Доказательство проверяемого a:

АВ: y=E_k (t_A|| id(B))

Проверка принятого сообщения y’ проверяющим B:

В: (t|| i))=D_k(y’), удостоверение, что t=t _A T, и i=id(B).

Вследствие трудности синхронизации часов передающей и принимающей стороны интервал T не может быть очень малым. Поэтому технически оснащенный противник имеет возможность после перехвата сообщения y идентифицировать себя для другого участника C, изменив часть id(B) этого кода. Это можно сделать, если, например, шифрование осуществляется наложением гаммы.

Пример односторонней идентификация с использованием случайных чисел z_В.

Запрос проверяющего B (пересылка случайного числа):

В  А: z_В.,

Доказательство проверяемого A (ответ):

АВ: y=E_k(z_В||id(B))

Проверка принятого сообщения y’ проверяющим B:

В: (z||i)=D_k(y’), удостоверение, что z = z_В и i=id(B).

Пример взаимной идентификации с использованием случайных чисел.

Запрос проверяющего B (пересылка случайного числа):

ВА: z_В.,

Доказательство проверяемого А (ответ-запрос):

АВ: y=E_k(z_А||z'_В|| id(B)),

Проверка y’ проверяющим B :

B:( z₁||z₂||i)= D_k(y'), удостоверение, что: z₂= z_В., i=id(B).

Доказательство проверяемого В (ответ):

В  А: y=E_k(z₁||z_В),

Проверка проверяющим A :

A: (z₁’||z₂’)= D_k(y'), удостоверение, что z₁’= z_А, z₂’=z'_В.

Идентификация с использованием асимметричных криптосистем. Теперь опишем несколько примеров протоколов сильной идентификации в асимметричных криптосистемах

Пример идентификации расшифрованием запроса, зашифрованного на открытом ключе абонента А.

Запрос от проверяющего В:

ВА: h(z_B), id(B), y=(z_B ||id(B)).

Проверка запроса проверяемым A:

A: h', i’, (z||i)= (y’), удостоверение, что h(z)=h', i=i’,

Доказательство проверяемого А (ответ):

AB:z.

Проверка проверяющим B:

B: z’, удостоверение, что z'=z_B.

Примечание: проверяемый A доказал проверяющему B, что он владеет ключом расшифрования . При этом проверяемый имеет возможность учитывать запросы и фиксировать случаи их повторного поступления.

Пример идентификации зашифрованием запроса секретным ключом .

Запрос от проверяющего B

BA: z _B.

Доказательство проверяемого A:

A: AB: y=D (z’_B).

Проверка проверяющим B:

B: z= E (y’), удостоверение, что z= z_A.

Недостаток: C может получить от A зашифрованное на ключе выгодное для С сообщение z _С (например, заархивированное долговое обязательство A).

Устраняется использованием хэш-функции:

Запрос от проверяющего B

BA:

состоящий в том, что B намерен связаться с A.

Доказательство проверяемого A:

A: AB: y=D((M||h(M))), где М – любое сообщение.

Проверка проверяющим B:

B: (m||h)= Е (y’) , удостоверение, что h= h(m).

Напомним, что протокол аутентификации  протокол, идентификации, гарантирующий целостность информации по источнику, содержанию и по времени создания.

Аутентификация с использованием симметричных криптосистем. Заметим, что при передаче зашифрованного сообщения с предварительно добавленным идентификатором источника, целостность данных не гарантируется. Аутентификация источника проводят с использованием ключевой хэш-функции и симметричного шифрования. Можно, например, использовать одну из следующих форм передаваемого сообщения:

,

,

.

При этом ключи шифрования k₁ и k₂ должны быть независимыми, а алгоритмы шифрования и вычисления хэш-функций , должны иметь существенные различия.

38.2. Аутентификация с использованием ассиметричной криптосистемы и кода аутентификации сообщения ( останов векчерники 08.09.11)

Рассмотрим протокол передачи открытого ключа по открытому каналу от В к А с целью последующей передачи от A к В ключа k симметричной системы. Под Кодом Аутентификации Сообщения (КАС) понимается: (h(M||k)), где М – сообщение h – функция хэширования, k – секретный ключ. При этом протокол, защищенный от вмешательства постороннего участника имеет вид:

Передача сертификата открытого ключа стороной B:

BA: <сертификат >, y=D (M||h(M)),

Проверка стороной А: А: (m||h)=E (y') , удостоверение, что h=h(m), удостоверение подлинности сообщения <сертификат >.

Теперь А может передать для В сообщение x=k на ключе :

AB: y=D (k).

После получения этого сообщения стороной B как А, так и В имеют общий секрет х=k и могут использовать его в качестве ключа симметричной системы для проверки подлинности сообщений:

BA: y=E_k(M||(h(M||k)),

A: (m||h)=D_k(y), удостоверение, что h=h(m||k).