Дистанционно-ограниченные протоколы

Дистанционно-ограниченные протоколы (Шаблон:Lang-en) — криптографический протоколы аутентификации, основанные на определении расстояния между взаимодействующими лицами. Впервые протокол был разработан Стефаном Брандсом (Шаблон:Lang-en) и Дэвидом Чаумом (Шаблон:Lang-en) в 1993 годуШаблон:Sfn.

Основная идея заключается в достоверности знаний доказывающего участника («Prover»), путем проверки подлинности этих знаний проверяющим участником («Verifier») и в необходимости, что доказывающий участник находится на расстоянии от проверяющего, не более определенногоШаблон:Sfn.

Данные протоколы позволяют предотвратить такие виды криптографических атак на RFID-системы, как: атака посредника; обман, выполненный мафией; обман, выполненный террористами; мошенничество с расстояниемШаблон:Sfn.

Идея дистанционно-ограниченного протокола Брандсона-ЧаумаШаблон:Sfn основана на принципе «вызов-ответ». Пусть имеется два участника: ${\displaystyle P}$ - доказывающая сторона, которая доказывает свое знание секрета. ${\displaystyle V}$ - проверяющая сторона, которая проверяет подлинность этого секрета. Перед обменом сообщений, стороны ${\displaystyle V}$ и ${\displaystyle P}$ генерируют случайную последовательность ${\displaystyle k}$-бит, ${\displaystyle \alpha =({\alpha }_1,...,{\alpha }_k)}$ и ${\displaystyle \beta =({\beta }_1,...,{\beta }_k)}$ соответственно. Параметр ${\displaystyle k}$ является секретным параметром протокола. Данный протокол разбивается на две части:

• Сначала происходит ${\displaystyle k}$ мгновенных обменов битами - сторона ${\displaystyle P}$ после получение бита ${\displaystyle {\alpha }_i}$ от ${\displaystyle V}$ отправляет ответный бит ${\displaystyle {\beta }_i}$ незамедлительно(«low-level distance-bounding exchange»).

• После этого ${\displaystyle P}$ отправляет сообщение ${\displaystyle m={\alpha }_1|{\beta }_1|...|{\alpha }_k|{\beta }_k}$ с его секретным ключом стороне ${\displaystyle V}$. Далее проверяющая сторона ${\displaystyle V}$ с помощью протокола идентификации проверяет достоверность секрета, а также вычислить расстояние(«upper-bound distance») между участниками ${\displaystyle L=ma{x}_k(t_i)}$, где ${\displaystyle t_i}$- время между отправлением ${\displaystyle {\alpha }_i}$ бита и получением ${\displaystyle {\beta }_i}$.

Данный протокол предотвращает обман, выполненный мафией с вероятностью ${\displaystyle \frac{1}{2^k}}$.Шаблон:Sfn

При реализации протокола Брандсона-Чаума в случае когда, сторона ${\displaystyle P}$ знает через какое время придет следующий ${\displaystyle {\alpha }_i}$ бит, ответный ${\displaystyle {\beta }_i}$ бит стороне ${\displaystyle V}$ может отослать заранее, тем самым, совершив мошенничество с расстоянием между участникамиШаблон:Sfn.

Один из вариантов предотвращении данного обмана, заключается в случайном изменении времени отправления бита стороной ${\displaystyle V}$.

Другой вариант - это измененная версия протокола Брандсона-Чаума, предотвращающая сразу два вида мошенничества. Как и в основной версии, обе стороны генерируют случайную последовательность ${\displaystyle k}$-бит. При ${\displaystyle k}$ мгновенных обменов битами сторона ${\displaystyle V}$ отсылает ${\displaystyle {\alpha }_i}$ бит стороне ${\displaystyle P}$, в свою очередь, сторона ${\displaystyle P}$ отсылает бит ${\displaystyle m_i={\beta }_i\oplus {\alpha }_i}$ стороне ${\displaystyle V}$. После обмена, сторона ${\displaystyle P}$ должна отправить биты ${\displaystyle \beta =({\beta }_1,...,{\beta }_k)}$ с секретным ключом стороне ${\displaystyle V}$по защищенному протоколу. Сторона ${\displaystyle V}$ проверяет равенство ${\displaystyle {\beta }_i=m_i\oplus {\alpha }_i,\mathrm{\forall }i=\overline{1,k}}$ и после этого с помощью протокола идентификации проверяет достоверность секрета.

Недостаток протокола в том, что он не обрабатывает ошибки, связанные с потерей бита при обмене.Шаблон:Sfn

В 2005 году Герхард Ханке(Шаблон:Lang-en) и Маркус Кун(Шаблон:Lang-en)Шаблон:Sfn предложили свою версию дистанционно-ограниченного протокола, широко применяемая в RFID-системахШаблон:Sfn.

Пусть имеются две стороны: ${\displaystyle V}$ («RFID-reader») и ${\displaystyle P}$ («RFID-token»). Сторона ${\displaystyle V}$ генерирует случайным образом одноразовый ключ ${\displaystyle N_v}$ и отправляет стороне ${\displaystyle P}$. Использовав псевдослучайную функцию (MAC или криптографическую хеш-функцию) обе стороны генерируют последовательность бит: ${\displaystyle h(k,N_v)=R^0||R^1}$,где ${\displaystyle R^0=(R_1^0,...,R_n^0),R^1=(R_1^1,...,R_n^1)}$, a ${\displaystyle k}$ - секретный ключ, известный обеим сторонам.

После этого, начинается серия из ${\displaystyle n}$ мгновенных обменов битами между двумя сторонами: сгенерированное случайным образом стороной ${\displaystyle V}$ бит ${\displaystyle C_i}$(«отклик») отправляется стороне ${\displaystyle P}$, при этом, если бит ${\displaystyle C_i=0}$, то сторона ${\displaystyle P}$ отправляет в ответ бит ${\displaystyle R_i^0}$, в противном случае, бит ${\displaystyle R_i^1}$. Сторона ${\displaystyle V}$ же проверяет полученный бит на равенство со своим битом ${\displaystyle R_i^{C_i}}$, а также для каждого ${\displaystyle i}$ вычисляет расстояние ${\displaystyle d^{\prime }}$ между ${\displaystyle P}$ и ${\displaystyle V}$, и проверяет, чтобы ${\displaystyle d^{\prime }<d}$, где ${\displaystyle d^{\prime }=\frac{c*t_m}{2}}$ , ${\displaystyle t_m}$- время между обменом битами, ${\displaystyle c}$ - скорость света, ${\displaystyle d}$ - фиксированная величина.

Если сторону ${\displaystyle V}$ удовлетворяют условия, то обмен считается успешным.

Вероятность атаки выполненной мафией и обмана с расстоянием при использовании данного протокола равна ${\displaystyle {\left(\frac{3}{4}\right)}^n}$.Шаблон:Sfn

Также, на основе данного протокола, был создан протокол Ту-Пирамуту(Шаблон:Lang-en), который снижает вероятность успешной атаки до ${\displaystyle \frac{9}{16}}$ (для одного обмена битами).Шаблон:Sfn

Недостатком протокола является потеря производительности при передаче подписанного сообщения, так как из-за возможности потери битов вследствие шума, сообщение нельзя послать через канал быстрого обмена битами.Шаблон:Sfn

Для уменьшения вероятности мошенничества, на основе протокола Ханке-Куна, в 2008 году Ортиз Мунилья(Шаблон:Lang-en) и Пейнадо(Шаблон:Lang-en)Шаблон:Sfn создали свою версию дистанционно-ограниченного протокола. Главной особенностью протокола является возможность обнаружения атаки вовремя обмена битовШаблон:Sfn. Обмен битами разбивается на две категории:

• Полный отклик («full challenge») - стандартный обмен битами.
• Пустой отклик («void challenge») - никакого обмена битами не происходит.

Стороны ${\displaystyle P}$ и ${\displaystyle V}$ заранее договариваются, на какой итерации произойдет пустой отклик. Если во время пустого отклика, сторона ${\displaystyle P}$ получает бит ${\displaystyle 0}$ или ${\displaystyle 1}$, то ${\displaystyle P}$ заключает, что протокол ненадежный.

Перед началом медленной фазы стороны разделяют секрет ${\displaystyle x}$, получают секретный ключ протокола ${\displaystyle n}$ и псевдослучайную функцию ${\displaystyle H}$, выдающую случайную последовательность бит размера ${\displaystyle 4n}$, и устанавливают временной порог одиночного обмена битами ${\displaystyle \mathrm{\Delta }{t}_{max}}$.

Далее, в медленной фазе, стороны ${\displaystyle P}$ и ${\displaystyle V}$ после генерации одноразовых ключей ${\displaystyle N_p}$ и ${\displaystyle N_v}$, соответственно, обмениваются этими ключами, для вычисления ${\displaystyle H^{4n}=H(x,N_p,N_v)}$. Получившаяся последовательность ${\displaystyle 4n}$-бит разбивается на последовательность ${\displaystyle R^0=(H_1,...,H_{2n})}$ размера ${\displaystyle 2n}$ бит, ${\displaystyle R^1=(H_{2n+1},...,H_{3n})}$и ${\displaystyle R^2=(H_{3n+1},...,H_{4n})}$ по ${\displaystyle n}$ бит каждый. Бит ${\displaystyle T_i}$ устанавливает, какой отклик вовремя быстрой фазы будет пустым или полным: если ${\displaystyle H_{2i-1}{H}_{2i}=00}$, ${\displaystyle 01}$ или ${\displaystyle 10}$, то ${\displaystyle T_i=0}$ - пустой отклик, в противном случае ${\displaystyle T_i=1}$ - полный отклик, где биты ${\displaystyle H_{2i-1}{H}_{2i}\subset R_0}$.

После этого, в быстрой фазе, происходит аналогичный обмен битами, с помощью последовательностей ${\displaystyle R_1}$ и ${\displaystyle R_2}$, как и в протоколе Ханке-Куна. В конечном итоге, если сторона ${\displaystyle P}$ считает протокол надежным, то она отправляет ${\displaystyle H(x,R^1,R^2)}$ стороне ${\displaystyle V}$.

Вероятность успешной криптоатаки равна ${\displaystyle p={\left(\frac{5}{8}\right)}^n}$.Шаблон:Sfn

Недостатком протокола является сложная реализация трех (физических) состояний протокола.Шаблон:Sfn

В 2010 году Педро Перис-Лопес (Шаблон:Lang-es), Хулио Эрнандес-Кастро (Шаблон:Lang-es) и др. на основе протокола «Швейцарского-ножа» создали протокол ХитомиШаблон:Sfn. Протокол обеспечивает аутентификацию между считывателем и передатчиком и гарантирует конфиденциальностьШаблон:Sfn.

Протокол разбивается на 3 части: две медленные фазы - подготовительная и финальная; и быстрая фаза - быстрый обмен битами между считывателем ${\displaystyle R}$ (он же ${\displaystyle V}$) и передатчиком ${\displaystyle T}$ (он же ${\displaystyle P}$).

В ходе подготовительной фазы ${\displaystyle R}$ выбирает случайное число ${\displaystyle N_R}$ и отравляет его стороне ${\displaystyle T}$. После этого, ${\displaystyle T}$ генерирует 3 случайных числа ${\displaystyle N_{T_1}}$, ${\displaystyle N_{T_2}}$, ${\displaystyle N_{T_3}}$и вычисляет временные ключи ${\displaystyle k_1=F_x(N_R,N_{T_1},W)}$ и ${\displaystyle k_2=F_x(N_{T_2},N_{T_3},W^{\prime })}$, где ${\displaystyle F_x(\bullet )}$- псевдослучайная функция, зависящая от секретного ключа ${\displaystyle x}$, а ${\displaystyle W}$ и ${\displaystyle W^{\prime }}$ два постоянных параметра. Далее, постоянный секретный ключ ${\displaystyle x}$ разделяется на два регистра ${\displaystyle R^0=k_1}$ и ${\displaystyle R^1=k_2\oplus x}$. И в завершении фазы, ${\displaystyle T}$ отправляет стороне ${\displaystyle R}$ числа ${\displaystyle N_{T_1}}$, ${\displaystyle N_{T_2}}$, ${\displaystyle N_{T_3}}$.

Дальше наступает фаза из ${\displaystyle n}$ быстрых обменов битами: на ${\displaystyle i}$ итерации, ${\displaystyle R}$ генерирует случайный бит ${\displaystyle c_i}$ и отравляет ${\displaystyle T}$, зафиксировав, при этом, время ${\displaystyle t_1}$. Сторона ${\displaystyle T}$ получает бит ${\displaystyle {c_i}^{\prime }}$, который может не равняться биту ${\displaystyle c_i}$, из-за ошибок в канале связи или стороннего вмешательства. В ответ, ${\displaystyle T}$ отправляет бит ${\displaystyle r_i=R_i^{c_i}}$, и незамедлительно, после получение бита ${\displaystyle {r_i}^{\prime }}$, который не обязан равняться ${\displaystyle r_i}$, сторона ${\displaystyle R}$ фиксирует время ${\displaystyle t_2}$ и вычисляет время ${\displaystyle \mathrm{\Delta }{t}_i=t_2-t_1}$.

В финальной фазе, ${\displaystyle T}$ отправляет сообщение ${\displaystyle m=({c_1}^{\prime },...,{c_n}^{\prime },{r_1}^{\prime },...,{r_n}^{\prime })}$ и ${\displaystyle T_B=F_x(m,ID,N_R,N_{T_1},N_{T_2},N_{T_3})}$ стороне ${\displaystyle R}$, где ${\displaystyle ID}$ - уникальный идентификатор передатчика. В конечном итоге, ${\displaystyle R}$ разбивает ошибки на три типа:

• ${\displaystyle c_i\ne {c_i}^{\prime }}$
• ${\displaystyle c_i={c_i}^{\prime }}$, но ${\displaystyle r_i\ne R_i^{c_i}}$
• ${\displaystyle c_i={c_i}^{\prime }}$, но ${\displaystyle \mathrm{\Delta }{t}_i>t_{max}}$

Если суммарное количество ошибок удовлетворяет начальным условиям стороны ${\displaystyle R}$, и, в случае необходимости аутентификации, стороне ${\displaystyle T}$ удовлетворяет число ${\displaystyle T_A=F_x(N_R,k_2)}$ , полученное от ${\displaystyle R}$, то протокол является надежным для обмена.

Вероятность криптоатаки выполненной мафией или мошенничества с расстоянием ${\displaystyle p={\left(\frac{1}{2}\right)}^n}$.Шаблон:Sfn

Шаблон:Примечания

• Шаблон:Source
• Шаблон:Source
• Шаблон:Source
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья