Раздел9_11
.pdf
2) зашифрование частей блока hi c использованием алгоритма
ГОСТ 28147–89;
3)перемешивание результатов зашифрования
9.1Типовые схемы идентификации и аутентификации пользова-
теля
Первая из типовых схем – «С ОБЪЕКТОМ-ЭТАЛОНОМ» [1]:
в системе создаётся объект–эталон Ei (используя идентификатор
IDi и аутентификатор Ki) для идентификации и аутентификации пользователя.
Структура объекта–эталона приведена в таблице 9.1.
Таблица 9.1 Структура объекта–эталона
|
|
|
|
|
|
|
|
|
|
|
|
|
Информация для аутентифика- |
|
||
|
|
|
|
|
|
|
Информация |
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
ции |
|
|
|||
|
Номер поль- |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
для идентифи- |
|
||||||||||||
|
|
|
|
|
|
|
|
Ei = F(IDi, Ki) |
|
|||||||
|
|
|
|
|
|
|
|
|
||||||||
|
|
зователя |
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
кации |
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
Ki – аутентификатор |
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
1 |
|
|
|
|
|
ID1 |
|
|
|
E1 |
|
||||
|
2 |
|
|
|
|
|
ID2 |
|
|
|
E2 |
|
||||
|
|
… |
|
|
|
… |
|
|
|
… |
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
N |
|
|
|
IDn |
|
|
|
En |
|
|||||
Здесь Ei = F(IDi, Ki), где F – функция, обладающая свойством «не-
восстановимости» значения аутентификатора Ki по Ei и IDi.
Невосстановимость Ki оценивается по пороговой трудоемкости
Т0 решения задачи восстановления аутентифицирующей информа-
ции Ki по Ei и IDi.
Так как для пары Ki и Kj возможно совпадения значений Е, то ве-
роятность ложной аутентификации не должна быть больше некоторо-
го порогового значения Р0.
На практике задают Т0 = 10201030, Р0 = 10–710–9.
Протокол идентификации и аутентификации следующий:
а) пользователь предъявляет свой идентификатор ID;
б) если ID = IDi, то пользователь i прошёл идентификацию;
в) субъект аутентификации запрашивает у пользователя его
аутентификатор Кi;
д) субъект аутентификации вычисляет значение Yi = F(IDi, Ki);
е) субъект аутентификации сравнивает значения Yi и Ei, и при сов-
падении пользователь аутентифицирован в системе: информация о нем
передается в программные модули, использующие ключи пользователей (систему шифрования, разграничения доступа, и т. п.).
Вторая типовая схема – «С МОДИФИЦИРОВАННЫМ
ОБЪЕКТОМ–ЭТАЛОНОМ»: в системе также создаётся объект–
эталон, таблица 9.2.
Таблица 9.2 – Структура модифицированного объекта–эталона
|
Номер поль- |
|
|
Информация для иденти- |
|
|
Информация для |
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
зователя |
фикации |
аутентификации |
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Si – |
случайный вектор |
|
Ei = F(Si, Ki) |
|
|
|
|
|
1 |
|
ID1, S1 |
|
E1 |
2 |
|
ID2, S2 |
|
E2 |
… |
|
… |
|
… |
|
|
|
|
|
N |
|
IDn, Sn |
|
En |
Здесь значение Ei = F(Si, Ki), где Si – случайный вектор, задаваемый
при создании идентификатора пользователя.
Функция F обладает свойством невосстанавливаемости значения
Ki по Ei и Si.
Протокол идентификации и аутентификации следующий: а) пользователь предъявляет свой идентификатор ID;
б) если ID = IDi, то пользователь i прошёл идентификацию;
в) по идентификатору IDi выделяется (определяется) вектор Si;
д) субъект аутентификации запрашивает у пользователя аутенти-
фикатор Кi;
е) субъект аутентификации вычисляет значение Yi = F(Si, Ki);
ж) субъект аутентификации производит сравнение значений Yi и Ei
и при их совпадении пользователь аутентифицирован в системе.
Этот метод обычно используется в ОС UNIX, где в качестве идентификатора используется имя пользователя (запрошенное по Login), а в качестве аутентификатора Ki – пароль (запрошенный по Password). Функция F – алгоритм шифрования DES. Эталоны для идентификации и аутентификации содержатся в файле /etc/passwd.
?????????????????????????????????????????????????????????
