Sicurezza nelle reti di TLC

Transcript

1 Sicurezza nelle reti di TLC Gianluca Reali Testo di riferimento: J.F. Kurose, K.W. Ross Internet e Reti di Calcolatori 1

2 Sicurezza nelle Reti di TLC Concetti fonfamentali: Cos è la sicurezza? Crittografia Autenticazione Integrità del messaggio Distribuzione delle chiavi e certificazione Esempi: Strato applicativo: sicure Strato di trasporto: commercio elettronico, SSL, PGP Strato di rete: IPsec 2

3 Amici e Nemici: Alice, Bob, Trudy Figure 7.1 goes here Ben conosciuti nell ambiente della sicurezza Alice e Bob vogliono comunicare in maniera sicura Trudy ( intruder ) potrebbe intercettare, cancellare, aggiungere dei messaggi 3

4 Cos è la sicurezza? Segretezza: solo il mittente e il destinatario desiderato dovrebbero capire il contenuto dei messaggi il mittente codifica (encrypt) il messaggio Il desticatario decodifica (decrypt) il messaggio Autenticazione: il mittente e il destinatario vogliono assicurarsi dell identità reciproca. Integrità del messaggio: il mittente e il destinatario vogliono essere certi che il messaggio in transito non sia alterato (volontariamente o meno). 4

5 Sicurezza in Internet A Packet sniffing: Mezzo diffusivo NIC (Network Interface Card) configurate in modo promiscuo (leggono tutti i messaggi in transito) Possono leggere dati trasmessi in chiaro (es. password) es.: C intercetta e legge i pacchetti di B C src:b dest:a payload B 5

6 Sicurezza in Internet IP Spoofing: Possibilità di modificare pacchetti IP inserendo qualsiasi valore nel campo IP source address Il destinatario non si può accorgere dello spoofing es: C finge di essere B A C src:b dest:a payload B 6

7 Sicurezza in Internet Denial of service (DOS): Inondazione di pacchetti appositamente generati per affogare il ricevente. Distributed DOS (DDOS): sorgenti multiple e coordinate E.g., C e un host remoto attaccano A A C SYN SYN SYN SYN SYN SYN SYN B 7

8 Componenti della crittografia Crittografia a chiave simmetrica: codifica e decodifica con la stessa chiave Crittografia a chiave pubblica : codifica e decodifica con chiavi simmetriche 8

9 Crittografia a chiave simmetrica Codifica per sostituzione: Cifrario di Cesare: sostituzione di una lettera con un altra mediante shift circolare dell alfabeto Costo per rompere il codice? forza bruta: 25 chiavi Cifrario monoalfabetico Es.: Plaintext: bob. i love you. alice ciphertext: nkn. s gktc wky. mgsbc 9

10 Crittografia a chiave simmetrica Codifica per sostituzione: Cifrario polialfabetico, che usa due cifrari di Cesare Es.: Plaintext: bob. i love you. alice ciphertext: gtg. b qtah rhn. fqnhj Costo per rompere il codice? forzabruta: 10 9 chiavi 10

11 Crittografia a chiave simmetrica: Data Encryption Standard (DES) Chiave simmetrica di 56-bit, codifica blocchi in chiaro di 64 bit Quanto è sicuro il DES? DES Challenge (gennaio 1997) lanciata da RSA (10000 dollari): frase criptata con una chiave di 56 bit: Strong cryptography makes the world a safer place ; decriptata (forza bruta) in 4 mesi (1997), 41 giorni (febbraio 1998), 56 ore (luglio 1998), 22 ore e 15 minuti (1999) da Deep Crack, formato da PC in internet Nessun altro approccio backdoor noto Occorre rendere il DES più sicuro 3-DES Concatenamento dei blocchi cifrati (XOR di blocchi di 64 bit cifrati consecutivi) 11

12 DES Operazioni DES Permutazione iniziale 16 cicliidenticibasatisu chiavi diverse di 48 bit Permutazione finale 12

13 Crittografia a chiave pubblica Crittografia a chiave simmetrica Mitt. e dest. devono conoscere la chiave segreta Come fanno ad accordarsi? Crittografia a chiave pubblica Mitt. e dest. non condividono alcuna chiave segreta Encryption (Decryption) key pubblica (nota a tutti) Decryption (Encryption) key privata (nota solo al possessore) 13

14 Crittografia a chiave pubblica 14

15 Algoritmi di crittografia a chiave pubblica Requisiti degli algoritmi: 1 2 occorrono k + B ( ) ed k - B ( ) tali che k - (k + (m)) = m B B Occorrono chiavi pubbliche e private per K + B ( ) e K - B ( ) Algoritmo RSA (Rivest, Shamir, Adelson) 15

16 RSA: Scelta delle chiavi 1. Scelta di due numeri primi (grandi) p, q (es. di 1024 bit ciascuno). 2. Calcolare n = pq, z = (p-1)(q-1). 3. Scegliere e (e<n) che non abbia fattori in comune con z (e,z sono primi relativi ). 4. Scegliere d tale che ed-1 sia esattamente divisibile per z. (ed mod z = 1 ). 5. La chiave pubblica è (n,e). La chiave privata è (n,d). 16

17 RSA: Encryption, decryption 0. Siano dati (n,e) e (n,d) 1. Per codificare il messaggio, m, occorre calcolare c = m e mod n (resto della divisione di m e per n) 2. Per la decodifica occorre calcolare m = c d mod n (resto della divisione di c d per n) Risultato algebrico m = (m e d mod n) mod n 17

18 Esempio di applicazione RSA: Bob sceglie p=5, q=7. Quindi n=35, z=24. e=5 (e, z primi relativi). d=29 (ed-1 divisibile esattamente per z). encrypt: decrypt: letter m m e c = m e mod n l c c d m = c d mod n letter l 18

19 Perché l RSA funziona m = (m e d mod n) mod n Dalla teoria dei numeri: dati p,q primi, n = pq, allora y ymod (p-1)(q-1) x mod n = x mod n e (m mod n) d mod n = m ed mod n ed mod (p-1)(q-1) = m mod n (usando il risultato dalla teoria dei numeri) 1 = m mod n (dato che abbiamo scelto ed divisibile per (p-1)(q-1) con resto di 1 ) = m 19

20 Autenticazione Scopo: Bob vuole che Alice gli dimostri la sua identità Protocollo ap1.0: Alice dice Io sono Alice 20

21 Autenticazione Protocollo ap2.0: Alice dice Io sono Alice e invia il suo indirizzo IP per provarlo. 21

22 Autenticazione Protocollo ap3.0: Alice dice Io sono Alice and invia la sua password segreta per provarlo. 22

23 Autenticazione Protocollo ap3.1: Alice dice Io sono Alice e invia la sua password segreta criptata per provarlo. Attacco di replica (playback) 23

24 Autenticazione : ap4.0 Scopo: evitareattacchidireplica Nonce: numero (R) utilizzato SOLO una volta ap4.0: per verificare che Alice sia viva, Bob invia ad Alice il nonce, R. Alice lo restituisce codificato con la chiave simmetrica Problemi? 24

25 Autenticazione : ap5.0 ap4.0 richiede la condivisione di una chiave simmetrica problema: come fanno Bob e Alice ad accordarsi? Si può ricorrere all uso di chiavi pubbliche? ap5.0: fa uso del nonce, e della crittografia a chiave pubblica 25

26 Autenticazione : ap5.0 Il protocollo ap5.0 che funziona corretamente Problemi? 26

27 Autenticazione : ap5.0 Una falla nella sicurezza del protocollo ap5.0 27

28 Autenticazione : ap5.0 Attacco man-in-the-middle Necessità di certificare le chiavi pubbliche 28

29 Firma digitale Tecniche crittografiche analoghe alla firma manuale. Il mittente (Bob) può firmare digitalmente un documento, certificando che ne è il possessore/creatore. Verificabilità, non ripudiabilità: Il destinatario (Alice) può verificare che è stato Bob, e nessun altro, a firmare il documento. 29

30 Firma digitale Esempio di firma digitale per il messaggio m: Bob codifica m con la sua chiave privata K B-, creando così in messaggio cifrato K B- (m). Bob invia m e K B- (m) ad Alice. 30

31 Firma digitale Si supponga che Alice riceva m, and e la firma digitale K B- (m) Alice verifica la firma applicando prima la chiave pubblica di Bob K B+ a K B- (m), e poi verificando che K B+ (K B- (m) ) = m. Se K B+ (K B- (m) ) = m, chiunque abbia firmato m deve aver usato la chiave privata di Bob. Alice così verifica che: Bob ha firmato m. Nessun altro ha firmato m. Bob ha firmato m e non m (versione alterata di m) Non-repudiabilità: Alice può usare m, e la firma K B- (m) per provare a una corte che Bob ha firmato m. 31

32 Digest del messaggio Computazionalmente oneroso codificare lunghi messaggi mediante chiavi pubbliche Scopo: ottenere firme digitali facilmente, di lunghezza fissa, fingerprint Applicazione di funzioni hash H a m, ottenendo digest di dimensione fissa H(m). 32

33 Digest del messaggio Proprietà della funzione Hash: Molti-a-1 Produce digest di lunghezza fissa (fingerprint) Dato un digest di messaggio x, risulta computazionalmente infattibile determinare m tale che x = H(m) risulta computazionalmente infattibile determinare due messaggi m ed m tali che H(m) = H(m ). 33

34 Firma Digitale = Digest del messaggio cifrato L invio di un messaggio con firma digitale 34

35 Firma Digitale = Digest del messaggio cifrato Verifica dell integrità di un messaggio firmato 35

36 Algoritmi per le funzioni Hash Il classico checksum produrrebbe un digest scadente. Facile trovare due messaggi che abbiano lo stesso checksum. Un algoritmo molto diffuso è l MD5. Calcola digest di 128-bit mediante un processo di 4 passi. Un altro algoritmo è l SHA-1. Standard US digest di messaggio di 160-bit 36

37 Intermediari fidati Problema: Come fanno due entità a stabilire una chiave segreta condivisa in rete? Soluzione: Mediante un trusted key distribution center (KDC) che opera come intermediario fra le entità Problema: Quando Alice ottiene la chiave pubblica di Bob (dal sito web, , floppy disk ), come può essere certa che si tratta della chiave pubblica di Bob e non di Trudy? Soluzione: trusted certification authority (CA) 37

38 Key Distribution Center (KDC) Alice e Bob necessitano di una chiave simetrica. KDC: server che condivide delle chiavi segrete con gli utenti registrati. Alice e Bob conoscono le proprie chiavi segrete, K A-KDC e K B-KDC, che usano per comunicare con il KDC. 38

39 Impostazione di una chiave per una singola sessione attraverso un centro di distribuzione delle chiavi Alice comunica con il KDC, ottiene la chiave di sessione R1, e K B-KDC (A,R1) Alice invia a Bob K B-KDC (A,R1), Bob estrae R1 Alice e Bob ora condividono la chiave segreta R1. 39

40 Autorità di certificazione della chiave pubblica Trudy si maschera da Bob usando la crittografia a chiave pubblica 40

41 Autorità di certificazione della chiave pubblica Certification authority (CA) che crea un collegamento fra la chiave pubblica e le entità. Le entità (persone, router...) possono registrare la chiave pubblica presso la CA. privata La CA verifica l identità dell entità. La CA crea un certificato che associa l entità alla chiave pubblica. Il certificato è firmato digitalmente dalla CA. Quando Alice vuole verificare la validità del certificato di Bob applica la chiave pubblica della CA e ottiene la chiave pubblica di Bob 41

42 Un certificato rilasciato dalla Thawte Consulting alla Netfarmers Enterprise, Inc. 42

43 Controllo dell accesso: Firewall Combinazione H/W S/W che isola una rete dal resto di Internet filtrando il traffico di I/O Filtraggio a livello di Pacchetto Filtraggio a livello di Applicazione 43

44 Filtraggio a livello di pacchetto Può essere basato su: Indirizzo IP Sorgente/Destinazione Porte TCP/UDP Sorgente/Destinazione Es porta TELNET: 23 Tipo di messaggio ICMP Tipo di pacchetto Es. segmenti di inizializzazione TCP SYN ACK del three-way-handshake Fondamentale l ordine di applicazione delle regole di filtraggio 44

45 Filtraggio a livello di applicazione Si consente di accedere ai servizi di rete solo transitando per opportuni server (es. Telnet, http, FTP, Possibile combinazione fra filtraggio di pacchetti e gateway per realizzare politiche di sicurezza più articolate. Es. consentire a pochi utenti di collegarsi verso l esterno usando Telnet. 45

46 Un gateway consistente di un gateway dell applicazione e di un filtro 46

47 Attacchi e contromisure Mapping Processo di raccolta delle informazioni sulla rete Es. uso di semplici ping Es. scansione delle porte delle macchine mediante richieste di connessione TCP, o pacchetti UDP. Dalle riposte si ottengono informazioni sulle applicazioni disponibili. 47

48 Attacchi e contromisure Packet Sniffing 48

49 Spoofing Porre un indirizzo IP arbitrario nel campo source address del datagramma. Si fa sembrare che i dati siano stati inviati da un altro utente. Si può prevenire in una certa misura mediante un filtraggio in ingresso dei pacchetti, che accerti che l indirizzo IP ricevuto in una interfaccia sia nel range degli indirizzi che possono essere raggiunti da quella interfaccia. Usato in combinazione con altri tipi di attacco. 49

50 Denial of Service (DoS) Si cerca di rendere indisponibile un server o una porzione di rete. Es. SYN Flooding Invio ripetuto di datagrammi frammentati SMURF, ossia inviando dei pacchetti ICMP echo-request con indirizzo IP camuffato (Spoofing) a numerosi terminali così che tutti rispondano e blocchino lo stesso server. Distributed DoS 50

51 Attacco DDoS 51

52 Hijacking Dirottamento del traffico Es. Monitoraggo in una comunicazione Acquisizione dello stato della connessione (es. numeri di sequenza) Estromissione di un terminale mediante un attacco DoS Inserimento al posto del terminale estromesso senza che il corrispondente se ne avveda. 52

53 Sicurezza nel servizio Confidenzialità (!!!) Autenticazione del mittente Integrità del messaggio Autenticazione del destinatario 53

54 Sicurezza nel servizio Alice vuole inviare un messaggio segreto, m, a Bob. genera una chiave simmetrica, K S. codifica il messaggio m utilizzando K S codifica K S con la chiave pubblica di Bob. inviasiak S (m) sia K B+ (K S ) a Bob. Alice non si è autenticata 54

55 Sicurezza nel servizio Alice vuole solo fornire l autenticazione del mittente e l integrità del messaggio, inviato in chiaro. Alice firma digitalmente il messaggio. Invia sia il messaggio (in chiaro) e la sua firma digitale. 55

56 Sicurezza nel servizio I due approcci si possono combinare: uso delle funzioni hash e delle firme digitali per fornire l autenticazione del mittente e l integrità del messaggio. NB: Il mittente usa sia la sua chiave privata sia la chiave pubblica del destinatario. 56

57 Pretty good privacy (PGP) Schema di cifratura delle , ormai standard de-facto. Fa uso di crittografia a chiave simmetrica, crittografia a chiave pubblica, funzioni hash, e firma digitale (schema visto in precedenza). Fornisce riservatezza, autenticazione del mittente, integrità del messaggio. Inventore, Phil Zimmerman, indagato per 3 anni dal governo federale USA. 57

58 Pretty good privacy (PGP) Un messaggo PGP firmato: 58

59 Pretty good privacy (PGP) Un messaggo PGP segreto: 59

60 Secure sockets layer (SSL) PGP fornisce sicurezza ad una specifica applicazione SSL funziona a strato di trasporto. Fornisce sicurezza alle applicazioni mediante socket TCP. SSL: usato fra browser WWW, server per l E-commerce (shttp). SSL servizi di sicurezza: Autenticazione del server: Un browser SSL-compatibile mantiene un elenco di chiavi pubbliche delle CA. Il browser richiede il certificato del server rilasciato (firmato) dalle CA. Il browser usa la chiave pubblica delle CA per estrarre dal certificato la chiave pubblica del server. Autenticazione del server SSL Cifratura dei client Autenticazione dei client (opzionale) 60

61 Panoramica a livello generale della fase di handshake dell SSL 61

62 Funzionamento dell SSL Sessione cifrata SSL: Il browser genera una chiave di sessione simmetrica, la codifica con la chiave pubblica del server, e la invia codificata al server. Usando la sua chiave privata, il server decodifica la chiave. Browser e server si scambiano dei messaggi con i quali si accordano che i messaggi futuri saranno cripatati. Tutti i messaggi inviati al socket TCP sono criptati con la chiave di sessione. SSL: è la base dell IETF Transport Layer Security (TLS). SSL può anche essere usato per applicazioni diverse dal Web, come l IMAP. Alcune applicazioni (es. Home Banking) richiedono l autenticazione del client, che può essere fatta madiante un certificato del client. 62

63 Ipsec: Sicurezza a strato di rete Sicurezza a strato di rete: L host mittente cifra i dati nel datagramma IP Questi dato possono essere segmenti TCP e UDP, messaggi ICMP e SNMP. Autenticazione a strato di rete L host destinatario può autenticare l indirizzo IP mittente (evitando l IP spoofing). Due protocolli principali: authentication header (AH) protocol Sia per AH ed ESP, c è handshake fra sorgente e destinatario, Crea un canale logico a strato di rete chiamato service agreement (SA) Ogni SA è unidirezionale. Unicamente determinato da: security protocol (AH or ESP) source IP address 32-bit connection ID encapsulation security payload (ESP) protocol 63

64 Protocollo Authentication Header (AH) Fornisce l autenticazione dell host mittente, l integrità dei dati, ma non la confidenzialità. L AH header è inserito fra l IP header e il campo dati IP. Protocol field = 51. I router intermedi eleborano i datagrammi come al solito. L AH header include: connection identifier authentication data: digest del messaggio firmato, calcolato sul datagramma IP originale, che fornisce autenticazione del mittente e l integrità dei dati. Campo Next Header: specifica il tipo dei dati (TCP, UDP, ICMP, etc.) 64

65 Protocollo ESP Fornisce confidenzialità, autenticazione dell host, integrità dei dati. Protocol=50. Dati, ESP trailer cifrati (DES-CBC). Intestazione ESP Tunnel id Seq. number. Il campo ESP Authentication è simile al corrispondente AH. Trailer ESP Padding (dipende dall applicazione) No. byte di padding Next header. 65

66 La sicurezza nella IEEE WEP: Wired Equivalent Privacy Fornisce confidenzialità e autenticazione dell host all AP. Si assume che host e AP siano preventivalemente d accordo sulla chiave K S di 40 bit. Nessun meccanismo di distribuzione delle chiavi È sufficiente conoscere una chiave condivisa Autenticazione tipo ap4. L host chiede di essere autenticato dall AP. L AP invia un nonce di 128 byte. L hostcifrailnonce e lo inviaall AP. L AP decifrae controllailnonce. Se corrisponde a quello inviato l host è autenticato. 66

67 La sicurezza nella IEEE Per la cifratura, alla chiave K S di 40 bit è unito un initialization vector (IV) di 24 bit. L IV cambia da un frame all altro. Quindi è incluso in chiaro nel payload. E generato un CRC di 4 byte per il payload. Payload + CRC sono cifrati mediante il cifrario RC4, che produce un flusso di valori di chiave k 1 IV, k 2 IV,k 3 IV I valori di chiave sono usati per cifrare i dati e il CRC (es. XOR byte a byte). Il ricevitore unisce l IV trasmessa in chiaro a K S, genera il flussi di valori di chiave k 1 IV, k 2 IV,k 3 IV e li usa per decifrare la frame mediante operazione XOR. 67

68 La sicurezza nella IEEE c i = d i XOR k IV i d i = c i XOR k IV i cifratura decifratura 68

69 La sicurezza nella IEEE Problemi di sicurezza: Per una data chiave, l IV di 24 bit, trasmesso in chiaro, presenta poche alternative. Possibile attacco con testo in chiaro combinato con IP spoofing per scoprire k i IV per ogni IV sniffato. Attacco: Trudy induce Alice a codificare un testo chiaro noto d 1 d 2 d 3 d 4 IV Trudy osserva: c i = d i XOR k i IV Trudy conosce c i d i, quindi calcola k i XOR d i IV IV IV Trudy apprende al sequenza di chiavi k 1 k 2 k 3 All uso successivo di IV, Trudy riesce a decifrare il messaggio! k IV i = c i 69

70 802.11i: migliore livello di sicurezza Forme di codifica più robuste Prevede la distribuzione delle chiavi di cifratura Si basa su server di autenticazione separati dall AP 70

71 802.11i: quattro fasi operative STA: client station AP: access point wired network AS: Authentication server 1 Scoperta delle security capabilities 2 STA e AS si autenticano reciprocamente, insieme generano la Master Key (MK). L AP funge solamente da pass through 3 STA deriva la Pairwise Master Key (PMK) 3 AS deriva la stessa PMK, e la invia all AP 4 STA e AP usano la PMK per derivare la Temporal Key (TK) usate per criptare i messaggi ed assicuranrne l integrità 71

72 EAP: extensible authentication protocol EAP definisce il formato deo messaggi punto-punto usati nell interazione tra il client (mobile) ed il server di autenticazione EAP trasmette su links separati mobile-to-ap (EAP over LAN) AP to authentication server (RADIUS over UDP) wired network EAP over LAN (EAPoL) IEEE EAP TLS EAP RADIUS UDP/IP 72

73 Sommario Tecniche di base... Crittografia (chiave simmetrica and publica) Autenticazione Integrità del messaggio Attacchi e contromisure (Firewall) Scenaridiriferimento sicure (PGP) Sicurezza a strato di trasporto (SSL) Sicurezza a strato di rete (IP sec) Sicurezza a strato di collegamento (WEP i) 73