Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
1. А В : TokenАВ;
Здесь5 ТокепЛБ = || В || Textl || fKAB (jfc \\ В || TextlJ, где / - крипто-, графическая функция хэширования, имеющая ключ. Читатель уже может угадать название следующего протокола—аналога стратегии шифрования с открытым ключом: "Однопроходный односторонний протокой аутентификации с открытым ключом ISO" ("ISO Public Key One-Pass Unilateral Authentication Protocol") [148]. 1. A -> В : СеПЛ || ТокепЛБ;
Здесь ТокепАБ = j? || В || Text2 || sigA (naa \\ В || Textl).
5В работе [149] поле Text2 в открытом тексте ошибочно обозначено как Textl, поэтому пользователь В не может верифицировать функцию CCF путем ее реконструкции.
Глава 11. Протоколы аутентификации — принципы
397
11.4.1.5 Нестандартные стратегии
В предыдущих разделах описаны основные конструкции, применяемые при создании протоколов аутентификации. Нетрудно представить себе другие многочисленные варианты конструкций, предназначенных для достижения той же цели. Например, вариант стратегии (11.4.1), использующий методы симметричной криптографии, может выглядеть следующим образом.
1. Боб —» Алисе : Боб, ?кАВ i№, NB).
2. Алиса -* Бобу : NB- (114 7)
3. Боб проверяет случайное число. Если оно оказалось правильным, Боб принимает сообщение, в противном случае — отказывается.
Вариант стратегии (11.4.3), использующий методы асимметричной криптографии, может выглядеть следующим образом.
4. Боб -> Алисе : Боб, ?Ка (М, Боб, NB).
5. Алиса -> Бобу : NB- (114 8)
6. Боб проверяет случайное число. Если оно оказалось правильным, Боб принимает сообщение, в противном случае — отказывается.
Здесь 8кАВ — алгоритм шифрования с открытым ключом Алисы. В этих двух вариантах Боб сообщает Алисе о своем существовании, зашифровывая идентификатор "свежести" и проверяя, может ли она выполнить своевременную расшифровку. Этот механизм называется "шифрованием с последующей расшифровкой" (encryption-then-decryption).
Шифрование идентификатора "свежести" с его последующей расшифровкой позволяет проверить, существует ли партнер, участвующий в обмене информацией. Однако этот механизм непригоден для создания протокола аутентификации, поскольку Алиса в нем может играть роль оракула расшифровки (см. разделы 7.8.2.1 и 8.9) и непреднамеренно раскрыть конфиденциальную информацию. Например, Злоумышленник может записать фрагмент зашифрованного текста, которым обменялись Алиса и Боб, вставить его в протокол, использующий механизм шифрования с последующей расшифровкой, а затем обманным путем заставить Алису раскрыть содержание секретной информации. Напомним, что в соответствии с нашими соглашениями (см. раздел 11.3) Алиса может неверно интерпретировать сообщение как случайное число и вернуть его, руководствуясь протокольными инструкциями.
Нежелательность применения механизма шифрования с последующей расшифровкой подтверждается тем фактом, что Международный институт по стандартизации и Международная электротехническая комиссия даже не стали его рассматривать в качестве кандидата на стандартизацию. Именно по этой причине мы называем стратегии (11.4.7) и (11.4.8) нестандартными.
398
Часть IV. Аутентификация
Несмотря на это, многие протоколы аутентификации используют механизм шифрования с последующей расшифровкой. Мы проанализируем эти протокольи в разделе 17.2. Там же будет показано, что их основной слабостью является кам раз механизм шифрования с последующей расшифровкой.
11.4.2 Взаимная аутентификация
До сих пор механизмы проверки "свежести" сообщения и существования пользователя обеспечивали только так называемую "одностороннюю аутентифи-1 кацию", в которой аутентифицировался только один из двух участников протокола! При взаимной аутентификации (mutual authentication) пользователи аутентифи-цируют друг друга.
Международный институт по стандартизации и Международная электротехническая комиссия стандартизировали большое количество протоколов взаимной аутентификации. Протокол 11.1 описывает стратегию, основанную на применении] цифровой подписи: "Трехпроходный протокол взаимной аутентификации с открьм тым ключом ISO" ("ISO Public Key Three-Pass Mutual Authentication Protocol"! [148]. Он хорошо иллюстрирует основные заблуждения, связанные со взаимной аутентификацией.
Протокол 11.1. Трехпроходный протокол взаимной аутентификации с открыты^
ключом ISO_J
ИСХОДНЫЕ УСЛОВИЯ:
Пользователь А владеет сертификатом открытого ключа СеПд.
Пользователь Б владеет сертификатом открытого ключа Cert^.
ЦЕЛЬ: Взаимная аутентификация.
1. Б -> А : RB.
2. А—> Б : СеПА,Т6кепАВ.
3. В -* А: СеПв.ТокепВА Здесь
ТокепЛБ = RA || RB \\ В \\ ^A(RA \\ RB \\ В ||), ТокепБЛ = RB || RA \\ А \\ sigB(tfB || RA II А ||). (* Необязательные поля пропущены. *)
Может показаться, что взаимная аутентификация представляет собой двукратную одностороннюю аутентификацию, т.е. для взаимной аутентификации доста! точно дважды выполнить протокол односторонней аутентификации 11.4.1 в про! тивоположных направлениях. Однако это не так!
Глава 11. Протоколы аутентификации — принципы
399
На первых этапах стандартизации эксперты не различали взаимную и одностороннюю аутентификации. В нескольких предварительных вариантах протокола 11.1 [130, 143] сообщение TokenBA имело немного другой вид.
