Sicurezza. Evoluzione dei problemi e requisiti di sicurezza Current. Sistemi distribuiti basati su reti locali

Transcript

1 Sicurezza Aspetto di crescente rilevanza nei sistemi distribuiti Necessità di introdurre la sicurezza fra gli aspetti di progetto Protezione di integrità di informazioni e risorse privatezza Condivisione di risorse Politiche di sicurezza Meccanismi di sicurezza indipendenti dalla implementazione Crittografia come base dei meccanismi di sicurezza chiave pubblica chiave privata protocolli ibridi Evoluzione dei problemi e requisiti di sicurezza Current Piattaforma Risorse condivise Requisiti di sicurezza Ambienti di gestione della sicurezza Sistemi Multi-utente timesharing Memoria, files Identificazione e autenticazione Unica authority, unica autorizzazione a database Sistemi distribuiti basati su reti locali Servizi locali (e.g. NFS), rete locale Servizi Internet Reti WAN , web sites, E-commerce Protezione dei servizi Sicurezza elevata per transazioni commerciali Unica authority, autorizzazione replicata su databases (e.g. NIS) Molti authorities, Nessun controllo di authority completo sulla rete Internet e sistemi mobili Oggetti distribuiti Codice mobile Controllo degli accessi ei singoli oggetti, codice mobile sicuro Authorities per ogni attività, gruppi con responsabilità condivise C7.2 1

2 Tipi di problemi Leakage Tampering Vandalismo acquisizione non autorizzata di informazioni modifica non autorizzata di informazioni interferenza non autorizzata e senza scopo di una operazione propria Canale di comunicazione spiare - ottenere copie non autorizzate di messaggi mascherare - mandare/ricevere messaggi fingendosi un altro danneggiare - modificare un messaggio rispondere - memorizzare un messaggio e rinviarlo successivamente rendere indisponibile un servizio - sommergere un canale o risorsa con messaggi per renderne impossibile l uso Applicazioni sensibili commerciali posta elettronica bancarie e finanziarie accesso ad archivi di dati privati sistemi mobili C7.3 Modello Modello di sicurezza Processi che incapsulano le risorse e regolano l accesso tramite interfacce I processi principali sono autorizzati ad operare sulle risorse Ogni risorsa è protetta da accessi non autorizzati Processi interagenti tramite una rete condivisa anche da nemici I nemici tentano letture e copie di messaggi o inserimenti fingendosi altri Canale sicuro Nella fase di progetto occorre - elencare tutti i possibili tipi di attacco - mostrare che il sistema è in grado di garantire la sicurezza per ognuno - usare ipotesi di caso pessimo (rete, programmi, codici e interfacce vulnerabili, i nemici conoscono gli algoritmi ed hanno accesso alle risorse, ) C7.4 2

3 Tecniche di sicurezza crittografia codifica basata su chiavi e algoritmi di codifica e decodifica usata per la firma digitale certificazioni certificato: documento con una dichiarazione del principale catena di certificazioni fino ad una autorità accettata e credibile formato standard dei certificati controllo degli accessi tipicamente usato nei sistemi operativi nei sistemi distribuiti il controllo viene operato solitamente dal servente che riceve richieste del tipo <op, principal, risorsa> domini di protezione: insieme di <risorsa, diritti>, implementazioni - lista di capabilities o lista di controlli di accesso <dominio, op> credenziali insieme di informazioni che garantiscono il diritto di accesso certificazione di una autorità firewall controlla tutti le comunicazioni da e per una rete (intranet) meccanismo rudimentale, non protegge da attacchi interni C7.5 Crittografia Approcci algoritmi di codifica basati su: chiave segreta condivisa chiave pubblica (condivisa dai due comunicanti) e chiave privata per la decodifica Obbiettivo: mantenere la segretezza e integrità dell informazione A {M} KAB B chiave segreta condivisa A codifica il messaggio M con la funzione E(K AB, M) B decodifica il messaggio M con la funzione D(K AB, M) Problemi: comunicazione della chiave segreta, autenticità del mittente comunicazione basata su chiave pubblica per condividere la chiave segreta A accede al servizio (certificato) di distribuzione della chiave pubblica K BPub A crea una chiave K AB e codificandola con K BPub la invia a B che la decodifica B definisce una chiave di decodifica K BPriv Problemi: comunicazione della chiave pubblica C7.6 3

