Publikace poskytuje úvod do problematiky eskalačních protokolů. Jsou zde představeny nejznámější z eskalačních protokolů. Jednotlivé protokoly jsou popsány z hlediska jejich principu.
Escalatory Protocols - Abstract
Problem of the modern cryptosystems is complicated distribution of cryptographic keys. Protocols which make possible generation or distribution of these keys can be vulnerable on attacks type man-in-the-middle. Like appropriate measure against these attacks it is possible to use for example authenticate versions of these protocols. Unfortunately also these versions of protocols demand in advance established cryptographic keys which are not so easy to remember for users and so that these keys must be safely saved in some databases. Direct supplying of keys which are easy to remember, for example PINs or passwords, make for off - line attacks in some protocols.
A cryptography escalatory protocol forms special class of protocols which are susceptible authenticated establishment of cryptography keys. These protocols are based on principle of using data with low entropic (for example PINs or password) in a way, that is indefinable hazard off - line attack. Their storage on the client side is not necessary, because PINs and passwords are easy to remember for most users. One of few disadvantages of all protocols is that it is possible to attack by direct on - line passwords „guessing". For reasons of these possibilities such attack would on the server side should be implemented countermeasure which would be avoided of this attacks. Although these protocols use establishment keys data with contain low entropies for authentication, the resulting keys are a high-quality cryptographic material. We can name this process „escalation": we can get top high-quality cryptographic material from low quality on and this material can be used by other cryptographic methods, for example symmetrical encryption etc.
Keywords: cryptography; authentication; escalatory protocol
EKE protokol (Encrypted Key Exchange)
V roce 1992 byl poprvé představen nový šifrovací protokol, který je znám jako Encrypted Key Exchange, neboli zkráceně EKE. V tomto protokolu je použita kombinace veřejného klíče a symetrického šifrování. Především z tohoto důvodu vzdoruje protokol EKE slovníkovým útokům. Tato obrana je provedena tak, že pasivnímu útočníkovi jsou v případě útoku předány pouze nedostačující informace, které by mohly vést k ověření hesla. Tento protokol provádí také kvalitní výměnu šifrovacích klíčů a z toho důvodu mohou obě komunikující strany zašifrovat jejich přenosy ihned, jakmile dojde k jejich autentizaci. Nejčastější forma EKE protokolu funguje tak, že obě komunikující strany zašifrují krátkodobý veřejný klíč pomocí symetrického šifrování. Jejich sdílené tajné heslo totiž používají jako klíč [3].
V základním protokolu EKE se vyskytují určité slabiny. Největší slabinou tohoto protokolu je, že hostitel i klient mají přístup ke stejnému bezpečnému heslu. Je zde jedna varianta EKE protokolu známá jako rozšířené EKE neboli A-EKE, která dělá z EKE protokolu protokol založený na autentizaci. Další nejzávažnější závažný problém nastává, chceme-li zajistit bezpečnostní požadavek, že zpráva, která je zašifrována pomocí hesla, musí být nerozeznatelná od náhodného čísla (což lze v praxi dosáhnout jen složitě). Vzhledem k tomu, že protokol EKE funguje na základě RSA, mohou být na tento protokol vedeny účinné útoky. Vyskytuje se zde však i řada dalších nedokonalostí a s tím i související problémy, které jsou nebezpečné z hlediska ohrožení bezpečnosti a samotného zabezpečení. Některé z těchto chyb řeší protokoly, které jsou odvozeny z protokolu EKE. Tyto protokoly jsou buďto silnější než originální protokol a nebo využívají nové požadované vlastnosti. Příklad silnějších protokolů je například DH-EKE nebo SPEKE.
V nedávné době došlo k rozšíření rodiny EKE protokolů o možnost uložení dat a hesel do souborů. Jedná se například o protokol B-SPEKE. Tento protokol přidává další klíč k ověření držení hesla klientem jako obranu proti ukradení hesla ze souboru hesel. Tato vlastnost fixuje problém protokolu EKE, ale bohužel navyšuje výpočetní dobu a dobu běhu protokolu [4].
AEKE Protokol (Asymmetric Key Exchange)
Primární funkce protokolu AEKE (zkráceně AKE) je stejná jako funkce protokolu EKE. Je to tedy výměna klíčů mezi dvěma komunikujícími stranami, klientem a serverem, a užití toho klíče k ověření obou komunikujících stran (ověřením znalosti jejich hesla). Na rozdíl od EKE protokolu protokol AEKE nešifruje tok dat, ale používá předem deklarované matematické vztahy k vytváření krátkodobých heslových parametrů [5] [6]. Vyhnout se samotnému šifrování je výhodné z řady důvodů. Některé z těchto důvodů mohou být například:
Navíc pokud jsou hesla užívána jako klíčový materiál, může být protokol náchylnější k různým druhům útoků. Pokud tedy nedochází k samotnému šifrování, je tato náchylnost potlačena. AKE se ovšem od svých předchůdců liší i v jiných věcech. Protokoly jako například EKE používají předpřipravenou sdílenou bezpečnost jako základ autentizace. Znamená to tedy, že obě komunikující strany vlastní stejný bezpečnostní řetězec a nepřímo jej užívají k ověřování vzájemné totožnosti. Toto zabezpečení zosobňuje každou stranu a může být odcizeno již ze dvou míst. Obě komunikující strany jsou nyní zodpovědné za počáteční výměnu totožnosti a později i za samotnou komunikaci. Protokol AKE ale vychází z přístupu tajné výměny, v které každá komunikující strana vypočítá svou hodnotu a aplikuje na ni jednosměrnou funkci hash. Poté je tato funkce předána druhé straně a může dojít k samotné autentizaci. V případě, že útočník provede úspěšný slovníkový útok, nezíská identitu uživatele, neboť mu k tomu získaná informace nepostačuje. K získání požadované identity, by musel útočník ještě znát odpovídající tajné heslo. Speciální případ tohoto postupu se využívá v případě, že druhý komunikující účastník je multi-user systém, který má uloženo mnoho ověřovatelů. V takovéto aplikaci nemusí už během počáteční autentizace uživatelovo heslo opustit své uložení a tím je již vylepšena bezpečnost samotného uživatele.
SPEKE Protokol (Simple Password Encrypted Key Exchange)
SPEKE protokol pracuje na podobném principu jako EKE, ale namísto Diffie-Hellman šifrování používá matematickou funkci W. Tento protokol používá ke své činnosti zabezpečený generátor odvozený jak z matematické funkce W, tak i z bezpečnostní hodnoty g.
Obr. 1 Komunikace pomocí protokolu SPEKE
Aby případný útočník nemohl získat ze serverové databáze potřebné informace a z nich nemohl vypočítat h(pwd) a tím kontrolovat a případně řídit komunikaci všech uživatelských účtů, musí se uživatelská hesla ještě doplnit o určitou část. Toto doplnění spočívá v přidání netajné kvantity všem uživatelům (označená jako salt). Namísto toho pak získá uživatel bezpečnostní klíč h(salt,pwd) namísto předchozího h(pwd) [1].
SRP Protokol (Simple Secure Remote Password)
V SRP protokolu je implementována výměna veřejného klíče, která je popsána v doporučení RFC2945. V tomto dokumentu je popsán i mechanismus, který je využitelný pro sjednání bezpečného spojení pomocí dodání uživatelského hesla a vyloučení problému bezpečnosti spojeného s možností opětovného použití starých hesel. Tento systém také vykonává bezpečnou výměnu klíčů během autentizačního procesu. K jejich generaci důvěryhodné servery, dále zde nejsou požadovány certifikované infrastruktury a ani zde není požadováno žádné dlouhodobé klíče mezi jednotlivými uživateli. SRP protokol nabízí bezpečnost v oblastech kde je požadovaná heslová legalizace [2].
SRP protokol pracuje na podobném konceptu a principu bezpečnosti jako jemu podobný algoritmus veřejného klíče Diffie-Hellman a RSA. Z toho důvodu tento protokol používá heslo způsobem, který nevyžaduje uložení hesla na server. To je hlavní rozdíl mezi klientskými certifikáty a odpovídající certifikátovou infrastrukturou [7] [8].
Závěr
V současné době je téma digitálního podpisu velmi aktuální a dá se očekávat, že otázka digitálního podpisu bude v budoucnu řešena stále častěji, neboť i útoky na zabezpečenou komunikaci jsou stále častější a důmyslnější. Využívání digitálního podpisu poskytuje uživatelům větší pohodlí a možnost ušetření času, bohužel jsou všechny tyto výhody vykoupeny rizikem rozmanitých útoků na bezpečnost jejich komunikace.
Pro větší bezpečnost digitálního podpisu se používají eskalační protokoly. V této publikaci jsem uvedl jejich stručný popis a v případné další publikaci bych chtěl uveřejnit výsledek porovnání některých z těchto protokolů pomocí určité objektivní metody.
Literatura
[1] JABLON, David. Strong password-only authenticated key exchange. Computer Communication Review, vol. 26, pp. 5–26, ACM SIGCOMM, 1996.
[2] JABLON, David. SRP-4. [s.l.], 2002. 6 s. Referát.
[3] KRHOVJÁK, Jan. Základní principy kryptografických eskalačních protokolů. [s.l.], 2006. 7 s. Referát.
[4] Bellovin S.M., Merritt M. Encrypted Key Exchange: Password-based protocols secure against dictionary attacks. Proceedings of IEEE CS SRSP, pp. 72–84, 1992.
[5] Bellovin S. M., Merritt M. Encrypted Key Exchange: Password-based protocols secure against dictionary attacks. Proceedings of IEEE CS SRSP, pp. 72–84, 1992
[6] Bellovin S. M., Merritt M. Augmented encrypted key exchange: A password-based protocol secure against dictionary attacks and password _le compromise. Technical report, AT&T Bell Laboratories,1994.
[7] WU, Thomas. SRP-6: Improvements and Refinements to the Secure Remote Password Protocol. Submission to the IEEE P1363 Working Group, 2002.
[8] WU, Thomas. The Secure Remote Password protocol. Proceedings of the 1998 Internet Society Symposium on Network and Distributed Systems Security, pp. 97–111, 1997.
Eskalační protokoly
