1、双方向ID認証技術関研究情報科学府情報工学専攻櫻井研究室 修士2年今本 健二1nIDn従来方式P-SIGMA/OIDn提案方式ID生成法提案/Q-signal認証付鍵交換適用n今後課題2nIDn従来方式P-SIGMA/OIDn提案方式ID生成法提案/Q-signal認証付鍵交換適用n今後課題3研究背景n用安全通信行VPN*必要 *VPN:上仮想的確立、専用線構築 確保共有秘密鍵既知共有鍵共有秘密鍵Denial of Service(拒否攻撃)ID情報漏洩DoS攻撃危険従来方式4EKB(M)ID秘密鍵 KKAKBKCKB:秘密鍵M:KB:秘密鍵EKB(M)復号n通信路上ID盗聴、攻撃者通信者特定
2、盗聴可能対応者脅威:ID情報漏洩5脅威:DoS攻撃(1)乱数対応者攻撃者秘密情報ID秘密鍵 KKAKBKC暗号情報、乱数復号6脅威:DoS攻撃(2)攻撃者要求小対応者対応大処理攻撃者対応者7nID情報漏洩防、盗聴攻撃者誰通信特定性質持ID通信者同士共有秘密乱数ID代利用u正式通信者共有乱数相手特定可能u攻撃者共有乱数見通信者特定不可能nDoS攻撃防、一度有効、攻撃者次有効ID予測不可能性質持IDu応答者通信相手要求応前、ID情報有効性(ID低)n暗号通信方式、鍵共有方式、認証方式 etc8IDBEKB(M)IDID秘密鍵 KIDAKAIDBKB IDCKCKB:秘密鍵IDBM:KB:秘密鍵ID
3、BEKB(M)復号盗聴可能攻撃者通信者特定ID情報保護対応者ID効果:ID情報保護9IDID秘密鍵 KIDAKAIDBKB IDCKC攻撃者対応者ID効果:DoS攻撃防止u接続要求有効ID必要u攻撃者有効ID予測lDoS攻撃保護通信相手送信ID有効性確認、値内含確認10 vs.IDnID組用、正組合場合、相手認証n使変攻撃者有効予測不可能SecurID固定ID固定4桁IC6桁盗聴可能n同期取、60秒変化20531620531691373691373611 vs.IDn目的盗聴良nID目的ID盗聴良DoS攻撃防止SecurID固定ID固定4桁IC6桁盗聴可能913736n同期取、60秒変化913
4、73612nIDn従来方式P-SIGMA/OIDn提案方式ID生成法提案/Q-signal認証付鍵交換適用n今後課題13P-SIGMAn秘密鍵認証用認証付鍵交換方式nOID(outer ID)呼ID利用ni番目使用OIDOIDi表、以下式求OIDi=h(秘密鍵,i)H.Krawczyk,The IKE-SIGMA Protocol,Internet Draft,Nov 2001.h:一方向性関数14OID同期生成法OIDBIDOID秘密鍵回数OIDAKA12OIDBKB1OIDCKC3対応者n1番目OIDB:=h(KB,1)n2番目OIDB:=h(KB,2)n3番目OIDB:=h(KB,3)2
5、 315Three-message P-SIGMA(i番目)鍵生成情報I,OIDi鍵生成情報RHASHR,ESK(IDR)HASHI,ESK(IDI)OIDi=h(秘密鍵,i)prf:擬似乱数生成関数SK:鍵(鍵生成情報生成)EX(Y):X用Y暗号化HASHI:=prf(秘密鍵,K,IDI)HASHR:=prf(秘密鍵,K,IDR)開始者(Initiator)応答者(Responder)16Three-message P-SIGMA 考察秘密鍵漏場合問題n認証情報HASH生成使用秘密鍵固定nOID(P-SIGMA)h(K,1)h(K,2)h(K,3)2nd 鍵交換3rd 鍵交換1st 鍵交換攻
6、撃者秘密鍵手入場合、後 可能攻撃者秘密鍵手入場合、前後全OID予測可能K:秘密鍵17Three-message P-SIGMA 考察ID重複問題鍵生成情報BOIDBIDOID秘密鍵OIDAKAOIDBKBOIDCKC対応者OID一致鍵生成情報RHASH?,ESK?(?)使?n対応者相手特定、要求応18Three-message P-SIGMA 考察nID情報漏洩保護、DoS攻撃防止可能n秘密鍵漏場合、前後影響鍵問題、中間者侵入攻撃危険(後)ID推測(全)n複数同ID生成場合、対応者相手特定出来(ID重複問題)n鍵共有通信回数3回必要19nIDn従来方式P-SIGMA/OIDn提案方式ID生成法
7、提案/Q-signal認証付鍵交換適用n今後課題20ID生成法提案nOID(P-SIGMA)h(K,1)h(K,2)h(K,3)2nd 鍵交換3rd 鍵交換1st 鍵交換h(K0)2nd 鍵交換(K2共有)3rd 鍵交換(K3共有)1st 鍵交換(K1共有)h(K1)h(K2)各鍵Ki 共有(古鍵新鍵間相関関係無)n Q-signal(提案方式)n鍵漏他値分n鍵漏、全値予測21Q-signal暗号通信拡大h(K0)2nd 鍵交換(K2共有)3rd 鍵交換(K3共有)1st 鍵交換(K1共有)h(K1)h(K2)h(K0,1)h(K0,1)h(K0,2)h(K1,1)h(K1,1)h(K1,2)
8、h(K2,1)h(K2,1)h(K2,2)1st 2nd 3rd h(K0,2)h(K1,3)h(K2,2)LeakSafeSafe22鍵交換(i 番目)Q-signal i,1EAKi(鍵生成用情報I,ID,Q-signal i,1)Q-signali,1SSi,AKi,IDI,IDRQ-signal i,1SSi,AKi,IDI,IDR鍵生成用情報Ij=1,j=0認証鍵生成用情報R共有鍵:KiSSi+1,AKi+1,SKi j=1,j=1Q-signali,1,鍵生成用情報Rh(SKi,ID,Q-signali,1)共有鍵:Ki SKi SSi+1,AKi+1,j=1,j=1認証Q-sig
9、nal:SSi=h1(Ki-1)認証用鍵:AKi=h2(Ki-1)暗号化鍵:SKi=h3(Ki)Q-signal i,j=h(SSi,j)Q-signal i,j=h(SSi,j)23暗号通信(i 番目)Q-signal:SSi=h1(Ki-1)認証用鍵:AKi=h2(Ki-1)暗号化鍵:SKi=h3(Ki)Q-signal i,j=h(SSi,j)Q-signal i,j=h(SSi,j)M,M:u 開始者:j 回目暗号通信u 対応者:j回目暗号通信Q-signal i,jESKi(M,ID,Q-signal i,j)Q-signali,jESKi(M,ID,Q-signal i,j)Q-s
10、ignali,j,SSi,SKi,j,jQ-signali+1,1,SSi+1,AKi+1Q-signal i,j,SSi,SKi,j,jQ-signal i+1,1,SSi+1,AKi+1i 番目終了時共有鍵:Ki-1生成情報記憶削除 j+1,jQ-signal i,j+1j+1,j j+1Q-signali,j+1j+124攻撃nSSi(Q-signal)漏場合i番目ID全予測nAKi(認証鍵)漏場合i番目正当開始者対応者確立前、成中間者侵入攻撃危険nSKi(暗号化鍵)漏場合i番目暗号化情報解読nKi漏場合SSi+1、AKi+1、SKi漏状況同25OID vs.SIGNAL(ID)P-SI
11、GMA vs.提案方式(鍵交換)IDPFS*ID重複問題鍵交換通信回数P-SIGMA/OID非実現対応3回提案方式/SIGNAL実現対応可2回*PFS:Perfect Forward Secrecy時点秘密漏場合、過去秘密安全26ID適用例n様利用上認証RFID(Radio-Frequency Identification)Bluetooth携帯電話nPKI(公開鍵)適用27nIDn従来方式P-SIGMA/OIDn提案方式ID生成法提案/Q-signal認証付鍵交換適用n今後課題28nE-mail:imamotoitslab.csce.kyushu-u.ac.jp293031鍵交換基本技術nD
12、iffie-Hellman鍵交換開始者応答者秘密情報:公開情報:秘密情報:公開情報:=共有秘密:=xgygxyngxmodngymodyxg)(xyg)(xygyxgg,:公開情報ng,xyg数学的困難(離散対数問題)盗聴者32DH鍵交換問題点開始者応答者秘密情報:公開情報:秘密情報:公開情報:xgygxyxgxyg)(xgyg yg共有秘密共有秘密xyg)(中間者攻撃攻撃者xyg)(xyg)(秘密情報:,yxgg公開情報:yx,33DH鍵交換利点nDH鍵交換相互認証付加、盗聴、安全鍵交換可能鍵場合他暗号鍵分(PFS実現)EK(K)DH鍵交換無鍵交換行、鍵場合、後全暗号鍵EK(K”)KKPFS:Perfect Forward Secrecy34
