Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
3. А —> В: {КаЬ, A}Kbs Участник В расшифровывает данное сообщение, поскольку ему известен ключ Kbs; в результате он получает ключ КаЬ.
Общие сведения
97
4. В -* A: {Nb}Kab. Данное сообщение участник В посылает для того, чтобы убедиться, что А владеет ключом Каь, и показать участнику А свое знание КаЬ.
5. А -»• В: {Nb - 1}каь- Участник А доказывает свое владение ключом КаЬ, и на этом протокол заканчивает свою работу, в результате участники А и В получают общий секретный сеансовый ключ КаЬ.
Уязвимость данного криптопротокола состоит в том, что если сеансовый ключ K1J1I1 из предыдущей сессии был скомпрометирован, то злоумышленник (обозначим его через С), получивший возможность контроля сетевого трафика на шаге 3 новой (иескомпрометированной) сессии, перехватывает сообщение (А -* В: {Kal), A}Kbs) и вместо него посылает сообщение (С -* В: {IQb» A}Kbs)- Участник В отвечает сообщением (В —*¦ A: {Nb}KJb), полагая, что А хочет установить с ним новую сессию с ключом ЮаЬ. С, получая данное сообщение, расшифровывает его и отправляет В сообщение (С—> В: {Nb - 1} K1B ь)- Таким образом, С устанавливает сессию с В от имени А.
С точки зрения понимания возможных последствий, возникающих при обнаружении недоработок в логике работы криптопротокола, этот пример является очень показательным. Для устранения подобных проблем были специально разработаны средства и методы анализа корректности построения логики работы криптопротоколов. Применение формальных методов позволяет также обнаружить коммуникационную избыточность в крип-топротоколах, что является немаловажным плюсом в условиях постоянно возрастающих требований к оперативности обработки информации в современных сетях передачи данных.
Третья группа атак, существенно понижающих уровень безопасности при использовании криптопротоколов, является наименее распространенной. Об этом, по крайней мере, можно судить по частоте их использования злоумышленниками. Но с другой стороны, в силу их трудного обнаружения, такие попытки являются наиболее опасными, поскольку они во многом зависят от математических свойств используемых криптографических алгоритмов. Подобные уязвимые места не поддаются формальному анализу и поэтому не могут обнаруживаться даже при использовании хорошо изученных криптопротоколов. Особенно характерно появление слабых точек при использовании асимметричных алгоритмов, так как они в основном построены на невозможности эффективного решения некоторых математических задач и не поддаются строгим математическим доказательствам и исследованиям с помощью формальных методов.
4-3
98
Аспекты создания и применения криптографических протоколов
Нам остается дать несколько полезных советов, с помощью которых в какой-то мере можно избежать отдельных атак на криптопротоколы.
Полезные советы
Первый совет заключается в том, что перед зашифровыванием данных их необходимо подписывать. Если добавить подпись к уже зашифрованным данным, то может возникнуть ситуация, когда нельзя убедиться в том, что подписывающий имел представление о содержании подписываемой информации, а это обстоятельство приводит к невозможности доказать арбитру аутентичность подписи. Приведем следующий пример.
Предположим, что участник А сначала зашифровывает сообщение M на открытом ключе ев участника В, а затем подписывает его на своем секретном ключе dA. Сообщение, передаваемое по открытым каналам связи, будет иметь вид:
((Meb(mod nB))da (mod nA)
Участник В имеет разложение пв, и его множители могут оказаться длиной 200-300 бит. Тогда, используя теорему об остатках, участник В может найти такое х, что:
(M1)* = M(mod пв),
где M1 - сообщение, на которое необходимо перенести подпись участника А.
Для успешного проведения атак участнику В нужно только зарегистрировать следующий открытый ключ (хев, пв), после чего он может доказать, что участник А подписал сообщение M1, а не М. Атака подобного рода может быть реализована на протоколе CCITT Х.509, где подписываются сообщения вида {ТА, NA, В, X, {Y}Eb(mod пв)}5 в которых XHY- данные пользователя. Она также работает и в случае использования алгоритма Эль-Гамаля.
Следующий совет сводится к необходимости иметь механизмы, дающие пользователю возможность однозначно различать (идентифицировать) участников информационного обмена, а также позволяющие отличать разные сессии при использовании криптопротокола. Это требование особенно важно в том случае, когда подписание и расшифрование производится с применением асимметричного алгоритма (например, RSA), в котором используются одинаковые секретные ключи. Это вполне реальный вариант, поскольку в RSA, например, процессы генерации подписи и расшифрования являются одинаковыми математическими операциями.
Общие сведения
99
Поэтому рекомендуется избегать ситуаций, когда для генерации подписи и для расшифрования сообщения используются одни и те же ключи или ключи, связанные друг с другом некоторым элементарным преобразованием.
Для обеспечения идентификации участника информационного обмена существует большое количество методов и средств. Необходимо отметить, что идентификация является синонимом термина «аутентификация пользователя» (см. раздел 2.2). Различие в сессиях протокола при этом реализуется, как правило, двумя методами:
