Modelos para Autenticação e. Mecanismos para Autenticação

Transcrição

1 Modelos para Autenticação e Geração de Chaves 1 Mecanismos para Autenticação Password A autenticação é baseada no envio de um par <nome, password> de A para B B verifica se a password corresponde aquela armazenada numa base de dados d Partilha de um Segredo A autenticação é baseada na prova do conhecimento de um segredo partilhado K entre os interlocutores t (A e B) Apenas A e B devem conhecer o segredo Precisa ser feito sem mostrar o segredo Assinatura A autenticação é baseada na assinatura digital de alguns dados, sabendo-se que esta só pode ser produzida por um e um só dos utilizadores (ex., A assina algo para B com sua chave privada) 2

2 Autenticação por Password Autenticação Local Vulnerável se o adversário tem acesso à máquina, e consegue obter o ficheiro onde as palavras-de-passe (passwords) estão armazenadas O ficheiro deve estar protegido:» cifrando o seu conteúdo e/ou armazenando apenas uma síntese segura da password Existe sempre a possibilidade de» on-line password guessing» off-line password guessing Autenticação Remota Vulnerável se o adversário coloca uma escuta (sniffer) na rede Uma solução consiste no uso de passwords descartáveis Outra solução: canal seguro (problema do ovo e da galinha) 3 Armazenamento de Passwords Texto em claro Não é uma boa solução (quem lê o ficheiro vê as passwords) Síntese da password Não é perfeita, mas torna a vida do adversário mais difícil Quanto melhor a password, melhor a protecção obtida Síntese da password + salt Torna a mesma password diferente em máquinas diferentes Dificulta ataques de dicionário e de passagem de síntese Não é mais difícil que atacar uma password forte Servidor centralizado armazena a password A autenticação é feita pelo servidor A comunicação com esse servidor precisa ser autenticada O servidor é um ponto singular de falhas e ponto de estrangulamento 4

3 Exemplo de Autenticação Local: Autenticação no UNIX 5 Como Fazer Autenticação Remota? 6

4 Passwords Descartáveis (one time passwords) Passwords que podem ser usadas no máximo uma vez Após o uso, perdem sua validade Um sniffer que escuta a rede nada pode fazer com a password que ouviu Mecanismo de Desafio-Resposta (Challenge-Response) O desafio é um ordinal correspondente ao número de autenticações já efectuadas no sistema (ex., 3rd) usando a mesma semente (número que começa a série de passwords) ) A resposta correcta ao desafio é a password correspondente àquele número em particular Problemas Geração de boas passwords aleatórios Distribuição da semente ou da lista de passwords 7 Exemplo: Lamport one-time password usado no sistema OTP S/KEY Pi = H n-i+1 (PS) password counter(t0)=n counter p(0)=n HASH Client Server Sniffer down counter p p-1 down counter p next password (login, user U) p password H p-1 (Ps) comunication until all passwords used 8

5 Ataques de dicionário a passwords Tentativa-e-erro de uma lista de palavras-de-passe Off-line Sabe síntese da password e função de autenticação Tenta repetidamente as entradas da lista Pode ser automatizado, ex. programas : crack, John the Ripper On-line Tem acesso à interface de autenticação Tenta acessos logon até que algum login tenha sucesso Pode ser automatizado, mas é muito mais lento que off-line Existem muitas defesas: backoff (increasing delay) disconnection (after x failures, connection breaks, must be reestablished) disabling (after x failures, account is disabled, must be re-enabled by sysadm) 13 Autenticação Unilateral por Partilha de Segredo e por Assinatura Segredo Partilhado A e B partilham um segredo K Após uma troca de mensagens, B deve ficar convencido que o seu interlocutor conhece K, o que significa que deve estar a falar com A Exemplos A->B: sou o A ; B->A: se és A, cifra X ; A->B: E(K,X) A->B: sou o A ; B->A: se és A, decifra E(K,X) ; A->B: X Assinatura B conhece a chave pública, Kua, de A Após uma troca de mensagens, B deve ficar convencido que o seu interlocutor conhece chave privada Kra, logo deve ser A Exemplos A->B: sou o A ; B->A: se és A, assina X ; A->B: Sa(X) 14

6 E quando as Partes Não Confiam Uma na Outra? Autenticação Mútua 17 Autenticação Mútua com Segredo Partilhado Alice Oi sou Alice Alice e Bob partilham uma chave K ab Bob Então cifra X b E(K ab,x b ), cifra X a E(K ab,x a ) Agora sabem que estão a falar um com o outro generalização do protocolo unilateral simétrico 18

7 Autenticação Mútua com Criptografia Assimétrica OBJECTIVO: Autenticação mútua por meio de criptografia assimétrica entre A e B Generalização do protocolo unilateral assimétrico NOTAÇÃO: A com chaves privada e pública Kra e Kua, gera identificador aleatório Xa B com chaves Krb e Kub, gera Xb PROTOCOLO: 1. A pede ligação a B, envia Xa, Known public Kua, Kub cifrado com Kub 1. A B E(Kub,<Xa,A>) 2. B devolve Xa e envia Xb, cifrados com Kua 2. B A E(Kua,<Xa,Xb>) A confia que B é quem responde, 3. A B E(Kub,Xb) pois este devolve Xa, que tinha ido sob Kub (que só B tem) 3. A devolve Xb, sob Kub Este protocolo tem um B acredita que foi A quem iniciou a passo de comunicação a sessão, pois Xb foi sob Kua menos que o anterior! 22 Autenticação Mútua com Assinaturas OBJECTIVO: Autenticação mútua entre A e B por meio de assinaturas Generalização do protocolo unilateral assimétrico NOTAÇÃO: A com chaves privada e pública Kra e Kua, gera identificador aleatório Xa B com chaves Krb e Kub, gera Xb PROTOCOLO: 1. A pede uma ligação a B com seu id Xa Step Known public Kua, Kub 2. B responde, devolvendo o seu id Xb e 1. A B <A, Xa> Xa assinado por B 2. B A <Xb, Sb(Xa)> A acredita que fala com B, pois este assinou o desafio original i Xa 3. A B <Sa(Xb)> 3. A devolve Xb assinado por A B acredita que foi A quem devolveu Xb Este protocolo executa uma operação criptográfica a menos que o anterior! 24

8 E quando nenhuma das Partes consegue confiar na outra? Terceiro Confiável 25 Autenticação Mediada: Needham-Schroeder OBJECTIVO: estabelecer autenticação entre A e B por um mediador e distribuir chave de sessão K ab adicionalmente, fica feita a distribuição de chave de sessão NOTAÇÃO: A e B têm chaves partilhadas com T, K a e K b respectivamente T gera chave K ab a partilhar entre A e B 26

9 Autenticação Mediada: Needham-Schroeder Alice Alice e Trent partilham uma chave K a <A,B,X a > Trent Bob e Trent partilham uma chave K b Nonces Bob Obtém K ab Ea(<X a a,,b,k, ab,,eb(k ab,,a)>) ) Eb(K ab,a) Gera K ab Ticket Eab(X b -1) Eab(X b ) Obtém K ab Agora Alice e Bob sabem que estão a falar um com o outro e que ambos tem acesso a chave K ab 27 Autenticação Mediada: Needham-Schroeder Um problema: Não possui forward secrecy» Suponha que a chave de Alice é comprometida» O ticket de Bob continua sempre válido, e pode ser usado num ataque posterior Como resolver?» Usar timestamps 29

10 Autenticação Mediada: Kerberos OBJECTIVO: estabelecer autenticação entre A e B por um mediador e distribuir chave de sessão K ab adicionalmente, fica feita a distribuição de chave de sessão NOTAÇÃO: A e B têm chaves partilhadas com T, K a e K b respectivamente Relógios sincronizados, em que Ti é uma estampilha com o valor do relógio de i T gera chave K ab a partilhar entre A e B PROBLEMA: Este protocolo requer relógios sincronizados 30