La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Protocolli HB+ e HB# Presentazione realizzata da Giuseppe Marciano Annunziato Fierro Ivan Di Giacomo Lezione tenuta dal Prof. P. DArco.

Presentazioni simili


Presentazione sul tema: "Protocolli HB+ e HB# Presentazione realizzata da Giuseppe Marciano Annunziato Fierro Ivan Di Giacomo Lezione tenuta dal Prof. P. DArco."— Transcript della presentazione:

1 Protocolli HB+ e HB# Presentazione realizzata da Giuseppe Marciano Annunziato Fierro Ivan Di Giacomo Lezione tenuta dal Prof. P. DArco

2 2 Protocollo HB+ Il protocollo HB può resistere ad attacchi passivi ma è insicuro rispetto ad attacchi attivi. Il protocollo HB può resistere ad attacchi passivi ma è insicuro rispetto ad attacchi attivi. Il protocollo HB+ fu introdotto da Juels e Weis, per risolvere questa vulnerabilità del protocollo HB. Il protocollo HB+ fu introdotto da Juels e Weis, per risolvere questa vulnerabilità del protocollo HB. Attacchi attivi Riconosciuto!

3 3 Iterazione del Protocollo HB+ Reader S: x,y є {0,1} n, ε Sceglie a єR {0,1} n Se è uguale allora accetta altrimenti rifiuta. Tag S: x,y є {0,1} n, ε Sceglie b є R {0,1} n Calcola (v=1 con probabilità ε) Invia b ( fattore di blindatura ) S= Segreto condiviso ε= Probab. errore Invia a ( sfida ) Invia b ( fattore di blindatura ) Invia a ( sfida ) Risposta r inviata al Reader Invia b ( fattore di blindatura ) Invia a ( sfida )

4 4 Iterazione nel Protocollo HB+ Il protocollo viene ripetuto K volte, ed il Reader accetta il tag se al più K* ε volte Il protocollo viene ripetuto K volte, ed il Reader accetta il tag se al più K* ε volte Ogni iterazione richiede 3 passi invece di 2 (protocollo HB) Ogni iterazione richiede 3 passi invece di 2 (protocollo HB)

5 5 Robustezza del Protocollo HB+ Scegliendo ad ogni iterazione un nuovo fattore di blindatura il tag priva lavversario della possibilità di estrarre informazioni su x ed y con sfide scelte ad hoc Scegliendo ad ogni iterazione un nuovo fattore di blindatura il tag priva lavversario della possibilità di estrarre informazioni su x ed y con sfide scelte ad hoc HB+ si può provare sicuro rispetto ad avversari attivi che possono interrogare il tag, assumendo che il problema LPN sia difficile HB+ si può provare sicuro rispetto ad avversari attivi che possono interrogare il tag, assumendo che il problema LPN sia difficile

6 6 Protocolli HB, HB+ : parallelismo E stato dimostrato che le versioni parallele e concorrenti di HB e HB+ continuano ad essere sicure rispetto ad avversari passivi (per HB) ed attivi (per HB+) assumendo che il problema LPN sia difficile E stato dimostrato che le versioni parallele e concorrenti di HB e HB+ continuano ad essere sicure rispetto ad avversari passivi (per HB) ed attivi (per HB+) assumendo che il problema LPN sia difficile Problema aperto: Problema aperto: provare la sicurezza di Hb+ in due round invece di tre (i.e. il fattore di blindatura b viene inviato insieme ad r)provare la sicurezza di Hb+ in due round invece di tre (i.e. il fattore di blindatura b viene inviato insieme ad r)

7 7 Lattacco GRS contro HB+ Cosa accade se lavversario può intercettare e modificare le comunicazioni tra Reader e Tag? Cosa accade se lavversario può intercettare e modificare le comunicazioni tra Reader e Tag? Lavversario sceglie un vettore di n bit con cui perturbare le sfide inviate dal Reader al Tag Lavversario sceglie un vettore di n bit con cui perturbare le sfide inviate dal Reader al Tag A seconda del fatto che il Reader accetta o no, lavversario riesce a capire il valore di x con alta probabilità. A seconda del fatto che il Reader accetta o no, lavversario riesce a capire il valore di x con alta probabilità.

8 8 Lattacco GRS contro HB+ Reader S: x,y є {0,1} n, ε Sceglie a єR {0,1} n Se è uguale allora accetta altrimenti rifiuta. Tag S: x,y є {0,1} n, ε Sceglie b єR {0,1} n Calcola (v=1 con probabilità ε) S= Segreto condiviso scelto dallavversario ε= Probab. errore Responso r inviato al Reader Invia b ( fattore di blindatura ) Invia. ( sfida ) Responso r inviato al Reader Invia b ( fattore di blindatura ) Invia. ( sfida ) Usa lo stesso per tutte le K interazioni del protocollo Ripeti K volte

9 9 GRS contro HB+ GRS contro HB+ Se al termine del protocollo il reader accetta, lavversario conclude che x=0; viceversa, se il Reader rifiuta, lavversario conclude che x=1 (nota che ) Se al termine del protocollo il reader accetta, lavversario conclude che x=0; viceversa, se il Reader rifiuta, lavversario conclude che x=1 (nota che ) Usando 1, 2, 3 … n linearmente indipendenti, dopo n esecuzioni (ognuna di K interazioni) del protocollo lavversario riesce a ricostruire x attraverso il metodo di Gauss Usando 1, 2, 3 … n linearmente indipendenti, dopo n esecuzioni (ognuna di K interazioni) del protocollo lavversario riesce a ricostruire x attraverso il metodo di Gauss

