Yahalom

У этого термина существуют и другие значения, см. Яхалом (значения).

Yahalom — симметричный протокол распределения ключей с доверенным сервером. Протокол Yahalom можно рассматривать как улучшенную версию протокола Wide-Mouth Frog. Данный протокол «перекладывает» генерацию нового сессионного ключа на сторону доверенного центра, а также использует случайные числа для защиты от атак повтором^[1].

Криптографические обозначения, используемые в протоколах проверки подлинности и обмена ключами

${\displaystyle A}$	Идентификаторы Алисы (Alice), инициатора сессии
${\displaystyle B}$	Идентификатор Боба (Bob), стороны, с которой устанавливается сессия
${\displaystyle T}$	Идентификатор Трента (Trent), доверенной промежуточной стороны
${\displaystyle K_{A},K_{B},K_{T}}$	Открытые ключи Алисы, Боба и Трента
${\displaystyle K_{A}^{-1},K_{B}^{-1},K_{T}^{-1}}$	Секретные ключи Алисы, Боба и Трента
${\displaystyle E_{A},\left\{...\right\}_{K_{A}}}$	Шифрование данных ключом Алисы, либо совместным ключом Алисы и Трента
${\displaystyle E_{B},\left\{...\right\}_{K_{B}}}$	Шифрование данных ключом Боба, либо совместным ключом Боба и Трента
${\displaystyle \left\{...\right\}_{K_{B}^{-1}},\left\{...\right\}_{K_{A}^{-1}}}$	Шифрование данных секретными ключами Алисы, Боба (цифровая подпись)
${\displaystyle I}$	Порядковый номер сессии (для предотвращения атаки с повтором)
${\displaystyle K}$	Случайный сеансовый ключ, который будет использоваться для симметричного шифрования данных
${\displaystyle E_{K},\left\{...\right\}_{K}}$	Шифрование данных временным сеансовым ключом
${\displaystyle T_{A},T_{B}}$	Метки времени, добавляемые в сообщения Алисой и Бобом соответственно
${\displaystyle R_{A},R_{B}}$	Случайные числа (nonce), которые были выбраны Алисой и Бобом соответственно

Описание

 

Взаимодействие участников протокола Yahalom

При симметричном шифровании, предполагается, что секретный ключ, который принадлежит клиенту, известен только ему и некоторой третьей доверенной стороне — серверу аутентификации. В процессе сеанса протокола клиенты Алиса и Боб получают от сервера аутентификации Трента новый секретный сессионный ключ для шифрования взаимных сообщений в текущем сеансе связи. Реализация протокола^[2]:

${\textstyle (1)Alice\to \left\{A,R_{A}\right\}\to Bob}$ 

${\textstyle (2)Bob\to \left\{B,E_{B}(A,R_{A},R_{B})\right\}\to Trent}$ 

${\textstyle (3)Trent\to \left\{E_{A}(B,K,R_{A},R_{B}),E_{B}\left(A,K\right)\right\}\to Alice}$ 

${\textstyle (4)Alice\to \left\{E_{B}(A,K),E_{K}(R_{B})\right\}\to Bob}$ 

Первым сообщение Алиса инициирует сеанс, пересылая Бобу свой идентификатор ${\displaystyle A}$  и некоторое случайное число ${\displaystyle R_{A}}$ :

${\displaystyle (1)Alice\to \left\{A,R_{A}\right\}\to Bob}$ 

Получив сообщение от Алисы, Боб объединяет идентификатор Алисы ${\displaystyle A}$ , случайное число Алисы ${\displaystyle R_{A}}$  и своё случайное число ${\displaystyle R_{B}}$  и шифрует созданное сообщение общим с Трентом ключом. После добавления к этому сообщению своего идентификатора ${\displaystyle B}$  Боб отправляет полученное сообщение Тренту:

${\displaystyle (2)Bob\to \left\{B,E_{B}(A,R_{A},R_{B})\right\}\to Trent}$ 

Трент расшифровывает сообщение сообщение Боба и создаёт два сообщения. Первое сообщение включает в себя идентификатор Боба ${\displaystyle B}$ , сгенерированный Трентом сессионный ключ ${\displaystyle K}$ , случайное число Алисы ${\displaystyle R_{A}}$  и случайное число Боба ${\displaystyle R_{B}}$ . Данное сообщение шифруется общим с Алисой ключом. Первое сообщение имеет вид:

${\displaystyle \left\{E_{A}(B,K,R_{A},R_{B})\right\}}$ 

Второе сообщение шифруется общим ключом для Трента и Боба и включает в себя идентификатор Алисы　${\displaystyle A}$  и сгенерированный Трентом сессионный ключ　${\displaystyle K}$ . Второе сообщение имеет вид:

${\displaystyle \left\{E_{B}(A,K)\right\}}$ 

Трент пересылает Алисе оба созданные сообщения:

${\displaystyle (3)Trent\to \left\{E_{A}(B,K,R_{A},R_{B}),E_{B}\left(A,K\right)\right\}\to Alice}$ 

Алиса получает два сообщения от Трента и расшифровывает первое из них. Расшифровав сообщение, Алиса извлекает сессионный ключ ${\displaystyle K}$  и убеждается, что случайное число переданное Трентом ${\displaystyle R_{A}}$  совпадает со случайном числом переданным Бобу на первом этапе　. После этого Алиса отправляет два сообщения Бобу. Первое сообщение является полученное от Трента сообщением, зашифрованным общим ключом для Трента и Боба. Данное сообщение состоит из идентификатора Алисы ${\displaystyle A}$  и сессионного ключа ${\displaystyle K}$ :

${\displaystyle \left\{E_{B}(A,K)\right\}}$ 

Второе сообщение является зашифрованным с помощью сгенерированного Трентом сессионного ключа　случайное число Боба ${\displaystyle R_{B}}$ :

${\displaystyle \left\{E_{K}(R_{B})\right\}}$ 

Оба сообщения Алиса отправляет Бобу:

${\displaystyle (4)Alice\to \left\{E_{B}(A,K),E_{K}(R_{B})\right\}\to Bob}$ 

Боб расшифровывает первое сообщение и извлекает сессионный ключ ${\displaystyle K}$ . С помощью извлечённого сессионного ключа Боб расшифровывает второе сообщение и получает случайное число ${\displaystyle R_{B}}$ . Боб сверяет полученное от Алисы число со случайным числом отправленным на втором этапе.　После описанных действий стороны могут использовать новый сессионный ключ ${\displaystyle K}$ ^[2]}.

