Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
82
Часть I. Введение
ключ Kb вместе с именем Боба (чтобы предотвратить атаку, описанную в разделе 2.6.2). Ключ и номер зашифрованы с помощью секретного ключа Трента Kf1. Это сообщение представляет собой цифровую подпись Трента, которая должна убедить Алису, что сообщение, полученное ею на втором этапе, отправлено именно Трентом (Алиса должна верифицировать ее с помощью открытого ключа Трента). Затем Алиса генерирует одноразовое случайное число Na и посылает его Бобу вместе со своим именем (п. 3), зашифровывая сообщение с помощью открытого ключа Боба. Получив сообщение от Алисы, Боб расшифровывает его и получает число А^. Затем он запрашивает (п. 4) и получает (п. 5) аутентичную копию открытого ключа Алисы. После этого он возвращает Алисе число Na и свое собственное одноразовое случайное число Nb, зашифрованные с помощью открытого ключа Алисы (п. 6). Получив сообщение от Боба, Алиса убеждается, что она общается именно с Бобом, поскольку только Боб может расшифровать сообщение на этапе 3, содержащее число Na- Кроме того, Боб мог расшифровать это сообщение только после того, как Алиса его отослала (недавнее действие). Затем Алиса возвращает Бобу число Nb, зашифровав его с помощью открытого ключа Боба. Получив это сообщение от Алисы, Боб также убеждается, что он общается именно с ней, поскольку только Алиса могла расшифровать сообщение на этапе 6, содержащее число Nb (еще одно недавнее действие). Таким образом, в результате успешного выполнения протокола возникают два случайных числа Na и Nb, известные только Алисе и Бобу, причем, поскольку эти числа каждый раз генерируются заново, свойство новизны гарантируется. Кроме того, каждый клиент должен быть убежден в полной случайности этих чисел, поскольку сам генерирует одно из этих чисел.
Нидхем и Шредер предложили, чтобы числа и Nb, принадлежащие широком}' пространству, использовались для инициализации общего секретного ключа ("в качестве основы для последовательных блоков шифрования") [213], обеспечивающего секретную связь между Алисой и Бобом.
Как указали Деннинг и Сакко, этот протокол не гарантирует, что открытые ключи, полученные клиентами, являются новыми, а не повторениями старых, возможно, скомпрометированных ключей [94]. Эту проблему можно разрешить разными способами, например, с помощью включения меток времени в сообщения, содержащие ключи1. В дальнейшем будем предполагать, что открытые ключи, полученные ими от Трента, являются качественными и новыми.
'Этот способ предложен Деннингом и Сакко в работе [94]. Однако он имеет один изъян. Причину этого недостатка и способ его исправления мы рассмотрим в разделе 11.7.7.
Клава 2. Борьба между защитой и нападением
83
2.6.6.3 Атака на протокол Нидхема-Шредера для аутентификации с открытым ключом
Атака на протокол Нидхема-Шредера для аутентификации с открытым ключом была изобретена Лоу (Lowe) [180].
Лоу заметил, что этот протокол можно разделить на две части, логически не связанные между собой: п. 1, 2, 4 и 5 связаны с получением открытого ключа, а п. 3, 6 и 7 относятся к аутентификации Алисы и Боба. Следовательно, можно предположить, что каждый клиент изначально имеет аутентифицированные копии открытых ключей своего визави, и сосредоточиться на следующих этапах (здесь перечисляются только сообщения, упоминаемые в протоколе 2.5).
3. Алиса —Бобу: {Na,Ahuco}kb.
6. Боб — Алисе: {Na,Nb}ka-
7. Алиса —Бобу: {Nb}kb-
Попробуем разобраться, как Злоумышленник может вмешаться в этот протокол. Будем предполагать, что Злоумышленник является законным пользователем системы, и остальные клиенты могут проводить с ним стандартные сеансы связи. Действительно атака 2.3, описанная ниже, начинается с того, что Алиса выходит на связь со Злоумышленником.
Эта атака использует два одновременных запуска протокола: в ходе первого выполнения протокола (п. 1.3, 1.6 и 1.7) Алиса проводит корректный сеанс связи со Злоумышленником; в ходе второго выполнения (п. 2.3, 2.6 и 2.7) протокола Злоумышленник имитирует Алису и проводит фальсифицированный сеанс связи с Бобом. На этапе 1.3 Алиса начинает устанавливать обычный сеанс связи со Злоумышленником, посылая ему одноразовое случайное число Na- На этапе 2.3 Злоумышленник выдает себя за Алису, чтобы установить фальсифицированный сеанс связи с Бобом. Для этого он посылает Бобу число Na, полученное от Алисы. На этапе 2.6 Боб отвечает, генерируя новое одноразовое число Nb и возвращая его Алисе вместе с ее числом Na- Злоумышленник перехватывает это сообщение, однако не может расшифровать его, так как оно зашифровано с помощью открытого ключа Алисы. Поэтому Злоумышленник на этапе 1.6 пересылает это сообщение Алисе. Обратите внимание на то, что это сообщение не вызывает у Алисы никаких подозрений, поскольку имеет ожидаемый вид. Алиса расшифровывает его, обнаруживает случайное число Nb и возвращает его Злоумышленнику на этапе 1.7 (зашифровав сообщение с помощью открытого ключа Злоумышленника). Теперь Злоумышленник может расшифровать сообщение, узнать число Nb и вернуть его Бобу в п. 2.7. На этом второе выполнение протокола завершается. Следовательно, Боб уверен, что Алиса правильно установила сеанс связи, и секретные числа Na и Nb известны только им.
