Одноразовые пароли.
Разделяемые списки одноразовых паролей.
Пользователь и система имеют заранее определенную таблицу паролей, которую каждый из них хранит самостоятельно. При выполнении очередного сеанса протокола аутентификации выбирается пользователем и про-веряется системой очередной пароль из этого списка.Последовательно обновляемые одноразовые пароли. Первона-чально пользователь и система имеют только один пароль, условно с номером і. Затем пользователь создает и передает системе пароль под номером г-1, зашифрованный на ключе, вычисленном из г'-го па-роля. Следует заметить, что такой метод затруднительно реализо-вать при ненадежном канале связи (при возможности обрыва связи).
Ъ. Последовательности одноразовых паролей, основанные на однонаправленных функциях. Этот метод наиболее эффективен по отношению к объему передаваемых данных. Примером является протокол Лампорта (табл. 1.10).
Таблица 1.10. Протокол Лампорта аутентификации
по одноразовым паролям Предварительный этап Р V 1. Выбираются: w - секрет пользователя Р, Н - однонаправленная хеш-функция, t - фиксированная константа, определяющая число разрешенных сеансов аугентификации, после чего Р меняет свой секрет.
Вычисляет % ~ Н' (vv) и передает ее Vno секретному аутентичному каналу.
Вычисляет Н' (w) = Н (я (...(Я (w))...)) 1Р= 1 - счетчик для Р Рабочий этап 1 Р II v Для / = 1 Вычисляет VVj = Н' ' (w) либо из
w, либо из промежуточной вели-чины, сохраненной во время вы-числения Н' (и<). Направляет V сообщение [Р, /, wf ],
где / - номер сеанса аутентификации 2 Е ч
VI ?
i=ip,
7
H(wi)=wi_l
.ели да, то ip := ip +1 (увели- ивает счетчик) и сохраняет / для следующего сеанса
Здесь и далее для наглядного отображения операций, состав-ляющих протокол, используются таблицы, состоящие из двух частей, соответствующих предварительному и рабочему этапу протоко-ла. В каждой части таблицы на первой строке перечисляются участ-ники данного этапа протокола.
Далее в столбцах, соответствующих каждому из участников, последовательно отображаются их действия. Целью предварительного этапа является выработка секретной42 Запечников С. В. Криптографические протоколы и их применение
и открытой информации, необходимой участникам на рабочем этапе. В последней строке таблицы, относящейся к предварительному этапу, не разделенной на столбцы, записаны общие для всех участ-ников открытые параметры, выработанные на предварительном этапе (когда они есть). Пересылки сообщений между участниками изо-бражены стрелками. Проверка выполнения равенств и сравнений
? ?
обозначена соответственно знаками = и =.
Предварительный этап выполняется однократно, перед началом применения протокола. Первоначально пользователь имеет секрет w. Однонаправленная функция используется для выработки после-довательности паролей: w,//(u>),//(//(w)),...,//' (w).
Рабочий этап (сеанс аутентификации) выполняется не более t раз для заранее выбранного параметра и Пароль для /-го сеанса прото-кола ил = Я'"' (и>), 1<г одноразовые пароли из этой последовательности.
Протокол Лампорта остается уязвимым для активного против-ника, который перехватывает еще не использовавшийся пароль для целей последующей деперсонификации. Чтобы предотвратить эту атаку, пароль должен сообщаться только той стороне, которая га-рантированно является аутентичной. Для преодоления этой угрозы используются протоколы аутентификации типа «запрос - ответ», которые будут рассмотрены далее.
Проблема синтеза доказуемо стойких протоколов парольной аутентификации до сих пор остается открытой, свидетельством чего является большое количество научных работ по этой тематике, представляемых на международных конференциях по крипто-графии.