Парольная аутентификация имеет пониженную стойкость, так как выбор аутентифицирующей информации происходит из относи-
тельно небольшого множества осмысленных слов. Мощность этого множе-
ства определяется энтропией языка.
9.2 Взаимная проверка подлинности пользователей
Процесс взаимной аутентификации восполняют в начале сеанса связи. Применяют способы «запроса–ответа»; «отметки времени» («временной
штемпель»).
Механизм «ЗАПРОСА-ОТВЕТА» включает в посылаемое от А к В
сообщение непредсказуемый элемент – запрос Х (напр., случайное число).
При ответе В должен выполнить над этим элементом некоторую
операцию (напр., вычислить некоторую функцию f ( x ).
Получив ответ с результатом действий В, можно установить
подлинность В.
Недостаток метода – возможность установить закономерность между запросом и ответом (иначе будет предсказуемый элемент).
Механизм «ОТМЕТКИ ВРЕМЕНИ»: выполняет регистрацию времени для каждого сообщения.
Можно решить, насколько устарело сообщение и решить принимать или не принимать его, т. к. оно может быть ложным.
При использовании отметок времени возникает проблема допустимого временного интервала задержки для подтверждения подлинности сеанса. Ведь сообщение не может быть передано мгновенно, а часы
получателя и отправителя не могут быть абсолютно синхронизированы.
Для обоих случаев применяют шифрование, чтобы быть уверенным, что ответ послан не злоумышленником.
Для ВЗАИМНОЙ ПРОВЕРКИ подлинности используют
ПРОЦЕДУРУ «РУКОПОЖАТИЯ».
Указанные выше механизмы контроля используются при взаимной проверке ключей.
НАПРИМЕР, симметрическая криптосистема с секретным клю-
чом КАВ, рисунок 9.5.
Порядок операций следующий.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ПользовательВ |
|
||||||
|
|
|
|
|
идентификатор |
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
Пользователь А |
|
IDA |
Канал |
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
Внаходит K AB |
(секретный |
|||||||||||||||
|
|
|
|
|
|
|
|
|
|||||||||||||
|
|
|
|
|
|
|
|
|
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
PG- |
S-послед-ть |
|
|
|
|
|
EK |
(S) |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
псевдослуч. |
|
|
|
ЕК |
|
|
|
AB |
|
DК |
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
генератор |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
K |
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
AB |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
α (…) |
|
|
|
|
|
|
|
|
|
|
AB |
|
|
α (…) |
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
K |
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
α= α‘? |
|
DК |
|
|
|
ЕК |
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
||||||||||||
α‘(S)
Да
В- подлинный EKAB S
Рисунок 9.5 – Процедура рукопожатия (А проверяет подлинность В)
А) А инициирует процедуру рукопожатия и отправляет В свой
идентификатор IDА в открытой форме.
Б) В, получив свой IDА, находит в базе данных секретный ключ КАВ
и вводит его в криптосистему.
В) Также А генерирует случайную последовательность S с помощью псевдослучайного генератора PG и отправляет её В в виде
криптограммы EK AB ( S ).
Д) В расшифровывает эту криптограмму и раскрывает последова-
тельность S.
Ж) А и В преобразуют последовательность S, используя односто-
роннюю открытую функцию α (…).
И) В шифрует сообщение α(S) и отправляет эту криптограмму для
А.
К) А расшифровывает эту криптограмму и сравнивает полученное
сообщение α‘(S) с исходным α(S).
При равенстве сообщений А признаёт подлинность В.
В проверяет подлинность А также.
Достоинство модели рукопожатия в том, что ни один из участников
не получает никакой секретной информации во время процедуры.
Если необходима непрерывная проверка подлинности отправителей в течение всего сеанса связи, то можно использовать способ, показанный на рисунке 9.6.
Пользовател |
Кана |
|
|
|
|
|
|
|
ID, М |
IDA, М |
|
ЕК |
|
D |
|
|
|
|
|
A |
|||
|
|
К |
|
|
||
|
|
|
|
|
|
|
K |
K |
|
|
|
|
|
Нет |
Да |
|
|
IDA =ID′A?
ID′A
Рисунок 9.6 – Непрерывная проверка подлинности отправителя
Передаваемая криптограмма имеет вид: EK (IDA, M,) где IDA –
идентификатор отправителя А; М – сообщение.
В, принявший это сообщение, расшифровывает его и раскрывает
пару (IDA, M).
Если принятый IDA совпадает с хранимым ID’A, то В признаёт
эту криптограмму.
Вместо идентификатора отправителя можно использовать его
секретный пароль (подготовленные пароли РА и РВ известны обеим сто-
ронам).
А создаёт криптограмму, сравнивает извлеченный из неё пароль с
исходным значением.
Такая процедура рукопожатия предполагает общий секретный се-
ансовый ключ для А и В.
Другие процедуры могут включать в себя как этап распределения ключей между партнёрами, так и этап подтверждения подлинности.
9.3 Применение пароля для аутентификации
Пароль пользователя – одно из самых важных и самых слабых мест безопасности системы.
Человек или программа, отгадавшие пароль пользователя, получает доступ к ресурсам системы в том объёме, в котором он предоставляется пользователю. Особенно это важно в случае пароля администратора, так как его полномочия в системе гораздо шире, а действия от его имени могут повредить систему.
Обычно, пароль РА, представляемый пользователем, сравнивается с
исходным значением РА', хранящемся в компьютерном центре.
Так как пароль должен храниться в тайне, он должен шифроваться
перед пересылкой по незащищенному каналу.
При совпадении РА и РА' пароль считается подлинным, рисунок
9.7.
Компьютерный центр
Пользовател
|
|
|
Канал |
|
PA |
′A |
|
|
|
|
|
|
P |
PA |
|
K |
|
K |
A = |
′A? |
|
|
E |
|
P |
P |
|
|
|
|
|
D |
|
|
|
|
|
|
|
|
|
|
|
K |
K |
|
|
|
|
|
|
|
|
|
Да |
(Пароль подлинн
Рисунок 9.7 – Схема простой аутентификации с помощью пароля
Если получатель НЕ ДОЛЖЕН раскрывать исходную форму пароля, то отправитель пересылает ВМЕСТО открытой формы пароля
ОТОБРАЖЕНИЯ ПАРОЛЯ, получаемое с использованием односто-
ронней функции (…).
Это преобразование должно гарантировать невозможность раскрытия пароля по его отображению противником в связи с неразрешимой
числовой задачей.
|
Функция |
(…) |
определяется: |
|
||
(Р) = Ер(ID), |
() |
|||||
где Р – |
|
; |
|
|||
пароль отправителя |
|
|||||
ID – идентификатор отправителя;
Ер – процедура шифрования, выполняемая с использованием па-
роля в качестве ключа.
?????????????????????????????????????????
Эти функции удобны, если длина пароля и ключа одинаковы: подтвержде-
ние подлинности состоит из пересылки получателю отображения (Р) и сравнение его с предварительно вычисленным и хранимым эквивалентом ’(Р).
Надёжность паролю придаёт не его длина, а его непредсказуемость. Наименее предсказуемы пароли, представляющие случайную комбинацию прописных и строчных букв, цифр и знаков препинания, – но их труднее запомнить.
На практике пароли, состоящие из нескольких букв (с целью легкого за-
поминания), уязвимы к атаке полного перебора вариантов. Поэтому
функцию (Р) определяют:
(Р) = Ер к (ID), |
() |
||||
где К и ID – |
|
|
|
. |
|
ключ и идентификатор отравителя |
|
||||
Значение (Р) |
|
|
|
||
вычисляется заранее и хранится |
идентификацион- |
||||
|
. |
|
|||
ной таблице у пользователя |
|
||||
Подтверждение подлинности состоит из сравнения двух отоб-
ражений пароля (Ра) и ’(Ра), рисунок 9.8.
Но получивший доступ к идентификационной таблице может незаконно изменить ее содержание.
Идентификацион
Ототправите |
|
|
|
|
таблица |
|
||
α(PA),IDA |
|
|
|
|
||||
|
|
|
||||||
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
……. |
…… |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
IDA |
′(PA) |
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
||
Нет |
= ′? |
……. |
…… |
|
||||
|
|
|
||||||
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Да
Рисунок 9.8 – Схема аутентификации с помощью пароля с использованием идентификационной таблицы
9.4 Биометрическая идентификация и аутентификация
Пользователь идентифицируется путём измерения физиологических параметров и характеристик человека, особенностей его поведения.
Достоинства:
а) высокая степень достоверности из-за уникальности биометрических признаков;
б) биометрические признаки неотделимы от дееспособной личности; в) трудность фальсификации биометрических признаков.
В качестве БИОМЕТРИЧЕСКИХ ПРИЗНАКОВ используются: а) узор радужной оболочки и сетчатки глаз;
б) отпечатки пальцев;