Protocolos Básicos

Autenticação

Protocolos Básicos

Esquemas de autenticação

São métodos através dos quais alguém pode provar sua identidade, sem revelar conhecimentos importantes e que possam ser usados de forma maliciosa no futuro.

Protocolos Básicos

Autenticação usando Hash

A → S : senha Alice envia sua senha para um servidor S.

S : Hash (senha) S calcula o Hash da senha recebida.

S : Compara com valor Hash da senha, previamente armazenado.

A lista de hash de senhas é sem utilidade, porque uma função Hash

não pode ter inversa para recuperar senhas.

Ataque do Dicionário e Salt

• Um arquivo de senhas cifrado com uma função Hash é ainda vulnerável.

• Em seu tempo livre, Mallory gera 1000.000 de senhas mais comuns. Ele opera sobre todas 1000.000 destas com uma função Hash e armazena os hashes resultantes.

• Se cada senha tem 8 bytes, o arquivo resultante será não mais do que 8 Megabytes.

Ataque do Dicionário e Salt

• Mas, se Mallory furta, em um host, um arquivo de senhas criptografadas (por Hash), ele compara esse arquivo com seu arquivo de senhas possíveis criptografadas, e vê o que corresponde.

• Este é o ataque do dicionário que pode ser realizado.

• Um salt é uma string aleatória, que dificulta este ataque.

• Salts são concatenados com senhas, antes de serem operados com uma função Hash.

Ataque do Dicionário e Salt

• Então, ambos, o valor salt e o resultado da função Hash são armazenados numa base de dados no host.

• Se o número de valores salt é bastante grande, isto praticamente elimina o ataque do dicionário contra senhas usadas comumente, porque Mallory tem de gerar um hash para cada valor salt possivel.

Problemas de segurança

• Mesmo com salt, o protocolo de autenticação usando hash tem problema de segurança: quando Alice envia sua senha à S, qualquer um que tenha acesso ao caminho dos dados de Alice, poderá ler sua senha.

• A senha não pode ser lida antes de S calcular o hash dessa.

• Criptografia de chave pública pode resolver este problema.

Protocolos Básicos

Autenticação com chave compartilhada “K” entre A e B

A → B : NA

B → A : NB || V = EK ( NA || NB || IDB )

A : DK ( V ) == NA || NB || IDB

A → B : Q = EK ( NB || IDA )

B : DK ( Q ) == NB || IDA

Autenticação com chave compartilhada “K” entre A e B

• Criptografia simétrica provê alguma autenticação.

• Quando Bob recebe uma mensagem de Alice, criptografada com a chave compartilhada, Bob sabe que a mensagem veio de Alice.

Autenticação com chave compartilhada “K” entre A e B

• É assumido que ninguém mais conhece tal chave K.

• Contudo, se existir uma terceira parte (Trent) conhecendo K, Bob não tem nenhum modo de convencer Trent. Bob não pode enviar a mensagem a Trent e convencê-lo de que veio de Alice.

• Trent pode estar convencido de que a mensagem veio de Alice ou de Bob, e não tem nenhum modo para saber que veio de qual deles.

Autenticação com criptografa de chave pública

(1) S A : N N é uma string aleatória

(2) A S : EKRA(N) || IDA

(3) S procura a chave pública de Alice, KUA , correspondente à chave privada KRA , em sua base de dados de chaves públicas.

(4) S decripta com essa chave pública DKUA(N) obtendo N.

(5) Se N corresponde ao que S enviou à A (Alice) em (1), S permitirá que Alice acesse ao sistema. A : N == DKUA ( EKRA ( N ) ) ?

Se ninguém mais tem acesso à chave privada de Alice, ninguém poderá se passar por Alice.

Protocolos Básicos

Autenticação e Troca de Chave

Protocolos Básicos

Autenticação e Troca de Chave

Estes protocolos combinam autenticação e troca de chave para resolver um problema geral: Alice e Bob

estão nas extremidades opostas de uma rede e desejam se comunicar com segurança.

Como pode Alice e Bob trocarem uma chave secreta e ter certeza que ele e ela estão falando entre eles, e

não com o atacante Mallory ?

A maioria dos protocolos assumem que Trent compartilha uma diferente chave secreta com cada participante, e que todas essas chaves estão em

algum lugar antes do protocolo iniciar.

Protocolos Básicos

Autenticação arbitrada “T” : Wide-Mouth-Frog Protocol

A → T : IDA || EKA ( TA || KS || IDB )

T → B : EKB ( TB || KS || IDA )

T é um servidor confiável.

KA e KB são chaves compartilhadas com T que só servem para distribuição e não para encriptar mensagens.

TA e TB são rótulos de tempo

Protocolos BásicosYahalom

A → B : IDA || NA

B → T : IDB || EKB ( IDA,NA,NB )

T → A : EKA ( IDB,KS,NA,NB) || EKB ( IDA,KS )

A → B : EKB ( IDA,KS ) || EKS ( NB )

B : DKB ( EKB ( IDA,KS ) )

DKS ( EKS (NB) )

A e B ficam convencidos que estão falando entre eles e não com

uma terceira parte, o atacante Mallory.

Protocolos Básicos

Needham-Schroeder

A → T : IDA || IDB || NA

T → A : [ EKA ( NA || IDB || KS ) || EKB ( KS || IDA ) ] (2)

A → B : EKB ( KS,IDA )

B → A : EKS ( NB )

A → B : EKS ( NB -1 ) (5)

Needham-Schroeder Protocol

• Tudo em torno de NA , NB , NB-1 é evitar ataques de repetição.

• Nestes ataques, Mallory pode registrar mensagens já transmitidas e então usá-las mais tarde em uma tentativa de subverter o protocolo.

Needham-Schroeder Protocol

• A presença de NA em (2) assegura a Alice que a mensagem de Trent é legítima e não uma repetição de uma resposta de uma execução prévia do protocolo.

• Quando Alice decifra NB e envia (NB – 1) em (5), Bob é garantido que as mensagens de Alice não são repetições de execuções prévias do protocolo.

Protocolos Básicos

Kerberos

A → T : IDA, IDB

T → A : EKA ( t || L || KS || IDB ) || EKB ( t || L || KS || IDA )

A → B : EKS ( IDA, t ) || EKB ( t || L || KS || IDA )

B → A : EKS ( t+1 )

Kerberos

• Variante de Needham-Schroeder. Alice e Bob compartilham chaves com Trent (KDC)

• Alice deseja gerar uma chave de sessão para conversação com Bob.

• O protocolo funciona, mas assume que todos os clocks estão sincronizados com o clock de Trent (KDC).

• Na prática, o efeito é obtido por sincronizar cloks dentro de poucos minutos de um servidor de tempo seguro e detectar repetições dentro de um intervalo de tempo.