Информационная безопасность

- на основе обладания чем-либо. Обычно это магнитные карты, смарт-карты, сертификаты, устройства touch-memory и персональные генераторы, которые используются для создания одноразовых паролей;

- на основе каких-либо неотъемлемых характеристик. Данная категория включает методы, базирующиеся на проверке биометрических характеристик пользователя (голос, сетчатка глаз, отпечатки пальцев). В этой категории не используются криптографические методы и средства.

Процессы аутентификации можно также классифицировать по уровню обеспечиваемой безопасности. В соответствии с данным подходом процессы аутентификации разделяются  на следующие типы:

- простая аутентификация (на основе использования паролей);

- строгая аутентификация (на основе использования криптографических методов и средств);

- процессы (протоколы) аутентификации, обладающие свойством доказательства с нулевым знанием.

При сравнении и выборе протоколов аутентификации необходимо учитывать следующие характеристики:

- наличие взаимной аутентификации – это свойство отражает необходимость обоюдной аутентификации между сторонами обмена информацией;

- вычислительная эффективность – количество операций, необходимых для выполнения протокола;

- коммуникационная эффективность – данное свойство отражает количество сообщений и их длину, необходимую для осуществления аутентификации;

- наличие третьей стороны – примером третьей стороны может служить доверенный сервер распределения симметричных ключей или сервер, реализующий дерево открытых сертификатов для распределения открытых ключей;

- основа гарантии безопасности – примером могут служить протоколы, обладающие свойством доказательства с нулевым знанием;

- хранения секрета – имеется в виду способ хранения критичной ключевой информации.

Следует отметить, что аутентификация должна применяется не только для  установления подлинности пользователей, но и для проверки целостности  сообщений и подлинности их источника. После того как произошла успешная взаимная аутентификация абонентов, приходит очередь аутентификации передаваемых по защищенному каналу данных. Каждый получатель информации (устройство, приложение или пользователь) должен иметь подтверждение, что полученные им данные были сформированы и отправлены именно тем отправителем, легальность которого была доказана во время предшествующей  процедуры аутентификации.

Широкое распространение  кредитных банковских карточек (смарт-карт) для оплаты товаров и услуг  в сети Интернет потребовало обеспечения  безопасной идентификации и аутентификации таких карт и их владельцев. Во многих приложениях главная проблема заключается в том, чтобы при предъявлении интеллектуальной карты оперативно обнаружить обман и отказать обманщику в допуске, ответе или обслуживании. Схемы простой аутентификации слабо соответствуют требованиям указанных приложений. Один из существенных недостатков протоколов простой аутентификации заключается в том, что после того, как доказывающий передаст проверяющему свой пароль, проверяющий может, используя данный пароль, выдать себя за проверяемого. Немногим лучше обстоит дело с протоколами строгой аутентификации. Дело в том, что участник А, отвечая на запросы участника В, обязан продемонстрировать знание секретного ключа; при этом передаваемая информация не может быть напрямую использована участником В. Тем не менее, некоторая ее часть поможет участнику В получить дополнительную информацию о секрете участника А. Например, участник В имеет возможность так сформировать запросы, чтобы передаваемые ответы анализировались с целью извлечения из них дополнительной информации.

Для безопасной реализации процедур аутентификации разработаны протоколы аутентификации с нулевой передачей знаний. [1, 2, 3] Секретный ключ владельца карты становится неотъемлемым признаком его личности. Доказательство знания секретного ключа с нулевой передачей этого знания служит доказательством подлинности личности владельца карты. Аутентификацию с нулевой передачей знания можно реализовать при помощи демонстрации знания секрета, однако проверяющий должен быть лишен возможности получать дополнительную информацию о секрете доказывающего. Говоря точнее, протоколы аутентификации в виде доказательства с нулевым знанием позволяют установить истинность утверждения и при этом не передавать какой-либо дополнительной информации о самом утверждении. Данные протоколы являются примером систем интерактивного доказательства, в которых проверяющий и доказывающий обмениваются многочисленными запросами и ответами, обычно зависящими от случайных чисел (в идеальном случае такая зависимость может реализоваться в виде подбрасывания монеты), которые позволяют сохранить секрет в тайне. Классическим примером описания системы аутентификации с нулевой передачей знаний служит так называемая пещера Али-Бабы.

 

Пример системы аутентификации с нулевой передачей знаний (пещера Али-Бабы).

Пещера имеет один вход (см. на рис. выше), путь от которого разветвляется  в глубине пещеры на два коридора, сходящихся затем в одной точке, где установлена дверь с замком. Каждый,  кто имеет ключ от замка, может переходить от одного коридора в другой в любом направлении. Одна операция алгоритма состоит из последовательности шагов:

Проверяющий становится в точку А.

Доказывающий проходит в  пещеру и добирается до двери (оказывается  в точке С или D). Проверяющий не видит, в какой из двух коридоров тот свернул.

Проверяющий приходит в точку В и в соответствии со своим выбором просит доказывающего выйти из определенного коридора.

Доказывающий, если нужно, открывает дверь ключом и выходит из названного проверяющим коридора.

5. Итерация повторяется столько раз, сколько требуется для распознавания истинности утверждения «доказывающий владеет ключом от двери» с заданной вероятностью. После i-ой итерации, вероятность того, что проверяющий попросит доказывающего выйти из того же коридора, в который вошел доказывающий, равна (1/2)i .

Схему аутентификации с нулевой передачей знаний предложили в 1986 году У. Фейге, А. Фиат и А. Шамир. Она является наиболее известным доказательством идентичности с нулевой передачей конфиденциальной информации.

Для более четкого выявления  основных концепций рассмотрим сначала упрощенный вариант схемы аутентификации с нулевой передачей знаний.

Прежде всего, выбирают случайное  значение модуля n, который является произведением двух больших простых  чисел. Модуль n должен иметь длину 512-1024 бит. Это значение n может быть представлено группе пользователей, которым придется доказывать свою подлинность. В процессе идентификации участвуют две  стороны:

• сторона А, доказывающая свою подлинность;
• сторона В, проверяющая представляемое стороной А доказательство.

Для того чтобы сгенерировать  открытый и секретный ключи для  стороны А, доверенный арбитр (Центр) выбирает некоторое число V, которое является квадратичным вычетом по модулю n. Иначе говоря, выбирается такое число V, при котором сравнение

х2 ≡ V (mod n)   (1)

имеет решение и существует целое число

V-1 mod n.   (2)

Выбранное значение V является открытым ключом для А. Затем вычисляют наименьшее значение S, для которого

S ≡  sqrt (V-1) (mod n).  (3)

Это значение S является секретным  ключом для А.

Теперь можно приступить к  выполнению протокола аутентификации:

1. Сторона А выбирает некоторое случайное число r, r<n. Затем она вычисляет 
   х = r2 mod n и отправляет х стороне В.
2. Сторона В посылает А случайный бит b.
3. Если b = 0, тогда А отправляет r стороне В. Если b = 1, то А отправляет стороне В у = r * S mod n.
4. Если b = 0, сторона В проверяет, что х = r 2 mod n, чтобы убедиться, что А знает sqrt (x). Если b = 1, сторона В проверяет, что х = у2 *V mod n, чтобы быть уверенной, что А знает sqrt (V-1).

Эти шаги образуют один цикл протокола, называемый аккредитацией. Стороны А и В повторяют весь цикл t раз при разных случайных значениях r и b до тех пор, пока В не убедится, что А знает значение S.

Если сторона А не знает значения S, она может выбрать такое значение r, которое позволит ей обмануть сторону В, если В отправит ей b = 0, либо А может выбрать такое r, которое позволит обмануть В, если В отправит ей b = 1. Но этого невозможно сделать в обоих случаях. Вероятность того, что А обманет В в одном цикле, составляет 1/2. Вероятность обмануть B в t циклах равна (1/2)t.

Для того чтобы данный протокол работал, сторона А никогда не должна повторно использовать значение r. Если А поступила бы таким образом, а сторона В отправила бы стороне А на шаге 2 другой случайный бит b, то В имела бы оба ответа А. После этого В может вычислить значение S, и для А все закончено.

Параллельная схема аутентификации позволяет увеличить число аккредитаций, выполняемых за один цикл, и тем самым уменьшить длительность процесса аутентификации.

Как и в предыдущем случае, сначала генерируется число n как  произведение двух больших чисел. Для  того чтобы сгенерировать открытый и секретный ключи для стороны А, сначала выбирают К различных чисел Vl, V2, ... VK, где каждое V, является квадратичным вычетом по модулю n. Иначе говоря, выбирают такое значение Vi, при котором сравнение

х2 ≡ Vi mod n  (4)

имеет решение и существует:

Vi-1mod n.   (5)

Полученная строка Vl, V2, ... VK является открытым ключом.

