4.4. Протокол с «двуликим Янусом»

Конвей (J. Conway) в свое время заметил, что очень просто победить гроссмейстера при игре в шахматы по почте. Стратегия заключается в том, чтобы разыграть одну партию од­новременно с двумя гроссмейстерами, передавая ходы белых тому, кто играет черными, и наоборот. Таким образом, человека, играющего в шахматы указанным способом, можно срав­нить с «двуликим Янусом», повернутым одним своим лицом к игроку белыми, а другим — к игроку черными фигурами.

Аналогичная идея может быть использована для атаки криптографических протоколов. Например, Нидхейм и Шредер в 1978 г., сразу же вслед за первой фундаментальной работой по двухключевой криптографии [44), предложили следующий протокол аутентичного клю­чевого обмена [45|. Рассмотрим шаги протокола исходя из предположения, что Алиса и Боб заранее обменялись своими сертификатами:

Описанный протокол впервые был исследован в работе [41] в 1989 г. Тем не менее в 1995 г. Лов (Lowe) провел дополнительное исследование [46] и продемонстрировал уязвимость протокола при атаке со стороны «двуликого Януса». Рассмотрим ситуацию, когда Чарли находится между Алисой и Бобом. При этом Чарли взаимодействует с Алисой от своего лица, но выдает себя за Алису, взаимодействуя с Бобом:

Отправитель Получатель Сообщение

Способ противодействия атаке заключается в указании уникального имени абонента внутри сообщения.

4.5. Протокол стандарта х.509

Рассмотрим протокол, введенный стандартом CCITT X.509 для управления сертификацией в иерархической структуре [47]. В 1989 году Барроуз (Burrows), Абади (Abadi) и Нидхэйм (Needham) предложили атаку на протокол Х.509 [41]. Кратко изложим идею атаки. В соот­ветствии с протоколом Алиса подписывает сообщение вида {Та, Nа,B_,X, {Y}_Kв}, где Та - временная метка, Na — серийный номер, а X и Y — некоторые данные, и посылает его Бобу. Поскольку подпись всего сообщения выполняется после шифрования Y, существует возмож­ность замены подписи Алисы на подпись злоумышленника. Механизм атаки существенно зависит от математических свойств применяемого криптоалгоритма.

Таким образом, вычисление подписи после шифрования приводит к разрушению механиз­ма аутентификации. Последнее может означать, например, невозможность доказательства принадлежности в случае отказа от ранее переданного сообщения.

4.6. Протокол для сетей подвижной радиосвязи

В последние годы возникла задача разработки криптографических протоколов для сетей подвижной радиосвязи. Работа в сети осуществляется с помощью портативных приемопере­датчиков, причем ограниченный объем памяти и невысокая производительность процессора не позволяют хранить большое количество ключей и выполнять сложные криптографиче­ские вычисления. Решение, применяемое на практике, заключается в создании центрального сервера, в задачу которого входят установление и поддержка защищенного режима взаимо­действия абонентов сети.

Интересный вариант протокола для сетей подобного типа был предложен в 1989 г. Тате-баяши (М. Tatebayashi), Матцузаки (N. Matsuzaki) и Ньюманом (D.B. Newman) [48]. TMN-протокол разработан исходя из предположения, что персональное устройство абонента сети (например, Smart Card) позволяет выполнять некоторые криптографические вычисления — возводить в куб по модулю двусоставного числа, суммировать по модулю 2, а также вы­полнять шифрование/дешифрование с помощью стандартного криптоалгоритма (например, DES). Известно |40], что арифметическая операция возведения в куб по модулю двусоставно­го числа (произведение двух простых чисел) обладает свойствами однонаправленной функ­ции, то есть функции, которую легко вычислить, но трудно обратить. Таким образом, вы­числение кубического корня по модулю двусоставного числа представляет собой трудоемкую задачу. Однако при известных сомножителях данная задача решается существенно более просто. Следовательно, сложность вычисления кубического корня эквивалентна сложности факторизации двусоставного числа [39].

Рассмотрим взаимодействие Алисы и Боба при условии, что Сэм (сервер) знает сомно­жители модуля N, причем все остальные абоненты знают N, но не знают сомножителей:

Алиса и Боб генерируют случайные числа ra и rb соответственно, возводят их в куб по модулю N и посылают Сэму. Сэм, зная разложение числа N, берет кубический корень и по­лучает числа ra и rb . Далее Сэм суммирует (по модулю 2) полученные числа и возвращает результат Алисе. Теперь Алиса может вычислить rb, так как rb = ra ® (R-A Ф rb)- Боб знает число rb по построению, следовательно, Алиса и Боб имеют общий сеансовый секрет­ный ключ для шифрования/дешифрования конфиденциальной информации. В результате пассивного перехвата криптоаналитик противника получает три шифротекста: зашифрован­ные на открытом ключе сервера одноразовый ключ ra, сеансовый ключ Rв и их сумму по модулю 2. Соответственно имеется две возможности: раскрыть сеансовый ключ методом си­ловой атаки или выполнить факторизацию модуля N, атаковать безусловно секретный шифр Вернама ra ® rb- В работе [48] доказано, что секретность сеансового ключа эквивалентна сложности факторизации числа N.

Тем не менее в 1994 г. Симмонс (G. J. Simmons) показал, что протокол может быть успешно атакован [49]. Любой легальный абонент сети, например Чарли (С), при содействии другого легального абонента, например Дэйва (D), может легко раскрыть сеансовый ключ rb- Для этого Чарли договаривается с Дэйвом о сеансовом ключе, который будет сгенерирован Дэйвом по запросу сервера, то есть сеансовый ключ rd известен Чарли заранее. Тогда протокол будет состоять из следующей последовательности шагов:

№ Отправитель______Получатель Сообщение

На первом шаге Чарли, воспользовавшись шифротекстом, перехваченным при взаимо­действии Боба и Сэма, формирует сообщение R_с³ (R³_B mod N) mod N и посылает его Сэму с запросом на установление соединения между ним и Дэйвом. Отметим, что Сэм в силу криптографических свойств преобразования не может контролировать структуру принятого сообщения, даже если сохраняет все предыдущие сообщения других абонентов сети. Далее, следуя дисциплине протокола, Сэм запрашивает сеансовый ключ от Дэйва. Взяв кубический корень и расшифровав тем самым сеансовый и одноразовый ключи, Сэм вычисляет их сумму (по модулю 2) R_D R_CR_B и посылает Чарли. Поскольку Чарли знает R_D (в силу предвари­тельной договоренности с Дэйвом), он может легко вычислить RcRв=R_D mod2 (R_D mod2 R_CR_В).Теперь для раскрытия сеансового ключа Боба Чарли сначала должен вычислить R_C^-1 (всегда может сделать, так как знает r_C) и затем R_B= R_C^-1( R_CR_B)= ( R_C^-1(R_D mod2 ( R_D mod2 R_CR_B))).