В криптографии , протокол совместной выработки ключа ( англ. Key-agreement protocol ) — метод установления секретного ключа шифрования, в котором каждый авторизированный пользователь канала влияет на его значение.

Для конфиденциального общения между пользователями необходимы секретные ключи шифрования и дешифрования сообщений. Протоколами обмена ключом называют алгоритмы, которые осуществляют защищенный обмен ключом шифрования. Протоколы обмена ключами делятся на два типа : протоколы передачи ключа и протоколы совместной выработки ключа . В протоколах передачи ключа используется симметричное шифрование , один из пользователей канала (сервер) генерирует ключ и передаёт его остальным участникам. Для этого необходим защищенный канал. Протоколы совместной выработки ключа используют асимметричное шифрование . Они организованы так, что открытый ключ передается по незащищенному каналу и используется для шифрования сообщений. Для дешифрования сообщений используется секретный ключ.

Появление протокола

Недостатком симметричных криптосистем является сложность передачи ключа. Необходим защищенный канал, по которому осуществится начальный обмен ключом. Если две стороны не могут установить безопасный начальный обмен, существует риск перехвата сообщений третьей стороной. Протокол совместной выработки ключа создавался для решения этой проблемы , что привело к появлению криптографии с открытым ключом .

Первый протокол совместной выработки ключа был описан в работе «Новые направления в современной криптографии» Уитфилда Диффи и Мартина Хеллмана , опубликованной в 1976 году . Они предложили алгоритм получения секретных ключей, при помощи распространения открытых ключей через незащищенный канал / В основе этого метода лежит экспоненциальный обмен ключами, известный как обмен ключами Диффи — Хеллмана . Экспоненциальный обмен ключами не требует предварительных соглашений между участниками, но в результате такого обмена каждая из сторон обладает секретным ключом.

Подход к созданию

После разработки Уитфилдом Диффи и Мартином Хеллманом алгоритма обмена ключами, появились и другие протоколы совместной выработки ключа . Их появление обосновано, например, желанием сократить объем вычислений, используя математические операции, отличные от возведения в степень . Можно выделить общий подход к созданию протоколов совместной выработки ключа .

Для начала, в криптографии с асимметричным шифрованием значение открытого ключа пользователя известно всем пользователям канала (и возможно стороннему наблюдателю), значение секретного ключа пользователя известно только самому пользователю и никому больше. Тогда любой протокол совместной выработки ключа должен обладать следующими свойствами :

• По значению секретного ключа пользователя, открытый ключ этого пользователя в терминах теории сложности вычислений должен считаться легко .
• По значению открытого ключа пользователя, секретный ключ этого пользователя в терминах теории сложности вычислений должен находиться трудно .

Главным инструментом математического аппарата, который лежит в основе создания протоколов совместной выработки ключа , являются односторонние функции . Они из определения удовлетворяют свойствам , которые требует протокол, в том случае, если аргументом такой функции является секретный ключ , а выходным значением открытый ключ . Далее будут приведены задачи, основанные на односторонней сложности вычислений, и протоколы, в основе которых они лежат.

Задача дискретного логарифмирования

Односторонняя функция : возведение в степень по модулю большого простого числа ${\displaystyle \leftrightarrow }$ дискретное логарифмирование .

Пусть заданны некоторые натуральные числа ${\displaystyle g}$ и ${\displaystyle a}$ . Решение ${\displaystyle x}$ уравнения ${\displaystyle g^{x}=a}$ в некоторой конечной мультипликативной группе ${\displaystyle G}$ называется дискретным логарифмом элемента ${\displaystyle a}$ по основанию ${\displaystyle g}$ .

• Пусть известны ${\displaystyle g}$ и ${\displaystyle x}$ и необходимо посчитать ${\displaystyle g^{x}}$ в кольце вычетов по модулю ${\displaystyle m}$ . Значение ${\displaystyle a}$ по заданным ${\displaystyle g}$ и ${\displaystyle x}$ в терминах теории сложности вычислений считается легко .

• Пусть теперь известны ${\displaystyle g}$ и ${\displaystyle a}$ . Получение дискретного логарифма ${\displaystyle x}$ — значительно более трудоемкая задача и если числа ${\displaystyle x}$ и ${\displaystyle m}$ выбраны достаточно большие, то практически неразрешима за разумное время. Таким образом, ${\displaystyle x}$ в терминах теории сложности вычислений находится трудно .

На задаче дискретного логарифмирования основан протокол Диффи-Хеллмана , где ${\displaystyle x}$ — это секретный сеансовый ключ пользователя, ${\displaystyle a}$ — открытый ключ пользователя, ${\displaystyle g}$ — генератор .

Задача факторизации

Односторонняя функция : умножение ${\displaystyle \leftrightarrow }$ факторизация .

Пусть задано некоторое натуральное число ${\displaystyle n}$ , факторизацией называется процесс разложения ${\displaystyle n}$ в произведение простых множителей. Существование и единственность (с точностью до порядка следования множителей) такого разложения следует из основной теоремы арифметики

• Пусть известны два больших простых числа ${\displaystyle p}$ и ${\displaystyle q}$ . Результат их произведения ${\displaystyle n=p\cdot q}$ в терминах теории сложности вычислений считается легко .

• Пусть известно большое натуральное число ${\displaystyle n}$ , которое является произведением некоторых больших простых чисел ${\displaystyle p}$ и ${\displaystyle q}$ . Факторизация ${\displaystyle n}$ в терминах теории сложности вычислений осуществляется трудно .

Примером криптосистемы, использующей эту идею, является RSA . Два больших простых числа ${\displaystyle p}$ и ${\displaystyle q}$ являются секретными ключами пользователей, ${\displaystyle n=p\cdot q}$ — открытым ключом .

Задача дискретного логарифмирования на эллиптической кривой

Односторонняя функция : умножение натурального числа на точку эллиптической кривой ${\displaystyle \leftrightarrow }$ дискретное логарифмирование на эллиптической кривой .

Рассмотрим выражение ${\displaystyle Q=k\cdot P\mod p}$ , где ${\displaystyle Q}$ и ${\displaystyle P}$ — точки эллиптической кривой .

• Пусть известны ${\displaystyle k}$ , ${\displaystyle P}$ и ${\displaystyle p}$ . Результат ${\displaystyle Q}$ операции ${\displaystyle k\cdot P\mod p}$ в терминах теории сложности вычислений считается легко .

• Пусть известны ${\displaystyle Q}$ , ${\displaystyle P}$ и ${\displaystyle p}$ . Задача поиска ${\displaystyle k}$ в терминах теории сложности вычислений осуществляется трудно .

Примером протокола, основанного на этой задаче, может служить Протокол Диффи — Хеллмана на эллиптических кривых , в котором ${\displaystyle P}$ — заранее определенная базовая точка , ${\displaystyle p}$ некоторое большое простое значение. Различные ${\displaystyle k}$ — секретные ключи пользователей, ${\displaystyle Q}$ — открытый ключ .

Примеры

• Протокол Диффи — Хеллмана
• Протокол Диффи — Хеллмана на эллиптических кривых
• MQV
• RSA
• Kerberos
• Протокол Нидхема — Шрёдера
• Wide-Mouth Frog

Атаки на протокол

При анализе протоколов, необходимо понимать, каким типам атак они могут подвергаться. Существует два типа атак на протоколы: пассивные и активные . Безопасный протокол способен противостоять обоим видам атак .

• Пассивная атака — это атака мониторинга сети. Это самый простой вид атаки, но также и тот, от которого легче всего защититься. Все, что нужно для защиты, — это зашифровать передаваемые сообщения, и злоумышленник не получит никакой информации от мониторинга.
• Активная атака включает изменение или модификацию сообщения. Это требует больше работы, как с атакующей, так и защищающей стороны.

Под этими двумя категориями существует довольно много методов атаки .

Атака подслушиванием

Подслушивание — захват злоумышленником информации, отправляемой в протоколе. Способа предотвратить подслушивание нет, но есть возможность защитить содержимое сообщений с помощью шифрования. Это один из самых основных видов атак, и более сложные атаки могут включать в себя прослушивание. Подслушивание — вид пассивной атаки. Далее будут приведены активные атаки.

Атака модификацией

При атаке модификацией злоумышленник изменяет отправляемую информацию. Способ предотвращения такого рода атак — использование мер криптографической целостности .

Атака повтором

Атака повтором включают любую ситуацию, когда злоумышленник мешает выполнению протокола путем вставки сообщения или части сообщения, которое было отправлено ранее при любом запуске протокола. Атака повтором часто используется в сочетании с другими видами атак. Использование токенов сессии помогает избежать атак повтором.

Атака отражением

Атака отражением — способ атаковать систему, которая использует один и тот же ключ в обоих направлениях. Атака пытается обмануть цель и дать ответ на ее собственный запрос. Эта атака возможна только в том случае, если протокол допускает параллельные запуски. Чтобы предотвратить эту атаку, отправляющий может добавить свой идентификатор в ответ и отклонять ответы, в которых встречает свой идентификатор. Другим решением является требование, чтобы ключи были разными для каждого направления связи.

Атаки типа «отказ в обслуживании»

Во время DoS-атаки злоумышленники отправляют множество запросов на сервер, чтобы перегрузить его и мешать достоверным пользователям получить соединение с ним. Единственная защита состоит в том, чтобы сводить к минимуму число вычислений и количество значений, которые сервер должен хранить для каждого соединения.

Криптоанализ

Криптоанализ — получение зашифрованной информации без доступа к ключу дешифрования. В большинстве случаев такого рода атаки направлены на поиск секретного ключа.

Пересечение протоколов

Пересечение протоколов означает , что злоумышленник использует ключ известного протокола для взаимодействия с новым протоколом. Большинство долгосрочных ключей предназначены для использования только для одного протокола. Несмотря на это, некоторые ключи используются одновременно в нескольких протоколах. Чтобы предотвратить атаку такого рода, нужно использовать разные ключи для каждого протокола и включать детали протокола,например, идентификатор и номер версии в аутентифицированную часть сообщений.

Таким образом:

• Атака подслушиванием — злоумышленник перехватывает информацию, отправленную в протоколе.

• Атака модификацией — информация, передаваемая в протоколе, изменяется злоумышленником.

• Атака повтором — передача записывается, а затем повторно отправляется.

• Атака отражением — отправка того же сообщения отправителю при запуске нового протокола.

• Атаки типа «отказ в обслуживании» — злоумышленник перегружает сервер, поэтому авторизованные пользователи не могут подключиться к серверу.

• Криптоанализ — изучение методов получения смысла зашифрованной информации.

• Пересечение протоколов — использование ключа одного протокола для взаимодействия с другим протоколом.

Свойства надёжныx протоколов

• Знание ключа безопасности : запуск протокола должен привести к уникальному секретному сеансовому ключу. Если этот ключ скомпрометирован, он не должен влиять на другие сеансовые ключи.

• Совершенная прямая секретность : тот факт, что долгосрочные закрытые ключи скомпрометированы, не должен влиять на секретность ранее установленных сеансовых ключей.

• Устойчивость к компрометированию ключей : если долгосрочный закрытый ключ объекта А скомпрометирован, злоумышленник может представиться, как А. Но это не должно позволить ему выдать себя за А другим лицам.

• Устойчивость к обмену неизвестными ключами : если объект A хочет создать секретный ключ с B, не должно быть возможности, чтобы A обманом поделился ключом с объектом C.

• Управление ключами : ни один из участников обмена не должен быть в состоянии принудительно установить сеансовый ключ на конкретное значение только по своему выбору .

Аутентификация

Чтобы пользователь B при обмене информацией с А по заданному протоколу был аутентифицированным , протокол должен обладать одним из двух следующих свойств безопасности :

• Неявное (слабое) подтверждение ключа : B уверен, что A — единственный другой объект, который может знать правильный ключ.
• Явное (сильное) подтверждение ключа : B уверен, что A — единственный другой объект, который знает правильный ключ (B подтвердил, что A получил правильный ключ).

Чтобы обмен ключами в протоколе был аутентифицированным , должны быть выполнены два следующих требования :

• Взаимная аутентификация : (аутентификация двух сторон) обе стороны аутентифицируют себя таким образом, чтобы каждая из сторон была уверена в идентичности другой стороны. B уверен, что A — единственный другой объект, который может знать правильный ключ. A уверен, что B — единственный другой объект, который может знать правильный ключ.
• Защищенная связь : два взаимодействующих объекта устанавливают значения сеансовых ключей для защиты последующих передач.

Примечания

Литература

• Colin Boyd, Anish Mathuria. Protocols for Authentication and Key Establishment. — International Standard, 2003. — ISBN 978-3-662-09527-0 .
• Dent A. W. and Mitchell C. J. User’s Guide to Cryptography and Standards. — ArtechHouse Computer Security Series, 2004. — P. 215-266. — ISBN 10: 1580535305.
• Brita Vesterås. (неопр.) . Allen Institute for AI (2006).
• L. Chen, C. Kudla. (PDF, 596 kB) Identity Based Authenticated Key Agreement Protocols from Pairings] (неопр.) .
• Rivest R. , Shamir A. , Adleman L. (англ.) // Communications of the ACM — New York City: Association for Computing Machinery , 1978. — Vol. 21, Iss. 2. — P. 120—126. — ISSN ; —
• (неопр.) . RSA Laboratories (2000).