Ιόνιο Πανεπιστήμιο
Τμήμα Πληροφορικής
Ακαδημαϊκό Έτος 2011-2012
Εξάμηνο: Η’
Ασφάλεια Πληροφοριακών Συστημάτων
Ενότητα Γ: Απομακρυσμένη Αυθεντικοποίηση και
Αυθεντικοποιημένη Εδραίωση Κλειδιού
Εμμανουήλ Μάγκος
Αυθεντικοποιημένη Εδραίωση Κλειδιού
Syllabus
1.
Ασφαλής Επικοινωνία – Βασικές Έννοιες & Εργαλεία

2.
Κρυπτογραφικά Πρωτόκολλα Αυθεντικοποίησης Οντότητας

3.
Διανομή, Μεταφορά, Συμφωνία Κλειδιού - Εφαρμογές
Εδραίωση Κλειδιού με Τεχνικές Δημόσιου Κλειδιού

6.
Ορισμοί-Κατηγοριοποίηση-Στόχοι Ασφάλειας
Εδραίωση Κλειδιού με Συμμετρικές Τεχνικές

5.
Τεχνικές Πρόκλησης-Απάντησης
Κρυπτογραφικά Πρωτόκολλα Εδραίωσης Κλειδιού

4.
Αυθεντικοποίηση Χρήστη & Μηνύματος, Μυστικότητα
Μεταφορά, Συμφωνία Κλειδιού - Εφαρμογές
Προηγμένα Πρωτόκολλα Εδραίωσης
H Alice & ο Bob
μπορεί να είναι
1. Ασφαλής Επικοινωνία
χρήστες, Η/Υ,
Βασικές Έννοιεςδιεργασίες
& Εργαλεία
κλπ…
Ζητούμενο:
Ασφαλής Επικοινωνία
Alice
Bob
Αυθεντικοποίηση Χρήστη:
«Με ποιον μιλάω, τώρα?»
Αυθεντικοποίηση Μηνύματος:
«Ποιος δημιούργησε το μήνυμα
που έλαβα?»
Ενεργητικός Παθητικός
Μυστικότητα (Εμπιστευτικότητα):
Εχθρός
Εχθρός
«Κανείς δεν μπορεί να διαβάσει
όσα λέμε
εγώ και η Alice
(Mallory)
(Eve) »
1. Ασφαλής Επικοινωνία
Βασικές Έννοιες & Εργαλεία

Ζητούμενο:
Ασφαλής Επικοινωνία
Σήμερα, η κρυπτογραφία μας
προσφέρει ασφαλείς & αποδοτικούς
μηχανισμούς για την εκπλήρωση
1.
2.
3.
των ιδιοτήτων ασφάλειας:
Alice
Τεχνικές Πρόκλησης-Απάντησης
Αυθεντικοποίηση Χρήστη:
Αυθεντικοποίηση με MAC
(Αλγόριθμοι: MD5, SHA-1,…) &
Ψηφιακές Υπογραφές
(Αλγόριθμοι: DSA, RSA, ElGamal,… )
Συμμετρική Κρυπτογράφηση
(Αλγόριθμοι: AES,3DES),
Κρυπτογράφηση με Δημόσιο Kλειδί
(Αλγόριθμοι: RSA, ElGamal,…)
Bob
«Με ποιον μιλάω, τώρα?»
Λόγω απόδοσης,
Αυθεντικοποίηση Μηνύματος:
στην πράξη
«Ποιος δημιούργησε το μήνυμα
προτιμώνται οι
που έλαβα?
»
Ενεργητικός
Παθητικός
συμμετρικές
Εχθρός
Εχθρός
Μυστικότητα
(Εμπιστευτικότητα):
τεχνικές
!
«Κανείς δεν μπορεί
να διαβάσει
όσα λέμε εγώ και η Alice»
Menezes, Oorschot, Vanstone,
Handbook of Applied
Cryptography, CRC, 2001
1.1. Αυθεντικοποίηση Οντότητας και Μηνύματος
Σενάριο Α: Η Alice και ο Bob είναι online
και επικοινωνούν σε πραγματικό χρόνο

Αυθεντικοποίηση Οντότητας
(Εntity Authentication)

Σενάριο Β: Η Alice δημιουργεί ένα μήνυμα
το οποίο κάποια στιγμή στο μέλλον
παραλαμβάνει ο Bob

Aναφέρεται και ως
Αυθεντικοποίηση Προέλευσης
Μηνύματος (Data Origin Auth.)

Ταυτοποίηση (Identification)


Η επικοινωνία μπορεί να είναι
διπλής κατεύθυνσης

Ταυτοποίηση της Alice από Bob

Ταυτοποίηση του Bob από Alice
Παραδείγματα

Κωδικοί Password, 2-factor auth.,

Πρόκληση-Απάντηση (ChallengeResponse), zero-knowledge proofs,…
Aναφέρεται και ως αυθεντικοποίηση
μηνύματος (message authentication)

Η επικοινωνία μπορεί να είναι μονής
ή διπλής κατεύθυνσης


π.χ. A e-mails B
Παραδείγματα

Ψηφιακές Υπογραφές

Συναρτήσεις MAC
Επιπλέον
προσφέρουν
και
Ακεραιότητα!
1.2. Αυθεντικοποίηση Οντότητας
(User Authentication - Identification)
Τεχνικές
Αυθεντικοποίησης
«Ανίσχυρες» Τεχνικές
(Weak Authentication)

Ισχυρές Τεχνικές
(Strong Authentication)
PINs, Passwords,…
Συμμετρικές Τεχνικές
Τεχνικές ΔΚ

Πρωτόκολλα Πρόκλησης – Απάντησης

Αποδείξεις μηδενικής γνώσης

…
Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001
Mao, W. Modern
Cryptography: Theory
and Practice. Prentice
1.2. Αυθεντικοποίηση Οντότητας
Hall, 2003
Τεχνικές Πρόκλησης-Απάντησης

challenge
H «ιδέα» πίσω από τα πρωτόκολλα
πρόκλησης-απάντησης είναι η εξής:

response
= f (challenge, secret)
Η Alice «αποδεικνύει» γνώση ενός
μυστικού (που αυτή και ο Bob
μοιράζονται), χωρίς να αποστείλει
το μυστικό στο Bob!

Η τεχνική μπορεί να περιγραφεί
ως εξής:
1.
Ο Bob στέλνει στην Alice μια
αριθμητική τιμή (πρόκληση)

π.χ. Ένας τυχαίος αριθμός
Πρόκληση: Μοναδικές τιμές (nonces) !
2.
Συνδυάζοντας την πρόκληση με το
μυστικό που γνωρίζει, η Alice
υπολογίζει και επιστρέφει στον Bob
μια τιμή (απάντηση)

Για την απάντηση, η Alice
κάνει χρήση μίας (μονόδρομης)
κρυπτογραφικής συνάρτησης f
Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001
1.2. Αυθεντικοποίηση Οντότητας
Τεχνικές Πρόκλησης-Απάντησης
1.

ISO Two Pass Unilateral
Authentication Protocol
Ο Bob ταυτοποιεί την
Alice
Εφαρμογή Νο 1: Dial-Up, DSL Access
CHAP (Challenge-Response Authentication Protocol)

Περίπτωση

Αυθεντικοποίηση PPP
(Point-to-Point
Protocol) με το υπο-

Αφορά: συνδέσεις
χρηστών dial-up ή
DSL με Παρόχους ISP

Μυστικό = Password
Authenticator
Configure-request,
auth-protocol=CHAP
Configure-ack
Authenticate-challenge,
[authenticator ID, challenge]
Authenticate-response,
[peer ID, H(auth ID, secret, challenge)]
Authenticate-success (or failure)
with text message
Time
πρωτόκολλο CHAP
Peer
1.2. Αυθεντικοποίηση Οντότητας
Mao, W. Modern
Cryptography: Theory
and Practice. Prentice
Hall, 2003
Τεχνικές Πρόκλησης-Απάντησης

Ερώτηση: Γιατί το challenge πρέπει να είναι τυχαίο;

Απάντηση: Αλλιώς, η απάντηση της Alice ίσως είναι αποτέλεσμα
«επίθεσης επανάληψης» (replay attack) από τον Mallory
challenge
response = f (challenge, secret)
Mao, W. Modern
Cryptography: Theory
and Practice. Prentice
Μία επίθεση πλαστοπροσωπίας
(όταν το challenge δεν είναι τυχαίο)

Σενάριο: Ο Bob στέλνει κάθε φορά ως
challenge έναν ακέραιο i, ώστε:
for (i=1;i<=1000;i++) send i;
1
time=1
f (1, K)
2
time=2
f (2, K)
Hall, 2003
Mao, W. Modern
Cryptography: Theory
and Practice. Prentice
Μία επίθεση πλαστοπροσωπίας
(όταν το challenge δεν είναι τυχαίο)
1
time=1
f (1, K)
2
time=2
f (2, K)
3
f (3, K)
3
f (3, K)
time=3
Hall, 2003
Menezes, Oorschot, Vanstone, Handbook of Applied Cryptography, CRC, 2001
1.2. Αυθεντικοποίηση Οντότητας
Mao, W. Modern
Cryptography: Theory
and Practice. Prentice
Hall, 2003
Τεχνικές Πρόκλησης-Απάντησης: Συμμετρικές Τεχνικές
1.

ISO Two Pass Unilateral
Authentication Protocol

Ο Bob ταυτοποιεί την Alice με
τη χρήση timestamps
Ο Bob ταυτοποιεί την Alice
Χρονοσημάνσεις: Ένα βήμα αντί Δύο !!!

O Bob ταυτοποιεί την Alice
και η Alice τον Bob
(αμφίδρομη ταυτοποίηση)
H χρήση χρονοσημάνσεων είναι ασφαλής,
εφόσον: α) Η Alice και ο Bob είναι
συγχρονισμένοι, β) Το ρολόι του Bob δε
μπορεί να «πειραχτεί» από τον Mallory *

Τυπικά, χρονοσημάνσεις σε
connectionless εφαρμογές, ενώ
για connection-oriented,
χρήση challenge-response * *
,
Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996.
1.2. Αυθεντικοποίηση Οντότητας
Menezes, Oorschot,
Vanstone, Handbook of
Applied Cryptography,
CRC, 2001
Τεχνικές Πρόκλησης-Απάντησης: Τεχνικές ΔΚ

Πώς ο Bob μπορεί να ταυτοποιήσει μια οντότητα Α ως την
Alice, χρησιμοποιώντας τεχνικές Δημόσιου Κλειδιού;
1.
Κρυπτογράφηση: Ο Bob κρυπτογραφεί μια πρόκληση C με το
ΔΚΑ της Alice, και στέλνει το μήνυμα στην οντότητα Α.


Αν η Α είναι όντως η Alice, μπορεί να αποκρυπτογραφήσει
το μήνυμα και να στείλει ως απάντηση to C
Μονόδρομη Ταυτοποίηση
Μπορείτε να το μετατρέψετε σε
αμφίδρομη ταυτοποίηση;

Αμφίδρομη Ταυτοποίηση
Schneier, Bruce. Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996.
1.2. Αυθεντικοποίηση Οντότητας
Menezes, Oorschot,
Vanstone, Handbook of
Applied Cryptography,
CRC, 2001
Τεχνικές Πρόκλησης-Απάντησης: Τεχνικές ΔΚ
2.
Ψηφιακή Υπογραφή: O Bob στέλνει στην Alice ένα challenge. Η Alice
υπογράφει το challenge με το ΙΚ της & στέλνει την απάντηση στον
Bob. Ο Bob επαληθεύει με το ΔΚ της Alice
c)
a)
Μονόδρομη Ταυτοποίηση
b)
Αμφίδρομη Ταυτοποίηση
Μονόδρομη Ταυτοποίηση με χρονοσημάνσεις (timestamps)
Περίπτωση:
Windows client-server authentication
Kaufman et al, 2002
1.3. Επιθέσεις Πλαστοπροσωπίας
H Επίθεση “MIG-in the MIDDLE” (Anderson, 2001) *
Cuban MIG
South African bomber
{N}K
{N}K
5
6
4
2
Challenge N
1
Secret key K
Response
{N}K
N
3
Retransmit
challenge N
Secret key K
Namibia
Response correct!
http://www.cs.utexas.edu/~shmat/courses/cs378_spring05/03auth.ppt
Angola
1.3. Επιθέσεις Πλαστοπροσωπίας*
H Επίθεση “Mafia in the Middle” (Anderson, 2001)
1
2
4
3
6
5
6. Επιθέσεις
Πλαστοπροσωπίας
Phishing Scams ♪
(APWG 2011a,
2012b)
Phishing Scams

Μορφές





(Ross et al, 2005)
E-mail campaigns*
SSL connections to
spoofed sites

Anti-Phishing research:


MITM attacks
Encrypting (browser-) cached
passwords * with master pass

Common password attacks
…
Password hashing (Ross et al, 2005)



Phishing alert toolbars (Chou et al, 2004)
e.g., SpoofGuard, * netcraft *
,*, *
*
Extended validation Certs
*
2-factor Authentication


π.χ. Firefox security *
Issues: real MITM, usability,..
*
2-channel authentication
Phishing Scams In Online Banking
The problems and Solutions (Clayton, 2005)

Problem 1: “Classical” phishing

A, S

A, S



Solution 1: A uses one-time
login passwords, e.g. *
Problem 2: Phisher P adapts:

Solution 2: U may contact the
bank soon and discover fraud
Problem 3: MITM for whole
session, phisher doesn’t logoff.
Solution 3: Bank asks a fresh
pswd for every transaction
Problem 4: P replaces a
transaction by a wicked one:
A, Sn
Tn, Sn
A, Sn
Wn, Sn
Phishing Scams In Online Banking
The problems and Solutions (Clayton, 2005)

Solution 4: “sign” transactions:
{A, B, nonce, Tn }K A

1



Problem 4b: A needs SW to do
this (Browser? Smartcard?)
Solution 5: Use a secure BankAlice channel (e.g.,SMS, mail,..)
A, S0
T1 , S1
…….
Tn, Sn
A, T1,…,Tn
secure
Problem 5: P uses a pswd key to
validate change of A’s address.
Solution 5b: Change of contact
details requires out-of-band

Solution 6: Connect using SSL

Problem 6: P has a Cert !
{site  P}KCA

1
Solution 7: Client certificates
Cert A ,{DHkey}K A
Cert B ,{DHkey}K B
1
1
Phishing Scams In Online Banking
The problems and Solutions (Clayton, 2005)

Problem 7:



PKI Cert mgmt issues

Banking at home only

Browsers can be fooled * * *

Malware steals Cert and PRkey


(Anderson, 2008b)

, ,
P may tell A: “Your CERTs
expired, send them to us”
Solution 9: (Anderson, 2008c,

Chip and Pin cards.* 3-D Secure ♪

Chip Authentication Program*
Problem 9:

Solution 10 (Anderson, 2008b)
♪ *, *, *
A lot of security issues 
Customer Education
7. Single Sign-On (SSO) in the Web
Federated Identity Management



The goal: A single logon should
work everywhere *
The problem: if same {user,
pswd} is used everywhere,
identity theft is made easy.
The idea: Federated Identity
Management ♪


Each user U chooses an
“identity service provider” P
Relying parties redirect U to P
for authentication


The technologies

openID 1.0 (Fitzpatrick, 2006)

openID 2.0 (Recordon & Reed, 2006)

*
Cardspace,…
The problems *, *


Concerns about phishing *
Lack of demand from users and
relying parties *
Single Sign-On (SSO) in the Web
Federated Identity Management
(Recordon & Reed, 2006)
2. Πρωτόκολλα Εδραίωσης Κλειδιού
Ορισμοί

Το πρόβλημα: Στις συμμετρικές
τεχνικές, η Alice και ο Bob
μοιράζονται ένα κλειδί Κ. Πώς όμως
αποκτούν αυτό το κλειδί;

Γενικότερη διατύπωση: Πώς δύο ή
περισσότερες οντότητες αποκτούν
από κοινού ένα μυστικό (συμμετρικό)
•
Eve: Υποκλέπτει
επικοινωνία
•
Mallory: Επιθέσεις
πλαστοπροσωπίας και
ενδιάμεσης οντότητας
κλειδί για ασφαλή επικοινωνία …

… δηλαδή έναντι παθητικών
ή/και ενεργητικών εχθρών
2. Πρωτόκολλα Εδραίωσης Κλειδιού
Ορισμοί

Σκοπός: Η εδραίωση ενός
εφήμερου ή «φρέσκου»
κλειδιού που αποκαλείται
κλειδί συνόδου (session key)

Γιατί κλειδιά συνόδου;
1.
Περιορισμός των συνεπειών
αν ο «εχθρός» βρει ένα κλειδί.
2.
Περιορισμός της ποσότητας
υλικού που θα χρησιμοποιηθεί
για κρυπτανάλυση.
3.
Άρση ανάγκης αποθήκευσης
πολλών κλειδιών για μεγάλο
χρονικό διάστημα.
4.
Ανεξαρτησία μεταξύ των
συνόδων επικοινωνίας και των
δικτυακών εφαρμογών
2. Πρωτόκολλα Εδραίωσης
«Φυσική» Εδραίωση Κλειδιού
Σενάρια:
1.
2.

H Alice επιλέγει ένα κλειδί και
το μεταδίδει στον Bob με
φυσικό τρόπο
Μια Τρίτη Αρχή επιλέγει ένα
κλειδί και το μεταδίδει στους
Alice & Bob με φυσικό τρόπο
Τα σενάρια 1 και 2, συνήθως
εφαρμόζονται για:

Κρυπτογράφηση ζεύξης (link
encryption) στο επίπεδο σύνδεσης δεδομένων (π.χ. Wi-fi)

Για κρυπτογράφηση από άκρησε-άκρη (end-to-end) στο
επίπεδο δικτύου, όχι αποδοτικό
 N hosts: Ν(Ν-1)/2 κλειδιά

Τι θα γίνει αν η κρυπτογράφηση
γίνει στο επίπεδο εφαρμογής;
 1 κλειδί για κάθε ζεύγος
χρηστών ή διεργασιών;
 Case: Δίκτυο με εκατοντάδες
κόμβους & χιλιάδες διεργασίες!
2. Πρωτόκολλα Εδραίωσης
«Φυσική» Εδραίωση Κλειδιού
2. (Λογική) Εδραίωση Κλειδιού
Κατηγοριοποίηση

Τρεις περιπτώσεις:
1.
Οι Alice & Bob μοιράζονται
ήδη ένα κλειδί μακράς
ΣΥΜΜΕΤΡΙΚΕΣ
ΤΕΧΝΙΚΕΣ
διαρκείας (π.χ. password)
2.
Οι Alice & Bob μοιράζονται
ξεχωριστά κλειδιά μακράς
διαρκείας με ένα έμπιστο
κέντρο (KDC).
3.
Η Alice και ο Bob δεν
μοιράζονται κάποιο κλειδί
ΤΕΧΝΙΚΕΣ
ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ
2. (Λογική) Εδραίωση Κλειδιού
Κατηγοριοποίηση

Τρεις περιπτώσεις:
1.
Οι Alice & Bob μοιράζονται
ήδη ένα κλειδί μακράς
διαρκείας (π.χ. password)
2.
Οι Alice & Bob μοιράζονται
ξεχωριστά κλειδιά μακράς
διαρκείας με ένα έμπιστο
κέντρο (KDC).
3.
Η Alice και ο Bob δεν
μοιράζονται κάποιο κλειδί
Η προτεινόμενη μέθοδος για συστήματα
μεγάλης κλίμακας (π.χ. Internet)
Σε κλειστά ή/και αυτόνομα συστήματα,
τα κλειδιά μακράς διαρκείας (Master
keys) χρησιμοποιούνται για την
εδραίωση των (εφήμερων) κλειστών
συνόδου. Τα Master keys διανέμονται με
μη κρυπτογραφικό τρόπο (π.χ. φυσικά)
2. Πρωτόκολλα Εδραίωσης Κλειδιού
Κατηγοριοποίηση
1.
Πρωτόκολλα Διανομής Κλειδιού
(Key Distribution)

Μια έμπιστη οντότητα (KDC)
δημιουργεί το κλειδί και το
στέλνει στην Alice και τον Bob
3.
2.
Πρωτόκολλα Μεταφοράς
Κλειδιού (Key transport)

Η Alice (Bob) δημιουργεί
ένα κλειδί και το στέλνει
στον Bob (Alice)
Πρωτόκολλα Συμφωνίας Κλειδιού
(Key Agreement)

Η Alice & Bob συνεισφέρουν από κοινού
στη δημιουργία του κλειδιού συνόδου
2. Πρωτόκολλα Εδραίωσης Κλειδιού
Κατηγοριοποίηση
Κρυπτογραφικά Πρωτόκολλα
Εδραίωσης Κλειδιού
1. Συμμετρικές Τεχνικές
Διανομής:
Π1-Π8
Μεταφοράς:
Π9-Π10
2. Τεχνικές Δημόσιου Κλειδιού
Συμφωνίας:
Π11-Π12
Μεταφοράς:
Π14-Π18
Πηγή: (Magkos et al, 2011)
Συμφωνίας:
Π19-Π26
2. Πρωτόκολλα Εδραίωσης Κλειδιού
Κατηγοριοποίηση

Σημείωση: Στις
συμμετρικές τεχνικές,
μπορούμε να εντάξουμε
μια επιπλέον κατηγορία
4.
Εδραίωση χωρίς
σύνδεση με προμοιρασμένα κλειδιά
(Offline Key
Establishment with
Pre-Shared Keys)
K
K
Παράδειγμα (για j συνόδους)
Session 1: Κ1 = Hash(K, n1)
Session 2: Κ2 = Hash(K, n2)
…
Session j: Κj = Hash(K, nj)
n: nonce
(number used once)
2. Πρωτόκολλα Εδραίωσης Κλειδιού
Στόχοι Ασφάλειας
1.
2.
Αυθεντικοποίηση Χρήστη
(User Authentication)
Η αυθεντικοποίηση μπορεί
να είναι
Αυθεντικοποίηση Κλειδιού
ή αμοιβαία
… ένα πρωτόκολλομονόδρομη
εδραίωσης
(Key Authentication)
A.
B.
θεωρείται ασφαλές αν το κλειδί
Εννούμενη Αυθεντικοποίηση
που θα προκύψει είναι ανέφικτο
(Implicit Key Authentication)
να το γνωρίζει/μάθει ένας
Ρητή Αυθεντικοποίηση
μη εξουσιοδοτημένος χρήστης…
(Explicit Key Authentication)
3.
Μυστικότητα Κλειδιού
(Key Secrecy)
4.
Φρεσκάδα Κλειδιού (Key Freshness)
2. Πρωτόκολλα Εδραίωσης Κλειδιού
Στόχοι Ασφάλειας
1.
Αυθεντικοποίηση Χρήστη
Κάθε χρήστης μπορεί να
καθορίσει:
A.
B.
Την ταυτότητα του χρήστη
με τον οποίο εδραιώνει το
κλειδί συνόδου, και
ότι ο έτερος χρήστης είναι
ενεργός τη στιγμή που
εκτελείται το πρωτόκολλο
2.
Αυθεντικοποίηση Kλειδιού. Ο
χρήστης γνωρίζει την
ταυτότητα του χρήστη με τον
οποίο εδραίωσε το κλειδί
A.
Εννούμενη Αυθεντικοποίηση
π.χ. η Alice γνωρίζει ότι μόνον
ο Βob μπορεί να έχει πρόσβαση
στο κλειδί που εδραιώνεται
B.
Ρητή αυθεντικοποίηση
π.χ. η Alice βεβαιώνεται ότι ο
Γνωστή και ως
«Επιβεβαίωση
Κλειδιού»
Βοb έχει πρόσβαση στο κλειδί
που εδραιώθηκε
2. Πρωτόκολλα Εδραίωσης Κλειδιού
Στόχοι Ασφάλειας
3.
Μυστικότητα Κλειδιού
Μόνον οι εξουσιοδοτημένοι
χρήστες έχουν πρόσβαση
στο κλειδί συνόδου
4.
Φρεσκάδα Κλειδιού
Το εδραιωμένο κλειδί
πρέπει να είναι καινούριο,
δηλ. να μην έχει εδραιωθεί
ξανά στο παρελθόν από
άλλους χρήστες
2. Πρωτόκολλα Εδραίωσης Κλειδιού
Στόχοι Αποδοτικότητας

1.
Ένα πρωτόκολλο εδραίωσης πρέπει να είναι
αποδοτικό ως προς τις εξής πολυπλοκότητες:
Επικοινωνία:


2.
3.
Ο αριθμός των αποστολών μηνυμάτων
(passes),
Alice
Bob
Ο αριθμός των bit που ανταλλάσσονται
(per pass),
Υπολογισμοί: ο αριθμός των απαιτούμενων
υπολογιστικών πράξεων
Αποθήκευση: O απαιτούμενος αποθηκευτικός
χώρος που απαιτείται για την εδραίωση
Carol
Συμβολισμοί
3. Εδραίωση με Συμμετρικές Τεχνικές
3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π1
Πρωτόκολλο Π1 - Απλή διανομή κλειδιού [38]
[Popek and Kline, 1979]
3. Εδραίωση με Συμμετρικές Τεχνικές
3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π2
Πρωτόκολλο Π2 - Απλή διανομή με ρητή αυθεντικοποίηση
3. Εδραίωση με Συμμετρικές Τεχνικές
3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π2
Επίθεση Ε1 - Μία επίθεση πλαστοπροσωπίας στο πρωτόκολλο Π2 [30]
3. Εδραίωση με Συμμετρικές Τεχνικές
3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π3
Πρωτόκολλο Π3 -Αυθεντικοποίηση με εισαγωγή
πληροφορίας σχετικής με την ταυτότητα των χρηστών [30]
3. Εδραίωση με Συμμετρικές Τεχνικές
3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π3
Επίθεση Ε2 - Μία επίθεση πλαστοπροσωπίας στο πρωτόκολλο Π3 [30]
3. Εδραίωση με Συμμετρικές Τεχνικές
3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π4
Πρωτόκολλο Π4 - Το πρωτόκολλο διανομής των Needham-Schroeder [35]
( Needham and Schroeder, 1978)
3. Εδραίωση με Συμμετρικές Τεχνικές
3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π4
Επίθεση Ε3 - Μία επίθεση πλαστοπροσωπίας στο Needham-Schroeder [14]
(Denning and Sako, 1981)
3. Εδραίωση με Συμμετρικές Τεχνικές
3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π5
Πρωτόκολλο Π5 - Εισαγωγή χρονοσφραγίδων στο πρωτόκολλο Needham-Schroeder [14]
(Denning and Sako, 1981, Denning, 1981)
Menezes, Oorschot, Vanstone,
Handbook of Applied
Cryptography, CRC, 2001
Η Emily έρχεται στη δουλειά.
Εισάγει σε μια φόρμα το
ΤοτονΣύστημα
username και
κωδικό της
πρόσβασης, στις 8.00 A.M
To λογισμικό Kerberos στον Η/Υ της Emily στέλνει
το username στην Υπηρεσία Αυθεντικοποίησης (AS)
στον server KDC, που με τη σειρά της επιστρέφει
Kerberos
στην Emily ένα Εισιτήριο Έκδοσης Εsισιτηρίων
(Ticket Granting Ticket – TGT), κρυπτογραφημένο
(συμμετρικά) με το password της Emily
Η TGS δημιουργεί και στέλνει
Αν η Emily έχει δώσει το
στην Emily ένα 2o εισιτήριο, για
σωστό password, το TGT
την ταυτοποίηση της στον file
αποκρυπτογραφείται και η
server. To εισιτήριο περιέχει ένα
Alice αποκτά πρόσβαση στο
κλειδί συνόδου , κρυπτογραφημένο
σταθμό εργασίας της
με τα κλειδιά που μοιράζεται το
Όταν η Emily θελήσει να
KDC με Emily & τον server
επικοινωνήσει με τον file server, το
Kerberos στον Η/Υ της στέλνει μια
Το Kerberos εξάγει το κλειδί
αίτηση, μαζί με το TGT, στην
συνόδου, και αποστέλλει το
Υπηρεσία Έκδοσης Εισιτηρίων
εισιτήριο στον file server για (Τicket Granting Service – TGS)
να αρχίσει η επικοινωνία !
στον KDC.
(Stallings, 2010)
Εφαρμογή Νο 2
The Kerberos System
(Steiner et al, 1988)
The problem :


”In an open distributed environment users at workstations wish to
access services on servers distributed throughout the network.
The servers must be able to restrict access to authorized users
and to authenticate requests for service.”
A workstation cannot be trusted to identify users correctly



A user may gain access to a particular workstation and pretend to be
another user operationg from that workstation
A user may alter the network address of a workstation and thus
impersonate another workstation
A user may eavesdrop on exchanges and use a replay attack to gain
entrance to a server
(Stallings, 2010)
Εφαρμογή Νο 2
The Kerberos System

In a distributed architecture consisting of clients and severs three
approaches to security can be envisioned:
1.
Rely on each client workstation to assure the identity of its users
and rely on each server to enforce security policy based on user
identification (ID).
2.
Require that client systems authenticate themselves to servers,
but trust the client systems conserning the identity of the user.

3.
The two first approaches could be used in a small closed environment.
Require the user to prove identity for each service invoked. Require
that servers prove their identity to clients.

Third approach is supported by Kerberos:
(Stallings, 2010)
Εφαρμογή Νο 2
The Kerberos System

A trusted, centralized auth.
server who facilitates
authentication of users to
servers and servers to users.

There are two versions

Version 4 (Steiner et al, 1988, Miller et al,1988)
is still in common use

Version 5 (1994) (Kohl et al, 1994)
(RFC 4120) corrects
some
deficiencies of version 4

Kerberos relies exclusively on
conventional encryption.
(Stallings, 2010)
Εφαρμογή Νο 2
The Kerberos System

The following requirements were listed for Kerberos:
1.
Secure: a network eavesdropper should not be able to obtain the
required information for impresonating a user.
2.
Reliable: services rely on the availability of Kerberos access
control, thus lack of availability of Kerberos is lack of availability
of the services. Kerberos should employ a distributed server
architecture with one system able to back up another.
3.
Transparent: the user should not be aware that authentication is
taking place, except for the entering of the password.
4.
Scalable: the system should have a modular, distributed
architecture to support large number of clients and servers.
(Stallings, 2010)
Kerberos Version 4
(Steiner et al, 1988, Miller et al,1988)

We build up to full protocol (Bryant et al,1988)

A Simple Authentication Protocol

This protocol uses an authentication server (AS) that knows the
passwords of each user and shares a secret key with each server.
C  AS: IDC|| PC || IDV
AS C: IDC || Ticket
CV:
Ticket
Ticket = E(KV, [IDC|| ADC || IDV])

Some issues:

Number of password uses

Plaintext transmission of password
C = Client
AS = authentication server
V = server
IDC = identifier of user on C
IDV = identifier of V
PC = password of user on C
ADC = network address of C
KV= secret encryption key
shared by AS and V
(Stallings, 2010)
Kerberos Version 4
(Steiner et al, 1988, Miller et al,1988)
A More Secure Authentication Dialogue
Once per service session:
(1) C  AS:
IDC || IDtgs
(2) AS  C:
E(KC, Tickettgs)
Once per type of service:
(3) C TGS:
IDC || IDV || Tickettgs
(4) TGSC:
TicketV

Issues

Replays after C logs off and
before lifetime is over 

Servers do not authenticate
to Users
Once per service session:
(5) CV:
IDC || TicketV
Tickettgs = E(Ktgs, [IDC|| ADC || IDtgs || TS1 || Lifetime1 ]
TicketV = E(KV, [IDC|| ADC || IDV || TS2 || Lifetime2])
The Version 4 Authentication Dialogue
Kerberos Version 4
(Steiner et al, 1988, Miller et al,1988)
(Stallings, 2010)
The Version 4 Authentication Dialogue
Kerberos Version 4
(Steiner et al, 1988, Miller et al,1988)
(Stallings, 2010)
(Stallings, 2010)
Scalability of Kerberos
Kerberos Realms and Multiple Kerberi

A Kerberos realm, is a full-service environment consisting
of a Kerberos server, a number of clients and app servers:
1.
The Kerberos server has the user Ids and hashed passwords
of all participant users. All users are registered with the
Kerberos server.
2.
The Kerberos server shares a secret key with each server.
All servers are registered with the Kerberos server.

Kerberos supports inter-realm authentication. Extra req:
3.
The Kerberos server in each interoperation realm shares a
secret key with the server in the other realm. The two
kerberos servers are registered with the each other..
Kerberos & Τομείς Ασφάλειας (Security Domains)
Τομέας Ασφάλειας

Μία λογική (logical)
Ομάδα από υποκείμενα και
αντικείμενα (χρήστες, Η/Υ,
συσκευές, προγράμματα &
εφαρμογές, δεδομένα, … )

…που υπακούν σε ένα κοινό
σύνολο κανόνων ασφάλειας
(i.e., πολιτική ασφάλειας)

Kerberos: Ο ελεγκτής τομέα
συγκεντρώνει τους ρόλους
AS και TGS
Τομείς Ασφάλειας (Security Domains)
Αρχιτεκτονική Client-Server

Για κάθε τομέα, υπάρχει ένας
server (Domain Controller) όπου:

Μια κεντρική ΒΔ (Ενεργός
Κατάλογος - Active Directory)
περιέχει τους λογαριασμούς &
ομάδες χρηστών και Η/Υ

Δημιουργούνται & επιβάλλονται
οι Πολιτικές Ασφάλειας του τομέα

Πολιτικές ομάδων (group policies)

Κριτήρια & Δικαιώματα πρόσβασης

Ρυθμίσεις ασφάλειας

Οι χρήστες (clients), γίνονται
μέλη στον τομέα κάνοντας log
on, με διαδικασίες SSO

Μέσω LAN, WAN, VPN κλπ
Λογική σύνδεση
Τομείς Ασφάλειας (Security Domains) -
Τομείς Ασφάλειας (Security Domains)

Μεγάλα συστήματα,
συχνά οργανώνονται
ιεραρχικά:
1.
Δένδρο

Πολλοί Τομείς,
με το ίδιο namespace
1.

Δάσος (Forrest)
Πολλά δένδρα,
με διαφορετικά
namespaces
http://technet.microsoft.com/
3. Εδραίωση με Συμμετρικές Τεχνικές
3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π6
Πρωτόκολλο Π6 - Το πρωτόκολλο διανομής των Otway-Rees [37]
(Otway and Rees, 1987)
3. Εδραίωση με Συμμετρικές Τεχνικές
3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π7
Πρωτόκολλο Π7 - Το πρωτόκολλο Π6 με αμοιβαία αυθεντικοποίηση [33]
3. Εδραίωση με Συμμετρικές Τεχνικές
3.Α. Διανομή Κλειδιού - Πρωτόκολλο Π8
Πρωτόκολλο Π8 - Το πρωτόκολλο των Bellare-Rogaway [5]
(Bellare and Rogaway, 1995)
3. Εδραίωση με Συμμετρικές Τεχνικές
3.Α. Διανομή Κλειδιού - Πλεονεκτήματα & Μειονεκτήματα

Πλεονεκτήματα Αρχιτεκτονικής


Εύκολη διαχείριση συστήματος
Κάθε οντότητα αποθηκεύει ένα
μόνον κλειδί μακράς διαρκείας

Μειονεκτήματα Αρχιτεκτονικής

Υψηλή εμπιστοσύνη στον Trent

Υψηλός φόρτος για τον Trent
3. Εδραίωση με Συμμετρικές Τεχνικές
3.Β. Μεταφορά Κλειδιού - Πρωτόκολλο Π9
Πρωτόκολλο Π9 - Απλή μεταφορά κλειδιού [22]
(ISO/IEC 11770-2:1996)
3. Εδραίωση με Συμμετρικές Τεχνικές
3.Β. Μεταφορά Κλειδιού - Πρωτόκολλο Π10
Πρωτόκολλο Π10 - Απλή μεταφορά κλειδιού με πρόκληση-απάντηση [33]
3. Εδραίωση με Συμμετρικές Τεχνικές
3.C. Συμφωνία Κλειδιού - Πρωτόκολλο Π11
Πρωτόκολλο Π11 -To πρωτόκολλο ΑΚΕP2 [4]
(Bellare and Rogaway, 1993)
ΚS = Hash(K’AB, NA, NB)
3. Εδραίωση με Συμμετρικές Τεχνικές
3.C. Συμφωνία Κλειδιού - Πρωτόκολλο Π12
Πρωτόκολλο Π12 - Συμφωνία κλειδιού με χρονοσφραγίδες
ΚS = Hash(kA, kB)
3. Εδραίωση με Συμμετρικές Τεχνικές
3.C. Συμφωνία Κλειδιού - Πρωτόκολλο Π13
Πρωτόκολλο Π13 - Συμφωνία κλειδιού με πρόκληση-απάντηση
4. Εδραίωση με Ασύμμετρες Τεχνικές
4.Α. Μεταφορά Κλειδιού - Η ιδέα του Merkle (Merkle, 1978)
1.
2.
Η Alice φτιάχνει μια ΒΔ με 1.000.000 κλειδιά και αντίστοιχους
(μοναδικούς) σειριακούς αριθμούς
Η Alice κρυπτογραφεί κάθε ζεύγος της ΒΔ με διαφορετικά κλειδιά
μικρού μήκους (π.χ 20 bit)
Τυχαία σειρά
4. Εδραίωση με Ασύμμετρες Τεχνικές
4.Α. Μεταφορά Κλειδιού - Η ιδέα του Merkle (Merkle, 1978)
3.
Η Alice στέλνει στον Bob
1.000.000 κρυπτογραφημένα
μηνύματα
4.
Ο Bob επιλέγει στην τύχη ένα
μήνυμα και εξαπολύει μια
επίθεση brute force

5.
π.χ. 1 ώρας διάρκεια
O Bob ανακτά π.χ. το ζεύγος
(1yt8a42x35 | 500,121)
6.
O Bob επικοινωνεί με την Alice:
της λέει να χρησιμοποιήσει το
κλειδί που αντιστοιχεί στο 500.121
Ασυμμετρία
! Η Eve δεν ξέρει πιο από τα
κρυπτογραφημένα μηνύματα περιέχει
το κλειδί που επέλεξε ο Bob !!
! Η Eve θα πρέπει να «σπάσει» κατά
μέσο όρο 219 ~ 500.000 μηνύματα !!!
π.χ. 500.000 ώρες εργασίας
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού
4.Α. Μεταφορά Κλειδιού - Πρωτόκολλο Π15
Πρωτόκολλο Π15 -Ένα απλό πρωτόκολλο μεταφοράς κλειδιού [39,33]
(Merkle, 1979, Kohnfelder 1978, p.5)
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού
4.Α. Μεταφορά Κλειδιού - Πρωτόκολλο Π15

Στην απλή του μορφή το Π15
είναι ευπαθές σε επιθέσεις
MITM (Rivest & Shamir, 1984)
Εφαρμογή Νο 3
SSL 3.0 (Secure Sockets Layer)
Το ΔΚ της CA είναι
πιθανώς προεγκατεστημένο, κατά την
εγκατάσταση του
λογισμικού πλοήγησης
… NA
… NB , SigCA(PKB)
EPKB[ΚΑ]
ΚS = Hash(KA, NA, NB)
ΚS = Hash(KA, NA, NB)
Master Secret
Pre-master Secret
Master Secret
O “διάδοχος” του SSL
TLS (Transport Layer Security)
… NA
… NB , SigCA(PKB)
SigA(EPKB[ΚΑ],…), SigCA(PKA)
ΚS = Hash(KA, NA, NB)
ΚS = Hash(KA, NA, NB)
Εφαρμογή Νο 4
Κινητή Τηλεφωνία: WAP & WTLS
WTLS
SSL
Web Server
Internet
Gateway
Εφαρμογή Νο 5
ΙΕΕΕ 802.11i (Ασύρματα Τοπικά Δίκτυα)
Mobile client
Enterprise
network
Εδραίωση Κλειδιού σε WLANS
(EAP-TLS)
Radius
Authentication
Server
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού
4.Α. Μεταφορά Κλειδιού - Πρωτόκολλο Π16
Πρωτόκολλο Π16 -Μεταφορά κλειδιού με αυθεντικοποίηση οντότητας [23]
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού
4.Α. Μεταφορά Κλειδιού - Πρωτόκολλο Π17
Πρωτόκολλο Π17 -Μεταφορά κλειδιού με αυθεντικοποίηση οντότητας [23]
(ISO/IEC 11770-3, 1999)
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού
4.Α. Μεταφορά Κλειδιού - Πρωτόκολλο Π18
Πρωτόκολλο Π18 -Μεταφορά κλειδιού με αμοιβαία αυθεντικοποίηση [33]
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού
4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Π19
Πρωτόκολλο Π19-Συμφωνία κλειδιού με αμοιβαία αυθεντικοποίηση [35]
(Needham & Schroeder, 1978)
ΚS = Hash(kA, kB)
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού
4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Π20
Πρωτόκολλο Π20 - Τροποποίηση του πρωτοκόλλου Π19 [33]
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού
4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Π21
Πρωτόκολλο Π21 - Παραλλαγή του πρωτοκόλλου Needham-Schroeder [35]
(Needham & Schroeder, 1978)
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού
4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Π22
Πρωτόκολλο Π22 - Μια απλοποίηση του Π21 [35]
(Needham & Schroeder, 1978)
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού
4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Π22
Επίθεση E4 - H επίθεση του Lowe στο πρωτόκολλο Π22 [30]
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού
4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Diffie-Hellman (Diffie &Hellman, 1976)
Πρωτόκολλο Π23 - Το πρωτόκολλο Diffie-Hellman [15]
KS  ( g rb )ra mod p

KS  ( g ra )rb mod p
Εφαρμογές: Ο αλγόριθμος και οι παραλλαγές του χρησιμοποιούνται σήμερα
ευρέως σε δημοφιλείς εφαρμογές: π.χ. IPSec, SSH, SSL/TLS, …
John Hershey.
Cryptography
Demystified. McGraw-Hill
Κρυπτογραφία Δημόσιου Κλειδιού
Professional, 2003
To Πρωτόκολλο Diffie-Hellman – Ένα παράδειγμα
Παράμετροι συστήματος
ga
g
p= 101, g=3
a=5
b
35 mod101 41
k  (g )
a b
k  ( g b )a
36 mod101 22
b=6
k  416 mod101 6
Όλες οι πράξεις γίνονται mod p
g και p: Παράμετροι συστήματος
ΓΝΩΣΤΕΣ ΣΕ ΟΛΟΥΣ
k  225 mod101 6
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού
4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Π23
Επίθεση E5 - Μία επίθεση ενδιάμεσης οντότητας (MITM) στο DH [30]
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού
4.B. Συμφωνία Κλειδιού - To Πρωτόκολλο STS [16]
Πρωτόκολλο Π24 - Το πρωτόκολλο Station to Station (STS) [16]
(Diffie et al, 1981)
Εφαρμογή Νο 6: Virtual Private Networks (VPNs)
IPSec - Το πρωτόκολλο IKE (Internet Key Exchange)
m1
A, (ga mod p)
A
B, (gb mod p), SigB(m1,m2), CertB
m2
SigA(m1,m2), CertA
B
Εφαρμογή Νο 7: Secure Shell (SSH)
Εδραίωση Κλειδιού στο πρωτόκολλο SSH
m1
A, (ga mod p)
A
B, (gb mod p), SigB(m1,m2)
B
m2
Αυθεντικοποίηση χρήστη (π.χ. αποστολή password,
κρυπτογραφημένου με το Ks)
K S  g mod p
ab
K S  g ba mod p
Εφαρμογή Νο 7: Bluetooth v. 2.1
Εδραίωση Κλειδιού στο Bluetooth
Elliptic Curve Diffie-Hellman (ECDH) Key Exchange
Let’s pair
PKb
Device A
PKa
DHkeyA = aPKb
Device B
DHkeyB = bPKa
DHkeyA = aPKb = abG = baG = bPKa = DHkeyB
http://www.aladdin.com/blog/pdf/AndrewLindell-BlackHat08.ppt
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού
4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Π25
Πρωτόκολλο Π25 - Το πρωτόκολλο εδραίωσης κλειδιού X.509 [34]
4. Εδραίωση με Τεχνικές Δημόσιου Κλειδιού
4.B. Συμφωνία Κλειδιού - Πρωτόκολλο Π26
Πρωτόκολλο Π26 - Το πρωτόκολλο Π25 με πρόκληση-απάντηση [34]
5. Προηγμένα Πρωτόκολλα Εδραίωσης
H Οικογένεια Πρωτοκόλλων MTI [31]
Πρωτόκολλο Π27 - To πρωτόκολλο συμφωνίας MTI/A0 [31]
(Matsumoto et al, 1986)
5. Προηγμένα Πρωτόκολλα Εδραίωσης
Το πρωτόκολλο ΕΚΕ (Encrypted Key Exchange) [7]
Πρωτόκολλο Π29: Το πρωτόκολλο ΕΚΕ [7]
(Bellovin and Merritt, 1992)
5. Προηγμένα Πρωτόκολλα Εδραίωσης
Το πρωτόκολλο ΕΚΕ2 [3]
Πρωτόκολλο Π30: Το πρωτόκολλο ΕΚΕ2 [3]
(Bellare et al, 2000)
KS  g rarb mod p
5. Προηγμένα Πρωτόκολλα Εδραίωσης
Εδραίωση Κλειδιού Ομάδας στο DH

(Ingemarsson et al, 1982)
Πώς μπορούν 3 ή
περισσότεροι χρήστες
να συμφωνήσουν σε
ένα κοινό κλειδί K …

… Χρησιμοποιώντας
το πρωτόκολλο DH;
Group Key Agreement
Alice
Bob
Carol
Carol
5. Προηγμένα Πρωτόκολλα Εδραίωσης
Εδραίωση Κλειδιού Ομάδας στο DH

(Ingemarsson et al, 1982)
Πώς μπορούν 3 ή
περισσότεροι χρήστες
να συμφωνήσουν σε
ένα κοινό κλειδί K …

… Χρησιμοποιώντας
το πρωτόκολλο DH;
Group Key Agreement
Alice
Bob
Carol
5. Συνοψίζοντας
Συμμετρικά Πρωτόκολλα vs
Πρωτόκολλα ΔΚ
Εδραίωση με Συμμετρικά Συστήματα

1.

1.
ΥΠΕΡ
Απόδοση (κόστος υπολογισμών,
χωρητικότητας, αποθήκευσης)

Απαιτούν προ-συμφωνημένα μυστικά (με άλλους κόμβους ή με το KDC)

Διαχείριση κλειδιού σε συστήματα
μεγάλης κλίμακας: Δύσκολη
Εφαρμογή σε κατανεμημένα και
δυναμικά περιβάλλοντα: Δύσκολη
Στα συστήματα διανομής, το KDC
αποτελεί μοναδικό σημείο αποτυχίας
ΥΠΕΡ
1.
Δεν απαιτούν την ύπαρξη προεγκατεστημένων μυστικών, ούτε
ενός πλήρως έμπιστου, online KDC
2.
Ιδανικά για συστήματα μεγάλης
κλίμακας και δυναμικής τοπολογίας
3.
Μη αποποίηση ευθύνης
(ψηφιακές υπογραφές)
ΚΑΤΑ

2.
Εδραίωση με Συστήματα ΔΚ

ΚΑΤΑ
1.
Απόδοση (κόστος υπολογισμών,
χωρητικότητας, αποθήκευσης)
2.
Διαχείριση κλειδιού
(Υποδομές δημόσιου κλειδιού- PKI)
Βιβλιογραφία
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
M. Abadi and R. Needham. “Prudent engineering practice for cryptographic protocols”,
Technical Report DEC SRC 125, Digital Equipment Corporation, November 1995.
M. Bellare, R. Canetti, and H. Krawczyk, “A Modular Approach to the Design and Analysis
ofAuthentication and Key Exchange Protocols”. Proceedings 30th STOC, ACM Press, 1998.
M. Bellare, D. Pointcheval, and P. Rogaway. “Authenticated Key Exchange Secure Against
Dictionary Attacks”, -Eurocrypt 2000, LNCS 1807, B. Preneel, ed.,Springer-Verlag, 2000,
pp. 139–155.
M. Bellare and P. Rogaway. “Entity authentication and key distribution”, In Crypto ’92,
LNCS 740, 1993.
M. Bellare, P. Rogaway, “Provably secure session key distribution: the three party case”,
Proceedings of the twenty-seventh annual ACM STOC, pp. 57-66, 1995, Las Vegas,
Nevada.
M.J.Beller and Y.Yacobi, “Fully-fledged two-way-public key authentication and key
agreement for low-cost terminals”, Electronics Letters, vol. 29, pp. 999-1001, May 1993.
S. M. Bellovin and M. Merritt. “Encrypted Key Exchange: Password-Based Protocols
Secure Against Dictionary Attacks”, IEEE Symposium on Research in Security and
Privacy, Oakland, 1992.
C. Boyd and A.Mathuria, “Protocols for Authentication and Key Establishment”, Springer,
2003.
M. Burmester, “On the Risk of Opening Distributed Keys”, 14th Annual Conference on
Crypto ’94. LNCS 839, Springer-Verlag, pp. 308-317, 1994.
M. Burmester and Y. Desmedt, “A secure and effient conference key distribution
system”, In Eurocrypt ’94, A. De Santis, Ed., LNCS 950, Springer-Verlag, 1995.
M. Burrows, M. Abadi, and R. Needham, “A Logic of Authentication”, ACM Transactions on
Computer Systems, 8(1), 1990, pp. 18-36.
R. Canetti. “Universally Composable Security: A New Paradigm for Cryptographic
Protocols”, 42th FOCS 2001, pp. 136–145, IEEE Computer Society, 2001.
J. Clark and J. (2)
Jacob. “A survey of authentication protocol literature”, Unpublished
Βιβλιογραφία
report.University of York, 1997.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
D.E. Denning and G.M. Sacco. “Timestamps in key distribution protocols”, Communications
ofthe ACM, 24(8):533-536, 1981.
W.Diffie andM.E.Hellman. “Newdirections in cryptography”, IEEE Transactions in
Information Theory, IT-22(6):644-654, 1976.
W. Diffie, P. C. van Oorschot, and M. J. Wiener. “Authentication and Authenticated Key
Exchanges”, Designs, Codes, and Cryptography, v.2, pp. 107–125, 1992.
M.Gasser,A.Goldstein, C.Kaufman, and B. Lampson, “The DigitalDistributed Systems
Security Architecture”, 12th National Computer Security Conference, NIST, 1989, pp.
305-319.
M. Girault, “Self-certified public keys”, Advances in Cryptology, Eurocrypt’91, LNCS
547,Springer, Berlin, 1991, pp. 490–497.
Goldwasser, S. and Micali, S. “Probabilistic encryption”, Journal of Computer and System
Sciences 28(2), pp. 270-299, 1984.
C. Gunther, “An identity-based key-exchange protocol” Eurocrypt 89, LNCS 434, J-J.
Quisquater, J. Vandewille ed., Springer-Verlag, 1989.
I. Ingemarsson, D. T. Tang, and C. K. Wong. “A Conference Key Distribution System”,
IEEE Transactions on Information Theory, 28(5):714– 719, 1982.
ISO. Information Technology-Security Techniques-Key Management-Part 2: Mechanisms
using symmetric techniques. ISO/IEC 11770-2, 1996.
ISO. Information Technology - Security Techniques - Key Management - Part 3:
Mechanisms using asymetric techniques. Technical Report ISO/IEC 11770-3, 1999.
ISO. IT - Security Techniques - Entity Authentication - Part 3:Mechanisms using digital
signature techniques. Technical Report ISO/IEC 9798-3, 1998.
J. Katz, Y. Lindell. Introduction to Modern Cryptography. Chapman & Hall/CRC, 2008.
J. Katz and M. Yung. “Scalable Protocols for Authenticated Group Key Exchange”,
Advances in Cryptology - Crypto’03 , LNCS 2729, Springer-Verlag, pp.110-125, 2003.
A.G. Konheim, Cryptography: a Primer, John Wiley & Sons, New York, 1981.
Βιβλιογραφία
(3) and fixing the Needham-Schroeder public-key protocol using CSP and
28.
G. Lowe. “Breaking
27.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
FDR”, Procedings of TACAS, LNCS 1055, pp. 147-166, 1996.
G. Lowe. “Some new attacks upon security protocols”, Computer Security Foundations
Workshop, pp. 162-169, 1994.
W. Mao, Modern Cryptography: Theory and Practice. Prentice Hall, 2003.
T. Matsumoto, Y. Takashima and H. Imai, “On seeking smart public-key-distribution
systems”, Trans. IECE Japan 96 (1986), pp. 99-106.
H. X. Mel and Doris M. Baker. Cryptography Decrypted. Addison-Wesley, 2001.
A.Menezes, P.Oorschot, S.Vanstone,Handbook of Applied Cryptography. CRC Press, 1997.
R.C. Merkle, “Secure Communication Over Insecure Channels”, Communications of the
ACM, v. 21, n. 4, 1978, pp. 294-299.
R.M. Needham and M.D. Schroeder, “Using Encryption for Authentication in Large
Networks of Computers”, Communications of the ACM, v. 21, n. 12, 1978, pp. 993-999.
B.C. Neuman and S. Stubblebine, “A Note on the Use of Timestamps as Nonces”,
Operating Systems Review, 27(2), 1993, pp. 10-14.
D. Otway and O. Rees, “Efficient and TimelyMutual Authentication”, Operating Systems
Review, v. 21, n. 1, 1987, pp. 8-10.
G.J. Popek and C.S. Kline, “Encryption and Secure Computer Networks”, ACM Computing
Surveys, v. 11, n. 4, Dec 1979, pp. 331-356.
B. Schneier, Applied Cryptography. John Wiley & Sons, Inc., 2nd edition, 1996.
V. Shoup, “On FormalModels for Secure Key Exchange”, Theory of Cryptography Library,
1999. Available at: http://philby.ucsd.edu/cryptolib/1999/99- 12.html.
J.G. Steiner, B.C. Neuman, and J.I. Schiller, “Kerberos: An Authentication Service for
Open Network Systems”, USENIX Conference Proceedings, Feb 1988, pp. 191-202.
D. Stinson, Cryptography: Theory and Practice. Third Edition, CRC, 2005.
M. Tatebayashi, N. Matsuzaki, and D.B. Newman, “Key Distribution Protocol for Digital
Mobile Communication System”, Advances in Cryptology-Crypto ’89, LNCS 435, SpringerVerlag, 1990, pp. 324-333.
T. Woo, S.Lam, “Authentication for Distributed Systems”, Computer, 25(1), 1992, pp. 3952.