LA TECHNIQUE SPÉCIALE DES MOYENS DE COMMUNICATION

--------------------------------------------------------------------------------------------------------

L'émission 1аааааааааааааааааааааааааааааааааааааааа РхЁш ааааааааааааааааааааааааааааааааааааааааааа 1996

Les systèmes, les réseaux et les équipements

Du lien confidentiel

 

УДК 621.391.7

 

Л.Н. САПЕГИН

 

LES DÉFAUTS TYPIQUES DANS LES PROCÈS - VERBAUX CRYPTOGRAPHIQUES

 

Selon les documents du sceau étranger on sait plus de 30 procès-verbaux cryptographiques, qui étaient considérés hypothétiquement par les sûrs. L'expérience a montré que la majorité écrasante d'eux possède les défauts du différent degré du poids. Dans le présent article il est proposé seulement un peu plus les exemples brillants des procès-verbaux cryptographiques avec les défauts et les attaques utilisant ces défauts. La connaissance des précédents négatifs peut aider les concepteurs cryptographique (et non seulement cryptographique) les procès-verbaux éviter les erreurs caractéristiques.

 

1. La classification des procès-verbaux cryptographiques

 

1.1. Les procès-verbaux шифрования / расшифрования.

 

À la base du procès-verbal de cette classe un certain algorithme symétrique ou asymétrique shifrovanija/rasshifrovanija se trouve. L'algorithme шифрования est accompli sur la transmission par l'expéditeur du message, à la suite de quoi le message sera transformé de la forme ouverte à шифрованную. L'algorithme расшифрования est accompli sur l'accueil par le destinataire, à la suite de quoi le message sera transformé de шифрованной les formes en ouverte. On assure ainsi la propriété de la confidentialité.

Pour la garantie de la propriété de l'intégrité des messages transmis les algorithmes symétriques шифрования / расшифрования, d'habitude, coïncident avec les algorithmes du calcul имитозащитной les insertions (ИЗВ) sur la transmission et le contrôle ИЗВ de l'accueil, pour quoi on utilise la clé шифрования. À l'utilisation des algorithmes asymétriques шифрования / расшифрования la propriété de l'intégrité est assurée séparément par voie du calcul de la signature électronique en chiffre (ЭЦП) sur la transmission et le contrôle ЭЦП de l'accueil, que l'on assure aussi les propriétés de l'impeccabilité et l'authenticité du message accepté.

 

1.2. Les procès-verbaux de la signature électronique en chiffre (ЭЦП).

 

À la base du procès-verbal de cette classe un certain algorithme du calcul ЭЦП sur la transmission avec l'aide de la clé confidentielle de l'expéditeur et le contrôle ЭЦП sur l'accueil avec l'aide de la clé correspondante ouverte tirée du répertoire ouvert, mais protégé contre les modifications se trouve. En cas du résultat positif du contrôle le procès-verbal, d'habitude, s'achève par l'opération архивирования du message accepté, lui ЭЦП et la clé correspondante ouverte. L'opération архивирования peut ne pas être accomplie, si ЭЦП est utilisé seulement pour la garantie des propriétés de l'intégrité et l'authenticité du message accepté, mais non de l'impeccabilité. Dans ce cas, après le contrôle, ЭЦП peut être supprimé à la fois ou au bout du laps de temps limité de l'attente.

 

1.3. Les procès-verbaux de l'identification / аутентификации.

 

À la base du procès-verbal de l'identification un certain algorithme du contrôle de ce fait que l'objet identifié (l'utilisateur, l'installation, le procès se trouve...), présentant un certain nom (identificateur), connaît l'information confidentielle connue à seulement objet déclaré, et en outre la méthode du contrôle est, certes, indirect, i.e. sans présentation de cette information confidentielle.

D'habitude chaque nom (identificateur) de l'objet contacte la liste de ses droits et les responsabilités dans le système, inscrit à la base de données protégée. Dans ce cas le procès-verbal de l'identification peut être élargi jusqu'au procès-verbal аутентификации, dans qui l'objet identifié est contrôlé sur la compétence du service commandé.

Si dans le procès-verbal de l'identification est utilisé ЭЦП, le rôle de l'information confidentielle joue la clé confidentielle ЭЦП, mais le contrôle ЭЦП se réalise avec l'aide de la clé ouverte ЭЦП, la connaissance de qui ne permet pas de définir la clé correspondante confidentielle, mais permet de se persuader qu'il est connu à l'auteur ЭЦП.

 

1.4. Les procès-verbaux аутентифицированного les distributions des clés.

 

Les procès-verbaux de cette classe cumulent аутентификацию les utilisateurs avec le procès-verbal de la génération et la distribution des clés sur la voie de communication. Le procès-verbal a de deux ou trois participants; par le troisième participant est le centre de la génération et la distribution des clés (ЦГРК), appelé pour être bref le serveur S.

Le procès-verbal comprend trois étapes ayant les noms : la génération, l'enregistrement et la communication.

À l'étape de la génération le serveur S génère les significations numériques des paramètres du système, y compris, la clé confidentielle et ouverte.

À l'étape de l'enregistrement le serveur S identifie les utilisateurs d'après les documents (à la comparution personnelle ou dans les personnes autorisées), pour chaque objet génère l'information clé et/ou identificatoire et forme le marqueur de la sécurité contenant les constantes nécessaires systémiques et la clé ouverte du serveur S (en cas de nécessité).

À l'étape de la communication se réalise proprement le procès-verbal аутентифицированного de l'échange clé, qui s'achève par la formation de la clé totale de séance.

 

2. Les défauts dans les procès-verbaux cryptographiques

 

Des périodiques étrangers vers le présent on sait plus de 30 procès-verbaux cryptographiques pour les systèmes de communication commerciaux. La partie d'eux porte les noms des auteurs, une autre partie est recommandée par les standards internationaux МККТТ et ISO, troisième - entre dans les standards nationaux des divers pays. Cependant les standards vieillissent vite, mais dans les procès-verbaux il y a des défauts du différent degré du poids, en commençant des manques comme la complexité mal fondée du procès-verbal et jusqu'aux manques catastrophiques faisant le procès-verbal extrêmement dangereux.

Dans le présent article il est proposé seulement un peu plus les exemples brillants des procès-verbaux cryptographiques avec les défauts et les attaques utilisant ces défauts. Chaque procès-verbal fait un lapsus d'abord brièvement par les mots avec l'aide du dessin pour l'évidence de l'idée du procès-verbal, puis on semble le texte formel du procès-verbal précisant la spécification du procès-verbal. Le texte formel du procès-verbal s'écrit sur un certain langage évolué qui a reçu assez la large expansion dans la littérature selon la sécurité des procès-verbaux. Enfin, dans la même langue sont indiqués une - deux attaques de l'adversaire (violateur) utilisant certains défauts du procès-verbal. Il faut remarquer que ces attaques se trouvent souvent possibles en remerciant seulement la spécification pas assez de complète du procès-verbal; plus exactement, grâce à ce que de la multitude de spécifications possibles du procès-verbal se réalise le plus naturel, mais mauvais. Cela signifie qu'au choix plus attentif de la spécification du procès-verbal, en tenant compte de la connaissance des précédents négatifs, les attaques indiquées se trouveront, probablement, non réalisées ou inefficace.

À présent “il n'y a pas de méthodologie sûre systématique pour la construction des procès-verbaux sûrs de communication, mais l'expérience a montré qu'un très grand nombre des procès-verbaux commerciaux, qui étaient considérés hypothétiquement sûr, se sont trouvés en réalité vulnérable du côté d'un large spectre des attaques effectives. On ne peut pas demander aux programmeurs appliqués la construction (probablement qu'il ne faut pas admettre à la construction) les procès-verbaux sûrs” [1]. Cette affaire professionnel криптографов. Cependant, la spécification complète du procès-verbal, probablement, doit être élaborée en commun криптографом et le programmeur; il encore vaut mieux, si c'est la même personne.

Dans les paragraphes ultérieurs on examine les procès-verbaux avec les défauts typiques. Les exemples des procès-verbaux sont cassés aux groupes comme utilisé криптосистемы :

- Les procès-verbaux avec криптосистемой DH (Diffi, Hellman);

- Les procès-verbaux avec криптосистемой RSA (Rajvest, Shamir, Adleman);

- Les procès-verbaux avec commutable шифрованием (Шамир);

- Les procès-verbaux аутентифицированного les distributions des clés;

- Les procès-verbaux fondés sur les identités.

 

3. Les procès-verbaux avec криптосистемой DH

 

Historiquement криптосистема DH est premier криптосистемой avec les clés ouvertes (КСОК), fondé sur la fonction exponentielle unidirectionelle. D'abord celle-ci криптосистема était utilisée comme le schéma de la distribution des clés pour classique symétrique криптосистемы avec les clés confidentielles totales [2]. Préalablement tous les utilisateurs du réseau de transmissions reçoivent du serveur S par le canal authentique les constantes systémiques (Р,), où le nombre premier Р et la base de la puissance sortent régulièrement.

