PV157 ­ Autentizace a řízení přístupu
Autentizace dat a zpráv
(pokračování)
podepisovací
algoritmus
ověřovací
algoritmuszpráva podepsaná
zpráva
Alice
Alicin veřejný klíč
Bob
Převzato z: Network and
Internetwork Security (Stallings)
Schéma digitálního podpisu
ověřený podpis
Alicin privátní klíč
Digitální podpis ­ klíče
ˇ Každý subjekt má 2 klíče:
­ privátní (soukromý) klíč pro vytváření podpisu;
­ veřejný klíč pro ověření podpisu.
ˇ Správný digitální podpis může vytvořit jen
ten, kdo má k dispozici soukromý klíč.
ˇ Pro ověření podpisu je nutné mít veřejný
klíč podepsaného subjektu.
ˇ Digitální podpis nedává sám o sobě
žádnou záruku o době jeho vytvoření.
Digitální podpis ­ co podepisujeme?
ˇ Algoritmy digitálního podpisu založené na
asymetrické kryptografii jsou relativně pomalé.
ˇ V praxi nepodepisujeme celý dokument
(velikosti v kB, MB i GB) ale pouze haš (fixní
délky řádově stovky bitů).
ˇ Není bezpečné rozdělit dokument na několik
částí a ty podepsat separátně.
ˇ Při kombinaci šifrování veřejným klíčem a
podpisu je nutné dokument nejprve podepsat a
pak teprve zašifrovat.
Digitální podpis ­ bezpečnost
ˇ Pro bezpečnou funkčnost digitálního
podpisu je nezbytně nutné:
­ udržovat privátní klíč v tajnosti ­ každý, kdo
má přístup k privátnímu klíči má možnost
vytvářet platné podpisy;
­ zajistit integritu veřejného klíče ­ pokud
bychom ověřovali platnost podpisu pomocí
nesprávného klíče můžeme dojít
k nesprávným závěrům.
Digitální podpis ­ integrita VK
ˇ Jak zajistit integritu veřejného klíče?
ˇ Pomocí certifikátu veřejného klíče!
ˇ Certifikát váže veřejný klíč k subjektu
(spíše k nějakému identifikátoru subjektu).
ˇ Tato vazba je digitálně podepsána
důvěryhodnou třetí stranou (certifikační
autoritou).
ˇ Jak zajistit integritu veřejného klíče
certifikační autority?
Digitální podpis ­ jak vypadá certifikát?
ˇ Certifikát standardu X.509 verze 3
Certificate ::= SEQUENCE {
tbsCertificate TBSCertificate,
signatureAlgorithm AlgorithmIdentifier,
signature BIT STRING }
TBSCertificate ::= SEQUENCE {
version [0] Version DEFAULT v1,
serialNumber CertificateSerialNumber,
signature AlgorithmIdentifier,
issuer Name,
validity Validity, -- notBefore, notAfter
subject Name,
subjectPublicKeyInfo SubjectPublicKeyInfo, -- algID, bits
issuerUniqueID [1] IMPLICIT UniqueIdentifier OPTIONAL,
subjectUniqueID [2] IMPLICIT UniqueIdentifier OPTIONAL,
extensions [3] Extensions OPTIONAL
-- sequence of: extnID, crit, value }
Digitální podpis
ˇ Jak udržovat důvěrnost privátního klíče?
ˇ Key recovery ­ obnova klíčů!?
ˇ Některé algoritmy asymetrické kryptografie
umožňují používat jednu dvojici klíčů pro
šifrování i podpis ­ toto však není příliš
vhodná kombinace.
ˇ Jak se brání zaměstnavatel vůči odchodu
zaměstnance?  Rozdílný přístup
k šifrovacímu a podepisovacímu klíči!
Digitální podpis ­ algoritmy
ˇ První algoritmy asymetrické kryptografie na
začátku 70. let 20. století:
­ Britská tajná služba GCHQ (Clifford Cocks).
­ Veřejné oznámení až koncem 20. století (1997).
­ Aplikaci algoritmů pro autentizaci ­ podpis ­ ,,objevila"
později až akademická komunita u svých veřejných
algoritmů.
ˇ První veřejné algoritmy koncem 70. let 20. století
(W. Diffie a M. Hellman ovlivněni prací R. Mercla).
ˇ Nejznámější algoritmus RSA (Rivest, Shamir,
Adelman) publikován v roce 1977, patentován v
roce 1983 (v současné době patent již vypršel).
Digital Signature Algorithm
ˇ V roce 1994 proběhl v USA výběr Digital
Signature Standard (DSS) ­ vyhrál DSA
(Digital Signature Algorithm) modifikovaný
algoritmus ElGamal, založený na
diskrétním logaritmu v Zp.
ˇ Další algoritmy, mj. založeny i na
eliptických křivkách.
Digitální podpis ­ délky klíčů
ˇ Algoritmus RSA
­ Při jednom z popisů algoritmu (ve ,,Scientific
American" v roce 1977) autoři publikovali příklad
kryptosystému (prvočísla byla 64- a 65bitová),
o kterém věřili, že je bezpečný.
­ Tento kryptosystém byl rozlomen v roce 1994.
­ Koncem roku 1999 došlo k prolomení 512bitového
modulo RSA (několik set rychlých počítačů pracovalo
přes 4 měsíce).
­ V současné době se používá modulo o délkách 1024
nebo 2048 bitů.
Digitální podpis ­ časová náročnost
ˇ Algoritmy asymetrické kryptografie jsou relativně
časově náročné ­ příklady časů pro čipovou kartu
Operace Modulus Exponent Čas
Podpis RSA 1024 bitů 1024 bitů 25,2 ms
Podpis RSA 2048 bitů 2048 bitů 0,17 s
Ověření RSA 1024 bitů 32 bitů 2,8 ms
Ověření RSA 2048 bitů 38 ms
Generování klíče RSA 1024 bitů 1,56 s
Generování klíče RSA 2048 bitů 14,4 s
Podpis EC DSA (GF(p)) 160 bitů 24 ms
Ověření EC DSA (GF(p)) 160 bitů 160 bitů 50 ms
Digitální podpis ­ RSA­ matematika
ˇ Násobení prvočísel snadné, ale faktorizace čísel
výpočetně náročná.
ˇ Velká prvočísla p, q, n = pq,
(n) = (p-1)(q-1).
ˇ Zvolíme velké d takové, že gcd(d, (n)) = 1.
ˇ Spočítáme e = d-1 (mod (n)).
ˇ Veřejný klíč: n, e.
Neveřejné parametry: p, q, d.
ˇ Šifrování: c = we mod n.
ˇ Dešifrování: w = cd mod n.
Výpočetní bezpečnost
ˇ Bezpečnost RSA je založena na nesnadnosti faktorizace
čísel.
ˇ Je zřejmé, že pouhým ,,vyzkoušením" všech čísel do
odmocniny z n se nám podaří n faktorizovat.
ˇ Bezpečnost RSA je založena na tom, že faktorizovat
velká čísla (tím v současné době myslíme čísla o tisících
bitů) v rozumném čase neumíme.
ˇ Pokrok v oblasti faktorizace čísel (například nalezení
nového algoritmu) však může znamenat, že z veřejného
klíče budeme schopni odvodit klíč privátní.
ˇ Tento algoritmus je založen na tzv. ,,výpočetní
bezpečnosti" (nejen tento algoritmus, ,,výpočetní
bezpečnost" je běžně používaný přístup).
Digitální podpis ­ RSA­ příklad
ˇ Čísla jsou úmyslně příliš malá (takový systém není
bezpečný).
ˇ Parametry: p = 7927, q = 6997, n = pg = 55465219,
(n) = 7926 × 6996 = 55450296.
ˇ Alice volí e = 5, řeší rovnici ed = 5d = 1 (mod 55450296),
d = 44360237.
ˇ Alicin veřejný klíč: (n = 55465219, e = 5),
privátní klíč: d = 44360237.
ˇ Podpis: m = 31229978; s = 3122997844360237 mod
55465219 = 30729435.
ˇ Ověření podpisu: m = 307294355 mod 55465219 =
31229978.
ˇ Podpis je ověřen, pokud je přijata zpráva m=31229978.
Hašovací funkce
ˇ Kryptografická hašovací funkce.
ˇ Vstup libovolné délky.
ˇ Výstup pevné délky: n bitů (často 128 nebo 192).
ˇ Funkce není prostá (vznikají kolize).
ˇ Haš slouží jako kompaktní reprezentace vstupu
(nazýváme též otisk, anglicky imprint, digital
fingerprint nebo message digest).
ˇ Hašovací funkce často používáme při zajišťování
integrity dat. Spočítáme nejprve haš a pak
pracujeme s tímto hašem (například jej
podepíšeme).
Vlastnosti hašovacích funkcí
ˇ Jednosměrnost
­ Pro libovolné x je snadné spočítat h(x).
­ V rozumném čase nejsme schopni pro pevně
dané y najít takové x, že h(x) = y.
ˇ Bezkoliznost
­ (slabá): pro dané x nejsme schopni
v rozumném čase najít x' (x  x') takové, že
h(x) = h(x').
­ (silná): v rozumném čase nejsme schopni
najít libovolná x, x' taková, že h(x) = h(x').
Příklad hašovací funkce
ˇ Uvažujme následující hašovací funkci:
­ Jednoduchý součet bajtů modulo 256 .
­ Fixní osmibitový výstup.
­ Pro text ,,ahoj" získáme 97+104+111+106 mod
256 = 162.
ˇ Tuto funkci je sice jednoduché spočítat,
není to však dobrá kryptografická hašovací
funkce, neboť nemá vlastnost bezkoliznosti.
ˇ h(,,ahoj") = h(,,QQ") = h(,,zdarFF")
Běžné kryptografické hašovací funkce
ˇ MD4: výstup 128 bitů ­ dnes se již nepoužívá ­ byly
nalezeny slabiny v algoritmu (umožňující nalezení
kolizí, snižující efektivní výstup asi na 20 bitů).
ˇ MD5: výstup 128 bitů ­ dnes ještě používána, ačkoliv
byly nalezeny významné slabiny a algoritmus pro
nalezení kolizí ­ 128 bitů se již nepovažuje za
dostatečně bezpečnou délku!
ˇ SHA-1 (Secure Hash Algorithm): výstup 160 bitů ­ NIST
standard, používána v DSS (Digital Signature
Standard), považována za bezpečnou pro nejbližší
roky.
ˇ ,,SHA-2" ­ SHA-256, SHA-384, SHA-512 (a dodána
SHA-224) ­ doporučuje se používat především tyto
funkce! Definovány ve standardu (NIST) FIPS 180-2.
Hašovací funkce ­ příklady
ˇ MD5
­ Vstup: ,,Autentizace".
­ Výstup: 2445b187f4224583037888511d5411c7 .
­ Výstupem je 128 bitů, zapisujeme hexadecimálně.
­ Vstup: ,,Cutentizace".
­ Výstup: cd99abbba3306584e90270bf015b36a7.
­ Změna jednoho bitu vstupu  velká změna výstupu.
ˇ SHA-1
­ Vstup: ,,Autentizace".
­ Výstup:
dfcee447d609529f0335e67016557c281fc6eb44 .
Hašovací funkce
z šifrovacích algoritmů
ˇ Hašovací funkci můžeme vytvořit
z libovolné blokové symetrické šifry.
ˇ Existují postupy pro vytvoření hašovací
funkce s délkou haše o velikosti délky
bloku či dvojnásobku délky bloku.
Matyas-Meyer-Oseas
Eg
xi
Hi-1
Hi
Narozeninový paradox
ˇ Zajímavé útoky na hašovací funkce vycházejí
z tzv. birthday (narozeninového) paradoxu.
ˇ Pravděpodobnost, že 2 lidé v sále s 23 lidmi
mají narozeniny ve stejný den je více než 50 %.
Tato pravděpodobnost je překvapivě vysoká a
s počtem lidí v sále dále rychle roste (při 30
lidech v sále je vyšší než 70 %).
ˇ Tohoto můžeme využít při hledání kolizí
hašovací funkce (tj. pokud nám jde o
LIBOVOLNOU kolizi máme větší šanci, než při
kolizi se specifickou hodnotou haše).
Integrita dat ­ CRC
ˇ Detekce chyb (error detection)
­ Kontrolní součty ­ paritní bity, aritmetický součet
modulo, exkluzivní součet (XOR).
­ CRC (cyclic redundancy check) ­ cyklický kontrolní
součet. Např. 16-bitový g(x) = 1+x2+x15+x16 .
­ Slouží k detekci (neúmyslných) chyb při přenosu dat,
uložení dat apod.
­ Je snadné spočítat kontrolní součet dat i vytvořit data
odpovídající určitému kontrolnímu součtu, proto
kontrolní součty neposkytují ochranu před úmyslnou
modifikací dat.
Integrita dat ­ MAC
ˇ Autentizační kódy (též digitální pečetě,
message authentication code ­ MAC)
­ Slouží k zajištění integrity dat (ne důvěrnosti
dat).
­ Původce a příjemce dat sdílí tajný klíč k.
­ Původce zprávy spočítá hk(x), které přidá ke
zprávě x.
­ Příjemce zprávy spočítá hk(x') z přijaté zprávy x'
a srovná s přijatým hk(x).
Zpráva MAC
Jak získat funkci pro vytváření MAC?
ˇ MAC můžeme získat z libovolné
symetrické šifry v CBC (cipher block
chaining) režimu (kdy zašifrovaná data
závisí na všech předchozích datech).
ˇ MAC můžeme získat i z hašovací funkce,
např. tajný prefix, sufix.
HMAC(x) = h(k||p1||h(k||p2||x))
k klíč, p padding (doplnění dat)
MAC
ˇ Příklad: MAC založený na AES
AES AES AES...
x1 x2 xt
0
k k k
H1 H2 Ht-1
,,Chaffing and windowing"
ˇ Metoda ,,chaffing and windowing" (oddělení zrn od plev).
ˇ Použití MAC pro zajištění důvěrnosti.
ˇ Zprávu rozdělíme na jednotlivé bity.
ˇ Pro každý bit vytvoříme 2 zprávy (obsahující 0 a 1),
jednu se správným MAC a jednu s nesprávným MAC.
Tyto 2 zprávy v náhodném pořadí odešleme příjemci.
ˇ Příjemce dostane 2 zprávy, tu se správným MAC si
ponechá a tu druhou zahodí.
ˇ Nikdo, kdo nezná tajný sdílený klíč, není schopen odlišit
zprávu se správným a nesprávným MAC.
ˇ Existují i efektivnější metody než posílání po 1 bitu.
Praktická ukázka autentizace dat
ˇ Autentizace spustitelných EXE souborů
v prostředí Microsoft Windows
ˇ Proč autentizujeme?
­ Chceme zajistit integritu programů.
­ Chceme znát autora programu.
­ Věříme například jen kódu od firmy Microsoft
a chceme mít jistotu, že kód při přenosu
někdo nemodifikoval, či nepodstrčil.
Microsoft Autenticode
ˇ Jak autentizace funguje?
ˇ EXE soubor je digitálně podepsaný.
ˇ Digitální podpis je ověřen.
ˇ Pokud je podpis platný, aplikace je
automaticky spuštěna.
ˇ Je-li podpis neplatný nebo není-li EXE
soubor podepsán, je interaktivně dotázán
uživatel.
Microsoft Autenticode
ˇ Toto dialogové okno asi už znáte:
Microsoft Autenticode
ˇ A tento program není podepsaný vůbec:
Microsoft Authenticode
ˇ Autentizovaná data
­ Při bezchybné autentizaci dat víme, že data
byla získána z uvedeného zdroje (např. od
firmy Microsoft) a že nebyla modifikována.
­ Autentizace dat neznamená, že data jsou
správná, programy bezchybné, bezpečné
apod.
Microsoft Autenticode
ˇ 100% bezpečnost neexistuje!
ˇ V roce 2001 získal neznámý útočník 2 certifikáty
veřejného klíče určené pro firmu Microsoft a
podepsané firmou Verisign (obě firmy jsou
klíčoví hráči ve svém oboru a určitě mají pečlivě
propracované bezpečnostní předpisy).
ˇ Útočník se úspěšně vydával za zaměstnance
firmy Microsoft a získal certifikát podepsaný
firmou Verisign včetně soukromého klíče.
ˇ Jakýkoliv kód podepsaný takto certifikovaným
klíčem bude ve Windows spuštěn bez úvodního
varování.
Autentizační protokoly
Protokol
ˇ Protokol je několikastranný algoritmus
definovaný posloupností kroků, které
specifikují akce prováděné dvěma a více
stranami, pro dosažení určitého cíle
zpráva
zpráva
odpověď
odpověď
Kryptografické protokoly
ˇ Autentizační protokol ­ zajistí jedné straně
určitou míru jistoty o identitě jiné strany (té, se
kterou komunikuje)
ˇ Protokol pro ustavení klíče (key establishment
protocol) ­ ustaví sdílené tajemství (typicky klíč)
ˇ Autentizovaný protokol pro ustavení klíče
(authenticated key establishment protocol) ­
ustaví sdílené tajemství se stranou, jejíž identita
byla potvrzena
Autentizační protokoly
ˇ Během protokolu autentizujeme:
­ Pouze jednu ze stran
­ Obě strany
­ Kontinuální autentizace
ˇ Kdo koho autentizuje
­ Alice vyzývá Boba, aby se autentizoval
­ Bob se autentizuje rovnou sám bez výzvy
Autentizace heslem
ˇ Alice se autentizuje Bobovi tak, že mu pošle své
heslo
ˇ Heslo je možné odposlechnout
ˇ Bob po úspěšné Alicině autentizaci zná Alicino
heslo a může se (např. vůči Cyrilovi)
autentizovat jako Alice (pokud Alice používá
stejné heslo pro autentizace vůči různým
stranám)
heslo
Útok impersonací (vydáváním se za
jiného)
heslo
odposlech
heslo
Jsem Alice
Jsem Alice
Bob
Emil
Emil
Emil je pasivní útočník (odposlouchává komunikaci)
Emil zadá heslo do existující aplikace
Alice
Hašované heslo
ˇ Při autentizaci se neposílá heslo samotné,
ale pouze haš hesla
ˇ Kdo odposlechne haš nezíská automaticky
heslo
ˇ Haš však lze použít pro podvodnou
autentizaci
haš hesla
Útok přehráním
haš hesla
odposlech
haš hesla
Jsem Alice
Jsem Alice
Bob
Emil
Emil Bob
Emil je pasivní útočník (odposlouchává komunikaci)
Emil nezná heslo, ale pošle odposlechnutý haš hesla, pomocí
své pomocné aplikace
Alice
Další útoky na protokoly
ˇ Zmíněné útoky impersonací a přehráním
ˇ Úplný výčet je nesnadný, ale zmínit je třeba
