A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

1 Self-organised Group Key Management for Ad Hoc Networks Adriano Simões 53813 Tiago Almeida53867.

Apresentações semelhantes


Apresentação em tema: "1 Self-organised Group Key Management for Ad Hoc Networks Adriano Simões 53813 Tiago Almeida53867."— Transcrição da apresentação:

1 1 Self-organised Group Key Management for Ad Hoc Networks Adriano Simões Tiago Almeida53867

2 2 Problema Desenvolver um protocolo para estabelecer uma chave de sessão comum a um conjunto de nós.

3 3 Motivação Cenários de Guerra Catástrofes Emergências Monitorização Ambiental Entretenimento (Rede Segura de Portáteis/PDA's)

4 4 Requisitos Não existe qualquer tipo de acordo à priori (infra- estrutura, chaves partilhadas, routing, terceiras entidades confiáveis) Chave tem de ser gerada por todos. Rede tem de permitir que nós se juntem ou a abandonem facilmente. TEM DE SER SEGURO! (Confidencial)

5 5 Ideia do protocolo Alguns nós da rede são definidos como grupo iniciador (Initiator Group = IG) IG combina entre si (de forma segura) uma chave de sessão a usar. Chave de sessão é propagada ao resto da rede (de forma segura). Todo o tráfego útil é cifrado com chave de sessão (qualquer algoritmo)

6 6 Restrições Os nós que iniciam a rede (IG) têm de conseguir comunicar uns com os outros directamente. Cada nó tem uma maneira única de ser identificado. (ex: SIM card)

7 7 Ideia refinada do protocolo IG acorda um conjunto P de chaves e particiona-o em K subconjuntos. {1,2,3,4,5,6} { {1,2}, {3,4}, {5,6} } Cada nó escolhe aleat. Uma chave de cada subconjunto. (cada um fica com K chaves). Nós tentam adivinhar as chaves que os vizinhos escolheram aleat. Quando cada nó souber as chaves do vizinho, geram todos uma chave de sessão.

8 8 Notação Existe um conjunto P de chaves igual para todos os nós e público. Conjunto P tem tamanho N. O conjunto P irá ser partido em k blocos de m elementos (N=mk). L é o número mínimo de chaves partilhadas entre cada par de nós para que se considere que eles têm uma ligação segura.

9 9 Protocolo Consiste em 3 fases: Setup Inicial. Descoberta de chaves partilhadas. Estabelecer chave de sessão e propagá-la a toda a rede.

10 10 Protocolo Consiste em 3 fases: Setup Inicial. Descoberta de chaves partilhadas. Estabelecer chave de sessão e propagá-la a toda a rede.

11 11 Setup Inicial Definir o conjunto P (tamanho N e elementos). Definir k (número de subconjuntos). Partir P em k subconjuntos chamados blocos. Definir L. (Isto pode ser hardcoded ou negociado dinamicamente) Cada nó escolhe 1 chave de cada bloco aleatoriamente.

12 12 Protocolo Consiste em 3 fases: Setup Inicial. Descoberta de chaves partilhadas. Estabelecer chave de sessão e propagá-la a toda a rede.

13 13 Cifras Homomórficas Cifras Homomórficas: E(A) & E(B) = E(A&B), & é uma operação qualquer. K*E(A) = E(K*A)

14 14 Descoberta de chaves partilhadas 1/6 Na fase de Setup cada nó escolheu k chaves do conjunto P. A tem de conseguir perceber as chaves de B e de C que são iguais às suas. Como?

15 15 Descoberta de chaves partilhadas 2/6 A constrói um polinómio F A (x)=(x-K A1 )*…*(x-K Ak ) (fácil ver que F A (K A1 ) = 0) Aplica a distributiva e obtém os coeficientes do polinómio. (Exemplo para B) Cifra os coeficientes com algoritmo de cifra homomórfico e envia a B. B recebe o polinómio, calcula: Zi = E K A (rF A (K Bi )) onde r é um número aleatório e envia para A.

16 16 Descoberta de chaves partilhadas 3/6 A decifra obtendo rFA(KBi). Se este valor for 0 então a chave é igual tanto em A como em B.

17 17 Descoberta de chaves partilhadas 4/6 Demonstração B tem o seguinte: E K A (c 1 ), …, E K A (c k+1 ) E K A (c 1 )*x k + … + E K A (c k+1 )* x 0= E K A (c 1 )*B 1 k + … + E K A (c k+1 )* B 1 0 = E K A (c 1 * B 1 k ) + …. + E K A (c k+1 *B 1 0 )= E K A (c 1 * B 1 k c k+1 *B 1 0 )= E K A (F A (K B1 )) Porquê o r ? Atacante sabe que o B respondeu com algo estilo: E K A (c 1 )*X k + … + E K A (c k+1 )* X 0 E também sabe E K A (c k ), portanto seria só resolver a equação em ordem a X para obter os B i

18 18 Descoberta de chaves partilhadas 5/6 Este processo é repetido para todas as chaves de cada nó, para todos os nós. Finalmente, cada nó fica com uma matriz que diz para cada nó as chaves que são comuns. Matriz tem q-1 linhas por k colunas, onde q é o número de nós no IG.

19 19 Descoberta de chaves partilhadas 6/6 O IG considera-se bem formado se existirem L chaves partilhadas entre cada par de nós do IG. Se não existirem, os nós não concordantes voltam a repetir o processo para tentar acertar em chaves comuns.

20 20 Protocolo Consiste em 3 fases: Setup Inicial. Descoberta de chaves partilhadas. Estabelecer chave de sessão e propagá-la a toda a rede.

21 21 Estabeler chave de sessão Cada nó i (pertencente a IG) gera um aleatório S i Cada nó i calcula o XOR de todas as L chaves partilhadas K IG = K 1 IG xor…xor K L IG Cada nó i cifra S i com K IG e envia para todos os vizinhos (pertencentes a IG). Cada nó decifra com K IG e calcula a chave de sessão Ks = S1 xor … xor Sr Finalmente (Chave partilhada entre o IG)!

22 22 Propagar chave de sessão Cada nó do IG manda a chave de sessão para os vizinhos (só para os que tem ligação segura, ou seja, L chaves partilhadas). Ideia: O novo Nó junta-se a partir de um Nó já pertencente à rede. A Chave de Sessão tem que ser mudada para que o novo nó não veja comunicação passada (Segurança Futura Perfeita).

23 23 Propagar chave de sessão 2 Cada nó na fronteira repete a fase 2 com os vizinhos fora do IG. Gera-se uma nova chave de sessão aplicando função não invertível à chave de sessão actual. (seg. futura perfeita) Nós da rede passam a usar a nova chave. Nova chave enviada para o novo membro usando as L chaves comuns como cifra.

24 24 Seguro? Soa bem, mas será realmente seguro?! Situação1: Atacante consegue apanhar o tráfego entre todos os nós.

25 25 Seguro? Mensagens trocadas na fase 2 são cifradas com cifra homomórfica segura. Desde que o algoritmo de cifra seja seguro, atacante não tem qualquer informação das L chaves partilhadas. Chave de sessão também vai cifrada com algoritmo seguro. N=mk chaves possíveis. Ele sabe valor de L (público) mas não sabe de que bloco é que cada chave veio. Vai ter de testar ( k C L )m L conjuntos de chaves.

26 26 Seguro? Parâmetros bem definidos: 1264 chaves, partidas em blocos de blocos. 20 chaves partilhadas por todos. m=4, L=20, k=316 ( 316 C 20 )4 20

27 27 Seguro! Parâmetros bem definidos: 1264 chaves, partidas em blocos de blocos. 20 chaves partilhadas por todos. m=4, L=20, k=316 ( 316 C 20 )4 20 ~= 2 150

28 28 Seguro! Situação 2: Atacante apoderou-se de um dos nós. Assumindo que os vizinhos conseguem detectar essa situação… B envia para rede a dizer D é espião! Todas as chaves comuns entre B e D estão comprometidas!

29 29 Seguro! D é eliminado da lista de nós autorizados da rede. Se a intersecção entre chaves comuns BD com chaves BA e BC for pequena segurança da rede continua intacta. B volta a juntar-se à rede.

30 30 Mais detalhes Protocolo é independente do algoritmo de Cifra E(.) desde que seja homomórfico na soma. Paper usa algoritmo de cifra algo complexo para ser usado, proposto por Chan. A. C.-F. Chan and E. S. R. Sr. Distributed symmetric key management for mobile ad hoc networks. In Infocom 2004, Consideramos não ser importante devido à independência do protocolo.

31 31 Eficiência e mobilidade Protocolo é muito pesado. –K+1 coefs k+1 cifras + k decifras. –Cada nó faz o mesmo. N nós n(k^2 + 2k +1) trocas de informação na rede e cálculos. –Nj - nós a juntar, p – custo (de)cifra homomórfica, a – custo de soma em dados cifrados homomórficamente. N j ((2k+1)p + ak 2 )Custo junção N((2k+1)p + ak 2 )Tempo processamento K valoresMemória

32 32 Mais detalhes Custo amortizado. Cada nó só precisa de 1 ligação segura com 1 vizinho para pertencer à rede. Um nó ao mover-se pode ganhar novos vizinhos e negociar chaves com eles aumentando a fiabilidade da rede.

33 33 Como definir bem os parâmetros? Parâmetros mal definidos podem tornar a probabilidade de formação de IG muito baixa ou tornar o sistema fraco. Bons valores tornam o sistema fortíssimo e com boa probabilidade de formação de IG (>=0.5). Fácil ver que: Quanto maior L maior a segurança e menor a probabilidade de formação de IG. Quanto mais nós no IG maior a força da chave de sessão mas menor a probabilide de formação de IG. Quanto menor k (e menor m para N fixo N=mk) menor a probabilidade de formação de IG mas maior a segurança.

34 34 Trabalhos relacionados Artigo refere dois outros trabalhos parecidos: Chan Eschenauer and Gligor O primeiro tem baixa probabilidade de formação de IG (muito baixa). Segundo requer terceira entidade confiável. Algoritmo de cifra usado é o do Chan.

35 35 Dúvidas / sugestões?


Carregar ppt "1 Self-organised Group Key Management for Ad Hoc Networks Adriano Simões 53813 Tiago Almeida53867."

Apresentações semelhantes


Anúncios Google