Πρωτόκολλα Ασφάλειας Ι

Transcript

1 Πρωτόκολλα Ασφάλειας Ι Τμήμα Μηχ. Πληροφορικής ΤΕΙ Κρήτης Πρωτόκολλα Ασφάλειας Ι 1

2 Πρωτόκολλα Ασφάλειας Συστήματα Σχέδια Εφαρμογή Πρωτόκολλα & πολιτικές Firewalls, intrusion detection SSL, IPSec, Kerberos, access control Κομμάτια Κατασκευής Kρυπτογραφικά Στοιχεία AES, RSA, SHA1 Αλγοριθμική θεωρία αριθμών Πολυπλοκότητα υπολογισμών Πρωτόκολλα Ασφάλειας Ι 2

3 Η Γενική Εικόνα Πρωτόκολλα 2 ου επιπέδου (Υπάρχουν αποδείξεις) SSH, SSL/TLS, IPSec Electronic Cash, Electronic Voting Πρωτόκολλα 1 ου επιπέδου Συμμετρική Κρυπτογρ. MAC Schemes Ασύμμετρη Κρυπτογρ. Ψηφιακές Υπογραφές (Υπάρχουν αποδείξεις) Κρυπτογραφικά στοιχεία Block Ciphers Stream Ciphers Hash Λειτουργίες Δύσκολα Προβλήματα (Κανείς δεν γνωρίζει πώς να αποδείξει την ασφάλεια, γίνονται υποθέσεις) Πρωτόκολλα Ασφάλειας Ι 3

4 Πρωτόκολλα Ασφάλειας Αυθεντικοποίηση Needham-Schroeder Kerberos ιανομή συμμετρικών κλειδιών SSL/TLS IPsec Ασφαλή πρωτόκολλα για ομάδες Group Diffie-Hellman CLIQUES Ηλεκτρονικό εμπόριο Συστήματα μικροπληρωμών Ασφαλείς ηλεκτρονικές συναλλαγές Πρωτόκολλα Ασφάλειας Ι 4

5 Πρωτόκολλα Ασφάλειας Ανωνυμία Μυστικότητα/Ιδιωτικότητα Απόκρυψη online συναλλαγών, Web browsing, κλπ. Από αδιάκριτες κυβερνήσεις, επιχειρήσεις και αρχειοφύλακες Ψηφιακό χρήμα Ηλεκτρονικό νόμισμα με ιδιότητες πραγματικών νομισμάτων Ηλεκτρονική ψηφοφορία ημοσίευση που δεν υπόκειται σε λογοκρισία Ηλεκτρονικό ταχυδρομείο που δεν ανιχνεύεται Crypto-anarchy (ιδεολογία που προωθεί την ισχυρή κρυπτογραφία) Ασφάλεια ασύρματων δικτύων Πρωτόκολλα Ασφάλειας Ι 5

6 Πρωτόκολλα Ασφάλειας Μελέτη πρωτοκόλλων Αφορά μόνο επιθέσεις σε πρωτόκολλα Όχι απευθείας στα κρυπτογραφικά στοιχεία αλγόριθμους εν κάνουμε κρυπτογραφικές επιθέσεις Θεωρούμε ότι ο αλγόριθμος κρυπτογράφησης είναι ασφαλής Ψάχνουμε για σχεδιαστικά λάθη, Χάρη της γενικότητας, θεωρούμε ότι ο επιτιθέμενος πολύ συχνά θέτει υπό τον έλεγχό του όλη την επικοινωνία Ο αντίπαλος μπορεί να παρατηρεί και να παραποιεί όλα τα μηνύματα που ανταλλάσσονται σύμφωνα με το πρωτόκολλο Kαι ο ίδιος μπορεί να προκαλέσει την εκτέλεση του πρωτόκολλου Η κρυπτογραφία είναι «τέλεια»: ο αντίπαλος επωφελείται μόνο από αλγεβρικές ιδιότητες των κρυπτογραφικών τελεστών και τις αλληλεπιδράσεις μεταξύ των μηνυμάτων του πρωτοκόλλου Τα ελαττώματα ενός πρωτοκόλλου μπορεί να είναι πολύ δυσδιάκριτα Πρωτόκολλα Ασφάλειας Ι 6

7 Πρωτόκολλα Ασφάλειας Έχοντας δεδομένες κάποιες απαιτήσεις ασφαλείας Επιθυμητές ιδιότητες ασφάλειας Αναμενόμενο περιβάλλον επικοινωνίας Και ένα πρωτόκολλο ασφαλείας Καλύπτει το πρωτόκολλο τις παραπάνω απαιτήσεις? Αρκετά γνωστά πρωτόκολλα ασφαλείας είχαν σημαντικές αδυναμίες IPsec, GSM, WEP, Είναι συχνό να ανακαλύπτονται λάθη στην υλοποίηση Όπως η υλοποίηση του SSL στο OpenSSL (Heartbleed) Είναι δύσκολο να σχεδιαστεί ένα πρωτόκολλο σωστά Πρωτόκολλα Ασφάλειας Ι 7

8 Πρωτόκολλα Ασφάλειας Τα ανθρώπινα όντα δεν είναι ικανά να αποθηκεύουν υψηλής ποιότητας κρυπτογραφικά κλειδιά, και έχουν μειωμένη ταχύτητα και ακρίβεια όταν εκτελούν κρυπτογραφικές λειτουργίες. Επίσης είναι ογκώδεις, ακριβοί στη συντήρηση, δύσκολοι στο χειρισμό, και μολύνουν το περιβάλλον. Είναι καταπληκτικό πως αυτές οι «συσκευές» συνεχίζουν να κατασκευάζονται και να αναπτύσσονται, αλλά είναι επαρκώς διάχυτοι, τόσο ώστε πρέπει να σχεδιάζουμε τα πρωτόκολλά μας λαμβάνοντας υπόψη τα όρια των δυνατοτήτων τους. Network Security: Private Communication in a Public World Πρωτόκολλα Ασφάλειας Ι 8

9 Πρωτόκολλα Πιστοποίησης Χρησιμοποιούνται για την απόδειξη της ταυτότητας μεταξύ οντοτήτων και για την ανταλλαγή κλειδιών συνεδρίας Πρωτόκολλα πιστοποίησης μπορούν να σχεδιαστούν βάση διαφορετικών υποθέσεων Ο Α και ο Β ήδη γνωρίζουν ένα κοινό μυστικό (πχ κωδικό, PIN, βιομετρικές πληροφορίες, συμμετρικά κλειδιά) Κάθε ένας από τους Α και Β έχει αυθεντικό αντίγραφο του δημοσίου κλειδιού του άλλου Πρωτόκολλα Ασφάλειας Ι 9

10 Πρωτόκολλα Πιστοποίησης Τα πρωτόκολλα κρυπτογραφικής πιστοποίησης μπορεί να είναι πολύ πιο ασφαλή και από πιστοποίηση βασισμένη σε κωδικό, αλλά και από πιστοποίηση βασισμένη στη διεύθυνση Μπορεί να είναι μονόδρομα ή αμοιβαία Πιστοποίηση ενός ανθρώπου vs. Πιστοποίηση ενός υπολογιστή Ένας υπολογιστής μπορεί να αποθηκεύσει ένα μυστικό υψηλής ποιότητας, όπως ένα μεγάλο τυχαίο αριθμό Αυτό που χρειάζεται να θυμάται ο άνθρωπος είναι ένας κωδικός Μερικές φορές είναι σημαντικό να πιστοποιούνται και ο χρήστης και το μηχάνημα από το οποίο επικοινωνεί Πχ ένας ταμίας τράπεζας Σημαντικά ζητήματα Εμπιστευτικότητα για την προστασία των κλειδιών συνεδρίας Χρονοσήμανση για αποφυγή των replay επιθέσεων (επαναχρησιμοποίηση) Πρωτόκολλα Ασφάλειας Ι 10

11 Πρωτόκολλα Πιστοποίησης Ο κωδικός μπορεί να χρησιμοποιηθεί για την απόκτηση ενός κρυπτογραφικού κλειδιού με διάφορους τρόπους Για να προκύψει ένα μυστικό κλειδί DES, μια πιθανή μετατροπή του κωδικού του χρήστη είναι να γίνει hash και να παρθούν τα 56 bits του αποτελέσματος Ο κωδικός μπορεί να χρησιμοποιηθεί για την αποκρυπτογράφηση ενός κλειδιού ανώτερης ποιότητας Μετατροπή του κωδικού σε μυστικό κλειδί Χρησιμοποίηση αυτού του μυστικού κλειδιού για την αποκρυπτογράφηση του ιδιωτικού κλειδιού Πρωτόκολλα Ασφάλειας Ι 11

