Научная литература
booksshare.net -> Добавить материал -> Криптография -> Венбо Мао -> "Современная криптография" -> 162

Современная криптография - Венбо Мао

Венбо Мао Современная криптография. Под редакцией Клюшиной Д.А. — М. : Издательский дом Вильямс, 2005. — 768 c.
ISBN 5-8459-0847-7
Скачать (прямая ссылка): sovremennaya_kriptografiya.djvu
Предыдущая << 1 .. 156 157 158 159 160 161 < 162 > 163 164 165 166 167 168 .. 311 >> Следующая

Анонимность (anonymity). Если зашифрованный текст содержит зашифрован! ный сертификат открытого ключа, сообщения, передаваемые в рамках про! токола, скрыты от постороннего пользователя, вовлеченного в обмен ш! формацией. Однако необходимо отметить, что информация, пересылаема! в рамках низкоуровневого протокола связи, может раскрыть имена участии! ков протокола. Следовательно, строго говоря, анонимность в данном случа! означает возможность отрицать авторство сообщения (deniability). Это озна-] чает, что монитор сети не может доказать, что данный протокол выполняете!
Глава 11. Протоколы аутентификации — принципы
415
двумя конкретными пользователями. Поскольку протокол STS лежит в основе обмена ключами через Internet (Internet Key Exchange — IKE), он может использоваться для обеспечения безопасности в Internet [135, 158, 225], гарантируя анонимность пользователей. Свойства протокола IKE рассматриваются в следующей главе. Хотя протокол STS не лишен недостатков, он представляет собой важное достижение в области аутентификации и обмена аутентичными ключами. На его основе был создан протокол обмена ключами через Internet ("Internet Key Exchange (IKE) Protocol) [135, 225], ставший промышленным стандартом. Протокол IKE описан в разделе 12.2.
В статье [99] содержались две ошибки: одна серьезная, а другая — нет. Серьезной ошибкой являлся упрощенный вариант протокола STS, предназначенный "только для аутентификации", а менее серьезная ошибка заключалась в самом протоколе STS. Если следовать общепризнанным принципам разработки протоколов (принятым после публикации работы [99]), обе ошибки можно устранить. Рассмотрим их поближе.
11.6.2 Дефект упрощенного протокола STS
Для того чтобы доказать свойство взаимной аутентификации, Диффи и его соавторы упростили протокол STS и назвали упрощенную версию "Протоколом STS, предназначенным только для аутентификации" ("Authentication-only STS Protocol"). Они утверждали, что "упрощенная версия, по существу, совпадает с трех-проходным протоколом аутентификации", предложенным институтом ISO. При этом они ссылались на "Трехпроходный протокол взаимной аутентификации с открытым ключом ISO" ("ISO Public Key Three-Pass Mutual Authentication Protocol"), т.е. на протокол 11.1, устойчивый к атаке Винера (см. раздел 11.4.2).
Протокол 11.7. Протокол STS, предназначенный только для аутентификации
ИСХОДНЫЕ УСЛОВИЯ:
Алиса владеет сертификатом открытого ключа СеПд. Боб владеет сертификатом открытого ключа Certs.
Алиса Боб
Ra
CertA, #в, sigB(RB, Ra)
Certyi,sigA(RA,.Rs)
416
Часть IV. Аутентификаций
Однако протокол 11.7 существенно отличается от протокола ISO. В упрощенном протоколе STS подписанные сообщения не содержат имен участников прото-1 кола, а в протоколе ISO — содержат. Таким образом, упрощенный протокол STSI уязвим для атаки с помощью замены сертификата и подписи (certificate-signature-l replacement attack).
Атака 11.2. Атака на протокол STS, предназначенный только для аутентификации
ИСХОДНЫЕ УСЛОВИЯ:
В дополнение к условиям протокола 11.7,
Злоумышленник владеет сертификатом Сейм-
(* т.е. является обычным пользователем системы *)
(* Злоумышленник представляется Алисе своим подлинными именем, а Бобу представляется как Алиса. *)
Алиса Злоумышленник —> Я "Алиса" —> Боб I
Ra Ra
CeftM, Rb, sigM(RB, Ra) CertB, RB, sigB(RB, RA)
CerU, sigA (RA, RB) CerU, sig^ (RA, RB)
ПОСЛЕДСТВИЯ:
Боб думает, что разговаривает с Алисой, а она думает, что разговаривает со Злоумышленником.
В ходе этой атаки Злоумышленник, являющийся законным пользователем системы и владеющий сертификатом открытого ключа, просит Алису инициализировать протокол. После этого он вступает в разговор с Бобом, представляясь ем)1| "Алисой" и используя ее одноразовое случайное число. Получив ответ от Бобал Злоумышленник заменяет его сертификат и подпись своими копиями. Это по! буждает Алису подписать случайное число, сгенерированное Бобом, что, в свок! очередь, позволяет Злоумышленнику обмануть Боба. Эта атака безупречна, по! скольку ни Алиса, ни Боб ничего не подозревают.
Следует заметить, что Злоумышленник играет в этой атаке весьма активную роль: он подписывает случайное число, сгенерированное Бобом, и убеждает Али-] су также подписать его, чтобы полностью ввести Боба в заблуждение. Если бы| Злоумышленник был пассивным, т.е. играл роль обычного проводника, то Алиса никогда не подписала бы случайное число Боба и не позволила бы себя обмануть.
Глава 11. Протоколы аутентификации — принципы
417
Протокол STS неуязвим для атаки с помощью замены сертификата и подписи, поскольку шифрование, использованное в его полной версии, не позволяет Злоумышленнику заменить подпись Боба. Протокол ISO также защищен от нее, поскольку имя Злоумышленника должно появиться в сообщении, подписанном Алисой, а значит, Боба обмануть невозможно.
Интересно, что в своей статье [99] Диффи с соавтором обсуждали подобную атаку на упрощенный протокол STS, из которого было исключено шифрование. Однако они не применили атаку с помощью замены сертификата и подписи против протокола STS, предназначенного только для аутентификации. Возможно, это объяснялось тем, что упрощенный протокол STS очень напоминает исправленную версию протокола ISO. Хотя в статье [99] была проанализирована атака Винера на дефектный вариант протокола ISO, она сильно отличается от атаки с помощью замены сертификата и подписи. (Читатели могут самостоятельно убедиться в том, что атака Винера на дефектный вариант протокола ISO не применима к протоколу STS, предназначенному только для аутентификации.) Вся эта запутанная ситуация лишний раз подтверждает уязвимость протоколов аутентификации.
Предыдущая << 1 .. 156 157 158 159 160 161 < 162 > 163 164 165 166 167 168 .. 311 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed