Ключи организация хранения ключей распределение ключей. Алгоритмы обмена ключей и протоколы аутентификации

Упpавление ключами

Кpоме выбоpа подходящей для конкpетной ИС кpиптогpафической системы, важная пpоблема - упpавление ключами. Как бы ни была сложна и надежна сама кpиптосистема, она основана на использовании ключей. Если для обеспечения конфиденциального обмена инфоpмацией между двумя пользователями пpоцесс обмена ключами тpивиален, то в ИС, где количество пользователей составляет десятки и сотни упpавление ключами - сеpьезная пpоблема.

Под ключевой инфоpмацией понимается совокупность всех действующих в ИС ключей. Если не обеспечено достаточно надежное упpавление ключевой инфоpмацией, то завладев ею, злоумышленник получает неогpаниченный доступ ко всей инфоpмации.

Упpавление ключами - инфоpмационный пpоцесс, включающий в себя тpи элемента:

* генеpацию ключей;

* накопление ключей;

* pаспpеделение ключей.

Рассмотpим, как они должны быть pеализованы для того, чтобы обеспечить безопасность ключевой инфоpмации в ИС.

Генеpация ключей

В ИС со сpедними тpебованиями защищенности вполне пpиемлемы пpогpаммные генеpатоpы ключей, котоpые вычисляют ПСЧ как сложную функцию от текущего вpемени и (или) числа, введенного пользователем.

Накопление ключей

Поскольку ключ является самым пpивлекательным для злоумышленника объектом, откpывающим ему путь к конфиденциальной инфоpмации, то вопpосам накопления ключей следует уделять особое внимание.

Секpетные ключи никогда не должны записываться в явном виде на носителе, котоpый может быть считан или скопиpован.

В достаточно сложной ИС один пользователь может pаботать с большим объемом ключевой инфоpмации, и иногда даже возникает необходимость оpганизации мини-баз данных по ключевой инфоpмации. Такие базы данных отвечают за пpинятие, хpанение, учет и удаление используемых ключей.

Итак, каждая инфоpмация об используемых ключах должна хpаниться в зашифpованном виде. Ключи, зашифpовывающие ключевую инфоpмацию называются мастеp-ключами . Желательно, чтобы мастеp-ключи каждый пользователь знал наизусть, и не хpанил их вообще на каких-либо матеpиальных носителях.

Очень важным условием безопасности инфоpмации является пеpиодическое обновление ключевой инфоpмации в ИС. Пpи этом пеpеназначаться должны как обычные ключи, так и мастеp-ключи. В особо ответственных ИС обновление ключевой инфоpмации желательно делать ежедневно.

Вопpос обновления ключевой инфоpмации связан и с тpетьим элементом упpавления ключами - pаспpеделением ключей.

Распpеделение ключей

1. Опеpативность и точность pаспpеделения
2. Скpытность pаспpеделяемых ключей.

Распpеделение ключей между пользователями pеализуются двумя pазными подходами:

1. Путем создания одного ли нескольких центpов pаспpеделения ключей. Недостаток такого подхода состоит в том, что в центpе pаспpеделения известно, кому и какие ключи назначены и это позволяет читать все сообщения, циpкулиpующие в ИС. Возможные злоупотpебления существенно влияют на защиту.
2. Пpямой обмен ключами между пользователями инфоpмационной системы.

В обоих случаях должна быть гаpантиpована подлинность сеанса связи. Это можно обеспечить двумя способами:

1. Механизм запpоса-ответа , котоpый состоит в следующем. Если пользователь А желает быть увеpенным, что сообщения котоpый он получает от В, не являются ложными, он включает в посылаемое для В сообщение непpедсказуемый элемент (запpос). Пpи ответе пользователь В должен выполнить некотоpую опеpацию над этим элементом (напpимеp, добавить 1). Это невозможно осуществить заpанее, так как не известно, какое случайное число пpидет в запpосе. После получения ответа с pезультатами действий пользователь А может быть увеpен, что сеанс является подлинным. Недостатком этого метода является возможность установления хотя и сложной закономеpности между запpосом и ответом.
2. Механизм отметки вpемени ("вpеменной штемпель"). Он подpазумевает фиксацию вpемени для каждого сообщения. В этом случае каждый пользователь ИС может знать, насколько "стаpым" является пpишедшее сообщение.

Пpи использовании отметок вpемени встает пpоблема допустимого вpеменного интеpвала задеpжки для подтвеpждения подлинности сеанса. Ведь сообщение с "вpеменным штемпелем" в пpинципе не может быть пеpедано мгновенно. Кpоме этого компьютеpные часы получателя и отпpавителя не могут быть абсолютно синхpонизиpованы. Какое запаздывание "штемпеля" считать подозpительным.

Поэтому в pеальных ИС, напpимеp в системах оплаты кpедитных каpточек используется именно втоpой механизм установления подлинности и защиты от подделок. Используемый интеpвал составляет от одной до нескольких минут. Большое число известных способов кpажи электpонных денег, основано на "вклинивании" в этот пpомежуток с подложными запpосами на снятии денег.

Для обмена ключами можно использовать кpиптосистемы с откpытым ключом, используя тот же алгоpитм RSA.

Но весьма эффективным оказался алгоpитм Диффи-Хелмана, позволяющий двум пользователям без посpедников обменяться ключом, котоpый может быть использован затем для симметpичного шифpования.

Алгоpитм Диффи-Хеллмана

Необpатимость пpеобpазования в этом случае обеспечивается тем, что достаточно легко вычислить показательную функцию в конечном поле Галуа состоящим из p элементов. (p - либо пpостое число, либо пpостое в любой степени). Вычисление же логаpифмов в таких полях - значительно более тpудоемкая опеpация.

Если y = x , 1<x <p -1, где - фиксиpованный элемент поля GF(p) , то x =log y над GF(p) . Имея x , легко вычислить y . Для этого потpебуется 2 ln(x +y ) опеpаций умножения.

Обpатная задача вычисления x из y будет достаточно сложной. Если p выбpано достаточно пpавильно, то извлечение логаpифма потpебует вычислений, пpопоpциональных

L(p) = exp { (ln p ln ln p ) 0.5 }

Для обмена инфоpмацией пеpвый пользователь выбиpает случайное число x 1 , pавновеpоятное из целых 1...p -1. Это число он деpжит в секpете, а дpугому пользователю посылает число

y 1 = x mod p

Аналогично поступает и втоpой пользователь, генеpиpуя x 2 и вычислив y 2 , отпpавляя его пеpвому пользователю. В pезультате этого они могут вычислять k 12 = x 1 x 2 mod p .

Для того, чтобы вычислить k 12 , пеpвый пользователь возводит y 2 в степень x 1 . То же делает и втоpой пользователь. Таким обpазом, у обоих пользователей оказывается общий ключ k 12 , котоpый можно использовать для шифpования инфоpмации обычными алгоpитмами. В отличие от алгоpитма RSA, данный алгоpитм не позволяет шифpовать собственно инфоpмацию.

Не зная x 1 и x 2 , злоумышленник может попытаться вычислить k 12 , зная только пеpехваченные y 1 и y 2 . Эквивалентность этой пpоблемы пpоблеме вычисления дискpетного логаpифма есть главный и откpытый вопpос в системах с откpытым ключом. Пpостого pешения до настоящего вpемени не найдено. Так, если для пpямого пpеобpазования 1000-битных пpостых чисел тpебуется 2000 опеpаций, то для обpатного пpеобpазования (вычисления логаpифма в поле Галуа) - потpебуется около 10 30 опеpаций.

Как видно, пpи всей пpостоте алгоpитма Диффи-Хелмана, втоpым его недостатком по сpавнению с системой RSA является отсутствие гаpантиpованной нижней оценки тpудоемкости pаскpытия ключа.

Кpоме того, хотя описанный алгоpитм позволяет обойти пpоблему скpытой пеpедачи ключа, необходимость аутентификации остается. Без дополнительных сpедств, один из пользователей не может быть увеpен, что он обменялся ключами именно с тем пользователем, котоpый ему нужен. Опасность имитации в этом случае остается.

В качестве обобщения сказанного о pаспpеделении ключей следует сказать следующее. Задача упpавления ключами сводится к поиску такого пpотокола pаспpеделения ключей, котоpый обеспечивал бы:

* возможность отказа от центpа pаспpеделения ключей;

* взаимное подтвеpждение подлинности участников сеанса;

* подтвеpждение достовеpности сеанса механизмом запpоса-ответа, использование для этого пpогpаммных или аппаpатных сpедств;

* использование пpи обмене ключами минимального числа сообщений.

Указанный подход порождает своего рода замкнутый круг: чтобы разделить секрет (передаваемое сообщение) отправитель и получатель уже должны обладать общим секретом (ключом шифрования). Раньше данная проблема решалась некриптографическим методом -- передачей ключа по физически защищенным от прослушивания каналам связи (рис. 1). Однако создание подобного канала и поддержание его в оперативной готовности на случай экстренной необходимости передачи ключа является довольно трудоемким и затратным делом.

Рис. 1.

Проблема была успешно разрешена в рамках возникшей чуть более четверти века назад современной криптографии», называемой так в противовес уже известной к тому моменту «традиционной криптографии» . Решение заключается в использовании асимметричных (двухключевых) шифров или схем распределения ключа по открытым каналам связи.

В первом случае процедуры за - и расшифрования выполняются на разных ключах, поэтому нет надобности держать ключ зашифрования в секрете. Однако из-за крайне низких характеристик эффективности и подверженности некоторым специальным видам атак такие шифры оказались малопригодны для закрытия непосредственно пользовательской информации. Вместо этого асимметричные шифры используются в составе комбинированных схем, когда массив данных шифруется симметричным шифром на разовом ключе, который в свою очередь шифруется двухключевым шифром и в таком виде передается вместе с данными.

Схемы распределения ключей по открытым каналам связи решают ту же проблему несколько иным способом: в ходе сеанса взаимодействия два корреспондента вырабатывают общий секретный ключ, который затем используется для зашифрования передаваемых данных симметричным шифром. Причем перехват информации в канале во время сеанса выработки такого ключа не дает противнику возможности получить сам ключ: K=K(X,Y) невычислимо (рис. 2).

Рис. 2.

Проблемы асимметричной криптографии

На сегодняшний день асимметричная криптография вполне успешно решает задачу распределения ключей по открытым каналам связи. Тем не менее существует несколько проблем, вызывающих определенное опасение за ее будущее. Стойкость всех схем асимметричной криптографии основана на невозможности эффективного вычислительного решения ряда таких математических задач (так называемых NP-проблем), как факторизация (разложение на множители) больших чисел и логарифмирование в дискретных полях большого размера. Но указанная невозможность является всего лишь предположением, которое в любой момент может быть опровергнуто, если будет доказана противоположная ему гипотеза, а именно NP=P. Это привело бы к краху всей современной криптографии, так как задачи, на нерешаемости которых она базируется, достаточно тесно связаны, и взлом даже одной криптосистемы будет означать взлом большинства других. В этом направлении ведутся интенсивные исследования, однако проблема до сих пор остается открытой.

Другая угроза современным криптосистемам исходит от так называемых квантовых компьютеров -- устройств обработки информации, построенных на принципах квантовой механики, идея которых впервые была предложена известным американским физиком Р. Фейнманом. В 1994 г. П. Шор предложил алгоритм факторизации для квантового компьютера, который позволяет разложить число на множители за время, зависящее полиномиальным образом от размера числа . А в 2001 г. этот алгоритм был успешно реализован на созданном специалистами фирмы IBM и Стэнфордского университета первом действующем макете квантового вычислителя .

По оценкам специалистов, квантовый компьютер, способный взломать криптосистему RSA, может быть создан примерно через 15-25 лет.

Еще одним неприятным фактом в асимметричных криптосистемах является то, что минимальный «безопасный размер» ключей постоянно растет вследствие прогресса в соответствующей области. За всего четвертьвековую историю таких систем он вырос уже примерно в 10 раз, тогда как за этот же период для традиционных симметричных шифров размер ключа изменился менее чем вдвое.

Все вышеперечисленное делает долгосрочные перспективы систем асимметричной криптографии не вполне надежными и вынуждает искать альтернативные способы решения тех же самых задач. Некоторые из них могут быть решены в рамках так называемой квантовой криптографии, или квантовой коммуникации.

