Введение в современную криптографию
жүктеу/скачать 6.4 Mb. Pdf көрінісі
|
| Повторные атаки. Подчеркнем, что вышеприведенное определение, как и
коды аутентификации сообщений в отдельности, не обеспечивают защиты про- тив повторных атак, когда ранее посланное сообщение (и его тэг КАС) передаются честному участнику. Несмотря на это, повторные атаки представляют серьезную проблему! Рассм отрим снова сценарий, где пользователь (скажем, Элис) посылает запрос своему банку для перевода $1,000 с ее счета другому пользователю (скажем, Бобу). Для этого Элис может вычислить тэг КАС и добавить его к своему запросу, чтобы банк знал, что запрос достоверен. Если КАС безопасен, Боб не сможет пере- хватить запрос и изменить сумму на $10 000, потому что для этого потребовалось бы подделать действующий тэг для ранее не аутентифицированного сообщения. Однако, ничто не мешает Бобу перехватить сообщение Элис и повторить его банку десять раз. Если банк примет каждое из этих повторных сообщений, в результате на счет Боба будет переведено $10 000 вместо желаемых $1000. Несмотря на ре- альную угрозу, представляемую повторными атаками, один только КАС не может защитить от таких атак, так как определение КАС (Определение 4.1) не включает никого понятия о состоянии в алгоритм верификации (поэтому каждый раз, когда алгоритму верификации дана действующая пара (m, t), он всегда выдаст 1). Вместо этого, защита от повторных атак, если такая защита вообще необходима, должна осуществляться каким-либо приложением высшего уровня. Причина, по которой определение КАСа построено таким образом, заключается в том, что мы не хотим предполагать никакой семантики в отношении приложений, использующих КАС. В частности, решение о том, должно ли повторное сообщение считаться «действу- ющим» может зависеть от приложения. Есть два метода предотвращения повторных атак: использовать последователь- ные числа (также известные как счетчики ) или временные штампы). Первый под- ход, который еще раз будет описан (в более широком контексте) в Разделе 4.5.3, требует, чтобы участники коммуникации сохраняли (синхронизованное) состоя- 128 ние, что может быть сложно, если пользователи общаются через канал с потеря- ми, в котором сообщения иногда теряются (хотя эту проблему можно уменьшить). При использовании второго метода, временных штампов, отправитель добавляет к сообщению текущее время T (скажем, ближайшую миллисекунду) перед аутен- тификацией, и посылает T вместе с сообщением и с полученным тэгом t. Когда получатель получает T, m, t, он проверяет, что t действителен для T «m и что T находится в пределах приемлемого временного отклонения от текущего времени T r при получении. У этого метода также есть определенные недостатки, напри- мер, необходимо, чтобы отправитель и получатель имели тесно синхронизован- ные часы, а также возможность осуществить повторную атаку, если это сделать достаточно быстро (а именно, в пределах приемлемого времменного окна). Строгие КАСы. По определению, безопасный КАС предотвращает возможность противника генерировать действующий тэг для нового сообщения, которое ранне не было аутентифицаровано. Но он не предотвращает возможность того, что атакую- щий может сгенерировать новый тэг для ранее аутентифицированного сообщения. То есть, КАС гарантирует , что если атакующий знает тэги t1, . . . для сообщений m1, . . ., то он не может подделать действующий тэг t для любого сообщения m ƒ∈ {m1, . . .}. Однако, противник может «подделать» другой действующий тэг tr ƒ= t1 для сообщения m1. В целом, такой тип поведения противника не представляет проблем. Несмотря на это, в некоторых ситуациях полезно использовать более строгое определение безопасности КАСов, в котором учитывается такое поведение. Формально, рассмотрим модифицированный эксперимент Mac-sforge , ко- торый определен точно так же, как Mac-forge, за исключением того, что теперь множество Q содержит пары запросов к оракулу и соответствующих им отве- тов. (То есть, (m, t) ∈ Q если A послал запрос Mack (m) и получил в ответ тэг t.) Противник A будет иметь успех (и эксперимент Mac-sforge даст 1) тогда и только тогда, когда A выдаст (m, t), такие что Vrfyk (m, t) = 1 и (m, t) ∈/ Q. жүктеу/скачать 6.4 Mb. Достарыңызбен бөлісу:
|