امضای رقمی و پروتکل های احراز اصالت

امضای رقمی و پروتکل های احراز اصالت

اسلاید 1: 1 امضاء رقمي و پروتكلهاي احراز اصالتبهروز ترك‏لاداني ladani@eng.ui.ac.ir

اسلاید 2: فهرست مطالبامضاء رقميپروتكلهاي احراز اصالتآسيب پذيري پروتكل هاي رمزنگاري نسبت به حملات

اسلاید 3: امضاء رقميچرا به امضاء رقمي نياز داريم؟جعل توسط گيرنده : گيرنده مي تواند يك پيغام جعلي را بسازد(با استفاده از كليد توافق شده) و آنرا به فرستنده نسبت دهد!انكار توسط فرستنده : فرستنده مي تواند سناريوي فوق را بهانه قرار دهد و پيغام فرستاده شده را منكر شود!

اسلاید 4: امضاء رقميويژگيها :امكان تصديق هويت فرستنده، زمان و تاريخ ارسالتصديق محتويات پيغامامكان تصديق توسط طرف سوم(در صورت بروز اختلاف)

اسلاید 5: امضاء رقمينيازمنديها :رشته بيتي توليد شده وابسته به پيام اصلي باشد.از اطلاعات منحصر به فرستنده استفاده شود(جلوگيري از جعل و انكار)به سادگي محاسبه شودتشخيص و تاييد(verify) آن آسان باشدجعل آن از نظر محاسباتي دست نيافتني باشدامكان ذخيره آن روي فضاي ديسك وجود داشته باشد.

اسلاید 6: امضاء رقميمولفه ها :الگوريتم توليد کليد(Key Generation Alg)بصورت تصادفی يک زوج کليد عمومی توليد می کند.الگوريتم توليد امضاء(Signature Alg)پيغام و کليد خصوصی فرستنده را به عنوان ورودی می گيرد و امضاء را توليد می کند.الگوريتم تاييد امضا (Signature Verification Alg)امضاء و کليد عمومی فرستنده را به عنون ورودی می گيرد و تاييديه امضاء را به عنوان خروجی برمی گرداند.

اسلاید 7: نمونه امضاء رقمي

اسلاید 8: امضاء رقميانواعمستقيم(Direct) :ضعف : به امنيت كليد خصوصي فرستنده وابسته استفرستنده می تواند ارسال پيغام را انکار کنداستفاده از timestamp به تنهايی کافی نيست. ممکن است در زمان T، کليد خصوصی فرستنده لو رفته باشد.باواسط(Arbitrated)وجود يك سوم شخص مشكل تعلق پيغام به فرستنده را برطرف مي‌كندامکان مراجعه به آن در صورت بروز اختلاف

اسلاید 9: امضاء رقمي با واسطسناريوي اول (رمز متقارن، واسط پيام ها را مي بيند):XA : M, {IDX, h(M)}KxaAY : {IDX, M, {IDX, h(M)}Kxa, T}Kay عدم رعايت محرمانگي پيغامامکان تبانی واسط با فرستنده يا گيرنده

اسلاید 10: امضاء رقمي با واسطسناريوي دوم (رمز متقارن، واسط پيام ها را نمي بيند):XA : IDX, {M}Kxy , {IDX, h({M}Kxy)}KxaAY : {IDX, {M}Kxy, {IDX, h({M}Kxy)}Kxa, T}Kayامکان تبانی واسط با فرستنده يا گيرنده

اسلاید 11: امضاء رقمي با واسطسناريوي سوم (رمز نامتقارن، واسط پيام ها را نمي بيند):XA : IDX, {IDX, {{M}KRx}KUy}KRxAY : {IDX, {{M}KRx}KUy , T}KRaنياز به هيچ توافقي قبل از ارتباط نيستدر صورت لو رفتن كليد خصوصي x، برچسب زماني درست استمتن پيام در معرض ديد واسط يا شخص ديگر نيست.

اسلاید 12: پروتكل‌هاي احراز اصالتاحراز اصالت دو طرفههر دو طرف ارتباط بايد از هويت همديگر مطلع شوند.احراز اصالت يک طرفه لازم است تنها يک طرف ارتباط هويت خود را اثبات کند.مورد استفاده : يک شخص يک پيام را در يک گروه عمومی منتشر می کند.