­ útoky prolínáním (interleaving) ­ kombinujeme zprávy z
více průběhů ­ obvykle, ale ne nutně jen, stejného
protokolu ­ ať již ukončených, nebo právě probíhajících
(viz další slajd)
­ slovníkové útoky ­ na protokoly využívající hesla,
diskutováno později u autentizace uživatelů
­ útoky využitím známého klíče (known-key) ­ obvyklé u
protokolů pro ustanovení klíče, kde se klíč ustanoví na
základě staršího/ch (útočníkovi známého/ch) klíče/ů
Útok prolínáním (1)
ˇ Mějme autentizační protokol:
rA
rB, SB(rB, rA, A)
Alice
Bob
r'A , SA(r'A, rB, B)
Útok prolínáním (2)
Alice BobEva
rA
rB, SB(rB, rA, A)
rB
r'A, SA(r'A, rB, B)
r'A, SA(r'A, rB, B)
Evě se podařilo vydávat se vůči Bobovi za Alici
Protokoly výzva-odpověď
ˇ Protokoly typu výzva-odpověď (challenge-
response)
­ Odposlechem výzvy i odpovědi útočník moc
nezíská
­ Bob se může přesvědčit o identitě Alice, bez
získání jejího tajemství
číslo
Digitálně podepsané číslo
výzva
odpověď
Alice Bob
Časově proměnné parametry
ˇ Náhodná čísla (random numbers) ­ čísla, která jsou
nepredikovatelná (v tomto kontextu zahrnujeme pod náhodná
čísla i čísla pseudonáhodná). Použitím náhodných čísel
zajišťujeme jedinečnost a ,,aktuálnost/čerstvost". Získat skutečně
náhodná čísla je netriviální (vyžaduje speciální HW zařízení).
V praxi obvykle používáme pseudonáhodná čísla (které na
základě tajného stavu - semínka (seed) generují sekvence čísel).
Značíme r.
ˇ Sekvence (sequence numbers) ­ monotonně rostoucí
posloupnost čísel (obě strany musí dlouhodobě uchovávat
informaci o poslední hodnotě). Jednoznačně identifikují zprávy a
umožňují detekovat útoky přehráním předchozí komunikace.
Značíme n.
ˇ Časová razítka (timestamps) ­ obě strany musí synchronizovat
a zabezpečit hodiny. Zajišťují jedinečnost a časovou přesnost.
Značíme t.
Protokoly výzva-odpověď
ˇ Založené na symetrických technikách
­ Symetrické šifrování
­ Jednosměrná funkce s klíčem
­ Generátory passcode
ˇ Založené na asymetrických technikách
­ Dešifrování
­ Digitální podpis
Symetrické techniky
ˇ Založené na symetrickém šifrování (Alice a Bob
sdílí tajný symetrický klíč K)
ˇ Standard ISO/IEC 9798-2
ˇ Jednostranná autentizace (časové razítko)
­ A  B: EK(tA,"B")
ˇ Možné útoky
­ Útok přehráním: odposlechnu EK(tA,"B") a pošlu jej
rychle znovu (v době platnosti tA)
­ Změna hodin: odposlechnu EK(tA,"B"), později změním
hodiny B tak, aby odpovídaly času tA a znovu pošlu
EK(tA,"B")
Symetrické techniky
ˇ Jednostranná autentizace (náhodné číslo)
­ A  B: rB
­ A  B: EK(rB,"B")
ˇ Možné útoky
­ Útočník odposlouchává a ukládá [rB, EK(rB,"B")],
pokud se challenge rB opakuje, pak je schopen poslat
správný response. Případně se může aktivně snažit
ovlivnit vytváření náhodných rB (např. ovlivněním
vstupu generátoru náhodných čísel Boba).
ˇ Oboustranná autentizace (náhodná čísla)
­ A  B: rB
­ A  B: EK(rA,rB,"B")
­ A  B: EK(rB,rA)
Symetrické techniky
ˇ Založené na klíčovaných jednosměrných
funkcích (Alice a Bob sdílí tajný symetrický
klíč K)
ˇ Standard ISO/IEC 9798-4, protokoly SKID
ˇ Oboustranná autentizace
­ A  B: rB
­ A  B: rA, hK(rA,rB,"B")
­ A  B: hK(rB,rA,"A")
­ hK je MAC algoritmus
Symetrické techniky
ˇ Generátory passcode ­ hand-held (PDA, kapesní
počítače) pro bezpečné uložení dlouhodobých klíčů
doplněné zadáním PINu uživatele
ˇ Subjekty A, B sdílí tajný klíč sA a tajný PIN pA
­ A  B: rB
­ subjekt A zadá do generátoru přijatou výzvu rB a vloží svůj
PIN
­ A  B: f(rB,sA,pA)
Výzva, PINvýzva
odpověďodpověď
Asymetrické techniky
ˇ Založené na dešifrování soukromým
klíčem
ˇ Jednostranná autentizace
­ A  B: h(r), ,,B", PA(r,"B")
­ A  B: r
ˇ h ­ hašovací funkce
ˇ h(r) slouží k prokázání znalosti r bez jeho
odhalení
Asymetrické techniky
ˇ Založené na digitálním podpisu
ˇ Standard ISO/IEC 9798-3
ˇ Jednostranná autentizace (časové razítko)
­ A  B: certA, tA, "B", SA(tA, "B")
ˇ Možné útoky
­ Útok přehráním: odposlechnu SA(tA, "B") a
pošlu jej rychle znovu (v době platnosti tA)
­ Změna hodin: odposlechnu SA(tA, "B"), později
změním hodiny B tak, aby odpovídaly času tA
a znovu pošlu SA(tA, "B")
Asymetrické techniky
ˇ Jednostranná autentizace (náhodné číslo)
­ A  B: rB
­ A  B: certA, rA, "B", SA(rA,rB,"B")
­ rA zde zabraňuje útokům s vybraným textem
ˇ Možné útoky
­ Obdobné útoky na náhodné rB jako v případě
symetrických technik
ˇ Oboustranná autentizace (náhodná čísla)
­ A  B: rB
­ A  B: certA, rA, "B", SA(rA,rB,"B")
­ A  B: certB, "A", SB(rB,rA,"A")
Protokoly pro mgmt klíčů
ˇ Účel
­ Přenos klíče
­ Ustavení klíče
­ Aktualizace klíče (strany sdílí dlouhodobý klíč
K)
­ Zároveň i autentizace jedné nebo obou stran
ˇ Počet stran
­ Protokol pro dvě strany
­ Protokol s důvěryhodnou třetí stranou
Symetrické techniky přenosu
klíče
ˇ Aktualizace klíče založená na symetrické
šifře (Alice a Bob sdílí tajný klíč K)
­ Přenos klíče (1 zpráva, časové razítko)
­ A  B: EK(rA,tA,"B")
­ Přenos klíče (výzva-odpověď, náhodné nebo
sekvenční číslo)
­ A  B: nB
­ A  B: EK(rA,nB,"B")
Symetrické techniky přenosu
klíče
ˇ Přenos klíče odvozením
­ A  B: rA
­ Nový klíč W=EK(rA)
ˇ Aktualizace klíče se vzájemnou autentizací
­ AKEP2 (Authenticated Key Exchange Protocol 2)
­ A  B: rA
­ A  B: ("B","A",rA,rB), hK("B","A",rA,rB)
­ A  B: ("A",rB), hK("A",rB)
­ Nový klíč W=h´K´(rB)
­ hK je MAC algoritmus, h´ je MAC algoritmus (odlišný
od h), obě strany sdílí K, z K je odvozen K´
Symetrické techniky přenosu
klíče
ˇ Přenos klíče bez předchozího sdíleného
tajemství
­ Shamirův protokol bez klíčů (Shamir's no-key
protocol)
­ Komutativní symetrická šifra E
­ Každá strana má svůj symetrický klíč KA,KB
­ A  B: EKA(X)
­ A  B: EKB(EKA(X))
­ A  B: EKB(X)
­ Nyní obě strany sdílí X; byly nutné 3 zprávy
Otázky?
Vítány!!!
Příští přednáška 6. 3. 2006 ve 14:00
matyas@fi.muni.cz
zriha@fi.muni.cz