Мовсковский Институт Радиотехники, Электроники и АвтоМатики
(технический университет).
Курсовая работа
На тему:
“ТИПИЧНЫЕ ДЕФЕКТЫ В КРИПТОГРАФИЧЕСКИХ ПРОТОКОЛАХ”.
Группа: ВИ-1-96
Студент: Матюшенков А.В.
Руководитель: Зязин В. П.
Москва 2000 год.
Введение.
В настоящий момент известно более тридцати криптографических протоколов,
которые предположительно считались безопасными. Часть из них носит имена
своих авторов, другая часть рекомендована международными стандартами
МККТТ и ISO, третья – входит в национальные стандарты различных стран.
Однако стандарты быстро устаревают, а в протоколах обнаруживаются
дефекты разной степени тяжести, начиная от недостатков типа
необоснованной сложности протокола и до катастрофических недостатков,
делающих протокол крайне опасным. Здесь рассматриваются лишь несколько
наиболее ярких примеров криптографических протоколов с дефектами и
атаками, использующими эти дефекты.
Каждый протокол сначала кратко описывается словами с помощью рисунка для
наглядности идеи протокола, затем представляется формальный текст
протокола, уточняющий спецификацию протокола. Формальный текст протокола
пишется на языке высокого уровня, получившем довольно широкое
распространение в литературе по безопасности протоколов. Наконец, на
этом же языке указываются одна – две атаки противника (нарушителя),
использующие некоторые дефекты протокола. Следует заметить, что эти
атаки часто оказываются возможными только благодаря недостаточно полной
спецификации протокола; точнее, благодаря тому, что из множества
возможных спецификаций протокола реализуется наиболее естественная, но
неудачная. Это означает, что при более внимательном выборе спецификации
протокола, с учетом знания отрицательных прецедентов, указанные атаки,
возможно, окажутся нереализуемыми или неэффективными.
В настоящее время, видимо, нет надежной, систематической методологии для
построения безопасных коммуникационных протоколов, а очень большое число
коммерческих протоколов, которые считались предположительно безопасными,
в действительности оказались уязвимыми со стороны широкого спектра
эффективных атак. От прикладных программистов нельзя требовать
построения безопасных протоколов. Это дело профессиональных
криптографов. Однако, полная спецификация протокола, видимо, должна
разрабатываться совместно криптографом и программистом, а лучше, если
это будет один и тот же человек.
Классификация криптографических протоколов
Протоколы шифрования / расшифрования: в основе протокола этого класса
содержится некоторый симметричный или асимметричный алгоритм шифрования
/ расшифрования. Алгоритм шифрования выполняется на передаче
отправителем сообщения, в результате чего сообщение преобразуется из
открытой формы в шифрованную. Алгоритм расшифрования выполняется на
приеме получателем, в результате чего сообщение преобразуется из
шифрованной формы в открытую. Так обеспечивается свойство
конфиденциальности.
Для обеспечения свойства целостности передаваемых сообщений симметричные
алгоритмы шифрования / расшифрования, обычно, совмещаются с алгоритмами
вычисления имитозащитной вставки (ИЗВ) на передаче и проверки ИЗВ на
приеме, для чего используется ключ шифрования. При использовании
асимметричных алгоритмов шифрования / расшифрования свойство целостности
обеспечивается отдельно путем вычисления электронной цифровой подписи
(ЭЦП) на передаче и проверки ЭЦП на приеме, чем обеспечиваются также
свойства безотказности и аутентичности принятого сообщения.
Протоколы электронной цифровой подписи (ЭЦП): в основе протокола этого
класса содержится некоторый алгоритм вычисления ЭЦП на передаче с
помощью секретного ключа отправителя и проверки ЭЦП на приеме с помощью
соответствующего открытого ключа, извлекаемого из открытого справочника,
но защищенного от модификаций. В случае положительного результата
проверки протокол, обычно, завершается операцией архивирования принятого
сообщения, его ЭЦП и соответствующего открытого ключа. Операция
архивирования может не выполняться, если ЭЦП используется только для
обеспечения свойств целостности и аутентичности принятого сообщения, но
не безотказности. В этом случае, после проверки, ЭЦП может быть
уничтожена сразу или по прошествии ограниченного промежутка времени
ожидания.
Протоколы идентификации / аутентификации: в основе протокола
идентификации содержится некоторый алгоритм проверки того факта, что
идентифицируемый объект (пользователь, устройство, процесс, … ),
предъявивший некоторое имя (идентификатор), знает секретную информацию,
известную только заявленному объекту, причем метод проверки является,
конечно, косвенным, т.е. без предъявления этой секретной информации.
Обычно с каждым именем (идентификатором) объекта связывается перечень
его прав и полномочий в системе, записанный в защищенной базе данных. В
этом случае протокол идентификации может быть расширен до протокола
аутентификации, в котором идентифицированный объект проверяется на
правомочность заказываемой услуги.
Если в протоколе идентификации используется ЭЦП, то роль секретной
информации играет секретный ключ ЭЦП, а проверка ЭЦП осуществляется с
помощью открытого ключа ЭЦП, знание которого не позволяет определить
соответствующий секретный ключ, но позволяет убедиться в том, что он
известен автору ЭЦП.
Протоколы аутентифицированного распределения ключей: протоколы этого
класса совмещают аутентификацию пользователей с протоколом генерации и
распределения ключей по каналу связи. Протокол имеет двух или трех
участников; третьим участником является центр генерации и распределения
ключей (ЦГРК), называемый для краткости сервером S.
Протокол состоит из трех этапов, имеющих названия: генерация,
регистрация и коммуникация.
На этапе генерации сервер S генерирует числовые значения параметров
системы, в том числе, свой секретный и открытый ключ.
На этапе регистрации сервер S идентифицирует пользователей по документам
(при личной явке или через уполномоченных лиц), для каждого объекта
генерирует ключевую и/или идентификационную информацию и формирует
маркер безопасности, содержащий необходимые системные константы и
открытый ключ сервера S (при необходимости).
На этапе коммуникации реализуется собственно протокол
аутентифицированного ключевого обмена, который завершается формированием
общего сеансового ключа.
Дефекты в криптографических протоколах
В последующих разделах рассматриваются протоколы с типичными дефектами.
Примеры протоколов разбиты на группы по типу используемой криптосистемы:
протоколы с криптосистемой DH (Диффи, Хэллман);
протоколы с криптосистемой RSA (Райвест, Шамир, Адлеман);
протоколы с коммутативным шифрованием (Шамир);
протоколы аутентифицированного распределения ключей;
протоколы, основанные на тождествах.
Протоколы с криптосистемой DH (Диффи, Хэллман)
выбираются надлежащим образом.
Протокол ключевого обмена DH
Пользователи А и В формируют секретный ключ парной связи Kab с помощью
следующего протокола (Рис.1)
и посылает его В.
и посылает его А.
.
.
Рис.1
, то Kab = Kba .
Для краткости вместо словесного описания обычно применяется формальная
запись, в которой двоеточие означает перечисление совершаемых
пользователем действий, стрелка означает генерацию, извлечение или
запись информации по внутренним цепям (каналам) пользователя, двойная
стрелка означает передачу по внешнему открытому каналу, тройная стрелка
– передачу по внешнему защищенному каналу связи, например, передачу по
шифрованному каналу секретных данных для пользователя от сервера S. В
данном случае формальная запись протокола выглядит следующим образом:
B
;
A,
Здесь: ? – знак присоединения, [ … ] – сформированное сообщение, КЗУ –
ключевое запоминающее устройство.
Предполагается, что канал без ошибок и без воздействий противника (Е).
Атака 1. Еb – противник Е, играющий роль пользователя В, перехватывает
сообщение от А к В и формирует ключ парной связи Kea=Kae, причем А
считает, что это ключ связи с В (Рис.2):
B
;
A
Рис.2
Атака 2. Еа, Еb – противник Е, играющий роли пользователей А и В,
перехватывает сообщения от А и В, формирует ключи Kae и Keb парной связи
с А и В путем ведения двух параллельных протоколов. В результате
пользователи А и В считают, что они имеют конфиденциальную связь на
ключе Kab; в действительности они установили шифрованную связь с
перешифрованием у противника Е. (Рис.3).
Рис.3
Eb
;
A
B ,
Ea,
Протокол аутентифицированного ключевого обмена DH
; … и помещают их в защищенный от модификаций общедоступный
справочник {Ya, Yb, Yc, …}. (Рис.4).
Рис.4
Формальная запись протокола:
A
;
;
B
– обратный к tb по mod (p-1), знак (?) после равенства означает, что
проверяется выполнение равенства: при невыполнении протокол
разрывается, при выполнении осуществляется переход к следующей операции.
. Отсюда следует:
Kab.
В результате противник Е устанавливает с А ключ парной связи Kae,
переданный по открытому каналу связи, причем А считает, что это ключ для
связи с В.
Протоколы с криптосистемой RSA
, d) пользователи сохраняют в секрете.
Протокол шифрования и цифровой подписи по RSA
Данный протокол рекомендован МККТТ, рекомендация Х.509. Дефект протокола
состоит в неправильном порядке операции шифрования и подписывания:
правильно сначала подписать, затем шифровать. В формальной записи
протокола применяются следующие обозначения:
М – передаваемое сообщение от А к В;
Сb – шифрованное А сообщение М на ключе eb получателя В;
Сba – сообщение Сb, подписанное А на ключе da отправителя А.
Предполагается, что nb
Литература Диффи, Хэллман. ”Новые направления в криптографии”. ТИИЭР, т.67, №3, 1979 Мэсси. “Введение в современную криптографию”. ТИИЭР, т.76, №5, 1988 Научная библиотека СО РАН, журнал “Открытые системы” (издательство “Открытые системы”), HYPERLINK http://proxy.uiggm.nsc.ru/ http://proxy.uiggm.nsc.ru/ Analysis of Cryptographic Protocols (CRYPTO) Publications, HYPERLINK http://chacs.nrl.navy.mil/publications/CHACS/CRYPTOindex.html http://chacs.nrl.navy.mil/publications/CHACS/CRYPTOindex.html Multi-Dimensional Security Protocol Engineering using SPEAR, HYPERLINK http://www.cs.uct.ac.za/Research/DNA/SPEAR/report10/report10.html http://www.cs.uct.ac.za/Research/DNA/SPEAR/report10/report10.html
Нашли опечатку? Выделите и нажмите CTRL+Enter
