La teoria di Shannon

segretezza perfetta
sicurezza computazionale

Sicurezza di un Cifrario (C. Shannon)

SEGRETEZZA PERFETTA
Un Cifrario detto perfetto, o assolutamente sicuro, se, dopo
aver intercettatto un certo testo cifrato c, lincertezza a posteriori
sul testo in chiaro m corrispondente uguale allincertezza che si
aveva a priori , cio prima dellintercettazione.

SICUREZZA
Un Cifrario detto sicuro se dato un qualsiasi
testo cifrato c, il trovare un m tale che Ek(m) = c
impossibile per chi non conosce Ek-1 e quindi k.

SICUREZZA COMPUTAZIONALE
Un Cifrario detto computazionalmente sicuro se il calcolare m
da un c possibile, ma richiede una potenza di elaborazione
superiore a quella a disposizione dellattaccante.
 Il messaggio come variabile aleatoria
m
Sorgente
m {m1, m2,.. , mn}

I messaggi possibili possono essere rappresentati con numeri reali

Ipotesi: la sorgente priva di memoria
Ogni messaggio ha una sua prefissata probabilit di essere scelto:
Variabile aleatoria M

P(M = mi) = p(mi), con 0 p(mi) 1

n
i =1
p(m i ) = 1

Linformazione come variabile aleatoria

m Destinazione

m1 m2, .. mn
p(m1) p(m2) .. p(mn)

Linformazione I(m) fornita dallarrivo di un messaggio m

tanto pi grande quanto pi piccola la sua probabilit.

Variabile aleatoria I(m): il valore I(mi) ha probabilit p(mi)

 Misura dellinformazione
I(m) = {I(m1), I(m2), , I(mn)}
Per misurare linformazione stata scelta la funzione logaritmo
DEFINIZIONE: linformazione trasportata da m indicata con
I(m) ed espressa da:
I(m)=log2(1/ p(m))=- log2p(m)
Lunit di misura era il bit ed oggi il shannon (sh)
3,5
3
2,5
2
I(m)

1,5
1
0,5
0
0,1 0,2 0,3 0,4 0,5 0,6 0,7 0,8 0,9
p(m)

Entropia come valor medio dellinformazione

DEFINIZIONE Lentropia della variabile aleatoria M il
valor medio dellinformazione trasportata da un messaggio m

i=1 p(mi ) I(mi ) = i=1 p(mi ) log p(mi )

n n
H(M) = E(I(m)) =

Lentropia anche una misura dellincertezza sullinformazione

trasportata da un messaggio, prima di riceverlo.
Tutti i messaggi hanno
la stessa probabilit
di occorrenza
0 H(M) log2 n

Un messaggio ha
probabilit 1 e tutti gli
altri 0
 Entropia condizionata
1. Entropia della variabile aleatoria X, condizionata dalla
osservazione di un certo valore y della variabile aleatoria Y:

H(X|Y=y) = p( x | y ) log p( x | y )
x

in cui p(x|y) la probabilit condizionata di x, dato y

2. Entropia della variabile aleatoria X, condizionata dalla

osservazione di un qualsiasi valore della variabile aleatoria Y:

H(X|Y) = p ( y ) p ( x | y ) log p ( x | y )
y x

Lattacco passivo
k?
m? c
A Ek Dk B

Incertezza su M condizionata dalla conoscenza di C : H(M | C)

Incertezza su K condizionata dalla conoscenza di C : H(K | C)

Incertezza su K condizionata dalla conoscenza di M,C: H(K | M,C)

In un Cifrario robusto le tre equivocazioni devono avere valori alti

 Entropia congiunta
H(X,Y):
entropia congiunta della coppia di variabili aleatorie X e Y
H(X,Y) H(X) + H(Y)
= H(X) + H(Y) se X,Y indipendenti
Propriet notevole: H(X,Y) = H(X) + H(Y|X) = H(Y) + H(X|Y)

K
M C
A Ek Dk B

I
H(K,M|C) = H(K|C) + H(M|K,C) = H(M|C) + H(K|M,C)

Incertezza Incertezza Attacco con testo

sulla chiave sul testo in chiaro in chiaro noto

Il Cifrario perfetto
H(K|C) = H(M|C) + H(K|M,C)
H(K|C) H(M|C)

Noto c, lindividuazione di k pi difficile di quella di m

Se il Cifrario ha segretezza perfetta, deve essere:

p(m|c) = p(m) per ogni m e per ogni c.

incertezza a posteriori incertezza a priori

sul testo in chiaro sul testo in chiaro

H(M|C) = H(M)
Non esistono correlazioni
A nulla serve il disporre di un calcolatore con potenza illimitata
Si pu solo tirare ad indovinare ma non si avranno conferme
 Come si costruisce un Cifrario perfetto?
Per rispondere sufficiente ricordare i teoremi di Bayes:
p(m) p(c|m) = p(c) p(m|c)

T1: Condizione necessaria e sufficiente per la segretezza

perfetta p(c|m) = p(c) per ogni m e c
N.B. p(c|m) deve dunque essere indipendente da m

m1 mi mj mn
con eguale probabilit

la probabilit totale di tutte le chiavi che trasformano un mi in un

certo c uguale a quella di tutte le chiavi che trasformano mj
nello stesso c, per ogni mi, mj e c
il numero di chiavi deve almeno essere pari
al numero di messaggi

T2: Tra le cardinalit degli spazi M, K di un Cifrario perfetto

deve valere la diseguaglianza
|K| |M|

Il caso pi semplice si ha quando il numero di chiavi

esattamente uguale al numero di messaggi.

T3: un Cifrario con |M| = |K| = |C| perfetto

se e solo se c esattamente una chiave
che trasforma ciascun messaggio m in ciascun crittogramma c
e se tutte le chiavi k sono equiprobabili

One-time pad
Insieme di messaggi: {m1, m2, m3, m4, m5},
Insieme di crittogrammi: {c1, c2, c3, c4, c5}
Insieme di chiavi equiprobabili {k1, k2, k3, k4, k5}

Un Cifrario perfetto deve trasformare ogni m in ogni c

c1 c2 c3 c4 c5
m1 k1 k2 k3 k4 k5
m2 k5 k1 k2 k3 k4
m3 k4 k5 k1 k2 k3
m4 k3 k4 k5 k1 k2
m5 k2 k3 k4 k5 k1

ci = E(mj, kk)

quadrato latino: i = (j + k 1) mod 5

Si noti che essendo p(k) = 1/5 si ha anche p(m|c) = p(c) = 1/5.

Confusione & Diffusione (C. Shannon)

La confusione nasconde la relazione esistente
tra testo in chiaro e testo cifrato e rende poco
efficace lo studio del secondo basato su statistiche
e ridondanze del primo.
La sostituzione il mezzo pi semplice ed efficace
per creare confusione. Cifrario
composto:
S&T iterato
La diffusione nasconde la ridondanza del testo in
chiaro spargendola allinterno del testo cifrato.
La trasposizione il mezzo pi semplice ed efficace
per ottenere diffusione
 Il cifrario composto

S-box S-box
i0 i1 i2 i253 i254 i255 i0 i1 i2 i253 i254 i255

u171 u9 u200 u0 u15 u36 u13 u180 u2 u49 u151 u6

P-box