ЛЕКЦИЯ 14. Протоколы аутентификации 14. 1. Взаимная аутентификация

ЛЕКЦИЯ 14. Протоколы аутентификации 14. 1. Взаимная аутентификация 14. 2. Односторонняя аутентификация

Взаимная аутентификация Возможные атаки с использованием воспроизведения сообщений : Простое воспроизведение. Противник просто копирует сообщение и позже воспроизводит его. Воспроизведение, которое можно зарегистрировать. Противник может воспроизвести сообщение с меткой даты/времени внутри реального времени. Воспроизведение, которое нельзя обнаружить. Оригинальное сообщение можно принудительно задержать, чтобы оно не достигло адресата, тогда адресат получит только воспроизведенное сообщение. Возвратное воспроизведение без модификации. Это воспроизведение сообщения, возвращаемое назад отправителю. Такой вид атаки оказывается возможным, когда используется традиционное шифрование и для отправителя не просто отличить по содержимому посылаемые сообщения от получаемых.

Способы противодействия атакам с воспроизведением сообщений: 1. Порядковые номера. Присоединение к каждому сообщению порядкового номера , используемого в процессе аутентификации. При этом каждой из сторон необходимо отслеживать порядковые номера для каждого из отправителей, с которыми приходится иметь дело. 2. Метки даты/времени. Сторона А принимает сообщение как новое, только если сообщение содержит метку даты/времени. При этом подходе необходимо, чтобы часы участвующих в обмене данными сторон были синхронизированы. Метки даты/времени нельзя использовать для приложений, основанных на применении протокола с установлением логических соединений. 3. Запрос/ответ. Сторона А , ожидающая нового сообщения от В , сначала посылает В оказию ( запрос ) и требует, что следующее сообщение, полученное от В ( ответ ), содержало соответствующее корректное значение оказии. Не годится для приложений, работающих с протоколами без установления соединений , поскольку в таких приложениях потребуется очень большое число дополнительных подтверждений передачей любой порции данных.

Подходы на основе традиционного шифрования. Шаги процесса аутентификации Сценарий распределения ключей, включающий элементы аутентификации Протокол Нидхэма-Шредера : 1. А →ЦРК: ID A || ID B || N 1 2. ЦРК →А: E Ka [ K S || ID B || N 1 || E K b [ K S || ID A ]] 3. A→B: E Kb [K S || ID A ] 4. B →A: E Ks [N 2 ] 5. A→B: E Ks [f(N 2 )]

Модификация протокола Нидхэма-Шредера На шагах 2 и 3 добавляются метки даты/времени; Предполагается, что главные ключи К a и К b являются защищенными. 1. А → ЦРК: ID A || ID B 2. ЦРК → А : E Ka [K S || ID B || T || E Kb [K S || ID A || T ]] 3. A→B: E Kb [K S || ID A || T ] 4. B →A: E Ks [N 1 ] 5. A→B: E Ks [f(N 1 )] Стороны А и В могут убедиться в соответствии времени, проверив неравенство | Время — Т | < Δ t 1 + Δ t 2 , где Δ t 1 — оценка для среднего отклонения показаний локальных часов (А или В) от показаний часов ЦРК , Δ t 2 — ожидаемое время задержки в сети. Проблема : часы отправителя опережают часы предполагаемого адресата ( возможны атаки задержки-воспроизведения ).

1. А →B : ID A || N А 2. B→ ЦРК : ID B || N b || E Kb [ID A || N А || T b ] 3. ЦРК →A: E Ka [ID B || N А || K s || T b ] || E Kb [ID A || K s || T b ] || N b 4. A → B: E Kb [ID A || K s || T b ] || E Ks [N b ]Учет опасности атак задержки-воспроизведения : 1. А → B : E K b [ ID A || K s || T b ], N ’ а 2. B → А : N’ b , E Ks [N’ a ] 3. A → B : E Ks [ N’ b ] Протокол завершения сеанса — начала нового сеанса связи.

Подходы на основе шифрования с открытым ключом Протокол , использующий метки даты/времени 1. А → AS : ID A || ID B 2. AS →А: E KR а s [ ID A || KU A || T ] || E KR as [ ID B || KU B || T ] 3. A → B : E KR as [ ID A || KU A || T ] || E KR as [ ID B || KU B || T ] || E KUb [ E KRa [ K s || T ]] Центральная система выступает в качестве сервера аутентификации ( AS ), т. к. не несет ответственности за распределение секретных ключей (скорее, AS обеспечивает сертификацию открытых ключей). Протокол с применением оказий • А → ЦРК: ID A || ID B • ЦРК → А : E KRauth [ID B || KU b ] • A→B: E KUb [N A || ID A ] • B→ ЦРК : ID B || ID A || E KUauth [N A ] • ЦРК →B: E KRauth [ID A || KU a ] || E KUb [E KRauth [N A || K S || ID B ]] • B →A: E KUa [E KRauth [N A || K S || ID B ] || N b ] • A→B: E Ks [N b ]

Более защищенная версия алгоритма: 1. А → ЦРК: ID A || ID B 2. ЦРК → А : E KRauth [ID B || KU b ] 3. A→B: E KUb [N А || ID A ] 4. B→ ЦРК : ID B || ID A || E KUauth [N А ] 5. ЦРК →B: E KRauth [ID A || KU a ] || E KUb [E KRauth [N A || K S || ID A || ID B ]] 6. B →A: E KUa [E KRauth [N A || K S || ID A || ID B ] || N b ] 7. A→B: E Ks [N b ] Пара { ID A , N А } уникальным образом идентифицирует запрос на соединение со стороны А.

Односторонняя аутентификация Подход на основе традиционного шифрования Стратегия использования ЦРК в качестве схемы шифрованного обмена электронной почтой. 1. А →ЦРК: ID A || ID B || N 1 2. ЦРК →А: E Ka [ K S || ID B || N 1 || E Kb [ K S || ID A ]] 3. A → B : E Kb [ K S || ID A ] || E Ks [ M ] Протокол не защищает от возможности воспроизведения сообщений. Подходы на основе шифрования с открытым ключом Главная задача — конфиденциальность : A → B : E Kb [ K S ] || E Ks [ M ] Эта схема более эффективна, чем простое шифрование всего сообщения открытым ключом стороны В. Главная задача — аутентификация : A → B : M || E KRa [ H ( M )] (цифровая подпись)

Зашифровывание открытым ключом адресата A→B: E KUb [M || E KRa [H(M)] Обеспечение гарантии того, что открытый ключ пользователя А известен пользователю В и что этот ключ не просрочен ( цифровое удостоверение ): A → B : M || E KRa [ H ( M )] || E KRas [ T || ID A || KU a ]]