Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
Для простоты в рамках данной главы будем считать, что Алиса и Боб используют один и тот же сервер аутентификации Трент. Пример, в котором используется несколько серверов аутентификации, обслуживающих разные области сети, будет
64
Часть I. Введение
рассмотрен в главе 12, где изучается сетевой протокол аутентификации Kerberos, используемый в операционной системе Windows 2000.
Поскольку Алиса и Боб обслуживаются одним и тем же сервером аутентификации, будем предполагать, что каждый из них имеет с Трентом общий криптографический ключ. Обозначим эти ключи как Кат (ключ Алисы и Трента) и Квт (ключ Боба и Трента). Они называются ключами шифрования ключей (key-encryption key), поскольку с их помощью шифруются другие криптографические ключи. Вследствие высоких затрат на создание таких ключей они используются долго, поэтому их называют также долговременными ключами (long-term key).
2.5 Стойкость создания
аутентифицированного ключа
Все протоколы, описанные в этой главе, относятся к одной и той же категории: они обеспечивают создание аутентифицированных ключей (authenticated key-establishment). Точный смысл этой службы безопасности (security service) раскрывается ниже.
Обозначим через К общий секретный ключ, который должен быть разделен между Алисой и Бобом. Протокол, обеспечивающий безопасность, должен обладать следующими тремя свойствами.
1. Ключ К должен быть известен только Алисе и Бобу (или, возможно, пользователю, которому они доверяют).
2. Алиса и Боб должны знать, что ключ К известен другому пользователю.
3. Алиса и Боб должны знать, что ключ К был сгенерирован заново.
Первое свойство вытекает из общего смысла аутентификации, которая заключается в идентификации пользователя, вступающего в контакт. Алиса (соответственно Боб) должны быть уверены, что на другом конце линии связи, защищенной ключом К, находится именно Боб (соответственно Алиса). Если создание ключа осуществляется с помощью Трента, он гарантирует, что не будет имитировать ни Алису, ни Боба.
Второе свойство придает аутентификации новое измерение — аутентификацию сущности (entity authentication), или реальность (liveness), идентифицированного пользователя, вступающего в контакт. Алиса (соответственно Боб) должны быть уверены, что Боб (соответственно Алиса) действительно существует и способен вступить в общение в соответствии с установленным протоколом. В дальнейшем мы убедимся, что это свойство необходимо для того, чтобы разрушить сценарий атаки, основанный на повторе старых сообщений.
Необходимость третьего свойства вытекает из давно известного криптографического принципа управления ключом (key management). Этот принцип за-
Глава 2. Борьба между защитой и нападением
65
ключается в том, что секретный ключ нельзя использовать долгое время, если он распределен между несколькими лицами и применяется для шифрования большого количества данных. Такое применение ключа существенно отличается от использования "ключа шифрования ключей", или долговременного ключа, который был рассмотрен в разделе 2.4. Принцип управления ключом основан на двух соображениях. Во-первых, если ключ для шифрования данных распределен между несколькими лицами, то, даже если одна из сторон, скажем, Алиса, пользуется им очень осторожно, никто не может гарантировать, что другая сторона, в данном случае Боб, обращается со своим ключом точно так же. Это снижает безопасность Алисы. Во-вторых, большинство данных в конфиденциальных сообщениях содержит известную или предсказуемую информацию или имеет заранее определенную структуру. Например, фрагмент компьютерной программы содержит большое количество известных слов, таких как "begin", "end", "class", "int", "if, "then", "else", "++" и т.д. Такие данные содержат большое количество избыточной информации (redundancy). Определение этого понятия содержится в разделе 3.8. Шифрование подобных данных делает ключ предметом криптоанализа (crypt-analysis), целью которого является восстановление ключа или открытого текста. Продолжительное использование ключа для шифрования таких данных облегчает задачу криптоаналитиков. Мы должны предположить, что Злоумышленник имеет неограниченное время для поиска старого ключа и может воспользоваться им при вычислении нового. Таким образом, хорошо известный и общепризнанный принцип управления ключом оговаривает, что общий ключ шифрования должен использоваться на протяжении только одного сеанса связи. По этой причине такой ключ называется сеансовым (session key) или кратковременным (short-terra key). Третье свойство процесса создания аутентифицированного ключа гарантирует Алисе и Бобу, что сеансовый ключ К будет сгенерирован заново.
2.6 Протоколы создания
аутентифицированного ключа с помощью шифрования
Теперь мы готовы разработать протокол создания аутентифицированного ключа. Первый протокол иллюстрирует простую идею: даже если Алиса и Боб незнакомы, они оба знают Трента и могут разделить с ним соответствующие долговременные ключи. Следовательно, Трент может безопасно передавать сообщения от Алисы к Бобу и наоборот.
