17.4.2. Аутентификация пользователя с помощью tan
При использовании процедуры аутентификации с помощью PIN-кода возможна незаконная аутентификация злоумышленника в результате повтора им «сообщения аутентификации». Шифрование этого сообщения вместе с входящим в него PIN-кодом не защищает от этой угрозы повтора. Использование в ISDN одноразового пароля TAN (Transaction Number) обеспечивает защиту от этой угрозы. Каждый пользователь и сеть для определенной услуги (или нескольких услуг) ISDN содержат списки одноразовых паролей TAN под номерами. Например, под номером 100 значится сгенерированное случайное число от 6 до 12 знаков. Алгоритм формирования каждого TAN на сетевом окончании абонентского доступа DSS1 должен быть одним и тем же, что и пользователя. Во время процедуры аутентификации пользователя пароль TAN используется один раз из этого списка. Когда использование паролей списка завершается, пользователь и сеть формирует новый список TAN.
17.5. Аутентификация объектов аудиовизуальной службы сети isdn и создание общих секретных ключей взаимодействующих объектов
Cогласно докладу на второй международной конференции по безопасности сетей связи [48] еще в прошлом веке в сети связи общего пользования ISDN Англии обеспечивалось шифрование речи и данных. Такая же услуга была создана и на сети ССОП ISDN немецкого оператора Deutschen Telecom. Прежде, чем приступить к изучению настоящего раздела следует ознакомиться с приложениями А, Б, В и Г. В настоящем разделе приводится описание в соответствии с рекомендациями ITU-T и ETSI [49,50] процедуры аутентификации объектов аудиовизуальной службы AVSE (Audio-Visual Service Entity) ISDN с использованием шифрования с открытым ключом и электронно-цифровой подписи (ЭЦП) сообщений, а также передача общих ключей симметричного шифрования. Объектом аудиовизуальной службы AVSE в ISDN может быть не только пользователь (оконечное оборудование), но и устройства транспортной части сети связи. Поэтому процедура аутентификации здесь применима к различным видам соединений: терминал – терминал, терминал – устройство транспортной части сети связи, два взаимодействующих устройства транспортной части сети связи. В отличие от описания аутентификации пользователя ISDN (раздел 17.4) под аутентификацией объектов AVSE понимается процедура аутентификации сообщений, которая включает проверку:
подлинности источника сообщения;
подлинности (целостности) сообщения, т.е. его содержимое не было изменено при доставке получателю.
В основу аутентификации объектов аудиовизуальной службы ISDN положена рекомендация ITU-T Х.509 [47], в соответствии, с которой используется один или несколько уровней удостоверяющих центров (центров сертификации), создающих цепочку сертификатов. Для аутентификации объекта производится проверка подлинности открытого ключа в принятом сертификате этого объекта и проверяется подлинность электронно-цифровой подписи, используя этот открытый ключ. Одновременно с аутентификацией взаимодействующих объектов создается общий ключ для шифрования передаваемой между ними информации.
Инфраструктура систем с открытыми ключами PKI (Public Key Infrastructure) состоит из множества компонентов, среди которых пользователи, Управление сертификации, сами сертификаты и каталоги PKI предоставляет возможность структурной организации этих компонентов [10]. Одним из видов PKI является иерархия Управлений, состоящая из нескольких уровней. Процедура аутентификации объектов в указанных рекомендациях [49,50] рассматривается на примере двухуровневой иерархии - цепочки удостоверяющих центров CX и CY с общим центром GCA, General Certification Authority (рис. 17.14). Реально может быть больше уровней иерархии. Названия для уровней не стандартизировано. Управление сертификации верхнего уровня (GCA) называют корневым, Центральным Управлением или доверительным якорем. Центральное Управление GCA сертифицирует управления второго уровня, которые могут обслуживать, например, страну. На рис. 17.14 это удостоверяющие центры Cx и СY, которые создают сертификаты соответствующих объектов Х и Y. В общем случае следует иметь не одно Центральное Управление, а несколько, причем связать с каждым из них свою иерархию уровней. В современных машинах пользователей содержатся открытые ключи более 100 Центральных Управлений (корневых уровней). В качестве каталога для хранения сертификатов предложено иcпользовать сервер DNS.
