Správa klí (key management)

Tonda Beneš

Ochrana informace – jaro 2011

Správa klí

(key management)

významná ást bezpe nostní strategie nad danou doménou Základním úkolem správy klí je kontrola klí ového materiálu po celou dobu jeho existence, zabra ující neautorizovanému odhalení, modifikaci, substituci, opakovanému nebo nesprávnému použití. ležitým úkolem správy klí je zajistit, že klí e nikdy nebudou p ístupny v otev ené form . Obecné požadavky na správu klí : Utajení dat - tajné klí e a pravd podobn i další informace je nutné podržet po dobu jejich p enosu nebo uložení v tajnosti. Detekce modifikací - je t eba vytvo it prost edky umož ující zabránit, nebo alespo detekovat, možný neautorizovaný zásah do utajených informací. Detekce opakovaného použití, asová razítka - systém musí být odolný proti neautorizované duplikaci zpracovávaných dat, asová razítka zajiš ují, že úto ník nem že jako odpov na žádost podsunout již d íve zachycenou zprávu. Autentizace entit - je nutné ov it, že entita je skute kterou se vydává.

tou entitou, za

Autentizace p vodu dat - je nutné ove it, že zdroj dat je skute který se vydává.

tím, za

kaz p ijetí - odesílatel musí mít možnost zjistit, zda odesílaná data byla v po ádku doru ena adresátovi. Nebezpe í prozrazení klí e roste s dobou a intenzitou jeho používání. asté zm ny klí neúnosné. ešením je provád t p enos klí automaticky -> používány klí e pro šifrování klí (též sekundární klí e). Nejvyšší vrstva klí - tzv. master klí e - je potom distribuována manuáln .

Materiál slouží výhradn jako pom cka pro absolvování p ednášky Ochrana Informací II na MFF UK V Praze. Není ur en k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky p ednášené v konkrétním semestru

1 / 13

Tonda Beneš


Služby správy klí

:

Registrace entit - mechanismus, prost ednictvím kterého je pro systém provád na autentizace uživatel a za ízení Absolutní autentizace - poskytuje vazbu mezi formálním ozna ením a fyzickou reprezentací dané entity. Relativní autentizace - umož uje provést novou identifikaci entity s jistým formálním ozna ením bez nutnosti spojovat ji s ur itou reprezentací. Generování klí - nepredikovatelný generátor náhodných ísel, pro aplikace vyžadující nejvyšší stupe bezpe nosti nutné generátory pracující na skute náhodném, zvn jšku neovlivnitelném jevu. Tvorba certifikát - certifikáty používány pro ú ely autentizace. Autorita provád jící certifikaci dopln ním certifikátu k danému objektu prohlásí tento za “pravý”. on-line / off line Autenticita, verifikace - rozlišujeme t i druhy identifikace entit autenticita obsahu zprávy autenticita p vodu zprávy Verifikace se týká samotného procesu dokazování ur itých tvrzení, asté použití certifikát , ov ování pravosti certifikát . Distribuce klí - procedury, kterými jsou klí e doru ovány entitám, jež o n legitimn žádají. Dnes módní modulární systém správy klí , kde jednotlivé elementy protokolu spl ují jim odpovídající požadavky: Šifrování - používají se b žné (a)symetrické algoritmy nebo speciální protokoly umož ující ustanovení sdíleného klí e. Kódy pro detekci modifikací - p idáním netriviáln odvoditelné redundance je možno ov it, zda nedošlo ke zm p enášených dat. Používají se vhodné hašovací funkce, autentiza ní kódy zpráv (MAC), a r zné MDC


2 / 13

Tonda Beneš


kódy. Kódy pro detekci opakovaného použití - používají se asové známky, íta e zpráv, jejichž obsah se kombinuje s klí em i ástí p enášených dat, ofsetování klí apod.

Údržba klí - aktivace klí , problematika úschovy klí , vým ny klí , obnovy poškozených klí , erné listiny vyzrazených klí , deaktivace klí a jejich likvidace. Služby asto sdružovány do tzv. za ízení správy klí (key management facility), jejichž obsah je (fyzicky) chrán n proti poškození, vyzrazení, zám , modifikaci atp. íklady: za ízení pro generování klí za ízení pro p echovávání klí za ízení pro autentizaci. akredita ní za ízení (enrollment facillity) - vydávání kredenciál , tiket Z d vodu dosažení pot ebné granularity popisu celého systému je možné i za ízení dále slu ovat do v tších celk - jednotek správy klí (key management units), nebo též server . certifika ní autority (certification authority) centra pro distribuci klí (key distribution centres) atd. Servery považovány za ryhodné (trusted) funk ní d ryhodnost - certifika ní servery bezpodmíne ná d ryhodnost- servery poskytující šifrovací klí e


3 / 13

Tonda Beneš


Point-to-point distribuce klí - v p ípad symetrických algoritm nutná p edchozí existence sdíleného klí e, v p ípad asymetrických systém existence páru klí na každém uzlu a notarizované ve ejné klí e na klí -serveru Je-li distribuce klí založena na použití symetrických algoritm , není možné zcela vylou it nutnost provést jistou ást tohoto procesu manuáln . Jakákoliv distribuce klí založená na použití deterministických kryptografických algoritm , neumož uje vylou it nutnost provést jistou ást tohoto procesu manuáln .

Vým na exponenciálních klí

(D-H).

Autory jsou Diffie a Hellman Metoda je založena na obtížnosti po ítání logaritm nad GF(p) 1. Uzel A vypo ítá

Ya

Xa

mod p

a pošle je druhé stran . Xa - náhodn zvolené íslo, - n který z generátor GF(p). 2. Obdobnou akci provede i uzel B Yb. 3. Ob strany spo tou

K ab

X a Xb

mod p

ípadný úto ník by musel Kab spo ítat pouze s použitím Ya nebo Yb což nejde rychleji, než spo ítat logaritmus jednoho z ísel Xa nebo Xb. Má-li p okolo 300 cifer, A i B pot ebují ádov tisíc operací, potenciální úto ník zhruba 1030 operací. Dnes minimáln 1024 bit (dále viz RSA)

Distribuce klí stran

založená na identifikaci komunikujících

Ob schémata jsou založena na obtížnosti výpo tu logaritmu nad vhodným okruhem, lze je rozší it i o digitální podpisy a provád ní identifikace uživatel .


4 / 13

Tonda Beneš


Inicializace Centrum pro autentizaci klí (CAK) vybere ‘one-way’ funkci f , velké prvo íslo p a prvek okruhu, který není triviálním d litelem nuly. Všechna tato ísla zve ejní. P lo být vybráno tak, aby m lo tvar p 2 p 1 , kde p´ je rovn ž prvo íslo. CAK zvolí sv j tajný klí , náhodné íslo x z množiny {1,…, p-1} tak, aby NSD(x, p-1) = 1. Na základ tohoto ísla CAK spo ítá sv j ve ejný klí x

Y

mod p

.

Registrace uživatele Každá nová entita musí navštívit CAK se svojí identifikací IDi a obdrží tzv. rozší enou identifikaci EIDi jako

EIDi

f IDi

a podpis (ri, si) jež SAK vypo te dle vztahu

si

EIDi

ki ri x 1 mod p 1 .

ki

mod p a ki je náhodn zvoleno z množiny {1,… ,p-1}, si je Zde ri v systému používáno jako tajný klí entity Ei. Distribuce klí e Ei a Ej cht jí sdílet spole ný klí ki,j. Entita Ei zašle (IDi, ri) entit Ej a naopak. Entita Ei potom m že spo ítat klí ki,j dle vztahu

ki , j

EID j

r

rj j

1 si

mod p

Y

s j si

mod p

obdobn entita Ej m že spo ítat klí kj,i

k j ,i

EIDi

ri

ri

1 sj

mod p

Y si

sj

mod p

Protože ki,j = ki,j, lze tyto hodnoty použít jako sdíleného klí e pro entity Ei a Ej. Popsané schéma umož uje pouze nep ímou autentizaci klí v tom smyslu, že použití správného klí e lze poznat pouze dle smysluplnosti dešifrovaného textu.

Analýza edpokládá se odolnost v i nejznám jším útok m, protokol je z hlediska možného rozbití patrn ekvivalentní s výpo tem diskrétního logaritmu. Materiál slouží výhradn jako pom cka pro absolvování p ednášky Ochrana Informací II na MFF UK V Praze. Není ur en k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky p ednášené v konkrétním semestru

5 / 13

Tonda Beneš


Výhodou protokolu je možnost unifikovaného rozší ení o autentizaci zpráv v etn asových známek a identifikace uživatel .

Systém distribuce klí entit

pro konference komunikujících

schopnost vytvo it spole ný sdílený klí pro libovolnou skupinu komunikujících konferenci.

Protokol umož uje ustanovit sdílený tajný klí bez p edchozí komunikace jednotlivých len zamýšlené konference, autentizaci informací, p edávaných v rámci procesu ustanovování klí e. Op t je nezbytná existence d ryhodného centra. Krok 1: Centrum vygeneruje t i velká prvo ísla p, q, r a íslo n = pq. Dále nalezne dvojici (e, d) zp sobem podobným, jako v kryptosystému RSA tak, aby platilo

ed L

1

mod L

,

NSD p 1 , q 1 , r 1

,

3 e, d

L

Rovn ž ur í prvo íslo c (3 <= c < L) a íslo g, jež je primitivním prvkem v Galoisových okruzích GF(p). GF(q) a GF(r). Pro každou entitu i mající identifikaci Ii centrum spo ítá

si

I id mod nr

Na záv r tohoto kroku entita i obdrží šestici (n, r, g, e, c, Si). Pokud již neo ekáváme p ijetí žádných dalších entit, je možné ísla p, q a d zrušit. íslo Si si každá entita podrží v tajnosti, zbylá ísla jsou spole ná pro všechny. Krok 2: V rámci tohoto kroku probíhá vlastní tvorba sdíleného klí e konference. 1. Entita j vygeneruje náhodné íslo Uj které uchová v tajnosti a všem zašle

Ej

Ej, kde

g

eU j

mod n .

2. Entita i vygeneruje náhodné íslo Pi, které není d litelem p-1 a spo ítá Pi tak, aby platilo

Pi Pi

1 mod r 1

. Ob


ísla ponechá v tajnosti, 6 / 13

Tonda Beneš


stejn jako náhodn (Xi, Yi, Zij, Fi):

vygenerované

g ePi mod nr , Yi

Xi

Zij

íslo Vi. Entit

j odešle

tve ici

Si g cPi mod nr ,

E jPi mod nr , Fi

X ieVi mod n .

3. Entita j obdrží (Xi, Yi, Zij, Fi) a ov í platnost následujících kongruencí:

Yi e X ic

Uj

mod n , Pokud se poda í ov it platnost uvedených kongruencí, entita j verifikovala, že odesílatelem p ijatých dat je opravdu entita i. Entita j tedy vygeneruje náhodné íslo Rj, které rovn ž podrží v tajnosti. Entit i zašle trojici (Aji, Bji, Cji), kde

Ii

eR j

A ji C ji

Fi

Rj

Zij

mod nr

Xi

Xi

cR j

mod nr , B ji

S j Xi

mod nr ,

mod n A jj

eR j

Xj

. emž si ponechá 4. Entita i ijme (Aji, Bji, Cji). Ov ením platnosti následujících kongruencí zjistí, zda p ijatá data byla opravdu zaslána entitou j:

B eji A cji

Ij

mod nr

, Pokud je vše v po ádku, je entita zamýšlené konference dle vztahu

AVjii

mod n

i již schopna spo ítat sdílený klí Pi

m

K

C ji

A ji

mod r

j 1

5. Získaný klí je vskutku sdíleným tajným klí em konference, nebo

K

g

e 2 Pi R1 Pi R2 ... Pi Rm Pi

mod r

g

e 2 R1 R2 ... Rm

mod r

Analýza Útok na jednotlivé ásti protokolu by m l být ekvivalentní s vy ešením alespo jednoho ze dvou známých obtížných problém - výpo et prvo íselného rozkladu, nebo výpo et logaritmu nad Galoisovým polem.


7 / 13

Tonda Beneš

Správa klí


pro bezpe nou komunikaci ATM terminál

Systém umož ující uživatel m platby prost ednictvím bezhotovostních p evod . Každý uživatel má vlastní kartu obsahující jeho osobní údaje, íslo ú tu atd. Každý z uživatel má rovn ž p id len PIN konstantní délky. Systém potom sestává z množství terminál sloužících jako uživatelské rozhraní a n kolika center, které si lze p edstavit jako pobo ky r zných bank.

Protokol Klí transakce Klí karty Kk - závislý na osob majitele karty Každý terminál obsahuje pro každé centrum i, se kterým komunikuje, jeden klí ový registr KRi, jehož hodnota je využívána pro tvorbu klí e transakce. edp.systém v b žném provozním stavu, uživatel práv vložil kartu a dožaduje se platby. 1. Terminál p etl Kk a íslo ú tu CU jejího majitele a zjistil, které centrum provádí správu tohoto ú tu. 2. Je vygenerován klí transakce KT:

KT

DEA Kk , KRi

Kk

3. Aby i centrum bylo schopno sestavit klí , zpráva, kterou terminál centru posílá, obsahuje v otev ené podob íslo ú tu a identifikaci terminálu. 4. Centrum rovn ž má k dispozici registr klí e, se shodnou hodnotou a dostate né informace o každém spravovaném ú tu, je schopno si ze zaslaných informací též sestavit klí transakce.

Dotaz 1. Dotaz obsahuje ve form otev eného textu íslo ú tu a identifikaci terminálu. Uživatelovo PIN, požadovanou ástku atd., je samoz ejm nutné separátn zašifrovat s použitím klí e transakce. 2. Autentiza ní blok zprávy je vygenerován procedurou pro tvorbu autentiza ního bloku zprávy. Dotaz je šifrován použitím algoritmu DEA metodou CFB. Autentiza ní blok zprávy vznikne jako poslední výstupní blok tohoto procesu. 3. Autentiza ní blok rozd líme na dv poloviny. Levá polovina bude sloužit jako autentiza ní kód. Materiál slouží výhradn jako pom cka pro absolvování p ednášky Ochrana Informací II na MFF UK V Praze. Není ur en k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky p ednášené v konkrétním semestru

8 / 13

Tonda Beneš


Zbývajících 32 bit autentiza ního bloku ozna me jako reziduum dotazu RD. Terminál si jej uschová pro pozd jší autentizaci odpov di od centra. 4. Centrum po p ijetí dotazu zkonstruuje klí transakce, od dotazu odd lí autentiza ní kód, spo ítá autentiza ní blok zprávy a ov í jej. Dále si ponechá pravou ást reziduum dotazu pro pozd jší použití.

Odpov 1. Centrum sestaví odpov a op t spo ítá autentiza ní blok zprávy. P ed po ítáním autentiza ního bloku centrum p ipojí na za átek zprávy RD. 2. Levá ást autentiza ního bloku je jako autentiza ní kód p ipojena ke zpráv a odeslána terminálu. Pravou ást, ozna me ji reziduum odpov di RO, si centrum ponechá. 3. Terminál obdobným zp sobem jako v p ípad dotazu centrum vypo ítá autentiza ní blok a provede verifikaci p ijatých dat. Pokud je vše v po ádku, v souladu s došlou odpov dí provede odpovídající akci a dokon í svoji ást transakce. I terminál si ponechá pravou ást spo ítaného autentiza ního bloku reziduum odpov di.

Aktualizace registru klí e 1. Centrum zruší klí transakce, uschová p vodní hodnotu registru klí e. 2. Nová hodnota registru klí e je vypo ítána

KRi

takto:

DEA RO RD, KRi

3. Terminál zruší klí transakce a zp sobem stejným jako centrum provede aktualizaci svého registru klí e. 4. Pokud se však ztratí odpov od centra, terminál pro p íští transakci použije tuto starou hodnotu registru klí e. Centrum registr klí e naplní uschovanou p edchozí hodnotou a pokusí se znovu o autentizaci.

Analýza Klí transakce je ‘end-to-end’ a je jedine ný pro každou transakci. Znalost tohoto klí e transakce a klí e karty následující karty nemožní odvodit klí následující transakce, ani n co o p edešlé transakci. Inicializaci a p ípadnou reinicializaci je možno provést nap íklad v rámci instalace a nebo b žné údržby terminálu použitím speciální servisní karty.


9 / 13

Tonda Beneš

Správa klí


pomocí kontrolních vektor

S každým klí em K asociován kontrolní vektor C skládající se z množiny polí specifikujících p ípustné použití klí e v rámci systému. Klí a odpovídající kontrolní vektor kryptograficky spojeny, aby byla vylou ena možnost následné zm ny vektoru. Klí nastavuje vlastní kryptografický algoritmus výb rem mapovací funkce, kontrolní vektor slouží k nastavování procesoru kryptografické jednotky - je takto vymezeno povolené použití daného klí e. Každé kryptografické za ízení je navrženo tak, aby p i pokusu o použití klí e nejprve provedlo verifikaci, zda tento pokus je v souladu s povoleným rozsahem operací, jak je zaznamenáno v kontrolním vektoru.

Kryptografické spojování K a C Spojení K a C je nutné provést tak, aby nebylo možno provád t následné zm ny kontrolního vektoru. Možnosti: zapojit kontrolní vektor do procesu šifrování a dešifrování klí e provést konkatenaci klí e a kontrolního vektoru a na vzniklém et zci spo ítat autentiza ní kód AC. Nevýhodou druhé možnosti je nutnost stálého ov ování AC vždy p i každém použití klí e.

Algoritmus pro šifrování a dešifrování klí Vstupem algoritmu je kontrolní vektor C, klí pro šifrování klí KK a klí K. C je hašovací funkcí h p eveden na 128-bitovou hodnotu H, kterou je XOR-ován klí KK. Následn je K zašifrován klí em KK H e-d-e algoritmem. Výsledkem

e KK

K

. Hašovací funkce zajiš uje normalizaci délky kontrolního vektoru na 128 bit . H

Generování klí Schéma obsahuje rovn ž funkci G pro tvorbu nových klí

e key1

H1

K

a

e key 2

H2

s výstupem

K


10 / 13

Tonda Beneš


K - intern generovaný náhodný klí , C1 a C2 kontrolní vektory a key1 a key2 vhodné klí e - nap . master klí e jednotlivých za ízení, klí e pro šifrování klí sdílené mezi odesílatele a p íjemce, nebo mezi toto generující za ízení a n jaké další za ízení v systému. H1 a H2 jsou hodnoty hašovací funkce pro oba kontrolní vektory.

Distribuce klí Zadáme vstupní parametry G (KMi, C1) a (KKij, C2), tedy na míst key1 je použit master klí za ízení i a na míst key2 klí pro šifrování klí sdílený mezi za ízení i a j. Výsledkem jsou balíky

e KM i

H1

K , C1

a

e KKij

H2

K , C2

První z nich je uložen v za ízení i a druhý je dopraven do za ízení j. Zde je proveden import - došlý balík je dešifrován, p enesený klí K je okamžit znovu zašifrován master klí em KMj za použití C2 a uložen.

Kerberos pracovní stanice považujeme za ned ryhodné, požadujeme autentizaci žadatele i každém požadavku na službu. Každý uživatel a každá služba má vlastní heslo. Systém obsahuje d ryhodný autentiza ní server.

1. V rámci p ihlašování do systému uživatel zadá své jméno. 2. Stanice zašle autentiza nímu serveru zprávu {login-name, TGS-name} TGS-name - jméno akredita ního serveru. 3. Autentiza ní server vyhledá šifrovací klí obou t chto entit. (klí i jsou zašifrovaná hesla) 4. Autentiza ní server vytvo í odpov {TGS-session_key, sealed_ticket} zašifruje ji uživatelovým heslem a zašle stanici. Ticket má tvar: {login-name, TGS-name, WS-net_address, TGS-session_key } Materiál slouží výhradn jako pom cka pro absolvování p ednášky Ochrana Informací II na MFF UK V Praze. Není ur en k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky p ednášené v konkrétním semestru

11 / 13

Tonda Beneš


zašifrováním ticketu šifrovacím klí em TGS vznikne sealed_ticket. WSnet_address je adresa stanice, TGS-session_key klí ozna ující relaci s TGS. 5. Po p ijetí zprávy z bodu 4. stanice požádá uživatele o heslo, zašifruje je a získaný klí použije k dešifrování zprávy a uschová ji. i žádosti o libovolnou službu bude nyní t eba nejprve získat odpovídající lístek. 1. Stanice zašle akredita nímu serveru žádost {sealed_ticket, sealed_authenticator, end_server_name} kde authenticator má tvar {login-name, WS-net_address, current_time} Sealed_authenticator vznikne zašifrováním klí em TGS-session_key. 2. Akredita ní server dešifruje sealed_ticket, ímž získá TGS-session_key. Tímto klí em dešifruje sealed_authenticator, ov í platnost lístku (login-name, TGSname, WS-net_address) a porovná as. 3. Akredita ní server vyhledá heslo cílového serveru, a vytvo í klí transakce session-key. 4. Pracovní stanici akredita ní server zašle zprávu {session_key, sealed_ticket} kde sealed_ticket vznikne zašifrováním ticketu {login-name, end_server_name, WS-net_address, session_key } klí em cílového serveru. ed odesláním je zpráva zašifrována klí em TGS-session_key. 5. Dešifrováním zprávy z p edchozího bodu stanice získá ticket pro cílový server. Rovn ž od akredita ního serveru dostane nový TGS-session_key. 6. Stanice zašle cílovému serveru zprávu {sealed_ticket, sealed_authenticator, end_server_name} kde sealed_authenticator je {login-name, WS-net_address, current_time} zašifrovaný klí em session_key. 7. Cílový server dešifruje sealed_ticket a následn sealed_authenticator a provede obdobnou verifikaci jako akredita ní server v bod 2. tohoto postupu. 8. Je-li vše v po ádku, vyhoví požadavku a odpov zašifruje klí em session_key.


12 / 13

Tonda Beneš



13 / 13

Správa klí (key management)

Recommend Documents