Plan wykładu. Ochrona zasobów w systemach gospodarki elektronicznej. Usługi ochrony. Klasyfikacja zagrożeń. Wykład: Systemy gospodarki elektronicznej

Transkrypt

1 Ochrona zasobów w systemach gospodarki mgr inż. K. Trybicka-Francik Plan wykładu Rola kryptografii Klasyfikacja usług kryptograficznych Umieszczenie funkcji szyfrującej Generacja i dystrybucja y Złożone systemy kryptograficzne Wprowadzenie zbiory: kradzież, kopiowanie, nieupoważniony dostęp procesor urządzenia: awaria układów ochronnych, spowodowanie awarii oprogramowania oprogramowanie: awaria zabezpieczeń, sterowanie dostępem, kontrola granic pamięci Słabe punkty sieci komputerowych operator: zamienienie systemu operacyjnego, ujawnienie zabezpieczeń emisja ujawniająca konserwator: wyłączenie urządzeń ochrony, użycie nie współdziałających z systemem programów pomocniczych podsłuch programista systemowy: zneutralizowanie zabezpieczeń, dopisanie wejść, ujawnienie zabezpieczeń przesłuch centrum przełączające urządzenia: niewłaściwe połączenia, zwarcia różnych linii emisja ujawniająca podsłuch przesłuch użytkownik: identyfikacja, uwierzytelnianie, subtelne modyfikacje oprogramowania dostęp: dołączenie podsłuchowych urządzeń rejestrujących Wprowadzenie Usługi ochrony Poufność Uwierzytelnienie Nienaruszalność Niezaprzeczalność Kontrola dostępu Dyspozycyjność Wprowadzenie Miejsce przeznaczenia informacji Klasyfikacja zagrożeń Wprowadzenie Model ochrony dostępu do sieci Zagrożenia pasywne Zagrożenia aktywne (c) Przerwanie sieć Przechwycenie: Odkrycie treści komunikatu Analiza przesyłu (d) Modyfikacja Napastnik (B) Przechwycenie Napastnik (e) Podrobienie Napastnik Copyright by Katrzyna Trybicka-Francik 1

2 Wprowadzenie Model ochrony danych w sieci Klasyfikacja usług kryptograficznych Terminologia KRYPTOGRAFIA tekst jawny sieć szyfrowanie deszyfrowanie przetwarzanie o charakterze ochronnym komunikat tajna informacja przetwarzanie o charakterze ochronnym algorytm kryptograficzny (szyfr) szyfrogram 1@$77&90# algorytm kryptograficzny (szyfr) Umieszczenie funkcji szyfrującej Szyfrowanie w sieci komunikacji pakietów Umieszczenie funkcji szyfrującej Szyfrowanie w sieci komunikacji pakietów PSN PSN PSN sieć komunikacji pakietów PSN PSN sieć komunikacji pakietów PSN PSN PSN Umieszczenie funkcji szyfrującej Szyfrowanie w sieci komunikacji pakietów Umieszczenie funkcji szyfrującej Szyfrowanie w sieci komunikacji pakietów komutator komutator szyfrowanie na całej drodze przesyłu szyfrowanie na łączu Copyright by Katrzyna Trybicka-Francik 2

3 Umieszczenie funkcji szyfrującej Szyfrowanie w sieci komunikacji pakietów komutator oba rodzaje szyfrowania Teoria informacji Teoretyczne podstawy kryptografii opracował w 1949 r. Shannon. Zaproponował by teoretyczną poufność szyfru mierzyć nieokreślonością treści jawnej uzyskanej z przekazanego tekstu zaszyfrowanego. Teoria informacji dotyczy dwu zagadnień: problemu kanału z szumem problemu poufności Teoria informacji Teoria informacji Nadawca szum (zakłócenie) Odbiorca Nadawca przekształcenie szyfrujące Odbiorca M (wiadomość nadana) + bity nadmiarowe (korekcyjne) M +bity M korekcyjne (wiadomość odebrana) M M (wiadomość nadana) Celowo wprowadza zakłócenie M + informacje M (wiadomość dodatkowe odebrana) M Teoria informacji Jeżeli przyjmiemy, że X 1,, X n to warianty wszystkich możliwych treści wiadomości, a p(x 1 ),, p(x n ) to prawdopodobieństwa, z jakimi one występują, przy czym n i= 1 p ( ) = 1 X i to entropię definiujemy jako: H ( X ) = p( X ) X 1 log 2 p ( X ) Innymi słowy, entropia to średnia ilość informacji przypadająca na wiadomość. Teoria informacji Wskaźnik języka dla wiadomości N jest zdefiniowany jako: H ( X ) r = N Jest to średnia ilość informacji przypadająca na słowo. Copyright by Katrzyna Trybicka-Francik 3

