Elementi di Sicurezza e Privatezza Lezione 5

Transcript

1 Elementi di Sicurezza e Privatezza Lezione 5 Chiara raghin Comunicazione sicura? canale insicuro messaggi lice ob E possibile che lice e ob comunichino in modo sicuro attraverso un canale insicuro? E possibile implementare un canale sicuro virtuale su di un mezzo insicuro? 1 1

2 Dalla crittografia alla sicurezza La crittografia viene usata per risolvere alcuni problemi di sicurezza Ottenere le relative proprietà di sicurezza Si crea un protocollo di sicurezza (un preciso schema di eventi che possibilmente fanno uso di crittografia) Combinazioni di segretezza, autenticazione, integrità, 2 Cos è un protocollo? (1) Protocollo umano : Che ore sono? Ho una domanda messaggi specifici comunicati azioni specifiche intraprese quando un messaggio viene ricevuto Protocolli di rete: PC invece che umani Tutta la comunicazione di Internet viene governata da protocolli I protocolli definiscono il formato, l ordine dei messaggi spediti e ricevuti tra entità della rete, e le azioni intraprese dopo la trasmissione/ricezione 3 2

3 Cos è un protocollo? (2) Un protocollo umano e uno di reti di computer: Ciao Ciao Hai l ora? TCP connection req TCP connection reply 2:00 Get tempo <file> In un protocollo crittografico parte o tutto il messaggio sono crittati. 4 Protocolli crittografici (1) 2 o più partecipanti Comunicazione lungo un canale insicuro Crittografia utilizzata per: Scambiare informazioni confidenziali Verificare l origine dei messaggi scambiati (autenticazione) Verificare altre proprietà di sicurezza (integrità, etc.) Tipi di protocolli: utenticazione, per garantire l identità dei partecipanti Commercio elettronico (firma di contratti, denaro elettronico, ) Per stabilire una chiave di sessione (con autenticazione o meno), ovvero per concordare un segreto condiviso 5 3

4 Protocolli crittografici (2) Notazione: Partecipanti generici (lice), (ob), C (Charlie), ttaccanti T (Trudy), M (Mallory), E (Eve), Server S (Sam) Nome specifico: Trusted-Third Party TTP Certification uthority C Key Distribution Center KDC 6 Protocolli crittografici (3) ncora notazione: Encryption (di m con chiave K) {m} K, MC o firma [m] K K chiave (simmetrica) condivisa da e K (oppure K + ) chiave pubblica di, K -1 (oppure K - ) chiave privata di Messaggio 4 : {T + 1} K Descrive il quarto messaggio di un protocollo, spedito da ad e cifrato con la loro chiave condivisa 7 4

5 Protocolli crittografici (4) Sessione (o run) Singola esecuzione del protocollo dall inizio alla fine Chiavi a lungo termine Esistono prima che il protocollo inizi Non cambiano tra un esecuzione e un altra del protocollo Chiavi di sessione (o chiavi a breve termine) Generate durante l esecuzione del protocollo La validità è garantita fino alla fine dell esecuzione del protocollo Si può rendere pubblica una volta che il protocollo termina Può essere debole dal punto di vista crittografico 8 utenticazione (1) Verificare l identità Vengono permessi solo accessi autorizzati Si basa su: Qualcosa che l utente conosce Qualcosa che l utente possiede Qualcosa che l utente è utenticazione del messaggio (concetto diverso) Verifica che il messaggio ricevuto provenga dalla sorgente indicata Verifica che il messaggio non sia stato modificato 9 5

6 Limite fondamentale Sto parlando con John Sto parlando con qualcuno che possiede le seguenti credenziali di John: Password Chiave privata Impronta digitale 10 utenticazione (2) Vignetta di Peter Steiner. The New Yorker, 5 Luglio 1993 issue [Vol.69 no. 20] page

7 Protocolli di autenticazione utenticazione (1) Obiettivo: ob vuole che lice dimostri la sua identità. Protocollo 1: lice dice I am lice. I am lice lice Trudy ob Lungo la rete, ob non può vedere Failure lice, scenario? quindi Trudy semplicemente dichiara di essere lice. 13 7

8 utenticazione(2) Protocollo 2: lice dice I am lice e spedisce il suo indirizzo IP per provarlo. I am lice + lice s IP addr lice Trudy ob Come prima: Trudy può creare Failure un messaggio scenario? recuperando (spoofing) l indirizzo di lice. 14 utenticazione(3) Protocollo 3: lice dice I am lice e spedisce la sua password (segreta ) per dimostrarlo. I am lice + password lice Trudy ob Replay attack: Trudy memorizza Failure il scenario? messaggio di lice e lo riutilizza in seguito con ob. 15 8

9 utenticazione, ancora (4) Protocollo 4: lice dice I am lice e spedisce la sua passwprd segreta cifrata per dimostrarlo. I am lice + encrypt(password) lice ob Trudy Trudy memorizza il Sembra messaggio funzionare e il replay ma attack funziona ancora!! 16 utenticazione, ancora (5) Obiettivo (aggiornato): Fare in modo che lice dimostri la sua identità e che non ci siano replay attack. Protocollo 5: lice dice I am lice, ob spedisce ad lice un nonce N ( un numero usato solo una volta). lice deve rispedire N cifrato con una chiave segreta condivisa K. I am lice N lice K (N) ob Trudy Failures, problemi? 17 9

10 utenticazione, ancora (6) Problema: Il protocollo 5 richiede una chiave condivisa Come possono ob e lice accordarsi sulla chiave? Possiamo utilizzare tecniche a chiave pubblica? Protocollo 6: usare nonce e crittografia a chiave pubblica. lice N I am lice - K (N) send me your public key K + ob + - ob calcola K (K (N)) = N e sa che solo lice può avere + - la chiave privata che cifra N in modo che K (K (N)) = N 18 Protocollo 6: un attacco! Man (woman) in the middle attack: Trudy finge di essere lice (con ob) e di essere ob (con lice). I am lice Trudy N I am lice - K T(N) lice N - K (N) send me your public key lice decritta con K + K + send me your public key K T + ob spedisce dati cifrati usando K T + ob Trudy riesce a leggere tutti i messaggi!! Soluzione: chiavi pubbliche certificate!! 19 10

11 lcuni attacchi comuni Replay Riutilizzo di vecchi messaggi Men-in-the-middle L attaccante crea delle connessioni indipendenti con i 2 partecipanti e li impersona Freshness Utilizzo di informazioni vecchie (chiave, nonce, ) Sessioni parallele L attaccante combina i messagi di sessioni diverse 20 utenticazione challenge-response Chiamato anche test di autenticazione Usato per ottenere mutua autenticazione Challenge il sistema o l altro partecipante presenta una stringa all utente Response L utente cifra la stringa: {stringa} K utenticazione Controllo di {stringa} K N: I dati segreti rimangono tali: non viene spedita una password 21 11

12 Challenge-response Utente Chiave segreta K Challenge stringa {stringa} K Response 22 Protocolli challenge-response Schema: controlla che ci sia Spedisce un challenge a ttende il response utilizza il canale Decifrando il challenge Cifrando il response o facendo entrambe le cose Hi, it s me! I m here too! Di solito rappresenta la parte di set-up di un protocollo più grande 23 12

13 Garantire Freshness Il riutilizzo di challenge è pericoloso Replay attack Se il canale è quello usato in precedenza e una precedente chiave K è compromessa, allora Trudy può forzare a riutilizzare K Il response dovrebbe essere fresh Nonce Timestamp Sequence number Fresh key 24 Nonces Sequenza casuale di bit Di solito lunga Generata (fresh!) dal mittente come challenge Non prevedibile Verificata nel response Non controllata dal destinatario Poco pratico memorizzarla Mai riutilizzata n {n } k {n } k n {n } k Challenge-response exchanges using nonces {n -1} k 25 13

14 Timestamp Ora nel computer locale E.g. in millisecondi Controllabile dal destinatario Prevedibile Il destinatario deve memorizzare i timestamp recenti per evitare riutilizzi Richiede sincronizzazione t {t } k {t } k t {t } k {t -1} k Challenge-response exchanges using timestamps 26 Numeri in sequenza Il mittente mantiene un contatore Viene incrementato di 1 dopo ogni challenge Deve essere legato ai dati che identificano il canale Il destinatario memorizza il valore più recente Non accetta valori troppo vecchi Simile ai timestamp ma Locale al mittente c {c } k {c } k c {c } k {c -1} k Challenge-response exchanges using counters 27 14

15 Chiavi Il mittente genera una chiave K La spedisce cifrata Il destinatario risponde usando K Necessita di un altro meccanismo per garantire freshness del destinatario Spesso ottenuto mediante un terzo partecipante Si ottine la distribuzione di una chiave di sessione allo stesso tempo {k} ks {k} k { Hi! } k { Hi! } k S {k} ks Challenge-response exchanges using keys 28 Da leggere Why Cryptosystems Fail, Ross nderson, in Proceedings of the 1st CM Conf. of Computer and Communication Security, pp ,

16 Da leggere Programming Satan s Computer, Ross nderson e Roger Needham, in Computer Science Today, LNCS 1000, pp ,