Научная литература
booksshare.net -> Добавить материал -> Криптография -> Венбо Мао -> "Современная криптография" -> 178

Современная криптография - Венбо Мао

Венбо Мао Современная криптография. Под редакцией Клюшиной Д.А. — М. : Издательский дом Вильямс, 2005. — 768 c.
ISBN 5-8459-0847-7
Скачать (прямая ссылка): sovremennaya_kriptografiya.djvu
Предыдущая << 1 .. 172 173 174 175 176 177 < 178 > 179 180 181 182 183 184 .. 311 >> Следующая

И все же агрессивный режим не обеспечивает взаимную аутентификацию. Он уязвим для атаки с помощью отказа в обслуживании, которая, по существу, совпадает с атакой Лоува на протокол STS (атака 11.3). Теперь пользователь I (оказывается полностью обманутым. Он полагает, что общается и делит общий ключ с пользователем R, в то время как пользователь R так не думает. Читатели могут сами описать конструкцию такой атаки (упражнение 12.6).
Следует также заметить, что если схема цифровой подписи, использованная в этом режиме, допускает восстановление сообщения, Злоумышленник может достичь большего. Например, по подписанному сообщению Злоумышленник может вычислить значение prf2(iVj | NR \ дху) и воспользоваться эти материалом для создания собственной подписи со своим сертификатом и именем. Следовательно, |он может организовать атаку с помощью замены сертификата и подписи, аналогичную атаке 11.2. Такая атака является весьма эффективной, поскольку оба сеанса связи, которые Злоумышленник организует между пользователями I и R, успешно завершаются и оба пользователя ничего плохого не подозревают. Отме-1 тим, что некоторые схемы цифровой подписи позволяют восстановить сообщение (например, схема [220], которая даже была принята в качестве стандарта). Таким образом, два общающихся партнера не должны проводить переговоры, используя схемы цифровой подписи, допускающие восстановление сообщений.
Отсутствие шифрования не позволяет обеспечить "правдоподобное отрицание", обсуждаемое в разделе 12.2.4. Если это свойство не требуется, исправить недостаток агрессивного режима очень просто: в обе подписи следует включить имена обоих конечных пользователей так, чтобы подписанное сообщение было невозможно применить в другом контексте.
2,
3
1
I —* R: HDRj, SA7, дх, Ni, ID7.
R-* I: HDRH, SAR, 9у, NR, IDR, CertH, SigH-
I-*R: HDRfl, Cert7, Sig/.
452 Часть IV. Аутентификация
Методы обеспечения взаимной аутентификации с возможностью правдоподобного отрицания обсуждаются в разделе 12.2.4.
12.2.3.5 Другие свойства протоколов IPSec и IKE
Анализ безопасности протоколов IPSec и IKE проводился в нескольких работах
Используя свой автоматизированный анализатор протоколов NRL (см. раздел 17.5.2 [193, 194]), Мидоуз обнаружил, что быстрый режим (вторая фаза про! токола IKE) уязвим для атаки с помощью отражения сообщений [195].
Ferguson (Фергюсон) и Шнайер (Schneier) провели полное криптографическое исследование протокола IPSec в работе [108].
Белловин обнаружил, что в некоторых ситуациях протокол IKE не обеспечивает защиту целостности данных в зашифрованных текстах [27]. Как известно^ секретность сообщений невозможна без защиты целостности данных (см. раздел 11.7.8). В дальнейших главах (главы 14-17) будет показано, что большинство алгоритмов шифрования не обеспечивают секретность, если зашифрованные тексты не гарантируют целостности данных. Однако, по всей видимости, эта опасность осталась незамеченной большинством исследователей. Возможно, эт^| объясняется высокой сложностью спецификаций протокола IPSec.
12.2.4 Возможность правдоподобного отрицания в протоколе IKE
Во время написания книги была опубликована спецификация второй версии протокола IKE (IKEv2) [158]. Первая фаза протокола IKEv2 представляет собой объединение различных режимов первой фазы протокола IKE. Однако в современной спецификации [158] для обеспечения аутентификации используются цифровые подписи. Бойд, Мао и Патерсон (Paterson) продемонстрировали, что перв J фаза протокола IKEv2 имеет те же самые недостатки, что и протокол IKE, и по-прежнему уязвима для атаки 12.2.3.4 [56].
Новым свойством протокола IKEv2 является "возможность правдоподобного отрицания" [139]. Впервые это свойство было продемонстрировано в протоков SIGMA, предложенном Кравчиком [171], а также Канетти (Canetti) и Кравчя ком [67]. Оно позволяет пользователю правдоподобно отрицать наличие контащ та с партнером. Такое свойство весьма желательно на IP-уровне, поскольку он*( обеспечивает сохранение тайны, например, анонимность, которая является непременным атрибутом соединений на высоком уровне. Нарушение анонимности щ IP-уровне может повлечь нарушение анонимности на уровне приложений. Например, если протокол не позволяет отрицать имя пользователя, связанное с 1Рт адресом, анонимность на уровне приложений полностью уничтожается.
Возможность "правдоподобного отрицания", присущая протоколу SIGMA, обеспечивается следующими двумя сообщениями протокола 12.1.
Глава 12. Протоколы аутентификации — реальный мир
453
I —* R: s, ID/, Sig/("1", s, дх, дУ,), МАС(^, "1", в, ГО7). Я J: в, Юд> SigH("0", s, дУ, дх,), MAC(g*v, "О", в, Юд).
Здесь s — идентификатор сеанса. Обе стороны могут верифицировать подписи, а затем применять общий сеансовый ключ для верификации соответствующего кода аутентификации сообщений (MAC), чтобы убедиться, что контакт установлен с подлинным партнером. После уничтожения сеансового ключа партнеры не могут доказать третьей стороне, что между ними существовала связь.
Очевидно, что эта конструкция небезупречна и уязвима для атаки 12.2.3.4. Канетти и Кравчик предусмотрели возможность менее интересной атаки, в которой Злоумышленник просто блокировал последнее сообщение, направленное пользователю I. Они предложили метод для предотвращения этой атаки, который ваключался в том, что пользователь I должен был послать заключительное подтверждение пользователю R [67]. Поскольку теперь пользователь R (как правило, сервер) ожидает заключительное сообщение, атаку с помощью блокирования последнего сообщения легко распознать. Не получив подтверждения, сервер R просто восстановит предыдущее состояние и освободит выделенные ресурсы. В этом случае протокол становится менее уязвимым для атаки с помощью отказа в обслуживании. Заключительное подтверждение может иметь полезный побочный эффект, устраняя недостаток аутентификации (в зависимости от криптографической формулировки сообщения). Однако совершенно очевидно, что такой способ исправления протокола не совсем желателен, так как он увеличивает трафик и усложняет протокол.
Предыдущая << 1 .. 172 173 174 175 176 177 < 178 > 179 180 181 182 183 184 .. 311 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed