Русская Википедия:Криптографический протокол

Материал из Онлайн справочника
Перейти к навигацииПерейти к поиску

Криптографический протокол (Шаблон:Lang-en) — это абстрактный или конкретный протокол, включающий набор криптографических алгоритмов, часто являющихся последовательностью криптографических примитивов. В основе протокола лежит набор правил, регламентирующих использование криптографических преобразований и алгоритмов в информационных процессах для обмена сообщениями между двумя и более участниками, а также описание используемых структурШаблон:Переход.

В протоколе участниками (субъектом, стороной) могут быть приложения, люди, их группы или, например, организации. Другими словами — всё, по каким-либо причинам способное иметь активную или пассивную роль в работе протокола. Так, в частности, большинство протоколов разрабатывается с учётом наличия пассивного слушателя, способного перехватывать сообщенияШаблон:Переход.

Появление самых простых протоколов датируется концом 1970-х, началом 1980-х годов[1]. Вклад в их появление внесли такие специалисты, как Рональд Ривест, Ади Шамир[2], Роджер Нидхем, Майкл Шрёдер[3] и многие другие. Брюс Шнайер приводит описание известных протоколов в своей книге «Прикладная Криптография»[4].

Функции

Криптографический протокол имеет следующие функции[5]:

Состав

Протокол делится на проходы (Шаблон:Lang-en) или циклы (Шаблон:Lang-en), являющиеся интервалом времени активности только одного участника. В протоколах, рассчитанных на количество участников большее двух, при необходимости их синхронизации циклом называют период времени между двумя точками синхронизации[6].

Проход, в свою очередь, состоит из шагов (Шаблон:Lang-en) — конкретных законченных действий, выполняемых участником[6].

Например:

Реализация протокола или даже теоретическое её описание для конкретных участников, каждый из которых имеет одну или несколько ролей, называется сеансом (Шаблон:Lang-en). В другом сеансе протокола участники могут поменяться ролями и выполнять уже совсем другие функции[6].

Таким образом, протокол описывает правила поведения каждой абстрактного участника в протоколе. А сеанс описывает уже состоявшейся в прошлом конкретную реализацию протокола[6].

Условные обозначения

При записи криптографических протоколов для обозначения участников принято использовать либо термины «отправитель», «получатель», пр., либо экземплификанты. Соответствие между ними следующее[6]:

Для записи примитивов принято использовать следующие обозначения[6]:

  • <math>M</math> (от Шаблон:Lang-en) — сообщение в исходном виде, открытая информация в том виде, в котором её способен прочесть любой участник протокола. То есть, под <math>M</math> может пониматься и исходный текст в прямом понимании или, например, массив бит, звук и так далее.
  • <math>K</math> (от Шаблон:Lang-en) — ключ. Без дополнительных уточнений обычно обозначает секретный сеансовый ключ.
  • <math>K_{AT}</math> — общий между Алисой и Трентом секретный ключ (в случае симметричных криптосистем).
  • <math>K_{A}</math> — открытый ключ Алисы (в случае асимметричных криптосистем).
  • <math>L</math> (от Шаблон:Lang-en) — время жизни примитивов. К примеру, ключа или сертификата.
  • <math>E_{K}(...)</math> (от Шаблон:Lang-en) — данные, зашифрованные на ключе <math>K</math>.
  • <math>E_{B}(...)</math>, <math>E_{A}(...)</math> — данные, зашифрованные на ключах Алисы и Боба соответственно.
  • <math>S_{K}(...)</math> (от Шаблон:Lang-en) — данные и соответствующая цифровая подпись на открытом ключе <math>K</math>.
  • <math>T_{A}</math>, <math>T_{B}</math> (от Шаблон:Lang-en) — метки времени от соответствующих участников. Часто используется в паре с <math>L</math>
  • <math>R_{A}</math>, <math>R_{B}</math> (от Шаблон:Lang-en) — случайные числа, выбранные Алисой и Бобом соответственно.

Примеры использования обозначений[6]:

  • <math>E_{K_B}(M)</math> или просто <math>E_B</math> — сообщение <math>M</math>, зашифрованное ключом Боба <math>K_{B}</math>.
  • <math>S_{A}(R_A)</math> — случайное число <math>R_{A}</math>, сгенерированное Алисой и ей же подписанное. То есть в сообщении будет и случайное число (открытым текстом), и электронная подпись этого числа.
  • <math>S_{T}(A, K_A, T_T, L)</math> — идентификатор и ключ Алисы, метка времени и срок жизни данной записи, всё вместе подписанное открытым ключом доверенного центра (Трента). То есть фактически сертификат ключа Алисы.

Классификация

Глобально протоколы можно разделить на две группы: примитивные и прикладные[7].

Примитивный криптографический протокол (Шаблон:Lang-en) сам по себе не имеет практической пользы, однако может быть частью прикладного протокола. Решает одну абстрактную задачу[7].

Прикладной криптографический протокол (Шаблон:Lang-en) имеет практическое применение, используется для решения практических задач безопасности. Данные протоколы обычно реализуют сразу несколько криптографических функций. А порой и вовсе являются целым семейством протоколов, способных менять параметры системы по необходимости. Например, система электронных платежей[7].

Однако существуют и более точные классификации[5]:

  1. Классификация по числу участников:
    • двусторонний
    • трёхсторонний
    • многосторонний
  2. Классификация по числу передаваемых сообщений:
    • интерактивный (есть взаимный обмен сообщениями)
    • неинтерактивный (однократная передача)
  3. Классификация по целевому назначению протокола:
    • обеспечение целостности сообщений с аутентификацией источника / без аутентификации источника
    цифровая подпись
    • индивидуальная / групповая
    • с восстановлением / без восстановления сообщения
    • вслепую
    • с доказуемостью подделки
    • односторонняя / двусторонняя (взаимная) аутентификация / идентификация
    обмен сообщениями
    • обычная конфиденциальная передача
    • конфиденциальная широковещательная / циркулярная передача сообщений
    • честный обмен секретами
    • забывающая передача
    • привязка к биту (строке)
    распределение ключей
    • предварительное
    • передача ключа (обмена ключами)
    • совместная выработка ключа (открытое распределение ключей)
    • парное / групповое
    • разделение секрета
  4. Классификация по типу используемых криптографических систем:
  5. Классификация по способу функционирования:
    • интерактивный / неинтерактивный
    • однопроходный / двух- / трёх- и т. д. проходный
    • протокол с арбитром (протокол с посредником)
    • двусторонний / с доверенной третьей стороной (с центром доверия)

Атаки

Бывают следующих направленностей[8]:

  • против криптографических алгоритмов
  • против криптографических методов, применяемых для реализации протоколов
  • против самих протоколов (активные или пассивные)

Виды атак на криптографические протоколы

  1. Человек посередине (Шаблон:Lang-en) — вид атак, в которых злоумышленник встраивается в канал общения между участниками, внося изменения в передаваемые сообщения или перенаправляя их. Для неё уязвимы протоколы, в которых отсутствует взаимная аутентификация сторон[6].
  2. Повтором сообщения (Шаблон:Lang-en) — повторное использование ранее переданного сообщения или какой-либо его части в текущем сеансе протокола. Например, сначала записав сообщение, содержащее ключ в зашифрованном виде, можно потратить произвольное количество времени на его расшифровку, а далее заставить участников использовать его повторно[5].
  3. Подмены типа (Шаблон:Lang-en) — похожа на атаку повтором с той лишь разницей, что сообщение передаётся на другом раунде протокола, тем самым изменяется его значение в протоколе[6].
  4. Атака с параллельными сеансами (Шаблон:Lang-en) — атака, в ходе которой злоумышленник инициирует несколько параллельных сеансов с участниками и предаёт сообщения из одного сеанса в другой[6].

Свойства безопасности

Свойств, характеризующих безопасность криптографического протокола, достаточно много. Обычно свойства протоколов, характеризующие их стойкость к различным атакам, формулируют как цели (Шаблон:Lang-en) или требования к протоколам. Трактовка этих целей со временем меняется и уточняется. Наиболее полное и современное толкование этих целей даётся в документах международной организации IETF. Под свойствами (целями, требованиями) безопасности в документах IETF в настоящее время понимаются следующие 20 целей, сгруппированные в 10 групп[9]:

  1. Аутентификация (нешироковещательная):
    • G1 Аутентификация субъекта
      (Шаблон:Lang-en) Проверка подлинности участников протокола наличия, их полномочий, а также того, что они действительно принимают участие в выполнении текущего сеанса протокола.
    • G2 Аутентификация сообщения
      (Шаблон:Lang-en) Проверка подлинности источника данных. Поскольку без гарантии того, что сообщение не было модифицировано, данное свойство становится бесполезным, возникает также требование целостности сообщения.
    • G3 Защита от повтора
      (Шаблон:Lang-en) Гарантирование того, что сообщение не является повторно отправленным. В зависимости от контекста, это может иметь либо смысл того, что сообщение было сгенерировано в данном сеансе, либо что сообщение было сгенерировано в течение известного промежутка времени. либо что сообщение не было принято ранее.
  2. Аутентификация при рассылке по многим адресам или при подключении к службе подписки/уведомления:
    • G4 Неявная (скрытая) аутентификация получателя
      (Шаблон:Lang-en) Протокол должен гарантировать, что к отправленной информации, многоадресному сообщению или групповому общению будут иметь доступ только те участники, которым разрешил отправитель.
    • G5 Аутентификация источника
      (Шаблон:Lang-en) Легитимные члены группы могут проверить подлинность источника и содержимого информации или группового сообщения. Сюда относятся случаи, когда члены группы не доверяют друг другу.
  3. G6 Авторизация (доверенной третьей стороной)
    (Шаблон:Lang-en) Доверенная третья сторона представляет одного участника другому участнику, давая уверенность в том, что они могут доверять друг другу.
  4. Свойства совместной генерации ключа:
    • G7 Аутентификация ключа
      (Шаблон:Lang-en) Один из участников получает подтверждение того, что никакой другой участник, кроме заранее определённого второго участника (и, возможно, других доверенных участников), не может получить доступа ни к одному секретному ключу.
    • G8 Подтверждение правильности ключа
      (Шаблон:Lang-en) Один из участников получает подтверждение того, что второй участник (возможно, неопределённый) действительно обладает конкретным секретным ключом (либо имеет доступ ко всем ключевым материалам, необходимым для его вычисления).
    • G9 Защищённость от чтения назад
      (Шаблон:Lang-en) Компрометация долговременных ключей не приводит к компрометации старых сеансовых ключей.
    • G10 Формирование новых ключей
      (Шаблон:Lang-en) Использование динамического управления ключами для получения свежих сеансовых ключей.
    • G11 Защищённая возможность договориться о параметрах безопасности
      (Шаблон:Lang-en) Обнаружение криптографических возможностей и предпочтений участников, а также согласовывание параметров безопасности (как, например, стойкость ключей и шифры).
  5. G12 Конфиденциальность
    (Шаблон:Lang-en) Гарантия, что сообщение или его часть не станут доступными или раскрытыми для неавторизованных участников и злоумышленника.
  6. Анонимность:
    • G13 Защита личности от неучастников (несвязываемость)
      (Шаблон:Lang-en) Злоумышленник, не являющийся правомерным участником протокола, не должен иметь возможности связать сообщение, которым обменивается одна сторона, с реальной личностью этой стороны.
    • G14 Защита личности от участников
      (Шаблон:Lang-en) Правомерный участник протокола не должен иметь возможности связать сообщение, переданное одной стороной, с реальной личностью этой стороны.
  7. G15 (Ограниченная) защищённость от атак типа «отказ в обслуживании»
    • (Шаблон:Lang-en) Устойчивость к DoS. Трудно проверить, так как протокол может быть подвержен DoS-атакам по разным причинам, наиболее распространённой из которых является потребление слишком большого количества ресурсов (памяти, вычислительной мощности), прежде чем участник аутентифицирует себя. Но существует множество других причин: среди прочего, протоколы могут быть уязвимы для атаки DoS на распределение памяти, вычислительную мощность.
  8. G16 Инвариантность отправителя
    • (Шаблон:Lang-en) Сторона получает уверенность в том, что источник сообщения остался тем же, что и тот, кто начал сообщение.
  9. Невозможность отказа от ранее совершённых действий:
    • G17 Подотчётность
      (Шаблон:Lang-en) Гарантия, что действия участника могут быть однозначно отслежены.
    • G18 Доказательство источника
      (Шаблон:Lang-en) Неоспоримое доказательство отправки сообщения.
    • G19 Доказательство получателя
      (Шаблон:Lang-en) Неоспоримое доказательство получения сообщения.
  10. G20 Безопасное временное свойство
    (Шаблон:Lang-en) Возможность использовать оператор когда-то в прошлом для описания отношений между раундами протокола. Например, если пользователь хочет слушать музыку на сервисе, когда-то в прошлом он должен был оплатить подписку.

Примечания

Шаблон:Примечания

Шаблон:Криптография