Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
11.5.2 Схема с одноразовыми паролями (и ее неудачная модификация)
Лампорт (Lamport) выдвинул простую идею, позволяющую предотвратить перехват паролей [174]. Ее можно рассматривать как схему с одноразовыми паролями. В данном случае термин "одноразовые" означает, что пароли, пересылаемые от пользователя U в компьютер Н, никогда не повторяются, но связаны друг
406
Часть IV. Аутентификация
1
с другом. Теперь пароль, перехваченный Злоумышленником в ходе протокола, бесполезен.
В момент инициализации протокола запись пароля пользователя U имеет вид (ГОс7,Г(РС/)),где
f\Pu) = /(-..(/(Ft/))..-),
an — достаточно большое число. Пользователь U, как и в случае применения протокола аутентификации паролей, по-прежнему должен помнить пароль Рц.
Когда пользователь U и компьютер Н запускают протокол аутентификации I в первый раз, при запросе пароля (этап 2 в протоколе аутентификации паролей), вычислительное устройство пользователя U, представляющее собой операционную систему или микропроцессор, предложит ему ввести пароль Ри, а затем вычислит значение /n_1(Pt/). Эта задача эффективно решается даже для больших чисел п (например, для п = 1 ООО). На третьем этапе протокола аутентификации паролей результат этих вычислений пересылается компьютеру Н.
Получив величину /п_1(Рс/)> компьютер Н один раз применит функцию /| к полученному значению, получит число fn(Pu) и сравнит его с записью. Ест» проверка пройдена успешно, значит, полученное значение действительно было равно /п__1(Рг7) и было вычислено по паролю Ра, установленному пользователем. Следовательно, на контакт вышел действительно пользователь U, который имеет | доступ к системе. Кроме того, компьютер обновит запись пароля пользователя U, заменив значение fn{Pu) величиной /n-1(Pi;)-
При следующем запуске протокола вместо значения fn~l(Prj) пользователе и компьютер Н должны использовать число /n_2(Pt/). Таким образом, этот npoj токол имеет историю и зависит от счетчика, значения которого изменяются от п до 1. Когда счетчик станет равным 1, пользователь U и компьютер Н должны установить новый пароль.
В этом методе требуется, чтобы пользователь U и компьютер Н синхрони- ] зировали пароль: если компьютер Н применяет число Р(Ри), пользователь < должен переслать значение fl~l(Pu)- Эта синхронизация может нарушиться, eci ли связь ненадежна или система дала сбой. Учтите, что и помехи на линии связи, и зависание системы может быть результатом происков Злоумышленника!
Лампорт рассмотрел простой метод восстановления потерянной синхронизации [174]. По существу, он предложил "перевести стрелки вперед": синхронизация | считается нарушенной, если компьютер Н должен вычислить значение f3(Pu), а пользователь — число fk(Pu), где j ф к + 1. В этом случае система должна1 "перевести стрелки вперед": компьютер Н должен вычислить значение fl{Pu), | а пользователь — число Р~х(Ри), где г ^ min(j,fc). Очевидно, что этот способ 1 синхронизации требует взаимной аутентификации компьютера Н и пользователя U, однако в короткой заметке Лампорта это требование указано не было.
Глава 11. Протоколы аутентификации — принципы
407
Схема Лампорта, основанная на использовании пароля для удаленного доступа, была модифицирована и реализована в виде системы "одноразовых паролей" под названием S/KEY7 [134]. Система S/KEY предназначена для решения проблем, связанных с ненадежной связью между компьютером Я и пользователем U. Когда пользователь запускает протокол, в компьютере Я хранится запись (IDf/, fc(Pu),с), где с—счетчик, инициализированный значением п. Схема S/KEY описывается протоколом 11.4.
Протокол 11.4. Протокол S/KEY
ИСХОДНЫЕ УСЛОВИЯ:
Пользователь U и главный компьютер Я согласовывают первоначальную запись (IDf/, fn{Pu), п)> где / — криптографическая хэш-функция.
Пользователь U запоминает пароль Ри-
Текущая запись пользователя U в компьютере Н имеет вид
ЦЕЛЬ: Получить доступ к компьютеру Я, не пересылая пароль Рц открытым текстом.
1. U -> Я : IDf/.
2. Я —> U : с, "Введите пароль:".
3. U - Я : Q = }с-\Ри).
4. Главный компьютер Я находит запись (IDf/, fc(Pu), с) в своем архиве. Если значение f(Q) = f°(Pu)> пользователь U получает доступ к компьютеру Н, а текущая запись заменяется тройкой (IDf/, Q,c— 1).
Очевидно, что в протоколе 11.4 синхронизация не нужна, а значит, ненадежная связь между компьютером Я и пользователем U больше не является проблемой.
К сожалению, схема S/KEY является небезопасной. Протоколы удаленного доступа на основе пароля в лучшем случае обеспечивают идентификацию пользователя U компьютером Я. Следовательно, значение счетчика, якобы посланное компьютером Н, может быть на самом деле послано или модифицировано Злоумышленником. Читатели могут сами попытаться описать действия Злоумышленника и сконструировать его атаку, прежде чем приступать к изучению раздела 11.7.2.
На эти замечания можно было бы возразить: "протокол S/KEY не может быть опасным больше, чем протокол аутентификации паролей Нидхема (протокол 11.3), в котором пароль передается открытым текстом!". Следует, однако, заметить, что
