Post on 16-Feb-2019
ZRTP PROTOCOL
Di Phil Zimmermann
Studenti: Anton Duoda,
Angelo Cofano
Cos’è ZRTP?• ZRTP è un nuovo protocollo per telefonate sicure
che consente di effettuare chiamate criptate sulla rete Internet.
• Utilizza un algoritmo pubblico ed evita la complessità dell'Infrastruttura a Chiave Pubblica. In effetti non impiega alcun sistema pubblico di In effetti non impiega alcun sistema pubblico di distribuzione delle chiavi crittografiche. Utilizza l'algoritmo Diffie-Hellman di generazione e scambio delle chiavi e consente il rilevamento di attacchi di tipo Man in The Middle (MiTM),visualizzando una breve stringa di autenticazione che gli utenti leggono e confrontano al telefono.
La Legge
• Forward Secrecy perfetta nel senso che le chiavi di sessione sono distrutte alla fine della chiamata, questo evita anche di poter decriptare vecchie comunicazioni registrate
• La legge impone agli operatori di dare accesso alla Magistratura a qualsiasi tipo di informazione o servizio in loro possesso che, nel caso di ZRTP, sarebbero solo loro possesso che, nel caso di ZRTP, sarebbero solo pacchetti di dati criptati. ZRTP esegue la negoziazione delle chiavi in modalità peer-to-peer e gli operatori di rete non hanno alcun accesso alle chiavi.
• Solo gli utilizzatori finali sono coinvolti nel processo di creazione e negoziazione delle chiavi crittografiche
• ZRTP non ha trapdoors
Concetti
• RTP
• SRTP
• Protocollo Diffie-Hellman
• Un po’ di teoria dei numeri• Un po’ di teoria dei numeri
RTP
• RTP definisce un formato standard per l’invio
di pacchetti audio e video attraverso Internet,
disegnato per comunicazione di tipo end-to-
end, real-time. Garantisce la consegna dei end, real-time. Garantisce la consegna dei
pacchetti perche gestisce la loro perdita.
• Secure Real-time Transport Protocol (SRTP)
definisce un profilo di Real-time Transport
Protocol (RTP)
SRTP
• SRTP si fa carico di provvedere alla cifratura, autenticazione dei messaggi e all’integrità degli stessi in confronto a RTP.
• Le caratteristiche quali cifratura e autenticazione sono opzionali e possono essere disattivate separatamente. opzionali e possono essere disattivate separatamente. Solo l’autenticazione dei messaggi è indispensabile.
• Utilizza come cifrario AES successore di DES.
• Si basa su una gestione esterna della creazione delle chiavi.
• Sono due i protocolli disegnati specificatamente per essere usati con SRTP, ZRTP e MIKEY.
Protocollo Diffie-Hellman
• Lo scambio di chiavi Diffie-Hellman (Diffie-Hellman key exchange) è un protocollo crittografico che consente a due entità di stabilire una chiave condivisa e segreta utilizzando un canale di comunicazione insicuro (pubblico) senza la necessità che le due parti si siano scambiate informazioni o si siano incontrate in precedenza. si siano incontrate in precedenza.
• Lo schema del protocollo Diffie-Hellman fu pubblicato per la prima volta nel 1976 nell'ambito di una collaborazione tra Whitfield Diffie e Martin Hellman.
• I documenti riguardanti l'invenzione, all'epoca giudicata tecnologicamente impraticabile, sono stati tenuti segreti fino al 1997.
• Il protocollo è considerato sicuro contro gli eavesdropper
Descrizione del protocollo
Diffie-Hellman
• Due interlocutori Alice e Bob.
• Si sceglie un numero g (generatore o radice primitiva modulo p), dove p è un numero primo
• Alice, sceglie un numero casuale a e calcola il valore A = ga mod p, e lo invia a Bob, assieme ai valori g e p. A = g mod p, e lo invia a Bob, assieme ai valori g e p.
• Bob da parte sua sceglie un numero casuale b, calcola B = gb mod p e lo invia ad Alice.
• A questo punto Alice calcola KA
= Ba mod p, mentre Bobcalcola K
B= Ab mod p.
• A questo punto i due interlocutori sono entrambi in possesso della chiave.
Un po' di teoria dei numeri
• Generatore o radice primitiva modulo n è un
numero g con la proprietà che ogni numero coprimo
con n è congruente con una potenza di g.
