Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων SSL/TLS

Transcript

1 Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων SSL/TLS Fysarakis Konstantinos, PhD

2 » Το SSL (Secure Sockets Layer) αναπτύχθηκε από την εταιρεία Netscape. Η έκδοση 1.0 δεν παρουσιάστηκε ποτέ δημόσια.» Το κοινό γνώρισε το SSL στην έκδοση 2.0 το 1994, μαζί με τον browser της εταιρείας, Netscape Navigator.» Εξαιτίας κάποιων θεμάτων ασφαλείας το 1995 παρουσιάστηκε η έκδοση 3.0.

3 » Από το 1996 ο έλεγχος του πρωτοκόλλου πέρασε στην IETF (Internet Engineering Task Force) η οποία το 1999 παρουσίασε το TLS (Transport Layer Security) v1.0 με το RFC 2246, το οποίο αποτελεί και το internet standard.

4 » Το TLS v1.0 αναβαθμίζει και αντικαθιστά το SSL v3.0, διατηρώντας, σε κάποιο βαθμό, την προς τα πίσω συμβατότητα με αυτό.» Το 2006 αναβαθμίζεται στην έκδοση 1.1 (RFC 4346) ενώ η τρέχουσα έκδοση είναι η 1.2 (RFC 5246) που παρουσιάστηκε το 2008.

5 » To SSL/TLS λειτουργεί επάνω από το επίπεδο Μεταφοράς (Transport Layer Επίπεδο 5 στο μοντέλο OSI). Στο επόμενο σχήμα φαίνεται η αντίστοιχη θέση στο μοντέλο TCP/IP.

6

7 » Από τα κατώτερα στρώματα απαιτεί συνήθως αξιόπιστη σύνδεση (π.χ. TCP, DTLS), παρόλο που υπάρχουν και υλοποιήσεις με χρήση UDP, ενώ δεν θέτει περιορισμό στα ανώτερα στρώματα.» Λόγω της θέσης του, το SSL μπορεί να αξιοποιηθεί από ένα πλήθος εφαρμογών με αόρατο στον χρήστη τρόπο. Χαρακτηριστικά παραδείγματα τέτοιων εφαρμογών είναι τα: HTTP, FTP, Telnet, VPNs κ.α.

8 » Στο επόμενο σχήμα φαίνεται ένα παράδειγμα ασφαλούς επικοινωνίας HTTP με χρήση του SSL.» Στο URL η διεύθυνση ξεκινάει με https αντί του τυπικού http ενώ στο status bar, κάτω δεξιά, υπάρχει το χαρακτηριστικό εικονίδιο-λουκέτο.

9

10 » Στο RFC 5246 που ορίζει το TLS v1.2 διαβάζουμε: The primary goal of the TLS protocol is to provide privacy and data integrity between two communicating applications.

11 » Το SSL/TLS με τους μηχανισμούς που χρησιμοποιεί μπορεί να προσφέρει εμπιστευτικότητα, αυθεντικοποίηση και ακεραιότητα στην επικοινωνία δύο εφαρμογών.»δεν μπορεί να προσφέρει, όμως, μηαποποίηση (non-repudiation).

12 » Το SSL/TLS είναι ένα υβριδικό πρωτόκολλο. Χρησιμοποιεί κρυπτογραφία δημοσίου κλειδιού για την αυθεντικοποίηση και την δημιουργία των κλειδιών ενώ για να εγγυηθεί την εμπιστευτικότητα του κύριου όγκου της μεταδιδόμενης πληροφορίας χρησιμοποιεί συμμετρικούς αλγορίθμους.» Για την ακεραιότητα των μηνυμάτων χρησιμοποιούνται κώδικες MAC (Message Authentication Code).

13 » Οι «σουίτες» των κρυπτογραφικών εργαλείων που υποστήριζε το SSL είναι αρκετές.» Πιο συγκεκριμένα, για την κρυπτογράφηση των δεδομένων υποστηρίζονταν οι παρακάτω: DES 3DES DES 40 IDEA RC2 40 RC4 128 RC4 40 Fortezza

14 » Οι εκδόσεις του TLS επεκτείνουν την συμβατότητα του πρωτοκόλλου με αρκετούς ακόμη αλγορίθμους, πιο σύγχρονους και ασφαλείς (π.χ. AES, Camellia, SEED).» Για τα MAC που χρησιμοποιούνται στο πρωτόκολλο είχε επιλεγεί η χρήση SHA-256.

15 » Τέλος, ενημερωτικά αναφέρεται ότι για την ανταλλαγή των κλειδιών υποστηρίζονται διάφοροι μηχανισμοί όπως: DHE_DSS DHE_RSA DH_DSS DH_RSA RSA RSA_SHA

16 » Αξίζει να σημειωθεί ότι για όλα τα παραπάνω μπορεί το SSL/TLS να ρυθμιστεί ώστε να χρησιμοποιεί τις αντίστοιχες EXPORT εκδόσεις που είναι λιγότερο ασφαλείς (κλειδιά περιορισμένου μήκους bits) ώστε να πληρεί τους παλαιότερους αυστηρούς νόμους περί εξαγωγής κρυπτογραφίας από τις ΗΠΑ σε τρίτες χώρες.

17 » To SSL αποτελείται, επί της ουσίας, από δύο βασικά υπο-πρωτόκολλα, τα: Handshake Protocol. Record Protocol»...και δύο «επικουρικά», τα: Alert Protocol Change Cipher Spec Protocol

18 » Το Handshake Protocol, όπως μαρτυρά και το όνομά του, είναι ένα πρωτόκολλο «χειραψίας» Χρησιμοποιείται για την συμφωνία/αρχικοποίηση όλων των ρυθμίσεων (κλειδιών, αλγορίθμων κλπ.) που είναι απαραίτητες για την επικοινωνία των δύο κόμβων (client/server) που θέλουν να επικοινωνήσουν με ασφάλεια μέσω του SSL.» Αυτό που προκύπτει μετά το πέρας της παραπάνω διαδικασία είναι η εγκατάσταση ενός SSL Session.

19 » Το Record Protocol, από την άλλη, είναι υπεύθυνο για τη σύνδεση των κόμβων (SSL Connection) και χρησιμοποιείται για την μετάδοση του κύριου όγκου των δεδομένων και περιλαμβάνει όλους τους μηχανισμούς κατακερματισμού, κρυπτογράφησης και ελέγχου της ακεραιότητας της πληροφορίας.

20

21 » Εδώ θα πρέπει να τονιστεί η διαφορά μεταξύ των SSL Session και SSL Connection.» Το πρώτο εγκαθίσταται στην αρχή της επικοινωνίας δύο κόμβων μέσω του Handshake Protocol και αφορά τα κρυπτογραφικά χαρακτηριστικά της ασφαλούς επικοινωνίας που θα ακολουθήσει.» Με το session που δημιουργείται, αποφεύγεται η συνεχής επανάληψη αυτών των σύνθετων και υπολογιστικά «ακριβών» διαδικασιών.

22 » Το SSL Connection, από την άλλη, αφορά τη μεταφορά των δεδομένων και είναι άμεσα εξαρτώμενο από ένα SSL Session.» Μεταξύ ενός client κι ενός server μπορεί να υπάρχουν πολλαπλά SSL Connections αλλά συνήθως μόνο ένα SSL Session.

23 » Το Handshake Protocol επιτρέπει στον κόμβο διακομιστή (server) και στον κόμβο πελάτη (client) να αυθεντικοποιήσουν ο ένας τον άλλο και να συμφωνήσουν στις ρυθμίσεις (κρυπτογραφικούς αλγορίθμους, μήκος κλειδιών κλπ.) που θα χρησιμοποιήσουν, πριν ακόμα η εφαρμογή και το πρωτόκολλο που χρησιμοποιεί (HTTP, FTP, Telnet κλπ.) μεταδώσει το πρώτο του byte.

24 » Αυτή η αρχική επικοινωνία του Handshake Protocol γίνεται χωρίς καμμία κρυπτογράφηση, δηλαδή σε απλό plaintext.

25 » Τρεις είναι οι βασικοί στόχοι του Handshake Protocol: Συμφωνία σε κοινό μυστικό - κάτι απαραίτητο για τη συμμετρική κρυπτογράφηση που θα ακολουθήσει. + Με τρόπο που δεν θα αποκαλύπτει το μυστικό σε κάποιον που «κρυφακούει» τα μηνύματα αυτά. Αυθεντικοποίηση/πιστοποίηση των κόμβων. + Με χρήση κρυπτογραφίας Δημοσίου Κλειδιού. Ψηφιακό Πιστοποιητικό για τον server (προαιρετικό αλλά χρησιμοποιείται πάντα) Ψηφιακό Πιστοποιητικό για τον client (προαιρετικό και χρησιμοποιείται σπάνια) Διαπραγμάτευση και συμφωνία στους κρυπτογραφικούς αλγορίθμους που θα χρησιμοποιηθούν.

26 » Αναλυτικά, η «χειραψία» των δύο κόμβων (πελάτη και δρομολογητή) έχει ως εξής:

27 1. Αρχικά ο client στέλνει στον server την έκδοση του SSL που χρησιμοποιεί, τους επιθυμητούς αλγορίθμους κρυπτογράφησης και μερικά δεδομένα που έχουν παραχθεί τυχαία (τυχαίο 32-byte αριθμό καθώς και ένα session-id). 2. Ο server απαντά στέλνοντας παρόμοιες πληροφορίες συμπεριλαμβανομένου του αλγόριθμου κρυπτογράφησης που επέλεξε (από αυτά που «πρότεινε» ο client αρχικά) καθώς και του ψηφιακού πιστοποιητικού του, το οποίο τον πιστοποιεί στον client. + Προαιρετικά μπορεί να ζητήσει και το ψηφιακό πιστοποιητικό του client.

28 3. Ο client λαμβάνει το ψηφιακό πιστοποιητικό του server και το χρησιμοποιεί για να τον πιστοποιήσει. 4. Ο client δημιουργεί το συμμετρικό κλειδί που θα χρησιμοποιηθεί στον αλγόριθμο κρυπτογράφησης και το στέλνει στον server κρυπτογραφημένο, χρησιμοποιώντας την τεχνική κρυπτογράφησης δημοσίου κλειδιού. 5. Ο client στέλνει ένα μήνυμα στον server ενημερώνοντάς τον ότι είναι έτοιμος να ξεκινήσει την κρυπτογραφημένη σύνδεση.

29 6. Ο server στέλνει ένα μήνυμα στον client ενημερώνοντάς τον ότι και αυτός είναι έτοιμος να ξεκινήσει την κρυπτογραφημένη σύνδεση. 7. Από εδώ και πέρα η χειραψία έχει ολοκληρωθεί και τα μηνύματα που ανταλλάσσουν τα δύο μηχανήματα (client - server) είναι κρυπτογραφημένα.

30

31

32 » Το Record Protocol παρέχει ασφαλή σύνδεση και, κατ επέκταση, επικοινωνία με δύο βασικά χαρακτηριστικά:

33 » Η σύνδεση είναι εμπιστευτική. Χρησιμοποιούνται συμμετρικοί αλγόριθμοι για την κρυπτογράφηση των δεδομένων. Τα κλειδιά αυτής της συμμετρικής κρυπτογράφησης είναι μοναδικά για κάθε σύνδεση. +Σημείωση: Το Record Protocol μπορεί να λειτουργήσει και χωρίς κρυπτογράφηση.

34 » Η σύνδεση είναι αξιόπιστη. Η μεταφορά των μηνυμάτων περιλαμβάνει μηχανισμούς ελέγχου της ακεραιότητας τους και συγκεκριμένα συναρτήσεις MAC με κλειδιά (keyed MACs). Ασφαλείς συναρτήσεις κατακερματισμού (MD5, SHA κλπ.) χρησιμοποιούνται για τον υπολογισμό των MACs. +Σημείωση: Το Record Protocol μπορεί να λειτουργήσει και χωρίς MACs.

35

36 » To SSL/TLS είναι από τα πιο πετυχημένα και διαδεδομένα πρωτόκολλα ασφαλείας σήμερα. Θα πρέπει να είναι ήδη καθαρό ότι η χρήση του αφορά καθαρά την ασφάλεια κατά τη μετάδοση.» Συγκεκριμένα, το μοντέλο που χρησιμοποιήθηκε κατά την ανάπτυξη του πρωτοκόλλου ήταν αυτό της ασφαλούς μετάδοσης αριθμών πιστωτικών καρτών μέσω του Internet.

37 » Το πρωτόκολλο θεωρείται εξαιρετικά ασφαλές όσο αφορά εμπιστευτικότητα και την ακεραιότητα των μηνυμάτων.» Από την άλλη, το SSL/TLS δεν μπορεί να προσφέρει μη-αποποίηση για τα μηνύματα αυτά ενώ δεν προσφέρει και καμμία εγγύηση για το τι γίνεται στον server με τα δεδομένα αυτά.

38 » Ο αριθμός της πιστωτικής μας κάρτας προστατεύεται από το SSL κατά την μετάδοση αλλά αν το ηλεκτρονικό κατάστημα που επιλέξαμε αποθηκεύει στη συνέχεια τους αριθμούς των πιστωτικών αυτών σε μία μη ασφαλή βάση δεδομένων αυτό δεν είναι πρόβλημα που μπορεί να αντιμετωπίσει το SSL ούτε, φυσικά, οφείλεται σε αυτό.

39 » Ένα ακόμα σημείο που χρήζει προσοχής είναι αυτό της αυθεντικοποίησης των κόμβων και ειδικότερα αυτό της αξιολόγησης των πιστοποιητικών. Στην περίπτωση που ένα πιστοποιητικό έχει λήξει ή φαίνεται ύποπτο (π.χ. έχει εκδοθεί για διαφορετικό URL από αυτό του server που το παρουσίασε), ο browser που βρίσκεται εγκατεστημένος στον κόμβο-client εμφανίζει ένα μήνυμα προειδοποίησης στον χρήστη.

40

41

42

43 » Ο χρήστης έχει την επιλογή, παρά την προειδοποίηση, να προχωρήσει με την αρχικοποίηση της ασφαλούς επικοινωνίας με τον «ύποπτο» server.» Το SSL δεν μπορεί να βοηθήσει σε αυτή την περίπτωση και η τελική επιλογή ανήκει στον χρήστη - ο οποίος μπορεί να μη διαθέτει τις γνώσεις για να πάρει τη σωστή απόφαση. Άρα, ο χρήστης ενδέχεται να επιλέξει να μεταδώσει σημαντικές πληροφορίες σε κάποιο server που ανήκει σε κακόβουλους χρήστες (π.χ. phishing).

44 » Άλλες απειλές για την ασφάλεια της επικοινωνίας μέσω SSL/TLS είναι οι επιθέσεις Man-In-The-Middle, επιθέσεις που περιλαμβάνουν την ανάλυση της κίνησης των δεδομένων (traffic analysis), επιθέσεις χρονισμού (timing attacks), επιθέσεις όπου ο browser αναγκάζεται να χρησιμοποιήσει λιγότερο ασφαλείς αλγορίθμους ή αδύναμα κλειδιά κ.α.

45 » Τέλος, πέρα από τα ζητήματα ασφαλείας, υπάρχει και το πρόβλημα της ταχύτητας.» Η επικοινωνία είναι πιο αργή σε σχέση με την ταχύτητα που έχει το ίδιο πρωτόκολλο/εφαρμογή χωρίς χρήση SSL. Η καθυστέρηση οφείλεται κυρίως στο Handshake Protocol.

46 » Υπάρχει πληθώρα βιβλιοθηκών ανοικτού λογισμικού που (θα πρέπει να) χρησιμοποιούνται όταν θέλουμε να ενσωματώσουμε το SSL/TLS σε μία υπό ανάπτυξη εφαμοργή. PolarSSL, CyaSSL, OpenSSL, MatrixSSL, NSS, GnuTLS etc.» αλλά χρειάζεται *προσοχή* στην χρήση τους Κατανόηση σημασίας παραμέτρων, επιλογών, return values συναρτήσεων κλπ.

47 » Παρουσίαση των ρυθμίσεων ασφαλείας του SSL/TLS στους δημοφιλείς browsers (Internet Explorer, Firefox, Opera).» Εισαγωγή στις ρυθμίσεις του Apache για χρήση SSL/TLS.