Protokoly, identifikácia a autentizácia Flashcards
(139 cards)
1
Q
Na co nam mozu sluzit protokoly v krypto?
A
vymena kluca, autentizacia subjektu, pospisy, volby, …
2
Q
Od coho zavisi bezpecnost?
A
od schopnosti utocnika, ci vie pocuvat/modifikovat spravy
3
Q
Aky protokol chceme pouzit z hladiska bezpecnosti?
A
odolny voci nasilnejsiemu utocnikovi
4
Q
Ake su najznamejsie protokoly?
A
SSL/TLS, IPSec, SSH
5
Q
Ako vieme autentizovat ucastnika protokolu?
A
Zdieľaná tajná informácia (heslo/kľúč), Znalosť súkromného kľúča k verejnému kľúču
6
Q
Opis Diffieho Hellmanov protokol
A
slide 5
7
Q
Kde je pouzity variant DH protokolu?
A
v SSL/TLS
8
Q
Opis bezpecnost DH protokolu
A
- pri pasívnom útočníkovi
- nie je bezpečný pri aktívnom útočníkovi uprostred (MITM)
- ochrana spočíva v zabezpečení autentickosti správ (napr. dig. podpismi)
9
Q
Opis ako prebieha MITM attack na DH protokol
A
slide 6
10
Q
V akych protokoloch su pouzite varianty DH protokolu? Akym sposobom?
A
TLS, IPSec, SSH2
slide 7
11
Q
Opis SSL/TLS
A
Protokol na transportnej vrstve (nad TCP/IP), zabezpečuje intergitu a dôvernosť
V podstate ľubovoľný protokol nad SSL
Najčastejšie: HTTP/SSL (https)
Aktuálne TLS 1.3
12
Q
Aka je skratka SSL?
A
Secure Socket Layer
13
Q
Aka je skratka TLS?
A
Transport Layer Security
14
Q
Opis zakladne charakteristiky SSL/TLS
A
slide 9
15
Q
Ake su 4 SSL protokoly?
A
- Record Protocol – spodná vrstva (šifrovanie, MAC,
kompresia) - Handshake Protocol – autentizácia (jednostranná - server, alebo vzájomná - aj klient), dohoda o kryptografických algoritmoch, dohoda o šifrovacom kľúči a MAC kľúči
- Alert Protocol - oznamovanie chybových hlášok (napr. certificate_expired)
- Change Cipher Spec Protocol – „prepnutie“ aloritmov
16
Q
Opis co sa deje na slide 11
A
slide 11
17
Q
Ako prebieha TLS RSA výmena klucov?
A
slide 12
18
Q
Ako prebieha TLS DH vymena klucov?
A
slide 13
19
Q
Aka je vyhoda TLS DH vymeny oproti TLS RSA?
A
Útočník poznajúci tajný kľúč servera (Lavabitu) môže vystupovať ako daný server (Lavabit) pre kohokoľvek, ale Nemôže dešifrovať predchádzajúcu komunikáciu
20
Q
Co je tom heartbleed utok?
A
Zraniteľnosť v rozšírení „Heartbeat“ pre OpenSSL, „keep alive“ pre TLS, Rozšírenie heartbeat zabezpečovalo, aby nebolo potrebné zakaždým negociovať nové kľúče
Chyba v implementácii umožnila na diaľku čítať pamäť servera
21
Q
Ako funguje heartbleed?
A
TODO
slide 16-18
22
Q
Ake hodnoty vedel ovladat v heartbleed utoku klient?
A
Payload + padding
23
Q
Kolko obsahu servera vedel utocnik precitat pri heartbleed?
A
64kb
24
Q
Co je to cloudbleed utok?
A
Cloudflare buffer overflow
„ a single mistyped character in code used to parse HTML created a buffer overflow error on Cloudflare servers“
Bug umožnil tretím stránám čítať pamäť servera
25
Co je to apple goto fail?
slide 21-22
26
Co je to BEAST utok?
Aplikovateľný na šifrovacie schémy bežiace v CBC móde v rámci SSL 3.0 a TLS 1.0
Využíva nedostatočnú náhodnosť IV v týchto šifrovacích schémach
Predpoklady: Zapnutý JavaScript – „Man in the browser“ – útočník cez JavaScript posiela na server dotazy, Možnosť byť „Man in the middle“ – odpočúvať a posielať packety v sieti
27
Co moze utocnik pri beast utoku napriklad?
odhaliť „session cookie“ obete (napr. Do stránky PayPal.com)
=> t.j. pracovať so systémom v mene obete
28
opis fungovanie beast utoku
slide 24
29
Ake TLS protokoly nie su odolne voci BEAST utoku?
