## Key distribution:
Nel contesto della crittografia a chiave simmetrica, $A$ e $B$ si scambiavano una <b>chiave precondivisa</b> su un costosissimo <b>canale privato</b>.

Introduciamo una nuova entità $\ T \ $ nel setting della comunicazione tra i partecipanti ($A \ $, $B \ $, $M \ $ e tutti gli altri possibili partecipanti). $\ T$ è la <b>trusted authority</b> che ha il compito di <b>precondividere</b> una chiave con tutti i partecipanti:

##### Esempio: $\ A \ $ vuole richiedere a $\ T \ $ una chiave ($k_{AB}$) per comunicare in maniera sicura con $\ B \ $:

$T$ invia a $A$ la chiave $k_{AB}$ cifrata con la chiave ($k_{AT}$) <b>precondivisa</b> tra $A$ e $T$

$A$ $\Rightarrow_{voglio \ k_{AB}}$ $T$

$T$ $\Rightarrow_{E_{k_{AT}}(k_{AB})}$ $A$

#### Needham-Schroeder, 1978 (insicuro):

Protocollo rivelatosi poi <b>insicuro</b> (attacco di <b>Denning-Sacco</b> del 1981, freshness attack: $M$ utilizza una vecchia chiave di una sessione precedente e $B$ la accetta)

#### Bellare-Rogaway, 1995 (sicuro):

Versione sicura del Needham-Schroeder basata su MAC

Parametri inviati:\
$A$ è una sequenza <i>univoca</i> che identifica $A$\
$B$ è una sequenza <i>univoca</i> che identifica $B$\
$r_A$ è la <i>random challenge</i> che $A$ propone\
$r_B$ è la <i>random challenge</i> che $B$ propone

$1. \ A \rightarrow B: \quad A, \ B, \ r_a \quad$ <i>$A$ invia a $B$ la proprià identità, quella di $B$ e la random challenge $r_a$</i>\
$2. \ B \rightarrow T: \quad A, \ B, \ r_a, \ r_b \quad$ <i>$B$ fa lo stesso ma con $T$ e gli invia anche quello che $A$ gli aveva inviato</i>\
$3. \ T \rightarrow A: \quad E_{k_{AT}}(k_{AB}), \ MAC_{k{AT}}(B, \ A, \ r_A, \ E_{k_{AT}}(k_{AB}))$\
$4. \ T \rightarrow B: \quad E_{k_{BT}}(k_{AB}), \ MAC_{k{BT}}(A, \ B, \ r_A, \ E_{k_{BT}}(k_{AB}))$

Nei passi $\ 3 \ $ e $\ 4$, $\ T \ $ invia ai partecipanti la chiave $\ k_{AB} \ $ (cifrata) e un MAC per preservare l'autenticità della chiave cifrata. Il MAC è calcolato sulle identità di $A$ e $B$ e le rispettive random challenge oltre che ovviamente la chiave cifrata: $A$ e $B$ hanno tutti gli elementi per verificare il MAC.   

Senza random challenge, il protocollo sarebbe vulnerabile agli attacchi di tipo freshness.

## Svantaggi del protocollo:

La presenza della trusted authority $T$: 

$T\ $ (o anche KDC, key distribution center) è un <b>single point of failure</b>: se va giù $\ T \ $, va giù tutto il protocollo.\
In più, nella crittografia di massa non è fattibile questo approccio. 



# Crittografia asimmetrica (a chiave pubblica):

## Key exchange:

In un <b>canale pubblico</b> $\ A \ $ e $\ B \ $ vogliono scambiarsi una chiave <i>senza aver mai prima precondiviso</i> segreti, in assenza di canale privato e in assenza di una trusted authority. 

$A$ $\Rightarrow^{M}$ $B$

$M$ può essere passivo o attivo

## Fondamenti di algebra:

### Teoria dei gruppi: 

Un <b>gruppo</b> è una <b>coppia</b> $ \ (G,￮) \ $ dove $\ G \ $ è un insieme e $\ ￮ \ $ è un'operazione binaria e sono verificate le seguenti condizioni:

- <b>chiusura</b>: $\quad \forall x, y \in G: \ \ x \ ￮ \ y \in G \quad$ <i>l'operazione ￮ rimane dentro l'insieme</i>
- <b>associatività</b>: $\quad \forall x, y, z \in G: \ \ x \ ￮ \ (y \ ￮ \ z) = (x \ ￮ \ y) \ ￮ \ z$
- <b>esiste identità</b>: $\quad \exists e \in G: \ \forall x \in G: \ \ x \ ￮ \ e = x$
- <b>esiste inverso</b>: $\quad \forall x \in G: \ \exists y \in G: \ \ x \ ￮ \ y = e$

Un gruppo è <b>abeliano</b> (o commutativo) se vale anche la <b>commutatività</b>:

- <b>commutatività</b>: $\quad \forall x, y \in G: \ \ x \ ￮ \ y  = y \ ￮ \ x$

Se il gruppo è <b>finito</b> indichiamo con $|G|$ il numero degli elementi in $G$ e questo si chiama <b>ordine</b> del gruppo.

$(Z_n, +)$ è un <b>gruppo abeliano</b> di ordine $n$

$(Z_n, *)$ <b>non è sempre</b> un gruppo: $n$ deve essere primo (tutti gli elementi, escludendo lo 0, coprimi con $n$), altrimenti non tutti gli elementi (escludendo lo 0) hanno un inverso moltiplicativo

### Definizioni:

##### Divisibilità:

Si indica $\ d \ | \ n\ $ e si legge $\ d \ $ divide $\ n \ $

$d \ | \ n \iff \exists \ q: \quad n = d \cdot q$

Esempi: $\quad 2 \ | \ 6 \quad 1 \ | \ n \ (\forall n) \quad d \ | \ 0 \ (\forall d)$


##### Congruenza in modulo $n$:

Si indica $\ a =_n b\ $ e si legge $\ a \ $ congruo a $\ b \ $ in modulo $\ n \ $

$a =_n b\ \iff n \ | \ (a-b)$

Esempio: $\quad 25=_6 1 \quad(6 \ | \ (25-1)=24)$

##### Massimo comune divisore:

Si indica con $\ gcd(a,b)$

$gcd(a,b) \ = \ max \ \{d: \ d \ | \ a \ \ and \ \ d \ | \ b\}$

Esempi: $\quad gdc(12,18)=6 \quad gdc(1,n) = 1 \ (\forall n>0) \quad gdc(0,n) = n \ (\forall n>0)$

##### Coprimi:

Si indica con $a \perp b$

$a \perp b \iff gcd(a,b) = 1$

### Proprietà del massimo comun divisore:

##### Lemma #1:

$gcd(a,b) = gcd(a, b-a)$

##### Lemma #2:

$gcd(a,b) = gcd(a, b \ mod \ a)$

##### Lemma #3:

$\exists \ x, y: \quad (x \cdot a) + (y \cdot b) = gcd(a,b)$

#### Lemma #4:

$a \perp n \iff \exists x: \quad a \cdot x =_n 1 \quad$ <i>$a$ e $n$ sono coprimi se e solo se $a$ ammette un <b>inverso</b> moltiplicativo $x$ in modulo $n$</i> 

#### Esempio (Lemma #4):

$n=6$

- $x=0: \ \ gcd(0,6) = 6 \quad \nexists \ inverso \quad (6 \ | \ 6 \ \ $ e $\ \ 6 \ | \ 0)$
- $x=1: \ \ gcd(1,6) = 1 \quad \exists \ inverso: \ 1$
- $x=2: \ \ gcd(2,6) = 2 \quad \nexists \ inverso$
- $x=3: \ \ gcd(3,6) = 3 \quad \nexists \ inverso$
- $x=4: \ \ gcd(4,6) = 2 \quad \nexists \ inverso$
- $x=5: \ \ gcd(5,6) = 1 \quad \exists \ inverso: \ 5$

$5 \cdot 0 = 0 \ mod_6 = 0$\
$5 \cdot 1 = 5 \ mod_6 = 5$\
$5 \cdot 2 = 10 \ mod_6 = 4$\
$5 \cdot 3 = 15 \ mod_6 = 3$\
$5 \cdot 4 = 20 \ mod_6 = 2$\
$5 \cdot 5 = 25 \ mod_6 = 1 \leftarrow$

### Il gruppo $(Z^*_n, \cdot)$

$Z^*_n = \{x \in 0..n-1: \  \ x \perp n \} \quad$ <i>tutti i numeri da 0 a n-1 che siano <b>coprimi</b> con $n \ $ (lo 0 non ci sarà mai)</i> 

Non è detto che aumentando $n$, aumenti anche l'ordine del gruppo:\
$Z^*_2 = \{1 \}$\
$Z^*_3 = \{1, \ 2 \}$\
$Z^*_4 = \{1, \ 3 \}$\
$Z^*_5 = \{1, \ 2, \ 3, \ 4 \}$\
$Z^*_6 = \{1, \ 5 \}$

Se $n$ è <b>primo</b> il gruppo contiene tutti gli elementi da $1$ a $n-1$:\
$Z^*_n = \{1, \ 2, \ ... \  p-1 \}$

