В. Р. Гинзбург Перевод с английского
жүктеу/скачать 2,74 Mb. Pdf көрінісі
|
практическая криптография
Глава 15. Протокол согласования ключей генерировать новые параметры алгоритма DH, а пользователя А — от необ- ходимости каждый раз их проверять. Приложения даже могут использовать фиксированные наборы параметров алгоритма DH, в результате чего их не придется посылать явно — достаточно указать идентификатор нужного на- бора параметров. Все эти изменения представляют собой простые, непосред- ственные оптимизации протокола, поэтому мы не будем обсуждать их более подробно. Тем не менее будьте крайне осторожны. Многочисленные оптими- зации могут привести к тому, что протокол будет взломан. К сожалению, мы не можем сформулировать никаких простых правил относительно того, приведет ли конкретная оптимизация к взлому протокола или нет. Проекти- рование протокола — это скорее искусство, нежели наука, и жестких правил, которых следует придерживаться всегда и везде, здесь не существует. 15.8 Анализ протокола с различных точек зрения Протокол наподобие нашего весьма полезно проанализировать с различ- ных точек зрения. Наш протокол должен обладать несколькими свойствами, и в следующих разделах речь идет о том, почему он действительно ими об- ладает. 15.8.1 Точка зрения пользователя А Давайте рассмотрим протокол с точки зрения пользователя А. Он по- лучает от пользователя Б одно сообщение. Пользователь А уверен, что это сообщение действительно пришло от пользователя Б, так как оно прошло аутентификацию, и в данные, которые подверглись аутентификации, была включена случайная оказия N a , выбранная самим пользователем А. Такое сообщение невозможно подделать или заменить воспроизведенным старым сообщением. Пользователь А убеждается в том, что параметры алгоритма DH были вы- браны правильно, поэтому протокол DH будет обладать всеми необходимыми свойствами. Таким образом, когда пользователь А генерирует секретное зна- чение y и посылает значение Y , он понимает, что вычислить k сможет только тот человек, который знает x , такой, что g x = X . Это основное свойство про- токола DH. Пользователь Б аутентифицировал X , а он может сделать это только в том случае, если выполняет все правила протокола. Следовательно, пользователь Б знает соответствующее значение x и сохраняет его в секрете. Таким образом, пользователь А может быть уверен в том, что полученный им ключ k известен только пользователю Б. 15.8. Анализ протокола с различных точек зрения 293 Итак, пользователь А убедился в том, что он действительно общается с пользователем Б и что полученный им ключ известен только ему и пользо- вателю Б. 15.8.2 Точка зрения пользователя Б Теперь давайте взглянем на протокол глазами пользователя Б. Первое со- общение, полученное им будто бы от пользователя А, практически не предо- ставляет ему никакой полезной информации. Оно просто утверждает, что кто-то по ту сторону протокола выбрал значение s a и несколько случайных бит N a . С третьим сообщением все обстоит по-другому. Это сообщение определен- но пришло от пользователя А, потому что пользователь А аутентифициро- вал его, а согласно нашим предположениям пользователь Б может проверить аутентификатор пользователя А. Данные, которые подверглись аутентифи- кации, включают в себя X — случайное значение, выбранное самим пользо- вателем Б. Это означает, что третье сообщение не могло быть воспроизведен- ным сообщением, посланным злоумышленником. Оно было аутентифициро- вано пользователем А специально для этого сеанса работы протокола. Кроме того, аутентификатор пользователя А охватывает и первое сообщение, полу- ченное пользователем Б, поэтому теперь пользователь Б может быть уверен и в правильности первого сообщения. Пользователь Б уверен в безопасности параметров алгоритма DH; в конце концов, он сам их выбрал. Поэтому, как и пользователь А, он знает, что вычислить ключ k сможет только тот, кто знает y , такое, что g y = Y . Но пользователь А аутентифицировал высланное им значение Y , поэтому он является единственным человеком, который знает соответствующее y . Это убеждает пользователя Б в том, что вычислить ключ k кроме него сможет только пользователь А. 15.8.3 Точка зрения злоумышленника И наконец, проанализируем протокол согласования ключей с точки зре- ния злоумышленника. Если мы будем просто прослушивать канал связи, то зафиксируем все сообщения, которыми обмениваются пользователи А и Б. Но ключ k вычисляется по протоколу DH, поэтому, если параметры алгоритма DH надежны, пассивная атака наподобие этой не позволит получить какой- либо информации о ключе k . Другими словами, пора переходить к активным действиям. В качестве поучительного упражнения можно рассмотреть каждый эле- мент данных протокола и попытаться изменить его. В этом случае наша атака |