2003. Fall. Work Shop. Project

Breaking TLS/SSL server authentication

環境情報学部２年　堀田 貴之監修　安藤 類央

Objective

●SSL ／ TLS のチャレンジレスポンスの脆弱性をついた秘匿情報の漏洩

● 現状の SSL/TLS よりもセキュアな認証システムの提示

SSL/TLS（暗号・認証）

TLS　 V1.0 SSL　 V3.０ SSL　 V2.0セッション鍵公開用 RSA認証用（公開鍵暗号）セッションの暗号化（共通鍵暗号）メッセージ認証用（ハッシュ関数） MD5

RSA　 DH　

SHA 　 MD１ ５

RSA　 DSS/DSAAES TLS)　 RC 　 DES/ DES（ ４ ３

赤：非対称暗号　青：対称暗号

SSL/TLS（通信手順）

RSA

暗号化規則y=x (mod n)e

復号化規則x=y (mod n)d

< 特徴 >・剰余を取っているため、この変換は対数を　取って逆算することができない。・暗号と復号の処理が対称・秘密通信にも、ディジタル署名にも利用可能

チャレンジレスポンス認証

● 乱数と暗号技術を利用して行う相手認証

● 要求者 P と認証者 V が秘密鍵Ｋを共有することにより、 V の相手が P であることを認証する。– (1) ＰはＶに認証を要求する。– (2) Ｖは乱数ｒ を生成してＰに送る。– (3) Ｐは Ｅ ( ｒ , Ｋ ) をＶに送る。– (4) Ｖは Ｄ ( Ｅ ( ｒ , Ｋ ), Ｋ ) ＝ｒ を得

て正当な相手であることを認証 する。

チャレンジレスポンス認証の問題

　　問題点　 1) ＰとＶが秘密を共有する必要がある。

⇒ 後にＶ ( の管理者 ) がＰになりすます危険性を避けることができない。

　 2) 非対称暗号技術を利用する方式では、Ｐは自分の秘密鍵をＶに知らせることなしに認証してもらうことが可能だが、理論的にはその間に秘密鍵に関する知識の一部をＶに与えている。

⇒ 後にＶ ( の管理者 ) がＰになりすます可能性 ( 確率 ) は０ではない。

攻撃手段攻撃者が、Ｖの立場で乱数 r を生成してＰに送り認証する処理を何度も実施し、その記録を蓄積しておき。後にＰになりすまし、他のサーバにログインする。その際にサーバから送られてくる乱数 r が蓄積してあった記録の中にあれば、Ｐになりすますことに成功することが出来る。

Code Break

Code Break

Code Break

Code Break(demo)

ゼロ知識対話証明を応用した認証

平方剰余問題に基づくゼロ知識対話証明 ( 数値例 )● 鍵

– 秘密鍵：素数 p ＝ 101, q ＝ 199,　　 自然数 m ＝ 300– 認証鍵： n ＝ 20099, c ( ＝ m 2　　mod n ） ＝ 9604

● 認証プロトコル– 第１ラウンド

• (1) 乱数 r ＝ 5000 、 x ＝ r 2 mod n 　 ＝ 16943• (2) b 　 ＝ 0• (3) y ＝ r mod n　 ＝ 5000• (4) y 2 mod n ＝ 16943,　　x mod n ＝ 16943　 だから、左辺と右辺が一致す

る。– 第 2 ラウンド

• (1) 乱数 r ＝ 12000 、 x ＝ r 2 mod n 　 ＝ 10764• (2) b 　 ＝ 1• (3) y ＝ r ・ m mod n　 ＝ 2279• (4) y 2 mod n ＝ 8299,　　x ・ c mod n ＝ 8299　 だから、左辺と右辺が一致

する。– 以下同様にして、１６ラウンド程度繰り返し、合格と判断する。

Feige-flat-shamir authentication

今後の展望

• OpenSSL よりセキュアなもの– ゼロ知識対話証明を RSA Challenge-Respon

se の代わりにつかう• より包括的な認証システムの開発

– 様々な認証の組み合わせ