1 / 21

Analiza protocolul Kerberos folosind tehnica multiset

Analiza protocolul Kerberos folosind tehnica multiset. Serban Ungureanu MSI1. Cuprins. Protocolul Kerberos Prezentare Proprietati de securitate Rescriere Multiset – prezentare generala Analiza protocolului Kerberos folosind rescrierea multiset. Protocolul Kerberos.

lahela
Download Presentation

Analiza protocolul Kerberos folosind tehnica multiset

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Analizaprotocolul Kerberos folosindtehnicamultiset SerbanUngureanu MSI1

  2. Cuprins • Protocolul Kerberos • Prezentare • Proprietati de securitate • RescriereMultiset – prezentaregenerala • Analizaprotocolului Kerberos folosindrescriereamultiset

  3. Protocolul Kerberos • Proiectat de catreUniversitatea MIT(Massacheusetts Institute of Technology) in cadrulproiectului Athena( aprox. 1984) • Are roulul de a realizaautentificare client-server, siviceversa, in cadruluneiretelenesigure • Folositca metoda de autentificareimplicitapentru Windows (de la versiunea Windows 2000) sisisteme de operare tip Unix (FreeBSD, OS X, Red Hat, Solaris, etc…)

  4. Protocolul KerberosAutentificare intra-domeniu

  5. Protocolul KerberosAutentificarea inter-domeniu

  6. RescriereMultiset • Reprezinta o modalitateflexibilapentruspecificareasistemeleordistribuite, in special a protocoalelorcritptografice • Pentru a exprimaactiuni ale protocolului se folosescreguli de rescrieremultiset, bazatepetipuri de date bine definite, asupraformuleloratomice • Folosimmetodologiarescrieriimultisetpentru a reprezentaintr-un mod standard protocolul, urmand ca apoisatragemanumiteconcluziireferitoare la prorpietatile sale de securitate

  7. Metodologiademonstratiilor • Demonstratiileproprietatilorprotocolului Kerberos se bazeazape MSR pentru a reprezentaprotocolulsicapacitatileintrusului, reprezentate de un set finit de reguli de tranzitie • Pornind de la o stare initiala a protocolului, acesteregulidescriutoatemodurile in care protocolulpoateevolua • Pentru a demonstra diverse proprietati de securitate, folosimdouafunctiiajutatoare, definite inductiv, numite rank sicorank

  8. Functia rank • Este folositapentru a determinavolumul de muncanecesarpentru a criptamesajulm0 , folosindcheiak • Fie o cheiek, t1, t2, t3termenisi un mesaj m0,definimfunctia rank-k a luit relativ la mesajulm0 , notatρ(t;m0), in felulurmator:

  9. Functiacorank • Este folositapentru a determinavolumul minim de muncanecesarpentru a obtinemesajul atomic m0, folosindchei din multimeaE • Fie E o multime de chei, m0 un mesaj atomic, sit1, t2, t3termeni.Definimfunctiacorank-E a luitrealtiv la m0, notataρ^(t;m0), in felulurmator:

  10. Descriereaprotocoluluifolosind MSR • O stare a protocoluluiestedeterminatacunostiintelefiecarui participant, mesajeledintreparticipantisialteinformatiisimilare.(de exemplu: N({AK, C, tK}KT) inseamna ca mesajul ({AK, C, tK}KT esteprezent in retea. ) • Protocolulestedescris sub forma uneimultimi de actiunicetransformastareaprotocolului. • IntrusulurmeazamodelulDolev-Yao

  11. Descriereaprotocoluluifolosind MSR – tipurileutilizate

  12. Descriereaprotocoluluifolosind MSR – descriereaintrusului

  13. Descriereaprotocoluluifolosind MSR

  14. Descriereaprotocoluluifolosind MSR

  15. Descriereaprotocoluluifolosind MSR

  16. Descriereaprotocoluluifolosind MSR

  17. Descriereaprotocoluluifolosind MSR

  18. Demonstrareaproprietatilor de securitate – Autentificarealui KAS la client • Formalizare: Pentru un C: client RC , kC : dbK RCC, T : TGS RC, AK : shK C T,n1 : nonce, sitK : time, dacastareaintiala a protocoluluipentru o transformarefinita nu contine I(kC) sinici un faptavand un kC-rank pozitiv, relativ la (AK, n1, tK, T), sidacafaptul N(C,X, {AK, n1, tK, T}kC ) apareintr-o stare din transformarepentru un X: msg, atunciintr-un anumitpunct, anterior acesteistari, in transformare K : KAS RC a declansatregula 2.1, consumandfaptul N(C, T, n1), generandchiea AK : shK C T, sigenerandfaptul N(C, {AK,C, tK, Rnil}kT, {AK, n1, tK, T}kC ) pentru un anumitkT : dbK RC T. • Demonstratie: Analizandfaptul N(C, {AK,C, tK, Rnil}kT, {AK, n1, tK, T}kC ) , observam ca are kC–rank-ulrelativ la (AK, n1, tK, T) egal cu 1. De asemneadeterminamparticipantiiprotocolului care arputeadeclansa o regulacearincrementavaloareacesteifunctii. Din ipotezadeducem ca acestfapt nu apare in stareainitiala a protocolului. In plus, initial, intrusul nu cunoastekCdeci nu ilvacunoastenici o data (de oarececheile de lungaduratasunttransmise in niciunmesaj). Prinurmare, intrusul nu arputeaniciodatadeclansa o regula care saincrementezavaluareakC–rank-uluirelativ la (AK, n1, tK, T) . Analizandroluriledescrisemaisus, putem deduce ca singurul participant onest care arputeadeclasa o asemearegulaeste K: KAS RC

  19. Demonstrareaproprietatilor de securitate – Confidentialitatealui AK intra-domeniu • Formalizare: Pentru un domeniuRC : realm, C : client RC, T : TGS RC, C, T ≠ I, kC : dbK RCC, kT : dbK RCT, AK : shKCT, sin1 : nonce, dacastareainitiala a uneitransformari nu contineI(kC)sauI(kT )si un anumeK : KASdeclanseazaregula 2.1, generand AK sifaptul N(C, {AK,C, tK, Rnil}kT , {AK, n1, tK, T}kC ), atuncinici o stare a transformarii nu vacontine I(AK). • Demonstratie: Presupunem ca pana in momentul de fapta, in transformare, nu aparenici un fapt care saaiba {kC, kT}-corank-ulrelativ la AK egal cu 0. Daca KAS declanseaza o regula care scade {kC, kT}-corank-ulrelativ la AK, atunci se genereaza automat si un AK nou. Dacafaptulnougenerateste N(C, {AK,C, tK, Rnil}kT , {AK, n1, tK, T}kC ), {kC, kT}-corank-ulrelativ la AK este 1. Deoarece AK estenougenerat de KAS, atunci, in transformare, nu a existatnici un fapt cu un {kC, kT}-corank-ulrelativ la AK finit, cum nici KAS nu poatedeclansa, maitarziu in transformare, o regula care sascada {kC, kT}-corank-ulrelativ la AK. In plus, privindrolurile de maisus, nici un client, TGS sau server nu poatescade {kC, kT}-corank-ulrelativ la AK. I(kC)siI(kT ) nu apar in stareainitiala a protocolului; Acestechei nu pot fiaflate de catreintrus. Din ipoteza, K genereaza un AK nou, deci I nu poate genera si el un AK nou. Prinurmare, I nu declanseazanici o regula care scade {kC, kT}-corank-ulrelativ la AK. Considerandacesteafirmatii, putem deduce ca nici un fapt nu poateavea {kC, kT}-corank-ulrelativ la AK, deci I nu afla AK niciodata in transformare.

  20. Analizaprotocolul Kerberos folosindtehnicamultiset • Intrebari ?

  21. Bibliografie • Formal Analysis of Kerberos 5, Frederick Butler, IlianoCervesato, Aaron D. Jaggard, Andre Scedrov, Christopher Walstad • Specifying Kerberos 5 Cross-Realm Authentication, A D. Jaggard, IlianoCervesato, Aaron D. Jaggard, Andre Scedrov, Christopher Walstad

More Related