Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
Эту атаку можно предотвратить, если модифицировать протокол в соответствии с принципом, предложенным Абади и Нидхемом [1].
Если смысл сообщения существенно зависит от имени пользователя, это имя следует передавать открыто.
Действительно, подписанные сообщения в протоколе STS должны содержать имена обоих участников! Таким образом, сообщение, подписанное и отправленное Бобом, будет содержать имя "Злоумышленник", поэтому Злоумышленник не сможет переслать его Алисе от имени Боба. Следовательно, Злоумышленник больше не сможет обманывать Алису. Более того, если в упрошенный протокол STS,
420
Часть IV. Аутентификация
предназначенный только для аутентификации, включить имена пользователей, он станет неуязвимым для атаки с помощью замены сертификата и подписи. Вот теперь упрощенный вариант протокола STS, по существу, совпадает с протоколом ISO (протокол 11.1).
Как указывалось ранее, протокол STS, наряду с другими, лежит в основе] протокола обмена ключами через Internet (IKE) [135,158,225]. Как будет показано] в разделе 12.2, "совершенная атака на основе отказа в обслуживании" может успешно взламывать некоторые разновидности протокола IKE.
В заключение следует повторить то, что было сказано в разделе 11.6.2: до-| бавление в цифровую подпись имени верификатора — не единственный способ] предотвратить эту атаку. Например, лучших результатов можно добиться, исполь-i зуя заранее обусловленную подпись верификатора (designated verifier signature)! Этот способ рассматривается в одной из следующих глав.
В разделе 2.3 мы предположили, что Злоумышленник (возможно, в сотрудни-1 честве со своими союзниками, распределенными по открытой сети) может подслушивать, перехватывать, изменять и рассылать сообщения по открытой сети, маскируясь под других пользователей. С точки зрения уровня приложения спо- ' собности Злоумышленника по организации атак выглядят сказочными: неужели он так всемогущ?
Однако с точки зрения сетевого уровня для взлома протокола Злоумышленнику1 вовсе не обязательно применять очень хитроумные методы. Приемы организации атак на низкоуровневые протоколы связи описаны в разделе 12.2. Пока будем считать, что Злоумышленник действительно всемогущ и может организовывать разнообразные атаки на дефектные протоколы.
Несмотря на то что перечислить все приемы, которые Злоумышленник может применять для организации своих атак, в принципе невозможно (ведь он постоянно изобретает что-то новое!), знание основных способов атаки позволяет разрабатывать более устойчивые протоколы. В данном разделе рассматривается несколько хорошо известных методов атаки. Следует отметить, что Злоумышленник может комбинировать разные приемы, конструируя новые, более хитроумные
Примечание 11.3. Успешная атака на протокол аутентификации или протоком генерации аутентифицированного ключа обычно не связана со взломом криптсЛ графического алгоритма. Наоборот, как правило, атака направлена на несанкцгм онированное и незаметное овладение криптографическими мандатами или уни-
11.7 Типичные атаки на протоколы аутентификации
атаки.
Глава 11. Протоколы аутентификации — принципы
421
чтожение криптографического сервиса без взлома криптографического алгоритма. Разумеется, атака становится возможной вследствие ошибок, сделанных при разработке протокола, а не криптографического алгоритма. ?
11.7.1 Атака с повторной передачей сообщений
В атаке с повторной передачей сообщения (message replay arrack) Злоумышленник заранее записывает старое сообщение, перехваченное в ходе предыдущего сеанса протокола, и повторяет его в рамках нового сеанса. Поскольку цель протокола аутентификации — установить подлинность партнера с помощью обмена свежими сообщениями, повторение старого сообщения не соответствует намерениям участников.
В разделе 2.6.4.2 рассмотрен пример атаки с повторной передачей сообщения — атака на протокол аутентификации с симметричным ключом Нидхема-Шредера (атака 2.2). Мы отметили только одну опасность, связанную с этой атакой: повторное сообщение шифруется старым сеансовым ключом, который считается уязвимым (Злоумышленник мог раскрыть его значение либо в результате небрежности пользователей, либо по другим причинам, указанным в разделе 2.5).
Однако эта атака порождает более серьезную опасность — отсутствие реальной связи между партнерами. Действительно, для успеха атаки 2.2 Злоумышленник не обязан ждать удобного случая, когда Алиса запустит протокол аутентификации Боба. Он может просто начать атаку, сразу перейдя на этап 3, и повторить записанные сообщения, поскольку ему известен старый сеансовый ключ К'.
3. Злоумышленник("Алиса") —* Бобу : {К\ Алиса)Квт .
4. Боб —> Злоумышленнику ("Алисе") : {Я — Боб\Ыв}'к -
5. Злоумышленник("Алиса") —> Бобу : {Я — АлисаШв — 1}^- -
Теперь Боб думает, что установил контакт с Алисой, в то время как Алиса вообще не выходила на связь.
Повтор сообщения—классическая атака на протоколы аутентификации пользователей и протоколы генерации аутентифицированных ключей. На первый взгляд, мы уже хорошо знаем ее особенности, поскольку повсеместно применяем в основных конструкциях идентификаторы "свежести" (одноразовые случайные числа, метки времени). Однако знание не защищает протоколы от этой атаки. Одна из тонкостей протоколов аутентификации заключается в том, что разработчики часто делают ошибки, даже если они хорошо известны. Рассмотрим одну из вариаций атаки с повторной передачей сообщения.
