Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
Протоколы аутентификации — важная часть реальных приложений. В этой главе рассмотрены лишь некоторые аспекты этой темы. Более подробно реальные приложения протоколов аутентификации описываются в следующей главе.
Упражнения
11.1. Укажите разницу между следующими понятиями: целостность данных, аутентификация сообщений, аутентификация сущностей.
11.2. Что такое идентификатор "свежести"?
11.3. Предположим, что криптографическая операция была выполнена недавно. Гарантирует ли это "свежесть" сообщения, посланного пользователем?
11.4. После расшифровки зашифрованного текста (например, созданного с помощью шифра AES-CBC) Алиса обнаружила идентификатор "свежести" (например, посланное ею случайное число). Может ли она утверждать, что полученный зашифрованный текст является "свежим"?
11.5. Почему защита данных в зашифрованном протокольном сообщении так важна для обеспечения секретности?
11.6. В разделе 11.4 описаны основные конструкции протоколов аутентификации. Чем стандартные конструкции отличаются от нестандартных?
11.7. Укажите нестандартную конструкцию в протоколе Ву-Лама (протокол 11.2).
436
Часть IV. Аутентификация
Подсказка: посмотрите, каким образом обеспечивается секретность связи между Бобом и Трентом в сообщениях 4 и 5, и сравните их с конструкцией (11.4.7).
11.8. Что общего у атаки Винера на ослабленный вариант протокола ISO (атака 11.1), атаки с помощью замены сертификата и подписи на протокол STS, предназначенный только для аутентификации (атака 11.2), и атаки] Лоу на протокол аутентификации с открытым ключом Нидхема-Шредера (атака 2.3)?
11.9. Каждый ASCTI-символ в компьютере представляется с помощью восьми бит. Почему, как правило, в восьми ASCII-символах содержится намного, меньше информации, чем 64 бит?
11.10. Что такое "соль" протокола аутентификации с помощью пароля? Какую роль она играет?
11.11. В протоколе аутентификации, применяемом в операционной системе UNIX (см. раздел 11.5.1 и протокол 11.3), криптографическое преобразование f(Pu) генерируется с помощью алгоритма шифрования DES. Можно ли утверждать, что в протоколе применяется функция шифрования DES? В чем! заключается разница между этим преобразованием и нестандартным мехаИ низмом аутентификации (11.4.7)?
11.12. В протоколе S/KEY (протокол 11.4) используется, по существу, то же самое криптографическое преобразование, что и в протоколе аутентификации операционной системы UNIX (протокол 11.3). Почему второй протокол уязвим,| а первый — нет?
11.13. В протоколе ЕКЕ (протокол 11.5) используются асимметричные криптографические методы. Можно ли утверждать, что этот протокол являете* протоколом аутентификации с открытым ключом?
11.14. В главе продемонстрированы недостатки упрощенного протокола STS, предназначенного только для аутентификации (атака 11.2). Исправьте этот про-1 токол.
11.15. В разделе 11.6.3 описано, почему указание адресата устраняет незначительный дефект протокола STS (см. атаку 11.3). Однако при этом исчезает анси нимность протокола. Предложите другой способ устранения этого дефекта, сохраняя анонимность пользователей.
Подсказка: пользователи не обязаны объединять общий сеансовый ключ и имя адресата в одно целое. Вот почему мы не считаем, что согласованным сеансовый ключ является взаимно согласованным (см. обсуждение протокола в разделе 11.6).
Глава 12
Протоколы аутентификации —
реальный мир
12.1 Введение
Наше обсуждение протоколов аутентификации в предыдущей главе носило академический характер: в ней изучались стандартные конструкции, рассматривались важные примеры и методы, описанные в литературе, и проводился систематический анализ разных "академических" атак. Однако прикладной аспект практически не застрагивался. Несомненно, прикладные протоколы аутентификации должны решать реальные задачи, некоторые из которых весьма сложны.
Эта глава посвящена некоторым проблемам аутентификации, возникающим в реальном мире. В ней описывается большое количество протоколов аутентификации, предложенных для решения прикладных задач. Все эти протоколы фактически являются промышленными стандартами.
В начале главы описывается протокол обмена ключами через Internet (IKE) [138, 158], представляющий собой механизм аутентификации, использованный в протоколе обеспечения безопасности в Internet (Internet Security Protocol — IPSec), принятом группой IETF (Internet Engineering Task Force — проблемная группа проектирования Internet) в качестве стандарта. Эта система состоит из протоколов аутентификации и обмена аутентифицированными ключами, функционирующих на сетевом уровне. Показано, как осуществляется связь, каким образом Злоумышленник может манипулировать адресами и организовывать разнообразные атаки, а также продемонстрирована высокая безопасность сетевого уровня. Мы убедимся, что обеспечить повышенную секретность связи на сетевом уровне, гарантирующую безопасность приложений на более высоких уровнях, чрезвычайно сложно.
Затем описывается протокол SSH (Secure Shell Protocol) [304-308]. Этот протокол аутентификации с открытым ключом предназначен для обеспечения безопасного доступа к ресурсам удаленного компьютера (безопасной удаленной регистрации) с ненадежного компьютера (т.е. с ненадежной клиентской машины — к удаленному серверу). Фактически протокол SSH стал стандартом для безопас-
