ANALISI DEL PROTOCOLLO SRP (SECURE REMOTE PASSWORD)

More documents

Recommendations

Info

iordinamento dei messaggi). Come si può notare la derivazione della chiave K è stata spostata come ultima azione del protocollo e la verifica dei valori M 1 e M 2 coinvolge direttamente S e non più K: questa scelta non compromette in alcun modo la sicurezza del protocollo, anzi, mortifica ulteriormente eventuali attacchi con forza bruta su M 1 M 2 per l’ottenimento di S. Infatti, il valore di S, a differenza di K, ha un numero di bit variabile, limitato superiormente solo dai bit con cui è rappresentato n (tipicamente di almeno 1024 bit): questo rende praticamente impossibile un attacco con forza bruta. Inoltre, la differenza per la derivazione di K, risparmia risorse di calcolo nel caso in cui l’autenticazione del client fallisca e sembra che questo meccanismo sia più adatto per l’integrazione di SRP con protocolli come TLS. Client 1. −→ 2. x = H(s,I,P) n,g,s ←− 3. A = g a A −→ I Server ricerca (I,s,v) B = kv + g b 4. u = H(A,B) ←− u = H(A,B) 5. S = (B − kg x ) a+ux S = (Av u ) b 6. M 1 = H(A,B,S) B M 1 −→ verifica M1 7. verifica M 2 M ←− 2 M2 = H(A,M 1 ,S) 8. K = H(S) K = H(S) Tabella 11: Il protocollo SRP-6. Teorema 6.1 (Simmetria della chiave in SRP-6) Se la password P è simmetrica, allora anche la chiave di sessione K è simmetrica. Dimostrazione: Si procede analogamente al teorema 4.1. S = (B − kg x ) a+ux = = ((kv + g b ) − kg x ) a+ux = ((kv + g b ) − kv) a+ux = = (g b ) a+ux = (g b ) a (g b ) ux = (g a ) b (g b ) ux = (A) b (g ux ) b = = (A) b ((g x ) u ) b = (A) b (v u ) b = = (Av u ) b = S □ 6.4 Resistenza agli attacchi Poichè SRP-6 è completamente basato sulla struttura delle precedenti versioni, continuano a valere le considerazioni già fatte nei paragrafi 4.3 e 4.4 per quanto riguarda la resistenza agli attacchi passivi ed attivi. La sicurezza della chiave di sessione è stata ulteriormente rafforzata, poichè un attacco con forza bruta sui valori M 1 o M 2 per ottenere K adesso dipende dalla dimensione di S, solitamente molto più grande. 7 Sicurezza L’analisi della sicurezza di un qualunque protocollo non é semplice se si vogliono utilizzare dei metodi formali. Ad esempio, il Dolev-Yao model [6] si puó applicare con certi requisiti, tuttavia si é dimostrato [17] che non e’ adeguato quando si trattano primitive come l’esponenziazione discreta. Inoltre la sicurezza di un protocollo puó diventare indecidibile con modelli piú generali [10], poiché l’insieme di stati da considerare puó essere troppo grande o infinito. In questi ultimi anni ’e stato mostrato un certo interesse per provare formalmente la sicurezza dei protocolli password-based utilizzando un ideal-cipher model [1], per il quale sono state date prove della sua applicabilitá [2] anche per SRP. Sfortunatamente é stato dimostrato [23] che la dimostrazione formale della sicurezza di un protocollo secondo lo idealcipher model non significa che valga anche per l’ istanziazione del protocollo stesso. Di conseguenza si puó affermare che ancora non si é stati in grado di provare formalmente la sicurezza di un protocollo password-based. Nonostate questa limitazione formale, il protocollo SRP viene considerato inerentemente sicuro, poiché la sua struttura matematica puó essere ridotta al ben noto schema di Diffie-Hellman [5]. Quindi é possibile dimostrare la sicurezza di SRP considerando la resistenza agli attacchi passivi ed attivi conosciuti, proprio come illustrato nei paragrafi precedenti. 8 Implementazioni La Stanford University supporta attivamente un progetto Open Source 4 che raccoglie un ampia documentazione ed i sorgenti di varie implementazioni per SRP. Il protocollo viene gia’ usato in diverse applicazioni di rete, tra cui SSH, Telnet e TLS; da evidenziare il progetto GnuTLS 5 che offre un insieme di applicazioni e librerie dove SRP è stato integrato con TLS. 4 The Stanford SRP Authentication Project, http:// srp.stanford.edu/ 5 Transport Layer Security Library for the GNU system, www.gnutls.org 10
Il Dipartimento di Sistemi e Informatica dell’Universitá di Firenze sta sviluppando [7,16] l’integrazione di SRP-6 come metodo di autenticazione EAP per sistemi di rete wireles. 9 Conclusioni SRP costituisce un ottimo esempio di come può essere costruito un protocollo di autenticazione e derivazione delle chiavi di sessione, basato solo sulle password degli utenti e che non faccia uso di certificati digitali. Presenta infatti caratteristiche interessanti: • si basa su uno schema ben studiato (Diffie- Hellman), ereditandone i vantaggi e risolvendo la maggior parte delle vulnerabilità; • ha una definizione elegante e semplice: questo è utile per analizzarne la sicurezza e conveniente per l’implementazione; • realizza la mutua autenticazione delle parti; • deriva chiavi di sessione simmetriche; • le credenziali possono facilmente essere generalizzate; • le specifiche sono aperte e documentate. Sembra quindi che SRP, in particolare la versione SRP-6, sia un candidato ideale per essere integrato come protocollo di autenticazione in molte applicazioni dove si voglia adottare uno schema password-based sicuro. Riferimenti bibliografici [1] M. Bellare, D. Pointcheval, and P. Rogaway, “Authenticated key exchange secure against dictionary attacks,” Lecture Notes in Computer Science, vol. 1807, p. 139, 2000. [2] M. Bellare and P. Rogaway, “The AuthA protocol for password-based authenticated key exchange,” Tech. Rep., 2000, contribution to the IEEE P1363 study group for Future PKC Standards. [3] S. M. Bellovin and M. Merrit, “Encrypted key exchange: Password-based protocols secure against dictionary attacks,” AT&T Bell Laboratories, 1992. [4] D. Denning and G. M. Sacco, “Timestamps in key distribution systems,” Tech. Rep., 1981, communications of the ACM. [5] W. Diffie and M. E. Hellman, “New directions in cryptography,” IEEE Transactions on Information Theory, vol. IT-22, no. 6, pp. 644–654, 1976. [6] D. Dolev and A. C. Yao, “On the security of public key protocols,” Stanford, CA, USA, Tech. Rep., 1981. [7] K. D. M. Dorje, “Implementazione del protocollo di autenticazione EAP-SRP-256,” Dip. di Sistemi ed Informatica, December 2006, Master Thesis. [8] Announcing the SECURE HASH STANDARD, Federal Information Processing Standards Publication FIPS 180-2, August 2002. [9] N. Ferguson and B. Schneier, Practical Cryptography. Wiley Publishing Inc., 2003, ISBN 0-471-22894-X. [10] N. Heintze and J. D. Tygar, “A model for secure protocols and their compositions,” Software Engineering, vol. 22, no. 1, pp. 16–30, 1996. [11] P. Hoffman and B. Schneier, “Attacks on cryptographic hashes in internet protocols,” RFC 4270, IETF, 2005. [12] Draft Standard Specifications for Password-based Public Key Cryptographic Techniques, IEEE Working Draft Proposed Standard P1363.2, Rev. D26, 2006. [13] T. Kivinen and M. Kojo, “More modular exponential MODP) diffie-hellman groups for internet key exchange (IKE),” RFC 3526, IETF, 2003. [14] N. Koblitz, A Course in Number Theory and Cryptography, 2nd ed., ser. Graduate Texts in Mathematics. Springer, 1994, no. 114. [15] A. K. Lenstra and E. R. Verheul, “Selecting cryptographic key sizes,” Journal of Cryptology: the journal of the International Association for Cryptologic Research, vol. 14, no. 4, pp. 255–293, 2001. [16] A. Manganaro, “Studio di un metodo di autenticazione per le reti wireless basato sul protocollo SRP- 6.” Dip. di Sistemi ed Informatica, December 2005, Master Thesis. [17] J. Millen and V. Shmatikov, “Symbolic protocol analysis with products and diffie-hellman exponentiation,” 2003. [18] W. Stallings, Cryptography and network security. Prentice Hall, 2006. [19] D. Taylor, T. Wu, N. Mavrogiannopoulos, and T. Perrin. (2006, June) Using SRP for TLS authentication. IETF Internet draft (Work in Progress). [Online]. Available: draft-ietf-tls-srp-12.txt [20] T. Wu, “The secure remote password protocol,” in Proceedings of the 1998 Internet Society Network and Distributed System Security Symposium, San Diego, CA, November 1997, pp. 97–111. [21] ——, “The SRP authentication and key exchange system,” RFC 2945, IETF, 2000. [22] ——, “SRP-6: Improvements and refinements to the secure remore password protocol,” Submission to the IEEE P1363 Working Group, October 2002. [23] Z. Zhao, Z. Dong, and Y. Wang, “Security analysis of a password-based authentication protocol proposed to IEEE 1363,” Theor. Comput. Sci., vol. 352, no. 1, pp. 280–287, 2006. 11
Page 1 and 2: ANALISI DEL PROTOCOLLO SRP (SECURE
Page 3 and 4: Quindi, provando esaustivamente le
Page 5 and 6: nismo di autenticazione. Lo schema
Page 7 and 8: 4.2.1 Secondo esempio di attacco Si
Page 9: indovinare i parametri segreti ad o

ANALISI DEL PROTOCOLLO SRP (SECURE REMOTE PASSWORD)

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?