Upload
oksystem
View
194
Download
4
Embed Size (px)
Citation preview
Spojujeme software, technologie a služby
aneb jak prokázat svou identitu a nic při tom nevyzradit
Důkazy s nulovou znalostí
Martin Primas
manažer informační bezpečnosti
Praha, 19.5.2011
Autentizace
Důkazy s nulovou znalostí
Ali Baba v jeskyni
Příklad praktického důkazu s nulovou znalostí
Ohta-Okamoto
ZK-SSH
Agenda
2
Autentizace je proces ověření identity mezi Dokazovatelem – P(Prover - nejčastěji uživatel) a Ověřovatelem – V (Verifier - například informační systém)
Spočívá v důkazu, že Dokazovatel je držitelem předmětu (např.: občanský průkaz, kryptografický token),
informace (např.: heslo, klíč),
biometrické vlastnosti (např.: otisk prstu, obraz sítnice) nebo
o které Ověřovatel ví, že je bezpečně spojena s dokazovanou identitou.
Velmi starý proces, podle biometriky rozeznávají identitu i zvířata.
Omezíme se na případ, kdy je P držitelem tajné informace -tajemství.
Co je to autentizace
4
Proces autentizace musí mít následující vlastnosti:úplnost – pravděpodobnost odmítnutí pravé identity P je zanedbatelná
spolehlivost – pravděpodobnost přijetí falešné identity P je zanedbatelná(Jak moc musí být daná metoda úplná a spolehlivá závisí na konkrétním použití.)
Dokazovatel musí držet tajemství v utajení.Tajemství je v autentizačním protokolu to jediné, co odděluje dokazovatele od ostatních. V případě, že se tajná informace vyzradí, může se za dokazovatele vydávat někdo jiný.
V některých případech nastává problém, pokud o tajemství uniká informace již během procesu autentizace.
Problém autentizačních mechanismů: tajemství se musí při autentizaci použít, nesmí se ale vyzradit.
Vlastnosti a použití autentizace
5
Klasické příklady autentizace:Jméno a heslo. Heslo je chráněno šifrováním.
Využití asymetrické kryptografie, například RSA.
Ani v jednom případě není během autentizace pod kontrolou unikající znalost o tajemství.
Abychom měli pod kontrolou množství informace, které o tajemství během autentizačního protokolu uniká, byly navrženy důkazy s nulovou znalostí, které zaručují, že v rámci protokolu o tajemství neuniká informace žádná.
Při důkazu s nulovou znalostí se o tajemství nedozví žádnou informaci ani ověřovatel a to ani po libovolném opakování protokolu.
Zjednodušeně má autentizace vlastnost nulové znalosti, pokud vše co může být spočteno po autentizaci z komunikace s P, může být spočteno také bez této komunikace.
Nulová znalost?
6
P přesvědčuje V, že zná tajemství jak projít jeskyní. Budeme opakovat t-krát následující:
Ali Baba v jeskyni – popis
8
V - čeká před jeskyní
P - vybere náhodně cestu
P – dojde ke dveřím uvnitř jeskyně
V – poté vybere náhodně cestu návratu P
Nastane jedna z možností:
P – vyjde stejnou cestou
P – cesty se liší, použije tajemství k otevření dveří
Pokud P vždy splní požadavek V, V uvěří identitě P.
1. 2. 3.
t-krát opakuj:
Ohta-Okamoto - Běh protokolu
14
P - Dokazovatel V – Ověřovatel
1.
Obdrží X
2.
3.Obdrží Y
4.
V uvěří P jeho identitu, pokud přijme Y ve všech t iteracích
Využívá pro autentizaci výše popsaný algoritmus Ohta-
Okamoto, který je důkazem s nulovou znalostí. Ohta-
Okamoto je použit s paramtery: L=4, k=10, t=4. Délka
modulu N je doporučováná 2048 bitů.
Používání ZK-SSH se uživateli jeví stejně jako používání
SSH se standardní autentizací založenou na RSA.
Kódy ke stažení na http://zk-ssh.cms.ac
ZK-SSH implementace pro OpenSSH
17
Důkazy s nulovou znalostí jsou stále přednášeny hlavně na teoretické úrovni, ačkoliv je možné je již dnes využívat v praxi.
Existují technické návrhy pro používání důkazů s nulovou znalostí například na čipových kartách.
Důkazy s nulovou znalostí jsou dlouhodobě zakotveny také ve standardech, například v ISO/IEC 9798-5.
Proč tedy nejsou v praxi více používány? Domnívám se, že je to způsobeno především setrvačností a tím, že nás nic nenutí na tyto techniky přecházet.
Měli bychom, podle mého názoru, uvažovat o důkazech s nulovou znalostí alespoň při implementaci nových systémů .
Závěr
18
19
Mgr. Martin Primas
manažer informační bezpečnosti
OKsystem s.r.o.
Na Pankráci 125, 140 21 Praha 4
www.oksystem.cz
Otázky?
Děkuji za pozornost
M. Burmester, Y. Desmedt, T. Beth; Efficient Zero-Knowledge Identification Schemes for Smart Cards; THE COMPUTER JOURNAL, VOL. 35, NO. 1, 1992
Andreas Gaupmann, Christian Schausberger, Ulrich Zehl; Documentation of the zk-ssh Project, 2005
Goldreich O.: Foundations of Cryptography Volume I Basic Tools, Cambridge University Press, Cambridge, 2003.
Jean-Jacques Quisquater, Myriam Quisquater, Muriel Quisquater, Michaël Quisquater and Louis Guillou, et al.; How to Explain Zero-Knowledge Protocols to Your Children; Advances in Cryptology - CRYPT0‘89, LNCS 435, pp. 628-631, 1990.
Kazuo Ohta and Tatsuaki Okamoto, A modification of the Fiat-Shamir scheme, Advances in Cryptology –Crypto 1988 (Shafi Goldwasser, ed.), Lecture Notes in Computer Science, vol. 403, Springer, 1988, pp. 232–243.
ISO/IEC 9798-5:1999
ZK-SSH; A Zero Knowledge Implementation for OpenSSH; http://zk-ssh.cms.ac, 2005.
Zdroje
20