Улучшение способов аутентификации для каналов связи с ошибками Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.05

улучшение способов аутентификации для каналов связи с ошибками

В. Н. Никитин,

канд. техн. наук, доцент Д. В. Юркин,

аспирант

Санкт-Петербургский государственный университет телекоммуникаций им. проф. М. А. Бонч-Бруевича

Рассмотрен обобщенный подход к разработке и анализу криптографических протоколов с помощью вероятностно-временных методов. Показано влияние ошибок, возникающих в канале связи, на работу протоколов аутентификации.

Ключевые слова — криптографический протокол, канал связи с ошибками, вероятностно-временные характеристики.

Введение

Одним из основных показателей систем конфиденциальной связи, наряду со стойкостью и трудоемкостью выполнения, является эффективность использования ресурсов сети связи, обеспечивающей для корреспондентов-участников криптографического протокола своевременные предоставление доступа и передачу данных. Поэтому обеспечение высокого качества конфиденциальной связи невозможно без обеспечения заданных требований к вероятностно-временным характеристикам криптографических протоколов предоставления доступа к защищенному каналу связи и инкапсуляции данных. Наибольшей актуальностью обладает проблема идентификации и аутентификации корреспондентов в сетях широкополосного радиодоступа.

Задачи совершенствования способов аутентификации для каналов связи с ошибками

Исходя из общих требований к безопасности защищенных каналов связи можно сформулировать следующие требования к протоколам предоставления доступа [1], которые имеют в своей основе криптографические методы аутентификации:

1) сообщения протокола должны быть результатом выполнения однонаправленного преобразования, обусловленного знанием общего секрета

на основе преобразования запросов и общего секрета, не компрометирующего общий секрет;

2) во избежание атаки повторения ранее переданных запросов должна быть обеспечена устойчивость к накоплению статистики передаваемых сообщений [2].

Вместе с тем, основываясь на требованиях по своевременности предоставления доступа в сетях передачи данных общего пользования [3], необходимо также обеспечить следующие вероятностно-временные требования:

• среднее время успешной аутентификации Т;

• вероятность успешного выполнения протокола аутентификации за допустимое время

Р(Т < Техес )•

Таким образом, целью разработки является улучшение вероятностно-временных характеристик протокола аутентификации без снижения стойкости к атакам за счет сокращения числа передаваемых сообщений и уменьшения временных затрат на периодическую смену ключевой информации при применении протокола аутентификации в каналах связи с ошибками, а решаемые при этом задачи должны обеспечить достижение максимальной вероятности предоставления доступа за допустимое время в канале связи с ошибками.

Аутентификация ISO/IEC 9798 и RIPE-RACE

Известен [4-8] ряд способов аутентификации (рис. 1), использующих модель информационного

Случайная______}

последо ватель ность

Значение хеш-функции на общем секретном ключе

■ Рис. 1. Способ односторонней аутентификации ^/^ 9798

взаимодействия корреспондентов типа «запрос-ответ».

В семействе стандартов ^0/1ЕС 9798 описан способ аутентификации, использующий модель «запрос-ответ» с применением ключевой хеш-функции, реализующий одностороннюю аутентификацию корреспондентов. Сущность способа заключается в аутентификации на основании формирования и передачи случайного запроса инициатором и вычисления респондентом ключевой хеш-функции от него с последующей передачей ее значения в ответ. Недостатком этого способа является отсутствие возможности двусторонней аутентификации корреспондентов за одну сессию протокола. Это обусловлено тем, что алгоритмы вычислений и информационного обмена сообщениями не позволяют выполнить случайные запросы инициатора и респондента в одной сессии протокола. При этом задача двусторонней аутентификации может быть решена двукратным выполнением [4] односторонней аутентификации, что потребует существенного увеличения временных затрат.

Решением задачи двусторонней аутентификации является способ RIPE-RACE [9] (рис. 2), в котором также используют ключевую хеш-функцию.

В данном способе инициатор передает случайный запрос респонденту, который, получив этот запрос, формирует свой случайный запрос, вычисляет ключевую хеш-функцию от обоих запросов и передает свой случайный запрос вместе с результатом вычисления ключевой хеш-функции. Инициатор, получив ответ респондента, вычисляет, используя секретный ключ, хеш-функцию от своего запроса, полученного запроса и идентификатора респондента и сравнивает полученное значение с принятым. В случае совпадения он вычисляет значение хеш-функции на том же ключе от обоих запросов и своего идентификатора, после чего передает его респонденту. Респондент, приняв сообщение инициатора, также вычисляет хеш-функцию от обоих запросов и сравнивает полученное значение с принятым.

■ Рис. 2. Способ двусторонней аутентификации RIPE-RACE

В случае совпадения сравниваемых величин протокол аутентификации завершен успешно.

Такой способ позволяет уменьшить число передаваемых сообщений с четырех до трех, что обеспечивает сокращение времени аутентификации для систем связи, работающих по различным каналам связи, не снижая вычислительной стойкости способа прототипа. Это повышает эффективность использования пропускной способности канала связи и снижает временные затраты на получение доступа к информационному ресурсу.

Однако рассмотренные способы имеют два недостатка:

— число передаваемых сообщений избыточно;

— криптосистемы, используемые в нем, требуют периодической смены общего секрета.

Аутентификация с использованием бесключевых хеш-функций

В рамках выбранной модели информационного взаимодействия для выполнения требуемого преобразования при аутентификации можно использовать любую условно однонаправленную функцию. Если в качестве такой функции выбрана ключевая хеш-функция [10], то заранее распределенная последовательность используется как общий секрет для вычисления однонаправленных преобразований от случайных запросов, и в целях защиты от статистических атак необходима постоянная смена общего секрета.

Однонаправленное преобразование можно реализовать с использованием другого класса функций, которым может являться класс бесключе-вых криптографических хеш-функций [11].

В предлагаемом способе двусторонней аутентификации корреспондентов системы связи и аутентификации при определении доступа субъекта к информационным ресурсам технических средств передачи хранения и обработки информации передается только два сообщения, вместо ключевых хеш-функций для преобразования информации используются бесключевые хеш-

Респондент

Инициатор

функции, а общий секрет применяется в качестве аргумента хеш-функции.

Случайность однонаправленного преобразования достигается за счет конкатенации общего секрета со случайным аргументом хеш-функции, что позволяет при выборе стойкой однонаправленной функции такого класса приравнять вероятность успешной атаки на алгоритм, основанной на вычислении общего секрета, составляющего ее аргумент, к вероятности успешного обращения этой функции.

Протокол выполняется следующим образом (рис. 3). Первым сообщением передается запрос C инициатора и ответ hR на заранее известный только легитимным корреспондентам запрос (общий секрет), а вторым — ответ hs респондента инициатору. Причем запрос инициатора формируется путем вычисления бесключевой хеш-функции (например, алгоритмы [12, 13]) аргумента, составляющего результат вычисления hR = h(hs || ^ = h(SAB 11 hs(SAB 11 ^ той же хеш-функции ^х) случайного запроса и общего секрета hs = h(SAB || ^, конкатенированного со значением случайного числа, к которому добавлено само случайное число.

Ответное сообщение респондента состоит из значения бесключевой хеш-функции hs = = h(SAв II ^ от общего секрета и случайного запроса инициатора.

При таком информационном обмене (рис. 4) за счет уменьшения количества передаваемых сообщений сокращаются временные затраты на выполнение двусторонней аутентификации корреспондентов, а стойкость способа определяется выбором алгоритма вычисления однонаправленной бесключевой хеш-функции. Такой способ не требует периодической смены общего секрета, что позволяет сделать его долгосрочным.

Вследствие этого при работе по каналам связи с ошибками увеличивается вероятность успешного завершения протокола в заданное время, что позволяет сократить время доступа к защищенному каналу связи при заданной вероятно-

сти успешной аутентификации и улучшает доступность информационного ресурса для легитимных корреспондентов субъектов информационного обмена.

Сравнение вероятностно-временных характеристик протоколов аутентификации модели «запрос-ответ»

Приведем оценки среднего времени T(Poo ) выполнения и вероятности успешного завершения P(Poo ) от вероятности обнаружения ошибки в сообщениях протокола.

Согласно методике оценки вероятностновременных характеристик криптографических протоколов [14] для рассматриваемых протоколов двусторонней аутентификации ISO/IEC 9798, SKID и предлагаемого протокола с использованием бесключевой хеш-функции при предоставлении доступа, имеем

T((’vform ,vform ,Poo) _

_ d П fform ^om Poo ’ x)fiend ((,vsend >Poo,x)

dx i_11 - firr (l,vsend > Poo ,x)fiorm ((,vform> Poo,x) P(l, Poo ,z,vform ,vsend )

_ 1 -

j

1 -(1- Poo )Sl(

floor Tex$c_

Poo _0

где l — длина кодируемого сообщения; Vform, vsend — скорости формирования и передачи сообщения соответственно; poo — вероятность обнаруженной битовой ошибки; j — число сообщений протокола.

На рис. 5, а, б показаны зависимости среднего времени и вероятности успешного завершения при Техес = 10 с для сравниваемых протоколов применительно к сетям передачи данных стандарта 1ЕЕЕ 802.11 для следующих исходных данных: скорость формирования кадра — 2109 бит/с; длина аргумента хеш-функции — 64 бит;

1

x_

Предварительные вычисления

Инициатор Секретная Центр распределения ключей Секретная Респондент

последовательность последовательность

Активные вычисления

Случайный запрос, значение хеш-функции,

вычисленное инициатором Значение хеш-функции, вычисленное респондентом

■ Рис. 3. Информационное взаимодействие корреспондентов при двусторонней аутентификации

Предварительные вычисления

Распределение общего секрета

Инициатор Респондент

Вычисления Прием / передача Прием/ передача Вычисления

rnd(C ) К = KSjc) hR = h(hsp) = ф^й, (Sjp))

Активные вычисления

С hя С % = h(Sjp) hR = h(h.p) = ФЛ4 (Sjp)) h-R =

hs = hs hs hs

■ Рис. 4. Схема выполнения корреспондентами протокола двусторонней аутентификации

длина значения хеш-функции — 128 бит; количество служебной информации на кадр — 224 бит.

По результатам оценки вероятностновременных характеристик рассмотренных протоколов необходимо отметить значительное улучшение среднего времени выполнения и вероятности успешного завершения в заданное время предлагаемого способа по отношению к аналогам. Данное преимущество характеризует протокол аутентификации с использованием алгорит-

мов вычисления бесключевых хеш-функций как наилучший по производительности способ предоставления доступа субъекта к информационному ресурсу, эффективно работающий по каналам с высокой вероятностью ошибки.

Заключение

Анализ известных способов аутентификации модели «запрос-ответ» показывает, что они облада-

Q(Poo)

0,8

0,6

0,4

0,2

0

1-Ю'

1-3

0,01

0,1 р

* о.

- SKID

■ Рис. 5. Зависимости среднего времени выполнения (а) и вероятности успешного завершения (б) протоколов двусторонней аутентификации: скорость передачи кадра Frame Management 106 бит/с (слева) и 107 бит/с (справа)

ют недостатками, затрудняющими их использование в каналах низкого качества. В работе предложен способ аутентификации, позволяющий уменьшить время выполнения протокола двусторонней аутентификации, что достигается за счет сокращения числа раундов передачи сообщений до минимально возможного. Это обеспечивается вычислением бесключевой хеш-функции над конкатенацией общего секрета со случайной величиной, изменяемой при выполнении каждой последующей итерации протокола, что посредством рандомизации

Литература

1. U.S. Department of Commerce/National Bureau of Standards. Password usage. National Technical Information Service. — Virginia: Springfield, 1985. www.itl.nist.gov/fipspubs/fip112.htm (дата обращения: 10.11.08).

2. Gong L. Variations on the themes of message freshness and replay// The Computer Security Foundations Workshop. Geneva: IEEE Computer Society Press, 1993. Р. 131-136.

3. РД 45.128-2000. Сети и службы передачи данных/ Министерство Российской Федерации по связи и информатизации, 2001. http://minkomsvjaz.ru/ ministry/documents/959/ (дата обращения: 10.11.08).

4. ISO/IEC 9798-1. Information technology — Security techniques — Entity authentication mechanisms. Part 1: General model/International Organization for Standardization. — Geneva, 1991. http://www.iso. org/iso/iso_catalogue/catalogue_tc/ (дата обращения: 10.11.08).

5. SO/IEC 9798-4. Information technology — Security techniques — Entity authentication. Part 4: Mechanisms using a cryptographic check function/International Organization for Standardization. — Geneva,

1995. http://www.iso.org/iso/iso_catalogue/cata-logue_tc/ (дата обращения: 10.11.08).

6. ISO/IEC 9798-2. Information technology — Security techniques — Entity authentication. Part 2: Mechanisms using symmetric encipherment algorithms/International Organization for Standardization. — Geneva, 1994. http://www.iso.org/iso/iso_catalogue/ catalogue_tc/ (дата обращения: 10.11.08).

обеспечивает защиту от накопления статистики и атаки повторных передач сообщений. Таким образом, уникальность результата выполнения однонаправленного преобразования общего секрета достигается посредством рандомизации запроса путем добавления к аргументу вычисляемой хеш-функции случайной последовательности.

Предлагаемый способ аутентификации с использованием бесключевых хеш-функций позволяет существенно сократить время предоставления доступа в радиоканалах низкого качества.

7. ISO/IEC 9798-3. Information technology — Security techniques — Entity authentication mechanisms. Part 3: Entity authentication using a public-key algo-rithm/ International Organization for Standardization. — Geneva, 1993. http://www.iso.org/iso/iso_ catalogue/catalogue_tc/ (дата обращения: 10.11.08).

8. ISO/IEC 9798-5. Information technology — Security

techniques — Entity authentication. Part 5: Mechanisms using zero knowledge techniques/International Organization for Standardization. — Geneva,

1996. http://www.iso.org/iso/iso_catalogue/cata-

logue_tc/ (дата обращения: 10.11.08).

9. Bosselares A., Preneel B. Integrity Primitives for Secure Information Systems//Final Report of RACE Integrity Primitives Evaluation RIPE-RACE 1040. N. Y.: Springer-Verlag, 1995. Р. 1-12.

10. Metzger P., Simpson W. IP authentication using keyed MD5. 1995. http://www.ietf.org/rfc/rfc1852. txt (дата обращения: 10.11.08).

11. Preneel B., Leuven K. U., Mercierlaan K. Cryptographic Hash Functions: an overview// ESAT-COSIC Laboratory. Leuven, Belgium, 1994. Р. 412-431.

12. Matyas S. M., Meyer C. H., Oseas J. Generating strong one-way functions with cryptographic algorithm// IBM Technical Disclosure Bulletin. Mar. 1985. Vol. 27. N 10A. P. 5658-5659.

13. Miyaguchi S., Ohta K., Iwata M. 128-bit hash function (N-hash)//NTT Review. Nov. 1990. Vol. 2. N 6. P. 128-132.

14. Nikitin V., Yurkin D., Chilamkurti N. The influence of the cryptographic protocols on the quality of the radio transmission// ICUMT. St.-Petersburg, Russia, Nov. 2009. Р. 1-5.