Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
Протоколы аутентификации
119
информацию, хранящуюся в базе данных, формирует предполагаемый ответ и сравнивает его с данными, полученными от пользователя.
Строгая аутентификация,
основанная на асимметричных алгоритмах
Алгоритмы с открытыми ключами также могут использоваться в протоколах строгой аутентификации. В этом случае доказывающий может продемонстрировать знание секретного ключа одним из следующих способов:
• расшифровать запрос, зашифрованный на открытом ключе;
• подписать запрос проверяющего.
Пара ключей, необходимая для аутентификации, по соображениям безопасности не должна использоваться для других целей (например, для шифрования). Здесь следует предостеречь читателей - выбранная система с открытым ключом должна быть устойчивой к атакам с выборкой зашифрованного текста далее в том случае, если нарушитель попытается получить критичную информацию, выдав себя за проверяющего и действуя от его имени.
Аутентификация с использованием асимметричных алгоритмов шифрования
В качестве примера протокола, построенного на использовании асимметричного шифрования и аутеитификаторов, молено привести следующий протокол аутентификации:
А<-В: h(r), В, РА(г, В) А—В: г
Участник В выбирает случайным образом г и вычисляет значение х = h(r) (значение демонстрирует знание г без раскрытия самого г), далее вычисляется значение е = РА(г, В). Под РА подразумевается алгоритм асимметричного шифрования (например, RSA), а под h - хэш-функция. Участник А расшифровывает е и получает значения г1 и В1, а также вычисляет х1= h(r1). После этого производится ряд сравнений, доказывающих, что х = х1 и что полученный идентификатор В1 действительно указывает на участника В. В случае успешного проведения сравнения участник А посылает г. Получив его, участник В проверяет, то ли это значение, которое он отправил в первом сообщении.
В качестве следующего примера приведем модифицированный протокол Нидхэма и Шредера, основанный на асимметричном шифровании. Достаточно подробно данный протокол описывается в разделе, посвященном распределению ключевой информации, поскольку основной вариант
120
Аспекты создания и применения криптографических протоколов
протокола используется для аутентификационного обмена ключевой информацией. Рассматривая протокол Нидхэма и Шредера, использующийся только для аутентификации, будем подразумевать под Рв асимметричное шифрование участником В. Протокол имеет следующую структуру:
A-B: Pb(T17A) A-B: Pa(T21T1) A-B: г2
Аутентификация, основанная на использовании цифровой подписи
Аутентификация, специфицированная в рекомендациях Х.509, основана на использовании цифровой подписи, меток времени и случайных чисел. Поскольку она относится к разряду аутентификационного ключевого обмена, то о ней рассказывается в разделе, посвященном распределению ключевой информации.
Для описания примеров введем следующие обозначения:
• гА и tA - случайное число и временная метка соответственно;
• SA - подпись, сгенерированная участником А;
• certA- сертификат открытого ключа участника А.
В случае, если участники изначально имеют аутентичные открытые полученные друг от друга ключи, сертификатом можно и не пользоваться, в противном случае они служат для подтверждения подлинности открытых ключей.
В качестве примеров приведем следующие протоколы аутентификации:
1. Односторонняя аутентификация с применением меток времени: А—В: certA, tA, В, SA(tA, В)
После принятия данного сообщения В проверяет действительность метки времени, указанный идентификатор и (используя открытый ключ из сертификата) корректность подписи.
2. Односторонняя аутентификация с использованием случайных чисел:
А—В: гв
А—В: certA, гА, В, SA(rA, гв, В)
Участник В проверяет корректность подписи и адресата сообщения. Случайное число гА используется для предотвращения атак с выборкой открытого текста.
3. Двусторонняя аутентификация с использованием случайных чисел:
A-B: гв
А—В: certA, гА, В, SA(rA, rB, В) А—В: certB, A, SB(rB, гА, А)
Протоколы аутентификации_121
2.2.4. Протоколы аутентификации,
обладающие свойством доказательства с нулевым знанием
Одна из уязвимостей протоколов простой аутентификации заключается в том, что после того, как доказывающий передаст проверяющему свой пароль, проверяющий может, используя данный пароль, выдать себя за проверяемого. Немногим лучше обстоит дело с протоколами строгой аутентификации. Дело в том, что А, отвечая на запросы В, обязан продемонстрировать знание секретного ключа, пусть даже и одноразово; при этом передаваемая информация не может быть напрямую использована В. Тем не менее некоторая ее часть поможет В получить дополнительную информацию о секрете А. Например, В имеет возможность так сформировать запросы, чтобы передаваемые ответы анализировались на предмет содержания дополнительной информации.
Протоколы доказательства с нулевым знанием были разработаны специально для решения данной проблемы. Этой цели можно добиться при помощи демонстрации знания секрета, однако проверяющий должен быть лишен возможности получать дополнительную информацию о секрете доказывающего. Если сформулировать эту мысль в более строгой форме, то протоколы доказательства с нулевым знанием (далее - ZK-протоколы) позволяют установить истинность утверждения и при этом не передавать какой-либо дополнительной информации о самом утверждении.
