Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 2012 -2013 Εξάμηνο: Δ’ Ασφάλεια Υπολογιστών και Προστασία Δεδομένων Ενότητα Ε: Ασφάλεια Δικτύων: Αυθεντικοποιημένη Εδραίωση Κλειδιού και Εφαρμογές
Αυθεντικοποιημένη Εδραίωση Κλειδιού Syllabus 1. Ασφαλής Επικοινωνία – Βασικές Έννοιες & Εργαλεία n 2. Κρυπτογραφικά Πρωτόκολλα Εδραίωσης Κλειδιού n 3. Ορισμοί-Κατηγοριοποίηση-Στόχοι Ασφάλειας Εδραίωση Κλειδιού με Συμμετρικές Τεχνικές n 4. Αυθεντικοποίηση Χρήστη & Μηνύματος, Μυστικότητα Διανομή, Μεταφορά, Συμφωνία Κλειδιού - Εφαρμογές Εδραίωση Κλειδιού με Τεχνικές Δημόσιου Κλειδιού n Μεταφορά, Συμφωνία Κλειδιού - Εφαρμογές 5. Προηγμένα Πρωτόκολλα Εδραίωσης 6. Εφαρμογές A. SSL/TLS (Secure Sockets Layer / Transport Layer Security) B. SSH (Secure Shell) C. IPSec (Internet Protocol Security)
H Alice & ο Bob μπορεί να είναι 1. Ασφαλής Επικοινωνία χρήστες, Η/Υ, Βασικές Έννοιες & Εργαλεία διεργασίες κλπ… Ζητούμενο: Ασφαλής Επικοινωνία Alice Bob Αυθεντικοποίηση Χρήστη: «Με ποιον μιλάω, τώρα? » Αυθεντικοποίηση Μηνύματος: «Ποιος δημιούργησε το μήνυμα που έλαβα? » Ενεργητικός Παθητικός Μυστικότητα (Εμπιστευτικότητα): Εχθρός «Κανείς δεν μπορεί να διαβάσει όσα λέμε εγώ και η Alice» (Mallory) (Eve)
1. Ασφαλής Επικοινωνία Βασικές Έννοιες & Εργαλεία n Ζητούμενο: Ασφαλής Επικοινωνία Σήμερα, η κρυπτογραφία μας προσφέρει ασφαλείς & αποδοτικούς μηχανισμούς για την εκπλήρωση των ιδιοτήτων ασφάλειας: Alice 1. Τεχνικές Πρόκλησης-Απάντησης Αυθεντικοποίηση Χρήστη: 2. Αυθεντικοποίηση με MAC (Αλγόριθμοι: MD 5, SHA-1, …) & Ψηφιακές Υπογραφές (Αλγόριθμοι: DSA, RSA, El. Gamal, … ) 3. Συμμετρική Κρυπτογράφηση (Αλγόριθμοι: AES, 3 DES), Κρυπτογράφηση με Δημόσιο Kλειδί (Αλγόριθμοι: RSA, El. Gamal, …) Bob «Με ποιον μιλάω, τώρα? » Λόγω απόδοσης, Αυθεντικοποίηση Μηνύματος: στην πράξη «Ποιος δημιούργησε το μήνυμα προτιμώνται οι που έλαβα? » Ενεργητικός Παθητικός συμμετρικές Εχθρός Μυστικότητα (Εμπιστευτικότητα): τεχνικές ! «Κανείς δεν μπορεί να διαβάσει όσα λέμε εγώ και η Alice»
2. Πρωτόκολλα Εδραίωσης Κλειδιού Ορισμοί n Το πρόβλημα: Στις συμμετρικές τεχνικές, η Alice και ο Bob μοιράζονται ένα κλειδί Κ. Πώς όμως αποκτούν αυτό το κλειδί; n Γενικότερη διατύπωση: Πώς δύο ή περισσότερες οντότητες αποκτούν από κοινού ένα μυστικό (συμμετρικό) κλειδί για ασφαλή επικοινωνία … n … δηλαδή έναντι παθητικών ή/και ενεργητικών εχθρών • Eve: Υποκλέπτει επικοινων • Mallory: Επιθέσεις πλαστοπροσωπίας και ενδιάμεσης οντότητας
2. Πρωτόκολλα Εδραίωσης Κλειδιού Ορισμοί n Σκοπός: Η εδραίωση ενός εφήμερου ή «φρέσκου» κλειδιού που αποκαλείται κλειδί συνόδου (session key) n Γιατί κλειδιά συνόδου; 1. Περιορισμός των συνεπειών αν ο «εχθρός» βρει ένα κλειδί. 2. Περιορισμός της ποσότητας υλικού που θα χρησιμοποιηθεί για κρυπτανάλυση. 3. Άρση ανάγκης αποθήκευσης πολλών κλειδιών για μεγάλο χρονικό διάστημα. 4. Ανεξαρτησία μεταξύ των συνόδων επικοινωνίας και των δικτυακών εφαρμογών
2. Πρωτόκολλα Εδραίωσης «Φυσική» Εδραίωση Κλειδιού Σενάρια: 1. 2. n H Alice επιλέγει ένα κλειδί και το μεταδίδει στον Bob με φυσικό τρόπο Μια Τρίτη Αρχή επιλέγει ένα κλειδί και το μεταδίδει στους Alice & Bob με φυσικό τρόπο Τα σενάρια 1 και 2, συνήθως εφαρμόζονται για: n Κρυπτογράφηση ζεύξης (link encryption) στο επίπεδο σύνδεσης δεδομένων (π. χ. Wi-fi) n Για κρυπτογράφηση από άκρη-σε -άκρη (end-to-end) στο επίπεδο δικτύου, όχι αποδοτικό n N hosts: Ν(Ν-1)/2 κλειδιά n Τι θα γίνει αν η κρυπτογράφηση γίνει στο επίπεδο εφαρμογής; n 1 κλειδί για κάθε ζεύγος χρηστών ή διεργασιών; n Case: Δίκτυο με εκατοντάδες κόμβους & χιλιάδες διεργασίες!
2. Πρωτόκολλα Εδραίωσης «Φυσική» Εδραίωση Κλειδιού
2. (Λογική) Εδραίωση Κλειδιού Κατηγοριοποίηση n Τρεις περιπτώσεις: 1. Οι Alice & Bob μοιράζονται ήδη ένα κλειδί μακράς ΣΥΜΜΕΤΡΙΚΕΣ ΤΕΧΝΙΚΕΣ διαρκείας (π. χ. password) 2. Οι Alice & Bob μοιράζονται ξεχωριστά κλειδιά μακράς διαρκείας με ένα έμπιστο κέντρο (KDC). 3. Η Alice και ο Bob δεν μοιράζονται κάποιο κλειδί ΤΕΧΝΙΚΕΣ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ
2. (Λογική) Εδραίωση Κλειδιού Κατηγοριοποίηση n Τρεις περιπτώσεις: 1. Οι Alice & Bob μοιράζονται ήδη ένα κλειδί μακράς διαρκείας (π. χ. password) 2. Οι Alice & Bob μοιράζονται ξεχωριστά κλειδιά μακράς διαρκείας με ένα έμπιστο κέντρο (KDC). 3. Η Alice και ο Bob δεν μοιράζονται κάποιο κλειδί Η προτεινόμενη μέθοδος για συστήματα μεγάλης κλίμακας (π. χ. Internet) Σε κλειστά ή/και αυτόνομα συστήματα, τα κλειδιά μακράς διαρκείας (Master keys) χρησιμοποιούνται για την εδραίωση των (εφήμερων) κλειστών συνόδου. Τα Master keys διανέμονται με μη κρυπτογραφικό τρόπο (π. χ. φυσικά)
2. Πρωτόκολλα Εδραίωσης Κλειδιού Κατηγοριοποίηση 1. Πρωτόκολλα Διανομής Κλειδιού (Key Distribution) n Μια έμπιστη οντότητα (KDC) δημιουργεί το κλειδί και το στέλνει στην Alice και τον Bob 2. Πρωτόκολλα Μεταφοράς Κλειδιού (Key transport) n Η Alice (Bob) δημιουργεί ένα κλειδί και το στέλνει στον Bob (Alice) 3. Πρωτόκολλα Συμφωνίας Κλειδιού (Key Agreement) n Η Alice & Bob συνεισφέρουν από κοινού στη δημιουργία του κλειδιού συνόδου
2. Πρωτόκολλα Εδραίωσης Κλειδιού Κατηγοριοποίηση Κρυπτογραφικά Πρωτόκολλα Εδραίωσης Κλειδιού 1. Συμμετρικές Τεχνικές Διανομής: Π 1 -Π 8 Μεταφοράς: Π 9 -Π 10 2. Τεχνικές Δημόσιου Κλειδιού Συμφωνίας: Π 11 -Π 12 Μεταφοράς: Π 14 -Π 18 Πηγή: (Magkos et al, 2011) Συμφωνίας: Π 19 -Π 26
2. Πρωτόκολλα Εδραίωσης Κλειδιού Κατηγοριοποίηση n Σημείωση: Στις συμμετρικές τεχνικές, μπορούμε να εντάξουμε μια επιπλέον κατηγορία 4. Εδραίωση χωρίς σύνδεση με προμοιρασμένα κλειδιά (Offline Key Establishment with Pre -Shared Keys) K K Παράδειγμα (για j συνόδους) Session 1: Κ 1 = Hash(K, n 1) Session 2: Κ 2 = Hash(K, n 2) … Session j: Κj = Hash(K, nj) n: nonce (number used once)
2. Πρωτόκολλα Εδραίωσης Κλειδιού Στόχοι Ασφάλειας 1. 2. Αυθεντικοποίηση Χρήστη (User Authentication) Η αυθεντικοποίηση μπορεί να είναι Αυθεντικοποίηση Κλειδιού μονόδρομη ή αμοιβαία … ένα πρωτόκολλο εδραίωσης (Key Authentication) A. B. θεωρείται ασφαλές αν το κλειδί Εννούμενη Αυθεντικοποίηση που θα προκύψει είναι ανέφικτο (Implicit Key Authentication) να το γνωρίζει/μάθει ένας Ρητή Αυθεντικοποίηση μη εξουσιοδοτημένος χρήστης… (Explicit Key Authentication) 3. Μυστικότητα Κλειδιού (Key Secrecy) 4. Φρεσκάδα Κλειδιού (Key Freshness)
2. Πρωτόκολλα Εδραίωσης Κλειδιού Στόχοι Ασφάλειας 1. Αυθεντικοποίηση Χρήστη Κάθε χρήστης μπορεί να καθορίσει: A. B. Την ταυτότητα του χρήστη με τον οποίο εδραιώνει το κλειδί συνόδου, και 2. Αυθεντικοποίηση Kλειδιού. Ο χρήστης γνωρίζει την ταυτότητα του χρήστη με τον οποίο εδραίωσε το κλειδί A. π. χ. η Alice γνωρίζει ότι μόνον ο Βob μπορεί να έχει πρόσβαση ότι ο έτερος χρήστης είναι ενεργός τη στιγμή που εκτελείται το πρωτόκολλο Γνωστή και ως «Επιβεβαίωση Κλειδιού» Εννούμενη Αυθεντικοποίηση στο κλειδί που εδραιώνεται B. Ρητή αυθεντικοποίηση π. χ. η Alice βεβαιώνεται ότι ο Βοb έχει πρόσβαση στο κλειδί που εδραιώθηκε
2. Πρωτόκολλα Εδραίωσης Κλειδιού Στόχοι Ασφάλειας 3. Μυστικότητα Κλειδιού Μόνον οι εξουσιοδοτημένοι χρήστες έχουν πρόσβαση στο κλειδί συνόδου 4. Φρεσκάδα Κλειδιού Το εδραιωμένο κλειδί πρέπει να είναι καινούριο, δηλ. να μην έχει εδραιωθεί ξανά στο παρελθόν από άλλους χρήστες
2. Πρωτόκολλα Εδραίωσης Κλειδιού Στόχοι Αποδοτικότητας n 1. Ένα πρωτόκολλο εδραίωσης πρέπει να είναι αποδοτικό ως προς τις εξής πολυπλοκότητες: Επικοινωνία: n Ο αριθμός των αποστολών μηνυμάτων (passes), n Alice Bob Ο αριθμός των bit που ανταλλάσσονται (per pass), 2. 3. Υπολογισμοί: ο αριθμός των απαιτούμενων υπολογιστικών πράξεων Αποθήκευση: O απαιτούμενος αποθηκευτικός χώρος που απαιτείται για την εδραίωση Carol
Συμβολισμοί
3. Εδραίωση με Συμμετρικές Τεχνικές 3. Α. Διανομή Κλειδιού - Πρωτόκολλο Π 1 - Απλή διανομή κλειδιού [38] [Popek and Kline, 1979]
3. Εδραίωση με Συμμετρικές Τεχνικές 3. Α. Διανομή Κλειδιού - Πρωτόκολλο Π 2 - Απλή διανομή με ρητή αυθεντικοποίηση
3. Εδραίωση με Συμμετρικές Τεχνικές 3. Α. Διανομή Κλειδιού - Πρωτόκολλο Π 2 Επίθεση Ε 1 - Μία επίθεση πλαστοπροσωπίας στο πρωτόκολλο Π 2 [30]
3. Εδραίωση με Συμμετρικές Τεχνικές 3. Α. Διανομή Κλειδιού - Πρωτόκολλο Π 3 -Αυθεντικοποίηση με εισαγωγή πληροφορίας σχετικής με την ταυτότητα των χρηστών [30]
3. Εδραίωση με Συμμετρικές Τεχνικές 3. Α. Διανομή Κλειδιού - Πρωτόκολλο Π 3 Επίθεση Ε 2 - Μία επίθεση πλαστοπροσωπίας στο πρωτόκολλο Π 3 [30]
3. Εδραίωση με Συμμετρικές Τεχνικές 3. Α. Διανομή Κλειδιού - Πρωτόκολλο Π 4 - Το πρωτόκολλο διανομής των Needham-Schroeder [35] ( Needham and Schroeder, 1978)
3. Εδραίωση με Συμμετρικές Τεχνικές 3. Α. Διανομή Κλειδιού - Πρωτόκολλο Π 4 Επίθεση Ε 3 - Μία επίθεση πλαστοπροσωπίας στο Needham-Schroeder [14] (Denning and Sako, 1981)
3. Εδραίωση με Συμμετρικές Τεχνικές 3. Α. Διανομή Κλειδιού - Πρωτόκολλο Π 5 - Εισαγωγή χρονοσφραγίδων στο πρωτόκολλο Needham-Schroeder [14] (Denning and Sako, 1981, Denning, 1981)
Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001
Η Emily έρχεται στη δουλειά. Εισάγει σε μια φόρμα το Το Σύστημα username και τον κωδικό της πρόσβασης, στις 8. 00 A. M To λογισμικό Kerberos στον Η/Υ της Emily στέλνει το username στην Υπηρεσία Αυθεντικοποίησης (AS) στον Kerberosserver KDC, που με τη σειρά της επιστρέφει στην Emily ένα Εισιτήριο Έκδοσης Εsισιτηρίων (Ticket Granting Ticket – TGT), κρυπτογραφημένο (συμμετρικά) με το password της Emily Η TGS δημιουργεί και στέλνει Αν η Emily έχει δώσει το στην Emily ένα 2 o εισιτήριο, για σωστό password, το TGT την ταυτοποίηση της στον file αποκρυπτογραφείται και η server. To εισιτήριο περιέχει ένα Alice αποκτά πρόσβαση στο κλειδί συνόδου , κρυπτογραφημένο σταθμό εργασίας της με τα κλειδιά που μοιράζεται το Όταν η Emily θελήσει να KDC με Emily & τον server επικοινωνήσει με τον file server, το Kerberos στον Η/Υ της στέλνει μια Το Kerberos εξάγει το κλειδί αίτηση, μαζί με το TGT, στην συνόδου, και αποστέλλει το Υπηρεσία Έκδοσης Εισιτηρίων εισιτήριο στον file server για (Τicket Granting Service – TGS) να αρχίσει η επικοινωνία ! στον KDC.
(Stallings, 2010) Εφαρμογή Νο 2 The Kerberos System (Steiner et al, 1988) The problem : n ”In an open distributed environment users at workstations wish to access services on servers distributed throughout the network. The servers must be able to restrict access to authorized users and to authenticate requests for service. ” n A workstation cannot be trusted to identify users correctly n n n A user may gain access to a particular workstation and pretend to be another user operating from that workstation A user may alter the network address of a workstation and thus impersonate another workstation A user may eavesdrop on exchanges and use a replay attack to gain entrance to a server
(Stallings, 2010) Εφαρμογή Νο 2 The Kerberos System n In a distributed architecture consisting of clients and servers three approaches to security can be envisioned: 1. Rely on each client workstation to assure the identity of its users and rely on each server to enforce security policy based on user identification (ID). 2. Require that client systems authenticate themselves to servers, but trust the client systems concerning the identity of the user. 3. Require the user to prove identity for each service invoked. Require that servers prove their identity to clients. n Third approach is supported by Kerberos:
(Stallings, 2010) Εφαρμογή Νο 2 The Kerberos System n A trusted, centralized auth. server who facilitates authentication of users to servers and servers to users. n There are two versions n Version 4 (Steiner et al, 1988, Miller et al, 1988) is still in common use n Version 5 (1994) (Kohl et al, 1994) (RFC 4120) corrects some deficiencies of version 4 n Kerberos relies exclusively on conventional encryption.
(Stallings, 2010) Εφαρμογή Νο 2 The Kerberos System n The following requirements were listed for Kerberos: 1. Secure: a network eavesdropper should not be able to obtain the required information for impersonating a user. 2. Reliable: Kerberos should employ a distributed server architecture with one system able to back up another. 3. Transparent: the user should not be aware that authentication is taking place, except for the entering of the password. 4. Scalable: the system should have a modular, distributed architecture to support large number of clients and servers.
(Stallings, 2010) Kerberos Version 4 (Steiner et al, 1988, Miller et al, 1988) n We build up to full protocol n A Simple Authentication Protocol n (Bryant et al, 1988) This protocol uses an authentication server (AS) that knows the passwords of each user and shares a secret key with each server. C AS: IDC|| PC || IDV AS C: IDC || Ticket C V: Ticket = E(KV, [IDC|| ADC || IDV]) n Some issues: n Plaintext transmission of password n Number of password uses C = Client AS = authentication server V = server IDC = identifier of user on C IDV = identifier of V PC = password of user on C ADC = network address of C KV= secret encryption key shared by AS and V
(Stallings, 2010) Kerberos Version 4 (Steiner et al, 1988, Miller et al, 1988) A More Secure Authentication Dialogue Once per user logon session: (1) C AS: IDC || IDtgs (2) AS C: E(KC, Tickettgs) Once per type of service: (3) C TGS: IDC || IDV || Tickettgs (4) TGS C: Kc = key derived from user password Tickettgs= Ticket granting ticket Ticketv= Service- granting ticket TS = A time-stamp Ticket. V Once per service session: n (5) C V: IDC || Ticket. V Tickettgs = E(Ktgs, [IDC|| ADC || IDtgs || TS 1 || Lifetime 1] ) Ticket. V = E(KV, [IDC|| ADC || IDV || TS 2 || Lifetime 2]) Issues n n Replays after C logs off & before lifetime is over Servers do not authenticate to Users
The Version 4 Authentication Dialogue Kerberos Version 4 (Steiner et al, 1988, Miller et al, 1988) (Stallings, 2010)
The Version 4 Authentication Dialogue Kerberos Version 4 (Steiner et al, 1988, Miller et al, 1988) (Stallings, 2010)
(Stallings, 2010)
Scalability of Kerberos Realms and Multiple Kerberi n A Kerberos realm, is a full-service environment consisting of a Kerberos server, a number of clients and app servers: 1. 2. n The Kerberos server has the IDs and hashed passwords of all users. All users are registered with the Kerberos server. The Kerberos server shares a secret key with each server. All servers are registered with the Kerberos server. Kerberos supports inter-realm authentication. Extra req: 3. The Kerberos server in each interoperation realm shares a secret key with the server in the other realm. The two kerberos servers are registered with the each other. .
Kerberos & Τομείς Ασφάλειας (Security Domains) Τομέας Ασφάλειας n Μία λογική (logical) Ομάδα από υποκείμενα και αντικείμενα (χρήστες, Η/Υ, συσκευές, προγράμματα & εφαρμογές, δεδομένα, … ) n …που υπακούν σε ένα κοινό σύνολο κανόνων ασφάλειας (i. e. , πολιτική ασφάλειας) n Kerberos: Ο ελεγκτής τομέα συγκεντρώνει τους ρόλους AS και TGS
Τομείς Ασφάλειας (Security Domains) Αρχιτεκτονική Client-Server n Για κάθε τομέα, υπάρχει ένας n server (Domain Controller) όπου: n n μέλη στον τομέα κάνοντας log on, Μια κεντρική ΒΔ (Ενεργός Κατάλογος - Active Directory) περιέχει τους λογαριασμούς & ομάδες χρηστών και Η/Υ Δημιουργούνται & επιβάλλονται Πολιτικές Ασφάλειας του τομέα Οι χρήστες (clients), γίνονται με διαδικασίες SSO n οι n Πολιτικές ομάδων (group policies) n Κριτήρια & Δικαιώματα πρόσβασης n Ρυθμίσεις ασφάλειας Μέσω LAN, WAN, VPN κλπ Λογική σύνδεση
Τομείς Ασφάλειας (Security Domains) -
Τομείς Ασφάλειας (Security Domains) n Μεγάλα συστήματα, συχνά οργανώνονται ιεραρχικά: 1. n Δένδρο Πολλοί Τομείς, με το ίδιο namespace Δάσος (Forrest) Πολλά δένδρα, με διαφορετικά namespaces http: //technet. microsoft. com/
3. Εδραίωση με Συμμετρικές Τεχνικές 3. Α. Διανομή Κλειδιού - Πρωτόκολλο Π 6 - Το πρωτόκολλο διανομής των Otway-Rees [37] (Otway and Rees, 1987)
3. Εδραίωση με Συμμετρικές Τεχνικές 3. Α. Διανομή Κλειδιού - Πρωτόκολλο Π 7 - Το πρωτόκολλο Π 6 με αμοιβαία αυθεντικοποίηση [33]
3. Εδραίωση με Συμμετρικές Τεχνικές 3. Α. Διανομή Κλειδιού - Πρωτόκολλο Π 8 - Το πρωτόκολλο των Bellare-Rogaway [5] (Bellare and Rogaway, 1995)
3. Εδραίωση με Συμμετρικές Τεχνικές 3. Α. Διανομή Κλειδιού - Πλεονεκτήματα & Μειονεκτήματα n Πλεονεκτήματα Αρχιτεκτονικής n n Εύκολη διαχείριση συστήματος Κάθε οντότητα αποθηκεύει ένα μόνον κλειδί μακράς διαρκείας n Μειονεκτήματα Αρχιτεκτονικής n Υψηλή εμπιστοσύνη στον Trent n Υψηλός φόρτος για τον Trent
3. Εδραίωση με Συμμετρικές Τεχνικές 3. Β. Μεταφορά Κλειδιού - Πρωτόκολλο Π 9 - Απλή μεταφορά κλειδιού [22] (ISO/IEC 11770 -2: 1996)
3. Εδραίωση με Συμμετρικές Τεχνικές 3. Β. Μεταφορά Κλειδιού - Πρωτόκολλο Π 10 - Απλή μεταφορά κλειδιού με πρόκληση-απάντηση [33]
3. Εδραίωση με Συμμετρικές Τεχνικές 3. C. Συμφωνία Κλειδιού - Πρωτόκολλο Π 11 -To πρωτόκολλο ΑΚΕP 2 [4] (Bellare and Rogaway, 1993) ΚS = Hash(K’AB, NA, NB)
3. Εδραίωση με Συμμετρικές Τεχνικές 3. C. Συμφωνία Κλειδιού - Πρωτόκολλο Π 12 - Συμφωνία κλειδιού με χρονοσφραγίδες ΚS = Hash(k. A, k. B)
3. Εδραίωση με Συμμετρικές Τεχνικές 3. C. Συμφωνία Κλειδιού - Πρωτόκολλο Π 13 - Συμφωνία κλειδιού με πρόκληση-απάντηση
4. Εδραίωση με Ασύμμετρες Τεχνικές 4. Α. Μεταφορά Κλειδιού - Η ιδέα του Merkle (Merkle, 1978) 1. 2. Η Alice φτιάχνει μια ΒΔ με 1. 000 κλειδιά και αντίστοιχους (μοναδικούς) σειριακούς αριθμούς Η Alice κρυπτογραφεί κάθε ζεύγος της ΒΔ με διαφορετικά κλειδιά μικρού μήκους (π. χ 20 bit) Τυχαία σειρά
4. Εδραίωση με Ασύμμετρες Τεχνικές 4. Α. Μεταφορά Κλειδιού - Η ιδέα του Merkle (Merkle, 1978) 3. Η Alice στέλνει στον Bob 1. 000 κρυπτογραφημένα μηνύματα 4. Ο Bob επιλέγει στην τύχη ένα μήνυμα και εξαπολύει μια επίθεση brute force n 5. π. χ. 1 ώρας διάρκεια O Bob ανακτά π. χ. το ζεύγος (1 yt 8 a 42 x 35 | 500, 121) 6. O Bob επικοινωνεί με την Alice: της λέει να χρησιμοποιήσει το κλειδί που αντιστοιχεί στο 500. 121 Ασυμμετρία ! Η Eve δεν ξέρει πιο από τα κρυπτογραφημένα μηνύματα περιέχει το κλειδί που επέλεξε ο Bob !! ! Η Eve θα πρέπει να «σπάσει» κατά μέσο όρο 219 ~ 500. 000 μηνύματα !!! π. χ. 500. 000 ώρες εργασίας
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4. Α. Μεταφορά Κλειδιού - Πρωτόκολλο Π 15 -Ένα απλό πρωτόκολλο μεταφοράς κλειδιού [39, 33] (Merkle, 1979, Kohnfelder 1978, p. 5)
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4. Α. Μεταφορά Κλειδιού - Πρωτόκολλο Π 15 n Στην απλή του μορφή το Π 15 είναι ευπαθές σε επιθέσεις MITM (Rivest & Shamir, 1984)
Εφαρμογή Νο 3 SSL 3. 0 (Secure Sockets Layer) Το ΔΚ της CA είναι πιθανώς προεγκατεστημένο, κατά την εγκατάσταση του λογισμικού πλοήγησης … NA … NB , Sig. CA(PKB) EPKB[ΚΑ] ΚS = Hash(KA, NA, NB) Master Secret Pre-master Secret Master Secret
O “διάδοχος” του SSL TLS (Transport Layer Security) … NA … NB , Sig. CA(PKB) Sig. A(EPKB[ΚΑ], …), Sig. CA(PKA) ΚS = Hash(KA, NA, NB)
Εφαρμογή Νο 4 Κινητή Τηλεφωνία: WAP & WTLS SSL Web Server Internet Gateway
Εφαρμογή Νο 5 ΙΕΕΕ 802. 11 i (Ασύρματα Τοπικά Δίκτυα) Mobile client Enterprise network Εδραίωση Κλειδιού σε WLANS (EAP-TLS) Radius Authentication Server
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4. Α. Μεταφορά Κλειδιού - Πρωτόκολλο Π 16 -Μεταφορά κλειδιού με αυθεντικοποίηση οντότητας [23]
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4. Α. Μεταφορά Κλειδιού - Πρωτόκολλο Π 17 -Μεταφορά κλειδιού με αυθεντικοποίηση οντότητας [23] (ISO/IEC 11770 -3, 1999)
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4. Α. Μεταφορά Κλειδιού - Πρωτόκολλο Π 18 -Μεταφορά κλειδιού με αμοιβαία αυθεντικοποίηση [33]
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4. B. Συμφωνία Κλειδιού - Πρωτόκολλο Π 19 -Συμφωνία κλειδιού με αμοιβαία αυθεντικοποίηση [35] (Needham & Schroeder, 1978) ΚS = Hash(k. A, k. B)
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4. B. Συμφωνία Κλειδιού - Πρωτόκολλο Π 20 - Τροποποίηση του πρωτοκόλλου Π 19 [33]
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4. B. Συμφωνία Κλειδιού - Πρωτόκολλο Π 21 - Παραλλαγή του πρωτοκόλλου Needham-Schroeder [35] (Needham & Schroeder, 1978)
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4. B. Συμφωνία Κλειδιού - Πρωτόκολλο Π 22 - Μια απλοποίηση του Π 21 [35] (Needham & Schroeder, 1978)
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4. B. Συμφωνία Κλειδιού - Πρωτόκολλο Π 22 Επίθεση E 4 - H επίθεση του Lowe στο πρωτόκολλο Π 22 [30]
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4. B. Συμφωνία Κλειδιού - Πρωτόκολλο Diffie-Hellman (Diffie &Hellman, 1976) Πρωτόκολλο Π 23 - Το πρωτόκολλο Diffie-Hellman [15] n Εφαρμογές: Ο αλγόριθμος και οι παραλλαγές του χρησιμοποιούνται σήμερα ευρέως σε δημοφιλείς εφαρμογές: π. χ. IPSec, SSH, SSL/TLS, …
John Hershey. Cryptography Κρυπτογραφία Δημόσιου Κλειδιού Demystified. Mc. Graw-Hill Professional, 2003 To Πρωτόκολλο Diffie-Hellman – Ένα παράδειγμα Παράμετροι συστήματος p= 101, g=3 a=5 b=6 Όλες οι πράξεις γίνονται mod p g και p: Παράμετροι συστήματος ΓΝΩΣΤΕΣ ΣΕ ΟΛΟΥΣ
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4. B. Συμφωνία Κλειδιού - Πρωτόκολλο Π 23 Επίθεση E 5 - Μία επίθεση ενδιάμεσης οντότητας (MITM) στο DH [30]
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4. B. Συμφωνία Κλειδιού - To Πρωτόκολλο STS [16] Πρωτόκολλο Π 24 - Το πρωτόκολλο Station to Station (STS) [16] (Diffie et al, 1981)
Εφαρμογή Νο 6: Virtual Private Networks (VPNs) IPSec - Το πρωτόκολλο IKE (Internet Key Exchange) m 1 A, (ga mod p) A B, (gb mod p), Sig. B(m 1, m 2), Cert. B m 2 Sig. A(m 1, m 2), Cert. A B
Εφαρμογή Νο 7: Secure Shell (SSH) Εδραίωση Κλειδιού στο πρωτόκολλο SSH m 1 A, (ga mod p) A B, (gb mod p), Sig. B(m 1, m 2) m 2 Αυθεντικοποίηση χρήστη (π. χ. αποστολή password, κρυπτογραφημένου με το Ks) B
Εφαρμογή Νο 7: Bluetooth v. 2. 1 Εδραίωση Κλειδιού στο Bluetooth Elliptic Curve Diffie-Hellman (ECDH) Key Exchange n. Let’s pair n. PKb Device A n. PKa n. DHkey. A = a PKb Device B n. DHkey. B = b PKa n. DHkey. A = a PKb = a b G = b a G = b PKa = DHkey. B http: //www. aladdin. com/blog/pdf/Andrew. Lindell-Black. Hat 08. ppt
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4. B. Συμφωνία Κλειδιού - Πρωτόκολλο Π 25 - Το πρωτόκολλο εδραίωσης κλειδιού X. 509 [34]
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού 4. B. Συμφωνία Κλειδιού - Πρωτόκολλο Π 26 - Το πρωτόκολλο Π 25 με πρόκληση-απάντηση [34]
![5. Προηγμένα Πρωτόκολλα Εδραίωσης H Οικογένεια Πρωτοκόλλων MTI [31] Πρωτόκολλο Π 27 - To](https://present5.com/presentation/0531869640c84d8d7c337b46d2dba894/image-80.jpg "5. Προηγμένα Πρωτόκολλα Εδραίωσης H Οικογένεια Πρωτοκόλλων MTI [31] Πρωτόκολλο Π 27 - To")
5. Προηγμένα Πρωτόκολλα Εδραίωσης H Οικογένεια Πρωτοκόλλων MTI [31] Πρωτόκολλο Π 27 - To πρωτόκολλο συμφωνίας MTI/A 0 [31] (Matsumoto et al, 1986)
![5. Προηγμένα Πρωτόκολλα Εδραίωσης Το πρωτόκολλο ΕΚΕ (Encrypted Key Exchange) [7] Πρωτόκολλο Π 29:](https://present5.com/presentation/0531869640c84d8d7c337b46d2dba894/image-81.jpg "5. Προηγμένα Πρωτόκολλα Εδραίωσης Το πρωτόκολλο ΕΚΕ (Encrypted Key Exchange) [7] Πρωτόκολλο Π 29:")
5. Προηγμένα Πρωτόκολλα Εδραίωσης Το πρωτόκολλο ΕΚΕ (Encrypted Key Exchange) [7] Πρωτόκολλο Π 29: Το πρωτόκολλο ΕΚΕ [7] (Bellovin and Merritt, 1992)
![5. Προηγμένα Πρωτόκολλα Εδραίωσης Το πρωτόκολλο ΕΚΕ 2 [3] Πρωτόκολλο Π 30: Το πρωτόκολλο](https://present5.com/presentation/0531869640c84d8d7c337b46d2dba894/image-82.jpg "5. Προηγμένα Πρωτόκολλα Εδραίωσης Το πρωτόκολλο ΕΚΕ 2 [3] Πρωτόκολλο Π 30: Το πρωτόκολλο")
5. Προηγμένα Πρωτόκολλα Εδραίωσης Το πρωτόκολλο ΕΚΕ 2 [3] Πρωτόκολλο Π 30: Το πρωτόκολλο ΕΚΕ 2 [3] (Bellare et al, 2000)
5. Προηγμένα Πρωτόκολλα Εδραίωσης Εδραίωση Κλειδιού Ομάδας στο DH n n (Ingemarsson et al, 1982) Πώς μπορούν 3 ή περισσότεροι χρήστες να συμφωνήσουν σε ένα κοινό κλειδί K … … Χρησιμοποιώντας το πρωτόκολλο DH; Group Key Agreement Alice Bob Carol
5. Προηγμένα Πρωτόκολλα Εδραίωσης Εδραίωση Κλειδιού Ομάδας στο DH n n (Ingemarsson et al, 1982) Πώς μπορούν 3 ή περισσότεροι χρήστες να συμφωνήσουν σε ένα κοινό κλειδί K … … Χρησιμοποιώντας το πρωτόκολλο DH; Group Key Agreement Alice Bob Carol
5. Συνοψίζοντας Συμμετρικά Πρωτόκολλα vs Πρωτόκολλα ΔΚ Εδραίωση με Συμμετρικά Συστήματα n 1. ΥΠΕΡ Απόδοση (κόστος υπολογισμών, χωρητικότητας, αποθήκευσης) n Απαιτούν προ-συμφωνημένα μυστι -κά (με άλλους κόμβους ή με το KDC) Διαχείριση κλειδιού σε συστήματα μεγάλης κλίμακας: Δύσκολη ΥΠΕΡ 1. Δεν απαιτούν την ύπαρξη προεγκατεστημένων μυστικών, ούτε ενός πλήρως έμπιστου, online KDC 2. Ιδανικά για συστήματα μεγάλης κλίμακας και δυναμικής τοπολογίας 3. Μη αποποίηση ευθύνης (ψηφιακές υπογραφές) ΚΑΤΑ n n ΚΑΤΑ Εφαρμογή σε κατανεμημένα και δυναμικά περιβάλλοντα: Δύσκολη 1. Στα συστήματα διανομής, το KDC αποτελεί μοναδικό σημείο αποτυχίας Απόδοση (κόστος υπολογισμών, χωρητικότητας, αποθήκευσης) 2. Διαχείριση κλειδιού (Υποδομές δημόσιου κλειδιού- PKI) n 2. Εδραίωση με Συστήματα ΔΚ
Εφαρμογές
A Classification of Threats on the Web (Stallings, 2010) *
Relative Location of Security Facilities in the TCP/IP (Stallings, 2010), * (Katz, 2010)* Protocol Stack n Ασφάλεια στο Επίπεδο Εφαρμογής (S/MIME, PGP, Kerberos, …) n n Ασφάλεια στο Επίπεδο «above TCP» (SSH, SSL/TLS) n n Διαφάνεια, προστασία όλων των εφαρμογών, (host-to-host) Ασφάλεια στο Επίπεδο MAC (Data Link) (WPA, IEEE 802. 11 i, …) n n Ασφάλεια “end-to-end” (app-to-app) Ασφάλεια στο Επίπεδο IP (IPSec) n n Σχεδιασμός εξειδικευμένων υπηρεσιών ασφάλειας (user-to-app) … “hop-by-hop” security; WLAN & Cellular security (NIC-to-NIC)
What Layer? n (Basin, 2005) * (Kaufman, 2002) * For most implementations of IP stacks Ø Ø 1. Transport layer and below implemented in operating system. Above transport layer implemented in user process. SSL/TLS (or SSH) n 2. OS doesn’t change, applications do. IPsec: n OS changes. Applications unchanged.
Secure Socket Layer and Transport Layer Security (Stallings, 2010), * (Katz, 2010) * n Goal: Reliable, end-to-end security n Best for: Connection-oriented sessions n User: Users not necessarily involved n OS: Not necessarily modified n App: Easy to modify apps to use SSL n Current version: SSL v 3, also known as TLS (Transport Layer Security): n Internet Standard (RFC 5246) *
SSL Record Protocol (Stallings, 2010) * n SSL Record provides two services for SSL connections: n n Confidentiality: Handshake defines a shared key for encrypting SSL payloads Message Integrity: Handshake defines a shared key for MAC
SSL Handshake Protocol (Stallings, 2010)*
SSL Handshake Protocol (Stallings, 2010)* Phase 1. Establish Security Capabilities n Key exchange method (cipher suite) 1. RSA key transfer: session key encrypted with receiver’s PK (cert is available) 2. Fixed Diffie-Hellman: Cert contains DH public-key (fixed key) signed by CA 3. Ephemeral Diffie-Hellman: sign (RSA or DSS) & send ephemeral DH keys 4. Anonymous Diffie-Hellman: Use the base DH key agreement algorithm
SSL Handshake Protocol (Stallings, 2010)* Phase 2. Server Auth and Key Exchange n Cert not required for anonymous DH n Server_key_exchange not required if: 1. Fixed DH (cert already contains key) 2. RSA key transfer is to be used n Server_key_exchange may be needed in: 1. Anonymous DH: Send global values (p, g) and the server’s public DH key 2. Ephemeral DH: the values above, signed with server’s private key 3. RSA key transfer in which the server has a signature-only RSA key: n n Server creates a temporary key pair, then signs & sends pk (exponent & modulus) Signature also contains nonces so far:
SSL Handshake Protocol (Stallings, 2010)* Phase 3. Client Auth and Key Exchange n Server may also ask a client cert (TLS) n Content of client_key_exchange: 1. 2. Ephemeral or Anonymous DH: The client’s public DH parameters 3. n RSA key transfer: Client generates a 48 -byte pre_master_secret & encrypts with server’s public key Fixed DH: content null (DH parameters were sent in the certificate message) Certificate_verify is sent only if client’s cert has a signing capability: n Goal: prove possession of private key
SSL Handshake Protocol (Stallings, 2010)* Phase 4. Finish n Completion of setting up a connection n Finished message verifies that auth and key exchange were successful n Concatenation of two hashes:
SSL Handshake Protocol (Stallings, 2010)* Master Secret Creation n It is built upon a pre_master_secret, which, has already been built in 2 ways: 1. RSA key transfer: pre_master is sent by client, encrypted with server’s pk 2. Diffie-Hellman: pre_master_secret is the established DH key n Both sides now compute master_secret: n In TLS, master_secret is computed as:
SSL Handshake Protocol (Stallings, 2010)* Generation of Cryptographic Parameters n Cipher. Specs requires: n n A server write MAC secret n A client write key and IV n n A client write MAC secret A server write key and IV How? n Hash master_secret until enough output is generated:
* * (Brown, 2011) * Transport Layer Security (RFC 5246) (Stallings, 2010) n Similar to SSLv 3 with minor differences n record format version number n uses HMAC for MAC n a different pseudo-random function n has additional alert codes n some changes in supported ciphers n changes in certificate types & negotiations n changes in crypto computations & padding
Transport Layer Security (RFC 5246)* (Stallings, 2010)*
HTTP Secure (HTTPS) HTTP over SSL/TLS (Stallings, 2010)* (Brown, 2011)* Motivation n HTTP: subject to man-in-themiddle and eavesdropping attacks Solution n Goal n Encrypted communication & identification of (at least) Web server over an insecure network Use ordinary HTTP over an SSL/TLS connection n n * Documented in RFC 2818 HTTPS: a URI scheme * n n n URLs begin with https: // Use port 443 Used in: n n User access with passwords n Secure mail, n https: //www. owasp. org/index. php/Man-in-the-middle_attack Payment transactions Corporate Intranet, …
HTTP Secure (HTTPS) HTTP over SSL/TLS (Stallings, 2010) * (Brown, 2011) * Information that HTTPS encrypts: URL, document contents, form data, cookies, HTTP headers The attacker can only know the fact that a connection takes place between two hosts with known domain names and IP addresses
HTTP Secure (HTTPS) HTTP over SSL/TLS (Stallings, 2010)* Client Authentication n HTTPS can also be used for controlling access to a web server Ø n Each user loads cert to browser Ø Typically, the certificate contains name and e-mail address of user Certificate revocability n Admin builds a cert for each user Ø Other Issues n n Browser should check whether a cert is still valid Implement Online Certificate * Status Protocol (OCSP)(RFC 2560) Software security issues * * (Browser and Server) ,
Εφαρμογές Κινητή Τηλεφωνία: WAP & WTLS SSL Web Server Internet Gateway
Εφαρμογές ΙΕΕΕ 802. 11 i (Ασύρματα Τοπικά Δίκτυα) Mobile client Enterprise network Εδραίωση Κλειδιού σε WLANS (EAP-TLS) Radius Authentication Server
Secure Shell (SSH) (Stallings, 2010) n n * Initial version (SSH 1) to replace TELNET & other insecure schemes Today, SSH provides a general client-server capability n Remote login, file transfer, mail, … Motivation: (old) Telnet sessions are unencrypted ! http: //www. ibm. com/developerworks/aix/library/au-sshsecurity / * n Current version: SSH 2 * (RFCs 4250 -4256)
* Secure Shell (SSH) Transport Layer Protocol * A. Host Keys n Server auth occurs here * Ø Ø n Server possesses public/private key pair Client must have a priori knowledge of the server’s public host key Two alternative trust models: * 1. Client has a local database that associates a host name with a pk 2. Host name-to-key certified by a CA (client knows CA’s root key)
Secure Shell (SSH) (Stallings, 2010) * Transport Layer Protocol * B. Packet Exchange *
Secure Shell (SSH) (Stallings, 2010) * Transport Layer Protocol * B. Packet Exchange Steps of SSH Transport Layer 1. Identification string exchange n These strings are used in the DH key exchange later 2. Algorithm negotiation n * Key exchange, encryption, MAC, compression 3. Key exchange n Diffie-Hellman key exchange
Secure Shell (SSH) (Stallings, 2010) * Transport Layer Protocol * *
Secure Shell (SSH) (Stallings, 2010) * Transport Layer Protocol *– DH Key Exchange *
Secure Shell (SSH) (Stallings, 2010) * Transport Layer Protocol * n Subsequent to DH key exchange, all data is exchanged as the payload of an SSH packet, protected by encryption and MAC * C. Key Generation n All needed keying material is generated from established DH key:
Secure Shell (SSH) (Stallings, 2010) * User Authentication Protocol * Three authentication methods: 1. Public-key: Client sends a public key and a signature on a message n Typically , user supplies a passphrase to decrypt signature key 2. Password: Client sends password, encrypted by TLP 3. Host-based: Host locally authenticates (multiple) user(s), then signs a message with host’s private key
Secure Shell (SSH) (Stallings, 2010) * Connection Protocol * n n n Assumes a secure authentication connection (tunnel) Uses the tunnel to multiplex a number of logical channels All types of SSH communication use separate channels n n Either side may open a channel with unique id number Channels are flow controlled using a window mechanism http: //docstore. mik. ua/orelly/networking_2 nd. Ed/ssh/ch 03_05. htm
Secure Shell (SSH) (Stallings, 2010) * Connection Protocol * n Life of a channel has 3 stages: 1. Opening a channel, 2. Data transfer, 3. Closing a channel
Secure Shell (SSH) (Stallings, 2010) * Connection Protocol * n Channel types: 1. Session n 2. Local port forwarding n n 3. Remote execution of a program (shell, file transfer, mail, …) SSH client “listens” and intercepts selected app-level traffic and redirects it to SSH tunnel Examples: POP 3, SMTP, HTTP, … Remote port forwarding n Tunnel initiated on server side, goes back through client machine * Port forwarding services are also known as SSH tunneling
Secure Shell (SSH) (Stallings, 2010) * Local Port Forwarding Case: Use a local mail client to get mail from mailserver via POP 3 *, *, * * Unprotected session
Secure Shell (SSH) (Stallings, 2010) * Remote Port Forwarding *, *, * Case: You wish to access a server at work from home (server is behind a firewall)
Internet Protocol Security (IPsec) Motivation n An enterprise can run a secure, private network over Internet 1. Encrypt packets that leave/enter the premises 2. Authenticate packets that leave/enter the premises (Stallings, 2010) * Security at the IP level n n Protect all apps (with or without security mechanisms!) Transparent to end users
IPsec (Stallings, 2010)* Applications of IPsec 1. Branch connectivity n 2. Secure remote access n 3. Company builds a secure VPN over Internet or public WAN User calls local ISP & gains secure access to company network Extranet & Intranet connectivity n Secure communication with other organizations and/or other departments within enterprise • http: //www. digi-cube. com/images/client 2 network_vpn. gif
IPsec (Stallings, 2010)* Rooting Applications (Stallings, 1996)* n IPsec can assure that: Ø Ø A router advertisement comes from an authorized router A neighbor advertisement comes from an authorized router A redirect message* comes from a router to which packet was sent A routing update is not forged http: //www. cisco. com/en/US/tech/tk 365/technologies_white_paper 09186 a 0080094 e 9 e. shtml
To πρότυπο IPsec (Stallings, 2010)* n IPsec Services (RFC 4301) * n n Connectionless integrity n Data origin authentication n Rejection of replay packets 1. n Confidentiality n n n Access Control Traffic flow confidentiality Two (2) protocols are used: 1. AH (Authentication Header) n 2. (Heidari, 2004) * n Only protect IP packet payload (protect upper layer protocol) Case: E 2 E between 2 hosts 2. * Tunnel mode n * Authentication & Integrity Confidentiality (& optional authentication / integrity) Transport mode n ESP (Encapsulation Sec. Payload) n AH and ESP support two modes: Protects the entire IP packet n n Case: A number of endnodes (without IPsec installation) on networks between firewalls Case 2: endnode to firewall
To πρότυπο IPsec (Stallings, 2010)*
IPsec Architecture (Stallings, 2010)*
IPsec Architecture (Stallings, 2010)*
IPsec Architecture (Stallings, 2010)*
IPsec Architecture (Stallings, 2010)*
Encapsulating Security Payload (ESP) (Stallings, 2010)*
Encapsulating Security Payload (ESP) Transport and Tunnel mode (Stallings, 2010)*
ESP (Stallings, 2010)* Transport and Tunnel modes n Transport mode n Confidentiality & integrity for any app n (no need to implement confidentiality in an app separately) o n Traffic analysis on transmitted packets ! Tunnel mode n n Counter traffic analysis Simplifies key distribution
Encapsulating Security Payload (ESP) Transport and Tunnel mode (Stallings, 2010)*
ESP & AH Transport Packet layout IP Header ESP Header Tunnel Packet layout IP Header ESP Header IP Header Απροστάτευτο Payload (TCP, UDP, etc) Payload (TCP. UDP, etc) Προστατευμένο Note: In transport mode, AH is better than ESP with authentication, since AH also provides integrity protection for some fields inside the IP header (although this can also be offered by ESP tunnel mode)
Ipsec - Combining Security Associations (Stallings, 2010) *
IP Security (Stallings, 2010) * IKE (Internet Key Exchange)(RFC 4306) * Goal n Mutually authenticated session key(s) establishment Protocol n A variarion * of DH key exchange with extra features 1. Nonces to prevent replay 3. Mutual authentication, to thwart MITM attacks 4. Optional anonymity Three authentication methods: 1. Public signatures keys. Sign hashes of previous messages 2. Public encryption keys. Encrypt challenges with responder’s PK 3. Symmetric key encrypt. Use an out-of-band established key Cookies, to thwart clogging* 2. Cookie: a hash over IP (src, dest) addresses, UDP (src, dest) ports, & a locally generated secret value
Internet Key Exchange (Stallings, 2010) Clogging attacks & Cookies n * (Sun, 2011) * Clogging attacks n Opponent forges legitimate IP & sends a public DH key to victim; Victim performs modular exponentiation to compute the DH key; n Repeated messages of this type can clog the victim’s system with useless work. n Suggestion: Cookies n n When receiving request from S, send cookie to S; start processing after cookie comes back from the initiator Stateless Cookies n Responder does not have to remember cookies he sent out; Cookie is a function of e. g. , IP address and a secret known to responder
Internet Key Exchange (Stallings, 2010) Clogging attacks & Cookies (Sun, 2011) * *
IPSec (Kaufman, 2002) * Case: the Photuris Protocol (candidate for IKE) { } –encryption with the established DH key Anonymous DH with identity hiding and stateless cookies
IKE Phase 1 (Kaufman, 2002) * Aggressive Mode Proof I’m Bob/Alice: (a) I prove I know the key associated to my identity (e. g. , private signature key, private decryption key, pre-shared key) (b) Integrity-protect the previous messages
IKE Phase 1 (Kaufman, 2002) * Main Mode + cookies
IKE Phase 1 (Kaufman, 2002) * Public Signature Keys, Main Mode
IKE Phase 1 (Kaufman, 2002) * Public Signature Keys, Aggressive Mode
IKE Phase 1 (Kaufman, 2002) * Public Encryption Keys, Main Mode, Original
IKE Phase 1 (Kaufman, 2002) * Public Encryption Keys, Aggressive Mode, Original
IKE Phase 1 (Kaufman, 2002) * Public Encryption Keys, Main Mode, Revised
IKE Phase 1 (Kaufman, 2002) * Public Encryption Keys, Aggressive Mode, Revised
IKE Phase 1 (Kaufman, 2002) * Pre-Shared Secret Keys, Main Mode
IKE Phase 1 (Kaufman, 2002) * Pre-Shared Secret Keys, Aggressive Mode
IP Security (Stallings, 2010) * Cryptographic Suites
Скачать презентацию Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 2012 -2013
0531869640c84d8d7c337b46d2dba894.ppt