Digest access authentication

Digest access authentication è un metodo concordato che un web server può utilizzare per negoziare le credenziali, quali nome utente o password, del web browser dell'utente. Può essere utilizzato per confermare l'identità di un utente prima di mandare informazioni sensibili, ad esempio la cronologia delle transazioni bancarie. Applica una funzione hash al nome utente e password prima di inviarli sulla rete. Questo meccanismo è più sicuro dell'invio mediante basic access authentication, che utilizza la codifica Base64, anziché usare un algoritmo di crittografia, che lo rende insicuro a meno che non venga usato insieme al Transport Layer Security. Digest access authentication utilizza il protocollo HTTP ed è un'applicazione della funzione crittografica di hash MD5 con utilizzo di un valore nonce per prevenire un replay attack.

Descrizione

Digest access authentication è stata specificata originariamente nel RFC 2069 (An Extension to HTTP: Digest Access Authentication). RFC 2069 specifica sommariamente uno schema di autenticazione tradizionale in cui la sicurezza è garantita da un nonce generato dal server. La risposta all'autenticazione è formata così (HA1, HA2, A1, A2 sono variabili di tipo stringa):

\mathrm {HA1} =\mathrm {MD5} {\Big (}\mathrm {A1} {\Big )}=\mathrm {MD5} {\Big (}\mathrm {username} :\mathrm {realm} :\mathrm {password} {\Big )}

\mathrm {HA2} =\mathrm {MD5} {\Big (}\mathrm {A2} {\Big )}=\mathrm {MD5} {\Big (}\mathrm {method} :\mathrm {digestURI} {\Big )}

\mathrm {risposta} =\mathrm {MD5} {\Big (}\mathrm {HA1} :\mathrm {nonce} :\mathrm {HA2} {\Big )}

RFC 2069 è stato sostituito in seguito da RFC 2617 (HTTP Authentication: Basic and Digest Access Authentication). RFC 2617 introduce una serie di miglioramenti opzionali di sicurezza all'autenticazione digest; "quality of protection" (qop), contatore nonce incrementato dal client e un nonce generato casualmente dal client.

Se l'algoritmo di hash è MD5 oppure non è specificato, allora HA1 è:

\mathrm {HA1} =\mathrm {MD5} {\Big (}\mathrm {A1} {\Big )}=\mathrm {MD5} {\Big (}\mathrm {username} :\mathrm {realm} :\mathrm {password} {\Big )}

Se l'algorirmo di hash è "MD5-sess" allora HA1 è:

\mathrm {HA1} =\mathrm {MD5} {\Big (}\mathrm {A1} {\Big )}=\mathrm {MD5} {\Big (}\mathrm {MD5} {\Big (}\mathrm {username} :\mathrm {realm} :\mathrm {password} {\Big )}:\mathrm {nonce} :\mathrm {cnonce} {\Big )}

Se il valore del qop è "auth" oppure non è specificato, allora HA2 è:

\mathrm {HA2} =\mathrm {MD5} {\Big (}\mathrm {A2} {\Big )}=\mathrm {MD5} {\Big (}\mathrm {method} :\mathrm {digestURI} {\Big )}

Se il valore del qop è "auth-int", allora HA2 è:

\mathrm {HA2} =\mathrm {MD5} {\Big (}\mathrm {A2} {\Big )}=\mathrm {MD5} {\Big (}\mathrm {method} :\mathrm {digestURI} :\mathrm {MD5} (entityBody){\Big )}

Se il valore di qop è "auth" o "auth-int", allora il calcolo della risposta è:

\mathrm {risposta} =\mathrm {MD5} {\Big (}\mathrm {HA1} :\mathrm {nonce} :\mathrm {nonceCount} :\mathrm {clientNonce} :\mathrm {qop} :\mathrm {HA2} {\Big )}

Se qop non è specificato, allora il calcolo della risposta è:

\mathrm {risposta} =\mathrm {MD5} {\Big (}\mathrm {HA1} :\mathrm {nonce} :\mathrm {HA2} {\Big )}

L'impatto della sicurezza di MD5 sul digest access authentication

I calcoli MD5 usati nel digest authentication HTTP sono usati a "una via", è difficile determinare l'input originale conoscendo l'output. Se però la password è troppo semplice, è possibile provare tutti gli input possibili e trovare un output abbinato (un brute-force attack)-possibilmente con l'aiuto di un dizionario o una tabella arcobaleno, che sono disponibili per MD5^[1].

Lo schema HTTP è stato ideato da Phillip Hallam-Baker al CERN nel 1993 e non include miglioramenti successivi nei sistemi d'autenticazione, quali ad esempio lo sviluppo di keyed-hash message authentication code(HMAC). Sebbene il costrutto crittografico usato si basa sulla funzione hash MD5, nel 2004 si pensava che le collisioni hash non influenzassero le applicazioni dove il plaintext (es. password) non era conosciuto^[2]. Tuttavia affermazioni nel 2006^[3] hanno causato dubbi per alcune applicazioni di MD5. Finora, peró, attachi di collisione alla MD5 non si sono dimostrati di essere una minaccia per digest authentication e RFC 2617 permette ai server di implementare meccanismi mirati a individuare alcuni attacchi di collisione e replay attack.

Portale Informatica: accedi alle voci di Wikipedia che trattano di informatica

^ Lista di tabelle arcobaleno, Project Rainbowcrack. Include molteplici tabelle arcobaleno per MD5.
^ Hash Collision Q&A, su cryptography.com, Cryptography Research, 16 febbraio 2005 (archiviato dall'url originale il 6 marzo 2010).Template:Better source
^ On the Security of HMAC and NMAC Based on HAVAL, MD4, MD5, SHA-0 and SHA-1 (PDF), su eprint.iacr.org, IACR.

[1] Lista di tabelle arcobaleno, Project Rainbowcrack. Include molteplici tabelle arcobaleno per MD5.

[CryptoRes-2004-2] Hash Collision Q&A, su cryptography.com, Cryptography Research, 16 febbraio 2005 (archiviato dall'url originale il 6 marzo 2010).Template:Better source

[3] On the Security of HMAC and NMAC Based on HAVAL, MD4, MD5, SHA-0 and SHA-1 (PDF), su eprint.iacr.org, IACR.

[1]

[2]

[3]