╚ßst 46 - CW 14/98

Sprßva klφΦ∙ na sφ¥ovΘ ·rovni

BezpeΦnß komunikace v Internetu bez zat∞₧ovßnφ u₧ivatel∙, neznφ to hezky? Pro zajiÜt∞nφ transparentnφch p°enos∙ je nejlepÜφ sφ¥ovß ·rove≥, tj. v rßmci sm∞rovaΦ∙, firewall∙ atd. Nejsou pak pot°ebnΘ zßsahy do aplikacφ jako nap°. n∞kdy u protokolu SSL. RFC1825 a₧ 1829 popisujφ pot°ebn² protokol -- protokol IPsec. Bylo vytvo°eno vφce ne₧ dvacet realizacφ protokolu IPsec, je jeÜt∞ n∞jak² problΘm? Je, a velk² -- v oblasti vhodnΘho algoritmu pro sprßvu klφΦ∙.

ProblΘm nenφ v tom, ₧e by ₧ßdn² pot°ebn² protokol nebyl po ruce. Je, dokonce dva a oba kvalitnφ. Oba krßtkodobΘho charakteru, oba vhodnΘ pro virtußlnφ privßtnφ sφt∞, oba zalo₧enΘ na stejnΘm algoritmu. Ale takΘ oba principißln∞ odliÜnΘ. Prvnφ z nich -- SKIP (Simple Key-Management Protocol) -- je protokol na bßzi protokolu IP a je urΦen² pro jednotlivΘ stanice. Druh² -- ISAKMP (Internet Security Association and Key Management Protocol) -- tvo°φ multiprotokolov² rßmec. Byl sice navr₧en ve dvojici s protokolem Oakley, kter² mu zajiÜ¥uje vytvo°enφ klφΦ∙ pro relaci, ale v budoucnu je schopen spolupracovat s libovoln²m protokolem tohoto typu. SKIP je hotov² a je u₧ od roku 1994 patentovßn. ISAKMP je navr₧en v osmΘ verzi, kterß nenφ, zdß se, poslednφ. SKIP byl navr₧en lidmi z firmy Sun, za dvojicφ ISAKMP/Oakley stojφ firma Cisco. Aby nebyla situace tak jednoduchß, hlßsφ se se sv²m standardem S/WAN skupina v²robc∙ bezpeΦnostnφch produkt∙ (nechybφ mezi nimi ani TIS, CheckPoint, RSA DSI). V oblasti Üifry preferujφ algoritmus RC5, ale v oblasti sprßvy klφΦ∙ jasno nemajφ, nejblφ₧e vÜak majφ k algoritmu SKIP.

Protokol IPsec

Pro zapouzd°ovßnφ datov²ch blok∙ z hlediska bezpeΦnosti jsou definovßna dv∞ specifickß zßhlavφ, pou₧itelnß jak pro stßvajφcφ verzi 4 tak pro novou verzi 6 Internet Protokolu (IP):

╖ Authentication Header (AH) -- viz RFC-1826, rßmec, kter² slou₧φ pro zajiÜt∞nφ autenticity a integrity. U IPv6 je dokonce toto zßhlavφ pro hostujφcφ poΦφtaΦe povinnΘ. Implicitnφ autentizaΦnφ algoritmus je MD5 se 128bitov²m klφΦem (viz RFC-1321). Zßhlavφ AH je odvozeno z pokus∙ o vytvo°enφ 2. verze protokolu pro °φzenφ sφtφ SNMP (Simple Network Management Protocol). P°φjemce paketu vybavenΘho AH zßhlavφm mß mo₧nost si verifikovat, zda p°ijat² paket je tent²₧, kter² byl odeslßn a takΘ relevantnost zdrojovΘ adresy. Pou₧itφ zßhlavφ AH dφky tomu v²razn∞ redukuje riziko vzniklΘ z mo₧nosti ·toku s vyu₧itφm ukradenΘ adresy resp. z  pou₧itφ modifikovanΘho paketu.

╖ Encapsulating Security Payload (ESP) -- viz RFC-1827, zapouzd°enφ, kterΘ navφc slou₧φ pro zajiÜt∞nφ d∙v∞ryhodnosti dat (p°φpadn∞ i k tomu, aby se zabrßnilo pop°enφ odeslßnφ resp. p°φjmu dat). èifruje se zde pomocφ DES-CBC, proto₧e tento zp∙sob ji₧ byl pou₧it v nßvrhu SNMPv2; diskutuje se takΘ mo₧nost pou₧itφ algoritm∙ 3DES, IDEA a RSA. ProblΘmem je, ₧e pou₧itφ vÜech uveden²ch algoritm∙ zatφm podlΘhß exportnφm omezenφm. Zapouzd°it lze bu∩ datagramy IP protokolu vΦetn∞ zßhlavφ (tunelov² model), nebo transportnφ protokolovΘ datovΘ jednotky (transportnφ model) -- viz RFC-1827. Za ukr²vßnφ zßhlavφ datagramu u tunelovΘho modelu se platφ nav²Üenφm sφ¥ovΘ zßt∞₧e.

Zßhlavφ AH a ESP mohou b²t pou₧ita samostatn∞ i spoleΦn∞. Aplikace pou₧φvajφcφ tato zßhlavφ jsou zatφm ve stadiu prototyp∙.

K popisu vztah∙ mezi sφ¥ov²mi entitami z hlediska sφ¥ov²ch slu₧eb slou₧φ tzv. Security Associations (SA). Jde o mno₧inu bezpeΦnostnφch vlastnostφ relace mezi dv∞ma nebo vφce systΘmy komunikujφcφmi prost°ednictvφm protokolu IP. SA jsou jednocestnΘ a jednotn∞ identifikovatelnΘ a to pomocφ indexu bezpeΦnostnφch parametr∙ SPI (Security Parameter Index) a IP adresy. SPI zßvisφ na svΘ domΘn∞ interpretace DOI (Domain of Interpretation), kterß jednotn∞ definuje formßt zprßv, typ v²m∞ny klφΦ∙ a jmennΘ konvence. Jeden v²poΦetnφ systΘm p°itom m∙₧e podporovat vφce domΘn DOI.

Parametry SA jsou trojφho druhu:

╖ specißlnφ pro AH -- tj. autentizaΦnφ algoritmus klφΦe,

╖ specißlnφ pro ESP -- tj. Üifrovacφ algoritmus, dΘlka klφΦe, pou₧itß kryptografickß synchronizace, inicializaΦnφ vektor,

╖ spoleΦnΘ pro AH i ESP -- tj. ₧ivotnost klφΦ∙, ·rove≥ bezpeΦnosti, podpora certifikßt∙ (orientace na u₧ivatele nebo hosty).

SKIP

Dnes je ve sv∞t∞ ji₧ osm v²robc∙, kte°φ testujφ interoperabilitu sv²ch SKIP produkt∙. Krom∞ firmy Sun jsou to Novell, OpenROUTE, IRE, VPNet, Toshiba, Swiss Federal Institute of Technology, izraelsk² CheckPoint a rusk² Elvis+ (rusk² Sun+ ?!).

SKIP mß nßsledujφcφ vlastnosti:

╖ pou₧φvß AH a ESP zapouzd°enφ,

╖ pro Üifrovßnφ podporuje DES, 3DES a SAFER,

╖ pro haÜovßnφ podporuje MD2, MD5 a SHA,

╖ pro autentizaci podporuje MD5,

╖ pro distribuci klφΦ∙ podporuje algoritmus Diffie-Hellmana,

╖ pro D-H v²poΦty je pou₧ita v²konnß knihovna velk²ch Φφsel,

╖ pro ve°ejnΘ klφΦe jsou pou₧ity certifikßty dle X.509,

╖ je zde podpora vφcenßsobn²ch certifikßt∙,

╖ pro certifikßty jsou pou₧ity DSA podpisy; certifikßty jsou haÜovßny -- tzv. otisk certifikßtu,

╖ je zde u₧ivatelsky p°φv∞tivß manipulace se seznamy p°φstupov²ch prßv (ACL -- Access Control List),

╖ pro generovßnφ velk²ch prvoΦφsel je pou₧it specißlnφ program,

╖ je zde podpora mobilnφch u₧ivatel∙ (s notebooky).

ZvlßÜt∞ poslednφ vlastnost je dost v²znamnß -- nap°. firma VPNet dodßvß klientsk² software pro Windows 95 a umo₧≥uje p°ipojit notebooky do virtußlnφch privßtnφch sφtφ (VPN) vytvß°en²ch jejich kryptografick²mi jednotkami VSU-1000. Rovn∞₧ Sun mß svou verzi SKIPu pro PC, umo₧≥ujφcφ se p°ipojit k jejich kryptoza°φzenφm SunScreen SPF-100G. Obr. 1 ukazuje komponenty systΘmu SKIP.

Obecn∞ jsou 4 mo₧nosti, jak bezpeΦn∞ komunikovat z notebooku: zabezpeΦit komunikaci s firewallem, zabezpeΦit komunikaci a₧ k serveru, zabezpeΦit jednu komunikaci notebook-firewall a druhou firewall-server a nakonec zabezpeΦit autentizovanou komunikaci k firewallu a Üifrovanou k serveru.

èifrovßnφ resp. autentizace komunikace mezi entitami i a j jsou zabezpeΦeny velmi efektivnφm zp∙sobem: paket je zaÜifrovßn (autentizovßn) nßhodn∞ generovan²m klφΦem K_p a ten klφΦem K_ij -- viz obr. 2.

Proto₧e klφΦ K_ij m∙₧e b²t v cache pam∞ti, je z°ejmΘ, ₧e Üifrovßnφ minimßln∞ zdr₧uje p°enos. Aktualizace m∙₧e b²t bez zdr₧enφ provßd∞na t°eba pro ka₧d² paket zvlßÜ¥. V₧dy se vypoΦte ka₧d² dalÜφ klφΦ K_ijn ze vztahu K_ijn = h(K_ij,n), kde n je hodnota ΦφtaΦe a h haÜ funkce. P°itom 25 bit∙ hodnoty n lze dekrementovat ka₧dou sekundu a tak staΦφ hodnoty klφΦe K_ij m∞nit jedenkrßt za rok (n na nule).

P°i rozhlaÜovßnφ se pou₧φvß skupinov² klφΦ GIK (Group Interchange Key) -- viz obr.3 -- kter² je p°id∞lovßn podle seznamu ACL.

Prove∩me si bezpeΦnostnφ anal²zu SKIPu:

╖ ┌tok "Man-In-The-Middle": Tomu je zabrßn∞no autentizacφ ve°ejn²ch klφΦ∙.

╖ ┌tok se znalostφ krßtkodobΘho klφΦe: Z K_p nelze vyvodit K_ijn. Znalost vφce klφΦ∙ K_p je ekvivalentnφ s ·toky se znalostφ dvojic p∙vodnφho textu a ÜifrovanΘho textu na K_ijn.

╖ ┌tok p°ehrßnφm: Brßnφ mu dostateΦn∞ Φastß zm∞na klφΦe K_ij.

╖ ┌tok odmφtnutφm slu₧by: M∙₧e probφhat podle dvojφho scΘnß°e:

b) zßplavou po₧adavk∙ na certifikaci -- zde jsou postaΦujφcφ obranou tzv. suÜenky (cookies),

c) zahlcenφ systΘmu v²poΦetn∞ nßroΦn²mi operacemi (D-H v²poΦty); °eÜenφm je si p°edem vypoΦφtat K_ij i pro poΦφtaΦe, s nimi₧ se komunikace teprve oΦekßvß. V p°φpad∞ nßvalu nov²ch po₧adavk∙ pak lze v²poΦet nov²ch K_ij klidn∞ zastavit.

Pro propagaci SKIPu Sun umφstil na http://skip.incog.com/ voln∞ dostupn² zdrojov² i binßrnφ k≤d SKIPu pro FreeBSD a SunOS s exportovatelnou dΘlkou klφΦe 512 bit∙. Pro komunikaci na ·zemφ USA lze pou₧φvat klφΦe o dΘlce 2 048 bit∙.

ISAKMP a Oakley

ISAKMP je rßmec pro sprßvu klφΦ∙ v Internetu, tj. protokolovß podpora pro jednßnφ mezi dv∞ma sφ¥ov²mi stanicemi o bezpeΦnostnφch atributech. Nenφ v n∞m ·mysln∞ zahrnuta ₧ßdnß konkrΘtnφ kryptografickß metoda, proto₧e tyto se vyvφjejφ a m∞nφ a snaha byla odd∞lit to, co je stabilnφ, od toho prom∞nlivΘho. Z hlediska sφ¥ovΘ architektury je ISAKMP umφst∞n na aplikaΦnφ ·rovni -- viz obr. 4.

Formßt datov²ch polφ protokolu ISAKMP je definovßn v souladu s p°ipravovan²m protokolem IPv6. Za zßhlavφm (HDR) jsou pru₧n∞ podle pot°eby z°et∞zeny dalÜφ bloky protokolu, obsahujφcφ ·daje o SA (SA payload), o klφΦφch (KE payload), o nßhodn²ch Φφslech (N payload), o identifikßtorech vzßjemnΘ komunikace (IDji payload inicißtora j-tΘ relace, IDjv payload volanΘho v rßmci j-tΘ relace) a o zp∙sobu vzßjemnΘ autentizace (AUTH payload). Proces navßzßnφ spojenφ v zßkladnφ variant∞ je zobrazen na obr. 5.

╖ autentizaci nenφ Diffie-Hellman∙v, n²br₧ RSA.

Obdobn² protokol na bßzi algoritmu Diffie-Hellmana navrhla i jinß skupina IETF -- Network Working Group a to v roce 1995; protokol se jmenuje Photuris. A tak vlßdne jist² zmatek, proto₧e jsou k dispozici nßvrhy pro Photuris, ISAKMP, Oakley a ISAKMP+Oakley a tyto nejsou vzßjemn∞ konzistentnφ. U₧ivatelΘ Internetu z USA a Kanady si mohou z Webu firmy Cisco Systems stßhnout dΘmona ISAKMPv6, kter² pou₧φvß protokol ISAKMP+Oakley verze 2.