CC BY
17
УДК 004.056.55, 512.54 DOI: 10.14529/cmse200101
РАЗРАБОТКА И РЕАЛИЗАЦИЯ ГРУППОВОГО ПРОТОКОЛА ГЕНЕРАЦИИ КЛЮЧА НА БАЗЕ IKE
© 2020 А.А. Волохов, Ю.В. Косолапов
Южный федеральный университет (344066 Ростов-на-Дону, ул. им. Большая Садовая, д. 105/42) E-mail: sashavolohov@yandex.ru, itaim@mail.ru Поступила в редакцию: 16.07.2019
В качестве основы информационного взаимодействия участников в недоверенной среде часто выступает протокол выработки общего секретного ключа. С помощью такого ключа в дальнейшем может быть построен защищенный канал или защищенная сеть связи. В настоящее время актуальна задача разработки протоколов генерации общего ключа для группы участников. Одним из способов построения таких протоколов является обобщение протокола для двух участников на случай нескольких участников. В работе строится протокол генерации общего секретного ключа для группы участников (для конференции). В основе разработанного протокола лежит протокол IKE (Internet Key Exchange) из семейства протоколов IPSec для двух участников, обеспечивающий выполнение таких свойств безопасности, как аутентификация субъекта и сообщения, генерация новых ключей, защита от чтения назад, защита от повтора и ряда других. Стойкость разработанного протокола генерации ключа основана на сложности задачи дискретного логарифмирования в циклической группе. В работе исследуются свойства безопасности, обеспечиваемые построенным протоколом, в частности, исследуется стойкость к коалиционным атакам, актуальным для групповых протоколов. Также отмечаются некоторые особенности практического применения построенного протокола.
Ключевые слова: генерация секретного ключа, ЖЕ, конференция.
ОБРАЗЕЦ ЦИТИРОВАНИЯ
Волохов А.А., Косолапов Ю.В. Разработка и реализация группового протокола генерации ключа на базе IKE // Вестник ЮУрГУ. Серия: Вычислительная математика и информатика. 2020. Т. 9, № 1. С. 5-19. DOI: 10.14529/cmse200101.
Введение
Развитие средств связи и совершенствование технологий коммуникации приводит к упрощению объединения различных субъектов связи в группы [1]. Например, средства видеонаблюдения, контроля доступа и охранной сигнализации объединяются в единую систему физической защиты помещений; устройства бытовой техники, объединенные с системой защиты помещений, формируют систему «умный дом»; видеокамеры и радары объединяются в систему «умный город»; ученые, эксперты, специалисты объединяются в группы для обсуждения интересующих вопросов; рядовые пользователи сети Интернет объединяются в группы для общения, игр и т.п. Часто каналы связи между участниками группы не защищены физически от пассивного или активного вмешательства, что создает угрозу конфиденциальности и целостности данным, передаваемым по каналам. Для нейтрализации этой угрозы могут применяться криптографические протоколы, базовым среди которых является протокол генерации общего для группы секретного ключа. Возможным способом построения протокола генерации ключа является обобщение использующихся на практике двухточечных протоколов (протоколов для двух участников). Такой подход обоснован, например, тем, что для использующихся на практике двухточечных протоколов известны обеспечиваемые этими протоколами свойства безопасности, сформулированные инженерным советом интернета IETF (Internet Engineering Task Force).
В настоящее время для защиты данных, передаваемых по сетевому протоколу IP (Internet Protocol), часто используется семейство двухточечных протоколов IPSec (IP security). В семейство протоколов IPSec кроме протоколов аутентификации сторон и шифрования передаваемых пакетов входит протокол генерации ключей IKE. В [2] отмечено, что протокол IKE из набора двадцати свойств безопасности, сформулированных организацией IETF, обеспечивает выполнение 10-ти свойств: G1-G3, G7, G9-G11, G13-G15.
В настоящей работе ставится задача построения и реализации группового протокола генерации ключей на основе протокола IKE. Кроме введения и заключения, работа содержит три раздела. Первый раздел посвящен обзору работ в области генерации групповых секретных ключей. Во втором разделе приводятся необходимые сведения о протоколе IKE и его стойкости. В третьем разделе на базе IKE строится групповой протокол генерации ключей, обосновывается его стойкость и рассматриваются свойства безопасности, обеспечиваемые этим протоколом в рамках модели угроз, предложенной в 1981 году Д. Долевым и А. Яо [3]. В конце второго раздела анализируется коммуникационная сложность протокола и рассматриваются особенности реализации разработанного протокола, в частности, проводится экспериментальная оценка времени генерации ключа конференцией в зависимости от числа участников.
1. Обзор работ
Способы генерации группового ключа можно разделить на сетевые протоколы и канальные протоколы. Канальные протоколы характеризуются тем, что для генерации ключа могут использоваться особенности среды передачи сигнала. В частности, в [4] и [5] предложен канальный протокол генерации общего секретного ключа для группы беспроводных устройств. Так как на канальном уровне для каждой пары устройств помеховая обстановка отличается от помеховой обстановки любой другой пары, то каждая такая пара на первом этапе может сгенерировать общий секретный ключ пары. Такие ключи далее используются на втором этапе для генерации общего ключа группы. Теоретические основы генерации в зашумленной среде общего ключа между парами участников заложены А. Вайнером в работе [6] в 1975 г.
В сетевых протоколах не доступна информация о помеховой обстановке, поэтому для генерации ключа используются иные криптографические примитивы. В работе [7] рассматривается случай, когда участники группы имеют общий пароль, и их задачей является генерация с помощью группового протокола Диффи—Хэллмана общего секретного ключа. Основным результатом [7] является доказательство стойкости группового протокола к атаке по словарю. В [8] групповой протокол Диффи—Хэллмана модифицируется с целью защиты от нарушителя, имеющего доступ к долговременным ключам. Для аутентификации участников группы в [9] разработан протокол генерации ключа, где групповой ключ широковещательно рассылается сервером, а для аутентификации участников группы используется схема разделения секрета Шамира.
Отметим, что в работах [7] и [8] участники протокола при генерации протокола взаимодействуют непосредственно друг с другом, а в [9] — через центральный сервер. Такие способы взаимодействия участников используются для относительно небольших групп. В случае большого числа участников возможно применение древовидной сети, где выделяются участники, ответственные за генерацию и передачу ключевого материала для других
субъектов. В [10] на основе протокола Диффи—Хэллмана строится протокол генерации ключа в децентрализованной древовидной сети; там же доказывается его стойкость.
В работе [11], с целью упрощения вычислений, групповой протокол генерации ключа строится на основе обобщенных полиномов Чебышева. При этом, как утверждается в [11] (без приведения доказательства), безопасность протокола не снижается по сравнению с протоколом на основе Диффи—Хэллмана. Отметим, что разработка доказуемо стойких криптографических протоколов, в том числе, протоколов генерации ключей, в основе стойкости которых не лежат задачи дискретного логарифмирования и факторизации, является актуальной в связи с развитием квантовых вычислений. К работам в этом направлении можно отнести работу [12], где строится схема распределения ключей на 3-дизайнах Адамара и доказывается стойкость разработанной схемы к атакам коалиций мощности не более двух.
Несмотря на актуальность разработки новых криптографических протоколов для групп участников (в частности, протоколов, стойких в постквантовую эпоху), в настоящее время, с целью упрощения перехода от двухточечных протоколов к групповым, актуальна задача доработки существующих двухточечных протоколов до групповых версий. В настоящей работе групповой протокол генерации ключа строится на основе применяемого на практике двухточечного протокола IKE.
2. Двухточечный протокол генерации ключа
2.1. Протокол Диффи—Хэллмана
Ядром протокола IKE является протокол Диффи—Хэллмана для выработки общего ключа в незащищенном от прослушивания канале связи [13]. В удобном виде приведем протокол Диффи—Хэллмана. Пусть G = {д) — группа порядка р, порожденная элементом д. При выполнении протокола обе взаимодействующие стороны, обозначаемые С\ и С2, выбирают большие случайные числа ii,i2(E Zр) — секретные ключи Диффи—Хэллмана — и выполняют шаги, указанные ниже. Результатом выполнения этого протокола для двух
Протокол Диффи—Хеллмана 1: Ci —» С2 : ркеуг = дч 2: С2 Ci : ркеу2 = д12 3: Ci : SK = pkey2,i = (ркеу2)г1 4: С2 : SK = pkeyi)2 = (ркеуД2
участников является общий ключ SК, который может быть, например, ключом для симметричного шифрования пересылаемых в дальнейшем сообщений. Числа pkeyi и ркеу2 будем далее называть открытыми полуключами Диффи—Хэллмана.
Стойкость протокола Диффи—Хэллмана основана на том, что только по полуключам pkeyi и ркеу2 вычислительно сложно найти ключ SK. Предположение о вычислительной сложности этой задачи также называется предположением Диффи—Хэллмана (Diffie-Hallman assumption, DH) или предположением Диффи—Хэллмана о сложности вычисления (Computational Diffie-Hallman assumption, CDH). Оценка сложности этой задачи тесно связана с оценкой вычислительной сложности задачи дискретного логарифмирования [14], когда по заданному a Е G требуется найти целое неотрицательное решение х уравнения дх = а [13]. Предположение о сложности решения задачи дискретного логарифмирования называют предположением о дискретном логарифме (Discrete Logarithm assumption,
DL). Заметим, что если имеется эффективный алгоритм решения задачи дискретного логарифмирования, то имеется эффективный алгоритм нахождения ключа SK по полуключам pkeyi и ркег/2 ■ С другой стороны, если нет эффективного алгоритма для нахождения секретного ключа по открытым полуключам Диффи—Хэллмана, то нет эффективного алгоритма и для задачи вычисления дискретного логарифма. Иногда стойкость протокола Диффи— Хэллмана доказывается в рамках предположения Диффи—Хэллмана о принятии решения (Decisional Diffie-Hallman assumption, DDH) [15]. Согласно предположению DDH, случайные векторы (g11, (ф2, д1г12 ) и (д1г, gl2, дх) вычислительно неразличимы для достаточно большого числа р, где Д, Д, X — случайные величины, принимающие значения равновероятно из
Zp.
Недостатком протокола Диффи—Хеллмана является отсутствие защиты от атаки «человек посередине», а также от засоряющей атаки, в ходе которой одна из сторон многократно отправляет свои полуключи. В частности, ни инициатор соединения, ни отвечающая сторона не могут достоверно определить, кем является их собеседник, что позволяет реализовывать атаку типа человек посередине. Для защиты от такой атаки может быть использована, например, взаимная аутентификация на основе асимметричных криптоалгоритмов (см. далее протокол IKE). При выполнении засоряющей атаки, например, стороной С i, сторона С2 должна многократно вычислять полуключи протокола, что может привести к отказу в обслуживании со стороны Сф Чтобы предотвратить засоряющую атаку, к протоколу добавляются два раунда, в которых стороны обмениваются дополнительными наборами данных о клиентах, называемыми cookies. В общем случае, cookies представляют собой результат вычисления хеш-функции от уникальных идентификаторов, таких как IP-адрес, номер сетевого порта, номер протокола и т.п. Добавление cookies позволяет отвечающей стороне отсекать непрекращающиеся запросы от инициатора в начале протокола.
2.2. Протокол IKE
В упрощенном виде протокол IKE из семейства протоколов IPSec состоит из двух фаз, выполняемых друг за другом. Целью первой фазы является выработка для сеанса связи ключевого материала (см. (1)—(4)), на основе которого во второй фазе вырабатываются ключи шифрования сообщений, передаваемых в рамках сеанса (см. (9)). Обозначим Цт]д шифрование сообщения т на открытом ключе А по алгоритму асимметричного шифрования, согласованному участниками протокола. Пусть Xj — открытый ключ участника Cj, j = 1,2; h : /С х {0,1}* —> К\ — ключевая криптографическая хеш-функция с множеством ключей К, и множеством значений 7Ц, hash : {0,1}* —> К2 — бесключевая криптографическая хеш-функция с множеством значений %2- Фазы протокола IKE приведены в протоколах IKE. Фаза 1 и IKE. Фаза 2.
На первом шаге (раунде) первой фазы инициатор С\ отправляет заголовок HDRi, содержащий, в том числе, cookies и идентификатор передаваемого сообщения Msg id (для второй фазы), а также предложенные параметры безопасности SApr, включающие алгоритмы и параметры симметричного и асимметричного шифрования, алгоритмы вычисления хеш-значений. Отвечающая сторона отправляет свой заголовок HDR2 и выбранные параметры безопасности SAs. Далее участники обмениваются случайными числами собственными идентификаторами IDj и полуключами, шифруя передаваемые данные на открытых ключах получающей стороны с целью взаимной аутентификации (и защиты от атаки «человек посередине»). После четвертого раунда участники вычисляют ключевой
Протокол IKE. Фаза 1 Ci^C2: HDR^SApr CWCi :HDR2,SAs Cl ^ C2 : HDRi,pkeyi,
C2 -A Ci : HDR2,pkey2, [iV2(1), /n2]Xl Ci,C2 : вычисление 5, Sd, Sa, Se Cl -A C2 : ЯМЬ [#i]Se
Протокол IKE. Фаза 2
1: Ci у C2 : ЯПД1, [Я2, SAs, jvf), ркеуъ IDU ID2]Se 2: C2 -a Cl : ЯЩ, [tff, Ą2\pkey2, /П2,
3: Cl -a C2 : HDRi, [H2]Se
набор, состоящий из первоначального ключа 5, ключа для создания других ключей Sd,
ключа аутентификации Sa и ключа шифрования Se:
S = Я (hash ((набор N^)), (набор cookies)), (1)
Sd = h(S, SK\(набор cookies)|0), (2)
Sa = h(S, Sd\SK\(набор cookies)11), (3)
Se = h(S, Sa\SK\(Ha6op cookies)|2). (4)
Здесь (набор NW) имеет вид (iV^liVg1^), сгенерированный ключ SK равен ркеу\у2, а (набор cookies) равен (coo/ciesi|coofeies2). Здесь и далее а|Ь обозначает конкатенацию векторов (строк) а и Ь. Проверка правильности сгенерированного ключевого набора (аутентификация ключа) выполняется на шаге 6, где первым участником для j = 1 вычисляется значение
Hj = h(S, (набор полуключей, известных участнику Cj)\(набор cookies)\SAs\IDj), (5)
которое шифруется с помощью сгенерированного ключа Se (символом [т\а обозначается симметричное шифрование сообщения т на ключе а в рамках согласованной участниками симметричной криптосистемы) и отправляется второму участнику. Второй участник имеет необходимые данные для вычисления Hj (для j = 1) и проверки правильности общего ключа. Во второй фазе на первых двух шагах участники удостоверяются, что обе стороны используют один ключевой набор (1)—(4), сгенерированный на первой фазе, при этом:
Н2 = h(Sa,MsgID\SAs\Nf>), (6)
Н) = h(Sa,MsgID\N^\SAs\N^), (7)
Н2 = h(Sa,0\MsgID\(Ha6op iV(1)}). (8)
При этом для взаимной аутентификации участников используют случайные числа, которыми они обменялись в первой фазе. Взаимная аутентификация во второй фазе позволяет участникам убедиться, что собеседник не подменен. Третий шаг второй фазы используется для аутентификации ключевого материала, на основе которого генерируется общий ключ К шифрования сообщений в сеансе:
К = h(Sd, (набор iV(2))). (9)
3. Групповой протокол генерации ключа
Для построения группового протокола генерации ключа рассмотрим обобщение протокола Диффи—Хэллмана на случай те(£ N) участников. Множество натуральных чисел от 1 до п обозначим [те]. В обобщенном протоколе генерируемый ключ SK имеет вид где ij — секретный ключ Диффи—Хэллмана участника Cj, j £ [те]. Опишем процедуру генерации общего ключа. Пусть
Pkeyiu...jr = (10)
— полуключ порядка г, где числа 1\,..., 1Г принадлежат множеству [те] и попарно различны. Схема генерации общего ключа состоит в выполнении те — 1 итераций: на r-ой итерации участники вычисляют и обмениваются полуключами r-ого порядка, г £ [те — 1] (для простоты полагается, что вместе с полуключом r-ого порядка передаются номера участников, на основе секретных ключей которых построен этот полуключ). При вычислении полуключей r-ого порядка используются полуключи г — 1 порядка: участник Cj возводит в степень ij все такие полученные на предыдущей итерации полуключи pkey^ ir_г порядка г — 1, для которых j 0 {Zi, ...,^r_i}. Каждый полуключ pkeyilt...tir, вычисленный участником Cj на г-ой итерации, передается такому участнику Ск, для которого к 0 {1\,..., 1Г}. Таким образом, на (те — 1)-ой итерации каждый из участников отправит по одному полуключу порядка те — 1, с помощью которого может быть найден общий ключ SK.
В рамках модели угроз Долева-Яо, пассивный наблюдатель перехватывает все полуключи всех порядков. В [16] доказано, что если протокол Диффи—Хэллмана для двух пользователей вычислительно стойкий в рамках предположения DDH, то случайные векторы
ол
(<Л-
,9",9
9
hi
hh
;9
Jn-il
h-R-1
,9
9 h-I
..h-R
■i9 J-2-h.
J 9
9X)
h-h
(И)
(12)
вычислительно неразличимы, когда случайные величины X принимают значения
случайно и равновероятно из Ър. Это позволяет строить групповую версию протокола IKE.
3.1. Групповой протокол
В настоящей работе строится протокол с сервером, через который осуществляются пересылки сообщений, формируемых участниками в процессе генерации ключа. Ключом SK для многопользовательского протокола является значение Где g%j — полуключи
участников для j = 1,..., те, а д1т — полуключ сервера R. Значения Nsum = Х)Г=1 cookies hash = hash(cooA:iesi,..., cookiesn) и Nsuln = Х)Г=1 ^j^ используются при вычислении S, Sd, Sa, Se, Hj, H2 и К в формулах (1)—(5), (8) и (9) вместо соответственно (набор N^), (набор cookies), (набор N^}. Пусть N^mj = Nsum — N^ для i £ [2], IZ — открытый ключ сервера R] для указания на то, что отправителем данных (данные) является сервер R, будем использовать обозначение (данные) г;
= h(Sa,MsgID\Ń^\SAs\N^m). (13)
В протоколе для 3 < j < те символом pkey(Cj-1) обозначен набор полуключей, полученных сервером от участника Cj-1, ркеу(С\) = {ркеу1уГ,ркеуПуГ}, a pkey(Cj-i,j) — набор полуключей, получаемых путем возведения в степень ij (секретный ключ Диффи—Хэллмана
участника Cj) полуключей из pkey(Cj-\): pkey(Cj-i,j) = {pkeylj : pkey £ pkey(Cj-1)}. В частности, pkey(Cj) = pkey(Cj-i,j) для j = 2Символом pkey(Cn-1) обозначим следующий набор полуключей:
ркеу{Сп-1) = {p/ceyr : га 0 т,ркеут £ U”=711p/cey(C'z)},
а символом pkey(Cn) обозначим набор полуключей, отправляемых участником с номером га серверу (условие ркеу ф pkeyi,...,n-i,r гарантирует, что участник Сп не отправит серверу общий ключ SK по открытому каналу):
ркеу(Сп) = {(ркеу)гп : ркеут £ ркеу(Cn-i), ркеу ф pkeyi,...,n-i,r}.
Протокол Фаза 1
1: R -A Cj, j £ N : HDRr, {БApr, Nf\lDr}x.
2: Cj -A R, j £ N : HDRj, h(N^,IDj),pkeyj, [5AsJ, 1\Н1}, IDj\n 3: R^c2: HDRr, pkeyi,pkey{C\), /i(iV2(1), 1V2(1) |RD2)
4: C2 -A R : HDR2,pkeyit2,pkey(Ci,2)
5: ...
6: R -A Cj : HDRr,pkeyit...j-i,pkey(Ci), ...,pkey{Cj-1), h(N^\ \IDj)
7: Cj -a R : HDRj,pkeyit...j,pkey(Ci,j), ...,pkey(Cj-i,j)
8: ...
9: R-tCn: HDRr,pkeyi^n-i,pkey(Cn-i), h(N^\ N^\IDn)-,
10: Cn^ R: HDRn,pkeyi,...,n,pkey{Cn);
11: R -A Cj, j £ [ra - 1] : HDRr,pkeyi,2,...,j-i,j+i,...,n,r, coofcies/^Jz.,.
12: Cj,j £ [ra] : вычисление S, Sd, Sa, Se,h(Hj, Nj)
13: Cj -а R, j £ N : HDRj, [h{Hj, Ńj)\Se
Протокол Фаза 2 1: Cini i у R . [MsgID,IDinit,IDr\se 2: R -A Cj, j £ [ra] : /Д-, ^C)j]Se
3: Cj, j £ [ra] : вычисление H2 4: Cj -a R, j £ N : HDRj, [Й2, SAs, Nf] ,IDj,IDr]se 5: R -a Cj, j £ [n] : HDRr, [H2Rj, SAs, N^mJ, IDr, IDj]Se 6: Cj,j £ [ra] : вычисление H2, К 7: Cj -a R, j £ N : HDRj, [H2, IDj, IDr\se
Сервер в первой фазе на шагах 1 и 11 выполняет по га пересылок, а на шагах 2-10 сервер участвует га — 1 раз как инициатор пересылок. С другой стороны, каждый участник в первой фазе является инициатором пересылки три раза: шаги 2, 13 и один раз на одном из шагов с 3 по 12. Таким образом, суммарное число пересылок в первой фазе составляет порядка 6гг. На второй фазе сервер выполняет 2га пересылок (шаги 2 и 5), а участники совершают в совокупности 2га + 1 пересылок (шаги 1, 4 и 7). Общее количество пересылок составляет порядка 0(8га). Заметим, что число пересылок и объем пересылаемых данных в разработанном протоколе существенно меньше, чем при широковещательной рассылке
участниками полуключей r-ого порядка, когда г 6 [п — 1], так как в последнем случае требуется совершить порядка 0(п3) пересылок.
Для примера в табл. 1 приведены наборы пересылаемых полуключей при п = 4. В таблице выделены полуключи, на основе которых каждый участник Cj может вычислить общий секретный ключ SK, возведя полученные от сервера полуключи порядка п в степень, равную соответствующему секретному ключу ij (так как в протоколе участвует сервер, то общий ключ будет порядка п + 1).
Таблица 1
Наборы передаваемых полуключей для гг = 4 на шагах 3-13 первой фазы протокола
Раунд протокола Полуключи
Cj —¥ R, j = 1,..., п pkeyj
r^c2 pkeyA ,ркеу1уГ,ркеу4,г
c2^r ркеу1А,ркеу1АуГ, pkey2,4,r
R^C3 pkeyi,2,pkeyi,r,pkeyA,r, pkeyi,2,r, pkey2A,r
C3^R pkeyi,2,3, pfceyi,3jr,pfcey3,4,r, pkeyit2t3,r, pkey2,3A,r
Д-М74 pkeylt2,3, pkey1>r, pkey1A>r, pkeyi,3,r: \pkeylt2,3,r
C4 Я pfcej/1,2,3,4 , pkeyiAtT, pkeyi,2A,r , pkeyi,3A,r
Pfce?/2,3,4,r
R^C2 pkeyi>3A,r
R^C3 pkeyi>2A,r
3.2. Анализ свойств безопасности группового протокола
В протоколе IKE предусмотрены опции, применение которых обеспечивает свойства безопасности G1-G3, G7, G9-G11, G13-G15. Ниже приводится анализ построенного протокола на предмет выполнения свойств безопасности. Напомним, что, согласно модели Долева-Яо, нарушитель может: 1) получить любое сообщение, которое передается по сети, 2) устанавливать соединение с любым другим пользователем от своего имени, 3) стать стороной, принимающей сообщения, 4) передавать сообщения от имени других пользователей. С другой стороны, нарушитель не может: 1) угадывать случайные числа из достаточно большого диапазона, 2) расшифровывать сообщения, не имея ключа, 3) найти секретный ключ по открытому ключу, 4) получить доступ к закрытым внутренним ресурсам средств связи, таким как оперативная память или жесткий диск других пользователей.
Утверждение 1. Пусть Л — множество возможных нарушителей, R 0 Л. Подмена сервера R до выполнения первой и/или до выполнения второй фазы может быть выявлена участниками протокола за полиномиальное время.
Доказательство. Подмена сервера до выполнения первой фазы будет выявлена на третьем шаге первой фазы: для аутентификации серверу требуется расшифровать случайное число, отправленное каждым участником, и зашифрованное на открытом ключе сервера, чтобы отправить значение h(Nj1\ \IDj). В рамках модели Долева-Яо, нарушитель не может по открытому ключу найти секретный ключ и угадывать случайные числа из достаточно большого диапазона, поэтому нарушитель не может подменить сервер до начала первой фазы. Во второй фазе для аутентификации сервера также используются случайные
числа ivj1^ (см. (13)), которые по каналам связи передаются только в зашифрованном на открытом ключе сервера виде. Так как вычисление значения хеш-функции и расшифрование выполняется за полиномиальное время, то и аутентификация сервера выполняется за полиномиальное время. □
Утверждение 2. Пусть Л — множество возможных нарушителей. Каждый нарушитель из Л в рамках модели угроз Долева-Яо имеет доступ к полному набору полуключей, доступных легитимному участнику Cj для всех j Е [п] после завершения первой фазы протокола.
Доказательство. Доказательство следует из того, что все наборы полуключей в протоколе передаются в незашифрованном виде. □
Из утверждения 2 следует, что для аутентификации участников, то есть для доказательства субъектом соответствия своему идентификатору, набора полуключей для вычисления Hj не достаточно. Для аутентификации необходимо использовать информацию, доступную только самим участникам. Такой информацией может быть, например, случайное число ivj1^, сгенерированное участником на шаге 2 первой фазы для дальнейшей аутентификации сервера (в рамках модели Долева-Яо, нарушитель не может угадывать случайные числа из достаточно большого диапазона). Поэтому в протоколе на шаге 12 вычисляется хеш-значение h(Hj,Ń^) (так как число известно только участнику Cj и серверу R).
Утверждение 3. Пусть V = {Ci, ...,Cn,R} — множество легитимных участников протокола генерации группового ключа, Д — множество нарушителей, R 0 Д. Любой нарушитель из множества Д, выдающий себя в первой фазе протокола за легитимного участника из множества V, будет выявлен на одном из шагов первой фазы.
Доказательство. Пусть АД Д) — нарушитель. Рассмотрим два случая: А £ Д\Р и A £V. В первом случае нарушитель не является легитимным участником, однако в рамках модели Долева-Яо, ему неизвестны секретные ключи участников. Тогда нарушитель, выдающий себя за участника Cj в начале первой фазы, будет выявлен на шаге 2, так как не сможет расшифровать случайное число ivj1^, отправленное сервером. Заметим, что нарушитель может попытаться выдать себя за участника Cj на одном из шагов 2-10. На этих шагах сервером не проверяется источник сообщений, поэтому нарушитель не будет выявлен. И в этом случае ключ Диффи—Хэллмана SK' будет известен нарушителю, а, следовательно, могут быть вычислены ключи S', S'd, S'a и S'e (здесь штрихом обозначены ключи, которые получены с помощью секретного ключа Диффи—Хэллмана *1, выбранного нарушителем А). Однако на шаге 13 сервер проверяет правильность ключа, используя значение h(Hj, ivj1^). Так как случайное число -У-1'* известно только легитимному участнику (и не может быть угадано нарушителем), аутентифицированному к этому моменту сервером на шагах 1 и 2, то проверку на шаге 13 может пройти только легитимный участник. Аналогично показывается, что нарушитель из V также будет выявлен на шаге 2 или 13. □
Утверждение 4. Пусть V = {Ci, ...,Cn,R} — множество легитимных участников протокола генерации группового ключа, Д — множество нарушителей, R 0 Д. Любой нарушитель из множества Д, выдающий себя во второй фазе протокола за легитимного участника из множества V, будет выявлен на одном из шагов второй фазы.
Доказательство. Предполагается, что к началу второй фазы участники аутентифицированы, следовательно серверу известны случайные числа сгенерированные в
первой фазе участниками, а участникам — случайные числа сгенерированные
в первой фазе сервером. В рамках модели угроз Долева-Яо нарушитель не имеет доступа к этим случайным числам, поэтому использование во второй фазе случайных чисел с первой фазы обеспечивает взаимную аутентификацию сторон. Взаимная аутентификация во второй фазе выполняется с помощью хеш-значений Й? и Й^'К □
Из утверждений 1, 3 и 4 следует, что для первой и второй фазы группового протокола выполняется свойство G1 — аутентификация субъекта.
Для аутентификации передаваемых в ходе протокола сообщений используются хеш-значения Hj (шаг 13 в первой фазе) и Н2 (шаг 7 во второй фазе), которые вычисляются с помощью криптографической хеш-функции с использованием случайных чисел, известных только серверу и легитимным участникам. Таким образом, выполняется свойство G2 — аутентификация сообщений. Использование случайных чисел, как в первой фазе, так и во второй фазе обеспечивает также защиту от повтора (свойство G3), защиту от чтения назад (свойство G9). Защита от чтения назад обеспечивается за счет того, что компрометация ключа SK не позволяет в случае использования криптографической хеш-функции h найти ключевой материал (1)—(4), зависящий не только от SK, но и от случайных чисел, передаваемых между клиентами и сервером в зашифрованном виде. Применение случайных чисел в каждой фазе обеспечивает формирование новых ключей (свойство G10). Однако во второй фазе не выполняется свойство совершенной прямой секретности (PFS, Perfect Forward Security), так как во второй фазе ключи генерируются на основе ключа Диффи—Хэллмана, полученного в первой фазе. Генерация во второй фазе ключей Диффи—Хэллмана, как показали эксперименты (см. раздел 3.3), существенно замедляет скорость обмена сообщениями: с ростом числа участников время генерации общего ключа растет нелинейно. Отметим, что в двухточечном протоколе IKE предусмотрен режим, обеспечивающий PFS.
Утверждение 5. Пусть V = {Ci, ...,Cn,R} — множество легитимных участников протокола генерации группового ключа, Л — множество нарушителей, R 0 Л. В завершении первой и/или второй фазы сервер либо обнаруживает вмешательство нарушителя, либо фиксирует, что только участникам из V известен секретный ключ.
Доказательство. Из утверждений 1, 3 и 4 вытекает, что нарушитель может быть выявлен в течении первой или второй фазы. Неизвестность секретного ключа вытекает из стойкости группового протокола Диффи—Хэллмана в рамках предположения DDH (наборы (11) и (12) неотличимы за полиномиальное время). □
Из утверждения 5 вытекает свойство G7: сервер получает подтверждение того, что никакой другой участник, кроме заранее определенных участников конференции, не может получить доступа ни к одному секретному ключу.
Передача ассоциации безопасности SApj. и SAs в шифрованном виде (см. шаги 1 и 2 первой фазы) обеспечивает выполнение свойства G11 — стороны могут безопасно договориться о параметрах защищенной связи. Шифрование идентификаторов (ID) позволяет обеспечить свойство G13 — анонимность при прослушивании, а так как участники не подписывают сообщения электронной цифровой подписью, и идентификаторы, в общем случае, могут быть псевдонимами, меняющимися от сеанса к сеансу, то обеспечивается частичная
анонимность при работе с другими участниками (свойство G14). Частичная анонимность обеспечивается в том смысле, что серверу известны публичные ключи участников; с другой стороны, всем участникам известен идентификатор сервера, так как на втором шаге первой фазы участниками используется публичный ключ сервера. В протоколе предусмотрена ограниченная защищенность от атак типа отказ в обслуживании (свойство G15): вычисления общего секретного ключа по групповому протоколу Диффи—Хэллмана происходят после аутентификации клиентов (шаги 1 и 2), а также за счет cookies, передаваемых в заголовках сообщений. Частичная защита связана с тем, что ряд атак может проводиться после этапа аутентификации субъектов, например, подмена легитимного участника нарушителем.
Заметим, что из утверждений 1, 3, 4 и 5 вытекает необходимость в доверии серверу R, так как выполнение свойств G1 и G7 доказано при допущении, что сервер не входит в число нарушителей. Недоверенный сервер может выдать себя за любого участника конференции и посылать сообщения от его имени. В этом случае свойства G1 и G7 не выполняются: подмена сервером одного участника (или нескольких) останется незамеченной другими участниками конференции.
3.3. Особенности реализации
В работе для реализации пользовательской части использовался фреймворк Vue, который позволяет применять реактивные данные на языке JavaScript для удобного взаимодействия с пользователем. Серверная часть реализована с помощью сервера Node.js, фреймворка Express и пакета Cors, который позволяет абстрагироваться от низкоуровневой архитектуры программы и описывать непосредственно логику хранения и пересылок данных. Вычисления проводились на MacBook Pro (13-inch, 2018, Four Thunderbolt 3 Ports), процессор 2,3 GHz Intel Core i5, 8 ГБ 2133 MHz LPDDR3, видеокарта Intel Iris Plus Graphics 655 1536 МБ. После выполнения протокола у каждого из клиентов на странице браузера отображается итоговый ключ К, вычисляемый в соответствии с (9) и используемый для дальнейшего шифрования сообщений. При реализации были проведены замеры времени между первым отправляемым сообщением и выработкой ключа К на стороне участника с номером п, а также на стороне сервера между первым сообщением получаемым от участника с номером 1 и последним сообщением, отправляемым участнику с номером п. Для реализации группового протокола Диффи—Хэллмана выбрана мультипликативная группа конечного поля F2256, а для работы с большими числами использована библиотека Big-Integer.
Несмотря на то, что разработанный протокол с сервером (0(8п) пересылок) обладает меньшей коммуникативной сложностью, чем протокол без сервера (0(п3) пересылок), использование тяжелой арифметики больших чисел в протоколе Диффи—Хэллмана приводит к тому, что с ростом числа участников конференции время генерации ключа растет нелинейно. Как видно из табл. 2, даже при небольшой длине ключа Диффи—Хэллмана для 14 клиентов ключ генерируется, без учета времени на пересылку, порядка 10 с.
Заключение
В работе на основе двухточечного протокола IKE построен протокол генерации ключа для группы участников. Представляется, что в разработанном протоколе может быть использован не только протокол Диффи—Хэллмана, но и другие криптографические примитивы, такие как полиномы Чебышева, а также примитивы на основе помехоустойчивых
Таблица 2
Время выполнения от количества клиентов п, мс. Длина ключ Диффи—Хэллмана — 256 бит
п На сервере На клиенте п На сервере На клиенте
2 888 915 9 724 2189
3 701 2023 10 1947 1982
4 333 1557 11 2260 2299
5 938 2228 12 2528 3830
6 881 2340 13 4977 5021
7 644 1754 14 9130 9180
8 886 1980
кодов. Отметим, что использование арифметики больших чисел приводит к низкой скорости генерации ключа даже для относительно небольших групп (см. табл. 2). Кроме того, согласно [17], для задачи дискретного логарифмирования имеется эффективный алгоритм для квантовых компьютеров. Поэтому криптографические алгоритмы, основанные, в частности, на предположениях DL, DH или DDH, в постквантовую эпоху не будут обеспечивать высокой стойкости. В связи с этим особенно актуальна адаптация разработанного протокола для применения в нем криптографических примитивов на основе некоторых кодовых криптосистем типа Мак-Элиса, обзор которых приведен, например, в [18].
Для разработанного протокола показано, что выполнение ряда свойств безопасности, которые обеспечивает протокол IKE, требует наличие доверия к серверу, через который происходит общение участников при генерации ключа. В случае использования недоверенного сервера выполнение, как минимум, свойств G1 (аутентификация субъекта) и G7 (гарантия неизвестности ключа нелегитимным участникам) не гарантируется. В связи с этим еще одной актуальной задачей для дальнейшего исследования является доработка протокола для использования недоверенного сервера.
Литература
1. Bilal М., Kang S.-G. A Secure Key Agreement Protocol for Dynamic Group // Journal Cluster Computing. 2017. Vol. 20, no. 3. P. 2779-2792. DOI: 10.1007/sl0586-017-0853-0.
2. Черемушкин А.В. Криптографические протоколы: основные свойства и уязвимости // Прикладная дискретная математика. 2009. Приложение 2. С. 115-150.
3. Dolev D., Yao А.С. On the Security of Public Key Protocol // IEEE Transactions on Information Theory. 1983. Vol. 29, no. 2. P. 198-208. DOI: 10.1109/tit.1983.1056650.
4. Liu H., Yang J., Wang Y., Chen Y.J., Koksal C.E. Group Secret Key Generation via Received Signal Strength: Protocols, Achievable Rates, and Implementation // IEEE Transactions on Mobile Computing. 2014. Vol. 13, no. 12. P. 2820-2835. DOI: 10.1109/TMC.2014.2310747.
5. Xu P., Cumanan K., Ding Z., Dai X., Leung K.K. Group Secret Key Generation in Wireless Networks: Algorithms and Rate Optimization // IEEE Transactions on Information Forensics and Security. 2016. Vol. 11, no. 8. P. 1831-1846. DOI: 10.1109/TIFS.2016.2553643.
6. Wyner A.D. The wire-tap channel // The Bell System Technical Journal. 1975. Vol. 54, no. 8. P. 1355-1387. DOI: 10.1002/j.l538-7305.1975.tb02040.x.
7. Bresson Е., Chevassut О., Pointcheval D. Group Diffie-Hellman Key Exchange Secure against Dictionary Attacks // 8th International Conference on the Theory and Application of Cryptology and Information Security (Queenstown, New Zealand, December, 1-5, 2002). Lecture Notes in Computer Science. 2002. P. 497-514. DOI: 10.1007/3-540-36178-2_31.
8. Bresson E., Manulis M. Securing Group Key Exchange against Strong Corruptions and Key Registration Attacks // International Journal of Applied Cryptography. 2008. Vol. 1, no. 2. P. 91-107. DOI: 10.1504/IJACT.2008.021083.
9. Baiju B.V. Secret Key Sharing Scheme Based On Key Generation Centre For Authenticated Exchange Of Messages // International Journal of Engineering Science Invention. 2013. Vol. 2, no. 11. P. 15-21.
10. Kim Y., Perrig A., Tsudik G. Tree-based Group Key Agreement // ACM Transactions on Information and System Security. 2004. Vol. 7, no. 1. P. 60-96. DOI: 10.1145/984334.984337.
11. Lin T.-H., Tsung C.-К., Lee T.-F., Wang Z.-B. A Round-Efficient Authenticated Key Agreement Scheme Based on Extended Chaotic Maps for Group Cloud Meeting // Sensors. 2017. Vol. 17, no. 12. P. 1-14. DOI: 10.3390/sl7122793.
12. Деундяк B.M., Таран А.А. Система распределения ключей на дизайнах. // Моделирование и анализ информационных систем. 2019. Т. 26, № 2. С. 229-243. DOI: 10.18255/1818-1015-2019-2-229-243.
13. Diffie W., Heilman М.Е. New Directions in Cryptography // IEEE Transactions on Information Theory. 1976. Vol. 22, no. 6. P. 644-654. DOI: 10.1109/TIT.1976.1055638.
14. ElGamal T. A Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms // IEEE Transactions on Information Theory. 1985. Vol. 31, no. 4. P. 469-472. DOI: 10.1109/TIT.1985.1057074.
15. Boneh D. The Decision Diffie-Hellman Problem // Third International Symposiun, ANTS-III (Portland, Oregon, USA, June, 21-25, 1998). Lecture Notes in Computer Science. 1998. Vol. 1423. P. 48-63. DOI: 10.1007/BFb0054851.
16. Steiner M., Tsudik G., Waidner M. Diffie-Hellman Key Distribution Extended to Group Communication // 3rd ACM conference on Computer and communications security (New Delhi, India, March, 14-15, 1996). New York, ACM. 1996. P. 31-37. DOI: 10.1145/238168.238182.
17. Sendrier N. Code-Based Cryptography: State of the Art and Perspectives // IEEE Security к Privacy. 2017. Vol. 15, no. 4. P. 44-50. DOI: 10.1109/MSP.2017.3151345.
18. Deundyak V.M., Kosolapov Yu.V. On the Berger-Loidreau Cryptosystem on the Tensor Product of Codes // Journal of Computational and Engineering Mathematics. 2018. Vol. 5, no. 2. P. 16-33. DOI: 10.14529/jceml80202.
Волохов Александр Александрович, магистрант, Южный федеральный университет,
Институт математики, механики и компьютерных наук им. И.И. Воровича (Ростов-на-Дону,
Российская Федерация)
Косолапов Юрий Владимирович, к.т.н., кафедра алгебры и дискретной математики,
Южный федеральный университет, Институт математики, механики и компьютерных наук
им. И.И. Воровича (Ростов-на-Дону, Российская Федерация)
DOI: 10.14529/cmse200101
DEVELOPMENT AND IMPLEMENTATION OF THE CONFERENCE SECRET KEY GENERATION PROTOCOL BASED ON IKE
© 2020 A.A. Volokhov, Y.V. Kosolapov
Southern Federal University
(Bolshaya Sadovaya 105/42, Rostov-on-Don, 344006 Russia)
E-mail: sashavolohov@yandex.ru, itaim@mail.ru Received: 16.07.2019
The protocol for generating a shared secret key often acts as the basis for informational interaction of participants in an untrusted environment. With the help of such a key, a secure channel or a secure communication network can be built in further interactions. Currently, the task of developing protocols for generating a shared key for a group of participants is relevant. One way to build such protocols is to generalize the protocol for two participants to the case of several participants. In the paper a protocol for generating a shared secret key for a group of participants (for a conference) is developed. The developed protocol is based on the Internet Key Exchange (IKE) protocol from the IPSec family of protocols for two participants, which ensures the implementation of security properties, such as authentication of the subject and message, generation of new keys, protection against reading back, protection against repetition, and a number of others. The strength of the developed key generation protocol is based on the complexity of the discrete logarithm problem in a cyclic group. The work studies the security properties provided by the constructed protocol, in particular, it studies the resistance to coalition attacks that are relevant for group protocols. Some features of the practical application of the constructed protocol are also noted.
Keywords: private key generation, IKE, conference.
FOR CITATION
Volokhov A.A., Kosolapov Y.V. Development and Implementation of the Conference Secret Key Generation Protocol Based on IKE. Bulletin of the South Ural State University. Series: Computational Mathematics and Software Engineering. 2020. Vol. 9, no. 1. P. 5-19. (in Russian) DOI: 10.14529/cmse200101.
This paper is distributed under the terms of the Creative Commons Attribution-Non Commercial 3.0 License which permits non-commercial use, reproduction and distribution of the work without further permission provided the original work is properly cited.
References
1. Bilal M., Kang S.-G. A Secure Key Agreement Protocol for Dynamic Group. Journal Cluster Computing. 2017. Vol. 20, no. 3. P. 2779-2792. DOI: 10.1007/sl0586-017-0853-0.
2. Cheremushkin A.V. Cryptographic Protocols: Basic Properties and Vulnerabilities. Applied discrete mathematics. Appendix. 2009. no. 2. P. 115-150. (in Russian)
3. Dolev D., Yao A.C. On the security of public key protocol. IEEE Transactions on Information Theory. 1983. Vol. 29, no. 2. P. 198-208. DOI: 10.1109/tit.1983.1056650.
4. Liu H., Yang J., Wang Y., Chen Y. J., Koksal C.E. Group Secret Key Generation via Received Signal Strength: Protocols, Achievable Rates, and Implementation. IEEE Transactions on Mobile Computing. 2014. Vol. 13, no. 12. P. 2820-2835. DOI: 10.1109/TMC.2014.2310747.
5. Xu P., Cumanan K., Ding Z., Dai X., Leung K.K. Group Secret Key Generation in Wireless
Networks: Algorithms and Rate Optimization. IEEE Transactions on Information Forensics and Security. 2016. Vol. 11, no. 8. R 1831-1846. DOI: 10.1109/TIFS.2016.2553643.
6. Wyner A.D. The Wire-tap Channel. The Bell System Technical Journal. 1975. Vol. 54, no. 8. P. 1355-1387. DOI: 10.1002/j.l538-7305.1975.tb02040.x.
7. Bresson E., Chevassut O., Pointcheval D. Group Diffie-Hellman Key Exchange Secure against Dictionary Attacks. 8th International Conference on the Theory and Application of Cryptology and Information Security (Queenstown, New Zealand, December, 1-5, 2002). Lecture Notes in Computer Science. 2002. P. 497-514. DOI: 10.1007/3-540-36178-2_31.
8. Bresson E., Manulis M. Securing Group Key Exchange against Strong Corruptions and Key Registration Attacks. International Journal of Applied Cryptography. 2008. Vol. 1, no. 2. P. 91-107. DOI: 10.1504/IJACT.2008.021083.
9. Baiju B.V. Secret Key Sharing Scheme Based On Key Generation Centre For Authenticated Exchange Of Messages. International Journal of Engineering Science Invention. 2013. Vol. 2, no. 11. P. 15-21.
10. Kim Y., Perrig A., Tsudik G. Tree-based Group Key Agreement. ACM Transactions on Information and System Security. 2004. Vol. 7, no. 1. P. 60-96. DOI: 10.1145/984334.984337.
11. Lin T.-H. , Tsung C.-К., Lee T.-F., Wang Z.-B. A Round-Efficient Authenticated Key Agreement Scheme Based on Extended Chaotic Maps for Group Cloud Meeting. Sensors. 2017. Vol. 17, no. 12. P. 1-14. DOI: 10.3390/sl7122793.
12. Deundyak V.M., Taran A.A. Key Distribution System Based on Hadamard Designs. Modeling and Analysis of Information Systems. 2019. Vol. 26, no. 2. P. 229-243. (in Russian) DOI: 10.18255/1818-1015-2019-2-229-243.
13. Diffie W., Heilman M.E. New Directions in Cryptography. IEEE Transactions on Information Theory. 1976. Vol. 22, no. 6. P. 644-654. DOI: 10.1109/TIT.1976.1055638.
14. ElGamal T. A Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms. IEEE Transactions on Information Theory. 1985. Vol. 31, no. 4. P. 469-472. DOI: 10.1109/TIT.1985.1057074.
15. Boneh D. The Decision Diffie-Hellman Problem. Third International Symposiun, ANTS-III (Portland, Oregon, USA, June, 21-25, 1998). Lecture Notes in Computer Science. 1998. Vol. 1423. P. 48-63. DOI: 10.1007/BFb0054851.
16. Steiner M., Tsudik G., Waidner M. Diffie-Hellman key distribution extended to group communication. 3rd ACM conference on Computer and communications security (New Delhi, India, March, 14-15, 1996). New York, ACM. 1996. P. 31-37. DOI: 10.1145/238168.238182.
17. Sendrier N. Code-Based Cryptography: State of the Art and Perspectives. IEEE Security & Privacy. 2017. Vol. 15, no. 4. P. 44-50. DOI: 10.1109/MSP.2017.3151345.
18. Deundyak V.M., Kosolapov Yu.V. On the Berger-Loidreau Cryptosystem on the Tensor Product of Codes. Journal of Computational and Engineering Mathematics. 2018. Vol. 5, no. 2. P. 16-33. DOI: 10.14529/jceml80202.
