ПослесловиеМэттаБлейза - раздел Компьютеры, Схемы идентификации Одним Из Самых Опасных Моментов Криптологии (И, Следовательно, Данной Книги )...
Одним из самых опасных моментов криптологии (и, следовательно, данной книги ), является то, что вам почти удается измерить ее. Знание длины ключей, способов разложения на множители и криптоаналитических м е-тодов позволяет оценить (в отсутствии настоящей теории проектирования шифров) " коэффициент работы", необходимый для вскрытия конкретного шифра. Слишком велик соблазн неправильно использовать эти оценки в качестве общей меры безопасности систем. В реальном мире у взломщика есть куда больше возможностей, чем использование одного криптоанализа. Часто успех достигается с помощью вскрытий протоколов, троянских коней, вирусов, электромагнитного контроля, физической компрометации, шантажа и запугивания владельцев ключа, ошибок операционной системы и прикладных программ, аппаратных ошибок, ошибок пользователей, физического подслушивания, прикладной социологии, анализ содержимого свалок, и это далеко не все.
Высококачественные шифры и протоколы являются важными средствами, но сами по себе они не заменяют реалистичных, критических размышлений о том, что действительно нужно защитить, и как могут быть взлом а-ны различные уровни обороны (взломщики, в конце концов, редко ограничиваются чистыми, хорошо определенными моделями научного мира). Росс Андерсон (Ross Anderson) приводит примеры криптографически сильных систем (в банковской индустрии), которые не устояли перед угрозами реального мира [43, 44]. Даже когда у взломщика есть доступ только к шифротексту, через кажущиеся незначительными бреши в других частях си с-темы может просочиться достаточно информации, чтобы сделать хорошую криптосистему бесполезной . Союзники во второй мировой войне взломали трафик немецкой Энигмы, главным образом тщательно используя ошибки операторов [1587].
NSA в ответ на вопрос, может ли правительство вскрывать DES, язвительно заметило, что реальные системы настолько небезопасны, что об этом даже не стоит беспокоиться . К сожалению, не существует простых рецептов, как сделать систему безопасной, заменить тщательное проектирование и критический анализ невозмо ж-но. Хорошие криптосистемы делают жизнь взломщика намного труднее, чем жизнь законного пользователя, но это не так в отношении почти всех остальных аспектов безопасности компьютеров и систем связи . Рассмотрим следующие (наверняка не все) "Десять главных угроз безопасности реальных систем ", каждую из которых легче осуществить, чем предотвратить.
1. Печальное состояние программного обеспечения. Всем известно, что никто не знает, как писать программное обеспечение. Современные системы сложны, включают сотни тысяч строк кода, любая из них может повредить безопасности. Из программных модулей, связанных с безопасностью извлекать ошибки еще труднее.
2. Неэффективная защита против вскрытий с отказом от услуг. В некоторых криптографических протоколах допускается анонимность. Использование анонимных протоколов может быть особенно опасным, если они увеличивают возможность неопознанного вандала нарушить предоставление услуги Поэтому анонимные системы должны быть особенно устойчивы к вскрытиям с отказом от услуг . В устойчивых сетях поддерживать анонимность может быть легче - ведь вряд ли кого-то сильно волнует наличие миллионов анонимных входных точек в большинстве устойчивых сетей, таких как телефо н-ная сеть или почтовая система, где отдельному пользователю относительно трудно (или дорого) вызвать крупномасштабные аварии.
3. Нет места для хранения секретов. Криптосистемы защищают большие секреты малыми (ключами). К сожалению, современные компьютеры не особенно хороши для защиты даже маленьких секретов . Многопользовательские сетевые рабочие станции могут быть взломаны, а их память - скомпромет и-рована. Отдельно стоящие, однопользовательские машины могут быть украдены или скомпрометир о-ваны вирусами, которые организуют асинхронную утечку секретов . Удаленные серверы, где может и не быть пользователя, вводящего парольную фразу (но см. угрозу №5), представляют собой особенно трудную проблему.
4. Плохая генерация случайных чисел. Для ключей и сеансовых переменных нужны хорошие источники непредсказуемых битов. Энтропия работающего компьютера велика, но редкое приложение в состо я-нии правильно использовать ее. Было предложено множество методов получать истинно случайные числа программным образом (используются непредсказуемость времени выполнения операций ввода вывода, расхождения тактовой частоты и таймера, и даже турбулентность воздуха внутри корпуса твердого диска), но все они очень чувствительны к незначительным изменениям сред, в которых они используются.
5. Слабые парольные фразы. Большинство криптографического программного обеспечения решает пр о-блемы хранения и генерации ключей на основе создаваемых пользователем парольных фраз , которые считаются достаточно непредсказуемыми для генерации хорошего ключевого материала, и которые также легко запоминаются и поэтому не требуют безопасного хранения . В то время, как словарные вскрытия являются хорошо известной проблемой для коротких паролей , о способах вскрытия ключей,
созданных на основе выбранных пользователями парольных фраз, известно мало . Шеннон показал, что энтропия английского текста чуть больше 1 бита на символ, что, по видимому, позволяет использовать против парольных фраз грубую силу. Однако пока не вполне понятно, для этого как упорядочивать парольные фразы. Пока мы не разберемся как следует, как вскрывать парольные фразы, мы не поймем, насколько они слабы или сильны.
6. Неправильное доверие. Почти все доступное криптографическое программное обеспечение предпол а-гает, что пользователь находится в непосредственном контакте с системой ли пользуется надежным способом доступа. Например, интерфейсы к программам, подобным PGP, предполагают, что их парольные фразы поступают от пользователя по надежному пути, например, с локальной консоли . Но это не всегда так, рассмотрим проблему чтения вами шифрованной почты при подключении по сети . То, что проектировщик системы считает надежным, может не соответствовать потребностям или ож и-даниям реальных пользователей, особенно когда программным обеспечением можно управлять удаленно по небезопасным каналам.
7. Плохо понимаемое взаимодействие протоколов и услуг. С ростом и усложнением систем часто происходят странные вещи, и бывает трудно что-нибудь понять что-нибудь, даже когда произойдет какая-нибудь авария. Червь Internet распространялся с помощью туманного и с виду вполне невинного ере д-ства программы передачи почты. Сколько еще возможностей и в каком количестве программ облад а-ют неожиданными следствиями, которые только ждут своего о ткрытия?
8. Нереалистичная оценка угрозы и риска. Эксперты по безопасности стремятся сконцентрировать свои усилия на угрозах, которые известно как моделировать и предотвращать . К сожалению, взломщики выполняют вскрытия на базе собственных знаний, и две эти области редко совпадают . Слишком много "безопасных" систем было спроектировано без учета реально возможных действий взломщика .
9. Интерфейсы, которые делают безопасность дорогой и неудобной . Если нужно использовать средства обеспечения безопасности, то они должны быть удобными и достаточно прозрачными, чтобы люди действительно пользовались ими. Нетрудно спроектировать механизмы шифрования, которые работают только за счет производительности или простоты использования , и еще легче создать механизм, который провоцирует ошибки. Безопасность должно быть труднее выключить, чем включить ; к несчастью, лишь немногие системы действительно так работают.
10. Слишком всеобъемлющие требования к безопасности. Эта проблема хорошо известна почти всем, чье счастье связано с продажей продуктов и услуг безопасности . Пока существует широко распространенное требование всеобъемлющей безопасности, средства и инфраструктура, обеспечивающие его реализацию, будут дороги и недоступны для многих приложений. Частично это проблема понимания и раскрытия угроз и опасностей в реальных приложениях, а частично проблема проектирования систем, в которых безопасность не закладывается изначально, а добавляется позже .
Более полный список и обсуждение подобных угроз может легко заполнить книгу такого же размера, при этом проблема будет лишь едва затронута. Что делает их особенно трудными и опасными, так это то, что не существует никакого магического способа избавиться от них, кроме хорошего анализа и хорошей инженерной работы. Честолюбивый криптограф должен ощущать границы искусства.
На сайте allrefs.net читайте: Схемы идентификации...
Если Вам нужно дополнительный материал на эту тему, или Вы не нашли то, что искали, рекомендуем воспользоваться поиском по нашей базе работ:
ПослесловиеМэттаБлейза
Что будем делать с полученным материалом:
Если этот материал оказался полезным ля Вас, Вы можете сохранить его на свою страничку в социальных сетях:
FEIGE-FIAT-SHAMIR
Схема цифровой подписи и проверки подлинности, разработанная Амосом Фиатом (Amos Fiat) и Ади Ша-миром (Adi Shamir), рассматривается в [566, 567]. Уриель Фейге (Uriel Feige), Фиат и Шамир модифициро
Улучшения
В протокол можно встроить идентификационные данные. Пусть / - это двоичная строка, представляющая идентификатор Пегги: имя, адрес, номер социального страхования, размер головного убора, любимый сор
GUILLOU-QUISQUATER
Feige-Fiat-Shamir был первым практическим протоколом идентификации. Он минимизировал вычисления, увеличивая число итераций и аккредитаций на итерацию. Для ряда реализаций, например, для интеллектуа
Несколько подписей
Что если несколько человек захотят подписать один и тот же документ ? Проще всего, чтобы они подписали его порознь, но рассматриваемая схема подписи делает это лучше . Пусть Алиса и Боб подписывают
Протокол проверки подлинности
(1) Пегги выбирает случайное число г, меньшее q, и вычисляет х = d mod/;. Эти вычисления являются предварительными и могут быть выполнены задолго до появления Виктора .
Протокол цифровой подписи
Алгоритм Schnorr также можно использовать и в качестве протокола цифровой подписи сообщения М. Пара ключей используется та же самая, но добавляется однонаправленная хэш-функция ЩМ).
Патенты
Schnorr запатентован в Соединенных Штатах [1398] и многих других странах. В 1993 году РКР приобрело обще мировые права на этот патент (см. раздел 25.5). Срок действия патента США истекает 19 феврал
DIFFIE-HELLMAN
Diffie-Hellman, первый в истории алгоритм с открытым ключом, был изобретен 1976 году [496]. Его безопасность опирается на трудность вычисления дискретных логарифмов в конечном поле (в сравнении с
Расширенный Diffie-Hellman
Diffie-Hellman также работает в коммутативных кольцах [1253]. 3. Шмули (Z. Shmuley) и Кевин МакКерли (Kevin McCurley) изучили вариант алгоритма, в котором модуль является составным числом [1441, 10
Обмен ключом без обмена ключом
Если у вас сообщество пользователей, каждый может опубликовать открытый ключ , Х= gx mod и, в общей базе данных. Если Алиса захочет установить связь с Бобом, ей понадобится только
Патенты
Алгоритм обмена ключами Diffie-Hellman запатентован в Соединенных Штатах [718] и Канаде [719]. Группа, называющаяся Public Key Partners (PKP, Партнеры по открытым ключам), получила вместе с другим
Базовый протокол ЕКЕ
Алиса и Боб (два пользователя, клиент и сервер, или кто угодно) имеют общий пароль Р. Используя следующий протокол, они могут проверить подлинность друг друга и генерировать общий сеансовый
Реализация ЕКЕ с помощью ElGamal
Реализация ЕКЕ на базе алгоритма ElGamal проста, можно даже упростить основной протокол. Используя обозначения из раздела 19.6, g ир служат частями открытого ключа, общими для всех пользоват
Реализация ЕКЕ с помощью Diffte-Hellman
При использовании протокола Diffie-Hellman К генерируется автоматически. Окончательный протокол еще проще. Значения g и п определяются для всех пользователей сети.
(1)
Усиление ЕКЕ
Белловин (Bellovin) и Мерритт (Merritt) предложили улучшение запросно-ответной части алгоритма, которое позволяет избежать возможного вскрытия при обнаружении криптоаналитиком ста рого значения
Расширенный ЕКЕ
Протокол ЕКЕ страдает одним серьезным недостатком: он требует, чтобы обе стороны знали Р. В большинстве систем авторизации доступа хранятся значения однонаправленной хэш-функции паролей пол
Применения ЕКЕ
Белловин и Мерритт предлагают использовать этот протокол для безопасной телефонной связи [109]:
Предположим, что развернута сеть шифрующих телефонных аппаратов . Если кто-нибудь хочет восп
Распределение ключей для конференции
Этот протокол позволяет группе из п пользователей договориться о секретном ключе, используя только н е-секретные каналы. Группа использует два общих больших простых числа р и q,
Tateboyashi-Matsuzaki-Newman
Этот протокол распределения ключей подходит для использования в сетях [1521]. Алиса хочет с помощью Трента, KDC, генерировать ключ для сеанса связи с Бобом. Всем участникам известен открытый ключ Т
Asmuth-Bloom
В этой схеме используются простые числа [65]. Для (от, и)-пороговой схемы выбирается большое простое числом, большее М. Затем выбираются числа, меньшие р - dh d2, .
Karnin-Greene-Hellman
В этой схеме используется матричное умножение [818]. Выбирается и+1 от-мерных векторов, V0, Vu . . . Vn, так, что ранг любой матрицы размером от*от, образова
Более сложные пороговые схемы
В предыдущих примерах показаны только простейшие пороговые схемы : секрет делится на п теней так, чтобы, объединив любые от из них, можно было раскрыть секрет. На базе этих алгоритмов можно
Ong-Schnorr-Shamir
Этот подсознательный канал (см. раздел 4.2), разработанный Густавусом Симмонсом (Gustavus Simmons) [1458, 1459, 1460], использует схему идентификации Ong-Schnorr-Shamir (см. раздел 20.5). Как и в о
Уничтожение подсознательного канала eDSA
Подсознательный канал опирается на то, что Алиса может выбирать к для передачи подсознательной информации. Чтобы сделать подсознательный канал невозможным, Алисе не должно
Другие схемы
Подсознательный канал можно организовать для любой схемы подписи [1458, 1460, 1406]. Описание протокола встраивания подсознательного канала в схемы Fiat-Shamir и Feige-Fiat-Shamir вместе с возможн
Доказательство с нулевым знанием для возможности вскрыть RSA
Алиса знает закрытый ключ Кэрол. Может быть она взломала RSA, а может она взломала дверь квартиры Кэрол и выкрала ключ. Алиса хочет убедить Боба, что ей известен ключ Кэрол. Однако она не хочет ни
MITRENET
Одной из самых ранних реализаций криптографии с открытыми ключами была экспериментальная система MEMO (MITRE Encrypted Mail Office, Шифрованное почтовое отделение). MITRE - это была команда умных п
STU-III
STU обозначает "Secure Telephone Unit" (Безопасный телефонный модуль), разработанный в NSA безопасный телефон. По размерам и форме этот модуль почти такой же, как и обычный телефон, и мо
KERBEROS
Kerberos представляет собой разработанный для сетей TCP/IP протокол проверки подлинности с доверенной третьей стороной. Служба Kerberos, работающая в сети, действует как доверенный посредник, обесп
Модель Kerberos
Базовый протокол Kerberos был схематично описан в разделе 3.3. В модели Kerberos существуют расположенные в сети объекты - клиенты и серверы. Клиентами могут быть пользователи, но могут и независи
Как работает Kerberos
Вэтом разделе рассматривается Kerberos версии 5. Ниже я обрисую различия между версиями 4 и 5 . Протокол Kerberos прост (см. 23rd). Клиент запрашивает у Kerberos мандат на обращен
Сообщения Kerberos версии 5
В Kerberos версии 5 используется пять сообщений (см. 23-й):
1. Клиент-Kerberos: c,tgs
2. Kerberos-клиент: {Kc>tgs}Kc, {Tc>tgs
Получение первоначального мандата
У клиента есть часть информации, доказывающей его личность - его пароль . Понятно, что не хочется заставлять клиента передавать пароль по сети. Протокол Kerberos минимизирует вероятность компромет
Получение серверных мандатов
Клиенту требуется получить отдельный мандат для каждой нужной ему услуги . TGS выделяет мандаты для отдельных серверов.
Когда клиенту нужен мандат, которого у него пока нет, он посылает за
Kerberos версии 4
В предыдущих разделах рассматривался Kerberos версии 5. Версия 4 немного отличается сообщениями и конструкцией мандатов и удостоверений. В Kerberos версии 4 используются следующие пять сообщений:
Безопасность Kerberos
Стив Белловин (Steve Bellovin) и Майкл Мерритт (Michael Merritt) проанализировали некоторые потенциальные уязвимые места Kerberos [108]. Хотя эта работа была написана про протоколы версии 4, многи
KRYPTOKNIGHT
KryptoKnight (КриптоРыцарь) является системой проверки подлинности и распределения ключей, разраб о-танной в IBM. Это протокол с секретным ключом, использующий либо DES в режиме СВС (см. раздел 9.3
Сертификаты
Наиболее важной частью Х.509 используемая им структура сертификатов открытых ключей. Имена всех пользователей различны. Доверенный Орган сертификации (Certification Authority, CA) присваивает каждо
Протоколы проверки подлинности
Алисе нужно связаться с Бобом. Сначала она извлекает из базы данных последовательность сертификацииот Алисы до Боба и открытый ключ Боба. В этот момент Алиса может инициировать од
Документы РЕМ
РЕМ определяется в следующих четырех документах:
— RFC 1421: Часть I, Процедуры шифрования и проверки подлинности сообщений . В этом документе определяются процедуры шифрования и проверки
Сертификаты
РЕМ совместим со схемой проверки подлинности, описанной в [304], см. также [826]. РЕМ представляет собой надмножество Х.509, определяя процедуры и соглашения для инфраструктуры управления ключами,
Сообщения РЕМ
Сердцем РЕМ является формат сообщений. На 20-й показано зашифрованное сообщение при симметричном управлении ключами. На 19-й показано подписанное и зашифрованное сообщение при управлении ключами на
CLIPPER
Микросхема Clipper (известная также как MYK-78T) - это разработанная в NSA, устойчивая к взлому микросхема, предназначенная для шифрования переговоров голосом. Это одна из двух схем, реализующих п
Коммерческая программа сертификации компьютерной безопасности
Коммерческая программа сертификации компьютерной безопасности (Commercial COMSEC Endorsement Program (CCEP)), кодовое имя Overtake, - это предложение, сделанное NSA в 1984 году и призванное облегчи
ISO/IEC 9979
В середине 80-х ISO стандартизировать DES, который уже использовался в качестве FIPS и стандарта ANSI. После некоторой политической возни ISO решило не стандартизировать криптографические алгоритмы
ISCMEC 9979
Регистрационный номерНазвание
1 B-CRYPT
2 IDEA
3 LUC
25.10 Профессиональные и промышленные группы, а также группы защитников гражданских свобод
Хотите получать на электронную почту самые свежие новости?
Подпишитесь на Нашу рассылку
Наша политика приватности обеспечивает 100% безопасность и анонимность Ваших E-Mail
Новости и инфо для студентов