DASS (протокол)

Криптографические обозначения, используемые в протоколах проверки подлинности и обмена ключами

${\displaystyle A}$	Идентификаторы Алисы (Alice), инициатора сессии
${\displaystyle B}$	Идентификатор Боба (Bob), стороны, с которой устанавливается сессия
${\displaystyle T}$	Идентификатор Трента (Trent), доверенной промежуточной стороны
${\displaystyle K_{A},K_{B},K_{T}}$	Открытые ключи Алисы, Боба и Трента
${\displaystyle K_{A}^{-1},K_{B}^{-1},K_{T}^{-1}}$	Секретные ключи Алисы, Боба и Трента
${\displaystyle E_{A},\left\{...\right\}_{K_{A}}}$	Шифрование данных ключом Алисы, либо совместным ключом Алисы и Трента
${\displaystyle E_{B},\left\{...\right\}_{K_{B}}}$	Шифрование данных ключом Боба, либо совместным ключом Боба и Трента
${\displaystyle \left\{...\right\}_{K_{B}^{-1}},\left\{...\right\}_{K_{A}^{-1}}}$	Шифрование данных секретными ключами Алисы, Боба (цифровая подпись)
${\displaystyle I}$	Порядковый номер сессии (для предотвращения атаки с повтором)
${\displaystyle K}$	Случайный сеансовый ключ, который будет использоваться для симметричного шифрования данных
${\displaystyle E_{K},\left\{...\right\}_{K}}$	Шифрование данных временным сеансовым ключом
${\displaystyle T_{A},T_{B}}$	Метки времени, добавляемые в сообщения Алисой и Бобом соответственно
${\displaystyle R_{A},R_{B}}$	Случайные числа (nonce), которые были выбраны Алисой и Бобом соответственно
${\displaystyle K_{A},K_{B},K_{T}}$	Заранее созданные пары открытых и закрытых ключей Алисы, Боба и Трента соответственно
${\displaystyle K_{p}}$	Случайная сеансовая пара открытого и закрытого ключей, которая будет использоваться для асимметричного шифрования
${\displaystyle S_{A},S_{B},}$${\displaystyle S_{T},S_{K_{p}}}$	Подписывание данных с использованием закрытого ключа Алисы, Боба, промежуточной стороны (Trent) или закрытого ключа из случайной пары соответственно
${\displaystyle E_{K_{A}},E_{K_{B}},}$${\displaystyle E_{K_{T}},E_{K_{p}}}$	Асимметричное шифрование данных с использованием открытого ключа Алисы, Боба, промежуточной стороны (Trent) или открытого ключа из случайной пары соответственно

Протокол DASS (англ. Distributed Authentication Security Service) — асимметричный протокол аутентификации и распределения сеансовых ключей с использованием промежуточной доверенной стороны.

Протокол DASS являлся составной частью сервиса распределённой аутентификации DASS, разработанного компанией Digital Equipment Corporation и описанного в RFC 1507^[1] в сентябре 1993 года.

В протоколе DASS, по аналогии с протоколами Wide-Mouth Frog и Деннинга — Сакко, инициатор (Алиса) генерирует и новый сеансовый ключ, и, для каждого сеанса протокола, новую пару открытого и закрытого ключей отправителя. Доверенный центр (Трент) используется как хранилище сертификатов открытых ключей участников. Но в отличие от Деннинга — Сакко к доверенному центру обращаются по очереди оба участника^[2].

Описание протокола[править | править код]

Алиса посылает сообщение Тренту на получение открытого ключа Боба

${\displaystyle Alice\to \left\{B\right\}\to Trent}$

Трент присылает открытый ключ Боба, подписав его своим закрытым ключом

${\displaystyle Trent\to \left\{S_{T}\left(B,K_{B}\right)\right\}\to Alice}$

Алиса проверяет данные с помощью известного ей заранее открытого ключа Трента, после чего генерирует сеансовый ключ ${\displaystyle K}$, сеансовую пару ключей ${\displaystyle K_{P}}$ и посылает набор сообщений Бобу, включая метку времени ${\displaystyle T_{A}}$ и срок жизни ключа ${\displaystyle L}$, часть из них шифруя, часть подписывая:

${\displaystyle Alice\to \left\{E_{K}\left(T_{A}\right),S_{A}\left(L,A,K_{P}\right),S_{K_{P}}\left(E_{K_{B}}\left(K\right)\right)\right\}\to Bob}$

Боб отправляет Тренту запрос на получение открытого ключа Алисы

${\displaystyle Bob\to \left\{A\right\}\to Trent}$

Трент присылает открытый ключ Алисы, подписав его своим закрытым ключом

${\displaystyle Trent\to \left\{S_{T}\left(A,K_{A}\right)\right\}\to Bob}$

Используя данные из сообщений Алисы и Трента, Боб проверяет подписи Алисы, извлекает открытый временный ключ ${\displaystyle K_{P}}$, извлекает сеансовый ключ ${\displaystyle K}$ (проверяя также подпись с использованием ${\displaystyle K_{P}}$), и расшифровывает ${\displaystyle T_{A}}$ убеждаясь, что использует текущее сообщение, а не повтор.

При необходимости протокол может быть продолжен, обеспечивая взаимную идентификацию сторон:

${\displaystyle Bob\to \left\{E_{K}\left(T_{B}\right)\right\}\to Alice}$

Алиса расшифровывает метку времени и убеждается, что получила текущее сообщение^[3].

Альтернативное описание протокола[править | править код]

Описание протокола происходит по принципу APTC, который устраняет различия в структурах системы перехода, структуре событий и т. д. и рассматривает их поведенческие эквиваленты. Он считает, что существует два вида причинно-следственных связей: хронологический порядок, смоделированный последовательной композицией, и причинно-следственный порядок между различными параллельными ветвями, смоделированный коммуникационным слиянием. Он также считает, что существуют два вида конфликтных отношений: структурный конфликт, моделируемый альтернативной позицией, и конфликты в разных параллельных ветвях, которые должны быть устранены. Основывающийся при консервативном расширении в IPTC есть четыре модуля: BATC (Базовая алгебра для истинного Параллелизм), APTC (Алгебра для параллелизма в истинном параллелизме), рекурсия и абстракция. Подробнее …^[4]

Уязвимости протокола DASS[править | править код]

В протоколе используется время жизни (𝐿) сеансового ключа 𝐾𝑃, однако в сообщение не включена метка времени. В результате протокол остаётся уязвимым для атаки с известным сеансовым ключом (KN). Предположим, что Меллори смогла записать полностью прошедший сеанс связи между Алисой и Бобом, а потом смогла получить доступ к сеансовому ключу 𝐾. Это позволяет Меллори аутентифицировать себя как Алиса перед Бобом.

(1) 𝑀𝑒𝑙𝑙𝑜𝑟𝑦 (𝐴𝑙𝑖𝑐𝑒) → {𝐸𝐾 (𝑇𝑀) , 𝑆𝐴 (𝐿, 𝐴, 𝐾𝑃) , 𝑆𝐾𝑃 (𝐸𝐵 (𝐾))} →𝐵𝑜𝑏

(2) 𝐵𝑜𝑏 → {𝐴} → 𝑇𝑟𝑒𝑛𝑡

(3) 𝑇𝑟𝑒𝑛𝑡 → {𝑆𝑇 (𝐴, 𝐾𝐴)} → 𝐵𝑜𝑏

(4) 𝐵𝑜𝑏 → {𝐸𝐾 {𝑇𝐵}} → 𝑀𝑒𝑙𝑙𝑜𝑟𝑦 (𝐴𝑙𝑖𝑐𝑒)

На первом проходе Меллори меняет только первое сообщение, содержащее метку времени 𝐸𝐾 (𝑇𝑀). Всё остальное Меллори копирует из записанного сеанса связи. Если Боб не записывает используемые ключи, он не заметит подмены. Простейшее исправление данной уязвимости состоит во включении метки времени в сообщение 𝑆𝐴 (𝑇𝐴, 𝐿, 𝐴, 𝐾𝑃).

Так как в протоколе сеансовый ключ 𝐾 шифруется «мастер»-ключом Боба 𝐾𝐵, то компрометация последнего приведёт к компрометации всех использованных ранее сеансовых ключей. То есть протокол не обеспечивает совершенной прямой секретности (цельG9). Ни Трент, ни Боб не участвуют в формировании новых сеансовых ключей. Поэтому Алиса может заставить Боба использовать старый сеансовый ключ, как в протоколах Wide-Mouth Frog и Yahalom^[2].

Примечания[править | править код]

Литература[править | править код]

• Шнайер Б. Протокол DASS // Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. — М.: Триумф, 2002. — С. 83—84. — 816 с. — 3000 экз. — ISBN 5-89392-055-4.