Использование симметричного шифрования

Для обеспечения аутентификации и распределения ключа сессии часто используется двухуровневая иерархия ключей симметричного шифрования. В общих чертах эта стратегия включает использование доверенного центра распределения ключей (KDC). Каждый участник разделяет секретный ключ, называемый также мастер-ключом, с KDC. KDC отвечает за создание ключей, называемых ключами сессии, и за распределение этих ключей с использованием мастер-ключей. Ключи сессии применяются в течение короткого времени для шифрования только данной сессии между двумя участниками.

Большинство алгоритмов распределения секретного ключа с использованием KDC, включает также возможность аутентификации участников.

Протокол Нидхэма и Шредера

Предполагается, что секретные мастер-ключи K_A и K_B разделяют соответственно А и KDC и В и KDC. Целью протокола является безопасное распределение ключа сессии KS между А и В. Протокол представляет собой следующую последовательность шагов:

1. A -> KDC: ID_A || ID_B || N₁

2. KDC -> A: E_Ka [K_S || ID_B || N₁ ||

E_Kb [K_S || ID_A] ]

3. A -> B: E_Kb [K_S || ID_A]

4. B -> A: E_KS [N₂]

5. A -> B: E_KS [f (N₂)]

1. А запрашивает у KDC ключ сессии для установления защищенного соединения с В. Сообщение включает идентификацию А и В и уникальный идентификатор данной транзакции, который обозначен как N₁ и называется nonce. Nonce может быть временной меткой, счетчиком или случайным числом; минимальное требование состоит в том, чтобы он отличался для каждого запроса. Кроме того, для предотвращения подделки желательно, чтобы противнику было трудно предугадать nonce. Таким образом, случайное число является лучшим вариантом для nonce.
2. KDC отвечает сообщением, зашифрованным ключом K_А. Таким образом, только А может расшифровать сообщение, и А уверен, что оно получено от KDC, так как предполагается, что кроме А и KDC этот ключ не знает никто. Это сообщение включает следующие элементы, предназначенные для А:
• Одноразовый ключ сессии.
• Идентификатор В.
• nonce, который идентифицирует данную сессию.

А должен убедиться, что полученный nonce равен значению nonce из первого запроса. Это доказывает, что ответ от KDC не был модифицирован при пересылке и не является повтором некоторого предыдущего запроса. Кроме того, сообщение включает два элемента, предназначенные для В:

• Одноразовый ключ сессии K_S.
• Идентификатор А ID_A.

Эти два последних элемента шифруются мастер-ключом, который KDC разделяет с В. Они посылаются В при установлении соединения и доказывают идентификацию А.

1. А сохраняет у себя ключ сессии и передает В информацию от KDC, предназначенную В: Е_Kb [K_S || ID_A]. Так как эта информация зашифрована K_В, она защищена от просмотра. Теперь В знает ключ сессии (K_S), знает, что другим участником является А, (ID_A) и что начальная информация передана от KDC, т.к. она зашифрована с использованием K_B.

В этой точке ключ сессии безопасно передан от А к В, и они могут начать безопасный обмен. Тем не менее, существует еще два дополнительных шага:

1. Используя созданный ключ сессии, В пересылает A nonce N₂.
2. Также используя K_S, А отвечает f (N₂), где f - функция, выполняющая некоторую модификацию N₂.

Эти шаги гарантируют B, что сообщение, которое он получил, не изменено и не является повтором предыдущего сообщения.

Заметим, что реальное распределение ключа включает только шаги 1 - 3, а шаги 4 и 5, как и 3, выполняют функцию аутентификации.

А безопасно получает ключ сессии на шаге 2. Сообщение на шаге 3 может быть дешифровано только B. Шаг 4 отражает знание В ключа K_S, и шаг 5 гарантирует Взнание участником А ключа K_S и подтверждает, что это не устаревшее сообщение, так как используется nonce N₂. Шаги 4 и 5 призваны предотвратить общий тип replay-атак. В частности, если противник имеет возможность захватить сообщение на шаге 3 и повторить его, то это должно привести к разрыву соединения.

Разрывая рукопожатие на шагах 4 и 5, протокол все еще уязвим для некоторых форм атак повторения. Предположим, что противник Х имеет возможность скомпрометировать старый ключ сессии. Маловероятно, чтобы противник мог сделать больше, чем просто копировать сообщение шага 3. Потенциальный риск состоит в том, что Х может заставить взаимодействовать А и B, используя старый ключ сессии. Для этого Х просто повторяет сообщение шага 3, которое было перехвачено ранее и содержит скомпрометированный ключ сессии. Если В не запоминает идентификацию всех предыдущих ключей сессий с А, он не сможет определить, что это повтор. Далее Х должен перехватить сообщение рукопожатия на шаге 4 и представиться А в ответе на шаге 5.

Финансовая криптография (FC) - использованиекриптографии в заявлениях, в которых денежные убытки могли следовать из подрывной деятельности системы обмена сообщениями.

Шифровальщики думают об области как происходящий в работе доктора Дэвида Чома, который изобрел ослепленную подпись. Эта специальная форма шифровальной подписи разрешила действительной монете быть подписанной без подписывающего лица, видящего фактическую монету и разрешенной форму цифровых символических денег, которые предложили неотслеживаемость. Эта форма иногда известна как Цифровые Наличные деньги.

Широко используемый и ранее развитый шифровальный механизм - Стандарт Шифрования Данных, который использовался прежде всего для защиты электронных переводов средств. Однако, это была работа Дэвида Чома, который взволновал сообщество криптографии о потенциале зашифрованных сообщений как фактические финансовые инструменты.

Финансовая криптография включает механизмы и алгоритмы, необходимые для защиты финансовых передач, в дополнение к созданию новых форм денег.Доказательство работы и различных аукционных протоколов подпадает под зонтик Финансовой Криптографии. Hashcash используется, чтобы ограничить спам.

Финансовую криптографию отличают от традиционной криптографии в этом для большей части зарегистрированной истории, криптография использовалась почти полностью в военных и дипломатических целях.

Как часть бизнес-модели, ФК следовал за гидом криптографии, и только самые простые идеи были приняты. Денежные системы счета, защищенные SSL, такие как PayPal и электронное золото, были относительно успешными, но более инновационными механизмами, включая ослепленные символические деньги, не были.

Билет №11

Вопрос 1. Вероятностные оценки наличия открытых сообщений по фактическим криптосообщениям. Вероятности исходных ключей, открытых сообщений, криптосообщений задаются (примеры).