Идентификация с использованием асимметричных криптосистем. Теперь опишем несколько примеров протоколов сильной идентификации в асимметричных криптосистемах

Пример идентификации расшифрованием запроса, зашифрованного на открытом ключе абонента А.

Запрос от проверяющего В:

В®А: h(z_B), id(B), y= (z_B ||id(B)).

Проверка запроса проверяемым A:

A: h', i’, (z||i)= (y’), удостоверение, что h(z)=h', i=i’,

Доказательство проверяемого А (ответ):

A®B:z.

Проверка проверяющим B:

B: z’, удостоверение, что z'=z_B.

Примечание: проверяемый A доказал проверяющему B, что он владеет ключом расшифрования . При этом проверяемый имеет возможность учитывать запросы и фиксировать случаи их повторного поступления.

Пример идентификации зашифрованием запроса секретным ключом .

Запрос от проверяющего B

B®A: z _B.

Доказательство проверяемого A:

A: A®B: y=D (z’_B).

Проверка проверяющим B:

B: z= E (y’), удостоверение, что z= z_A.

Недостаток: C может получить от A зашифрованное на ключе выгодное для С сообщение z _С (например, заархивированное долговое обязательство A).

Устраняется использованием хэш-функции:

Запрос от проверяющего B

B®A:

состоящий в том, что B намерен связаться с A.

Доказательство проверяемого A:

A: A®B: y=D ((M||h(M))), где М – любое сообщение.

Проверка проверяющим B:

B: (m||h)= Е (y’), удостоверение, что h= h(m).

Напомним, что протокол аутентификации - протокол, идентификации, гарантирующий целостность информации по источнику, содержанию и по времени создания.

Аутентификация с использованием симметричных криптосистем. Заметим, что при передаче зашифрованного сообщения с предварительно добавленным идентификатором источника, целостность данных не гарантируется. Аутентификация источника проводят с использованием ключевой хэш-функции и симметричного шифрования. Можно, например, использовать одну из следующих форм передаваемого сообщения:

,

,

.

При этом ключи шифрования k₁ и k₂ должны быть независимыми, а алгоритмы шифрования и вычисления хэш-функций , должны иметь существенные различия.

38.2. Аутентификация с использованием ассиметричной
криптосистемы и кода аутентификации сообщения

Рассмотрим протокол передачи открытого ключа по открытому каналу от В к А с целью последующей передачи от A к В ключа k симметричной системы. Под Кодом Аутентификации Сообщения (КАС) понимается: (h(M||k)), где М – сообщение h – функция хэширования, k – секретный ключ. При этом протокол, защищенный от вмешательства постороннего участника имеет вид:

Передача сертификата открытого ключа стороной B:

B®A: <сертификат >, y=D (M||h(M)),

Проверка стороной А: А: (m||h)=E (y'), удостоверение, что h=h(m), удостоверение подлинности сообщения <сертификат >.

Теперь А может передать для В сообщение x=k на ключе :

A®B: y=D (k).

После получения этого сообщения стороной B как А, так и В имеют общий секрет х=k и могут использовать его в качестве ключа симметричной системы для проверки подлинности сообщений:

B®A: y=E_k(M||(h(M||k)),

A: (m||h)=D_k(y), удостоверение, что h=h(m||k).

38.3. Типовые схемы идентификации
и аутентификации пользователя
информационной системы

Пусть в компьютерной системе зарегистрировано n пользователей и i-й аутентифицирующий объект i-го пользователя содержит два информационных поля:

ID_i – неизменный идентификатор i-го пользователя, который является аналогом имени и используется для идентификации пользователя;

K_{i –} аутентифицирующая информация пользователя, которая может изменяться и служит для аутентификации (например, пароль P_i = K_i).

Описанная структура соответствует практически любому ключевому носителю информации, используемому для опознания пользователя. Например, для носителей типа пластиковых карт выделяется неизменяемая информация ID_i первичной персонализации пользователя и объект в файловой структуре карты, содержащий K_i.

Приведем две типовые схемы идентификации и аутентификации.

Схема 1. В компьютерной системе выделяется объект-эталон для идентификации и аутентификации пользователей. Структура объекта-эталона для схемы 1 показана в следующей таблице.

Номер пользователя	Информация для идентификации	Информация для аутентификации
1	ID1	E1
2	ID2	E2
...	...	...
N	IDn	En

Здесь E_i = F(ID_i,K_i), где F – функция, которая обладает свойством «невосстановимости» значения K_i по E_i и ID_i. «Невосстановимость» K_i оценивается некоторой пороговой трудоемкостью Т_o решения задачи восстановления аутентифицирующей информации K_i по Е_i и ID_i. Кроме того, для пары K_i и K_j возможно совпадение соответствующих значений Е. В связи с этим вероятность ложной аутентификации пользователя не должна быть больше некоторого порогового значения Р_o. На практике задают Т_o = 10²⁰... 10³⁰, Р_o = 10^-7... 10^-9.

Протокол идентификации и аутентификации для схемы 1.

1. Пользователь предъявляет свой идентификатор ID.

2. Если ID не совпадает ни с одним ID_i , зарегистрированным в компьютерной системе, то идентификация отвергается – пользователь не допускается к работе, иначе (существует ID_i = ID) устанавливается, что пользователь, назвавшийся пользователем i, прошел идентификацию.

3. Субъект аутентификации запрашивает у пользователя его аутентификатор К.

4. Субъект аутентификации вычисляет значение

Y = F (ID_i, K).

5. Субъект аутентификации производит сравнение значений Y и E_i. При совпадении этих значений устанавливается, что данный пользователь успешно аутентифицирован в системе. Информация об этом пользователе передается в программные модули, использующие ключи пользователей (т.е. в систему шифрования, разграничения доступа и т. д.). В противном случае, аутентификация отвергается – пользователь не допускается к работе.

Схема 2. В компьютерной системе выделяется модифицированный объект-эталон, структура которого показана в следующей таблице.

Номер пользователя	Информация для идентификации	Информация для аутентификации
1	ID1, S1	E1
2	ID2, S2.	E2
...	...	...
N	IDn, Sn	En

В отличие от схемы 1, в схеме 2 значение E_i = F (S_i, K_i), где S_i – случайный вектор, задаваемый при создании идентификатора пользователя, т.е. при создании строки, необходимой для идентификации и аутентификации пользователя;

F – функция, которая обладает свойством «невосстановимости» значения K_i по E_i и S_i.

Протокол идентификации и аутентификации для схемы 2.

1. Пользователь предъявляет свой идентификатор ID.

2. Если ID не совпадает ни с одним ID_i, зарегистрированным в компьютерной системе, то идентификация отвергается – пользователь не допускается к работе, иначе (существует ID_i = ID) устанавливается, что пользователь, называвшийся пользователем i, прошел идентификацию.

3. По идентификатору ID_i выделяется вектор S_i.

4. Субъект аутентификации запрашивает у пользователя аутентификатор К.

5. Субъект аутентификации вычисляет значение

Y = F (S_i, К).

6. Субъект аутентификации производит сравнение значений Y и Е_i. При совпадении этих значений устанавливается, что данный пользователь успешно аутентифицирован в системе. В противном случае, аутентификация отвергается – пользователь не допускается к работе.

Вторая схема аутентификации применяется в ОС UNIX. В качестве идентификатора ID используется имя пользователя (запрошенное по Loqin), в качестве аутентификатора K_{i –} пароль пользователя (запрошенный по Password), функция F представляет собой алгоритм шифрования DES. Эталоны для идентификации и аутентификации содержатся в файле Etc/passwd.

Следует отметить, что необходимым требованием устойчивости схем аутентификации к восстановлению информации К_i является случайный равновероятный выбор К_i из множества возможных значений.

Системы парольной аутентификации имеют пониженную стойкость, поскольку в них выбор аутентифицирующей информации происходит из относительно небольшого множества осмысленных слов. Мощность этого множества определяется энтропией соответствующего языка.

38.4. Особенности применения пароля
для аутентификации пользователя

Каждый законный пользователь компьютерной системы получает идентификатор и/или пароль. В начале сеанса работы пользователь предъявляет свой идентификатор системе, которая затем запрашивает у пользователя пароль. Простейший метод подтверждения подлинности с использованием пароля основан на сравнении представляемого пользователем пароля P_A с исходным значением P_A', хранящимся в компьютерном центре.

Поскольку пароль должен храниться в тайне, он должен шифроваться перед пересылкой по незащищенному каналу. Если значения P_A и P_A' совпадают, то пароль P_A считается подлинным, а пользователь – законным.

Если кто-нибудь, не имеющий полномочий для входа в систему, узнает каким-либо образом пароль и идентификационный номер законного пользователя, он получает доступ в систему.

Иногда получатель не должен раскрывать исходную открытую форму пароля.
В этом случае отправитель должен пересылать вместо открытой формы пароля отображение пароля, получаемое с использованием односторонней функции a (×) пароля. Это преобразование должно гарантировать невозможность раскрытия противником пароля по его отображению, так как противник наталкивается на неразрешимую числовую задачу.

Например, функция a (×) может быть определена следующим образом:

a (Р) = E_Р (ID),

где Р – пароль отправителя,

ID – идентификатор отправителя,

E_Р – процедура шифрования, выполняемая с использованием пароля Р в качестве ключа.

Такие функции особенно удобны, если длина пароля и ключа одинаковы. В этом случае подтверждение подлинности с помощью пароля состоит из пересылки получателю отображения a(Р) и сравнения его с предварительно вычисленным и хранимым эквивалентом a' (Р).

На практике пароли состоят только из нескольких букв, чтобы дать возможность пользователям запомнить их. Короткие пароли уязвимы к атаке полного перебора всех вариантов. Для того, чтобы предотвратить такую атаку, функцию a(Р) определяют иначе, а именно:

a (Р) = E _{Р Å К} (ID),

где K и ID – соответственно ключ и идентификатор отправителя.

Очевидно, значение a (Р) вычисляется заранее и хранится в виде a' (Р) в идентификационной таблице у получателя (см. следующий рис.). Подтверждение подлинности состоит из сравнения двух отображений пароля a (Р_А) и a' (Р_А) и признания пароля Р_А, если эти отображения равны. Конечно, любой, кто получит доступ к идентификационной таблице, может незаконно изменить ее содержимое, не опасаясь, что эти действия будут обнаружены.