Научная литература
booksshare.net -> Добавить материал -> Криптография -> Венбо Мао -> "Современная криптография" -> 263

Современная криптография - Венбо Мао

Венбо Мао Современная криптография. Под редакцией Клюшиной Д.А. — М. : Издательский дом Вильямс, 2005. — 768 c.
ISBN 5-8459-0847-7
Скачать (прямая ссылка): sovremennaya_kriptografiya.djvu
Предыдущая << 1 .. 257 258 259 260 261 262 < 263 > 264 265 266 267 268 269 .. 311 >> Следующая

Будем считать, что t-й запрос Злоумышленника посылается оракулу в момент времени т = т% ? К. Кроме того, потребуем, чтобы при t < и выполнялось неравенство т% < ти.
17.3.2 Цель взаимной аутентификации: согласованные диалоги
Белларе и Роджуэй указали, что целью взаимной аутентификации сущностей являются согласованные диалоги (matching conversations). (Обратите внимание на множественное число.)
650
Часть V. Методы формального доказательства стойкости
Диалог оракула Г[?. представляет собой последовательность упорядоченных во времени сообщений, отсылаемых им в сеть, и получаемых на них ответов. Пусть ту < тг < • • • < tr (где R — некоторое положительное целое число) — моменты времени, в которые оракул Г]? - посылает сообщение. Диалог можно обозначить следующим образом.
conv = (n, mi, mi), (т2, m2, т'2),..., (tr, mR, m'R).
Эта запись означает, что в момент ti оракул Yltj получает запрос mi и посылает в ответ сообщение т'х. Затем в момент т2 > т\ оракул получает запрос т2 и посылает в ответ сообщение т'2 и так далее, пока в момент tr он не получит запрос mR и пошлет в ответ сообщение m'R.
Напомним, что в модели Долева-Яо оракул Yltj любой запрос должен счи-1 тать сообщением от Злоумышленника, пока в некий момент тд он не примет положительное решение. Удобно предположить, что диалог начинает Злоумышленник. Итак, если mi = "", будем называть оракула Yltj инициатором диалога, в противном случае — ответчиком.
Пусть
conv = (т0,"", mi), (т2, mi,m2), (т4, m'2, m3),..., (тг*-2,™t-u m«)
обозначает диалог оракула Yltj- Будем говорить, что оракул ведет диалог conv', согласованный с диалогом conv, если существует последовательность моментов времени то < 71 < т2 < • • - < tr, такая что
conv = (71, mi, mi), (r3, m2, m'2), (т5, m3, m3),..., (r2t-2, mt, m?),
где строка m't означает "нет сообщений".
Если оракулы Yltj и Ilj-1 всегда ведут согласованные диалоги, то Злоумышленник не в состоянии организовать опасную атаку и вынужден играть роль безвредного противника.
Теперь мы готовы сформулировать понятие стойкости протокола взаимной аутентификации сущностей.
Определение 17.1. Будем говорить, что протокол ГШ* j {А В}) является стойким протоколом аутентификации, выполняемым пользователями А и В, если оба оракула Y[A в и Пв а принимают положительное решение тогда и только тогда, когда они ведут согласованные диалоги, причем вероятность противоположного события пренебрежимо мала.
Если протокол стоек, то из существования согласованных диалогов непосредственно следуют положительные решения оракулов. Доказать обратное утверждение, т.е. что из положительных решений следует существование согласованных
Глава 17. Формальные методы анализа протоколов аутентификации
651
диалогов, намного сложнее. Следовательно, целью атаки на протокол является получение положительных решений, когда согласованных диалогов не существует. Таким образом, более корректным является следующее определение стойкости протокола.
Определение 17.2. Будем говорить, что протокол \~\(1к, {А, В}) является стойким протоколом аутентификации, выполняемым полъзоватечями А и В, если вероятность выигрыша Злоумышленника пренебрежимо мала. Здесь выигрыш Злоумышленника означает, что оба оракула Т[Д в и Т[в А принимают положительное решение, хотя между ними нет согласованных диалогов.
17.3.3 Протокол MAPI и доказательство его стойкости
Белларе и Роджуэй продемонстрировали формальное доказательство простого протокола взаимной аутентификации MAPI ("mutual authentication protocol one").
Протокол 17.6. Протокол MAPI
ПРЕДУСЛОВИЕ:
Алиса (А) и Боб (В) обладают общим секретным симметричным ключом К, имеющим размер к; Дд — одноразовое случайное число Алисы,
Rb — одноразовое случайное число Боба, причем оба числа имеют длину к.
[х]К — пара (ж, prf к(х)), где ж € {0,1}*,
prf^ : {0,1}* > {0,l}fc — псевдослучайная функция, снабженная ключом К.
А В
A\\RA
[В || А || Дд || RB] И II Ык
Этот протокол начинается с того, что Алиса посылает Бобу сообщение А || Дд, где Дд — случайное число Алисы, имеющее длину к. Боб отвечает, генерируя случайный оклик Rb длины к и отсылая обратно сообщение [В \\ А || Дд || Rb]k-Алиса проверяет корректность этого сообщения. Если сообщение имеет правильный формат и метку, Алиса отсылает Бобу сообщение [А || Rb]k и аутентифици-рует его. Затем Боб проверяет корректность сообщения Алисы. Если ее сообщение имеет правильный формат и метку, он, в свою очередь, аутентифицирует Алису.
652
Часть V. Методы формального доказательства стойкости
Если между Алисой и Бобом вклинивается безвредный противник, то в моменты времени то < т\ < т2 < т3 Алиса принимает диалоги
convA = (то,"", Л || RA), (т2, [В || А \\ RA || Rb]k, [А \\ Rb]k),
а Боб — диалоги
convB = (п,А || RA, [В || А || RA || RB]k), (т3, [А || RB]K, "сообщений нет").
Очевидно, что диалоги conv а и convB являются согласованными.
Для доказательства стойкости протокола MAPI к любой полиномиально огра-^ ничейной атаке Белларе и Роджуэй проанализировали два эксперимента. В первом, эксперименте функция prfK является абсолютно случайной. Иначе говоря, оракулы MAPI а в и МАР11В А одновременно распоряжаются функцией рггк. Когда| они применяют ее к аргументу х, результатом prf к(х) является строка, равномер* но распределенная по множеству {0,1}к. Разумеется, необходимо признать, что, в реальном мире не существует способа реализации такой функции. Во втором' эксперименте протокол MAPI реализуется с помощью семейства псевдослучай^ ных функций, которые применяются на практике.
Предыдущая << 1 .. 257 258 259 260 261 262 < 263 > 264 265 266 267 268 269 .. 311 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed