Аутентификация объектов аудиовизуальной службы сети ISDN и создание общих секретных ключей взаимодействующих объектов

Cогласно докладу на второй международной конференции по безопасности сетей связи [48] еще в прошлом веке в сети связи общего пользования ISDN Англии обеспечивалось шифрование речи и данных. Такая же услуга была создана и на сети ССОП ISDN немецкого оператора Deutschen Telecom. Прежде, чем приступить к изучению настоящего раздела следует ознакомиться с приложениями А, Б, В и Г. В настоящем разделе приводится описание в соответствии с рекомендациями ITU-T и ETSI [49,50] процедуры аутентификации объектов аудиовизуальной службы AVSE (Audio-Visual Service Entity) ISDN с использованием шифрования с открытым ключом и электронно-цифровой подписи (ЭЦП) сообщений, а также передача общих ключей симметричного шифрования. Объектом аудиовизуальной службы AVSE в ISDN может быть не только пользователь (оконечное оборудование), но и устройства транспортной части сети связи. Поэтому процедура аутентификации здесь применима к различным видам соединений: терминал – терминал, терминал – устройство транспортной части сети связи, два взаимодействующих устройства транспортной части сети связи. В отличие от описания аутентификации пользователя ISDN (раздел 17.4) под аутентификацией объектов AVSE понимается процедура аутентификации сообщений, которая включает проверку:

· подлинности источника сообщения;

· подлинности (целостности) сообщения, т.е. его содержимое не было изменено при доставке получателю.

В основу аутентификации объектов аудиовизуальной службы ISDN положена рекомендация ITU-T Х.509 [47], в соответствии, с которой используется один или несколько уровней удостоверяющих центров (центров сертификации), создающих цепочку сертификатов. Для аутентификации объекта производится проверка подлинности открытого ключа в принятом сертификате этого объекта и проверяется подлинность электронно-цифровой подписи, используя этот открытый ключ. Одновременно с аутентификацией взаимодействующих объектов создается общий ключ для шифрования передаваемой между ними информации.

Инфраструктура систем с открытыми ключами PKI (Public Key Infrastructure) состоит из множества компонентов, среди которых пользователи, Управление сертификации, сами сертификаты и каталоги PKI предоставляет возможность структурной организации этих компонентов [10]. Одним из видов PKI является иерархия управлений, состоящая из нескольких уровней. Процедура аутентификации объектов в указанных рекомендациях [49,50] рассматривается на примере двухуровневой иерархии - цепочки удостоверяющих центров C_X и C_Y с общим центром GCA, General Certification Authority (рис. 17.14). Реально может быть больше уровней иерархии. Названия для уровней не стандартизировано. Управление сертификации верхнего уровня (GCA) называют корневым, Центральным Управлением или доверительным якорем. Центральное Управление GCA сертифицирует управления второго уровня, которые могут обслуживать, например, страну. На рис. 17.14 это удостоверяющие центры Cx и СY, которые создают сертификаты соответствующих объектов Х и Y. В общем случае следует иметь не одно Центральное Управление, а несколько, причем связать с каждым из них свою иерархию уровней. В современных машинах пользователей содержатся открытые ключи более 100 Центральных Управлений (корневых уровней). В качестве каталога для хранения сертификатов предложено иcпользовать сервер DNS.

Рис. 17.14. Схема аутентификации абонентов аудиовизуальной службы ISDN и передача общих ключей симметричного шифрования

При установлении вызова процедура аутентификации использует четыре сообщения:

· RSA.P1 – инициализация аутентификации;

· RSA.P2 – ответ на запрос аутентификации;

· RSA.P3 – успешное завершение аутентификации;

· RSA.P4 – безуспешное завершение аутентификации.

Обозначим идентификатор объекта, инициирующего аутентификацию через Х. Идентификатор объекта, вызываемого для проведения процедуры аутентификации, обозначим через Y. Объект Х отправляет сообщения RSA.P1 и RSA.P3. Объект Y отправляет сообщение RSA.P2. Удостоверяющие центры, в которых создаются сертификаты объектов Х и Y, обозначим соответственно через Cx (Cx<<X>>) и СY(CY<<Y>>). На первом шаге Х отправляет объекту Y сообщение RSA.P1. Содержание сообщения RSA.P1:

GCA<<Cx>>, Cx<<X>>, Rx, Y, Xs[h(Rx, Y)]

где:

· GCA<<Cx>> - сертификат удостоверяющего центра (центра сертификации) Cx в общем удостоверяющем центре (центре сертификации) GCA;

· Rx – случайное число, сгенерированное объектом Х. Rx используется для защиты от угрозы «повтор аутентификации»;

· Xs – закрытый ключ объекта Х;

· [h(Rx, Y)]- хеш-функция (Rx, Y).

Объект Y, получив сообщение RSA.P1, выполняет следующую последовательность операций.

1. Производится проверка достоверности принятого открытого ключа Хp объекта Х, используя для этого принятые в сообщении два сертификаты. Сертификат центра сертификации Сx, созданный в центре сертификации GCA обозначается GCA<<Сx >>.

Этот сертификат включает следующие данные:

GCA<<Сx >>: IGCA, IСx, Сxp, T1, GCAs [h (IGCA, IСx, Сxp, T1)]

где:

· IGCA – идентификатор GCA;

· GCAs – закрытый ключ общего центра сертификации GCA;

· IСx – идентификатор центра сертификации Сх;

· Сxp– открытый ключ центра сертификации Сх;

· Т1 – дата начала и окончания срока действия сертификата;

· GCAs [*] – зашифрованная информация [*] с помощью ключа GCAs,

где: [*] – хеш-функция открытой части сертификата.

Значение GCAs [*] является цифровой подписью открытой части сертификата. Для упрощения изложения материала в открытой части сертификата опущено много элементов.

Сертификат объекта аудиовизуальной службы AVSE X, созданный в центре сертификации Сх обозначается Сx <<X>>. Состав этого сертификата:

Сx <<Х>>: IСx, Х, Хp, T1, СХs[h(IСx, Х, Хp, Т1)],

где:

· IСx– идентификатор центра сертификации Сх;

· Сxs – закрытый ключ центра сертификации Сх;

· Х – идентификатор объекта Х;

· Хp – открытый ключ объекта Х;

· Т1 – даты начала и окончания срока действия сертификата;

· Схs [*] - зашифрованная информация [*] с помощью ключа Сxs.

В объекте Х записаны открытый ключ GCAp общего сертификационного центра, сертификат центра сертификации Сx - GCA<<Сx>> и сертификат объекта Х (Сx<<Х>>), а также закрытый ключ объекта Хs. Сначала производится проверка достоверности открытого ключа центра сертификации Сх (т.е. Сxp). Для этого производится вычисление хеш-функции h(IGCA, IСx, Сxp, T1) открытой части сертификата этого центра сертификации Сx. Используя GCAp, производится расшифрование хеш-функции этой открытой части– GCAp [GCAs [h(IGCA, IСx, Сxp, T1)]] = h(IGCA, IСx, Сxp, T1). Открытый ключ Сxp считается достоверным, если обе хеш-функции равны. Для проверки достоверности открытого ключа Хp объекта Х производится вычисление хеш-функции открытой части сертификата объекта Х - h(IСx, Х, Хp, Т1). Используя достоверный открытый ключ Сxp производится расшифрование хеш-функции открытой части сертификата объекта Х – Сxp[Сxs[h(IСx, X, Xp, T1)]] = h(IСx, X, Xp, T1). Открытый ключ Хp считается достоверным, если обе хеш-функции равны.

2. Производится проверка целостности сообщений – Rx, Y. Для этого полученная хеш-функция h(Rx,Y) сравнивается с помощью расшифрованной – Хp [Xs[h(Rx,Y)]]. Оба значения должны быть равны.

3. Производится проверка на истечение срока действия принятых сертификатов.

4. Производится проверка идентификатора объекта Х, полученного в составе сертификата Cx<<X>>.

При успешном результате анализа принятого сообщения RSA.P1 объект Y отправляет объекту Х сообщение RSA.P2. Содержание сообщения RSA.P2:

GCA<<CY>>, CY<<Y>>, RY, X, Rx, Xp[KY], Ys[h(RY, X, Rx, KY)]

где:

· GCA<<CY>> - сертификат удостоверяющего центра CYв общем удостоверяющем центре GCA;

· RY– случайное число, сгенерированное объектом Y, RYиспользуется для защиты от угрозы «повтор аутентификации»;

· KY– случайное число, сгенерированное объектом Y, для создания ключа симметричного шифрования;

· Ys – закрытый ключ объекта Y;

· [h(RY, X, Rx, KY)] - хеш-функция (RY, X, Rx, KY).

Объект Х, получив сообщение RSA.P2, выполняет следующую последовательность операций.

1.Производится проверка достоверности принятого открытого ключа Yp объекта Y, используя для этого принятые в сообщении сертификаты. Принцип работы алгоритма проверки аналогичен описанному выше при проверке достоверности принятого открытого ключа Xp в сообщении RSA.P1.

2. Производится расшифровывание KY, т.е. KY– Xs[Xp[KY]].

3.Производится проверка целостности сообщений – RY, X, Rx, KY. Для этого полученная хеш-функция h(RY, X, Rx, KY) сравнивается с расшифрованной – Yp[Ys[h(RY, X, Rx, KY)]]. Оба значения должны быть равны.

4.Производится проверка на истечение срока действия принятых сертификатов.

5. Производится проверка, является ли значение Rx тем же самым, что было отправлено в сообщении RSA.P1 (защита от угрозы «повтор аутентификации»).

6. Производится проверка идентификатора объекта Y, полученного в составе сертификата Cy<<Y>>.

При успешном результате анализа принятого сообщения RSA.P2 объект Х отправляет объекту Y сообщение RSA.P3 об успешном завершении аутентификации объекта Y.

Содержание сообщения RSA.P3:

RY, Y, Yp[K_X], Xs[h(RY, Y, Kx)]

где Кx – случайное число, сгенерированное объектом Х, для создания общего ключа симметричного шифрования.

Объект Y, получив сообщение RSA.P3, выполняет следующую последовательность операций.

1. Производится расшифровывание Кx, т.е. Кx = Ys[Yp[Kx]].

2. Производится проверка целостности сообщений – RY, Y, Kx. Для этого полученная хеш-функция h(RY, Y, Kx) сравнивается с расшифрованной – Xp[Xs[h(RY, Y, Kx)]]. Оба значения должны быть равны.

3. Производится проверка, является ли значение RYтем же самым, что было отправлено в сообщении RSA.P3 (защита от угрозы «повтор аутентификации»).

Успешный результат анализа принятого сообщения RSA.P3 свидетельствует об успешной аутентификации объекта Х объектом Y, т.е. взаимной аутентификации. Если проверка любого из сообщений RSA.P1, RSA.P2, RSA.P3 оказывается неуспешной, объект Х или Y отправляют сообщение RSA.P4 об отказе в аутентификации. При этом прекращается процедура установления соединения. Рассмотрим случай одновременной передачи сообщений RSA.P1. Если объект Х отправляет объекту Y сообщение:

RSA.P1 (Х→Y): GCA<<Cx>>, Cx<<X>>, Rx, Y, Xs [h(Rx, Y)] и перед приемом ответного сообщения RSA.P2 (Y→X), Y отправляет Х сообщение

RSA.P1 (Y→Х): GCA<<CY>>, CY<<Y>>, RY, X, Ys [h(RY, X)], тогда объекты Х и Y разрешают эту ситуацию, сравнивая Rx и RY.

Если Rx > RY, то сообщение RSA.P1 (Y→Х) будет отвергнуто и Y отправляет сообщение RSA.P2.

Из значений Kx и Ky отбрасываются старшие и младшие 64 бит. Оставшиеся части Kx и KYскладываются по модулю 2, образуя общий ключ симметричного шифрования сообщений между объектами.

Сравнивая приведенный алгоритм с протоколами IPSec и TLS (глава 13), можно заметить тот же самый принцип, что и при установлении защищенной связи.