## Key distribution:
Nel contesto della crittografia a chiave simmetrica, $A$ e $B$ si scambiavano una <b>chiave precondivisa</b> su un costosissimo <b>canale privato</b>.

Introduciamo una nuova entità $\ T \ $ nel setting della comunicazione tra i partecipanti ($A \ $, $B \ $, $M \ $ e tutti gli altri possibili partecipanti). $\ T$ è la <b>trusted authority</b> che ha il compito di <b>precondividere</b> una chiave con tutti i partecipanti:

##### Esempio: $\ A \ $ vuole richiedere a $\ T \ $ una chiave ($k_{AB}$) per comunicare in maniera sicura con $\ B \ $:

$T$ invia a $A$ la chiave $k_{AB}$ cifrata con la chiave ($k_{AT}$) <b>precondivisa</b> tra $A$ e $T$

$A$ $\Rightarrow_{voglio \ k_{AB}}$ $T$

$T$ $\Rightarrow_{E_{k_{AT}}(k_{AB})}$ $A$

#### Needham-Schroeder, 1978 (insicuro):

Protocollo rivelatosi poi <b>insicuro</b> (attacco di <b>Denning-Sacco</b> del 1981, freshness attack: $M$ utilizza una vecchia chiave di una sessione precedente e $B$ la accetta)

#### Bellare-Rogaway, 1995 (sicuro):

Versione sicura del Needham-Schroeder basata su MAC

Parametri inviati:\
$A$ è una sequenza <i>univoca</i> che identifica $A$\
$B$ è una sequenza <i>univoca</i> che identifica $B$\
$r_A$ è la <i>random challenge</i> che $A$ propone\
$r_B$ è la <i>random challenge</i> che $B$ propone

$1. \ A \rightarrow B: \quad A, \ B, \ r_a \quad$ <i>$A$ invia a $B$ la proprià identità, quella di $B$ e la random challenge $r_a$</i>\
$2. \ B \rightarrow T: \quad A, \ B, \ r_a, \ r_b \quad$ <i>$B$ fa lo stesso ma con $T$ e gli invia anche quello che $A$ gli aveva inviato</i>\
$3. \ T \rightarrow A: \quad E_{k_{AT}}(k_{AB}), \ MAC_{k{AT}}(B, \ A, \ r_A, \ E_{k_{AT}}(k_{AB}))$\
$4. \ T \rightarrow B: \quad E_{k_{BT}}(k_{AB}), \ MAC_{k{BT}}(A, \ B, \ r_A, \ E_{k_{BT}}(k_{AB}))$

Nei passi $\ 3 \ $ e $\ 4$, $\ T \ $ invia ai partecipanti la chiave $\ k_{AB} \ $ (cifrata) e un MAC per preservare l'autenticità della chiave cifrata. Il MAC è calcolato sulle identità di $A$ e $B$ e le rispettive random challenge oltre che ovviamente la chiave cifrata: $A$ e $B$ hanno tutti gli elementi per verificare il MAC.   

Senza random challenge, il protocollo sarebbe vulnerabile agli attacchi di tipo freshness.

## Svantaggi del protocollo:

La presenza della trusted authority $T$: 

$T\ $ (o anche KDC, key distribution center) è un <b>single point of failure</b>: se va giù $\ T \ $, va giù tutto il protocollo.\
In più, nella crittografia di massa non è fattibile questo approccio. 



# Crittografia asimmetrica (a chiave pubblica):

## Key exchange:

In un <b>canale pubblico</b> $\ A \ $ e $\ B \ $ vogliono scambiarsi una chiave <i>senza aver mai prima precondiviso</i> segreti, in assenza di canale privato e in assenza di una trusted authority. 

$A$ $\Rightarrow^{M}$ $B$

$M$ può essere passivo o attivo

## Fondamenti di algebra:

### Teoria dei gruppi: 

Un <b>gruppo</b> è una <b>coppia</b> $ \ (G,￮) \ $ dove $\ G \ $ è un insieme e $\ ￮ \ $ è un'operazione binaria e sono verificate le seguenti condizioni:

- <b>chiusura</b>: $\quad \forall x, y \in G: \ \ x \ ￮ \ y \in G \quad$ <i>l'operazione ￮ rimane dentro l'insieme</i>
- <b>associatività</b>: $\quad \forall x, y, z \in G: \ \ x \ ￮ \ (y \ ￮ \ z) = (x \ ￮ \ y) \ ￮ \ z$
- <b>esiste identità</b>: $\quad \exists e \in G: \ \forall x \in G: \ \ x \ ￮ \ e = x$
- <b>esiste inverso</b>: $\quad \forall x \in G: \ \exists y \in G: \ \ x \ ￮ \ y = e$

Un gruppo è <b>abeliano</b> (o commutativo) se vale anche la <b>commutatività</b>:

- <b>commutatività</b>: $\quad \forall x, y \in G: \ \ x \ ￮ \ y  = y \ ￮ \ x$

Se il gruppo è <b>finito</b> indichiamo con $|G|$ il numero degli elementi in $G$ e questo si chiama <b>ordine</b> del gruppo.

$(Z_n, +)$ è un <b>gruppo abeliano</b> di ordine $n$

$(Z_n, *)$ <b>non è sempre</b> un gruppo: $n$ deve essere primo (tutti gli elementi, escludendo lo 0, coprimi con $n$), altrimenti non tutti gli elementi (escludendo lo 0) hanno un inverso moltiplicativo

### Definizioni:

##### Divisibilità:

Si indica $\ d \ | \ n\ $ e si legge $\ d \ $ divide $\ n \ $

$d \ | \ n \iff \exists \ q: \quad n = d \cdot q$

Esempi: $\quad 2 \ | \ 6 \quad 1 \ | \ n \ (\forall n) \quad d \ | \ 0 \ (\forall d)$


##### Congruenza in modulo $n$:

Si indica $\ a =_n b\ $ e si legge $\ a \ $ congruo a $\ b \ $ in modulo $\ n \ $

$a =_n b\ \iff n \ | \ (a-b)$

Esempio: $\quad 25=_6 1 \quad(6 \ | \ (25-1)=24)$

##### Massimo comune divisore:

Si indica con $\ gcd(a,b)$

$gcd(a,b) \ = \ max \ \{d: \ d \ | \ a \ \ and \ \ d \ | \ b\}$

Esempi: $\quad gdc(12,18)=6 \quad gdc(1,n) = 1 \ (\forall n>0) \quad gdc(0,n) = n \ (\forall n>0)$

##### Coprimi:

Si indica con $a \perp b$

$a \perp b \iff gcd(a,b) = 1$

### Proprietà del massimo comun divisore:

##### Lemma #1:

$gcd(a,b) = gcd(a, b-a)$

##### Lemma #2:

$gcd(a,b) = gcd(a, b \ mod \ a)$

##### Lemma #3:

$\exists \ x, y: \quad (x \cdot a) + (y \cdot b) = gcd(a,b)$

#### Lemma #4:

$a \perp n \iff \exists x: \quad a \cdot x =_n 1 \quad$ <i>$a$ e $n$ sono coprimi se e solo se $a$ ammette un <b>inverso</b> moltiplicativo $x$ in modulo $n$</i> 

#### Esempio (Lemma #4):

$n=6$

- $x=0: \ \ gcd(0,6) = 6 \quad \nexists \ inverso \quad (6 \ | \ 6 \ \ $ e $\ \ 6 \ | \ 0)$
- $x=1: \ \ gcd(1,6) = 1 \quad \exists \ inverso: \ 1$
- $x=2: \ \ gcd(2,6) = 2 \quad \nexists \ inverso$
- $x=3: \ \ gcd(3,6) = 3 \quad \nexists \ inverso$
- $x=4: \ \ gcd(4,6) = 2 \quad \nexists \ inverso$
- $x=5: \ \ gcd(5,6) = 1 \quad \exists \ inverso: \ 5$

$5 \cdot 0 = 0 \ mod_6 = 0$\
$5 \cdot 1 = 5 \ mod_6 = 5$\
$5 \cdot 2 = 10 \ mod_6 = 4$\
$5 \cdot 3 = 15 \ mod_6 = 3$\
$5 \cdot 4 = 20 \ mod_6 = 2$\
$5 \cdot 5 = 25 \ mod_6 = 1 \leftarrow$

### Il gruppo $(Z^*_n, \cdot)$

$Z^*_n = \{x \in 0..n-1: \  \ x \perp n \} \quad$ <i>tutti i numeri da 0 a n-1 che siano <b>coprimi</b> con $n \ $ (lo 0 non ci sarà mai)</i> 

Non è detto che aumentando $n$, aumenti anche l'ordine del gruppo:\
$Z^*_2 = \{1 \}$\
$Z^*_3 = \{1, \ 2 \}$\
$Z^*_4 = \{1, \ 3 \}$\
$Z^*_5 = \{1, \ 2, \ 3, \ 4 \}$\
$Z^*_6 = \{1, \ 5 \}$

Se $n$ è <b>primo</b> il gruppo contiene tutti gli elementi da $1$ a $n-1$:\
$Z^*_n = \{1, \ 2, \ ... \  p-1 \}$

$(Z^*_n, \cdot)$ è un gruppo <b>commutativo</b>, $\ \forall \ n$

#### Elevamento a potenza nei gruppi:

$(G, \ \cdot)$ è un gruppo. $\ \forall x \in G \ \ m \in ℕ$:

$x^m = x \cdot \ ... \ \cdot x \quad$ <i>$m$ volte </i> 

Le proprietà delle potenze sono preservate anche nei gruppi:\
$x^1=x$\
$x^{a+b}=x^a \cdot x^b$\
$(x^a)^b = x^{a \cdot b}$

Se il gruppo è <b>commutativo</b>:\
$(x \cdot y)^m = (x \cdot y) \cdot (x \cdot y) \ ... \ (x \cdot y) = x^m \cdot y^m$

### Gruppi ciclici e generatori:

#### Ordine di un elemento di un gruppo: 

L'<b>ordine</b> $|x|$ di un elemento $x$ di un gruppo $(G, \ \cdot)$ è <b>il più piccolo</i> $i>0$ tale che $x^i = 1$

##### Esempio: 

$(Z^x_{15}, \ \cdot)$\
$Z^x_{15} = \{1, \ 2, \ 4, \ 7, \ 8, \ 11, \ 13, \ 14 \}$

$|2| = 4$\
$2^1 = 2$\
$2^2 = 4$\
$2^3 = 8$\
$2^4 = 16 \ \ mod_{15} = 1 \rightarrow |2| = 4$

#### Generatore:

Un generatore $g$ di un gruppo $(G, \ \cdot)$ è un elemento del gruppo $g \in G: \ |g| = |G|$\
L'ordine del gruppo dell'elemento è uguale all'ordine del gruppo (numero di elementi del gruppo)

##### Esempio: 

$(Z^*_7, \ \cdot)$

$Z^*_7 = \{1, \ 2, \ 3, \ 4, \ 5, \ 6 \}$\
$|Z^*_7| = 6 \quad$ <i>6 elementi nel gruppo</i>

3 è un <b>generatore</b> di $Z^*_7$\
$3^1 = 3$\
$3^2 = 2$\
$3^3 = 6$\
$3^4 = 4$\
$3^5 = 5$\
$3^6 = 1 \leftarrow$

$3^6 = 1 \rightarrow |3| = 6$\
$|Z^*_7| = 6$\
$|G| = |g|$

#### Gruppo ciclico :

Un gruppo $(G, \ \cdot)$ è <b>ciclico</b> se esiste un <b>generatore</b> nel gruppo.

Elevando a potenza il generatore del gruppo, visitiamo (otteniamo) tutti gli elementi del gruppo!

#### Teorema:

Se $p$ è <b>primo</b>, allora $(Z^*_p, \ \cdot)$ è <b>ciclico</b>