Математика / Реферат: ТИПИЧНЫЕ ДЕФЕКТЫ В КРИПТОГРАФИЧЕСКИХ ПРОТОКОЛАХ

Реферат: ТИПИЧНЫЕ ДЕФЕКТЫ В КРИПТОГРАФИЧЕСКИХ ПРОТОКОЛАХ

Протоколы данного раздела отличаются от предыдущих более детальной спецификацией: указывается структура сообщения, адреса и их проверки... Однако, как показывают примеры, и на этом более высоком уровне спецификации в протоколах имеются серьезные дефекты.

Протокол передачи ключа с квитированием

В данном протоколе используется криптосистема RSA (типа RSA) для передачи по каналу ключей парной связи с ЭЦП, шифрованием и квитированием. Алгоритмы шифрования / расшифрования пользователей А , В , С обозначаются через (Е_а , D_a ), (E_b , D_b ), (E_c , D_c ), причем все алгоритмы шифрования считаются открытыми, а каждый алгоритм расшифрования является секретом пользователя. Подписывание осуществляется применением алгоритма D , а проверка подписи - применением алгоритма Е . Авторизованный пользователь С играет роль противника. Для упрощения обозначений будем писать EDK вместо E (D (K )).

Формальная запись протокола:

A: ДСЧ(А) K_ab ; E_b D_a K_ab =Х; [A║B║X] канал[║║]B

B: =B(?); E_a D_b =КЗУ(В); E_a D_b =Y; [B║║Y]

Þ канал [ ║║ ]A

A: =B(?); =A(?); E_b D_a =;= K_ab (?); K_ab КЗУ(A)

Знаки “~ ” и “__ ” означают возможность модификации сообщений канальными ошибками или противником в направлениях АВ и ВА . Предположим, что протокол АВ проходит в отсутствии модификаций так, что Y = E_a D_b K_ab , но нарушитель С перехватывает квитанцию Y и начинает свой протокол СА .

С: [С ║A ║Y] A

A: A= A(?); E_c D_a Y= E_c D_b K_ab ºКЗУ (А); E_c D_a =Z ;

[A ║C ║Z] C

C: E_a D_c Z=КЗУ (C); E_b D_c = E_b D_c E_c D_b K_ab =K_ab КЗУ(C)

В результате С узнает ключ K_ab и формирует с А ключ с отклонением от протокола, чего пользователь А не замечает.

Протокол Нейман - Стаблбайн

Словесное описание протокола:

- Пользователь А передает В свой нонс N_a в открытом виде.

- Пользователь В шифрует на ключе K_bs нонс N_a , свою отметку времени Т_b и посылает серверу S вместе со своим нонсом N_b , который вернется к В от А в шифрованном виде на ключе K_ab и будет проверен.

- Сервер S генерирует ключ K_ab , шифрует его для А и В , но оба шифрованных сообщения отправляются к А с открытым нонсом N_b .

- Пользователь А выделяет соответствующую часть для В и посылает В вместе с K_ab {N_b } , для проверки “свежести” полученного ключа K_ab (Рис.9)_.

Рис.9

Атака . Противник Е_а запускает протокол, выбрав число N_a по своему усмотрению, из сообщения ВS выделяет N_b и K_bs {A ║N_a ║Т_b } , игнорирует сообщение SЕ_а , составляет и посылает В последнее сообщение протокола: [K_bs {A ║N_a ║Т_b } ║N_a {N_b }] , где вторая часть есть нонс N_b , шифрованный на N_a , как на ключе. В этом сообщении роль K_ab играет N_a . Протокол не предусматривает проверок признаков ключа, а потому N_a будет принято В как ключ парной связи K_ab (заданный противником Е_а ).

Протоколы, основанные на тождествах

Многие протоколы идентификации/аутентификации и ЭЦП основываются на проверке некоторого тождества в модульной арифметике. Если идентификационные данные, предъявляемые пользователем по каналу связи, и данные, выбираемые проверяющим из справочника, удовлетворяют проверочному равенству, то делается вывод, что пользователь есть тот, за кого себя выдает. Однако проверочное равенство обычно имеет гораздо больше решений, чем может быть получено по протоколу. Это позволяет подобрать числа, удовлетворяющие проверочному равенству, не зная секретных данных пользователя или сервера. Предъявляя эти числа в качестве идентификационных данных, можно в ряде случаев ввести в заблуждение проверяющего.

Для примера рассмотрим две модификации протокола односторонней идентификации. Предварительно сервер S выбирает надлежащим образом значения системных параметров (Р , ), генерирует от ДСЧ свой секретный ключ х , вычисляет соответствующий открытый ключ и рассылает всем пользователям постоянные (Р , , y ) по достоверному каналу. Далее, для каждого пользователя, например, для А сервер генерирует от ДСЧ случайное секретное число “К ”, вычисляет открытый идентификатор r= a^k (mod p), находит секретный идентификатор S=K^-1 (A+xr)mod(p-1) и по безопасному каналу передает А его идентификационные данные (A, r, S ), например, А получает их в ЦГРК при регистрации вместе с системными константами Р , , y . Заметим, что секретный идентификатор S является функцией неизвестного числа “К ”, которое стирается, и секретного ключа х сервера S , а также функцией адреса А и открытого идентификатора “r ”.

Двухшаговый протокол односторонней идентификации

В этом протоколе пользователь В , желая идентифицировать А , посылает “вопрос” (случайное число Z ) и проверяет правильность “ответа” А (Рис.10).

Формальная запись протокола:

В: ДСЧ(В) Z А

А: ДСЧ(А) t; r^t (modp)=u; (S+tz) mod (p-1) = V; [A║r║u║v] B

B: ; A - аутентифицирован.

Рис.10

Заметим, что если какие-то числа А, r, u, v при заданных , y, z удовлетворяют уравнению (*) в обычной арифметике (без mod p ), то они удовлетворяют такому же уравнению по любому модулю.

Положим r_ij =, где i, j, l, m - целые. Тогда уравнение (*) удовлетворяется, если iv= A+lz; jv = r_{ij +} mz. Оба уравнения для всякого z дают одинаковые значения v , если пропорциональны их коэффициенты

К-во Просмотров: 279

Бесплатно скачать Реферат: ТИПИЧНЫЕ ДЕФЕКТЫ В КРИПТОГРАФИЧЕСКИХ ПРОТОКОЛАХ

>>> Скачать <<<