Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
Предотвратить эту атаку можно, если перед отправкой ответа сервер будет делать паузы, имеющие случайную продолжительность.
12.6 Резюме
В главе описаны четыре протокола аутентификации, пригодные для применения в реальных приложениях. К ним относятся протокол IKE, принятый органи-
476
Часть IV. Аутентификация
зацией IETF в качестве стандартного протокола IPSec, протокол SSH, ставший фактическим стандартом аутентификации для защиты интерактивных сеансов, протокол Kerberos — промышленный стандарт операционных систем семейства Windows для защиты информации в корпоративных сетях и информационных хранилищах, а также протокол TLS (SSL), ставший фактическим стандартом в области защиты данных в World Wide Web.
Несмотря на то что все протоколы описаны в очень упрощенном виде, мы убедились, что они достаточно сложны с технической точки зрения. Эти сложности возникают в результате требований, предъявляемых к алгоритмам реальными приложениями. В частности, они должны обеспечивать согласование алгоритмов и параметров, легко распространяться на широкий круг систем, обладать свойством обратной совместимости, быль удобными в работе и т.д. Для протоколов IPSec и IKE необходимость повышенной безопасности данных вынуждает создавать очень сложные системы. В главе показано, что разработка протоколов аутентификации в реальных приложениях сопряжена не только с решением проблем безопасности, но и с преодолением инженерных трудностей. Недостаточное внимание к решению технических проблем может вызвать серьезные последствия для безопасности данных.
В главе показано, что протоколы аутентификации, предназначенные для реальных систем, чрезвычайно уязвимы. По этой причине мы не завершаем обсуждение этой темы и вернемся к ней в главе 17, посвященной методам формального, анализа.
Упражнения
12.1. Предположим, что соединения в Internet не защищены протоколом IPSec. Каким образом Злоумышленник может манипулировать сообщениями, передаваемыми через Internet (например, имитировать автора, перенаправлять! сообщение и т.п.)?
12.2. Какую роль играет заголовок аутентификации (АН) в протоколе IPSec?
12.3. Как связаны между собой протоколы IPSec и IKE?
12.4. Назовите два способа криптографической защиты IP-пакета.
12.5. В упражнении 11.15 рассмотрены способы исправления несущественного дефекта протокола STS без ущерба для анонимности пользователей. Предложите свой способ исправления несущественного дефекта первой фазы основного режима протокола IKE с помощью цифровой подписи без ущерба для возможности отказа от авторства.
Глава 12. Протоколы аутентификации — реальный мир 477
12.6. Продемонстрируйте "совершенную атаку с помощью отказа в обслуживании" на первую фазу агрессивного режима протокола IKE на основе цифровой подписи.
Подсказка: эта атака очень похожа на атаку 11.3.
12.7. Протоколы ЕКЕ и SSH шифруют пароли с помощью асимметричных алгоритмов. Однако между ними существует значительная разница. В чем она заключается?
12.8. Как пользователь может аутентифицировать сервер в рамках протокола SSH?
12.9. Почему в протоколе Kerberos каждому клиенту должно соответствовать три разных вида серверов?
12.10. Чем протокол Kerberos удобен для применения в корпоративных сетях?
12.11. Протоколы TLS (SSL) широко применяются в электронной коммерции, осуществляемой через Internet. Действительно ли эти протоколы подходят для таких приложений? Если нет, объясните почему?
Подсказка: эти протоколы не поддерживают авторизацию оплат с возможностью отказа.
12.12. В разделе 12.5.4 описана атака на основе временного анализа, позволяющая распознать последний байт сообщения, зашифрованного с помощью блочного шифра в режиме СВС, использующего стандартную схему заполнения. Как распознать остальные байты?
Подсказка: проанализируйте стандартную схему заполнения исходного текста в режиме СВС, описанную в разделе 7.8.2.1. Для того чтобы распознать остальные байты, следует рассмотреть следующий вариант "правильного заполнения": два завершающих байта ("два заполнителя") равны '02' || '02', и модифицировать последний байт числа г так, чтобы вероятность этого варианта была максимальной.
Глава 13
Аутентификация в криптографии с открытым
ключом
13.1 Введение
Процедура генерации ключа в криптографии с открытым ключом обязательно содержит операцию
открытый_ключ = Р(закрытый_ключ). (13.1.1)
Здесь F — эффективная и однонаправленная функция, отображающая пространство закрытых ключей в пространство открытых ключей. Вследствие однонаправленности функции F, обеспечивающей перемешивание сообщений, часть открытого ключа, вычисленного по закрытому, всегда выглядит случайной.
Поскольку часть любого открытого ключа выглядит случайной, необходимо, чтобы он содержал информацию об имени пользователя, которую можно было бы верифицировать. Очевидно, чтобы послать секретное сообщение, зашифрованное открытым ключом, отправитель должен удостовериться, что применяемый внешне случайный открытый ключ действительно принадлежит подлинному получателю. Аналогично, чтобы идентифицировать источник сообщения с помощью цифровой подписи, получатель должен убедиться, что открытый ключ, используемый при верификации подписи, действительно принадлежит подлинному отправителю.