4 Teoria informacji Teoria informacji Wskaźnik bezwzględny języka definiuje się jako maksymalną liczbę bitów informacji, które mogą być zakodowane w każdym znaku, pod warunkiem, że wszystkie słowa są jednakowo prawdopodobne. Jeżeli przyjmiemy, że alfabet danego języka zawiera L znaków, to wskaźnik bezwzględny języka jest dany jako R = log2 L Języki naturalne charakteryzuje pewna nadmiarowość, redundancja, która wynika ze struktury języka. Nadmiarowość tę definiuje się jako: D = R r maksimum entropii poszczególnych znaków. Teoria informacji Teoria informacji Przyjmijmy że Y jest wiadomością ze zbioru wiadomości Y 1,,Y m, przy czym m p( Y i ) = 1 i= 1 Przez P(X Y) oznaczmy prawdopodobieństwo warunkowe wystąpienia wiadomości X przy znanym Y. Natomiast p(x,y) oznacza łączne prawdopodobieństwo wystąpienia wiadomości X i Y, czyli p(x,y) = P(X Y)p(Y). Oznaczmy przez M zbiór wiadomości jawnych, a przez C zbiór szyfrogramów. Shannon warunek na bezpieczeństwo doskonałe wyraził wzorem: ( M C) H( M ) H = innymi słowy, zbiory M i C są statystycznie niezależne. Entropia warunkowa X przy danym Y jest określona wzorem: = 1 H ( X Y) p( X, Y ) log2 ( ) X, Y P X Y Teoria informacji Teoria informacji Zbiór M Zbiór C Oznacza to, że dla uzyskania rozwiązania doskonale bezpiecznego: musi być co najmniej tak długi, jak długi jest tekst jawny musi być ciągiem losowym, może być użyty tylko jednokrotnie. każdy algorytm kryptograficzny jest możliwy do złamania!!! Copyright by Katrzyna Trybicka-Francik 4

5 Złożoność obliczeniowa Sukces przy przełamywaniu algorytmów obliczeniowo bezpiecznych uzależniony jest od dostępnych zasobów: mocy obliczeniowej i czasu. Złożoność obliczeniowa algorytmu mierzona jest za pomocą dwu zmiennych: T dla złożoności czasowej S dla złożoności pamięciowej Złożoność obliczeniowa Klasyfikacja złożoność algorytmu jest stała, gdy nie zależy od n, O(1), złożoność algorytmu jest liniowa, gdy rośnie liniowo ze wzrostem n, O(n), złożoność algorytmu jest wielomianowa, gdy wynosi O(n f(t) ) przy stałym t, algorytmy których złożoność wynosi O(n f(t) ), gdzie t jest stałą, a f(n) jest wielomianem zmiennej n, nazywamy algorytmami o złożoności wykładniczej, algorytmy których złożoność wynosi O(n f(t) ), gdzie t jest stałą, a f(n) jest więcej niż stałą, a mniej niż liniową, nazywamy algorytmami o złożoności superwielomianowej. Kryptografowie dążą do tego aby złożoność obliczeniowa szyfrów nie była większa niż liniowa Kryptoanalitycy dążą do tego aby złożoność obliczeniowa algorytmów łamiących nie była większa niż wykładnicza Złożoność superwielomianowa Algorytmy szyfrowania Szyfry przestawieniowe Szyfry podstawieniowe Szyfry kaskadowe (DES, IDEA) Szyfry wykładnicze (Diffiego-Hellmana, RSA) Algorytmy szyfrowania Szyfry przestawieniowe Szyfr płotkowy tekst jawny: KRYPTOGRAFIA K=(d) : d=3 tekst zaszyfrowany: KTARPORFAYGI KRYPTOGRAFIA K T A R P O R F A Y G I KTARPORFAYGI Copyright by Katrzyna Trybicka-Francik 5

6 Algorytmy szyfrowania Szyfry podstawieniowe Szyfry monoalfabetyczne Szyfry homofoniczne Szyfry wieloalfabetyczne Szyfry polimorficzne Algorytmy szyfrowania Szyfry podstawieniowe H A R P S I C O D B E F G K L M N Q T U V W X Y Z KR YP TO GR AF IA GP PD QD QO CN CH Algorytmy szyfrowania Szyfry przestawieniowe Szyfry podstawieniowe Szyfry kaskadowe (DES, IDEA) Algorytmy szyfrowania Szyfry przestawieniowe Szyfry podstawieniowe Szyfry kaskadowe (DES, IDEA) Szyfry wykładnicze (Diffiego-Hellmana, RSA) Techniki szyfrowania Szyfry strumieniowe Szyfry blokowe Techniki szyfrowania Szyfry strumieniowe Tekst jest szyfrowany kolejno bit po bicie Bezpieczeństwo zależy od generatora y synchroniczne szyfry strumieniowe samosynchronizujące Copyright by Katrzyna Trybicka-Francik 6

7 Synchroniczne szyfry strumieniowe Klucz generowany niezależnie od strumienia wiadomości Po obu stronach, szyfrującej i deszyfrującej generatory strumienia y Nie rozsiewają błędów transmisji Synchroniczne szyfry strumieniowe szyfrowanie Generator ciągu a deszyfrowanie Generator ciągu a P i C i P i Tryb sprzężenia zwrotnego wyjściowego Klucz wpływa na funkcję następnego stanu Funkcja wyjściowa nie jest zależna od a i zwykle jest bardzo prosta Złożoność kryptograficzna spoczywa na funkcji stanu następnego zależnego od niej a Stan wewnętrzny Funkcja wyjścia K i Funkcja stanu następnego Tryb licznikowy Funkcja stanu wewnętrznego prosta Złożona funkcja stanu wyjściowego Możliwość wyznaczenia i-tego bitu a Stan wewnętrzny Funkcja wyjścia K i Funkcja stanu następnego Atak wstawieniowy Przechwycenie szyfrogramu t.j. p 1, p 2, p 3, p 4,... k k 1, k 2, k 3, k 4,... t.z. c 1, c 2, c 3, c 4,... Wprowadzenie zaburzenia t.j. p 1, p, p 2, p 3,... k k 1, k 2, k 3, k 4,... t.z. c 1, c 2, c 3, c 4,... Atak wstawieniowy Znając p możemy wyznaczyć cały tekst za tym bitem k 2 = c 2 p p 2 = c 2 k 2 k 3 = c 3 p 2 p 3 = c 3 k 3 k 4 = c 4 p 3 p 4 = c 4 k 4 Copyright by Katrzyna Trybicka-Francik 7

8 Samosynchronizujące szyfry strumieniowe Każdy bit ciągu szyfrującego jest funkcją pewnej stałej liczby poprzednich bitów szyfrogramu Zwykle pracuje w trybie sprzężenia zwrotnego szyfrogramu Samosynchronizujące szyfry strumieniowe Stan wewnętrzny Funkcja wyjścia Stan wewnętrzny Funkcja wyjścia P i C i P i Techniki szyfrowania Szyfry blokowe Działają na blokach tekstu Techniki szyfrowania Szyfry blokowe Pracują w różnych trybach tekst jawny tekst jawny szyfrowanie szyfrogram Tryb książki kodowej (electronic codebook) szyfrowanie szyfrogram Techniki szyfrowania Szyfry blokowe Pracują w różnych trybach Techniki szyfrowania Szyfry blokowe Pracują w różnych trybach tekst jawny wektor początkowy blok tekstu jawnego blok tekstu jawnego Tryb książki kodowej (electronic codebook) deszyfrowanie szyfrogram szyfrowanie szyfrowanie Tryb wiązania bloków zaszyfrowanych (cipher block chaining) blok szyfrogramu blok szyfrogramu Copyright by Katrzyna Trybicka-Francik 8

9 Techniki szyfrowania Techniki szyfrowania Szyfry blokowe Pracują w różnych trybach Szyfry blokowe Pracują w różnych trybach rejestr przesuwający wektor początkowy deszyfrowanie blok tekstu jawnego deszyfrowanie blok tekstu jawnego Tryb sprzężenia zwrotnego szyfrogramu (cipher feedback). szyfrowanie Tryb wiązania bloków zaszyfrowanych (cipher block chaining) blok szyfrogramu blok szyfrogramu lewy skrajny bajt p i c i-1 c i Techniki szyfrowania Techniki szyfrowania Szyfry blokowe Pracują w różnych trybach rejestr przesuwający Szyfry blokowe Pracują w różnych trybach rejestr przesuwający Tryb sprzężenia zwrotnego szyfrogramu (cipher feedback). deszyfrowanie Tryb sprzężenia zwrotnego wyjściowego (output feedback) szyfrowanie lewy skrajny bajt c i-1 lewy skrajny bajt c i-1 c i p i p i c i Techniki szyfrowania Porównanie Szyfry blokowe Pracują w różnych trybach Tryb sprzężenia zwrotnego wyjściowego (output feedback) rejestr przesuwający deszyfrowanie lewy skrajny bajt c i-1 Szyfry blokowe Łatwe w implementacji Silne w działaniu Doskonałe do odczytu i zapisu danych w postaci bloku Szyfry strumieniowe Trudne w implementacji programowej Łatwe do analizy matematycznej Przesył szyfrowanej informacji z terminala c i p i Copyright by Katrzyna Trybicka-Francik 9

10 Klucze Klucze Klucze tajne Klucze jawne Klucze tajne szyfrowanie tekst jawny szyfrogram deszyfrowanie Szyfry symetryczne Klucze DES (Data Encryption Standard) Klucze jawne tekst jawny szyfrowanie 1 2 szyfrogram Standard od 23 listopada 1976 Szyfr blokowy (blok: 64 bity) Szyfr symetryczny (: 56 bity) Składa się z 16 cykli deszyfrowanie Szyfry asymetryczne blok tekstu jawnego DES: działanie blok tekstu jawnego DES: działanie R i-1 permutacja początkowa permutacja początkowa permutacja rozszerzeniem L 0 R 0 f 1 L 15 R 15 i f 16 podstawienie w S-boksach L 1 R 1 L 16 R 16 permutacja permutacja końcowa szyfrogram Copyright by Katrzyna Trybicka-Francik 10

11 przesunięcie w lewo permutacja początkowa z wyborem przesunięcie w lewo DES: działanie permutacja z wyborem 1 IDEA (International Data Encryption Algorithm) Opublikowany 1992 Szyfr blokowy (blok: 64 bity) Szyfr symetryczny (: 128 bity) Składa się z 8 cykli przesunięcie w lewo przesunięcie w lewo IDEA: działanie IDEA: działanie X 1 X 2 X 3 X 4 rejestr przesuwający X 1 X 2 X 3 X 4 Diffiego - Hellmana Pierwszy algorytm asymetryczny Bezpieczeństwo: trudność obliczenia logarytmów dyskretnych w ciałach skończonych Zastosowanie: wymiana y Diffiego Hellmana działanie Alicja i Bob uzgadniają dwie duże liczby całkowite n i g (n>g>1) n - liczba pierwsza (n-1)/2 - liczba pierwsza n -liczba o długości co najmniej 512 bitów Copyright by Katrzyna Trybicka-Francik 11

