Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями.

Билет №4.

Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями.

Протокол Диффи Хелмена

Предположим, существует два абонента: Алиса и Боб. Обоим абонентам известны некоторые два числа g и p, которые не являются секретными и могут быть известны также другим заинтересованным лицам. Для того, чтобы создать неизвестный более никому секретный ключ, оба абонента генерируют большие случайные числа: Алиса — число a, Боб— число b. Затем Алиса вычисляет значение[5] (1):

Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru (1)

и пересылает его Бобу , а Боб вычисляет (2):

Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru (2)

и передаёт Алисе. Предполагается, что злоумышленник может получить оба этих значения, но не модифицировать их (то есть у него нет возможности вмешаться в процесс передачи).

На втором этапе Алиса на основе имеющегося у нее a и полученного по сети B вычисляет значение (3):

Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru (3)

Боб на основе имеющегося у него b и полученного по сети A вычисляет значение (4):

Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru (4)

Как нетрудно видеть, у Алисы и Боба получилось одно и то же число (5):

Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru (5)

RSA

Таблица 3.1.- Шифрование RSA

Открытый ключ:

n произведение двух простых чисел p и q (p и q должны храниться в секрете)

e число, взаимно простое с (p-1)(q-1)

Закрытый ключ:

d e-1 mod ((p-1)(q-1))

Шифрование:

c = me mod n

Дешифрирование:

m = cd mod n

Протоколы Неймана-Стаблбейна (см.ниже)

Билет №5.

Вопрос 1. Протокол обмена в системе с открытыми ключами и центром распределения ключей

Тут болтовня про сертификат Х509…

В криптографии с асимметричным ключом людям не надо знать симметричный открытый ключ. Если Алиса хочет передать сообщение Бобу, она должна знать только открытый ключ Боба, который является открытым для всех и доступен каждому. Если Боб должен передать сообщение Алисе, он должен знать только открытый ключ Алисы, который также известен каждому. В криптографии общедоступного ключа каждый сохраняет секретный ключ и объявляет общедоступный ключ.

Общедоступное объявление

Наивный подход состоит в том, чтобы объявить открытые ключи публично. Этот подход, однако, небезопасен. Он допускает подделку.

Центр доверия

Более безопасный подход состоит в том, чтобы иметь центр, которому доверяют и который хранит каталог общедоступных (открытых) ключей: каталог, подобно используемому в телефонной системе, но динамически модифицируемый. Каждый пользователь может выбрать секретный и открытый ключ, сохраняя секретный ключ, и вставлять открытый ключ в каталог. Центр может предоставить пользовательский регистр и проверить опознавательный код. Каталог может публично рекламироваться центром, которому доверяют. Центр может также ответить на любой запрос об общедоступном ключе.

Управляемый центр доверия

Более высокий уровень безопасности может быть достигнут, если добавить управление распределением открытого ключа. При объявлении открытого ключа можно включить в ответ метку времени и подпись администрации, чтобы предотвратить перехват и переделку ответа.

Центр сертификации

Предыдущий подход может породить высокую нагрузку на центр, если число запросов будет большим. Альтернатива этому - создание сертификата(удостоверения) общедоступного ключа. Боб имеет два желания: он хочет, чтобы люди знали его открытый ключ, и он хочет, чтобы никто не сформировал фальшивый открытый ключ, такой же как у него. Боб может обратиться в центр сертификации (CA - Certification Authority) либо в федеральную или общегосударственную организацию, которая связывает открытый ключ с объектом и выдает сертификат.

X.509 - способ описать сертификат структурированным способом.

Билет №6

Протокол Диффи Хелмена

(1) Алиса выбирает случайное большое целое число x и посылает Бобу

X = gx mod n

(2) Боб выбирает случайное большое целое число y и посылает Алисе

Y = gy mod n

(3) Алиса вычисляет

k = Yx mod n

(4) Боб вычисляет

k' = Xy mod n

S p, α
B Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru
A Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru
YA
YB
Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru
Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

B Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru
A Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru
E Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru
YE

Билет №7

Алгоритм Шамира

Общее описание

Еще один интересный пример использования возведения в степень по модулю большого простого числа P для открытого шифрования предложил А.Shamir (один из авторов RSA). Как и в системе ЭльГамаля сообщения M представляются целыми числами из интервала 1 < M < P.

Передача сообщений

Передача сообщения происходит следующим образом:

абоненты знают числа P;

абоненты генерируют независимо друг от друга случайные числа:

Ka, Kb

удовлетворяющих условию:

1 < K < P

отправитель вычисляет значение и передаёт получателю:

C = M Ka mоd(P)

получатель вычисляет и передаёт отправителю число B, определяемое последовательностью:

D = C Kb mоd(P)

отправитель аннулирует свой шифр и отправляет полученную последовательность получателю

E=D(X-1) mоd(P) E = D Fa mоd(P)

где:

Fa = Ka -1

получатель расшифровывает полученное сообщение

M = E Fb mоd(P)

где:

Fb = Kb –1

Атака 1(рефлексия)

Противник Еb, играющий роль В, возвращает А его первое сообщение. Действуя по протоколу, А применяет к нему операцию , и в канале оказывается открытое сообщение М.

Атака 2(параллельный обмен)

Противник Еb возвращает А его первое сообщение не в качестве ответа, а как начало параллельного протокола с ведущим Еb и ведомым А. В результате противник Е получает сообщение М, предназначенное для В, а пользователь А получает ложное сообщение , якобы от В.

3-х шаговый алгоритм Шамира

A   x
B   y
Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru
Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru
Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

К2{K1(M)}= К1{K2(M)}

A: ДСУ (А) Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

В: ДСУ (В) Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

A: Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

В: Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

Х: перехватывает все три сообщения затем

Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

пояснения относительно Диффи Хелмена

Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

A   KA
B   KB
Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru
Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru
Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

Атака 1(рефлексия)

1. Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

2. Е: Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

3. Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

Атака 2(параллельный обмен)

1. Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

2. Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

3. Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

4. Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

5. Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

1-3 вместо В будет ЕА ; М передает к ЕА

Билет №8.

Серверы

Протокол Цербер включает в себя работу с тремя серверами: опознавательный сервер (AS - Authentication Server), сервер, предоставляющий билет (TGS - Ticket-Granting Server) и реальный сервер (сервер обработки данных), который обеспечивает услуги. В наших примерах и рисунках Боб - реальный сервер, а Алиса - пользователь, запрашивающий сервер.

Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

Опознавательный сервер (AS) - в протоколе Цербер - KDC. Каждому пользователю, зарегистрированному в AS, предоставляют пользовательский идентификационный код и пароль. AS имеет базу данных с этими идентификационными кодами и соответствующими паролями. AS верифицирует пользователя, выдает ключ сеанса, который используется между Алисой и TGS, и передает билет для TGS.

Предоставляющий билет сервер (TGS) вырабатывает билет для реального сервера (Боба). ОН обеспечивает ключ сеанса ( KAB ) между Алисой и Бобом. ПротоколЦербер отделяет верификацию пользователя от выдачи билета.

Пример работы Цербера

1. Алиса передает свой запрос AS в открытом тексте, используя свой зарегистрированный код идентификации.

2. AS передает сообщение, зашифрованное постоянным симметричным ключом Алисы, KA. AS-сообщение содержит два объекта: ключ сеанса, KA-TGS, который используется Алисой, чтобы войти в контакт с TGS, и билет для TGS, который зашифрован TGS-симметричным ключом (KAS-TGS). Алиса не знает KA-AS, но когда сообщение прибывает, она печатает (сообщает) свой симметричный пароль. Пароль и соответствующий алгоритм вместе создают KA-AS, если пароль правильный. Пароль затем немедленно уничтожают; его не передают по сети, и он не остается в терминале. Он используется только на мгновение, чтобы создать KA-AS. Процесс теперь использует KA-AS для того, чтобы расшифровывать передаваемое сообщение KA-TGS и извлечь билет.

3. Алиса теперь передает три объекта TGS. Первый - билет, полученный от AS. Второй - имя реального сервера (Боб), третий - метку времени, которая зашифрована ключом KA-TGS. Метка времени предотвращает ложный ответ Евы.

4. Теперь TGS передает два билета: каждый содержит ключ сеанса между Алисой и Бобом, KA-B. Билет для Алисы - зашифрованный KA-TGS , билет для Боба - зашифрованный с ключом Боба KTGS-B. Обратите внимание, что Ева не может извлечь KAB, потому что Ева не знает KA-TGS или KTGS-B.

Она не может ответить на шаг 3, потому что она не может заменить метку времени новой меткой. Она не знает KA-TGS, и даже если она будет действовать очень быстро и передаст на шаге 3 сообщение прежде, чем истечет метка времени, она все равно получит те же самые два билета, которые она не может расшифровать.

5. Алиса передает билет Боба с меткой времени, зашифрованной ключом KA-B.

6. Боб подтверждает, что получил эту информацию, прибавляя 1 к метке времени. Сообщение шифруется ключом KA-B и передается Алисе.

Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

Билет №9.

Вопрос 2.

Билет №10.

Билет №11

Вопрос 1. Вероятностные оценки наличия открытых сообщений по фактическим криптосообщениям. Вероятности исходных ключей, открытых сообщений, криптосообщений задаются (примеры).

Билет 12.

Вопрос 2. Реализация хэш- функций для ЭЦП. Требования к хэш- функциям. Варианты построения базовых узлов хэш-функций

Нi = Emi-1 (Мi) + Мi

Реализация схемы ЭЦП связана с вычислением хэш-функции (дайджеста) данных, которая представляет собой уникальное число, полученное из исходных данных путем его сжатия (свертки) с помощью сложного, но известного алгоритма. Хэш-функция является однонаправленной функцией, т. е. по хэш-значению невозможно восстановить исходные данные. Хэш-функция чувствительна к всевозможным искажениям данных. Кроме того, очень трудно отыскать два набора данных, обладающих одним и тем же значением хэш-функции [6].

Требования к хэш-функциям

Хэш-функцией называется односторонняя функция, предназначенная для получения дайджеста или "отпечатков пальцев" файла, сообщения или некоторого блока данных.

Хэш-код создается функцией Н:

h = H (M)

Где М является сообщением произвольной длины и h является хэш-кодомфиксированной длины.

Рассмотрим требования, которым должна соответствовать хэш-функция для того, чтобы она могла использоваться в качестве аутентификатора сообщения. Рассмотрим очень простой пример хэш-функции. Затем проанализируем несколько подходов к построению хэш-функции.

Хэш-функция Н, которая используется для аутентификации сообщений, должна обладать следующими свойствами:

  1. Хэш-функция Н должна применяться к блоку данных любой длины.
  2. Хэш-функция Н создает выход фиксированной длины.
  3. Н (М) относительно легко (за полиномиальное время) вычисляется для любого значения М.
  4. Для любого данного значения хэш-кода h вычислительно невозможно найти M такое, что Н (M) = h.
  5. Для любого данного х вычислительно невозможно найти Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru , что H (y) = H (x).
  6. Вычислительно невозможно найти произвольную пару (х, y) такую, что H (y) = H (x).

Первые три свойства требуют, чтобы хэш-функция создавала хэш-код для любого сообщения.

Четвертое свойство определяет требование односторонности хэш-функции: легко создать хэш-код по данному сообщению, но невозможно восстановить сообщение по данному хэш-коду. Это свойство важно, если аутентификация с использованием хэш-функции включает секретное значение. Само секретное значение может не посылаться, тем не менее, если хэш-функция не является односторонней, противник может легко раскрыть секретное значение следующим образом. При перехвате передачи атакующий получает сообщение М и хэш-код С = Н (SAB || M). Если атакующий может инвертировать хэш-функцию, то, следовательно, он может получить SAB || M = H-1 (C). Так как атакующий теперь знает и М и SAB || M, получить SAB совсем просто.

Пятое свойство гарантирует, что невозможно найти другое сообщение, чье значение хэш-функции совпадало бы со значением хэш-функции данного сообщения. Это предотвращает подделку аутентификатора при использовании зашифрованного хэш-кода. В данном случае противник может читать сообщение и, следовательно, создать его хэш-код. Но так как противник не владеет секретным ключом, он не имеет возможности изменить сообщение так, чтобы получатель этого не обнаружил . Если данное свойство не выполняется, атакующий имеет возможность выполнить следующую последовательность действий: перехватить сообщение и его зашифрованный хэш-код, вычислить хэш-код сообщения, создать альтернативное сообщение с тем же самым хэш-кодом, заменить исходное сообщение на поддельное. Поскольку хэш-коды этих сообщений совпадают, получатель не обнаружит подмены.

