Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
Чтобы ослабить эффект от словарной атаки, каждый пароль перед применением односторонней функции может быть расширен с помощью случайной строки. Оба пароля - хэшироваиный и дополненный - в произвольной последовательности записываются в файл паролей. Когда пользователь вводит пароль, система генерирует случайную последовательность и применяет к введенному паролю и случайной последовательности одностороннюю функцию. Проведение атаки методом полного перебора затруднится вследствие увеличения объема вычислений (например, если случайная последовательность состоит из t символов, то сложность перебора увеличится в 21), а также вследствие необходимости привлечения дополнительных ресурсов для проведения атак данного типа. Заметим, что при помощи случайной последовательности два пользователя, выбрав одинаковые пароли, будут иметь различные записи в файлах паролей. В таких системах в качестве случайной последовательности может использоваться идентификатор пользователя.
Другим вариантом организации парольных схем является использование целых фраз. Хотя обладающая смыслом фраза по своей сути не может иметь случайный характер, тем не менее энтропия такого пароля остается на достаточно высоком уровне вследствие того, что фразу легче запомнить, чем пароль, имеющий случайный набор символов, вот почему в подобной записи можно использовать гораздо большее количество символов.
112_Аспекты создания и применения криптографических протоколов
Пример
В качестве примера простой аутентификации рассмотрим организацию парольной защиты в операционной системе (ОС) Windows NT. Прежде чем пользователь получит доступ к некоторым ресурсам системы, он должен пройти через процедуру входа в систему, при этом подсистема безопасности должна распознать его по имени и проверить подлинность запроса по паролю. Пароль пользователя хранится в базе данных в двух вариантах -в виде, необходимом для проведения аутентификации между компьютерами, работающими под управлением ОС Windows NT (NT hash), и в виде, необходимом для аутентификации между компьютерами, работающими под управлением ОС Windows 95 или Windows for WorkGroups (Lan manager hash). Для формирования NT hash используется алгоритм MD 4. Для формирования Lan manager hash все алфавитные символы исходной строки пароля приводятся к верхнему регистру. Каждая из двух половин 14-байтного символьного пароля обрабатывается независимо от другой. Если длина пароля меньше 14 символов, то вторая половина заполняется нулями. На основании этих двух 7-байтных половин формируется ключ для шифрования по DES некоторого 64-битного числа. В результате получаются две половины 16-байтного хэшированного пароля.
Схемы одноразовых паролей
Применение схем одноразовых паролей явилось заметным шагом вперед в использовании простой аутентификации. Дело в том, что при фиксированном (постоянном) наборе символов нарушитель, его перехвативший, может произвести повторную передачу с целью выдачи себя за легального пользователя. Частным решением этой проблемы как раз и является применение одноразовых паролей: каждый пароль в данном случае используется только один раз. На практике требуются следующие схемы одноразовых паролей:
• разделяемый список одноразовых паролей. Пользователь и проверяющий используют последовательность или набор секретных паролей, где каждый подбор употребляется только один раз. Данный список должен быть заранее распределен между сторонами аутентификаци-онного обмена. Вариантом данного метода является использование таблицы запросов/ответов, в которой содержатся запросы и ответы, использующиеся сторонами для проведения аутентификации, причем каждая пара должна применяться только один раз;
• последовательность преобразуемых одноразовых паролей. Здесь изначально распределенным является только один пароль. В ходе очередной
Протоколы аутентификации
113
сессии аутентификации пользователь создает и передает пароль именно для данной сессии, зашифрованный на секретном ключе, полученном из пароля предыдущей сессии; • последовательности паролей, основанные на односторонней функции. Суть данного метода составляет последовательное использование односторонней функции (схема Лампорта, представленная ниже). Этот метод с точки зрения безопасности предпочтительней, чем метод последовательно преобразуемых паролей.
В схеме, предложенной Лампортом, пользователи начинают с разделения секрета w. Односторонняя функция H применяется для того, чтобы определить последовательность паролей: w, H(w), H(H(w)),H'(w). Пароль, который будет использоваться в i-й сессии аутентификации, равен Wj = Нм(>у), а количество сессий, для которых назначается начальный секрет w, обозначим через t (на практике обычно t = 100 или 1000). Пользователь в ходе i-й сессии аутентификации (значение предыдущей сессии wM сохраняется проверяющим) передает щ, а проверяющий производит сравнение H(W1) = wM, и при совпадении идентичность пользователя принимается.
2,2.3. Строгая аутентификация Общие сведения
Идея строгой аутентификации, реализованная в криптографических протоколах, заключается в том, что сторона доказывает свою идентичность, демонстрируя знание некоторого секрета (например, этот секрет должен быть предварительно распределен безопасным способом между сторонами аутентификационного обмена) при помощи последовательности запросов и ответов с использованием криптографических методов и средств. Существенным здесь является тот факт, что демонстрируется только знание секрета, но сам секрет в ходе аутентификационного обмена не раскрывается. Это обеспечивается посредством ответов на различные запросы, причем результирующий запрос зависит только от пользовательского секрета и начального запроса, который обычно представляет произвольно выбранное в начале протокола большое число. Во многих случаях строгая аутентификация заключается в том, что каждый пользователь идентифицируется по признаку владения своим секретным ключом. Другой пользователь имеет возможность определить, владеет ли его партнер по связи секретным ключом и может ли использовать его в качестве подтверждения того, что его партнер по связи действительно является предполагаемым пользователем.
