Kryptografické systémy

Transcription

1 Kryptografické systémy autentifikácia doc. RNDr. Jozef Jirásek, PhD. Bc. Ján Kotrady 2017/2018 Zimný semester 2017 Autentifikácia 1

2 Identita Identita faktory, ktoré (podľa možnosti) jednoznačne identifikujú človeka (resp. iný subjekt zariadenie, systém) znalosť niečo vie (heslo, PIN, odpoveď na otázku) vlastníctvo niečo má (ID kartu, preukaz, telefón, hw kľúč) vlastnosť niečím je (inherency) biometria (odtlačok prsta, vzor hlasu, dúhovka oka, rytmus písania, DNA, podpis) dokazuje sa stupňom zhody v určených znakoch Dvojfaktorová (multifaktorová) autentifikácia potvrdenie viacerých faktorov identity Zimný semester 2017 Autentifikácia 2

3 Autentifikácia (subjektu) autentifikácia resp. autentizácia (authentication) preukázanie požadovaných faktorov identity v danom čase daným spôsobom realizuje sa autentifikačným protokolom po jeho dokončení overovateľ (verifier) rozhodne o preukázaní identity žiadateľa (claimant, prover) získané identifikačné údaje nesmie overovateľ použiť pri inej autentifikácii odpočutý autentifikačný protokol ani jeho časť nemôže tretej strane pomôcť získať identifikačné údaje žiadateľa resp. ich modifikovať alebo použiť v inom protokole autorizácia oprávnenie využiť službu, pristúpiť k objektu riadenie prístupu (access control) dodržovanie politík Zimný semester 2017 Autentifikácia 3

4 Autentifikácia registrácia pred autentifikáciou je potrebné požadované údaje uložiť na strane overovateľa autentifikácia identifikáciou senzory na snímanie biometrie (statické, dynamické), zariadenia na kontrolu tokenov a hesiel priame prepojenie s databázou, kde sa hľadá postačujúca podobnosť FAR False Acceptance Ratio FRR False Rejection Ratio autentifikácia pomocou verifikácie entita podáva potvrdenie (dôkaz) o svojej identite overí sa zhoda s uloženou hodnotou úspech/neúspech autentifikácia členstvom v skupine Zimný semester 2017 Autentifikácia 4

5 Autentifikácia heslom reťazec znakov resp. fráza, z ktorej sa heslo odvodí nízka entropia (náhodné reťazce je ťažké zapamätať) útoky hrubou silou, slovníkové útoky, história, prostredie, cielené útoky so znalosťami o subjekte Keeper s list of worst passwords in qwerty 8. password Zimný semester 2017 Autentifikácia 5

6 Entropia hesiel dĺžka hesla bez kontroly 94 znakov 10 znakov (PIN) proti slovníkovým útokom náhodne bez kontroly náhodne ,3 9 13, , , , , , , , , , , Zimný semester 2017 Autentifikácia 6

7 Ukladanie hesiel otvorený text - (zraniteľnosti - admin, záloha...) H(pwd) (slovníkové útoky, hrubá sila...) H(pwd salt) spolu s náhodným reťazcom, proti útokom na databázu hesiel H c (pwd salt) spomalená hašovacia funkcia (niekoľko opakovaní...) Zimný semester 2017 Autentifikácia 7

8 Útoky John the Ripper 7-znakové heslá, 360 mil. slovník (23% pwd) útok na všetky heslá (bez soli) nevhodné šifrovanie (ECB režim) útoky predpočítaním hašov TMTO (time-memory trade-off) útoky - dúhové tabuľky pwd 1 -> H -> R 1 -> H ->... R k -> H -> h 1 pwd 2 -> H -> R 1 -> H ->... R k -> H -> h 2... v tabuľke zapamätáme pre h 1 h 2... hodnoty pwd 1 pwd 2... pre hľadaný hash h - ak je v tabuľke ako h i spočítame z pwd i príslušné heslo, ak nie, skúsime nájsť h = H(R t-1 (h)) (v reťazcoch na predposlednom mieste)... atď... úplnosť, problémy s kolíziami... Zimný semester 2017 Autentifikácia 8

9 Ochrana limitovanie počtu pokusov, riadenie prístupu (on-line) časové okno na jedno overenie CAPTCHA Completely Automated Public Turing test to tell Computer and Humans Apart ochrana mien účtov pomalé hašovanie, resp. s veľkou pamäťovou náročnosťou (scrypt) (aj pre off-line útoky) Password Hashing Competition Argon2, Balloon Zimný semester 2017 Autentifikácia 9

10 Jednoduchý autentifikačný protokol registrácia A, salt A, pa = h(pwd A, salt A ) autentifikácia cez zabezpečený kanál A S : A S A : input password A S : pwd A S overí h(pwd A, salt A ) =? pa A S : A S A : input password, salt A A S : h(pwd A, salt A ) resp. E S (h(pwd A, salt A )) problém s opakovaným použitím odpovede replay attack Zimný semester 2017 Autentifikácia 10

11 Jednorazové heslá jednorazové heslá zoznam, po použití vymazať výzva od overovateľa index hesla zo zoznamu PRF pseudonáhodné funkcie pomocou symetrickej kryptografie RSA SecurID - AES h(pwd) (count) zmena každú minútu, resp po každom použití TOTP timed one-time password Google authenticator do QR kódu, nasledujúce prihlásenie len s posledným autentifikátorom PBKDF2 (Password-Based Cryptography Specification) U 1 = MAC pwd (salt i), U 2 = MAC pwd (U 1 ),... U c = MAC pwd (U c-1 ) T i = U 1 U 2... U c c counter K = T 1 T 2 T 3... (pre WPA2 : HMAC-SHA1, salt = ssid, c = 4096) Zimný semester 2017 Autentifikácia 11

12 Lamportova identifikačná schéma H 0 = k A ; H (i) (k A ) = H(H (i-1) (k A )) registrácia A, pa = H (n) (k A ), ca = n identifikátor H (i) (k A ) pre i = n-1, n-2,...,1 A S : A S A : input password, ca A S : Q = H (ca-1) (k A ) overenie H(Q) =? pa = H (ca) (k A ) pa = Q, ca = ca 1 limitovaný počet použití ( až 2 32 ) A si pamätá len log n generovaných hesiel (pebbling) použitá v S/Key protokole Zimný semester 2017 Autentifikácia 12

13 Silná autentifikácia proti útokom zopakovaním (replay attack) - zabezpečuje čerstvosť (freshness) atribút bezpečnosti časová pečiatka pripojenie k heslu, potrebná časová synchronizácia sekvenčné číslo počítadlo použitia (posledné použité si musí pamätať aj overovateľ) jednorazová výzva nonce číslo, použiteľné len raz v časovom limite je možné pripojiť k heslu Zimný semester 2017 Autentifikácia 13

14 Autentifikácia pomocou symetrického kľúča Jednostranná autentifikácia s kľúčom K AB = AB A B : E AB (T A, B) časovou pečiatkou A B : E AB (cnt A, B) aktuálnou hodnotou počítadla B A : N B A B : E AB (N B, B) Obostranná autentifikácia A B : E AB (T A, B) B A : E AB (T B, A) výzva (challenge) - nonce odpoveď (response) časovou pečiatkou (počítadlom podobne) B A : N B výzva/odpoveď s nonce A B : E AB (N A, N B, B) B A : E AB (N B, N A ) Zimný semester 2017 Autentifikácia 14

15 Autentifikácia pomocou symetrického kľúča Obojstranná autentifikácia výzva/odpoveď 1. B A : E AB (N B ) 2. A B : N B, E AB (N A ) 3. B A : N A možný útok odrazenie (reflection) 1. B I A : E AB (N B ) 1.* I B A : E AB (N B ) 2.* A I B : N B, E AB (N A ) 2. I A B : N B, E AB (N A ) 3. B I A : N A 3.* I B A : N A Zimný semester 2017 Autentifikácia 15

16 Autentifikácia pomocou autentifikačného kódu Obojstranná autentifikácia výzva/odpoveď bez použitia šifrovania 1. B A : N B 2. A B : N A, MAC AB (N A ) 3. B A : MAC AB (N B ) možný útok prelínanie (interleaving) 1. I B A : N I 2. A I B : N A, MAC AB (N I ) 1*. I A B : N A 2*. B I A : N B, MAC AB (N A ) 3. I B A : MAC AB (N A ) do MAC treba pridať aj identitu odosielateľa resp. príjemcu Zimný semester 2017 Autentifikácia 16

17 Autentifikácia pomocou autentifikačného kódu Obojstranný autentifikačný protokol MAP1 (Bellare-Rogaway) 1. B A : N B 2. A B : N A, MAC AB (A, B, N B, N A ) 3. B A : MAC AB (B, N B ) publikovaný dôkaz bezpečnosti je možné ohroziť súčasným použitím podobného protokolu (EVE1) 1. B A : N B 2. A B : N A, MAC AB (B, A, N B, N A ) 3. B A : MAC AB (B, N B ) Zimný semester 2017 Autentifikácia 17

18 Autentifikácia asymetrickou kryptografiou podobne pre jednostrannú autentifikáciu podpisom 1. B A : N B 2. A B : Sig A (N B ) možný útok preposlaním (man-in-the-middle) 1. B I A : N B 1*. I A : N B 2*. A I : Sig A (N B ) 2. I A B : Sig A (N B ) oprava 1. B A : N B 2. A B : Sig A (N B, B) výzva/odpoveď Zimný semester 2017 Autentifikácia 18

19 Autentifikácia asymetrickou kryptografiou Jednostranná autentifikácia podpisom so súkromným kľúčom A B : T A, B, Sig A (T A, B) časovou pečiatkou A B : cnt A, B, Sig A (cnt A, B) aktuálnou hodnotou počítadla B A : N B výzva/odpoveď A B : N A, N B, B, Sig A (N A, N B, B) (pripojiť niečo k podpisu!) Obostranná autentifikácia A B : T A, B, Sig A (T A, B) B A : T B, A, Sig B (T B, A) časovou pečiatkou (s počítadlom podobne) B A : N B výzva/odpoveď s nonce A B : N A, N B, B, Sig A (N A, N B, B) B A : N B, N A, A, Sig B (N B, N A, A) (je možné paralelizovať) Zimný semester 2017 Autentifikácia 19

20 Autentifikácia asymetrickou kryptografiou Jednostranná autentifikácia šifrovaním verejným kľúčom B A : E A (N B, B) A B : N B Needham-Schroeder (1978) obojstranná autentifikácia 1. A B : E B (N A, A) 2. B A : E A (N A, N B ) (chýba identifikácia odosielateľa) 3. A B : E B (N B ) 1. A I : E I (N A, A) (Lowe 1996) 1*. I A B : E B (N A, A) 2*. B I A : E A (N A, N B ) 2. I A : E A (N A, N B ) 3. A I : E I (N B ) 3*. I A B : E B (N B ) Zimný semester 2017 Autentifikácia 20

21 Ďakujem za pozornosť. Zimný semester 2017 Autentifikácia 21

22 AUTHENTICATION PROTOCOL process of proving one s identity at point in time when communication is actually occurring Alice Bob I am Alice 10 December 2017 J. Jirásek: Automatic tools... 22

23 AUTHENTICATION PROTOCOL process of proving one s identity at point in time when communication is actually occurring Alice Bob Eve I am Alice failure scenario 10 December 2017 J. Jirásek: Automatic tools... 23

24 MORE SECRECY use encryption by Bob s public key Alice Bob { I am Alice, passw } KB 10 December 2017 J. Jirásek: Automatic tools... 24

25 MORE SECRECY use encryption by Bob s public key Alice Bob { I am Alice, passw } KB eavesdropped message Eve { I am Alice, passw } KB replay attack 10 December 2017 J. Jirásek: Automatic tools... 25

26 MORE FRESHNESS use different password each time use timestamps - time synchronization Alice Bob { I am Alice, passw, T } KB 10 December 2017 J. Jirásek: Automatic tools... 26

27 MORE FRESHNESS use Nonces numbers used only once Alice N B Bob { I am Alice, passw, N B } KB Eve??? 10 December 2017 J. Jirásek: Automatic tools... 27

28 AUTHENTICATION PROTOCOL WITHOUT PASSWORDS (NSPK 1978) This is Alice and I have chosen a nonce N A { N A, A } KB Alice Alice believes she is talking with Bob { N A, N B } KA Here is your nonce N A. Since I could read it, I must be Bob. I also have a challenge N B for you. { N B } KB Bob You send me N B. Since only Alice can read this and I sent it back, I must be Alice. Bob believes he is talking with Alice 10 December 2017 J. Jirásek: Automatic tools... 28

29 LOWE ATTACK ON NSPK (1995) { N A, A } KE Eve Eve knows N A, translates it to Bob Alice This is Alice and I have chosen a nonce N A { N A, A } KB Bob { N A, N B } KA Alice believes she is talking with Eve { N B } KE Here is your nonce N A. I have a nonce N B for you. Eve knows also N B Here is your nonce N B. So, I must be Alice. Eve { N B } KB Bob believes he is speaking with Alice 10 December 2017 J. Jirásek: Automatic tools... 29

30 NEEDHAM-SCHROEDER-LOVE (1995) { N A, A } KB This is Alice and I have chosen a nonce N A { N A, N B, B } KA Alice Alice believes she is talking with Bob Here is your nonce N A. Since I could read it, I must be Bob. I also have a challenge N B for you. { N B } KB Bob You send me N B. Since only Alice can read this and I sent it back, I must be Alice. Bob believes he is talking with Alice 10 December 2017 J. Jirásek: Automatic tools... 30

31 ATTACK? { N A, A } KE Eve Eve knows N A, translates it to Bob Alice This is Alice and I have chosen a nonce N A { N A, A } KB Bob { N A, N B, B } KA Alice wants to speak with Eve and waits her name in the answer not believes she is talking with Eve and stops the protocol Here is your nonce N A. I have a nonce N B for you. I am Bob.??? 10 December 2017 J. Jirásek: Automatic tools... 31