Хэш-функция, которая удовлетворяет первым пяти свойствам, называется простой или слабой хэш-функцией . Если кроме того выполняется шестое свойство, то такая функция называется сильной хэш-функцией. Шестое свойство защищает против класса атак, известных как атака " день рождения ".

Функции хеширования делятся на два типа:

· вычисляемые без ключа;

· вычисляемые с ключом.

Отличаются они тем, что для первого типа принципиально достаточно только входного текста, для второго типа на вход функции хеширования подается так же некий ключ, с тем условием, что при одинаковых входных текстах и разных ключах получается разный хеш (разное значение хеш‑функции).

Значение хеша используется в основном двух целях:

· для выработки и проверки ЭЦП;

· для проверки целостности переданных данных (только для хеш вычисляемые с ключом).

Однонаправленная функция H(M) применяется к сообщению произвольной длины M и возвращает значение фиксированной длины h: h = H(M), где h имеет длину m.

Многие функции позволяют вычислять значение фиксированной длины по входным данным произвольной длины, но у однонаправленных хэш-функций есть дополнительные свойства, делающие их однонаправленными:

· Зная M, легко вычислить h.

· Зная H, трудно определить M, для которого H(M)=h.

· Зная M, трудно определить другое сообщение, M', для которого H(M)= H(M').

В некоторых приложениях однонаправленности недостаточно, необходимо выполнение другого требования, называемого устойчивостью к столкновениям.Должно быть трудно найти два случайных сообщения, M и M', для которых H(M)= H(M').

Следующий протокол, впервые описанный Гидеоном Ювалом (Gideon Yuval), показывает, как, если предыдущее требование не выполняется, Алиса может использовать вскрытие методом дня рождения для обмана Боба.

(1) Алиса готовит две версии контракта: одну, выгодную для Боба, и другую, приводящую его к банкротству

(2) Алиса вносит несколько незначительных изменений в каждый документ и вычисляет хэш-функции. (Этими изменениями могут быть действия, подобные следующим: замена ПРОБЕЛА комбинацией ПРОБЕЛ-ЗАБОЙ-ПРОБЕЛ, вставка одного-двух пробелов перед возвратом каретки, и т.д. Делая или не делая по одному изменению в каждой из 32 строк, Алиса может легко получить 232 различных документов.)

(3) Алиса сравнивает хэш-значения для каждого изменения в каждом из двух документов, разыскивая пару, для которой эти значения совпадают. (Если выходом хэш-функции является всего лишь 64-разрядное значение, Алиса, как правило, сможет найти совпадающую пару сравнив 232 версий каждого документа.) Она восстанавливает два документа, дающих одинаковое хэш-значение.

(4) Алиса получает подписанную Бобом выгодную для него версию контракта, используя протокол, в котором он подписывает только хэш-значение.

(5) Спустя некоторое время Алиса подменяет контракт, подписанный Бобом, другим, который он не подписывал. Теперь она может убедить арбитра в том, что Боб подписал другой контракт.

Это заметная проблема. (Одним из советов является внесение косметических исправлений в подписываемый документ.)

При возможности успешного вскрытия методом дня рождения, могут применяться и другие способы вскрытия. Например, противник может посылать системе автоматического контроля (может быть спутниковой) случайные строки сообщений со случайными строками подписей. В конце концов, подпись под одним из этих случайных сообщений окажется правильной. Враг не сможет узнать, к чему приведет эта команда, но, если его единственной целью является вмешательство в работу спутника, он своего добьется.

Не легко построить функцию, вход которой имеет произвольный размер, а тем более сделаьть ее однонаправленной. В реальном мире однонаправленные хэш-функции строятся на идее функции сжатия. Такая однонаправленная функция выдает хэш-значение длины n при заданных входных данных большей длины m. Входами функции сжатия являются блок сообщения и выход предыдущего блока текста (см. Рис. 3.1). Выход представляет собой хэш-значение всех блоков до этого момента. То есть, хэш-значение блока Mi равно hi = f(Mi, hi-1)

Это хэш-значение вместе со следующим блоком сообщения становится следующим входом функции сжатия. Хэш-значением всего сообщения является хэш-значение последнего блока.

Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

Рис. 3.1. - Однонаправленная функция

Билет №14.

Вопрос 1. Протокол обмена закрытыми ключами в сети с общим центром распределения ключей. (Ранее)

Вопрос 2. Условие абсолютной секретности. Классы стойкости. Шифр Вижинера (примеры).

Система шифрования называется абсолютно секретной, если для любых слов Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru распределение случайной величины Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru совпадает с распределением случайной величины Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru . При этом Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru - равновероятно выбирается из набора ключей Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru .

Установлено, что для абсолютной секретности, ключ системы шифрования должен обладать следующими свойствами:

§ быть абсолютно случайным,

§ использоваться ровно один раз,

§ его длина должна быть не меньшей чем длина передаваемого сообщения.

Существует два типа
стойкости: теортическая (математическая) и практическая. Эти
концепции были предложены в классической работе Шеннона (Shannon,
1949). Термин "практическая стойкость" не означает, что
определение не является математически строгим. Стойкость обоих
типов стойкости в следующем. Теоретическая стойкость основана на
факте, что криптосистема моделируется некоторым формальным
объектом, и для этой модели формулируются определенные условия
невозможности раскола криптосистемы посторонним лицом
. Обычно
полагается, что доступная злоумышленнику информация должна быть
недостаточной для определения открытого текста, даже если
информация о криптосистеме несекретна
. В качестве меры
практической стойкости мы принимаем работу, т.е. число операций
или временную сложность определения открытой информации
посторонним лицом, либо средние значения этих характеристик над
множеством всех открытых текстов.
В этом случае цель состоит в
получении максимальной сложности задачи несанкционированного
дешифрования. Следует отметить, что существует два подхода к
построению практически стойких шифров. В первом случае строится
криптосистема, и затем показывается, что ее раскол является
сложной задачей. Во втором случае выбирается некоторая сложная
математическая задача, и затем строится соответствующая
криптосистема, чей раскол эквивалентен решению этой задачи.

Шифр Виженера состоит из последовательности нескольких шифров Цезаря с различными значениями сдвига. Для зашифровывания может использоваться таблица алфавитов, называемая tabula recta или квадрат (таблица) Виженера.

Билет №15.

Вопрос1. Протокол обмена ключами Диффи- Хэлмана. Атака с прерыванием связи между станциями А и В и имитацией станции А. (Ранее)

Вопрос 2. Финансовая криптография Протокол 4

Билет №16

Вопрос 1. Атака на протокол RSA с неправильной последовательность шифрования и подписывания

Данный протокол рекомендован МККТТ, рекомендация Х.509. Дефект протокола состоит в неправильном порядке операции шифрования и подписывания: правильно сначала подписать, затем шифровать. В формальной записи протокола применяются следующие обозначения:

М - передаваемое сообщение от А к В;

Сb- шифрованноеА сообщение М на ключеeb получателя В;

Сba - сообщение Сb, подписанное А на ключе d отправителя А.

Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

Предполагается, что nb<n. Обоснование последних двух равенств состоит в следующих преобразованиях:

Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

Атака1. Некоторый пользователь Х (нарушитель) перехватывает сообщение Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru (Рис.5), снимает ЭЦП пользователя А, пользуясь открытым ключом (n, e).

Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

Рис.5

Полученное шифрованное сообщение Сb он подписывает на своем секретном ключе dx, тем самым присваивая себе авторство на сообщение М. Получив сообщение Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru , пользователь В снимает подпись Х с помощью открытого ключа (nx, ex), расшифровывает на своем секретном ключе db и выделяет сообщение М, которое считает сообщением от Х, но не от А, если само сообщениеМ не содержит признаков А.

Замечание: если n=nb, то операции шифрования и подписывания становятся перестановочными, так что снятие ЭЦП становится возможным при любом порядке этих операций.

Вопрос 2. Криптоузел в схеме DES

Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

Билет №17.

Вопрос 1. Протокол шифрования Отвэй- Рис. Атака на протокол

Протокол Отвэй-Риса практически не используется начиная с 1987 года, но он важен с исторической точки зрения. Аналогично протоколу Нидхейма-Шредера, в нем не требуют синхронизации часов, но и он не лишен недостатков.

Как и ранее, два пользователя пытаются достигнуть договоренности о ключе через посредничество центра доверия S. Здесь участвуют числовые вставки Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru и Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru свидетельствуя о свежести всех шифрованных компонентах сообщений. Кроме того, числовая вставка М связывает сообщения одного сеанса между собой. Протокол Отвэй-Риса короче протокола Нидхейма-Шредера, поскольку он состоит только из четырех сообщений. Однако эти сообщения выглядят совсем по-другому. Как и прежде, центр доверия генерирует ключ Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru для двух пользователей.

Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

Рис. 6.3. Протокол Отвэй-Prtca

Протокол Отвэй-Риса состоит из следующих этапов (рис. 6.3):

Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru

Поскольку протокол не использует ключ Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru для шифрования сообщений, ни одна из сторон не представляет, известен ли этот ключ другому участнику. Подчеркивая эту особенность, говорят, что протокол Отвэй-Риса не содержит подтверждения ключа. Посмотрим, что знают договаривающиеся стороны. А понимает, что В послал сообщение, содержащее числовую вставку Вопрос 1.Протоколы взаимного обмена закрытыми ключами и открытыми ключами между двумя станциями. - student2.ru в новизне которой

пользователь А уверен, поскольку именно он был ее создателем. Следовательно, свое письмо В тоже должен был послать недавно. С другой стороны, сервер уведомляет участника В о числовой вставке, включенной в сообщение клиентом A, но у В нет никаких оснований полагать, что полученное им послание не было повторением старого сообщения.

Вопрос 2. Реализация хэш- функций для ЭЦП. Требования к хэш- функциям. Варианты построения базовых узлов хэш-функций.

Нi = Emi-1 (Мi+Мi-1) + Мi + Мi-1

Ранее…

Билет №18.

Вопрос 1. Виды аутентификации, авторизации, аудита.

Аутентификация

Аутентификация (authentication) предотвращает доступ к сети нежелательных лиц и разрешает вход для легальных пользователей. Термин «аутентификация» в переводе с латинского означает «установление подлинности». Аутентификацию следует отличать от идентификации. Идентификаторы пользователей используются в системе с теми же целями, что и идентификаторы любых других объектов, файлов, процессов, структур данных, но они не связаны непосредственно с обеспечением безопасности. Идентификация заключается в сообщении пользователем системе своего идентификатора, в то время как аутентификация — это процедура доказательства пользователем того, что он есть тот, за кого себя выдает, в частности, доказательство того, что именно ему принадлежит введенный им идентификатор.

В процедуре аутентификации участвуют две стороны: одна сторона доказывает свою аутентичность, предъявляя некоторые доказательства, а другая сторона — аутентификатор — проверяет эти доказательства и принимает решение. В качестве доказательства аутентичности используются самые разнообразные приемы:

§ аутентифицируемый может продемонстрировать знание некоего общего для обеих сторон секрета: слова (пароля) или факта (даты и места события, прозвища человека и т. п.);

§ аутентифицируемый может продемонстрировать, что он владеет неким уникальным предметом (физическим ключом), в качестве которого может выступать, например, электронная магнитная карта;

§ аутентифицируемый может доказать свою идентичность, используя собственные биохарактеристики: рисунок радужной оболочки глаза или отпечатки пальцев, которые предварительно были занесены в базу данных аутентификатора.

Сетевые службы аутентификации строятся на основе всех этих приемов, но чаще всего для доказательства идентичности пользователя используются пароли. Простота и логическая ясность механизмов аутентификации на основе паролей в какой-то степени компенсирует известные слабости паролей. Это, во-первых, возможность раскрытия и разгадывания паролей, а во-вторых, возможность «подслушивания» пароля путем анализа сетевого трафика. Для снижения уровня угрозы от раскрытия паролей администраторы сети, как правило, применяют встроенные программные средства для формирования политики назначения и использования паролей: задание максимального и минимального сроков действия пароля, хранение списка уже использованных паролей, управление поведением системы после нескольких неудачных попыток логического входа и т. п. Перехват паролей по сети можно предупредить путем их шифрования перед передачей в сеть.

