Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
636
Часть V. Методы формального доказательства стойкости
"свежести", доказывает отправителю существование получателя и обеспечивает аутентификацию получателя.
17.2.1.1 Вредность
В механизме "оклик-отзыв", предназначенном для верификации "свежести" сообщения, процесс шифрования-расшифровки позволяет противнику воспользоваться помощью оракула расшифровки (см. разделы 7.8.2.1 и 8.9). В этом случае Злоумышленник может выполнить незаконную операцию, которую он не смог бы осуществить без посторонней помощи, поскольку ему не известен правильный криптографический ключ.
Оракул расшифровки открывает для Злоумышленника широкие возможности! для манипуляций протокольными сообщениями и дискредитирует цели аутенти-| фикации. Атака Лоу на протокол аутентификации с открытым ключом Нидхема-Шредера (атака 2.3) ясно демонстрирует такой трюк: на этапах 1-7 Злоумышленник использует Алису в качестве оракула расшифровки для того, чтобы расшифровать случайное число Боба Nb и в дальнейшем общаться с Бобом, представляясь Алисой.
Оракул расшифровки предоставляет Злоумышленнику ценную информацию, необходимую для криптоанализа, например, для организации атак на основе подобранного исходного или зашифрованного текста. Большое количество таких приемов описано в главе 14.
Для того чтобы продемонстрировать свой криптографический мандат (т.е. об-i ладание правильным ключом) в механизме "оклик-отзыв", получатель должен выполнить однонаправленное преобразование. Если для шифрования применяется симметричный криптографический метод, наиболее удачным является механизм 11.4.2. Если идентификатор "свежести" должен сохраняться в секрете, следует применять механизм 11.4.1. Однако в этом случае для защиты своего зашифрованного текста Боб должен выполнять проверку целостности данных с псе мощью однонаправленного преобразования (причины указаны в разделе 17.2.1.21 Иначе говоря, для защиты зашифрованного текста в механизме 11.4.1 необходимо применять механизм 11.4.2. Если для шифрования используются асимметричные методы, как правило, применяется механизм 11.4.3.
Разумеется, механизмы 11.4.1 и 11.4.2 тоже позволяют пользователю, посы-| лающему оклик, задействовать получателя в качестве оракула при создании пар "исходный текст-шифрованный текст"
N,SK(...,N), N,HDC(K,...,N),
где число АГ представляет собой идентификатор "свежести", выбираемый по усмотрению пользователя, посылающего оклик. Несмотря на это, если число N
Глава 17. Формальные методы анализа протоколов аутентификации
637
является открытым, пересылка такой пары порождает меньше проблем, чем предоставление услуг оракула расшифровки.
Более того, во втором случае услуги оракула шифрования на самом деле остаются недоступными. Любое однонаправленное преобразование, необходимое для создания кода MDC, позволяет сжимать данные (см., например, разделы 10.3.1 и 10.3.3, в которых описано сжатие данных с помощью хэш-функции и блочного шифра). Сжатие данных означает потерю информации — в результате преобразование становится необратимым. Потеря информации делает пару "оклик-отзыв" бесполезной: они применяются только в механизме 11.4.2. Применение этих пар в сочетании с другими механизмами может породить ошибки.
17.2.1.2 Недостаточность
Шифрование сообщения должно сохранять целостность данных. Если такой защиты нет, активный противник может манипулировать зашифрованными сообщениями, что компрометирует протокол.
Для примера рассмотрим протокол аутентификации Нидхема-Шредера с симметричным ключом (его вариант, предложенный Деннингом и Сакко, описан в разделе 2.6.5.1). Будем предполагать, что алгоритм шифрования, используемый в протоколе, обеспечивает надежную защиту секретности любого компонента сообщения в зашифрованном тексте. Однако для простоты изложения предположим, что алгоритм шифрования не обеспечивает целостности данных. Заметим, что это предположение вполне обоснованно. На самом деле ни один алгоритм шифрования, который изначально не предназначен для защиты целостности данных, не обладает этим свойством, если исходный текст является достаточно случайным и не распознается после расшифровки.
В качестве примера выберем алгоритм шифрования AES (раздел 7.7), выполняемый в режиме СВС (раздел 7.8.2). Читатели могут провести аналогичные рассуждения для любого другого симметричного алгоритма шифрования, например, для шифрования с помощью одноразового блокнота. Необходимо отметить, что, независимо от алгоритма шифрования, наша атака не будет использовать его слабости.
Рассмотрим два первых шага протокола аутентификации с симметричным ключом Нидхема-Шредера.
1. Алиса —¦ Тренту : Алиса, Боб, Na-
2. Трент -> Алисе : {NA, К, Боб, Y}Кат, где Y = {Алиса,К,Т}Квт.
Пусть Pi,Рг,...,Ре — блоки исходного сообщения, представляющего собой строку
NA,K,Eo6,Y.
638 Часть V. Методы формального доказательства стойкости
Для того чтобы протокол соответствовал требованиям практики, следует пред- I положить, что размер сеансового ключа К не меньше, чем размер блока зашифрованного текста. Это вполне разумное предположение, поскольку сеансовый ключ должен содержать достаточно много информации. Случайное число Na также должно быть достаточно большим и непредсказуемым. Поскольку первая часть числа Na находится в блоке Pi, из предположения о размере сеансового ключа непосредственно следует, что блок Р2 хранит либо весь сеансовый ключ, либо его часть.
