HOTP - HMAC-B ASED O NE -T IME P ASSWORD A LGORITHM Készítette: Tóth Balázs Viktor.

Slides:



Advertisements
Hasonló előadás
Budapest New Technology Meetup Group Tárkányi Ferenc.
Advertisements

Microsoft Excel Függvények I.
Osztály leszármaztatás
A hálózat működése 1. A DHCP és az APIPA
Kliens-szerver architektúra
Tempus S_JEP Számítógép hálózatok Összefoglalás Összefoglalás Összeállította: Broczkó Péter (BMF)
IPSec.
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
Készítette: Bátori Béla 12.k
QualitySoft On-Line megoldások Terminálszerver alternatíva a Távoli Asztali eléréshez.
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
2007 ISP TANFOLYAM ÉSZAKNET, LH COM. USER AUTHENTIKÁCIÓ •MAC – IP •MAC – DHCP •MAC – IP – RADIUS •PPPoE – RADIUS.
Nyelvtanárként, hogyan szerezzek ismereteket az informatika világából.
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
Az integrált áramkörök (IC-k) tervezése
E-learning és a multimédia
Titkosítás Digitális aláírás Szabványosított tanúsítványok
Wireless Home Gateway Handover és roaming kérdések Készítette: Tóth Balázs Viktor.
megismerése, mintaadatbázis létrehozása
Euklidészi gyűrűk Definíció.
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
Bevezetés a Java programozásba
Software Technology Forum, április 7., Budapest, BME Nyílt forráskód a vállalatnál: ingyenes gyógyír vagy pénznyelő divat? Szentiványi Gábor, PhD.
Az IKT kompetenciaterület specialitásai
Nagy Belterület Menedzser Szoftver TDK vagy Szakdolgozat Téma Készítette: Kusper Gábor Minden jog fenntartva!
WEB Technológiák Dr. Pance Miklós – Kolcza Gábor Miskolci Egyetem.
Számítógéphálózatok A hálózatok kialakulása A hálózatok osztályozása
HOTP - HMAC-B ASED O NE -T IME P ASSWORD A LGORITHM Készítette: Tóth Balázs Viktor.
Szabó László ügyvezető igazgató Twinnet
Leszámoló rendezés Készítette: Várkonyi Tibor Zoltán VATNABI.ELTE
Közösségi oldalak Készítette: Tóth Petra Felkészítő tanár:
WEB Technológiák ISAPI ME Általános Informatikai Tsz. dr. Kovács László.
Számítógépes üzemmódok
a Moodle autentikációjához a PTE FEEK-en
Karakterláncok Páll Éva Boglárka. Ismétlés Deklaráció var s:string; Length(karlánc) Concat(karlánc1,...,karláncn) Copy(miből,honnan,hányat) Delete(miből,honnan,hányat)
LOGO Webszolgáltatások Készítette: Kovács Zoltán IV. PTM.
AszinkronitásSebesség Csökkentett szerver terhelés* Jobb hálózat kihasználás Felhasználói élmény Rövidebb válaszidők.
PHP oktatási tapasztalatok
Flash és PHP? De még mennyire! Kiss-Tóth Marcell
{ Miért utálnak a férfiak gyülekezetbe járni? Nehéz kérdések, Békevár, Jóföldi Endre, 2012.
XML fejlesztések TSQL fejlesztések Tábla paraméter SQLCLR fejlesztések 8k limit feloldása Több paraméteres UDA-ek Ordered UDF-ek Entity Framework ADO.NET.
Varga Viktor – G36ECF 1/5 Vendéglátói szoftverek sajátosságai Varga Viktor.
Linux rendszergazda tanfolyam (kezdő) Partíció BT. Kurzus BT. invitel.hu/kurzus.
Vezeték nélküli hálózatok védelme
Több képlettel adott függvények
Digitális átállás A NAVA digitális vételi és tárolási problémaköre.
Informatika - 1. alkalom Jogi informatika - alapok
Készítette: Pandur Dániel
Kommunikáció a hálózaton Kommunikáció a hálózaton.
Szabályozási Rendszerek 2014/2015, őszi szemeszter Előadás Automatizálási tanszék.
Marketing- és Reklámügyintéző – Számítástechnikai alapismeretek, fájlkezelés 1 AlapfogalmakAlapfogalmak Hardver, szoftver Bit, bájt.
Programozás, programtervezés
Budapest ápr. 29. A számítástechnika, mint az igazgatók segédeszköze Hajdu János Kossuth Zsuzsanna Műszaki Szakközépiskola és Gimnázium.
Mobil alkalmazások fejlesztése Vonalkód leolvasó Symbian alapú mobiltelefonra Készítette: Tóth Balázs Viktor.
Iskolai számítógépes hálózat bővítése Készítette Tóth László Ferenc.
Desktop virtualizáció Microsoft VDI használatával Háló Gyula.
Wireless Home Gateway Handover, roaming, keletkező veszteségek Készítette: Tóth Balázs Viktor.
ifin811/ea1 C Programozás: Hardver alapok áttekintése
.NET FRAMEWORK Röviden Krizsán Zoltán 1.0. Tulajdonságok I Rövidebb fejlesztés 20 támogatott nyelv (nyílt specifikáció) 20 támogatott nyelv (nyílt specifikáció)
A Huffman féle tömörítő algoritmus Huffman Kód. Az Algoritmus Alapelvei Karakterek hossza különböző A karakter hossza sűrűsége határozza meg: Minél több.
Nyilvános kulcsú titkosítás Digitális aláírás Üzenet pecsétek.
TÁMOP /1-2F Modern informatikai eszközök Állományok le- és feltöltése az interneten Papp Szabolcs 2009.
Digitális írástudás fejlesztése korhatár nélkül, okoseszközökön június 25.
A TCP/IP protokolljai. IP-címek Miért van szükség hálózati címekre? Miért nem elegendő a fizikai címek használata? A fizikai címek elhelyezkedése strukturálatlan.
BITCOIN. Bitcoin 2009-ben jelent meg Ingyenes, nyílt forráskódú kliens Nincs központi bank, P2P rendszer
Nyomkövetés Mikroprocesszor és mikrokontroller programjainak és a rendszernek a belövése.
Neumann János Informatikai Kar
"Ha nem tudod, hogy hová mész,
Hálózati struktúrák, jogosultságok
Kisvállalati hálózat kialakítása raspberry szerverrel
Előadás másolata:

HOTP - HMAC-B ASED O NE -T IME P ASSWORD A LGORITHM Készítette: Tóth Balázs Viktor

M OTIVÁCIÓK Kevés two-factor autentikáció Hardver-, és szoftvergyártók közötti együttműködés hiánya Nyílt szabványok hiánya (magas költségűek, nem elterjedtek…) Statikus jelszavak alkalmatlansága nyílt szabvány → minden műszaki közösség által hozzáférhető OTP: legegyszerűbb és leghíresebb Fő előnye: nem kell semmilyen kliens szoftvernek installálva lennie a felhasználó gépére (roaming) 2

A HOTP ALGORITMUS - J ELÖLÉSEK SzimbólumJelentés C8 bájtos számláló érték. Ennek az értéknek szinkronizálva kell, hogy legyen a HOTP generátor (kliens) és a HOTP validátor (szerver) között. KSzerver és kliens közötti titkos érték. Minden HOTP generátornak különböző K-ja van. TA sikertelen autentikációs kapcsolódások száma, amely után már a szerver nem enged csatlakozni. s Újraszinkronizációs paraméter. A szerver megpróbálja verifikálni az autentikátort s egymást követő számláló értéken keresztül. DigitSzámok darabszáma egy HOTP értékben, rendszer paraméter. 3

