Э. Таненбаум - Компьютерные сети. (4-е издание) (DJVU) (1130092), страница 240
Текст из файла (страница 240)
Сеанс 1 можно закрыть, переправить в сеансе 2 какое-нибудь старое число и получить в итоге заверенный сеанс связи с Алисой. Протоколы аутентификации 891 Однако Труди просто невыносима, и оиа доказывает зто своим дальиейшим поведением. Вместо того чтобы отправить какое-нибудь старое число для завершеиия регистрации сеанса 2, оиа ждет, пока Алиса пошлет сообщение 7 (ее оклик для сеанса 1). Конечно, Труди понятия ие имеет, как ответить яа это, поэтому оиа вновь проводит зеркальную атаку, отправляя й„, в качестве сообщения 8, Алиса очень кстати шифрует Кл, в сообщении 9. Труди переключается иа сеанс 1 и отправляет Алисе то число, какое ей хочется, в сообщении 10.
Откуда она берет это число? Очевидно, из сообщения 9, пришедшего от Алисы. С этого момента Труди может гордиться тем, что у иее есть два полностью заверенных сеанса связи с Алисой. Эта атака приводит к несколько иному результату, нежели протокол с тремя сообщениями, показанный иа рис. 8.30. На этот раз Труди удается установить сразу два заверенных соединения с Алисой. В предыдущем примере одно завереииое соединение было установлено с Бобом.
Опять же, если бы протокол удовлетворял всем четырем перечисленным требованиям, атака успеха бы не имела, Детальное обсуждение различных типов атак и методов противодействия им приведено в (В)гг( и др., 1993). Там также описана методика построения протоколов, корректность которых можно строго доказать. Однако даже простейший из таких протоколов достаточно сложен, поэтому сейчас мы обратимся к другому классу (вполие корректных) протоколов. Итак, новый протокол аутентификации показан на рис.
8.32 (В(п1 и др., 1993). Тут мы видим тот же самый НМАС, который мы уже обсуждали при изучении 1рзес. Для начала Алиса посылает Бобу отметку времени К в виде сообщения 1. Боб при ответе выбирает собственную отметку времени, К„, и высылает ее вместе с НМАС.
НМАС формирует структуру данных, состоящую из временных отметок Алисы и Боба, их идентификаторов, а также общего закрытого ключа К Затем вся эта структура с помощью хэш-фуикции (иапример, 3НА-1) помещается в НМАС. После приема сообщения 2 Алиса становится счастливым обладателем й„(это значение выбрано ею же), й, полученного в виде открытого текста, двух идентификаторов и закрытого ключа Кме известного и так. Имея все эти даииые, оиа может вычислить НМАС самостоятельно. Если оп согласуется с НМАС, содержащимся в сообщении, оиа убеждается, что говорит с Бобом, поскольку Труди ие знает Кке и, следовательно, не может угадать НМАС, который следует отослать.
В ответе Алисы Бобу содержится НМАС, состоящий из двух времениых отметок. Рис. В.эя. яутентификецие с применением Ныяс 392 Глава 8. Безопасность в сетях Вопрос: может ли Труди как-нибудь взломать такой протокол? Нет, потому что она не может заставить ни одну из сторон шифровать выбранное ею самой значение или применять к нему хэш-функцию, как это было в ситуации на рис. 8.30. Оба НМАС включают в себя значения, выбранные отправителем. Труди не способна их контролировать каким-либо образом. Использование НМАС вЂ” это далеко не единственное, что можно сделать. Альтернативная схема, которая применяется довольно часто, заключается в шифровании элементов данных послеловательно с помощью сцепления блоков шифра Установка общего ключа: протокол обмена ключами Диффи — Хеллмана Итак, мы предположили, что у Алисы и Боба есть общий секретный ключ. Предположим теперь, что у них его нет (поскольку до сих пор не разработана универсальная инфраструктура РК1 создания подписей и распространения сертификатов).
Как им получить такой ключ? Алиса может позвонить Бобу и передать ему ключ по телефону, но он, возможно, спросит: «Как вы докажете, что вы — Алиса, а не злоумышленник?» Они могут попытаться организовать встречу, на которую каждый придет с паспортом, водительскими правами и тремя кредитными картами, но, будучи занятыми людьми, они, возможно, не смогут найти устраивающую обоих дату встречи в течение нескольких месяцев. К счастью, существует способ для совершенно незнакомых людей установить общий секретный ключ средь бела дня, даже если злоумышленник старательно записывает каждое сообщение. Протокол, позволяющий не встречавшимся ранее людям устанавливать общий секретный ключ, называется протоколом обмена ключами Диффи — Хеллмана (1)1тйе и Не!1тап, 19?б) и работает следующим образом.
Алиса и Боб договариваются о двух больших простых числах, и и д, где (п — 1)/2 также является простым числом, кроме того, на число я накладываются некоторые дополнительные условия. Этн числа могут быть открытыми, поэтому каэкдый из них может просто выбрать л и д и открыто сообщить о них другому. Затем Алиса выбирает большое (например, 512-разрядное) число х и держит его в секрете. Аналогично, Боб выбирает большое секретное число у, Алиса начинает протокол обмена ключами с того, что посылает Бобу сообщение, содержащее (и, я, ь" тоо и), как показано на рис.
