Forelesning 3: Nøkkelhåndtering og PKI

Transkript

1 Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2018 Workshop-spørsmål med svarforslag Forelesning 3: Nøkkelhåndtering og PKI Spørsmål 1 a. Hvorfor er god håndtering av kryptografiske nøkler essensiell for styrken på kryptografi? b. Tre viktige kategorier er: i) symmetriske hemmelige nøkler, II) asymmetriske offentlige nøkler og III) asymmetriske privatnøkler. Forklar hvilken type sikkerhet tjenester/beskyttelse (dvs. konfidensialitet, integritet og autentisitet) som kreves for hver nøkkelkategori. c. Beskriv sikkerhetsmekanismer/metoder som kan brukes til å implementere den nødvendige sikkerhetstjenesten/beskyttelse for nøkler. d. Gi en kort liste over de viktigste prosesser/trinn i nøkkelhåndtering. a. Det svakeste ledd bestemmer sikkerheten i kryptoløsninger. Styrken på kryptografiske sikkerhetsløsninger er dermed begrenset av styrken og beskyttelsen av kryptoøklene. Kryptonøkler utsettes for mange trusler. Det er viktig å forstå relevante trusler, fordi det gjør det mulig å innføre nødvendige sikkerhetstiltak for å beskytte nøklene. Nøkkelhåndtering består i utgangspunktet av et sett med prosedyrer og tiltak for å beskytte kryptonøklene under generering, bruk og destruering. b. Nødvendig beskyttelse er: i) symmetriske hemmelige nøkler og II) asymmetriske private nøkler må alltid holdes konfidensiell (dvs. beskyttet mot uautorisert eksponering) og må ha integritet/autentisitet (dvs. beskyttet mot forfalskning/uautorisert modifisering). III) asymmetriske offentlige nøkler må ha integritet/autentisitet (dvs. beskyttet mot forfalskning/uautorisert modifisering). Fysisk sikringen og tilgangskontroll kan brukes å beskytte kryptonøkler, og er faktisk den eneste måten å beskytte rotnøkler. Tamper-proof enheter kan brukes til å generere, lagre og arkivere nøkler. Hjernen/hukommelsen kan bli lagre keys/passord. Kryptografiske teknikker kan brukes for å beskytte alle andre kryptografiske nøkler, f.eks. 1) sertifikater for å beskytte offentlige nøkler mot endringer og 2) kryptering for å gi konfidensialitet beskyttelse av underordnede nøkler eller sesjon/øktsnøkler under distribuering. De viktigste prosessene for nøkkelhåndtering inkluderer nøkkelgenerering, nøkkeldistribuering, lagring, oppdatering, revokering, gjenoppretting, arkivering, destruering og revisjon/tilsyn

2 Spørsmål 2 a. Forklar diagrammet for nøkkeltilstander og overganger mellom nøkkeltilstander, som illustrert i NIST SP800-57, figur 5, s b. Når en nøkkel er aktiv, kan den være angitt til bare å beskytte, bare prosessere eller begge deler. Ved å henvise til de 19 nøkkeltypene som er beskrevet i NIST SP800-57, oppgi to eksempler på nøkkeltyper som bare beskytter, to eksempler på nøkkeltyper bare prosesserer, og to eksempler på nøkkeltyper som både beskytter og prosesserer. c. Forklar hvorfor nøkkeltypene 17, 18 og 19 er feilbetegnelser. Foreslå bedre navn for disse nøkkeltypene. a. Tilstandsdiagrammet vises på figuren nedenfor. b. Kryptonøkler i aktiv tilstand: Bare til bruk for beskyttelse: privat signaturnøkkel (type 1) og offentlig nøkkeltransport-nøkkel (type 11) Bare til bruk for prosessering: Offentlig signaturnøkkel (type 2) og privat nøkkeltransport-nøkkel (type 10) Til bruk både for beskyttelse og prosessering: Symmetrisk autentiseringsnøkkel (type 3) og symmetrisk krypteringsnøkkel (type 6) c. Begrepet autorisering brukes i betydningen av tilgangskontroll. Det ville være bedre å kalle disse tilgangskontroll-nøkler, eller tilgangsnøkler.

3 Spørsmål 3 a. Hvorfor er det viktig å ha en begrenset kryptoperiode for nøkler? Nevn minst fire grunner. b. Hva er forskjellen mellom beskyttelse og prosessering ved bruk av nøkler? c. Sammenlign anbefalt kryptoperiod for private og offentlige signaturnøkler ifølge NIST SP800-57? Vil du si at gyldighetsperioden av rotsertifikater i nettlesere følger anbefalingene fra NIST SP800-57? d. Hvis man antar at kraftige kvantekomputere vil være praktisk tilgjengelig innen 2030, er gyldighetsperioden av rotsertifikater fornuftig? a. Det er flere gode grunner til å begrense kryptoperioden: Begrenser mengden av informasjon som er tilgjengelig for kryptanalysis av en enkelt nøkkel. Begrenser skaden hvis en enkelt nøkkel er knekt/kompromittert. Begrenser bruken av en bestemt algoritme til dens estimerte effektive levetid. Begrenser tiden en angriper kan foreta på fysiske, prosedyremessige og logiske angrep mot sikkerhetsmekanismer som skal beskytte nøkkelen mot uautorisert tilgang. Begrenser perioden der informasjon kan bli kompromittert ved utilsiktet utlevering av nøkkelmateriale til uautoriserte aktører. Begrenser tiden som er tilgjengelig for beregningsintensive kryptanalytiske angrep (i applikasjoner der langsiktig nøkkelbeskyttelse ikke er nødvendig). b. Perioden der en nøkkel brukes for beskyttelse er når nøkkelen brukes for kryptering og for digital digital signatur. NIST kaller denne perioden «Originator Usage Period» (OUP). Perioden der en nøkkel brukes for prosessering er når nøkkelen brukes for dekryptering og for å validere digitale signaturer. NIST kaller denne perioden «Recipient Usage Period» (RUP). c. Gyldigheten for nettleserens rootsertifikater refererer til RUP, og er i samsvar med anbefalingen av SP for en offentlig nøkkel for signatur-validering, som er «flere år (avhengig av nøkkel-lengden)» (tabell 1, s. 45). Informasjonen som er oppgitt på nettleserens info-sider sier intet om den faktiske OUP som praktiseres av CA er (sertifiseringsautoriteter). d. Gyldighetsperioden som er oppgitt for mange rotsertifikater er selvsagt altfor lang hvis det antas at kraftige kvantecomputere vil være tilgjengelige innen 2030.

4 Spørsmål 4 a. Hva er spoofing-problemet med hensyn til offentlige nøkler? b. Forklar hvordan digitale sertifikater kan gi en løsning på spoofing-problemet. c. Hvilke betingelser bør man sette for å ha tillit til et digitalt sertifikat? Begrunn ditt svar. d. Er en digital signatur det samme som et offentlig-nøkkelsertifikat? Begrunn ditt svar. a. Spoofing-problemet er at en angriper kan utgi seg for å være en annen ved at angriperen erstatter en offentlig nøkkel (for eksempel Alices offentlige nøkkel) med en falsk nøkkel der angriperen kjenner den tilhørende private nøkkel. Dette gjør at angriperen kan gi seg ut for å være (spoofe) Alice (f.eks ved å kunne lese kryptert e-post ment for Alice). b. Et digitalt sertifikat etablerer en logisk binding mellom en identitet og dens offentlige nøkkel, fordi CA en sertifiserer denne bindingen med en digital signatur. c. Du kan ha tillit til informasjonen i sertifikatet (bindingen mellom identitet og offentig nøkkel) hvis du stoler på at utsteder-ca (sertifiseringsautoritet) har identifisert sertifikat-eieren på en korrekt måte, hvis du stoler på autentisiteten til CA ens offentlige nøkkel, og hvis du kan validere sertifikatet kryptografisk med CA ens offentlige nøkkel. d. Nei, en digital signatur er ikke det samme som et digitalt sertifikat. En digital signatur generelt er en kryptografisk kontrollsum på en datapost. Et offentlignøkkelsertifikat er en bestemt type datapost som inneholder en offentlig nøkkel, identiteten til nøkkelens eieren og andre tilleggsdata, og til slutt den digitale signaturen som genereres og legges til av CA en. Spørsmål 5 a. Beskriv tillitsmodellen for PKI en som brukes av nettlesere. b. Nevn fordeler og ulemper ved denne modellen. a. Tillitsmodellen i nettleseres PKI er basert på et relativt stort antall ( 100) forhåndsinstallerte rotsertifikater som brukes som tillitsanker for validering av mottatte sertifikater. Hvert rotsertifikat definerer en isolert hierarkisk PKI. Brukeren har implisitt tillit til leverandøren bak nettleseren som leverte de installerte rotsertifikatene, og dermed indirekte de rundt 100 rot-ca ene og deres rotsertifikater. Nettleseren validerer automatisk mottatte serversertifikater som kryptografisk kan lenkes tilbake til et forhåndsinstallert rotsertifikat. b. Relevante elementer er: Fordeler: brukervennlighet, automatisert validering av server-sertifikater og programvare-sertifikater Ulemper: - I nettleseren har rootsertifikater en relativt svak beskyttet mot angrep - Når det presenteres en pop-up om at et sertifikat ikke kan valideres, har brukere en tendens til å alltid godkjenne sertifikatet uansett, så formålet med å spørre brukeren om godkjenningen er tvilsom. - Enhver kompromittert CA kan true hele infrastrukturen (svakeste ledd).

5 Spørsmål 6 Tilgang til lagrede rotsertifikater i nettleseren din(e) er via nettlesermenyene. Se gjennom rotsertifikater som er installert i webleseren for å se deres utløpsdatoer. a. Hvor mange rotsertifikater er installert? Variere for eksempel mellom Firefox og Chrome? b. Hvilke sertifikater har kort levetid? c. Kan du finne sertifikater med utløpsdato i overkant av ti år fra nå? d. Kan du finne sertifikater som allerede har utløpt? Hva skjer når du inspiserer dem? Detaljene er ikke viktig og variere mellom ulike installasjoner. Vanligvis er sertifikater utstedt med levetid fra ett til ti år. CA-sertifikater er vanligvis selv-sertifisert og har levetid på 10 til 50 år. Du kan sannsynligvis finne CA-sertifikater som allerede har utløpt. Både IE og Firefox gir noen form for advarsel når du åpner en utløpt sertifikat. Spørsmål 7 Hva er forskjellen mellom et standard serversertifikat og EV-serversertifikat? Standard serversertifikater kan kjøpes anonymt, mens et EV-serversertifikat krever sjekking av visse aspekter av den juridiske kjøperen av sertifikaktet. EV-sertifikater er dyrere enn standardsertifikater. Spørsmål 8 a. Hvorfor er det nødvendig med revokering / tilbakekallelse av sertifikater? b. Hvilke problem er løste med «must-staple protokollen»? a. Sertifikatrevokering er nødvendig for eksempel hvis eieren av et sertifikat har mistanke om at den private nøkkelen er kompromittert. b. Den tidligere brukte OCSP-protokollen (online certificate status protocol) fører til brudd på brukerens personopplysningsvern. Den nye «must-staple protokollen» lar brukerne surfe uten at det medfører brudd på personopplysningsvern. Spørsmål 9 a. Hvilket problem er løst med CA-autorisering og sertifikat-transparens? b. Hvor lagres CA ens autoriseringspolicy? c. Hva må domene-eieren gjøre for å være viss på at på at sertifiseringspolicyen følges? d. Hva må domene-eieren gjøre hvis det oppdages at sertifiseringspolicyen er brutt? a. CA-autorisering forhindrer at kompromitterte CA er utsteder falske sertifikater. b. CA autoriseringspolicyen er lagret i DNS-recorden for domenet. c. Eieren av domenet må sjekke CT-loggen (Certificate Transparency) for å se om den inneholder noen falske sertifikater. d. Hvis CT-loggen inneholder et falskt sertifikat for domenet, må det falske sertifikatet revokeres.