Обмен зашифрованными ключами

Обмен зашифрованными ключами (англ. Encrypted Key Exchange, EKE) — протокол, разработанный Стивом Белловином и Майклом Мерритом^[1]. EKE работает при условии, что у пользователей до начала работы протокола есть общий секрет. Протокол позволяет формировать сеансовый ключ для установления защищенного соединения. Для каждого сеанса генерируется новый сессионный ключ.

Предисловие[править | править код]

Данный протокол использует симметричное и асимметричное шифрование. В каждой сессии протокола генерируется случайным образом открытый ключ и шифруется на имеющимся у сторон секретном ключе. Использование двух видов шифрования - главная особенность данного протокола. В качестве общего секрета в схеме может выступать пароль, что делает данный протокол удобным при использовании в системах, где общий секрет является паролем.

Протокол EKE[править | править код]

Алиса и Боб обладают общим секретом P. Используя протокол EKE у них есть возможность генерировать общий сеансовый ключ K.

1. Алиса генерирует случайную пару открытый-закрытый ключ, шифрует симметричным шифрованием открытый ключ K' с использованием общего секрета P в качестве ключа. Посылает Боб.
   • ${\displaystyle Alice\to \left\{A,E_{P}(K')\right\}\to Bob}$
2. Боб, зная общий секрет, расшифровывает сообщение и получает ключ K'. Далее - случайным образом генерирует сеансовый ключ k, шифрует его открытым ключом K' и общим секретом P. Посылает Алиса.
   • ${\displaystyle Bob\to \left\{E_{P}(E_{K'}(k))\right\}\to Alice}$
3. Алиса получает общий сеансовый ключ k, расшифровывая сообщение. Генерирует случайную строку ${\displaystyle R_{A}}$, шифрует её на k. Посылает Боб.
   • ${\displaystyle Alice\to \left\{E_{k}(R_{A})\right\}\to Bob}$
4. Боб получает строку Алисы, расшифровывая сообщение. Далее - генерирует свою случайную строку ${\displaystyle R_{B}}$. Общим сеансовым ключом шифрует обе строки, передает зашифрованные строки Алисе.
   • ${\displaystyle Bob\to \left\{E_{k}(R_{A},R_{B})\right\}\to Alice}$
5. Алиса получает ${\displaystyle R_{A}}$ и ${\displaystyle R_{B}}$, расшифровывая сообщение. Значение ${\displaystyle R_{A}}$,полученное от Боба, сравнивается с тем, что было выбрано в пункте (3). Если значения совпадают, то Алиса шифрует ${\displaystyle R_{B}}$ на ключе и посылает Бобу.
   • ${\displaystyle Alice\to \left\{E_{k}(R_{B})\right\}\to Bob}$
6. Боб получает ${\displaystyle R_{B}}$, расшифровывая сообщение. Значение ${\displaystyle R_{B}}$,полученное от Алисы, сравнивается с тем, что было выбрано в пункте (4). Если значения совпадают, то работа протокола завершена - участники могут обмениваться сообщениями используя при их шифровании ключ k.

Стойкость к атакам[править | править код]

В результате работы протокола пассивный криптоаналитик Ева может получить доступ только к ${\displaystyle E_{P}(K')}$ и ${\displaystyle E_{P}(E_{K'}(k))}$, а также к сообщениям, зашифрованным на общем сессионном ключе k. Так как в алгоритме используется схема асимметричного шифрования и ключи K' и k выбираются случайно, Ева не сможет подобрать P. Таким образом общий секрет P может быть простым паролем, который в состоянии запомнить человек.

Этапы 3-6 обеспечивают подтверждение. На этапах 3-5 Алиса удостоверяется, что Боб знает общий сеансовый ключ. На этапах 4-6 Боб удостоверяется, что Алиса знает общий сеансовый ключ. Эта же задача решается в протоколе Kerberos посредством обмена метками времени.

Реализации[править | править код]

При реализации данного протокола возможно использование многих алгоритмов с открытыми ключами, но также надо учитывать, что ограничения методов шифрования на ключи могут дать взломщику дополнительные возможности для проведения атак. Использование случайных последовательностей в данном протоколе сделает атаку "брут-форсом" невозможной.

Реализация EKE с использованием системы Эль-Гамаля^[1][править | править код]

Преимущества[править | править код]

При использовании схемы Эль-Гамаля^[2] возможно упрощение основного протокола.

Инициализация[править | править код]

Значения g - порождающий элемент группы и p - модуль, по которому производятся вычисления, выбираются для всех пользователей протокола. Также в соответствии с протоколом EKE у пользователей есть общий секрет r. Тогда ${\displaystyle g^{r}mod(p)}$ - открытый ключ.

Работа протокола[править | править код]

1. В данном алгоритме открытый ключ не надо шифровать на общем секрете P. Для общего случая такой подход не работает. На первом шаге протокола Алиса посылает Бобу:
   • ${\displaystyle Alice\to \left\{A,g^{r}mod(p)\right\}\to Bob}$
2. Для алгоритма Эль-Гамаля Боб выбирает случайное число R. Тогда на данном этапе Боб посылает данное сообщение:
   • ${\displaystyle Bob\to \left\{E_{P}(g^{R}mod(p),kg^{rR}mod(p))\right\}\to Alice}$

Реализация EKE с использованием протокола Диффи — Хеллмана, DH-EKE^[3][править | править код]

При реализации EKE с использованием протокола Диффи — Хеллмана^[4] ключ K генерируется автоматически участниками работы протокола во время его исполнения.

Преимущества[править | править код]

При использовании протокола DH-EKE решается уязвимость базового протокола Диффи-Хеллмана к атаке человек посередине(MITM). Если криптоаналитик не знает общий секрет пользователей, то он не сможет^[3] подобрать ключ, потому что шифруются случайные значения.

Инициализация[править | править код]

Значения g - порождающий элемент группы и n - модуль, по которому производятся вычисления, выбираются для всех пользователей протокола. В соответствии с протоколом EKE у пользователей есть общий секрет P.

Работа протокола[править | править код]

1. Алиса случайно выбирает ${\displaystyle r_{A}}$, посылает его Бобу. При этом нет необходимости, чтобы Алиса шифровала первое сообщение на общем секрете P.
   • ${\displaystyle Alice\to \left\{A,g^{r_{A}}mod(n)\right\}\to Bob}$
2. Боб случайно выбирает ${\displaystyle r_{B}}$, вычисляет K, генерирует случайную строку ${\displaystyle R_{B}}$, шифрует её на ключе K. Далее - вычисляет ${\displaystyle g^{r_{B}}mod(n)}$, шифрует его на общем секрете P. Передает Алисе.
   • ${\displaystyle K=g^{r_{A}*r_{B}}mod(n)}$
   • ${\displaystyle Bob\to \left\{E_{P}(g^{r_{B}}mod(n)),E_{K}(R_{B})\right\}\to Alice}$
3. Алиса получает ${\displaystyle g^{r_{B}}mod(n)}$, расшифровывая первую часть сообщения с использованием общего секрета P. Далее - вычисляет K, расшифровывает полученным ключом вторую часть сообщения Боба. Генерирует случайную строку ${\displaystyle R_{A}}$, шифрует полученные строки на ключе K и посылает Бобу.
   • ${\displaystyle Alice\to \left\{E_{K}(R_{A},R_{B})\right\}\to Bob}$
4. Боб получает ${\displaystyle R_{A}}$ и ${\displaystyle R_{B}}$, расшифровывая сообщение. Значение ${\displaystyle R_{B}}$,полученное от Алисы, сравнивается с тем, что было выбрано в пункте (3). Если значения совпадают, то Боб шифрует ${\displaystyle R_{A}}$ на ключе K и посылает Алисе.
   • ${\displaystyle Bob\to \left\{E_{K}(R_{A})\right\}\to Alice}$
5. Алиса получает ${\displaystyle R_{A}}$, расшифровывая сообщение. Значение ${\displaystyle R_{A}}$,полученное от Боба, сравнивается с тем, что было выбрано в пункте (4). Если значения совпадают, то работа протокола завершена - участники могут обмениваться сообщениями используя при их шифровании ключ K.

Усиленный протокол EKE[править | править код]

Стивом Белловином и Майклом Мерритом в работе^[1] было предложено усиление части протокола запрос-ответ. Данное усиление позволяет^[3] избежать компрометации данных при условии, что у криптоаналитика есть значение прошлого общего сеансового ключа k.

• На шаге 3 Алиса генерирует случайное число ${\displaystyle S_{A}}$. Посылает Бобу:
  • ${\displaystyle Alice\to \left\{E_{k}(R_{A},S_{A})\right\}\to Bob}$

• На шаге 4 Боб генерирует случайное число ${\displaystyle S_{B}}$ и посылает Алисе:
  • ${\displaystyle Bob\to \left\{E_{k}(R_{A},R_{B},S_{B})\right\}\to Alice}$

При такой работе протокола Алиса и Боб могут вычислить общий сеансовый ключ -- ${\displaystyle S=S_{A}\oplus S_{B}}$. В дальнейшем этот ключ используется для установления защищенного соединения, ключ k используется как ключ обмена ключами.

Допустим, что Ева получила доступ к значению S, но при этом работа протокола построена так, что это не даст Еве никакой информации об общем секрете P. К тому же, так как на ключе K шифруются только случайные данные, то криптографические подходы для его восстановлению неприменимы.

Примечания[править | править код]