УДК 004.05
улучшение способов аутентификации для каналов связи с ошибками
В. Н. Никитин,
канд. техн. наук, доцент Д. В. Юркин,
аспирант
Санкт-Петербургский государственный университет телекоммуникаций им. проф. М. А. Бонч-Бруевича
Рассмотрен обобщенный подход к разработке и анализу криптографических протоколов с помощью вероятностно-временных методов. Показано влияние ошибок, возникающих в канале связи, на работу протоколов аутентификации.
Ключевые слова — криптографический протокол, канал связи с ошибками, вероятностно-временные характеристики.
Введение
Одним из основных показателей систем конфиденциальной связи, наряду со стойкостью и трудоемкостью выполнения, является эффективность использования ресурсов сети связи, обеспечивающей для корреспондентов-участников криптографического протокола своевременные предоставление доступа и передачу данных. Поэтому обеспечение высокого качества конфиденциальной связи невозможно без обеспечения заданных требований к вероятностно-временным характеристикам криптографических протоколов предоставления доступа к защищенному каналу связи и инкапсуляции данных. Наибольшей актуальностью обладает проблема идентификации и аутентификации корреспондентов в сетях широкополосного радиодоступа.
Задачи совершенствования способов аутентификации для каналов связи с ошибками
Исходя из общих требований к безопасности защищенных каналов связи можно сформулировать следующие требования к протоколам предоставления доступа [1], которые имеют в своей основе криптографические методы аутентификации:
1) сообщения протокола должны быть результатом выполнения однонаправленного преобразования, обусловленного знанием общего секрета
на основе преобразования запросов и общего секрета, не компрометирующего общий секрет;
2) во избежание атаки повторения ранее переданных запросов должна быть обеспечена устойчивость к накоплению статистики передаваемых сообщений [2].
Вместе с тем, основываясь на требованиях по своевременности предоставления доступа в сетях передачи данных общего пользования [3], необходимо также обеспечить следующие вероятностно-временные требования:
• среднее время успешной аутентификации Т;
• вероятность успешного выполнения протокола аутентификации за допустимое время
Р(Т < Техес )•
Таким образом, целью разработки является улучшение вероятностно-временных характеристик протокола аутентификации без снижения стойкости к атакам за счет сокращения числа передаваемых сообщений и уменьшения временных затрат на периодическую смену ключевой информации при применении протокола аутентификации в каналах связи с ошибками, а решаемые при этом задачи должны обеспечить достижение максимальной вероятности предоставления доступа за допустимое время в канале связи с ошибками.
Аутентификация ISO/IEC 9798 и RIPE-RACE
Известен [4-8] ряд способов аутентификации (рис. 1), использующих модель информационного
Случайная______}
последо ватель ность
Значение хеш-функции на общем секретном ключе
■ Рис. 1. Способ односторонней аутентификации ^/^ 9798
взаимодействия корреспондентов типа «запрос-ответ».
В семействе стандартов ^0/1ЕС 9798 описан способ аутентификации, использующий модель «запрос-ответ» с применением ключевой хеш-функции, реализующий одностороннюю аутентификацию корреспондентов. Сущность способа заключается в аутентификации на основании формирования и передачи случайного запроса инициатором и вычисления респондентом ключевой хеш-функции от него с последующей передачей ее значения в ответ. Недостатком этого способа является отсутствие возможности двусторонней аутентификации корреспондентов за одну сессию протокола. Это обусловлено тем, что алгоритмы вычислений и информационного обмена сообщениями не позволяют выполнить случайные запросы инициатора и респондента в одной сессии протокола. При этом задача двусторонней аутентификации может быть решена двукратным выполнением [4] односторонней аутентификации, что потребует существенного увеличения временных затрат.
Решением задачи двусторонней аутентификации является способ RIPE-RACE [9] (рис. 2), в котором также используют ключевую хеш-функцию.
В данном способе инициатор передает случайный запрос респонденту, который, получив этот запрос, формирует свой случайный запрос, вычисляет ключевую хеш-функцию от обоих запросов и передает свой случайный запрос вместе с результатом вычисления ключевой хеш-функции. Инициатор, получив ответ респондента, вычисляет, используя секретный ключ, хеш-функцию от своего запроса, полученного запроса и идентификатора респондента и сравнивает полученное значение с принятым. В случае совпадения он вычисляет значение хеш-функции на том же ключе от обоих запросов и своего идентификатора, после чего передает его респонденту. Респондент, приняв сообщение инициатора, также вычисляет хеш-функцию от обоих запросов и сравнивает полученное значение с принятым.
■ Рис. 2. Способ двусторонней аутентификации RIPE-RACE
В случае совпадения сравниваемых величин протокол аутентификации завершен успешно.
Такой способ позволяет уменьшить число передаваемых сообщений с четырех до трех, что обеспечивает сокращение времени аутентификации для систем связи, работающих по различным каналам связи, не снижая вычислительной стойкости способа прототипа. Это повышает эффективность использования пропускной способности канала связи и снижает временные затраты на получение доступа к информационному ресурсу.
Однако рассмотренные способы имеют два недостатка:
— число передаваемых сообщений избыточно;
— криптосистемы, используемые в нем, требуют периодической смены общего секрета.
Аутентификация с использованием бесключевых хеш-функций
В рамках выбранной модели информационного взаимодействия для выполнения требуемого преобразования при аутентификации можно использовать любую условно однонаправленную функцию. Если в качестве такой функции выбрана ключевая хеш-функция [10], то заранее распределенная последовательность используется как общий секрет для вычисления однонаправленных преобразований от случайных запросов, и в целях защиты от статистических атак необходима постоянная смена общего секрета.
Однонаправленное преобразование можно реализовать с использованием другого класса функций, которым может являться класс бесключе-вых криптографических хеш-функций [11].
В предлагаемом способе двусторонней аутентификации корреспондентов системы связи и аутентификации при определении доступа субъекта к информационным ресурсам технических средств передачи хранения и обработки информации передается только два сообщения, вместо ключевых хеш-функций для преобразования информации используются бесключевые хеш-
Респондент
Инициатор
функции, а общий секрет применяется в качестве аргумента хеш-функции.
Случайность однонаправленного преобразования достигается за счет конкатенации общего секрета со случайным аргументом хеш-функции, что позволяет при выборе стойкой однонаправленной функции такого класса приравнять вероятность успешной атаки на алгоритм, основанной на вычислении общего секрета, составляющего ее аргумент, к вероятности успешного обращения этой функции.
Протокол выполняется следующим образом (рис. 3). Первым сообщением передается запрос C инициатора и ответ hR на заранее известный только легитимным корреспондентам запрос (общий секрет), а вторым — ответ hs респондента инициатору. Причем запрос инициатора формируется путем вычисления бесключевой хеш-функции (например, алгоритмы [12, 13]) аргумента, составляющего результат вычисления hR = h(hs || ^ = h(SAB 11 hs(SAB 11 ^ той же хеш-функции ^х) случайного запроса и общего секрета hs = h(SAB || ^, конкатенированного со значением случайного числа, к которому добавлено само случайное число.
Ответное сообщение респондента состоит из значения бесключевой хеш-функции hs = = h(SAв II ^ от общего секрета и случайного запроса инициатора.
При таком информационном обмене (рис. 4) за счет уменьшения количества передаваемых сообщений сокращаются временные затраты на выполнение двусторонней аутентификации корреспондентов, а стойкость способа определяется выбором алгоритма вычисления однонаправленной бесключевой хеш-функции. Такой способ не требует периодической смены общего секрета, что позволяет сделать его долгосрочным.
Вследствие этого при работе по каналам связи с ошибками увеличивается вероятность успешного завершения протокола в заданное время, что позволяет сократить время доступа к защищенному каналу связи при заданной вероятно-
сти успешной аутентификации и улучшает доступность информационного ресурса для легитимных корреспондентов субъектов информационного обмена.
Сравнение вероятностно-временных характеристик протоколов аутентификации модели «запрос-ответ»
Приведем оценки среднего времени T(Poo ) выполнения и вероятности успешного завершения P(Poo ) от вероятности обнаружения ошибки в сообщениях протокола.
Согласно методике оценки вероятностновременных характеристик криптографических протоколов [14] для рассматриваемых протоколов двусторонней аутентификации ISO/IEC 9798, SKID и предлагаемого протокола с использованием бесключевой хеш-функции при предоставлении доступа, имеем
T((’vform ,vform ,Poo) _
_ d П fform ^om Poo ’ x)fiend ((,vsend >Poo,x)
dx i_11 - firr (l,vsend > Poo ,x)fiorm ((,vform> Poo,x) P(l, Poo ,z,vform ,vsend )
_ 1 -
j
1 -(1- Poo )Sl(
floor Tex$c_
Poo _0
где l — длина кодируемого сообщения; Vform, vsend — скорости формирования и передачи сообщения соответственно; poo — вероятность обнаруженной битовой ошибки; j — число сообщений протокола.
На рис. 5, а, б показаны зависимости среднего времени и вероятности успешного завершения при Техес = 10 с для сравниваемых протоколов применительно к сетям передачи данных стандарта 1ЕЕЕ 802.11 для следующих исходных данных: скорость формирования кадра — 2109 бит/с; длина аргумента хеш-функции — 64 бит;
1
x_
Предварительные вычисления
Инициатор Секретная Центр распределения ключей Секретная Респондент
последовательность последовательность
Активные вычисления
Случайный запрос, значение хеш-функции,
вычисленное инициатором Значение хеш-функции, вычисленное респондентом
■ Рис. 3. Информационное взаимодействие корреспондентов при двусторонней аутентификации
Предварительные вычисления
Распределение общего секрета
Инициатор Респондент
Вычисления Прием / передача Прием/ передача Вычисления
rnd(C ) К = KSjc) hR = h(hsp) = ф^й, (Sjp))
Активные вычисления
С hя С % = h(Sjp) hR = h(h.p) = ФЛ4 (Sjp)) h-R =
hs = hs hs hs
■ Рис. 4. Схема выполнения корреспондентами протокола двусторонней аутентификации
длина значения хеш-функции — 128 бит; количество служебной информации на кадр — 224 бит.
По результатам оценки вероятностновременных характеристик рассмотренных протоколов необходимо отметить значительное улучшение среднего времени выполнения и вероятности успешного завершения в заданное время предлагаемого способа по отношению к аналогам. Данное преимущество характеризует протокол аутентификации с использованием алгорит-
мов вычисления бесключевых хеш-функций как наилучший по производительности способ предоставления доступа субъекта к информационному ресурсу, эффективно работающий по каналам с высокой вероятностью ошибки.
Заключение
Анализ известных способов аутентификации модели «запрос-ответ» показывает, что они облада-
Q(Poo)
0,8
0,6
0,4
0,2
0
1-Ю'
1-3
0,01
0,1 р
* о.
- SKID
■ Рис. 5. Зависимости среднего времени выполнения (а) и вероятности успешного завершения (б) протоколов двусторонней аутентификации: скорость передачи кадра Frame Management 106 бит/с (слева) и 107 бит/с (справа)
ют недостатками, затрудняющими их использование в каналах низкого качества. В работе предложен способ аутентификации, позволяющий уменьшить время выполнения протокола двусторонней аутентификации, что достигается за счет сокращения числа раундов передачи сообщений до минимально возможного. Это обеспечивается вычислением бесключевой хеш-функции над конкатенацией общего секрета со случайной величиной, изменяемой при выполнении каждой последующей итерации протокола, что посредством рандомизации
Литература
1. U.S. Department of Commerce/National Bureau of Standards. Password usage. National Technical Information Service. — Virginia: Springfield, 1985. www.itl.nist.gov/fipspubs/fip112.htm (дата обращения: 10.11.08).
2. Gong L. Variations on the themes of message freshness and replay// The Computer Security Foundations Workshop. Geneva: IEEE Computer Society Press, 1993. Р. 131-136.
3. РД 45.128-2000. Сети и службы передачи данных/ Министерство Российской Федерации по связи и информатизации, 2001. http://minkomsvjaz.ru/ ministry/documents/959/ (дата обращения: 10.11.08).
4. ISO/IEC 9798-1. Information technology — Security techniques — Entity authentication mechanisms. Part 1: General model/International Organization for Standardization. — Geneva, 1991. http://www.iso. org/iso/iso_catalogue/catalogue_tc/ (дата обращения: 10.11.08).
5. SO/IEC 9798-4. Information technology — Security techniques — Entity authentication. Part 4: Mechanisms using a cryptographic check function/International Organization for Standardization. — Geneva,
1995. http://www.iso.org/iso/iso_catalogue/cata-logue_tc/ (дата обращения: 10.11.08).
6. ISO/IEC 9798-2. Information technology — Security techniques — Entity authentication. Part 2: Mechanisms using symmetric encipherment algorithms/International Organization for Standardization. — Geneva, 1994. http://www.iso.org/iso/iso_catalogue/ catalogue_tc/ (дата обращения: 10.11.08).
обеспечивает защиту от накопления статистики и атаки повторных передач сообщений. Таким образом, уникальность результата выполнения однонаправленного преобразования общего секрета достигается посредством рандомизации запроса путем добавления к аргументу вычисляемой хеш-функции случайной последовательности.
Предлагаемый способ аутентификации с использованием бесключевых хеш-функций позволяет существенно сократить время предоставления доступа в радиоканалах низкого качества.
7. ISO/IEC 9798-3. Information technology — Security techniques — Entity authentication mechanisms. Part 3: Entity authentication using a public-key algo-rithm/ International Organization for Standardization. — Geneva, 1993. http://www.iso.org/iso/iso_ catalogue/catalogue_tc/ (дата обращения: 10.11.08).
8. ISO/IEC 9798-5. Information technology — Security
techniques — Entity authentication. Part 5: Mechanisms using zero knowledge techniques/International Organization for Standardization. — Geneva,
1996. http://www.iso.org/iso/iso_catalogue/cata-
logue_tc/ (дата обращения: 10.11.08).
9. Bosselares A., Preneel B. Integrity Primitives for Secure Information Systems//Final Report of RACE Integrity Primitives Evaluation RIPE-RACE 1040. N. Y.: Springer-Verlag, 1995. Р. 1-12.
10. Metzger P., Simpson W. IP authentication using keyed MD5. 1995. http://www.ietf.org/rfc/rfc1852. txt (дата обращения: 10.11.08).
11. Preneel B., Leuven K. U., Mercierlaan K. Cryptographic Hash Functions: an overview// ESAT-COSIC Laboratory. Leuven, Belgium, 1994. Р. 412-431.
12. Matyas S. M., Meyer C. H., Oseas J. Generating strong one-way functions with cryptographic algorithm// IBM Technical Disclosure Bulletin. Mar. 1985. Vol. 27. N 10A. P. 5658-5659.
13. Miyaguchi S., Ohta K., Iwata M. 128-bit hash function (N-hash)//NTT Review. Nov. 1990. Vol. 2. N 6. P. 128-132.
14. Nikitin V., Yurkin D., Chilamkurti N. The influence of the cryptographic protocols on the quality of the radio transmission// ICUMT. St.-Petersburg, Russia, Nov. 2009. Р. 1-5.