12 Αυθεντικοποίηση Πιστοποίηση οντότητας Βασική υπηρεσία ασφαλείας στα δίκτυα Η επιβεβαίωση πως μια οντότητα είναι αυτή που ισχυρίζεται πως είναι εκείνη τη δεδομένη στιγμή (δεν είναι δεδομένο πως αυτό θα ισχύει μετά από λίγο...) Επιτρέπει στους χρήστες του δικτύου να γνωρίζουν με ποίους επικοινωνούν (μέσω του δικτύου) Συχνά επιτυγχάνεται με την ανταλλαγή μηνυμάτων τα οποία αποκαλούμε σαν σύνολο πρωτόκολλο αυθεντικοποίησης Υπάρχει διάκριση ανάμεσα σε πιστοποίηση προέλευσης (επαλήθευση της προέλευσης των δεδομένων που έλαβε ο χρήστης) και πιστοποίηση οντότητας (επαλήθευση μίας ταυτότητας) Μία υπηρεσία πιστοποίησης προέλευσης μπορεί να κατασκευαστεί από ένα μηχανισμό ελέγχου της ακεραιότητας των δεδομένων (π.χ. MAC) Πρωτόκολλα Ασφάλειας Ι 12

13 Αυθεντικοποίηση Μονόπλευρη αυθεντικοποίηση Πιστοποίηση μίας οντότητας που διαβεβαιώνει την άλλη οντότητα για την ταυτότητα της, αλλά όχι αντίστροφα Είναι χρήσιμη όταν αποστολέας και παραλήπτης δεν επικοινωνούν την ίδια στιγμή (π.χ. ) Αμοιβαία αυθεντικοποίηση Πιστοποίηση οντοτήτων όπου κάθε οντότητα επιβεβαιώνει την ταυτότητά της στην άλλη Πρωτόκολλα Ασφάλειας Ι 13

14 Αυθεντικοποίηση Η Alice πρέπει να αποδείξει την ταυτότητά της στον Bob Η Alice και ο Bob μπορεί να είναι άνθρωποι ή ηλεκτρονικοί υπολογιστές Ίσως υπάρχουν και άλλες απαιτήσεις Ίσως ακόμα χρειαστεί και ο Bob να αποδείξει την ταυτότητά του ημιουργία ενός κλειδιού συνεδρίας Χρήση μόνο δημόσιων κλειδιών, μόνο συμμετρικών κλειδιών, ή μόνο λειτουργίες με hashes Ανωνυμία, κλπ. Πρωτόκολλα Ασφάλειας Ι 14

15 Αυθεντικοποίηση Η αυθεντικοποίηση σε ένα μόνο υπολογιστή (όχι σε δίκτυο) είναι σχετικά απλή Το «ασφαλές μονοπάτι» είναι ένα πρωτεύον ζήτημα Η κύρια ανησυχία είναι τυχόν επίθεση στο λογισμικό πιστοποίησης Η πιστοποίηση σε ένα δίκτυο είναι πολυπλοκότερη Ο επιτιθέμενος μπορεί παθητικά να παρακολουθεί μηνύματα (χωρίς να τα τροποποιεί) Ο επιτιθέμενος μπορεί να ξαναστείλει /επαναχρησιμοποιήσει (replay) μηνύματα Ο επιτιθέμενος μπορεί να τροποποιήσει τα μηνύματα (εισαγωγή, διαγραφή, αλλαγή του περιεχομένου) Πρωτόκολλα Ασφάλειας Ι 15

16 Αυθεντικοποίηση Peter Steiner, taken from page 61 of July 5, 1993 issue of The New Yorker, (Vol.69 no. 20) 16

17 Αυθεντικοποίηση Πως αποδεικνύεις σε κάποιον πως είσαι αυτός που ισχυρίζεσαι? Οποιοδήποτε σύστημα με μηχανισμό ελέγχου πρόσβασης πρέπει να λύσει αυτό το πρόβλημα Που βρίσκεσαι ιεύθυνση δικτύου Τι γνωρίζεις Κωδικός, μυστικό κλειδί Τι έχεις Smartcard, secure token Τι είσαι Βιομετρικό στοιχείο Πιστοποίηση δύο παραγόντων Κάτι που γνωρίζεις και κάτι που έχεις Κάρτες ATM μαζί με το PIN Πιστοποίηση τριών παραγόντων Token + απομνημονευμένο PIN + βιομετρικό στοιχείο Πρωτόκολλα Ασφάλειας Ι 17

18 Μέθοδοι Πιστοποίησης Ταυτότητας Βιομετρικά στοιχεία Πχ αποτυπώματα, ίριδα, αναπνοή φωνή, keystroke dynamics γεωμετρία χεριού Ο χρήστης αφήνει απομεινάρια από τα βιομετρικά του στοιχεία (π.χ. φωνή, αποτυπώματα, κλπ) οπουδήποτε πάει Τα ανθρώπινα αποτυπώματα φθείρονται, ιδιαίτερα σε εργάτες, δακτυλογραφείς και μουσικούς Η μυστικότητα τους είναι σε κίνδυνο αν πρέπει να γίνονται αντικείμενο επεξεργασίας από πολλές συσκευές και συστήματα Εύκολο να υποκλαπούν ή να επαναχρησιμοποιηθούν Μειωμένη χρήση σε δίκτυα Πρέπει να χρησιμοποιούνται σε συνδυασμό με κρυπτογραφία Η ανάκληση/κατάργηση τους είναι συχνά δύσκολη ή αδύνατη Κάποια στοιχεία δεν αλλάζουν αν κάποιος φτιάξει ένα αντίγραφο Πρωτόκολλα Ασφάλειας Ι 18

19 Μέθοδοι Πιστοποίησης Ταυτότητας Secure hardware tokens (ασφαλείς συσκευές) ίνουν την ισχυρότερη προστασία ιαθέτουν αποθηκευμένα κρυπτογραφικά κλειδιά τα οποία είναι δύσκολο να αποκαλύψει ένας επιτιθέμενος (tamper resistant) Τα hardware tokens αποτρέπουν το διαμοιρασμό ή την εκχώρηση αρμοδιοτήτων Συνήθως απαιτούν και κάτι επιπρόσθετο (πχ PIN) για προστασία από κλοπή Ακριβά πρέπει να αγοραστεί υλικό και/ή ειδικό λογισμικό Μπορεί να χαθούν ή να κλαπούν Υπάρχει κίνδυνος δυσλειτουργίας υλικού Πρωτόκολλα Ασφάλειας Ι 19

20 Πιστοποίηση Βασισμένη στη Διεύθυνση εν βασίζεται στην αποστολή κωδικών (passwords) μέσα από το δίκτυο Υποθέτει ότι η ταυτότητα της πηγής συνάγεται με βάση τη διεύθυνση δικτύου από την οποία έρχονται τα πακέτα Η βασική ιδέα είναι ότι κάθε υπολογιστής αποθηκεύει πληροφορία η οποία καθορίζει λογαριασμούς σε άλλους υπολογιστές οι οποίοι επιτρέπεται να έχουν πρόσβαση στους πόρους του Αν η διεύθυνση του αποστολέα είναι σταθερή και το δίκτυο κάνει τη πλαστογραφία διευθύνσεων μια δύσκολη υπόθεση, τότε ο παραλήπτης μπορεί να πιστοποιήσει τον αποστολέα βασιζόμενος στη διεύθυνσή του Πρωτόκολλα Ασφάλειας Ι 20

21 Πιστοποίηση Βασισμένη στη Διεύθυνση Η βασική ιδέα μπορεί να εφαρμοστεί με διάφορους τρόπους Το μηχάνημα Β μπορεί να έχει μία λίστα διευθύνσεων δικτύου από άλλες έμπιστες μηχανές Αν το μηχάνημα Α είναι στη λίστα αυτή, τότε οποιοσδήποτε λογαριασμός στο Α είναι ισοδύναμος με τον ίδιο λογαριασμό στο Β Το πρόβλημα είναι πως ο χρήστης πρέπει να έχει το ίδιο account name σε όλα τα μηχανήματα Το μηχάνημα Β, εναλλακτικά, μπορεί να έχει μια λίστα της μορφής <διεύθυνση, απομακρυσμένο account name, τοπικό account name> Πρωτόκολλα Ασφάλειας Ι 21

22 Πιστοποίηση Βασισμένη στη Διεύθυνση Η πιστοποίηση βασισμένη στη διεύθυνση είναι ασφαλής από κάποιον που ίσως «κρυφακούει», αλλά υπάρχουν δύο άλλες απειλές Αν κάποιος, πχ η Trudy, πάρει τον έλεγχο του κόμβου FOO, μπορεί να έχει πρόσβαση στα αρχεία όλων των χρηστών του FOO εν υπάρχει κάτι που η πιστοποίηση μπορεί να κάνει για αυτό... Αν κάποιος στο δίκτυο, πχ η Trudy, μπορεί να πλαστογραφήσει διευθύνσεις κάποιων κόμβων, μπορεί να έχει πρόσβαση σε όλους του πόρους του δικτύου όλων των χρηστών που έχουν λογαριασμούς σε οποιονδήποτε από αυτούς τους κόμβους Πρωτόκολλα Ασφάλειας Ι 22

23 Πιστοποίηση Βασισμένη στη Διεύθυνση Παράδειγμα (για UNIX).rhosts: τα έμπιστα μηχανήματα και οι έμπιστοι λογαριασμοί κάποιου χρήστη Οι χρήστες μπορούν να διατηρούν δικά τους.rhosts αρχεία στον home directory τους /etc/hosts.equiv: τα έμπιστα μηχανήματα/λογαριασμοί του συστήματος Το αρχείο /etc/hosts.equiv έχει εφαρμογή σε ολόκληρο το σύστημα Παρέχει τη βάση δεδομένων «απομακρυσμένης πιστοποίησης» γιά τα προγράμματα rlogin, rsh, rcp Τα αρχεία αυτά καθορίζουν απομακρυσμένα hosts και users που θεωρούνται έμπιστοι Οι έμπιστοι χρήστες επιτρέπεται να έχουν πρόσβαση στο τοπικό σύστημα χωρίς να τους ζητηθεί κωδικός Αυτά τα αρχεία προσπερνούν το προκαθορισμένο μηχανισμό πιστοποίησης του χρήστη με κωδικό Για να υπάρξει ασφάλεια στο σύστημα, πρέπει να υπάρξει ιδιαίτερη προσοχή στη δημιουργία και τη συντήρηση αυτών των αρχείων Πρωτόκολλα Ασφάλειας Ι 23

24 Πιστοποίηση Βασισμένη σε Κωδικό Κωδικοί Είναι ακόμα η φθηνότερη μέθοδος και η πλέον ευρέως χρησιμοποιούμενη ύσκολος ο έλεγχος/διαχείριση (δημιουργία, προστασία, κλπ) Οι κωδικοί πολλές φορές γνωστοποιούνται και σε τρίτους ή χάνονται εύκολα Ένας επιτιθέμενος μπορεί να επιτεθεί εύκολα σε αυτή την μέθοδο εν πρέπει να χρησιμοποιούνται για την προστασία πολυτιμης πληροφορίας Είναι μία μέθοδος περίπλοκη και αναξιόπιστη Αν γίνει δύσκολη η διαχείριση τότε ο χρήστης γίνεται ευάλωτος σε επιθέσεις social engineering Είναι καλύτερα οι κωδικοί να χρησιμοποιούνται σε κλειστά (εσωτερικά) περιβάλλοντα, στα οποία έχουμε να αντιμετωπίσουμε μικρές απειλές Επίσης χρησιμοποιούνται όταν τα εξωτερικά περιβάλλοντα είναι προστατευμένα Η κίνηση του δικτύου είναι προστατευμένη με κρυπτογραφικές μεθόδους Οι συνεχείς δοκιμές για την αποκάλυψη ενός κωδικού μπορεί να ανιχνευθούν στο διακομιστή Πρωτόκολλα Ασφάλειας Ι 24

25 Κωδικοί Είμαι η Alice Απέδειξε το Ο κωδικός μου είναι frank Alice Bob Είμαι η Alice Απέδειξε το Ο κωδικός μου είναι frank Πρωτόκολλα Ασφάλειας Ι 25

26 Κωδικοί Hashing (σύνοψη) εν είναι επιθυμητό να υπάρχει μία βάση δεδομένων με αποκρυπτογραφημένους κωδικούς αφού οποιοσδήποτε έπαιρνε τον έλεγχο της βάσης θα μπορούσε να πλαστοπροσωπήσει οποιονδήποτε χρήστη Αντί να αποθηκεύσουμε τον κωδικό, αποθηκεύουμε το hash(κωδικού) Όταν ο χρήστης εισάγει τον κωδικό του, υπολογίζουμε to hash και τo συγκρίνουμε με την εγγραφή στο αρχείο των κωδικών Ένας εισβολέας που μπορεί να διαβάσει το αρχείο με τους hashed κωδικούς από την βάση μπορεί να προβεί σε μία λεξικογραφική επίθεση κατά την οποία προσπαθεί να μαντέψει τον κωδικό Μία λύση είναι να κρυπτογραφηθεί η βάση που περιέχει hashed κωδικούς Η hash λειτουργία h() πρέπει να πληρεί κάποιες κρυπτογραφικές ιδιότητες Να είναι μονόδρομη (one-way) Να είναι ανθεκτική σε συγκρούσεις (δηλ. να μην είναι πρακτικά εύκολο ένας επιτιθέμενος να μπορεί να βρεί εύκολα διαφορετικούς κωδικούς που έχουν το ίδιο hash) Πρωτόκολλα Ασφάλειας Ι 26

27 Κωδικοί UNIX Ίσως η πιο αξιομνημόνευτη περίπτωση σχετική με ανασφαλή αποθήκευση κωδικών στο σύστημα συνέβη στην αρχή της δεκαετίας του 60. Ένας διαχειριστής συστήματος του CTSS στο MIT επεξεργαζόταν το αρχείο κωδικών την ίδια στιγμή που ένας άλλος διαχειριστής επεξεργαζόταν το καθημερινό μήνυμα (message of the day) που εμφανιζόταν στο τερματικό όλων των χρηστών όταν αυτοί έκαναν είσοδο στο σύστημα Λόγω ενός λάθους στη σχεδίαση του λογισμικού, τα προσωρινά αρχεία επεξεργασίας των δύο χρηστών ανταλλάχθηκαν και επομένως, για μία χρονική περίοδο, το αρχείο κωδικών εμφανιζόταν σε όλα τα τερματικά από τα οποία γινόταν είσοδος στο σύστημα Πρωτόκολλα Ασφάλειας Ι 27

28 Κωδικοί Είμαι η Alice Απέδειξε το h(ο κωδικός της Alice) Alice Bob Καλύτερο πρωτόκολλο αφού κρύβει τον κωδικό της Alice Από τον Bob αλλά και από τους επιτιθέμενους Υπάρχει ακόμα το πρόβλημα της εγγραφής και επαναχρησιμοποίησης του μηνύματος από έναν επιτιθέμενο (replay attack) Πρωτόκολλα Ασφάλειας Ι 28

29 Κωδικοί Πρωτόκολλα Ασφάλειας Ι 29

30 Επιθέσεις Επαναχρησιμοποίησης (replay) Όταν ένα έγκυρο μήνυμα αντιγράφεται από κάποιον επιτιθέμενο και στη συνέχεια ξαναγίνεται η αποστολή του Για την αποφυγή τέτοιων επιθέσεων είναι σημαντικό το πρωτόκολλο να περιέχει ένας είδος ελέγχου του πόσο πρόσφατο είναι το μήνυμα Έλεγχος αποστολέα: διαβεβαίωση ότι το μήνυμα έχει σταλεί μέσα σε ένα αποδεκτό πλαίσιο χρόνου (είναι πρόσφατο) Ο έλεγχος της ζωντανής παρουσίας μίας οντότητας που συμμετέχει στο πρωτόκολλο συνήθως επιβεβαιώνεται μέσω της «φρεσκάδας» ενός μηνύματος Φρεσκάδα: διαβεβαίωση ότι ένα μήνυμα δεν έχει ξαναχρησιμοποιηθεί και έχει φθάσει μέσα σε ένα αποδεκτό πλαίσιο χρόνου Πρωτόκολλα Ασφάλειας Ι 30

31 Επιθέσεις Επαναχρησιμοποίησης (replay) Μέθοδοι που εγγυώνται τη φρεσκάδα (freshness) στα μηνύματα Αύξοντες αριθμοί Μη πρακτική μέθοδος Οι συμμετέχοντες πρέπει να γνωρίζουν συνεχώς τους αύξοντες αριθμούς Και πρέπει να υπάρχει πρόνοια για περιπτώσεις με χαμένα μηνύματα ή μηνύματα που στάλθηκαν πολλές φορές, με ένα ασφαλή τρόπο Η κατάσταση του πρωτοκόλλου δεν πρέπει να χαθεί σε περίπτωση βλάβης του συστήματος Τελικά το πρωτόκολλο τείνει να γίνει πιο περίπλοκο Timestamps (χρονοσήμανση) Nonces (number used once), αριθμός που χρησιμοποιείται μια φορά Πρωτόκολλα Ασφάλειας Ι 31

32 Timestamps Timestamps Τα μηνύματα περιέχουν μία χρονοσήμανση Από το χρόνο προκύπτει η σειρά (ακολουθία) των γεγονότων Τα timestamps μειώνουν τον αριθμό των μηνυμάτων Όπως ένα nonce που και οι δύο πλευρές γνωρίζουν εκ των προτέρων Ο χρόνος και τα timestamps παρέχουν μία μέθοδο για την εξασφάλιση της φρεσκάδας των μηνυμάτων στα πρωτοκόλλα Συνήθως είναι αποδεκτά μόνο φρέσκα μηνύματα βασιζόμενοι στο timestamp τους Χρησιμοποιούνται σε πολλά πρωτόκολλα ασφαλείας Πχ το Kerberos Υπάρχουν όμως μερικά πρακτικά προβλήματα Τα ρολόγια πρέπει να είναι συγχρονισμένα με ένα ασφαλή τρόπο Πρέπει να υπάρχει ανοχή σε καθυστερήσεις του δικτύου Πρωτόκολλα Ασφάλειας Ι 32

33 Timestamps Το να έχει κανείς αξιόπιστα και συγχρονισμένα ρολόγια είναι μια σημαντική πρόκληση Η τυπική απόκλιση του ρολογιού είναι ένα δευτερόλεπτο την ημέρα σε ένα σταθμό εργασίας εν μπορούμε απλά χρησιμοποιήσουμε την κανονική ώρα ένας επιτιθέμενος μπορεί να ελέγξει το ρολόι, ή το ρολόι μπορεί να χαλάσει Χρειάζεται να υπάρχει ένα αποδεκτό «παράθυρο στο χρόνο» για την αποδοχή των μηνυμάτων της Alice από τον Bob (απόκλιση ρολογιού + μεταβλητή καθυστέρηση μετάδοσης στο δίκτυο) Επίσης χρειάζεται καταγραφή των πρόσφατα εισερχομένων μηνυμάτων έτσι ώστε να αποτραπεί μια επίθεση επαναχρησιμοποίησης, μέσα στο ίδιο παράθυρο του χρόνου Πρωτόκολλα Ασφάλειας Ι 33

34 Timestamps Επιθέσεις στο ρολόι (του server) Γύρισμα του ρολογιού πίσω Ίσως κάποιος χρήστης είχε πρόσβαση σε δεδομένα στο παρελθόν, αλλά αυτή η πρόσβαση δεν ισχύει πλέον Το γύρισμα του ρολογιού πίσω ίσως επιτρέψει στο χρήστη να έχει πρόσβαση σε αυτά τα δεδομένα στα οποία δεν θα έπρεπε να έχει πρόσβαση Ληγμένα πιστοποιητικά γίνονται πάλι έγκυρα Αυτοματοποιημένες ενέργειες επαναλαμβάνονται εάν κάποιος επανειλημένα γυρίζει το ρολόι πίσω Πρωτόκολλα Ασφάλειας Ι 34

35 Timestamps Επιθέσεις στο ρολόι (του server) Σταμάτημα του χρόνου Ένας αντίπαλος ίσως σταματήσει το ρολόι προκαλώντας κάποιες καταγραφές να έχουν διφορούμενη έννοια Ενέργειες, όπως οι ανανεώσεις, παύουν να πραγματοποιούνται Γύρισμα του ρολογιού μπροστά Επιθέσεις denial of service (άρνησης υπηρεσίας) είναι πιθανές: Τα πιστοποιητικά λήγουν αυτομάτως! Πολλές περιπτώσεις έχουν να κάνουν με τη δημοσίευση απόρρητων πληροφοριών σε μία δεδομένη στιγμή στο μέλλον γυρίζοντας το ρολόι μπροστά έχει ως αποτέλεσμα τη δημοσίευση αυτών των πληροφοριών! Σε συστήματα δημοπρασίας, αν κάποιος μπορέσει να γυρίσει το ρολόι του συστήματος μπροστά, οι πιο πρόσφατες (και μεγαλύτερες) προσφορές δεν προλαβαίνουν να καταχωρηθούν στο σύστημα Πρωτόκολλα Ασφάλειας Ι 35

