Mobiele security protocollen

Sjouke Mauw
http://www.win.tue.nl/˜sjouke/

ECSS group
Technische Universiteit Eindhoven

(c) S. Mauw, TU/e, 2004 – p.1/25

Eindhoven Computer Science Security group

Fundamenteel:
Wat is een virus?
Wat is authenticatie?
Wat is privacy?
Veiligheid van mobiele software agents.
Toegepast:
Verificatie van security protocollen.
Side-channel aanvallen op smartcards.
Digital Rights Management.
Veilig bewerken van documenten.

(c) S. Mauw, TU/e, 2004 – p.2/25

Overzicht van de voordracht
Motivatie.
Security protocollen.
Voorbeelden:
– Geheimhoudingsprotocol.
– Geheimhoudingsprotocol zonder
gemeenschappelijke sleutel.
– Needham-Schroeder protocol.
– Mig-in-the-middle attack.
– Draadloze netwerken.
– RFID.
Conclusies.

(c) S. Mauw, TU/e, 2004 – p.3/25

Motivatie
“Security protocols are three-line programs that people
still manage to get wrong.”
(Roger Needham)

Security protocol = regels voor het uitwisselen van

informatie om een veiligheidsdoel te bereiken.

(c) S. Mauw, TU/e, 2004 – p.4/25

Veiligheidsdoelen

geheimhouding

authenticatie (communicatiepartner bewijst identiteit)

ondertekening
beschikbaarheid (van informatie of een dienst)
non-repudiation (deelname is niet te ontkennen)

anonimiteit

(c) S. Mauw, TU/e, 2004 – p.5/25

Mobiliteit
Kwetsbare verbindingen.
Geen fysieke bescherming.
Dynamische netwerktopologie.
Geen centraal management.
Heterogeen communicatiepad.
Beperkte reken/geheugencapaciteit.

(c) S. Mauw, TU/e, 2004 – p.6/25

Voorbeeld: geheimhoudingsprotocol

Verzender:
stop geheim in een doos
sluit af
verstuur
Ontvanger:
ontvang
ontsluit doos
haal geheim eruit

(c) S. Mauw, TU/e, 2004 – p.7/25

Diagram van het geheimhoudingsprotocol
sleutel k sleutel k
zender ontvanger

geheim g
{g}k

geheim g

(c) S. Mauw, TU/e, 2004 – p.8/25

Diagram van het geheimhoudingsprotocol
sleutel k sleutel k
zender ontvanger

geheim g
{g}k

geheim g

Vereist gemeenschappelijke sleutel.

Hoe wissel je die uit?

(c) S. Mauw, TU/e, 2004 – p.8/25

Geheimhoudingsprotocol zonder
gemeenschappelijke sleutel
sleutel k sleutel l
zender ontvanger

geheim g
{g}k
{{g}k }l
{g}l

geheim g

(c) S. Mauw, TU/e, 2004 – p.9/25

Aanval op geheimhoudingsprotocol
sleutel k sleutel m sleutel l
zender postbode ontvanger

geheim g
{g}k
{{g}k }m
{g}m

g gestolen

(c) S. Mauw, TU/e, 2004 – p.10/25

Aanval op geheimhoudingsprotocol
sleutel k sleutel m sleutel l
zender postbode ontvanger

geheim g
{g}k
{{g}k }m
{g}m

g gestolen

Helaas: het is niet mogelijk geheime boodschappen uit

te wisselen als je niet eerst iets met elkaar afspreekt.
(c) S. Mauw, TU/e, 2004 – p.10/25
Voorbeeld: authenticatieprotocol van
Needham-Schroeder
Protocol voor wederzijdse authenticatie van twee
partijen (slechts drie regels!).

I R

nonce ni
{i, ni}P Kr

nonce nr
{ni, nr}P Ki
{nr}P Kr

(c) S. Mauw, TU/e, 2004 – p.11/25

Voorbeeld: authenticatieprotocol van
Needham-Schroeder
Protocol voor wederzijdse authenticatie van twee
partijen (slechts drie regels!).
Ontworpen in 1978.

(c) S. Mauw, TU/e, 2004 – p.11/25

Voorbeeld: authenticatieprotocol van
Needham-Schroeder
Protocol voor wederzijdse authenticatie van twee
partijen (slechts drie regels!).
Ontworpen in 1978.
Veel (commerciële) implementaties erop gebaseerd.

(c) S. Mauw, TU/e, 2004 – p.11/25

Voorbeeld: authenticatieprotocol van
Needham-Schroeder
Protocol voor wederzijdse authenticatie van twee
partijen (slechts drie regels!).
Ontworpen in 1978.
Veel (commerciële) implementaties erop gebaseerd.
Correct bewezen in 1989 met behulp van
wiskundige logica.

(c) S. Mauw, TU/e, 2004 – p.11/25

Voorbeeld: authenticatieprotocol van
Needham-Schroeder
Protocol voor wederzijdse authenticatie van twee
partijen (slechts drie regels!).
Ontworpen in 1978.
Veel (commerciële) implementaties erop gebaseerd.
Correct bewezen in 1989 met behulp van
wiskundige logica.
Aanval gevonden in 1996 door Gavin Lowe.
Intruder
a: I(a,m) (m) (a) b: R(a,b)

na
{a, na}P Km
{a, na}P Kb

nb
{na, nb}P Ka
{na, nb}P Ka
{nb}P Km
{nb}P Kb

(c) S. Mauw, TU/e, 2004 – p.11/25

Voorbeeld: authenticatieprotocol van
Needham-Schroeder
Protocol voor wederzijdse authenticatie van twee
partijen (slechts drie regels!).
Ontworpen in 1978.
Veel (commerciële) implementaties erop gebaseerd.
Correct bewezen in 1989 met behulp van
wiskundige logica.
Aanval gevonden in 1996 door Gavin Lowe.
Reden: er was geen rekening gehouden met
oneerlijke protocoldeelnemers
→ man-in-the-middle attack

(c) S. Mauw, TU/e, 2004 – p.11/25

Voorbeeld: Mig-in-the-middle attack

Angola

ch
alle
ng
e
ZA

(c) S. Mauw, TU/e, 2004 – p.12/25

Voorbeeld: Mig-in-the-middle attack

Angola

ch
alle
ng
?

e
ZA

(c) S. Mauw, TU/e, 2004 – p.12/25

Voorbeeld: Mig-in-the-middle attack

ZA Angola

ch
alle
ng
e
Angola ZA

(c) S. Mauw, TU/e, 2004 – p.12/25

Voorbeeld: Mig-in-the-middle attack

ZA Angola

ch
alle
ng
e
Angola ZA

(c) S. Mauw, TU/e, 2004 – p.12/25

Voorbeeld: Mig-in-the-middle attack

ZA Angola

ch
alle
ng
e
Angola ZA

(c) S. Mauw, TU/e, 2004 – p.12/25

Voorbeeld: Mig-in-the-middle attack

ZA Angola

ch
e

alle
ons

ng
resp

e
Angola ZA

(c) S. Mauw, TU/e, 2004 – p.12/25

Voorbeeld: Mig-in-the-middle attack

ZA Angola

ch
e

alle
ons

ng
resp

e
Angola ZA

(c) S. Mauw, TU/e, 2004 – p.12/25

Voorbeeld: Mig-in-the-middle attack

ZA Angola

ch
e

alle
ons

ng
resp

e
Angola ZA

(c) S. Mauw, TU/e, 2004 – p.12/25

Voorbeeld: draadloze netwerken
Mobiel werken, geen draden trekken, goedkoop, status.
Populairste standaard: 802.11 (WiFi, WLAN).
Op meerdere manieren kwetsbaar:

Afluisteren.
Inbreken op netwerk.
Ongeoorloofd gebruik maken van resources.
Denial-of-service aanval.
Inbreken op PC met netwerkkaart.

(c) S. Mauw, TU/e, 2004 – p.13/25



Lokaal netwerk
Draadloze communicatie

Access point

Firewall

Mobiele computer
Boze buitenwereld

(c) S. Mauw, TU/e, 2004 – p.14/25

Aanvallen en verdedigen

Draadloze netwerken vaak opgezet door

ondeskundigen → geen veiligheidsinstellingen (en
b.v. default passwords).
Standaardinstelling: access point toont
identificatiegegevens aan wie maar wil.
Bescherming: gebruik WEP (Wireless equivalency
protocol), maar WEP heeft (cryptografische) fouten.
Na afluisteren van een paar miljoen pakketjes kan
de encryptiesleutel berekend worden.
Bescherming: beperk toegestane computers (dmv.
MAC adres), maar een MAC adres kan gespoofd
omdat ze onversleuteld verstuurd worden.

(c) S. Mauw, TU/e, 2004 – p.15/25

Aanvallen en verdedigen (vervolg)

Bescherming: detecteer vreemde zaken op netwerk,

bijvoorbeeld dubbel gebruik van zelfde MAC.
Bescherming: houd bij welk type netwerkkaart bij
welke MAC hoort.
Bescherming: gebruik VPN (Virtual Private
Network), maar aan te vallen met man-in-the-middle
attack.

(c) S. Mauw, TU/e, 2004 – p.16/25

Aanvallen en verdedigen (vervolg)

Aanval: Denial-of-service attack

– 2,4 GHz (magnetron, babyfoon, . . . )
– Overspoelen met dis-associatieboodschappen.
Aanval: Neem een laptop van een afstand over door
hem te dwingen zelf een access point te worden.
Verdediging: monitor al het draadloze netwerk
verkeer.

(c) S. Mauw, TU/e, 2004 – p.17/25

Bereik

(c) S. Mauw, TU/e, 2004 – p.18/25

War driving in Eindhoven

War driving = rondrijden met een laptop (eventueel

signaalversterker) om kwetsbare draadloze netwerken te
vinden.

(c) S. Mauw, TU/e, 2004 – p.19/25

War driving in Eindhoven

War driving = rondrijden met een laptop (eventueel

signaalversterker) om kwetsbare draadloze netwerken te
vinden.
7 gebieden.
160 netwerken
60% niet beveiligd (waarvan 5 met opzet).
In enkele gevallen geprobeerd in te breken
– Anoniem toegang tot internet.
– Soms toegang tot lokaal netwerk (voorbij de
firewall).
5 van de 15 beveiligde netwerken gekraakt.

(c) S. Mauw, TU/e, 2004 – p.19/25

In het algemeen geldt:

Om een draadloos netwerk aan te vallen hoef je

alleen maar een aantal tools van internet te plukken
(script kiddies).
Maar om een veilig draadloos netwerk op te zetten
heb je veel kennis nodig die je steeds moet updaten.

(c) S. Mauw, TU/e, 2004 – p.20/25

Voorbeeld: RFID tags

RFID = Radio Frequency Identification.

Mobiele microchip antwoordt op
electromagnetische verzoeken.
Geen batterij, weinig mogelijkheden.
Wordt goedkoop (25 cent, vervanging
van diefstallabels, streepjescodes).
Wasbaar (kleding), vouwbaar (geld).
Uniek 64-bits nummer.

(c) S. Mauw, TU/e, 2004 – p.21/25

RFID: mogelijke problemen

Link kledingstuk aan creditcard (winkel herkent je

aan je kleren).
Inbreker zoekt dure apparatuur.
Overheid kent iemands route/locatie.
Kortom: privacy.

Uitdaging:
Ontwikkel protocollen die anonimiteit (of pseudonimiteit)
garanderen.

(c) S. Mauw, TU/e, 2004 – p.22/25

Ontwikkelingen

Mobile IP (RFC 2002).

Vast IP adres versus variabel “care-of” IP adres.
Zero configuration networks.
Authenticatie zonder initiële infrastructuur.
Mobile e-commerce protocols.
Mobile ad hoc networking.
Spontane dynamische netwerken.

(c) S. Mauw, TU/e, 2004 – p.23/25

Conclusies
Security protocollen zijn essentieel onderdeel van
veilige systemen.
Fouten in protocollen voorkomen
→ gebruik formele methoden.
Fouten in implementatie van protocollen voorkomen
→ testen, Common Criteria.
Ontwerpers moeten zich bewust zijn van
veiligheidsdoel en mogelijke aanvallen.

(c) S. Mauw, TU/e, 2004 – p.24/25

(c) S. Mauw, TU/e, 2004 – p.25/25