Протокол Yahalom помимо генерации сессионного ключа обеспечивает аутентификацию сторон:

• Аутентификация Алисы перед Бобом происходит на четвёртом этапе ${\displaystyle (4)}$ , когда Боб может проверить возможность Алисы зашифровать известные только ей и Тренту случайное число ${\displaystyle R_{A}}$  на ключе ${\displaystyle K}$ .

• Аутентификация Боба перед Алисой происходи на третьем этапе ${\displaystyle (3)}$ , когда Трент показывает Алисе, что он получил случайное число ${\displaystyle R_{A}}$  именно от Боба (поскольку в сообщении присутствует идентификатор Боба ${\displaystyle B}$ )^[1].

В результате протокола Yahalom Алиса и Боб убеждены, что общаются друг с другом, а не с неизвестной третьей стороной. В отличие от протокола Wide-Mouth Frog стороны имеют возможность убедиться, что промежуточный сервер генерирует общий секретный ключ именно для них двоих, а не для какой-то третьей стороны (хотя от полной компрометации доверенной стороны этот протокол не защищает)^[2].

Уязвимости протокола

Протокол Yahalom имеет ряд уязвимостей, которыми могут воспользоваться злоумышленники.

• В рамках протокола Боб никак не продемонстрировал, что он успешно получил новый сессионный ключ ${\displaystyle K}$  и может им пользоваться. Сообщение от Алисы на четвёртом этапе ${\displaystyle (4)}$  могло быть перехвачено или изменено злоумышленниками. Но никакого ответа Алиса от Боба уже не ожидает и уверена, что протокол завершился успешно.

• На третьем этапе ${\displaystyle (3)}$  Трент не включает случайное число ${\displaystyle R_{B}}$  в сообщение ${\displaystyle \left\{E_{B}(A,K)\right\}}$ , что позволяет Алисе заставить Боба принять старый сессионный ключ^[3]. При этом протокол будет выглядеть следующем образом:

${\displaystyle (1)Alice\to \left\{A,R_{A}\right\}\to Bob}$ 

${\displaystyle (2)Bob\to \left\{B,E_{B}(A,R_{A},R_{B})\right\}\to Trent}$ 

Трент генерирует новый сессионный ключ ${\displaystyle K}$ 

${\displaystyle (3)Trent\to \left\{E_{A}(B,K,R_{A},R_{B}),E_{B}(A,K)\right\}\to Alice}$ 

Алиса использует старый сессионный ключ ${\displaystyle K^{*}}$  и отправляет сообщение

${\displaystyle E_{B}(A,K^{*})}$  из старого сеанса протокола${\displaystyle (4)Alice\to \left\{E_{B}(A,K^{*}),E_{K}(R_{B})\right\}\to Bob}$ 

Модификация протокола

В статье 1989 году Берроуз (англ. Michael Burrows), Абади (англ. Martin Abadi), Нидхэм (англ. Roger Needham) предложили свой вариант протокола Yahalom:

${\displaystyle (1)Alice\to \left\{A,R_{A}\right\}\to Bob}$ 

${\displaystyle (2)Bob\to \left\{B,R_{B},E_{B}(A,R_{A})\right\}\to Trent}$ 

${\displaystyle (3)Trent\to \left\{R_{B},E_{A}(B,K,R_{A}),E_{B}\left(A,K,R_{B}\right)\right\}\to Alice}$ 

${\displaystyle (4)Alice\to \left\{E_{B}(A,K,R_{B}),E_{K}(R_{B})\right\}\to Bob}$ 

В данном варианте протокола нет необходимости использовать несертифицированный ключ, поскольку своевременность последнего сообщения гарантируется случайным числом ${\displaystyle R_{B}}$ . Исчезает необходимость шифрования случайного числа Боба ${\displaystyle R_{B}}$  на втором этапе ${\displaystyle (2)}$  и в первом сообщении третьего этапа ${\displaystyle (3)}$ . В результате получается тот же результат, но с меньшим количеством шифрования^[4].

Примечания

1. Владимиров С.М. и др..
2. Шнайер, 2002.
3. Lawrence C. Paulson, 2001.
4. M. Burrows и др., 1989.

Литература

• Владимиров С.М. и др. Учебное пособие по защите информации кафедры радиотехники и систем управления МФТИ  (рус.) (6 сентября 2013).
• Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. — Триумф, 2002. — 816 с. — ISBN 5-89392-055-4.
• Lawrence. Relations Between Secrets: Two Formal Analyses of the Yahalom Protocol (англ.) // Journal of Computer Security. — Computer Laboratory, University of Cambridge, Pembroke Street, Cambridge CB2 3QG, UK., 2001. — Vol. 9, iss. 1 July 2001, no. 3. — P. 197—216. — doi:10.3233/JCS-2001-9302.
• M. Burrows, M. Abadi, R. Needham. A Logic of Authentication (англ.). — Digital Equipment Corp. Systems Research Center, 1989.