(3)Алиса рассчитывает Hk(Ra, Rb, B) и сравнивает результат со значением, полученным от Боба. Если р е-зультаты совпадают, Алиса убеждается в том, что она соединилась именно с Бобом.

SKID3 обеспечивает совместную проверку подлинности Алисой и Бобом . Этапы (1) - (3) совпадают с протоколом SKID2, а затем выполняются следующие действия:

(4)Алиса посылает Бобу: Hk(Rb, A)

A - это имя Алисы.

(5)Боб рассчитывает Hk(Rb, A) и сравнивает результат со значением, полученным от Алисы. Если результаты совпадают, Боб убеждается в том, что она соединилась именно с Алисой.

Этот протокол неустойчив к вскрытию "человек-в-середине". В общем случае, вскрытие "человек-в-середине" может угрожать любому протоколу, в который не входит какой-нибудь секрет.

Удостоверение подлинности сообщений

Когда Боб получает сообщение от Алисы , как ему узнать, что это сообщение подлинно ? Если Алиса подписала свое сообщение, то все просто . Цифровая подпись Алисы достаточна, чтобы подтвердить кому угодно по д-линность ее сообщения.

Некоторую проверку подлинности предоставляют и симметричные алгоритмы . Когда Боб получает сообщение от Алисы, шифрованное их общим ключом, он знает, что это сообщение от Алисы . Никто больше не знает их ключа. Однако, у Боба нет возможности убедить в этом кого-то еще . Боб не может показать сообщение Тре н-ту и убедить его, что оно отправлено Алисой . Трент может сделать вывод, что сообщение отправлено или Ал и-сой, или Бобом (так как их секретный ключ никому больше не принадлежит ), но у него нет способа определить, кто же конкретно автор сообщения.

Если сообщение не шифровано, Алиса может также использовать MAC. Это также убедит Боба в подлинности сообщения, но возникнут те же проблемы, что и для решений симметричной криптографии .

3.3 Удостоверение подлинности и обмен ключами

Эти протоколы объединяют удостоверение подлинности и обмен ключами для решения основной компь ю-терной проблемы: Алиса и Боб хотят безопасно обмениваться сообщениями, находясь на различных концах сети. Как могут Алиса и Боб обменяться секретным ключом, при этом сохраняя уверенность, что они обмен и-ваются сообщениями друг с другом, а не с Мэллори ? В большинстве протоколов предполагается, что каждому пользователю Трент выделяет отдельный секретный ключ, и перед началом работы протокола все ключи уже находятся у пользователей. Символы, используемые в этих протоколах, сведены в 2-й.

Лягушка с широким ртом

Протокол "Лягушка с широким ртом" (Wide-Mouth Frog) [283,284], возможно, является простейшим симметричным протоколом управления ключами, в котором используется заслуживающий доверия сервер . Алиса и Боб делят свой секретный ключ с Трентом . Эти ключи используются только для распределения ключей, а не для шифрования пользовательских сообщений. Вот как, используя два сообщения, Алиса передает Бобу сеансовый

(1)Алиса объединяет метку времени, имя Боба и случайный сеансовый ключ, затем шифрует созданное с о-общение общим с Трентом ключом и посылает его Тренту вместе со своим именем.

A, Ea(Ta, B, K)

(2)Трент расшифровывает сообщение от Алисы. Затем он добавляет новую метку времени, имя Алисы и сл у-чайный сеансовый ключ, шифрует полученное сообщение общим с Бобом ключом. Трент посылает Бобу:

Eb(Tb, B, K)

Наибольшим допущением, сделанным в этом протоколе, является то, что Алиса обладает достаточной ко м-петентностью для генерации хороших сеансовых ключей . Вспомните, что случайные числа генерировать совсем не просто, для этого может потребоваться кто-нибудь понадежнее Алисы .

Yahalom

В этом протоколе Алисы и Боб делят с Трентом секретный ключ [283,284].

(1)Алиса объединяет свое имя и случайное число, и отправляет созданное сообщение Бобу.

(2)Боб объединяет имя Алисы, ее случайное число, свое случайное число, шифрует созданное сообщение о б-щим с Трентом ключом и посылает его Тренту, добавляя свое имя:

B,Eb(A, Ra, Rb)

(3)Трент создает два сообщения. Первое включает имя Боба, случайный сеансовый ключ, случайные числа Боба и Алисы и шифруется ключом, общим для Трента и Алисы. Второе состоит из имени Алисы, сл у-чайного сеансового ключа и шифруется ключом, общим для Трента и Боба. Трент посылает оба сообщ е-ния Алисе:

Ea(B, K, Ra, Rb), EB(A, K)

(4)Алиса расшифровывает первое сообщение, извлекает K и убеждается, что Ra совпадает со значением, отправленным на этапе (1). Алиса посылает Бобу два сообщения. Одним является сообщение Трента, зашифрованное ключом Боба. Второе - это Rb, зашифрованное сеансовым ключом.

Eb(A, K), Ek(Rb),

(5)Боб расшифровывает первое сообщение, извлекает K и убеждается, что Rb совпадает с отправленным на этапе (2).

В результате Алиса и Боб убеждены, что они общаются именно друг с другом, а не с третьей стороной . Нововведение состоит в том, что именно Боб первым обращается к Тренту, который только посылает одно соо б-щение Алисе.

Needham-Schroeder

В этом протоколе, изобретенном Роджером Неедхэмом (Roger Needham) и Майклом Шредером (Michael Schroeder) [1159], также используются симметричная криптография и Трент.

(1)Алиса посылает Тренту сообщение, содержащее ее имя, имя Боба и случайное число. A, B, Ra

(2)Трент генерирует случайный сеансовый ключ. Он шифрует сообщение, содержащее случайный сеансовый ключ и имя Алисы, секретным ключом, общим для него и Боба. Затем он шифрует случайное число Ал и-сы, имя Боба, ключ, и шифрованное сообщение секретным ключом, общим для него и Алисы. Наконец, он отправляет шифрованное сообщение Алисе:

Ea(Ra, B, K, Eb(K A))

(3)Алиса расшифровывает сообщение и извлекает K. Она убеждается, что Ra совпадает со значением, отправленным Тренту на этапе (1). Затем она посылает Бобу сообщение, зашифрованное Трентом ключом Боба.

Eb(K, A)

(4)Боб расшифровывает сообщение и извлекает K. Затем он генерирует другое случайное число, Rb. Он шифрует это число ключом K и отправляет его Алисе.

(5)Алиса расшифровывает сообщение с помощью ключа К. Она создает число RB-1 и шифрует это число ключом К. Затем она посылает это сообщ ение обратно Бобу.

Ek(Rb-1)

(6)Боб расшифровывает сообщение с помощью ключа К и проверяет значение RB-1.

Вся эта возня с RA, RB, и RB-1 служит для предотвращения вскрытия с повторной передачей. При таком способе вскрытия Мэллори может записать старые сообщения и впоследствии использовать их при попытке взломать протокол. Присутствие RA на этапе (2) убеждает Алису, что сообщение Трента достоверно и не являе т-ся повторной передачей отклика, использованного при одном из предыдущих применений протокола . Когда Алиса успешно расшифрует Rb и передает Бобу Rb-1 на этапе (5), Боб убеждается, что сообщения Алисы не является повторной передачей сообщений, использованных при одном из предыдущих применений протокола .

Главной прорехой этого протокола является важность использованных сеансовых ключей . Если Мэллори получит доступ к старому К, он сможет предпринять успешное вскрытие [461]. Ему нужно только записать сообщения Алисы Бобу на этапе (3). Тогда, имея К, он может выдать себя за Алису:

(1)Мэллори посылает Бобу следующее сообщение: Eb(K, A)

(2)Боб извлекает К, генерирует RB и отправляет Алисе: Ek(Rb)

(3)Мэллори перехватывает сообщение, расшифровывает его с помощью ключа К и посылает Бобу: Ek(Rb-1)

(4)Боб убеждается, что сообщение "Алисы" состоит из Rb-1.

Теперь Мэллори убедил Боб, что он и есть "Алиса". Более защищенный протокол, использующий метки времени, может противостоять этому вскрытию [461,456]. Метки времени добавляются к сообщению Трента на этапе (2) и шифруются ключом Боба: Eb(K, A, T). Метки времени требуют надежной и точной системы единого времени, что само по себе нетривиальная проблема.

Если ключ, общий для Трента и Алисы будет скомпрометирован, последствия будут драматичны . Мэллори сможет использовать его, для получения сеансовых ключей для обмена сообщениями с Бобом (или с кем-нибудь еще). Даже хуже, Мэллори продолжать подобные действия даже после замены ключа Алисы [90].

Неедхэм и Шредер пытались исправить эти проблемы в модифицированной версии своего протокола [1160]. Их новый протокол по существу совпадает с протоколом Отуэя- Риса (Otway-Rees), опубликованном в том же выпуске того же журнала.

Otway-Rees

Этот протокол также использует симметричную криптографию [1224].

(1)Алиса создает сообщение, состоящее из порядкового номера, ее имени, имени Боба и случайного числа. Сообщение шифруется ключом, общим для Алисы и Трента. Она посылает это сообщение Бобу вместе с порядковым номером, ее и его именами:

I, A, B, Ea(Ra, I, A, B)

(2)Боб создает сообщение, состоящее из нового случайного числа, порядкового номера, имени Алисы и им е-ни Боба. Сообщение шифруется ключом, общим для Алисы и Боба. Он посылает это сообщение Тренту вместе шифрованным сообщением Алисы, порядк овым номером, ее и его именами:

I, A, B, Ea(Ra, I, A, B), Eb(Rb, I, A, B)

(3)Трент генерирует случайный сеансовый ключ. Затем он создает два сообщения. Одно, состоящее из сл у-чайного числа Алисы и сеансового ключа, шифруется ключом, общим для него и Алисы. Другое, состо я-щее из случайного числа Боба и сеансового ключа, шифруется ключом, общим для него и Боба. Он о т-правляет два этих сообщения вместе с порядковым номером Бобу:

I, Ea(Ra, К), Eb(Rb, К)

(4)Боб отправляет Алисе сообщение, шифрованное ее ключом, и порядковый номер: I, Ea(Ra, К)

(5)Алиса расшифровывает сообщение, получая свои ключ и случайное число. Алиса убеждается, что при в ы-полнении протокола они не изменились Боб отправляет Алисе сообщение, шифрованное ее ключом, и п о-