Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
системы. *)
1. Злоумышленник("Алиса") —> Бобу : Алиса. Г. Злоумышленник —> Бобу : Злоумышленник.
2. Боб —> Злоумышленнику ("Алисе") : АГВ. 2\ Боб —> Злоумышленнику : А^.
3. Злоумышленник("Алиеа") —> Бобу : {ArB}j 3'. Злоумышленник —> Бобу : {NB}K
5. Трент -> Бобу : {"мусор"}Квт-
(* "Мусор" возникает после того, как Трент расшифровывает сообщении {Nb)k с помощью ключа Кат- *)
6. Боб прекращает связь со Злоумышленником
(* поскольку результатом расшифровки является "мусор", а не случайно! число N'B *).
6'. Боб вступает в контакт с "Алисой", хотя на самом деле под ее именем скрывается Злсумышленик
(* поскольку случайное число NB расшифровано правильно *).
Боб думает, что установил контакт с Алисой, хотя Алиса вообще н выходила на связь.
внимание на то, что два зашифрованных текста, содержащихся в сообщениях и 3', могут и не быть идентичными — это зависит от деталей алгоритма ши рования (см. главы 14 и 15). В любом случае Боб должен просто следовать пр токольным инструкциям: он расшифровывает сообщения 4 и 4' и пересылает их Тренту. Даже если оба зашифрованных текста, полученных Бобом в сообщенщ
ИСХОДНЫЕ УСЛОВИЯ:
5'. Трент -» Бобу : {А^в}
Квт'
ПОСЛЕДСТВИЯ:
Глава 11. Протоколы аутентификации — принципы
425
ях 3 и 3', идентичны (если алгоритм шифрования является детерминированным, что маловероятно в современных системах), Боб не должен этого замечать, поскольку зашифрованный текст им не распознается и не считается сообщением, подлежащим интерпретации. "Отказ от интерпретации" постороннего зашифрованного текста полностью соответствует кодексу поведения законопослушного пользователя (см. раздел 11.3): Боб не подозревает об атаке и не может распознать зашифрованный текст, не предназначенный для расшифровки. Разумеется, такое поведение глупо, но мы приняли соглашение, в соответствии с которым Боб должен быть "наивным". Итак, получив от Трента сообщения 5 и 5', Боб находит в одном из них правильное случайное число Nb и приходит к выводу, что между ним и Алисой установлен контакт, хотя Алиса вообще не выходила на связь. Второе сообщение содержит мусор, поскольку оно является результатом расшифровки сообщения {Nb}kmt с помощью ключа К at, выполненного Трентом. В результате Боб разрывает связь со Злоумышленником, устанавливая контакт с "Алисой".
В атаке с помощью параллельного сеанса последовательность двух сеансов не важна. Например, если Боб получит сообщение 3' до сообщения 3, атака будет развиваться точно так же. Боб может определить, кем было послано то или иное сообщение, по сопутствующей информации на сетевом уровне (см. раздел 12.2).
Абади и Нидхем предложили исправить протокол Ву-Лама. Их предложение будет рассмотрено позднее. Они также сообщили By и Ламу о своем изобретении [1]. В ответ By и Лам разработали ряд усовершенствований, в которые включили предложение Абади и Нидхема, названное в работе [302] символом П3. Наиболее серьезное исправление этого протокола называется П-Л Оно заключается в добавлении имен обоих субъектов, Алисы и Боба, во все зашифрованные тексты. Авторы утверждают, что исправленный вариант протокола является безопасным. К сожалению, все эти исправления имеют дефекты (включая исправление Абади и Нидхема). Каждый из этих вариантов уязвим для активной атаки, описанной в следующем разделе.
11.7.4 Атака с помощью отражения сообщений
В атаке с помощью отражения сообщений (reflection attack) Злоумышленник перехватывает сообщение, посланное законопослушным пользователем своему партнеру для дальнейшей криптографической обработки, и посылает его обратно. Отметим, что отраженное сообщение не является "возвращенным сообщением": Злоумышленник изменяет имя и адрес, обработанный низкоуровневым протоколом, поэтому автор сообщения не узнает своего же текста. Технические детали этой атаки описаны в разделе 12.2.
В ходе этой атаки Злоумышленник пытается обмануть автора сообщения и убедить его, что отраженное сообщение пришло от подлинного партнера либо в каче-
426
Часть IV. Аутентификации
стве ответа, либо в качестве запроса. Если обман удается, автор сообщения либя отвечает на свой же вопрос, либо предоставляет Злоумышленнику необходимые^ услуги оракула.
Изобретя атаку на протокол Ву-Лама с помощью параллельного сеанса (атака 11.5), Абади и Нидхем предложили его исправить [1]: последнее сообщение^ посланное Трентом Бобу в протоколе 11.2, должно содержать имя Алисы.
5. Трент —> Бобу : {Алиса, Nb}kbt - (11.7.1)
Это исправление действительно предотвращает атаку с помощью параллельного сеанса, поскольку теперь атака Злоумышленника приведет к следующему результату
5. Трент —> Бобу : {Злоумышленник, Nb}Kbt -Поскольку Боб ожидает сообщения (11.7.1), атака захлебывается.
Однако, несмотря на то, что явное указание имен участников протокола вполне уместно и полностью соответствует принципам разработки протоколов аутентификации, это только одно из исправлений, которое следует сделать. Довольно часто одно исправление предотвращает одну атаку, но не спасает от другой. Вариант протокола Ву-Лама, исправленный Абади и Нидхемом, остается уязвимым для атаки с помощью отражения сообщений (Кларк (Clark) и Джекоб (Jacob) [77]).
