Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
7S/KEY — торговая марка компании Bellcore.
408
Часть IV. Аутентификация
протокол Нидхема никогда и не предназначался для противодействия перехвату, а протокол S/KEY создавался именно для этого.
11.5.3 Обмен зашифрованными ключами (ЕКЕ)
Большинство систем, использующих пароли, советуют пользователям выбирать пароли, состоящие из восьми символов ASCII. Такие пароли легко запомнить,! не записывая. Поскольку каждый ASCII-символ представляет собой байт (8 бит)! пароль, состоящий из восьми символов, можно записать в виде строки из 64 битЛ Пространство таких строк содержит 264 элементов и, следовательно, довольна] велико. Итак, на первый взгляд, пароль, состоящий из восьми символов, нелегки угадать или определить методом последовательного перебора.
Однако это не совсем так. Несмотря на то что энтропия полного набора ASCII-символов не намного меньше 8 бит/символ (см. раздел 3.8), пользователи, как npaj вило, не формируют свои пароли из случайных символов. Наоборот, они стремят^ ся выбрать легко запоминаемые слова. Как правило, плохой пароль — это слово! из словаря или имя человека, набранное в нижнем регистре, которое, возможно^ сопровождается одной или двумя цифрами. По оценкам Шеннона, энтропия ан-1 глийского языка изменяется от 1,0 до 1,5 бит/символ [265]. При этом он оценивал только слова, не содержащие прописных букв. Итак, на самом деле размер про! странства паролей, состоящих из восьми символов, намного меньше 264. Выбор плохих паролей (символы алфавита, набранные в нижнем регистре, имена людеш и т.п.) еще больше уменьшают размер этого пространства и открывают возмож| ность для автономной атаки по словарю (offline dictionary attack). В ходе такой атаки Злоумышленник использует значение f(Pu) для поиска слов, совпадающим с паролем Ру. Поскольку атака является автономной, ее можно автоматизиро! вать. Следует отметить, что схема Лампорта не предусматривает защиты протии автономной атаки по словарю: Злоумышленник может перехватывать текущие значения г и Р(Ри), я затем организовывать поиск.
Белловин (Bellovin) и Мерритт (Merritt) предложили привлекательный протокол, обеспечивающий безопасность паролей на основе аутентификации. 3toJ протокол называется обменом зашифрованными ключами (Encrypted Key Ex-J change — EKE) [29]. Он защищает пароли не только от перехвата, но и от автоном-1 ной атаки по словарю. В схеме ЕКЕ использовано вероятностное шифрование (probabilistic encryption). В полном объеме вероятностное шифрование рассматрм вается в главе 14, а пока читатели могут считать, что оно сводится к добавлению! в пароль своего собственного случайного числа ("соли").
В отличие от протоколов 11.3 и 11.4, в которых компьютер Н владеет толь-| ко образом пароля Ри, полученным в результате применения однонаправленной функции, в рамках протокола ЕКЕ пользователь U и компьютер Н владеют об! щим паролем Ри. Этот пароль может использоваться в качестве симметричног!
Глава 11. Протоколы аутентификации — принципы
409
криптографического ключа, несмотря на то, что он принадлежит относительно небольшому пространству.
Оригинальность протокола ЕКЕ проявляется на первых двух этапах. На первом этапе зашифрованный текст Рц{?и) является результатом шифрования одноразовой и случайной информации ?ц с помощью общего пароля Рц. На втором этапе выполняется двойное шифрование другого одноразового и случайного числа Ри{?и(К)) — сеансового ключа К. Поскольку пароль Ри выбран человеком и поэтому является относительно небольшим, случайные строки ?ц и К должны быть длиннее. Это позволяет скрыть пароль Ри на первых двух этапах и сделать его статистически независимым от зашифрованных текстов ?и и К.
Следует подчеркнуть, что роль "соли" играет одноразовое случайное число ?ц. Если бы "открытый" ключ не был одноразовым, уникальные функциональные возможности протокола ЕКЕ были бы полностью уничтожены: Злоумышленник мог бы определить пароль Рц, используя слабость "учебного" алгоритма шифрования с открытым ключом (например, с помощью атаки "встреча посередине", описанной в разделе 8.9).
Если одноразовые случайные числа Nu и Nh, зашифрованные на этапах 3, 4 и 5, имеют достаточно большой размер (т.е. больше, чем сеансовый ключ К), они скрывают сеансовый ключ точно так же, как пароль Ри на предыдущих этапах. Итак, пароль Ри остается статистически независимым от любых сообщений, передаваемых в рамках протокола ЕКЕ. Это означает, что пароль скрыт от Злоумышленника в смысле теоретико-информационной безопасности (раздел 7.5). Следовательно, пассивный перехватчик больше не в состоянии организовать автономную атаку на пароль Ри по словарю, используя протокольные сообщения. Остается либо угадывать пароль Ри непосредственно, либо организовывать активную атаку, модифицируя протокольные сообщения. Атака на основе угадывания неинтересна. Ее невозможно предотвратить, но, к счастью, она не эффективна. С другой стороны, активная атака с высокой вероятностью распознается всеми подлинными пользователями и немедленно пресекается.
Добавление "соли" в пароль Рц осуществляется пользователем U на первом этапе, когда он шифрует случайный открытый ключ, и компьютером Н, когда он шифрует случайный сеансовый ключ на втором этапе. Любое изменение этих чисел ставит атакующего в тупик. Следовательно, именно эти два этапа определяют техническую новизну протокола ЕКЕ. Этапы 3, 4 и 5 представляют собой обычные протоколы взаимной аутентификации на основе стратегии "оклик-отзыв".
