Segurança em Redes de Computadores

Transcrição

1 Resumo Segurança em Redes de Computadores Enfoques para Autenticação de Mensagem Criptografia de chave pública - princípios Criptografia de chave pública - algoritmos Assinaturas digitais Gerência de chaves Capítulo 3 Autenticação de mensagem e Criptografia de chave pública Slides por H. Johnson & S. Malladi Modificados por S. J. Fritz, 2006 Modificados e traduzidos por P.S. Nicolletti, Enfoques para autenticação de mensagem Introdução Enfoques para autenticação de Mensagem Com Criptografia Simétrica Uma mensagem, arquivo, documento ou dado é dito como autêntico quando ele é genuíno e é oriundo da fonte alegada Criptografia protege-os contra ataques passivos (espionagem) Autenticação de mensagem protege-os contra ataques ativos (falsificações e intrusões) Usando criptografia simétrica Assumindo que somente o remetente e o destinatário conhecem a chave Uma mensagem devidamente criptografada pelo remetende deve poder ser aberta somente pelo destinatário Usualmente contém código de detecção de erro, número de sequência e selo de tempo (time stamp) Requisitos deve ser capaz de verificar que: Mensagem vem da fonte ou autor aparente Conteúdo não foi alterado Eventualmente, se a mensagem incluir algum número de sequência, ela foi enviada na sequência correta 3 4 1

2 Enfoques para autenticação de mensagem Com Código de Autenticação de mensagem Autenticação de mensagem sem criptografia da mensagem Um código de autenticação de mensagem (Message Authentication Code MAC) é gerado em função da mensagem (M) e de uma chave secreta (K), compartilhada exclusivamente por transmissor e receptor, e anexado à mensagem MAC = F(K, M) A mensagem é transmitida ao receptor O receptor aplica a mesma função e verifica autenticidade da mensagem Não há tendência à criptografia quando: A mesma mensagem é distribuída para muitas pessoas Enfoques para autenticação de mensagem Código de autenticação de mensagem Diferente de criptografia MAC não precisa ser reversível como deve ocorrer com a criptografia Devido a propriedades matemáticas ele é mais robusto a ataques (cripto-análise) do que a criptografia em si Muitos algoritmos criptográficos podem ser usados para gerar MAC NIST/FIPS PUB 113 recomenda DES para gerar versão criptografada da mensagem e últimos 16 ou 32 bits são usados como MAC Códigos de 16 a 32 bits são típicos O destinatário (hospedeiro) tem carga pesada de processamento e não pode/quer ficar decriptografando toda mensagem que recebe somente as com absoluta necessidade usam criptografia Não há perigo no envio de mensagem não criptografada (mas é preciso garantir sua autenticidade e integridade) 5 6 Enfoques para autenticação de mensagem Função HASH injetora (one-way) Enfoques para autenticação de mensagem Função HASH injetora (one-way) Alternativa para MAC gerado por criptografia Aceita uma mensagem de tamanho variável na entrada (M) e produz um código resumo de mensagem de tamanho fixo (D) D = H(M) 7 8 2

3 Enfoques para autenticação de mensagem Função HASH injetora (one-way) Princípios Todos os enfoques tem vantagens sobre criptografia (total) de mensagem Software de criptografia é (em geral) lento Hardware de criptografia não tem custo desprezível Hardware de criptografia é otimizado para grandes quantidades de dados Algoritmos de criptografia podem ser protegidos por patentes A alternativa (C), inclusive, não usa criptografia alguma Como o valor secreto não segue com a mensagem, é impossível para um oponente modificar a mensagem (nem mesmo gerar uma mensagem falsa) Uma variação dessa técnica, chamada HMAC, é adotada para IPsec (cap. 6) e SNMPv3 (cap. 8) Finalidade da função HASH (H) é produzir uma impressão digital da mensagem É usada em autenticação de mensagem e assinatura digital Requisitos: H pode ser aplicada a blocos de dados de quaisquer tamanhos H produz uma saída de tamanho fixo H(x) é fácil de calcular para qualquer x Para qualquer valor h, deve ser computacionalmente impraticável achar x tal que H(x) = h (one-way property) Para qualquer bloco x, deve ser computacionalmente impraticável achar y x tal que H(y) = H(x) (weak collision resistance) Deve ser computacionalmente impraticável achar qualquer par (x, y) tal que H(x) = H(y) (strong collision resistance) 9 10 Funções HASH simples Funções HASH simples Princípios gerais Entrada é uma sequência de blocos de n bits Entrada é processada um bloco por vez Um exemplo simples é o XOR de cada bloco C i = b i1 b i2 b im C i é i-ésimo bit do código hash 1 i n m é o número de blocos da entrada b ij é i-ésimo bit do j-ésimo bloco É a operação XOR Para aumentar a performance um deslocamente circular de um bit pode ser incluído no valor hash após o processamento de cada bloco Inicialmente define-se o valor do bloco de n-bits hash para zero Processa cada bloco sucessivo de n bits fazendo: Rotaciona o bloco hash corrente à esquerda por 1 bit Realiza XOR do bloco de dados atual com o bloco hash

4 SHA SHA O Secure Hash Algorithm (SHA) foi desenvolvido pelo National Institute of Standards and Technology (NIST) e publicado em 1993 como FIPS 180 SHA-1 é uma versão revisada de 1995 e publicada como FIPS Em 2002 NIST divulgou mais uma versão publicada como FIPS (SHA- 256, SHA-384, SHA-512) Ele recebe como entrada uma mensagem de até bits e produz uma impressão digital de até 512 bits (64 bytes) Ele processa blocos de 512 ou 1024 bits na entrada SHA-1 SHA-256 SHA-384 SHA-512 Tam. impressão digital Tam. Mensagem <2 64 <2 64 <2 128 <2 128 Tam. Bloco Tam. Palavra Nro de passos Segurança Obs. Tamanho é sempre em bits Segurança é probabilidade de colisão = 1 / 2 n-1 14 SHA Outras funções HASH seguras MD5 (Message Digest Algorithm 5) Desenvolvido por Ron Rivest (RFC 1321) Entrada de qualquer tamanho, processada em blocos de 512 bits, saída de 128 bits Segurança para MD5(x) = MD5(y), x y, 2 64 Segurança para dado y, achar MD5(x) = y, Whirlpool Desenvolvido por Vincent Rijmem (co-inventor do AES) e Paulo Barreto (um brasileiro) É um dos dois únicos mecanismos adotados pelo NESSIE (New European Schemes for Signatures, Integrity and Encryption) Entrada de até bits, processada em blocos de 512 bits, saída de 512 bits Segurança para W(x) = W(y), x y, Segurança para dado y, achar W(x) = y,

5 HMAC (RFC 2104) Princípios de Criptografia de Chave Pública Introdução Usa um MAC derivado de código hash criptográfico Escolhido como padrão para implementar MAC para segurança no IPsec (RFC 2104) Usado em TLS (Transport Layer Security, substituto do SSL (Secure Socket Layer)) e SET (Secure Eletronic Transation) Criptografia de chave pública, publicada por Diffie e Hellman em 1976, foi o primeiro verdadeiro e revolucionário avanço na criptografia em milhares de anos Seus algoritmos são baseados em funções matemáticas ao invés de operações em bits (XOR, OR, etc.) É assimétrica implica no uso de duas chaves tem grandes consequências em confidencialidade, distribuição de chaves e autenticação Princípios de Criptografia de Chave Pública Estrutura Princípios de Criptografia de Chave Pública Estrutura Um esquema de criptografia de chave pública tem seis elementos Texto não criptografado (Plain text P) Algoritmo de criptografia (Encryption E) Chave pública (PUa) e chave privada (PRa) de uma entidade a Texto criptografado (Cipher text C) Algoritmo de decriptografia (Decryption D) Como sugerem os nomes, a chave pública é divulgada para uso pelas entidades parceiras e a chave privada deve permanecer secreta para uso exclusivo do proprietário

6 Princípios de Criptografia de Chave Pública Aplicações Princípios de Criptografia de Chave Pública Aplicações Três categorias Criptografia/decriptografia: O remetente criptografa uma mensagem com a chave pública de um destinatário Assinatura digital: O remente assina uma mensagem com sua chave privada Troca de chave: Duas entidades cooperam para trocar uma chave de sessão (entidade com chave privada envia chave de sessão p/ entidade com chave pública) Algoritmo Criptografia / Decriptografia Assinatura Digital Troca de Chave RSA Sim Sim Sim Diffie-Hellman Não Não Sim DSS Não Sim Não Elliptic Curve Sim Sim Sim Princípios de Criptografia de Chave Pública Requisitos RSA - Introdução Deve ser computacionalmente fácil para uma entidade B gerar um par de chaves (chave pública PU b, chave privada PR b ) Deve ser computacionalmente fácil para um remetente A, dada a chave pública PU b e a mensagem M, gerar o texto cifrado C = E(PU b, M) Deve ser computacionalmente fácil para o destinatário B decriptografar o texto cifrado, usando a chave privada PR b M = D(PR b, C) = D[PR b, E(PU b, M)] Deve ser computacionalmente inviável para um oponente, dada a chave pública PU b, determinar a chave privada PR b Deve ser computacionalmente inviável para um oponente, dada a chave pública PU b e o texto cifrado C, determinar o texto original M Ambas as chaves PU b e PR b devem poder ser usadas para criptografia, com a outra usada na decriptografia M = D[PU b, E(PR b, M)] = D[PR b, E(PU b, M)] 23 RSA (1977, Ron Rivest, Adi Shamir and Len Adleman), MIT Mais popular e amplamente usado Cifrador de bloco Um bloco de texto original e um bloco de texto cifrado são inteiros entre 0 (zero) e (n-1) para algum n (potência de 2) C = M e mod n M = C d mod n == (M e ) d mod n = M ed mod n Ambas as entidades conhecem n e e Somente a detentora da chave privada conhece d Chave pública = {e, n} Chave privada = {d, n} 24 6

7 RSA - Requisitos RSA - Algoritmo Deve ser possível achar e, d e n tal que M ed mod n = M para todo M < n Deve ser relativamente fácil calcular M e e C d para todo M < n Deve ser impraticável determinar d, dados e e n Os primeiros dois requisitos são facilmente atendidos O terceiro requisito pode ser atendido se e e n são grandes RSA Exemplo Geração de Chave RSA Exemplo Selecione dois números primos p e q p = 17 e q = 11 Calcule n = p x q n = 17 x 11 = 187 Calcule Φ(n) = (p-1) x (q-1) Φ(n) = (17-1) x (11-1) = 16 x 10 = 160 Selecione e gdc( Φ(n), e ) = 1; 1 < e < Φ(n); e é primo relativo de Φ(n) e = 7 Determine d tal que d.e mod Φ(n) = 1 e d < Φ(n) d = 23, porque 23 x 7 = 161 = 10 x Chave pública PU = {e,n} PU = {7, 187} Chave privada PR = {d,n} PR = {23, 187} OBS. Dois números naturais são primos relativos se o único divisor positivo comum aos dois é a unidade. C = M e mod n M = C d mod n

8 RSA Resumo RSA Robustez Texto original: M < n Chave Pública: PU = {e, n} Chave Privada: PR = {d, n} Ataque de força bruta: quanto maior forem e e d, mais seguro - Porém, quanto maior for a chave, mais lento é o processo Violado em 1994 com chave de 428 bits; Quem conseguiu ganhou um prêmio de $100 Atualmente, chave de 1024 bits é considerada robusta (mas já tem banco usando chave de 2048 bits) Criptografia: C = M e (mod n) Decriptografia: M = C d (mod n) Diffie-Hellman Key Exchange Introdução Diffie-Hellman Bases Criado por W. Diffie e M. Hellman in 1976 Usa funções matemáticas no lugar de operações simples em padrões de bits Permite o uso de duas chaves separadas Garante a troca de chaves simétricas de modo seguro Sua eficácia é baseada na dificuldade de se calcular logaritmos discretos Alguns erros históricos Não é mais seguro do que criptografia simétrica Não torna criptografia simétrica obsoleta Um agente central é necessário para ambos (simétrica e assimétrica) Seja q um número primo Seja α < q uma raíz primitiva de q α é raíz primitiva de q se o resto da divisão por q das suas potências de 0 (zero) a q-1 geram todos os inteiros distintos de 1 a q-1 em alguma ordem α mod q, α 2 mod q,, α q-1 mod q, são inteiros de 1 a q-1 em alguma ordem Ou seja, para algum inteiro b < q e uma raíz primitiva α de q, pode-se achar um único expoente i tal que b = α i mod q, 0 i q-1 O expoente i é dito logaritmo discreto, ou índice, de b para a base α, mod q Denotado por dlog a,q (b)

9 Diffie-Hellman Algoritmo Diffie-Hellman Exemplo Elementos públicos globais q a Geração de Chave da Entidade A Define chave privada PR A Define chave pública PU A Geração de chave da Entidade B Define chave privada PR B Define chave pública PU B Geração de chave secreta para entidade A K = (PU B ) PRA mod q Geração de chave secreta na entidade B número primo a < q, raiz primitiva de q PR A < q PU A = a PRA mod q PR B < q PU B = a PRB mod q Seja q = 353 e α = 3 sua raíz primitiva Seja PR A = 97 e PR B = 233, chaves privadas de A e B A e B calculam suas respectivas chaves públicas PU A = 3 97 mod 353 = 40 PU B = mod 353 = 248 Após a troca de chaves públicas, A e B calculam a chave secreta K = PU B PRA mod 353 = mod 353 = 160 (em A) K = PU A PRB mod 353 = mod 353 = 160 (em B) K = (PU A ) PRB mod q Diffie-Hellman Exemplo Diffie-Hellman Vulnerabilidade Um atacante conhecendo q = 353, α = 3, PU A = 40 e PU B = 248 Pode determinar (por força bruta) a chave privada resolvendo 3 x mod 353 = 40, ou 3 y mod 353 = 248 Nesse caso a resposta seria x = mod 353 = 40 Parece frágil, mas com números primos grandes torna-se computacionalmente impraticável Como proposta, a troca de chaves Diffie-Hellman é vulnerável ao ataque do homem do meio (Man-in-the-Middle Attack) Darth gera duas chaves privadas PRd1 e PRd2 e calcula as chaves públicas respectivas PUd1 e PUd2 Alice gera {PRa, PUa} e manda PUa para Bob Darth intercepta PUa e manda PUd1 para Bob, depois calcula K2 = PUa PRd2 mod q Bob gera {PRb, PUb}, recebe PUd1 e calcula K1 = PUd1 PRb mod q Bob manda PUb para Alice Darth intercepta PUb e manda PUd2 para Alice, depois calcula K1 = PUb PRd1 mod q Alice recebe PUd2 e calcula K2 = PUd2 PRa mod q Nesse ponto Alice e Bob pensam que compartilham uma chave privada K, mas Bob e Darth compartilham K1 e Alice e Darth compartilham K

10 Diffie-Hellman Vulnerabilidade Diffie-Hellman Vulnerabilidade {PRa, PUa} PUa Alice rede Darth rede Bob PUd2 K2=PUd2 PRa mod q PUa PUd2 {PRd1, PUd1}, {PRd2, PUd2} PUa K2=PUa PRd2 mod q PUb K1=PUb PRd1 mod q PUd2 PUd1 PUb PUd1 {PRb, PUb} K1=PUd1 PRb mod q PUb [K2] [K2] [K1] [K1] Daí por diante, toda a comunicação entre Bob e Alice está comprometida Alice envia mensagem criptografada C = E(K2, M) Darth intercepta e decriptografa M = D(k2, C) Darth envia mensagem criptografada original (M) ou manipulada (M ) para Bob C = E(K1, M) ou C = E(K1, M ) Bob recebe mensagem criptografada (pensando que vem de Alice) e decriptografa M = D(K1, C) ou M = D(K1, C ) Na resposta de Bob para Alice ocorre o processo inverso O protocolo de troca de chave é vulnerável porque não autentica as entidades participantes isso pode ser resolvido com o uso de assinatura digital ou certificação de chave pública Problemas Problemas Distribuição de chaves públicas Podemos confiar em Alice quando ela diz que uma chave pública PUa pertence a ela? Uso de criptografia de chave pública para distribuir chave privada Por que trocar chaves privadas? Porque criptografia de chave privada (simétrica) é muito mais eficiente (não quer dizer que seja mais eficaz) Só o uso de chaves públicas é suficiente? Não. Veja o problema The man-in-the-middle attack public key Darth public key? private key Alice Bob

11 Certificados de chave pública Certificados de chave pública Qualquer um pode forjar uma chave pública Usa-se um certificado de chave pública para evitar isso Um certificado de chave pública é uma tupla (Chave pública, Identificador de Usuário do Proprietário) que foi assinada (digitalmente) por um terceiro de confiança - chamado de autoridade certificada (ou certificadora) AC (Certificate Authority CA) Usuário cria certificado não assinado CNAusuário = (PUusuário, IDusuário) De modo seguro envia certificado para AC que cria par de chaves PU AC (CNAusuário), PR AC (CNAusuário), assina CNAusuário com PR AC e devolve para o usuário seu certificado assinado - CAusuário Usuário disponibiliza PUusuário e seu CAusuário para possível destinatário Destinatário confirma autenticidade da chave pública abrindo o CAusuário com a PU AC (CNAusuário) que ele obtém com a AC Certificados de chave pública Distribuição de chaves secretas via chave pública Como compartilhar uma chave secreta (simétrica) entre duas entidades? Poderíamos usar Diffie-Hellman Mas Diffie-Hellman não tem autenticação antes da troca de chaves! O que Stallings propõe?

12 Distribuição de chaves secretas via chave pública Distribuição de chaves secretas via chave pública Usar certificados de chave pública para um determinado remetente falar com um determinado destinatário O que o remetente faz Prepara a mensagem (M) Criptografa M com chave simétrica (K - one-time session key) C = E(M, K) Criptografa K com a chave pública do destinatário (PUdest) Destinatário verificável pelo seu certificado de chave pública Envia [C, E(K, PUdest)] ao destinatário Stallings pensa que é totalmente seguro! Você pensa que sim? ( ) Sim, ( ) Não, ( ) Talvez Por que? É seguro, mas não tem um propósito bem definido Não há autenticação da origem da mensagem Como o destinatário vai saber com certeza quem é o remetente? Qualquer um pode preparar a mensagem Qual confiabilidade de uma mensagem segura e secreta se não se pode garantir a autenticidade do remetente? Mas é garantido que o remetente está falando com o destinatário verdadeiro! Por que? Eu penso que sim? Sim! Eu penso que resolveu tudo? Não! Outros problemas com chaves públicas Outros problemas com chaves públicas Mafia-in-the-Middle Attack (from Anderson s book) PRIVATE KEYalice Alice Oi, eu sou Alice Prove! Assine esse desafio (C) sig PrAlice (C) PUBLIC KEYalice Bob Verifica assinatura de Alice em C Problema potencial: Alice vai assinar qualquer coisa Chave privada K cliente Produto 143! Assine X sig K (x) Produto 143! Somente R$ 25,00 Acme Eletrônicos Maiores de 18 somente! Site Falsificado Débito R$ 250,00 Assine X sig K (x) banco

13 Leituras Obrigatória Stallings, W., Network Security Essentials, 3rd Ed., Cap. 3 Recomendada Stinson, D., Cryptography Theory and Practice Questões de Revisão Liste três enfoques para autenticação de mensagem. O que é um código de autenticação de mensagem? Descreva brevemente os três esquemas ilustrados na figura 3.2. Que propriedades uma função Hash deve ter para ser útil na autenticação de mensagem? No contexto de funções Hash, o que é uma função de compressão? Quais são os principais ingredientes de um sistema de criptografia de chave pública? Liste e define brevemente três usos de um sistema de criptgrafia de chave pública. Qual é a diferença entre uma chave privada e uma chave secreta? O que é uma assinatura digital? O que é um certificado de chave pública? Como a criptografia de chave pública pode ser usada para distribuir uma chave secreta?