SSL – Secure Socket Layer and TLS – Transport Layer Security חלק מהשקפים נלקחו מ: W. Stallings. Cryptography and Network Security. Second Edition. Prentice Hall. 1998.

SSL ו- TLS – היסטוריה ומטרות מטרה: Server Client רוצים להחליף הודעות בצורה אמינה, סודית ואותנטית, תוך מניעה מהתחזויות. היסטוריה: SSL – פרוטוקול שפותח ע"י Netscape ב- 1995 גרסה 3 פותחה עם הערות מהציבור הרחב TLS – סטנדרט שמתבסס על SSL, תקן של IETF TLS 1.0 – 1999 TLS 1.1 – 2006 TLS 1.2 – 2008 TLS 1.3 – טיוטה .

SSL/TLSחשיבות Originally designed for secure e-commerce, now used much more widely. Retail customer access to online banking facilities. Access to gmail, facebook, Yahoo, etc. Mobile applications, including banking apps. Payment infrastructures. TLS has become the de facto secure channel protocol of choice. Used by hundreds of millions of people and devices every day.

Location of Security Facilities in the TCP/IP Protocol Stack

SSLכלים קריפטוגרפיים ב- מערכת הצפנה סימטרית MAC ופונקציות hash קריפטוגרפיות לאיתחול: פרוטוקולים להחלפת מפתחות Certificates – אישורים חתימות דיגיטליות מטרת ההרצאה: תיאור מערכת ה SSL (גירסה 3) הדגמה של שילוב הכלים שלמדנו למערכת מעשית

Certificates Cetficate – אישור על זהות האישור חתום ע"י גורם מאשר – CERTIFICATION AUTHORITY (CA) שרת צריך להירשם אצל CA כדי לקבל Certificate DN = DOMAIN NAME

Certificates in Browsers

SSL Protocol Stack SSL Record – רמה הנמוכה ששולחת הודעות HyperText Transfer Protocol (HTTP) – מבצע תקשורת בין צרכן לשרת (לא חלק מה SSL) יכול להשתמש בפרוטוקול Record לתקשורת בטוחה Handshake Protocol – אתחול התקשורת הבטוחה Change Cipher Spec – גורם למעבר למפתחות חדשים Alert – שולח הודעות שגיאה ואזהרה

SSLהרכיבים הבסיסיים ב- SSL session – מפגש בין צרכן לספק. נוצר ע"י הפרוטוקול ללחיצת ידיים מגדיר קבוצת של פרמטרי בטיחות קריפטוגרפיים ומפתחות. SSL conection – חיבור זמני בין צרכן לספק חלק ממפגש במפגש אחד יכולים להיות מספר חיבורים מטרה: חיסכון בזמן עבור האתחול

SSL Protocol Stack

SSL Record Protocol הפרוטוקול ששולח ומקבל הודעות בצורה בטוחה: מבצע דחיסה מצפין מוסיף אותנטיקציה מניעת התקפת replay ע"י מספר סידורי (מוגן MAC) m INTERNET

SSL Record Protocol Operation

SSL Protocol Stack

Change Cipher Spec Protocol מופעל אחרי פרוטוקול לחיצת הידיים מכיל הודעה אחת מעביר את הצדדים למפתחות החדשים הפעלת הפרוטוקול בשלב אחר תגרום להודעת שגיאה

Alert Protocol משמש להעברת הודעות שגיאה ואזהרה ההודעות מועברות דרך פרוטוקול Record – מוצפנות עם אותנטיקציה שתי סוגי הודעות: שגיאה פטלית גורם לניתוק החיבור, שאר החיבורים ימשכו, לא יפתחו חיבורים נוספים. דוגמאות: הודעה לא מתאימה, MAC לא נכון, כשלון פרוטוקול לחיצת הידיים. אזהרות: דוגמאות: סגירת חיבור, בעיות באישורים

Certificate Warning

SSL Protocol Stack

Handshake Protocol מאתחל את המערכת מחליט באילו סכמות קריפטוגרפיות להשתמש אלגוריתם הצפנה סימטרי – לדוגמא, Triple-DES, AES סוג הצפנת הודעות ארוכות: לדוגמא, CBC פונקציית hash קריפטורפית – MD5, SHA1 או SHA256 אלגוריתם חתימה פרוטוקול להחלפת מפתחות הזדהות של השרת (לפעמים, גם של הלקוח) מחליף מפתחות הפרוטוקול המורכב ביותר, צריך להיות עמיד כנגד מתקיף

שתי סוגי התקפות כנגד הפרוטוקול Replay Attack התקפת חזרה – המתחזה מנסה להשתמש בהודעות מהרצה אחת של הפרוטוקול בהרצה אחרת של הפרוטוקול בה הוא מתחזה Man in the Middle פרוטוקול לחיצת הידיים צריך למנוע התקפות אילו והתקפות אחרות שרת לקוח מתחזה

SSLפרוטוקולי החלפת מפתחות ב- RSA Server Client מוודא אישור מגריל Ksession מחשב

SSLפרוטוקולי החלפת מפתחות ב- RSA D&H אנונימי לא עמיד כנגד ההתקפות Server Client מגריל a מגריל b

SSLפרוטוקולי החלפת מפתחות ב- RSA D&H אנונימי D&H עם מפתח חד פעמי לא עמיד כנגד ההתקפות Server Client מגריל a מגריל b מוודא חתימה מוודא אישור

SSLפרוטוקולי החלפת מפתחות ב- RSA D&H אנונימי D&H עם מפתח חד פעמי D&H עם מפתח קבוע (גירסה של ElGamal) לא עמיד כנגד ההתקפות Server Client מגריל a מגריל b פעם אחת מוודא אישור

SSLפרוטוקולי החלפת מפתחות ב- RSA D&H אנונימי D&H עם מפתח חד פעמי D&H עם מפתח קבוע (גירסה של ElGamal) כל הפרוטוקולים עם שתי הודעות לא עמיד כנגד ההתקפות

Handshake Protocol Action

Client_hello הודעת גרסה גבוהה ביותר של SSL בה הוא תומך מחרוזת חד-פעמית – time-stamp ומחרוזת אקראית המפתחות שייוצרו יהיו תלויים במחרוזת זו מזהה ל- session 0 – session חדש 0 – מזהה של session ישן לעדכון פרמטרים או פתיחת חיבור. מאפייני פרוטוקולים קריפטוגרפיים בסדר עדיפות יורד רשימה של אלגוריתמי דחיסה

Server_hello הודעת הגרסה הגבוהה ביותר של SSL שבה הצדדים תומכים מחרוזת חד-פעמית של השרת – time-stamp ומחרוזת אקראית מזהה ל- session אם הלקוח שלח 0 – מזהה ל- session החדש אם הלקוח שלח 0 – המזהה של ה- session הישן מאפייני פרוטוקולים קריפטוגרפיים – מכיל בחירה אחת ששני הצדדים תומכים בה. אם אין הסכמה, האלגוריתם נכשל אלגוריתם דחיסה

Handshake Protocol Action

Handshake שלב הסיום בפרוטוקול גורם להתחלת השימוש במפתחות שהוסכם עליהם. כמו כן, שולחים hash של המפתחות החדשים מוכיחים לצד השני שיודעים את המפתחות אחרי שלב זה, לצדדים יש מפתח קצר master key שמותחים אותו למפתחות הבאים: מפתח הצפנה ללקוח ומפתח הצפנה לשרת מפתח אותנטיקציה ללקוח ומפתח אותנטיקציה לשרת IV (Initial Vector) ללקוח ו- IV לשרת (להצפנת CBC)

מתיחת המפתח Pre  master_secret  6 keys master_secret = MD5(pre || SHA( A || pre || client.rand || server.rand ) ) || MD5(pre || SHA( BB || pre || client.rand || server.rand ) ) || MD5(pre || SHA( CCC || pre || client.rand || server.rand ) ) pre – key agreed in key exchange || – concatenation MD5, SHA – hash algorithms A,BB,CCC – stings containing these characters Pre  master_secret  6 keys

פתיחת חיבור חדש תתבצע ע"י הרצה מקוצרת של פרוטוקול לחיצת הידיים. הצדדים משתמשים באותו מפתח שסוכם עליו באלגוריתם להחלפת מפתחות בהרצה המקורית הצדדים משתמשים במחרוזות חד-פעמיות חדשות המפתחות יהיו שונים

SSL/TLSהתקפות על Renegotiation attack – August 2009 BEAST attack – September 2011 (IV in CBC MAC) CRIME and BREACH attacks Version rollback attacks – 2012 Padding attacks – 2013 Truncation attack – July 2013 POODLE attack – October 2014 Heartbleed Bug – April 2014 (buffer over-read) RC4 attacks –

גרסאותSSL בעולם האמיתי Protocol version Website support Security SSL 2.0 10.4% (−0.4%) Insecure SSL 3.0 32.6% (−1.2%) TLS 1.0 99.0% (−0.2%) Depends on cipher and client mitigations TLS 1.1 65.7% (+1.4%) TLS 1.2 67.9% (+1.4%) TLS 1.3 (Draft) N/A

סיכום מטרת פרוטוקול ה SSL היא לאפשר החלפת הודעות בצורה אמינה, סודית ואותנטית, תוך מניעה מהתחזויות. משלב את כל הטכניקות הקריפטוגרפיות שלמדנו עמיד כנגד התקפות של מתחזים. פרטים טכניים שלפעמים מאפשרים התקפות. בגרסה החדשה של TLS 1.3 יהיו שינויים רבים...