Ένα Υβριδικό Μοντέλο Ανάκτησης Κλειδιού

Transcript

1 Ένα Υβριδικό Μοντέλο Ανάκτησης Κλειδιού Εµµανουήλ Μάγκος Abstract. Περιγράφουµε τις δυνατές µεθόδους ανάκτησης κλειδιού (key recovery) καθώς και τις επιθέσεις που µπορούν να γίνουν σε αυτά. Για την αντιµετώπιση των επιθέσεων αυτών προτείνουµε ένα υβριδικό µοντέλο στο οποίο ενσωµατώνουµε δύο διαφορετικές προσεγγίσεις ώστε να επιτύχουµε ασφάλεια, χωρίς παραβίαση της ιδιωτικότητας των πολιτών. 1. Εισαγωγή Τα συστήµατα ανάκτησης κλειδιού (key recovery) [1] επιτρέπουν την πρόσβαση σε αποκρυπτογραφηµένο υλικό, υπό ορισµένες προϋποθέσεις. Οι προϋποθέσεις αυτές, για παράδειγµα, µπορεί να είναι η επιβολή του νόµου (law enforcement) [2], η απώλεια κλειδιών που αντιστοιχούν σε αποθηκευµένο υλικό προσωπικής χρήσης (archived data), ή η πρόσβαση σε κρυπτογραφικά κλειδιά που αντιστοιχούν σε αποθηκευµένο ή διακινούµενο υλικό στα πλαίσια µιας επιχείρησης εµπορική ανάκτηση κλειδιού (commercial key recovery) [3]. Τα συστήµατα εµπορικής ανάκτησης κλειδιού εµπίπτουν στην ευρύτερη κατηγορία των κρυπτογραφικών συστηµάτων διαχείρισης κλειδιού (key management). Μετά τις πρόσφατες τροµοκρατικές επιθέσεις, σε πολλές δηµοκρατίες υφίσταται έντονο ενδιαφέρον για συστήµατα ανάκτησης κλειδιού Τα συστήµατα αυτά πρέπει να παρέχουν ασφαλή και ταχεία πρόσβαση σε αποκρυπτογραφηµένο υλικό, προστατεύοντας παράλληλα το δικαίωµα των πολιτών για ιδιωτικότητα (privacy) των συνοµιλιών τους. Από τη σκοπιά αυτή, οι εφαρµογές αυτές πρέπει να είναι δίκαιες (equitable) [4]. Η έρευνα µας επικεντρώθηκε σε συστήµατα που επιτρέπουν την πρόσβαση σε κρυπτογραφηµένες συνοµιλίες, στα πλαίσια των υπηρεσιών επιβολής του νόµου. Εντούτοις, το υβριδικό µοντέλο ασφάλειας που προτείνουµε στην Ενότητα 3, µπορεί να χρησιµοποιηθεί και σε εφαρµογές εµπορικής ανάκτησης κλειδιού. 2. ιεθνής Βιβλιογραφία Η Παραδοσιακή Προσέγγιση - π.χ. Clipper [5]. Η προσέγγιση αυτή, που συχνά ονοµάζεται και υποθήκευση κλειδιού µακράς διαρκείας (long-term key escrow) αναφέρεται στην υποθήκευση του ιδιωτικού κλειδιού (private key) αποκρυπτογράφησης π.χ. της Alice σε ένα σύνολο πρακτόρων ανάκτησης κλειδιού (key escrow agents) [2]. Κάποια στιγµή η Αρχή Επιβολής Νόµου (Law Enforcement Agency - LEA), η οποία έχει υποκλέψει τις κρυπτογραφηµένες συνοµιλίες m της Alice κατά την περίοδο t και

2 έχει λάβει ένα ένταλµα για την αποκρυπτογράφηση τους, αξιώνει από τους πράκτορες το κλειδί της Alice ή, σε ορισµένες υλοποιήσεις, απλά την αποκρυπτογράφηση του m. Το κλειδί που υποθηκεύεται είναι µακράς διαρκείας. Ένα µειονέκτηµα της προσέγγισης αυτή είναι η υψηλή πολυπλοκότητα που συνεπάγεται η ανάκτηση του κλειδιού και η αποκρυπτογράφηση του µηνύµατος από τους κατανεµηµένους πράκτορες. Στην [4] προτείναµε έναν µηχανισµό ανάκτησης κλειδιού µε ισχυρή χρονική ασφάλεια (strong forward security), όπου οι κρυπτογραφηµένες συνοµιλίες ενός χρήστη που αφορούν µία περίοδο t µπορούν να κρυπτογραφηθούν από τις Αρχές, χωρίς να είναι δυνατή η πρόσβαση σε προγενέστερες ή µεταγενέστερες συνοµιλίες. Μερικώς Αδύνατα Κρυπτοσυστήµατα (Partially Weak Crypto) π.χ. κρυπτογραφικά συστήµατα µε κλειδιά περιορισµένου µήκους (40 bits). Στα συστήµατα αυτά είναι υπολογιστικά εφικτό για την Αρχή να ανακτήσει το κείµενο που αντιστοιχεί σε κρυπτογραφηµένη συνοµιλία. Εντούτοις, η µαζική υποκλοπή και παρακολούθηση συνοµιλιών των πολιτών είναι υπολογιστικά ανέφικτη. Στη βιβλιογραφία, ο Shamir [6] πρότεινε πρώτος τη µερική υποθήκευση κλειδιών (partial key escrow) ως µια µέθοδο όπου υποθηκεύονται όλα εκτός από k bits του κλειδιού (π.χ. k = 48 ). Τοποθέτηση σε Κάψουλα (Key Encapsulation) π.χ. IBM SKR [3]. H µέθοδος αυτή ονοµάζεται συχνά και ως ανάκτηση κλειδιού συνόδου (session key recovery), ή ως ιδεατή διευθυνσιοδότηση (virtual addressing). Αναφέρεται στην κρυπτογράφηση κλειδιών περιορισµένης χρονικής διαρκείας ή αλλιώς κλειδιών συνόδου, µε το δηµόσιο κλειδί (public key) του παραλήπτη καθώς και το δηµόσιο κλειδί µιας προκαθορισµένης Αρχής. Όταν της επιδειχθεί ένα ένταλµα, η Αρχή παραδίδει το κλειδί κρυπτογράφησης (το οποίο στα συµµετρικά σχήµατα συµπίπτει µε το κλειδί αποκρυπτογράφησης [10]) στην Αρχή Επιβολής Νόµου. Τα συστήµατα αυτά παρέχουν χρονική ασφάλεια και συνεπάγονται µειωµένη πολυπλοκότητα σε σχέση µε την παραδοσιακή προσέγγιση, ωστόσο είναι από τη φύση τους ευάλωτα σε επιθέσεις διπλής κρυπτογράφησης (Ενότητα 3.1) [9]. Τρίτες Έµπιστες Οντότητες (Trusted Third Parties - TTP) π.χ. Royal Holloway [7]. Τα κλειδιά συνόδου διανέµονται online από τρίτες έµπιστες οντότητες, κατά τρόπο παρόµοιο µε το συµµετρικό σύστηµα διανοµής κλειδιού Kerberos [8]. Οι µηχανισµοί ανάκτησης κλειδιού που εµπίπτουν σε αυτήν την κατηγορία σχεδιάστηκαν ειδικά για ταυτόχρονη εφαρµογή σε πολλαπλά περιβάλλοντα (multiple domains), όπως π.χ. σε διακρατικό επίπεδο. Ως µειονεκτήµατα µπορούν να αναφερθούν οι υψηλές απαιτήσεις σε χώρο αποθήκευσης (storage) και σε επικοινωνία (communication). 2.1 Επιθέσεις σε Συστήµατα Ανάκτησης Κλειδιού Tα περισσότερα συστήµατα ανάκτησης κλειδιού είναι ευάλωτα σε επιθέσεις διπλής κρυπτογράφησης (double encryption attacks) [9], όπου τα µηνύµατα κρυπτογραφούνται πρώτα µε ένα µη ελεγχόµενο κρυπτοσύστηµα, και στη συνέχεια το κρυπτογράφηµα που προκύπτει κρυπτογραφείται µε το σύστηµα ανάκτησης κλειδιού. Οι Pfitz-

3 mann και Waidner µάλιστα περιέγραψαν µια επίθεση στα συστήµατα Τοποθέτησης σε Κάψουλα (key encapsulation) [9], όπου ο επιτιθέµενος χρησιµοποιεί το ίδιο το σύστηµα ανάκτησης κλειδιού για να παρεµποδίσει την πρόσβαση στις συνοµιλίες του. Σε µια τέτοια επίθεση, αν το κρυπτογράφηµα που αποστέλλεται από την Alice στον Bob είναι: C = [ M1] S [ S1] PK [ S ] PK proof (1) όπου S 1 είναι το συµµετρικό κλειδί (π.χ. DES 128 bit [10]) µε το οποίο κρυπτογραφείται το µήνυµα M 1, PK 1, PK 2 είναι τα δηµόσια κλειδιά (π.χ. RSA 1028-bit [10]) του Bob και της Αρχής Ανάκτησης Κλειδιού (ΑΑΚ) αντίστοιχα και proof µια απόδειξη, επαληθεύσιµη από οποιονδήποτε, ότι το δεύτερο και τρίτο τµήµα του C περιέχουν το ίδιο κλειδί S 1, τότε η επίθεση συνίσταται στο ότι το είναι της µορφής: M = [ M 2 ] [ S ], (2) 1 S2 2 PK 1 εποµένως η Αρχή έχει τη δυνατότητα να ανακτήσει το M 1, αλλά όχι το M 2. Στη συνέχεια προτείνουµε ένα πλαίσιο για την αποτροπή τέτοιων επιθέσεων. M 1 3. Το Υβριδικό Μοντέλο Ασφαλείας Χρησιµοποιούµε ένα υβριδικό µοντέλο ανάκτησης κλειδιού: τα κλειδιά αποκρυπτογράφησης µακράς διαρκείας (που χρήζουν αυξηµένης προστασίας) είναι υποθηκευ- µένα, χρησιµοποιώντας την Παραδοσιακή Προσέγγιση, σε µια Αρχή Υποθήκευσης Κλειδιού η οποία για προστασία της ιδιωτικότητας των πολιτών υλοποιείται ως ένα σύνολο από πολλές ανεξάρτητες έµπιστες οντότητες [2,11], ενώ τα κλειδιά συνόδου µπορούν να ανακτηθούν από µια Αρχή Ανάκτησης Κλειδιού, βάσει του (πιο) ευέλικτου µηχανισµού της Τοποθέτησης σε Κάψουλα. Η αρχιτεκτονική αυτή δεν συνιστά µεγάλη πολυπλοκότητα. καθώς τα κλειδιά µακράς διαρκείας ανακτώνται µόνον όταν ανιχνευτεί επίθεση διπλής κρυπτογράφησης στο σύστηµα. Οι συµµετέχοντες στο µοντέλο µας είναι οι χρήστες, ο Παροχέας Υπηρεσιών Internet (Π.Υ.Ι), η Αρχή Επιβολής Νόµου (Α.Ε.Ν), η ικαστική Αρχή, η Αρχή Ανάκτησης Κλειδιού (Α.Α.Κ) και η Αρχή Υποθήκευσης Κλειδιού (Α.Υ.Κ). α) Η Alice στέλνει ένα κρυπτογράφηµα στον Bob µέσω του Παροχέα Υπηρεσιών Intenet. O Π.Υ.Ι ελέγχει για ορθότητα την απόδειξη proof εξίσωση (1), καταγράφει το κρυπτογράφηµα C και το προωθεί στον Bob. β) Εάν η Αρχή Επιβολής Νόµου θεωρεί ότι η ροή µηνυµάτων προς τον Bob για µια δεδοµένη χρονική περίοδο είναι ύποπτη, υποβάλει στη ικαστική Αρχή αίτηµα παρακολούθησης των µηνυµάτων που στέλνονται στον Bob και λαµβάνει ένα ένταλµα (περιορισµένης χρονικής διαρκείας). Το ένταλµα περικλείει το αναγνωριστικό ID Bob.

4 γ) Η Α.Ε.Ν παρουσιάζει το ένταλµα στον Π.Υ.Ι και λαµβάνει τα κρυπτογραφήµατα που απευθύνονται στον Bob για την χρονική περίοδο που αναγράφεται στο ένταλµα. δ) Η Α.Ε.Ν προωθεί το κρυπτογράφηµα C (καθώς και όλα τα κρυπτογραφήµατα που εστάλησαν στον Bob κατά τη συγκεκριµένη χρονική περίοδο) στην Αρχή Ανάκτησης Κλειδιού. Η Α.Α.Κ χρησιµοποιεί το ιδιωτικό της κλειδί αποκρυπτογράφησης ώστε να ανακτήσει το συµµετρικό κλειδί S 1 και κατ επέκταση το µήνυµα M 1. H A.A.K. στέλνει τα M, ID ) στην Α.Ε.Ν. ( 1 Bob Fig. 1. Ένα Υβριδικό Σύστηµα Ανάκτησης Κλειδιού ε) Αν η Α.Ε.Ν θεωρήσει ότι το M 1 αποτελεί το µοναδικό αποκρυπτογράφηµα που απευθύνεται στον Bob, τότε η διαδικασία ανάκτησης κλειδιού ολοκληρώνεται. Εάν όµως υποπτευθεί ότι το M 1 περιέχει επιπλέον δεδοµένα, κρυπτογραφηµένα µε το δηµόσιο κλειδί του Bob, στέλνει τα ( M, ID ) στην Αρχή Υποθήκευσης Κλειδιού. 1 Bob στ) Η Α.Υ.Κ χρησιµοποιεί το υποθηκευµένο κλειδί του Bob για να εξάγει το διπλά κρυπτογραφηµένο µήνυµα M 2, και στέλνει τα ( M 2, IDBob) στην Α.Ε.Ν. 4. Συζήτηση Στη διεθνή βιβλιογραφία έχει καταδειχθεί η δυσκολία υλοποίησης συστηµάτων ανάκτησης κλειδιού, ιδίως στα πλαίσια των υπηρεσιών επιβολής νόµου. Εκτός από την επίθεση των Pfitzmann και Waidner [9], οι επιτιθέµενοι µπορεί να χρησιµοποιήσουν στεγανογραφία ή ακόµη να σχεδιάσουν και να υλοποιήσουν από την αρχή µυστικούς κρυπτογραφικούς αλγόριθµους [10]. Εντούτοις, εάν κάποτε υπάρξει µια καλά ορι-

5 σµένη Υποδοµής ηµόσιου Κλειδιού (Public Key Infrastructure PKI) µε εγγενή υποστήριξη ανάκτησης κλειδιού, οι επιτιθέµενοι που παρακάµπτουν την υποδοµή αυτή θα έχουν σηµαντικές δυσκολίες στη διανοµή των κλειδιών τους. Βιβλιογραφία 1. Denning, D., Branstad, D.: A Taxonomy of Key Escrow Encryption Systems. In Communications of the ACM, Vol. 39(3). ACM Press (1996) Micali, S.: Fair Public Key Cryptosystems. In Advances in Cryptology - CRYPTO '92, LNCS Vol. 740, Springer-Verlag, Berlin (1993) Gennaro, R., Karger, P., Matyas, S., Peyravian, M., Roginsky, A., Safford, D., Zollet M., Zunic, N.: Two-Phase Cryptographic Key Recovery System. In Computers & Security. Elsevier Sciences (1997) Burmester, M., Chrissikopoulos, V., Kotzanikolaou, P., Magkos, E.: Strong Forward Security. In IFIP-SEC '01. Kluwer Academic Publishers (2001) FIPS 185, Escrowed Encryption Standard. US Department of Commerce, February Shamir, A.: Partial Key Escrow: A New Approach to Software key Escrow. In Key Escrow Conference, Washington, D.C, September 15 (1995) 7. Jefferies, N., Mitchell, C., Walker, M.: Trusted Third Party based Key Management allowing Warranted Interception. In Public Key Infrastructure Invitational Workshop. NISTIR 5788, National Institute of Standards and Technology, Gaithersburg, MD, USA (1995) 8. Miller, P., Neuman, B., Schiller, J., Saltzer, J.: Kerberos Authentication and Authorization System. M.I.T. Project Athena, Massachusetts, December 21 (1987) 9. Pfitzmannm, B., Waidner, M.: How to Break Fraud-Detectable Key Recovery. In EUROCRYPT '97. Rump Session, Konstanz, Germany, May 13 (1997) 10. Schneier,B.: Applied Cryptography - Protocols, Algorithms and Source Code in C. 2nd Edition (1996) 11. Desmedt, Y.: Threshold Cryptography. In European Transactions on Telecommunica-tions, Vol. 5 (1997)