Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
2.6.2.4 Еще одна атака
Приведем пример атаки, в которой вообще не используется подмена адресата. Вместо этого Злоумышленник может изменить сообщение, направленное Трентом Алисе (вторая строка протокола "Алиса — Бобу").
2. Злоумышленник ("Трент") — Алисе: {К'}кАТ-> - - ¦
Здесь К' — это сеансовый ключ, переданный в предыдущем (корректном) протоколе связи между Алисой и Злоумышленником, в ходе которого Злоумышленник записал зашифрованное сообщение {К'}Кат. Остальная часть атаки аналогична атаке 2.1: Злоумышленник должен перехватить последующее сообщение, направленное Алисой Бобу, и подтвердить его получение, маскируясь под Боба.
Злоумышленник ("Боб") — Алисе: {Привет, Алиса, я — Боб!}К1.
Тот факт, что исправленный вариант протокола "Сеансовый ключ от Трента" можно атаковать, не подменяя имени Боба явным образом, демонстрирует, что защита информации, идентифицирующей имя Боба в первом сообщении, недостаточно сильна. Кроме того, в ходе атаки, описанной выше, предполагалось, что Злоумышленник может скрытно изменять протокольные сообщения. Таким образом, протокол должен содержать средства безопасности, защищающие сообщения от тайного вмешательства.
Это приводит нас к следующей идее.
72
Часть I. Введение
2.6.3 Протокол с аутентификацией сообщений
До сих пор Злоумышленник всегда мог скрытно фальсифицировать протокольные сообщения. Действительно ни один из протоколов, описанных выше, не обеспечивал криптографической защиты сообщений от искажений. Следовательно, для исправления таких протоколов следует предусмотреть средства, позволяющие законным пользователям, владеющими правильными криптографическими ключами, обнаруживать несанкционированное изменение любого протокольного сообщения. Такая защита называется аутентификацией сообщений (message authentication). (В некоторых учебниках это свойство называется целостностью данных (data integrity), однако в главе 11 мы будем различать эти понятия.)
2.6.3.1 Протокол "Аутентификация сообщений"
Как мы видели, злонамеренное изменение протокольных сообщений приводит к двум последствиям: сеансовый ключ либо разделяется между неправильными клиентами или вообще неверно устанавливается. Таким образом, необходимо предусмотреть аутентификацию сообщений, обеспечивающую связь между создаваемым сеансовым ключом и пользователями, вступающими в контакт. Это порождает новый протокол 2.3, в котором имена Алисы и Боба передаются Тренту в зашифрованном виде. Назовем этот протокол "Аутентификация сообщений".
Обратите особое внимание на часть спецификации, содержащую следующие инструкции.
3. Алиса расшифровывает сообщение {Боб, К}кАТ> устанавливает личность Боба...
4. Боб расшифровывает сообщение {Алиса, К}Квт, устанавливает личность Алисы...
Идентификация личности клиента представляет собой чрезвычайно важное различие между данным и предшествующими протоколами (т.е. протоколом "Сеансовый ключ от Трента" и его модификациями). Идентификация личности возможна лишь после правильной расшифровки соответствующего зашифрованного текста с помощью правильных криптографических ключей. Таким образом, криптографическая операция "расшифровка и проверка", выполняемая получателем, позволяет осуществить аутентификацию и убедиться, что сеансовый ключ установлен верно и предназначен для законных пользователей. Правильный результат расшифровки означает, что шифрованное сообщение не было фальсифицировано при передаче по сети. Таким образом, протокол "Аутентификация сообщений" должен предотвратить атаки, описанные выше.
Необходимо отметить, что криптографическая операция "расшифровка и проверка" (выполняемая получателем) описана не совсем точно. В главе 17 мы убедимся, что более точным было бы назвать ее "повторное шифрование и проверка"
Клава 2. Борьба между защитой и нападением
73
Протокол 2.3. Аутентификация сообщений ИСХОДНЫЕ УСЛОВИЯ:
Алиса и Трент имеют общий ключ К at', Боб и Трент имеют общий
ключ Kqt-
ЦЕЛЬ: Алиса и Боб желают создать новый общий секретный ключ К.
Алиса Трент Боб
1
2
3
4
1. Алиса посылает Тренту сообщение: Алиса, Боб.
2. Трент находит в базе данных ключи Кат и Квт, генерирует случайный ключ К и посылает Алисе следующую информацию: {Боб, К}кАТ, {Алиса,К}Кдт.
3. Алиса расшифровывает сообщение {Боб, К}кАТ' устанавливает личность Боба и посылает ему информацию: Трент, {Алиса, К}Кдт.
4. Боб расшифровывает сообщение {Алиса, К}Кдт, устанавливает личность Алисы и посылает Алисе сообщение {Привет, Алиса, я — Боб\}к-
(снова выполняемая получателем). Причина, по которой мы пользуемся не совсем корректным вариантом этой операции, весьма проста: на данном этапе мы предполагаем, что из всех криптографических операций читателю известны лишь "шифровка отправителем" и "расшифровка получателем".
Поскольку в ходе аутентификации сообщения мы пользуемся неправильной операцией, необходимо явно указать, какими дополнительными свойствами должен обладать алгоритм шифрования. Эти свойства перечислены ниже (нумерация продолжает нумерацию пунктов из перечня свойств "Идеальное шифрование {М}к" в разделе 2.2).
