WikiSort.ru - Не сортированное

Обозначения

Для описания протокола используются следующие обозначения:

• ${\displaystyle PKE_{A}(arg)}$ — шифрование сообщения ${\displaystyle arg}$ с открытым ключом, принадлежащим стороне A;
• ${\displaystyle H(arg)}$ — вычисление криптографической хеш-функции с аргументом ${\displaystyle arg}$ ;
• ${\displaystyle F_{K}}$ — псевдослучайная функция с ключом ${\displaystyle K}$ , результат вычисления которой нельзя предсказать без знания ключа;
• ${\displaystyle id_{A},id_{B}}$ — идентификаторы сторон A и B соответственно;
• ${\displaystyle g,p}$ — генератор и модуль соответственно, используемые в протоколе Диффи — Хеллмана.

Базовый режим

Первый этап

Во время первого этапа стороны A и B получают эфемерный ключ ${\displaystyle K_{0}}$ , зная открытые ключи друг-друга ^[7]. Для этого они обмениваются «половинками ключа», зашифрованными открытыми ключами друг-друга, а затем комбинируют «половинки» при помощи хеш-функции.

${\displaystyle A\longrightarrow B\colon PKE_{B}(K_{A})}$ ${\displaystyle B\longrightarrow A\colon PKE_{A}(K_{B})}$ ${\displaystyle K_{0}=H(K_{A},K_{B})}$

Значения ${\displaystyle K_{A}}$ и ${\displaystyle K_{B}}$ должны быть выбраны случайным образом^[8]. Если сторона A следует протоколу, то она может быть уверена в том, что эфемерный ключ ${\displaystyle K_{0}}$ неизвестен никому, кроме B. Аналогично, сторона B может быть уверена в том, что эфемерный ключ не знает никто, кроме A^[9].

Второй этап

На втором этапе стороны используют протокол Диффи — Хеллмана^[10]. Сторона А выбирает случайное число ${\displaystyle x}$ и вычисляет значение ${\displaystyle g^{x}{\bmod {p}}}$ . Сторона B выбирает случайное число ${\displaystyle y}$ и вычисляет значение ${\displaystyle g^{y}{\bmod {p}}}$ . После этого, стороны обмениваются вычисленными значениями.

${\displaystyle A\longrightarrow B\colon g^{x}{\pmod {p}}}$ ${\displaystyle B\longrightarrow A\colon g^{y}{\pmod {p}}}$

Третий этап

На третьем этапе происходит аутентификация ${\displaystyle g^{x}}$ и ${\displaystyle g^{y}}$ , переданных во время второго этапа, с использованием эфемерного ключа ${\displaystyle K_{0}}$ , полученного на первом этапе.

${\displaystyle A\longrightarrow B\colon F_{K_{0}}(g^{y},g^{x},id_{A},id_{B})}$ ${\displaystyle B\longrightarrow A\colon F_{K_{0}}(g^{x},g^{y},id_{B},id_{A})}$

Включение ${\displaystyle g^{x}}$ в первое сообщение позволяет стороне B убедиться в том, что значение ${\displaystyle g^{x}}$ на втором этапе было действительно передано стороной A^[11]. Значение ${\displaystyle g^{y}}$ в этом же сообщении позволяет B защититься от атаки повторного воспроизведения^[12].

SKEME без PFS

Режим SKEME без PFS предоставляет возможность обмена ключами без вычислительных затрат, необходимых для обеспечения PFS ^[14]. Для этого на втором этапе вместо значений ${\displaystyle g^{x}}$ и ${\displaystyle g^{y}}$ , стороны посылают друг-другу случайные числа ${\displaystyle nonce_{A}}$ и ${\displaystyle nonce_{B}}$ .

${\displaystyle A\longrightarrow B\colon nonce_{A}}$

${\displaystyle B\longrightarrow A\colon nonce_{B}}$

Третий этап тоже модифицируется. Аргументы функции ${\displaystyle F_{K_{0}}}$ меняются с ${\displaystyle g^{x}}$ и ${\displaystyle g^{y}}$ на ${\displaystyle nonce_{A}}$ и ${\displaystyle nonce_{B}}$ соответственно.

${\displaystyle A\longrightarrow B\colon F_{K_{0}}(nonce_{B},nonce_{A},id_{A},id_{B})}$

${\displaystyle B\longrightarrow A\colon F_{K_{0}}(nonce_{A},nonce_{B},id_{B},id_{A})}$

Данная модификация второго и третьего этапа позволяет сторонам убедиться в том, что ключ ${\displaystyle K_{0}}$ , полученный на первом этапе, известен обеим сторонам. ^[15].

Результатом выполнения протокола в данном режиме является сессионный ключ, вычисляемый как ${\displaystyle SK=F_{K_{0}}(arg)}$ , где ${\displaystyle arg=F_{K_{0}}(nonce_{B},nonce_{A},id_{A},id_{B})}$ ^[16].

Pre-shared key и PFS

В данном режиме предполагается, что сторонам уже известен секретный ключ (например, ключ задан вручную), и они используют этот ключ для того, чтобы получить новый сессионный ключ ^[17]. В этом режиме первый этап можно пропустить и использовать секретный ключ вместо ${\displaystyle K_{0}}$ . В этом режиме обеспечивается perfect forward secrecy ^[18].

Сессионный ключ в данном режиме вычисляется так же, как в базовом ^[19].

Fast Re-Key

Fast Re-Key — самый быстрый режим протокола SKEME ^[20]. Этот режим позволяет часто обновлять ключ без вычислительных затрат на асимметричное шифрование и на использование протокола Диффи — Хеллмана ^[21].

В этом режиме предполагается, что ключ ${\displaystyle K_{0}}$ известен сторонам с предыдущего раунда протокола. Первый этап пропускается, а второй и третий этап, а также вычисление сессионного ключа выполняются так же, как в режиме SKEME без PFS ^[22].