Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
'"Перезагрузка" — технический термин, означающий повторную инициализацию компьютерной системы в соответствии с простыми предварительными инструкциями или информацией, которая
386
Часть IV. Аутентификация
Обмен сообщениями между процессом и главным компьютером (process-host type). В настоящее время развитие методов распределенных вычислений предоставило пользователям широкие функциональные возможности. Главный компьютер может предоставлять внешним процессам широкие права. Например, на удаленный компьютер могут передаваться и запускаться на нем фрагменты "кода для мобильного телефона" или "аплет, написанный на языке Java™"2. В секретных системах необходимо предусматривать механизмы аутентификации разработчика, чтобы не допустить выполнение враждебных аплетов и предоставлять права доступа только разрешенным аплетам.
Члены клуба (member-club type). Доказательство членства в клубе представляв ет собой обобщение способа, основанного на обмене сообщениями меж! ду пользователем и главным компьютером. В этом случае клуб интересует только мандат его члена, а не информация о нем. В частности, клуб не инте! ресуется подлинностью личности члена клуба, имеющего мандат. Данный сценарий реализуется в протоколах идентификации с нулевым разглашением (zero-knowledge identification protocol) и схемах неоспоримой цифровой подписи (undeniable signature schemes). Эти методы изучаются в главе 18.
11.2.3 Генерация аутентифицированных ключей
Как правило, стороны, обменивающиеся информацией, запускают протокол аутентификации сущности для того, чтобы в дальнейшем перевести общение на более высокий уровень. В современной криптографии в основе организации защищенных каналов связи лежат криптографические ключи. Следовательно, про! токолы аутентификации сущностей для дальнейшего обмена информацией по защищенным каналам в качестве составной части должны содержать механизм генерации аутентифицированных ключей (authenticated key establishment), или обмена ключами (key exchange), или согласования ключей (key agreement).
Напомним, что протоколы аутентификации сущностей могут предусматривать аутентификацию источника данных. Аналогично, в протоколах генерации аутен! тифицированных ключей протокольные сообщения содержат параметры ключей^ источник которых также подлежит аутентификации.
В литературе протоколы аутентификации (сущностей), протоколы генерации аутентифицированных ключей (обмена ключами, согласования ключей), прото| колы для защиты данных и даже криптографические протоколы часто называю^ протоколами связи (communication protocols).
2Аплет, написанный на языке Java™, — это выполняемый код, запускаемый под управление^ Web-браузера на удаленном компьютере.
Глава 11. Протоколы аутентификации — принципы
387
11.2.4 Атака на протоколы аутентификации
Поскольку целью протокола аутентификации (источника данных, сущности, ключа) является проверка объявленного свойства, необходимо применить криптографические методы. Атака на протокол преследует противоположную цель. 1\така на протокол аутентификации организуется противником или коалицией противников (под общим названием "Злоумышленник"), преследующих незаконные цели. Цель Злоумышленника может быть серьезной, например, взлом секретного сообщения или ключа, или менее серьезной, например, обман получателя сообщения. Как правило, протокол аутентификации считается некорректным, если пользователь считает, что протокол выполняется правильно и связь установлена |с подлинным партнером, в то время как подлинный партнер приходит к противо-'положному выводу.
Следует подчеркнуть, что атаки на протоколы аутентификации, как правило, не связаны со взломом криптографических алгоритмов. Обычные протоколы ^аутентификации небезопасны не потому, что в них применяются слабые криптографические алгоритмы, а потому, что имеют недостатки, позволяющие Злоумышленнику пройти аутентификацию вообще без взлома криптографического [алгоритма. В главе описано много таких атак. По этой причине при анализе протоколов аутентификации обычно предполагают, что лежащий в его основе криптографический алгоритм является "совершенным", и не рассматривают его потенциальные слабости. Анализ слабых мест криптографических алгоритмов является предметом другой отрасли криптографии.
11.3 Соглашения
В протоколах аутентификации, рассмотренных в остальной части главы, при-рняты следующие соглашения о смысле протокольных сообщений и их синтаксической структуре.
• Алиса, Боб, Трент, Злоумышленник, ... — имена пользователей, встречающиеся в протокольных сообщениях. Иногда вместо них используются аббревиатуры А, В,Т,М,...
• Алиса —у Бобу : М. Алиса посылает Бобу сообщение М. Спецификация протокола представляет собой последовательность таких сообщений.
• {М}к — зашифрованный текст, представляющий собой сообщение М, зашифрованное ключом К.
• К, Кав, Кат, К а, ... — криптографические ключи, где Кху — ключ, разделенный между пользователями X и Y, а Кх — открытый ключ, принадлежащий пользователю X.
388
Часть IV. Аутентификаци
• А'', А^,... — одноразовые случайные числа (nonces) [61], которые извлекаются из довольно большого пространства. Число Nx генерируется пользователем X.