10 10 Lattacco GRS contro HB+ Reader S: x,y є {0,1} n, ε Sceglie a єR {0,1} n Se è uguale allora accetta altrimenti rifiuta. Avversario S: x є {0,1} n Sceglie b єR {0,1} n Calcola r =ax S= Segreto condiviso ε= Probab. Errore In conclusione lavversario calcola x ed y Responso r inviato al Reader Invia b ( fattore di blindatura ) Invia a ( sfida ) Invia b ( fattore di blindatura ) Invia a ( sfida ) Invia b ( fattore di blindatura ) Ripeti n volte Se il Reader accetta conclude che by=0 altrimenti che by=1

11 11 Protocollo Random HB# Il protocollo HB+ è sicuro rispetto ad attacchi attivi in cui lavversario può interrogare il tag, ma è insicuro rispetto ad attacchi attivi in cui lavversario può intercettare e modificare le comunicazioni tra Reader e Tag. Il protocollo HB+ è sicuro rispetto ad attacchi attivi in cui lavversario può interrogare il tag, ma è insicuro rispetto ad attacchi attivi in cui lavversario può intercettare e modificare le comunicazioni tra Reader e Tag. Il protocollo Random HB# risolve questa vulnerabilità del protocollo HB+. Il protocollo Random HB# risolve questa vulnerabilità del protocollo HB+. Attacchi attivi

12 12 Interazione nel Protocollo Random HB# Reader S: matrici X,Y, ε Sceglie a є U {0,1} K x Se è minore o uguale allora accetta altrimenti rifiuta. Tag S: matrici X, Y, ε Sceglie b є R {0,1} K y Sceglie v є R {0,1} K Calcola (v i =1 con probabilità ε) per i=1…K S= Segreto condiviso ε= Probab. errore Responso z inviato al Reader Invia a ( sfida ) Invia b ( fattore di blindatura )

13 13 Interazione nel Protocollo Random HB# X matrice di dimensioni K x * K Y matrice di dimensioni K y * K X e Y scelte uniformemente a caso KxKx a KyKy b K K a* X KyKy X Y = + = K K b*Y KxKx + v

14 14 Osservazioni Le operazioni avvengono su vettori Le operazioni avvengono su vettori Il protocollo richiede 3 passi ma un solo round Il protocollo richiede 3 passi ma un solo round E come se si eseguissero in parallelo più istanze indipendenti di HB+ E come se si eseguissero in parallelo più istanze indipendenti di HB+ Ciascuna colonna di X e Y rappresenta segreti diversi di unistanza di HB+ Ciascuna colonna di X e Y rappresenta segreti diversi di unistanza di HB+ Si può dimostrare che Random HB# è sicuro rispetto ad avversari attivi se il problema LPN è difficile Si può dimostrare che Random HB# è sicuro rispetto ad avversari attivi se il problema LPN è difficile

15 15 HB# Quanta memoria serve nel tag per memorizzare le matrici? Troppa! Quanta memoria serve nel tag per memorizzare le matrici? Troppa! Idea: Invece di usare X ed Y scelte uniformemente a caso, usiamo matrici strutturate che possono essere memorizzate più efficientemente Idea: Invece di usare X ed Y scelte uniformemente a caso, usiamo matrici strutturate che possono essere memorizzate più efficientemente

16 16 Matrici di Toeplitz Una matrice di ordine K*m di Toeplitz, è una matrice i cui elementi su ogni diagonale che va dallangolo in alto a sinistra, allangolo in basso a destra sono uguali Una matrice di ordine K*m di Toeplitz, è una matrice i cui elementi su ogni diagonale che va dallangolo in alto a sinistra, allangolo in basso a destra sono uguali In questo caso basta memorizzare K+m-1 elementi invece di K*m In questo caso basta memorizzare K+m-1 elementi invece di K*m

17 17 Conclusioni HB# funziona esattamente come Random HB# HB# funziona esattamente come Random HB# Problema: per HB# la prova di sicurezza di Random HB# non vale più Problema: per HB# la prova di sicurezza di Random HB# non vale più Purtroppo è stato mostrato che Random HB# e HB# sono soggetti ad attacchi del tipo Man-In-the-Middle. Purtroppo è stato mostrato che Random HB# e HB# sono soggetti ad attacchi del tipo Man-In-the-Middle.

18 Riferimenti A. Juels and S. Weiss, Authenticating pervasive devices with human protocols,Proc. of Crypto 2005, Lecture Notes in Computer Science, Vol. 3126, pp. 293–308, H. Gilbert, M. J. B. Robshaw, and H. Sibert, An active attack against HB+ – a provably secure lightweight authentication protocol, Electronics Letters, Vol. 41, N. 21, pp. 1169–1170, H. Gilbert, M. J. B. Robshaw, and Y. Seurin, HB#: Increasing the Security and Efficiency of HB+,Proc. of Eurocrypt 2008, Lecture Notes in Computer Science, Vol. 4965, pp , K. Ouafi, R. Overbeck, and S. Vaudenay, On the Security of HB# against a Man-in-the-Middle Attack, Proc. of Asiacrypt 2008, Lecture Notes in Computer Science, Vol. 5350, pp , 2008.


Scaricare ppt "Protocolli HB+ e HB# Presentazione realizzata da Giuseppe Marciano Annunziato Fierro Ivan Di Giacomo Lezione tenuta dal Prof. P. DArco."

Presentazioni simili


Annunci Google