a standard model security analysis of tls dhe
play

A Standard-Model Security Analysis of TLS-DHE Tibor Jager - PowerPoint PPT Presentation

Jan 03, 2024 •378 likes •763 views

A Standard-Model Security Analysis of TLS-DHE Tibor Jager 1 , Florian Kohlar 2 , Sven Schge 3 , and Jrg Schwenk 2 1 Karlsruhe Ins-tute of Technology

  1. A ¡Standard-­‑Model ¡ Security ¡Analysis ¡of ¡TLS-­‑DHE ¡ Tibor ¡Jager 1 , ¡Florian ¡Kohlar 2 , ¡Sven ¡Schäge 3 , ¡and ¡Jörg ¡Schwenk 2 ¡ ¡ 1 ¡Karlsruhe ¡Ins-tute ¡of ¡Technology ¡ 2 ¡Horst ¡Görtz ¡Ins-tute ¡for ¡IT ¡Security, ¡Bochum ¡ 3 ¡University ¡College ¡London ¡ ¡ ¡ Royal ¡Holloway, ¡University ¡of ¡London ¡ March ¡29, ¡2012 ¡ ¡ 1 ¡

  2. Outline ¡ • Some ¡facts ¡about ¡TLS ¡ • AuthenNcated ¡Key ¡Exchange ¡(AKE) ¡ – TLS ¡Handshake ¡is ¡ not ¡a ¡secure ¡AKE ¡protocol ¡ – Truncated ¡TLS ¡Handshake ¡is ¡provably ¡secure ¡ • Auth. ¡ConfidenNal ¡Channel ¡Establishment ¡(ACCE) ¡ – ACCE ¡security ¡model ¡ – Full ¡TLS ¡is ¡a ¡secure ¡ACCE ¡protocol ¡ • InterpretaNon, ¡extensions, ¡open ¡problems ¡ 2 ¡

  3. Outline ¡ • Some ¡facts ¡about ¡TLS ¡ • AuthenNcated ¡Key ¡Exchange ¡(AKE) ¡ – TLS ¡is ¡ not ¡a ¡secure ¡AKE ¡protocol ¡ – Truncated ¡TLS ¡is ¡provably ¡secure ¡ • Auth. ¡ConfidenNal ¡Channel ¡Establishment ¡(ACCE) ¡ – ACCE ¡security ¡model ¡ – Security ¡proof ¡of ¡ full ¡TLS ¡ • InterpretaNon, ¡extensions, ¡open ¡problems ¡ 3 ¡

  4. Transport ¡Layer ¡Security ¡(TLS) ¡ Client ¡ Server ¡ ApplicaNon ¡ ApplicaNon ¡ hZp, ¡smtp, ¡imap, ¡ PresentaNon ¡ PresentaNon ¡ pop3, ¡[p, ¡sip, ¡… ¡ Session ¡ Session ¡ Transport ¡ TLS ¡ 🔓 ¡ Transport ¡ Network ¡ Network ¡ Data ¡Link ¡ Data ¡Link ¡ Physical ¡ Physical ¡ Confiden3al ¡and ¡ authen3c ¡ communicaNon ¡channel ¡ 4 ¡

  5. TLS ¡and ¡SSL ¡ 2006 ¡ 2008 ¡ 1994 ¡ 1995 ¡ 1999 ¡ SSL ¡1.0 ¡and ¡2.0 ¡ TLS ¡1.0 ¡(=SSL ¡3.1) ¡ (Netscape) ¡ TLS ¡1.1 ¡ TLS ¡1.2 ¡ (IETF ¡standard) ¡ SSL ¡3.0 ¡ (Netscape ¡& ¡Microso[ ¡PCT) ¡ • TLS ¡1.0 ¡and ¡1.1 ¡are ¡sNll ¡widely ¡used ¡ • In ¡this ¡talk: ¡TLS ¡≈ ¡TLS ¡1.0 ¡≈ ¡TLS ¡1.1 ¡≈ ¡TLS ¡1.2 ¡ 5 ¡

  6. TLS ¡Sessions: ¡ Handshake ¡+ ¡Record ¡Layer ¡ Server ¡ Client ¡ 1. ¡Handshake ¡ 2. ¡Record ¡Layer ¡ Handshake: ¡ • NegoNaNon ¡of ¡ cryptographic ¡ Record ¡Layer: ¡ parameters ¡ • Data ¡ encryp3on ¡and ¡ (selecNon ¡of ¡ Cipher ¡Suite ) ¡ authen3ca3on ¡using ¡key ¡k ¡ • (Mutual) ¡ authen3ca3on ¡ • Establishment ¡of ¡ session ¡key ¡ k ¡ 6 ¡

  7. Cipher ¡Suites ¡ • Standardized ¡selec3on ¡of ¡algorithms ¡ for ¡key ¡ exchange, ¡signature, ¡hashing, ¡encrypNon ¡ – TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA ¡ • 3 ¡families ¡ of ¡Cipher ¡Suites: ¡ – Ephemeral ¡Diffie-­‑Hellman ¡(TLS_DHE) ¡ – StaNc ¡Diffie-­‑Hellman ¡(TLS_DH) ¡ – RSA ¡encrypNon ¡(TLS_RSA) ¡ • Cipher ¡Suite ¡determines ¡ sequence ¡and ¡ content ¡of ¡messages ¡in ¡handshake ¡ 7 ¡

  8. TLS_DHE ¡Handshake ¡ 1. ¡Cipher ¡suite ¡agreement: ¡ r C , ¡supported ¡Cipher ¡Suites ¡ S ¡has ¡signature ¡ C ¡has ¡signature ¡ r S , ¡selected ¡Cipher ¡Suite ¡ key ¡(pk S, ¡sk S ) ¡ key ¡(pk C, ¡sk C ) ¡ 2. ¡Key ¡exchange: ¡ g s ¡mod ¡p, ¡Sig(sk S ; ¡ all ¡previous ¡data ) ¡ c ¡ ß ¡Z q ¡ s ¡ ß ¡Z q ¡ g c ¡mod ¡p, ¡Sig(sk C ; ¡ all ¡previous ¡data ) ¡ pms ¡= ¡g cs ¡mod ¡p ¡ pms ¡= ¡g cs ¡mod ¡p ¡ ms ¡= ¡PRF(pms;L 1 ,r C ,r S ) ¡ ms ¡= ¡PRF(pms;L 1 ,r C ,r S ) ¡ k ¡= ¡PRF(ms;L 2 ,r C ,r S ) ¡ k ¡= ¡PRF(ms;L 2 ,r C ,r S ) ¡ 3. ¡FINISHED ¡messages: ¡ Enc(k;const S , ¡fin S ) ¡ fin S ¡= ¡PRF(ms; ¡L 3 , prev. ¡data ) ¡ “Accept” ¡key ¡k ¡ with ¡partner ¡S ¡ Enc(k;const C , ¡fin C ) ¡ fin C ¡= ¡PRF(ms; ¡L 4 , prev. ¡data ) ¡ “Accept” ¡key ¡k ¡ with ¡partner ¡C ¡ Is ¡this ¡ secure? ¡ 8 ¡

  9. Outline ¡ • Some ¡facts ¡about ¡TLS ¡ • AuthenNcated ¡Key ¡Exchange ¡(AKE) ¡ – TLS ¡is ¡ not ¡a ¡secure ¡AKE ¡protocol ¡ – Truncated ¡TLS ¡is ¡provably ¡secure ¡ • Auth. ¡ConfidenNal ¡Channel ¡Establishment ¡(ACCE) ¡ – ACCE ¡security ¡model ¡ – Security ¡proof ¡of ¡ full ¡TLS ¡ • InterpretaNon, ¡extensions, ¡open ¡problems ¡ 9 ¡

  10. Secure ¡AuthenNcated ¡Key ¡Exchange ¡ • Desired ¡properNes: ¡ – Authen3ca3on ¡of ¡communicaNon ¡partners ¡ – Good ¡cryptographic ¡keys ¡ • Several ¡security ¡models ¡ formalizing ¡this ¡noNon ¡ – We ¡use ¡ enhanced ¡version ¡of ¡Bellare-­‑Rogaway ¡ [BR’93] ¡ • Adopted ¡to ¡the ¡public-­‑key ¡sesng ¡ • Cf. ¡Blake-­‑Wilson ¡et ¡al. ¡[BJM’99] ¡ • Model ¡described ¡by ¡two ¡components: ¡ – Execu3on ¡model ¡ – Security ¡defini3on ¡ 10 ¡

  11. ExecuNon ¡Model ¡ S 2 ¡ (pk S2 ,sk S2 ) ¡ C 1 ¡ (pk C1 ,sk C1 ) ¡ C 2 ¡ (pk C2 ,sk C2 ) ¡ Protocol ¡Π ¡ S 1 ¡ (pk S1 ,sk S1 ) ¡ S 3 ¡ (pk S3 ,sk S3 ) ¡ C 3 ¡ (pk C3 ,sk C3 ) ¡ 11 ¡

  12. ExecuNon ¡Model ¡ S 2 ¡ (pk S2 ,sk S2 ) ¡ C 1 ¡ (pk C1 ,sk C1 ) ¡ C 2 ¡ (pk C2 ,sk C2 ) ¡ S 1 ¡ (pk S1 ,sk S1 ) ¡ S 3 ¡ (pk S3 ,sk S3 ) ¡ C 3 ¡ (pk C3 ,sk C3 ) ¡ 12 ¡

  13. ExecuNon ¡Model ¡ S 2 ¡ (pk S2 ,sk S2 ) ¡ C 1 ¡ (pk C1 ,sk C1 ) ¡ C 2 ¡ (pk C2 ,sk C2 ) ¡ sk C1 ¡ sk C2 ,k ¡ S 1 ¡ (pk S1 ,sk S1 ) ¡ k ¡ S 3 ¡ (pk S3 ,sk S3 ) ¡ C 3 ¡ (pk C3 ,sk C3 ) ¡ 13 ¡

  14. Security ¡DefiniNon ¡ C ¡ (pk C ,sk C ) ¡ S ¡ (pk S ,sk S ) ¡ Protocol ¡Π ¡ “Test” ¡ k ¡/ ¡rnd ¡ “accept” ¡with ¡key ¡ k ¡and ¡partner ¡S ¡ “real” ¡/ ¡“random” ¡ • AZacker ¡breaks ¡the ¡protocol ¡if ¡ 1. C ¡(or ¡S) ¡“ accepts ” ¡with ¡partner ¡S ¡(or ¡C), ¡but ¡ S ¡and ¡C ¡do ¡not ¡have ¡ matching ¡conversa-ons , ¡or ¡ 2. it ¡ dis3nguishes ¡“real” ¡from ¡“random” ¡key ¡ 14 ¡

  15. The ¡TLS ¡Handshake ¡is ¡not ¡a ¡ Secure ¡AKE ¡Protocol ¡ 1. ¡Cipher ¡suite ¡agreement ¡ 2. ¡Key ¡exchange ¡ 3. ¡FINISHED ¡messages: ¡ fin S ¡= ¡PRF(ms; ¡L 3 ,prev. ¡data) ¡ Enc(k;const S , ¡fin S ) ¡ “Accept” ¡key ¡k ¡ with ¡partner ¡S ¡ Enc(k;const C , ¡fin C ) ¡ “Accept” ¡key ¡k ¡ fin C ¡= ¡PRF(ms; ¡L 4 ,prev. ¡data) ¡ with ¡partner ¡C ¡ • Enc(k;const S ,fin S ) ¡ allows ¡to ¡dis3nguish ¡ real ¡key ¡k ¡from ¡ random ¡ • AJack: ¡ Given ¡k’ ¡ ∈ ¡{k,rnd}, ¡ – Compute ¡m’ ¡= ¡Dec(k’,(Enc(k;const S ,fin S )) ¡ – If ¡m’ ¡= ¡(const S ,fin S ) ¡then ¡output ¡“real” ¡ – Else ¡output ¡“random” ¡ ¡ • Applies ¡to ¡TLS_DHE, ¡TLS_DHS, ¡and ¡TLS_RSA ¡ 15 ¡

