Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
• сначала ключ подписывается, затем зашифровывается неподписанный ключ на открытом ключе (данный подход является безопасным только при определенных обстоятельствах, о которых будет сказано позже);
• сначала ключ зашифровывается на открытом ключе, затем подписывается зашифрованный ключ (о уязвимостях данного подхода уже говорилось);
• использование симметричных алгоритмов в добавление к асимметричному шифрованию и ЭЦП (данный подход будет обсуждаться в рамках так называемых гибридных схем распределения ключей).
Далее в добавление к уже применяемым символам будем использовать следующие обозначения:
• SA(y) - генерация подписи на секретном ключе участника А;
• Рв(у) - зашифрование на открытом ключе участника В;
• К - сеансовый ключ.
136
Аспекты создания и применения криптографических протоколов
Зашифрование подписанного ключа
A-B: PB(k, tA) SA(B, к, tA))
Использовать метку времени (tA) необязательно, ее присутствие необходимо только для обеспечения своевременности передаваемой информации. Негативные моменты в применении данного подхода заключаются в следующем: если данные имеют большую длину, зашифрование на открытом ключе будет неэффективно с вычислительной точки зрения.
Независимое зашифрование и генерация подписи
Этот подход применяется в случае, если ЭЦП не позволяет злоумышленнику получить информацию об открытых данных, например, если генерация подписи применяется к хэш-коду открытых данных. Тем не менее криптоаналитик, вероятно, сможет получить открытую информацию (или часть открытой информации) на основе подписи (даже в случае использования хэш-функции). В общем случае данный подход может быть реализован передачей следующего сообщения:
A-B: PB(k, tA), SA(B, к, tA)
Подписание зашифрованного ключа
A-B: tA, РВ(А, k), SA(B, tA, РВ(А, к))
Зашифрование параметра А обеспечивает аутентификацию отправителя данного сообщения. В случае его отсутствия злоумышленник сможет от чужого имени послать данное сообщение В. Подобный подход, несмотря на некоторые уязвимости, получил широкое практическое распространение в связи с его использованием в рекомендациях Х.509 (раздел строгой аутентификации).
Эти рекомендации принадлежат к классу аутентификационного распределения ключей. Как уже говорилось, строгая аутентификация подразделяется на несколько типов: с передачей одного сообщения, с передачей двух сообщений и с передачей трех сообщений. Наиболее распространенной является аутентификация с обменом двумя сообщениями. В ходе работы данного варианта Х.509 протокола обеспечивается:
• идентификация А и гарантия того, что принятые В данные были действительно созданы;
• гарантия того, что полученные В данные были действительно предназначены для него;
• гарантия того, что принятые данные переданы в течение текущего сеанса обмена информацией и ранее не передавались;
• взаимное согласование и распределение выбранного ключа.
Протоколы распределения и управления ключевой информацией
137
Перед началом работы протокола каждая сторона должна предварительно выполнить процедуры выработки и распределения открытого и секретного ключа для шифрования и ЭЦП, а также процедуры сертификации открытых ключей. Протокол состоит из следующих шагов:
1. Участник А вырабатывает метку времени tA, случайное число гА, зашифрованную на открытом ключе участника В часть сеансового ключа kt, а также дополнительно может выбрать данные для проведения аутентификации источника сообщения datat. После чего оправляется следующее сообщение: А—В: certA, DA, SA(DA), где certA - сертификат открытых ключей А для зашифрования и генерации подписи, DA-(tA, гА, В, datalf PB(IC1)).
2. Участник В производит проверку certA (подпись центра сертификации, содержащиеся данные, дата и т.д.), из которого, в случае успешного прохождения проверок, выбирается открытый ключ для проверки подписи. В случае ее успешной проверки идентифицируются остальные параметры в сообщении (метки времени, случайное число и идентификатор получателя). Если все проверки закончились успешно, участник В отправляет следующее сообщение: A+-B: certB, DB, SB(DB)1 где DB= (tB, гв, А, гА, dataA, PA(k2).
3. Участник А производит аналогичные проверки, и в случае их успешного завершения считается, что аутентификация участника В прошла успешно.
Общий сеансовый ключ вырабатывается на основе секретных частей kt и k2 с использованием однонаправленных функций. Представленный оригинальный вариант протокола аутентификационного распределения ключей использует для проверки подписи и зашифрования один и тот же открытый ключ. Как уже отмечалось, с точки зрения безопасности такой подход содержит ряд уязвимостей, однако данный протокол может быть модифицирован для использования раздельных открытых ключей. В этом случае для зашифрования и проверки подписи в пересылаемые сообщения добавляются два сертификата вместо одного.
Соглашения о ключах, основанные на асимметричных алгоритмах
Наиболее распространенным механизмом распределения ключей, относящимся к соглашению о ключах, является протокол неаутентификаци-ониого распределения ключей Диффи-Хэлмана. Базовый вариант этого протокола обеспечивал защиту от пассивного нарушителя, но имел проблемы с защитой от активного нарушителя. Протокол Диффи-Хэлмана служит для распределения ключей между двумя сторонами и не