Легальность пользователя может устанавливаться по отношению к различным системам. Так, работая в сети, пользователь может проходить процедуру аутентификации и как локальный пользователь, который претендует на использование ресурсов только данного компьютера, и как пользователь сети, который хочет получить доступ ко всем сетевым ресурсам. При локальной аутентификации пользователь вводит свои идентификатор и пароль, которые автономно обрабатываются операционной системой, установленной на данном компьютере. При логическом входе в сеть данные о пользователе (идентификатор и пароль) передаются на сервер, который хранит учетные записи обо всех пользователях сети. Многие приложения имеют свои средства определения, является ли пользователь законным. И тогда пользователю приходится проходить дополнительные этапы проверки.

В качестве объектов, требующих аутентификации, могут выступать не только пользователи, но и различные устройства, приложения, текстовая и другая информация. Так, например, пользователь, обращающийся с запросом к корпоративному серверу, должен доказать ему свою легальность, но он также должен убедиться сам, что ведет диалог действительно с сервером своего предприятия. Другими словами, сервер и клиент должны пройти процедуру взаимной аутентификации'. Здесь мы имеем дело с аутентификацией на уровне приложений. При установлении сеанса связи между двумя устройствами также часто предусматриваются процедуры взаимной аутентификации на более низком, канальном уровне. Примером такой процедуры является аутентификация по протоколам РАР и CHAP, входящим в семейство протоколов РРР. Аутентификация данных означает доказательство целостности этих данных, а также того, что они поступили именно от того человека, который объявил об этом. Для этого используется механизм электронной подписи.

В вычислительных сетях процедуры аутентификации часто реализуются теми же программными средствами, что и процедуры авторизации. В отличие от аутентификации, которая распознает легальных и нелегальных пользователей, система авторизации имеет дело только с легальными пользователями, которые уже успешно прошли процедуру аутентификации. Цель подсистем авторизации состоит в том, чтобы предоставить каждому легальному пользователю именно те виды доступа и к тем ресурсам, которые были для него определены администратором системы.

Авторизация доступа

Средства авторизации (authorization) контролируют доступ легальных пользователей к ресурсам системы, предоставляя каждому из них именно те права, которые ему были определены администратором. Кроме предоставления прав доступа пользователям к каталогам, файлам и принтерам система авторизации может контролировать возможность выполнения пользователями различных системных функций, таких как локальный доступ к серверу, установка системного времени, создание резервных копий данных, выключение сервера и т. п.

Система авторизации наделяет пользователя сети правами выполнять определенные действия над определенными ресурсами. Для этого могут быть использованы различные формы предоставления правил доступа, которые часто делят на два класса:

§ избирательный доступ;

§ мандатный доступ.

Избирательные права доступа реализуются в операционных системах универсального назначения. В наиболее распространенном варианте такого подхода определенные операции над определенным ресурсом разрешаются или запрещаются пользователям или группам пользователей, явно указанным своими идентификаторами. Например, пользователю, имеющему идентификатор User_T, может быть разрешено выполнять операции чтения и записи по отношению к файлу Filet. Модификацией этого способа является использование для идентификации пользователей их должностей, или факта их принадлежности к персоналу того или иного производственного подразделения, или еще каких-либо других позиционирующих характеристик. Примером такого правила может служить следующее: файл бухгалтерской отчетности BUCH могут читать работники бухгалтерии и руководитель предприятия.

Мандатный подход к определению прав доступа заключается в том, что вся информация делится на уровни в зависимости от степени секретности, а все пользователи сети также делятся на группы, образующие иерархию в соответствии с уровнем допуска к этой информации. Такой подход используется в известном делении информации на информацию для служебного пользования, «секретно», «совершенно секретно». При этом пользователи этой информации в зависимости от определенного для них статуса получают различные формы допуска: первую, вторую или третью. В отличие от систем с избирательными правами доступа в системах с мандатным подходом пользователи в принципе не имеют возможности изменить уровень доступности информации. Например, пользователь более высокого уровня не может разрешить читать данные из своего файла пользователю, относящемуся к более низкому уровню. Отсюда видно, что мандатный подход является более строгим, он в корне пресекает всякий волюнтаризм со стороны пользователя. Именно поэтому он часто используется в системах военного назначения.

Процедуры авторизации реализуются программными средствами, которые могут быть встроены в операционную систему или в приложение, а также могут поставляться в виде отдельных программных продуктов. При этом программные системы авторизации могут строиться на базе двух схем:

§ ц

Наши рекомендации