Реферат: ТИПИЧНЫЕ ДЕФЕКТЫ В КРИПТОГРАФИЧЕСКИХ ПРОТОКОЛАХ

В : ДСЧ (В) t_b ; ; [B ║A ║Z] A

A : ДСЧ (A) t_a ; ;

; ;

[A ║B ║U ║V] канал [ ║ ║ ║] B

В: =A(?); =B(?);;

Здесь знак “~ ” означает возможность искажения каналом или модификации противником, знак “ ­ ” означает возведение в степень , - обратный к t_b по mod (p -1), знак (? ) после равенства означает, что проверяется выполнение равенства: при невыполнении протокол разрывается, при выполнении осуществляется переход к следующей операции.

В результате ключ при U отличается от K_ab , если выполняется проверка аутентичности . Отсюда следует:

Атака 1. Противник Е_а , играющий роль пользователя А, подменяет в канале сообщение [A ║B ║U ║V] на [A ║B ║║] с условием . В результате пользователь В формирует ложный ключ K_{ab .}

Атака 2. Противник Е_b , играющий роль В , посылает А число , на что тот по протоколу отвечает числами (U , V ), где В результате противник Е устанавливает с А ключ парной связи K_ae , переданный по открытому каналу связи, причем А считает, что это ключ для связи с В.

Протоколы с криптосистемой RSA

Предварительно все пользователи А , В , С , ... сети связи генерируют личные модули n_a , n_b , n_c , ..., каждый из которых имеет структуру: n=pq произведения двух простых чисел p и q (n_a =p_a q_a ; n_b =p_b q_b ; n_c =p_c q_c ; ... ), выбранных надлежащим образом [ 2 ]. Затем каждый пользователь соответствующим образом выбирает пару чисел (e, d ), удовлетворяющих условию , где Далее числа (n, e) в качестве открытого ключа отправляются по достоверному каналу в общедоступный справочник. Числа (p, q, , d) пользователи сохраняют в секрете.

Протокол шифрования и цифровой подписи по RSA

Данный протокол рекомендован МККТТ, рекомендация Х.509. Дефект протокола состоит в неправильном порядке операции шифрования и подписывания: правильно сначала подписать, затем шифровать. В формальной записи протокола применяются следующие обозначения:

М - передаваемое сообщение от А к В ;

С_b - шифрованное А сообщение М на ключе e_b получателя В ;

С_ba - сообщение С_b , подписанное А на ключе d_a отправителя А .

Предполагается, что n_b <n_a . Обоснование последних двух равенств состоит в следующих преобразованиях:

Атака1 . Некоторый пользователь Х (нарушитель) перехватывает сообщение (Рис.5), снимает ЭЦП пользователя А, пользуясь открытым ключом (n_a , e_a ).

Рис.5

Полученное шифрованное сообщение С_b он подписывает на своем секретном ключе d_x , тем самым присваивая себе авторство на сообщение М . Получив сообщение , пользователь В снимает подпись Х с помощью открытого ключа (n_x , e_x ), расшифровывает на своем секретном ключе d_b и выделяет сообщение М , которое считает сообщением от Х , но не от А , если само сообщение М не содержит признаков А .

Замечание : если n_a =n_b , то операции шифрования и подписывания становятся перестановочными, так что снятие ЭЦП становится возможным при любом порядке этих операций.

Протокол шифрования по RSA на общем модуле

Пусть сообщение М шифруется по криптосистеме RSA с общим модулем “n ”. Пользователи А и В получают шифрованные сообщения ,

Атака1. Противник Е перехватывает шифрованные сообщения С_а и С_b . Зная открытые ключи e_a и e_b , противник по алгоритму Эвклида находит числа x , y так, что xe_a + ye_b = 1 (с большой вероятностью числа e_a и e_b взаимно просты). Тогда . В результате противник вычисляет сообщение М , зная только открытые ключи e_a , e_b и модуль n , но не зная модуля , что равносильно знанию факторизации n=pq .

Протоколы с коммутативным алгоритмом шифрования

Алгоритм шифрования называется коммутативным, если результат последовательного шифрования сообщения М на ключах К₁ и К₂ не зависит от порядка используемых ключей: К2{К1{M}}= =K1{K2{M}}, где K{M} - результат шифрования M на ключе К. Примерами коммутативного алгоритма шифрования являются алгоритм DH, алгоритм RSA при общем модуле, алгоритм гаммирования (сложения по модулю). Коммутативность алгоритма шифрования является здесь следствием коммутативности операций модульного умножения и сложения.

Коммутативный алгоритм шифрования привлекателен тем, что пользователям не нужно устанавливать общий ключ парной связи, а достаточно генерировать личные секретные ключи. Идея конфиденциальной связи без предварительной договоренности о ключе шифрования наиболее ярко демонстрируется примером Шамира (Рис.6).

Трехшаговый протокол шифрования Шамира

Рис.6

Формальная запись протокола:

A: ДСЧ (А) х; М х В

В: ДСЧ (В) y; (М х) y A

A: (М х y) x = M y B

B: (M y) y = M

Атака 1 . Противник Е перехватывает все три сообщения в канале связи и складывает их по mod2 . В результате получается М в открытом виде.