cryptography intro cs642 computer security
play

Cryptography Intro CS642: Computer Security Professor - PowerPoint PPT Presentation

Cryptography Intro CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642


  1. Cryptography ¡Intro ¡ CS642: ¡ ¡ Computer ¡Security ¡ Professor ¡Ristenpart ¡ h9p://www.cs.wisc.edu/~rist/ ¡ rist ¡at ¡cs ¡dot ¡wisc ¡dot ¡edu ¡ University ¡of ¡Wisconsin ¡CS ¡642 ¡

  2. Cryptography ¡ Basic ¡goals ¡and ¡seHng ¡ TLS ¡(HTTPS) ¡ Provable ¡security ¡ One ¡Eme ¡pad ¡ Block ¡ciphers ¡ University ¡of ¡Wisconsin ¡CS ¡642 ¡

  3. Cryptography: ¡“Hidden ¡wriEng” ¡ • Study ¡and ¡pracEce ¡of ¡building ¡security ¡ protocols ¡that ¡resist ¡adversarial ¡behavior ¡ • Blend ¡of ¡mathemaEcs, ¡engineering, ¡computer ¡ science ¡ WikiLeaks ¡encrypted ¡cables ¡

  4. Cryptography ¡ Internet ¡ US ¡ Don’t ¡want ¡to ¡reveal ¡data ¡early ¡ diplomaEc ¡ cables ¡ Want ¡to ¡store ¡it ¡in ¡way ¡that ¡it ¡ can ¡quickly ¡be ¡revealed ¡later ¡

  5. Cryptography ¡ 01101010 10101010 10101010 11111101 ¡ Internet ¡ 01101010 01101010 10101010 10101010 Don’t ¡want ¡to ¡reveal ¡data ¡early ¡ 10101010 10101010 11111101 ¡ Want ¡to ¡store ¡it ¡in ¡way ¡that ¡it ¡ 11111101 ¡ can ¡quickly ¡be ¡revealed ¡later ¡ Modern ¡cryptography ¡enables ¡this: ¡ -­‑ Encrypt ¡file ¡ -­‑ Store ¡key ¡in ¡secure ¡place ¡

  6. Secure ¡Internet ¡communicaEons ¡ Bank ¡customer ¡ ISP2 ¡ ISP1 ¡ backbone ¡ Bank ¡ Customer ¡and ¡bank ¡want ¡to ¡communicate ¡securely: ¡ -­‑ Confiden'ality ¡(messages ¡are ¡private) ¡ -­‑ Integrity ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡(accepted ¡messages ¡are ¡as ¡sent) ¡ -­‑ Authen'city ¡ ¡ ¡ ¡ ¡(is ¡it ¡the ¡bank? ¡is ¡this ¡the ¡customer?) ¡ -­‑ Non-­‑goal: ¡anonymity ¡ ¡(hide ¡idenEEes) ¡ -­‑ Non-­‑goal: ¡steganography ¡(hide ¡that ¡communicaEon ¡took ¡place) ¡ TLS, ¡SSH, ¡IPsec, ¡PGP ¡

  7. Encrypted ¡hard ¡disks ¡ Company’s ¡intellectual ¡property ¡ Hard ¡ Customer ¡records ¡ disk ¡ Your ¡personal ¡diary ¡ Encrypt ¡hard ¡drives ¡(or ¡volumes): ¡ -­‑ ConfidenEality ¡of ¡data ¡ -­‑ A9acker ¡has ¡physical ¡access ¡to ¡device ¡ Bitlocker, ¡ ¡Truecrypt, ¡Seagate ¡

  8. Crypto ¡ • Powerful ¡tool ¡for ¡confidenEality, ¡authenEcity, ¡ and ¡more ¡ • But: ¡ – must ¡design ¡securely ¡ – must ¡implement ¡designs ¡securely ¡ – must ¡use ¡properly ¡(e.g., ¡key ¡management) ¡

  9. ¡Auguste ¡Kerckhoffs’ ¡(Second) ¡Principle ¡ “The ¡system ¡must ¡not ¡require ¡secrecy ¡and ¡can ¡be ¡stolen ¡ ¡ by ¡the ¡enemy ¡without ¡causing ¡trouble” ¡ A ¡cryptosystem ¡should ¡be ¡secure ¡even ¡if ¡its ¡algorithms, ¡ implementaEons, ¡configuraEon, ¡etc. ¡is ¡made ¡public ¡-­‑-­‑-­‑ ¡ the ¡only ¡secret ¡should ¡be ¡a ¡key ¡ Why? ¡

