Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
Включение в цифровую подпись имени верифицируемого пользователя позволяет исправить указанный выше недостаток. Разумеется, это не единственный способ исправить протокол. В некоторых приложениях (например, в протоколе IKE, рассмотренном в разделе 12.2.3) имена участников протокола преднамеренно опускаются, чтобы гарантировать их анонимность (см. раздел 12.2.4). Более оригинальные способы устранения дефектов с сохранением анонимности пользователей основаны на применении современных криптографических средств, которые будут описаны в одной из последующих глав.
11.6.3 Незначительный недостаток протокола STS
Лоу (Lowe) изобрел не очень опасную атаку на протокол STS [179]. Прежде чем описать ее, приведем строгое определение аутентификации, сформулированное авторами протокола STS.
В работе [99] Диффи с соавторами описано безопасное выполнение протокола аутентификации с помощью "соответствия протокольных записей" ("matching records of runs"). Допустим, что каждый участник протокола записывает все сообщения, получаемые в ходе его выполнения. "Соответствие протокольных записей" означает, что записи, созданные одним из участников, должны содержаться среди записей другого участника в том же порядке, в котором они пересылались, и наоборот. Тогда некорректное выполнение протокола аутентификации [99] определяется следующим образом.
Протокол выполняется некорректно, если одна из сторон, участвующих в протоколе, например, Алиса, выполняет протокол правильно и признает подлинность другого участника, записи которого не соот-
418 Часть IV. Аутентификация
ах, CertB, ?K(s\gB(oP, ах)) ах, CertB, ?K(sigB(oP, ах))
СепА,Ек(8\ёА(ах,аУ)) ->
ПОСЛЕДСТВИЯ:
Алиса полностью обманута и полагает, что разговаривает и делит об-1 щий сеансовый ключ с Бобом, а Боб думает, что разговаривает ср. Злоумышленником в рамках неполного протокола. Алиса никогда не догадается о происшедшем, и все ее дальнейшие попытки организовать секретную связь с Бобом будут пресекаться.
Атака Лоу не приводит к серьезным последствиям по двум причинам.
1. Хотя Злоумышленнику и удается обмануть Алису в ходе выполнения прото-1 кола, сеансовый ключ остается недоступным. Следовательно, после прекращения протокола Злоумышленник не сможет больше вводить Алису в заблуждение.
2. Злоумышленник не может завершить протокол обмена информацией между! ним и Бобом. Следовательно, эту часть атаки следует признать безуспешной.
Однако атака Лоу является вполне возможной по двум причинам. I. Алиса признает подлинность Боба, хотя Злоумышленник просто бит за би-1 том копирует все сообщения Боба, отправленные Алисе. Однако Боб видит, что контактирует со Злоумышленником, когда тот подписывает сообщения Алисы, содержащие случайный оклик, поскольку записи Боба не соответствуют записям Алисы. Следовательно, атака соответствует определению "некорректного выполнения" протокола, сформулированному авторами про-1 токола STS. Таким образом, взаимная аутентификация не осуществляется.
ветствуют записям Алисы ни в рамках полного, ни в рамках неполного ' I протокола.
При таком определении некорректного протокола аутентификации, становится возможной следующая атака на протокол STS, хотя ее последствия очень незначительны.
Атака 11.3. Атака Лоу на протокол STS (незначительный недостаток) (* Злоумышленник представляется Бобу своим подлинным именем, а Алисе представляется как "Боб". *)
Алиса <— Я "Боб" ¦— Злоумышленник Боб
Глава 11. Протоколы аутентификации — принципы
419
Разумеется, поскольку понятием аутентификации сущности довольно трудно овладеть, и в этой области сделано немало ошибок, оценка атаки на основе устаревшего определения Диффи [99] является не слишком убедительной. Может возникнуть вопрос: "А правильно ли это определение вообще?". Однако лучше ограничиться вопросом: "Насколько практичной является атака Лоу в настоящее время?" Ответ дан в пункте II.
П. Злоумышленник успешно обманывает Алису, которая считает, что протокол выполняется правильно. Ее последующие попытки установить секретный контакт с Бобом будут пресекаться без объяснений, поскольку Боб считает, что никогда не вступал в контакт с Алисой. Кроме того, никто не может сообщить Алисе о неправильном выполнении протокола. Последствия атаки Лоу можно сравнить с последствиями намного менее интересной атаки, в ходе которой Злоумышленник является пассивным до тех пор, пока Алиса не отправляет Бобу последнее сообщение. Злоумышленник блокирует это сообщение, и Боб не может его получить. Анализируя свои записи, Боб обнаруживает, что в них не хватает последнего сообщения, и уведомляет об этом Алису. Независимо от того, насколько практична атака Лоу в настоящее время, если в роли Алисы выступает централизованный сервер, который подвергается массированной атаке со стороны команды злоумышленников, отсутствие уведомления от конечных пользователей представляет собой проблему: сервер зарезервирует ресурсы для многих конечных пользователей и его мощность резко упадет. Следует подчеркнуть, что в ходе атаки Лоу злоумышленник и его союзники не используют никаких криптографических мандатов (сертификатов). Следовательно, эта атака требует очень небольших затрат. Этим она отличается от обычной атаки на основе отказа в обслуживании (denial-of-service attack), в ходе которой Злоумышленник и его союзник сообщают Алисе свои подлинные имена (т.е. сертификаты). По причинам, перечисленным в пункте II, атака Лоу называется совершенной атакой на основе отказа в обслуживании (perfect denial of service attack), направленной против Алисы: атакующий достигает успеха, используя чужие криптографические мандаты.
