Глава 11. Распространение ключей

Задача распространения ключей является одной из множества задач построения надёжной сети общения многих абонентов. Задача состоит в получении в нужный момент времени двумя легальными абонентами сети секретного сессионного ключа шифрования (и аутентификации сообщений). Хорошим решением данной задачи будем считать такой протокол распространения ключей, который удовлетворяет следующим условиям.

В результате работы протокола между двумя абонентами должен быть сформирован секретный сессионный ключ.
Успешное окончание протокола в том числе должно означать и успешную взаимную аутентификацию абонентов. Не должно быть такого, что протокол успешно завершился с точки зрения одной из сторон, а вторая сторона при этом представлена злоумышленником.
К участию в работе протокола должны допускаться только легальные пользователи сети. Внешний пользователь не должен иметь возможность получить общий сессионный ключ с кем-либо из абонентов.
Добавление нового абонента в сеть (или исключение из неё) не должно требовать уведомления всех участников сети.

Последнее требование сразу исключает такие варианты протоколов, в которых каждый из абонентов знал бы некоторый мастер-ключ общения с любым другим участником. Данные варианты плохи тем, что с ростом системы количество пар мастер-ключей «абонент-абонент» растёт как квадрат от количества участников. Поэтому большая часть рассматриваемых решений состоит в том, что в сети выделяется один или несколько доверенных центров T (англ. Trent, от англ. trust), которые как раз и владеют информацией обо всех легальных участниках сети и их ключах. Они же будут явно или неявно выступать одним из участников протоколов по формированию сеансовых ключей.

Рис. 11.1 — Варианты сетей без выделенного доверенного центра и с выделенным доверенным центром T

Если говорить о требованиях к данному классу протоколов с точки зрения свойств безопасности, то «идеальный» протокол распространения ключей должен реализовывать следующие цели:

аутентификация сторон протокола;
защита от повтора;
аутентификация ключа;
подтверждение владения новым ключом;
совершенная прямая секретность;
формирование новых ключей.
ограниченная защита от атак отказа в обслуживании.

Разумеется, «идеальный» протокол должен быть устойчивым ко всем известным атакам, в том числе рассмотренным в разделе 10.5.