В. Р. Гинзбург Перевод с английского
жүктеу/скачать 2,74 Mb. Pdf көрінісі
|
практическая криптография
Глава 3. Введение в криптографию 3.2 Аутентификация Схема общения пользователей А и Б (см. рис. 3.1) имеет еще одно слабое место. Злоумышленник Е может не просто прочитать сообщение. Он может его изменить. Для этого ему понадобится иметь немного больше контроля над каналом общения, но это вполне осуществимо. Например, на рис. 3.3 показано, что пользователь А пытается послать сообщение m , однако его пе- рехватывает злоумышленник Е. Вместо того чтобы получить сообщение m , пользователь Б получает сообщение m 0 . Также предполагается, что злоумыш- ленник Е прочитал сообщение, которое отправил пользователь А. Помимо этого, злоумышленник может удалить сообщение, чтобы пользователь Б во- обще его не получил, вставить вместо исходного новое сообщение с другим текстом, записать сообщение и отправить его пользователю Б позднее или же изменить порядок отправки сообщений. Предположим, пользователь Б только что получил сообщение. Почему он должен поверить, что оно было действительно отправлено пользователем А? На это нет никаких оснований. А если пользователь Б не знает, кто в точности отправил сообщение, оно становится довольно-таки бесполезным. Для решения этой проблемы применяется аутентификация. Как и в схе- ме шифрования, в аутентификации используется секретный ключ, который знают только пользователи А и Б. Чтобы отличать этот ключ от ключа шиф- рования K e , назовем его ключом аутентификации и будем обозначать как K a . Процесс аутентификации сообщения m представлен на рис. 3.4. Когда поль- зователь А посылает сообщение m , он подсчитывает так называемый код аутентичности сообщения ( Message Authentication Code — MAC ). Значение MAC a вычисляется по формуле a := h ( K a , m ) , где h — функция вычисле- ния MAC, а K a — ключ аутентификации. Теперь пользователь А отправляет пользователю Б сообщение m и значение a . Когда пользователь Б получает m и a , он вычисляет, каким должно быть значение а при заданном ключе K a , и проверяет, таково ли полученное им значение a . Пользователь А Злоумышленник Е Пользователь Б m m' m' m m' Рис. 3.3. Пользователь Б не знает, кто в действительности послал сооб- щение 3.2. Аутентификация 43 Пользователь А Злоумышленник Е Пользователь Б Рис. 3.4. Общая схема аутентификации Пусть злоумышленник Е хочет изменить сообщение m , чтобы получить сообщение m 0 . Если злоумышленник просто заменит сообщение m на m 0 , пользователь Б подсчитает значение функции h ( K a , m 0 ) и сравнит его со зна- чением a . Хорошая функция вычисления MAC никогда не дает один и тот же результат для двух разных сообщений, поэтому пользователь Б увидит, что сообщение тем или иным образом было искажено, и просто его отбросит. Если предположить, что злоумышленник Е не знает ключа аутентифи- кации K a , у него остается единственный способ получить сообщение и пра- вильное значение MAC — прослушивать систему пользователя А, когда тот отсылает сообщения пользователю Б. Тем не менее даже в этом случае зло- умышленник Е способен нанести некоторый ущерб. Он может записывать сообщения и их значения MAC, чтобы впоследствии воспроизвести их, от- правив пользователю Б когда-либо позднее. Сама по себе аутентификация лишь частично решает проблему. Злоумыш- ленник Е все еще может удалять сообщения, которые посылает пользова- тель А, а также воспроизводить старые сообщения или изменять порядок сообщений. По этой причине аутентификацию практически всегда сочетают со схемой нумерации сообщений, при которой каждому сообщению присва- ивается порядковый номер. Если сообщение m будет содержать порядковый номер, злоумышленнику Е не удастся обмануть пользователя Б, отослав ему старое сообщение. Пользователь Б сразу же увидит, что сообщение содер- жит правильное значение MAC, однако его порядковый номер соответствует номерам старых сообщений, и отбросит полученное сообщение. Аутентификация в сочетании с нумерацией сообщений решает б´ольшую жүктеу/скачать 2,74 Mb. Достарыңызбен бөлісу:
|