В. Р. Гинзбург Перевод с английского



Pdf көрінісі
бет144/203
Дата26.09.2024
өлшемі2,74 Mb.
#145829
1   ...   140   141   142   143   144   145   146   147   ...   203
Байланысты:
практическая криптография


Глава 15. Протокол согласования ключей
генерировать новые параметры алгоритма DH, а пользователя А — от необ-
ходимости каждый раз их проверять. Приложения даже могут использовать
фиксированные наборы параметров алгоритма DH, в результате чего их не
придется посылать явно — достаточно указать идентификатор нужного на-
бора параметров. Все эти изменения представляют собой простые, непосред-
ственные оптимизации протокола, поэтому мы не будем обсуждать их более
подробно. Тем не менее будьте крайне осторожны. Многочисленные оптими-
зации могут привести к тому, что протокол будет взломан. К сожалению,
мы не можем сформулировать никаких простых правил относительно того,
приведет ли конкретная оптимизация к взлому протокола или нет. Проекти-
рование протокола — это скорее искусство, нежели наука, и жестких правил,
которых следует придерживаться всегда и везде, здесь не существует.
15.8
Анализ протокола с различных точек зрения
Протокол наподобие нашего весьма полезно проанализировать с различ-
ных точек зрения. Наш протокол должен обладать несколькими свойствами,
и в следующих разделах речь идет о том, почему он действительно ими об-
ладает.
15.8.1
Точка зрения пользователя А
Давайте рассмотрим протокол с точки зрения пользователя А. Он по-
лучает от пользователя Б одно сообщение. Пользователь А уверен, что это
сообщение действительно пришло от пользователя Б, так как оно прошло
аутентификацию, и в данные, которые подверглись аутентификации, была
включена случайная оказия
N
a
, выбранная самим пользователем А. Такое
сообщение невозможно подделать или заменить воспроизведенным старым
сообщением.
Пользователь А убеждается в том, что параметры алгоритма DH были вы-
браны правильно, поэтому протокол DH будет обладать всеми необходимыми
свойствами. Таким образом, когда пользователь А генерирует секретное зна-
чение
y
и посылает значение
Y
, он понимает, что вычислить
k
сможет только
тот человек, который знает
x
, такой, что
g
x
=
X
. Это основное свойство про-
токола DH. Пользователь Б аутентифицировал
X
, а он может сделать это
только в том случае, если выполняет все правила протокола. Следовательно,
пользователь Б знает соответствующее значение
x
и сохраняет его в секрете.
Таким образом, пользователь А может быть уверен в том, что полученный
им ключ
k
известен только пользователю Б.


15.8. Анализ протокола с различных точек зрения
293
Итак, пользователь А убедился в том, что он действительно общается
с пользователем Б и что полученный им ключ известен только ему и пользо-
вателю Б.
15.8.2
Точка зрения пользователя Б
Теперь давайте взглянем на протокол глазами пользователя Б. Первое со-
общение, полученное им будто бы от пользователя А, практически не предо-
ставляет ему никакой полезной информации. Оно просто утверждает, что
кто-то по ту сторону протокола выбрал значение
s
a
и несколько случайных
бит
N
a
.
С третьим сообщением все обстоит по-другому. Это сообщение определен-
но пришло от пользователя А, потому что пользователь А аутентифициро-
вал его, а согласно нашим предположениям пользователь Б может проверить
аутентификатор пользователя А. Данные, которые подверглись аутентифи-
кации, включают в себя
X
— случайное значение, выбранное самим пользо-
вателем Б. Это означает, что третье сообщение не могло быть воспроизведен-
ным сообщением, посланным злоумышленником. Оно было аутентифициро-
вано пользователем А специально для этого сеанса работы протокола. Кроме
того, аутентификатор пользователя А охватывает и первое сообщение, полу-
ченное пользователем Б, поэтому теперь пользователь Б может быть уверен
и в правильности первого сообщения.
Пользователь Б уверен в безопасности параметров алгоритма DH; в конце
концов, он сам их выбрал. Поэтому, как и пользователь А, он знает, что
вычислить ключ
k
сможет только тот, кто знает
y
, такое, что
g
y
=
Y
. Но
пользователь А аутентифицировал высланное им значение
Y
, поэтому он
является единственным человеком, который знает соответствующее
y
. Это
убеждает пользователя Б в том, что вычислить ключ
k
кроме него сможет
только пользователь А.
15.8.3
Точка зрения злоумышленника
И наконец, проанализируем протокол согласования ключей с точки зре-
ния злоумышленника. Если мы будем просто прослушивать канал связи, то
зафиксируем все сообщения, которыми обмениваются пользователи А и Б. Но
ключ
k
вычисляется по протоколу DH, поэтому, если параметры алгоритма
DH надежны, пассивная атака наподобие этой не позволит получить какой-
либо информации о ключе
k
. Другими словами, пора переходить к активным
действиям.
В качестве поучительного упражнения можно рассмотреть каждый эле-
мент данных протокола и попытаться изменить его. В этом случае наша атака


294

Достарыңызбен бөлісу:
1   ...   140   141   142   143   144   145   146   147   ...   203




©emirsaba.org 2024
әкімшілігінің қараңыз

    Басты бет