Использование симметричного шифрования
Для обеспечения аутентификации и распределения ключа сессии часто используется двухуровневая иерархия ключей симметричного шифрования. В общих чертах эта стратегия включает использование доверенного центра распределения ключей ( KDC ). Каждый участник разделяет секретный ключ, называемый такжемастер-ключом, с KDC. KDC отвечает за создание ключей, называемых ключами сессии, и за распределение этих ключей с использованием мастер-ключей. Ключи сессии применяются в течение короткого времени для шифрования только данной сессии между двумя участниками.
Большинство алгоритмов распределения секретного ключа с использованием KDC, включает также возможность аутентификации участников.
Протокол Нидхэма и Шредера
Предполагается, что секретные мастер-ключи KA и KB разделяют соответственно А и KDC и В и KDC . Целью протокола является безопасное распределение ключа сессии KS между А и В. Протокол представляет собой следующую последовательность шагов:
1. A -> KDC: IDA || IDB || N1
2. KDC -> A: EKa [KS || IDB || N1 ||
EKb [KS || IDA] ]
3. A -> B: EKb [KS || IDA]
4. B -> A: EKS [N2]
5. A -> B: EKS [f (N2)]
- А запрашивает у KDC ключ сессии для установления защищенного соединения с В. Сообщение включает идентификацию А и В и уникальный идентификатор данной транзакции, который обозначен как N1 и называется nonce. Nonce может быть временной меткой, счетчиком или случайным числом; минимальное требование состоит в том, чтобы он отличался для каждого запроса. Кроме того, для предотвращения подделки желательно, чтобы противнику было трудно предугадать nonce. Таким образом, случайное число является лучшим вариантом для nonce.
- KDC отвечает сообщением, зашифрованным ключом KА. Таким образом, только А может расшифровать сообщение, и А уверен, что оно получено от KDC , так как предполагается, что кроме А и KDC этот ключ не знает никто. Это сообщение включает следующие элементы, предназначенные для А:
- Одноразовый ключ сессии.
- Идентификатор В.
- nonce, который идентифицирует данную сессию .
А должен убедиться, что полученный nonce равен значению nonce из первого запроса. Это доказывает, что ответ от KDC не был модифицирован при пересылке и не является повтором некоторого предыдущего запроса. Кроме того, сообщение включает два элемента, предназначенные для В:
- Одноразовый ключ сессии KS.
- Идентификатор А IDA.
Эти два последних элемента шифруются мастер-ключом, который KDC разделяет с В. Они посылаются В при установлении соединения и доказывают идентификацию А.
- А сохраняет у себя ключ сессии и передает В информацию от KDC , предназначенную В: ЕKb [KS || IDA]. Так как эта информация зашифрована KВ, она защищена от просмотра. Теперь В знает ключ сессии ( KS ), знает, что другим участником является А, ( IDA ) и что начальная информация передана от KDC , т.к. она зашифрована с использованием KB.
В этой точке ключ сессии безопасно передан от А к В, и они могут начать безопасный обмен. Тем не менее, существует еще два дополнительных шага:
- Используя созданный ключ сессии, В пересылает A nonce N2.
- Также используя KS, А отвечает f (N2), где f - функция, выполняющая некоторую модификацию N2.
Эти шаги гарантируют B, что сообщение, которое он получил, не изменено и не является повтором предыдущего сообщения.
Заметим, что реальное распределение ключа включает только шаги 1 - 3, а шаги 4 и 5, как и 3, выполняют функцию аутентификации.
А безопасно получает ключ сессии на шаге 2. Сообщение на шаге 3 может быть дешифровано только B. Шаг 4 отражает знание В ключа KS, и шаг 5 гарантирует Взнание участником А ключа KS и подтверждает, что это не устаревшее сообщение, так как используется nonce N2. Шаги 4 и 5 призваны предотвратить общий типreplay-атак. В частности, если противник имеет возможность захватить сообщение на шаге 3 и повторить его, то это должно привести к разрыву соединения.
Разрывая рукопожатие на шагах 4 и 5, протокол все еще уязвим для некоторых форм атак повторения. Предположим, что противник Х имеет возможность скомпрометировать старый ключ сессии. Маловероятно, чтобы противник мог сделать больше, чем просто копировать сообщение шага 3. Потенциальный риск состоит в том, что Х может заставить взаимодействовать А и B, используя старый ключ сессии. Для этого Х просто повторяет сообщение шага 3, которое было перехвачено ранее и содержит скомпрометированный ключ сессии. Если В не запоминает идентификацию всех предыдущих ключей сессий с А, он не сможет определить, что это повтор. Далее Х должен перехватить сообщение рукопожатия на шаге 4 и представиться А в ответе на шаге 5.
Финансовая криптография (FC) - использованиекриптографии в заявлениях, в которых денежные убытки могли следовать из подрывной деятельности системы обмена сообщениями.
Шифровальщики думают об области как происходящий в работе доктора Дэвида Чома, который изобрел ослепленную подпись. Эта специальная форма шифровальной подписи разрешила действительной монете быть подписанной без подписывающего лица, видящего фактическую монету и разрешенной форму цифровых символических денег, которые предложили неотслеживаемость. Эта форма иногда известна как Цифровые Наличные деньги.
Широко используемый и ранее развитый шифровальный механизм - Стандарт Шифрования Данных, который использовался прежде всего для защиты электронных переводов средств. Однако, это была работа Дэвида Чома, который взволновал сообщество криптографии о потенциале зашифрованных сообщений как фактические финансовые инструменты.
Финансовая криптография включает механизмы и алгоритмы, необходимые для защиты финансовых передач, в дополнение к созданию новых форм денег.Доказательство работы и различных аукционных протоколов подпадает под зонтик Финансовой Криптографии. Hashcash используется, чтобы ограничить спам.
Финансовую криптографию отличают от традиционной криптографии в этом для большей части зарегистрированной истории, криптография использовалась почти полностью в военных и дипломатических целях.
Как часть бизнес-модели, ФК следовал за гидом криптографии, и только самые простые идеи были приняты. Денежные системы счета, защищенные SSL, такие как PayPal и электронное золото, были относительно успешными, но более инновационными механизмами, включая ослепленные символические деньги, не были.
Билет №11
Вопрос 1. Вероятностные оценки наличия открытых сообщений по фактическим криптосообщениям. Вероятности исходных ключей, открытых сообщений, криптосообщений задаются (примеры).