1 / 17

Sicurezza II Prof. Dario Catalano

Sicurezza II Prof. Dario Catalano. Autentica Mediata. Autentica Mediata (con KDC). Abbiamo gia’ fatto conoscenza con KDC Problema : In generale KDC puo’ non sapere se e’ proprio Alice a voler parlare con Bob. Oscar potrebbe contattare KDC spacciandosi per Alice.

zorana
Download Presentation

Sicurezza II Prof. Dario Catalano

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Sicurezza IIProf. Dario Catalano Autentica Mediata

  2. Autentica Mediata (con KDC) • Abbiamo gia’ fatto conoscenza con KDC Problema: In generale KDC puo’ non sapere se e’ proprio Alice a voler parlare con Bob. • Oscar potrebbe contattare KDC spacciandosi per Alice. • Oscar tuttavia non riuscirebbe comunque a parlare con Bob (KDC invia la chiave ai veri Alice e Bob).

  3. Ricordiamo il protocollo • KDC sceglie una chiave RAB. • Cifra RAB con la chiave che condivide con A e manda il crittotesto creato ad A. • Cifra RAB con la chiave che condivide con B e manda il crittotesto creato ad B. • A e B possono utilizzare RAB come chiave per comunicare in modo sicuro.

  4. Autentica Mediata (con KDC) • Il protocollo appena (ri)visto ha diversi problemi. • Bob potrebbe non essere ancora in grado di decifrare i messaggi di Alice quando questi arrivano (a causa dei ritardi della rete). • KDC potrebbe avere difficolta’ a contattare Bob. • Un’alternativa e’ di permettere ad Alice di comunicare i dati necessari alla comunicazione direttamente a Bob.

  5. Autentica Mediata (con KDC) Alice KDC Bob Voglio parlare con Bob. Enc(KA, “usa KAB per parlare con Bob”) ticket=Enc(KBob,”usa KAB per parlare con Alice”) “Sono Alice”, ticket PS: Protocollo incompleto (manca Mutual Authentication)

  6. Needham-Schroeder • Protocollo KDC-mediato classico • Kerberos e’ basato su NS • Per questo e’ utile studiare tale protocollo. • Semi (Nonces): valori casuali utilizzati una sola volta.

  7. Needham Schroeder Alice KDC Bob N1, Voglio parlare con Bob. Enc(KA, N1, “Bob”,KAB,ticket) (Cifra e Autentica) ticket=Enc(KBob,”usa KAB per parlare con Alice”) Ticket, Enc(KAB,N2) Enc(KAB,N2-1,N3) Enc(KAB,N3-1)

  8. Needham Schroeder: ulteriori commenti - I • E’ importante che tutti i dati di ogni messaggio vengano cifrati “insieme”, con un cifrario sicuro. • Possibilmente aggiungendo autentica. • Se nel msg 4, i nonces (N2 e N3) venissero cifrati separatamente, Oscar potrebbe riuscire ad impersonare Alice presso Bob.

  9. Needham Schroeder: ulteriori commenti - II • Oscar dapprima “registra” una coversazione valida (tra Alice e Bob) • Successivamente Oscar ri invia il messaggio 3 (della conversazione registrata) che contiene Enc(KAB,N2). • Bob risponde con Enc(KAB,N2-1,N4). • Oscar non conosce Enc(KAB,N4-1), quindi ricomincia il protocollo inviando nel messaggio 3 il valore Enc(KAB,N4). • Bob risponde con Enc(KAB,N4-1,N5). • Oscar “estrae” Enc(KAB,N4-1) e riprende la precedente conversazione inviando tale messaggio.

  10. Needham Schroeder: ulteriori commenti - III • Se Oscar “scopre” la chiave di Alice KA, puo’ chiedere a KDC di parlare con Bob (spacciandosi per Alice) • Tale problema e’ inevitabile. • Pero’ vorremmo limitare la possibilita’ di Oscar di fare altri danni. • Il problema e’ che il ticket per Bob rimane valido anche se la chiave di Alice e’ compromessa. • Il problema si ripropone anche se Oscar ottiene una vecchia chiave non piu’ usata da Alice.

  11. Esempio • Oscar ottiene la chiave JAlice. • Quando Alice utilizzava tale chiave, Oscar aveva memorizzato il valore Enc(JAlice, N1, “Bob”,JAB,Enc(KBob, JAB,”Alice”)) • Una voltaottenutaJAlice, Oscar puo’ decifrare tale valore, scoprire JAB e usare il ticket per convincere Bob che Alice vuole parlare con lui usando la chiave JAB

  12. Needham Schroeder Espanso Alice KDC Bob Voglio parlare con te (Bob) Enc(KBob,NB) N1, Voglio parlare con Bob, Enc(KBob,NB). Enc(KA, N1, “Bob”,KAB,ticket) (Cifra e Autentica) ticket=Enc(KBob,KAB,“Alice”, NB) Ticket, Enc(KAB,N2) Enc(KAB,N2-1,N3) Enc(KAB,N3-1)

  13. Otway Rees • Migliora NS in quanto richiede solo 5 round. • Il protocollo si ispira alla seguente osservazione: la parte sospetta dovrebbe essere quella a parlare per prima.

  14. Otway Rees Alice Bob NC, Alice, Bob, Enc(KAlice, NA,NC,Alice,Bob) Enc(KAlice, NA,NC,Alice,Bob), Enc(KBob, NB,NC,Alice,Bob) NC,Enc(KAlice, NA,KAB), Enc(KBob, NB, KAB) Enc(KAlice, NA,KAB) Enc(KAlice, qualsiasi valore riconoscibile.) KDC inventa una chiave KAB ed estrae il valore NB

  15. Kerberos • Il sistema di autentica Kerberos e’ basato sul protocollo Needham-Schroeder. • In realta’, nella sua versione base, esso e’ piu’ semplice • Si assume un’idea universale di tempo. • I messaggi hanno una data di scadenza.

  16. Basic Kerberos Alice Bob N1, Alice, Bob Enc(KAlice; N1,”Bob”, KAB,Ticket) Ticket= Enc(KBob; KAB,”Alice”,scadenza) Ticket, Enc(KAB, T), (T tempo corrente) Enc(KAB, T+1) KDC inventa una chiave KAB

  17. Semi (nonces) • Quantita’ utilizzate una sola volta. • Differenti tipi di nonces: timestamps, numeri casuali, numeri sequenziali. • I numeri casuali (grandi) tendono ad essere i nonces migliori. • Timestamps richiedono clocks sincronizzati.

More Related