Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
Следует заметить, что этот протокол не обеспечивает аутентификации сущности, даже односторонней, поскольку нигде в протоколе не используется идентификатор "свежести", позволяющий подтвердить существование пользователя U. Несмотря на это, начиная с первой половины 1970-х годов термин "аутентификация с помощью пароля" используется для описания ситуации, когда пользователь пытается получить доступ к главному компьютеру с удаленного терминала по выделенной линии, не подвергающейся атаке. В таких системах описанный выше протокол обеспечивает одностороннюю аутентификацию пользователя U компьютером Н.
Однако в открытых сетях этот протокол порождает серьезные проблемы, поскольку в нем не используются криптографические операции.
Первая проблема возникает из-за уязвимости файлов, записанных на главном компьютере Н. Пароли, хранящиеся в архиве, могут стать известными Злоумышленнику (в данном случае Злоумышленником является инсайдер, которым
404
Часть IV. Аутентификация
может быть даже системный администратор). Зная пароли, Злоумышленник об! падает всеми правами, принадлежащими каждому из пользователей. Он може*^ обращаться к главному компьютеру, имитируя любого пользователя, и наносить^ вред как отдельным пользователям, так и всей системе в целом. Очевидно, что,< представляясь чужим именем, Злоумышленник не рискует быть узнанным.
Вторая проблема, связанная с протоколом получения удаленного доступа на основе паролей, заключается в том, что пароль перемещается от пользователя Ui к компьютеру Н в открытом виде, и, следовательно, Злоумышленник может егя перехватить. Такая атака называется перехватом оперативного пароля (online password eavesdropping).
11.5.1 Протокол Нидхема и его реализация в операционной системе UNIX
Нидхем разработал чрезвычайно простой и эффективный метод, обеспечива--ющий безопасность хранения паролей на главном компьютере [105,132]. Главный! компьютер Н должен зашифровать пароли с помощью однонаправленной функ-d ции / и заменить записи (ГО[/, Ри) зашифрованными текстами (IDfy, f{Pu)).
Протокол 11.3. Протокол Нидхема
ИСХОДНЫЕ УСЛОВИЯ:
Пользователь U и главный компьютер Н согласовывают запись (TDu,f(Ib)),
где / — однонаправленная функция. Пользователь U запоминает пароль Ри-
ЦЕЛЬ: Получить доступ к компьютеру Н.
1. U-+H: ID<y.
2. Н —*U : "Введите пароль".
3. U-*H:Pu.
4. Главный компьютер Н применяет к паролю Ри функцию / и находит записи (IDt/,/(Pt/)) в своем архиве.
Если значение f(Pu) совпадает со значением, записанным в архиве, nonJ зователь U получает доступ к компьютеру Н.
Протокол 11.3 реализован в операционной системе UNIX6. В протоколе аутен-] тификации паролей системы UNIX однонаправленная функция / реализован! с помощью алгоритма шифрования DES (раздел 7.6). Система, установленнгЯ
6UNIX — торговая марка компании Bell Laboratories.
Глава 11. Протоколы аутентификации — принципы
405
на компьютере Н, хранит в файле паролей универсальный идентификатор пользователя (universal identifier — TJID) и зашифрованный текст, полученный в результате применения алгоритма DES к строке, содержащей 64 нуля. В качестве ключа шифрования используется пароль Рц. Для того чтобы предотвратить раскрытие паролей с помощью специальной аппаратуры, предназначенной для взлома шифра DES, однонаправленная функция / на самом деле немного отличается от этого алгоритма. Она повторяет 25 раундов шифрования по алгоритму DES в сочетании с побитовыми перестановками (bit-swapping permutation) в блоках зашифрованного текста. В конце каждого раунда некоторые биты полученного блока зашифрованного текста меняются местами в зависимости от случайного 12-битового числа, которое называется "солью" (salt) и хранится в файле паролей. Результирующий блок зашифрованного текста затем используется в качестве исходной информации для каждого следующего раунда алгоритма шифрования DES. Детали этой схемы описаны в работе [206].
Таким образом, преобразование f(Pu), использующее алгоритм DES, можно считать ключевой параметризованной функцией хэширования постоянной строки О64, где ключом является пароль Ри, а параметром — "соль". Учитывая, что "соль" хранится в файле паролей, регистрационную запись в компьютере Н можно представить в виде (ГО[/, "соль", /(Рц, "соль")), хотя для простоты записи мы будем по-прежнему использовать обозначение f(Pu), а не f(Pu, "соль").
Итак, применение протокола Нидхема в операционной системе UNIX предотвращает атаку Злоумышленника. Во-первых, даже если Злоумышленник узнает число f(Pu), он не сможет применить его в протоколе 11.3, поскольку в этом случае компьютер Н вычислит значение f(f(Pu)) и не откроет доступ. Во-вторых, однонаправленную функцию / невозможно инвертировать, особенно если учесть, что в конце каждого раунда шифрования выполняется случайная перестановка битов. Следовательно, если пользователи правильно выбрали пароль, который нелегко угадать, Злоумышленнику очень трудно вычислить пароль Ри по значению f(Pu)- (Угадывание паролей обсуждается в разделе 11.5.3.)
Несмотря на то что задача защиты паролей решена, остается проблема, связанная с защитой целостности данных. Протокол по-прежнему уязвим для атаки на основе перехвата пароля в интерактивном режиме. Для блокирования такой атаки применяются одноразовые пароли.
