10.3Аутентификация на основе общего секретного ключа

Рассмотрим протокол аутентификации на основе общего секретного ключа, то есть применяющего симметричное шифрование. Здесь предполагается, что заранее А и В договорились о некотором общем секретном ключе.

Обозначим через «->» слово «передает», что передается, указано после знака «:», K_{ab —} ключ для А и В, R_{b —} случайное число. Покажем по шагам работу протокола.

1 A -> B : A

2 A <- B : R_b

3 A -> B : K_ab(R_b)

4 A -> B : R_a

5 A <- B : K_ab(R_a)

После третьего сообщения В убеждается в подлинности А, так как иначе А не смог бы зашифровать случайное число, посланное В. После пятого сообщения в подлинности В убеждается А.

Здесь, кажется, возможна оптимизация, за счет объединения двух передаваемых данных.

1 A -> B : A, R_a

2 A <- B : R_b, K_ab(R_a)

3 A -> B : K_ab(R_b)

Но такой протокол не работает. Он легко взламывается при помощи атаки «на отражение». Цель атаки – проникнуть на сервер В от имени А. Основная идея этой атаки заключается в том, чтобы заставить В самого зашифровать свое случайное число. Механизм – использование организации второго защищенного канала. В приведенной ниже схеме С действует от имени А.

1 C -> B : A, R_c

2 C <- B : R_b, K_ab(R_c)

3 C -> B : A, R_b

4 C <- B : K_ab(R_b)

5 C -> B : K_ab(R_b)

Интересно, что как раз неверная схема предлагается в протоколе SKID. В нем в качестве функции использовались MAC коды.

Преимущества рассмотренной (правильной!) схемы состоят в высокой скорости вычислений.

Основной недостаток алгоритмов аутентификации с общим ключом состоит в том, что собеседникам требуется знание большого количества ключей. Хранение этих ключей должно быть надежным. Проблемой является распределение ключей, в связи с этим невозможно достаточно часто их изменять.