рефераты конспекты курсовые дипломные лекции шпоры

Реферат Курсовая Конспект

Применения ЕКЕ

Применения ЕКЕ - раздел Компьютеры, Схемы идентификации Белловин И Мерритт Предлагают Использовать Этот Протокол Для Безопасной Телеф...

Белловин и Мерритт предлагают использовать этот протокол для безопасной телефонной связи [109]:

Предположим, что развернута сеть шифрующих телефонных аппаратов . Если кто-нибудь хочет воспользоваться таким телефоном, то понадобится определенная ключевая информация. Общепринятые решения. . . требуют, чтобы у звонящего был физический ключ. Во многих ситуациях это нежелательно. ЕКЕ позволяет использовать короткий, вводимый с клавиату­ры пароль, обеспечивая гораздо более длинный сеансовый ключ .

ЕКЕ мог бы быть полезен и для сотовой связи. Мошенничество представляет собой большую проблему сотовой телеф о-нии, ЕКЕ может помочь защититься от него (и обеспечить закрытость звонка) за счет продажи телефонов, бесполезных без


введения PIN-кода. Так как PIN-код не хранится в телефоне, его невозможно извлечь из украденного экземпляра.

Главная сила ЕКЕ состоит в том, что криптография с открытыми ключами и симметричная криптография объединяются и усиливают друг друга:

В общей перспективе ЕКЕ работает как усилитель секретности. То есть, его можно использовать для усиления сравни­тельно слабых симметричных и асимметричных систем, используемых вместе . Рассмотрим, например, размер ключа, необхо­димый для обеспечения безопасности при использовании обмена ключом - показателем степени . Как показали ЛаМачча (LaMacchia) и Одлыжко (Odlyzko) [934], даже модули с размерами, считавшимися безопасными, (а именно, 192 бита) чувст­вительны к вскрытию, занимающему несколько минут компьютерного времени . Но их вскрытие становится невозможным, если необходимо перед применением вскрытия угадать п ароль.

С другой стороны, сложность вскрытия обмена ключами - показателями степени может быть использована для срыва п о-пыток угадать пароль. Возможность вскрытия угадыванием пароля зависит от скорости проверки каждого предположения . Если для выполнения такой проверки необходимо выполнить обмен ключами - показателями степени , то общее время эф­фектно возрастает.

ЕКЕ запатентован [111].

22.6 Защищенные переговоры о ключе

Эта схема также защищает переговоры о ключе от плохого выбора паролей и вскрытий "человек в середине" [47, 983]. В ней используется хэш-функция двух переменных, обладающая особенным свойством : она часто приводит к столкновениям по первой переменной, и практически никогда - по второй .

Нх,у) = H(H(k,x) mod 2й, х), где Щк,х) - обычная функция ких

Вот как выглядит этот протокол. Алиса и Боб используют общий секретный пароль Р и уже обменялись сек­ретным ключом К, используя обмен ключом Dime-Hellman. Они используют Р для проверки, что их сеансовые ключи одинаковы (и что Ева не предприняла вскрытие "человек в середине"), не позволяя Еве получить Р.

(1) Алиса посылает Бобу НР,К)

(2) Боб вычисляет ЩР,К) и сравнивает результат со значением, присланным Алисой. Если они совпадают, он посылает Алисе

ЩН(Р,К))

(3) Алиса вычисляет ЩН(Р,К)) и сравнивает результат со значением, полученным от Боба.

Если Ева пытается выполнить вскрытие "человек в середине", она использует один ключ, Кг, общий с Али­сой, и другой, К2, общий с Бобом. Чтобы обмануть Боба на этапе (2), ей придется вычислить общий пароль и затем послать Бобу ЩР,К2). При использовании обычной хэш-функции она может перебирать часто встреча ю-щиеся пароли, пока не угадает правильный, и затем успешно проникнуть в протокол. Но при использовании предлагаемой хэш-функции, многие пароли дают одно и то же значение при хэшировании с ключом Къ Поэто­му, когда она находит совпадение, то скорее всего это неправильный пароль, и в этом случае Боба обмануть не удастся.

22.7 Распределение ключа для конференции и секретная широковещательная передача

Алиса хочет передать сообщение М сразу нескольким получателям. Однако она совсем не хочет, чтобы кто угодно смог прочесть его. В действительности, ей нужно, чтобы только получатели из определенного подмноже­ства могли правильно раскрыть М. У всех остальных должна получиться чепуха.

Алиса может использовать для каждого получателя отличный ключ (секретный или открытый) . Она шифру­ет сообщение каким-нибудь случайным ключом К. Затем она шифрует копию К каждым из ключей выбранных получателей сообщения. Наконец она широковещательно посылает зашифрованное сообщение , а затем все за­шифрованные К. Слушающий передачу Боб либо пытается расшифровать все К своим секретным ключом, пы­таясь найти правильный, либо, если Алиса не забыла перечислить получателей своего сообщения, он ищет свое имя, сопровождаемое зашифрованным ключом. Также будет работать и ранее рассмотренная криптография с несколькими ключами.

Другой способ предлагается в [352]. Сначала каждый из получателей договаривается с Алисой об общем для них двоих ключе, который длиннее любого возможного шифрованного сообщения . Все эти ключи должны быть взаимно простыми. Она шифрует сообщение случайным ключом К. Затем она вычисляет одно целое число R, которое по модулю секретного ключа конгруэнтно К, если этот секретный ключ предполагается использовать для расшифровки сообщения, и конгруэнтно нулю в противном ел учае.

Например, если Алиса хочет, чтобы секрет получили Боб, Кэрол и Эллен, но не Дэйв и Фрэнк, она шифрует


сообщение ключом К и затем вычисляет такое R, что

R=K (jnoAKB)

R=K (mod Kc)

R = Q{moAKD)

R=K (mod KE)

R = Q{moAKF)

Это простая алгебраическая проблема, которая легко может быть решена Алисой . Когда это сообщение бу­дет принято получателями, они вычислят значение полученного ключа по модулю их секретного ключа . Те, ко­му предназначалось это сообщение, в результате вычисления получат нужный ключ. В противном случае р е-зультатомбудетО.

Еще один, третий, путь, использующий пороговую схему (см. раздел 3.7), предлагается в [141]. Как и в дру­гих способах каждый потенциальный получатель получает секретный ключ . Этот ключ является тенью в еще не созданной пороговой схеме. Алиса сохраняет ряд секретных ключей для себя, внося некоторую непредсказуе­мость в систему. Пусть всего существует к возможных получателей. Тогда для широковещательной передачи М Алиса шифрует М ключом К и делает следующее.

(1) Алиса выбирает случайное число j. Это число призвано замаскировать количество получателей сообщения. Оно не должно быть слишком большим и даже может равняться нулю .

(2) Алиса создает пороговую схему +7+ 1, 2к + j + 1), в которой: К - это секрет.

Секретные ключи адресатов сообщения служат тенями.

Секретные ключи пользователей, которых нет среди получателей сообщения, не являются тенями .

j теней выбираются случайным образом, не совпадая ни с одним секретным ключом.

(3) Алиса широковещательно передает k + j случайно выбранных теней, ни одна из которых не совпадает с тенями этапа (2).

(4) Каждый из слушателей, принявших широковещательное сообщение, добавляет свою тень к полученным к + j теням. Если добавление своей тени позволяет пользователю вычислить секрет, то ему удалось открыть ключ. В противном случае - не удалось.

Другой подход можно найти в [885, 886, 1194]. И еще один - в [1000].

Развернуть
Открыть в широком формате

– Конец работы –

Эта тема принадлежит разделу:

Схемы идентификации

На сайте allrefs.net читайте: Схемы идентификации...

Если Вам нужно дополнительный материал на эту тему, или Вы не нашли то, что искали, рекомендуем воспользоваться поиском по нашей базе работ: Применения ЕКЕ

Что будем делать с полученным материалом:

Если этот материал оказался полезным ля Вас, Вы можете сохранить его на свою страничку в социальных сетях:

Все темы данного раздела:

FEIGE-FIAT-SHAMIR
Схема цифровой подписи и проверки подлинности, разработанная Амосом Фиатом (Amos Fiat) и Ади Ша-миром (Adi Shamir), рассматривается в [566, 567]. Уриель Фейге (Uriel Feige), Фиат и Шамир модифициро

Улучшения
В протокол можно встроить идентификационные данные. Пусть / - это двоичная строка, представляющая идентификатор Пегги: имя, адрес, номер социального страхования, размер головного убора, любимый сор

GUILLOU-QUISQUATER
Feige-Fiat-Shamir был первым практическим протоколом идентификации. Он минимизировал вычисления, увеличивая число итераций и аккредитаций на итерацию. Для ряда реализаций, например, для интеллектуа

Несколько подписей
Что если несколько человек захотят подписать один и тот же документ ? Проще всего, чтобы они подписали его порознь, но рассматриваемая схема подписи делает это лучше . Пусть Алиса и Боб подписывают

Протокол проверки подлинности
(1) Пегги выбирает случайное число г, меньшее q, и вычисляет х = d mod/;. Эти вычисления являются пред­варительными и могут быть выполнены задолго до появления Виктора .

Протокол цифровой подписи
Алгоритм Schnorr также можно использовать и в качестве протокола цифровой подписи сообщения М. Пара ключей используется та же самая, но добавляется однонаправленная хэш-функция ЩМ).

Патенты
Schnorr запатентован в Соединенных Штатах [1398] и многих других странах. В 1993 году РКР приобрело обще мировые права на этот патент (см. раздел 25.5). Срок действия патента США истекает 19 феврал

DIFFIE-HELLMAN
Diffie-Hellman, первый в истории алгоритм с открытым ключом, был изобретен 1976 году [496]. Его безо­пасность опирается на трудность вычисления дискретных логарифмов в конечном поле (в сравнении с

Расширенный Diffie-Hellman
Diffie-Hellman также работает в коммутативных кольцах [1253]. 3. Шмули (Z. Shmuley) и Кевин МакКерли (Kevin McCurley) изучили вариант алгоритма, в котором модуль является составным числом [1441, 10

Обмен ключом без обмена ключом
Если у вас сообщество пользователей, каждый может опубликовать открытый ключ , Х= gx mod и, в общей базе данных. Если Алиса захочет установить связь с Бобом, ей понадобится только

Патенты
Алгоритм обмена ключами Diffie-Hellman запатентован в Соединенных Штатах [718] и Канаде [719]. Груп­па, называющаяся Public Key Partners (PKP, Партнеры по открытым ключам), получила вместе с другим

Базовый протокол ЕКЕ
Алиса и Боб (два пользователя, клиент и сервер, или кто угодно) имеют общий пароль Р. Используя сле­дующий протокол, они могут проверить подлинность друг друга и генерировать общий сеансовый

Реализация ЕКЕ с помощью ElGamal
Реализация ЕКЕ на базе алгоритма ElGamal проста, можно даже упростить основной протокол. Используя обозначения из раздела 19.6, g ир служат частями открытого ключа, общими для всех пользоват

Реализация ЕКЕ с помощью Diffte-Hellman
При использовании протокола Diffie-Hellman К генерируется автоматически. Окончательный протокол еще проще. Значения g и п определяются для всех пользователей сети. (1)

Усиление ЕКЕ
Белловин (Bellovin) и Мерритт (Merritt) предложили улучшение запросно-ответной части алгоритма, которое позволяет избежать возможного вскрытия при обнаружении криптоаналитиком ста рого значения

Расширенный ЕКЕ
Протокол ЕКЕ страдает одним серьезным недостатком: он требует, чтобы обе стороны знали Р. В большин­стве систем авторизации доступа хранятся значения однонаправленной хэш-функции паролей пол

Распределение ключей для конференции
Этот протокол позволяет группе из п пользователей договориться о секретном ключе, используя только н е-секретные каналы. Группа использует два общих больших простых числа р и q,

Tateboyashi-Matsuzaki-Newman
Этот протокол распределения ключей подходит для использования в сетях [1521]. Алиса хочет с помощью Трента, KDC, генерировать ключ для сеанса связи с Бобом. Всем участникам известен открытый ключ Т

Asmuth-Bloom
В этой схеме используются простые числа [65]. Для (от, и)-пороговой схемы выбирается большое простое числом, большее М. Затем выбираются числа, меньшие р - dh d2, .

Karnin-Greene-Hellman
В этой схеме используется матричное умножение [818]. Выбирается и+1 от-мерных векторов, V0, Vu . . . Vn, так, что ранг любой матрицы размером от*от, образова

Более сложные пороговые схемы
В предыдущих примерах показаны только простейшие пороговые схемы : секрет делится на п теней так, что­бы, объединив любые от из них, можно было раскрыть секрет. На базе этих алгоритмов можно

Ong-Schnorr-Shamir
Этот подсознательный канал (см. раздел 4.2), разработанный Густавусом Симмонсом (Gustavus Simmons) [1458, 1459, 1460], использует схему идентификации Ong-Schnorr-Shamir (см. раздел 20.5). Как и в о

Уничтожение подсознательного канала eDSA
Подсознательный канал опирается на то, что Алиса может выбирать к для передачи подсознательной ин­формации. Чтобы сделать подсознательный канал невозможным, Алисе не должно

Другие схемы
Подсознательный канал можно организовать для любой схемы подписи [1458, 1460, 1406]. Описание прото­кола встраивания подсознательного канала в схемы Fiat-Shamir и Feige-Fiat-Shamir вместе с возможн

Бросание "честной"монеты с помощью целых чисел Блюма
В протоколе бросания монеты можно использовать челые числа Блюма . (1) Алиса генерирует целое число Блюма п, случайное х, взаимно простое с п, х0 = х2

Доказательство с нулевым знанием для дискретного логарифма
Пегги хочет доказать Виктору, что ей известно х, являющееся решением Ax = B (jaod p) тпер - простое число, а х - произвольное число, взаимно простое

Доказательство с нулевым знанием для возможности вскрыть RSA
Алиса знает закрытый ключ Кэрол. Может быть она взломала RSA, а может она взломала дверь квартиры Кэрол и выкрала ключ. Алиса хочет убедить Боба, что ей известен ключ Кэрол. Однако она не хочет ни

Доказательство с нулевым знанием того, что п является числом Блюма
Пока неизвестно никаких действительно практичных доказательств того, что п =pq, где р и q - простые чис­ла, конгруэнтные 3 по модулю 4. Однако если п имеет форму

MITRENET
Одной из самых ранних реализаций криптографии с открытыми ключами была экспериментальная система MEMO (MITRE Encrypted Mail Office, Шифрованное почтовое отделение). MITRE - это была команда умных п

STU-III
STU обозначает "Secure Telephone Unit" (Безопасный телефонный модуль), разработанный в NSA безопас­ный телефон. По размерам и форме этот модуль почти такой же, как и обычный телефон, и мо

KERBEROS
Kerberos представляет собой разработанный для сетей TCP/IP протокол проверки подлинности с доверенной третьей стороной. Служба Kerberos, работающая в сети, действует как доверенный посредник, обесп

Модель Kerberos
Базовый протокол Kerberos был схематично описан в разделе 3.3. В модели Kerberos существуют располо­женные в сети объекты - клиенты и серверы. Клиентами могут быть пользователи, но могут и независи

Как работает Kerberos
Вэтом разделе рассматривается Kerberos версии 5. Ниже я обрисую различия между версиями 4 и 5 . Прото­кол Kerberos прост (см. 23rd). Клиент запрашивает у Kerberos мандат на обращен

Сообщения Kerberos версии 5
В Kerberos версии 5 используется пять сообщений (см. 23-й): 1. Клиент-Kerberos: c,tgs 2. Kerberos-клиент: {Kc>tgs}Kc, {Tc>tgs

Получение первоначального мандата
У клиента есть часть информации, доказывающей его личность - его пароль . Понятно, что не хочется за­ставлять клиента передавать пароль по сети. Протокол Kerberos минимизирует вероятность компромет

Получение серверных мандатов
Клиенту требуется получить отдельный мандат для каждой нужной ему услуги . TGS выделяет мандаты для отдельных серверов. Когда клиенту нужен мандат, которого у него пока нет, он посылает за

Kerberos версии 4
В предыдущих разделах рассматривался Kerberos версии 5. Версия 4 немного отличается сообщениями и конструкцией мандатов и удостоверений. В Kerberos версии 4 используются следующие пять сообщений:

Безопасность Kerberos
Стив Белловин (Steve Bellovin) и Майкл Мерритт (Michael Merritt) проанализировали некоторые потенци­альные уязвимые места Kerberos [108]. Хотя эта работа была написана про протоколы версии 4, многи

KRYPTOKNIGHT
KryptoKnight (КриптоРыцарь) является системой проверки подлинности и распределения ключей, разраб о-танной в IBM. Это протокол с секретным ключом, использующий либо DES в режиме СВС (см. раздел 9.3

Сертификаты
Наиболее важной частью Х.509 используемая им структура сертификатов открытых ключей. Имена всех пользователей различны. Доверенный Орган сертификации (Certification Authority, CA) присваивает каждо

Протоколы проверки подлинности
Алисе нужно связаться с Бобом. Сначала она извлекает из базы данных последовательность сертифика­цииот Алисы до Боба и открытый ключ Боба. В этот момент Алиса может инициировать од

Документы РЕМ
РЕМ определяется в следующих четырех документах: — RFC 1421: Часть I, Процедуры шифрования и проверки подлинности сообщений . В этом документе опре­деляются процедуры шифрования и проверки

Сертификаты
РЕМ совместим со схемой проверки подлинности, описанной в [304], см. также [826]. РЕМ представляет со­бой надмножество Х.509, определяя процедуры и соглашения для инфраструктуры управления ключами,

Сообщения РЕМ
Сердцем РЕМ является формат сообщений. На 20-й показано зашифрованное сообщение при симметричном управлении ключами. На 19-й показано подписанное и зашифрованное сообщение при управлении ключами на

CLIPPER
Микросхема Clipper (известная также как MYK-78T) - это разработанная в NSA, устойчивая к взлому мик­росхема, предназначенная для шифрования переговоров голосом. Это одна из двух схем, реализующих п

Коммерческая программа сертификации компьютерной безопасности
Коммерческая программа сертификации компьютерной безопасности (Commercial COMSEC Endorsement Program (CCEP)), кодовое имя Overtake, - это предложение, сделанное NSA в 1984 году и призванное облегчи

ISO/IEC 9979
В середине 80-х ISO стандартизировать DES, который уже использовался в качестве FIPS и стандарта ANSI. После некоторой политической возни ISO решило не стандартизировать криптографические алгоритмы

ISCMEC 9979
Регистрационный номерНазвание 1 B-CRYPT 2 IDEA 3 LUC 25.10 Профессиональные и промышленные группы, а также группы защитни­ков гражданских свобод

ПослесловиеМэттаБлейза
Одним из самых опасных моментов криптологии (и, следовательно, данной книги ), является то, что вам поч­ти удается измерить ее. Знание длины ключей, способов разложения на множители и криптоаналити

Хотите получать на электронную почту самые свежие новости?
Education Insider Sample
Подпишитесь на Нашу рассылку
Наша политика приватности обеспечивает 100% безопасность и анонимность Ваших E-Mail
Реклама
Соответствующий теме материал
  • Похожее
  • Популярное
  • Облако тегов
  • Здесь
  • Временно
  • Пусто
Теги