Um Mecanismo de Autenticação Baseado em ECDH para Redes IEEE 802.11<br />SBSeg 2010<br />Eduardo Ferreira de Souza<br />Pa...
Sumário<br /><ul><li>Motivação e Problemas Abordados
Trabalhos Relacionados
Mecanismo Proposto
Avaliação Experimental da Proposta
Conclusões</li></li></ul><li>Motivação<br /><ul><li>Redes IEEE 802.11 (ou Wi-Fi)
Cada vez mais utilizadas
Necessidade de se prover alto grau de segurança
Protocolos de segurança para a camada enlace
WPA (2003) e IEEE 802.11i (WPA2) (2004)
Emenda IEEE 802.11w (2009)</li></ul>Proteção aos quadros de dados<br />Estende WPA e WPA2 adicionando proteção aos quadros...
Motivação<br />Chave_1<br /><ul><li>Dois métodos de autenticação nos protocolos citados
Autenticação corporativa
Servidor de autenticação
Autenticação pessoal
Chaves pré-compartilhadas (PSK)</li></ul>Chave_2<br />Chave_3<br />PSK<br />PSK<br />PSK<br />
Motivação<br />Chave_1<br /><ul><li>O processo de autenticação permite a derivação da chave PTK
PTK (PairwiseTransientKey)
Representa um conjunto de chaves temporárias
Exclusiva para cada par cliente/ponto de acesso
Utilizada, principalmente, para a criptografia de quadros e verificação da integridade
Seu sigilo é importante!</li></ul>PTK_1<br />Chave_2<br />PTK_2<br />Chave_3<br />PTK_3<br />PSK<br />PTK_1<br />PSK<br />...
1º Problema<br /><ul><li>Método de autenticação pessoal é falho
A derivação da PTK de qualquer cliente pode ser reproduzida por um atacante que conheça a PSK
Vulnerabilidade independe do protocolo usado
Upcoming SlideShare
Loading in …5
×

Um Mecanismo de Autenticação Baseado em ECDH para Redes

646 views
583 views

Published on

Apresentação do Artigo "Um Mecanismo de Autenticação Baseado em ECDH para Redes IEEE 802.11" na SBSeg 2010. O artigo trata o problema de derivação indevida das chaves PTK durante o processo de 4-way handshake nas redes IEEE 802.11

Published in: Technology
1 Comment
0 Likes
Statistics
Notes
  • Boa Noite, tenho uma dúvida em relação a Mecanismos de Autenticação. Quando falamos disso estamos nos referindo a que? E o que seria as chaves WEP, WPA, WPA2 e etc. Desde já obrigado pela atenção e fico no aguardo de sua resposta.
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Be the first to like this

No Downloads
Views
Total views
646
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
8
Comments
1
Likes
0
Embeds 0
No embeds

No notes for slide

Um Mecanismo de Autenticação Baseado em ECDH para Redes

  1. 1. Um Mecanismo de Autenticação Baseado em ECDH para Redes IEEE 802.11<br />SBSeg 2010<br />Eduardo Ferreira de Souza<br />Paulo André da S. Gonçalves<br />
  2. 2. Sumário<br /><ul><li>Motivação e Problemas Abordados
  3. 3. Trabalhos Relacionados
  4. 4. Mecanismo Proposto
  5. 5. Avaliação Experimental da Proposta
  6. 6. Conclusões</li></li></ul><li>Motivação<br /><ul><li>Redes IEEE 802.11 (ou Wi-Fi)
  7. 7. Cada vez mais utilizadas
  8. 8. Necessidade de se prover alto grau de segurança
  9. 9. Protocolos de segurança para a camada enlace
  10. 10. WPA (2003) e IEEE 802.11i (WPA2) (2004)
  11. 11. Emenda IEEE 802.11w (2009)</li></ul>Proteção aos quadros de dados<br />Estende WPA e WPA2 adicionando proteção aos quadros de gerenciamento <br />
  12. 12. Motivação<br />Chave_1<br /><ul><li>Dois métodos de autenticação nos protocolos citados
  13. 13. Autenticação corporativa
  14. 14. Servidor de autenticação
  15. 15. Autenticação pessoal
  16. 16. Chaves pré-compartilhadas (PSK)</li></ul>Chave_2<br />Chave_3<br />PSK<br />PSK<br />PSK<br />
  17. 17. Motivação<br />Chave_1<br /><ul><li>O processo de autenticação permite a derivação da chave PTK
  18. 18. PTK (PairwiseTransientKey)
  19. 19. Representa um conjunto de chaves temporárias
  20. 20. Exclusiva para cada par cliente/ponto de acesso
  21. 21. Utilizada, principalmente, para a criptografia de quadros e verificação da integridade
  22. 22. Seu sigilo é importante!</li></ul>PTK_1<br />Chave_2<br />PTK_2<br />Chave_3<br />PTK_3<br />PSK<br />PTK_1<br />PSK<br />PTK_2<br />PSK<br />PTK_3<br />
  23. 23. 1º Problema<br /><ul><li>Método de autenticação pessoal é falho
  24. 24. A derivação da PTK de qualquer cliente pode ser reproduzida por um atacante que conheça a PSK
  25. 25. Vulnerabilidade independe do protocolo usado
  26. 26. WPA, WPA2 e a recente emenda IEEE 802.11w</li></ul>PSK<br />PTK_1<br />PSK<br />PTK_1<br />PTK_2<br />PSK<br />PTK_2<br />
  27. 27. Motivação<br /><ul><li>Redes IEEE 802.11 podem ser abertas
  28. 28. Comuns em shoppings, aeroportos e redes domésticas
  29. 29. Não há processo de autenticação de dispositivos na rede sem fio
  30. 30. Os usuários podem precisar, no máximo, fornecer credenciais (e.g. CPF ou login/senha) para acesso à Internet
  31. 31. Tráfego passa sem criptografia exceto quando a mesma é provida por camadas superiores (e.g. HTTPS)</li></li></ul><li>2º Problema<br /><ul><li>Inexistência de autenticação em redes abertas
  32. 32. Não há criptografia na camada enlace
  33. 33. Dados do usuário estão vulneráveis</li></ul>Olá!<br />
  34. 34. Objetivo do Trabalho<br /><ul><li>Uma solução aos 2 problemas
  35. 35. Derivação indevida da PTK
  36. 36. Falta de autenticação em redes abertas</li></ul>PSK<br />PTK_1<br />Olá!<br />PSK<br />PTK_1<br />PTK_2<br />PSK<br />PTK_2<br />
  37. 37. O 4-WayHandshake<br /><ul><li>Ocorre em ambos os métodos de autenticação
  38. 38. Objetivos
  39. 39. autenticar mutuamente o cliente e o ponto de acesso
  40. 40. permitir a derivação de uma PTK comum e exclusiva a eles
  41. 41. Chave mestra (PMK)
  42. 42. na autenticação pessoal é a própria PSK
  43. 43. na autenticação coorporativa ela é única para cada cliente
  44. 44. Mensagens trocadas
  45. 45. pequenas variações de acordo com o protocolo usado
  46. 46. Descrição genérica do 4-way handshake
  47. 47. principais parâmetros trocados
  48. 48. considera o WPA, o WPA2 e a emenda IEEE 802.11w</li></ul>PMK<br />PTK<br />PMK<br />PTK<br />
  49. 49. O 4-WayHandshake<br />S<br />A<br />S e A: Cliente e AP<br />SA e AA: MACs de S e de A<br />SNonce e ANonce: Nonces de S e de A<br />MICPTK: Verificador de Integridade<br />Define ANonce<br />[AA, ANonce]<br />Define SNonce<br />Calcula PTK <br />[SA, SNonce, MICPTK(…)]<br />Calcula PTK<br />Verifica MICPTK<br />[AA, ANonce, MICPTK(…)]<br />Verifica MICPTK<br />[SA]<br />Autenticação finalizada<br />PTK = PRF (PMK, “Pairwisekeyexpansion”, Min(AA, SA) || Max(AA, SA) || Min(ANonce, SNonce) || Max(ANonce, SNonce))<br />
  50. 50. Derivação Indevida da PTK<br /><ul><li>Dentre os parâmetros da PRF, apenas a PMK é mantida em sigilo
  51. 51. PTK = PRF (PMK, “Pairwisekeyexpansion”, Min(AA, SA) || Max(AA, SA) || Min(ANonce, SNonce) || Max(ANonce, SNonce))
  52. 52. Se um atacante pertencer à própria rede (no caso de autenticação pessoal):
  53. 53. Todos os parâmetros da PRF serão conhecidos apenas escutando-se o canal
  54. 54. Ele poderá derivar as chaves PTK de todos os clientes da rede</li></li></ul><li>Derivação Indevida da PTK: Trabalhos Relacionados<br /><ul><li>Usam o protocolo de acordo de chaves Diffie-Hellman(DH)
  55. 55. Permite que duas entidades derivem chaves seguras, mesmo que o canal de comunicação seja inseguro
  56. 56. Baseado no problema do logaritmo discreto</li></li></ul><li>Derivação Indevida da PTK: Trabalhos Relacionados<br /><ul><li>Resolving WPA Limitations in SOHO and Open Public Wireless Networks
  57. 57. Não implementa a proposta
  58. 58. Fraquezas
  59. 59. Baseado no protocolo Diffie-Hellman(DH)
  60. 60. Necessita de chaves públicas grandes
  61. 61. Grande overhead de processamento
  62. 62. Utiliza a chave mestra diretamente na cifra de mensagens</li></ul>S<br />A<br />Cifra as msgs com a PMK<br />Cálculo da chave K<br />Cifra as msgs com K<br />
  63. 63. Derivação Indevida da PTK: Trabalhos Relacionados<br /><ul><li>Um Mecanismo de Proteção de Nonces para a Melhoria da Segurança de Redes IEEE 802.11i
  64. 64. Não implementa a proposta
  65. 65. Fraquezas
  66. 66. Baseado no protocolo DH
  67. 67. Necessita de chaves públicas grandes
  68. 68. Grande overhead de processamento
  69. 69. 6 mensagens trocadas</li></ul>S<br />A<br />Cálculo da chave K<br />Cifra os nonces com K<br />
  70. 70. DH vs ECDH<br /><ul><li>Base da proposta deste trabalho: Protocolo Diffie-Hellman sobre Curvas Elípticas (ECDH)
  71. 71. DH exige chaves públicas significativamente maiores
  72. 72. DH exige maior processamento, espaço de armazenamento e consumo de energia
  73. 73. Ataques em tempo subexponencial para DH
  74. 74. Ataques apenas em tempo exponencial para ECDH</li></ul>Tamanho, em bits, das chaves públicas<br />
  75. 75. ECDH<br /><ul><li>Permite que duas entidades derivem chaves seguras, mesmo que o canal de comunicação seja inseguro
  76. 76. Baseado no problema do logaritmo discreto sobre curvas elípticas (problema NP)</li></li></ul><li>ECDH<br /><ul><li>Parâmetros de domínio: um campo finito F; uma curva elíptica Esobre F; e um ponto base Gpertencente à E
  77. 77. (1) A gera uma chave privada kA; ecalcula a chave pública Apub= kA × G
  78. 78. (2) S gera uma chave privada kS; ecalcula a chave pública Spub= kS × G
  79. 79. (2) S calcula K = kS× Apub
  80. 80. (3) A calcula K = kA × Spub</li></ul>S<br />A<br />1<br />[Apub]<br />2<br />[Spub]<br />3<br />
  81. 81. Mecanismo Proposto<br /><ul><li>Denominado ImprovedHandshake(IH)
  82. 82. Adaptação do 4-way handshake
  83. 83. Baseado em ECDH
  84. 84. Visa solucionar ambos os problemas apresentados
  85. 85. Derivação indevida da PTK
  86. 86. Falta de autenticação em redes abertas
  87. 87. Requisitos
  88. 88. Ter baixo overhead em relação aos trabalhos relacionados
  89. 89. Não aumentar significativamente a duração do 4-way handshake
  90. 90. Propõe adicionalmente:
  91. 91. Uso das chaves públicas como noncesalém do uso normal delas para o cálculo da chave elíptica</li></li></ul><li>ImprovedHandshake<br />S<br />A<br />Spub e Apub: Chaves públicas<br />Spriv e Apriv: Chaves privadas<br />Ke: Chave elíptica (coord. x de K)<br />1<br />[AA, Apub]<br />2<br />[SA, Spub, MICPTK(…)]<br /><ul><li>(1) A gera Apriv e Apub
  92. 92. (2) S gera Spriv e Spub; S calcula Ke; S deriva PTK
  93. 93. (3) A calcula Ke; A deriva PTK; A verifica MICPTK
  94. 94. (4) S verifica MICPTK
  95. 95. (5) Autenticação finalizada; A e S possuem a PTK</li></ul>3<br />[AA, Apub, MICPTK(…)]<br />4<br />[SA]<br />5<br />PTK= PRF (PMK, Ke, “Ellipticpairwisekeyexpansion”, Min(AA, SA) || Max(AA, SA) || Min(Apub, Spub) || Max(Apub, Spub)) <br />
  96. 96. ImprovedHandshake<br /><ul><li>Permite simples extensão para Redes Abertas
  97. 97. Adaptação para prover autenticação automática, sem a necessidade do fornecimento de chaves pelos usuários
  98. 98. Pequena modificação nos argumentos utilizados na derivação da PTK
  99. 99. Antes ... PTK = PRF (PMK, Ke, “Ellipticpairwisekeyexpansion”, Min(AA, SA) || Max(AA, SA) || Min(Apub, Spub) || Max(Apub, Spub))
  100. 100. Depois ... PTK = PRF (Ke, “Ellipticpairwisekeyexpansion”, Min(AA, SA) || Max(AA, SA) || Min(Apub, Spub) || Max(Apub, Spub))
  101. 101. A segurança da PTK é garantida pela segurança da Ke
  102. 102. Uso em redes com método de autenticação corporativa
  103. 103. O ImprovedHandshakeé inerentemente mais seguro
  104. 104. Não há necessidade de configurações adicionais</li></li></ul><li>Avaliação Experimental<br /><ul><li>Qual é a curva elíptica mais adequada para uso com o ImprovedHandshake?
  105. 105. Qual a duração média do ImprovedHandshake? Depende da curva elíptica!
  106. 106. Qual o aumento médio no tamanho das mensagens do ImprovedHandshake quando comparado ao 4-wayhandshake? Depende da curva elíptica!
  107. 107. O overhead introduzido pelo ImprovedHandshake é menor do que aquele introduzido pelos trabalhos relacionados?</li></li></ul><li>Avaliação Experimental<br /><ul><li>Implementação do ImprovedHandshake
  108. 108. Desenvolvido para WPA, IEEE 802.11i (WPA2) e para tais protocolos com a emenda IEEE 802.11w
  109. 109. Avaliado com as quinze curvas elípticas recomendadas pelo NIST
  110. 110. Experimentos realizados em ambientes reais</li></li></ul><li>Avaliação Experimental<br /><ul><li>Aumento médio entre 27,5% e 37,5%
  111. 111. Em “Resolving WPA Limitations in SOHO and Open Public Wireless Networks” o aumento é maior do que 85%
  112. 112. Em “Um Mecanismo de Proteção de Nonces para a Melhoria da Segurança de Redes IEEE 802.11i” o aumento é maior do que 164%
  113. 113. Duração entre 3 e 5 ms superior ao 4-wayhandshake
  114. 114. Tais acréscimos podem ser considerados baixos, visto que o tempo do 4-way handshakefoi de 15,08 ms</li></ul>* O tamanho médio das mensagens do 4-way handshakeé de 112 bytes<br />
  115. 115. Conclusões<br /><ul><li>O ImprovedHandshakeintroduz menor overhead do que os trabalhos relacionados e provê um grau de segurança superior
  116. 116. Curva elíptica P-192 se mostra mais adequada
  117. 117. aumento médio de 36 bytesno tamanho das mensagens trocadas durante o handshake
  118. 118. aumenta o handshake em pouco mais de 3 ms
  119. 119. Pode ser usado com todos os protocolos
  120. 120. WPA, IEEE 802.11i (WPA2) e estes dois acrescidos pela emenda IEEE 802.11w
  121. 121. Permite simples extensão para redes abertas
  122. 122. provê autenticação automática
  123. 123. criptografia de informações na camada enlace sem o fornecimento de chaves pelos usuários</li></li></ul><li>OBRIGADO<br />Eduardo Ferreira de Souza<br />Paulo André da S. Gonçalves<br />efs@cin.ufpe.br<br />

×