4.3. Протоколы на основе асимметричных криптосистем
Криптографические протоколы разрабатываются на основе не только симметричных, или одноключевых (с одним и тем же ключом для шифрования и дешифрования), но и асимметричных, или двухключевых криптосистем [44]. Особенность асимметричной схемы заключается в том, что в прямом криптографическом преобразовании применяется открытый (шифрование) или секретный (вычисление цифровой подписи) ключ, а в обратном преобразовании — секретный (дешифрование) или открытый (проверка цифровой подписи) ключ, то есть ключи в прямом и обратном преобразовании всегда различны. Кроме того, прямое и обратное преобразования взаимно обращаемы. Так, если К открытый,, К-1 секретный ключ, а С, М — шифротекст и открытый текст соответственно, то при заданном С = {М}к открытый текст может быть получен в результате преобразования М = {C}K-1. Аналогично при С = {М}K-1, М = {С}к.
Таким образом, если Алиса и Боб опубликовали свои открытые ключи К а и kb при условии сохранения в секрете парных ключей Кa-1, Кв-1, передача сообщения М осуществляется следующим образом [161]. Для шифрования сообщения М Алиса последовательно применяет прямое криптографическое преобразование на ключах Кa-1 (секретный ключ Алисы) и Kв (открытый ключ Боба):
Для дешифрования полученного сообщения Боб последовательно применяет обратное криптографическое преобразование на ключах Kв-1 (секретный ключ Боба) и К а (открытый ключ Алисы).
Очевидная атака заключается в том, что злоумышленник может сгенерировать пару ключей Kx, Кx-1 и поместить Kx в общедоступный справочник с утверждением, что данный ключ принадлежит Алисе. Тогда все секретные сообщения, адресованные Алисе, будут зашифрованы на ключе Kx и, следовательно, раскрыты злоумышленником (дешифрованием на ключе Кх-1). Таким образом, проблема обеспечения конфиденциальности при передаче сообщений сводится к проблеме доказательства подлинности источника сообщений (аутентификации).
Известным способом решения сформулированной проблемы является создание доверенного центра сертификации — некоторого аналога сервера аутентификации. Для этого Сэм (центр сертификации) обеспечивает каждого абонента криптосети специальным сертификатом. В упрощенном виде сертификат можно рассматривать как структурированную запись в базе данных, состоящую из имени абонента, открытого ключа, прав доступа, срока действия сертификата и других атрибутов, скрепленных цифровой подписью центра сертификации. Тогда валидность цифровой подписи сертификата (проверка осуществляется с помощью открытого ключа центра) позволяет установить подлинность открытого ключа конкретного абонента криптосети. Например, сертификат Алисы будет выглядеть следующим образом:
Ca= {A,Ka,Ra,Ea}Ks-1
Однако сертификаты не позволяют полностью решить проблем. Например, один из первых криптографических протоколов, разработанный Деннинг (Denning) и Сакко (Sacco) в 1982 г.. предназначался для распределения секретных сеансовых ключей:
№ Отправитель _ Получатель Сообщение
Только в 1994 г. Абади (Abadi) раскрыл существенный недостаток данного протокола. Суть его заключается в том, что Боб, получив сообщение Алисы (сообщение на шаге 3). может выдавать себя за Алису в течение срока действия временной метки Ta.
Предположим, Боб желает выдать себя за Алису при взаимодействии с Чарли. Для этого он обращается к Сэму, получает сертификат Чарли Сс, выполняет дешифрование сообщения, полученного от Алисы на 3 шаге протокола, далее шифрует сообщение {Ta, КАв}K-1 на открытом ключе Чарли (из сертификата Сс) и затем посылает Чарли сообщение:
Уязвимость данного протокола объясняется отсутствием уникального имени абонента-респондента в сообщениях протокола.
Рассмотрим еще один протокол, предложенный By (Woo) и Лэмом (Lam) [50|:
№ Отправитель______Получатель Сообщение
Очевидный недостаток здесь заключается в том, что Боб не проверяет уникальность сообщений протокола с помощью временных меток или одноразовых случайных чисел (nonce). Отсутствие цифровой подписи сообщений со стороны Алисы приводит к более серьезным проблемам. В результате Боб может доказать факт существования Алисы только самому себе и не может доказать этого третьей стороне. Некоторые протоколы на базе двухключевых криптоалгоритмов гарантируют возможность доказательства принадлежности в случае отказа от ранее переданного сообщения, однако в общем случае нарушение механизма аутентификации представляет собой реальную угрозу.
- 1. Пароли
- 1.1. Противодействие раскрытию и угадыванию пароля
- 1.2. Противодействие пассивному перехвату
- 1.3. Защита при компрометации проверяющего
- 1.4. Противодействие несанкционированному воспроизведению
- 1.5. Одноразовые пароли
- 1.6. Метод «запрос-ответ»
- 2. Биометрические методы
- 3. Криптографические методы аутентификации
- 3.1. Аутентификация в режиме on-line
- 3.1.1. Протокол 1. Симметричная криптосистема
- 3.1.2. Протокол 2. Асимметричная криптосистема
- 3.2. Аутентификация при участии нескольких серверов
- 3.3. Организация серверов аутентификации
- 3.4. Аутентификация в режиме off-line
- 3.4.1. Протокол на основе симметричной криптосистемы
- 3.4.2. Протокол на основе асимметричной криптосистемы
- 3.5. Аутентификация с привлечением арбитра
- 3.5.1. Протокол 3. Симметричная криптосистема
- 3.5.2. Протокол 4. Асимметричная криптосистема
- 4. Анализ протоколов аутентификации
- 4.1. Протокол с сервером аутентификации
- 4.2. Протокол «запрос-ответ»
- 4.3. Протоколы на основе асимметричных криптосистем
- 4.4. Протокол с «двуликим Янусом»
- 4.5. Протокол стандарта х.509
- 4.6. Протокол для сетей подвижной радиосвязи
- 4.7. Анализ протоколов ssh и ака
- 5. В an-логика
- 6. Протокол Kerberos
- 6.1. Модель Kerberos
- 6.2. Этапы протокола Kerberos
- 6.3. Атрибуты
- 6.4. Сообщения Kerberos версии 5
- 6.5. Получение первоначального мандата
- 6.6. Получение мандатов прикладных серверов
- 6.7. Запрос услуги
- 6.8. Kerberos версии 4
- 6.9. Безопасность Kerberos