  16. UnsaNsfying ¡SituaNon ¡ • TLS ¡is ¡the ¡ most ¡important ¡ security ¡protocol ¡ • TLS ¡handshake ¡ is ¡insecure ¡ in ¡ any ¡ indisNnguishability-­‑based ¡security ¡model ¡ • Two ¡approaches ¡ to ¡resolve ¡this ¡issue: ¡ 1. Consider ¡a ¡“truncated” ¡TLS ¡handshake, ¡ without ¡encryp3on ¡of ¡FINISHED ¡messages ¡ 2. Develop ¡a ¡ new ¡security ¡model ¡ which ¡allows ¡to ¡ analyze ¡full ¡TLS ¡(handshake ¡+ ¡record ¡layer) ¡ 16 ¡

  17. 1 st ¡Approach: ¡Truncated ¡TLS ¡ 1. ¡Ciphersuite ¡agreement ¡ 2. ¡Key ¡exchange ¡ 3. ¡FINISHED ¡messages: ¡ fin S ¡= ¡PRF(ms; ¡L 3 ,prev. ¡data) ¡ “Accept” ¡key ¡k ¡ fin S ¡ with ¡partner ¡S ¡ fin C ¡ fin C ¡= ¡PRF(ms; ¡L 4 ,prev. ¡data) ¡ “Accept” ¡key ¡k ¡ with ¡partner ¡C ¡ Theorem: ¡ Truncated ¡ TLS-­‑DHE ¡is ¡secure ¡in ¡the ¡Bellare-­‑Rogaway ¡model, ¡if ¡ • the ¡PRF ¡is ¡a ¡ secure ¡pseudo-­‑random ¡func3on , ¡ • the ¡digital ¡signature ¡scheme ¡is ¡ EUF-­‑CMA ¡secure , ¡ • and ¡the ¡ DDH ¡assump3on ¡ holds ¡in ¡the ¡Diffie-­‑Hellman ¡group ¡ 17 ¡

Recommend

A Standard-Model Security Analysis of TLS-DHE Tibor Jager

A Standard-Model Security Analysis of TLS-DHE Tibor Jager

A Standard-Model Security Analysis of TLS-DHE Tibor Jager 1 , Florian Kohlar 2 , Sven Schge 3 , and Jrg Schwenk 2 1 Karlsruhe Ins-tute of Technology

425 views • 17 slides
1 Roscoe 95, Schneider 96, Compositionality Language Approach Abadi-Gordon97

1 Roscoe 95, Schneider 96, Compositionality Language Approach Abadi-Gordon97

Probabilistic Polynomial-Time Standard analysis methods Process Calculus for Security Finite-state analysis Protocol Analysis Easier Dolev-Yao model Symbolic search of protocol runs Proofs of correctness in formal logic

258 views • 7 slides
Analysis Normal Form A Standard Model for Aggregating Clinical Data for Analysis Keith E.

Analysis Normal Form A Standard Model for Aggregating Clinical Data for Analysis Keith E.

Analysis Normal Form A Standard Model for Aggregating Clinical Data for Analysis Keith E. Campbell, MD, PhD 1 , Tim Williams, BS 2 , Raja A. Cholan, MS 2 (1) Veterans Health Administration (2) Deloitte Consulting LLP The Current Health IT

552 views • 12 slides
Standard Model vacuum stability with a 125 GeV Higgs Stefano Di Vita Max Planck Institute for

Standard Model vacuum stability with a 125 GeV Higgs Stefano Di Vita Max Planck Institute for

Standard Model vacuum stability with a 125 GeV Higgs Stefano Di Vita Max Planck Institute for Physics, Munich October 9, 2014 Outline Standard Model vacuum stability 1 NNLO analysis: the gruesome details 2 NNLO analysis: the colorful plots

699 views • 47 slides
Key-Dependent Message Security in the Standard Model Dennis Hofheinz (CWI, Amsterdam) What and

Key-Dependent Message Security in the Standard Model Dennis Hofheinz (CWI, Amsterdam) What and

Key-Dependent Message Security in the Standard Model Dennis Hofheinz (CWI, Amsterdam) What and why? Key-dependent message (KDM) security As IND, but with special encryption oracle Real game: O(F) = ENC SK ( F(SK) ) Random

272 views • 4 slides
1 2 3 The Industry Standard The Industry Standard General purpose structural analysis of

