2.2.2. Свойства протоколов распределения ключей
(Неявная) аутентификация ключа (implicit key authentication) — свойство, посредством которого один участник протокола убеждает-ся, что никакая другая сторона, кроме специально идентифициро-ванного второго участника протокола (и возможно, центра доверия), не может получить доступ к секретным ключам, полученным в про-токоле.
Разъясним это определение.
Здесь нет гарантий, что второй участник действительно получил доступ к ключу, но никто другой, кроме него, не мог его получить. Неявная аутентификация ключа независима от реального обладания ключом другим участником и не требует каких бы то ни было действий от второй стороны.Протокол аутентичного распределения ключей (authenticated key establishment protocol) ~ это протокол распределения ключей, который обеспечивает аутентификацию ключей в смысле предыдущего определения.
Подтверждение ключа (key confirmation) - свойство, посредст-вом которого один участник протокола убеждается, что другой уча- стник (возможно, неидентифицированный) действительно обладает секретными ключами, полученными в протоколе.
В протоколах применяется четыре способа подтверждения ключа:
вычисление хеш-кода ключа;
использование ключа в хеш-функции с ключом;
шифрование известной величины, используя ключ;
доказательства с нулевым разглашением знания.
Первые три способа, в отличие от последнего, разглашают неко-торую частичную информацию о ключе, но это обычно не имеет практического значения.
Явная аутентификация ключа (explicit key authentication) - свойство, которое выполняется, когда имеют место (неявная) аутен-тификация ключа и подтверждение ключа одновременно. В этом случае известно, что идентифицированная сторона протокола реально обладает специфицированным ключом.
Понятие аутентификации ключа не тождественно понятию ау-тентификации субъекта-участника протокола.
Аутентификация уча-стника в смысле ранее введенных понятий (идентичность стороны и ее «присутствие» в текущий момент времени) требуется далеко не во всех протоколах. Например, известный «классический» протокол обмена ключами Диффи - Хеллмана не обеспечивает ни аутентификацию ключа, ни подтверждение ключа, ни аутентификацию участ-ников протокола.Однако для протокола распределения ключей с аутентификацией участников очень важно, чтобы он гарантировал, что участник, чья идентичность подтверждена посредством аутентификации, был бы тем же самым • участником, с которым выработан общий ключ. В противном случае злоумышленник может позволить легальному участнику пройти аутентификацию, а затем деперсонифицировать его при распределении ключей.
Часто для протоколов распределения ключей желательно также наличие некоторых дополнительных свойств.
Совершенная опережающая секретность (perfect forward secrecy). Протокол обладает свойством совершенной опережающей секретности, если компрометация долговременных ключей не ком-прометирует прошлые сеансовые ключи участников протокола.
Стойкость к атаке по известным ключам (known-key attack). Протокол уязвим к атаке по известным ключам, если компрометация прошлых сеансовых ключей позволяет либо компрометировать будущие сеансовые ключи пассивному противнику, либо деперсони- фицировать протокол в будущем активному противнику. Это аналог атаки по известному открытому тексту (known-plaintext attack) на ал-горитмы шифрования.