come si è visto in una lezione precedente, crittografia simmetrica e asimmetrica possono assolvere funzioni complementari nella soluzione di problemi di sicurezza informatica, ecco un caso tipico:

• la crittografia simmetrica è semplice e rapida, ma richiede la condivisione di una chiave segreta
• la crittografia asimmetrica è lenta e complessa, ma non richiede una chiave condivisa

il problema della condivisione della chiave è circolare:

• per la sicurezza della comunicazione occorre previamente stabilire una chiave segreta comune
• per trasmettere la chiave in modo sicuro occorre già disporre di un canale di comunicazione sicuro, ovvero di una chiave segreta comune...

soluzione:

• trasmettere con un sistema di crittografia asimmetrica
  la chiave necessaria alla crittografia simmetrica

per proteggere la riservatezza della chiave trasmessa, e allo stesso tempo garantire l'autenticità del mittente, si adopera la doppia cifratura asimmetrica

proposto nel classico articolo del 1976, il protocollo di Diffie-Hellmann permette di stabilire una chiave segreta condivisa fra due partner che non condividono alcun segreto

la soluzione al problema è analoga a quella del seguente problema (da manuale di spionaggio):

• Alice vuole dare la sua bicicletta a Bob senza mai incontrarlo, ed impedirne il furto sebbene essi non dispongano di due copie della chiave di uno stesso lucchetto ... soluzione:
• Alice porta la bici in un luogo convenuto e l'assicura con un suo lucchetto
• quindi, Bob si reca nel luogo convenuto e ri-assicura la bici con un proprio lucchetto
• Alice torna poi nel luogo convenuto e rimuove il primo lucchetto
• infine Bob torna nel luogo convenuto, rimuove il secondo lucchetto e se ne va con la bici

il protocollo di Diffie-Hellmann presuppone che i partner A e B adoperino un opportuno grande numero primo p e un numero g di ordine (moltiplicativo) modulo p sufficientemente grande

• N.B.: questa informazione, sebbene condivisa, non è segreta
• A sceglie a caso il numero a e invia y_a = g^a mod p a B
• B sceglie a caso il numero b e invia y_b = g^b mod p ad A
• ora A e B dispongono di una comune chiave segreta: y_a^b = y_b^a = g^ab mod p

la cifratura asimmetrica semplice può bastare quando non occorre proteggere la riservatezza

• l'autore adopera in tal caso la chiave privata a garanzia di autenticità e integrità

queste proprietà sono peraltro garantite anche da hash con chiave segreta (MAC)

• cosa impedisce l'uso di MAC per la firma digitale?
• irripudiabilità e autenticità della firma → l'autore detiene il segreto esclusivo della chiave
• autenticità della firma verificabile da terzi, in caso di controversia
• → crittografia asimmetrica                       schema generico di firma digitale:

la cifratura asimmetrica con chiave privata non è l'unico schema possibile di firma digitale

lo schema di firma Elgamal (Elgamal, 1984) lo dimostra

come per il protocollo di Diffie-Hellmann, la sua sicurezza dipende dalla difficoltà di calcolo del logaritmo discreto

schema essenziale: siano

• p : un grande numero primo opportuno
• g : un intero di ordine p-1 mod p
• a : la chiave privata di firma dell'autore, e
• y = g^a mod p : la corrispondente chiave di verifica
• m : il documento da firmare, o un suo hash, in modo che si abbia 0 ≤ m < p

apposizione della firma:

• scelta di un numero casuale k, con 0 ≤ k < p, tale che gcd(k, p-1) = 1
• calcolo di r = g^k mod p, e soluzione dell'equazione in s :    a r + k s ≡ m mod p-1
• → la coppia (r, s) è la firma di m

verifica : deve valere l'equazione y^r r^s ≡ g^m mod p