Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
Стандартные протоколы аутентификации (серия 9798), одобренные организациями ISO/IEC, содержат две стандартные конструкции, в которых участвует интерактивный доверенный посредник [147]. Одна из таких стратегий называется "Четырехпроходным протоколом аутентификации ISO" ("ISO Four-Pass Authentication Protocol"), а другая — "Пятипроходным протоколом аутентификации ISO" ("ISO Five-Pass Authentication Protocol"). Эти протоколы обеспечивают взаимную аутентификацию пользователей и генерацию аутентичных сеансовых ключей. Однако мы не будем описывать их по следующим причинам.
Во-первых, эти протоколы построены на основе стандартных протокольных конструкций, описанных в разделе 11.4.1 и 11.4.2, и, следовательно, не несут никакой новой, полезной для изучения информации. Кроме того, они содержат много особенностей, связанных со стандартизацией, и их рассмотрение лишь затемнило бы простые идеи, лежащие в основе этих протоколов.
Во-вторых, они уже представляют собой полноценные протоколы аутентификации и не должны использоваться в качестве строительных конструкций для создания протоколов аутентификации более высокого уровня. Более того, они обладают некоторыми нежелательными свойствами, например, участники этих протоколов (и даже доверенные посредники!) используют порядковые номера. Таким образом, эти протоколы ни в коем случае не следует использовать в качестве образца для разработки новых протоколов!
По этой причине основное внимание мы уделим протоколу аутентификации сущности с помощью доверенного посредника. Однако следует иметь в виду, что он уязвим для некоторых атак.
402
Часть IV. Аутентификация
11.4.3.1 Протокол Ву-Лама
Этот протокол разработан By (Woo) и Ламом (Lam).
Протокол 11.2. Протокол Ву-Лама _4
ИСХОДНЫЕ УСЛОВИЯ:
Алиса и Трент владеют общим симметричным ключом Кат-Боб и Трент владеют общим симметричным ключом Квт-
ЦЕЛЬ: Алиса аутентифицирует себя Бобу, даже если Боб с ней не знаком.
1. Алиса —» Бобу : Алиса.
2. Боб —» Алисе : NB.
3. Алиса -» Бобу : {Nb}Kat-
4. Боб -»Тренту : {Алиса,{NB}K }
5. Трент — Бобу : {Nb}Kbt ¦
6. Боб расшифровывает зашифрованный текст с помощью ключа К^ и при-1 нимает его, если случайное число восстановлено правильно, или не прини! мает в противном случае.
Выбирая для изучения протокол Ву-Лама, мы вовсе не рекомендуем его в качестве модели. Наоборот, этот протокол не только фатально уязвим, хотя у него] и существует несколько исправленных вариантов, но и неудачно сконструировав Таким образом, мы выбрали его в качестве отрицательного примера.
Цель этого протокола — Алиса должна доказать Бобу свою подлинность, даже если они не знакомы друг с другом.
Сначала, поскольку Алиса и Боб не знакомы друг с другом, Алиса может продемонстрировать свои криптографические возможности только Тренту: она шифрует одноразовое случайное число NB, сгенерированное Бобом, с помощью] своего долговременного ключа Кат-> разделенного с Трентом (этап 3). Трент, 6yJ лучи доверенным посредником, честно выполняет протокол и расшифровывает! зашифрованный текст, присланный Алисой на этапе 4. В заключение, когда Бои убеждается, что его свежее одноразовое случайное число, присланное Трентом! не изменилось, он приходит к выводу, что Трент мог выполнить криптографичеЛ скую операцию только после того, как Алиса выполнила свою, причем обе эти операции касались числа NB. Поэтому он аутентифицирует Алису, признавая ее существование.
С одной стороны, протокол Ву-Лама создан на основе стандартных протоколь-j ных конструкций, описанных в разделе 11.4.1.1. Например, этапы 2 и 3 похожи на стратегию (11.4.1). То же самое можно сказать об этапах 3 и 4.
Глава 11. Протоколы аутентификации — принципы
403
Отложим подробный разбор протокола Ву-Лама до раздела 11.7. Кроме того, этот протокол имеет более крупный дефект, который и является причиной остальных недостатков. Однако для того, чтобы понять его сущность, необходимо овладеть формальными методами доказательства стойкости протоколов. По этой причине анализ дефекта проводится только в разделе 17.2.1.
11.5 Аутентификация с помощью пароля
Аутентификация с помощью пароля (password-based authentication) широко применяется при обмене сообщениями между пользователем и удаленным главным компьютером. В таких системах пользователь и главный компьютер устанавливают пароль, представляющий собой долговременный, но относительно короткий симметричный ключ.
Итак, пользователь U, желающий получить доступ к главному компьютеру Н, должен сначала зарегистрироваться и установить пароль. Главный компьютер Н хранит пароли всех своих пользователей. Каждая запись в его архиве представляет собой пару (IDf/, Pry), где Юц — имя пользователя U, а Рг/ — его пароль. Простейший протокол, основанный на применении пароля, позволяющего пользователю U получить доступ к компьютеру Н, выглядит следующим образом.
1. U -> Я : Югу.
2. Я -> [/ : "Пароль".
3. U^H-.Pu.
4. Компьютер Н находит в своем архиве запись (ГО{/, Ри)-Пользователь U получает доступ к компьютеру Н, если пароль Pry соответствует записи в архиве.