Sei sulla pagina 1di 13
STUDI CRITTOLOGIA E SICUREZZA NELLA COMUNICAZIONE IN RETE acura di Francesco Fabris Attraverso un percorso storico si passano rapidamente in rassegna le tecniche pil diffuse per criptare messaggi. E quanto ci viene suggerito nel primo intervento di Andrea Sgarro, che tratta i cifrari classici a chiave simmetrica. Il secondo articolo di Francesco Fabris illustra i principi fondamentali della crittologia moderna, a chiave asimmetrica. Il terzo, di Alberto Bartoli, allarga il campo delle problematiche relative alla sicurezza, viste non pil e non solo come sicurezza di un cifrario, ma piuttosto come sicurezza dell’intero sistema cifrario-calcolatore-rete. UO SECONDAR-1672008-ANo2xKy >>! studi Edgar Allan Poe, Jules Verne, Conan Doyle, Umberto Eco e Dan Brown hanno qualeosa in comune? Se non di pari valo- ze, sono tutti autori di successo, ma cid che qui importa @ che tutti si sono avvalsi della crittografia e dei codici segreti, La crittografiaé un ingrediente prezioso nella letteratura a effetto, e, Poe a parte, gli autori summenzionati Thamno usata pitt per caloolo che per passione. Sen- 2a rivali & Edgar Allan Poe che svetta su tutti non. solo pera sua arte, ma anche per la sua competenza crittogratica. A cvitare malintes, la crittografia & una di- sciplina serissima. Lo sanno bene i militari, eda tempo immemorabile~ tanto per dire, jamo la testimonianza di Svetonio sul uso che ne fece Giulio Cesare ~ ma do vrebbero saperlo anche gli utenti di Inter net, che non potrebbero comunicare in sicur rezza se non ci fossero gli strumenti critlogra- fici a proteggerli: bastera pensare al trasferimento elettronico di denaro e alle banche on line per capire quanto importante sia garantire privatezza e autenticita nella grande ragnatela virtuale che avvolge il mondo. La crittogratia @ perd anche divertente e affascinante da raccontare,e noi ci servine- mo della letteratura per introdurre concetti crittografici di base, Sostituzione Per nostra fortuna il libro pit letto nel mondo non @ ancora Harry Potter, bensi la Bibbia. Ebene, la crittografia fa capoli no gid nella Bibbia, ¢ cid ci da subito il destro di descrivere un primo sistema di cifra, quello a sostituzione, In uno dei bri di Geremia invece di esserdi scritto Babele, in cbraico ha- bel (pronunciato bavel, ma in ebraico si scrivono solo le tre consonanti, het bet lamed: questa non @ ancora crittografia, @ scrittura in chiaro'di tipo semita) si trova scritto sheshach, © piuttosto le tre consonant shit shin haf che, nell ordine, sasti- tuiscono le tre consonati originali. Sempre in Geremia com- pare una sostituzione pitt poetica, quella che trasforma la pa- rola ebraica che vuol dire Caldei (Kasidim) nel cuore del mio entio (lev Kama). Come funziona un sistema a sostituzione? Esso & basato su 1G) wow seconoaa-n.7 2008 Ato xv ust Glo Cae (10-44 8.) RACCONTARE LA CRITTOGRAFIA Andrea Sgarro tun alfibeto cifrante, che ® wna permutazione del'alfabeto scrit- to in ordine naturale. Supponiamo di comunicare in italiano e di servirci delle 21 lettere che si usano nella nostra lingua (ignoreremo la differenza fra maiuscole e minuscole, conser- veremo gli spazi e ometteremo la punteggiatua). Liale fabeto naturale & quello che comincia con ABC e fini sce con la lettera Z. La chiroe del sistema di cifra si ot- tine scrivendo sotto lalfabeto naturale Ialfabeto di cé- {fio, vale a dire Valfabeto permutato in modo da com- prendere tutte le 21 lettere, clascuna una e una sola volta, ma in un ordine arbitrario. Le chiavi a priori pessibili sono tante quante sono le per ‘mutazioni dellalfabeto, ossia, nel caso delle 21 lettere italiane, un numeraccio di diciannove ci | fre decimali, che salgono a ventisei nel caso del Ye 26 lettere* dell alfabeto inglese. Nell'esempio delVathash, il cifrario a sostituzione usato nella Bibbia, V'alfabeto cifrante viene costruito con un trucco: lalfabeto naturale di 22 lettere viene spacca~ to in due parti e avvolto su se stesso, di sopra si scri- vono le lettere dalla prima allundicesima, ¢ di sotto quelle dalla dodicesima alfultima, ma in ordine inverso; per cifrare odecifrare si scambiano lettere che stanno una sopra Taltra. La prima let- tera dell'alfabeto ebraico, ale, diventa l'utima, tau, ¢ vice versa, mentre la bet che @ Ia seconda lettera nell'ordine natu- tale si scambia con la shin che @ la penultima, la shire con la bet, ece. Anche Giulio Cesare si serviva di un trucco per co- struire { suo’ alfabeti cfranti, quello della rofvsione: la chiave si assegna semplicemente specificando la lettera di cifra che sostituisce la A, diciamo la D: visto che la A avanza di tre po- sizioni, di tre posizioni avanzano tutte le letere; le ultime tre lettere dellalfabeto latino TUZ avanzano anche loro, pen- sando perd di aver seritto alfabeto sul bordo di un cerchio, fe vengono quindi sostituite da ABC. Un cifrario a rotazione si pud comodamente attuare, o implementare, mediante una semplicissima macchina di cifra costituita da due dischi ro- 1. Lelie semte, come Feta, abo 0 Frama, hanno un stata fone ‘ree consonant per dala ne, conser prtaro tps meee eral amo cco dela unzone shit, 2. le ete dado sono fle chia sono 1 fade dik ve 9 de Medex (het (2) x03) x 2x24 7. Aue @ ese cha ben phe) a robber escee, vo che le perntaon <2 penn quel che bcs fe studi tanti concentric, uno pits piccolo delfaltro, sui cui bordi & scritto lalfabeto naturale, Bastera ruotare il disco piccolo in modo da portare la D in cifra sotto In A in chiaro per facilita- re il lavoro degli addetti alla ciftatura. I dischi rotanti rico rono costantemente nella storia della crittogeafia, 1 pitt fa~ ‘mosi, per la loro splendida ornamentazione barocea (critto- graficamente irrilevante), sono quelli di Giovan Battista del- 1a Porta (1535 - 1615), inventore della camera oscura,Filosofo naturale, alchimista, commediogafo e autore del trattato di cxittografia De furt is literarum notis. I suo disco piccolo ha simboli di fantasia al posto delle lettere normal, cid che au- ‘menta il fascino de! a macchina, ma ne lascia sostanzialmen- te inalterate le prestazioni, A dire il vero, trucchi simili rischiano di faci vale a dire dello spione che ha intercet- Fe fl Tavoro del crittanalista, tat i critfograna (testo cfrato). Me slo dunque attenersi a ciftari a sostitu zone di tipo genera, in eu il mamero enomme delle chiavi a priori possibl sembra metterci al sicuro. E proprio co- ‘8? Torniamo alla ltteratura ¢ 10 fs mo alla grande con un capolavoro sia letterario sia crittografico; lo Scarabeo oro, The golden hug, che & uno splendi- do racconto di Edgar Allan Poe. Il pro- tagonista compie limpresa di decifrare senza conoscere Valfa- un critfogramn beto ciftante (@ in palio il tesoro nasco- sto di un pirata dei Caraibi). Per farlo, venta la statistica, ¢ riscopre un an- tico metoda crittanalitico gia noto agli arabi da un millennio. Poe era appassio- rato di crittografia (arrotondava il suo stipendio con rubriche crittografiche pubblicate sui giornali) cele fasi della decrittazione sono descritte con cura soprafti- 1, tanto che il suo raccanto pud ben venir usato in classe co ‘me introduzione alla statistica ¢ al calcolo delle probabilit I punto éil seguente: una lettera in una certa lingua ha una frequenza tipica, ad esempio la E compare in un testo in- sglese (in chiaro) circa il 12% delle volte: cid implica che la lettera sostituente si «tradisce» perché compare nel testo in fra con quella che @ la frequenza tipica della E in chiaro, Le frequenze si assestano su valor tipict piuttosto rapida- mente, ¢ un crittogramma la cui lunghezza supera il nume- ro delle letere dell'alfabeto” gid non 2 pit sicuro. Gi Omi- ni danzanti, The dancing men, un racconto di Conan Doy- le, protagonista Sherlock Holmes, che dal punto di vista crittografico fa il paio con quello di Poe. Ma la passione stessa: Sherlock Holmes si rivela un a piuttosto noioso, né lo salva il fatto crittografica non @ l insegnante di statisti che i 26 simboli di cifra siano 26 configurazioni distinte di un omino danzante, cid che rende il suo crittogramma mol to coreografico, Sistemi polialfabetici Che il cifrario a sostituzione non possa venir usato da peo- fessionisti (categoria cui il rozzo pirata di Poe non poteva certo appartonero) era ben noto da secoli agli uffci cif. Tat to cid é spiegato in dettaglio in un trattato arabo scritto dal filosofo aristotelico Ya'qub al Kind, vissuto nel nono secolo, detto il filosfo degli arab, che merita di venir ricordato' anche ‘come uno dei precursori della modema statistica, Nel tratta~ to di Al Kindi sono anche indicate possibili vie d'uscte, cui accenneremo solo dopo essere tornati in Europa. La scienza europea deve moltissi ‘mo a quella araba, che spesso agi da ci ghia di trasmissione con il mondo classico, sgreco e romano, e la crittografia non fa ec- cezione: anche se non certificato da prove documentarie (del resto la crittografia ten- de a lasciar poche tracce per sua natura), & del tutto evidente il debito alla cultura ara ba che ha il primo trattato di crittografia pubblicato in Europa, il De eifris di Leon Battista Alberti (1402 - 1472), il colebre umanista e architetto, che fu anche uno spione al servizio degli ulficicifra vaticani II problema dei crittografi 2 evidente: asso- dato che i cifraria sostituzione non si pos- sono usare, almeno nella forma fin qui de- scritta, come uscime? Le vie d'uscita sono due, una preferita dai praticie altza, dalla quale cominceremo, caldeggiata dai teort i Per quest'ultima puo tomar comoda la macchina di cifra che gid abbiamo descritto, ¢ che dungque pud venir usata per attuare sistemi di cifra molto pitt rat ‘nati di quelli di Giulio Cesare, Per capirci descriveremo un tipico cifrario a sostituzime polilfabetica, quello che viene chiamato cifrario di Vigentre, ma che, con maggior rispetto delle priorita, dovrebbe venir chiamato cifrario di Bellaso. Ritorniamo a Giulio Cesare: in un certo senso Ia chiave che lui aveva scelto era la lettera D, da piazzare in corrispon- denza della A. Supponiamo che la chiave sia invece una po: rola come TULIPANO, che ha otto lettore. Potremmo allora zealizzare un sistema di cifra periaico di periodo otto come segue: Ia prima lettera del testo in chiaro viene cifrata po- nendo nei dischi la T sotto la A, la seconda lettera in chiaro 3. Chee sta an, ale adr a lunghezza ore clu stograna en & seu, sa grostomodo ug al mero dlflabet Ios xo dmostare Irate matica Prin, siamo ioizarda che non skal henson ‘mene Satsea: cechisedherto 3 schere rman cul una cea vor nan 4 Ghe| vata soca dele sca, compres pivauerese, gps inome dA Kind in eroerde oc rao dla eos me supp del tac, © rw carenza ncompresble e erin scala NUOWA SECONOARA-N.72008-ANNO KY G—! studi viene cifrata ponendo la U sotto la A, la terza lettera in chia- x0 viene cifrata ponendo la L sotto la A, .,Vottava letera in chiaro viene cfrata panendo la O sotto la A. Poi si ricomin cia: la nona letra in chiato (9 = 8 + 1 = periodo +1) viene ci frata ponendo la T sotto la A, la decima lettera in chiaro (10=8 +2 = periodo +2) viene cifrata ponendo la U sotto A, cost via fino a esaurimento del testo in chiaro. La stessa lett 1a in chiaro ha un corrispondente diverso a seconda del- Ja posizione in au si trova,e il metodo crttanaitico basa sulle froquenze tpiche non funziona pit Gian polialfabetici furono descritt nei loro teattat da Al Kind, Alberti, Della Porta ean che dal tedeseo Tettenheim, atinizzato in ‘ritemio. Nominiamo quest ultimo perché ha largo spazio ne I! Pendolo di Foucault, il x0- smanzo scttto da Umberto Exo in sil eile fon (@ dunque la crttografia ci sta bene). La passione di Feo per la crittografia non supera quella di Conan Doyle e il messaggio desifrato do- po centinaia di pagine si ivela essere un dehi- dente MERDE JEN AIMARRE DECETTESTE- NOGRAPHIE,ilche suona come una confessio- ne. Del rest Eco sbologa a Titemio un sistema di Gita che @ poco pit di una banale sostituzione monoalfabe- ticae, percontenerela delusione del lttore, non i perita di scr ver new su bianco che la erittografia di quegli anni era cosa primitiva, il che @ de tuto falso, come abbiamo gin visto. ico LB. Ae Cifrari omofonici e nomenclatori In reali sistemi poliafabetici hanno avuto una storia glorio~ sa: forzati appena alla fine dell Ottocento dal uficiale prs siano Friedrich von Kasis,rcomparveroin versione mecca- nizzata nelle due guerre mondial. Il metodo di Kasiski fan zionainfatti solo su periodi bev, ma fallisce con i perio che macchine di cifra come Enigma riuscivano a realizzare grazie aun meceaniamo di ructe che si muovevano di moto odome- tro allinterno di una speciale machina da scrivere,Forzare Enigma usato dai nazis fu unvimpresa dei servizi segnt bri tannici che ebbe un'infuonza decsiva sullesito della guerra Tutto id raecontato nel romanzo Enigma di Robert Haris, anchiesso un feuleton, ma stavota ben documentato dal pun to divisia critiografco, Lazione i svolge a Bletchley Park nel Buckinghamshire, dove si trovava i contro critanaitico bri tannico € dove proprio a scopi critanaitci venne costruito tuno dei primi*calcolatori della storia, i Colossus. Ma non & del principio polialfabetico che iprofessionisti del lacrittogrfia si erano avvals fino al arivo delle macchine di cifra come Enigma: con i disci rotani®infati facile com- meliere exrori di sincrnizzazione, che si rivelano disasiosi. E per questo che veniva spesso aggiunta una terza ruota nur 1) wow seconoaa-n.7 2008 Ano xv rmerata destinata a contare i pass: essa tuttavia non si rivel® ‘molto efficace (la ruota compare anche nei dischi diTritemio, ‘ma Eco afferma sbrigativamente che non serviva a nulla) Se lo scopo é lo stesso, ingarnare la statistica, la soluzione proposta @ stavelta quella dei cifrari omafonic. Supponiamo che Valfabeto ciftante abbia una numerosita maggiore di quella dell'alfabeto normale, ad esempio perché @ costituito da simboli di fantasia, oppure da eoppie o da terme di cifre decimali, Pensando al «vecchiow cifratio a sostituzione sem- plice, sotto una singolalettera in chiaro possiamo ora piazza- re vari simboli di cifra senza che per questo creare ambi- guild (bastera evitare di ripetere lo stesso simbolo sotto lettere distinte) In fase di cifrazione sce- slieremo a caso uno dei simboli di cifta dispo- ‘ibili in corsispondenza della leiera in chia- ro, Se ad esempio la A in chiaro ha tre sim- boli che la possono cifrare la stella, la funa e il sole, nel crttogramma talvolta al posto dalla A ci sara la stella, talaltra la una op- pure il sole. La frequenza tipica della A si ri- partsce allora in maniera casuale fra stella, hu- nae sole; in fase di decifrazione legitima® la dif- ferenza fra i tre amofoni della A svanisce. Un cifrario ‘omofonico con 68 simboli di fantasia venne ad esempio usato dagli uffici cifa di Elisa- botta I nella guerra che la oppose a Maria Stuarda. Quest ultima si avwalse invece di semplici ciftari moncalfabetici con mulle (con simboli «di disturbo» che non cifavano nulla e che dovevano solo confondere le idee; uno dei suoi sistem usava ad esempio 28 simboli di fantasia, 24 seri e4 nulle), cifrari che i nemici riuscivano a forzare: Vesito dllla guerra fra le due regine ammonisce tutti a non sottovae lutare quanto importante sia Varma erittografica. sistema di cifrain auge fino all'epoca napoleonica si chia~ mava rtomenclatore: si trattava essenzialmente di un cifrario ‘omofonico arriechito di simboli speciali per le parole molto tusate: che queste avessero ciascuna un simbolo proprio & tun’idea utile per risparmiare tempo, ma & poco raccomanda- bile dal punto di vista critografico. Nel nomenclatoze di Eli- sabetta [ad esempio, oltre agli omofoni cerano altri 23 sim- boli aggiuntivi per espressioni come Re di Francia, Regina di 5. Ema inal smuanoke note dun comune cortachloe asec s mn- ‘ed utoscato quando primate ergo un gto compe, atez simu duno Sea quand ane second haconpleto fn gro eco Va. ema perod: Go (ache|crtciboet si apetoro og centemda chime) nallperedoe deter ‘re dele igi eva a soends cel rumera ince a rac dep 6-E mcvalisio che quel che og! viene ones come I primo cake Sms foe sto cost da Kowa Ze (19101998) nal prim aee dea [lea per nota fotuna trail an veer con dea ptt vue det: Tare mace. 1LBlsopa dsunger ab decteaonelegtia equate dre cs Cie che el seando cao on i canoace a chae, anche anes cance Stems dda Coglmo focaane dreorde {prac d Keres nla toga stakpea quella destnaa 3 dues tempi ng, quo vk taste dn sea di ea dota finger pessmiscameste ce I nemco ab ba gicopte que al setema cia vans c che ana sotrtols chine sec. ela wa tee pogo anche pera ctagata tae, come quia baa sis d boul password studi ‘Navarra, Principe d'Orange, ecc. Un nomenclatore usato nel Settecento dal Vaticano per comunicare con i gesuiti a Macao ‘lunge alfestremo di avere due omofoni ciascuno per Ie let tere in chiaro o ed s contro centinaia di parole di codice per termini del tipo Heresia, Idlatria, ma anche grande, bene, tutto, exe. Evidentemente la concisione in quel caso era giudicata pitt importante delfalta qualita crittografica,e il sistema ha caratere tattico pitt che strategico, I cifrari di Maria Stuarda sono rammentati nel Catice Da Vindi di Dan Brown, che della crittografia fa. un uso abbastanza cinico, seminando ad effet- to termini crttografici senza troppe preoo- ccupazioni di coerenza; per inciso, Maria Stuarda @ ricordata come esempio critto- ‘graficamente esemplare, ma fu lel a finize sul patibolo e non certo Elisabetta I. ‘Come abbiamo gia ricordato, le macchi- ne di cifra,fiorite all'epoca della rivolu- Zione industriale, riportarono in vita la cifratura polialfabetica, meccanizzando- Ia, Il calcolatore elettronico ha reso im= praticabilij sistemi come Engi, ma il polialfabetismo @ tuttaltro che defunto. Al'inizio degli anni Cinquanta Claude Shannon (1916 - 2001), il padre della teo~ ria dellinformazione, dimostrd matema- ticamente che esistono cifrari pert, € tratta proprio di cifrari poliafabetici. Ic Shannon @ una proiezione al limite del cfrario di Vigenére (© di Bellaso): la parola chiave deve essere almeno altret- tanto lunga quanto il testo in chiaro e le sue lettere devono essere estratte del tutto a caso tramite un dado (di 26 facce se questa é la numerosita del'alfabeto usato). Oggi si ado- pera Lalfabeto binario di soli due simboli, lo zero ¢ uno, ¢ il dado pud venir sostituito da una moneta (testa = zero, ‘croce = uno, tanto per fissare le idee). In pratica i due uten- ti legittimi dovrebbero possedere una copia ciascuno dello stesso (interminabile) elenco di bit totalmente casuali da sare in fase di cifrazione /decifrazione, depennando via via {bit usati (che non devono venir siusali, pena la perdita del- la perfezione); la procedura @ tuttaltro che comoda, ma & inevitabile nei cifrari perfetti, che sono tutti almeno altret- tanto farraginosi del sistema descritto lo dimostra un altro teorema di Shannon). Anche se si dice che un cifrario genui- rnamente perfetto proteggesse la hot line fra Mosca © Wa- shington ai tempi della guerra fredda, le gerarchie militari preferiscono rinunciare a un po’ di perfezione © acconten- tarsi di bit pseudocasuali che possono venir generati in ma~ nicra automatica grazie a opportuni algoritmi, Purtroppo ‘i algoritmi usuali sono del tutto insufficient alle esigenze della crittografia: sono stati escogitati nuovi algoritmi mira- ti (la ricerca a proposito’ spesso coperta dal segreto milita- re), ma non é chiaro che cosa rimanga della perfezione pre- vista dal teorema di Shannon. I DES Non # a caso che abbiamo parlato di gerarchie militar, poi- che i cifrari pseudoperfetti non sono adatt alla eritografia conmerciale, quella dilnternet. Anche se il problema della pri- vatezza ¢ dell'autenticita in rete richiede soluzioni totalmen- te innovative basate sui cifari a chiave publica di cui si par- era in questa stessarivista la crittografia tradizionale, a chia- ve segreta,@ ben presente anche in Internet: il sistema pitt nto it DES, 0 Data Encryption ‘Standard, adottato nel 1977. Finora, gira rig ra, Tunico principio crittografico che abbia~ ‘mo menvionato @ stato quello della sostitwe Zione, ma ne esiste un altro: la trasposizine Jules Verne, che della crittografia nei suoi romanzi fa un uso delizioso, usa un sistema fa trasposizione nel Mathias Sandorf. Dei congiurati ungheresi,riunitisi a Trieste, si servono di una griglia quadrata suddivisa in 36 quadratini, parte vuoti e parte pieni. I ‘uot sono casi congegnat che, sesiruota la sgriglia di un angolo retto alla volta, dopo quattro passi tutte le 36 posizioni rimango- no scoperte una e una sola volta, Basta allo- 1a scrivere il messaggio (0 meglio le prime 36 letlere del messaggio) a righe di sei lettere, copritlo con la sriglia, trascrivere le lelere scoperte, rotare la griglia di un angolo retto, trascrivere le nuove lettere scoperte, ¢ depo quattro pass il gioeo @ fatto si pud passare a nuove 36 ette- re di messaggio in chiaro. Come il letore ava capito, la gri- glia @ una semplice macchina di cifra che consente di ana- _grammareil testo in chiaro; in crttografia il termine anagram- ‘ma non si usa, si dice appunto trisposizi Un'altra idea antica ¢ quella di usare pid sistemi di cifra in serie, componendoli, ad esempio sostituire il testo in chiaro, txaspozte il risultato, ¢ poi sostituize il crittogramma traspo- sto per ottenere il crittogramma definitive, Ebbene, i tre prin- ipi antichi della sostituzione, della trasposizione ¢ della composizione sono alla base del DES, un sistema di cifra in uso a tutVoggi. La chiave del DES originale era una stringa di 56 bit, Le chiavi possibili erano dunque 2*, che & un nu mero di 17 cre decimali, reso decisamente troppo piccolo da- agli sviluppi recenti dell informatica. Attualmente usiamo i triplo DES, che consiste nel comporre tre volte il DES tradi- zionale, ogni volta con una chiave diversa. Di fatto, il tripto DES ha un'unica chiave che é una stringa di 3x 56 = 168 bit: le chiavia priori possibili sono in tutto 2", un numeraceio di luna cinquantina di cifre decimali. Abbastanza grande da _mettere in difficolta Finformatica di oggi: ma non facciamoci illusioni, anche il triplo DES 2 destinato a cade. Andrea Sgarro - Universita di Trieste OIA SECONDAR- 16 72008-ANO2x«y (EP—! studi LA RIVOLUZIONE CONCETTUALE DELLA CRITTOGRAFIA A CHIAVE PUBBLICA Francesco Fabris Laverittogratia & una disciplina antichissima, che risale adi rittura agli antichi Egizi e che ha avuto la sua massima espressione in epoca rinascimentale, Tuttavia solo a partire dalla fine degli anni ’40 essa subi, grazie al lavoro di Claude Elwood Shannon (il padre della Teoria dell‘Informazione), quella profonda trasformazione che la porta diventare una dlisciplina scientifica matura; @ infatti del 1949 Varticolo «Communication theory of secrecy systems», nel quale si illustra tun modello matematico del. sistema crittografico che getta le basi per un’a- nalisi quantitativa delle prestazioni della sicurezza offerte dai vari cifras oti all’epoca. Cifratura e decrittazione Ricordiamo brevemente che lo seopo di un sistema erittografico @, in prima analisi, quello di proteggere la riserva- tezza delle informazioni in transito su un canale di comunicazione nei con- fronti di un possibile utente nor auto- rizzalo (0 spia), in agguato sul canale e teso ad acquisire le informazioni riservate in transito su di esso. Tale protezione viene attuata tramite la cfratina del messaggio da trasmet- tere (detto anche messaggio in ciayo), che consiste in una trasformazione dello stesso usando una certa chino di eifia- tra I prodotto della trasformazione 2 il messaggio cifato 0 chiaro dal critto- crifiogramma. Per riottenere il messaggio. gramma & necessario effettuare operazione inversa, cio? la decifrazione, usando la ctiave di decifrazione. Se la trasforma- zione rimane ignota alla spia, l'eventuale rilevamento del crittogramma non consente Ia comprensione del messaggio in chiaro, Nella crittografia tradizionale (o simmetricn), chia- ve di cifratura e chiave di decifrazione sono immediata- mente ricavabili 'una dallaltra. Si osservi che la decifrazio- ne, effettuata dall’utente legittimo, viene solitamente distin- ta dalla decrittazione, che & Yoperazione illegittima di recu pero del messaggio in chiaro senza poter impiegare la chia- ve, Dal punto di vista operativo dacifrazione e dectittazion ne sono strutturalmente diverse, poiché hanno un diverso 1) wow seconoaa-n.7 2008 Ano xv livello di complessita computiziomale. infati evidente che la decifrazione dev’ essere unoperazione facile, mentee la do crittazione dev essere computazionalmente complessa (pos- sibilmente wintrattabile>, anche con i pitt veloc caleolatori). Ti mantenimento della riservatezza non é perd Vunica fun- Zione di un sistema crittografico avanzato. L’utente non au- torizzato pud tentare anche urintrusione di tipo attvo, in personando la sorgente che sta trasmettendo e tentando di far altibuire a questultima dei messoggi falsi, cio? fraudolentemente insert da eli stesso nel sistema di comunicazione, Tale frode viene combattuta nei documenti cartacei com la firma caligrafa in calce al documento, che ha la doppia funzione di impedire V'im- personazicne di un falsario ¢ la xipudiabiita da parte del mittente di un documento rego- larmente trasmesso. Una tale situazione de- ve poter essere estesa anche al contesto dei jemi di comunicazione non pit basati su supporto eartaceo, introducendo una sorta i firma mumerica che autontichi Videntich della sorgente o del documento che si sta trasmetiendo. Laattacco attivo al sistema di comunicazione pub avere pero tuna connotazione pitt subdola, che non coinvolge diretta- monte Videntth della sorgente quanto piuttosto lintegrita dei dat trasmessi dalla sorgente legittima. Si pens al caso di tun regolare ordine di trasferimento di danaro, pes, di 100,00 Euro, eseguito da una banca autorizzata a favore di un certo utente, ¢ alla possibilita che quest‘ultimo tenti una modifica dellordine in transito(p.es. aggiungendo qualche zero pri ‘ma della virgola’); in tal modo si viene a compromettere Ii- tegrith dei dat in transito, In sintesi la ceitogeafia opera per risolvere i seguenti problemi: 1. protezione della riservatezza dell'nformazione 2. Autenticazione dell utente legittima, 3. Non ripudiabilith di un utente che ha effettuato una tra- smissione legittima 4. Verifica delintegrita dei dati. Ricordiamo brevemente anche altri problemi rilevanti in ambito crittografico, legati p. es. al controllo degli accessi a ri- studi sorse di varia natura da parte di utenti con diversi livelli di privilegio (per esempio nei sistemi operativi), ovvero I quisizione di un certo livello di privilegio da parte di pitt tutenti che operino congiuntamente, 0 anche la protezione nei confronti di attacchi di tipo fisico a danno di memorie, processori ece., con lo scopo di acquisire direttamente il so- strato fisico contenente le informazioni. Crittografia a chiave publica e firma numerica In uno scambio di document cartacei la soluzione ai problemi di autenticazione e di non ripudiabilita viene affidata all’ spediente della firma calligrafa, mentre per I'integrita dei dati esistono ovvie teeniche di confinamento degli spazi (0 campi) da usare per serivere i dati sensibil, quali lammontare di una transazion ne, il nome del beneficiario o simi. In en- trambi i casi la sicurezza ottenuta dipende es- sengialmente dallirreversibilith delle modifi- cazioni impresse sul documento con la scrit+ tura o con le eventuali cancellazioni /abrasio~ ‘ni nel caso di un tentativo di alterazione dei di. In tale contesto la critfografia tradiziona- le deve risolyere il solo problema della riser- vatezza del messaggio. Se viceversa si intende impiegare, in luogo del supporto cartaceo, un supporto informa- tivo digitale (p.es. quello delle memorie ba~ sate sulle tecnologie elettroniche, che posso- no essere facilmente alterate senza che venga lasciata traccia alcuna), allora risulta evidente la necessith di usare tecniche ritlografiche sofisticate anche per 'autenticazione e Vinte- grita dei dati, Un ulteriore problema di ordine pratico, elativo alla gestio- ne delle chiavi segrete, emenge quando la crittografia viene usata in un contesto in cui ci sono numeros’ ute pcs. rete Internet). Infati all’umentare del numero 1 di utenti bisogna aumentare in modo quadtratico (n(x ~ 1/2) il nume- ro delle chiavi da assegnare al sistema, e questo perché ci scuna coppia di utenti ha diritto di mantenere riservati i _messaggi non solo rispetto agli utenti esterni alla rete, ma an- che rispetto a quelli intemi. Nel tentative di risolvere questi problemi, nel 1976 W. Diffie e M. Hellman concepirono un nuovo approcci alla sicurezza, tanto semplice quanto ge- niale, che rivoluziond letleralmente Vintera. impostazione dello schema crittografico. Essi immaginarono uno schema in cui la chiave di decifrazione del messaggio potesse essere resa diversa enon direttamente ottenibile da quella di cifra- tura, che potrebbe quindi essere pubblicata associandola al nome del destinatario e usata da tutti in tal modo si elimina alla radice il problema della gestione delle chiavi, Il loro la- voro fa pubblicato col titolo «New directions in Cryptography» e-divents la pietra miliare della cxitlografia moderna. Nac- IM, Helin, ag er essere rion a hice publi (1978) que cosi la crttografiaa chiave pubblica (0a chiave asimmetri- ca), che ei accompagna ancor oggi nelle nostre transazioni su Internet, Per comprendere Voriginalita delimpostazione immaginiamo che, in uno schema classico a chiave simme- trica, utente X vogliaspedire allutente Y un messagio m, con C, chiave di cfratura e D,, =C,’ chiave inversa di desi- frazione, immediatamente ricavabile da C,; se per esempio siamo un cifrario a sostituzione, la tabella di sostituzione tza le lettore dol’alfaboto pud essere letta facilmente in en- trambi i sensi. A prescindere dal tipo di cifrario usato (tra- sposizione, sostituzione o composizione dei due) la sicurez~ za del sistema sibasa sul fatto che X e Y hanno concordato la chiave Cy, € questa @ tenuta rigorosamente segreta all’estemo, Cid comporta fra V'altro il problema di trasferire la chiave a distanza (e per questoperazione servirebbe un sistema ifrato..), oppure di far sincontrare» Xe Y prima che i due si scambino le informazioni riservate, in modo che essi possano concor dare una chiave utile per i messaggi da in- viare in tempo futuro, Hcrittogramma c= C,(m) trasmesso da Xa Y sara dunque interpretabile solo dall'utente Y, unico in grado di applicare allo stesso la chiave di decifrazione D,, che consentiea di rottenere il messaggio in chiaro tramite la seguente catena di trasformazioni: D.C, (m)=C,C,, (a Sicssorvi che la condivisione di una chiave segretavisolve in pratica anche il problema degli attacchi di impersonazione, poiché Facquisizione di un cxittogramma decifrabile Foenisce ‘una prova indiretta dell'autentcit della sorgente, la sola che possa aver prodotto un crittogramma che porta a una deci- frazione significativa. Lesigenza di mantenere sogrete en- trambe le chiavi deriva dalla cicostanza che D,, =C.! sit: cava immediatamente da C.,€ cid comporta il problema dek 1a loro gestione e assegnazione in una rete con pit utenti Al contrario nella crittografia a chiave asimmetrica ci si basa sull'ipotesi che a chiawe di decifrazione non sia ricaenbile da quella di cifratura, Volendo stabilize un‘analogia con le chiavi ¢ le serrature del mondo scale, il sistema simmetrico @ equi- valente all'uso di una serratura semplice (per esempio quel- Ia din baule che contiene il messaggio) che pud essere aper- ta da due copie della stessa chiave, una assegnata al mitten- tee una al ricevente, mente il sistema asimmetrico si avva~ Je din lucchetto, che pud essere chiuso (cifratura) da chiun- que, ma aperto (decifrazione) solo da chi possiede la chiave. La riduzione a livello matematico di una furzionalith asim- metrica come quella assicurata da un lucchetto cortisponde una funzione di cifratura C, dalla quale non sia facilmente OI SECONDAR-1672008-ANo2xKy >! studi caleolabile la funzione inversa di decifrazione ¢,'. Chiame- remo unidirezionale una funzione con queste caratteristiche. Questo nuovo punto di vista offre il vantaggio di poter pub: blicare la chiave di cifratura C, di un certo utente Y , poiché lasua conoscenza non consente di ticavare la chiave inversa di decifrazione D, = C;', che rimane segreta e nota solo a Y. Se dunque X vuole spedire un messaggio m a Y, egli deve consultare Yelenco pubblico delle chiavi di cifratura, curato pes. dal gestore della ret ,loggere la C, e applicare la tra sformazione C(m), che costituisce il crittogramma da invia~ re sul canale di trasmissione: X: e=€,(m) 54 ¥: D,(e)=D,C,(m)=C,C, (m) =m Inricezione utente legittimo ¥ , che conosce (ed @il solo) la chiave inversa D, la applicaal crit togramma ricevuto riottenendo il messaggio. La sicurezza di tutto il procedimento si basa sull'ipotesi che il problema di ricavare la chia- ve inversa da quella diretta sia computazionalmente intrattabite Lapproccio asimmetrico offe il destro per risolvere anche il pro- blema dell’autenticazione del mit- tente, poiché in un contesto a ehia- ve publica chiungue pud usare la C, per trasmettore un messaggio segreto a Y, impersonando X. Per ottenere Yautenticazione del mit- tente, lo stesso deve dimostrare al ricevente di essere l'unico in grado di effettuare una certa cperazione, per esempio ge nerare un crittogramma la cui decifrazione porti a un breve _messaggio col nome proprio del mittente, Sempre impiegan- do C.e D,, X applica D, al proprio nome X, ottenendo la fir ma numeriea f= D,(2}, che viene inviata sul canale. Dal- Valtra parte Y applichera la chiave publica C. a quanto ti cevuto, ottenendo Vautenticazione di X: Xf, =D,(X) > ¥: C(L)=C.D,(X) =X Dunque chiunque pud controllare 'identita di Xe solo Xin grado di generare la propria firma _f,. Poiché tale firma po- trebbe pero essere reimpicgata da un falsificatore in un mo- mento successivo, bisogna associare all’identita di X alcune informazioni di carattere temporale © contestuale, che pos sano far emergere I'eventuale truffa (per esempio data, ora e luogo), Dovendo infine coniugare segretezza ¢ autenticazione biso- gna concatenare le due procedure viste prima secondo lo schema seguente: X applica am la propria chiave privata D., ottenendo la firma «ontestuales _f, = D, (m,X,d); a questo LG) now stconoaMa-ti 7 2¢08 ARNO XA” ‘messaggio firmato applica la chiave publica C, di Y, otte- , (f.), che viene spedito sul ca- nendo il crittogramma € nale, L'unico utente in grado di decifrare ¢2 Y , che possiede la chiave di decifrazione D, mediante la quale estrae il mes- saggio firmato di X, che pud essere autenticato applicando la funzione di cifratura pubblica C, che Y legge dal’elenco uf ficiale degli utenti della rete. Ecco la procedura completa: (mded) He €=6,(f,)=€.0. (mad) © EE Dl) 0,60, (mad) J, A CL) =CD, (mtd em Mod Le funzioni unidirezionali Rimane ora aperto il problema di individuare quelle funzio- ‘ni matematiche speciali, di tipo unidirezionale, che possano essere impiegate bito critlografico per rendere la chia~ ve di decifrazione non deducibile quella di cifratura. Diremo che la on profitto in an funzione f:X ¥ & wnidirezionale (one-way function) se per ogni ele- mento x di X @ computazionalmente facile calcolare f(x), ma per qua- si tutti gli elementi y di f(X) il pro- blemadi ricavarex taleche f(x)=y2 computazionalmente «intrattabile», cio’ richiede un tempo di calcolo esponenziale, in grado di debordare asintoticamente le capacita di caleolo di qualunque elaboratore. Una fun- Zione unidirezionale @ dungue pesantemente asimmetrica nella sua computazione, poiché si effettua facilmente il cal- colo direto di f(x), mentre rimane prosbitivo il caleolo in verso f(y} Nel seguito faremodue esempi molto significativi di funzio- ‘ni unidirezionali,relativi al problema del logaritio disreto © a quello della fattorizazione in primi! primo risale al celebre articolo di Diffie e Hellman procedentemente ctato, e su di sso si basano altri protocol crittografic; nel nostro caso lo tuseremo come teen ‘a crittografica a chiave publica per concordare una chiave segreta da usarsiin un sistema a chia ve simmetrica. Il secondo esempio, quello della fattorizza- Zione in primi, @ il pit importante dal punto di vista delle applicazioni, poiché su di esso si basa il cifrario RSA, ampia- mente usato in Internet I logaritmo discreto e la condivisione delle chiavi Nel logaritmo disereto la funzione unidirezionale & Veleva- mento a potenza degli interi in un insieme finito in cui le studi ‘operazioni vanno fatte modulo un certo numero primo p (fanzione diretta), La corrispondente funzione inversa, com putazionalmente intrattabik, & data dal calolo del logert- ‘mo. Ad oggi non sono noti algoritmi asintoticamente effi- cienti per questo problema e dunque, quando la dimensione cel gruppo di inter tendea diventare molto grande, anche i rigliotialgoritmi disponibilifanno esplodere il numero di passi neces perleistanze pi dificil. Faociamo pes. rfe- mento agi intei (0,1, 2,3, 4,5,6,7, 8,98, 10} e chiamiamo 7, tale insieme (@ un campo finite). Eseguiamo ora le somme cele moltiplicazion’riducendo irsultati modulo 11 (prendia- mo cid il esto della divisione del numero ottenuto per M1); seguendo questa regola Bed =12 = (mod 11),747 = 14 =3(mod M1) cost via InZ,,siste un elemento a, p.es il numero 7, dalle cu poten ze oftengono (mod 11) tutti gli element non null dellin- sieme: 73 1, 757,78 5,752,753, 75 10,7547" 6,7 = 9,7" = 8, 79 = 1, Si dice che 7 & un elemento prini- tivo del campo, Nella tabla I @ riportato it valore de loga- ritmo in base 7 di h Gi element non mul del campo cos tuiscono un gruppo moliplcatioo Z; di ordine 11-111 proble- ina del ogaritmo dscreto si formula alloranel modo seguente: Assegnatip primo, a elemento primitiva di Z,¢ be Z;3i tr vilfunicointero x,0 x p~2tale che a'mb mod p- Useremo per il logaritmo finito x 1a notazione log, b bp ]i2sase7soW =logh|0 346271985 "ae aT Il problema del logaritmo finito pud essere usato per realiz~ zare un protocallo di condivisione di tuna chiave (protocllo di Diffie-Hellman) da immpiegarsi per un cifrario a chiave segre- ta, Anche in questo caso si sceglie a priori un numero primo devato,7,¢.un elemento primitive di Z;.Tpassi sono i se- guent 1. Liutente X sceglie un esponente e pubblica a” mod. 2. Liutente ¥ sceglie un esponente ye publica a” mod p. 3. I due utenti possono ora condividere la chiave segreta mod ps che pud eserecaleolatada Ycome (4°)! med p eda X come (a?) modp. E ovvio che la sicurezza del sistema si basa sullimpossibilta pratica di calcolare il logaritmo, $inoti per alto che in questo caso manca la possbilitd di autenticare V'interlocutore, poi- civ il frodatore potrebbe impersonare uno dei due utenti con pieno success. Il problema si pud ovviare coinvolgendo ‘un’ Autorita Garmte che assever la pubblicazione delle chiavi La scomposizione in primi e il cifrario RSA Laaltro importante problema che analizzeremo @ quello della ‘scomposizione di un numero nei suo fattori primi esso pud essere enunciato nel modo seguente: Assegnato un numero intero n, trovare la sua scomposizione in fattori primi neon o con p fattri primi e 21 La scompesizione ia prim! siouramente la pit mpertante tra le funziontunidireionali dintrese per la eitogratia asimmetica, Su di eso si basa il cifrario RSA (acronimo dt Rivest Shamir ¢ Adleman, gl inventor! da cftaric) che r= saleal 1978, ma ches usa futtora per le ransazion sa Inter- nel-e un protocol di firma numerica che impiegalastrut- tora da sistema RSA. In questo casol'undirezicnalit della funzione deriva dalo- simmetia trail problema di costruise n= py a patie dap © 4 primi (molto grand operazione computazionalmentefo- ciel problema di scompore nei suet fatto p €9, peril quale non esistono algoritm efficient, almeno quando ft- tor in gioco sono molto grand. Senza entrare nei detagl tenis del ciraio< limitiamo a dare lo schema generale dela cifaturae della decifazione 1. generano, con teeniche opportune, duc primi clevat pe 4 produceado n= py 2Sicaleola f)=(e-vie-9, dove (1) 2 ta fanzine di Euteo, che esprime il numero di inte minor di me primi con esso. 3.Si scelie x coprimo con ®(n) © s¢ ne calcoa il reciproco ‘od © (nf esistenza unica sono garantite dal fatto che s0- nocoprimisy 1 mod((n)) (%(n))= 4.1 eycostituiscono la chiave pubblica; ©(n),p, q.x sono la chiave privata. 5.Se mc Z, @il messaggio,cifatura e decifrazione si ese goo nel modo seguente Cifratura =m mod Decifrazione «! modn mod ‘Come riflessione conclusiva possiame sottolineare il fatto che a sicurezza di un sistema crttografico basato sulla chia- vve publica non pud avere un carattere assoluto, ¢ questo per almeno due motivi. Innanzituto nessuno pud escludere che {in un futuro pit: o meno prossimo qualeuno riesca a trovare alk sgoritmi efficient per risolvere le istanze diffi di un proble- ‘ma quale'llogaritmo fini, la scomposizione in primi o altro. Manche ammettendo che tal algoritmi non si trovino, resta "Vinsiia di tna forzatura che sfruts qualche debolezza occul ta del cifaro, come in effetti & gia successo in qualche caso (pes. i famoso knapsack cipher, associato al problema delle somme parziali), anche sel passare degli anni rede sempre ‘meno probubile una tale evenienza. Tuttava il vero punto de bole del sistem informatie! hasati su protocol ritlogeafict nn sta tanto nell apparatoexttografco, quanto piuttosto nel- le-smagliature del sistema nel suo complesso intaso come cal- lator, col suo sistema operativo, ce opera sa una rete. & proprio nelle pieghe del/interazione tra questi element che la OA SECONDARA-K.72008-atwonay G—J studi spia trova spesso accesso al sistema, per compicre atti illegal di varia natura, che possono intaccare la segretezza, Yautent- cazione ela non-ripudiabiita dei messaggi, ma anche alts ele rmenti sensbili del sistema, quali § suo files o la gestion dei process intern Tutti questi problemi di sicurezaaiaformatica vverranno affrontati in un articolo successive. Francesco Fabris Universita di Trieste BIBLIOGRAFIA 2 [LIE Fabris, Tori del! Informazione, otic, efari, Bol lati Boringhieri, Torino 2001 [2] P, Ferragina, F. Luccio, Crittografia. Princip, algo- itm, applicazioni, Bollati Boringhien, Torino 2001 [3] A. Sgarro, Crittografia-fecniche di protein dei da {i risereuti, Muzzio, Padova 1983. IL RUOLO DELLA CRITTOGRAFIA NELLA SICUREZZA INFORMATICA Alberto Bartoli Internet ed il Web sono sempre pit uilizzati per offettuare ope- razioni con valenza legale, economica 0 finanziaria, quali ad esempio 'apposizione di una sfiema digitale» ad un documen- to eletronico, Facquisto di bigot aerei, Tinterazione con un conto corrente bancario. La cxttograia ha conteibuito in modo —J studi Crittografia e sicurezza [La vulnerabiita appena discussa permette di comprendere pill facilmente la relazione ta cittografia e sicurezza infor iatica. E del tutlo evidente,infatti, che avere fortissime ga- ranzic in termini di riservatezza, integrit, autenticazione— agrazic alla crittografia—t praticamente inutile se un attaccan- te remoto pud assumere il controllo completo del calcolatore, Da un altro punto di vista la erittografia contrbuisce a ri solvere alcunt problemi di sicurezza, Non tut, La crttogra- fia rende cio? alcune tipologie di attacco estremamente com- plicate o addirttura senza sperana di successo. E perd del tutto inutile por altretipologic. Quali componenti software possono essere vulnerabili? Le vulnerabilita possono essere presenti praticamente in ogni componente software: () sistema operativo, (if) programm per gli amministratori di sistema, (i) programmi applicativi. [Non esiste nessuna tipologia di sistema operativo, program- ‘ma di sistema, programma applicativo che possa considerar- si immune a priori da questo tipo di problemi potenziali. Le vulnerabilita Sono infatti causate da errori software e posso- no essere sfruttate da input creati appositamente per trarre vantaggio da tali errori. Non esiste software che possa consi- derarsi immune a priori dagli errori. Non esiste software che possa essere utilizzabile senza avere alcuna forma di input. Per quanto riguarda i programmi applicativi, si stportano di seguito due esempi con I'unico scopo di rendere manife- sta Vestensione del problema: + RealPlayer ¢ un programma per la lettura di file au- dioe video. E molto diffuso ed & indispensabile per la visua- lizzazione di alcuni formats audio ¢ video molto diftist sul web. Ha un errore nella gestione dei nomi delle «playlist» che pud permettere ad un attaccante remote di eseguire co- dice arbitrasio sulla macchina che esegue RealPlayer (http: //wwwkb.certong /vuls /id/871673, Ottobre 2007). + Kodak Image Viewer & un programma molto diffs so per la visualizzazione di immagini e foto. Fil visualizza- tore di default in Microsoft Windows 2000. Un attaccante uo costruire immagini che gli permettono di acquisire il controllo completo del sistema su cui sono visualizzate ad esempio a seguito delVapertura di un attachment e-mail (http://www kb.certong/vuls /d/180345, Ottobre 2007). Inaltre parole, il mero uilizz0 di informazioni multimedia- 1i (aualio, foto, video) pud essere sufficiente a permettere ad tun attaccante di acquisive il controllo completo de! sistema. ‘Ogni alia ipologia di software, senza alcuna eseezione, puo presentare vulnerabilita analoghe, {__G) wow seconoaa-n.7 2008 Ao xv Dimensione del problema Lampiczza del problema delle vulnerabilita pud essere ap- prezzata su vari siti web, ac esempio il National Vulnerabi lity Database del National Institute of Standards and Tech- nologies degli Stati Uniti (itt /imt nist goo). T10 Novembre 2007 erano state catalogate quasi 28000 vulne- rabilith per pit di 12800 prodotti, con una media di 15 nuove vulnerabilita pubblicate ogni gioeno. La sezione «statistics» permette i efettuare analis statistiche sul database delle vul- nerabilit. Le vulnerabilita potenzialmente pit pericolose, talogate come «High severity», sono pits ai 10000 (diecimila) Sono proprio inevitabili? 1a prima reazione di ch inizia a rilettre sul fenomeno delle vulnerabilithd sllto® simile a questa: wk, basta che ‘feet gpotet dl efcar bachen wae pi esta fenomere cod percepito come ura soradl incident tex porance che diventera presto irilevante grazie al progred Fe della temologi, Purtoppo Vesperienza ha ampiamente dimostato che questo otimismo non &affatto gistfcato, 1 primo problema di slourezza au larga scala al velcd nel 1998. criddetto Internet Worm bloc in pochssime ore tua fazione molto clevata del server di posta cletworica in Internet sfutlando una peticolare iplogia dl ecrve chix mata hfe overflow preente in numeri server email dale ios Cossolass cart ssa dl guile alas angus Gualsiasi operaaione gl sia sotoposta da un attaccanie re toto, per motiv al qual in questa sede non & neanche pos fib seornaee. Pratlcameste ogni ayilappaloe software un cera lvelo conosce i problema delbuHer overflow: Ogn grande azien da produttce di software dedca sore molt ingent alla prevenzione di questa ben nota tipologla di ermri la cul feopera provoce notevell darn Bransir!¢ dl immagine Nonottarte tutte questo, nel corso del quad! vend anni tre seors!dallTatenet Worn git emori buffer overflow sono Stl paiement colin‘ opal nsato elite we luppate. Probabilmente non & possibile indviduare nena chun mese in cul non sia acoperio un uv errore bu fer overfiow. Praticamente ognuno del software pa difus che sono stat sviluppati da allora & sat afetto da almeno tunerrore buifer overflow Ironicamente, uno del vtus ches sono propaga nel 2007 abuso proprio a causa dl unex socal veto predentin del dt ll-vin pisdifus Vulnerabilita: sconfitta della crittografia? La vulnerabilith di aleune implementazioni di TLS/SSL ap- pare introdurze una contraddizione: cid implica che la critto- sgrafia enon Funziona»? Implica ciog che esistono degli errori studi nei procedimenti matematic alla base delle tecniche critto- sgafiche uilizzate in TLS/SSL? Larisposta a questa domanda ovviamente ® negativa, mai ‘motivi sono sottili ed hanno implicazioni profonde. La crittografia garantisce alcune proprieta che si basano st numeri memorizzat alliterno di un calcolatorele chiavi di