بخشی از پاورپوینت
--- پاورپوینت شامل تصاویر میباشد ----
اسلاید 1 :
مقدمهای بر امضارمز
◄ امضارمز در 1997 توسط Zheng پیشنهاد شد. امضا رمز با تركيب توابع رمزنگاري و امضاي ديجيتال در يك گام منطقي تلاش مينمايد تا هزينه محاسبات و سربار ارتباطي را كاهش دهد. در یکی از طرحهای امضارمزیمبتنی بر خم بیضوی كه توسط Zheng پيشنهاد شد، بار محاسباتي در حدود 58% و تعداد بيتهاي لازم براي ارسال در حدود 40% نسبت به طرحهاي امضا-سپس-رمز مبتني بر خم بيضوي كاهش يافت.
◄ هر طرح امضارمز ميبايست واجد ويژگيهاي درستي، كارايي و امنيت باشد. در مقوله امنیت، ويژگيهای اصلیموردنظر عبارتند از:
- محرمانگي: بدون داشتن کلید خصوصی بلند مدت فرستنده یا گیرنده، دستیابی به اطلاعات جزئی درباره متن امضارمز شده برای حمله کننده از لحاظ محاسباتی غیر ممکن باشد.
- جعلناپذيري: تهیه امضارمز جعلی که توسط الگوریتم بازگشایی امضارمز قابل تایید باشد، از لحاظ محاسباتی برای حمله کننده غیرممکن باشد.
- انكارناپذيري: فرستنده نتواند امضارمزهای قبلی خود را منکر شود. گیرنده هم بتواند به هر شخص ثالثی ثابت کند که امضارمز را فرستنده تهیه نموده است.
- صحت: گیرنده بتواند مطمئن باشد که پیام دریافت شده، همان متنی است که توسط فرستنده، امضارمز شده است.
برخي طرحها ويژگيهايي نظير امنيت پيشرو در محرمانگي پيامو قابليت تاييد همگاني را نيز فراهم ميآورند:
- امنيت پيشرو در محرمانگي پيام: اگر کلید خصوصی بلند مدت فرستنده لو رفت، کسی نباید بتواند متن اصلی متون امضارمز شده قبلی را بازگشایی کند.
- قابليت تاييد همگاني: هر شخص ثالثی بدون اطلاع از کلید خصوصی بلند مدت فرستنده یا گیرنده بتواند امضارمز را تایید کند.
اسلاید 2 :
طرح امضارمز مورد بررسي
نمادهاي مورد استفاده
علت انجام اصلاحات بر طرح هوانگ در طرح مورد بررسی:
بیان شده که ”حمله تبانی“ منجر به نقض تعریف ”امنیت پیشرو در محرمانگی پیام“ میشود. بدین ترتیب که اگر ایو کلید خصوصی بلند مدت آلیس را بدست آورده باشد، ممکن است با باب تبانی کند بدین ترتیب که ایو کلید خصوصی آلیس را به باب بدهد تا باب با کلید خصوصی خود، کلید جلسه k را برای آن امضارمز خاص را بدست آورده و متن اصلی M را بدست آورد. سپس باب میتواند پارامتر h را حساب نموده، عدد تصادفی r مربوطه را با استفاده از کلید خصوصی آلیس (که ایو به باب داده) طبق رابطه استخراج نماید. اگر باب این r خاص استخراج شده را به ایو بدهد، ایو هم خواهد توانست با استفاده از r دریافتی (از باب) و کلید عمومی باب، کلید جلسه kرا بدست آورده و متن اصلی Mآن جلسه خاص را رمزگشایی نماید!
اسلاید 3 :
مشكلات طرح امضارمز مورد بررسي
◄ جعلپذيري امضارمز و نقض جعل ناپذيري، انكارناپذيري و صحت پیام
◄ عدم مقاومت در برابر افشاي پارامتر تصادفي (کلید خصوصی کوتاه مدت)
◄ خطر افشاي كليد خصوصي بلندمدت انجام دهنده امضارمز
◄ آسيب پذيري در برابر حمله UKS
◄ عدم توجه به تصديق كليد عمومي در رمزنگاری خم بيضوي
◄ امكان افشاي كليد خصوصي بازگشاينده امضارمز در صورت ارسال تاييديه براي فرستنده
◄ ساير موارد (انتخاب پارامترهای حوزه و ...)
اسلاید 4 :
مشكلات طرح مورد بررسي: 1- جعل پذيري امضارمز
◄ هركسي به راحتيميتواند به نام ديگران امضارمز معتبر توليد نمايد (نقض جعل ناپذيري)
◄ كسي نميتواند اثبات نمايد كه فقط شخص دارنده كليد خصوصي متناظر با كليد عمومي گواهي شده، امضارمز معتبر را تهيه نموده است (نقض انكارناپذيري)
◄ از آنجا که جعل امضارمز به راحتی امکانپذیر است، گیرنده نمیتواند مطمئن باشد که امضارمز بازگشایی و تایید شده واقعا از طرف فرستنده ارسال شده است (نقض صحت پیام)
اسلاید 5 :
مشكلات طرح مورد بررسي: 2- عدم مقاومت در برابر افشاي پارامتر تصادفي
◄ مقاومت در برابر افشاي پارامتر تصادفي (random parameter) يا كليد زودگذر (Ephemeral key) از ويژگيهاي فوق العاده مهم و اساسي در پروتكلهاي مبادله كليد است و از ویژگیهایی است که در طراحی تمام پروتكلهاي استاندارد و امن مورد توجه قرار میگیرد. این مقاومت بدان معناست که با افشای پارامتر تصادفی، کلید جلسه نباید لو برود.
◄ در طرح امضارمز مورد بررسي، عدد تصادفي r همانند يك كليد خصوصي كوتاه مدت رفتار ميكند که کلید عمومی متناظر با آن R است. با افشای کلید جلسه k به راحتی قابل محاسبه است:
لذا پروتکل برقراری کلید مورد استفاده، مقاومتی در برابر افشای پارامتر تصادفی ندارد.
◄ با انجام تغییر کوچکی در تابع تولید کلید جلسه (مثلا به صورت زیر) میتوان این مقاومت را ایجاد نمود.
اسلاید 6 :
مشكلات طرح مورد بررسي: 3- خطر افشاي كليد خصوصي بلندمدت انجام دهنده امضارمز
◄ افشاي كليد خصوصي زودگذر، منجر به افشاي كليد خصوصي بلند مدت انجام دهنده امضارمز نيز خواهد شد. به عبارتی، امنیت کلید خصوصی بلند مدت آلیس وابسته به امنیت و محرمانگی عدد تصادفی است که وی تولید خواهد کرد و با افشای آن، كليدبلندمدتي كه قرار است مثلا براي چندين سال مورد استفاده قرار گيرد، به طور کامل افشا خواهد شد.
◄ چنانچه در پیادهسازی، احتیاطهای لازم صورت نگرفته باشد، خطر افشای کلید خصوصی بلندمدت کاربران فوقالعاده جدی خواهد بود. به عنوان مثال:
- در بسياري از كاربردها (از وسايل با محدوديت منابع گرفته تا سرورهاي بزرگ) ممکن است تلاش شود تا با محاسبه و ذخيره زوج (r,R) از قبل، كارايي و سرعت عمليات در استفادههاي بعدي افزايش یابد. چنين زوجهاي ذخيره شدهاي معمولا در فضاي حافظه معمولي ذخيره ميشوند، حال آنكه كليدهاي خصوصي معمولا در محيطهاي سخت افزاري حفاظت شده ذخيره ميشوند.
- دومين امكان، استفاده از نقاط ضعف توليدكنندههاي اعداد تصادفي (به خصوص در ادوات با محدوديت منابع) است. در چنين حالاتي ممکن است حمله کننده بتواند لیستی از محتملترین (r,R) ها تهیه نموده و کلید خصوصی بلندمدت هر کاربری که یکی از R های موجود در لیست را استفاده کرده باشد، بدست آورد.
