PV157 ­ Autentizace a řízení
přístupu
Autentizační protokoly
(pokračování)
Kerberos
ˇ KDC (key distribution center) ­ server sdílí klíč
s každým klientem; (klienti však mezi sebou klíče
nesdílí); distribuuje klíče, které generuje.
ˇ KTC (key translation center) ­ server negeneruje
klíče sám; klíč dodá jedna ze stran; server klíč
distribuuje
Alice Bob
Server (KDC)
Kerberos
ˇ Vznikl při projektu Athena na MIT
ˇ Symetrická šifra E
ˇ 2 strany (A, B) a důvěryhodný
autentizační server (značíme T)
ˇ Cíl:
­ autentizace subjektu A vůči B
­ ustavení klíče k (zvolí T)
­ případně distribuce tajemství
sdíleného A a B
ˇ Každá strana sdílí tajemství se serverem
KAT, KBT
Kerberos
ˇ Zjednodušená verze protokolu
­ L ­ doba platnosti (,,lifetime")
­ Def.: ticketB = EKBT(k, "A", L), auth = Ek("A", TA)
­ (1) A  T: "A", "B", nA
­ (2) A  T: ticketB, EKAT(k, nA, L, "B")
­ (3) A  B: ticketB, auth
­ (4) A  B: Ek(TA)
(1)
(2)
(3)
A B
¨T
(4)
Asymetrické techniky přenosu klíče
ˇ Zašifrování podepsaných klíčů
­ A  B: PB(SA("B", k , tA))
­ (volitelné) časové razítko tA zároveň autentizuje A
vůči B
ˇ Separátní šifrování a podpis
­ A  B: PB(k, tA), SA("B", k, tA)
­ Pouze v případě, kdy z podpisu nelze získat
podepsaná data
ˇ Podepsání zašifrovaných klíčů
­ A  B: tA, PB("A", k), SA("B", tA, PB("A",k))
Asymetrické techniky přenosu klíče
ˇ X.509 obousměrná autentizace s přenosem klíče
ˇ Def.: DA = (tA, rA, "B", PB(k1))
DB = (tB, rB, "A", PA(k2))
ˇ Protokol
­ A  B: certA, DA, SA(DA)
­ A  B: certB, DB, SB(DB)
Asymetrické techniky ustavení klíče
ˇ Diffie-Hellman protokol pro ustavení
sdíleného tajemství
­ Společné prvočíslo p, generátor  v Zp
­ A volí tajné x, B volí tajné y
­ A  B: x mod p
­ A  B: y mod p
­ A a B sdílí K=xy mod p
Zero-knowledge protokoly
ˇ Český překlad: protokoly s nulovým rozšířením
znalostí
ˇ Jdou dále než protokoly sdělující hesla i protokoly
typu výzva-odpověď
ˇ Zero-knowledge ­ umožňují demonstrovat znalost
nějakého tajemství bez odhalení jakékoliv informace
použitelné pro získání tajemství
ˇ Úplnost (completeness) ­ poctivé strany vždy
dosáhnou úspěšného výsledku
ˇ Korektnost (soundness) ­ pravděpodobnost, že
nepoctivý útočník se může úspěšně vydávat za jinou
stranu je mizivá
Zero-knowledge protokoly
ˇ Identifikační protokol Feige-Fiat
ˇ Důvěryhodná strana T volí modulus n = pq (jako
v RSA), n zveřejní, ale p a q uchová v tajnosti
ˇ A volí tajné s (nesoudělné s n, 1  s  n-1), spočítá
v = s2 mod n. Veřejný klíč A je v.
ˇ Subjekt A se autentizuje subjektu B:
­ A  B: x = r2 mod n
­ A  B: e = 0 nebo 1
­ A  B: y = r  se mod n
ˇ Opakujeme t-krát. Pravděpodobnost podvádění je 2-t.
Protokoly vyšší úrovně ­ SSL/TLS
Protokol SSL/TLS poskytuje:
ˇ Autentizaci stran ­ strany jsou autentizovány pomocí
certifikátů a protokolu výzva-odpověď
ˇ Integritu ­ autentizační kódy (message authentication
code - MAC) zajišťují integritu a autenticitu dat
ˇ Důvěrnost ­ po úvodní inicializaci (,,handshake"),
je ustaven symetrický šifrovací klíč, kterým je šifrována
všechna následující komunikace (včetně přenosu hesel
apod.)
Principy SSL/TLS
ˇPozice SSL/TLS
­ Mezi aplikační vrstvou a protokolem TCP
­ SSL/TLS nevidí do aplikačních dat
­ SSL/TLS neprovádí elektronické
podepisování přenášených dat Aplikační vrstva
SSL/TLS
TCP/UDP
IP
Linková vrstva
Fyzická vrstva
Komponenty SSL/TLS
Šložení protokolu SSL/TLS z komponent
­ Record Layer Protocol ­ zpracovává aplikační data
­ Handshake Protocol ­ úvodní domluva parametrů
­ Change Cipher Specification Protocol ­ použití nových
parametrů šifrování
­ Alert protocol ­ informace o chybách a varováních
Klíče v SSL/TLS
ˇPoužití klíčů
­ Klient generuje PreMasterSecret, šifruje veřejným klíčem
serveru a posílá serveru
­ Obě strany vytvoří blok klíčů z PreMasterSecret (posílá se
šifrovaně) a náhodných čísel ClientHello a ServerHello
(posílají se nešifrovaně)
­ Blok klíčů tvoří klíče pro
ˇ MAC klient  server
ˇ MAC server  klient
ˇ šifrování klient  server
ˇ šifrování server  klient
ˇ inicializační vektory
Record Layer Protocol
ˇ Základní vrstva protokolu
ˇ Pracuje nad TCP/IP (nebo jiným transportním protokolem).
ˇ Umožňuje kombinaci s různými protokoly vyšší úrovně
(HTTP, FTP, telnet apod.), které běží beze změny
ˇ Posloupnost kroků
­ rozdělení dat na bloky o max. velikosti 214 bajtů
­ komprimace dat
­ výpočet MAC
­ doplnění na délku bloku šifrovacího algoritmu
­ šifrování
Inicializační fáze
ˇ Handshake Protocol
­ Umožňuje vzájemnou autentizaci serveru a klienta
­ Implicitně je autentizace serveru povinná a autentizace
klienta volitelná
­ Autentizace prezentací digitálních certifikátů a znalostí
odpovídajících soukromých klíčů
­ Během inicializační fáze jsou vyměněna náhodná čísla
a další data, nutná pro výpočet bloku klíčů
SSL/TLS
Client Hello
Server Hello, ( , Client Cert Request,...)
Server
Cert
Client
CertClient Key Exchange, Cipher Spec, ( , ...)
Application Data
S E C U R E
Client Server
IPsec
ˇ Protokoly IPv4 ­ nedostatečná bezpečnost
ˇ Historie
­ Myšlenka IPsec již v roce 1991
­ RFC v roce 1998
­ vývoj neustále pokračuje
­ IPsec pro IPv4 jen přechodné řešení, neboť IPv6 již řeší
problémy bezpečnosti
ˇ IPv6
­ Větší množství adres (adresy IPv4 nebudou již brzy stačit)
­ Bezpečnost (IPsec povinný)
­ Mobilita
IPsec
ˇ IPsec zajišťuje
­ Autentizaci původu dat ­ každý datagram je
ověřován, zda byl odeslán uvedeným odesilatelem
­ Integrita dat ­ ověřuje se, zda data nebyla při
přenosu změněna
­ Důvěrnost dat ­ data jsou před přenosem šifrována
­ Ochrana před útokem přehráním ­ útočník nemůže
zneužít odposlechnutou komunikaci k útoku
přehráním
­ Automatický management klíčů
ˇ Autentizační hlavička (AH)
ˇ Autentizační hlavička slouží k zajištění původu dat,
integrity dat a chrání vůči útoku přehráním. Je použit
MAC kombinovaný se sekvenčním číslem.
IPsec ­ AH
Next header Length Reserved
Security Parameter Index
Authentication Data
Sequence number field
IPsec - AH
IP hlavička Ostatní hlavičky a data
Tajný klíč
IP hlavička AH Ostatní hlavičky a data
128 bitů
Hašovací funkce (MD5 nebo SHA-1)
Původní IP datagram
Autentizovaný IP datagram
IPsec - ESP
ˇ Encapsulated Security Payload (ESP) header
ˇ EPS zajišťuje integritu a autenticitu dat, brání útokům
přehráním a zajišťuje důvěrnost dat. Je použit
symetrický šifrovací klíč sdílený oběma
komunikujícími stranami.
Opaque Transport Data
Security Association Identifier (SPI)
Režimy IPsec
ˇ Transportní režim (end-to-end)
ˇ Tunelovací režim (firewall-to-firewall)
tunel
tunel
ˇ Standardní IP:
ˇ Režimy provozu IPsec
­ Transportní režim (point-to-point)
­ Tunelovací režim
IPsec
IP header Data
IP header DataESP header ESP Trailer ESP Auth.
šifrováno
autentizováno
šifrováno
autentizováno
IP header DataESP header ESP TrailerNew IP header ESP Auth.
IPsec ­ správa klíčů
ˇ Oakley
­ protokol pro ustavení společného klíče
­ založen na protokolu Diffie-Hellman, ale:
ˇ strany jsou autentizovány (brání man-in-the-middle útoku)
­ sdílené klíče, dohodnuté předem
­ Veřejné klíče DNS (viz DNSSEC)
­ RSA klíče podle PGP
­ RSA klíče včetně certifikátu podle X.509
­ DSS klíče včetně certifikátu podle X.509
ˇ pomocí časově proměnných parametrů se brání útokům přehráním
ˇ pomocí tzv. cookies se brání útokům typu ,,DoS" (prováděné
výpočty jsou totiž časově náročné)
ˇ umožňuje dohodu na použité grupě
ˇ ISAKMP
­ framework (nezávislý na konkrétních šifrovacích
algoritmech) pro správu klíčů a bezpečnostních atributů
Útoky
ˇ Pasivní útočník ­ analyzuje odchycená šifrovaná
data
ˇ Aktivní útočník ­ modifikuje data a/nebo vytváří
nové zprávy
ˇ Zosobnění (impersonation) ­ jedna strana se vydává
za stranu jinou
ˇ Přehrání (replay attack) ­ využití dříve poslané
informace
ˇ Odraz (reflection attack) ­ využití odeslané zprávy
k okamžitému poslání odesilateli
ˇ Volený text (chosen-text attack) ­ vhodné volení
výzev (v protokolech výzva-odpověď) pro získání
dlouhodobého klíče
Útok přehráním
Heslo
Alice Bob
Eva
Heslo
Eva Bob
Protokol Diffie-Hellman (opak.)
Alice
x
Bob
x mod p
y
y mod p
xy mod p xy mod p
Útok ,,Man in the middle"
Alice
x
Bobx mod p
y
y mod p
xy' mod p x'y mod p
Eva
x'
x' mod p
y'
y' mod p
x'y mod p
xy' mod p
Autentizace počítačů
Autentizace počítačů
ˇ Na základě adresy počítače
­ MAC
­ IP
ˇ Na základě tajné informace
­ Symetrická kryptografie
­ Asymetrická kryptografie
Autentizace podle adresy
ˇ Autentizace na základě (síťové) adresy
­ MAC adresa ethernetové síťové karty
ˇ Přepínače (switch)
ˇ Svázání portu přepínače pouze s určitou MAC adresou
ˇ Svázání IP adresy pouze s určitou MAC adresou
­ IP adresa počítače
ˇ Řízení přístupu k síťovým službám (přístup k webovým
stránkám na základě IP adresy)
ˇ Paketové filtry (součást firewallů) pracují na základě IP
adresy a čísla portu odesilatele a příjemce (zdroj a cíl)
Autentizace podle adresy
ˇ Úroveň bezpečnosti autentizace podle adresy
­ MAC adresy nejsou tajné (viz např.
protokol/příkaz ARP)
­ MAC adresu ethernetové karty lze jednoduše
změnit
­ IP adresu lze změnit
­ Je možné nesprávně uvést zdrojovou adresu
(odesilatele) ­ IP spoofing
­ ! ! ! Automatické reakce na útoky (datagramy) s
nesprávnou zdrojovou adresou (např. firewall
odřeže přístup z určité domény)
Soubor .rhosts
ˇ Soubor .rhosts
­ Nastavuje unixový uživatel se svém domovském adresáři
(např. /home/zriha/.rhosts)
­ Globální důvěra: soubor /etc/hosts.equiv
­ Povoluje kdo může jeho účet používat (protokoly rlogin,
rsh, rexec, ...)
­ Nahrazuje autentizaci heslem (např. protokolem telnet)
­ Formát řádků: stroj [login]
např. queen.math.muni.cz
aisa.fi.muni.cz
krusty.math.muni.cz riha
­ Uvedeným strojům důvěřujeme (že správně uvedou
uživatelské jméno)
­ Možné útoky: počítač neuvede správně login uživatele,
DNS, routing nebo IP spoofing
Autentizace na základě tajné informace
ˇ Tajné informace
­ Hesla
­ Tajné symetrické klíče
­ Soukromé asymetrické klíče
ˇ Jak tyto tajné informace ukládat?
­ Nešifrovaně v čisté podobě ­ počítač k nim má jednoduchý
přístup, ale jsou přístupné i všem uživatelům
s dostatečnými právy (hackeři)
­ Šifrovaně/chráněné heslem ­ při startu počítače (programu)
je nutné manuálně zadat heslo/šifrovací klíč, slabé heslo
znamená slabou ochranu, po celou dobu použití jsou tajné
informace v paměti
Protokol ssh
ˇ Protokol ,,secure shell" (ssh)
ˇ Slouží k přihlášení klienta (uživatele) k serveru
ˇ Autentizace serveru i klienta
ˇ Server
­ RSA host key (dlouhodobý)
­ RSA server key (generovaný každou hodinu)
ˇ Metody autentizace klienta
­ .rhosts nebo /etc/hosts.equiv
­ .rhosts nebo /etc/hosts.equiv s RSA autentizací klienta
(počítače)
­ RSA autentizace klienta (uživatele)
­ Heslo uživatele
Protokol ssh
ServerKlient
Identifikace verze
Identifikace verze
RSA host key, RSA server key, nabízené šifr. alg., ...
Zašifrovaný (RSA) klíč sezení, šifr. alg. pro sezení
packet-based
šifrováno
potvrzení
autentizace klienta
autentizace klienta
Protokol ssh
ˇ Šifrovací algoritmy pro šifrování sezení (klient vybírá z možností
nabízených serverem)
­ 3DES (povinná podpora), ve verzi 1 i DES
­ AES - doporučené
­ Twofish - doporučené
­ Blowfish - doporučené
­ IDEA
­ Serpent
­ Arcfour
­ CAST128
ˇ Šifrovací/podepisovací algoritmy pro autentizaci klienta/serveru
­ Od verze 2 je kromě RSA podporován i algoritmus DSA
ˇ Obrana vůči útokům
­ Odposlech hesla a pozdější přehrání
­ DNS spoofing
­ IP spoofing
­ Routing spoofing
Protokol ssh: debug režim (ssh -v)
debug1: Connecting to aisa.fi.muni.cz [147.251.48.1] port 22.
debug1: Connection established.
debug1: identity file /home3/zriha/.ssh/identity type -1
debug1: Remote protocol version 1.99, remote software version OpenSSH_3.4p1
debug1: Local version string SSH-1.5-OpenSSH_3.1p1
debug1: Waiting for server public key.
debug1: Received server public key (768 bits) and host key (1024 bits).
debug1: Host 'aisa.fi.muni.cz' is known and matches the RSA1 host key.
debug1: Found key in /home3/zriha/.ssh/known_hosts:5
debug1: Encryption type: 3des
debug1: Sent encrypted session key.
debug1: Received encrypted confirmation.
debug1: Doing password authentication.
zriha@aisa.fi.muni.cz's password:
debug1: Requesting pty.
debug1: fd 3 setting TCP_NODELAY
debug1: Requesting shell.
debug1: Entering interactive session.
Asymetrické klíče pro autentizaci
uživatele
ˇ Soukromé klíče uživatele
­ ~/.ssh/identity
­ ~/.ssh/id_dsa
ˇ Veřejné klíče uživatele
­ ~/.ssh/identity.pub
­ ~/.ssh/id_dsa.pub
ˇ Vytvoření klíče: příkaz ssh-keygen
bash-2.05$ ssh-keygen -f /tmp/test -t rsa
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /tmp/test.
Your public key has been saved in /tmp/test.pub.
The key fingerprint is:
82:dd:71:7a:c4:ac:1c:de:b0:d3:d6:5b:63:7d:7c:76 zriha@queen.math.muni.cz
Protokol ssh
ˇ Ověření integrity veřejného klíče serveru
ˇ Soubory
­ /etc/ssh/known_hosts
­ /etc/ssh/known_hosts2
­ ~/.ssh/known_hosts
­ ~/.ssh/known_hosts2
­ Formát: počítač délka_klíče klíč
­ Např.: aisa 1024 37
92648095391895266660461031814637345286469741285
19463898291113200170437591638902829526627999663
57470373079794594589737234564882145189758891946
37391967788396230335631144998324780320375923657
36181174418615708849459044374454744143100510826
95360610857954348154578413482365924024485042273
51129807154870221237653119
Protokol ssh
ˇ Autentizace pomocí RSA/DSA klíče
­ Soubor
ˇ ~/.ssh/authorized_keys
ˇ ~/.ssh/authorized_keys2
­ Soubor obsahuje veřejné klíče uživatele(ů)
­ Obdoba .rhosts, ale pro silnou autentizaci
ˇ Autentizační agent
­ ssh-agent
­ Zadám passphrase jen jednou
­ Agent uloží klíč do paměti
­ Následné autentizační požadavky řeší agent
Autentizace ...
ˇ Autentizace zpráv, protokoly
­ Postaveny na kryptografii
­ Redukce problémů na ochranu kryptografických
klíčů
ˇ Autentizace uživatelů
­ Hesla a PINy jsou obdobné (velmi slabé ,,klíče")
­ Další možnosti (tokeny, biometriky)
­ viz následující blok přednášek
Otázky?
Příští přednáška: 13. 3. 2006 14:00
matyas@fi.muni.cz & zriha@fi.muni.cz