LA TÉCNICA ESPECIAL DE LOS MEDIOS DE COMUNICACIÓN

--------------------------------------------------------------------------------------------------------

La salida 1бббббббббббббббббббббббббббббббббббббббб РхЁш ббббббббббббббббббббббббббббббббббббббббббб 1996

Los sistemas, las redes y los medios técnicos

Del enlace confidencial

 

УДК 621.391.7

 

Л.Н. САПЕГИН

 

LOS DEFECTOS TÍPICOS EN LAS ACTAS CRIPTOGRÁFICAS

 

Por los materiales de la prensa extranjera es conocido más de 30 actas criptográficas, que se consideraban hipotéticamente seguro. La experiencia ha mostrado que la mayoría aplastante de ellos posee los defectos del grado diferente del peso. En el artículo presente es propuesto algunos más los ejemplos convincentes de las actas criptográficas con los defectos y los ataques que usan estos defectos. El conocimiento de los precedentes negativos puede ayudar a los elaboradores criptográfico (y no sólo criptográfico) las actas evitar las faltas características.

 

1. La clasificación de las actas criptográficas

 

1.1. Las actas de la cifración / расшифрования.

 

En el fondo de la acta de esta clase contiene algún algoritmo simétrico o asimétrico de la cifración/rasshifrovanija. El algoritmo de la cifración se cumple sobre la transmisión por el remitente del mensaje, como resultado el mensaje se transformará de la forma abierta en cifrado. El algoritmo расшифрования se cumple sobre la recepción por el destinatario, como resultado el mensaje se transformará de la forma cifrada en abierto. Es abastecida así la propiedad de la confidencialidad.

Para el mantenimiento de la propiedad de la integridad de los mensajes entregados los algoritmos simétricos de la cifración / расшифрования, habitualmente, simultanean con los algoritmos del cálculo имитозащитной las inserciones (ИЗВ) sobre la transmisión y la comprobación ИЗВ sobre la recepción, para que se usa la llave de la cifración. Al uso de los algoritmos asimétricos de la cifración / расшифрования la propiedad de la integridad es abastecida separadamente por medio del cálculo de la firma electrónica digital (ЭЦП) sobre la transmisión y la comprobación ЭЦП sobre la recepción, que son abastecidas también las propiedades de la impecabilidad y la autenticidad del mensaje aceptado.

 

1.2. Las actas de la firma electrónica digital (ЭЦП).

 

En el fondo de la acta de esta clase contiene algún algoritmo del cálculo ЭЦП sobre la transmisión por medio de la clave secreta del remitente y la comprobación ЭЦП sobre la recepción por medio de la llave correspondiente abierta sacada de la guía abierta, pero protegido de las modificaciones. En caso del resultado positivo de la comprobación la acta, habitualmente, termina por la operación архивирования del mensaje aceptado, ello ЭЦП y la llave correspondiente abierta. La operación архивирования puede no cumplirse, si ЭЦП se usa solamente para el mantenimiento de las propiedades de la integridad y la autenticidad del mensaje aceptado, pero no la impecabilidad. En este caso, después de la comprobación, ЭЦП puede ser destruido en seguida o al cabo del intervalo limitado del tiempo de la espera.

 

1.3. Las actas de la identificación / аутентификации.

 

En el fondo de la acta de la identificación contiene algún algoritmo de la comprobación de aquel hecho que el objeto identificado (el usuario, el mecanismo, el proceso...), que ha presentado a algún nombre (identificador), sabe la información secreta conocida solamente al objeto declarado, y el método de la comprobación es, claro, indirecto, e.d. sin presentación de esta información secreta.

Habitualmente con cada nombre (identificador) del objeto se comunica la lista de sus derechos y los poderes en el sistema, anotado en la base de datos protegida. En este caso la acta de la identificación puede ser extendida hasta la acta аутентификации, en que el objeto identificado es comprobado a la competencia del servicio encargado.

Si en la acta de la identificación se usa ЭЦП, el papel de la información secreta juega la clave secreta ЭЦП, а la comprobación ЭЦП se realiza por medio de la llave ЭЦП abierta, que conocimiento no permite determinar la clave secreta correspondiente, pero permite persuadirse que él es conocido al autor ЭЦП.

 

1.4. Las actas аутентифицированного las distribuciones de las llaves.

 

Las actas de esta clase simultanean аутентификацию a los usuarios con la acta de la generación y la distribución de las llaves del canal de comunicación. La acta tiene dos o tres participantes; por el tercer participante es el centro de la generación y la distribución de las llaves (ЦГРК), llamado para ser breve el servidor S.

La acta consiste de tres etapas que tienen los nombres: la generación, el registro y la comunicación.

En la etapa de la generación el servidor S genera los significados numéricos de los parámetros del sistema incluso, la llave secreta y abierta.

En la etapa del registro el servidor S identifica a los usuarios por los documentos (con la presencia personal o a través de las personas autorizadas), para cada objeto genera la información clave e/o identificacional y forma el marcador de la seguridad que contiene las constantes necesarias de sistema y la llave abierta del servidor S (en caso necesario).

En la etapa de la comunicación se realiza en realidad la acta аутентифицированного del cambio clave, que termina por la formación de la llave general de sesión.

 

2. Los defectos en las actas criptográficas

 

De la prensa periódica extranjera al presente es conocido más de 30 actas criptográficas para los sistemas de comunicación comerciales. La parte de ellos lleva los nombres de los autores, otra parte es recomendada por los estándares МККТТ internacionales e ISO, tercero - entra en los estándares nacionales de los países distintos. Sin embargo los estándares caducan rápidamente, а en las actas hay unos defectos del grado diferente del peso, comenzando de las faltas como la complicación infundada de la acta y hasta las faltas catastróficas que hacen la acta extremadamente peligrosas.

En el artículo presente es propuesto algunos más los ejemplos convincentes de las actas criptográficas con los defectos y los ataques que usan estos defectos. Cada acta primero es descrita brevemente por las palabras por medio del dibujo para la evidencia de la idea de la acta, luego parece el texto formal de la acta que precisa la especificación de la acta. El texto formal de la acta se escribe en alguna lengua de un alto nivel que ha recibido la difusión bastante ancha a la literatura por la seguridad de las actas. Al fin, en la misma lengua son indicados una - dos ataques del adversario (infractor) algunos que usan defectos de la acta. Debe notar que estos ataques se encuentran a menudo posibles solamente agradeciendo la especificación insuficientemente completa de la acta; más exactamente, gracias a lo que de la multitud de especificaciones posibles de la acta se realiza más natural, pero desgraciado. Esto significa que en una elección más atenta de la especificación de la acta, tomando en cuenta el conocimiento de los precedentes negativos, los ataques indicados, probablemente, se encuentran no realizado o ineficaz.

En la actualidad “no hay metodología segura, sistemática para la construcción de las actas seguras de comunicación, а la experiencia ha mostrado que el número muy grande de las actas comerciales, que se consideraban hipotéticamente seguro, se encontraban en realidad vulnerable por parte del espectro ancho de los ataques eficaces. De los programadores aplicados no es posible exigir la construcción (probablemente que no debe permitir a la construcción) las actas seguras” [1]. Este asunto de los criptógrafos profesionales. Sin embargo, la especificación completa de la acta, por lo visto, debe ser elaborada juntamente por el criptógrafo y el programador; aún más vale, si esto es la misma persona.

En las secciones ulteriores son examinadas las actas con los defectos típicos. Los ejemplos de las actas son rotos en los grupos como usado криптосистемы:

- Las actas con криптосистемой DH (Diffi, Hellman);

- Las actas con криптосистемой RSA (Rajvest, Shamir, Adleman);

- Las actas con la cifración conmutable (Шамир);

- Las actas аутентифицированного las distribuciones de las llaves;

- Las actas fundadas en las identidades.

 

3. Las actas con криптосистемой DH

 

Históricamente криптосистема DH es primero криптосистемой con las llaves abiertas (КСОК), fundado en exponencial de misma dirección las funciones. Primero esta криптосистема se usaba como el esquema de la distribución de las llaves para clásico simétrico криптосистемы con las llaves secretas generales [2]. Preliminarmente todos los usuarios de la red de comunicación reciben del servidor S por el canal auténtico las constantes de sistema (Р,), donde el número simple Р y la razón del grado salen adecuadamente.

 

3.1. La acta del cambio DH clave

 

Los usuarios А y En forman la clave secreta del enlace K_ab fresco por medio de la acta siguiente (Fig. 1)

- El usuario А del captador de los números casuales (ДСЧ) genera el número X_a casual, calcula y manda a su S.

- El usuario En del captador genera el número X_b casual, calcula y lo manda А.

- El usuario А, habiendo recibido el número Y_b de En, calcula.

- El usuario En, habiendo recibido el número Y_a de А, calcula.

Fig. 1

 

Los números X_a, X_b se borran. Ya que, K_ab = K_ba.

Para ser breve en vez de la descripción verbal se aplica habitualmente la anotación formal, en que los dos puntos significan la enumeración de las acciones, hechas por el usuario, la aguja significa la generación, la extracción o la grabación de la información por las cadenas (canales) interiores del usuario, la aguja doble significa la transmisión por el canal exterior abierto, la aguja triple - la transmisión por el canal de comunicación exterior protegido, por ejemplo, la transmisión por el canal cifrado de los datos secretos para el usuario del servidor S. En este caso la anotación formal de la acta se ve del modo siguiente:

А: ДСЧ () X_a;; [A ║ B ║ Y_a] _B

EN: ДСЧ () X_b; КЗУ ();;

[B║A║Y_b] _A,

А:

Aquí: ║ - el signo de la asociación, [...] - el mensaje formado, КЗУ - la memoria RAM clave.

Se supone que el canal sin faltas y sin influencias del adversario ().

El ataque 1. Е_b - el adversario Е jugador el papel del usuario En, intercepta el mensaje de А a En y forma la llave del enlace K_ea=K_ae fresco, y А cuenta que es la llave del enlace con En (Fig. 2):

А: ДСЧ () X_a;; [A ║ B ║ Y_a] E_bB

E_b: ДСЧ (E) X_е; КЗУ (E);;

ббббббббббббббббббббббббббб [B║A║Y_e] _A

А:

 

Fig. 2

 

El ataque 2. Е_а, Е_b - el adversario Е jugador los papeles de los usuarios А y En, intercepta los mensajes de А y En, forma las llaves K_ae y K_{eb del} enlace fresco con А y En la vía de la gestión de dos actas paralelas. En resultado los usuarios А y En cuentan que tienen el enlace confidencial sobre la llave K_ab; en realidad han establecido el enlace cifrado con la recifración al adversario Е (Fig. 3).

 

 

Fig. 3

 

А: ДСЧ () X_a;; [A ║ B ║ Y_a] E_b

E_b: ДСЧ (E) X_е; КЗУ (E);;

ббббббббббббббббббббббббббб [B║A║Y_e] _A

E_a: [A║B║Y_e] B ,

А:

EN : ДСЧ ()  X_b; ббббббббб КЗУ ();; [B║A║Y_b] E_a,  

E_a:

 

3.2. La acta аутентифицированного del cambio DH clave [3]

 

Después de la recepción de las constantes de sistema del servidor S los usuarios А, En, Con... Generan de ДСЧ las claves secretas de Ha, Х_b, X_c..., calculan las llaves abiertas;;;... Los colocan en la guía accesible, protegida de las modificaciones, {Y_a, Y_b, Y_c...}. (Fig. 4).

 

Fig. 4

La anotación formal de la acta:

EN: ДСЧ () t_b;; [B║A║Z] A

A: ДСЧ (A) t_a;;

ббббб; ;

 [A║B║U║V] el canal [║ ║║] B

EN: ¿=A (?);  ¿=B (?);; бббббббббб

 

¿Aquí el signo “~” significa la posibilidad de la desfiguración por el canal o la modificación por el adversario, el signo "­" significa la edificación en el grado, - de vuelta a t_b por mod (p-1), el signo (?) después de la igualdad significa que es comprobada la ejecución de la igualdad: al incumplimiento la acta se rompe, a la ejecución se realiza el tránsito a la operación siguiente.

En resultado la llave a U se distingue de K_ab, si se cumple la comprobación de la autenticidad. Debe de aquí

El ataque 1. El adversario Ea jugador el papel del usuario А, sustituye en el canal el mensaje [A║B║U║V] en [A║B ║║] con la condición. En resultado el usuario En forma la llave K_ab falsa_.

El ataque 2. El adversario Е_b jugador el papel En, manda А el número, en que aquel por la acta responde con los números (U, V), donde En resultado el adversario Е establece con А la llave del enlace K_ae fresco entregado por el canal de comunicación abierto, y А cuenta que es la llave para el enlace desde el S.

 

 

4. Las actas con криптосистемой RSA

 

Preliminarmente todos los usuarios А, En, Con... Las redes de comunicación generan los módulos personales n_a, n_b, n_c..., cada uno de que tiene la estructura: n=pq las obras de dos números simples p y q (n_a=p_aq_a; n_b=p_bq_b; n_c=p_cq_c;...), escogido adecuadamente [2]. Luego cada usuario escoge como corresponde un par de los números (e, d), que satisfacen a la condición, donde Más los números (n, e) en calidad de la llave abierta salen por el canal auténtico a la guía accesible. Los números (p, q, d) los usuarios conservan en el secreto.

 

4.1. La acta de la cifración y la firma digital por RSA [2]

 

La acta dada es recomendada МККТТ, la recomendación Х.509. El defecto de la acta consiste en el orden incorrecto de la operación de la cifración y подписывания: correctamente primero firmar, luego cifrar. En la anotación formal de la acta se aplican designaciones siguientes:

M - el mensaje entregado de А a En;

С_b - cifrado А el mensaje De m sobre la llave e_{b del} destinatario En;

С_ba - el mensaje С_b firmado А sobre la llave d_{a del} remitente А.

Se supone que n_b <n_a. La argumentación de últimas dos igualdades consiste en las transformaciones siguientes:

Атака1. Algún usuario Х (infractor) intercepta el mensaje (Fig. 5), quita ЭЦП al usuario А, usando la llave abierta (n_a, e_a).

 

 

Fig. 5

 

Él firma el mensaje С_b recibido cifrado sobre la clave secreta d_x, de ese modo arrogando la propiedad de autor al mensaje de M.Poluchiv el mensaje, el usuario En quita la firma Х por medio de la llave abierta (n_x, e_x), descifra sobre la clave secreta d_b y distingue el mensaje De m, que cuenta el mensaje de Х, pero no de А, si el mensaje mismo De m no contiene los indicios А.

La observación: si n_a=n_b, las operaciones de la cifración y подписывания se hacen перестановочными, así que el levantamiento ЭЦП se hace posible a cualquier orden de estas operaciones.

 

4.2. La acta de la cifración por RSA sobre el módulo general

 

Que el mensaje circular De m es cifrado por криптосистеме RSA con el módulo general “n”. Los usuarios А y En reciben los mensajes cifrados,

Атака1. El adversario Е intercepta los mensajes cifrados de Sa y С_b. Sabiendo las llaves abiertas e_a y e_b, el adversario por el algoritmo de Evklida encuentra los números x, y así que xe_a + ye_b = 1 (con la probabilidad grande del número e_a y e_b son simples). Entonces en resultado el adversario calcula el mensaje De m, sabiendo solamente las llaves abiertas e_a, e_b y el módulo n, pero sin saber el módulo que es equivalente al conocimiento факторизации n=pq.

 

5. Las actas con el algoritmo conmutable de la cifración [4]

 

El algoritmo de la cifración se llama conmutable, si el resultado de la cifración consecutiva del mensaje De m sobre las llaves К₁ y К₂ no depende del orden de las llaves usadas: К2 {К1 {M}} = =K1 {K2 {M}}, donde K {M} - el resultado de la cifración M sobre la llave de K.Primerami del algoritmo conmutable de la cifración son el algoritmo DH, el algoritmo RSA al módulo general, el algoritmo гаммирования (la adición por el módulo). La conmutatividad del algoritmo de la cifración es aquí la consecuencia de la conmutatividad de las operaciones de la multiplicación modular y la adición.

El algoritmo conmutable de la cifración es atractivo que los usuarios no tienen que establecer la llave general de los contactos frescos, а basta de generar las claves secretas personales. La idea del enlace confidencial sin acuerdo preliminar de la llave de la cifración es más brillante se exhibe por el ejemplo de Shamira (Fig. 6).

 

5.1. La acta trehshagovyj de la cifración de Shamira [4]

 

 

Fig. 6

 

La anotación formal de la acta:

A: ДСЧ () х; M х En

EN: ДСЧ () y; (M) y A

A: (M х y) x = M y B

B: (M y) y = M

 

El ataque 1. El adversario Е intercepta todos tres mensajes en el canal de comunicación y los pone por mod2. Resulta En resultado M en el tipo abierto.

El ataque 2. Usando la ausencia de la identificación de los corresponsales А y En, el adversario Е puede jugar el papel En, destruyendo la confidencialidad De m, o jugar el papel А, imponiendo la noticia falsa al usuario del S.

 

5.2. La acta trehshagovyj con la cifración conmutable [6]

 

En el caso general трехшаговый la acta de la cifración de Shamira tiene la anotación siguiente formal (Fig. 7):

А: K_a {M} B

B:

A:

B:

 

 

Fig. 7

 

El presentador А de la acta aplica primero la operación de la cifración sobre la llave de Ka, luego la operación расшифрования con la llave;

Conducido B aplica primero la operación расшифрования con la llave A, luego la operación de la cifración con la llave К_b. Se supone que para cada M y A tiene lugar: К^-1 {K {M}} =K {K^-1 {M}}.

El ataque 1. La reflexión [6]

El adversario Е_b jugador el papel En, devuelve А su primer mensaje. Funcionando por la acta, А aplica a él la operación, y en el canal resulta el mensaje abierto De m.

А:

El ataque 2. (La acta Paralela) [6]

El adversario Е_b devuelve А su primer mensaje no en calidad de la respuesta, а como el comienzo de la acta paralela con que conduce Е_b y A.Predpolagaetsja conducido que en el trabajo en la red tal es posible (Fig. 8).

 

 

Fig. 8

 

I acta (А Еb)	II acta (Еb)
1. А: Ка {M} Еb
	1 ’. Еb: Ka {M} A
	2 ’. A: {Ka {M}} =MЕb
2. Еb: A
3. A: {} Еb
	3 ’. Еb: {} A
4. A: Ка {{}} =
	4 ’. ___________________

 

En resultado el adversario Е recibe el mensaje De m destinado para En, а el usuario А recibe la noticia falsa, como si del S.

El ataque de la reflexión y con la acta paralela son un fuerte arma del adversario, contra que es difícil proponer la defensa simple. Son posibles también los ataques con algunas actas paralelas, en que el adversario Е puede jugar al mismo tiempo algunos papeles: por ejemplo, E_a, E_b y E_s - el papel del servidor S.

 

6. Las actas аутентифицированного las distribuciones de las llaves

 

Las actas, examinadas en sección estas, tienen tres participantes: los usuarios А, En y el servidor S. El objetivo de las actas - la generación y la transmisión segura por el servidor S de la llave del enlace K_ab fresco a los usuarios А y V.Bezopasnost incluye las propiedades de la confidencialidad, la integridad, la autenticidad y "la frescura". Esto significa que como resultado de la acta la llave K_ab verdadera debe encontrarse a А y En, y solamente a ellos. La propiedad de "la frescura" significa que los participantes de la acta tienen la posibilidad de persuadirse que los mensajes aceptados son formados en el lanzamiento dado de la acta, y no son tomados de la acta paralela o más temprana. Con este objetivo se usan “нонсы” N_a y N_b - los números casuales del uso desechable.

Las actas de la sección dada se distinguen de anterior de una especificación más detallada: es indicada la estructura del mensaje, la dirección y su comprobación... Sin embargo, como muestran los ejemplos, y de este más alto nivel de la especificación en las actas hay unos defectos serios.

 

6.1. La acta de la transmisión de la clave con квитированием

 

En la acta dada se usa криптосистема RSA (como RSA) para la transmisión por el canal de las llaves del enlace fresco con ЭЦП, la cifración y квитированием. Los algoritmos de la cifración / расшифрования de los usuarios А, En, Con se dejan ver a través de (Ea, D_a), (E_b, D_b), (E_c, D_c), y todos los algoritmos de la cifración se consideran abierto, а cada algoritmo расшифрования es el secreto del usuario. Подписывание se realiza por la aplicación del algoritmo D, а la comprobación de la firma - la aplicación del algoritmo Е. El usuario autorizado Con juega el papel del adversario. Para la simplificación designaciones escribiremos EDK en vez de E (D (K)).

La anotación formal de la acta:

 

A: ДСЧ ()  K_ab; E_bD_aK_ab=Х; [A║B║X] el canal [║║] B

B: ¿=B (?);  E_aD_b=КЗУ (); E_aD_b=Y; [B ║║ Y]

Þ El canal [║║] A

A: ¿=B (?); ¿=A (?); E_bD_a =; ¿= K_{ab (}?); K_ab КЗУ (A)

 

Los signos “~” y “__” significan la posibilidad de la modificación de los mensajes por las faltas de canal o el adversario en las direcciones AV y ВА. Supondremos que la acta АВ pasa en la ausencia de las modificaciones así que Y = E_aD_bK_ab, pero el infractor Con intercepta el recibo Y y comienza la acta СА.

CON: [С║A║Y] A

A: ¿A = A (?); E_c D_a Y = E_c D_b K_abºКЗУ (); E_c D_a=Z;

ббббб [A║C║Z] C

C: E_a D_c Z=КЗУ (C); E_b D_c = E_bD_cE_cD_bK_ab=K_abКЗУ (C)

En resultado Con conoce la llave K_ab y forma con А la llave con la desviación de la acta, de que el usuario Y no nota.

 

6.2. La acta el Otvej-arroz [5,6].

 

La idea de la acta en las palabras es descrita del modo siguiente (Fig. 9):

- El usuario А, el iniciador de la acta, entrega En cifrado нонс N_a para el servidor S; el usuario En lo manda S, habiendo añadido cifrado нонс N_b.

- Cервер S genera la llave K_ab y lo entrega En sobre la llave K_bs para En y sobre la llave K_as para А.

- El usuario En descifra K_ab, comprueba нонс N_b y manda А su parte del mensaje.

- El usuario А descifra la llave K_ab y comprueba нонс N_а.

 

ббббббббббббб [AIIBIIK_as {N_aIIAIIB}] бббббббб [AIIBIIK_as {N_aIIAIIB} IIK_bs {N_bIIAIIB}]

 

ббббббббббббббббббббббббббб

ббббббб K_as {N_aIIK_ab} бббббббббббббббббб K_bs {K_as {N_aIIK_ab} IIN_bIIK_ab}

 

Fig. 9

 

El ataque. Se Supone que las modificaciones en el canal faltan, así que en la descripción formal se puede bajar los Signos ”~” y “__”. El adversario E_b se entromete en la acta solamente en la última etapa, donde en vez de K_as {N_a÷çK_ab} pone K_as {N_a÷çA÷çB}, distinguido del primer mensaje. Como resultado de А identifica E_b como En y acepta la combinación [A÷çB] en calidad de la llave K_ab, ya que por la acta no es previsto, por ejemplo, la comparación разрядностей de los números o el análisis de la llave K_{ab a la} casualidad.

 

6.3. La acta De Nejman - Stablbajn [6]

 

La descripción verbal de la acta:

- El usuario А entrega a нонс N_a en el tipo abierto.

- El usuario En cifra sobre la llave K_bs нонс N_a, la marca del tiempo Т_b y manda al servidor S juntos con нонсом N_b, que volverá a En de А en el tipo cifrado sobre la llave K_ab y será comprobado.

- El servidor S genera la llave K_ab, lo cifra para А y En, pero dos los mensajes cifrados salen a А con abierto нонсом N_b.

- El usuario А distingue la parte correspondiente para En y manda En junto con K_ab {N_b}, para la comprobación de "la frescura" de la llave K_ab recibida (Fig. 10)_.

 

 

Fig. 10

 

El ataque. El adversario Ea pone en marcha la acta, habiendo escogido el número N_a según su parecer, del mensaje ВS distingue N_b y K_bs {A║N_a║Т_b}, desdeña el mensaje SЕ_а, compone y manda al último mensaje de la acta: [K_bs {A║N_a║Т_b} ║N_a {N_b}], donde la segunda parte es нонс N_b, cifrado en N_a, como sobre la llave. En este mensaje el papel K_ab juega N_a. La acta no preve las comprobaciones de los indicios de la llave, y por eso N_a será aceptado En como la llave del enlace K_ab fresco (dado por el adversario Ea).

De la literatura son conocidas también otras actas análogas аутентифицированного las distribuciones de las llaves, cada uno con los defectos. Estas actas tienen los nombres:

- La acta BANY (Barrou, Abadi, Nidhem, Jaglom) [7].

- La acta de Nidhem - Schröder [6].

- La acta "Kerberos" ("Cerbero") [5], etc.

 

7. Las actas fundadas en las identidades

 

Muchas actas de la identificación/autentifikatsii y ЭЦП se fundan en la comprobación de alguna identidad en la aritmética modular. Si los datos identificacionales presentados por el usuario por el canal de comunicación, y los datos escogidos que comprueba de guía, satisfacen a la igualdad de comprobación, es sacada la conclusión que el usuario es aquel, por quien se da. Sin embargo la igualdad de comprobación tiene habitualmente mucho más de decisiones, que puede ser recibido por la acta. Esto permite recoger los números, que satisfacen a la igualdad de comprobación, sin saber los datos secretos del usuario o el servidor. Presentando estos números en calidad de los datos identificacionales, se puede en algunos casos inducir a error que comprueba.

Para el ejemplo examinaremos dos modificaciones de la acta de la identificación unilateral. Preliminarmente el servidor S escoge adecuadamente los significados de los parámetros de sistema (Р,), genera de ДСЧ la clave secreta х, calcula la llave correspondiente abierta y envía a todos los usuarios constante (Р, y) por el canal auténtico. Más, para cada usuario, por ejemplo, para А el servidor genera de ДСЧ el número casual secreto "A", calcula el identificador abierto r=a^k (mod p), encuentra el identificador S=K^-1 secreto (A+xr) mod (p-1) y por el canal seguro entrega А sus datos identificacionales (A, r, S), por ejemplo, А los recibe en ЦГРК al registro junto con las constantes Р de sistema, y. Notaremos que el identificador S secreto es la función del número desconocido "A", que se borra, y la clave secreta х del servidor S, también la función de la Ç dirección y el identificador abierto “r”.

 

7.1. La acta dvuhshagovyj de la identificación unilateral

 

En esta acta el usuario En, deseando identificar А, manda "la pregunta" (el número Z casual) y comprueba la corrección de "la respuesta" А (Fig. 11).

La anotación formal de la acta:

 

EN: ДСЧ () Z А

А: ДСЧ () t; r^t (modp) =u; (S+tz) mod (p-1) =V; [AIIrIIuIIv] B

B: ; A - аутентифицирован.

 

 

Fig. 11

 

Notaremos que si unos números А, r, u, v a dado, y, z satisfacen a la ecuación (*) en la aritmética regular (sin mod p), satisfacen a la misma ecuación por cualquier módulo.

Pondremos r_ij =, donde i, j, l, m - enteros. Entonces la ecuación (*) se contenta, si iv = A+lz; jv = r_{ij +} mz. Las dos ecuaciones para cualquiera z dan los significados iguales v, si son proporcionales sus coeficientes 

Debe de aquí que А debe equivaler; (el número i, j es conveniente escoger así que v sea entera). Notaremos que ya que la igualdad (*) será comprobada por mod p, se puede decidir el sistema de las ecuaciones acerca de los índices (v, z) por mod (p-1), conforme al teorema de Ejlera. Los números A_ij, r_ij, u_lm, en el caso general, tienen разрядность considerablemente más que разрядность del módulo p. Ya que el número A_ij participa en la ecuación (*) solamente en el índice, en vez de él es posible usar (el número v, z tienen ya разрядность). El número u_lm participa en la ecuación (*) solamente en la razón del grado, por eso se puede sustituirlo en. Al fin, el número r_ij participa en la ecuación (*) en el índice, así como en la razón del grado, y por eso se puede sustituirlo solamente en e.d. el número разрядности 2.

El ataque. El adversario Е jugador el papel, intercepta en el canal de comunicación "la pregunta" Z y da "la respuesta": ║║║ B, donde el número v encuentra del sistema de las ecuaciones por mod (p-1). Si En no comprueba разрядность los números en "la respuesta", a él la ecuación (*) se contenta. Si En comprueba la presencia del significado r_ij en la guía de los identificadores abiertos, el adversario puede de antemano recoger enteros i, j así que el significado r_ij en la guía sea.

 

7.2. La acta trehshagovyj de la identificación unilateral

 

En la acta dada el usuario А, deseando identificarse En, le manda los datos А identificacionales, r y los sincrodatos de la sesión del enlace “u”. A "la pregunta" Z de En él debe dar "la respuesta" correcta v tal que se haya contentado la igualdad de comprobación (*) (Fig. 12).

 

 

Fig. 12

 

Para el usuario autorizado es fácil hacerlo, ya que él sabe el identificador secreto (S) y genera los sincrodatos (u) de modo especial. Para el adversario Е que no sabe ni un identificador secreto, consiguió hacerlo también en la acta 7.1., pero allí "la pregunta" Z era conocida de antemano. En la acta 7.2. El adversario debe primero presentar unos datos identificacionales y solamente luego recibe "la pregunta" Z de En, a que él debe dar “la respuesta correcta”. La anotación formal de la acta entre А y En:

 

А: ДСЧ () t; r^t (mod p) = u; [A ║ r ║ u] B

B: ДСЧ () Z; [B║Z] A;

A:; v = (S+tz) mod (p-1); [A ║ v] B

B:; A era identificado cerca del S.

 

El ataque. El adversario Е jugador el papel, manda al mensaje ║║], donde recoge los datos identificacionales, como en el ataque de art. 7.1. En respuesta a cualquier "pregunta" Z de En, el adversario decide el sistema de las ecuaciones relativamente v por mod (p-1) y manda ║v]. Si En no comprueba разрядность los números en "la respuesta", el adversario es identificado En bajo el nombre, sin saber el identificador secreto de este usuario.

 

La conclusión

 

El conocimiento de los precedentes negativos puede ayudar a los elaboradores criptográfico (y no sólo criptográfico) las actas evitar las faltas típicas durante el análisis, así como a la construcción de las actas.

 

La literatura

 

1. “Security in the Open Blueprint”. Open Blueprint Technical Reference Library, SBOF-8702 (hard copy), SK2T-2478-00 (CD ROM), 1995

2. Диффи, Hellman. ”Las Nuevas direcciones en la criptografía”. ТИИЭР, т.67, №3, 1979

3. Domingo, Hugnet. “Full secure exchange and authentication with no previously shared secrets”. Eurocrypt-89.

4. Мэсси. “La Introducción en la criptografía moderna”. ТИИЭР, т.76, №5, 1988

5. Mao, Boyd. “Development of authentication protocols: some misconceptions and a new approach”. Comp. Sec. Found. Workshop VII, 1994

6. Carlsen. “Cryptographic protocol flaws”. Comp. Sec. Found. Workshop VII, 1994

7. Syverson. “A taxonomy of replay attacks”. Comp. Sec. Found. Workshop VII, 1994

 

El artículo ha obrado en enero de 1996