Атака на выработку ключа с третьим участником

Существует целый класс атак па протоколы обмена ключевой информацией, в которых нарушителем достигается следующая ситуация. Два участника протокола А и В вырабатывают общий ключ к, но при этом участник А считает, что он выработал ключ к с участником В, а участник В считает, что он выработал общий ключ с третьим участником, скажем, С. В англоязычной литературе такие атаки носят название unknown key-share attack, которое можно перевести на русский язык как атака на выработку ключа с третьим участником.

В 1995 году появилась работа^[1], в который были приведены атаки на выработку ключа с третьим учасником, применимые ко всем протоколам семейства MTI. Мы опишем одну из таких атак применительно в протоколу MTI-??(Q).

Снова предположим, что нарушитель С может являться легитимным участником протокола, то есть обладать некоторым секретным ключом кс € F_(/* и открытым ключом, удовлетворяющим равенству

где za ~ открытый ключ участника А. При этом нарушителю С неизвестно точное значение величины кдкс (mod q).

Тогда атака на выработку ключа с третьим участником протокола может быть записана следующим образом.

• 1. А -> С: sa = (zb)^x (modp)
• (нарушитель С выдаст сообщение, выработанное участником А, за свое),
• 2. С -" В sc = sa (mod р),
• 3. В -> С: sb = (zc)^y (modp),
• 4. С —" A: s'_B — s^k_B (mod p).

Далее, участник А вычисляет общий ключ к в соответствии с равенствами (12.8).

и участник В вычисляет тот же общий ключ к

Таким образом, участники протокола А и В могут обмениваться сообщениями, зашифрованными на общем ключе к, но при этом участник А считает, что он обменивается с В, а участник В считает, что он обменивается сообщениями с С.

Упражнение 12.4.3. Предложите аналогичные атаки на протоколы семейства МТ1-Л (0) и МТТС (О).

Для защиты от подобного класса атак можно использовать несколько способов.^[2]

2. Другим способом защиты от атаки на выработку общего ключа с третьим участником является добавление к передаваемым сообщениям кода аутентичности, выработанного с использованием общего ключа к. В этом случае участник В должен отправлять на последнем шаге не одно значение (гл)^у, а пару значений (гд)^у, Мас (&, зд||(.гд)^г/). В этом случае нарушитель, не зная ключа к, не сможет подделать код аутентичности.

Фактически использование кодов аутентичности является операцией подтверждения ключа к.

Упражнение 12.4.4. Покажите, что описанный выше протокол проверки знания участником С своего секретного ключа является корректным.

• [1] 'См. Menezes A.J., Qu М., Vanstone S.A. Some new key agreement protocolsproviding implicit authentication. // Workshop on Selected Areas in Cryptography (SAC'95). — 1995. — pp. 22−32.
• [2] При генерации сертификатов открытых ключей участниковпротокола реализовать процедуру, в ходе которой участникобязан предъявить или продемонстрировать знание своегосекретного ключа. Например, удостоверяющий центр Т может реализовать следующий протокол подтверждения знаниясекретного ключа абонентом С без раскрытия секретного значения кс- 1. Т «С: st = (zc)x (modp), где х € F* - случайное число. 2. С —>? Т: sc = {sT)kc (modp). После получения сообщения sc удостоверяющий центр должен проверить выполнение сравнения ах = sc (modp). Вслучае если данное сравнение выполнено, то удостоверяющий центр принимает решение о том, что участник С владееткорректным секретным ключом кс-