Please enable JavaScript.
Coggle requires JavaScript to display documents.
Lezione 19: segretezza e crittografia simmetrica - Coggle Diagram
Lezione 19: segretezza e crittografia simmetrica
Gli aspetti fondamentali da prendere in considerazione sono il
punto in cui posizionare la logica di crittografia
e
cosa crittografare
Crittografia di canale
Ogni collegamento vulnerabile tra due dispositivi viene dotato, a entrambe le estremità, di un sistema di crittografia
Necessario un grande numero di dispositivi
Ogni coppia di nodi che condivide un collegamento deve avere una chiave
Tutte le volte che il messaggio entra in uno switch di rete esso deve essere decifrato, in modo da poter leggere l'indirizzo nell'intestazione del pacchetto
In OSI è eseguita a livelli molto bassi
Crittografia end-to-end
All'
estremità di un collegamento tra due host
, non coinvolgono i collegamenti tra dispositivi collocati all'interno dell'architettura di rete
Crittografia eseguita solo dai due sistemi terminali, sorgente e destinazione, che condividono la chiave
In questo caso l'intestazione è in chiaro: i dati dell'utente sono sicuri ma non lo è il loro flusso
Un attaccante può osservare e fare indagini
In OSI eseguita a livelli abbastanza alti
I vari punti di una rete locale e i loro collegamenti costituiscono dei possibili elementi di vulnerabilità. A volte è difficile individuare i punti con maggiore criticità e un attacco può verificarsi in qualsiasi punto
Entrambi i tipi sono necessari per garantire la massima sicurezza
Host esegue crittografia dei dati utenti tramite la chiave di crittografia end-to-end e poi cifra l'intero pacchetto tramite la chiave di crittografia di canale
Distribuzione delle chiavi
Inutile il sistema di crittografia sia sicuro se il metodo di distribuzione delle chiavi non lo è
Una terza parte può scegliere la chiave e consegnarla
fisicamente
ad A e B
Se A e B sono già in possesso di una chiave condivisa possono usarla per scambiarsi la nuova
Se un estraneo dovesse riuscire ad ottenere l'accesso a una chiave individuerebbe anche tutte le successive
A sceglie una chiave e la consegna
fisicamente
a B
Improponibili per end-to-end in quanto ogni host si troverà a dover scambiare dati con molti altri host
Se A e B hanno già un canale crittografato verso una terza parte C, quest'ultima può consegnare loro una chiave tramite i canali
Molto usata per la end-to-end nelle sue varianti
Distribuzione basata su una gerarchia di chiavi: una di
sessione
, usata solo per la durata della connessione logica e una chiave
master
condivisa e distribuita da una terza parte e usata per cifrare la chiave di sessione
A invia al KDC un messaggio con il suo ID, l'ID di B con cui vuole parlare e un timestamp N1
KDC risponde ad A con un codice criptato contenente la chiave master di A, la chiave di sessione, il messaggio originale il tutto concatenato a degli elementi cifrati per B con la chiave master di B contenenti la chiave di sessione e l'ID di A
A manda a B la parte del messaggio per B arrivatagli dal KDC. In questo modo B conoscerà la chiave di sessione e l'ID di A
B manda ad A un nuovo timestamp N2 con la chiave di sessione per assicurarsi che il messaggio ricevuto non sia la replica di un altro
A risponde a B con la chiave di sessione e con una trasformazione del timestamp f(N2), per esempio l'aggiunta del valore 1 ad esso