Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
11.4.1.3 Метка времени
Используя механизм метки времени (timestamp mechanism), Алиса указыва ет время создания своего сообщения, используя криптографическую операции Следовательно, время создания сообщения становится неотъемлемой частью а сообщения.
Обозначим через ТА метку времени, поставленную Алисой на свое сообщение Механизм проверки "свежести" сообщений становится автономным.
1. Алиса —> Бобу: ?кАВ(М,ТА).
2. Боб расшифровывает порцию шифра и либо принимает ее, если распознает корректную метку времени ТА, либо отказывается принимать ее в противном случае.
Аналогично стратегии (11.4.1) расшифровка, выполняемая Бобом, должн сопровождаться проверкой целостности данных (см. раздел 11.4.1.1 и замеча ние 11.2). После расшифровки Боб может сравнить извлеченную метку врема ТА со своим собственным временем (предполагается, что участники протоколе используют общемировое стандартное время, например, по Гринвичу). Если разя ница во времени относительно мала, сообщение М считается "свежим".
В разделе 11.4.1.1 указывалось, что нарушение целостности данных может привести к неверному применению всего механизма защиты информации. По этой
Глава 11. Протоколы аутентификации — принципы
395
причине в механизме метки времени лучше использовать методы симметричного .шифрования.
1. Алиса -> Бобу: М, ТА, НЩКАВ,М, ТА).
2. Боб реконструирует код ЮС(.Кдв, М, Тд) и, если два кода MDC оказываются идентичными, а метка времени ТА — коррект- (11.4.5) ной, принимает его, либо отказывается принимать в противном случае.
В нашей версии Боб выполняет проверку целостности данных, оценивая однонаправленность криптографического преобразования между меткой времени и сообщением. Разумеется, если сообщение М также должно быть секретным, следует применять шифрование. Однако шифрование не отменяет необходимости защиты целостности данных.
Очевидно, что механизм метки времени можно создать с помощью методов асимметричного шифрования.
1. Алиса —> Бобу: sigA(М, Та).
2. Боб проверяет цифровую подпись и, если подпись оказывается щ 4 6) подлинной, а метка времени Тд — корректной, принимает сообщение, либо отказывается принимать в противном случае.
Механизм метки времени позволяет избежать взаимодействия пользователей и может применяться в приложениях, не предусматривающих интерактивного режима. Однако механизм метки времени имеет недостаток — он требует надежной синхронизации таймеров. Это может оказаться трудной задачей. Сложности, предостережения и возражения, связанные с применением механизма метки времени, описаны в работах [28, 34, 90, 115].
В основных протоколах, разработанных выше, сообщения содержали специальный компонент — одноразовое случайное число или метку времени, предназначенные для гарантии "свежести" сообщений, в которые они интегрированы. По этой причине эти компоненты называются идентификаторами "свежести" сообщений (freshness identifiers).
11.4.1.4 Стандартный механизм меток времени
Международная организация по стандартизации и Международная электротехническая комиссия разработали стандартные варианты протоколов аутентификации с помощью механизма меток времени.
Стандартный вариант механизма (11.4.4) называется "Однопроходным односторонним протоколом аутентификации с симметричным ключом ISO" ("ISO Symmetric Key One-Pass Unilateral Authentication Protocol" [147]. Он выглядит следующим образом.
396
Часть IV. Аутентификаци
1. А—> В : ТокепЛБ;
Здесь ТокепЛБ = Text2 || ?Кав (jfc || В || Textl).
Поскольку в этой стратегии используется простой механизм шифрования-расшифровки, необходимо напомнить, что алгоритм шифрования должен обеспечич вать защиту целостности данных.
Здесь ^ обозначает выбор между применением метки времени Гд и случайного числа Na, которое называется порядковым номером (sequence number)! Если применяется порядковый номер, Алиса и Боб должны синхронизировать егш (например, используя общий счетчик) так, чтобы Боб знал о каждом увеличении порядкового номера Na- После успешного получения и проверки порядковопа номера каждый из двух участников протокола должен обновить счетчик.
Механизм, применяющий порядковый номер, имеет два недостатка. Во-первых, каждый из партнеров должен хранить информацию о состоянии счетчика^ В открытых сетях, где каждый пользователь взаимодействует со многими партн нерами, это может оказаться затруднительным. Следовательно, применение по4 рядкового номера недостаточно хорошо масштабируется. Во-вторых, управление] порядковым номером может вызвать сложности при наличии помех на линии свя| зи, как случайных, так и преднамеренных (так называемая атака на основе отказ в обслуживании (denial-of-service attack)). Напомним о соглашениях, приняты* в разделе 11.3. В них говорилось, что протокол аутентификации не должен име истории, поскольку протокол с историей не может правильно функционировать й враждебной среде. Таким образом, механизм, основанный на применении поряд-1 кового номера, нельзя рекомендовать для применения, хотя он и стандартизован!
Стандартный вариант механизма (11.4.5) называется "Однопроходным односторонним протоколом аутентификации с использованием криптографической теч стовой функции (CCF)" ("ISO One-Pass Unilateral Authentication with Cryptographi Check Function" [149]. Он выглядит следующим образом.
