Aula 5 - Integridade e Criptografia autenticada. 9 de Maio de 2016

Documentos relacionados
Aula 5 - Integridade e Criptografia autenticada. 10 de Maio de 2016

Com Pseudo-OTP é possível superar a primeira limitação Mas ainda tem a segunda, como evitá-la?

Criptografia. Aula 4: Autenticação de mensagens e canais seguros. Manuel Barbosa (mbb at dcc.fc.up.pt) 2018/2019

Noções de segurança ainda mais fortes

GBC083 - Segurança da Informação Aula 3 - Sigilo Computacional

Códigos de Autenticação de Mensagens. Instituto de Computação - UNICAMP

Criptografia. Criptografia de Chave Pública. Manuel Barbosa (mbb at dcc.fc.up.pt) 2018/2019

GBC083 - Segurança da Informação Aula 2 - Sigilo Perfeito. 28 de Março de 2016

UTILIZAÇÃO DE HASH CRIPTOGRAFADA PARA TRANSPORTE DE MENSAGENS (MAC), NO USO DO HMAC

Criptografia. Aula 4: Autenticação de mensagens e canais seguros. Manuel Barbosa (mbb at dcc.fc.up.pt) 2018/2019

Criptografia. Aula 4: Cifras simétricas a partir de cifras por blocos. Manuel Barbosa (mbb at dcc.fc.up.pt) 2018/2019

Criptografia. Criptografia de Chave Pública. Manuel Barbosa (mbb at dcc.fc.up.pt) 2018/2019

Algoritmos para Códigos de Autenticação de Mensagens

Criptografia. Aula 3: Segurança Computacional. Manuel Barbosa (mbb at dcc.fc.up.pt) 2018/2019

Advanced Encryption Standard

Segurança Informática em Redes e Sistemas

(2010/11/17) P. Quaresma. Criptografia. Cifras Fieiras. Cifras por Blocos. Cifras de Chaves. Cifras de Chaves. MDCs. MACs 185 / 248 (2010/11/17)

PLANO DE DISCIPLINA DISCIPLINA: Segurança da Informação

GBC083 - Segurança da Informação Aula 2 - Sigilo Perfeito. 9 de Março de 2016

GBC083 - Segurança da Informação Aula 3 - Pseudo-aleatoriedade. 29 de Março de 2016

Mecanismos Criptográficos Esquemas

Integridade. Segurança Engenharia de Software Ricardo Couto A. da Rocha

CONCEITUAÇÃO CONCEITOS

(2012/09/17 (v23)) P. Quaresma. Criptografia. Cifras Fieiras. Cifras por Blocos. Cifras de Chaves. Cifras de Chaves. MDCs.

Introdução à Segurança e Primitivas Criptográficas

INE5680 SEGURANÇA DA INFORMAÇÃO E DE REDES Prova 1 04/10/2013 Turmas A e B Prova A NOME : MATRÍCULA :

PTC Aula 20. (Kurose, p ) (Peterson, p ) 14/06/ Princípios de criptografia

SEGURANÇA CRIPTOGRAFIA E SEGURANÇA DE DADOS. As funções de cifra são consideradas totalmente seguras se:

2005 Suporte a Qualidade de Serviço (QoS) na subcamada MAC. Seguindo a abordagem do DiffServ

Aula 1 - Introdução à Criptografia

Virtual Private Network (VPN)

Configurar um perfil da segurança de protocolo do Internet (IPSec) em um roteador do RV34x Series

Segurança e Auditoria de Sistemas. Confiança Mútua Assinatura Digital Certificado Digital

Técnicas de criptografia. Funções Hash Criptografia com chave secreta Criptografia com chave pública Assinatura digital Protocolos

PTC Aula 19. (Kurose, p ) (Peterson, p ) 09/06/ O que é segurança de rede? 5.2 Princípios de criptografia

Instituto Superior de Tecnologia em Ciências da Computação de Petrópolis VPN Virtual Private Network

Prof. M.Sc. Charles Christian Miers

Exercícios de Revisão Redes de Computadores Edgard Jamhour. Criptografia, VPN, IPsec Protocolos de Roteamento

AdC: Um Mecanismo de Controle de Acesso Para o Ciclo de Vida das Coisas Inteligentes

Segurança de Redes de Computadores. Ricardo José Cabeça de Souza

Estatística e Modelos Probabilísticos - COE241

Criptografia Aplicada LESI / LMCC Exame de Recurso Fevereiro de 2008

Segurança da Informação Aula 5 Criptografia. Objetivos e Tipos. Cifras de Bloco e Fluxo

Segurança de Redes de Computadores. Ricardo José Cabeça de Souza

Auxilio a Resolução da Lista de Exercícios

Capítulo 9: Linguagens sensíveis ao contexto e autômatos linearmente limitados.

VÍDEO EM REDES PAR-A-PAR

Padrão aberto baseado em RFC (IETF). Dois modos de funcionamento: Dois Protocolos (Mecanismos) Autenticação, Integridade e Confidencialidade

Segurança em Redes de Computadores

Redes de Computadores e Aplicações

Autenticação por par de. chaves assimétricas. Bruno Follmann

Aula 1 - Introdução à Criptografia - Ataque à cifra de Vigenère

Configurar ajustes do e personalize notificações de na ponta de prova da rede de FindIT

Configurando perfis IPSec (auto modo fechando) no RV160 e no RV260

Segurança da Informação Aula 7 Assinaturas Digitais e HASH.

Configuração do bridge de grupo de trabalho nos Access point WAP551 e WAP561

3DES e AES - Noções Fortes de Segurança - InfoSec. 20 de Abril de 2016

Criptografia Assimétrica e Funções de Síntese

Apresentação: André Luiz Marasca

AULA 5: Criptografia e Esteganografia

Padrão aberto baseado em RFC (IETF). Dois modos de funcionamento: Dois Protocolos (Mecanismos) Autenticação, Integridade e Confidencialidade

Configurar ajustes do no roteador do RV34x Series

e-financeira Manual para Compactação e Criptografia de dados

Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour. Filtros de Pacotes Criptografia, Certificados Digitais VPN

A subcamada de controle de acesso ao meio. LANs sem fios Pontes entre LANs

Redes de Computadores Aula 23

Segurança da Informação Aula 6 Principais Algoritmos Simétricos. Criptografia Assimétrica.

M3D4 - Certificados Digitais Aula 2 Certificado Digital e suas aplicações

Criptografia Simétrica e Assimétrica, Hash, e Assinatura Digital

Geração de um certificado SSL (Secure Socket Layer) em RV120W e em RV220W

Introdução aos Protocolos de Estabelecimento de Chave

6 Inserção Seletiva de Nulos

Estatística e Modelos Probabilísticos - COE241

Exercícios de Revisão Redes de Computadores Edgard Jamhour. SSL, VPN PPTP e IPsec

Estatística e Modelos Probabilísticos - COE241

Configurar Virtual Private Network (VPN) avançado Setup no Firewall RV110W

Acrescenta um bit 1 ou um bit 0 às mensagem para que o número total de bits 1 seja par

Configuração do gateway ao gateway VPN no Roteadores RV016, RV042, RV042G e RV082 VPN

Nível de Enlace. Nível de Enlace. Serviços. Serviços oferecidos os nível de rede

Ajustes da política do Internet Key Exchange (IKE) no Roteadores RV180 e RV180W VPN

Redes de Computadores

WEP, WPA e EAP. Rodrigo R. Paim

Redes de Computadores

Estudo de Caso: Ataques a um Canal Seguro

Controlo de Acesso. Mecanismos de Controlo de Acesso. Conjunto de recursos que estão sujeitos ao mecanismo de controlo de acesso

Figura 12 Formato Genérico de uma MAC PDU

Transcrição:

GBC083 Segurança da Informação Aula 5 - Integridade e Criptografia autenticada 9 de Maio de 2016

Integridade de mensagens Sigilo vs. Integridade Até agora, preocupados com garantia de sigilo da comunicação E sobre integridade? Garantir que uma mensagem recebida é originada da pessoa certa e que não foi modificada Mesmo se o atacante controla o canal Técnicas padrões de detecção e correção de erros não são suficientes Ferramenta certa é um código de autenticação de mensagens

k m,t m, t k m t Mac k (m) Vrfy k (m, t ) = 1 Esquema de autenticação de mensagens

k m,t m Garantir a identidade em operações

k... preço =10... cookie,t cookie,t k Comunicações em diferentes momentos: a ordem é autêntica

Sigilo e integridade Sigilo e integridade são preocupações ortogonais Possível ter um sem o outro Encriptação não provê, em geral, qualquer integridade Relacionado ao problema da maleabilidade

Código de autenticação de mensagens Message authentication code (MAC) Um MAC é definido por 3 algoritmos (Gen, Mac, Vrfy): Gen: recebe entrada 1 n, produz chave uniforme k, k = n. Mac: recebe como chave de entrada k e mensagem m {0, 1} ; produz etiqueta t {0, 1} t Mac k (m) Vrfy: recebe chave k, mensagem m, e etiqueta t como entrada; produz 1: aceita ou 0:rejeita Para toda m e todo k produzido por Gen, Vrfy k (m, Mac k (m)) = 1

Segurança? Apenas uma definição padrão Modelo de ameaça Ataque de escolha de mensagem adaptativa Supor que o atacante pode induzir o transmissor a autenticar mensagens da escolha do atacante Meta de segurança Inforjabilidade existencial Atacante não deve ser capaz de forjar uma etiqueta válida em qualquer mensagem não autenticada pelo transmissor

k m 1,t 1 m 2,t 2... m, t m i,t i Vrfy k (m, t )??? t 1 Mac k (m 1 ) t 2 Mac k (m 2 )... t t Mac k (m t )

Definição formal Fixar A, Π Definir experimento aleatório Forge A,Π (n): k Gen(1 n ) A interage com um oráculo Mack ( ); seja M o conjunto de mensagens enviado a esse oráculo A produz (m, t) A é bem sucedido e o experimento produz 1 se Vrfy k (m, t) = 1 e m / M

Segurança para MACs Π é seguro se para todos atacantes em tempo polinomial A, existe uma função negligível ɛ tal que P(Forge A,Π (n) = 1) ɛ(n)

Ataques replay Note que ataques replay não prevenidos Nenhum mecanismo sem estado pode previr ataques replay Ataques replay podem ser uma preocupação real Necessário proteção contra ataques replay em um nível mais alto

Intuição para desenvolvimento de método seguro para integridade Necessária uma função chaveada Mac tal que: dados Mack (m 1 ) e Mac k (m 2 ),..., deve ser inviável predizer o valor Mack (m) para qualquer m {m 1,..., } Podemos usar uma função pseudo-aleatória como sendo o Mac

Construção de segurança para integridade: primeira versão Seja F uma função pseudo-aleatória que preserva comprimento da entrada Construir o seguinte esquema Π MAC: Gen escolher uma chave uniforme k para F Mack (m) computar F k (m) Vrfyk (m, t) produzir 1 se e só se F k (m) = t Teorema: esquema Π é um MAC seguro.

Prova por redução PRF/aleatório m 1 t 1 t 1. m i t i m 1 t 1. m i t i m t se (t = t ) produzir 1 m, t D Supor existência de um diferenciador entre PRF ou aleatório que usa o atacante do tipo Forge

Análise Duas opções: Quando D interage com Fk para uma chave uniforme k, a visão do adversário é idêntica à visão do atacante no experimento MAC real P(D F k produz 1) = P(Forge Adv,Π (n) = 1) Quando D interage com f uniforme, então sendo f (m 1 ),..., f (m i ) não ajuda predizer f (m) para qualquer m / {m 1,..., m i } P(D f produz 1) = 2 n

Análise Com F é uma função pseudo-aleatória P(D F k produz 1) P(D f produz 1) < ɛ(n) Portanto, P(Forge Adv,Π (n) = 1) = P(D F k produz 1) 2 n + ɛ(n)

Desvantagens deste primeiro método basedo em cifra de 1 bloco Na prática, cifra de blocos (aka funções pseudo-aleatórias) tem tamanho pequeno e fixo Exemplo, AES tem bloco de 128 bits Então a construção prévia é limitada à autenticação de mensagens curtas (comprimento fixo)

Até agora Mostramos como construir um MAC seguro para mensagens curtas de tamanho fixo baseado em qualquer cifra de blocos (função pseudo-aleatória) Queremos obter um MAC seguro para mensagens de tamanho arbitrário Aqui será o CBC-MAC

Modo CBC-MAC básico m 1 m 2 m t F k F k... F k t

Modo CBC-MAC vs. Modo CBC CBC-MAC é determinístico (sem IV) Em CBC-MAC, somente o valor final é mostrado Verificação é realizada por recomputação do resultado Ambos são essenciais para segurança

Segurança do CBC-MAC básico Se F é uma função pseudo-aleatória que preserva comprimento, então para qualquer l fixo, o CBC-MAC é um MAC seguro para mensagens de comprimento l n O transmissor e o receptor devem concordar com o parâmetro de comprimento l antecipadamente CBC-MAC básico não é seguro se isto não é feito Sejam (m, t) e (m, t ) conhecidos Atacante consegue gerar: m = m [(m 1 t) m 2...] CBC-MAC(m ) = m pois o m 1 t elimina contribuição da primeira parte

Extensões CBC-MAC Várias maneiras de manipular mensagens de tamanho variável Uma simples: transmitir tamanho inicial antes de aplicar CBC-MAC básico Também pode ser adaptado para mensagens que não tem tamanho múltiplo do comprimento do bloco Outra forma: usar outra chave e encriptar último bloco (Encrypt Last Block): CBC-MAC-ELB(m, (k 1, k 2 )) = E(k 2,CBC-MAC(k 1, m))

Modo CBC-MAC: prepend length l m 1 m 2 m t F k F k F k F k... t

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback