Spojujeme software, technologie a služby

aneb jak prokázat svou identitu a nic při tom nevyzradit

Důkazy s nulovou znalostí

Martin Primas

manažer informační bezpečnosti

Praha, 19.5.2011

Autentizace

Důkazy s nulovou znalostí

Ali Baba v jeskyni

Příklad praktického důkazu s nulovou znalostí

Ohta-Okamoto

ZK-SSH

Agenda

2

Autentizace

Autentizace je proces ověření identity mezi Dokazovatelem – P(Prover - nejčastěji uživatel) a Ověřovatelem – V (Verifier - například informační systém)

Spočívá v důkazu, že Dokazovatel je držitelem předmětu (např.: občanský průkaz, kryptografický token),

informace (např.: heslo, klíč),

biometrické vlastnosti (např.: otisk prstu, obraz sítnice) nebo

o které Ověřovatel ví, že je bezpečně spojena s dokazovanou identitou.

Velmi starý proces, podle biometriky rozeznávají identitu i zvířata.

Omezíme se na případ, kdy je P držitelem tajné informace -tajemství.

Co je to autentizace

4

Proces autentizace musí mít následující vlastnosti:úplnost – pravděpodobnost odmítnutí pravé identity P je zanedbatelná

spolehlivost – pravděpodobnost přijetí falešné identity P je zanedbatelná(Jak moc musí být daná metoda úplná a spolehlivá závisí na konkrétním použití.)

Dokazovatel musí držet tajemství v utajení.Tajemství je v autentizačním protokolu to jediné, co odděluje dokazovatele od ostatních. V případě, že se tajná informace vyzradí, může se za dokazovatele vydávat někdo jiný.

V některých případech nastává problém, pokud o tajemství uniká informace již během procesu autentizace.

Problém autentizačních mechanismů: tajemství se musí při autentizaci použít, nesmí se ale vyzradit.

Vlastnosti a použití autentizace

5

Klasické příklady autentizace:Jméno a heslo. Heslo je chráněno šifrováním.

Využití asymetrické kryptografie, například RSA.

Ani v jednom případě není během autentizace pod kontrolou unikající znalost o tajemství.

Abychom měli pod kontrolou množství informace, které o tajemství během autentizačního protokolu uniká, byly navrženy důkazy s nulovou znalostí, které zaručují, že v rámci protokolu o tajemství neuniká informace žádná.

Při důkazu s nulovou znalostí se o tajemství nedozví žádnou informaci ani ověřovatel a to ani po libovolném opakování protokolu.

Zjednodušeně má autentizace vlastnost nulové znalosti, pokud vše co může být spočteno po autentizaci z komunikace s P, může být spočteno také bez této komunikace.

Nulová znalost?

6

Důkazy s nulovou znalostí

P přesvědčuje V, že zná tajemství jak projít jeskyní. Budeme opakovat t-krát následující:

Ali Baba v jeskyni – popis

8

V - čeká před jeskyní

P - vybere náhodně cestu

P – dojde ke dveřím uvnitř jeskyně

V – poté vybere náhodně cestu návratu P

Nastane jedna z možností:

P – vyjde stejnou cestou

P – cesty se liší, použije tajemství k otevření dveří

Pokud P vždy splní požadavek V, V uvěří identitě P.

1. 2. 3.

Ali Baba v Jeskyni – ?důkaz s nulovou znalostí

Definice důkazu s nulovou znalostí

10

Ali Baba v Jeskyni – důkaz s nulovou znalostí

11

Příklad praktického důkazu s nulovou znalostí

Ohta-Okamoto – Počátek

13

t-krát opakuj:

Ohta-Okamoto - Běh protokolu

14

P - Dokazovatel V – Ověřovatel

1.

Obdrží X

2.

3.Obdrží Y

4.

V uvěří P jeho identitu, pokud přijme Y ve všech t iteracích

Ohta-Okamoto – je interaktivní důkazový systém

15

Ohta-Okamoto – je důkaz s nulovou znalostí

16

Využívá pro autentizaci výše popsaný algoritmus Ohta-

Okamoto, který je důkazem s nulovou znalostí. Ohta-

Okamoto je použit s paramtery: L=4, k=10, t=4. Délka

modulu N je doporučováná 2048 bitů.

Používání ZK-SSH se uživateli jeví stejně jako používání

SSH se standardní autentizací založenou na RSA.

Kódy ke stažení na http://zk-ssh.cms.ac

ZK-SSH implementace pro OpenSSH

17

Důkazy s nulovou znalostí jsou stále přednášeny hlavně na teoretické úrovni, ačkoliv je možné je již dnes využívat v praxi.

Existují technické návrhy pro používání důkazů s nulovou znalostí například na čipových kartách.

Důkazy s nulovou znalostí jsou dlouhodobě zakotveny také ve standardech, například v ISO/IEC 9798-5.

Proč tedy nejsou v praxi více používány? Domnívám se, že je to způsobeno především setrvačností a tím, že nás nic nenutí na tyto techniky přecházet.

Měli bychom, podle mého názoru, uvažovat o důkazech s nulovou znalostí alespoň při implementaci nových systémů .

Závěr

18

19

Mgr. Martin Primas

manažer informační bezpečnosti

OKsystem s.r.o.

Na Pankráci 125, 140 21 Praha 4

www.oksystem.cz

primas@oksystem.cz

Otázky?

Děkuji za pozornost

M. Burmester, Y. Desmedt, T. Beth; Efficient Zero-Knowledge Identification Schemes for Smart Cards; THE COMPUTER JOURNAL, VOL. 35, NO. 1, 1992

Andreas Gaupmann, Christian Schausberger, Ulrich Zehl; Documentation of the zk-ssh Project, 2005

Goldreich O.: Foundations of Cryptography Volume I Basic Tools, Cambridge University Press, Cambridge, 2003.

Jean-Jacques Quisquater, Myriam Quisquater, Muriel Quisquater, Michaël Quisquater and Louis Guillou, et al.; How to Explain Zero-Knowledge Protocols to Your Children; Advances in Cryptology - CRYPT0‘89, LNCS 435, pp. 628-631, 1990.

Kazuo Ohta and Tatsuaki Okamoto, A modification of the Fiat-Shamir scheme, Advances in Cryptology –Crypto 1988 (Shafi Goldwasser, ed.), Lecture Notes in Computer Science, vol. 403, Springer, 1988, pp. 232–243.

ISO/IEC 9798-5:1999

ZK-SSH; A Zero Knowledge Implementation for OpenSSH; http://zk-ssh.cms.ac, 2005.

Zdroje

20