Protocolos de autenticação

Transcrição

1 Protocolos de autenticação André Zúquete Segurança Informática e nas Organizações 1 Autenticação Definição Prova de que uma entidade é quem afirma ser Olá, sou o Zé Prova-o! Aqui estão as minhas credenciais de como sou o Zé Credenciais aceites/não aceites Tipos de prova Algo que sabemos Um segredo memorizado (ou escrito ) pelo Zé Algo que temos Um objecto possuído apenas pelo Zé Algo que somos A biometria do Zé André Zúquete Segurança Informática e nas Organizações 2 1

2 Autenticação: Objectivos Autenticar entidades interactuantes Pessoas, serviços, servidores, máquinas, redes, etc. Permitir a aplicação de políticas e mecanismos de autorização Autorização autenticação Facilitar a exploração de outras ações no âmbito da segurança eg. distribuição de chaves para comunicação segura André Zúquete Segurança Informática e nas Organizações 3 Autenticação: Requisitos Confiança Quão boa é a provar a identidade de uma entidade? Quão difícil é de subverter? Secretismo Não-divulgação de credenciais usadas pelas entidades legítimas Robustez Impedir ataques às trocas de dados do protocolo Impedir cenários de DoS interactivos Impedir ataques desligados com dicionários Simplicidade Deverá ser tão simples quanto possível para evitar que os utentes escolham simplificações perigosas Lidar com vulnerabilidades introduzidas pelas pessoas Têm uma tendência natural para facilitar ou para tomarem iniciativas perigosas André Zúquete Segurança Informática e nas Organizações 4 2

3 Autenticação: Entidades e modelos de implantação Entidades pessoa Máquinas Redes Serviços / servidores Modelos de implantação Ao longo do tempo Quando a interação se inicia Continuamente ao longo da interação Direcionalidade Unidirecional Bidirecional André Zúquete Segurança Informática e nas Organizações 5 Protocolos de autenticação: Aproximações elementares Aproximação directa Apresentar credenciais Esperar pelo veredicto Aproximação com desafio-resposta Obter desafio Calcular e fornecer uma resposta calculada com base no desafio e nas credenciais Esperar pelo veredicto André Zúquete Segurança Informática e nas Organizações 6 3

4 Autenticação de pessoas: Aproximação directa com senha memorizada Como funciona A senha é confrontada com um valor guardado para a pessoa que se está a autenticar Valor pessoal guardado: Transformação efetuada com a senha + função unidirecional DES hash + salt em UNIX Função de síntese em Windows MD5 em Linux vantagens Simplicidade Problemas DES hash = DES pwd 25 (0) DES kn (x) = DES k (DES k n-1 (x)) Permutação of 12 bit pairs of 48-bit key schedules with salt (12 bits) Utilização de senhas fracas/inseguras Permitem ataques com dicionários Transmissão de senhas em claro em canais de comunicação inseguros Escutas podem revelar senhas eg. serviços remotos do UNIX, PAP 0 pwd DES (1) salt pwd DES (2) salt pwd DES (25) salt =? André Zúquete Segurança Informática e nas Organizações 7 Autenticação de pessoas: Aproximação directa com Biometria Como funciona Uma pessoa autentica-se usando medidas do seu corpo Impressão digital, íris, geometria da face, timbre vocal, escrita manual, etc. Estas medidas são comparadas com um registo pessoal similar (template) Criado no sistema de forma similar mas no âmbito de uma inscrição anterior Vantagens As pessoas não precisam de memorizar nada As pessoas não podem escolher senhas fracas De facto, não escolhem nada As credenciais não podem ser transferidas entre pessoas Problemas A biométrica ainda está incipiente Em muitos casos pode ser enganada facilmente As pessoas não podem mudar de credenciais As credenciais não podem ser transferidas entre pessoas Pode criar riscos para as pessoas Não é fácil efectuar autenticação remota A biometria pode revelar informação pessoal sensível Doenças André Zúquete Segurança Informática e nas Organizações 8 4

5 Autenticação de pessoas: Aproximação directa com senhas descartáveis Senhas descartáveis (one-time passwords) Senhas que se podem usar no máximo uma vez Vantagens Pode ser escutadas, isso não adianta a quem o fizer para personificar o dono da senha Problemas As entidades interactuantes precisam de saber que senhas devem usar em diferentes ocasiões Implica uma qualquer forma de sincronização As pessoas podem precisar de recursos extra para manter ou gerar as senhas descartáveis Folha de papel, programa de computador, dispositivos adicionais, etc. André Zúquete Segurança Informática e nas Organizações 9 Exemplo: RSA SecurID Equipamento de autenticação pessoal Há também módulos de software para dispositivos móveis (PDAs, smartphones) Geram um número único a uma taxa fixa Normalmente um por cada minuto ou meio minuto Associado a uma pessoa (User ID) Número único calculado com base em Uma chave de 64 bits guardada no equipamento A data/hora actual Uma algoritmo exclusivo (SecurID hash) Um PIN extra (apenas para alguns equipamentos) Autenticação com senhas únicas Uma pessoa gera uma OTP combinando o seu User ID com o número apresentado pelo equipamento OTP = User ID, Token Number Um RSA ACE Server faz o mesmo, dado o User ID, e verifica e igualdade Também conhece a chave pessoa guardada no equipamento Tem de haver alguma sincronização extra para lidar com desvios dos relógios RSA Security Time Synchronization Robusta contra ataques com dicionários As chaves não são escolhidas por pessoas André Zúquete Segurança Informática e nas Organizações 10 5

6 Aproximação com desafio-resposta: Descrição genérica Como funciona O autenticador fornece um desafio A entidade a ser autenticada transforma o desafio usando as suas credenciais de autenticação O resultado é enviado para o autenticador O autenticador verifica o resultado Produz um resultado próprio usando a mesma aproximação e verifica a igualdade Produz um valor a partir do resultado e verifica se iguala o desafio ou algum valor relacionado Vantagem As credenciais de autenticação não são expostas Problemas As pessoas tem de ter meios para calcular respostas a partir de desafios Hardware ou software O autenticador poderá ter de manter segredos partilhados Como é que se pode impedir que usem esses segredos noutros locais? Ataques com dicionários autónomos usando pares desafio-resposta André Zúquete Segurança Informática e nas Organizações 11 Autenticação de pessoas: Desafio-resposta com smartcards Credenciais de autenticação O smartcard eg. o Cartão de Cidadão A chave privada guardada no smartcard O PIN de acesso à chave privada O autenticador sabe A chave pública correspondente Protocolo com desafio-resposta O autenticador gera um desafio aleatório Ou nunca antes usado (nonce) O dono do smartcard cifra o desafio com a sua chave privada Guardada no smartcard, protegida pelo PIN O autenticador decifra o resultado com a chave pública Se o resultado for igual ao desafio, a autenticação teve sucesso André Zúquete Segurança Informática e nas Organizações 12 6

7 Autenticação de pessoas: Desafio-resposta com senha memorizada Credenciais de autenticação Senha selecionada pelo utente O autenticador sabe Uma transformação da senha Preferencialmente unidirecional Protocolo com desafio-resposta elementar O autenticador gera um desafio aleatório Ou nunca antes usado (nonce) O utente calcula uma transformação unidirecional do desafio e da senha eg. uma síntese comum, resposta = síntese (desafio, senha) O autenticador faz o mesmo Se os resultados forem iguais, a autenticação teve sucesso Exemplos CHAP, MS-CHAP v1/v2, S/Key André Zúquete Segurança Informática e nas Organizações 13 PAP e CHAP (RFC 1334, 1992, RFC 1994, 1996) Protocolos usados com PPP (Point-to-Point Protocol) Autenticação unidirecional O autenticador não se autentica, ou não é autenticado PAP (PPP Authentication Protocol) Apresentação simples de um par UID/senha Transmissão (insegura) da senha em claro CHAP (CHallenge-response Authentication Protocol) Aut U: authid, desafio U Aut: MD5(authID, senha, desafio) Aut U: OK/not OK O autenticador pode requerer a autenticação em qualquer instante André Zúquete Segurança Informática e nas Organizações 14 7

8 MS-CHAP (Microsoft CHAP) (RFC 2433, 1998, RFC 2759, 2000) Version 1 A U: authid, C U A: R A U: OK/not OK Version 2 A U: authid, C A m1 U A: C U, R u m2 A U: OK/not OK, R A R = DES PH (C) PH = LMPH ou NTPH LMPH = DEShash(senha) NTPH = senha R U = DES PH (C) C = SHA(C U, C A, username) PH = MD4(senha) R A = SHA(SHA(MD4(PH), R1 u, m1), C, m2) Autenticação mútua As senhas podem ser alteradas André Zúquete Segurança Informática e nas Organizações 15 MS-CHAP v2 senha MD4 nome C A SHA-1 C DES R U C U R A SHA-1 SHA-1 MD4 m2 m1 nome m1 = AuthID, C A m2 = C U,R U ok/nok, R A André Zúquete Segurança Informática e nas Organizações 16 8

9 S/Key (RFC 2289, 1998) Credenciais de autenticação A senha O autenticador sabe A última chave única (one-time password, OTP) O índice da última OTP usada Define a ordem relativa entre OTP consecutivas Uma semente (ou raíz) de todas as OTP Preparação do autenticador O autenticador define uma semente aleatória A pessoa gera a OTP inicial (OTP n ) da seguinte forma: OTP n = h n ( semente, senha ), where h = MD4 Há versões do S/Key que usam MD5 ou SHA-1 em vez de MD4 O autenticador guarda semente, n (o índice) e OTPn como elementos de validação da autenticidade semente senha MD4 MD4 MD4 MD4 OTP 1 OTP 2 OTP n André Zúquete Segurança Informática e nas Organizações 17 S/Key Protocolo de autenticação O autenticador envia a semente e o índice pessoais Servem como desafio O utente gera índice-1 OTP consecutivas E seleciona a última, OTP iíndice-1, como resultado O autenticador calcula h (resultado) e compara o valor produzido com o OTP índice que tem armazenado Se os valores forem iguais, a autenticação teve sucesso Em caso de sucesso, guarda os últimos valores usados para o índice e para a OTP índice-1 e OTP índice-1 André Zúquete Segurança Informática e nas Organizações 18 9

10 Autenticação de pessoas: Desafio-resposta com uma chave partilhada Usa uma chave criptográfica partilhada em vez de uma senha Mais robusto contra ataques de dicionário Requer um dispositivo para guardar a chave Exemplo: GSM André Zúquete Segurança Informática e nas Organizações 19 GSM: Arquitectura de Autenticação Baseada numa chave secreta partilhada entre o HLR e o telefone móvel 128 Ki, guardada no cartão SIM do telefone móvel Só pode ser usada após a introdução do PIN de desbloqueio Algoritmos (inicialmente não públicos): A3 para autenticação A8 para gerar a chave de sessão A5 para cifrar a comunicação A3 e A8 realizados pelo cartão SIM Podem ser escolhidos pelo operador André Zúquete Segurança Informática e nas Organizações 20 10

11 GSM: Autenticação de um terminal móvel MSC pede 5 trios ao HLR/AUC (RAND, SRES, Kc) HLR gera 5 RAND e os correspondentes trios usando Ki do subscritor RAND (128 bits) = valor aleatório SRES (32 bits) = A3 (Ki, RAND) Kc (64 bits) = A8 (Ki, RAND) Normalmente os operadores usam COMP128 para o A3/A8 Recomendada pelo GSM Consortium [SRES, Kc] = COMP128 (Ki, RAND) André Zúquete Segurança Informática e nas Organizações 21 Autenticação de máquinas Por nome ou endereço Nome DNS, endereço IP, endereço MAC, outros Extremamente fraco, sem prova criptográfica Mesmo assim, usada por alguns serviços eg. NFS, TCP wrappers Com chaves criptográficas Chaves secretas partilhadas com interlocutores comuns Pares de chaves assimétricas por máquina Chaves públicas certificadas por terceiros Chaves públicas pré-partilhadas com interlocutores comuns André Zúquete Segurança Informática e nas Organizações 22 11

12 Autenticação de serviços/servidores Autenticação da máquina hospedeira Todos os serviços co-localizados são automaticamente e indirectamente autenticados Credenciais próprias do serviço Autenticação: Chaves secretas partilhadas com clientes Quando envolvem a autenticação dos clientes com as mesmas Pares de chaves assimétricas por máquina/serviço Certificadas por terceiros ou não André Zúquete Segurança Informática e nas Organizações 23 SSH (Secure Shell) Autenticação do servidor com um par de chaves assimétricas Distribuição da chave pública no âmbito da interação Os clientes guardam as chaves públicas que já usaram A guarda deve ocorrer após um contacto num ambiente confiável A alteração do par de chaves do servidor cria um problema aos seus utentes habituais Autenticação do cliente Nome de utente + senha Nome de utente + chave privada A chave pública tem de ser pré-instalada no servidor André Zúquete Segurança Informática e nas Organizações 24 12