Sicurezza delle reti 1. Lezione XV: Metodi crittografici. Challenge/Response con mutua autenticazione. Challenge/Response. Mattia Monga. a.a.

Transcript

1 1 Mattia Lezione XV: Dip. di Informatica Università degli Studi di Milano, Italia a.a. 2012/13 1 cba M.. Creative Commons Attribuzione-Condividi allo stesso modo 3.0 Italia License. Derivato con permesso da 2010 M. Cremonini Challenge/Response Challenge/Response con mutua autenticazione 2:R 3:K AB {R} 2:R 1 3:K AB {R 1 } 4:R 2 L autenticazione non è reciproca: qualcuno potrebbe sostituirsi a. Offline-guessing di K AB è possibile intercettando R e K AB {R} 5:K AB {R 2 } Sono necessari ben 5 scambi: si può rendere piú efficiente?

2 Challenge/Response con mutua autenticazione Needham-Schroeder, R 2 2:K AB {R 2 },R 1 Per semplificare la gestione dei seg condivisi, possono essere introdotti dei Key Distribution Center (KDC). Needham-Schroeder [1978] 5:K AB {R 1 } Purtroppo si presta ad un reflection attack, R 2 e voglio parlare a, N A KDC Trudy 2:K AS {N A,K AB,ticket = K BS {K AB,}} 3:K BS {K AB,} 2:K AB {R 2 },R 1 4:K AB {N B }, Trudy, R 1 5:K AB {N B 1} 3:K AB {R 1 },R Inoltre si presta all offline guessing (anche senza intercettazione!). 322 Needham-Schroeder è vulnerabile 2:R 1 Riassumendo 3:K AB {R 1 },R 2 4:K AB {R 2 } Qualora K AB sia compromesso (p.es. accedendo alla macchina di ) è possibile un replay attack del ticket, quindi occorre complicarlo ulteriormente introducendo dei timestamp, in modo che i ticket non possano essere riutilizzati. Un evoluzione (molto diffusa) che include i timestamp è Kerberos. I protocolli possono essere molto utili Permettono mutua autenticazione Occorre fare molta attenzione alle possibilità di replay La gestione delle chiavi è architetturalmente la faccenda piú complicata

3 Il single sign-on (SSO) Architettura di base L idea di avere credenziali che permettono l accesso a sistemi diversi è appetibile per una serie di ragioni Riduce il problema di trovare un buon segreto (sufficientemente casuale, ecc.) Riduce l overhead totale di gestione degli accessi Permette la gestione centralizzata degli accessi, piú semplice da manutenere La maggior parte dei protocolli sono disegnati sull impronta di Kerberos, che è una variazione con timestamp del protocollo Needham-Schroeder. Un Ticket-Granting Server (TGS) fornisce ticket d accesso a scadenza. (Aumenta la criticità delle credenziali, però) Kerberos Il SSO sul web Il SSO sembra particolarmente attraente in situazioni come i servizi web a bassa criticità: Decine di password da ricordare Utenti poco sensibili al problema Ma soluzioni tipo Kerberos sono difficili da adottare, perché occorre che servizi indipendenti concordino sulla KDC. [Figura: wikipedia.org]

4 OpenID Lo schema 1 si connette al sito meraviglie.org L idea è che esistano siti che facciano da OpenID provider (OP) e gli OpenID Consumer (OC) accettano come credenziali quelle che gli utenti ottengono dagli OP (cui sostanzialmente gli OC delegano l autenticazione) 2 Per accedere comunica che ha un account su faccialibro.com/openid/alice 3 accede (con credenziali tradizionali) a faccialibro.com e produce un certificato d accesso 4 meraviglie.org accetta il certificato d accesso come credenziale d autenticazione Problemi di OpenID Alternative migliori Lettura obbligatoria: I principali rischi In realtà sembra meglio avere credenziali multiple e gestirle con modalità come: PasswordSafe ( un db criptato Facilità di allestire inganni di tipo phishing Privacy SuperGenPass ( un unica password viene giustapposta ad un identificatore del sito e la vera password è ottenuta con una funzione hash

5 Riassumendo Il SSO tipo kerberos è inadatto alla gestione di servizi web indipendenti le soluzioni del tipo OpenID presentano diversi problemi 333