36 Timestamps Το σύστημα RSA SecurID (hardware token) Ο χρόνος Τ και το κλειδί Κ χρησιμοποιούνται από το token για να παραχθεί ένα μήνυμα πιστοποίησης, το οποίο αναγράφεται στην οθόνη του token Ο χρήστης διαβάζει το μήνυμα από την οθόνη και το πληκτρολογεί στον υπολογιστή Το μήνυματα πιστοποίησης μεταδίδεται και συγκρίνεται με το αναμενόμενο μήνυμα (το οποίο υπολογίζεται τοπικά στον server χρησιμοποιώντας το Τ και το Κ) Τυπική ανώτατη απόκλιση: 60 δευτερόλεπτα Για ασφαλή πρόσβαση στο token είναι δυνατό να προστεθεί και PIN (πιστοποίηση δύο παραγόντων) Πρωτόκολλα Ασφάλειας Ι 36

37 Nonces Πρόκληση-Απάντηση Αυτός που ξεκινάει πρώτος στέλνει μια πρόκληση Η πρόκληση συνήθως είναι ένας αριθμός που χρησιμοποιείται μια φορά (nonce) Περιμένει απάντηση Το ίδιο nonce ή κάποιο μετασχηματισμό του Υλοποιείται πιο εύκολα Απαιτεί ενεργούς συμμετέχοντες Ακατάλληλο για ασυνδεσμικές υπηρεσίες Η κυρίως ιδιότητα είναι η ιδιότητα της «μιας χρήσης» Ένα nonce δεν πρέπει να έχει ξαναχρησιμοποιηθεί Θεωρητικά μπορεί να χρησιμοποιηθεί ένα μετρητής Αλλά πολλά πρωτόκολλα θέλουν τα nonces να μην είναι προβλέψιμα, και όχι μόνο απλά να μην έχουν ξαναχρησιμοποιηθεί Πρωτόκολλα Ασφάλειας Ι 37

38 Πρόκληση-Απάντηση Είμαι η Alice Nonce h(o κωδικός της Alice, το Nonce) Alice Bob Για να αποφευχθεί το replay attack, χρησιμοποιείται το πρωτόκολλο πρόκλησης/απάντησης Ας υποθέσουμε πως ο Bob θέλει να ταυτοποιήσει την Alice Η πρόκληση (το nonce) στέλνεται από τον Bob στην Alice Μόνο η Alice μπορεί να δώσει τη σωστή απάντηση (το hash) Ο κωδικός είναι κάτι που γνωρίζει η Alice και ο Bob Επιλέγουμε την πρόκληση ώστε η επαναχρησιμοποίηση να μην είναι εφικτή Το nonce αποτρέπει την επαναχρησιμοποίηση, διασφαλίζει τη φρεσκάδα Πρωτόκολλα Ασφάλειας Ι 38

39 Πρόκληση-Απάντηση Ο χρήστης και το σύστημα μοιράζονται ένα μυστικό κλειδί Πρόκληση Το σύστημα παρέχει στο χρήστη μια συμβολοσειρά Απάντηση Ο χρήστης υπολογίζει την απάντηση βασιζόμενος σε ένα μυστικό κλειδί και την πρόκληση Μυστικότητα Είναι δύσκολο το ανακτηθεί το κλειδί από την απάντηση Μονόδρομο hashing ή συμμετρική κρυπτογράφηση Φρεσκάδα Αν η πρόκληση είναι «φρέσκια» και μη προβλέψιμη, ο επιτιθέμενος στο δίκτυο δεν μπορεί να ξαναχρησιμοποιήσει μία παλιά απάντηση Πχ η χρήση ενός «φρέσκου» τυχαίου αριθμού για κάθε πρόκληση Ικανοποιητική μέθοδος για συστήματα με προ-εγκατεστημένα κλειδιά Κλειδιά αυτοκινήτων Πρωτόκολλα Ασφάλειας Ι 39

40 Πρόκληση-Απάντηση kiwifruit R Ενεργός εισβολέας Φρέσκο, τυχαίο R kiwifruit Alice hash( kiwifruit,r) hash( kiwifruit,r) Bob Επίθεση ενδιάμεσου (Man-In-The-Middle) στη μέθοδο πρόκλησης/απάντησης Ο επιτιθέμενος πιστοποιείται επιτυχώς σαν Alice με απλή προώθηση του μηνύματος Αυτή είναι μια επίθεση στην πιστοποίηση, όχι τη μυστικότητα Ο επιτιθέμενος δεν μαθαίνει το κοινό μυστικό (password) Αλλά η απάντηση μπορεί να οδηγήσει σε offline λεξικογραφικές επιθέσεις (dictionary attacks) Πρωτόκολλα Ασφάλειας Ι 40