Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 2011-2012 Εξάμηνο: Η’ Ασφάλεια Πληροφοριακών Συστημάτων Ενότητα Γ: Απομακρυσμένη Αυθεντικοποίηση.

Παρουσίαση με θέμα: "Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 2011-2012 Εξάμηνο: Η’ Ασφάλεια Πληροφοριακών Συστημάτων Ενότητα Γ: Απομακρυσμένη Αυθεντικοποίηση."— Μεταγράφημα παρουσίασης:

1 Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 2011-2012 Εξάμηνο: Η’ Ασφάλεια Πληροφοριακών Συστημάτων Ενότητα Γ: Απομακρυσμένη Αυθεντικοποίηση και Αυθεντικοποιημένη Εδραίωση Κλειδιού Εμμανουήλ Μάγκος

2 Αυθεντικοποιημένη Εδραίωση Κλειδιού Syllabus 1. Ασφαλής Επικοινωνία – Βασικές Έννοιες & Εργαλεία Αυθεντικοποίηση Χρήστη & Μηνύματος, Μυστικότητα 2. Κρυπτογραφικά Πρωτόκολλα Αυθεντικοποίησης Οντότητας Τεχνικές Πρόκλησης-Απάντησης 3. Κρυπτογραφικά Πρωτόκολλα Εδραίωσης Κλειδιού Ορισμοί-Κατηγοριοποίηση-Στόχοι Ασφάλειας 4. Εδραίωση Κλειδιού με Συμμετρικές Τεχνικές Διανομή, Μεταφορά, Συμφωνία Κλειδιού - Εφαρμογές 5. Εδραίωση Κλειδιού με Τεχνικές Δημόσιου Κλειδιού Μεταφορά, Συμφωνία Κλειδιού - Εφαρμογές 6. Προηγμένα Πρωτόκολλα Εδραίωσης

3 Παθητικός Εχθρός (Eve) Ενεργητικός Εχθρός (Mallory) 1. Ασφαλής Επικοινωνία Βασικές Έννοιες & Εργαλεία Alice Bob Ζητούμενο: Ασφαλής Επικοινωνία H Alice & ο Bob μπορεί να είναι χρήστες, Η/Υ, διεργασίες κλπ… Αυθεντικοποίηση Χρήστη: «Με ποιον μιλάω, τώρα?» Αυθεντικοποίηση Μηνύματος: «Ποιος δημιούργησε το μήνυμα που έλαβα?» Μυστικότητα (Εμπιστευτικότητα): «Κανείς δεν μπορεί να διαβάσει όσα λέμε εγώ και η Alice» Αυθεντικοποίηση Χρήστη: «Με ποιον μιλάω, τώρα?» Αυθεντικοποίηση Μηνύματος: «Ποιος δημιούργησε το μήνυμα που έλαβα?» Μυστικότητα (Εμπιστευτικότητα): «Κανείς δεν μπορεί να διαβάσει όσα λέμε εγώ και η Alice»

4 1. Ασφαλής Επικοινωνία Βασικές Έννοιες & Εργαλεία Σήμερα, η κρυπτογραφία μας προσφέρει ασφαλείς & αποδοτικούς μηχανισμούς για την εκπλήρωση των ιδιοτήτων ασφάλειας: Παθητικός Εχθρός Ενεργητικός Εχθρός Alice Bob Ζητούμενο: Ασφαλής Επικοινωνία 1. Τεχνικές Πρόκλησης-Απάντησης 2. Αυθεντικοποίηση με MAC (Αλγόριθμοι: MD5, SHA-1,…) & Ψηφιακές Υπογραφές (Αλγόριθμοι: DSA, RSA, ElGamal,… ) 3. Συμμετρική Κρυπτογράφηση (Αλγόριθμοι: AES,3DES), Κρυπτογράφηση με Δημόσιο Kλειδί (Αλγόριθμοι: RSA, ElGamal,…) Αυθεντικοποίηση Χρήστη: «Με ποιον μιλάω, τώρα?» Αυθεντικοποίηση Μηνύματος: «Ποιος δημιούργησε το μήνυμα που έλαβα?» Μυστικότητα (Εμπιστευτικότητα): «Κανείς δεν μπορεί να διαβάσει όσα λέμε εγώ και η Alice» Λόγω απόδοσης, στην πράξη προτιμώνται οι συμμετρικές τεχνικές !

5  Αυθεντικοποίηση Προέλευσης Μηνύματος (Data Origin Auth.) Aναφέρεται και ως αυθεντικοποίηση μηνύματος (message authentication) Η επικοινωνία μπορεί να είναι μονής ή διπλής κατεύθυνσης π.χ. A e-mails B Παραδείγματα Ψηφιακές Υπογραφές Συναρτήσεις MAC 1.1. Αυθεντικοποίηση Οντότητας και Μηνύματος Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001  Αυθεντικοποίηση Οντότητας (Εntity Authentication) Aναφέρεται και ως Ταυτοποίηση (Identification) Η επικοινωνία μπορεί να είναι διπλής κατεύθυνσης Ταυτοποίηση της Alice από Bob Ταυτοποίηση του Bob από Alice Παραδείγματα Κωδικοί Password, 2-factor auth., Πρόκληση-Απάντηση (Challenge- Response), zero-knowledge proofs,… Σενάριο Α: Η Alice και ο Bob είναι online και επικοινωνούν σε πραγματικό χρόνο Σενάριο Β: Η Alice δημιουργεί ένα μήνυμα το οποίο κάποια στιγμή στο μέλλον παραλαμβάνει ο Bob Επιπλέον προσφέρουν και Ακεραιότητα!

6 1.2. Αυθεντικοποίηση Οντότητας (User Authentication - Identification) Τεχνικές Αυθεντικοποίησης «Ανίσχυρες» Τεχνικές (Weak Authentication) Ισχυρές Τεχνικές (Strong Authentication) PINs, Passwords,… Πρωτόκολλα Πρόκλησης – Απάντησης Αποδείξεις μηδενικής γνώσης … Συμμετρικές Τεχνικές Τεχνικές ΔΚ

7 H «ιδέα» πίσω από τα πρωτόκολλα πρόκλησης-απάντησης είναι η εξής: Η Alice «αποδεικνύει» γνώση ενός μυστικού (που αυτή και ο Bob μοιράζονται), χωρίς να αποστείλει το μυστικό στο Bob! Η τεχνική μπορεί να περιγραφεί ως εξής: 1. Ο Bob στέλνει στην Alice μια αριθμητική τιμή (πρόκληση) π.χ. Ένας τυχαίος αριθμός 1.2. Αυθεντικοποίηση Οντότητας Τεχνικές Πρόκλησης-Απάντησης 2. Συνδυάζοντας την πρόκληση με το μυστικό που γνωρίζει, η Alice υπολογίζει και επιστρέφει στον Bob μια τιμή (απάντηση) Για την απάντηση, η Alice κάνει χρήση μίας (μονόδρομης) κρυπτογραφικής συνάρτησης f Πρόκληση: Μοναδικές τιμές (nonces) ! = f (challenge, secret) challenge response Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003

8 1.2. Αυθεντικοποίηση Οντότητας Τεχνικές Πρόκλησης-Απάντησης 1. ISO Two Pass Unilateral Authentication Protocol Ο Bob ταυτοποιεί την Alice Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001

9 Εφαρμογή Νο 1: Dial-Up, DSL Access CHAP (Challenge-Response Authentication Protocol) Περίπτωση Αυθεντικοποίηση PPP (Point-to-Point Protocol) με το υπο- πρωτόκολλο CHAP Αφορά: συνδέσεις χρηστών dial-up ή DSL με Παρόχους ISP Μυστικό = Password

10 Ερώτηση: Γιατί το challenge πρέπει να είναι τυχαίο; Απάντηση: Αλλιώς, η απάντηση της Alice ίσως είναι αποτέλεσμα «επίθεσης επανάληψης» (replay attack) από τον Mallory 1.2. Αυθεντικοποίηση Οντότητας Τεχνικές Πρόκλησης-Απάντησης challenge response = f (challenge, secret) Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003

11 Μία επίθεση πλαστοπροσωπίας (όταν το challenge δεν είναι τυχαίο) Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Σενάριο: Ο Bob στέλνει κάθε φορά ως challenge έναν ακέραιο i, ώστε: for (i=1;i<=1000;i++) send i; 1 f (1, K) f (2, K) time=1 2 time=2

12 Μία επίθεση πλαστοπροσωπίας (όταν το challenge δεν είναι τυχαίο) Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 1 f (1, K) f (2, K) time=1 2 time=2 3 f (3, K) 3 time=3

13 1.2. Αυθεντικοποίηση Οντότητας Τεχνικές Πρόκλησης-Απάντησης: Συμμετρικές Τεχνικές 1. ISO Two Pass Unilateral Authentication Protocol Ο Bob ταυτοποιεί την Alice O Bob ταυτοποιεί την Alice και η Alice τον Bob (αμφίδρομη ταυτοποίηση) Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Ο Bob ταυτοποιεί την Alice με τη χρήση timestamps Τυπικά, χρονοσημάνσεις σε connectionless εφαρμογές, ενώ για connection-oriented, χρήση challenge-response H χρήση χρονοσημάνσεων είναι ασφαλής, εφόσον: α) Η Alice και ο Bob είναι συγχρονισμένοι, β) Το ρολόι του Bob δε μπορεί να «πειραχτεί» από τον Mallory Χρονοσημάνσεις: Ένα βήμα αντί Δύο !!! Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 *,*, * *

14 1.2. Αυθεντικοποίηση Οντότητας Τεχνικές Πρόκλησης-Απάντησης: Τεχνικές ΔΚ Πώς ο Bob μπορεί να ταυτοποιήσει μια οντότητα Α ως την Alice, χρησιμοποιώντας τεχνικές Δημόσιου Κλειδιού; 1. Κρυπτογράφηση: Ο Bob κρυπτογραφεί μια πρόκληση C με το ΔΚ Α της Alice, και στέλνει το μήνυμα στην οντότητα Α. Αν η Α είναι όντως η Alice, μπορεί να αποκρυπτογραφήσει το μήνυμα και να στείλει ως απάντηση to C Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996.Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Αμφίδρομη Ταυτοποίηση Μονόδρομη Ταυτοποίηση Μπορείτε να το μετατρέψετε σε αμφίδρομη ταυτοποίηση;

15 1.2. Αυθεντικοποίηση Οντότητας Τεχνικές Πρόκλησης-Απάντησης: Τεχνικές ΔΚ 2. Ψηφιακή Υπογραφή: O Bob στέλνει στην Alice ένα challenge. Η Alice υπογράφει το challenge με το ΙΚ της & στέλνει την απάντηση στον Bob. Ο Bob επαληθεύει με το ΔΚ της Alice Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996.Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 a) Μονόδρομη Ταυτοποίηση c) Μονόδρομη Ταυτοποίηση με χρονοσημάνσεις (timestamps) b) Αμφίδρομη Ταυτοποίηση

16 Περίπτωση: Windows client-server authentication Kaufman et al, 2002

17 AngolaNamibia South African bomberCuban MIG Challenge N Secret key K Retransmit challenge N N Response {N} K Response correct! 1.3. Επιθέσεις Πλαστοπροσωπίας H Επίθεση “MIG-in the MIDDLE” (Anderson, 2001) http://www.cs.utexas.edu/~shmat/courses/cs378_spring05/03auth.ppt 1 2 3 4 5 6 *

18 1.3. Επιθέσεις Πλαστοπροσωπίας H Επίθεση “Mafia in the Middle” (Anderson, 2001) 1 2 34 5 6 *

19 6. Επιθέσεις Πλαστοπροσωπίας Phishing Scams ♪ (APWG 2011a, 2012b)

20 Phishing Scams Μορφές E-mail campaigns SSL connections to spoofed sites MITM attacks Common password attacks … (Ross et al, 2005) Anti-Phishing research:  Password hashing  Encrypting (browser-) cached passwords with master pass  π.χ. Firefox security  Phishing alert toolbars e.g., SpoofGuard, netcraft  Extended validation Certs  2-factor Authentication  Issues: real MITM, usability,..  2-channel authentication (Ross et al, 2005) * (Chou et al, 2004) * * * * * * *,*, *,*, *

21 Phishing Scams In Online Banking The problems and Solutions Problem 1: “Classical” phishing Solution 1: A uses one-time login passwords, e.g. Problem 2: Phisher P adapts: Solution 2: U may contact the bank soon and discover fraud Problem 3: MITM for whole session, phisher doesn’t logoff. Solution 3: Bank asks a fresh pswd for every transaction Problem 4: P replaces a transaction by a wicked one: (Clayton, 2005) A, S * A, S n T n, S n W n, S n

22 Phishing Scams In Online Banking The problems and Solutions Solution 4: “sign” transactions: Problem 4b: A needs SW to do this (Browser? Smartcard?) Solution 5: Use a secure Bank- Alice channel (e.g.,SMS, mail,..) Problem 5: P uses a pswd key to validate change of A’s address. Solution 5b: Change of contact details requires out-of-band Solution 6: Connect using SSL Problem 6: P has a Cert ! Solution 7: Client certificates (Clayton, 2005) A, S 0 A, T 1,…,T n T 1, S 1 T n, S n ……. secure

23 Phishing Scams In Online Banking The problems and Solutions Problem 7: PKI Cert mgmt issues Banking at home only Browsers can be fooled Malware steals Cert and PR key P may tell A: “Your CERTs expired, send them to us” Solution 9: Chip and Pin cards. 3-D Secure Chip Authentication Program Problem 9: A lot of security issues  Solution 10 Customer Education (Clayton, 2005) (Anderson, 2008b) (Anderson, 2008c, * (Anderson, 2008b) ♪ *,*, *,*, *,*, * * ♪ *,*, *

24 7. Single Sign-On (SSO) in the Web Federated Identity Management The goal: A single logon should work everywhere The problem: if same {user, pswd} is used everywhere, identity theft is made easy. The idea: Federated Identity Management  Each user U chooses an “identity service provider” P  Relying parties redirect U to P for authentication The technologies openID 1.0 openID 2.0 Cardspace,… The problems Concerns about phishing Lack of demand from users and relying parties ♪ * * *,*, * (Recordon & Reed, 2006) (Fitzpatrick, 2006) * *

25 Single Sign-On (SSO) in the Web Federated Identity Management (Recordon& Reed, 2006)

26 2. Πρωτόκολλα Εδραίωσης Κλειδιού Ορισμοί Το πρόβλημα: Στις συμμετρικές τεχνικές, η Alice και ο Bob μοιράζονται ένα κλειδί Κ. Πώς όμως αποκτούν αυτό το κλειδί; Γενικότερη διατύπωση: Πώς δύο ή περισσότερες οντότητες αποκτούν από κοινού ένα μυστικό (συμμετρικό) κλειδί για ασφαλή επικοινωνία … … δηλαδή έναντι παθητικών ή/και ενεργητικών εχθρών Eve: Υποκλέπτει επικοινωνία Mallory: Επιθέσεις πλαστοπροσωπίας και ενδιάμεσης οντότητας

27 2. Πρωτόκολλα Εδραίωσης Κλειδιού Ορισμοί Σκοπός: Η εδραίωση ενός εφήμερου ή «φρέσκου» κλειδιού που αποκαλείται κλειδί συνόδου (session key) Γιατί κλειδιά συνόδου; 1. Περιορισμός των συνεπειών αν ο «εχθρός» βρει ένα κλειδί. 2. Περιορισμός της ποσότητας υλικού που θα χρησιμοποιηθεί για κρυπτανάλυση. 3. Άρση ανάγκης αποθήκευσης πολλών κλειδιών για μεγάλο χρονικό διάστημα. 4. Ανεξαρτησία μεταξύ των συνόδων επικοινωνίας και των δικτυακών εφαρμογών

28 2. Πρωτόκολλα Εδραίωσης «Φυσική» Εδραίωση Κλειδιού Σενάρια: 1. H Alice επιλέγει ένα κλειδί και το μεταδίδει στον Bob με φυσικό τρόπο 2. Μια Τρίτη Αρχή επιλέγει ένα κλειδί και το μεταδίδει στους Alice & Bob με φυσικό τρόπο Τα σενάρια 1 και 2, συνήθως εφαρμόζονται για: Κρυπτογράφηση ζεύξης (link encryption) στο επίπεδο σύν- δεσης δεδομένων (π.χ. Wi-fi) Για κρυπτογράφηση από άκρη- σε-άκρη (end-to-end) στο επίπεδο δικτύου, όχι αποδοτικό N hosts: Ν(Ν-1)/2 κλειδιά Τι θα γίνει αν η κρυπτογράφηση γίνει στο επίπεδο εφαρμογής ; 1 κλειδί για κάθε ζεύγος χρηστών ή διεργασιών; Case: Δίκτυο με εκατοντάδες κόμβους & χιλιάδες διεργασίες!

29 2. Πρωτόκολλα Εδραίωσης «Φυσική» Εδραίωση Κλειδιού

30 2. (Λογική) Εδραίωση Κλειδιού Κατηγοριοποίηση Τρεις περιπτώσεις: 1. Οι Alice & Bob μοιράζονται ήδη ένα κλειδί μακράς διαρκείας (π.χ. password) 2. Οι Alice & Bob μοιράζονται ξεχωριστά κλειδιά μακράς διαρκείας με ένα έμπιστο κέντρο (KDC). 3. Η Alice και ο Bob δεν μοιράζονται κάποιο κλειδί ΣΥΜΜΕΤΡΙΚΕΣ ΤΕΧΝΙΚΕΣ ΤΕΧΝΙΚΕΣ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ

31 2. (Λογική) Εδραίωση Κλειδιού Κατηγοριοποίηση Τρεις περιπτώσεις: 1. Οι Alice & Bob μοιράζονται ήδη ένα κλειδί μακράς διαρκείας (π.χ. password) 2. Οι Alice & Bob μοιράζονται ξεχωριστά κλειδιά μακράς διαρκείας με ένα έμπιστο κέντρο (KDC). 3. Η Alice και ο Bob δεν μοιράζονται κάποιο κλειδί Σε κλειστά ή/και αυτόνομα συστήματα, τα κλειδιά μακράς διαρκείας (Master keys) χρησιμοποιούνται για την εδραίωση των (εφήμερων) κλειστών συνόδου. Τα Master keys διανέμονται με μη κρυπτογραφικό τρόπο (π.χ. φυσικά) Η προτεινόμενη μέθοδος για συστήματα μεγάλης κλίμακας (π.χ. Internet)

32 2. Πρωτόκολλα Εδραίωσης Κλειδιού Κατηγοριοποίηση 1. Πρωτόκολλα Διανομής Κλειδιού (Key Distribution) Μια έμπιστη οντότητα (KDC) δημιουργεί το κλειδί και το στέλνει στην Alice και τον Bob 2. Πρωτόκολλα Μεταφοράς Κλειδιού (Key transport) Η Alice (Bob) δημιουργεί ένα κλειδί και το στέλνει στον Bob (Alice) 3. Πρωτόκολλα Συμφωνίας Κλειδιού (Key Agreement) Η Alice & Bob συνεισφέρουν από κοινού στη δημιουργία του κλειδιού συνόδου

33 2. Πρωτόκολλα Εδραίωσης Κλειδιού Κατηγοριοποίηση Κρυπτογραφικά Πρωτόκολλα Εδραίωσης Κλειδιού 1. Συμμετρικές Τεχνικές2. Τεχνικές Δημόσιου Κλειδιού Διανομής: Π1-Π8 Μεταφοράς: Π9-Π10 Συμφωνίας: Π11-Π12 Μεταφοράς: Π14-Π18 Συμφωνίας: Π19-Π26 Πηγή: (Magkos et al, 2011)

34 2. Πρωτόκολλα Εδραίωσης Κλειδιού Κατηγοριοποίηση Σημείωση: Στις συμμετρικές τεχνικές, μπορούμε να εντάξουμε μια επιπλέον κατηγορία 4. Εδραίωση χωρίς σύνδεση με προ- μοιρασμένα κλειδιά (Offline Key Establishment with Pre-Shared Keys) KK Session 1: Κ 1 = Hash(K, n 1 ) Session 2: Κ 2 = Hash(K, n 2 ) Session j: Κ j = Hash(K, n j ) … Παράδειγμα (για j συνόδους) n: nonce (number used once)

35 2. Πρωτόκολλα Εδραίωσης Κλειδιού Στόχοι Ασφάλειας 1. Αυθεντικοποίηση Χρήστη (User Authentication) 2. Αυθεντικοποίηση Κλειδιού (Key Authentication) A. Εννούμενη Αυθεντικοποίηση (Implicit Key Authentication) B. Ρητή Αυθεντικοποίηση (Explicit Key Authentication) 3. Μυστικότητα Κλειδιού (Key Secrecy) 4. Φρεσκάδα Κλειδιού (Key Freshness) Η αυθεντικοποίηση μπορεί να είναι μονόδρομη ή αμοιβαία … ένα πρωτόκολλο εδραίωσης θεωρείται ασφαλές αν το κλειδί που θα προκύψει είναι ανέφικτο να το γνωρίζει/μάθει ένας μη εξουσιοδοτημένος χρήστης… … ένα πρωτόκολλο εδραίωσης θεωρείται ασφαλές αν το κλειδί που θα προκύψει είναι ανέφικτο να το γνωρίζει/μάθει ένας μη εξουσιοδοτημένος χρήστης…

36 2. Πρωτόκολλα Εδραίωσης Κλειδιού Στόχοι Ασφάλειας 2. Αυθεντικοποίηση Kλειδιού. Ο χρήστης γνωρίζει την ταυτότητα του χρήστη με τον οποίο εδραίωσε το κλειδί A. Εννούμενη Αυθεντικοποίηση π.χ. η Alice γνωρίζει ότι μόνον ο Βob μπορεί να έχει πρόσβαση στο κλειδί που εδραιώνεται B. Ρητή αυθεντικοποίηση π.χ. η Alice βεβαιώνεται ότι ο Βοb έχει πρόσβαση στο κλειδί που εδραιώθηκε 1. Αυθεντικοποίηση Χρήστη Κάθε χρήστης μπορεί να καθορίσει: A. Την ταυτότητα του χρήστη με τον οποίο εδραιώνει το κλειδί συνόδου, και B. ότι ο έτερος χρήστης είναι ενεργός τη στιγμή που εκτελείται το πρωτόκολλο Γνωστή και ως «Επιβεβαίωση Κλειδιού»

37 2. Πρωτόκολλα Εδραίωσης Κλειδιού Στόχοι Ασφάλειας 3. Μυστικότητα Κλειδιού Μόνον οι εξουσιοδοτημένοι χρήστες έχουν πρόσβαση στο κλειδί συνόδου 4. Φρεσκάδα Κλειδιού Το εδραιωμένο κλειδί πρέπει να είναι καινούριο, δηλ. να μην έχει εδραιωθεί ξανά στο παρελθόν από άλλους χρήστες

38 2. Πρωτόκολλα Εδραίωσης Κλειδιού Στόχοι Αποδοτικότητας Ένα πρωτόκολλο εδραίωσης πρέπει να είναι αποδοτικό ως προς τις εξής πολυπλοκότητες: Carol Bob Alice 1. Επικοινωνία: Ο αριθμός των αποστολών μηνυμάτων (passes), Ο αριθμός των bit που ανταλλάσσονται (per pass), 2. Υπολογισμοί: ο αριθμός των απαιτούμενων υπολογιστικών πράξεων 3. Αποθήκευση: O απαιτούμενος αποθηκευτικός χώρος που απαιτείται για την εδραίωση

39 Συμβολισμοί

40 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π1 Πρωτόκολλο Π1 - Απλή διανομή κλειδιού [38] [Popek and Kline, 1979]

41 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π2 Πρωτόκολλο Π2 - Απλή διανομή με ρητή αυθεντικοποίηση

42 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π2 Επίθεση Ε1 - Μία επίθεση πλαστοπροσωπίας στο πρωτόκολλο Π2 [30]

43 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π3 Πρωτόκολλο Π3 -Αυθεντικοποίηση με εισαγωγή πληροφορίας σχετικής με την ταυτότητα των χρηστών [30]

44 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π3 Επίθεση Ε2 - Μία επίθεση πλαστοπροσωπίας στο πρωτόκολλο Π3 [30]

45 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π4 Πρωτόκολλο Π4 - Το πρωτόκολλο διανομής των Needham-Schroeder [35] ( Needham and Schroeder, 1978)

46 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π4 Επίθεση Ε3 - Μία επίθεση πλαστοπροσωπίας στο Needham-Schroeder [14] (Denning and Sako, 1981)

47 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π5 Πρωτόκολλο Π5 - Εισαγωγή χρονοσφραγίδων στο πρωτόκολλο Needham-Schroeder [14] (Denning and Sako, 1981, Denning, 1981)

48 Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001

49 Το Σύστημα Kerberos Η Emily έρχεται στη δουλειά. Εισάγει σε μια φόρμα το username και τον κωδικό της πρόσβασης, στις 8.00 A.M To λογισμικό Kerberos στον Η/Υ της Emily στέλνει το username στην Υπηρεσία Αυθεντικοποίησης (AS) στον server KDC, που με τη σειρά της επιστρέφει στην Emily ένα Εισιτήριο Έκδοσης Εsισιτηρίων (Ticket Granting Ticket – TGT), κρυπτογραφημένο (συμμετρικά) με το password της Emily Όταν η Emily θελήσει να επικοινωνήσει με τον file server, το Kerberos στον Η/Υ της στέλνει μια αίτηση, μαζί με το TGT, στην Υπηρεσία Έκδοσης Εισιτηρίων (Τicket Granting Service – TGS) στον KDC. Το Kerberos εξάγει το κλειδί συνόδου, και αποστέλλει το εισιτήριο στον file server για να αρχίσει η επικοινωνία ! Η TGS δημιουργεί και στέλνει στην Emily ένα 2o εισιτήριο, για την ταυτοποίηση της στον file server. To εισιτήριο περιέχει ένα κλειδί συνόδου, κρυπτογραφημένο με τα κλειδιά που μοιράζεται το KDC με Emily & τον server Αν η Emily έχει δώσει το σωστό password, το TGT αποκρυπτογραφείται και η Alice αποκτά πρόσβαση στο σταθμό εργασίας της

50 Εφαρμογή Νο 2 The Kerberos System The problem : ”In an open distributed environment users at workstations wish to access services on servers distributed throughout the network. The servers must be able to restrict access to authorized users and to authenticate requests for service.” A workstation cannot be trusted to identify users correctly A user may gain access to a particular workstation and pretend to be another user operationg from that workstation A user may alter the network address of a workstation and thus impersonate another workstation A user may eavesdrop on exchanges and use a replay attack to gain entrance to a server (Steiner et al, 1988) (Stallings, 2010)

51 Εφαρμογή Νο 2 The Kerberos System In a distributed architecture consisting of clients and severs three approaches to security can be envisioned: 1. Rely on each client workstation to assure the identity of its users and rely on each server to enforce security policy based on user identification (ID). 2. Require that client systems authenticate themselves to servers, but trust the client systems conserning the identity of the user. The two first approaches could be used in a small closed environment. 3. Require the user to prove identity for each service invoked. Require that servers prove their identity to clients. Third approach is supported by Kerberos: (Stallings, 2010)

52 Εφαρμογή Νο 2 The Kerberos System (Stallings, 2010) A trusted, centralized auth. server who facilitates authentication of users to servers and servers to users. There are two versions Version 4 is still in common use Version 5 (1994) corrects some deficiencies of version 4 Kerberos relies exclusively on conventional encryption. (Steiner et al, 1988,Miller et al,1988) (Kohl et al, 1994) (RFC 4120)

53 Εφαρμογή Νο 2 The Kerberos System The following requirements were listed for Kerberos: 1. Secure: a network eavesdropper should not be able to obtain the required information for impresonating a user. 2. Reliable: services rely on the availability of Kerberos access control, thus lack of availability of Kerberos is lack of availability of the services. Kerberos should employ a distributed server architecture with one system able to back up another. 3. Transparent: the user should not be aware that authentication is taking place, except for the entering of the password. 4. Scalable: the system should have a modular, distributed architecture to support large number of clients and servers. (Stallings, 2010)

54 Kerberos Version 4 We build up to full protocol A Simple Authentication Protocol This protocol uses an authentication server (AS) that knows the passwords of each user and shares a secret key with each server. Some issues: Number of password uses Plaintext transmission of password (Stallings, 2010) (Steiner et al, 1988,Miller et al,1988) (Bryant et al,1988) C = Client AS = authentication server V = server IDC = identifier of user on C IDV = identifier of V PC = password of user on C ADC = network address of C KV= secret encryption key shared by AS and V C  AS: ID C || P C || ID V AS  C: ID C || Ticket C  V:Ticket Ticket = E(K V, [ID C || AD C || ID V ]) C  AS: ID C || P C || ID V AS  C: ID C || Ticket C  V:Ticket Ticket = E(K V, [ID C || AD C || ID V ])

55 Kerberos Version 4 A More Secure Authentication Dialogue (Stallings, 2010) (Steiner et al, 1988,Miller et al,1988) Once per service session: (1) C  AS: ID C || ID tgs (2) AS  C:E(K C, Ticket tgs ) Once per type of service: (3) C  TGS:ID C || ID V || Ticket tgs (4) TGS  C:Ticket V Once per service session: (5) C  V: ID C || Ticket V Once per service session: (1) C  AS: ID C || ID tgs (2) AS  C:E(K C, Ticket tgs ) Once per type of service: (3) C  TGS:ID C || ID V || Ticket tgs (4) TGS  C:Ticket V Once per service session: (5) C  V: ID C || Ticket V Ticket tgs = E(K tgs, [ID C || AD C || ID tgs || TS 1 || Lifetime 1 ] Ticket V = E(K V, [ID C || AD C || ID V || TS 2 || Lifetime 2 ]) Ticket tgs = E(K tgs, [ID C || AD C || ID tgs || TS 1 || Lifetime 1 ] Ticket V = E(K V, [ID C || AD C || ID V || TS 2 || Lifetime 2 ]) Issues Replays after C logs off and before lifetime is over  Servers do not authenticate to Users

56 Kerberos Version 4 The Version 4 Authentication Dialogue (Stallings, 2010) (Steiner et al, 1988,Miller et al,1988)

57 Kerberos Version 4 The Version 4 Authentication Dialogue (Stallings, 2010) (Steiner et al, 1988,Miller et al,1988)

58 (Stallings, 2010)

59

60

61 Scalability of Kerberos Kerberos Realms and Multiple Kerberi A Kerberos realm, is a full-service environment consisting of a Kerberos server, a number of clients and app servers: 1. The Kerberos server has the user Ids and hashed passwords of all participant users. All users are registered with the Kerberos server. 2. The Kerberos server shares a secret key with each server. All servers are registered with the Kerberos server. Kerberos supports inter-realm authentication. Extra req: 3. The Kerberos server in each interoperation realm shares a secret key with the server in the other realm. The two kerberos servers are registered with the each other..

62

63 Kerberos & Τομείς Ασφάλειας (Security Domains) Τομέας Ασφάλειας Μία λογική (logical) Ομάδα από υποκείμενα και αντικείμενα (χρήστες, Η/Υ, συσκευές, προγράμματα & εφαρμογές, δεδομένα, … ) …που υπακούν σε ένα κοινό σύνολο κανόνων ασφάλειας (i.e., πολιτική ασφάλειας) Kerberos: Ο ελεγκτής τομέα συγκεντρώνει τους ρόλους AS και TGS

64 Τομείς Ασφάλειας (Security Domains) Οι χρήστες (clients), γίνονται μέλη στον τομέα κάνοντας log on, με διαδικασίες SSO Μέσω LAN, WAN, VPN κλπ Για κάθε τομέα, υπάρχει ένας server (Domain Controller) όπου: Μια κεντρική ΒΔ (Ενεργός Κατάλογος - Active Directory) περιέχει τους λογαριασμούς & ομάδες χρηστών και Η/Υ Δημιουργούνται & επιβάλλονται οι Πολιτικές Ασφάλειας του τομέα Πολιτικές ομάδων (group policies) Κριτήρια & Δικαιώματα πρόσβασης Ρυθμίσεις ασφάλειας Αρχιτεκτονική Client-Server Λογική σύνδεση

65 Τομείς Ασφάλειας (Security Domains) -

66 Τομείς Ασφάλειας (Security Domains) Μεγάλα συστήματα, συχνά οργανώνονται ιεραρχικά: 1. Δένδρο Πολλοί Τομείς, με το ίδιο namespace 1. Δάσος (Forrest) Πολλά δένδρα, με διαφορετικά namespaces http://technet.microsoft.com/

67 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π6 Πρωτόκολλο Π6 - Το πρωτόκολλο διανομής των Otway-Rees [37] (Otway and Rees, 1987)

68 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π7 Πρωτόκολλο Π7 - Το πρωτόκολλο Π6 με αμοιβαία αυθεντικοποίηση [33]

69 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π8 Πρωτόκολλο Π8 - Το πρωτόκολλο των Bellare-Rogaway [5] (Bellare and Rogaway, 1995)

70 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Α. Διανομή Κλειδιού - Πλεονεκτήματα & Μειονεκτήματα Μειονεκτήματα Αρχιτεκτονικής Υψηλή εμπιστοσύνη στον Trent Υψηλός φόρτος για τον Trent Πλεονεκτήματα Αρχιτεκτονικής Εύκολη διαχείριση συστήματος Κάθε οντότητα αποθηκεύει ένα μόνον κλειδί μακράς διαρκείας

71 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Β. Μεταφορά Κλειδιού - Πρωτόκολλο Π9 Πρωτόκολλο Π9 - Απλή μεταφορά κλειδιού [22] (ISO/IEC 11770-2:1996)

72 3. Εδραίωση με Συμμετρικές Τεχνικές 3.Β. Μεταφορά Κλειδιού - Πρωτόκολλο Π10 Πρωτόκολλο Π10 - Απλή μεταφορά κλειδιού με πρόκληση-απάντηση [33]

73 3. Εδραίωση με Συμμετρικές Τεχνικές 3.C. Συμφωνία Κλειδιού - Πρωτόκολλο Π11 Πρωτόκολλο Π11 -To πρωτόκολλο ΑΚΕP2 [4] Κ S = Hash(K’ AB, N A, N B ) (Bellare and Rogaway, 1993)

74 3. Εδραίωση με Συμμετρικές Τεχνικές 3.C. Συμφωνία Κλειδιού - Πρωτόκολλο Π12 Πρωτόκολλο Π12 - Συμφωνία κλειδιού με χρονοσφραγίδες Κ S = Hash(k A, k B )

75 3. Εδραίωση με Συμμετρικές Τεχνικές 3.C. Συμφωνία Κλειδιού - Πρωτόκολλο Π13 Πρωτόκολλο Π13 - Συμφωνία κλειδιού με πρόκληση-απάντηση

76 1. Η Alice φτιάχνει μια ΒΔ με 1.000.000 κλειδιά και αντίστοιχους (μοναδικούς) σειριακούς αριθμούς 2. Η Alice κρυπτογραφεί κάθε ζεύγος της ΒΔ με διαφορετικά κλειδιά μικρού μήκους (π.χ 20 bit) 4. Εδραίωση με Ασύμμετρες Τεχνικές 4.Α. Μεταφορά Κλειδιού - Η ιδέα του Merkle Τυχαία σειρά (Merkle, 1978)

77 3. Η Alice στέλνει στον Bob 1.000.000 κρυπτογραφημένα μηνύματα 4. Ο Bob επιλέγει στην τύχη ένα μήνυμα και εξαπολύει μια επίθεση brute force π.χ. 1 ώρας διάρκεια 5. O Bob ανακτά π.χ. το ζεύγος (1yt8a42x35 | 500,121) 6. O Bob επικοινωνεί με την Alice: της λέει να χρησιμοποιήσει το κλειδί που αντιστοιχεί στο 500.121 Η Eve δεν ξέρει πιο από τα κρυπτογραφημένα μηνύματα περιέχει το κλειδί που επέλεξε ο Bob !! Η Eve θα πρέπει να «σπάσει» κατά μέσο όρο 2 19 ~ 500.000 μηνύματα !!! π.χ. 500.000 ώρες εργασίας ! ! Ασυμμετρία 4. Εδραίωση με Ασύμμετρες Τεχνικές 4.Α. Μεταφορά Κλειδιού - Η ιδέα του Merkle (Merkle, 1978)

78 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.Α. Μεταφορά Κλειδιού - Πρωτόκολλο Π15 Πρωτόκολλο Π15 -Ένα απλό πρωτόκολλο μεταφοράς κλειδιού [39,33] (Merkle, 1979, Kohnfelder 1978, p.5)

79 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.Α. Μεταφορά Κλειδιού - Πρωτόκολλο Π15 Στην απλή του μορφή το Π15 είναι ευπαθές σε επιθέσεις MITM (Rivest & Shamir, 1984)

80 Εφαρμογή Νο 3 SSL 3.0 (Secure Sockets Layer) … N A … N B, Sig CA (PK B ) E PKB [Κ Α ] Κ S = Hash(K A, N A, N B ) Το ΔΚ της CA είναι πιθανώς προ- εγκατεστημένο, κατά την εγκατάσταση του λογισμικού πλοήγησης Pre-master Secret Master Secret

81 O “διάδοχος” του SSL TLS (Transport Layer Security) … N A … N B, Sig CA (PK B ) Sig A (E PK B [Κ Α ],…), Sig CA (PK A ) Κ S = Hash(K A, N A, N B )

82 Εφαρμογή Νο 4 Κινητή Τηλεφωνία: WAP & WTLS Internet Gateway Web Server WTLSSSL

83 Εφαρμογή Νο 5 ΙΕΕΕ 802.11i (Ασύρματα Τοπικά Δίκτυα) Εδραίωση Κλειδιού σε WLANS (EAP-TLS) Mobile client Radius Authentication Server Enterprise network

84 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.Α. Μεταφορά Κλειδιού - Πρωτόκολλο Π16 Πρωτόκολλο Π16 -Μεταφορά κλειδιού με αυθεντικοποίηση οντότητας [23]

85 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.Α. Μεταφορά Κλειδιού - Πρωτόκολλο Π17 Πρωτόκολλο Π17 -Μεταφορά κλειδιού με αυθεντικοποίηση οντότητας [23] (ISO/IEC 11770-3, 1999)

86 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.Α. Μεταφορά Κλειδιού - Πρωτόκολλο Π18 Πρωτόκολλο Π18 -Μεταφορά κλειδιού με αμοιβαία αυθεντικοποίηση [33]

87 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Π19 Πρωτόκολλο Π19-Συμφωνία κλειδιού με αμοιβαία αυθεντικοποίηση [35] Κ S = Hash(k A, k B ) (Needham & Schroeder, 1978)

88 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Π20 Πρωτόκολλο Π20 - Τροποποίηση του πρωτοκόλλου Π19 [33]

89 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Π21 Πρωτόκολλο Π21 - Παραλλαγή του πρωτοκόλλου Needham-Schroeder [35] (Needham & Schroeder, 1978)

90 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Π22 Πρωτόκολλο Π22 - Μια απλοποίηση του Π21 [35] (Needham & Schroeder, 1978)

91 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Π22 Επίθεση E4 - H επίθεση του Lowe στο πρωτόκολλο Π22 [30]

92 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Diffie-Hellman Πρωτόκολλο Π23 - Το πρωτόκολλο Diffie-Hellman [15] Εφαρμογές: Ο αλγόριθμος και οι παραλλαγές του χρησιμοποιούνται σήμερα ευρέως σε δημοφιλείς εφαρμογές: π.χ. IPSec, SSH, SSL/TLS, … (Diffie &Hellman, 1976)

93 Κρυπτογραφία Δημόσιου Κλειδιού To Πρωτόκολλο Diffie-Hellman – Ένα παράδειγμα Όλες οι πράξεις γίνονται mod p g και p: Παράμετροι συστήματος ΓΝΩΣΤΕΣ ΣΕ ΟΛΟΥΣ Παράμετροι συστήματος p= 101, g=3 a=5 b=6 John Hershey. Cryptography Demystified. McGraw-Hill Professional, 2003

94 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Π23 Επίθεση E5 - Μία επίθεση ενδιάμεσης οντότητας (MITM) στο DH [30]

95 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.B. Συμφωνία Κλειδιού - To Πρωτόκολλο STS [16] Πρωτόκολλο Π24 - Το πρωτόκολλο Station to Station (STS) [16] (Diffie et al, 1981)

96 , Sig B (m 1,m 2 ), Cert B Sig A (m 1,m 2 ), Cert A Εφαρμογή Νο 6 : Virtual Private Networks (VPNs) IPSec - Το πρωτόκολλο IKE (Internet Key Exchange) A, (g a mod p) B, (g b mod p) AB m1 m2

97 Εφαρμογή Νο 7: Secure Shell (SSH) Εδραίωση Κλειδιού στο πρωτόκολλο SSH Sig B (m 1,m 2 ) A, (g a mod p) B, (g b mod p), AB m1m1 m2m2 Αυθεντικοποίηση χρήστη (π.χ. αποστολή password, κρυπτογραφημένου με το Ks)

98 Εφαρμογή Νο 7: Bluetooth v. 2.1 Εδραίωση Κλειδιού στο Bluetooth Elliptic Curve Diffie-Hellman (ECDH) Key Exchange Let’s pair Device A PKa PKb Device B DHkey A = a  PKb DHkey B = b  PKa DHkey A = a  PKb = a  b  G = b  a  G = b  PKa = DHkey B http://www.aladdin.com/blog/pdf/AndrewLindell-BlackHat08.ppt

99 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Π25 Πρωτόκολλο Π25 - Το πρωτόκολλο εδραίωσης κλειδιού X.509 [34]

100 4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Π26 Πρωτόκολλο Π26 - Το πρωτόκολλο Π25 με πρόκληση-απάντηση [34]

101 5. Προηγμένα Πρωτόκολλα Εδραίωσης H Οικογένεια Πρωτοκόλλων MTI [31] Πρωτόκολλο Π27 - To πρωτόκολλο συμφωνίας MTI/A0 [31] (Matsumoto et al, 1986)

102 5. Προηγμένα Πρωτόκολλα Εδραίωσης Το πρωτόκολλο ΕΚΕ (Encrypted Key Exchange) [7] Πρωτόκολλο Π29: Το πρωτόκολλο ΕΚΕ [7] (Bellovin and Merritt, 1992)

103 5. Προηγμένα Πρωτόκολλα Εδραίωσης Το πρωτόκολλο ΕΚΕ2 [3] Πρωτόκολλο Π30: Το πρωτόκολλο ΕΚΕ2 [3] (Bellare et al, 2000)

104 5. Προηγμένα Πρωτόκολλα Εδραίωσης Εδραίωση Κλειδιού Ομάδας στο DH Carol Bob Πώς μπορούν 3 ή περισσότεροι χρήστες να συμφωνήσουν σε ένα κοινό κλειδί K … … Χρησιμοποιώντας το πρωτόκολλο DH; Group Key Agreement Alice Carol (Ingemarsson et al, 1982)

105 5. Προηγμένα Πρωτόκολλα Εδραίωσης Εδραίωση Κλειδιού Ομάδας στο DH Carol Bob Alice Πώς μπορούν 3 ή περισσότεροι χρήστες να συμφωνήσουν σε ένα κοινό κλειδί K … … Χρησιμοποιώντας το πρωτόκολλο DH; Group Key Agreement (Ingemarsson et al, 1982)

106 5. Συνοψίζοντας Συμμετρικά Πρωτόκολλα vs Πρωτόκολλα ΔΚ Εδραίωση με Συμμετρικά Συστήματα ΥΠΕΡ 1. Απόδοση (κόστος υπολογισμών, χωρητικότητας, αποθήκευσης) ΚΑΤΑ 1. Απαιτούν προ-συμφωνημένα μυστι- κά (με άλλους κόμβους ή με το KDC) Διαχείριση κλειδιού σε συστήματα μεγάλης κλίμακας: Δύσκολη Εφαρμογή σε κατανεμημένα και δυναμικά περιβάλλοντα: Δύσκολη 2. Στα συστήματα διανομής, το KDC αποτελεί μοναδικό σημείο αποτυχίας Εδραίωση με Συστήματα ΔΚ ΥΠΕΡ 1. Δεν απαιτούν την ύπαρξη προ- εγκατεστημένων μυστικών, ούτε ενός πλήρως έμπιστου, online KDC 2. Ιδανικά για συστήματα μεγάλης κλίμακας και δυναμικής τοπολογίας 3. Μη αποποίηση ευθύνης (ψηφιακές υπογραφές) ΚΑΤΑ 1. Απόδοση (κόστος υπολογισμών, χωρητικότητας, αποθήκευσης) 2. Διαχείριση κλειδιού (Υποδομές δημόσιου κλειδιού- PKI)

107 Βιβλιογραφία 1. M. Abadi and R. Needham. “Prudent engineering practice for cryptographic protocols”, Technical Report DEC SRC 125, Digital Equipment Corporation, November 1995. 2. M. Bellare, R. Canetti, and H. Krawczyk, “A Modular Approach to the Design and Analysis ofAuthentication and Key Exchange Protocols”. Proceedings 30 th STOC, ACM Press, 1998. 3. M. Bellare, D. Pointcheval, and P. Rogaway. “Authenticated Key Exchange Secure Against Dictionary Attacks”, -Eurocrypt 2000, LNCS 1807, B. Preneel, ed.,Springer-Verlag, 2000, pp. 139–155. 4. M. Bellare and P. Rogaway. “Entity authentication and key distribution”, In Crypto ’92, LNCS 740, 1993. 5. M. Bellare, P. Rogaway, “Provably secure session key distribution: the three party case”, Proceedings of the twenty-seventh annual ACM STOC, pp. 57-66, 1995, Las Vegas, Nevada. 6. M.J.Beller and Y.Yacobi, “Fully-fledged two-way-public key authentication and key agreement for low-cost terminals”, Electronics Letters, vol. 29, pp. 999-1001, May 1993. 7. S. M. Bellovin and M. Merritt. “Encrypted Key Exchange: Password-Based Protocols Secure Against Dictionary Attacks”, IEEE Symposium on Research in Security and Privacy, Oakland, 1992. 8. C. Boyd and A.Mathuria, “Protocols for Authentication and Key Establishment”, Springer, 2003. 9. M. Burmester, “On the Risk of Opening Distributed Keys”, 14th Annual Conference on Crypto ’94. LNCS 839, Springer-Verlag, pp. 308-317, 1994. 10. M. Burmester and Y. Desmedt, “A secure and effient conference key distribution system”, In Eurocrypt ’94, A. De Santis, Ed., LNCS 950, Springer-Verlag, 1995. 11. M. Burrows, M. Abadi, and R. Needham, “A Logic of Authentication”, ACM Transactions on Computer Systems, 8(1), 1990, pp. 18-36. 12. R. Canetti. “Universally Composable Security: A New Paradigm for Cryptographic Protocols”, 42th FOCS 2001, pp. 136–145, IEEE Computer Society, 2001.

108 Βιβλιογραφία (2) 13. J. Clark and J. Jacob. “A survey of authentication protocol literature”, Unpublished report.University of York, 1997. 14. D.E. Denning and G.M. Sacco. “Timestamps in key distribution protocols”, Communications ofthe ACM, 24(8):533-536, 1981. 15. W.Diffie andM.E.Hellman. “Newdirections in cryptography”, IEEE Transactions in Information Theory, IT-22(6):644-654, 1976. 16. W. Diffie, P. C. van Oorschot, and M. J. Wiener. “Authentication and Authenticated Key Exchanges”, Designs, Codes, and Cryptography, v.2, pp. 107–125, 1992. 17. M.Gasser,A.Goldstein, C.Kaufman, and B. Lampson, “The DigitalDistributed Systems Security Architecture”, 12th National Computer Security Conference, NIST, 1989, pp. 305-319. 18. M. Girault, “Self-certified public keys”, Advances in Cryptology, Eurocrypt’91, LNCS 547,Springer, Berlin, 1991, pp. 490–497. 19. Goldwasser, S. and Micali, S. “Probabilistic encryption”, Journal of Computer and System Sciences 28(2), pp. 270-299, 1984. 20. C. Gunther, “An identity-based key-exchange protocol” Eurocrypt 89, LNCS 434, J-J. Quisquater, J. Vandewille ed., Springer-Verlag, 1989. 21. I. Ingemarsson, D. T. Tang, and C. K. Wong. “A Conference Key Distribution System”, IEEE Transactions on Information Theory, 28(5):714– 719, 1982. 22. ISO. Information Technology-Security Techniques-Key Management-Part 2: Mechanisms using symmetric techniques. ISO/IEC 11770-2, 1996. 23. ISO. Information Technology - Security Techniques - Key Management - Part 3: Mechanisms using asymetric techniques. Technical Report ISO/IEC 11770-3, 1999. 24. ISO. IT - Security Techniques - Entity Authentication - Part 3:Mechanisms using digital signature techniques. Technical Report ISO/IEC 9798-3, 1998. 25. J. Katz, Y. Lindell. Introduction to Modern Cryptography. Chapman & Hall/CRC, 2008. 26. J. Katz and M. Yung. “Scalable Protocols for Authenticated Group Key Exchange”, Advances in Cryptology - Crypto’03, LNCS 2729, Springer-Verlag, pp.110-125, 2003.

109 Βιβλιογραφία (3) 27. A.G. Konheim, Cryptography: a Primer, John Wiley & Sons, New York, 1981. 28. G. Lowe. “Breaking and fixing the Needham-Schroeder public-key protocol using CSP and FDR”, Procedings of TACAS, LNCS 1055, pp. 147-166, 1996. 29. G. Lowe. “Some new attacks upon security protocols”, Computer Security Foundations Workshop, pp. 162-169, 1994. 30. W. Mao, Modern Cryptography: Theory and Practice. Prentice Hall, 2003. 31. T. Matsumoto, Y. Takashima and H. Imai, “On seeking smart public-key-distribution systems”, Trans. IECE Japan 96 (1986), pp. 99-106. 32. H. X. Mel and Doris M. Baker. Cryptography Decrypted. Addison-Wesley, 2001. 33. A.Menezes, P.Oorschot, S.Vanstone,Handbook of Applied Cryptography. CRC Press, 1997. 34. R.C. Merkle, “Secure Communication Over Insecure Channels”, Communications of the ACM, v. 21, n. 4, 1978, pp. 294-299. 35. R.M. Needham and M.D. Schroeder, “Using Encryption for Authentication in Large Networks of Computers”, Communications of the ACM, v. 21, n. 12, 1978, pp. 993-999. 36. B.C. Neuman and S. Stubblebine, “A Note on the Use of Timestamps as Nonces”, Operating Systems Review, 27(2), 1993, pp. 10-14. 37. D. Otway and O. Rees, “Efficient and TimelyMutual Authentication”, Operating Systems Review, v. 21, n. 1, 1987, pp. 8-10. 38. G.J. Popek and C.S. Kline, “Encryption and Secure Computer Networks”, ACM Computing Surveys, v. 11, n. 4, Dec 1979, pp. 331-356. 39. B. Schneier, Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996. 40. V. Shoup, “On FormalModels for Secure Key Exchange”, Theory of Cryptography Library, 1999. Available at: http://philby.ucsd.edu/cryptolib/1999/99- 12.html. 41. J.G. Steiner, B.C. Neuman, and J.I. Schiller, “Kerberos: An Authentication Service for Open Network Systems”, USENIX Conference Proceedings, Feb 1988, pp. 191-202. 42. D. Stinson, Cryptography: Theory and Practice. Third Edition, CRC, 2005. 43. M. Tatebayashi, N. Matsuzaki, and D.B. Newman, “Key Distribution Protocol for Digital Mobile Communication System”, Advances in Cryptology-Crypto ’89, LNCS 435, Springer- Verlag, 1990, pp. 324-333. 44. T. Woo, S.Lam, “Authentication for Distributed Systems”, Computer, 25(1), 1992, pp. 39- 52.