Yahalom

Шаблон:Значения

Криптографические обозначения, используемые в протоколах проверки подлинности и обмена ключами

${\displaystyle A}$	Идентификаторы Алисы (Alice), инициатора сессии
${\displaystyle B}$	Идентификатор Боба (Bob), стороны, с которой устанавливается сессия
${\displaystyle T}$	Идентификатор Трента (Trent), доверенной промежуточной стороны
${\displaystyle K_A,K_B,K_T}$	Открытые ключи Алисы, Боба и Трента
${\displaystyle K_A^{-1},K_B^{-1},K_T^{-1}}$	Секретные ключи Алисы, Боба и Трента
${\displaystyle E_A,{\{...\}}_{K_A}}$	Шифрование данных ключом Алисы, либо совместным ключом Алисы и Трента
${\displaystyle E_B,{\{...\}}_{K_B}}$	Шифрование данных ключом Боба, либо совместным ключом Боба и Трента
${\displaystyle {\{...\}}_{K_B^{-1}},{\{...\}}_{K_A^{-1}}}$	Шифрование данных секретными ключами Алисы, Боба (цифровая подпись)
${\displaystyle I}$	Порядковый номер сессии (для предотвращения атаки с повтором)
${\displaystyle K}$	Случайный сеансовый ключ, который будет использоваться для симметричного шифрования данных
${\displaystyle E_K,{\{...\}}_K}$	Шифрование данных временным сеансовым ключом
${\displaystyle T_A,T_B}$	Метки времени, добавляемые в сообщения Алисой и Бобом соответственно
${\displaystyle R_A,R_B}$	Случайные числа (nonce), которые были выбраны Алисой и Бобом соответственно

Yahalom — симметричный протокол распределения ключей с доверенным сервером. Протокол Yahalom можно рассматривать как улучшенную версию протокола Wide-Mouth Frog. Данный протокол «перекладывает» генерацию нового сессионного ключа на сторону доверенного центра, а также использует случайные числа для защиты от атак повторомШаблон:Sfn.

При симметричном шифровании, предполагается, что секретный ключ, который принадлежит клиенту, известен только ему и некоторой третьей доверенной стороне — серверу аутентификации. В процессе сеанса протокола клиенты Алиса и Боб получают от сервера аутентификации Трента новый секретный сессионный ключ для шифрования взаимных сообщений в текущем сеансе связи. Реализация протоколаШаблон:Sfn:

$(1)Alice\to \{A,R_A\}\to Bob$

$(2)Bob\to \{B,E_B(A,R_A,R_B)\}\to Trent$

$(3)Trent\to \{E_A(B,K,R_A,R_B),E_B(A,K)\}\to Alice$

$(4)Alice\to \{E_B(A,K),E_K(R_B)\}\to Bob$

Первым сообщение Алиса инициирует сеанс, пересылая Бобу свой идентификатор ${\displaystyle A}$ и некоторое случайное число ${\displaystyle R_A}$:

${\displaystyle (1)Alice\to \{A,R_A\}\to Bob}$

Получив сообщение от Алисы, Боб объединяет идентификатор Алисы ${\displaystyle A}$, случайное число Алисы ${\displaystyle R_A}$ и своё случайное число ${\displaystyle R_B}$ и шифрует созданное сообщение общим с Трентом ключом. После добавления к этому сообщению своего идентификатора ${\displaystyle B}$ Боб отправляет полученное сообщение Тренту:

${\displaystyle (2)Bob\to \{B,E_B(A,R_A,R_B)\}\to Trent}$

Трент расшифровывает сообщение сообщение Боба и создаёт два сообщения. Первое сообщение включает в себя идентификатор Боба ${\displaystyle B}$, сгенерированный Трентом сессионный ключ ${\displaystyle K}$, случайное число Алисы ${\displaystyle R_A}$ и случайное число Боба ${\displaystyle R_B}$. Данное сообщение шифруется общим с Алисой ключом. Первое сообщение имеет вид:

${\displaystyle \{E_A(B,K,R_A,R_B)\}}$

Второе сообщение шифруется общим ключом для Трента и Боба и включает в себя идентификатор Алисы　${\displaystyle A}$ и сгенерированный Трентом сессионный ключ　${\displaystyle K}$. Второе сообщение имеет вид:

${\displaystyle \{E_B(A,K)\}}$

Трент пересылает Алисе оба созданные сообщения:

${\displaystyle (3)Trent\to \{E_A(B,K,R_A,R_B),E_B(A,K)\}\to Alice}$

Алиса получает два сообщения от Трента и расшифровывает первое из них. Расшифровав сообщение, Алиса извлекает сессионный ключ ${\displaystyle K}$ и убеждается, что случайное число переданное Трентом ${\displaystyle R_A}$ совпадает со случайном числом переданным Бобу на первом этапе　. После этого Алиса отправляет два сообщения Бобу. Первое сообщение является полученное от Трента сообщением, зашифрованным общим ключом для Трента и Боба. Данное сообщение состоит из идентификатора Алисы ${\displaystyle A}$ и сессионного ключа ${\displaystyle K}$:

