Научная литература
booksshare.net -> Добавить материал -> Криптография -> Венбо Мао -> "Современная криптография" -> 31

Современная криптография - Венбо Мао

Венбо Мао Современная криптография. Под редакцией Клюшиной Д.А. — М. : Издательский дом Вильямс, 2005. — 768 c.
ISBN 5-8459-0847-7
Скачать (прямая ссылка): sovremennaya_kriptografiya.djvu
Предыдущая << 1 .. 25 26 27 28 29 30 < 31 > 32 33 34 35 36 37 .. 311 >> Следующая

Решающий момент атаки состоит в том, что Злоумышленник может заставить Алису расшифровать число Nb, посланное Бобом. Будем говорить, что поль-
84
Часть I. Введение
зователь выступает оракулом (oracle) или предоставляет услуги оракула (oracle service), если он невольно выполняет некую криптографическую операцию в интересах взломщика. На протяжении книги мы опишем немало примеров, в которых используются оракулы, и в итоге разработаем способ, позволяющий подписывать криптографические алгоритмы и протоколы так, чтобы они оставались стойкими, даже если их пользователи предоставляют взломщикам услуги оракулов.
Представим себе последствия этой атаки. Злоумышленник может включить общие одноразовые случайные числа в последующее сообщение, предлагая сеансовый ключ, а Боб будет уверен, что автором этого сообщения является Алиса. Если Боб — это банк, то Злоумышленник, имитируя Алису, может послать сообщение, вроде следующего.
Злоумышленник ("Алиса") — Бобу:
{Na, Nв,"Переведите 1 ООО ООО долларов на счет Злоумышленника"} цБ.
2.6.6.4 Исправление
Предотвратить описанную выше атаку довольно легко, если на этапе 6 включить в сообщение имя отвечающего.
6. Боб — Алисе: {Боб, Na, ^в)ка-Тогда п. 2.6 будет выглядеть так. 2.6. Боб — Злоумышленнику ("Алисе"): {Боб,NA,Nb}ka-
Поскольку Алиса ожидает сообщение, содержащее имя Злоумышленника, он не сможет успешно ответить на него в п. 1.6 и заставить Алису выступить в роли оракула.
Это исправление представляет собой пример использования принципа разработки криптографических протоколов, предложенного Абади (Abadi) и Нидхе-мом [1]:
Если личность пользователя оказывает существенное влияние на смысл сообщения, следует явно указывать его имя.
Однако следует воздержаться от заявления, что мы разработали стойкий протокол. В разделе 17.2.1 описано еще несколько проблем, связанных с нежелательными свойствами этого протокола. Будем называть это свойство "аутентификацией сообщения с помощью расшифровки и проверки". (Мы уже упоминали о нем в разделе 2.6.3.1.) Это свойство присуще всем протоколам аутентификации, использующим криптографию с секретным или открытым ключом. (Это относится и к нашем}' "исправлению" протокола Нидхема-Шредера для аутентификации с открытым ключом, поэтому этот вариант нельзя считать корректным.) Методически правильные исправления протоколов аутентификации Нидхема-Шредера будут описаны в разделе 17.2.3.
Уязвимость протоколов аутентификации породила целую теорию разработки корректных протоколов. Эта тема рассматривается в главе 17.
Глава 2. Борьба между защитой и нападением
85
2.7 Резюме
Одни разрабатывают средства защиты, другие стремятся взломать их. В этом нет ничего необычного. Однако в данной главе мы выявили досадные недостатки протоколов аутентификации: они легко компрометируются.
Действительно, все сложные системы содержат ошибки, заложенные в них на этапе разработки. Эти системы можно разделить на две категории: враждебные и дружеские. Например, внимательный пользователь программного обеспечения, кишащего ошибками, может научиться обходить ловушки, чтобы избежать краха всей системы. Однако в системе защиты информации среда и некоторые пользователи всегда являются враждебными: единственная цель их существования — атака на систему. В такой системе ошибки проектирования создают возможности для взлома.
Мы использовали протоколы аутентификации для того, чтобы проиллюстрировать уязвимость систем безопасности. Хотя, как известно, слабость этих протоколов таится в их коммуникационной природе, мы рассмотрели их еще и потому, что они требуют применения относительно простых криптографических средств, доступных пониманию новичков. Следует помнить, что все системы защиты информации функционируют во враждебном окружении, и при их разработке следует проявлять повышенную осторожность.
Позднее мы еще вернемся к протоколам аутентификации для того, чтобы изучить их принципы и структуру, классифицировать атаки (глава 11), описать несколько протоколов, предназначенных для реальных приложений (глава 12) и разработать формальные подходы к проектированию корректных протоколов аутентификации (глава 17).
Упражнения
2.1. Какие действия может предпринимать активный взломщик?
2.2. В модели Долева-Яо Злоумышленник является очень сильным противником, поскольку он контролирует всю открытую сеть. Может ли он шифровать или дешифровать сообщения, не имея правильного ключа? Может ли он восстановить ключ шифрования ключей по зашифрованному сообщению? Может ли он предсказать одноразовое случайное число?
2.3. Какую роль играет Трент в протоколах создания аутентифицированного ключа?
2.4. Что такое долговременный ключ, ключ шифрования ключей, кратковременный ключ и сеансовый ключ?
2.5. Почему, несмотря на идеальное шифрование и идеальную аутентификацию сообщений, протоколы аутентификации остаются уязвимыми?
86
Часть I. Введение
2.6. Что такое одноразовое случайное число? Что такое метка времени? Какую роль они играют в протоколах аутентификации и протоколах создания аутен-тифицированного ключа?
Предыдущая << 1 .. 25 26 27 28 29 30 < 31 > 32 33 34 35 36 37 .. 311 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed