Avainten hallinta Pekka Partanen TM 02 S

Avainten hallinta • Pekka Partanen, TM 02 S, 0202679 • Jukka Kivistö, TP 01 S, 9902133 • Mikko Huilaja, TP 01 S, 0101496

Avainten jakelu –symmetrinen salaus • Symmetrisessä salausjärjestelmässä: – – – kahdella osapuolella on yhteinen salainen avaimet on vaihdettava säännöllisesti jos verkossa on n osapuolta joiden välillä tarvitaan päästä-päähän salattu yhteys, niin avaimia tarvitaan n(n-1)/2 kappaletta kerrallaan -> suuri avainten tarve • Avaintenjakelu osapuolten A ja B välillä: 1. A valitsee avaimen ja välittää sen manuaalisesti B: lle 2. Kolmas osapuoli C valitsee avaimen ja välittää sen manuaalisesti sekä A: lle että B: lle 3. Jos A: lla ja B: llä on yhteinen salainen avain, toinen osapuoli valitsee uuden avaimen, salaa sen, ja lähettää toiselle 4. Jos sekä A: lla että B: llä on kryptattu yhteys kolmanteen osapuoleen C, tämä valitsee uuden avaimen, salaa sen ja lähettää sitten sekä A: lle että B: lle

Avainten jakelu –symmetrinen salaus • Tavat 1 ja 2 edustavat ns manuaalista avaimenvälitystä: – – sopii kohtalaisen hyvin linkkiyhteyssalaukseen kukin väli kuljettaa tietoa yhdestä solmusta toiseen • Vaihtoehto 3: – – sopii sekä linkkiyhteys- että päästä päähän –salaukseen mikäli vastapuoli saa käsiinsä yhden avaimen, kaikki sen jälkeen käytetyt avaimet ovat vaarassa paljastua • Vaihtoehto 4: – – yleinen tapa päästä päähän –salauksessa kolmas osapuoli C on ns Avaintenjakelukeskus KDC (Key Distribution Center KDC)

Avainten jakelu –symmetrinen salaus • Avaintenjakelukeskus KDC: – – – jokaisen käyttäjän ja KDC: n välillä on oma salainen avain ns pääavain KDC tuottaa ja toimittaa istuntoavaimia Istuntoavain on väliaikainen avain jota käytetään yhden yhteydenpidon (istunnon) aikana. jos käyttäjiä on n kappaletta, niin tarvitaan n pääavainta ja n(n-1)/2 istuntoavainta pääavaimen jakelu tulee myös hoitaa jotenkin esim. manuaalisesti

Avainten jakelu –symmetrinen salaus • Avaintenjakelukeskus KDC esimerkki: 1. 2. 3. 4. 5. A haluaa yhteyden B: hen ja pyytää KDC: ltä istuntoavainta. Pyyntö sisältää viestin m, A: n ja B: n identiteetit ida ja idb, sekä kertakäyttötunnisteen n 1 KDC vastaus sisältää istuntoavaimen ks, viestin m, kertakäyttötunnisteen n 1, ja B: tä varten lähetettävän viestin Ekb(ks, ida). Viestin m ja tunnisteen n 1 ansiosta A tietää että viesti on oikea eikä se ole muuttunut A varastoi istuntoavaimen ks ja lähettää B: lle viestin Ekb(ks, ida). B saa tietää istuntoavaimen ja että viesti on A: lta sekä sen että istuntoavain on KDC: stä B lähettää A: lle Eks(n 2) viestin, jossa n 2 on kertakäyttötunniste. A vastaa viestillä Eks(f(n 2)), jossa f on annettu muunnosfunktio. Siten B voi varmistua siitä että kohdan 3 viesti ei ole uusinta. A KDC B 1. Eka(m, ida, idb, n 1) ks 2. Eka(ks, m, n 1, Ekb(ks, ida)) 3. Ekb(ks, ida) 4. Eks(n 2) 5. Eks(f(n 2)) ks

Avainten jakelu –symmetrinen salaus • Avaintenjakelu voi tapahtua myös hierarkisesti: – keskenään kommunikoivia avaintenjakelukeskuksia voi laajassa verkossa olla usealla tasolla • Mitä useammin istuntoavaimia vaihdetaan, sen turvallisempaa on kommunikointi • Avainjakelu viivästyttää istunnon alkamista ja rasittaa resursseja • Istuntoavaimia voi olla erilaisia eri tarpeisiin – – – viestinsalausavaimet PIN –koodin salausavaimet tiedostonsalausavaimet • DES järjestelmässä avaimessa (64 bittiä) joka 8 bitti on varattu avaimen kuvausta varten. – – – 8. bitti onko pää- vai istuntoavain 16. bitti voidaanko avainta käyttää salaamiseen 24. bitti voidaanko avainta käyttää avaamiseen

Avainten jakelu –julkisen avaimen menetelmä (PKI) • PKI –Public Key Infrastructure • Julkisen avaimen jakelutavat – – julkinen ilmoitus julkisesti saatavilla oleva hakemisto PK-viranomainen (Public Key) PK-sertifikaatti • Julkinen ilmoitus – – avaimenhaltija jakaa itse julkisen avaimensa esim. sähköpostin, kotisivun tai jonkun julkisen foorumin kautta heikkouksia: väärentäminen helppoa • Julkisesti saatavilla oleva hakemisto – – jokin julkinen laitos tai viranomainen ylläpitää hakemistoa, johon halukkaat voivat ilmoittaa henkilötietonsa ja julkisen avaimensa heikkouksia: hakemiston suojeleminen voi olla vaikeaa

Avainten jakelu –julkisen avaimen menetelmä (PKI) • PK-viranomainen – – ylläpitää hakemistoa ja julkisia avaimia jaetaan vain hakemistoon kuuluville heikkouksia: hieman työläs, viranomainen voi olla pullonkaula • PK-sertifikaatti – – viranomainen myöntää julkiselle avaimelle sertifikaatin, joka sisältää anojan julkisen avaimen ja varmenteen perusteella voidaan vakuuttua siitä että sertifikaatti on alkuperäinen (esim. julkinen avain ei luvattomasti muuttunut) • PKI –järjestelmän keskeiset toiminnot avaintenhallinnan kannalta – – – julkisen avaimen sertifikaatit (säilytys, kumoaminen, ylläpito) avainten varmuuskopiointi ja palauttaminen tuki digitaalisen allekirjoituksen kiistämättömyydelle avainhistorian ylläpito tuki ristiinvarmennukselle PKI toimintoja luotettavasti tukeva työasemaohjelmisto

Avaintenhallinta-protokollat

Suojattu yhteys Liitokset IKMP ISAKMP Manulaalinen avaintenhallinta IKEv 2 JFK Oakley SKEME IPsec

IKE: n dokumentaation alkuteksti • This document describes a protocol using part of Oakley and part of SKEME in conjunction with ISAKMP to obtain authenticated keying material for use with ISAKMP, and for other security associations such as AH and ESP for the IETF IPsec DOI.

IKMP (Internet Key Management Protocol) Suojattu yhteys • Perus tehtävät: IKMP ISAKMP Manulaalinen avaintenhallinta IKEv 2 JFK Oakley SKEME IPsec – luoda – hallita – katkaista suojattuja yhteyksiä

ISAKMP Internet Security Association and Key Management Protocol Suojattu yhteys IKMP ISAKMP Manulaalinen avaintenhallinta IKEv 2 JFK Oakley SKEME IPsec • Määrittelee melko yleiset puitteet protokollille, joilla SA voidaan luoda ja avaintenvaihto toteuttaa • IKE on yksi ISAKMP: n toteutus

SA (Security Association) • ts. yhteydenpidon turvaparametrit • Sisältää tiedon: – kryptoalgoritmeista – kryptoperiodista – avaimet

Manuaalinen avaintenhallinta Suojattu yhteys IKMP ISAKMP Manulaalinen avaintenhallinta IKEv 2 JFK Oakley SKEME IPsec • Määriteltävä itse käytettävät protokollat, algoritmit ja kryptograset avaimet • SA joudutaan luomaan käsin • Huonoja puolia: – skaalautuvuus – automaattisuuden puute – avainten päivittämisen vaikeus • Käyttää hyväkseen PSK: ta (Preshared Key)

PSK (Preshared Key) • Manuaalinen avainten vaihto • Vaihto voidaan suorittaa puhelimen, postin tai muun luotettavaksi katsotun siirtotien avulla.

IKE (Internet Key Exchange) Suojattu yhteys IKMP ISAKMP Manulaalinen avaintenhallinta IKEv 2 JFK Oakley SKEME IPsec • IKE on IPSecin virallinen avaintenhallintaprotokolla • IKE toteuttaa osia kahdesta avaintenhallintaprotokollasta, Oakleystä ja SKEME: stä • IKE: n päätehtävä on dynaamisesti luoda tietoturva-assosiaatioita sekä neuvotella salausavaimet tietoturvaprotokollien käyttöön.

IKE: n ja IPsec: n toiminta

Autentikointi • IKE tarjoaa neljä erilaista keinoa autentikoitua vastapuolelle – – – etukäteen (esim. manuaalisesti) sovituilla salaisuuksilla. Tällä menetelmällä on tunnetut ongelmat skaalautuvuuden suhteen julkisten avainten avulla (RSA, käyttäen sitä joko neljästi tai kahdesti; original ja revised "encrypted nonces"-menetelmä) allekirjoituksin (DSS tai RSA)

Seuraajat • IKE on hyvin monipuolinen protokolla, joka antaa paljon eri vaihtoehtoja miten toimia. • Liian monimutkainen • Lisäksi IKE: stä on löydetty useita haavoittuvuuksia • Kehitteillä muutama IKE: n seuraaja: – IKEv 2 – JFK (Just Fast Keying) – (Sigma)

IKEv 2, JFK Suojattu yhteys IKMP ISAKMP Manulaalinen avaintenhallinta IKEv 2 JFK Oakley SKEME IPsec • Uudet protokollat on kehitetty IKE: n pohjalta. IKE: stä saatujen kokemusten perusteella • Palvelunestohyökkäyksiin on suojauduttu IKE: ä paremmin. • Protokollia on kevennetty vähentämällä modulaarisuutta ja neuvottelumahdollisuuksia. • Suuria eroja prokollien värillä ei ole eikä virallista seuraajaa ole vielä valittu

Oakley Suojattu yhteys IKMP ISAKMP Manulaalinen avaintenhallinta IKEv 2 JFK Oakley SKEME IPsec • Diffie-Hellman-mekanismiin perustuva protokolla, jolla kaksi autentikoitua osapuolta voi sopia salausavaimesta

SKEME A Versatile Secure Key Exchange Mechanism for Internet Suojattu yhteys IKMP ISAKMP Manulaalinen avaintenhallinta IKEv 2 JFK Oakley SKEME IPsec • monipuolinen avaintenvaihtotekniikka, jolla saadaan aikaan "anonymiteetti”, kiistämättömyys ja nopea avainten virkistys

IPsec (Internet Protocol SECurity) Suojattu yhteys IKMP ISAKMP Manulaalinen avaintenhallinta IKEv 2 JFK Oakley SKEME IPsec • IPsec on protokollaperhe, jonka avulla on mahdollista salata osapuolten välinen TCP/IP -liikenne. • IPsec: in oletussalausmenetelmänä käytetään DES-algoritmia • IPsec käyttää IKE avaintenhallintaprotokollaa

Hyökkäykset

Autentikaatio • Autentikaation tarkoitus on varmistaa että osapuoli A on todellakin yhteydessä aiottuun osapuoleen B, eikä mahdolliseen hyökkääjään • On tarpeellista että osapuolet A ja B jakavat avaimen joka ei ole kuuntelevan osapuolen tiedossa

Hyökkäykset Voivat tapahtua mm. protokollaa vastaan tai hyödyntäen ohjelmien tietoturva-aukkoja Salaus voidaan myös purkaa yrittämällä selvittää käytetty salausavain tutkimalla lähetettyä informaatiota

Käytetyn salausavaimen ratkaiseminen laskemalla • Voidaan käyttää esim. lineraarikryptoanalyysiä (Mitsuru Matsui, 1992). • Modernit salausalgoritmit ovat suunniteltu siten, että ne sisältävät myös epälineaarisia komponentteja. • Kaikkia algoritmeja ei edes moderni kryptoanalyysi kykene ratkaisemaan.

IKE: n haavoittuvuudet Hyökkäys IKEä vastaan on tehtävissä, mutta hankalaa –Denial-of-Service • Resurssit voidaan kuluttaa loppuun (prosessori, muisti) • Implementointivikoja (kaatumiset and päättymättömät silmukat) –Authentication • Pre-shared-keyn selvittäminen

’Replay attack’ • If the Intuder chooses to offer A a legitimate service. A will open a session with B (the banker) to make a deposit of money. When the Intruder sniffs the network and copies the authentication information and the following deposit order, the intruder can send a similar set of strings to make B believe that A is sending another sum of money. • This attack is known as the replay attack. This could be solved by entering a timestamp of some sort to the strings but that would require a synchronisation of clocks in the network.

Ohjelmien mahdolliset virheet • The KAME IKE Daemon racoon authenticates the peer in Phase 1 using either preshared keys, RSA signatures or GSS-API. When RSA signatures are used, racoon validates the X. 509 certificate send by the peer but not the RSA signature. If the peer sends a valid and trusted X. 509 certificate during Phase 1 any private key can be used to generate the RSA signature. The authentication will still succeed. • Impact: Very High: Since racoon is the an often used IKE daemon on the *BSD platform and on the native Linux kernel 2. 6 IPsec stack. If the attacker has access to a valid and trusted X. 509 certificate he can establish an IPsec connection to racoon or can start a man-inthe-middle attack. • Exploit: No exploit code is needed. Racoon itself can be used to exploit this security bug. The important configuration line: certificate_type x 509 certificate badprivatekey; If the certificate is valid and trusted by the attacked racoon the attacker can connect using any 'badprivatekey'

Kerberos Kolmipäinen koira, joka vartioi Haadeksen eli manalan porttia

Kerberoksessa on 3 osaa: • asiakas • Kerberos-palvelin • kryptausavaimia säilyttävä avaimenjakokeskus (KDC, Key Distribution Center).

Lyhyesti • Hajautetuissa tietojärjestelmissä käytetty monipuolinen pääsynvalvonnan, resurssien aidonnuksen ja avaintenjakelun ohjelmisto.

Miksi kerberos? • Yksi salasana ja yksi käyttäjätunnus • Yksi kirjautuminen monelle eri sovellukselle. • Se estää salakuuntelun sekä toistohyökkäykset ja tunnistaa jos viestiä on muokattu matkalla

Mitä sillä saavutetaan? • Salasanojen unohtelu vähenee • Salasanoja ei tarvitse kirjoittaa lapuille • Salasanoja ei tarvitse lähettää moneen kertaan verkon yli • Ohjelmien käytettävyys paranee Tietoturva paranee

Missä sitä käytetään? • Unix järjestelmissä on käytetty jo 1980 luvulta lähtien • Käytetty myös Windows 2000 käyttöjärjestelmässä, tosin mutaatio versiota kerberoksesta.

Käytettäviä palveluita voivat olla • • tulostaminen tiedostopalvelu (NFS) pääteyhteydet (esim. telnet) tiedostojen siirto salasanan vaihto sähköposti (unix tai esim Eudora) yms

Miten toimii? • Kerberos käyttää – DES (Data Encryption Standard) -salausmenetelmää – luotettavaa kolmatta osapuolta (KDC) – symmetristä salausta • Kun käyttäjä haluaa todentaa identiteettinsä jollekin palvelulle, hän pyytää Kerberospalvelimelta itsensä tunnistamista ja saa vastineeksi tunnistelipun. • yhteydenpito asiakkaan ja palvelimen (myös KDC) välillä hoidetaan kertaluonteisella yhteysavaimella (istuntoavain) jonka KDC luo.