Protocolli HB+ e HB# Lezione tenuta dal Presentazione realizzata da

Slides:



Advertisements
Presentazioni simili
Elementi di Crittografia MAC e FUNZIONI HASH
Advertisements

Il Muro: è il fondamentale che permette di contrastare l’attacco avversario Modulo 1C 1°
Capitolo 8 Sistemi lineari.
Seminario Sicurezza a.a. 2001/2002 Barbara Anconelli
6. Catene di Markov a tempo continuo (CMTC)
Sicurezza II Prof. Dario Catalano Errori di Implementazione.
Sicurezza II Prof. Dario Catalano Strong Password Protocols.
1 Istruzioni, algoritmi, linguaggi. 2 Algoritmo per il calcolo delle radici reali di unequazione di 2 o grado Data lequazione ax 2 +bx+c=0, quali sono.
Camil Demetrescu, Irene Finocchi, Giuseppe F. ItalianoAlgoritmi e strutture dati Copyright © The McGraw - Hill Companies, srl 1 Ordinamenti lineari.
Camil Demetrescu, Irene Finocchi, Giuseppe F. ItalianoAlgoritmi e strutture dati Copyright © The McGraw - Hill Companies, srl 1 Usa la tecnica del.
Camil Demetrescu, Irene Finocchi, Giuseppe F. ItalianoAlgoritmi e strutture dati Copyright © The McGraw - Hill Companies, srl 1 Usa la tecnica del.
Algoritmi e Strutture Dati Capitolo 2 Modelli di calcolo e metodologie di analisi.
Camil Demetrescu, Irene Finocchi, Giuseppe F. ItalianoAlgoritmi e strutture dati Copyright © The McGraw - Hill Companies, srl 1 Ordinamenti lineari.
Camil Demetrescu, Irene Finocchi, Giuseppe F. ItalianoAlgoritmi e strutture dati Copyright © The McGraw - Hill Companies, srl 1 Ordinamenti lineari.
Camil Demetrescu, Irene Finocchi, Giuseppe F. ItalianoAlgoritmi e strutture dati Copyright © The McGraw - Hill Companies, srl 1 Usa la tecnica del.
Algoritmi e Strutture Dati Capitolo 2 Modelli di calcolo e metodologie di analisi.
Capitolo 10 Tecniche algoritmiche Algoritmi e Strutture Dati.
Algoritmi Paralleli e Distribuiti a.a. 2008/09 Lezione del 27/03/2009 Prof. ssa ROSSELLA PETRESCHI a cura del Dott. SAVERIO CAMINITI.
Algoritmo di Ford-Fulkerson
Camil Demetrescu, Irene Finocchi, Giuseppe F. ItalianoAlgoritmi e strutture dati Copyright © The McGraw - Hill Companies, srl Capitolo 4 Ordinamento:
Algoritmi e strutture Dati - Lezione 7
Camil Demetrescu, Irene Finocchi, Giuseppe F. ItalianoAlgoritmi e strutture dati Copyright © The McGraw - Hill Companies, srl Capitolo 4 Ordinamento:
Camil Demetrescu, Irene Finocchi, Giuseppe F. ItalianoAlgoritmi e strutture dati Capitolo 4 Ordinamento: Heapsort Algoritmi e Strutture Dati.
Il problema della ricerca Algoritmi e Strutture Dati.
Il problema della ricerca Algoritmi e Strutture Dati.
Algoritmi e Strutture Dati
Capitolo 9 Il problema della gestione di insiemi disgiunti (Union-find) Algoritmi e Strutture Dati.
Camil Demetrescu, Irene Finocchi, Giuseppe F. ItalianoAlgoritmi e strutture dati Copyright © The McGraw - Hill Companies, srl Usa la tecnica del.
Metodi iterativi G. Puppo.
Soluzione FEM di problemi parabolici
CORSO DI PROGRAMMAZIONE II Introduzione alla ricorsione
Alberi di Ricorrenza Gli alberi di ricorrenza rappresentano un modo conveniente per visualizzare i passi di sostitu- zione necessari per risolvere una.
Algoritmi e Strutture Dati (Mod. B)
Texture Più omogenea e uniforme è la texture, più chiaramente si distingue dallo sfondo come entità coerente e indipendente. AA 2004/05 Prof. Paola Trapani.
Algoritmi e Strutture Dati
Radio Frequency IDentification (RFID) Presentazione realizzata da: Davino Cristiano Ferri Vincenzo Mercogliano Umberto Lezione tenuta dal Prof. P. DArco.
Codifica di algoritmi linguaggio macchina vs programmazione strutturata Lab Programmazione - turno /2006.
QuickSort Quick-Sort(A,s,d) IF s < d THEN q = Partiziona(A,s,d) Quick-Sort(A,s,q-1) Quick-Sort(A,q + 1,d)
Breaking DES Corso di Sicurezza Reti Dott. Giovanni Ciraolo Anno Accademico
Intelligenza Artificiale
1 Packet Manager Sistema di gestione di pacchetti software per il progetto dell'esame di Reti di Calcolatori LS Progetto realizzato da Fabio Parisini.
Il calcolo di radiosity
Linear Algebra Methods in Combinatorics with applications to Geometry and Computer Science Linear Algebra Methods in Combinatorics with applications to.
Tavole dinamiche Spesso non si sa a priori quanta memoria serve per memorizzare dei dati in un array, in una tavola hash, in un heap, ecc. Può capitare.
LA CRITTOGRAFIA QUANTISTICA
Metodo della moltiplicazione
Elementi di Informatica di base
Esercizio 10.* Un cassiere vuole dare un resto di n centesimi di euro usando il minimo numero di monete. a) Descrivere un algoritmo goloso per fare ciò.
Radix-Sort(A,d) // A[i] = cd...c2c1
Calcolo Parallelo e Distribuito
Passo 3: calcolo del costo minimo
RB-insert(T, z) // z.left = z.right = T.nil Insert(T, z) z.color = RED // z è rosso. Lunica violazione // possibile delle proprietà degli alberi // rosso-neri.
Esecuzione dei programmi Prolog Liste ed operatori aritmetici
Algoritmi e Strutture Dati
Paragrafi e allineamenti
Threads.
Pippo.
Complessità di un algoritmo
Capitolo 7 Tavole hash Algoritmi e Strutture Dati Camil Demetrescu, Irene Finocchi, Giuseppe F. Italiano.
Sistemi e Tecnologie Informatiche Ricorsione Umberto Ferraro Petrillo.
Valutare la difficoltà dei problemi
Implementazione di dizionari Problema del dizionario dinamico Scegliere una struttura dati in cui memorizzare dei record con un campo key e alcuni altri.
Capitolo 9 Il problema della gestione di insiemi disgiunti (Union-find) Algoritmi e Strutture Dati.
Camil Demetrescu, Irene Finocchi, Giuseppe F. ItalianoAlgoritmi e strutture dati Copyright © The McGraw - Hill Companies, srl Capitolo 4 Ordinamento:
Il problema della ricerca Algoritmi e Strutture Dati.
Camil Demetrescu, Irene Finocchi, Giuseppe F. ItalianoAlgoritmi e strutture dati Copyright © The McGraw - Hill Companies, srl Capitolo 4 Ordinamento:
Corso integrato di Matematica, Informatica e Statistica Informatica di base Linea 1 Daniela Besozzi Dipartimento di Informatica e Comunicazione Università.
Psicometria modulo 1 Scienze tecniche e psicologiche Prof. Carlo Fantoni Dipartimento di Scienze della Vita Università di Trieste Campionamento.
Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.
Attività e idee progettuali Politecnico di Torino Istituto Zooprofilattico 02/aprile/2014 Istituzione: Politecnico di Torino Dipartimento: Dipartimento.
Transcript della presentazione:

Protocolli HB+ e HB# Lezione tenuta dal Presentazione realizzata da Prof. P. D’Arco Presentazione realizzata da Giuseppe Marciano Annunziato Fierro Ivan Di Giacomo

Protocollo HB+ Il protocollo HB può resistere ad attacchi passivi ma è insicuro rispetto ad attacchi attivi. Il protocollo HB+ fu introdotto da Juels e Weis, per risolvere questa vulnerabilità del protocollo HB. Riconosciuto! Attacchi attivi

Iterazione del Protocollo HB+ Tag S: x,y є {0,1}n , ε Sceglie b єR {0,1}n Calcola (v=1 con probabilità ε) Reader S: x,y є {0,1}n , ε Sceglie a єR {0,1}n Se è uguale allora accetta altrimenti rifiuta. Invia b ( fattore di blindatura ) Invia b ( fattore di blindatura ) Invia b ( fattore di blindatura ) Invia a ( sfida ) Invia a ( sfida ) Invia a ( sfida ) Risposta r inviata al Reader S= Segreto condiviso ε= Probab. errore

Iterazione nel Protocollo HB+ Il protocollo viene ripetuto K volte, ed il Reader accetta il tag se al più K*ε volte Ogni iterazione richiede 3 passi invece di 2 (protocollo HB)

Robustezza del Protocollo HB+ Scegliendo ad ogni iterazione un nuovo fattore di blindatura il tag priva l’avversario della possibilità di estrarre informazioni su x ed y con sfide scelte ad hoc HB+ si può provare sicuro rispetto ad avversari attivi che possono interrogare il tag, assumendo che il problema LPN sia difficile

Protocolli HB, HB+ : parallelismo E’ stato dimostrato che le versioni parallele e concorrenti di HB e HB+ continuano ad essere sicure rispetto ad avversari passivi (per HB) ed attivi (per HB+) assumendo che il problema LPN sia difficile Problema aperto: provare la sicurezza di Hb+ in due round invece di tre (i.e. il fattore di blindatura b viene inviato insieme ad r)

L’attacco GRS contro HB+ Cosa accade se l’avversario può intercettare e modificare le comunicazioni tra Reader e Tag? L’avversario sceglie un vettore ∆ di n bit con cui perturbare le sfide inviate dal Reader al Tag A seconda del fatto che il Reader accetta o no, l’avversario riesce a capire il valore di ∆x con alta probabilità.

L’attacco GRS contro HB+ Tag S: x,y є {0,1}n , ε Sceglie b єR {0,1}n Calcola (v=1 con probabilità ε) Reader S: x,y є {0,1}n , ε Sceglie a єR {0,1}n Se è uguale allora accetta altrimenti rifiuta. Invia b ( fattore di blindatura ) Invia b ( fattore di blindatura ) Invia . ( sfida ) Invia . ( sfida ) Responso r inviato al Reader Responso r inviato al Reader Ripeti K volte S= Segreto condiviso ∆ scelto dall’avversario ε= Probab. errore Usa lo stesso ∆ per tutte le K interazioni del protocollo

GRS contro HB+ Se al termine del protocollo il reader accetta, l’avversario conclude che ∆x=0; viceversa, se il Reader rifiuta, l’avversario conclude che ∆x=1 (nota che ) Usando ∆1, ∆2 , ∆3 … ∆n linearmente indipendenti, dopo n esecuzioni (ognuna di K interazioni) del protocollo l’avversario riesce a ricostruire x attraverso il metodo di Gauss

L’attacco GRS contro HB+ Reader S: x,y є {0,1}n , ε Sceglie a єR {0,1}n Se è uguale allora accetta altrimenti rifiuta. Avversario S: x є {0,1}n Sceglie b єR {0,1}n Calcola r =ax Invia b ( fattore di blindatura ) Invia b ( fattore di blindatura ) Invia b ( fattore di blindatura ) Invia a ( sfida ) Invia a ( sfida ) Responso r inviato al Reader Se il Reader accetta conclude che by=0 altrimenti che by=1 Ripeti n volte S= Segreto condiviso ε= Probab. Errore In conclusione l’avversario calcola x ed y

Protocollo Random HB# Il protocollo HB+ è sicuro rispetto ad attacchi attivi in cui l’avversario può interrogare il tag, ma è insicuro rispetto ad attacchi attivi in cui l’avversario può intercettare e modificare le comunicazioni tra Reader e Tag. Il protocollo Random HB# risolve questa vulnerabilità del protocollo HB+. Attacchi attivi

Interazione nel Protocollo Random HB# Reader S: matrici X,Y, ε Sceglie a єU {0,1}Kx Se è minore o uguale allora accetta altrimenti rifiuta. Tag S: matrici X, Y, ε Sceglie b єR {0,1}Ky Sceglie v єR {0,1}K Calcola (vi=1 con probabilità ε) per i=1…K Invia b ( fattore di blindatura ) Invia a ( sfida ) Responso z inviato al Reader S= Segreto condiviso ε= Probab. errore

Interazione nel Protocollo Random HB# X matrice di dimensioni Kx * K Y matrice di dimensioni Ky * K X e Y scelte uniformemente a caso a*X K Kx X = Kx K a + + Ky K Y Ky = v b K b*Y

Osservazioni Le operazioni avvengono su vettori Il protocollo richiede 3 passi ma un solo round E’ come se si eseguissero in parallelo più istanze indipendenti di HB+ Ciascuna colonna di X e Y rappresenta segreti diversi di un’istanza di HB+ Si può dimostrare che Random HB# è sicuro rispetto ad avversari attivi se il problema LPN è difficile

HB# Quanta memoria serve nel tag per memorizzare le matrici? Troppa! Idea: Invece di usare X ed Y scelte uniformemente a caso, usiamo matrici strutturate che possono essere memorizzate più efficientemente

Matrici di Toeplitz Una matrice di ordine K*m di Toeplitz, è una matrice i cui elementi su ogni diagonale che va dall’angolo in alto a sinistra, all’angolo in basso a destra sono uguali In questo caso basta memorizzare K+m-1 elementi invece di K*m

Conclusioni HB# funziona esattamente come Random HB# Problema: per HB# la prova di sicurezza di Random HB# non vale più Purtroppo è stato mostrato che Random HB# e HB# sono soggetti ad attacchi del tipo Man-In-the-Middle.

Riferimenti A. Juels and S. Weiss, Authenticating pervasive devices with human protocols,Proc. of Crypto 2005, Lecture Notes in Computer Science, Vol. 3126, pp. 293–308, 2005. H. Gilbert, M. J. B. Robshaw, and H. Sibert, An active attack against HB+ – a provably secure lightweight authentication protocol, Electronics Letters, Vol. 41, N. 21, pp. 1169–1170, 2005. H. Gilbert, M. J. B. Robshaw, and Y. Seurin, HB#: Increasing the Security and Efficiency of HB+,Proc. of Eurocrypt 2008, Lecture Notes in Computer Science, Vol. 4965, pp. 361-378, 2008. K. Ouafi, R. Overbeck, and S. Vaudenay, On the Security of HB# against a Man-in-the-Middle Attack, Proc. of Asiacrypt 2008, Lecture Notes in Computer Science, Vol. 5350, pp. 108-124, 2008.