Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
Глава 2. Борьба между защитой и нападением
69
2.6.2 Атака, исправление, атака, исправление...
Проиллюстрируем стандартную схему, которая красной нитью проходит через всю книгу: атака, исправление, атака, исправление...
2.6.2.1 Атака
И все же протокол "Сеансовый ключ от Трента" имеет недостаток: информация о том, кто именно должен получить сеансовый ключ, не защищена. Рассмотрим атаку 2.1. В ходе этой атаки Злоумышленник перехватывает некоторые сообщения, передаваемые через сеть, модифицирует их и посылает некоторым пользователям, маскируясь под других пользователей. В атаке 2.1 содержится выражение "Алиса — Злоумышленнику ("Тренту")...". Это значит, что Злоумышленник перехватил сообщение, которое Алиса отправила Тренту. Аналогично выражение "Злоумышленник ("Алиса") — Тренту..." означает, что Злоумышленник посылает сообщение Тренту, маскируясь под Алису. Следует заметить, что в соответствии с моделью угрозы Долева-Яо, описанной в разделе 2.3, Злоумышленник полностью контролирует уязвимую сеть. Таким образом, Злоумышленник способен на враждебные действия. Имя пользователя можно сравнить с маской, которую надевает на себя Злоумышленник, манипулируя протоколом сообщений, передаваемых через сеть. В разделе 12.2 мы проведем технический анализ и покажем, как Злоумышленник может манипулировать сообщениями в открытой сети.
Злоумышленник начинает с перехвата исходного сообщения, отправленного Алисой Тренту. Это сообщение содержит инструкцию Тренту, следуя которой он должен сгенерировать сеансовый ключ, разделяемый им с Алисой и Бобом. Злоумышленник подменяет имя Боба своим и посылает Тренту фальсифицированное сообщение. Трент будет считать, что Алиса хочет связаться со Злоумышленником, поэтому генерирует новый сеансовый ключ К am, общий для Алисы и Злоумышленника. Затем Трент зашифровывает его с помощью соответствующих ключей, которые он разделяет с обоими клиентами: Алисой и Злоумышленником. Поскольку Алиса не может различить сообщения, посылаемые другим пользователям, она не заметит подмены. Затем Злоумышленник перехватывает сообщение, посланное Алисой Бобу, и Боб не узнает, что Алиса вызывает его на контакт. В результате атаки Алиса будет уверена, что Боб успешно выполнил протокол, в то время как на самом деле Боба заменил Злоумышленник. Поскольку ему известен ключ К am, вся информация, передаваемая Алисой Бобу, будет раскрыта. Обратите внимание на то, что эта атака будет успешной лишь в том случае, если Злоумышленник является законным пользователем, известным Тренту. Это вполне реалистичное предположение — атаки изнутри встречаются чаще, чем атаки извне.
Как мы видели, описанная выше атака стала возможной благодаря подмене Боба Злоумышленником. Эта подмена стала возможной потому, что имя Боба
70
Часть I. Введение
Атака 2.1. Атака на протокол "Сеансовый ключ от Трента"
ИСХОДНЫЕ УСЛОВИЯ:
В дополнение к протоколу "Сеансовый ключ от Трента" Злоумышленник и Трент имеют общий ключ Кмт-
РЕЗУЛЬТАТ АТАКИ:
Алиса думает, что имеет общий ключ с Бобом, а на самом деле она делит ключ со Злоумышленником.
Алиса Злоумышленник Трент
1 2
3
4
5
1. Алиса — Злоумышленнику ("Тренту"): Алиса, Боб.
2. Злоумышленник ("Алиса") — Тренту: Алиса, Злоумышленник.
3. Трент находит в базе данных ключи Кат и Кмт, генерирует случайный ключ К дм и посылает Алисе следующую информацию: {Кам}кат> {1<ам}кмт-
4. Алиса расшифровывает сообщение {Кам}кат и посылает Бобу информацию: Трент, Алиса, {Кам}кмт-
5. Злоумышленник ("Боб") — Алисе: {Привет. Алиса, я — БобХ}к .
пересылалось открытым текстом. Значит, протокол можно исправить, скрыв имя Боба.
2.6.2.2 Исправление
Атака, в ходе которой происходит подмена Боба Злоумышленником, демонстрирует уязвимое место протокола "Сеансовый ключ от Трента". Например, можно модифицировать протокол, скрыв имя Боба в первом сообщении и зашиф-
Глава 2. Борьба между защитой и нападением
71
ровав его с помощью ключа, общего для Алисы и Трента. Иначе говоря, первое сообщение в протоколе "Сеансовый ключ от Трента" следует сформулировать так.
1. Алиса — Тренту: Алиса, {Боб}Клт.
Обратите внимание на то, что имя Алисы должно по-прежнему передаваться открытым текстом, чтобы Трент мог определить, какой ключ следует применить для дешифровки сообщения.
2.6.2.3 Новая атака
Однако предложенного исправления недостаточно. Например, Злоумышленник может сделать следующее.
1. Злоумышленник ("Алиса") — Тренту: Алиса, {Злоумышленник}кАТ-
Остальную часть атаки оставим без изменения. Хотя в начале Злоумышленник и не знает, кого именно Алиса вызывает на связь, ему все же известно, какая часть информации в перехваченном сообщении содержит адрес Боба. Ее местоположение фиксировано, чтобы сообщение было правильно передано через сеть. Обратите внимание на то, что в ходе этой атаки предполагается, что Злоумышленник имеет зашифрованное сообщение {Злоумышленник}кАТ- Это возможно, если Злоумышленник записал его в ходе выполнения предыдущего (корректного) протокола связи между Алисой и Злоумышленником.
