Протоколы рукопожатия

Пусть существуют два абонента – A и B. Каждый из них обладает секретной информацией k (тот, кто обладает такой информацией, считается «своим», тот, кто не обладает – «чужим»). Допустим, абоненты A и B хотят начать взаимодействие, но предварительно им надо убедиться, что предполагаемый партнер является «своим», то есть обладает той же секретной информацией k. При этом ни один из абонентов не хочет раскрывать k ни своему vis-à-vis, ни предполагаемому злоумышленнику, который может прослушивать канал связи.

В качестве примера применения таких протоколов может служить система опознавания самолетов. В качестве абонента A выступает самолет, а в качестве абонента B – база. В момент обнаружения базой самолета необходимо произвести взаимную идентификацию – «свой» самолет будет пропущен, а «чужому» будет сделано предупреждение о нарушении воздушного пространства. Точно так же и самолет должен убедиться, что получает указания со «своей» базы.

Протоколы рукопожатия также используются при двусторонней идентификации «интеллектуальная карточка – устройство считывания».

В таком случае абоненты могут использовать следующий протокол:

Протокол рукопожатия 1:

Е _k (x) – шифрование текста x на ключе k (с использованием симметричной криптосистемы);

k – секретный ключ, которым обладают только «свои» абоненты.

A→B: случайное число r ₁

B→A: s ₁=E _k (r ₁)

A: вычисляет s ₁^*=E _k (r ₁) и проверяет равенство s ₁= s ₁^*. Если равенство неверно, то A определяет В как «чужого» и прерывает протокол. Иначе A определяет B как «своего».

В→A: случайное число r ₂

A→B: s ₂=E _k (r ₂)

B: вычисляет s ₂^*=E _k (r ₂) и проверяет равенство s ₂= s ₂^*. Если равенство неверно, то B определяет A как «чужого». Иначе B определяет A как «своего».

В приведенном протоколе секретный параметр k не фигурирует в канале связи в открытом виде, а используется только в качестве ключа шифрования. Стойкость данного протокола основана на стойкости использованной в ней системы шифрования. Если криптосистема стойка против атаки с известной парой «открытый текст – шифрованный текст», то сторонний противник, прослушивающий канал двух легальных абонентов, не сможет восстановить k с достаточной вероятностью.

Если шифрование одного и того же текста на разных ключах приводит к разным шифрованным текстам, то противник, пытающийся выдать себя за «своего», скорее всего, не сможет угадать правильное значение s_i (i =1,2).

Если криптосистема E – детерминированная (то есть паре x, k соответствует один и только один шифртекст y), то легальные абоненты A и B (обладающие общим секретным параметром k) всегда будут получать совпадение s ₁= s ₁^*, s ₂= s ₂^*. А значит, легальные абоненты при каждом выполнении протокола будут определяться друг другом как «свои». Итак, пришли к следующему

Замечанию:

Криптосистема, используемая в данном протоколе, должна быть симметричной, детерминированной, стойкой к атаке с известной парой «открытый текст – шифрованный текст» и свободной от коллизий.

Заметим также, что сторонний противник, способный вносить искажения в передаваемую информацию, вполне может нарушить взаимодействие A и B путем искажения параметров r_i или s_i (i =1,2), заставив абонентов определить друг друга как «чужой».

Случайность чисел r_i (i =1,2) важна. Шанс повторить уже однажды использованное число r_i (i =1,2) должен быть близок к нулю, иначе противник, однажды перехватив сообщения двух легальных абонентов, может пройти идентификацию, просто посылая эти сообщения повторно.

Следует отметить, что рассмотренный протокол не является достаточно хорошим, поскольку он не целостен. Действительно, данный протокол состоит из двух симметричных независимых частей. Пользователь В, пройдя идентификацию перед A в первой половине протокола, не может быть уверен в том, что во второй половине протокола перед ним идентифицируется тот же A. Для того, чтобы устранить этот недостаток, можно использовать такой

Протокол рукопожатия 2:

Е _k (x) – шифрование текста x на ключе k (с использованием симметричной криптосистемы);

k – секретный ключ, которым обладают только «свои» абоненты.

A→B: случайное число r ₁

B→A: s ₁=E _k (r ₁, r ₂, B^*), где r ₂ – случайное число, B – идентификатор B

(^* указывает на то, что этот параметр необязательный);

A: вычисляет (r ₁´, r ₂´, B^*)=D _k (s ₁) и проверяет равенство r ₁= r ₁´. Если равенство неверно, то A определяет В как «чужого» и прерывает протокол. Иначе A определяет B как «своего».

A→B: s ₂=E _k (r ₂, r ₁);

B: вычисляет (r ₂´, r ₁´)=D _k (s ₂) и проверяет равенства r ₁= r ₁´, r ₂= r ₂´. Если равенства неверны, то B определяет A как «чужого». Иначе B определяет A как «своего».

Все замечания относительно выбора параметров, сделанные для первого протокола, верны и для второго. Достоинством второго протокола является связность всех шагов, поэтому подмену может осуществить только такой злоумышленник, который не только перехватывал все сообщения A и B в ходе выполнения протокола, но и знает ключ k.

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:

7 8 9 10 11 12 13

Конспект режимных моментов в средней группе в первую половину дня

Уголовно-исполнительное право: Шпаргалка

Формы, виды и типы культуры

Требования безопасности в аварийных ситуациях. Действия работника при возникновении аварийных ситуаций, которые могут привести к несчастным случаям, пожару (взрыву)

Закон сохранения момента импульса

Орфография и орфограммы. Типы и виды орфограмм

Самый сильный аргумент, почему эволюция человека не могла быть