Аутентификация с применением сертификатов открытых ключей

Раздел книги "Информационная безопасность и смарт-карты" (в авторском варианте). © Константин Мытник, Сергей Панасенко, 2018

Аутентификация на основе сертификатов открытых ключей изначально была одной из основных целей при создании инфраструктуры открытых ключей [35] (PKI была подробно описана в разделе 6.3.2).
С использованием PKI могут создаваться различные протоколы аутентификации, основанные на применении асимметричной криптографии. В качестве примеров протоколов аутентификации, основанных на применении сертификатов открытых ключей, Брюс Шнайер в [76] приводит три описанных далее протокола.
Протокол № 1 позволяет пользователю B аутентифицировать пользователя A (здесь и далее под словом «пользователь» будем подразумевать любой субъект аутентификации, например, компьютер, приложение или какой-либо другой компонент распределенной информационной системы). Он включает в себя выполнение следующих действий:

1. Пользователь A генерирует случайное число R_A и создает следующее сообщение:

M_A = (T_A, R_A, I_B, d_A),

где:

• T_A – метка времени пользователя A;
• I_B – идентификатор пользователя B;
• d_A – произвольные данные, назначение и интепретация которых могут зависеть от системы, использующей данный протокол аутентификации; при необходимости, данные d_A могут быть зашифрованы на открытом ключе пользователя B – E_B (предполагается, что пользователь A заранее проверил валидность сертификата пользователя B (C_B) и извлек из него E_B).

2. На основе сообщения M_A пользователь A формирует и отправляет пользователю B сообщение следующего вида:

(C_A, D_A(M_A)),

где:

• C_A – сертификат пользователя A;
• D_A(M_A) – сообщение M_A, подписанное секретным ключом пользователя A – D_A.

3. Пользователь B проверяет валидность сертификата C_A и извлекает из него открытый ключ пользователя A – E_A.
4. С помощью открытого ключа E_A пользователь B проверяет подпись сообщения M_A и убеждается в его целостности.
5. Для завершения аутентификации пользователя A пользователь B выполняет также следующие проверки данных, содержащихся в сообщении M_A:
   • проверяет корректность идентификатора I_B;
   • проверяет метку времени T_A, чтобы убедиться, что сообщение является текущим;
   • проверяет, что значение R_A не использовалось пользователем A раньше.

Таким образом, описанный протокол № 1 позволяет выполнить одностороннюю аутентификацию. Наличие меток времени в протоколе требует обязательной синхронизации системного времени между пользователями A и B (обычно такая синхронизация используется с некоторой заданной заранее точностью).
В протоколе обеспечивается защита от повторов на основе меток времени и случайных чисел. При этом использование случайного числа R_A (и, соответственно, проверка его уникальности пользователем B) выглядит опциональным, поскольку задача защиты от повторов может быть решена только на основе меток времени.
Протокол № 2 является расширением протокола № 1 и позволяет выполнить взаимную аутентификацию пользователей A и B. Первая часть данного протокола полностью аналогична описанному выше протоколу № 1, после чего выполняются следующие действия (практически «симметричные» действиям протокола № 1), позволяющие пользователю A аутентифицировать пользователя B:

6. Пользователь B генерирует случайное число R_B и создает следующее сообщение:

M_B = (T_B, R_B, I_A, R_A, d_B),

где:

• T_B – метка времени пользователя B;
• I_A – идентификатор пользователя A;
• R_A – случайное число пользователя A, сгенерированное и переданное в рамках протокола № 1;
• d_B – произвольные данные, при необходимости могут быть зашифрованы на открытом ключе пользователя A – E_A.

7. Пользователь B посылает пользователю A сообщение M_B, подписанное своим секретным ключом D_B, т. е. D_B(M_B).
8. С помощью открытого ключа E_B пользователь A проверяет подпись сообщения M_B и убеждается в его целостности.
9. Процедура аутентификации завершается выполнением следующих проверок:
   • проверка корректности идентификатора I_A;
   • проверка метки времени T_B, чтобы убедиться, что сообщение от пользователя B также является текущим;
   • дополнительно можно проверить эквивалентность полученного значения R_A отправленному ранее, а также проверить, что значение R_B не использовалось пользователем B раньше.

Протокол № 3 также позволяет выполнить взаимную аутентификацию, но, в отличие от предыдущих, он не требует синхронизации времени участвующих в выполнении протокола пользователей, что является несомненным преимуществом.
Первые этапы данного протокола выполняются аналогично описанному выше протоколу № 2, но метки времени не используются и могут быть, например, обнулены. Дальнейшие шаги протокола № 3 выглядят так:

10. Пользователь A проверяет эквивалентность значения R_A, полученного от пользователя B, значению R_A, отправленному ему в рамках выполнения протокола № 1 (если такая проверка не проводилась на последнем шаге протокола № 2).
11. Пользователь A подписывает полученное от пользователя B случайное число R_B и отправляет D_A(R_B) пользователю B.
12. Пользователь B проверяет подпись полученного от пользователя A случайного числа R_B с помощью открытого ключа пользователя A (E_A) и проверяет, эквивалентно ли это число значению R_B, переданному пользователю A при выполнении действий протокола № 2.

Таким образом обеспечивается защита от атак повтором ранее перехваченных сообщений без использования меток времени.
Схема описанных выше протоколов приведена на рис. 7.2.

Рисунок 7.2. Схема протоколов аутентификации на основе сертификатов открытых ключей

Альтернативный описанному выше протоколу № 3 пример протокола взаимной аутентификации, основанного на использовании сертификатов открытых ключей и также защищенного от атак повтором ранее перехваченных сообщений, приведен в [50]. Фактически он использует те же элементы, что и протокол № 3, но в несколько иной последовательности (рис. 7.3):

1. Пользователь B генерирует случайное число R_B и отправляет его пользователю A.
2. Пользователь A генерирует случайное число R_A, после чего формирует и отправляет пользователю B следующее сообщение:

(C_A, R_A, I_B, D_A(R_A, R_B, I_B)),

где обозначения эквивалентны использованным ранее в данном разделе.

3. Пользователь B проверяет валидность сертификата C_A и извлекает из него открытый ключ пользователя A – E_A.
4. С помощью E_A пользователь B проверяет целостность подписанной части полученного сообщения, после чего проверяет корректность адресата сообщения (I_B) и эквивалентность отправленного и принятого значений R_B.
5. Пользователь B формирует и отправляет пользователю A следующее сообщение:

(C_B, I_A, D_B(R_B, R_A, I_A)).

6. Пользователь A проверяет валидность сертификата C_B и извлекает из него открытый ключ пользователя B – E_B.
7. Затем, используя E_B, пользователь A проверяет целостность подписанного фрагмента сообщения, после чего убеждается в корректности идентификатора I_A и эквивалентности отправленного и принятого значений R_A.

Рисунок 7.3. Альтернативный протокол взаимной аутентификации на основе сертификатов открытых ключей

Аналогично описанному выше соотношению протоколов № 3 и № 1, используя только шаги 1–4 данного протокола, можно получить протокол односторонней аутентификации пользователя A пользователем B.
Кроме того, в [50] описан также протокол односторонней аутентификации с использованием меток времени (рис. 7.4):

1. Проходящий аутентификацию пользователь A формирует и отправляет пользователю B следующее сообщение:

(C_A, T_A, I_B, D_A(T_A, I_B)).

2. Пользователь B проверяет валидность сертификата C_A и извлекает из него открытый ключ пользователя A – E_A.
3. Используя открытый ключ E_A, пользователь B проверяет целостность подписанной части сообщения.
4. После этого пользователь B проверяет корректность полученных данных: идентификатора I_B и метки времени T_A.

Рисунок 7.4. Протокол односторонней аутентификации с использованием меток времени

Аутентификация на основе сертификатов открытых ключей, несомненно, является значительно более надежной по сравнению с рассмотренной ранее парольной аутентификацией. В сочетании с фактом, что такую аутентификацию можно распространить на потенциально неограниченное число пользователей (пользователю достаточно иметь сертификат открытого ключа, цепочка проверки которого приводит к доверенному сертификату), аутентификация на основе механизмов PKI широко и традиционно используется в сети Интернет [4].
В частности, аутентификация на основе сертификатов X.509 является частью протоколов SSL/TLS; она выполняется в момент установления защищенного соединения [120, 155].
Как было сказано выше, на сертификатах открытых ключей может быть основано множество различных протоколов аутентификации. Достоинства и недостатки различных подходов к разработке таких протоколов описаны в документе [211].
В частности, на примере приведенных выше протоколов легко заметить, что защита от повторов, основанная на случайных числах, требует передачи лишних сообщений, тогда как использование меток времени требует синхронизации времени участвующих в аутентификации сторон. Следовательно, данные свойства протоколов влияют на решение об использовании того или иного протокола аутентификации в конкретной информационной системе.