הגנה במערכות מתוכנתות תרגיל בית מס' 3 הגשה: עד יום ב, 23:55 05/06/2017, הגשה ביחידים

Transkripsi

1 הפקולטה למדעי המחשב הטכניון - המכון הטכנולוגי לישראל הגנה במערכות מתוכנתות תרגיל בית מס' 3 הגשה: עד יום ב, 23:55 05/06/2017, הגשה ביחידים סמסטר אביב תשע"ז חל איסור חמור על החזקת פתרונות של סטודנטים אחרים. על כל סטודנט לרשום את תשובותיו עצמאית ובמילותיו שלו. נא להגיש את התרגילים אלקטרונית בלבד בנוגע לשאלות 1-2 נא לפנות לג'ליל (jalilm@cs) בנוגע לשאלות 3-4 נא לפנות לאסתר (esterliv@cs) שאלה 1 חתימות דיגיטליות ופונקציות תמצות: תארו כיצד מבוצעת חתימה דיגיטלית באמצעות RSA עם פונקציית תמצות. ציינו יתרון שאיננו קשור לאבטחת מידע חתימה דיגיטלית ללא פונקציית תמצות). בשימוש בפונקציית תמצות במהלך חתימה דיגיטלית (לעומת ציינו כיצד שימוש בפונקצית תמצות, שאינה מתוכננת נכון, עלול להחליש מבחינה אבטחתית את החתימה הדיגיטלית. בסעיפים הבאים נתייחס לבטיחות סכמות חתימה שונות. מומחה אבטחת מידע מעוניין לתכנן מערכת שתחתום על קבצים גדולים במיוחד. המומחה טען כי חישוב תמצית על קובץ גדול עלול לקחת זמן רב מידי, ולכן תכנן את אלגוריתם החתימה הבא. יהא M הקובץ הגדול עליו יש לחתום. נחלק תחילה את הקובץ לבלוקים של 64 ביט באופן הבא: כאשר + m הינו בלוק של 64 ביט במקום המתאים בקובץ. כעת, נבצע את הפעולות הבאות: M = m $ m % m & m ( נפעיל פונקציית XOR על הביטים של הבלוקים כך: ( m X.X = m $ m % m & הינו בלוק בן 64 ביט המייצג את תוצאת החישוב. נחשב תמצית של X עם פונקציית תמצות קריפטוגרפית בטוחה h. = H X H: נחשב את חתימת ה- RSA על h. מומחה אחר הציע להפוך את סדר פעולות התמצות וה- XOR כך: לכל בלוק +,m נחשב תמצית של הבלוק ) + H(m.h + = נחשב ( h.h = h % h & נחשב את חתימת ה- RSA על h. ה) מומחה אחר הציע את השינוי הבא:

2 לכל בלוק +,m נחשב i).h + = H(m + נחשב ( h.h = h % h & נחשב את חתימת ה- RSA על h. ו) מומחה נוסף הציע את השינוי הבא. נחשב.(M הינו היפוך הביטים של M (כאשר h = H(M) H(M) נחשב את חתימת ה- RSA על h. ז)

3 שאלה 2 בקרת כניסה: יוסי שם לב שבתקופה האחרונה, הרבה משקי בית שוקלים למחזר משכנתאות בין בנקים שונים. היות שהוא מחפש רעיון לחברת סטארט-אפ, הוא החליט לפתח תוכנה אשר תרכז את כל המידע מכל הבנקים במקום אחד ותיתן ללקוח המלצות על בסיס המידע האישי שלו, איך לנהל את המשכנתאות שלקח כדי לחסוך בעלויות. אב הטיפוס שיוסי פיתח, מבוסס על כך שהתוכנה שלו תדרוש מכל משתמש שמעוניין בשירות לספק את שם המשתמש והסיסמא של כל אחד מחשבונות הבנק שלו. לאחר ההשקה ולמרות שאב-הטיפוס עבד כמו שצריך ואלגוריתם ההמלצה הביא לחסכון עבור משתמשי המבחן שלו, יוסי שם לב שהרבה משתמשים מגיעים לאתר של התוכנה, מעיינים במידע לגבי התוכנה, אך נרתעים מליצור חשבון. מה הם חסרונות מנגנון בקרת הכניסה שיוסי השתמש בו, אשר יכולים להסביר את התנהגות המבקרים באתר? מנה 3 חסרונות והסבר אותם. לאחר שהבין שהלקוחות מוותרים על השירות עקב חסרונות מנגנון בקרת הכניסה, פנה יוסי לחברו מוטי על מנת שייעץ לו. מוטי בהיותו חוקר נודע בתחום אבטחת המידע, המליץ לו להשתמש במנגנון ה"תקני" הבא: כאשר לקוח מעוניין לאפשר לשירות של יוסי לקבל גישה לנתונים שלו. הלקוח פונה לבנק ומזדהה באמצעות פרוטוקול,EKE ומציין שהוא מעוניין לאפשר לשירות של יוסי גישה לנתונים שלו. לאחר ההזדהות הבנק יספק ללקוח כרטיס גישה, הכרטיס מכיל את שם הלקוח, תאריך תוקף של שבוע מעת ההנפקה וקוד אימות המאמת את הכרטיס. הבנק לא שומר אצלו רישום של הפעולה..1.2 Ticket=<customer_name, expiration_date, verification_code> 3. הלקוח יעביר את הכרטיס שקיבל מהבנק לשרת של יוסי. 4. אשר השירות של יוסי רוצה לגשת למידע של הלקוח הוא קודם כל מזדהה בתור יוסי באמצעות פרוטוקול EKE ואז מעביר לבנק את הכרטיס שקיבל מהלקוח. רק לאחר שהבנק מאמת גם את ההזדהות וגם את הכרטיס, הוא יאפשר גישה למידע של הלקוח. להלן תיאור סכמתי של המנגנון שהציע מוטי: ציין חסרון שיש לשיטה הנ"ל לעומת השיטה הקודמת מבחינת הבנק והסבר. יוסי הצליח לשכנע את מוטי שהמנגנון חשוף להתקפת שידור חוזר, למרות שפרוטוקול הכניסה EKE אינו חשוף לשידור חוזר. תאר את ההתקפה והסבר מדוע היא אפשרית. יוסי טוען שהצפנת הכרטיס ע"י הבנק לפני שליחתו ללקוח באמצעות master_enc_key הידוע רק לבנק, תפתור את בעיית השידור החוזר, היות שכעת התוקף לא יכול להבין את הכרטיס ולכן לא יצליח לבצע את ההתקפה. האם הוא צודק? אם כן, הסבר איך ההצפנה מונעת את ההתקפה. אם לא, תאר איך לבצע את ההתקפה למרות ההצפנה.

4 ה) ו) מוטי טוען שאפשר למנוע את התקפת השידור החוזר, מבלי שהכרטיס יוצפן בכלל במהלך הפרוטוקול וזאת ע"י שינוי מבנה הכרטיס. תאר את השינוי הנדרש כדי לענות על טענתו של מוטי והסבר איך השינוי שהצעת פותר את הבעיה. מוטי ויוסי לא הצליחו להסכים על אופן יצירת קוד האימות שבכרטיס. מוטי טוען שמספיק להשתמש בפונקציית אימות,(MAC) לעומתו יוסי טוען שבמקרה הזה שימוש בפונקציית אימות אינו בטוח ויש להשתמש בחתימה דיגיטלית. מי מהם צודק? הסבר תוך התייחסות לתכונות של כל אחת מהשיטות.

5 שאלה 3 :SRP שאלה זו עוסקת בפרוטוקול SRP הנלמד בהרצאה. הסבירו מהי חשיבותה של המחרוזת salt הנבחרת על ידי המשתמש בעת אתחול הפרוטוקול. השוו בין הבטיחות של פרוטוקול בקרת הכניסה של UNIX לפרוטוקול SRP כאשר קובץ הסיסמאות נחשף. בתשובתכם התייחסו לתוחלת ההתקפה, והשוו את הזמן הדרוש לבדיקת כל ניחוש. נניח שאנו מעוניינים לקצר את הפרוטוקול,SRP כך שבמקום 6 הודעות יעברו בו רק 4 הודעות, באופן הבא: Client: username A,M 1 Server: s,b,u M 2 כל הערכים זהים לערכים הנשלחים בפרוטוקול המקורי. ה) ו) הציגו התקפה שניתן לבצע על הפרוטוקול המקוצר ולא ניתן לבצע על הפרוטוקול המקורי. על מנת להתמודד עם הבעיה מהסעיף הקודם, התקבלה הצעה שהערך u לא ייבחר רנדומלית על ידי השרת, אלא יחושב על ידי כל אחד מהצדדים באופן סימטרי. שימו לב שבמקרה זה הערך u לא יעבור ברשת. האם ההצעה אכן מאפשרת להתמודד עם הבעיה? במידה והתשובה היא לא, הסבירו. במידה והתשובה היא כן, הציעו דרך שבה יוכל כל אחד מהצדדים לחשב את הערך u, כך שההתקפה מהסעיף הקודם לא תתאפשר. בשני הסעיפים הבאים נתייחס לפרוטוקול SRP המקורי. הניחו כי גודל מרחב הסיסמאות הוא N (כלומר, כל משתמש יכול לבחור אחת מ- N סיסמאות אפשריות). כמו כן, הניחו כי ההתקפה היחידה שהתוקף יכול לבצע היא התחזות לשרת מול המשתמש. תוקף מעוניין לגלות מהי הסיסמה שבחר משתמש מסוים. כמה התקפות של התחזות לשרת ידרשו לתוקף לכל היותר על מנת לדעת בוודאות מהי הסיסמה אותה בחר המשתמש? שימו לב שלא מדובר על תוחלת מספר ההתקפות שיש לבצע, אלא על מספר ההתקפות המרבי שתוקף יצטרך לבצע. רמז: שימו לב לערך B שמחושב בפרוטוקול וחישבו כמה סיסמאות ניתן לבדוק בהתחזות יחידה לשרת. (הציעו שינוי פשוט ככל הניתן לפרוטוקול אשר יגדיל את מספר התקפות ההתחזות לשרת המרבי שיהיה על התוקף לבצע, על מנת לשפר את בטיחות הפרוטוקול.

6 שאלה 4 :PKI אבל אחרי שסילביו למד בקורס על תשתית,PKI הוא החליט להקדיש את הסמסטר האחרון שלו בתואר כדי לשפר את התשתית ולתת מענה לחלק מהבעיות שהוא מצא בה. לפני שנציג את ההצעה שלו - הסבירו מהי,CRL מי משתמש בה וכיצד. הסבירו מהי,OCSP מי משתמש בה וכיצד. סילביו הבין ששימוש בשתי השיטות מצריך חתימה של ה- CA על ה- CRL או נתוני ה- OCSP הנשלחים למשתמש, אשר מצידו צריך לוודא את החתימה. סילביו מעוניין למצוא שיטה שמייתרת את הצורך בחתימה על המידע הנוגע לביטול סרטיפיקטים. לצורך המשך השאלה, נניח כי כל סרטיפיקט שנוצר מקבל תוקף של שנה בדיוק. סילביו הציע את השיטה הבאה: ביצירה של סרטיפיקט, בנוסף לשדות שראינו בקורס (לפי,(X.509v3 כל סרטיפיקט יכיל שני שדות נוספים בגודל 80 ביט. תהיי H פונקציית תמצות בטוחה עם פלט באורך 80 ביט. נתאר את החישוב הנוסף שיבצע ה- CA בעת יצירת הסרטיפיקט: תחילה ה- CA בוחר ערכים בגודל 160 ביט $ X ו- $ Y באופן אקראי. לאחר מכאן מבצע את החישוב ) $ =H(Y Y. % בנוסף ה- CA יחשב את (67 X באופן הבא - ) (68 H(X X % =H(X $ ), X & =H(X % ),..., X (67 = (כלומר מתבצע חישוב 365 hash פעמים, כל פעם על הפלט של החישוב הקודם, החל מ- $ X). את 67) X ואת % Y ה- CA ישמור בסרטיפיקט לצד שאר השדות (שימו לב שגם הם בגודל 80 ביט). החתימה שנמצאת בסוף הסרטיפיקט תהיה חתימה שביצע ה- CA על כל השדות של הסרטיפיקט, בפרט על השדות שנוספו כאן סילביו ציין שכעת אם CA מעוניין לבטל סרטיפיקט, הוא יפרסם את $ Yברשימה פומבית המכילה את כל ערכי $ Y המתאימים לכל הסרטיפיקטים שבוטלו, שימו לב שהרשימה מכילה רק את ערכי $ Y ללא מזהים של הסרטיפיקטים המבוטלים עצמם. ה- CA ימחק גם את כל ערכי + X מהזיכרון של שרת ה- CA. בנוסף, סילביו ציין שאם מישהו פונה ל- CA בבקשה לבדוק האם הסרטיפיקט בוטל, אז ה- CA מחזיר את התשובה הבאה: אם הסרטיפיקט לא בוטל, אזי ביום מספר i (מאז יצירת הסרטיפיקט) ה- CA ישלח בתשובה את +679) X. אם הסרטיפיקט בוטל, אזי ה- CA יפנה לרשימה הפומבית המכילה את ערכי $ Y של כל הסרטיפיקטים שבוטלו עד כה. מדוע פרסום $ Y מוכיח שהסרטיפיקט בוטל ע"י ה- CA? ומדוע פרסום +679) X מוכיח שהסרטיפיקט עדיין תקף? בהסבר ציינו גם כיצד יאמת זה שפנה ל- CA את המידע, ולמה אין צורך שה- CA יחתום על התשובה שלו. בהינתן שהיום הוא יום i ולתוקף יש את כל הערכים שפרסם ה- CA מיום יצירת הסרטיפיקט ועד היום, האם יש לתוקף דרך לזייף את הערך של מחר? כלומר את 679+9%) X?אם כן תארו כיצד, אם לא הסבירו מדוע. - - הסעיף הבא דן במצב בו תוקף הצליח לפרוץ לשרת,CA בין היתר התוקף הצליח לגלות את המפתח הפרטי של השרת שבאמצעותו נחתמו הסרטיפיקטים שעליהם אחראי השרת. ה) אם נשתמש בשיטה שהציע סילביו, האם תוקף יהיה מסוגל "להחיות" סרטיפיקט שפורסם בעבר כלא תקף? אם כן תארו כיצד, אם לא הסבירו מדוע.