Wykład 1. komputerowych Identyfikacja główne slajdy. 12 października Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Transkrypt

1 Wykład 1 Identyfikacja główne slajdy 12 października 2011 Instytut Informatyki Uniwersytet Jagielloński 1.1

2 Identyfikacja i zapewnia jednej stronie identyfikację drugiej strona potrzebuje uzasadnionego zaufania, że tożsamość drugiej jest zgodna z tym co twierdzi danych potwierdza autentyczność źródła pochodzenia danych podmiotu odbywa się w czasie rzeczywistym, danych nie identyfikacja podmiotu założenia protokołów identyfikacji identyfikacja prawdziwych stron powinna zakończyć się sukcesem Alicja nie może wykorzystać informacji z procesu identyfikacji z Bobem dla późniejszej identyfikacji jako Bob przed Claire prawdopodobieństwo, że Claire mogłaby udawać Alicję powinno być praktycznie zerowe 1.2

3 Identyfikacja i identyfikacja może być oparta o to co/czym uwierzytelniaj acy zna (hasło, PIN) posiada (karta, generator haseł) jest (odcisk palca, siatkówka) zasada Kerckhoffsa: bezpieczeństwo systemu kryptograficznego oparte jest na tajności klucza nie powinno się ono opierać na tajności algorytmu 1.3

4 Cechy protokołów identyfikacji (Menezes et. al.) jedno- lub dwustronne jego wydajność obliczeniowa wydajność transmisji, np. konieczna liczba komunikatów udział zaufanych stron sposób zaufania trzeciej stronie (PKI a Charon) rodzaj gwarancji poprzez wykazanie wiedzy wykazanie identyczności o wiedzy zerowej sposób przechowywania tajemnic programy, tokeny, etc. 1.4

5 Hasła stanowia słabe zwiazane z identyfikatorami stron: przedstawienie identyfikatora, przedstawienie, akceptacja konieczne zakodowanie pliku haseł porównywane sa zaszyfrowane wersje przy pomocy symetrycznej funkcji (lepiej) haszowanie (szyfrowanie) samego szyfrowanie ustalonego komunikatu z hasłem jako kluczem reguły tworzenia haseł: długość, alfabet, czas ważności milion najbardziej popularnych haseł 8 bajtowych to raptem 8MB łatwe porównanie ze skradzionym plikiem zakodowanych haseł zabezpieczenie przed atakiem słownikowym wielokrotne wykorzystanie funkcji dla spowolnienia ataku siłowego uwaga nie może zmniejszać entropii niebezpieczeństwa ataków off line 1.5

6 PIN drugi poziom bezpieczeństwa po samej karcie czy tokenie możliwa kontrola on-line w systemach off-line PIN musi być przechowywany na samym urzadzeniu PIN zwykle weryfikuje użytkownika, a samo urzadzenie przechowuje hasło pozwalajace na dostęp do systemu wciaż słabe nie oparte na protokole kryptograficznym 1.6

7 zabezpiecza przed odgrywaniem (replay) haseł rodzaje dzielona lista haseł modyfikowane pierwsze hasło dzielone następne hasło przesyłane zakodowane pierwszym problemy przy błędach transmisji sekwencja haseł z pomoca funkcji 1.7

8 (schemat Lamporta) 1 inicjalizacja Alicja ustala ukryta tajemnicę w, liczbę możliwych identyfikacji t Alicja Bob: w 0 = H t (w) Bob ustawia licznik dla Alicji i Alicja = 1 2 komunikaty w trakcie i tej identyfikacji Alicja wysyła do Boba komunikat Alicja Bob : Alicja, i, w i = H t i (w) 3 kontrola Bob sprawdza czy i = i Alicja i czy H(w i ) = w i 1 jeśli w porzadku, to akceptuje i zwiększa licznik atak przez udawanie Boba i podebranie jeszcze nie użytego hasło może być wykorzystane przy kolejnym dostępie udajac Alicję musi być pewność, że hasło jest przekazywane właściwej stronie jednorazowe to ruch w kierunku silnego uwierzytelnienia 1.8

9 Schematy S/Key oraz OPIE S/KEY Secure Key OPIE Onetime Passwords In Everything S/Key używa MD4, OPIE natomiast MD5 skleja ziarno z tajnym hasłem (fraza) przetwarza ustalona liczbę razy (licznik) funkcję haszujac a każda wartość tworzy hasło w postaci listy 6 krótkich słów serwer Bob pamięta wartość z = passwd(n) i wartość licznika n A B: x = passwd(n 1) B: y = hash(x) B: jeśli y z to odrzucenie identyfikacji B: y == z to z = y, n = n 1 i przyjęcie identyfikacji B: jeśli n = 0 to reinicjalizacja listy haseł 1.9

10 Identyfikacja przez wyzwanie i odpowiedź strona demonstruje, że zna tajemnicę jednak bez jej przekazywania nonce to wartość używana co najwyżej raz dla zadanego celu wartości powinny być nieprzewidywalne dla atakujacego jako nonce moga być użyte liczby (pseudo)losowe nie powtarzać się wysłanie nonce i odebranie informacji zależnej od tej wartości gwarantuje świeżość komunikatu numery sekwencyjne chronia przed odgrywaniem komunikatów konieczna ustalona polityka przyznawania numerów znacznik czasowy zapewnia kolejność komunikatów i jednoznaczność dla zabezpieczenia przed odgrywaniem Alicja wysyła komunikat ze znacznikiem czasu Bob po odebraniu porównuje z aktualnym czasem akceptuje gdy jest w ramach predefiniowanego okienka czasowego 1.10

11 Wyzwanie odpowiedź oparte na symetrycznej w małych systemach każda para może dzielić klucz w większych konieczne wykorzystanie zaufanego serwera jednokierunkowa autoryzacja oparta na znaczniku czasowym A B : E K (t A, B) t A jest znacznikiem czasowym B akceptuje jeśli komunikat nadejdzie w okienku czasowym pole B w komunikacie zabezpiecza przed odesłaniem (odegraniem) komunikatu do A konieczność synchronizacji 1.11

12 Wyzwanie odpowiedź oparte na symetrycznej wykorzystujac liczby losowe 1 B A : r B 2 A B : E K (r B, B) B wysyła nonce do A B dekoduje komunikat rozpoznajac nonce dodatkowe B w komunikacie zabezpiecza przed odbiciem komunikatu: 1 Ewa E podsłuchuje komunikat E K (r B ) 2 Ewa odsyła komunikat 3 Alicja rozpoznaje nonce i akceptuje niebezpieczeństwo ataku na klucz z wybranym tekstem zwykle komunikaty sa sformatowane identycznie Ewa może wysłać komunikat tak, by wymusić na Alicji odesłanie go po zakodowaniu A może dodać dodatkowa losowa wartość do komunikatu 1.12

13 Wyzwanie odpowiedź oparte na wspólnym kluczu symetrycznym wzajemne uwierzytelnienia 1 B A : r B 2 A B : E K (r A, r B, B) 3 B A : E K (r A, r B, A) po odebraniu 2 komunikatu B generuje własny nonce i odsyła A dekoduje i sprawdza obydwie nonces wzajemne można osiagn ać przez powtórzenie poprzednich schematów, ale nie da się ich logicznie połaczyć istotne: protokół nie powinien składać się z wielu niezależnych części 1.13

14 Wyzwanie odpowiedź kodowanie zastapione funkcja MAC Message Authentication Code z kluczem kompresuje dowolnej długości łańcuch do ciagu bitów o ustalonej długości musi być łatwo obliczalna odporna na drugi przeciwobraz: majac jedna lub więcej par (x, h k (x)) jest trudne obliczeniowo znalezienie takiego y x, że h(y) = h(x) wzajemne oparte na MAC 1 B A : r B 2 A B : r A, h K (r A, r B, B) 3 B A : h K (r A, r B ) 1.14

15 Wyzwanie odpowiedź z generatorem odpowiedź na wyzwanie wymaga urzadzeń obliczeniowych, albo karty z procesorem i czytnika możliwe wykorzystanie ręcznego generatora haseł zależnych od czasu 1 użytkownik żada uwierzytelnienia 2 system wysyła wyzwanie zależne od danych o użytkowniku system zna typ urzadzenia użytkownika i jego klucz 3 użytkownik wpisuje wyzwanie do urzadzenia 4 urzadzenie oblicza i wyświetla odpowiedź 5 użytkownik wpisuje odpowiedź urzadzenie może być chronione PIN-em odpowiedź też może być zależna od PIN-u proste systemy używaja jako wyzwania znacznika czasowego (okienka czasowe typowo jedno minutowe) 1.15

16 Wyzwanie odpowiedź oparte na kluczu publicznym uwierzytelniajacy pokazuje znajomość swojego prywatnego klucza kodujac kluczem prywatnym przesłane nonce 1 B wybiera wartość losowa r 2 B A : r 3 A B : Priv A (r) 4 B dekoduje wiadomość r = Pub A (Priv A (r)) 5 B akceptuje jeśli r = r może być podatne na atak wartość losowa jest wybierana przez B B może wysłać wiele spreparowanych komunikatów dla uzyskania ich zakodowanych wersji przez A podatne na kryptoanalizę 1.16

17 Wyzwanie odpowiedź oparte na kluczu publicznym uwierzytelniajacy pokazuje znajomość swojego prywatnego klucza proste kodowanie przysyłanych wartości losowych podatne na kryptoanalizę 1 A wybiera wartość losowa r A 2 A B : Priv A (r A ) 3 B wybiera wartość losowa r B 4 B A : r B 5 A B : x = Priv A (r A, r B ) 6 B dekoduje wiadomość (r A, r B) = Pub A (Priv A (x)) 7 B akceptuje jeśli r A = r A oraz r B = r B obie strony wybieraj a wartości losowe nie podatne na kryptoanalizę przez atak z ustawionym tekstem r A nie jest przesyłane otwartym tekstem 1.17

18 Wyzwanie odpowiedź oparte na kluczu publicznym uwierzytelniajacy pokazuje znajomość swojego prywatnego klucza dekodujac informację zakodowana kluczem publicznym cyfrowo podpisujac wyzwanie 1 B A : h(r), B, P A (r, B) 2 A B : r B wybiera nonce r i oblicza świadka x = h(r) dla wykazania znajomości r, gdzie h jest funkcja jednokierunkowa B przesyła wyzwanie P A (r, B) kodowane kluczem publicznym A A dekoduje wyzwanie znajdujac r A oblicza x = h(r ) dla sprawdzenia znajomości r przez B i przerywa gdy x x B uwierzytelniania A jeśli odesłane r jest prawidłowe 1.18

19 NT Lan Manager serwer jest tylko pośrednikiem (ang. passthrough) serwer i DC maja wspólne hasło do kodowania informacji przepływ informacji klient przez RPC do SSP Security Support Provider zawierajace logikę uwierzytelniania LSA Local Security Authority jest obecne tylko na Windows NT, na innych platformach jego wywołania sa przekazywane do PAULAD Private Authentication Layer Deamon na serwerze te żadania ida do PAULAS Private Authentication Layer Service na Domain Controller od Windows 2000 preferowane przez Kerberos 1.19

20 1.20

21 protokół klient serwer: żadanie uwierzytelnienia jedynie parametry SSP i typ klient serwer: wyzwanie wyzwanie jest ciagiem bajtów klient serwer: odpowiedź LmChallengeResponse odpowiedź na żadanie DomainName nazwa domeny, gdzie użytkownik ma konto UserName Workstation nazwa komputera SessionKey klucz sesyjny przekazywany tylko przy uwierzytelnianiu datagramów przy uwierzytelnianiu użytkowników obliczany na podstawie i nie przekazywany przez sieć 1.20

22 algorytm wyzwania postać wyzwania wykorzystane 4 bajty z systemowego zegara czasu z dodanym licznikiem powinno zapewniać nieprzewidywalność i nie powtarzanie się wartości z generatora liczb losowych algorytm odpowiedzi wykorzystany algorytm DES wyzwanie ma 8 bajtów, a hasło 16 bajtów odpowiedź: 3 8 bajtowe bloki w których wyzwanie jest kodowane kluczem złożonym z 0 bajtów bajtów bajtów 14 i 15 uzupełnionych zerami w podobny sposób tworzony jest klucz sesyjny SessionKey (wykorzystywany RC4) 1.21

23 komunikacja komunikaty żadania i wyzwania zachodza pomiędzy klientem i serwerem po nadejściu odpowiedzi na wyzwanie, serwer przekazuje je do kontrolera domeny komunikacja jest szyfrowana serwer przekazuje parametry do kontrolera domeny kontroler domeny wykonuje procedurę logowania użytkownika i zwraca wynik 1.22