Protocolli crittografici. Requisiti fondamentali. Protocolli di Autenticazione. Autenticazione di messaggi / di sistema

Transcript

1 Protocolli crittografici Sicurezza nei Sistemi Informativi Protocolli di Autenticazione Ing. Orazio Tomarchio Dipartimento di Ingegneria Informatica e delle Telecomunicazioni Università di Catania Un protocollo crittografico è un algoritmo distribuito fra n entità, con n 2, che specifica le azioni da intraprendere per ottenere un determinato obiettivo di sicurezza Un protocollo crittografico specifica come utilizzare le gli algoritmi e le funzioni crittografiche che abbiamo visto fin ora per raggiungere un obiettivo specifico Autenticazione Confidenzialità In questa lezione ci occuperemo di Protocolli di autenticazione O. Tomarchio Sicurezza nei Sistemi Informativi 2 Autenticazione di messaggi / di sistema Requisiti fondamentali Autenticazione di messaggi Semplice autenticazione + integrità: MAC Autenticazione + integrità + non ripudio: firme digitali Proprietà fondamentale: la verifica dell autenticazione del messaggio non deve avvenire in real time Anzi, nel caso delle firme digitali, un messaggio, in generale, deve essere verificabile molto tempo dopo la sua creazione (es: transazione bancaria) Autenticazione di sistema (entity authentication) Ci riferiamo alla identificazione, corroborata da prove, di un entità coinvolta in un protocollo (di rete) Proprietà fondamentale: la verifica dell autenticazione dell entità (sistema) che chiede di essere ammesso alla partecipazione al protocollo deve essere fatta in real-time, e solo in real-time Requisito base: autenticazione Un protocollo di autenticazione deve permettere ad A di autenticare B, e quindi di accertare mediante prove più o meno inconfutabili l identità di B Requisito più forte: permettere anche a B di autenticare A (mutua autenticazione) Non trasferibilità A non deve essere in grado di riutilizzare i dati scambiati durante un run del protocollo per poter impersonare B di fronte ad una terza entità C Robustezza contro false identità Il protocollo deve minimizzare la possibilità che una terza entità C possa impersonare B con successo, i.e. far credere ad A, con un run del protocollo, di essere B Questo requisito deve rimanere valido anche quando: C può osservare un numero potenzialmente alto di scambi protocollari (di autenticazione) tra A e B C può effettuare, con successo o no, run del protocollo sia con A che con B Diverse istanze del protocollo sono attive contemporaneamente O. Tomarchio Sicurezza nei Sistemi Informativi 3 O. Tomarchio Sicurezza nei Sistemi Informativi 4

2 Parametri fondamentali per la caratterizzazione Tipologia di garanzie offerte: Mutua autenticazione, Efficienza computazionale commisurata al tipo di nodi di rete coinvolti Efficienza di rete commisurata al tipo di rete: numero e dimensione dei messaggi da scambiare per concludere un run Partecipazione al protocollo di terze parti Meccanismi per la custodia delle chiavi crittografiche utilizzate per l autenticazione Cosa serve per autenticare B ad A? Un dato che B conosce (e che A può conoscere o no) PIN Password Chiave (simmetrica) Chiave privata Un oggetto che B possiede Smart-card Calcolatrice (one-time-password) Una caratteristica fisica di B Biometria apriti apriti sesamo sesamo O. Tomarchio Sicurezza nei Sistemi Informativi 5 O. Tomarchio Sicurezza nei Sistemi Informativi 6 Tre classi di protocolli di autenticazione Protocolli basati su password Possono essere deboli o forti Protocolli basati su challenge-response Di solito devono essere forti, per essere efficaci (non basati su password, se non in forma forte, come per EKE) Autenticazione basata su password Protocolli di tipo zero-knowledge proof Fanno in modo che nemmeno chi partecipa al protocollo come verifier venga a conoscenza di alcun elemento in grado di violare la non trasferibilità O. Tomarchio Sicurezza nei Sistemi Informativi 7

3 Autenticazione debole con password Password I protocolli basati su password sono molto diffusi, perché possono essere usati semplicemente con entità umane Database delle password I protocolli di autenticazione a password si dicono deboli quando Prevedono l uso di password che non cambiano (frequentemente) con il tempo e/o Espongono la password ad attacchi di tipo dizionario, peggio se offline e/o Espongono la password in chiaro (userid, password) O. Tomarchio Sicurezza nei Sistemi Informativi 9 O. Tomarchio Sicurezza nei Sistemi Informativi 10 Password Password Database delle password Database delle password (userid, password) (userid, password) Il sistema deve memorizzare una Memorizzate in chiaro in un file protetto rappresentazione della password Come? O. Tomarchio Sicurezza nei Sistemi Informativi 11 O. Tomarchio Sicurezza nei Sistemi Informativi 12

4 Password Password (userid, password) Database delle password Memorizzate in forma cifrata F(passwd) = cifr_annarella? Memorizzate in chiaro in un file protetto Problemi: nessuna protezione contro chi riesce a leggere il file problemi anche per i backup (Annarella, passwd) Annarella, cifr_annarella Biagio, Biagio, cifr_biagio Ciro, Ciro, cifr_ciro Database delle password O. Tomarchio Sicurezza nei Sistemi Informativi 13 O. Tomarchio Sicurezza nei Sistemi Informativi 14 Password Memorizzare un hash della password Vantaggi: Autenticazione basata su password semplice per l utente (Annarella, passwd) H(passwd) = $%GR TG$/%? Annarella, $%GR TG$/% Biagio, Biagio, T&$%&GT% Ciro, Ciro, GTYR $%# Database delle password Svantaggi: conservazione della password (post-it!) password leggibile durante la trasmissione password indovinabile (il nome di mio figlio!) il server deve conoscere in chiaro la password o un suo digest non protetto (dictionary attack) O. Tomarchio Sicurezza nei Sistemi Informativi 15 O. Tomarchio Sicurezza nei Sistemi Informativi 16

5 Password : attacchi Vulnerabilità delle password Spiare durante la digitazione Intercettazioni (durante la trasmissione) Tentare a caso o sistematicamente password deboli Attacchi con dizionario Morris e Thompson (CACM, 1979) esaminarono 3289 password trovandone 2831 (86%) vulnerabili tra cui: 15 erano un singolo carattere ASCII 72 erano una stringa di 2 caratteri ASCII 464 erano una stringa di 3 caratteri ASCII 477 erano una stringa di 4 caratteri alfanumerici 706 erano una stringa di 5 lettere tutte minuscole o tutte maiuscole 605 erano una stringa di 6 lettere tutte minuscole O. Tomarchio Sicurezza nei Sistemi Informativi 17 O. Tomarchio Sicurezza nei Sistemi Informativi 18 Survey di Klein [1989] Password trovate Survey su circa account 4 DECstation 3100 ognuna provava 750 password al secondo Dizionario di parole 2.7% (cioè 368) trovate nei primi 15 minuti 21% (circa 3000) trovate nella prima settimana 25% in 4 mesi O. Tomarchio Sicurezza nei Sistemi Informativi 19 Tipo di password trovate taglia matches % su totale User/account name ,7% Sequenze caratteri ,2% Numeri ,1% Cinese ,4% Nome luoghi ,6% Nomi comuni ,0% Nomi femminili ,2% Nomi maschili ,0% Termini sportivi ,2% Fantascienza ,4% Film e attori ,1% Cartoni animati ,1% Bibbia ,6% O. Tomarchio Sicurezza nei Sistemi Informativi 20

