ANALISI DEL PROTOCOLLO SRP (SECURE REMOTE PASSWORD)

More documents

Recommendations

Info

Client Attaccante Server K S1 = (Ω AB ) a A −→ Ω ←− AB Ω AB = g i K S1 = A i K S2 = B i Ω AB −→ B ←− K S2 = (Ω AB ) b Tabella 2: Man-in-the-middle attack nel Diffie-Hellman Key Exchange: le operazioni si intendono modulo n. Clogging Attacks Un altro problema dello schema Diffie-Hellman è la vulnerabilità ai cosiddetti Clogging Attacks, ovvero i casi in cui un attaccante sommerga una delle parti con richieste contenenti i valori A ′ o B ′ ottenuti da esponenziazione discreta. In questo modo il ricevente è costretto a rispondere, calcolando la chiave di sessione per ogni richiesta, sprecando risorse di calcolo. Replay Attacks Così come è definito, lo schema Diffie-Hellman non offre protezione da attacchi di tipo Replay, ovvero in cui un attaccante utilizzi i dati di una precedente comunicazione tra client e Server per tentare successivamente di impersonare una delle parti. 2.3 Sicurezza dei parametri L’utilizzo della funzione di esponenziazione discreta in sistemi basati sullo schema Diffie-Hellman pone degli interrogativi sulla corretta scelta dei parametri, in particolare di g ed n. Si parla in questo caso di sicurezza, poichè, senza un controllo sulle caratteristiche dei valori, si rende praticabile ad un attaccante la possibilità di ottenere la chiave simmetrica [9, Chapter 12]. 2.3.1 Requisiti matematici Il primo aspetto legato alla sicurezza di un protocollo basato sullo schema DH è che le parti in comunicazione possano verificare l’aderenza ai requisiti matematici di n e g, ovvero: • la primalità di n; • che n verifichi le proprietá di safe prime 1 ; • che g sia effettivamente una radice primitiva per n. 1 Cioé che n sia un numero primo sufficientemente grande e nella forma 2q + 1, con q anch’esso primo. Questi tipi di test sono peró computazionalmente molto onerosi, di conseguenza, nell’utilizzo pratico, si pone come requisito l’appartenenza ad un insieme predefinito di valori che già verificano le proprietà richieste. Si veda ad esempio [13]. 2.3.2 Dimensione di n Il secondo aspetto è quanto grande debba essere n e, di conseguenza, il numero di bit con cui lo si andrà a rappresentare. Si è visto, infatti, che l’esponenziazione discreta fonda la sua one-wayness sull’impraticabilità di effettuare i tentativi necessari per calcolare il logaritmo discreto (si veda l’esempio al paragrafo 2.1): questo è fortemente dipendente dalla grandezza di n che, ai fini pratici, si lega al numero di bit che lo rappresentano. Le usuali stime di sicurezza sulla lunghezza delle chiavi crittografiche simmetriche (tipicamente di 128 o 256 bit) non si possono applicare a questo contesto, in quanto le operazioni di esponenziazione sono molto più lente per un calcolatore rispetto a quelle di encryption. Infatti, obbligare un attaccante a 2 128 tentativi per attaccare lo schema Diffie-Hellman richiede circa 6800 bit per n [9]. Una autorevole pubblicazione in cui si affronta questo problema è [15], dalla cui lettura ci si può convincere che una dimensione di 2048 bit dovrebbe essere il minimo assoluto e che l’utilizzo di 4096 bit offra un adeguato livello di sicurezza. 3 Schema generale di SRP SRP si ispira ad un schema pubblicato in [3] e formalmente noto come EKE (Encrypted Key Exchange). Da questo schema sono stati derivati poi principalmente il protocollo DH-EKE (Diffie Hellman EKE), e lo schema AKE (Asymmetric Key Exchange), che è una generalizzazione di SRP. In SRP viene adottata una forma del Diffie- Hellman Key Exchange a cui si aggiunge un mecca- 4
nismo di autenticazione. Lo schema generale del protocollo comprende gli elementi mostrati nella tabella 3: si sfruttano le caratteristiche della funzione di esponenziazione discreta e della sua inversa, il logaritmo discreto. Elementi fondamentali per il protocollo SRP sono che permette la mutua autenticazione delle parti e che tutti i messaggi scambiati sono “in chiaro”. n un numero primo molto grande g una radice primitiva di n s una stringa casuale P la password dell’utente x una chiave privata, derivata da P e da s u un valore casuale a,b chiavi private temporanee A,B le chiavi pubbliche temporanee H( ) una funzione one-way di hash K la chiave di sessione Tabella 3: Notazione matematica per SRP 3.1 Operazioni modulo n I calcoli vengono operati all’interno di un campo finito GF(n) con n primo molto grande e tutte le operazioni si intendono modulo n: tale valore e g sono fissati e si suppone siano noti alle parti, mentre a partire da SRP-6 (paragrafo 6) spetta al Server comunicarli esplicitamente. Per i valori di n e g le implementazioni di SRP usano come riferimento un insieme perdefinito di valori, definiti in [19]. 3.2 Funzioni di hash SRP richiede una funzione di hash H ritenuta sicura e che produca un output di almeno 16 byte: la famiglia di funzioni SHA [8] in genere è considerata adeguata e viene usata in tutte le implementazioni conosciute di SRP. Riguardo la sicurezza delle funzioni di hash, vale la pena citare [11], un autorevole punto di vista di P. Hoffman e B. Schneier, dove vengono illustrate le effettive problematiche di sicurezza degli attuali algoritmi disponibili. 3.3 Inizializzazione dei valori Alla creazione dell’account del Client, il Server conserva temporaneamente nel proprio database la userID I e la password P dell’utente, generando un valore casuale s (detto salt) relativo a tale account e procedendo con i seguenti calcoli x = H(s,I,P) v = g x detto verifier Conseguentemente il Server conserva i seguenti dati relativi al client (I,s,v) cancellando dal proprio database la password del client: questo fatto è cruciale, poichè facilita la gestione delle politiche di sicurezza del server e semplifica il protocollo. 4 SRP-1 La prima versione di SRP è stata definita in [20] e viene indicata in questo documento come SRP-1. Per realizzare l’accesso alla rete e l’autenticazione il client ed il Server procedono con uno scambio di messaggi non cifrati nel seguente modo (illustrato nella tabella 4): Client (g,n) ←→ 1. −→ 2. x = H(s,I,P) s ←− 3. A = g a A −→ I B,u Server ricerca (I,s,v) 4. ←− B = v + g b 5. S = (B − g x ) a+ux S = (Av u ) b 6. K = H(S) K = H(S) 7. M 1 = H(A,B,K) M −→ 1 verifica M1 M 8. verifica M 2 2 ←− Tabella 4: Funzionamento di SRP-1 1. Il client invia il proprio userdID I; M2 = H(A,M 1 ,K) 2. Il Server cerca la tripla (I,s,v) corrispondente ed invia s; 3. Il client genera 1 < a < n casuale, calcola A e la invia al Server; 4. Il Server genera 1 < b < n ed u casuali, calcola B e li invia al Client; 5. Entrambe le parti calcolano il valore esponenziale comune S, utilizzando i parametri a disposizione. 5
Page 1 and 2: ANALISI DEL PROTOCOLLO SRP (SECURE
Page 3: Quindi, provando esaustivamente le
Page 7 and 8: 4.2.1 Secondo esempio di attacco Si
Page 9 and 10: indovinare i parametri segreti ad o
Page 11 and 12: Il Dipartimento di Sistemi e Inform

ANALISI DEL PROTOCOLLO SRP (SECURE REMOTE PASSWORD)

Create successful ePaper yourself

Delete template?

Save as template?