Основы криптографии Учебное пособие - Алферов А.П.
ISBN 5-85438-025-0
Скачать (прямая ссылка):
(\)А->В: г,А,В,ЕкАТ(гЛ,г,А,В),
(2) В~+Т\ г,А,В,Еклт(гА,г,А,В),Еквт(гв,г,А,В),
(3) T-+В: Еклт(гА,к\Еквт(гв,к),
(4)В-*А: Еклт (гА, к).
Пользователь А генерирует два случайных числа: первое (гА) используется, как и раньше, для взаимной аутентификации, а второе (г) — для аутентификации сеанса связи (вместо него может быть использована метка времени).
384
І Іротокольї распределения ключей
Этот протокол можно дополнить еще одним шагом для обеспечения взаимной аутентификации сторон и подтверждения правильности полученного ключа:
(4') В -*А: Ekjr (гА, к), Ек(г, гв),
(5) А -+В: Ек(г) .
§ 15.2. Передача ключей с использованием асимметричного шифрования
Рассмотрим варианты использования асимметричного шифрования для передачи секретных ключей симметричных криптосистем.
Протоколы без использования цифровой подписи
Для передачи ключа к можно использовать следующий одношаговый протокол:
А->В : EkB(k9t9A),
где E — алгоритм шифрования с открытым ключом, t — метка времени, вставляемая для предотвращения возможности повторного использования ключа.
Для осуществления взаимной аутентификации и подтверждения правильности получения ключа можно воспользоваться протоколом из [Nee78]:
(1) А-+В: Ев(кх,А),
(2) B-*А: ЕА(кьк2),
(3) А—* В: Ев(к2) .
Производя расшифрование полученных сообщений на втором и третьем шагах, стороны убеждаются в том, что они имеют
385
І лава 1h
дело именно с нужной стороной и что другая сторона правильно расшифровала полученное значение ключа.
Протоколы с использованием цифровой подписи
При использовании цифровой подписи аутентифицированный протокол передачи ключей может содержать только одно сообщение и иметь, например, один из следующих трех видов:
A-* В: EH(k,t,SA(B,k,t))
(шифрование подписанного ключа);
A-* В: EH(k,t,),SA(B,k,t)
(зашифрование и подпись ключа);
В: t, Eh (А, к), Sa (В, t,EH (Л,к))
(подпись зашифрованного ключа).
Сертификаты открытых ключей
Как правило, при использовании открытых ключей хранят не сами ключи, а их сертификаты. Сертификат представляет собой набор данных
CA={A,kA,t,SKn(A,kA,t)),
состоящий из идентификатора абонента A9 его открытого ключа кА и, быть может, еще какой-либо дополнительной информации, например, времени t выдачи сертификата и срока его действия, заверенных цифровой подписью доверенного центра TA или заслуживающего доверия лица. Сертификат
386
11ротоколы распределения ключей
предназначен для исключения возможности подмены открытого ключа при его хранении или пересылке.
Получив такой сертификат и проверив цифровую подпись, можно убедиться в том, что открытый ключ действительно принадлежит данному абоненту.
Международный стандарт CCITT Х.509 определяет следующий протокол аутентификации с одновременным распределением ключей:
(1) А -+В: СА,Da, Sa(Da),
(2) В -+А: Св,De, S8(Db),
(3) А -+В: rH,B,SA{rH,B),
где Ca и Cb — сертификаты сторон, Sa и Sb — цифровые подписи сторон,
DA = (tA^rА’В> dataX >Ев(к 1)) ’
DB = (tB ’ґВ>А’ГА’ data2 ’EA(k2 ))
J
— наборы передаваемых и подписываемых данных. В поля data заносится дополнительная информация для аутентификации источника. Третий шаг протокола требуется стороне В для подтверждения того, что она действительно взаимодействует со стороной А.
§ 15.3. Открытое распределение ключей
Открытое распределение ключей позволяет двум абонентам выработать общий секретный ключ путем динамического взаимодействия на основе обмена открытыми сообщениями без какой-либо общей секретной информации, распределяемой заранее. Важным преимуществом открытого распределения является также то, что ни один из абонентов заранее не
387
І лава 75
может определить значения ключа, так как ключ зависит от сообщений, передаваемых в процессе обмена.
Первый алгоритм открытого распределения ключей был предложен У.Диффи и М.Хеллманом [Dif76]. Для его выполнения стороны должны договориться о значениях большого простого числа р и образующего элемента а мультипли-*
кативной группы ^p- р — 1} . Для выработки об-
щего ключа к они должны сгенерировать случайные числа х, \<x<p — 2,wy, \ < у < р —2, соответственно. Затем они должны обменяться сообщениями в соответствии с протоколом:
(1) A-+B:axmodp,
(2) B-* А: ау то&р .
Искомый общий ключ теперь вычисляется по формуле:
Недостатком этого протокола является возможность атаки типа “злоумышленник в середине”, состоящей в следующем. Предположим, что злоумышленник имеет возможность осуществлять подмену передаваемых абонентами сообщений. Тогда, выбрав числа х* и у* и подменив сообщения
ах mod р и ау modр на ах* modр и ау* mod р соответственно, он может сформировать ключи
к = (ау)х = (ptx)y mod р.
к{ = (a^^mod р
и
для связи с пользователями AwB соответственно. В результате злоумышленник получает возможность полностью кон-
388
/ іротоколь/ распределения ключей
тролировать обмен сообщениями между абонентами AwB. При этом они не смогут обнаружить подмену и будут уверены, что связываются непосредственно друг с другом.