A HOTP ALGORITMUS 1) HS = HMAC-SHA-1(K,C), ahol HS egy 20 bájtos string 2) Sbits = DT(HS), ahol 4 bájttá alakítunk, DT 31 bittel tér vissza 3) Snum = StToNum(Sbits), ami S-t egy 0… értékek közötti számmá konvertálja. 4) D = Snum mod 10 Digit, ahol D egy szám 0…10 Digit -1 között. A Truncate függvény (2. és 3. lépés) : DT(String), ahol String = String[0], …,String[19] Legyen OffsetBits a low-order 4 bitje String[19]-nek. Offset = StToNum(OffsetBits), ahol 0 <= OffSet <= 15 P = String[Offset], …, String[Offset+3] Az utolsó 31 bitje P-nek az output. 4

P ÉLDA D IGIT = 6- RA Byte Number Byte Value 1f e02ca ef7f19da8e945b555a Az utolsó bájt 19, aminek a hexa értéke: 0x5a. Az alsó 4 bit értéke 0xa (ez az offset érték). Az offset érték a 10. bájt (0xa). A 4 bájt értéke, ami a 10. bájttól indul 0x50ef7f19, ami a DBC1 (Dynamic Binary Code). Az MSB-je a DBC1-nek 0x50, így DBC2 = DBC1 = 0x50ef7f19 ( ) HOTP = DBC2 modulo 10 6 = int offset = hmac_result[19] & 0xf ; int bin_code = (hmac_result[offset] & 0x7f) << 24 | (hmac_result[offset+1] & 0xff) << 16 | (hmac_result[offset+2] & 0xff) << 8 | (hmac_result[offset+3] & 0xff) ;

B IZTONSÁGI MEGFONTOLÁSOK, ELVÁRÁSOK T-nek és s-nek és Digit-nek van szerepe a biztonság terén Nem szabad sérülékenynek lennie egy brute force támadással szemben Egy biztonságos csatornán keresztül kell implementálni, hogy biztosítható legyen a felhasználók közötti interakciók biztonsága A HOTP biztonságossága az alábbi formulával fejezhető ki: Sec = sv/10 Digit 6

A HOTP ÉRTÉKEK VALIDÁCIÓJA A HOTP kliens növeli a számlálóját és utána kiszámolja a következő HOTP értéket Ha az autentikációs server által fogadott érték megegyezik a kliens által számolt értékkel, akkor a HOTP érték validálva van A server a sikeres validáció után növeli a számlálóját egyel Ha a server által fogadott érték nem egyezik meg a kliens által számolt értékkel, akkor a server elindítja az újraszinkronizáló protokollját mielőtt egy újabb értéket kérne Ha az újraszinkronizáció sem sikerül, akkor a server egy újabb autentikációs igazolást kér a protokolltól, amíg a maximális számú próbálkozást el nem éri A maximum számú próbálkozást elérve a servernek ki kell (SHOULD) zárnia az ügyfelet és értesítenie a felhasználót 7

M EGELŐZÉS A SZERVERBEN A HMAC-SHA-1 érték egy rövidebb értékké alakítása lehetővé teszi egy brute force támadás sikerességét A T érték egy akadályozási (throttling) paraméter, ami meghatározza a maximum számú lehetséges próbálkozást egy OTP validálására A T értékét a lehető legalacsonyabbra kell állítani, hogy még ne zavarja a használhatóságot Késleltetési séma: Minden sikertelen próbálkozásra, A-ra az autentikációs server vár T*A másodpercet 8

A SZÁMLÁLÓ ÚJRASZINKRONIZÁLÁSA Annak ellenére, hogy a server számlálója csak egy sikeres HOTP autentikáció után növekszik, a számláló a tokenen minden alkalommal növekszik, amikor a felhasználó egy új HOTP-t kér. Emiatt a számláló értékek a serveren és a tokenen lehet, hogy nincsenek szinkronban Az s look-ahead paraméter segítségével a server újraszámolja a következő s HOTP-server értéket és ellenőrzi a fogadott HOTP kliens értékkel szemben Az s által meghatározott felső határ biztosítja, hogy a server ne ellenőrizze a HOTP értékeket örökké 9

I TT A VÉGE … Köszönöm a figyelmet! 10