Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
66
Часть I. Введение
2.6.1 Протоколы, обеспечивающие конфиденциальность сообщений
Поскольку среда, в которой передаются сообщения, уязвима для атак, наши протоколы должны использовать шифрование. На первом этапе разработки протокола мы рассмотрим угрозы, целью которых является нарушение секретности сообщений.
2.6.1.1 Протокол "Алиса — Бобу"
Пусть выполнение протокола начинает Алиса. Сначала она генерирует случайный сеансовый ключ и шифрует его с помощью общего ключа, известного ей и Тренту. Затем она посылает Тренту зашифрованный текст, указывая имена: свое и Боба. Получив запрос Алисы на доставку сеансового ключа, Трент находит в своей базе данных два общих долговременных ключа, упомянутых в запросе Алисы. Затем Трент расшифровывает полученный текст, используя ключ Алисы, снова шифрует его с помощью ключа Боба и пересылает Бобу результат. В заключение, получив и расшифровав доставленный сеансовый ключ, Боб подтверждает его получение, отправляя Алисе сообщение, зашифрованное с помощью этого ключа. В данном протоколе Алиса является инициатором (initiator), а Боб — ответчиком (responder).
В этой главе большинство протоколов и атак описываются с помощью рисунков и спецификаций. Рисунки иллюстрируют потоки информации между участниками протокола, а спецификации описывают детали их действий при отправке и получении сообщений. Рисунки должны помочь читателям, которые лишь начинают изучать криптографию. Поскольку спецификации достаточно точно и полно описывают протоколы, в остальных главах мы не будем больше прибегать к помощи рисунков.
Прежде чем приступить к анализу стойкости протокола "Алиса — Бобу", сделаем несколько замечаний о его особенностях. Протокол позволяет Алисе генерировать сеансовый ключ, который она разделяет с Бобом. Понравится ли это Бобу? Если сеансовый ключ, сгенерированный Алисой, окажется недостаточно случайным (сеансовый ключ должен быть случайным, чтобы предотвратить возможность его угадывания), безопасность Боба будет подвергнута риску — ведь ключ общий! Вдруг Алиса не заботится о том, чтобы сеансовый ключ был стойким, или боится его забыть?! Поскольку Боб может не доверять Алисе (он может даже не быть с ней знаком до начала протокола), использование общего ключа, сгенерированного Алисой, создает для Боба определенные неудобства. Учитывая этот факт, мы сформулируем модифицированный протокол, лишенный этого недостатка, и обсудим стойкость этого протокола.
Глава 2. Борьба между защитой и нападением
67
Протокол 2.1. Алиса — Бобу
ИСХОДНЫЕ УСЛОВИЯ:
Алиса и Трент имеют общий ключ Кат\ Боб и Трент имеют общий ключ Кит-
ЦЕЛЬ: Алиса и Боб желают создать новый общий секретный ключ К.
Алиса Трент Боб
1
2
3
1. Алиса генерирует случайный ключ К, создает сообщение {К}кАТ и посылает Тренту следующую информацию: Алиса, Боб, {К}кАТ-
2. Трент находит в базе данных ключи К at и Квт> восстанавливает ключ К, создает сообщение {К)квт и посылает Бобу следующую информацию: Алиса, Боб, {К}Кдт.
3. Боб расшифровывает сообщение {К}Кдт, восстанавливает ключ К и посылает Алисе сообщение {Привет, Алиса, я — Боб\}к.
2.6.1.2 Протокол "сеансовый ключ от Трента"
Поскольку Тренту доверяют оба клиента, генерацию сеансового ключа можно поручить ему. Таким образом, протокол 2.1 трансформируется в протокол 2.2. Он начинается с того, что Алиса посылает Тренту имена двух пользователей, желающих установить общий сеансовый ключ для безопасного обмена сообщениями, т.е. свое и Боба. Получив запрос от Алисы, Трент находит в своей базе данных соответствующие ключи обоих клиентов, генерирует новый сеансовый ключ, разделяемый между Алисой и Бобом, и шифрует его с помощью ключей, принадлежащих каждому из пользователей. Затем Трент отсылает Алисе сообщение, состоящее из двух частей и содержащее сеансовый ключ, зашифрованный разными ключами. После этого Алиса извлекает из этого сообщения свою часть
68
Часть I. Введение
и отсылает Бобу часть, предназначенную для него. В заключение Боб выполняет свою часть протокола, который завершается отправкой сообщения, подтверждающего получение сеансового ключа. Будем называть этот протокол "Сеансовый ключ от Трента".
Если сеансовый ключ К зашифрован с помощью идеальной схемы шифрования, пассивный перехватчик сообщений (passive eavesdropper), наблюдающий за протоколом "Сеансовый ключ от Трента" и не знающий ключей Кат и Квт, не сможет определить сеансовый ключ К, поскольку его могут прочесть лишь законные получатели, расшифровав его своим отдельным ключом.
Протокол 2.2. Сеансовый ключ от Трента ИСХОДНЫЕ УСЛОВИЯ:
Алиса и Трент имеют общий ключ Кат', Боб и Трент имеют общий
ключ Квт-
ЦЕЛЬ: Алиса и Боб желают установить новый общий секретный ключ К.
Алиса Трент Боб
1
2
3
4
1. Алиса посылает Тренту сообщение: Алиса, Боб.
2. Трент находит в базе данных ключи Кат и Квт, генерирует случайный ключ К и посылает Алисе следующую информацию: {К}кАТ> {^}квт-
3. Алиса расшифровывает сообщение {К}Кат и посылает Бобу информацию: Трент, Алиса, {К}Квт.
4. Боб расшифровывает сообщение {К}Кдт, восстанавливает ключ К и посылает Алисе сообщение {Привет, Алиса, я — Боб\}к.
