Sei sulla pagina 1di 10

Shannon e la nascita della crittografia contemporanea

Angelo Luvison - Federmanager Torino

Larticolo sui sistemi segreti di Claude Shannon ha trasformato la crittografia da pratica artigianale a scienza rigorosa. Poich le minacce alla sicurezza nel cyberspazio diventano sempre pi sofisticate, la crittografia dovr continuare a svolgere un ruolo di protezione indispensabile nella sicurezza informatica
attenzione alla cybersicurezza, o sicurezza nel cyberspazio, oggi rivolta soprattutto alla difesa dei tradizionali sistemi informatici: Personal Computer (PC), server, banche dati, software. Ma, per il continuo sviluppo delle nuove tecnologie - quali, per esempio, lembedded computing, lInternet of Things (IoT), realizzata con sensori e attuatori diffusi ovunque, e il Cloud Computing - occorre che la cybersicurezza sia costantemente perseguita e ampliata. Data la dipendenza della societ da Internet e dalle comunicazioni, il cybercrimine un problema globale di valenza crescente. Diversi studi e analisi valutano il suo costo annuale in circa mille miliardi di dollari: questo dato tiene conto del tempo perduto, delle occasioni mancate negli affari, dei costi per risolvere i problemi tecnici, del danno dimmagine. In diversi settori delleconomia, si considera molto grave il problema della cybersicurezza e i continui cyberattacchi rafforzano per le imprese pi accorte la necessit tanto di maggiori risorse dedicate alla ricerca quanto della formazione di figure professionali adeguate. Quando si viene a considerare la sicurezza dei da-

ti e dellinformazione, nel cloud o nei server di rete, la crittografia gioca un ruolo fondamentale: ogni volta che si usa una carta di credito, si accede a un conto bancario on line o si invia unemail, gli algoritmi di crittografia lavorano dietro la scena. Poich i computer diventano sempre pi potenti, la velocit di comunicazione aumenta e la memoria dei dati cresce, i metodi attuali per proteggere linformazione vengono minacciati o posti sotto attacco da malintenzionati. Per esempio, la capacit dei futuri sistemi di crittografia dovr superare quella del pur valido Advanced Encryption Standard (AES) adottato dal governo USA nel 2001 per proteggere informazioni classificate. I crittografi hanno, infatti, tre problemi principali da affrontare: il costo, la velocit e la sicurezza di lungo periodo. Per essere lessicalmente corretti, bisognerebbe parlare di crittologia, scienza che comprende due branche: la crittografia e la crittanalisi. La prima propone nuovi metodi e algoritmi per proteggere i dati e linformazione, oppure per garantire lautenticit di un messaggio o la sua integrit; mentre la crittanalisi escogita metodi per forzare, illecitamente o a scopo di prova, uno schema cifrato. Anche se in modo un po schematico, possiamo considerare lo statunitense Claude Shannon e il britannico Alan Turing i padri fondatori, rispettivamente, della crittografia e della crittanalisi contemporanee [1-5]. Vero che nel 1943, Shannon e Turing ebbero modo di incontrarsi sistematicamente alla mensa dei Bell Telephone Laboratories dellAT&T (American Telephone and Telegraph Corporation), ma - fatto ironico - non erano autorizzati a scambiarsi informazioni sui rispettivi lavori di intelligence, allora ritenuti segreti e di sicurezza nazionale [5]. Divenne successivamente chiaro che questi protagonisti, sulle due diverse sponde dellAtlantico, avevano fatto pi di chiunque altro per trasformare la crittologia da arte a scienza; ma il progettista e il solutore di sistemi cifranti non poterono discuterne. Con menti molto simili, i due scienziati si confrontavano piuttosto su idee quali la nozione di computabilit

6 AEIT numero 6

Sicurezza informatica

Figura 1

Frontespizio della terza e ultima edizione (1947) del Manuale di crittografia di Luigi Sacco [6]

e levenienza di macchine pensanti. Come suggerisce la radice greca, la crittografia studia la segretezza dellinformazione, pur occupandosi egualmente dellautenticit. I due obiettivi speculari, segretezza e autenticit, non sono spesso facili da distinguere. In realt, solo recentemente i crittografi hanno apprezzato pienamente la distinzione di obiettivo, caratterizzabile in questo modo: una tecnica fornisce segretezza se determina chi pu ricevere il messaggio; fornisce autenticit se determina chi ha inviato il messaggio. Un gustoso episodio di connotazione etico-sociale riguarda il Cypher Bureau statunitense, pi noto come Black Chamber, che negli anni Venti del Novecento fu lente di Signals Intelligence (SIGINT), precursore dellattuale National Security Agency. Fondato subito dopo la prima guerra mondiale dal crittanalista Herbert Yardley, questo organismo venne chiuso nel 1929 da Henry Stimson, segretario di Stato sotto il presidente Edgar Hoover. Laneddoto riporta che Stimson si fosse infuriato per la vanteria di Hardley di poter decrittare tutti i cablogrammi diplomatici, compresi quelli del Vaticano. Successivamente, nelle me-

morie egli riassunse il suo punto di vista sulla crittografia con la frase I gentiluomini non leggono la posta luno dellaltro [7]. Questo modo garbato, quasi cavalleresco, corrispondeva ad accettare di buon grado la crittografia tanto nel settore governativo quanto in quello privato, mentre la prassi della crittanalisi era molto meno apprezzata. Il mondo di oggi, pi scaltrito, guarda alla crittanalisi come a unattivit politicamente corretta e prudenziale in ambito governativo, ma vicina allo spionaggio industriale nel privato. In questo secondo caso, la crittanalisi pu, tuttavia, svolgere un ruolo etico oltre che efficace: un crittanalista amico certamente di ausilio per identificare impreviste debolezze di un sistema cifrante, che pu essere ritirato dal servizio o adeguatamente reingegnerizzato. giusto ricordare anche lapporto italiano a questa importate disciplina. Infatti, la scienza dei codici e dei linguaggi segreti ha avuto fin dal passato eminenti cultori italiani, fra cui Leon Battista Alberti, Girolamo Cardano e Giovanni Battista della Porta. Ma anche pi di recente il nostro Paese ha fornito contributi validi e significativi. Basti pensa-

7 giugno 2013

re al Manuale di crittografia (Figura 1) del generale Luigi Sacco [6], pubblicato in tre edizioni (lultima del 1947) e considerato da David Kahn nellopus magnum [8]1 il migliore testo pubblicato cio non classificato - di crittografia classica (fino alla met del Novecento). Il successo del Manuale fu notevole tant che nel 1951 ne fu pubblicata la traduzione in francese (Manuel de cryptographie), seguita dalla traduzione in inglese con il titolo Manual of Cryptography. Il focus di questo lavoro principalmente sul contributo di Shannon alla crittografia con la pubblicazione, nel 1949, di un solo ma fondamentale articolo [2]. Nel seguito, si ripercorrono alcuni momenti di primaria importanza prima e dopo tale data, nonch gli eventi che hanno permesso levoluzione della crittografia da arte, sia pure altamente creativa, a scienza rigorosa, bench altrettanto creativa [4]. Per approfondimenti tecnicoscientifici su molti degli aspetti trattati si rinvia alle eccellenti pubblicazioni disponibili, fra le quali si consigliano [3, 11-12]. Prima delle conclusioni si riferir di due importanti e recenti contributi da parte di ricercatori italiani. Il lessico della disciplina, non sempre uniforme nei lavori tanto scritti direttamente quanto tradotti in italiano (anche su Wikipedia), appare spesso ambiguo, o incoerente. Perci, per assicurare una terminologia con la precisione e la coerenza necessarie, si seguir, con qualche modesto adattamento, quella impiegata da [13]2, uno dei migliori testi universitari in italiano su teoria dellinformazione, codici e cifrari.

trebbe sembrare, infatti, che il principio di Kerckhoffs sia controintuitivo, e che un progetto, di cui siano mantenute nascoste le specifiche, porti a un sistema intrinsecamente pi sicuro: questa lidea della sicurezza mediante oscurit. Kerckhoffs non sarebbe stato contrario alloscurit di per s, ma avrebbe ammonito il crittografo a non farvi troppo affidamento. Lesperienza e la storia militare hanno ripetutamente dimostrato che sistemi di questo tipo risultano troppo spesso deboli e che possono essere facilmente forzati non appena il progetto segreto sia stato abilmente retroingegnerizzato, oppure carpito con altri mezzi pi o meno leciti3. Un esempio: il Content Scrambling System (CSS) per la protezione del contenuto dei DVD stato facilmente forzato dopo essere stato opportunamente retroingegnerizzato. Ecco perch uno schema crittografico deve rimanere sicuro anche nel caso in cui la sua completa descrizione sia disponibile a un opponente e perch risulta rischioso affidarsi alla speranza di salvaguardare il progetto della propria cifratura da intrusioni non autorizzate. Il principio di Kerckhoffs sar poi riformulato (o, forse, formulato indipendentemente) da Shannon secondo lenunciato: Il nemico conosce il sistema, ossia, Un sistema (di sicurezza) dovrebbe essere progettato assumendo che lopponente sia in grado di acquisire rapidamente completa familiarit con esso. La massima di Shannon largamente condivisa dai crittografi doggi. Il cifrario a blocco monouso (one-time pad) di Vernam Nel 1926, Gilbert Vernam - ingegnere allAT&T pubblic [15] un rimarchevole cifrario da usare con il codice Baudot. Lidea innovativa proposta da Vernam era di utilizzare la chiave una e una sola volta, cio di cifrare ciascun bit del testo con un bit della chiave scelto in modo completamente casuale. Vernam riteneva - con ragione, pur senza dimostrarlo rigorosamente4 - che il cifrario fosse resistente, cio inviolabile (unbreakable), ed era pure consapevole che non sarebbe stato cos se i bit della chiave fossero stati successivamente riutilizzati. Vernam nello stesso articolo [15] rifer di prove in campo, condotte dallU.S. Army Signal Corps, che avrebbero provato linviolabilit del cifrario, un obiettivo, peraltro, che nessuna sperimentazione, per quanto estesa, potrebbe conseguire con certezza assoluta. Il motivo per definire prescientifica la crittologia del periodo fino al 1949 che fino ad allora si procedeva per intuizioni e convinzioni non suffragate da dimostrazioni valide. Non fu che allo scoppio della seconda guerra mondiale che la comunit crittologica britannica comprese appieno il con-

Prima di Shannon: due pietre miliari


In questa sezione, si descrivono due importanti eventi - di significato tanto tecnico quanto storico che hanno caratterizzato per le tecniche crittografiche il passaggio dalla fase classica allera pi propriamente contemporanea: il principio di Kerckhoffs [14] e il cifrario di Vernam [15]. Il principio di Kerckhoffs Lolandese Auguste Kerckhoffs in un articolo in due parti del 1883, La cryptographie militaire [14], sanc una legge generale per i messaggi cifrati: La sicurezza di un crittosistema dipende solo dalla capacit di tenerne celata la chiave. In base a questo principio, si d per scontato che il nemico sia a conoscenza delle specifiche del cifrario o, per dirla in altri termini, che sia a conoscenza dellalgoritmo di cifratura. Tuttavia, in molte applicazioni crittografiche, tradizionalmente nelle militari e diplomatiche, il crittografo tende (o, piuttosto, tendeva) a difendere strenuamente la segretezza di tale algoritmo. Po-

8 AEIT numero 6

Sicurezza informatica

tributo che matematici e ingegneri - fra i quali Turing - avrebbero potuto fornire in materia. Anche se larticolo del 1926, gi nel 1918 Vernam aveva costruito una macchina elettromeccanica - brevettata lanno successivo - che automaticamente cifrava le comunicazioni effettuate con una telescrivente. Il testo in chiaro alimentava il dispositivo con un nastro di carta, mentre un secondo nastro in input forniva la chiave. Per la prima volta cifratura e trasmissione venivano automatizzate nello stesso apparato. Il sistema crittografico di Vernam, oggi meglio

conosciuto con il nome di one-time pad o blocco monouso, dalla modalit di utilizzazione dallo spionaggio internazionale prima, durante e dopo la seconda guerra mondiale. Gli agenti segreti erano dotati di un blocco di carta contenente la chiave segreta, scelta casualmente, e da utilizzare una e una sola volta, cio monouso. Conseguenza molto importante dello schema monouso - ed la ragione per cui la sua ideazione costituisce tuttora una pietra miliare in crittografia - che questo lunico tipo di crittosistema incondizionatamente sicuro. Ci sar, tuttavia, provato quasi trentanni dopo da un altro ricercatore dellAT&T: Claude Shannon.

1 The Codebreakers [8] lopera indispensabile per chiunque desideri penetrare i misteri della crittologia in una prospettiva storica. Per unintegrazione, dal punto di vista britannico, si rinvia al volume [9], peraltro non esente da pecche e imprecisioni. Una pregevole sintesi tecnico-storica si trova in [10], un saggio insolitamente penetrante per una voce enciclopedica on line. 2 Per esempio, loperazione di decifrazione da parte del legittimo destinatario considerata in [13] concettualmente diversa dalla decrittazione, che lazione ostile di un opponente per recuperare il testo in chiaro senza avvalersi della conoscenza della chiave. Quindi, la complessit computazionale della decrittazione deve risultare significativamente maggiore di quella del processo di decifrazione. 3 By hook or by crook licastica frase idiomatica in inglese. 4 Anche se Vernam aveva ragione, la storia della crittografia costellata di inventori di cifrari che erroneamente credono e dichiarano che i loro cifrari siano indistruttibili (unbreakable).

Terza pietra miliare: larticolo di Shannon


Esiste una ormai sterminata aneddotica sullabitudine di Shannon di lavorare (o giocare) allo stesso tempo su problemi di tipo diverso (Figura 2). Oltre a scrivere articoli fondamentali di teoria dellinformazione, Shannon ha dato inizio allera della progettazione dei circuiti logici, ha studiato la composizione ottimale di portafogli azionari (vedere, per esempio, [16]), ha coltivato un interesse costante nelle macchine che giocano a scacchi, mostrando un interesse per gli argomenti pi eterogenei, ai Bell Laboratories, al MIT, nel garage di casa propria.

Figura 2

Shannon gioca con il suo topo elettromeccanico

9 giugno 2013

In particolare, la pubblicazione nellottobre 1949 del suo fondamentale articolo Communication theory of secrecy systems [2] ha definito i principi teorici delle comunicazioni segrete, inaugurando lera della crittografia scientifica a chiave segreta5. Come anticipato, la versione di Shannon del principio di Kerckhoffs nella forma il nemico conosce il sistema. In altri termini, Shannon ipotizza implicitamente che ogni aspetto progettuale del processo di cifratura sia noto al crittanalista opponente, tranne ovviamente i valori correnti, per esempio del testo in chiaro e della chiave segreta del messaggio istanziato. In particolare, lalgoritmo di cifratura stesso non segreto. In una nota a pi di pagina, lautore avverte che il contenuto dellarticolo [2] era gi apparso nel 1945 come un memorandum confidenziale dei Bell Laboratories, poi reso pubblico (declassified). Larticolo incomincia con la proposizione: I problemi della crittografia e dei sistemi segreti forniscono uninteressante applicazione della teoria delle comunicazioni; le comunicazioni segrete, indubbiamente, ne costituiscono lintento principale. Anche il titolo di per s molto significativo. Gli obiettivi delle tecniche crittografiche sono due: la segretezza e lautenticazione. Shannon chiarisce che sta considerando solo la segretezza e precisa che vi sono due tipi di sistemi per la segretezza: quelli progettati in difesa da un attaccante ostile in possesso di risorse computazionali illimitate e quelli progettati per proteggersi da un attaccante con capacit computazionale finita. Shannon definisce la prima segretezza teorica e la seconda segretezza pratica - questi termini sono stati sostituiti nelluso attuale da sicurezza incondizionata (o, talvolta, sicurezza teorica dellinformazione) e sicurezza computazionale; il senso, peraltro, non cambia. Sicurezza teorica o pratica La discussione di Shannon sulla segretezza teorica concettualmente molto ricca. Shannon fornisce per la prima volta la definizione di unbreakabiltity (inviolabilit, o inderogabilit) di un cifrario, dimostrando che lo schema di Vernam, o cifrario a blocco monouso, garantisce la segretezza perfetta - termine usato per denotare linviolabilit. Pi precisamente, Shannon dimostra che la segretezza perfetta richiede una chiave segreta la cui lunghezza in cifre binarie sia almeno pari al numero di bit di informazione del messaggio cifrato. Diventa con ci chiaro che la sicurezza pratica quanto di meglio si possa sperare in situazioni reali dove la chiave segreta relativamente breve. Bench i vari circoli di esperti ritenessero da tempo che questo schema di cifratura fosse inviolabi-

le, fu probabilmente Shannon a pubblicare per primo una conferma teoricamente convincente della congettura ipotizzata. La dimostrazione molto semplice perch si basa unicamente sullindipendenza statistica della somma modulo due c = mk di due processi casuali tempo-discreti statisticamente indipendenti: c il messaggio cifrato, i due processi m e k sono, rispettivamente, il messaggio originale in chiaro m e la chiave k. da notare che il blocco monouso assicura la segretezza perfetta, non importa quale sia la statistica del testo in chiaro. Propriet questa molto importante perch usualmente non desiderabile che il sistema di cifratura dipenda dalla statistica della sorgente dei messaggi. Ma il fatto che si richieda un bit di chiave segreta per ogni bit in chiaro rende il sistema poco utilizzabile in pratica - tranne nelle applicazioni, dove lesigenza di segretezza fa premio sul costo e la lunghezza del testo in chiaro piuttosto limitata: viene subito in mente la linea calda tra i capi di stato di paesi importanti. Confusione e diffusione Secondo Shannon vi sono due operazioni primarie con le quali si possono costruire algoritmi di cifratura robusti e resistenti agli attacchi: a. la confusione unoperazione di cifratura dove la relazione tra chiave e crittogramma resa oscura (un mezzo oggi comunemente impiegato per ottenere confusione la sostituzione dei bit); b. la diffusione unoperazione di cifratura dove linfluenza di un solo simbolo del testo in chiaro spalmata su molti simboli del testo cifrato con lobiettivo di nascondere le propriet statistiche del testo in chiaro (un semplice elemento di diffusione la permutazione dei bit). Cifrari che realizzano solo confusione - un esempio la macchina cifrante tedesca Enigma (Figura 3) impiegata durante seconda guerra mondiale - non sono sicuri. N lo sono cifrari basati esclusivamente sulla diffusione. Tuttavia, concatenando le due operazioni, si pu costruire un sistema robusto: siamo ancora debitori a Shannon per lidea di questo artificio. Tecniche di progettazione di sistemi cifranti, che ripetono sui dati le operazioni di confusione e diffusione, sono oggi utilizzate in tutti gli algoritmi di crittografia a blocchi6, quali il Data Encryption Standard (DES) e le sue alternative pi recenti: il Triple DES (basato sulla ripetizione del DES per tre volte) e lAdvanced Encryption Standard (AES) [11-12]. Lobiettivo principale del progetto di un cifrario efficace di rendere loperazione di decrittazione, o forzatura, praticamente equivalente alla soluzione di problemi laboriosi dal punto di

10 AEIT numero 6

Sicurezza informatica

vista computazionale. Caso molto comune la fattorizzazione del prodotto n di due numeri primi p e q, dove n un numero costituito, per esempio, da 617 cifre decimali (o 2.048 bit), bench il calcolo di n sia rapidamente effettuabile se p e q sono entrambi noti. Loperazione diretta (il prodotto) facile, linversa (la fattorizzazione) tuttaltro: siamo nel campo della complessit computazionale. Le cifrature a blocchi moderne posseggono eccellenti propriet di diffusione, questo significa rendere il testo cifrato (quasi) statisticamente indipendente dalloriginale: requisito essenziale nella progettazione dei cifrari a blocchi [11].
5 Questa sezione attinge principalmente dallottimo saggio [4] di Jim Massey. 6 Con cifrario a blocchi si intende un sistema che trasforma blocchi del messaggio (testo in chiaro) di lunghezza fissa (per esempio, di n bit) in blocchi di crittogramma della stessa lunghezza con il controllo di una chiave (di m bit). 7 Gli studiosi di crittografia hanno il vezzo di illustrare il funzionamento dei vari schemi, attraverso problemi che hanno come protagonisti due personaggi convenzionalmente denominati Alice e Bob.

Quarta pietra miliare: la crittografia a chiave pubblica


Il seguente esempio - ripreso con adattamenti minimi rispetto a come formulato dal divertente libro di enigmistica [17] - particolatamente istruttivo poich fa comprendere la logica di molti principi alla base delle comunicazioni segrete: Alice vuole inviare un oggetto a Bob7. un oggetto privato che non deve essere visto da nessuno se non da lui. Alice decide di spedirlo in un cofanetto, ma lunico modo per chiuderlo di usare un lucchetto. Scambiarsi le chiavi sarebbe troppo rischioso. Per entrambi dispongono di lucchetti, ciascuno con la propria chiave. Come pu Alice essere sicura che la scatola possa essere aperta solo da Bob? Vi lascio un po di tempo per escogitare una possibile soluzione del quesito. Se vi pare di avere riflettuto abbastanza, ecco la successione di passaggi per assicurare che lo scambio avvenga in modo segreto: a. Alice chiude il cofanetto con un lucchetto e lo invia a Bob; b. Bob chiude il cofanetto con un altro lucchetto e lo rispedisce ad Alice; c. Alice rimuove il proprio lucchetto e rispedisce il cofanetto a Bob; d. Bob riceve il cofanetto (ora protetto solo dal lucchetto apposto da lui stesso) e lo apre con la propria chiave. Nei passaggi tra Alice e Bob, nessuno in grado di aprire il cofanetto - senza manometterlo - poich non c scambio o distribuzione di chiavi (nokey protocol), ma solo andirivieni di lucchetti. Partendo da questo concetto, Adi Shamir ha sviluppato (intorno al 1980) il protocollo a tre passi per comunicare segretamente in un contesto che permette ad Alice di inviare un messaggio alla controparte Bob in modo sicuro e senza la necessit di scambiare, o distribuire, chiavi di cifratura (per unelegante formalizzazione matematica del protocollo si veda [4]). Il concetto-base che ciascuna delle due parti, possedendo entrambe una chiave privata di cifratura e una privata di decifrazione, usano le proprie chiavi indipendentemente, prima per cifrare il messaggio e poi per decifrarlo. Sembrerebbe plausibile utilizzare anche in questo caso la chiave di cifratura di Vernam; facile per provare che il protocollo diventerebbe totalmente insicuro. possibile, invece, ricorrere ad algoritmi pi sofisticati che sfruttano i risultati della complessit computazionale applicati alla teoria dei numeri [4]. Peraltro, il protocollo come descritto non fornisce

Figura 3

Una versione della macchina cifrante Enigma

11 giugno 2013

alcuna forma di autenticazione del mittente, senza la quale il protocollo sarebbe suscettibile dellattacco da parte di un cosiddetto uomo in mezzo, potenzialmente in grado di creare falsi messaggi, in sostituzione di quelli originalmente trasmessi. Concetti di questo tipo, apparentemente banali, hanno rappresentato il punto di partenza per prospettive del tutto inedite per la crittografia negli ultimi quarantanni. A met degli anni 1970, Whitfield Diffie e Martin Hellman, a partire da unidea di Ralph Merkle, hanno sviluppato il concetto di crittografia asimmetrica, o a chiave pubblica. Ogni utilizzatore tiene segreta la sua chiave di decrifazione e rende nota la sua chiave di cifratura in un elenco (directory) pubblico. La crittografia a chiave pubblica permette a due (o pi) persone di comunicare in tutta riservatezza senza usare la stessa chiave: chiunque (Alice) desideri comunicare privatamente con un utilizzatore (Bob) la cui chiave in elenco deve solo leggere la chiave pubblica di Bob per cifrare il messaggio che unicamente Bob potr decifrare con una chiave diversa, la propria chiave segreta. Come prima, si pu visualizzare il principio con unanalogia fisica, il funzionamento di una cassaforte meccanica: a. Bob spedisce ad Alice il suo lucchetto aperto (non necessariamente su un canale sicuro); b. Alice deposita il proprio messaggio in una cassaforte chiudendola con il lucchetto di Bob; c. solo Bob ha la chiave per aprire il proprio lucchetto, quindi per recuperare e leggere il messaggio inviatogli da Alice. Le possibilit legate a quanto esemplificato sono molteplici. Alla fine degli stessi anni Settanta, Donald Rivest, Adi Shamir e Leonard Adleman hanno proposto la crittografia a chiave pubblica basata sulla teoria della complessit e sulle propriet dei numeri primi. Oggi lo schema - denominato RSA dalle iniziali dei cognomi degli inventori - comunemente impiegato per garantire la firma digitale, cio lautenticazione del mittente, oppure lintegrit del messaggio. giusto riconoscere che le stesse idee sulla crittografia asimmetrica erano gi state proposte alcuni anni prima (1973) dai ricercatori del Government Communications Headquarter (GCHQ) britannico [9], ma i documenti riguardanti linvenzione, allepoca giudicata tecnologicamente impraticabile, furono vincolati dal segreto militare fino al 1997.

Il paradosso del compleanno in crittanalisi


In teoria della probabilit, il problema o paradosso del compleanno riguarda la probabilit che almeno

due persone di un gruppo compiano gli anni lo stesso giorno (non occorre che gli anni di nascita coincidano). Il paradosso, proposto nel 1939 da Richard von Mises - uno dei fondatori del liberismo economico - sta nel fatto che la probabilit cercata molto maggiore di quanto si possa immaginare. Infatti, in un gruppo di 23 persone tale probabilit gi del 50%; con 30 persone supera il 70% e il 97% con 50; il 99% di probabilit si raggiunge con 57 persone. Allevento certo si arriva con almeno 367 persone per il principio della piccionaia o delle cassette postali (e per tenere conto della possibilit di anni bisestili). La dimostrazione della soluzione reperibile in letteratura a diversi livelli di approfondimento, anche se consigliabile il volume [18] per completezza di trattazione (oltre che per altri stimolanti quesiti probabilistici). Questo problema ha consentito la realizzazione dellattacco del compleanno in casi in cui la firma digitale impieghi funzioni crittografiche cosiddette hash (vedere, per esempio, [11]). In linea di principio, le funzioni (o algoritmi) hash in crittografia costituiscono un modo per assicurare la sicurezza dellinformazione. Esse sono tipicamente usate nelle firme digitali e nello stabilire connessioni sicure tra i siti web. I dati, fatti passare in un algoritmo di hash, producono una successione di bit pi breve; questa stringa opera come una sorta di message digest (estratto del messaggio)8. Ogni cambiamento dei dati originali cambia la stringa dei bit estratti. La stringa risultante agisce perci come impronta digitale dei dati, garantendo che nessuno abbia interferito con essi. Le funzioni hash svolgono un ruolo essenziale in crittografia per verificare lintegrit di un messaggio, poich lesecuzione dellalgoritmo su un testo anche minimamente modificato fornisce un estratto completamente differente rispetto a quello calcolato sul testo originale, rivelando cos una tentata frode. Esse possono essere anche utilizzate per la creazione di firme digitali, in quanto, non richiedendo calcoli lunghi e complessi, permettono di realizzare rapidamente la firma anche per file di grosse dimensioni. certamente pi conveniente eseguire un hashing del testo da firmare per poi autenticare solo questo, evitando cos lapplicazione di complessi schemi di crittografia asimmetrica su moli di dati molto grandi. Si noti che il paradosso del compleanno si basa su coppie che collidono (stesso giorno di compleanno), ed esattamente ci che si propone di ottenere - utilizzandone i risultati - lomonimo attacco: trovare coppie diverse di sequenze binarie che collidono, ossia che producono lo stesso output. Le firme digitali possono essere vulnerabili a questo tipo di attacco, poich i risultati del para-

12 AEIT numero 6

Sicurezza informatica

dosso sono utilizzabili per generare un contratto fraudolento contro chi ha apposto la propria firma digitale a una versione corretta del contratto. Per evitarlo, la lunghezza delloutput della funzione hash deve essere sufficientemente grande, cio resistente alle collisioni, cos da rendere lattacco computazionalmente impraticabile. Sulla base dellapprofondita analisi [11] della robustezza rispetto a questo tipo di attacco, risulta che una funzione di hash dovrebbe avere una lunghezza di almeno 128 bit e, in un prossimo futuro, anche di 256 bit.

Alan Turing, solutore di cifrari


Dopo avere sottolineato limportanza del ruolo di Shannon nella crittografia, non si pu non citare, sia pure brevemente, il lavoro di Alan Turing come crittanalista, rinviando per eventuali approfondimenti ad altre pubblicazioni, per esempio [19-21]. Si ritiene, infatti, che lausilio della crittanalisi per intercettare e decifrare le comunicazioni dellAsse da parte degli Alleati abbia permesso di abbreviare di almeno due anni la durata della seconda guerra mondiale [20]. Addirittura, Winston Churchill avrebbe detto a Giorgio VI, re del Regno Unito: grazie a Ultra9 che abbiamo vinto la guerra. E inoltre: Non direi che Turing ci abbia fatto vincere la guerra, ma oserei dire che lavremmo perduta senza di lui, ha dichiarato Jack Gould, altro crittanalista di punta in tempo di guerra [21]10. Allo scoppio delle ostilit nel settembre 1939, Turing fu assegnato dal governo britannico al quartier generale del Government Code and Cypher School (GC&CS)11 a Bletchley Park (Figura 4), dove il suo

brillante lavoro ebbe conseguenze di grande portata. I britannici avevano appena ricevuto i risultati dei tentativi effettuati da esperti crittanalisti polacchi, aiutati dai colleghi francesi, per forzare il cifrario Enigma, in dotazione al settore comunicazioni radio dellesercito tedesco. Gi nel 1932, una piccola squadra di matematici polacchi, guidati da Marian Rejewski, era riuscita a ricostruire - ecco il primo formidabile esempio di retroingegnerizzazione - il cablaggio interno del modello della macchina Enigma allora in uso. Nel 1938 i polacchi poi erano poi riusciti a sviluppare una macchina di crittanalisi, dal nome in codice Bomba (il termine polacco per un tipo di gelato). Per agire con successo Bomba dipendeva dalle norme operative dei tedeschi, quindi un cambiamento procedurale nel maggio 1940 rese Bomba praticamente inutilizzabile. Durante il 1939 e la primavera del 1940, Turing con il suo staff progett una macchina decifrante
8 Hash significa letteralmente polpetta fatta con avanzi di cibo sminuzzati. 9 Denominazione del servizio di SIGINT britannico nel periodo bellico. 10 Il titolo del riferimento bibliografico [21]: The Essential Turing: Seminal Writings in Computing, Logic, Philosophy, Artificial Intelligence, and Artificial Life; Plus the Secrets of Enigma indicativo della vastit degli interessi di Turing. 11 Nel 1946, finita la guerra, il GC&CS diventer il GCHQ rammentato precedentemente.

Figura 4

La residenza di Bletchley Park

13 giugno 2013

completamente diversa denominata, con grande sforzo di fantasia, Bombe (si noti la e finale). Con lingegnosa macchina di Turing (Figura 5), i crittanalisti di Bletchley Park allinizio del 1942 furono in grado di intercettare e decifrare circa 39.000 messaggi al mese, numero che rapidamente crebbe fino a 84.000 e oltre. Poich il suo contributo alla vittoria degli Alleati rimase per decenni coperto dal segreto di stato, lunico riconoscimento conferito a Turing fu lOrder of the British Empire.

Nuovi contributi italiani


Come nel corso dei paragrafi introduttivi non si dimenticato di sottolineare il ruolo dellItalia nella crittografia classica, cos sembra qui opportuno accennare ad alcuni recenti sviluppi in settori di frontiera, che hanno visto il sostanziale apporto di ricercatori italiani. Il re degli algoritmi di sicurezza. Si ricordato che gli algoritmi hash sono utilizzati in applicazioni crittografiche che garantiscono lautenticit dei documenti digitali: per esempio, le firme digitali. Guido Bertoni, laureato al Politecnico di Milano, uno degli inventori di SHA-3 (Secure Hash Algorithm-3), un inedito algoritmo hash di crittografia [22], inizialmente proposto con il nome di Keccak - pronunciato catch-ack. Il National Institute of Standards and Technology (NIST) ha selezionato, dopo una competizione durata cinque anni, lalgoritmo proposto da STMicroelectronics e creato da Guido Bertoni, Joan Daemen, Gilles Van Assche e Michal Peeters (attualmente in NXP Semiconductors). Questa proposta ha superato altre 63 offerte ricevute dal NIST dopo lapertura della gara bandita nel 2007, quando si temeva che lo standard SHA-2 potesse essere minacciato in breve tempo (preoccupazione poi rivelatasi eccessiva). Keccak non suscettibile di forzature con metodi tradizionali poich si basa su unidea radicalmente diversa rispetto alla concezione dei precedenti algoritmi. Il progetto lo rende poi particolarmente utile in sistemi embedded, dedicati ad applicazioni speciali, che richiedano chip di piccole dimensioni e a basso consumo di potenza. Il premio Turing 2012 a un italiano. Silvio Micali laureato alla Sapienza di Roma e oggi al MIT - stato insignito con la collega Shafi Goldwasser del 2012 A.M. Turing Award per lavori fondamentali di scienza della crittografia basati sulla teoria della complessit e per metodi pionieristici di verifica delle dimostrazioni matematiche. Forse, stiamo per assistere a un nuovo balzo in avanti della disciplina, dopo Shannon e i sistemi DES, AES, RSA. Nella motivazione del premio appare anche il riferimento allinteressante caso dei protocolli di au-

tenticazione a conoscenza zero (zero-knowledge protocol o proof). Si tratta di protocolli raffinati che consentono di verificare lidentit del mittente, evitando limpiego diretto dellinformazione didentificazione, che potrebbe essere intercettata e successivamente utilizzata da un terzo protagonista per cercare di fare credere di essere il mittente autorizzato. Lidea della prova a conoscenza nulla pu essere visivamente illustrata ricorrendo alla metafora della caverna spiegata ai bambini [23]. La strana caverna di figura 6 formata da due tunnel A e B separati da una porta che pu essere aperta solo usando una frase segreta, o password. Peggy12 vuole convincere Victor di essere a conoscenza del segreto daccesso alla caverna senza per rivelarglielo. A questo scopo, Peggy raccomanda a Victor di restare fuori dal tunnel ed entra in uno qualsiasi dei due punti daccesso. Ora, Victor avanza allingresso della caverna e chiede a Peggy di uscire o dal tunnel A o dal tunnel B. Peggy ci riesce aprendo, se necessario, la porta con la password.
12 In questo contesto, Peggy denota chi prova laffermazione e Victor chi la verifica.

Figura 5

Replica completa e funzionante della macchina Bombe realizzata da Turing a Bletchley Park

Figura 6

Metafora della caverna in una prova a conoscenza zero (Adattamento da Wikipedia)

14 AEIT numero 6

Sicurezza informatica

Peggy ha solo il 50% di probabilit di trovarsi gi nel tunnel giusto. Ovviamente la prova deve essere iterata pi volte. Dopo N ripetizioni, la probabilit che Peggy goda solo di una fortuna sfacciata scende a 2N, diventa cio trascurabile. Peggy avr cos dimostrato a Victor di conoscere la chiave segreta senza avergliela rivelata. , infine, da sottolineare che gli studi di Micali e Goldwasser sulla complessit computazionale trovano impiego, oltre che in crittografia, in altri importanti settori dellinformatica teorica.

Conclusioni
La crittografia oggi uno strumento di sicurezza indispensabile per assicurare che il messaggio non sia letto da nessun altro se non dal destinatario autorizzato. Nel mondo economico - privato e degli affari - i sistemi crittografici sono usualmente impiegati per proteggere i dati trasportati su reti pubbliche di telecomunicazioni e usano algoritmi matematici molto evoluti per rimescola-

re i messaggi (e i testi allegati). Shannon non ha contribuito direttamente agli sviluppi pi importanti della disciplina, emersi a partire dagli anni Settanta del Novecento: per esempio, i sistemi a chiave pubblica, nei quali una chiave segreta condivisa tra le parti comunicanti non necessaria per garantire la segretezza. Tuttavia, i successivi contributi - anche i pi recenti sono debitori a Shannon, se non altro per il rigoroso approccio metodologico nel fondamentale articolo [2], che ha permesso di distinguere nettamente quanto in crittografia sia scienza da quanto sia arte (o soluzione ad hoc). In occasione del centenario della nascita di Turing nel 2012, c stato un generale, e pi che giusto, innamoramento per Turing, mentre i contributi di Shannon negli stessi settori disciplinari sono stati lasciati un po sottotraccia. Forse Shannon, con il suo ben noto understatement [1], ne sarebbe stato pure felice, anche se auspicabile che nel 2016, data del centenario della sua nascita, si possa assistere a un analogo revival celebrativo.

BIBLIOGRAFIA
[1] N. J. A. Sloane, A. D. Wyner (a cura di): Claude Elwood Shannon: Collected Papers, IEEE Press, 1993. [2] C. E. Shannon: Communications theory of secrecy systems, Bell System Technical Journal, vol. 48, n. 4, ottobre 1949, pp. 656-715, ristampato in [1, pp. 84-143]. [3] G. J. Simmons (a cura di): Contemporary Cryptology: The Science of Information Integrity, IEEE Press-Wiley, 1992. [4] J. L. Massey: Contemporary crytptology: An introduction, in [3, pp. 1-39]. [5] J. Gleick: The Information: A History, a Theory, a Flood , Fourth Estate, 2011. Tr. it.: Linformazione. Una storia. Una teoria. Un diluvio, Milano, Feltrinelli, 2012. [6] L. Sacco: Manuale di crittografia (3a edizione), Roma, Istituto Poligrafico dello Stato, 1947. Ristampa anastatica a cura della Scuola Superiore Guglielmo Reiss Romoli, L'Aquila, 1986. [7] D. Kahn: The Reader of Gentlemens Mail: Herbert O. Yardley and the Birth of American Codebreaking, Yale University Press, 2004. [8] D. Kahn: The Codebreakers: The Comprehensive History of Secret Communications from Ancient Times to the Internet, nuova edizione, Scribner, 1996 (1a edizione, Macmillan, 1967). Tr. it. parziale della 1a edizione: La guerra dei codici. La storia dei codici segreti, Mondadori, 1969. [9] S. Singh: The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography, Doubleday Books, 1999. Tr. it.: Codici & segreti. La storia affascinante dei messaggi cifrati dallantico Egitto a Internet, Milano, Rizzoli, 1999. [10] G. J. Simmons (contributore principale): Cryptology, Encyclopedia Britannica Online, www.britannica.com/EBchecked/ topic/145058/cryptology (ultimo accesso: 22 maggio 2013). [11] C. Paar, J. Pelzl: Understanding Cryptography: A Textbook for Students and Practitioner, Springer, 2010. [12] K. M. Martin: Everyday Cryptography: Fundamental Principles and Applications, Oxford University Press, 2012. [13] F. Fabris: Teoria dellinformazione, codici, cifrari, Torino, Bollati Boringhieri, 2001. [14] A. Kerckoffs: La cryptographie militaire, Journal des sciences militaires, vol IX, gennaio 1883, pp. 5-38 e febbraio 1883, pp. 161-191. [15] G. S. Vernam: Cipher printing telegraph systems for secret wire and radio telegraph communications, Journal of the American Institute of Elecrical Engineers, vol. 55, febbraio 1926, pp. 109-115. [16] A. Luvison: Teoria dellinformazione, scommesse, giochi dazzardo, Mondo Digitale - Rassegna critica del settore ICT, anno XI, n. 42, giugno 2012, pp. 1-16, e Id.: Quando la teoria dellinformazione gioca dazzardo, AEIT, vol. 99, n. 10, ottobre 2012, pp. 56-65. [Le due versioni dellarticolo differiscono solo marginalmente in pochi passaggi]. [17] E. Peres: lenigmistica, bellezza! Lettere e cifre per allenare la mente, Firenze, Ponte alle Grazie, 2012. [18] F. Mosteller: Fifty Challenging Problems in Probability with Solutions, Dover, 1987. [19] A. Luvison: La crittologia da arte a scienza: i ruoli complementari di Claude Shannon e Alan Turing, 2013, articolo in preparazione. [20] M. Smith: Bletchley Park: The Code-breakers of Station X, Shire Publications, 2013. [21] B. J. Copeland (a cura di): The Essential Turing: Seminal Writings in Computing, Logic, Philosophy, Artificial Intelligence, and Artificial Life; Plus the Secrets of Enigma, Oxford University Press, 2004. [22] T. Harbert: New king of security algorithms crowned, IEEE Spectrum, vol. 49, n. 12, dicembre 2012, pp. 10-11. [23] J. J. Quisquater et al.: How to explain zero-knowledge protocols to your children, in G. Brassard (a cura di): Advances in Cryptology - CRYPTO 89: Proceedings (Lecture Notes in Computer Science 435), 9th Annual International Cryptology Conference, Santa Barbara, California, USA, 20-24 agosto, 1989, Springer-Verlag, 1990, pp. 628-631.

15 giugno 2013

Potrebbero piacerti anche