双方向ID认证技术课件

1、双方向ID認証技術関研究情報科学府情報工学専攻櫻井研究室 修士2年今本 健二1双方向ID認証技術関研究情報科学ID従来方式P-SIGMA / OID提案方式ID生成法提案/ Q-signal認証付鍵交換適用今後課題2ID2ID従来方式P-SIGMA / OID提案方式ID生成法提案/ Q-signal認証付鍵交換適用今後課題3ID3研究背景用安全通信行VPN*必要 * VPN: 上仮想的確立、専用線構築 確保共有秘密鍵既知共有鍵共有秘密鍵Denial of Service（拒否攻撃） ID情報漏洩DoS攻撃危険従来方式4研究背景用安全通信行VPN*EKB(M)ID秘密鍵 KKAKBKCKB:

2、秘密鍵M: KB: 秘密鍵EKB(M)復号通信路上ID盗聴、攻撃者通信者特定盗聴可能対応者脅威：ID情報漏洩5ID秘密鍵 KKAKBKCKB脅威：DoS攻撃（1）乱数対応者攻撃者秘密情報ID秘密鍵 KKAKBKC暗号情報、乱数復号無駄接続要求応答6脅威：DoS攻撃（1）対応者攻撃者秘密情報ID脅威：DoS攻撃（2）攻撃者要求小対応者対応大接続要求処理攻撃者対応者7脅威：DoS攻撃（2）接続要求処理攻撃DoS攻撃ID情報漏洩ID情報漏洩防、盗聴攻撃者誰通信特定性質持ID通信者同士共有秘密乱数ID代利用正式通信者共有乱数相手特定可能攻撃者共有乱数見通信者特定不可能DoS攻撃防、一度有効、攻撃者次有

3、効ID予測不可能性質持ID応答者通信相手要求応前、ID情報有効性（ID低）暗号通信方式、鍵共有方式、認証方式 etc8DoS攻撃ID情報漏洩ID情報漏洩防、盗聴攻撃IDBEKB(M)IDID秘密鍵 KIDAKAIDBKBIDCKCKB: 秘密鍵IDBM: KB: 秘密鍵IDBEKB(M)復号盗聴可能攻撃者通信者特定ID情報保護対応者ID効果：ID情報保護9IDBIDID秘密鍵 KIDID秘密鍵 KIDAKAIDBKBIDCKC攻撃者対応者ID効果：DoS攻撃防止接続要求接続要求有効ID必要攻撃者有効ID予測DoS攻撃保護通信相手送信ID有効性確認、 値内含確認10IDID秘密鍵 KIDAKA

4、vs. IDID組用、正組合場合、相手認証使変攻撃者有効予測不可能RSASecurID固定ID固定4桁IC6桁盗聴可能同期取、60秒変化20531620531691373691373611 vs. IDID vs. ID目的盗聴良ID目的ID盗聴良DoS攻撃防止RSASecurID固定ID固定4桁IC6桁盗聴可能913736同期取、60秒変化91373612 vs. IDID従来方式P-SIGMA / OID提案方式ID生成法提案/ Q-signal認証付鍵交換適用今後課題13ID13P-SIGMA秘密鍵認証用認証付鍵交換方式OID(outer ID) 呼ID利用i番目使用OIDOIDi表、以

5、下式求OIDi=h( 秘密鍵, i )H. Krawczyk, The IKE-SIGMA Protocol, Internet Draft, Nov 2001. h：一方向性関数14P-SIGMA秘密鍵認証用認証付鍵交換方式H. KOID同期生成法OIDBIDOID秘密鍵回数OIDAKA12OIDBKB1OIDCKC3対応者1番目OIDB:=h(KB,1)2番目OIDB:=h(KB,2)3番目OIDB:=h(KB,3)2315OID同期生成法OIDBIDOID秘密鍵回Three-message P-SIGMA （ i番目）鍵生成情報I, OIDi鍵生成情報RHASHR, ESK(IDR)HA

6、SHI, ESK(IDI)OIDi=h（秘密鍵, i）prf：擬似乱数生成関数SK：鍵 （鍵生成情報生成）EX(Y): X用Y暗号化HASHI : =prf(秘密鍵, K, IDI)HASHR: =prf(秘密鍵, K, IDR)開始者(Initiator)応答者(Responder)16Three-message P-SIGMA （ Three-message P-SIGMA 考察秘密鍵漏場合問題認証情報HASH生成使用秘密鍵固定OID（P-SIGMA）h(K, 1)h(K, 2)h(K, 3)2nd 鍵交換3rd 鍵交換1st 鍵交換攻撃者秘密鍵手入場合、後 可能攻撃者秘密鍵手入場合、前後

7、全OID予測可能K：秘密鍵17Three-message P-SIGMA 考察秘密鍵Three-message P-SIGMA 考察ID重複問題鍵生成情報BOIDBIDOID秘密鍵OIDAKAOIDBKBOIDCKC対応者OID一致鍵生成情報RHASH?, ESK?(?)使？対応者相手特定、要求応18Three-message P-SIGMA 考察Three-message P-SIGMA 考察ID情報漏洩保護、DoS攻撃防止可能秘密鍵漏場合、前後影響鍵問題、中間者侵入攻撃危険（後）ID推測（全）複数同ID生成場合、対応者相手特定出来（ID重複問題）鍵共有通信回数3回必要19Three-mes

8、sage P-SIGMA 考察IID従来方式P-SIGMA / OID提案方式ID生成法提案 / Q-signal認証付鍵交換適用今後課題20ID20ID生成法提案OID（P-SIGMA）h(K, 1)h(K, 2)h(K, 3)2nd 鍵交換3rd 鍵交換1st 鍵交換h(K0)2nd 鍵交換（K2共有）3rd 鍵交換（K3共有）1st 鍵交換（K1共有）h(K1)h(K2)各鍵Ki 共有（古鍵新鍵間相関関係無） Q-signal（提案方式）鍵漏他値分鍵漏、全値予測21ID生成法提案OID（P-SIGMA）h(K, Q-signal暗号通信拡大h(K0)2nd 鍵交換（K2共有）3rd 鍵交

9、換（K3共有）1st 鍵交換（K1共有）h(K1)h(K2)h(K0,1)h(K0,1)h(K0,2)h(K1,1)h(K1,1)h(K1,2)h(K2,1)h(K2,1)h(K2,2)1st 2nd 3rd h(K0,2)h(K1,3)h(K2,2)LeakSafeSafe22Q-signal暗号通信拡大h(K0)2nd 鍵交換（K鍵交換（ i 番目）Q-signal i,1EAKi(鍵生成用情報I, ID, Q-signal i,1 )Q-signali,1SSi, AKi, IDI, IDRQ-signal i,1SSi, AKi, IDI, IDR鍵生成用情報Ij=1, j=0認証鍵生

10、成用情報R共有鍵: KiSSi+1, AKi+1, SKi j=1, j=1Q-signali,1,鍵生成用情報Rh(SKi, ID, Q-signali,1)共有鍵: Ki SKi SSi+1, AKi+1,j=1, j=1認証Q-signal：SSi= h1(Ki-1)認証用鍵：AKi= h2(Ki-1)暗号化鍵：SKi = h3(Ki)Q-signal i,j=h(SSi, j)Q-signal i,j=h(SSi, j)23鍵交換（ i 番目）Q-signal暗号通信（ i 番目）Q-signal：SSi= h1(Ki-1)認証用鍵：AKi= h2(Ki-1)暗号化鍵：SKi = h3

11、(Ki)Q-signal i,j=h(SSi, j)Q-signal i,j=h(SSi, j)M, M： 開始者: j 回目暗号通信 対応者: j回目暗号通信Q-signal i,jESKi( M, ID, Q-signal i,j )Q-signali,jESKi( M, ID, Q-signal i,j )Q-signali, j, SSi, SKi, j, jQ-signali+1,1, SSi+1, AKi+1Q-signal i,j, SSi, SKi, j, jQ-signal i+1,1, SSi+1, AKi+1i 番目終了時共有鍵: Ki-1生成情報記憶削除 j+1, jQ

12、-signal i,j+1j+1, jj+1Q-signali, j+1j+124暗号通信（ i 番目）Q-signa攻撃SSi（Q-signal）漏場合i番目ID全予測AKi（認証鍵）漏場合i番目正当開始者対応者確立前、成中間者侵入攻撃危険SKi（暗号化鍵）漏場合i番目暗号化情報解読Ki漏場合SSi+1、AKi+1、SKi漏状況同25攻撃SSi（Q-signal）漏場合OID vs. SIGNAL（ID）P-SIGMA vs. 提案方式（鍵交換）IDPFS*ID重複問題鍵交換通信回数P-SIGMA/OID非実現対応3回提案方式/SIGNAL実現対応可2回*PFS: Perfect Forwa

13、rd Secrecy時点秘密漏場合、過去秘密安全26OID vs. SIGNAL（ID）P-SIGMID適用例様利用上認証RFID（Radio-Frequency Identification）Bluetooth携帯電話PKI（公開鍵）適用27ID適用例様ID従来方式P-SIGMA / OID提案方式ID生成法提案/ Q-signal認証付鍵交換適用今後課題28ID28Q&AE-mail: imamotoitslab.csce.kyushu-u.ac.jp29Q&AE-mail: imamotoitslab.3030補足31補足31鍵交換基本技術Diffie-Hellman鍵交換開始者応答者秘密情報：公開情報：秘密情報：公開情報： = 共有秘密： = ： 公開情報数学的困難（離散対数問題）盗聴者32鍵交換基本技術Diffie-Hellman鍵交換開始者応答DH鍵交換問題点開