اسلاید 13: پروتكل‌هاي احراز اصالتاحراز اصالت مقدمه تبادل كليدهاي نشست استمحرمانگي و صحت زماني دو نياز اصلي پروتكل هاي تبادل كليد است.دو خطر اساسی تبادل امن کليدهای نشست را تهديد می کند:شنودحملات جعل و تكرار

اسلاید 14: پروتكل‌هاي احراز اصالتانواع حملات جعل و تكرار (Replay Attacks)Simple Replay : گرفتن پيغام و ارسال آن بعد از مدتيLogged Replay : گرفتن پيغام و ارسال قبل از اتمام “پنجره زماني”Undetected Replay : پيغام اصلي نمي رسد و فقط پيغام جعلي مي رسدBackward Replay : پاسخ به پيغام ارسالي بجاي گيرندهوقتي اتفاق مي افتد كه از رمزنگاري مرسوم استفاده مي كنيم و تفاوت بين پيغامهاي ارسالي و دريافتي با مقايسه محتواي آنها ممكن نيست

اسلاید 15: پروتكل‌هاي احراز اصالتروشهاي پايه مقابله با حملات جعل و تكراراستفاده از اعداد متوالي(Sequence Number)استفاده از برچسب زماني(TimeStamp)Challenge/Response : قبل از ارسال هر پيغام، فرستنده يک Nonce ارسال می کند و انتظار دارد که گيرنده به آن پاسخ دهد.NPEK(N)VPEK(Seq)VPEK(T)V

اسلاید 16: احراز اصالت و تبادل كليداستفاده از رمزنگاري متقارنسلسله مراتب دو لايه اي كليدها (Session & Master keys) مركز توزيع كليد (KDC) مطمئنهر شخص كليد اصلي خود را با KDC به اشتراك مي گذاردKDC كليد جلسه را توليد مي كندكليدهاي اصلي براي انتقال كليد جلسه به طرفين بكار مي رود

اسلاید 17: يك مثالپروتكل Needham-Schroeder1.A→KDC:IDA , IDB , N12.KDC→A: {Ks, IDB, N1 ,{Ks , IDA}Kb,kdc }Ka,kdc3.A→B: {Ks , IDA}Kb,kdc4.B→A: {N2}Ks5.A→B: {f(N2)}Ks

اسلاید 18: پروتكل Needham-Schroederپروتكل فوق نسبت به Replay Attack آسيب پذير استممکن است کليد جلسه قبلی لو رفته باشد و بتوان جلسه جديدی تشکيل داد.راه حل : اضافه كردن برچسب زماني1.A→KDC: IDA , IDB2.KDC→A: {Ks , IDB ,T ,{Ks ,IDA ,T}Kb,kdc }Ka,kdc3.A→B: {Ks ,IDA ,T}Kb,kdc4.B→A: {N2}Ks5.A→B: {f(N2)}Ks

اسلاید 19: پروتكلهاي احراز اصالتاستفاده از رمزنگاري نامتقارنطرفين نياز به دانستن كليد عمومي فعلي همديگر ندارندكارگزار شناسايي(AS) علاوه بر توزيع کليد جلسه، وظيفه ايجاد گواهي كليد عمومي را بر عهده داردمانند رمزنگاري مرسوم، مي توان از برچسب زماني يا nonce استفاده كرد

اسلاید 20: پروتكلهاي احراز اصالتكليد عمومي و برچسب زماني1. A→AS : IDA , IDB2. AS→A : {IDA ,KUa ,T }KRas , {IDB ,KUb ,T }KRas3. A→B : {IDA,KUa,T}KRas ,{IDB,KUb,T}KRas,{{Ks,T}KRa }KUb مشكل : سنكرون بودن زمان سيستم هاي طرفين

اسلاید 21: پروتكلهاي احراز اصالتكليد عمومي و nonce (پروتكل Woo-Lam) 1. A→KDC : IDA , IDB2. KDC→A : {IDb ,KUb }KRkdc 3. A→B : {Na ,IDA }KUb4. B→KDC : IDB , IDA , {Na }KUkdc5. KDC→B : {IDA ,KUa}KRkdc , { {Na, KS, IDA ,IDB}KRkdc }KUb6. B → A : { {Na ,KS, IDA ,IDB}KRkdc , Nb}KUa7. A → B : {Nb}Ks

اسلاید 22: پروتكلهاي احراز اصالت احراز اصالت يكطرفهنمونه اي از مورد كاربرد : E-mailنيازمنديها :احراز اصالت(فرستنده)محرمانگيراه حلرمزنگاري مرسومرمزنگاري با كليد عمومي

اسلاید 23: پروتكلهاي احراز اصالتاستفاده از رمزنگاري متقارن A  KDC :IDA ,IDB , NAKDC  A: {KS ,IDB ,NA ,{KS ,IDA}KB,kdc }KA,kdcA  B: {KS, IDA }KB,kdc , {M}KS

