<< Предыдущая

стр. 26
(из 82 стр.)

ОГЛАВЛЕНИЕ

Следующая >>

Т-1
F{X) = k-\-^ajXK

После этого вычисляются его значения
yi = F{Xi) при1^г^И^
и раздаются участникам разделения ключа (они держатся в секрете).
Чтобы восстановить ключ, пользователи применяют процедуру
интерполяции многочлена. Предположим, что L хранителей секрета
собрались вместе и обменялись значениями ?/^ (г = 1, . . . , L). В этом
случае они могут попытаться решить систему уравнений:

у^ =кЛ- aiXi Н ar-iXf " \


yL = k + aiXb + • • • ar-iXl'^.
Если L ^ Г, то система будет иметь единственное решение, кото­
рое позволит восстановить F{X)^ а значит и ключ. Если же L < Т^
то система получится неопределенной и никак не поможет восста­
новить нужный многочлен. Таким образом, никакой информации о
ключе к извлечь не удастся.
На практике применяется короткий способ решения этой систе­
мы с помош;ью интерполяционного многочлена Лагранэюа. Не вда­
ваясь в подробное описание этого многочлена, приведем лишь схему
восстановления ключа. Вычисляются коэффициенты
Ха
в>= П J\.r\ Хп


И П ним восстанавливается ключ:
О




6.2. Распределение секретных ключей

Напомним, что п пользователям, желающим обмениваться закры­
той информацией друг с другом, необходимо
п{п — 1)
Глава 6. Распределение симметричных ключей

разных долговременных криптографических пар^. Как было отме­
чено ранее, это порождает проблемы управления огромным числом
ключей и их распределения. Мы уже говорили, что лучше использо­
вать сеансовые ключи и несколько статичных, но не объяснили как
развертывается сеансовый ключ.
Ц^ля решения этой задачи разработано множество протоколов, в
которых используется криптография с симметричным ключом р,ля
распределения сеансовых ключей. Некоторые из них будут предста­
влены в этом параграфе. Позже мы познакомимся с решением про­
блемы распределения, которое предлагают криптосистемы с откры­
тым ключом и которое часто бывает весьма элегантным.

6.2.1. Обозначения
При описании протоколов нам потребуются некоторые стандарт­
ные обозначения. Сначала договоримся о символах, отвечаюп1;их за
участников протокола и встречающиеся величины.
Участники/администратор: Л, В, S. Будем предполагать, что
в обмене закрытой информацией участвуют двое: А — Алиса VL В —
Боб. Кроме того, предполагается, что они прибегают к услугам
доверенного лица (ДЛ), которое будем обозначать буквой S,
Долговременные секретные ключи: каь-, кьз-, kas- Символ каь за­
креплен за ключом, известным только А и В.
Числовые вставки: Па-, Щ. Это случайные одноразовые числа,
уникальные для каждого сообш;ения протокола. Число Па обознача­
ет числовую вставку, произведенную участником А. Заметим, что
эти числа могут обозначаться и по-другому.
Временная метка: ta^ tb-, ts- Величина ta — временная метка,
созданная участником А. При использовании временной метки мы
предполагаем, что участники пытаются соблюдать синхронизацию
часов, используя какой-то другой протокол.
Символьная запись
А —>В :М,А,В, {na,m,a,b}k,^
означает, что А посылает участнику В сообщение, состоящее из
- числовой вставки М,
- имени посылающего сообщение А,
- имени адресата Б ,

^Используемые в шифровании открытым ключом общедоступный ключ и лич­
ный ключ. — Прим. перев.
6.2. Распределение секретных ключей

- текста послания {пд, т , а, Ь}, зашифрованного с помощью клю­
ча kas^ используемого А совместно с S. Таким образом, полу­
чатель jB не в состоянии прочесть зашифрованную часть этого
письма.
Перед описанием первого из протоколов нам следует определить его
цели. Предположим, что заинтересованные стороны А и В пользу­
ются ключами has и kbs для связи с центром доверия 5, а в резуль­
тате работы протокола они хотели бы договориться о ключе каь и
получить его в свое распоряжение для обмена закрытой информа­
цией друг с другом.
Кроме этого, нам необходимо предусмотреть возможные атаки
на протокол. Как всегда, будем учитывать самую плохую ситуа­
цию, при которой нападаюш;ий может перехватывать любое сооб­
щение, переданное по сети, приостанавливать, вносить свою правку
или переадресовывать его. Будем считать также, что атакующий
способен передать по сети и свое собственное сообщение. Против­
ника, наделенного такими большими возможностями, принято ото­
ждествлять с самой сетью.
Сеансовый ключ, о котором договариваются Аи В^ должен быть
новым, т.е. только что созданным, никогда не применявшимся ни
одной из договаривающихся сторон. Новизна ключа помогает пере­
играть противника, поскольку получив сообщение, зашифрованное
старым ключом, легко понять, что оно подложное. Новизна ьслюча
также подтверждает, что сторона, с которой Вы ведете закрытую
переписку, все еще дееспособна.

6.2.2. П р о т о к о л хпирокоротой лягушЕки
Первый протокол, с которым мы познакомимся — это протокол ши­
рокоротой лягушки, предложенный Барроузом. Протокол передает
ключ каЬ от Ак В через посредника 5, используя лишь 2 сообщения,
но имеет множество недостатков. В частности, для его реализации
необходима синхронизация часов, что создает дополнительные про­
блемы. В нем предполагается, что А выбирает сеансовый ключ каь и
пересылает его пользователю В. Это означает, что пользователь J5
верит в компетентность Л, в его способность создать стойкий ключ
и хранить его в секрете. Такое сильное требование служит основной
причиной слабого применения на практике протокола широкоротой
лягушки. С другой стороны, это довольно простой и хороший при­
мер, на котором можно продемонстрировать формальный анализ
протоколов, чему, в частности, посвящена глава.
Глава 6. Распределение симметричных ключей

Протокол состоит из обмена двумя сообщениями (рис. 6.1):

А—> S:A,{taAKb}kas^
S -—> В : {ts'>ci-,Kb}kbs'
Получив первое послание, центр дове­
доверенное рия S расшифровывает последнюю его
лицо
часть и проверяет, что временная мет­
2: КаЛаь},,^ \:A{t,,b,kJ
/ \ ка близка к текущему моменту време­
ни. Расшифрованное сообщение гово­
/
1 Боб Алиса! рит S о том, что тому следует пере­
слать ключ каь пользователю В. Если
Р и с . 6 . 1 . Протокол широкоро-
временная метка соответствует недав­
той лягуш ки
нему времени, то S шифрует требуе­
мый ключ вместе со своей временной меткой и пересылает получен­
ный шифротекст пользователю В. При получении сообщения от S
участник переписки В расшифровывает его и проверяет свежесть
временной метки. После этого он может прочесть ключ каЬ и имя
человека Л, который хочет переслать ему зашифрованную инфор­
мацию.
Корректная временная метка означает, что сеансовый ключ был
создан недавно. Однако пользователь А мог сгенерировать этот
ключ годы назад и хранить его на своем жестком диске, куда Ева
имела возможность забраться несколько раз и снять копию ключа.
Мы уже говорили, что протокол широкоротой лягушки коррект­
но работает только при синхронизированных часах всех его участ­
ников. Однако это не создает больших сложностей, поскольку до­
веренный центр S проверяет или генерирует все временные мет­
ки, используемые в протоколе. Поэтому остальные стороны долж­
ны лишь записать разницу в показаниях своих часов и часов центра.
Тем самым протокол будет работать некорректно лишь тогда, ко­
гда какие-то из трех часов идут медленнее или быстрее остальных,
или же показания часов были изменены принудительно.
Этот протокол действительно очень прост, что обусловливается
синхронизацией часов и предположением о том, что участнику А
можно доверить генерирование сеансового ключа.

6.2.3. Протокол Нидхеима-Шредера
Рассмотрим более сложные протоколы, начав с одного из самых зна­
менитых, а именно, с протокола Пидхейма-Шредера. Этот протокол
был разработан в 1978 году и является самым изучаемым на сего-
6.2. Распределение секретных ключей

дняшний день. Он получил известность благодаря тому, что даже
самый простой протокол может долгое время скрывать свои пробе­
лы в обеспечении безопасности. Обмен письмами идет по следующей
схеме (рис. 6.2):
А- ^S
^ А {Па, Ь, каЬ, {каЬ,
S- а}кье }kas ->
А- -^В : {Кь,о]кье^
В -^А
А- -^В
3: {kgb.ah^^
\.А,В, Пд доверенное
Боб Алиса лицо
5:{пь-1к 2:{na.b,kab,{kab,a}j^Jk^

Р и с . 6.2. Протокол Нидхеима-Шредера

Теперь мы разберем каждое из сообщений протокола подробно
и объясним их предназначение.
- В первом пользователь А сообщает центру доверия 5, что он
намерен получить ключ для переписки с В. Обратите внима­
ние на то, что к сообщению прикреплена уникальная числовая
вставка, созданная А.
- S генерирует ключ каь и посылает его А вторым письмом.
В него включается числовая вставка п^, по которой клиент
А узнает, что полученное сообщение было послано в ответ на
его запрос. Сеансовый ключ зашифровывается с помощью kbs
и прикрепляется к этому сообщению.
- В третьем письме сеансовый ключ пересылается пользователю В.
- Участник В должен проверить, что отправителем этого посла­
ния действительно является Л, т. е. он должен удостовериться,
что А все еще действует, и в четвертом сообщении протокола
он пересылает свою числовую вставку участнику А в заши­
фрованном виде.
- В последнем сообщении, чтобы убедить партнера В в своей
дееспособности, инициатор переговоров шифрует простое вы­
ражение, зависящее от пь, и отсылает его В,
Основной недостаток протокола Нидхеима-Шредера заключается в
том, что в результате его работы у пользователя В нет оснований
считать, что полученный ключ является новым, — факт, который
Глава 6. Распределение симметричных ключей

был замечен только спустя некоторое время после опубликования
протокола. Противник, найдя сообщения и ключ предыдущих се­
ансов, может использовать старые письма вместо последних трех
сообщений, в которых упоминается J5. Таким образом нападающий
может обмануть 5 , вынуждая его принять свой ключ, в то время,
как В предполагает, что ведет переговоры с А,
Заметим, что AVL В принимают секретный сеансовый ключ, со­
зданный центром доверия, в связи с чем ни у одной из сторон нет
необходимости полагаться на другую в выборе хорошего ключа, по­
скольку вся ответственность здесь ложится на плечи 5. В некоторых
протоколах обходятся без посредников, а привлекаются другие ал­
горитмы, например, с открытым ключом. В этой главе мы будем
считать, что все участники протоколов доверяют S во всех функ­
циях, которые на него возложены.

6.2.4. Протокол Отвэй-Риса
Протокол Отвэй-Риса практически не используется начиная с 1987
года, но он важен с исторической точки зрения. Аналогично прото­
колу Нидхейма-Шредера, в нем не требуют синхронизации часов,
но и он не лишен недостатков.
Как и ранее, два пользователя пытаются достигнуть догово­
ренности о ключе через посредничество центра доверия 5. Здесь
участвуют числовые вставки Пд и п^, свидетельствуя о свежести
всех шифрованных компонентах сообщений. Кроме того, числовая
вставка М связывает сообщения одного сеанса между собой. Про­
токол Отвэй-Риса короче протокола Нидхейма-Шредера, поскольку
он состоит только из четырех сообщений. Однако эти сообщения вы­
глядят совсем по-другому. Как и прежде, центр доверия генерирует
ключ каь для двух ПОЛЬЗ оватслсй.
2: М, А, В, {na,m,a,b}f^ , {щ,m,a,b}j^^ \'.М,А, В, (па ,т,а,Ь}^
доверенное
Боб И : Алиса
лицо
3:М. {па,каь)к^, {^b.kab)k,, 4: Л/. {паЛаь/м^


Рис. 6.3. Протокол Отвэй-Рйса

Протокол Отвэй-Риса состоит из следующих этапов (рис. 6.3):
А —> в : М, А, в, {na,m,a,b}k^^,
В —> S : М, А, В, {na,m,a,b}ka^, {пь,т,а,&Ь^^,
S —> В : М, {na,kab}kas^ {nb,kab}kbs^
в — ^ А : М , {na,kab}kas'
6.2. Распределение секретных ключей

Поскольку протокол не использует ключ каьfl^л.яшифрования сооб­
щений, ни одна из сторон не представляет, известен ли этот ключ
другому участнику. Подчеркивая эту особенность, говорят, что про­
токол Отвэй-Риса не содержит подтверждения ключа. Посмотрим,
что знают договаривающиеся стороны. А понимает, что В послал
сообщение, содержащее числовую вставку Пд, в новизне которой
пользователь А уверен, поскольку именно он был ее создателем. Сле­
довательно, свое письмо В тоже должен был послать недавно. С дру­
гой стороны, сервер уведомляет участника В о числовой вставке,
включенной в сообщение клиентом Л, но у J9 нет никаких осно­
ваний полагать, что полученное им послание не было повторением
старого сообщения.

<< Предыдущая

стр. 26
(из 82 стр.)

ОГЛАВЛЕНИЕ

Следующая >>