Научная литература
booksshare.net -> Добавить материал -> Криптография -> Венбо Мао -> "Современная криптография" -> 179

Современная криптография - Венбо Мао

Венбо Мао Современная криптография. Под редакцией Клюшиной Д.А. — М. : Издательский дом Вильямс, 2005. — 768 c.
ISBN 5-8459-0847-7
Скачать (прямая ссылка): sovremennaya_kriptografiya.djvu
Предыдущая << 1 .. 173 174 175 176 177 178 < 179 > 180 181 182 183 184 185 .. 311 >> Следующая

Поскольку возможность правдоподобного отрицания — весьма ценное свойство, при корректировке протокола его желательно сохранить. Представим протокол SIGMA в следующем виде.
I -> R: s, Юг, Sig/C'l", s, дх, дУ,), МАЦд*, "Г, s, ID/, ГОЛ). R -> I: s, ГОд, Sigfl("0", s, дУ, дх,), МАС(^, "О", s, IDR, ID/).
Итак, пользователи, как и прежде, не обязаны явно указывать свои имена в сообщениях, однако для правдоподобного отрицания необходимо, чтобы они явно верифицировали свои имена, содержащиеся в кодах аутентификации сообщений.
Отметим, что возможность отрицания связи (denying-of-coimection-feature) не является безупречной, поскольку партнер (назовем его "предателем"), сохранивший сеансовый ключ дху, в дальнейшем может выдать третьей стороне доказательства своего контакта с аутентифицированным пользователем. Очевидно, что это вполне возможно, поскольку предатель может использовать для верификации те же самые операции, которые выполнялись при аутентификации сторон. Вот почему возможность отрицания сопровождается эпитетом "правдоподобное" (plausible).
454
Часть IV. Аутентификация
В разделе 13.3.5 будут описаны новые практичные криптографические конструкции, которые гарантируют аутентификацию с возможностью полного отри-1 цания.
12.2.5 Критика протоколов IPSec и IKE
Основными недостатками протоколов IPSec и IKE являются их высокая сложность и запутанность. Они обладают слишком многими возможностями и предоставляют слишком гибкие механизмы. Одну и ту же операцию в рамках этого* протокола можно выполнить разными способами. Кауфман (Kaufman) подсчитал количество передач криптографических сообщений в рамках IKE: одна обязательная и 806399 возможных [197]. Из-за высокой сложности протокола его спей цификация становится чрезвычайно запутанной. В ней трудно разобраться дажй( экспертам. Вследствие этого ее недостатки могут остаться незамеченными.
Фергюсон и Шнайер считают, что эта сложность является следствием коллективной разработки протокола [108]. Как известно, комитеты включают в протоколы различные свойства, возможности и дополнительные механизмы, стремясь достичь компромисса между разными группировками. Если даже обычным (функ-J циональным) стандартам дополнительная сложность наносит существенный вред* то на стандарты систем безопасности она и вовсе оказывает разрушающее воэ« действие.
Пагубные последствия высокой сложности этих протоколов и слишком большого количества возможностей, заложенных в них, проявляются не столько в том,< что их трудно понять или правильно запрограммировать, сколько в опасности самих механизмов, предусмотренных в протоколах. В разделе 12.2.3.4 описан ти^ пичный сценарий, в котором Злоумышленник организует эффективную атаку ш< агрессивный режим протокола IKE, основанного на цифровой подписи.
Рассмотрим еще один пример, взятый из работы [12]. В этой статье, опубликованной в марте 2000 года, протоколы IPSec и IKE описываются с разных точек зрения, начиная с общей концепции защиты сетей и заканчивая детальным описанием протоколов. В приведенной ниже цитате описывается возможности) аутентификации с помощью инкапсулированных зашифрованных данных (ESP). Напомним, что ESP — это зашифрованная порция информации, содержащая сек-( ретные данные, передаваемые в IP-пакете (см. раздел 12.2.2.2).
Поле аутентификации в зашифрованном тексте ESP содержит контрольное значение ICV (integrity check value), позволяющее проверить целостность данных. Оно, по существу, представляет собой цифровую подпись, вычисленную по остальной части зашифрованного текста ESP, которая остается после удаления из него поля аутентификации. Его длина зависит от применяемого алгоритма аутентификации. Ее-
Глава 12. Протоколы аутентификации —
реальный мир
455
ли в зашифрованном тексте ESP алгоритм аутентификации не указан, поле аутентификации можно пропустить.
Итак, в протоколе предусмотрена возможность вообще игнорировать защиту целостности данных, содержащихся в зашифрованном тексте. Как было показано в разделе 11.7.8 и еще не раз будет продемонстрировано в последующих главах, шифрование без защиты целостности данных (т.е. то, что в цитате называется "аутентификацией") весьма опасно. Большинство алгоритмов шифрования не могут обеспечить секретность, если не гарантирована целостность данных. Итак, даже через четыре года недостатки протокола IPSec, обнаруженные Белловиным в 1996 году (см. раздел 12.2.3.5), еще не были устранены (напомним, что цитируемая нами статья опубликована в марте 2000!). Единственной разумной причиной этого может быть лишь слишком высокая сложность протокола.
Айелло (Aiello) с соавторами [10] критиковали протокол IKE за сложность вычислений и обмена сообщениями. Он полагает, что протокол IKE уязвим для атаки с помощью отказа в обслуживании: Злоумышленник и его сообщники, распределенные в Internet, могут послать много запросов, содержащих огромное количество строк, которые должен запомнить сервер ("cookies"). Айелло с соавторами предложили протокол JFK ("Just Fast Keing" — "Моментальное кодирование"), который должен был стать преемником протокола IKE. Блейз (Blaze) привел следующий шутливый аргумент, обосновывающий название протокола JFK.
Предыдущая << 1 .. 173 174 175 176 177 178 < 179 > 180 181 182 183 184 185 .. 311 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed