Соглашение о ключе с аутентификацией по паролю

В криптографии метод согласования ключей с аутентификацией по паролю (PAK) представляет собой интерактивный метод, позволяющий двум или более сторонам установить криптографические ключи на основе знания пароля одной или несколькими сторонами.

Важное свойство заключается в том, что подслушивающий или посредник не может получить достаточно информации, чтобы иметь возможность угадать пароль методом подбора без дальнейшего взаимодействия со сторонами для каждой (несколькой) попытки. Это означает, что надежная защита может быть достигнута с помощью слабых паролей. ^{[ необходима цитата ]}

Типы

Соглашение о ключах с аутентификацией по паролю обычно охватывает такие методы, как:

• Сбалансированный обмен ключами с аутентификацией по паролю
• Расширенный обмен ключами с аутентификацией по паролю
• Извлечение ключа с аутентификацией по паролю
• Многосерверные методы
• Многопартийные методы

В самых строгих моделях безопасности, основанных только на пароле, от пользователя метода не требуется помнить какие-либо секретные или общедоступные данные , кроме пароля.

Обмен ключами с аутентификацией по паролю (PAKE) — это метод, при котором две или более сторон, основываясь только на знании ими общего пароля, ^[1] устанавливают криптографический ключ, используя обмен сообщениями, таким образом, что неавторизованный участник (тот, кто контролирует канал связи, но не владеет паролем) не может участвовать в методе и максимально ограничен от подбора пароля методом перебора. (Оптимальный случай дает ровно одну попытку на один обмен.) Две формы PAKE — это сбалансированный и дополненный методы. ^[1]

Сбалансированный PAKE

Сбалансированный PAKE предполагает, что обе стороны в ситуации клиент-клиент или клиент-сервер используют один и тот же секретный пароль для согласования и аутентификации общего ключа. ^[1] Вот примеры:

• Зашифрованный обмен ключами (EKE)
• ПАК и ППК ^[2]
• SPEKE (Простой парольный экспоненциальный обмен ключами)
• Протокол безопасного удаленного пароля на основе эллиптических кривых (EC-SRP или SRP5) ^[3] Существует бесплатная реализация Java-карты. ^[4]
• Стрекоза – стандарт IEEE 802.11-2012, RFC 5931, RFC 6617
• CPace ^[5]
• SPAKE1 ^[6] и SPAKE2 ^[7]
• СЕСПАКЕ ^[8]
• J-PAKE (обмен ключами с аутентификацией паролем путем подмены) – ISO/IEC 11770-4 (2017), RFC 8236
• Рекомендация МСЭ-Т X.1035
• «Расширенное модульное рукопожатие для согласования ключей и дополнительной аутентификации» ^[9]

Расширенный PAKE

Расширенный PAKE — это вариант, применимый к сценариям клиент/сервер, в которых сервер не хранит данные, эквивалентные паролю. Это означает, что злоумышленник, укравший данные сервера, все равно не сможет выдать себя за клиента, если только он сначала не выполнит поиск пароля методом подбора. Некоторые системы расширенного PAKE используют забывчивую псевдослучайную функцию для смешивания секретного пароля пользователя с секретным значением соли сервера, так что пользователь никогда не узнает секретное значение соли сервера, а сервер никогда не узнает пароль пользователя (или значение, эквивалентное паролю) или окончательный ключ. ^[10]

Вот несколько примеров:

• АМП
• Расширенный-EKE
• Б-СПИК
• ПАК-X ^[2]
• СРП ^[а]
• АвгустПАКЕ ^[12]
• НЕПРОЗРАЧНЫЙ ^{[13] [14]}
• AuCPace ^[15]
• СПАКЕ2+ ^[16]
• «Расширенное модульное рукопожатие для согласования ключей и дополнительной аутентификации» ^[9]

Извлечение ключа

Извлечение ключа с аутентификацией по паролю — это процесс, в котором клиент получает статический ключ в ходе переговоров на основе пароля с сервером, которому известны данные, связанные с паролем, например, методы Форда и Калиски. В наиболее строгих условиях одна сторона использует только пароль в сочетании с N (двумя или более) серверами для извлечения статического ключа. Это выполняется таким образом, что пароль (и ключ) защищены, даже если N  − 1 серверов полностью скомпрометированы.

Краткая история

Первыми успешными методами согласования ключей с аутентификацией по паролю были методы Encrypted Key Exchange, описанные Стивеном М. Белловиным и Майклом Мерриттом в 1992 году. Хотя некоторые из первых методов были несовершенны, сохранившиеся и улучшенные формы EKE эффективно усиливают общий пароль в общий ключ, который затем может использоваться для шифрования и/или аутентификации сообщений. Первые доказуемо безопасные протоколы PAKE были приведены в работах М. Беллара, Д. Пойнтшеваля и П. Рогауэя (Eurocrypt 2000) и В. Бойко, П. Маккензи и С. Пателя (Eurocrypt 2000). Эти протоколы были доказаны как безопасные в так называемой модели случайного оракула (или даже в более сильных вариантах), и первыми протоколами, безопасность которых была доказана при стандартных предположениях, были протоколы О. Голдрайха и Й. Линделла (Crypto 2001), который служит доказательством правдоподобия, но не эффективен, и протокол Дж. Каца, Р. Островского и М. Юнга (Eurocrypt 2001), который является практичным.

Первые методы извлечения ключей с аутентификацией по паролю были описаны Фордом и Калиски в 2000 году.

Значительное количество альтернативных, безопасных протоколов PAKE было дано в работе М. Беллара, Д. Пойнтшеваля и П. Рогауэя, вариации и доказательства безопасности были предложены в этом растущем классе методов согласования ключей с аутентификацией паролем. Текущие стандарты для этих методов включают IETF RFC 2945, RFC 5054, RFC 5931, RFC 5998, RFC 6124, RFC 6617, RFC 6628 и RFC 6631, IEEE Std 1363.2-2008, ITU-T X.1035 и ISO-IEC 11770-4:2006.

Процесс выбора PAKE для использования в интернет-протоколах

По запросу целевой группы по инжинирингу Интернета IETF в 2018 и 2019 годах исследовательской группой криптофорума IRTF (CFRG) был проведен процесс отбора PAKE. Процесс отбора проводился в несколько раундов. ^[17] В финальном раунде 2019 года победили четыре финалиста AuCPace, OPAQUE (дополненные случаи) и CPace, SPAKE2 (сбалансированный PAKE). В результате процесса отбора CFRG два протокола-победителя были объявлены «рекомендованными CFRG для использования в протоколах IETF»: CPace и OPAQUE. ^[18]

Смотрите также

• Криптографический протокол
• IEEE P1363
• Одновременная аутентификация равных
• Очерк криптографии
• Защита паролем с нулевым разглашением

Ссылки

1. Разработано так, чтобы не быть обремененным патентами. ^[11]

1. Hao, Feng; Ryan, Peter YA (2011). "Password Authenticated Key Exchange by Juggling". В Christianson, Bruce; Malcolm, James A.; Matyas, Vashek; Roe, Michael (ред.). Security Protocols XVI . Lecture Notes in Computer Science. Vol. 6615. Berlin, Heidelberg: Springer. pp. 159–171. doi :10.1007/978-3-642-22137-8_23. ISBN 978-3-642-22137-8.
2. Boyko, V.; P. MacKenzie; S. Patel (2000). "Provably Secure Password-Authenticated Key Exchange Using Diffie-Hellman". Advances in Cryptology — EUROCRYPT 2000. Lecture Notes in Computer Science. Vol. 1807. Springer-Verlag. pp. 156–171. doi :10.1007/3-540-45539-6_12. ISBN 978-3-540-67517-4.
3. Ван, Йонге (2006). «Анализ безопасности протокола аутентификации на основе пароля, предложенного в IEEE 1363» (PDF) . Теоретическая информатика . 352 (1–3): 280–287. arXiv : 1207.5442 . doi : 10.1016/j.tcs.2005.11.038. S2CID  11618269.
4. "EC-SRP Java Card Applet". GitHub . Март 2020 г.
5. Хаазе, Бьёрн; Гессе, Джулия; Абдалла, Мишель (2021). «OPAQUE: асимметричный протокол PAKE, защищенный от атак с предвычислениями» (PDF) . Достижения в криптологии – EUROCRYPT 2018 . Конспект лекций по информатике. Том 10822. С. 456–486. doi :10.1007/978-3-319-78372-7_15. ISBN 978-3-319-78371-0. S2CID  4046378.
6. Абдалла, М.; Д. Пойнтшеваль (2005). «Простые протоколы обмена ключами с шифрованием на основе пароля». Темы по криптологии – CT-RSA 2005 (PDF) . Конспект лекций по информатике. Том 3376. Springer Berlin Heidelberg. С. 191–208. CiteSeerX 10.1.1.59.8930 . doi :10.1007/978-3-540-30574-3_14. ISBN  978-3-540-24399-1.
7. Лэдд, Уотсон (сентябрь 2023 г.). Кадук, Бенджамин (ред.). «RFC 9382: SPAKE2, обмен ключами с аутентификацией по паролю». IETF.
8. Алексеев, Евгений; Ошкин, Игорь; Попов, Владимир (март 2017 г.). Смышляев, Станислав (ред.). «RFC 8133: The Security Evaluated Standardized Password-Authenticated Key Exchange (SESPAKE) Protocol» (Протокол обмена ключами с оценкой безопасности и стандартизированной аутентификацией паролем (SESPAKE)). IETF.
9. US11025421B2, Фэй, Бьорн, «Расширенное модульное рукопожатие для согласования ключей и дополнительной аутентификации», выпущено 01.06.2021 
10. Мэтью Грин. «Давайте поговорим о PAKE». 2018.
11. «Что такое SRP?». Стэнфордский университет .
12. Shin, SeongHan; Kobara, Kazukuni (июнь 2012 г.). «Эффективная расширенная аутентификация только с использованием пароля и обмен ключами для IKEv2». Internet Engineering Task Force. Архивировано из оригинала 11 мая 2021 г.
13. Татьяна Брэдли (2020-12-08). "OPAQUE: Лучшие пароли никогда не покидают ваше устройство". Блог Cloudflare .
14. Бурдрез, Дэниел; Кравчик, Хьюго; Леви, Кевин; Вуд, Кристофер А. (2023-06-12). «Асимметричный протокол PAKE OPAQUE (проект Интернета)». IETF.
15. Хаазе, Бьёрн; Лабрик, Бенуа (август 2010 г.). «AuCPace: Эффективный протокол PAKE на основе верификаторов, адаптированный для IIoT» (PDF) . TCHES : 1–48. doi : 10.13154/tches.v2019.i2.1-48. S2CID  4603454.
16. Тауберт, Т.; Вуд, К. (сентябрь 2023 г.). «SPAKE2+, протокол обмена ключами с расширенной аутентификацией по паролю (PAKE)». IETF.
17. Репозиторий для процесса выбора пакета CFRG
18. Результаты процесса отбора CFRG PAKE

Дальнейшее чтение

• Беллар, М.; Д. Пойнтшеваль; П. Рогауэй (2000). «Обмен аутентифицированными ключами, безопасный против атак по словарю». Достижения в криптологии — EUROCRYPT 2000. Конспект лекций по информатике . Том 1807. Springer-Verlag. С. 139–155. doi :10.1007/3-540-45539-6_11. ISBN 978-3-540-67517-4.
• Белловин, SM; M. Merritt (май 1992). «Зашифрованный обмен ключами: протоколы на основе паролей, защищенные от атак по словарю». Труды 1992 IEEE Computer Society Symposium on Research in Security and Privacy . Oakland. pp. 72–84. doi :10.1109/RISP.1992.213269. ISBN 978-0-8186-2825-2. S2CID  16063466.{{cite book}}: CS1 maint: отсутствует местоположение издателя ( ссылка )
• Ford, W.; B. Kaliski (14–16 июня 2000 г.). «Генерация надежного секрета с помощью сервера из пароля». Труды IEEE 9-го Международного семинара по технологиям поддержки: инфраструктура для совместных предприятий (WET ICE 2000) . Gaithersburg MD: NIST. стр. 176–180. CiteSeerX  10.1.1.17.9502 . doi :10.1109/ENABL.2000.883724. ISBN 978-0-7695-0798-9. S2CID  1977743.
• Goldreich, O.; Y. Lindell (2001). «Генерация сеансового ключа с использованием только человеческих паролей». Advances in Cryptology — CRYPTO 2001. Lecture Notes in Computer Science. Vol. 2139. Springer-Verlag. pp. 408–432. doi :10.1007/3-540-44647-8_24. ISBN 978-3-540-42456-7.
• IEEE Std 1363.2-2008: Спецификации стандарта IEEE для криптографических методов с открытым ключом на основе пароля . IEEE. 2009. ISBN 978-0-7381-5806-8. OCLC  319883358.
• Katz, J.; R. Ostrovsky; M. Yung (2001). "Эффективный обмен ключами с аутентификацией по паролю с использованием запоминаемых человеком паролей" (PDF) . Международная ассоциация криптографических исследований . Springer-Vergal.
• Wu, T. (сентябрь 2000 г.). «Система аутентификации и обмена ключами SRP». Редактор RFC . doi :10.17487/rfc2945. RFC  2945 .
• Тейлор, Д.; Ву, Т.; Мавроджианнопулос, Н.; Перрин, Т. (ноябрь 2007 г.). «Использование протокола безопасного удаленного пароля (SRP) для аутентификации TLS». Редактор RFC . doi : 10.17487/rfc5054 . RFC  5054 .
• Harkins, D.; Zorn, G. (август 2010 г.). "Расширяемый протокол аутентификации (EAP) Аутентификация с использованием только пароля". Редактор RFC . doi :10.17487/rfc5931. RFC  5931 .
• Шеффер, Ю.; Цорн, Г.; Чофениг, Х.; Флюрер, С. (февраль 2011 г.). "Метод аутентификации EAP на основе протокола обмена зашифрованными ключами (EKE)". Редактор RFC . doi :10.17487/rfc6124. RFC  6124 .
• Харкинс, Д. (июнь 2012 г.). «Безопасная аутентификация с предварительным общим ключом (PSK) для протокола обмена ключами в Интернете (IKE)». Редактор RFC . doi :10.17487/rfc6617. RFC  6617 .
• ISO/IEC 11770-4:2006 Информационные технологии — Методы обеспечения безопасности — Управление ключами — Часть 4: Механизмы, основанные на слабых секретах.
• IEEE Std 802.11-2012: Стандарт IEEE для информационных технологий – Часть 11. Спецификация управления доступом к среде беспроводной локальной сети (MAC) и физического уровня (PHY) . IEEE. 2012. ISBN 978-0-7381-8469-2. OCLC  1017978449.
• Jarecki, Stanislaw; Krawczyk, Hugo; Xu, Jiayu (2018). "OPAQUE: асимметричный протокол PAKE, защищенный от атак с предварительным вычислением". Advances in Cryptology – EUROCRYPT 2018 (PDF) . Lecture Notes in Computer Science. Vol. 10822. pp. 456–486. doi :10.1007/978-3-319-78372-7_15. ISBN 978-3-319-78371-0. S2CID  4046378.
• Смышляев, Станислав; Ошкин, Игорь; Алексеев, Евгений; Ахметзянова, Лилия (2015). «О безопасности протокола обмена ключами с аутентификацией одним паролем» (PDF) . Архив Cryptology ePrint (Отчет 2015/1237).

Внешние ссылки

• Рабочая группа IEEE P1363
• IEEE Std 1363.2-2008: Спецификации стандарта IEEE для методов криптографии с открытым ключом на основе пароля
• Ссылки Дэвида Джаблона по криптографии на основе паролей
• Простые протоколы обмена ключами с шифрованием на основе паролей Абдалла и др. 2005 г.
• Ручной и интерактивный обмен сложными паролями