Acuerdo de clave autenticado por contraseña

En criptografía, un método de acuerdo de clave autenticada por contraseña (PAK) es un método interactivo para que dos o más partes establezcan claves criptográficas basadas en el conocimiento de una o más partes sobre una contraseña.

Una propiedad importante es que un espía o intermediario no puede obtener suficiente información para poder adivinar una contraseña por fuerza bruta sin interacciones adicionales con las partes para cada (pocas) conjeturas. Esto significa que se puede obtener una seguridad sólida utilizando contraseñas débiles.

Tipos

El acuerdo de clave autenticada por contraseña generalmente abarca métodos como:

• Intercambio equilibrado de claves autenticadas con contraseña
• Intercambio de claves aumentado y autenticado por contraseña
• Recuperación de claves autenticada por contraseña
• Métodos multiservidor
• Métodos multipartidistas

En los modelos de seguridad más estrictos que solo utilizan contraseña, no es necesario que el usuario del método recuerde ningún dato público o secreto que no sea la contraseña.

El intercambio de claves autenticado por contraseña (PAKE) es un método en el que dos o más partes, basándose únicamente en su conocimiento de una contraseña compartida, ^[1] establecen una clave criptográfica mediante un intercambio de mensajes, de modo que una parte no autorizada (la que controla el canal de comunicación pero no posee la contraseña) no puede participar en el método y está lo más restringido posible para adivinar la contraseña por fuerza bruta. (El caso óptimo produce exactamente una suposición por intercambio de ejecución). Dos formas de PAKE son los métodos equilibrados y aumentados. ^[1]

PAKE equilibrado

PAKE equilibrado supone que las dos partes, ya sea en una situación cliente-cliente o cliente-servidor, utilizan la misma contraseña secreta para negociar y autenticar una clave compartida. ^[1] Ejemplos de estos son:

• Intercambio de claves cifradas (EKE)
• PAK y PPK ^[2]
• SPEKE (Intercambio de claves exponencial de contraseña simple)
• Protocolo de contraseña remota segura basado en curva elíptica (EC-SRP o SRP5) ^[3] Existe una implementación de tarjeta Java gratuita. ^[4]
• Libélula: norma IEEE 802.11-2012, RFC 5931, RFC 6617
• Espacio ^[5]
• HABLA1 y HABLA2 ^{[6] [7]}
• HABLAMOS – RFC 8133
• J-PAKE (Intercambio de claves autenticado con contraseña mediante malabarismo) – ISO/IEC 11770-4 (2017), RFC 8236
• Recomendación UIT-T X.1035
• "Apretón de enlace modular avanzado para acuerdo de claves y autenticación opcional" ^[8]

PAKE aumentado

PAKE aumentado es una variación aplicable a escenarios cliente/servidor, en los que el servidor no almacena datos equivalentes a contraseñas. Esto significa que un atacante que robó los datos del servidor aún no puede hacerse pasar por el cliente a menos que primero realice una búsqueda de fuerza bruta de la contraseña. Algunos sistemas PAKE aumentados utilizan una función pseudoaleatoria ajena para mezclar la contraseña secreta del usuario con el valor de sal secreto del servidor, de modo que el usuario nunca aprende el valor de sal secreto del servidor y el servidor nunca aprende la contraseña del usuario (o el valor equivalente a la contraseña) o el clave final. ^[9]

Ejemplos incluyen:

• AMPERIO
• EKE aumentado
• B-SPEKE
• PAK-X ^[2]
• SRP ^[a]
• agostoPAKE ^[11]
• OPACO ^{[12] [13] [14]}
• AuCPace ^[15]
• HABLÓ2+ ^[16]
• "Apretón de enlace modular avanzado para acuerdo de claves y autenticación opcional" ^[8]

Recuperación de claves

La recuperación de clave autenticada por contraseña es un proceso en el que un cliente obtiene una clave estática en una negociación basada en contraseña con un servidor que conoce los datos asociados con la contraseña, como los métodos Ford y Kaliski. En la configuración más estricta, una parte usa solo una contraseña junto con N (dos o más) servidores para recuperar una clave estática. Esto se completa de una manera que protege la contraseña (y la clave) incluso si N  − 1 de los servidores están completamente comprometidos.

Breve historia

Los primeros métodos exitosos de acuerdo de claves autenticadas por contraseña fueron los métodos de intercambio de claves cifradas descritos por Steven M. Bellovin y Michael Merritt en 1992. Aunque varios de los primeros métodos tenían fallas, las formas supervivientes y mejoradas de EKE amplifican efectivamente una contraseña compartida hasta convertirla en una contraseña compartida. clave, que luego se puede utilizar para el cifrado y/o la autenticación de mensajes. Los primeros protocolos PAKE demostrablemente seguros fueron desarrollados por M. Bellare, D. Pointcheval y P. Rogaway (Eurocrypt 2000) y V. Boyko, P. MacKenzie y S. Patel (Eurocrypt 2000). Estos protocolos demostraron ser seguros en el llamado modelo de oráculo aleatorio (o variantes incluso más fuertes), y los primeros protocolos que demostraron ser seguros bajo supuestos estándar fueron los de O. Goldreich e Y. Lindell (Crypto 2001), que sirve como prueba de plausibilidad, pero no es eficiente, y J. Katz, R. Ostrovsky y M. Yung (Eurocrypt 2001), que es práctico.

Ford y Kaliski describieron los primeros métodos de recuperación de claves autenticados por contraseña en 2000.

M. Bellare, D. Pointcheval y P. Rogaway proporcionaron un número considerable de protocolos PAKE alternativos y seguros; se han propuesto variaciones y pruebas de seguridad en esta clase creciente de métodos de acuerdo de claves autenticados por contraseña. Los estándares actuales para estos métodos incluyen IETF RFC 2945, RFC 5054, RFC 5931, RFC 5998, RFC 6124, RFC 6617, RFC 6628 y RFC 6631, IEEE Std 1363.2-2008, ITU-T X.1035 e ISO-IEC 11770-4. :2006.

Proceso de selección de PAKE para uso en protocolos de internet

A petición del grupo de trabajo de ingeniería de Internet IETF, el grupo de investigación del foro criptográfico IRTF (CFRG) llevó a cabo un proceso de selección de PAKE en 2018 y 2019. El proceso de selección se ha llevado a cabo en varias rondas. ^[17] En la ronda final de 2019 prevalecieron los cuatro finalistas AuCPace, OPAQUE (casos aumentados) y CPace, SPAKE2 (PAKE equilibrado). Como resultado del proceso de selección del CFRG, dos protocolos ganadores fueron declarados "recomendados por el CFRG para su uso en protocolos del IETF": CPace y OPAQUE. ^[18]

Ver también

• Protocolo criptográfico
• IEEE P1363
• Autenticación simultánea de iguales
• Esquema de criptografía
• Prueba de contraseña de conocimiento cero

Referencias

1. Diseñado para no estar gravado por patentes. ^[10]

1. , Feng; Ryan, Peter YA (2011). "Intercambio de claves autenticado con contraseña mediante malabarismo". En Christianson, Bruce; Malcolm, James A.; Matías, Vashek; Huevas, Michael (eds.). Protocolos de Seguridad XVI . Apuntes de conferencias sobre informática. vol. 6615. Berlín, Heidelberg: Springer. págs. 159-171. doi :10.1007/978-3-642-22137-8_23. ISBN 978-3-642-22137-8.
2. Boyko, V.; P. MacKenzie; S. Patel (2000). "Intercambio de claves demostrablemente seguro autenticado por contraseña mediante Diffie-Hellman". Avances en criptología - EUROCRYPT 2000 . Apuntes de conferencias sobre informática. vol. 1807. Springer-Verlag. págs. 156-171. doi :10.1007/3-540-45539-6_12. ISBN 978-3-540-67517-4.
3. Wang, Yongge (2006). "Análisis de seguridad de un protocolo de autenticación basado en contraseña propuesto para IEEE 1363" (PDF) . Informática Teórica . 352 (1–3): 280–287. arXiv : 1207.5442 . doi : 10.1016/j.tcs.2005.11.038. S2CID  11618269.
4. "Subprograma de tarjeta Java EC-SRP". GitHub . Marzo de 2020.
5. Haase, Björn; Hesse, Julia; Abdalla, Michel (2021). "OPACO: Un protocolo PAKE asimétrico seguro contra ataques previos al cálculo" (PDF) . Avances en Criptología – EUROCRYPT 2018 . Apuntes de conferencias sobre informática. vol. 10822, págs. 456–486. doi :10.1007/978-3-319-78372-7_15. ISBN 978-3-319-78371-0. S2CID  4046378.
6. Abdalla, M.; D. Pointcheval (2005). "Protocolos simples de intercambio de claves cifradas basadas en contraseñas". Temas de criptología - CT-RSA 2005 (PDF) . Apuntes de conferencias sobre informática. vol. 3376. Springer Berlín Heidelberg. págs. 191-208. CiteSeerX 10.1.1.59.8930 . doi :10.1007/978-3-540-30574-3_14. ISBN  978-3-540-24399-1.
7. Ladd, Watson (8 de febrero de 2022). Kaduk, Benjamín (ed.). "SPAKE2, un PAKE (borrador)". IETF.
8. US11025421B2, Fay, Bjorn, "Apretón de enlace modular avanzado para acuerdo de claves y autenticación opcional", publicado el 1 de junio de 2021 
9. Mateo Verde. "Hablemos de PAKE". 2018.
10. "¿Qué es SRP?". Universidad Stanford .
11. Shin, SeongHan; Kobara, Kazukuni (junio de 2012). "Autenticación aumentada eficiente solo con contraseña e intercambio de claves para IKEv2". Grupo de Trabajo de Ingeniería de Internet. Archivado desde el original el 11 de mayo de 2021.
12. Krawczyk, Hugo; Levi, Kevin; Madera, Cristóbal. "El protocolo PAKE asimétrico OPACO (borrador)". Grupo de Trabajo de Ingeniería de Internet .
13. Tatiana Bradley (8 de diciembre de 2020). "OPACO: Las mejores contraseñas nunca abandonan su dispositivo". El blog de Cloudflare .
14. Bourdrez, Daniel; Krawczyk, Hugo; Levi, Kevin; Madera, Christopher A. (6 de julio de 2022). "El protocolo PAKE asimétrico OPACO (borrador de Internet)". IETF.
15. Haase, Björn; Labrique, Benoît (agosto de 2010). "AuCPace: protocolo PAKE eficiente basado en verificador diseñado para IIoT" (PDF) . CHEQUES : 1–48. doi : 10.13154/tches.v2019.i2.1-48. S2CID  4603454.
16. Taubert, T.; Wood, C. (5 de mayo de 2022). "SPAKE2+, un PAKE aumentado (borrador)". IETF.
17. Repositorio para el proceso de selección de CFRG Pake
18. Resultados del proceso de selección CFRG PAKE

