Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
Опишем стандартные механизмы, позволяющие решить поставленную задачу. В наших описаниях Алиса будет заявлять о некотором свойстве (например, своем существовании или "свежести" сообщения), а Боб будет проверять, соответствуя ли это действительности. Будем считать, что Алиса и Боб владеют общим ключо! Кав, если механизм аутентификации использует симметричные криптографичч| ские методы, или Бобу известен открытый ключ Алисы, распространяемый чер^ систему сертификации открытых ключей3, если в основе механизма аутентификации лежат методы асимметричной криптографии.
11.4.1.1 Стратегия "оклик-отзыв"
В стратегии "оклик-отзыв" (challenge-responce mechanism) Боб (верификатор) получает смесь, состоящую из протокольного сообщения и криптографичЯ ской операции, выполненной Алисой (претендентом) таким образом, чтобы Б<Ж мог убедиться в ее существовании, проверив "свежесть" полученной информации. Как правило, Боб получает одноразовое случайное число (попсе), заблаговременно сгенерированное Бобом и посланное Алисе. Обозначим это одноразовое число символом Nb- Стратегия проверки "свежести" сообщения выглядит следующим образом.
1. Боб —» Алисе: Nb-
2. Алиса —» Бобу: ?кАВNb).
3. Боб расшифровывает порцию шифра и либо принимает ее, ее-ли узнает число Na, либо отказывается принимать в противном случае.
Первое сообщение, посланное Бобом Алисе, называется окликом (challenge) а второе сообщение, посланное Алисой Бобу, называется отзывом (response). Боб является инициатором (initiator), а Алиса — ответчиком (responder).
Описанная выше стратегия использует метод симметричной криптографии,! а именно: симметричное шифрование. Следовательно, получив ответ от Алисы.
Глава 11. Протоколы аутентификации — принципы
391
Еоб должен расшифровать порцию шифрованного текста, используя совместный ключ Кав- Если расшифровка правильно восстанавливает случайное число (термин "правильно", как будет показано позднее, на самом деле относится к целост-рости данных), Боб имеет основания считать, что Алиса действительно зашифровала его после получения оклика. Если интервал между окликом и отзывом шостаточно мал (как показано в разделе 11.2.1, его величина зависит от приложения), сообщение М считается "свежим". Эта стратегия основана на уверенности пользователя в том, что Алиса выполняет шифрование после получения оклика 1Ьт Боба. Поскольку случайное число, посланное Бобом, было извлечено из достаточно большого пространства, нет никакой возможности предсказать его заранее.
Рассмотрим термин "правильный", который мы использовали, когда Боб рас-ипифровывал свое случайное число. На первый взгляд может показаться, что применение симметричного шифрования гарантирует секретность сообщения. На самом деле секретность сообщения обеспечивает целостность данных. Возникает вопрос: почему бы не засекретить сообщение М, например, оно могло бы быть рсриптографическим ключом, позволяющим начать секретную переписку. (В этом случае описанную конструкцию можно использовать для обмена сеансовыми ключами.) Это вполне законное предположение. Можно даже предположить, что Боб зашифровывает и свое первое сообщение. Таким образом, мы не утверждаем, что шифрование выполнять не следует. Мы лишь подчеркиваем, что если алгоритм шифрования не обеспечивает необходимой целостности данных (а это на самом деле так!), то описанная выше стратегия является небезопасной. Сформулируем утверждение, которое будет доказано в разделе 17.2.1.
Примечание 11.2. Если алгоритм шифрования, используемый в стратегии аутентификации (11.4.1), не гарантирует целостности данных, то Боб не может проверить "свежесть " сообщения М. ?
Действительно правильной и стандартной стратегией, гарантирующей целостность данных при использовании симметричных методов шифрования, является применение кода распознавания манипуляций (MDC, см. определение 10.1 в разделе 10.1). Следовательно, в стратегии (11.4.1) шифрование следует сопровождать кодом MDC, зашифрованным с помощью общего ключа и являющимся частью зашифрованного текста. Это обеспечивает защиту целостности сообщения. Если | сообщение М не нуждается в защите секретности, для проверки его "свежести" можно применить следующую стратегию.
1. Боб —* Алисе: Nb-
2
3
Алиса -> Бобу: М, т)С(КАВ, М, NB).
Боб восстанавливает код ШС(Кав, М, Nb) и либо принимает его, если два кода MDC оказались идентичными, либо отказывается принимать в противном случае.
(11.4.2)
392 Часть IV. Аутентификация
Для того чтобы Боб мог восстановить код MDC на этапе 3, сообщение М на этапе 2 должно быть послано в виде открытого текста. Разумеется, сообщение М может быть зашифровано.
В разделе 17.2.1 мы покажем, что с точки зрения аутентификации на основе методов симметричной криптографии стратегия (11.4.2) является правильной, а стратегия (11.4.1) — нет. Кроме того, мы докажем, что при нарушении целостности данных секретность сообщения М в стратегии (11.4.1) нарушается, даже если применяется строгий алгоритм шифрования.
Стратегия "оклик-отзыв" может использовать и методы асимметричного шифрования.
