Sicurezza II Prof. Dario Catalano Strong Password Protocols.

Slides:



Advertisements
Presentazioni simili
Elementi di Crittografia MAC e FUNZIONI HASH
Advertisements

Protocolli HB+ e HB# Lezione tenuta dal Presentazione realizzata da
La sicurezza dei sistemi informatici
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
Unità D1 Architetture di rete.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
Seminario Sicurezza a.a. 2001/2002 Barbara Anconelli
Sicurezza II Prof. Dario Catalano Errori di Implementazione.
Sicurezza II Prof. Dario Catalano
Sicurezza II Prof. Dario Catalano Introduzione. Il problema fondamentale di questo corso Alice e Bob vogliono comunicare utilizzando un canale non del.
Sicurezza II Prof. Dario Catalano Autentica Mediata.
Sicurezza II Prof. Dario Catalano Security Handshake Pitfalls.
Sicurezza II Prof. Dario Catalano Sistemi di Autentica.
Sicurezza II Prof. Dario Catalano Autentica di Umani.
RSA Monica Bianchini Dipartimento di Ingegneria dellInformazione Università di Siena.
Sicurezza dei sistemi informatici
IL PATRIMONIO DI DATI - LE BASI DI DATI. Il patrimonio dei dati Il valore del patrimonio di dati: –Capacità di rispondere alle esigenze informative di.
Sicurezza su Reti /2007 Commessa 1 : Protocollo di pagamento online utilizzato nella commessa.
Prof. Zambetti -Majorana © 2008
Autenticazione. Definizione L'autenticazione è il processo attraverso il quale è verificata l'identità di un computer o di una rete: è il sistema che.
1 Titolo Presentazione / Data / Confidenziale / Elaborazione di... ASP. Net Web Part e controlli di login Elaborazione di Franco Grivet Chin.
Progetto di una architettura per lesecuzione distribuita e coordinata di azioni Progetto per lesame di Reti di Calcolatori L-S Prof. Antonio Corradi Finistauri.
Distributed File System Service Dario Agostinone.
Ing. Enrico Lecchini BetaTre S.r.l.
Un servizio di autenticazione per sistemi di rete aperti
Protocollo di autenticazione KERBEROS
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
Il sistema integrato per la sicurezza dei tuoi dati da attacchi interni alla rete Quanti software proteggono i tuoi dati dagli attacchi esterni alla rete?
> Remote Authentication Dial In User Service
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
LA CRITTOGRAFIA QUANTISTICA
Centro di Assistenza Multicanale (C.A.M.) di Cagliari
. CONTABILITA' ONLINE GESTIONE DOCUMENTALE. COME FUNZIONA (IN BREVE) GESTIONE DOCUMENTI Consiste nella pubblicazione fisica dei documenti delle aziende.
Modulo 1 – la sicurezza dei dati e la privacy u.d. 7 (syllabus – 1.7.2)
CORSO DI CRITTOGRAFIA Quinto incontro PROGETTO LAUREE SCIENTIFICHE
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
CRITTOGRAFIA E FIRMA DIGITALE
Millicent INEXPENSIVE YET SECURE. Goal Inexpensive: Ridurre costi computazionali e peso delle comunicazioni Secure: Garantire che il costo dellattacco.
Presentazione Data Base Ovvero: il paradigma LAPM (Linux - Apache - PHP - mySQL) come supporto Open Source ad un piccolo progetto di Data Base relazionale,
Backup and Migrate, Captcha ReCaptcha e Spamicide Docente: Simone Zambenedetti. Moduli per la Sicurezza.