 

3.1. Le procès-verbal de l'échange clé DH

 

Les utilisateurs Mais et à forment la clé confidentielle du lien formant la paire K_ab avec l'aide du procès-verbal suivant (Fig. 1)

- L'utilisateur Mais du détecteur des nombres accidentels (ДСЧ) génère le nombre accidentel X_a, calcule et l'envoie В

- L'utilisateur à du détecteur génère le nombre accidentel X_b, calcule et l'envoie А

- L'utilisateur Mais, ayant reçu le nombre Y_b d' à, calcule.

- L'utilisateur à, ayant reçu le nombre Y_{a de} Mais, calcule.

Fig. 1

 

Les nombres X_a, X_b sont effacés. Puisque, K_ab = K_ba.

Pour être bref au lieu de la description verbale on applique d'habitude l'inscription formelle, dans qui les deux-points signifient le virement des actions faites par l'utilisateur, la flèche signifie la génération, l'extrait ou l'inscription de l'information selon les chaînes (canaux) intérieures de l'utilisateur, la flèche double signifie la transmission par le canal extérieur ouvert, la flèche triple - la transmission selon la voie de communication extérieure protégée, par exemple, la transmission selon шифрованному au canal des données confidentielles pour l'utilisateur du serveur S. Dans le cas présent l'inscription formelle du procès-verbal a l'air comme il suit :

MAIS : ДСЧ () X_a;; [A ║ B ║ Y_a] _B

À : ДСЧ () X_b; КЗУ ();;

[B║A║Y_b] _A,

MAIS :

Ici : ║ - le signe de l'adjonction, [...] - le message formé, КЗУ - la mémoire RAM clé.

Il est supposé que le canal sans erreurs et sans influences de l'adversaire ().

L'attaque 1. Е_b - l'adversaire Е jouant le rôle de l'utilisateur à, saisit le message de Mais vers à et forme la clé du lien formant la paire K_ea=K_ae, et en outre Mais trouve que c'est la clé du lien avec à (Fig. 2) :

MAIS : ДСЧ () X_a;; [A ║ B ║ Y_a] E_bB

E_b : ДСЧ (E) X_е; КЗУ (E);;

ааааааааааааааааааааааааааа [B║A║Y_e] _A

MAIS :

 

Fig. 2

 

L'attaque 2. Е_а, Е_b - l' adversaire Е jouant les rôles des utilisateurs Mais et à, saisit les messages de Mais et à, forme les clés K_ae et K_{eb du} lien formant la paire avec Mais et Dans la voie de la conduite de deux procès-verbaux parallèles. Finalement les utilisateurs Mais et à trouvent qu'ils ont le lien confidentiel sur la clé K_ab; en réalité ils ont établi шифрованную le lien avec перешифрованием chez l'adversaire Е (Fig. 3).

 

 

Fig. 3

 

MAIS : ДСЧ () X_a;; [A ║ B ║ Y_a] E_b

E_b : ДСЧ (E) X_е; КЗУ (E);;

ааааааааааааааааааааааааааа [B║A║Y_e] _A

E_a : [A║B║Y_e] B ,

MAIS :

À : ДСЧ ()  X_b; ааааааааа КЗУ ();; [B║A║Y_b] E_a,  

E_a :

 

3.2. Le procès-verbal аутентифицированного de l'échange clé DH [3]

 

Après la réception des constantes systémiques du serveur S les utilisateurs Mais, à, Avec... Génèrent de ДСЧ les clés confidentielles d'Ha, Х_b, X_c..., calculent les clés ouvertes;;;... Les placent au répertoire accessible à tous protégé contre les modifications {Y_a, Y_b, Y_c...}. (Fig. 4).

 

Fig. 4

L'inscription formelle du procès-verbal :

À : ДСЧ () t_b;; [B║A║Z] A

A : ДСЧ (A) t_a;;

ааааа; ;

 [A║B║U║V] le canal [║ ║║] B

À : =A (?);  =B (?);; аааааааааа

 

Ici le signe “~” signifie la possibilité de l'altération par le canal ou la modification par l'adversaire, le signe "­" signifie la construction au degré, - inverse vers t_b selon mod (p-1), le signe (?) après l'égalité signifie que l'on contrôle l'exécution de l'égalité : à la non-exécution le procès-verbal se déchire, à l'exécution se réalise le passage vers l'opération suivante.

Finalement la clé à U se distingue de K_ab, si on accomplit le contrôle de l'authenticité. Il faut d'ici

L'attaque 1. L'adversaire Ea jouant le rôle de l'utilisateur Mais, substitue dans le canal le message [A║B║U║V] sur [A║B ║║] avec la condition. Finalement l'utilisateur à forme la clé fausse K_ab.

L'attaque 2. L'adversaire Е_b jouant le rôle à, envoie Mais le nombre, sur quoi celui-là selon le procès-verbal répond par les nombres (U, V), où Finalement l'adversaire Е établit avec Mais la clé du lien formant la paire K_ae transmise selon la voie de communication ouverte, et en outre Mais trouve que c'est la clé pour le lien avec В

 

 

4. Les procès-verbaux avec криптосистемой RSA

 

Préalablement tous les utilisateurs Mais, à, Avec... Les réseaux de transmissions génèrent les modules personnels n_a, n_b, n_c..., chacun de qui a la structure : n=pq les oeuvres de deux nombres premiers p et q (n_a=p_aq_a; n_b=p_bq_b; n_c=p_cq_c;...), choisi régulièrement [2]. Puis chaque utilisateur choisit de la bonne façon une paire des nombres (e, d), satisfaisant à la condition, où Ensuite les nombres (n, e) à titre de la clé ouverte partent par le canal authentique pour le répertoire accessible à tous. Les nombres (p, q, d) les utilisateurs gardent en secret.

 

4.1. Le procès-verbal шифрования et la signature en chiffre selon RSA [2]

 

Le procès-verbal donné est recommandé МККТТ, la recommandation Х.509. Le défaut du procès-verbal comprend en ordre incorrect de l'opération шифрования et подписывания : il est correct d'abord de signer, puis chiffrer. Dans l'inscription formelle du procès-verbal on applique les désignations suivantes :

М - le message transmis de Mais vers à;

С_b - шифрованное Mais le message М sur la clé e_{b du} destinataire à;

С_ba - le message С_b signé Mais sur la clé d_{a de l'}expéditeur А

Il est supposé que n_b <n_a. L'argumentation des dernières deux égalités comprend dans les transformations suivantes :

Атака1. Un certain utilisateur (violateur) Х saisit le message (Fig. 5), retire ЭЦП l'utilisateur Mais, en se servant de la clé ouverte (n_a, e_a).

 

 

Fig. 5

 

Reçu шифрованное il signe le message С_b sur la clé confidentielle d_x, en s'appropriant alors lui-même la paternité au message de M Ayant reçu le message, l'utilisateur à retire la signature Х avec l'aide de la clé ouverte (n_x, e_x), déchiffre sur la clé confidentielle d_b et met en relief le message М, qui trouve comme le message de Х, mais non de Mais, si le message lui-même М ne contient pas les signes А

La remarque : si n_a=n_b, les opérations шифрования et подписывания deviennent перестановочными, de sorte que le retrait ЭЦП devient possible à n'importe quel ordre de ces opérations.

 

4.2. Le procès-verbal шифрования selon RSA sur le module total

 

Que le message circulaire М soit chiffré selon криптосистеме RSA avec le module total “n”. Les utilisateurs Mais et à reçoivent шифрованные les messages,

Атака1. L'adversaire Е saisit шифрованные les messages de Sa et С_b. En connaissant les clés ouvertes e_a et e_b, l'adversaire selon l'algorithme d'Evklida trouve les nombres x, y ainsi que xe_a + ye_b = 1 (avec une grande probabilité du nombre e_a et e_b sont mutuellement simples). Alors finalement l'adversaire calcule le message М, en connaissant seulement clés ouvertes e_a, e_b et le module n, mais sans connaître le module qu'équivalentement la connaissance de la factorisation n=pq.

 

5. Les procès-verbaux avec l'algorithme commutable шифрования [4]

 

L'algorithme шифрования s'appelle commutable, si le résultat successif шифрования les messages М sur les clés К₁ et К₂ ne dépend pas de l'ordre des clés utilisées : К2 {К1 {M}} = =K1 {K2 {M}}, où K {M} - le résultat шифрования M sur la clé de K.Primerami de l'algorithme commutable шифрования sont l'algorithme DH, l'algorithme RSA au module total, l'algorithme гаммирования (les additions selon le module). La commutabilité de l'algorithme шифрования est ici la conséquence de la commutabilité des opérations de la multiplication modulaire et l'addition.

L'algorithme commutable шифрования est attrayant par ce que les utilisateurs ne doivent pas établir la clé totale du lien formant la paire, mais il suffit de générer les clés personnelles confidentielles. L'idée du lien confidentiel sans accord préalable sur la clé шифрования est présentée le plus vivement par l'exemple de Shamira (Fig. 6).

 

5.1. Le procès-verbal trehshagovyj шифрования Shamira [4]

 

 

Fig. 6

 

L'inscription formelle du procès-verbal :

A : ДСЧ () х; М х À

À : ДСЧ () y; (М) y A

A : (М х y) x = M y B

B : (M y) y = M

 

L'attaque 1. L'adversaire Е saisit tous trois messages dans la voie de communication et les met selon mod2. Il se trouve Finalement М dans l'aspect ouvert.

L'attaque 2. En se servant de l'absence de l'identification des correspondants Mais et à, l'adversaire Е peut jouer le rôle à, en détruisant la confidentialité М, ou jouer le rôle Mais, en imposant la nouvelle fausse à l'utilisateur В

 

5.2. Le procès-verbal trehshagovyj avec commutable шифрованием [6]

 

Dans le cas total трехшаговый le procès-verbal шифрования Shamira a l'inscription suivante formelle (Fig. 7) :

MAIS : K_a {M} B

B :

A :

B :

 

 

Fig. 7

 

Le leader Mais le procès-verbal applique d'abord l'opération шифрования sur la clé de Ka, puis l'opération расшифрования avec la clé;

Conduit B applique d'abord l'opération расшифрования avec la clé Vers, puis l'opération шифрования avec la clé К_b. Il est supposé qu'il a lieu à chacun М et Vers : К^-1 {K {M}} =K {K^-1 {M}}.

L'attaque 1. La réflexion [6]

L'adversaire Е_b jouant le rôle à, rend Mais son premier message. En agissant selon le procès-verbal, Mais lui applique l'opération, et dans le canal est le message ouvert М

MAIS :

L'attaque 2. (Le procès-verbal Parallèle) [6]

L'adversaire Е_b rend Mais son premier message non à titre de la réponse, mais comme le début du procès-verbal parallèle avec conduisant Е_b et A.Predpolagaetsja conduit qu'au travail au réseau un tel est possible (Fig. 8).

 

 

Fig. 8

 

I procès-verbal (Mais Еb)	II procès-verbal (Еb)
1. Mais : Ка {M} Еb
	1 ’. Еb : Ka {M} A
	2 ’. A : {Ka {M}} =MЕb
2. Еb : A
3. A : {} Еb
	3 ’. Еb : {} A
4. A : Ка {{}} =
	4 ’. ___________________

 

Finalement l'adversaire Е reçoit le message М destiné pour à, mais l'utilisateur Mais reçoit la nouvelle fausse, d'В

L'attaque de la réflexion et avec le procès-verbal parallèle sont une forte arme de l'adversaire, contre laquelle il est difficile de proposer la protection simple. Les attaques avec quelques procès-verbaux parallèles, à qui l'adversaire Е peut jouer simultanément quelques rôles sont aussi possibles : par exemple, E_a, E_b et E_s - le rôle du serveur S.

 

6. Les procès-verbaux аутентифицированного les distributions des clés

 

Les procès-verbaux examinés dans ce paragraphe ont de trois participants : les utilisateurs Mais, à et le serveur S. Le but des procès-verbaux - la génération et la transmission sûre par le serveur S de la clé du lien formant la paire K_{ab aux} utilisateurs Mais et V.Bezopasnost' insère les propriétés de la confidentialité, l'intégrité, l'authenticité et "la fraîcheur". Cela signifie qu'à la suite du procès-verbal la clé originale K_ab doit se trouver notamment chez Mais et à, et seulement chez eux. La propriété de "la fraîcheur" signifie que les participants du procès-verbal ont la possibilité de se persuader que les messages acceptés sont formés dans la mise en marche donnée du procès-verbal, et non sont pris du procès-verbal parallèle ou plus précoce. Sont utilisés à cette fin “нонсы” N_a et N_b - les nombres accidentels de l'utilisation à une seule fois.

Les procès-verbaux du paragraphe donné se distinguent des précédentes par la spécification plus détaillée : on indique la structure du message, l'adresse et leur contrôle... Cependant, comme montrent les exemples, et à ce plus haut niveau de la spécification dans les procès-verbaux il y a des défauts sérieux.

 

6.1. Le procès-verbal de la transmission de la clé avec квитированием

 

Dans le procès-verbal donné est utilisé криптосистема RSA (comme RSA) pour la transmission par le canal des clés du lien formant la paire avec ЭЦП, шифрованием et квитированием. Les algorithmes шифрования / расшифрования des utilisateurs Mais, à, Avec sont désignés par (Ea, D_a), (E_b, D_b), (E_c, D_c), et en outre tous les algorithmes шифрования sont considérés ouvert, mais chaque algorithme расшифрования est le secret de l'utilisateur. Подписывание se réalise par l'application de l'algorithme D, mais le contrôle de la signature - l'application de l'algorithme Е. L'utilisateur autorisé Avec joue le rôle de l'adversaire. Pour la simplification des désignations nous écrirons EDK au lieu d'E (D (K)).

L'inscription formelle du procès-verbal :

 

A : ДСЧ ()  K_ab; E_bD_aK_ab=Х; [A║B║X] le canal [║║] B

B : =B (?);  E_aD_b=КЗУ (); E_aD_b=Y; [B ║║ Y]

Þ Le canal [║║] A

A : =B (?); =A (?); E_bD_a =; = K_{ab (}?); K_ab КЗУ (A)

 

Les signes “~” et “__” signifient la possibilité de la modification des messages par les erreurs des canaux ou l'adversaire dans les directions АВ et ВА. Nous supposerons que le procès-verbal АВ passe dans l'absence des modifications ainsi qu'Y = E_aD_bK_ab, mais le violateur Avec saisit le reçu Y et commence le procès-verbal СА.

AVEC : [С║A║Y] A

A : A = A (?); E_c D_a Y = E_c D_b K_abºКЗУ (); E_c D_a=Z;

ааааа [A║C║Z] C

C : E_a D_c Z=КЗУ (C); E_b D_c = E_bD_cE_cD_bK_ab=K_abКЗУ (C)

Finalement Avec apprend la clé K_ab et forme avec Mais la clé avec le rejet du procès-verbal, de quoi l'utilisateur Et non remarque.

 

6.2. Le procès-verbal l'Otvej-riz [5,6].

 

L'idée du procès-verbal dans les mots fait un lapsus comme il suit (Fig. 9) :

- L'utilisateur Mais, l'initiateur du procès-verbal, transmet À шифрованный нонс N_a pour le serveur S; l'utilisateur au renvoie S, ayant ajouté шифрованный нонс N_b.

- Cервер S génère la clé K_ab et le transmet à sur la clé K_bs pour à et sur la clé K_as pour А

- L'utilisateur à déchiffre K_ab, contrôle нонс N_b et renvoie Mais sa partie du message.

- L'utilisateur Mais déchiffre la clé K_ab et contrôle нонс N_а.

 

ааааааааааааа [AIIBIIK_as {N_aIIAIIB}] аааааааа [AIIBIIK_as {N_aIIAIIB} IIK_bs {N_bIIAIIB}]

 

ааааааааааааааааааааааааааа

ааааааа K_as {N_aIIK_ab} аааааааааааааааааа K_bs {K_as {N_aIIK_ab} IIN_bIIK_ab}

 

Fig. 9

 

L'attaque. Il est supposé que les modifications dans le canal manquent, de sorte que dans la description formelle on peut baisser les Signes ”~” et “__”. L'adversaire E_b intervient dans le procès-verbal seulement à la dernière étape, où au lieu de K_as {N_a÷çK_ab} met K_as {N_a÷çA÷çB}, mis en relief du premier message. Finalement Mais identifie E_b comme à et accepte la combinaison [A÷çB] à titre de la clé K_ab, puisque selon le procès-verbal n'est pas prévu, par exemple, la comparaison разрядностей des nombres ou l'analyse de la clé K_ab sur le hasard.

 

6.3. Le procès-verbal de Nejman - Stablbajn [6]

 

La description verbale du procès-verbal :

- L'utilisateur Mais transmet À нонс N_a dans l'aspect ouvert.

- L'utilisateur à chiffre sur la clé K_bs нонс N_a, la marque du temps Т_b et envoie au serveur S ensemble avec нонсом N_b, qui reviendra vers à de Mais à шифрованном l'aspect sur la clé K_ab et sera contrôlé.

- Le serveur S génère la clé K_ab, le chiffre pour Mais et à, mais les deux шифрованных les messages partent vers Mais avec ouvert нонсом N_b.

- L'utilisateur Mais met en relief la partie correspondante pour à et envoie à avec K_ab {N_b}, pour le contrôle de "la fraîcheur" de la clé reçue K_ab (Fig. 10)_.

 

 

Fig. 10

 

L'attaque. L'adversaire Ea lance le procès-verbal, ayant choisi le nombre N_a à son gré, du message ВS met en relief N_b et K_bs {A║N_a║Т_b}, ignore le message SЕ_а, fait et envoie au dernier message du procès-verbal : [K_bs {A║N_a║Т_b} ║N_a {N_b}], où la deuxième partie est нонс N_b, шифрованный sur N_a, comme sur la clé. Dans ce message le rôle K_ab joue N_a. Le procès-verbal ne prévoit pas les contrôles des signes de la clé, c'est pourquoi N_a il conviendra à comme la clé du lien formant la paire K_ab (donné par l'adversaire Ea).

De la littérature on savent aussi d'autres procès-verbaux analogues аутентифицированного les distributions des clés, chacun avec les défauts. Ces procès-verbaux ont les noms :

- Le procès-verbal BANY (Barrou, Abadi, Nidhem, Jaglom) [7].

- Le procès-verbal de Nidhem - Schröder [6].

- Le procès-verbal "Kerberos" ("Cerbère") [5], etc.

 

7. Les procès-verbaux fondés sur les identités

 

Plusieurs procès-verbaux de l'identification/autentifikatsii et ЭЦП se fondent sur le contrôle d'une certaine identité dans l'arithmétique modulaire. Si les données identificatoires présentées par l'utilisateur selon la voie de communication, et les données choisies contrôlant de répertoire, satisfont à l'égalité de contrôle, est fait une conclusion que l'utilisateur est celui-là, pour qui se donne. Cependant l'égalité de contrôle a d'habitude beaucoup plus des décisions, que peut être reçu selon le procès-verbal. Cela permet de choisir les nombres, satisfaisant à l'égalité de contrôle, sans connaître les données confidentielles de l'utilisateur ou le serveur. En présentant ces nombres à titre des données identificatoires, on peut dans nombre de cas induire en erreur le contrôlant.

Pour l'exemple nous examinerons deux modifications du procès-verbal de l'identification unilatérale. Préalablement le serveur S choisit régulièrement les significations des paramètres systémiques (Р,), génère de ДСЧ la clé confidentielle х, calcule la clé correspondante ouverte et envoie à tous les utilisateurs les constantes (Р, y) par le canal authentique. Ensuite, pour chaque utilisateur, par exemple, pour Mais le serveur génère de ДСЧ le nombre accidentel confidentiel "Vers", calcule l'identificateur ouvert r=a^k (mod p), trouve l'identificateur confidentiel S=K^-1 (A+xr) mod (p-1) et par le canal sûr transmet Mais ses données identificatoires (A, r, S), par exemple, Mais les reçoit à ЦГРК à l'enregistrement avec les constantes systémiques Р, y. Nous remarquerons que l'identificateur confidentiel S est la fonction du nombre inconnu "Vers", qui est effacé, et la clé confidentielle х du serveur S, ainsi que la fonction de l'adresse Mais et l'identificateur ouvert “r”.

 

7.1. Le procès-verbal dvuhshagovyj de l'identification unilatérale

 

Dans ce procès-verbal l'utilisateur à, en souhaitant identifier Mais, envoie "la question" (le nombre accidentel Z) et contrôle la justesse de "la réponse" Mais (Fig. 11).

L'inscription formelle du procès-verbal :

 

À : ДСЧ () Z MAIS

MAIS : ДСЧ () t; r^t (modp) =u; (S+tz) mod (p-1) =V; [AIIrIIuIIv] B

B : ; A - аутентифицирован.

 

 

Fig. 11

 

Nous remarquerons que si quelques nombres Mais, r, u, v à donné, y, z satisfont à l'équation (*) dans l'arithmétique ordinaire (sans mod p), ils satisfont à la même équation selon n'importe quel module.