اسلاید 7 :
مشكلات طرح مورد بررسي: 4- آسيب پذيري در برابر حمله UKS
◄ مقاومت در برابر حمله اشتراك كليد مجهول(Unknown Key-Share attack) یکی از مهمترین ویژگیهای امنیتی پروتکلهای مبادله کلید است. مفهوم اولیه آن در 1992 توسط Diffie و همکاران مورد توجه قرار گرفت و پس از آن در مقالهای در PKC’99 توسعه یافت.
◄ در حمله UKS، با وجود آنكه طرفين ارتباط كليد جلسه مشتركي را به اشتراك گذاشتهاند، ديدگاه متفاوتي از طرف مقابل خود در مبادله كليد دارند.
◄ در حمله UKS، قرار نيست ايو كليد جلسه را بدست آورد. بنابراين وي قادر به رمزگشايي يا تغيير پيامهاي مبادله شده نميباشد و به نوعي از مفروضات اشتباه طرفين درباره هويت طرف مقابل خود سوء استفاده مينمايد.
◄ حمله UKS يكطرفه، ميتواند بر عليه آغازگر (Initiator) يا پاسخگو (Responder) صورت پذيرد.
◄ از آنجا كه طرح مورد بررسی تك مسيره است، صرفا حمله UKS يكطرفه بر عليه پاسخگو بر روي آن قابل بررسي است. در اين حمله، ايو در ارتباط بين آليس و باب مداخله نموده و كاري ميكند تا باب به اشتباه باور كند كه كليد جلسه برقرار شده (و در نتیجه امضارمز واصله)، از شخص ديگري به غير از آليس (مثلا ايو) به دست آمده است، در حالي كه آليس معتقد است كه كليد جلسه را برای باب تولید نموده (و امضارمز را برای وی ارسال داشته) است.
اسلاید 8 :
مشكلات طرح مورد بررسي: 4- آسيب پذيري در برابر حمله UKS (ادامه)
◄ در مقوله حملات UKS يكطرفه، تاكنون دو نوع حمله شناخته شده است كه هر دوي آنها (از نوع بر عليه پاسخگو) بر روي طرح مورد بررسی قابل اعمال است.
◄ در Public Key Substitution UKS attack، فرض بر آن است که حمله کننده براي كليد عمومي آليس، به نام خود گواهينامه ديجيتال اخذ مينمايد ولي اطلاعي از كليد خصوصي متناظر با آن كليد عمومي ندارد. حمله کننده، ارتباط آليس و باب را مختل نموده، امضارمز آليس را عينا توام با گواهينامه ديجيتالي خود میفرستد. از آنجا كه است، امضارمز در رابطه بازگشایی صدق مینماید و تاييد ميشود ولی به جای آنکه باب، امضارمز را از آلیس بداند، آن را از حمله کننده خواهد دانست.
◄ برای انجام نوع دوم حمله UKS، حمله کننده به طريق زير عمل مينمايد:
- توليد كليد خصوصي ، كليد عمومي و اخذ گواهينامه معتبر
- ايجاد اختلال در ارتباط آليس و باب و تعويض با كه در آن
در نتيجه باب، امضارمز دريافتي را از حمله کننده خواهد دانست زیرا
◄ مثالي از اهميت و عواقب این حمله: فرض كنيد باب يك شعبه بانك و آليس دارنده يك حساب بانكي در بانك باب باشد. گواهينامههاي ديجيتالي توسط شعبه مركزي بانك صادر شده و در داخل هر گواهينامه، اطلاعات حساب هر صاحب حساب ذكر شده است. فرض كنيد قرار باشد پس از تاييد موفقيت آميز امضارمز، مبالغ امضارمز شده به حسابي واريز شوند كه مشخصات آن در گواهينامه ديجيتالي فرستنده امضارمز آمده است. با این حمله، پولها به صورت کاملا قانونی و معتبر به حساب حمله كننده واريز خواهند شد!
اسلاید 9 :
سایر مشكلات طرح مورد بررسي: عدم توجه به تصديق كليد عمومي در رمزنگاری خم بيضوي
◄ طرح مورد بررسی تاييد كليد عمومي توسط گواهينامه را مورد توجه قرار داده است اما تصديق كليد عمومي (Public Key Validation) را مدنظر قرار نداده است.
◄ تصديق كليد عمومي در رمزنگاري كليد عمومي مبتني بر خم بيضوي موضوع مهمي است كه حتما ميبايست انجام پذيرد. در غیر این صورت، امکان انتخاب کلید عمومی نامعتبر وجود دارد. كليد عمومي نامعتبر، كليدي از مرتبه پايين و واقع بر يك خم نامعتبر است كه ميتواند براي انجام حمله خم نامعتبر (Invalid curve attack) مورد استفاده قرار گيرد.
◄ تصدیق کلید عمومی میبایست هم در مورد کلید عمومی بلندمدت و هم در مورد کلید عمومی کوتاه مدت (R) مورد توجه قرار گیرد.
◄ تصديق كليد عمومي به طور سنتي در استانداردهاي PKI مورد توجه قرار نگرفته و انجام نميشود و آنچه كه CA انجام ميدهد، صرفا اثبات مالكيت كليد است. در چنين مواردي، اخذ گواهينامه براي كليدهاي عمومي نامعتبر امكانپذير و سيستم در معرض حملات و آسيبپذيريهاي مختلف ميباشد. در PKC’03الگوريتمي ارائه شد كه به واسطه آن ميتوان براي يك كليد عمومي نامعتبر، از CAاي كه از الگوريتم ECDSA در پروسه اثبات مالكيت استفاده مينمايد، گواهينامه ديجيتال اخذ نمود.
◄ اگرچه ممکن است تصدیق کلید عمومی بلندمدت در استانداردهای جدید PKI به CA محول شود، تصدیق کلید عمومی موقت (R) میبایست در داخل خود طرح مورد توجه قرار گيرد.
اسلاید 10 :
سایر مشكلات طرح مورد بررسي: امكان افشاي كليد خصوصي بازگشاينده امضارمز در صورت ارسال تاييديه براي فرستنده
◄ به علت عدم تصدیق کلید عمومی کوتاه مدت (R)، امکان حمله خم نامعتبر وجود دارد و در صورت ارسال تاییدیه دریافت از سوی باب (برای آلیس)، امکان افشای کلید خصوصی بلندمدت باب وجود دارد.
◄ فرض کنید تاییدیه به صورت باشد. آليس يك خم نامعتبر با معادله انتخاب نموده و بر روي اين خم نقطه از مرتبه كوچك را انتخاب مينمايد. او در تراكنشهاي خود به جاي از استفاده نموده، امضارمز را انجام داده و چهارتايي را براي باب ارسال ميدارد.
◄ باب كليد جلسه را از رابطه محاسبه نموده و مراحل بازگشايي و تاييد امضارمز را انجام ميدهد. هنگامي كه باب رسيد را به انضمام براي آليس ميفرستد، آليس با توجه به كوچكي مرتبه نقطه انتخابي قادر خواهد بود به راحتي اي را بيابد كه در رابطه صدق نمايد. از اين رو آليس با
تلاش خواهد توانست، ای را بيابد كه در رابطه صدق مینماید.
◄ آليس اين عمل را براي هاي مختلف كه ميتوانند از خمهاي نامعتبر مختلفي انتخاب شده باشند تكرار ميكند (به شرط آنكه مرتبه نقاط انتخاب شده دو به دو نسبت به هم اول باشند). بدين ترتيب، آليس تعدادي معادله به صورت خواهد داشت كه در آنها
◄ آليس به راحتي قادر خواهد بود كليد خصوصي بلند مدت باب را از روي اين معادلات و با استفاده از قضيه باقيمانده چينی (CRT) بدست آورد.
