SRP

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2021. december 30-án felülvizsgált verziótól ; az ellenőrzések 2 szerkesztést igényelnek .

A Secure Remote Password Protocol ( SRPP ) egy jelszó- hitelesítési protokoll , amely ellenáll a lehallgatásnak és a MITM - támadásoknak, és nem igényel megbízható harmadik felet. Az SRP tartalmaz néhány elemet más kulcscsere- és hitelesítési protokollokból, miközben kisebb fejlesztéseket és finomításokat hajt végre. A protokoll megőrzi a titkosított kulcscsere osztályú protokollok robusztusságát és hatékonyságát , miközben megszabadul néhány hiányosságuktól.

Áttekintés

Az SRP protokoll lehetővé teszi a felhasználó számára, hogy a jelszava továbbítása nélkül azonosítsa magát a szerveren, azaz megerősítse azt a tényt, hogy ismeri a jelszavát, és csak ezt a tényt. Számos hasznos tulajdonsággal rendelkezik:

ellenáll a brute-force szótári támadásoknak a csatorna hallgatása közben (ami gyakran előfordulhat), ami még a nyers erővel szemben gyengén ellenálló jelszavak használatát is lehetővé teszi a biztonság leromlásának kockázata nélkül,
megvédi a múltbeli munkameneteket és jelszavakat a jövőbeni nyilvánosságra hozataltól,
akkor működik, ha van olyan csatorna, amely nemcsak nem védett a lehallgatástól, de a hamisítástól sem (abban az értelemben, hogy a támadó nem szerezhet további információt a hamisítás lehetőségéből, csak megakadályozza a kommunikációt),
nem igényel további biztonságos csatornát,
a felhasználói jelszavakat olyan formátumban tárolják, amely nem ekvivalens a jelszó egyszerű szövegével, így a kiszolgáló adatbázisát valamilyen módon megszerző támadó nem használhatja azt közvetlenül a felhasználó jelszavának megszerzésére, vagy hamisan ábrázolhatja a felhasználót a szerverrel folytatott párbeszédben.

Az SRP hatékonyan valósítja meg a Zero-Knowledge Proof-ot a felhasználó és a jelszavával kapcsolatos információkat tároló szerver között. Ha egyszerre figyel, a támadó csak a jelszó egy verzióját tudja ellenőrizni, a protokoll 6-os verziójától kezdve. Ennek a protokollnak számos változata van, jelenleg a legújabb verzió a 6a.

Ennek a protokollnak a működése eredményeként mindkét fél hosszú titkos kulcsot kap, amelynek átvétele után a felek közötti megfelelőséget ellenőrzik. Azokban az esetekben, amikor a hitelesítés mellett adattitkosításra is szükség van, az SRP az SSH -nál biztonságosabb és a Diffie-Hellmannél gyorsabb eszközt kínál ennek eléréséhez. Az SRP 3. verzióját az RFC 2945 írja le . Az SRP 6-os verzióját az SSL / TLS és más szabványok, például az EAP és a SAML hitelesítésre is használják, és jelenleg az IEEE P1363 és az ISO/IEC 11770-4 szabványosítja.

Hogyan működik

Vezessük be az érveléshez szükséges jelölést:

q és N = 2 q + 1 úgy van megválasztva, hogy N és q egyszerűek. N-nek elég nagynak kell lennie ahhoz, hogy a diszkrét logaritmus modulo N kivitelezhetetlen legyen.
Minden aritmetika modulo N (mező ) történik. $\mathbb{F}_N$
g - multiplikatív csoportgenerátor $\mathbb{Z}_N^*$
k egy mindkét oldalon kapott paraméter, például a 6a revízióban k = H ( N , g ) (a 6. revízióban k állandó volt és egyenlő 3-mal).
s - só
I - felhasználói azonosító a szerverrendszerben (felhasználónév).
p az I -nek megfelelő felhasználói jelszó .
H () - kriptográfiai hash függvény , például SHA-256
x a titkos kulcs, x = H ( s , p ).
v a szerveroldali jelszóellenőrző, v = g x % N
u tetszőleges kódolási paraméter.
a , b titkos nonces

A jelszó és az ellenőrző fogalma megfelel a titkos és nyilvános kulcsok általánosan elfogadott fogalmainak, két figyelmeztetéssel: a jelszó általában kisebb, mint a titkos kulcs , mivel a felhasználó emlékszik rá, és kicsi a memóriája; viszont az ellenőrző matematikailag hasonló a nyilvános kulcshoz, mivel a jelszóból könnyen beszerezhető, a fordított művelet pedig számításilag eldönthetetlen. Ahelyett azonban, hogy nyilvánosan ismert volna, az ellenőrzőt a szerver titokban tartja. Azt a hitelesítési módszert, amely megköveteli, hogy a szerver tároljon ellenőrzőt, de jelszót nem, hitelesítő alapúnak nevezzük.

A , B a kezdeti paraméterekből számítható ki (lásd alább). A szerver a jelszavakat a következő képlet szerint tárolja:

x = H ( s , p ) (s tetszőlegesen van kiválasztva)
v = g x (jelszó-ellenőrző számítás)

A szerver ezután eltárolja a párt ( I , s , v ) az adatbázisában . A hitelesítés a következő módon történik:

Kliens -> Szerver: I , A = g a (azonosított, a tetszőleges)
Szerver -> Kliens: s , B = kv + g b (tárolt s küldése , tetszőleges b )

Mindkét oldalon: u = H ( A , B )

Ügyféloldalon:

x = H ( s , p ) (a felhasználó beírja a jelszót)
S = ( B - kg x ) (a + ux) (a munkamenet kulcsa kiszámítva)
K = H ( S ) (K a kívánt titkosítási kulcs)

A szerver oldalon:

S = ( Av u ) b (munkamenetkulcs számítása)
K = H ( S ) ( K a kívánt titkosítási kulcs)

Mindkét félnek van egy közös titkos kulcsa K. A hitelesítés befejezéséhez ellenőrizniük kell, hogy kulcsaik egyeznek. Az egyik lehetséges mód:

Kliens -> Szerver: M = H ( H ( N ) xor H ( g ), H ( I ), s , A , B , K ) és szerver oldali érvényesítés

Szerver -> Kliens: H ( A , M , K ) és kliens oldali érvényesítés

Összehasonlítás bizonyos típusú algoritmusokkal

A hitelesítési algoritmusok egyszerű típusairól és sebezhetőségeiről fogunk beszélni ehhez képest, amely bemutatja az SRP előnyeit.

A legegyszerűbb hitelesítési mód az, hogy a klienstől titkosítatlan jelszót küldünk a szervernek, majd a szerver összehasonlítja a kapott jelszót vagy annak kivonatát egy adatbázis-bejegyzéssel. A nyilvánvaló hátrány a lehallgatással szembeni sebezhetőség.

Az első algoritmust módosítva hitelesítést kapunk kéréssel és megerősítéssel (challenge-response), ahol a csere a következőképpen történik:

Kliens - Szerver: felhasználónév+r, ahol r tetszőleges szöveg
Szerver – Ügyfél: c, ahol c egy tetszőleges szöveg (kihívás)

ezt követően a kliens kiszámít egy három értékből álló hash-t: r, c, jelszó, és visszaküldi. Ez a módszer ki van téve a nyers erőszaknak, mivel az r, c, hash birtokában lévő támadó kitalálhatja az ügyfél jelszavát.

Az első két algoritmust elemezve eljuthatunk a harmadikhoz, amely szintén védett a szótári kereséstől. Az ilyen protokollok családját titkosított kulcscserének (EKE) nevezik. Ennek az algoritmusnak az a lényege, hogy mindkét fél előállítja nyilvános kulcsait az aszimmetrikus titkosításhoz , és szimmetrikus algoritmussal kicseréli azokat, kulcsként használva a mindkettő által ismert felhasználó jelszavát. Ezt a protokollcsaládot széles körben használják, különféle végrehajtott módosításokkal, amelyek bizonyos tulajdonságokat adnak hozzá:

A jelszó kézhezvétele után a támadó nem tudja visszafejteni a már megtörtént adatcserét, vagy bármely munkamenet munkamenet kulcsának kézhezvétele után (még brutális erőszakkal sem ) tudja kideríteni a felhasználó jelszavát, azonban a szerver továbbra is tárolja a jelszó egyértelmű szövegének analógja , amelyet el lehet lopni a tényleges jelszó megszerzéséhez (pl. DH-EKE, SPEKE).
A szerver adatbázisból való információszerzéskor a támadó nem tudja megszerezni tőlük a jelszót, de az előző tulajdonság elveszik (például A-EKE).
A módosítás az 1. és 2. tulajdonsággal rendelkezik egy további kulcscsere bevezetése miatt, de jelentős teljesítménybüntetést szenved a jelentős további számítások miatt.

Mindezen sérülékenységek elkerülése és egy jó sebességű algoritmus megszerzése érdekében kidolgozásra került az AKE ( Asymmetric key exchange ) koncepció , amely elsősorban abban különbözik a korábbiaktól, hogy az adatátvitel során nincs titkosítás, ami megkíméli a rendszert a felesleges munkától. számítási teljesítmény és bizonyos titkosítási algoritmusok lehetséges sebezhetőségei. Az AKE egyik megvalósítása az SRP.

Lásd még

Diffie-Hellman algoritmus
Jelszóval hitelesített kulcsszerződés

Linkek

http://srp.stanford.edu/design.html - a munka elveinek rövid leírása (eng.)
http://srp.stanford.edu/ndss.html - a jegyzőkönyv szerzőjének fő cikke erről a protokollról (eng.)
RFC 2945 SRP RFC, részletezi az SRP hitelesítési sémát
RFC 2944 Az SRP Telnet Authentication opciójának teljes leírása az RFC 2941 alapján , Telnet Authentication
RFC 5054 SRP használata TLS-hitelesítéshez és kulcscseréhez

Nyilvános kulcsú kriptorendszerek

Algoritmusok

Egész számok faktorizálása	Benalo kriptorendszer Bluma – Goldwasser Cayley Purser Damgorda – Eureka GMR Goldwasser – Micali Nakasha – Stern paye Rabin RSA Okamoto – Uchiyama Schmidt-Szamoa
Diszkrét logaritmus	BLS Cramer – Shoup Diffie-Hellman protokoll DSA ECDH Görbe 25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Titkosított kulcscsere ElGamal séma aláírási séma MQV Schnorr-séma SPEKE SRP STS
Kriptográfia rácsokon	NTRUEncrypt NTRUSign Tanulás alapú kulcscsere hibákkal Aláírás alapú edzés hibákkal a ringben BOLDOGSÁG Új remény
Egyéb	AE CEILIDH EPOC Rejtett mező egyenletek IES Lamport aláírása McEliece Merkle-Hellman háti kriptorendszer Naccache–Stern háti kriptorendszer Három lépéses protokoll XTR

Elmélet

Szabványok

CRYPTREC
IEEE P1363
NESSIE
NSA Suite B
Posztkvantum kriptográfia

Témák

Elektronikus aláírás
OAEP
Ujjlenyomat
PKI
a bizalom hálója
Kulcsméret
Identitás alapú kriptográfia
Posztkvantum kriptográfia
OpenPGP kártya