4.1. Протокол с сервером аутентификации

Время играет существенную роль во многих криптографических протоколах. Применение долговременных секретных ключей является распространенным на практике решением для разграничения доступа или установления защищенного режима взаимодействия между або­нентами криптосети. Учитывая возможность компрометации долговременного ключа или изменения статуса его владельца, подобное решение предполагает разработку сложных про­цедур управления списком отмененных ключей и реконфигурации криптосети.

Более простое решение заключается в создании специального сервера аутентификации, разделяющего долговременный секретный ключ с каждым абонентом криптосети. Восполь­зуемся именами Алиса (А) и Боб (В) для обозначения абонентов и именем Сэм (S) для обозначения сервера. Обозначим разделяемые долговременные ключи как Хд^для Сэма и Алисы) и Квз(яля Сэма и Боба).

При таком решении установление защищенного сеансового соединения между абонента­ми и обмен кратковременным сеансовым ключом кав осуществляются с помощью сервера аутентификации. Таким образом, изоляция абонента криптосети, например Чарли (С), в слу­чае потери последним доверия или компрометации его долговременного ключа выполняется сервером аутентификации путем удаления ключа kcs-

Однако многие протоколы, разработанные с учетом изложенной идеологии, могут быть скомпрометированы. Рассмотрим протокол [41|, в котором Алиса передает Бобу кратковре­менный сеансовый ключ кав с помощью сервера аутентификации. Для шифротекста, полу­ченного в результате шифрования {открытого текста} на некотором {ключе}, введем обо­значение {открытый текст}_ключ. Шаги протокола могут быть записаны следующим образом:

№ Отправитель______Получатель Сообщение_______

1. А -> S {т_а,в,кав}_Kas

2. S -> В {ts,a,k_ab}_Kbs

Через та и ts обозначены временные метки, формируемые Алисой и Сэмом соответственно. Очевидно, что временной интервал, в течение которого Боб может оперировать ключом кав-, является системным параметром и устанавливается заранее.

Уязвимость описанного протокола связана с заменой временной метки Тa, полученной от Алисы, на метку сервера аутентификации Ts. В результате, несмотря на удаленный ключ Kcs, У Чарли сохраняется возможность взаимодействия с другими абонентами криптосети.

Например, Чарли может выдать себя за Боба и установить сеансовое соединение с Али­сой, послав Сэму перехваченное на шаге 2 сообщение {Ts,a,Kab}k_bs и получив ответное сообщение {Ts,в,Kab}к_as,где T's — новая временная метка. Он может также выдать себя за Алису и получить от Сэма сообщение {T"s, A Kab}K_bs и так далее.

Эффективность атаки зависит от приложений. Отметим, что Чарли не имеет доступа к долговременным секретным ключам К as, kbs и не знает сеансового ключа кав- Он может только перехватывать сообщения, передаваемые по открытому каналу связи. Рассмотрим ситуацию, когда все необходимые для согласования сеансового ключа процедуры реализо­ваны на Smart Card или PCMCIA-карте с применением TEMPEST-технологии (например, Capstone), а процедура шифрования/дешифрования на сеансовом ключе реализована про­граммно и выполняется на стандартном компьютере. TEMPEST-технология исключает воз­можность доступа к секретной информации, записанной в конкретное устройство. Однако Чарли может добиться успеха, завладев устройством и воспользовавшись описанной выше атакой.