Seguridad GSyC Redes de Área Local

54 

Loading....

Loading....

Loading....

Loading....

Loading....

Texto completo

(1)

1

(2)

Problemas

Privacidad o secreto. Mantener la informaci´on fuera de las manos de usuarios no autorizados.

Autenticaci´on. Determinar de la identidad del interlocutor. No repudio. Poder demostrar quien es el autor de un mensaje.

Control de integridad. Garantizar que un mensaje no ha sido modifi-cado.

(3)

Problemas (cont.) 3

Soluciones

Nivel f´ısico: Proteger el cable de escuchas.

Nivel de enlace: Cifrar al enviar y descifrar al recibir. ¿Qu´e hacen los encaminadores?

Nivel de red: IPsec, cifrado en IPv6. Cortafuegos. Nivel de transporte: Cifrado de conexiones. SSL.

Soluciones de privacidad, pero no de autenticaci´on o no repudio: nivel de aplicaci´on.

(4)

Encryption method, E Passive intruder just listens Active intruder can alter messages

Plaintext, P Decryptionmethod, D Plaintext, P

Encryption key, K Decryption key, K Ciphertext, C = EK(P) Intruder

(5)

Problemas (cont.) 5

Potencia del intruso

El intruso puede:

Puede escuchar mensajes. Puede modificar mensajes. Puede replicar mensajes. Puede borrar mensajes.

(6)

Criptoan´alisis

La longitud de las claves es fundamental. Depender´a de los recursos que cueste probar todas las combinaciones (para ataques de fuerza bruta). Un criptoanalista puede disponer de:

S´olo texto cifrado.

El mismo texto crifrado y en claro. La capacidad de cifrar lo que quiera.

(7)

Problemas (cont.) 7

M´etodos cl´asicos

Sustituci´on. Cada letra se sustituye por otra, seg´un una tabla. Se puede atacar usando combinaciones y frecuencias de aparici´on (“El escarabajo de oro”, Edgar Allan Poe).

Transposici´on. Se reordenan las letras del mensaje. Se puede atacar buscando palabras. M E G A B U C K 7 4 5 1 2 8 3 6 p l e a s e t r Plaintext pleasetransferonemilliondollarsto myswissbankaccountsixtwotwo Ciphertext a n s f e r o n e m i l l i o n d o l l a r s t o m y s w i s s

(8)

Plantillas de un solo uso. Cada bit del mensaje se enmascara (x-or) con un bit de una plantilla aleatoria (la clave).

• Seguridad perfecta. • Clave larga.

• Tr´afico limitado por el tama˜no de la plantilla.

Se pueden usar generadores de (pseudo)aleatorios, donde la clave es la semilla, pero son m´as d´ebiles. Otra opci´on es usar criptograf´ıa

(9)

Problemas (cont.) 9

Principios criptogr´aficos

Los mensajes cifrados deben incluir redundancia. Esto evita que una modificaci´on de los mismos resulte en otro mensaje v´alido. Mejor si no es relleno predecible.

El necesario controlar la frescura de los mensajes recibidos, para evitar ataques con mensajes antiguos. Se puede marcar cada mensaje con el sello de tiempo y darle un periodo de validez.

(10)

M´etodos modernos: Criptograf´ıa de clave secreta

El proceso se hace con ordenadores: sustituciones y transposiciones m´as complejas. S1 S2 P1 P2 P3 P4 S3 S4 S5 S6 S7 S8 Product cipher (c) S-box Decoder: 3 to 8 Encoder: 8 to 3 (b) P-box (a) S9 S10 S11 S12

(11)

Problemas (cont.) 11

Data Encryption Standard (DES)

Adoptado por el gobierno USA en 1977.

Cifra bloques de 64 bits con claves de 56 bits.

Initial transposition Iteration 16 Li-1⊕ f(Ri -1, Ki) Ri-1 Li-1 64-Bit plaintext Iteration 2 Iteration 1 56-Bit key 32-Bit swap

(12)

DES no es seguro. Claves muy peque˜nas. Alternativa: Aplicar DES varias veces. Hay ataques para 2 veces.

Soluci´on: Triple DES (1979, IS8732).

K1 E K2 D K1 E P C K1 D K2 E (a) (b) K1 D C P

(13)

AES: Advanced Encryption Standard 13

AES: Advanced Encryption Standard

NIST convoca concurso para sucesor de DES:

Algoritmo de cifrado de bloque sim´etrico. Completamente p´ublico.

Claves de 128, 192 y 256 bits.

(14)

Rijndael

Se convierte en 2001 en est´andar del gobierno de los EEUU. Dise˜nado por Joan Daemen y Vincent Rijmen (belgas).

Bloques y claves de 128 a 256 bits, de 32 en 32. AES: bloques de 128 y claves de 128, 192 y 256.

(15)

AES: Advanced Encryption Standard (cont.) 15

(16)

Implementaci´on

10 a 14 rondas de sustituci´on y permutaciones. Operaciones sobre octetos.

Bloques se gestionan como matrices, almacenado inicialmente en una variable state por columnas.

Inicialmente se expande la clave a varias matrices. Se hace xor de state con primera matriz.

(17)

AES: Advanced Encryption Standard (cont.) 17

Variables

state rk[0] rk[1] rk[2] rk[3] rk[4] rk[5] rk[6] rk[7] rk[8] rk[9] rk[10] 128-Bit plaintext 128-Bit encryption key

(18)

Sustituci´on de state octeto a octeto. Una sola caja-S. Rotaci´on a izquierdas de la i´esima fila i 1 posiciones.

Cada columna se multiplica por una matriz constante en el campo de Galois GF(28). Se puede hacer de manera eficiente.

Se hace la xor con la matriz correspondiente de la clave expandida. Para descifrar se calcula a la inversa o se usan tablas distintas.

(19)

AES: Advanced Encryption Standard (cont.) 19

M´etodos de cifrado (ECB)

DES se pueden usar dividiendo el mensaje en bloques de 64 bits y cifrando por separado: sustituci´on de caracteres de 8 octetos.

Esta forma de funcionar (Electronic Code Book Mode) es muy d´ebil.

Name Position Bonus

16 8 8 Bytes D a v i s , B o b b i e J a n i t o r $ 5 C o l l i n s , K i m M a n a g e r $ 1 0 0 , 0 0 0 B l a c k , R o b i n B o s s $ 5 0 0 , 0 0 0 A d a m s , L e s l i e C l e r k $ 1 0

(20)

• Cada bloque se hace la x-or antes de cifrarlo con el bloque cifrado anterior.

• Para el primer bloque hay un vector inicial (IV), que es parte de la clave.

+

E IV Key Key IV P0

+

E P1 E P2 E P3 D C0 D C1 D C2 D Decryption box Encryption box Exclusive C3

+

+

+

+

+

+

(21)

AES: Advanced Encryption Standard (cont.) 21

M´etodos de cifrado

Para cifrar car´acter a car´acter se usa el Cipher Feedback Mode: • Registro de 64 bits cargado con los caracteres cifrados.

• Tras cifrar el registro, el x-or del octeto de mayor peso y el nuevo car´acter es enviado como car´acter cifrado

Key

C10 C10

E

64-bit shift register C2 C3 C4 C5 C6 C7 C8 C9 Encryption box Select leftmost byte Key E

64-bit shift register C2 C3 C4 C5 C6 C7 C8 C9

Encryption box

Select

(22)

E (a) Key Plaintext Ciphertext Keystream Encryption box IV + E (b) Key Plaintext Ciphertext Keystream Encryption box IV + Counter Mode: Encryption box + E IV Key P + E IV+1 Key P + E IV+2 Key P + E IV+3 Key P

(23)

AES: Advanced Encryption Standard (cont.) 23

Otros algoritmos de clave secreta

(24)

Criptograf´ıa de clave p´

ublica

Con claves secretas hay problemas de distribuci´on de claves.

En 1976 Diffie y Hellman proponen criptograf´ıa de clave p´ublica: • Clave de cifrado o p´ublica E y de descifrado o privada D distintas. • D(E(P)) = P

• Muy dificil romper el sistema (p.e. obtener D) teniendo E.

Alice hace p´ublica su clave EA. Bob puede enviar mensajes cifrados

(25)

Criptograf´ıa de clave p´ublica (cont.) 25

RSA

De Rivest, Shamir y Adleman.

Supone que factorizar n´umeros muy grandes es muy costoso en tiem-po.

Generaci´on de claves:

• Elije dos primos muy grandes p y q (> 10100). • Computa n = pq y z = (p 1)(q 1).

• Encuentra un n´umero d primo respecto a z. • Encuentra un n´umero e tal que ed = 1 mod z. • (e, n) es la clave p´ublica y (d, n) la privada.

(26)

Para p = 3, q = 11, n = 33 y z = 20.

Si d = 7 (sin factores comunes con z) entonces 7e = 1(mod 20) y e = 3.

Symbolic S U Z A N N E Symbolic S U Z A N N E Numeric

Plaintext (P) Ciphertext (C) After decryption

19 21 26 01 14 14 05 19 21 26 01 14 14 05 P3 6859 9261 17576 1 2744 2744 125 P3 (mod 33) C7 (mod 33) 28 21 20 1 5 5 26 C7 13492928512 1801088541 1280000000 1 78125 78125 8031810176

(27)

Ejemplo de RSA (cont.) 27

RSA

La forma m´as evidente de romper RSA es factorizar n.

Para n de 200 d´ıgitos llevar´ıa varios millones de a˜nos (con los algo-ritmos y ordenadores actuales).

Hay m´as algoritmos de clave publica propuestos: Rabin, El-Gamal. Estos usan la dificultad de calcular logaritmos discretos.

Los algoritmos de clave p´ublica son mucho m´as lentos que los de clave secreta (100 a 1000 veces). Por eso se suelen usar s´olo para el

(28)

Si ambos interlocutores comparten una clave secreta KAB se usa un sistema de desaf´ıo-respuesta: Se elije un valor aleatorio grande que se debe devolver cifrado con KAB.

A Alice RB 1 2 4 3 KAB (RB) Bob RA

(29)

Ejemplo de RSA (cont.) 29

Intercambio de claves Diffie-Hellman

Sirve para Que A y B tengan una misma clave. Se basa en la dificultad de calcular logaritmos discretos.

A y B acuerdan dos primos grandes n y g, que pueden hacerse p´ ubli-cos.

A elije un n´umero x y B otro y. La clave com´un va a ser gxy mod n.

1 Alice picks x Bob picks y 2 gy mod n n, g, gx mod n

(30)

Puede sufrir el ataque “man-in-the-middle”: 1 Alice picks x Trudy picks z 3 gz mod n n, g, gx mod n Trudy 2 Bob picks y 4 gy mod n n, g, gz mod n Bob Alice

(31)

Ejemplo de RSA (cont.) 31

Autenticaci´on con clave p´ublica

Si A y B conocen sus respectivas claves publicas. Se usa desaf´ıo-respuesta: 3 EB (A, RA) 7 KS (RB) 6 EA (RA, RB, KS) Bob Alice 1. Give me E B 2. Here is E B 4. Give me E A 5. Here is E A Directory

(32)

Se puede usar criptograf´ıa de clave p´ublica, si el algoritmo cumple que E(D(P)) = P (RSA).

Firmar es cifrar con la clave privada:

Bob's public key, EB Alice's private key, DA Bob's private key, DB DA(P) EB (DA(P)) DA(P) Transmission line

Alice's computer Bob's computer

P P

Alice's public key,

(33)

Ejemplo de RSA (cont.) 33

Res´umenes

Funciones hash M D de un sentido, que generan res´umenes (digest o hash):

• Dado P es f´acil calcular M D(P).

• Dado M D(P) es imposible calcular P.

• No se pueden generar 2 mensajes P y P0: M D(P) = M D(P0).

(El resumen debe tener al menos 128 bits) Firma digital con resumen:

(34)

Res´umenes

Funciones resumen m´as populares: MD5 y SHA-1. MD5 genera res´umenes de 128 bits y SHA-1 de 160. Se han detectado debilidades en MD5.

(35)

Res´umenes y el ataque del cumplea˜nos 35

Res´

umenes y el ataque del cumplea˜

nos

Los res´umenes deben ser largos.

Funci´on de n objetos en k valores, la probabilidad de condidencia es alta si n > √k.

Para encontrar dos res´umenes de 64 bits, 232

mensajes bastan. Para MD5 o SHA-1 hacen falta varios siglos (264 y 280).

(36)

Gesti´

on de claves p´

ublicas

No basta con dejar la clave p´ublica en una p´agina web (por ejemplo):

4. EB(Message)

Alice Trudy

1. GET Bob's home page

2. Fake home page with ET

3. ET(Message)

Bob

(37)

Gesti´on de claves p´ublicas (cont.) 37

Certificados

Forma de distribuir claves p´ublicas.

Es un documento firmado por una autoridad de certificaci´on bien conocida que informa de la clave p´ublica de una entidad.

Se generaliza en un posible ´arbol de autoridades de certificaci´on, en el certificado cada una certifica la clave p´ublica de la siguiente.

(38)
(39)

Gesti´on de claves p´ublicas (cont.) 39

Certificados X.509

(40)

´

Arbol de autoridades de certificaci´on. Padres certifican a hijos.

CA 1 CA 2 CA 3 CA 4 CA 5

RA 2

RA 2 is approved. Its public key is 47383AE349. . . Root's signature RA 1

Root RA 2 is approved. Its public key is 47383AE349. . . Root's signature

CA 5 is approved. Its public key is 6384AF863B. . . RA 2's signature CA 5 is approved.

Its public key is 6384AF863B. . . RA 2's signature

(41)

Gesti´on de claves p´ublicas (cont.) 41

PKI: Public Key Infrastructure

Cada autoridad certifica a autoridades de nivel inferior.