  10. Some ¡basic ¡primiEves ¡ • Symmetric ¡cryptography ¡(shared ¡key ¡ ¡K) ¡ – encrypEon ¡& ¡decrypEon ¡using ¡K ¡ – message ¡authenEcaEon ¡using ¡K ¡ – pseudorandom ¡funcEons ¡(PRF) ¡ • Public-­‑key ¡cryptography ¡(public ¡key ¡pk, ¡secret ¡key ¡sk) ¡ – encrypt ¡with ¡pk ¡and ¡decrypt ¡with ¡sk ¡ – digitally ¡sign ¡using ¡sk ¡and ¡verify ¡with ¡pk ¡ • Hash ¡funcEons ¡ ¡(no ¡keys) ¡ – used ¡to ¡“compress” ¡messages ¡in ¡a ¡secure ¡way ¡

  11. An ¡example: ¡On-­‑line ¡shopping ¡ h9p://amazon.com ¡ Internet ¡ QuanEty: ¡ ¡ ¡ ¡ ¡, ¡CC#: ¡ ¡5415431230123456 ¡ 10 ¡ 1 ¡ Data ¡confidenEality ¡ Data ¡integrity ¡ We ¡need ¡secure ¡channels ¡for ¡transmiHng ¡data ¡

  12. An ¡example: ¡On-­‑line ¡shopping ¡with ¡TLS ¡ h9ps://amazon.com ¡ Step ¡1: ¡ ¡ Key ¡exchange ¡ protocol ¡to ¡ share ¡secret ¡K ¡ K ¡ K ¡ Enc(K, ¡“QuanEty: ¡ ¡ ¡1 ¡, ¡CC#: ¡ ¡5415431230123456”) ¡ Step ¡2: ¡ Send ¡data ¡via ¡ secure ¡ ¡ channel ¡ TLS ¡uses ¡many ¡cryptographic ¡primiEves: ¡ ¡ key ¡exchange: ¡ hash ¡funcEons, ¡digital ¡signatures, ¡public ¡key ¡encrypEon ¡ ¡ secure ¡channel: ¡ symmetric ¡encrypEon, ¡message ¡authenEcaEon ¡ Mechanisms ¡to ¡resist ¡replay ¡a9acks, ¡man-­‑in-­‑the-­‑middle ¡a9acks, ¡ ¡ truncaEon ¡a9acks, ¡etc… ¡

  13. A ¡short ¡history ¡of ¡TLS ¡up ¡to ¡2009 ¡ How ¡many ¡ ¡ cryptographers ¡ SSL ¡ver ¡2 ¡ involved? ¡ SSL ¡ver ¡2.0 ¡designed ¡by ¡ Hickman ¡at ¡Netscape ¡ ¡ 1994 ¡ Wagner, ¡Goldberg ¡ break ¡SSL ¡ver ¡2 ¡ 1995 ¡ SSL ¡ver ¡3 ¡ Freier, ¡Karlton, ¡Kocher ¡ design ¡SSL ¡ver ¡3.0 ¡ Bleichenbacher ¡breaks ¡RSA ¡PKCS ¡#1 ¡encrypEon, ¡ 1998 ¡ used ¡in ¡SSL ¡ver ¡3 ¡ 1999 ¡ TLS ¡ver ¡1 ¡ released ¡as ¡IETF ¡standard, ¡ TLS ¡ver ¡1.0 ¡ based ¡on ¡SSL ¡3, ¡ many ¡cryptographers ¡ involved ¡ 2001 ¡ Vaudenay, ¡Klima ¡et ¡al. ¡padding ¡a9acks ¡ 2002 ¡ Rogaway ¡ IV ¡re-­‑use ¡insecurity ¡ 2003 ¡ Brumley, ¡Boneh ¡ remote ¡Eming ¡a9acks ¡ 2006 ¡ TLS ¡ver ¡1.1 ¡ TLS ¡ver ¡1.1 ¡ released ¡as ¡standard ¡ … ¡ (more ¡a9acks ¡and ¡fixes) ¡

