RaSol: Protocoale de distribuire a cheilor

Tuesday, January 10, 2006

Protocoale de distribuire a cheilor

cadrul de lucru: protocol
un algoritm ce specifica pasii prin care doua sau mai multe entitati conclucreaza pentru atingerea unui obiectiv

distribuirea cheilor
un protocol prin care un secret partajat devine disponibil partilor spre uz criptografic viitor

multe dintre protocoalele de distribuire a cheilor implica existenta unei entitati centrale sau a unei entitati de incredere. Aceasta entitate se poate intalni sub diferite denumiri
trusted third party

trusted server

authentication server

key distribution center (KDC)

key translation center (KTC)

certification authority (CA)

transportul cheilor
un protocol prin care partile creeaza sau obtin un secret pe care il transfera intr-un mod sigur intre ele

acordul asupra cheilor
un protocol prin care partile deduc un secret partajat in baza informatiilor asociate fiecarei parti ai nici una dintre parti nu poate prezice rezultatul

schema de predistribuire a cheilor
un caz particular de distribuire a cheilor in care cheile sunt determinate a priori din informatia asociata partilor

distribuirea dinamica a cheilor
un caz particular de distribuire a cheilor in care cheile variaza de la o sesiune la alta

autentificarea cheii
o entitate se asigura ca nici o alta entitate in afara entitatii/entitatilor identificate nu are acces la o anumita cheie secreta

confirmarea cheii
o entitate se asigura ca o alta entitate (posibil neidentificata) este in posesia unei anumite chei secrete

autentificarea explicita a cheii
sunt simultan valabile autentificarea cheii si confirmarea cheii

distribuirea cheii autentificate
un protocol care asigura autentificarea cheii

distribuirea cheilor bazata pe identitate
un protocol de distribuire a cheilor in care informatia de identificare a entitatii se foloseste drept cheie publica

distribuirea independenta de mesaj a cheilor
un protocol de distribuire a cheilor in care sunt implicate doar doua entitati si in care mesajele schimbate intre acestea nu depind de informatia de sesiune

caracteristici ale protocoalelor de distribuire a cheilor

natura autentificarii
o combinatie a urmatoarelor

autentificarea entitatii

autentificarea cheii

confirmarea cheii

reciprocitatea autentificarii
fiecare dintre autentificarile de mai sus pot fi unilaterale sau mutuale

prospetimea cheii
din punctul de vedere al unei entitati o cheie proaspata este o cheie ce nu a mai fost utilizata

controlul cheii

o entitate alege o cheie

cheia este derivata din informatioa asociata partilor si nici o parte nu poate o poate prevedea

eficienta

numarul de mesaje schimbate intre parti

latimea de banda necesara

complexitatea calculelor

posibilitatea de a face calcule off-line

cerinte privitoare la o terta parte

existenta, on-line sau off-line sau inexistenta unei terte parti

gradul de incredere cerut unei terte parti

tipul de certificat utilizat daca este cazul
maniera de distributie a informatiei initiale

nonrepudierea
un protocol trebuie sa asigure o confirmare a primirii cheii

atac pasiv
atacul realizat de catre un adversar care inregistreaza traficul si apoi incearca analiza

atac activ
atacul realizat de catre un adversar ce modifica sau injecteaza mesaje

confidentialitate perfecta inainte
se spune despre un protocol ca are aceasta proprietate daca compromiterea cheilor de lunga durata nu duce la compromiterea cheilor din sesiunile din trecut

