarizzazione
(xi1 ⊗ · · · ⊗ xik ⊗ yj1 ⊗ · · · ⊗ yjl )
prendendo gli xi e yj tali che ai = bj = 1. La formula completa è questa:
(a1 x1 ⊗ a2 x2 ⊗ a3 x3 ⊗ a4 x4 ⊗ b1 y1 ⊗ b2 y2 ⊗ b3 y3 ⊗ b4 y4 )
che deriva da quella generale che è:
n
O
!
ai Xi
⊗
i=1
n
O
i=1
44
!
bi Yi
con ai , bj ∈ Z2 . Nel caso in cui || > 0 per qualche valore di ai e bj c’è una debolezza
dell’S-box.
Consideriamo l’S-box seguente
Figura 3.4: Funzione S-box
e consideriamo come variabile aleatoria α = x3 ⊗ x4 ⊗ y1 ⊗ y4 cioè quella ottenuta
con i vettori a = (0, 0, 1, 1) e b = (1, 0, 0, 1).
Si procede contando quante volte la variabile aleatoria ha valore 1 e quante 0,
ottenendo 2 volte lo 0 e 14 volte l’1. Dunque la probabilità
p(x3 ⊗ x4 ⊗ y1 ⊗ y4 = 0) =
2
16
e
(α) =
2
1
3
− =−
16 2
8
Non è difficile quindi calcolare le polarizzazioni delle 28 = 256 possibilità date dalla
scelta di ai e bj
La Figura 3.5 mostra le occorrenze del valore 0 in tutti i casi possibili.
Da notare che a e b sono rappresentati in esadecimale quindi x3 ⊗ x4 ⊗ y1 ⊗ y4 è
rappresentato da a = 3 e b = 9 perché
a = (0, 0, 1, 1) → (0, 0, 1, 1)2 = (3)16
45
Figura 3.5: NL(a,b) cioè occorrenze dello 0
b = (1, 0, 0, 1) → (1, 0, 0, 1)2 = (9)16
Ora, dove nella tabella compaiono valori bassi significa che la polarizzazione è lontana da
1
2
e negativa, mentre dove sono alti è lontana ma positiva. Valori molto vicini
al valore medio ci indicano variabili non polarizzate.
Per ricavare la polarizzazione dalla tabella NL basta applicare la formula:
(a, b) =
N L(a, b) − 8
16
L’hacker quindi prenderà in considerazione quelle polarizzate per apportare il suo
attacco.
In particolare cercherà un percorso nello schema che collega le variabili
polarizzate.
3.2.3
Attacco lineare ad un SPN
L’attacco si basa sul trovare un insieme di approssimazioni lineari delle S-box che
possono essere utilizzate per derivare un’approssimazione lineare dell’intero SPN.
La figura 3.6 mostra il procedimento. Da notare che le frecce corrispondono alle
variabili random che vengono coinvolte nell’approssimazione lineare, mentre le S-box
che vengono coinvolte vengono chiamate active S-box.
46
Figura 3.6: Procedimento dell’attacco all’SPN
47
Supponiamo che le variabili aleatorie con polarizzazione maggiore, ottenute con il
metodo precedente, sono
• x1 ⊗ x3 ⊗ x4 ⊗ y2 → || =
• x2 ⊗ y2 ⊗ y4 → || =
1
4
1
4
L’approssimazione considera 4 S-box attive:
• Nella S12 la prima variabile polar. diventa: T1 = U51 ⊗ U71 ⊗ U81 ⊗ V61 con (T1 ) =
1
4
• Nella S22 la prima variabile polar. diventa: T2 = U62 ⊗ V62 ⊗ V82 con (T1 ) = − 41
• Nella S23 la prima variabile polar. diventa: T3 = U63 ⊗ V63 ⊗ V83 con (T1 ) = − 41
3 ⊗ V 3 ⊗ V 3 con (T ) = − 1
• Nella S43 la prima variabile polar. diventa: T4 = U14
1
14
16
4
Calcoliamo, dunque, la polarizzazione della somma:
3
1
1
1
(T1 ⊗ T2 ⊗ T3 ⊗ T4 ) = 2 · · −
=−
4
4
32
3
Ora, le variabili T1 , T2 , T3 , T4 hanno una proprietà e cioè che il loro XOR può essere
espresso in funzione del plaintext, ossia:
• T1 = U51 ⊗ U71 ⊗ U81 ⊗ V61 = X5 ⊗ K51 ⊗ X7 ⊗ K71 ⊗ X8 ⊗ K81 ⊗ V61
• T2 = U62 ⊗ V62 ⊗ V82 = V61 ⊗ K62 ⊗ V62 ⊗ V82
• T3 = U63 ⊗ V63 ⊗ V83 = V62 ⊗ K63 ⊗ V63 ⊗ V83
3 ⊗ V 3 ⊗ V 3 = V 2 ⊗ K3 ⊗ V 3 ⊗ V 3
• T4 = U14
14
16
8
14
14
16
Le quattro variabili T1 , T2 , T3 , T4 hanno un valore di polarizzazione che, in valore
assoluto, è molto alto. Il che significa che se andiamo a calcolare lo XOR delle variabili
random otterremo delle cancellazioni (esempio V61 , V82 ), ottenendo
3 ⊗V3
X5 ⊗ X7 ⊗ X8 ⊗ V63 ⊗ V83 ⊗ V14
16
3
⊗K51 ⊗ K71 ⊗ K81 ⊗ K62 ⊗ K63 ⊗ K14
Il prossimo passo è quello di sostituire i Vi3 con formule espresse in funzione di Ui4 ,
e cioè:
V63 = U64 ⊗ K64
4
4
V83 = U14
⊗ K14
48
3
V14
= U84 ⊗ K84
3
4
4
V16
= U16
⊗ K16
la formula diventa
4 ⊗ U4 ⊗
X5 ⊗ X7 ⊗ X8 ⊗ U64 ⊗ U84 ⊗ U14
16
3 ⊗ K4 ⊗ K4 ⊗ K4 ⊗ K4
⊗K51 ⊗ K71 ⊗ K81 ⊗ K62 ⊗ K63 ⊗ K14
6
8
14
16
Questa espressione è espressa solo in funzione di bit del plaintext, bit di UiN r−1 e bit
di chiave. Supponiamo che i bit di chiave siano fissati la somma dei vari Kij ha valore
1
si
1 o 0 fisso, cioè conosciuto. Quindi la variabile che ha come polarizzazione = ± 32
riduce ad essere
4
4
X5 ⊗ X7 ⊗ X8 ⊗ U64 ⊗ U84 ⊗ U14
⊗ U16
Il fatto che tale formula ha una polarizzazione lontana da 0 consente di effettuare l’attacco lineare di cui si è parlato precedentemente. Tale attacco è riportato
formalmente in pseudo-codice nella Figura 3.7
Figura 3.7: Algoritmo attacco lineare
T è il numero di coppie (x, y); T è l’insieme delle coppie (x, y); (L1 , L2 ) gli 8 bit di
chiave espressi in esadecimale.
49
L’algoritmo calcola il massimo valore, in realtà si deve cercare quella chiave che
restituisce una percentuale molto vicina a 12 − o a 12 + .
Però in tutto questo discorso c’è una forzatura perché le variabili aleatorie non sono
proprio del tutto indipendenti in quanto le chiavi non sono del tutto indipendenti dato
che fanno parte di un key schedule generato a partire da una chiave principale.
50
3.3. Campi Finiti
3.3
Campi Finiti
Definizione 20 (Gruppo). È un insieme dove abbiamo definita un’operazione.
Formalmente è una tupla (G, ◦) dove
• G: è un insieme
• ◦: è un’operazione, cioè una legge che associa a due elementi di G un
terzo elemento sempre di G.
L’operazione deve avere le seguenti proprietà:
1. Associativa:
(a ◦ b) ◦ c = a ◦ (b ◦ c)
2. Esistenza elemento neutro:
∃e ∈ G t.c.∀a ∈ G a ◦ e = e ◦ a = a
3. Esistenza elemento inverso:
∀a ∈ G ∃a−1 ∈ G t.c. a ◦ a−1 = a−1 ◦ a = e
Definizione 21 (Gruppo Abeliano). Un gruppo abeliano è un gruppo dove
vale anche la proprietà commutativa:
a◦b=b◦a
Definizione 22 (Campo). Un campo è un insieme su quale sono definite due
operazioni. Formalmente è una tripla (K, +, ·) dove
• K è un’insieme
• +, · sono due operazioni
con le seguenti proprietà:
1. (K, +): è un gruppo abeliano
2. Indichiamo con 0 l’elemento neutro di (K, +) allora (K \ {0}, ·) è un
gruppo abeliano
3. Distributiva:
a · (b + c) = a · b + a · c
51
3.3. Campi Finiti
ESEMPIO:
(Z, +, ·) NO. Non è un campo perché manca la proprietà 3 del gruppo per la
moltiplicazione.
(Q, +, ·) SI
(R, +, ·) SI
(C, +, ·) SI
Q, R, C sono tutti campi infiniti quindi non vanno bene per essere trattati da un
computer. A noi servirebbe (Zm , +, ·), ma non sempre Zm e un gruppo perché manca
l’inverso moltiplicativo; bisogna trovare un m che mi permette di avere tutti gli inversi
moltiplicativi di tutti gli elementi in Zm .
Già sappiamo che ∀a ∈ Zm a IN V ERT IBILE =⇒ gcd(a, m) = 1.
Teorema 11. Zm è un campo ⇐⇒ m P RIM O
Dimostrazione. La condizione gcd(a, m) = 1 ∀a < m si verifica esattamente quando m
è primo.
Il fatto che Zm sia un campo significa che posso fare sempre la divisione.
L’ideale sarebbe avere un campo con 2k elementi, perché cosı̀ posso rappresentare
tutti gli elementi del campo mediante una stringa binaria di k bit. Il problema è che
Z2k non è un campo (con k > 1).
3.3.1
Costruzione di un campo finito
Un campo finito con q = pk elementi si indica con Fq o con GF (q).
PROBLEMA: Vogliamo costruire un campo che contenga pk elementi con p primo
e k > 1.
• Si parte da Zp = {0, 1, · · · , p − 1}
• Si cerca un polinomio f (x) irriducibile su Zp di grado k
• Si pone K = all’insieme dei polinomi di grado ≤ k (per comodità usiamo α non
x).
52
3.3. Campi Finiti
• |K| = pk perché generalmente i polinomi sono della forma
b0 + b1 α + b2 α2 , · · · , bk−1 αk−1
quindi pk possibilità di assegnamento dei valori bi .
• Somma: Per la somma non ci sono problemi, infatti è la somma naturale.
• Prodotto: Problemi perché facendo il prodotto naturale è possibile avere un polinomio di grado > k e quindi si esce dal campo. Si considera, dunque, il prodotto
naturale e poi si riduce modulo f (x).
ESEMPIO: p = 2, k = 3, pk = 8
• Z2 = {0, 1}
• f (x) = x3 + x + 1. Per vedere se è irriducibile provo tutti i valori di Z2 e nessuno
mi deve annullare il polinomio, il che significa che il polinomio non ha radici è
quindi non è fattorizzabile.
• K = {0, 1, α, α + 1, α2 , α2 + 1, α2 + α, α2 + α + 1} che nel computer posso rappresentare come {000, 001, 010, 011, 100, 101, 110, 111} in base a come prendo i
bi
• |K| = 8 perché i polinomi sono della forma b0 + b1 α + b2 α2
• Somma:
(α2 + α) + (α + 1) = α2 + α + α + 1 = α2 + 1
cioè
110 ⊗ 011 = 101
• Prodotto:
(α2 + α) · (α + 1) = α3 + α2 + α2 + α = α3 + α
α3 + α ≡ 1
(mod α3 + α + 1)
N.B.: Il prodotto non è l’∧ logico.
Teorema 12. (K, +, ·) cosı̀ costruito è un campo con pk elementi.
Per effettuare la divisione invece che farla veramente si possono calcolare preventivamente tutte le potenze fino a q − 1 e fare le divisioni per sostituzione, cioè:
53
3.3. Campi Finiti
α3 + α + 1 = 0 → α3 = α + 1
α4 = α · α3 = α(α + 1) = α2 + α
α5 = α · α4 = α(α2 + α) = α3 + α2 = α2 + α + 1
α6 = α · α5 = α(α2 + α + 1) = α3 + α2 + α = α2 + 1
α7 = α · α6 = α(α2 + 1) = α3 + α = 1
Una volta trovato 1 possiamo fermarci tanto ritroveremo sempre polinomi già trovati.
Una volta che ho queste informazioni, dopo aver fatto il prodotto naturale, per ogni
monomio, riduco il grado a uno di questi fattorizzandolo, e poi applico le sostituzioni.
N.B.: Se cambiamo polinomio irriducibile otteniamo due campi formalmente diversi; questi due campi però sono isomorfi, ossia c’è un modo univoco per associare un
elemento del primo campo ad un elemento del secondo campo.
Teorema 13. Due campi finiti con lo stesso numero di elementi sono isomorfi
(hanno identiche proprietà matematiche).
Questo significa avere diversità implementative nel senso che magari un polinomio
piuttosto che un altro modifica il tempo necessario per fare i calcoli.
Teorema 14. ∀p P RIM O, ∀k > 1 ∃ un polinomio irriducibile su Zp di
grado k.
(=⇒ ∀p P RIM O, ∀k > 1 ∃ un campo f inito con pk elementi)
Teorema 15. Se q non è potenza di un numero primo allora non esiste un
campo finito con q elementi.
Elemento primitivo
Sia Fq un campo finito con q = pk .
Definizione 23. Sia ω ∈ Fq si dice primitivo se
Fq = {ω, ω 2 , ω 3 , · · · , ω q−1 = 1}
cioè gli altri elementi sono tutti sue potenze (esempio α di prima).
Teorema 16. f (x) P RIM IT IV O (come polinomio) ⇐⇒ α è un’ elemento
primitivo del campo finito costruito a partire da f.
Dimostrazione. L’elemento primitivo α coincide con ω.
54
3.3. Campi Finiti
Teorema 17 (Dell’elemento primitivo). Un campo finito ammette sempre un
elemento primitivo ⇐⇒ (Fq \ {0}, ·) è un gruppo ciclico.
ESEMPIO:
Gli elementi primitivi di Z7 sono:
1— NO (mai)
2— 2, 4, 1, 2 NO
3— 3, 2, 6, 4, 5, 1 SI
4— 4, 2, 1 NO
5— 5, 4, 6, 2, 3, 1 SI
6— 6, 1 SI
L’inverso di un elemento lo possiamo trovare con l’algoritmo di Euclide, quello con
le divisioni successive.
ESEMPIO F9 :
• q = 32 → p = 3, k = 2
• Z3 = {0, 1, 2}
• f (x) = x2 + 1
• K = {0, 1, 2, α, α + 1, α + 2, 2α, 2α + 1, 2α + 2}
1
α+2
=? È l’elemento in F9 che moltiplicato per (α + 2) da 1.
α2 + 1 = (α + 1) · (α + 2) + 2
55
3.4. DES (Data Encryption Standard)
3.4
DES (Data Encryption Standard)
DES è stato sviluppato dell’IBM, come modifica di un precedente cifrario chiamato
Lucifer. Venne pubblica nei registri federali nel 1975. Rimase lo standard ufficiale fino
al Gennaio 1999 quando venne crackato e rimpiazzato dall’AES.
3.4.1
Descrizione
Il DES ha queste caratteristiche:
• Key: 56 bit → |K| = 256 numero che non era trattabile negli anni ’70 ma che lo
è diventato poi.
• Lunghezza Blocco: 64 bit
• N Round: 16
Funzione Round
Quello che succede in ogni round è mostrato in Figura 3.8.
Figura 3.8: Funzione Round
Si divide il blocco in ingresso (64 bit) in due blocchi da 32 bit Li e Ri , e si applica
la funzione round
"
#
Li = Ri−1
Ri = Li−1 ⊗ f (Ri−1 , K i )
56
La funzione round è invertibile anche se la f non lo è. Infatti
"
Ri−1 = Li
Li−1 = Ri ⊗ f (Ri−1 , K i )
=⇒
Ri−1 = Li
#
Li−1 = Ri ⊗ f (Li , K i )
quindi il processo è globalmente invertibile. Non ho bisogno di calcolare f −1 , il che
significa che può essere anche non iniettiva; inoltre l’algoritmo di cifratura e de-cifratura
è lo stesso basta scambiare Li con Ri e viceversa.
Il DES applica per 16 round questo schema (schema di Faistel). Prima dei 16 round
viene applicata al plaintext una permutazione iniziale a chiave fissa, IP (x) = L0 R0 .
Di conseguenza, dopo i 16 round, viene applicata IP −1 (y) = R16 L16 per mantenere
la simmetria dell’algoritmo. L’applicazione di queste due permutazioni non ha nessun significato crittografico, cioè sono inutili non influenzano il livello di sicurezza
dell’algoritmo.
La funzione
f : {0, 1}32 x {0, 1}48 → {0, 1}32
prende in input 32 bit e la round key. Il key schedule, (K 1 , K 2 , · · · , K 16 ), consiste di
16 round key di 48 bit ciascuna, derivare dai 56 della chiave master. L’output di tale
funzione viene messo in ⊗ con Li−1 .
Key Schedule
Le 16 round key di 48 bit vengono generate a partire dalla master key (56 bit)
tramite una selezione permutata.
Funzione f
La Funzione 3.9 mostra come funziona la f di cui si parlava prima.
La funzione prende in ingresso un blocco di 32 bit e la raund key di 48 bit. Il blocco
viene portato a 48 bit mediante la funzione di espansione E e poi viene messo in ⊗ con
la chiave. Il tutto da origine a 48 bit che devono essere ridotti a 32. Questo viene fatto
mediante l’uso di S-Box che prendono in input 6 bit e ne restituiscono 4. I 32 bit che
ottengo li permuto con la permutazione a chiave fissa P .
Espansione E:
L’espansione del blocco chiamata E, non è altro che una ripetizione
permutata dei 32 bit del blocco al quale vengono aggiunti, quindi ripetuti, 16 dei 32
bit. La tabella che regola questa funzione è la seguente:
57
Figura 3.9: Funzione f del DES
Figura 3.10: Funzione E del DES
58
Questo significa che E è una funzione a chiave fissa.
S-Box:
Ogni S-Box è una funzione
f : {0, 1}6 → {0, 1}4
Essa prende in input 6 bit, b0 , b1 , b2 , b3 , b4 , b5 e ne restituisce 4, secondo una regola
fissa. Ogni S-Box implementa una diversa funzione, mentre nell’AES sono identiche.
La Figura 3.11 mostra S2 .
Figura 3.11: S2 - S-Box del DES
b0 , b5 mi indicano la riga della tabella che devo guardare mentre b1 , b2 , b3 , b4 mi
indicano la colonna. All’incrocio c’è il valore che deve essere restituito.
ESEMPIO:
101101 → (11)2 = (3)10 e (0110)2 = (6)10 , quindi 3 riga e 6 colonna, tenendo conto
che si parte da 0, quindi sarebbero 4 riga e 7 colonna.
I 4 bit da restituire sono 0010.
Da notare che la funzione f non è iniettiva proprio perché le S-Box non sono invertibili/iniettive, in quanto il condomino è più piccolo del dominio e quindi ci saranno
valori ripetuti.
Permutazione P: In uscita dalle S-Box avremo
C = C<1> C<2> C<3> C<4> C<5> C<7> C<8>
lunga 32 bit. A questi viene applicata la permutazione, a chiave fissa, P mostrata in
Figura 3.12.
Questo significa che C = c1 c2 c3 c4 · · · c32 diventa P (C) = c16 c7 c20 · · · c4 c25 .
P (C) è finalmente l’output della funzione f .
59
Figura 3.12: Permutazione del DES
3.4.2
Analisi
Trapdoor. Molti pensano che esista una “via d’uscita”, nel senso che chi inventò
il cifrario ha previsto un metodo per decifrarlo in breve tempo avendo a disposizione certe risorse, è lo abbia detto solo al Dipartimento della Difesa Americana.
Questo per motivi di sicurezza nazionale; nel senso che un comune hacker con limitate risorse e senza conoscere la trapdoor non può riuscire a crackarlo, e quindi
poteva essere usato nelle transazioni commerciali; se però due terroristi si scambiavano informazioni tramite DES il Governo Americano riusciva a decifrare la
comunicazione.
Chiave 56 bit. Il maggiore problema è che la chiave è troppo corta. In realtà la
chiave è lunga 64 bit ma 8 sono usati per il controllo di parità (sinceramente
troppi due potevano anche bastare), e non si capisce il motivo. Negli anni ’70
non era possibile una ricerca esaustiva che esaminasse 256 possibili chiavi, ma dal
1999 in poi è diventato possibile. Prima sarebbero servite macchine del valore di
milioni di dollari.
Rispetto al precedente crittosistema, Lucifer, addirittura la chiave è stata ridotta
da 128 a 56.
Crittoanalisi Lineare. Di fatto è possibile. È stata studiata da Matsui (colui che
la invento) ma non ebbe grande successo perché servono 243 coppie (x, y) e sono
serviti 40 giorni per crearle e 10 per fare l’attacco. Un hacker non potrà mai avere
una quantità di informazioni cosı̀ elevata.
60
Crittoanalisi Differenziale. Attualmente, è stato detto che le S-Box furono progettate cosı̀ proprio perché dovevano reggere ad alcuni tipi di attacchi. Quando Biham e Shamir inventarono, 20 anni dopo l’invenzione del DES, la tecnica della Crittoanalisi Differenziale si accorsero che questa era improponibile sul
DES proprio per via delle S-Box. Questo significa che i ricercatori dell’IBM già
conoscevano questa tecnica e l’hanno tenuta nascosta per 20 anni.
3.4.3
Varianti
Doppio DES
Raddoppio la chiave K = K1 K2 e applico il meccanismo due volte prima con K1
poi con K2 . Ossia
EK2 (EK1 (X)) = Y
Apparentemente questo risolve il problema, perché aumenta la complessità, infatti
ora non è più proponibile (con gli strumenti di oggi) un attacco brute-force su 256 ·256 =
2112 possibili chiavi.
In realtà è fragile all’attacco Meet in the middle. Esso è un attacco Known Plaintext.
Funziona cosı̀: ∀(x, y) si calcolano tutti i possibili EK1 (X) e tutti i possibili DK2 (Y )∀ K1 , K2 .
Si avrà che
EK1 (X) = DK2 (Y )
è vero per tutte le coppie (x, y) solo per una coppia K1 , K2 che è la chiave.
Chiaramente una sola coppia (x, y) non basta perché ci possono essere più K1 K2
che verificano la condizione, mentre crescendo il numero di coppie, la probabilità
p(EK1 (X) = DK2 (Y ))
diminuisce.
Con una coppia sola p(EK1 (X) = DK2 (Y )) =
264
264 ·264
=
1
264
che sembra bassa, ma
questo valore è la probabilità che prese a caso K1 e K2 si abbia EK1 (X) = DK2 (Y ) e
quindi va moltiplicata per 2112 che è il numero delle possibili chiavi; si ottiene quindi:
p(EK1 (X) = DK2 (Y )) =
1
· 2112 = 248
264
che è una probabilità molto elevata.
Ma già con due coppie la probabilità decresce di molto infatti
61
p(EK1 (X) = DK2 (Y )) =
1
1
1
· 64 · 2112 = 2−16 = 16
64
2
2
2
3DES (Triplo DES)
Si è capito che neanche il Doppio DES basta e quindi è stato creato il 3DES che è
cosı̀ definito
EK3 (EK2 (EK1 (X))) = Y
Ossia ho tre chiavi da 56 bit, 168 in totale, che servono ha iterare il DES tre volte.
La complessità comincia a diventare non trascurabile in quanto in totale sono 48 i
round da fare. Se consideriamo che l’AES, che è lo standard attuale, ne effettua solo
10, capiamo che non vale la pena utilizzarlo, anche se (per il momento) non è stato
trovato un attacco che lo viola.
Dopotutto, visto che è già successo, nessuno ci vieta di pensare che tra qualche anno
le risorse siano tali da rendere un attacco brute-force, su 2168 chiavi, proponibile.
62
3.5. AES (Advanced Encryption Standard)
3.5
AES (Advanced Encryption Standard)
Ne 1997 il NIST emise un bando per scegliere un algoritmo simmetrico che sarebbe
diventato il nuovo standard e che avrebbe sostituito il precedente, cioè il DES.
Il bando terminò l’anno successivo, ma fino al 2000 non si conobbe il vincitore;
servirono 2 anni per decidere quale fosse l’algoritmo migliore. Venne scelto il Rijndael
(dovuto ai nome degli inventori: Rijmen e Daemen, due ricercatori Olandesi), che
diventò standard l’anno successivo. Gli algoritmi che raggiunsero la finale, oltre a
questo, furono: MARS, RC6, Serpent e Twofish.
3.5.1
Caratteristiche Generali
• Blocchi da 128 bit (16 byte)
• Tipo SPN
• Esistono 3 versioni
1. 128 bit → 10 round
2. 192 bit → 12 round
3. 256 bit → 14 round
• È un cifrario orientato al byte (non al bit); un byte è identificato come un elemento
di un campo finito, F256 .
Per avere un campo di 256 elementi serve un polinomio irriducibile a coefficienti in
Z2 di grado 8, perché 256 = 28 . Dal Teorema 13, sappiamo che non fa differenza
quale tra i polinomi irriducibili si sceglie; infatti gli autori ne hanno scelto uno a
caso e cioè
f (x) = x8 + x4 + x3 + 1
Di conseguenza gli elementi del campo sono i polinomi di grado < 8. In generale
al byte
a7 a6 · · · a0
corrisponde
f (x) = a7 x7 + a6 x6 + · · · + a0
• STATO: (Figura 3.13) è rappresentato mediante una matrice 4x4 che contiene 16
byte, cioè 16 elementi di F256 , quindi in totale 128 bit.
63
Figura 3.13: Stato AES
3.5.2
Struttura
La struttura dell’AES è mostrata nella Figura 3.14.
Come primo passaggio c’è il cosiddetto Processo di Whitening; esso prevede che
vengano combinati i dati con porzioni della chiave mediante semplici operazioni di
XOR, prima del primo passaggio di cifratura.
Ogni round, tranne l’ultimo, prevede i seguenti passaggi:
• Substitution Bytes, ed equivale alla fase di sostituzione presente nell’SPN.
• Shift Rows, ed equivale alla permutazione.
• Mix Columns, è una parte lineare e non è presente in un SPN classico.
• XOR con la Round Key
L’ultimo round differisce dai precedenti perché non effettua Mix Columns.
3.5.3
Substitution Bytes
Questa fase è realizzata mediante S-Box. L’AES utilizza 16 S-Box uguali, ognuna
che prende in input 1 byte, quindi S − Box : Z28 → Z28 .
Ogni S-Box esegue questi passaggi:
1. Input: Riceve in input un byte che viene trasformato nel polinomio corrispondente
α ∈ F256 .
2. Calcolo inverso: Viene calcolato
1
α (operazione
fortemente non lineare). Poiché 0
non ha inverso esso viene restituito identico.
3. Conversione Polinomio α1 :
1
α
diventa a7 a6 a5 a4 a3 a2 a1 a0
64
Figura 3.14: Struttura AES
65
4. Esecuzione di una parte lineare:

a7
















 

a6 
 
 
a5  
 

a4 
 
·

a3 
 
 
a2  
 

a1 
 
a0
 
11110001


 

11100011 
 
 
11000111  
 

10001111 
 
+

00011111 
 
 
00111110  
 

01111100 
 
11111000
1


1 


0 

0 

 = OU T P U T S − box
0 


1 

1 

0
In realtà l’S-Box non svolge i calcoli ogni volta ma effettua una sostituzione avvalendosi della tabella in Figura 3.15, che è stata calcolata dagli autori.
Figura 3.15: S-Box AES
Teorema 18. Non esistono S-Box a 8 bit migliori di questa.
Gli autori del Rijndael ha dimostrato questo teorema, e hanno mostrato che la
massima polarizzazione possibile è 0, 1625. Questa è una polarizzazione molto bassa
che non è sufficiente per portare a termine un attacco di crittoanalisi lineare. Gli autori
hanno dovuto anche evitare, che ci fosse un cammino con poche S-Box attive. Infatti
66
avendo molte S-Box attive la polarizzazione della variabile decresce notevolmente in
quanto è il prodotto delle polarizzazioni.
Questo significa che per portare a termine un attacco di crittoanalisi lineare sull’AES
servono 2150 coppie (x, y), che è un numero irragionevole.
3.5.4
Shift Rows
Questa fase realizza la permutazione. Lo fa nel modo mostrato in Figura 3.16
Figura 3.16: Shift Rows
La prima riga dello stato i-esimo rimane invariata; la seconda riga viene shiftata di
una posizione verso sinistra; la terza di 2 e la quarta di 3.
3.5.5
Mix Columns
È l’unica parte lineare. Serve per realizzare la cosiddetta diffusione, cioè fa aumentare il numero di S-Box attive in una crittoanalisi lineare.
La prima matrice è quella che esce dallo Shift Rows e la seconda è una matrice fissa,
rappresentata da polinomi.

s0,0 s0,1 s0,2 s0,3

 s s s s
 1,0 1,1 1,2 1,3

 s2,0 s2,1 s2,2 s2,3

s3,0 s3,1 s3,2 s3,3
 
x (x + 1) 1 1
 
  1 x (x + 1) 1
 
·
  1 1 x (x + 1)
 
(x + 1) 1 1 x







La moltiplicazione è fatta all’interno del campo.
3.5.6
Key Schedule
Crea 11 Round Key da 128 bit a partire da una chiave master di 128 bit. La chiave
può essere rappresentata dalla matrice
67

k0,0 k0,1 k0,2 k0,3

 k k k k
 1,0 1,1 1,2 1,3

 k2,0 k2,1 k2,2 k2,3

k3,0 k3,1 k3,2 k3,3







Ci servirà anche la tabella Rcon che è la seguente e rappresenta una serie di costanti
espresse in esadecimale.

01 02 04 08 10 20 40 80 1B 36



 00 00 00 00 00 00 00 00 00 00 




 00 00 00 00 00 00 00 00 00 00 


00 00 00 00 00 00 00 00 00 00
Si lavora colonna per colonna in questo modo: indichiamo con Wi l’i-esima colonna
della matrice di chiave.
• Se Wi è la prima colonna di ogni round key allora
Wi = (S − Box(ROT L1 (Wi−1 )) ⊗ Wi−4 ) ⊗ Rcon(j)
Inizialmente j = 0, poi ad ogni iterata viene incrementato di uno.
• Se Wi non è la prima colonna di ogni round key allora
Wi = Wi−1 ⊗ Wi−4
68
3.6. Modi Operativi
3.6
Modi Operativi
• ECB Mode (Electronic CodeBook Mode): Classica modalità, in cui data una
sequenza x1 x2 · · · xn di blocchi in chiaro, ogni xi viene cifrato con la stessa chiave
K, producendo y1 y2 · · · yn .
• CBC Mode (Cipher Block Chaining): Ogni blocco cifrato yi è messo in XOR con il
blocco in chiaro successivo, prima di essere cifrato con la chiave K. Formalmente
si utilizza un initialization vector IV = y0 , e si usa la seguente regola
yi = eK (yi−1 ⊗ xi )
• OFB Mode (Output FeedBack Mode):Simile ad uno stream cipher. Il keystreem
è generato a partire da un IV; si pone z0 = IV poi si segue la regola
zi = eK (zi−1 )
La sequenza in chiaro viene poi cifrata seguendo la regola
yi = xi ⊗ zi
• CFB Mode (Cipher FeedBack Mode): È simile al precedente solo che IV = y0 .
Il keystream segue la regola
zi = eK (yi−1 )
Per cifrare si usa la regola
yi = x i ⊗ zi
69
Capitolo 4
Funzioni Hash Crittografiche
4.1
Funzioni Hash e Data Integrity
Una funzione hash crittografica è utilizzata per preservare l’integrità dei dati, autenticazione e firma digitale. Essa viene usata per costruire un fingerprint o un message
digest, che è un estratto di un dato; se il dato viene alterato il fingerprint non sarà più
valido in quanto un ricalcolo della stessa funzione hash sul dato alterato produrrà un
diverso fingerprint.
Sia h la funzione hash e x un dato qualsiasi. Il corrispondente fingerprint è dato da
h(x) = y. Tipicamente l’estratto della funzione hash è di lunghezza finita e minore del
dato originario: comunemente 160 bit.
Le funzioni hash ricoprono un ruolo importante in quello che è il meccanismo della
firma digitale. Esistono, anche, funzioni hash che utilizzano una chiave per effettuare il
calcolo; esse vengono dette funzioni MAC (Message Authentication Code).
Definizione 24 (Hash Family). Una hash family è una quaterna (X , Y, K, H)
dove le seguenti condizioni sono soddisfatte:
• X è l’insieme dei possibili messaggi
• Y è l’insieme finito dei possibili message digest
• K è il keyspace, cioè l’insieme finito delle possibili chiavi
• H l’insieme delle possibili funzioni hash
• ∀K ∈ K ∃hK ∈ H
t.c. hK : X → Y
In questa definizione X può essere finito o infinito, mentre Y è sempre finito. Nel caso in cui X fosse finito la funzione hash è chiamata funzione di compressione. In questa
situazione assumiamo che |X | ≥ |Y|, ma nel proseguo assumeremo una condizione più
restrittiva |X | ≥ 2|Y|.
Una coppia (x, y) ∈ X xY si dice valida, sotto una chiave K, se hK (x) = y.
70
4.2. Sicurezza di una funzione hash
Capitolo 4. Funzioni Hash Crittografiche
Indichiamo con F X ,Y l’insieme di tutte le possibili funzioni che vanno da X a Y.
Supponiamo che |X | = N e |Y| = M , allora |F X ,Y | = M N . Qualunque hash family
F ⊆ F X ,Y è chiamata (N, M ) − hash f amily.
Una funzione hash keyless è una funzione h : X → Y con X , Y gli stessi della
Definizione 24; si può vedere come una funzione hash dove c’è solo una possibile chiave,
quindi |K| = 1.
4.2
Sicurezza di una funzione hash
Supponiamo che h : X → Y sia una funzione senza chiave, dove X = Z2n e Y = Z2m
con n > m. Sia x ∈ X e y = h(x) ∈ Y.
In molte applicazioni crittografiche delle funzioni hash, si desidera avere un solo
modo per produrre una coppia (x, y) che è quello di fissare x e calcolare y = h(x),
applicando semplicemente la funzione h su x.
Ora definiremo 3 problemi; se una funzione hash è definita sicura allora dovrebbe
essere difficile risolvere questi 3 problemi.
Problema 1 (Preimage o Controimmagine). Data una funzione hash h : X →
Y e un elemento y ∈ Y trovare x ∈ X t.c. h(x) = y.
Dato un possibile message digest y, il problema Preimage chiede se x può essere
trovato in modo tale da avere h(x) = y. Se tale problema può essere risolto, allora è
stata trovata una coppia (x, y) valida.
Una funzione hash, tale che il problema Preimage non può essere risolto in modo
efficiente, è detta one-way o Preimage resistant.
Problema 2 (Second Preimage o Seconda Controimmagine). Data una funzione hash h : X → Y e un elemento x ∈ X trovare x0 ∈ X t.c. x0 6= x∧h(x0 ) =
h(x).
Dato un messaggio x, il problema Second Preimage, chiede se è possibile trovare
un altro messaggio x0 6= x tale che si abbia lo stesso message digest. Da notare che se
è possibile risolvere tale problema significa che la coppia (x0 , h(x)) è valida.
Una funzione hash, per la quale non è possibile risolvere in modo efficiente il
problema Second Preimage, viene detta Second Preimage resistant.
Problema 3 (Collision). Data una funzione hash h : X → Y trovare x, x0 ∈
X t.c. x0 6= x ∧ h(x0 ) = h(x).
71
Il problema Collision chiede se è possibile trovare due messaggi diversi che mi danno
lo stesso message digest. La soluzione del problema genera due coppie valide (x, y) e
(x0 , y).
Una funzione hash, per la quale non è possibile risolvere in modo efficiente il
problema Collision, viene detta Collision resistant.
4.2.1
Random Oracle Model
In questa sezione descriviamo un modello ideale di funzione hash.
Se una funzione h è ben formata, si dovrebbe avere che l’unico modo efficiente per
determinare h(x) sia proprio quello di valutare la funzione h in x. Chiaramente, questo
deve rimanere vero anche se molti altri valori, h(x1 ), h(x2 ), · · · , h(xm ), sono già stati
calcolati.
Vediamo un esempio dove questa proprietà non è verificata.
Supponiamo che h : Zn xZn → Zn sia la funzione lineare
h(x, y) = ax + by
(mod n)
con a, b ∈ Zn e n ≥ 2 ∈ Z (intero). Supponiamo di aver ottenuto i valori
h(x1 , y1 ) = z1
e
h(x2 , y2 ) = z2
Siano r, s ∈ Zn , quindi avremo che
h(rx1 + sx2
(mod n), ry1 + sy2
(mod n)) = a(rx1 + sx2 ) + b(ry1 + sy2 )
= r(ax1 + by1 ) + s(ax2 + by2 )
= rh(x1 , y1 ) + sh(x2 , y2 )
(mod n)
(mod n)
(mod n)
Di conseguenza accade che, conoscendo due coppie valide, possiamo conoscere i
message digest di altri messaggi senza applicare la funzione hash a tali messaggi.
Il random oracle model, che fu introdotto da Bellare e Rogaway, fornisce un modello
matematico di una funzione hash ideale. In questo modello, una funzione hash h :
X → Y viene scelta a caso da F X ,Y , e viene permesso solo all’oracolo di accedere a tale
funzione. Questo significa che non c’è un algoritmo o una formula che identifica h, e
quindi l’unico modo per conoscere h(x) è interrogare l’oracolo.
72
Chiaramente l’oracolo nella realtà non esiste; si può solo sperare che la funzione
hash si comporti come un random oracle.
Come conseguenza delle assunzioni fatte nel random oracle model, è ovvio che la
seguente proprietà sia soddisfatta:
Teorema 19. Sia h ∈ F X ,Y scelta casualmente, e sia X0 ⊆ X . Supponiamo
che il valore h(x) sia già stato determinato (consultando un oracolo), se e solo
1
se x ∈ X0 . Allora p(h(x) = y) = M
∀x ∈ X \ X0 e ∀y ∈ Y.
4.2.2
Algoritmi nel Random Oracle Model
Gli algoritmi che verranno descritti sono algoritmi randomizzati, ossia possono
effettuare scelte random durante la loro esecuzione.
L’algoritmo Las Vegas è uno di questi; esso può terminare senza aver trovato una
soluzione ma se restituisce una soluzione di sicuro è corretta. Supponiamo 0 ≤ < 1
la probabilità che l’algoritmo restituisca la risposta corretta.
In questa sezione useremo la notazione (, Q) − algorithm per indicare un algoritmo
con probabilità di successo nel caso medio pari a che effettua al più Q interrogazioni
all’oracolo.
Consideriamo gli Algoritmi 4.1 e 4.2 che risolvono i primi due problemi.
73
Teorema 20. Per ogni X0 ⊆ X con |X0 | = Q, la probabilità di successo nel
caso medio, dell’Algoritmo 4.1, è
1
=1− 1−
M
Q
f avorevoli (6=y)
1
Dimostrazione. Sia y ∈ Y fissato. Sia MM−1 = 1 − M
= #casi
la prob#casi possibili
abilità che l’algoritmo fallisca, avendo effettuato una sola interrogazione all’oracolo.
1 Q
Poichè faccio Q interrogazioni la probabilità diventa 1 − M
. Quindi la probabilità
1 Q
di successo è = 1 − 1 − M .
Da notare che la precedente probabilità si approssima a
Q
M.
Teorema 21. Per ogni X0 ⊆ X \x con |X0 | = Q−1, la probabilità di successo,
dell’Algoritmo 4.2, è
1 Q−1
=1− 1−
M
Consideriamo l’Algoritmo 4.3 che risolve il terzo problema.
Questo algoritmo è analizzato utilizzando una probabilità analoga al paradosso del
compleanno. Questo dice che basta un gruppo di 23 persone per avere una probabilità
pari a
1
2
di avere due persone che sono nate lo stesso giorno. Supponiamo che la
funzione h ha come dominio l’insieme degli esseri umani viventi, e ∀x h(x) è il relativo
compleanno. Trovare due persone con lo stesso compleanno equivale a trovare una
collisione nella funzione hash. In questo caso, il paradosso del compleanno, dice che
l’Algoritmo 4.3 ha probabilità di successo pari a
1
2
quando Q = 23 e M = 365.
Teorema 22. Per ogni X0 ⊆ X \ x con |X0 | = Q, la probabilità di successo,
dell’Algoritmo 4.3, è
M −1
M −2
M −Q+1
=1−
···
M
M
M
74
Dimostrazione. Sia X0 = {x1 , · · · , xQ }. Per ogni 1 ≤ i ≤ Q, sia Ei l’evento
00
h(xi ) ∈
/ {h(x1 ), · · · , h(xi−1 )}00
p(Ei | E1 ∧ E2 ∧ · · · ∧ Ei−1 ) =
M −i+1
M
per 2 ≤ i ≤ Q. Quindi, si ha che
M −1
M −2
M −Q+1
p(E1 ∧ E2 ∧ · · · ∧ EQ ) =
···
M
M
M
La probabilità che si abbia almeno una collisione è 1 − p(E1 ∧ E2 ∧ · · · ∧ EQ ).
Teorema 23 (Paradosso
del Compleanno). Nel modello “random oracle”
q
1
interrogazioni per avere una collisione con
sono sufficienti Q = 2M ln 1−
probabilità ≥ .
Dimostrazione. Il Teorema 22 dice che la probabilità di non trovare nessuna collisione
è
2
Q−1
i
1
Q−1
1−
··· 1 −
= Πi=1 1 −
1−
M
M
M
M
Pongo x = Mi . Se x è un numero reale piccolo, allora 1 − x ' e−x . Questa stima è
derivata prendendo i primi due termini dell’espansione in serie
x2 x3
−
···
2!
3!
Usando questa stima la probabilità di non trovare collisioni si approssima a
i
Q−1
( −i
M)
Πi=1 1 −
' ΠQ−1
i=1 e
M
e−x = 1 − x +
Per una proprietà delle potenze, il prodotto di potenze con uguale base è identico
all’elevare la base alla la somma degli esponenti. Quindi
e−
PQ−1
i=1
i
M
=e
−Q(Q−1)
2M
Di conseguenza la probabilità di trovare almeno una collisione è
1−e
−Q(Q−1)
2M
Se noi chiamiamo questa probabilità con , segue che
e
−Q(Q−1)
2M
'1−→
−Q(Q − 1)
' ln(1 − )
2M
75
1
1−
Se infine trascuriamo il termine −Q otteniamo
r
1
Q ' 2M ln
1−
Q2 − Q ' 2M ln
Tornando al paradosso del compleanno, se prendiamo =
1
2
√
avremo Q ' 1.17 M ,
e dato che M = 365, Q ' 22.3. Quindi, come detto precedentemente, basta prendere
23 persone a caso per averne, con probabilità
1
2,
almeno 2 tra di loro con lo stesso
compleanno.
L’attacco compleanno impone un lower bound alla grandezza del message digest.
Un digest di 40 bit è molto insicuro, in quanto una collisione può essere trovata, con
probabilità
1
2,
con solo 220 (circa un milione) di hash casuali. La grandezza minima
accettabile e 128 bit (264 hash) ma è raccomandato usare una dimensione ≥ 160.
4.2.3
Comparazione dei criteri di sicurezza
Nel random oracle model, abbiamo visto che risolvere il problema della Collision è
più facile che risolvere gli altri problemi. La domanda successiva è vedere se esiste una
riduzione tra i tre problemi che può essere applicata ad una funzione hash arbitraria.
È abbastanza facile vedere che si può ridurre il problema Collision al problema
Second Preimage usando l’Algoritmo 4.4.
Supponiamo che ORACLE-2ND-PREIMAGE è un (, Q) − algorithm che risolve
il problema Second Preimage per una funzione hash fissata.
Se ORACLE-2ND-
PREIMAGE restituisce un valore x0 dato l’input (h, x), allora si ha che x0 6= x, perché
tale algoritmo è di tipo Las Vegas. Come conseguenza, è chiaro che COLLISION-TO-
76
2ND-PREIMAGE è un (, Q) − algorithm che risolve il problema Collision per la stessa
funzione hash.
Questo significa che Collision Resistant =⇒ Second P reimage Resistant.
Una domanda più interessante è se è possibile ridurre il problema Collision al problema Preimage. Questo è possibile se un algoritmo che risolve il problema Preimage
con probabilità 1, viene usato per risolvere il problema Collision.
Questa riduzione può essere fatta con certe assunzioni. Assumiamo che la funzione
h : X → Y abbia X e Y, due insiemi finiti e che |X | ≥ 2|Y|. Supponiamo inoltre che
ORACLE-PREIMAGE sia un (1, Q) − algorithm che risolve il problema Preimage.
ORACLE-PREIMAGE prende in input un message digest y ∈ Y, e trova sempre un elemento ORACLE −P REIM AGE(y) ∈ X tale che h(ORACLE −P REIM AGE(y)) =
y.
Teorema 24. Supponiamo che h : X → Y sia una funzione hash con X e Y
due insiemi finiti tale che |X | ≥ 2|Y|. Supponiamo che ORACLE-PREIMAGE
sia un (1, Q) − algorithm che risolve Preimage, per una funzione fissata.
Allora COLLISION-TO-PREIMAGE è un ( 21 , Q + 1) − algorithm che risolve
Collision, per la funzione fissata.
Questo significa che Collision Resistant =⇒ P reimage Resistant.
77
4.3. Funzioni Hash Iterative
4.3
Funzioni Hash Iterative
Il problema implementativo delle funzioni hash è che devono trattare stringhe o file
potenzialmente infiniti e comprimerli in 160 bit.
Supponiamo che compress : Z2m+t → Z2m è una funzione di compressione collision
resistant.
4.3.1
Costruzione Merkle-Damgard (MD)
• compress : Z2m+t → Z2m
• Suddivido: Data una stringa x t.c.|x| ≥ m + t + 1 bit la suddivido in blocchi di
t − 1 bit con t ≥ 2.
x = x1 || x2 || x3 || · · · || xk
• Padding: Tutti gli xi sono di lunghezza t − 1 tranne forse xk che può essere |xk | ≤
t − 1. In questo caso riempo xk con tanti 0 quanti ne servono per raggiungere
|xk | = t − 1.
Considero, dunque,
x̄ = x̄1 || x̄2 || x̄3 || · · · || x̄k || x̄k+1
Inserisco un ulteriore blocco x̄k+1 che è la rappresentazione binaria di t − 1 − |xk |
cioè del numero di 0 che ho aggiunto.
• Esecuzione: Pongo IV = 0000 · · · 0 → m + 1 bit
Z1 = IV || x̄1
Z2 = compress(Z1 ) || 1 || x̄2
..
.
Zi+1 = compress(Zi ) || 1 || x̄i+1
..
.
Zk = compress(Zk−1 ) || 1 || x̄k
Zk+1 = compress(Zk ) || 1 || x̄k+1
h(x) = compress(Zk+1 )
78
Teorema 25 (Compress). Se compress è resistente alle collisioni, allora lo è
anche h.
Dimostrazione. Se ho x 6= x0 con h(x) = h(x0 ) allora trovo s e s0 tali che compress(s) =
compress(s0 ).
Supponiamo che x 6= x0 siano tali che h(x) = h(x0 ). Distinguiamo 3 casi:
• Caso 1 : Se |x| 6≡ |x0 | (mod t − 1) (la differenza non è multiplo di t − 1).
|x| 6≡ |x0 |
(mod t − 1) ⇐⇒ |xk | =
6 |x0k | ⇐⇒ x̄k+1 6= x̄0k+1
h(x) = compress(compress(Zk ) || 1 || x̄k+1 )
h(x0 ) = compress(compress(Zk0 ) || 1 || x̄0k+1 )
Dato che h(x) = h(x0 ) allora trovo anche due sequenze lunghe m + t con stesso
compress, ma invece
s = compress(Zk ) || 1 || x̄k+1
s0 = compress(Zk0 ) || 1 || x̄0k+1
che sono diverse; quindi ho trovato una collisione.
• Caso 2 : Se |x| ≡ |x0 | (mod t − 1) e |x| = |x0 | In questo caso è uguale anche
l’ultimo blocco, e quindi anche il numero di passi.
Poiché x 6= x0 deve esserci almeno una volta che Zi 6= Zi0 . Quindi:
0
∃ Zi 6= Zi0 ∧ Zj = Zj0 ∀j > i =⇒ Zi+1 = Zi+1
=⇒
compress(Zi ) || 1 || x̄i+1 = compress(Zi0 ) || 1 || x̄0i+1 =⇒
compress(Zi ) = compress(Zi0 )
Ho trovato lo stesso valore di compress per due diversi input.
• Caso 3 : Se |x| ≡ |x0 | (mod t − 1) e |x| < |x0 | In questo caso le due sequenze
saranno cosı̀ fatte:
x
x0
Z10
79
Z20
..
.
Z1
0
Z1+h
Z2
0
Z2+h
..
.
Zk
Zk+1
0
Zk+h
0
Zk+1+h
0
0
Poiché x 6= x0 deve esserci almeno una volta che Zi 6= Zi+h
∧ Zi+1 = Zi+h+1
allora
0
Zi+1 = Zi+h+1
=⇒
0
) || 1 || x̄i+h+1
compress(Zi ) || 1 || x̄i+1 = compress(Zi+h
Ho trovato ancora una collisione per compress.
0
non siano mai diverse allora
Supponiamo che Zi e Zi+h
0
Z2 = Z2+h
=⇒
0
compress(Z1 ) || 1 || x̄2 = compress(Z1+h
) || 1 || x̄2+h =⇒
0
0
)
) =⇒ compress(000 · · · 0 || x̄1 ) = compress(Z1+h
compress(Z1 ) = compress(Z1+h
Ho trovato una collisione comunque in quanto al secondo membro non siamo al
primo passo quindi non saranno tutti 0; in particolare l’ultimo della sequenza è
1 di sicuro per via di come è costruito il metodo.
4.3.2
SHA-1 (Secure Hash Algorithm)
SHA è lo standard NIST per le funzioni hash. Si basa sullo schema visto precedentemente. Le caratteristiche sono:
• m = 160
• t = 512
• compress : Z2512+160 → Z2160
• Limitazione: |x| ≤ 264 − 1 ' 1, 8 · 1019 . Se si considera che 1Gb ' 1010 , x può
essere al massimo 2 miliardi di Gb (non è alla fine una grande limitazione).
80
Questo succede per via del padding. Infatti l’ultimo blocco è di lunghezza 448 bit
ed è composto da un 1 in prima posizione e da tutti 0. A questo viene aggiunta la
rappresentazione binaria di |x| che al massimo può essere lunga 64 bit (512−448).
La figura seguente mostra in dettaglio l’algoritmo.
La differenza che c’è tra SHA-0 e SHA-1 è che nel secondo è stata introdotta la
rotazione dei bit.
81
4.3.3
MAC (Message Authentication Codes)
Consiste nell’uso delle funzioni hash nei processi di autenticazione.
Si fa l’hash di un file concatenato ad una chiave segreta. Solo chi conosce la chiave
corretta può ricalcolare il giusto hash.
L’idea banale è che invece di impostare IV = 000 · · · 0, lo si imposta IV = k. Questa
soluzione però non funziona, in quanto l’hacker senza conoscere la chiave è in grado
di mandare un secondo messaggio autentico. Se l’hacker effettua n ulteriori iterazioni
di compress sull’hash spedito al destinatario, quello che ne risulta è un hash ancora
valido; questo perché implicitamente utilizza la chiave segreta.
Formalmente questa soluzione è definita cosı̀
h(k, x) = SHA − 1(k || x)
Dato h(k, x) l’hacker può calcolare h(h(k, x) || x0 ) = compress(h(k, x) || x0 ), che è
ancora un hash valido.
Una soluzione sicuramente migliore è attaccare la chiave anche in fondo. Comunque
quella definita come standard è il double hashing o HMAC. Esso è uno standard dal
2002. È cosı̀ definito:
HM ACk (x) = SHA − 1((K ⊗ opad) || SHA − 1((K ⊗ ipad) || x))
dove ipad = 3636 · · · 36 e opad = 5C5C · · · 5C
MAC Incondizionatamente Sicuri
Incondizionatamente sicuri significa sicuri dal punto di vista formale (matematico).
Un sistema di autenticazione MAC e una quaterna (X , Y, K, H) dove:
• X : l’insieme dei possibili messaggi
• Y: l’insieme delle etichette (o tag, o digest)
• K: l’insieme delle possibili chiavi
• H: famiglia di funzioni hash. H = {hK : X → Y | k ∈ K} (C’è una funzione per
ogni chiave).
Gli attacchi ad un sistema di autenticazione sono due tipi:
82
1. Impersonification: Dal nulla l’hacker crea una coppia (x, y), la invia al destinatario sperando che venga accettata. y = hk0 (x) l’hacker spera di aver scelto la
giusta k0 .
2. Substitution: L’hacker vede passare un messaggio, quindi conosce (x, y) con y =
hk0 (x), e invia un’altra coppia (x0 , y 0 ) sperando che y 0 = hk0 (x0 ).
Per descrivere un sistema del genere ci avvaliamo di una matrice di autenticazione,
simile alla matrice di codifica già utilizzata. Le colonne sono identificate dai possibili
messaggi, mentre le righe dalle possibili chiavi; all’incrocio della riga i-esima e della
colonna j-esima c’è hki (xj ) = yij , ossia l’etichetta del messaggio xj creata con la chiave
ki .
ESEMPIO 1:
X = Z3 = {0, 1, 2}
Y = Z3
K = Z32
Confrontiamo due matrice di autenticazione; la prima è data dalla figura seguente,
creata dalla funzione h(a,b) = ax + b (mod 3).
la seconda è questa creata casualmente
Vediamo quale delle due è migliore, dal punto di vista dei due attacchi:
• Impersonification: Nella prima p((x, y) ACCET T AT A) =
1
3
∀x ∈ X , ∀y ∈ Y.
Nella seconda varia; per esempio p((0, 0) ACCET T AT A) = 1. L’hacker ha una
sola possibilità di scelta che è k = (0, 2).
La migliore delle due è senza dubbio la prima.
83
• Substitution: L’hacker vede passare la coppia (0, 1). L’obiettivo è trovare un altro
messaggio con un’altra etichetta valida.
Nella prima, le chiavi possibili sono 3, quindi la probabilità che il destinatario
accetti la nuova etichetta e
3
9
= 13 .
Nella seconda, le chiavi possibili sono 6; se l’hacker manda (1, 2) la probabilità
che il destinatario la accetti è 65 .
Quindi ancora una volta la prima è la migliore.
Formalizziamo, dunque, quando una funzione hash è ottima.
Impersonification. Definiamo P AY OF F (x, y) come la probabilità che (x, y) sia accettata. L’obiettivo è garantire che il massimo PAYOFF sia il più basso possibile.
P AY OF F (x, y) =
|{k ∈ K | hk (x) = y}|
|K|
Fissiamo y e facciamo variare solo x. Conto le chiavi che mandano le x nella y
fissata. In pratica conto tutte le chiavi.
X
P
P AY OF F (x, y) =
y∈Y
|{k ∈ K | hk (x) = y}|
|K|
y∈Y
La somma di tutti i PAYOFF al variare di y è 1.
84
=
|K|
=1
|K|
=⇒
Almeno un valore di x è tale che P AY OF F (x, y) ≥
1
|Y|
sommo, e tutti sono <
1
|Y| .
Questo perché se li
non arrivo a 1; quindi max{P AY OF F (x, y)} ≥
In particolare vale = quando ogni P AY OF F (x, y) =
1
|Y| .
1
|Y| .
Questo è il caso migliore perché non ce n’è uno che prevale sugli altri, come
succedeva nella prima funzione dell’ESEMPIO 1.
Substitution . P AY OF F (x0 , y 0 , x, y) è la probabilità che la coppia (x0 , y 0 ) sia accettata sapendo che (x, y) lo è. L’obiettivo è che il massimo di questi P AY OF F (x0 , y 0 , x, y)
sia il più piccolo possibile.
P AY OF F (x0 , y, x, y) = p((x0 , y 0 ) ACCET T AT A | (x, y) ACCET T AT A) =
p((x0 , y 0 ) ACCET T AT A) ∧ (x, y) ACCET T AT A
=
p((x, y) ACCET T AT A)
|{k∈K | y 0 =hk (x0 )∧y=hk (x)}|
|K|
|{k∈K | y=hk (x)}|
|K|
=
|{k ∈ K | y 0 = hk (x0 ) ∧ y = hk (x)}|
|{k ∈ K | y = hk (x)}|
Come prima facciamo variare y 0 è contiamo le chiavi che verificano il numeratore.
X
P
0
0
P AY OF F (x , y , x, y) =
y 0 ∈Y
|{k ∈ K | y 0 = hk (x0 ) ∧ y = hk (x)}|
|{k ∈ K | y = hk (x)}|
y 0 ∈Y
=
|{k ∈ K | y = hk (x)}|
=1
|{k ∈ K | y = hk (x)}|
Come prima, il massimo max{P AY OF F (x0 , y 0 , x, y)} ≥
1
|Y|
Definizione 25 (Strongly Universal). Dato (X , Y, K, H) si dice Strongly
Universal se valgono due proprietà:
a) P AY OF F (x, y) =
1
|Y|
∀x ∈ X , ∀y ∈ Y
b) P AY OF F (x0 , y 0 , x, y) =
1
|Y|
∀x, x0 ∈ X e ∀y, y 0 ∈ Y
85
Teorema 26 (Condizione equivalente). Una quaterna (X , Y, K, H) è
STRONGLY UNIVERSAL ⇐⇒ ∀x, x0 ∈ X , x 6= x0 , ∀y, y 0 ∈ Y
|{k ∈ K | hk (x) = y ∧ hk (x0 ) = y 0 }| =
|K|
|Y|2
Prese comunque x 6= x0 , y e y 0 il numero di chiavi che mandano x in y e x0 in y 0
sono
|K|
.
|Y|2
Nell’ESEMPIO 1, k = 9 e y = 3 cioè
9
9
= 1 chiave. Se proviamo a controllare risulta
proprio 1 quindi la prima tabella rappresenta un sistema MAC Strongly Universal.
Dimostrazione. ⇐=
a)
P AY OF F (x, y) =
|{k ∈ K | hk (x) = y}|
=
|K|
|{k ∈ K | hk (x) = y}|
|K|
0
0
y 0 ∈Y |{k ∈ K | y = hk (x ) ∧ y = hk (x)}|
P
P
|K|
|Y| ·
|K|
|Y|2
|K|
=
|K|
|Y|
|K|
=
y 0 ∈Y
=
|K|
|K| 1
1
·
=
|Y| |K|
|Y|
b)
|{k ∈ K | hk (x) = y ∧ hk (x0 ) = y 0 }|
P AY OF F (x , y , x, y) =
=
|{k ∈ K | hk (x) = y}|
0
0
|K| |Y|
1
·
=
|Y|2 |K|
|Y|
Generalizziamo l’ESEMPIO 1.
X = Zp con p primo.
Y = Zp
K = Zp2
h(a,b) (x) = ax + b (mod p)
Proposizione 2. Questa famiglia è Strongly Universal.
86
|K|
|Y|2
|K|
|Y|
=
|K|
|Y|2
=
Dimostrazione. Fisso x, x0 , y, y 0 ∈ Zp ; cerco k = (a, b) ∈ Zp2 tali che
ax + b = y
0
0
h(a,b) (x) = y ∧ h(a,b) (x ) = y =
ax0 + b = y 0
Questo è un sistema lineare con 2 incognite (a e b). Si ha che
x 1
det
= x − x0
x0 1
x − x0 6= 0 perché x 6= x0 .
Quindi ho un sistema di Kramer a una soluzione. Ho trovato una sola chiave infatti
|K| = p2
=1
|Y 2 | = p2
Non ha senso applicare questo sistema, perché le possibili chiavi sono molte di più
dei possibili messaggi.
ESEMPIO 2:
X = Z2l \ {0̄}
Y = Zp
K = Zpl
hk (x) = h(k1 ,k2 ,···,kl ) (x1 , x2 , · · · , xl ) = k1 x1 + k2 x2 + · · · + kl xl
(mod p).
Anche in questo caso abbiamo più chiavi che messaggi, quindi non è applicabile,
comunque, calcoliamo preventivamente
|K|
pl
=
= pl−2
|Y|2
p2
Conto le chiavi (k1 , · · · , kl ) tali che h(k1 ,···,kl ) (x1 , · · · , xl ) = y ∧h(k1 ,···,kl ) (x01 , · · · , x0l ) =
y 0 al variare di y e y 0 .
(
h(k1 ,···,kl ) (x1 , · · · , xl ) = y
h(k1 ,···,kl ) (x01 , · · · , x0l )
=
y0
(
=
k1 x1 + k2 x2 + · · · + kl xl
(mod p) = y
k1 x01
(mod p) = y 0
+
k2 x02
La matrice dei coefficienti è
x1 x2 · · · xl
x1 x2 · · · xl
87
!
+ ··· +
kl x0l
Per il teorema di Rouche-Capelli ha rango 2 quindi pl−2 soluzioni.
Teorema 27. Un sistema (X , Y, K, H) che si Strongly Universal non è
praticabile perché
|K| ≥ |X | · |Y|
Abbiamo ottenuto lo stesso risultato del ONE-TIME-PAD; abbiamo potenzialmente
un sistema perfetto ma non lo possiamo usare. Ci dobbiamo accontentare di famiglie
-Strongly Universal.
Definizione
26. (X , Y, K, H) si dice -Strongly
1
P AY OF F (x, y) = P AY OF F (x0 , y 0 , x, y) = |Y|
≤
È possibile costruire una famiglia che sia
1
-Strongly
219
Universal
se
Universal con
17
• X = 22
• Y = 220
• K = 284
In conclusione rinunciamo ad un minimo di sicurezza per avere una maggiore praticabilità. In realtà ancora non ci sono gli strumenti neanche per realizzare un sistema
1
-Strongly
219
4.3.4
Universal.
Un pò di storia
• 1990 → MD4 (Rivest)
• 1992 → MD5
• Primo standard 1993 → SHA-0
• 1995 → SHA-1



SHA − 256



 SHA − 384
• 2002 → SHA-2

SHA − 512




 SHA − 224
• È in corso la gara per SHA-3
88
Capitolo 5
Crittografia Asimmetrica
5.1
Introduzione
La crittografia è sempre stata presente, fin dai tempi antichi, ma il suo utilizzo è
diventato indispensabile nella nostra epoca perché sono aumentate le comunicazioni.
Il problema della crittografia simmetrica è che prima che il messaggio sia trasmesso,
mittente e destinatario devono incontrarsi e mettersi d’accordo non solo sul metodo di
cifratura, ma anche e soprattutto sulla chiave segreta da utilizzare. Oggi questo non è
più possibile. Basti pensare agli acquisti su internet; se si vuole comprare un oggetto
in America, prima si deve andare in America per accordarsi sulla chiave. È una cosa
senza senso. Supponiamo che questo non sia un problema allora dovremmo mettere
in piedi un sistema di scambio di chiavi, che non può risultare efficiente. Prendiamo
l’esempio della chat. Se n sono i componenti della chat e, potenzialmente si vuol far
comunicare tutti con tutti, si dovrebbe creare un sistema che permetta di scambiare
N ◦ Chiavi = (n − 1) + (n − 2) + (n − 3) + · · · + 1 =
n−1
X
k=1
k=
n(n − 1)
2
Già in una semplice chat il numero è grande; quando la popolazione è enorme, come
in internet, il metodo diventa impraticabile.
La crittografia asimmetrica nasce per porre rimedio a questo problema. Essa distingue il metodo di cifratura da quello della decifratura. La chiave per la fase di crifratura è pubblica, cioè conosciuto da tutti quindi anche dall’hacker. La chiave per la
seconda è noto solo al destinatario.
In teoria un sistema del genere non è possibile, perché se io conosco l’algoritmo
che mi realizza la cifratura è facile leggendo il codice creare un algoritmo che è il suo
inverso. Infatti è cosı̀, pero esistono delle funzioni (trappola) facili da calcolare in un
senso, ma impossibili o quantomeno computazionalmente impossibili da invertire.
89
5.1. Introduzione
Capitolo 5. Crittografia Asimmetrica
Facciamo due esempi banali. È facile dato un nome trovare il numero sull’elenco
telefonico; è difficile dato un numero trovare il nome. È facile dati gli ingredienti è la
ricetta, fare il dolce. È difficile mangiando il dolce risalire agli ingredienti e alla ricetta.
A noi, chiaramente, servono trappole matematiche. Una funzione trappola è
B = logA X
Il logaritmo è la funzione inversa dell’esponenziale. Mentre è molto facile calcolare
l’esponenziale (X = AB ), è molto difficile calcolare l’esponente che applicato ad A mi
da X. Questa difficoltà si percepisce già dalla definizione di logaritmo.
Quindi per cifrare possiamo usare l’esponenziale, e per decifrare usiamo il logaritmo.
È scontato che la difficoltà computazionale si ha quando i numeri in gioco sono molto
grandi, e ancora di più quando gli attori in gioco sono elementi di un campo finito molto
grande. Un protocollo che si basa sulla trappola del logaritmo è il seguente Protocollo
Diffie-Hellman.
Questi due matematici furono i primo a proporre un sistema di crittografia asimmetrica. Il protocollo è il seguente. G e S sono gli attori della comunicazione; G è un
client e S è un server. Entrambi possiedono delle informazioni segrete e non:
(A) Possiede M , cioè il messaggio che è segreto
(S) Possiede B, cioè l’esponete che è segreto, e A e AB che sono pubblici.
Il protocollo funziona se l’hacker non può fare logA AB = B perché è computazionalmente difficile.
G → S : {M · (AB )C , AC }
con C un numero casuale scelto dal mittente.
S ricostruisce M dato che M =
M ·(AB )C
(AC )B
perché (AB )C = (AC )B .
L’hacker non potrà mai fare questa operazione semplice perché non conosce B.
Una seconda trappola è quella ottenuta moltiplicando due numeri primi. Dati p e
q primi molto grandi è facile calcolare il prodotto pq, mentre è difficile fattorizzare pq.
I numeri primi sono gli atomi dell’aritmetica. Sono un oggetto misterioso. Non ci
sono molti teoremi che regolano il loro comportamento, e questo forse è il motivo per
cui non si riesce a trovare un algoritmo efficiente per la fattorizzazione.
90
5.1. Introduzione
Si sa che sono infiniti. Si sa che da 0 a n sono circa
n
ln n .
Esistono delle congetture che non si riescono a dimostrare, come per esempio la
congettura di Goldbach, e cioè che ogni numero pari maggiore di 2 è somma di due
numeri primi.
4=3+1
6=3+3
8=5+3
10 = 7 + 3
..
.
n=p+q ?
Oppure l’ipotesi di Riemann che è uno dei 7 problemi del millennio (quindi tralasciamo).
Un sistema che usa questa trappola è l’RSA inventato nel 1977 da Rivest, Shamir
e Adleman, tre ricercatori del MIT. Intuitivamente N = pq fungerà da chiave pubblica
mentre p e q saranno la chiave privata. Inizialmente l’opinione pubblica fu scettica
su questo metodo, allora essi pubblicarono delle sfide; invitavano (sotto ricompensa) a
fattorizzare dei numeri che loro proponevano:
• RSA 129 → 129 cifre decimali. Ci vollero 17 anni (1994).
• RSA 576 → 576 bit (174 decimali). Ci vollero 9 anni (2003).
Cominciò a diventare popolare, fino ad avere l’enorme diffusione che ha attualmente,
proprio perché la gente tocco con mano la difficoltà di fattorizzare tali numeri.
Un’altra applicazione della crittografia asimmetrica è la firma digitale. La firma
digitale risolve i difetti della firma autografa:
• Sempre la stessa indipendentemente dal documento.
• Inadatta a documenti elettronici, visto che l’obiettivo, specialmente della pubblica
amministrazione, è quello di eliminare il cartaceo.
• La verifica non è immediata, servono perizie calligrafiche, che hanno tempi lunghi,
sono costose e potenzialmente sbagliate poiché fatte da un uomo.
91
5.1. Introduzione
L’idea è, applicare al documento la cifratura con la chiave privata dell’utente che
firma, è affiancare il risultato al documento. Chiunque volesse verificare la firma applica
la cifratura con la chiave pubblica di chi a firmato, se il risultato è uguale al documento
stesso allora la firma è accettata. Questo basta a risolvere i problemi sopra citati.
Da notare la differenza con MAC: nel caso della firma digitale tutti possono verificare
la firma mentre nel MAC solo chi possiede la chiave può accettare o rifiutare l’etichetta.
Questo ha portato alla nascita del cosiddetto PKI (Public Key Infrastructure), e
quindi alla nascita delle CA (Certification Autority), cioè enti autorizzati/certificati
che emettono sotto richiesta dei certificati, che contengono la chiave pubblica, e garantiscono l’identità di colui che ha richiesto uno specifico certificato. Questo risparmia,
agli attori della comunicazione, di doversi sempre scambiare le chiavi pubbliche prima
di comunicare, che evita, tra l’altro, problemi di sicurezza.
Il problema della crittografia a chiave asimmetrica è che è molto onerosa dal punto
di vista computazionale e necessita di chiavi molto grandi (1024-2048 bit) per garantire
la “totale” sicurezza. Per essere precisi bisogna dire che essa viene utilizzata non per
cifrare un documento ma per scambiare in maniera sicura una chiave simmetrica; per
lo stesso motivo non si firmerà l’intero documento ma l’hash.
Poiché la crittografia serve anche nelle comunicazioni cellulari e nelle televisioni
a pagamento e che strumenti come cellulari, appunto, e decoder hanno risorse molto
limitate, non paragonabili a un pc, serve un nuova sistema. Questa idea prende il nome
di ECC (Elliptic Curves Chryptography), realizzata mediante trappole geometriche che
sono ancora più difficili delle aritmetiche. Funzione trappola più difficili mi permettono
di diminuire la lunghezza della chiave. Si passa dal lavorare con i numeri a lavorare
con i punti del piano cartesiano.
Le curve ellittiche sono generalmente polinomi di grado 3. Su queste curve è possibile costruire un’operazione sui punti. Un’operazione è una relazione che associa a due
elementi un terzo. Si può, per esempio, utilizzare il prodotto tra punti, e quindi adottare
nuovamente il protocollo Diffie-Hellman (ECDH), in quanto è relativamente facile, dato
un punto P della curva calcolare P B , mentre è difficile calcolare logP P B = B).
Lo sviluppo della ECC è stato, inizialmente, ostacolato da RSA che ormai aveva
conquistato la scena. Inoltre i sui ideatori non erano ben visti dal governo americano.
Attualmente però nei dispositivi più sofisticati e negli strumenti militari si usa l’ECC.
92
5.2. Ulteriore teoria dei numeri
5.2
5.2.1
Ulteriore teoria dei numeri
Algoritmo Euclideo
∗ , a è invertibile in Z
Problema 4. Dato un elemento a ∈ Zm
m ⇐⇒
gcd(a, m) = 1.
Trovare l’inverso
1
a
(o a−1 )
La soluzione è scrivere 1 come combinazione di x e y.
1 − ax − my =⇒ ax ≡ 1
(mod m)
cioè (1 − ax) è multiplo di m.
1 − ax ≡ 0
(mod m) → 1 ≡ ax
(mod m) → x ≡
1
a
(mod m)
Questo lo possiamo fare per via dell’identità di Bèzout.
Teorema 28 (Identità di Bèzout). Dati a e m ∃x, y con gcd(a, m) = ax + my
L’algoritmo Euclideo trova x e y dalle divisione successive.
1) m = q1 · a + r2
con 0 ≤ r2 < m
2) a = q2 · r2 + r3
con 0 ≤ r3 < r2
2) r2 = q3 · r3 + r4
..
.
con 0 ≤ r4 < r3
i) ri = qi+1 · ri+1 + ri+2
..
.
con 0 ≤ ri+2 < ri+1
m-1) rm−1 = qm · rm + 0
L’ultimo resto non nullo è rm = gcd(a, m)
ESEMPIO: gcd(54, 360)
360 = 6 · 54 + 36
54 = 1 · 36 + 18
36 = 2 · 18 + 0
93
Quindi gcd(360, 54) = 18 → 18 = 360x + 54y
18 = 54 − 36
18 = 54 − (360 − 6 · 54)
18 = 7 · 54 + (−1) · 360
Quindi x = −1 e y = 7.
Questo metodo è molto più veloce di quello che fattorizza a e m in numeri primi.
La complessità è in funzione del #bit di m.
K = #bit di m = blog2 mc + 1
Il #passi?. Male che vada il resto decresce di 1 ad ogni iterazioni, quindi al massimo
impiegherà m passi. Ma m è esponenziale in K quindi detta cosı̀ non sembra poi cosı̀
efficiente.
In realtà il resto, nel caso peggiore, dimezza ogni 2 iterazioni.
Osservazione 10.
ri+2 ≤
ri
2
Dimostrazione.
ri = qi+1 ri+1 + ri+2 ≥ ri+1 + ri+2
poiché si ha che ri+2 < ri+1 allora
ri+1 + ri+2 > ri+2 + ri+2 = 2ri+2
e quindi
ri+2 ≤
ri
2
Da ciò segue che
#passi ≥ 2K = 2 · blog2 mc + 1
ossia una complessità temporale polinomiale.
94
Quando però si devono ricavare x e y, come dice l’Identità di Bèzout, si deve ripercorrere all’indietro l’algoritmo euclideo, con conseguente aumento di tempo. Per fare
questo, inoltre, occorre mantenere in memoria tutti i passaggi dell’algoritmo, con un
notevole spreco di spazio.
Si usa, dunque, il cosiddetto algoritmo Euclideo Esteso, che modificato aggiungendo
alcuni parametri proprio per evitare questo inconveniente.
ESEMPIO:
Quindi 3 = m · 2 + a · (−13).
s e t sono calcolati in modo tale da avere ri = si m + ti a ∀i e cioè
si = si−2 − qi−1 si−1
ti = ti−2 − qi−1 ti−1
Da notare che non serve tenere tutta la tabella in memoria ma soltanto le ultime
tre righe. Questo non aumenta la complessità temporale e la complessità spaziale è
costante, quindi trascurabile.
Proposizione 3.
ri = si m + ti a
Dimostrazione. Per induzione.
s0 = 1, t0 = 0
s1 = 0, t1 = 1
si+1 = si−1 − si qi
ti+1 = ti−1 − ti qi
per i = 0
95
∀i
r0 = s0 m + t0 a = m
r1 = s1 m + t1 a = a
Supponiamo che ri = si m+ti a sia vero e dimostriamo che è vero ri+1 = si+1 m+ti+1 a
ri+1 = si+1 m + ti+1 a
ri+1 = (si−1 − si qi )m + (ti−1 − ti qi )a
ri+1 = si−1 m + ti−1 a − si qi m − ti qi a
ri+1 = si−1 m + ti−1 a − qi (si m + ti a)
poiché ri−1 = si−1 m + ti−1 a e ri = si m + ti a si ha
ri+1 = ri−1 − qi ri
Quindi
ri−1 = qi ri + ri+1
come succede nell’algoritmo euclideo.
Per tornare al problema originario, cioè trovare a−1 ∈ Zp il procedimento e questo:
1. Cercare x e y tali che 1 = ax + my = sm + ta
2. Riduco l’espressione
Poiché sm ≡ 0
(mod m)
(mod m) si ha che
1 = ta →
1
=t
a
di conseguenza l’ultimo t trovato è l’inverso.
Per trovare a−1 ∈ Fq , il procedimento è lo stesso.
ESEMPIO: trovare
1
x2
∈ F8 = Z2 [x]/(x3 + x + 1)
F8 = {0, 1, x, x + 1, x2 , x2 + 1, x2 + x, x2 + x + 1}
p = x3 + x + 1
a = x2
96
Quindi 1 = (x + 1)(x3 + x + 1) + (x2 + x + 1)(x2 ), che ridotto modulo (x3 + x + 1)
diventa 1 = (x2 + x + 1)(x2 ) e quindi
1
1
= x2 + x + 1 →
= 111
2
x
100
5.2.2
Metodo dell’elemento primitivo
In un campo finito c’è un’alternativa per calcolare l’inverso di un elemento, che si
basa sull’elemento primitivo (Definizione 23).
Se riesco a trovare un elemento primitivo allora il calcolo dell’inverso è banale.
Infatti
(ω i )−1 =
ω q−1
1
=
= ω q−1−i
ωi
ωi
Perché 1 = ω q−1 ?
Sia (G, ·) un gruppo finito e g ∈ G. Si indica con hgi il gruppo ciclico generato da g
hgi = {g, g 2 , g 3 , · · · , g h = 1}
Mi fermo quando incontro l’elemento neutro perché da questo momento in poi la
sequenza si rigenera identica.
Definizione 27. h si dice periodo di g, cioè il minimo intero positivo per cui
g h = 1.
Osservazione 11. |hgi| = h
Osservazione 12. hgi è sottogruppo di G, perché (hgi, ·) è un gruppo ed è
generato a partire da G.
97
In conclusione
Teorema 29 (Teorema di Lagrange). Siano G un gruppo finito e H un
sottogruppo di G =⇒ |H| | |G|
e quindi h | |G|
APPLICAZIONE:
• Fq∗ = (G \ {0}, ·)
• ω ∈ Fq∗ ⇐⇒ il periodo di ω è q − 1 perché |Fq∗ | = q − 1 e non q dato che ho tolto
lo 0.
Osservazione 13. G gruppo finito e g ∈ G
g |G| = 1
Dimostrazione. Sia h il periodo di g allora
1. g h = 1
2. h | |G|
quindi
hk = |G|
=⇒
g |G| = g hk = (g h )k = 1k = 1
Applicato al campo finito, se g ∈ Fq∗
g q−1 = 1
Teorema 30 (Teorema di Fermat). Quando p 6| a
ap−1 ≡ 1
98
(mod p)
Ricerca dell’elemento primitivo
Il metodo più semplice per trovare l’elemento primitivo è per tentativi, cioè:
f or a ∈ Fq ∗
∀i ∈ {1, · · · , (q − 1)}
CALCOLA ai
end
Se non ottengo mai 1 allora a e0 primitivo
end
In realtà non è necessario calcolare tutte le potenze di a ma solo j di queste:
a
q−1
j
∀j divisore primo di q − 1
∗
ESEMPIO: 2 primitivo? in Z17
q − 1 = 16 = 24
16
j può essere solo 2; basta calcolare 2 2 = 28 .
Se ∃j t.c. a
q−1
j
≡1
(mod 17) =⇒ a N ON P RIM IT IV O
Osservazione 14. Se un elemento a non è primitivo in Zp , e sia e il suo
periodo, allora e | q − 1.
e = {1, 2, 4, 8, 16}
ae = 1
Se fosse a4 = 1 anche a8 = 1.
Proposizione 4. a
∈
Fq∗ ,
1 ∀j divisore primo di q − 1
e j > 1 (caso banale).
a
è
PRIMITIVO
⇐⇒
a
q−1
j
6=
Dimostrazione. =⇒ È ovvia per definizione, perchè essendo primitivo, per qualsiasi
q−1
j
valore di q−1
,
a
non fa 1.
j
⇐=
Sia per assurdo a non primitivo, e che e sia il periodo di a. Per il Teorema di
Lagrange (Teorema 29) e | q − 1 quindi lo posso scrivere come
es = q − 1 → e =
99
q−1
s
e quindi
a
q−1
s
=1
Se s è primo pongo j = s e ho dimostrato, altrimenti proseguo.
Sia j divisore primo di s.
q − 1 = se = (jv)e
quindi
q−1
j
= ve e dunque
a
5.2.3
q−1
j
= ave = (ae )v = 1v = 1
Teorema Cinese dei Resti
Teorema 31. Siano m1 , m2 , m3 , · · · , mn interi a coppie primi fra loro, e sia
X ∈ Z.
Se conosco
X
(mod m1 ) = a1
X
(mod m2 ) = a2
..
.
X
(mod mn ) = an
=⇒ posso risalire in modo univoco a X.
E lo posso fare cosı̀
X=
n
X
ai Mi yi
(mod M )
i=1
con Mi =
M
mi ,
yi = Mi−1 e M = Πni=1 mi .
A cosa serve?
Se voglio conoscere X
(mod M ), con M molto grande posso ricavarlo sommando
i resti ottenuti dividendo X per i sui fattori. Quindi abbasso la complessità. In RSA
m1 = p e m2 = q, cioè la chiave privata.
Osservazione 15. ∃yi ⇐⇒ gcd(Mi , mi ) = 1 (sono primi tra loro).
100
Dimostrazione. Per definizione se yi è inverso di Mi si ha che
yi ≡ Mi−1
(mod mi )
yi Mi ≡ 1
(mod mi )
ossia
Ma questo è vero solo quando gcd(Mi , mi ) = 1.
Osservazione 16.
Pn
i=1 ai Mi yi
(mod mj ) = aj (con mj un mi fissato).
Dimostrazione. Poiché Mj yj ≡ 1 (mod mj ) e Mk yk ≡ 0 (mod mj ) (perché in Mk ,
mj ci sta; visto che mj ≡ 0 (mod mj ) il prodotto si azzera).
Si ha che
n
X
ai Mi yi
(mod mj ) = aj
i=1
quindi, ponendo B =
Pn
i=1 ai Mi yi
si ha
B
(mod m1 ) = a1
B
(mod m2 ) = a2
..
.
B
(mod mn ) = an
Ho dimostrato che B, costuito da me, si comporta come X.
Resta da provare che X e B siano lo stesso numero, ossia non esiste solo X che
verifica le condizione del teorema.
Basta elencare tutte le possibilità, ossia tutti i valori, che ho per a1 , a2 , · · · , an .
Dato che per a1 ne ho m1 , per a2 ne ho m2 ,· · · e per an ne ho mn , in totale ne ho
M = m1 m2 , · · · , mn .
Se si esplicitano tutte le M possibilità si vede che X è unico.
ESEMPIO: Trovare X sapendo che
m1 = 3, m2 = 5, m3 = 7
e che
X
(mod 3) = 0
X
(mod 5) = 2
X
(mod 7) = 2
101
Quindi M = 3 · 5 · 7 = 105 e
M1 = m2 · m3 = 35
M2 = m1 · m3 = 21
M3 = m1 · m2 = 15
y1 =
1
35
(mod 3) =
1
21
1
y3 =
15
y2 =
1
2
(mod 3) = 2
(mod 5) = 1
(mod 7) = 1
In conclusione
X = a1 M1 y1 + a2 M2 y2 + a3 M3 y3 = (0 · 35 · 2) + (2 · 21 · 1) + (1 · 15 · 1) =
0 + 42 + 30 = 72
5.2.4
Teorema di Eulero
∗ = {a ∈
Osservazione 17. Sia Zm , m non necessariamente primo. Sia Zm
Zm | a IN V ERT IBILE} è un gruppo rispetto alla moltiplicazione; infatti, se
a e b sono invertibili anche ab lo è. Perché se ne a ne b hanno fattori comuni
con m neanche ab ce li avrà.
∗ sono tutti numeri primi con m e < m. Per sapere la
Gli ai che compongono Zm
∗ basta applicare la Funzione Toziente di Eulero(Definizione 6).
cardinalità di Zm
Nel particolare caso dell’RSA φ(p · q) = (p − 1)(q − 1) dove p e q sono primi.
∗ =⇒ aφ(m) ≡ 1
Teorema 32 (Versione Debole (Fermat)). a ∈ Zm
(mod m).
Il Teorema di Fermat (Teorema 30) è identico se si sostituisce m con p.
102
Teorema 33 (Versione Forte (RSA)). Sia n = p · q con p e q primi distinti.
Si ha
φ(n) = (p − 1)(q − 1)
Siano dati e e d tali che ed ≡ 1
(mod φ(n)).
Sia a ∈ Zn , a 6= 0 allora
aed = a
Dimostrazione. ed ≡ 1
(mod n)
(mod φ(n)) quindi ed = 1 + kφ(n).
Basta provare quindi che aφ(n) ≡ 1
(mod n) perché se cosı̀ fosse
aed = a1+kφ(n) = a · akφ(n) = a · (aφ(n) )k = a · 1k = a
Possiamo dimostrarlo facendo vedere che
a) aed ≡ a (mod p)
b) aed ≡ a (mod q)
Questo implicherà
aed ≡ a
(mod pq)
in virtù del Teorema Cinese dei Resti. Inoltre a è l’unico numero per cui vale questo.
a) Se p | a →
a (mod p) = 0
aed (mod p) = 0
Se p 6| a →
aed ≡ a1+k(p−1)(q−1)
(mod p)
a + (ap−1 )k(q−1)
e in virtù del Teorema di Fermat
a + (1)k(q−1) = a
b) La dimostrazione è identica al punto precedente; basta sostituire p con q.
103
5.3. RSA
5.3
RSA
Il crittosistema RSA si basa sul Teorema di Eulero (Teorema 33), ed è cosı̀ descritto:
Definizione 28 (Crittosistema RSA). È definito da
• P = C = Zn
• K = {(n, p, q, e, d) | ed ≡ 1
• eK (x) = xe
(mod n)
• eK (y) = y d
(mod n)
(mod φ(n))}
dove (n, e) è la chiave pubblica e (p, q, d) è la chiave privata.
La proprietà fondamentale che deve valere è:
dK (eK (x)) = x → dK (xe
(mod n)) → (xe )d
(mod n) = x
e viene scelto in maniera casuale tra gli interi < φ(n) e primi con φ(n); se non fosse
cosı̀ non esisterebbe d cioè il suo inverso (e−1 ).
La sicurezza è basata sulla segretezza di d. Poiché n è un numero molto grande
l’hacker non riesce a risalire a p e q. Per il possessore della chiave è facile da e ricavare
d utilizzando l’algoritmo euclideo esteso. L’hacker non può farlo perché non conosce
φ(n) e neanche p e q.
ESEMPIO:
p = 17 e q = 11
n = 187
φ(n) = (p − 1)(q − 1) = 160
e=7
d = 23 (inverso di 7 modulo 160)
Eseguo l’algoritmo euclideo esteso:
160 = 22 · 7 + 6
7=1·6+1
6=6·1+0
Quindi si ha che 1 = 160x + 7y → 1 = (−1)160 + (23)7.
104
5.3. RSA
Supponiamo che le chiavi appena generate siano di Alice. Ora se Bob vuole comunicare in maniera segreta il messaggio 88 deve calcolare
887
(mod 187)
Per calcolare la potenza si usa l’algoritmo Square and Multiply:
88
882
(mod 187) = 77
884
(mod 187) = (882 )2
887
(mod 187) = 88 · 77 · 132
(mod 187) = 772
(mod 187) = 132
(mod 187) = 11
Alice riceve 11 è lo decifra cosı̀ calcolando
1123
(mod 187)
Si scompone 23 come somma di potenze di 2 e si calcolano tali potenze:
23 = 16 + 4 + 2 + 1 → 1123 = 1116 · 114 · 112 · 11
11
112
(mod 187) = 121
114
(mod 187) = (112 )2
(mod 187) = 55
118
(mod 187) = (114 )2
(mod 187) = 33
1116
(mod 187) =
(118 )2
1123 = 1116 · 114 · 112 · 11
5.3.1
(mod 187) = 154
(mod 187) = 154 · 55 · 121 · 11
(mod 187) = 88
Complessità
La complessità è calcolata in funzione di k = #bit necessari per rappresentare n.
k = blog2 mc + 1
Siano x, y ∈ Zn allora
• Complessità della somma (x + y): O(k)
• Complessità del prodotto (x · y): O(k 2 )
• Complessità della divisione (x/y): O(k 2 ). La divisione è intesa quella tra interi
che restituisce q e r.
105
5.3. RSA
• Complessità del calcolo dell’inverso modulo φ(n): O(k 3 ).
È la complessità
dell’algoritmo Euclideo esteso perché il costo è dato da
O(k 2 · #passi algoritmo) → O(k 2 · 2 log φ(n))
Poiché φ(n) ha lo stesso numero di bit di n si ha
O(k 2 · 2 log n) → O(k 2 · k) → O(k 3 )
• Complessità dell’elevamento a potenza (xy ): O(k 3 ).
È la complessità dello
Square and Multiply perché
k = log y = #elevamenti al quadrato+#prodotti f inali → O(k 2 ·k+k 2 ·k) → O(k 3 )
Contraddizione
Da un lato si assume che sia impossibile fattorizzare un numero di 1024 bit (RSA
1024).
Dall’altro lato si ritiene che Alice possa scegliere comodamente p e q primi di 1024
bit (RSA 2048).
Se non si può fattorizzare il numero come si può stabilire se p è primo?
Si fanno dei test probabilistici, e si assume che il numero sia primo con una certa
probabilità molto alta.
5.3.2
Test Probabilistici di primalità
Ci chiediamo: m ∈ Z è primo?
Premessa Matematica
Sia Fq un campo finito, con q dispari.
Definizione 29 (Quadrato). a ∈ Fq , a 6= 0 si dice QUADRATO se ∃b ∈
Fq t.c b2 = a.
Nei numeri reali i quadrati sono i positivi, cioè quelli che hanno le radici.
Teorema 34 (per q dispari). a QU ADRAT O ⇐⇒ a
106
q−1
2
=1
5.3. RSA
Dimostrazione. =⇒
a QU ADRAT O =⇒ ∃b con a = b2 per definizione
a
q−1
2
= (b2 )
q−1
2
= bq−1 = 1
Perché un numero elevato alla cardinalità di un gruppo fa 1.
⇐=
So che esiste l’elemento primitivo.
Fq∗ = {1, ω, ω 2 , · · · , ω q−2 } Quindi
a = ω i =⇒ (ω i )
q−1
2
= 1 =⇒
i · (q − 1)
≡0
2
(mod q − 1)
Questo significa che
q−1 |
i · (q − 1)
2
cioè posso scrivere
i · (q − 1)
= k(q − 1)
2
i = 2k
a = ω i = ω 2k = (ω k )2
I quadrati hanno esponenti pari.
Osservazione 18. a
q−1
2
= ±1
Questo vale sia per i reali sia per i campi finiti.
Osservazione 19. ∀ QU ADRAT O ∃ 2 elementi di Fq∗ che elevati al quadrato
danno b2 ; cioè b e −b.
La conseguenza di questa osservazione è che i quadrati saranno
q−1 2
q−1
se a 2
= 1 allora a 2 ± 1
|Fq∗ |
2
=
q−1
2
e quindi
ESEMPIO: Z11 = {1, 2, 3, 4, 5, 6, 7, 8, 9, 10} 2 = {1, 3, 4, 5, 9}
Il concetto di quadrato ci servirà poi nel Test di Soloway-Strassen e nell’algoritmo
di Dixon.
107
5.3. RSA
Test di Fermat
Se m è primo =⇒ ∀a 6= 0
am−1 ≡ 1
(mod m)
(mod m) (ma non è detto il
contrario).
Il test consiste nello scegliere a 6= 0
(mod m), e calcolare am−1
Se am−1 ≡ 1
(mod m) il test è superato
Se am−1 6≡ 1
(mod m) il test è fallito
(mod m)
Sicuramente se il test fallisce m non è primo. La probabilità che il test venga
superato con un m non primo è < 21 . Basta iterare il procedimento con diversi a per
avere eventi indipendenti, è quindi una diminuzione della probabilità. Mi fermo quando
ho raggiunto una certa probabilità.
Test di Miller-Rabin
È un raffinamento del test di Fermat; si basa sulla stessa considerazione.
Se m è primo allora vale la proprietà
( i
a2 s ≡ −1 (mod m)
(∗)
as ≡ 1 (mod m)
per qualche i.
Per ottenere questo si fattorizza m estraendo solo le potenze di due (divido per 2)
m − 1 = 2k s
am−1 ≡ 1
Si sceglie a 6= 0
2k s
a
(mod m)
(mod m) e si procede iterativamente cosı̀
(mod m)




(
2k−1 s
1→a
(mod m)
1···
−1 → F IN E


 −1 → F IN E
alla fine otterrò la proprietà (∗).
La probabilità che il test venga superato con m non primo è < 14 . Come prima itero
il procedimento per abbassare la probabilità.
108
5.3. RSA
Test Soloway-Strassen
Se m è primo allora si ha
 m−1

(mod m) = 1

 a 2
m−1
2
se a QU ADRAT O in Zm
(mod m) = −1 se a non QU ADRAT O in Zm
a


 a m−1
2
se a ≡ 0
(mod m) = 0
(mod m)
Utilizziamo il simbolo di Jacobi per effettuare il calcolo.
a
m
a
m
=a
m−1
2
(mod m)
può essere uguale a 1, −1 o 0.
Valgono le seguenti proprietà:
1.
2.
3.
4.
m1
m
= mm2 se m1 ≡ m2 (mod m)
(
1 se n ≡ ±1 (mod 8)
2
m =
−1 se n ≡ ±3 (mod 8)
m1 ·m2
= mm1 · mm2
m

"

m ≡ 3 (mod 4) o

 − m
n
n
n ≡ 3 (mod 4)
m =

 n
altrimenti
m
Seguendo le proprietà elencate si calcola
Se m è primo →
a
m
a
m
.
= −1, quindi m supera il test in questo caso.
Si itera il procedimento fino al raggiungimento della probabilità desiderata.
Calcolare il simbolo di Jacobi ha complessità O(k 3 ), quindi fattibile. La probabilità
che m non primo superi il test è <
1
2
109
5.3. RSA
5.3.3
Algoritmi di Fattorizzazione
Sia k = #bit per rappresentare n; 1024 ≤ k ≤ 2048 (nel caso di RSA).
Algoritmo Banale
Si procede per tentativi provando tutti i numeri minori di
√
n finché non trovo un
divisore.
Complessità
La complessità è esponenziale in k, come del resto per tutti gli algoritmi di fattorizzazione, ma questo algoritmo è il peggiore di tutti.
n ∼ 2k
√
k
n = 22
Questo è il numero di passi che compie l’algoritmo; ad ogni passo si effettua una
divisione euclidea. Si ottiene cosı̀
k
O(2 2 · k 2 )
Algoritmo (p-1) di Pollard
Osservazione 20. p | gcd(n, 2p−1 − 1)
L’osservazione è vera in virtù del Teorema di Fermat (Teorema 30). Il problema
si sposta da p a p − 1, che sicuramente non è primo perché è paro. Quindi lo posso
scrivere come
p − 1 = pr11 · pr22 · · · prnn
Algoritmo
110
5.3. RSA
B := 2
while (true)
p := gcd(n, 2B! − 1)
B := B + 1
if (1 < p < n) then return p
end
L’algoritmo si ferma quando trova un divisore non banale cioè 6= 1 e 6= n
Osservazione 21. Se pri i ≤ B ∀i allora dopo al più B iterazioni l’algoritmo
si conclude.
Che tradotto significa, se i fattori di p − 1 sono primi bassi allora l’algoritmo si
conclude velocemente.
Dimostrazione. Se pri i ≤ B ∀i allora posso scrivere
pr11 · pr22 · · · prnn | B!
p − 1 | B!
B! = (p − 1)m
quindi
2B! ≡ 1
2(p−1)m ≡ 1
(mod p)
(mod p) =⇒ (2m )p−1 ≡ 1
(mod p)
dunque, si ha che
p | 2B! − 1 =⇒ p | gcd(n, 2B! − 1)
C’è un problema però. Può capitare che invece di trovare p trovo q; questo si verifica
quando entrambi dividono 2B! − 1. Questo significa che otterrei una serie di 1 come
gcd e ad un certo punto n. Il problema è dovuto alla scelta di a = 2 per applicare il
Teorema di Fermat. Cambio a e ripeto il procedimento.
Complessità
Sia B t.c. Piri ≥ B allora la complessità è
O(B · (log2 B! · k 2 + k 3 )) = O(B · (k 3 + k 3 )) = O(Bk 3 )
111
5.3. RSA
dove B sono il numero di iterazioni, log2 B! · k 2 il costo di Square and Multiply per
effettuare 2B! e k 3 per calcolare gcd(n, 2B! − 1).
Per evitare l’attacco enunciato nell’Osservazione 21 si usa il seguente trucco: si
prende p1 un primo grande e si calcola p cosı̀
p = 2p1 + 1
cosicché
p − 1 = 2p1
e quindi B = p1 cioè il numero di iterazioni pari a p1 , che è elevatissimo.
Algoritmo ρ di Pollard
Osservazione 22. x
(mod p) = x0
(mod p) e x 6= x0 =⇒ p | gcd(n, x − x0 )
Cioè due numeri sono uguali modulo p se p divide la differenza.
L’obiettivo è trovare x, x0 ∈ Zn t.c. x
(mod p) = x0
(mod p).
Prendiamo A ⊆ Zn casuale. La probabilità che in A ci siano x e x0 con x
(mod p) =
x0
(mod p) è identica alla probabilità di trovare una collisione nelle funzioni hash, e
√
cioè, occorre avere, grosso modo, |A| > p affinché si abbia una probabilità di successo
del 50% (vedi Paradosso del Compleanno - Teorema 23).
Una volta scelto l’insieme devo confrontare tutte le possibili coppie. Quindi se
√ √
|A| > p il #coppie in A = kp = p2 .
Costruzione di A
Si sceglie x1 ∈ Zn e si calcolano
x2 = f (x1 )
(mod p)
x3 = f (x2 )
(mod p)
..
.
112
5.3. RSA
xi+1 = f (xi )
(mod p)
con f un polinomio a coefficienti interi (es. f (x) = x2 + 1).
In questo modo si forma una successione di elementi. Ora immaginiamo di costruire
Zp a partire da questi elementi; chiaramente non lo posso fare davvero perchè non
conosco p.
Zp = {x1
(mod p), x2
(mod p), · · · , xi
(mod p)}
Comunque, se potessi farlo, ad un certo punto mi accorgerei, con buona probabilità,
che due di questi hanno lo stesso valore e quindi
xi
(mod p) = xj
(mod p)
Quando collidono si ha che p | x − x0 , quindi o gcd(n, x − x0 ) = 1 e dunque p = 1,
oppure x − x0 | n → p è un fattore di n poichè p | x − x0 .
Osservazione 23. Se xi ≡ xj
Dimostrazione. Si ha che xi+1
(mod p) allora xi+1 ≡ xj+1
(mod p) = xi
xi+1 = f (xi )
xi+1
(mod p) = (f (xi )
(mod p)
(mod p) perché
(mod n)
(mod n))
(mod p)
Visto che p | n in realtà si prende solo il resto della divisione per p, perché
xi+1 = q̃ · n + r e r = q̄ · p + s
xi+1 = q̃ · n = q̃ · p · q + r = q̃ · p · q + q̄ · p + s
xi+1 = p(q̃ · q + q̄) + s
Quindi xi+1 (mod p) = f (xi ) (mod p) e per lo stesso motivo xj+1 (mod p) =
f (xj ) (mod p) poiché se a xi (mod p) e a xj (mod p) applico la stessa f otterrò
ancora due valori uguali modulo p.
Se trovo una collisione ne ho trovate “tante”.
xi+t ≡ xj+t
(mod p) ∀t ≥ 0
113
5.3. RSA
Con questo metodo il numero di confronti su un insieme di h elementi è h2 .
Variante di Floyd
Invece di controllare tutte le possibili coppie xi , xj si controllano solo quelle di tipo
√
√ √
xi0 , x2i0 . Questo mi permette di diminuire i controlli da p · p = p a p. Perché?
Siano xi e xj due elementi della successione che da origine a Zp , con j > i. Allora
∃j − i | i0 con i ≤ i0 ≤ j. Quindi
x2i0 = xi0 +i0 = xi0 +k(j−i) =⇒ xi0
(mod p)
(j − 1 passi è fare un giro).
ESEMPIO:
Zp = {1, 2, 5, 26, 38, 25, 58, 28, 4, 17, 6, 37, 21, 16, 44, 20, 46, 58, 28, 4, 17 · · ·}
xi = 58 perché è il primo che si ripete.
i=7
j = 18
j − i = 11
i0 = 11 è il multiplo di j − i compreso tra i e j.
quindi
x11 = x22
ossia in generale valere
xi0 = xj−1 = xk(j−i) = xki0 = xk
Complessità
Usiamo il paradosso del compleanno per stimare j. j sono i passi che devo fare per
√
ottenere la prima collisione, e cioè j = p, quindi
k
√
O( p · gcd) = O(2 4 · k 3 )
È pur sempre esponenziale ma l’esponente è dimezzato rispetto a prima.
In generale l’algoritmo ha successo quando p è piccolo, cosa che nell’RSA non è cosı̀
perché p e q hanno lo stesso numero di bit.
Con questo metodo il numero di confronti su un insieme di h elementi è
114
h2
2 .
5.3. RSA
Variante di Brent
Consiste nel modificare il test come segue:
x2i0
0
(mod p) = x2i0 +s
0
dove 1 ≤ s ≤ 2i +1 − 2i cioè 2i (2 − 1) = 2i
(mod p)
0
ESEMPIO:
x1 x2 x3 x4 x5 x6 x7 x8 x9 · · · x15 x16 x17 · · · x32 · · ·
Confronti
i0 = 0
(x1 , x2 )
i0
(x2 , x3 ) (x2 , x4 )
=1
i0 = 2
..
.
(x4 , x5 ) (x4 , x6 ) (x4 , x7 ) (x4 , x8 )
Se confronto tutti con tutti ottengo
10242
2
contronti, mentre cosı̀ solo 1024.
Osservazione 24. Il numero di test su un insieme di h elementi è h.
Osservazione 25. Una collisione si trova esaminando x2i0
appena
0
0
2i > i ∧ 2i > j − i
(mod p) con x2i0 +s non
Con il test di Brent dividiamo la sequenza in blocchi che raddoppiano ogni volta.
0
La collisione si verifica quando entro nel giro del ρ (2i > i) e quando il blocco è più
0
0
lungo del giro (2i > j − i), di conseguenza 2i sono i confronti che faccio.
Complessità
La complessità teorica è la stessa ma sperimentalmente si è visto che funziona
meglio.
115
5.3. RSA
Algoritmo di Dixon (Crivello quadratico)
Si basa sull’idea di Fermat:
f or s := 1 to
√
n{
if (n + s2 = t2 ){
n = t2 − s2
n = (t − s)(t + s)
p=t−s
break
}
}
Se n + s2 è QUADRATO posso facilmente trovare un fattore.
ESEMPIO:
n = 323
323 + 1 = 324 è un quadrato
324 = 182
323 = 182 − 1
323 = (18 − 1)(18 + 1) = 17 · 19
Questa considerazione porta alla conclusione che p e q devono essere distanti tra
loro.
n = t2 − s2 = p · q
(
t−s=p
t+s=q
q−p=t+s−t+s
q − p = 2s
s=
q−p
2
Per preservare l’RSA bisogna avere s grande e quindi p e q vanno presi distanti.
116
5.3. RSA
Dixon generalizza l’idea di Fermat. Si cercano relazioni di questo tipo in Zn .
z 2 ≡ t2
(mod n)
Osservazione 26. Se trovassi una relazione z 2 ≡ t2 (mod n) con z − t 6≡ 0
(mod n) e z + t 6≡ 0 (mod n) allora avrei che n | z 2 − t2 = (z − t)(z + t) ma
n 6| (z − t) e n 6| (z + t)
=⇒
gcd(n, z − t)è un divisore proprio di n.
Significa che p · q non divide (z − t)(z + t) ma allora p ne divide uno dei due e q
l’altro.
L’obiettivo è trovare z, t con z 2 ≡ t2
(mod n).
Supponiamo di trovare queste relazioni, e siano gli ai b numeri primi.
z12 = ar111 · ar212 · · · arb1b
(mod n)
z22 = ar121 · ar222 · · · arb2b
(mod n)
..
.
r
r
r
zj2 = a1j1 · a2j2 · · · abjb
(mod n)
..
.
zc2 = ar1c1 · ar2c2 · · · arbcb
(mod n)
Se gli rij sono tutti pari allora abbiamo già finito, perché significa che zj2 è un
quadrato in quanto è un prodotto di quadrati. Se c’è almeno un esponente dispari
cerchiamo di moltiplicarli tra di loro in modo tale da ottenere esponenti pari.
117
5.3. RSA
ESEMPIO:
n = 15770708441
33409341562 = 3 · 7
(mod n)
120449429442 = 2 · 7 · 13
27737000112
(z1 · z2 · z3
)2
= 2 · 3 · 13
=
(2 · 3 · 7 · 13)2
22
·
32
·
72
(mod n)
(mod n)
· 132
(mod n)
(mod n)
dopodiché calcolo
p = gcd(n, z − t)
In generale si moltiplicano alcuni zi tra di loro:
(z11 · z22 · · · zcc )2 = (z1 )1 · (z2 )2 · · · (zc )c
(
con i =
0
1
(ar111 · ar212 · · · arb1b )1 · (ar121 · ar222 · · · arb2b )2 · · · (ar1c1 · ar2c2 · · · arbcb )c =
a11 ·r11 +2 ·r21 +···+c ·rc1 · a21 ·r12 +2 ·r22 +···+c ·rc2 · · · ab1 ·r1b +2 ·r2b +···+c ·rcb = t2
Questo è quadrato quando


1 · r11 + 2 · r21 + · · · + c · rc1 ≡ 0 (mod 2)




 1 · r12 + 2 · r22 + · · · + c · rc2 ≡ 0 (mod 2)
..


.



 · r + · r + · · · + · r ≡ 0 (mod 2)
1
2
c
1b
2b
cb
Questo è un sistema lineare omogeneo di b equazioni in c incognite sopra il campo
finito Z2 . Poiché un sistema lineare ha soluzioni quando c ≥ b, mi servono più relazioni
dei numeri primi con cui fattorizzo gli zi .
Chi mi garantisce che n 6| (z − t) e n 6| (z + t)?
Osservazione 27. Il numero di soluzioni di t2 ≡ a (mod n) in Zn sono al
massimo 4 e non 2 come detto in precedenza questo perché n non è primo e
quindi Zn non è un campo.
118
5.3. RSA
Dimostrazione.
2
n | t − a =⇒
p | t2 − a
=⇒
q | t2 − a
t2 ≡ a (mod p)
t2 ≡ a (mod q)
Zn non è un campo ma Zp e Zq si, quindi al massimo ci sono 2 possibili valori di a
per la prima equazione e 2 per la seconda. In totale, quindi, ci sono 4 possibilità per la
coppia
(t (mod p), t (mod q))
Per ciascuna di questa 4 possibilità, c’è esattamente un possibile valore per t, in
virtù del Teorema Cinese dei Resti (Teorema 31)
ESEMPIO:
n = 15
a = 1 =⇒ sol =({1, −1(= 14)} (
t2 ≡ 1
3 | t2 − 1
15 | t2 − 1 =⇒
=⇒
t2 ≡ 1
5 | t2 − 1
(mod 3)
(mod 5)
Le quattro possibilità sono:
1. t (mod 3) = 1 ∧ t
(mod 5) = 1 → t = 1
2. t (mod 3) = 2 ∧ t
(mod 5) = 1 → t = 11
3. t
(mod 3) = 1 ∧ t
(mod 5) = 4 → t = 4
4. t
(mod 3) = 2 ∧ t
(mod 5) = 4 → t = 14
Qual è la probabilità che dati x, y con x2 ≡ y 2
(mod n) si abbia n 6| x − y e
n 6| x + y?
Sia a ≡ x2 ≡ y 2
(mod n).
Siano t1 , t2 , t3 , t4 le quattro radici. Tali radici sono a coppie opposte, quindi suppongo che t2 = −t1 e t4 = −t3 quindi posso scrivere le quattro radici come
t1 , −t1 , t3 , −t3
x e y sono tra queste quattro, ma non so quali sono. Costruisco quindi la tabella
con tutte le 16 possibilità per la coppia (x, y):
119
5.3. RSA
I casi possibili sono 16; quelli favorevoli sono 8 cioè quelli per cui si ha contemporaneamente x − y 6= 0 e x + y 6= 0. In conclusione la probabilità di successo è p = 21 .
Chiaramente ad ogni iterata dell’algoritmo di Dixon questa probabilità diminuisce.
Complessità
La complessità è
O(e(1+O(1))·
√
ln n·(ln(ln n))
cioè
O(e(1+O(1))·
√
k·(ln k)
)
)
che è minore dell’algoritmo di prima ma pur sempre esponenziale; per la precisione si
dice sub esponenziale. Una versione leggermente modificata di questa è detta crivello
quadratico ed ha la stessa complessità.
Altri algoritmi
(1+O(1))·
√
2 ln p·(ln p)
(1+O(1))·
q
2 ln k ·(ln k )
2
2 )
) → O(e
√
√
√
√
3
3
3
3
2
2
• Crivello “Teoria dei numeri” O(e(1,92+O(1))· ln n· ln(ln n) ) = O(e(1,92+O(1))· k· ln k )
• Lenstra - Curve Ellittiche O(e
120
5.3. RSA
Costruzione di un Numero Primo
Osservazione 28. Chiunque è in grado di costruire un numero primo arbitrariamente grande, senza bisogno di fare nessun test. Sia h il prodotto dei
primi s numeri primi
p1 · p2 · p3 · · · ps = h
allora h + 1 è primo.
Dimostrazione. Sia p primo che divide h + 1. Siccome p ≤ h, perché è un divisore, è
sicuramente un certo pi .
pi | h + 1, pi |h =⇒ pi | h + 1 − h =⇒ pi | 1
impossibile.
Il problema è che basta togliere 1 ad h + 1 e ottenere h che è fattorizzabile semplicemente, con l’algoritmo (p − 1) − P ollard.
121
5.4. Crittosistema ElGamal
5.4
Crittosistema ElGamal
Sfrutta la difficoltà computazionale della risoluzione del cosiddetto DL − P roblem,
cioè il problema del Logaritmo Discreto; discreto perché si lavora all’interno di un
campo finito.
Definizione 30 (Crittosistema ElGamal). Il crittosistema è cosı̀ definito:
• Zp con p primo (quindi un campo finito).
• Fissiamo un elemento primitivo α t.c < α > = Zp∗ (gruppo ciclico
generato da α)
• β = αa per def. a = logα β
• Chiave privata: (a)
• Chiave pubblica: (p, α, β)
• ek (x) = (αk mod p; x · β k mod p) = (γ1 ; γ2 )
• dk (y) =
γ2
γ1a
mod p
Con k un elemento del campo scelto a caso dal mittente.
Alice riceve il messaggio (αk mod p; x·β k mod p). Per decifrarlo prima deve ricavare
βk.
β k = γ1a
γ1a = (αk )a
(mod p) = (αa )k
(mod p) = β k
(mod p)
Ad Alice non interessa conoscere k. Questa operazione è facile perché Alice conosce
a. L’hacker se vuole decifrare il messaggio per ottenere β k deve ricavare a risolvendo il
Problema del Logaritmo Discreto.
La sicurezza è garantita dal fatto che computazionalmente difficile risolvere tale
problema.
ESEMPIO:
p = 2579
α = 2. È facile computazionalmente stabilire se α è primitivo in quanto occorre
fare pochi test e ogni test richiede un esponenziazione che è polinomiale con Square
and Multiply.
a = 765
β = αa = 2765
(mod 2579) = 949
122
Cifratura:
x = 1299
k = 53
γ1 = 2853
(mod 2579) = 435
γ2 = 1299 · 949853
(mod 2579) = 2396
Decifratura:
x=
5.4.1
γ2
γ2a
(mod p) =
435765
2396
(mod 2579)
Algoritmi di risoluzione del DL-Problem
Definizione 31 (DL-Problem in Zp ). Dati α ∈ Zp con < α >= Zp∗ e β ∈ Zp∗
trovare a t.c.
β = αa
Brute Force
Consiste nell’andare per tentativi
α1 , α2 , α3 , · · · , αp
finché non trovo a β. Nel caso peggiore si devono fare p tentativi, quindi:
O(p) · T (Square M ultiply) = O(2k ) · T (Square M ultiply)
Precompilazione e Ordinamento
Si effettua un fase di precomputazione, cioè si calcolano preventivamente gli αi e si
memorizzano ordinati in senso crescente. Risolvere il problema significa cercare nella
tabella se è già stato calcolato il valore β che ci interessa, e in caso affermativo restituire
il corrispondente valore dell’esponente.
Questa soluzione è molto costosa sia in termini di spazio di memoria che di tempo.
Baby Step Giant Step (BSGS)
È stato ideato da Shank. È l’algoritmo più veloce per gruppi generici. Per Zp ce ne
sono di più efficienti.
L’idea deriva dal fatto che possiamo scrivere a come
√
a = q · d pe + r
123
e dato che a ≤ p − 1 e 0 ≤ r ≤
√
√
p − 1 si ha che 0 ≤ q ≤
p. Si sceglie
√
p come
√
divisore per bilanciare il carico computazionale; cosı̀ facendo infatti si fanno al più p
passi sia per il resto che per il quoziente.
Da questo abbiamo
β = αa = αq·d
√
pe+r
=⇒ βα−r = αq·d
√
Quindi otteniamo due incognite r e q che variano fra 0 e
pe
√
p.
Si creano due tabelle dove si calcolano tutti i valori dei due membri. Poi si cerca
quando c’è lo stesso valore in entrambe le tabelle. La complessità è sempre esponenziale
ma è minore dei casi precedenti ed è identica in spazio e in tempo, cioè
k
√
O( p) · T (Square M ultiply) = O(2 2 ) · T (Square M ultiply)
ρ di Pollard
Il meccanismo è molto simile all’algoritmo omonimo per la fattorizzazione. L’idea
è cercare una collisione di questo tipo:
αA β B ≡ αĀ β B̄
(mod p)
Si costruisce una successione casuale di elementi di Zp di questo tipo
αA β B
dopo
√
p passi, in virtù del Paradosso del Compleanno (Teorema 23) c’è concreta
speranza di collisione.
Ottenuta una collisione possiamo scrivere
αA (αa )B ≡ αĀ (αa )B̄
αA+aB ≡ αĀ+aB̄
(mod p)
(mod p)
Dato che ho una collisione vale
αA+aB
≡1
αĀ+aB̄
(mod p)
α(A+aB)−(Ā+aB̄) ≡ 1
124
(mod p)
Quindi (A + aB) − (Ā + aB̄) è multiplo di p − 1 cioè
(A + aB) − (Ā + aB̄) ≡ 0
A − Ā + a(B − B̄) ≡ 0
(mod p − 1)
(mod p − 1)
Ora se sono fortunato B − B̄ è primo con p − 1 e quindi è invertibile in Zp∗ e quindi
A − Ā
(mod p − 1)
B − B̄
Se sono sfortunato ripeto il procedimento dall’inizio cercando altre collisioni. In
a=
realtà basta calcolare gcd(p − 1, B − B̄) è sottrarlo alla formula iniziale e procedere
come visto. Inoltre valgono gli stessi trucchi già visti (Floyd e Brent).
√
La complessità è O( p). L’unico vantaggio che ha rispetto al BSGS è la memoria.
Pohlig-Hellman
Questo algoritmo funziona, quindi è veloce, quando p − 1 è fattorizzabile con primi
piccoli.
Sia
p − 1 = q1r1 · q2r2 · · · qsrs
Per semplicità supponiamo ri = 1∀i.
quindi
p − 1 = q1 · q2 · · · qs
IDEA: Non calcolare direttamente a ma calcolare prima
a
(mod qi )∀i
dopodiché applicando il Teorema Cinese dei Resti (31) calcolo a (mod p − 1).
Calcoliamo ora a (mod qi ):
ai ≡ a (mod qi )
a = ti · qi + ai
0 ≤ ai ≤ qi − 1
β = αa =⇒ β
β
p−1
qi
p−1
qi
=α
125
= (αa )
a· p−1
q
i
p−1
qi
β
β
p−1
qi
p−1
qi
=α
(ti ·qi +ai ) p−1
q
i
t (p−1)+
=αi
αti (p−1) · α
ai (p−1)
qi
=
ai (p−1)
qi
Poiché αp−1 = 1 si ha
β
p−1
qi
=α
ai (p−1)
qi
= (α
p−1
qi
)ai
È di nuovo un problema di DL su un insieme di cardinalità qi , cioè più piccolo.
√
Risolvere questo nuovo problema con BSGS costa O( qi ), pertanto il costo totale è
√
√
√
O( q1 + q2 + · · · + qs )
che è molto minore che risolvere il problema senza l’idea di Pohlig-Hellman cioè
√
√
√
√
O( p) = O( q1 · q2 · · · qs )
Per contro se vogliamo evitare l’attacco Pohlig-Hellman basta prendere p − 1 = 2q
√ √
√
√
con q primo grande. La complessità diventa O( 2 + q) anziché O( 2 · q); non c’è
molta differenza tra le due.
ESEMPIO:
p = 31
α=3
β=4
Il problema è trovare a t.c. 4 = 3a .
p − 1 = 30
30 = 2 · 3 · 5
Devo trovare
A) a
(mod 2)
B) a
(mod 3)
126
C) a
(mod 5)
Iniziamo dalla C:
β
p−1
qi
= (α
p−1
qi
)ai = 46 = (36 )a3
Quindi
a3 = a (mod q3 ) = a (mod 5)
1 = (4)a3 → 20 = 22a3 → 1 = 22a3
Questo significa anche che 5 | 2a3 ; il risultato è
a3 = 5
Index Calcolus
Questo algoritmo ricorda vagamente Dixon, ed è il più veloce tra quelli conosciuti
ma si applica solo ai campi finiti. Tuttavia questo metodo non ha un analogo su curve
ellittiche, per questo, a parità dei bit di chiave, la crittografia su curve ellittiche è più
sicura.
IDEA:
PASSO 1: Si cerca il logaritmo discreto di un certo numero di primi
p1 = αa1
p2 = αa2
..
.
pB = αaB
Ora considero potenze di α in modo pseudo-casuale sperando che si fattorizzino
cosı̀:
c
c
c
αxj = p11,j · p22,j · · · pBB,j
In questo modo troverò delle relazioni che riguardano i logaritmi discreti dei numeri
primi ottenendo per sostituzione
αxj = αa1 c1,j · αa2 c2,j · · · αaB cB,j =
αa1 c1,j +a2 c2,j +···aB cB,j
127
Essendo α primitivo, due potenze sono uguali ⇐⇒ xj − a1 c1,j + a2 c2,j + · · · aB cB,j
è multiplo di p − 1 cioè
xj ≡ a1 c1,j + a2 c2,j + · · · aB cB,j
(mod p − 1)
Il punto è che se trovo almeno B relazioni posso creare un sistema lineare e ricavare
a1 , a2 , · · · , aB .
PASSO 2:
Si cerca una relazione di questo tipo
βαs = pd11 · pd22 · · · pdBB
se ci riusciamo il problema è risolto perché sostituendo β = αa e i risultati ottenuti
prima otteniamo
αa+s = αa1 d1 · αa2 d2 · · · αaB dB
e quindi
a + s ≡ a1 d1 + a2 d2 + · · · + aB dB
(mod p − 1)
gli ai li conosco perché li ho trovati prima quindi basta portare s all’altro membro
e ho risolto il problema.
COMPLESSITÀ
PASSO 1: O(e(1+O(1))·
PASSO 2: O(e
√
ln p·ln ln p )
√
( 21 +O(1))· ln p·ln ln p
)
Complessità sub-esponenziale, perché compare la radice.
Funziona solo per i campi finiti, non solo quelli del tipo Zp∗ ma anche per gli Fq . Tra
questi quelli importanti per l’informatica sono gli F2r , cioè quelli per cui la cardinalità
è una potenza di 2.
La sicurezza al momento sembra garantita per r ≥ 1024 e quindi per campi di
cardinalità 21024 .
128
Capitolo 6
Firma Digitale
L differenza tra firma digitale e MAC è che la firma può essere verificata da chiunque
mentre il MAC solo dal legittimo destinatario.
Definizione 32 (Schema di Firma Digitale). Uno schema di firma digitale è
una 5-upla del tipo (P, A, K, S, V) dove
• P: Insieme dei possibili plaintext
• A: Insieme delle possibili firme
• K: Insieme delle possibili chiavi
• S: Insieme delle funzioni di firma
• V: Insieme delle funzioni di verifica
con
S = {sigK : P → A} dove k ∈ K
V = {verK : PxA → {true, f alse}} dove k ∈ K e verK (x, y) = true =⇒ y =
sigK (x).
Le proprietà che deve soddisfare lo schema per essere accettabile sono:
• Le funzioni di firma e di verifica sono veloci da eseguire
• difficile falsificare una firma
I tipi di attacco sono essenzialmente tre:
1. Key Only: L’hacker conosce solo le funzioni sig e ver, quindi conosce lo schema
(questo è sempre vero).
2. Known Message: L’hacker conosce alcuni x ∈ P e le corrispondenti firme (situazione plausibile).
3. Chosen Message: L’hacker sceglie alcuni x ∈ P ed è in grado da farli firmare
129
6.1. Schema SHA1WithRSA
Capitolo 6. Firma Digitale
Dobbiamo distinguere due tipi di successo:
• Existential Forgery: L’hacker è in grado di produrre almeno un messaggio firmato
ma che non è scelto da lui.
• Total Break: È in grado di firmare qualsiasi messaggio
6.1
Schema SHA1WithRSA
IDEA: Cifro il documento con la chiave privata. Chi vuole verificare decifra la firma
con la chiave pubblica e controlla che i due documenti coincidano.
Chiave privata: (p, q, d)
Chiave pubblica: (n, e)
Schema:
P = Zn
A = Zn
K = {(p, q, d, e, n)} | ed ≡ 1
sigK (x) =
xd
(mod φ(n)))
(mod n)
verK (x, y) = true ⇐⇒ y e ≡ x
(mod n)
Problema 5. Ci sono delle debolezze rispetto all’existential forgery.
Infatti
1. Attacco Key Only: L’hacker può scegliere z ∈ Zn e porre
x = ze
y=z
Questa coppia è accettata perché
verK (x, y) = true =⇒ y e ≡ x
(mod n)
La speranza di Alice è che z non abbia senso, e al 99,9% è cosı̀.
2. Attacco Known Message: L’hacker conoscendo due documenti firmati da Alice
(x1 , y1 ) e (x2 , y2 ), è in grado di creare un terzo messaggio valido cosı̀
x = x1 · x2
130
(mod n)
6.2. Schema Elgamal
y = y1 · y2
(mod n)
infatti
y e ≡ x (mod n)
(y1 y2 )e ≡ x1 x2
y1e y2e ≡ x1 x2
(mod n)
(mod n)
y1e = x1 e y2e = x2
La soluzione al problema è utilizzare una funzione hash e firmare l’estratto anziché
tutto il documento. Questo oltre a risolvere il problema enunciato serve anche a
velocizzare le operazioni di firma e di verifica.
I due attacchi visti prima non funzionano più se h è buona.
1. Attacco Key Only: L’hacker avrebbe bisogno di porre h(x) = z e ; poi dovrebbe
ricavare x da h(x) il che è impossibile se h è resistente al problema “controimmagine”.
2. Attacco Known Message: Dovrebbe valere h(x1 x2 ) = h(x1 ) · h(x2 ) ma è impossibile vista l’irregolarità della funzione hash.
Osservazione 29. La funzione hash deve essere resistente al problema “seconda controimmagine”, altrimenti se (x, y) è firmata da Alice e Oscar trova x̄
tale che h(x̄) = h(x) avrà trovato anche una firma valida per x̄.
Osservazione 30. La funzione hash deve essere anche resistente alle collisioni, perché se trovo due messaggi con stesso hash, supponendo che uno dei
due sia innocuo mentre l’altro no, posso indurre Alice a firmare quello innocuo
e ottenere una firma valida per quello sensibile.
6.2
Schema Elgamal
Sfrutta il DL-Problem per effettuare la firma.
Chiave privata: (a, k)
Chiave pubblica: (p, α, β)
Schema:
131
6.2. Schema Elgamal
P = Zp
A = Zp xZp
K = {(a, k, p, α, β)}(
sigK (x) = (γ, δ) =
verK (x, (γ, δ)) =
γ = αk
(mod p)
δ = x−aγ
k
true ⇐⇒ β γ ·
(mod p − 1)
= αx
γδ
Dimostrazione. β γ · γ δ = (αa )γ · (αk )δ = αx ⇐⇒ αaγ+kδ = αx
Essendo α un elemento primitivo di un campo, si ha che due potenze sono uguali
se la differenza degli esponenti è multiplo di p − 1, cioè
αaγ+kδ−x = 1 ⇐⇒ p − 1 | aγ + kδ − x
oppure
aγ + kδ − x ≡ 0
(mod p − 1)
Da questa uguaglianza ricaviamo δ cosı̀
δ≡
x − aγ
k
(mod p − 1)
Vediamo quanto è resistente agli attacchi total break e existential forgery.
• Total Break: L’hacker conosce x, α, β. Deve cercare γ e δ t.c. valga
β γ · γ δ = αx
Ho due possibilita:
– Fisso γ e cerco δ; quindi ottengo un DL-Problem.
γ δ = αx · β −γ
Quindi se si prende p sufficientemente grande t.c. il DL-Problem è intrattabile in quel campo allora sono sicuro che è resistente all’attacco.
– Fisso δ e cerco γ; quindi ottengo un problema considerato più difficile del
DL-Problem in quanto la mia incognita γ compare due volte.
β γ · γ δ = αx
Non esiste un algoritmo efficiente che risolva tale problema.
132
6.2. Schema Elgamal
• Existential Forgery: Anche in questo caso se non si usa una funzione hash è
possibile trovare una falsificazione esistenziale. Si pone γ = αi · β j e si cercano i
e j in modo tale da verificare l’uguaglianza β γ · γ δ = αx .
Sostituisco solo una volta γ e ottengo
β γ · (αi · β j )δ = αx
αiδ−x = β −γ−jδ
Poiché β = αa non posso continuare a sviluppare l’equazione perché non ho modo
di conoscere a, allora faccio in questo modo:
iδ − x = −γ − jδ ≡ 0
(mod p − 1)
Se vale questo allora sicuramente vale
αiδ−x = β −γ−jδ
perché entrambi i membri sarebbero 1.
Questo si risolve con un sistema
iδ − x ≡ 0
(mod p − 1)
−jδ =
≡γ
(mod p − 1)
Le incognite sono x e δ. Il sistema ha soluzioni quando il determinante della
matrice dei coefficienti è invertibile modulo p − 1. Quindi si ha
−1
i
det
−j
0
!
= −j
e dunque basta prendere un i qualunque e j invertibile in Zp∗ cosı̀ sono sicuro di
poter risolvere il sistema. Infatti
δ=
γ
αi β j
=
−j
−j
x = iδ =
133
i i j
αβ
−j
6.2. Schema Elgamal
Osservazione 31. k deve essere segreto, perché chi verifica conosce x e (γ, δ)
se conoscesse anche k può ricavare a cosı̀
kδ ≡ x − aγ
(mod p − 1)
kδ − x ≡ −aγ
(mod p − 1)
aγ ≡ x − kδ
(mod p − 1)
x − kδ
γ
(mod p − 1)
a≡
Osservazione 32. k deve essere cambiato ogni volta, perché se supponiamo che x1
e x2 venissero firmati con lo stesso k le firme sarebbero
(γ, δ1 ) e (γ, δ2 )
δ cambia perché dipende dal messaggio x, ma γ no quindi
β γ · γ δ 1 = α x1
=
β γ · γ δ 2 = α x2
β γ · αkδ1
α x1
β γ · αkδ1 = αx1
=⇒ αk(δ1 −δ2 ) = αx1 −x2
=
=⇒
γ
kδ
x
β ·α 2 =α 2
α x2
β γ · αkδ2
Poiché due potenze di α sono uguali quando gli esponenti sono uguali modulo p − 1
si ha
k(δ1 − δ2 ) ≡ xi − x2
(mod p − 1)
A questo punto se (δ1 − δ2 ) è invertibile, ed è probabile che lo sia, trovo k facendo
k≡
x1 − x2
δ1 − δ2
(mod p − 1)
Dunque se Alice non cambia k l’hacker può firmare al posto suo.
ESEMPIO:
p = 467
α=2
a = 127
β = 2127 = 132
Supponiamo x = 100
Scelgo k invertibile modulo p − 1
k = 213 infatti gcd(466, 213) = 1
Ci calcoliamo preventivamente
1
k
= 431
134
6.3. Schema SHA1WithDSA
FIRMA
(
γ = 2213
(mod 467) = 29
δ = 431 · (100 − 127 · 29)
(mod 467) = 51
VERIFICA
13229 · 2951 = 127100
6.3
Schema SHA1WithDSA
È molto simile allo schema Elgamal; ha qualche piccola modifica.
Generazione delle chiavi:
• Si scelga un numero primo q di 160 bit
• Si scelga un numero primo p lungo L bit, tale che p = qz + 1 per un qualche
numero intero z, con 512 < L < 1024 e 64 | L (nell’ultima revisione dello standard
si specifica che L deve corrispondere a 1024).
• Si scelga h tale che 1 < h < p − 1 e α = hz
(mod p) > 1
• Si generi un numero casuale a tale che 1 < a < q
• Calcolare β = αa
(mod p)
La chiave pubblica è (p, q, α, β) e la chiave privata è a.
Calcolo della firma:
• Si generi un numero casuale k tale che 0 < k < q
• Calcolare γ = (αk
• Calcolare δ =
(mod p))
H(m)+aγ
k
(mod q)
(mod q)
• Nel caso in cui γ = 0 o δ = 0 bisogna ricalcolare la firma cambiando k
• La firma è (γ, δ)
135
6.4. Funzionamento Pratico
Verifica della firma:
• Rifiutare firme se non sono soddisfatte le condizioni 0 < γ < q e 0 < δ < q
• Calcolare w = δ −1
(mod q)
• Calcolare u1 = H(m) · w
• Calcolare u2 = γ · w
(mod q)
(mod q)
• Calcolare v = (αu1 · β u2
(mod p))
(mod q)
• La firma è verificata se v = γ
6.4
Funzionamento Pratico
Creazione della coppia di chiavi:
• L’utente richiede un certificato digitale ad una CA autorizzata.
• La CA emette un certificato
• Nel certificato c’è la chiave pubblica di Alice ed è firmato dalla CA
• Il certificato viene inserito in una smart card insieme alla chiave privata di Alice
Generazione della firma:
Occorre utilizzare un software specifico. Il software prende in input il documento
da firmare è la chiave privata contenuta all’interno della smart card, e restituisce in
output un file .p7m.
Un file con estensione .p7m è composto di tre parti
1. File.doc
2. Firma
3. Certificato di Alice
Verifica della firma:
1. Il software verifica on-line la validità del certificato e la firma della CA
2. Verifica la firma di Alice prendendo la chiave pubblica dal certificato
136
Capitolo 7
Elliptic Curve Cryptography
(ECC)
È un tipologia di crittografia a chiave pubblica basata su curve ellittiche definite in
campi finiti. L’utilizzo di questo metodo crittografico è stato proposto da Neal Koblitz
e Victor S. Miller nel 1985.
7.1
Curve Ellittiche nei Reali
Una curva ellittica su numeri reali può essere definita come l’insieme di punti (x, y)
che soddisfano una equazione della forma:
y 2 = x3 + ax2 + b
dove x,y, a e b sono numeri reali. Ogni diversa scelta di a e b da origine ad una curva
ellittica diversa. Ad esempio, a = −4 e b = 0, 67 fornisce la seguente curva ellittica:
137
7.1. Curve Ellittiche nei Reali
Capitolo 7. Elliptic Curve Cryptography (ECC)
Se x3 + ax + b non contiene elementi ripetuti, o equivalentemente se 4a3 + 27b2 6= 0,
allora la curva ellittica y 2 = x3 + ax + b può essere utilizzato per formare un gruppo.
Un gruppo di curva ellittica su numeri reali è costituito da i punti sulla curva ellittica
corrispondente, insieme ad un punto O, speciale, chiamato punto all’infinito.
Sul gruppo vogliamo inoltre, che ci si possa definire un’operazione, cioè una regola
per associare a due elementi un terzo elemento, che soddisfi 4 proprietà: Associativa,
Commutativa, Esistenza dell’elemento neutro ed Esistenza dell’inverso.
Gruppi di curve ellittiche sono gruppi di additivi, cioè la loro funzione di base è la
somma. L’aggiunta di due punti in una curva ellittica è definito geometricamente.
L’opposto (o il negativo) di un punto P = (Xp , Yp ) è il suo riflesso in asse x: il
punto −P è (xP , −yP ). Si noti che per ogni punto P su una curva ellittica, il punto
−P è anch’esso sulla curva.
Somma di due numeri: P + Q = R
Supponiamo che P e Q siano due punti distinti su una curva ellittica, e P 6= −Q.
Per sommare i due numeri si disegna la retta che passa per questi due punti.
Questa linea interseca la curva ellittica esattamente in un punto chiamato −R. Il
punto −R si riflette nell’asse delle x fino al punto R. Il procedimento è mostrato
in Figura 7.1.
Figura 7.1: Somma di due punti
Aritmeticamente metto a sistema l’equazione della curva con l’equazione della
retta; ottengo 3 soluzioni che sono i tre punti. Ecco il motivo del grado 3: ho
138
bisogno di un terzo punto e quindi ho bisogno del 3 grado.
Somma dello stesso numero: P + P = 2P = R
La linea passante per P e −P è una linea verticale che non si interseca con la
curva ellittica in un terzo punto, e quindi la somma non può essere fatta come in
precedenza. Per questo motivo il gruppo generato dalla curva ellittica contiene un
punto all’infinito chiamato O. Per definizione si ha che, P + (−P ) = O, e quindi
anche P + O = P ; dunque O viene preso come l’elemento neutro del gruppo.
Per aggiungere un punto P a se stesso, si calcola la tangente alla curva passante
per P . Se yP 6= 0, la tangente interseca la curva in un altro punto −R. Infine si
riflette −R ottenendo R.
139
Se yP = 0 la tangente è sempre verticale e non interseca la curva in un altro punto.
Per definizione, 2p = O per un tale punto P . Se si volesse trovare 3P in questa
situazione, si può aggiungere 3P = 2P + P . Questo diventa 3P = P + O = P .
Pertanto P = 3P, 4P = O, P = 5P, 6P = O, P = 7P , ecc...
Formule Algebriche
Anche se le descrizioni geometriche precedenti delle curve ellittiche forniscono un
metodo eccellente per illustrare l’aritmetica che ci sta dietro, non sono un modo pratico
per implementare calcoli aritmetici. C’è bisogno di formule che possono essere eseguite
da un calcolatore.
Quando P = (xP , yP ) e Q = (xQ , yQ ) non sono uno l’opposto dell’altro la somma
si calcola cosı̀:
s=
yP − yQ
xP − xQ
xR = s 2 − xP − xQ
yR = −yP + s(xP − xR )
con s che rappresenta la retta passante per i punti P e Q.
Quando yP 6= 0 la somma si calcola cosı̀:
140
7.2. Curve Ellittiche in Fp
s=
3x2P + a
2yP
xR = s2 − 2xP
con s che rappresenta la retta tangente la curva ellittica nel punto P .
7.2
Curve Ellittiche in Fp
Una proprietà essenziale per la crittografia è che un gruppo deve avere un numero
finito di punti. I calcoli sui numeri reali sono lenti e imprecisi a causa di un errore di
arrotondamento. Le applicazioni crittografiche richiedono calcoli veloci e precisi, per
questo vengono utilizzati campi finiti, Fp e F2m , generati da curve ellittiche.
Una curva ellittica basata su campo Fp può essere formata scegliendo le variabili
a e b all’interno del campo Fp . La curva ellittica comprende tutti i punti (x, y) che
soddisfano l’equazione:
y2
(mod p) = x3 + ax2 + b (mod p)
Se la curva ellittica contiene tutti elementi singolari (4a3 + 27b2
(mod p) 6= 0)
allora la curva ellittica può essere usata per creare un gruppo.
Come esempio si consideri il campo F23 , a = 1 e b = 0. L’equazione risultante
y 2 = x3 + x
Il punto P = (9, 5) soddisfa l’equazione in quanto
y2
25
25
(mod p) = x3 + x (mod p)
(mod 23) = 729 + 9
(mod 23) = 738
(mod 23)
(mod 23)
2=2
In tutto sono casualmente 23, i punti che soddisfano l’equazione.
(0, 0)(1, 5)(1, 18)(9, 5)(9, 18)(11, 10)(11, 13)(13, 5)(13, 18)(15, 3)(15, 20)(16, 8)
141
7.2. Curve Ellittiche in Fp
(16, 15)(17, 10)(17, 13)(18, 10)(18, 13)(19, 1)(19, 22)(20, 4)(20, 19)(21, 6)(21, 17)
Questi punti possono essere rappresentati cosı̀:
Da notare che ci sono 2 valori di y per ogni x, proprio come succede nei numeri
reali. Chiaramente non ha più senso cercare di collegare i punti per ottenere una curva.
Quello che ci interessa è che le regole che valgono per i numeri reali valgono anche
per i campi finiti Fq con l’eccezione che il calcolo è fatto modulo p.
Quando P = (xP , yP ) e Q = (xQ , yQ ) non sono uno l’opposto dell’altro la somma
si calcola cosı̀:
s=
yP − yQ
xP − xQ
(mod p)
xR = s2 − xP − xQ
(mod p)
(mod p)
con s che rappresenta la retta passante per i punti P e Q.
142
7.3. Curve Ellittiche in F2m
Quando yP 6= 0 la somma si calcola cosı̀:
s=
3x2P + a
2yP
xR = s2 − 2xP
(mod p)
(mod p)
(mod p)
con s che rappresenta la retta tangente la curva ellittica nel punto P .
7.3
Curve Ellittiche in F2m
Già sappiamo che gli elementi del campo F2m possono essere rappresentati da
stringhe di m bit. Dal momento che F2m opera su stringhe di bit, i computer possono
eseguire operazioni aritmetiche in questo campo in modo molto efficiente.
Una curva ellittica basata su campo F2m può essere formata scegliendo le variabili a
e b all’interno del campo F2m . C’è una differenza rispetto a prima; poiché gli elementi
in F2m sono tutti dei quadrati, affinché il meccanismo continui a funzionare, l’equazione
va modificata cosı̀:
y 2 + xy = x3 + ax2 + b
Un gruppo basato su curva ellittica in F2m consiste nei punti che soddisfano
y 2 + xy
(mod p) = x3 + ax2 + b (mod p)
insieme ad un punto all’infinito, O.
Come esempio si consideri il campo F24 definito mediante il polinomio irriducibile
f (x) = x4 + x + 1. L’elemento g = (0010) è un generatore per il campo. Le potenze di
g sono:
g 0 = (0001) − g 1 = (0010) − g 2 = (0100) − g 3 = (1000)
g 4 = (0011) − g 5 = (0110) − g 6 = (1100) − g 7 = (1011)
g 8 = (0101) − g 9 = (1010) − g 10 = (0111) − g 11 = (1110)
g 12 = (1111) − g 13 = (1101) − g 14 = (1001) − g 15 = (0001)
143
7.3. Curve Ellittiche in F2m
In una vera applicazione di crittografia, il parametro m deve essere abbastanza grande da evitare la formazione efficiente di questa tabella altrimenti il sistema
crittografico può essere rotto. In pratica oggi, m = 160 è una scelta opportuna.
Si consideri la curva ellittica
y 2 + xy = x3 + g 4 x2 + 1
Il punto P = (g 5 , g 3 ) soddisfa l’equazione su F2m perché
(g 3 )2 + g 5 g 3 = (g 5 )3 + g 4 g 10 + 1
g 6 + g 8 = g 15 + g 14 + 1
(1100) + (0101) = (0001) + (1001) + (0001)
(1001) = (1001)
I 15 punti che soddisfano tale equazione sono:
(1, g 13 )(g 3 , g 13 )(g 5 , g 11 )(g 6 , g 14 )(g 9 , g 13 )(g 10 , g8)(g 12 , g 12 )(1, g 6 )(g 3 , g 8 )(g 5 , g 3 )(g 6 , g 8 )
(g 9 , g 10 )(g 10 , g)(g 12 , 0)(0, 1)
Essi possono essere rappresentati cosı̀:
Sia P = (xP , yP ); l’opposto di P è −P = (xP , xP + yP ). Se P e Q sono punti
distinti tali che P 6= −Q, allora la somma è:
s=
(yP − yQ )
(xP + xQ )
xR = s 2 + s + xP + xQ + a
yR = s(xP + xR ) + xR + yP
con s la retta che passa per i due punti.
144
7.4. Applicazione in Crittografia
Se xP = 0, allora 2P = O quindi questo va evitato. Fatto questo la somma si
calcola cosı̀:
s = xP +
yP
xP
xR = s2 + s + a
yR = x2P + (s + 1) · xR
con s la retta tangente la curva nel punto P .
7.4
Applicazione in Crittografia
In crittografia si usano le curve ellittiche applicate al meccanismo di key agreement
di Diffie-Helmann o al crittosistema di El Gamal o allo schema di firma DSA. Quindi
si estende il DL-Problem ai gruppi originati da curve ellittiche.
Problema 6 (DL-Problem →ECDL-Problem). Dati β e α trovare a t.c. β =
αa =⇒ Dati W e G trovare n t.c. W = nG.
145
Sotto opportune restrizione questo problema è risolubile in tempo esponenziale
√
O( r) dove r è l’ordine di W , mentre il DL-Problem e la fattorizzazione sono risolubili in tempo sub-esponenziale. Per questo motivo con ECC si possono usare chiavi di
dimensione minore.
Proprietà dei Gruppi
• Sia #E(Fq ) il numero di punti della curva ellittica E(Fq ) incluso O.
√
• Teorema 35 (Hasse bound). #E(Fq ) = q + 1 − t con t ≤ 2 q
• Il gruppo è ciclico o è il prodotto di due gruppi ciclici.
• L’operazione di moltiplicazione che serve a calcolare W viene fatta mediante
ripetute addizioni. C’è un notevole impiego di risorse nella ricerca di un metodo
più efficiente per fare la moltiplicazione scalare.
• ∀P ∈ E(Fq )
nP = O dove n = #E(Fq ).
Restrizioni della Curva
• N = #E(Fq ) = hn con n un numero primo molto grande e h il cofattore (h =
N
n ).
Per evitare un attacco con l’algoritmo ρ di Pollard o di Pohlig-Helloman, modificati per le curve ellittiche, è necessario che N sia divisibile per un numero primo
n sufficientemente grande.
• gcd(k, n) = 1
• Condizione Anomala: n 6= q
• Condizione MOV : n 6| q i − 1con 1 ≥ i ≥ 20. Visto che è sempre possibile trasformare il campo finito generato dalla curva ellittica in un campo finito normale,
se la condizione non è verificata il campo d’arrivo sarà di dimensioni paragonabili all’iniziale; questo mi permette risolvere il problema sul campo d’arrivo
perché il problema è più facile. Se invece la condizione è verificata il campo di
arrivo avrà dimensioni molto maggiori e quindi la risoluzione del DL-Problem è
improponibile.
Selezione della Curva
Per stabilire se la curva è buona o no mi serve solo conoscere il numero di punti che
ha. Questa non è un’operazione banale perché chiaramente si considerano campi con
cardinalità elevata.
146
I metodi sono:
• Random
• Complex multiplication
• Subfield
La bontà di un metodo dipende da due fattori: la velocità di esecuzione, e dalla
“struttura” delle curve risultanti. Meno significativa è la struttura migliore è la curva.
Purtroppo metodi lenti offrono curve molto buone e viceversa.
Random
Genera una curva a caso e poi conta il numero di punti. Questo metodo è lento ma
offre curve molto buone. Fu proposto da Schoof nel 1985.
Subfield
Esiste un teorema che dice che se si conosce il numero di punti di una curva sopra un
sotto-campo, risolvendo semplicemente una formula di secondo grado posso conoscere
il numero di punti della stessa curva su un campo qualsiasi. Questo metodo non si usa
perché si ha paura che la curva risulti avere una struttura significativa. Questo metodo
fu proposto da Koblitz.
7.4.1
Generazione Chiavi
• Selezionare un numero primo q
• Selezionare una curva ellittica E sul campo Fq che rispetti le restrizioni
• Selezionare un punto H ∈ E(Fq )
160 e n > 4√q)
• Calcolo G = ( N
n )H (con N = #E(Fq ), n primo, n > 2
• Se G = O ricomincio
• Genero random a ∈ [1, n − 1]. chiave privata: (a)
• Calcolo W = aG. chiave pubblica: (W, n, G)
7.4.2
ECDSA
Firma
INPUT: Chiave privata a e messaggio m.
OUTPUT: firma (γ, δ)
147
7.5. Vantaggi e Svantaggi
• Seleziono k ∈ [1, n − 1]
• Calcolo γ = x1
• Calcolo δ =
(mod n) dove (x1 , y1 ) = kG
h(m)+aγ
k
(mod n)
• Se γ = 0 o δ = 0 ricomincio
Verifica
INPUT: (γ, δ), chiave pubblica (W, n, G) e messaggio m.
OUTPUT: true/false
• Verificare che W 6= O
• Verificare che W appartenga alla curva (W ∈ E(Fq ))
• Verificare che nG = O
• Verificare che γ, δ ∈ [1, n − 1]
Alla prima verifica fallita rifiuto la firma.
• Calcolare w = δ −1
(mod n)
• Calcolare u1 = h(m) · w
• Calcolare u2 = γ · w
(mod n)
(mod n)
• X = (x1 , y1 ) = u1 G + u2 W
Se X = O rifiuto la firma
• v = x1
(mod n)
Se v = γ accetto la firma.
7.5
7.5.1
Vantaggi e Svantaggi
Vantaggi
• Un’altra problema difficile
• Operazioni sono più veloci
• Lunghezza della chiave minore
148
7.5. Vantaggi e Svantaggi
• Più schemi possono essere combinati in modo efficiente. (firma + encryption firma/key agreement + certification).
• Molte opzioni: sono molta i parametri in gioco quindi ci possono essere numerosi
crittosistemi
7.5.2
Svantaggi
• Visto che l’ECDLP è stato studiato poco potrebbe rivelarsi un sistema fragile
• Generazione della curva è complessa
• Molte opzioni
149

UNIVERSIT`A DEGLI STUDI DI PERUGIA Corso di laurea

Transcript

Documenti analoghi

fallimento litovald srl - Istituto Vendite Giudiziarie di Vicenza

Spagnolo - Einstein

Johann Van Der Meer CA Ufficio Export Via XYZ 14

CRUISING MOD.62zCR h

Nuovo design elegante ed avvolgente, arreda e

DICHIARAZIONE DEl REDDITI PER L`ANNO 2015

ODECA srl Mod. C4TD Etichettatrice termica - carlotti

Mod. CRBS/EV - Elettronica Veneta

Fallimento n 178-12 avviso asta del 19-11-13

Gomba BCU (625 Kbytes)