הגנה במערכות מתוכנתות חורף תשס"ד הרצאה 4

הגנה במערכות מתוכנתותחורף תשס"ד

4הרצאה

ניהול מפתחותPKI

הגנה - חורף תשס"ד - הרצאה 4 2

הפרמטרים לבחירה -אורך המפתח

• , צופן ) זה האם למשל ההצפנה אלגוריתם בסוג תלויפומבי , סימטרי מפתח , אלגוריתם חתימה צופן

(MACדיגטלית או

שמוצפן • המידע סוג

החיים "• המוצפן "זמן המסמך – כמה זמן המידע של. )או חתום(צריך להיות סודי


פרמטרים לבחירה - זמן החיים של המפתח

:- ב נמדדבשימוש • נמצא המפתח שבו הזמן משךהמפתח • בעזרת שמוצפן המידע כמות

: בחשבון לקחת ישייחשף • והמפתח במידה שיגרם הנזקרלוונטי • המוצפן המידע שבו הזמן משך


ניהול מפתחותבטוח • מפתחות יצור של

להיות – חייבים אקראיים.מפתחות– . רצוי מאובטח פיסי באמצעי פרטי מפתח לייצר רצוי

. הפיסי האמצעי את יעזוב לא לעולם הפרטי שהמפתח

(הפצה • בהמשך ) נראה מפתחות של

בטוח • מפתחות אחסון של


ניהול מפתחות )המשך(

מפתחות • עדכון– , הציבורי המפתח את לאמת יש ציבורי מפתח במערכות– , על הסכמה פרוטוקול דרוש סימטריות במערכות

.מפתחות

•Revocation – ” , שליטה אין כ בד המפתח ליוצר ציבורי מפתח במערכות

. הציבורי המפתח של המופצים העותקים מספר על. ” מפתחות “ של שחורה רשימה ליצר דרוש


הסכמה על מפתחות

דרך • סודי מפתח על להסכים רוצים הצדדים שני. ציבורי ערוץ

אפשרית • " דרך מפתח: צופן י ע הסוד הצפנתכמו ) (.RSAפומבי

נוספת נראה • מפתח: דרך על להסכמה אלגוריתם.Diffie-Hellman– האלגוריתם של


Diffie-Hellmanאלגוריתם )DH( האלגוריתם מאפשר לשני אנשים להסכים על מפתח •

סודי דרך ערוץ ציבורי.

לכל אחד מהצדדים יש מפתח פרטי ומפתח פומבי.•

כל אחד מהצדדים מחשב את הסוד המשותף על ידי •שימוש במפתח הפרטי שלו, ובמפתח הציבורי של

הצד השני.


Diffie-Hellman )DH(, החבורה Zp*יוצר של g ויהי מספר ראשוני pיהי

ם לכל י ידועpו- gרמטרים פ.הZp הכפלית שלמשתמשי המערכת.

המפתחות:המפתח הפומבי

המפתח הפרטי

gy )mod p(

y אליס

gx )mod p(

x בוב


בובאליס

1)x,gx(mod p) y,gy(mod p)

2)

gx(mod p) gy(mod p)

3)gyx(mod p) gxy(mod p)


ניהול המפתחות הפומביים וגם לאלגוריתמי מפתח פומבי DH)רלוונטי גם ל-

אחרים, כגון צפנים(

כיצד תדע אליס מהו המפתח הפומבי של בוב?•

: ברגע שהם רוצים לדבר, יחליפו הדרך הטבעית•את המפתחות הפומביים שלהם )למשל, כך זה

לעיל(.DHנעשה בפרוטוקול

התקפת האיש שבאמצע : אז ניתן לבצע הבעיה•(Man in the middle).


Matt

התקפת האיש שבאמצעMan in the middle attack

Alice Bob

Hello, I am Alice gx

Hello, I am Bob gy

Matt

Hello, I am Alice gx

Hello, I am Alice gx’

Hello, I am Bobgy

Hello, I am Bobgy’

E (M)gxy’ E (M)gx’y


פתרון: שימוש בסרטיפיקטים

במערכת ישנה רשות שכולם סומכים עליה: •Certification Authority )CA( שתפקידה לחתום

. כל המשתמשים במערכת יודעים סרטיפיקטיםעל CAאת המפתח הפומבי של ה-

הסרטיפיקט. סרטיפיקט נותן לכל משתמש CAה-•הוא מחרוזת שמכילה: שם המשתמש, המפתח

הפומבי שלו ותאריך פג התוקף של הסרטיפיקט. כל CAזה חתום על ידי ה-


CAאימון ב-

סומכים על כך שלפני CAהמשתמשים ב-•הנפקת הסרטיפיקט הוא מוודא שהזהות שמופיעה בסרטיפיקט שייכת לבעלים של

המפתח זוג המפתחות הפרטי/פומבי שחציו הפומבי מופיע בסרטיפיקט

•CA ים נבדלים זה מזה ברמת תהליך הוידוא-שהם מבצעים לפני ההנפקה


סרטיפיקטים

משתמש • את Bלמשתמש שולח Aכאשר , הו שלו הפומבי א מצרף אליו את המפתח

התואםסרטיפיקט

שהנפיק את CAסומך על ה- Bאם •של מ הסרטיפיקט, הוא החתימה את אמת

וכך CAה- הסרטיפיקט מוודא שהמפתחעלהפומבי A-לאכן שייך המפתח


בעיה

-Aאם • מעולם Bו נפגשו שלא אנשים שני הם , שום אין ומרוחקים שונים במקומות וחיים

שקיים להניח מכירים CAסיבה ששניהם אחד. עליו וסומכים

אם • , CAאפילו העומס קיים היה כזה אחד. מאוד גדול היה עליו

PKI )Public Key: פתרון•Infrastructure(.


PKIמבוא –


PKIמהו •PKI – להעברה, פרסום ואמות של מפתחות תשתית

.ציבורייםבעזרת • מפורסמים כלל בדרך הפומביים המפתחות

סרטיפיקטים.של • התהליכים PKIהגדרה של הגדרות להכיל צריכה

הבאים:סרטיפיקט – סרטיפיקט: (certification) מתן מנפיק מי כולל

.תהלי ההנפקה, למי, שמור הסרטיפיקט ואיפהפומבי – מפתח , אימות מתאימים: סרטיפיקטים מוצאים כיצד כולל

סרטיפיקט מאמתים . )האם הוא תקף(וכיצד.ביטול הסרטיפיקט–


?PKIלמה צריך דרך • בטוחה בצורה לדבר רוצים אנשים שזוג נניח

. ציבורי ערוץ• , השני- של אחד אימות יבצעו שהצדדים מנת על

. טווח ארוך מפתח איזשהו על להסתמך חייביםלהשתמש • סימטרי ניתן הצדדים במפתח הסכימו עליו

. פיסית בפגישה מראש• , להשתמש נהוג ולכן מעשי לא זה כלל בדרך

טווח ארוכי פומביים .במפתחותשל • פומבי מפתח לקבל בטוחה דרך שתהיה חשוב

, נפגשו לא המשתמשים אם אפילו השני הצדמעולם.


סרטיפיקטיםשל • של PKIהגדרה הגדרה מכילה כלל בדרך

.סרטיפיקטהפורמט – • זהו CAשבעזרתו מבהיר ה-סרטיפיקט

שהמפתח הפומבי המצורף הוא אמין.קוראים • הסרטיפיקט CAלמנפיק

)Certification Authority( • , הפומבי המפתח המשתמש שם מכיל סרטיפיקט

, חתום הכל המשתמש על מידע עוד ואולי שלו- ה של הפרטי המפתח .CAבעזרת


PKIדוגמא ל-

: PKIה-• הוא ביותר , CAהפשוט שמנפיק יחיד . אליס כאשר המשתמשים לכל סרטיפיקטים- , ל פיסית ניגשת היא סרטיפיקט לקבל , CAרוצה

, . אם בהמשך סרטיפיקט ומקבלת בפניו מזדהה , אליס של הפומבי המפתח מהו לדעת ירצה בוב

. הסרטיפיקט את לו תשלח היאעל: הבעיה• לסמוך צריכים המשתמשים CAכל

. לא, זה גדולות ברשתות פיסית אליו ולגשת אחדמעשי.


מספר- PKIרוב • מכילים . CAים ים-•- כ לשמש יכולים .CAמשתמשים ים-•- כ משמשים שלא קוראים- CAלמשתמשים EEים

)End Entity(.•CA- ל סרטיפיקט להנפיק -CAיכול ל או .EEאחר הנפיק CA1. בגלל ש-CA1אליס מאמינה ל-: דוגמא•

CA2, היא תאמין גם לסרטיפיקטים ש-CA2סרטיפיקט ל-הנפיק.

CA1 CA2

אליס בוב

סימונים:

CA

EE

XY: X חתם על הסרטיפיקט של Y


מסלולי אמון• , בונה אליס לעיל אמון בדוגמא Trust) מסלול

Path): (1, 2,CA CA Bob).• , כאשר כללי המפתח Aבאופן את לאמת רוצה

של (CA1,CA2,…,CAn,,B)מסלול, Bהפומבי : , אם חוקי אמון מסלול הוא

–CA1 הואCA- המפתח Aש את ויודע עליו סומך.) , פיסי ) באופן אותו קיבל למשל שלו הפומבי

–- ל ) פרט במסלול ישות סרטיפיקט( Bכל על חתמה. במסלול אחריה הבאה הישות של


-יםCAארגון ה-•- ה שבה : CAהדרך מי- ) כלומר מאורגנים ים

, מוצאים וכיצד אמון מסלול נראה איך למי חותםשל( – מהגדרה חשוב חלק זה .PKIאותו

:לדוגמא•–- : ה כללי היררכי . CAמבנה כל- בעץ מאורגנים ים

– . העלים ולאביו לילדיו חותם בעץ פנימי EE’sצומת– – " דרך )" קיצורי נוספות חתימות crossיתכנו

certification.)


דוגמא

Root

Israel USUK

IBM

Elbit

Intel IBM

Moshe

Israel US

IBM

IsraelIsrael

John


-ים - המשךCAארגון

של- PKIישנם • מסודר מבנה ללא . CAים ים-- ב, . PGPלדוגמא כל בכלל מבנה אין

- כ גם משמש על CAמשתמש לחתום ויכול . כל אחרים משתמשים של סרטיפיקטים

סרטיפיקטים לאילו לבד מחליט משתמשלהאמין.

קוראים • כזה .web of trustלמבנה...PKIישנם • נוספים- מבנים בעלי ים


Scalability•- ש את PKIנרצה יקיים גדולות לרשתות שמיועד

- ה : scalabilityתכונת הם, גם מעשי ישאר כלומר , . יהיו האמון מסלולי בפרט משתמשים המון ישנם

. ובדיקה למציאה וקלים יחסית קצרים. Web of trust: לדוגמא• זו מבחינה מעשי לא

, אורך משתמשים זוג כל שבין שמעריכים למרותקצר ) יהיה האימות מסלול(, 7או 6מסלול כל לא

, על לבד מחליט משתמש שכל מכיוון מתאים אמון. סומך הוא מי


המבנה ההיררכי

של • בעיה אין היררכי , scalabilityבמבנה . מדי יותר המערכת אחרת בעיה ישנה אבל

- ב העליונות- CAתלויה ברמות שנמצאים ים . דרך שעוברים מסלולים המון ישנם העץ של

CA , פרטי- מפתח של חשיפה ולכן אלה ים . לכן נזק הרבה תגרום מהם אחד ים- CAשל

. מפתה התקפה יעד מהווים אלה


אמון•PKI. אמון של מודל מגדיר•: למודלים דוגמאות

– , לפחות קיים משתמש שעליו CAלכל אחד . אם לגמרי סומך על CAהמשתמש סומך , ’CAזהעל סומך המשתמש גם .’CAאז אוטומטי באופן

–(PGP :)הוא מי על מפורש באופן מגדיר משתמש כלסומך.

על – : CAסומכים מסוימות- למטרות רק מסוימים ים , שמונפקים לסרטיפיקטים רק מאמינים למשל כמו

- ה ידי כתובת, CAעל היא המשתמש זהות בהם. האלקטרוני סומכים על סרטיפיקטים על הדואר

מפתחות חתימה אך לא מפתחות הצפנה.


אימות סרטיפיקט

•: מ מורכב סרטיפיקט אימותהחתימה – .אימותבתוקף – עדיין שהסרטיפיקט נהוג כי )בדיקה

, א הסרטיפיקט בתוך רשום הסרטיפיקט ך תוקףלמנפיק יש מקרים בהם לפנות צריך

הסרטיפיקט.)בוטל – לא שהסרטיפיקט .בדיקה


(revocation)ביטול סרטיפיקטים

? סרטיפיקט לבטל צריך מתיהפומבי ) • למפתח המתאים הפרטי המפתח

. התגלה( שבסרטיפיקט•- ה של הפרטי חתום ) CAהמפתח שאתו

. התגלה( הסרטיפיקטעבור CAה-• סרטיפיקטים מחזיק לא כבר

: לעבוד ) עבר המשתמש למשל זה משתמש.) אחרת בחברה


CRL – certificate revocation list

שכל • של CAנהוג רשימה מפרסם- " ה י ע חתומים והיו שבוטלו . CAסרטיפיקטים

קוראים זו .CRLלרשימה•- " ה י ע חתומה לרשימת, CAהרשימה ופרט

מספר מכילה המבוטלים הסרטיפיקטיםבו, והתאריך הרשימה פרסום תאריך סידורי

. הבאה הרשימה תפורסם•- ה של המפתח את לבדוק הרשימה CAיש אתו

חתומה.


CRLהמשך -

לפני CRLלפעמים, יש צורך לפרסם • הבא.CRLהתאריך המיועד של ה-

על המשתמשים להחליט לבד, כל כמה זמן •.CRLהם בודקים את ה-

time נשלח למשתמש יחד עם ה-CRLה-•stamp-חתום ע"י ה ,CA ומכיל את כל ,

הסרטיפיקטים שבוטלו עד כה ותוקפם עדיין לא פג.


CRLהמשך -

•- ב של CRLהשימוש אימות תהליך את עושה , . הרשימות גודל בנוסף מסובך סרטיפיקט

, יותר עוד שמגדיל מה גדול מאוד להיות יכול. סרטיפיקט לאימות הדרוש הזמן את

חלקי • של: פתרון תת CRLחלוקה לכמהרשימות.


Out of band authentication

•- , ל מצטרף משתמש כאשר כלל , PKIבדרךקיימות ישויות עם פיסית להיפגש צריך הוא

" PKIב- כ ) (: CAבד בפני- להזדהות צריך ים, CAה- - ורצוי סרטיפיקט לקבל מנת על

של פומבי מפתח לפחות CAלקבל אחד. פיסי באופן

של" • שמודל רצוי כ האפשר PKIבד ככל יקטין , להיפטר אפשר אי אך זה מסוג אותנטיקציה

. לגמרי ממנה


PKIבעיות במימוש

•Scalabilityשל – גדול במספר צורך בינהם CAsיש מקושריםשמות–

ואמינות • עמידותמפתחות – חשיפת)certificates )revokeביטול –

משפטיות • , בעיות אחריות : אימוןאנונימיות, • פרטיות


PKIהיום

של • גלובאלית תשתית ולהקים להגדיר רוציםPKI , בעולם אנשים זוג שכל כך באינטרנט

. בטוחה בצורה ביניהם לדבר יוכלועובדים • של לעהיום לצורך X.509התאמה

נקרא ) זה מודל (.PKIXזה


X.509


X.509של • סטנדרד. PKIשמגדיר ITU-Tסטנדרד זהו

: ( . לדוגמא פרוטוקולים הרבה חשוב מאודIPSec, SSL )סרטיפיקטים על מסתמכים

של אימות .X.509ופרוטוקולימדריך • של סטנדרד עבור אימות ביצוע מגדיר

X.500.•- ב הופיעה הראשונה יש. 88’הגירסה היום

. שלישית גירסה כברבאמצעות, • אימות לבצע מחייב לא אך ממליץ

RSA פונקצית עם .hashיחד


X.500של • מקוון, (Directory) מדריךשמתאר ITU-Tסטנדרד

מבוזר, .גלובאליששומרים – מדריך• שרתים של מבוזרת קבוצה או שרת זה

. משתמשים על מידע עם נתונים מבנה, X.500ב-• שונות תכונות שמורות במדריך כניסה בכל

- ה היא מהן .public keyאחת המתאימה הישות של• ) ( " תתי של עץ הירארכיה י ע ומתופעל מתוחזק המדריך

מדריכים.•. אחיו מבין ייחודי שהוא שם יש בעץ ישות לכלבעולם • ייחודי שם יש בעץ ישות Distinguishedלכל

Name )DN( " מן שבמסלול השמות שרשור י ע המתקבל. בעץ המתאים הצומת אל השורש


Distinguished Name )DN(משמעות – • בעל הגלובאלי במדריך יחודי שהוא שם

חוקית• . מפתח מילת מכיל זוג כל זוגות של סדורה קבוצה

. ערך, שמכילה ומחרוזת שמורה- ל :DNדוגמא

CN )Common Name( = David Cohen

OU )Organizational Unit( = Finance

O )Organization( = IBM

C )Country( = Israel


X.509

•- ה כיצד מגדיר , CAלא אבל- מאורגנים יםשל ההיררכי המבנה על לשמור ממליץ

X.500- : ה, הצמתים- CAכלומר הם ים . כל המדריך של לבניו CAהפנימיים חותם

. להוסיף גם ניתן סרטיפיקטים crossעלcertification.


X.509 v3Certificate format

Version

Certificate serial number

Signature algorithm

Issuer DN

Validity Period

Subject DN

CA’s siganture on the Certificate

Subject public key information

חתום


קבלת סרטיפיקטX.509 סרטיפיקט לקבלת דרכים שתי מגדיר

•Central- ה : זו הפרטי CAבשיטה המפתח את מייצר- ה עבור (subjectוהציבורי מוגנת, ) בצורה אותם ושולח

- ה של. subjectאל לחלוקה מתאימה זו שיטהcertificates ממוגן פיסי אמצעי על שמאוכסנים

(smart cardלדוגמא) •Distributed- ה: זו המפתח subjectבשיטה את מייצר

- , ה אל בקשה ושולח והציבורי לו CAהפרטי שמחזירcertificate הציבורי המפתח עבור


CRLיחודי • הוא בסרטיפיקט שמופיע הסידורי המספר

" אותו י ע שהונפקו הסרטיפיקטים כל .CAמבין•X.509 שבו מנגנון רשימה CAמגדיר מפרסם

מבוטלים סרטיפיקטים .(CRL)שלשל • הסידוריים המספרים את מכילה הרשימה

בו התאריך עם יחד שבוטלו הסרטיפיקטים. בוטל הסרטיפיקט

, CRLבנוסף, • תאריך ) קודם שראינו שדות מכיל.)' וכו סידורי מספר

-CRLה-• " ה י ע .CAחתום


PGP


PGP מבוא -

שה • ידי ותוכנה על PhilמצאהZimmermann.

קבצים • של ואימות הצפנה מאפשרת. אלקטרוני דואר והודעות

• . נפוצה מאוד ופשוטה יעילה תוכנההיום.


PGPמודל האמון של

המשתמשים • שכל רשות של קיום מניח לאעליה .(CA)סומכים

•- כ משמש משתמש על CAכל לחתום ויכול. כרצונו אחרים משתמשים של סרטיפיקטים

מי • על מפורשת בצורה לבד מחליט משתמש כל. לא מי ועל סומך הוא


PGPמודל האמון של בי • נשלחים הפומביים המשתמשים ןהמפתחות

הסרטיפיקטים .בעזרתומפתח • אלקטרוני דואר כתובת מכיל סרטיפיקט

פומבי.• . " שונים משתמשים י ע חתומים הסרטיפיקטים

שלה: מהחברים לבקש יכולה אליס לחתום למשל. שלה הסרטיפיקט על

הסרטיפיקט: הרעיון• על שונות חתימות יאסוף בוב . הוא האם יחליט הוא החתימות סמך על אליס של

. לא או לסרטיפיקט מאמין


- המשךPGPמודל האמון של של Bobכיצד • לסרטיפיקט להאמין האם מחליט

Alice? לא אולחתימות Bobאינטואיטיבית, • רק להאמין צריך

ש:–. " החותם של אמיתי פרטי מפתח י ע נעשו–. " עליהם סומך שהוא משתמשים י ע נעשו


מחזיק המפתחות הפומביים מחזיק מבנה נתונים שנקרא "מחזיק PGPכל משתמש ב-•

( ובו שמורים Public Key Ringהמפתחות הפומביים" )מפתחות פומביים של משתמשים שונים. מבנה נתונים זה

הוא טבלה בה כל שורה מתאימה למפתח פומבי של משתמש כלשהו.

Time

Stamp

KeyID Public

Key

User ID

Owner Trust

Key

Legitimacy

Signatures Sig.

Trusts

נתעלם משני השדות הראשונים.


PGPמימוש מודל האמון של . נתבונן לבוב ששייך מפתחות במחזיק שמדובר נניח

. אליס של כלשהו פומבי למפתח שמתאימה בשורה: הם האחרונים השדות ארבע

Key Legitimacy – מאמין בוב האם קובע אשר בינארי שדה . מחושב זה שדה ערך אליס של פומבי מפתח באמת שזה

י" .PGPע אחרים שדות סמך עלSignatures – הסרטיפיקט על חתימות אוסף בוב זה בשדה

. " אחרים משתמשים י ע שנעשו


- PGPמימוש של מודל האמון של המשך

Owner Trust . השדה – בוב ידי על שנקבע שדהעל אליס של בחתימותיה בוב של האמון את מייצג . הערכים אחרים משתמשים של פומביים מפתחות

: הם השדה של האפשריים–Ultimate Trust – לשורות רק להינתן יכול זה ערך

.) אליס ) עצמו המשתמש של למפתחות שמתאימות–Always Trust–Usually Trust–No Trust

Signatures trusts– בשדה שמופיעה חתימה כל עבור signatures- ה, ערך את המפתח Owner trustנשמר של

החותם.


מימוש מודל האמון - הערותהשדות • בין משמעותי הבדל Key Legitimacyיש

.Owner Trustו-• , להיות עשויים המפתחות במחזיק רשומה כל עבור

של זוגות .Signature+Signature Trustמספר


Key Legitimacyחישוב השדה שהוא • מפתח בעזרת שנעשו חתימות רק בחשבון לוקחים

. בוב בעיני לגיטימיערך • עם חתימה Ultimateשהוא Signature trustכל

משקל .1תקבלערך • עם חתימה משקל Always Trustedכל .X/1תקבלערך • עם חתימה משקל Usually Trustedכל .Y/1תקבלערך • עם חתימה משקל Not Trustedכל .0תקבל

X- (. Yו ( " לא אם בוב המשתמש י ע שנקבעים פרמטרים הם , כי נניח אחרת .X=1, Y=2נאמר


- Key Legitimacyחישוב השדה המשך

שבשדה • החתימות כל של המשקלות סכום אםSignatures הוא1 ,השדה KeyערךLegitimacy להיות .1נקבע

הוא, • השדה ערך .0אחרתיהיה- השדה שערך מנת של, 1על חתימה צריך

עם אחד Xאו, Ultimate Trustמשתמששהם Yאו, Always Trustedמשתמשיםשהם קומבינציה ) Usually Trustedמשתמשים או

משקלות סכום עם (.1אחרת לפחות


מחזיק המפתחות של אליסKey Owner

TrustSigs Sig

TrustsKeyLegi

t

KB )Bob( Always KE )Eve(

KD )David(

KJ )John(

KE )Eve( Usually V

KD )David(

Always -

KJ )John( Always V

Alw. (V)

Alw. (-)Us. (V) 1/2

-1

V


D

Alice

B

C

IHG

E F

Key Legitimacyדוגמא לחישוב במחזיק המפתחות של אליס

V

V

V

V V


מקרא

Ultimate Trust

W signed U

The key is legitimate

Always Trust

Usually Trust

No Trust

V

W U

X=1, Y=2: הנחה

Documents

הגנה במערכות מתוכנתות חורף תשס"ד הרצאה 4