Amministrazione della rete: web server Apache
06/12/2007 Progetto cedolini online di Lottomatica Automatizzare il processo di consegna dei cedolini delle buste paga.
Applicazione Web Informatica Abacus Informatica Classe VIA 2008/2009 N.Ceccon INF (01) Revisione 4.0 settembre 2008.
UML.
Active Directory e Gestione Utenti di Valerio Di Bacco.
É UN HIDDEN SERVER DI POSTA PUOI COMUNICARE ANCHE CON LE MAIL DI INTERNET.
Version 1.0 Quick Guide 1.Cos’è e a cosa serveCos’è e a cosa serve 2.Come si presentaCome si presenta 3.Menù principaleMenù principale 4.ConfigurazioneConfigurazione.
Nemesi Creazione e pubblicazione di una rivista online tramite l’utilizzo di Java Message Service.
Analisi e sperimentazione di una Certification Authority
Implementazione di dizionari Problema del dizionario dinamico Scegliere una struttura dati in cui memorizzare dei record con un campo key e alcuni altri.
Gruppo mail Michele Michelotto. Indirizzi secondo livello Documento inviato alla lista CCR e a mailmgr Diversi commenti Servizio “best effort” in seguito.
MCSA Mobile Code System Architecture Infrastruttura a supporto della code mobility Pierfrancesco Felicioni Reti di Calcolatori L.S. 2005/2006.
Registrazione degli ospiti INFN e gestione del database via web M.Corosu, A.Brunengo INFN Sezione di Genova Linguaggio di programmazione: perl Web server:
Università degli studi di Roma “Tor Vergata” Facoltà di Ingegneria Dipartimento di Ingegneria Informatica Progetto e realizzazione di un sistema di localizzazione.
Relatore: Prof. Ing. Stefano SalsanoLaureando: Flaminio Antonucci.
27 marzo 2008 Dott. Ernesto Batteta.  Le minacce nello scambio dei documenti  Crittografia  Firma digitale.
Reti di calcolatori e sicurezza “Configurare il web-server Apache” a cura di Luca Sozio.
Progetto e Realizzazione di un servizio di Chat Progetto di: Nicoli Leonardo Corso di: Reti di Calcolatori L-S.
Presentazione Opac SOL Sebina Open Library 10 gennaio 2007 OPAC SOL e Sebina SBN: l’anagrafica utenti Federica Zanardini
NILDE UTENTI Come iscriversi a NILDE Utenti. PRIMO PASSO Per accedere al form d’iscrizione di NILDE utenti è necessario andare all’indirizzo:
Alex Marchetti Infrastruttura di supporto per l’accesso a un disco remoto Presentazione del progetto di: Reti di calcolatori L-S.
SnippetSearch Database di snippet bilanciato e replicato di Gianluigi Salvi Reti di calcolatori LS – Prof. A.Corradi.
CORSO INTERNET la Posta elettronica
12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.
TESINA DEL CORSO DI SICUREZZA DEI SISTEMI INFORMATICI: TOKEN OTP: DAI GENERATORI DI NUMERI PSEUDOCASUALI AI GENERATORI QUANTISTICI DI NUMERI REALMENTE.
Guida per l’accesso al Processo Civile Telematico Collegarsi al sito ed effettuarehttp://portalearchteramo.visura.it.
Copyright 2011 ST Net SRL – Ogni diritto è riservato è vietata la riproduzione anche solo parziale. V MONEYGUARD CASSAFORTE CON SOFTWARE CENTRALIZZATO.
Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.
ISTRUZIONI PER LA REGISTRAZIONE SUL SITO ED ATTIVAZIONE “TIM TUO”
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Transcript della presentazione:

Sicurezza II Prof. Dario Catalano Strong Password Protocols

Introduzione Problema: Alice vuole usare una workstation per autenticarsi in un server (Bob). Alice ha solo la sua pwd La workstation non possiede nessuna configurazione particolare (es. non ha accesso alla chiave privata di Alice). Il software installato sulla workstation e affidabile. Esistono vari modi in cui Alice puo usare la pwd per autenticarsi con Bob.

Vari approcci La pwd di Alice e trasmessa in chiaro a Bob Eseguire DH (anonimo) per stabilire un canale privato da utilizzare per trasmettere la pwd. Protegge contro origliatori ma non contro chi impersona Bob.

Vari approcci (cont) Calcolare lhash della pwd e utilizzarla come chiave segreta in un protocollo challenge/response Rimane il problema dellattacco del dizionario. Utilizzare uno schema del tipo One Time pwd (es. Lamport Hash) Utilizzare uno schema sicuro contro dictionary attacks. Oggi discuteremo queste due ultime soluzioni.

Lamports Hash Lo schema permette a Bob di autenticare Alice. Ne un origliatore ne un avversario che entra nel server di Bob potra impersonare Alice. Alice ricorda solo la propria password. Bob mantiene un database.

Il DB di Bob Per ogni utente Bob mantiene le seguenti informazioni Username n, intero (che viene decrementato ogni volta che lutente viene autenticato) Hash n (pwd)

Configurare i dati di Alice Alice sceglie la propria pwd ed un intero (suff. grande) n. Il software di registrazione calcola x 1 =hash(pwd) Quindi calcola x 2 =hash(x 1 ),…,x n =hash(x n-1 ). Vengono inviati a Bob x n e n.

Autentica Alice inserisce username e pwd nella workstation. La workstation invia lusername a Bob Bob risponde con n. La workstation calcola x=hash n-1 (pwd) e manda x a Bob. Bob calcola hash(x), se e uguale a x n Alice puo entare. Bob rimpiazza n con n-1 nel database.

Autentica (cont) Quando n arriva ad 1 il sistema deve essere re-inizializzato. Una nuova pwd deve essere scelta. Questo e piuttosto complicato in un sistema come quello considerato qui. In pratica, Alice sceglie una nuova pwd, calcola hash n (pwd), e trasmette hash n (pwd) e n (in chiaro) a Bob.

Aggiungere un seme Un valore casuale seed (seme) e scelto in fase di inizializzazione. Valore univocamente legato ad Alice e memorizzato nel DB di Bob. Il seme e concatenato alla pwd prima di calcolare lhash. hash n (pwd||seed)

Aggiungere un seme (cont) Per calcolare la pwd, il software di registraz sceglie seed (a caso) calcola x 1 =hash(pwd||seed), …, x n =hash(x n-1 ||seed). x n, n e seed sono inviati a Bob.

Vantaggi (nellutilizzare seed) Alice puo utilizzare la stessa password su tanti server (utilizzando ogni volta un seme diverso). Alice non ha bisogno di cambiare la pwd quando un dato n arriva a zero. Basta cambiare il seme e ripetere linizializzazione con il nuovo seme. Inoltre aggiungere un seme permette di fronteggiare un avversario che calcola hash n per tutte le possibili pwd del dizionario.

Proprieta dello schema Accedere al server di Bob non compromette la pwd di Alice. Rispetto ai sistemi a chiave pubblica e piu efficiente, ma ha altri svantaggi. Dictionary attack. E possibile autenticarsi un num limitato di volte prima di dover reinizializzare il sistema. Non si ha mutual authentication (Alice non puo essere sicura di parlare con Bob).

Small n attack Oscar impersona Bob e attende il tentativo di log in di Alice Quando Alice effettua il log in, Oscar invia un valore n piccolo (es. 20) Alice risponde con hash n (pwd). Oscar potra impersonare Alice presso il vero Bob (assumendo che il valore n memorizzato da Bob sia maggiore di n)

Contromisure La workstation potrebbe mostrare ln ricevuto dallumano (Alice) Se Alice ricorda il valore (approssimativo) di n le conseguenze dellattacco possono essere contenute.

Human and paper environment Ambienti dove la workstation non calcola lhash, es: Alice si collega da un terminale dumb La workstation non ha il software che implementa lo schema. La workstation non e fidata (Alice non vuole rivelare la propria pwd).

Human and paper environment (cont) Quando linfo (n,hash n (pwd)) e installata nel server, tutti i valori hash i (pwd), i<n, sono calcolati. Tali valori sono convertiti in formato digitabile, stampati e dati ad Alice. Quando Alice fa il log in, inserisce la stringa allinizio della pagina, e la cancella da foglio.

Human and paper environment (cont) Tale approccio non e soggetto allo small n attack. Considerato che una funzione hash restituisce un output di (almeno) 160 bit e assumendo di avere un alfabeto di (almeno) 64 caratteri, la stringa da inserire sarebbe (circa) 32 caratteri! Ci si potrebbe pero limitare alla meta

Strong Pwd Protocols Anche se Oscar origlia non puo effettuare un dictionary attack. Lon line pwd guessing rimane possibile Non vi e modo di evitarlo. Ma non e un attacco troppo pericoloso.

Bellovin Merritt (EKE) EKE: Encrypted key exchange Alice e Bob condividono un segreto W (hash della pwd di Alice) Idea di base: Alice e Bob effettuano uno scambio Diffie-Hellman cifrando i valori DH con W.

EKE Alice e Bob condividono W=hash(pwd) Alice Bob Alice, Enc(W;g a mod p) Enc(W;g b mod p, C 1 ) K=g ab Enc(K; C 1,C 2 ) Enc(K; C 2 )

Considerazioni La ragione (intuitiva) per cui il protocollo e sicuro contro origliatori e che il valore g a (e g b ) non ha nessuna forma facilmente identificabile. Chi impersona Alice o Bob puo verificare la correttezza di una (singola) pwd on line. Ma questo sarebbe, appunto, un attacco on line.

Dettagli sottili In realta e piuttosto complicato realizzare protocolli di questo tipo. Esiste unenorme quantita di dettagli che, se trascurati, potrebbero rendere possibile un dictionary attack. Guardiamo un esempio concreto.

Esempio (EKE) Supponiamo che p sia poco piu grande di una potenza di 2 (es 2 k-1 <p<2 k ). Enc e un cifrario che ha come spazio dei msg le stringhe di lunghezza (al piu) 2 k. g a mod p e sempre piu piccolo di p g a mod p < 2 k.

Lattacco Provo tutte le pwd. Per ognuna di esse provo a decifrare, se cio che ottengo e > di p allora la pwd e sbagliata. Se p e poco piu grande di una potenza di 2 k- 1, ho una probabilita significativa che una pwd sbagliata dia luogo ad un fenomeno del genere. Provando su un numero suff. di conversazioni posso arrivare abbastanza facilmente alla password effettivamente utilizzata.

Evitare lattacco Per evitare questo attacco e opportuno considerare un p che e POCO PIU PICCOLO di una potenza di due. Questo accorgimento rende bassa la probabilita che una pwd sbagliata decifri un valore chiaramente scoretto. Esistono molti altri attacchi (anche molto meno banali) che possono essere fatti su schemi di questo tipo. Costruire protocolli strong sicuri e estremamente complicato.

Protocolli ulteriormente rinforzati Se qualcuno conoscesse W, potrebbe impersonare Alice. Vorremmo un protocollo, che permetta di evitare tale problema. In altri termini, anche entrare nel DB di Bob non aiuta a spacciarsi per Alice. La versione rinforzata di EKE e un po troppo complicata per questo corso. Vediamo, quindi, un altro protocollo.

SRP (Secure Remote Password) Bob memorizza g W mod p. W e ottenuto dalla pwd di Alice tramite una funz. nota. Dunque Bob non conosce W esplicitamente. Il protocollo prevede che Bob scelga (ad ogni esecuzione) un valore casuale u (di 32 bit)

SRP Alice e Bob condividono W=hash(pwd) Alice Bob Alice, g a mod p (g W +g b ) mod p, u, C 1 K=g b(a+uW) Enc(K; C 1 ), C 2 Enc(K; C 2 )