Рис. 17.14. Схема аутентификации абонентов аудиовизуальной службы ISDN и передача общих ключей симметричного шифрования
При установлении вызова процедура аутентификации использует четыре сообщения:
RSA.P1 – инициализация аутентификации;
RSA.P2 – ответ на запрос аутентификации;
RSA.P3 – успешное завершение аутентификации;
RSA.P4 – безуспешное завершение аутентификации.
Обозначим идентификатор объекта, инициирующего аутентификацию через Х. Идентификатор объекта, вызываемого для проведения процедуры аутентификации, обозначим через Y. Объект Х отправляет сообщения RSA.P1 и RSA.P3. Объект Y отправляет сообщение RSA.P2. Удостоверяющие центры, в которых создаются сертификаты объектов Х и Y, обозначим соответственно через Cx (Cx<<X>>) и СY (CY<<Y>>). На первом шаге Х отправляет объекту Y сообщение RSA.P1. Содержание сообщения RSA.P1:
GCA<<Cx>>, Cx<<X>>, Rx, Y, Xs[h(Rx, Y)]
где:
GCA<<Cx>> - сертификат удостоверяющего центра (центра сертификации) Cx в общем удостоверяющем центре (центре сертификации) GCA;
Rx – случайное число, сгенерированное объектом Х. Rx используется для защиты от угрозы «повтор аутентификации»;
Xs – закрытый ключ объекта Х;
[h(Rx, Y)]- хеш-функция (Rx, Y).
Объект Y, получив сообщение RSA.P1, выполняет следующую последовательность операций.
1. Производится проверка достоверности принятого открытого ключа Хp объекта Х, используя для этого принятые в сообщении два сертификаты. Сертификат центра сертификации Сx, созданный в центре сертификации GCA обозначается GCA<<Сx >>.
Этот сертификат включает следующие данные:
GCA<<Сx >>: IGCA, IСx, Сxp, T1, GCAs [h (IGCA, IСx, Сxp , T1)]
где:
IGCA – идентификатор GCA;
GCAs – закрытый ключ общего центра сертификации GCA;
IСx – идентификатор центра сертификации Сх;
Сxp– открытый ключ центра сертификации Сх;
Т1 – дата начала и окончания срока действия сертификата;
GCAs [*] – зашифрованная информация [*] с помощью ключа GCAs,
где: [*] – хеш-функция открытой части сертификата.
Значение GCAs [*] является цифровой подписью открытой части сертификата. Для упрощения изложения материала в открытой части сертификата опущено много элементов.
Сертификат объекта аудиовизуальной службы AVSE X, созданный в центре сертификации Сх обозначается Сx <<X>>. Состав этого сертификата:
Сx <<Х>>: IСx, Х, Хp , T1, СХs[h(IСx, Х, Хp, Т1)],
где:
IСx– идентификатор центра сертификации Сх;
Сxs – закрытый ключ центра сертификации Сх;
Х – идентификатор объекта Х;
Хp – открытый ключ объекта Х;
Т1 – даты начала и окончания срока действия сертификата;
Схs [*] - зашифрованная информация [*] с помощью ключа Сxs.
В объекте Х записаны открытый ключ GCAp общего сертификационного центра, сертификат центра сертификации Сx - GCA<<Сx>> и сертификат объекта Х (Сx<<Х>>), а также закрытый ключ объекта Хs. Сначала производится проверка достоверности открытого ключа центра сертификации Сх (т.е. Сxp). Для этого производится вычисление хеш-функции h(IGCA, IСx, Сxp , T1) открытой части сертификата этого центра сертификации Сx. Используя GCAp, производится расшифрование хеш-функции этой открытой части– GCAp [GCAs [h(IGCA, IСx, Сxp , T1)]] = h(IGCA, IСx, Сxp , T1). Открытый ключ Сxp считается достоверным, если обе хеш-функции равны. Для проверки достоверности открытого ключа Хp объекта Х производится вычисление хеш-функции открытой части сертификата объекта Х - h(IСx, Х, Хp , Т1). Используя достоверный открытый ключ Сxp производится расшифрование хеш-функции открытой части сертификата объекта Х – Сxp[Сxs[h(IСx, X, Xp, T1)]] = h(IСx, X, Xp, T1). Открытый ключ Хp считается достоверным, если обе хеш-функции равны.
2. Производится проверка целостности сообщений – Rx, Y. Для этого полученная хеш-функция h(Rx,Y) сравнивается с помощью расшифрованной – Хp [Xs[h(Rx,Y)]]. Оба значения должны быть равны.
3. Производится проверка на истечение срока действия принятых сертификатов.
4. Производится проверка идентификатора объекта Х, полученного в составе сертификата Cx<<X>>.
При успешном результате анализа принятого сообщения RSA.P1 объект Y отправляет объекту Х сообщение RSA.P2. Содержание сообщения RSA.P2:
GCA<<CY>>, CY<<Y>>, RY, X, Rx, Xp[KY], Ys[h(RY, X, Rx, KY)]
где:
GCA<<CY>> - сертификат удостоверяющего центра CY в общем удостоверяющем центре GCA;
RY – случайное число, сгенерированное объектом Y, RY используется для защиты от угрозы «повтор аутентификации»;
KY – случайное число, сгенерированное объектом Y, для создания ключа симметричного шифрования;
Ys – закрытый ключ объекта Y;
[h(RY, X, Rx, KY)] - хеш-функция (RY, X, Rx, KY).
Объект Х, получив сообщение RSA.P2, выполняет следующую последовательность операций.
1.Производится проверка достоверности принятого открытого ключа Yp объекта Y, используя для этого принятые в сообщении сертификаты. Принцип работы алгоритма проверки аналогичен описанному выше при проверке достоверности принятого открытого ключа Xp в сообщении RSA.P1.
2. Производится расшифровывание KY, т.е. KY – Xs[Xp[KY]].
3.Производится проверка целостности сообщений – RY, X, Rx, KY. Для этого полученная хеш-функция h(RY, X, Rx, KY) сравнивается с расшифрованной – Yp[Ys[h(RY, X, Rx, KY)]]. Оба значения должны быть равны.
4.Производится проверка на истечение срока действия принятых сертификатов.
5. Производится проверка, является ли значение Rx тем же самым, что было отправлено в сообщении RSA.P1 (защита от угрозы «повтор аутентификации»).
6.Производится проверка идентификатора объекта Y, полученного в составе сертификата Cy<<Y>>.
При успешном результате анализа принятого сообщения RSA.P2 объект Х отправляет объекту Y сообщение RSA.P3 об успешном завершении аутентификации объекта Y.
Содержание сообщения RSA.P3:
RY, Y, Yp[KX], Xs[h(RY, Y, Kx)]
где Кx – случайное число, сгенерированное объектом Х, для создания общего ключа симметричного шифрования.
Объект Y, получив сообщение RSA.P3, выполняет следующую последовательность операций.
Производится расшифровывание Кx, т.е. Кx = Ys[Yp[Kx]].
Производится проверка целостности сообщений – RY, Y, Kx. Для этого полученная хеш-функция h(RY, Y, Kx) сравнивается с расшифрованной – Xp[Xs[h(RY, Y, Kx)]]. Оба значения должны быть равны.
Производится проверка, является ли значение RY тем же самым, что было отправлено в сообщении RSA.P3 (защита от угрозы «повтор аутентификации»).
Успешный результат анализа принятого сообщения RSA.P3 свидетельствует об успешной аутентификации объекта Х объектом Y, т.е. взаимной аутентификации. Если проверка любого из сообщений RSA.P1, RSA.P2, RSA.P3 оказывается неуспешной, объект Х или Y отправляют сообщение RSA.P4 об отказе в аутентификации. При этом прекращается процедура установления соединения. Рассмотрим случай одновременной передачи сообщений RSA.P1. Если объект Х отправляет объекту Y сообщение:
RSA.P1 (Х→Y): GCA<<Cx>>, Cx<<X>>, Rx, Y, Xs [h(Rx, Y)] и перед приемом ответного сообщения RSA.P2 (Y→X), Y отправляет Х сообщение
RSA.P1 (Y→Х): GCA<<CY>>, CY<<Y>>, RY, X, Ys [h(RY, X)], тогда объекты Х и Y разрешают эту ситуацию, сравнивая Rx и RY.
Если Rx > RY, то сообщение RSA.P1 (Y→Х) будет отвергнуто и Y отправляет сообщение RSA.P2.
Из значений Kx и Ky отбрасываются старшие и младшие 64 бит. Оставшиеся части Kx и KY складываются по модулю 2, образуя общий ключ симметричного шифрования сообщений между объектами.