.

ТИПИЧНЫЕ ДЕФЕКТЫ В КРИПТОГРАФИЧЕСКИХ ПРОТОКОЛАХ

Язык: русский
Формат: реферат
Тип документа: Word Doc
0 632
Скачать документ

Мовсковский Институт Радиотехники, Электроники и АвтоМатики

(технический университет).

Курсовая работа

На тему:

“ТИПИЧНЫЕ ДЕФЕКТЫ В КРИПТОГРАФИЧЕСКИХ ПРОТОКОЛАХ”.

Группа: ВИ-1-96

Студент: Матюшенков А.В.

Руководитель: Зязин В. П.

Москва 2000 год.

Введение.

В настоящий момент известно более тридцати криптографических протоколов,
которые предположительно считались безопасными. Часть из них носит имена
своих авторов, другая часть рекомендована международными стандартами
МККТТ и ISO, третья – входит в национальные стандарты различных стран.
Однако стандарты быстро устаревают, а в протоколах обнаруживаются
дефекты разной степени тяжести, начиная от недостатков типа
необоснованной сложности протокола и до катастрофических недостатков,
делающих протокол крайне опасным. Здесь рассматриваются лишь несколько
наиболее ярких примеров криптографических протоколов с дефектами и
атаками, использующими эти дефекты.

Каждый протокол сначала кратко описывается словами с помощью рисунка для
наглядности идеи протокола, затем представляется формальный текст
протокола, уточняющий спецификацию протокола. Формальный текст протокола
пишется на языке высокого уровня, получившем довольно широкое
распространение в литературе по безопасности протоколов. Наконец, на
этом же языке указываются одна – две атаки противника (нарушителя),
использующие некоторые дефекты протокола. Следует заметить, что эти
атаки часто оказываются возможными только благодаря недостаточно полной
спецификации протокола; точнее, благодаря тому, что из множества
возможных спецификаций протокола реализуется наиболее естественная, но
неудачная. Это означает, что при более внимательном выборе спецификации
протокола, с учетом знания отрицательных прецедентов, указанные атаки,
возможно, окажутся нереализуемыми или неэффективными.

В настоящее время, видимо, нет надежной, систематической методологии для
построения безопасных коммуникационных протоколов, а очень большое число
коммерческих протоколов, которые считались предположительно безопасными,
в действительности оказались уязвимыми со стороны широкого спектра
эффективных атак. От прикладных программистов нельзя требовать
построения безопасных протоколов. Это дело профессиональных
криптографов. Однако, полная спецификация протокола, видимо, должна
разрабатываться совместно криптографом и программистом, а лучше, если
это будет один и тот же человек.

Классификация криптографических протоколов

Протоколы шифрования / расшифрования: в основе протокола этого класса
содержится некоторый симметричный или асимметричный алгоритм шифрования
/ расшифрования. Алгоритм шифрования выполняется на передаче
отправителем сообщения, в результате чего сообщение преобразуется из
открытой формы в шифрованную. Алгоритм расшифрования выполняется на
приеме получателем, в результате чего сообщение преобразуется из
шифрованной формы в открытую. Так обеспечивается свойство
конфиденциальности.

Для обеспечения свойства целостности передаваемых сообщений симметричные
алгоритмы шифрования / расшифрования, обычно, совмещаются с алгоритмами
вычисления имитозащитной вставки (ИЗВ) на передаче и проверки ИЗВ на
приеме, для чего используется ключ шифрования. При использовании
асимметричных алгоритмов шифрования / расшифрования свойство целостности
обеспечивается отдельно путем вычисления электронной цифровой подписи
(ЭЦП) на передаче и проверки ЭЦП на приеме, чем обеспечиваются также
свойства безотказности и аутентичности принятого сообщения.

Протоколы электронной цифровой подписи (ЭЦП): в основе протокола этого
класса содержится некоторый алгоритм вычисления ЭЦП на передаче с
помощью секретного ключа отправителя и проверки ЭЦП на приеме с помощью
соответствующего открытого ключа, извлекаемого из открытого справочника,
но защищенного от модификаций. В случае положительного результата
проверки протокол, обычно, завершается операцией архивирования принятого
сообщения, его ЭЦП и соответствующего открытого ключа. Операция
архивирования может не выполняться, если ЭЦП используется только для
обеспечения свойств целостности и аутентичности принятого сообщения, но
не безотказности. В этом случае, после проверки, ЭЦП может быть
уничтожена сразу или по прошествии ограниченного промежутка времени
ожидания.

Протоколы идентификации / аутентификации: в основе протокола
идентификации содержится некоторый алгоритм проверки того факта, что
идентифицируемый объект (пользователь, устройство, процесс, … ),
предъявивший некоторое имя (идентификатор), знает секретную информацию,
известную только заявленному объекту, причем метод проверки является,
конечно, косвенным, т.е. без предъявления этой секретной информации.

Обычно с каждым именем (идентификатором) объекта связывается перечень
его прав и полномочий в системе, записанный в защищенной базе данных. В
этом случае протокол идентификации может быть расширен до протокола
аутентификации, в котором идентифицированный объект проверяется на
правомочность заказываемой услуги.

Если в протоколе идентификации используется ЭЦП, то роль секретной
информации играет секретный ключ ЭЦП, а проверка ЭЦП осуществляется с
помощью открытого ключа ЭЦП, знание которого не позволяет определить
соответствующий секретный ключ, но позволяет убедиться в том, что он
известен автору ЭЦП.

Протоколы аутентифицированного распределения ключей: протоколы этого
класса совмещают аутентификацию пользователей с протоколом генерации и
распределения ключей по каналу связи. Протокол имеет двух или трех
участников; третьим участником является центр генерации и распределения
ключей (ЦГРК), называемый для краткости сервером S.

Протокол состоит из трех этапов, имеющих названия: генерация,
регистрация и коммуникация.

На этапе генерации сервер S генерирует числовые значения параметров
системы, в том числе, свой секретный и открытый ключ.

На этапе регистрации сервер S идентифицирует пользователей по документам
(при личной явке или через уполномоченных лиц), для каждого объекта
генерирует ключевую и/или идентификационную информацию и формирует
маркер безопасности, содержащий необходимые системные константы и
открытый ключ сервера S (при необходимости).

На этапе коммуникации реализуется собственно протокол
аутентифицированного ключевого обмена, который завершается формированием
общего сеансового ключа.

Дефекты в криптографических протоколах

В последующих разделах рассматриваются протоколы с типичными дефектами.
Примеры протоколов разбиты на группы по типу используемой криптосистемы:

протоколы с криптосистемой DH (Диффи, Хэллман);

протоколы с криптосистемой RSA (Райвест, Шамир, Адлеман);

протоколы с коммутативным шифрованием (Шамир);

протоколы аутентифицированного распределения ключей;

протоколы, основанные на тождествах.

Протоколы с криптосистемой DH (Диффи, Хэллман)

выбираются надлежащим образом.

Протокол ключевого обмена DH

Пользователи А и В формируют секретный ключ парной связи Kab с помощью
следующего протокола (Рис.1)

и посылает его В.

и посылает его А.

.

.

Рис.1

, то Kab = Kba .

Для краткости вместо словесного описания обычно применяется формальная
запись, в которой двоеточие означает перечисление совершаемых
пользователем действий, стрелка означает генерацию, извлечение или
запись информации по внутренним цепям (каналам) пользователя, двойная
стрелка означает передачу по внешнему открытому каналу, тройная стрелка
– передачу по внешнему защищенному каналу связи, например, передачу по
шифрованному каналу секретных данных для пользователя от сервера S. В
данном случае формальная запись протокола выглядит следующим образом:

B

;

A,

Здесь: ? – знак присоединения, [ … ] – сформированное сообщение, КЗУ –
ключевое запоминающее устройство.

Предполагается, что канал без ошибок и без воздействий противника (Е).

Атака 1. Еb – противник Е, играющий роль пользователя В, перехватывает
сообщение от А к В и формирует ключ парной связи Kea=Kae, причем А
считает, что это ключ связи с В (Рис.2):

B

;

A

Рис.2

Атака 2. Еа, Еb – противник Е, играющий роли пользователей А и В,
перехватывает сообщения от А и В, формирует ключи Kae и Keb парной связи
с А и В путем ведения двух параллельных протоколов. В результате
пользователи А и В считают, что они имеют конфиденциальную связь на
ключе Kab; в действительности они установили шифрованную связь с
перешифрованием у противника Е. (Рис.3).

Рис.3

Eb

;

A

B ,

Ea,

Протокол аутентифицированного ключевого обмена DH

; … и помещают их в защищенный от модификаций общедоступный
справочник {Ya, Yb, Yc, …}. (Рис.4).

Рис.4

Формальная запись протокола:

A

;

;

B

– обратный к tb по mod (p-1), знак (?) после равенства означает, что
проверяется выполнение равенства: при невыполнении протокол
разрывается, при выполнении осуществляется переход к следующей операции.

. Отсюда следует:

Kab.

В результате противник Е устанавливает с А ключ парной связи Kae,
переданный по открытому каналу связи, причем А считает, что это ключ для
связи с В.

Протоколы с криптосистемой RSA

, d) пользователи сохраняют в секрете.

Протокол шифрования и цифровой подписи по RSA

Данный протокол рекомендован МККТТ, рекомендация Х.509. Дефект протокола
состоит в неправильном порядке операции шифрования и подписывания:
правильно сначала подписать, затем шифровать. В формальной записи
протокола применяются следующие обозначения:

М – передаваемое сообщение от А к В;

Сb – шифрованное А сообщение М на ключе eb получателя В;

Сba – сообщение Сb, подписанное А на ключе da отправителя А.

Предполагается, что nb

Литература Диффи, Хэллман. ”Новые направления в криптографии”. ТИИЭР, т.67, №3, 1979 Мэсси. “Введение в современную криптографию”. ТИИЭР, т.76, №5, 1988 Научная библиотека СО РАН, журнал “Открытые системы” (издательство “Открытые системы”), HYPERLINK http://proxy.uiggm.nsc.ru/ http://proxy.uiggm.nsc.ru/ Analysis of Cryptographic Protocols (CRYPTO) Publications, HYPERLINK http://chacs.nrl.navy.mil/publications/CHACS/CRYPTOindex.html http://chacs.nrl.navy.mil/publications/CHACS/CRYPTOindex.html Multi-Dimensional Security Protocol Engineering using SPEAR, HYPERLINK http://www.cs.uct.ac.za/Research/DNA/SPEAR/report10/report10.html http://www.cs.uct.ac.za/Research/DNA/SPEAR/report10/report10.html

Нашли опечатку? Выделите и нажмите CTRL+Enter

Похожие документы
Обсуждение

Оставить комментарий

avatar
  Подписаться  
Уведомление о
Заказать реферат!
UkrReferat.com. Всі права захищені. 2000-2020