Mitrenet

Одной из самых ранних реализаций криптографии с открытыми ключами была экспериментальная система MEMO (MITRE Encrypted Mail Office, Шифрованное почтовое отделение). MITRE - это была команда умных парней, работающая по заказу Министерства обороны. MEMO служила системой безопасной электронной поч­ты для пользователей сети MITRENET и использовала криптографию с открытыми ключами для обмена кл ю-чами и DES для шифрования файлов.

В системе MEMO все открытые ключи хранятся в Центре распределения открытых ключей (Public Key Dis­tribution Center), который является отдельным узлом сети. Ключи хранятся в стираемом перепрограммируемом ПЗУ, чтобы не дать изменить их. Закрытые ключи генерируются пользователями системы.

Чтобы пользователь мог отправлять безопасные сообщения, система сначала устанавливает безопасное со­единение с Центром распределения открытых ключей. Пользователь запрашивает в Центре файл всех открытых ключей. Если пользователь проходит идентификацию с использованием его закрытого ключа, Центр пересыл а-ет запрошенный список на рабочую станцию пользователя. Для обеспечения целостности список шифруется с помощью DES.

Для шифрования сообщений используется DES. Для шифрования файлов система генерирует случайный ключ DES, пользователь шифрует файл ключом DES, а ключ DES - открытым ключом получателя. Зашифро­ванный файл и ключ отправляются получателю.

MEMO не предусматривает мер предосторожности против потерь ключей. Существуют некоторые средства проверки целостности сообщений с использованием контрольных сумм. В систему не встроены средства про­верки подлинности.

Прежде, чем система была реализована, была доказана небезопасность конкретной реализации системы о т-крытых ключей в MEMO - обмена ключами по схеме Diffie-Hellman над GF(2¹²⁷) (см. раздел 11.6), хотя не­трудно изменить систему, чтобы можно было использовать большие числа. MEMO была изобретена главным образом для экспериментальных целей и никогда не использовалась в реальной системе MITRENET.

ISDN

Bell-Northern Research разработала прототип безопасного телефонного терминала ISDN (Integrated Services Digital Network, Цифровая сеть с интегрированием услуг) [499, 1192, 493, 500]. Как телефонный аппарат, тер­минал остался на уровне прототипа. В результате появился Уровень безопасности пакетов данных (Packet Data Security Overlay). Терминал использует схему обмена ключами Diffie-Hellman, цифровые подписи RSA и DES для шифрования данных. Он может передавать и принимать речь и данные со ск оростью 64 Кбит/с.

Ключи

В телефон встроена пара "открытый ключ/закрытый ключ" для длительного использования. Закрытый ключ хранится в устойчивом от вскрытия модуле телефона. Открытый ключ служит для идентификации телефона. Эти ключи являются частью самого телефонного аппарата и не могут быть изменены.

Кроме того, в телефоне хранятся еще два открытых ключа. Одним из них является открытый ключ владель­ца аппарата. Этот ключ используется для проверки подлинности команд владельца, он может быть изменен по команде, подписанной владельцем. Так пользователь может передать кому-то другому право владения аппар а-том.

В телефоне также хранится открытый ключ сети. Он используется для проверки подлинности команд аппа­ратуры управления сетью и проверки подлинности вызовов от других пользователей сети. Этот ключ также можно изменить командой, подписанной владельцем. Это позволяет владельцу менять сеть, к которой подкл то­чен его аппарат.

Эти ключи рассматриваются как ключи длительного пользования - они меняются редко, если вообще мен я-ются. В телефоне также хранится пара "открытый ключ/закрытый ключ" для краткосрочного использования. Они встроены в сертификат, подписанный центром управления ключами. Два телефона обмениваются сертифи­катами при установлении соединения. Подлинность этих сертификатов удостоверяется открытым ключом сети.

Обмен сертификатами и их проверка выполняются только при установлении безопасного соединения между аппаратами. Для установления безопасного соединения между людьми протокол содержит дополнительный компонент. В аппаратном ключе зажигания, который вставляется в телефон владельцем, хранится закрытый ключ владельца, зашифрованный секретным паролем, известным только владельцу (его не знает ни телефонный аппарат, ни центр управления сетью, ни еще кто-нибудь). Ключ зажигания также содержит сертификат, подпи­санный центром управления сетью, в который включены открытый ключ владельца и некоторая идентификац и-онная информация (имя, компания, специальность, степень допуска, любимые сорта пиццы, сексуальная ориен­тация и прочее). Все это также зашифровано. Для дешифрирования этой информации и ввода ее в телефон

пользователь вводит свой секретный пароль с клавиатуры аппарата. Телефонный аппарат использует эту ин­формацию для соединения, но она удаляется после того, как пользователь извлечет свой ключ зажигания.

В телефоне также хранится набор сертификатов, выданных центром управления сетью. Эти сертификаты удостоверяют право конкретных пользователей пользоваться конкретными телефонными аппаратами.

Вызов

Вызов Боба Алисой происходит следующим образом.

(1) Алиса вставляет в телефон свой ключ зажигания и вводит свой пароль.

(2) Телефон опрашивает ключ зажигания, чтобы определить личность Алисы и выдать ей сигнал "линия сво­бодна".

(3) Телефон проверяет свой набор сертификатов, проверяя, что Алиса имеет право использовать этот аппарат.

(4) Алиса набирает номер, телефон определяет адресата звонка.

(5) Два телефона используют протокол обмена ключами на базе криптографии с открытыми ключами, чтобы генерировать уникальный и случайный сеансовый ключ. Все последующие этапы протокола шифруются с помощью этого ключа.

(6) Телефон Алисы передает свой сертификат и идентификатор пользователя.

(7) Телефон Боба проверяет подписи сертификата и идентификатора пользователя, используя открытый ключ сети.

(8) Телефон Боба инициирует последовательность запросов/ответов. Для этого необходимо в реальном вре­мени (не позднее заданной задержки) отправлять подписанные ответы на запросы. (Это помешает зло­умышленнику использовать сертификаты, скопированные из предыдущего обмена.) Один ответ должен быть подписан закрытым ключом телефона Алисы, а другой - закрытым ключом Алисы.

(9) Если Боба нет у телефона, то его телефон звонит.

(10) Если Боб дома, он вставляет в телефон свой ключ зажигания. Его телефон опрашивает ключ зажигания и
проверяет сертификат Боба, как на этапах (2) и (3).

(И) Боб передает свой сертификат и идентификатор пользователя.

(12) Телефон Алисы проверяет подписи Боба, как на этапе (7) и инициирует последовательность запро­сов/ответов, как на этапе (8).

(13) Оба телефона выводят на свои экраны личность и номер телефона другого пользователя.

(14) Начинается безопасный разговор.

(15) Когда одна из сторон вешает трубку, удаляются сеансовый ключ, а также сертификаты, которые телефон Боба получил от телефона Алисы, и сертификаты, которые телефон Алисы получил от телефона Боба.

Каждый ключ DES уникален для каждого звонка. Он существует только внутри двух телефонных аппаратов и только в течение разговора, а после его окончания немедленно уничтожается. Если злоумышленник добудет один или оба участвовавших в разговоре аппарата, он не сможет расшифровать ни один предшествующий ра з-говор, в котором участвовали эти два аппарата.