Научная литература
booksshare.net -> Добавить материал -> Криптография -> Венбо Мао -> "Современная криптография" -> 258

Современная криптография - Венбо Мао

Венбо Мао Современная криптография. Под редакцией Клюшиной Д.А. — М. : Издательский дом Вильямс, 2005. — 768 c.
ISBN 5-8459-0847-7
Скачать (прямая ссылка): sovremennaya_kriptografiya.djvu
Предыдущая << 1 .. 252 253 254 255 256 257 < 258 > 259 260 261 262 263 264 .. 311 >> Следующая

Отметим, что мы связали блок Pi с ключом К лишь для простоты изложения.«\ Если сеансовый ключ К слишком велик, он может храниться в нескольких блоках, I начиная с блока Р2. Разумеется, Злоумышленник должен знать размер сеансового ключа К. В конце концов, эта информация не является секретной.
Пусть IV, Ci, С2,..., Се — блоки зашифрованного текста AES-CBC, соответ- I ствуюшие блокам исходного текста Р\, Р2,..., Pg (режим СВС описан в разделе 7.8.2). Кроме того, обозначим через
TV', С[, С'2,..., С'е
блоки зашифрованного текста из предыдущего сеанса протокола связи между теми же самыми участниками протокола. Предполагается, что Злоумышленник записал все блоки старых зашифрованных текстов.
Чтобы атаковать протокол в ходе нового сеанса, Злоумышленник должен перехватить блоки нового зашифрованного текста, посланные Трентом Алисе.
2. Трент —» Злоумышленнику ("Алисе") : IV,С\,С2,...,Се-Затем Злоумышленник должен заменить эти блоки следующим образом. 2. Злоумышленник ("Трент") —»• Алисе : IV, С\, С'2,Се.
Иначе говоря, Злоумышленник должен заменить последние ? — 1 блоков зашифрованного текста в ходе текущего сеанса соответствующими блоками старого зашифрованного текста, записанного в ходе предыдущих сеансов, и отправить это сообщение Алисе, маскируясь Трентом.
При расшифровке в режиме СВС число Na остается на предписанном месте, поскольку результат расшифровки представляет собой функцию, зависящую от вектора инциализации IV и блока С\ (см. раздел 7.8.2). Эта функция возвращает следующий "новый" сеансовый ключ (или первый блок "нового" сеансового ключа).
К = Dkat {С2) © Ci = К' © С( © Ci.
Здесь символ К' обозначает старый сеансовый ключ (или его первый блок), рас- | пространявшийся в ходе предыдущего сеанса. В результате расшифровки Алиса обнаружит, что остальные ? — 1 блоков исходного текста идентичны блокам, полученным ею ранее.
Глава 17. Формальные методы анализа протоколов аутентификации 639
Поскольку К' — старый сеансовый ключ, не следует исключать вероятность того, что Злоумышленнику он каким-то образом уже известен (например, Алиса или Боб его случайно раскрыли). Следовательно, Злоумышленник может использовать ключ К (или конкатенацию ключа К с остальными блоками ключа К', если размер сеансового ключа превышает один блок) для того, чтобы общаться с Алисой, маскируясь Бобом.
Анализ этой атаки показывает, что, независимо от значения идентификатора "свежести" Na, ни одно исходное сообщение, полученное от Алисы после расшифровки, нельзя считать "свежим"!
Существует много способов реализовать механизм шифрования-расшифровки в этом протоколе. Однако, поскольку его детали известны Злоумышленнику, каждый из них может предотвратить одну атаку, но оказаться уязвимым для другой.
Ошибочная идея, заключавшаяся в использовании режима шифрования СВС для защиты целостности данных, была положена в основу двух протоколов аутентификации, опубликованных в качестве предварительных стандартов [144, 145]. Общие принципы разработки этих протоколов изложены в работах [142, 146]. Разумеется, эти протоколы были обречены на провал [184, 185].
По нашему мнению, следовало бы защитить блоки зашифрованного текста с помощью соответствующего механизма, гарантирующего целостность данных, например, с помощью методов аутентификации сообщений, описанных в разделах 10.3.2 и 10.3.3 (коды для распознавания манипуляций). Эти методы основаны на применении однонаправленного преобразования, а не на механизме шифрования-расшифровки.
Итак, мы ясно продемонстрировали, что применения методов симметричного шифрования в протоколах аутентификации недостаточно для обеспечения безопасности.
В протоколах аутентификации, использующих асимметричные методы, механизм шифрования-расшифровки также совершенно недостаточен. В качестве примера укажем протокол аутентификации с открытым ключом Нидхема-Шредера (протокол 2.5). Атака Лоу на этот протокол (атака 2.3) четко демонстрирует его слабость. Позднее мы покажем (раздел 17.2.3.3), что подход, основанный на применении однонаправленного преобразования, позволяет исправить этот протокол и предотвратить атаку Лоу.
17.2.2 Уточненная спецификация протоколов аутентификации
Для того чтобы точнее описать протоколы аутентификации, Бойд и Мао предложили использовать для обозначения криптографических операций следующие символы [186].
640
Часть V. Методы формального доказательства стойкости
• {М}к — результат шифрования сообщения М с помощью ключа К. Эта! операция обеспечивает секретность сообщения М: оно может быть вос-| становлено только пользователем, обладающим ключом К-1, т.е. ключом расшифровки, соответствующим ключу К. Отметим, что владелец ключе К~1 может не распознать результат расшифровки.
• \М]к — результат однонаправленного преобразования сообщения М с помощью ключа К. Эта операция обеспечивает целостность данных и идентификацию источника сообщений с помощью средств, описанных в рав деле 10. Сообщение М в тексте [М]к не является секретным и можев оказаться доступным даже без применения каких-либо криптографические операций. Пользователь, обладающий ключом К-1, может проверять целостность данных в тексте [М\к и идентифицировать источник сообщение Если целостность данных в сообщении М не нарушена, а источник под! дается идентификации, процедура верификации возвращает значение ДЩ в противном случае она возвращает значение НЕТ.
Предыдущая << 1 .. 252 253 254 255 256 257 < 258 > 259 260 261 262 263 264 .. 311 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed