- Quy trình kiểm tra ch ký:
XÂ YD NG GIAO T HC TRAO Đ I KHịA AN TOÀN
3.1.Phân tích một số giao thức trao đổi khóa có tích hợp ch ký số
Sau đây, chúng ta sẽ lược qua quá trình phát triển của một số giao thức TĐK kết hợp giữa giao thức DH và DSA từ năm 1993 đến nay. Trước khi phân tích giao thức, ta tìm hiểu thêm về các yêu cầu TĐK.
3.1.1. Các yêu cầu đối với giao thức trao đổi khóa hiện nay
Với sự phát triển đa dạng và độ an toàn của các ứng dụng mạng hiện nay, giao thức trao đổi khóa cần phải đáp ứng được các yêu cầu sau: có thể tạo ra nhiều khóa phiên trong một phiên; có đủ tính năng an toàn được nêu dưới đây [9].
Các tính năng an toàn của giao thức:
-
Xác thực khóa biết (known key authentication): giao thức có tính năng này sẽ cho phép các bên tham gia TĐK xác thực các thông điệp của bên kia gửi cho mình là đúng. Trong giao thức DH không cung cấp sự xác thực giữa các đối tượng tham gia truyền thông vì vậy nó có thể bị tấn công kẻ đứng giữa.-
An toàn phía trước (forward secrecy): có nghĩa là, nếu một khóa riêng bền vững bị lộ, thì sự bí mật của các khóa ở phiên thiết lập trước có thể vẫn được duy trì.-
An toàn khóa biết (known-key security): có nghĩa là, nếu một khóa phiên bí mật được thỏa hiệp thì những khóa phiên khác vẫn được an toàn.-
An toàn chia sẻ khóa không biết (unknown key-share security): kẻ tấn công không thể ép buộc một nhóm (A hoặc B) trong việc thiết lập một khóa bí mật với phiên liên lạc mà có ít nhất một bên không biết rằng khóa bí mật này được chia sẻ với bên kia.-
Ngăn cản tấn công lặp lại khóa (key-replay resilience):có nghĩa là, nếu một kẻ tấn công ghi lại những thông tin của phiên đang hoạt động thì chúng cũng không dùng được những thông tin này để mạo danh một thực thể hoặc tính khóa phiên trong phiên tương lai.-
Khả năng làm mới khóa (key freshness): có nghĩa là cả hai bên A và B không thể định trước được khóa bí mật chia sẻ đang được thiết lập.-
An toàn chống lại lộ trạng thái khóa phiên (security against session state reveal): có nghĩa là, bí mật của các khóa phiên vẫn được duy trì ngay cả khi kẻ tấn công có thể biết được các giá trị bí mật ngắn hạn (v và w hoặc v1, v2, w1 và w2) được sử dụng để tạo ra các khóa phiên. Sự mất an toàn này bắt nguồn từviệc các giá trị ngẫu nhiên ngắn hạn của các phiên có thể dễ dàng bị rò rỉ hơn so với các khóa bí mật lâu dài (xA, xB).3.1.2. Giao thức trao đổi khóa của Arazi
Giao thức này sử dụng những khóa công khai một lần (the one-time public key) R trong DSA như những khóa công khai ngắn hạn (ephemeral public key) cho giao thức DH. Thêm vào đó, R được ký bằng cách sử dụng DSA để xác thực những khóa này. Vì vậy, tấn công trên những giao thức có thể rất tinh vi, chúng ta mô tả giao thức Arazi một cách chi tiết và đầy đủ như trong hình 3.1, trong đó miền tham số là (p, q, g) như được định nghĩa trong DSA, cặp khóa của A là (a, QA) và cặp khóa của B là (b, QB) [2].
