Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
1. Протокол STS оставляет сертификаты за рамками шифрования, в то время как в основном режиме первой фазы протокола IKE сертификаты шифруются, обеспечивая анонимность пользователей (раздел 11.6.1). Это свойство особенно полезно, если пользователи I и R защищены брандмауэрами.
2. Для подписания сообщений в рамках основного режима первой фазы протокола STS не нужен согласованный сеансовый ключ, а в протоколе IKE к подписанному сообщению применяется псевдослучайная функция prf, в которой в качестве начального значения используется согласованный сеансовый ключ д3™. Следовательно, в этом режиме цифровые подписи могут верифицироваться только партнерами, согласовавшими общий сеансовый ключ.
12.2.3.3 Отказ в аутентификации в основном режиме первой фазы протокола IKE, основанного на цифровой подписи
Как и в протоколе STS, сообщение, подписанное в основном режиме первой фазы протокола IKE, содержит информацию только об отправителе, но не о получателе. Это может спровоцировать атаку, похожую на атаку Лоу (атака 11.3). Аналогичный недостаток был обнаружен Мидоузом (Meadows) в работе [195].
Используя обнаруженный недостаток, Злоумышленник может успешно обмануть пользователя R, заставив его поверить в то, что пользователь / инициировал и полностью завершил сеанс связи с ним, хотя на самом деле пользователь / прекратил выполнение протокола досрочно. Обратите внимание на то, что пользователь R оказывается обманутым дважды: во-первых, он вступает в контакт с фальшивым партнером и делит с ним общий ключ, и, во-вторых, он никогда не узнает об этом. Этот недостаток ярко демонстрирует атака 12.2.3.4.
Эта атака называется также "атакой с помощью отказа в обслуживании" ("denial of service attack"). В рамках протокола IKE после успешного обмена сообщениями в первой фазе сервер, играющий роль ответчика R, сохранит текущее состояние сеанса с пользователем /, чтобы применить согласованный сеансовый ключ во второй фазе. Однако после атаки 12.2.3.4 пользователь / никогда не сможет вступить в контакт с сервером R. Следовательно, сервер R может сохранить состояние сеанса, выделить ресурсы для пользователя / и ожидать, когда он вновь приступит к обмену сообщениями. Если Злоумышленник сможет организовать массированную атаку, используя большое количество сообщников одновременно, ресурсы сервера быстро окажутся исчерпанными. Обратите внимание на то, что в этой атаке Злоумышленник не обязан проводить изощренные манипуляции или сложные вычисления. Следовательно, распределенная атака может оказаться весьма эффективной.
450
Часть IV. Аутентификация
Атака 12.1. Отказ в аутентификации в основном режиме первой фазы протокола IKE, основанного на цифровой подписи
(* Злоумышленник представляется инициатору I своим подлинным именем, а ответчику R — именем инициатора J. *)
1. I —> Злоумышленнику: HDR/, SA/.
Г. Злоумышленник ("/") R: HDR/, SA/. 2'. R Злоумышленнику ("J"): HDRR, SAr.
2. Злоумышленник —> I: HDR/?, SAr.
3. I —у Злоумышленнику: HDR/, дх, N[.
3\ Злоумышленник ("J") -> R: HDR/, gx, Л7/. 4'. R Злоумышленнику ("/"): HDR/?, gy, Nr.
4. Злоумышленник —» I: HDR/?, gy, Nr.
5. I —у Злоумышленнику: HDR/, {IDj, Cert/, Sigj}^,,.
5'. Злоумышленник ("/") -» R: HDR/, {/?>/,Cert/, Sig/}^. 6'. Я -> Злоумышленнику ("/"): HDR/*, {IDR, Cert/?, Sig^}^,,
6. Конец связи. ПОСЛЕДСТВИЯ:
Пользователь R полностью обманут и ошибочно полагает, что общается и обменивается ключами с пользователем J, в то время как* пользователь I считает, что вступил в контакт со Злоумышленником, досрочно прервав выполнение протокола. Пользователь й ни о чем не подозревает и может получить отказ от пользователя I, оставаясь в режиме ожидания ответа на свой запрос.
Эта атака стала возможной из-за того, что подписанное сообщение в протоколе содержит только имя отправителя и может использоваться для обмана пользователя не являющегося адресатом этого сообщения. Если бы подписанное сообщение^ содержало имена как отправителя, так и получателя, сообщение стало бы оченА конкретным и не смогло бы применяться для других целей.
Мы еще не раз увидим, что отсутствие имен в сообщении открывает возможность для атаки.
12.2.3.4 Агрессивный режим первой фазы протокола IKE, основанного на цифровой подписи
Агрессивный режим первой фазы протокола IKE, основанного на цифровой подписи, представляет собой усеченную форму основного режима: в нем не ис-1
Глава 12. Протоколы аутентификации — реальный мир
451
пользуется шифрование, и происходит обмен тремя сообщениями, а не шестью. Используя те же обозначения, что и в протоколе 12.1, этот режим можно записать следующим образом.
На первый взгляд этот режим очень напоминает протокол STS, предназначен-иый только для аутентификации (протокол 11.7), так как в нем не используется (шифрование. Однако при ближайшем рассмотрении обнаруживается существенное отличие: в протоколе STS, предназначенном только для аутентификации, подписанные сообщения не обрабатывались с помощью сеансового ключа, в то время как в агрессивном режиме подписанные сообщения поступают на вход псевдослучайной функции, использующей сеансовый ключ дху в качестве начального значения. Таким образом, в этом режиме подписи могут верифицироваться только пользователями, владеющими общим сеансовым ключом. Это позволяет предотвратить атаку с помощью замены сертификата и подписи (атака 11.2).
