Aggiornamento Sullo Stato Della Crittografia Nell'era Post-Snowden

Aggiornamento sullo stato della crittografia nell'era post-Snowden

Andrea Pasquinucci

A. Pasquinucci -- Crypto Post Snowden -- 21/11/2014 -- Pag. 1 Indice:

 Standard, Protocolli e Algoritmi

 Alcuni esempi pratici

 Sicurezza e Crittografia: di chi mi “fido”?

 La lezione di Snowden

 Conclusioni

A. Pasquinucci -- Crypto Post Snowden -- 21/11/2014 -- Pag. 2 Standard, Protocolli, Algoritmi

 Fare “Sicurezza IT” in pratica vuol dire gestire aspetti  Organizzativi  Tecnici Gli aspetti Tecnici hanno sempre la prevalenza, anche se negli ultimi anni gli aspetti Organizzativi hanno ricevuto maggiore attenzione

A. Pasquinucci -- Crypto Post Snowden -- 21/11/2014 -- Pag. 3 Standard, Protocolli, Algoritmi - 2

 Per gestire gli aspetti Organizzativi ci affidiamo a Standard Internazionali quali  ISO 27001  NIST SP800-53 che decliniamo nella nostra realtà lavorativa

 Poi in pratica abbiamo bisogno di strumenti tecnici che implementino la sicurezza IT

 Per questo acquistiamo da un fornitore strumenti HW / SW

A. Pasquinucci -- Crypto Post Snowden -- 21/11/2014 -- Pag. 4 Standard, Protocolli, Algoritmi - 3

 Per implementare la sicurezza IT, spesso alla base della pila tecnologica viene utilizzata lala crittografiacrittografia  Il primo esempio è la sicurezza in Internet, ove la protezione nello scambio dei dati tra server e browser (fornitore ed utente del servizio) è fornita dalla crittografia

A. Pasquinucci -- Crypto Post Snowden -- 21/11/2014 -- Pag. 5 Standard, Protocolli, Algoritmi - 4

 Per utilizzare la crittografia abbiamo bisogno di  Protocolli che indicano come dobbiamo utilizzare correttamente gli  Algoritmi  I protocolli specificano ad esempio come scambiare le chiavi segrete, quali algoritmi combinare ed in quale maniera per ottenere funzionalità complesse quali la firma digitale, il non-ripudio ecc.

A. Pasquinucci -- Crypto Post Snowden -- 21/11/2014 -- Pag. 6 Ma ...

A. Pasquinucci -- Crypto Post Snowden -- 21/11/2014 -- Pag. 7 La storia di DES (1975)

 Algoritmo sviluppato da IBM

 Ma modificato su suggerimento della NSA (“National Security Agency” USA)  Aggiunta resistenza ad attacchi di “Crittoanalisi Differenziale” (già nota allora a NSA ma scoperta pubblicamente nel 1990)  Diminuita resistenza ad attacchi di Forza Bruta (richiesta chiave di soli 48bit, da 64bit originali, accordo su chiave di 56bit)

A. Pasquinucci -- Crypto Post Snowden -- 21/11/2014 -- Pag. 8 La storia di DES (1975) - 2

 Selezionato da NBS (“National Bureau of Standards”, ora chiamato NIST “National Institute of Standards and Technology” ) e pubblicato come FIPS (“Federal Information Processing Standard”) nel 1977

 Il dibattito sul significato delle modifiche introdotte da NSA è durato almeno 20 anni ...

A. Pasquinucci -- Crypto Post Snowden -- 21/11/2014 -- Pag. 9 La storia di DES (1975) - 3

 Nel 1997 DES rotto a causa della chiave troppo corta (56 bit)

 Nel 1999 DES è sostituito ufficialmente da Triple-DES (chiave di 112bit)

 Nel 2005 DES è ritirato completamente, viene pubblicato AES e NIST suggerisce l'utilizzo di AES anche al posto di Triple-DES

A. Pasquinucci -- Crypto Post Snowden -- 21/11/2014 -- Pag. 10 Dual EC DRBG (2004 – 2014)

 Dual EC DRBG è un “generatore di numeri pseudo-casuali”, genera le chiavi segrete utilizzate per cifrare i dati

 Standardizzato nel 2004 dal NIST, disegnato da NSA

 Era nota sin dall'inizio la possibilità di inserire una backdoor nell'algoritmo: tale backdoor avrebbe consentito di decifrare tutti i dati, ad esempio nel traffico Web (SSL/TLS), da una terza parte a conoscenza della backdoor

A. Pasquinucci -- Crypto Post Snowden -- 21/11/2014 -- Pag. 11 Dual EC DRBG (2004 – 2014) - 2

 Nel 2006 viene dimostrata la presenza della backdoor in Dual EC DRBG

 Nel 2007 Bruce Schneier pubblica in Wired un articolo dal titolo “Did NSA Put a Secret Backdoor in New Encryption Standard?”

 Nel 2013 i documenti di Snowden mostrano che il programma Bullrun di NSA ha volontariamente introdotto la Backdoor in Dual EC DRBG

A. Pasquinucci -- Crypto Post Snowden -- 21/11/2014 -- Pag. 12 Dual EC DRBG (2004 – 2014) - 3

 A fine 2013 RSA è accusata di aver ricevuto 10M$ da NSA per mettere come algoritmo di default nel suo prodotto BSAFE il Dual EC DRBG; RSA afferma di aver sempre implementato quanto indicato da NIST e NSA e nel caso di essere stata raggirata

 Il 21 Aprile 2014 NIST ritira il Dual EC DRBG e suggerisce il suo non utilizzo immediato

A. Pasquinucci -- Crypto Post Snowden -- 21/11/2014 -- Pag. 13 Sicurezza Online

 Intercettare comunicazioni non cifrate su linee geografiche è facile (vedi Google 2013)

 Intercettare traffico Web cifrato è poco più difficile:  I servizi segreti possono farsi rilasciare un certificato da una CA (Certification Authority) per impersonare qualunque sito  E' possibile abusare dei certificati deboli delle CA e creare propri certificati per impersonare qualunque sito

A. Pasquinucci -- Crypto Post Snowden -- 21/11/2014 -- Pag. 14 Sicurezza Online - 2

 Esempi:  Studio di Facebook & Carnegie Mellon: 0,2% delle connessioni Web cifrate (SSL/TLS) con certificati Falsi (Forged), 40% con certificati con errori  Malware Darkhotel: utilizza certificati Falsi (Forged) creati rompendo (vecchi) certificati di CA con md5/RSA 512bit, ancora accettati da alcuni browser, sistemi operativi, applicazioni ecc.  Navigo su un sito che sembra quello giusto, ha un certificato valido secondo il mio browser, ma in realtà è un Phishing con certificato falso!

A. Pasquinucci -- Crypto Post Snowden -- 21/11/2014 -- Pag. 15 Di chi mi “fido”?

 Quando acquistiamo HW/SW di chi ci possiamo fidare per gli aspetti di Sicurezza?  Recentemente i Servizi Segreti Tedeschi hanno chiesto al governo un finanziamento per acquistare sul mercato nero degli exploit 0-day  NSA ha dichiarato che renderà pubblici tutti o quasi tutti gli exploit 0-day di cui verrà a conoscenza  NIST ha dichiarato che non capiteranno più casi come quello di Dual EC DRBG  ... È sufficiente?

A. Pasquinucci -- Crypto Post Snowden -- 21/11/2014 -- Pag. 16 Stato Algoritmi Crittografici

 Algoritmi Simmetrici  AES: OK ma meglio se 256bit  HASH  Md5, SHA1: KO  SHA2: per il momento OK (disegnati da NSA)  SHA3: (Keccak) in corso di pubblicazione come standard FIPS da NIST (con alcune controversie)  Algoritmi Asimmetrici  RSA tradizionale: OK con chiavi da almeno 2048bit  in corso adozione nuovi algoritmi (Curve Ellittiche)

A. Pasquinucci -- Crypto Post Snowden -- 21/11/2014 -- Pag. 17 Crittografia Post Snowden

A pensar male si fa peccato, ma quasi sempre si indovina. (G. Andreotti)

 Le Major americane stanno rivedendo i propri criteri per l'adozione delle procedure di sicurezza, dei protocolli ed algoritmi crittografici  Recenti annunci e decisioni di Google, Microsoft, Mozilla ecc. ad esempio su SSL3 (Poodle) o il supporto a OpenSSL per Heartbleed  Cifratura di tutte le comunicazioni, esterne ed interne!

A. Pasquinucci -- Crypto Post Snowden -- 21/11/2014 -- Pag. 18 Crittografia Post Snowden - 2

 IETF / IRTF (RFC) sta prendendo un maggior ruolo come ente promotore di standard aperti, il suo “Crypto Forum” sta valutando l'adozione di nuovi algoritmi e protocolli, con l'aiuto dei principali crittografi universitari  Grande dibattito nella comunità Crittografica su “Openess”, partecipano anche crittografi di Microsoft, Cisco, Google etc. (esempio: Cryptography ML)

A. Pasquinucci -- Crypto Post Snowden -- 21/11/2014 -- Pag. 19 Crittografia Post Snowden - 3

 Proposta: per la crittografia (e sicurezza IT in generale) accettare ed utilizzare solo Standard pubblici, aperti e concordati sia nel mondo accademico che tra i principali produttori  Esempio: competizioni pubbliche di NIST per AES e SHA3, senza però le modifiche di NSA aggiunte agli algoritmi senza alcuna spiegazione  Farsi carico direttamente delle scelte sull'adozione di crittografia e sicurezza IT, senza affidarsi ciecamente a NIST o simili

A. Pasquinucci -- Crypto Post Snowden -- 21/11/2014 -- Pag. 20 Conclusioni

 Dopo Snowden il mondo della crittografia è cambiato:  Non si fa più riferimento a NIST e NSA  Bisogna trovare chi li sostituisca ed il modo per gestire lo sviluppo e l'approvazione dei nuovi standard  Sarà comunque necessaria una maggiore consapevolezza e partecipazione

A. Pasquinucci -- Crypto Post Snowden -- 21/11/2014 -- Pag. 21 Riferimenti

 Kaspersky, DarkHotel: a spy campaign in luxury Asian hotels, http://blog.kaspersky.com/darkhotel-apt/ http://securelist.com/blog/research/66779/the- darkhotel-apt/

 Huang, Rice, Ellingsen, Jackson, Analyzing Forged SSL Certificates in the Wild, Carnegie Mellon, Facebook, 2014

A. Pasquinucci -- Crypto Post Snowden -- 21/11/2014 -- Pag. 22 Copyright e Licenza

Queste slide sono distribuite sotto la licenza Creative Commons by-nc-nd 2.5: attribuzione, non-commerciale, non-opere-derivate http://creativecommons.org/licenses/by-nc-nd/2.5/

A. Pasquinucci -- Crypto Post Snowden -- 21/11/2014 -- Pag. 23 Grazie

Andrea Pasquinucci

pasquinucci-At-ucci.it www.ucci.it www.erganapt.it

A. Pasquinucci -- Crypto Post Snowden -- 21/11/2014 -- Pag. 24