Wykład 5. użytkowników. Protokoły ustalania klucza. Bezpieczeństwo systemów komputerowych 30 października 2013

Transkrypt

1 Wykład 5 Protokoły Bezpieczeństwo systemów komputerowych 30 października 2013 STS Instytut Informatyki Uniwersytet Jagielloński 5.1

2 Algorytm A wybiera r A 1 A B : a = g r A B wybiera r B B oblicza K AB = a r B = g r Ar B 2 B A : b = g r B A oblicza K AB = b r A = g r B r A zaproponowany w 1976 przez Whita Diffie i Martina Hellmana r a jest kluczem prywatnym A g r A jest kluczem publicznym A g jest generatorem grupy multiplikatywnej Z p g Z p jest generatorem Z p jeśli rząd g wynosi φ(p) podatny na atak man-in-the-middle brak uwierzytelniania jeśli Alicja otrzyma kilka odpowiedzi od różnych, to nie jest w stanie ich rozpoznać brak potwierdzania STS 5.2

3 Problem obliczeniowy algorytmu a problem znając liczbę pierwszą p, generator g grupy Z p oraz wartości a = g α mod p i b = g β mod p, znaleźć c równe g αβ mod p atakujący musi umieć rozwiązać problem logarytmu dyskretnego algorytm a był zaproponowany w 1976 roku, opatentowany w USA z ważnościa do 1997 roku STS 5.3

4 dla większej liczby osób? 1 A B : a = g α mod n 2 B C : b = g β mod n 3 C A : c = g γ mod n 4 A B : a = c α mod n (= g γα mod n) 5 B C : b = a β mod n (= g αβ mod n) 6 C A : c = b γ mod n (= g βγ mod n) Alicja: K = c α mod n = g βγα mod n Bob: K = a β mod n = g γαβ mod n Cecylia: K = b γ mod n = g αβγ mod n STS do rozwinięcia na dowolną liczbę osób 5.4

5 Atak man-in-the-middle na 1 Mallory podsłuchuje i przejmuje komunikaty A wybiera r A 2 A M : a = g r A M wybiera r M i oblicza K AM = a r M = g r Ar M 3 M B : c = g r M B wybiera r B i oblicza K AB = c r B = g r Mr B B myśli, że oblicza K AB ale liczy K BM! 4 B M : b = g r B M oblicza K BM = b r M = g r B r M 5 M A : c = g r M A oblicza K AB = c r A = g r Mr A STS M dzieli niezależnie klucze z A i B A i B są nieświadome faktu ataku konieczna jakaś metoda uwierzytelniania komunikatów 5.5

6 Protokół 1 wybór liczby pierwszej p, co namniej 1024 bity długości, wybór generatora g (OpenSSL zakłada g = 2 lub g = 5) i kontrola poprawności DH *DH_generate_parameters(int liczbabitówliczbypierwszej, int int (*callback)(int,int,void *), void *cb_arg) int *DH_check(DH *ctx, int *err) nie każda para (p, g) jest poprawna callback wskaźnikiem do funkcji raportującej o postępie w generowaniu liczby pierwszej struktura DH zawiera pola typu BIGNUM: p (liczba pierwsza), g (generator), pub_key (g x ) oraz priv_key (x) 2 obliczenie klucza publicznego A = g x mod p int DH_generate_key(DH *ctx) gdzie w pub_key wartość klucza publicznego do przesłania 3 i wygenerowanie klucza z otrzymanej wartości publicznej STS int DH_compute_key(unsigned char *secr, BIGNUM *pubval, DH *dh) koniecznie usunąć wartości po wykorzystaniu! 5.6

7 Protokół station-to-station STS A: wybiera α 1 A B : a = g α mod n B: wybiera β B: Z AB = a β mod n = g αβ mod n B: K AB = f (Z AB ) i podpisuje (g α mod n, g β mod n) 2 B A : b = g β mod n, E KAB (sig KB (g α mod n, g β mod n)) A: Z AB = b α = g βα mod n A: K AB = f (Z AB ) i podpisuje (g α mod n, g β mod n) 3 A B : E KAB (sig KA (g α mod n, g β mod n)) Alicja i Bob mają wzajemnie certyfikaty kluczy publicznych Z AB jest wspólną tajemnicą, K AB kluczem sesyjnym A i B mają pewność świeżości kluczy dzięki podpisom sig KA (g α mod n, g β mod n) i sig KB (g α mod n, g β mod n) klucze są uwierzytelnione szyfrowanie daje pewność, że druga strona zna klucz brak silnego uwierzytelnienia podpisy sig() nie zawierają identyfikatorów utrata kluczy publicznych K A i K B nie powoduje kompromitacji klucza K AB własność perfect forward secrecy STS 5.7

8 Station-to-station STS modyfikacja A wybiera r A 1 A B : A, B, a = g r A B wybiera r B B oblicza Z AB = a r B = g r Ar B B oblicza K AB = f (Z AB ) i podpisuje (a, b) 2 B A : B, A, b = g r B, E KAB (sig KB (a, b)) A oblicza Z AB = b r A = g r B r A A oblicza K AB = f (Z AB ) i podpisuje (a, b) 3 A B : A, B, E KAB (sig KA (a, b)) A i B otrzymują dobre klucze wraz z potwierdzeniem brak silnego uwierzytelnienie wciąż podatność na atak man-in-the-middle STS 5.8

9 Atak man-in-the-middle na STS A wybiera r A, M przejmuje komunikaty 1 A M : A, B, a = g r A 2 M B : M, B, a B wybiera r B B oblicza Z AB = a r B = g r Ar B B oblicza K AB = f (Z AB ) i podpisuje (a, b) 3 B M : B, M, b = g r B, E KAB (sig KB (a, b)) 4 M A : M, A, b = g r B, E KAB (sig KB (a, b)) A oblicza Z AB = b r A = g r B r A A oblicza K AB = f (Z AB ) i podpisuje (a, b) 5 A M : A, B, E KAB (sig KA (a, b)) STS B nie wie czy A uczestniczy w protokole, ale A akceptuje B jednak M nie poznaje klucza sesyjnego konieczne jest lepsze związanie identyfikatorów 5.9

10 Station-to-station STS kolejna modyfikacja A wybiera r A 1 A B : A, B, a = g r A B wybiera r B B oblicza Z AB = a r B = g r Ar B B oblicza K AB = f (Z AB ) i podpisuje (a, b, A) 2 B A : B, A, b = g r B, E KAB (sig KB (a, b, A)) A oblicza Z AB = b r A = g r B r A A oblicza K AB = f (Z AB ) i podpisuje (a, b, B) 3 A B : A, B, E KAB (sig KA (a, b, B)) STS teraz identyfikatory są kryptograficznie związane z komunikatami 5.10

11 Algorytm ElGamal 1 Alicja wybiera liczbę pierwszą p, generator g oraz wartość α 2 Alicja publikuje a = g α mod p 3 kluczem publicznym Alicji jest (p, g, a) a prywatnym a może być wykorzystany do szyfrowania 1 Bob pobiera klucz publiczny Alicji (p, g, a) 2 Bob wybiera swoj klucz β i wysyła Alicji b = g β mod p 3 kluczem sesyjnym staje się K = a β mod n = b α mod n także do tworzenia podpisów elektronicznych STS 5.11

12 podpis cyfrowy podpis cyfrowy to wartość oparta na podpisującego i na podpisywanym dokumencie musi być weryfikowalny bez dostępu do podpisującego podpisujący nie może sie wyprzeć podpisu inna osoba nie może się podać za podpisującego szereg algorytmów i schematów: RSA, DSA, ElGamal podpis cyfrowy łańcuch wiążący dokument z osobą wystawiającą algorytm podpisu metoda tworzenia podpisu algorytm weryfikacji sposób sprawdzania, czy podpis jest autentyczny schemat podpisu schemat tworzenia podpisu i jego weryfikacji proces podpisywania sposób tworzenia podpisu wraz z odpowiednim formatowaniem dokumentu proces weryfikacji sposób kontrolowania czy podpis jest autentyczny STS 5.12

13 typy podpisów cyfrowych z załącznikiem wymaga oryginalnego dokumentu do weryfikacji z odtwarzaniem wiadomości nie wymaga oryginalnego dokumentu, który jest odtwarzany z samego podpisu przestrzeń dokumentów M zbiór wszystkich dokumentow przestrzeń podpisywana M S przetworzone dokumenty przestrzeń podpisów S funkcja redundancji R : M M S obraz M R = Im(R) M R M S funkcja jednokierunkowa h : M M h odwracalna h odporna na kolizje STS przestrzeń skrótów M h 5.13

