Università degli Studi “Gabriele d’Annunzio” Facoltà di Economia Corso di Laurea in Economia Informatica Specialistica Sicurezza e Privacy Protocolli che.

Slides:



Advertisements
Presentazioni simili
Elementi di Crittografia MAC e FUNZIONI HASH
Advertisements

La sicurezza dei sistemi informatici
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Microsoft Visual Basic MVP
Configuring Network Access
Public Key Infrastructure
Corso aggiornamento ASUR10
Laurea Magistrale in Informatica Reti 2 (2007/08)
Seminario Sicurezza a.a. 2001/2002 Barbara Anconelli
La sicurezza nelle Griglie
Sicurezza II Prof. Dario Catalano Errori di Implementazione.
Sicurezza II Prof. Dario Catalano Autentica Mediata.
Sicurezza II Prof. Dario Catalano Security Handshake Pitfalls.
Sicurezza II Prof. Dario Catalano Strong Password Protocols.
Lez. 13a1 Universita' di Ferrara Facolta' di Scienze Matematiche, Fisiche e Naturali Laurea Specialistica in Informatica Algoritmi Avanzati Funzioni Hash.
Autenticazione dei messaggi e funzioni hash
Per crittografia si intende la protezione
Introduzione alla firma elettronica
CRITTOGRAFIA La crittografia, ovvero la scienza dei messaggi segreti sicuri, nasce come raccolta di tecniche e sistemi per nascondere messaggi tra regnanti,
Politecnico di Milano Algoritmi e Architetture per la Protezione dellInformazione Multichannel Adaptive Information Systems Paolo Maistri Dipartimento.
Algoritmi Paralleli e Distribuiti a.a. 2008/09
Testo consigliato Crittografia, P. Ferragina e F. Luccio, Ed. Bollati Boringhieri, € 16.
Secure Shell Giulia Carboni
Università Degli Studi Di Perugia Sicurezza Informatica A.A. 2011/2012
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
Commercio Elettronico e Transazioni Commerciali in Internet Betty BronziniCorso di Sicurezza 2003.
Prof. Zambetti -Majorana © 2008
Ecdl modulo 7.
Un servizio di autenticazione per sistemi di rete aperti
Protocollo di autenticazione KERBEROS
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
INTRODUZIONE l sistema operativo è il primo software che lutente utilizza quando accende il computer; 1)Viene caricato nella memoria RAM con loperazione.
Internet Keyed Payment Protocol Pietro Montanari & Cosimo Basile.
LA CRITTOGRAFIA QUANTISTICA
Modulo 1 – Diritto dautore e aspetti giuridici u.d. 8 (syllabus – 1.8.2)
“ Firma Digitale “ Informatica e Teleradiologia
CORSO DI CRITTOGRAFIA Quinto incontro PROGETTO LAUREE SCIENTIFICHE
Il Comune di Pavia è tra i pochi comuni italiani a svolgere direttamente funzioni di Registration Authority.
“La firma elettronica per Pavia Digitale”
IPSec Fabrizio Grossi.
Nemesi Creazione e pubblicazione di una rivista online tramite l’utilizzo di Java Message Service.
Analisi e sperimentazione di una Certification Authority
La sicurezza dei sistemi informatici. Il sistema deve soddisfare i seguenti requisiti di sicurezza (CIANA)  Confidenzialità (Riservatezza)  Integrità.
UNIVERSITÀ DEGLI STUDI DI PAVIA Anno accademico 2009/2010 Sicurezza e frodi informatiche in Internet: la Firma Digitale come garanzia di autenticità e.
La Crittografia nell’ambito del protocollo HTTP Classe: V istituto professionale (gestione aziendale) Obiettivo 1: Generazione di competenze e preparazione.
PKI e loro implementazione Corso di Sisitemi Informativi Teledidattico A.A. 2006/07
Infrastruttura per la gestione distribuita di un sistema di prenotazione Progetto di: Fabio Fabbri Matricola
PROTOTIPO DI UN GIOCO DI STRATEGIA IN RETE Alberto Buccella Università degli studi di Bologna Facoltà di Ingegneria Corso di Ingegneria Informatica.
Reti di calcolatori Modulo 2 -Protocolli di rete TCP/IP Unità didattica 2 – Il protocollo TCP/IP Ernesto Damiani Università degli Studi di Milano - SSRI.
1 Corso di Sicurezza e Privacy Laurea Specialistica in Economia Informatica Università degli studi “G. D’Annunzio” Pescara A.A Prof. Stefano.
27 marzo 2008 Dott. Ernesto Batteta.  Le minacce nello scambio dei documenti  Crittografia  Firma digitale.
INTRODUZIONE A INTERNET
Sicurezza delle comunicazioni1 Introduzione Consistente sviluppo delle applicazioni telematiche dovuto a: –Evoluzione tecnologica delle trasmissioni –potenze.
Reti di calcolatori LS1 Service Middleware Reti di calcolatori LS progetto di Andrea Belardi Infrastruttura dedicata alla gestione di servizi disponibili.
Reti di calcolatori e sicurezza “Configurare il web-server Apache” a cura di Luca Sozio.
Università “G. d’Annunzio” Corso di Laurea Specialistica in Economia Informatica SECURE PROGRAMMING Prof. Stefano Bistarelli SEMINARIO “Authentication.
Prof. ing. Paolo Bidello AA 2005/2006 Laboratorio Informatico Promemoria degli argomenti: Reti locali (LAN)
Universita` degli studi di Perugia Corso di Laurea in Matematica Attribute Certificate Valentina Hamam Rosa Leccisotti.
1 Certificati a chiave pubblica strutture dati che legano una chiave pubblica ad alcuni attributi di una persona sono firmati elettronicamente dall’ente.
Agenda – Parte II La creazione del documento informatico e la firma digitale La classificazione del documento e il protocollo informatico La trasmissione.
Crittografia/ Steganografia
Informatica Lezione 10 Psicologia dello sviluppo e dell'educazione (laurea magistrale) Anno accademico:
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi.
La firma digitale. Che cosa é la firma digitale? La firma digitale è una informazione aggiunta ad un documento informatico al fine di garantirne integrità.
Applicazione Presentazione Sessione Trasporto Rete Data link Fisico OSI Processo / Applicazione Trasporto Rete- Internet Interfaccia di.
1 Il livello transport. Concetti fondamentali - Canale logico e canale fisico 2 Quando un segnale deve essere trasmesso, viene inviato su un Canale, cioè.
Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.
Un sistema di sicurezza dei dati.  La crittografia, il cui termine indica "nascosto", è la branca della crittologia che tratta delle "scritture nascoste",
Sicurezza dei Sistemi Informatici L.S. in Ingegneria Informatica Docente: Prof. Giuseppe Mastronardi CRITTOGRAFIA E CRITTOANALISI ATTACCHI AI SISTEMI DI.
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
Transcript della presentazione:

Università degli Studi “Gabriele d’Annunzio” Facoltà di Economia Corso di Laurea in Economia Informatica Specialistica Sicurezza e Privacy Protocolli che sfruttano la condivisione di chiavi crittografiche 5 dicembre 2007 Marco Bottalico

Introduzione La maggior parte dei protocolli per la costituzione di chiavi ed entità di autenticazione, si concentrano sul caso in cui ci sono 2 user che vogliono comunicare o stabilire una chiave di sessione: CASO DELLE 2 PARTI La maggior parte dei protocolli per la costituzione di chiavi ed entità di autenticazione, si concentrano sul caso in cui ci sono 2 user che vogliono comunicare o stabilire una chiave di sessione: CASO DELLE 2 PARTI Qui discuteremo la creazione della “chiave delle 2 parti” e i protocolli di autenticazione basati su algoritmi simmetrici. Qui discuteremo la creazione della “chiave delle 2 parti” e i protocolli di autenticazione basati su algoritmi simmetrici.

Classificare la creazione di protocolli “chiave delle 2 parti” Chiavi crittografiche disponibili a priori Chiavi crittografiche disponibili a priori I due soggetti condividono gia la chiave segreta Ogni soggetto condivide una chiave con uno o più server di fiducia Metodo di generazione di una chiave di sessione: problemi Metodo di generazione di una chiave di sessione: problemi Key transport Key agreement Hybrid

Tre classi di protocolli  Protocolli finalizzati a fornire entità di autenticazione senza creazione di una chiave  Protocolli che mirano a fornire la creazione di chiavi senza l’appoggio di un server, con protocolli di trasporto e di accordo sulle chiavi  Protocolli che puntano a fornire la creazione di chiavi usando un server, con protocolli di trasporto, di accordo e protocolli ibridi sulle chiavi

Notazione Denota che parte del messaggio è cifrato. M è il dato di input criptato con algoritmo simmetrico che è stato parametrizzato per mezzo di una chiave segreta K che prevede confidenzialità ed integrità Denota che parte del messaggio è cifrato. M è il dato di input criptato con algoritmo simmetrico che è stato parametrizzato per mezzo di una chiave segreta K che prevede confidenzialità ed integrità Sarà ad indicare che la criptazione del messaggio M con la chiave K fornisce solo la confidenzialità Sarà ad indicare che la criptazione del messaggio M con la chiave K fornisce solo la confidenzialità Indicherà una trasformazione unidirezionale del messaggio M con chiave K che fornisce solo l’integrità Indicherà una trasformazione unidirezionale del messaggio M con chiave K che fornisce solo l’integrità INTEGRITA’ : protezione dei dati e delle informazioni nei confronti delle modifiche del contenuto, accidentali oppure effettuate da una terza parte CONFIDENZIALITA’: protezione dei dati e delle informazioni scambiate tra un mittente e uno o più destinatari nei confronti di terze parti. Tale protezione deve essere realizzata a prescindere dalla sicurezza del sistema di comunicazione utilizzato

Prima classe di protocolli  Protocolli finalizzati a fornire entità di autenticazione senza creazione di una chiave  Protocolli che mirano a fornire la creazione di chiavi senza l’appoggio di un server, con protocolli di trasporto e di accordo sulle chiavi  Protocolli che puntano a fornire la creazione di chiavi usando un server, con protocolli di trasporto, di accordo e protocolli ibridi sulle chiavi

Protocolli con autenticazione di identità Nel 1993 IBM fu la prima a dimostrare un’amplia classe di protocolli di autenticazione. Il primo fu proposto da Bird: Nel 1993 IBM fu la prima a dimostrare un’amplia classe di protocolli di autenticazione. Il primo fu proposto da Bird: A invia a B la sua “nonce” (N A ) u e v sono 2 funzioni tali che K AB è neces- sario per calcolarle e non viene rilevato Se I (intruder) vuole attaccare il protocollo, e le funzioni u e v sono uguali, comincia un protocollo con B mascherandosi da A e fa la stessa cosa con A mascherandosi da B (sessioni parallele). In questo modo I potrà sembrare agli occhi di B di essere A. L’attacco ha dimostrato che le funzioni L’attacco ha dimostrato che le funzioni u e v devono essere diverse. u e v devono essere diverse.

Bellare-Rogaway MAP1 è un protocollo di autenticazione reciproco dove si fornisce una definizione formale di combinazioni di conversazioni. (K AB è la chiave condivisa da entrambi a priori) Bellare-Rogaway MAP1 è un protocollo di autenticazione reciproco dove si fornisce una definizione formale di combinazioni di conversazioni. (K AB è la chiave condivisa da entrambi a priori) EVE 1 Protocol è sostanzialmente uguale a MAP1 solo che le identità di A e B sono scambiate nelle righe. EVE 1 Protocol è sostanzialmente uguale a MAP1 solo che le identità di A e B sono scambiate nelle righe. I mascherato da B comincia sia il protocollo MAP1 con A e, in parallelo, inizia anche EVE1 sempre con A. Il questo modo riuscirà ad avere le chiavi di A. I mascherato da B comincia sia il protocollo MAP1 con A e, in parallelo, inizia anche EVE1 sempre con A. Il questo modo riuscirà ad avere le chiavi di A.

Lo standard internazionale ISO/IEC 9798 parte 2, specifica 6 protocolli che usano algoritmi di criptazione simmetrica: Lo standard internazionale ISO/IEC 9798 parte 2, specifica 6 protocolli che usano algoritmi di criptazione simmetrica: 4 forniscono solo entità di autorizzazione 2 realizzano scambio di chiavi che gia possiedono, oltre che fornire entità di autorizzazione I due ricercatori Woo e Lam crearono un protocollo di autenticazione unilaterale che fa uso di un server. Esso è solo centro per la traduzione delle chiavi: B sceglie il suo N B e sfida A a criptarlo con K AS. Alla ricezione della codifica, B chiede a S di crittarlo con K BS che lui può decrittare e controllare I due ricercatori Woo e Lam crearono un protocollo di autenticazione unilaterale che fa uso di un server. Esso è solo centro per la traduzione delle chiavi: B sceglie il suo N B e sfida A a criptarlo con K AS. Alla ricezione della codifica, B chiede a S di crittarlo con K BS che lui può decrittare e controllare

Comparazione tra protocolli Protocol Entità di autenticazione Prova di sicurezza? Attacchi provati Bird A + B NoSi MAP1 SiSi Unilaterale, 1 passo BNoNo Unilaterale, 2 passi BNoNo Bilaterale, 2 passi A + B NoNo Bilaterale, 3 passi A + B NoNo Woo-LamBNoSi

Seconda classe di protocolli  Protocolli finalizzati a fornire entità di autenticazione senza creazione di una chiave  Protocolli che mirano a fornire la creazione di chiavi senza l’appoggio di un server, con protocolli di trasporto e di accordo sulle chiavi  Protocolli che puntano a fornire la creazione di chiavi usando un server, con protocolli di trasporto, di accordo e protocolli ibridi sulle chiavi

Protocolli per la creazione di chiavi senza server È necessario che due utenti condividano una chiave segreta (K AB ). Possono inoltre entrambi richiedere che un utente generi una nuova chiave di sessione (K’ AB ) o entrambi forniscano quote per stabilirla.

RPC Protocol dove A e B compiono prima un handshacking usando una chiave che gia condividono (K AB ) e poi B manda ad A una nuova chiave di sessione K’ AB. Il nonce N A ed il nonce N B +1 sono scelti da A, mentre N’ B è scelto da B (non casualmente). RPC Protocol dove A e B compiono prima un handshacking usando una chiave che gia condividono (K AB ) e poi B manda ad A una nuova chiave di sessione K’ AB. Il nonce N A ed il nonce N B +1 sono scelti da A, mentre N’ B è scelto da B (non casualmente). ATTACCO su B: un intruso registra il messaggio 2 e lo sostituisce al 4 forzando A ad accettare una chiave di sessione che lui gia possiede. In questo modo, N A +1 diventa la chiave di sessione (che I sà) per scambiarsi messaggi con B. Questo è possibile se il nonce è prevedibile come un contatore (N A +1 ) mentre se esso è random, l’attacco è più difficile.

2PKDP Protocol di Janson-Tsudik usa 2 algoritmi di crittografia separati: uno garantisce confidenzialità (basato sullo XOR) ed uno autenticazione (che usa algoritmi MAC) 2PKDP Protocol di Janson-Tsudik usa 2 algoritmi di crittografia separati: uno garantisce confidenzialità (basato sullo XOR) ed uno autenticazione (che usa algoritmi MAC) Boyd Protocol consente ad entrambi (A & B) di aggiungere delle parti alla chiave stabilita. I messaggi che si scambiano, fanno uso di numeri casuali. Boyd Protocol consente ad entrambi (A & B) di aggiungere delle parti alla chiave stabilita. I messaggi che si scambiano, fanno uso di numeri casuali.

Lo standard internazionale ISO/IEC specifica 13 protocolli che usano algoritmi di criptazione simmetrici di cui 6 sono senza l’appoggio di un server e altri 7 contano su un server di fiducia (trattati alla fine). Lo standard internazionale ISO/IEC specifica 13 protocolli che usano algoritmi di criptazione simmetrici di cui 6 sono senza l’appoggio di un server e altri 7 contano su un server di fiducia (trattati alla fine). 2 forniscono solo una chiave di autenticazione implicita passandosi messaggi ed una funzione di derivazione per risalire alla nuova chiave di sessione. T A è un contatore inizializzato da A K’ AB = f (K AB,T A ) K’ AB = f (K AB,T A ) 4 sono una derivazione della specifica ISO/IEC aggiungendo una chiave per ogni messaggio criptato.

Comparazione tra protocolli Protocol Numero di passi Chi possiede la chiave di controllo Freschezza della chiave Autentica - zione della chiave ConfidenzialitàAttacco RPC Andrew 4BNoSiNoSi Janson-Tsudik3BSiSiSiNo Boyd2A/BSiSiNoNo ,11ASiSiBNo ,21ANoSiNoNo ,31ASiSiBNo ,42BSiSiBNo ,52A/BSiSiANo ,63A/BSiSiANo

1. La chiave di conferma deve essere ottenuta per mezzo di un responsabile poiché, il destinatario sa chi ne è in possesso: se il destinatario è I, lui sa chi ha la chiave, deve solo riuscire ad averla. 2. Nessuno di questi protocolli fornisce la conferma della chiave. Considerazioni

Terza classe di protocolli  Protocolli finalizzati a fornire entità di autenticazione senza creazione di una chiave  Protocolli che mirano a fornire la creazione di chiavi senza l’appoggio di un server, con protocolli di trasporto e di accordo sulle chiavi  Protocolli che puntano a fornire la creazione di chiavi usando un server, con protocolli di trasporto, di accordo e protocolli ibridi sulle chiavi

Protocolli per la creazione di chiavi con l’ausilio di un server Molti protocolli, assumono implicitamente che gli utenti non sono capaci di generare ottime chiavi di sessione e lasciano fare questo lavoro ai server. A & B sono due utenti che desiderano istituire una chiave di sessione S è il server condiviso K AS,K BS sono le chiavi gia condivise tra A ed S e tra B ed S K AB è la chiave di sessione che dovrà essere istituita tra A & B

Needham-Schroedler Protocol, realizza buone proprietà di chiave nel rispetto di A ma non in quello di B poiché, il secondo messaggio, crittato con la chiave segreta di A, include sia il nonce di A ma anche l’identità di B, assicurando ad A una chiave di sessione nuova K AB (prima non la possedeva) ed una chiave di autenticazione K BS nuova. Needham-Schroedler Protocol, realizza buone proprietà di chiave nel rispetto di A ma non in quello di B poiché, il secondo messaggio, crittato con la chiave segreta di A, include sia il nonce di A ma anche l’identità di B, assicurando ad A una chiave di sessione nuova K AB (prima non la possedeva) ed una chiave di autenticazione K BS nuova. B decripta il messaggio proveniente da A usando K BS e poi manda ad A il suo nonce per essere sicuro che il messaggio non è una replica. ATTACCO: l’handshake può essere sabotato da un intruso Per ovviare a questa situazione Demming & Sacco hanno introdotto un contatore per permettere di verificare la freschezza della chiave mandata. Per ovviare a questa situazione Demming & Sacco hanno introdotto un contatore per permettere di verificare la freschezza della chiave mandata. A,B,N A K AB A B K AB, A NBNB N B -1

Otway-Rees Protocol fornice simmetriche assicurazioni di freschezza di chiave (sia per A che per B) per mezzo di una seconda nonce generata da A. Otway-Rees Protocol fornice simmetriche assicurazioni di freschezza di chiave (sia per A che per B) per mezzo di una seconda nonce generata da A. Il protocollo è stato successivamente modificato sia da Barrows che da Abadi & Needhman. Il protocollo è stato successivamente modificato sia da Barrows che da Abadi & Needhman.

Kerberos Protocol fu sviluppato dal MIT per proteggere i fornitori dei servizi di rete nell’ambito del progetto ATHENA, a partire dai protocolli di Needham-Schroeder & Denning-Sacco. Kerberos Protocol fu sviluppato dal MIT per proteggere i fornitori dei servizi di rete nell’ambito del progetto ATHENA, a partire dai protocolli di Needham-Schroeder & Denning-Sacco. Kerberos Versione 4 la cui debolezza è che i metodi di criptazione utilizzati, non forniscono un’adeguata protezione d’integrità dei messaggi. Usa il “Plaintext Cipher Block Chaining encryption”. Kerberos Versione 5 usa CBC e fissa una checksum nel messaggio prima di criptarlo per fornire protezione d’integrità. Le 2 principali versioni sono:

Il protocollo Kerberos coinvolge :  Un utente che desidera usufruire di certi servizi (A )  Un server che fornisce questi servizi (B )  Un server di autenticazione (S ) che viene contattato dall’utente prima di accedere al server B. L’utente A chiede al server S di poter contattare il server B in sicurezza. S gli rilascia tra le altre cose un “ticket” che non può aprire. A lo invia a B. A lo invia a B. le chiavi di sessione generate da S per comunicare con B le chiavi di sessione generate da S per comunicare con B l’identità dell’utente A l’identità dell’utente A un timer dopo il quale le variabili di sessione non saranno più valide. un timer dopo il quale le variabili di sessione non saranno più valide. L’autenticatore contiene: l’identità dell’utente un marcatore orario che serve al server per capire severamente l’utente è in possesso della chiave di sessione fresca, contenuta nel ticket un marcatore orario che serve al server per capire severamente l’utente è in possesso della chiave di sessione fresca, contenuta nel ticket A B S A,B,N A {K AB,B,L,N A } K AS, {K AB,A,L} K BS (ticket) {A,T A } K AB, {K AB,A,L} K BS (autenticatore) (ticket) Esso contiene:

Lo standard internazionale ISO/IEC specifica 7 protocolli basati su server. Lo standard internazionale ISO/IEC specifica 7 protocolli basati su server. 4 si basano sul fatto che il server sceglie la chiave di sessione ed è considerato solo un centro per la distribuzione delle chiavi. 3 fanno in modo che la chiave di sessione è scelta da A o da B ed il server è considerato un centro per la traduzione delle chiavi facendo si che esse siano disponibili per tutti i richiedenti.

Wide-Mouthed-Frog Protocol dovuto a Burrows, non si basa sulla solita convinzione che gli utenti si fidino solo di un server per scegliere la chiave di sessione ma, al contrario, è inteso per un ambiente in cui gli utenti si fidino gli uni degli altri Wide-Mouthed-Frog Protocol dovuto a Burrows, non si basa sulla solita convinzione che gli utenti si fidino solo di un server per scegliere la chiave di sessione ma, al contrario, è inteso per un ambiente in cui gli utenti si fidino gli uni degli altri Yahalom Protocol è usato come protocollo di riferimento per fare ricerca sugli attacchi e testare nuove tecniche. Questo perché, avendo una struttura particolare, è molto soggetto ad attacchi subdoli. Yahalom Protocol è usato come protocollo di riferimento per fare ricerca sugli attacchi e testare nuove tecniche. Questo perché, avendo una struttura particolare, è molto soggetto ad attacchi subdoli. Janson-Tsudik 3PKDP Protocol usa 2 esecuzioni del protocollo di base 2PKDP: la prima tra A ed S e la seconda tra B ed S. Il protocollo raggiunge sia per A che per B, gli obiettivi di costituzione della chiave e quelli autenticazione dell’entità. Janson-Tsudik 3PKDP Protocol usa 2 esecuzioni del protocollo di base 2PKDP: la prima tra A ed S e la seconda tra B ed S. Il protocollo raggiunge sia per A che per B, gli obiettivi di costituzione della chiave e quelli autenticazione dell’entità.

Bellare-Rogaway 3PKD Protocol usa due trasformazioni crittografiche diverse: Bellare-Rogaway 3PKD Protocol usa due trasformazioni crittografiche diverse: ● un algoritmo di criptazione simmetrica ● un MAC algorithm La funzione di criptazione è derivata da una funzione chiave pseudo- random f K. La criptazione di un messaggio m usando f sotto una chiave condivisa K, è dove r è un numero random. L’algoritmo fornisce sia ad A che a B l’autenticazione della chiave e la sua freschezza, ma non dà entità di autenticazione è conferma della chiave.

Woo-Lam Protocol realizza una reciproca entità di autenticazione e la costituzione delle chiavi: A e B si scambiano nonce prima di contattare il server. Questo permette ad entrambi di includerli nel messaggio criptato mandato ad S. Woo-Lam Protocol realizza una reciproca entità di autenticazione e la costituzione delle chiavi: A e B si scambiano nonce prima di contattare il server. Questo permette ad entrambi di includerli nel messaggio criptato mandato ad S. ATTACCO: B forza A ad accettare due copie della stessa chiave di sessione come una nuova. Gong Protocol è basato sull’accordo delle chiavi. La chiave di sessione è derivata dalle informazioni fornite da A e da B e non dal server S. La parte ciptata del messaggio, include marcatori orari o delle nonce per garantire la freschezza della chiave. Gong Protocol è basato sull’accordo delle chiavi. La chiave di sessione è derivata dalle informazioni fornite da A e da B e non dal server S. La parte ciptata del messaggio, include marcatori orari o delle nonce per garantire la freschezza della chiave. K 1 e K 2 sono numeri random che servono per realizzare le chiavi di sessione da parte di A e B. Essi la elaborano a partire da f(K 1,K 2 ) dove f è una funzione unidirezionale.

Boyd Protocol fornisce autenticazione, freschezza e conferma di chiave in soli 4 messaggi. Sia gli utenti che il server, contribuiscono al valore della chiave. Boyd Protocol fornisce autenticazione, freschezza e conferma di chiave in soli 4 messaggi. Sia gli utenti che il server, contribuiscono al valore della chiave. ● N A & N B sono generati da A e B come input per la funzione MAC che determina le chiavi di sessione. ● S genera un K S che serve per la chiave MAC ● A & B calcolano la chiave di sessione come K AB =MAC K S (N A,N B ) Gong Hybrid Protocol nel quale si hanno 2 funzioni unidirezionali : Gong Hybrid Protocol nel quale si hanno 2 funzioni unidirezionali : ● g è usata per l’autenticazione ● g è usata per l’autenticazione ● f è usata per la chiave di derivazione (divisa in 3 componenti) ● f è usata per la chiave di derivazione (divisa in 3 componenti) ATTACCO: Se A ha cominciato il protocollo con B e registra la risposta dal server a B, entra in possesso del valore Output di f ( N S, N A,B,K BS ) e completa l’attacco forzano B ad accettare una vecchia chiave. = g ( K ’ AB,H’ A,H’ B,K BS )

Terza classe di protocolli  Protocolli finalizzati a fornire entità di autenticazione senza creazione di una chiave  Protocolli che mirano a fornire la creazione di chiavi senza l’appoggio di un server, con protocolli di trasporto e di accordo sulle chiavi  Protocolli che puntano a fornire la creazione di chiavi usando più di un server, con protocolli di trasporto, di accordo e protocolli ibridi sulle chiavi.

Protocolli per la creazione di chiavi con l’ausilio di più server Ci sono essenzialmente due benefici nell’utilizzo di più server per l’autenticazione di utenti: 1. Se uno o più server non sono disponibili, può comunque essere possibile per l’utente stabilire una chiave di sessione. 2. Se uno o più server sono inaffidabili, gli utenti possono comunque istituire una buona chiave di sessione con gli altri rimasti.

Gong propose molti protocolli basati su multi server ma tutti con le stesse caratteristiche: Gong propose molti protocolli basati su multi server ma tutti con le stesse caratteristiche: A & B scelgono come comporre le loro chiavi (K A,i ) & (K B,i ) e le condividono con i loro rispettivi server. Gli n server (S 1,S 2,…,S n ) sono un centro di trasferimento chiavi per consentire che esse siano disponibili tra i vari utenti. Il concetto fondamentale è che la chiave può essere recuperata se qualche server risulta non disponibile. Questo è possibile perché A & B scelgono x e y rispettivamente private, le dividono in quote e le distribuiscono ai vari server. Alla ricezione da parte di tutti i server, A è capace di ritrovare la Y segreta di B e viceversa. Per prevenire che un server maligno venga in possesso delle chiavi, A & B realizzano una checksum incrociata per tutte le condivisioni e la comparano con quella ricevuta dal server incriminato. Se il risultato è uguale, allora danno al server un credito e alla fine trattiene soli i server con i più alti crediti. In sostituzione si possono usare anche le nonce. Il numero di messaggi mandati in totale è 2n+3. A X=(x 1,x 2,x 3,x 4,x 5 ) B Y=(y 1,y 2,y 3,y 4,y 5 )

Chen-Gollmann-Mitchell Protocol: Chen-Gollmann-Mitchell Protocol: ● La scelta delle chiavi viene effettuata dai server (in Gong erano gli utenti a scegliere come comporle) ● La scelta delle chiavi viene effettuata dai server (in Gong erano gli utenti a scegliere come comporle) ● I server scelgono anche un valore segreto indipendente (in Gong lo condividevano. ● I server scelgono anche un valore segreto indipendente (in Gong lo condividevano. ● Gli utenti impiegano una checksum incrociata per avere garanzie sull’operato dei server. ● Gli utenti impiegano una checksum incrociata per avere garanzie sull’operato dei server. ● Si usa un metodo di crediti per la valutazione dei server onesti. ● Si usa un metodo di crediti per la valutazione dei server onesti. Il numero di messaggi mandati in totale è 2n+4. Protocollo a cascata: la richiesta non viene trasferita dal server 1 al prossimo tramite l’utente ma direttamente tramite server (tipo gNutella). Anche le risposte seguono questo percorso. Protocollo a cascata: la richiesta non viene trasferita dal server 1 al prossimo tramite l’utente ma direttamente tramite server (tipo gNutella). Anche le risposte seguono questo percorso. Alla fine, l’ultimo server manda le risposte totali degli altri direttamente all’utente iniziale. Il numero di messaggi mandati in totale è n+5. SVANTAGGIO: basta che un solo server non collabori per far fallire tutto il protocollo. Richiesta chiavi