250 likes | 414 Views
Um Mecanismo de Autenticação Baseado em ECDH para Redes IEEE 802.11. SBSeg 2010. Eduardo Ferreira de Souza Paulo André da S. Gonçalves. Sumário. Motivação e Problemas Abordados Trabalhos Relacionados Mecanismo Proposto Avaliação Experimental da Proposta Conclusões. Motivação.
E N D
Um Mecanismo de Autenticação Baseado em ECDH para Redes IEEE 802.11 SBSeg 2010 Eduardo Ferreira de Souza Paulo André da S. Gonçalves
Sumário • Motivação e Problemas Abordados • Trabalhos Relacionados • Mecanismo Proposto • Avaliação Experimental da Proposta • Conclusões
Motivação • Redes IEEE 802.11 (ou Wi-Fi) • Cada vez mais utilizadas • Necessidade de se prover alto grau de segurança • Protocolos de segurança para a camada enlace • WPA (2003) e IEEE 802.11i (WPA2) (2004) • Emenda IEEE 802.11w (2009) Proteção aos quadros de dados Estende WPA e WPA2 adicionando proteção aos quadros de gerenciamento
Motivação Chave_1 • Dois métodos de autenticação nos protocolos citados • Autenticação corporativa • Servidor de autenticação • Autenticação pessoal • Chaves pré-compartilhadas (PSK) Chave_2 Chave_3 PSK PSK PSK
Motivação Chave_1 • O processo de autenticação permite a derivação da chave PTK • PTK (PairwiseTransientKey) • Representa um conjunto de chaves temporárias • Exclusiva para cada par cliente/ponto de acesso • Utilizada, principalmente, para a criptografia de quadros e verificação da integridade • Seu sigilo é importante! PTK_1 Chave_2 PTK_2 Chave_3 PTK_3 PSK PTK_1 PSK PTK_2 PSK PTK_3
1º Problema • Método de autenticação pessoal é falho • A derivação da PTK de qualquer cliente pode ser reproduzida por um atacante que conheça a PSK • Vulnerabilidade independe do protocolo usado • WPA, WPA2 e a recente emenda IEEE 802.11w PSK PTK_1 PSK PTK_1 PTK_2 PSK PTK_2
Motivação • Redes IEEE 802.11 podem ser abertas • Comuns em shoppings, aeroportos e redes domésticas • Não há processo de autenticação de dispositivos na rede sem fio • Os usuários podem precisar, no máximo, fornecer credenciais (e.g. CPF ou login/senha) para acesso à Internet • Tráfego passa sem criptografia exceto quando a mesma é provida por camadas superiores (e.g. HTTPS)
2º Problema • Inexistência de autenticação em redes abertas • Não há criptografia na camada enlace • Dados do usuário estão vulneráveis Olá!
Objetivo do Trabalho • Uma solução aos 2 problemas • Derivação indevida da PTK • Falta de autenticação em redes abertas PSK PTK_1 Olá! PSK PTK_1 PTK_2 PSK PTK_2
O 4-WayHandshake • Ocorre em ambos os métodos de autenticação • Objetivos • autenticar mutuamente o cliente e o ponto de acesso • permitir a derivação de uma PTK comum e exclusiva a eles • Chave mestra (PMK) • na autenticação pessoal é a própria PSK • na autenticação coorporativa ela é única para cada cliente • Mensagens trocadas • pequenas variações de acordo com o protocolo usado • Descrição genérica do 4-way handshake • principais parâmetros trocados • considera o WPA, o WPA2 e a emenda IEEE 802.11w PMK PTK PMK PTK
O 4-WayHandshake S A • S e A: Cliente e AP • SA e AA: MACs de S e de A • SNonce e ANonce: Nonces de S e de A • MICPTK: Verificador de Integridade Define ANonce [AA, ANonce] Define SNonce Calcula PTK [SA, SNonce, MICPTK(…)] Calcula PTK Verifica MICPTK [AA, ANonce, MICPTK(…)] Verifica MICPTK [SA] Autenticação finalizada PTK = PRF (PMK, “Pairwisekeyexpansion”, Min(AA, SA) || Max(AA, SA) || Min(ANonce, SNonce) || Max(ANonce, SNonce))
Derivação Indevida da PTK • Dentre os parâmetros da PRF, apenas a PMK é mantida em sigilo • PTK = PRF (PMK, “Pairwisekeyexpansion”, Min(AA, SA) || Max(AA, SA) || Min(ANonce, SNonce) || Max(ANonce, SNonce)) • Se um atacante pertencer à própria rede (no caso de autenticação pessoal): • Todos os parâmetros da PRF serão conhecidos apenas escutando-se o canal • Ele poderá derivar as chaves PTK de todos os clientes da rede
Derivação Indevida da PTK: Trabalhos Relacionados • Usam o protocolo de acordo de chaves Diffie-Hellman(DH) • Permite que duas entidades derivem chaves seguras, mesmo que o canal de comunicação seja inseguro • Baseado no problema do logaritmo discreto
Derivação Indevida da PTK: Trabalhos Relacionados • Resolving WPA Limitations in SOHO and Open Public Wireless Networks • Não implementa a proposta • Fraquezas • Baseado no protocolo Diffie-Hellman(DH) • Necessita de chaves públicas grandes • Grande overhead de processamento • Utiliza a chave mestra diretamente na cifra de mensagens S A Cifra as msgs com a PMK Cálculo da chave K Cifra as msgs com K
Derivação Indevida da PTK: Trabalhos Relacionados • Um Mecanismo de Proteção de Nonces para a Melhoria da Segurança de Redes IEEE 802.11i • Não implementa a proposta • Fraquezas • Baseado no protocolo DH • Necessita de chaves públicas grandes • Grande overhead de processamento • 6 mensagens trocadas S A Cálculo da chave K Cifra os nonces com K
DH vs ECDH • Base da proposta deste trabalho: Protocolo Diffie-Hellman sobre Curvas Elípticas (ECDH) • DH exige chaves públicas significativamente maiores • DH exige maior processamento, espaço de armazenamento e consumo de energia • Ataques em tempo subexponencial para DH • Ataques apenas em tempo exponencial para ECDH Tamanho, em bits, das chaves públicas
ECDH • Parâmetros de domínio: um campo finito F; uma curva elíptica Esobre F; e um ponto base Gpertencente à E • (1) A gera uma chave privada kA; ecalcula a chave pública Apub= kA × G • (2) S gera uma chave privada kS; ecalcula a chave pública Spub= kS × G • (2) S calcula K = kS× Apub • (3) A calcula K = kA × Spub S A 1 [Apub] 2 [Spub] 3
Mecanismo Proposto • Denominado ImprovedHandshake(IH) • Adaptação do 4-way handshake • Baseado em ECDH • Visa solucionar ambos os problemas apresentados • Derivação indevida da PTK • Falta de autenticação em redes abertas • Requisitos • Ter baixo overhead em relação aos trabalhos relacionados • Não aumentar significativamente a duração do 4-way handshake • Propõe adicionalmente: • Uso das chaves públicas como noncesalém do uso normal delas para o cálculo da chave elíptica
ImprovedHandshake S A • Spub e Apub: Chaves públicas • Spriv e Apriv: Chaves privadas • Ke: Chave elíptica (coord. x de K) 1 [AA, Apub] 2 [SA, Spub, MICPTK(…)] • (1) A gera Apriv e Apub • (2) S gera Spriv e Spub; S calcula Ke; S deriva PTK • (3) A calcula Ke; A deriva PTK; A verifica MICPTK • (4) S verifica MICPTK • (5) Autenticação finalizada; A e S possuem a PTK 3 [AA, Apub, MICPTK(…)] 4 [SA] 5 • PTK= PRF (PMK, Ke, “Ellipticpairwisekeyexpansion”, Min(AA, SA) || Max(AA, SA) || Min(Apub, Spub) || Max(Apub, Spub))
ImprovedHandshake • Permite simples extensão para Redes Abertas • Adaptação para prover autenticação automática, sem a necessidade do fornecimento de chaves pelos usuários • Pequena modificação nos argumentos utilizados na derivação da PTK • Antes ... PTK = PRF (PMK, Ke, “Ellipticpairwisekeyexpansion”, Min(AA, SA) || Max(AA, SA) || Min(Apub, Spub) || Max(Apub, Spub)) • Depois ... PTK = PRF (Ke, “Ellipticpairwisekeyexpansion”, Min(AA, SA) || Max(AA, SA) || Min(Apub, Spub) || Max(Apub, Spub)) • A segurança da PTK é garantida pela segurança da Ke • Uso em redes com método de autenticação corporativa • O ImprovedHandshakeé inerentemente mais seguro • Não há necessidade de configurações adicionais
Avaliação Experimental • Qual é a curva elíptica mais adequada para uso com o ImprovedHandshake? • Qual a duração média do ImprovedHandshake? Depende da curva elíptica! • Qual o aumento médio no tamanho das mensagens do ImprovedHandshake quando comparado ao 4-wayhandshake? Depende da curva elíptica! • O overhead introduzido pelo ImprovedHandshake é menor do que aquele introduzido pelos trabalhos relacionados?
Avaliação Experimental • Implementação do ImprovedHandshake • Desenvolvido para WPA, IEEE 802.11i (WPA2) e para tais protocolos com a emenda IEEE 802.11w • Avaliado com as quinze curvas elípticas recomendadas pelo NIST • Experimentos realizados em ambientes reais
Avaliação Experimental • Aumento médio entre 27,5% e 37,5% • Em “Resolving WPA Limitations in SOHO and Open Public Wireless Networks” o aumento é maior do que 85% • Em “Um Mecanismo de Proteção de Nonces para a Melhoria da Segurança de Redes IEEE 802.11i” o aumento é maior do que 164% • Duração entre 3 e 5 ms superior ao 4-wayhandshake • Tais acréscimos podem ser considerados baixos, visto que o tempo do 4-way handshakefoi de 15,08 ms * O tamanho médio das mensagens do 4-way handshakeé de 112 bytes
Conclusões • O ImprovedHandshakeintroduz menor overhead do que os trabalhos relacionados e provê um grau de segurança superior • Curva elíptica P-192 se mostra mais adequada • aumento médio de 36 bytesno tamanho das mensagens trocadas durante o handshake • aumenta o handshake em pouco mais de 3 ms • Pode ser usado com todos os protocolos • WPA, IEEE 802.11i (WPA2) e estes dois acrescidos pela emenda IEEE 802.11w • Permite simples extensão para redes abertas • provê autenticação automática • criptografia de informações na camada enlace sem o fornecimento de chaves pelos usuários
OBRIGADO Eduardo Ferreira de Souza Paulo André da S. Gonçalves efs@cin.ufpe.br