– Per ogni intero a gcd(a, n) = 1, esiste un intero k
tale che gk ≡ a (mod n) quindi gk congruo con a.
– Questi numeri a coprimi ad n, considerati modulo
n, costituiscono un gruppo ciclico rispetto
all'operazione di moltiplicazione indicato con
(Z/nZ)×
Un po' di teoria dei numeri
• EsempioSi consideri per esempio n = 14.
Gli elementi di (Z/14Z)× sono
le classi di congruenza di 1, 3, 5, 9, 11 e 13.
3 è un generatore modulo 14, perché
32 = 9, 33 = 13, 34 = 11, 35 = 5 e 36 = 1 (modulo 14)3 = 9, 3 = 13, 3 = 11, 3 = 5 e 3 = 1 (modulo 14)
• Non è nota nessuna formula generale ragionevolmente semplice per determinare i generatori modulo n.
• Vi sono però dei metodi per individuare un generatore che sono più veloci della semplice verifica per tentativi di tutti i candidati.
Un po' di teoria dei numeri
• Il numero di generatori modulo n, se ne
esistono, è uguale a φ(φ(n))
• Dove φ(n) è la funzione phi di Eulero, detta
anche funzione totiente, il numero degli interi anche funzione totiente, il numero degli interi
positivi minori o uguali ad n tali che sono
coprimi con n
Schema del protocollo
Diffie-Hellman
Ricapitolando• Alice e Bob trovano lo stesso risultato perché gab e gba sono uguali.
• Si noti come solo a, b e gab = gba sono segreti.
• Chiaramente i valori di a, b e p devono esser grandi
• Se p è un primo di almeno 300 cifre e a e b sono almeno di 100
cifre, il miglior algoritmo conosciuto oggigiorno non può trovare il
valore di a (il numero segreto), a partire dalla conoscenza di g, p e
ga mod p usando tutta la potenza computazionale della terra.ga mod p usando tutta la potenza computazionale della terra.
• Questo è il problema del logaritmo discreto.
• Il problema del calcolo dei logaritmi discreti ha notevoli somiglianze
con quello della fattorizzazione dei numeri interi, in quanto
entrambi i problemi sono supposti difficili (non sono noti algoritmi
che li risolvono in tempo polinomiale)
• Si noti come g non debba esser grande, infatti nella pratica è spesso
piccolo.
Esempio di funzionamento
• Partecipanti Alice, Bob (interlocutori), Eve (eavesdropper)
• Posto s = chiave segreta condivisa. s = 2, a = chiave privata di Alice. a = 6, b = chiave privata di
Bob. b = 15, g = base pubblica. g = 5, p = numero primo pubblico. p = 23
Alice
conosce non conosce
p = 23 b = 15
base g = 5
a = 6
56 mod 23 = 8
Bob
conosce non conosce
p = 23 a = 6
base g = 5
b = 15
515 mod 23 = 19
Eve
conosce non conosce
p = 23 a = 6
base g = 5 b = 15
s = 2
5a mod 23 = 8
• Deve essere difficile (deve richiedere troppo tempo di calcolo) per Alice trovare la chiave privata di
Bob e per Bob trovare la chiave privata di Alice. In caso contrario, Eve potrebbe trovare le chiavi dei
due e utilizzarle per mettersi in mezzo, facendo credere a Bob di essere Alice, e ad Alice di essere
Bob. In questo caso si avvierebbero due comunicazioni cifrate, una tra Alice ed Eve, e una tra Eve e
Bob (e la sicurezza della comunicazione sarebbe completamente aggirata).
56 mod 23 = 8
5b mod 23 = 19
196 mod 23 = 2
8b mod 23 = 2
196 mod 23 = 8b mod 23
s = 2
515 mod 23 = 19
5a mod 23 = 8
815 mod 23 = 2
19a mod 23 = 2
815 mod 23 = 19a mod 23
s = 2
5a mod 23 = 8
5b mod 23 = 19
19a mod 23 = s
8b mod 23 = s
19a mod 23 = 8b mod 23
Panoramica del protocollo ZRTP
• Il flusso di chiamata
• Istituzione della sessione RTP
• Accordo sulle chiavi, metodo Diffie-Hellman
– Scoperta– Scoperta
– Commit
– Scambio Diffie-Hellman
– Passaggio a SRTP e conferma
• Fine della sessione
Il flusso di chiamata
• Vengono identificati due ruoli iniziatore e
risponditore
• Scambio di pacchetti ZRTP differenti dai
pacchetti RTP pur mantenendo piena pacchetti RTP pur mantenendo piena
compatibilità
Istituzione della sessione RTP
• La negoziazione delle chiavi e fatta attraverso una sessione RTP.
• signaling secret (sigs)
– sigs = H(call-id|to-tag|from-tag)– sigs = H(call-id|to-tag|from-tag)
– Call-id generata in maniera random
• SRTP segreto (srtps)
– srtps = H(SRTP-mkey|SRTP-msalt)
– Mkey, chiave primaria
– Msalt, chiave conservata (bit Random)
Diffie-Hellman (Scoperta)
• Scambio di identificatori ZRTP (ZID) usati anche
per lo scambio dei segreti conservati (rs1, rs2)
• Scambio di informazioni sulle capacita altrui
– Versioni ZRTP supportate (zrtpv)– Versioni ZRTP supportate (zrtpv)
– Funzioni hash supportate (hash)
– Cifrari supportati (cipher)
– Lunghezza tag (at)
– Tipo di key-agreement (keya)
– Algoritmi (sas)
Diffie-Hellman (Scoperta)
Diffie-Hellman (Scoperta)
• Messaggi chiamati (Hello)
• Risposta (HelloACK)
• Oltre ai segreti rs1, rs2 (ZID) possono esistere
altri segreti che indicheremo con (os)altri segreti che indicheremo con (os)
• Se un segreto non esiste ne verrà creato uno
random
Diffie-Hellman (messaggio iniziale)
Diffie-Hellman (Commit)
• Invio del commit da parte del iniziatore con le informazioni riguardanti i strumenti da utilizzare durante la comunicazione.
• Creazione da parte del iniziatore del valore • Creazione da parte del iniziatore del valore segreto svi corrispondente al valore a della Diffie-Hellman e del valore publico pvicorrispondente al valore A della Diffie-Hellman, svi ha lunghezza doppia rispetto alla lunghezza della chiave AES
Diffie-Hellman (Commit)
Diffie-Hellman (Commit)
• L'iniziatore calcola hvi che è la hash di pviconcatenato con l’informazione del hello del risponditore
hvi = H(pvi|Alice's Hello)hvi = H(pvi|Alice's Hello)
• A causa della simmetria di questa fase ognuno dei interlocutori può comportarsi come un iniziatore, in questo modo inviando il proprio commit. Si risolve questa discordia dando precedenza a chi ha il hvi più alto
Diffie-Hellman
• L'iniziatore si genera le chiavi :– Un valore segreto scelto dall'iniziatore che
chiameremo svi
– Un valore pubblico che chiameremo pvi
• Calcolo del pvi :• Calcolo del pvi :
gsvi mod p
– Dove p,g sono già state scelte key agreement typedurante fase commit
• Calcolo Hash del pvi :
Hvi= H( pvi |Alice's hello)
DH- Continuità delle chiavi ZRTP
• ZRTP fornisce un secondo livello di autenticazione oltre al SAS che vedremo in seguito, contro gli attacchi Man in the Middle ed è basato su una forma di continuità della chiave crittografica.
• Preleva parte dei vecchi dati della chiavi del segreto condiviso Diffie Hellaman durante la chiamata in atto(ZID).condiviso Diffie Hellaman durante la chiamata in atto(ZID).
• Se l’attaccante non è presente nella prima parte è tagliato fuori dalla seconda. Quindi anche se la stringa SAS non è mai usata, la maggior parte degli attacchi è bloccata.
• Le caratteristiche di continuità delle chiavi ZRTP hanno le proprietà di auto riparazione
• Le caratteristiche di continuità derivano da SSH.
Diffie-Hellman-scambio chiavi
• I due interlocutori cercano di generarsi un
segreto condiviso S0 che successivamente
diventerà il segreto condiviso rs0.