${\displaystyle \{E_B(A,K)\}}$

Второе сообщение является зашифрованным с помощью сгенерированного Трентом сессионного ключа　случайное число Боба ${\displaystyle R_B}$:

${\displaystyle \{E_K(R_B)\}}$

Оба сообщения Алиса отправляет Бобу:

${\displaystyle (4)Alice\to \{E_B(A,K),E_K(R_B)\}\to Bob}$

Боб расшифровывает первое сообщение и извлекает сессионный ключ ${\displaystyle K}$. С помощью извлечённого сессионного ключа Боб расшифровывает второе сообщение и получает случайное число ${\displaystyle R_B}$. Боб сверяет полученное от Алисы число со случайным числом отправленным на втором этапе.　После описанных действий стороны могут использовать новый сессионный ключ ${\displaystyle K}$Шаблон:Sfn}.

Протокол Yahalom помимо генерации сессионного ключа обеспечивает аутентификацию сторон:

• Аутентификация Алисы перед Бобом происходит на четвёртом этапе ${\displaystyle (4)}$, когда Боб может проверить возможность Алисы зашифровать известные только ей и Тренту случайное число ${\displaystyle R_A}$ на ключе ${\displaystyle K}$.

• Аутентификация Боба перед Алисой происходи на третьем этапе ${\displaystyle (3)}$, когда Трент показывает Алисе, что он получил случайное число ${\displaystyle R_A}$ именно от Боба (поскольку в сообщении присутствует идентификатор Боба ${\displaystyle B}$)Шаблон:Sfn.

В результате протокола Yahalom Алиса и Боб убеждены, что общаются друг с другом, а не с неизвестной третьей стороной. В отличие от протокола Wide-Mouth Frog стороны имеют возможность убедиться, что промежуточный сервер генерирует общий секретный ключ именно для них двоих, а не для какой-то третьей стороны (хотя от полной компрометации доверенной стороны этот протокол не защищает)Шаблон:Sfn.

Протокол Yahalom имеет ряд уязвимостей, которыми могут воспользоваться злоумышленники.

• В рамках протокола Боб никак не продемонстрировал, что он успешно получил новый сессионный ключ ${\displaystyle K}$ и может им пользоваться. Сообщение от Алисы на четвёртом этапе ${\displaystyle (4)}$ могло быть перехвачено или изменено злоумышленниками. Но никакого ответа Алиса от Боба уже не ожидает и уверена, что протокол завершился успешно.

• На третьем этапе ${\displaystyle (3)}$ Трент не включает случайное число ${\displaystyle R_B}$ в сообщение ${\displaystyle \{E_B(A,K)\}}$, что позволяет Алисе заставить Боба принять старый сессионный ключШаблон:Sfn. При этом протокол будет выглядеть следующем образом:

${\displaystyle (1)Alice\to \{A,R_A\}\to Bob}$

${\displaystyle (2)Bob\to \{B,E_B(A,R_A,R_B)\}\to Trent}$

Трент генерирует новый сессионный ключ ${\displaystyle K}$

${\displaystyle (3)Trent\to \{E_A(B,K,R_A,R_B),E_B(A,K)\}\to Alice}$

Алиса использует старый сессионный ключ ${\displaystyle K^{*}}$ и отправляет сообщение

${\displaystyle E_B(A,K^{*})}$ из старого сеанса протокола${\displaystyle (4)Alice\to \{E_B(A,K^{*}),E_K(R_B)\}\to Bob}$

В статье 1989 году Берроуз (англ. Michael Burrows), Абади (англ. Martin Abadi), Нидхэм (англ. Roger Needham) предложили свой вариант протокола Yahalom:

${\displaystyle (1)Alice\to \{A,R_A\}\to Bob}$

${\displaystyle (2)Bob\to \{B,R_B,E_B(A,R_A)\}\to Trent}$

${\displaystyle (3)Trent\to \{R_B,E_A(B,K,R_A),E_B(A,K,R_B)\}\to Alice}$

${\displaystyle (4)Alice\to \{E_B(A,K,R_B),E_K(R_B)\}\to Bob}$

В данном варианте протокола нет необходимости использовать несертифицированный ключ, поскольку своевременность последнего сообщения гарантируется случайным числом ${\displaystyle R_B}$. Исчезает необходимость шифрования случайного числа Боба ${\displaystyle R_B}$ на втором этапе ${\displaystyle (2)}$ и в первом сообщении третьего этапа ${\displaystyle (3)}$. В результате получается тот же результат, но с меньшим количеством шифрованияШаблон:Sfn.

Шаблон:Примечания

• Шаблон:Cite web
• Шаблон:Книга
• Шаблон:Статья
• Шаблон:Статья

Шаблон:Протоколы аутентификации и обмена ключами