Эффективная и своевременная взаимная аутентификация

Введение

Этот протокол является развитием протоколов зашифрованной аутентификации через доверенную третью сторону, разработанных Нидхэмом и Шредером [1] и усовершенствованных Бирреллом [2]. Он также устраняет слабость, на которую указали Деннинг и Сакко [3], в результате чего злоумышленник, обнаруживший сессионый ключ, может повторно использовать соответствующий аутентификатор для инициирования мошеннических разговоров. Его разработка была вызвана наблюдением Роджера Нидхэма о том, что один из основных принципов своевременной аутентификации заключается в том, что подозрительная сторона всегда должна создавать проблему. При взаимной аутентификации обе стороны с подозрением относятся друг к другу и к свежести аутентификационных данных; поэтому каждая из них должна генерировать независимые запросы, чтобы убедиться в своевременности взаимодействия. Такой запрос должен быть возвращен как часть аутентификатора, зашифрованного в закрытом ключе запрашиваемой стороны. Важным свойством такого запроса является то, что ранее он не использовался для аутентификации двух заинтересованных сторон. Это свойство может быть гарантировано либо сохранением всех ранее использованных запросов, либо использованием чисел из монотонно возрастающей последовательности (например, по времени), либо вероятностно путем случайной генерации достаточно большого числа.

Предварительная информация и утверждения

Прежде, чем произойдет аутентификация, каждая сторона должна обладать следующей информацией:

• первая сторона: P_lK_lP₂
• вторая сторона: P₂K₂
• служба аутентификации: P_lK_lP₂K₂

где P_n — имя участника аутентификации, который является n-ой стороной, а K_n — закрытый ключ P_n. Каждая сторона считает, что закрытые ключи известны только соответствующим участникам и доверенной службе аутентификации.

Протокол

Успешная взаимная аутентификация состоит из следующей последовательности сообщений (показана на рисунке 1), где под {X}^K имеется ввиду открытый текст X, зашифрованный ключом K:

1. Первая сторона отправляет сообщение CP_lP₂ {R_lCP_lP₂}^K₁ второй стороне. C — это одновременно идентификатор разговора и общий запрос, сгенерированный первой стороной, который должен быть зашифрован обеими сторонами. R_l — это конкретный запрос первой стороны, а {R_lCP_lP_l}^K₁ — это зашифрованный запрос на взаимную аутентификацию P₁ и P₂. C должен быть в открытом виде, чтобы вторая сторона могла его зашифровать. Он также может использоваться для сопоставления всех сообщений в одной и той же последовательности аутентификации и может быть идентификатором, используемым на базовом уровне протокола. P₁P₂ должен быть открытым, чтобы идентифицировать участников для других сторон, в частности, служба аутентификации нуждается в них для поиска соответствующих закрытых ключей.
2. Вторая сторона генерирует свой собственный конкретный запрос R₂ и соответствующий запрос {R₂CP₁P₂}^K₂ , включая общий вызов C. Затем она отправляет сообщение CP₂P₂{R₁CP₁P₂}^K₁{R₂CP₁P₂}^K₂ в службу аутентификации.
3. Служба аутентификации ищет K₁ и K₂, используя P₁ и P₂, затем расшифровывает оба запроса и проверяет, что они образуют совпадающую пару (т.е. оба содержат CP₁P₂). Если это так, она генерирует сессионный ключ K_C и возвращает ответ C{R₁K_C}^K₁{R₂K_C}^K₂, содержащий соответствующую пару зашифрованных аутентификаторов, идентифицированных C, второй стороне.
4. Вторая сторона расшифровывает второй аутентификатор {R₂K_C}^K₂, используя свой закрытый ключ K₂, чтобы получить свой собственный запрос R₂ и ключ разговора KC, затем пересылает ответ C{R₁K_C}^K₁, содержащий первый аутентификатор, идентифицированный C, первой стороне. Первая сторона расшифровывает первый запрос. аутентификатор {R₁K_C}^K₁ использует свой закрытый ключ K₁ для получения своего собственного запроса R₁ и сессионного ключа K_C.

Последующая информация и утверждения

Служба аутентификации способна расшифровать оба запроса аутентификации {R₁CP₁P₂}^K₁ и {R₂CP₁P₂}^K₂, используя закрытые ключи предполагаемых участников. Если они совпадают (т.е. оба содержат CP₁P₂), то он знает, что каждый из них был сгенерирован какой-либо стороной, которая знала закрытый ключ соответствующего участника, и что обе стороны хотели общаться друг с другом (из-за P₁P₂) в некоторое совпадающее время (из-за C). Служба аутентификации не знает, имело ли место злонамеренное воспроизведение всего сообщения, она просто выдает информацию, которая не представляет ценности ни для кого, кроме двух подлинных сторон.

После того, как вторая сторона расшифровала свой аутентификатор {R₂K_C}^K₂, используя свой закрытый ключ K₂, она знает, что если R₂ соответствует ее первоначальному запросу, то ответ является своевременным и был сгенерирован службой аутентификации. Поскольку служба аутентификации выдает соответствующую пару аутентификаторов только в том случае, если исходная пара запросов была подлинной и совпадала, вторая сторона аутентифицирует P₁, как первую сторону, и K_C в качестве секретного ключа сессии.

После того, как первая сторона расшифровала свой аутентификатор и проверила R₁, она также знает, что ответ своевременен и был сгенерирован службой аутентификации. Поскольку у первой стороны имеются те же представления о службе аутентификации, что и у второй, она также аутентифицирует P₂ и использует K_C в качестве секретного сессионного ключа.

Поскольку первая сторона выбрала общий запрос C, она знает, что запрос второй стороны должен был быть своевременным, чтобы служба аутентификации могла проверить совпадение двух запросов, но у второй стороны все еще нет уверенности в том, что исходный запрос от первой стороны не был повторно использован. Однако, на данном этапе обе стороны должны владеть секретным ключом сессии K_C. Это значит, что своевременное получение сообщения, правильно зашифрованного c K_C, гарантирует второй стороне, что первая сторона действительно владеет K₁ и, следовательно, должна быть связана с P₁.

Обсуждение

Запросы и ответы аутентификации симметричны относительно двух участников. Это свойство позволяет любой стороне впоследствии инициировать повторную аутентификацию и смену ключа сессии.

Ответные сообщения аутентификации не подлежат повторному использованию, поскольку они больше не будут своевременными. Поэтому протокол должен использоваться повторно при возобновлении разговора после того, как одна из сторон завершила сессию. Небольшое количество требуемых сообщений делает это приемлемым, тем более что обе стороны уверены в своевременности новых аутентификаторов и нового ключа.

Служба аутентификации не обязана сохранять состояние активных сессий, и поэтому может избежать возможных проблем с масштабированием. Однако служба аутентификации всё ещё способна обнаруживать и регистрировать мошеннически созданные запросы.

Первое и последнее сообщения этого протокола могут быть добавлены к начальному обмену диалога, ориентированного на соединение, как и обмен вектором инициализации шифра.

Известный открытый текст CP₁P₂, зашифрованный закрытыми ключами K₁,K₂, больше не является проблемой для современных потоковых шифров, особенно если ему всегда предшествует случайное число.

Благодарность

Мы хотели бы поблагодарить Роджера Нидхэма за его полезный анализ и рекомендации.