Nous mettrons r_ij =, où i, j, l, m - les entiers. Alors l'équation (*) est satisfaite, si iv = A+lz; jv = r_{ij +} mz. Les deux équations pour chacun z donnent les significations identiques v, si leurs coefficients sont proportionnels 

Il faut d'ici que Mais doit s'aligner; (les nombres i, j il est confortable de choisir de manière que v soit l'entier). Nous remarquerons que puisque l'égalité (*) sera contrôlée selon mod p, on peut décider le système des équations en ce qui concerne les paramètres (v, z) selon mod (p-1), selon le théorème d'Ejlera. Les nombres A_ij, r_ij, u_lm, dans le cas total, ont разрядность considérablement plus que разрядность du module p. Puisque le nombre A_ij participe à l'équation (*) seulement dans le paramètre, au lieu de lui on peut utiliser (les nombres v, z ont déjà разрядность). Le nombre u_lm participe à l'équation (*) seulement dans la base de la puissance, c'est pourquoi on peut le remplacer sur. Enfin, le nombre r_ij participe à l'équation (*) dans le paramètre, ainsi que dans la base de la puissance, c'est pourquoi on peut le remplacer seulement sur i.e. le nombre разрядности 2.

L'attaque. L'adversaire Е jouant le rôle, saisit dans la voie de communication "la question" Z et donne "la réponse" : ║║║ B, où le nombre v trouve du système des équations selon mod (p-1). Si à ne contrôle pas разрядность les nombres dans "la réponse", chez lui l'équation (*) est satisfaite. Si à contrôle la présence de la signification r_ij dans le répertoire des identificateurs ouverts, l'adversaire peut d'avance choisir les entiers i, j de manière que la signification r_ij dans le répertoire soit.

 

7.2. Le procès-verbal trehshagovyj de l'identification unilatérale

 

Dans le procès-verbal donné l'utilisateur Mais, en souhaitant s'identifier à, lui envoie les données identificatoires Mais, r et les synchrodonnées de la séance du lien “u”. Sur "la question" Z d'à lui doit donner "la réponse" juste v un tel pour que l'on avait satisfait l'égalité de contrôle (*) (Fig. 12).

 

 

Fig. 12

 

Pour l'utilisateur autorisé il est facile de faire cela, puisqu'il connaît l'identificateur confidentiel (S) et génère les synchrodonnées (u) spécialement. Pour l'adversaire Е ne connaissant pas aucun identificateur confidentiel, on réussit à faire cela aussi dans le procès-verbal 7.1., mais là "la question" Z était connue d'avance. Dans le procès-verbal 7.2. L'adversaire doit d'abord présenter quelques données identificatoires et seulement puis reçoit "la question" Z d' à, sur qui il doit donner “la réponse juste”. L'inscription formelle du procès-verbal entre Mais et à :

 

MAIS : ДСЧ () t; r^t (mod p) = u; [A ║ r ║ u] B

B : ДСЧ () Z; [B║Z] A;

A :; v = (S+tz) mod (p-1); [A ║ v] B

B :; A était identifié chez В

 

L'attaque. L'adversaire Е jouant le rôle, envoie au message ║║], où choisit les données identificatoires, comme dans l'attaque de p. 7.1. En réponse à n'importe quelle "question" Z d' à, l'adversaire décide le système des équations relativement v selon mod (p-1) et envoie ║v]. Si à ne contrôle pas разрядность les nombres dans "la réponse", l'adversaire est identifié à sous le nom, sans connaître l'identificateur confidentiel de cet utilisateur.

 

La conclusion

 

La connaissance des précédents négatifs peut aider les concepteurs cryptographique (et non seulement cryptographique) les procès-verbaux éviter les fautes typiques à l'analyse, ainsi qu'à la construction des procès-verbaux.

 

La littérature

 

1. “Security in the Open Blueprint”. Open Blueprint Technical Reference Library, SBOF-8702 (hard copy), SK2T-2478-00 (CD ROM), 1995

2. Диффи, Hellman. ”Les Nouvelles directions dans la cryptographie”. ТИИЭР, т.67, №3, 1979

3. Domingo, Hugnet. “Full secure exchange and authentication with no previously shared secrets”. Eurocrypt-89.

4. Мэсси. “L'Introduction à la cryptographie moderne”. ТИИЭР, т.76, №5, 1988

5. Mao, Boyd. “Development of authentication protocols : some misconceptions and a new approach”. Comp. Sec. Found. Workshop VII, 1994

6. Carlsen. “Cryptographic protocol flaws”. Comp. Sec. Found. Workshop VII, 1994

7. Syverson. “A taxonomy of replay attacks”. Comp. Sec. Found. Workshop VII, 1994

 

L'article est entré en janvier 1996