Bước A B 1 Chọn x
R [1,q-1] RA = gx mod p và rA = RA mod q x-1 mod q và eA = H(RA) sA = x-1{ eA + arA } mod p 2 rA = RA mod q e = H(RA), w = 1 As mod q, u1 = ew mod q, u2 = rAw mod q V = u1 u2 A g Q mod p Chọn y
R [1,q-1] RB = gy mod p và rB = RB mod q y-1 mod q và eB = H(RB) sB = y-1{ eB + brB } mod q K = R mod p Ay 3 rB = RB mod q e = H(RB), w = 1 Bs mod q, u1 = ew mod q, u2 = rBw mod q V = u1 u2 B g Q mod p K = RBx mod p Hình 3.1. Giao thức TĐK của Arazi Nhận xét:
Một đặc tính quan trọng của DH ngắn hạn là an toàn khóa biết. Điều đó có nghĩa, nếu một đối phương C học một hay nhiều bí mật K được thiết lập bởi A và B, thì nó không giúp C học những điều bí mật khác được thiết lập giữa A và B. Nyberg và Rueppel [7] đã chỉ ra rằng giao thức của Arazi không có đặc tính an toàn khóa biết. Giả sử rằng (RA, sA) và (RB, sB) là những thông điệp được trao đổi trong một lần chạy của giao thức Arazi. Để r = R mod qA A , w= s mod q-1A ,
1 A
u = H(R )w mod q và u = r w mod q2 A , w = s mod q-1B , u = H(R )w mod q1 B ,
2 B u = r w mod q. Thì ta có: x.y u1 au2 u1 bu2 u u1 1 u u1 2 u u1 2 ab u u2 2 A B ( + )( + )
K = g = g = g Q Q (g )
(RA;sA) (RB ;sB )Điều này thể hiện rằng những bí mật chia sẻ có thể được tính từ giá trị bí mật chia sẻ lâu dài gabvà thông tin không bí mật khác. Vì vậy nếu C học K, thì C có thể tính gabmột cách hiệu quả, và tương tự tính tất cả các bí mật khác được thiết lập bởi A và B.
Để tiết kiệm băng thông, giao thức của Arazi có thể được sửa bằng cách (rA, sA) và (rB, sB)được trao đổi thay cho (RA, sA) và (RB, sB).
3.1.3. Nh ng phát triển của Lein Harn
Arazi là người đầu tiên kết hợp giao thức DH và CKS DSA để cung cấp tính năng xác thực khóa. Tuy nhiên, Nyberg and Rueppel [7] đã chỉ ra một điểm yếu trong lược đồ của Arazi là tấn công khóa biết. Một kiểu tấn công khác như là tấn công khoá chia sẻ không biết hay tấn công lặp lại khóa. Vì vậy, Lein Harn đã mở rộng cách tiếp cận của Arazi để tích hợp một cách tin cậy giao thức DH trong DSA. Lein Harn đã đề xuất ba sự lựa chọn giao thức cho nhiều ứng dụng khác nhau. Trong nội dung này, chúng ta chỉ quan tâm đến giao thức TĐK thứ ba của Lein Harn là giao thức ba vòng (three-round protocol) – là sự kết hợp các đặc tính của giao thức thứ nhất và thứhai. Nó có thể ngăn cản được tấn công khóa biết, tấn công lặp lại khóa và tấn công khóa chia sẻ không biết. Nội dung giao thức được mô tả trong hình 3.2 [8].
Dưới đây ta sẽ phân tích để thấy được tấn công biết trước khóa được ngăn cản như thế nào. Bằng cách viết lại công thức ký trong các bước 2 và 3 của giao thức trao đổi khóa ba vòng chúng ta thu được công thức (3.1) và (3.2).
B B B B AB BA
x r = ws - H(m || K || K )mod q
(3.1)A A A A AB BA
x r = vs - H(m || K || K )mod q
(3.2) Đồng nhất biểu thức (3.1), (3.2) và lũy thừa hai vế ta được:A A B B B A AB BA B B A A A B AB BAwx r s +x r H(m ||K ||K )mod q vx r s +x r H(m ||K ||K )mod q wx r s +x r H(m ||K ||K )mod q vx r s +x r H(m ||K ||K )mod q
