Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
2. Нарушение секретности вследствие отсутствия "семантической стойкости". Используя дефект протоколов (и криптосистем), Злоумышленник
Глава 11. Протоколы аутентификации — принципы
431
может извлекать частичную информацию о секретном сообщении, содержащемся в зашифрованном тексте, и организовывать атаки без взлома криптографического протокола по принципу "все или ничего" (см. свойство 8.2 в разделе 8.2). В главе 14 мы рассмотрим понятие семантической стойкости и продемонстрируем большое количество атак на нее. Криптографические средства, обеспечивающие семантическую стойкость, изучаются в главе 15. Эти две распространенные ситуации часто упоминаются в литературе, посвященной протоколам аутентификации. Очевидно, разработчики, неправильно выполняющие криптографические операции, не знакомы со слабостями "учебной" криптографии.
Рассмотрим недостаток протоколов, связанный с отсутствием защиты целостности данных. Дефектный протокол, рассмотренный ниже, представляет собой вариант протокола Отвея-Рииса [226] и создан на основе предположений, сформулированных в работе [61].
Протокол 11.8. Ослабленный вариант протокола Отвея-Рииса ИСХОДНЫЕ УСЛОВИЯ:
Алиса и Трент владеют общим ключом Кат-
Боб и Трент владеют общим ключом Квт-
ЦЕЛЬ: Алиса и Боб выполняют взаимную аутентификацию
1. Алиса —» Бобу: М, Алиса, Боб, {Na, М, Алиса, Бо6}Кат .
2. Боб —» Тренту: М, Алиса, Боб, {NA, М, Алиса,Боб}Кат , {Nb}k , {М, Алиса, Боб} Кдт.
3. Трент - Бобу: М, {NA, КАв}кат , №, КАв}Квт ¦
4. Боб -> Алисе: М, {Na,Kab}Kat -
(* Строка М называется идентификатором сеанса. *)
Для взаимной аутентификации и организации аутентифицированного сеанса между двумя пользователями в протоколе 11.8 используются довольно стандартные методы, основанные на применении сервера оперативной аутентификации (Трента). Рассмотрим ход протокола с точки зрения Боба (для Алисы он выглядит точно так же). Анализируя ключ и случайное число, зашифрованные в одном сообщении, Боб может прийти к выводу, что контакт, установленный на этапе 3, является "свежим", а сеансовый ключ принадлежит ему и Алисе. Это достигается путем объединения имен обоих пользователей с идентификатором сеанса М. Это объединение создается самим Бобом и верифицируется Трентом.
Рассмотренный вариант очень мало отличается от исходного протокола Отвея-Рииса: на втором шаге Боб шифрует сообщения (зашифрованные с помощью ключа КАт) в виде двух отдельных порций: в одной из них содержится случайное
432
Часть IV. Аутентификация]
число Na, а во второй — остальные компоненты сообщения. В оригинальном протоколе Отвея-Рииса одноразовое случайное число и остальные компонента сообщения шифровались в виде одного сообщения: {Nb, М, Алиса, Боб)Квт .
Интересно, что авторы некоторых реализаций данного протокола вообще не считают этот вариант какой-то модификацией, поскольку при шифровании длин-* ное сообщение всегда разбивается на блоки. Эта точка зрения заслуживает отдельного анализа.
Предложенная модификация протокола не настолько агрессивна, как вариант, описанный в работе [61], в котором предполагалось, что Боб не держит свое случайное число в тайне и может пересылать его открытым текстом. Действительно* послав на втором этапе идентификатор "свежести" в виде открытого текста, Боа может по-прежнему использовать случайное число Nb, полученное на этапе 3, для идентификации "свежести" ключа Кав- Однако мы настаиваем на том, чт« на этапе 2 должно выполняться шифрование. Причины будут указаны позднее. ^
Протокол 11.8 фатально уязвим для атаки Бойда (Boyd) и Мао (Мао) [55].
Атака 11.7. Атака на ослабленный протокол Отвея-Рииса ИСХОДНЫЕ УСЛОВИЯ:
Те же, что и в протоколе 11.8.
Злоумышленник и Трент владеют общим ключом Кмт-
(* Итак, Злоумышленник является обычным пользователем сис-|
темы. *)
1. Злоумышленник ("Алиса") —> Бобу: М, Алиса, Боб, {Nm, М, Злоумышленник, Б°б}кМт "
2. Боб —> Злоумышленнику ("Тренту"): М, Алиса, Боб,
{NM, М, Злоумышленник, Боб}Кмт , {Nb}Kbt , {М, Алиса, Боб)Квт .
2'. Злоумышленник ("Боб") —> Тренту: М, Злоумышленник, Боб, {Nm, М, Злоумышленник, Боб}Кмт , {nb)kbt {М, Злоумышленник, Боб}Квт .
(* Здесь сообщение {М, Злоумышленник, Боб} Квт представляет собой ста! рый зашифрованный текст, который Злоумышленник сохранил в ходе нор! мального протокола связи между ним и Бобом. *)
3. Трент — Бобу: М, {NM, Кмв}Кмт , {NB, КМв}Квт ¦
4. Боб —> Злоумышленнику ("Трент"): М, {Nm,Kmb}kmt ¦
ПОСЛЕДСТВИЯ:
Боб думает, что установил контакт с Алисой и разделил с ней сеансовый ключ, хотя на самом деле он общался со Злоумышленником и разделил сеансовый ключ с ним.
Глава 11. Протоколы аутентификации — принципы 433
В начале этой атаки Злоумышленник маскируется под Алису, чтобы инициировать протокол связи с Бобом. Затем он перехватывает сообщение, посланное Бобом Тренту (этап 2), подменяет имя Алисы своим собственным, не изменяет первую порцию сообщения Боба (Злоумышленник не интересуется зашифрованным случайным числом) и заменяет вторую порцию {М, Алиса. Боб} Кдт сообщением {М, Злоумышленник, Боб} Кдт, записанным в ходе предыдущего нормального сеанса протокола связи между ним и Бобом. Маскируясь Бобом, Злоумышленник пересылает модифицированное сообщение Тренту (этап 2'). Ни Боб, ни Трент ничего не подозревают: Трент уверен, что аутентификацию запрашивают Злоумышленник и Боб, а Боб думает, что установил связь с Алисой. Увы, Боб разделил сеансовый ключ не с Алисой, а со Злоумышленником, и открыл ему доступ к секретным сообщениям, которые предназначены для Алисы!
