Criptografia e Aplicações à Segurança da Informação Prof. Ricardo Dahab Instituto de Computação Universidade Estadual de Campinas Brasília, 22 de agosto de 2012
Um pouco de história < 1970s. Criptografia provê basicamente sigilo de comunicações: Meio diplomático e militar, entretenimento. Grande relevância na Segunda Guerra Mundial: Bletchley Park, Alan Turing, W.T. Tutte et al. Colossus, o primeiro computador da era moderna. Vejam www.youtube.com/watch?v=jf48sl15ocg 1976. Novos paradigmas. New directions in Cryptography (W. Diffie e M. Hellman). Criptografia de chave pública. Convergência notável: Criptografia pública na era da Internet. Esforços iniciaram-se no meio militar, na década de 1960.
Muito além do sigilo Hoje, técnicas criptográficas são maciçamente empregadas no comércio eletrônico e na prevenção de incidentes de segurança. Encriptação, assinaturas digitais e funções de autenticação criptográficas (hash) estão no cerne do comércio eletrônico e segurança das redes de computadores. Pesquisa na área também transformou-se. Tradicionalmente embasada na estatística e álgebra linear: ainda permanecem pilares importantes. Hoje é multidisciplinar: Teoria dos Números, Teoria da Computação, Complexidade Computacional, Teoria dos Códigos e Reticulados, Computação e Física Quântica, Teoria da Informação Quântica, Métodos Formais, Álgebra.
Os tijolos básicos da Criptografia Criptografia simétrica (ou de chave secreta). Criptografia assimétrica (ou de chave pública). Funções de resumo criptográfico (hash). Todas usam o conceito de função de mão única (one-way functions).
Criptografia simétrica m Enc Alice c canal inseguro Dec Beto m k k Alice e Beto desejam trocar mensagens m (texto claro) em sigilo; Alice aplica uma função (ou algoritmo) de encriptação Enc k (m), que transforma m numa mensagem encriptada ou texto encriptado c, sob a ação da chave k. Ao receber c, Beto aplica a função de decriptação Dec k (c), recuperando m.
Criptografia simétrica O objetivo é produzir um texto c que não guarde relação alguma com m. A inclusão da chave k no processo tem o objetivo de dar o poder de transformar c em m apenas a quem conhece k (sigilo). Enc. (.) deve ser projetada de forma que seja muito difícil para Ivo calcular m a partir de c sem conhecimento de k. A quantidade de chaves possíveis deve ser muito grande, para evitar uma busca exaustiva de k. Alice e Beto têm que estabelecer a chave k em sigilo antes do seu uso!!
Alguns algoritmos simétricos modernos Data Encryption Standard (DES), 1977. Advanced Encryption Standard (AES), 2000. NIST (1997-1999): MARS, RC6, Serpent, Twofish. NESSIE (2003): MYSTY1, AES, Camellia (ISO 2005). CRYPTREC (2002): Camellia, SC2000, Hierocrypt-3, CIPHERUNICORN-A. ECRYPT (European Network of Excellence for Cryptology) 2004-2008: Kasumi (64-128), AES.
Criptografia assimétrica m Enc Alice eb c canal inseguro Dec Beto db m Alice aplica uma função de encriptação Enc eb (m), que transforma m numa mensagem encriptada c, sob a ação da chave e B. Beto então aplica a função de decriptação Dec db (c), recuperando m. No caso de mensagens de Beto para Alice, as chaves usadas são: e A para encriptação e d A para decriptação.
Criptografia Assimétrica Note que: As chaves e B, d B são ambas de Beto. A primeira, e B, é a chave pública de Beto, distribuída e utilizada livremente. A segunda, d B, é de conhecimento exclusivo de Beto, sua chave privada. A chave e B é utilizada para encriptação de mensagens para Beto e d B para decriptação dessas mensagens. O mesmo se aplica para as chaves de Alice (e A e d A ). Não é mais necessário um acordo prévio de chaves, já que cada usuário deve necessariamente gerar o seu próprio par de chaves. Alice precisa ter certeza de que e B pertence, de fato, a Beto. Necessidade de certificação de chaves públicas.
Premissas do modelo assimétrico Enc. (.) deve ser unidirecional para cada chave e X, a menos que se conheça a chave d X de decriptação obviamente, e B e d B são relacionadas, mas não deve ser possível calcular d B a partir do conhecimento de e B, em tempo hábil; consequentemente, o número de possibilidades para d B deve ser muito alto (centenas a milhares de bits!)
Criptografia assimétrica - assimetria A assimetria deste modelo é evidente: o poder na transmissão de mensagens de Alice para Beto é de Beto, o destinatário. Só Beto consegue decriptar mensagens, usando sua chave privada d B. Outro subproduto marcante da assimetria é a possibilidade de que Beto possa assinar mensagens enviadas a Alice e outros. Imaginemos que existam funções Sign db (.)) e Ver eb ( ), com a propriedade de que Ver eb (m, s) retorna 1 quando s = Sign db (m), e 0 caso contrário. Teremos em s o equivalente de uma assinatura digital de Beto em m, provendo assim irretratabilidade das mensagens assinadas por Beto. Criptografia assimétrica = de chave pública.
Alguns sistemas de chave pública populares RSA, 1978. ElGamal, 1984-1985. Rabin, 1979. Curvas Eĺıpticas, Miller e Koblitz, 1985. DSA, 1991. Proposto por NIST. ECDSA, NIST (1999). IBE, 2000 (Criptografia Baseada em Identidades).
Criptografia Quântica Informação não é transformada mas enviada em claro por um canal onde não pode ser lida por um intruso de forma imperceptível. Isto é, em vez de esconder a informação, coíbe o acesso a ela. Início da década de 1970, S. Wiesner lançou idéias seminais sobre o uso de estados conjugados de partículas elementares para codificar e transmitir informação. Idéias formaram a base do trabalho de C. Bennett e G. Brassard (1984), o primeiro a descrever um protocolo completo para o acordo de uma chave (necessariamente!) aleatória, sem comunicação prévia entre as partes.
Criptografia Quântica Os trabalhos de Wisner, Bennett e Brassard tornou possível o sonho da cifra perfeita, o one-time pad: Dado um texto t e uma chave k aleatória, nunca usada, de comprimento igual ao de t, então o texto encriptado c = t k tem segredo perfeito, isto é, a divulgação de c não oferece informação alguma sobre t que já não fosse conhecida antes. Até hoje, esse acordo quântico de chaves (quantum key agreement) é a única aplicação bem sucedida de técnicas quânticas em Criptografia, tendo inclusive gerado produtos comerciais. Não se conhecem métodos quânticos para encriptação e há outros resultados negativos.
Funções de resumo criptográfico Uma função de resumo criptográfico (hash)) é uma função H : {0, 1} {0, 1} n, satisfazendo às seguintes propriedades: Resistência a inversão: Dado um resumo r, é inviável encontrar m tal que r = H(m). Resistência à segunda inversão: Dado um resumo r e m 1 tal que r = H(m 1 ), é inviável encontrar m 2 m 1 tal que r = H(m 2 ). Resistência a colisões: Dado um resumo r, é inviável encontrar m 1 m 2 tais que H(m 1 ) = H(m 2 ). Algoritmos mais usados MD5, SHA-1, SHA-2. NIST em busca de novos. Muito úteis: assinaturas, códigos de autenticação, etc.
Um pouco mais da história recente 1970s. Primeiro método padronizado para uso civil (des). Várias propostas de sistemas de chaves públicas surgiram, baseadas na Teoria dos Números (RSA, Rabin) e Álgebra (Merkle-Hellman, McEliece).
Um pouco mais da história recente 1980s. Consolidação do rsa (baseado na fatoração de inteiros). Alternativas relegadas ao segundo plano (eficiência, fragilidade). Surgimento dos sistemas baseados em curvas eĺıpticas (ecc) (baseados no logaritmo discreto). Primeiras ameaças ao des. Método de acordo de chaves baseado em efeitos quânticos. Primeiras funções de hash (resumo criptográfico).
Um pouco mais da história recente 1990s. Predominância clara do rsa. Primeiros dispositivos portáteis: aumento da popularidade dos ecc. Obsolescência do des: advento do aes. Novas funções de resumo. Emparelhamentos bilineares ganham notoriedade: Criptografia baseada em identidades (ibe). Advento dos algoritmos quânticos de P. Shor (fatoração e logaritmo discreto em tempo polinomial).
Um pouco mais da história recente 2000s Novos paradigmas de certificação de chaves públicas, impulsionados pelo advento de emparelhamentos. Novos protocolos baseados em emparelhamentos bilineares. Grande ênfase na demonstração formal da robustez de protocolos criptográficos. De volta ao passado: algoritmos pós-quânticos, baseados em códigos, reticulados, e outros. Ameaças sérias aos algoritmos de resumo: competição por novos em curso. Migração da criptografia para o hardware.
Desafios de hoje Computação ubíqua: dispositivos embutidos e/ou de baixo poder, comunicação sem fio, vulnerabilidade. Criptografia leve, baseada em ecc ou menos. Redes adhoc: ameaças à privacidade, dificuldade de autenticação, roaming. Formas alternativas de identificação e autenticação. Computação em nuvem: ameaças ao sigilo e privacidade. Computação com dados encriptados (encriptação homomórfica). Ataques ao hardware: Vazamento por canais secundários ou intrusão direta. Métodos para uniformizar código e esconder perfis de execução.
Criptografia no Brasil Várias instituições têm grupos ativos de pesquisa em criptografia: UNICAMP, USP, UnB, UFMG. Há muitas outras na área mais ampla de Segurança da Informação e Sistemas. Participação na SBC dentro da Comissão Especial de Segurança. Evento da área é o SBSeg, com parte do programa dedicado à Criptografia. Promoção do WCAP (UNICAMP e SBSeg) levou à criação do Latincrypt realizado pela primeira vez em 2010, em Puebla, México.
Criptografia no mundo Veja o site da International Association for Cryptologic Research (www.iacr.org) para conferências e outros links internacionais de qualidade. Crypto. A mais tradicional. Acontece nesta semana. CHES Cryptographic Hardware Embedded Software. A mais importante para segurança em sistemas embarcados. Eurocrypt, Asiacrypt, Africacrypt, Indocrypt, Latincrypt. Visite o site do eprint (Cryptology eprint Archive) (eprint.iacr.org) para artigos com as últimas contribuições da comunidade.
Próximos eventos nas proximidades Latincrypt 2012 em Santiago http://latincrypt.clcert.cl SBSeg 2012 em Curitiba (com WFC) http://sbseg2012.ppgia.pucpr.br CANS 2013 em Paraty http://em.breve...