Password Authenticated Connection Establishment

Schelbert, Reto and Schreiber, Simon (2013) Password Authenticated Connection Establishment. Student Research Project thesis, HSR Hochschule für Technik Rapperswil.

[thumbnail of PACE_Studienarbeit_FS2013.pdf]
Preview
Text
PACE_Studienarbeit_FS2013.pdf - Supplemental Material

Download (2MB) | Preview

Abstract

Ziel der Studienarbeit war es, Password Authenticated Connection Establishment (PACE) für die Authentisierung im Internet Key Exchange Version 2 (IKEv2) in die OpenSource VPN-Lösung strongSwan zu implementieren. PACE stellt ein neues symmetrisches passwortbasiertes Authentisierungsverfahren dar, das gegenüber Pre-Shared Key (PSK) den Vorteil hat, dass die Sicherheit nicht von der kryptografischen Stärke des Passworts abhängt. Dies wird erreicht, indem mit dem Passwort völlig zufälliges Material verschlüsselt und übertragen wird. In einem zweiten Schritt bilden beide Kommunikationspartner einen neuen Diffie-Hellman (DH) Generator mit Hilfe dieses Zufallsmaterials und leiten daraus ein neues Shared Secret ab, das zur Authentisierung verwendet wird. PACE ist in RFC6631 definiert und zählt zu einer Reihe von Verfahren, die als Secure Password Method zusammengefasst werden. Damit sich zwei Kommunikationspartner auf ein solches Verfahren einigen können, ist eine Erweiterung von IKEv2 notwendig, die in RFC6467 als Secure Password Framework for IKEv2 beschrieben ist. Das Framework definiert zudem mit Generic Secure Password Method (GSPM) einen neuen Payload Type, der es ermöglicht, für Secure Password Methods spezifische Daten auszutauschen.
Die im Rahmen dieser Studienarbeit erfolgte Implementierung des GSPM Frameworks bietet eine Grundlage dafür, strongSwan um weitere secure password methods zu erweitern.
PACE wurde als Plugin für strongSwan in C realisert. Damit ist strongSwan in der Lage, PACE zur Authentisierung zu verwenden. Das Erzeugen des DH Shared Secret kann mit dem modularen Diffie-Hellman Verfahren (MODP DH) erfolgen. Mögliche Fortsetzungen nach Abschluss dieser Studienarbeit wären die Nutzung von Elliptic Curve Diffie-Hellman (ECDH) für das Shared Secret sowie das in RFC6631 vorgeschlagene Generieren und Speichern eines Long-Term Shared Secret, das die lokale Speicherung des schwachen initialen Passworts überflüssig machen würde.

Item Type: Thesis (Student Research Project)
Subjects: Area of Application > Security
Technologies > Security > VPN (Virtual Private Networking)
Metatags > ITA (Institute for Internet Technologies and Applications)
Divisions: Bachelor of Science FHO in Informatik > Student Research Project
Depositing User: OST Deposit User
Contributors:
Contribution
Name
Email
Thesis advisor
Steffen, Andreas
UNSPECIFIED
Date Deposited: 23 Jul 2013 09:31
Last Modified: 23 Jul 2013 09:31
URI: https://eprints.ost.ch/id/eprint/298

Actions (login required)

View Item
View Item