vulnerabil la atac cu cheie cunoscuta
se spune despre un protocol ca are aceasta proprietate daca compromiterea cheilor de sesiune din trecut permite unui adversar activ sa compromita cheile de sesiune din viitor sau impersonalizarea in viitor realizata de catre un adversar activ
protocol: un algoritm ce specifica pasii prin care doua sau mai multe entitati conclucreaza pentru atingerea unui obiectiv
distribuirea cheilor: un protocol prin care un secret partajat devine disponibil partilor spre uz criptografic viitor
transportul cheilor: un protocol prin care partile creeaza sau obtin un secret pe care il transfera intr-un mod sigur intre ele
acordul asupra cheilor: un protocol prin care partile deduc un secret partajat in baza informatiilor asociate fiecarei parti ai nici una dintre parti nu poate prezice rezultatul
schema de predistribuire a cheilor: un caz particular de distribuire a cheilor in care cheile sunt determinate a priori din informatia asociata partilor
distribuirea dinamica a cheilor: un caz particular de distribuire a cheilor in care cheile variaza de la o sesiune la alta
autentificarea cheii: o entitate se asigura ca nici o alta entitate in afara entitatii/entitatilor identificate nu are acces la o anumita cheie secreta
confirmarea cheii: o entitate se asigura ca o alta entitate (posibil neidentificata) este in posesia unei anumite chei secrete
autentificarea explicita a cheii: sunt simultan valabile autentificarea cheii si confirmarea cheii
distribuirea cheii autentificate: un protocol care asigura autentificarea cheii
distribuirea cheilor bazata pe identitate: un protocol de distribuire a cheilor in care informatia de identificare a entitatii se foloseste drept cheie publica
distribuirea independenta de mesaj a cheilor: un protocol de distribuire a cheilor in care sunt implicate doar doua entitati si in care mesajele schimbate intre acestea nu depind de informatia de sesiune
caracteristici ale protocoalelor de distribuire a cheilor: natura autentificarii
o combinatie a urmatoarelor

autentificarea entitatii

autentificarea cheii

confirmarea cheii

reciprocitatea autentificarii
fiecare dintre autentificarile de mai sus pot fi unilaterale sau mutuale

prospetimea cheii
din punctul de vedere al unei entitati o cheie proaspata este o cheie ce nu a mai fost utilizata

controlul cheii

o entitate alege o cheie

cheia este derivata din informatioa asociata partilor si nici o parte nu poate o poate prevedea

eficienta

numarul de mesaje schimbate intre parti

latimea de banda necesara

complexitatea calculelor

posibilitatea de a face calcule off-line

cerinte privitoare la o terta parte

existenta, on-line sau off-line sau inexistenta unei terte parti

gradul de incredere cerut unei terte parti

tipul de certificat utilizat daca este cazul
maniera de distributie a informatiei initiale

nonrepudierea
un protocol trebuie sa asigure o confirmare a primirii cheii
natura autentificarii: o combinatie a urmatoarelor

autentificarea entitatii

autentificarea cheii

confirmarea cheii
reciprocitatea autentificarii: fiecare dintre autentificarile de mai sus pot fi unilaterale sau mutuale
prospetimea cheii: din punctul de vedere al unei entitati o cheie proaspata este o cheie ce nu a mai fost utilizata
controlul cheii: o entitate alege o cheie

cheia este derivata din informatioa asociata partilor si nici o parte nu poate o poate prevedea
eficienta: numarul de mesaje schimbate intre parti

latimea de banda necesara

complexitatea calculelor

posibilitatea de a face calcule off-line
cerinte privitoare la o terta parte: existenta, on-line sau off-line sau inexistenta unei terte parti

gradul de incredere cerut unei terte parti
tipul de certificat utilizat daca este cazul: maniera de distributie a informatiei initiale
nonrepudierea: un protocol trebuie sa asigure o confirmare a primirii cheii
atac pasiv: atacul realizat de catre un adversar care inregistreaza traficul si apoi incearca analiza
atac activ: atacul realizat de catre un adversar ce modifica sau injecteaza mesaje
confidentialitate perfecta inainte: se spune despre un protocol ca are aceasta proprietate daca compromiterea cheilor de lunga durata nu duce la compromiterea cheilor din sesiunile din trecut
vulnerabil la atac cu cheie cunoscuta: se spune despre un protocol ca are aceasta proprietate daca compromiterea cheilor de sesiune din trecut permite unui adversar activ sa compromita cheile de sesiune din viitor sau impersonalizarea in viitor realizata de catre un adversar activ
distribuire prin criptare si tehnici simetrice: transportul cheilor prin criptare simetrica

derivarea si transportul cheilor in lipsa unui server

actualizarea punct-la-punct a cheii prin criptare simetrica

actualizarea punct-la-punct a cheii prin prin derivarea cheii si functii neinversabile

transportul cheii fara chei partajate initiale

Kerberos si protocoale cu server

protocolul de autentificare Kerberos

sunt implicate trei entitati: A(client), B(server si verificator) si T(server de autentificare Kerberos)
initial A si B nu partajeaza nici un secret in timp ce T partajeaza cate un secret cu fiecare
scopul lui B este acela de a verifica identitatea lui A si ca efect colateral, stabilirea unei chei partajate
optional A si B se autentifica reciproc si stabilesc o cheie secreta care nu este cunoscuta de T
A cere lui T referinte care sa-i permita sa se autentifice fata de B
T returneaza lui A o cheie de sesiune criptata pentru A si un tichet criptat pentru B
A transmite lui B tichetul si identitatea lui A
A se autentifica fata de B print-un mesaj, ce contine un marcaj de timp, criptat cu cheia de sesiune

E este un algoritm de criptare simetrica

N_A este o informatie aleasa de A; T_A este un marcaj de timp dedus din ceasul local al lui A

L este durata de validitate

A si T partajeaza cheia K_AT iar B si T partajeaza cheia K_BT; tichet_B = E_{K_BT}(k, A, L); autentificator = E_k(A, T_A, A_subcheie)

mesaje
A → T: A, B, N_A

A ← T: tichet_B, E_{K_AT}(k, N_A, L, B)

A → B: tichet_B, autentificator

A ← B: E_k(T_A, B_subcheie)

actiunile
A genereaza informatia N_A si trimite lui T mesajul

T genereaza o cheie de sesiuen k, defineste o perioada de validitate, L, a tichetului (timp de expirare, optional timp de incepere); cripteaza cheia, informatia primita de la A, durata de validitate si identitatea lui B utilizand cheia lui A; T creeaza un tichet criptat cu cheia lui B ce contine cheia,k, identitatea lui A si durata de validitate; ambele sunt transmise lui A

A decripteaza partea de mesaj ce-i este adresata si recupreaza cheia, k, informatia transmisa initial, N_A, durata de validitate, L si identitatea lui B; A verifica ca identitatea lui B si informatia, N_A sunt cele transmisie initila lui T si salveaza L; T cripteaza propria identitate, un marcaj de timp si optional un secret, A_subcheie utilizand cheia de sesiune si transmite lui B

B decripteaza tichetul utilizand cheia, K_BT si recupreaza cheia de sesiuen, k pe care o foloseste pentru decriptarea autentificatorului si verifica

ca identitatea lui A din tichet si din autentificator corespunf

daca marcajul de timp din autentificator este valid

daca timpul local propriu este in intervalul specificat prin L

(optional autentificare mutuala) B cripteaza marcajul de timp al lui A si o subcheie (care sa permita o negociere ulterioara a unei subcehi de sesiune) cu cheia de sesiune, k, si trimite lui A

A decripteza si recupereaza subcheia lui B, daca marcajul de timp corespunde

protocolul cu chei partajate Needham-Schroeder

protocolul Otway-Rees

acordul asupra cheilor prin tehnici simetrice

sistem de distribuire chei (KDS - key distribution system) este o metoda prin care, in timpul unei perioade de initializare, un server de incredere genereaza si distribuie date secrete utilizatorilor ai orice pereche de utilizatori poate sa calculeze o cheie partajata, necunoscuta altor utilizatori, exceptie facand serverul
pentru o pereche de chei fixate, KDS este o scheme de predistributie