1 2 3 The Industry Standard The Industry Standard General purpose structural analysis of

1 2 3 The Industry Standard The Industry Standard General purpose structural analysis of 2-D General purpose structural analysis of 2 D and 3-D structures subject to static loads 54 55 Creating the Model Creating the Model 56

295 views • 8 slides
Analysis: The U.S. Renewable Fuel Standard How is it Working? 1 Background Energy

Analysis: The U.S. Renewable Fuel Standard How is it Working? 1 Background Energy

Analysis: The U.S. Renewable Fuel Standard How is it Working? 1 Background Energy Independence and Security Act of 2007 (EISA)expands the Renewable Fuel Standard (RFS2) EPA final rule effective July 1, 2010 with full year compliance

530 views • 15 slides
CS161 Midterm 1 Review Midterm 1: March 4, 18:30- 20:00 Same room as lecture Security Analysis

CS161 Midterm 1 Review Midterm 1: March 4, 18:30- 20:00 Same room as lecture Security Analysis

CS161 Midterm 1 Review Midterm 1: March 4, 18:30- 20:00 Same room as lecture Security Analysis and Threat Model Basic security properties CIA Threat model A. We want perfect security B. Security is about risk analysis and

426 views • 29 slides
Analysis of Security Protocols Gavin Lowe Analysis of Security Protocols 02 Overview Brief

Analysis of Security Protocols Gavin Lowe Analysis of Security Protocols 02 Overview Brief

Analysis of Security Protocols 01 Analysis of Security Protocols Gavin Lowe Analysis of Security Protocols 02 Overview Brief introduction to security protocols; Model checking of security protocols, particularly using the process

1.28k views • 110 slides
The Network Network Security Secure against what/whom Security goals Attacker model Same

The Network Network Security Secure against what/whom Security goals Attacker model Same

The Network Network Security Secure against what/whom Security goals Attacker model Same hub `trusted LAN Internet Eavesdrop / block messages / insert messages / ... Typical attacker model security protocol analysis: Attacker

780 views • 63 slides
Formal security analysis of authentication in an asynchronous communication model Bsc thesis

Formal security analysis of authentication in an asynchronous communication model Bsc thesis

Formal security analysis of authentication in an asynchronous communication model Bsc thesis presentation Jacob Wahlgren & Sam Hedin June 18 KTH 1 Outline Introduction Background Secure Data Sharing Methods Results Owner event

1.71k views • 124 slides
Investigating Beyond Standard Model Joydeep Chakrabortty Physical Research Laboratory TPSC

Investigating Beyond Standard Model Joydeep Chakrabortty Physical Research Laboratory TPSC

Outline Standard Model BSM Classification Low Energy Models High Scale Model Remarks Investigating Beyond Standard Model Joydeep Chakrabortty Physical Research Laboratory TPSC Seminar, IOP 5th February, 2013 1 / 35 Outline Standard

476 views • 35 slides
Ludger BioQuant GPEP-A2G2S2 Standard A quantitative glycopeptide standard Gives you

Ludger BioQuant GPEP-A2G2S2 Standard A quantitative glycopeptide standard Gives you

Ludger BioQuant GPEP-A2G2S2 Standard A quantitative glycopeptide standard Gives you reliability and confidence in your: drug analysis glycan release techniques sialic acid analysis monosaccharide analysis Highlights of

377 views • 15 slides
eDocument Security Awareness Model 2. eDocument Security Awareness Model THE EDOCUMENT SECURITY

eDocument Security Awareness Model 2. eDocument Security Awareness Model THE EDOCUMENT SECURITY

eDocument Security Awareness Model 2. eDocument Security Awareness Model THE EDOCUMENT SECURITY AWARENESS MODEL (ESAM) IS A SELF-ASSESSMENT TOOL GOAL OF THE EDOCUMENT SECURITY AWARENESS MODEL: Help governments with their secure document

579 views • 28 slides
Standard Model Tests with Nuclei and Energy Applications Jerry Nolen, ANL and Guy Savard,

Standard Model Tests with Nuclei and Energy Applications Jerry Nolen, ANL and Guy Savard,

Standard Model Tests with Nuclei and Energy Applications Jerry Nolen, ANL and Guy Savard, ANL/Uof C (Standard Model) Yousry Gohar, ANL and Shekhar Mishra, FNAL (Energy) November 17, 2010 Joint Facility for Standard Model Tests with Nuclei and

436 views • 22 slides
Flexible Containment for Executing Untrusted Code Darrell Hyatt Introduction Standard

Flexible Containment for Executing Untrusted Code Darrell Hyatt Introduction Standard

Flexible Containment for Executing Untrusted Code Darrell Hyatt Introduction Standard security model is insufficient for security- critical applications Result sandboxing (among other things) Tailoring of policies to programs

221 views • 11 slides
Overview of State Space Models Standard State Space Model Standard state space model x n +1 =

Overview of State Space Models Standard State Space Model Standard state space model x n +1 =

Overview of State Space Models Standard State Space Model Standard state space model x n +1 = F n x n + G n u n n 0 Straight-forward extensions y n = H n x n + v n Properties where Solving the normal equations F n C

292 views • 16 slides
Strongly Secure One-Round Group Authenticated Key Exchange in the Standard Model Yong Li, Zheng

Strongly Secure One-Round Group Authenticated Key Exchange in the Standard Model Yong Li, Zheng

Strongly Secure One-Round GAKE Strongly Secure One-Round Group Authenticated Key Exchange in the Standard Model Yong Li, Zheng Yang Ruhr-University Bochum CANS 2013 1 / 40 Introduction, Motivation and Contributions GAKE Security Model

515 views • 50 slides
Longitudinal + Reliability = Joint Modeling Carles Serrat Institute of Statistics and Mathematics

Longitudinal + Reliability = Joint Modeling Carles Serrat Institute of Statistics and Mathematics

1- Introduction 2- Longitudinal Data Analysis 3- Survival Analysis 4- The Standard Joint Model 5- Extensions of the Standard Joint Model Longitudinal + Reliability = Joint Modeling Carles Serrat Institute of Statistics and Mathematics Applied

564 views • 33 slides
Towards computing the standard model of particle physics by tensor renormalization group

Towards computing the standard model of particle physics by tensor renormalization group

Towards computing the standard model of particle physics by tensor renormalization group Yoshifumi Nakamura RIKEN, R-CCS TNSAA 2019-2020, Dah-Hsian Seetoo Library/National Chengchi University Taipei, Dec/05/2019 1 Plan Standard model of

498 views • 23 slides
Security and Usability: Analysis and Evaluation Ronald Kainda, Ivan Flechais, and A.W. Roscoe

Security and Usability: Analysis and Evaluation Ronald Kainda, Ivan Flechais, and A.W. Roscoe

Introduction Security-usability threat model Security and usability evaluation Summary Security and Usability: Analysis and Evaluation Ronald Kainda, Ivan Flechais, and A.W. Roscoe Oxford University Computing Laboratory Availability,

829 views • 23 slides
Beyond the Standard Model Markus Luty UC Davis Big Picture Three major paradigms for particle

Beyond the Standard Model Markus Luty UC Davis Big Picture Three major paradigms for particle

Beyond the Standard Model Markus Luty UC Davis Big Picture Three major paradigms for particle physics beyond the standard model Supersymmetry Logos From the Greek: reason, word Strong dynamics, extra dimensions Stratus

658 views • 30 slides
Resonant Double Higgs Production in the Singlet Extended Standard Model at the LHC

Resonant Double Higgs Production in the Singlet Extended Standard Model at the LHC

Resonant Double Higgs Production in the Singlet Extended Standard Model at the LHC arXiv:1701.08774, submitted to PRD Matthew Sullivan, Ian M. Lewis University of Kansas Pheno 2017 Outline 1 Singlet Extended Standard Model 2 The Models

642 views • 20 slides
Model Validation, Sensitivity Analysis and Policy Analysis Jayendran Venkateswaran Model

Model Validation, Sensitivity Analysis and Policy Analysis Jayendran Venkateswaran Model

Model Validation, Sensitivity Analysis and Policy Analysis Jayendran Venkateswaran Model Validation Did we build the right model? Corresponds largely with testing if the model can replicate past behavior/ historical patterns

440 views • 13 slides

More recommend