基于RSA的網(wǎng)關(guān)口令認(rèn)證密鑰交換

1、 基于基于RSA的網(wǎng)關(guān)口令認(rèn)證密鑰交換協(xié)議的分析與改進(jìn)的網(wǎng)關(guān)口令認(rèn)證密鑰交換協(xié)議的分析與改進(jìn)提 綱o 什么是網(wǎng)關(guān)口令認(rèn)證協(xié)議o 系統(tǒng)模型和攻擊者模型o RSA-GPAKE協(xié)議回顧o 分離攻擊的有效性o 分離攻擊的防御o 總結(jié)提 綱o 什么是網(wǎng)關(guān)口令認(rèn)證協(xié)議什么是網(wǎng)關(guān)口令認(rèn)證協(xié)議o 安全目標(biāo)和攻擊者模型o RSA-GPAKE協(xié)議回顧o 分離攻擊的有效性o 分離攻擊的防御o 總結(jié)口令認(rèn)證密鑰交換協(xié)議（PAKE）o Password Authenticated Key Exchangeo Crypto, Eurocryt幾乎年年出現(xiàn)倩影o 最古老，最簡(jiǎn)單，應(yīng)用最廣泛o 安全目標(biāo)n 認(rèn)證用戶身份n 交

2、換會(huì)話密鑰o 分類n 兩方PAKE （最基礎(chǔ)，應(yīng)用最廣泛） n 三方PAKE （應(yīng)用廣泛，如云環(huán)境下）n 多方PAKE （特殊場(chǎng)合，如群組通信） 網(wǎng)關(guān)口令認(rèn)證密鑰交換協(xié)議（GPAKE）o Gateway-based Password Authenticated Key Exchange o PKC 2005 首次提出 (Abdalla-Fouque-Pointcheval)o 系統(tǒng)模型 （三方 PAKE）n 用戶和認(rèn)證服務(wù)器間預(yù)共享一個(gè)口令n 用戶和網(wǎng)關(guān)間是開放信道n 網(wǎng)關(guān)和服務(wù)器間是安全信道提 綱o 什么是網(wǎng)關(guān)口令認(rèn)證協(xié)議什么是網(wǎng)關(guān)口令認(rèn)證協(xié)議o 安全目標(biāo)和攻擊者模型安全目標(biāo)和攻擊者模型o

3、RSA-GPAKE協(xié)議回顧o 分離攻擊的有效性o 分離攻擊的防御o 總結(jié) GPAKE 安全目標(biāo)p 用戶和網(wǎng)關(guān)間雙向身份認(rèn)證p 用戶和網(wǎng)關(guān)間會(huì)話密鑰語(yǔ)義安全性p 用戶和網(wǎng)關(guān)間會(huì)話密鑰私密性p 用戶和服務(wù)器間共享口令私密性雙向認(rèn)證雙向認(rèn)證會(huì)話密鑰會(huì)話密鑰 GPAKE 攻擊者能力假設(shè)p Dovel-Yao 假設(shè) 攻擊者可以偵聽、插入、刪除、修改、重放開放信道中的任何消息；p 用戶口令空間 是有限的，如106 這一假設(shè)是實(shí)際的：2012年，劍橋大學(xué)學(xué)者Bonneau分析了7000萬Yahoo的口令，發(fā)現(xiàn)口令的有效安全強(qiáng)度為口令的有效安全強(qiáng)度為20-21 bit. “攻擊改進(jìn)攻擊改進(jìn)”的歷史長(zhǎng)河針對(duì)基于

4、RSA的PAKE的攻擊o 在線口令猜測(cè)攻擊 o 離線口令猜測(cè)攻擊o 混合攻擊（專門針對(duì)RSA相關(guān)協(xié)議）ne-residue 攻擊n分離攻擊 常常被忽視。本文將顯示其常常被忽視。本文將顯示其威力！威力！分離攻擊的基本思想o 通過與Server交互，來利用其提供的“額外服務(wù)”： （1）假冒合法用戶與Server進(jìn)行一次主動(dòng)會(huì)話，從 Server的返回信息里找到口令相關(guān)信息； （2）進(jìn)行本地計(jì)算，從 中排除掉一批與返回 信息不符合的口令； （3）回到（1），直到 中剩下1個(gè)口令，o 一批：有可能是k個(gè),也可能是 。 個(gè)。o 本質(zhì)：利用服務(wù)器不自覺提供的Oracle服務(wù)！提 綱o 什么是網(wǎng)關(guān)口令認(rèn)證協(xié)

5、議什么是網(wǎng)關(guān)口令認(rèn)證協(xié)議o 安全目標(biāo)和攻擊者模型安全目標(biāo)和攻擊者模型o RSA-GPAKE協(xié)議回顧協(xié)議回顧o 分離攻擊的有效性o 分離攻擊的防御o 總結(jié)RSA-GPAKE協(xié)議回顧o 2011年由Wei等學(xué)者提出o 后續(xù)一系列類似協(xié)議被提出o 我們以RSA-GPAKE為例，指出類似協(xié)議均無法抵抗本報(bào)告所提出的分離攻擊。l基于RSA的網(wǎng)關(guān)口令認(rèn)證密鑰交換協(xié)議J. 計(jì)算機(jī)學(xué)報(bào), 2011, 34(1): 3846.lAnonymous gateway-riented password-based authenti- cated key exchange based on RSAJ. EURASIP

6、Journal on Wireless Communications and Networking, 2012, Doi: /10.1186/1687-1499-2011162. 符號(hào)定義本文分離攻擊的基本思想o 本質(zhì)：本質(zhì)：利用服務(wù)器不自覺提供的互素差別Oracle服務(wù)！ （1）假冒合法用戶與Server進(jìn)行一次主動(dòng)會(huì)話，從 Server的返回信息里找到口令相關(guān)信息: （2）進(jìn)行本地猜測(cè)，從 中排除掉 與 返回信息不符合的口令； （3）回到（1），直到 中剩下1個(gè)口令，我們的攻擊方案（在線部分）網(wǎng)關(guān)服務(wù)器網(wǎng)關(guān)服務(wù)器我們的攻擊方案（離線部分）本地進(jìn)行，無須交互本地進(jìn)行，無須交互本文攻擊的計(jì)算復(fù)雜度o 在線部分：只需要與網(wǎng)關(guān)進(jìn)行幾十次Online 交互o 離線部分計(jì)算復(fù)雜度：如何防御？o 禁止模數(shù)n 含小素因子 o 限制總假冒會(huì)話次數(shù)o 限制連續(xù)假冒會(huì)話次數(shù)o 消除認(rèn)證服務(wù)器提供的互素差別預(yù)言機(jī)服務(wù)n 不直接拒絕，而是引入隨機(jī)值， 使攻擊者不能確定性的找到有用消息。安全性o ROM下嚴(yán)格形式化歸約證明總 結(jié)o 密碼協(xié)議的失效常源于對(duì)潛在攻擊的認(rèn)識(shí)不足。o 本文突