Κρυπτογραφία Διαχείριση Κλειδιού Πρωτόκολλα Εδραίωσης Κλειδιού (Key Establishment Protocols) Κέρκυρα, 2010 Δρ. Ε. Μάγκος
Πρωτόκολλα Εγκαθίδρυσης Κλειδιού Key Establishment (ή, Key Exchange) Protocols 1. Πρωτόκολλα Διανομής Κλειδιού (Key Distribution) Μια έμπιστη οντότητα (KDC) δημιουργεί το κλειδί και το στέλνει στην Alice και τον Bob 2. Πρωτόκολλα Μεταφοράς Κλειδιού (Key transport) Η Alice ή o Bob δημιουργεί ένα κλειδί και το στέλνει στον άλλο 3. Πρωτόκολλα Συμφωνίας Κλειδιού (Key Agreement) Η Alice & Bob συμμετέχουν από κοινού στη δημιουργία κλειδιού Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Πώς δύο οντότητες θα αποκτήσουν ένα συμμετρικό κλειδί για μυστική επικοινωνία; Το κανάλι δεν είναι ασφαλές H διαδικασία απόκτησης ενός μυστικού κλειδιού μεταξύ δύο ή περισσοτέρων οντοτήτων ονομάζεται Εγκαθίδρυση Κλειδιού (Key Establishment) Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, Ιδανικά, ένα διαφορετικό κλειδί πρέπει να χρησιμοποιείται σε κάθε σύνοδο επικοινωνίας. Τα κλειδιά αυτά ονομάζονται Κλειδιά Συνόδου (Session Keys).
Πρωτόκολλα Εγκαθίδρυσης Κλειδιού Key Establishment (ή, Key Exchange) Protocols Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, Η Alice & ο Bob βεβαιώνονται ότι το κλειδί είναι καινούριο (δεν έχει χρησιμοποιηθεί στο παρελθόν) Σχετικός όρος (βιβλιογραφία) Key freshness Στόχοι εγκαθίδρυσης κλειδιού: 1. Μόνον η Alice & ο Bob μπορούν να γνωρίζουν το νέο κλειδί. Σχετικός όρος (βιβλιογραφία) Key authentication 2. Η Alice και ο Bob αποδεικνύουν ο ένας στον άλλον ότι γνωρίζουν το κλειδί Σχετικός όρος (βιβλιογραφία) Key confirmation
Πρωτόκολλα Εγκαθίδρυσης Κλειδιού Key Establishment (ή, Key Exchange) Protocols Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, … αίρεται η ανάγκη αποθήκευσης για μεγάλο χρονικό διάστημα κρυπτογραφικών κλειδιών. 4. … δημιουργείται ανεξαρτησία μεταξύ των συνόδων επικοινωνίας & μεταξύ δικτυακών εφαρμογών. Γιατί χρειαζόμαστε κλειδιά συνόδου (session keys); 1. … μειώνουμε την ποσότητα κρυπτογραφημένου κειμένου (με το ίδιο κλειδί) που έχει για κρυπτανάλυση η Eve 2. … μειώσουμε τις συνέπειες από την αποκάλυψη ενός κλειδιού (π.χ. απώλεια, κλοπή, κρυπτανάλυση) π.χ Forward secrecy
Πρωτόκολλα Εγκαθίδρυσης Κλειδιού Key Encrypting Keys Stinson, D. Cryptography: Theory and Practice. Third Edition, CRC, 2005 Στην πράξη, τα κλειδιά μακράς διαρκείας, είτε αυτά είναι συμμετρικά είτε είναι ζεύγη ιδιωτικών-δημόσιων κλειδιών, δεν χρησιμοποιούνται ποτέ απευθείας για κρυπτογραφικές υπηρεσίες (π.χ. κρυπτογράφηση, MAC κ.λ.π). Αντι αυτού, τα κλειδιά αυτά χρησιμοποιούνται ως Κλειδιά για την Ανταλλαγή Κλειδιών (Key Encrypting Keys), δηλαδή για να διευκολύνουν την ανταλλαγή κλειδιών συνόδου (περιορισμένης χρονικής διάρκειας)
Διανομή Κλειδιού από Έμπιστη Οντότητα Key Distribution with a Key Distribution Center (KDC) Schneier, Bruce. Applied Cryptography Έστω η Alice και o Bob είναι χρήστες δικτύου & «μοιράζονται» ένα κλειδί με την Αρχή (KDC) 1. H Alice ζητάει από τον Trent ένα κλειδί για επικοινωνία με τον Bob 2. O Trent δημιουργεί ένα κλειδί συνόδου Κ ΑΒ και στέλνει στην Alice δύο αντίγραφα του κλειδιού: Ένα αντίγραφο κρυπτ/νο με το κλειδί Κ ΒΤ που μοιράζεται με Bob Ένα αντίγραφο κρυπτ/νο με το κλειδί Κ ΑΤ που μοιράζεται με Alice 3. H Alice αποκρυπτογραφεί το αντίγραφο της και στέλνει στον Bob το αντίγραφό του 4. Ο Bob αποκρυπτογραφεί το αντίγραφο του 5. Η Alice και ο Bob επικοινωνούν με το κλειδί K AB Trent (KDC)
Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, Διανομή Κλειδιού από Έμπιστη Οντότητα Key Distribution with a Key Distribution Center (KDC) Μειονεκτήματα Αρχιτεκτονικής Υψηλή εμπιστοσύνη στον Trent Υψηλός φόρτος εργασίας για Trent Πλεονεκτήματα Αρχιτεκτονικής Εύκολη διαχείριση συστήματος Κάθε οντότητα αποθηκεύει ένα μόνον κλειδί μακράς διαρκείας Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001
Διανομή Κλειδιού από Έμπιστη Οντότητα To πρωτόκολλο Needham-Schroeder (1978) Οι «τυχαιότητες» R A και R B χρησιμοποιούνται (εκτός άλλων) για αποφυγή επιθ. επανάληψης Στο βήμα 2, η Alice βεβαιώνεται ότι η απάντηση του Trent δίνεται τώρα Στa βήματα 4 & 5, ο Bob βεβαιώνεται ότι η Alice είναι ενεργή στο πρωτόκολλο. Και οι δύο χρήστες πείθονται ότι ο άλλος ξέρει το κλειδί Αυθεντικοποίηση Alice Επιβεβαίωση κλειδιού (key confirmation) Trent (KDC) Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition,
Διανομή Κλειδιού από Έμπιστη Οντότητα Επίθεση στο πρωτόκολλο Needham-Schroeder Παραδοχές: Ο Mallory, που επίσης υποκλέπτει και επικοινωνίες, έχει «σπάσει» ένα παλιό κλειδί Κ’ που η Alice και ο Bob κάποτε χρησιμοποιούσαν. Ο Mallory συμμετέχει σε ένα καινούριο πρωτόκολλο με τον Bob, ξεκινώντας από το βήμα 3 … που είχε υποκλέψει από παλαιότερη εκτέλεση του πρωτοκόλλου Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, Trent (KDC)
Διανομή Κλειδιού από Έμπιστη Οντότητα Επίθεση στο πρωτόκολλο Needham-Schroeder Αν ο Trent εισήγαγε έγκυρες χρονοσημάνσεις στα μηνύματα που αποστέλλει στην Alice, η επίθεση θα ήταν αδύνατη !! Η λογική αυτή χρησιμοποιείται στο σύστημα Kerberos (1994) Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996.
Διανομή Κλειδιού από Έμπιστη Οντότητα Επίθεση των Denning-Sako στο Πρωτόκολλο Needham-Schroeder Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003.
Διανομή Κλειδιού από Έμπιστη Οντότητα Αντιμετώπιση της Επίθεσης με Χρονοσημάνσεις Οι Denning και Sako πρότειναν την αντιμετώπιση του προβλήματος με χρονοσημάνσεις (όπως φαίνεται στο σχήμα) Τ: χρονοσήμανση που εισάγει ο Trent στα μηνύματα που δημιουργεί Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall,
Μεταφορά Κλειδιού με Συμμετρική Κρυπτογραφία Προκαταρκτικά: Η Alice και ο Bob «μοιράζονται» ένα κλειδί K μακράς διαρκείας, και επιθυμούν να εγκαθιδρύσουν ένα καινούριο κλειδί συνόδου Πρωτόκολλο 1 - H Alice δημιουργεί ένα καινούριο κλειδί και το στέλνει στον Bob Πρωτόκολλο 2 – Αυθεντικοποίηση της Alice και μεταφορά του κλειδιού συνόδου Το κλειδί συνόδου είναι το r A Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Γενικότερα, το μειονέκτημα της μεταφοράς κλειδιού με συμμετρική κρυπτογραφία, είναι η απαίτηση για ύπαρξη προ-εγκατεστημένων κλειδιών μεταξύ των χρηστών του συστήματος
Μεταφορά Κλειδιού με Συμμετρική Κρυπτογραφία Πρωτόκολλο 2 – Εναλλακτικό Αυθεντικοποίηση της Alice και μεταφορά του κλειδιού συνόδου Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 (Χρήση χρονοσημάνσεων – timestamps) Πρωτόκολλο 3- Αμοιβαία αυθεντικοποίηση και μεταφορά του κλειδιού συνόδου Ουσιαστικά, το πρωτόκολλο πλέον μετατρέπεται σε πρωτόκολλο ανταλλαγής κλειδιού - εφόσον το κλειδί συνόδου φτιάχνεται από τα r A και r B, που συνεισφέρουν και οι δύο
Μεταφορά Κλειδιού (Key Transport) με Κρυπτογραφία Δημόσιου Κλειδιού 1. H Alice αποκτά (με κάποιον τρόπο) το έγκυρο ΔΚ του Bob 2. Η Alice δημιουργεί ένα κλειδί συνόδου Κ ΑΒ, το κρυπτογραφεί με το ΔΚ του Bob και το στέλνει στον Bob 3. H Alice & Bob χρησιμοποιούν το κλειδί ΚΑΒ ως κλειδί συνόδου Την τεχνική, διαφοροποιημένη, τη συναντάμε στο SSL Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, Σημείωση: Για μεγαλύτερη ασφάλεια, το πρωτόκολλο θα πρέπει επίσης να συνδυαστεί με τεχνικές αυθεντικοποίησης ώστε ο Bob να ξέρει ότι «μιλάει» με Alice !! Σχήμα: Στο πρωτόκολλο, (γνωστό μας από το παρελθόν), θεωρήστε ότι στη θέση του Μ βρίσκεται το κλειδί Κ ΑΒ
Μεταφορά Κλειδιού (Key Transport) με Κρυπτογραφία Δημόσιου Κλειδιού Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Το πρωτόκολλο που μελετήσαμε, μπορεί, με χρήση ψηφιακών υπογραφών & χρονοσημάνσεων, να προσφέρει αυθεντικοποίηση της Alice προς τον Bob: t A – χρονοσήμανση P B – κρυπτογράφηση με το ΔΚ Bob S A – Υπογραφή με το ΙΚ της Alice Α, Β – Η Alice και ο Bob Σημείωση: Αντί για χρονοσήμανση, θα μπορούσε να χρησιμοποιηθεί ένα πρωτόκολλο πρόκλησης-απάντησης με χρήση τυχαιότητας (σε δύο βήματα)
Ανταλλαγή Κλειδιού (Key Agreement) Τεχνικές Δημόσιου Κλειδιού - Πρωτόκολλο Diffie - Hellman Προκαταρκτικά: Οι Alice & Bob, χωρίς να μοιράζονται a-priori μυστική πληροφορία, ανταλλάσσουν ένα μυστικό κλειδί μέσω ενός καναλιού που παρακολουθείται από την Eve Το πρωτόκολλο Diffie-Hellman στην αρχική του μορφή προστατεύει μόνον από παθητικές επιθέσεις !! Θυμάστε γιατί; Όλες οι πράξεις γίνονται mod p g και p: Παράμετροι συστήματος ΓΝΩΣΤΕΣ ΣΕ ΟΛΟΥΣ
Επίθεση Ενδιάμεσης Οντότητας στο πρωτόκολλο Diffie-Hellman N. Ferguson, B. Schneier. Practical Cryptography. Wiley, 2003.
Το πρόβλημα της ενδιάμεσης οντότητας στα πρωτόκολλα ανταλλαγής κλειδιών μπορεί να επιλυθεί χρησιμοποιώντας τεχνικές αυθεντικοποίησης Επίθεση Ενδιάμεσης Οντότητας στο πρωτόκολλο Diffie-Hellman N. Ferguson, B. Schneier. Practical Cryptography. Wiley, Μπορείτε να περιγράψετε πώς αντιμετωπίζεται η επίθεση, εάν π.χ. η Alice και ο Bob υπογράφουν ψηφιακά τα μηνύματα που στέλνουν; Τι μπορεί να κάνει ο Mallory σε αυτήν την περίπτωση;
Ανταλλαγή Κλειδιών με ΔΚ Το πρωτόκολλο Station to Station (S2S) Το πρωτόκολλο STS αποτελεί μια επέκταση του πρωτοκόλλου DΗ Κάνοντας χρήση ψηφιακών υπογραφών, προσφέρει αμοιβαία αυθεντικοποίηση Alice: αυθεντικοποιεί Bob Bob: αυθεντικοποιεί Alice Σκοπός είναι η αντιμετώπιση επιθέσεων ενδιάμεσης οντότητας στο πρωτόκολλο DH Το πρωτόκολλο προσφέρει επίσης ανωνυμία (οι υπογραφές κρυπτογραφούνται) και επιβεβαίωση κλειδιού (key confirmation) Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 W. Diffie, P.C. van Oorschot, and M. Wiener. Authentication and authenticated key exchanges. Designs, Codes and Cryptography, 2:107–125, Tο πρωτόκολλο IKE (Internet Key Exchange), που χρησιμοποιεί η σουίτα IPSec για ανταλλαγή κλειδιών, αποτελεί μια παραλλαγή του πρωτοκόλλου S2S
Ανταλλαγή Κλειδιών με ΔΚ Το πρωτόκολλο αυθεντικοποίησης X.509 Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Αμοιβαία αυθεντικοποίηση, και ανταλλαγή κλειδιού με τεχνική πρόκλησης-απάντησης
Εγκαθίδρυση Κλειδιού - Συζήτηση «Λεπτά» Ζητήματα Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Προβλήματα Ο Bob εμπιστεύεται την Alice ως προς τη δυνατότητα κατά-σκευής «ισχυρών» κλειδιών !!! Στα (συμμετρικά) πρωτόκολλα με έμπιστη οντότητα (online), όπως το Kerberos, μία έμπιστη οντότητα (KDC) διανέμει τα κλειδιά στους χρήστες ΔΙΑΝΟΜΗ ΚΛΕΙΔΙΟΥ Περίπτωση: ΜΕΤΑΦΟΡΑ ΚΛΕΙΔΙΟΥ ΜΕ ΕΜΠΙΣΤΗ ΟΝΤΟΤΗΤΑ
Αυθεντικοποίηση και Ανταλλαγή Κλειδιού Προηγμένα θέματα Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003
Εγκαθίδρυση Κλειδιού Προηγμένα θέματα Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003
Εγκαθίδρυση Κλειδιού Προηγμένα θέματα Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Επίθεση από Malice Το πρόβλημα με το πρωτόκολλο διανομής, είναι ότι η ταυτότητα του παραλήπτη του κλειδιού που διανέμεται, δεν προστατεύεται με κρυπτογραφικό τρόπο…
Εγκαθίδρυση Κλειδιού Προηγμένα θέματα Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Πιστεύετε ότι διορθώνεται το πρόβλημα;
Εγκαθίδρυση Κλειδιού Προηγμένα θέματα Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 ΌΧΙ, εφόσον η Malice έχει υποκλέψει κάποιο παλαιότερο session με την Alice
Εγκαθίδρυση Κλειδιού Προηγμένα θέματα Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Κατά μια άλλη επίθεση, υποθέτουμε ότι η Malice έχει «σπάσει» ένα παλαιό κλειδί συνόδου K’
Εγκαθίδρυση Κλειδιού - Συμπερασματικά Οι τεχνικές αυθεντικοποίησης χρήστη ή/και μηνύματος αποτελούν απαραίτητα υποσυστήματα κάθε πρωτοκόλλου εγκαθίδρυσης κλειδιού !!
Το Πρωτόκολλο Needham-Schroeder Παραλλαγή (με Δημόσιο Κλειδί) – Ανταλλαγή Κλειδιού
Οι τυχαιότητες Ν Α και N B, εκτός από την αυθεντικοποίηση οντότητας, μπορούν να χρησιμοποιηθούν και στη δημιουργία του κλειδιού συνόδου !!!
Ουσιαστικά, αν υποθέσουμε ότι η Alice και ο Bob γνωρίζουν ο ένας το ΔΚ του άλλου (π.χ. κατέχουν τα σωστά πιστοποιητικά ΔΚ), το πρωτόκολλο μπορεί να απλοποιηθεί ως εξής: Το Πρωτόκολλο Needham-Schroeder Παραλλαγή (με Δημόσιο Κλειδί) – Ανταλλαγή Κλειδιού Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003
Ουσιαστικά, αν υποθέσουμε ότι η Alice και ο Bob γνωρίζουν ο ένας το ΔΚ του άλλου (π.χ. κατέχουν τα σωστά πιστοποιητικά ΔΚ), το πρωτόκολλο μπορεί να απλοποιηθεί ως εξής: Το Πρωτόκολλο Needham-Schroeder Παραλλαγή (με Δημόσιο Κλειδί) – Ανταλλαγή Κλειδιού Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Μπορεί η Malice να εξαπολύσει επίθεση στο πρωτόκολλο;
Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Αποτέλεσμα: Η Malice παριστάνει την Alice στον Bob Πώς διορθώνεται το πρόβλημα; Πλεονασμός !!!
Βιβλιογραφία Διάλεξης Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 N. Ferguson, B. Schneier. Practical Cryptography. Wiley, Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Stinson, D. Cryptography: Theory and Practice. Third Edition, CRC, 2005