1.2. Противодействие пассивному перехвату

Угроза пассивного перехвата пароля возникает в первую очередь при удаленном доступе. Но не только. Например, для получения доступа к закрытым при помощи паролей разделам жесткого диска персонального компьютера достаточно внедрить в операционную систему программу «закладку» мониторинга начальной фазы сеанса (login, password) с сохранением в базе данных всех введенных при этом паролей и имен пользователей. Основная мера проти­водействия пассивному перехвату — применение механизма защищенных паролей, который может быть реализован как криптографическими, так и не криптографическими методами при помощи хэш-функций.

Хэш-функция h — преобразование последовательности бит переменной длины х в после­довательность бит фиксированной длины у. Отметим, что подобное преобразование не явля­ется криптографическим, так как не содержит секретного компонента — ключа. Алгоритм вычисления функции также всем известен.

Простейшая схема защищенных паролей представлена на рис. IX.1.

Предположим: заданы пароль ри уникальный идентификатор пользователя id. Для получения доступа пользователь (или злоумышленник) вводит идентификатор id и некото­рый пароль р'. Вычисленное значе­ние хэш-функции от введенного паро­ля q' = h(p'} и идентификатор id пе­редаются проверяющему. В базе дан­ных проверяющего для каждого id со­держится значение q = h(p). В случае q' = q проверяющий заключает, что введенный пароль р¹ соответствует ис­тинному р. Суть механизма защиты — знание q не позволяет просто опреде­лить р (требуется обратить хэш-функцию, а это вычислительно-трудоемкая задача).

Описанная схема имеет существенный недостаток. Предполагаемый злоумышленник мо­жет заранее построить таблицу значений q для наиболее вероятных р.

Будет ли раскрыт пароль, за­висит от объема данных, получен­ных в результате мониторинга за­просов на предоставление досту­па, и от того, насколько выбранное распределение вероятностей для р соответствует реальному. Недо­статок может быть устранен про­стым изменением схемы защищен­ных паролей (рис. IX.2).

В предлагаемом варианте хэш-функция вычисляется не от пароля, а от кон­катенации пароля и идентифика­тора: q = h(p + id] и q' = h(p' + id), где знак «—» означает конкатена­цию. При этом возможность построения таблицы ограничена конкретным идентификатором, что существенно снижает эффективность табличной атаки.

1.3. Защита при компрометации проверяющего

Масштабы потерь при компрометации базы данных проверяющего в результате внутренней атаки катастрофичны, так как скомпрометированным оказывается не отдельный пароль, а вся система парольной защиты.

Описанные выше схе­мы защищенных паролей в определенной степени обес­печивают защиту, посколь­ку в базе данных хранят­ся не сами пароли, а значе­ния хэш-функции. Однако подобный метод не гаранти­рует адекватной защиты в случае, если злоумышлен­ник может перехватывать значения хэш-функции легальных пользователей и затем исполь­зовать их для нелегального доступа. Один из способов устранения недостатка — вычисление хэш-функции проверяющим (рис. IX.3).

Аналогичная паролная схема применяется вОС UNIX™ [132]. (В ОС UNIX™ помимо идентификатора и паро­ля при вычислении хэш-функции используется уникальное для каждо­го идентификатора слу­чайное число, что обеспе­чивает дополнительную устойчивость к таблич­ной атаке.)Данная схема имеет очевидный недостаток.При удаленном вводе пароля возникает риск пассивного перехвата. Введение дополнительной хэш-функции (рис. IX.4) позволяет частично уменьшить риск, одновременно обеспечивает­ся защита в случае компрометации проверяющего. Схема сочетает достоинства вариантов, представленных на рис. IX.2 и IX.3. Проверяющий сохраняет значение г = hz(q + id), где q = hi(p + id). При этом хэш-функции h1и h2 могут быть как одинаковыми, так и различ­ными.

Дополнительная задержка при проверке — еще одно достоинство рассмотренных схем -дает возможность снизить продуктивность угадывания паролей.