Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
В отличие от фиктивных протоколов, рассмотренных в главе 2, слабости протоколов, описанные в этой главе, не являются искусственными. Все они взяты из практики! Эти недостатки были вскрыты после того, как протоколы, разработанные уважаемыми авторами, были опубликованы в изданиях, посвященных криптографии и защите информации. Отсюда следует, что стандартизация, подробно разработанная теория проектирования и большой опыт не гарантируют от ошибок даже экспертов.
Поскольку разработка протоколов аутентификации чрезвычайно подвержена! ошибкам, мы не оставим эту тему и в дальнейшем. В настоящее время формальные методы доказательства корректности протоколов аутентификации являются предметом интенсивных исследований. Результаты, достигнутые в этой области, будут изложены в главе 17.
11.1.1 Структурная схема главы
В разделе 11.2 рассматриваются основные понятия, связанные с аутентифик цией. В разделе 11.3 устанавливаются правила описания компонентов протокол^ аутентификации и поведение их участников, принятое по умолчанию. След> щие три раздела посвящены введению в методы аутентификации. В разделе 1 II изложены основные принципы и стандартные конструкции протоколов аутентж фикации, раздел 11.5 посвящен методам аутентификации с помощью пароле^ а в разделе 11.6 изучаются важные протоколы, обеспечивающие аутентификац; и обмен ключами с помощью альтернативных методов. Раздел 11.7 относит^ к той части главы, в которой описываются слабости протоколов аутентиф* ции и основные виды атак на них. В заключительном разделе 11.8 перечислен литературные ссылки, относящиеся к этой области.
11.2 Основные понятия аутентификации
Кратко говоря, аутентификация — это процедура, позволяющая одной суши сти проверить объявленные свойства другой. Например, аутентификация позво~ ет первой сущности проверить, является ли вторая сущность законной, а второ сущности — доказать свою законность. Из этого краткого определения следует,1 в процессе аутентификации участвуют две стороны. Процедура взаимодействия между общающимися пользователями называется протоколом. Таким образом, процедура аутентификации является протоколом аутентификации (authentication protocol).
Аутентификацию можно разделить на три вида: аутентификация источника данных (data-origin authentication), аутентификация сущности (entity authen-
Глава 11. Протоколы аутентификации — принципы
383
tication) и генерация аутентифицированных ключей (authenticated key establishment). Первый вид аутентификации означает проверку объявленного свойства сообщения, второй больше внимания уделяет проверке достоверности сведений об отправителе сообщения, а третий предназначен для организации защищенного канала для обмена секретными сообщениями.
11.2.1 Аутентификация источника данных
Аутентификация источника данных (также называемая аутентификацией сообщения (message authentication)) тесно связана с защитой целостности данных. В первых книгах по криптографии и защите информации эти два понятия практически не различались [89,93]. Данная точка зрения основывалась на том, что риск, возникающий в результате применения преднамеренно искаженной информацией, сравним с риском получить информацию из ненадежного источника.
Однако на самом деле аутентификация источника данных и защита целостности данных представляют собой совершенно разные понятия. Их можно различить по нескольким аспектам.
Во-первых, аутентификация источника данных обязательно связана с каналами связи. Она представляет собой службу безопасности получателя, предназначенную для верификации источников сообщений. Защита целостности данных не обязательно связана с коммуникациями: она может распространяться на данные, хранящиеся в компьютере.
Во-вторых, аутентификация источника данных обязательно связана с его идентификацией, а защита целостности данных — нет. В разделе 10.5 приведен пример защиты целостности данных, не требующей идентификации источника сообщения. Для описания этой ситуации даже использовался термин "защита целостности данных, посланных Злоумышленником". Заметим, что Злоумышленник — это безликий пользователь, никак не связанный с достоверным источником информации. В главе 15 будет показано, что "защита целостности данных, посланных Злоумышленником" представляет собой общий механизм, гарантирующий доказуемую стойкость криптосистем с открытым ключом.
В-третьих, что самое важное, аутентификация источника сообщения обязательно связана с проверкой его "свежести" (freshness), а защита целостности данных — нет: фрагмент устаревшей информации может превосходно соответствовать критериям целостности данных. Для того чтобы аутентифицировать источник данных, получатель сообщения должен удостовериться, что сообщение было послано недавно (т.е. промежуток времени между его отправлением и получением достаточно мал). Только в этом случае сообщение может считаться "свежим". "Свежесть" информации свидетельствует о хорошей согласованности между общающимися сторонами и снижает вероятность диверсии со стороны пользователей, аппаратуры, системы или самого сообщения. В разделе 2.6.4 бы-
