Э. Таненбаум - Компьютерные сети. (4-е издание) (DJVU) (1130092), страница 239
Текст из файла (страница 239)
Протоколы аутентификации Аутентификация (или идентификация) — это метод, с помощью которого процесс удостоверяется в том, что его собеседник является именно тем, за кого он себя выдает. проверка подлинности удаленного процесса при активных злонамеренных попытках проникновения представляет собой удивительно сложную задачу и требует сложных протоколов, основанных на криптографии. В данном разделе мы познакомимся с несколькими протоколами аутентификации, применяемыми в незащищенных компьютерных сетях. Следует отметить, что понятия аутентификации и авторизации иногда путают. Аутентификация связана с вопросом подлинности вашего собеседника. Авторизация имеет дело с разрешениями.
Например, клиентский процесс обращается к файловому серверу и говорит: «Я процесс Скотта, и я хочу удалить файл сооЬЬоо!г.о!Й». Файл-сервер должен решить следующие два вопроса: 1. Действительно ли это процесс Скотта (аутентификация)? 2. Имеет ли Скотт право удалять файл соойьоо)со!й (авторизация)7 Протоколы аутентификации 887 Только после того, как на оба вопроса будет получен недвусмысленный утвердительный ответ, может быть выполнено запрашиваемое действие.
Ключевым является первый вопрос. После того как сервер узнает, с кем он разговаривает, для проверки прав доступа потребуется лишь просмотреть содержимое локальных таблиц или баз данных. По этой причине в данном разделе мы уделим особое внимание вопросу аутентификации. Общая схема, используемая всеми протоколами аутентификации, состоит из следующих действий. Алиса желает установить зашишенное соединение с Бобом или считающимся надежным Центром распространения ключей.
Затем в разных направлениях посылаются еше несколько сообщений. По мере их передачи хулиганка по имени Труди может перехватить, изменить и снова воспроизвести эти сообщения, чтобы обмануть Алису и Боба или просто сорвать сделку. Тем не менее, когда протокол завершит свою работу, Алиса должна быть уверена, что разговаривает с Бобом, а Боб — что разговаривает с Алисой. Кроме того, в большинстве протоколов собеседники также установят секретный ключ сеанса, которым будут пользоваться для последующего обмена информацией.
На практике весь обмен данными шифруется с помощью одного из алгоритмов с секретным ключом (АЕЯ или тройной РЕЯ), так как их производительность намного выше производительности алгоритмов с открытым ключом. Тем не менее, алгоритмы с открытым ключом широко применяются в протоколах аутентификации и для определения ключа сеанса. Цель использования нового, случайно выбираемого ключа сеанса для каждого нового соединения состоит в минимизации трафика, посылаемого с использованием закрьггых и открытых ключей пользователя, уменьшении количества шифрованного текста, который может достаться злоумышленнику, а также минимизации вреда, причиняемого в случае, если процесс даст сбой и дамп ядра попадет в чужие руки.
Поэтому после установки соединения в процессе должен храниться только один временный ключ сеанса. Все постоянные ключи должны быть тщательно стерты. Аутентификация, основанная на общем секретном ключе В нашем первом протоколе аутентификации мы уже предполагали, что у Алисы и Боба есть об|ций секретный ключ Кхз. Об этом секретном ключе можно договориться при личной встрече или по телефону, но, в любом случае, не по сети. В основе этого протокола лежит принцип, применяемый во многих протоколах аутентификации: одна сторона посылает другой случайное число, другая сторона преобразует его особым образом и возвращает результат. Такие протоколы называются протоколами типа оклик — отзыв.
В этом и последуюших протоколах аутентификации будут использоваться следующие условные обозначения: А и  — Алиса и Боб; Я,, — оклик, где индекс означает его отправителя; К,. — ключи, где индекс означает владельца ключа; К вЂ” ключ сеанса. 5 888 Глава 8. Безопасность в сетях Последовательность сообщений нашего первого протокола аутентификации с общим ключом показана на рис.
8.28. В первом сообщении Алиса посылает свое удостоверение личности, А, Бобу тем способом, который ему понятен. Боб, конечно, не знает, пришло ли это сообшение от Алисы или от злоумышленника, поэтому он выбирает большое случайное число Лв и посылает его в качестве оклика «Алисев открытым текстом (сообшение 2). Затем Алиса шифрует ато сообшеиие секретным ключом, общим для нее и Боба, и отправляет шифрованный текст К„в(Яв) в сообшении 3. Когда Боб видит зто сообшение, он понимает, что оно пришло от Алисы, так как злоумышленник не должен знать ключа К„и поэтому не смог бы сформировать такое сообщение.
Более того, поскольку оклик )( выбирался случайно в большом пространстве чисел (например, 128-разрядных случайных чисел), очень маловероятно, чтобы злоумышленник мог уже видеть этот оклик и ответ на него в предыдущих сеансах. Рис. 8.28. Двусторонняя аутентификация при помощи протокола оклик — отвыв К этому моменту Боб уверен, что говорит с Алисой, однако Алиса еше пока не уверена ни в чем. Злоумышленник мог перехватить сообщение 1 и послать обратно оклик Яв. Возможно, Боба уже нет в живых.
Далее протокол работает симметрично; Алиса посылает оклик, а Боб отвечает на него. Теперь уже обе стороны уверены, что говорят именно с тем, с кем собирались. После этого они могут установить временный ключ сеанса К, который можно переслать друг другу, закодировав его все тем же обшим ключом Квв. Количество сообшений в этом протоколе можно сократить, объединив в каждом сообшении ответ на предыдущее сообщение с новым окликом, как показано на рис. 8.29. Здесь Алиса сама в первом же сообщении посылает Бобу оклик. Отвечая на него, Боб помешает в то же сообщение свой оклик.
Таким образом, вместо пяти сообшений понадобилось всего три. Рис. 8.29. Укороченный двусторонний протокол аутентификации Протоколы аутентификации ддд Лучше ли этот протокол, чем предыдущий? С одной стороны, да: он короче Но, к сожалению, пользоваться таким протоколом не рекомендуется. При некоторых обстоятельствах злоумышленник может атаковать этот протокол способом, известным под названием зеркальная атака.
В частности, Труди может взломать его, если ей будет позволено одновременно открыть несколько сеансов связи с Бобом. Такое вполне возможно, если, скажем, Боб — это банк, позволяющий устанавливать несколько одновременных соединений с банкоматами. Схема зеркальной атаки показана на рис. 8.30. Она начинается с того, что Труди, объявляя себя Алисой, посылает оклик Я . Боб, как обычно, отвечает своим собственным окликом Я .
Теперь, казалось бы, Труди в тупике. Что ей делать? Она ведь не знает К„в(Я ). Второй сеанс Первый сеанс ) Рис. 8.30. Зеркальная атака Злоумышленник моккет открыть второй сеанс сообщением 3 и подать в качестве оклика Бобу оклик самого Боба, взятый из второго сообщения. Боб спокойно шифрует его и посылает обратно К (Яв) в сообщении 4.
Теперь у Труди есть необходимая информация, поэтому она завершает первый сеанс и прерывает второй. Боб теперь уверен, что злоумышленник — это Алиса, поэтому предоставляет Труди доступ к банковским счетам Алисы и позволяет перевести деньги с ее текущего счета на секретный счет в Швейцарском банке без каких-либо колебаний. Мораль этой истории такова: Разработать корректный протокол аутентификации сложнее, чем это может показаться.
Приведем четыре общих правила, которые часто оказываются полезными: 1. Инициатор сеанса должен подтверждать свою личность прежде, чем это сделает отвечающая сторона. В этом случае злоумышленник не сможет получить ценной для него информации, прежде чем подтвердит свою личность. 2. Следует использовать два раздельных общих секретных ключа: один для ини- циатора сеанса, а другой для отвечающего, Кдв и К лв. 3. Инициатор и отвечающий должны выбирать оклики из различных непересекающихся наборов.
Например, инициатор должен пользоватъся четными номерами, а отвечающий — нечетными. 4. Протокол должен уметь противостоять атакам, при которых запускается вто- рой параллельный сеанс, информация для которого извлекается при помощи первого сеанса. БВО Глава В. Безопасность в сетях Если нарушается хотя бы одно из этих правил, протокол оказывается уязвимым, В приведенном примере были нарушены все четыре правила, что привело к разрушительным последствиям. Вернемся к ситуации, показанной на рис. 8.28.
Можно ли с уверенностью сказать, что этот протокол не подвержен зеркальным атакам? Это зависит от различных факторов. Ситуация с этим очень шаткая. Труди удалось справиться с нашим протоколом, используя зеркальную атаку, потому что он позволял запустить параллельный сеанс с Бобом и ввести его в заблуждение, передав ему его собственный оклик. А что произойдет, если вместо живой Алисы, сидящей за компьютером, стоит обычный компьютер общего назначения, принимающий параллельные сеансы связи? Посмотрим, что Труди сможет сделать Чтобы понять, каким образом Трудн взламывает протокол, обратимся к рис. 8.31. Алиса объявляет свои идентификационные данные в сообщении 1. Труди это сообщение перехватывает и запускает собственный сеанс, посылая сообщение 2 и прикидываясь Бобом.
Здесь мы, как и раньше, изобразили серыми квадратиками сообщения второго сеанса. Алиса отвечает на сообгцение 2 так: «Ты представляешься Бобом? Это необходимо подтвердить в сообщении 3», Здесь Труди заходит в тупик: она не может подтвердить, что она — это Боб. Первый сеанс Второй сеанс ) Второй сеанс ) Первый сеанс 3 Первый сеанс Рис. 6.31.
Зеркальная атака протокола, показанного на рис. 6.2З Что же теперь Труди может сделать? Она возвращается к первому сеансу, где как Раз настУпает ее очеРедь отпРавки оклика. ПРи этом отпРавлЯетсЯ 1?м полУ- ченный в сообшенни 3. Алиса любезно отвечает на это в сообщении 5, предоставляя тем самым Труди информацию, необходимую ей для создания сообщения 6 в сеансе 2. Труди может теперь выбирать сеанс, так как она корректно ответила на оклик Алисы во втором сеансе.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
