Transcript طول عمر کلید جلسه

‫پروتكلهاي توزيع كليد دوسويه‬
Two-Parti Key Distribution Protocols
‫فهرست مطالب‬
‫اصول پروتكلهاي توزيع كليد‬
‫پروتكلهاي توزيع كليدغيرمتمركز مبتني بر رمز متقارن‬
‫پروتكلهاي توزيع كليدغيرمتمركز مبتني بر رمز نامتقارن‬
‫پروتكلهاي توزيع كليد متمركز مبتني بر رمز متقارن‬
‫جمع بندي‬
‫اصول پروتكلهاي‬
‫توزيع كليد‬
‫اصول پروتكلهاي توزيع كليد‬
‫رمزگشا‬
‫رمزگذار‬
‫كليد و سلسله مراتب آن‬
‫كليد اصلي ( براي رمز كليدها)‬
‫كليد جلسه (براي رمز داده ها)‬
‫‪KS‬‬
‫سلسله مراتب کلیدها‬
‫نحوه محافظت‬
‫حجم اطالعات‬
‫نوع‬
‫محافظت با رمزنگاری‬
‫داده‬
‫محافظت با رمزنگاری‬
‫کلید جلسه‬
‫محافظت فیزیکی‬
‫کلید اصلی‬
‫كليد جلسه و کلید اصلی‪ :‬مقایسه‬
‫• کلید اصلی‪:‬‬
‫ً‬
‫– طول عمر نسبتا زیاد‪،‬‬
‫– میزان استفاده محدود(فقط رمز نگاری کلیدهای جلسه)‪،‬‬
‫– خسارت گسترده درصورت افشاء‬
‫• کلید جلسه‪:‬‬
‫ً‬
‫– طول عمر نسبتا کوتاه‪،‬‬
‫– استفاده نامحدود در طول جلسه‪،‬‬
‫– خسارت محدود به داده های جلسه‬
‫طول عمر کلید جلسه‬
‫یک مصالحه میان امنیت و کارایی بر سر تعیین‬
‫طول عمر کلید جلسه بر قرار است‪.‬‬
‫• طول عمر کوتاه‪:‬‬
‫– امنیت باال‬
‫• حجم داده برای تحلیل رمز ناچیز است‬
‫• میزان استفاده کم است‬
‫• حتی پس از افشای کلید‪ ،‬زمان زیادی برای سوء استفاده موجود نيست‪.‬‬
‫– کارایی کم‬
‫• دائما باید کلید را به روز کنیم‬
‫• طول عمر زیاد‪:‬‬
‫– کارایی باال‪ ،‬امنیت کم‬
‫مبانی پروتکل های برقراری کلید‬
‫تعریف پروتکل های برقراری کلید‬
‫فهرست حمالت‬
‫حمله تكرار (‪:) replay attack‬‬
‫‪‬با تکرار غير مجاز پیامهای مجاز نسخه برداری شده‬
‫‪‬آسیب پذیری به علت عدم احراز تازگی پیام‬
‫حمله انعكاس( ‪) reflection attack‬‬
‫‪‬دشمن پیام اخذ شده را مجددا برای مبداء می فرستد تا با بهره گيری از پاسخ‬
‫آن‪ ،‬پاسخ پیام اول را ارائه نماید (ایجاد جلسه موازی با جلسه اول)‬
‫حمله درهمبافي (‪) interleaving attack‬‬
‫‪‬دشمن با برقراری چند جلسه موازی به طور همزمان نقشهای مختلفی را ایفا‬
‫می کند‪ .‬دشمن پیام دریافتی از یک طرف را برای طرف دیگر ارسال می کند تا از‬
‫پاسخ آن‪ ،‬پاسخ پیام اول را ارائه کند‪.‬‬
‫فهرست حمالت‬
‫حمله نوع ( ‪)type attack‬‬
‫در صورتی که فرمت پیامها یا بخشهایی از آنها با هم سازگار باشند دشمن قادر‬
‫خواهد بود آنها را به جای یکدیگر مورد استفاده قرار دهد‪.‬‬
‫حمله كليد معلوم (‪) known key attack‬‬
‫دشمن با فرض در اختیار داشتن کلیدهای قبلی به دنبال استنتاج کلید جلسه‬
‫فعلی است‪.‬‬
‫حمالت وابسته به پياده سازي‬
‫حمالت وابسته به سيستم رمز‬
‫اهداف امنيتي‬
‫امنيت وكليد‪:‬‬
‫پنهان سازي ‪ :‬کلید باید از چشم دشمن مخفی باشد‪ .‬اجرای پروتکل نباید هیچ‬
‫ایده ای بهتر از حدس تصادفی کلید در اختیار دشمن بگذارد‪.‬‬
‫‪ :Perfect Forward Secrecy‬لو رفتن کلید اصلی منجر به لو رفتن‬
‫کلیدهای جلسات قبلی نشود‬
‫‪ :Perfect Backward Secrecy‬لو رفتن کلید جلسه فعلی تهدیدی برای‬
‫لو رفتن کلید جلسات بعدی نشود‬
‫درستي‬
‫تازگي‬
‫عوامل مؤثر در كارآمدي‬
‫ميزان پردازش مقدماتي‬
‫تعداد پيامها ( تاخير)‬
‫حجم محاسبات‬
‫نياز به حفظ وضعيتها‬
‫ميزان نياز به طرف سوم‬
‫پهناي باند مورد نياز ( طول پيامها)‬
‫نيازبه همزماني طرفها‬
‫امكان ارتباط متعاقب ساده شده‬
‫ابزارهاي ارزيابي پروتكلها‬
‫رویکرد شهودی )‪(Heuristic Methods‬‬
‫امنیت عملی‬
‫روشهاي شكلي) ‪(Formal Methods‬‬
‫اثبات درستي‬
‫بازسازي حمله‬
‫روشهاي غيرشكلي) ‪(Informal Methods‬‬
‫امنيت قابل اثبات‬
Concepts and Classification
• Key establishment: a shared secret becomes available to
two or more parties, for subsequent cryptographic use.
– key transport protocol
• one party creates, and securely transfers it to the
other(s).
– key agreement protocol: key establishment technique
in which
• a shared secret is derived by two (or more) parties
– key pre-distribution vs. dynamic(session) key
establishment
• Use of trusted servers
– trusted third party, trusted server, authentication server, key
distribution center (KDC), key translation
center (KTC) and certification authority (CA).
‫پروتكلهاي غيرمتمركز‬
‫مبتني بر رمزمتقارن‬
‫پروتكل پايه‬
‫پارامتر‬
‫نانس‬
‫كليداصلي‬
‫كليدجلسه‬
‫شناسه آغازگر‬
‫شناسه مخاطب‬
‫عبارت رمز شده (دوطرفه)‬
‫عبارت رمز شده (يك طرفه)‬
‫مبادله پيام بين طرفها‬
‫نماد گذاري‬
‫‪A, N A‬‬
‫‪NX‬‬
‫‪K XY‬‬
‫‪KS‬‬
‫‪2‬‬
‫‪B‬‬
‫‪AB‬‬
‫‪B, K S , N B , N A K‬‬
‫‪A‬‬
‫‪B‬‬
‫‪XC‬‬
‫‪K‬‬
‫‪MAC K XC‬‬
‫‪X  Y : ....‬‬
‫‪1‬‬
‫‪S‬‬
‫‪A, N B K‬‬
‫‪A‬‬
‫‪3‬‬
AKEP1 ‫پروتكل‬
A, N A
1
A
B , N B , K S  h( N B ),
2
MACB , A, N A , N B , K S  h( N B )K
3
A, MACA, N B K
h( N B )  MACN B K AB
B
AB
AB
:‫مزيت‬
‫عدم استفاده از رمزدوطرفه‬
‫پروتكلهاي توزيع كليدغيرمتمركز مبتني بر رمز متقارن‬
‫• نياز به توافق بر روي كليد پيش از برقراري ارتباط بین هر دو نفر‬
‫• عدم مقیاس پذیری‪:‬‬
‫– براي ارتباط ‪ n‬نفر باهم به ‪ n(n-1)/2‬كليد احتياج داريم‪.‬‬
‫دو رويكرد اساس ي براي رفع اشكال‬
‫پروتكلهاي غيرمتمركز مبتني بر رمز نامتقارن‬
‫پروتكلهاي متمركز مبتني بر رمز متقارن‬
‫رويكرد اول ( متداول(‬
‫استفاده از سيستم رمز كليد عمومي‬
‫بكارگيري مكانيزم رمز ( ‪) P‬‬
‫بكارگيري مكانيزم امضا ( ‪) S‬‬
‫بكارگيري توام مكانيزمهاي رمز و امضا ( ‪ P‬و ‪) S‬‬
) P ( ‫بكارگيري مكانيزم رمز‬
Dd ( Ee ())  
Needham-Schroeder ‫ پروتكل‬:‫مثال‬
1
PB [ A, N A ]
PA[ B, N A , N B ]
A
2
B
3
PB [ N B ]
K s  H ( N A || N B )
‫فرايند حمله‬
1
PB [ A, N A ]
1`
A
PA [ N A , N B' ] 2
3
PB'[ A, N A ]
PA [ N A , N B' ] 2`
B
B`
PB [ N B' ]
3`
PB'[ N B' ]
Needham-Schroeder ‫ پروتكل‬:1 ‫اصالحيه‬
1
PB [ A, N A ]
PA [ N A , N B ]
A
3
N B K
S
2
B
) S ( ‫بكارگيري مكانيزم امضا‬
Ee ( Dd ())  
] Diffie & et al ]
e( x)  mx mod p
STS ‫ پروتكل‬:‫مثال‬
) ‫هلمن احرازاصالت شده‬-‫( سيستم ديفي‬
1
A, e( RA )
B, e(RB ),SB[ e(RB ),e(RA )]KS
A
3
A, S A[ e(RA ), e(RB )]KS
K S  e( RA RB )  e( RB RA )
2
B
‫بكارگيري توام مكانيزمهاي رمز و امضا ( ‪ P‬و ‪) S‬‬
‫مثال‪ :‬پروتكل ‪X.509‬‬
‫] ] ‪A, S A [ N A , B, PB [ K A‬‬
‫‪2‬‬
‫‪B‬‬
‫‪1‬‬
‫] ] ‪B, S B [ N B , N A , A, PA [ K B‬‬
‫] ‪A, S A [ N B‬‬
‫‪3‬‬
‫‪Ks  KA || KB‬‬
‫‪A‬‬
‫پروتكلهاي متمركز‬
‫مبتني بر رمز متقارن‬
‫انواع الگوهاي ارتباطي‬
‫‪: PUSH‬‬
‫تنها آغازگر بطور مستقيم با مركز در ارتباط است‬
‫‪: PULL‬‬
‫تنها مخاطب بطور مستقيم با مركز در ارتباط است‬
‫مخلوط ( ‪: ) MIXED‬‬
‫هر دو طرف بطور مستقيم با مركز در ارتباط هستند‬
‫پروتكلهاي مبتني بر ا لگوي ‪PUSH‬‬
‫سناريوي ‪: 1‬‬
‫‪1‬‬
‫درخواست‬
‫تحويل بليت ها‬
‫درخواست‪ +‬انتقال بليت‬
‫‪B‬‬
‫‪4‬‬
‫‪3‬‬
‫‪A‬‬
‫موافقت ‪ +‬وارس ي حضور‬
‫سوال‪-‬‬
‫جواب‬
‫احراز حضور‬
‫‪2‬‬
‫‪5‬‬
‫‪C‬‬
‫پروتكلهاي مبتني بر ا لگوي ‪PUSH‬‬
‫سناريوي ‪: 2‬‬
‫درخواست‬
‫‪2‬‬
‫‪1‬‬
‫موافقت ‪ +‬نانس‬
‫‪3‬‬
‫‪A‬‬
‫‪B‬‬
‫درخواست كليد ‪ +‬نانس ها‬
‫تحويل بليت ها‬
‫انتقال بليت‬
‫‪5‬‬
‫‪C‬‬
‫‪4‬‬
Needham-Schroeder‫پروتكل‬
)1 ‫(سناريوي‬
A, B, N A
2
1
N A , B, K S ,K S , AK K
BC
AC
3
C
A
K S , AK BC
N B K S
5
N B  1K S
!!!‫ آسیب پذیر است‬Replay attack ‫این پروتکل نسبت به‬
B
4
‫پروتكلهاي مبتني بر الگوي‪PULL‬‬
‫تنها سناريوي ممكن‪:‬‬
‫انتقال درخواست ‪ +‬نانسها‬
‫‪3‬‬
‫‪C‬‬
‫تحويل بليت ها‬
‫درخواست ‪ +‬نانس‬
‫‪1‬‬
‫‪2‬‬
‫‪B‬‬
‫‪4‬‬
‫‪A‬‬
‫انتقال بليت ‪ +‬وارس ي حضور‬
‫احراز حضور‬
‫‪5‬‬
Otway- Rees ‫پروتكل‬
1
I , A, B, N A , I , A, BK
AC
2
I , A, B , N A , I , A, BK
N B , I , A, BK BC
A
B
I , N A , K S K
AC
I , N A , K S K
AC
, N B, K S K
AC
,
C
BC
3
4
‫ عدد تصادفی است‬I ‫در این پروتکل‬
Otway- Rees ‫پروتكل‬
:‫حمله نوع عليه پروتكل‬
1
I , A, B, N A , I , A, BK
AC
A
B
I , N A , I , A, BK AC
4
C