基于RSA的网关口令认证密钥交换试卷.pptVIP

基于RSA的网关口令认证密钥交换协议的分析与改进 提 纲 什么是网关口令认证协议 系统模型和攻击者模型 RSA-GPAKE协议回顾 分离攻击的有效性 分离攻击的防御 总结 提 纲 什么是网关口令认证协议 安全目标和攻击者模型 RSA-GPAKE协议回顾 分离攻击的有效性 分离攻击的防御 总结 口令认证密钥交换协议（PAKE） Password Authenticated Key Exchange Crypto, Eurocryt几乎年年出现倩影 最古老，最简单，应用最广泛 安全目标 认证用户身份 交换会话密钥 分类 两方PAKE （最基础，应用最广泛） 三方PAKE （应用广泛，如云环境下） 多方PAKE （特殊场合，如群组通信） 网关口令认证密钥交换协议（GPAKE） Gateway-based Password Authenticated Key Exchange PKC 2005 首次提出 (Abdalla-Fouque-Pointcheval) 系统模型 （三方 PAKE） 用户和认证服务器间预共享一个口令 用户和网关间是开放信道 网关和服务器间是安全信道 提 纲 什么是网关口令认证协议 安全目标和攻击者模型 RSA-GPAKE协议回顾 分离攻击的有效性 分离攻击的防御 总结 GPAKE 安全目标 用户和网关间双向身份认证 用户和网关间会话密钥语义安全性 用户和网关间会话密钥私密性 用户和服务器间共享口令私密性 GPAKE 攻击者能力假设 Dovel-Yao 假设 攻击者可以侦听、插入、删除、修改、重放开放信道中的任何消息； 用户口令空间 是有限的，如106 这一假设是实际的：2012年，剑桥大学学者Bonneau分析了7000万Yahoo的口令，发现口令的有效安全强度为20-21 bit. “攻击—改进—攻击—改进”的历史长河 针对基于RSA的PAKE的攻击 在线口令猜测攻击 离线口令猜测攻击 混合攻击（专门针对RSA相关协议） e-residue 攻击 分离攻击 常常被忽视。本文将显示其威力！ 分离攻击的基本思想 通过与Server交互，来利用其提供的“额外服务”： （1）假冒合法用户与Server进行一次主动会话，从 Server的返回信息里找到口令相关信息； （2）进行本地计算，从 中排除掉一批与返回 信息不符合的口令； （3）回到（1），直到 中剩下1个口令， 一批：有可能是k个,也可能是 。 个。 本质：利用服务器不自觉提供的Oracle服务！ 提 纲 什么是网关口令认证协议 安全目标和攻击者模型 RSA-GPAKE协议回顾 分离攻击的有效性 分离攻击的防御 总结 RSA-GPAKE协议回顾 2011年由Wei等学者提出 后续一系列类似协议被提出 我们以RSA-GPAKE为例，指出类似协议均无法抵抗本报告所提出的分离攻击。 基于RSA的网关口令认证密钥交换协议[J]. 计算机学报, 2011, 34(1): 38–46. Anonymous gateway-riented password-based authenti- cated key exchange based on RSA[J]. EURASIP Journal on Wireless Communications and Networking, 2012, Doi: /10.1186/1687-1499-2011–162. 符号定义 本文分离攻击的基本思想 本质：利用服务器不自觉提供的互素差别Oracle服务！ （1）假冒合法用户与Server进行一次主动会话，从 Server的返回信息里找到口令相关信息: （2）进行本地猜测，从 中排除掉 与 返回信息不符合的口令； （3）回到（1），直到 中剩下1个口令， 我们的攻击方案（在线部分） 网关服务器 我们的攻击方案（离线部分） 本地进行，无须交互 本文攻击的计算复杂度 在线部分：只需要与网关进行几十次Online 交互 离线部分计算复杂度： 如何防御？ 禁止模数n 含小素因子 限制总假冒会话次数 限制连续假冒会话次数 消除认证服务器提供的互素差别预言机服务 不直接拒绝，而是引入随机值， 使攻击者不能确定性的找到有用消息。 安全性 ROM下严格形式化归约证明 总 结 密码协议的失效常源