ANALISI DEL PROTOCOLLO SRP (SECURE REMOTE PASSWORD)

More documents

Recommendations

Info

Solo se la password dell’utente utilizzata al passo 2 corrisponde con quella usata dal Server per generare s,v si otterrà il medesimo valore di S; 6. Entrambe le parti derivano la chiave di sessione K; 7. Il client calcola M 1 , la prova che ha derivato la chiave di sessione in modo corretto, e la invia al Server che effettua lo stesso calcolo e verifica la corrispondenza; 8. Analogo a sopra dal lato Server, con M 2 . Tralasciando per ora i dettagli dei calcoli utilizzati, è facile notare che i passi 3-6 corrispondono ad una variante del Diffie-Hellman (DH) Key Exchange 2 , per cui il problema di ottenere K solo dalle informazioni scambiate in chiaro è facilmente riducibile a quello di DH e alla supposta one-wayness dell’esponenziazione discreta. Da questo deriva la resistenza di SRP agli attacchi passivi. Teorema 4.1 (Simmetria della chiave in SRP-1) Se la password P è simmetrica, allora anche la chiave di sessione K è simmetrica. Dimostrazione: La simmetria della password P implica che il Server produca i parametri (s,x,v) nel modo descritto nel paragrafo 3.3 e che anche x sia simmetrica. Poichè K è ottenuta tramite un hash di S è sufficiente mostrare che client e Server calcolino lo stesso S. Per questo si osservino i seguenti passaggi (tutte le operazioni si intendono modulo n) S = (B − g x ) a+ux = = ((v + g b ) − g x ) a+ux = ((v + g b ) − v) a+ux = = (g b ) a+ux = (g b ) a (g b ) ux = (g a ) b (g b ) ux = (A) b (g ux ) b = = (A) b ((g x ) u ) b = (A) b (v u ) b = = (Av u ) b = S □ 4.1 Il parametro B Se si fosse seguito lo schema classico del DH Key Exchange, sarebbe stato possibile calcolare al passo 4 B = g b invece di B = v + g b Sfortunatamente tale semplificazione esporebbe il protocollo ad un active dictionary attack, dove un attaccante, che si finge Authentication Server, convince il client ad effettuare un tentativo di autenticazione dopo aver catturato il valore s da una precedente sessione tra client e Server. 2 Si confronti con la tabella 1. 4.1.1 Primo esempio di attacco Si utilizzi la tabella 4 come riferimento, supponendo di calcolare B = g b e di aver catturato s in precedenza: 1. il client invia il proprio userID I all’attaccante; 2. l’attaccante invia al client il valore s catturato in precedenza; 3. il client invia il proprio esponenziale residuo A; 4. l’attaccante genera i propri b ed u, calcola il proprio esponenziale residuo (B = g b ) ed invia B,u; 5. il client calcola la propria chiave di sessione K ed invia la prova M 1 del suo possesso; 6. l’attaccante simula un network failure o semplicemente notifica al client che la password non è corretta. A questo punto l’attaccante possiede M 1 che è calcolato dal client utilizzando una chiave di sessione “pilotata” dai valori B ed u forniti dal falso Server. Quest’ultimo così è in grado di cercare x = H(s,I,P) tale che verifichi M 1 tramite tentativi su P basati su un dizionario di termini e caratteri probabili. Poichè l’attacco parte da chi non conosce il vero valore di v è necessario fare in modo che questo condizioni il valore di B e, di conseguenza quello di M 1 , impedendo in questo modo l’attacco descritto. Per questo motivo si combinano i due valori tramite una opportuna funzione f (v,g b ) con particolare attenzione al modo in cui vengono scelti v e g b (devono rispondere a dei requisti illustrati in [20]). L’addizione modulare dei termini v + g b sembra essere la soluzione più semplice; le successive versioni SRP-3 e SRP-6 differiscono leggermente in questo aspetto (si veda il paragrafo 6.1). 4.2 Il parametro u Lo scopo del parametro u è quello di proteggere dalla compromissione dei dati dell’utente presso il Server, in particolar modo nel caso del furto del verifier v da parte di un attaccante. Il requisito fondamentale è che u non sia noto a priori e venga inviato solo al passo 3; questo fatto si spiega immaginando il seguente scenario. 6
4.2.1 Secondo esempio di attacco Si supponga che l’attaccante abbia rubato il verifier v relativo all’utente I, possegga u e si finga tale utente presso il Server: 1. l’attaccante invia lo userID I dell’utente che vuole impersonare; 2. il server procede come già visto, inviando s; 3. l’attaccante calcola A = g a v −u invece di usare la formula prestabilita ed invia tale risultato al Server; 4. il server calcola ed invia B = v + g b regolarmente all’attaccante; 5. l’attaccante calcola S nel seguente modo S = (B − v) a inviando la prova M 1 al Server; 6. il Server procede e l’attaccante guadagna l’accesso impersonando l’utente I, derivando la chiave di sessione K. Questo attacco funziona perchè il Server calcola come già visto il valore S = (Av u ) b , ma a causa del calcolo al passo 3 succede che S = (Av u ) b = (g a v −u v u ) b = g ab quindi è evidente che l’attaccante il passo 5 ottiene proprio lo stesso S S = (B − v) a = ((v + g b ) − v) a = (g a ) b = g ab = S e si dimostra che è necessario non rivelare u sino al ricevimento di A da parte del Server. 4.3 Resistenza agli attacchi passivi I parametri scambiati in chiaro tra le parti non possono essere usati da un attaccante per ottenenere le informazioni private; qui di seguito lo dimostriamo spiegando il comportamento di SRP con gli attacchi di questo tipo. 4.3.1 Attacco alla chiave di sessione Come già affermato nel paragrafo 4 il problema di ottenere S o K solo dalle informazioni scambiate in chiaro si basa alla supposta one-wayness della esponenziazione discreta. Si dovrebbe infatti poter calcolare il logaritmo discreto sui valori A e B, ma questo è considerato computazionalmente non praticabile. In alternativa, si potrebbe tentare un attacco con forza bruta su M 1 o M 2 per ottenere direttamente K, poichè M 1 = H(A,B,K) M 2 = H(A,M 1 ,K) ed i parametri A,B,M 1 ,M 2 sono tutti pubblici. Questo tipo di attacco con SRP-1 è limitato dall’output della funzione hash in uso: in SHA-1 si hanno 128 bit, quindi si richiederà in media uno sforzo nell’ordine di 2 127 per ottenere tutti i candidati per K. 3 4.3.2 Attacco di Denning-Sacco Si tratta di una situazione illustrata per la prima volta in [4]; siamo nel caso in cui un attaccante sia riuscito in qualche modo a derivare la chiave di sessione K in uso tra client ed Authentication Server e la voglia usare per impersonare il client. Si può dimostrare che SRP-1 è resistente a questo tipo di attacco, infatti anche se l’attaccante possiede K non è in grado di derivare informazioni sulla password utilizzando M 1 e M 2 . Entrambi i valori sono calcolati solo sulla base di parametri inviati in chiaro e su K stessa. Per come sono stati definiti i parametri x, S e K, si ha che trovare una certa password P ′ che verifichi la chiave K posseduta, si riduce ad un attacco con forza bruta. 4.3.3 Attacchi basati su dizionario Un attacco basato su un dizionario di termini probabili per la password non è praticabile: P influenza solo i valori di x e v, che sono noti solo alle parti legittime. L’attaccante, per ciscuno dei valori x ′ ottenuti dal proprio dizionario, dovrebbe procedere esaustivamente per trovare i valori a o b che verifichino rispettivamente M 1 o M 2 . Infatti M 1 = H(A,B,H((B − g x ) a+ux )) M 2 = H(A,M 1 ,H(A((g x ) u ) b )) ma a e b sono valori casuali. 4.4 Resistenza agli attacchi attivi La vulnerabilità evidenziata per lo schema di Diffie- Hellman agli attacchi Man-in-the-Middle, non è più applicabile a SRP. La modifica dei valori A e B causa 3 Si parla di candidati, poichè M 1 e M 2 sono il risultato di una funzione one-way: una ricerca esaustiva potrebbe portare dei falsi positivi a causa di una collisione nella funzione di hash. 7
Page 1 and 2: ANALISI DEL PROTOCOLLO SRP (SECURE
Page 3 and 4: Quindi, provando esaustivamente le
Page 5: nismo di autenticazione. Lo schema
Page 9 and 10: indovinare i parametri segreti ad o
Page 11 and 12: Il Dipartimento di Sistemi e Inform

ANALISI DEL PROTOCOLLO SRP (SECURE REMOTE PASSWORD)

Create successful ePaper yourself

Delete template?

Save as template?