La clave p´ublica de la ra´ız est´a grabada en el navegador. Suele haber varias raices (anclas de confianza o trust anchors).

Al enviar un certificado se pueden enviar todos los certificados hasta la ra´ız: cadena de confianza o camino de certificaci´on.

Certificados se pueden incluir en un servicio de directorio. Las autoridades emiten listas de certificados revocados.

(42)

Extensi´on de IP para introducir seguridad a nivel de red.

Permite el uso de m´ultiples servicios, algoritmos (sim´etricos) y gra-nularidades.

Proporciona privacidad, integridad de datos y protecci´on para ataques de reuso de paquetes.

Es orientado a conexi´on unidireccional: asociaci´on de seguridad (SA). ISAKMP (Internet Security Association and Key Management Proto-col) sirve para acordar las claves del SA.

(43)

IPsec (cont.) 43

Modos IPsec

Modo transporte: Se inserta una cabecera IPsec despu´es de la IP. Modo t´unel: El paquete entero se encapsula en el cuerpo de un nuevo paquete IP.

• El destinatario de este paquete puede no ser el final (firewall). • Permite agrupar conexiones.

(44)

Authentication Header (AH).

Proporciona integridad (datos y parte de las cabeceras) y no reuso.

IP header AH

32 Bits

Security parameters index

Next header Payload len (Reserved)

Sequence number Authentication data (HMAC)

TCP header Authenticated

(45)

IPsec (cont.) 45

Cabecera de cifrado

Encapsulation Security Payload (ESP).

ESP header New IP header Old IP header TCP header Authenticated Payload + padding (b) Authentication (HMAC) ESP header IP header TCP

header Payload + padding

(a) Authentication (HMAC)

Authenticated

Encrypted Encrypted

(46)

Alternativa a enlaces alquilados.

Usa Intenet e IPsec modo t´unel entre firewalls para tener una red privada.

Office 1

Office 3

Office 2 Office 1

Office 3

Leased line Firewall Internet

Tunnel

(47)

Pretty Good Privacy (PGP) 47

Pretty Good Privacy (PGP)

Phil Zimmermann lo construy´o para env´ıo de correo con privacidad, autenticaci´on, firma digital y compresi´on.

Usa IDEA, RSA, MD5 y comresi´on Ziv-Lempel.

Las claves se guardan en “llaveros” y se obtienen de servidores p´ ubli-cos o certificados.

(48)

MD5 RSA Zip IDEA Base64 RSA ASCII text to the network P1.Z P P1 Original plaintext message from Alice Concatenation of P and the signed hash of P

Concatenation of P1.Z encrypted with IDEA and KM encrypted with EB Alice's private RSA key, DA P1 compressed Bob's public RSA key, EB KM : One-time message key for IDEA

: Concatenation

(49)

Secure Sockets Layer (SSL) 49

Secure Sockets Layer (SSL)

Introducido por Netscape en 1995.

Es una capa de transporte segura entre sockets que proporciona: • Negociaci´on de par´ametros.

• Autenticaci´on mutua. • Privacidad.

(50)
(51)

Secure Sockets Layer (SSL) (cont.) 51 Establecimiento de conexi´on SSL SSL version, Preferences, RA SSL version, Choices, RB X.509 certificate chain Server done EB (Premaster key) Change cipher Finished Change cipher 9 7 8 Alice Bob 6 5 4 3 2 1

(52)

Message authentication code Header added Encryption MAC added Compression

Fragmentation Part 1 Part 2

(53)

Secure Sockets Layer (SSL) (cont.) 53

Cortafuegos

Organizaciones no quieren que informaci´on sensible salga de sus redes y que nada peligroso (viruses o gusanos) entren.

Un cortafuegos es el ´unico punto de acceso entre la red de una orga-nizaci´on y el resto del mundo.

Todo el tr´afico (de entrado o salida) es inspeccionado y filtrado. Conceptualmente: dos encaminadores conectados con una pasarela.

• Cada encaminador filtra un sentido de tr´afico, y deja pasar s´olo el tr´afico que cumple ciertos criterios (bloquear tr´afico de/a ciertas direcciones, s´olo permitir tr´afico de/a ciertas direcciones, bloquear tr´afico de/a ciertos puertos).

(54)

Referencias

A.S. Tanenbaum, Computer Networks, 4th Ed., Prentice Hall, 2003.

http://csrc.nist.gov/encryption/aes

http://www.eskimo.com/~weidai/scan-mirror http://www.ccsr.cam.ac.uk/projects/aes

Figure

Actualización...

Referencias

Actualización...

Related subjects :