Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Κρυπτογραφία Υπηρεσίες Ακεραιότητας και Αυθεντικοποίησης Κέρκυρα, 2011 Δρ. Ε. Μάγκος.

Παρόμοιες παρουσιάσεις


Παρουσίαση με θέμα: "Κρυπτογραφία Υπηρεσίες Ακεραιότητας και Αυθεντικοποίησης Κέρκυρα, 2011 Δρ. Ε. Μάγκος."— Μεταγράφημα παρουσίασης:

1 Κρυπτογραφία Υπηρεσίες Ακεραιότητας και Αυθεντικοποίησης Κέρκυρα, 2011 Δρ. Ε. Μάγκος

2 Syllabus Συναρτήσεις Hash Μονόδρομες Συναρτήσεις Ακεραιότητα με συναρτήσεις Hash Ακεραιότητα και Αυθεντικοποίηση Συναρτήσεις MAC HMAC, CBC-MAC Αυθεντικοποίηση Χρήστη και Αυθεντικοποίηση Μηνύματος Αυθεντικοποίηση Χρήστη = Ταυτοποίηση Κρυπτογραφικά Πρωτόκολλα Ταυτοποίησης Αυθεντικοποίηση Μηνύματος (Κρυπτογραφικές Συναρτήσεις Hash)

3 Ιδιότητες Συναρτήσεων Hash 1. Compression Είσοδος (pre image): Αλφαριθμητικό κάθε μεγέθους. Έξοδος: αλφαριθμητικό μεγέθους Χ (τιμή hash) 2. Ευκολία στον υπολογισμό Δεδομένης μιας τιμής x και της συνάρτησης H, είναι εύκολο να βρείς το H(x) Συναρτήσεις Hash D R Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001

4 Μονόδρομες Συναρτήσεις (One-way) Μονόδρομες Συναρτήσεις Εύκολος ο υπολογισμός τους «Δύσκολη» η αντιστροφή τους It would take millions of years to compute x from f(x), even if all the computers in the world were assigned to the problem Ποια θα μπορούσε να είναι η χρήση των μονόδρομων συναρτήσεων; 1. Ακεραιότητα και Αυθεντικοποίηση Θα εξεταστεί στη συνέχεια 2. Κρυπτογράφηση Ένσταση: κανείς δε θα μπορούσε να ανακτήσει το Μ !! Μονόδρομες Συναρτήσεις & Κρυπτογράφηση Μονόδρομες συναρτήσεις κρυφής εισόδου (trapdoor one way) One-way: Εύκολος ο υπολογισμός Αντιστροφή: Δύσκολη, εκτός και εάν κάποιος γνωρίζει τη μυστική πληροφορία (trapdoor) Οι αλγόριθμοι δημοσίου κλειδιού βασίζονται στην ύπαρξη τους π.χ. Η κρυπτογράφηση με τον αλγόριθμο RSA θεωρείται μονόδρομη συνάρτηση Η μυστική πληροφορία για την αντιστροφή του RSA είναι οι πρώτοι παράγοντες του n Εύκολο Δύσκολο Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, Δεν έχει αποδειχθεί η ύπαρξη τους

5 Κρυπτογραφικές Συναρτήσεις Hash Ιδιότητες Κρυπτογραφικών Συναρτήσεων Hash 1. One way: Εύκολο να υπολογίσεις την τιμή hash δεδομένου του αρχικού μηνύματος, δύσκολο να υπολογίσεις το αρχικό μήνυμα δεδομένης της τιμής hash. 2. Collision-Resistance: Δύσκολο να βρεθεί σύγκρουση Σύγκρουση: δύο μηνύματα που δίνουν την ίδια τιμή hash D R Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Σημείωση: Αν |D| > |R| τότε οι συγκρούσεις είναι αναπόφευκτες, ωστόσο, σε μια κρυπτογραφική συνάρτηση hash είναι δύσκολο να βρεθούν Κρυπτογραφικές Συναρτήσεις Hash Μονόδρομες Συναρτήσεις Hash με επιπλέον προστασία από συγκρούσεις (collision resistance)

6 Κρυπτογραφικές Συναρτήσεις Hash Μελέτες Περιπτώσεων Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Συνάρτηση f: Το 32-bit checksum (με XOR) των 32-bit λέξεων αλφαριθμητικού Εύκολο στον υπολογισμό Προσφέρει συμπίεση Συγκρούσεις: Εύκολη η εύρεση Συνάρτηση f(x) = x 2 mod p Δεν είναι μονόδρομη: εύκολος ο υπολογισμός ριζών modulo p Συνάρτηση f(x) = x 2 mod n Για κατάλληλο n, είναι μονόδρομη Συγκρούσεις: Εύκολη η εύρεση π.χ. Οι τιμές (x, -x) Συνάρτηση f(x) = Ε Κ (x) E –αλγόριθμος block σε CBC mode Το κλειδί K είναι γνωστό Τιμή hash: το τελευταίο block Η συνάρτηση f δεν είναι κρυπτογραφικό hash Η f μοιάζει να είναι κρυπτογραφικό hash !

7 Μονόδρομες συναρτήσεις hash Παραδείγματα Αλγορίθμων SHA -1 Αλγόριθμοι Hash Ένας γύρος (round) στον αλγόριθμο SHA-1

8 Cryptool

9 Μονόδρομες συναρτήσεις hash Ασφάλεια Συναρτήσεων Hash Ferguson, Neils, Schneier, Bruce. Practical Cryptography. John Wiley & Sons, Inc., … Ένας τρόπος να το δει κανείς [FS03]: Επιλέγοντας k στοιχεία όπου κάθε στοιχείο μπορεί να πάρει μια από Ν τιμές, υπάρχουν k(k-1)/2 ζεύγη στοιχείων, κάθε ένα από τα οποία έχει πιθανότητα 1/Ν να αποτελείται από δύο ίσες τιμές. Απλουστεύοντας, Η πιθανότητα εύρεσης σύγκρουσης είναι : k(k-1)/2N. Αν τότε η πιθανότητα είναι κοντά στο 50% Παράδοξο: Έστω 23 άνθρωποι σε ένα δωμάτιο. Η πιθανότητα 2 να έχουν ίδια μέρα γενέθλια, είναι μεγαλύτερη από 50%

10

11 Μονόδρομες συναρτήσεις hash Ασφάλεια Συναρτήσεων Hash Βεβαίως, για κάθε συνάρτηση Hash υπάρχουν άπειρες συγκρούσεις, εφόσον υπάρχει ένα «άπειρο» σύνολο πιθανών εισόδων, και ένα πεπερασμένο σύνολο πιθανών εξόδων Ωστόσο, σε μια ασφαλή κρυπτογραφική συνάρτηση hash, η εύρεση σύγκρουσης παρουσιάζει υψηλή πολυπλοκότητα ! Ferguson, Neils, Schneier, Bruce. Practical Cryptography. John Wiley & Sons, Inc., 2003.

12 Μονόδρομες συναρτήσεις hash Ασφάλεια Συναρτήσεων Hash Υπολογιστική Ασφάλεια (Computational Security) Για μεγάλο n (το μήκος εξόδου της συνάρτησης) είναι δύσκολο: 1. Να βρεθεί το x 2. Να βρεθεί ένα x’ ≠ x ώστε Hash(x) = Hash(x’) Πόσο μεγάλο πρέπει να είναι το n; 1. Επίθεση αντιστροφής Πιθανότητα να βρεθεί το x: 2 -n Η Eve δοκιμάζει κάθε πιθανό x Κατά μέσο όρο 2 (n-1) βήματα 2. Επίθεση εύρεσης συγκρούσεων Ο Mallory προσπαθεί να βρει δύο τιμές x, x’ ώστε H(x)=H(x’) Λόγω του παραδόξου των γενεθλίων, θα χρειαστεί κατά μέσο όρο 2 (n/2) βήματα Tα 2 n/2 βήματα θα πρέπει να είναι «πολλά» για τον Mallory π.χ. για ασφάλεια 128 bit, το n θα πρέπει να έχει μήκος 256 bit Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Παράδοξο: Έστω 23 άνθρωποι σε ένα δωμάτιο. Η πιθανότητα 2 να έχουν ίδια μέρα γενέθλια, είναι μεγαλύτερη από 50%

13 Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003

14 Κρυπτογραφικές συναρτήσεις hash και Ακεραιότητα Μηνύματος Τι κάνουμε αν ο εχθρός είναι ενεργητικός Αν η συνάρτηση hash συνδυαζόταν με ένα μυστικό κλειδί, θα μπορούσε να προσφέρει και αυθεντικoποίηση !! Ιδιωτικό Κλειδί: Ψηφιακή Υπογραφή Συμμετρικό κλειδί: Συνάρτηση MAC Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Οι συναρτήσεις hash μπορούν να προσφέρουν ακεραιότητα (integrity) 1. H Alice στέλνει στον Bob ένα μήνυμα Μ, και την τιμή hash H(M) 2. O Bob υπολογίζει την τιμή hash του μηνύματος που έλαβε (έστω H(M’)) 3. Εάν Η(Μ) = Η(Μ’) τότε το μήνυμα είναι το σωστό Aν αλλαχτεί έστω ένα bit του M, η τιμή hash θα είναι διαφορετική Avalanche effect Passive !!! Η προστασία ισχύει όταν ο εχθρός είναι παθητικός

15 Ακεραιότητα Μηνύματος Συμμετρικές Τεχνικές: One-Way Hash Functions Παραδείγματα Έλεγχος ακεραιότητας για προστασία από ιούς Διανομή λογισμικού, ανταλλαγή αρχείων,… Αλγόριθμος Hash M M, H(Μ) Μ 4 NAI (OK) OXI M Σημείωση: Στη βιβλιογραφία, όταν χρησιμοποιούνται για προστασία της Ακεραιότητας, οι συναρτήσεις hash αναφέρονται και ως MDCs (Message Detection Codes)

16 Αυθεντικοποίηση (Authentication), Μυστικότητα (Secrecy) και Ακεραιότητα (Integrity) Μέχρι τα μέσα της δεκαετίας 70, η αυθεντικοποίηση και η μυστικότητα ήταν αλληλένδετες Θεωρητικά, η κρυπτογράφηση παρείχε και αυθεντικοποίηση Με την ανακάλυψη των συναρτήσεων hash και των ψηφιακών υπογραφών, οι δύο ιδιότητες εξετάζονται χωριστά Η Alice και ο Bob επιθυμούν αυθεντικοποίηση (με ποιον ομιλώ & ποιος έστειλε αυτό που έλαβα), καθώς και ακεραιότητα της πληροφορίας Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Σενάριο: Η Alice και ο Bob επικοινωνούν από δύο διαφορετικές χώρες. Η χώρα της Alice δεν επιτρέπει μυστικότητα στο κανάλι (π.χ. παρακολούθηση συνομιλιών)

17  Αυθεντικοποίηση Προέλευσης Μηνύματος (Data Origin Auth.) Aναφέρεται και ως αυθεντικοποίηση μηνύματος (message authentication) Η επικοινωνία μπορεί να είναι μονής ή διπλής κατεύθυνσης π.χ. A s B Παραδείγματα Ψηφιακές Υπογραφές Συναρτήσεις MAC Υπηρεσίες Αυθεντικοποίησης Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001  Αυθεντικοποίηση Οντότητας (Εntity Authentication) Aναφέρεται και ως Ταυτοποίηση (Identification) Η επικοινωνία μπορεί να είναι διπλής κατεύθυνσης Ταυτοποίηση της Alice από Bob Ταυτοποίηση του Bob από Alice Παραδείγματα Τεχνικές Κωδικών Password Πρωτόκολλα Πρόκλησης Απάντησης (Challenge-Response) Σενάριο Α: Η Alice και ο Bob είναι online και επικοινωνούν σε πραγματικό χρόνο Σενάριο Β: Η Alice δημιουργεί ένα μήνυμα το οποίο κάποια στιγμή στο μέλλον παραλαμβάνει ο Bob Επιπλέον προσφέρουν και Ακεραιότητα!

18 Αυθεντικοποίηση Χρήστη (Identification, OR User Authentication) Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Οι τεχνικές ταυτοποίησης προσφέρουν πειστήρια π.χ. στην Alice σχετικά με: 1. Την ταυτότητα του Bob 2. Το γεγονός ότι ο Bob ήταν ενεργός (active) τη στιγμή που δημιουργήθηκαν και αποκτήθηκαν τα πειστήρια Παράδειγμα Α: Ο Bob τηλεφωνεί στην Alice - Αμοιβαία Αυθεντικοποίηση (mutual authentication) Παράδειγμα Β: Ο Bob εισάγει την κάρτα του και στέλνει το PIN του μέσω του ATM. Μονομερής αυθεντικοποίηση (unilateral authentication) gif copyright1.gif

19 Αυθεντικοποίηση Προέλευσης Μηνύματος (Data Origin Authentication, OR Message Authentication) Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Οι τεχνικές αυθεντικοποίησης μηνύματος προσφέρουν πειστήρια π.χ. στην Alice για : Την ταυτότητα του υποκειμένου που δημιούργησε το μήνυμα που έλαβε. Το γεγονός ότι το υποκείμενο ήταν ενεργός (active) τη στιγμή που δημιουργήθηκε το μήνυμα Τα δύο υποκείμενα, μπορεί να μην είναι ενεργά (online) την ίδια χρονική στιγμή Παράδειγμα Γ: Ο Bob στέλνει ένα στην Alice. To μήνυμα αποθηκεύεται στον mail server της Alice. Κάποια στιγμή, η Alice συνδέεται και παραλαμβάνει το mail r.gif

20 Υπηρεσίες Αυθεντικοποίησης και Ακεραιότητας π.χ. Εάν το μήνυμα τροποποιηθεί κατά τη μετάδοση του, τότε δεν το έγραψε ο Bob ! Συχνά στη βιβλιογραφία, η Αυθεντικοποίηση Μηνύματος συνδέεται άρρηκτα με την έννοια της Ακεραιότητας. !!! Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 M Δεν υπάρχει αυθεντικοποίηση μηνύματος χωρίς ακεραιότητα !! Μπορεί να έχω ακεραιότητα, αλλά όχι αυθεντικοποίηση μηνύματος !! (?)

21 Αυθεντικοποίηση Μηνύματος Συναρτήσεις MAC (Message Authentication Code) ΗΜΑC: Μια συνάρτηση MAC μπορεί να θεωρηθεί παραλλαγή μιας συνάρτησης hash (n-bit) Είσοδος: Το μήνυμα Μ και ένα συμμετρικό κλειδί Κ Έξοδος: τιμή MAC (n–bit) Ασφάλεια Συνάρτησης HMAC 1. Κληρονομεί τις ιδιότητες ασφάλειας της συνάρτησης Hash 2. H διαδρομή Μ  ΜΑC(M) δεν είναι πλέον εύκολη..εκτός & αν υπάρχει γνώση του Κ 3. Αν η Hash είναι ασφαλής, η ασφάλεια της συνάρτησης MAC βασίζεται στο μήκος του κλειδιού Μήκος(Κ) = 128 bit Μήκος Hash = 256 bit Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 HASH

22 Αυθεντικοποίηση Μηνύματος και Ακεραιότητα Συμμετρικές Τεχνικές: ΜΑC Αλγόριθμος Hash M M, ΜΑC(Μ) Μ 5 NAI (OK) OXI M 1 Secure Channel K K K Ακεραιότητα ΚΑΙ Αυθεντικοποίηση Μηνύματος Σημείωση: Σε σύγκριση με την χρήση των κρυπτογραφικών συναρτήσεων Hash για ακεραιότητα, όπου η δεύτερη ιδιότητα ασφάλειας των συναρτήσεων hash (collision resistance) είναι η πλέον σημαντική, στις συναρτήσεις MAC βλέπουμε επίσης τη σημασία της πρώτης ιδιότητας (one-way): Aν η συνάρτηση hash δεν ήταν μονόδρομη, η Eve θα έβρισκε το Κ !!!

23 Αυθεντικοποίηση Μηνύματος και Ακεραιότητα Τεχνικές Δημόσιου Κλειδιού: Ψηφιακή Υπογραφή Σε συστήματα Αυθεντικοποίησης (MAC, ψηφ. υπογραφή) η ασφάλεια της συνάρτησης Hash έναντι συγκρούσεων (collision resistance) είναι κρίσιμη ! 1. Έστω ο Mallory βρίσκει δύο Μ1 και Μ2 ώστε Η(Μ1)=Η(Μ2) 2. Ο Mallory πείθει με κάποιον τρόπο την Alice να υπογράψει το Μ1 3. Ο Mallory ισχυρίζεται ότι η Alice υπέγραψε το Μ2 !!!

24 Αυθεντικοποίηση και Ακεραιότητα Τεχνικές Δημόσιου Κλειδιού: Ψηφιακή Υπογραφή Μια παραλλαγή της προηγούμενης επίθεσης: 1. Έστω ο Bοb βρίσκει δύο μηνύματα Μ1 και Μ2 ώστε Η(Μ1)=Η(Μ2) 2. Ο Bob υπογράφει το μήνυμα Μ1 3. Ο Bob, αποποιείται ευθύνη, ισχυριζόμενος ότι υπέγραψε το μήνυμα Μ2 !!!!!!!

25 Συμμετρικές Τεχνικές: ΜΑC Δημιουργία MAC χρησιμοποιώντας αλγορίθμους ομάδας Η. Mel, D. Baker. Cryptography Decrypted. Addison-Wesley, 2001 Ένας αλγόριθμος σε CBC mode μπορεί να χρησιμοποιηθεί και ως αλγόριθμος MAC CBC-MAC H τιμή ΜΑC ισούται με το n-οστό κρυ- πτογραφημένο block To κλειδί Κ παραμένει μυστικό

26 Αυθεντικοποίηση, Ακεραιότητα και Μυστικότητα Συμμετρικές Τεχνικές a) Ακεραιότητα-Αυθεντικοποίηση Μηνύματος με MAC Όχι μυστικότητα b) Ακεραιότητα και Μυστικότητα με hash & κρυπτογράφηση Αν αντί για hash είχαμε MAC, θα είχαμε και αυθεντικοποίηση μηνύματος c) Ακεραιότητα με hash (MDC) & Αυθεντικοποίηση Μηνύματος μέσω ανεξάρτητου κανάλιού Π.χ. τηλέφωνο Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 )

27 Αυθεντικοποίηση, Ακεραιότητα και Μυστικότητα Συμμετρικές Τεχνικές a) Ακεραιότητα-Αυθεντικοποίηση Μηνύματος με MAC Όχι μυστικότητα b) Ακεραιότητα και Μυστικότητα με hash & κρυπτογράφηση Αν αντί για hash είχαμε MAC, θα είχαμε και αυθεντικοποίηση μηνύματος c) Ακεραιότητα με hash (MDC) & Αυθεντικοποίηση Μηνύματος μέσω ανεξάρτητου κανάλιού Π.χ. τηλέφωνο Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 )

28 Αυθεντικοποίηση, Ακεραιότητα και Μυστικότητα Τεχνικές Δημόσιου Κλειδιού & Υβριδικές Τεχνικές a) υπογράφει το μήνυμα με το ιδιωτικό της κλειδί b) κρυπτογραφεί την υπογραφή με το δημόσιο κλειδί του Bob c) αποκρυπτογραφεί με το ιδιωτικό του κλειδί d) επαληθεύει την υπογραφή με το δημόσιο κλειδί της Alice στέλνει Παραλλαγή (PGP), χρησιμοποιώντας υβριδικό σύστημα Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996.

29 Αυθεντικοποίηση Χρήστη – Ταυτοποίηση User Authentication – Identification 2. Μη Μεταφερσιμότητα: Ο Α δε μπορεί χρησιμοποιήσει όσα «βλέπει» & να πλαστοπροσωπήσει τον Β σε κάποιον τρίτο 3. Ασφάλεια από Πλαστοπροσωπία: Είναι «δύσκολο» για κάποια τρίτη οντότητα C, να πείσει τον Α ότι είναι ο χρήστης Β !! Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Στόχοι Αυθεντικοποίησης 1. Περατότητα: Αν οι Α και Β συμπεριφέρονται τίμια, ο Α αποδέχεται πάντοτε την ταυτότητα του Β ως αυθεντική Μια οντότητα Α βεβαιώνεται (μέσω απόκτησης πειστηρίων) για την ταυτότητα Β μιας άλλης οντότητας, καθώς επίσης και για το γεγονός ότι ο Β συμμετέχει (είναι δηλαδή ενεργός) στο πρωτόκολλο τη στιγμή που αυτό διενεργείται Κάτι που ξέρω ; Κάτι που έχω ; Κάτι που είμαι ;

30 Πρωτόκολλα Ταυτοποίησης (Identification Protocols) Κατηγοριοποιήσεις O Bob ταυτοποιεί την Alice (ή το αντίστροφο) Ο Bob ταυτοποιεί την Alice και H Alice ταυτοποιεί τον Bob Ταυτοποίηση Μονόδρομη Ταυτοποίηση (Unilateral Identification) Αμφίδρομη Ταυτοποίηση (Mutual Identification) Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001

31 Πρωτόκολλα Ταυτοποίησης (Identification Protocols) Κατηγοριοποιήσεις Ταυτοποίηση «Ανίσχυρες» Τεχνικές (Weak Authentication) Ισχυρές Τεχνικές (Strong Authentication) Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 PINs, Passwords Πρωτόκολλα Πρόκλησης – Απάντησης (Challenge Response protocols) Συμμετρικές Τεχνικές Τεχνικές ΔΚ

32 Αυθεντικοποίηση Χρήστη – Ταυτοποίηση Αυθεντικοποίηση με Passwords («Aπλό» πρωτόκολλο) Προβλήματα: ID A Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 “Δώσε μου το password !” PAPA

33 Αυθεντικοποίηση Χρήστη – Ταυτοποίηση Αυθεντικοποίηση με Passwords Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003

34 Αυθεντικοποίηση Χρήστη – Ταυτοποίηση Αυθεντικοποίηση με Passwords & Μονόδρομες Συναρτήσεις Hash Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001

35 Αυθεντικοποίηση Χρήστη – Ταυτοποίηση Αυθεντικοποίηση με Passwords & Μονόδρομες Συναρτήσεις Hash Ο Bob διατηρεί αρχείο με τις τιμές hash των passwords των χρηστών One-way: Το αρχείο είναι «άχρηστο» για την Eve Ωστόσο, το αρχείο θα πρέπει να είναι write-protected (Mallory) Πρωτόκολλο Η Alice στέλνει το pswd στον Bob Ο Bob υπολογίζει την τιμή hash και συγκρίνει το αποτέλεσμα με την αποθηκευμένη τιμή Το πρόβλημα με τα passwords 1. Εάν το κανάλι είναι μη ασφαλές, η Eve μπορεί να υποκλέψει… … & στη συνέχεια, να εξαπολύσει επίθεση πλαστοπροσωπίας 2. Το πρόβλημα με τα «μνημονικά» passwords Ανάγκη για υψηλή εντροπία Dictionary Attacks Password Ο Bob ταυτοποιεί την Alice Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996.

