Elementi di Sicurezza e Privatezza Lezione 5 Protocolli Crittografici (1)

Transcript

1 Elementi di Sicurezza e Privatezza Lezione 5 Protocolli Crittografici (1) Chiara Braghin chiara.braghin@unimi.it

2 Comunicazione sicura? canale insicuro messaggi Alice Bob E possibile che Alice e Bob comunichino in modo sicuro attraverso un canale insicuro? E possibile implementare un canale sicuro virtuale su di un mezzo insicuro? 1

3 CIA over Internet communication canale insicuro messaggi Alice Bob Confidenzialità: solo Alice e Bob devono capire il contenuto dei messaggi. Integrità: i messaggi non devono venire modificati. Autenticazione: Alice e Bob vogliono essere sicuri che il loro interlocutore sia effettivamente chi loro si aspettano. Non-repudiation: Alice non può negare di aver spedito un messaggio a Bob (e viceversa). 2

4 Cosa può fare un attaccante? (1) canale insicuro messaggi Alice Bob Trudy L attaccante può intercettare il messaggio ascoltando il canale: minaccia alla confidenzialità. solo leggere il messaggio (passivo) cancellare il messaggio senza inoltrarlo a Bob (attivo) 3

5 Cosa può fare un attaccante? (2) canale insicuro messaggi Alice Bob L attaccante può modificare i messaggi in transito: minaccia all integrità. Trudy Come può Bob distinguere tra un messaggio legittimo e uno contraffatto? 4

6 Cosa può fare un attaccante? (3) canale insicuro messaggi Alice Bob Trudy L attaccante può spedire messaggi arbitrari fingendo di essere Alice: minaccia all autenticazione. 5

7 Cosa può fare un attaccante? (4) canale insicuro messaggi Alice Bob Trudy L attaccante può riutilizzare vecchi messaggi salvati (replay attack): minaccia all autenticazione. 6

8 Dalla crittografia alla sicurezza La crittografia viene usata per risolvere alcuni problemi di sicurezza Ottenere le relative proprietà di sicurezza Si crea un protocollo di sicurezza (un preciso schema di eventi che possibilmente fanno uso di crittografia) Combinazioni di segretezza, autenticazione, integrità, 7

9 Cos è un protocollo? (1) Protocollo umano : Che ore sono? Ho una domanda messaggi specifici comunicati azioni specifiche intraprese quando un messaggio viene ricevuto Protocolli di rete: PC invece che umani Tutta la comunicazione di Internet viene governata da protocolli I protocolli definiscono il formato, l ordine dei messaggi spediti e ricevuti tra entità della rete, e le azioni intraprese dopo la trasmissione/ricezione 8

10 Cos è un protocollo? (2) Un protocollo umano e uno di reti di computer: Ciao TCP connection req Ciao Hai l ora? TCP connection reply Sono le 2:00 Get tempo <file> In un protocollo crittografico parte o tutto il messaggio sono crittati. 9

11 Protocolli crittografici (1) 2 o più partecipanti Comunicazione lungo un canale insicuro Crittografia utilizzata per: Scambiare informazioni confidenziali Verificare l origine dei messaggi scambiati (autenticazione) Verificare altre proprietà di sicurezza (integrità, etc.) Tipi di protocolli: Autenticazione, per garantire l identità dei partecipanti Commercio elettronico (firma di contratti, denaro elettronico, ) Per stabilire una chiave di sessione (con autenticazione o meno), ovvero per concordare un segreto condiviso 10

12 Protocolli crittografici (2) Notazione: Partecipanti generici A (Alice), B (Bob), C (Charlie), Attaccanti T (Trudy), M (Mallory), E (Eve), E(A) indica Eve che finge di essere Alice Server S (Sam) Nome specifico: Trusted-Third Party TTP Certification Authority CA Key Distribution Center KDC 11