8.ЗЗ. Боб отвечает Алисе сообщением, содержащим у щи п. Теперь Алиса берет число, присланное ей Бобом, и возводит его в степень х, получая (8т шоо и)'. Боб выполняет подобные вычисления и получает (я тоо п)». В соответствии с законами арифметики оба вычисления должны быть равны яе тог1 и. Таким образом, у Алисы и Боба есть общий секретный ключ 8*~ 1под и. Конечно, злоумышленник видел оба сообщения. Ему известны значения и и 8 из первого сообщения. Если бы ему удалось вычислить значения х и у, ему бы удалось получить секретный ключ.
Беда в том, что, зная я* шоо и и и, найти значение х очень трудно. На сегодняшний день неизвестен алгоритм вычисления дискретного логарифма модуля очень большого простого числа. Протоколы аутентификации 993 Боб выбнраету Алиса выбирает к Боб вычисляет (д" пюв п)т «дтт п>оа п Рнс. 8.33. Обмен клюзами Днффн — Хеллмана Для примера возьмем (совершенно нереальные) значения п = 47 и 8= 3.
Алиса выбирает значение х = 8, а Боб выбирает у = 10. Оба эти числа хранятся в секрете. Сообщение Алисы Бобу содер>кит числа (47, 3, 28), так как 3" той 47 = 28. Боб отвечает Алисе числом 17. Алиса вычисляет 17' >пог1 47 и получает 4, Боб вычисляет 28" шот1 47 и получает также 4. Таким образом, независимо друг от друга Алиса и Боб определили, что значение секретного ключа равно 4. Злоумышленнику придется решить уравнение 3» той 47 = 28, что можно сделать путем полного перебора для таких небольших чисел, но только не для чисел длиной в несколько сотен бит. Несмотря на всю элегантность алгоритма Диффи — Хеллмана, имеется одна проблема: когда Боб получит три числа (47, 3, 28), как он сможет удостовериться в том, что они посланы Алисой, а не злоумышленником? Способа узнать это не существует. К сожалению, злоумышленник может воспользоваться этим, чтобы обмануть Алису и Боба, как показано на рис. 8.34.
Здесь, пока Алиса с Бобом выбирают значения х и у, злоумышленник выбирает свое случайное число х Алиса посылает Бобу сообщение 1. Злоумышленник перехватывает его и отправляет вместо него Бобу сообщение 2, используя правильные значения п и я (которые посылались открытым текстом), но со своим значением г вместо х.
Он также посылает обратно Алисе сообщение 3. Позднее Боб отправляет А>п|се сообшение 4, которое злоумышленник снова перехватывает и хранит у себя. Теперь все заниматотся вычислением остатков от деления. Алиса вычисляет значение секретного ключа: я" шоо' п. Те же самые вычисления производит злоумышленник (для обшения с Алисой), Боб вычисляет 8м шок( п, что также делает и злоумышленник (для общения с Бобом).
Каждое сообщение, посылаемое Алисой в шифрованном сеансе, перехватывается злоумышленником, сохраняется, изменяется, если это нужно, и отправляется (по желанию злоумышленника) Бобу. То же самое происходит и в обратном направлении. Злоумышленник видит все сообщения и может изменять их по своему усмотрению, в то время как Алиса и Боб полагают, что у них имеется защишенный канал для связи друг с другом. Подобные действия злоумышленника называются атакой типа «пожарная цепочка», поскольку слегка напоминают старинных пожарных, передававших друг другу по цепочке ведра с водой. Еще одно название этой атаки — «человек посерединев.
894 Глава 8. Безопасность в сетях Боб выбирает у Злоумышленник выбирает к Аписа выбирает х Рис. 8.34. Атака типа «пожарная цепочка» Рис. 8.38. Первая попытка протокола аутентификации с помощью КОС-центра Идея, лежащая в основе протокола, проста: Алиса выбирает ключ сеанса, Кэ, и заявляет КОС-центру, что она желает поговорить с Бобом при помощи ключа Кр Это сообщение шифруется секретным ключом К„, которым совместно владеют только Алиса и пентр распространения ключей. центр распространения ключей расшифровывает это сообщение и извлекает из него идентификатор личности Боба и ключ сеанса.
Затем он формирует новое сообщение, содержащее идентификатор личностй Алисы и ключ сеанса„и посылает его Бобу. Это сообшение зашифровывается ключом Кв — секретным ключом, общим для Боба и центра распространения ключей. Расшифровав это сообщение, Боб узнает, что Алиса желает с ним поговорить и какой ключ она хочет использовать. Аутентификация с помощью центра распространения ключей Итак, установка общего секретного ключа с незнакомцем почти удалась. С другой стороны, вероятно, не следовало вообще этим заниматься. Чтобы общаться с т людьми, вам понадобится хранить л ключей.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
