Современная криптология - Брассар Ж.
Скачать (прямая ссылка):
Идентификация пользователей 81
здесь [190]. Для широкого обсуждения цифровой подписи и связанных с ней проблем, а также некоторых других решений мы отсылаем к [200]. Кроме того, читайте [190, 318, 18, 72, 275].
§ 3. Идентификация пользователей
(написало вместе с Клодом Крелеу и Клодом Готье)
Основной вопрос идентификации заключается в следующем: если потенциальный пользователь (крипто)системы обращается к услугам компьютера (либо в том случае, когда он, например, захочет воспользоваться автоматическим кассиром, либо тогда, когда такому кассиру понадобится получить доступ к центральному компьютеру банка), то каким образом при каждом таком обращении этот центральный компьютер сможет удостовериться, что тот, кто к нему обращается, является именно тем абонентом, за которого он себя выдает? Классическое решение этой проблемы заключается в использовании паролей. Предполагая, что пользователь и компьютер распределили между собой некоторую конфиденциальную часть информации, последний может потребовать эту информацию от обратившегося к нему в том случае, когда его подлинность сомнительна. Ясно, что ценность такой схемы решающим образом зависит от ее способности сохранять пароли в секрете, что указывает на два потенциально слабых звена: существование где-то в памяти компьютера таблицы паролей и угрозу перехвата сообщений до их попадания в него.
Сам факт, что пароли находятся в какой-то области памяти компьютера, является очень опасным. Вне зависимости от того, насколько они хорошо спрятаны и защищены, искусный противник всегда найдет их, где бы они ни были (предпочтительно, но совсем не обязательно, если он имеет физический доступ к этому компьютеру, его вспомогательной памяти и листингу состояния операционной системы). Более того, в составе персонала, обслуживающего работу большинства компьютеров, существует по крайней мере один человек, так называемый администратор системы, то есть тот ее (самый) привилегированный пользователь, который обладает всеми правами легального доступа к директории, где хранятся пароли. Сколь большим доверием другие пользователи могут облечь такого человека? Очевидно, что в
82 Аутентификация и подпись
Глава 5
самом крайнем случае в разных системах предусмотрительные пользователи должны использовать различные пароли.
Рассмотренная выше угроза может быть легко предотвращена на практике [167, 291, 358, 272, и т.д.]. Ключевая мысль заключается в том, что компьютеру в такой ситуации совершенно не обязательно знать действительные пароли пользователей — для него необходима лишь способность подтверждения данных паролей. Это может быть реализовано посредством использования однонаправленных функций. Компьютеру достаточно хранить лишь образы пользовательских паролей, являющиеся результатами вычисления некоторой фиксированной однонаправленной функции от каждого пароля как аргумента. Поскольку функция однонаправленна, то хранить в секрете ее саму совершенно не обязательно. Тогда всякий раз, как только какой-нибудь пользователь захочет доказать свою подлинность, он сообщает свой истинный пароль, а компьютер сразу же вычисляет от него значение этой однонаправленной функции. Затем результат вычислений сверяется с хранящейся в компьютере таблицей. Очевидно, что в данном случае противник в силу своей неспособности вычислять прообразы значений соответствующей однонаправленной функции будет вынужден признать бесполезным для определения истинных паролей пользователей распечатку такой преобразованной таблицы.
Эта схема может оказаться довольно слабой, если пользователи склонны употреблять пароли, которые можно легко угадать. В такой ситуации с помощью кого-то, кто имеет доступ к таблице (преобразованных) паролей и к алгоритму вычисления однонаправленной функции, может, зачастую довольно успешно, применяться следующая атака. Задавшись, скажем, тысячью предположительно наиболее употребимых паролей и вычислив значения однонаправленной функции от них, этот «кто-то» может затем эффективно сравнить полученные результаты с преобразованной таблицей паролей (используя при этом технику хеширования или сортировки). Тогда каждое такое успешное сравнение предоставит ему в распоряжение некоторый истинный пользовав тельский пароль. Ясно, что подобная атака не позволяет нарушителю раскрыть все пароли, которые он хотел бы узнать, но тем не менее она очень продуктивна в нахождении некоторых из них [176].
Идентификация пользователей 83
Хотя и не делая ничего дополнительного Для защиты индивидуальных паролей, так называемая случайная добавка является той техникой, которая почти исключает описанные выше коллективные угрозы. При формировании таблицы паролей с каждым именем пользователя связывается некоторая случайным образом сгенерированная битовая строка (в открытом виде), а хранящееся значение однонаправленной функции вычисляется от конкатенции истинного пароля каждого пользователя и этой его случайной строки. В результате оказывается, что два различных пользователя, которые могли бы случайно выбрать одинаковые пароли, будут иметь разные записи в преобразованной системной таблице.
