Le Virtual LAN (VLAN)

 è una LAN realizzata logicamente grazie allo standard 802.1Q

 utilizza e condivide una stessa struttura fisica

La struttura fisica di una VLAN non è quella di una normale rete
locale
 si tratta di una astrazione che permette a computer anche collegati in
luoghi non vicini fisicamente di comunicare
 Sistemi e reti
VLAN
Consentono a postazioni che sono su segmenti di rete
distanti di apparire sulla stessa rete logica
Di separare postazioni che sono sulla stessa rete fisica
e quindi sullo stesso dominio di broadcast in più retri
logiche distinte.
Ciascuna VLAN si comporta come se fosse una LAN
separata dalle altre
 Sistemi e reti
VLAN
Vantaggi delle VLAN:
Risparmio: sulle stesse infrastrutture fisiche si realizzano
nuove VLAN
Aumento delle prestazioni: il frame non viene propagato
verso destinazioni che non hanno necessità di riceverlo
grazie al confinamento del traffico broadcast alla singola
VLAN
Aumento della sicurezza: una utenza può vedere solo in
traffico della propria VLAN e non delle altre, anche se
codnividono lo stesso hardware
 Sistemi e reti
VLAN
Vantaggi elle VLAN:
Flessibilità: se viene spostato un utente può rimanere
connesso alla VLAN senza modificare la topologia
fisica della rete
Se viene spostato un computer esso rimane
comunque collegato alla stessa VLAN
 Sistemi e reti
Realizzazione di una VLAN
Per realizzare una VLAN è necessario che gli switch e
i bridge siano capaci di distinguere le diverse VLAN
ovvero devono osservare il protocollo 802.1Q

La realizzazione di una VLAN può avvenire secondo

due modalità:
VLAN port based (private VLAN)
VLAN tagged(802.1Q)
 Sistemi e reti
Realizzazione di una VLAN
In ogni caso devono essere definite le VLAN
all’interno del bridge, con nome e numero
identificativo per distinguerle
È necessario identificare ogni VLAN mediante un
numero , il VID (Virtual Identifichetor), esso ha range
1-1005 e un proprio blocco di indirizzi.
 Sistemi e reti
Realizzazione di una VLAN
I bridge per poter gestire più VLAN devono svolgere
tre funzioni:
1. Ingress: il bridge deve essere in grado di capire a quale
VLAN appartine un frame in ingresso da una porta
2. Forwarding: il bridge deve conoscere verso quale porta
deve essere inoltrato il frame
3. Egress: il bridge deve poter trasmettere il frame in uscita
in modo che la sua appartenenza alla VLAN venga
correttemente interpretata da altri bridge a valle.
 Sistemi e reti
Individuazione delle VLAN da parte degli switch
Una delle applicazioni delle VLAN è quella di tagliare
un unico switch in due o più reti diverse
 Sistemi e reti
Individuazione delle VLAN da parte degli switch

Gli host verdi vedono solo gli host verdi e i rossi solo
gli host rossi
Senza VLAN avremmo bisogno di due switch
Sistemi e reti
Individuazione delle VLAN da parte degli switch

Una volta definita una VLAN ci sono due tecniche per

associarvi gli host:
1. Utilizzando i numeri di porta dello switch. Si potrebbe
pensare che la prima metà delle porte è riservata agli host
della VLAN20 e le rimanenti per quelli della porta VLAN10. è
il sistema più semplice ma non il più sicuro. Perché lo
switch associa una sua porta alla VLAN e non a un host e
quindi qualunque dispositivo venga connesso ad essa
diventa parte della VLAN.
 Sistemi e reti
Individuazione delle VLAN da parte degli switch

2. Utilizzando degli indirizzi delle interfacce di rete

degli host. Ovvero se si associano alla VLAN i singoli
indirizzi degli host si realizza un sistema più sicuro
In questo caso un host viene collegato a una
qualunque porta dello switch o per mezzo di un
indirizzo IP(che può essere modificato) oppure per
mezzo dell’indirizzo MAC(univoco e immutabile)
Sistemi e reti
Individuazione delle VLAN da parte degli switch

Port Based VLAN (untagged)

Le VLAN che utilizzano i numeri di porta dello switch
cioè assegnazione statica di ciascuna porta del bridge
a una VLAN, prendono il nome di Port Based LAN.
Le porte possono essere assegnate a VLAN differenti
In questo modo si realizza un partizionamento del
bridge in due o più bridge logici.
 Sistemi e reti
Le operazioni che devono svolgere i bridge sono:
Ingress: un frame in ingresso appartiene alla VLAN a
cui è assegnato la porta
Forwarding: il frame può essere inoltrato solo verso
porte appartenenti alla stessa VLAN a cui appartiene
la porta di ingresso
Egress: una volta determinata la porta attraverso cui
deve essere trasmesso il frame , questo può essere
trasmesso cosi come è stato ricevuto.
 Sistemi e reti
VLAN 802.1Q (tagged VLAN)
Usando lo standard 802.1Q possiamo implementare la
tecnologia che permette di far condividere una VLAN
a due o più switch.
Tale tecnica aggiunge 4 byte (TAG) che trasportano le
informazioni sulla VLAN.
Ciascuna porta tagged prende il nome di porta di
Trunk.
Come funziona?
 Sistemi e reti
VLAN 802.1Q (tagged VLAN)
Quando un pacchetto con tag VLAN n entra in una
porta Tagged se quella porta è tagged VLAN n, viene
fatta passare, altrimente viene scartata.

Una volta che il pacchetto entra su una porta tagged

può essere indirizzato solo sulle porte tagged della
stessa VLAN n.
 Sistemi e reti
VLAN 802.1Q (tagged VLAN)
I primi 2 byte sono chiamati Tag Protocol Identifier (TPI) e
contengono il tag EterType, numero che evidenzia il nuovo
formato del frame.
I successivi 2 byte sono chiamati Tag Control Information TCI (o
VLAN Tag)
Cosi strutturati:
User_priority: campo a tre bit per il livello di priorità del frame
CFI: campo di 1 bit che indica se i MAC address nel frame sono in
forma canonica
VID: campo a 12 bit che indica L’ID della VLAN. con 12 bit possono
essere definite 4096 VLAN
 Sistemi e reti
VLAN 802.1Q (tagged VLAN)
con questi 4 byte in più è possibile che il frame possa
superare la lunghezza di 1518 byte, limite massimo pr lo
standard Ethernet
Gli switch che ammettono questo standard devono poter
accettare frame con 2 byte in più
 Sistemi e reti
VLAN 802.1Q (tagged VLAN)
I pacchetti con questo formato non possono arrivare su
qualsiasi porta dello switch.
È necessario avere una classificazione delle porte in porte
tagged e porte untagged.

Se la porta è associata a una VLAN untagged i frame

ricevuti da quella porta non necessitano e quindi
nontrasportano tag TPI e TCI. Queste porte si chiamano
porte d’accesso
 Sistemi e reti
VLAN 802.1Q (tagged VLAN)
Se la porta è associata a una VLAN in modalità tagged , i
frame trasportano le informazioni di TAG e la VLAN di
appartenenza del frame è definita dal valore inserito nel
TAG
Queste porte sono chiamate porte Trumke il link
associato trunk link
 Sistemi e reti
osservando la rete possiamo dire che le porte che connettono i due switch
devono essere trunk in quanto in esse circolano frame di più VLAN
 Sistemi e reti
VLAN condivise su più di uno switch

La suddivisione di una rete in VLAN si fa da una parte per

ridurre la possibilità di accesso indebito, quindi più sicura,
dall’altra per motivi di prestazioni, in quanto riduce il
numero degli host per il router, riduce il traffico di
broadcast
 Sistemi e reti
VLAN condivise su più di uno switch

Una VLAN può essere estesa a due o più switch.

Una LAN di dimensioni elevate implica una gestione
complessa e possono essere facilmente introdotti errori

La tecnologia che permette di far condividere una VLAN a

due o più switch è detta VLAN trunking.
 I due switch si connettano tra loro co una porta trunk in
modo tale da gestire più VLAN in comune.
 Sistemi e reti
Trunking protocol

Il protocollo Virtual Trunking Protocol (VTP) è un

protocollo proprietario della CISCO.
Consente di configurare le VLAN su un solo switch
Si occupa di distribuire le VLAN a tutti gli switch della rete

Il VTP può essere configurato su switch Cisco in tre

modalità:
1. Client
2. Server
3. Transparent
 Sistemi e reti
Trunking protocol
Solo sugli switch in modalità server l’amministratore di
rete può modificare la configurazione delle VLAN.
Quando viene fatta una modifica questa automaticamente
viene distribuita a tutti gli switch del trunk VLAN.
Nel seguente modo:
 gli apparati in modalità Transparent reinviano le
modifiche a tutti gli altri apparati
Gli apparati in modalità Client prima applicano le
modifiche a se stessi e poi la rinviano.
Sistemi e reti
 Sistemi e reti
Configurazione della VLAN
Esempio
Definiamo una VLAN con VID 10 e configuriamo un host
con nome docente
 Sistemi e reti
Configurazione della VLAN
Switch (config)# vlan 10
Switch (config)# name Docente
Switch (config)# show vlan

Per salvare la configurazione:

Switch# copy running-config startup-config

È possibile eliminare una VLAN:

Switch (config)# no vlan 10
 Sistemi e reti
Configurazione della VLAN
Riepilogo:
Switch# configure terminal
Switch(config)# vlan 20
Switch(config-vlan)# name alunni
Switch(config)# end
Switch# show vlan
Switch# copy running-config startup-config
 Sistemi e reti
Configurazione della VLAN
I seguenti comandi ci permettono di assegnare a una VLAN la porta
0/1

 Switch# configure terminal

 Switch(config)# interface fastethernet0/1 //scelta dell’interfaccia
 Switch(config-if)# switchport mode acces // modalità per la porta
 Switch(config-if)# switchport acces vlan 20 // assegnazione della porta
 Switch(config-if)# end

Per verificare la corretta configurazione:

 Switch# show running-config interface fasteterneth0/1
 Sistemi e reti
Configurazione della VLAN

Per verificare l’assegnazione della porta:

 Switch# show interface fasteterneth0/1

Per salvare la configurazione si utilizza il comando:

 Switch# copy running-config startup-config
 Sistemi e reti
Realizziamo una VLAN con Packet Tracer
 Sistemi e reti
Realizziamo una VLAN con Packet Tracer
 Sistemi e reti
Realizziamo una VLAN con Packet Tracer
 Sistemi e reti
Creiamo uan VLAN agendo sullo switch
 Sistemi e reti
Sulla scheda VLAN database:
a VLAN Number diamo il numero 10
a VLAN Name diamo il nome Amministrazione
 Sistemi e reti
Con l’interfaccia grafica abbiamo:
 Sistemi e reti
Creiamo la VLAN vendite :
 Sistemi e reti
Creiamo la VLAN gestione :
 Sistemi e reti
Quindi possiamo vedere le VLAN in badabase :
 Sistemi e reti
Per vedere tutte le VLAN con in comando show vlan brief:
 Sistemi e reti
assegniamo le etichette alle porte :
 Sistemi e reti
assegniamo le VLAN alle porte :
 Sistemi e reti
vediamo cosa è successo :

ci siamo collegati alla

porta 1
E gli abbiamo assegnato
il numero 10
 Sistemi e reti
assegniamo le VLAN alle porte :
 Sistemi e reti
effettuando un ping, per esempio dal PC 10 al PC 30 osserviamo che i due PC non si vedono anche
se fanno parte della stessa rete , ma hanno un dominio di broadcast diverso
 Sistemi e reti
Inter-VLAN Routing

Tramite il VLAN tagging la VLAN coinvolge i router

Per consentire la comunicazione tra VLAN diverse è necessario
introdurre nella LAN un router
In questo caso si parla di Inter-VLAN Routing
 Sistemi e reti
Inter-VLAN Routing

Inter-VLAN tradizionale:
Per far comunicare due VLAN il modo più semplice è inserire un
router e connetterlo a uno degli switch della LAN
La connessione tra router e lo switch deve essere fatta con un
numero di interfacce fisiche pari al numero delle VLAN che
devono comunicare.
Dato che a ogni interfaccia fisica del router è associata a una
VLAN
Questa deve avere un indirizzo IP appartenente a tale VLAN
 Sistemi e reti
Inter-VLAN Routing

Inter-VLAN tradizionale:
Le porte dello switch connesse al router devono essere
impostate il modalità access
 Sistemi e reti
Inter-VLAN Routing
 Sistemi e reti
Inter-VLAN Routing

“Router-on-a-stick” : Inter-VLAN
In questo caso il router viene connesso a uno degli switch in una
solo interfaccia f della LAN fisica
Faremo una suddivisione dell’interfaccia fisica in tante interfacce
virtuali quanto sono le VLAN che possono comunicare tra di loro
Ogni interfaccia virtuale del router è associata a una VLAN e
deve quindi avere un indirizzo IP appartenete a tale VLAN
La porta dello switch deve essere impostata in modalità trunk
 Sistemi e reti

 Sistemi e reti

 Tecniche crittografiche per la protezione dei dati

 Sistemi e reti
La crittografia simmetrica

La sicure nelle reti riveste una grande importanza

Basta un analizzatore di rete (software che permette di
esaminare il traffico tra due stazioni della rete)come un
semplice packet sniffer per intercettare le informazioni che
viaggiano nella rete
La crittografia rappresenta l’insieme delle tecniche che
consentono di realizzare la cifratura di un testo e la decifratura
di un crittogramma
 Sistemi e reti
La crittografia simmetrica
La cifratura rappresenta il processo attraverso il quale un
messaggio viene reso incomprensibile per gli estranei.
Viene usato un algoritmo di cifratura
L’algoritmo stabilisce una corrispondenza tra i simboli in
chiaro e i simboli cifrati.
I simboli in chiaro vengono usati per creare il messaggio in
chiaro(plain text) che, una volta cifrato, diventa un testo
criptato(cipher text)
 Sistemi e reti
La crittografia simmetrica
Le regole di cifratura devono essere note sia al mittente che al
destinatario, in modo che quest’ultimo possa effettuare il
decriptaggio.
Gli esperti di crittografia utilizzano anche il termine codifica
distinguendola con cifratura.
Con codifica intendono un metodo di scrittura in chiave
 consiste nel sostituire alcune parole con altre
 Con cifratura intendono un metodo che sostituisce lettere o
caratteri
 Sistemi e reti
La crittografia simmetrica
Esempio :
 per trasmette ‘’AIUTO’’ utilizzando i due metodi:
Potremmo trasmettere ‘’HELP’’ oppure ‘’SOCCORSO’’ cioè
sostituire la parola con un’altra, magari in un’altra lingua non
conosciuta a che potrebbe intercettarla(codifica).
Potremmo trasmettere ‘’BLVUP’’, cioè sostituire a ciascuna
lettera quella che segue nell’alfabeto(cifratura).
 Sistemi e reti
La crittografia simmetrica
La regola di cifratura è generalmente composta da due
elementi:
1. la regola vera è propria(l’algoritmo utilizzato)
2. Uno o più parametri, per esempio la posizione del carattere.
Quando la chiave di cifratura coincide con quella di
decifratura lo schema crittografico si dice simmetrico
In questo caso la chiave prende il nome di chiave comune
 Sistemi e reti
La crittografia
Quando la chiave di cifratura è diversa da quella usata per la
decifratura lo schema crittografico si dice asimmetrico
Le due chiavi si chiamano:
1. Chiave pubblica per quella usata per la cifratura. Comune per
tutti i mittenti
2. Chiave privata quella utilizzata per la decifratura. Conoscenza
solo del destinatario.
 Sistemi e reti
La crittografia
Questo procedimento è alla base della moderna sicurezza delle
reti .
Il mittente non deve comunicare con il destinatario
Il mittente utilizza la chiave pubblica del destinatario e con
essa prepara il messaggio da trasmettere criptando in modo
tale che sono chi è in possesso della chiave privata lo può
decriptare
 Sistemi e reti
La crittografia
Questo procedimento è alla base della moderna sicurezza delle
reti .
Il mittente non deve comunicare con il destinatario
Il mittente utilizza la chiave pubblica del destinatario e con
essa prepara il messaggio da trasmettere criptando in modo
tale che sono chi è in possesso della chiave privata lo può
decriptare
 Sistemi e reti
La crittoanalisi
La paroal crittoanalisi deriva dal greco “kryptos =nascosato ,
analùein = scomporre
Essa comporta lo studio dei metodi per ottenere il significato
di informazioni cifrate
Si tratta delle operazioni effettuate per la ricerca della chiave
segreta
 Sistemi e reti
La crittoanalisi
Generalmente l’algoritmo di cifratura è noto e standardizzato
Quindi è soggetto a crittoanalisi da parte di malintenzionati
per individuare la chiave utilizzata e decriptare il messaggio

L’attacco mirato a violare il crittosistema prende il nome di

crittoanalisi
 Sistemi e reti
La crittoanalisi on della segretezza dell’algoritmo utilizzato
Il principio di Kerckhoff (1835-1903)stabilisce che è la chiave
l’elemento fondamentale per la sicurezza di un sistema
informatico

Quindi la sicurezza di un crittosistema deve dipendere solo

dalla segretezza della chiave e non dalla segretezza
dell’algoritmo usato
 Sistemi e reti
La crittoanalisi
Negli anni sono sorte interessanti osservazioni :
1. Le chiavi sono generalmente semplici e possono essere
cambiate più frequentemente dell’algoritmo
2. Si è arrivati ad un cifrario sicuro detto one-time pad. In esso le
parti in comunicazione condividono un blocco (pad) di chiavi
di sostituzione alfabetica con un procedimento casuale, e
cambiano la chiave a ogni lettera.
Se il messaggio viene intercettato l’intruso vede solo una
sequenza di caratteri casuali e non è in grado di decifrare il
messaggio.
 Sistemi e reti
La crittoanalisi
Oggi esistono dei sistemi che generano e utilizzano una
password temporanea usa e getta
Possono definirsi on-time-key .
 Sistemi e reti
La cifrari e chiavi
 la crittografia consente anche di:
1. Identificare un utente all’accesso alla rete o a un PC
2. Autenticare un messaggio, cioè accettarsi dell’identità
dell’autore e della integrità del messaggio ricevuto
3. Firmare digitalmente un messaggio.
 Sistemi e reti
La cifrari e chiavi
 la crittografia consente anche di:
1. Identificare un utente all’accesso alla rete o a un PC
2. Autenticare un messaggio, cioè accettarsi dell’identità
dell’autore e della integrità del messaggio ricevuto
3. Firmare digitalmente un messaggio.
 Sistemi e reti
La cifrari e chiavi
 la crittografia consente anche di:
1. Identificare un utente all’accesso alla rete o a un PC
2. Autenticare un messaggio, cioè accettarsi dell’identità
dell’autore e della integrità del messaggio ricevuto
3. Firmare digitalmente un messaggio.
 Sistemi e reti
La cifrari e chiavi
 i cifrari tradizionali sono caratterizzati da una o più chiavi
segrete che mittente e destinatario dei messaggi segreti
devono concordare e scambiarsi pria di poter comunicare.
Questa esigenza è un punto debole in quanto è impossibile
avere un canale sicuro
 Sistemi e reti
La cifrari e chiavi
 i sistemi critto grafici contemporanei vengono classificati in
base al tipo e al numero di chiavi usate:
1. Sistema a chiave simmetrica (o privata): viene utilizzata una
sola chiave
2. Sistemi a chiave asimmetrica ( o pubblica): sistemi dive ogni
utente dispone di due chiavi, una pubblica e una privata8 le
chiavi sono invertibili)
 Sistemi e reti
Il cifrario DES
Uno dei primi sistemi crittografici moderni a chiave
simmetrica è stato sviluppato da Horst Feisted per l’IBM nel
1976 ed è diventato uno standard negli USA per la protezione
dei dati sensibili.

DES è un algoritmo simmetrico a chiave segreta di 64 bit

8 bit sono di controllo e 56 bit utili.
L’algoritmo, tramite questa chiave, prevede 16 trasformazioni
 Sistemi e reti
Il cifrario DES
Il DES rispetta il principio di Kearckhoff , ovvero l’algoritmo è
noto e la chiave è segreta.

Il testo in chiaro viene suddiviso in blocchi di 8 byte e scrivendo

codifica ASCII da ogni blocco si otterrà una stringa di 64 cifre
binarie
Alle cifre viene applicata una trasposizione di 56 bit alla chiave e
 successivamente per 16 volte si applica una funzione cifrante di
sostituzione dei bit.
 Sistemi e reti
Il cifrario DES
Si usa due porzioni della chiave di 28 bit ciascuna delle quali
viene ruotata a sinistra di un certo numero di bit che dipende
dal numero di iterazioni
In fine viene effettuata una trasposizione inversa a quella
iniziale

 Sistemi e reti
Il cifrario DES
La decifrazione viene utilizzando la stessa chiave adoperata
per la cifratura
I passi avvengono nell’ordine inverso
Quindi si tratta di un sistema simmetrico dato che sia
l’emittente del messaggio che il ricevente devono conoscere le
stessa chiave segreta.
 Sistemi e reti
Il cifrario DES
Per circa vent’anni è stato utilizzato come cifrario sicuro.
1l 17 luglio 1998 la Electronic Frontier Foundation diffuse un
comunicato stampa col quale annunciò la sconfitta del DES
Fu violato grazie ad un calcolatore costato 250.000
 Sistemi e reti
Il cifrario 3-DES
Nel 1999 fu introdotto il Triple DES
Con tre passi di cifratura DES consecutivi
Con tre chiavi diverse e per un totale di 128 bit
La maggiore sicurezza rispetto ad DES sta proprio nella
lunghezza tripla della chiave.
 Sistemi e reti
Il cifrario 3-DES
Il base alla scelta delle chiavi il sistema 3DES offre tre
alternative:
1. Le tre chiavi k1, k2 e k3 sono diverse e indipendenti
2. Due chiavi uguali k1 = k3 e una diversa k2
3. Tre uguali k1=k2=k3
 Sistemi e reti
Il cifrario 3-DES
Con la seconda opzione, avendo solo due chiavi da 56 bit, la
sicurezza è a 112 bit
La terza opzione viene usata sono per garantire la
compatibilità con DES perche diventa un DES
 Sistemi e reti
Il cifrario IDEA
Nel 1991 fu introdotto il cifrario IDEA(International Data
Encryption Algorithm)
Il metodo si basa su concetti simili al DES con chiave a 128 bit
I blocchi di 64 bit del messaggio vengono elaborati in 8 iterazioni
usando le operazioni XOR, di somma e moltiplicazione
I 64 bit del messaggio vengono divisi in 4 gruppi di 16 bit e
mescolati con 6 chiavi di 16 estratte dalla chiave di 128 bit.
 Sistemi e reti
Il cifrario IDEA
Le sottochiavi sono generate nel seguente modo:
1. La chiave a 128 bit è divisa in 8 blocchi di 16 che costituiscono le prime 8
sottochiavi
2. Le cifre della chiave a 128 sono spostate di 25 bit a sinistra in modo da
generare una nuova combinazione, il cui raggruppamento a 8 bit fornisce
le prossime 8 sottochiavi
3. Il secondo passo è ripetuto finchè le 52 sottochiavi sono generate.
Attualmente non si conoscono tecniche in grado di forzare IDEA
 Sistemi e reti
Il cifrario AES
Nel 1997 il NIST ( National Institute of Standsards and Tecnology)
USA organizzo un concorso per sostituire il DES e definire un nuovo
standard crittografico (Advanced Encryption Standard – AES)
Si presentarono 15 candidati con proposte di nuovi algoritmi
Dopo lunghi test vinse l’algortitmo Rijndael
Rijndael divenne il nuovo standard
Pregi : velocita di esecuzione e robustezza alla crittoanalisi
 Sistemi e reti
Il cifrario AES
AES fu progettato dai due crittologi Joan Daemen e Vincent
Rijmen sulla base delle seguenti caratteristiche:
1. Resistenza contro tutti gli attacchi
2. Velocità e compatezza del codice
3. Semplicità progettuale
 Sistemi e reti
Il cifrario AES
AES è un cifrario a blocchi (block cipher) con lunghezza del
blocco da 128 bit
Può avere chiavi indipendenti l’una dall’altra con lunghezze
variabili di 128, 256 bit
Effettua una combinazione di permutazioni e sostituzioni.
- Algoritmo AES -
ALGORITMO

16 byte

FASE

84
- Algoritmo AES -
1° Operazione sostituzione di byte

TABELLA S-box

85
- Algoritmo AES -
2° Operazione spostamento di righe

0
1
2
3

86
- Algoritmo AES -
3° Operazione trasformazione di colonne

Operazione Matriciale

87
- Algoritmo AES -
4° Operazione aggiunta della chiave segreta

Somma bit a bit modulo 2

88
 Sistemi e reti
Il cifrario AES
Il NIST si pronunciò cosi sull’algoritmo Rijndael:
Non esiste alcun attacco noto alla sicurezza di Rijindal
Ha ricevuto qualche critica poiché la sua struttura matematica
potrebbe essere soggetta ad attacchi.
 Sistemi e reti
Il cifrario AES
AES è il primo standard approvato da NSA (National Security
Agency) per comunicazioni top-secret
È tuttora il cifrario a chiave segreta più usato
Ad oggi non si conoscono attacchi in grado di violarli
 Sistemi e reti
Limiti degli algoritmi simmetrici
Il problema più evidente è quello che nella crittografia
simmetrica le persone che devono comunicare devono essere
in possesso della stessa chiave.
Questo limita la diffusione e il suo utilizzo in quanto non sono
molti i sistemi per la distribuzione delle chiavi.
 Sistemi e reti
Limiti degli algoritmi simmetrici
Esempio
Se si vuole utilizzare la crittografia simmetrica per effettuare
acquisti online bisogna richiedere al gestore della transazione una
chiave per poter codificare i dati.
Ma come verrebbe codificato il messaggio contenente la chiave?
L’dea di utilizzare corrieri resta, nella maggio parte delle situazioni,
impraticabile
 Sistemi e reti
Limiti degli algoritmi simmetrici
Non è praticabile inviare la chiave per posta elettronica
Inoltre l’utilizzo continuo della stessa chiave potrebbe favorire
azioni di decriptaggio
Il destinatario potrebbe perdere o cedere ad altri la propria
chiave.
Questi limiti sono superati con la crittografia asimmetrica
dove non è necessario concordare la chiave di cifratura
 Sistemi e reti
La crittografia asimmetrica
la crittografia a chiave pubblica nacque nel 1975 come
conseguenza di due problemi:
1. Distribuzione delle chiavi
2. Firma digitale

L’ide a della crittografia asimmetrica è quella di avere due

chiavi
1. Una pubblica per la criptazione
2. Una privata per la decriptazione , che deve essere segreta
- Esempio N° 1-

95
- Esempio N° 2 -

96
- RSA -
asimmetrica

97
 Sistemi e reti
Con la crittografia asimmetrica:
Si risolve il problema della riservatezza:
 Criptando il messaggio con la chiave pubblica solo il
possessore della chiave privata è in grado di decriptarlo;
• Si risolve il problema della autenticità del mittente:
 criptando il messaggio con la chiave privata solo con la
corrispondete chiave pubblica il messaggio può essere
decriptato. La chiave pubblica è conservata in registri
consultabili ma sicuri.
 Sistemi e reti
Con la crittografia asimmetrica:
Abbiamo due modalità di funzionamento
1. Modalità confidenziale: sono garantite la riservatezza e
l’integrità del messaggio.
 Sistemi e reti
Con la crittografia asimmetrica:
Abbiamo due modalità di funzionamento .
2. Modalità autenticazione: Garantisce l’integrità, ma non viene
garantita la riservatezza.
il mittente ha posto la sua firma elettronica sul messaggio
 Sistemi e reti
 La crittografia asimmetrica:
Il funzionamento è il seguente:
Indichiamo gli utenti con le loro iniziali A,B,C… e ogni utente ha una
copia di chiavi:
 Ei: chiave pubblica per la cifratura(Encrypt) cioè EA è la chiave
pubblica di A,ecc..;
 Di: chiave privata per la decifratura (Decrypt), cioè DA è la chiave
privata di A, ecc.
• Sono quindi presenti due insiemi di chiavi:
 per la funzione di codifica EA,EB,EC,.. Le quali sono rese pubbliche;
 DA,DB,DC,… con funzione segreta di decodifica, una per ogni utente
 Sistemi e reti
 La crittografia asimmetrica:
 Sistemi e reti
 La crittografia asimmetrica:
Il funzionamento è il seguente:
Il altre parole la funzione di decodifica D è l’inverso della
funzione di codifica E, che però non deve essere deducibile da
essa.
La ricerca di una funzione con tali caratteristiche è stata la
grande sfida per i crittografi degli anni ’70
Un passo notevole fu fatto dai matematici Diffie e Hallen, il quali
progettarono (1976) un algoritmo in grado di permettere lo
scambio delle chiavi su un canale non sicuro.
 Sistemi e reti
 La crittografia asimmetrica:
Il funzionamento è il seguente:
È anche possibile ottenere contemporaneamente sia la riservatezza della
comunicazione che l’autenticazione combinando assieme le due modalità di
funzionamento.
Per fare questo è necessario utilizzare contemporaneamente entrambe le coppie di
chiavi:
Anna cifra il messaggio con la chiave pubblica di Bruno e quindi solo Bruno lo può
leggere;
Anna contemporaneamente firma il messaggio con la propria chiave privata: alla sua
ricezione Bruno, sapendo che il mittente è Anna, prova a decriptarlo con la chiave
pubblica di Anna
Se Bruno riesce a decriptarlo può autenticare Anna come mittente, dato che solo chi
è in possesso della chiave privata ha potuto cifrare il messaggio.