  14. TLS ¡handshake ¡for ¡ RSA ¡transport ¡ Bank ¡customer ¡ Bank ¡ ClientHello, ¡MaxVer, ¡Nc, ¡Ciphers/CompMethods ¡ Pick ¡random ¡Nc ¡ Pick ¡random ¡Ns ¡ ServerHello, ¡Ver, ¡Ns, ¡SessionID, ¡Cipher/CompMethod ¡ Check ¡CERT ¡ CERT ¡= ¡(pk ¡of ¡bank, ¡signature ¡over ¡it) ¡ using ¡CA ¡public ¡ verificaEon ¡key ¡ C ¡ Pick ¡random ¡PMS ¡ PMS ¡<-­‑ ¡D(sk,C) ¡ C ¡<-­‑ ¡E(pk,PMS) ¡ ChangeCipherSpec, ¡ ¡ { ¡Finished, ¡PRF(MS, ¡“Client ¡finished” ¡|| ¡H(transcript)) ¡} ¡ ¡ ¡ ChangeCipherSpec, ¡ ¡ Bracket ¡notaEon ¡ { ¡Finished, ¡PRF(MS, ¡“Server ¡finished” ¡|| ¡H(transcript’)) ¡} ¡ ¡ ¡ means ¡contents ¡ ¡ encrypted ¡ MS ¡<-­‑ ¡PRF(PMS, ¡“master ¡secret” ¡|| ¡Nc ¡|| ¡Ns ¡) ¡

  15. TLS ¡Record ¡layer ¡ Bank ¡customer ¡ Bank ¡ MS ¡<-­‑ ¡PRF(PS, ¡“master ¡secret” ¡|| ¡Nc ¡|| ¡Ns ¡) ¡ K1,K2 ¡<-­‑ ¡PRF(MS, ¡“key ¡expansion” ¡|| ¡Ns ¡|| ¡Nc ¡) ¡ C1 ¡ C1 ¡<-­‑ ¡E(K1,Message) ¡ Message ¡<-­‑ ¡D(K1,C1) ¡ C2 ¡<-­‑ ¡E(K2,Message’) ¡ C2 ¡ Message’ ¡<-­‑ ¡D(K2,C2) ¡

  16. PrimiEves ¡used ¡by ¡TLS ¡ CERT ¡= ¡(pk ¡of ¡bank, ¡signature ¡over ¡it) ¡ Digital ¡signatures ¡ C ¡ Public-­‑key ¡encrypEon ¡ (RSA) ¡ ChangeCipherSpec, ¡ ¡ PRF ¡ { ¡Finished, ¡PRF(MS, ¡“Client ¡finished” ¡|| ¡H(transcript)) ¡} ¡ ¡ ¡ Hash ¡funcEon ¡ C1 ¡ Symmetric ¡encrypEon ¡ C2 ¡

  17. TLS ¡was ¡built ¡via ¡“design-­‑break-­‑redesign-­‑break…” ¡ We’re ¡now ¡at ¡TLS ¡ver ¡1.2 ¡ Did ¡the ¡TLS ¡designers ¡get ¡it ¡right? ¡ No ¡(publicly) ¡known ¡a9acks ¡ We ¡recently ¡showed ¡some ¡new ¡a9acks ¡against ¡TLS ¡1.2 ¡record ¡layer ¡ ¡ (Paterson, ¡Ristenpart, ¡Shrimpton ¡2011) ¡ Even ¡for ¡“simple” ¡applicaEons ¡(secure ¡channels), ¡secure ¡cryptography ¡ ¡ is ¡ really ¡hard ¡to ¡design . ¡The ¡problems ¡are ¡rarely ¡in ¡primiEves. ¡ Many ¡other ¡tools ¡have ¡similar ¡story: ¡ SSH, ¡IPSec, ¡Kerberos, ¡WEP/WPA ¡ ¡(WiFi ¡security), ¡GSM ¡ ¡(cell ¡phone ¡networks), ¡… ¡ “Those ¡who ¡cannot ¡remember ¡the ¡past ¡are ¡condemned ¡to ¡repeat ¡it” ¡ [Santayana ¡1905] ¡

  18. Provable ¡security ¡cryptography ¡ ¡ Supplement ¡“design-­‑break-­‑redesign-­‑break…” ¡with ¡a ¡more ¡mathemaEcal ¡approach ¡ 1. ¡Design ¡a ¡cryptographic ¡scheme ¡ Shannon ¡1949 ¡ 2. ¡Provide ¡proof ¡that ¡no ¡one ¡ ¡ is ¡able ¡to ¡break ¡it ¡ Security ¡proofs ¡ Formal ¡definiEons ¡ Show ¡it ¡is ¡mathemaEcally ¡ Scheme ¡semanEcs ¡ impossible ¡to ¡break ¡security ¡ Security ¡

Recommend


More recommend