Затем вычисляют такие  наименьшие значения Si ,что:

Si = sqrt (Vi-1) mod n.  (6)

Эта строка Sl, S2, ... SK является секретным ключом стороны А. Протокол процесса аутентификации имеет следующий вид:

1. Сторона А выбирает некоторое случайное число r при условии, что r<n. 
Затем она вычисляет х = r2 mod n и посылает х стороне В.

2. Сторона В отправляет стороне А некоторую случайную двоичную строку из 
К бит: b1, b2,... bK.

3. Сторона А вычисляет у = r * (Sb1 * Sb2*  ... * SKbk) mod n.

Перемножаются только те значения Si, для которых bi = 1. Например, если b1 = 1, то сомножитель S1 входит в произведение, если же b1 = 0, то Sl не входит в произведение, и т.д. Вычисленное значение у отправляется стороне В.

4.   Сторона В проверяет, что х = у2 * (Vb1 * Vb2*  ... * VKbk) mod n.

Фактически сторона В перемножает только те значения Vi для которых bi = 1. Стороны А и В повторяют этот протокол t раз, пока В не убедится, что А знает Sl, S2, ... SK.

Вероятность того, что А может обмануть В, равна (1/2)Kt.

Алгоритм аутентификации с нулевой передачей знания, разработанный  Л. Гиллоу и Ж. Куискуотером, имеет несколько лучшие характеристики, чем предыдущая схема аутентификации. Вот на основе этого алгоритма мы и проанализируем схему покупки и проведения платежа в режиме он-лайн по технологии электронной коммерции (см. рис. 1).  Но вначале приведем сам алгоритм Л. Гиллоу и Ж. Куискуотера:

Пусть сторона А - интеллектуальная карточка, которая должна доказать свою подлинность проверяющей стороне В. Идентификационная информация стороны А представляет собой битовую строку I, которая включает имя владельца карточки, срок действия, номер банковского счета и др. Фактически идентификационные данные могут занимать достаточно длинную строку, и тогда их хэшируют к значению I.

Строка I является аналогом открытого ключа. Другая открытая информация, которую используют все карты, участвующие в данном приложении - модуль n и показатель степени V. Модуль n является произведением двух секретных простых чисел.

Секретным ключом стороны А является величина G, выбираемая таким образом, чтобы выполнялось соотношение:

I * GV ≡  1(mod n)  (7)

Сторона А отправляет стороне В свои идентификационные данные I. Ее дальнейшая задача - доказать стороне В, что эти идентификационные данные принадлежат именно А. Чтобы добиться этого, сторона А должна убедить сторону В, что ей известно значение G.

Вот протокол доказательства подлинности А без передачи стороне В значения G:

1. Сторона А выбирает случайное целое r, при котором 1 < r ≤ n - 1.

Она вычисляет Т = rv mod n и отправляет это значение стороне В.

2. Сторона В выбирает случайное целое d из расчета, что 1 < d ≤  n - 1, и отправляет это значение d стороне А.
3. Сторона А вычисляет D = r * Gd mod n и отправляет это значение стороне В.
4. Сторона В вычисляет значение T’ = Dv Id mod n.

Если T ≡ T' (mod n), то проверка подлинности успешно завершена. Математические выкладки, использованные в этом протоколе, не очень сложны:

T = Dv Id = (r Gd)v Id = rv Gdv Id = rv (I Gv)d = rv ≡ Т (mod n),  (8)

поскольку G вычислялось  таким образом, чтобы выполнялось  соотношение

I Gv ≡ 1 (mod n). (7)

Теперь перейдем непосредственно  к рассмотрению схемы покупки и проведения платежа в режиме он-лайн по технологии электронной коммерции. В качестве математического алгоритма для детального рассмотрения данной схемы возьмем протокол аутентификации с нулевой передачей знания, разработанный Л. Гиллоу и Ж. Куискуотером.

В  системе электронной коммерции кредитные Интернет-ориентированные платежные системы являются аналогами традиционных систем с платежами, работающих с кредитными карточками. Отличие состоит в проведении всех транзакций через Интернет и, как следствие, в необходимости дополнительных средств безопасности и аутентификации. При совершении покупки с использованием кредитной карточки система осуществляет авторизацию карточки и проверяет кредитоспособность клиента.

В системе электронной  коммерции платежи совершаются  при соблюдении ряда условий:

Соблюдения конфиденциальности - при проведении платежей через Интернет покупатель хочет, чтобы его данные (например, номер кредитной карты) были известны только организациям, имеющим на это законное право;

Сохранение целостности  информации - покупатели и продавцы должны быть уверены, что все стороны, участвующие в сделке, являются теми за кого они себя выдают;