14 Wykorzystanie podpisu cyfrowego klucze długoterminowe wykorzystywane jedynie do potwierdzenia A wybiera r A 1 A B : a = g r A B wybiera r B B oblicza K AB = a r B = g r Ar B 2 B A : b = g r B, E KAB (sig KB (a, b)) A oblicza K AB = b r A = g r B r A 3 A B : E KAB (sig KA (a, b)) utrata kluczy K A i K B nie kompromituje klucza sesyjnego (perfect forward secrecy) wykorzystanie podpisu pozwala na wzajemne uwierzytelnienie STS 5.14

15 Zachowanie klucz długoterminowy wykorzystany do kodowania klucza sesyjnego 1 A T : A, B 2 T A : E KAT (K AB, B, t S, E KBT (K AB, A, t S )) 3 A B : E KBT (K AB, A, t S ) utrata klucza długoterminowego kompromituje poprzednie klucze sesyjne STS 5.15

16 Protokół zaprojektowany dla IPSec celem jest zgoda dwóch stron co do klucza zadaniem jest bezpieczna wymiana informacji do generacji klucza identyfikacja obydwu stron kodowanie informacji identyfikującej strony dla prywatności haszowanie informacji dla zapewnienia integralnosci danych obydwu stron strony tworzą cookies, które muszą być odesłane w kolejnych komunikatach cookies wymieniane przed złożoną obliczeniowo częścią protokołu chronią przed zapchaniem i atakami denial-of-service cookie wykorzystywane są do generacji klucza klucz sesyjny nie jest uwierzytelniany w komunikatach uwierzytelniane są elementy służące do konstrukcji klucza możliwość negocjacji parametrów STS 5.16

17 Tryby protokołu tryb zależny od żądanego poziomu bezpieczeństwa agresywny czyni pewne założenia o bezpieczeństwie np. że A i B należą do tej samej grupy komunikaty są podpisywane minimalizuje liczbę wysyłanych komunikatów, ale nie zabezpiecza przed atakami DoS alternatywny ukrywa identyfikatory identyfikatory stron są kodowane, zamiast być podpisywane wykorzystuje klucze publiczne do podpisywania standardowy (konserwatywny) wymaga wymiany cookies przed rzeczywistą wymianą informacji dla generacji kluczy ukrywa identyfikatory stron wykorzystując tymczasowy klucz konieczność wymiany większej liczby komunikatów STS 5.17

18 Protokół w trybie agresywnym A wybiera nonce n A i r A Z q A oblicza a = g r A 1 A B : ck A, a, list, A, B, n A, sig A (A, B, n A, a, list) B sprawdza podpis i wybiera n B oraz r B Z q B oblicza b = g r B i wybiera algorytm algo list 2 B A : ck B, ck A, b, algo, B, A, n B, n A, sig B (B, A, n B, n A, b, a, algo) A sprawdza podpis A oblicza wspólną tajemnicę Z AB = b r A 3 A B : ck A, ck B, b, algo, A, B, n A, n B, sig A (A, B, n A, n B, a, b, algo) STS B sprawdza podpis i oblicza klucz K AB K AB = MAC(Z AB, ck A, ck B ) list jest wyborem dostępnych A algorytmów kryptograficznych 5.18

19 Cookies w protokole cookies pozwalają na bezstanową obsługę cookies są losowymi wartościami 64-bitowymi (patrz rfc2412) dla danej strony (adresu IP) wartości nie mogą się powtarzać przez rozsądnie długi czas rfc2412 sugeruje minimum 1 godzinę możliwe wykorzystanie funkcji jednokierunkowej do zmienianej regularnie adresów IP lokalnego i odległego numerow portów cookies są wykorzystywane do generacji klucza wygasanie ważności cookies będzie wymuszać usuwanie informacji z nimi związanych STS 5.19

20 Algorytm w trybie standardowym 1 A B : żądanie połączenia 2 B A : ck B A wybiera r A i oblicza a = g r A 3 A B : ck A, ck B, a, list B wybiera r B i oblicza b = g r B 4 B A : ck B, ck A, b, alg A wybiera n A i oblicza wspólną tajemnicę Z AB = b r A = g r B r A A oblicza chwilowy klucz kodowania K = h(z AB ) 5 A B : c A, c B, a, E K (A, B, E PB (n A )) B wybiera n B, oblicza Z AB = a r B = g r Ar B i K = h(z AB ) B wyznacza klucz haszowania K = h(n A, n B ) 6 B A : c B, c A, b, alg, E k (E PA (n A, n B ), B, A, MAC K (B, A, b, a, alg)) A dekoduje, oblicza K = h(n A, n B ) i sprawdza MAC 7 A B : c A, c B, E K (MAC K (A, B, a, b, alg)) B weryfikuje MAC obie strony obliczają klucz sesyjny K AB = MAC na,n B (Z AB, ck A, ck B ) STS 5.20

21 Czy to działa? czy silne? tak, bo identyfikatory i informacje kodowane czy klucze są świeże? tak, bo wykorzystane nonces (też kodowane) czy klucze są uwierzytelniane? tak, wykorzystanie kluczy publicznych czy klucze są potwierdzane? tak czy utrata ktoregoś z kluczy powoduje utratę tajności klucza utworzonego? to własność tzw. perfect forward secrecy tak, tajność zachowana nie zachowuje tajności atak możliwy jeśli jest słaba implementacja STS 5.21

22 Atak na algorytm przez uosobienie 1 C B : żądanie połączenia jako A 2 B C : c B ; C oblicza c = g r C 3 C B : c C, c B, c, list; B oblicza b = g r B 4 B C : c B, c C, b, alg; C wybiera n C i oblicza Z CB = b r C = g r B r C ; C oblicza K = h(z CB ) 5 C B : c C, c B, c, E K (A, B, E PB (n C )) 6 B C : c B, c C, b, algo, E K (E PA (n B, n C ), B, A, MAC K (B, A, b, c)) 7 C inicjuje komunikację z A (punkty 1 do 4) 8 C A : c C, c A, c, E K (C, A, E PA (n B, n C )) A interpretuje E PA (n B, n C ) jako E PA (n C ) A zna P A : K = h(n B, n C, n A ), klucz haszowania K AC = h(n B, n C, n A ) 9 A C : c C, c A, c, algo, E K (E PC (n A, n B, n C ), A, C, MAC KAC (A, C, a, b)) C może rozkodować E PC (n A, n B, n C ) i poznać n B!!! 10 C B : c C, c B, E K (MAC K (A, B, c, b)) C i B obliczają klucz sesyjny K AB = MAC na,n C (Z CB, c C, c B ) STS 5.22

23 Typy ataków man in the middle manipulacja wiadomościami, wejście między dwie strony atak na odgrywanie wiadomości wykorzystanie nagranych komunikatów z przeszłych wymuszenie na stronie wykorzystania starego klucza dla zapobieżenia konieczne zapewnienie, że komunikaty są nowe wykorzystanie liczników, znaczników, nonces refleksja (odbicie) manipulacja komunikatami manipulacja certyfikatami uosobienie denial of service STS 5.23

24 Typy ataków man in the middle odgrywanie wiadomości refleksja (odbicie) wykorzystanie wielu równoległych sesji protokołu w protokole wyzwanie odpowiedź, ofiara może sama podać prawidłową odpowiedź na swoje własne wyzwanie! obrona: mocne, rozpoznawanie własnych komunikatów, numery sekwencyjne dla każdego przebiegu protokołu manipulacja komunikatami komunikaty są łańcuchami bitów możliwe wymuszenie na drugiej stronie innej niż prawidłowa interpretacji przykładem atak na konieczne: dobra implementacja, zmiany kolejności parametrów, identyfikatory przy kazdym polu manipulacja certyfikatami certyfikaty potwierdzają, że klucz należy do którejś strony ale nie ma pewności, że wysyłający zna tą wartość! uosobienie denial of service STS 5.24

25 Casper kontrola bezpieczeństwa założenie modelu black box intruz ma dostęp do wszystkich komunikatów potrafi wstawiać i zastępować komunikaty Casper stosuje logikę CSP do opisu problemu każdy agent oraz intruz są procesami system sprawdza oczekiwane cechy bezpieczeństwa system logiczny FDR przeszukuje całą przestrzeń możliwych stanów plik wejściowy opisuje opis protokołu, typy danych, testy, oczekiwane cele opis systemu, osoby biorące udział intruzów, ich wiedzę, ich zdolności to nie jest wcale takie łatwe... STS 5.25

26 Casper -- Wide Mouthed Frog Protocol #Free variables -- zmienne i funkcje wykorzystywane w protokole i opis -- ich typów A, B : Agent S : Server kab : SessionKey ts, ts : TimeStamp -- SKey jest funkcją podającą wartość klucza agenta SKey : Agent -> ServerKey STS -- InverseKeys oznacza klucze dające wzajemnie przeciwne -- wyniki (w szczególnosci dla kluczy publicznych) InverseKeys = (SKey,SKey) -- tu oznacza, że SKey jest kluczem symetrycznym 5.26

27 Casper #Processes -- opis poszczególnych agentów -- A inicjuje komunikacje do S, a także A zna klucz SKey(A) -- już na początku sesji INITIATOR(A,S,kab) knows SKey(A) -- B odbiera komunikaty, też zna klucz SKey(B) RESPONDER(B) knows SKey(B) -- S jest serwerem i zna obydwa SKey(A) oraz SKey(B) SERVER(S) knows SKey STS 5.27

28 Casper #Protocol description -- opis protokołu z wymianą komunikatów w postaci {m}{n} -- oznaczające komunikat m kodowany kluczem k -- Komunikat 0. -> A : B oznacza komunikat mowiący Alicji, -- że ma się komunikować z Bobem (komunikat od środowiska ) 0. -> A : B -- A wysyła do S identyfikator B, znacznik czasu ts, oraz -- wygenerowany klucz kab, wszystko zakodowane kluczem A -- poza tym S wykonuje test dotyczący ts (w nawiasach -- kwadratowych) 1. A -> S : {B, ts, kab}{skey(a)} [ts==now or ts+1==now] -- S przesyła tą informacją do B zakodowaną kluczem B -- dodając nowy znacznik czasowy i B dopuszcza jednostkowy -- upływ czasu 2. S -> B : {A, ts, kab}{skey(b)} [ts ==now or ts +1==now] STS 5.28

29 Casper #Specification -- opisuje wymagania dla protokołu -- czym powinien -- się zakończyć -- Secret(A, na, [B]) to "A myśli, ze na jest tajną -- wiadomością znaną tylko A oraz B" -- Agreement(A, B, [na, nb]) to "A jest pozytywnie -- uwierzytelniany przez B i obaj zgadzają się co -- do wiadomości na i nb (nonces)" -- warunek "jesli B zakończy z A, to A powinien -- był komunikować się przez ostatnie 2 jednostki -- czasu i oboje zgadzają się co do klucza kab" TimedAgreement(A,B,2,[kab]) STS 5.29

30 Casper #Actual variables -- opis rzeczywistych uczestników wraz z Mallory, która jest intruzką -- oraz rzeczywistych zmiennych Alice, Bob, Mallory : Agent Sam : Server Kab : SessionKey TimeStamp = MaxRunTime = 0 #Functions -- opis funkcji wykorzytywanych w trakcie protokołu STS -- definicja symbolic powoduje, że Casper generuje -- własne wartości reprezentujące wyniki symbolic SKey 5.30

31 Casper #System -- opis rzeczywistego systemu, Alice zajmuje miejsce A INITIATOR(Alice, Sam, Kab) RESPONDER(Bob) SERVER(Sam) #Intruder Information -- opis intruza wraz z możliwą posiadaną przez niego wiedzą Intruder = Mallory IntruderKnowledge = {Alice,Bob,Mallory,Sam,SKey(Mallory)} STS 5.31

32 Różne internetowe adresy (częściowo za Scientific American) prywatność informacje o Personal Genome Project eserver.org/thoreau/civil.html esej Henry Davida Thoreau na temat nieposłuszeństwa obywatelskiego celowego działania niezgodnego z prawem w przekonaniu, że owe przepisy rażąco naruszają wartości istotne dla stosującego nieposłuszeństwo obywatelskie inwigilacja 1 podsłuch VoIP 2 Center for Democracy and Technology 3 Electronic Privacy Information Center znaczniki bezdotykowe RFID (Radio Frequency IDentification) 1 dyskusja w Washington School of Law 2 ec.europa.eu/information_society/policy/rfid/index_en.htm reguły Unii Europejskiej 3 rfid.cs.washington.edu projekt dotyczący RFID STS 5.32

33 Różne internetowe adresy (częściowo za Scientific American) konsolidacja danych 1 jeffjonas.typepad.com/ieee.identity.resolution.pdf Dyskusja w Scientific American na temat ochrony danych osobowych STS 5.33