12 Diffiego Hellmana działanie Bob wybiera, losowo, dużą liczbę całkowitą y i oblicza: Y=g y mod n Diffiego Hellmana działanie = g xy mod n Bob oblicza: k =X y mod n Alicja wybiera, losowo, dużą liczbę całkowitą x i oblicza: X=g x mod n Alicja oblicza: k=y x mod n Diffiego Hellmana przykład 1. Wybieramy dwie liczby n i g: n = 11, takie że (n-1)/2 liczba pierwsza g = 9, takie że n>g>1 2. Alicja wybiera liczbę x = 6 i oblicza: X = 9 6 mod 11 = 9 3. Alicja oblicza: k = 3 6 mod 11 = 3 2. BOB wybiera liczbę y = 8 i oblicza: Y = 9 8 mod 11 = 3 3. Bob oblicza: k = 9 8 mod 11 = 3 k = 9 6*8 mod 11 = 3 RSA (Rivest, Shamir, Adleman) Powstał w 1977 Algorytm asymetryczny Algorytm blokowy Bezpieczeństwo: trudność faktoryzacji dużych liczb pierwszych Zastosowanie: wymiana y sesji, podpis elektroniczny RSA - działanie Założenia: M - wiadomość jawna (blok tekstu) C - wiadomość zaszyfrowana e, n - przekształcenia szyfrującego d, n przekształcenia deszyfrującego Jak szyfrować: C = M e mod n Jak deszyfrować: M = C d mod n RSA - działanie Wybieramy dwie duże liczby pierwsze p i q Obliczamy n = pq Losowo wybieramy szyfrujący e, taki że e i (p-1)(q-1) są względnie pierwsze Obliczamy deszyfrujący d: d = e -1 (mod (p-1)(q-1)) (rozszerzony algorytm Euklidesa) Copyright by Katrzyna Trybicka-Francik 12

13 RSA - przykład RSA - przykład p = 7 i q = 17 n = pq = 7 17 = 119 (p-1)(q-1) = (7-1)(17-1) = 96 e = 5 d = e -1 (mod (p-1)(q-1)) =? a -1 x (mod b) 1 = (a*x) mod b e -1 1 = (e*d) mod (p-1)(q-1) 1 = (5*d) mod 96 d = 77 p = 7 i q = 17 n = pq = 7 17 = 119 (p-1)(q-1) = (7-1)(17-1) = 96 e = 5 d = e -1 (mod (p-1)(q-1)) = 5-1 (mod 96) = 77 szyfrujący: (5, 119) deszyfrujący: (77, 119) szyfrowanie C = M e mod n tekst jawny mod 119 = = mod 119 = = reszta 66 RSA - przykład tekst jawny 19 M = C d mod n mod 119 = = 1,06..* reszta 19 Generacja i dystrybucja y Dystrybucja y z wykorzystaniem algorytmów symetrycznych z wykorzystaniem algorytmów asymetrycznych szyfrogram 66 odszyfrowywanie Generacja i dystrybucja y Dystrybucja y z wykorzystaniem algorytmów symetrycznych Klucz może zostać stworzony przez Alicję i fizycznie dostarczony Bobowi Strona trzecia może stworzyć i fizycznie dostarczyć go Alicji i Bobowi Jeśli Alicja i Bob poprzednio i niedawno używali a, jedna strona może przekazać nowy drugiej w postaci zaszyfrowanej starym em Jeśli każda ze stron ma szyfrowane połączenie z trzecią stroną, Cezarym, to Cezary może dostarczyć Alicji i Bobowi za pośrednictwem połączeń szyfrowanych. Generacja i dystrybucja y Dystrybucja y z wykorzystaniem algorytmów symetrycznych żądanie a sesji dystrybucja a sesji działania uwierzytelniające Scenariusz dystrybucji Copyright by Katrzyna Trybicka-Francik 13

14 Generacja i dystrybucja y Dystrybucja y z wykorzystaniem algorytmów symetrycznych Generacja i dystrybucja y Dystrybucja y z wykorzystaniem algorytmów symetrycznych Przezroczysty system zarządzania ami żądanie a sesji Zdecentralizowane zarządzanie ami a sesji sieć 4 uwierzytelnienie Generacja i dystrybucja y Dystrybucja y z wykorzystaniem algorytmów asymetrycznych Dystrybucja y jawnych Zastosowanie szyfrowania z em jawnym do dystrybucji y tajnych Generacja i dystrybucja y Dystrybucja y z wykorzystaniem algorytmów asymetrycznych Dystrybucja y jawnych Publiczne ogłaszanie Ogólnie dostępny katalog Organ zarządzający ami jawnymi Certyfikaty y jawnych Generacja i dystrybucja y Dystrybucja y z wykorzystaniem algorytmów asymetrycznych Publiczne ogłaszanie a Generacja i dystrybucja y Dystrybucja y z wykorzystaniem algorytmów asymetrycznych Ogólnie dostępny katalog Copyright by Katrzyna Trybicka-Francik 14

15 Generacja i dystrybucja y Dystrybucja y z wykorzystaniem algorytmów asymetrycznych Organ zarządzający ami jawnymi Generacja i dystrybucja y Dystrybucja y z wykorzystaniem algorytmów asymetrycznych Certyfikacja y jawnych prośba o jawny Boba prośba o jawny Alicji Generacja i dystrybucja y Dystrybucja y z wykorzystaniem algorytmów asymetrycznych Certyfikacja y jawnych Generacja i dystrybucja y Dystrybucja y z wykorzystaniem algorytmów asymetrycznych Dystrybucja tajnych metodami systemów a jawnego Prosta dystrybucja tajnych y Dystrybucja tajna y wraz z zapewnieniem poufności i uwierzytelnianiem System mieszany Generacja i dystrybucja y Dystrybucja y z wykorzystaniem algorytmów asymetrycznych Prosta dystrybucja tajnych y Generacja i dystrybucja y Dystrybucja y z wykorzystaniem algorytmów asymetrycznych Dystrybucja tajna y wraz z zapewnieniem poufności i uwierzytelnianiem 1 3 UWIERZYTELNIENIE 2 4 Copyright by Katrzyna Trybicka-Francik 15

16 Generacja i dystrybucja y Zastosowanie liczb losowych Systemy wzajemnego uwierzytelniania Generowanie y sesji Generowanie liczb dla szyfrów asymetrycznych Wymagania stawiane ciągom liczb losowych Losowość Nieprzewidywalność Generacja i dystrybucja y Generowanie liczb pseudolosowych Algorytm Lehmera, metoda liniowej kongruencji Algorytm ten jest parametryzowany czterema liczbami: m dzielnik, m>0; a czynnik, 0 a<m; c krok, 0 c<m; X 0 wartość początkowa lub ziarno, 0 X 0 <m; Ciąg liczb losowych {X n } otrzymujemy w następującym równaniu iteracyjnym: X n+1 = (ax n + c) mod m Generacja i dystrybucja y Generowanie liczb pseudolosowych data i czas na początku i-tego etapu generowania (Dt i ) ziarno na początku i-tego etapu generowania (V i ) liczba pseudolosowa wyprodukowana w i-tego etapu generowania (R i ) 3-DES e DES użyte w odpowiednich etapach (K 1,K 2 ) 3-DES 3-DES V i+1 Generator liczb pseudolosowych ANSI X9.17 Jednokierunkowa funkcja skrótu Argumentem jednokierunkowej funkcji skrótu H(M) jest wiadomość M o długości dowolnej. Wartością tej funkcji jest liczba h o ustalonej długości. h=h(m), przy czym h jest liczbą o długości m. mając dane M, łatwo jest obliczyć h mając dane h, trudno jest obliczyć M mając dane M, trudno jest znaleźć inną wiadomość M taką, że H(M)=H(M ) Złożone systemy kryptograficzne Praktyczne rozwiązania Podpis cyfrowy System poczty PGP System KERBEROS Podpis cyfrowy Polski Komitet Normalizacyjny w grudniu 1997 ustanowił pierwszą polską normę określającą schemat podpisu cyfrowego. Copyright by Katrzyna Trybicka-Francik 16

17 Pytania czy dokument elektroniczny pochodzi od użytkownika, który podaje się za jego autora? czy dokument ten po podpisaniu nie został zmodyfikowany? Cechy podpisu cyfrowego Wspólne dla podpisu ręcznego i cyfrowego przypisany jednej osobie niemożliwy do podrobienia uniemożliwiający wyparcie się go przez autora łatwy do weryfikacji łatwy do wygenerowania Cechy podpisu cyfrowego Różnice Podpis ręczny związany nierozłącznie z dokumentem taki sam dla wszystkich dokumentów stawiany na ostatniej stronie dokumentu Podpis cyfrowy może być składowany i transmitowany niezależnie od dokumentu będący funkcją dokumentu obejmuje cały dokument Konstrukcja schematu podpisu cyfrowego proces generowania y proces podpisywania proces weryfikacji Klasyfikacja schemat z odtwarzaniem wiadomości schemat z załącznikiem Klasyfikacja bezpieczeństwo związane jest z rozkładem dużych liczb całkowitych na czynniki pierwsze bezpieczeństwo związane jest z trudnością obliczania logarytmów dyskretnych Copyright by Katrzyna Trybicka-Francik 17

18 zrandomizowany deterministyczny Klasyfikacja Klasyfikacja schematy oparte o certyfikaty schematy oparte o tożsamość Klasyfikacja Klucz tajny dla Alicji 2. Klucz tajny dla Boba podpisywanie dokumentów symetrycznych systemach kryptograficznych z arbitrem podpisywanie dokumentów w systemach kryptograficznych em jawnym 1. Arbiter 3. Alicja Bob 3. By sprawdzić czy Alicja faktycznie podpisała wiadomość należy odszyfrować kryptogram z wykorzystaniem a k D 2. Alicja kryptogram publikuje wraz z wiadomością 1. Alicja generuje kryptogram za pomocą a k E Alicja Klucz szyfrujący k E Klucz deszyfrujący k D Algorytm asymetryczny Podpis cyfrowy Czynności wstępne Obejmują wyznaczenie niezbędnych parametrów, za pomocą których generowane będą podpisy Generowanie podpisu Osoba podpisująca dokonuje obliczeń, w trakcie których powstaje ciąg bitów będący podpisem konkretynego dokumentu Weryfikacja Podpisu Copyright by Katrzyna Trybicka-Francik 18

19 Generowanie krótkich podpisów Podpisywanie zamiast dokumentu M wartość H(M), gdzie H jest jednokierunkową funkcją haszującą. ZALETA: Podpis można prezentować nie zdradzając treści dokumentu. Podpisy tworzone za pomocą RSA Dla komunikatu M obliczana jest wartość H(M), gdzie H jest ustaloną funkcją haszującą. Alicja szyfruje H(M) za pomocą a prywatnego używając algorytmu RSA. Utworzony szyfrogram to cyfrowy podpis Alicji pod M. Protokoły związane z podpisami Ślepy podpis Kanał podprogowy Podpisy niezaprzeczalne Ślepy podpis Problem Alicja pragnie by notariusz poświadczył, że Alicja jest w posiadaniu pewnego listu. Rozwiązanie Alicja umieszcza list w kopercie wraz z kalką. Notariusz potwierdza na kopercie, że list został mu przedstawiony. Ślepy podpis - RSA Alicja zakrywa wiadomość m: w tym celu wybiera losową liczbę k<n względnie pierwszą z n i oblicza t=m*k e mod n. Alicja przesyła liczbę t notariuszowi. Notariusz szyfruje t za pomocą swego prywatnego a: s=t d mod n. Notariusz przesyła Alicji liczbę s. Ponieważ s=t d =(m.*k e ) d =m d *k ed =m d *k mod n, Alicja łatwo może obliczyć m d =s/ k mod n. Ale m d mod n jest podpisaną wiadomością m. Kanał podprogowy Każdy podpis cyfrowy zawiera komponent losowy. To pozwala w sposób utajniony przesyłać wiadomość. Copyright by Katrzyna Trybicka-Francik 19

20 Kanał podprogowy przy użyciu podpisów ElGamala Bob wybiera liczbę pierwszą p i losowe liczby g, x < p. Bob oblicza y = g x mod p i publikuje y, g, p. Bob zdradza Alicji x. By w podpisie wiadomości M ukryć tekst M, Bob wykonuje następujące kroki: Bob oblicza A=g M mod p. Bob znajduje B, takie że zachodzi M = x*a + M*B mod p-1. Bob Przesyła Alicji podpis (A, B) typu ElGamala. Po sprawdzeniu, że podpis jest autentyczny wg schematu ElGamala, Alicja oblicza M.: M=(M -x*a)/b mod p-1. Podpis niezaprzeczalny (David Chaum) Weryfikacja podpisu jest tylko możliwa przy współudziale autora podpisu W przypadku sfałszowania podpisu domniemany autor miał możliwość udowodnienia fałszerstwa. Podpis niezaprzeczalny Alicja przedstawia Bobowi podpis cyfrowy. Bob generuje liczbę losową i przesyła ją Alicji. Alicja dokonuje obliczeń, wykorzystując liczbę losową i swój prywatny, a potem przesyła wynik Bobowi. Alicja może wykonać te obliczenia jedynie wtedy, kiedy podpis był poprawny. Bob potwierdza powyższy wynik. Podpis niezaprzeczalny słabe punkty (Desmedt i Yung) Bob zakupuje legalną wersję oprogramowania. Następnie sprzedaje kopię oprogramowania Karolinie podszywając się pod sprzedawcę oprogramowania. Kiedy Karolina spróbuje sprawdzić z Bobem poprawność podpisu, jednocześnie sprawdza poprawność podpisu wraz z Alicją. Jak? Podpis niezaprzeczalny Gdy Karolina przesyła Bobowi liczbę losową, on odsyła ją Alicji. Alicja odpowiada Bobowi i on przekazuje te odpowiedź Karolinie. Karolina jest przekonana o legalności oprogramowania Niepodrabialne podpisy cyfrowe (Pfitzmann i Waidner) U podstaw algorytmu niepodrabialnego podpisu cyfrowego leży możliwość występowania dla każdego a jawnego wielu y prywatnych, mogących z nim współpracować. Każdy z tych y prywatnych pokrywa wiele możliwych podpisów cyfrowych. Alicja używa jednak tylko jednego a prywatnego nie wiedząc nic o pozostałych ach prywatnych. Copyright by Katrzyna Trybicka-Francik 20

21 Podpisy grupowe (Chaum) Własności: Jedynie członkowie grupy mogą podpisywać wiadomość. Odbiorca podpisu może sprawdzić, że jest to poprawny podpis członka grupy, ale nie może określić nazwiska osoby podpisującej. W przypadku wątpliwości podpis może być otwarty w celu ujawnienia tożsamości podpisującego. Podpisy grupowe z udziałem zaufanego arbitra Trent wytwarza olbrzymią liczbę par prywatny/ jawny i przekazuje każdemu członkowi grupy odmienną listę niepowtarzalnych y prywatnych. Żaden na dowolnej z list nie jest identyczny z innym. Trend publikuje nadrzędną listę wszystkich y jawnych dla grup w losowej kolejności. Trend przechowuje u siebie tajny rekord zawierający opis, który do kogo należy. Podpisy grupowe z udziałem zaufanego arbitra Członkowie grup, pragnąc podpisać dokument, wybierają e w losowy sposób ze swoich list osobistych. Kiedy pragną sprawdzić, czy podpis należy do grupy, poszukują w jawnej bazie danych odpowiadającego a jawnego i weryfikują podpis. W przypadku wątpliwości Trend wie, który jawny odpowiada któremu członkowi grupy. Zobowiązania bitowe z zastosowaniem kryptografii symetrycznej Zobowiązanie Bob generuje losowy ciąg znaków R i wysyła go Alicji. Alicja wytwarza wiadomość zawierającą przewidywany bit b (lub ciąg bitów) i ciąg losowy Boba. Szyfruje to za pomocą pewnego a losowego K i przesyła wynik z powrotem Bobowi. Zobowiązania bitowe z zastosowaniem kryptografii symetrycznej Odtajnianie Alicja przesyła Bobowi. Bob deszyfruje wiadomość w celu ujawnienia bitu. Sprawdza swój ciąg losowy w celu zweryfikowania poprawności bitu. Zobowiązania bitowe z zastosowaniem funkcji jednokierunkowych Zobowiązanie Alicja generuje dwa ciągi losowe R1 i R2. Alicja tworzy wiadomość składającą się z jej ciągów losowych i bitu b, co do którego pragnie się zobowiązać: (R1, R2, b). Alicja oblicza wartość skrótu wiadomości, a bobowi przesyła wynik i jeden z ciągów losowych: H(R1, R2, b), R1. Copyright by Katrzyna Trybicka-Francik 21

22 Zobowiązania bitowe z zastosowaniem funkcji jednokierunkowych Ujawnianie Alicja przesyła Bobowi pierwotną wiadomość: (R1, R2, b). Bob oblicza wartość skrótu wiadomości, porównuje ją z R1 z wiadomością i R1 otrzymanymi w ostatnim kroku zobowiązania. Jeżeli wartości są zgodne, to bit jest poprawny. Zobowiązania bitowe z zastosowaniem generatorów pseudolosywych Zobowiązanie Bob generuje losowy ciąg znaków i wysyła je Alicji: RB. Alicja wytwarza losową wartość początkową dla generatora bitów pseudolosowych. Następnie dla każdego losowego ciągu Boba wysyła ona Bobowi jedną z dwóch wartości: wartość wyjściową generatora, jeżeli wartość bitu Boba wynosi zero; sumę modulo 2 wartości wyjściowej generatora i jej bitu, jeżeli wartość bitu Boba wynosi 1. Zobowiązania bitowe z zastosowaniem generatorów pseudolosywych Ujawnianie Alicja przesyła Bobowi wygenerowaną przez siebie losową wartość początkową. Bob wykonuje krok drugi w celu potwierdzenia, że Alicja postępowała uczciwie. Klasyfikacja ataków na schematy podpisu cyfrowego atak z publicznym em weryfikującym atak z wiadomościami atak ze znanymi wiadomośćiami atak z wybranymi wiadomościami atak adaptacyjny z wybranymi wiadomościami Skuteczne ataki mogą pozwolić napastnikowi na: odtworzenie prywatnego a podpisującego uniwersalne fałszerstwo selektywne fałszerstwo egzystencjalne fałszerstwo Bezpieczeństwo schematów podpisu cyfrowego w praktyce zarządzanie ami związek z funkcją skrótu związek z generatorami liczb losowych kolejność szyfrowania i podpisu ataki na konkretne implementacje podpisu cyfrowego ataki z wymuszeniem błędów kanały podprogowe walidacja y Copyright by Katrzyna Trybicka-Francik 22

23 Złożone systemy kryptograficzne System PGP (pretty good privacy) Stworzony przez Phila Zimmermanna Dostępny bezpłatnie Pakiet zawiera: algorytm RSA algorytm IDEA algorytm MD5 Nie został stworzony, ani też nie jest kontrolowany przez żadną instytucję rządową ani standaryzacyjną Złożone systemy kryptograficzne Opis działania PGP Działanie programu zapewnia 5 usług: uwierzytelnienie poufność kompresję zgodność poczty segmentację Złożone systemy kryptograficzne Opis działania PGP Uwierzytelnienie Złożone systemy kryptograficzne Opis działania PGP Poufność prywatny nadawcy komunikat sesji jawny odbiorcy komunikat funkcja skrótu RSA kompresja komunikat podpisany i skompresowany kompresja RSA IDEA komunikat zaszyfrowany kompresja -1 podpis cyfrowy komunikat publiczny nadawcy RSA funkcja skrótu porównanie zasz. sesji zaszyfrowany komunikat RSA prywatny odbiorcy IDEA Kompresja-1 komunikat Złożone systemy kryptograficzne Opis działania PGP Poufność i uwierzytelnienie prywatny nadawcy sesji jawny odbiorcy Złożone systemy kryptograficzne baza y prywatnych hasło funkcja skrótu Zarządzanie ami PGP generowanie komunikatu baza y jawnych komunikat funkcja skrótu RSA kompresja RSA zaszyfrowany prywatny IDEA identyfikator odbiorcy IDEA identyfikator a zasz. sesji zaszyfrowany komunikat RSA prywatny odbiorcy IDEA Kompresja -1 podpis cyfrowy komunikat publiczny nadawcy RSA porównanie identyfikator nadawcy komunikat prywatny nadawcy uwierzytelnianie sygnatura+ komunikat jawny odbiorcy poufność identyfikator a funkcja skrótu wynik Copyright by Katrzyna Trybicka-Francik 23

24 Złożone systemy kryptograficzne baza y prywatnych identyfikator a odbiorcy zaszyfrowany sesji zaszyfrowany komunikat + sygnatura hasło zaszyfrowany prywatny Zarządzanie ami PGP prywatny odbiorcy RSA IDEA funkcja skrótu IDEA sesji odbiór komunikatu identyfikator a nadawcy zaszyfrowany skrót komunikat baza y jawnych RSA jawny nadawcy funkcja skrótu porównanie Protokół Kerberos Usługa uwierzytelniania Projekt Atena Problem Zagrożenia Podszywanie się za innego użytkownika Zmiana adresu sieciowego stacji roboczej Atak typu powtórka Cechy Centralny serwer uwierzytelniający Korzysta wyłącznie z szyfrowania konwencjonalnego (symetrycznego) Najczęściej stosowane wersje: wersja4 i wersja5 Metody zapewniania bezpieczeństwa Architektura rozproszona składająca się ze stacji użytkowników i rozproszonych lub scentralizowanych serwerów W sprawie zapewnienia właściwej tożsamości użytkownika lub użytkowników polegać na poszczególnych stacjach roboczych i powierzyć serwerom realizację kontroli dostępu na podstawie identyfikacji użytkownika (ID). Metody zapewniania bezpieczeństwa Wymagać od klientów uwierzytelniania się wobec serwerów, a w sprawie identyfikacji użytkownika polegać na klientach. Wymagać od użytkownika udowodnienia swojej tożsamości przy wywoływaniu każdej usługi. Wymagać również by serwer udowadniał swoją tożsamość klientom. Copyright by Katrzyna Trybicka-Francik 24

25 Wymagania Proste uwierzytelnienie Bezpieczny Pewny Przezroczysty Elastyczny System uwierzytelniania z zaufaną stroną trzecią (Needham i Schroeder) C (klient) AS (serwer uwierzytelniający) V (serwer) Proste uwierzytelnienie Problemy (1) C -> AS: ID C, P C, ID V (2) AS -> C: Bilet (3) C -> V: ID C, Bilet Bilet = E kv [ID C, AD C, ID V ] Nowe bilety na każdą usługę. Zminimalizowanie liczby sytuacji, gdy użytkownik musi podać hasło. Przesył hasła w formie jawnej. Bezpieczne uwierzytelnianie Bezpieczne uwierzytelnianie C (klient) AS (serwer uwierzytelniający) TGS (serwer przyznawania biletów) V (serwer) Raz na sesję użytkownika: (1) C -> AS: ID C, ID tgs (2) AS -> C: E kc [Bilet tgs ] Raz na rodzaj usługi: (3) C -> TGS: ID C, ID V, Bilet tgs (4) TGS -> C: Bilet V Raz na sesję usługi: (5) C -> V: ID C, Bilet V Bilet tgs = E ktgs [ID C, AD C, ID tgs, TS 1, Czas-życia 1 ] Bilet V = E kv [ID C, AD C, ID V, TS 2, Czas-życia 2 ] Copyright by Katrzyna Trybicka-Francik 25

26 Problemy Czas ważności biletu na przyznanie biletu Potrzeba uwierzytelniania serwerów wobec użytkowników Złożone systemy kryptograficzne KERBEROS żądanie biletu na przyznanie biletu żądanie biletu na usługę KERBEROS serwer uwierzytelniający (AS) bilet + sesji Serwer przyznający bilety TGS żądanie usługi bilet + sesji dostarcza wartość uwierzytelniającą serwera Królestwa Kerberosa i Kerberosy wielokrotne Serwer Kerberosa musi mieć identyfikatory i zaszyfrowane hasła wszystkich użytkowników w jego bazie danych. Wszyscy użytkownicy są zarejestrowani w serwerze Kerberosa. Serwer Kerberosa musi mieć wspólny tajny z każdym serwerem. Wszyskie serwery są zarejestrowane w serwerze Kerberosa. Serwery Kerberosa w każdym królestwie muszą dzielić tajny z serwerem drugiego królestwa. Oba serwery Kerberosa są u siebie nawzajem zarejestrowane. Królestwo A Klient 7. Żądanie odległej usługi Klient 1. Żądanie biletu do lokalnego TGS 2. Bilet do lokalnego TGS 3. Żądanie biletu do odległego TGS 4. Biletu do odległego TGS 5. Żądanie bilet do odległego serwera KERBEROS AS TGS KERBEROS AS TGS 6. Bilet do odległego serwera Królestwo B Copyright by Katrzyna Trybicka-Francik 26