ANALISI DEL PROTOCOLLO SRP (SECURE REMOTE PASSWORD)

More documents

Recommendations

Info

e che gode delle seguenti proprietà: 1. φ(1) = 1 2. se p ∈ P =⇒ φ(p) = (p − 1) 3. se p ∈ P =⇒ φ(p n ) = (p n − p n−1 ) = p n (1 − 1 p ) 4. se (m,n) = 1 =⇒ φ(mn) = φ(m)φ(n) Teorema 2.1 (di Eulero - s.d.) Dati a ∈ Z e n ≥ 1 tali che siano relativamente primi tra loro, cioè si ha che □ (a,n) = 1 a φ(n) ≡ n 1 (1) Definizione 2 (Radice primitiva) Siano α , n ∈ N tali che (α,n) = 1, si definisce come ordine di α modulo n la seguente quantità ord n (α) = min{i > 0 | α i ≡ n 1} Dal teorema di Eulero avremo necessariamente che ord n (α) ≤ φ(n) Allora si dirà che α è radice primitiva di n se vale che ord n (α) = φ(n) (2) In generale si ha che vale il seguente risultato Teorema 2.2 (Forma delle radici primitive - s.d.) Un numero n ha radici primitive se e solo se è nella forma dove □ 2 , 4 , p α , 2p α p ∈ P , p > 2 , α > 1 Consideriamo adesso un certo α radice primitiva di n. Per quanto appena visto vale che (α,n) = 1 ma dalla teoria dei numeri sappiamo che in questo caso esiste un unico α −1 mod n Dati quindi i seguenti valori α 1 , α 2 , ... , α φ(n) valgono le seguenti considerazioni: • i valori elencati sono tutti diversi tra loro (modulo n) • i valori elencati sono tutti relativamente primi con n, poichè già vale che (α,n) = 1. Di conseguenza questo varrà anche modulo n e che quindi {α 1 mod n , α 2 mod n , ... , α φ(n) mod n} = Z ∗ p Basandoci sulle precedenti considerazioni si introduce la seguente Definizione 3 Sia p ∈ P e α radice primitiva di p, si definiscono le seguenti funzioni dove exp α,p : Z ∗ p → Z ∗ p , ind α,p : Z ∗ p → Z ∗ p exp α,p (i) = (α i mod p) (3) è detta esponenziazione discreta. Mentre ind α,p (a) = min{i > 0 | α i mod p = a} (4) è detto logaritmo discreto. Concludendo abbiamo che la funzione di esponenziazione è biettiva e risulta che ind α,p = exp −1 α,p 2.1.1 One-wayness della esponenziazione discreta La funzione di esponenziazione discreta è supposta essere di tipo one-way e quindi il calcolo di ind α,p (n) con p molto grande non è computazionalmente praticabile. Infatti, uno dei modi per ottenere il logaritmo discreto è quello di provare tutte le potenze di α finchè non si trova l’esponente giusto, ma con numeri grandi questo richiede molte risorse di calcolo. Esistono anche strategie più sofisticate ed efficienti, come il Pollard’s rho method [13] che comunque si vanificano con adeguate grandezze di p. Esempio Supponiamo sia dato ind 2,19 (9) = h e che si voglia ottenere h procedendo per tentativi. Dalla definizione avremo che h = min{i > 0 | 2 i mod 19 = 9} 2
Quindi, provando esaustivamente le potenze di α si ottiene ... ... 2 5 ≡ 19 13 2 6 ≡ 19 7 2 7 ≡ 19 14 2 8 ≡ 19 9 concludendo, in questo caso, che h = 8. 2.2 Diffie-Hellman Key Exchange Il Diffie-Hellman Key Exchange è un protocollo che si basa sulla funzione di esponenziazione discreta e sulle proprietà della sua inversa, il logaritmo discreto (paragrafo 2.1). Il suo scopo è, essenzialmente, quello di far derivare in modo sicuro chiavi simmetriche a due parti in comunicazione. 2.2.1 Funzionamento In un modello client-Server, il funzionamento è il seguente Client (g,n) ←→ Server 1. 2. a < n 3. A = g a mod n A −→ 4. b < n 5. ←− B = g b mod n 6. K S = B a mod n K S = A b mod n Tabella 1: Funzionamento del Diffie-Hellman Key Exchange 1. Le parti devono concordare su due valori pubblici: n ∈ P molto grande g radice primitiva di n e tale che g < n 2. Il client genera un numero casuale a < n tenendolo segreto 3. Il client inoltre calcola A = g a mod n inviandolo al Server 4. Il Server genera un numero casuale b < n tenendolo segreto 5. Il Server infine calcola B = g b mod n inviandolo al client B 6. Le parti calcolano la medesima chiave di sessione K S client −→ K S = B a mod n Server −→ K S = A b mod n Il fatto che client e Server derivino la stessa K S si dimostra osservando i seguenti passaggi K S = B a mod n = = (g b mod n) a mod n = (g b ) a mod n = = (g a ) b mod n = (g a mod n) b mod n = = A b mod n = K S dove effettivamente il primo e l’ultimo corrispondono ai calcoli svolti, rispettivamente da client e Server, per ottenere la chiave di sessione. 2.2.2 Sicurezza L’unica strategia che ha un attacante per ricavare K S dalle informazioni pubbliche (g, n, A, B) è cercare di ricavare uno dei due valori privati, cioè calcolando a = ind g,n (A) oppure b = ind g,n (B) ma come si è visto nel paragrafo 2.1 questo è un problema non praticabile con n opportunatamente grande. 2.2.3 Vulnerabilità Le principali vulnerabilità note del protocollo di Diffie-Hellman riguardano gli attacchi Man-in-the- Middle e di Clogging. Man-in-the-Middle Attack Come evidenziato in [18] questo protocollo è suscettibile ad attacchi di tipo Man-in-the-Middle, a causa della mancanza di un meccanismo di autenticazione che permetta di stabilire l’autenticità delle chiavi. L’attacco funziona con una terza parte che si interpone nella comunicazione tra client e Server e procede come segue (ricordando che n e g sono noti): 1. genera un numero casuale i < n e calcola Ω AB = g i mod n 2. invia Ω AB a client e Server A questo punto l’attaccante è in grado di derivare due chiavi di sessione distinte K S1 = A i mod n K S2 = B i mod n che gli permettono di avviare due canali cifrati indipendenti con client e Server che però rimarranno convinti di comunicare l’uno con l’altro. 3
Page 1: ANALISI DEL PROTOCOLLO SRP (SECURE
Page 5 and 6: nismo di autenticazione. Lo schema
Page 7 and 8: 4.2.1 Secondo esempio di attacco Si
Page 9 and 10: indovinare i parametri segreti ad o
Page 11 and 12: Il Dipartimento di Sistemi e Inform

ANALISI DEL PROTOCOLLO SRP (SECURE REMOTE PASSWORD)

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?