tanenbaum_seti_all.pages (525408), страница 239
Текст из файла (страница 239)
Ключевым является первый вопрос. После того как сервер узнает, с кем он разговаривает, для проверки прав доступа потребуется лишь просмотреть содержимое локальных таблиц или баз данных. По этой причине в данном разделе мы уделим особое внимание вопросу аутентификации. Общая схема, используемая всеми протоколами аутентификации, состоит из следующих действий. Алиса желает установить защищенное соединение с Бобом или считающимся надежным Центром распространения ключей.
Затем в разных направлениях посылаются еще несколько сообщений. По мере их передачи хулиганка по имени Труди может перехватить, изменить и снова воспроизвести зти сообщения, чтобы обмануть Алису и Боба или просто сорвать сделку. Тем не менее, когда протокол завершит свою работу, Алиса должна быть уверена, что разговаривает с Бобом, а Боб — что разговаривает с Алисой. Кроме того, в большинстве протоколов собеседники также установят секретный ключ сеанса, которым будут пользоваться для последующего обмена информацией.
На практике весь обмен данными шифруется с помощью одного из алгоритмов с секретным ключом (АЕЯ или тройной ПЕЯ), так как их производительность намного выше производительности алгоритмов с открытым ключом. Тем не менее, алгоритмы с открытым ключом широко применяются в протоколах аутентификации и для определения ключа сеанса. Цель использования нового, случайно выбираемого ключа сеанса для каждого нового соединения состоит в минимизации трафика, посылаемого с использованием закрытых и открытых ключей пользователя, уменьшении количества шифрованного текста, который может достаться злоумышленнику, а также минимизации вреда, причиняемого в случае, если процесс даст сбой и дамп ядра попадет в чужие руки.
Поэтому после установки соединения в процессе должен храниться только олин временный ключ сеанса. Все постоянные ключи должны быть тщательно стерты. Аутентификация, основанная на общем секретном ключе В нашем первом протоколе аутентификации мы уже предполагали, что у Алисы и Боба есть общий секретный ключ Кмк Об этом секретном ключе можно логовориться при личной встрече или по телефону, но, в любом случае, не по сети.
В основе этого протокола лежит принцип, применяемый во многих протоколах аутентификации; одна сторона посылает другой случайное число, другая сторона преобразует его особым образом и возвращает результат. Такие протоколы называются протоколами типа оклик — отзыв. В этом и последующих протоколах аутентификации будут использоваться слелующие условные обозначения: А и  — Алиса и Боб; А, — оклик, где индекс означает его отправителя; К,, — ключи, где индекс означает владельца ключа; К, — ключ сеанса. ВВ8 Глава 8. Безопасность в сетях Последовательность сообщений нашего первого протокола аутентифнкапии с общим ключом показана на рис.
8.28. В первом сообщении Алиса посылает свое удостоверение личности, А, Бобу тем способом, который ему понятен. Боб, конечно, не знает, пришло ли это сообщение от Алясы или от злоумышленника, поэтому он выбирает большое случайное число ттв и посылает его в качестве оклика «Алисе» открытым текстом (сообщение 2). Затем Алиса шифрует это сообщение секретным клк>чем, общим для псе и Боба, и отправляет шифрованный текст К„в(Яв) в сообщении 3.
Когда Боб видит зто сообщение, он понимает, что оно пришло от Алисы, так как злоумышленник пе должен знать ключа Кдв и поэтому не смог бы сформировать такое сообщение. Более того, поскольку оклик Н выбирался случайно в большом пространстве чисел (например, 128-разрядных случайных чисел), очень маловероятно, чтобы злоумышленник мог уже видеть этот оклик и ответ на него в предыдущих сеансах. Рис. 8.28.
Двусторонняя аутентификация при помощи протокола оклик — отзыв К этому моменту Боб уверен, что говорит с Алисой, однако Алиса егде пока не уверена ни в чем. Злоумышленник мог перехватить сообщение 1 и послать обратно оклик )т . Возможно, Боба уже нет в живых. Далее протокол работает симметрично: Алиса посылает оклик, а Боб отвечает на пего. Теперь уже обе стороны уверены, что говорят именно с тем, с кем собирались. После этого онп могут установить временный ключ сеанса Кв который можно переслать друг другу, закодировав сто все тем же общим ключом К „.
Количество сообщений в этом протоколе можно сократить, объединив в каждом сообщении ответ на предыдущее сообщение с новым окликом, как показано на рис. 8.29. Здесь Алиса сама в первом же сообщении посылает Бобу оклик. Отвечая на него, Боб помещает в то же сообщение свой оклик. Таким образом, вместо пяти сообщений понадобилось всего три. Рис. 8.29. Укороченный двусторонний протокол аутентификации ПРотоколы аутентификации 889 Лучше ли этот протокол, чем предыдуший? С одной стороны, да: он короче Но, к сожалению, пользоваться таким протоколом не рекомендуется. При неко торых обстоятельствах злоумышленник может атаковать этот протокол способом, известным под названием зеркальная атака.
В частности, Труди может взломать его, если сй будет позволено одновременно открыть несколько сеансов связи с Бобом. Такое вполне возможно, если, скажем, Боб — это банк, позволяющий устанавливать несколько одновременных соединений с банкоматами, Схема зеркальной атаки показана на рис. 8.30. Она начинается с того, что Труди, объявляя себя Алисой, посылает оклик й . Боб, как обычно, отвсчаст своим собственным окликом Я . Теперь, казалось бы, Труди в тупике. Что сй делать? Она ведь нс знает К„в(Яв). Первый сеанс ) Рис. В.ЗО.
Зеркальная атака Злоумышленник может открыть второй сеанс сообщением 3 и подать в качествс оклика Бобу оклик самого Боба, взятый из второго сообщения. Боб спокойно шифруст его и посылает обратно К„в(йв) в сообшении 4. Теперь у Труди есть необходимая информация, поэтому она завершает первый сеанс и прерывает второй. Боб теперь увсрсп, что злоумышленник — это Алиса, поэтому предоставляет Труди поступ к банковским счетам Алисы и позволяет перевести деньги с сс текущего счета на секретный счет в Швейцарском банке без каких-либо колебаний. Мораль этой истории такова: Разработать корретлный протокол аутентификации сложнее, чем зто может показаться.
Приведсм чстырс общих правила, которые часто оказываются полезными: Б Инициатор сеанса должон подтверждать свою личность прежде, чем зто сделает отвсчаюшая сторона. В этом случае злоумышленник нс сможет получить ценной лля него инФормации, прежде чем подтвердит свою личность. 2. Следует использовать два раздельных обгцих секретных ключа; олин для ини- циатора сеанса, а другой для отвечающего, К„в и К лв. 3. Инициатор и отвечающий должны выбирать оклики из различных непересекающихся наборов.
Например, инициатор должен пользоваться четными номерами, а отвечающий — нечетными. 4. Протокол должен уметь противостоять атакам, при которых запускается вто- рой параллельный сеанс, информация для которого извлекается при помощи первого сеанса. 990 Глава 8. Безопасность в сетях Если нарушается хотя бы одно из этих правил, протокол оказывается уязвимым. В приведенном примере были нарушены все четыре правила, что привело к разрушительным последствиям.
Вернемся к ситуации, показанной на рис. 8.28. Можно ли с уверенностью сказать, что этот протокол не подвержен зеркальным атакам? Это зависит от различных факторов. Ситуация с этим очень шаткая. Труди удалось справиться с нашим протоколом, используя зеркальную атаку, потому что он позволял запустить параллельный сеанс с Бобом и ввести его в заблуждение, передав ему его собственный оклик. А что произойдет, если вместо живой Алисы, сидящей за компьютером, стоит обычный компьютер общего назначения, принимающий параллельные сеансы связи? Посмотрим, что Труди сможет сделать.
Чтобы понять, каким образом Труди взламывает протокол, обратимся к рис, 8.31. Алиса объявляет свои идентификационные данные в сообщении 1. Труди это сообщение перехватывает и запускает собственный сеанс, посылая сообшение 2 и прикидываясь Бобом. Здесь мы, как и раньше, изобразили серыми квадратиками сообшения второго сеанса. Алиса отвечает на сообшение 2 так: «Ты представляешься Бобом? Это необходимо подтвердить в сообщении 3». Здесь Труди заходит в тупик: она не может подтвердить, что она — это Боб.
Первый сеанс ) Второй сеанс Второй сеанс Г Первый сеанс Второй сеанс Первый сеанс Рис. 8.31. Зеркальнал атака протокола, показанного на рис. 8.28 Что же теперь Труди может сделать? Она возвращается к первому сеансу, где как раз наступает ее очередь отправки оклика. При этом отправляется тт'„, полученный в сообщении 3. Алиса любезно отвечает на это в сообшении 5, предоставляя тем самым Труди информацию, необходимую ей для создания сообшения 6 в сеансе 2. Труди может теперь выбирать сеанс, так как она корректно ответила на оклик Алисы во втором сеансе. Сеанс 1 можно закрыть, переправить в сеансе 2 какое-нибудь старое число и получить в итоге заверенный сеанс связи с Алисой. Протоколы аутентификации 891 Однако Труди просто невыносима, и она доказывает это своим дальнейшим поведением.
Вместо того чтобы отправить какое-нибудь старое число для завершения регистрации сеанса 2, она ждет, пока Алиса пошлет сообщение 7 (ее оклик для сеанса 1). Конечно, Труди понятия не имеет, как ответить на это, поэтому она вновь проводит зеркальную атаку, отправляя )т„, в качестве сообщения 8.
Алиса очень кстати шифрует к„т в сообщении 9. Труди переключается на сеанс 1 и отправляет Алисе то число, какое ей хочется, в сообщении 10. Откуда она берет это число7 Очевидно, из сообщения 9, пришедшего от Алисы. С этого момента Труди может гордиться тем, что у нее есть два полностью заверенных сеанса связи с Алисой. Эта атака приводит к несколько иному результату, нежели протокол с тремя сообщениями, показанный на рис. 8.30. На этот раз Труди удается установить сразу два заверенных соединения с Алисой.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
