- •Лекция
- •Протоколы защиты информации на различных уровнях протокола TCP/IP
- •1.Основные сведения о протоколе IPSec
- •Security Association (SA) Безопасная ассоциация Контекст безопасности
- •Установление безопасных ассоциации
- •IP-пакет до и после применения протокола ESP
- •IP-пакет после применения протокола АН в транспортном и туннельном режимах
- •Internet Key Exchange (IKE)
- •Алгоритм Диффи-Хеллмана
- •Атака человек посредине
- •Начальный обмен IKE_UNIT_ SA
- •Обмен IKE_AUTH
- •Формат заголовка IKE
- •Типы блоков данных
- •Блок данных Контекст Безопасности
- •Подструктура Преобразование
- •Блок Аутентификация
- •Обмен IKE_AUTH
- •Содержимое поля Аутентификационные данные при аутентификации с использованием цифровых подписей
- •Содержимое поля Аутентификационные данные при аутентификации с использованием заранее распределенного ключа
- •Генерация ключевого материала для IKE_SA
- •Принципы обеспечения безопасности протокола IKE
- •Алгоритм Диффи-Хеллмана
- •Атака человек посредине
- •Базовые требования к протоколу обмена ключами
- ••Конфиденциальность ключа.
- •Эволюция
- •Протокол ISO
- •Протокол SIGMA
- •Защита идентификаторов
- •Защита идентификаторов
- •SIGMA-R в IKE
- •2. Протокол, SSL
- •SSL (Secure Socket Layer – протокол защищенных сокетов)
- •Протокол обеспечивает
- •Архитектура протокола SSL (TLS)
- •Обработка фрагментов данных в протоколе SSL
- •Алгоритмы шифрования SSL
- •Вычисление кода аутентичности
- •Схема обмена сообщениями при установке логического соединения между клиентом и сервером
- •1 Этап. Инициализация логического соединения и
- •Способы формирования ключа в SSL протоколе
- •2 Этап. Аутентификация и обмен ключами сервера
- •3 Этап. Аутентификация и обмен ключами клиента
- •Сообщения, передаваемые на 2, 3 этапах
- •Создание главного секретного ключа
- •Главный ключ находится из предварительного ключа с помощью
- •4 Этап. Завершение
- •Особенности протокола TLS v.1.1
- ••Проводя анализ протокола SSL/TLS с позиции выполнения требований по обеспечению безопасности распределения ключей
Обмен IKE_AUTH
Инициатор - i Ответчик- r
HDR, SK{IDi, [CERT], [CERTREQ], IDr,
AUTH, SAi2, TSi, TSr}
HDR, SK{IDr, [CERT], AUTH, SAr2, TSi, TSr},
IKE_SA, CHILD_SA
Содержимое поля Аутентификационные данные при аутентификации с использованием цифровых подписей
Инициатор - i
AUTH = SIGi{(HDR, SAi1,KEi,Ni),Nr,prf(SK_pi,IDi’}
Ответчик- r
AUTH = SIGr{(HDR, SAr1,KEr,Nr),Ni,prf(SK_pr,IDr’}
Содержимое поля Аутентификационные данные при аутентификации с использованием заранее распределенного ключа
AUTH = prf(prf(Shared Secret, “Key Pad for IKEv2”,
(<msg octets’}
Генерация ключевого материала для IKE_SA
SK_d используется для получения новых ключей для CHILD_SA; SK_ai, SK_ar – ключи аутентификации сообщений в
SK_ei, SK_er - ключи шифрования сообщений SK_pi, SK_pr - ключи хэширующей функции
Генерация ключевого материала в дополнительном обмене СREATE_CHILD_SA
Ключи шифрования берутся из первых октетов KEYMAT ключи аутентификации из следующих октетов
Принципы обеспечения безопасности протокола IKE
Алгоритм Диффи-Хеллмана
A |
|
gx |
|
B |
х |
|
|
|
|
|
gy |
|
y gxy |
|
|
|
|
||
gyx |
|
|
|
|
|
|
|
gx - значение Диффи-Хеллмана gxy – ключ Диффи-Хеллмана
Ks= prf(gxy) – сессионный ключ
Атака человек посредине
A |
|
|
|
|
|
|
|
||
gx |
|
Е |
x’ |
|
gx’ |
|
B |
||
х |
|
|
|
|
|
|
|
|
|
gy’ |
y’ |
|
|
gy |
|
|
y |
||
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
gx’y |
|||
y’x |
xy’ |
|
g |
yx’ |
|||||
g |
g |
|
|
|
|
|
|
||
|
Ks |
|
|
|
K’s |
|
|
|
|
K = сессионный ключ |
|
|
K’s= сессионный ключ |
||||||
s |
между А и Е |
|
|
|
между Е и В |
||||
|
|
|
|
Базовые требования к протоколу обмена ключами
Аутентификация - каждая сторона КЕ-обмена должна проверять подлинность другой стороны, с которой установлена сессия.
Согласованность – единый взгляд сторон на сформированный сессионный ключ, т.е, если сторона А установила ключ с В, то, если В установит ключ с А, он должен быть уверен, что эта сторона действительно А .
Секретность – никакая третья сторона не должна знать сессионный ключ и идентификаторы сторон его установивших.
•Конфиденциальность ключа.
•Имитозащищенность ключа и аутентификация корреспондентов.
•Взаимное согласование ключа.
•Анонимность корреспондентов, формирующих ключ.
Эволюция |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
IKE |
|
|
|||||
протоколов распределения |
|
|
|
|
Вып. все |
|||||||||
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|||||||||
ключей и аутентификации |
|
|
|
|
|
|
треб. |
|||||||
|
|
|
SIGMA |
|
||||||||||
|
|
|
|
|
«незащищенность |
|
||||||||
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
идентификаторов» |
|||||||||
|
|
Атака |
|
|
|
|
|
Выполнены 1,2,3 |
||||||
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
ISO |
|||||||||
|
|
«Misbinding» |
требования |
|||||||||||
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
Выполнены 1, 2 |
||||||
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
||||||||
Атака «Человек |
STS |
|
||||||||||||
|
|
требования |
||||||||||||
посредине» |
|
|
|
|
||||||||||
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
Выполнено 1-е требование |
||||||||||
|
|
|
|
|||||||||||
|
DH |
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
A |
Протокол STS |
B |
gx |
х gy, B,CertB, {SigB(gx, gy)}Ks y
CertA, {SigA(gy, gx)}Ks
{.}K – шифрование на ключе К
Пусть для шифрования используется гаммирование На 3-ем шаге нарушитель создает криптограмму CertE, {SigA(gy, gx)}Ks
Получив CertE, В будет полагать, что установил связь с А, но проверить подпись не сможет и будет многократно обращаться к Е, что в итоге равносильно нарушению согласованности
А, SigА(gy, gx), |
МАСKs(SigА(gy, gx)), |
А |
B |
A |
Протокол STS |
B |
gx |
||
х |
|
|
|
|
gy, B,CertB {SigB(gx, gy)}Ks y
CertA, {SigA(gy, gx)}Ks
{.}K – шифрование на ключе К
Защита от атаки (misbinding attaсk) состоит в доказательстве сторонами владения сессионным ключем Кs
Недостатки шифрованиия: Для режима кодовой книги или гаммирования возможна атака подмены типа A+E, поэтому шифрование заменяют на хэширование.
А, SigА(gy, gx), |
МАСKs(SigА(gy, gx)), |
А |
B |