Организация сетей засекреченной связи

6.1. Протоколы распределения ключей.

6.1.1. Передача ключей с использованием симметричного шифрования

6.1.2. Передача ключей с использованием асимметричного шифрования

6.1.3. Открытое распределение ключей

6.1.4. Предварительное распределение ключей

6.1.5. Схемы разделения секрета

6.1.6. Способы установления ключей для конференц-связи

6.2. Особенности использования вычислительной техники в криптографии.

6.2.1. Методы применения шифрования данных в локальных вычислительных сетях.

6.2.2. Обеспечение секретности данных при долгосрочном хранении.

6.2.3. Задачи обеспечения секретности и целостности данных и ключей при краткосрочном хранении:

6.2.4. Обеспечение секретности ключей при долгосрочном хранении.

6.2.5. Защита от атак с использованием побочных каналов.

Протоколы распределения ключей.

Различают следующие типы протоколов распределения ключей:

— протоколы передачи (уже сгенерированных) ключей;

— протоколы (совместной) выработки общего ключа (открытое распределение ключей);

— схемы предварительного распределения ключей.

Различают также протоколы распределения ключей между отдельными участниками и между группами участников информационного взаимодействия.

Передача ключей с использованием симметричного шифрования

Имеются протоколы, в которых стороны осуществляют передачу ключей при непосредственном взаимодействии, то есть двусторонние протоколы или, иначе, протоколы типа "точка-точка", и протоколы с централизованным распределением ключей, в которых предусмотрена третья сторона, играющая роль доверенного центра.

Двусторонние протоколы

Различают протоколы, в которых стороны заранее располагают какой-либо известной им обоим секретной информацией, и протоколы, не требующие этого условия.

Пусть стороны А и В заранее обладают общей секретной информацией. Допустим, что это — секретный ключ k_АВ.

Тогда для передачи ключа k стороны могут использовать одностороннюю передачу:

А→В: E_kAB (k,t,B),

где Е — алгоритм шифрования, t — метка времени, В — идентификатор абонента В (для краткости вместо id(B) будем использовать лишь один символ В).

Если не передавать метки времени, то злоумышленник может осуществить повторную передачу того же сообщения. Если же не указывать идентификатора адресата, то злоумышленник может вернуть отправителю перехваченное сообщение, что в некоторых ситуациях может быть опасным, поскольку абонент А не сможет установить, что это сообщение получено не от абонента В.

В приведенном протоколе вместо шифрования можно было использовать ключевую хэш-функцию, зависящую от общего ключа:

А→В: k Å h_kAB (t,B).

Если дополнительно требуется аутентификация сеанса, то можно использовать следующий протокол типа "запрос-ответ":

1. В→А:r_B,

2. А→В:Е_kАВ (k,r_B,В),

где r_B — случайное число, сгенерированное абонентом В и переданное абоненту А в начале сеанса. При использовании хэш-функции подобный протокол может выглядеть так:

1. B→A: r_B,

2. A→B: k Å h_kAB (r_B,B).

Если требуется двусторонняя аутентификация, то можно модифицировать последний протокол, предоставив возможность стороне А путем генерации своего случайного числа r_А и введения его в сообщение на шаге 2 протокола убедиться в том, что он имеет дело именно с абонентом В.

Исходный протокол можно модифицировать так, чтобы искомый ключ k генерировался не одной стороной, а являлся результатом двустороннего обмена.

Пусть абонентами А и В помимо случайных чисел r_А и r_B генерируют также случайные числа k _A и k_B соответственно. Тогда в результате выполнения протокола

1. В→А:r_в,

2. A→B:E_kAB (k_A,r_A,r_B,B),

3. B→A:E_kAB (k_B,r_B,r_A,A),

каждая из сторон может вычислить общий ключ с помощью некоторой функции f по правилу k = f (k_A,k_B). В этом протоколе ни одна из сторон не может знать заранее значения ключа.

Приведем теперь "бесключевой" протокол А. Шамира, позволяющий передать ключ без использования какой-либо общей секретной информации.

Пусть имеется некоторое коммутирующее шифрующее преобразование Е. Это означает, что при всех сообщениях х и ключах k ₁и k ₂выполняется равенство

Тогда пользователи А и В могут реализовать следующий трехшаговый протокол для передачи секретного ключа k от А к В:

1. А→В: Е_kА (k),

2. В→А: Е_kB (Е_kА (k)),

3. А→В: D_kА (Е_kB (Е_kA (k))).

В этом протоколе можно использовать не каждое коммутирующее преобразование Е. Например, легко заметить, что для преобразования Е_к (к) = k Å Г протокол оказывается заведомо нестойким. Поэтому в протоколе Шамира рекомендуется использовать преобразование вида Е_kA (k) = k^a mod p, в котором константа а определяется ключом k_а.

Трехсторонние протоколы

Рассмотрим протоколы распределения ключей между парами участников с использованием третьей стороны Т, называемой центром. В этом качестве обычно выступает некоторый выделенный узел сети, или сервер, которому доверяют все участники. Центр Т хранит ключи всех абонентов сети. Поэтому схема ключевых взаимоотношений графически представляет собой звезду.

Один из первых протоколов такого типа заключается в выполнении следующих шагов:

1. А→Т: А,В,r_A,

2. T→A: E_kAT (r_A,B,k,E_kBT (k,A)),

3. A→B: E_kBT (k,A),

4. B→A: E_k (r_B),

5. A→B: E_k (r_B - 1).

В результате выполнения трех первых шагов протокола пользователи А и В получают сгенерированный центром Т общий ключ к для организации взаимодействия. Четвертый и пятый шаги предназначены для аутентификации пользователя А и подтверждения правильности получения ключа обеими сторонами.

Слабость этого протокола заключается в возможности повторной передачи абоненту В сообщения, переданного на шаге 3. При этом абонент В не имеет возможности установить, что полученный ключ k уже был использован. Поэтому в случае компрометации этого ключа злоумышленник может аутентифицироваться и передавать сообщения от имени A.

Недостаток этого протокола устранен в протоколе Kerberos. Рассмотрим сначала базовый протокол, применяемый в протоколе аутентификации и распределения ключей Kerberos. Он состоит из следующих шагов:

1. А→Т: А,В,r_А,

2. Т→А: Е_кBT (k, r_A,L,B), билет,

3. A→В: билет, аутентификатор,

4. В→А: E_k (t,k_B).

Здесь "билетом" названа величина E_kBT (k,A,L), "ayтентификатором" — величина E_k (A,t,k_A), t — метка времени; L — период времени действия билета, r_А — случайное число, сгенерированное абонентом А и вставленное в передаваемое сообщение для взаимной аутентификации, а k_А и k_B — случайные числа, сгенерированные абонентами А и В соответственно, и используемые либо в качестве ключа шифрования информации другой стороне, либо для выработки общего ключа k_АВ = f (k_A,k_B)с помощью некоторой функции f.

В полном протоколе Kerberos описанный выше базовый протокол используется два раза. Дело в том что в нем предусмотрено два сервера. Первый - "сервер аутентификации", обозначаемый AS, выдает так называемые "билеты для получения билетов" (tgt), содержащие ключи, предназначенные для длительного использования. Второй сервер, TGS, — "сервер выдачи билетов", выдает обычные билеты для доступа к сетевым ресурсам и обращения к другим пользователям.

Рис.36. Протокол Kerberos.

Сообщения, передаваемые согласно этому протоколу, выглядят следующим образом:

1. A→AS: A,TGS,r_A,,

2. AS→A: E_kA,AS (k_A,TGS,r_A,L ₁ ,TGS), tgt,

3. A→TGS: tgt, аутентификатор ₁, B, r_A’,

4. TGS→ A: E_kA,TGS (k,r_A’,L₂,B), билет,

5. A→В: билет, аутентификатор ₂,

6. B→A: E_k (t₂,k_B),

где

tgt = Е_kАS,TGS (k_А,TGS, А, L ₁),

аутентификатор ₁ = E_kA,TGS (A,t ₁),

билет = Е_kB,TGS (К, A,L ₂ ),

аутентифиштор ₂ = E_k (A, t ₂, k_A).

Благодаря введению второго сервера нагрузка на первый сервер уменьшается во много раз. Первый сервер должен быть наиболее защищенным, поскольку он хранит главные ключи всех пользователей. Серверов второго типа может быть несколько, и они могут соответствовать определенной подсети или определенному типу ресурса.

Приведем еще один протокол распределения ключей с использованием сервера, предпочтительный для случая, когда сервер находится в более удобном расположении для второго абонента. Протокол состоит в выполнении следующих действий:

1. A→B: r,A,B,E_kAT (r_A,r,A,B),

2. В →Т: r, А,В,E_kAT (r_A,r, А,В) ,Е_kBT (r_B,r, А,В),

3. T→B: E_kAT (r_A,k) ,E_kBT (r_B,k),

4. В→А: Е_кАТ (r_А,к).

Пользователь А генерирует два случайных числа: первое (r_А)используется, как и раньше, для взаимной аутентификации, а второе (r) — для аутентификации сеанса связи (вместо него может быть использована метка времени).

Этот протокол можно дополнить еще одним шагом для обеспечения взаимной аутентификации сторон и подтверждения правильности полученного ключа:

4^’. B→A: Е_kAT (r_А,k) ,Е_k (r,r_в),

5. А→В: Е_k (r).

⇐ Предыдущая12131415161718192021Следующая ⇒

Поделиться:

Воспользуйтесь поиском по сайту: