38.1. Основные принципы построения протоколов идентификации и аутентификации

Напомним читателю, что протокол идентификации и аутентификации это протокол, включающий двух участников:

 доказывающего (проверяемого) участника А, проходящего идентификацию и

 проверяющего участника В.

Целью протокола является проверка того, что проверяемым действительно является участник А. Такие протоколы могут использовать как симметричные так и асимметричные криптоситемы. Различают два вида методов идентификации.

Слабая идентификация  идентификация, использующая фиксированные пароли. Сильная идентификация  идентификация на основе протоколов «запрос-ответ» или изменяющейся (без повторения) информации. При построении протоколов идентификации важно знать возможные атаки на них.

1) Атака «подмена». Попытка подменить одного пользователя другим.

2) Атака «повторное навязывание сообщений. Использование информации ранее проверенного протокола идентификации того же самого или другого пользователя.

3) Комбинированная атака. Использование комбинации данных из ранее выполненных протоколов, в том числе протоколов, ранее навязанных противником.

4) Атака отражением. Комбинированная атака, использующая посылку части информации только что проверенного протокола доказывающему.

5) Атака «задержка передачи сообщения. Перехват сообщения и навязывание его в более поздний период времени.

Для краткости введем следующие обозначения:

E_k – функция шифрования на ключе k;

D_k – функция дешифрования на ключе k;

|| – знак конкатенации (соединения) слов, символов;

id(B) – идентификатор абонента B;

АВ: y – А передает В y.

Идентификация с использованием симметричных криптосистем. Рассмотрим несколько протоколов сильной идентификации в симметричных криптосистемах. Через (с||d) ниже будет обозначаться конкатенация пара слов с и d.

Пример односторонней идентификации с использованием временной метки t_A.

Доказательство проверяемого a:

АВ: y=E_k (t_A|| id(B))

Проверка принятого сообщения y’ проверяющим B:

В: (t|| i))=D_k(y’), удостоверение, что t=t _A T, и i=id(B).

Вследствие трудности синхронизации часов передающей и принимающей стороны интервал T не может быть очень малым. Поэтому технически оснащенный противник имеет возможность после перехвата сообщения y идентифицировать себя для другого участника C, изменив часть id(B) этого кода. Это можно сделать, если, например, шифрование осуществляется наложением гаммы.

Пример односторонней идентификация с использованием случайных чисел z_В.

Запрос проверяющего B (пересылка случайного числа):

В  А: z_В.,

Доказательство проверяемого A (ответ):

АВ: y=E_k(z_В||id(B))

Проверка принятого сообщения y’ проверяющим B:

В: (z||i)=D_k(y’), удостоверение, что z = z_В и i=id(B).

Пример взаимной идентификации с использованием случайных чисел.

Запрос проверяющего B (пересылка случайного числа):

ВА: z_В.,

Доказательство проверяемого А (ответ-запрос):

АВ: y=E_k(z_А||z'_В|| id(B)),

Проверка y’ проверяющим B :

B:( z₁||z₂||i)= D_k(y'), удостоверение, что: z₂= z_В., i=id(B).

Доказательство проверяемого В (ответ):

В  А: y=E_k(z₁||z_В),

Проверка проверяющим A :

A: (z₁’||z₂’)= D_k(y'), удостоверение, что z₁’= z_А, z₂’=z'_В.

Идентификация с использованием асимметричных криптосистем. Теперь опишем несколько примеров протоколов сильной идентификации в асимметричных криптосистемах

Пример идентификации расшифрованием запроса, зашифрованного на открытом ключе абонента А.

Запрос от проверяющего В:

ВА: h(z_B), id(B), y= (z_B ||id(B)).

Проверка запроса проверяемым A:

A: h', i’, (z||i)= (y’), удостоверение, что h(z)=h', i=i’,

Доказательство проверяемого А (ответ):

AB:z.

Проверка проверяющим B:

B: z’, удостоверение, что z'=z_B.

Примечание: проверяемый A доказал проверяющему B, что он владеет ключом расшифрования . При этом проверяемый имеет возможность учитывать запросы и фиксировать случаи их повторного поступления.

Пример идентификации зашифрованием запроса секретным ключом .

Запрос от проверяющего B

BA: z _B.

Доказательство проверяемого A:

A: AB: y=D (z’_B).

Проверка проверяющим B:

B: z= E (y’), удостоверение, что z= z_A.

Недостаток: C может получить от A зашифрованное на ключе выгодное для С сообщение z _С (например, заархивированное долговое обязательство A).

Устраняется использованием хэш-функции:

Запрос от проверяющего B

BA:

состоящий в том, что B намерен связаться с A.

Доказательство проверяемого A:

A: AB: y=D ((M||h(M))), где М – любое сообщение.

Проверка проверяющим B:

B: (m||h)= Е (y’) , удостоверение, что h= h(m).

Напомним, что протокол аутентификации  протокол, идентификации, гарантирующий целостность информации по источнику, содержанию и по времени создания.

Аутентификация с использованием симметричных криптосистем. Заметим, что при передаче зашифрованного сообщения с предварительно добавленным идентификатором источника, целостность данных не гарантируется. Аутентификация источника проводят с использованием ключевой хэш-функции и симметричного шифрования. Можно, например, использовать одну из следующих форм передаваемого сообщения:

,

,

.

При этом ключи шифрования k₁ и k₂ должны быть независимыми, а алгоритмы шифрования и вычисления хэш-функций , должны иметь существенные различия.