Управление ключами

5.3. Соглашение с симметричными ключами

Алиса и Боб могут создать ключ сеанса между собой, не используя KDC. Этот метод создания ключа сеанса называется соглашением с симметричными ключами. Хотя есть несколько способов выполнить этот процесс, здесь рассматриваются только два общих метода ключевого соглашения: Диффи-Хеллмана (Diffie-Hellman) и "станция-к-станции".

Ключевое соглашение

В протоколе Диффи-Хеллмана две стороны создают симметричный ключ сеанса без KDC. Перед установлением симметричного ключа эти две стороны должны выбрать два числа p и g. Первое число, p, является большим простым числом порядка 300 десятичных цифр (1024 бита). Второе число, g, служит генератором порядка p - 1 в группе <Z_p*, x >. Эти два числа (группа и генератор) не должны быть конфиденциальными. Их можно передать через Internet. Они могут быть общедоступны. рис. 5.9 показывает процедуру.

Шаги перечислены ниже.

1. Алиса выбирает большое случайное число x, такое, что 0 < x < p - 1, и вычисляет R₁ = g^x mod p.
2. Боб выбирает другое большое случайное число y, такое, что 0 < y < p - 1, и вычисляет R₂ = g^y mod p.
3. Алиса передает Бобу R₁. Обратите внимание, что Алиса не передает значение x ; она передает только R₁.
4. Боб передает Алисе R₂. Снова обратите внимание, что Боб не передает значение y, он передает только R₂.
5. Алиса вычисляет K = (R₂)^x mod p.
6. Боб также вычисляет K = (R₁)^y mod p.

   K = (g^x mod p)^y mod p = (g^ymod p)^x mod p = g^xy mod p

Боб вычисляет K = (R₁)^y mod p = (g^x mod p)^y mod p = g^xy mod p

Алиса вычисляет K = (R₂)^x mod p = (g^y mod p)^x mod p = g^xy mod p

и получает то же самое значение без Боба, знающего значение x. А Боб получил это значение без Алисы, знающей значение y.

Рис. 5.9. Метод Диффи-Хелмана

Пример 5.1

Приведем тривиальный пример, чтобы ясно понять процедуру. Наш пример использует маленькие числа, но заметим, что в реальной ситуации применяются очень большие числа. Предположим, что g = 7 и p = 23. Тогда процедура содержит следующие шаги.

1. Алиса выбирает x = 3 и вычисляет R₁ = 7³ mod 23 = 21.
2. Боб выбирает y = 6 и вычисляет R₂ = 7⁶ mod 23 = 4.
3. Алиса передает число 21 Бобу.
4. Боб передает число 4 Алисе.
5. Алиса вычисляет симметричный ключ K = 4³ mod 23 = 18.
6. Боб вычисляет симметричный ключ K = 21⁶ mod 23 = 18.

Значение K одно и то же и для Алисы, и для Боба: g^{x y} mod p = 7¹⁸ = 18 .

Пример 5.2

Давайте возьмем более реальный пример. Мы используем программу, чтобы создать случайное целое число 512 битов (идеально - 1024 бит). Целое число p - число с 159 цифрами. Мы также выбираем g, x и y, как показано ниже:

Следующая таблица показывает R₁, R₂ и K.

Анализ протокола Диффи-Хеллмана

Концепция Диффи-Хеллмана, показанная на рис. 5.10, является простой, но изящной. Мы можем представить ключ засекречивания между Алисой и Бобом - он состоит из трех частей: g, x и y. Первая часть общедоступна. Каждый знает 1/3 ключа - g, общедоступное значение. Другие две части нужно узнать у Алисы и Боба. Каждый из них знает одну часть. Алиса добавляет x как вторую часть для Боба; Боб добавляет y как вторую часть для Алисы. Когда Алиса получает 2/3 полного ключа от Боба, она добавляет последнюю часть, ее y, чтобы завершить ключ. Когда Боб получает ключ от Алисы - законченный на 2/3, он добавляет последнюю часть, свое y, чтобы завершить ключ. Обратите внимание, что хотя ключ Алисы состоит из g, y и x и ключ Боба состоит из g, x и y, эти два ключа - одни и те же, потому что g^xy = g^yx.

Обратите внимание также, что хотя два ключа те же самые, Алиса не может найти значение y, используемого Бобом, потому что вычисление сделано по модулю p. Алиса получает g^y mod p от Боба, но не g^y. Для того чтобы знать значения y, Алиса должна использовать дискретный логарифм, который мы обсуждали в предыдущей лекции.

Безопасность протокола

Замена ключа Диффи-Хеллмана восприимчива к двум атакам: атаке дискретного логарифма и атаке посредника (man-in middle)

Атака дискретного логарифма. Безопасность ключевой станции базируется на трудности проблемы дискретного логарифма. Ева может перехватить R₁ и R₂.

увеличить изображение
Рис. 5.10. Идея ключа Диффи-Хеллмана

Из R₁ = g^x mod p и y из R₂ = g^y mod p она может затем вычислить симметричный ключ: K = g^xy mod p. Ключ засекречивания больше не является секретным. Чтобы cделать метод Диффи-Хеллмана защищенным от атаки дискретного логарифма, рекомендуется следующее.

1. Простое число p должно быть очень большим (более чем 300 десятичных цифр).
2. Простое число p должно быть выбрано так, чтобы p - 1 имел по крайней мере один простой делитель (больше чем 60 десятичных цифр).
3. Генератор должен быть выбран из группы <Z_p*, x >.
4. Боб и Алиса должны уничтожить x и y после того, как они вычислили значение симметричного ключа. Значения x и y должны использоваться только единожды.

Атака "посредника". Этот протокол имеет другую слабость. Еве не надо находить значения x и y, чтобы напасть на протокол. Она может использовать глупость Алисы и Боба, создающих два ключа: один между Бобом и Алисой и другой между Алисой и Бобом. Рис. 5.11 показывает ситуацию. Может случиться следующее:

увеличить изображение
Рис. 5.11. Атака посредника

1. Алиса выбирает x , вычисляет R ₁ = g^x mod p и передает R₁ Бобу.
2. Ева, злоумышленник, перехватывает R₁. Она выбирает z, вычисляет R ₂ = g^z mod p и передает R ₂ Алисе и Бобу.
3. Боб выбирает y, вычисляет R₃ = g^y mod p, передает R₃ Алисе. Ева перехватывает R₃, и Алиса никогда не получит это число.
4. Алиса и Ева вычисляют K₁ = g^xz mod p, который становится открытым ключом между Алисой и Евой. Алиса, однако, думает, что это -открытый ключ между ней и Бобом.
5. Ева и Боб вычисляют K₂ = g^zymod p, который становится открытым ключом между Евой и Бобом. Однако Боб думает, что это - открытый ключ между ним Алисой.

Другими словами, создаются два ключа вместо одного: один между Алисой и Евой и один между Евой и Бобом. Когда Алиса посылает данные Бобу, она зашифровывает их ключом K₁ (совместный ключ Алисы и Евы). Эти данные могут быть расшифрованы и прочитаны Евой. Ева может передать сообщение Бобу, зашифрованное K₂ (совместный ключ между Евой и Бобом); или она может даже изменить сообщение или передать новое сообщение. Боб введен в заблуждение, поскольку уверен, что сообщение пришло от Алисы. Подобный сценарий может случиться и в другом направлении - с Алисой.

Эта ситуация называется " атака посредника ", поскольку Ева находится между партнерами и перехватывает R₁, передаваемый Алисой Бобу, и R₃, передаваемый Бобом Алисой. Это - атака передачи по цепочке, потому что напоминает короткую линейку добровольцев на пожаре, передающих друг другу ведра с водой, по цепочке от человека человеку.

Следующий метод основан на протоколе Диффи-Хеллмана. Он использует методы установления подлинности, чтобы сорвать эту атаку.

Ключевое соглашение "от станции к станции"

Протокол "от станции к станции" - метод, основанный на методе Диффи-Хеллмана. Он применяет цифровые подписи с сертификатами открытого ключа (см. следующую секцию). Для установки ключа сеанса между Алисой и Бобом используется последовательность, показанная на рис. 5.12.

Имеются следующие шаги:

• После вычисления R₁ Алиса передает R₁ Бобу (шаги 1 и 2 на рис. 5.12).
• После вычисления R₂ и ключа сеанса Боб конкатенирует ID Алисы, R₁ И R₂. Затем он подписывает результат своим секретным ключом. Боб теперь передает R₂, подпись и собственное свидетельство общедоступного ключа Алисе. Подпись зашифрована ключом сеанса (шаги 3, 4 и 5 на рис. 5.12).
• После вычисления ключа сеанса, если подпись Боба проверена, Алиса связывает ID Боба, R₁ И R₂. Затем она подписывает результат своим собственным секретным ключом и передает это Бобу. Подпись зашифрована ключом сеанса (шаги 6, 7 и 8 на рис. 5.12).
• Если подпись Алисы проверена, Боб сохраняет ключ сеанса (шаг 9 на рис. 5.12).

увеличить изображение
Рис. 5.12. Метод соглашения "от станции - к станции"

Безопасность протокола "от станции к станции"

Протокол "от станции к станции" предотвращает атаки "посредника". После R₁ Ева не может передать свой собственный R₂ Алисе и притворяться, что это идет от Боба, потому что Ева не может подделать секретный ключ Боба и создать подпись - подпись не может быть проверена общедоступным ключом Боба, определенным в свидетельстве. Тем же образом Ева не может подделать секретный ключ Алисы, чтобы подписать третье сообщение, передаваемое Алисой. Сертификату, как мы увидим в следующей секции, можно доверять, потому что он выработан администрацией, которой доверяют.

K=(R₁)^y mod p