Двусторонние протоколы.

Различают протоколы, в которых стороны заранее располагают какой-либо известной им обоим секретной информацией, и протоколы, не требующие этого условия.

Пусть стороны А и В заранее обладают общей секретной информацией. Допустим, что это — секретный ключ k_АВ.

Тогда для передачи ключа k стороны могут использовать одностороннюю передачу:

А→В: E_kAB(k,t,B),

где Е — алгоритм шифрования, t — метка времени, В — идентификатор абонента В (для краткости вместо id(B) будем использовать лишь один символ В).

Если не передавать метки времени, то злоумышленник может осуществить повторную передачу того же сообщения. Если же не указывать идентификатора адресата, то злоумышленник может вернуть отправителю перехваченное сообщение, что в некоторых ситуациях может быть опасным, поскольку абонент А не сможет установить, что это сообщение получено не от абонента В.

В приведенном протоколе вместо шифрования можно было использовать ключевую хэш-функцию, зависящую от общего ключа:

А→В: k Å h_kAB(t,B).

Если дополнительно требуется аутентификация сеанса, то можно использовать следующий протокол типа "запрос-ответ":

1. В→А:r_B,

2. А→В:Е_kАВ(k,r_B,В),

где r_B — случайное число, сгенерированное абонентом В и переданное абоненту А в начале сеанса. При использовании хэш-функции подобный протокол может выглядеть так:

1. B→A: r_B,

2. A→B: k Å h_kAB(r_B,B).

Если требуется двусторонняя аутентификация, то можно модифицировать последний протокол, предоставив возможность стороне А путем генерации своего случайного числа r_А и введения его в сообщение на шаге 2 протокола убедиться в том, что он имеет дело именно с абонентом В.

Исходный протокол можно модифицировать так, чтобы искомый ключ k генерировался не одной стороной, а являлся результатом двустороннего обмена.

Пусть абонентами А и В помимо случайных чисел r_А и r_B генерируют также случайные числа k_A и k_B соответственно. Тогда в результате выполнения протокола

1. В→А:r_в,

2. A→B:E_kAB(k_A,r_A,r_B,B),

3. B→A:E_kAB(k_B,r_B,r_A,A),

каждая из сторон может вычислить общий ключ с помощью некоторой функции f по правилу k = f(k_A,k_B). В этом протоколе ни одна из сторон не может знать заранее значения ключа.

Приведем теперь "бесключевой" протокол А. Шамира, позволяющий передать ключ без использования какой-либо общей секретной информации.

Пусть имеется некоторое коммутирующее шифрующее преобразование Е. Это означает, что при всех сообщениях х и ключах k₁ и k₂ выполняется равенство

 

Тогда пользователи А и В могут реализовать следующий трехшаговый протокол для передачи секретного ключа k от А к В:

1. А→В: Е_kА(k),

2. В→А: Е_kB(Е_kА(k)),

3. А→В: D_kА(Е_kB(Е_kA(k))).

В этом протоколе можно использовать не каждое коммутирующее преобразование Е. Например, легко заметить, что для преобразования Е_к (к) = k Å Г протокол оказывается заведомо нестойким. Поэтому в протоколе Шамира рекомендуется использовать преобразование вида Е_kA(k) = k^a mod p, в котором константа а определяется ключом k_а.