KDS j-sigur pentru o pereche de utilizatori, orice coalitie de j sau mai putin utilizatori ce partajeaza datele proprii nu pot calcula cheia partajata de perechea initiala mai bine decat simpla ghicire

limita Blom pentru KDS intr-un KDS j-sigur ce asigura perechi de chei pe m biti, datele secrete stocate de catre fiecare utilizator trebuie sa aiba cel putin m(j+1) biti

sistemul simetric Blom de predistribuire a cheii
transportul cheilor prin criptare simetrica: derivarea si transportul cheilor in lipsa unui server

actualizarea punct-la-punct a cheii prin criptare simetrica

actualizarea punct-la-punct a cheii prin prin derivarea cheii si functii neinversabile

transportul cheii fara chei partajate initiale

Kerberos si protocoale cu server

protocolul de autentificare Kerberos

sunt implicate trei entitati: A(client), B(server si verificator) si T(server de autentificare Kerberos)
initial A si B nu partajeaza nici un secret in timp ce T partajeaza cate un secret cu fiecare
scopul lui B este acela de a verifica identitatea lui A si ca efect colateral, stabilirea unei chei partajate
optional A si B se autentifica reciproc si stabilesc o cheie secreta care nu este cunoscuta de T
A cere lui T referinte care sa-i permita sa se autentifice fata de B
T returneaza lui A o cheie de sesiune criptata pentru A si un tichet criptat pentru B
A transmite lui B tichetul si identitatea lui A
A se autentifica fata de B print-un mesaj, ce contine un marcaj de timp, criptat cu cheia de sesiune

E este un algoritm de criptare simetrica

N_A este o informatie aleasa de A; T_A este un marcaj de timp dedus din ceasul local al lui A

L este durata de validitate

A si T partajeaza cheia K_AT iar B si T partajeaza cheia K_BT; tichet_B = E_{K_BT}(k, A, L); autentificator = E_k(A, T_A, A_subcheie)

mesaje
A → T: A, B, N_A

A ← T: tichet_B, E_{K_AT}(k, N_A, L, B)

A → B: tichet_B, autentificator

A ← B: E_k(T_A, B_subcheie)

actiunile
A genereaza informatia N_A si trimite lui T mesajul

T genereaza o cheie de sesiuen k, defineste o perioada de validitate, L, a tichetului (timp de expirare, optional timp de incepere); cripteaza cheia, informatia primita de la A, durata de validitate si identitatea lui B utilizand cheia lui A; T creeaza un tichet criptat cu cheia lui B ce contine cheia,k, identitatea lui A si durata de validitate; ambele sunt transmise lui A

A decripteaza partea de mesaj ce-i este adresata si recupreaza cheia, k, informatia transmisa initial, N_A, durata de validitate, L si identitatea lui B; A verifica ca identitatea lui B si informatia, N_A sunt cele transmisie initila lui T si salveaza L; T cripteaza propria identitate, un marcaj de timp si optional un secret, A_subcheie utilizand cheia de sesiune si transmite lui B

B decripteaza tichetul utilizand cheia, K_BT si recupreaza cheia de sesiuen, k pe care o foloseste pentru decriptarea autentificatorului si verifica

ca identitatea lui A din tichet si din autentificator corespunf

daca marcajul de timp din autentificator este valid

daca timpul local propriu este in intervalul specificat prin L

(optional autentificare mutuala) B cripteaza marcajul de timp al lui A si o subcheie (care sa permita o negociere ulterioara a unei subcehi de sesiune) cu cheia de sesiune, k, si trimite lui A

A decripteza si recupereaza subcheia lui B, daca marcajul de timp corespunde

protocolul cu chei partajate Needham-Schroeder

protocolul Otway-Rees
acordul asupra cheilor prin tehnici simetrice: sistem de distribuire chei (KDS - key distribution system) este o metoda prin care, in timpul unei perioade de initializare, un server de incredere genereaza si distribuie date secrete utilizatorilor ai orice pereche de utilizatori poate sa calculeze o cheie partajata, necunoscuta altor utilizatori, exceptie facand serverul
pentru o pereche de chei fixate, KDS este o scheme de predistributie