$(Z^*_n, \cdot)$ è un gruppo <b>commutativo</b>, $\ \forall \ n$

#### Elevamento a potenza nei gruppi:

$(G, \ \cdot)$ è un gruppo. $\ \forall x \in G \ \ m \in ℕ$:

$x^m = x \cdot \ ... \ \cdot x \quad$ <i>$m$ volte </i> 

Le proprietà delle potenze sono preservate anche nei gruppi:\
$x^1=x$\
$x^{a+b}=x^a \cdot x^b$\
$(x^a)^b = x^{a \cdot b}$

Se il gruppo è <b>commutativo</b>:\
$(x \cdot y)^m = (x \cdot y) \cdot (x \cdot y) \ ... \ (x \cdot y) = x^m \cdot y^m$

### Gruppi ciclici e generatori:

#### Ordine di un elemento di un gruppo: 

L'<b>ordine</b> $|x|$ di un elemento $x$ di un gruppo $(G, \ \cdot)$ è <b>il più piccolo</i> $i>0$ tale che $x^i = 1$

##### Esempio: 

$(Z^*_{15}, \ \cdot)$\
$Z^*_{15} = \{1, \ 2, \ 4, \ 7, \ 8, \ 11, \ 13, \ 14 \}$

$|2| = 4$\
$2^1 = 2$\
$2^2 = 4$\
$2^3 = 8$\
$2^4 = 16 \ \ mod_{15} = 1 \rightarrow |2| = 4$

#### Generatore:

Un generatore $g$ di un gruppo $(G, \ \cdot)$ è un elemento del gruppo $g \in G: \ |g| = |G|$\
L'ordine del gruppo dell'elemento è uguale all'ordine del gruppo (numero di elementi del gruppo)

##### Esempio: 

$(Z^*_7, \ \cdot)$

$Z^*_7 = \{1, \ 2, \ 3, \ 4, \ 5, \ 6 \}$\
$|Z^*_7| = 6 \quad$ <i>6 elementi nel gruppo</i>

3 è un <b>generatore</b> di $Z^*_7$\
$3^1 = 3$\
$3^2 = 2$\
$3^3 = 6$\
$3^4 = 4$\
$3^5 = 5$\
$3^6 = 1 \leftarrow$

$3^6 = 1 \rightarrow |3| = 6$\
$|Z^*_7| = 6$\
$|G| = |g|$

#### Gruppo ciclico :

Un gruppo $(G, \ \cdot)$ è <b>ciclico</b> se esiste un <b>generatore</b> nel gruppo.

Elevando a potenza il generatore del gruppo, visitiamo (otteniamo) tutti gli elementi del gruppo!

#### Teorema:

Se $p$ è <b>primo</b>, allora $(Z^*_p, \ \cdot)$ è <b>ciclico</b>

## One-way trapdoor functions:

L'idea è quella di avere delle funzioni che siano <b>facili da calcolare</b> in un verso, ma <b>difficili</b> da invertire <i>senza conoscere una chiave segreta</i>.

Sfruttando un'analogia del mondo reale, possiamo immaginare un lucchetto: è facile chiuderlo anche senza conoscere la combinazione, ma è davvero difficile aprirlo senza conoscerla.\
Allo stesso modo, immaginiamo una <b>cassetta delle lettere</b>: è facile spedire una lettera a $B$ (basta conoscere il suo indirizzo, <b>chiave pubblica</b>), ma è difficile aprire la cassetta senza conoscere la <b>chiave privata</b> di $B$.

#### Esponenziale discreto:

Utilizzando l'algoritmo ingenuo per il calcolo dell'elevamento a potenza $x^m$, la dimensione dell'input è la rappresentazione in binaria di $x$ ed $m$, ad esempio $n$ bit, mentre la <b>complessità computazionale</b> è $O(2^n) \rightarrow$ inefficiente. 

Esistono però algoritmi noti <b>polinomiali</b>:

<div>
<img src="images/esponenziale_discreto.png" width="420"/>
</div>

#### Logaritmo discreto:

Operazione <b>inversa</b> dell'elevamento a potenza</b>.\
Discreto perchè lavora su un gruppo ciclico finito:

$(G, \ \cdot)$ è un <b>gruppo ciclico</b> con un generatore $g$, allora:

$\forall x \in G: \ \ \ \exists! \ m \in 1..|G| \ : \quad g^m = x$

Per ogni elemento del gruppo, esiste un <b>unico</b> esponente tale che elevando il generatore $g$ a $m$, ottengo l'elemento del gruppo.

Il <b>logaritmo discreto</b> (di base $g$) è quell'<b>unico</b> $m$ tale che $g^m = x$

$log_g x = m$

##### Esercizio: 

$Z^*_{11}$\
$log_2 \ 9$ 

$Z^*_{11} = \{1, \ 2, \ 3, \ 4, \ 5, \ 6, \ 7, \ 8, \ 9, 10 \} \quad 11 \in prime$

$2^1 = 2$\
$2^2 = 4$\
$2^3 = 8$\
$2^4 = 16 \ \ mod_{11} = 5$\
$2^5 = 32 \ \ mod_{11} = 10$\
$2^6 = 64 \ \ mod_{11} = 9 \leftarrow$\
$2^7 = 128 \ \ mod_{11} = 7$\
$2^8 = 256 \ \ mod_{11} = 3$\
$2^9 = 512 \ \ mod_{11} = 6$\
$2^{10} = 1024 \ \ mod_{11} = 1$

$2^6 = 9 \rightarrow log_2 \ 9 = 6$ 3

#### Problema di calcolo del logaritmo discreto:

Informalmente, il <b>problema del logaritmo discreto</b> in un gruppo ciclico $(G, \ \cdot)$ con generatore $g$ è: 

Dato un $x \in G$ random, calcola il $log_g \ x$ 

Diciamo che questo problema relativo al gruppo $(G, \ \cdot)$ e generatore $g$ è difficile (<b>hard</b>) se <b>non esiste</b> un algoritmo $\in PPTIME \ $ che sia in grado di risoverlo tralasciando le probabilità negligible.

Dal momento che tutti i gruppi ciclici finiti sono isomorfi a $(Z_n, \ +)$, la difficoltà del problema dipende dalla rappresentazione di $G$, ovvero dall'algoritmo che genera il gruppo.

Per usare questo problema, bisogna trasformarlo da problema di calcolo a un <b>problema di decisione</b>.\
Questo è possibile grazie alla funzione di <b>Diffie-Hellman</b>.

### Funzione di Diffie-Hellman:

Dato un gruppo ciclico $(G, \ \cdot)$ e un generatore $g$. Definiamo la funzione di Diffie-Hellman $DH$ per ogni coppia $(h_1, \ h_2) \in G$

$DH_g(h_1, \ h_2) = g^{x \cdot y} \quad x = log_g \ h_1 \ \ \ y = log_g \ h_2$

La funzione prende in input tre argomenti: il generatore $g, \ h_1, \ h_2$ e restituisce il generatore $g$ elevato al prodotto dei logaritmi discreti di $h_1, \ h_2$

### Problema di decisione di Diffie-Hellman:

$(G, \ \cdot)$ gruppo ciclico con generatore $g$

Dati $h_1, \ h_2 \in G$ random, discrimina $DH_g(h_1, \ h_2)$ da un $x \in G$ random

(Ricorda molto gli esperimenti di indistinguishability con i PRG)

##### Esempio:

In $\ Z^*_{9451485124}$ qual è $DH_2(454561563, \ 23587423329)$ ? \
456158942 è la risposta oppure è soltanto un elemento a caso del gruppo? 

##### Assunzione:

Ci sono rappresentazioni di $G$ per le quali il problema è <b>hard</b>.

## Diffie-Hellman key exchange (1976):

$n$ parametro di sicurezza\
$Gen(1^n) \ $ algoritmo PPTIME che genera un gruppo ciclico $(G, \ \cdot)\ $di ordine $q \ $ ($||q|| = n$) e con generatore $g$

$0. \ A: \quad (G, q, g) \leftarrow Gen(1^n) \quad a \leftarrow \{1..q-1\} \quad \ $ <i> $A \ $genera un gruppo ciclico e un numero random $\ a < q $</i>\
$1. \ A \rightarrow B: \quad (G, q, g) \ \ g^a \quad \quad$ <i>$A$ invia a $B$ il gruppo e il generatore elevato al numero random $a$</i>\
$2. \ B \rightarrow A: \quad g^b \quad \quad \quad \quad \quad $ <i>$B$ sceglie un $b<q$ e invia ad $A: \ $ $g^b$</i> 

Il <b>segreto</b> (es: la chiave da scambiare) è $K_{AB} = g^{a \cdot b}$

$B$ può conoscere il segreto facendo l'elevamento a potenza di quello che $A$ gli ha inviato con il proprio $b$: $(g^a)^b = g^{a \cdot b}$\
$A$ può conoscere il segreto facendo l'elevamento a potenza di quello che $B$ gli ha inviato con il proprio $a$: $(g^b)^a = g^{b \cdot a}$

$g^{a \cdot b} = g^{b \cdot a}$

$A$ non ha mai condiviso il suo $a$ segreto\
$B$ non ha mai condiviso il suo $b$ segreto\
Entrambi hanno inviato $g$ elavato il proprio segreto!

$M$ leggendo sul canale $g^a$ e $g^b$ non può ricostruire il segreto $g^{a \cdot b}$, infatti conoscerebbe soltanto $g^{a+b} \neq g^{a \cdot b}$

### Esperimento Key Exchange:

$π$ è il protocollo di key exchange\
$M$ è l'attaccante

Il protocollo produce in <b>output</b> il log $\ L \ $ di tutti i messaggi scambiati e la chiave $K_{AB}$

$KE_{π, M}(n):$

$1. \ A, B \ $ eseguono il protocollo $\ π(n)$\
$2. \ A, B \rightarrow M: \quad L, \ K' \quad \quad \quad K' \ = \ (b \ == \ 0) \ ? \ K_{AB} \ : \ \{0,1\}^n$\
$3. \ M: \quad b_m$

L'esperimento ha successo $\ KE_{π, M}(n) = 1 \ $ se $\ b_m = b \ $

$A$ e $B$ eseguono il protocollo e inviano all'attaccante $M$ il log dei messaggi scambiati e un $K'$ influenzato dall'esito di un bit $b$ random (come i precedenti esperimenti). \
Se $b=0$, $A$ e $B$ inviano a $M$ la chiave, altrimenti una sequenza random.\
$M$ è chiamato a distinguere la chiave da una sequenza random: ovvero, come al solito deve indovinare il bit $b$.

### Sicurezza di un protocollo di Key Exchange in presenza di eavesdroppers:

Uno schema di key exchange è sicuro in presenza di <b>eavsdroppers</b> se: 

$\forall M \in PPTIME: \quad Pr(KE_{π, M}(n) = 1) \leq 1/2 + negl(n)$

L'attaccante è passivo e non attivo: non può interagire con $A$ e $B$ (irrealistico)!

### Teorema: 

Se il problema di decisione di Diffie-Hellman su $(G, \ \cdot)$ è <b>hard</b>, allora il protocollo di key exchange di Diffie-Hellman è <b>sicuro in presenza di eavesdroppers</b>.

### Attaccante <b>attivo</b>: attacco man in the middle a Diffie-Hellman:

##### Diffie-Hellman: 

$0. \ A: \quad (G, q, g) \leftarrow Gen(1^n) \quad a \leftarrow \{1..q-1\}$\
$1. \ A \rightarrow B: \quad (G, q, g) \ \ g^a$\
$2. \ B \rightarrow A: \quad g^b$

##### Attacco MiM: 

$I(A)\ $ l'attaccante sta impersonando $A$ ($A$ non riceve i messaggi intercettati)\
$I(B)\ $ l'attaccante sta impersonando $B$ ($B$ non riceve i messaggi intercettati)

$1. \ A \rightarrow I(B): \quad (G, q, g) \ \ g^a$\
$1. \ I(A) \rightarrow B: \quad g^{a'}$\
$2. \ B \rightarrow I(A): \quad g^b$\
$2. \ I(B) \rightarrow A: \quad g^{b'}$

Quello che $M$ sta facendo è <b>creare due chiavi fasulle</b> che condivide con $A$ e $B$ senza che questi se ne accorgano ($a' \ $ e $b' \ $ li sceglie proprio $M$).

Quando $A$ e $B$ devono comunicare, $M$ si mette nel mezzo e utilizza le chiavi fasulle:

$K_{AM} = g^{b' \cdot a} \ $ conosciuta da $A$ e $M$\
$K_{BM} = g^{a' \cdot b} \ $ conosciuta da $B$ e $M$

## Encryption a chiave pubblica:

#### Piccolo teorema di Fermat:

Sia $(G, \ \cdot)$ un gruppo finito.

$\forall x \in G: \quad x^{|G|}=1$

##### Esempio: 

$Z^*_{6} = \{1, 5\}$\
$|Z^*_{6}| = 2$

$1^2 = 1$\
$5^2 = 25 \ mod_6 = 1$

#### Corollario:

Sia $(G, \ \cdot)$ un gruppo finito.

$\forall x \in G, \ \ \forall i \in ℕ: \quad x^{i}=x^{i \ mod_{|G|}}$

Questo corollario ci permette di calcolare in maniera più veloce $x^i$

### Teorema delle permutazioni:

Sia $(G, \ \cdot)$ un gruppo di ordine $m>1$.\
Sia $f_k \in G \rightarrow G \ $ tale che $\ f_k(x) = x^k$

Se $e \perp m$, allora $f_e$ è una permutazione (ovvero, $f_e$ è <b>biiettiva</b>)

##### Dimostrazione:

Per il <b>lemma 4</b>: $\ \ e \perp m \implies \exists \ d : \ \ \ e \cdot d =_m \ 1$

Proviamo che $f_d$ è l'<b>inversa</b> di $f_e$:

$f_d(f_e(x)) \ = \ f_d(x^e) \ = \ (x^e)^d \ = \ x^{e \cdot d} \ = \ x^{e \cdot d \ mod_m} \ = \ x^1 \ = \ x$

$x^{e \cdot d} \ = \ x^{e \cdot d \ mod_m}\quad$ <i>per il corollario del piccolo teorema di Fermat</i>\
$x^{e \cdot d \ mod_m} \ = \ x^1 \quad$ <i>per il lemma 4 visto che $\ \ e \perp d \ \ $ e si sta facendo il prodotto in modulo $m$</i>

Nel contesto della <b>crittografia a chiave pubblica</b>, pensiamo a:\
$e$ come la chiave pubblica per effettuare l'encryption (tutti possono effettuare l'encryption con una chiave pubblica)\
$d$ come la chiave privata per effettuare la decryption (solo chi possiede la chiave privata può effettuare la decryption)

$d\ $ e $\ e \ $ devono essere l'uno l'inverso dell'altro

#### Problema:

Come possiamo garantire che condividendo pubblicamente $\ e \ $ qualcuno non sia in grado di ottenere la chiave privata $ \ d \ $?

### Funzione di Eulero:

La funzione di Eulero $ Φ \in  ℕ \rightarrow ℕ$

$Φ(N) = |Z^*_N|$

restituisce la cardinalità (l'ordine) del gruppo $Z^*_N = \{x \in \ 0 \ .. \ N \ \ | \ \ x \perp N \}$

#### Teorema:

Se $N$ è primo, $\ \ Φ(N)=N-1$

#### Esempio:

$Z^*_{7} = \{1, \ 2, \ 3, \ 4, \ 5, \ 6 \}$\
$|Z^*_{7}| \ = \ Φ(7) = 7 - 1 = 6 $

#### Teorema:

Se $N$ è il prodotto di due numeri primi $p$ e $q$ $\ (N = p \cdot q)$ e $\ p \neq q \ $, allora $\ Φ(N)=(p-1)(q-1)$

#### Esempio:
$N = 10 = 5 \cdot 2$\
$Z^*_{10} = \{1, \ 3, \ 7, \ 9 \}$\
$|Z^*_{10}| \ = \ Φ(10) = (5-1)(2-1) = 4 $

Questo teorema è importante perchè ci permette di calcolare $\ Φ(N) \ $ in maniera efficiente conoscendo $\ p \ $ e $\ q \ $

### Teorema di Eulero:

$x \perp N \ \implies \ x^{Φ(N)} \ \ mod_N = 1$

#### Dimostrazione:

Sappiamo che $(Z^*_N, \cdot)$ è un gruppo commutativo di ordine $Φ(N)$.

Per il piccolo teorema di Fermat in $Z^*_N \quad x^{Φ(N)} = 1$

Quindi, in $Z$: $\quad x^{Φ(N)} \ mod_N \ = \ 1 $

### Permutazioni in $(Z^*_N, \cdot)$:

Sappiamo già che in ogni gruppo $(G, \cdot)$ di ordine $m>1$:

$e \perp m \implies f_e(x)=x^e \ \ \ $ è una permutazione

$f_e^{-1} = f_d \quad \quad d=e^{-1} \ mod_m$

Il gruppo $(Z^*_N, \cdot)$ ha ordine $Φ(N)$, quindi:

$e \perp Φ(N) \implies f_e(x)=x^e \ \ \ $ è una permutazione

$f_e^{-1} = f_d \quad \quad d=e^{-1} \ mod_{Φ(N)}$

Per invertire $f_e$ è necessario conoscere $Φ(N)$!

L'obiettivo è scegliere un $N$ in modo che il partecipante onesto che vuole creare la sua coppia di chiavi sia in grado di calcolare efficientemente $Φ(N)$, ma l'attaccante no!

L'attaccante può cercare di <b>fattorizzare</b> $N$ per conoscere $\ p \ $ e $\ q \ $ e quindi $\ Φ(N)$.\
Non sono noti algoritmi efficienti per fattorizzare un numero primo

#### Notazione:

$||n|| = \ $ dimensione in bit di $n$

## Cifrario RSA:

$GenRSA(1^n):$

Algoritmo per generare la chiave pubblica e la chiave privata (con parametro di sicurezza $n$)

$1.\quad$ genera due numeri primi $p$ e $q$ tali che $p \neq q$ e $||p|| = ||q|| = n$\
$2. \quad$ calcola $\ \ N = p \cdot q$\
$4. \quad$ calcola $\ \ Φ(N) = (p-1) \cdot (q-1)$\
$5. \quad$ scegli un $\ e \ $ random tale che $ \ 1 < e < Φ(N) \ \ and \ \ e \perp Φ(N)$\
$6. \quad$ calcola $\ \ d = e^{-1} \ mod_{Φ(N)}$\
$7. \quad$ return $\ \ (N, \ e, \ d)$

Già dagli anni '70 (del Novecento) si conoscevano algoritmi <b>probabilistici</b> per determinare se un numero fosse primo (con una certa tolleranza).\
Nel 2002 è stato scoperto un algoritmo <b>deterministico</b> polinomiale per decidere se il numero è primo o no (AKS algorithm). \
Quindi per generare $p$ e $q$ si possono generare numeri pseudorandom con i generatori che abbiamo visto e controllare se la sequenza pseudorandom è prima oppure no con l'AKS.\
Se non lo è incremento, e così via.

$RSA = (Gen, Enc, Dec)$

$Gen: \ \ $ con input $n$ genera i parametri: esegue $\ GenRSA(1^n) \ $ per ottenere $\ (N, \ e, \ d)$

La chiave pubblica è $\ p_k \ = \ (N, \ e)$\
La chiave privata è $\ p_s \ = \ (N, \ d)$

$Enc:$ \
$\quad \quad E_{pk}(x) = x^e \ \ mod_N$ 

$Dec:$ \
$\quad \quad D_{sk}(x) = y^d \ \ mod_N$ 

### Il problema della fattorizzazione:

Dati due interi $x$ e $y$, calcolare il prodotto $x \cdot y$ è molto facile.\
Il problema inverso, il problema della <b>fattorizzazione</b> è <b>considerato</b> difficile: non sono noti al momento algoritmi efficienti polinomiali

Dato $\ N \ $, trova $\ x,y > 1 \ \ $ tali che $ \ \ x \cdot y = N$

$N \ $ però deve essere sufficientemente grande per rendere il problema difficile.

Dato $\ N \ $ tale che $\ e \perp Φ(N) \ $ e un $\ \ y \in Z^*_n$

Trova $\ x \in Z^*_n \ $ tale che $\ x^e \ mod_N = y \ $

Ovvero: 

Trova un plaintext $x$ tale che $E_{pk}(x) = y$

Se $p$ e $q$ sono numeri primi sufficientemente grandi, RSA è <b>considerato</b> sicuro.

# Firma digitale:

## Digital signature schemes:

$A\ $ vuole mandare a $\ B \ $ un messaggio <b>autenticato</b> $\ x \ $.

$A \ $ firma il messaggio $x$ con la sua <b>chiave privata</b>: $\quad y = sig_{sk_A}(x) \quad$ e ottiene la <b>firma</b> $\ y$

$B \ $ verifica la firma $y$ con la <b>chiave pubblica</b> di $A$ $\quad ver_{pk_A(x,y)}$

Un <b>signature scheme</b> è una tripla di algoritmi PPTIME

- $gen: \ $ prende in input un parametro di sicurezza $\ 1^n \ $ e restituisce la coppia di chiavi $(pk, sk)$ dove $pk$ e $sk$ hanno almeno $n$ bit
- $sig: \ $ prende in input $sk$ e un messaggio $x \in \{0,1\}^* \ $ e restituisce una <b>firma</b> $\ sig_{sk}(x)$
- $ver: \ $ prende in input $pk$ un messaggio $x$ e una firma $y$ e restituisce in output un <b>booleano</b> $\ \ ver_{pk}(x,y)$

$ver_{pk}(x,y) \ \ = \ \ (y = sig_{sk}(x)) \ \ ? \ \ true \ \ : \ \ false$

## RSA signature scheme:

Soltanto il proprietario della chiave privata può firmare un messaggio:

$sig_{sk}(x) = D_{sk}(x) \quad \quad$ <i>decryption per firmare</i>

Chiunque conosca la chiave pubblica può verificare la firma:

$ver_{pk}(x,y) \ \ = \ \ (E_{pk}(y) = x) \ \ ? \ \ true \ \ : \ \ false$

Condizione di correttezza:

$y = sig_{pk}(x) \implies E_{pk}(y) = E_{pk}(D_{pk}(x)) = x \implies ver_{pk}(x,y) = true$

## Forgeries:

$A$ ha generato un key-pair $(sk, \ pk) \ $ e ha firmato un insieme $\ X \ $ di messaggi $ \ X = \{x_1, \ x_2, \ ... \}$

Una <b>forgery</b> è una <b>coppia</b> $(x, \ y)$ tale che:
- $y = sig_{sk}(x)$
- $x \notin X \quad$ <i>$A$ non ha mai firmato $x$</i>

Questa definizione di forgery è esattamente la contropparte a chiave pubblica delle forgery nel contesto dei MAC.\
In base all'avversario e al suo obiettivo, possono esistere diversi tipi di forgeries.

##### Forgeries in base alla conoscenza dell'avversario:

- key-only attacks: $M$ conosce soltanto la chiave pubblica $pk$
- known message attacks: $M$ conosce un insieme di messaggi con rispettive firme create da $A$
- chosen message attacks: $M$ può scegliere un insieme arbitrario di messaggi e chiedere a $A$ di firmarli

##### Forgeries in base all'obiettivo dell'avversario:

- total break: $M$ vuole ottenere $sk$ in modo da firmare poi ogni successivo messaggio
- selective forgery: $M$ ottiene la forgery di un messaggio che vuole
- existenctial forgery: $M$ riesce a creare una forgery ma di un messaggio che non ha desideratamente scelto

### Attacchi al RSA signature scheme:

##### Key only attack:

$M$ conosce solo la chiave pubblica\
$M$ sceglie il valore della firma (attenzione: non sceglie il messaggio)\
$M$ calcola $x = E_{pk}(y) \ \ $ <i>è come se $M$ stesse verificando un $y$ virtualmente ottenuto (l'ha scelto lui)<i>

$E_{pk}(y) = x \implies ver_{pk}(x,y) = true$

Questo <b>key-only attack</b> ha prodotto una <b>existential forgery</b>.\
È un attacco <b>non distruttivo</b> visto che $M$ non ha scelto il messaggio da firmare, ma ha soltanto <b>verificato</b> una firma $y$ fasulla con la chiave pubblica, ottenendo un valore <i>spazzatura</i>.

##### Known message attack:

<div>
<img src="images/rsa_sign_attack_2.png" width="470"/>
</div>

##### Chosen message attack:

<div>
<img src="images/rsa_sign_attack_3.png" width="470"/>
</div>

### Soluzione: utilizzare le funzioni hash

Non si firma più il messaggio, ma l'<b>hash del messaggio</b> avendo così vantaggi dal punto di vista della sicurezza e dell'efficienza.

Firmare un messaggio: $\ \ sig_A^H(x) = sig_A(H(x))$

Verificare una firma. $\ \ ver_A^H(x,y) = ver_A(H(x),y)$

Correttezza: $\ \ sig_A^H(x) = sig_A(H(x)) \implies ver_A^H(x,y) = ver_A(H(x),y) = true$ 

Se $H$ è <b>sicura</b>, allora gli <b>attacchi agli schemi</b> di firma RSA <b>non sono più praticabili</b>.

### Esempio di attacco con H non sicura:

$H$ non è second-preimage resistant: $M$ è in grado di trovare un $x'$ con lo stesso hash di un dato $x$

$1. \ \ M$ sceglie $x$\
$2. \ \ H$ non è second-preimage resistant $\implies M$ calcola $x' \neq x \ . \ \ H(x')=H(x)$\
$3. \ \ M$ chiede a $A$ di firmare x' perchè sa che $\ sig^H_{sk}(x') = sig^H_{sk}(x)$\
$4. \ \ (x,y)$ è una forgery

$ver^H_{pk}(x,y) = ver_{pk}(H(x),y) = ver_{pk}(H(x'),y) = true$

Questo è un <i>attacco pericoloso</i>: <b>selective forgery</b> con <b>chosen message attack</b> 

## Verificare l'identità con le firme digitali:

Il verifier $B$ invia una random challenge $r$ al claimant $A$\
$B$ accetta se la verifica di $r$ e la firma è valida

$1. \ B \rightarrow A: \quad r$\
$2. \ A \rightarrow B: \quad sig_{A}(r)$

Questo protocollo è <b>sicuro</b>.

## Station-to-station key exchange:

Il protocollo di scambio di chiavi Diffie-Hellman è sicuro quando l'attaccante è passivo, però quando $M$ diventa attivo, il protocollo è vulnerabile agli attacchi di tipo Man in the Middle.

Con la <b>firma digitale</b> si riesce a scongiurare l'attacco:

(omettiamo, dando per scontati, la generazione e l'invio del gruppo $G$ a $B$)

$1. \ A \rightarrow B: \quad g^a$\
$2. \ B \rightarrow A: \quad g^b, \ sig_B(A, g^b, g^a)$\
$3. \ A \rightarrow B: \quad g^a, \ sig_A(B, g^a, g^b)$

$A$ e $B$ questa volta accettano soltanto se la firma è valida

$M$ può tentare di inviare i suoi $g^{a'}$ e $g^{b'}$ fasulli, ma non è in grado di firmare i messaggi