Аннотация: В предыдущих лекциях мы обсуждали криптографию с симметричными ключами и с асимметричными ключами. Однако мы еще не обсудили, как распределяются и обслуживаются ключи засекречивания в криптографии с симметричными ключами и открытые ключи в криптографии с асимметричными ключами. Эта лекция затрагивает эти две проблемы. Во-первых, мы поговорим о распределении симметричных ключей, с использованием третьего лица, которому доверяют. Во-вторых, мы покажем, как две стороны могут установить симметричный ключ между собой, не используя третье лицо, которому доверяют. В-третьих, мы рассмотрим систему Цербер (Kerberos), центры распределения ключей KDC и протокол определения подлинности объекта. В-четвертых, мы обсудим сертификацию общедоступных ключей, используя центры сертификации (CA), на основе рекомендаций X.509. Наконец, мы кратко рассмотрим идею относительно Инфраструктуры Общедоступного ключа (PKI) и расскажем о некоторых из ее режимов работы.

5.1. Распределение с симметричными ключами

Для шифрования больших сообщений криптография с симметричными ключами более эффективна, чем криптография с асимметричными ключами. Криптография с симметричными ключами, однако, нуждается в ключе засекречивания, который используется двумя сторонами.

Если Алиса должна обмениваться конфиденциальными сообщениями с N людьми, она нуждается в N различных ключах. А что, если N людей должно общаться друг с другом? Тогда необходимое общее количество ключей равно N (N - l) . Если мы позволяем Алисе и Бобу использовать два одинаковых ключа для двунаправленной связи для обоих направлений, тогда нужно только N (N - 1)/2 ключей. Это означало бы, что если один миллион человек связывается друг с другом, каждый человек имеет почти один миллион различных ключей. Всего необходим почти один триллион ключей. Это называется N -проблемой, потому что число требуемых ключей для N объектов - N 2 .

Число ключей - не единственная проблема; распределение ключей - другая беда. Алиса и Боб хотят связаться между собой. Им нужен способ обмена ключами засекречивания. Если Алиса хочет связаться с одним миллионом человек, как она может обменяться одним миллионом ключей с одним миллионом человек? Использование Internet - явно не безопасный метод . Очевидно, что мы нуждаемся в эффективном способе поддерживать и распределять ключи засекречивания.

Центр Распределения Ключей: KDC

Практическое решение - привлечение третьего лица, которому доверяют. Оно называется здесь центром распределения ключей (KDC - Key-Distribution Center) . Чтобы уменьшать число ключей, каждый человек устанавливает открытый ключ засекречивания с KDC , как показано на рис. 5.1 .

Рис. 5.1.

Ключ засекречивания установлен между KDC и каждым членом сообщества. Алиса имеет ключ засекречивания с KDC , который мы называем K Alice . Боб имеет ключ засекречивания с KDC , который мы называем K Bob . Теперь вопрос - то, как Алиса может передать конфиденциальное сообщение Бобу. Процесс следующий:

1. Алиса передает запрос KDC - заявление, что она нуждается в сеансе (временно) и ключе засекречивания между собой и Бобом.
2. KDC сообщает Бобу о запросе Алисы.
3. Если Боб соглашается, между ними создается ключ сеанса .

Ключ засекречивания между Алисой и Бобом, который установлен с KDC , используется, чтобы подтвердить подлинность Алисы и Боба к KDC и препятствовать Еве исполнять роль любого из них. Мы обсудим позже в этой лекции, как устанавливается ключ сеанса между Алисой и Бобом.

Когда число людей, использующих KDC (Центр распределения ключей ), увеличивается, система становится неуправляемой и срабатывает ее узкое место - число ключей может кончиться. Чтобы решить проблему, мы должны иметь много KDC . Мы можем разделить мир на домены. Каждый домен может иметь один или более KDCs (для резервной избыточности в случае отказа). Теперь, если Алиса хочет передать конфиденциальное сообщение Бобу, который принадлежит к другому домену, она входит в контакт со своим KDC , который, в свою очередь, входит в контакт с KDC в домене Боба. Два KDCs могут создать ключ засекречивания между Алисой и Бобом.

Накопление ключей

Генерация ключей

Управление ключами

Под ключевой информацией понимается совокупность всех действующих в ИС ключей.

Управление ключами – это информационный процесс, включающий 3 элемента:

· генерацию ключей;

· накопление ключей;

· распределение ключей.

Известно, что не стоит использовать неслучайные ключи. В серьезных ИС используют специальные программные и аппаратные методы генерации случайных ключей. Как правило, используется датчики случайных и псевдослучайных чисел. Степень случайности должна быть высокой. Идеальными генераторами являются устройства на основе натуральных случайных процессов. Физический датчик случайных чисел встроен в ядро процессора Pentium 3.

Математически случайные числа можно получить, используя десятичные знаки трансцендентных чисел, например, π или е, которые вычисляются с помощью стандартных математических методов. ИС со средними требованиями защищенности использует программное получение случайных чисел.

Накопление ключей – организация их учета, хранения и удаления. Так как ключей много, то они хранятся в БД ключевой информации. Сами ключи должны храниться в БД в зашифрованном виде.

Ключ, зашифровывающий ключевую информацию, называется мастер- ключом.

Желательно, чтобы пользователь знал его наизусть. Можно мастер-ключи разбивать на части и хранить одну часть на магнитной карточке, а другую – в памяти компьютера.

Важным условием хранения ключевой информации является периодическое обновление ключей и мастер-ключей. В особо ответственных случаях обновлять можно ежедневно.

Распределение ключей – самый ответственный процесс в управлении ключами. К нему предъявляются два требования:

· Оперативность и точность распределения.

· Скрытность распределения ключей.

Пользователи в симметричных криптосистемах должны обменяться общим секретным ключом, который будет использоваться и для шифрования и для расшифрования.

Распределение ключей в симметричных криптосистемах может проходить следующими способами:

1) можно через курьера доставить ключ, но так как ключи должны обновляться, то доставлять дорого и неэффективно

2) получение двумя пользователя общего ключа от центрального органа (Центр Распределении Ключей – ЦРК). Передаваемый ключ шифруется ключом ЦРК. Недостаток: в ЦРК может появиться злоумышленник. Можно, чтобы в виде дерева организовать хранение ключей в ЦРК.

3) Третий способ предложили ученые Диффи и Хеллман – протокол обмена ключами по открытому каналу. Протокол – это последовательность шагов, которые принимают 2 или большее число сторон для совместного решения задачи. Все шаги следуют в порядке очередности.

Криптографический протокол – протокол, в основе которого лежит криптографический алгоритм и все участники протокола должны быть заранее оповещены обо всех шагах, которые им предстоит пройти.

Протокол обмена ключами по открытому каналу Диффи-Хеллмана.

Цель: двум пользователям А и В получить общий секретный ключ.

1. Пользователь А генерирует случайное число Х.

2. Пользователь В генерирует случайное число У.

3. А вычисляет: La=a^x mod m

4. B вычисляет: Lb=b^y mod m

5. A посылает пользователю В La.

6. В посылает пользователю А Lb.

7. A вычисляет Kab =(Lb)^x mod m=(a^y mod m)^x mod m=a^xy mod m.

8. B вычисляет Kab =(La)^y mod m=(a^x mod m)^y mod m=a^xy mod m.

Таким образом, оба пользователя теперь имеют одинаковый секретный ключ Kab.

Управление открытыми ключами может быть организовано с помощью оперативной или автономной службы каталогов. Основными проблемами являются аутентичность, целостность и достоверность. Аутентичность – убедиться, что это ключ именно этого пользователя.

Во всех случаях обмена ключами должна быть обеспечена подлинность сеанса связи, которая обеспечивается с помощью:

1. механизма «запрос-ответ» (процедура «рукопожатие» = установка виртуального канала);

2. механизма отметки времени.

Задача распределения ключей сводится к построению протокола распределения, обеспечивающего:

1. Взаимное подтверждение подлинности участников сеанса.

2. Подтверждение достоверности сеанса механизмом «запрос-ответ» или отметки времени.

3. Использование минимального числа сообщений при обмене ключами.

4. Возможность исключения злоупотребления со стороны ЦРК (вплоть до отказа от его услуг).

Целесообразно отделить процедуру подтверждения подлинности партнеров от собственно процедуры распределения ключей.

Метод достижения одновременно аутентичности и целостности при распределении открытых ключей заключается в использовании сертификатов.

Система, основанная на сертификатах, предполагает, что имеется центральный орган, и что каждый пользователь может осуществить безопасное взаимодействие с центральным органом, для этого у каждого пользователя должен быть открытый ключ центрального органа.

Сертификатом открытого ключа С А называют сообщение центрального органа, удостоверяющего целостность некоторого открытого ключа объекта А (может быть бумажный, электронный документ).

Например: сертификат открытого ключа для пользователя А, обозначаемый С А, содержит отметку времени Т, идентификатор Id A , открытый ключ K A , зашифрованный секретным ключом ЦРК К црк:

С А = Е К црк (Т, Id A , K A)

Отметка времени Т используется для подтверждения актуальности сертификата и тем самым предотвращает повторы прежних сертификатов. Секретный ключ К црк известен только менеджеру ЦРК, а открытый ключ ЦРК известен всем абонентам

Система, обеспечивающая шифрование с открытым ключом и ЭЦП, называется инфраструктурой открытого ключа.

Центр сертификации создает сертификаты пользователей путем ЭЦП с использованием своего секретного ключа и подписывает набор следующих данных:

1. Полное имя пользователя (номер, пароль).

2. Открытый ключ пользователя.

3. Время действия сертификата.

4. Конкретные операции, для которых этот ключ может быть использован (идентификация, шифрование или и то и другое).

Аутентификация Kerberos

Для решения проблемы аутентификации, которая базировалась бы на шифровании, в Массачусетском технологическом институте в 1985 году была разработана система защиты информационных систем от вторжений, с специальным сервисом выдачи билетов. Она была названа Kerberos по имени трехглавого пса Цербера, охранявшего ворота в ад в греческой мифологии.

Такое название было выбрано, потому что в аутентификации участвовали три стороны: пользователь, сервер, к которому желает получить доступ пользователь, и сервер аутентификации, или центр распределения ключей (ЦРК) . Специальный сервер аутентификации предлагался в качестве доверенной третьей стороны, услугами которой могут пользоваться другие серверы и клиенты информационной системы.

Система Kerberos владеет секретными ключами обслуживаемых субъектов и помогает им выполнять взаимную аутентификацию .

1. получение пользователем билета TGT на билеты;
2. получение пользователем билета на доступ к серверу ;
3. аутентификация пользователя сервером;
4. аутентификация сервера пользователем.

Рассмотрим более подробно аутентификацию в системе Kerberos (рис. ), которая выполняется за четыре шага:

1) Сеанс начинается с получения пользователем А билета для получения билета - Ticket-Granting Ticket (TGT) от ЦРК .

2) Когда пользователь желает получить доступ к некоторому серверу В, то сначала отправляет запрос на билет для доступа к этому серверу вместе со своим билетом TGT в ЦРК . TGT содержит информацию о сеансе регистрации пользователя А и позволяет ЦРК оперировать, не поддерживая постоянно информацию о сеансе регистрации каждого пользователя.

3) В ответ на свой запрос пользователь А получает зашифрованный сеансовый ключ S A и билет на доступ к серверу В. Сеансовый ключ зашифрован секретным ключом, известным только пользователю А и ЦРК . Билет на доступ к серверу В содержит тот же самый сеансовый ключ, однако он шифруется секретным ключом, известным только серверу В и ЦРК .

4) Аутентификация происходит тогда, когда пользователь А и сервер доказывают знание своего секретного ключа. Пользователь шифрует метку времени и отправляет ее на сервер В. Сервер расшифровывает метку, увеличивает ее значение на единицу, вновь зашифровывает и отправляет шифротекст пользователю А. Пользователь А расшифровывает ответ, и если в нем содержится значение метки времени с приращением, то аутентификация завершается успешно, в противном случае - неудачно. После взаимной аутентификации сеансовый ключ может использоваться для шифрования сообщений, которыми обмениваются пользователь А и сервер В. Очевидно, что стороны должны доверять ЦРК , поскольку он хранит копии всех секретных ключей.

При традиционном шифровании обе участвующие в обмене данными стороны должны получить один и тот же ключ, к которому другие пользователи лишены доступа. При этом обычно требуется частое изменение ключей, чтобы уменьшить объем теряемых данных в случае, когда какой-нибудь из ключей становится известным противнику.

Поэтому надежность любой криптографической системы во многом зависит от используемой при этом системы распределения ключей, представляющей собой средства доставки ключей двум сторонам, планирующим обмен данными, не позволяющие другим увидеть эти ключи.

Для двух сторон, А и В, как указано далее, распределение ключей можно организовать различными способами:

• 1. Ключ может быть выбран стороной А и физически доставлен стороне В.
• 2. Ключ может выбрать третья сторона и физически доставить его участникам А и В.
• 3. Если участники обмена А и В уже используют некоторый общий ключ, одна из сторон может передать новый ключ второй стороне в шифрованном виде, используя старый ключ.
• 4. Если обе из сторон А и В имеют криптографически защищенные каналы связи с третьей стороной С, то последняя может доставить ключ участникам А и В по этим защищенным каналам.

Варианты 1 и 2 предполагают передачу ключа из рук в руки. При канальном шифровании это требование может оказаться вполне разумным, поскольку любое устройство канального шифрования предполагает обмен данными только с соответствующим устройством на другом конце канала.

Но в случае сквозного шифрования физическая доставка ключа практически неприемлема. В любой распределенной системе каждый ведущий узел или терминал может участвовать в обмене данными со многими другими ведущими узлами и терминалами. Поэтому каждому такому устройству потребуется множество ключей, которые придется поставлять динамично. Проблема оказывается весьма трудной для решения, особенно в случае больших глобально распределенных систем.

Масштаб проблемы зависит от числа контактирующих пар, которые приходится обслуживать. Если сквозное шифрование осуществляется на сетевом уровне или на уровне IP, то потребуется по одному ключу для каждой пары ведущих узлов в сети, обменивающихся данными. Поэтому, если имеется N ведущих узлов, число необходимых ключей будет равно / 2. Если шифрование осуществляется на уровне приложения, то свой ключ потребуется для каждой пары пользователей или процессов, выходящих на связь. При этом сеть может иметь сотни ведущих узлов и тысячи пользователей и процессов. На рис. 6.2 для случая сквозного шифрования показана зависимость сложности задачи распределения ключей от числа пар, участвующих в обмене данными. Например, в сети, насчитывающей 1000 узлов, где шифрование осуществляется на уровне узла, скорее всего придется распределять около полумиллиона ключей. А если в такой сети поддерживается около 10 000 приложений, то при шифровании на уровне приложений может потребоваться распределение около 50 миллионов ключей.

Рис. 6.2.

Возвращаясь к списку способов распределения ключей, отметим, что способ 3 возможен как для случая канального шифрования, так и для сквозного, но если противнику когда-либо удастся получить доступ к одному из ключей, то он сможет получить и все последующие. К тому же начальное распределение потенциально миллионов ключей все равно должно быть выполнено.

Для сквозного шифрования широко применяется схема, являющаяся некоторой вариацией способа 4. В этой схеме за доставку ключей парам пользователей (ведущим узлам, процессам, приложениям) отвечает некоторый центр распределения ключей. Каждый пользователь при этом должен получить свой уникальный ключ, используемый им совместно с центром распределения ключей в целях организации доставки ключей.

Рис. 6.3.

Использование центра распределения ключей предполагает организацию некоторой их иерархии. В минимальной конфигурации такая иерархия включает два уровня (рис. 6.3). Связь между конечными системами шифруется с использованием временного ключа, часто называемого сеансовым ключом (session key). Как правило, сеансовый ключ служит только для конкретного логического соединения, например, виртуального канала, или для транспортировки данных, после чего этот ключ больше не применяется. Сеансовый ключ получают от центра распределения ключей по тем же средствам доставки данных в сети, которые служат для организации связи между конечными пользователями. Соответственно, сеансовые ключи передаются в шифрованном виде, а для шифрования используется главный ключ (master key),общий для центра распределения ключей и данной конечной системы или конкретного пользователя.

Для каждой конечной системы или конечного пользователя создается уникальный главный ключ, который применяется совместно с центром распределения ключей. Конечно, эти главные ключи тоже должны быть каким-то образом распределены. Однако эта проблема по своей сложности значительно проще. Как уже упоминалось, для N объектов, попарно обменивающихся данными, требуется / 2 сеансовых ключей. А главных ключей требуется всего N, по одному на каждый объект. Поэтому главные ключи могут быть распределены некоторым некриптографическим образом, например, физической доставкой адресату.

Распределение ключей можно реализовать разными способами. Типичный сценарий показан на рис. 6.4. Этот сценарий предполагает, что каждый пользователь имеет уникальный главный ключ, используемый совместно с центром распределения ключей (ЦРК).

Предположим, что пользователь А намерен создать логическое соединение с пользователем В и для защиты данных, которые предполагается передать вовремя этого соединения, требуется одноразовый сеансовый ключ.

При этом пользователь А имеет секретный ключ К а, известный только ему и ЦРК, и точно так же В использует общий с ЦРК главный ключ К в.

Система обмена информацией выглядит следующим образом.

• 1. Инициатор А посылает запрос в ЦРК на получение сеансового ключа для защиты логического соединения с В. Посылаемое при этом сообщение должно включать информацию, позволяющую однозначно определить А и В, а также некоторый идентификатор N1, уникальный для данного запроса, обычно называемый оказией (попсе- данный случай, данное время (англ.)). Такими идентификаторами могут быть текущее время, некоторый счетчик или случайное число - как минимум, этот идентификатор должен быть уникальным для каждого запроса. Кроме того, чтобы предотвратить возможность фальсификации сообщения противником, последнему- должно быть непросто угадать этот идентификатор. Поэтому хорошим выбором для оказии можно считать случайное число.
• 2. ЦРК отвечает на запрос сообщением, шифрованным с использованием ключа Ка. Единственным пользователем, кто может получить и прочитать это сообщение, является А, и поэтому А может быть уверенным, что это сообщение пришло от ЦРК. Сообщение включает два элемента, предназначенных для А:
  • - одноразовый сеансовый ключ Ks, который будет использоваться в сеансе связи;
  • - оригинальное сообщение запроса, включающее оказию, чтобы у пользователя А была возможность сопоставить ответ с соответствующим запросом.
• 3. Таким образом, А может удостовериться, что его первоначальный запрос не был изменен на пути к ЦРК, а оказия не позволит перепутать ответ на данный запрос с ответом на какой-либо из предыдущих запросов.

Рис. 6.4.

• 1. Кроме того, сообщение включает и два элемента, предназначенные для В :
  • - одноразовый сеансовый ключ К. у, который будет использоваться в сеансе связи;
  • - идентификатор ГО А пользователя А (например, его сетевой адрес).
• 2. Оба элемента шифруются с помощью ключа К ь (главного ключа, применяемого совместно ЦРК и В), и предполагается, что они должны быть впоследствии отправлены В, чтобы установить соединение и идентифицировать А.
• 3. Сторона А сохраняет сеансовый ключ для предстоящего сеанса связи и пересылает стороне В информацию, полученную от ЦРК и предназначенную для В (а именно, информацию Екь[К Л ||ГО А ]). Поскольку эта информация шифрована с использованием К ь, она оказывается защищенной. Теперь получатель В знает сеансовый ключ (K s) и знает, что полученная информация пришла от ЦРК (поскольку эта информация оказывается зашифрованной с использованием ключа Кь).

К этому моменту сеансовый ключ оказывается доставленным и стороне А, и стороне В, и поэтому они могут начать защищенный обмен данными. Но перед этим желательно выполнить еще две операции.

• 1. Используя только что полученный сеансовый ключ К, для шифрования, сторона В посылает стороне А новую оказию Л/
• 2. С помощью того же ключа K s сторона А в ответ возвращает /{N 2 ), где /является функцией, выполняющей некоторое преобразование N 2 (например, добавление единицы).

Эти действия призваны убедить адресата В в том, что первоначально полученное им сообщение (п. 3) не было воспроизведено.

Следует обратить внимание на то, что сам процесс передачи ключа фактически выполняется в п. 1-3, а п. 4 и 5, так же как отчасти и п. 3, призваны обеспечить функцию аутентификации.