Реферат: Криптографические протоколы

M_i выбирает случайное r_i Î_R Z_q ^* ,

M_i ® M_i+1 : { ^{r1…ri / rj} | j Î[1,i ]},  ^r1…ri .

Этап n :

M_n выбирает случайное r_n Î_R Z_q ^* ,

M_n ®Каждому M_i : { ^{(r1…rn) / ri} | i Î[1,n ]}.

Общим ключом будет значение  ^r1…rn .

Данный протокол можно модифицировать для обеспечения аутентификации ключа. Такая модификация отличается от выше приведенного только последним этапом. Предполагается, что M_n имеет с каждым M_i общий секрет K_in =F(^xixn mod p ), где x_i -секретное долговременное значение M_i , ^xi mod p –долговременный открытый ключ M_i .

В этом протоколе каждый участник группы вырабатывает общий аутентичный ключ с M_n . Более того, если мы доверяем M_n , то каждый участник группы может быть уверен, что такой же ключ имеют и все участники группы, т.е. они выработали общий групповой ключ. Пример протокола для четырех участников приведен на рис. 1.

Очевидно, что протокол обладает свойством контрибутивности, поскольку в результирующем ключе S_n есть вклад i -го участника группы в виде степени r_i .

Теорема 2.1.2 Протокол A-GDH .2 обеспечивает свойство PFS .

Док-во: Предположим, что долговременные ключи K_in , i Î[1,n ] скомпрометированы, тогда противник в состоянии вычислить подмножество V ={a ^{П (S)} | S Ì{r₁ ,…,r_n }}. Но, как было показано в [2], по такому V не возможно восстановить сеансовый ключ S_n . #

Рассмотрим устойчивость описанного протокола к атакам по известным ключам.

Пусть S_n (M_i ) – сеансовый ключ, вычисленный каждым M_i . Для 0<i <n -1 можно записать его как a^CiriK-1in . Для M_n S_n (M_n )=a^Cnrn , где ci возможно известно противнику C . C также знает подмножество {a ^{П (S)} | S Ì{r₁ ,…,r_n }}. В данных условиях нахождение a^Kin или a^{K -1 in} невозможно, если вычислительно трудно решить проблему “распознавания Диффи-Хеллмана” [1].

Однако, некоторые из атак возможны. Если С попытается послать M₁ некоторое a^c1 на последнем этапе протокола (где с₁ выбирается противником), то M₁ в результате получит неверный ключ S_n (M₁ )=a^c1r1K-11n , обнаружит проблему и просто заново запустит протокол обмена. Допустим, что противник каким-то образом получил этот неверный ключ (заметим, что на практике это маловероятно). При повторном выполнении протокола С может подменить сообщение от M_n-1 к M_n на

a ^c1r1K1n-1 ,…, a ^c1r1 .

С подменил первое и последнее слово в сообщении, остальные слова не изменялись. Тогда M_n вычислит ключ S_n (M_n )=(a^c1r1 )^rn . M_n также вычислит

(a ^c1r1K1n-1 )^rnK1n =a ^c1r1rn

и отошлет это значение M₁ в последнем этапе протокола. В результате С будет знать ключ M₁ . Но (хотя в работе [1] это и не отмечается), общий групповой ключ опять не совпадет, и через некоторое время протокол придется повторить снова. Все дело во времени определения конфликта ключей. Однако, в такого типа атаке очень много условностей, и поэтому ее можно отнести к разряду теоретических, а не к реально осуществимым атакам. Кроме того, как указано в [1], простым средством предотвращения таких атак является вычисление в качестве ключа S_n =h (S_n (M_i ), где h() – любая хеш-функция.

Необходимо заметить, что вышеупомянутый протокол A-GDH.2 выполняет неявную аутентификацию ключа , причем в довольно слабой форме, поскольку ключ не аутентифицируется непосредственно между каждыми любыми двумя M_i и M_j участниками (i ¹j ). Последний участник M_n (будем далее называть его контролирующим группы , поскольку через него проводятся ключевые операции протокола) отвечает за использование аутентичных ключей K_in , i =1 ... n -1, от которых и зависит аутентификация. Следовательно, участник M_n должен быть лицом, которому все доверяют. Это может быть схема с доверенным сервером в качестве M_n . В противном случае M_n сможет разбить группу на две части без обнаружения этого (поскольку он может перехватывать все сообщения и таким образом получить необходимую информацию в виде  ^{r1…ri / rj} для "i ,j ).

Поэтому необходимо трансформировать протокол, что и было сделано в работе [1].

2.2 Протокол SA-GDH.2

Для описания протокола требуется несколько дополнительных определений.

Опр. 2.2.1. Пусть R – протокол обмена для n участников и M – множество участников. Мы будем говорить, что R является протоколом, обеспечивающим полную( complete) аутентификацию группового ключа , если для каждых i ,j (0< i ¹j £n ) участники M_i и M_j вычислят общий ключ S_i,j , только если S_i,j был получен при участии каждого M_p Ì M .

Другими словами, полная аутентификация группового ключа есть аутентичный обмен для выработки ключа между всеми парами (M_i , M_j ) при (0< i ¹j £n ).

Для выполнения этого определения можно модифицировать протокол A-GDH.2 в следующий: