Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
5Как мы увидим далее, в некоторых режимах первая фаза протокола IKE не обеспечивает вза-1 имной аутентификации, т.е. пользователь абсолютно уверен в том, что разделяет сеансовый ключ с подлинным партнером, в то время как на самом деле ключ разделен с другой стороной.
Глава 12. Протоколы аутентификации —
реальный мир
447
самом деле существует четыре типа ключей (заранее разделенные симметричные ключи, устаревшие открытые ключи для шифрования, современные открытые ключи для шифрования и открытые ключи для верификации цифровой подписи). Каждому из этих типов ключей соответствует два вида обменов в первой фазе протоколе: "основной режим" и "агрессивный режим".
Основной режим предусматривает шесть обменов сообщениями: три сообщения передаются инициатором (сокращенно / (Initiator)) ответчику (сокращенно R (Responder)), а остальные три сообщения — передаются ответчиком R инициатору Основной режим протокола IKE является обязательным, т.е. два пользователя не могут перейти в агрессивный режим, не выполнив протокол IKE в основном режиме.
В агрессивном режиме предусмотрено только три сообщения: пользователь I инициирует сообщение, пользователь R отвечает, а затем пользователь I передает заключительное сообщение и прекращает выполнение протокола. Агрессивный режим является необязательным и может быть пропущен.
Для первой фазы протокола IKE мы опишем и проанализируем только "режимы, основанные на цифровой подписи". В других режимах для аутентификации, как правило, используется шифрование и расшифровка идентификатора "свежести". В разделе 11.4.1.5 этот механизм назван нестандартным. Его дальнейший анализ содержится в разделе 17.2.
12.2.3.2 Основной режим первой фазы протокола IKE, основанный на цифровой подписи
Основной режим первой фазы протокола ГКЕ, основанный на цифровой подписи, называемый также аутентификацией с помощью цифровых подписей ("Autheticated with Signatures" [135]), описан в протоколе 12.1. Этот режим является порождением двух протоколов: протокола STS (протокол 11.6) и протокола SIGMA, предложенного Кравчиком (Krawchyk) [171] (см. раздел 12.2.4).
Первые два сообщения обеспечивают обмен заголовками и параметрами защиты: пользователь I передает пользователю R заголовок HDRj и набор параметров SAj и в ответ получает заголовок HDR/? и набор параметров SA/j. Заголовки сообщений HDRj и HDRfl содержат строки С/ и Cr ("cookies"): строка С/ предназначена для пользователя R и содержит информацию о сеансе связи с пользователем /, а вторая — наоборот. Набор параметров защиты SA/ перечисляет атрибуты системы безопасности, которые хотел бы использовать инициатор протокола I. Пользователь выбирает один из них и возвращает набор параметров SAfl.
Вторая пара сообщений обеспечивает обмен параметрами ключей Диффи-Хеллмана.
Пятое и шестое сообщения предназначены для согласования алгоритма шифрования, цифровой подписи и псевдослучайных функций, применяемых для хэширования подписанных сообщений.
448
Часть IV. Аутентификация
Протокол 12.1. Основной режим первой фазы протокола ПСЕ, основанный на цифровой подписи
1. I —> R: HDR/, SA/.
2. R—*I: HDR/?, SAR.
3. I R: HDR/, gx, Nr.
4. R—> I: HDRR, 9у, Nr.
5. I —> R: HDR/, {/?>/, Cert/, Sig,}^.
6. Л — /: HDR/?, {Л?д, СеПд, Sig^,,.
Обозначения. (* Чтобы упростить изложение, мы опускаем некоторые детали. Эта не уменьшает функциональных возможностей протокола, в частности, не делае! его уязвимым для атаки, описанной в дальнейшем. *) I, R: инициатор и ответчик соответственно.
HDR/, HDR/?: заголовки сообщений, посланных инициатором I и ответчиком соответственно. Эти данные содержат строки С/ и Сд, ("cookies"6), пред! ставляющие собой информацию о сеансе связи между двумя сторонами.
SA/, SA#: защищенные соединения, установленные инициатором I и ответчи ком R, Две стороны используют соединения SA/ и SAr для согласован параметров, используемых в рамках текущего сеанса, в частности, алгори! мов шифрования, алгоритмов цифровой подписи, псевдослучайных фунв ций для хэширования подписываемых сообщений и т.п. Инициатор I може? предложить несколько вариантов, но ответчик R должен выбрать толь один из них.
<7Х, ду: элементы ключей Диффи-Хеллмана, принадлежащие инициатору J и от ветчику R соответственно.
ID/, ГОд: имена конечных пользователей I и R соответственно.
Ni, Npi одноразовые случайные числа, сгенерированные пользователями J и Я
Sig/, Sig/j: подписи, созданные пользователями I и R соответственно. Подписащ ные сообщения обозначены символами М/ и Mr:
Mr = prf^prf^TV/ I NR I <f*0 I g* I дУ | С/ | CR | SA/ | ID/), MR = prfi(prf2(A/> I NR I дхУ) \gv\gx\CR\Ci\ SAr I ГОд),
где prfi и рг1~2 — псевдослучайные функции, используемые в защищеннЦ соединениях.
6Cookie — это текстовая строка, записанная в памяти или файле удаленного головного компь тера для сохранения информации о сеансе между клиентом и сервером.
Глава 12. Протоколы аутентификации — реальный мир
449
Основной режим первой фазы протокола IKE, основанный на цифровой подписи, похож на протокол STS (протокол 11.6). Однако следует отметить два существенных отличия.
