Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
В новой версии протокола SSH [307, 308] для согласования сеансового ключа применяется протокол обмена ключами Диффи-Хеллмана (раздел 8.3). При описании протокола используются следующие обозначения:
• С: клиент;
• S: сервер;
• р: большое безопасное простое число;
• д: порождающий элемент подгруппы Gq поля GF(p);
• q: порядок подгруппы Gp;
• Ус, Vs'- версии протокола, принадлежащие клиенту и серверу соответственно;
• Ks'- открытый ключ сервера S;
• Ic, Is'- первоначальное сообщение протокола обмена ключами, модифицированное перед началом протокола со стороны клиента и сервера соответственно.
Протокол обмена ключами выглядит следующим образом.
1. Клиент С генерирует случайное число ж(1 < х < q), вычисляет значение
е«— ^(modp)
и отсылает его серверу S.
460
Часть IV. Аутентификация.
2. Сервер S генерирует случайное число у(0 < у < q), вычисляет значение
/ +- ^(modp),
получает число е, вычисляет значения
К <— e^(modp), Н - hash(Vc || VS || Ic II Is II KS || e || / || ^ ||), s+-Sigs(H)
и отсылает число К$ || / || s клиенту С.
3. Клиент С убеждается, что число K~s действительно является ключом сервера S (используя любой подходящий метод, например, с помощью сертии фиката или проверенной локальной базы или метода, описанного в раздев ле 12.3.2.2). Затем клиент С находит числа
К - Г (modp), Н - hash{yc || VS || Ic II Is II KS || e || / || ||)
и проверяет подпись s по числу Н. Если аутентификация прошла успешно,
клиент С принимает обмен ключами. После обмена ключами все сообщения, которыми обмениваются обе стороны, будут зашифрованы с помощью согласованного сеансового ключа К. Затем об! стороны приступают к выполнению протокола аутентификации пользователя SSH [305]. После этого клиент может послать запрос на выполнение протокола связи SSH [306].
12.3.3 Стратегия SSH
Одна из целей протокола SSH — повысить защиту информации в Internet с пс мощью современных методов. Разрешение клиенту использовать "любой подходе щий метод" (например, описанный в разделе 12.3.2.2) для верификации открытш го ключа сервера ясно демонстрирует стратегию SSH, направленную на быстро^ распространение и поддержку обратной совместимости.
Как только инфраструктура с открытым ключом получит широкое распре странение в Internet, необходимость в повышенной секретности отпадет, однак! безопасность Internet с такой инфраструктурой намного выше, чем без нее. Легкость применения и быстрое распространение являются неоспоримым преимуществом стратегии SSH. По этой причине она получает все большую популярности и широко используется на серверах, работающих под управлением операционны] систем UNIX и Linux.
Глава 12. Протоколы аутентификации — реальный мир
461
Анализ протокола SSH демонстрирует, что криптография с открытым ключом существенно облегчает решение проблемы. Ключ сервера в незащищенной среде (например, на клиентской машине или в линии связи, соединяющей сервер с клиентом) существует только в открытой форме. Это намного облегчает управление ключами. Если бы протокол использовал методы криптографии с секретным ключом, проблема стала бы значительно сложнее.
12.3.4 Предостережения
В заключение приведем несколько предостережений, касающихся криптографического мандата, используемого в протоколе аутентификации пользователя. Этот мандат может быть основан на применении открытого ключа, пароля или секретного аппаратного средства идентификации. Он применяется в протоколе, выполняемом на клиентской машине, которая рассматривается как часть незащищенной среды.
В текущей версии протокола SSH [304] криптографический мандат представляет собой закрытый ключ, соответствующий открытому ключу пользователя, шифруется с помощью его пароля и хранится на клиентской машине в файле $НОМЕ/. ssh/identity (если клиентская машина работает под управлением операционных систем UNIX или Linux). Этот файл считывается во время выполнения протокола на клиентской машине, предлагающего пользователю ввести пароль. Естественно, пользователь должен убедиться, что часть протокола, выполняемая на клиентской машине, является подлинной. Чтобы минимизировать риск применения закрытого ключа, скомпрометированного в ходе автономной атаки, в конце работы пользователь должен удалить файл $НОМЕ/. ssh/identity, содержащий зашифрованный закрытый ключ.
Наиболее надежным считается механизм, основанный на применении секретного аппаратного средства идентификации. Он использует небольшое устройство, в окошке которого отображается несколько цифр. В ходе синхронизации устройства с головным компьютером эти цифры изменяются и считаются паролем пользователя, известным серверу. Разумеется, поскольку это устройство невелико, пользователь должен тщательно беречь его и немедленно сообщать о потере.
12.4 Протокол Kerberos и его реализация в операционной системе Windows 2000
Предположим, что Алиса работает в транснациональной компании, и в ее распоряжении имеются различные информационные источники и службы. Например, со своего "домашнего сервера" Алиса может получить доступ к обычным сетевым службам (например, World Wide Web, электронной почте и т.п.). На "сервере