13 Protocolli crittografici (3) Ancora notazione: Cifratura (di m con chiave K) {m} K MAC o firma [m] K K AB chiave (simmetrica) condivisa da A e B K A (oppure K A+ ) chiave pubblica di A, K A -1 (oppure K A- ) chiave privata di A 4. B A: {T A + 1} KAB Descrive il quarto messaggio di un protocollo, spedito da B ad A e cifrato con la loro chiave condivisa 12

14 Protocolli crittografici (4) Sessione (o run) Singola esecuzione del protocollo dall inizio alla fine Chiavi a lungo termine Esistono prima che il protocollo inizi Non cambiano tra un esecuzione e un altra del protocollo Chiavi di sessione (o chiavi a breve termine) Generate durante l esecuzione del protocollo La validità è garantita fino alla fine dell esecuzione del protocollo Si può rendere pubblica una volta che il protocollo termina Può essere debole dal punto di vista crittografico 13

15 Protocolli crittografici (5) 1. A B : M Non c è nessuna garanzia che A, la rete e l attaccante si comportino come assunto dal protocollo il messaggio può venire intercettato, modificato, mandato in un altro ordine B riceve solo il messaggio M, non anche l informazione che è stato spedito da A quindi i messaggi dovrebbero includere anche il nome del mittente nel caso fosse necessario conoscerlo 14

16 Caratteristiche peculiari dei protocolli 1. Natura e reciprocità dell autenticazione 2. Freshness delle chiavi 3. Efficienza 4. Richiesta di un terzo partecipante 5. Controllo della chiave 6. Non-repudiation 15

17 Proprietà dei protocolli in esecuzione Molte esecuzioni di uno stesso o di diversi protocolli possono avvenire in contemporanea Lo stesso partecipante può prendere parte a diverse esecuzioni, magari in un ruolo diverso I partecipanti possono essere sia on-line che off-line Non tutti i partecipanti sono del tutto fidati 16

18 Autenticazione (1) Vignetta di Peter Steiner. The New Yorker, 5 Luglio 1993 issue [Vol.69 no. 20] page 61 17

19 Autenticazione (2) - Limite fondamentale Sto parlando con Mario Sto parlando con qualcuno che possiede le seguenti credenziali di Mario: Password Chiave privata Impronta digitale 18

20 Autenticazione (3) Verificare l identità Necessaria in quanto vengono permessi solo accessi autorizzati Si basa su: Qualcosa che l utente conosce Qualcosa che l utente possiede Qualcosa che l utente è Autenticazione del messaggio (concetto diverso) Verifica che il messaggio ricevuto provenga dalla sorgente indicata Verifica che il messaggio non sia stato modificato 19

21 Protocolli di autenticazione

22 Autenticazione (1) Obiettivo: Bob vuole che Alice dimostri la sua identità. Protocollo 1: Alice dice Sono Alice. Sono Alice Alice Trudy Bob Lungo la rete, Bob non può vedere Alice, quindi Trudy Funziona? semplicemente dichiara di essere Alice. 21

23 Autenticazione(2) Protocollo 2: Alice dice Sono Alice e spedisce il suo indirizzo IP per provarlo. Sono Alice + Alice s IP addr Alice Trudy Bob Come prima: Trudy può creare Funziona? messaggio recuperando (spoofing) l indirizzo di Alice. 22

24 Autenticazione(3) Protocollo 3: Alice dice Sono Alice e spedisce la sua password (segreta ) per dimostrarlo. Sono Alice + password Alice Bob Trudy Replay attack: Trudy memorizza Funziona? il messaggio di Alice e lo riutilizza in seguito con Bob. 23

25 Autenticazione, ancora (4) Protocollo 4: Alice dice Sono Alice e spedisce la sua password segreta cifrata per dimostrarlo. Sono Alice + encrypt(password) Alice Bob Trudy Trudy memorizza il Sembra messaggio funzionare e il replay ma attack funziona ancora!! 24

26 Autenticazione, ancora (5) Obiettivo (aggiornato): Fare in modo che Alice dimostri la sua identità e che non ci siano replay attack. Protocollo 5: Alice dice Sono Alice, Bob spedisce ad Alice un nonce N (un numero casuale usato solo una volta). Alice deve rispedire N cifrato con una chiave segreta condivisa K AB. Sono Alice N Alice {N} KAB Bob Trudy Funziona? 25

27 Autenticazione, ancora (6) Problema: Il protocollo 5 richiede una chiave condivisa Come possono Bob e Alice accordarsi sulla chiave? Possiamo utilizzare tecniche a chiave pubblica? Protocollo 6: usare nonce e crittografia a chiave pubblica. Alice N Sono Alice {N} K spediscimi la chiave pubblica K A Bob calcola K A (K (N)) = N e sa che solo Alice può avere A + - la chiave privata che cifra N in modo che K A (K (N)) = N A - A Bob 26

28 Protocollo 6: un attacco! Man (woman) in the middle attack: Trudy finge di essere Alice (con Bob) e di essere Bob (con Alice). Sono Alice Trudy N Sono Alice - K T(N) Alice N - K A(N) Spediscimi la chiave pubblica Spediscimi la chiave pubblica K T + Bob Alice decritta con K A + K A + Bob spedisce dati cifrati usando K T + Trudy riesce a leggere tutti i messaggi!! Soluzione: chiavi pubbliche certificate!! 27

29 Alcuni attacchi comuni (1) Osservazione passiva dei messaggi Contromisura: Uso di crittografia per garantire segretezza Modifica di messaggi Contromisura: Funzioni hash oppure crittografia per legare insieme informazioni Replay Riutilizzo di vecchi messaggi Contromisura: specificare il contesto in modo che un messaggio non possa venire utilizzato più volte in una stessa esecuzione o in esecuzioni diverse del protocollo. 28

30 Alcuni attacchi comuni (2) Freshness Utilizzo di informazioni vecchie (chiave, nonce, l intero messaggio, ) Men-in-the-middle L attaccante crea delle connessioni indipendenti con i 2 partecipanti e li impersona Sessioni parallele L attaccante combina i messagi di sessioni diverse 29

31 Man-in-the-middle attack (1) Alice Bob 30

32 Man-in-the-middle attack (2) L attaccante si mette in mezzo alla normale esecuzione di un protocollo Fa uso di sessioni parallele dello stesso protocollo Alice Bob Trudy 31

33 Autenticazione challenge-response Chiamato anche test di autenticazione Usato per ottenere mutua autenticazione Challenge (sfida) il sistema o l altro partecipante presenta una stringa all utente Response (risposta) L utente cifra la stringa: {stringa} K Autenticazione Controllo di {stringa} K NB: I dati segreti rimangono tali: non viene spedita una password 32

34 Challenge-response Utente Chiave segreta K Challenge stringa {stringa} K Response 33

35 Protocolli challenge-response Schema: A controlla che ci sia B Spedisce un challenge a B Attende il response B utilizza il canale Decifrando il challenge Cifrando e spedendo il response A Ciao sono io! Ci sono anch io! B Di solito rappresenta la parte di set-up di un protocollo più grande 34

36 Garantire Freshness Sia il challenge che il response dovrebbero essere fresh Altrimenti il replay attack è possibile Come garantire freshness di challenge e response? Nonce Timestamp Numeri in sequenza Chiave a breve termine 35

37 Nonce A B Sequenza casuale di bit (32-128) Generata ogni volta (fresh!) dal mittente come challenge Non prevedibile Verificata solo nel response Non controllata dal destinatario Poco pratico memorizzarla Mai riutilizzata A A n A {n A } kab {n A } kab n A B B Challenge-response con nonce {n A } kab {n A -1} kab 36

38 Timestamp A B Ora nel computer locale ad esempio in millisecondi Controllabile dal destinatario Prevedibile Il destinatario deve memorizzare i timestamp recenti per evitare riutilizzi Richiede sincronizzazione A A t A {t A } kab {t A } kab t A {t A } kab B B Challenge-response con timestamp {t A -1} kab 37