Реализации протоколов обеспечения шифрованной средствами криптосистем, предназначенных для шифрования

Практические реализации протоколов обеспечения безопасности с применением симметричных шифраторов.

ПротоколAKEP 2

Один из наиболее простых протоколов использующих ключевую хэш-функцию MAC и работающий с передачей трех сообщений для аутентификации пользователей на двух общих секретных ключах (один для поддержки протокола шифрования, другой для прокола аутентификации).

1) А генерирует и передает В случайное число r^a_i.

2) В получает то А сообщение, добавляет к нему свое случайное число r^b_i и имя В и А. Вычисляет хэш-функцию на секретном ключе K, H_k (r^b_i, r^a_i, A, B)= h_k. Передает его вместе с { r^b_i, r^a_i, A, B } корреспонденту А.

3) А принимает сообщение { r^b^’_i, r^a^’_i, A^’, B^’ }, h^’_k вычисляет H_k (r^b^’_i, r^a^’_i, A^’, B^’) сравнивает h^’_k = h_k и r^b^’_i = r^b_i, проверяя подлинность сообщения и случайного числа.

4) Оба корреспондента вычисляют H_k (r^b_i)= h^b_k, на втором секретном ключе K₂ и принимают h^b_k за сеансовый ключ.

Протокол SKID

В данном протоколе корреспонденты также используют ключевую хэш-функцию MAC для обеспечения безопасной передачи данных и предполагают, что А и В используют общий секретный ключ, K. Одна из модификаций протокола позволяет обеспечить аутентификацию корреспондентов:

1) А генерирует случайное число r ^a (согласно требованиям протокола SKID-2 64-битовое число) и посылает это число В.

2) В генерирует случайное число r^b (согласно требованиям протокола SKID-2 64-битовое число), вычисляет ОНФ на ключе K следующее преобразование: H_k (r^b, r^a, B)= h^b_k, где В это ID корреспондента В, и посылает А: h^b_k, r^b

3) А вычисляет от полученных данных H_k (r^b^’, r^a^’, B)= h^b^’_k и сравнивает результат со значением h^b_k, полученным от В. Если гипотеза, h^b^’_k = h^b_k подтверждается, то корреспондент В аутентифицирован.

Протокол SKID3 обеспечивает двустороннюю обоюдную аутентификацию корреспондентов А и В. Итерации (1) - (3) протоколов SKID2 и SKID3 совпадают, а затем в данном протоколе, для последующей аутентификации А выполняются следующие действия:

1) А, вычисляет ОНФ H_k (r^b, A)= h^a_k посылает В h^a_k, где А, это ID корреспондента А.

2) В рассчитывает H_k (r^b, A)= h^a^’_k и сравнивает результат со значением, полученным от А. Если гипотеза h^a_k = h^a^’_k подтверждается, то корреспондент А аутентифицирован.

H_k, это обозначение ОНФ на ключе K, являющееся алгоритмом вычисления ключевой хэш-функции, принятым в протоколах SKID. Но так как протокол инвариантен к процедуре вычисления ОНФ, то возможно применение любых других функций. Следовательно имеется возможность оптимизации ВВХ протокола по предъявленным требованиям стойкости.

Однако этот протокол неустойчив к атаке "внедрение в середину".

Один из вариантов подтверждения подлинности рассматривается выше при описании протоколов распределения ключа и заключается в выполнении ЭЦП под сообщением. Эти протоколы гарантируют аутентификацию легитимных пользователей со стойкостью КС, на которой выполнялась ЭЦП, при условии достоверности установленных сертификатов.

С применением симметричных алгоритмов возможна ситуация в которой аутентификация косвенно является частью протокола организации шифрованной связи (что, отчасти, было реализовано протоколе запрос-ответ). Определяется это следующим образом, при передаче зашифрованной информации противник, не обладающий секретным ключом, не может прочитать передаваемые сообщения, но если у него появляется секретный ключ, он автоматически является легитимным пользователем. В случае сетевой аутентификации, с применением разветвленной топологии организации связи, возникает необходимость в ЦРК создания матриц ключевых наборов, что также решает задачу аутентификации на общем секретном ключе шифрования.

Этот класс протоколов определен разделением процедур аутентификации и распределения ключа на подпротоколы удостоверения подлинности корреспондентов и обмена ключевым материалом для решения задачи обеспечения безопасной связи. Данные шифруются на сеансовом ключе, динамически сменяемом либо во времени, либо статичном, индивидуально ассоциируемом с каждым сеансом связи.

В большей части протоколов предполагается, что каждый абонент сети обладает некоторым секретным долгосрочным ключом, выделенным ему ЦРК по гарантировано безопасному каналу.

Практические реализации протоколов обеспечения безопасности с применением гибридных криптографических алгоритмов

Протокол Wide-Mouth Frog

Протокол Wide-Mouth Frog [M. Burrows, M. Abadi, R. Nidham “A Logic Autentification”, M. Burrows, M. Abadi, R. Nidham “Rejoiner to Nessett”], является самым простым и наиболее прозрачным протоколом поддержки протокола шифрованной связи. Корреспондент А и ЦА, совмещенный с ЦРК, имеют общий долгосрочный секретный ключ, используемый только для распределения сеансового ключа. Алгоритм работы протокола приведен ниже:

А генерирует сеансовый ключ, объединяет метку времени, имя вызываемого корреспондента В и сеансовый ключ, затем шифрует созданное сообщение общим с ЦА ключом и посылает его ЦА вместе со своим именем.

ЦА дешифрует сообщение А. Затем он добавляет новую метку времени, имя А и сеансовый ключ, далее шифрует полученное сообщение общим с В ключом. ЦА посылает криптограмму В.

Наибольшим допущением, сделанным в этом протоколе, является то, что А обладает достаточной компетентностью для генерации хороших сеансовых ключей. Необходимо помнить, случайные числа генерировать не является простой задачей.

Практические реализации протоколов обеспечения безопасности с применением симметричных шифраторов

ПротоколWide-Mouth Frog

1) А генерирует сеансовый ключ k_i, свою метку времени t ^a_i, и выполняет шифрование на долгосрочном ключе K_a, E_a (k_i, B, K_a,t ^a_i)= c ^a_i.

Активная часть протокола:

1) А передает ЦА криптограмму E_a.

2) ЦА дешифрует принятое сообщение c ^a_i, на ключе K_a, D_a (c ^a_i)= { k_i, B, t ^a_i }и шифрует его на ключе K_b, добавляя к нему свою метку времени t ^s_i, E_b (k_i, B, K_b,t ^s_i)= c ^b_i и передает его В.

Таким образом корреспондент В имеет зашифрованный сеансовый ключ ему останется только дешифровать принятое от ЦРК сообщение и установить его. Однако в данной схеме имеется существенный недостаток, заключающийся в повышенной ответственности за выработку ключа у корреспондента – инициатора соединения. Если ключ окажется слабым, то сеанс зашифрованной связи окажется бесполезной тратой временного и вычислительного ресурса.

Но по причине простоты эта схема дает хороший запас по ВВХ к экстенсивному усилению шифрования стойкости за счет длины ключа и является стойкой к атаке “внедрение в середину”.

ПротоколYahalom

В этом протоколе также абоненты А и В имеют с ЦА общий секретный ключ [M. Burrows, M. Abadi, R. Nidham “A Logic Autentification”, M. Burrows, M. Abadi, R. Nidham “Rejoiner to Nessett”]. Схема организации связи соответствует предыдущему протоколу, но в данной ситуации сеансовый ключ вырабатывает не корреспондент, а ЦРК.

Алгоритм работы протокола приведен ниже:

А объединяет свое имя и случайное число, и отправляет созданное сообщение В. А корреспондент В объединяет имя А, его случайное число, свое случайное число, далее шифрует созданное сообщение на общем с ЦРК секретном ключе и посылает его ЦРК, добавляя свое имя потом ЦРК создает два сообщения. Первое включает имя В, сеансовый ключ, случайные числа В и А и шифруется секретным ключом А. Второе состоит из имени А, сеансового ключа и шифруется секретным ключом В. ЦРК посылает оба сообщения А. А дешифрует первое сообщение, извлекает сеансовый ключ и убеждается, что случайное число соответствует переданному ранее на этапе (1). А посылает В два сообщения. Одним является сообщение от ЦРК, зашифрованное на ключе В. Вторым является это ПСП корреспондента В, зашифрованная на сеансовом ключе. В дешифрует первое сообщение, извлекает сеансовый ключ и убеждается, что случайное число совпадает.

1) А генерирует случайное число r ^a_i передает В вместе со своим именем, { B, r ^a_i }.

2) В вырабатывает r ^b_i случайное число выполняет шифрование E_b (A, B, K_b, r ^b_i, r ^a_i)= c ^b_i и передает c ^b_i ЦРК.

3) ЦРК генерирует сеансовый ключ k _i и выполняет шифрование двух сообщений:

1. E_b (k_i, A, K_b)= c ^s1_i

2. E_a (k_i, B, K_a, r ^b_i, r ^a_i)= c ^s2_i

1) ЦРК передает { c^s²_i, c ^s¹ _i } корреспонденту A.

2) А дешифрует c ^s² _i, D_a (K_a, c ^s² _i)={ k_i_, B,K_a, r ^b^’ _i, r ^a^’ _i } проверяет r ^a^’ _i = r ^a^’, в случае совпадения устанавливает сеансовый ключ k _i, выполняет шифрование E_k (k_i, r ^b^’ _i)= c ^ab_i и передает В { c^ab_i, c ^s¹ _i }.

3) В дешифрует c ^s¹ _i, D_b (c ^s¹ _i)={ k_i_, A }устанавливает сеансовый ключ k_i и дешифрует c^ab_i, D_k (c ^ab_i)= r ^b^’ _i после чего проверяет равенство r ^b^’ _i =r ^b^’ _i.

В результате работы данного протокола корреспонденты А и В убеждены в авторстве сообщений получаемых от других корреспондентов и ЦРК. Также теперь ответственность за выработку сеансового ключа несет корреспондент с заведомо большим вычислительным ресурсом и возможностью централизованного упрощенного контроля и распределения ключевого материала.

В данной схеме имеется существенный недостаток, заключающийся в повышенной ответственности за выработку ключа у корреспондента – инициатора соединения. Если ключ окажется слабым, то сеанс зашифрованной связи окажется бесполезной тратой временного и вычислительного ресурса.

Протокол Needham-Schroeder

В протоколе, разработанном Роджером Нидхэмом и Майклом Шредером [R. M. Needham, M. D. Schroeder “Using Encryption of Autentifications in Large Networks of Computers”], используются симметричная криптография и ДЦ.

А посылает ЦРК сообщение, содержащее его имя, имя корреспондента В и случайное число. ЦРК генерирует сеансовый ключ и шифрует сообщение, содержащее сеансовый ключ и имя А, секретным ключом В. Затем он шифрует случайное число А, имя В, сеансовый ключ и зашифрованное сообщение секретным ключом А. После чего, он отправляет шифрованное сообщение А. А дешифрует сообщение и извлекает сеансовый ключ. Он убеждается, что случайное число совпадает со значением, отправленным ЦРК на этапе 1. Затем он посылает В сообщение, зашифрованное ЦРК секретным ключом В. В дешифрует принятое сообщение и извлекает сеансовый ключ. Затем В генерирует другое случайное число, шифрует это число сеансовым ключом и отправляет его А. А дешифрует сообщение на сеансовом ключе. Он создает число r _B-1 и шифрует это число на сеансовом ключе. Затем он посылает это сообщение обратно В. В дешифрует принятое сообщение на сеансовом ключе и проверяет значение r _B-1.

1) А создает сообщение { A,B, r ^a } и посылает его ЦРК.

2) ЦРК генерирует k _i, шифрует на k _b пару E_k (k_b _, k_i_, A)= c ^b_i и добавляет { r ^a,B, k_i_,, c ^b_i }. Передает В сообщение зашифрованное на k_a E_k (k_b, r ^a,B, k_i, c ^b_i)= c ^a_i.

3) А принимает c ^a_i дешифрует D_k (c ^a_i)={ r ^a^’,B, k_i, c ^b_i } проверяет r ^a =r ^a^’. И переедет В сообщение c ^b_i.

4) В принимает c ^b_i и дешифрует на своем ключе k _b D_k (c ^b_i)={ k_i_, A }. Он генерирует случайное число r ^b и шифрует его на сеансовом ключе k_i, E_k (k_i, r ^b)= c ^b² _i и передает его А.

5) А дешифрует D_k (c ^b² _i)= { k_i, r ^b }, и вычисляет (r ^b -1) и шифрует его на ключе k_i, E_k (r ^b -1)= c ^b³ _i, передает c ^b³ _i корреспонденту В.

6) В принимает сообщение c ^b³ _i, дешифрует его E_k (c ^b³ _i)= (r ^b^’ -1) сравнивает с r ^b -1.

Все эти операции с выработкой случайных чисел необходимы для защиты от атаки, основанной на повторной передаче. Злоумышленник, предпринимая попытку вскрытия повторной передачей, записывает сообщения от корреспондентов с целью дальнейшего их использования. Однако случайное число на этапе (2) и является подтверждает А подлинность сообщения от ЦРК и не является повторной передачей ответа от одной из пошлых итераций протокола. Аналогично обстоит и с проверкой достоверности сообщений подтверждения подлинности сообщений корреспондента В.

Таким образом применение рандомизации в данном протоколе защищает его от повторной работу на старых или заведомо подложных ключах.

Протокол Otway-Rees

Этот протокол также использует симметричную криптографию [D. Otway O. Rees “Efficient and Timely Manual Autentification”], и работает по следующей схеме:

Корреспондент А создает сообщение, состоящее из порядкового номера I, его имени, имени корреспондента В и случайного числа. Это сообщение шифруется ключом, общим для А и ЦРК. Корреспондент А посылает это сообщение В вместе с порядковым номером и их именами:

{I, A, B E_k(k_at, R_A, I, A, B)}

Корреспондент В создает сообщение, состоящее из нового случайного числа, порядкового номера, имени А и имени В. Сообщение шифруется ключом, общим для А и В. Корреспондент В посылает это сообщение ЦРК
вместе зашифрованным сообщением А, порядковым номером, их именами: {I, A, B, E_k(k_at, R_A, I, A, B), E_k(k_ab, R_B, I, A, B)}

ЦРК генерирует сеансовый ключ k_i,. Затем он создает два сообщения. Одно, состоящее из случайного числа корреспондента А и сеансового ключа, зашифрованного на общем секретном ключе, для ЦРК и А. Другое сообщение, состоящее из случайного числа корреспондента В и сеансового ключа, зашифрованное на секретном ключе, общем для ЦРК и корреспондента В. ЦРК отправляет оба сообщения вместе с порядковым номером корреспонденту В: {I, E_k(k_at, R_A, k_i), E_B(k_bt,R_B, k_i)}

Корреспондент В отправляет А сообщение, зашифрованное его секретным ключом, и порядковый номер: {I, E_k(k_ab, k_i, R_A)}.

Корреспондент А дешифрует сообщение, получая свой ключ и случайное число. А убеждается, что входе протокола они не изменились.

Предварительные вычисления:

1) А выполняет шифрование E_k(k_at, R_A, I, A, B)= c ^a_i.

2) В выполняет шифрование E_k(k_bt, R_B, I, A, B) =c ^b_i

3) ЦРК генерирует сеансовый ключ.

Активная часть протокола:

1) А создает сообщение {I, A, B, c ^a_i } и передает его корреспонденту В.

2) В принимает сообщение и добавляет к нему c ^b_i и передает {I, A, B, c ^b_i } ЦРК.

3) ЦРК принимает сообщения, дешифрует D_k(k_at, c ^a_i) = {R_A, I, A, B}, D_k(k_bt, c ^b_i) = {R_B, I, A, B}, выполняет шифрование E_k(k_bt, R_B, k_i) =s ^b_i, E_k(k_at, R_A, k_i) =s ^a_i создает два сообщения {s ^a_i,I}, {s ^b_i,I} и передает их корреспонденту В.

4) В принимает оба сообщения, дешифрует на своем секретном ключе D_k(s ^b_i) ={R’_B, k_i }, проверяет подлинность R’_B как равенство R’_B= R_B и передает сообщение {s ^a_i,I}, корреспонденту А.

5) А принимает сообщение {s ^a_i,I}, дешифрует на своем секретном ключе D_k(s ^a_i) ={R’_A, k_i }, проверяет равенство R’_А= R_А.

Если проверка всех случайных чисел прошла успешно, и порядковый номер не изменился входе протокола, корреспонденты А и В убеждаются в подлинности друг друга и получают сеансовый ключ для организации работы протокола шифрования.

Протокол Neuman-Stubblebine

Этот протокол, является модификацией протокола Yahalom, в нем также имеется противодействие атаке на повторной передачей с подавлениям [A. Kehne, J.Schonwalder, H. Langendofer “A Nonce-Based Protocol for Multiple Autentifications” ] и позднее в [B.C. Ncuman S. Stubblebine “A Note on the Use Timestamps as Nonces”].

Корреспондент А генерирует случайное число и объединяет свое имя с ним, и отправляет созданное сообщение корреспонденту В. В объединяет имя А, его случайное число и метку времени, шифрует созданное сообщение общим с ЦРК секретным ключом и посылает его ЦРК, добавляя свое имя и новое выработанное случайное число. ЦРК принимает сообщение, генерирует сеансовый ключ. Затем он создает два сообщения. Первое включает имя В, случайное число А, сеансовый ключ, метку времени и шифруется на секретном ключе, А. Второе сообщение состоит из имени А, сеансового ключа, метки времени и шифруется на секретном ключе,
В. ЦРК посылает оба сообщения А вместе со случайным числом корреспондента В. А дешифрует сообщение, зашифрованное на его ключе, извлекает сеансовый ключ и убеждается, что случайное число совпадает со значением, отправленным на этапе (1). А посылает В два сообщения. Одним является сообщение ЦРК, зашифрованное на секретном ключе В. Второе - это случайное число корреспондента В, зашифрованное на сеансовом ключе. В дешифрует принятое сообщение, зашифрованное на его ключе, извлекает сеансовый ключ и убеждается, что значения метки времени и случайное число те же что и на этапе (2).

1) А генерирует R_A и посылает свое имя и R_A корреспонденту В.

2) В формирует метку времени t_i, случайное число R_B, выполняет шифрование E_k(k_bt, R_A, t_i)= c ^b_i на своем секретном ключе. После чего передает { c ^b_i, B,R_B }, ЦРК.

3) ЦРК принимает сообщение В, генерирует k_i, выполняет шифрование E_k(k_at, A, k_i, t_i)= c ^b² _i, E_k(k_bt, B, k_i,, R_A, t_i)= c ^a² _i. Передает сообщение { c ^a² _i, c ^b² _i,B} корреспонденту А.

4) А дешифрует принятое сообщение на своем ключе D_k(k_at, c ^a² _i )= { B, R’_A, t_ik_i }, устанавливает сеансовый ключ k_i, проверяет равенство R’_A = R_A. Выполняет шифрование E_k(k_i, t_i,R_B)= c ^a³ _i. Передает корреспонденту В { c ^a³ _i, c ^b² _i }

5) В принимает { c ^a³ _i, c ^b² _i }, дешифрует D_k(c ^b² _i )= { A, k_i, R_A, t_i } устанавливает сеансовый ключ k_i, на нем выполняет дешифрование D_k(c ^a³ _i ) = { t’_i^a,R’_B } и проверяет метку времени и равенство R_B = R’_B.

Если оба случайных числа и метка времени совпадают, А и В убеждаются в подлинности дуг друга и получают сеансовый ключ. Синхронизация часов всех участников протокола не требуется, так как метка времени формируется и определяется только по часам корреспондента В и, соответственно, проверяется только им же.