Файл: Федеральное государственное образовательное бюджетное учреждение.docx

В большей части протоколов предполагается, что каждый абонент сети обладает некоторым секретным долгосрочным ключом, выделенным ему ЦРК по гарантировано безопасному каналу.

 Практические реализации протоколов обеспечения безопасности с применением гибридных криптографических алгоритмов.

Протокол Wide-Mouth Frog

Протокол Wide-Mouth Frog [M. Burrows, M. Abadi, R. Nidham “A Logic Autentification”, M. Burrows, M. Abadi, R. Nidham “Rejoiner to Nessett”], является самым простым и наиболее прозрачным протоколом поддержки протокола шифрованной связи. Корреспондент А и ЦА, совмещенный с ЦРК, имеют общий долгосрочный секретный ключ, используемый только для распределения сеансового ключа. Алгоритм работы протокола приведен ниже:

А генерирует сеансовый ключ, объединяет метку времени, имя вызываемого корреспондента В и сеансовый ключ, затем шифрует созданное сообщение общим с ЦА ключом и посылает его ЦА вместе со своим именем.

ЦА дешифрует сообщение А. Затем он добавляет новую метку времени, имя А и сеансовый ключ, далее шифрует полученное сообщение общим с В ключом. ЦА посылает криптограмму В.

Наибольшим допущением, сделанным в этом протоколе, является то, что А обладает достаточной компетентностью для генерации хороших сеансовых ключей . Необходимо помнить, случайные числа генерировать не является простой задачей.

 Практические реализации протоколов обеспечения безопасности с применением симметричных шифраторов

Протокол Wide-Mouth Frog

 Один из наиболее простых протоколов использующих ключевую хэш-функцию MAC и работающий с передачей трех сообщений для аутентификации пользователей на двух общих секретных ключах (один для поддержки протокола шифрования, другой для прокола аутентификации).

 1) А генерирует сеансовый ключ k_i, свою метку времени t^a_i, и выполняет шифрование на долгосрочном ключе K_a, E_a(k_i, B, K_a ,t^a_i)= c^a_i.

 Активная часть протокола:

1) А передает ЦА криптограмму E_a .

2) ЦА дешифрует принятое сообщение c^a_i, на ключе K_a, D_a(c^a_i)= {k_i, B, t^a_i}и шифрует его на ключе K_b, добавляя к нему свою метку времени t^s

---

_i , E_b(k_i, B, K_b ,t^s_i)= c^b_i и передает его В.

Таким образом корреспондент В имеет зашифрованный сеансовый ключ ему останется только дешифровать принятое от ЦРК сообщение и установить его. Однако в данной схеме имеется существенный недостаток, заключающийся в повышенной ответственности за выработку ключа у корреспондента – инициатора соединения. Если ключ окажется слабым, то сеанс зашифрованной связи окажется бесполезной тратой временного и вычислительного ресурса.

Но по причине простоты эта схема дает хороший запас по ВВХ к экстенсивному усилению шифрования стойкости за счет длины ключа и является стойкой к атаке “внедрение в середину”.

Протокол Yahalom

 В этом протоколе также абоненты А и В имеют с ЦА общий секретный ключ [M. Burrows, M. Abadi, R. Nidham “A Logic Autentification”, M. Burrows, M. Abadi, R. Nidham “Rejoiner to Nessett”]. Схема организации связи соответствует предыдущему протоколу, но в данной ситуации сеансовый ключ вырабатывает не корреспондент, а ЦРК.

 Алгоритм работы протокола приведен ниже:

А объединяет свое имя и случайное число, и отправляет созданное сообщение В. А корреспондент В объединяет имя А, его случайное число, свое случайное число, далее шифрует созданное сообщение на общем с ЦРК секретном ключе и посылает его ЦРК, добавляя свое имя потом ЦРК создает два сообщения. Первое включает имя В, сеансовый ключ, случайные числа В и А и шифруется секретным ключом А. Второе состоит из имени А, сеансового ключа и шифруется секретным ключом В. ЦРК посылает оба сообщения А. А дешифрует первое сообщение, извлекает сеансовый ключ и убеждается, что случайное число соответствует переданному ранее на этапе (1). А посылает В два сообщения. Одним является сообщение от ЦРК, зашифрованное на ключе В. Вторым является это ПСП корреспондента В, зашифрованная на сеансовом ключе. В дешифрует первое сообщение, извлекает сеансовый ключ и убеждается, что случайное число совпадает.

 1) А генерирует случайное число r^a_i передает В вместе со своим именем, {B,r^a_i}.

2) В вырабатывает r^b_i случайное число выполняет шифрование E_b(A, B, K_b , r^b_i

---

 , r^a_i )= c^b_i и передает c^b_i ЦРК.

3) ЦРК генерирует сеансовый ключ k_i и выполняет шифрование двух сообщений:

1. E_b(k_i, A, K_b)= c^s1_i

2. E_a(k_i, B, K_a , r^b_i , r^a_i )= c^s2_i

1) ЦРК передает {c^s2_i , c^s1_i } корреспонденту A.

2) А дешифрует c^s2_i , D_a(K_a , c^s2_i)={k_i, B,K_a , r^b’_i , r^a’_i } проверяет r^a’_i = r^a’, в случае совпадения устанавливает сеансовый ключ k_i , выполняет шифрование E_k(k_i , r^b’_i)= c^ab_i и передает В {c^ab_i , c^s1_i }

3) В дешифрует c^s1_i , D_b(c^s1_i)={k_i, A}устанавливает сеансовый ключ k_i и дешифрует c^ab_i, D_k(c^ab_i)= r^b’_i после чего проверяет равенство r^b’_i =r^b’_i.

