Download
1 / 35
360 likes | 496 Views
Κρυπτογραφία. Διαχείριση Κλειδιού Πρωτόκολλα Εδραίωσης Κλειδιού ( Key Establishment Protocols). Κέρκυρα, 20 10 Δρ. Ε. Μάγκος. Πρωτόκολλα Διανομής Κλειδιού ( Key Distribution) Μια έμπιστη οντότητα (KDC) δημιουργεί το κλειδί και το στέλνει στην Alice και τον Bob
E N D
Κρυπτογραφία Διαχείριση Κλειδιού Πρωτόκολλα Εδραίωσης Κλειδιού (Key Establishment Protocols) Κέρκυρα, 2010 Δρ. Ε. Μάγκος
Πρωτόκολλα Διανομής Κλειδιού (Key Distribution) Μια έμπιστη οντότητα (KDC) δημιουργεί το κλειδί και το στέλνει στην Alice και τον Bob Πρωτόκολλα Μεταφοράς Κλειδιού (Key transport) Η Alice ή o Bob δημιουργεί ένα κλειδί και το στέλνει στον άλλο Πρωτόκολλα Συμφωνίας Κλειδιού (Key Agreement) Η Alice & Bob συμμετέχουν από κοινού στη δημιουργία κλειδιού Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Πώς δύο οντότητες θα αποκτήσουν ένα συμμετρικό κλειδί για μυστική επικοινωνία; Το κανάλι δεν είναι ασφαλές H διαδικασία απόκτησης ενός μυστικού κλειδιού μεταξύ δύο ή περισσοτέρων οντοτήτων ονομάζεται Εγκαθίδρυση Κλειδιού (Key Establishment) Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996. Πρωτόκολλα Εγκαθίδρυσης ΚλειδιούKey Establishment (ή, Key Exchange) Protocols Ιδανικά, ένα διαφορετικό κλειδί πρέπει να χρησιμοποιείται σε κάθε σύνοδο επικοινωνίας. Τα κλειδιά αυτά ονομάζονται Κλειδιά Συνόδου (Session Keys).
Η Alice & ο Bob βεβαιώνονται ότι το κλειδί είναι καινούριο (δεν έχει χρησιμοποιηθεί στο παρελθόν) Σχετικός όρος (βιβλιογραφία) Key freshness Στόχοι εγκαθίδρυσης κλειδιού: Μόνον η Alice & ο Bob μπορούν να γνωρίζουν το νέο κλειδί. Σχετικός όρος (βιβλιογραφία)Key authentication Η Alice και ο Bob αποδεικνύουν ο ένας στον άλλον ότι γνωρίζουν το κλειδί Σχετικός όρος (βιβλιογραφία) Key confirmation Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003. Πρωτόκολλα Εγκαθίδρυσης ΚλειδιούKey Establishment (ή, Key Exchange) Protocols
Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 … αίρεται η ανάγκη αποθήκευσης για μεγάλο χρονικό διάστημα κρυπτογραφικών κλειδιών. … δημιουργείται ανεξαρτησία μεταξύ των συνόδων επικοινωνίας & μεταξύ δικτυακών εφαρμογών. Γιατί χρειαζόμαστε κλειδιά συνόδου (sessionkeys); … μειώνουμε την ποσότητα κρυπτογραφημένου κειμένου (με το ίδιο κλειδί) που έχει για κρυπτανάλυση η Eve … μειώσουμε τις συνέπειες από την αποκάλυψη ενός κλειδιού (π.χ. απώλεια, κλοπή, κρυπτανάλυση) π.χForward secrecy Πρωτόκολλα Εγκαθίδρυσης ΚλειδιούKey Establishment (ή, Key Exchange) Protocols http://www.kannel.org/download/kannel-wtls-snapshot/fig8o.png
Stinson, D. Cryptography: Theory and Practice. Third Edition, CRC, 2005 Πρωτόκολλα Εγκαθίδρυσης ΚλειδιούKey Encrypting Keys Στην πράξη, τα κλειδιά μακράς διαρκείας, είτε αυτά είναι συμμετρικά είτε είναι ζεύγη ιδιωτικών-δημόσιων κλειδιών, δεν χρησιμοποιούνται ποτέ απευθείας για κρυπτογραφικές υπηρεσίες (π.χ. κρυπτογράφηση, MAC κ.λ.π). Αντι αυτού, τα κλειδιά αυτά χρησιμοποιούνται ως Κλειδιά για την Ανταλλαγή Κλειδιών (Key Encrypting Keys), δηλαδή για να διευκολύνουν την ανταλλαγή κλειδιών συνόδου (περιορισμένης χρονικής διάρκειας)
Έστω η Alice και o Bob είναι χρήστες δικτύου & «μοιράζονται» ένα κλειδί με την Αρχή (KDC) H Alice ζητάει από τον Trent ένα κλειδί για επικοινωνία με τον Bob O Trent δημιουργεί ένα κλειδί συνόδου ΚΑΒ και στέλνει στην Alice δύο αντίγραφα του κλειδιού: Ένα αντίγραφο κρυπτ/νο με το κλειδί ΚΒΤ που μοιράζεται με Bob Ένα αντίγραφο κρυπτ/νο με το κλειδί ΚΑΤ που μοιράζεται με Alice H Alice αποκρυπτογραφεί το αντίγραφο της και στέλνει στον Bob το αντίγραφό του Ο Bob αποκρυπτογραφεί το αντίγραφο του Η Alice και ο Bob επικοινωνούν με το κλειδί KAB Schneier, Bruce. Applied Cryptography. 1996. Διανομή Κλειδιού από Έμπιστη ΟντότηταKey Distribution with a Key Distribution Center (KDC) Trent (KDC)
Μειονεκτήματα Αρχιτεκτονικής Υψηλή εμπιστοσύνη στον Trent Υψηλός φόρτος εργασίας για Trent Πλεονεκτήματα Αρχιτεκτονικής Εύκολη διαχείριση συστήματος Κάθε οντότητα αποθηκεύει ένα μόνον κλειδί μακράς διαρκείας Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996. Διανομή Κλειδιού από Έμπιστη ΟντότηταKey Distribution with a Key Distribution Center (KDC)
Οι «τυχαιότητες» RAκαι RBχρησιμοποιούνται (εκτός άλλων) για αποφυγή επιθ. επανάληψης Στο βήμα 2, η Alice βεβαιώνεται ότι η απάντηση του Trent δίνεται τώρα Στa βήματα 4 & 5, ο Bob βεβαιώνεται ότι η Alice είναι ενεργή στο πρωτόκολλο. Και οι δύο χρήστες πείθονται ότι ο άλλος ξέρει το κλειδί ΑυθεντικοποίησηAlice Επιβεβαίωση κλειδιού (key confirmation) Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996. 1 2 3 4 5 Διανομή Κλειδιού από Έμπιστη ΟντότηταTo πρωτόκολλο Needham-Schroeder (1978) Trent (KDC) 1 2 3 4 5
Παραδοχές: Ο Mallory, που επίσης υποκλέπτει και επικοινωνίες, έχει «σπάσει» ένα παλιό κλειδί Κ’ που η Alice και ο Bob κάποτε χρησιμοποιούσαν. Ο Mallory συμμετέχει σε ένα καινούριο πρωτόκολλο με τον Bob, ξεκινώντας από το βήμα 3 … που είχε υποκλέψει από παλαιότερη εκτέλεση του πρωτοκόλλου Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996. Διανομή Κλειδιού από Έμπιστη ΟντότηταΕπίθεση στο πρωτόκολλο Needham-Schroeder Trent (KDC) 1 1 2 2 3 3 4 4 5 5
Αν ο Trent εισήγαγε έγκυρες χρονοσημάνσεις στα μηνύματα που αποστέλλει στην Alice, η επίθεση θα ήταν αδύνατη !! Η λογική αυτή χρησιμοποιείται στο σύστημα Kerberos (1994) Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996. 3 4 5 Διανομή Κλειδιού από Έμπιστη ΟντότηταΕπίθεση στο πρωτόκολλο Needham-Schroeder 3
Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003. Διανομή Κλειδιού από Έμπιστη ΟντότηταΕπίθεση των Denning-Sako στο Πρωτόκολλο Needham-Schroeder
Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003. Διανομή Κλειδιού από Έμπιστη ΟντότηταΑντιμετώπιση της Επίθεσης με Χρονοσημάνσεις • Οι Denning και Sako πρότειναν την αντιμετώπιση του προβλήματος με χρονοσημάνσεις (όπως φαίνεται στο σχήμα) • Τ: χρονοσήμανση που εισάγει ο Trent στα μηνύματα που δημιουργεί http://extension.missouri.edu/webteam/fp2k/timestamp.gif
Προκαταρκτικά: Η Alice και ο Bob «μοιράζονται» ένα κλειδί K μακράς διαρκείας, και επιθυμούν να εγκαθιδρύσουν ένα καινούριο κλειδί συνόδου Πρωτόκολλο 1 - H Alice δημιουργεί ένα καινούριο κλειδί και το στέλνει στον Bob Πρωτόκολλο 2 – Αυθεντικοποίηση της Alice και μεταφορά του κλειδιού συνόδου Το κλειδί συνόδου είναι το rA Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Μεταφορά Κλειδιού με Συμμετρική Κρυπτογραφία Γενικότερα, το μειονέκτημα της μεταφοράς κλειδιού με συμμετρική κρυπτογραφία, είναι η απαίτηση για ύπαρξη προ-εγκατεστημένων κλειδιών μεταξύ των χρηστών του συστήματος
Πρωτόκολλο 2 – Εναλλακτικό Αυθεντικοποίηση της Alice και μεταφορά του κλειδιού συνόδου Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Μεταφορά Κλειδιού με Συμμετρική Κρυπτογραφία • Πρωτόκολλο 3- Αμοιβαία αυθεντικοποίηση και μεταφορά του κλειδιού συνόδου (Χρήση χρονοσημάνσεων – timestamps) Ουσιαστικά, το πρωτόκολλο πλέον μετατρέπεται σε πρωτόκολλο ανταλλαγής κλειδιού - εφόσον το κλειδί συνόδου φτιάχνεται από τα rAκαι rB,που συνεισφέρουν και οι δύο
H Alice αποκτά (με κάποιον τρόπο) το έγκυρο ΔΚ του Bob Η Alice δημιουργεί ένα κλειδί συνόδου ΚΑΒ, το κρυπτογραφεί με το ΔΚ του Bob και το στέλνει στον Bob H Alice &Bob χρησιμοποιούν το κλειδί ΚΑΒ ως κλειδί συνόδου Τηντεχνική, διαφοροποιημένη, τη συναντάμε στο SSL Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996. Μεταφορά Κλειδιού (Key Transport) με Κρυπτογραφία Δημόσιου Κλειδιού Σχήμα: Στο πρωτόκολλο, (γνωστό μας από το παρελθόν), θεωρήστε ότι στη θέση του Μ βρίσκεται το κλειδί ΚΑΒ Σημείωση: Για μεγαλύτερη ασφάλεια, το πρωτόκολλο θα πρέπει επίσης να συνδυαστεί με τεχνικές αυθεντικοποίησης ώστε ο Bob να ξέρει ότι «μιλάει» με Alice !!
Το πρωτόκολλο που μελετήσαμε, μπορεί, με χρήση ψηφιακών υπογραφών & χρονοσημάνσεων, να προσφέρει αυθεντικοποίηση της Alice προς τον Bob: tA – χρονοσήμανση PB– κρυπτογράφηση με το ΔΚ Bob SA – Υπογραφή με το ΙΚ της Alice Α, Β – Η Alice και ο Bob Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Μεταφορά Κλειδιού (Key Transport) με Κρυπτογραφία Δημόσιου Κλειδιού Σημείωση: Αντί για χρονοσήμανση, θα μπορούσε να χρησιμοποιηθεί ένα πρωτόκολλο πρόκλησης-απάντησης με χρήση τυχαιότητας (σε δύο βήματα)
Προκαταρκτικά: Οι Alice & Bob, χωρίς να μοιράζονται a-priori μυστική πληροφορία, ανταλλάσσουν ένα μυστικό κλειδί μέσω ενός καναλιού που παρακολουθείται από την Eve Το πρωτόκολλο Diffie-Hellman στην αρχική του μορφή προστατεύει μόνον από παθητικές επιθέσεις !! Θυμάστε γιατί; Ανταλλαγή Κλειδιού (Key Agreement)Τεχνικές Δημόσιου Κλειδιού - Πρωτόκολλο Diffie - Hellman Όλες οι πράξεις γίνονται mod p g και p: Παράμετροι συστήματος ΓΝΩΣΤΕΣ ΣΕ ΟΛΟΥΣ
N. Ferguson, B. Schneier. Practical Cryptography. Wiley, 2003. Επίθεση Ενδιάμεσης Οντότητας στο πρωτόκολλο Diffie-Hellman
Το πρόβλημα της ενδιάμεσης οντότητας στα πρωτόκολλα ανταλλαγής κλειδιών μπορεί να επιλυθεί χρησιμοποιώντας τεχνικές αυθεντικοποίησης Μπορείτε να περιγράψετε πώς αντιμετωπίζεται η επίθεση, εάν π.χ. η Alice και ο Bob υπογράφουν ψηφιακά τα μηνύματα που στέλνουν; Τι μπορεί να κάνει ο Mallory σε αυτήν την περίπτωση; N. Ferguson, B. Schneier. Practical Cryptography. Wiley, 2003. Επίθεση Ενδιάμεσης Οντότητας στο πρωτόκολλο Diffie-Hellman
W. Diffie, P.C. van Oorschot, and M. Wiener. Authentication and authenticated key exchanges. Designs, Codes and Cryptography, 2:107–125, 1992. Το πρωτόκολλο STS αποτελεί μια επέκταση του πρωτοκόλλου DΗ Κάνοντας χρήση ψηφιακών υπογραφών, προσφέρει αμοιβαία αυθεντικοποίηση Alice:αυθεντικοποιεί Bob Bob:αυθεντικοποιεί Alice Σκοπός είναι η αντιμετώπιση επιθέσεων ενδιάμεσης οντότητας στο πρωτόκολλο DH Το πρωτόκολλο προσφέρει επίσης ανωνυμία(οι υπογραφές κρυπτογραφούνται) και επιβεβαίωση κλειδιού (key confirmation) Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Ανταλλαγή Κλειδιών με ΔΚΤο πρωτόκολλο Station to Station (S2S) Tο πρωτόκολλο IKE (Internet Key Exchange), που χρησιμοποιεί η σουίτα IPSec για ανταλλαγή κλειδιών, αποτελεί μια παραλλαγή του πρωτοκόλλου S2S
Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 Ανταλλαγή Κλειδιών με ΔΚΤο πρωτόκολλο αυθεντικοποίησης X.509 Αμοιβαία αυθεντικοποίηση, και ανταλλαγή κλειδιού με τεχνική πρόκλησης-απάντησης
Προβλήματα Ο Bob εμπιστεύεται την Alice ως προς τη δυνατότητα κατά-σκευής «ισχυρών» κλειδιών !!! Στα (συμμετρικά) πρωτόκολλα με έμπιστη οντότητα (online), όπως το Kerberos, μία έμπιστη οντότητα (KDC)διανέμει τα κλειδιά στους χρήστες ΔΙΑΝΟΜΗ ΚΛΕΙΔΙΟΥ Περίπτωση: ΜΕΤΑΦΟΡΑ ΚΛΕΙΔΙΟΥ ΜΕ ΕΜΠΙΣΤΗ ΟΝΤΟΤΗΤΑ Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Εγκαθίδρυση Κλειδιού - Συζήτηση«Λεπτά» Ζητήματα
Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Αυθεντικοποίηση και Ανταλλαγή ΚλειδιούΠροηγμένα θέματα
Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Εγκαθίδρυση ΚλειδιούΠροηγμένα θέματα
Επίθεση από Malice Το πρόβλημα με το πρωτόκολλο διανομής, είναι ότι η ταυτότητα του παραλήπτη του κλειδιού που διανέμεται, δεν προστατεύεται με κρυπτογραφικό τρόπο… Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Εγκαθίδρυση ΚλειδιούΠροηγμένα θέματα
Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Εγκαθίδρυση ΚλειδιούΠροηγμένα θέματα Πιστεύετε ότι διορθώνεται το πρόβλημα;
Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Εγκαθίδρυση ΚλειδιούΠροηγμένα θέματα ΌΧΙ, εφόσον η Malice έχει υποκλέψει κάποιο παλαιότερο session με την Alice
Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 Εγκαθίδρυση ΚλειδιούΠροηγμένα θέματα Κατά μια άλλη επίθεση, υποθέτουμε ότι η Malice έχει «σπάσει» ένα παλαιό κλειδί συνόδου K’
Εγκαθίδρυση Κλειδιού - Συμπερασματικά Οι τεχνικές αυθεντικοποίησης χρήστη ή/και μηνύματος αποτελούν απαραίτητα υποσυστήματα κάθε πρωτοκόλλου εγκαθίδρυσης κλειδιού !!
Το Πρωτόκολλο Needham-SchroederΠαραλλαγή (με Δημόσιο Κλειδί) – Ανταλλαγή Κλειδιού
Το Πρωτόκολλο Needham-SchroederΠαραλλαγή (με Δημόσιο Κλειδί) – Ανταλλαγή Κλειδιού Οι τυχαιότητες ΝΑ και NB, εκτός από την αυθεντικοποίηση οντότητας, μπορούν να χρησιμοποιηθούν και στη δημιουργία του κλειδιού συνόδου !!!
Το Πρωτόκολλο Needham-SchroederΠαραλλαγή (με Δημόσιο Κλειδί) – Ανταλλαγή Κλειδιού • Ουσιαστικά, αν υποθέσουμε ότι η Alice και ο Bob γνωρίζουν ο ένας το ΔΚ του άλλου (π.χ. κατέχουν τα σωστά πιστοποιητικά ΔΚ), το πρωτόκολλο μπορεί να απλοποιηθεί ως εξής: Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003
Το Πρωτόκολλο Needham-SchroederΠαραλλαγή (με Δημόσιο Κλειδί) – Ανταλλαγή Κλειδιού • Ουσιαστικά, αν υποθέσουμε ότι η Alice και ο Bob γνωρίζουν ο ένας το ΔΚ του άλλου (π.χ. κατέχουν τα σωστά πιστοποιητικά ΔΚ), το πρωτόκολλο μπορεί να απλοποιηθεί ως εξής: Μπορεί η Malice να εξαπολύσει επίθεση στο πρωτόκολλο; Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003
Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 • Αποτέλεσμα: • Η Malice παριστάνει την Alice στον Bob • Πώς διορθώνεται το πρόβλημα; • Πλεονασμός !!!
Βιβλιογραφία Διάλεξης • Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996. • Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001 • N. Ferguson, B. Schneier. Practical Cryptography. Wiley, 2003. • Mao, W. Modern Cryptography: Theory and Practice. Prentice Hall, 2003 • Stinson, D. Cryptography: Theory and Practice. Third Edition, CRC, 2005
