Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
Во-первых, атака с помощью параллельных сеансов (атака 11.5) больше невозможна. Чтобы убедиться в этом, предположим, что Злоумышленник посылает Бобу сообщение \Nb\k на параллельных этапах 3 и 3'.
Глава 17. Формальные методы анализа протоколов аутентификации
643
3. Злоумышленник ("Алиса") —» Бобу: Wb]kmt-3'. Злоумышленник —»Бобу: [Nb\kmt-
Предположим также, что Боб не проверяет эти сообщения (поскольку для них не предусмотрено никаких проверок) и просто пересылает их на параллельных этапах 4 и 4'.
4. Боб-* Тренту: [Алиса, NB,[NB]K .
L J Кдт
4'. Боб —* Тренту: [Злоумышленник, N'b,[Nb\k\
L J Кдт
Однако Трент обнаруживает на этих двух этапах две ошибки. Первая ошибка возникает при верификации на этапе 4: Трент использует для верификации сообщения [Nb]kmt ключ Кат, и на этом выполнение протокола прекращается. Вторая ошибка обнаруживается при верификации сообщения на этапе 4': Трент приходит к выводу, что два однонаправленных преобразования используют разные случайные числа, а значит, выполнение протокола также необходимо прекратить (в противном случае неясно, какое из этих двух чисел Трент должен вернуть Бобу).
Кроме того, очевидно, что атака с помощью отражения (атака 11.6) также больше невозможна, поскольку если Злоумышленник отражает сообщение, полученное на этапе 4, в виде сообщения на этапе 5, то процедура верификации, выполняемая Бобом на этапе 6, определенно вернет значение НЕТ.
Теперь ясно, что основным недостатком исходного протокола Ву-Лама было отсутствие криптографических операций.
17.2.3.3 Протокол аутентификации с открытым ключом Нидхема-Шредера
В заключение рассмотрим уточненную спецификацию протокола аутентификации с открытым ключом Нидхема-Шредера.
Как указано в разделе 2.6.6.3, протокол аутентификации с открытым ключом Нидхема-Шредера можно разбить на три этапа.
Протокол 17.3. Протокол аутентификации с открытым ключом Нидхема-Шредера
ПРЕДВАРИТЕЛЬНЫЕ УСЛОВИЯ И ЦЕЛЬ: те же, что и в протоколе 2.5.
1. Алиса —» Бобу: {Na, Алиса}Кд.
2. Боб -* Алисе: {Na,Nb}Ka.
3. Алиса —* Бобу: {Nb}k ¦
Здесь {.. -}яд и {- - -}кв ~~ сообщения, зашифрованные с помощью открытых ключей Алиса и Боба. Следовательно, они могут быть расшифрованы только ими.
644
Часть V. Методы формального доказательства стойкости
Таким образом, получив сообщение на этапе 2, Алиса должна верить, что только Боб мог расшифровать сообщение, полученное им на этапе 1, и вернуть ей случайное число NA. Аналогично, получив сообщение на этапе 3, Боб должен верить, что только Алиса могла расшифровать послание, полученное ею на этапе 2, и вернуть ему случайное число NB- Таким образом, вполне естественно ожидать, что после выполнения протокола обе стороны идентифицируют друг друга.
Однако атака Лоу (атака 2.3) опровергает эти ожидания. Учитывая аргументы против использования механизма шифрования-расшифровки в протоколах аутентификации, изложенные в разделе 17.2.1, можно рассмотреть атаку на исходный вариант протокола Нидхема-Шредера под новым углом зрения: она становится возможной из-за неправильного применения криптографических операций. Атака станет невозможной, если спецификацию протокола уточнить следующим образом.
Протокол 17.4. Уточненная спецификация протокола аутентификации с открытым ключом Нидхема-Шредера
В уточненной спецификации [NAiAjaica]K — это сообщение, для верификации которого необходимо использовать открытый ключ Алисы Кд. Следовательно, преобразование [Na, Алиса]Ка можно считать подписью Алисы. Итак, сообщение на этапе 1 представляет собой одноразовое случайное число, сгенерированное и подписанное Алисой, а затем зашифрованное с помощью открытого ключа Боба. Аналогично сообщение на этапе 2 сначала подписано Бобом, а затем зашифровано с помощью открытого ключа Алисы.
Поскольку второе сообщение подписано Бобом, атака Лоу на уточненную версию протокола становится невозможной. Злоумышленник может запустить выполнение протокола связи с Бобом, маскируясь Алисой и используя ее подпись (Алиса сама посылает Злоумышленнику свою подпись, а он может расшифровывать и зашифровывать ее с помощью открытого ключа Боба). Однако теперь Злоумышленник не может пересылать Алисе ответы Боба, как он это делал в атаке на сходный вариант протокола, поскольку Алиса заметит ошибку при верификации подписи Злоумышленника.
ПРЕДВАРИТЕЛЬНЫЕ УСЛОВИЯ И ЦЕЛЬ: те же, что и в протоколе 2.5.
Глава 17. Формальные методы анализа протоколов аутентификации
645
Несмотря на то что в разделе 2.6.6.4 мы предложили способы защиты протокола Нидхема-Шредера от атаки Лоу путем добавления в зашифрованные сообщения имен общающихся пользователей, этот прием был не совсем корректным. Действительно, если алгоритм шифрования является уязвимым (см. раздел 14.5.3), то нет гарантии, что пользователь, выполняющий расшифровку, будет уверен в правильности имени, указанного в сообщении. Очевидно, что для окончательного исправления протокола необходимо использовать корректные криптографические операции, а спецификацию протокола следует уточнить.
Спецификацию протокола аутентификации с открытым ключом Нидхема-Шредера можно уточнить иначе — с помощью метода "зашифруй и подпиши" (протокол 17.5).