KDS j-sigur pentru o pereche de utilizatori, orice coalitie de j sau mai putin utilizatori ce partajeaza datele proprii nu pot calcula cheia partajata de perechea initiala mai bine decat simpla ghicire

limita Blom pentru KDS intr-un KDS j-sigur ce asigura perechi de chei pe m biti, datele secrete stocate de catre fiecare utilizator trebuie sa aiba cel putin m(j+1) biti

sistemul simetric Blom de predistribuire a cheii
distribuire prin criptare si tehnici asimetrice: transportul cheilor prin criptare cu cheie publica

protocoale fara semnaturi

Needham-Schroeder cu cheie publica

protocoale cu semnaturi

criptarea cheilor semnate

criptare si semnare separat

semnarea cheilor criptate

protocoale de autentificare X.509

este in categoria protocoalelor cu semneaza cheile criptate; recomandarea defineste protocoale de autentificare "strong two-way" si "strong three-way" (cu doua si trei treceri) cu autentificarea mutuala a entitatilor si transportul optional al cheilor, cu marcaje de timp si intrebare-raspuns ai sa raspunda urmatoarelor cerinte:

inf. criptografice primite de entitatea B au fost construite de catre entitatea A, care nu le poate altera ulterior

inf. criptografice primite de entitatea B sunt destinate lui B

inf. criptografice primite de entitatea B sunt proaspete

secretul mutual al cheilor transferate

protocol cu doua treceri
A trimite lui B un mesaj si B raspunde cu un mesaj
in caz de reusita, ambele entitati sunt mutual autentificate si se face transportul cheilor autentificate
Notatie

P_A(x) este rezultatul aplicarii cheii publice a lui A la datele x

S_A(x) este rezultatul aplicarii cheii private de semnare a lui A la datele x

r_A si r_B sunt numere ce nu se refolosesc

cert_A este un certificat ce asociaza entitatea A la o cheie publica adecvata atat pentru criptare cat si pentru verificarea semnaturii

initializarea sistemului

fiecare entitate are propria pereche de chei pentru criptare si semnare

entitatea A trebuie sa obtina si sa autentifice cheia publica de criptare a lui B

mesajele protocolului
fie D_A = (t_A, r_A, B, date₁, P_B(k₁)) si D_B = (t_b, r_B, A, r_A, date₂, P_A(k₂))

A → B: cert_A, D_A, S_A(D_A)

A ← B: cert_B, D_B, S_B(D_B)

actiunile

A obtine marcajul de timp t_A care indica timpul de expirare, genereaza r_A si optional cheia simetrica k₁; date₁ sunt date optionale pentru care se doreste autentificarea originii

B verifica autenticitatea lui cert_A, extrage cheia publica de semnare a lui A si verifica semnatura lui A pe blocul D_A; B verifica ca el este destinatarul mesajului, ca marcajul de timp este valid si ca r_A nu a fost inlocuit (r_A contime o secventa pe care B o compara cu o informatie de stare locala in ceea ce priveste unicitatea pentru intervalul de validitate definit prin t_A)

daca verificarile au succes B dautentifica pe A, decripteaza k₁ utilizand propria cheie privata si o salveaza; A este autentificat
daca se doreste autentificare mutuala, B obtine t_B, genereaza r_B si trimite lui A un mesaj similar

A parcurge aceeasi secventa de actiuni; A si B sunt mutual autentificate; A si B partajeaza sceretele mutual k₁ si k₂

se foloseste aceeasi pereche de chei pentru semnare si criptare; deoarece nu se folosesc identificatori, D_A = D_A (... P_B(...) ...) nu exista garantia ca entitatatea care semneaza, SA(DA) este sursa

protocol cu trei treceri
A si B schimba 3 mesaje; protocolul difera de cel anterior dupa cum urmeaza:
marcajele de timp t_A si t_B sunt setate la zero si nu se verifica

A verifica ca r_A este acelasi ca in primul mesaj

A trimite un al treilea mesaj catre B
A → B: (r_B, B), S_A(r_B, B)

B verifica semnatura cu mesajul in clar, corectitudinea identitatii B si ca r_B este acelasi cu cel initial

protocoale hibride
aceste protocoale aplica o criptare simetrica peste criptarea cu cheie publica si peste semnatura
protocolul Beller-Yacobi
asigura autentificarea mutuala a entitatilor si autentificarea explicita a cheii
a fost prioectat pentru aplicatiile in care exista un dezchilibru intre puterile de calcul ale celor doua parti pentru a minimiza cerintele de putere de calcul ale partii mai slabe; identitatea partii mai slabe ramane ascunsa adversarului
fie A entitatea mai slaba si B entitatea mai puternica; A se autentifica lui B prim semnarea unei intraberi in timp ce B se autentifica lui A demonstrand cunoasterea unei chei pe care numai B insusi o poate recupera

acordul asupra cheilor prin tehnici asimetrice

Diffie-Helllman si protocoale inrudite

acordul Diffie-Hellman asupra cheilor
a fost prima solutie practica la problema distributiei cheilor care a permis celor doua parti sa partajeze un secret fara a cunoaste a priori o alta informatie, pe un canal deschis
A si B trimit cate un mesaj peste un canal deschis, la final A si B partajeaza secretul K
pas premergator, o singura data
se selecteaza un numar prim p si un generator α al lui Z_p^* si se publica

mesaje

A → B: α^x mod p

A ← B: α^y mod p

actiuni

A selecteaza aleator un secret x, 1 ≦ x ≦ p-2 si trimite lui B

B selecteaza aleator un secret x, 1 ≦ x ≦ p-2 si trimite lui A

B calculeaza K = (α^x)^y mod p

A calculeaza K = (α^y)^x mod p

acordul ElGamal intr-o singura trecere

protocoale MTI cu doua treceri

protocolul STS (Station-to-Station)

Chei publice certificate implicit

Gunther

Girault

Protocoale Diffie-Hellman cu chei certificate implicit
transportul cheilor prin criptare cu cheie publica: protocoale fara semnaturi

Needham-Schroeder cu cheie publica

protocoale cu semnaturi

criptarea cheilor semnate

criptare si semnare separat

semnarea cheilor criptate

protocoale de autentificare X.509

este in categoria protocoalelor cu semneaza cheile criptate; recomandarea defineste protocoale de autentificare "strong two-way" si "strong three-way" (cu doua si trei treceri) cu autentificarea mutuala a entitatilor si transportul optional al cheilor, cu marcaje de timp si intrebare-raspuns ai sa raspunda urmatoarelor cerinte:

inf. criptografice primite de entitatea B au fost construite de catre entitatea A, care nu le poate altera ulterior

inf. criptografice primite de entitatea B sunt destinate lui B

inf. criptografice primite de entitatea B sunt proaspete

secretul mutual al cheilor transferate

protocol cu doua treceri
A trimite lui B un mesaj si B raspunde cu un mesaj
in caz de reusita, ambele entitati sunt mutual autentificate si se face transportul cheilor autentificate
Notatie

P_A(x) este rezultatul aplicarii cheii publice a lui A la datele x

S_A(x) este rezultatul aplicarii cheii private de semnare a lui A la datele x

r_A si r_B sunt numere ce nu se refolosesc

cert_A este un certificat ce asociaza entitatea A la o cheie publica adecvata atat pentru criptare cat si pentru verificarea semnaturii

initializarea sistemului

fiecare entitate are propria pereche de chei pentru criptare si semnare

entitatea A trebuie sa obtina si sa autentifice cheia publica de criptare a lui B

mesajele protocolului
fie D_A = (t_A, r_A, B, date₁, P_B(k₁)) si D_B = (t_b, r_B, A, r_A, date₂, P_A(k₂))

A → B: cert_A, D_A, S_A(D_A)

A ← B: cert_B, D_B, S_B(D_B)

actiunile

A obtine marcajul de timp t_A care indica timpul de expirare, genereaza r_A si optional cheia simetrica k₁; date₁ sunt date optionale pentru care se doreste autentificarea originii

B verifica autenticitatea lui cert_A, extrage cheia publica de semnare a lui A si verifica semnatura lui A pe blocul D_A; B verifica ca el este destinatarul mesajului, ca marcajul de timp este valid si ca r_A nu a fost inlocuit (r_A contime o secventa pe care B o compara cu o informatie de stare locala in ceea ce priveste unicitatea pentru intervalul de validitate definit prin t_A)

daca verificarile au succes B dautentifica pe A, decripteaza k₁ utilizand propria cheie privata si o salveaza; A este autentificat
daca se doreste autentificare mutuala, B obtine t_B, genereaza r_B si trimite lui A un mesaj similar

A parcurge aceeasi secventa de actiuni; A si B sunt mutual autentificate; A si B partajeaza sceretele mutual k₁ si k₂

se foloseste aceeasi pereche de chei pentru semnare si criptare; deoarece nu se folosesc identificatori, D_A = D_A (... P_B(...) ...) nu exista garantia ca entitatatea care semneaza, SA(DA) este sursa

protocol cu trei treceri
A si B schimba 3 mesaje; protocolul difera de cel anterior dupa cum urmeaza:
marcajele de timp t_A si t_B sunt setate la zero si nu se verifica

A verifica ca r_A este acelasi ca in primul mesaj

A trimite un al treilea mesaj catre B
A → B: (r_B, B), S_A(r_B, B)

B verifica semnatura cu mesajul in clar, corectitudinea identitatii B si ca r_B este acelasi cu cel initial

protocoale hibride
aceste protocoale aplica o criptare simetrica peste criptarea cu cheie publica si peste semnatura
protocolul Beller-Yacobi
asigura autentificarea mutuala a entitatilor si autentificarea explicita a cheii
a fost prioectat pentru aplicatiile in care exista un dezchilibru intre puterile de calcul ale celor doua parti pentru a minimiza cerintele de putere de calcul ale partii mai slabe; identitatea partii mai slabe ramane ascunsa adversarului
fie A entitatea mai slaba si B entitatea mai puternica; A se autentifica lui B prim semnarea unei intraberi in timp ce B se autentifica lui A demonstrand cunoasterea unei chei pe care numai B insusi o poate recupera
acordul asupra cheilor prin tehnici asimetrice: Diffie-Helllman si protocoale inrudite

acordul Diffie-Hellman asupra cheilor
a fost prima solutie practica la problema distributiei cheilor care a permis celor doua parti sa partajeze un secret fara a cunoaste a priori o alta informatie, pe un canal deschis
A si B trimit cate un mesaj peste un canal deschis, la final A si B partajeaza secretul K
pas premergator, o singura data
se selecteaza un numar prim p si un generator α al lui Z_p^* si se publica

mesaje

A → B: α^x mod p

A ← B: α^y mod p

actiuni

A selecteaza aleator un secret x, 1 ≦ x ≦ p-2 si trimite lui B

B selecteaza aleator un secret x, 1 ≦ x ≦ p-2 si trimite lui A

B calculeaza K = (α^x)^y mod p

A calculeaza K = (α^y)^x mod p

acordul ElGamal intr-o singura trecere

protocoale MTI cu doua treceri

protocolul STS (Station-to-Station)

Chei publice certificate implicit

Gunther

Girault

Protocoale Diffie-Hellman cu chei certificate implicit

# posted by Sorin Badescu @ 12:56 PM

Comments: Post a Comment

<< Home

RaSol

Tuesday, January 10, 2006

Protocoale de distribuire a cheilor

About Me

Links

archives