Научная литература
booksshare.net -> Добавить материал -> Криптография -> Венбо Мао -> "Современная криптография" -> 27

Современная криптография - Венбо Мао

Венбо Мао Современная криптография. Под редакцией Клюшиной Д.А. — М. : Издательский дом Вильямс, 2005. — 768 c.
ISBN 5-8459-0847-7
Скачать (прямая ссылка): sovremennaya_kriptografiya.djvu
Предыдущая << 1 .. 21 22 23 24 25 26 < 27 > 28 29 30 31 32 33 .. 311 >> Следующая

74
Часть I. Введение
Свойство 2.2. Идеальное шифрование {М}к (для аутентификации сообщений) Ш. Без ключа К, даже имея открытый текст М, невозможно изменить сообщение {М}к так, чтобы получатель не заметил этого при расшифровке.
Для того чтобы продемонстрировать важность данного ограничения, рассмотрим атаку на протокол "Аутентификация сообщений", предполагая, что идеальный алгоритм шифрования не обладает свойством III (т.е., что алгоритм шифрования обладает лишь свойствами идеальной секретности, перечисленными в разделе 2.2). Для простоты представим зашифрованные блоки
{Боб, ЩКат , {Алиса, ЩКвт
в виде
{Б°б)кАТ> {К)кАТ, {Ачиса}^, {К}Квт. Такое представление зашифрованных блоков позволяет разрушить криптографическую связь между пользователями и сеансовым ключом, несмотря на то, что алгоритм шифрования обладает свойствами идеальной секретности. Протокол "Аутентификация сообщений", использующий "идеальную" схему шифрования, должен содержать следующие строки.
2. Трент-Алисе: {Бо6}Кат, {К}Кат, {Алиса}Кдт, {К}Квт.
3. Алиса расшифровывает сообщения {Бо6}Кат и {К}кАТ> устанавливает личность Боба...
4. Боб расшифровывает сообщения {Алиса}Квт и {К}Квт, устанавливает личность Алисы...
Очевидно, что конфиденциальность сообщения ничем не гарантируется. Злоумышленнику достаточно просто наблюдать за обменом сообщениями между отправителями и получателями, чтобы определить, в каком месте зашифрованных сообщений {Боб}Кдт и {Алиса}Квт находится открытый текст. Следовательно, модифицированный протокол, по существу, совпадает с протоколом "Сеансовый ключ от Трента" и, как показано в разделе 2.6.2, может быть уязвим для атаки. Читатель может решить эту задачу в качестве самостоятельного упражнения.
2.6.3.2 Атака на протокол "Аутентификация сообщений"
Даже если алгоритм шифрования обладает возможностью аутентификации сообщений, протокол "Аутентификация сообщений" уязвим для атак. Проблема порождается качественной разницей между долговременными ключами для шифрования ключей, изначально распределенными между Трентом и клиентами, и сеансовыми ключами, генерируемыми для каждого выполнения протокола.
Во-первых, обратим внимание на то, что отношения между Трентом и каждым клиентом носят долговременный характер. Это значит, что ключи, распределенные между ним и его клиентами, являются долговременными. Как правило,
Глава 2. Борьба между защитой и нападением
75
создание ключа для связи между сервером аутентификации и клиентом — более сложный и дорогой процесс, чем генерация сеансового ключа для связи между двумя клиентами. (Он требует строгих процедур безопасности, а иногда и личной встречи.) К счастью, такие ключи обычно применяются в протоколах аутентификации, которые редко используют шифрование небольшого количества сообщений с малой избыточностью, и, следовательно, такие ключи предоставляют мало материала для криптоанализа. Таким образом, секретные ключи, разделенные между сервером аутентификации и его клиентами, можно долго использовать. Именно поэтому их называют долговременными.
С другой стороны, следует помнить о принципе управления ключом, описанном в разделе 2.5, который требует, чтобы сеансовый ключ использовался лишь на протяжении одного сеанса. Следовательно, протокол создания сеансовых ключей не должен генерировать повторяющиеся ключи. Однако к протоколу "Аутентификация сообщений" это не относится. Атака на этот протокол приводит к нарушению принципа управления сеансовым ключом. В ходе этой атаки Злоумышленнику достаточно сделать две вещи. Сначала он должен перехватить запрос Алисы (см. протокол 2.3).
1. Алиса — Злоумышленнику ("Тренту"): ... Затем нужно заменить сообщение во второй строке.
2. Злоумышленник ("Трент") — Алисе: {Боб, К'}Кат, {Алиса, К'}Кдт. Здесь два шифрованных блока, содержащих сообщение К', являются воспроизведениями (replay) старых сообщений, записанных Злоумышленником в ходе предыдущих сеансов протокола (нормальных контактов между Алисой и Бобом). Следовательно, эта атака заставит Алису и Боба повторно использовать старый сеансовый ключ К', чего делать не следовало. Обратите внимание на то, что, поскольку ключ К' уже однажды использовался, Злоумышленник может раскрыть его значение (либо вследствие нарушения принципов безопасности, либо в силу уязвимости сеансового ключа, о которой шла речь в разделе 2.5). Следовательно, злоумышленник может либо перехватить секретный сеанс связи между Алисой и Бобом, либо вступить в диалог с Алисой под маской Боба.
Атака такого рода называется атакой с повторной передачей сообщений (message replay attack).
2.6.4 Протокол "оклик-отзыв"
Существует несколько механизмов, позволяющих пользователю проверить, что протокольное сообщение не является воспроизведением старого сообщения. Эти механизмы будут рассмотрены в главе 11. Пока мы можем улучшить наш протокол с помощью хорошо известного метода "оклик-отзыв" (challenge-response). Иногда его называют также квитированием установления связи (handshake).
76
Часть I. Введение
С помощью этого метода в начале протокола Алиса генерирует новое случайное число Na и посылает его Тренту вместе с запросом на новый сеансовый ключ. Если в ответ она получит сеансовый ключ, связанный с числом Na, причем эти два куска криптографически связаны между собой и допускают аутентификацию (т.е. Алиса может верифицировать целостность зашифрованного сообщения, содержащего число Na), то Алиса может прийти к выводу, что данная криптографическая связь была образована Трентом, получившим число Na- Более того, поскольку Трент всегда вне подозрений (см. раздел 2.4), Алиса знает, что Трент всегда строго следует протоколу. Значит, Трент действительно создал новый сеансовый ключ после того, как получил от Алисы случайное число. Следовательно, сеансовый ключ является новым (или свежим, или текущим), т.е. не является повторением одного из старых ключей. Случайное число Na, созданное Алисой для реализации механизма "оклик-отзыв", называется одноразовым (попсе — a number used once) [61].
Предыдущая << 1 .. 21 22 23 24 25 26 < 27 > 28 29 30 31 32 33 .. 311 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed