tanenbaum_seti_all.pages (525408), страница 240
Текст из файла (страница 240)
В предыдущем примере одно заверенное соединение было установлено с Бобом, Опять же, если бы протокол удовлетворял всем четырем перечисленным требованиям, атака успеха бы не имела. Летальное обсуждение различных типов атак и методов противодействия им приведено в (В1гс1 и др., 1993). Там также описана методика построения протоколов, корректность которых можно строго доказать. Однако даже простейший из таких протоколов достаточно сложен, поэтому сейчас мы обратимся к другому классу (вполне корректных) протоколов. Итак, новый протокол аутентификации показан на рис. 8.32 (В1гд и др., 1993), Тут мы видим тот же самый НМАС, который мы уже обсуждали при изучении 1рзес.
Для начала Алиса посылает Бобу отметку времени К„в виде сообгдения 1. Боб при ответе выбирает собственную отметку времени, Яэ, и высылает ее вместе с НМАС. НМАС формирует структуру данных, состоящую из временных отметок Алисы и Боба, их идентификаторов, а также общего закрытого ключа Кмг Затем вся эта структура с помощью хэш-функции (например, БНА-1) помешается в НМАС. После приема сообщения 2 Алиса становится счастливым обладателем Я„(это значение выбрано сю же), Ке, полученного в виде открытого текста, двух идентификаторов и закрытого ключа Кме известного и так. Имея все эти данные, она может вычислить НМАС самостоятельно.
Если он согласуется с НМАС, содержащимся в сообщении, она убеждается, что говорит с Бобом, поскольку Труди не знает К„и, следовательно, не может угадать НМАС, который следует отослать. В ответе Алисы Бобу содержится НМАС, состоящий из двух временных отметок. Рис. 6.32. Аутентификации с применением НМАС 892 Глава 8. Безопасность в сетях Вопрос: может ли Труди как-нибудь взломать такой протокол? Нет, потому что она не может заставить ни одну из сторон шнфровать выбранное ею самой значение или применять к нему хэш-функцшо, как это было в ситуации на рис.
8.30. Оба НМАС включают в себя значения, выбранные отправителем. Труди не способна их контролировать каким-либо образом. Использование НМАС вЂ” это далеко не единственное, что можно сделать. Альтернативная схема, которая применяется довольно часто, заключается в шифровании элементов данных последовательно с помощью сцепления блоков шифра. Установка общего ключа: протокол обмена ключами Диффи — Хеллмана Итак, мы предположили, что у Алисы н Боба есть общий секретный ключ. Предположим теперь, что у пих сто нет (поскольку до сих цор нс разработана универсальная инфраструктура РК1 создания подписей и распространения сертификатов).
Как им получить такой кл>оч? Алиса может позвонить Бобу и передать ему ключ по телефону, но он, возможно, спросит: «Как вы докажете, что вы — Алиса, а не злоумышленник? > Онц могут попытаться организовать встречу, на котору>о каждый придет с паспортом, водительскими правами и тремя кредитными картами, но, будучи занятыми л>одьми, они, возможно, нс смогут найти устраивающую обоих дату встречи в течение нескольких месяцев, К счастью, существует способ для совершенно незнакомых людей установить общий секретный ключ средь бела дня, даже если злоумышленник старательно записывает каждое сообщение. Протокол, позволяющий нс встречавшимся раисе людям устанавливать общий секретный ключ, называется протоколом обмена ключами Диффи — Хеллмана (О1(Г(е и Нсйшап, 1976) и работает следующим оГ>разом. Алиса и Боб договариваются о двух болыпих простых числах, п и я, где (и — 1)/2 также является простым числом, кроме того, на число я накладываются некоторые дополнительные условия.
Эти числа могут быть открытыми, поэтому каждый из них может просто выбрать и и я и открыто сообщить о них другому. Затем Алиса выбирает большое (например, 512-разрядное) число х и держит его в секрете. Аналогично, Боб выбирает большое секретное число у. Алиса начинает протокол обмена ключами с того, что посылает Бобу сообщение содержал>ее (и, д, 8 >ног( и), как показано на рис. 8.33. Боб отвечает Алисе сообщением, содержащим 8> пюс1 и. Теперь Алиса Г>врет число, црислацнос ей Бобом, и возводит его в степень х, получая (8> пюг1 п)'.
Боб выполняет подобные вычисления и получает (8 >пск1 п)А В соответствии с законами арифметики оба вычисления должны Г>ь>ть равны 8"» тог1 п. Таким образом, у Алисы и Боба есть общий секретный кл>оч 8"т тес( п. Конечно, злоумышленник видел оба сообщения. Ему известны аначения п и 8 из первого сообщения, Если бы ему удалось вычислить значения х и гн ему бы удалось получить секретный ключ. Беда в том, что, зная 8' >под п и и, найти значение х очень трудно. На сегодняшний день неизвестен алгоритм вычисления дискретного логарифма модуля очень большого простого числа.
Протоколы аутентификации 893 Алиса выбирает х Боб выбирает у Боб вычисляет (о' п1сб п)У =думсдл Рис. 8.33. Обмен ключами Диффи — Хеллмана Для примера возьмем (совершенно нереальиыс) значения л = 47 и д= 3. Ллиса выбирает значение х = 8, а Боб выбирает у = 10. Оба эти числа хранятся в секрете. Сообщение Ллисы Бобу содержит числа (47, 3, 28), так как 3' п1ог( 47 = 28. Боб отвечает Ллисс числом 17.
Алиса вычисляет 17а шог) 47 и получает 4. Боб вычисляет 28" 1пос( 47 и получает также 4. Таким образом, независимо друг от друга Алиса и Боб определили, что значение секретного ключа равно 4. Злоумышленнику придется решить уравнение 3"' шос1 47 = 28, что можно сделать путем полного перебора для таких небольших чисел, но только нс для чисел длиной в несколько сотен бит. Несмотря на всю элегантность алгоритма Диффи — Хеллмана, имеется одна проблема: когда Боб получит три числа (47, 3, 28), как он сможет удостовериться в том, что они посланы Алисой, а не злоумышленником? Способа узнать зто нс существует. К сожалению, злоумышленник может воспользоваться этим, чтобы обмануть Алису и Боба, как показано па рис.
8.34. Здесь, пока Алиса с Бобом выбирают значения х и у, злоумьппленник выбирает свое случайное число х Ллнса посылает Бобу сообщение 1. Злоумьппленпик перехватывает его и отправляет вместо пего Бобу сообщение 2,используя правильные значения п и д (которые посылались открытым текстом), но со своим значением г вместо х.
Он также посылает обратно Алисе сообщение 3. Позднее Боб отправляет Алисе сообщение 4, которое злоумышленник снова перехватывает и хранит у себя. Теперь все занимаются вычислением остатков от деления. Алиса вычисляет значение секретного ключа: 8 п1оо' п.
Те же самвас вычисления производит злоумышленник (для общения с Ллисой). Боб вычисляет 8"' 1поб л, что также делает и злоумышленник (для общения с Бобом). Каждое сообщение, посылаемое Алисой в шифрованном сеансе, перехватывается злоумышленником, сохраняется, изменяется, если это нужно, и отправляется (по желанию злоумышленника) Бобу. То же самое происходит и в обратном направлении. Злоумышленник видит все сообщения и может изменять их по своему усмотрению, в то время как Алиса и Боб полагают, что у них имеется защищенный канал для связи друг с другом. Подобные действия злоумышленника называются атакой типа «пожарная цепочкая, поскольку слегка напоминают старинных пожарных, передававших друг другу по цепочке ведра с водой.
Еще одно название этой атаки — «человек посерединев. 894 Глава 8. безопасность в сетях Злоумышленник выбирает г Боб выбирает у Алиса выбирает х Рис. 8.34. Атака типа «пожарная цепочка» Рис. 8.38. Первая попытка протокола аутентификации с помощью КОС-центра Идея, лежащая в основе протокола, проста: Алиса выбирает ключ сеанса, К,, и заявляет КОС-центру, что она желает поговорить с Бобом при помощи ключа К, Это сообщение шифруется секретным ключом К„, которым совместно владеют только Алиса и центр распространения ключей. центр распространения ключей Расшифровывает это сообщение и извлекает из него идентификатор личности Боба и ключ сеанса.
Затем он формирует новое сообщение, содержащее идентификатор личностй Алисы и ключ сеанса, и посылает его Бобу. Это сообщение зашифровывается ключом Кв — секретным ключом, общим для Боба и центра распространения ключей. Расшифровав это сообщение, Боб узнает, что Алиса желает с ним поговорить и какой ключ она хочет использовать. Аутентификация с помощью центра распространения ключей Итак, установка общего секретного ключа с незнакомцем почти удалась. С другой стороны, вероятно, не следовало вообще этим заниматься. Чтобы общаться с т людьми, вам понадобится хранить п ключей. Для людей, чей круг общения широк, хранение ключей может превратиться в серьезную проблему, особешю если все эти ключи придется хранить на отдельных пластиковых картах. Друтой подход состоит в организации доверительного центра распространения ключей (КОС, кеу тнзтпЪцбоп сенат).
При такой схеме у каждого пользователя всего один ключ, общий с КОС-центром. Операции с ключами аутентификации и сеансовыми ключами проходят через КОС-центр. Простейший протокол аутентификации с помощью центра распространения ключей, включающий две стороны и доверенный КОС-центр, изображен на рис. 8.35.
Протоколы аутентификации 89Б Аутентификация в данном случае происходит сама собой, КОС знает, что со общение 1 пришло от Алисы, так как больше никто нс может зашифровать его секретным ключом Алисы. Аналогично, Боб знает, что сообщение 2 пришло от К1)С, так как кроме него их общий секретный ключ никому пс известен. К сожалению, этот протокол содержит серьезную ошибку. Труди нужны день. ги, поэтому оца придумывает некую легальную услугу, которую она могла бы выполнить для Алисы.
Затем Труди делает Алисе заманчивос предложение и получает эту работу. Выполнив сс, Труди вежливо предлагает Алисе оплатип услуги, псрсведя деньги на сс банковский счет. Чтобы оплатить работу, Алиса устанавливает ключ сеанса со своим банкиром Бобом. Затем она посылает Бобу сообщение с просьбой перевести ясны и на счет Труди.
Том врсмснем Труди возвращается к своим темным делам, Она копирует сообщение 2 (см. рис. 8.35) и запрос на перевод денег, следующий за ним. Затем она воспроизводит оба сообщения для Боба. Боб получает их и думает: «Должно быть, Алиса снова наняла Труди. Похоже, она хорошо справляется с работой». Боб перечисляет еще столько жс денег со счета Алисы на счет Труди. Получив пятидесятый запрос на перевод денег, Боб выбегасг из офиса, чтобы найти Труди и предложить ей большую ссуду, чтобы она мо~ ла расширить свой чрезвычайно успешный бизнес. Подобная проблема получила название атаки повторным воспроизведением. Существует несколько решений этой проблемы. Первое решение состоит в помещении в каждое сообщение временного штампа.
Всс устаревшие сообщения просто ипюрируются. Беда здесь в том, что системные часы в сети синхронизировать с большой степенью точности нсвозможно, поэтому должен существовать какой-то срок годности временного штампа. Труди может обмануть протокол, послав повторное сообщение во время этого интервала. Второе решение заключается в помещении в сообщение уникального порядкового номера, обычно называемого ионсом (попсе — данный случай, данное время). Каждая сторона должна запоминать все предыдущие нонсы и отвергать любое сообщение, содержащее использованный ранее ноно.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
