Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
• На практике при реализации симметричного алгоритма шифрования или| схемы цифровой подписи, использующей асимметричный алгоритм, тексЯ [М\к можно представить в виде (M,prf^-(M)), где priK — псевдослучай-J ная функция с ключом (например, код аутентификации сообщений в режиме СВС-МАС, как в разделе 10.3.3, или криптографическая функция хэширо! вания с ключом НМАС, как в разделе 10.3.2). Это представление является достаточно эффективным.
Уточненные обозначения относятся как к симметричным, так и к несиммет-1 ричным методам шифрования. В первом случае ключи К и К~1 совпадают, а во втором — образуют пару согласованных ключей.
Следует подчеркнуть, что преобразование \М\к не только гарантирует це-1 лостность данных, но и позволяет идентифицировать источник сообщения. Если процедура верификации текста [М]к возвращает значение ДА, то, даже если cot общение М вообще не содержит никакой информации об источнике сообщений! верификатор может идентифицировать правильный источник с помощью исполь! зованного ключа верификации.
В последнее время идея о необходимости совмещения секретности и защиты целостности данных получила всеобщее признание. Ее применение в криптогра! фии с открытым ключом подробно освещалось в главе 15. В работе [11] Айелл! (Ailello) и его соавторы предложили для соответствующей объединенной проце! дуры обозначение {М}^. Это значит, что сообщение М шифруется с помощькж ключа К\, а для защиты целостности данных используется ключ К2.
Глава 17. Формальные методы анализа протоколов аутентификации
641
17.2.3 Примеры уточненной спецификации протоколов аутентификации
Рассмотрим несколько примеров уточненных протоколов аутентификации.
17.2.3.1 Протокол аутентификации с симметричным ключом Нидхема-Шредера
В качестве первого примера рассмотрим протокол аутентификации с симметричным ключом Нидхема-Шредера.
Протокол 17.1. Уточненная спецификация протокола аутентификации с симметричным ключом Нидхема-Шредера
ПРЕДВАРИТЕЛЬНЫЕ УСЛОВИЯ И ЦЕЛЬ: те же, что и в протоколе 2.4.
1. Алиса —> Тренту : Алиса, Боб, NA.
2. Трент —> Алисе : \{К}К ,NA,Anuca,Eo6\ ,
L J Кат
\{К)Квт 'Т'A*"1*1,Боб\ v ¦
L J Кдт
3. Алиса —> Бобу : {^}/^вг ,Т,Алиса,Боб\
L J Квт
4. Боб —>• Алисе : [iVy^.
5. Алиса —>• Бобу : [Nb — 1]к-
В уточненной спецификации протокола аутентификации с симметричным ключом Нидхема-Шредера необходимость защиты целостности данных выделена явно. Если сообщения, которые Алиса и Боб получают от Трента и которыми они обмениваются друг с другом, в процессе передачи не искажались, то после выполнения процедуры верификации обе стороны могут быть уверены в том, что сеансовый ключ К согласован как с пользователями, так и с идентификатором "свежести". Это убеждает их в подлинности партнеров и "свежести" сеансового ключа. Очевидно, что любое несанкционированное изменение сообщения (см. раздел 17.2.1.2) легко распознать.
Анализ спецификации показывает, что секретность в этом протоколе обеспечивается на минимальном уровне: защищенным является только сеансовый ключ К. Это объясняется тем, что ключ является случайным, а значит, необходимо как можно меньше использовать средства шифрования, чтобы не давать Злоумышленнику информации для криптоанализа.
642
Часть V. Методы формального доказательства стойкости
17.2.3.2 Протокол Ву-Лама
В качестве второго примера рассмотрим протокол Ву-Лама. Его уточненная спецификация приведена в протоколе 17.2 (ср. с протоколом 11.2). Этот пример ярко показывает, насколько эффективно уточненная спецификация предотвращает разнообразные атаки. Причины, позволяющие организовать такие атаки, станут совершенно очевидными: некорректные криптографические операции приводят к неправильному применению шифрования в протоколе аутентификации.
Протокол 17.2. Уточненная спецификация протокола Ву-Лама ПРЕДВАРИТЕЛЬНЫЕ УСЛОВИЯ И ЦЕЛЬ:
те же, что и в протоколе 11.2. СОГЛАШЕНИЕ:
если процедура верификации возвращает значение НЕТ, выполнение протокола прекращается.
1. Алиса —> Бобу: Алиса.
2. Боб —* Алисе: Nb-
3. Алиса -> Бобу: [Nb]Kat-
4. Боб -> Тренту: \Алиса, NB, [Nb]Kat
L J Квт
(* Примечание: Боб включает одноразовое случайное число Nb в свою часть однонаправленного преобразования, поскольку сам является источником идентификатора "свежести" .*)
5. Трент Бобу: [Nb]Kbt-
6. Боб принимает сообщение, если процедура верификации целостности данных в тексте [Nb\kbt возвращает значение ДА, в противном случае он отказывается участвовать в протоколе.
Отметим, что ни одно сообщение в протоколе Ву-Лама (протокол 11.2) не является секретным, поэтому нет никакой необходимости обеспечивать секретность какого бы то ни было протокольного сообщения. Единственной целью криптографической защиты в этом протоколе является защита целостности данных и идентификация источника. Таким образом, уточненная спецификация протокола лишь описывает однонаправленное преобразование.
Покажем, что ни одна из атак на исходный протокол Ву-Лама и его "исправленные" варианты, описанные в разделе 11.7, не опасна для уточненной версии.