TLS 1.1 a 1.2
30
Opis CRIME utok
slide 28
31
ako vieme zabranit CRIME utoku?
Zabránime mu vypnutím kompresie v prehliadači / na serveri
32
Co je to error message attack?
Server implementujúci kryptografický protokol môže reagovať rôzne, ak (zašifrované) dáta ktoré prijal majú
* správny tvar (napr. otvorený text má správny padding)
* nesprávny tvar (napr. otvorený text má nesprávny
padding)
33
opis error message attacky, su 2
slide 31
34
v com je princip Lucky 13 utoku?
ak má správa zlý padding – čas odpovede je iný ako v prípade správneho paddingu
35
Co je problem pri Lucky 13?
ako urcit co je payload, mac tag a padding v pripade zleho paddingu
36
Opis poodle utok
slide 35
37
Co vie zistit utocnik pri poodle utoku?
napr posledny znak cookie, potom utocnik spravi druhu iteraciu s posunutym cookie => ziska predposledny znak atd.
38
Co je to IPSec?
Bezpečnostný „doplnok“ k IP vrstve
39
Ake su oblasti posobnosti IPSec?
dôvernosť, autentickosť, správa
kľúčov
40
Ake su vyhody IPSec?
Je to nizkourovnovy protokol, teda
* zabezpečená celá komunikácia nad IP
* transparentné pre aplikácie
* možnosť vytvoriť VPN
* integrácia do sieťových zariadení (smerovače a pod.)
41
Ake su nevyhody IPSec?
Nevýhody:
* SW implementácia (v operačnom systéme) zaťažuje server
* Identita zariadenia, nie používateľa/aplikácie
42
Ake su zakladne protokoly IPSec?
* AH (Authentication Header) - len autentickosť/integrita
* ESP (Encapsulating Security Payload) - šifrovanie a voliteľne autentickosť/integrita
43
Ake su 2 mody IPSec?
* Transportný mód (spracúvajú sa vybrané časti IP paketu)
* Tunelovací mód (zabalenie celého IP paketu do nového) protokolov – možnosť vytvoriť VPN
44
Ako prebieha a co to je identifikacia a autentizacia?
slide 43
45
Aky moze byt vystup protokolu o identifikacii a autentizacii?
* akceptácia, t.j. identita P je pravá, komunikácia pokračuje
* zamietnutie, ukončenie komunikácie
* v niektorých prípadoch aj tzv. „session key“ – dočasný kľúč na šifrovanie danej relácie
46
Ake su ciele identifikacie a autentizacie?
* Korektnosť: V prípade poctivých strán P, V: V akceptuje identitu P
(Ne)prenositeľnosť: V nemôže zneužiť komunikáciu a vydávať za P pre tretiu stranu C
(Ne)falšovateľnosť: Žiadna tretia strana C sa nemôže vydávať za P pre V.
Robustnosť: Predchádzajúce vlastnosti zostávajú v platnosti aj v prípade veľkého množstva vykonaní protokolu.
“Real-time”: Autentizácia sa musí uskutočniť v realnom čase.
47
Na zaklade coho moze prebiehat autentizacia?
Toho co mam, toho co som, toho co viem
48
Na co sa vyuziva identifikacia a autentizacia?
* (Kontrolovaný) prístup k zdrojom
* Logovanie / monitoring používateľov (kto čo robí)
* Účtovanie (kto čo využíva)
alebo vytvorenie session kluca
49
Ake su 4 vlastnosti protokolov na Id. a aut.?
slide 47
50
Co su hesla? Co poskytuju?
Poskytujú tzv. slabú autentizáciu, Zdieľané tajomstvo medzi používateľom a systémom
51
Ake su dosledky pouzitia hesiel?
* Systém musí mať uložené heslá (v nejakej forme)
* Používateľ musí systému ukázať svoje heslo (cez nejaký komunikačný kanál)
52
Aky je problem ulozenia hesiel v otvorenom tvare?
Bez akejkoľvek ochrany súboru - zjavne nebezpecne
Read / write ochrana v operačnom systéme - admin ma pristup ku vsetkym heslam, backup nemusi byt chraneny
53
Ako teda ukladat hesla?
ireverzibilne + soľ + iterácie
54
Co je to sol?
náhodný) individuálny reťazec
* Pridávaná pri výpočte odtlačku
* Znemožňuje útočníkovi predvýpočty, paralelné prehľadávanie rovnakých hesiel (vedú k rôznym odtlačkom)
55
Co dosahujeme iteraciami pri heslach?
spomalenie výpočtu odtlačku
Spomalenie overenia hesla (nevadí), spomalenie útoku (vyhovuje)
56
Ake su vhodne algoritmy na hesla?
PBKDF2, bcrypt, scrypt
57
preco je zle heslo zle bez ohladu na ulozenie?
slovníkový útok
58
Ako prebieha posielanie hesiel?
slide 51
59
Aky je to utok na hesla opakovanim?
Odpocujem komunikaciu a poslem
60
Aky je to utok na hesla uplnym preberanim?
Útočník skúša všetky možné heslá
61
Ako sa viem chranit pred utokom na hesla uplnym preberanim?
zvýšiť veľkosť hesiel a / alebo limitovať počet (online) pokusov
62
Co ak ma utocnik pristup k db hesiel?
moze robit offline utok a priamo porovnavat bez ochrany
63
Co je to slovnikovy utok?
Útočník skúša iba heslá zo slovníka – aj najväčší slovník má iba 250 000 slov,
64
daj priklad na slovnikovy utok
linkedin, slide 56
65
porovnaj uplne preberanie s predvypoctom a bez predvypoctu
slide 57
66
Opis Hellmanove tabulky
Namiesto ukladania celej množiny možných hesiel a ich hašov počítame tzv. reťazce hašov
Heslá sú organizované v reťazcoch hašov, iba prvý a posledný prvok reťazca je zapamätaný v tabuľke
67
Opis retazec pri hellmanovych tabulkach na slide 58
slide 58-59
68
Aka je to online faza Hellmanovych tabuliek?
slide 60
69
Opis zlozitost hellmanovych tabuliek
slide 61
70
Co to su duhove tabulky?
slide 62
71
co je skratka TMTO?
Time-memory tradeoff
72
Aky rychly je TMTO utok?
TMTO útok nie je nikdy celkovo rýchlejší ako brute-force
73
kedy ma vyznam TMTO utok?
* Útok sa opakuje niekoľko krát
* „Útok počas obednej prestávky“
* Útočník nie je veľmi výkonný, avšak má možnosť stiahnuť si tabuľky
74
Ake su podmienky na TMTO utok?
* Problémrozumnejveľkosti
* Jednosmerná funkcia (alebo CPA útok na šifrovom texte)
75
Co zabranuje TMTO utokom?
pouzitie soli
76
Ako sa vieme ochranovat voci utokom na hesla?
- kontrola sily hesla - Zabrániť používateľom zvoliť si slovníkové heslo.
- max. doba platnosti hesla, min. doba platnosti hesla
- použiť pomalú hašovaciu funkciu, Napr. iterovať štandardnú hašovaciu funkciu niekoľko krát
- pridanie nahodnej soli
- Blokovanie prístupu po x neúspešných prihláseniach
77
Opis hesla v unixe na slide 65
slide 65
78
Ake su problemy s manazmentom hesiel?
slide 66
79
Preco treba rozumne pristupovat k obmedzeniam hesiel?
Ak heslo musí byť príliš zložité - pouzivatel si ho zapise
Ak si heslo musí používateľ často meniť - zvolí si jednoduchšie heslo
Veľa systémov vyžadujúcich heslo
80
Co je to PIN?
Personal Identification Number
Používané spolu s nejakým tokenom, smart-kartou, kreditkou a pod.
81
Aky dlhy je PIN a ako ho ukladame?
4-8 cislic
* Môže a nemusí byť uložený v tokene (online vs. offline)
* Môže byť odvoditeľný (hašovaním) z tajného kľúča a identity uloženej v tokene
* Token obsahuje údaje na identifikáciu, PIN slúži na overenie vlastníctva tokenu – dvojstupňová autentizácia
82
Co je to passkey?
Password derived key
Z PINu / hesla sa pomocou jednosmernej funkcie vygeneruje kľúč
Kľúč je následne použítý na zabezpečenie komunikácie
Overovateľ pozná PIN / heslo, môže si teda vygenerovať
kľúč
Možné skombinovať heslo so soľou
83
Co to su jednorazove hesla?
Snaha o elimináciu útoku opakovaním
Zdieľaný zoznam hesiel
Variácia: Tabuľka challenge-response dvojíc (grid?)
84
ako funguju sekvencne aktualizovane hesla?
* Začináme so zdieľaným heslom
* Pri autentizácii s použitím hesla i, používateľ pošle nové heslo i+1, zašifrované heslom i
85
Co je to Lamportova schema?
Sekvencie hesiel s využítím jednosmernej funkcie: Lamportova schéma
86
Opis setup Lamportovej schemy
slide 71
87
Ako prebieha i-ta iteracia Lamportovej schemy?
slide 72
88
Aky je problem Lamportovej schemy?
Útok opakovaním nie je možný, avšak schéma je zraniteľná v prípade ak útočník získa w pred uskutočnením protokolu a problémy robia straty spojenia
89
Aka je vyhoda lamportovej schemy?
Malé komunikačné nároky
90
Aka je alternativna schema k lamportovej?
P pošle serveru dvojicu (r, H(r, p)), kde r je zakaždým iné (napr. poradové číslo), p je zdieľané heslo
vyzaduje ulozenie hesla na serveri
91
Co je to challenge-response autentizacia?
Tzv. silná autentizácia
Dokazovateľ dokáže znalosť nejakého tajomstva cez challenge-response protokol
Odpoveda na casovo zavisly challenge
moze vyuzivat symetricke aj asymetricke sifrovanie
92
Na co su casovo zavisle parametre?
Zamedzujú útokom opakovaním
93
Ake 3 typy casovo zavislych parametrov pozname?
* Náhodné hodnoty
* Sekvenčné číslovanie
* Časové pečiatky
94
Co znamena nonce?
New and once
* Hodnota parametra musí byť zakaždým iná
* Je potrebné zabezpečiť integritu a autentickosť parametrov – naviazať ich na ostatné posielané správy
95
Ako funguju nahodne hodnoty? (casovo zavisly parameter)
Overovateľ V vygeneruje náhodnú hodnotu r, Pošle ju P ako „challenge“
P odpovie správou, ktorá je „zviazaná“ s r, „zviazanosť“ s r zabezpečuje čerstvosť
96
Ake su problemy nahodnych hodnot? (casovo zavisly parameter)
* Opakovanie hodnoty r (narodeninový paradox)
* Predvídateľnosť r – generovanie náhodných čísel nie je jednoduché
* Komunikačná zložitosť
97
Ako funguje sekvencne cislovanie?
Číslovanie správ poslaných medzi P a V, Monotónne rastúce číslovanie
98
Ake su problemy sekvencneho cislovania?
* Potreba dlhodobo uchovávať aktuálne poradové číslo
správy
* Synchronizácia
* Potreba riešiť výpadky spojenia a pod.
* Nemožnosť detekovať „forced delay“ útok
99
Ako funguju casove peciatky?
Do každej posielanej správy zakomponujeme časovú pečiatku, akceptujeme len správy s časovou pečiatkou, ktorá je v rámci nejakého akceptovateľného časového okna
100
Ake su nevyhody casovych peciatok?
Nutná synchronizácia hodín, Potreba ukladať prijaté časové pečiatky v rámci daného časového okna, čas sa stáva kritickým prvkom systému
101
Ako prebieha challenge-response autentizacia?
Obe strany A,B zdieľajú nejaký tajný kľúč k
protokoly na slide 79
102
Ako prebieha vzajomna autentizacia v challenge-response?
slide 80
103
ako prebieha challenge-response s vyuzitim hasovacich funkcii?
slide 80
104
Ako prebieha challenge-response autentizacia s vyuzitim asymetrickych technik?
slide 81
105
Co plati pre zakladne challenge-response protokoly?
* Sú dvojstranné protokoly, t.j. bez tretej strany
* Dokazovateľ aj overovateľ si dôverujú
* Predpokladajú distribúciu kľúčov medzi komunikujúcimi stranami
106
Ak pre challenge-response prokotol neplati, ze Predpoklada distribúciu kľúčov medzi komunikujúcimi stranami, tak čo?
Je potrebné využiť 3. stranu na výmenu / distribúciu kľúčov – napr. KDC (Key Distribution Center)
107
Co je to key distribution center? KDC?
Server na distribúciu kľúčov, Každý používateľ zdieľa so serverom tajný kľúč
108
Naco je KDC?
Nech si netreba pamatat kluce vsetkych
109
Opis Needhamov-Schroederov protokol
slide 84-85
110
Aka je pouzivana alternativa Needham-Schroederovho protokolu?
Kerberos protokol
111
Aky je utok na needhamov-schroederov protokol?
slide 86
112
Ake su 4 utoky na autentizacne protokoly?
Paralelný beh protokolov, Útok zrkadlením, “Chosen text” útok, „Forced delay“ útok
113
Aky je to utok paralelnym behom protokolov?
Odpočuté / prijaté správy v jednom protokole využijeme pri
paralelnom behu druhého protokolu
114
Aky je to utok zrkadlenim?
Špeciálny prípad predošlého útoku - paralelnym behom
Príklad: 2 paralelné šachové partie – raz som čierny, raz biely
115
Co je to chosen text utok?
* Útočník si volí hodnoty parametrov tak, aby jednoduchšie
odhalil informácie o tajnom kľúči
* CPA / CCA útok na šifrovaciu schému
116
Co je to forced delay utok?
Útočník odpočuje správu (zvyčajne obsahujúcu sekvenčné číslo) a použije ju neskôr (po prípadnom dešifrovaní hrubou silou)
117
Co je cielom identifikacie a autentizacie?
Dokázať (vzájomnú) identitu: Počas behu protokolu, dokazovateľ by nemal odhaliť svoje
tajomstvo útočníkovi
118
Aky je problem s fixnymi heslami?
* Ak je heslo posielané v otvorenom tvare, útočník ho odpočuje
* Ak je heslo posielané šifrovane, útočník ho môže zopakovať
119
Zopakuj challenge-response protokoly
* Zabraňujú útokom opakovaním s využitím časovo závislých
parametrov
* Útočník však môže získať nejakú informáciu o tajomstve - „Chosen-text“ útoky,
* Overovateľ môže poznať tajomstvo
120
Co to su zero knowledge protokoly?
Dokazovateľ dokáže overovateľovi znalosť tajomstva bez toho, aby odhalil akúkoľvek informáciu o tajomstve
121
Na com su postavene zero knowledge protokoly?
na interaktívnych dôkazoch:
* Pravdepodobnostná verzia „dôkazu“
* Úlohou dokazovateľa je presvedčiť overovateľa o pravdivosti nejakého tvrdenia cez výmenu správ
122
Ake to su interaktivne dokazy na autentizaciu?
Dôkaz znalosti nejakého tajomstva na základe odpovedania na otázky, pričom správne odpovede vyžadujú znalosť tohto tajomstva
123
Co ocakavame od interaktivnych dokazov?
Úplnosť, korektnosť
124
Kedy je interaktivny dokaz uplny?
Ak sú obidve strany čestné, dôkaz (protokol) skončí
úspešne s veľkou pravdepodobnosťou
125
Kedy je interaktivny dokaz korektny?
ak existuje efektívny algoritmus M, ktorý
* Ak je útočník schopný úspešne prebehnúť protokol (presvedčiť overovateľa),
* potom M môže byť použité na extrakciu informácie z daného útočníka, ktorá môže byť použitá na ďalšie úspešné absolvovanie protokolu. Inak povedané, útočník pozná to tajomstvo
126
Kedy ma protokol vlastnost zero knowledge?
ak Existuje efektívny algoritmus - „simulátor“ S, ktorý
* dostane na vstupe tvrdenie, ktoré má dokázať
* bez interakcie s dokazovateľom je schopný generovať transcript neodlíšiteľný od skutočného behu protokolu
T.j. dokazovateľ neodhalí žiadnu informáciu o svojom tajomstve, okrem tej, ktorá je vypočítateľná z verejne dostupných údajov
127
Ake su vyhody a nevyhody zero knowledge protokolov oproti ostatnym?
vyhody:
Dlhodobé opakovanie protokolu neznižuje bezpečnosť
Nevyžadujú šifrovanie (politické dôvody)
nevyhody:
Zvyčajne menej efektívne
Postavené na nedokázaných predpokladoch
„Asymptotické“ dôkazy ZK vlastnosti
128
Aky je to Fiatov Shamirov protokol?
Postavený na probléme počítania odmocnín modulo veľké n = p.q - ekvivalentne faktorizacii
129
Ako prebieha setup Fiat-Shamirovho protokolu?
slide 93
130
Ako prebieha komunikaciua v fiat-shamirovom protokole?
slide 94
131
Ako to je s moznostami utocnika v Fiat-Shamirovom protokole?
slide 95-96
132
Porovnaj teda rozne autentizacne schemy identifikacie a autentizacie
slide 97
133
Aka je motivacia za zdielanim tajomstva?
slide 99
134
Aka je definicia zdielania tajomstva?
slide 100
135
Aka je idea za Shamirovou schemou?
Polynóm 𝑓 stupňa 𝑛 môžeme popísať 𝑛 + 1 bodmi
T.j. 𝑛 + 1 dvojicami (𝑥, 𝑓(𝑥))
136
Ako prebieha inicializacia a rozuzlenie tajomstva v Shamirovej scheme?
slide 102
137
Ako prebieha rekonstrukcia tajomstva v Shamirovej scheme?
slide 103
138
Dokaz bezpecnost Shamirovej schemy
slide 104
139
ako moze byt vizualne zdielanie tajomstva?
mame bitovy obrazok cierna biela, dame na 2 casti a ich xor je vysledny obrazok
slide 105
