Обмен IKE_AUTH
Инициатор - i Ответчик- r
HDR, SK{IDi, [CERT], [CERTREQ], IDr,
AUTH, SAi2, TSi, TSr}
HDR, SK{IDr, [CERT], AUTH, SAr2, TSi, TSr},
IKE_SA, CHILD_SA
Содержимое поля Аутентификационные данные при аутентификации с использованием цифровых подписей
Инициатор - i
AUTH = SIGi{(HDR, SAi1,KEi,Ni),Nr,prf(SK_pi,IDi’}
Ответчик- r
AUTH = SIGr{(HDR, SAr1,KEr,Nr),Ni,prf(SK_pr,IDr’}
Содержимое поля Аутентификационные данные при аутентификации с использованием заранее распределенного ключа
AUTH = prf(prf(Shared Secret, “Key Pad for IKEv2”,
(<msg octets’}
Генерация ключевого материала для IKE_SA
SK_d используется для получения новых ключей для CHILD_SA; SK_ai, SK_ar – ключи аутентификации сообщений в
SK_ei, SK_er - ключи шифрования сообщений SK_pi, SK_pr - ключи хэширующей функции
Генерация ключевого материала в дополнительном обмене СREATE_CHILD_SA
Ключи шифрования берутся из первых октетов KEYMAT ключи аутентификации из следующих октетов
Принципы обеспечения безопасности протокола IKE
Алгоритм Диффи-Хеллмана
A |
|
gx |
|
B |
х |
|
|
|
|
|
gy |
|
y gxy |
|
|
|
|
||
gyx |
|
|
|
|
|
|
|
gx - значение Диффи-Хеллмана gxy – ключ Диффи-Хеллмана
Ks= prf(gxy) – сессионный ключ
Атака человек посредине
A |
|
|
|
|
|
|
|
||
gx |
|
Е |
x’ |
|
gx’ |
|
B |
||
х |
|
|
|
|
|
|
|
|
|
gy’ |
y’ |
|
|
gy |
|
|
y |
||
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
gx’y |
|||
y’x |
xy’ |
|
g |
yx’ |
|||||
g |
g |
|
|
|
|
|
|
||
|
Ks |
|
|
|
K’s |
|
|
|
|
K = сессионный ключ |
|
|
K’s= сессионный ключ |
||||||
s |
между А и Е |
|
|
|
между Е и В |
||||
|
|
|
|
||||||
Базовые требования к протоколу обмена ключами
Аутентификация - каждая сторона КЕ-обмена должна проверять подлинность другой стороны, с которой установлена сессия.
Согласованность – единый взгляд сторон на сформированный сессионный ключ, т.е, если сторона А установила ключ с В, то, если В установит ключ с А, он должен быть уверен, что эта сторона действительно А .
Секретность – никакая третья сторона не должна знать сессионный ключ и идентификаторы сторон его установивших.
•Конфиденциальность ключа.
•Имитозащищенность ключа и аутентификация корреспондентов.
•Взаимное согласование ключа.
•Анонимность корреспондентов, формирующих ключ.
Эволюция |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
IKE |
|
|
|||||
протоколов распределения |
|
|
|
|
Вып. все |
|||||||||
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|||||||||
ключей и аутентификации |
|
|
|
|
|
|
треб. |
|||||||
|
|
|
SIGMA |
|
||||||||||
|
|
|
|
|
«незащищенность |
|
||||||||
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
идентификаторов» |
|||||||||
|
|
Атака |
|
|
|
|
|
Выполнены 1,2,3 |
||||||
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
ISO |
|||||||||
|
|
«Misbinding» |
требования |
|||||||||||
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
Выполнены 1, 2 |
||||||
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
||||||||
Атака «Человек |
STS |
|
||||||||||||
|
|
требования |
||||||||||||
посредине» |
|
|
|
|
||||||||||
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
Выполнено 1-е требование |
||||||||||
|
|
|
|
|||||||||||
|
DH |
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
||
A |
Протокол STS |
B |
gx |
х 
gy, B,CertB, {SigB(gx, gy)}Ks y
CertA, {SigA(gy, gx)}Ks
{.}K – шифрование на ключе К
Пусть для шифрования используется гаммирование На 3-ем шаге нарушитель создает криптограмму CertE, {SigA(gy, gx)}Ks
Получив CertE, В будет полагать, что установил связь с А, но проверить подпись не сможет и будет многократно обращаться к Е, что в итоге равносильно нарушению согласованности
А, SigА(gy, gx), |
МАСKs(SigА(gy, gx)), |
А |
B |
A |
Протокол STS |
B |
gx |
||
х |
|
|
|
|
gy, B,CertB {SigB(gx, gy)}Ks y
CertA, {SigA(gy, gx)}Ks
{.}K – шифрование на ключе К
Защита от атаки (misbinding attaсk) состоит в доказательстве сторонами владения сессионным ключем Кs
Недостатки шифрованиия: Для режима кодовой книги или гаммирования возможна атака подмены типа A+E, поэтому шифрование заменяют на хэширование.
А, SigА(gy, gx), |
МАСKs(SigА(gy, gx)), |
А |
B |