Обмен зашифрованными ключами

Обмен зашифрованными ключами (Шаблон:Lang-en) — протокол, разработанный Стивом Белловином и Майклом Мерритом^[1]. EKE работает при условии, что у пользователей до начала работы протокола есть общий секрет. Протокол позволяет формировать сеансовый ключ для установления защищенного соединения. Для каждого сеанса генерируется новый сессионный ключ.

Данный протокол использует симметричное и асимметричное шифрование. В каждой сессии протокола генерируется случайным образом открытый ключ и шифруется на имеющимся у сторон секретном ключе. Использование двух видов шифрования - главная особенность данного протокола. В качестве общего секрета в схеме может выступать пароль, что делает данный протокол удобным при использовании в системах, где общий секрет является паролем.

Алиса и Боб обладают общим секретом P. Используя протокол EKE у них есть возможность генерировать общий сеансовый ключ K.

1. Алиса генерирует случайную пару открытый-закрытый ключ, шифрует симметричным шифрованием открытый ключ K' с использованием общего секрета P в качестве ключа. Посылает Боб.
   • ${\displaystyle Alice\to \{A,E_P(K^{\prime })\}\to Bob}$
2. Боб, зная общий секрет, расшифровывает сообщение и получает ключ K'. Далее - случайным образом генерирует сеансовый ключ k, шифрует его открытым ключом K' и общим секретом P. Посылает Алиса.
   • ${\displaystyle Bob\to \{E_P(E_{K^{\prime }}(k))\}\to Alice}$
3. Алиса получает общий сеансовый ключ k, расшифровывая сообщение. Генерирует случайную строку ${\displaystyle R_A}$, шифрует её на k. Посылает Боб.
   • ${\displaystyle Alice\to \{E_k(R_A)\}\to Bob}$
4. Боб получает строку Алисы, расшифровывая сообщение. Далее - генерирует свою случайную строку ${\displaystyle R_B}$. Общим сеансовым ключом шифрует обе строки, передает зашифрованные строки Алисе.
   • ${\displaystyle Bob\to \{E_k(R_A,R_B)\}\to Alice}$
5. Алиса получает ${\displaystyle R_A}$ и ${\displaystyle R_B}$, расшифровывая сообщение. Значение ${\displaystyle R_A}$,полученное от Боба, сравнивается с тем, что было выбрано в пункте (3). Если значения совпадают, то Алиса шифрует ${\displaystyle R_B}$ на ключе и посылает Бобу.
   • ${\displaystyle Alice\to \{E_k(R_B)\}\to Bob}$
6. Боб получает ${\displaystyle R_B}$, расшифровывая сообщение. Значение ${\displaystyle R_B}$,полученное от Алисы, сравнивается с тем, что было выбрано в пункте (4). Если значения совпадают, то работа протокола завершена - участники могут обмениваться сообщениями используя при их шифровании ключ k.

В результате работы протокола пассивный криптоаналитик Ева может получить доступ только к ${\displaystyle E_P(K^{\prime })}$ и ${\displaystyle E_P(E_{K^{\prime }}(k))}$, а также к сообщениям, зашифрованным на общем сессионном ключе k. Так как в алгоритме используется схема асимметричного шифрования и ключи K' и k выбираются случайно, Ева не сможет подобрать P. Таким образом общий секрет P может быть простым паролем, который в состоянии запомнить человек.

Этапы 3-6 обеспечивают подтверждение. На этапах 3-5 Алиса удостоверяется, что Боб знает общий сеансовый ключ. На этапах 4-6 Боб удостоверяется, что Алиса знает общий сеансовый ключ. Эта же задача решается в протоколе Kerberos посредством обмена метками времени.

При реализации данного протокола возможно использование многих алгоритмов с открытыми ключами, но также надо учитывать, что ограничения методов шифрования на ключи могут дать взломщику дополнительные возможности для проведения атак. Использование случайных последовательностей в данном протоколе сделает атаку "брут-форсом" невозможной.

При использовании схемы Эль-Гамаля^[2] возможно упрощение основного протокола.

Значения g - порождающий элемент группы и p - модуль, по которому производятся вычисления, выбираются для всех пользователей протокола. Также в соответствии с протоколом EKE у пользователей есть общий секрет r. Тогда ${\displaystyle g^{r}mod(p)}$ - открытый ключ.

1. В данном алгоритме открытый ключ не надо шифровать на общем секрете P. Для общего случая такой подход не работает. На первом шаге протокола Алиса посылает Бобу:
   • ${\displaystyle Alice\to \{A,g^{r}mod(p)\}\to Bob}$
2. Для алгоритма Эль-Гамаля Боб выбирает случайное число R. Тогда на данном этапе Боб посылает данное сообщение:
   • ${\displaystyle Bob\to \{E_P(g^{R}mod(p),k{g}^{rR}mod(p))\}\to Alice}$

При реализации EKE с использованием протокола Диффи — Хеллмана^[4] ключ K генерируется автоматически участниками работы протокола во время его исполнения.

При использовании протокола DH-EKE решается уязвимость базового протокола Диффи-Хеллмана к атаке человек посередине(MITM). Если криптоаналитик не знает общий секрет пользователей, то он не сможет^[3] подобрать ключ, потому что шифруются случайные значения.

Значения g - порождающий элемент группы и n - модуль, по которому производятся вычисления, выбираются для всех пользователей протокола. В соответствии с протоколом EKE у пользователей есть общий секрет P.

1. Алиса случайно выбирает ${\displaystyle r_A}$, посылает его Бобу. При этом нет необходимости, чтобы Алиса шифровала первое сообщение на общем секрете P.
   • ${\displaystyle Alice\to \{A,g^{r_A}mod(n)\}\to Bob}$
2. Боб случайно выбирает ${\displaystyle r_B}$, вычисляет K, генерирует случайную строку ${\displaystyle R_B}$, шифрует её на ключе K. Далее - вычисляет ${\displaystyle g^{r_B}mod(n)}$, шифрует его на общем секрете P. Передает Алисе.
   • ${\displaystyle K=g^{r_A*r_B}mod(n)}$
   • ${\displaystyle Bob\to \{E_P(g^{r_B}mod(n)),E_K(R_B)\}\to Alice}$
3. Алиса получает ${\displaystyle g^{r_B}mod(n)}$, расшифровывая первую часть сообщения с использованием общего секрета P. Далее - вычисляет K, расшифровывает полученным ключом вторую часть сообщения Боба. Генерирует случайную строку ${\displaystyle R_A}$, шифрует полученные строки на ключе K и посылает Бобу.
   • ${\displaystyle Alice\to \{E_K(R_A,R_B)\}\to Bob}$
4. Боб получает ${\displaystyle R_A}$ и ${\displaystyle R_B}$, расшифровывая сообщение. Значение ${\displaystyle R_B}$,полученное от Алисы, сравнивается с тем, что было выбрано в пункте (3). Если значения совпадают, то Боб шифрует ${\displaystyle R_A}$ на ключе K и посылает Алисе.
   • ${\displaystyle Bob\to \{E_K(R_A)\}\to Alice}$
5. Алиса получает ${\displaystyle R_A}$, расшифровывая сообщение. Значение ${\displaystyle R_A}$,полученное от Боба, сравнивается с тем, что было выбрано в пункте (4). Если значения совпадают, то работа протокола завершена - участники могут обмениваться сообщениями используя при их шифровании ключ K.

Стивом Белловином и Майклом Мерритом в работе^[1] было предложено усиление части протокола запрос-ответ. Данное усиление позволяет^[3] избежать компрометации данных при условии, что у криптоаналитика есть значение прошлого общего сеансового ключа k.

• На шаге 3 Алиса генерирует случайное число ${\displaystyle S_A}$. Посылает Бобу:
  • ${\displaystyle Alice\to \{E_k(R_A,S_A)\}\to Bob}$

• На шаге 4 Боб генерирует случайное число ${\displaystyle S_B}$ и посылает Алисе:
  • ${\displaystyle Bob\to \{E_k(R_A,R_B,S_B)\}\to Alice}$

При такой работе протокола Алиса и Боб могут вычислить общий сеансовый ключ -- ${\displaystyle S=S_A\oplus S_B}$. В дальнейшем этот ключ используется для установления защищенного соединения, ключ k используется как ключ обмена ключами.

Допустим, что Ева получила доступ к значению S, но при этом работа протокола построена так, что это не даст Еве никакой информации об общем секрете P. К тому же, так как на ключе K шифруются только случайные данные, то криптографические подходы для его восстановлению неприменимы.

Шаблон:Примечания

Шаблон:Криптосистемы с открытым ключом