De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Oefeningen 2013-05-02 / 2013-05-16 Cursus informatiebeveiliging Eric Laermans – Tom Dhaene.

Verwante presentaties


Presentatie over: "Oefeningen 2013-05-02 / 2013-05-16 Cursus informatiebeveiliging Eric Laermans – Tom Dhaene."— Transcript van de presentatie:

1 Oefeningen / Cursus informatiebeveiliging Eric Laermans – Tom Dhaene

2 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 2 Inleiding Opslag wachtwoorden in MS Windows oud systeem  LM hash (LAN Manager hash) –tot Windows Me nieuw systeem  NTLM hash (NT LAN Manager) –sinds Windows NT 3.1

3 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 3 Inleiding Opslag wachtwoorden in MS Windows gecodeerde opslag  in SAM (Security Accounts Manager) –niet toegankelijk terwijl het besturingssysteem actief is »bestand gelockt door besturingssysteem tijdens werking van Windows (niet leesbaar, kopieerbaar of verwijderbaar) –VRAAG 1: »toch mogelijkheid om bestand te bemachtigen voor offline testen van wachtwoorden?

4 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 4 LM Hash Beperkingen wachtwoorden in maximaal 14 ANSI-karakters  95 mogelijke karakters  ook bekend als “printable ASCII”

5 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 5 LM Hash Werking 1. conversie van kleine letters naar hoofdletters 2. aanvullen met NULL-karakters tot 14 karakters 3. opsplitsen in twee delen van 7 karakters 4. elk van deze twee delen wordt gebruikt als DES- sleutel om te encrypteren (ECB)  levert twee versleutelde blokken van 8 bytes op  de zo bekomen 16 bytes zijn de LM Hash VRAAG 2  mogelijke aanvallen, zwakheden?  geschatte tijdsduur voor mogelijke aanval?

6 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 6 NTLM Hash Werking MD4-hash van wachtwoord  hoofdlettergevoelig wachtwoord  MD4: hashfunctie met hashwaarde van 128 bits –voorloper van MD5 –totaal geen sterke botsingsbestendigheid meer –effectieve sterkte van eenrichtingsfunctie (preimage resistance) slechts 102 bits »theoretisch eerder dan praktisch verzwakt VRAAG 3  vergelijking met wachtwoordopslag in Linux vandaag?  kraakbaar in redelijke tijd?

7 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 7 Backward compatibility Wachtwoord dubbel opgeslagen via NTLM Hash via LM Hash  indien mogelijk, anders opslag van nepwaarde  default tot en met Windows XP –via aanpassing in registry uit te schakelen –sinds Windows Vista default uitgeschakeld VRAAG 4  zwakheden van dit schema?  beter dan LM Hash alleen?  hoe zorg je ervoor dat LM Hash niet opgeslagen wordt?

8 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 8 Verbeterde aanvallen Aanvallen tot nu toe (meestal) haalbaar als LM Hash beschikbaar is  maar vereist nog vrij veel rekenwerk als brute kracht gebruikt wordt VRAAG 5  suggesties voor verbeteringen van aanvalstechniek? –hint: kan een deel van het werk op voorhand uitgevoerd worden?

9 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 9 Verbeterde aanvallen Precomputed hash chains niet haalbaar om codering voor alle mogelijke wachtwoorden op voorhand te berekenen én op te slaan  VRAAG 6: –hoeveel opslagcapaciteit zou dit vereisen voor wachtwoorden met LM Hash gecodeerd?

10 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 10 Verbeterde aanvallen Precomputed hash chains hoe maken we een selectie van wachtwoorden die we opslaan?  kettingen van voorberekende hashwaarden (precomputed hash chains) –techniek die trade-off maakt tussen benodigde rekentijd en nodige opslag –voor N mogelijke wachtwoorden: »opslagruimte:O(N 2/3 ) »rekentijd:O(N 2/3 )

11 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 11 Verbeterde aanvallen Precomputed hash chains twee functies  hashfunctie H:P  C –zet wachtwoord om in gecodeerde versie –domein: ruimte van mogelijke wachtwoorden (P) –beeld: ruimte van mogelijke hashwaarden (C)  reductiefunctie R:C  P –leidt een (pseudorandom) wachtwoord af uit hashwaarde »hoeft geen eenrichtingsfunctie te zijn »eenvoudige keuze mogelijk –domein: ruimte van mogelijke hashwaarden (C) –beeld: ruimte van mogelijke wachtwoorden (P)

12 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 12 Verbeterde aanvallen Precomputed hash chains kies een (voldoende groot) aantal (n) verschillende wachtwoorden  p j,0 (met j:0..(n-1)) bereken een (niet te groot) aantal (k) schakels voor elke ketting  p j,i+1 = R(H(p j,i ))(met i:0..(k-1)) sla alleen de begin- en eindpunten van de kettingen op  p j,0 en p j,k (met j:0..(n-1))

13 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 13 Verbeterde aanvallen Precomputed hash chains kraken van een gecodeerd wachtwoord h  bereken:p (0) = R(h)  bereken:p (i) = R(H(p (i-1) )) –tot een p (i) gevonden wordt die voorkomt in de tabel met de eindpunten p j,k van de hash chains  herbereken dan de ketting, vertrekkende van p j,0 tot de juiste waarde p j,k-i-1 gevonden wordt zodat H(p j, k-i-1 ) = h OPM:  er is een risico dat bepaalde kettingen overlappen  kettingen kunnen lussen bevatten  false positives zijn mogelijk

14 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 14 Verbeterde aanvallen Precomputed hash chains nodige aanpassing van standaard aanpak  meerdere tabellen –elk met verschillende reductiefunctie –impact van overlappende kettingen verminderen –aantal typisch evenredig met lengte van kettingen »nadeel: grotere opzoekingstijd (evenredig met lengte van kettingen én met aantal kettingen)

15 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 15 Verbeterde aanvallen Precomputed hash chains mogelijke vereenvoudiging  “distinguished points” –stop de kettingen niet na vast aantal schakels, maar wanneer ze eindigen op gemakkelijk herkenbaar wachtwoord »bv. eindigend / beginnend op 10 nulbits  VRAAG 7: –wat is voordeel van deze aanpak?

16 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 16 Verbeterde aanvallen Rainbow tables verbetering van precomputed hash chains  gebruik van verschillende reductiefunctie voor elke schakel in ketting –k reductiefuncties nodig R i (met i:0..(k-1)) –p j,i+1 = R i (H(p j,i ))(met i:0..(k-1))  opzoeken gecodeerd wachtwoord h –bereken p (0,0) = R k-1 (h) en zoek het op in de eindpuntentabel –indien niet gevonden, zoek p (1,1) = R k-1 (H(R k-2 (h))) –zoek desnoods verder p (i,i) = R k-1 (H(p (i,i-1) )) »met p (i,j) = R k-i+j-1 (H(p (i,j-1) ))

17 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 17 Verbeterde aanvallen Rainbow tables voordelen  aantal opzoekingen minder dan in meervoudige tabellen voor precomputed hash chains –ongeveer de helft  minder overlappende kettingen –en bovendien identificeerbaar welke kettingen samenvloeien  geen lussen in kettingen  constante lengte van kettingen –in tegenstelling tot “distinguished points”

18 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 18 Verbeterde aanvallen Rainbow tables referenties:  P. Oechslin, “Making a faster cryptanalytic time- memory trade-off,” Advances in Cryptology - CRYPTO 2003, pp  project RainbowCrack


Download ppt "Oefeningen 2013-05-02 / 2013-05-16 Cursus informatiebeveiliging Eric Laermans – Tom Dhaene."

Verwante presentaties


Ads door Google