come da lezione precedente, crittografia simmetrica e asimmetrica possono assolvere funzioni complementari per risolvere problemi di sicurezza informatica, ecco un caso tipico:

• la crittografia simmetrica è semplice e rapida, ma richiede la condivisione di una chiave segreta
• la crittografia asimmetrica è lenta e complessa, ma non richiede una chiave condivisa

il problema della condivisione della chiave è circolare:

• per la sicurezza della comunicazione occorre previamente stabilire una chiave segreta comune
• per trasmettere la chiave in modo sicuro occorre già disporre di un canale di comunicazione sicuro, ovvero di una chiave segreta comune...

soluzione:

• trasmettere con un sistema di crittografia asimmetrica
  la chiave necessaria alla crittografia simmetrica

per proteggere la riservatezza della chiave trasmessa, e allo stesso tempo garantire l'autenticità del mittente, si adopera la doppia cifratura asimmetrica

proposto nel classico articolo del 1976, il protocollo di Diffie-Hellmann permette di stabilire una chiave segreta condivisa fra due partner che non condividono alcun segreto

la soluzione al problema è analoga a quella del seguente problema (da spy story):

• Alice vuole dare la sua bicicletta a Bob senza mai incontrarlo, ed impedirne il furto sebbene essi non dispongano di due copie della chiave di uno stesso lucchetto ... soluzione:
• Alice porta la bici in un luogo convenuto, l'assicura con un suo lucchetto e va via
• quindi vi si reca Bob, che ri-assicura la bici con un proprio lucchetto e va via
• Alice torna poi nel luogo convenuto e rimuove il primo lucchetto
• infine Bob torna nel luogo convenuto e rimuove il secondo lucchetto

il protocollo di Diffie-Hellmann presuppone che i partner A e B adoperino un opportuno grande numero primo p e un numero g di ordine (moltiplicativo) modulo p sufficientemente grande (N.B.: questa informazione, sebbene condivisa, non è segreta)

• A sceglie a caso il numero a e invia y_a = g^a mod p a B
• B sceglie a caso il numero b e invia y_b = g^b mod p ad A
• ora A e B dispongono di una comune chiave segreta: y_a^b = y_b^a = g^ab mod p

la simultanea garanzia di riservatezza e autenticità del mittente, fornita ad es. dalla doppia cifratura asimmetrica, trova applicazione anche nei sistemi di apposizione di firma elettronica

altri requisiti di sicurezza essenziali per la firma elettronica:

• protezione dell'integrità del documento firmato e della firma
• irripudiabilità della firma da parte del suo autore
• unicità della coppia <documento firmato, firma>, ad es. per impedire la duplicazione dell'esecuzione di una transazione remota

la doppia cifratura asimmetrica supporta la soddisfazione dei requisiti di protezione dell'integrità e di irripudiabilità della firma, per la segretezza della chiave di autenticazione

per garantire la non duplicabilità dei documenti, i sistemi di firma elettronica li possono corredare di informazione unica, ad es. temporale (timestamping)

la cifratura asimmetrica semplice può bastare quando non è in gioco la riservatezza

• l'autore adopera in tal caso la chiave privata a garanzia di autenticità e integrità

queste proprietà sono peraltro garantite anche da hash con chiave segreta (MAC)

• cosa impedisce l'uso di MAC per la firma digitale?
• irripudiabilità e autenticità della firma → l'autore detiene il segreto esclusivo della chiave
• autenticità della firma verificabile da terzi, in caso di controversia
• → crittografia asimmetrica

la cifratura asimmetrica con chiave privata non è l'unico schema possibile di firma digitale

lo schema di firma Elgamal (Elgamal, 1984) lo dimostra

come per il protocollo di Diffie-Hellmann, la sua sicurezza dipende dalla difficoltà di calcolo del logaritmo discreto

schema essenziale: siano

• p : un grande numero primo opportuno
• g : un intero di ordine p-1 mod p
• a : la chiave privata di firma dell'autore, e
• y = g^a mod p : la corrispondente chiave di verifica
• m : il documento da firmare, o un suo hash, in modo che si abbia 0 ≤ m < p

apposizione della firma:

• scelta di un numero casuale k, con 0 ≤ k < p, tale che gcd(k, p-1) = 1
• calcolo di r = g^k mod p, e soluzione dell'equazione in s :  ar+ks ≡ m mod p-1
• → la coppia (r, s) è la firma di m

verifica : deve valere l'equazione y^r r^s ≡ g^m mod p

la verifica di autenticità, del mittente di un messaggio o autore di un testo, permessa dalla crittografia asimmetrica presuppone la certezza dell'associazione di una chiave pubblica all'identità, nota o conclamata, di una persona ...

problema: come acquisire tale certezza?

quando la persona non è nota, occorre una certificazione, della sua identità e/o di altre credenziali da essa conclamate, da parte di un terzo, degno di fiducia

in organizzazioni a struttura gerarchica, quale ad es. l'albero di un organigramma aziendale, la certificazione può basarsi su tale struttura, dove ciascun nodo dell'albero certifica la veridicità delle credenziali conclamate dai suoi nodi figli

• in tal caso, la certificazione che accompagna una comunicazione include la catena delle certificazioni dai livelli successivi fino al vertice, e ognuna di queste contiene la chiave pubblica per la decodifica della comunicazione prodotta al livello inferiore

quando la certificazione non può basarsi su una struttura gerarchica predefinita, si può fare ricorso ad un'autorità di certificazione che goda della fiducia delle parti interessate