Υπηρεσίες Ακεραιότητας και Αυθεντικοποίησης Κρυπτογραφία Υπηρεσίες Ακεραιότητας και Αυθεντικοποίησης Κέρκυρα, 2011 Δρ. Ε. Μάγκος
Syllabus Συναρτήσεις Hash Μονόδρομες Συναρτήσεις Ακεραιότητα και Αυθεντικοποίηση Συναρτήσεις MAC HMAC, CBC-MAC Αυθεντικοποίηση Χρήστη και Αυθεντικοποίηση Μηνύματος Αυθεντικοποίηση Χρήστη = Ταυτοποίηση Κρυπτογραφικά Πρωτόκολλα Ταυτοποίησης Αυθεντικοποίηση Μηνύματος (Κρυπτογραφικές Συναρτήσεις Hash)
Συναρτήσεις Hash Ιδιότητες Συναρτήσεων Hash D R Compression Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Συναρτήσεις Hash Ιδιότητες Συναρτήσεων Hash Compression Είσοδος (pre image): Αλφαριθμητικό κάθε μεγέθους. Έξοδος: αλφαριθμητικό μεγέθους Χ (τιμή hash) Ευκολία στον υπολογισμό Δεδομένης μιας τιμής x και της συνάρτησης H, είναι εύκολο να βρείς το H(x) http://en.wikipedia.org/wiki/Hash_algorithm D R http://msdn.microsoft.com/library/en-us/dnvs05/html/datastructures_guide2-fig09.gif
Μονόδρομες Συναρτήσεις (One-way) Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996. Εύκολο Δύσκολο Μονόδρομες Συναρτήσεις (One-way) Μονόδρομες Συναρτήσεις & Κρυπτογράφηση Μονόδρομες συναρτήσεις κρυφής εισόδου (trapdoor one way) One-way: Εύκολος ο υπολογισμός Αντιστροφή: Δύσκολη, εκτός και εάν κάποιος γνωρίζει τη μυστική πληροφορία (trapdoor) Οι αλγόριθμοι δημοσίου κλειδιού βασίζονται στην ύπαρξη τους π.χ. Η κρυπτογράφηση με τον αλγόριθμο RSA θεωρείται μονόδρομη συνάρτηση Η μυστική πληροφορία για την αντιστροφή του RSA είναι οι πρώτοι παράγοντες του n Μονόδρομες Συναρτήσεις Εύκολος ο υπολογισμός τους «Δύσκολη» η αντιστροφή τους It would take millions of years to compute x from f(x), even if all the computers in the world were assigned to the problem Ποια θα μπορούσε να είναι η χρήση των μονόδρομων συναρτήσεων; Ακεραιότητα και Αυθεντικοποίηση Θα εξεταστεί στη συνέχεια Κρυπτογράφηση Ένσταση: κανείς δε θα μπορούσε να ανακτήσει το Μ !! Δεν έχει αποδειχθεί η ύπαρξη τους
Κρυπτογραφικές Συναρτήσεις Hash Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Κρυπτογραφικές Συναρτήσεις Hash Κρυπτογραφικές Συναρτήσεις Hash Μονόδρομες Συναρτήσεις Hash με επιπλέον προστασία από συγκρούσεις (collision resistance) Ιδιότητες Κρυπτογραφικών Συναρτήσεων Hash One way: Εύκολο να υπολογίσεις την τιμή hash δεδομένου του αρχικού μηνύματος, δύσκολο να υπολογίσεις το αρχικό μήνυμα δεδομένης της τιμής hash. Collision-Resistance: Δύσκολο να βρεθεί σύγκρουση Σύγκρουση: δύο μηνύματα που δίνουν την ίδια τιμή hash D R http://msdn.microsoft.com/library/en-us/dnvs05/html/datastructures_guide2-fig09.gif Σημείωση: Αν |D| > |R| τότε οι συγκρούσεις είναι αναπόφευκτες, ωστόσο, σε μια κρυπτογραφική συνάρτηση hash είναι δύσκολο να βρεθούν
Κρυπτογραφικές Συναρτήσεις Hash Μελέτες Περιπτώσεων Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Κρυπτογραφικές Συναρτήσεις Hash Μελέτες Περιπτώσεων Συνάρτηση f(x) = x2 mod n Για κατάλληλο n, είναι μονόδρομη Συγκρούσεις: Εύκολη η εύρεση π.χ. Οι τιμές (x, -x) Συνάρτηση f(x) = ΕΚ(x) E –αλγόριθμος block σε CBC mode Το κλειδί K είναι γνωστό Τιμή hash: το τελευταίο block Συνάρτηση f: Το 32-bit checksum (με XOR) των 32-bit λέξεων αλφαριθμητικού Εύκολο στον υπολογισμό Προσφέρει συμπίεση Συγκρούσεις: Εύκολη η εύρεση Συνάρτηση f(x) = x2 mod p Δεν είναι μονόδρομη: εύκολος ο υπολογισμός ριζών modulo p Η συνάρτηση f δεν είναι κρυπτογραφικό hash Η συνάρτηση f δεν είναι κρυπτογραφικό hash Η συνάρτηση f δεν είναι κρυπτογραφικό hash Η f μοιάζει να είναι κρυπτογραφικό hash !
Μονόδρομες συναρτήσεις hash Παραδείγματα Αλγορίθμων SHA -1 Ένας γύρος (round) στον αλγόριθμο SHA-1 http://en.wikipedia.org/wiki/Cryptographic_hash_function
Cryptool
Μονόδρομες συναρτήσεις hash Ασφάλεια Συναρτήσεων Hash Ferguson, Neils, Schneier, Bruce. Practical Cryptography. John Wiley & Sons, Inc., 2003. Μονόδρομες συναρτήσεις hash Ασφάλεια Συναρτήσεων Hash Παράδοξο: Έστω 23 άνθρωποι σε ένα δωμάτιο. Η πιθανότητα 2 να έχουν ίδια μέρα γενέθλια, είναι μεγαλύτερη από 50% … Ένας τρόπος να το δει κανείς [FS03]: Επιλέγοντας k στοιχεία όπου κάθε στοιχείο μπορεί να πάρει μια από Ν τιμές, υπάρχουν k(k-1)/2 ζεύγη στοιχείων, κάθε ένα από τα οποία έχει πιθανότητα 1/Ν να αποτελείται από δύο ίσες τιμές. Απλουστεύοντας, Η πιθανότητα εύρεσης σύγκρουσης είναι : k(k-1)/2N. Αν τότε η πιθανότητα είναι κοντά στο 50%
Μονόδρομες συναρτήσεις hash Ασφάλεια Συναρτήσεων Hash Ferguson, Neils, Schneier, Bruce. Practical Cryptography. John Wiley & Sons, Inc., 2003. Μονόδρομες συναρτήσεις hash Ασφάλεια Συναρτήσεων Hash Βεβαίως, για κάθε συνάρτηση Hash υπάρχουν άπειρες συγκρούσεις, εφόσον υπάρχει ένα «άπειρο» σύνολο πιθανών εισόδων, και ένα πεπερασμένο σύνολο πιθανών εξόδων Ωστόσο, σε μια ασφαλή κρυπτογραφική συνάρτηση hash, η εύρεση σύγκρουσης παρουσιάζει υψηλή πολυπλοκότητα ! Υπολογιστική Ασφάλεια
Μονόδρομες συναρτήσεις hash Ασφάλεια Συναρτήσεων Hash Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Μονόδρομες συναρτήσεις hash Ασφάλεια Συναρτήσεων Hash Υπολογιστική Ασφάλεια (Computational Security) Για μεγάλο n (το μήκος εξόδου της συνάρτησης) είναι δύσκολο: Να βρεθεί το x Να βρεθεί ένα x’ ≠ x ώστε Hash(x) = Hash(x’) Πόσο μεγάλο πρέπει να είναι το n; Επίθεση αντιστροφής Πιθανότητα να βρεθεί το x: 2-n Η Eve δοκιμάζει κάθε πιθανό x Κατά μέσο όρο 2(n-1) βήματα Επίθεση εύρεσης συγκρούσεων Ο Mallory προσπαθεί να βρει δύο τιμές x, x’ ώστε H(x)=H(x’) Λόγω του παραδόξου των γενεθλίων, θα χρειαστεί κατά μέσο όρο 2(n/2) βήματα Tα 2n/2 βήματα θα πρέπει να είναι «πολλά» για τον Mallory π.χ. για ασφάλεια 128 bit, το n θα πρέπει να έχει μήκος 256 bit Παράδοξο: Έστω 23 άνθρωποι σε ένα δωμάτιο. Η πιθανότητα 2 να έχουν ίδια μέρα γενέθλια, είναι μεγαλύτερη από 50%
Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003
Κρυπτογραφικές συναρτήσεις hash και Ακεραιότητα Μηνύματος Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Κρυπτογραφικές συναρτήσεις hash και Ακεραιότητα Μηνύματος Οι συναρτήσεις hash μπορούν να προσφέρουν ακεραιότητα (integrity) H Alice στέλνει στον Bob ένα μήνυμα Μ, και την τιμή hash H(M) O Bob υπολογίζει την τιμή hash του μηνύματος που έλαβε (έστω H(M’)) Εάν Η(Μ) = Η(Μ’) τότε το μήνυμα είναι το σωστό Aν αλλαχτεί έστω ένα bit του M, η τιμή hash θα είναι διαφορετική Avalanche effect Τι κάνουμε αν ο εχθρός είναι ενεργητικός Αν η συνάρτηση hash συνδυαζόταν με ένα μυστικό κλειδί, θα μπορούσε να προσφέρει και αυθεντικoποίηση !! Ιδιωτικό Κλειδί: Ψηφιακή Υπογραφή Συμμετρικό κλειδί: Συνάρτηση MAC Η προστασία ισχύει όταν ο εχθρός είναι παθητικός Passive !!!
Ακεραιότητα Μηνύματος Συμμετρικές Τεχνικές: One-Way Hash Functions Σημείωση: Στη βιβλιογραφία, όταν χρησιμοποιούνται για προστασία της Ακεραιότητας, οι συναρτήσεις hash αναφέρονται και ως MDCs (Message Detection Codes) 1 M Μ M, H(Μ) M 2 3 Αλγόριθμος Hash Αλγόριθμος Hash 4 NAI (OK) OXI Παραδείγματα Έλεγχος ακεραιότητας για προστασία από ιούς Διανομή λογισμικού, ανταλλαγή αρχείων,…
Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Αυθεντικοποίηση (Authentication), Μυστικότητα (Secrecy) και Ακεραιότητα (Integrity) Μέχρι τα μέσα της δεκαετίας 70, η αυθεντικοποίηση και η μυστικότητα ήταν αλληλένδετες Θεωρητικά, η κρυπτογράφηση παρείχε και αυθεντικοποίηση Με την ανακάλυψη των συναρτήσεων hash και των ψηφιακών υπογραφών, οι δύο ιδιότητες εξετάζονται χωριστά Σενάριο: Η Alice και ο Bob επικοινωνούν από δύο διαφορετικές χώρες. Η χώρα της Alice δεν επιτρέπει μυστικότητα στο κανάλι (π.χ. παρακολούθηση συνομιλιών) Η Alice και ο Bob επιθυμούν αυθεντικοποίηση (με ποιον ομιλώ & ποιος έστειλε αυτό που έλαβα), καθώς και ακεραιότητα της πληροφορίας
Υπηρεσίες Αυθεντικοποίησης Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Υπηρεσίες Αυθεντικοποίησης Σενάριο Β: Η Alice δημιουργεί ένα μήνυμα το οποίο κάποια στιγμή στο μέλλον παραλαμβάνει ο Bob Σενάριο Α: Η Alice και ο Bob είναι online και επικοινωνούν σε πραγματικό χρόνο Αυθεντικοποίηση Οντότητας (Εntity Authentication) Aναφέρεται και ως Ταυτοποίηση (Identification) Η επικοινωνία μπορεί να είναι διπλής κατεύθυνσης Ταυτοποίηση της Alice από Bob Ταυτοποίηση του Bob από Alice Παραδείγματα Τεχνικές Κωδικών Password Πρωτόκολλα Πρόκλησης Απάντησης (Challenge-Response) Αυθεντικοποίηση Προέλευσης Μηνύματος (Data Origin Auth.) Aναφέρεται και ως αυθεντικοποίηση μηνύματος (message authentication) Η επικοινωνία μπορεί να είναι μονής ή διπλής κατεύθυνσης π.χ. A e-mails B Παραδείγματα Ψηφιακές Υπογραφές Συναρτήσεις MAC Επιπλέον προσφέρουν και Ακεραιότητα!
Αυθεντικοποίηση Χρήστη (Identification, OR User Authentication) Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Αυθεντικοποίηση Χρήστη (Identification, OR User Authentication) Οι τεχνικές ταυτοποίησης προσφέρουν πειστήρια π.χ. στην Alice σχετικά με: Την ταυτότητα του Bob Το γεγονός ότι ο Bob ήταν ενεργός (active) τη στιγμή που δημιουργήθηκαν και αποκτήθηκαν τα πειστήρια Παράδειγμα Β: Ο Bob εισάγει την κάρτα του και στέλνει το PIN του μέσω του ATM. Μονομερής αυθεντικοποίηση (unilateral authentication) http://www.grinningplanet.com/2004/03-30/atm-banking-copyright1.gif Παράδειγμα Α: Ο Bob τηλεφωνεί στην Alice - Αμοιβαία Αυθεντικοποίηση (mutual authentication) http://www.callrecordingsolutions.com/images/converstioncartoon.gif
Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Αυθεντικοποίηση Προέλευσης Μηνύματος (Data Origin Authentication, OR Message Authentication) Παράδειγμα Γ: Ο Bob στέλνει ένα e-mail στην Alice. To μήνυμα αποθηκεύεται στον mail server της Alice. Κάποια στιγμή, η Alice συνδέεται και παραλαμβάνει το mail Οι τεχνικές αυθεντικοποίησης μηνύματος προσφέρουν πειστήρια π.χ. στην Alice για : Την ταυτότητα του υποκειμένου που δημιούργησε το μήνυμα που έλαβε. Το γεγονός ότι το υποκείμενο ήταν ενεργός (active) τη στιγμή που δημιουργήθηκε το μήνυμα Τα δύο υποκείμενα, μπορεί να μην είναι ενεργά (online) την ίδια χρονική στιγμή http://www.geocities.com/Rainforestwind/ninarchives_emailhumor.gif
Υπηρεσίες Αυθεντικοποίησης και Ακεραιότητας Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Υπηρεσίες Αυθεντικοποίησης και Ακεραιότητας Συχνά στη βιβλιογραφία, η Αυθεντικοποίηση Μηνύματος συνδέεται άρρηκτα με την έννοια της Ακεραιότητας. !!! Μπορεί να έχω ακεραιότητα, αλλά όχι αυθεντικοποίηση μηνύματος !! (?) Δεν υπάρχει αυθεντικοποίηση μηνύματος χωρίς ακεραιότητα !! π.χ. Εάν το μήνυμα τροποποιηθεί κατά τη μετάδοση του, τότε δεν το έγραψε ο Bob ! M
Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Αυθεντικοποίηση Μηνύματος Συναρτήσεις MAC (Message Authentication Code) Ασφάλεια Συνάρτησης HMAC Κληρονομεί τις ιδιότητες ασφάλειας της συνάρτησης Hash H διαδρομή Μ ΜΑC(M) δεν είναι πλέον εύκολη ..εκτός & αν υπάρχει γνώση του Κ Αν η Hash είναι ασφαλής, η ασφάλεια της συνάρτησης MAC βασίζεται στο μήκος του κλειδιού Μήκος(Κ) = 128 bit Μήκος Hash = 256 bit ΗΜΑC: Μια συνάρτηση MAC μπορεί να θεωρηθεί παραλλαγή μιας συνάρτησης hash (n-bit) Είσοδος: Το μήνυμα Μ και ένα συμμετρικό κλειδί Κ Έξοδος: τιμή MAC (n–bit) HASH
Αυθεντικοποίηση Μηνύματος και Ακεραιότητα Συμμετρικές Τεχνικές: ΜΑC Secure Channel M K 1 NAI (OK) OXI 2 M K K Μ M, ΜΑC(Μ) Ακεραιότητα ΚΑΙ Αυθεντικοποίηση Μηνύματος 3 4 5 Αλγόριθμος Hash Αλγόριθμος Hash Σημείωση: Σε σύγκριση με την χρήση των κρυπτογραφικών συναρτήσεων Hash για ακεραιότητα, όπου η δεύτερη ιδιότητα ασφάλειας των συναρτήσεων hash (collision resistance) είναι η πλέον σημαντική, στις συναρτήσεις MAC βλέπουμε επίσης τη σημασία της πρώτης ιδιότητας (one-way): Aν η συνάρτηση hash δεν ήταν μονόδρομη, η Eve θα έβρισκε το Κ !!!
Αυθεντικοποίηση Μηνύματος και Ακεραιότητα Τεχνικές Δημόσιου Κλειδιού: Ψηφιακή Υπογραφή Σε συστήματα Αυθεντικοποίησης (MAC, ψηφ. υπογραφή) η ασφάλεια της συνάρτησης Hash έναντι συγκρούσεων (collision resistance) είναι κρίσιμη ! Έστω ο Mallory βρίσκει δύο Μ1 και Μ2 ώστε Η(Μ1)=Η(Μ2) Ο Mallory πείθει με κάποιον τρόπο την Alice να υπογράψει το Μ1 Ο Mallory ισχυρίζεται ότι η Alice υπέγραψε το Μ2 !!!
Αυθεντικοποίηση και Ακεραιότητα Τεχνικές Δημόσιου Κλειδιού: Ψηφιακή Υπογραφή Μια παραλλαγή της προηγούμενης επίθεσης: Έστω ο Bοb βρίσκει δύο μηνύματα Μ1 και Μ2 ώστε Η(Μ1)=Η(Μ2) Ο Bob υπογράφει το μήνυμα Μ1 Ο Bob, αποποιείται ευθύνη, ισχυριζόμενος ότι υπέγραψε το μήνυμα Μ2 !!!!!!!
To κλειδί Κ παραμένει μυστικό Η. Mel, D. Baker. Cryptography Decrypted. Addison-Wesley, 2001 Συμμετρικές Τεχνικές: ΜΑC Δημιουργία MAC χρησιμοποιώντας αλγορίθμους ομάδας Ένας αλγόριθμος σε CBC mode μπορεί να χρησιμοποιηθεί και ως αλγόριθμος MAC CBC-MAC H τιμή ΜΑC ισούται με το n-οστό κρυ-πτογραφημένο block To κλειδί Κ παραμένει μυστικό
Αυθεντικοποίηση, Ακεραιότητα και Μυστικότητα Συμμετρικές Τεχνικές Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Αυθεντικοποίηση, Ακεραιότητα και Μυστικότητα Συμμετρικές Τεχνικές Ακεραιότητα-Αυθεντικοποίηση Μηνύματος με MAC Όχι μυστικότητα Ακεραιότητα και Μυστικότητα με hash & κρυπτογράφηση Αν αντί για hash είχαμε MAC, θα είχαμε και αυθεντικοποίηση μηνύματος Ακεραιότητα με hash (MDC) & Αυθεντικοποίηση Μηνύματος μέσω ανεξάρτητου κανάλιού Π.χ. τηλέφωνο )
Αυθεντικοποίηση, Ακεραιότητα και Μυστικότητα Συμμετρικές Τεχνικές Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Αυθεντικοποίηση, Ακεραιότητα και Μυστικότητα Συμμετρικές Τεχνικές Ακεραιότητα-Αυθεντικοποίηση Μηνύματος με MAC Όχι μυστικότητα Ακεραιότητα και Μυστικότητα με hash & κρυπτογράφηση Αν αντί για hash είχαμε MAC, θα είχαμε και αυθεντικοποίηση μηνύματος Ακεραιότητα με hash (MDC) & Αυθεντικοποίηση Μηνύματος μέσω ανεξάρτητου κανάλιού Π.χ. τηλέφωνο )
Παραλλαγή (PGP), χρησιμοποιώντας υβριδικό σύστημα Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996. Αυθεντικοποίηση, Ακεραιότητα και Μυστικότητα Τεχνικές Δημόσιου Κλειδιού & Υβριδικές Τεχνικές υπογράφει το μήνυμα με το ιδιωτικό της κλειδί κρυπτογραφεί την υπογραφή με το δημόσιο κλειδί του Bob αποκρυπτογραφεί με το ιδιωτικό του κλειδί επαληθεύει την υπογραφή με το δημόσιο κλειδί της Alice στέλνει Παραλλαγή (PGP), χρησιμοποιώντας υβριδικό σύστημα
Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Αυθεντικοποίηση Χρήστη – Ταυτοποίηση User Authentication – Identification Μη Μεταφερσιμότητα: Ο Α δε μπορεί χρησιμοποιήσει όσα «βλέπει» & να πλαστοπροσωπήσει τον Β σε κάποιον τρίτο Ασφάλεια από Πλαστοπροσωπία: Είναι «δύσκολο» για κάποια τρίτη οντότητα C, να πείσει τον Α ότι είναι ο χρήστης Β !! Μια οντότητα Α βεβαιώνεται (μέσω απόκτησης πειστηρίων) για την ταυτότητα Β μιας άλλης οντότητας, καθώς επίσης και για το γεγονός ότι ο Β συμμετέχει (είναι δηλαδή ενεργός) στο πρωτόκολλο τη στιγμή που αυτό διενεργείται Στόχοι Αυθεντικοποίησης Περατότητα: Αν οι Α και Β συμπεριφέρονται τίμια, ο Α αποδέχεται πάντοτε την ταυτότητα του Β ως αυθεντική Κάτι που ξέρω ; Κάτι που έχω ; Κάτι που είμαι ;
Πρωτόκολλα Ταυτοποίησης (Identification Protocols) Κατηγοριοποιήσεις Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Πρωτόκολλα Ταυτοποίησης (Identification Protocols) Κατηγοριοποιήσεις O Bob ταυτοποιεί την Alice (ή το αντίστροφο) Ο Bob ταυτοποιεί την Alice και H Alice ταυτοποιεί τον Bob
Πρωτόκολλα Ταυτοποίησης (Identification Protocols) Κατηγοριοποιήσεις Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Πρωτόκολλα Ταυτοποίησης (Identification Protocols) Κατηγοριοποιήσεις PINs, Passwords Συμμετρικές Τεχνικές Τεχνικές ΔΚ Πρωτόκολλα Πρόκλησης – Απάντησης (Challenge Response protocols)
Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Αυθεντικοποίηση Χρήστη – Ταυτοποίηση Αυθεντικοποίηση με Passwords («Aπλό» πρωτόκολλο) IDA “Δώσε μου το password !” PA Προβλήματα:
Αυθεντικοποίηση Χρήστη – Ταυτοποίηση Αυθεντικοποίηση με Passwords Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Αυθεντικοποίηση Χρήστη – Ταυτοποίηση Αυθεντικοποίηση με Passwords
Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Αυθεντικοποίηση Χρήστη – Ταυτοποίηση Αυθεντικοποίηση με Passwords & Μονόδρομες Συναρτήσεις Hash
Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996. Αυθεντικοποίηση Χρήστη – Ταυτοποίηση Αυθεντικοποίηση με Passwords & Μονόδρομες Συναρτήσεις Hash Ο Bob ταυτοποιεί την Alice Το πρόβλημα με τα passwords Εάν το κανάλι είναι μη ασφαλές, η Eve μπορεί να υποκλέψει… … & στη συνέχεια, να εξαπολύσει επίθεση πλαστοπροσωπίας Το πρόβλημα με τα «μνημονικά» passwords Ανάγκη για υψηλή εντροπία Dictionary Attacks Ο Bob διατηρεί αρχείο με τις τιμές hash των passwords των χρηστών One-way: Το αρχείο είναι «άχρηστο» για την Eve Ωστόσο, το αρχείο θα πρέπει να είναι write-protected (Mallory) Πρωτόκολλο Η Alice στέλνει το pswd στον Bob Ο Bob υπολογίζει την τιμή hash και συγκρίνει το αποτέλεσμα με την αποθηκευμένη τιμή Password
Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Αυθεντικοποίηση Χρήστη – Ταυτοποίηση Το σχήμα του Lamport – ONE TIME PASSWORDS IDA , Hn-1(PA) Σκοπός: Η Alice θα αυθεντικοποιηθεί έως n φορές, θα θυμάται μόνον ένα password και δε θα είναι δυνατές επιθέσεις επανάληψης Πρωτόκολλο: Ένα master password PA γίνεται hash n φορές με την κρυπτογραφική συνάρτηση H OKAY !!! Το σύστημα S/KEY στηρίζεται στο σχήμα του Lamport
Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Αυθεντικοποίηση Χρήστη – Ταυτοποίηση Αυθεντικοποίηση με Passwords & Εντροπία
Πρωτόκολλα Πρόκλησης-Απάντησης (Challenge Response) Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Πρωτόκολλα Πρόκλησης-Απάντησης (Challenge Response) = f (challenge, secret) challenge response H «ιδέα» πίσω από τα πρωτόκολλα πρόκλησης-απάντησης είναι η εξής: Η Alice «αποδεικνύει» γνώση ενός μυστικού (που αυτή και ο Bob μοιράζονται), χωρίς να αποστείλει το μυστικό στο Bob! Η τεχνική περιγραφεται ως εξής: Ο Bob στέλνει στην Alice μια αριθμητική τιμή (πρόκληση) π.χ. Ένας τυχαίος αριθμός π.χ. αριθμός nonce Συνδυάζοντας την πρόκληση με το μυστικό που γνωρίζει, η Alice υπολογίζει και επιστρέφει στον Bob μια τιμή (απάντηση) Χρήση μίας (μονόδρομης) κρυπτογραφικής συνάρτησης f
Κρυπτογραφικά Πρωτόκολλα Πρόκλησης-Απάντησης (Challenge Response) Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Κρυπτογραφικά Πρωτόκολλα Πρόκλησης-Απάντησης (Challenge Response) Ερώτηση: Γιατί το challenge πρέπει να είναι μοναδικό; Απάντηση: ώστε ο Bob να γνωρίζει ότι η Alice ήταν ενεργή τη στιγμή που εκτελέστηκε το πρωτόκολλο Αλλιώς, η απάντηση της Alice μπορεί να είναι αποτέλεσμα «επίθεσης επανάληψης» (replay attack) από τον Mallory challenge response = f (challenge, secret)
Χρονοσημάνσεις: Ένα βήμα αντί Δύο !!! Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Αυθεντικοποίηση Χρήστη Συμμετρικές Τεχνικές Κρυπτογραφικό Πρωτόκολλο 1 - Παραλλαγές ISO Two Pass Unilateral Authentication Protocol Ο Bob ταυτοποιεί την Alice O Bob ταυτοποιεί την Alice και η Alice τον Bob (αμφίδρομη ταυτοποίηση) Ο Bob ταυτοποιεί την Alice με τη χρήση timestamps Χρονοσημάνσεις: Ένα βήμα αντί Δύο !!! H χρήση χρονοσημάνσεων είναι ασφαλής, εφόσον: α) Η Alice και ο Bob είναι συγχρονισμένοι, β) Το ρολόι του Bob δε μπορεί να «πειραχτεί» από τον Mallory…
Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Αυθεντικοποίηση Χρήστη Συμμετρικές Τεχνικές Κρυπτογραφικό Πρωτόκολλο 2 – Χρήση Συνάρτησης MAC Το πρωτόκολλο αποτελεί παραλλαγή του Πρωτοκόλλου 1 Η Συνάρτηση Κρυπτογράφησης αντικαθίσταται από ένα MAC Το πρωτόκολλο είναι γνωστό και ως SKID3s
Υλοποιήσεις Γεννήτορες Κωδικών Security Engineering, Anderson, 2001 Υλοποιήσεις Γεννήτορες Κωδικών Το πρωτόκολλο στο σχήμα αποτελεί παραλλαγή του Πρωτοκόλλου 1 Mια «έξυπνη» συσκευή (π.χ PDA) έχει αποθηκευμένο το κλειδί Κ Ο Bob έχει πάντα μαζί του τη συσκευή. Στην αρχή κάθε ταυτοποίησης, η συσκευή ταυτοποιεί τον Bob με αριθμό PIN Ο Βob πληκτρολογεί στη συσκευή την πρόκληση Ν Η συσκευή χρησιμοποιεί το κλειδί Κ και την πρόκληση Ν, και υπολογίζει την απάντηση (response)
Υλοποιήσεις:Γεννήτορες Κωδικών (Passcode Generators) Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Υλοποιήσεις:Γεννήτορες Κωδικών (Passcode Generators)
Αυθεντικοποίηση Χρήστη Τεχνικές Δημόσιου Κλειδιού Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996. Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Αυθεντικοποίηση Χρήστη Τεχνικές Δημόσιου Κλειδιού Πώς ο Bob μπορεί να ταυτοποιήσει μια οντότητα Α ως την Alice, χρησιμοποιώντας τεχνικές Δημόσιου Κλειδιού; Κρυπτογράφηση: Ο Bob κρυπτογραφεί μια πρόκληση C με το ΔΚΑ της Alice, και στέλνει το μήνυμα στην οντότητα Α. Αν η Α είναι όντως η Alice, μπορεί να αποκρυπτογραφήσει το μήνυμα και να στείλει ως απάντηση to C Αμφίδρομη Ταυτοποίηση Μια παραλλαγή του πρωτοκόλλου Needham-Schroeder (χωρίς ανταλλαγή κλειδιού) Μονόδρομη Ταυτοποίηση Μπορείτε να το μετατρέψετε σε αμφίδρομη ταυτοποίηση;
Αυθεντικοποίηση Χρήστη Τεχνικές Δημόσιου Κλειδιού Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996. Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Αυθεντικοποίηση Χρήστη Τεχνικές Δημόσιου Κλειδιού Ψηφιακή Υπογραφή: O Bob στέλνει στην Alice ένα challenge. Η Alice υπογράφει το challenge με το ΙΚ της & στέλνει την απάντηση στον Bob. Ο Bob επαληθεύει με το ΔΚ της Alice Μονόδρομη Ταυτοποίηση Αμφίδρομη Ταυτοποίηση Μονόδρομη Ταυτοποίηση με χρονοσημάνσεις (timestamps)
Αυθεντικοποίηση Χρήστη & Αυθεντικοποίηση Μηνύματος Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Αυθεντικοποίηση Χρήστη & Αυθεντικοποίηση Μηνύματος Μπορεί π.χ. το Πρωτόκολλο 1 να προσφέρει, εκτός από αυθεντικοποίηση χρήστη και αυθεντικοποίηση μηνύματος; Σημείωση: Όπως θα δούμε στην επόμενη Ενότητα, τα State-of-the-Art πρωτόκολλα εδραίωσης κλειδιών (key establishment protocols) προσφέρουν Αυθεντικοποίηση Χρήστη και Μηνύματος, όπου το Μ είναι ένα κλειδί συνόδου για μελλοντική επικοινωνία.
Αυθεντικοποίηση Χρήστη & Αυθεντικοποίηση Μηνύματος Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Αυθεντικοποίηση Χρήστη & Αυθεντικοποίηση Μηνύματος Βεβαίως, όταν στόχος είναι η αυθεντικοποίηση χρήστη ή/και η αυθεντικοποίηση μηνύματος, η πλέον σωστή τακτική είναι η χρήση τεχνικών MAC και Ψηφιακών Υπογραφών Αντιστοίχως, οι τεχνικές κρυπτογράφησης ενδείκνυνται μόνον για προστασία της εμπιστευτικότητας (μυστικότητας) δεδομένων
Αυθεντικοποίηση Χρήστη & Αυθεντικοποίηση Μηνύματος Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Αυθεντικοποίηση Χρήστη & Αυθεντικοποίηση Μηνύματος
Βιβλιογραφία Διάλεξης Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996. Η. Mel, D. Baker. Cryptography Decrypted. Addison-Wesley, 2001 Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Ferguson, Neils, Schneier, Bruce. Practical Cryptography. John Wiley & Sons, Inc., 2003.