La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Authentification et identification 8 e cours Louis Salvail2014.

Présentations similaires


Présentation au sujet: "Authentification et identification 8 e cours Louis Salvail2014."— Transcription de la présentation:

1 Authentification et identification 8 e cours Louis Salvail2014

2 Définitions Identification : Permet de connaître lidentité dune entité. Le vérificateur vérifie linformation révélée par lentité par rapport à celles de toutes les entités connues. Lidentification doit être unique. Authentification : Permet de vérifier lidentité dune entité ayant émise une information. Un utilisateur montre quil cest bien Obélix à lorigine dune information. Lauthentification na pas à être unique. Lauthenticité dun utilisateur faisant partie dun groupe nest pas unique, car plusieurs identités sont du même groupe. Un utilisateur peut sauthentifier comme membre du groupe. Les deux termes sont souvent utilisés abusivement et sans les distinguer. Une signature permet didentifier le propriétaire dune clé publique. Kerberos (AS) identifie un utilisateur (avant de lui donner son premier ticket (ticket daccord de ticket). Kerberos (TGS) vérifie lauthenticité de lutilisateur avec lidentité identifiée par lAS.

3 Autrement dit: Identification: Lentité E est présente et active. Intégrité: Les données reçues ont été transmises par E et nont pas été modifiées. Authenticité: Identification et intégrité en même temps.

4

5 LIdentification Lidentification est le premier mécanisme de défense contre laccès aux ressources dun système informatique par une entité non autorisée. Un protocole didentification se déroule entre deux parties, le mandant («principal») P et le vérificateur V : P veut montrer à V quil/elle est bien celui/celle quil/elle prétend être. Un tel protocole a habituellement des imperfections : p fa est la probabilité pour V daccepter un mauvais P, p fr est la probabilité que V rejette P. Nous voulons p fa et p fr petits!!!

6 Comment Identifier Lidentification dune entité (personne, hôte, terminal intelligent, programme,...) peut être établie par la vérification de ce que lentité : est: car un environnement informatique na pas vraiment de caractéristiques uniques et non transférables. Nous verrons des méthodes pour y parvenir (biométrie). a : établit lidentité en vérifiant que lentité possède un jeton confirmant celle-ci. Une carte à puce avec de linformation secrète peut jouer ce rôle. Lhypothèse étant quune entité ne perd jamais son jeton, autrement son identité peut être subtilisée. connaît : établit lidentité à partir dune information secrète (NIP). La perte de cette information ne permet pas de subtiliser une identité. Cependant, le secret doit demeurer secret! Commençons par ici!

7 Indentification par mots de passe ou NIP Ces méthodes sont essentielles à la sécurité de plusieurs systèmes, et dans bien des cas le seul mécanisme de sécurité. Ils sont souvent le maillon faible, car ils doivent être retenus par les humains : Les utilisateurs choisissent des mots de passe qui sont faciles à retenir ou quils écrivent sur des documents accessibles... Il y au moins 4 points importants pour la sécurité des mots de passe : Comment sont-ils choisis? Comment les mots de passe sont-ils transmis entre lutilisateur et le vérificateur? Comment lutilisateur range-t-il son mot de passe? Comment le vérificateur range-t-il les mots de passe?

8 À propos des mots de passe Le nombre de NIP possibles à la banque est moindre que 10 4 = Les mots de passe UNIX sont quelques milliards de fois plus nombreux : Les mots de passe ne peuvent être trop longs. Ils doivent être mémorisés. Des études ont montré que 12 chiffres est le maximum que nous pouvons espérer entrer correctement....

9 À propos des mots de passe (II) Le nombre de mots de passe possibles nest pas une mesure de qualité. Nous devons nous préoccuper de la façon dont ils sont choisis : Les mots de passe qui peuvent être mémorisés sont beaucoup plus faciles à deviner que leur longueur le laisse croire. Une bonne idée est de retenir une «phrase de passe» au lieu dun mot et de nen retenir que quelques lettres. Exemple : «Ce mot de passe cest le mien»->«cmdpcelm». Des études ont montré que cette façon de procéder est presque aussi sûre que si le mot de passe était aléatoire, mais tout aussi facile à mémoriser que sils étaient choisis pour leur contenu.

10 À propos des mots de passe (III) Même si les phrases de passe ne sont pas utilisées, il est possible daider lutilisateur à rendre le système plus sûr : La plupart des systèmes demandent un changement fréquent des mots de passe (par le principe vu précédemment). Certains systèmes vérifient que le mot de passe nest pas sur une liste de «mauvais» mots de passe. Sil est mauvais, les systèmes refusent la modification. Ceci peut être amélioré en vérifiant que le nouveau mot de passe na pas été utilisé récemment et quil nest pas trop similaire au précédent. Dautres systèmes analysent et informent lutilisateur de la qualité de son mot de passe. Peut être une arme à double tranchant! Pour les mémoriser, nous les écrivons. Le résultat étant aussi de les rendre plus difficiles à mémoriser!

11 Faiblesses des guichets Faiblesses des guichets (cartes à bande magnétique) Comment le mot de passe/NIP est-il fourni au guichet? À labri des yeux indiscrets? Le compte est verrouillé après plus de trois échecs, mais les NIP sont courts. Sous quelle forme le mot de passe/NIP est-il acheminé à la banque? Chiffré Est-ce que la banque protège bien les mots de passe/NIP? Probablement? Beaucoup plus grave, jamais le guichet ne sauthentifie à ce pauvre Obélix...

12 Différentes attaques Même si un guichet verrouille un compte après 3 essais, ceci ne garantit pas limpossibilité dune attaque qui succède souvent: Supposons que César puisse créer des fausses cartes pour des clients réels. Il peut espérer entrer dans un compte de banque après avoir contrefait environ 3000 cartes : Pour chacune d'entre elles, 3 essais aléatoires sont effectués. Puisque les guichets ne sauthentifient pas, un faux guichet peut aussi voler les mots de passe et linformation sur la bande magnétique des cartes. Ce sont des attaques par mascarade. Dautres attaques peuvent, au lieu de donner accès à un compte, attaquer la disponibilité du service. Le verrouillage de comptes laisse place à ce type dattaques. La qualité du mécanisme qui verrouille les comptes dépend du modèle adopté pour les menaces de sécurité.

13 Accès à des ressources informatiques Le nombre de mots de passe doit être beaucoup plus grand que pour les guichets. Les attaques peuvent avoir beaucoup plus denvergure. Le stockage sûr des mots de passe sur le serveur est très important. Il est préférable de faire en sorte que même un super-utilisateur ne puisse connaître les mots de passe des utilisateurs. Il est possible de rendre lidentification plus sûre en ralentissant le processus au lieu de verrouiller la ressource. Laccès au serveur est plus facile quau guichet et les attaques peuvent être automatisées. Il est possible, depuis son salon, dattaquer des milliers de machines. Les façons daccéder au serveur sont multiples à partir dInternet. Même les administrateurs système peuvent être à risque. Les attaques automatisées seront donc beaucoup moins performantes.

14 Piratage psychologique Le vol de mots de passe à partir du disque de lutilisateur peut être facile sil y apparaît en clair. Dautres méthodes peuvent être utilisées pour voler des mots de passe (piratage psychologique, «social engineering») : À luniversité de Sydney, 336 étudiants ont reçu un courriel leur demandant de fournir leur mot de passe prétextant une validation de la base de données après une attaque soupçonnée. Beaucoup ont changé leur mot de passe, mais personne ne sest plaint. Hameçonnage («phishing») : Le pirate se fait passer pour un tiers de confiance dans le but de voler de linformation confidentielle. Ce type dattaque est très efficace. Les mécanismes de défense sont difficiles à trouver, il semble quinformer lutilisateur et la combinaison de mots de passe avec biométrie ou composantes matérielles soient les seules approches possibles.

15 Stockage des mots de passe De mauvais systèmes peuvent même stocker les mots de passe en clair. UNIX (et bien dautres) fait mieux : le fichier de mots de passe ne contient pas les mots de passe mais plutôt des entrées du type : : la fonction f ici est une fonction à sens unique. Celles-ci sont faciles à évaluer mais difficiles à inverser. Le système peut vérifier un mot de passe, mais le vol du fichier des mots de passe ne donne pas ceux-ci. Cependant, un adversaire qui croit avoir le mot de passe dun utilisateur peut le vérifier sil obtient une copie du fichier (ce qui nest pas trop difficile en UNIX). Cette attaque est réelle sur UNIX. Des programmes utilisent des dictionnaires pour former des mots de passe et vérifient sils apparaissent dans le fichier. 25% des mots de passe peuvent être devinés de cette façon si lutilisateur nest pas guidé. Doù la nécessité dorienter lutilisateur dans son choix!

16 Faiblesses de lidentification par mot de passe La vérification dun mot de passe nécessite que celui-ci soit présenté. Le vérificateur V peut aussi imiter P. Puisque V ne prouve pas son identité à P, un V* frauduleux peut apprendre le mot de passe de P pour ensuite limiter. Le mot de passe communiqué par P à V ne dépend pas du temps actuel. Ceci permet une attaque par redite... Nous verrons des méthodes qui permettent de régler certains de ces problèmes...

17 Sommaire sur les mots de passe Aider/forcer lutilisateur à choisir un bon mot de passe laidant à le mémoriser comme les phrases de passe. Informer les utilisateurs au sujet du piratage psychologique. Le système de vérification devrait limiter la possibilité de vérifier un mot de passe deviné. Sassurer que le système de vérification stocke les mots de passe dune façon sûre en utilisant le chiffrement ou la sécurité matérielle.

18 Sécurité matérielle Des dispositifs matériels peuvent aider à assurer la sécurité de bien des systèmes. Ils ne permettent pas seulement dempêcher le vol de clés, mais aussi de sassurer que certains paramètres de sécurité existent en une seule copie. Des systèmes bancaires en ligne sassurent que les clés secrètes pour les signatures du client sont stockées sur le disque de lutilisateur chiffrées avec un mot de passe. Ladversaire peut quand même réussir à subtiliser le fichier des clés secrètes chiffrées sans que le propriétaire le constate. Il a maintenant beaucoup de temps pour tenter de déchiffrer les clés en essayant des mots de passe et en testant leur validité à laide du fichier. Les cartes bancaires ont un problème similaire. La bande magnétique est très facile à copier. La bande magnétique ne contient pas dinformation sur le NIP. Mais ladversaire peut essayer de le deviner une fois quil a une carte. voler-copier- retourner!

19 Sécurité matérielle (II) Si la carte était à lintérieur dune unité matérielle à lépreuve des escrocs, alors lattaquant pourrait voler lunité, mais du temps et de largent seront nécessaires pour que lattaque réussisse. Pendant ce temps, le compte a de bonnes chances dêtre verrouillé. Il est donc intéressant de se doter dunités matérielles qui sont difficiles daccès. Il est probablement trop optimiste de croire quun système peut empêcher toutes les attaques, mais celles-ci peuvent être longues et coûteuses. La sécurité des systèmes nen serait quaméliorée. Les cartes à puce sont de ce type...

20 Cartes à puce Ces cartes ont leur propre processeur à bord, complet avec stockage, système dexploitation et logiciels inclus par le manufacturier. Elles viennent souvent avec un coprocesseur pour le chiffrement et même du matériel dédié implémentant RSA. Le stockage est protégé, nécessitant lutilisation du processeur pour accéder aux clés : Pour les utiliser, il est nécessaire davoir le NIP pour «ouvrir la carte» et passer par les protocoles de communication prévus. Les meilleures cartes ont des couches de protection sur le processeur et des unités de stockage qui rendent les attaques difficiles sans détruire les données de la carte. Sans être impossibles, les attaques demandent de lexpertise, du temps et des ressources.

21 Lintérieur dune carte EEPROM : Electrically Erasable Programmable Read-Only Memory Flash en est un type

22 Cependant! Lattaque la plus directe contre une carte à puce consiste à lattaquer physiquement dans le but dappendre la/les clés secrètes quelle contient. Boneh, DeMillo et Lipton (Bellcore) ont montré comment un adversaire qui pourrait introduire des erreurs de calcul dans une carte pourrait aussi apprendre les clés qui y sont rangées. Ladversaire peut y parvenir sans savoir exactement les erreurs produites, sans avoir le contrôle complet sur la nature des erreurs. En comparant le déchiffrement sans erreur avec le déchiffrement avec erreur, ladversaire apprend des choses sur la clé. Comment produire des erreurs? Fluctuations de température, du voltage, de lhorloge interne, bombarder la carte de radiation, frapper dessus avec un marteau en caoutchouc. Généralisé par Biham et Shamir : Differential Fault Analysis Généralisé par Biham et Shamir : Differential Fault Analysis On the Importance of Checking Cryptographic Protocols for Faults

23 Attaques par analyse de puissance Les cartes à puce ont besoin dune source de courant externe pour fonctionner. Lanalyse du courant requis pour exécuter une tâche peut dévoiler de linformation secrète. Considérons lalgorithme standard/naïf pour le déchiffrement RSA. Il visite chacun des bits de d (secret) : Il exécute une opération si le bit courant de d est 0. Une multiplication, une division. Il exécute une autre opération sil est 1. Deux multiplications, une division et une soustraction. À chaque cycle, le courant requis pour un bit de d égal à 0 nest pas le même que pour un bit égal à 1. Cette différence peut être mesurée et les bits de d déterminés.

24 Autres composantes matérielles Dautres unités sont beaucoup plus difficiles à attaquer. Elles ne sont pas des cartes à puce, sont beaucoup plus coûteuses et sont encombrantes. Par exemple, le IBM 4758 a été certifié par ladministration américaine au niveau le plus élevé de sécurité. Ses mécanismes de protection sont à loeuvre à tout instant et vont détruire linformation aussitôt une attaque détectée. Il a son processeur, sa batterie et exécute les tâches cryptographiques. Utilisées par les banques (stockage de NIP), CA (stockage de ses clés secrètes) pour les certificats. Personne nest parvenu à lattaquer avec succès. pas tout à fait vrai!!!!! nous verrons...

25 Attention La formule qui dit que la force dune chaîne nexcède pas celle de son maillon le plus faible est utile ici : Le meilleur matériel est bien inutile si le système qui lutilise peut être trompé. Supposons que mon PC soit équipé dun lecteur de cartes à puce pour les signatures avec clé secrète sur la carte. Même sil est très difficile dobtenir la clé à partir de la carte seule, est-ce que le logiciel que jutilise est intègre? Un message frauduleux me demandant de fournir mon NIP, pour ensuite utiliser la carte à sa guise. Par exemple, lui demandant de signer nimporte quoi!!!!!

26 Biométrie Il sagit de systèmes qui identifient une personne en fonction de ses caractéristiques biologiques. Ces systèmes balayent les empreintes digitales et/ou les yeux et/ou le visage et/ou la voix. Ils fonctionnent tous selon les mêmes principes. Les caractéristiques physiques sont mesurées et sont ensuite converties sous forme numérique. Un ordinateur a de la difficulté à reconnaître les patrons et les mesures sont sujettes au bruit. Il faut donc trouver une façon de les convertir pour que les bonnes personnes soient acceptées la plupart du temps et les mauvaises soient rejetées presque toujours. Des systèmes fiables sont sur le marché pour les empreintes digitales et liris. Las Vegas repère les joueurs non autorisés de cette façon. Cest de lidentification malgré nous! (la figure est analysée dans ce cas)

27 Biométrie (II) Quel avantage liris offre par rapport aux empruntes digitales?

28 Biométrie (III) Lavantage de la biométrie est quelle ne demande pas à lutilisateur de mémoriser un mot de passe, car celui-ci transporte son «mot de passe». Le problème, cest que ceci peut mener à des problèmes de respect de la vie privée : Nous pouvons demeurer anonymes en fournissant un mot de passe; cest impossible avec les méthodes biométriques. On entend souvent dire que la biométrie peut remplacer les CAM. Ceci est certainement faux, car il nexiste aucun lien entre une empreinte et un message. La réception dune empreinte et dun message ne prouve absolument rien. Ce que la biométrie permet, en plus de lidentification, cest un meilleur contrôle daccès à votre clé privée. La base de données biométriques doit être protégée contre les modifications. Si elles sont à un autre endroit que lunité, la communication doit être authentifiée (et probablement aussi chiffrée)...

29 Impossible à court-circuiter? Pour que les mécanismes de protection permettant daccéder aux ressources soient utiles, encore faut-il que ladversaire ne puisse les court-circuiter. Si la ressource est une clé et le mécanisme est une boîte sûre, alors il suffit dy déposer la clé et de sassurer quelle ne puisse ressortir! Une boîte qui range les clés de façon sûre ne doit jamais retourner la clé à moins quelle ny soit forcée. La situation est beaucoup plus délicate si une telle boîte nest pas disponible. Cest la situation lorsque la sécurité est demandée à partir dun PC ordinaire...

30 Un cas fréquent Supposons que votre clé privée RSA nest accessible que si le bon mot de passe est fourni. Puisque cette clé ne peut être protégée par une unité matérielle, il faut la ranger chiffrée avec le mot de passe comme clé. Un problème est quun mot de passe nest pas une chaîne de 128 bits aléatoires comme les clés AES (par exemple). Le hachage peut aider ici, si le mot de passe est mp et h est une fonction de hachage standard, alors la clé SK est chiffrée par E h(mp) (SK). Le problème cest que le nombre de mots de passe possibles est bien moindre que !!

31 Briser le chiffrement de clés sans briser AES Fichier Clés : E h(mp) (SK) essayer un nouveau mot de passe possible h(mp* ) déchiffreur AES (S*,PK) une paire RSA? S* Un truc contre ce type dattaques : Ralentir lévaluation de h() : h(mp)= SHA(SHA(SHA(SHA(...SHA(mp)...)))) où le nombre ditérations de SHA peut aller jusquà quelques milliers. PK est la clé publique de lutilisateur clé secrète RSA

32 Identification par défis Ce type de protocoles didentification vérifie que P connaît une information secrète sans que celle-ci soit communiquée à V. Linteraction est nécessaire pour empêcher les attaques par redites. Ces protocoles peuvent être utilisés pour vérifier quun protocole déchange de clés secrètes a fonctionné comme prévu. Ces protocoles peuvent être construits à partir : dune clé secrète pour un système de chiffrement symétrique, dune clé privée correspondant à une certaine clé publique pour un système de chiffrement asymétrique, dune clé privée correspondant à une certaine clé publique pour un système de signature.

33 Authentification de clés secrètes Lidentification mutuelle entre P et V qui partagent une clé secrète K pour un système de chiffrement symétrique E K (.).KK tire au hasard un r O aléatoire pige r A aléatoire C A =E K ( ) C B =E K ( ) accepte si D K (C A ) contient Obélix et r O. accepte si D K (C B ) contient Astérix et r A. Notez quun tel système ne permet pas de distinguer Astérix dObélix!!! appelé «nonce»

34 Authentification de clés publiques (par chiffrement) V identifie P en vérifiant quil possède la clé secrète SK associée à la clé publique PK. Le chiffrement à clé publique E PK (.) et le déchiffrement associé D SK (.) sont utilisés.SKPK C A =E PK ( ) rArA tire au hasard un r A aléatoire déchiffre D SK (C A ) et extrait r O =r A pour autant quAstérix y figure. accepte si r A est reçu. nonce P : :V Lhomme du milieu ne peut que retransmettre Lhomme du milieu ne peut que retransmettre Les nonces empêchent les redites. Les nonces empêchent les redites. Lhomme du milieu ne peut que retransmettre Lhomme du milieu ne peut que retransmettre Les nonces empêchent les redites. Les nonces empêchent les redites.

35 Authentification de clés publiques (par signature) V identifie P en vérifiant quil possède la clé secrète SK associée à la clé publique PK. La signature à clé publique SSK(.) et la vérification associée VPK(.) sont utilisées.SKPK P : :V rArA )> tire au hasard un r A aléatoire accepte si V PK (s) est une signature de r A. noncenonce

36 Pour et contre de lidentification par défis Lavantage premier de ces méthodes est que le secret nest jamais donné en clair au vérificateur. Les attaques par mascarade sont éliminées. Les défis permettent de se prémunir contre les redites. Cependant, ils demandent de linteraction entre les parties. Ces systèmes demandent aussi une puissance de calcul au mandant («principal»). Ils doivent donc résider sur ordinateurs ou cartes à puce. Dans les deux cas, un système didentification par mots de passe doit permettre un contrôle daccès au matériel.

37 Petits problèmes (I) Considérez les deux approches suivantes pour lidentification : u 1,PK 1 u 2,PK 2 u 3,PK 3 :. u n,PK n SIGN E u 1,f(mp 1 ) u 2,f(mp 2 ) u 3,f(mp 3 ) :. u n,f(mp n ) UNIX r Obélix S sk ( ) Obélix,m p Q1 : Considérez un adversaire passif qui écoute les communications et tente de le personnifier. Comparez la sécurité des deux approches si les transmissions ne sont pas chiffrées. Si elles sont chiffrées? Q2 : Considérez un adversaire qui peut sintroduire sur les serveurs et lire linformation des fichiers. Comparez la sécurité des deux approches si ladversaire peut seulement lire. Sil peut modifier les fichiers? Q3 : Quelle solution favoriseriez-vous en général (en incluant les attaques qui permettent à ladversaire de sintroduire sur les serveurs)?

38 Petits problèmes (II) La fonction à sens unique dUnix pour chiffrer les mots de passe est une version modifiée de DES sans clé secrète. Une caractéristique est que la fonction est beaucoup beaucoup plus lente que DES. Pourquoi? Dans bien des cas, le fichier de mots de passe ne range pas simplement (u,f(mp u )) mais plutôt (u,r u,f(mp u ||r u )). Pourquoi? Cette technique est appelée «random salt» ou «salage aléatoire».

39 Salage Unix Le mot de passe est «chiffré» par une modification de DES k : DES k. Par le passé, le salage était formé de deux caractères : (S1,S2), il y a au total 4096=64*64 possibilités pour S1 et S2. Aujourdhui, le salage est de 24 bits sur bien des plates-formes UNIX. Le fichier ressemble à ceci : login, DES S1||S2||mp (0), no. utilisateur, no. groupe, maison, programme initial login, DES S1||S2||mp (0), no. utilisateur, no. groupe, maison, programme initial

40 Petits problèmes (III) Pour les systèmes de banque à domicile («home banking»), la clé privée de lutilisateur peut être rangée sur une carte à puce. La carte doit être insérée dans un lecteur connecté au PC. Elle est activée après avoir entré un NIP. Quand une signature numérique doit être générée, le PC hache le message et la valeur hachée est transmise à la carte. La carte retourne ensuite la signature au PC. Certaines cartes ont un clavier pour entrer le NIP. Dautres nen ont pas. Lutilisateur entre le NIP sur le PC et celui-ci le transmet à la carte. Quest-ce que ladversaire doit faire pour attaquer la sécurité de la carte dans les deux cas? Quels problèmes peuvent survenir si le logiciel qui calcule le hachage est attaqué par un virus par exemple? Des systèmes demandent le NIP pour chaque message signé, lutilisateur doit explicitement confirmer la signature dun nouveau message. Est-ce que ceci règle le problème précédent? Supposons que les clés privées soient rangées sur une unité matérielle connectée à un serveur. Lutilisateur doit sauthentifier auprès de lunité pour quelle utilise ses clés pour signer. Comparez la sécurité de ce système au précédent.


Télécharger ppt "Authentification et identification 8 e cours Louis Salvail2014."

Présentations similaires


Annonces Google