Инфраструктуры и протоколы. Лекция №9

о криптографических протоколах
Особенности
Пример
Управление ключами средствами симметричной криптографии
Инфраструктуры открытых ключей

- набор правил, описывающих взаимодействие узлов некоторой сети с использованием КЗИ
под сетью может подразумеваться как реальная компьютерная сеть, так и абстрактная среда взаимодействия субъектов
Правила включают:
Порядок обмена данными между узлами
Вычисления, выполняемые на этих узлах перед отправкой / после получения данных
Примеры:
Протоколы установления защищенного соединения (http + TLS = https )
Протоколы электронных финансовых операций (оплата товаров банковской картой, онлайн-банкинг и т.д.)
Протоколы систем распределенного реестра (Bitcoin, Etherium, Мастерчейн и др.)
и т.д.

минимизация уровня доверия, необходимого для успешного взаимодействия узлов
Параноидальная модель – каждый из участников взаимодействия предполагает, что остальные могут объединиться против него
При разработке протокола может встать выбор, кого сильнее защищать
Обычно выбор в пользу того, кто больше дорожит репутацией честного игрока или несет большие риски
Пример: при отправке товара по почте деньги надо заплатить вперед, потому что онлайн-магазин больше дорожит репутацией чем покупатель, который может оказаться вором

сетевых протоколов

Иерархия уровней криптографического протокола

криптография

сетевые технологии

Под транспортным уровнем понимается технологии обмена данными между узлами.
Например, сетевые протоколы UDP или TCP. При этом часть функций КЗИ может реализовываться на транспортном уровне, например, расчет MAC

сообщения

ДАННЫЕ
(определяются прикладным уровнем протокола)

ЗАГОЛОВОК УРОВНЯ ИДЕНТИФИКАЦИИ

ЗАГОЛОВОК ТРАНСПОРТНОГО УРОВНЯ

Идентификатор протокола

Номер версии

Идентификатор типа сообщения

Данный уровень не защищает от злоумышленника, но позволяет избежать случайных ошибок

перед отправкой и декодирование после получения
Преобразование чисел, текстовых данных и т.п. в набор байт
Обратное преобразование по возможности должно быть однозначным и не зависеть от контекста
Протоколы выполняются в рамках событийно-ориентированной программной архитектуры [Event Driven Architecture, EDA]
Информация о состоянии протокола содержит список допустимых событий, которые могут происходить в рамках протокола при данном состоянии

стабильном соединении пакет данных в Интернете обычно либо доходит за секунду, либо не доходит вообще
Соединение может быть нестабильным
Стандартный подход: ожидать отклика 3-5 секунд, затем послать пакет заново и так до 3-5 раз
При обработке ошибок важно не давать потенциальному злоумышленнику лишней информации
Идеальный вариант – прерывать выполнение протокола без объяснений
В реальности система должна быть дружественной к пользователю, поэтому она выдает скупые сообщения об ошибках
Время выдачи сообщения об ошибке может быть использовано при тайминг-атаке, поэтому оно должно быть независимым от данных

работы Алиса и Боб согласовывают требования к безопасной длине параметров
Нонс нужен, чтобы убедиться, что Боб отвечает именно на это сообщение Алисы, а не на какое-то иное

ОБЩИЙ ВЫВОД: Протокол и алгоритм – разные вещи; в протоколе к алгоритму добавляется ряд нюансов, позволяющих повысить безопасность, эффективность, удобство и т.д.
ЧАСТНЫЙ ВЫВОД: Использование алгоритма Диффи-Хеллмана само по себе не решает проблему распределения ключей (требуется ключ для аутентификации); необходим механизм, позволяющий убедиться, что данный ключ принадлежит именно Алисе, а не кому-либо иному

о криптографических протоколах
Управление ключами средствами симметричной криптографии
Иерархии ключей
Серверы ключей
Инфраструктуры открытых ключей

1: сеть относительно небольшая, каждый абонент может хранить ключи для общения со всеми остальными абонентами
Вариант 2: сеть может быть больше (до 10 000 узлов), при этом жестко заданы потоки данных
Пример: сеть датчиков, измеряющих некоторые величины. Датчики связываются с сервером или точкой доступа, но не друг с другом
У датчиков зачастую ограниченные ресурсы, не позволяющие реализовывать распределение средствами асимметричной криптографии

ключ

Сеансовый ключ

Синхропосылка

Номер блока

Задается вручную при начальной настройке конфигурации сети;
Используется для согласования долгосрочного ключа; Действует, пока система работает в данной конфигурации (если не был скомпрометирован)

Пересылается зашифрованным на мастер-ключе; Используется для установки ключа следующего уровня; Действует в течение нескольких месяцев или лет

Пересылается зашифрованным на ключе предыдущего уровня; Используется для установки сеансового ключа; Действует в течение нескольких дней или недель

Пересылается зашифрованным на краткосрочном ключе; Используется для шифрования данных в рамках одного сеанса связи; Действует в течение сеанса (несколько минут)

Используется при шифровании отдельного блока данных в рамках сообщения

Пересылается в открытом виде; Используется при шифровании отдельного сообщения в рамках сеанса связи

иерархий:
Защита от атак, требующих знания злоумышленником большого массива шифротекстов
Мастер-ключ может быть слабее ключей более нижних уровней (например, пароль)
Компрометация отдельного ключа не приводит к компрометации всей системы
Опции
Сеансовый ключ может не пересылаться зашифрованным на краткосрочном ключе виде, а независимо вычисляться на его основе Алисой и Бобом с помощью ГПСП
Ключ для общения каждого устройства с сервером может генерироваться на основе некоторого общего ключа и ID конкретного устройства; При этом в памяти сервера хранится только общий ключ, в памяти каждого устройства – присланный сервером ключ для общения сервера с этим устройством

центр распределения ключей [Key Distribution Center, KDC], cервер выдачи мандатов [Ticket Granting Server, TGS]
Протокол Нидхэма-Шредера, 1978
Протокол Kerberos, 1983
Условия:
Сеть достаточно мала, чтобы в ней был сервер, хранящий в памяти ключи для общения с каждым из узлов (~до 10 000 узлов)
Сеть слишком велика, чтобы каждый из рядовых узлов хранил в памяти ключи для общения со всеми остальными
Узлы сети полностью доверяют серверу

билет [Ticket]

о криптографических протоколах
Управление ключами средствами симметричной криптографии
Инфраструктуры открытых ключей
Общие сведения
Проблема отозванных сертификатов
Самоподписанные сертификаты
Установление защищенного соединения

Key Infrastructure, PKI]
Инфраструктура позволяет определять, кому принадлежит тот или иной открытый ключ
Сертификационное агентство, центр сертификации, удостоверяющий центр [Certification Authority, CA] – субъект инфраструктуры (организация, сервер и т.п.), который публикует утверждения вида «открытый ключ X принадлежит пользователю А» и эти утверждения расцениваются остальными узлами как истина
Такое утверждение называется:
Сертификат открытого ключа – файл подписанный СА и содержащий следующую информацию:
Персональные данные субъекта
Открытый ключ субъекта
Срок действия сертификата
и т.д. (определяется приложением)

выданный корневым центром центру следующего уровня

Сертификат, выданный центром нижнего уровня Алисе

особенности

На основе PKI можно строить систему мандатного контроля доступа
Пользователь получает сразу несколько сертификатов (мандатов), каждый из которых дает ему право выполнять те или иные действия в системе
Мандат обязательно содержит информацию о полномочиях владельца
Для чего устанавливают время действия ключа:
Время действия полномочий пользователя конечно
Чем меньше действует ключ тем меньше вероятность, что он попадет к злоумышленнику
Если ключ взломан незаметно для системы, то связанные с этим потери прекратятся после обновления ключа

отзыва сертификата

УЦ публикует и обновляет список отозванных сертификатов [Certificate Revocation List, CRL]
Список сертификатов, утративших силу ранее окончания своего срока действия
Пример 1: использовавшийся закрытый ключ оказался слит в открытый доступ
Пример 2: сотрудник получил сертификат для доступа к корпоративной VPN со сроком действия год, а через три месяца уволился
Альтернатива 1: протокол состояния сертификата [Online Certificate Status Protocol, OCSP] - CRL не рассылается, а хранится в УЦ; при получении сертификата Алисы Боб связывается с УЦ и узнает, не отозван ли этот сертификат
Меньше объем трафика, но требуется постоянная связь
Альтернатива 2: использование краткосрочных сертификатов
Срок действия: несколько минут или часов
Предполагается, что за это время с ними ничего не случится
Подходит далеко не для всех приложений

отзыва сертификата

Нужно ли Алисе и Бобу поддерживать постоянную связь с УЦ?
Вариант 1 «идеальная система» (отзыва сертификатов не происходит) – постоянная связь с УЦ не требуется, достаточно один раз скачать ОК УЦ, а потом проверять подписанные им сертификаты, присланные собеседником
Вариант 2 «идеальный злоумышленник» - при проверке сертификата Алисы Боб должен связываться с УЦ, чтобы проверить отсутствие ключа Алисы в CRL онлайн (т.е. де факто переход на OCSP)
Частый практический вариант - Боб хранит и периодически обновляет офлайн-копию CRL, чтобы иметь возможность проверять сертификаты без связи с УЦ
Частота обновления и действия, допустимые без связи с УЦ, определяются рисками, возникающими при работе конкретного приложения

сертификаты

Сертификат, у которого подписывающий и подписываемый ключи совпадают (т.е. «сам себе выдал»)
Используется не для удостоверения пользователя, а для представления сведений о ключе в формате, принятом в рамках данной PKI
Частные случаи использования:
отладка системы
хранение ключа корневого УЦ
подключение рядового пользователя к общедоступным сервисам
Перед истечением срока действия очередного сертификата сначала старым ключом подписывают новый, затем выпускают самоподписанный сертификат нового ключа
либо подписывают новый сертификат и старым, и новым ключами

SSL, TLS, https = http + (SSL или TLS)

(EC)DH – алгоритм Диффи-Хеллмана (на эллиптических кривых)