Э. Таненбаум - Компьютерные сети. (4-е издание) (DJVU) (1130092), страница 241
Текст из файла (страница 241)
Для людей, чей круг общения широк, хранение ключей может превратиться в серьезную проблему, особенно если все эти ключи придется хранить на отдельных пластиковых картах. Другой подход состоит в организации доверительного центра распространения ключей (КОС, кеу йзгпЪцйоп сепгег). При такой схеме у каждого пользователя всего один ключ, общий с КОС-центром. Операции с ключами аутентификации и сеансовыми ключами проходят через КОС-центр. Простейший протокол аутентификации с помощью центра распространения ключей, включающий две стороны и доверенный КОС-центр, изображен на рис. 8.35. ПРотоколы аутентификации 895 Аутентификация в данном случае происходит сама собой.
КРС знает, что сообщение 1 пришло от Алисы, так как больше никто не может зашифровать его секретным ключом Алисы. Аналогично, Боб знает, что сообщение 2 пришло от КРС, так как кроме него их общий секретный ключ никому не известен. К сожалению, этот протокол содержит серьезную ошибку. Труди нужны деньги, поэтому она придумывает некую легальную услугу, которую она могла бы выполнить для Алисы. Затем Труди делает Алисе заманчивое предложение и получает эту работу. Выполнив ее, Труди вежливо предлагает Алисе оплатить услуги, переведя деньги на ее банковский счет.
Чтобы оплатить работу, Алиса устанавливает ключ сеанса со своим банкиром Бобом. Затем она посылает Бобу сообщение с просьбой перевести деньги на счет Труди. Тем временем Труди возвращается к своим темным делам. Она копирует сообщение 2 (см. рис. 8.35) и запрос на перевод денег, следующий за ним. Затем она воспроизводит оба сообщения для Боба. Боб получает их и думает: «Должно быть, Алиса снова наняла Труди. Похоже, она хорошо справляется с работой». Боб перечисляет еше столько же денег со счета Алисы на счет Труди. Получив пятидесятый запрос на перевод денег, Боб выбегает из офиса, чтобы найти Труди и предложить ей большую ссуду, чтобы она могла расширить свой чрезвычайно успешный бизнес.
Подобная проблема получила название атаки повторным воспроизведением. Существует несколько решений этой проблемы. Первое решение состоит в помещении в каждое сообщение временного штампа. Все устаревшие сообщения просто игнорируются. Беда здесь в том, что системные часы в сети синхронизировать с большой степенью точности невозможно, поэтому должен существовать какой-то срок годности временного штампа. Труди может обмануть протокол, послав повторное сообщение во время этого интервала. Второе решение заключается в помещении в сообщение уникального порядкового номера, обычно называемого нонсом (попсе — данный случай, данное время). Каждая сторона должна запоминать все предыдущие попсы и отвергать любое сообщение, содержащее использованный ранее нонс, Однако нонсы должны храниться вечно, иначе Труди попытается воспроизвести сообшение пятилетней давности.
Кроме того, если машина потеряет список нонсов в результате сбоя, она снова станет уязвимой к атакам повторным воспроизведением. Можно комбинировать временные штампы и нонсы, чтобы ограничить срок хранения нонсов, но так или иначе, протокол должен быть значительно усложнен.
Более сложный метод аутентификации состоит в использовании многостороннего протокола оклик — отзыв. Хорошо известным примером такого протокола является протокол аутентификации Нцдхэма — Шредера (Хееопаш — Зсйгоедег, 1978), один из вариантов которого показан на рис. 8.36. Работа протокола начинается с того, что Алиса сообщает К1)С-центру, что она желает поговорить с Бобом. Это сообшение содержит в качестве нонса большое случайное число кд. Центр распространения ключей посылает обратно сообщение 2, содержащее случайное число Алисы, ключ сеанса и так называемый билет, который она может послать Бобу.
Цель посылки случайного числа Л„состоит в том, чтобы убедить Алису в том, что сообщение 2 является свежим, а не 696 Глава 8. Безопасность а сетях повторно воспроизведенным. Идентификатор Боба также помещается в сообщение 2 на случай, если злоумышленник (Труди) вздумает заменить его идентификатор на свой в сообщении 1, так чтобы КРС-центр зашифровал билет в конце сообщения 2 ключом К„(ключ Труди) вместо К .
Билет, зашифрованный ключом Ка, помещается внутри зашифрованного сообщения, чтобы злоумышленник не смог заменить его чем-либо другим, пока сообщение 2 добирается до Алисы. Рис. 8.36. Протокол аутентификации Нидхема — Шредера Затем Алиса посылает билет Бобу вместе с новым случайным числом К„„зашифрованным ключом сеанса Кк В сообщении 4 Боб посылает обратно К (Я„т — 1), чтобы доказать Алисе, что она разговаривает с настоящим Бобом. Отсылать обратно просто Кк(йлт) бессмысленно, так как зто число могло быть украдено злоумышленником из сообщения 3, Получив сообщение 4, Алиса убеждается, что разговаривает с Бобом и что до сих пор не было использовано повторных сообщений. Между отправкой случайного числа Яд, и получением ответа на него в виде К (Я„;1) проходит довольно короткий промежуток времени. Цель сообщения 5 — убедить Боба, что он действительно разговаривает с Алисой и что в этом сеансе связи также отсутствуют повторно воспроизведенные данные.
Возможность атаки с помощью повторного воспроизведения ранее записанной информации исключается этим протоколом благодаря тому, что каждая сторона формирует оклик другой стороны и получает на него отзыв. Несмотря иа всю кажущуюся солидность протокола, в нем, тем не менее, имеется небольшое слабое место. Бели злоумышленнику удастся каким-либо способом раздобыть старый ключ сеанса К он сможет инициировать новый сеанс с Бобом, повторно воспроизведя сообщение 3 с использованием скомпрометированного ключа, и выдать себя за Алису (Пепшпй и Кассо, 1981).
На этот раз злоумышленник может украсть деньги со счета Алисы, даже не выполнив никаких услуг. Позднее Нидхэм и Шредер опубликовали протокол, решающий эту проблему (Хает(Ьаш и БЬгоедег, 1987). В том же выпуске того же журнала Отузй (Огв ау) и Рис (Веез) также опубликовали протокол, решающий зту проблему более коротким путем. На рис.
8.37 показан слегка видоизмененный протокол Отуэя — Риса. Протоколы аутентификации 897 Рно. 6.37. Протокол аутентификации Отуея — Риса (слегка упрощенный1 В протоколе Отуэя — Риса Алиса начинает с формирования пары случайных номеров: К который будет использоваться в качестве общего идентификатора, и Ям который Алиса будет использовать в качестве оклика Боба. Получив это сообщение, Боб формирует новое сообщение из зашифрованной части сообщения Алисы и аналогичной собственной части.
Обе части сообщения, зашифрованные ключами К„и К,, идентифицируют Алису и Боба, содержат общий идентификатор и оклики. Центр распространения ключей проверяет, совпадают ли общие идентификаторы Я в обеих частях сообщения. Они могут не совпадать, если злоумышленник подменил К в сообщении 1 или заменил часть сообщения 2. Если оба общих идентификатора К совпадают, КОС-центр считает сообщение, полученное от Боба, достоверным. Затем он формирует ключ сеанса Кэ и отправляет его Алисе и Бобу, зашифровав ключ сеанса ключами Алисы и Боба.
Каждое сообщение также содержит случайное число получателя в доказательство того, что эти сообщения посланы КРС-центром, а не злоумышленником. К этому моменту Алиса и Боб обладают одним и тем же ключом сеанса и могут начать обмен информацией. После первого же обмена данными они увидят, что обладают одинаковыми копиями ключа сеанса К,, на чем процесс аутентификации можно будет считать завершенным.
Аутентификация и ри помощи протокола КегЬегоа Во многих реально работающих системах применяется протокол аутентификации КегЬегоз, основанный на одном из вариантов протокола Нилхэма — Шредера, Он назван по имени трехглавого пса греческих мифов Кербера (чаше называемого Цербером благодаря латинскому написанию. — примеч. перев.), охранявшего выход из Аида. Кербер пропускал в Аид всякого, но не выпускал оттуда никого.
Протокол КегЬегоз был разработан в Массачусетском технологическом институте для обеспечения пользователям рабочих станций надежного доступа к сетевым ресурсам. Его основное отличие от протокола Нидхэма — Шредера состоит в предположении о довольно хорошей синхронизации всех часов в сети. Было разработано несколько последовательных версий протокола.
Версия Ъ'4 наиболее широко применяется в промышленности, поэтому она будет здесь описана. Затем 888 Главе 8, Безопасность в сетях будет сказано несколько слов о следующей версии, Ъ'5. Дополнительную информацию см. в (Бге1пег и др., 1988). Б работе протокола КегЬегоз, помимо рабочей (клиентской) станции Алисы, принимают участие еще три сервера: + сервер аутентификации (А8, Ацг(тепйсайоп Яегуег): проверяет личность поль- зователей при входе в сеть; + сервер выдачи билетов (ТС5, Т1скег Сгапь1пй Яегуег): выдает «билеты, под- твержда>опцие подлинность»; + Боб, то есть сервер, предоставляющий услуги Алисе.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
