71
Л е к ц и я 8. ИДЕНТИФИКАЦИЯ
Под идентификацией в криптографии обычно понимаются проверка и подтверждение подлинности различных аспектов информационного взаимодействия. Идентификация является одной из составляющих обеспечения безопасности информации, которая приобретает особую актуальность в условиях противоборства.
Следует отметить, что формально термин «идентификация» означает процедуру установления присвоенного субъекту или объекту уникального системного имени – идентификатора. Ряд рассмотренных в лекции протоколов в действительности предназначен для аутентификации, т. е. проверки правильности идентификации, установлении идентичности, подлинности. Поскольку в криптографии аутентификация взаимодействующих сторон традиционно называется идентификацией, далее в материалах лекции, в основном, используется именно этот термин.
В общем случае задача идентификации решается в отношении всех аспектов информационного взаимодействия: сеанса связи, передаваемых сообщений, взаимодействующих сторон.
Применительно к сеансу связи (транзакции) идентификация означает проверку целостности соединения, своевременности передачи сообщений, невозможности повторной передачи данных противником. Для идентификации сеанса связи часто используют дополнительные параметры, «сцепляющие» блоки передаваемых данных в проверяемую последовательность. Это достигается, например, за счет вставки в сообщения специальных чисел или меток времени. Они позволяют контролировать очередность, своевременность получения сообщений, предотвратить попытки повторной передачи, изменения порядка следования отдельных частей сообщения или их обратной отсылки.
Целью идентификации передаваемых сообщений выступает подтверждение подлинности их содержания, т. е. целостности данных, и того, что исходный документ был создан заявленным источником, т. е. аутентификация источника сообщения. Сегодня наиболее распространенным методом обеспечения целостности хранимой и передаваемой информации является использование специальных проверочных комбинаций – имитовставок. Вторая задача, как правило, решается с помощью использования механизмов цифровой подписи.
72
Идентификация взаимодействующих сторон означает проверку одной из сторон того, что вторая сторона – именно та, за которую себя выдает. Основным средством идентификации являются соответствующие протоколы, позволяющие провести идентификацию или аутентификацию каждой из участвующих в информационном взаимодействии и, в ряде случаев, не доверяющих друг другу сторон.
В соответствии с Рабочей учебной программой дисциплины материалы настоящей лекции знакомят обучающихся с распространенными видами идентификации сторон и соответствующими криптографическими протоколами. Для изучения предлагаются следующие учебные вопросы:
1.Протоколы идентификации сторон.
2.Идентификация с помощью паролей.
3.Протоколы идентификации типа «запрос-ответ».
4.Протоколы идентификации с нулевым разглашением.
5.Атаки на протоколы идентификации.
Протоколы идентификации сторон
Вобщем случае протокол представляет собой распределенный алгоритм, устанавливающий последовательность и содержание действий взаимодействующих сторон в решении некоторой задачи.
Любые протоколы идентификации включают двух участников: 1 – участника А, проходящего идентификацию, которого часто называют доказывающим, и 2 – участника В, контролирующего процедуру и анализирующего поступающую информацию, которого по аналогии называют проверяющим.
Вкачестве участников протокола могут выступать как субъекты, так и объекты. Цель реализации протокола идентификации состоит в проверке того, что доказывающим действительно является А. С точки зрения проверяющего, возможными исходами протокола является принятие решения об идентичности доказывающего либо завершение протокола без принятия такого решения.
Взависимости от характера информации, на основании которой осуществляется идентификация, протоколы могут быть представлены двумя группами.
1. Протоколы, основанные на проверке и анализе атрибутной информации. Атрибутная информация – это информация, являющаяся атрибутом субъекта или объекта как элементов некоторой системы. В
73
качестве подобной информации могут использоваться пароли, персональные идентификационные номера, открытые или секретные ключи, наличие или знание которых демонстрируется в процессе выполнения протокола.
2. Протоколы, основанные на проверке и анализе биометрической информации. Биометрическая информация – это значения некоторых признаков или свойств человека, присущие ему как биологическому организму. В качестве такой информации могут выступать особенности почерка, голоса, геометрии кисти руки, папиллярных узоров и т. п. Уникальность подобной информации для каждого индивидуума обеспечивает высокую вероятность аутентификации.
Отметим, что протоколы идентификации являются обязательными элементами так называемых систем управления доступом, которые обеспечивают доступ пользователей, обладающих соответствующими полномочиями, к разнообразным ресурсам системы, таким, как банковские счета, телекоммуникационные каналы, компьютерные программы, базы данных, охраняемые объекты и т. д.
Идентификация с помощью паролей
Идентификацию с помощью паролей, в отличие от рассматриваемых далее более надежных протоколов, иногда называют «слабой идентификацией». Обычная парольная схема строится следующим образом. Каждый пользователь системы получает свой пароль из последовательности 6–10 символов. Эта последовательность выступает в качестве общего секрета пользователя и системы. Для получения доступа к системному ресурсу пользователь предъявляет свой идентификатор и пароль, которые в общем случае определяют и его полномочия. По существу, идентификатор выполняет роль заявки на идентификацию, а пароль – подтверждения идентичности пользователя. Проверяющий на основании полученного идентификатора осуществляет сравнение предъявленного пароля с соответствующим значением, хранимым системой. При совпадении значений проверяющий выносит положительное решение, в противном случае – завершает идентификацию.
Различные парольные схемы отличаются между собой методами хранения парольной информации в системе и методами проверки предъявляемых данных. В простейшем случае парольная информация хранится в открытом виде в файле, защищенном от записи и считы-
74
вания системными средствами. Недостатки такой схемы очевидны. Некоторым усложнением возможных атак на парольную защиту является хранение парольной информации в зашифрованном виде. Заметим, что если для таких схем используется шифрование пароля перед передачей, то собственно пароль оказывается защищенным. Однако вхождение противника в систему путем навязывания перехваченного зашифрованного пароля не исключается.
Для усложнения атак на парольную защиту методами тотального перебора паролей, подбора паролей с использованием словаря процедура проверки паролей может быть усложнена предварительным вычислением однонаправленной функции или применением нескольких итераций вычислений для менее сложных функций. Вместе с тем, число таких итераций не должно быть слишком большим, существенно затрудняющим работу легальных пользователей.
Очевидно, что для исключения компрометации пароли не должны включать никакую персональную информацию пользователя. Лучшими из возможных паролей следует признать те, которые выбираются случайно и равновероятно из всех слов данного алфавита. Однако в большинстве случаев такие пароли не запоминаются пользователями. Чтобы увеличить неопределенность используемых паролей, сохранив возможность их запоминания обычным пользователем, в схеме идентификации могут использоваться парольные фразы. В этой ситуации вместо конкретного слова применяется целое предложение, иногда семантически бессмысленное, но легко запоминаемое человеком. После ввода в систему парольные фразы хэшируются до фиксированной длины и далее обрабатываются, как и обычные пароли.
Повышению надежности идентификации, в частности, служит применение одноразовых паролей. Такие схемы делают бессмысленным перехват противником паролей при их передаче по незащищенным каналам связи. Существуют три основные схемы использования одноразовых паролей:
–пользователи системы имеют списки одноразовых паролей, которые предварительно рассылаются с применением защищенных каналов связи;
–во время идентификации, использующей пароль t, пользователь создает и передает в систему новый пароль (t+1), зашифрованный на ключе, полученном из пароля t;
75
– пользователи системы формируют одноразовые пароли с помощью итеративного применения однонаправленной функции H(w) в соответствии с условием для i-ой идентификации:
wi = H(wi-1) = H(H(H( … H(w0) … ).
Взаключение раздела кратко рассмотрим применение личных или персональных идентификационных номеров. В настоящее время они широко используются в приложениях, связанных с пластиковыми картами. Ввод персонального идентификационного номера требуется во всех операциях с пластиковой картой. Это обеспечивает дополнительную защиту при утрате карты легальным пользователем.
Всилу исторических обстоятельств персональный идентификационный номер сегодня является цифровым и содержит от 4-х до 8-ми десятичных цифр. При операциях с пластиковой картой сначала с помощью персонального идентификационного номера устанавливается личность пользователя. Затем дополнительная ключевая информация, хранимая пластиковой картой, используется для идентификации пользователя в системе. Таким образом, пользователь должен помнить только короткий личный номер, в то время как хранимый картой более длинный ключ обеспечивает необходимый уровень криптографической защиты при идентификации в системе с открытыми каналами связи.
Для защиты персонального идентификационного номера от тотального перебора используются организационные меры. Например, большинство систем банкоматов при трехкратном вводе неправильного номера блокирует пластиковую карту.
Протоколы идентификации типа «запрос-ответ»
В отличие от процедур парольной защиты протоколы типа «за- прос-ответ» иногда называют процедурами «сильной идентификации». Идея протоколов заключается в следующем. Доказывающий убеждает проверяющего в своей аутентичности путем демонстрации знания некоторого секрета, но без предъявления в явном виде самого секрета. Секрет не предъявляется для исключения возможности его перехвата противником. Знание секрета подтверждается ответами, в общем случае, на меняющиеся запросы проверяющего. Запросом обычно выступает число, выбираемое проверяющим при очередной реализации протокола.