Жоңырласу арқылы құпия сөзді растайтын кілт алмасу - Password Authenticated Key Exchange by Juggling

The Жоңырласу арқылы құпия сөзді растайтын кілт алмасу (немесе J-PAKE) - бұл құпия сөзбен расталған кілт келісімі Фенг Хао мен Питер Райан ұсынған хаттама.^[1] Бұл хаттама екі тарапқа жеке және аутентификацияланған байланыс орнатуға тек ортақ (төмен энтропиялық) пароль негізінде, Ашық кілтті инфрақұрылым. Бұл қамтамасыз етеді өзара аутентификация жетіспейтін функция - кілт алмасуға Диффи-Хеллман кілттерімен алмасу хаттама.

Сипаттама

Екі тарап, Алис пен Боб, топ туралы келіседі ${ displaystyle G}$ генератормен ${ displaystyle g}$ бірінші дәрежелі тапсырыс ${ displaystyle q}$ онда журналдың дискретті мәселесі қиын. Әдетте а Шнор тобы қолданылады. Жалпы алғанда, J-PAKE ашық кілт криптографиясы үшін жарамды кез-келген праймерлік топты қолдана алады Эллиптикалық қисық криптографиясы. Келіңіздер ${ displaystyle s}$ пароль немесе пароль хэші бола алатын олардың ортақ (аз энтропиялық) құпиясы болуы керек ( ${ displaystyle s neq 0}$ ). Хаттама екі айналымнан тұрады.

1-тур: Элис таңдайды ${ displaystyle x_ {1} in _ {R} [0, q-1]}$ , ${ displaystyle x_ {2} in _ {R} [1, q-1]}$ жібереді ${ displaystyle g ^ {x_ {1}}}$ , ${ displaystyle g ^ {x_ {2}}}$ бірге Білімнің нөлдік дәлелі (мысалы, көрсетілгендей Schnorr интерактивті емес нөлдік білімді дәлелдеуді қолдану) RFC 8235 ) экспоненттердің дәлелі үшін ${ displaystyle x_ {1}}$ және ${ displaystyle x_ {2}}$ . Сол сияқты, Боб таңдайды ${ displaystyle x_ {3} in _ {R} [0, q-1]}$ , ${ displaystyle x_ {4} in _ {R} [1, q-1]}$ жібереді ${ displaystyle g ^ {x_ {3}}}$ , ${ displaystyle g ^ {x_ {4}}}$ бірге Нөлдік білімнің дәлелі экспоненттердің дәлелі үшін ${ displaystyle x_ {3}}$ және ${ displaystyle x_ {4}}$ . Жоғарыда көрсетілген байланысты бір айналымда аяқтауға болады, өйткені тараптардың ешқайсысы екіншісіне байланысты емес. Аяқтағаннан кейін Алис пен Боб алынғанды растайды Нөлдік білімнің дәлелі тексеріңіз ${ displaystyle g ^ {x_ {2}}, g ^ {x_ {4}} neq 1}$ .

2-тур: Алиса жібереді ${ displaystyle A = g ^ {(x_ {1} + x_ {3} + x_ {4}) x_ {2} s}}$ және а Білімнің нөлдік дәлелі көрсеткіштің дәлелі үшін ${ displaystyle x_ {2} s}$ . (Ескерту: Алиса шынымен жаңа ашық кілтті қолданады ${ displaystyle g ^ {x_ {1} + x_ {3} + x_ {4}}}$ генератор ретінде). Сол сияқты Боб жібереді ${ displaystyle B = g ^ {(x_ {1} + x_ {2} + x_ {3}) x_ {4} s}}$ және а Білімнің нөлдік дәлелі көрсеткіштің дәлелі үшін ${ displaystyle x_ {4} s}$ .

2 турдан кейін Алиса есептеулер жүргізеді ${ displaystyle K = (B / g ^ {x_ {2} x_ {4} s}) ^ {x_ {2}} = g ^ {(x_ {1} + x_ {3}) x_ {2} x_ { 4} с}}$ . Сол сияқты, Боб есептейді ${ displaystyle K = (A / g ^ {x_ {2} x_ {4} s}) ^ {x_ {4}} = g ^ {(x_ {1} + x_ {3}) x_ {2} x_ { 4} с}}$ . Сол кілт материалымен ${ displaystyle K}$ , Алиса және Боб а-ны пайдаланып сеанс кілтін ала алады Криптографиялық хэш функциясы: ${ displaystyle kappa = H (K)}$ .

Екі айналымды J-PAKE протоколы толығымен симметриялы. Бұл қауіпсіздік талдауын айтарлықтай жеңілдетуге көмектеседі. Мысалы, ақпарат алмасу кезінде бір тарап құпия сөз туралы ақпаратты жібермейтіндігі туралы дәлел екінші жаққа симметрияға негізделген болуы керек. Бұл қажетті қауіпсіздік дәлелдерінің санын екі есеге азайтады.

Іс жүзінде J-PAKE-ді үш ағымға енгізу ықтималдығы жоғары, өйткені бір тарап әдетте бастамашылық танытады. Мұны қауіпсіздікті жоғалтпай-ақ жасауға болады. Алиса Бобқа жіберу арқылы байланысты бастайды делік: ${ displaystyle g ^ {x_ {1}}, g ^ {x_ {2}}}$ және нөлдік білімнің дәлелі. Сонда Боб: ${ displaystyle g ^ {x_ {3}}, g ^ {x_ {4}}, B = g ^ {(x_ {1} + x_ {2} + x_ {3}) x_ {4} s}}$ және нөлдік білімнің дәлелі. Соңында, Алиса Бобқа жібереді: ${ displaystyle A = g ^ {(x_ {1} + x_ {3} + x_ {4}) x_ {2} s}}$ және нөлдік білім. Енді екі тарап бірдей сессия кілтін ала алады.

Өтінімнің қажеттілігіне байланысты Элис пен Боб қосымша кілттерді растау қадамын орындай алады. Мұны істеудің бірнеше әдісі бар. Сипатталған қарапайым әдіс АЙТУ келесідей жұмыс істейді: Алиса Бобқа жібереді ${ displaystyle H (H ( kappa))}$ , содан кейін Боб жауап береді ${ displaystyle H ( kappa)}$ .^[2] Сонымен қатар, Элис пен Боб белгілі мәнді (немесе кездейсоқ қиындықты) шифрлау үшін жаңадан құрылған сеанс кілтін қолдану арқылы нақты кілттерді растай алады. EKE, Керберос және Нидхем-Шредер дәл осы әдіс арқылы кілтті нақты растауға тырысу.

Қауіпсіздік қасиеттері

Шнордың интерактивті емес екенін ескере отырып нөлдік білім қауіпсіз, J-PAKE хаттамасы келесі қасиеттерді қанағаттандырады:^[3]

Интернеттегі сөздік шабуылға төзімділік - бұл пассивті / белсенді шабуылдаушыға құпия сөзді растайтын ақпаратты жібермейді.
Алға құпия - Ол құпия сөз кейінірек ашылған кезде де қауіпсіз болып қалатын сессия кілттерін шығарады.
Кілттің қауіпсіздігі - бұл ашылған сессия кілтінің басқа сеанстардың қауіпсіздігіне әсер етуіне жол бермейді.
Онлайн сөздік шабуылға төзімділік - Бұл белсенді шабуылдаушыны протоколды орындау үшін бір ғана құпия сөзді тексеруге шектейді.

2015 жылы Abdalla, Benhamouda және MacKenzie алгебралық қарсыластарды ескере отырып кездейсоқ oracle моделінде қауіпсіздігін дәлелдеу үшін J-PAKE-ге тәуелсіз ресми талдау жүргізді.^[4]

Хаттама дизайны

J-PAKE хаттамасы кездейсоқ ашық кілттерді құрылымдалған түрде біріктіру арқылы жасалған, егер екі тарап бірдей парольдерді ұсынса, жоғалу әсеріне жету керек. Бұл қандай да бір жолмен ұқсас Анонимді вето желісі протоколды жобалау. Идеяның мәні, алайда, содан бастау алады Дэвид Чаум түпнұсқа Тағамдық криптографтар желілік хаттама,^[5] мұнда жоғалу әсеріне жету үшін екілік биттер құрылымдалған түрде біріктіріледі.

Іске асыру

J-PAKE іске асырылды OpenSSL және OpenSSH аутентификацияның тәжірибелік хаттамасы ретінде. Ол 2014 жылдың қаңтар айының соңында OpenSSH бастапқы кодынан жойылды.^[6] Ол сондай-ақ жүзеге асырылды NSS және қолданылған Firefox Sync 1.1 нұсқасы, бірақ 1.5-де тоқтатылған, ол басқа кілттермен алмасу және сақтау әдісін қолданады.^[7] Mozilla-дің J-PAKE сервері Sync 1.1 сақтау серверлерімен бірге 2015 жылдың 30 қыркүйегінде жабылды.^[8] Бозғылт ай Sync қызметінің бөлігі ретінде J-PAKE пайдалануды жалғастыруда.^[9] 2013 жылдың ақпан айынан бастап J-PAKE жеңіл API-ге қосылды Bouncycastle (1,48 және одан әрі). J-PAKE сонымен қатар Ағын (желілік хаттама)^[10]

Стандарттау

J-PAKE халықаралық стандарт ретінде ISO / IEC 11770-4 (2017) стандартына енгізілген.^[11] Ол сондай-ақ жарияланған RFC 8236.

Әдебиеттер тізімі

^ Ф. Хао, П. Райан. Жоңырласу арқылы құпия сөзді растайтын кілт алмасу. Қауіпсіздік хаттамалары бойынша 16-шы Халықаралық семинардың материалдары, 2008 ж.
^ Джаблон, Дэвид (қазан 1996). «Тек қана құпия сөзбен расталған кілттермен алмасу». Компьютерлік коммуникацияға шолу. 26 (5): 5–26. CiteSeerX 10.1.1.57.4798. дои:10.1145/242896.242897.
^ Ф. Хао, П. Райан. J-PAKE: PKI жоқ түпнұсқалық расталған кілттермен алмасу. Есептеу ғылымы бойынша Springer транзакциялары, компьютерлік қауіпсіздік туралы арнайы шығарылым, II бөлім, т. 6480, 192-206 бб, 2010 ж.
^ М.Абдалла, Ф.Бенхамуда, П.Маккензи J-PAKE құпия сөзбен расталған кілтпен алмасу протоколының қауіпсіздігі.
^ Дэвид Чаум. Тағамдық криптографтардың мәселесі: шартсыз жіберуші мен алушының ізделуі мүмкін емес Криптология журналы, т. 1, No, 1, 65-75 б., 1988 ж
^ Src / usr.bin / ssh / Attic / jpake.c үшін OpenBSD CVS журналы
^ «Firefox Sync жаңа қауіпсіздік моделі».
^ «Бұрынғы синхрондау қызметін өшіру».
^ «Бозғылт Ай 25.7.3-ке жаңартылды! - Бозғылт Ай форумы».
^ http://threadgroup.org/Portals/0/documents/whitepapers/Thread%20Commissioning%20white%20paper_v2_public.pdf
^ https://www.iso.org/obp/ui/#iso:std:67933:kz

Сыртқы сілтемелер

[1] Ф. Хао, П. Райан. Жоңырласу арқылы құпия сөзді растайтын кілт алмасу. Қауіпсіздік хаттамалары бойынша 16-шы Халықаралық семинардың материалдары, 2008 ж.

[2] Джаблон, Дэвид (қазан 1996). «Тек қана құпия сөзбен расталған кілттермен алмасу». Компьютерлік коммуникацияға шолу. 26 (5): 5–26. CiteSeerX 10.1.1.57.4798. дои:10.1145/242896.242897.

[3] Ф. Хао, П. Райан. J-PAKE: PKI жоқ түпнұсқалық расталған кілттермен алмасу. Есептеу ғылымы бойынша Springer транзакциялары, компьютерлік қауіпсіздік туралы арнайы шығарылым, II бөлім, т. 6480, 192-206 бб, 2010 ж.

[4] М.Абдалла, Ф.Бенхамуда, П.Маккензи J-PAKE құпия сөзбен расталған кілтпен алмасу протоколының қауіпсіздігі.

[5] Дэвид Чаум. Тағамдық криптографтардың мәселесі: шартсыз жіберуші мен алушының ізделуі мүмкін емес Криптология журналы, т. 1, No, 1, 65-75 б., 1988 ж

[6] Src / usr.bin / ssh / Attic / jpake.c үшін OpenBSD CVS журналы

[7] «Firefox Sync жаңа қауіпсіздік моделі».

[8] «Бұрынғы синхрондау қызметін өшіру».

[9] «Бозғылт Ай 25.7.3-ке жаңартылды! - Бозғылт Ай форумы».

[10] ttp://threadgroup.org/Portals/0/documents/whitepapers/Thread%20Commissioning%20white%20paper_v2_public.pdf

[11] ttps://www.iso.org/obp/ui/#iso:std:67933:kz

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]