CH2- Protocoles dauthentification

1. Authentification simple

2. Authentification mutuelle
3. Cl de session

4. KDC

Mr Raki HAMMAMI

Dfinition
L'authentification dsigne le processus visant confirmer qu'un commettant est bien celui qu'il prtend tre.

L'authentification permet donc de valider l'authenticit de l'entit en question

ATTENTION: L'identification permet donc de connatre l'identit d'une entit alors que l'authentification permet de vrifier cette identit.

Mthodes de vrifications
La phase de vrification fait intervenir un protocole d'authentification. On en distingue trois sortes familles :

L'authentification simple : l'authentification ne repose que sur un seul lment ou facteur (exemple : l'utilisateur indique son mot de passe).
L'authentification forte : l'authentification repose sur deux facteurs ou plus.

L'Authentification unique : (ou identification unique ; en anglais Single Sign-On ou SSO) est une mthode permettant un utilisateur de ne procder qu' une seule authentification pour accder plusieurs applications informatiques (ou sites internet scuriss).

Authentification

1. Authentification simple
1.1 Cl secrte partage
La cl secrte (partage) est utilise pour chiffrer R : notation f (K, R) = K{R}
ou bien:

f est une fonction de hachage.

Vulnrabilits :
Cls stockes dans une base de donnes sur le serveur (Bob),
et sur tous les serveurs pour lesquels le client (Alice) utilise la mme cl

Clair connu (R) Attaque de dictionnaire possible si cl faible (par ex. drive dun mot de passe faible).

Variante
Alice prouve sa capacit de dchiffrer.

Estampille
Bob dchiffre, et vrifie que lestampille appartient un intervalle de temps acceptable Un seul message, attaque de dictionnaire difficile Demande des horloges assez bien synchronises

Vulnrabilits et remdes :
Replay Bob doit mmoriser les estampilles utilises par Alice, jusqu leur expiration. Replay vers un autre serveur (pour lequel le client (Alice) utilise la mme cl) Ajouter (concatner) lidentit du serveur lestampille.

Estampille (2)
Pour utiliser une fonction de hachage (au lieu dun chiffrement), il faut aussi transmettre lestampille en clair :

Attaque de dictionnaire nouveau possible.

Authentification simple
1.2 Cl publique
Alice utilise sa cl secrte pour chiffrer R (signature). Bob utilise la cl publique dAlice pour dchiffrer.

La base de donnes du serveur (Bob) ne contient que des cls publiques: protge seulement en criture.

Vulnrabilit :
Un intrus, qui usurpe lidentit de Bob, obtient un message de son choix (R) sign par Alice, utilisable dans un autre contexte.

Remde :
vrifier type et taille avant de signer.

Variante
Alice prouve sa capacit de dchiffrer.

Vulnrabilit :
Un intrus, qui usurpe lidentit de Bob, fait dchiffrer par Alice un message de son choix (peut-tre intercept dans un autre contexte).

2. Authentification Mutuelle
2.1 Cl secrte partage

Protocole 1 excut dans les deux sens. Celui qui prend linitiative sauthentifie en premier.

Mutuelle (2)

Ce protocole, qui semble tre une simple optimisation du prcdent, prsente une vulnrabilit fondamentale (absente du protocole 7)

Attaque par rflexion

Trudy ouvre une seconde session, pour obtenir de Bob lauthentification quelle ne peut fabriquer !

Trudy ferme la seconde session, et peut maintenant reprendre la premire session et sauthentifier !

Attaque par rflexion (2)

Contre-mesures
Alice et Bob utilisent des cls diffrentes (drives de K), par exemple K et K+1

Alice et Bob utilisent des dfis de types diffrents, par exemple Alice calcule f (K, Alice|R), tandis que Bob calcule f (K, Bob|R)

Mais ce protocole reste particulirement vulnrable une attaque de dictionnaire, puisque Bob effectue le calcul demand par Alice, avant authentification dAlice.

Authentification mutuelle
2.2 Cl publique
Dissymtrie : pas dattaque par rflexion

Variante : Alice envoie R2 et Bob retourne R2 sign (idem pour R1). PKI (Public Key Infrastructure) : comment stocker la cl publique de Bob et la cl prive dAlice de faon sre.
Faiblesse : Bob dchiffre un message choisi par Alice (voir protocoles 5 et 6).

Authentification mutuelle
2.3 Estampilles

Kerberos V4 ! f dsigne la fonction de chiffrement. Bob doit mmoriser les valeurs de timestamp et timestamp + 1 pour viter les attaques par replay Variantes comme dans le protocole 3 (concatner nom du destinataire et estampille)

3. Cl de session
Indispensable pour viter un dtournement (hijacking) de session aprs authentification.
Cl temporaire.

3.1 Aprs authentification par cl secrte partage

Cls de session possibles : (K+1){R} : OK K{R+1} : faible

etc.
Cl de session calcule partir de K (secret) et R (diffrent pour chaque session)

Cl de session (2)
3.2 Aprs authentification par cl publique
Alice choisit une cl S (type), la chiffre avec la cl publique de Bob, et signe le rsultat avec sa clef prive.
Un attaquant qui enregistre ce message, et la session crypte, peut tout dcrypter plus tard sil se rend matre (overruns) de Bob. Contre-mesure : Alice met {S1}Bob et Bob met {S2}Alice ; la cl S1 S2 ne peut tre retrouve quaprs invasion dAlice et Bob. Diffie-Hellman avec des messages signs : PFS (Perfect Forward Secrecy)

4. KDC (Key Distribution Center)

Needham-Schroeder

K Alice : cl secrte dAlice chez KDC K Bob : cl secrte de Bob chez KDC

Needham-Schroeder
(message 3)
Aprs rception du message 3, et dchiffrement du ticket, Bob sait que : le ticket a t fabriqu par le KDC pour Alice (son identit figure dans le ticket) le ticket a t fabriqu par un agent qui connat la clef secrte de Bob (sinon Bob aurait obtenu un message incohrent aprs dchiffrement)

Le message 3 contient aussi un dfi dAlice, que Bob doit dchiffrer pour prouver quil connat KAB .

Needham-Schroeder
(message 4)
Aprs rception du message 4, Alice sait que : son correspondant C connat KAB C connat donc la clef secrte qui a servi chiffrer le ticket

Le message 4 contient aussi un dfi symtrique de Bob, quAlice doit dchiffrer pour prouver quelle connat K AB .

Needham-Schroeder (2)

Rle de N1 (Nonce = Number Once) : sinon Trudy conserve le message 2, jusqu dcouverte de la cl de Bob retourne ce message Alice, la place du KDC (?) prend la place de Bob (?) (messages 3 5), mme si Bob a chang de cl entre-temps

Needham-Schroeder (3)

Attention : attaque par rflexion si K{x,y} = K{x}, K{y}

Needham-Schroeder

1978 bug dcouvert en 1981.

Si Trudy enregistre le message 2, et dcouvre plus tard la cl dAlice, elle peut se faire passer pour Alice auprs de Bob (messages 3 et 5), mme si Alice a chang de cl entre-temps !

Expanded Needham-Schroeder

Otway-Rees

Otway-Rees (2)
Le KDC vrifie que NC est le mme dans les deux parties du message 2, ce qui authentifie Bob Le message 4 assure Alice que le KDC est lgitime (il a dchiffr N A) Le message 4 assure Alice que Bob est lgitime (vrifi par le KDC) Le message 3 assure Bob que le KDC est lgitime (il a dchiffr N B)

Exercice : si NC est prvisible, Trudy peut se faire passer pour Bob.

Kerberos (principe)