1.4. Противодействие несанкционированному воспроизведению

Рассмотренные схемы не гарантируют защиты от несанкционированного воспроизведения -сохранения значений хэш-функции легальных пользователей, полученных в результате мо­ниторинга запросов в целях их использования для несанкционированного доступа в более поздние сроки. Парольная схема с защитой от несанкционированного воспроизведения пред­ставлена на рис. IX.5.

Идея сводится к введению дополнительной хэш-функции h^(x). Как и в рассмотренных выше случаях, после ввода пароля и идентификатора вычисляется значение q', затем q' и некоторое число t (смысл которого будет разъяснен ниже) поступают на вход /»з- Вычисленное в результате значение г' вместе с идентификатором id и числом t передается проверяющему, который вычисляет г = hz(q + t) и сравнивает с принятым г'. Положительное решение о предоставлении доступа принимается при г = г'.

Параметр £, или од­норазовое число (в ан­глийской терминологии nonce), обеспечивает уни­кальность каждого за­проса на предоставление доступа. Для принятия положительного решения о предоставлении досту­па проверяющий обязан установить, что число t из текущего запроса не использовалось ранее, в противном случае запрос отвергается. Один из спо­собов реализации одно­разовых чисел — приме­нение механизма времен­ных меток при условии существования синхронизированной системы единого времени для запрашивающего и проверяющего. Другой способ — генерация некоторого случайного числа для каждого запроса. Очевидно, что при этом проверяющий должен сохранять все исполь­зованные ранее числа в специальной базе данных.

Отметим, что рассмотренная схема все еще уязвима с точки зрения компрометации про­веряющего. Зная q и id, злоумышленник может вычислить подходящее значение t и получить несанкционированный доступ.

1.5. Одноразовые пароли

Назначение схемы одноразовых паролей — противодействие угрозе несанкционированного воспроизведения. Суть схемы — использование различных паролей в каждом новом запро­се на предоставление доступа. Известны следующие способы реализации идеи одноразовых паролей:

• общий для легального пользователя и проверяющего список случайных паролей и на­дежный механизм их синхронизации;

• общий генератор случайных чисел, с одним и тем же начальным значением для поль­зователя и проверяющего;

• механизм временных меток на основе системы единого времени.

Рассмотрим схему на основе персонального генератора паролей (рис. IX.6).

Предположим, что описанные в предыдущих разделах функции реализованы в миниатюрном персональном устройстве с дисплеем. Устройство генерирует и выводит на дисплей некоторое значение г'. Затем выданное значение используется в качестве пароля и передается проверяющему по открытому каналу связи.

Персональное устройство имеет секретный ключ key.

Предполагается, что:

• секретный ключ key недоступен благодаря технологическому уровню реализации устройства;

• устройство функционирует в системе единого времени с проверяющим.

Для получения досту­па легальный пользова­тель вводит в персональ­ное устройство пароль р'. Устройство выводит на дисплей значение т' = h₃(t + key + hi(p' + key)), вычисленное при помо­щи хэш-функций hi и /»₃, где t — временная метка. Затем значение г' вме­сте с идентификатором id передается проверяю­щему по открытому ка­налу связи. База данных проверяющего для каж­дого id содержит секретный ключ key и значение q = h\(p + key). Положительное решение о предоставлении доступа принимается в случае г' = /г₂(<? + key + t). Схема имеет следующие преимущества:

• атака невозможна, если злоумышленник знает пароль р, но не имеет доступа к устрой­ству;

• атака невозможна, если злоумышленник имеет доступ к устройству, но не знает пароляр;

• атака невозможна, если злоумышленник знает q (например, утечка информации из базы данных), но не знает ключа key;

• защита от несанкционированного воспроизведения запроса (id, r') гарантирована бла­годаря механизму временных меток.

Дополнительная безопасность обеспечивается за счет периодической смены пароля р (и соот­ветственно q в базе данных проверяющего), хотя персональное устройство и ключ key могут оставаться без изменения в течение длительного времени.

Другой вариант реализации идеи одноразовых паролей предложен в схеме S-Key [100].

На начальном этапе легальный пользователь случайно выбирает некоторое число г и для заданного системного параметра п при помощи рекурсивного хэширования вычисляет фи­нальное значение wq:

wq = h(h(... h(h(w_n))...)), где h(x) — некоторая хэш-функция, w_n = r.

Значение wq вместе с параметром п и идентификатором id передается проверяющему по аутентичному каналу связи. Проверяющий записывает WQ,n,id в базу данных. На этом заканчивается начальный этап формирования параметров схемы одноразовых паролей.

Далее легальный пользователь в целях получения доступа вычисляет (или извлекает из памяти) первый одноразовый пароль

wi = h(h(...h(h(w_n))...))

(n-l) рази передает его проверяющему по открытому каналу связи.

Проверяющий, в свою очередь, вычисляет значение w'₀ = h(wi). Положительное решение о предоставлении доступа принимается в случае равенства текущего одноразового пароля и пароля из базы данных: w'_Q = wq. По факту положительного решения проверяющий выпол­няет корректировку базы данных: записывает w\ вместо wq и (и — 1) вместо п.

При следующем запросе легальный пользователь вычисляет одноразовый пароль(п-2) раз.

В случае w\ = /г(гу₂) проверяющий обновляет базу данных: вычитает единицу из п и запи­сывает текущий одноразовый пароль Wj₊₁ вместо предыдущего Wi (u>2 вместо w\ и т.д.).

Таким образом, при каждом новом запросе используется уникальный пароль. При п = О параметры схемы генерируются заново. Основная цель злоумышленника заключается в раскрытии следующего одноразового пароля w_i+i по текущему Wj, то есть сводится к вычислительно-трудоемкой задаче обращения хэш-функции Wj+i = h~^l(wi).