Message Authentication Code

Похожие документы
Data Encryption Standard. Data Encryption Standard DES. Struttura del DES. Lunghezza della Chiave. Permutazione Iniziale IP

Integrità dei messaggi. Funzioni di Hash e codici MAC. Message digest. Message digest e funzioni di hash

Funzioni Hash. Impronta Digitale. L impronta digitale viene utilizzata per

Funzioni di hash sicure: MD5 e SHA-1

Sicurezza dei sistemi e delle reti 1

Converte una chiave di al più 14 word a 32 bit (K-array) in un array di 18 sottochiavi a 32 bit (P-array) Genera 4 S-box, ognuna con 256 word a 32 bit

Cifratura Simmetrica con OpenSSL

Ripasso. Public Key cryptograhy. Message Authentication Codes (MAC) Firma digitale

Sicurezza nelle applicazioni multimediali: lezione 5, funzioni di hash. Funzioni crittografiche di hash

Sicurezza nelle reti: protezione della comunicazione

Crittografia avanzata Lezione del 21 Marzo 2011

Principi di crittografia Integrità dei messaggi Protocolli di autenticazione Sicurezza nella pila di protocolli di Internet: PGP, SSL, IPSec

metodi crittografici maurizio pizzonia sicurezza dei sistemi informatici e delle reti

Crittografia a chiave pubblica

Gianluigi Me. IPSec 24/03/2005 1

Autenticazione dei messaggi e funzioni hash

idea della crittografia a chiave pubblica

Introduzione alla crittografia

Firme digitali. Firma Digitale. Firma Digitale. Elementi di Crittografia Equivalente alla firma convenzionale

Parte prima Cifratura simmetrica 27 Introduzione alla Parte prima 27

Crittografia a chiave pubblica

logaritmo discreto come funzione unidirezionale

Crittografia a chiave pubblica

Altri cifrari a blocchi

Identificazione, Autenticazione e Firma Digitale. Firma digitale...

cifrario di Feistel cifrario di Feistel

Secure Socket Layer. Sicurezza del livello Trasporto

Транскрипт:

Message Authentication Code Message Authentication Code (MAC) messaggio M Alfredo De Santis Dipartimento di Informatica ed Applicazioni Università di Salerno ads@dia.unisa.it http://www.dia.unisa.it/professori/ads Maggio 2012 chiave segreta K bit MAC MAC(M,K) Applicazioni! Autenticità del messaggio M! Integrità del messaggio M n bit 1 Utilizzo MAC MAC + confidenzialità chiave privata K messaggio M Y MAC(M,K) M, y chiave privata K! MAC fornisce solo autenticazione ed integrità! Se si vuole confidenzialità, si può cifrare prima/dopo con una diversa chiave condivisa K E K (M), MAC(E K (M),K) Alice Bob? Y = MAC(M,K) Alice E K (M,MAC(M,K)) Bob 2 3

MAC + confidenzialità! MAC fornisce solo autenticazione ed integrità! Se si vuole confidenzialità, si può cifrare prima/dopo con una diversa chiave condivisa K Sicurezza! Cosa si intende per sicurezza di uno schema di un MAC? Alice E K (M), MAC(E K (M),K) E K (M,MAC(M,K)) Bob! Dobbiamo definire! Tipo di attacco! Scopo dell attacco! Analizzeremo in seguito la confidenzialità insieme ad autenticazione ed integrità 4 5 Tipo di attacco! Known Message Attac! Oscar conosce una lista di messaggi ed i relativi MAC! Chosen Message Attac! Oscar sceglie dei messaggi e chiede ad Alice (o Bob) di computarne i MAC! Adaptive Chosen Message Attac! Come nel Chosen Message Attac, ma le scelte dipendono dalle risposte precedenti Scopo dell attacco! Total brea! Determinare la! Selective forgery! Dato un messaggio M, determinare y tale che y=mac(m,k)! Existential forgery! Determinare una coppia (M,y) tale che y=mac(m,k) 6 7

Ricerca esaustiva sulla chiave! Date le coppie (M i,y i ), con y i =MAC(M i,k), determiniamo K! Supponiamo che sia > n! Prova tutte le 2 chiavi sulla coppia (M 1,y 1 ): circa 2 -n match! Prova le 2 -n chiavi precedenti sulla coppia (M 2,y 2 ): circa 2-2n match!! In generale, se =β n, necessari circa β round Ricerca esaustiva sul valore del MAC! Dato M determiniamo y=mac(m,k), senza conoscere K! Scegli a caso y, prob. successo: 1/2 n! Ma come controlliamo che sia il valore giusto, senza avere K?! Esempio: =80 bit, n=32 bit! Round 1: circa 2 48 match! Round 2: circa 2 16 match! Round 3: 1 match trovata! 8 9 Ricerca esaustiva! Sforzo computazionale richiesto: min(2, 2 n )! Raccomandazioni: min(,n) 128 MAC: Costruzioni! MAC basati su cifrari a blocchi! Data Authentication Algorithm (DAA)! CBC-MAC!! MAC basati su funzioni! HMAC 10 11

MAC: Costruzioni CBC-MAC! MAC basati su cifrari a blocchi! Data Authentication Algorithm (DAA)! CBC-MAC!! MAC basati su funzioni! HMAC! Cipher Bloc Chaining (con IV=0)! E stato molto usato (FIPS PUB 113 e ANSI X9.17)! Testo X = X 1 X 2 X n diviso in blocchi di 64 bit IV x 1 x 2 x n DES DES DES MAC Valore troncato: da 16 a 64 bit più a sinistra 12 13 DAA: problemi di sicurezza Vediamo un semplice esempio:! Supponiamo che T sia il MAC di X DAA: problemi di sicurezza Vediamo un semplice esempio:! Supponiamo che T sia il MAC di X! Allora T è anche il MAC di X (X T) IV x IV x IV x X T DES DES DES DES T T T T 14 15

Dal DAA al! Modifica del CBC-MAC! Proposta al NIST:! J. Blac, P. Rogaway, A Suggestion for Handling Arbitrary- Length Messages with the CBC MAC [da paper in Crypto 2000]! 3 chiavi! Raffinamento! T. Iwata, K. Kurosawa, OMAC: One-ey CBC MAC, 2003! Una sola chiave! Cipher-based MAC ()! Cipher-based MAC ()! NIST SP800-38B, Recommendation for Bloc Cipher Modes of Operation: The Mode for Authentication, maggio 2005! Utilizzabile con AES e Triplo DES! Usa una sola chiave, e 2 chiavi derivate 0, 1! RFC 4493, The AES- Algorithm (giu 2006)! RFC 4494, The AES--96 Algorithm and its use with Ipsec (giu 2006) 16 17! Testo X = X 1 X 2 X n diviso in blocchi uguali (128 AES, 64 TDEA)! Lunghezza messaggio multipla della lunghezza blocco b! 1 dipende da e da b! Testo X = X 1 X 2 X n diviso in blocchi uguali (128 AES, 64 TDEA)! Lunghezza messaggio non multipla della lunghezza blocco b! 2 dipende da e da b x 1 x 2 x n x 1 x 2 X n 100 1 2 E E E E E E MAC MAC Valore troncato: s bit più a sinistra 18 Valore troncato: s bit più a sinistra 19

1 = E (0 b ) " x Chiavi 1 e 2 2 = E (0 b ) " x 2 = (E (0 b ) " x) " x MAC: Costruzioni! MAC basati su cifrari a blocchi! Data Authentication Algorithm (DAA)! CBC-MAC! Moltiplicazione in GF(2 b ) Polinomi irriducibili! b=64 # x 64 +x 4 +x 3 +x+1! b=128 # x 128 +x 7 +x 2 +x+1 Polinomi in GF(2 b ) 0 b-3 100 e 0 b-2 10! MAC basati su funzioni! HMAC 20 21 HMAC! RFC 2104, HMAC: Keyed-Hashing for Message Authentication, Febbraio 1997! ANSI X9.71 Keyed Hash Message Authentication Code, 2000! FIPS 198, The Keyed-Hash Message Authentication Code (HMAC), 6 marzo 2002! FIPS 198-1, The Keyed-Hash Message Authentication Code (HMAC), luglio 2008! Funzioni Hash usate come blac-box! Utilizzo delle funzioni senza modifiche! Facile cambio della funzione (più veloci e più sicure)! Facile utilizzo e gestione di chiavi HMAC! H: funzione iterata con inizialization vector IV! MD5, SHA-1, RIPEMD-160,! n: lunghezza del valore! n=128, 160,! M, suddiviso in L blocchi di b > n bit ciascuno! b=512,! ipad = byte 00110110 (36 in esadecimale) ripetuto b/8 volte! opad = byte 01011100 (5C in esadecimale) ripetuto b/8 volte! K: chiave segreta! Se length(k) < b, fai padding con 00! Se length(k) > b, calcola H(K) di n bit e fai padding con 00 22 23

HMAC ipad HMAC ipad opad messaggio M opad messaggio M H ( K opad, H(K ipad,m) ) H ( K opad, H(K ipad,m) ) 24 25 HMAC ipad HMAC ipad opad messaggio M opad messaggio M Precomputazione f(iv,k ipad) f(iv,k opad) per funzioni iterate H ( K opad, H(K ipad,m) ) H ( K opad, H(K ipad,m) ) 26 27

Output troncato! Diverse volte si usano solo i primi t bit dell! Esempi:! HMAC-SHA1-80 (solo i primi 80 dei 160 bit)! HMAC-MD5 (tutti i 128 bit)! Raccomandazioni:! t n/2 per una funzione di n bit! Comunque, t 80 (RFC 2104), t 32 (FIPS 198) Sicurezza HMAC! Sicurezza dipende dalle proprietà della funzione usata da HMAC! Se ha successo in un attacco ad HMAC allora:! Può computare l output della funzione di compressione anche quando IV è casuale e sconosciuto all attaccante! Può computare collisioni nella funzione anche quando IV è casuale e sconosciuto all attaccante 28 29 Attacchi ad HMAC Authenticated Encryption (AE)! Miglior attacco conosciuto [1995,1996] basato sul paradosso del compleanno! Occorrono 2 ( ) /2 coppie (M,HMAC K (M))! Esempio: 2 64 coppie ( M, HMAC-MD5 K (M) ) Stessa K, diversi M Vogliamo garantire confidenzialità e autenticità/integrità! HtE: Hash-then-encrypt. E (M h(m))! MtE: MAC-then-encrypt. E 2 (M MAC 1 (M))! Usato in SSL/TLS! EtM: Encrypt-then-MAC. E 2 (M), MAC 1 (E 2 (M))! Usato in Ipsec! E&M: Encrypt-and-MAC. E 2 (M), MAC 1 (M)! Usato in SSH 2 chiavi 30 31

Bloc Cipher Mode del NIST Ci sono 9 modi approvati in pubblicazioni:! 6 confidentiality mode: ECB, CBC, OFB, CFB, CTR, XTS-AES! 1 authentication mode:! 2 combined mode: CCM e GCM CCM! Counter with Cipher Bloc Chaining-MAC! NIST SP 800-38C, Recommendation for Bloc Cipher Modes of Operation: the CCM Mode for Authentication and Confidentiality, mag 2004 (update lug 2007)! Sicurezza di IEEE 802.11 WiFi! Utilizza: AES, CTR modo di operazione,! Variazione di Encrypt-and-MAC! E (M), MAC (M) (una sola chiave) 32 33 CCM! Counter with Cipher Bloc Chaining-MAC! NIST SP 800-38C, Recommendation for Bloc Cipher Modes of Operation: the CCM Mode for Authentication and Confidentiality, mag 2004 (update lug 2007)! Sicurezza di IEEE 802.11 WiFi! Utilizza: AES, CTR modo di operazione,! Variazione di Encrypt-and-MAC! E (M), MAC (M) (una sola chiave) CCM: autenticazione nonce dati associati Formattazione in blocchi M B 0 B 1 B r Vediamo prima l autenticazione e poi la cifratura 34 35

Valore unico per evitare possibili attacchi di replay CCM: autenticazione nonce dati associati M Valore unico per evitare possibili attacchi di replay CCM: autenticazione nonce dati associati M Formattazione in blocchi Valori autenticati ma non cifrati. Esempio: protocol header trasmesso in chiaro Formattazione in blocchi B 0 B 1 B r B 0 B 1 B r 36 37 CCM: autenticazione CCM: cifratura nonce dati associati M messaggio in chiaro M=M 1 M 2 M n (diviso in n blocchi di 128 bit) Counter i = 0 5 lung byte M nonce i 16 byte B 0 contiene nonce e le lunghezze di nonce e dati associati B 0 B 1 B r Formattazione in blocchi M 1 Counter 1 AES M n Counter n AES Counter 0 AES Valore troncato 38 testo cifrato 39

Galois/Counter Mode (GCM) Blocchi di 128 bit GHASH! NIST SP 800-38D, Recommendation for Bloc Cipher Modes of Operation: Galois/ Counter Mode (GCM) and GMAC, nov 2007! Parallelizzabile per alto throughput GHASH H ( X 1 X 2 X n ) Y=0 127 1 for i=1 to n do Y = (Y"X i ) return Y H H= ey x 1 x 2 x n moltiplicazione in GF(2 128 ) H H H Y 1 Y 2 Y n 40 GHASH H (X 1 X 2 X n ) = Y n 41 GCTR GCM Mode Overview 42 43

Bibliografia Domande?! Cryptography and Networ Security by W. Stallings, 2010! cap. 11 (MAC) e 12 (HMAC)! Tesina di Sicurezza su reti! Message Authentication Code 44 45

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back