Počítačové sítě Lekce 9 Ing. Jiří ledvina, CSc. Ověřování a protokoly Počítačové sítě Lekce 9 Ing. Jiří ledvina, CSc. Klepněte a vložte poznámky.

Ověřovací servery Slouží k ověření „pravosti“ uživatele Používá symetrické šifrování Lepší utajení klíčů Volba opravdu, ale opravdu náhodných hodnot Používá se KDC (Key Distribution Center) – databáze klíčů (je tajná a indexována podle jmen uživatelů) Existují protokoly vzájemného ověření Pro symetrické i nesymetrické šifrování Příklad – ověřování pomocí Kerberos serveru 8.4.2008 Počítačové sítě

Protokoly vzájemného ověření Základní vlastnosti protokolů pro vzájemné ověřování Důvěryhodnost Prevence proti maškarádě a kompromitaci relačního klíče Vyžaduje existenci sdíleného klíče nebo veřejných klíčů Časová souslednost Prevence proti útoku opakováním (replay attack) Jednoduché sekvenční číslování je nepraktické Časové značky – vyžadují synchronizované hodiny Třídy protokolů Přímé ověřování - vzájemné ověření dvou entit Problém napadení, generování klíče, … S ověřovacím serverem Dvouúrovňový hierarchický systém s KDC (Key Distribution Center) 8.4.2008 Počítačové sítě

Protokoly vzájemného ověření Oba způsoby lze realizovat pomocí symetrického nebo asymetrického šifrování Metody založené na symetrickém šifrování Sdílení tajného klíče s každou entitou Generování relačního klíče Relační klíče mají krátkou dobu života (eliminace prozrazení tajného klíče) Použití ověření + šifrování přenosu Metody založené na asymetrickém šifrování Distribuce veřejného klíče mezi entitami Znalost veřejného klíče KDC Veřejný klíč KDC slouží k ověření pravosti KDC 8.4.2008 Počítačové sítě

Protokoly vzájemného ověřování, přímé ověřování, symetrické šifrování Základní varianta A → B: [ A ] B → A: [ NB ] A → B: [ f( K ║ NB ) ] A → B: [ NA ] B → A: [ f( K ║ NA ) ] Redukce počtu zpráv A → B: [ A ║ NA ] B → A: [ NB ║ f( K ║ NA ) ] Útok T → B: [ A ║ NA ] B → T: [ NB ║ f( K ║ NA ) ] T → B: [ A ║ NB ] B → T: [ N‘B ║ f( K ║ NB ) ] T → B: [ f( K ║ NB ) ] Modifikace A → B: [ A ] B → A: [ NB ] A → B: [NA ║ f( K ║ NB ) ] B → A: [ f( K ║ NA ) ] 8.4.2008 Počítačové sítě

Protokoly vzájemného ověřování, přímé ověřování, asymetrické šifrování Základní varianta (asymetrické šifrování) A → B: EKB+ [ A ║ NA ] B → A: EKA+ [NA ║ NB ] A → B: EKB+ [NB ] Útok (Gavin Lowe) A → U(A): EKU+ [ A ║ NA ] U(A) → B: EKB+ [ A ║ NA ] B → U(A): EKA+ [NA ║ NB ] U(A) → A: EKA+ [NA ║ NB ] A → U(A): EKU+ [NB ] U(A) → B: EKB+ [NB ] B je přesvědčen, že komunikuje s A U(A) má k dispozici [NA ║ NB ], které může např. použít ke konstrukci relačního klíče. 8.4.2008 Počítačové sítě

Protokoly vzájemného ověření s ověřovacím serverem Needham-Shroeder (1978) Otway-Ress (1987) Andrew Secure RPC handshake (1987) Wide-mouthed-frog protocol (1989) Kerberos protocol (1987) Zdroj: www.lsv.ens-cachan.fr/spore cca 49 protokolů 8.4.2008 Počítačové sítě

Protokoly vzájemného ověření s ověřovacím serverem Needham-Schroeder, symetrické šifrování Používá náhodná čísla pro identifikaci zpráv IDA, IDB jsou identifikátory entit KAB je relační klíč pro komunikaci A a B KA, KB jsou šifrovací klíče pro komunikaci KDC s A a KDC s B. A → KDC: [IDA ║ IDB ║ N1] KDC → A: EKA [KAB ║ IDB ║ N1 ║ EKB [KAB ║ IDA] ] A → B: EKB [KAB ║ IDA] útok – zachycení, prolomení, podvrhnutí → časové značky B → A: EKAB [ N2 ] A → B: EKAB [ N2 -1 ] 8.4.2008 Počítačové sítě

Protokoly vzájemného ověření s ověřovacím serverem Needham-Schroeder, nesymetrické šifrování Útok Gavin Lowe 1995 A → KDC: [IDA ║ IDB] KDC → A: EKS- [KB+ ║ IDB ] A → B: EKB+ [NA ║ IDA] → A → T: EKT+ [ NA ║ IDA] B → KDC: [IDA ║ IDB] T → B: EKB+ [ NA ║ IDA] KDC → B: EKS- [KA+ ║ IDA ] B → A: EKA+ [ NA ║ NB ] → B → T: EKA+ [ NA ║ NB ] T → A: EKA+ [ NA ║ NB ] A → B: EKB+ [ NB ] → A → T: EKT+ [ NB ] T → B: EKB+ [ NB ] 8.4.2008 Počítačové sítě

Protokoly vzájemného ověření s ověřovacím serverem Otway Rees (1997) Symetrické šifrování A → B: [ M ║ IDA ║ IDB ║ EKA [NA ║ M ║ IDA ║ IDB ] ] B → KDC: [ M ║ IDA ║ IDB ║ EKA [NA ║ M ║ IDA ║ IDB ] ║ EKB [NB ║ M ║ IDA ║ IDB ] ] KDC → B: [ M ║ EKA [NA ║ KAB ] ║ EKB [NB ║ KAB ] ] B → A: [ M ║ EKA [NA ║ KAB ] ] 8.4.2008 Počítačové sítě

Protokoly vzájemného ověření s ověřovacím serverem Andrew Secure RPC (1987) Symetrické šifrování Modifikace BAN (Burrows, Abadi, Needham 1989) Modifikace Garwin Lowe 1996 A → B: [ IDA ║ NA ] B → A: EKAB [ NA ║ K´AB ║ IDB ] A → B: EK´AB [ NA ] B → A: [ NB ] K´AB – nový relační klíč NB – nové náhodné číslo 8.4.2008 Počítačové sítě

Protokoly vzájemného ověření s ověřovacím serverem Wide-mouthed frog protocol (1989) Modifikace Gavin Lowe Symetrické šifrování A → KDC: [A ║EKA [ TSA ║ IDB ║ KAB ] ] KDC → B: EKB [ TSKDC ║ IDA ║ KAB ] ] B → A: EKAB [ NB ] A → B: EKAB [ NB +1] 8.4.2008 Počítačové sítě

Protokoly vzájemného ověření s ověřovacím serverem Denningovo distribuční schéma Používá časové značky TS Používá symetrické šifrování Časová značka musí být |C – TS| < ∆t1 + ∆t2 Znovupoužití relačního klíče může být detekováno B A → KDC: [ IDA ║ IDB ] KDC → B: EKA[ KAB ║ IDB ║ TS ║ EKB[ KAB ║ IDA ║ TS ] ] A → B: EKB[ KAB ║ IDA ║ TS ] B → A: EKAB[ N1 ] A → B: EKAB[ f(N1) ] 8.4.2008 Počítačové sítě

Distribuce veřejného klíče Veřejný klíč je možné šířit v otevřené podobě Existuje nebezpečí podvržení veřejného klíče Útok typu Man in the Middle Problém bezpečné distribuce veřejného klíče řeší certifikáty Problém vydávání, ověřování a zneplatnění certifikátu řeší certifikační autority 8.4.2008 Počítačové sítě

Certifikát Certifikát je podepsaná zpráva zaručující, že dané jméno je spojeno s veřejným klíčem Běžně omezeno časově Ověření certifikátu se děje na základě znalosti veřejného klíče certifikační autority Certifikát může také obsahovat informaci o službách, které držiteli zaručuje 8.4.2008 Počítačové sítě

Certifikát Certifikát je blok dat (soubor), obsahující Verze (V3) Sériové číslo (02 1c 6a) Algoritmus podpisu (md5RSA) Vystavitel (CN = CA GE Capital Bank, OU = Direct Banking, O = GE Capital Bank, a.s., C = CZ) Platnost od (28. dubna 2003 12:31:30) Platnost do (27. dubna 2005 12:31:30) Předmět (E = ledvina@kiv.zcu.cz, CN = uid: 120295, CN = Ing. Jiri Ledvina, ... adresa) Veřejný klíč (30 81 87 02 81 81 00 bf 4a ... ) 8.4.2008 Počítačové sítě

Certifikát Pokračování Distribuční místo (URL=http://www.gecb.cz/ca_ge.crl) Použití klíče (Digitální podpis, Zakódování klíče) Algoritmus miniatury (sha1) Miniatura (72 19 13 5c 6a 9b 4e ab 30 cf 6b 6f 49 df 15 c0 62 94 79 09) Popisný název (Ing. Jiri Ledvina) Certifikát musí být nezpochybnitelný – zneplatnění certifikátu Existují různé formáty certifikátů Personal Information Exchange (PEX), PKCS #12 (P12) (Public Key Cryptography Standard) Cryptographic Message Syntax Standard PKCS#7 (P7B) PGP certifikáty 8.4.2008 Počítačové sítě

Public Key Infrastructure (PKI ) Infrastruktura pro podporu použití šifrování veřejným klíčem PKI zahrnuje Certifikační autority Certifikáty Úložiště pro obnovu certifikátů Metody pro zneplatnění certifikátů Metody pro vyhodnocení řetězu certifikátů od známého veřejného klíče po cílové jméno 8.4.2008 Počítačové sítě

Certifikační autorita Důvěryhodná entita, která udržuje seznam veřejných klíčů pro ostatní entity CA generuje certifikáty CA dovede potvrdit pravost veřejného klíče Není třeba komunikovat s vlastníkem veřejného klíče 8.4.2008 Počítačové sítě

Modely důvěrnosti Monopoly model Monopoly plus RA Delegování CA Oligarchy model Anarchy model 8.4.2008 Počítačové sítě

Monopoly model Jedna CA je důvěryhodná pro všechny Všichni musí mít certifikát od této CA Veřejný klíč CA je základem důvěry a musí být zahrnut do všeho software i hardware používajícího PKI Nevýhoda Neexistuje taková důvěryhodná organizace Pokud takovou vybereme, těžko zvolíme jinou Celý svět by ji využíval (výkonnost, bezpečnost) Neexistovala by soutěž (cena) 8.4.2008 Počítačové sítě

Monopoly plus RA RA – registrační autorita Registrační autority jsou přidružené k jedné CA a je jim důvěřováno RA kontrolují identitu uživatelů a poskytují CA odpovídající informaci (identitu a veřejný klíč) při vydávání certifikátů výhoda Více míst pro vydávání certifikátů Monopol pro registraci 8.4.2008 Počítačové sítě

Delegované CA Kořenová CA vydává certifikáty ostatním CA (delegovaným CA), zaručujíc jejich důvěryhodnost jako CA Uživatelé mohou obdržet certifikáty od delegovaných CA jako by to bylo od kořenové CA Výhoda – více CA, menší nebezpečí úzkého místa Vydávání závisí na jednom CA Obtížnější ověřování certifikátu Uživatel musí prohledávat řetěz certifikátů Uspořádání do hierarchie prohledávání ulehčuje 8.4.2008 Počítačové sítě

Oligarchy model Existuje několik důvěryhodných CA Je akceptován certifikát vydaný kteroukoliv z nich Obecně jsou takto konfigurovány web prohlížeče Výhoda – konkurence CA Snížení bezpečnosti Možnost vložit do seznamu nedůvěryhodnou CA Potřeba chránit více CA před kompromitováním 8.4.2008 Počítačové sítě

Anarchy model Kdokoliv může podepsat certifikát pro kohokoliv Neexistuje CA nebo seznam CA určený uživatelům Uživatelé si sami určují kdo je důvěryhodný Uživatelé si musí sami nalézt řetězec od důvěryhodné CA k cíli Certifikáty mohou být od Zdrojů Subjektů Veřejných úložišť – web serverů Výhody Mnoho potenciálních důvěrných kořenů Není třeba zavádět drahou infrastrukturu 8.4.2008 Počítačové sítě

Anarchy model Bezpečnost Je důvěra tranzitivní Co je to dost dobrá důvěra 8.4.2008 Počítačové sítě

Rušení certifikátů CA může zrušit certifikát s veřejným klíčem pokud jej uživatel nechce dále používat Kompromitování certifikátu Náhrada klíče (nový klíč) Ukončení členství ve skupině (organizaci) Způsoby informování ostatních Broadcast Uložení na veřejném místě Všichni se ptají CA 8.4.2008 Počítačové sítě

Revocation list CA může periodicky vysílat CRL Delta CRL Podepsaný CA Před použitím certifikátu musí být prohlédnut CRL Nevýhoda – četnost vysílání CRL Nevýhoda počet certifikátů Delta CRL Vysílají se pouze změny Podstatně kratší Celý seznam se vysílá méně často Potřeba prohlédnou zěny i celý CRL 8.4.2008 Počítačové sítě

On-line Revocation Servers ORLS je systém serverů, který může být dotazován na stav jednotlivých certifikátů Musí obsahovat celý CRL Místo toho by bylo možné udržovat seznam nezrušených certifikátů Nevýhoda je v délce seznamu 8.4.2008 Počítačové sítě

Protokoly pro bezpečnou komunikaci Kerberos Kerberos – ověřování v systému Orion na ZČU V řecké mytologii Kerberos nebo Cerberus hlídal záhrobí. Obrovský tříhlavý pes s hadem místo ocasu a s nepočitatelně hadími hlavami na zádech. Hlídal bránu do záhrobí, aby mrtví nemohli ven a živí dovnitř. Vznikl v souvislosti s projektem Athena v MIT Zajišťuje ověřování uživatelů a požadovaných služeb Architektura server/klient K ověřování využívá důvěryhodnou třetí stranu (ověřovací server AS) 8.4.2008 Počítačové sítě

Úvod Vyžaduje prokazování identity klienta pro každý požadavek na službu Klient se prokazuje heslem pouze jednou (přihlašování) Heslo se nikdy nepřenáší sítí a není uloženo ani v paměti Každý klient a každá služba mají heslo Všechna hesla zná pouze ověřovací server Existuje Kerberos V4 a Kerberos V5 8.4.2008 Počítačové sítě

Požadavky uživatelů Povolení přístupu podle počítače Kontrola identity uživatele Požadavek dokazování identity pro každou službu Předpokládá, že uživatelé ovládají počítače (boot) Předpokládá, že síť není bezpečná 8.4.2008 Počítačové sítě

Požadavky na identifikační mechanizmus Bezpečný, nedovoluje maskování se Spolehlivý, musí se jevit jako celek jako systém služeb Transparentní, uživatel o něm neví Odstupňovaný, uživatel nemusí být "kerberizovaný" Požadavek na bezpečnost se přesouvá na několik bezpečných serverů Úrovně ochrany ověřování při přihlašování ověřování každé zprávy (zabezpečení pravosti zprávy) ověřování a šifrování (zabezpečení soukromí) 8.4.2008 Počítačové sítě

Databáze Databáze Kerbera obsahuje jméno uživatele a jeho privátní klíč umožňuje ověření Kerbera i uživatele pro uživatele generuje dočasné klíče (relační klíče) použití zejména pro šifrovanou komunikaci dvou klientů citlivé informace jsou v Kerberu ostatní v serveru HESIOD (řecký pěvec a básník žijící asi 700 let p.n.l.) 8.4.2008 Počítačové sítě

Šifrování Používá DES, Kerberos V5 i jiné šifrovací algoritmy Metody šifrování zprávy CBC (Cypher Block Chaining) – pro daný blok cn+1 = E(mn+1  cn) PCBC (Propagated CBC) – pro celou zprávu cn+1 = E(mn+1  mn  cn) 8.4.2008 Počítačové sítě

Servery Administrativní server Ověřovací server (Kerberos server) KDBM (Kerberos Database Management) zajišťuje přístup do databáze Kerbera klient může být kdekoliv, server u databáze Ověřovací server (Kerberos server) provádí pouze operace čtení nad databází ověřování uživatelů generování relačních klíčů může pracovat s kopiemi databází uživatelské programy přihlašování do Kerbera změna hesla zobrazení tiketů ničení tiketů 8.4.2008 Počítačové sítě

Jména Primární jméno – jméno uživatele nebo služby Instance – name.instance@realm pro uživatele – jkl.root, jkl.admin pro sužbu – rlogin.stroj Realm – jméno administrativní entity, která obhospodařuje ověřovaná data 8.4.2008 Počítačové sítě

Pověření (Credentials) Tickety (lístky) – časově omezený "průkaz" opravňující čerpat nějakou službu, šifrovaný blok dat obsahující identitu klienta a jeho požadavku každý požadavek na službu vyžaduje ticket ticket zajišťuje přístup jednoho klienta k jedné službě tickety vydává Ticket Granting Server (TGS), který má přístup ke všem šifrovacím klíčům tickety nemají vztah ke klientům – pouze zajišťují přístup k serverům Každý ticket má omezenou dobu života (hodiny, dny) {S, C, IPC, TS, TTL, KS,C}K(S) 8.4.2008 Počítačové sítě

Pověření (Credentials) Authenticators (ověřovače) umožňuje ověřit pravost klienta, šifrovaná informace o klientovi (pro jedno použití) {C, IPC, TS}K(S,C) 8.4.2008 Počítačové sítě

Ticket {S, C, IPC, TS, TTL, KS,C}K(S) Může být použit vícekrát (omezeno dobou života – hodiny, dny) Obsahuje následující informace jméno serveru (S) jméno klienta (C) IP adresu stroje klienta (IPC) časové razítko (TS) dobu života ticketu (TTL) náhodný relační klíč (KS,C) Šifrováno klíčem serveru, kterému je určen (KS) 8.4.2008 Počítačové sítě

Authenticator {C, IPC, TS}K(S,C) Slouží k ověření pravosti klienta (údaje o klientovi se porovnají s údaji v ticketu) Vystaven klientem pro jedno použití Obsahuje následující informace jméno klienta (C) IP adresu stroje klienta (IPC) běžný čas Šifrováno relačním klíčem K(S,C) 8.4.2008 Počítačové sítě

Získání prvotního ticketu Klient zadá jméno a pošle AS požadavek přístupu k TGS (otevřený text) Klient zadá heslo, převede je na klíč KC a dešifruje zprávu od AS Obdrží relační klíč pro komunikaci s TGS (KC,tgs) a ticket pro komunikaci s TGS {TC,tgs}Ktgs C: {C, tgs} AS: {KC,tgs, {TC,tgs}Ktgs}KC 8.4.2008 Počítačové sítě

Získání prvotního ticketu Ticket obsahuje jméno klienta, jméno TGS, čas, dobu života, IP adresu klienta a relační klíč pro komunikaci klient – TGS Informaci není možné změnit, protože je šifrována tajným klíčem Ktgs pro komunikaci AS – TGS Ticket TC,tgs jméno klienta, jméno TGS, čas, dobu života, IP adresu klienta, relační klíč pro komunikaci klient – TGS Klient KC,tgs a {TC,tgs}Ktgs schová, KC a heslo smaže. 8.4.2008 Počítačové sítě

Získání ticketu pro server Pro každý server je třeba jiný ticket Tickety poskytuje TGS (Ticket Granting Server) Klient vytvoří authenticator AC, obsahující jméno klienta, IP adresu a čas Zašifruje jej relačním klíčem KC,tgs, přidá {TC,tgs}Ktgs a pošle požadavek TGS C: {S, {TC,tgs}Ktgs , {AC}KC,tgs} TGS: {{TC,S}KS , KC,S} KC,tgs} 8.4.2008 Počítačové sítě

Požadavek na službu C: {{TC,S}KS , {AC}KC,S} S: {{TS+1}KC,S} Klient má ticket pro vybraný server Opět (aplikace) vytvoří authenticator AC, obsahující jméno klienta, IP adresu a čas Zašifruje jej relačním klíčem KC,S, přidá {TC,S}KS a pošle požadavek serveru S Server dešifruje požadavek, porovná jméno klienta, IP adresu, čas, dobu platnosti Klient vyžaduje vzájemné ověření Server pošle zpět hodnotu časové značky zvýšenou o 1 C: {{TC,S}KS , {AC}KC,S} S: {{TS+1}KC,S} 8.4.2008 Počítačové sítě

Přihlášení klienta na server s ověřením (shrnutí) C  AS: [C, tgs] AS  C: [{KC,tgs, {TC,tgs}Ktgs}KC] C  TGS: [S, {TC,tgs}Ktgs , {AC}KC,tgs] TGS  C: [{KC,S {TC,S}KS , } KC,tgs] C  S: [{TC,S}KS , {AC}KC,S] S  C: [{TS+1}KC,S] 8.4.2008 Počítačové sítě

Operace databáze Kerbera Operace read – používá se pro ověřování (ochrana – není možné data modifikovat) Operace r/w – administrativní operace – údržba databáze Prováděny tzv. administrativní službou – Kerberos Database Management Service (KDBM) Opravy jsou prováděny do master kopie, neběží-li, nemohou být prováděny Požadavky uživatelů na změnu hesla kpasswd – změna hesla, přidání/ubrání uživatele, přidání/ubrání služby kadmin – klientský program administrátora 8.4.2008 Počítačové sítě

Administrativní protokol C  AS: [C, kdbm] AS  C: [{KC,kdbm, {TC,kdbm}Kkdbm}KC] C  KDBM: [S, {TC,kdbm}Kkdbm , {AC}KC,kdbm] (požadavek S = {kadmin | kpasswd}) 8.4.2008 Počítačové sítě

Replikace databáze Každý realm (království) má master Kerberos server (hlavní) Údržba master copy databáze Mohou existovat kopie v podřízených Kerberos serverech Problém údržby konzistentní databáze – přepis každou hodinu kprop – program pro posílání obrazu databáze kpropd – daemon v podřízených serverech Nejprve se pošle kontrolní součet databáze (šifrovaný klíčem pro komunikaci master – slave Kerberos (Master Database Key)) Pak se pošle databáze a zkontroluje se kontrolní součet Všechna hesla v databázi jsou šifrována pomocí Master Database Key 8.4.2008 Počítačové sítě

Programy Kerbera kinit – přihlášení do Kerbera program pro obdržení nového ticketu od ověřovacího serveru (AS) implicitně tgt, ale i jiné tickety (kinit –S <service_name>) klogin – pokud máme ticket, umožní přihlásit se na počítač klist – výpis všech ticketů uživatele kdestroy – vymazání ticketů 8.4.2008 Počítačové sítě

Kerberos v5 K reprezentaci syntaxe používá ASN.1 Není jednoduché číst Velmi flexibilní (Volitelná pole, proměnná délka polí, rozšiřitelný soubor hodnot) Rozšířený soubor šifrovacích algoritmů Podporuje delší dobu života ticketů Podporuje více adres v ticketu Zavádí předauthentikaci – obrana proti útokům na heslo Dovoluje delegování uživatelských práv 8.4.2008 Počítačové sítě

Delegování práv Delegování – předání práv někomu jinému aby mohl využívat naše služby Klasické řešení bez delegování Předání mého klíče nebo hesla někomu jinému Předání mých tiketů někomu jinému Kerberos v5 podporuje následující metody A požádá KDC o vytvoření TGT ticketu se síťovou adresou B Předání TGT s odpovídajícím relačním klíčem do B A požádá KDC o vytvoření TGT přímo pro B se síťovou adresou B A vezme TGT a předá jej B Spolu s „autorizačními daty“ které budou poslány do aplikační služby 8.4.2008 Počítačové sítě

Delegování práv Tranzitivní delegování B deleguje do C práva, delegovaná do B z A TGT: dovoluje to, pokud je označen jako „forwardovatelný“ Tikety: dovoluje to, pokud je označen jako „proxiable“ (zastupitelný) 8.4.2008 Počítačové sítě

Pre-authentikace Druhá zpráva je šifrována klíčem KC AS  C: [{KC,tgs, {TC,tgs}Ktgs}KC] Revize: A posílá do AS předautentikační data Časová značka šifrovaná sdíleným klíčem KC Dokazuje, že zná klíč 8.4.2008 Počítačové sítě

Obnova ticketů Tikety ve v5 mají prodlouženou platnost Musí být ale periodicky obnovovány Obsahují Čas autorizace Počáteční a koncový čas (platný od – do) Čas do kterého musí dojít k obnově Tiket, kterému vypršela doba platnosti nemůže být obnoven Musí se požádat o nový tiket Tikety mohou být také „datovány post “ Platí až v budoucnosti 8.4.2008 Počítačové sítě

Kryptografické algoritmy Zajištění integrity zpráv MD5 + šifrování výsledku DES s využitím sdíleného tajného klíče Šifrování plus integrita Základ – DES/CBC s CRC Rozšíření – 3DES s HMAC/SHA1 Nově – AES/CBC s HMAC/SHA1 8.4.2008 Počítačové sítě

Zavedení konverzačních klíčů Použití různých klíčů pro různá spojení s týmž serverem Realizováno při předávání ticketu z klienta do serveru Omezuje použití relačního klíče pouze pro tuto relaci 8.4.2008 Počítačové sítě

Ověřování mezi oblastmi Oblasti (realms) – skupina zdrojů sdílená jednou autoritou z hlediska ověřování Často je to totéž jako DNS doména Označováno jménem domény Oblast obsahuje KDC (Key Distribution Center) – TGS, AS, databáze Uživatele Servery Pokud potřebuje uživatel přistupovat ke službám v jiných oblastech? 8.4.2008 Počítačové sítě

Ověřování mezi oblastmi Pokud potřebuje uživatel přistupovat ke službám v jiných oblastech Jednoduché řešení – vyžaduje registraci uživatele ve všech oblastech Uživatel se musí ověřovat ve všech znova Složitější řešení KDC vzájemně kooperují při ověřování Inter-realm authentication Předem se musí domluvit na sdílených klíčích Pokud chce klient přistupovat ke službám v jiné oblasti, musí požádat o cross-realm TGT Ten pak použije při požadování cizí služby 8.4.2008 Počítačové sítě

Ověřování mezi oblastmi 8.4.2008 Počítačové sítě

Protokol SSL Petr Dvořák

Obsah prezentace Co je SSL Popis protokolu Ukázka Použití v praxi Nejprve řeknu co to je a k čemu nám je protokol SSL, pak jej podrobněji popíši. Potom bude následovat ukázka zachycení SSL komunikace. A nakonec povím něco o možnostech použití SSL ve vlastních aplikacích. 8.4.2008 Počítačové sítě

Co je SSL SSL zajišťuje bezpečnou komunikaci SSL specifikuje, jak kombinovat jiné protokoly pro: autentizaci šifrování kompresi SSL asi není třeba příliš představovat. Všichni se s ním stále setkáváte při přihlašování na Stag,jumbo nebo internetového bankovnictví. Je to tedy jakýsi doplňující protokol pro jiné aplikační protokoly. Sám o sobě nedělá nic převratného. 8.4.2008 Počítačové sítě

Aplikační vrstva (e.g. http) Protokolový zásobník Aplikační vrstva (e.g. http) SSL Transportní vrstva (e.g. tcp) Síťová vrstva Linková vrstva Fyzická vrstva Record protokol Handshake protokol Alert Protocol Change Cipher Spec Protocol Jak jsem řekl, SSL poskytuje služby aplikačnímu protokolu. Nachází se tedy mezi aplikační a transportní vrstvou. Samotný SSL se skládá z H a R protokolu. 8.4.2008 Počítačové sítě

Record protokol K čemu slouží Příprava pro odeslání rozděluje data do bloků - fragmentace volitelně data zakomprimuje vypočte zabezpečovací informaci (MAC) šifruje předá nižší vrstvě Zpracování přijatých dat Nachází se nad transportní vrstvou Uchovává informace vyjednané při navazování spojení (jde o sever/klient, algoritmy, master secret, atd.) Fragmentage – max. 16KB, male zprávy společne, blok si nese info. Komu patří (změna sifrovani, signální, handshake, aplikační) Komprimace – volitelná, objem dat se nezvětší o víc jak 1KB, původní standard neurčuje konkrétní algoritmus zvolit MAC – aby nikdo nemohl pozměnit data, hash funkce z MAC secret, dat a pořadového čísla bloku, ochrana man-in-the-middle Šifrování – šifruje data (včetně MAC), proudové a blokové v modu CBC, klíče vezmeme z master secret náhodných dat klienta a serveru dáme hash funkci a rozdělíme 8.4.2008 Počítačové sítě

Handshake protokol Navázání spojení Vyjednání parametrů Identifikace komunikujících Subprotokoly Alert fatální chyby ostatní Change Cipher Spec Je nad record layer Slouží k navázání spojení a vyjednání parametrů komunikace – šifrovací algoritmy, komprese, master secret… -, identifikace komunikujících (výměna certifikátů) Alert – indukuje chyby, fatální chyby ukončí spojení, ostatní jen zneplatní spojení (nelze navázat další) + příklad Chage Cipher Spec – server/klient si davají najevo, že budou používat nově vyjednané šifry (během handshaku) Handshake – má na starost navázání spojení 8.4.2008 Počítačové sítě

Handshake protokol Přenášené informace Plný handshake identifikátor spojení certifikát počítače, s nímž se komunikuje způsob komprese dat algoritmy pro šifrování a hešování master secret lze vytvořit další spojení? … Plný handshake Zjednodušený handshake 8.4.2008 Počítačové sítě

Čárkované obdélníky značí nepovinnou část komunikace. Na začátku si klient a server řeknou co všechno umí zasláním zprávy Hello. Pak si případně vymění certifikáty a ověří u certifikační autority. Nakonec si nastaví vyjednané parametry pro komunikaci a pošlou si potvrzení. Kromě tohoto způsobu navázání spojení existuje i jiný zjednodušený handshake. 8.4.2008 Počítačové sítě

Zjednodušený handshake Jaký je rozdíl? Např. jak je to v prohlížeči 8.4.2008 Počítačové sítě

Autentizace a výměna klíčů RSA Vysílač vygeneruje náhodný relační klíč (pre-master secret) Přenese jej šifrovaně pomocí veřejného klíče RSA Diffie-Hellman – existují 3 režimy výměny Fixní (statický) D-H režim DHE – Ephemeral Diffie-Hellman mode Anonymní D-H Fortezza-KEA 8.4.2008 Počítačové sítě

Autentizace a výměna klíčů Fixní (statický) D-H režim Veřejné parametry serveru se přenáší chráněné certifikátem serveru Veřejné parametry klienta se přenáší buď volně, nebo také chráněné certifikátem klienta Dochází k ověření pravosti serveru nebo i klienta (MitM útok) DHE – Ephemeral Diffie-Hellman mode Používá se pro vytvoření dočasného relačního klíče Veřejné parametry jsou přenášeny podepsané tajným RSA klíčem serveru Nejbezpečnější režim, relační klíč je pouze dočasný 8.4.2008 Počítačové sítě

Autentizace a výměna klíčů Anonymní D-H režim Veřejné parametry serveru se přenáší nechráněné Nedochází k ověření pravosti serveru nebo i klienta (MitM útok) Fortezza-KEA Speciální postup založený na ověřování pomocí karty a s využitím ověřovacího algoritmu KEA. 8.4.2008 Počítačové sítě

Šifrování dat a Hashovací funkce Blokové šifry DES 3DES - EDE IDEA AES Proudové šifry RC4 Hashovací algoritmy MD5 SHA-1 Algoritmy pro podpisy RSA DSA Omezené množství šifer (jen některé délky klíčů a bloků) DES nepoužívat, rozdílmezi DES a 3DES Blokové šifry – pouze CBC 8.4.2008 Počítačové sítě

Srovnání s SSL a TLS Jiný algoritmus výpočtu MAC Do Alert protokolu bylo přidáno mnoho nových zpráv. V TLS není nutné znát všechny certifikáty až ke kořenové certifikační autoritě. Stačí použít některou mezilehlou Padding blokových šifer v modu CBC je proměnný SSL se jako standard již nerozvíjí TLS je mnohem striktnější + další drobné rozdíly TLS vychází z SSL verze 3. Změny jsou minimální, ale natolik závažné, že oba protokoly nejsou vzájemně kompatibilní. Týkají se hlavně bezpečnosti. V TLS je však popsán mechanismus, jak zajistit zpětnou kompatibilitu. TLS nepodporuje mechanizmus výměny klíčů Fortrezza Rozšíření do SSL jsou "dolepovány". TLS je mnohem striktnější ve svém použití i použití jiných protokolů kvůli bezpečnosti (v RFC jsou popisována bezpečnostní rizika). 8.4.2008 Počítačové sítě

Shrnutí TLS zajišťuje bezpečnou komunikaci TLS spravuje informace pro bezpečné spojení mezi klientem a serverem TLS specifikuje, jak kombinovat jiné protokoly pro: autentizaci šifrování kompresi Pohled uživatele Pohled programátora 8.4.2008 Počítačové sítě

Protokoly pro bezpečnou komunikaci - SSH SSH (Secure Shell) je realizace bezpečného vzdáleného virtuálního terminálu Zajišťuje šifrovanou komunikaci mezi nedůvěryhodnými počítači přes nedostatečně chráněnou síť Předpokládá, že je možné odposlechnout všechnu komunikaci mezi hosty Poskytuje různé metody ověřování Šifruje data vyměňovaná mezi hostitelskými systémy Bylo určeno jako náhrada nedostatečně chráněných programů, jako je rlogin, rsh atd. Zahrnuje i schopnost pro bezpečný přenos souborů Secure copy (scp) Zahrnuje schopnost bezpečně fowardovat spojení X11 i TCP porty 8.4.2008 Počítačové sítě

Ověřování v SSH1 Prostředky pro ověřování podporované v SSH Jednoduché ověřování pomocí rhosts Uživatelské/systémové jméno v ~/.rhosts a ~/.shosts Snadno zranitelný IP/DNS spoofingem Pro tento režim činnosti vyžaduje zvláštní komplilaci Ověřování založené na ověřování hostitelských systémů Použití RSA k ověření klíče hostitelského systému Používá soubor ~/.rhosts pro ověření uživatele Ověřování založené na uživatelích a hostitelských systémech Ověřování RSA klíče hostitelského systému Ověřování RSA klíče uživatele Pokud skončí ověřování chybou, je klient vyzván k zadání hesla Všechna komunikace je šifrována 8.4.2008 Počítačové sítě

Protokol pro výměnu klíčů v SSH1 Server má pár veřejný/tajný klíč Klient zná předem veřejný klíč serveru Musí být poslán předem bezpečným kanálem Server pošle klientovi veřejný klíč a náhodný klíč serveru Klient ověří veřejný klíč Klient pošle náhodný relační klíč zašifrovaný hostitelským a serverovým klíčem Zbytek relace je šifrován relačním klíčem 8.4.2008 Počítačové sítě

Protokol pro výměnu klíčů v SSH2 Je použit Diffie-Hellman algoritmus pro výměnu klíčů Algoritmus založený na principu přenosu veřejných klíčů Dva uživatelé si mohou vyměnit tajný klíč nedůvěryhodnou linkou bez předchozího sdílení jakéhokoliv tajemství Digitální podpis ověřuje identitu serveru vzhledem ke klientovi Výsledkem výměny klíčů je sdílený tajný klíč Používá se pro šifrování do konce relace Datová integrita je kontrolována pomocí MD5 Podporuje několik šifrovacích mechanizmů IDEA, Blowfish. DES, Triple DES, … 8.4.2008 Počítačové sítě

SSH v praxi Veřejný a tajný klíč hosta se generuje při instalaci SSH Veřejný klíč musí být v ~/.ssh/known_hosts na vzdálených systémech Ke generování uživatelských veřejných a tajných klíčů je použit příkaz ssh-keygen Vyžaduje aby uživatel vložil heslo Veřejný klíč je kopírován do ~/.ssh-authorized_keys na vzdálených systémech ssh-agent a ssh-add eliminují potřebu pro opakované psaní hesla Ověřování heslem je zranitelné použije-li se útok hádáním hesla 8.4.2008 Počítačové sítě

SSH v praxi X11 a forwardování portu vytváří šifrovanou rouru skrz Internet Může být použita pro zajištění zabezpečeného přístupu nezabezpečeným aplikacím jako je SMTP. Může být použito k obejití obranných valů Dostupné jako Open Source software (OpenSSH) 8.4.2008 Počítačové sítě

IKE Internet Key Exchange Standardní protokol pro vytváření a údržbu Security Association Spojení ISAKMP/Oakley ISAKMP - Internet Security Association and Key Management Protocol Definuje procedury formáty paketů k vytváření, potvrzování, modifikaci a rušení Security Association Oakley – výměna zpráv IKEv2 – RFC4306 Použití Mezi hosty, mezi bránami, mezi hostem a branou Ověřování pomocí Diffie-Hellman 8.4.2008 Počítačové sítě

IKE fáze Fáze I: vytvoření bezpečného komunikačního kanálu Obsahuje kryptografické algoritmy, metody ověřování, klíče Vzájemné ověřování Fáze II: použití tohoto kanálu Účastníci vytváří IPsec Security Association Jedna fáze I může ochránit více výměn fáze II Důvodem je náročná fáze I, méně náročná fáze II 8.4.2008 Počítačové sítě

IKE fáze I Zahrnuje dva stavy (výměna zpráv Request – Response) INIT Dohadování kryptografických algoritmů Výměna náhodných čísel Provedení Diffie-Hellman výměny Probíhá bez zabezpečení AUTH Zprávy jsou chráněny klíči odvozenými v předchozí fázi Ověřuje předchozí zprávy Vytváří první CHILD-SA 8.4.2008 Počítačové sítě

IKE fáze II Vytváří nové CHILD-SA Relativně jednoduchá operace Může být vyvolána jakoukoliv stranou Zajišťuje „perfect forward secrecy“ I když útočník zaznamená všechna data poslaná přes bezpečné spojení Nedokáže rekonstruovat klíče pro výměnu mezi CHILD-SA 8.4.2008 Počítačové sítě

Algoritmy šifrování DES 3DES RC5 IDEA ČÁST BLOWFISH 3IDEA AES 8.4.2008 Počítačové sítě

Protokoly pro bezpečnou komunikaci IPsec Soubor protokolů pro zajištění bezpečnosti na síťové úrovni Ověřování původu Integrita dat Utajení dat Vzhledem k transportním protokolům a aplikacím je transparentní – nevidí ho Vzhledem k linkovému protokolu neprůhledný – nerozumí přenášeným datům Přizpůsobivý 8.4.2008 Počítačové sítě

IP sec Režimy činnosti Transparentní – mezi koncovými uživateli Tunelovaní – mezi dvěma síťovými prvky (směrovači, obrannými valy, … ) Kombinace předchozích – mezi koncovým uživatelem a síťovým prvkem 8.4.2008 Počítačové sítě

IPSec Základní mechanizmus pro zajištění bezpečnosti na síťové úrovni zajišťuje ověřování důvěrnost Výměnu klíčů Aplikovatelný v LAN, MAN i WAN Bezpečné propojení počítačů nebo sítí 8.4.2008 Počítačové sítě

IPSec příklad použití Stallings Fig 16-1. 8.4.2008 Počítačové sítě

Authentication Header (AH) Zajišťuje integritu dat a ověřování IP paketů Koncový uživatel může ověřovat uživatele/aplikaci Zamezuje kradení IP adresy sledováním sekvenčních čísel Založeno na MAC HMAC-MD5-96 or HMAC-SHA-1-96 Účastníci musí sdílet tajný klíč 8.4.2008 Počítačové sítě

Authentication Header Stallings Fig 16-3. 8.4.2008 Počítačové sítě

Transportní a tunelovací režim Stallings Fig 16-5. 8.4.2008 Počítačové sítě

Encapsulating Security Payload (ESP) Zajišťuje utajení obsahu zpráv Může také zajišťovat ověřování jako AH Podporuje mnoho šifrovacích algoritmů, jejich režimů a zarovnávání zpráv Zahrnuje DES, Triple-DES, RC5, IDEA, CAST atd. Většinou pracuje v režimu CBC Zarovnává zprávy na velikost bloků 8.4.2008 Počítačové sítě

Encapsulating Security Payload Stallings Fig 16-7. 8.4.2008 Počítačové sítě

Transportní a tunelovací režim ESP Transportní režim se používá pro šifrování, případně i ověřování IP datagramů Chráněna jsou pouze data, hlavička se přenáší otevřená Může být prováděna analýza toku dat Používá se pro ESP a přenosy mezi host. Systémy Tunelovací režim šifruje celý IP paket Přidává novou hlavičku Používá se pro VPN a komunikaci mezi směrovači 8.4.2008 Počítačové sítě

Možné kombinace služeb a režimů Stallings Fig 16-10. 8.4.2008 Počítačové sítě

Obranné valy Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany Vlastnosti Filtrování paketů a vlastnost odstínění Různé úrovně ověřování Přihlašování (registrace) a účtování Transparentnost a přizpůsobení uživatelům Ovladatelnost (management) Rozlišení požadavků dle klientů nebo sítí 8.4.2008 Počítačové sítě

Obranné valy Vzdálený uživatel Web server Firewall Internet Intranet Cizí uživatel 8.4.2008 Počítačové sítě

Filtrování Základní rozdělení podle úrovně filtrování Filtrování na síťové úrovni (IP filtrování) Filtrování na transportní úrovni (úroveň spojení) Filtrování na aplikační úrovni (aplikační filtry) 8.4.2008 Počítačové sítě

Filtrování na síťové úrovni Principy filtrování na IP úrovni Jednotlivé pakety jsou analyzovány a filtrovány (blokovány nebo propouštěny) Filtrovací kritéria IP adresa (zdrojová, cílová, obě) Port (zdrojový, cílový, oba) Typ paketu (IP, jiný) Nejsou filtrována žádná aplikační data Obecně bezestavové filtrování Nejsou k dispozici žádné znalosti o spojení klient/server Nezávisle filtruje přicházející a odcházející pakety 8.4.2008 Počítačové sítě

Filtrování na síťové úrovni Nevýhody Méně bezpečné Bezestavový charakter Založeno na omezeném filtrování Využívá implicitní předpoklady Slabé ověřování (IP adresa) Nebrání „prosakování“ IP paketů Není filtrován vlastní protokol server/klient Neumožňuje (nebo jen omezeně) logování a účtování Pravidla filtrování mohou být složitá a náchylná k chybám Může se stát ne-managementovatelný 8.4.2008 Počítačové sítě

Filtrování na síťové úrovni Výhody Transparentní vzhledem k účastníkům, jednoduše přizpůsobitelné Podporuje libovolný protokol klient/server Není třeba modifikovat ani server, ani klienta Jednoduché levné odstínění (směrovač) Vysoká propustnost Závěr Jednoduché a laciné filtrování na IP úrovni je bezpečné pouze pro Blokování všech paketů (deny) Propouštění všech paketů (allow) 8.4.2008 Počítačové sítě

Filtrování na aplikační úrovni Principy filtrování na aplikační úrovni Hlavní princip – vnitřní pakety nesmí přecházet přímo do vnější sítě a naopak Klient se spojuje s obranným valem, ne přímo se serverem Na obranném valu je umístěn proxy (zástupce), který přijímá pakety, kontroluje je a rozhoduje o tom, má-li být paket propuštěn nebo zachycen Lze provádět ověřování klienta v širokém rozsahu Od IP zdrojové adresy K přísným ověřovacím technikám typu výzva/odpověď Může být filtrován i protokol server/klient 8.4.2008 Počítačové sítě

Filtrování na aplikační úrovni Výhody: Zvýšená bezpečnost Předcházení problémům s bezpečností na IP úrovni Má informaci o stavu spojení (filtrování na aplikační úrovni může být stavové) Použití ověřovacích technik Filtrace protokolu server/klient Umožňuje rozšířené logování a účtování V zásadě méně složitá pravidla filtrování, méně náchylná k chybám, jednodušší ovládání Interní DNS nemusí spolupracovat s externím DNS Je možné rozšířit proxy o cache – zachycování často požadovaných dat 8.4.2008 Počítačové sítě

Filtrování na aplikační úrovni Nevýhody: Méně transparentní a přizpůsobivé Klient si může proxy uvědomit Podpora jednoduchých klientů nebo proxy klientů Omezený počet proxy, pro každý protokol musí existovat proxy Vyžaduje vyhrazený počítač 8.4.2008 Počítačové sítě

Filtrování na transportní úrovni Principy filtrování na úrovni spojení V zásadě vypadá jako filtrování na aplikační úrovni Generické proxy na úrovni spojení pracuje na obranném valu Klienti se spojují s proxy na úrovni spojových služeb (TCP) Proxy ověřuje klienty na úrovni tohoto spojení Spojení mezi proxy a serverem je pak transparentní Od filtrování na aplikační úrovni se liší Slabším ověřováním Nezajišťuje filtrování protokolu na úrovni aplikace klient/server 8.4.2008 Počítačové sítě

Filtrování na transportní úrovni Realizace Realizace vyžaduje zásah do programového vybavení klienta Systémové volání na nižší úrovni v klientu nahrazeno spojkami (connect) Spojka spojuje klienta a spojované proxy S použitím speciálního protokolu posílá adresu a port cílového počítače. 8.4.2008 Počítačové sítě

Filtrování na transportní úrovni Vlastnosti Bezpečnost mezi IP úrovní a aplikační úrovní Transparentnost mezi IP úrovní a aplikační úrovní Zahrnuje logování a účtování Programové vybavení klienta musí být přizpůsobeno Výhody Doplnění programu o spojku je jednodušší než zavedení proxy Je však nutné mít zdrojový kód, knihovny, … 8.4.2008 Počítačové sítě

Socks Socks Představuje programové vybavení spojky pro realizaci proxy na úrovni spojení Navrženo pro aplikace typu klient/server Klient naváže spojení se socks, přenese adresu cíle, port cíle, typ spojení a identitu uživatele Socks vytvoří vlastní komunikační kanál, kterým posílá data klienta do serveru Během vytváření spojení lze provádět doplňkové funkce (ověřování, vyjednávání o bezpečnosti, … ) 8.4.2008 Počítačové sítě

Socks Model socks Zahrnuje 3 základní operace Požadavek na spojení Nastavení proxy spojení Přepínání aplikačních dat Ověřování 8.4.2008 Počítačové sítě

Typy obranných valů Filtrující směrovač (Screening Router) Provádí filtraci paketů podle směru přenosu, IP adresy a čísla portu Opevněný počítač (Bastion Host ) Používá se při realizaci důležitých serverů, které mají být navíc velmi bezpečné. Např. SMTP, FTP, DNS, HTTP, atd. Brána se dvěma vstupy (Dual Homed Gateway) Úplně odděluje vnitřní a vnější síť. Služby musí být umístěny na této bráně, přístupné jak z vnitřní sítě, tak i z vnější sítě. Screened Host Gateway Vnitřní síť je chráněna filtrujícím směrovačem, který propouští pouze pakety určené pro vybraný počítač (Bastion Host). Screened Subnet Pomocí dvou filtrujících směrovačů se vytvoří demilitarizovaná zóna. Brána aplikační úrovně 8.4.2008 Počítačové sítě

Útoky Útoky Denial of Service Jeden z mnoha základních forem útoků na vnitřní sítě Založen na přetížení systému Výsledkem je omezení výkonnosti serveru nebo úplný výpadek cílového systému Útok může být zaměřen na síťové komponenty nebo na hostitelské systémy Dochází k vytěsňování reálných přenosů Klienti na základě detekce zahlcení zpomalují vysílání Směrovače musí přebytečné pakety odstraňovat 8.4.2008 Počítačové sítě

Útoky Usnadnění DoS útoků V počítačové síti běží mnoho systémů Počítačová síť je velmi rozlehlá Mnozí uživatelé jsou naivní – dávají šanci uchvátit vzdálený systém Protokoly internetu jsou známé, to vytváří podmínky pro využití jejich slabin Mnoho volného software, ve kterém mohou být zahrnuty utajené funkce Nedostatečná ochranná politika používání a managementu Velmi rozsáhlý software s mnoha známými děrami Nedostatek prostředků pro zastavení útoků 8.4.2008 Počítačové sítě

Útoky Snort (Open Source Intrusion Detection System) Systém pro detekci útoků (Intrusion Detection Systém) Je schopen provádět analýzu toku dat v reálném čase a logování paketů v IP sítích Může provádět analýzu protokolů, vyhledávání údajů Je schopen detekovat různé útoky a sondování Používá jazyk pro popis toku dat Obsahuje automat pro detekci podle tohoto popisu Umožňuje informovat o útoku v reálném čase (syslog, soubor, sockety, … ) 8.4.2008 Počítačové sítě

Steganography 8.4.2008 Počítačové sítě