36 Αυθεντικοποίηση Χρήστη – Ταυτοποίηση Το σχήμα του Lamport – ONE TIME PASSWORDS Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Σκοπός: Η Alice θα αυθεντικοποιηθεί έως n φορές, θα θυμάται μόνον ένα password και δε θα είναι δυνατές επιθέσεις επανάληψης Πρωτόκολλο: Ένα master password P A γίνεται hash n φορές με την κρυπτογραφική συνάρτηση H ID A, H n-1 (P A ) OKAY !!! Το σύστημα S/KEY στηρίζεται στο σχήμα του Lamport

37 Αυθεντικοποίηση Χρήστη – Ταυτοποίηση Αυθεντικοποίηση με Passwords & Εντροπία Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001

38 H «ιδέα» πίσω από τα πρωτόκολλα πρόκλησης-απάντησης είναι η εξής: Η Alice «αποδεικνύει» γνώση ενός μυστικού (που αυτή και ο Bob μοιράζονται), χωρίς να αποστείλει το μυστικό στο Bob! Η τεχνική περιγραφεται ως εξής: 1. Ο Bob στέλνει στην Alice μια αριθμητική τιμή (πρόκληση) π.χ. Ένας τυχαίος αριθμός π.χ. αριθμός nonce Πρωτόκολλα Πρόκλησης-Απάντησης (Challenge Response) 2. Συνδυάζοντας την πρόκληση με το μυστικό που γνωρίζει, η Alice υπολογίζει και επιστρέφει στον Bob μια τιμή (απάντηση) Χρήση μίας (μονόδρομης) κρυπτογραφικής συνάρτησης f = f (challenge, secret) challenge response Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003

39 Κρυπτογραφικά Πρωτόκολλα Πρόκλησης-Απάντησης (Challenge Response) challenge response = f (challenge, secret) Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Ερώτηση: Γιατί το challenge πρέπει να είναι μοναδικό; Απάντηση: ώστε ο Bob να γνωρίζει ότι η Alice ήταν ενεργή τη στιγμή που εκτελέστηκε το πρωτόκολλο Αλλιώς, η απάντηση της Alice μπορεί να είναι αποτέλεσμα «επίθεσης επανάληψης» (replay attack) από τον Mallory

40 Αυθεντικοποίηση Χρήστη Συμμετρικές Τεχνικές Κρυπτογραφικό Πρωτόκολλο 1 - Παραλλαγές 1. ISO Two Pass Unilateral Authentication Protocol Ο Bob ταυτοποιεί την Alice O Bob ταυτοποιεί την Alice και η Alice τον Bob (αμφίδρομη ταυτοποίηση) Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Ο Bob ταυτοποιεί την Alice με τη χρήση timestamps H χρήση χρονοσημάνσεων είναι ασφαλής, εφόσον: α) Η Alice και ο Bob είναι συγχρονισμένοι, β) Το ρολόι του Bob δε μπορεί να «πειραχτεί» από τον Mallory… Χρονοσημάνσεις: Ένα βήμα αντί Δύο !!! Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003

41 Αυθεντικοποίηση Χρήστη Συμμετρικές Τεχνικές Κρυπτογραφικό Πρωτόκολλο 2 – Χρήση Συνάρτησης MAC Το πρωτόκολλο αποτελεί παραλλαγή του Πρωτοκόλλου 1 Η Συνάρτηση Κρυπτογράφησης αντικαθίσταται από ένα MAC Το πρωτόκολλο είναι γνωστό και ως SKID3s Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001

42 Υλοποιήσεις Γεννήτορες Κωδικών Το πρωτόκολλο στο σχήμα αποτελεί παραλλαγή του Πρωτοκόλλου 1 Mια «έξυπνη» συσκευή Ο Βob πληκτρολογεί στη συσκευή την πρόκληση Ν Η συσκευή χρησιμοποιεί το κλειδί Κ και την πρόκληση Ν, και υπολογίζει την απάντηση (response) (π.χ PDA) έχει αποθηκευμένο το κλειδί Κ Ο Bob έχει πάντα μαζί του τη συσκευή. Στην αρχή κάθε ταυτοποίησης, η συσκευή ταυτοποιεί τον Bob με αριθμό PIN Security Engineering, Anderson, 2001

43 Υλοποιήσεις:Γεννήτορες Κωδικών (Passcode Generators) Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001

44 Αυθεντικοποίηση Χρήστη Τεχνικές Δημόσιου Κλειδιού Πώς ο Bob μπορεί να ταυτοποιήσει μια οντότητα Α ως την Alice, χρησιμοποιώντας τεχνικές Δημόσιου Κλειδιού; 1. Κρυπτογράφηση: Ο Bob κρυπτογραφεί μια πρόκληση C με το ΔΚ Α της Alice, και στέλνει το μήνυμα στην οντότητα Α. Αν η Α είναι όντως η Alice, μπορεί να αποκρυπτογραφήσει το μήνυμα και να στείλει ως απάντηση to C Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996.Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Αμφίδρομη Ταυτοποίηση Μια παραλλαγή του πρωτοκόλλου Needham- Schroeder (χωρίς ανταλλαγή κλειδιού) Μονόδρομη Ταυτοποίηση Μπορείτε να το μετατρέψετε σε αμφίδρομη ταυτοποίηση;

45 Αυθεντικοποίηση Χρήστη Τεχνικές Δημόσιου Κλειδιού 2. Ψηφιακή Υπογραφή: O Bob στέλνει στην Alice ένα challenge. Η Alice υπογράφει το challenge με το ΙΚ της & στέλνει την απάντηση στον Bob. Ο Bob επαληθεύει με το ΔΚ της Alice Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996.Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 a) Μονόδρομη Ταυτοποίηση c) Μονόδρομη Ταυτοποίηση με χρονοσημάνσεις (timestamps) b) Αμφίδρομη Ταυτοποίηση

46 Αυθεντικοποίηση Χρήστη & Αυθεντικοποίηση Μηνύματος Μπορεί π.χ. το Πρωτόκολλο 1 να προσφέρει, εκτός από αυθεντικοποίηση χρήστη και αυθεντικοποίηση μηνύματος; Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Σημείωση: Όπως θα δούμε στην επόμενη Ενότητα, τα State-of-the-Art πρωτόκολλα εδραίωσης κλειδιών (key establishment protocols) προσφέρουν Αυθεντικοποίηση Χρήστη και Μηνύματος, όπου το Μ είναι ένα κλειδί συνόδου για μελλοντική επικοινωνία.

47 Αυθεντικοποίηση Χρήστη & Αυθεντικοποίηση Μηνύματος Βεβαίως, όταν στόχος είναι η αυθεντικοποίηση χρήστη ή/και η αυθεντικοποίηση μηνύματος, η πλέον σωστή τακτική είναι η χρήση τεχνικών MAC και Ψηφιακών Υπογραφών Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Αντιστοίχως, οι τεχνικές κρυπτογράφησης ενδείκνυνται μόνον για προστασία της εμπιστευτικότητας (μυστικότητας) δεδομένων

48 Αυθεντικοποίηση Χρήστη & Αυθεντικοποίηση Μηνύματος Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003

49 Βιβλιογραφία Διάλεξης Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, Η. Mel, D. Baker. Cryptography Decrypted. Addison-Wesley, 2001 Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Ferguson, Neils, Schneier, Bruce. Practical Cryptography. John Wiley & Sons, Inc., 2003.


Κατέβασμα ppt "Κρυπτογραφία Υπηρεσίες Ακεραιότητας και Αυθεντικοποίησης Κέρκυρα, 2011 Δρ. Ε. Μάγκος."

Παρόμοιες παρουσιάσεις


Διαφημίσεις Google