Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
TokenBA = В!в || RA || А || sigB(R'B || RA || А ||).
В первом варианте протокола пользователю В не разрешалось повторно использовать случайное число Rb, чтобы избежать подписания частично определенной строки, которая заранее известна пользователю А. Сообщение TokenBA представляло собой зеркальное отражение сообщения TokenAB. Протокол ISO/ IEC 9798-3 несколько раз подвергался пересмотру, пока Винер (Wiener) из канадского отдела института ISO не изобрел знаменитую "канадскую атаку" [143]. В дополнение к стандартной документации Диффи (Diffie), ван Оршот (van Oorschot) и Винер описали эту атаку в работе [99]. В дальнейшем мы будем называть ее атакой Винера.
11.4.2.1 Атака Винера (канадская атака)
Атака Винера на первый вариант трехпроходного протокола взаимной аутентификации с открытым ключом ISO описана ниже (напомним обозначения, принятые в разделе 2.6.2 при описании замаскированных действий Злоумышленника).
Атака 11.1. Атака Винера на трехпроходный протокол взаимной аутентификации с открытым ключом ISO
ИСХОДНЫЕ УСЛОВИЯ:
Кроме условий протокола 11.1, Злоумышленник обладает сертификатом открытого ключа Сейм-
1. Злоумышленник("В") —> А : RB-
2. А —> Злоумышленнику("В") : СеПд, RA \\ RB \\ В \\ sigA{RA || RB И В).
Г. Злоумышленников") —> В : RA. Т. В -> Злоумышленнику("А") : CertB,R'B || RA || А || sigB(R'B II Ra II А).
3. Злоумышленник("В") -> A,CertB,R'B \\ RA || А || sigB(R'B || RA || А).
ПОСЛЕДСТВИЯ:
Пользователь А полагает, что протокол был инициализирован пользователем В, и считает идентификацию успешной. На самом деле пользователь В не инициализировал протокол и ожидает завершения протокола, запущенного Злоумышленником("А").
400
Часть IV. Аутентификации
После изобретения атаки Винера к серии протоколов ISO/IEC 9798 стали от-1 носиться с осторожностью. Если сообшение TokenAZ? возникает в одностороннеш протоколе аутентификации, то во всех протоколах взаимной аутентификации, по-1 строенных на основе их одностороннего варианта, сообщение ТокепЛВ оказывается связанным с сообщением ТокепЛВ. Эта связь обычно возникает вследствие повторного использования идентификатора "свежести" в текущем сеансе.
В текущей версии трехпроходного протокола взаимной аутентификации с от-1 крытым ключом ISO (протокол 11.1, защищенный от атаки Винера) в течение всего сеанса пользователь А должен поддерживать состояние, соответствующее одноразовому случайному числу RB, сгенерированному пользователем В.
11.4.3 Аутентификация с привлечением доверенного посредника
В основных конструкциях протоколов аутентификации, описанных в главе,! предполагалось, что между участниками протокола установлен защищенный кд! нал (созданный с помощью методов симметричной криптографии) или они знаю» открытый ключ партнера (если используются методы асимметричной криптогра! фии). Итак, можно утверждать, что эти протоколы применяются пользователями! уже знакомыми друг с другом. Зачем же они запускают протокол аутентификации! Возможно несколько ответов. Во-первых, они могут "освежить" защищенный канал связи между ними, убедившись в реальном существовании партнера.
Во-вторых, что более важно, эти конструкции являются строительными конструкциями более общих протоколов аутентификации, функционирующих в открытых системах.
В стандартном режиме функционирования открытых систем пользователи вза-j имодействуют, а затем забывают друг друга. Открытые системы слишком велики чтобы пользователь мог хранить информацию о своих контактах с другими поль! зователями. Если два пользователя, незнакомых друг с другом, захотят установит! между собой секретную связь, они могут организовать защищенный канал связи! В современной криптографии такой канал связи защищается криптографически»! ключом. Следовательно, два пользователя, желающих установить защищенный канал связи между собой, должны запустить протокол аутентификации, который называется протоколом генерации аутентифицированного ключа. Завершив сеаня секретной связи, они разрушают канал. Термин "разрушение канала" означает, чтя пользователи забывают ключ, защищавший канал, и никогда больше не исполь! зуют его. Вот почему канал, используемый для генерации аутентифицированногя ключа, часто называется сеансовым каналом, а ключ, защищавший его, — сеансовым ключом.
Как правило, для аутентификации и генерации ключей в открытых системах! используется централизованная служба аутентификации, известная под названием
Плава 11. Протоколы аутентификации — принципы
401
доверенный посредник (trusted third party — ТТР). Такая служба может быть интерактивной (online) или автономной (offline). В следующей главе мы рассмотрим средства аутентификации с помощью автономного доверенного посредника.
Если аутентификация осуществляется интерактивным доверенным посредником, считается, что между ним и большим количеством пользователей в системе существуют долговременные отношения. Протоколы аутентификации и генерации аутентифицированных ключей в интерактивных системах с использованием доверенного посредника разрабатываются на основе основных конструкций, описанных в разделах 11.4.1 и 11.4.2, в которых одним из "знакомых" пользователей является сам доверенный посредник. Криптографические операции, выполняемые доверенным посредником, могут зависеть от криптографических операций, выполняемых пользователями. С помощью доверенного посредника можно установить защищенный канал даже между пользователями, не знакомыми друг с другом. Большое количество таких протоколов описано в главе 2, где доверенный посредник назывался Трентом.