Otras lecturas

• Bellaré, M.; D. Pointcheval; P. Rogaway (2000). "Intercambio de claves autenticado seguro contra ataques de diccionario". Avances en criptología - EUROCRYPT 2000 . Apuntes de conferencias sobre informática . vol. 1807. Springer-Verlag. págs. 139-155. doi :10.1007/3-540-45539-6_11. ISBN 978-3-540-67517-4.
• Bellovin, SM; M. Merritt (mayo de 1992). "Intercambio de claves cifradas: protocolos basados ​​en contraseñas seguros contra ataques de diccionario". Actas del Simposio de 1992 de la IEEE Computer Society sobre investigación en seguridad y privacidad . Oakland. págs. 72–84. doi :10.1109/RISP.1992.213269. ISBN 978-0-8186-2825-2. S2CID  16063466.{{cite book}}: Mantenimiento CS1: falta el editor de la ubicación ( enlace )
• Ford, W.; B. Kaliski (14 a 16 de junio de 2000). "Generación asistida por el servidor de un secreto seguro a partir de una contraseña". Actas del noveno taller internacional de IEEE sobre tecnologías habilitadoras: infraestructura para empresas colaborativas (WET ICE 2000) . Médico de Gaithersburg: NIST. págs. 176–180. CiteSeerX  10.1.1.17.9502 . doi :10.1109/ENABL.2000.883724. ISBN 978-0-7695-0798-9. S2CID  1977743.
• Goldreich, O.; Y. Lindell (2001). "Generación de claves de sesión utilizando únicamente contraseñas humanas". Avances en criptología - CRYPTO 2001 . Apuntes de conferencias sobre informática. vol. 2139. Springer-Verlag. págs. 408–432. doi :10.1007/3-540-44647-8_24. ISBN 978-3-540-42456-7.
• IEEE Std 1363.2-2008: Especificaciones estándar IEEE para técnicas criptográficas de clave pública basadas en contraseñas . IEEE. 2009.ISBN​ 978-0-7381-5806-8. OCLC  319883358.
• Katz, J.; R. Ostrovsky; M. Yung (2001). "Intercambio eficiente de claves autenticado por contraseña utilizando contraseñas memorables para los humanos" (PDF) . Asociación Internacional para la Investigación Criptológica . Springer-Vergal.
• Wu, T. (septiembre de 2000). "El sistema de intercambio de claves y autenticación SRP". Editor RFC . doi :10.17487/rfc2945. RFC  2945 .
• Taylor, D.; Wu, T.; Mavrogiannopoulos, N.; Perrin, T. (noviembre de 2007). "Uso del protocolo de contraseña remota segura (SRP) para la autenticación TLS". Editor RFC . doi : 10.17487/rfc5054 . RFC  5054 .
• Harkins, D.; Zorn, G. (agosto de 2010). "Autenticación del Protocolo de autenticación extensible (EAP) utilizando únicamente una contraseña". Editor RFC . doi :10.17487/rfc5931. RFC  5931 .
• Sheffer, Y.; Zorn, G.; Tschofenig, H.; Fluhrer, S. (febrero de 2011). "Un método de autenticación EAP basado en el protocolo de intercambio de claves cifradas (EKE)". Editor RFC . doi :10.17487/rfc6124. RFC  6124 .
• Harkins, D. (junio de 2012). "Autenticación segura de clave precompartida (PSK) para el Protocolo de intercambio de claves de Internet (IKE)". Editor RFC . doi :10.17487/rfc6617. RFC  6617 .
• ISO/IEC 11770-4:2006 Tecnología de la información—Técnicas de seguridad—Gestión de claves—Parte 4: Mecanismos basados ​​en secretos débiles.
• IEEE Std 802.11-2012: Estándar IEEE para tecnología de la información - Parte 11 Especificación de control de acceso al medio (MAC) y capa física (PHY) de LAN inalámbrica . IEEE. 2012.ISBN​ 978-0-7381-8469-2. OCLC  1017978449.
• Jarecki, Estanislao; Krawczyk, Hugo; Xu, Jiayu (2018). "OPACO: un protocolo PAKE asimétrico seguro contra ataques previos al cálculo". Avances en criptología - EUROCRYPT 2018 (PDF) . Apuntes de conferencias sobre informática. vol. 10822, págs. 456–486. doi :10.1007/978-3-319-78372-7_15. ISBN 978-3-319-78371-0. S2CID  4046378.
• Smyshlyaev, Stanislav; Oshkin, Igor; Alekseev, Evgeniy; Ahmetzyanova, Liliya (2015). "Sobre la seguridad del protocolo de intercambio de claves autenticado con una sola contraseña" (PDF) . Archivo ePrint de criptología (Informe 2015/1237).

enlaces externos

• Grupo de trabajo IEEE P1363
• IEEE Std 1363.2-2008: Especificaciones estándar IEEE para técnicas criptográficas de clave pública basadas en contraseñas
• Enlaces de David Jablon para criptografía basada en contraseñas
• Protocolos simples de intercambio de claves cifradas basadas en contraseñas Abdalla et al 2005