SKEME

SKEME — криптографический протокол распространения ключей, созданный в 1996 году Хьюго Кравчиком(Шаблон:Lang-en). Он позволяет двум сторонам получить общий секретный ключ, используя незащищённый канал связи.

Протокол SKEME послужил основой для протокола IKE Шаблон:Sfn, определённого в RFC 2409.

• аутентификация собеседников — уверенность в том, кто является собеседником Шаблон:Sfn;
• perfect forward secrecy (PFS) — потеря секретных ключей не ведёт к компрометации прошлой переписки Шаблон:Sfn;
• возможность отречения — третье лицо не сможет доказать, что сообщения написаны кем-либо другому адресату Шаблон:Sfn;
• strong secrecy — злоумышленник не может детектировать изменение секретного ключа Шаблон:Sfn;
• гибкость — четыре возможных режима работы позволяют достичь компромисса между производительностью и безопасностью Шаблон:Sfn.

Для описания протокола используются следующие обозначения:

• ${\displaystyle PK{E}_A(arg)}$ — шифрование сообщения ${\displaystyle arg}$ с открытым ключом, принадлежащим стороне A;
• ${\displaystyle H(arg)}$ — вычисление криптографической хеш-функции с аргументом ${\displaystyle arg}$;
• ${\displaystyle F_K}$ — псевдослучайная функция с ключом ${\displaystyle K}$, результат вычисления которой нельзя предсказать без знания ключа;
• ${\displaystyle i{d}_A,i{d}_B}$ — идентификаторы сторон A и B соответственно;
• ${\displaystyle g,p}$ — генератор и модуль соответственно, используемые в протоколе Диффи — Хеллмана.

Во время первого этапа стороны A и B получают эфемерный ключ ${\displaystyle K_0}$, зная открытые ключи друг друга Шаблон:Sfn. Для этого они обмениваются «половинками ключа», зашифрованными открытыми ключами друг друга, а затем комбинируют «половинки» при помощи хеш-функции.

${\displaystyle A⟶B:PK{E}_B(K_A)}$ ${\displaystyle B⟶A:PK{E}_A(K_B)}$ ${\displaystyle K_0=H(K_A,K_B)}$

Значения ${\displaystyle K_A}$ и ${\displaystyle K_B}$ должны быть выбраны случайным образомШаблон:Sfn. Если сторона A следует протоколу, то она может быть уверена в том, что эфемерный ключ ${\displaystyle K_0}$ неизвестен никому, кроме B. Аналогично, сторона B может быть уверена в том, что эфемерный ключ не знает никто, кроме AШаблон:Sfn.

На втором этапе стороны используют протокол Диффи — ХеллманаШаблон:Sfn. Сторона А выбирает случайное число ${\displaystyle x}$ и вычисляет значение ${\displaystyle g^{x}modp}$. Сторона B выбирает случайное число ${\displaystyle y}$ и вычисляет значение ${\displaystyle g^{y}modp}$. После этого, стороны обмениваются вычисленными значениями.

${\displaystyle A⟶B:g^x(\mathrm{mod}p)}$ ${\displaystyle B⟶A:g^y(\mathrm{mod}p)}$

На третьем этапе происходит аутентификация ${\displaystyle g^x}$ и ${\displaystyle g^y}$, переданных во время второго этапа, с использованием эфемерного ключа ${\displaystyle K_0}$, полученного на первом этапе.

${\displaystyle A⟶B:F_{K_0}(g^y,g^x,i{d}_A,i{d}_B)}$ ${\displaystyle B⟶A:F_{K_0}(g^x,g^y,i{d}_B,i{d}_A)}$

Включение ${\displaystyle g^x}$ в первое сообщение позволяет стороне B убедиться в том, что значение ${\displaystyle g^x}$ на втором этапе было действительно передано стороной AШаблон:Sfn. Значение ${\displaystyle g^y}$ в этом же сообщении позволяет B защититься от атаки повторного воспроизведенияШаблон:Sfn.

Результатом выполнения протокола является сессионный ключ, вычисляемый как ${\displaystyle SK=H(g^{xy}modp)}$Шаблон:Sfn.

Режим SKEME без PFS предоставляет возможность обмена ключами без вычислительных затрат, необходимых для обеспечения PFS Шаблон:Sfn. Для этого на втором этапе вместо значений ${\displaystyle g^x}$ и ${\displaystyle g^y}$, стороны посылают друг другу случайные числа ${\displaystyle nonc{e}_A}$ и ${\displaystyle nonc{e}_B}$.

${\displaystyle A⟶B:nonc{e}_A}$ ${\displaystyle B⟶A:nonc{e}_B}$

Третий этап тоже модифицируется. Аргументы функции ${\displaystyle F_{K_0}}$ меняются с ${\displaystyle g^x}$ и ${\displaystyle g^y}$ на ${\displaystyle nonc{e}_A}$ и ${\displaystyle nonc{e}_B}$ соответственно.

${\displaystyle A⟶B:F_{K_0}(nonc{e}_B,nonc{e}_A,i{d}_A,i{d}_B)}$ ${\displaystyle B⟶A:F_{K_0}(nonc{e}_A,nonc{e}_B,i{d}_B,i{d}_A)}$

Данная модификация второго и третьего этапа позволяет сторонам убедиться в том, что ключ ${\displaystyle K_0}$, полученный на первом этапе, известен обеим сторонам. Шаблон:Sfn.

Результатом выполнения протокола в данном режиме является сессионный ключ, вычисляемый как ${\displaystyle SK=F_{K_0}(arg)}$, где ${\displaystyle arg=F_{K_0}(nonc{e}_B,nonc{e}_A,i{d}_A,i{d}_B)}$ Шаблон:Sfn.

В данном режиме предполагается, что сторонам уже известен секретный ключ (например, ключ задан вручную), и они используют этот ключ для того, чтобы получить новый сессионный ключ Шаблон:Sfn. В этом режиме первый этап можно пропустить и использовать секретный ключ вместо ${\displaystyle K_0}$. В этом режиме обеспечивается perfect forward secrecy Шаблон:Sfn.

Сессионный ключ в данном режиме вычисляется так же, как в базовом Шаблон:Sfn.

Fast Re-Key — самый быстрый режим протокола SKEME Шаблон:Sfn. Этот режим позволяет часто обновлять ключ без вычислительных затрат на асимметричное шифрование и на использование протокола Диффи — Хеллмана Шаблон:Sfn.

В этом режиме предполагается, что ключ ${\displaystyle K_0}$ известен сторонам с предыдущего раунда протокола. Первый этап пропускается, а второй и третий этап, а также вычисление сессионного ключа выполняются так же, как в режиме SKEME без PFS Шаблон:Sfn.

Шаблон:Примечания

• Шаблон:СтатьяШаблон:Недоступная ссылка

• Шаблон:Статья

• Шаблон:Книга

• Шаблон:Статья

• Шаблон:Статья

• Шаблон:Статья