TIW4 : INFORMATION INTRODUCTION À L AUTHENTIFICATION · ﬁxer la taille des chaînes pour chaque...

TIW4 : SÉCURITÉ DES SYSTÈMES D’INFORMATIONINTRODUCTION À L’AUTHENTIFICATION

[email protected]

http://liris.cnrs.fr/~rthion/dokuwiki/enseignement:tiw4

Master « Technologies de l’Information »

Romuald THION M2TI-TIW4 : chiffre – auth 1

http://liris.cnrs.fr/~rthion/dokuwiki/enseignement:tiw4

Applications

1 Authentification

2 Authentification par mot de passePrincipe généralAttaque des hashésRainbow tables

3 Protocoles cryptographiqueDes protocoles plus richesL’authentification à clef publiqueTransport Layer SecurityAutres protocoles cryptographiques

4 ConclusionLes attaquesLa cryptographie moderne


Applications

Authentification

DéfinitionL’authentification désigne le processus visant à vérifier qu’un entité(personne, service, machine) est bien légitime pour accéder ausystème.

Différences entreIdentification dire qui je suis (e.g., login)Authentification vérifier/prouver qui je suis (e.g., password)Autorisation vérifier si j’ai le droit


Applications

Authentification

Les facteurs de validationce que je sais (knowledge factors) : PIN, mot de pass,passphrase, question de sécuritéce que je possède (ownership factors) : carrte, clef usb,téléphone, jeton (logiciel), donglece que je suis (inherence factors) : empreintes digitales, rétine,voix, visage, ADN. On peut classer en morphologique,comportementale ou biologique.


Applications

Exemple d’authentification

Un protocole d’authentificationExemple sur un site de poker en ligne

1 enregistrement des données personnelles et choix login/pass2 vérification de l’email3 envoi RIB et carte d’identité par courrier sous 30j4 réception d’un code d’activation par courrier5 saisie du code


Applications

1 Authentification





Applications Passwords

1 Authentification






Authentification par mot de passe

Crédits LAURADOUX C.




Un protocole très simple1 A→ B : A, pw

2 B → A : 1 si 〈A, h(pw)〉 ∈ passwordtable

La table des mots de passe passwordtable

Le vérificateur stocke les paires 〈Ai, h(pwi)〉

maintainer:OYnL8rCBbf7rcedgar:C8Z6wDFKm5bV6patrick:58kk0mpCjpL9oedwin:.8cBf8RFZqfvIfrank:gvEFH2KSvYZS2jaap:NMS4yrkEfQz9cberend:2TtNSIebcgp0Q


Applications Attaque des hashés

1 Authentification






Attaque des mots de passe

Principe

on connaît h le hashé et l’algorithme a hash

on tâche de trouver pw tel que h = hash(pw)

a. Rappel : principe de Kerckhoff

Typologie de l’attaqueonline : on peut limiter le nombre, mettre un captcha, banniroffline : il faut que l’attaque la plus difficile (longue) possible

Comment parcourir intelligemment l’espace des mots de passe?Est-ce rentable de pré-calculer les hashés?


https://en.wikipedia.org/wiki/Kerckhoffs%27s_principle


Attaque des mots de passe

Méthodes de choix des mots à essayerforce brutedictionnaires (langue naturelle, jargon, ad hoc)heuristique (choix de mots probables vis-à-vis de règles)stockage de hashés pré-calculésstockage d’une partie des hashés pré-calculés (rainbow tables)

Quels sont les avantages et inconvénients de ces méthodes?

Outils : www.openwall.com/john et hashcat.netheuristiques : /etc/john/john.confgrand nombre de hash supportés


http://www.openwall.com/john/

https://hashcat.net/hashcat/



Comment rendre plus difficile l’attaque offline?

Définition du selLe sel est une données aléatoire non confidentielle ajoutée au mot depasse.

La table des mots de passe salés

Le vérificateur stocke les paires 〈Ai, si, h(pwi, si)〉

maintainer:ef$OYnL8rCBbf7rcedgar:01$C8Z6wDFKm5bV6patrick:45$58kk0mpCjpL9oedwin:a5$.8cBf8RFZqfvI...



Exemple : authentification Linux

Le fichier de stockage

Hashés stockés dans /etc/shadow, différentes méthodescrypt (DES) : h = DES(pass, 0...0 + sel), on stocke sel + h

$1$ (MD5) : h = MD5(pass + sel), on stocke sel + h

$2$ à $6$ : on utilise $6$

Example> mkpasswd -m sha-512 --salt abcdefgh$6$u2bvcyi0$76I3KxGizdl/PENw[...]4FUhEBcKcg.> openssl passwd -6 -salt abcdefgh[donne la même chose]



Solidité des mots de passe

Where Do Security Policies Come From?Dinei Florencio & Cormac Herley

Length CharSet Strength

6 N 19.96 LN 31.06 UL 34.26 ULNS 39.58 N 26.68 ULN 47.68 ULNS 52.7

10 N 33.210 L 47.010 ULNS 65.8

Site x̄ Strength

Top Traffic 19.9High Traffic 19.9Medium Traffic 8.3Financial 31.0Large Univ. 44.5Top CS dpts. 46.4Government 47.6

All .com 19.9All .edu 43.7All .gov 47.6



Etude de cas ’;-have i been pwned?

Liste https://haveibeenpwned.com/PasswordsSHA1 11.1GB (24.5GB décompressés)

> head -n 5 pwned-sha1-ordered-by-count-v5.txt7C4A8D09CA3762AF61E59520943DC26494F8941B:23547453F7C3BC1D808E04732ADF679965CCC34CA7AE3441:7799814B1B3773A05C0ED0176787A4F1574FF0075F7521E:39128165BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8:37304713D4F2BF07DC1BE38B20CD6E46949A1071F9D0E3D:3120735

> wc -l pwned-sha1-ordered-by-count-v5.txt555278657 pwned-sha1-ordered-by-count-v5.txt


https://haveibeenpwned.com/Passwords


CREATE TABLE pwned (hash t e x t NOT NULL," number " i n t 4 NOT NULL,CONSTRAINT pwnd_pk PRIMARY KEY ( hash ) −− / ! \

) ;

\COPY t e s t s . pwned ( hash , number ) FROM ’ pwned [ . . ] . t x t ’WITH DELIMITER ’ : ’ CSV;

CREATE OR REPLACE FUNCTION f ind_hash ( t e x t ) r e tu rns i n t AS $$SELECT numberFROM pwnedWHERE hash = upper ( encode ( d iges t ( $1 , ’ sha1 ’ ) , ’ hex ’ ) )

$$ LANGUAGE SQL STRICT STABLE;

SELECT f ind_hash ( ’ pa ta te ’ ) ;−− 15901−− (1 row )



La clef idéale

One Time Pad (OTP) ou chiffrement de Vernam (1917)

La clef doit être aussi longue que le messageElle doit être aléatoireElle doit être utilisée une unique fois

Le chiffrement parfait (intuition)Un cryptosystème sera dit chiffrement parfait lorsque la donnée d’unmessage chiffré ne révéle aucune fuite d’information sur la clef ou lemessage clair correspondant et aucune information non plus sur lestextes chiffrés futurs.



Quelles recommandations?

OWASP Authentication cheat sheetOWASP : password storage cheat sheet

Implement Proper Password Strength ControlsVoir Calculer la « force » d’un mot de passe ou zxcvbnImplement Secure Password Recovery MechanismStore Passwords in a Secure Fashion

Use a cryptographically strong credential-specific saltLeverage an adaptive one-way function (e.g., Argon2, Bcrypt)

Transmit Passwords Only Over TLS or Other Strong Transport (†)


https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html

https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html

https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/

https://github.com/dropbox/zxcvbn

Applications Rainbow tables

1 Authentification






Rainbow tables

Rainbow tablesinventées en 2003 par Philippe Oechslincompromis entre calculer tous les hashés, et les stocker tous

Principefixer la taille des chaînes pour chaque table (e.g., 1000)générer un mot de passe de départ, calculer son empreinteune fonction de réduction pour déterminer le prochain mot

Crédits CULICCHIA G., VAISSET A., TORILLEC O., NGUYEN HO T. (TI 2011-2012)



Rainbow tables

Collisions lors du chainage

Possible d’avoir le même hashé au milieu de deux chaînes différentes !

Pourquoi d’ailleurs? Quel est le problème que ça pose?



Rainbow tables

Solution changement de réduction

A chaque chaînage, on change de réduction. On utilise toujours lamême séquence de réductions (dans le même ordre) à partir de lagraine.


Protocoles

1 Authentification





Protocoles

Protocoles cryptographiques

Un protocole cryptographique utilise les briques :chiffrement symétriquechiffrement asymétriquehachagegénération de nombres aléatoires

pour garantir des propriétés de sécurité.

On va s’intéresser aux protocoles cryptographiques pourl’authentification ainsi que quelques applications.


Protocoles

Pourquoi utiliser la cryptographie asymétrique pourétablir une clef symétrique?

Symétriquesecret partagé : nécessite un canal sûralgorithmes simples : rapide à calculer

Asymétriqueclef publique : échange de clefs sans canal sûralgorithmes complexes : calculs coûteux

Conclusion : combiner les deuxasymétrique : authentification, détermination d’une clef symétriquesymétrique : chiffrement de la communication une fois établie

Et on renouvellera la clef symétrique (de session ou éphémère) àchaque nouvel échange (Perfect Forward Secrecy)


Protocoles Des protocoles plus riches

1 Authentification






Challenge-response authentication

Voir Challenge-response authentication et Simple Authentication andSecurity Layer (CHAP, SCRAM, . . . )

Crédits LAURADOUX C.


https://en.wikipedia.org/wiki/Challenge-response_authentication

https://en.wikipedia.org/wiki/Simple_Authentication_and_Security_Layer

https://en.wikipedia.org/wiki/Simple_Authentication_and_Security_Layer


Protocole de Needham-Schroeder

Protocole d’établissement de clef de session (Wikipedia)Existe en version symétrique (ici) et asymétrique

1 A→ S : A,B,NA

Alice s’identifie auprès du serveur et ajoute un nonce2 S → A : {NA,KAB, B, {KAB, A}KBS

}KAS

Le serveur génère une clef (symétrique) KAB

3 A→ B : {KAB, A}KBS

Alice transmet la clef à Bob qui peut la déchiffrer avec KBS

4 B → A : {NB}KAB

Bob montre à Alice qu’il détient bien la clef KAB

5 A→ B : {NB − 1}KAB

Alice montre qu’elle est active et qu’elle détient bien la clef


https://en.wikipedia.org/wiki/Needham-Schroeder_protocol

Protocoles L’authentification à clef publique

1 Authentification






Protocole de Needham-Schroeder

En version asymétrique

1 A→ S : A,B

2 S → A : {KPB, B}KSS(†)

3 A→ B : {NA, A}KPB

4 B → S : B,A

5 S → B : {KPA, A}KSS

6 B → A : {NA, NB}KPA

7 A→ B : {NB}KPB



Infrastructures de gestion des clefs

Problème de l’authentificationOn peut transmettre les clefs publiques sur un canal non sûr, maiscomment assurer effectivement qu’il s’agit du bon interlocuteur?

Solution : faire confiance à un tiers (de confiance)Certificats (X509) : l’autorité de certification (le tiers) produit uncertificat où il atteste (signe) :

l’identité du certifiéla clef publique du certifiéla date limite de validité de l’attestation. . .



Protocoles cryptographique

Crédits techblognow – X.509 Certificates – Explained


https://techblognow.wordpress.com/2015/02/20/x-509-certificates-explained/


L’authentification à clef publique

Propagation de la confiance

certificats X509 : hiérarchiePGP : graphe de confiance

Wikipedia – chain of trust


https://en.wikipedia.org/wiki/Root_certificate#/media/File:Chain_of_trust.svg


Protocoles cryptographique

Et à la racine, à quels tiers fait-on confiance?

Mozilla Included CA Certificate Listhttps://wiki.mozilla.org/CA/Included_Certificates

Démonstration, regardons un certificat


https://wiki.mozilla.org/CA/Included_Certificates

Protocoles Transport Layer Security

1 Authentification





Protocoles Transport Layer Security

Transport Layer Security

https://hpbn.co/transport-layer-security-tls/(crédits)


https://hpbn.co/transport-layer-security-tls/

Protocoles Autres protocoles cryptographiques

1 Authentification






Autres protocoles cryptographiques

Secure Shell (SSH)Mise en œuvre de la cryptographie asymétriqueCryptosystèmes utilisés : RSA, DSA, ECDSAPlusieurs utilisations :

comme application : exécution de commande, transfert de fichiercomme transport : tunneling

Authentification SSH sans mot de passeIl est possible de se passer de l’authentification par mot de passe :

Décrire comment procéderQuels sont les avantages et inconvénients de cette procédure?




PGP/GnuPGAuthentification, signature, (dé)chiffrementRéseau de confiance pair-à-pair web of trust (différent de SSL)Algorithmes utilisés :

Symétriques : CAST5, Camellia, 3DES, AES, Blowfish, Twofish.Asymétriques : ElGamal, RSA, DSAHachage : RIPEMD-160, MD5, SHA-1, SHA-2, and Tiger




Distinguer les clefs utilisées dans GPG (ex. no 96, Avoine et al.)

GPG utilise quatre clefs quand A souhaite signer et chiffrer le courrierpour B :

1 La clef k1 utilisée pour signer le contenu du courrier2 La clef k2 utilisée pour déchiffrer la clef de l’étape précédente3 La clef k3 utilisée pour chiffrer le contenu du courrier4 La clef k4 utilisée pour déchiffrer la clef de l’étape précédente

1 Quelles sont les clefs symétriques?2 Quand les clefs sont-elles générées?



Protocole Kerberos

Protocole d’authentification réseau client/serveurBasé sur les ticketsAuthentification mutuelle (client et serveur)Version 5 utilisée, après la 4 qui était faibleBasé sur Needham-Shroeder symétriqueExtension asymétrique possible (rfc4556)

Rôles dans le protocoleS ServeurC Client

AS Authentication ServerTGT Ticket-Granting ServerKDC Key Distrution Center = AS + TGT


http://tools.ietf.org/html/rfc4556


Kerberos



Kerberos

1 C → AS : un ticket à présenter à TGS ?demande de passe 3j de ski sur 4 domaines

2 AS → C : voici un ticket pour C à présenter à TGS.voici le passe (TGT) à présenter à l’arrivée dans un domaine

3 C → TGS : voici mon ticket de AS, un ticket pour S ?voici mon passe (TGT), je souhaite skier dans votre domaine

4 TGS → C : voici un ticket pour C à présenter à Cvoici votre passe (ST) pour notre domaine

5 C → S : voici mon ticket de TGS.voici mon passe (ST) pour votre domaine, puis-je utiliser cetteremontée?



Kerberos

C → AS : [C, TGS]

AS → C : [{KC,TGS}KC, {TC,TGS}KTGS

]où TC,TGS = [C, validity,KC,TGS ]

C → TGS : [S, {TC,TGS}KTGS, {AC}KC,TGS

]où AC = [C, timestamp]

TGS → C : [{KC,S}KC,TGS, {TC,S}KS

]où TC,S = [C, validity′]

C → S : [{AC}KC,S, {TC,S}KS

]

KC,TGS et KC,S sont les clefs (symétriques) de session ;KC est la clef (symétrique) de C ;KTGS est la clef (symétrique) du TGS ;KS est la clef (symétrique) de S ;TC,TGS est le TGT fourni par l’AS à présenter au TGS ;TC,S est le ST fourni par le TGS à présenter à S ;


Conclusion

1 Authentification





Conclusion Les attaques

1 Authentification






Attaques

This is a partial list of attacks on protocols :Known-key attack : attacker gains some keys used previously andthen uses this info to attack the protocol and possibly determinenew keys.Replay : attacker records a communication session and replayssome or all of it at a later time.Impersonation : attacker assumes the identity of one of thelegitimate parties in a network.Man-in-the-Middle : attacker interposes himself between twoparties and pretends to each to be the other.Interleaving attack : attacker injects spurious messages into aprotocol run to disrupt or subvert it.

Question : à quelle forme d’attaque le protocole deNeedham-Shroeder est-il vulnérable?



Les attaques

Vulnérable à une attaque par rejeu d’un message {KAB, A}KBS

obtenu lors d’un échange précédent : B va accepter la clef KAB sanssavoir si elle est fraîche (et donc potentiellement cassée) ou pas.

1 I(A)→ S : . . .

2 S → I(A) : . . .

3 I(A)→ B : {KAB, A}KBS

4 B → I(A) : {NB}KAB

5 I(A)→ B : {NB − 1}KAB


Conclusion La cryptographie moderne

1 Authentification






La cryptographie moderne

La cryptographie est un domaine de recherche très actif, dont lesrésultats peuvent modifier considérablement la société

Examples d’innovations

chiffrement homomorphique E(m1 + m2) = E(m1) + E(m2)

Cryptosystème de Paillier (1999)Fully homomorphic encryption scheme de Gentry (2009)

Private Information Retrieval (PIR)Identity-Based Encryption (IBE)Attribute-Based Ancryption (ABE)Functional Encryption (†)



Identity-based encryption (IBE)

Shamir, 1984 : Identity Based cryptosystems and signature schemes

Dan Boneh and Matt Franklin, 2001 : IBE from the Weil pairing Firstusable IBE schemes

Dan Boneh and Xavier Boyen, 2004 : Efficient selective-id secure IBEwithout random oracles



Références

Supports de Cédric Lauradoux (dont illustrations)Sécurité informatique – cours et exercices corrigés, Gildas Avoine,Pascal Junod et Philippe OechslinHandbok of Applied Cryptographyhttp://www.lsv.fr/Software/spore/index.htmlSecurity Protocol Open Repository


https://planete.inrialpes.fr/~lauradou/teaching.html

http://www.cacr.math.uwaterloo.ca/hac/

http://www.lsv.fr/Software/spore/index.html

TIW4 : INFORMATION INTRODUCTION À L AUTHENTIFICATION · ﬁxer la taille des chaînes pour chaque...

Documents

Transcript of TIW4 : INFORMATION INTRODUCTION À L AUTHENTIFICATION · ﬁxer la taille des chaînes pour chaque...