Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
Однако Боб, участвующий в протоколе Нидхема-Шредера, не имеет никаких доказательств существования Трента.
Как правило, если проблема обнаружена, ее довольно просто разрешить: Трент должен доказать свое существование обоим клиентам. Это можно сделать, например, если Боб также пошлет Тренту свое одноразовое случайное число, которое Трент включит в свое ответное сообщение вместе с сеансовым ключом. Это приведет к увеличению количества сообщений, передаваемых в рамках протокола (дополнительное квитирование установления связи между Бобом и Трентом). Для того чтобы избежать возникновения дополнительных информационных потоков, Деннинг и Сакко предложили использовать метки времени (timestamps) [94].
2.6.S.1 Метки времени
Обозначим метку времени буквой Т. Деннинг и Сакко предложили следующий способ решения проблемы аутентификации существования. 1. Алиса — Тренту: Алиса, Боб.
1. Трент —Алисе: {Боб, К,Т, {Алиса,К,Т}квг}кАТ.
3. Алиса — Бобу: {Алиса, К, Т}квт-
4. ... То же, что и в протоколе Нидхема-Шредера.
5. ... То же, что и в протоколе Нидхема-Шредера.
80
Часть I. Введение
Получив протокольные сообщения от Трента, Алиса и Боб могут обнаружить, что их послания остались без ответа, проверив неравенство
{Время -Т\< Ati + At2.
Здесь Время означает локальное время получателя, Ati — интервал, представляющий допустимую разницу между временем Трента и локальным временем, At2 — ожидаемая временная задержка. Если часы всех клиентов сверены по эталону, то величина Ati, равная одной-двум минутам, вполне допустима. Поскольку величина Ati + At2 меньше длины интервала времени, прошедшего с момента последнего протокольного действия, этот метод предотвращает атаку с повторениями (replay attack), т.е. атаку 2.2. Поскольку метка времени Т зашифрована с помощью секретных ключей Кат и Квт, имитация Трента в идеальной схеме шифрования невозможна.
Нидхем и Шредер также рассматривали возможность применения меток времени, однако отвергли ее, поскольку для их использования необходим качественный эталон времени [212].
2.6.6 Протокол на основе криптосистем с открытым ключом
Последний протокол, который мы рассмотрим в этой главе, называется протоколом Нидхема-Шредера для аутентификации с открытым ключом (Needham-Schroeder Public-key Authentication Protocol) [213]. Этот протокол интересен по двум причинам, выходящим за рамки рассматриваемых тем. Во-первых, протокол позволяет получить первое представление о криптосистемах с открытым ключом. Во-вторых, он позволяет продемонстрировать изощренную атаку. Несмотря на то что протокол выглядит довольно просто, эта атака была изобретена лишь через семнадцать лет после его опубликования.
2.6.6.1 Криптосистемы с открытым ключом
Обозначим открытый ключ Алисы через К а, а соответствующий секретный ключ Алисы — через Кд1. Предполагается, что секретный ключ известен только Алисе. Открытый текст М, идеально зашифрованный с помощью ключа К а, обозначим символами
{ЩкА ¦
Предполагается, что расшифровка этого текста возможна только с помощью ключа Кд1. Поскольку этот ключ известен только Алисе, лишь она может расшифровать исходный текст М. Аналогично символами
Глава 2. Борьба между защитой и нападением
81
обозначается открытый текст М, идеально зашифрованный с помощью секретного ключа Яд1. Расшифровать его можно только с помощью открытого ключа К а, принадлежащего Алисе. Это значит, что зашифрованный текст {М}к-\ также
А
создан Алисой, поскольку для его шифрования необходим ключ, которым владеет только она. По этой причине зашифрованный текст {M}K-i называется цифровой подписью (digital signature) сообщения М, а его расшифровка с помощью ключа К а называется верификацией подписи Алисы на сообщении М.
2.6.6.2 Протокол Нидхема-Шредера для аутентификации с открытым ключом
Допустим, что Трент владеет открытыми ключами всех обслуживаемых им клиентов. Кроме того, каждый клиент имеет аутентифицированную копию открытого ключа Трента. Протокол 2.5 представляет собой протокол Нидхема-Шредера для аутентификации с открытым ключом.
Протокол 2.5. Протокол Нидхема-Шредера для аутентификации с открытым
ключом_
ИСХОДНЫЕ УСЛОВИЯ:
Алиса имеет открытый ключ К а, Боб имеет открытый ключ Кб, Трент
имеет открытый ключ Яг.
ЦЕЛЬ: Алиса и Боб желают создать новый общий секретный ключ.
1. Алиса — Тренту: Алиса, Боб.
2. Трент —Алисе: {Яд,Боб}K-i.
3. Алиса верифицирует подпись Трента на сообщении {Кв,Боб}к-1, генерирует одноразовое случайное число Na и посылает Бобу сообщение: Трент, {^А,Алиса}Кв.
4. Боб расшифровывает сообщение, устанавливает личность Алисы и посылает Тренту сообщение: {Боб, Алиса}.
5. Трент —Бобу: {КА,Алиса}к-1.
6. Боб верифицирует подпись Трента на сообщении {КА,Алиса}к-\, генерирует свое одноразовое случайное число Nb и посылает Алисе сообщение: {Na,Nb}ka.
7. Алиса расшифровывает сообщение и посылает Бобу информацию: {Nb}кв -
Инициатором протокола является Алиса, желающая установить сеанс связи с Бобом при посредничестве Трента. На первом этапе Алиса посылает сообщение Тренту, запрашивая открытый ключ Боба. На втором этапе Трент отсылает ей