6 Altre Vulnerabilità Ricerca esaustiva Nomi comuni (Anna, Maradona, ) Parole comuni (computer,...) Specificità dell utente (telefono, targa, date, indirizzi, ) Permutazioni delle precedenti (a ritroso,...) Il worm di Internet (novembre 1988) provava: nessuna password user name user name concatenato con se stesso cognome cognome a ritroso dizionario di 432 parole T = c n t y Tempo richiesto per una ricerca esaustiva c numero di possibili caratteri n lunghezza della password t numero di iterazione dalla funzione di cifratura, t = 25 y tempo richiesto per singola iterazione, y = 1/ sec c (minuscole 62 (min. e maius. 95 n (minuscole) alfanumerici) alfanumerici) (caratteri tastiera) 5 0,67 ore 3,4 ore 51 ore 430 ore 6 17 ore 120 ore 130 giorni 4,7 anni 7 19 giorni 180 giorni 22 anni 442 anni 8 1,3 anni 18 anni 1385 anni anni 9 34 anni 644 anni anni anni anni anni anni anni O. Tomarchio Sicurezza nei Sistemi Informativi 21 O. Tomarchio Sicurezza nei Sistemi Informativi 22 Idee per scegliere una password Usare minuscole e maiuscole Usare numeri e lettere Effettuare sostituzioni sistematiche, come o 0, l 1 Includere caratteri non alfanumerici Scegliere lettere da una frase lunga Lunga (almeno 8 caratteri) Facile da ricordare (nessuna necessità di scriverla su carta!) Parole non presenti in dizionario Non usarle L uso di almeno una password (o PIN o codice di accesso) è inevitabile a meno di usare sistemi biometrici! Controllo della password Per evitare cattive scelte come password Alcuni sys. admin. scelgono loro la password per gli utenti Uso di software per il controllo della scelta Freeware per UNIX: npasswd, passwd+, anlpasswd,... Esempio vincoli: min lunghezza min numero caratteri alfabetici min numero caratteri non-alfabetici max numero caratteri ripetuti elenco parole proibite Password Crackers (ad es., Crack) per testare il file /etc/passwd O. Tomarchio Sicurezza nei Sistemi Informativi 23 O. Tomarchio Sicurezza nei Sistemi Informativi 24

7 Shadow password Shadow password Cifratura password in un file separato e protetto Previene l attacco di leggere/copiare il file e trovare password deboli SVR4 Unix: /etc/shadow protezione 400, proprietario root SunOs: /etc/security/passwd.adjunct dove /etc/security ha protezione 700 File /etc/passwd contiene solo separatori speciali (oppure stringhe casuali per ingannare eventuali attaccanti!) Attenzione ai backup! otomarch:x:500:100:orazio Tomarchio:/home/orazio:/bin/bash otomarch:feeqshveholq6:10889:0:11000:::: Ultima volta che la password è stata cambiata, giorni trascorsi dal 1/1/1970 giorni dopo i quali la password deve essere cambiata Giorni che devono trascorrere prima che la password venga cambiata O. Tomarchio Sicurezza nei Sistemi Informativi 25 O. Tomarchio Sicurezza nei Sistemi Informativi 26 Invecchiamento password Cambiare la password migliora la sicurezza! non troppo spesso però! (immaginate ad ogni login) Fissare il tempo di vita di una password L utente è costretto a cambiare password Migliora la sicurezza (se una password è compromessa ) Per evitare il riutilizzo di vecchie password Memorizzare tutte le password di un utente Fissare un minimo tempo di uso per ogni password SVR4 UNIX: passwd -n 7 -x 50 ciro (min 7 max 50 giorni) Password sotto UNIX File /etc/passwd root:fi3sed95ibqr6:0:1:system Operator:/:/bin/ksh daemon:*:1:1::/tmp uucp:ooromn9fyfne:4:4:/var/spol/uucppublic:/usr/lib/uucp/uucico ciro:eh5/.mj7nb3dx:181:100:ciro Esposito:/u/ciro:/bin/ksh username password cifrata UID (user identification number) nome GID (group identification number) shell home directory O. Tomarchio Sicurezza nei Sistemi Informativi 27 O. Tomarchio Sicurezza nei Sistemi Informativi 28

8 Password sotto UNIX Funzione di cifratura = variante del DES Evita la possibilità di usare chip DES disponibili commercialmente Evita che stesse password abbiano la stessa cifratura in diversi sistemi Maggiore difesa contro attacchi con dizionario 25 iterazioni Maggiore difesa contro Password sotto UNIX Funzione crypt() [Robert Morris e Ken Thompson, 1979] password Tronca Tronca ad ad 8 8 caratteri caratteri ASCII ASCII Padding Padding con con bit bit 0 0 se se necessario necessario salt 12 bit 12 bit = 2 caratteri bit DES 56 bit DES modificato modificato 64 bit Raggruppa Raggruppa in in caratteri caratteri di di 6 6 bit bit (cioè (cioè.,/,0-9,a.,/,0-9,a-z,a-z) 9,A-Z,a-z) /etc/passwd 25 iterazioni O. Tomarchio Sicurezza nei Sistemi Informativi 29 O. Tomarchio Sicurezza nei Sistemi Informativi 30 Password sotto UNIX salt: 12 bit presi dal clock al tempo della creazione della password i bit sono associati a 12 coppie (1,25), (2,26), (3,27), se 1 viene fatto lo swap della coppia corrispondente nei 48 bit output della tabella di espansione E 00 0 password Tronca Tronca ad ad 8 8 caratteri caratteri ASCII ASCII Padding Padding con con bit bit 0 0 se se necessario necessario salt 12 bit 12 bit = 2 caratteri DES 56 bit DES modificato modificato Raggruppa Raggruppa in in caratteri caratteri di di 6 6 bit bit (cioè (cioè.,/,0-9,a.,/,0-9,a-z,a-z) 9,A-Z,a-z) /etc/passwd 25 iterazioni O. Tomarchio Sicurezza nei Sistemi Informativi bit 64 bit Esempi di weak password auth. protocol Usato praticamente esclusivamente per l autenticazione in PPP Il canale tra Alice e AS deve essere sicuro (linea telefonica (sicura??)) f(): MDC, Ek, con K costante, Uso di salt per rendere più complessi i dictionary attack sul database delle password Anche se due utenti scegliessero la stessa pwd, i relativi h sarebbero diversi Problemi Man-in-the-middle Canale sicuro!? Falsa identità di AS (Trudy fa credere di essere AS) (trasferibilità) Dictionary attack sul database delle password Non usate PAP! PAP (Password Authentication Protocol) O. Tomarchio Sicurezza nei Sistemi Informativi 32

9 Esempi di weak password auth. protocol CHAP (Challenge Handshake Authentication Protocol) Varianti di questo schema base sono usate in PPP, in diversi prodotti MS Windows, e in alcuni protocolli di rete cellulare One Time Password (OTP) f()=mdc, MAC k, con k=mdc(pwd), CHAP usa MD5(user pwd c) Problemi Dictionary attack su r (eavesdropping, falsa identità di AS) Database delle password in chiaro su AS Reply attack (se c non è davvero casuale) Non usate CHAP! O. Tomarchio Sicurezza nei Sistemi Informativi 33 One-time password (OTP) Con il termine one-time password ci si riferisce a sistemi in cui viene generata una nuova password ad ogni accesso da parte dell utente, per risolvere il problema dell intercettazione. One-time password (OTP) Lista condivisa Password monouso o usa e getta Assuntina vd.j-52j eqd-o FeFd (Assuntina, eqd-o324 o324) Assuntina vd.j-52j eqd-o FeFd Ciro Ciro dwed423 rd3r rd3r.3r..3r. dede5f dede5f dfew535f O. Tomarchio Sicurezza nei Sistemi Informativi 35 O. Tomarchio Sicurezza nei Sistemi Informativi 36

10 Come fornire le password OTP agli utenti? One-time password (OTP) Per uso su postazioni stupide o insicure: password pre-calcolate e scritte su un foglio autenticatori hardware (criptocalcolatrici o token) Per uso su postazioni sicure e intelligenti: programmi di calcolo eventualmente integrati col sw (telnet, ftp,...) o hw (modem) di comunicazione Tipicamente, queste password monouso vengono generate sulla base di un contatore (esiste quindi una sequenza di password successive) oppure sulla base dell istante temporale. Spesso i sistemi one-time password si appoggiano su token, dispositivi hardware che forniscono all utente la password da inserire (eventualmente sostituiti da implementazioni software dell algoritmo di generazione delle password). O. Tomarchio Sicurezza nei Sistemi Informativi 37 O. Tomarchio Sicurezza nei Sistemi Informativi 38 One-time password (OTP) Come generare le password Chi entra in possesso del token può autenticarsi per aumentare la sicurezza si può allora utilizzare un PIN combinato con la one-time password. Varie possibili strategie: PIN accodato alla one-time password PIN come password per il token PIN come parte del segreto base Il PIN può anche essere breve (ad esempio solo 4 o 5 cifre), dato che è pensato come strumento complementare (la sicurezza non è affidata totalmente al PIN). Schema di Lamport Con lo schema dell hash di Lamport (proposto da Leslie Lamport nel 1981) si crea una sequenza di password che è percorribile solo in un senso, utilizzando una funzione di hash. Questa catena di password può essere utilizzata come sistema di one time password. La particolarità di questo schema sta nel fatto che nessun dato segreto (password o chiave) deve essere memorizzato sul server. Un sistema di questo tipo è OTP (descritto in RFC 2289), che deriva dal sistema S/KEY (sviluppato da Bellcore). O. Tomarchio Sicurezza nei Sistemi Informativi 39 O. Tomarchio Sicurezza nei Sistemi Informativi 40

11 OTP: inizializzazione OTP: utilizzo L utente sceglie una passphrase (10-63 caratteri) e la concatena con un seme (seed) fornito dal server, ottenendo il dato iniziale (S ). La presenza del seme permette di riutilizzare la stessa passphrase più volte e/o con più macchine. L utente può calcolare l i-esima one-time password della sequenza di N elementi ripetendo N-i operazioni di hash su S : P i = H N-i (S) con 0 i N-1 dove H è una funzione di hash. L utente comunica p 0 (prima password della sequenza) al server attraverso un canale sicuro. Il client invia lo username al server. Il server invia il numero di sequenza i e il seme. Il client concatena la passphrase fornita dall utente con il seme ottenendo S, calcola la one-time password richiesta p i e la invia al server. Il server ha immagazzinato p i-1 e calcola H(p i ): se queste coincidono l autenticazione va a buon fine. H(p i ) = H(H N-i (S)) = H N-i+1 (S) = p i-1 S H p N-1 H p i H p 1 H p 0 O. Tomarchio Sicurezza nei Sistemi Informativi 41 O. Tomarchio Sicurezza nei Sistemi Informativi 42 OTP: problemi Permette di autenticarsi un numero prefissato di volte, dopo di che richiede una reinizializzazione. L autenticazione non è mutua (il server non si autentica) e non genera un segreto (la connessione può poi essere dirottata), per cui è vulnerabile ad attacchi man-in-the-middle. Protocolli Challenge-Response È il server a inviare il numero di sequenza. Questo rende possibili, attacchi al numero di sequenza, in cui l attaccante invia un numero più alto di quello reale, e una volta ottenuta la password relativa può calcolare le password successive e utilizzarle per autenticarsi un certo numero di volte. O. Tomarchio Sicurezza nei Sistemi Informativi 43

12 Sistemi basati su Challenge - Response Sistemi basati su Challenge - Response Sistemi in cui l'autenticazione è legata alla conoscenza di un certo segreto s, nei quali però B può verificare l'identità di A senza svelare s Normalmente il dato segreto s non è una password, così da prevenire dictionary attacks Il meccanismo alla base di questi protocolli richiede che B (chi verifica l'identità) richieda ad A (l'entità da autenticare) di rispondere a domande (le challenge) con dati che sono derivati da trasformazioni (funzioni di s) delle challenge L'applicazione di questi concetti porta a protocolli di autenticazione forte: A può provare la propria identità a B rivelando solo dati che sono trasformazioni crittograficamente sicure di un dato segreto O. Tomarchio Sicurezza nei Sistemi Informativi 45 O. Tomarchio Sicurezza nei Sistemi Informativi 46 Challenge - Response L utente deve rispondere alle diverse sfide del sistema Challenge - Response L utente deve rispondere alle diverse sfide del sistema Sono Annarella! Sono Annarella! Rispondi!?? Annarella deve deve sapere quel quel segreto... O. Tomarchio Sicurezza nei Sistemi Informativi 47 O. Tomarchio Sicurezza nei Sistemi Informativi 48

13 Challenge - Response L utente deve rispondere alle diverse sfide del sistema Challenge - Response L utente deve rispondere alle diverse sfide del sistema Sono Annarella! Rispondi!?? Annarella deve deve sapere quel quel segreto... Sono Annarella! Rispondi!?? Annarella deve deve sapere quel quel segreto... risposte... risposte... E E Annarella! O. Tomarchio Sicurezza nei Sistemi Informativi 49 Impostore! O. Tomarchio Sicurezza nei Sistemi Informativi 50 Che challenge usare? Protocolli per Challenge-Response Nonce Un numero utilizzato una sola volta su tutta la serie di run protocollari tra A e B Chiave K Annarella Chiave K Spesso le nonce non sono altro che numeri pseudo-casuali Sequence number Un sotto-insieme della classe delle nonce, ordinate monotonicamente Richiedono il mantenimento di stato su A e B, incluse procedure per risincronizzare lo stato in caso di errori Timestamp Rappresentano una sorta di challenge implicita Richiedono la sincronizzazione degli orologi su A e B O. Tomarchio Sicurezza nei Sistemi Informativi 51 O. Tomarchio Sicurezza nei Sistemi Informativi 52

14 Protocolli per Challenge-Response Protocolli per Challenge-Response Chiave K Annarella Chiave K Chiave K Annarella Chiave K Chall Chall numero casuale Resp Resp E K (Chall) Chall Resp Chall numero casuale O. Tomarchio Sicurezza nei Sistemi Informativi 53 O. Tomarchio Sicurezza nei Sistemi Informativi 54 Protocolli per Challenge-Response Standard ISO/IEC 9798 Chiave K Annarella Chiave K Specifica meccanismi di autenticazione Resp Resp E K (Chall) Chall Resp Chall numero casuale? Resp = E K (Chall) ISO (International Organization for Standardization) IEC (International Electrotechnical Commission) : basati su algoritmi simmetrici : basati su algoritmi asimmetrici : basati su MAC : basati su tecniche zero-knowledge O. Tomarchio Sicurezza nei Sistemi Informativi 55 O. Tomarchio Sicurezza nei Sistemi Informativi 56

15 Challenge response con alg. simmetrici s := chiave crittograficamente sicura condivisa tra A e B Variante: s := chiave crittograficamente sicura condivisa tra {A,B, } e Z, dove Z rappresenta il server di autenticazione, in grado di autenticare coppie di {A,B, } l un l altro Basati su Cifratura simmetrica Funzioni di MAC Problemi principali Memorizzazione e gestione di s, sia sui server che sui client Non si mantiene il principio di non-trasferibilità Protocollo ISO/IEC Autenticazione unilaterale con timestamp A B: Ek ( ta, B*) (1) Autenticazione unilaterale con random number A B: rb (1) A B: Ek ( rb,, B*) (2) Autenticazione mutua con random number A B: rb (1) A B: Ek ( ra, rb, B*) (2) A B: Ek ( rb, ra ) (3) O. Tomarchio Sicurezza nei Sistemi Informativi 57 O. Tomarchio Sicurezza nei Sistemi Informativi 58 Protocollo ISO/IEC Autenticazione mutua con random number A B: rb (1) A B: ra, MACk ( ra, rb,, B) (2) A B: MACk ( rb, ra,, A ) (3) Challenge response con alg. asimmetrici s := coppia di chiavi <Kpub,Kpriv> (doppia coppia per autenticazione mutua) Ovviamente solo Kpub viene condivisa tra A e B Variante: s := certificati generati da Z per {A,B, }, dove Z rappresenta la Certification Authority Basati su Algoritmi asimmetrici: cifratura/decifratura e firme digitali Il claimant dimostra la conoscenza di una chiave segreta in uno dei seguenti modi: Decifrando una challenge cifrata con una chiave pubblica Firmando una challenge con la chiave privata Problemi principali Scambio autenticato delle Kpub (oppure, uso di una CA) Efficienza computazionale O. Tomarchio Sicurezza nei Sistemi Informativi 59 O. Tomarchio Sicurezza nei Sistemi Informativi 60

16 Challenge response con alg. asimmetrici Challenge response con alg. asimmetrici Uso di decifratura (asimmetrica) A B: MDC ( r ), B, E KpubA ( r, B ) (1) A B: r (2) Autenticazione one-way Uso di MDC(r), invece che r, previene attacchi di tipo chosen-text Esempio: Trudy potrebbe fingersi Bob, e inviare ad Alice qualcosa, cifrato con Ekpub come challenge, e spingere Alice a decifrarlo La presenza di MDC(r) prova ad Alice che Bob conosce c, senza però rivelarlo (ancora) a terze parti In generale, usare sempre chiavi diverse per operazioni diverse (autenticazione/firma/cifratura), o almeno assicurarsi che lo standard che usato preveda protezione per questo tipo di attacco (PKCS di RSA lo fa) Uso di firme digitali (protocollo ISO/IEC ) Autenticazione unilaterale con timestamp A B: CertA, ta,, B, Sa ( ta,, B ) (1) Autenticazione unilaterale con random number A B: rb (1) A B: CertA, ra,, B, Sa ( ra, rb,, B ) (2) Autenticazione mutua con random number A B: rb (1) A B: Cert A, ra,, B, Sa ( ra, rb,, B ) (2) A B: Cert B, A, Sb ( rb, ra,, A) (3) O. Tomarchio Sicurezza nei Sistemi Informativi 61 O. Tomarchio Sicurezza nei Sistemi Informativi 62 Possibili attacchi ai protocolli di autenticazione False identity (chosen text) Reflection attack Interleaving attack Attacchi di tipo chosen text Trudy si finge Bob, chiedendo ad Alice di trasformare dati in base a un certo protocollo di autenticazione Attacco a cui possono essere soggetti specialmente i protocolli challengeresponse Quelli basati su algoritmi simmetrici, per cercare di ricavare informazioni sul dato segreto (la chiave simmetrica) posseduto da Alice Quelli basati su algoritmi asimmetrici, per cercare di ricavare informazioni sul dato segreto posseduto da Alice (la chiave privata), e/o per far firmare o decrittografare dati ad Alice Contromisure Introdurre quantità tempo-varianti nel protocollo, scelte da ciascun partecipante Legare le quantità usate nel protocollo alle identità dei partecipanti Includere, nelle risposte alle challenge, dei dati casuali Non R=SA(c1) ma R=SA(c1,random()) Usare chiavi diverse per funzionalità diverse O. Tomarchio Sicurezza nei Sistemi Informativi 63 O. Tomarchio Sicurezza nei Sistemi Informativi 64

17 Attacchi di tipo reflection Esempio attacco reflection : aut. mutua con sfida simmetrica Attacchi nei quali vengono usati i dati ricavati da uno o più run del protocollo, di solito iniziato da Trudy Reflection: Trudy effettua più run in parallelo con Bob, dichiarandosi Alice Contromisure Utilizzare chiavi diverse nelle due direzioni Non accettare che sia Alice (Trudy) ad iniziare il protocollo chiedendo a Bob di autenticarsi Evitare le simmetrie nei messaggi Es: non {MACk(c1),c2}, ma {MACk(c1,c2), c2} User A K A, R A E k (R B ) R B, E k (R A ) User B Questa è una variante dei protocolli precedenti che riduce il numero di messaggi, ma è soggetto ad attacchi per riflessione (l intruso può attaccare il protocollo aprendo più sessioni simultanee con l User B) K O. Tomarchio Sicurezza nei Sistemi Informativi 65 O. Tomarchio Sicurezza nei Sistemi Informativi 66 Possibile attacco per riflessione Attacchi di tipo interleaving 1 sessione 2 sessione A, R C A, R B R B E k (R C ) Trudy effettua più run in parallelo tra Alice e Bob, fingendosi Alice verso Bob, e Bob verso Alice Risultato, Trudy riesce ad impersonare Alice verso Bob User C K? E k (R B ) R B2 E k (R B ) User B L utente C si finge A ed ottenuta R B apre una nuova sessione per risalire alla chiave K: B è convinto di comunicare con A. K Morale: non troppo poche nonce, ma nemmeno troppe Legare in maniera sequenziale le challenge di un run protocollare O. Tomarchio Sicurezza nei Sistemi Informativi 67 O. Tomarchio Sicurezza nei Sistemi Informativi 68