WikiDer > Обмен ключами с аутентификацией паролем путем жонглирования
В Обмен ключами с аутентификацией паролем путем жонглирования (или J-PAKE) - это соглашение о ключах с аутентификацией паролем протокол, предложенный Фэн Хао и Питером Райаном.[1] Этот протокол позволяет двум сторонам устанавливать частную и аутентифицированную связь исключительно на основе их общего (с низкой энтропией) пароля, не требуя Инфраструктура открытых ключей. Это обеспечивает взаимная аутентификация к обмену ключами, что отсутствует в Обмен ключами Диффи – Хеллмана протокол.
Описание
Две стороны, Алиса и Боб, договариваются о группе с генератором высшего порядка в котором проблема дискретного журнала сложна. Обычно Группа Шнорра используется. В общем, J-PAKE может использовать любую группу первичного порядка, подходящую для криптографии с открытым ключом, включая Криптография на эллиптических кривых. Позволять быть их общим (низкоэнтропийным) секретом, который может быть паролем или хешем пароля (). Протокол выполняется в два раунда.
- 1 тур
- Алиса выбирает , и рассылает , вместе с Доказательства с нулевым разглашением (используя, например, неинтерактивное доказательство Шнорра с нулевым разглашением, как указано RFC 8235) для доказательства показателей и . Точно так же Боб выбирает , и рассылает , вместе с Доказательства с нулевым разглашением для доказательства показателей и . Вышеуказанное общение может быть выполнено за один раунд, поскольку ни одна из сторон не зависит от другой. По окончании Алиса и Боб проверяют полученный Доказательства с нулевым разглашением а также проверьте .
- Раунд 2
- Алиса отправляет и Доказательство с нулевым разглашением для доказательства экспоненты . (Обратите внимание, что Алиса фактически получает новый открытый ключ, используя как генератор). Точно так же Боб отправляет и Доказательство с нулевым разглашением для доказательства экспоненты .
После раунда 2 Алиса вычисляет . Точно так же Боб вычисляет . Из того же ключевого материала , Алиса и Боб могут получить сеансовый ключ, используя Криптографическая хеш-функция: .
Двухэтапный протокол J-PAKE полностью симметричен. Это помогает значительно упростить анализ безопасности. Например, доказательство того, что одна сторона не утекает информации о пароле при обмене данными, должно быть верным для другой стороны на основе симметрии. Это вдвое сокращает количество необходимых доказательств безопасности.
На практике более вероятно реализовать J-PAKE в трех потоках, поскольку одна сторона обычно берет на себя инициативу. Это можно сделать тривиально без потери безопасности. Предположим, Алиса инициирует коммуникацию, отправив Бобу: и доказательства с нулевым разглашением. Затем Боб отвечает: и доказательства с нулевым разглашением. Наконец, Алиса отправляет Бобу: и доказательство с нулевым разглашением. Обе стороны теперь могут получить один и тот же сеансовый ключ.
В зависимости от требований приложения Алиса и Боб могут выполнить необязательный шаг подтверждения ключа. Есть несколько способов сделать это. Простой метод, описанный в SPEKE работает следующим образом: Алиса отправляет Бобу , а затем Боб отвечает .[2] В качестве альтернативы Алиса и Боб могут реализовать явное подтверждение ключа, используя вновь созданный сеансовый ключ для шифрования известного значения (или случайного запроса). EKE, Kerberos и Нидхэм-Шредер все пытаются предоставить явное подтверждение ключа именно этим методом.
Свойства безопасности
Учитывая, что лежащий в основе Шнорр не интерактивный доказательство с нулевым разглашением является безопасным, доказано, что протокол J-PAKE удовлетворяет следующим свойствам:[3]
- Устойчивость к атакам по автономному словарю - информация о проверке пароля не передается пассивному / активному злоумышленнику.
- Прямая секретность - Он создает ключи сеанса, которые остаются безопасными, даже если пароль позже раскрывается.
- Безопасность с известным ключом - предотвращает влияние раскрытого ключа сеанса на безопасность других сеансов.
- Устойчивость к атакам по онлайн-словарю - это ограничивает активного злоумышленника проверять только один пароль на выполнение протокола.
В 2015 году Абдалла, Бенхамуда и Маккензи провели независимый формальный анализ J-PAKE, чтобы доказать его безопасность в случайной модели оракула, предполагающей наличие алгебраических противников.[4]
Дизайн протокола
Протокол J-PAKE разработан путем объединения случайных открытых ключей таким структурированным способом для достижения эффекта исчезновения, если обе стороны предоставили точно такие же пароли. Это чем-то похоже на Анонимная сеть вето дизайн протокола. Однако суть идеи восходит к Дэвид Чауморигинальный Обеденные криптографы сетевой протокол,[5] где двоичные биты объединены структурированным образом для достижения эффекта исчезновения.
Реализация
J-PAKE был реализован в OpenSSL и OpenSSH как экспериментальный протокол аутентификации. Он был удален из исходного кода OpenSSH в конце января 2014 года.[6] Это также было реализовано в НСС и использовался Синхронизация Firefox версия 1.1, но прекращенная в 1.5, в которой используется другой метод обмена и хранения ключей.[7] Сервер Mozilla J-PAKE был отключен вместе с серверами хранения Sync 1.1 30 сентября 2015 года.[8] Бледная луна продолжает использовать J-PAKE как часть своей службы синхронизации.[9] С февраля 2013 года J-PAKE был добавлен в облегченный API в Bouncycastle (1.48 и новее). J-PAKE также используется в Thread (сетевой протокол)[10]
Стандартизация
J-PAKE включен в ISO / IEC 11770-4 (2017) как международный стандарт.[11] Он также опубликован в RFC 8236.
Рекомендации
- ^ Ф. Хао, П. Райан. Обмен ключами с аутентификацией паролем путем жонглирования. Материалы 16-го Международного семинара по протоколам безопасности, 2008 г.
- ^ Джаблон, Дэвид (октябрь 1996 г.). «Надежный обмен ключами с аутентификацией только с помощью пароля». Обзор компьютерных коммуникаций. 26 (5): 5–26. CiteSeerX 10.1.1.57.4798. Дои:10.1145/242896.242897.
- ^ Ф. Хао, П. Райан. J-PAKE: обмен ключами с аутентификацией без PKI. Springer Transactions по вычислительной науке XI, Специальный выпуск по безопасности в вычислениях, Часть II, Том. 6480, стр. 192-206, 2010.
- ^ М. Абдалла, Ф. Бенхамуда, П. Маккензи Безопасность протокола обмена ключами J-PAKE с аутентификацией паролем.
- ^ Дэвид Чаум. Проблема обеденных криптографов: безусловная неотслеживаемость отправителя и получателя Журнал криптологии, вып. 1, № 1, стр. 65-75, 1988 г.
- ^ Журнал CVS OpenBSD для src / usr.bin / ssh / Attic / jpake.c
- ^ «Новая модель безопасности Firefox Sync».
- ^ «Завершение работы устаревшей службы синхронизации».
- ^ «Pale Moon обновлен до 25.7.3! - Форум Pale Moon».
- ^ http://threadgroup.org/Portals/0/documents/whitepapers/Thread%20Commissioning%20white%20paper_v2_public.pdf
- ^ https://www.iso.org/obp/ui/#iso:std:67933:en