Протоколы удостоверения подлинности

Удостоверение подлинности средствами криптосистем, предназначенных для шифрования и вычисления ОНФ.

На практике часто встает вопрос аутентификации корреспондента при получении доступа к некоторому информационному ресурсу. Каким образом определить наличие прав у корреспондента, а самое главное, является ли корреспондент тем, за кого хочет себя выдать и не скрывается ли под ним злоумышленник. Чаще всего эта проблема решается с помощью протоколов аутентификации на основании паролей. А передает свой уникальный пароль, и вызываемый корреспондент проверяет его правильность. Таким образом, и А, и В известна некоторая секретная информация (или некоторое ее отображение), которую В запрашивает всякий раз, когда А пытается начать обмен информацией.

Удостоверение подлинности с помощью ОНФ, аутентификация по простому парольному механизму.

Роджер Нидхэм и Майк Гай показали, что корреспонденту В не нужно знать сами пароли, вполне достаточно, чтобы он мог отличать правильные пароли от неправильных. Этого легко достичь с помощью ОНФ. При этом у аутентификатора хранятся значения однонаправленных функций паролей, а не сами пароли.

А посылает аутентификатору (B) свой пароль. В вычисляет однонаправленную функцию пароля и сравнивает полученное значение с хранящимся в базе.

1) А передает пароль P _a корреспонденту В.

2) В получает пароль P _a и вычисляет h’ _a = h (P _a)

3) В сравнивает полученное значение h’ _a с h _a, из библиотеки паролей. Если h’ _a = h _a, то пользователь А получает доступ к данным.

Если В больше не хранит таблицу правильных паролей всех пользователей, снижается угроза того, что кто-то проникнет в хранилище данных и выкрадет таблицу паролей. Список паролей, обработанный однонаправленной функцией, бесполезен, так как однонаправленную функцию не удастся инвертировать для получения паролей. Следовательно, атака на протокол будет заключаться в атаке на ОНФ, и на перехвате запроса с верным паролем и отождествлением его с подтверждением успешной аутентификации.

 

 

Вскрытие с помощью словаря.

Файл значений ОНФ от паролей, тем не менее, тоже уязвим. На период предварительных вычислений, имея запас времени, М может составить список из большого количества наиболее вероятных паролей с точки зрения статистики языка. Он вычислит все множество значений однонаправленной функцией от созданных паролей и сохраняет результат. После чего М получает по своим каналам файл отображений ОНФ паролей от корреспондента и сравнивает этот файл с результатами своих вычислений, т. е. сравнивает этот файл с файлом хэш-отображений возможных паролей и ищет совпадения.

Это «вскрытие с помощью словаря» может быть успешным с точки зрения улучшения временных характеристик атаки, и снижения временной сложности атаки. Но имеется способ повышения временной сложности данной атаки называемый в литературе «подсаливание». "Соль" представляет собой некоторый объем данных, имеющий случайную структуру, добавляемую к паролям перед вычислением их однонаправленной хэш-функции. Затем в базе паролей фиксируются и значение "соли", и результат вычисления ОНФ. Добавление достаточно большого числа возможных значений "соли" практически устраняет возможность вскрытия с помощью словаря, так как М придется вычислять значение однонаправленной хэш-функции для каждого возможного значения "соли", что потребует значительных временных и вычислительных затрат и эквивалентно атаке на хэш-функцию. Этот прием - простейший пример использования вектора инициализации.

Принцип заключается в том, чтобы так М выполнить пробное шифрование каждого пароля из его словаря при каждой попытке узнать чей-то чужой пароль вместо одноразовой обработки всех возможных паролей, т.е. заставить его решать задачу из NP - класса, вместо P -класса.

Для этого нужно небольшое количество бит "соли". Большинство UNIX-систем аутентификации используют для "соли" 12 бит, а для большинства Windows-систем этот прием вообще не используется. Согласно обзору Брюса Шнайера в книге «Practical Cryptology», Дэниел Кляйн написал программу разгадывания паролей, которая в некоторых системах за неделю часто вскрывала 40 процентов паролей [D.V. Klein, “Large Period Nearly de Bruijn FCSR Sequences”, D. V. Klein, personal communication ].

Дэвид Фельдмайер и Филип Кан составили список из наиболее часто используемых паролей, присоединив к каждому из них 12 бит равновероятностных значений "соли". По их оценкам 30 процентов паролей у любого сервера могут быть взломаны с помощью этого списка.

Но "подсаливание" не является основным подходом обеспечения безопасности данного протокола. Увеличение количества случайных бит является экстенсивным наращиванием сложностных границ атаки на протокол не обеспечивает должной стойкости и тем более не улучшает ВВХ. "Соль" предохраняет только от самых обычных атак на файл паролей с использованием словаря, а не от согласованной атаки нескольких злоумышленников с разделенным вычислительным ресурсом на один пароль. Она, по сути, защищает корреспондентов, использующих один и тот же пароль на различных рабочих станциях, но не делает лучше плохо выбранный слабый пароль.

 

 

SKEY

SKEY - это протокол удостоверения подлинности, обеспечивающий безопасность с помощью ОНФ. Принцип его работы описан ниже:

Регистрируясь в системе, А задает случайное число, R. Сервер вычисляет следующие значения ОНФ { f (R), f (f (R)), f (f (f (R)))…} и так далее, N (рекомендуется брать N>100) раз, сохранив эти значения в список x_k как { x₁, x₂, x₃, …, x_n }. Сервер передает список этих значений А, и А хранит его в безопасном месте. Сервер также публикует открытым текстом в базе данных соединений в соответствие с корреспондентом А число x_i. Что означает ожидания запроса аргумента x_{i -1} ОНФ для вычисления значения хэш-функции.

Выполняя первое подключение, А передает свое имя и x_{i -1}. Сервер рассчитывает f (x_{i -1}) и сравнивает его с x_i, если значения совпадают, права А на доступ подтверждаются. Затем сервер заменяет в базе данных x_i на x_{i -1}. А удаляет x_i из своего списка.

А, при каждом подключении к серверу, передает последнее число из своего списка: x_k. Сервер рассчитывает f (x_i) и сравнивает его с f (x_{i +1}), хранившемся в базе данных. Так как на каждой итерации соединения выполняется аутентификация (возможно и неоднократно), то для данного протокола возможно проводить до N-1 проверок легитимности доступа корреспондента (терминала) к ресурсу сервера. По исчерпании списков значений хэш-функций требуется замена общего секрета. Также, при приближении числа проверок терминала к N-1, существенно возрастает вероятность угадывания пароля для противника, знающего переданные ранее { f (R), f (f (R)), f (f (f (R)))…}, и проводившего мониторинг обмена данными между корреспондентом и сервером.

 

 

Аутентификация с помощью криптографии с открытыми ключами

 

Даже с применением “подсаливания” у механизма аутентификации на основании пароля, несмотря на возможность применения надежных хэш-функций с высокой стойкостью, имеются серьезные проблемы со стойкостью самого протокола. В момент, передачи терминалом А своего пароля серверу, любой, у кого есть доступ к каналу передачи данных, может прочесть пароль. Терминал может получить доступ к своему серверу посредством запутанного пути передачи информации, проложив его через недоброжелательное окружение и дав возможность всем желающим получить свой пароль. Пассивный противник может находиться на любом объекте ТСПИ, подслушивая передаваемую А последовательность. Если у противника есть доступ к ОЗУ сервера, то он сможет подсмотреть пароль до того, как сервер сможет вычислить его ОНФ и подменить исходящий адрес пакета на свой.

Приемы из криптографии с ОК могут решить эту проблему. В протоколе “Запрос-ответ” сервер хранит базу открытых ключей всех терминалов, а все терминалы хранят свои закрытые ключи. Далее иллюстрирован пример реализации протокола аутентификации корреспондента.

Сервер посылает А случайный запрос. А шифрует эту строку на своем закрытом ключе и посылает ее обратно серверу вместе со своим ID. Сервер находит в базе данных открытый ключ А и дешифрирует сообщение, используя этот открытый ключ. Если отправленный сначала и дешифрованный запросы совпадают, сервер предоставляет А доступ к ресурсу системы.

 

Приемы из криптографии с ОК могут решить эту проблему. В протоколе “Запрос-ответ” сервер хранит базу открытых ключей всех терминалов, а все терминалы хранят свои закрытые ключи. Далее иллюстрирован пример реализации протокола аутентификации корреспондента:

1) А передает В сообщение о необходимости аутентификации корреспондента B.

2) В вырабатывает случайную последовательность r_i и передает ее, как запрос А.

3) А шифрует r_i на ЗК корреспондента B e_b, c_i = E (e_b, r_i) и передает криптограмму, как ответ В.

4) В принимает ответ c’_i , дешифрует его с использованием своего секретного ключа d_b, r’_i = D (d_b, c’_i), после чего сравнивает с переданным ранее r_i.

