A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Um Mecanismo de Autenticação Baseado em ECDH para Redes IEEE

PublicouÍsis Pupo Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "Um Mecanismo de Autenticação Baseado em ECDH para Redes IEEE"— Transcrição da apresentação:

1 Um Mecanismo de Autenticação Baseado em ECDH para Redes IEEE 802.11
SBSeg 2010 Eduardo Ferreira de Souza Paulo André da S. Gonçalves

2 Sumário Motivação e Problemas Abordados Trabalhos Relacionados
Mecanismo Proposto Avaliação Experimental da Proposta Conclusões

3 Proteção aos quadros de dados
Motivação Redes IEEE (ou Wi-Fi) Cada vez mais utilizadas Necessidade de se prover alto grau de segurança Protocolos de segurança para a camada enlace WPA (2003) e IEEE i (WPA2) (2004) Emenda IEEE w (2009) Mencionar que WEP não deve ser mais utilizado pela sua longa lista de vulnerabilidades Proteção aos quadros de dados Estende WPA e WPA2 adicionando proteção aos quadros de gerenciamento

4 Motivação Dois métodos de autenticação nos protocolos citados
Chave_1 Chave_2 Chave_3 Dois métodos de autenticação nos protocolos citados Autenticação corporativa Servidor de autenticação Autenticação pessoal Chaves pré-compartilhadas (PSK) PSK

5 Motivação O processo de autenticação permite a derivação da chave PTK
PTK (Pairwise Transient Key) Representa um conjunto de chaves temporárias Exclusiva para cada par cliente/ponto de acesso Utilizada, principalmente, para a criptografia de quadros e verificação da integridade Seu sigilo é importante! PTK_1 PTK_2 PTK_3 PSK PTK_1 PTK_2 PTK_3

6 1º Problema Método de autenticação pessoal é falho
A derivação da PTK de qualquer cliente pode ser reproduzida por um atacante que conheça a PSK Vulnerabilidade independe do protocolo usado WPA, WPA2 e a recente emenda IEEE w PSK PTK_1 PTK_2 Explicar durante a apresentação como o atacante pode conhecer a PSK: ser usuário da rede ou fazer um ataque de dicionário. Dizer que mais detalhes serão apresentado mais a frente ...

7 Motivação Redes IEEE 802.11 podem ser abertas
Comuns em shoppings, aeroportos e redes domésticas Não há processo de autenticação de dispositivos na rede sem fio Os usuários podem precisar, no máximo, fornecer credenciais (e.g. CPF ou login/senha) para acesso à Internet Tráfego passa sem criptografia exceto quando a mesma é provida por camadas superiores (e.g. HTTPS) Obs. Sobre o que disse: “Os dados trafegam sem criptografia e verificação de integridade” ... Mesmo que não haja criptografia, existe verificação de integridade no quadro do !!!!! Cuidado para não dizer besteira!

8 2º Problema Inexistência de autenticação em redes abertas
Não há criptografia na camada enlace Dados do usuário estão vulneráveis Olá!

9 Objetivo do Trabalho Uma solução aos 2 problemas
Derivação indevida da PTK Falta de autenticação em redes abertas PSK PTK_1 PTK_2 Olá!

10 O 4-Way Handshake Ocorre em ambos os métodos de autenticação Objetivos
autenticar mutuamente o cliente e o ponto de acesso permitir a derivação de uma PTK comum e exclusiva a eles Chave mestra (PMK) na autenticação pessoal é a própria PSK na autenticação coorporativa ela é única para cada cliente Mensagens trocadas pequenas variações de acordo com o protocolo usado Descrição genérica do 4-way handshake principais parâmetros trocados considera o WPA, o WPA2 e a emenda IEEE w PMK PTK Esse processo ocorre apenas entre o cliente e o ponto de acesso, mesmo no caso das redes baseadas em servidor de autenticação. Este processo ocorre de forma idêntica nas duas formas de autenticação do i. Visa que ambas as entidades verifiquem a autenticidade do host comunicante. A chave mestra para o processo de 4-way handshake é a PMK, que no caso das redes 802.1X, a PMK é derivada através do servidor de autenticação. No IEEE i-PSK, a PMK é a própria PSK Resulta na derivação da chave PTK

11 O 4-Way Handshake S A S e A: Cliente e AP SA e AA: MACs de S e de A SNonce e ANonce: Nonces de S e de A MICPTK: Verificador de Integridade Define ANonce [AA, ANonce] Define SNonce Calcula PTK [SA, SNonce, MICPTK(…)] Calcula PTK Verifica MICPTK [AA, ANonce, MICPTK(…)] O cliente e o ponto de acesso geram números aleatórios (nonces) São descartados ao fim do handshake Têm objetivo de modificar as chaves PTK a cada derivação A derivação da PTK é feita através de uma função pseudoaleatória (PRF) Verifica MICPTK [SA] Autenticação finalizada PTK = PRF (PMK, “Pairwise key expansion”, Min(AA, SA) || Max(AA, SA) || Min(ANonce, SNonce) || Max(ANonce, SNonce))

12 Derivação Indevida da PTK
Dentre os parâmetros da PRF, apenas a PMK é mantida em sigilo PTK = PRF (PMK, “Pairwise key expansion”, Min(AA, SA) || Max(AA, SA) || Min(ANonce, SNonce) || Max(ANonce, SNonce)) Se um atacante pertencer à própria rede (no caso de autenticação pessoal): Todos os parâmetros da PRF serão conhecidos apenas escutando-se o canal Ele poderá derivar as chaves PTK de todos os clientes da rede É importante comentar que a recupaeração da PTK é possível através de ataque de dicionário se a passphrase usada na criação da PTK possuir menos de 20 caracteres.

13 Derivação Indevida da PTK: Trabalhos Relacionados
Usam o protocolo de acordo de chaves Diffie-Hellman (DH) Permite que duas entidades derivem chaves seguras, mesmo que o canal de comunicação seja inseguro Baseado no problema do logaritmo discreto

14 Derivação Indevida da PTK: Trabalhos Relacionados
Resolving WPA Limitations in SOHO and Open Public Wireless Networks Não implementa a proposta Fraquezas Baseado no protocolo Diffie-Hellman (DH) Necessita de chaves públicas grandes Grande overhead de processamento Utiliza a chave mestra diretamente na cifra de mensagens S A Cifra as msgs com a PMK Cálculo da chave K Cifra as msgs com K

15 Derivação Indevida da PTK: Trabalhos Relacionados
Um Mecanismo de Proteção de Nonces para a Melhoria da Segurança de Redes IEEE i Não implementa a proposta Fraquezas Baseado no protocolo DH Necessita de chaves públicas grandes Grande overhead de processamento 6 mensagens trocadas S A Cálculo da chave K Cifra os nonces com K

16 Tamanho, em bits, das chaves públicas
DH vs ECDH Base da proposta deste trabalho: Protocolo Diffie-Hellman sobre Curvas Elípticas (ECDH) DH exige chaves públicas significativamente maiores DH exige maior processamento, espaço de armazenamento e consumo de energia Ataques em tempo subexponencial para DH Ataques apenas em tempo exponencial para ECDH DH ECDH 1.024 63 3.072 283 7.680 409 15.360 571 Falar de DH vs ECDH antes mesmo de falar o que é o ECDH ? A questão do menor processamento, armazenamento e energia é bem relevante para dispositivos com pouco poder computacional Tamanho, em bits, das chaves públicas

17 ECDH Permite que duas entidades derivem chaves seguras, mesmo que o canal de comunicação seja inseguro Baseado no problema do logaritmo discreto sobre curvas elípticas (problema NP)

18 ECDH Parâmetros de domínio: um campo finito F; uma curva elíptica E sobre F; e um ponto base G pertencente à E (1) A gera uma chave privada kA; e calcula a chave pública Apub = kA × G (2) S gera uma chave privada kS; e calcula a chave pública Spub = kS × G (2) S calcula K = kS× Apub (3) A calcula K = kA × Spub S A 1 [Apub] 2 [Spub] 3 Para que o acordo de chaves possa ser feito entre duas entidades A e S utilizando-se o protocolo EDCH, inicialmente devem ser conhecidos os parâmetros de domínio.

19 Mecanismo Proposto Denominado Improved Handshake (IH)
Adaptação do 4-way handshake Baseado em ECDH Visa solucionar ambos os problemas apresentados Derivação indevida da PTK Falta de autenticação em redes abertas Requisitos Ter baixo overhead em relação aos trabalhos relacionados Não aumentar significativamente a duração do 4-way handshake Propõe adicionalmente: Uso das chaves públicas como nonces além do uso normal delas para o cálculo da chave elíptica

20 Improved Handshake S A Spub e Apub: Chaves públicas
Spriv e Apriv: Chaves privadas Ke: Chave elíptica (coord. x de K) 1 [AA, Apub] 2 [SA, Spub, MICPTK(…)] (1) A gera Apriv e Apub (2) S gera Spriv e Spub; S calcula Ke; S deriva PTK (3) A calcula Ke; A deriva PTK; A verifica MICPTK (4) S verifica MICPTK (5) Autenticação finalizada; A e S possuem a PTK 3 [AA, Apub, MICPTK(…)] FALAR QUE AS CHAVES PÚBLICAS ESTÃO SENDO USADAS COMO NONCES, além do cálculo da Ke 4 [SA] 5 PTK = PRF (PMK, Ke, “Elliptic pairwise key expansion”, Min(AA, SA) || Max(AA, SA) || Min(Apub, Spub) || Max(Apub, Spub))

21 Improved Handshake Permite simples extensão para Redes Abertas
Adaptação para prover autenticação automática, sem a necessidade do fornecimento de chaves pelos usuários Pequena modificação nos argumentos utilizados na derivação da PTK Antes ... PTK = PRF (PMK, Ke, “Elliptic pairwise key expansion”, Min(AA, SA) || Max(AA, SA) || Min(Apub, Spub) || Max(Apub, Spub)) Depois ... PTK = PRF (Ke, “Elliptic pairwise key expansion”, Min(AA, SA) || Max(AA, SA) || Min(Apub, Spub) || Max(Apub, Spub)) A segurança da PTK é garantida pela segurança da Ke Uso em redes com método de autenticação corporativa O Improved Handshake é inerentemente mais seguro Não há necessidade de configurações adicionais

22 Avaliação Experimental
Qual é a curva elíptica mais adequada para uso com o Improved Handshake? Qual a duração média do Improved Handshake? Depende da curva elíptica! Qual o aumento médio no tamanho das mensagens do Improved Handshake quando comparado ao 4-way handshake? Depende da curva elíptica! O overhead introduzido pelo Improved Handshake é menor do que aquele introduzido pelos trabalhos relacionados?

23 Avaliação Experimental
Implementação do Improved Handshake Desenvolvido para WPA, IEEE i (WPA2) e para tais protocolos com a emenda IEEE w Avaliado com as quinze curvas elípticas recomendadas pelo NIST Experimentos realizados em ambientes reais Das quinze curvas elípticas, dez são curvas sobre campos finitos binários e cinco curvas sobre campos finitos primos Nist (National Institute of Standards and Technology)

24 Avaliação Experimental
Mecanismo Aumento Médio por Mensagem (bytes) Duração Total Média (ms) 4-way handshake -- 15,08 IH com P-192 36 18,34 IH com P-224 42 20,30 IH com P-256 48 23,87 IH com P-384 72 39,81 IH com P-521 97,5 68,19 IH com K-163 30,75 20,10 IH com B-163 20,52 Aumento médio entre 27,5% e 37,5% Em “Resolving WPA Limitations in SOHO and Open Public Wireless Networks” o aumento é maior do que 85% Em “Um Mecanismo de Proteção de Nonces para a Melhoria da Segurança de Redes IEEE i” o aumento é maior do que 164% Duração entre 3 e 5 ms superior ao 4-way handshake Tais acréscimos podem ser considerados baixos, visto que o tempo do 4-way handshake foi de 15,08 ms IH com P-192 36 18,34 36 18,34 42 20,30 Nas curvas 1,2,6 e 7 o aumento médio varia entre 27,5% e 37,5% A P-192 tem 384 bits de chave pública – segurança superior a chaves de bits no DH Os trabalhos relacionados utilizavam chaves de 1024 bits 30,75 20,10 30,75 20,52 * O tamanho médio das mensagens do 4-way handshake é de 112 bytes

25 Conclusões O Improved Handshake introduz menor overhead do que os trabalhos relacionados e provê um grau de segurança superior Curva elíptica P-192 se mostra mais adequada aumento médio de 36 bytes no tamanho das mensagens trocadas durante o handshake aumenta o handshake em pouco mais de 3 ms Pode ser usado com todos os protocolos WPA, IEEE i (WPA2) e estes dois acrescidos pela emenda IEEE w Permite simples extensão para redes abertas provê autenticação automática criptografia de informações na camada enlace sem o fornecimento de chaves pelos usuários

26 OBRIGADO Eduardo Ferreira de Souza Paulo André da S. Gonçalves

Carregar ppt "Um Mecanismo de Autenticação Baseado em ECDH para Redes IEEE"

Apresentações semelhantes

Nome da Apresentação Clique para adicionar um subtítulo.

Nome da Apresentação Clique para adicionar um subtítulo.
Bruno Rafael de Oliveira Rodrigues

Bruno Rafael de Oliveira Rodrigues
Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercícios de Revisão Redes de Computadores Edgard Jamhour
CPU – based DoS Attacks Against SIP Servers

CPU – based DoS Attacks Against SIP Servers
Equipe: Cassiano C. Casagrande Rodrigo Pereira

Equipe: Cassiano C. Casagrande Rodrigo Pereira
Vunerabilidades Wep Vunerabilidades Wep e no WPA Wep Wpa

Vunerabilidades Wep Vunerabilidades Wep e no WPA Wep Wpa
Segurança da Camada de Transporte

Segurança da Camada de Transporte
MOSTRA DE TRABALHOS DE CONCLUSÃO FACULDADE DE INFORMÁTICA PUCRS

MOSTRA DE TRABALHOS DE CONCLUSÃO FACULDADE DE INFORMÁTICA PUCRS
Criptografia e segurança de redes Chapter 14

Criptografia e segurança de redes Chapter 14
1 Criptografia e Segurança em Redes Capítulo 10 Quarta Edição por William Stallings Tradução por Enrico Alvarez.

1 Criptografia e Segurança em Redes Capítulo 10 Quarta Edição por William Stallings Tradução por Enrico Alvarez.
Criptografia e Segurança em Redes Capítulo 10

Criptografia e Segurança em Redes Capítulo 10
Criptografia e Segurança de Redes Capítulo 16

Criptografia e Segurança de Redes Capítulo 16
Criptografia e Segurança em Rede Capítulo 1

Criptografia e Segurança em Rede Capítulo 1
Meios sem fio Prof. Vital P. Santos Jr..

Meios sem fio Prof. Vital P. Santos Jr..
Uma introdução à criptografia com curvas elípticas

Uma introdução à criptografia com curvas elípticas
Ambiente de simulação Os algoritmos previamente discutidos foram analisados usando um simulador de mobilidade. Ele modela uma cidade de 20 Km de raio,

Ambiente de simulação Os algoritmos previamente discutidos foram analisados usando um simulador de mobilidade. Ele modela uma cidade de 20 Km de raio,
Segurança de Sistemas e Redes

Segurança de Sistemas e Redes
Mobilidade na Internet

Mobilidade na Internet
Rede Wireless segura com WPA/WPA2 e RADIUS

Rede Wireless segura com WPA/WPA2 e RADIUS
Um Mecanismo de Proteção Contra a Previsibilidade de Informações em Pacotes WTICG /SBSeg 2010 Bruno G. DAmbrosio Eduardo Ferreira de Souza Paulo André

Um Mecanismo de Proteção Contra a Previsibilidade de Informações em Pacotes WTICG /SBSeg 2010 Bruno G. DAmbrosio Eduardo Ferreira de Souza Paulo André

Apresentações semelhantes

Anúncios Google