SKEME

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 19. listopadu 2013; kontroly vyžadují 16 úprav .

SKEME je protokol pro distribuci kryptografických klíčů , který v roce 1996 vytvořil Hugo Krawczyk . Umožňuje dvěma stranám získat sdílený tajný klíč pomocí nezabezpečeného komunikačního kanálu.

Protokol SKEME sloužil jako základ pro protokol IKE [1] definovaný v RFC 2409 .

Základní vlastnosti protokolu

autentizace účastníků rozhovoru - důvěra v to, kdo je účastníkem rozhovoru [2] ;
dokonalé dopředné utajení (PFS) - ztráta tajných klíčů nevede ke kompromitaci minulé korespondence [3] ;
možnost zřeknutí se - třetí osoba nebude schopna prokázat, že zprávy psal adresátovi někdo jiný [4] ;
silné utajení - útočník nemůže zjistit změnu tajného klíče [5] ;
flexibilita - čtyři možné režimy provozu umožňují dosáhnout kompromisu mezi výkonem a bezpečností [6] .

Režimy a fáze

Notace

K popisu protokolu se používá následující zápis:

$PKE_{A}(arg)$ - zašifrování zprávy veřejným klíčem strany A; $arg$
$H(arg)$ - výpočet kryptografické hašovací funkce s argumentem ; $arg$
$F_{K}$ je pseudonáhodná funkce s klíčem , jejíž výsledek výpočtu nelze předvídat bez znalosti klíče; $K$
$id_{A},id_{B}$ — boční identifikátory A a B;
$g,p$ - generátor a modul používané v protokolu Diffie-Hellman .

Základní režim

První etapa

Během první fáze obdrží strany A a B pomíjivý klíč , přičemž navzájem znají veřejné klíče [7] . Za tímto účelem si vyměňují „polovičky klíče“, zašifrované vzájemnými veřejnými klíči, a poté „poloviny“ spojují pomocí hashovací funkce. $K_{0}$

A\longrightarrow B\colon PKE_{B}(K_{A})

B\longrightarrow A\colon PKE_{A}(K_{B})

K_{0}=H(K_{A},K_{B})

Hodnoty a musí být vybrány náhodně [8] . Pokud se strana A řídí protokolem, pak si může být jistá, že efemérní klíč nezná nikdo kromě B. Podobně si strana B může být jistá, že efemérní klíč nezná nikdo jiný než A [9] . $K_{A}$ $K_{B}$ $K_{0}$

Druhá fáze

Ve druhé fázi strany využívají protokol Diffie-Hellman [10] . Strana A vybere náhodné číslo a vypočítá hodnotu . Strana B vybere náhodné číslo a vypočítá hodnotu . Poté si strany vypočítané hodnoty vymění. $X$ $g^{x}{\bmod {p))$ $y$ $g^{y}{\bmod {p}}$

A\longrightarrow B\colon g^{x}{\pmod {p))

B\longrightarrow A\colon g^{y}{\pmod {p))

Třetí fáze

Ve třetí fázi probíhá autentizace a je přenášena během druhé fáze pomocí dočasného klíče získaného v první fázi. $g^{x}$ ${\displaystyle g^{y))$ $K_{0}$

A\longrightarrow B\colon F_{K_{0}}(g^{y},g^{x},id_{A},id_{B})

B\longrightarrow A\colon F_{K_{0}}(g^{x},g^{y},id_{B},id_{A})

Zahrnutí do první zprávy umožňuje straně B ověřit, že hodnota ve druhém kroku byla skutečně odeslána stranou A [11] . Hodnota ve stejné zprávě umožňuje B bránit se proti opakovanému útoku [12] . $g^{x}$ $g^{x}$ ${\displaystyle g^{y))$

Generování klíče relace

Výsledkem spuštění protokolu je klíč relace , vypočítaný jako [13] . $SK=H(g^{xy}{\bmod {p)))$

SKEME bez PFS

Režim SKEME bez PFS poskytuje možnost výměny klíčů bez výpočetních nákladů potřebných k poskytování PFS [14] . Ve druhé fázi si strany místo hodnot a zasílají náhodná čísla a . $g^{x}$ ${\displaystyle g^{y))$ $nonce_{A}$ $nonce_{B}$

A\longrightarrow B\colon nonce_{A}

B\longrightarrow A\colon nonce_{B}

Třetí etapa je také upravena. Argumenty funkce se mění z a do resp . $F_{K_{0))$ $g^{x}$ ${\displaystyle g^{y))$ $nonce_{A}$ $nonce_{B}$

A\longrightarrow B\colon F_{K_{0}}(nonce_{B},nonce_{A},id_{A},id_{B})

B\longrightarrow A\colon F_{K_{0}}(nonce_{A},nonce_{B},id_{B},id_{A})

Tato úprava druhé a třetí fáze umožňuje stranám ujistit se, že klíč získaný v první fázi je oběma stranám znám. [15] . $K_{0}$

Výsledkem spuštění protokolu v tomto režimu je klíč relace, vypočítaný jako , kde [16] . $SK=F_{K_{0}}(arg)$ $arg=F_{K_{0}}(nonce_{B},nonce_{A},id_{A},id_{B})$

Předsdílený klíč a PFS

V tomto režimu se předpokládá, že strany již znají tajný klíč (klíč je například nastaven ručně) a používají tento klíč k získání nového klíče relace [17] . V tomto režimu můžete přeskočit první krok a použít tajný klíč místo . Tento režim poskytuje dokonalé dopředné utajení [18] . $K_{0}$

Klíč relace se v tomto režimu počítá stejně jako v základním [19] .

Rychlé Rekey

Fast Re-Key je nejrychlejší režim protokolu SKEME [20] . Tento režim umožňuje časté aktualizace klíčů bez výpočetních nákladů na asymetrické šifrování a použití protokolu Diffie-Hellman [21] .

V tomto režimu se předpokládá, že klíč je stranám znám z předchozího kola protokolu. První fáze je přeskočena a druhá a třetí fáze, stejně jako výpočet klíče relace, se provádějí stejným způsobem jako v režimu SKEME bez PFS [22] . $K_{0}$

Poznámky

↑ mao2002plausible, 2002 , 5 Achieving Complete Deniability, str. 5: "SKEME je základem pro "Režim předsdíleného klíče" v IKE [11].".
↑ krawczyk96, 1996 , 3.2 Základní protokol a jeho fáze, str. 121: "Všimněte si, že klíč sdílený ve fázi SHARE může být znám pouze A a B (za předpokladu, že jejich soukromé klíče nejsou kompromitovány) a pouze tyto strany mohly generovat výše uvedené ověřené zprávy." $K_{0}$
↑ krawczyk96, 1996 , 4 Shrnutí hlavních vlastností, str. 124: "Dokonalé dopředné utajení prostřednictvím výměny Diffie-Hellman poskytované jako součást základního protokolu."
↑ di2006deniable, 2006 , 1 Úvod, str. 403: "Pro SKEME ukazujeme silnou formu popření zaručenou naší definicí."
↑ blanchet2004automatic, 2004 , 7 Experimentální výsledky, str. 99: "Také jsme prokázali silné utajení protokolů Otway-Rees [38], Yahalom [21] a Skeme [32].".
↑ krawczyk96, 1996 , 4 Shrnutí hlavních vlastností, str. 124: "SKEME je navržen tak, aby splnil požadavky uvedené a diskutované v části 2. Zejména poskytuje podporu pro různé bezpečnostní scénáře a umožňuje flexibilní kompromisy mezi bezpečností a výkonem...".
↑ bauer2000security, 2000 , 5.1 Čtyři příklady, str. 49: "SHARE umožňuje dvěma principálům A a B získat sdílený klíč za předpokladu, že zpočátku každý zná veřejný klíč toho druhého...".
↑ krawczyk96, 1996 , 3.2 Základní protokol a jeho fáze, str. 121: "Zdůrazňujeme, že hodnoty a je třeba vybrat jako (pseudo-) náhodné hodnoty a čerstvé pro každý běh protokolu." $K_{A}$ $K_{B}$
↑ krawczyk96, 1996 , 3.2 Základní protokol a jeho fáze, str. 121: "Pokud A postupuje podle protokolu, má jistotu, že sdílený klíč nezná nikdo kromě B". $K_{0}$
↑ krawczyk96, 1996 , 3.2 Základní protokol a jeho fáze, str. 121: "Další fáze, EXCH, se používá k výměně Diffie-Hellmanových exponentů."
↑ krawczyk96, 1996 , 3.2 Základní protokol a jeho fáze, str. 121: "Zahrnutí do první zprávy slouží k ověření (k B), která přišla od A". $g^{x}$ $g^{x}$
↑ krawczyk96, 1996 , 3.2 Základní protokol a jeho fáze, str. 121: "hodnota ve stejné zprávě se používá k prokázání aktuálnosti této zprávy B (za předpokladu , že byla čerstvě vybrána B)". ${\displaystyle g^{y))$ ${\displaystyle g^{y))$
↑ krawczyk96, 1996 , 3.2 Základní protokol a jeho fáze, str. 121: "Klíč relace SK, který je klíčem sdíleným mezi A a B jako výsledek tohoto protokolu, je stranami vypočítán jako .". $SK=H(g^{xy}{\bmod {p)))$
↑ krawczyk96, 1996 , 3.3.1 SKEME Bez PFS, str. 122: "Režim SKEME uvedený v této části je určen k poskytování funkcí výměny klíčů na základě veřejných klíčů stran, ale bez placení vysokých nákladů na výkon požadovaných k dosažení PFS.".
↑ krawczyk96, 1996 , 3.3.1 SKEME Bez PFS, str. 122: "Takto kombinace EXCH a AUTH poskytuje stranám ujištění, že klíč , který sdíleli ve fázi SHARE, je oběma znám...". $K_{0}$
↑ krawczyk96, 1996 , 3.3.1 SKEME Bez PFS, str. 122: "...definujeme jako be , kde je hodnota poslaná ve zprávě z A do B ve fázi AUTH...". $SK$ $F_{K_{0}}(arg)$ $arg$
↑ krawczyk96, 1996 , 3.3.2 Předsdílený klíč a PFS, str. 123: "V tomto režimu protokol předpokládá, že strany již sdílejí tajný klíč a že tento klíč používají k odvození nového a nového klíče."
↑ krawczyk96, 1996 , 3.3.2 Tento režim také poskytuje dokonalé dopředné utajení (PFS), str. 123.
↑ krawczyk96, 1996 , 3.3.2 Předsdílený klíč a PFS, str. 123: "Výpočet je stejný jako u základního protokolu...".
↑ krawczyk96, 1996 , 3.3.3 Fast Re-key, str. 123: "Toto je nejrychlejší režim SKEME."
↑ krawczyk96, 1996 , 3.3.3 Fast Re-key, str. 123: "Je určen k zajištění velmi častého obnovování klíčů, aniž by museli procházet nákladnými operacemi, jako je veřejný klíč nebo výpočty Diffie-Hellman."
↑ krawczyk96, 1996 , 3.3.3 Fast Re-key, str. 123: "Výpočet je shodný s výpočtem podle oddílu 3.3.1...". $SK$

Literatura

Krawczyk H. SKEME: Všestranný bezpečný mechanismus výměny klíčů pro internet (anglicky) // Zabezpečení sítě a distribuovaného systému, 1996., Sborník ze sympozia o IEEE. - 1996. - S. 114-127 . - ISBN 0-8186-7222-6 . - doi : 10.1109/NDSS.1996.492418 . (nedostupný odkaz)

Di Raimondo M., Gennaro R., Krawczyk H. Deniable authentication and key exchange (anglicky) // Proceedings of the 13th ACM conference on Computer and communications security. - 2006. - S. 400-409 . — ISBN 1-59593-518-5 . - doi : 10.1145/1180405.1180454 .

Bauer FL., Steinbruggen R. Bezpečnostní protokoly a jejich vlastnosti (anglicky) // Základy bezpečného výpočtu. - IOS Press, 2000. - Sv. 175 . - str. 39-60 . — ISBN 1-58603-015-9 .

Mao W., Paterson KG O věrohodné popíratelnosti internetových protokolů . — Citeeer, 2002.

Blanchet, B. Automatický důkaz silného utajení bezpečnostních protokolů // Proceedings of the 2004 IEEE Symposium on Security and Privacy. - 2004. - S. 86-100 . — ISBN 0-7695-2136-3 . - doi : 10.1109/SECPRI.2004.1301317 . Archivováno z originálu 3. prosince 2013.