Mobiele security protocollen Sjouke Mauw

http://www.win.tue.nl/˜sjouke/ ECSS group Technische Universiteit Eindhoven

(c) S. Mauw, TU/e, 2004 – p.1/25

Eindhoven Computer Science Security group
Fundamenteel: Wat is een virus? Wat is authenticatie? Wat is privacy? Veiligheid van mobiele software agents. Toegepast: Verificatie van security protocollen. Side-channel aanvallen op smartcards. Digital Rights Management. Veilig bewerken van documenten.

(c) S. Mauw, TU/e, 2004 – p.2/25

Overzicht van de voordracht
Motivatie. Security protocollen. Voorbeelden: – Geheimhoudingsprotocol. – Geheimhoudingsprotocol zonder gemeenschappelijke sleutel. – Needham-Schroeder protocol. – Mig-in-the-middle attack. – Draadloze netwerken. – RFID. Conclusies.

(c) S. Mauw, TU/e, 2004 – p.3/25

Motivatie
“Security protocols are three-line programs that people still manage to get wrong.” (Roger Needham) Security protocol = regels voor het uitwisselen van informatie om een veiligheidsdoel te bereiken.

(c) S. Mauw, TU/e, 2004 – p.4/25

Veiligheidsdoelen
geheimhouding

authenticatie (communicatiepartner bewijst identiteit) ondertekening beschikbaarheid (van informatie of een dienst) non-repudiation (deelname is niet te ontkennen) anonimiteit

(c) S. Mauw, TU/e, 2004 – p.5/25

Mobiliteit
Kwetsbare verbindingen. Geen fysieke bescherming. Dynamische netwerktopologie. Geen centraal management. Heterogeen communicatiepad. Beperkte reken/geheugencapaciteit.

(c) S. Mauw, TU/e, 2004 – p.6/25

Voorbeeld: geheimhoudingsprotocol
Verzender: stop geheim in een doos sluit af verstuur Ontvanger: ontvang ontsluit doos haal geheim eruit

(c) S. Mauw, TU/e, 2004 – p.7/25

Diagram van het geheimhoudingsprotocol
sleutel k zender sleutel k ontvanger

geheim g {g}k geheim g

(c) S. Mauw, TU/e, 2004 – p.8/25

Diagram van het geheimhoudingsprotocol
sleutel k zender sleutel k ontvanger

geheim g {g}k geheim g

Vereist gemeenschappelijke sleutel. Hoe wissel je die uit?

(c) S. Mauw, TU/e, 2004 – p.8/25

Geheimhoudingsprotocol zonder gemeenschappelijke sleutel
sleutel k zender sleutel l ontvanger

geheim g {g}k {{g}k }l {g}l geheim g

(c) S. Mauw, TU/e, 2004 – p.9/25

Aanval op geheimhoudingsprotocol
sleutel k zender sleutel m postbode sleutel l ontvanger

geheim g {g}k {{g}k }m {g}m g gestolen

(c) S. Mauw, TU/e, 2004 – p.10/25

Aanval op geheimhoudingsprotocol
sleutel k zender sleutel m postbode sleutel l ontvanger

geheim g {g}k {{g}k }m {g}m g gestolen

Helaas: het is niet mogelijk geheime boodschappen uit te wisselen als je niet eerst iets met elkaar afspreekt.

(c) S. Mauw, TU/e, 2004 – p.10/25

Voorbeeld: authenticatieprotocol van Needham-Schroeder
Protocol voor wederzijdse authenticatie van twee partijen (slechts drie regels!).
I R

nonce ni {i, ni}P Kr nonce nr {ni, nr}P Ki {nr}P Kr

(c) S. Mauw, TU/e, 2004 – p.11/25

Voorbeeld: authenticatieprotocol van Needham-Schroeder
Protocol voor wederzijdse authenticatie van twee partijen (slechts drie regels!). Ontworpen in 1978.

(c) S. Mauw, TU/e, 2004 – p.11/25

Voorbeeld: authenticatieprotocol van Needham-Schroeder
Protocol voor wederzijdse authenticatie van twee partijen (slechts drie regels!). Ontworpen in 1978. Veel (commerciële) implementaties erop gebaseerd.

(c) S. Mauw, TU/e, 2004 – p.11/25

Voorbeeld: authenticatieprotocol van Needham-Schroeder
Protocol voor wederzijdse authenticatie van twee partijen (slechts drie regels!). Ontworpen in 1978. Veel (commerciële) implementaties erop gebaseerd. Correct bewezen in 1989 met behulp van wiskundige logica.

(c) S. Mauw, TU/e, 2004 – p.11/25

Voorbeeld: authenticatieprotocol van Needham-Schroeder
Protocol voor wederzijdse authenticatie van twee partijen (slechts drie regels!). Ontworpen in 1978. Veel (commerciële) implementaties erop gebaseerd. Correct bewezen in 1989 met behulp van wiskundige logica. Aanval gevonden in 1996 door Gavin Lowe.
Intruder a: I(a,m) (m) (a) b: R(a,b) na {a, na}P Km {a, na}P Kb nb {na, nb}P Ka {na, nb}P Ka {nb}P Km {nb}P Kb

(c) S. Mauw, TU/e, 2004 – p.11/25

Voorbeeld: authenticatieprotocol van Needham-Schroeder
Protocol voor wederzijdse authenticatie van twee partijen (slechts drie regels!). Ontworpen in 1978. Veel (commerciële) implementaties erop gebaseerd. Correct bewezen in 1989 met behulp van wiskundige logica. Aanval gevonden in 1996 door Gavin Lowe. Reden: er was geen rekening gehouden met oneerlijke protocoldeelnemers → man-in-the-middle attack

(c) S. Mauw, TU/e, 2004 – p.11/25

Voorbeeld: Mig-in-the-middle attack
Angola

ZA

ch alle ng e

(c) S. Mauw, TU/e, 2004 – p.12/25

Voorbeeld: Mig-in-the-middle attack
Angola

ch alle ng e
? ZA

(c) S. Mauw, TU/e, 2004 – p.12/25

Voorbeeld: Mig-in-the-middle attack
Angola

ZA

ch alle ng e

Angola

ZA

(c) S. Mauw, TU/e, 2004 – p.12/25

Voorbeeld: Mig-in-the-middle attack
Angola

ZA

ch alle ng e

Angola

ZA

(c) S. Mauw, TU/e, 2004 – p.12/25

Voorbeeld: Mig-in-the-middle attack
Angola

ZA

ch alle ng e

Angola

ZA

(c) S. Mauw, TU/e, 2004 – p.12/25

Voorbeeld: Mig-in-the-middle attack
Angola

ZA

ch

e

alle

ons

ng

resp

e

Angola

ZA

(c) S. Mauw, TU/e, 2004 – p.12/25

Voorbeeld: Mig-in-the-middle attack
Angola

ZA

ch

e

alle

ons

ng

resp

e

Angola

ZA

(c) S. Mauw, TU/e, 2004 – p.12/25

Voorbeeld: Mig-in-the-middle attack
Angola

ZA

ch

e

alle

ons

ng

resp

e

Angola

ZA

(c) S. Mauw, TU/e, 2004 – p.12/25

Voorbeeld: draadloze netwerken
Mobiel werken, geen draden trekken, goedkoop, status. Populairste standaard: 802.11 (WiFi, WLAN). Op meerdere manieren kwetsbaar: Afluisteren. Inbreken op netwerk. Ongeoorloofd gebruik maken van resources. Denial-of-service aanval. Inbreken op PC met netwerkkaart.

(c) S. Mauw, TU/e, 2004 – p.13/25

¡                                                

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡  

¡  

¡

¡                                              

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡  

¡  

¡  

¡

¡                                            

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡  

¡  

¡  

¡  

¡

¡                                          

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡  

¡  

¡  

¡  

¡  

¡

¡                                        

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡  

¡  

¡  

¡  

¡  

¡  

¡

¡                                      

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡

¡                                    

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡

¡                                  

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡

¡                                

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡  

¡  

¡

¡

¡      

¡  

¡  

¡  

¡  

¡  

¡

¡                              

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡  

¡  

¡  

¡

¡

¡      

¡  

¡  

¡  

¡  

¡  

¡

¡                            

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡  

¡  

¡  

¡  

¡

¡

¡      

¡  

¡  

¡  

¡  

¡  

¡

¡                          

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡  

¡  

¡  

¡  

¡  

¡

¡

¡      

¡  

¡  

¡  

¡  

¡  

¡

¡                        

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡  

¡  

¡  

¡  

¡  

¡  

¡

¡

¡      

¡  

¡  

¡  

¡  

¡  

¡

¡                      

¡

¡

¡

¡

¡

¡

¡

¡

¡

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡

¡

¡      

¡  

¡  

¡  

¡  

¡  

¡

¡                    

¡

¡

¡

¡

¡

¡

¡

¡

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡

¡

¡      

¡  

¡  

¡  

¡  

¡  

Draadloze communicatie
¡

Lokaal netwerk

¡                  

¡

¡

¡

¡

¡

¡

¡

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡

¡                

¡

¡

¡

¡

¡

¡

¡

¡    

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡

¡              

¡

¡

¡

¡

¡

¡

¡

¡      

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡

¡            

¡

¡

¡

¡

¡

¡

¡

¡        

¡  

¡  

¡  

¡  

¡  

¡  

¡

¡

¡      

¡  

¡  

¡  

¡  

¡  

¡  

¡  

Access point

¡

¡          

¡

¡

¡

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡

¡

¡      

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡

¡        

¡

¡

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡

¡

¡      

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡

¡      

¡

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡  

¡

¡

¡      

¡  

¡  

¡  

¡  

¡  

¡  

¡  

Firewall

¡

Mobiele computer

Boze buitenwereld

(c) S. Mauw, TU/e, 2004 – p.14/25

Aanvallen en verdedigen
Draadloze netwerken vaak opgezet door ondeskundigen → geen veiligheidsinstellingen (en b.v. default passwords). Standaardinstelling: access point toont identificatiegegevens aan wie maar wil. Bescherming: gebruik WEP (Wireless equivalency protocol), maar WEP heeft (cryptografische) fouten. Na afluisteren van een paar miljoen pakketjes kan de encryptiesleutel berekend worden. Bescherming: beperk toegestane computers (dmv. MAC adres), maar een MAC adres kan gespoofd omdat ze onversleuteld verstuurd worden.

(c) S. Mauw, TU/e, 2004 – p.15/25

Aanvallen en verdedigen (vervolg)
Bescherming: detecteer vreemde zaken op netwerk, bijvoorbeeld dubbel gebruik van zelfde MAC. Bescherming: houd bij welk type netwerkkaart bij welke MAC hoort. Bescherming: gebruik VPN (Virtual Private Network), maar aan te vallen met man-in-the-middle attack.

(c) S. Mauw, TU/e, 2004 – p.16/25

Aanvallen en verdedigen (vervolg)
Aanval: Denial-of-service attack – 2,4 GHz (magnetron, babyfoon, . . . ) – Overspoelen met dis-associatieboodschappen. Aanval: Neem een laptop van een afstand over door hem te dwingen zelf een access point te worden. Verdediging: monitor al het draadloze netwerk verkeer.

(c) S. Mauw, TU/e, 2004 – p.17/25

Bereik

(c) S. Mauw, TU/e, 2004 – p.18/25

War driving in Eindhoven
War driving = rondrijden met een laptop (eventueel signaalversterker) om kwetsbare draadloze netwerken te vinden.

(c) S. Mauw, TU/e, 2004 – p.19/25

War driving in Eindhoven
War driving = rondrijden met een laptop (eventueel signaalversterker) om kwetsbare draadloze netwerken te vinden. 7 gebieden. 160 netwerken 60% niet beveiligd (waarvan 5 met opzet). In enkele gevallen geprobeerd in te breken – Anoniem toegang tot internet. – Soms toegang tot lokaal netwerk (voorbij de firewall). 5 van de 15 beveiligde netwerken gekraakt.

(c) S. Mauw, TU/e, 2004 – p.19/25

In het algemeen geldt:
Om een draadloos netwerk aan te vallen hoef je alleen maar een aantal tools van internet te plukken (script kiddies). Maar om een veilig draadloos netwerk op te zetten heb je veel kennis nodig die je steeds moet updaten.

(c) S. Mauw, TU/e, 2004 – p.20/25

Voorbeeld: RFID tags
RFID = Radio Frequency Identification. Mobiele microchip antwoordt op electromagnetische verzoeken. Geen batterij, weinig mogelijkheden. Wordt goedkoop (25 cent, vervanging van diefstallabels, streepjescodes). Wasbaar (kleding), vouwbaar (geld). Uniek 64-bits nummer.

(c) S. Mauw, TU/e, 2004 – p.21/25

RFID: mogelijke problemen
Link kledingstuk aan creditcard (winkel herkent je aan je kleren). Inbreker zoekt dure apparatuur. Overheid kent iemands route/locatie. Kortom: privacy. Uitdaging: Ontwikkel protocollen die anonimiteit (of pseudonimiteit) garanderen.

(c) S. Mauw, TU/e, 2004 – p.22/25

Ontwikkelingen
Mobile IP (RFC 2002). Vast IP adres versus variabel “care-of” IP adres. Zero configuration networks. Authenticatie zonder initiële infrastructuur. Mobile e-commerce protocols. Mobile ad hoc networking. Spontane dynamische netwerken.

(c) S. Mauw, TU/e, 2004 – p.23/25

Conclusies
Security protocollen zijn essentieel onderdeel van veilige systemen. Fouten in protocollen voorkomen → gebruik formele methoden. Fouten in implementatie van protocollen voorkomen → testen, Common Criteria. Ontwerpers moeten zich bewust zijn van veiligheidsdoel en mogelijke aanvallen.

(c) S. Mauw, TU/e, 2004 – p.24/25

(c) S. Mauw, TU/e, 2004 – p.25/25

Sign up to vote on this title
UsefulNot useful