 В результате работы данного протокола корреспонденты А и В убеждены в авторстве сообщений получаемых от других корреспондентов и ЦРК. Также теперь ответственность за выработку сеансового ключа несет корреспондент с заведомо большим вычислительным ресурсом и возможностью централизованного упрощенного контроля и распределения ключевого материала.

В данной схеме имеется существенный недостаток, заключающийся в повышенной ответственности за выработку ключа у корреспондента – инициатора соединения. Если ключ окажется слабым, то сеанс зашифрованной связи окажется бесполезной тратой временного и вычислительного ресурса.

Но по причине простоты эта схема дает хороший запас по ВВХ к экстенсивному усилению шифрования стойкости за счет длины ключа и является стойкой к атаке “внедрение в середину”.

 Протокол Needham-Schroeder

 В протоколе, разработанном Роджером Нидхэмом и Майклом Шредером [R. M. Needham, M. D. Schroeder “Using Encryption of Autentifications in Large Networks of Computers”], используются симметричная криптография и ДЦ.

---

А посылает ЦРК сообщение, содержащее его имя, имя корреспондента В и случайное число. ЦРК генерирует сеансовый ключ и шифрует сообщение, содержащее сеансовый ключ и имя А, секретным ключом В. Затем он шифрует случайное число А, имя В, сеансовый ключ и зашифрованное сообщение секретным ключом А. После чего, он отправляет шифрованное сообщение А. А дешифрует сообщение и извлекает сеансовый ключ. Он Затем он посылает это сообщение обратно В. В дешифрует принятое сообщение на сеансовом ключе и проверяет значение r_B-1.

 1) А создает сообщение {A,B, r^a} и посылает его ЦРК.

2) ЦРК генерирует k_i, шифрует на k_b пару E_k(k_b,k_i, A)= c^b_i и добавляет {r^a,B, k_{i, ,} c^b_i}. Передает В сообщение зашифрованное на k_aE_k(k_b, r^a,B, k_i, c^b_i)= c^a_i .

3) А принимает c^a_i дешифрует D_k(c^a_i )={ r^a’,B, k_i, c^b_i} проверяет r^a=r^a’. И переедет В сообщение c^b_i.

4) В принимает c^b_i и дешифрует на своем ключе k_bD_k(c^b_i )={k_i, A} . Он генерирует случайное число r^b и шифрует его на сеансовом ключе k_i , E_k(k_i, r^b)= c^b2_i и передает его А.

5) А дешифрует D_k(c^b2_i)= {k_i, r^b}, и вычисляет (r^b-1) и шифрует его на ключе k_i , E_k(r^b-1)= c^b3_i, передает c^b3_i корреспонденту В.

6) В принимает сообщение c^b3_i, дешифрует его E_k(c^b3_i)= (r^b’-1) сравнивает с r^b-1.

 Все эти операции с выработкой случайных чисел необходимы для защиты от атаки, основанной на повторной передаче. Злоумышленник, предпринимая попытку вскрытия повторной передачей, записывает сообщения от корреспондентов с целью дальнейшего их использования. Однако случайное число на этапе (2) и является подтверждает А подлинность сообщения от ЦРК и не является повторной передачей ответа от одной из пошлых итераций протокола. Аналогично обстоит и с проверкой достоверности сообщений подтверждения подлинности сообщений корреспондента В.

---

Таким образом применение рандомизации в данном протоколе защищает его от повторной работу на старых или заведомо подложных ключах.

 Протокол Otway-Rees

 Этот протокол также использует симметричную криптографию [D. Otway O. Rees “Efficient and Timely Manual Autentification”], и работает по следующей схеме:

Корреспондент А создает сообщение, состоящее из порядкового номера I, его имени, имени корреспондента В и случайного числа. Это сообщение шифруется ключом, общим для А и ЦРК. Корреспондент А посылает это сообщение В вместе с порядковым номером и их именами:

{I, A, B E_k(k_at, R_A, I, A, B)}

Корреспондент В создает сообщение, состоящее из нового случайного числа, порядкового номера, имени А и имени В. Сообщение шифруется ключом, общим для А и В. Корреспондент В посылает это сообщение ЦРК
вместе зашифрованным сообщением А, порядковым номером, их именами: {I, A, B, E_k(k_at, R_A, I, A, B), E_k(k_ab, R_B, I, A, B)}

ЦРК генерирует сеансовый ключ k_i,. Затем он создает два сообщения. Одно, состоящее из случайного числа корреспондента А и сеансового ключа, зашифрованного на общем секретном ключе, для ЦРК и А. Другое сообщение, состоящее из случайного числа корреспондента В и сеансового ключа, зашифрованное на секретном ключе, общем для ЦРК и корреспондента В. ЦРК отправляет оба сообщения вместе с порядковым номером корреспонденту В: {I, E_k(k_at , R_A, k_i), E_B(k_bt ,R_B, k_i)}

Корреспондент В отправляет А сообщение, зашифрованное его секретным ключом, и порядковый номер: {I, E_k(k_ab, k_i , R_A)}.

Корреспондент А дешифрует сообщение, получая свой ключ и случайное число. А убеждается, что входе протокола они не изменились.

 Предварительные вычисления:

1) А выполняет шифрование E_k(k_at, R_A, I, A, B)= c^a_i .

2) В выполняет шифрование E_k(k_bt, R_B, I, A, B) =c^b_i

3) ЦРК генерирует сеансовый ключ .

 Активная часть протокола:

1) А создает сообщение {I, A, B, c

---