5) Если, равенство r’_i = r_i верно, то аутентификация прошла успешно.

 

Никто другой не может воспользоваться ЗК корреспондента B, следовательно никто не сможет выдать себя за него. Наиболее важен в данной ситуации тот факт, что ЗК корреспондента не передается по каналу связи. Пассивный нарушитель, подслушивая взаимодействие корреспондентов, не получит никаких сведений, которые позволили бы ему вычислить закрытый ключ B и выдать себя за него.

Закрытый ключ должен отвечать требованиям к ключевому материалу для данной КС, согласно предъявляемой к ней вычислительной стойкости. Этот принцип снимет все требования по защищенности от внедрения противника в канал связи.

 

Важно!!!

Однако необходимо понимать, что нельзя шифровать произвольные строки, как показано в литературе имеется ряд атак, использующих мультипликативное свойство КС, основанные на шифровании “случайных последовательностей”, приводящий к компрометации ключа.

Стойкие к подобным атакам протоколы “запрос-ответ” имеют следующую, более сложную форму:

1) Корреспондент A выполняет вычисление, основанное на некоторых случайных числах и своем закрытом ключе, и посылает результат серверу.

2) В посылает другое случайное число.

3) А выполняет некоторое вычисление, основанное на случайных числах (как созданном им, так и полученном от B) и своем закрытом ключе, и посылает результат B.

4) B выполняет некоторое вычисление для чисел, полученных от A, и его открытого ключа, проверяя, что A известен закрытый ключ.

5) Если проверка завершается успешно, подлинность A подтверждается.

 

Если А доверяет В не в большей степени, чем тот доверяет А, то он должен потребовать подтверждения подлинность B аналогичным образом.

Этап (1) может показаться ненужным и запутанным, но он необходим для защиты ЗК корреспондентов.

Двусторонняя аутентификация с использованием протокола «рукопожатия»

 

Пусть два корреспондента, А и В, хотят проверить подлинность друг друга. У каждого из них есть секретная информация, известная другому пользователю: k_a у А и k_b у B. Следующим образом реализован протокол, который не стоек к атаке “внедрение в середину”:

А и В обмениваются своими открытыми ключами. А шифрует k_a открытым ключом В и передает А.В шифрует k_b открытым ключом А и передает В. А дешифрует полученное сообщение и подтверждает верность секрета. В дешифрует полученное сообщение и подтверждает верность секрета. Аутентификация завершена.

 

Предварительные вычисления:

1) А шифрует k_a на ключе B e_b, c_a = E (k_a, e_b).

2) В шифрует на ключе k_b на ключе B e_a, c_b = E (k_b, e_a).

3) Корреспондент A выполняет вычисление, основанное на некоторых случайных числах и своем закрытом ключе, и посылает результат серверу.

 

Активная часть протокола:

1) А передает c_a .

2) В передает c_b

3) В дешифрует c_a на секретном ключе d_b криптограмму c_a, k_a = D (k_a, d_b).

4) A дешифрует c_b на секретном ключе d_a криптограмму c_b, k_b = D (k_b, d_a).

5) Корреспонденты имеют обе компоненты k_a и k_b

 

Атака “внедрение в середину” выполняется по следующей схеме:

Злоумышленник М “врезается” в канал связи.

1) А и В обмениваются открытыми ключами. М перехватывает оба сообщения, и посылает обоим корреспондентам свои собственные открытые ключи, подменив им их ключи.

2) А шифрует k_a, открытым ключом корреспондента В, подменным атакующим, и посылает В. М перехватывает сообщение, дешифрует k_a с помощью своего закрытого ключа, снова шифрует k_a открытым ключом, ассоциируемым с В и посылает его В.

3) В шифрует k_b открытым ключом корреспондента А, соответственно тоже подмененным М, и посылает его А. М перехватывает сообщение, дешифрует k_b с помощью своего закрытого ключа, снова шифрует k_b открытым ключом, ассоциируемым с А и посылает его А.

4) А дешифрует k_b и подтверждает его верность.

5) В дешифрует k_a и подтверждает его верность.

 

Со стороны обмена между корреспондентами А и В ничего не изменилось, атака М для них является прозрачной. Входе работы данного протокола М получает k_b, k_a. Также возможна атака, “внедрением в середину”, с разрывом соединения после получения секрета A, дальнейшей его блокировкой и аутентификацией М, как A на секрете k_a. После чего выполняется соединение с A при успешной проверке секретной последовательности k_b.