DASS (протокол)

Криптографические обозначения, используемые в протоколах проверки подлинности и обмена ключами
A	Идентификаторы Алисы (Alice), инициатора сессии
B	Идентификатор Боба (Bob), стороны, с которой устанавливается сессия
T	Идентификатор Трента (Trent), доверенной промежуточной стороны
KA,KB,KT	Открытые ключи Алисы, Боба и Трента
KA−1,KB−1,KT−1	Секретные ключи Алисы, Боба и Трента
EA,{...}KA	Шифрование данных ключом Алисы, либо совместным ключом Алисы и Трента
EB,{...}KB	Шифрование данных ключом Боба, либо совместным ключом Боба и Трента
{...}KB−1,{...}KA−1	Шифрование данных секретными ключами Алисы, Боба (цифровая подпись)
I	Порядковый номер сессии (для предотвращения атаки с повтором)
K	Случайный сеансовый ключ, который будет использоваться для симметричного шифрования данных
EK,{...}K	Шифрование данных временным сеансовым ключом
TA,TB	Метки времени, добавляемые в сообщения Алисой и Бобом соответственно
RA,RB	Случайные числа (nonce), которые были выбраны Алисой и Бобом соответственно
KA,KB,KT	Заранее созданные пары открытых и закрытых ключей Алисы, Боба и Трента соответственно
Kp	Случайная сеансовая пара открытого и закрытого ключей, которая будет использоваться для асимметричного шифрования
SA,SB,ST,SKp	Подписывание данных с использованием закрытого ключа Алисы, Боба, промежуточной стороны (Trent) или закрытого ключа из случайной пары соответственно
EKA,EKB,EKT,EKp	Асимметричное шифрование данных с использованием открытого ключа Алисы, Боба, промежуточной стороны (Trent) или открытого ключа из случайной пары соответственно

Протокол DASS (Шаблон:Lang-en) — асимметричный протокол аутентификации и распределения сеансовых ключей с использованием промежуточной доверенной стороны.

Протокол DASS являлся составной частью сервиса распределённой аутентификации DASS, разработанного компанией Digital Equipment Corporation и описанного в RFC 1507^[1] в сентябре 1993 года.

В протоколе DASS, по аналогии с протоколами Wide-Mouth Frog и Деннинга — Сакко, инициатор (Алиса) генерирует и новый сеансовый ключ, и, для каждого сеанса протокола, новую пару открытого и закрытого ключей отправителя. Доверенный центр (Трент) используется как хранилище сертификатов открытых ключей участников. Но в отличие от Деннинга — Сакко к доверенному центру обращаются по очереди оба участника^[2].

Взаимодействие участников протокола DASS

Описание протокола

Алиса посылает сообщение Тренту на получение открытого ключа Боба

A l i c e \to {B} \to T r e n t

Трент присылает открытый ключ Боба, подписав его своим закрытым ключом

T r e n t \to {S_{T} (B, K_{B})} \to A l i c e

Алиса проверяет данные с помощью известного ей заранее открытого ключа Трента, после чего генерирует сеансовый ключ $K$ , сеансовую пару ключей $K_{P}$ и посылает набор сообщений Бобу, включая метку времени $T_{A}$ и срок жизни ключа $L$ , часть из них шифруя, часть подписывая:

A l i c e \to {E_{K} (T_{A}), S_{A} (L, A, K_{P}), S_{K_{P}} (E_{K_{B}} (K))} \to B o b

Боб отправляет Тренту запрос на получение открытого ключа Алисы

B o b \to {A} \to T r e n t

Трент присылает открытый ключ Алисы, подписав его своим закрытым ключом

T r e n t \to {S_{T} (A, K_{A})} \to B o b

Используя данные из сообщений Алисы и Трента, Боб проверяет подписи Алисы, извлекает открытый временный ключ $K_{P}$ , извлекает сеансовый ключ $K$ (проверяя также подпись с использованием $K_{P}$ ), и расшифровывает $T_{A}$ убеждаясь, что использует текущее сообщение, а не повтор.

При необходимости протокол может быть продолжен, обеспечивая взаимную идентификацию сторон:

B o b \to {E_{K} (T_{B})} \to A l i c e

Алиса расшифровывает метку времени и убеждается, что получила текущее сообщение^[3].

Альтернативное описание протокола

Описание протокола происходит по принципу APTC, который устраняет различия в структурах системы перехода, структуре событий и т. д. и рассматривает их поведенческие эквиваленты. Он считает, что существует два вида причинно-следственных связей: хронологический порядок, смоделированный последовательной композицией, и причинно-следственный порядок между различными параллельными ветвями, смоделированный коммуникационным слиянием. Он также считает, что существуют два вида конфликтных отношений: структурный конфликт, моделируемый альтернативной позицией, и конфликты в разных параллельных ветвях, которые должны быть устранены. Основывающийся при консервативном расширении в IPTC есть четыре модуля: BATC (Базовая алгебра для истинного Параллелизм), APTC (Алгебра для параллелизма в истинном параллелизме), рекурсия и абстракция. Подробнее …^[4]

Уязвимости протокола DASS

В протоколе используется время жизни (𝐿) сеансового ключа 𝐾𝑃, однако в сообщение не включена метка времени. В результате протокол остаётся уязвимым для атаки с известным сеансовым ключом (KN). Предположим, что Меллори смогла записать полностью прошедший сеанс связи между Алисой и Бобом, а потом смогла получить доступ к сеансовому ключу 𝐾. Это позволяет Меллори аутентифицировать себя как Алиса перед Бобом.

(1) 𝑀𝑒𝑙𝑙𝑜𝑟𝑦 (𝐴𝑙𝑖𝑐𝑒) → {𝐸𝐾 (𝑇𝑀) , 𝑆𝐴 (𝐿, 𝐴, 𝐾𝑃) , 𝑆𝐾𝑃 (𝐸𝐵 (𝐾))} →𝐵𝑜𝑏

(2) 𝐵𝑜𝑏 → {𝐴} → 𝑇𝑟𝑒𝑛𝑡

(3) 𝑇𝑟𝑒𝑛𝑡 → {𝑆𝑇 (𝐴, 𝐾𝐴)} → 𝐵𝑜𝑏

(4) 𝐵𝑜𝑏 → {𝐸𝐾 {𝑇𝐵}} → 𝑀𝑒𝑙𝑙𝑜𝑟𝑦 (𝐴𝑙𝑖𝑐𝑒)

На первом проходе Меллори меняет только первое сообщение, содержащее метку времени 𝐸𝐾 (𝑇𝑀). Всё остальное Меллори копирует из записанного сеанса связи. Если Боб не записывает используемые ключи, он не заметит подмены. Простейшее исправление данной уязвимости состоит во включении метки времени в сообщение 𝑆𝐴 (𝑇𝐴, 𝐿, 𝐴, 𝐾𝑃).

Так как в протоколе сеансовый ключ 𝐾 шифруется «мастер»-ключом Боба 𝐾𝐵, то компрометация последнего приведёт к компрометации всех использованных ранее сеансовых ключей. То есть протокол не обеспечивает совершенной прямой секретности (цельG9). Ни Трент, ни Боб не участвуют в формировании новых сеансовых ключей. Поэтому Алиса может заставить Боба использовать старый сеансовый ключ, как в протоколах Wide-Mouth Frog и Yahalom^[2].

Примечания

Шаблон:Примечания

Литература

Шаблон:Книга:Прикладная криптография

Шаблон:Протоколы аутентификации и обмена ключами

[:0-1] Шаблон:Cite web

[:1-2] 2,0 ^2,1 Шаблон:Книга

[3] Шаблон:Книга

[4] Шаблон:Книга

[1]

[2]

[3]

[4]

$A$	Идентификаторы Алисы (Alice), инициатора сессии
$B$	Идентификатор Боба (Bob), стороны, с которой устанавливается сессия
$T$	Идентификатор Трента (Trent), доверенной промежуточной стороны
$K_{A}, K_{B}, K_{T}$	Открытые ключи Алисы, Боба и Трента
$K_{A}^{- 1}, K_{B}^{- 1}, K_{T}^{- 1}$	Секретные ключи Алисы, Боба и Трента
$E_{A}, {. . .}_{K_{A}}$	Шифрование данных ключом Алисы, либо совместным ключом Алисы и Трента
$E_{B}, {. . .}_{K_{B}}$	Шифрование данных ключом Боба, либо совместным ключом Боба и Трента
${. . .}_{K_{B}^{- 1}}, {. . .}_{K_{A}^{- 1}}$	Шифрование данных секретными ключами Алисы, Боба (цифровая подпись)
$I$	Порядковый номер сессии (для предотвращения атаки с повтором)
$K$	Случайный сеансовый ключ, который будет использоваться для симметричного шифрования данных
$E_{K}, {. . .}_{K}$	Шифрование данных временным сеансовым ключом
$T_{A}, T_{B}$	Метки времени, добавляемые в сообщения Алисой и Бобом соответственно
$R_{A}, R_{B}$	Случайные числа (nonce), которые были выбраны Алисой и Бобом соответственно
$K_{A}, K_{B}, K_{T}$	Заранее созданные пары открытых и закрытых ключей Алисы, Боба и Трента соответственно
$K_{p}$	Случайная сеансовая пара открытого и закрытого ключей, которая будет использоваться для асимметричного шифрования
$S_{A}, S_{B},$ $S_{T}, S_{K_{p}}$	Подписывание данных с использованием закрытого ключа Алисы, Боба, промежуточной стороны (Trent) или закрытого ключа из случайной пары соответственно
$E_{K_{A}}, E_{K_{B}},$ $E_{K_{T}}, E_{K_{p}}$	Асимметричное шифрование данных с использованием открытого ключа Алисы, Боба, промежуточной стороны (Trent) или открытого ключа из случайной пары соответственно

DASS (протокол)

Содержание

Описание протокола

Альтернативное описание протокола

Уязвимости протокола DASS

Примечания

Литература

Навигация

DASS (протокол)

Описание протокола

Альтернативное описание протокола

Уязвимости протокола DASS

Примечания

Литература

Навигация

Поиск