اسلاید 24: پروتكلهاي احراز اصالتاستفاده از كليد عموميهدف : محرمانگي A  B : {KS }KUb , {M}KS هدف : احراز هويتA  B: M , {h(M)}KRA احراز هويت ، بدون اطلاع طرفين از كليد عمومي يكديگر A  B: M , {h(M) }KRA , {T ,IDA ,KUA}KRAS

اسلاید 25: پروتكل‌هاي احراز اصالتA321B يك پروتكل سادة احراز اصالت دو طرفه

اسلاید 26: رخنه پذيري پروتكل‌هاي احراز اصالت يك حملة نمونه: Oracle Session Attack 21BEAAEB1’2’3

اسلاید 27: رخنه پذيري پروتكل‌هاي احراز اصالتاصلاح پروتكل ساده احراز اصالت دو طرفهA321BParallel session attack !Offset attack !

اسلاید 28: انواع رخنه‌ها در طراحي پروتكل‌هاكلمات عبور قابل حدس(Password guessing flaws) كاربران كلمات عبور به اندازة كافي بزرگ يا تصادفي انتخاب نمي‌كنند. مثل پروتكل Kerberos (نشست بعدي) يا پروتكل‌هاي loginرخنه ناشي از تازه نبودن اجزاء(Freshless flaws) نفوذي مي‌تواند بجاي يك عامل ديگر ايفاي نقش نمايد. مثل پروتكل NSSKرخنه هاي اُراكل (Oracle flaws)استفاده از يك عامل مجاز براي انجام برخي محاسبات و سوء استفاده از آنها مثل پروتكل 3Pass (نشست بعدي)

اسلاید 29: انواع رخنه‌ها در طراحي پروتكل‌هارخنه هاي نوع (Type flaws) تعابير مختلف از رشته‌هاي بيتي در پروتكلمثل پروتكل Newman-Stabelbineرخنه هاي مربوط به زمان (Timing flaws) ساعت هاي غير همزمان مثل پروتكل Kerberosرخنه هاي مربوط به سيستم رمز (Cryptosystem flaws) مثل پروتكل 3Pass

اسلاید 30: رخنة نوعضعف عوامل دريافت كننده پيام در تشخيص و تميز بين پيامهاي دريافتي، عدم توانايي آنها در تطبيق پيام دريافتي با وضعيت خاصي از پروتكل يا ضعف در فرضيات مربوط به نحوة تطبيق پيام با وضعيت هاي خاص پروتكل شناسايي پيام هاي پروتكل هاي مختلف در محيط اجراي چندين پروتكل تشخيص پيام هاي مربوط به اجرا هاي مختلف يك پروتكل تشخيص و شناسايي پيام هاي ارسالي در قدم هاي مختلف يك پروتكل تشخيص و تفاوت قائل شدن بين تكه هاي پيام در يك قدم انتقال از پروتكل تشخيص نوع پيام هاي اتميك از طريق انتساب هر كلمه مجزا به نوع خود

اسلاید 31: رخنة نوع پروتكل احراز اصالت و توزيع كليد Newman-Stabelbine

اسلاید 32: رخنة نوعحمله به اين پروتكل بر اثر وجود رخنة نوع جعل اصالت A براي B و مشترك شدن يك كليد با وي توسط نفوذي1 . EA  B : A , Na2 . B  ES : B , { A , Na , Tb }kbs , Nb3. حذف 4 . EA  B : { A , Na ( = kab ) , Tb }kbs , { Nb }Na( = kab )

اسلاید 33: رخنة اراكل پروتكل كليد عمومي Needham-SchroederA -> B: {Na, A}PUBB -> A: {Na, Nb}PUAA -> B: {Nb}PUBNa و Nb نانس و PUA و PUB كليد عمومي هستند

اسلاید 34: رخنة اراكلSession 1: A to XA -> X: {Na, A}PUXX -> A: {Na, Nb}PUAA -> X: {Nb}PUXSession 2: X (as A) to BA(X) -> B: {Na, A}PUBB -> A(X): {Na, Nb}PUAA(X) -> B: {Nb}PUB

اسلاید 35: پروتكل Three passپروتكل Three pass A و B مي خواهند يك مقدار مخفي را با يكديگر مبادله كنند بدون اينكه از قبل كليد مشتركي داشته باشند.فرض بر اين است كه تابع رمز مورد استفاده جابجائي پذير است يعني:

اسلاید 36: پروتكل Three passمشكل پروتكل Three pass: