Научная статья на тему 'СПОСОБ АУТЕНТИФИКАЦИИ ЗНАЧЕНИЙ ДИФФИ - ХЕЛЛМАНА НА ОСНОВЕ ПРЕДВАРИТЕЛЬНО РАСПРЕДЕЛЕННЫХ СЛУЧАЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ И АЛГОРИТМА АУТЕНТИФИКАЦИИ ВЕГМАНА - КАРТЕРА С ОДНОРАЗОВЫМ КЛЮЧОМ'

СПОСОБ АУТЕНТИФИКАЦИИ ЗНАЧЕНИЙ ДИФФИ - ХЕЛЛМАНА НА ОСНОВЕ ПРЕДВАРИТЕЛЬНО РАСПРЕДЕЛЕННЫХ СЛУЧАЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ И АЛГОРИТМА АУТЕНТИФИКАЦИИ ВЕГМАНА - КАРТЕРА С ОДНОРАЗОВЫМ КЛЮЧОМ Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
286
23
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
МЕТОД ДИФФИ - ХЕЛЛМАНА / АУТЕНТИФИКАЦИА / УНИФЕРСАЛЬНЫЕ ХЭШ-ФУНКЦИИ / АУТЕНТИФИКАЦИЯ ВЕГМАНА - КАРТЕРА

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Яковлев В. А.

Исследуется способ аутентификации ключей, формируемых методом Диффи - Хеллмана, в условиях применения злоумышленником атаки «человек-посередине». Предполагается, что пользователи Алиса и Боб, формирующие ключ, имеют предварительно распределенные случайные цепочки бит a и b соответственно, полученные либо от некоторого источника, либо сгенерированные ими самими на основе данных, полученных от магнитометров или акселерометров из состава мобильных устройств. Злоумышленник не имеет доступа к этим цепочкам. Предложен способ аутентификации значений Диффи - Хеллмана (DH-значений). С этой целью сообщение (DH-значение) Алисой разделяется на N блоков. Для каждого блока вычисляется аутентификатор с использованием алгоритма Вегмана - Картера с одноразовым ключом, в качестве которого используются последовательности a и b. DH-значение и аутентификаторы передаются по каналу Бобу, который вычисляет аутентификаторы от принятого DH-значения и сравнивает их с аутентификаторами, принятыми из канала. Если число не аутенифицированных блоков не превышает установленный порог, то аутентификация DH-значения считается успешной. Особенность решения данной задачи состоит в том, что последовательности a и b в точности не совпадают. Выведены соотношения для оценивания вероятности ложного отклонения DH-значения (из-за несовпадения цепочек a и b) и вероятности навязывания ложного DH-значения. Проведена оптимизация параметров способа (количества подблоков и длины аутентификатора), при которых минимизируется расход ключа аутентификации (цепочек a и b) при выполнении заданных требований по вероятности подмены и вероятности ложного отклонения DH-значения. Приведены примеры выбора параметров аутентификации DH-значения длиной 256 бит. Показана возможность обеспечения достаточно малых значений вероятности ложного отклонения DH-значения и вероятности навязывания ложного DH-значения (106).

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Яковлев В. А.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

METHOD FOR AUTHENTICATION OF DIFFIE - HELLMAN VALUES BASED ON PRE-DISTRIBUTED RANDOM SEQUENCES AND WEGMAN - CARTER ONE-TIME PAD ALGORITHM

A method of authentication of keys generated by the Diffie-Hellman method is investigated in the context of the use of a man-in-the-middle attack by an attacker. It is assumed that the users Alice and Bob, who form the key, have pre-distributed random bit strings a and b, respectively, obtained either from some source or generated by themselves based on data obtained from magnetometers or accelerometers from mobile devices. The attacker has no access to these chains. A method for authenticating Diffie - Hellman values (DH values) is proposed. For this purpose, the message (DH-value) is divided by Alice into N blocks. For each block, an authenticator is calculated using the Wegman - Carter algorithm with a one-time pad keys, which are sequences a and b. The DH-value and authenticators are transmitted over the channel to Bob, who calculates authenticators from the received DH-value and compares them with the authenticators received from the channel. If the number of unauthenticated blocks does not exceed the set threshold, then DH-value authentication is considered successful. But the drawback of this method is a little disagreement between authenticating strings of different users. The formulas for probabilities of the undetected deception and the false alarm (due to the mismatch of chains a and b) are proved. The optimization of the method parameters (the number of blocks and the length of the authenticator) is carried out, at which the consumption of the authentication key (chains a and b) is minimized when the specified requirements for the probability of the undetected deception and the false alarm are met. Examples of the choice of authentication parameters for a 256-bit DH-value are given.

Текст научной работы на тему «СПОСОБ АУТЕНТИФИКАЦИИ ЗНАЧЕНИЙ ДИФФИ - ХЕЛЛМАНА НА ОСНОВЕ ПРЕДВАРИТЕЛЬНО РАСПРЕДЕЛЕННЫХ СЛУЧАЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ И АЛГОРИТМА АУТЕНТИФИКАЦИИ ВЕГМАНА - КАРТЕРА С ОДНОРАЗОВЫМ КЛЮЧОМ»

УДК 004.056.(075.8) 001:10.31854/1813-324Х-2021-7-3-79-90

Способ аутентификации значений Диффи - Хеллмана на основе предварительно распределенных случайных последовательностей и алгоритма аутентификации Вегмана - Картера с одноразовым ключом

В.А. Яковлев1*

1Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича, Санкт-Петербург, 193232, Российская Федерация *Адрес для переписки: [email protected]

Информация о статье

Поступила в редакцию 09.06.2021 Принята к публикации 19.07.2021

Ссылка для цитирования: Яковлев В.А. Способ аутентификации значений Диффи - Хеллмана на основе предварительно распределенных случайных последовательностей и алгоритма аутентификации Вегмана - Картера с одноразовым ключом // Труды учебных заведений связи. 2021. Т. 7. № 3. С. 79-90. Б01:10.31854/1813-324Х-2021-7-3-79-90

Аннотация: Исследуется способ аутентификации ключей, формируемых методом Диффи - Хеллмана, в условиях применения злоумышленником атаки «человек-посередине». Предполагается, что пользователи Алиса и Боб, формирующие ключ, имеют предварительно распределенные случайные цепочки бит а и Ь соответственно, полученные либо от некоторого источника, либо сгенерированные ими самими на основе данных, полученных от магнитометров или акселерометров из состава мобильных устройств. Злоумышленник не имеет доступа к этим цепочкам. Предложен способ аутентификации значений Диффи - Хеллмана ^И-значений). С этой целью сообщение ^И-значение) Алисой разделяется на N блоков. Для каждого блока вычисляется аутентификатор с использованием алгоритма Вегмана - Картера с одноразовым ключом, в качестве которого используются последовательности а и Ь. DИ-значение и аутентификаторы передаются по каналу Бобу, который вычисляет аутентификаторы от принятого DИ-значения и сравнивает их с аутентификаторами, принятыми из канала. Если число не аутенифициро-ванных блоков не превышает установленный порог, то аутентификация DИ-значения считается успешной. Особенность решения данной задачи состоит в том, что последовательности а и Ь в точности не совпадают. Выведены соотношения для оценивания вероятности ложного отклонения DИ-значения (из-за несовпадения цепочек а и Ь) и вероятности навязывания ложного DИ-значения.

Проведена оптимизация параметров способа (количества подблоков и длины аутентификатора), при которых минимизируется расход ключа аутентификации (цепочек а и Ь) при выполнении заданных требований по вероятности подмены и вероятности ложного отклонения DИ-значения. Приведены примеры выбора параметров аутентификации DИ-значения длиной 256 бит. Показана возможность обеспечения достаточно малых значений вероятности ложного отклонения DИ-значения и вероятности навязывания ложного DИ-значения (106).

Ключевые слова: метод Диффи - Хеллмана, аутентификациа, униферсальные хэш-функции, аутентификация Вегмана - Картера.

Введение

Метод Диффи - Хеллмана [1] позволяет использовать незащищенный от перехвата канал связи для формирования общего ключа шифрования с целью создания безопасного соединения между

двумя корреспондентами. Этот метод нашел широкое применение в сетевых протоколах SSL/TLS, IPsec, PGP и др. Суть метода следующая. Пользователи сети Алиса (Л) и Боб (В) согласуют параметры: p и g, где р - простое число, а g - элемент конечного поля GF(p), порождающий группу, имею-

щую большой порядок, и выполняют следующий протокол:

- Алиса генерирует элемент поля х £ (1, р — 1), вычисляет X = дх (modp) и посылает его Бобу;

- Боб генерирует элемент у £ (1, р — 1), вычисляет Y = ду (modp) и посылает его Алисе;

- Алиса вычисляет ключ К = Yx (modp);

- Боб вычисляет ключ К = Ху (modp).

Легко видеть, что ключи, вычисленные Алисой и Бобом, равны между собой К = дух(modp) = = дху (modp).

Будем далее величины X, Y, которые передаются по открытым каналам, называть значениями Диф-фи - Хеллмана (DH-значениями).

Однако известно, что данный метод подвержен атаке «человек посередине». Алиса и Боб могут оказаться в ситуации, при которой они установили связь с злоумышленником - Евой (Е), которая Алисе выдает себя Бобом, а Бобу представляется Алисой. Поэтому для дальнейшей совместной работы Алисе и Бобу требуется аутентифицировать ключи, сгенерированные по методу Диффи - Хел-лмана.

Одним из направлений решения задачи аутентификации ключа является цифровая подпись DH-значений удостоверяющим центром или самим пользователем. Проверка цифровой подписи осуществляется с использованием открытого ключа, распространяемого в сети посредством сертификата. Такой подход требует использования технологии PKI, что не всегда удобно для пользователей особенно мобильных сетей.

Другим подходом к решению задачи аутентификации ключа, распределяемого по методу Диф-фи - Хеллмана, является использование для аутентификации предварительно распределенных между пользователями двоичных последовательностей. Эти последовательности пользователи вырабатывают в ходе процедуры сопряжения своих мобильных устройств во время личной встречи [2-4]. Нарушитель в этот момент удален от пользователей и не получает доступа к сообщениям, которыми они обмениваются. Непосредственно использовать вырабатываемые последовательности в качестве ключа шифрования пользователи не могут, так как эти последовательности содержат определенный процент ошибок (несовпадений). В настоящей работе проводится исследование способа аутентификации DH-значений с использованием аутентифицирующих последовательностей независимо от способа их получения.

Сценарий сопряжения мобильных устройств и аутентификация DH-значений

Задача получения пользователями идентичных последовательностей может быть решена на основе создания между пользователями дополнительного (OOB, аббр. от Out-Of-Band) канала: визуаль-

ного, акустического, вибрационного, тактильного или магнитометрического [5-14]. Дополнительный канал образуется между двумя мобильными устройствами при личной встрече пользователей, при этом не требуется передача какой-либо информации по каналу связи, что затрудняет проведение атак со стороны злоумышленника. Будем для краткости называть обмен данными по дополнительному каналу с целью выработки идентичных последовательностей сопряжением мобильных устройств.

Поскольку участие пользователей при сопряжении неизбежно, решающими факторами в выборе способа сопряжения являются удобство использования и безопасность передаваемых данных. Кроме того, поскольку канал 00В обладает низкой пропускной способностью, объем информации, передаваемой по нему, должен быть сведен к минимуму.

Сравнительная характеристика дополнительных каналов приведена в работах [5, 14]. Любой из рассмотренных каналов может быть применен для выработки двоичных последовательностей с целью их последующего использования для аутентификации ОЯ-значений. В явном виде последовательности вырабатываются при применении акселерометров или магнитометров. Поэтому эти способы в наибольшей степени подходят для решения исследуемой в работе задачи. Рассмотрим их более подробно.

Вибрационный канал. Использование вибрационного канала представляется возможным для устройств, содержащих в себе датчики акселерометра. Два мобильных устройства, содержащие датчики акселерометра, необходимо встряхивать пользователем в одной руке в течение примерно 5 с [12]. В это время осуществляется считывание информации о положении мобильного устройства в пространстве и преобразование ее в цифровой код. Два устройства (А и В), которые трясли вместе, на выходе получат схожие последовательности.

Магнитометрический канал. Пользователям необходимо удерживать два устройства вблизи друг к другу несколько секунд без выполнения каких-либо дополнительных операций. Устройства считывают собственные показания датчиков магнитометра и обмениваются ими. Сопряжение мобильных устройств с использованием магнитометрического канала, по сравнению с вибрационным, обеспечивает более высокую скорость работы (4,5 с), низкую вероятность ошибочной аутентификации и позволяет минимизировать участие пользователя в процессе сопряжения устройств, что указывает на преимущество магнитометрического канала для выработки случайных последовательностей [5]. Поэтому далее мы будем предполагать, что используется этот канал, хотя в принципе возможно применение и других каналов.

Сценарий сопряжения мобильных устройств, формирования ключа с аутентификацией DH-значений включает четыре этапа (рисунок 1).

Этап 1. Алиса и Боб проводят процедуру сопряжения мобильных устройств (смартфонов). Для этого они располагают устройства достаточно близко друг к другу (касаются друг друга) и удерживают несколько секунд. В это время в каждом смартфоне производится измерение магнитного поля Земли по трем пространственным осям. Значения магнитного поля квантуются, и из них формируются двоичные последовательности.

В процессе измерений поля между устройствами осуществляется локальный обмен данными, например, по каналу Bluetooth, для коррекции измерительных базисов устройств с целью обеспечения их идентичности. В итоге каждое устройство формирует случайную двоичную последовательность необходимой длины. Эти последовательности пользователи записывают в память своих устройств и будут использовать по мере необходимости как ключи в процедуре аутентификации DH-значений по каналу связи. Обозначим сформированные пользователями А и В последовательности, как a и b, соответственно.

В [5] подробно описан процесс сбора и коррекции данных магнитометров. Мы не будем приводить эти результаты, поскольку они составляют предмет отдельного исследования, отметим лишь, что нами были проведены аналогичные исследования [15], которые подтвердили результаты работы [5]. Вероятность совпадения бит двух последовательностей от разных устройств в наших экспериментах составила 0,94.

Предполагается, что нарушитель также имеет магнитометр и на этапе сопряжения может быть расположен достаточно близко к сопрягаемым устройствам, но не в точке сопряжения, что определяется организационными ограничениями. Перехват данных коррекции нарушителем возможен, но это не приводит к утечке данных, полученных от магнитометров.

Этап 2. Этот и последующие этапы могут проводиться в любое другое время после процедуры сопряжения. Алиса и Боб вырабатывают секретные числа x, y, соответственно, вычисляют DH-значения и обмениваются ими, используя канал связи между ними. Канал связи может контролироваться нарушителем. Он может выполнять пассивные и активные атаки на передаваемую информацию.

Этап 3. С целью защиты от атак нарушителя проводится аутентификация переданных по каналу DH-значений на основе полученных на первом этапе последовательностей a и b, с использованием аутентификаторов, формируемых согласно алгоритму Вегмана - Картера.

Этап 4. Если аутентификация йИ-значений в обе стороны прошла успешно, то Алиса и Боб, используя имеющиеся у них случайные числа х, у, соответственно, вычисляют ключи, по методу йИ. Эти ключи можно считать также аутентифициро-ванными, так как они получены из секретных чисел х, у и аутентифицированных йИ -значений Уаут и Хаут. Ключи могут быть использованы для шифрования информации, передаваемой между пользователями.

Рис. 1. Сценарий сопряжения мобильных устройств и формирования ключа Диффи - Хеллмана с аутентификацией

Fig. 1. Scenario for Pairing Mobile Devices and Generating a Diffie - Hellman Key with Authentication

В [5] предложен протокол Magpairing для создания корреспондентами А и В случайных последовательностей на основе магнитометрического канала и их использования для аутентификации DH-значений. Однако, как показано в [16], этот способ подвержен атаке «человек-посередине». В [16] также предложен способ устранения этой уязвимости на основе использования аутентифицирующих помехоустойчивых кодов [17, 18]. Показано, что для аутентификации DH-значений требуется длина аутентифицирующих последовательностей в несколько раз бо'льшая, чем длины DH-значения. В [19, 20] исследован способ аутентификации DH-значений путем разделения DH-значения на блоки и формирования для каждого блока аутентифика-тора с помощью использования универсальных хэширующих функции, ключем для которых являются биты распределенных последовательностей. Однако данный способ не позволяет оптимизиро-

вать длину ключа аутентификации. В настоящей работе для аутентификации ОЯ-значений предложен способ на основе использования аутентифи-цирующих последовательностей, полученных на этапе сопряжения, и метода аутентификации с одноразовым ключом Вегмана - Картера [21]. Задача исследования заключается в выводе соотношений, по которым может быть осуществлен выбор параметров способа и оценена его эффективность.

Способ аутентификации значений Диффи - Хеллмана на основе предварительно распределенных последовательностей и алгоритма одноразового ключа Вегмана - Картера

Пусть пользователи сети (Алиса и Боб) имеют предварительно распределенные двоичные последовательности а и Ь, соответственно. Символы в последовательностях равновероятны и взаимно независимы. Однако последовательности в точности не совпадают друг с другом. Представим вероятность несовпадения бит в последовательностях а и Ь как рт = Ф Ъ^), где I = 1,2, ..., Ь - номер символа в последовательностях.

Предполагаем, что злоумышленник Ева во время процедуры получения (выработки) аутентифи-цирующих последовательностей легальными пользователями удален от них, поэтому вероятность несовпадения бит в последовательностях у злоумышленника и легального пользователя равна ре = Р(а1 Ф в1) = 1/2 , I = 1,2, ..., ¿. Другими словами, нарушитель не имеет информации о распределенных между А и В аутентифицирующих последовательностях.

Для защиты от атаки «человек-посередине» Алиса и Боб используют следующую схему аутентификации. Алиса разделяет ОЯ-значение X длиной по, бит на N блоков длиной т бит. Для каждого блока ш вычисляется аутентификатор Wi длиной V бит на основе использования предварительно распределенной последовательности а. Для аутентификации каждого следующего блока значения йЯ выбираются новые блоки в последовательности а.

Боб проводит аутентификацию значения йЯ следующим образом. Для каждого принятого блока ш вычисляется аутентификатор Wi' (при этом используется имеющаяся у Боба последовательность Ь), который сравнивается с аутентификато-ром Wi, полученным по каналу связи. Если Wi = Wi', то блок ш аутентифицирован. Если Ф ', то блок ш не аутентифицирован.

ОЯ-значение считается аутентифицированным в целом, если среди N принятых блоков окажутся не аутентифицированными не более Д блоков (1 < А < М). После этого аналогичным порядком проводится аутентификация ОЯ-значения передаваемого от Боба к Алисе.

В [21] формирование аутентификаторов осуществлялось по алгоритму Вегмана - Картера (WCA, аббр. от Wegman-Carter Algorithm) с использованием универсальных хэш-функций [22]. Суть этого алгоритма следующая.

Представим каждый блок ui, как элемент поля Галуа GF(2m).

Аутентификатор Wi длиной v бит для блока Ui вычисляется по выражению Wi = х k1t + k2i]v, где k1i, k2i Е GF(2m), i = 1,2, ... , N - ключ аутентификации [21]. Знаки х, + обозначают, соответственно, умножение и сложение в конечном поле GF(2т), а [-\v - «усечение», то есть выбор v левых или правых элементов последовательности в квадратных скобках. Ключи k1i, k2i Е GF(2m) длиной m бит выбираются поочередно из последовательности а(Ь). Для каждого очередного блока u формируется новый аутентификатор w с использованием новой пары ключей k1t, k2i Е GF(2m). Вероятность навязывания ложного блока при известных u и w для данного способа аутентификации определяется соотношением Ps = 1/2V [21].

Общий расход ключа для аутентификации всего сообщения равен L = 2mN = no, и не зависит от длины аутентификатора, что является недостатком этого способа.

В настоящей работе предлагается для аутентификации DH-значения использовать метод Вегмана - Картера с одноразовым ключем (WCA OTP) [21]. Суть алгоритма состоит в том, что аутентификатор для каждого блока DH-значения вычисляется на одном ключе, после чего аутентифика-торы блоков шифруются одноразовым ключом.

То есть аутентификатор Wi для блока щ вычисляется следующим образом:

Wi = (щ х ki + k2)v + к\, (1)

где к1, к2 Е GF(2т) - основной ключ аутентификации длиной 2m бит, постоянный при аутентификации всего сообщения (DH-значения); Е Е GF(2m), i = 1,2, ... , N дополнительный ключ -индивидуальный для каждого блока щ длиной v бит; ключи ki, k2, к\ выбираются как непересекающиеся блоки в последовательности а.

Из (1) следует, что длина ключа аутентификации (минимальная длина последовательности а, необходимая для аутентификации значения DH) вычисляется как L = 2т + vN.

Будем считать, что нарушитель (Ева) имеет возможность создания атаки «человек-посередине», заключающейся в перехвате DH-значения одного корреспондента (Л) и его обработке и пересылке другому корреспонденту (5) под видом А, преследуя цель стать посредником между А и В. Эта атака имеет три варианта исполнения.

Атака имперсонализации. Ложное DH-значение X' = дх' создается нарушителем без предваритель-

ного приема истинного DH-значения от корреспондента А. Далее генерируются аутентификато-ры к каждому блоку X'. Сообщение и аутентифика-торы передается корреспонденту В. Корреспондент В выполняет процедуру аутентификации.

Атака отражения. Нарушитель перехватывает DH-значение X = дхдлиной no бит, передаваемое в виде блоков ut и аутентификаторов w¿, i = 1,2, ..., N, и возвращает его корреспонденту А, корреспондент А проводит процедуру аутентификации.

Атака подмены. Нарушитель перехватывает DH-значение X = дхдлиной no бит, передаваемое в виде блоков щ и аутентификаторов w¿, i = 1,2, ..., N, генерирует ложное сообщение X' = дх', отличающееся от исходного в D блоках, и формирует аутентификаторы к нему по следующему правилу:

- если блоки ut в исходном и ложном сообщении совпали, он использует перехваченные аутенти-фикаторы;

- если блоки не совпали, нарушитель формирует аутентификаторы случайным образом.

DH-значение X' и аутентификаторы к нему нарушитель передает корреспонденту В, выдавая себя за корреспондента А. Корреспондент В выполняет процедуру аутентификации.

Параметры и оценка эффективности способа аутентификации

Оценку эффективности аутентификации DH-значения будем осуществлять по следующим параметрам:

Pf - вероятность ложного отклонения DH-значе-ния легальным пользователем в отсутствие навязывания (событие наступает, когда число неправильно аутентифицированных блоков равно Д и более из-за несогласованности аутентифицирую-щих последовательностей а и b); P¡ - вероятность имперсонализации (событие наступает при проведении нарушителем атаки имперсонализации, когда ложное DH-значение создается без предварительного приема истинного DH-значения и принимается как истинное); Pref - вероятность успеха атаки отражения (событие наступает, когда нарушитель возвращает принятое от Алисы (или Боба) DH-значение ему обратно, а корреспондент принимает его как сообщение от противоположного корреспондента); Ps - вероятность подмены DH-значения (событие наступает, когда нарушитель перехватывает истинное DH-значение, анализирует его и создает ложное DH-значение, которое принимается легальным пользователем, как истинное); Pd - вероятность навязывания ложного DH-значения: Pd = max(Pi, Pref, Ps); L - длина ключа аутентификации (длина последовательностей а и b ), необходимая для аутентификации DH-значения длиной п0 с заданными значениями Pf, Pd;

Ш = уИ - суммарная длина аутентификаторов йИ-значения.

Задачу оптимизации системы аутентификации сформулируем как задачу выбора параметров т и V, при которых минимизируется длина ключа, необходимая для аутентификации ОИ-значения длиной по бит при выполнении неравенств: Р^ < Р^, Ра < Ра, где Р/, Ра - заданные требования по вероятности ложной аутентификации и вероятности навязывания.

Найдем оценки этих параметров.

Заметим, что основной ключ участвует в формировании аутентификатора каждого блока, поэтому если биты этого ключа, выбираемые из аутентифицирующих последовательностей пользователей, у корреспондентов не совпадают (есть ошибка в основном ключе), то все аутентификато-ры на приеме будут оцениваться, как случайные. С другой стороны, индивидуальные ключи влияют только на аутентификаторы блоков длиной V бит.

Поэтому формула для вероятности ложного отклонения ОИ-значения имеет вид:

Р,Ы = РЬ Ъ, ЬЛС* — + (2)

+ (1 -Рь (к, к2))Р/(А),

где первое слагаемое есть вероятность ложного отклонения ОИ-значения, когда основной ключ содержит ошибки с вероятностью Рь (кг, к2) и, как следствие, аутентификаторы формируются как случайные блоки длиной V бит. Второе слагаемое есть вероятность ложного отклонения ОИ-значе-ния, когда основной ключ не содержит ошибки вероятностью (1 — Рь (ки к2)), а Р'^ есть вероятность суммы событий, состоящих в том, что в принятой последовательности X из-за ошибок в аутентифицирующих последовательностях окажутся не аутентифицированными Д+1 и более блоков. может быть найдена как:

N

Р'г (А)= £ СМ (1 —ру Т-, (3)

где ру - вероятность несовпадения ключей к'\, то есть вероятность несовпадения блоков длиной V бит, выбранных их последовательностей а и Ь и равна ру = 1 — (1 — ртУ в предположении, что ошибки в битах распределены по закону Бернулли.

Вероятность успешной атаки имперсонализации можно получить, как оценку количества обнаруженных и необнаруженных ложных аутентифика-торов в N блоках, при их случайном генерировании.

Вероятность успешного навязывания ложного аутентификатора длиной V символов равна вероятности угадывания ключа к'^ в (1) и равна —:

Р1 (Д) = £ 4 ф(л,-°(1 - ^ (4) 1=0

Вероятность атаки отражения определим из следующих соображений. Согласно описанному алгоритму, аутентификаторы для каждого блока создаются на основе индивидуальных ключей, выбираемых как подблоки последовательностей а и Ь. Поэтому принимаемое от Евы под видом Боба ОЯ-значение Алиса будет аутентифицировать на основе номеров блоков, которые должен был бы использовать Боб, но не номеров блоков ключа, которые использовала Алиса при создании аутен-тификаторов для своего ОЯ-значения. Эти блоки ключей аутентификации, очевидно, не совпадут, что равносильно аутентификации ОЯ-значения на случайных ключах, следовательно = Р1.

Для оценки вероятности подмены рассмотрим стратегию нарушителя, из п. 2. Подмену нарушителем истинного ОЯ-значения ложным значением можно рассматривать как последовательное наступление двух событий: создание нарушителем ложного ОЯ-значения, отличающегося от истинного в О блоках размерности т. (обозначим вероятность этого события - РдФ)) и события, состоящего в навязывании этого сообщения путем формировании аутентификаторов для блоков, отличающихся в ложном ОЯ-значении от блоков истинного ОЯ-значения. В ходе подмены ложное ОЯ-значение принимается легальным пользователем как истинное; вероятность навязывания такого ОЯ-значения - Рг (£).

Таким образом вероятность подмены равна:

Р5 (О = Рдф)Рг (Я). (5)

Рассмотрим оба сомножителя. Очевидно, что чем меньше отличаются X и X', тем легче нарушителю реализовать атаку «человек-посередине». Заметим, что непосредственно значение X' нарушитель выбрать не может. Сначала он выбирает х', затем находит значение экспоненты X' = дх' modp. Если х' выбирать случайно из множества чисел от 0 до р - 1, то число X' будет также случайным числом из множества чисел от 0 до р - 1. При большой величине модуля р (р « 2256) нахождение отображения х' о X' требует необозримо больших вычислительных затрат. Поэтому разумной стратегией для нарушителя будет случайный выбор числа х', что равносильно случайному выбору X'.

Вероятность случайного формирования нарушителем ложного ОЯ-значения X', отличающегося от перехваченного значения X в О блоках, может на основе комбинаторных рассуждений о выпадений одинаковых значений двух 2т-гранных игральных костей, при N бросаниях записана как:

/ 1 / 1

ра(Д) = ^у (1 -(б)

Вероятность навязывания сформированного ложного ОЯ-значения, отличающегося от истинного значения в О блоках в зависимости от порога принятия решения Д, можно оценить:

Р'г(Д, Б) < ЪСЬ¿)(в-°(1 - ¿У х ¡=0 2 2 , ' 0 (7)

х ХС1„-в)р1 (1 -Рь )("-в->\

=0

^ - О, если Д - I > N - Б . где 1Д - I, если Д-1 < N -Б .

Первая сумма в (7) характеризует вероятность фиксации на приеме / ложных аутентификаторов (0 < I < Д), которые обнаруживаются и О-/ ложных аутентификаторов, которые не обнаруживаются. Вторая сумма - вероятность несовпадения ] (0 < < ] < £) из N-D аутентификаторов исходного сообщения, которые нарушителем были переданы без изменений (несовпадение произошло за счет несовпадения ключей в аутентифицирующих последовательностях а и Ь). Неравенство в (7) объясняется тем, что при проверке О аутентификато-ров, которые были сформированы нарушителем случайным образом, ошибки в аутентифицирую-щих последовательностях не учитывались (для точного расчета нужно оценить вероятность того, что определенная конфигурация ошибки в аутен-тифицирующих ключах, приведет к тому, что ложный аутентификатор будет принят как правильный, но вероятность этого события мала).

Так же как и при выводе формул для вероятности ложной аутентификации, необходимо учесть случаи правильного и ошибочного приема основного ключа легальными пользователями из последовательностей а и Ь. Если основной ключ содержит ошибку, то все аутентификаторы будут восприниматься как ложные. Если основной ключ без ошибок, то аутентификаторы, верифицируемые как ложные, определяются только ошибками в ключах аутентификации и ошибками в аутенти-фикаторах, выбранных злоумышленником случайным образом. Суммарное количество аутенти-фикаторов не должно превышать порог Д.

Таким образом, формулу вероятности подмены можно записать в виде:

Рг (Д, Б) = РЬ (к!, к2)|о4 ф"- * (1 - 2^) + (7)

+ (1 -РЬ (кк2))Р'г (Д,И),

где Р'г(Д) - вероятность подмены N блоков длиной V бит рассчитывается по формуле (7).

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Нарушитель может применить любую стратегию создания ложного ОЯ-значения (может использовать любое О), поэтому определим вероятность подмены (при фиксированном значении Д) следующим образом:

P's = maxPg (D)Pr (D).

(9)

Из соотношений (2), (8) следует, что вероятности ложного отклонения и подмены критично зависят от вероятности ошибки основного ключа Рь (к1, к2), где кг, к2 - это блок из 2т символов. Этот ключ является одинаковым при формировании аутентификаторов для всех блоков, поэтому рассмотрим пути повышения достоверности формирования этого ключа длиной 2т бит. С этой целью может быть применено помехоустойчивое кодирование с шифрованием. Рассмотрим простой способ, основанный на использовании кода повторения [23].

Пользователь А генерирует случайный бит z = (0,1), повторяет его 5 раз, то есть применяет помехоустойчивый (5,1)-код повторения. Кодовое слово г суммирует по модулю два с блоком последовательности а длиной 5 бит, получает блок у = гф а и передает его по служебному каналу пользователю В. Пользователь В суммирует принятый от А блок у со своим блоком последовательности Ь, получает у фЬ = гфафЬ. В принимает решение о приеме бита 7', если все 5 бит в блоке у фЬ одинаковые. Если биты разные, этот блок стирается. По обратному служебному каналу он сообщает о своем решении А. Если В стер блок, то А тоже его стирает.

Ошибочный прием блока из 5 повторений бита имеет место тогда, когда все биты в блоке приняты в инверсном виде, тогда вероятность ошибки бита z:

Рт

Рт

(1 - Рт У + Рm

а вероятность ошибки в основном ключе: Pb (к±, к2) = 1 - (1 -рт)2т.

(10)

Нарушитель наблюдает за сообщениями в служебном канале и удаляет блоки, если их удалили легальные корреспонденты. С оставленными блоками он проводит такую же процедуру обработки, что и корреспондент В. По условию вероятность ошибки в аутентифицирующей последовательности нарушителя относительно пользователя А равна ре = 1/2. Поэтому декодирование (5,1)-кода равносильно их угадыванию бита z.

В среднем, для формирования одного бита с повышенной достоверностью необходимо при использовании данного способа затратить Ь = -^—— бит аутентифицирующих последовательностей. При использовании данного способа повышения достоверности основного ключа можно найти длину аутентифицирущей последовательности, необходимой для аутентификации ОИ-значения в целом.

Длина ключа аутентификации может быть найдена как сумма количества бит необходимых

для формирования основного ключа с заданной достоверностью и количества бит, необходимых для формирования аутентификаторов для всех блоков:

2ms n0v

L(m, v, s) =-т--т + (11)

( , , ) p^ + (1 -p^) m ( )

Оптимальным набором параметров (m, v, s) будем считать такой набор, при котором:

L(m, v, s) ^ L0, где L0 = mmL(m, v, s) при условии Pf2 < Pf ,Pd < Pd.

m,v,s

Заметим, что суммарная длина аутентификато-ров W определяет затраты данного способа аутентификации с точки зрения времени использования канала связи между пользователями, необходимого для передачи аутентификаторов. Несложно увидеть, что W = L(m,v,s), поэтому оптимизация параметра L оптимизирует и параметр W.

Пример оценки параметров системы аутентификации

Предположим, что проводится аутентификация DH-значения длиной no = 256 бит, что является стандартной длиной во многих шифрах [24, 25]. Вероятность отличия бит в аутентифицирующих последовательностях pm = 0,05.

К системе аутентификации предъявлены следующие требования:

- вероятность ложного отклонения DH-значения Pf<pf;

- вероятность навязывания Pd < Pd и Pf = Pd = = 10-6.

На рисунке 2 показаны зависимости вероятности ложного отклонения DH-значения Pf от порога Д для длин блоков m = 1, 2, 4, 8 и длин аутентифи-каторов v, равных длине блока (сплошные линии), рассчитанных согласно (2). Также здесь показаны зависимости Pf для длин v аутентификаторов меньших, чем длины блока. Вероятности ошибки в основном ключе Рь (кг, к2) рассчитаны для кодов повторения (s,1) при s = 4 и s = 6. Из рисунка 2 видно, что зависимости Pf от Д имеют три явно выраженных участка. Верхняя часть каждой зависимости определяется вторым членом в (2), средняя часть определяется первым множителем первого слагаемого и соответствует вероятности ошибки основного ключа Рь (ки к2). Нижняя часть определяется вторым множителем первого слагаемого. Видим, что выбирая число повторений ^,1)-кода, можно получить значение Pf < Pf. Следует отметить, что Pf зависит от длины аутентификатора v, причем при уменьшении v Pf также уменьшается (штриховые линии).

1

pf

0,1

0,01 103 104 105 10-6 10-7 108 109,

Ps(D)

д

Рис. 2. Зависимость вероятности ложного отклонения DH-значения от порога Д при разных длинах аутентифицируемых блоков m, разных длинах аутентификаторов v для двух значений длины кода повторения s Fig. 2. Dependence of the Probability of False Alarm of the DH-Value from the Threshold Afor Different Lengths of Authenticated Blocks m, Different Lengths ofAuthenticators v for Two Values of the Repetition Code Length s

Обозначим Amin = minA, при котором P^ < Pf для фиксированных значений (m, v). Значения Amin для различных пар (m, v) приведены в таблице 1.

ТАБЛИЦА 1. Минимальные значения порога Дт1п для разных m, v

TABLE 1. The Minimum Threshold Values 4min for Different m, v

v m 1 2 3 4 6 8

1 33

2 21 31

4 14 20 25 29

8 13 16 18 22 24

Для этих значений Дт;п построены зависимости вероятности подмены Рх (Я) = /^(Д) • PI■(Д), согласно (9) от количества блоков D, в которых могут отличаться истинное и ложное DH-значения для разных значений аутентифицируемых блоков и разных значений длин аутентификаторов этих блоков (рисунок 3).

Видим, что для всех представленных (см. рисунок 3) значений параметров (т, V) выполняется условие Р'х < Р^ = 10-6 для любых значений D. В этом случае попытка нарушителя подобрать ложное сообщение, отличающееся от истинного DH-значения в малом количестве блоков и навязать его получателю будет безуспешной.

В таблице 2 представлены значения Р^, Рх, для выбранных параметров т, V, Дтщ, удовлетворяющие условиям Рг < Рг = 10-6, Р.; < Р^ = 10-6. Также здесь приведены вероятности имперсонализа-ции Р;, согласно соотношению (4). Анализ таблицы показывает, что для двух сочетаний параметров (т, V): (4, 1) и (8, 2) Р; > Р^, поэтому эти параметры не удовлетворяют заданным требованиям.

1-106" 1-10' 1-109 1-10-11 1-1013 1-1015 1-1017 1-10- 19 1-1021 1-1023

- m = 8 -

v = 2 j'

v = 3 • m 4 m = 2

- v = 1 v = 1 m = 1 -

Г; 1

- v 1 1 4 v = 1 -

v = 2 * \ ч

/ \ \

К- ,

- v = 8 \ \ -

\ t

- II ^ и ir ts— m = 2 v = 2 \ \ \ -

! :: < \

\ yf // \ \ -

/ \ \ \

50

100

150

D

Рис. 3. Зависимость вероятности подмены от параметра D при разных длинах аутентифицируемых блоков m, разных длинах аутентификаторов v при выполнении условия

Д = ^rnin и S = 6

Fig. 3. Dependence of the Substitution Probability on the Parameter D for Different Lengths of Authenticated Blocks m, Different Lengths of Authenticators v when the Condition is Д = Дт1п ands = 6

ТАБЛИЦА 2. Вероятности ложного обнаружения Рр имперсонализацииР,-, подмены Ps и навязывания Pd для разных значения m и v при аутентификации DH-значения длиной 256 бит

TABLE 2. The Probabilities of false Detection Pf, Impersonalization P¡, Substitution Ps and Imposition Pd for Different Values of m and v When Authenticating a 256-bit DH-Value

(m, v) Pt Pd = max(Ps, Pi)

(1, 1) 3,0 • 10-7 2,7 • 10-11 4,0 • 10-36 2,7 • 10-11

(2, 2) 5,8 • 10-7 5,5 • 10-19 3,0 • 10-33 5,5 • 10-19

(2, 1) 4,9 • 10-7 1,1 • 10-10 2,2 • 10-15 1,1 • 10-10

(4, 4) 4,0 • 10-7 3,5 • 10-22 1,6 • 10-25 3,5 • 10-22

(4, 3) 4,0 • 10-7 7,0 • 10-19 9,4 • 10-20 7,0 • 10-19

(4, 2) 5,4 • 10-7 8,9 • 10-14 2,4 • 10-13 8,9 • 10-14

(4, 1) 6,4 • 10-7 5,2 • 10-7 3,5 • 10-6 3,5 • 10-6

(8, 8) 6,7 • 10-7 8,8 • 10-17 5,2 • 10-13 8,8 • 10-17

(8, 6) 4,5 • 10-7 6,7 • 10-15 4,1 • 10-11 6,7 • 10-15

(8, 4) 6,9 • 10-7 4,0 • 10-12 2,2 • 10-9 4,0 • 10-12

(8, 3) 6,1 • 10-7 1,9 • 10-9 2,9 • 10-7 1,9 • 10-9

(8, 2) 9,4 • 10-7 6,7 • 10-7 3,8 • 10-5 3,8 • 10-5

Тем не менее, есть достаточно вариантов выбора параметров (т, V), удовлетворяющих требованиям Р/ < Р/ = 10-6, Р5 < Р<г = 10-6 и поэтому окончательный выбор этих параметров будет определяться задачей оптимизации суммарной длины ключа аутентификации Ь и суммарной длиной всех аутентификаторов Ж

В таблице 3 приведены значения ¿(ш, V, 5) для разных значений параметров (т, V) при 5 = 6 и выполнении требований: Р^ = 10-6, Р^ = 10-6, рассчитанные согласно (11).

Очевидно, что наименьшее значение ¿0 = 130 имеет место при т = 4, V = 1. Однако согласно таблице 2 для этих параметров не выполняется

требование по вероятности имперсонализации Pi = 3,5 • 10-6 > 10-6. Поэтому следует выбрать следующее минимальное значение L0 = 194 при m = 4, v = 2.

ТАБЛИЦА 3. Расход ключа аутентификации

TABLE 3. Authentication Key Consumption

Таким образом, аутентификация ОЯ-значения длиной 256 бит с выполнением требований Р^ = = 10-6, Ра = 10-6 при допустимой вероятности несовпадения бит в аутентифицирующих последовательностях рт = 0,05 может быть обеспечена при длине Р^ = 10-6, Ра = 10-6е блока аутентификации т = 4, длине аутентификатора блока V = 2. Для аутентификации ОЯ-значения необходимо использовать в среднем 194 бита аутентифицирующих последовательностей. Полученный результат можно сравнить с результатами работ [16] и [21]. При тех же требованиях Р^ = 10-6, Ра = 10-6 для аутентификации ОЯ-значения длиной 256 бит при использовании метода на основе помехоустойчивых кодов [16] требуется 768 бит ключа при допустимой вероятности несовпадения бит в аутенти-фицирующих последовательностях рт = 0,01 (при рт = 0,05 аутентификация с заданными требованиями невозможна). При использовании способа аутентификации на основе универсальных хеш-функций [21] длина ключа равна 512 бит. То есть предложенный способ аутентификации ОЯ-значений имеет преимущество перед другими способами по расходу ключа аутентификации.

Заключение

В работе исследуются способ аутентификации ОИ-значений (дх), формируемых при генерации сеансового ключа по методу Диффи - Хеллмана между двумя мобильными устройствами, имеющими предварительно распределенные между ними двоичные случайные цепочки бит. Эти последовательности пользователи вырабатывают в ходе процедуры сопряжения своих мобильных устройств во время личной встречи. Показано, что для этого могут быть использованы акселерометры или магнитометры, входящие в состав совре-

менных мобильных устройств. Использование магнитометрического канала, по сравнению с вибрационным, обеспечивает более высокую скорость работы, низкую вероятность ошибочной аутентификации и позволяет минимизировать участие пользователя в процессе сопряжения устройств, что указывает на преимущество магнитометрического канала для выработки случайных последовательностей. Нарушитель в ходе процедуры сопряжения удален от пользователей и не получает доступа к сообщениям, которыми они обмениваются. Для аутентификации ОЯ-значения предложен способ, состоящий в разбиении ОЯ-значения, на N блоков длиной т бит и аутентификации блоков на основе метода одноразового ключа Вегмана -Картера, в роли которого выступают предварительно распределенные между корреспондентами цепочки случайных бит, которые могут не совпадать в точности между собой. Если число не аутен-тифицированных блоков меньше порога Д, аутентификация ОЯ-значения считается пройденной. Выведены соотношения для оценки Р; - вероятности ложного отклонения ОЯ-значения в отсутствие навязывания, Р^ - вероятности имперсонализации, Рг^ - вероятности успеха атаки отражения, Р5 - вероятности подмены ОЯ-значе-ния и Ра - вероятности навязывания ложного ОЯ-значения, как максимума (Р^, Рг^, Р5);

При выводе соотношения для нахождения Ра предложен подход, учитывающий возможности нарушителя не только по подмене истинного ОЯ-значения ложным, но и возможности по созданию ложного ОЯ-значения с заданным отличием в количестве блоков от истинного. Также для повышения достоверности первой части ключа аутентификации, выделяемой из распределенных последовательностей, предложено использование способа случайной передачи бит и использования кода повторения.

Таким образом, поставлена и решена задача оптимизации параметров (длина блока и собственно аутентификатора) с точки зрения минимизации расхода аутентифицирующей последовательности и суммарной длины всех аутентификаторов. Приведен пример выбора параметров для аутентификации ОЯ-значения длиной 256 бит. Показано, что путем выбора параметров системы аутентификации, можно обеспечить достаточно малые значения вероятности ложной аутентификации и вероятности навязывания ложного ключа нарушителем Рг = 10-6, Ра = 10-6 .

v m 1 2 3 4 6 8

1 272

2 167 287

4 130 194 258 322

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

8 195 227 259 323 387

Список используемых источников

1. Diffie M., Hellman M. New directions in cryptography // IEEE Transactions on Information Theory. 1976. Vol. 22. Iss. 6. PP. 644-654. D01:10.1109/TIT.1976.1055638

2. Mirzadeh S., Cruickshank H., Tafazolli R. Secure Device Pairing: A Survey // IEEE Communications Surveys & Tutorials. 2014. Vol. 16. PP. 17-40. D0I:10.1109/SURV.2013.111413.00196

3. Zeng K. Physical layer key generation in wireless networks: challenges and opportunities // IEEE Communications Magazin. 2015. Vol. 53. Iss. 4. PP. 20-27. D0I:10.1109/MC0M.2015.7120014

4. Zhang J., Duong T.Q., Marshall A., Woods R. Key Generation from Wireless Channels: a Review // IEEE Access. 2016. Vol. 4. PP. 614-626. D0I:10.1109/ACCESS.2016.2521718

5. Jin R., Shi L., Zeng K., Pande A., Mohapatra P. MagPairing: Pairing Smartphones in Close Proximity Using Magnetometer // IEEE Transactions on Information Forensics and Security. 2016. Iss. 6. PP. 1304-1319. D0I:10.1109/TIFS.2015.2505626

6. Mc Cune J., Perring A., Reiter M. Seeing-is-believing: using camera phones for human-verifiable authentication // Proceedings of the Symposium on Security and Privacy (S&P'05, Oakland, USA, 8-11 May 2005). IEEE, 2005. PP. 110-124. D0I:10.1109/SP.2005.19

7. Saxena N., Ekberg J.-E., Kostiainen K., Asokan N. Secure Device Pairing Based on a Visual Channel // Proceedings of the Symposium on Security and Privacy (S&P'06, Berkeley/Oakland, USA, 21-24 May 2006). IEEE, 2006. PP. 57-68. D0I:10.1109/SP.2006.35

8. Prasad R., Saxena N. Efficient Device Pairing Using "Human-Comparable" Synchronized Audiovisual Patterns // Proceedings of the 6th International Conference on Applied Cryptography and Network Security (ACNS 2008, New York, USA, 3-6 June 2008). Lecture Notes in Computer Science. Berlin, Heidelberg: Springer, 2008. Vol. 5037. PP. 328-345. D0I:10.1007/ 978-3-540-68914-0_20

9. Goodrich M.T., Sirivianos M., Solis J., Soriente C., Tsudik G., Uzun E. Using Audio in Secure Device Pairing // International Journal of Security and Networks. 2009. Vol. 4. Iss. 1. PP. 57-68. D0I:10.1504/IJSN.2009.023426

10. Goodrich M.T., Sirivianos M., Solis J., Tsudik G. Uzun E. Loud and Clear: Human-Verifiable Authentication Based on Audio. Distributed Computing Systems // Proceedings of the 26th International Conference on Distributed Computing Systems (ICDCS 2006, Lisboa, Portugal, 4-7 July 2006). IEEE, 2006. PP. 1-10. D0I:10.1109/ICDCS.2006.52

11. Soriente C., Tsudik G., Uzun E. HAPADEP: Human-Assisted Pure Audio Device Pairing // Proceedings of the 11th International Conference on Information Security (ISC 2008, Taipei, Taiwan, 15-18 September 2008). Lecture Notes in Computer Science. Berlin, Heidelberg: Springer, 2008. Vol. 5222. PP. 385-400. D0I:10.1007/978-3-540-85886-7_27

12. Mayrhofer R. Gellersen H. Shake Well Before Use: Intuitive and Secure Pairing of Mobile Devices // IEEE Transactions on Mobile Computing. 2009. Vol. 8. Iss. 6. PP. 792-806. D0I:10.1109/TMC.2009.51

13. Soriente C., Tsudik G., Uzun E. BEDA: Button-Enabled Device Association // Proceedings of the 1st International Workshop on Security for Spontaneous Interaction (IWSSI). Linz: Institute of Networks and Security, 2007. PP. 443-449.

14. Kumar А., Saxena N., Tsudik G., Uzun E. Caveat emptor: A comparative study of secure device pairing methods // Proceedings of the International Conference on Pervasive Computing and Communications (Galveston, USA, 9-13 March 2009). IEEE, 2009. PP. 1-10. D0I:10.1109/PERC0M.2009.4912753

15. Корпусов В.Д., Ольховой О.О., Яковлев В.А. Исследование датчика случайных чисел на основе магнитометра // VII Международная научно-техническая и научно-методическая конференция «Актуальные проблемы инфотеле-коммуникаций в науке и образовании» (Санкт-Петербург, Россия, 28 февраля-1 марта 2018). СПб: СПбГУТ, 2018. С. 488-494.

16. Яковлев В.А. Аутентификация ключей, распределяемых методом Диффи-Хеллмана, для мобильных устройств на основе аутентифицирующих помехоустойчивых кодов и магнитометрических данных // Труды СПИИРАН. 2019. Т. 18. № 3. С. 705-740. D0I:10.15622/sp.2019.18.3.705-740

17. Maurer U. Information-Theoretically Secure Secret-Key Agreement by not Authenticated Public Discussion // Proceedings of the International Conference on the Theory and Application of Cryptographic Techniques (Konstanz, Germany, 11-15 May 1997). Lecture Notes in Computer Science. Berlin, Heidelberg: Springer, 1997. Vol. 1233. PP. 209-223. D0I:10.1007/3-540-69053-0_15

18. Korzhik V., Yakovlev V., Morales-Luna G., Chesnokov R. Perfomance Evaluation of Keyless Authentication Based on Noisy Channel // Proceedings of the 4th International Conference on Mathematical Methods, Models, and Architectures for Computer Network Security (MMM-ACNS 2007, St. Petersburg, Russia, 13-15 September 2007). Communications in Computer and Information Science. Berlin, Heidelberg: Springer, 2007. Vol. 1. PP. 115-126. D0I:10.1007/978-3-540-73986-9_9

19. Яковлев В.А. &особ аутентификации значений Диффи-Хеллмана на основе предварительно распределенных случайных последовательностей и хэширующих функций // X Международная научно-техническая и научно-методическая конференция «Актуальные проблемы инфотелекоммуникаций в науке и образовании» (Санкт-Петербург, Россия, 24-25 февраля 2021). СПб: СПбГУТ, 2021. С. 693-698.

20. Yakovlev V., Korzhik V., Adadurov S. Authentication of Diffie-Hellman Protocol for Mobile Units Executing a Secure Device Pairing Procedure in Advance // Proceedings of the 29th Conference of 0pen Innovations Association (FRUCT, Tampere, Finland, 12-14 May 2021). IEEE, 2021. D0I:10.23919/FRUCT52173.2021.9435495

21. Wegman M.N., Carter J.L. New Hash Functions and their Use in Authentication and Set Equality // Journal of Computer and System Sciences. 1981. Vol. 22. Iss. 3. PP. 265-279. D0I:10.1016/0022-0000(81)90033-7

22. Carter J.l., Wegman M.N. Universal classes of hash functions // Journal of Computer and System Sciences. 1979. Vol. 18. Iss. 2. PP. 143-154. D0I:10.1016/0022-0000(79)90044-8

23. Maurer U. Secret key agreement by public discussion from common information // IEEE Transactions on Information Theory. 1993. Vol. 39. Iss. 3. PP. 2535-2549. D0I:10.1109/18.256484

24. ГОСТ Р 34 12-2015. Информационная технология. Криптографическая защита информации. Блочные шифры. М.: Стандартинформ, 2015.

25. FIPS 197. Specification for the ADVANCED ENCRIPTION STANDARD (AES). Nov.2001.

* * *

Method for Authentication of Diffie - Hellman Values Based on Pre-Distributed Random Sequences and Wegman - Carter One-Time Pad Algorithm

V. Yakovlev1

lrrhe Bonch-Bruevich Saint-Petersburg State University of Telecommunications, St. Petersburg, 193232, Russian Federation

Article info

DOI:10.31854/1813-324X-2021-7-3-79-90 Received 9 th June 2021 Accepted 19th July 2021

For citation: Yakovlev V. Method for Authentication of Diffie - Hellman Values Based on Pre-Distributed Random Sequences and Wegman - Carter One-Time Pad Algorithm. Proc. of Telecom. Universities. 2021;7(3):79-90. (in Russ.) DOI:10.31854/1813-324X-2021-7-3-79-90

Abstract: A method of authentication of keys generated by the Diffie-Hellman method is investigated in the context of the use of a man-in-the-middle attack by an attacker. It is assumed that the users Alice and Bob, who form the key, have pre-distributed random bit strings a and b, respectively, obtained either from some source or generated by themselves based on data obtained from magnetometers or accelerometers from mobile devices. The attacker has no access to these chains. A method for authenticating Diffie - Hellman values (DH values) is proposed. For this purpose, the message (DH-value) is divided by Alice into N blocks. For each block, an authenticator is calculated using the Wegman - Carter algorithm with a one-time pad keys, which are sequences a and b. The DH-value and authenticators are transmitted over the channel to Bob, who calculates authenticators from the received DH-value and compares them with the authenticators received from the channel. If the number of unauthenticated blocks does not exceed the set threshold, then DH-value authentication is considered successful. But the drawback of this method is a little disagreement between authenticating strings of different users. The formulas for probabilities of the undetected deception and the false alarm (due to the mismatch of chains a and b) are proved. The optimization of the method parameters (the number of blocks and the length of the authenticator) is carried out, at which the consumption of the authentication key (chains a and b) is minimized when the specified requirements for the probability of the undetected deception and the false alarm are met. Examples of the choice of authentication parameters for a 256-bit DH-value are given.

Keywords: Diffie - Hellman method, authentication, universal hash functions, Wegman - Carter one-time pad authentication.

References

1. Diffie M., Hellman M. New directions in cryptography. IEEE Transactions on Information Theory. 1976;22(6):644-654. D0I:10.1109/TIT.1976.1055638

2. Mirzadeh S., Cruickshank H., Tafazolli R. Secure Device Pairing: A Survey. IEEE Communications Surveys & Tutorials. 2014;16:17-40. D0I:10.1109/SURV.2013.111413.00196

3. Zeng K. Physical layer key generation in wireless networks: challenges and opportunities. IEEE Communications Magazine. 2015;53(4):20-27. D0I:10.1109/MC0M.2015.7120014

4. Zhang J., Duong T.Q., Marshall A., Woods R. Key Generation from Wireless Channels: a Review. IEEE Access. 2016;4: 614-626. D0I:10.1109/ACCESS.2016.2521718

5. Jin R., Shi L., Zeng K., Pande A., Mohapatra P. MagPairing: Pairing Smartphones in Close Proximity Using Magnetometer. IEEE Transactions on Information Forensics and Security. 2016;6:1304-1319. D0I:10.1109/TIFS.2015.2505626

6. Mc Cune J., Perring A., Reiter M. Seeing-is-believing: using camera phones for human-verifiable authentication. Proceedings of the Symposium on Security and Privacy, S&P05, 8-11 May 2005, Oakland, USA. IEEE; 2005. p.110-124. D0I:10.1109/ SP.2005.19

7. Saxena N., Ekberg J.-E., Kostiainen K., Asokan N. Secure Device Pairing Based on a Visual Channel. Proceedings of the Symposium on Security and Privacy, S&P06, 21-24 May 2006, Berkeley/Oakland, USA. IEEE; 2006. p.57-68. D0I:10.1109/SP. 2006.35

8. Prasad R., Saxena N. Efficient Device Pairing Using "Human-Comparable" Synchronized Audiovisual Patterns. Proceedings of the 6th International Conference on Applied Cryptography and Network Security, ACNS 2008, 3-6 June 2008, New York,

USA. Lecture Notes in Computer Science. Berlin, Heidelberg: Springer; 2008. vol.5037. p.328-345. DOI:10.1007/978-3-540-68914-0_20

9. Goodrich M.T., Sirivianos M., Solis J., Soriente C., Tsudik G., Uzun E. Using Audio in Secure Device Pairing. International Journal of Security and Networks. 2009;4(1):57-68. D0I:10.1504/IJSN.2009.023426

10. Goodrich M.T., Sirivianos M., Solis J., Tsudik G. Uzun E. Loud and Clear: Human-Verifiable Authentication Based on Audio. Distributed Computing Systems. Proceedings of the 26th International Conference on Distributed Computing Systems, ICDCS2006, 4-7July 2006, Lisboa, Portugal. IEEE; 2006. p.1-10. D0I:10.1109/ICDCS.2006.52

11. Soriente C., Tsudik G., Uzun E. HAPADEP: Human-Assisted Pure Audio Device Pairing. Proceedings of the 11th International Conference on Information Security, ISC 2008,15-18 September 2008, Taipei, Taiwan. Lecture Notes in Computer Science. Berlin, Heidelberg: Springer; 2008. vol.5222. p.385-400. D0I:10.1007/978-3-540-85886-7_27

12. Mayrhofer R. Gellersen H. Shake Well Before Use: Intuitive and Secure Pairing of Mobile Devices. IEEE Transactions on Mobile Computing. 2009;8(6):792-806. D0I:10.1109/TMC.2009.51

13. Soriente C., Tsudik G., Uzun E. BEDA: Button-Enabled Device Association. Proceedings of the 1st International Workshop on Security for Spontaneous Interaction (IWSSI). Linz: Institute of Networks and Security; 2007. p.443-449.

14. Kumar A., Saxena N., Tsudik G., Uzun E. Caveat emptor: A comparative study of secure device pairing methods. Proceedings of the International Conference on Pervasive Computing and Communications, 9-13 March 2009, Galveston, USA. IEEE; 2009. p.1-10. D0I:10.1109/PERC0M.2009.4912753

15. Korpusov V., Olkhovoy O., Yakovlev V. The Research of the Random Number Generator Based on the Magnetometer. Proceedings of the VIIth International Conference on Infotelecommunications in Science and Education, 28 February-1 March 2018, St. Petersburg, Russia. St. Petersburg: The Bonch-Bruevich Saint-Petersburg State University of Telecommunications Publ.; 2018. p.488-494. (in Russ.)

16. Yakovlev V.A. Authentication of Keys Distriburted by the Diffie - Hellman Method for Mobile Devices Based on Authentication Codes and Magnetometric Data. SPIIRAS Proceedings. 2019;18(3):705-740. D0I:10.15622/sp.2019.18.3.705-740

17. Maurer U. Information-Theoretically Secure Secret-Key Agreement by not Authenticated Public Discussion. Proceedings of the International Conference on the Theory and Application of Cryptographic Techniques, 11-15 May 1997, Konstanz, Germany. Lecture Notes in Computer Science. Berlin, Heidelberg: Springer; 1997. vol.1233. p.209-223. D0I:10.1007/3-540-69053-0_15

18. Korzhik V., Yakovlev V., Morales-Luna G., Chesnokov R. Perfomance Evaluation of Keyless Authentication Based on Noisy Channel. Proceedings of the 4th International Conference on Mathematical Methods, Models, and Architectures for Computer Network Security, MMM-ACNS 2007, 13-15 September 2007, St. Petersburg, Russia. Communications in Computer and Information Science. Berlin, Heidelberg: Springer, 2007. vol.1. p.115-126. D0I:10.1007/978-3-540-73986-9_9

19. Yakovlev V. Authentication Method Diffie-Hellman Values Based on Pre-Distributed Binary Sequences and Strictly Universal Hash Functions // Proceedings of the X International Conference on Infotelecommunications in Science and Education, 24-28 February 2021, St. Petersburg, Russia. St. Petersburg: The Bonch-Bruevich Saint-Petersburg State University of Telecommunications Publ.; 2021. p. 693-698. (in Russ.)

20. Yakovlev V., Korzhik V., Adadurov S. Authentication of Diffie-Hellman Protocol for Mobile Units Executing a Secure Device Pairing Procedure in Advance. Proceedings of the 29th Conference of Open Innovations Association, FRUCT, 12-14 May 2021, Tampere, Finland. IEEE; 2021. D0I:10.23919/FRUCT52173.2021.9435495

21. Wegman M.N., Carter J.L. New Hash Functions and their Use in Authentication and Set Equality. Journal of Computer and System Sciences. 1981;22(3):265-279. D0I:10.1016/0022-0000(81)90033-7

22. Carter J.l., Wegman M.N. Universal classes of hash functions. Journal of Computer and System Sciences. 1979;18(2): 143-154. D0I:10.1016/0022-0000(79)90044-8

23. Maurer U. Secret key agreement by public discussion from common information. IEEE Transactions on Information Theory. 1993;39(3):2535-2549.

24. G0ST P 34 12-2015. Information Technology. Cryptographic Information Protection. Block Ciphers. M.: Standartinform Publ.; 2015. (in Russ.).

25. FIPS 197. Specification for the ADVANCED ENCRIPTION STANDARD (AES). Nov.2001.

Сведения об авторе:

Виктор Алексеевич

ЯКОВЛЕВ

доктор технических наук, профессор, профессор кафедры защищенных систем связи Санкт-Петербургского государственного университета телекоммуникаций им. проф. М.А. Бонч-Бруевича, [email protected]

i Надоели баннеры? Вы всегда можете отключить рекламу.