Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
Обычно предполагается, что Злоумышленник хорошо разбирается в средствах связи, используемых в открытой сети. Его действия непредсказуемы, так как Злоумышленник действует скрытно. Поскольку под маской Злоумышленника может действовать целая коалиция групп взломщиков, он может одновременно контролировать несколько сетевых узлов, географически удаленных друг от друга. Причина, по которой Злоумышленник действительно может осуществлять такой контроль, будет описана в разделе 12.2.
Предвидя существование мощного неприятеля в такой уязвимой среде, как открытая сеть, Долев (Dolev) и Яо (Yao) предложили модель угрозы (threat
62
Часть I. Введение
model), которая широко используется в стандартных криптографических протоколах [101]. В рамках этой модели Злоумышленник обладает следующими характеристиками.
• Может перехватить любое сообщение, передаваемое по сети.
• Является законным пользователем сети и может вступать в контакт с любым другим пользователем.
• Может получать сообщения от любого пользователя.
• Может посылать сообщения любому пользователю, маскируясь под любого другого пользователя.
Таким образом, в модели угрозы Долева-Яо (Dolev-Yao threat model) любое сообщение, передаваемое по сети, оказывается в распоряжении Злоумышленника. Следовательно, существует угроза, что любое сообщение, полученное пользователем из сети, сначала было перехвачено Злоумышленником, а затем передано по адресу. Иначе говоря, предполагается, что Злоумышленник имеет полный контроль над всей сетью. Фактически всю открытую сеть можно считать Злоумышленником.
Однако, несмотря на перечисленные выше возможности Злоумышленника, он не является всемогущим. Это значит, что есть вещи, которые Злоумышленник не способен сделать, даже если под его маской скрывается коалиция неприятелей, в распоряжении которых находится большое количество компьютеров, выполняющих параллельные вычисления в открытой сети. Ниже мы перечислим те несколько вещей, которые Злоумышленнику не под силу, не уточняя, что значит "не под силу".
• Злоумышленник не может угадать случайное число, выбранное из достаточно большого пространства.
• Не имея правильного секретного ключа, Злоумышленник не может восстановить открытый текст по его шифрованному варианту и, наоборот, не может правильно зашифровать исходное сообщение с помощью идеального алгоритма шифрования.
• Злоумышленник не способен найти секретный компонент, т.е. секретный ключ, соответствующий заданному открытому ключу.
• Контролируя крупную открытую часть наших вычислений и средства связи, Злоумышленник не имеет доступа ко многим закрытым зонам вычислительной среды, например, к памяти вычислительного устройства автономного пользователя.
Модель угрозы Долева-Яо применима ко всем нашим протоколам.
Глава 2. Борьба между защитой и нападением
63
2.4 Серверы аутентификации
Предположим, что два пользователя, Алиса и Боб, которых мы уже упоминали при описании протокола "Подбрасывание монеты по телефону", хотят посекретничать. Допустим также, что Алиса и Боб раньше никогда не встречались, и, следовательно, у них нет общих секретов, и ни один из них не знает открытого ключа другого. Как же обеспечить секретность их переговоров в полностью открытой сети?
Например, Алиса и Боб могли бы установить общий секретный ключ или обменяться открытыми ключами при личной встрече. Однако в системе, объединяющей N пользователей, желающих сохранить секретность своих сообщений, для этого понадобилось бы N(N — 1)/2 встреч. К сожалению, пользователи, как правило, живут в разных местах, и поэтому такой способ слишком дорог. Таким образом, непосредственный способ задания секретного ключа в современных системах связи непрактичен.
Однако каждый пользователь, желающий обеспечить секретность своих сообщений, может пройти аутентификацию (authentication) и получить доступ к другим участникам с помощью службы каталогов (directory service). Нидхем (Need-ham) и Шредер (Schroeder) предложили, чтобы эту возможность обеспечивал сервер аутентификации (authentication server) [213]. Такой сервер напоминает службу регистрации имен. Он поддерживает базу данных, содержащую имена обслуживаемых клиентов, и может идентифицировать пользователя на основе криптографического ключа, заранее разделенного между ним и сервером.
Сервер аутентификации является особым пользователем, которому доверяют все остальные пользователи (клиенты). Иначе говоря, сервер аутентификации всегда отвечает на запрос клиента точно в соответствии со спецификацией протокола и не выполняет никаких других действий, которые могли бы непреднамеренно снизить степень безопасности (например, сервер аутентификации никогда не раскрывает третьей стороне секретные ключи, разделенные между ним и его клиентами). Такой пользователь называется доверенным посредником (trusted third party — ТТР). Мы будем называть его Трентом.
Допустим, что Алиса и Боб пользуются услугами своих серверов аутентификации. В крупной сети нецелесообразно иметь центральный сервер аутентификации. Нидхем и Шредер предложили использовать аутентификационные серверы, знающие друг друга. Таким образом, пользователи, обслуживаемые одним и тем же сервером аутентификации, получают имя, имеющее вид "СерверАутентифи-кации.ИмяПользователя". Идея использовать несколько серверов аутентификации была также предложена Диффи и Хеллманом [97].