4 Schemi usuali di nomi usati per le componenti nei protocolli di sicurezza Alice Bob Carol Dave Eve Mallory Sara Primo partecipante Secondo partecipante partecipante in un protocollo con tre e quattro elementi partecipante in un un protocollo con quattro elementi Eavesdropper spia Attaccante malizioso (intenzionale) Un servente C7.7 Notazione in crittografia K A K B K AB K Apriv K Apub {M}K [M] K Chiave segreta di Alice Chiave segreta di Bob Chiave segreta condivisa da Alice e Bob Chiave privata di Alice (nota solo ad Alice) Chiave pubblica di Alice (pubblicata da Alice per la lettura) Messaggio M codificato con chiave K Messaggio M firmato con chiave K C7.8 4

5 Esempio: certificato del conto bancario di Alice 1. Tipo di certificato : Numero di conto 2. Nome: Alice 3. Conto : Authority di certificazione : Banca di Bob 5. Signature: {Digest (field 2 + field 3)} K Bpriv C7.9 Certificato con chiave pubblica per la banca di Bob 1. Tipo di certificato : Chiave pubblica 2. Nome: Banca di Bob 3. Chiave pubblica : K Bpub 4. Authority di certificazione : Fred The Bankers Federation 5. Signature: {Digest (field 2 + field 3)} K Fpriv C7.10 5

6 Algoritmi Chiave segreta algoritmi simmetrici Codifica E(K,M) = M funzione relativamente facile da calcolare Decodifica D(K, E(K,M))=M funzione molto difficile (impossibile) da calcolare one-way function Un algoritmo di forza bruta ha complessità... Chiave pubblica algoritmi asimmetrici Trap-door function Funzione calcolabile in una direzione, ma di inversa non calcolabile senza la conoscenza di una chiave segreta Manipolazione di M secondo principi della teoria dell informazione: - confusione (es. uso di shift circolari, di XOR, ) - diffusione rompere le regolarità e ripetizioni C7.11 Cipher block chaining Divisione dei dati in blocchi di lunghezza costante plaintext blocks n+3 n+2 n+1 XOR E(K, M) ciphertext blocks n-3 n-2 n-1 n Per diminuire la probabilità di riconoscere ripetizioni molti algoritmi usano la concatenazione dei blocchi nella codifica (CBC) Alla ricezione la decodifica opera una operazione inversa alla codifica: si decodifica il blocco n+1 e si esegue XOR con il blocco codificato precedente (n) ottenendo il plaintext n+1 Corretto perché XOR applicata due volte riporta allo stesso risultato (idempotenza) Vettore di inizializzazione per distinguere sequenze altrimenti uguali Scarsa tolleranza ai guasti C7.12 6

7 Stream cipher Codifica incrementale su un flusso di bit keystream number generator n+3 n+2 n+1 E(K, M) buffer XOR plaintext stream ciphertext stream Generazione di un flusso di chiavi, codifica anche in anticipo e memorizzazione, operazione XOR con il flusso di bit Uso di generatori di numeri pseudocasuali per generare le chiavi, concordando il seme fra mittente e destinatario Efficiente Si può combinare stream cipher con CBC C7.13 Algoritmi simmetrici Esistono molti algoritmi DES (Data Encription Standard) sviluppato da IBM è uno standard US che è stato molto usato ma è superato perché basato su chiavi di 56 bit, oggi attaccabili discreta complessità computazionale, realizzazione VLSI uguale funzione di codifica e decodifica IDEA è un algoritmo efficiente di tipo simmetrico e a blocchi con chiavi di 128 bit uguale funzione di codifica e decodifica AES (Advanced Encription Standard) invito a proporre standard dalla NIST da pubblicare nel 2001 TEA (Tiny Encription Algorithm) opera su blocchi di 64 bit (due interi di 32 bit) e chiave di 128 bit (quattro interi) rotazioni, XOR e shift per creare confusione e diffusione più efficiente del DES C7.14 7

8 Funzione crittografica TEA void encrypt(unsigned long k[], unsigned long text[]) { unsigned long y = text[0], z = text[1]; 1 unsigned long delta = 0x9e3779b9, sum = 0; int n; 2 for (n= 0; n < 32; n++) { 3 sum += delta; 4 y += ((z << 4) + k[0]) ^ (z+sum) ^ ((z >> 5) + k[1]); 5 z += ((y << 4) + k[2]) ^ (y+sum) ^ ((y >> 5) + k[3]); 6 } text[0] = y; text[1] = z; 7 } dove ^ è XOR >> e << sono shift logici C7.15 Funzione crittografica TEA void decrypt(unsigned long k[], unsigned long text[]) { unsigned long y = text[0], z = text[1]; unsigned long delta = 0x9e3779b9, sum = delta << 5; int n; for (n= 0; n < 32; n++) { z -= ((y << 4) + k[2]) ^ (y + sum) ^ ((y >> 5) + k[3]); y -= ((z << 4) + k[0]) ^ (z + sum) ^ ((z >> 5) + k[1]); sum -= delta; } text[0] = y; text[1] = z; } C7.16 8

9 TEA in funzione void tea(char mode, FILE *infile, FILE *outfile, unsigned long k[]) { /* mode is e for encrypt, d for decrypt, k[] is the key.*/ char ch, Text[8]; int i; while(!feof(infile)) { i = fread(text, 1, 8, infile); /* legge 8 bytes da infile in Text */ if (i <= 0) break; while (i < 8) { Text[i++] = ' ';} /* completa l ultimo blocco con spazi */ switch (mode) { case 'e': encrypt(k, (unsigned long*) Text); break; case 'd': decrypt(k, (unsigned long*) Text); break; } fwrite(text, 1, 8, outfile); /* write 8 bytes from Text to outfile */ } } C7.17 Algoritmi asimmetrici Esistono pochi algoritmi chiavi K e e K d per codifica e decodifica numeri molto grandi D(K d, E(K e,m))=m la chiave di decodifica è segreta, quella di codifica può essere pubblica RSA (Rivest, Shamir, Adelman) si basa sul prodotto di due numeri primi molto grandi (> ), poiché la fattorizzazione di un numero in numeri primi è computazionalmente intrattabile e di fatto non calcolabile molto usato C7.18 9

10 RSA Encryption - 1 Trovare una coppia di chiavi e, d: 1. Scegliere due numeri primi grandi, P e Q (> ), e calcolare: N = P x Q Z = (P 1) x (Q 1) 2. Scegliere d come un qualsiasi numero relativamente primo a Z (senza fattori comuni). Esempio di computazione con piccoli valori interi per P e Q: P = 13, Q = 17 > N = 221, Z = 192 d = 5 3. Trovare e dall equazione: e x d = 1 mod Z ovvero, e x d è il più piccolo numero divisibile per d nella serie Z+1, 2Z+1, 3Z+1,.... e x d = 1 mod 192 = 1, 193, 385, è divisibile per d e = 385/5 = 77 C7.19 RSA Encryption - 2 Per crittografare i dato con il metodo RSA, il testo è diviso in blocchi di lunghezza uguale di k bit con 2 k < N, ovvero tale che il numero del blocco sia sempre < N; in applicazioni pratiche k è in [ 512, 1024] k = 7, since 27 = 128 La funzione di codifica di un solo blocco di plaintext M è: E'(e,N,M) = M e mod N per un messaggio M, il ciphertext è M 77 mod 221 La funzione di decodifica di un blocco di chipertext c per riprodurre il testo originale è: D'(d,N,c) = c d mod N Si dimostra che E' e D' sono mutuamente inverse E'(D'(x)) = D'(E'(x)) = x per ogni valore di P, 0 P N. parametri e,n : chiave per la funzione dei codifica K e = <e,n> parametri d,n : chiave per la funzione di decodifica K d = <d,n> allora la funzione di codifica: E(K e, M) ={M} K Il messaggio codificato può essere decodificato solo da chi ha la chiave privata K d e ìèd(k d, ={M} K ) = M C

11 Algoritmi ibridi Gli algoritmi a chiave pubblica sono costosi, ma utili per applicazioni per le quali si vuole evitare di trasmettere la chiave segreta Algoritmi ibridi uso della chiave pubblica per comunicare la chiave segreta comunicazione basata sulla chiave segreta Esempio: SSL (Secure Socket Layer) standard de facto come protocollo d i sicurezza per applicazioni di commercio elettronico C7.21 Firma digitale con chiave pubblica M doc firmato Firma H(M) h E(K pri, h) {h} Kpri 128 bits M {h} Kpri D(K pub,{h}) h' Verifica M H(doc) h h = h'? C

12 Firme a basso costo con chiave segreta condivisa M doc firmato Firma H(M+K) h M K M h Verifica K H(M+K) h' h = h'? C7.23 X509 Certificate format Subject Issuer Period of validity Administrative information Extended Information Distinguished Name, Public Key Distinguished Name, Signature Not Before Date, Not After Date Version, Serial Number C

13 Prestazioni degli algoritmi di codifica sicura Dimensione chiave Velocità PRB ottimizzata /dimesione dell hash estrapolata (kbytes/s) (kbytes/sec.) TEA DES Triple-DES IDEA RSA RSA MD SHA C7.25 Protocollo di autenticazione di chiave segreta Needham Schroeder Header Message Note 1. A->S: A, B, N A A requests S to supply a key for communication with B. 2. S->A: {N A, B, K AB, S returns a message encrypted in A s secret key, containing a newly generated key K {K AB, A} KB } AB and a KA ticket encrypted in B s secret key. The nonce N A demonstrates that the message was sent in response to the preceding one. A believes that S sent the message because only S knows A s secret key. 3. A->B: {K AB, A} KB A sends the ticket to B. 4. B->A: {N B } KAB B decrypts the ticket and uses the new key K AB to encrypt another nonce N B. 5. A->B: {N B - 1} KAB A demonstrates to B that it was the sender of the previous message by returning an agreed transformation of N B. C

14 Architettura di sistema di Kerberos Kerberos Key Distribution Centre Step A 1. Request for TGS ticket Authentication service A Authentication database Ticketgranting service T Client C 2. TGS ticket Login session setup Server session setup DoOperation Step B 3. Request for server ticket 4. Server ticket Step C 5. Service request Request encrypted with session key Reply encrypted with session key Service function Server S C7.27 Algoritmo SSL Sviluppato per transazioni sicure da Netscape, dal 1994 Supportato dai browser web e usato per transazioni elettroniche via web Utilizzato da vari protocolli e applicazioni (http, ftp, telnet, ) TLS (Transport Layer Security) protocollo adottato come standard di Internet (RFC 2246) estensione di SSL 1. fase di negoziazione degli algoritmi di codifica e di autenticazione che possono differire in un ambiente eterogeneo può fallire 2. Codifica a chiave pubblica per scambiarsi la chiave privata condivisa 3. Comunicazione sicura con codifica con chiave privata SSL Record Protocol Layer implementazione del canale sicuro, trasmissione di messaggi per la codifica e l autentica (livello sessione) Handshake Layer protocollo handshake e altri per gestire la sessione (livello applicazione) C

15 Pila di protocolli SSL SSL Handshake protocol SSL Change Cipher Spec SSL Alert Protocol HTTP Telnet SSL Record Protocol Livello Trasporto (TCP) Livello rete (IP) Protocolli SSL : altri protocolli: C7.29 Protocollo handshake SSL ClientHello ServerHello Stabilisce la versione del protocollo, session ID, cipher suite, metodo di Compressione, scambio di numeri casuali Certificate Certificate Request ServerHelloDone Eventualmente invia il certificato del server e e richiede il certificato del cliente Client Certificate Certificate Verify Server Manda eventualmente la risposta al certificato del cliente Change Cipher Spec Finished Modifica la chiper suite e termina l handshake Change Cipher Spec Finished C

16 SSL handshake: opzioni di configurazione (cipher suite) Componente Descrizione Esempio Metodo si scambio della chiave Cipher per trasferimento dati Message digest function Metodo da usare per lo scambio Della chiave di sessione block o stream cipher da usare per i dati Per creare codici di autenticazione di messaggi (MACs) RSA con certificato di chiave pubblica IDEA SHA C7.31 SSL record protocol Application data abcdefghi Fragment/combine Record protocol units abc def ghi Compressed units Compress MAC Encrypted Hash Encrypt Transmit TCP packet C

17 Architettura di Millicent Master scrip secrets Vendor Validator Spent scrip list Master customer secrets Purchase(item name, scrip payment) Completion(item, scrip change) Optional secure channel based on customer secret Customer Browser scrip Scrip store Customer secret Scrip layout Vendor Value Scrip ID Customer ID Expiry date Properties Certificate C