SECURE PROGRAMMING Prof. Stefano Bistarelli SEMINARIO
“Authentication and key Trasport Using Public
Key Cryptography”
Di
Roberta Tittaferrante
SECURE PROGRAMMING Prof. Stefano Bistarelli SEMINARIO
“Authentication and key Trasport Using Public
Key Cryptography”
Di
Roberta Tittaferrante
Wfrfqrfq
Indice argomenti
Università “G. d’Annunzio” Corso di Laurea Specialistica in
Economia Informatica Introduction
Principles for public key protocols
Entity Authentication protocols
ISO/IEC 9798-3
SPLICE/AS
Key trasport protocols
ISO/IEC 11770-3
Protocolli in the X.509 Standard
TLS Protocol
Beller-Chang-Yacobi Protocols
MSR protocollo
Beller-Yacobi Protocol
Beller-Yacobi MRS+DH Protocol
TMN Protocol
Conclusion
Introduction
Università “G. d’Annunzio” Corso di Laurea Specialistica in
Economia Informatica Utilizzo chiave pubblica
Vantaggi: 1) per rendere sicure applicazioni commerciali.
2) protocolli per la gestione delle chiavi.
Svantaggi: 1) alto costo computazionale.
2) gestione di chiavi pubbliche.
Soluzione certificati e liste certificati recovati.
Principles for public key protocols
Università “G. d’Annunzio” Corso di Laurea Specialistica in
Economia Informatica Anderson and Needham hanno proposto una serie di principi sui protocolli basati su chiave pubblica.
1) Se è apposta una firma ai dati, allora si presuppone che il firmatario ha conoscenza dei dati.
2) Evitare di utilizzare la stessa chiave per scopi diversi (firma e decriptazione).
3) Prestare attenzione al momento della firma e della decodifica.
4) Fare un account per tutti i bit.
5) Non inviare dati segreti se non alle Authority.
6) Non accettare messaggi in particolari forme.
7) Esplicitare i parametri crittrografati.
Indice argomenti
Università “G. d’Annunzio” Corso di Laurea Specialistica in
Economia Informatica Introduction
Principles for public key protocols
Entity Authentication protocols
ISO/IEC 9798-3
SPLICE/AS
Key trasport protocols
ISO/IEC 11770-3
Protocolli in the X.509 Standard
TLS Protocol
Beller-Chang-Yacobi Protocols
MSR protocollo
Beller-Yacobi Protocol
Beller-Yacobi MRS+DH Protocol
TMN Protocol
Conclusion
Entity Authentication protocols: Protocols in ISO/IEC 9798-3
Università “G. d’Annunzio” Corso di Laurea Specialistica in
Economia Informatica timestamp Unione del primo protocollo diversi dalle Nb usate nei primi 2 passi ISO/IEC 9798-3 autenticazione unilaterale (un passo).
A B: TA, B, SigA( TA, B)
ISO/IEC 9798-3 autenticazione unilaterale (due passi).
B A: NB
A B: NA, NB B, SigA(NA, NB,, B)
ISO/IEC 9798-3 mutua autenticazione (due passi).
A B: TA, B, SigA(TA, B)
B A: TB, A, SigB(TB, A)
ISO/IEC 9798-3 mutua autenticazione (tre passi).
B A: NB
A B: NA, NB B, SigA(NA, NB, B) CANADIAN ATTACK
B A: NB’, NA, A, SigB(NB’NA,,A)
“CANADIAN ATTACK”
Università “G. d’Annunzio” Corso di Laurea Specialistica in
Economia Informatica L’attacco l'avversario C si finge per A e B con B e A. La prima risposta da A è usato da C per completare la prima esecuzione con B.
1) CB A: NC
2) A CB: NA,NC, B, SigA(NA, NC, B)
1’) CA B: NA
2’) B CA: NB, NA, SigB(NB, NA, A)
3) CB A: NB, NA, SigB(NB, NA, A)
La modifica al protocollo consiste nell’autenticazione parallela dei messaggi 1 e 1‘.
A B: NA
B A: NB
A B: NA, NB B, SigA (NA, NB, B)
B A: NB, NA, A, SigB (NB,NA,,A)
Indice argomenti
Università “G. d’Annunzio” Corso di Laurea Specialistica in
Economia Informatica Introduction
Principles for public key protocols
Entity Authentication protocols
ISO/IEC 9798-3
SPLICE/AS
Key trasport protocols
ISO/IEC 11770-3
Protocolli in the X.509 Standard
TLS Protocol
Beller-Chang-Yacobi Protocols
MSR protocollo
Beller-Yacobi Protocol
Beller-Yacobi MRS+DH Protocol
TMN Protocol
Conclusion
Università “G. d’Annunzio” Corso di Laurea Specialistica in
Economia Informatica Tempo di vita del messaggio Quando A riceve il messaggio controlla la N al fine di autenticare B Ideato nel ‘90 da Yamaguchi, per fornire mutua autenticazione tra un client e un server attraverso chiavi pubbliche certificate.
A B: A, B, TA, L, EB (NA), SigA(A, TA, L, EB, (NA))
B A : B, A, EA, (B, NA+1)
Attack of Clarck-Jacobe on SPLICE/AS protocol
Università “G. d’Annunzio” Corso di Laurea Specialistica in
Economia Informatica Un attaccante C può modificare la chiave pubblica del client o del server.
1) A CB:B, TA, L, EB (NA), SigA(A, TA, L, EB, (NA))
1’) C B: C, B, TA, L, EB(NA), SigC(C, TA, L, EB, (NA))
2’) B C: B, C, EC, (B, NA+1)
2) CB A: B, A, EA, (B, NA+1)
L’attaccante C è in grado di intercettare il messaggio di A e sostituire la firma di A la propria firma.
Nessuna delle due parti è certa dell’altra identità e, le conversazioni non possono essere garantite.
Variante SPLICE/AS protocol of Clarck-Jacobe.
Università “G. d’Annunzio” Corso di Laurea Specialistica in
Economia Informatica A B: A,B,TA,L,EB(A, NA),SigA(A,TA,L,EB(A,NA))
B A : B, A, EA (B, NA+1)
Fornire mutua entità d’ autenticazione.
Differenza dal protocollo SPLICE/AS (base) consiste che, l'identità di A è incluso nel primo messaggio in un campo cifrato ke non può essere modificata da C.
Protocollo corretto solo se l'algoritmo di crittografia a chiave pubblica utilizzata non è non malleabile.
Indice argomenti
Università “G. d’Annunzio” Corso di Laurea Specialistica in
Economia Informatica Introduction
Principles for public key protocols
Entity Authentication protocols
ISO/IEC 9798-3
SPLICE/AS
Key trasport protocols
ISO/IEC 11770-3
Protocolli in the X.509 Standard
TLS Protocol
Beller-Chang-Yacobi Protocols
MSR protocollo
Beller-Yacobi Protocol
Beller-Yacobi MRS+DH Protocol
TMN Protocol
Conclusion
Università “G. d’Annunzio” Corso di Laurea Specialistica in
Economia Informatica Chiave si sessione Identità di A timestamp Protocolli dove si sceglie una chiave di sessione.
A B: EB(A, KAB,TA)
Identità di A, il Ta (o in alternativa il contatore) e la chiave di sessione (scelta da A e B), sono inviati e cifrati con la chiave pubblica di B.
La crittografia a chiave pubblica deve utilizzare parametri non malleabili, altrimenti un attaccante può modificare il valore dei campi "A" e "TA”.
Università “G. d’Annunzio” Corso di Laurea Specialistica in
Economia Informatica ATTACCO Anderson e Needham A B: B, TA, EB(A, KAB),SigA(B, TA, EB (A, KAB))
Estende il meccanismo 1 con l'aggiunta di una firma del messaggio di A.
Viola il primo principio di Anderson Needham: la firma non da garanzia che il firmatario conosce il testo del messaggio cifrato.
Un attaccante C potrebbe rimuovere la firma di A e sostituirla con la propria.
Algoritmi di cifratura che consentono ad un malintenzionato di ottenere la chiave pubblica di B.
Università “G. d’Annunzio” Corso di Laurea Specialistica in
Economia Informatica ATTACCO Abadi e Needham 1) A B: EB (B, KAB TA, SigA (B, KAB, TA))
2) A B: EB (KAB TA, SigA(KAB , TA))
Un attaccante C può sostituirsi nel protocollo gestito da A come iniziatore.
Intercetta il messaggio 1 cifrato.
C ottiene la chiave per condividere i messaggi con A.
Abadi e Needham suggeriscono di inserire l'identità di entrambi (A e B) nella firma del messaggio 1 per impedire questo attacco.
Università “G. d’Annunzio” Corso di Laurea Specialistica in
Economia Informatica A B : NA
B A : A, NA, NB, EA(B, KAB), SigB(A, NA NB, EA(B, KAB))
Nonce NA per conseguire una chiave freschezza per l’autenticazione di B.
Meccanismo 5
A B : NA
B A : NB NA A, EA (B, KBA), SigB( NB NA A,EA (B, KBA))
A B : NA NB B, EB (A, KAB), SigA(NA NB B, EB (A, KAB))
Due chiavi di sessione KAB KBA scelti da A e B.
Università “G. d’Annunzio” Corso di Laurea Specialistica in
Economia Informatica ATTACCO Helsinky La prima differenza consiste nell’ utilizzo della crittografia e non solo le firme.
L'algoritmo di cifratura richiede non malleabilità, altrimenti i campi utilizzati per l'autenticazione possono essere alterati dall’ attaccante.
Lo standard stabilisce che KAB KBA sono combinati per formare una singola chiave di sessione.
A B: EB (A, KAB, NA)
B A: EA(B, KBA, NA, NB)
A B: NB
Attacco Helsinky
Università “G. d’Annunzio” Corso di Laurea Specialistica in
Economia Informatica L’attaccante C, parla con B, fingendosi A
A pensa di condivide la chiave con C, mentre B pensa di condividerla con A.
L‘ obiettivo implicito della chiave di autenticazione non è violato, perché C non conosce KBA e, non può calcolarlo.
Mitchell e Yeun propongono di aggiungengere l'identità di messaggio 2. (soluzione adottata nello standard finale ISO / IEC 11770)
A C: EC(A, KAB, NA)
CA B: EB(A, KAB’, NA)
B CA:EA (KAB, NA, NB)
C A: EA (KAB, NA, NB)
A C: NB
CA B: NB
Indice argomenti
Università “G. d’Annunzio” Corso di Laurea Specialistica in
Economia Informatica Introduction
Principles for public key protocols
Entity Authentication protocols
ISO/IEC 9798-3
SPLICE/AS
Key trasport protocols
ISO/IEC 11770-3
Protocolli in the X.509 Standard
TLS Protocol
Beller-Chang-Yacobi Protocols
MSR protocollo
Beller-Yacobi Protocol
Beller-Yacobi MRS+DH Protocol
TMN Protocol
Conclusion
Protocolli in the X.509 Standard
Università “G. d’Annunzio” Corso di Laurea Specialistica in
Economia Informatica Usa crittografia chiave pubblica e firma digitale.
Serie di protocolli per l'autenticazione classificati: Simple e Strong.
Simple utilizza l'autenticazione delle password inviate sia in chiaro o come input.
Ci sono tre protocolli specificati, con una, due e tre, flussi di messaggio.
Ogni protocollo estende il precedente con l'aggiunta di un ulteriore messaggio.
Comments