• Il risponder ricevuto il commit si genera svr e • Il risponder ricevuto il commit si genera svr e
pvr e raccoglie il segreto condiviso con
l'iniziatore già scambiato in precedenza(ZID)
• Il risponder invia il suo Dhpart1(segreti del
risponder) all'iniziatore
Diffie-Hellman-scambio chiavi
• L'iniziatore che già possiede il proprio Dhpart2
ricevuto il Dhpart1, ordina i segreti, perchè
posizionati in maniera diversa o addirittura
diversi e questo comprometterebbe il calcolo diversi e questo comprometterebbe il calcolo
del segreto condiviso S0
Diffie-Hellman-scambio chiavi
Diffie-Hellman-scambio chiavi
• Una volta che i Dhpart 1-2 corrispondono
viene assegnata questa corrispondenza:
S1 = rs1
S2 = rs2S2 = rs2
S3 = sigs
S4 = srtps
S5 = os
• L'iniziatore calcola mh (message hash):mh= H( Alice's Hello |commit|Dhpart1|Dhpart2)
Diffie-Hellman – SAS
• La SAS sono gli ultimi bit di mh.
• La SAS è visualizzata su entrambe le estremità
comunicanti, per eseguire l'autenticazione è letto
da entrambi gli interlocutori lungo la linea voce. da entrambi gli interlocutori lungo la linea voce.
Qual ora i due valori non combacino siamo sotto
un attacco Man in the Middle. L'uso di un valore
Hash costringe l'attaccante a fare un solo
tentativo per indovinare la SAS, questo permette
di avere SAS molto corte(16 bit) .
Diffie-Hellman-calcolo del segreto
• L'iniziatore calcola il Diffie-Hellman:
dhr = pvrsvi mod p
= (gsvr mod p)svi mod p
= g(svr * svi) mod p
dhss=H(dhr)
• Calcolo del segreto condiviso:S0=H(dhss|S1|S2|S3|S4|S5|mh)
Diffie-Hellman
• L'iniziatore invia il proprio Dhpart2 al
risponder il quale calcolerà :
Hvr = H(pvi|Alice's Hello)
• Se Hvi e Hvr sono diversi abbiamo un attacco • Se Hvi e Hvr sono diversi abbiamo un attacco
Man in the Middle in corso e quindi lo
scambio viene abortito
• Il risponder ordinerà i propri segreti secondo
l'ordine dell'iniziatore e poi si calcolerà S0
HMAC-Hash message authentication code
• E calcolato utilizzando una funzione hash in
combinazione con una chiave segreta ed un
stringa, il quale è utilizzato per verificare sia
l’integrità che l’autenticità del messaggio.l’integrità che l’autenticità del messaggio.
Hm(key|string)
Swich to SRTP and Confermation
• Iniziatore e risponder usano S0 per generare SRTP
master Keys(SRTP-mkey ) e salts (SRTP-msalt). Usano
quindi la funzione Hmac troncando i valori ottenuti
alla lunghezza definita dall’algoritmo SRTP scelto.
Es : New SRTP-mKeyI = Hm(S0, old SRTP-mKey)
• Questa è calcolata anche per msalt e per il responder
e serviranno per le future comunicazioni tra questi
due utenti.
Swich to SRTP and Confermation
• A questo punto iniziatore e risponder si scambiano
due messaggi di conferma che indicano ciò:1. Confermano che l’intera procedura di scambio chiavi è andato a
buon fine e la criptazione è andata a buon fine, e che hanno attivato
la rilevazione contro il Man in the Middle Attackla rilevazione contro il Man in the Middle Attack
2. Utilizzano un flag criptato per confermare che la SAS è stata
scambiata
• Il Ricevente conferma la ricevuta di conferma
dell’iniziatore con un messaggio di conferma
ricevuta CONFACK2
Swich to SRTP and Confermation
• Alla fine entrambe le parti sostituiscono rs0 a
rs1 e rs2 che è calcolato nel seguente modo:
rs0 = Hm(S0 | retained secret)rs0 = Hm(S0 | retained secret)
dove retained secret = RS1 o RS2
Attacchi da un imitatore della voce
a ZRTP
• Difficoltà da parte del attaccante nel
irrompere nella conversazione.
– Tempistica
– Uso di una lista di parole simile al PGP– Uso di una lista di parole simile al PGP
• Possibilità di ripetere più volte la stringa SAS
• Non conoscenza degli utenti
– Basta accorgersi che la voce durante la
conversazione è la stessa che ha letto la stringa
SAS
ZRTP cripta i toni DTMF della
tastiera
• ZRTP cripta tutto il traffico RTP, inclusi i toni
DTMF.
• E' importante cifrare anche questi dati perché
vengono utilizzati, per esempio, per inserire i vengono utilizzati, per esempio, per inserire i
dati delle carte di credito quando vengono
fatte chiamate alle banche.