Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
2.6.4.1 Протокол "оклик-отзыв" (Нидхема-Шредера)
Протокол 2.4 использует механизм "оклик-отзыв", с помощью которого Алиса может проверить новизну сеансового ключа. Пока будем называть его протоколом "оклик-отзыв" (вскоре мы изменим это название).
В этом протоколе Боб также создает одноразовое случайное число Nb, однако оно не отсылается Тренту, поскольку в рамках этого протокола Боб с Трентом непосредственно не контактируют. Вместо этого Боб отсылает случайное число Nb Алисе, а затем получает число Nb — 1- Если Алису удовлетворяет сеансовый ключ М, она применяет его к числу Nb, чтобы Боб, в свою очередь, убедился в новизне сеансового ключа. Таким образом, устанавливается обоюдная уверенность в качестве сеансового ключа.
Протокол "оклик-отзыв", сформулированный выше, вероятно, является самым знаменитым протоколом аутентификации и установления ключа. Именно в таком виде его сформулировали Нидхем и Шредер в 1978 г. [213]. В дальнейшем мы будем называть его протоколом Нидхема-Шредера для аутентификации с симметричным ключом (Needham-Schroeder Symmetric-key Authentication Protocol). Этот протокол стал основой для целого класса подобных протоколов.
2.6.4.2 Атака на протокол Нидхема-Шредера для аутентификации с симметричным ключом
К сожалению, протокол Нидхема-Шредера уязвим для атаки, изобретенной Деннингом (Denning) и Сакко (Sacco) в 1981 г. [94]. В ходе этой атаки Злоумышленник перехватывает сообщения, которые присылаются Алисе и отсылаются ею в пунктах 3, 4 и 5, и заменяет их своими вариантами.
В ходе этой атаки Злоумышленник активизируется на третьем этапе, перехватывая сообщение, направленное Алисой Бобу. Он полностью блокирует канал
Лпава 2. Борьба между защитой и нападением
77
Протокол 2.4. Оклик-отзыв
ИСХОДНЫЕ УСЛОВИЯ:
Алиса и Трент имеют общий ключ Кат', Боб и Трент имеют общий ключ Квт-
ЦЕЛЬ: Алиса и Боб желают создать новый общий секретный ключ К.
Алиса
Трент
Боб
1
2
3
4
5
1. Алиса генерирует случайное число Na и посылает Тренту сообщение: Алиса, Боб, Na-
2. Трент генерирует случайный ключ К и посылает Алисе следующую информацию: {NA, К,Боб, {К,Алиса}квт}кАТ-
3. Алиса расшифровывает сообщение {Na,K,So6, {К,Алиса}квт}кАТ, ПР°" веряет число Na, устанавливает личность Боба и посылает ему информацию: Трент, {К,Алиса}Кдт.
4. Боб расшифровывает сообщение, устанавливает личность Алисы и посылает ей сообщение {Привет, Алиса, я — Боб\, Nb}k-
5. Алиса посылает Бобу сообщение: {Я —Алиса). Nb — 1}к-
связи Алисы и заменяет его содержание материалом старого сеанса между Алисой и Бобом: {К',Алиса}Квт. Исходя из предположения об уязвимости старого сеансового ключа, Злоумышленник может узнать значение К' и начать атаку, вступив в контакт с Бобом под маской Алисы.
Использование старого сеансового ключа — лишь одна из опасностей, порождаемых этой атакой. Другая угроза заключается в том, что Злоумышленник успешно разрушает один из основных механизмов аутентификации. В чем заклю-
78
Часть I. Введение
Атака 2.2. Атака на протокол Нидхема-Шредера для аутентификации с симметричным ключом
РЕЗУЛЬТАТ АТАКИ:
Боб думает, что имеет общий с Алисой новый сеансовый ключ, но на самом деле ключ является старым и известен Злоумышленнику.
Алиса Трент Боб
1
2 3'
3 Злоумышленник
4
5
1. Алиса генерирует случайное число Na и посылает Тренту сообщение: Алиса, Боб, Na.
2. Трент генерирует случайный ключ К и посылает Алисе следующую информацию: {NA, К,Боб, {К,Алиса}Квт}кАТ.
3. Алиса расшифровывает сообщение {Na,K,Eo6,{К,Алиса}квт}кАТ, ПР°~ веряет число Na, устанавливает личность Злоумышленника ("Боба") и посылает ему информацию: Трент, {К, Алиса} кВТ-
3'. Злоумышленник ("Алиса") отсылает Бобу сообщение {К', Алиса}кВт-
4. Боб расшифровывает сообщение, устанавливает личность Алисы и посылает ей сообщение {Я — Боб\ Nb}k>-
5. Злоумышленник ("Алиса") посылает Бобу сообщение: {Я—Алиса\ NB - 1}к:
чается этот механизм, мы укажем в разделе 11.2.2, а способ его преодоления будет описан в разделе 11.7.1.
Глава 2. Борьба между защитой и нападением
79
2.6.5 Протокол с аутентификацией сущности
Механизм "оклика-отзыва", используемый в протоколе Нидхема-Шредера (связь между Алисой и Трентом), обеспечивает так называемую аутентификацию сущности (entity authentication). Подобно аутентификации сообщения, аутентификация сущности обеспечивается с помощью проверки некоей криптографической операции. Эта проверка выполняется верифицирующим пользователем (verification principal). Разница между этими двумя видами аутентификации заключается в том, что во втором случае демонстрируется существование доказывающего пользователя (proving principal). Это существование считается подтвержденным, если доказывающий пользователь выполнил некую криптографическую операцию после события, которое верифицирующий пользователь считает последним. На втором этапе протокола Нидхема-Шредера, получив сообщение от Трента, Алиса расшифровывает одноразовое случайное число Na, сгенерированное ею на первом этапе. Это убеждает ее в том, что Трент выполнил шифрование только после получения числа Na от Алисы (поскольку Алиса и Трент используют общий ключ). Таким образом, Алиса знает, что Трент существовал после этого события. В этом и заключается аутентификация существования Трента по отношению к Алисе.
